内审人员的自我修养.doc

_内审人员的自我修养 小职员2010著前言任何一个东西都是从一个想法开始，这个手册也不例外。起初的想法只是给广大的内审人员一本实务操作手册。但是随着时间的推移，我更想和大家分享关于内审这个职业的点点滴滴。从来没有一种职业像内部审计有这么多的变化。随着国家法规的出台，信息技术的发展，企业管理模式的改变，内审的工作内容从单纯的财务稽核到管理审计乃至信息技术审计，从审计检查到咨询服务。出于这样的原因，这个手册时候并没有考虑是否以特定的读者为对象，只想提供广大内审人员在不同的工作场景中所必须掌握或者了解的信息。我非常期待这手册能为各行业的内审专业人士作为日常工作、学习、培训时的参考用书。在这个手册的每章开头均会有小故事，之后通过小故事说明本章节的主要内容。在章节最后会以总结的方式来说明该章节的要点。手册中的案例均来自本人的工作经历或者改编,如内容有雷同，实属巧合。下面这个表格中将不同需求的人员适合阅读的章节做了分类、说明。章节内容适用对象1部门战略规划所有利益相关方：财务总监、董事会、监事会、审计经理等2内部审计常见工作流程所有审计人员3审计部常见文档所有审计人员4常规审计审计专员、审计经理5非常规审计所有审计人员6内部控制内审、内控、风险管理相关人员7特殊行业审计行业内审人士以及有意跨行业跳槽内审人员8SOX审计欧美上市公司内审人员9内审新人快速入门新进审计人员10审计人员能力建设所有审计人员11内部审计信息化管理审计部负责人12内审人员推荐考试所有审计人员13内审人员参考资料及网站推荐所有审计人员14审计报告撰写要点审计专员、审计主管15审计人员择业与跳槽要点应届生、所有审计人员 我也非常期待获得你的宝贵反馈和改进意见，这便于我第二版本修改时做参考。您可以通过发电子邮件方式将你的意见发到我的邮箱，我的邮箱是276757861小职员2010 于苏州目录一、部门战略规划1、成立期（0-2年）1.1 部门架构与人员配置1.2 审计业务开展2、发展期（3-5年）1.1 部门架构与人员配置1.2 审计业务开展3、成熟期（5年以后）1.1 部门架构与人员配置1.2 审计业务开展二、内部审计常见工作流程1、年度审计计划制定2、部门培训3、审计业务开展4、与董事会、监事会及其他委员会的沟通机制5、档案管理三、内部审计文档1、部门制度文档2、单次审计作业文档四、常规审计（以生产制造企业为例）1、财务审计1.0审计方法入门1.1 货币资金审计1.2 费用审计1.2.1 物流费用审计1.2.2 差旅费用审计1.2.3 交际费用审计1.2.4 会务费审计1.2.5 通讯费审计1.2.6 促销费用审计1.3 投资审计1.4融资审计1.5 期货审计1.6 财务报表审计2、运营审计2.1 采购付款审计2.2 销售收款审计2.3 人力资源审计2.4 生产过程审计2.4.1 品质管理审计2.5 资产管理审计2.6 营销管理审计2.7 工程审计2.8 渠道审计2.8.1 传统渠道审计 批发渠道审计 特通渠道审计2.8.2 现代渠道审计（KA）3、信息系统审计3.1 一般安全审计3.2 应用控制审计五、非常规审计1、离任审计2、经济效益审计3、舞弊审计3.1审计发现初期行为控制3.2过程控制3.3案例分享3.3.1 工程舞弊审计3.3.2 采购舞弊审计3.3.3 营销舞弊审计4、尽职调查审计六、内部控制1、 内控入门基本知识2、内控审计2.1 审计部审计2.2 部门自评2.3 内控自我评价报告3、 内控体系建设3.1 内控体系建设流程3.2 内控文档介绍3.3 选择外部咨询公司的要点七、特殊行业审计1、公司食堂审计2、商业地产审计3、超市审计4、零售审计5、宾馆审计6、保险公司审计7、银行审计8、汽车4S店审计八、SOX审计1、审计底稿2、审计报告要点九、内审新人快速入门十、审计人员能力建设1、部门主管能力建设1.1 团队建设1.2 自我保护能力1.2 审计过程控制1.2.1 任务分配1.2.2 过程控制2、专员、科员或文员能力建设2.1 内审审计思路3、 通用能力建设3.1 excel内审专用函数介绍十一、内部审计信息化管理1、常见审计系统2、部门自建系统十二、内审人员推荐考试1、中级审计2、CIA3、CISA4、野鸡证书介绍十三、内审人员参考资料及网站推荐1、书籍参考2、网站推荐十四、审计报告撰写要点1、审计报告撰写误区2、错误审计报告示例与分析3、审计报告与审计简报4、审计报告汇报十五、审计人员择业与跳槽要点1、应届生选择内审工作2、内审人员跳槽要点3、内审面试常见问题及应对4、审计部负责人招聘须知1、 部门战略规划在不久前的一次内审聚会中，有个话题有点意思。是关于审计部的发展，这就让我想起几年前和一个集团公司的总裁吃饭时，也曾谈到的这个问题。审计部从无到有，到底后面该怎么发展。由于之前待的公司的都是内审部门设立很久的公司，内审比较完善，比较系统。