2015年3月内审实务群刊

内审内控知识分享群 2015 年内审实务群刊 电子期刊 2015 年 3 月 内审同仁问答 新人入门 特别企划 内控审核发票么/审计 后续追踪的关注重点 内审人员的自我保护/ 商场积分案例探讨/房 地产舞弊案例 底稿妹与表哥的故事/ 工程审计/OA 系统审计 蜀黍改报告 废旧物资处置报告 内审本质上是老板期望的产物，它的价值及活动范围取决于老 板对内审的定位与期望。内审不是警察，也不是法官，我们仅仅只 是建议的提供和相关信息的披露，以及老板关注事项的跟踪者。 -老沈语录 内审同仁问答 这是一个答疑、解惑、交流的平台， Q: 有什么工作上的疑问都可以举手哦？ A: Q:财务转行内审能找啥待遇的？ 会计高级职称，做了 5 年上市公司的财务经理，具体工作内容：审核凭证、 内外报表、项目申报及验收、预算编制及管理、税务申报与办理，以上这些技 能想改行做审计能找到什么待遇的工作，请各位帮忙看一下？ A：按照市场行情，大概 10 多万吧。审计和财务不是一个路子，思维也不同。 财务经理做审计没有优势，而且做了这么久的财务，思维已经会有一点定势， 继续做财务比较省心。两者的发展空间也不同，不要抱着所谓的专业不放。 Q:如何查香港公司的注册信息？ 我们在做采购和销售审计，有些公司的香港的，我们想知道香港的公司如 何查公司的注册信息么，我们就怕合作的是皮包公司，到时候给公司带来风险。 A：查国内注册的公司可以通过全国企业信用信息公示系统 （/） ，查香港注册公司的信息可以通过下面这个网址 （.hk/csci/） ，需要将公司名称转为繁体中文, 具体 的查询页面如下: 小职员 2010 内审同仁 Q:如何查业务员的银行流水？ 我们想查是否有人员收取了贿赂或者索要回扣，请问通过何种方式可以获 取相关人员的银行流水？ A：这已经超过常规审计项目了哦，属于监察的范畴了。如果是正规的方式， 那么就需要立案，之后在侦破阶段根据需要开具介绍信到银行调取人员的银行 往来，然后在移交检察院提起公诉的时候当作证据。如果不明，也可以继续查， 检察院不能直接查，而是让经侦去查。 如果是通过个人关系，比如请社会上的调查公司，这种方法本身就是违法 了的。当然，有些公司的审计部也比较奇葩，比如双汇的审计部，他们会要求 客户自己出具近 3 个月的通话清单，自己到电信局打印，目的是看客户与公司 的那个高管联系的频繁，如果拒绝，则让当地办事处压客户去做。 （存在即合理， 老板认同这种做法也行。 ） Q:审计人员如何安排？ 我们部门是新成立的，部长现在打算把我们安排为各种不同项目的审计人 员，比如采购审计、销售审计、财务审计，我的困惑是到底是按照审计项目成 立审计小组好，还是每个人负责一块的好？ A： 对于刚成立的审计部，而且招聘的都是新手的话，还是推荐成立审计小组， 以保证项目实施的质量。刚成立的部门还是以出绩效为主，而不是单纯的靠审 计项目的数量来博眼球。在一些项目上，容易出现人手不够，负责该项目的审 计并不擅长此类审计等等问题，成立审计小组可以进行项目讨论弥补人员技能 不足。 Q:审计发现如何撰写？ 审计发现如何撰写？审计中没有问题发现该如何交差？ A：审计中无问题发现，可以访谈与审计项目相关的人员，谈谈日常工作中的 难处，这些也可以作为审计发现，有时效果不错。倒不是贬低审计人员水平低 下，在大多数的情况下，哪里有问题，业务部门比你清楚得很。 当然真的没发现，你就和你的领导报告你查核的思维和方向，查了什么， 做了哪些工作，最后没有问题。一定要指明在你的查核范围内无发现。 有些情况下，会出现刚刚审计完，就出现舞弊的情况，这与审计人员对审 计数据的判断以及人员是否细入沟通相关。作为项目主审确认项目成员的工作 底稿。 Q:内控需要审核报销么？ 我是企业里面的内控，现在公司的什么报销都要找我签字，不知道你们是 不是这样？我觉得这不是我的工作，可是领导让我审核，认为财务是最终核算。 大伙说说内控主要是做什么工作的？现在公司制度都是我写的，我感觉现在做 的超过内控职责的范围了。我们有内控部和内审部，但是中间有些问题真不知 道区分到底是谁的工作？比如部门不符合内控流程，这个处罚权是审计还在内 控？比如由于没有按照流程走，导致公司损失。 A： 你这个问题要分好几块，确实内控比较难做，关键是事前防控这种，本身 就不太被认可，老板看不到效益。 第一块，内控是否参与到实际业务，答案是否定的。自己做，自己审，出 问题，责任是谁的？ 第二块，内控是做什么的，内控是梳理以及优化流程，通过培训提高部门 人员的内控意识，通过内控审计规范日常流程中的不合规现象。 第三块，至于处罚权其实是管理层的，如果管理层把处罚权下放给审计部 或者内控部，建议内控部与内审部部门负责人探讨一下处理的方式。 Q:审计后续追踪有什么需要特别关注的？ 我们的审计后续追踪现场和远程的都有，不知道有什么需要特别关注的？ A： 审计后续追踪涉及到问题的整改有效性，分现场和非现场。 对于非现场而言，我们要求财务问题则提供凭证号，审计人员自己到财务 系统中核实。运营的问题，仓库的、生产现场的则要求提供现场整改的照片。 