企业内审流程Word格式.docx
《企业内审流程Word格式.docx》由会员分享,可在线阅读,更多相关《企业内审流程Word格式.docx(32页珍藏版)》请在冰点文库上搜索。
通知内部审计主管。
2.5胜任能力
内审人员应掌握必需的知识、技能和经验以开展相关工作,并不断提高其服务质量和有效性。
2.6商业道德
内审人员应遵守有关商业道德、企业行为守则,以及内审人员所属的专业协会的所有
指引,尤其是[美国内部审计师协会]的道德规范。
3.风险管理
3.1管理层的角色
公司管理层所担任的一个关键角色就是识别和管理风险,以保障投资者的利益、保护
公司财产、维护有效的内控制度、有效管理公司资金以及维护公司的良好形象。
3.2风险管理与内审活动之间的关系
从制定审计计划到审计报告,内审在其工作的每个阶段都要与管理层紧密配合,以确保内审工作的重点集中在会对企业产生影响的重大风险上。
内审的作用是向管理层客观地报告企业风险管理的情况,以及向审计委员会报告整体风险管理流程的有效性。
内审可以协助管理层监督和报告风险管理的执行情况。
但是,公司管理层对风险管理
负有最终的主要责任。
4.与第三方关系
4.1审计委员会
内审部的最主要任务之一是协助审计委员会履行其对公司的独立监督作用,内审主管会定期向审计委员会汇报各审计项目的结果。
内审主管与审计委员会有独立、不受阻碍的沟通渠道,以便内审部能独立监督管理层日常的运作。
审计委员会每年至少召开[四]次会,就内审提的审计结果报告及其他相关事宜进行讨论。
如有必要,审计委员会可以从既定计划中重新指示内审资源的安排。
此外,每年的审计计划亦会于开展之前由审计委员会审阅并批执行。
4.2首席执行官
首席执行官是公司日常营运的最高负责人,内审主管会定期向首席执行官汇报各审计项目的结果,并由首席执行官推动和立令要求各相关单位执行内审部门在有关项目所提出的各种建和全力配合。
此外,首席执行官亦会确保内审部有足够的资源开展工作。
4.3首席财务官
内审主管与[首席财务官]之间是一种伙伴关系,其共同目标是确保公司财务安排和内控系统的确性和有效性。
首席财务官也可以邀请内审部进行某些特定的审核工作以协助其履行某些法定职责。
4.4高级管理层
与公司管理层建立良好有效的工作关系,对内审来讲是十分重要的。
但这不能影响到另一重要的原则,即保持内审的独立性。
4.5[外部审计师]
为了有效地利用审计资源,内审应与外部审计师定期进行会谈,分享审计发现,并一起讨论审计计划以确保涵盖到所有已达成共识的风险领域。
5.审计规划
5.1风险评估
风险评估工作主要有以下两部分:
I)风险的识别;
及II)风险的评价
I)风险的识别可以通过以下方法取得:
-问卷调查
-与有关人员的访谈
-通过工作坊作集体讨论
II)风险的评价主要是综合考虑已识别的风险的影响程度和可能发生性,以下是评价风险影响程度的指引:
以下是评价风险可能发生性的指引:
5.2制定年度审计计划
年度审计计划应主要针对关键风险、业务流程以及平衡公司的各类业务活动。
审计计划的制定应考虑到管理层和审计委员会对审计范围的期望。
制定审计计划的目的是要确保能经济有效地涵盖公司所面对的关键风险。
随着公司业务的不断扩,灵活的审计规划方法是至关重要的。
年度审计计划通常是由内审主管在部门经理的配合下来制定的。
5.3制定个别项目的审计计划
内审的每一项工作都应作适当规划。
个别项目的计划可由内审人员来完成。
审计项目计划的内容因项目而异,但是项目计划应至少涵盖以下内容:
-确定该项目的审计目的;
-确定该项目的工作范围;
-安排与管理层的会谈,以确定审计项目的时间和计划;
-确定开展该项目所需要的内部审计相关资源;
-确定审计项目小组与成员在该项目中需要达到的目标;
-对被审计项目背景资料的搜集。
5.4拟定审计项目工作范围
既定目标应确保审计考虑了所审流程或领域中的最重大的风险。
审计职权范围应在现场工作开始前先发给被审计单位。
5.5其他类型内审工作的规划
第5.3节所提到的基本原则适用于大多数的内审工作。
不可能对每一类项目都作出细致的规定,内审人员应就个别项目制定该项目工作所需要做的具体工作计划方案。
6.执行审计
6.1制定审计方案
审计项目工作范围初步指出了审计的主要业务流程、系统以及需要注意的风险。
审计方案的目的是要更详细地列出在每个领域中所要进行的具体工作。
这可能需要更详细地考虑特定领域的风险,以确保审查工作重点是正确的。
审计方案应包括:
-收集信息和理解流程
-控制评估
-控制测试
除了确保达到审计目标,审计方案也提了:
-分配工作的基础
-工作完成的记录
-实际工作与计划之比较
审计方案注重测试重大风险的有效控制点。
对于无效的控制点,无需进行审计测试。
6.2收集信息
信息采集过程主要包括:
-了解整体的管治结构
-记录相关人员或团队的作用和责任
-对所审查的系统和流程进行文档记录(例如,流程图、系统说明等)
-了解管理层如何评估绩效
6.3控制的评估
一旦与管理层讨论并识别出风险之后,就需要识别出每个风险的控制点。
进行控制点评估时可以考虑以下问题:
-该控制点是用来防范风险的,还是辨识风险的?