并没有从一个小部门或者作为一个光棍司令来经历过审计部的发展的经历。在写该章内容时，参考了IIA（国际注册内审协会）的一些资料，借鉴了同行对此的一些看法。很多内审从业人士在谈到审计部，会叹息，审计部没什么独立性，没什么好的审计环境，一切都是看老板心情。老板叫审计部查什么就查什么。可是审计部查出的问题老板都不满意。所谓的审计部就是老板的枪，老板让打哪里，审计部就去做出头椽子。好处没有，得罪人的事情一摊子。个人认为以老板为中心其实未尝不可。以前听过一个关于独立董事的笑话。什么叫独立董事，独立董事就是对外独立、对内懂事的人。不同的公司由于其审计环境不同，这就要求审计部的负责人必须了解公司的企业文化。企业文化就是老板或者管理层的管理态度。如果审计部负责人一贯坚持独立、客观，那么审计部就很难开展工作。关于独立性的讨论，将在本章节乃至后续章节反复提起。本章主要介绍审计部在不同发展阶段的组织架构、部门职责、对应的审计工作内容。这里审计部的发展阶段被人为的划分成三个阶段，即成立阶段、发展阶段和成熟阶段。 08年金融危机之前，设置内审部的公司比较少。当时设置这个部门的公司大多集中于外资欧美、外资非欧美、大型国有公司、金融机构、部分在海外上市的公司等。外资非欧美主要是港资、台资、日资，韩资等企业。在日资和台资企业，内审被称为稽核。大型国有企业主要是电信、移动、电力、电网、能源、军工等国有垄断企业。金融机构主要是银行、保险、信托、证券等机构。在海外上市的公司主要是在美国上市、香港上市的公司。其他类型的公司比如民营企业则比较少，但是并不意味着不存在。民营企业有类似于内部审计职能的设置。比如：财务部门的财务稽核，负责财务凭证制单的复核；连锁、快消行业有运营督导，负责直营门店、代理门店的门店形象、销售等运营管理监督和培训；生产制造企业有ISO内审，负责ISO质量体系的审核。08年，五部委（财政部、证监会、审计署、银监会、保监会）借鉴了国外04年的风险导向的COSO框架，推出了具有中国特色的企业内部控制基本规范，既包含风险管理又涵盖内部控制的内部控制大杂烩。10年4月26日，五部委发布内控配套指引，其目的在于规范国内企业的内部控制，指导上市公司建立内部控制体系。2012年，国资委也加入到原来的五部委中，要求国有企业除了建立风险管理体系，也要具备内部控制管理体系。深交所、沪交所的主板上市公司出于内控合规的需求，开始在企业内部设置内审部、内控部、风险管理部等类似名称的部门。与此同时，市场上对内审人才的需求也与日俱增。对于一个新设立的内审部，究竟如何设置，将来的内审部的发展是怎么样？怎么样做到既符合上市公司的内控合规要求，又不是把内审部作为一个摆设？1、 成立期（0-2年）内控配套指引这一块并未具体说明内审部怎么架设，只是说需要有相关部门或者人员对公司的财务以及运营进行监督，所以人力资源部门在对审计部设置时五花八门。有的公司会将其挂在财务总监下面，并直接对财务总监汇报；有的公司则挂在财务经理下面，成为财务部门的二级部门；有的则将其与法务部门进行合并，成立新的审计法务部，归公司总经理管理，向总经理汇报；有的则将其与ISO体系部门进行合并，成立新的内控审计部，归公司总经理管理，向总经理汇报；有的公司则成立单独的审计部门，归属于监事会，向监事会汇报；有的公司则成立单独的审计部门，将其归属于审计委员会，向审计委员会进行汇报。那究竟哪种方式比较合适？根据国外的IIA的内审实务框架，内审部应该在行政上对管理层最高层负责，职能上对审计委员会或董事会负责。行政上一般是指财务预算、人员配置等部门发展的内容，而职能上一般是指部门职责、工作内容等业务开展上的内容。需要明白的是在我国的上市公司的治理架构中，审计委员会是隶属于董事会。根据国外的最佳实践经验结合我国的实际情况，本手册推荐的组织架构是审计部归属于审计委员会，在职能上向审计委员会负责，行政上向总经理或者总裁负责。在成立期的部门建设，可以有几句口诀可以说明：招兵买马、建章建制、占领要地、攻城略地、适时屠城、熟读章法、顺我者昌、逆我者亡、忍辱逼宫、霸业可成。招兵买马：招聘合适的内审人员进行部门的运作。合适并不意味着是个人都能拉来做内审。看过部分审计人士写的内审报告，那真是惨不忍睹。整个审计报告就是一个情况说明。第一部分是该公司去年业绩、今年业绩。第二部分就是将固定资产、存货、还有财务的三张报表贴上，再写一个周转率或者分析对比。第三部分评价该公司内控状况良好。审计还是交给专业人员来进行吧。如何撰写审计报告将在后续章节做进一步介绍。建章建制：建立部门的规章制度，明确审计部的权利与义务，以书面的制度来约定审计部的权力。这非常有必要。就好比审计人员的尚方宝剑，代表管理层对审计的权力授予。之前就遇到一个外审转的内审经理，在连部门制度都没建设好的情况下，就贸然进行审计。审计的内容都是公司比较敏感的话题。