如果是涉及到个人舞弊的，则需要提供处罚的决定。涉及到权限审批的，则要 求提供重新审批的单据。 现场追踪则会关注两块，一块是已经整改实际未整改，一块是实际已经整 改，但是后期又出问题。对于第一块，则需要与回复部门了解是什么情况。对 于第二块，则需要进一步审计或者分析，是否有其他因素导致了此类审计发现 的再次发生。 在每个与的管理层会议上，审计部会将本月的重要审计发现，以及以往各 期的审计整改的情况进行汇报。 Q:财务内控岗如何出绩效？ 现在的公司财务部太注重效率，业务人员说什么就是什么，但是现在要招 人做财务内控，我觉得不知道怎样在这种偏好下做出成绩。 A：公司还是需要以业务为中心为重点的，内控最好不要碰，特别是民营企业。 内控做好了被业务和财务骂，做不好自己滚蛋。国内的审计还是处在查人办案 子的阶段，不要轻易搞内控。 Q：匿名举报信如何看待？ 事情缘起于一个朋友，她在一个美资公司任内审经理，最近因为是否接受 匿名举报的事跟她们 COO 进行“讨论”中。她认为匿名举报应该认真对待处理， 必要的话进行进一步调查。COO 认为匿名举报应该一概不受理，还说国外上市 公司都是这样。她问我时我倒是一愣，因为我已经认为这是理所当然接受的事 情。 在我们公司，有专门的电子邮件地址，手机电话，有专人（目前是本人） 负责接受举报，不管是不是匿名，我们都会登记备案。举报内容在经过分析后， 我们会决定是否进一步调查。大家所在公司是如何处理举报的呢？有专门的渠 道收集并处理匿名举报吗？。 A：匿名举报和 实名举报都应接收，但是在处理的优先级上，需要以实名举报 为先。下面谈谈对于举报信如何处理： 收到举报信息：在 2 月 9 日收到您转给我们的举报的当天即成立了内部调 查小组。 组长是 xx， xx 集团的审计副总裁，目前内部审计正在进行调查， 到现在为止，还没有找到举报的索贿的证据。 回复举报信：调查小组组长，亚太区审计副总已经按照您转发的举报邮件 的地址发了两封邮件给举报人，要求其提供支持其举报的细节或证据以便 xx 能 有的放矢地进行调查。但是到现在为止我们还没有得到任何回复。我们将在 2 周后继续发送另外的邮件跟进。 内审人员的自我保护 审计人员 A：最近倒霉死了，在导账的时候丢了 U 盾的一个塑料小盖子， 现在财务部的人让我赔押金。 审计人员 B：你这还是小事，我的某同事去盘车，出于好奇，拉了一下车 门，结果把旁边的宾利给撞了。据说那边的老板要求审计赔，后来内部处理了。 在一些私下的内审聚会中，常常会听到一些内审新人讲一些腿上莫名中了 一箭的故事。 确实，在新人进来之后，我们往往要求其按照事先拟定的程序按部就班来 作业，但是唯一的缺点是不会提到什么例外的情况。就像我们写审计手册，往 往只会讲述审计程序以及审计可能的重要发现，而不会另外加一列“审计风险 提示” 。 刚做内审的时候，我觉得八卦浪费时间，后来我发现，八卦 也能丰富我的视野，虽然这种快乐是建立在别人的绯闻上。 -内审经理 Nancy 这可能与带队的项目主审也有关系，因为在他的潜意识里，审计程序都是 很简单的，让新人干的也是非常简单的活，不需要额外提示一些东西。这么简 单的东西，我没必要亲自教。 下面我们谈谈审计新人如何保护自己。 自我保护的需要做的第一条就是善待他人，嘴巴甜一点，又不会和丢面子 有关。锋芒毕露、自负以及轻率是导致人际关系差的主要因素。人际关系差， 这样一旦出现事情，就没人帮你说话。 在现场开展工作时需要注意什么？ 具体讲起来有三条：不轻信、不主动、不教条。 不轻信，就是只要不是自己动手分析或者获取的报表数据，都要进行核实。 比如会计给的其他应收款的明细账，就需要问问是不是全部都在上面的了，有 没有 2 年、3 年的工伤赔偿、房屋押金之类的没有列在上面。倒不是被审计单 位刻意掩饰某种舞弊，可能在发审计通知书（含所需资料清单）的时候，被审 计单位存在误解，认为给 1 年以内的就可以了。比如采购审计，报价单都是每 个月都给的么？其实不是，可能采购是电话询价，给你的报价单是他自己复印 的。 不主动，不是自己需要亲手干活的，就让被审计单位去完成，比如盘点工 作，你只需要监督，就是在旁边看着就行。某内审盘点企划的物品，让企划人 员当面打开 30 台未开封的数码相机。之后企划经理投诉审计部，声称这些相机 拆封后，无法再赠送给客户，要求审计人员赔偿。 不教条，很多审计程序是前人写的，可能在他的那些情况下，确实是应该 如此做。很多网上的审计程序都是外审的，有些是在没有上 ERP 或者 OA 系统的 环境下开展的审计。其实并不适用于内审，内审搞再多的测试也没用。老板不 是花钱请你来做实验的。 部门负责人如何培养新人 年初的时候，领导招了个 90 后新人，说是充实审计部的阵容。新人进来之 后就随手扔给我，让我带带新人。我知道这是领导对我的信任，可是没想 到 说是在事务所干了 1 年多的外审，却连基本的现金盘点都不会，这还怎么 对差异。沟通也不行，居然还问我如何编制银行调节表。晚上我干活，他玩手 机，一点也不虚心，感觉是给我招了个领导，天天监督我。 