-是人工控制,还是系统控制?
-控制点是否有效?
(如果只有这一个控制点能运作,它是否能缓解风险?
如果连同其他控制点一起是否能缓解风险?
)
需要进行穿行测试来确认对流程和控制点的认识。
这包括观察整个流程的运作,以及追查测试一笔完整的反映整个流程的交易。
6.4控制点的测试
现场测试包括了审阅管理层使用的汇结果,选择样本以进行详细的检查,以及采用计算机辅助审计技术。
测试技术
下表对不同的测试技术进行了汇说明
样本选择
有效审计,就是尽可能用少量的样本得到尽可能最大的保证。
必须在所选样本的基础上尽可能得出确的结论。
当发现控制失效时,应当进行更详细的测试,以确定该问题的程度和规模。
如果没有证据显示控制无效,则无需进一步测试,除非有存在其它问题的迹象。
[样本应当随机抽取。
]
样本的多少还取决于所审查的控制点是"
辨识性"
的,还是"
防范性"
的。
辨识性的控制是用来确定是否有问题发生。
这类控制是事后的,通常数量有限。
这种情况下,就有可能作全部测试。
而防范性的控制,如发票的审批,是用来在第一时间阻止问题的发生。
由于可能存在大量的发票,所以就需要选取少量样本来做测试。
进行测试时,必须确保得到充足和可靠的证据以核实控制的有效性。
如果测试显示控制并不如预期所想的样,则可以采取以下三个步骤:
•了解发生控制例外的性质(例如,是特例或个别例子还是重复发生的,失效的原因)
•延伸测试-核对例外的解释是否属实,或决定例外的影响有多大
•考虑是否存在其他控制可以弥补这一风险
分析性复核
•确立测试的目标
•设立并记录预期的结果,作为评估比较实际测试结果的基准
•进行数据分析
•评估结果-包括评估问题发生的原因,决定是否需要进一步调查,以及最终确定和记录结果。
计算机辅助审计技术(CAATs)
计算机辅助审计技术在测试大量交易或全部对象时十分有用。
采用该种技术时,需要事先做好计划,以确保数据处于可读取的格式。
计算机辅助审计技术包括比较实际与预期数据,以及提系统内审计的综合报告。
6.5记录工作发现
工作底稿是制作审计报告的基础,应当遵守认可标并保持专业性。
工作底稿应达到以下目的:
•记录已进行的工作和收集到的证据
•提所遇问题的详细情况
•呈现有条不紊的工作方法
•支持审计报告的结论和建
•便于审阅
•为下一次审计提背景介绍和参考资料
•便于与被审计单位进行讨论
工作底稿必须易读、清晰、简洁、客观,还应对工作底稿进行编号、附上日期、签名,工作底稿间相互参照、保持相关性,并且参照源头文件。
透过工作底稿,要能使之前不了解所审领域的审计人员也能得出与实际审计人员一样的相同结论。
审计人员应当清楚了解所有内审文件都可能会受外部审计师查阅。
6.6起草报告要点
将审计问题转成报告草案要点的过程应融入于整个审计过程中,而不只是停留在审阅工作的最后阶段才草拟。
所提出的每一个审计问题都应具备:
•基于事实的对审计问题的陈述
•审计问题的后果
•审计人员的初步建议
•管理层对审计问题及建议的回复
•整改负责人
•完成整改的期限
在审计过程中,当发现审计问题时,即当起草"
审计发现和影响"
以及相对应的"
建议"
,并与管理层进行讨论。
还应在审计文档中记录下具体的同意日期以及同意人名字。
6.7管理层审阅审计工作
在结束现场工作后、出具报告草案之前,审计经理应当对审计工作进行全面的审阅。
如有问题需要跟进,则可以在出具报告前进行。
若审计经理能在整个审计进行的过程中保持及时的审阅则更为理想;
这样可以避免一直等到正式审阅后才发现重大问题需要作重新或追加审计。
当审计结论为"
控制不佳"
时,内审主管需要审阅全部审计文档,且需要在出具报告草案前完成。
对于其他审计结论的项目,内审主管也可抽样审阅部分,以此作为内审部门质量保证过程的一部分。
6.8完成现场工作
向管理层出具报告草案,被视为现场工作的完成。