被审计部门不配合乃至投诉到总经理，自己也干得憋屈。上任才1周就只好自己自动离职。占领要地、攻城略地：进行常规的财务审计、运营审计。通过审计，接触到各部门负责人，通过审计报告告诉公司各部门审计部是干什么的。当然审计的其他形式的自我宣传也非常有必要。适时屠城：采用经济效益审计、舞弊审计的方式来提高审计部门的权威。任何一个公司不可能花高薪养闲人，所以审计部不是做做合规检查就可以的。合规检查不能给企业带来任何效益。熟读章法：熟悉公司内部政治关系、潜规则。因为作为一个公司，其各部门在运作的时候就会在存在利益关系。而熟知公司内部关系是非常有必要的，而且也容易与被审计部门理解和支持，便于沟通。顺我者昌、逆我者亡、忍辱逼宫：面对被审计部门的刁难，比如不配合工作或者推三阻四，审计部不应该放弃审计或者采用不当手段，更应该仔细地进行检查。舞弊三角理论当中就提过，如果被审计或者检查的部门存在舞弊行为，其做事或者态度会非常异常，比如对下属或者其他部门的人员专横跋扈、或者对审计人员特别热情，这些都是审计人员在审计或者访谈时需要注意或者关注的地方。另外，每个审计人员都要学会自我保护，尽量降低被恶意投诉的可能性。在我国这种特色的国情中，我们的为人处世都被烙上“中国式为人处世”之道。在中国，不光是企业单位还是事业单位，都充斥着权数的痕迹。内部审计本身倡导的价值理念就与中国人内心深处的价值有很大区别。所以我们做内审的人员一定要对中国人倡导的价值理念进行关注，避免自己受伤，这也就是常说的“审计环境”。内审人员人员感觉工作幸福低，有2个因素造成：被审计对象和汇报对象以中国式的处理方式来对待审计人员；内审人员的内心冲突，中国式的审计处理方法和内审的理念。1.1 部门架构与人员配置曾经见过一家地产企业，在部门内设置内审部、内控部，其对内控部的定位是写制度以及改权限。因为部门定位不当以及人员配置的问题，在第二年又将内控部变成ERP落地实施部门。在第三年，内控部被内审部合并，变成了内审二部。这就是在审计部设立初期定位不当的原因造成的。当然审计部的负责人也得负一定责任，太缺乏必要的管理经验，做法太天真。还有一家企业为了上市合规，一开始设置内审部、门店督导部、舞弊审计部、内控部，人员一下子招聘100多人。第二年的时候，审计人员跑了一半。部门架构从四个部门变成只有审计部。所以，成立初期主要解决的问题是审计部的部门定位要清楚。这时的部门架构设置可以很简单，比如：一个部门主管、一个审计助理，或者只有单独的一个部门主管，就是光棍司令的形式。这种设置是合理，并不是老板对该部门不关心。在成立期不应过多地招聘审计人员，因为在这个阶段，管理层或者老板仅仅是因为合规的目的或者从样板企业学到的套路，要设置内审部。审计部的定位、权力都不是很明确。应尽量避免招聘大量人员以及设置好几个部门，以免造成部门人事浮肿的情况。老板让你组建审计部，你却让老板做冤大头。谈到这里，我适当提一下审计人员的跳槽。当我们内审人员在跳槽时，如果跳槽到新设的内审部门，尤其要关注公司对其的定位，而不是因为高薪而盲目跳槽。关于内审面试将在后续章节介绍，这里不做展开。在部门成立的初期，审计人员具备的财务、运营管理、ERP的能力是非常必须的。部门负责人内需要具备内审审计或者外部审计的经验的人员。那到底新设内审部，如何选择部门的负责人。从现在的做法来看，一般有三个操作模式：从公司内部培养、从会计事务所、律师事务所、咨询机构等中介机构、同行业或类似行业的审计部。下面让我们来看看这三种方式的优劣点：从公司内部选择：从内部选择一般会从财务部、法务部或者ISO人员中选择。该部门的名称一般被设置为法务审计部、审计部、内控部、稽核部等。其优势是熟悉工作运行以及公司内部政治关系，其劣势是缺乏必要的审计技能与思路，缺乏专业的审计能力。从中介机构选择：其优势是擅长财务报表审计、合同审计、内控合规审计，其劣势是缺乏必要的审计技能与思路、缺乏企业内部政治关系，缺乏企业运作的实务经验和ERP管控能力。从这些中介公司招聘的审计主管，其审计思路往往是合规审计的模式，给企业带不了多大的作用，往往造成了审计部陷入被动。从同行业或类似行业选择：其优势是熟悉内部审计运作，其劣势是不熟悉企业内部政治关系。对这种模式稍加修正的方式就是在部门内增加一个熟悉企业运作的人员，一般可以从生产部门或者财务部进行调配，以配合外聘的审计经理来进行部门的运作以及日常业务的开展。手册推荐的还是第三种模式。审计人员的选择一般也有3个模式，从应届生、会计事务所、公司内部。在审计部成立初期，对审计专员或者审计助理一般无特别要求。如果是硬性要求，一般要需要以会计、审计、金融、工商管理或者计算机为背景。在其他方面比如需要注意应聘者对出差、加班、今后的职业发展规划、审计部的近期需求是否匹配。1.2 审计业务开展在成立期所进行的内部审计工作主要是事后审计。