新人刚来，有一些异常的情况也难免，我也是从新人过来的，也有体会。 只要多看公司的文件、制度，了解公司的业务流程、管理规范。我把公司近两 年的审计报告也给他了，也不说多学习一下，看看怎么查问题。另外，我们有 审计部刚成立时，老板只看重我交什么给他，现在老板需 要知道我怎么做。 -老沈语录 审计操作指引，每个项目怎么弄，都写得很清楚，也不去学。 因为也接触过不少年代的内审吧，有一些感受如下： 1、60、70 后：目前都是领导级别了，但是不肯教下属，生怕下属学到东 西，影响了自己的部门地位。对于他们，只要尊重他们，基本还是能有共同话 题的。 2、80 后：思想比较独立，有自己想法，有些自大。 3、90 后：他们的某些想法，我无法理解。 我好歹也是个 80 后，对于这个 90 后，我想也不能当面拿权力压一下，不 知道啥时候被告黑状都不清楚。这种事情即使后面被查实不是我个人问题，也 会被落下话题。 我打算先去打听打听，新人的背景，与公司领导的关系。说不定就是公子 哥，来审计部学习学习的。这样，我得把他当爹供起来。平时自己多干点活， 反正人家是来学习，我先拍拍马屁，说不定将来就成为自己的领导了，自己还 能有靠山。让他上上淘宝、泡泡茶、扯扯淡，尽量伺候好。领导评价如何，则 大夸“天降伟人”等等。自己再顺水推舟，让给其他人带。 如果没什么背景，先做一下自我检讨，可能确实是自己讲的太粗了，新人 没把握住。因为每个人的悟性不一样，因为内审不像财务工作，是一个固化的 程序，只要做一遍就能掌握，而内审除了掌握已有的东西，还需要灵活应付人 事关系以及各种意外情况。这些并不是什么外审的合规审计能比拟的。 我可能需要再详细介绍一次，然后让他复述一下，是否理解。每天检查他 做的东西，对于差异部分进行讲解。动之以情，晓之以理吧。 如果真的没办法站在一条线上还是如实和领导汇报吧。毕竟存在试用期， 无论如何也不能让一只苍蝇坏了一锅汤。 商业地产审计案例 这是我们的一个项目，04 年开发的，然后一直没有实现销售，近几年只安 排一人在留守管理。2014 年出租情况如下表： 刚做审计总监的时候，我以为自己什么都能，后来才发现要学习 的东西很多，如果不熟悉某种审计，就无法取信下属，下属的报告到 底写得如何都不懂。做领导首先要懂业务，不然就是传话筒。 -老沈语录 现在公司有变动，重新派团队过去管理，前天刚到后这个留守的人员昨天 打报告离职。合同中约定的减让面积没有审批，超出的面积更没有审批，借用 也一样。如果合同上减让就认了，超出合同减让而无偿使用的面积呢，也没有。 那个租金里包含了物业费。电费部分也是通过他个人账户交的。先人家现 金，然后再交到公司账户上来。 关于这个案例，当然第一条就是禁止相关人员离职，因为可能涉及到收贿 以及输送公司利益。 房屋出租的审计，除了现场盘点，核实出租的房屋面积和优惠之外，还需 要关注临时搭建的出租、本来是公司使用的后来转为库房出租等等。出租的房 屋的价格，则需要审计人员做一个市场的价格调查。 另外还涉及到水电费的审计和物业维修费等，因为涉及到要去收，有时会 有一些莫名其妙的服务费，而这些费用这落入了收费人员的口袋。 相关案例：地产案例 某商场的席位内有风机，因噪音过大，该位置为空置区域。审计人员进行 盘点时，发现里面有商家正常营业。与楼管沟通，该席位由于空置，就免费给 右边的商家（A）使用。 而明显该位置的商家（B）与右边的商家不同，经了解该免费的席位被右边 的商家以 3500 一个月的价格转租给 B。 商场积分案例的探讨 我们审计部接到举报，称楼层经理与外面的黄牛勾结。 由于未做过类似审计，我们预想的审计方案是：获取积分卡申请表，并与申 请人取得联系；从积分卡导出 1500 万购买信息做数据分析，分析包括付款方式、 开票抬头、出库信息、购买物品类别；调阅视频监控等。 由于持卡人登记的信息正常，无法证明这个卡持有人与公司内部人员有关。 从会员积分系统中查到商场有一个个人客户一年买进 1500 万的商品，而对 应的交易金额给十几个公司开增值税专用发票。 我们的怀疑：内部人员、专业做单位买卖的人员、给企业买发票的。 进一步了解，发现客户所购买的商品就是交易折扣一般就是商场活动价， 没有特别的价格。付款方式有支票、有个人刷卡含信用卡，现金很少，个人大 金额刷卡不是很理解。我们商场的会员积分是 1 块钱一个积分，一个积分 2 分 钱，也就是 100 积分 2 块钱，1500 万就是 30 万块。 买发票是肯定的，但是货去哪里了？货是分批出去的，也有单个出去的， 有五件一批的。五件一批是商场活动价，是短期最低的，有个别是正常价。 对于造成这么多积分的原因，我们也进行了分析：主要是部分散客不要开 票，现金交易，不经过商场，然后价格比正常价低、有没有可能是企业和商场 人员联合利用这种可能性买票。对方可能拦截现金客户。然后现金通过对方公 司交到商场，也就是买，然后开票。 对于这种情况，可以装成客户去买东西，然后说不要开票，是否可以便宜。 或者比较那段时间的活动和他的购买价格，是否一致。但是不足以说明问题。 小职员点评： 对于这个案例需要分析如下： 1、了解会员卡的申请办理时间，了解积分是否被兑换，兑换了哪些物品。 