到此阶段,应完成对每个审计发现都有提出建并得到管理层回复,完成报告摘要,以及同管理层召开过闭幕会讨论报告。
审计管理层还应完成对审计文档、审计发现及报告草案的审阅。
理论上讲,从报告草案到最后定稿的变动应该不多。
因此在日程表上,从召开闭幕会讨论报告到出具报告正稿,只安排了[5]个工作日的时间。
6.9其他工作
审计项目的基本原则同样适用于内审部门所开展的其他类型工作。
尤其是,对工作要清楚地加以规划和理解;
要做适当的文字存档;
审计经理要审阅工作,任何问题要恰当报告。
6.10专项审计
专项审计分两个主要阶段,初步健康检查和详细的项目审查。
6.11合同审计
积极主动地管理与重要的或战略性应商之间的关系是至关重要的。
只有当合同管理
部门具备充足的应链管理技能时,公司才可能提高与应伙伴合作所带来的价值。
7.报告及其他形式工作成果
7.1对审计问题的评价
(1)审计报告述需对所发现的重大审计发现进行汇;
(2)重大审计发现的数量将有助于决定报告的结论。
在决定某一审计问题的重大性时,审计人员应当考虑该问题的财务后果、对企业声誉或技术所产生的影响。
7.2审计报告
给管理层和其他重要接收者的报告被称为"
审计报告正稿"
。
在出具审计报告正稿前,需要经审计经理和审计主管审阅。
报告会以摘要形式,作为机密文件的一部分呈交给审计委员会。
只有经过内审主管明确的书面批,方可将报告副本发给分配名单以外的人员。
审计报告应由负责执行项目的项目经理发出,报告首页应印有内审主管的名字。
有必要在审计报告中给出结论的,可选的结论有:
"
控制有效"
没有发现审计问题或只是几个小问题。
只有在特殊情况下才会给出这种结论。
而最
常用的正面评论则是
控制适当"
控制系统整体有效,但仍可以略作加强
有待改进"
控制系统没有有效地运作,需要采取行动来适当地加以改进
存在重大的可能性会造成会计或其他控制崩溃,需要立刻引起关注
所有报告要发给:
•被审计单位的负责人
•公司董事会
•审计委员会
•首席执行官
•首席财务官
报告的其他接收者要视具体审计范围而定。
报告编号应按XX/YY的格式来编排。
XX代表项目流水号(在规划调度阶段派发的);
YY代表审计年份。
最终的审计报告则加上后缀"
F"
,代表定稿。
7.3闭幕会
闭幕会的目的是要就审计报告草案的内容与管理层达成共识,告知管理层下一步审计工作安排。
审计报告草案应在结束会后5个工作天内发出。
管理层则有5个工作天的时间在发表审计报告正稿前对修改草案给出意见。
除执行现场工作的审计人员外,审计经理最好也能在场参加闭幕会。
[若报告结论为"
,则内审主管也应参加闭幕会。
作为最低指引,落实每个审计发现行动计划的最终责任人应被邀请参加结束会。
7.4其他形式的工作成果
当内审希望引起管理层对某一问题的关注,但又不适宜出具正式的审计报告时,可采用审计咨询说明。
所有此类说明都须经过内审主管的审阅和签字。
内审所开展的其他类型工作的工作成果可能是多样的。
可以是口头形式的,例如审计人员参加并指导小组会。
当内审的改进建没有被落实时,则有必要出具书面报告。
重要的是,审计人员要记录下他们对整个流程所作出的贡献,例如以档案说明的形式。
这也能向其他部门提证据显示出内审部门在管理风险方面所作出的贡献。
7.5向审计委员会提交内部审计报告
每半年及每年年底,内审主管要向审计委员会提公司的内审工作报告。
在一年内内审的范围不可能涉及企业的每一方面,因此要清楚地阐述已经开展的工作并明确给出得出审计结论的基础,这是十分重要的。
内审主管还会在年内向审计委员会提交报告,概述部门所开展的工作及发现的主要审计问题。
此类报告没有特定形式。
提交给审计委员会的书面报告应被视为机密文件,需考虑保密性。
内部审计报告是需向管理层指出所发现的薄弱领域,提出改进建,记录下管理层对于整改建的答复。