一般的常规审计内容会以财务审计中的费用审计、货币资金审计为主；运营审计中的采购审计、销售审计、仓库审计为主，形式一般以遵循合规审计为主。做上述的几个审计容易出绩效，获得公司管理层的认可。舞弊审计会以管理层授意和举报热线为主。不建议审计部主动进行舞弊审计。值得注意的是，在成立期一定要明确你的上级部门是否有足够的权限来平衡公司的内部管理。不然你整走了一个人或者一个事件，自己离下岗也不远了。这个阶段的审计报告一般以查漏补缺为主。措辞方面需要客观，切勿加入个人主观看法或者别人的误导阐述。在这个阶段，审计部不应花大量的时间在部门制度的建设上，比如形成规范的审计工作底稿或者各种规范的审计底稿。审计经理需投入一定的时间与精力来进行审计部的宣传与引导。 内部审计的自我宣传主要目的是为了公司管理层了解审计部的职能、工作价值，消除各部门对审计部的误解，便于审计工作的开展。内部审计的部门自我宣传有很多种方式：在公司的内部刊物、室外看板、内部邮件上发布关于内部审计的文章，对公司管理层进行内部审计的介绍。还有一种是比较重要的，就是在进行初次审计与被审计部门管理层的沟通以及进行人员访谈时，做一些内审工作的简单介绍。在公司内刊上发布内部审计的文章可以从风险管理、内部控制的角度，内容上可以从扁鹊三兄弟、徙薪曲突等小故事着手进行撰写，说明内部审计职责以及意义。当然也可以介绍在日常审计中发现的舞弊案例。在对公司管理层进行内审介绍的时候内容一般应包含：审计部的工作职能、审计部的作用、审计部的审计范围。在部分公司，内部审计还承担着对公司企业文化的宣传与培训的作用。比如在新人入职培训时，审计部进行企业文化的培训。培训的内容包含公司对于腐败的态度和处理方法，发现舞弊时员工的处理、举报方式。内部控制的概念、灌输内部控制的理念及内控的重要性等基本知识，公司内部控制体系以及内部控制纲领性规章、制度。当然培训的时候不是内控而是以公司规章制度的名义来进行。 在对外宣传上，一般比如在公司的公告栏或者明显的地方张贴反腐败的海报。有些公司会在销售合同或者采购合同的条款中，注明审计部的相关信息。反腐海报示例：期刊宣传资料示例：内控知识大讲堂：2、 发展期（3-5年）内审部门在发展期主要解决的问题是人员招聘以及业务的规划，如何让审计部进一步的强大是这个阶段的目的。在这一时期，有些审计经理往往忙于应付常规审计，往往忘记部门的战略规划发展。审计部变成了救火队，哪里有问题就去哪里。自己的下属也怨声哀悼，感觉自己不是去审计，而是被动地去审计。 在此时审计部需要形成知识库。知识库很简单，就是内审作业的最佳展示。比如要设定年度审计计划，可能平时就在电子邮件中进行了处理，但是作为知识库就需要将年度审计计划进行整理归类。那么如何设置知识库，其实很简单，在公司的服务器上专门安排一个内审部的公共盘，审计经理定期进行资料的汇总与整理。审计部在此时的另一个重点是企业整个内部控制体系的建设与梳理。审计部在审计时需要一套企业的运营、财务作业流程作为参考标准。不能像成立期，审计时发现问题了，但是没标准没制度，就和对方沟通，确认一个标准，这样就导致了审计容易出现偏差。2.1 部门架构与人员配置此时的部门架构，由于企业性质的不同，可以划分成好几个类型，这里做一一介绍：在非国有企业的企业类型中：生产制造型企业，这种类型的居多，比如美的、创维等：审计部未具体细分，而是按照审计安排行程审计小组进行审计。以专案审计为主，可能是现在行情不好的缘故，目前其审计内容主要以营销审计为主。房地产企业，比如世茂集团、蓝天集团、绿地集团等：下分审计部、内控部。审计部又分财务审计以及工程审计。物流快递企业，比如德邦物流、韵达快递等：下分督导部、审计部。督导部主要是负责直营、代理门店的装修，形象管理。审计部主要是运营审计，财务审计很少。连锁百货企业，比如超市、百货公司、连锁门店，代表性的比如国美、屈臣氏、美特斯邦威、达芙妮、来伊份、华润超市、红星美凯龙、安莉芳等：下分督导部、审计部。这两个部门再进一步额细分，则是按照区域进行，比如划分为华东审计部、华南审计部等。 在部分集团公司其组织架构如下：在集团总部设置审计部，负责实地审计；在区域审计区域审计部，负责实地审计；在分子公司设置在地审计。在地审计主要是接受总部或者区域审计部的安排进行专门审计。而国有企业一般会设置审计部、纪检部、监察室。审计部一般做经济效益审计、离任审计等常规审计。监察室一般是针对企业内法律、纪律、舞弊、行贿受贿情况进行调查。纪检部主要是负责党员的管理，比如党风建设、违反党规的处理。在这个阶段需要根据公司的审计业务的发展规模进行分别招聘，而不仅仅或者单一的固定于财务背景的人员。内部可以从运营部门，it部门，而不需要在乎其拥有的审计方面的能力。根据实际业务状况，人员设置上可以设置审计经理一名，审计主管几名，审计专员多名。2.2 审计业务开展在发展期所进行的内部审计工作还是以事后审计，但是会增加部分事中审计的内容。