这个申请人的个人信息会存在虚假。 2、能够将分数刷成 1500 万，那么这个会员卡一定是在收银员这边，不可能， 每次都是需要出去刷的。 3、对于开增值税，一般都是需要个人提供单位的营业执照，开票人员是根 据什么情况，给开出去了这么多增值税专用发票。 相关案例：超市虚假积分案例 在进行收银审计的时候，审计人员发现只要是顾客未带会员卡，收银员会 从收银机旁的 5 张会员卡进行代刷，而不是输入默认的“999999”这个账户。 一开始审计人员怀疑是收银员利用自己的会员卡进行积分。但是从每个收 银员的情况来看，每个收银员都在这么做，就怀疑是窝案。就直接询问收银员 对于这种卡的使用目的，收银员称不是自己的。 审计人员与资讯以及收银主管核实，进一步确认，这笔卡的目的是用于保 证新店的会员卡占有率。声称当月月底的时候，会删除相应的积分，但是实际 情况是，这些会员卡的积分到审计时，并未删除。 底稿妹与表哥的故事 本文作者： Iamwhj，视野网友，目前为江苏南京某制造企业内审经理，本文原题目为 底稿微泛黄，英雄已白头 。 夜读 Norman Marks 的新书World-Class Internal Audit ，里面有篇故 事提到他刚做审计时带队一个项目，底稿做得很好，却被合伙人批评了。因为 相对于审计目标而言，底稿做得太好了，不值得花这么多时间和人力，是浪费。 在文中，Norman 根据他数十年的内审经验列出了他认为底稿不需要太过认真的 理由（相对于外部审计而言） 。 （我摘录了部分附在文末） 看完后我狠狠地点了几下头。深以为然。深以为然！同时，又不禁想起两 个故事。 第一个是某女的故事，我们暂且叫她底稿妹吧。 底稿妹毕业后在一家本土事务所工作过几年，后跳槽改行做内审。一开始， 大家发现底稿妹做项目效率很高，下到子公司做项目，同样的任务别人需要两 周的外勤时间，底稿妹一周不到就能搞定，然后剩余的时间还能上天涯的莲蓬 鬼话，各种鬼故事看得如痴如醉，或者上大众点评，帮大家研究出差地所在城 市都有哪些特色美食。底稿妹的底稿做得更是好，工整、详细、无可挑剔，虽 然鲜有发现问题和提出建议，但复核底稿也没发现什么异常，对各种问题也是 对答如流。 后来发现真相是这样的：对底稿妹而言，审计就是填底稿，审计目标不重 要，风险也不重要，把底稿填好填完美让复核的项目经理没法出 Q 或者出的 Q 很少就是最大的目标。所抽的样本把相关数据填进底稿就可以了，至于样本是 否有问题，那纯粹取决于天涯上所追的那些鬼故事作者有没有更新，如果有了 更新，那么 30 个样本也好 60 个样本也罢，底稿妹可以在半小时内把这个点的 测试底稿搞定，然后又进入神鬼世界遨游了。 底稿妹信口胡邹的本领也高，项目经理复核时出的 Q，她能根据自己的想 象去回答。 “是的，我确认过了，他们有这个控制” ，她脸不红心不跳的面对提 问，而实际上，她根本就没跟相关负责人核实。 底稿妹最后被开除了，因为屡次发现她所负责的 Cycle 应该发现的问题没 有发现，而负责其他 Cycle 的同事却从关联处发现了。 （比如她负责存货审计， 底稿上写着审计期间没有超过 10 万人民币以上的报废，而作合并报表审计的同 事却从账务上发现审计期间公司在某月处理了 500 多万的存货报废，后来发现 她根本就没有查阅相关帐目并询问仓库）靠填底稿干活是无法长久的，不管底 稿填的多么好。 第二个是某男的故事，是审计总监，就叫底稿总吧。底稿总是公司年薪百 万从某知名上市公司挖过来的，也是公司历史上在中国区第一次任命大陆人做 审计总监，堪称里程碑。可惜后来事实证明这个里程碑是纸糊的。 国内搞内审和风控的江湖术士很多，靠一张嘴讲讲 COSO 模型和舞弊三角理 论也能混个百万年薪，实际上肚子里没有半两干货。举得牌子动不动就是“中 国内控第一人”之类的。算了，这是题外话。 且说底稿总，新官上任就烧火，第一把就是要“完善和规范底稿” ，之前的 底稿属于简单实用型，Excel 的，第一列是某个 Cycle 的或者审计前事先讨论 好的主要风险点，第二列记录各相应风险点审计程序和方法，第三列是审计发 现和结论，第四列是备注。这种底稿模板可以根据需要或详或略，使用简单， 易懂易读。 某总认为太粗放了，很不正规，要求每个风险点都要单独一张 excel tab，按规定格式写清楚风险点的描述，发生地点，频率，总体大小，样本量， 选择这么多样本量的理由，选择样本量的方法，等等一大堆。有搞过 SOX 的同 事一看就叫，这就是搞 SOX 测试的那种底稿嘛。推行的结果，是现场审计时， 大家差不多三分之一到一半的时间忙于填底稿，专注的不再是风险、流程、目 标、成本效益了。准确的说，某总把外审做 SOX 测试的那一套完全照搬到所有 内部审计的项目了（不知道他是不是照抄的哪家四大的。底稿总工程出身，对 四大无比仰视，对出身于四大的手下却又极尽刁难。想想似乎有些变态） 。审计 质量的下滑，从每份审计报告的审计发现的数量和质量就可以看出来，可惜某 总专业能力也不行，质量下滑也不自知。最终混了两年后，天怒人怨，灰溜溜 走人。 