而六个月(或经过其他商定的适当期限)后,内审部亦需向审计委员会汇报有关审计报告所指的各项重大发现的整改落实情况和进度。
8.跟进审计
8.1跟进工作的原则
所有审计跟进工作不得迟于出具审计报告正稿的六个月后展开。
内审的职责之一就是要核实管理层是否对审计问题采取了适当的改进行动。
跟进审计可以提前展开,尤其是对于些需要立刻解决的审计问题。
实际的改进行动可能不同于当初在报告中所同意的。
如果审计人员认为其达到的效果是一致的,即风险被有效控制住的话,这样的改进行动是可以接受的。
跟进审计应当由适合的审计经理来完成。
主要原因是:
•可以为审计提新的观点;
•可以获得对审计流程的反馈意见。
8.2开展跟进审计
第一步是要在开展跟进审计前约[1]个月通知主要的被审计单位的人员。
然后,应安排一个会,讨论如何开展跟进审计以及了解报告中各审计问题的整改进度。
对已采取了改进行动的,需要核实:
•是否的确如描述样的采取了改进行动;
•改进行动是否有效地缓解了风险
这可能需要审计人员对控制做进一步的测试。
审计人员应自行判断以决定是否需要测试以及需要进行哪些测试。
对于没有采取改进行动的问题,需要了解其原因(例如风险可能不再存在)。
如果风险依旧存在,则需要对此作出汇报。
8.3汇报审计发现
跟进审计的工作结果是另一份审计报告。
其主要目的是向高级管理层汇报原审计报告正稿中所发现的问题都已得到了适当的处理。
对仍未解决的问题,要给出将对其进行整改的商定日期。
之后则由海尔管理层负责通知内审部门他们何时完成了对审计问题的整改。
内审必须明确地告知审计委员会哪些问题在报告中提出,而没有在商定的期限内妥善得以解决的。
不对审计报告采取行动是一个严重的审计问题。
8.4主要绩效指标
作为内审部门整体绩效管理流程的一部分,需要对一些主要绩效指标进行记录、监督和汇报。
这包括:
报告数据库
报告数据库的目的是要保存和跟踪审计工作及相应的报告,确保对审计问题采取了适当的改进行动。
在制定审计项目工作范围阶段,就应在数据库中记录下审计工作的详细情况。
审计负责人员应当在第一时间将商定的重要审计日期输入进数据库。
部门管理员负责保证数据库及时得到更新。
内审主管定期向审计委员会汇报内审报告的最新进展情况。
9.内部审计部行政管理
9.1存档
基于以下原因,需要对文件进行存档:
•为所展开的工作和得出的结论提明确的证据
•为借鉴以往经验、不断改进工作质量提基础
•随时提信息来源以整体协助业务发展
要求对每一项工作(无论是审计、咨询类项目、还是一次性咨询或协助)都应当进行文字记录和存档。
印刷版文档(而非电子文档)则作为"
定稿"
审计文档应至少包括:
•审计进度报告
•审计项目工作范围
•规划文件
•系统/流程说明
•所有会(尤其是开始和结束会)的会记录
•审计方案
•记录所有测试、访谈等的工作底稿
•审计报告草案(包含讨论的问题清单)
•审计报告正稿(一旦出具审计报告正稿,可将报告草案从文档中去除)
内审部门的一个主要的绩效指标就是对工作进度的记录和汇报。
为协助达到此目标,审计进度和报告追踪表应放置于审计文档的最前面,列出所有的审计步骤。
此外,也需要详细记录所有后续跟进电话或电子邮件的内容,以及造成任何审计进度延误的原因。
内审部门也会维护一个永久档案,以保留些可能时常被使用或参考的文件,例如年报、组织结构图、部门的职权范围等。
9.2时间记录
对于海尔自己的永久职员或外借来的审计人员,在时间记录上的具体要求会有所不同。
一贯的原则是,需要获取相关的信息来了解在项目上实际所花的时间来与预算作比较。
这样将有助于不断地改进项目管理的质量。
9.3电子文档
所有重要的审计或其他工作文件都应在部门的服务器上存有电子版本。
9.4绩效管理
每过[六]个月应对每一位内审人员进行一次表现评估。
每次项目完成后,审计经理可以组织一次工作小结会(若项目很短且直接,则不需要)。