此时的审计不能以遵循审计为主，而应该转为管理审计。遵循审计主要是解决与公司规章制度是否相符，而管理审计是如何给企业增值。审计的内容也由散乱或者部分，变成比较系统或者完善。在事后审计中，以生产制造企业为例，其常规审计内容可以分采购付款审计、销售收款审计、生产成本审计、资产审计、货币资金审计、投融资审计、人力资源审计、信息系统审计为主。单纯的财务审计在发展期已经不足以或者足够给企业带来增值。在国有企业一般会以经济效益审计、离任审计为主。在事中审计中，一般存在于房地产公司，比如对于建设项目的追踪审计，新业务的流程设制，项目启动前的市场调研、税务筹划，并购前的尽职调查等。基于公司管理层的通盘考虑和安排，公司审计部也可以为公司担当具体培训任务，为储备干部等核心管理人员的晋升提供必要的专业训练。比如，公司拟任命分、子公司的经理、财务经理，在任命之前，应要求候选人在公司审计部历练，或者设定历练时间，或者要求必须经历某些特定项目，以使其从公司管理、监督控制等不同角度，更加熟悉公司的运营特点和财务要点。3、 成熟期（5年以后）在成熟期的时候，可能需要进行内审的信息化整合，比如引入内审系统或者内审软件，系统化进行审计作业，对审计作业进行规范化管理。至于怎么进行内审的信息化，本书将在后面的章节进行介绍。3.1 部门架构与人员配置在成熟期的内审部，以非国有企业上市公司为例，按照职能一般内部部门会设置审计部、风险管理部、内控部。审计部：下分财务运营审计部以及IT审计部，财务运营审计部主要负责财务、运营、舞弊的审计调查，IT审计部主要负责信息系统审计，一般以应用控制审计为主，一般安全审计很少涉及。风险管理部：项目前期的风险控制，如项目启动前的市场调研、税务筹划，并购前的尽职调查等。给管理层做决策使用内控部：主要是负责企业的内控体系的监督管理，实施内控审计，对外出具内控自我评价报告。根据公司实际状况，有的公司就配置审计经理以及审计专员，主要负责运营审计。部分公司，比如连锁百货企业、快消行业，由于其分子公司或者门店众多，则会在各地安排专职或者兼职的在地审计人员。这些审计人员每个月接受总部审计的安排，配合总部进行常规的审计以及监督年度各部门的内控自我评价工作。1.2 审计业务开展除了一般的常规审计和舞弊审计，根据企业的实际情况做相应调整与改善。在这个阶段，部分公司将尽职调查审计、内控审计、环境审计、ISO体系审计、5S审计等审计纳入到内审部的常规审计内容中。增加专案审计，专案审计一般以特殊业务为主，比如商业地产企业的销售提成审计、营销审计，快消行业的渠道审计等。一般在专案审计次数较多或者频繁后，根据风险的分析与评价，可以将专案审计纳入到常规审计中，作为常规审计的一部分。本章节主要介绍内审部的发展战略规划，每个主管以上级别的审计人员，都会经常考虑此问题，他们虽有丰富经验，但是在部门建设这一块就缺乏相应的能力。当然部门建设的问题并非照搬一两个标杆的做法就能解决，还是需要根据企业实际情况。2、 内部审计常见工作流程 审计作业时，经常会遇到被审计部门对审计人员态度不好，不愿意配合审计部的情况。有时还会借口审计人员的一些偏差投诉内审部，造成对审计部门较大的冲击，那究竟这些问题的原因是怎么造成的。审计人员怎么做好自我保护或者防范降低审计风险。先让我们来熟悉一下内审部的作业流程，看看通常的标杆企业如何进行这些作业，其流程是怎么样的。1、年度审计计划制定 现在业内较常见的方式是以风险管理导向的年度审计计划。风险管理导向的审计计划一般是对常规审计进行的。专案审计以及舞弊审计主要是根据实际情况进行安排，一般专案审计的时间安排在常规审计后的空余时间内。在制定下一年度的年度审计计划的时候，需要考虑到管理层特别关注、主管部门特别关注、影响公司经营的部门或业务、本年度存在重大舞弊这四个要素。管理层特别关注：内审审计成功的关键是得到管理层的认可。管理层提出的审计方向一般是审计部首要考虑的。主管部门关注：主要是审计部的上级管理部门，比如审计委员会的要求。影响公司经营的部门或业务：可能会存在的导致企业受损的事件。本年度存在重大舞弊：本年度发生的严重影响公司的声誉，资金、资产安全等的事件。所以年度审计计划的编制流程一般是：审计部的部门主管与上一级以及公司总经理探讨听取他们对于审计部的意见，之后是结合本年度审计发现以及对审计项目的风险严重程度的排序，制定年度的审计计划，之后将年度审计计划交审计委员会审批。举个资讯类网站公司的年度审计计划编制的来说明。有可能大家在提供资讯信息网站公司的内审不了解，比如阿里巴巴、有色金属网等之类收费网站的运作模式。大家就按照常规的审计作业模式进行，把资产审计、采购审计以及财务审计的风险排序在前，这样就非常不合理。无论是何种类型的企业，作为老板，其最关心的就是收入与费用。在制定年度的审计计划时，需要结合公司的主营业务进行审计风险初评。