总结一下，外审要做详细的底稿，主要是因为监管的要求以及防止未来卷 入各种麻烦的避险需要。对内审而言，底稿少有强制要求，可能更多的是满足 质量控制的复核需要。复核的方法很多，我甚至遇到过的高手，复核时不怎么 看底稿，更不喜欢在底稿上写一堆 Q，然后邮件来邮件去的反复。审计小组坐 下来，每人说一下自己的进展，项目经理有针对性的提问，或是大的方向，或 是小的细节，对组员的审计质量便大致了然于胸了。 （我发现凡是纠结于底稿要 写多细多完整用什么格式的，专业能力一般不咋地。高手总是举重若轻且有的 放矢？） 写这么多，不是说底稿不重要，而是对内部审计而言，特别是对由外审进 入内审行业的带有外审惯性思维的同行而言，需要在底稿服务整个审计目标过 程中，将其放到一个合适的平衡的位置。 人生短暂，时间宝贵，资源也总是太少。有限的时间和人力，还是少花点 在写底稿上吧。 （不过不是让你不写哦。Balance！） 附：Norman 关于底稿的观点 This experience led meto question the value of workpapers when I became a chief audit executive. While there is a clear need to document the work done as an external auditor(for protection in the event of litigation), the same need is not necessarily present for the internal auditor. The work of internal auditors is not reviewed by examiners or regulators, while external auditors work is The opnion of the internal auditors, with the exception of government and similar environments, is for internal use only Internal auditors are rarely sued, whereas the external auditors may be sued by investors who rely on their published audit opinion While the International Standards for the Professional Practice of internal auditing require that there be evidence to support the internal auditors assessment, they dont mandate working papers in the same way that external auditor standards do There is value in working papers: If findings are disputed, the working papers provide evidence in their support. However, the facts behind audit findings are not often disputed; the debate with management, if there is one, is usually how to interpret the findings and assess the risk they represent Working papers are necessary if litigation is anticipated, such as in the case of a fraud investigation. This points to a need for working papers for investigations, but not for all internal audits Working papers enable a manager or supervisor review. However, most internal audit departments document in more detail than required for a manager to confirm the audit was completed to an appropriate level of quality. I prefer to review an audit by talking to the audit team, not by reviewing working papers Sometimes, reliance is placed on internal