工作小结应当以审计员的自我评估为基础,可以考虑项目中哪些地方做得比较好,哪些需要改进,以及部门作为一个整体从项目中汲取了什么样的教训。
随后应记录下审计经理的评语。
如果有任何客户反馈意见,也应包括在此部分中。
9.5知识管理
知识管理是指内审部门用以确保在本部门及公司内部获取及推广最佳做法的原则和流程。
还应考虑以下问题,如科技的运用、存档的最佳方法以及如何分享信息等。
9.6被审计单位的反馈
为了不断改进工作质量,内审部门要从其进行审计项目的被审计单位身上寻求反馈意见。
在项目完成以及出具了审计报告后,应当将被审计单位反馈表发给主要的被审计人员。
并要求被审计单位人员在[4]周内提其反馈意见。
9.7部门会
内审经理和内审主管每两周进行进度汇报会,分享关于公司的体信息以及内审的特别问题。
定期召开部门会。
目的是要确保部门的每一个成员都清楚了解会影响到他们的所有问题,也是提一个让大家探讨与部门相关话题的机会和场所。
会程应至少在会召开前[两]天发出,商定的行动应于会召开[3]日内发表。
附录
A.主要的审计文件样本
A.1审计项目计划表-框架(样本)
A.2审计范围说明-框架(样本)
1.介绍
向被审计单位介绍该审计项目是按照内部审计章程执行的,并已得到审计委员会的核准。
(一般的审计项目都包括在年度审计计划中。
2.审计目的
简介审计目的:
•例:
合规审计-确保销售流程符合公司定下的〈销售程序守则〉
3.审计范围及需提供的资料
本次审计的目的是确保销售流程符合公司定下的〈销售程序守则〉,为此[被审计单位]需提以下的资料:
-销售流程图及说明
-SAP销售系统及说明
-销售合同
-出库文档(出库单、等)
-销售政策
-定价政策
-其他相关的资料。
4.审计时间
审计的现场工作将于1月30日开展,预计于2月28日结束。
5.人员安排
项目小组负责人为李先生。
XXX和YYY将会协助李先生。
6.资源的安排
我们希望在1月30日和贵管理层开启动会,以便讲解我们这次审计的目的。
(此外,通过启动会的沟通,双方可就审计项目的资源安排,包括人员的配合和有关资料的提作深入的沟通及有效的安排,以便审计项目的顺利进行。
7.汇报
必须说明汇报渠道,和管理层必须在审计报告发出后的xx天内回应报告里的问题发现。
8.责任说明
说明管理层的责任。
例如执行改进内控建、提所有需要的资源/资料等。
A.3审计项目详细计划(样本)
A.7报告阶段:
审计报告-框架(样本)
公司/部门名称/项目名称
审计总述
-审计目的
-审计发现问题汇
被审计单位背景/资料
-单位负责人
-被审计单位于审计期间的主要变动和发展
-被审计流程的简介
审计目的与工作范围
-对被审计单位就上次审计报告所提及事项的跟进汇报
-审计覆盖的时间
审计方法
-被测试控制数
-控制设计评估
-抽样方法
-样本数量
审计发现及其潜在的风险
#
审计发现
风险及影响
改善建议
管理层的回应
负责单位
跟进和执行时间表
1
2
A.8报告阶段:
闭幕会议
闭幕会议内容
•简介会的目的
•简单介绍审计目的、审计范围
•审计结果,包括:
负责跟进人员的资料
•跟进审计
B.内部审计部门架构
C.内部审计章程
本章程说明内部审计职能的使命、与独立性和客观性、工作范围职责、权限、任务、以及须遵守的准则。
使命
内部审计的使命,是通过其独立、客观的工作,并提出最佳方案,来确保企业得以最有效地运作。
通过其有系统的工作方法,内部审计将对企业的风险管理、内部控制、以及管理流程的有效性进行评估并提出改善建议,从而帮助企业达到目标。
独立性和客观性
为确保独立性,内部审计直接对由董事会任命的审计委员会负责。
另外,内部审计定期向公司[主席及首席执行官]汇报工作。
为保持客观性,内部审计并不参与日常的内控流程。
企业内部每一个部门都需对其拥有的内控流程及其有效性负责。
工作范围及职责
内部审计的工作范围包括审阅企业的风险管