回到刚才的话题，电子商务公司的主要营业收入是出售账号收取会员费、另外一块是广告收入。如果这两块未管理好，就会影响其业绩。所以审计部首要年度审计计划就是需要将收入审计列入。接下去作为电子商务网站，其信息安全是肯定要的，所以将信息系统审计也列入。相反存货审计以及财务审计这一块的风险较小就可以往后排序。下面我举2个例子来分别说明单个生产制造型公司以及集团公司何进行风险导向审计的年度审计计划制定。 生产制造型企业风险排序表示例： 集团公司风险排序表示例：根据上面的风险排序之后，审计部就可以列出下年度的审计计划 集团公司年度审计计划排程示例1： 集团公司年度审计计划排程示例2：2、 部门培训 内审部门的培训分三种：一种是外部培训，一种培训是内部培训，还有一种是同行业的审计部之间的交流。 外部培训：现在内部审计外部培训做的比较的好机构是中国内审协会。另外一些专业的咨询机构提供的，比如安越或者章从大之流，这些培训机构的专家都缺乏实务经验，讲授的还是一些CIA教材上的概念，光是内审的重要性和好处就讲半天。不光无收益，还会被其误导。其唯一的好处是结识了从事内审工作的人士。本手册比较推荐的是内部审计协会提供的一系列相关培训课程。内部培训：至于内部培训可以有多种方式，新进人员入职培训、定期的培训。入职培训培训内容主要是审计部门的规章制度以及相关的审计须知。定期培训主要集中于部门成员之间的相互培训，培训的主题是部分重要审计案例的审计思路以及注意事项。定期培训的资料将被统一整理放置于审计部的公共盘，供公司所有审计人员参考。交流：交流的方式有很多种，比如到同行业的审计部交流、参与区域的内部审计聚会或沙龙。到同行业的审计部交流会增加额外的交际费用，有时对方可能还会有回访的情况。而区域的内部审计聚会或沙龙有时还是趋向于吃饭、交朋友为主。这三种培训方式比较推荐的是内部培训，比较直接，而且具有参考性。3、 审计业务开展 单次审计作业的开展，在IIA的内审框架中有较详细的说明，本书将做进一步的介绍。下面的审计作业步骤是常规审计以及专案审计的步骤，舞弊审计不能按下面情况进行。（1）资料准备：从ERP导出运营以及财务数据主要是为了先行进行了解，节省现场审计作业的时间。财务方面的数据主要是各二级科目的明细账。运营方面主要是各种管理报表。解释一下，公司的管理报表分两类，一类是对外的，一类是对内的。对外包含一般就是大家普遍认知的四大报表，资产负债表、损益表、现金流量表以及所有权权益表。对内的报表则包含很多内容。一般总部财务部保管的各分子公司提供的内部管理分析报表，该数据一般由财务部的财务分析主管保管。对于部分新业务或者审计部新进人员增加的一条是，详细阅读该部门的SOP。（2）审计方案撰写与审批：审计方案主要内容是审计程序、审计时间安排、审计人员安排与配置。一个好的审计方案将节省大量的现场审计作业时间，提高审计效率，防范审计缺失。单次的审计方案一般是由审计主管进行编制，审计经理进行审批。为了保证审计程序的完整性，本手册建议每次审计均需要编制审计方案。（3）审计通知书发出： 审计通知书一般是在审计前一周或者审计日的前一日。审计通知书往往是常规审计所必须的，专项以及舞弊审计一般是不发审计通知书。这么做的目的主要是为了防止舞弊人员串供。审计通知书由审计项目小组的组长发出，需要发送给被审计单位的部门主管或者分子公司的总经理。（4）审计行程安排：主要是出差中的住宿酒店、车船的安排。一般当月的审计行程安排都是根据年度的审计计划在上个月就进行了提前进行安排。所以飞机票之类的都是提前预定，这样大大降低了审计部门的出差费用支出。提前安排审计还可以降低住宿成本。错开旅游的旺季，可以降低旅游季节的房价上涨。部分是同一城市的审计，则可以选择丁丁地图（）查询，来选择最优的公出路线。以前还可以通过城市吧来（）查询公司附近的现场状况，后因国家管制无法查看了。审计并非都是临时安排，临时安排成本太高。（5）见面会议在这里，我曾经设想一个场面：审计部的主管紧握被审计部的老大，义正言辞的说：“我们又来帮你们了”。老大则做半蹲状，“欢迎，太感谢了，你们又来帮我我们了。晚上安排各位在天下人间比翼双飞怎么样！”审计经理：“哈哈哈，X总，太客气了。不过我们还是得烟酒烟酒！” 而在现实审计中，由于审计部门的审计问题或者发现往往牵涉到被审计部门的利益，上面的场景其实很少见到。见面会议中，主要是与被审计部门的经理以及财务经理进行沟通，了解审计期间的运营与财务的大致情况，并邀请其谈谈对审计的建议与期望。有些审计人员在进行审计时，也不和分子公司的老大打招呼，就直接发个邮件说要审计了。可能被审计部门就会存在不配合，你连起码的尊重都没有，我也没必要对你客气。（6）实施审计 现场审计一般是按照事先拟定的审计方案进行。组长需要控制的是被审计人员的审计发现的质量、数量、进度。 部分比较极端的审计经理要求下属的审计人员，每天写一个审计日志，一周写一个审计周记，一个月写一个审计月记。