audit work by the external auditors. In those cases, documentation to a level agreed with the external auditors is required Sometimes, regulators or examiners(such as in banking or insurance) review internal audit works as part of their examination of the company. Working papers to agreed-upon standards are necessary. The key is to find a balance between the value of an audit engagements working papers and the cost of creating them. (By the way, the cost of creating excessive working papers is not just the dollar cost of the staff and manager time. It is the opportunity cost: the opportunity to use those hours for another audit) 中文： 当我成为审计总监时，就一直在考虑审计底稿的价值。对于外部审计师而 言，工作中形成的底稿是很明确的需求（防止发生诉讼事件） ，而这并不适用于 内部审计工作。 与外部审计不同的是，内部审计人员的工作不是由审查机关或监管机构审 核 不同于与政府或者类似机构，内部审计师的意见只供内部使用 内部审计师很少被起诉，而外部审计师可能被那些依靠他们发布的审计意 见做决策的投资者起诉 而内部审计师根据专业实务的国际标准要求，去获取证据以支持他们的观 点，这与外部审计师对工作底稿的标准是不一样的。 审计底稿的价值在于： 如果审计发现是有争议的，审计底稿能提供证据支持。然而，在审计中， 关于审计发现的争议不是经常有；对于管理方面的争议，即使有，那也是如何 解释的审计发现以及评估事件的风险。 在舞弊调查中，如果涉及到诉讼，那么工作底稿是很有必要的。这仅仅针 对舞弊调查，但不包括所有的内部审计工作。 审计底稿使帮助经理或主管完成复核。然而，大多数的内部审计部门的文 件比一个经理确认审核所需的完成质量适当的水平会更详细。评价一个审计项 目，我更喜欢通过团队，而不是审计底稿。 有时，外部审计师需要依赖内部审计的工作。在这些情况下，对审计底稿 的要求就需要与外部审计师的要求相一致。 有时，审查机关或监管机构（如银行或保险）将审查内部审计的工作作为 他们对公司的审核部分。复核商定的标准的工作底稿是有必要的。 关键是要找到一个审计底稿提供的价值和编制底稿耗费的精力之间的平衡 点。 （顺便说一下，创建过多的工作底稿成本不仅仅是员工的成本和管理时间。 这是机会成本，利用填制底稿的时间再做一些审计） 小职员点评： 正如我们在 2 月的群刊所提到了，很多审计负责人，他不明白或者不理解 企业招聘内审的需求在哪里。对于审计项目，他们不追求质量只追求表面的东 西。 1.对于项目质量：比如需要填制审计日志，在审计日志中需要事无巨细注 明检查了什么，检查了哪些东西，名称分别是什么，便于其复核审计人员的业 绩。只关注短平快做完项目，而不是做好项目。 2.对于审计重点：审计重点往往是注意一致性、完整性、合规、合法性。 没事就提什么设计有效性、运营有效性这种假大空的东西。他们不明白老板对 于 “一致性、完整性、合规、合法性” ，更关注资金安全、税务等的安全。 3. 对于审计的数据：要么是抽样，要么是全查，其实方向完全反了。很多 审计发现需要从细节中去发现，就像做薪酬审计，那么你要做的就是一个个重 新计算，而不是搞一套“人力资源规划”的战略分析。 4.对于审计报告的控制：将大量未经分析的数据做成表格贴在报告中，或 者将审计程序也列在审计报告中，以此申明审计人员确实干活了，虽然没功劳 也有苦劳。 一个实务经验丰富的内审，他有两个特点，非常熟悉公司的 业务和善于思考问题的脑子。 -老沈语录 OA 系统审计（自我修养之 IT 审计） 一提起信息系统审计，不少内审人士会提到 IT 战略与架构、密码策略、机 房安全、数据备份以及账户权限管理等审计内容。然后这些在内审的实务中是 远远不够的。 其实信息系统包含很多内容，大的比如我们常见的 ERP 软件，比如用友、 SAP，小的软件比如 OA 系统。 通常，我们将信息系统审计可以分为两部分，一部分叫一般安全审计，就 是大家都津津乐道的审计内容，不管你是外审还是内审，只需要对着审计程序 问“是不是” ， “有没有”就行了。另外一部分叫应用安全审计，就是系统本身 好不好用，包含系统的输入、处理以及输出。 