而且在这些记录中，需要明确何时在干何事，具体目的是什么。 管理好坏，无可厚非。但是审计部门是做为智力构成型团队，不是简单的操作工，不宜采用机械管理的模式。最好是采用专家型管理风格，就是放任审计人员，充分信任审计人员的能力。这种模式的前提是组员责任心较强，能承受住压力，有较成熟的职业敏感度。扩大审计范围，一般是因为在常规审计中出现了突发事件，或者严重导致公司损失的事件的发生。扩大审计范围意味着加班以及审计行程的调整。如果这次审计与下一次审计安排事件紧密。一般会将需要再次审计的内容，定义为临时专案审计，时间安排在审计空挡中。也可以在下一次审计的人员中抽出部分进行。 具体如何进行现场审计将在第四、五两章进行。（7）离席会议前沟通 开始做审计主管时，经常会发现下属的审计报告非常糟糕，要数据没数据，一堆的自己的推测的字句。之前做审计主管是，发现离席会议前沟通经常要做的工作不是修改审计发现，居然是改错别字以及保证语句通顺。要么就是太深奥，看不懂。 在每天下班前，沟通审计发现可以降低此类情况。另外在离席会议前一天晚上，由项目小组成员互相目检查对方的审计发现也可以减少此类问题。（8） 离席会议（close meeting 结束会议） 离席会议中沟通的审计报告初稿，一般会在沟通前提前提供。有些审计人员认为在离席会议前提供审计报告，那么被审计部门就会提前整改，就会降低审计部的绩效。我们平常见的审计报告一般是分两种，涉及到人员舞弊的以及常规差错的。分子公司经理及以上级别人员的舞弊这一类型的审计发现都是单独做审计报告，并提交公司管理层，比如老板或者董事长。剩余的都是一般性差错都是可以沟通的，也不会影响到审计部门的绩效。离席会议一般安排在离开前当天上午或前一日下午。这样做的目的是确保留出半天的时候，对被质疑的审计问题进行进一步确认。离席会议一般需要安排被审计部门的主管，以及负责整个分子公司的经理和财务经理参与。这样安排的目的，无外乎想得到被审计部门的真实反馈以及被审计部门的权力部门的支持。缺少离席会议会导致正式的审计报告被当面推翻、被反驳。（9）未明确事宜确认对于审计报告中，被审计部门质疑的地方，审计部需要进一步的确认。对于错误的情况，则进行删除和调整。有时会根据情况进行审计行程的调整，比如延长审计时间或者额外的专项审计。针对部分审计发现，在审计沟通时，审计人员与被审计人员有争议的。但是通过后续的确认，审计部认为还是问题的。建议审计部将被审计部门的意见写入审计报告，并注明审计部的看法，以表明审计部对此的态度与立场。（10）编制正式审计报告以及审计简报 正式的审计报告将在结束审计后的一周内进行。 在正式报告中，需要按照审计问题的性质进行分类，一般分三类：一般、严重、非常严重。 一般：单据不全、笔误、授权不当但未发生重大资金损失。 严重：存在资金的损失，授权不当但是有资金损失的。 非常严重：存在人为舞弊、严重的资金损失、伪造签字。 上述审计问题性质是本手册的看法，具体的分类还是需要根据公司实际情况进行定性。具体针对单项审计发现如何定性，将在本手册的内审信息化该章进行进一步的介绍。 对于被审计部门的主管部门则需要提交审计简报，而并非正式的审计报告。便于管理层了解下属部门或分子公司的财务、运营状况。 审计简报只提供与被审计部门的主管部门相关的内容，一般在常规审计中，编制的审计简报会涉及到的职位一般包含总部总经理、人力资源总监、IT总监、销售总监、工程总监、采购总监、生产技术总监等。审计简报中，提供的内容主要以严重、非常严重的内容为主。一般性的问题一般很少涉及到，比如财务凭证没有制单人和复核人盖章。像这种问题基本不出现在审计简报中。 如果本次审计中发现存在一名以上部门经理级别及以上人员舞弊的情况，则该审计报告或者审计简报需提交公司总经理以及相关权力部门，不会体现在发送到被审计部门的审计报告中。（11）审计问题追踪 审计问题追踪一般安排在审计后的当月，然后每月滚动追踪未解决的审计问题。对于审计问题追踪反馈一般有如下要求： 账务方面：要求提供调整的凭证号码。 运营方面：提供现场整改的照片、重新授权或者补签的照片或者复印件。 财务类的整改一般是要求提供调账的会计凭证号，审计部则进入到分子公司的财务系统，输入相关的凭证号，查阅调账记录。运营类的回复需要复印件、扫描件以及现场整改照片。 我简单举个例子，比如存在账龄超长的应收款，在审计追踪中，需要明确客户是否交款、以何种方式，如果不交款是否提交法律诉讼。如果是客户答复近期交款，这种审计反馈都认为是不适当的反馈。因为没有明确责任人以及交款期限。后续追踪中，有些问题可能需要很久才能处理，比如应收账款，对于这种情况怎么处理。首先被审计部门回复时，需要回答现状，以及后续的跟进措施。审计人员如果发现被审计单位回复本次的整改与上次差不多，则需要电话沟通，确认问题，之后将要求被审计部门重新解释。 如果审计人员已经确认被审计部门已经整改完毕，并非说明问题可以关闭。审计部需要在下次审计时，对上次审计发现做一次回顾。 审计人员经确认后，认为已经得到改善可以从审计发现中删除，剩余的审计问题则继续做追踪。 上面所说的方式是人工作业进行后续追踪，其实审计部完全可以与it部门联合建立一个审计系统。该系统可以将所有的常规审计按照问题所属部门、问题性质以及重要小标题进行归类。这样可以大大提高审计部对审计部门的追踪的效率。任何有权限的人员，只要登陆该系统，找到对应的分子公司，自动列示出问题总数，整改数量尚未整改的问题、整改的问题的回复等等。关于审计系统的建立我将在后续环节给大家做一一介绍。（12）管理层会议沟通在每月的例行的管理层会议上，审计部门的主要工作是汇报近期的审计概况，还有尚未被整改的审计问题。很多审计人员都在试图寻找一种审计宣传的方式，以得到被审计部门及公司老板的认同。在管理层会议上进行汇报是进行审计宣传的一种手段。而且管理层会议的沟通，还能加快审计整改的进程。（13） 追踪审计 追踪审计使用的条件：公司的分子公司巨多，一年只能安排一次审计；前次审计发现重大问题需要及时整改。追踪审计一般安排在审计结束后的第3、6月，在追踪审计中需要确认两个问题：回复已经整改实际未整改，整改后类似情况仍旧存在。追踪审计的人员要求比较低，一般为1人。时间安排一般为2-3天左右。话又说回来，作为一个集团或者总部形式的内审每个审计报告都要进行现场追踪审计，往往造成人力以及资金上的浪费。那究竟怎么处理，才是比较经济以及便捷的做法？本手册想从审计部的作业以及被审计单位的作业两个方面做一个阐述。按照审计内容，一般分为常规审计、专项审计以及舞弊审计。其中只有专案审计和舞弊审计，需要到现场进行追踪管理。而常规审计的做法则是进行月度非现场追踪，即通过电子邮件、电话等形式进行沟通，也就是在第11个步骤进行操作。专案审计或者舞弊审计的追踪根据审计问题的严重程度，一般定义为存在严重以及非常严重的问题需要到现场再次进行追踪审计。比如生产现场的生产计划排序，这种在总部远程指挥就不会起到任何作用。这就需要审计部在现场督促，直到问题解决。（14）审计工作绩效测评在进行完审计项目后，审计部很有必要对单次审计进行绩效考核。考核分两部分，审计组长的考核以及被审计单位的反馈。审计组长的考核主要是考核审计的进度、质量等。由于之前做审计主管时经常遇到审计问题不达意的，我还将审计措辞作为审计质量的评价考核标准。被审计单位的反馈一般是在进场之后，就及时提供给被审计部门一张审计质量评价表。 很多新设立的审计部门在开展审计作业时往往容易将第7、8、12、13遗漏，就造成了审是审了，但是无任何效用或者审计差错。通过上面这样子一个审计流程就能解决常见的沟通问题。4、 与董事会、监事会、审计委员会的沟通机制 与董事会、监事会、审计委员会的沟通，一般是根据企业实际情况进行安排。新进审计部负责人的首要任务并非是建章建制，也不是开展审计，而是与董事会、监事会、审计委员会进行沟通，了解或者明确其对审计部的期望及要求。 季度与年度的沟通主要是审计部业务执行状况的反馈，一般会以审计简报以及见面会议为主。年度的沟通另外一个目的是给下一年度的年度审计计划做沟通。5、档案的管理审计部的档案分好几种，比如在单次审计作业中所涉及到的审计底稿、日常培训中的培训课件及视频等。审计底稿可以分常规审计、专案审计和舞弊审计，并根据档案的密级设置不同的接触授权。审计部的负责人需要复核所有审计底稿，以确保审计底稿支持审计证据。根据审计底稿的复核情况，审计经理需要对审计中的不足进行沟通与确认。对于审计档案的编号一般可以按照审计类型+时间等来控制。比如对上海-常规-201208等，具体的编号需要根据公司内对档案的规定进行管理。 纸质档案的归档一般是按月度进行。年度结束后，一般会以刻盘的方式来进行备份保管。有些公司已经对审计过程进行了信息化，所有的档案信息都保管在审计系统中。这样子档案就称不上管理，平时只好做好系统的维护即可。 本章节主要介绍内审部的常见业务流程，探讨了年度审计计划的设置以及单次审计作业的过程。当然每个企业有自己的特色，本章节中的所有流程仅供参考。3、 内部审计文档 常常会听到内审无底稿这个说法。其对这种说法的见解是：审计过程无非就是列份审计清单，然后复印一些资料，再据此写出审计报告。认为只要能把问题找到就行，所以不必在乎是否要有章法。这种谬论非常普遍，包括一些从事多年内审工作的人员。其实一份完整的审计底稿将有助于注重审计证据的收集、整理，做到证据确凿、充分，提高审计效率，降低审计风险。部分同仁说，审计底稿每张都需要被审计部门签字确认。那到底要不要签字具体的审计文档或者底稿是什么样式的。 在本章节中将向大家介绍部门文档、单次审计作业的文档。1、部门制度文档 部门制度文档一般包含审计章程、审计制度、审计手册、审计部岗位职责说明书、审计部K