下面我们以 OA 系统为审计对象，简单地介绍一下信息系统的审计，OA 系 统的审计按可以分为下面 3 个模块： 1、系统购置：招投标、合同、系统验收、款项支付等 2、系统开发：需求收集、界面及编码、上线测试、系统并行与数据迁移、 原系统的关闭等 3、系统应用：硬件配置、账户权限、系统界面、事务处理等 基本知识入门 1、系统购置 系统购置类似于工程的招投标审计。什么标书，未成立评标小组，这些都 是假象。招投标关注的还是围标、串标以及形式招标之类的内容。形式招标就 是项目早就开始做了，做完了才想起不符合公司规章，后续弥补相关手续。与 之相关的就是合同实施方是否为合同签订方，有时会发现。 OA 系统的价格一般包含在 50 万元以上，合同分为两个合同，分别为软件 购买合同以及项目实施合同。在合同这一块，需要注意收费以及软件许可的约 定。 OA 的收费含很多内容，比如实施的范围是总部还是包含下属的分子公司， 通常有些软件厂家是低价中标，后续增加很多增项，比如借口这次的流程数已 经达到了，如果要有新的流程或者模块就需要重新签订合同等等。另外还有实 施的部门包含哪几个流程，是按照既定的流程收费，还是按照流程的总数在进 行收费。不同的部门的流程难易程度是不一样的。比如财务部门的流程就比 IT 部门或者综合管理部的流程复杂。 与模具合同类似的是，OA 系统的软件购置合同里面有一项内容叫软件许可， 也就是允许同时在线的人数。这个需要特别关心，有些公司在购买 OA 系统的时 候不注意，就导致了比如财务部要做账，只能 5 个人在线，一个人要做账了， 就需要把另外一个人提下线。你要得到一个新的软件许可，那么交钱吧，一个 8,000 元。有可能当时购买软件的时候，确实公司小或者只考虑总部的适用性， 但是后续却带来了很大麻烦。 款项支付是否按照合同进行，这个还是在招投标阶段遗留问题，因为合同 签订人不是项目实施方，导致增值税发票跨期未提供，财务一直挂“其他应收 款”这个科目。 2、系统开发 在需求分析或者调研阶段，因为对 OA 系统的宣传不到位，很多人不是很支 持，因为毕竟需要改变人的工作模式或者习惯。所以有些部门的流程在调研的 时候就很怪，明明是一个流程，比如 IT 权限开通、变更、注销流程，需要从需 求部门发起，就变成了 IT 部门接到电话之后从 IT 部门发起的流程。有些更好 笑，比如合同审批流程，本来合同签订后进行审批。因为业务流程复杂，以 XX 公司为例，其销售是这么实现的，业务部门接受客户的图样，研发部门进行试 制打样成本管理部负责成本测试，结果因为前期未调研清楚，本来是很多个单 独的流程变成了工作联系单的交流内容了，审批流程的名称就与实际就不相符。 在界面设计及编码数据测试阶段，OA 系统本身实现的功能就是将纸质的文 件电子化。在界面设计的时候会出现表单抬头异常，本来是单独的表格名称结 果一半在外面，一半在表格里。有的表格本身就存在缺陷，只有部门，而其实 需要有发起部门的经办人以及部门负责人。 测试环境和使用环境其实一个内容，不过是网页地址不同。在系统上线前 就需要在模拟环境将各种例外情况进行测试。因为没有测试人，导致编程刚编 好就马上上线使用，通过使用中发生的问题，进行修改或者调整。就出现了部 分流程审批人缺失。有时候还测试环境与真实环境不分离，明明需要在测试环 境进行的内容，到了真实环境，就算是测试了，但是未删掉。 3、系统应用 软件毕竟不像吃饭，你喜欢吃辣的，自己加老干妈，你说你是山西的，自 己带老醋。OA 系统则是通过浏览器进行的。这样不同的操作系统、浏览器、版 本的浏览器，也会造成系统的莫名崩溃或者电脑死机。老板不舍得换电脑，用 了 7、8 年的电脑就算像蜗牛一样慢，在公司里照样存在。 在人员调岗以及离职环节，人力资源部门需要及时将相关信息告知相关人 员。系统上线后，人力资源部与 IT 部门沟通不及时，导致部分账户未及时关闭。 当然如何查这一块，我们在下面的审计程序中做进一步介绍。 OA 系统的主要功能就是实现事务的审批，所以系统未及时审批、未关闭以 及加签、送报的功能不熟悉，会导致 在数据输入的时候，特别是销售、品质、采购部门，他们的单据有些是必 输项目，而这些项目，系统没有控制，即使输入“无” 、 “/”， “！”这种乱码 也能通过，也能上传。另外有些是需要通过上传单据来实现的，单据未上传也 是问题。当然这些都是使用的问题。 在系统展示界面，有些单据存在有系统默认的序时编号，由于发起人临时 撤回或者终止，导致单据编号缺失，系统有时还会出现重复编号。 系统的数据输出也会出现问题，比如本来是完整的单据，但是打印出来， 部分数据缺失。 就像常见的 ERP，在权限分配的时候，每个使用人只能看到与自己职位相 关的单据，也不能录入其他与自己无关的单据。有些 OA 系统就存在这些固有的 缺陷，某部门的人员可以使用其他部门的单据，而且还能成功送审。 审计程序 OA 系统审计主要是审阅资料、现场访谈、数据分析等三个审计手段，具体 的审计程序如下： 1、系统购置 （1）招投标管理 所需资料：立项报告、招投标制度、招标书、投标书、评标标准、技术表打分 记录、技术表评分记录 审计程序：仔细阅读招投标制度；通过企业信用网调查投标方的股东关系，尤 其是最终实施方与合同中标方的关系，可能存在转包；检查标书中提供的资质 文件是否存在虚假，对于异常的情况，通过电话以及上门拜访，核实是否确实 参与投标（提示：可能存在挂靠的情况） ；检查评分记录，是否存在异常，与最 终的中标结果是否异常； 常见审计发现：缺少招投标管理制度、评分标准存在缺陷、技术标淘汰商家中 标、投标方资质虚假或者不具备相关资质 （2）合同管理 所需资料：软件购买合同、软件实施合同、合同审批单 审计程序：仔细审阅合同 常见审计发现：部分合同条款存在缺失 （3）系统验收 所需资料：验收报告 审计程序：将验收报告与软件实施合同进行对比分析 常见审计发现：系统验收与合同不相符，实施的部门以及流程不完整，实施的 范围存在缩小 （4）款项支付 所需资料：会计凭证、支付明细账、 审计程序：审阅会计凭证，将付款时间以及付款金额与合同相关条款进行核对 常见审计发现：未按合同进度进行付款且无审批、款项已经支付，增值税发票 长期未获取 2、系统开发 （1）需求收集 所需资料：需求调研报告 审计程序：审阅需求调研报告；访谈各部门领导以及业务经办人员，询问需求 是如何提出来的 常见审计发现：前期调研不足，部分流程未调研或部分流程仍在线下作业 （2）界面及编码 所需资料：无（由于审计人员通常非专业的 IT 人员，这里不推荐白箱测试） 审计程序：访谈各部门领导以及业务经办人员，询问，要求经办人员打开系统 操作并介绍自己所使用的单据 常见审计发现：未按合同进度进行付款且无审批、款项已经支付，增值税发票 长期未获取 （3）上线测试 所需资料：测试报告 审计程序：审阅测试报告 常见审计发现：无测试报告，系统上线未测试 3、系统应用 （1）硬件配置 所需资料：用户使用手册 审计程序：询问使用人员，当然如果你偷懒就直接发问卷好了。 常见审计发现：电脑硬件配置不足导致系统无法使用或显示异常 （2）账户权限 所需资料：系统权限人员清单、离职人员清单、系统权限关闭人员清单 审计程序：将三份 EXCEL 表格复制黏贴到同一文档中，以员工编号为条件，用 countif 函数进行数据的筛选，对于显示为 1 的一行，通过筛选复制到单独的 表格中，最终显示为人员离职但是系统未关闭 常见审计发现：人员离职但是系统未关闭 （3）系统界面 该审计程序与系统开发审计中的界面编码审计类同。 （4）事务处理 所需资料：系统未上线前表单、权限审批表、显示异常的截屏、OA 系统开发问 题及解决方案 审计程序： 获取 OA 系统的查看权限，按照表单的审批类别分别查看，对于异 常的表单要求解释 常见审计发现：流程不完善，部分流程线下作业、流程梳理不完善导致流程错 误、系统权限设置不正确存在跳跃审批或审批人缺失的情况、系统无提醒报警 功能、 工程审计常见发现归类 工程审计对我们这些财务背景的内审来说，是一个麻烦的事情，因为不知道 如何下手。 下面的表格是我们根据群内关于工程审计话题讨论的结果，供各位参考： 项目 常见的审计发现 内控体系建设 1、缺少对设计变更、现场签证等业务的工作流程、要求和权责等内容的规定 合同管理 1、已归档竣工图纸未加盖“竣工图”印章 采购管理 1、材料验收未履行工程材料进场报验程序 安全质量管理 1、部分工程未按要求进行安装，容易出现隐患 结算管理 1、xxx 结算工程量与设计图纸不符 2、结算审核报告中个别项目与其它合同内容重复个别结算审核报告未经 过施工单位（承包方）确认 3、结算审核中应进行核减的项目未进行核减 4、物品型号、品牌等与招标文件工程清单要求不符的问题，应按现场实 际进行结算，对上报的结算进行核减。但在已出具的结算审核报告中均未 对上述项目进行核减。 进度管理 现场管理 1、施工组织及各专业施工方案无编制依据，部分方案内容模糊不清 2、施工图中部分设计依据与项目所在地不符，未按照国家规定进行施工 图审查 3、个别项目联合验收资料缺失。 4、对 xxx 个项目进行了现场踏勘，发现存在部分设备或物品的品牌及型 号不符合招标文件要求、个别工程部位存在施工质量问题 5、道路从现场破碎的混凝土看，粗骨料为表面光滑、粘结力薄弱、应严 禁用于正式工程的河滩卵石，而不是经过加工的碎石，却通过了验收。另 经查阅存档工程资料，无联合验收资料。 蜀黍改报告 说明： 从 3 月份的群刊开始，将增加一个模块为蜀黍改报告，通过对新人所写的 审计报告进行修改来介绍如何写审计报告。 有关资产销毁的审计报告 审计目的：为了解报废资产的报损销毁过程及后续使用情况，对公司 2014 年报废报损资产进行审计核实。 审计内容： 2014 年，审计部先后参与了 xx 公司 5 次报废资产销毁，销毁资产有报废 产成品和包辅材料以及过期档案资料等。根据 xx 公司财报表数据显示，包辅材 及产成品报废损失（成本额）为 x 元。 审计发现： 一、审批通过的报废报损物资的处理缺乏监管。 1、审计部在 x 月 x 日的成品监销过程中发现已通过报损审批应销毁的部分 产成品在盘点后经 xx 部领用后内销。 （审计部随后查实内销明细，该收入已上 缴财务。 ）但领用过程无审批监管无记录。领用的产品