内部审计作业手册.doc

内部审计作业手册目 录第一章 内部审计概述1第二章审计业务计划4第三章业务流程分析8第四章评估设计有效性11第五章测试运行有效性22第六章审计执行结束39第七章审计报告43附件1年度审计项目列表附件2年度审计工作计划附件3审计计划备忘录附件4审计通知书附件5流程文字描述工作表附件6穿行测试工作表附件7风险控制矩阵附件8关键控制登记表/测试工作表附件9问题及缺陷表附件10审计报告格式50 / 52第一章 内部审计概述 第一条审计使命 审计部门直接对公司总裁办负责，为公司管理层 评估公司记录、内部控制制度、管理资讯系统及作业系统是否健全、完善、有效。协助公司管理层发现业务发展中可能存在的风险，并提出如何建立适当的制度、内部控制系统和程序来充分地、有效地管理控制风险。 第二条 审计组织 公司设立审计部，作为专职的内部审计机构。审计部的日常审计工作直接向公司总裁办汇报。同时，审计部作为审计委员会下设的办公室，负责处理审计委员会交办的日常工作。 第三条 审计的主要职责 审计部门的主要职责是： 一、拟定公司内部审计制度，编制年度审计计划和审计预算； 二、对公司及各分支机构各项经营活动和财务活动的真实性和合规性进行监督、检查和评价； 三、对公司及各分支机构内部控制体系以及风险管理 体系的健全性、合理性和有效性进行监督、检查和评价，并出具年度内部控制评估报告； 四、对董事及高级管理人员在任职期间所进行的经营管理活动进行审计检查； 五、对公司及各分支机构经营效益等事项进行专项审计； 六、对公司信息系统进行审计； 七、对被审计单位整改情况进行后续审计； 八、处理董事会审计委员会交办的日常工作； 九、法律法规规定和公司要求的其他审计事项。 第四条审计范围 审计工作范围涵盖公司全部业务。审计部门必须在整个工作领域内，明确订立出各个需要被查核的区域，以利查核工作的进行。 审计工作范围包括 一、业务审计； 二、财务审计； 三、合规审计（包括定期进行反洗钱和反恐怖融资方面的审计等）； 四、董事及高级管理人员审计； 五、根据公司管理层的要求进行的专项调查； 六、公司外部有关部门（政府监管部门、股东方及会计师事务所）检查所发现的重大管理缺失事项的追踪。 第五条 审计制度 公司制定公司内部审计制度。审计制度是内部审计的基本行为准则，是审计人员在任何情况下都必须遵守的原则。 第六条 审计程序与方法风险评估及审计计划步骤 3: 评估固有风险 / 评价控制设计步骤 2: 业务流程分析步骤 1： 审计业务计划 步骤 4: 控制运行有效性的测试/评估剩余风险 步骤 5: 审计执行结束审计执行 公司审计部门采用风险/控制的审计方法。完整的审计程序包括审计业务计划，业务流程分析，评估固有风险/评价控制设计，控制运行有效性的测试/评估剩余风险及审计执行结束。审计执行循环如下：第二章 审计业务计划 第七条 年度审计计划目的 审计部门须对每一年度的审计项目安排年度审计计划。年度审计计划编制的目的在于： 一、确保审计工作满足公司内部管理和外部监管的需 要； 二、使审计部门与被审计单位之间在工作安排方面协 调一致； 三、确保审计项目的时间和人员安排充分并且适当。 第八条 年度审计计划要素 年度审计计划包括将于该年度内实施的所有常规审计项目。年度审计计划的要素包括各审计项目范围，涉及部门及项目的时间安排，包括现场工作日及审计报告提交日。所有包含于年度审计计划中的审计项目均应编号。项目编号以年份加顺序号组成。 第九条 年度审计计划的编制程序 一、审计范围和可审计单位 审计工作的范围涵盖公司全部业务。公司业务中凡被内部审计人员或外部审计人员（政府监管部门或查帐会计师事务所）认为须作查核的领域，全部包括在审计范围之内。审计工作应以审计范围内各业务运作流程的内部控制制度的建立和执行情况为重点。 以审计工作的可操作性考虑，审计范围整体应分成若干个可审计单位。每一个可审计单位都应该可以单独被查核，但又与整个内部审计计划相联系。 可审计单位的划分，以各项业务操作的流程为宜，不受业务部门的限制。 二、审计项目之选择 根据确定的可审计单位，审计部门主管应充分考虑以下因素，确定年度审计项目，编制年度审计计划。 （一）风险高及公司策略重点的可审计单位审计次数应更频繁； （二）为确保审计项目的完整性及有效性，审计项目应涵盖业务审计，资讯技术审计及财务审计等审计范围； （三）审计项目涵盖的范围及其及时性应使内部审计工 作价值最大化，并为外部审计师提供帮助； （四）每一审计项目的确定及人员安排应确保审计报告 在审计工作开始后60天内发表。 第十条 年度审计计划之核准 内部审计部门应于每年12月底前完成下一年度审计计划，并呈报公司领导及董事会核准。年度审计项目列表详见附件1。 年度审计工作计划详见附件2。 第十一条 审计项目计划的目的 每一审计工作皆须经过适当的事先规划，以确保内部审计工作能有效果并有效率地完成，同时符合内部审计部门的审计作业方法和程序以及有关法律法规的要求。 第十二条 审计计划备忘录 审计人员应对每一个审计项目编制审计计划备忘录。 审计计划备忘录如附件3。 第十三条 监管环境 审计人员应明确主要的监管机关，确保已了解监管环境，并已考虑重要的监管约束。应咨询法规遵循主管，考虑是否有特殊监管约束需要在审计过程中引起注意。 第十四条 以前年度审计发现事项 为确保以前年度审计发现事项得到妥善解决，再次审计时应对以前年度审计发现事项进行追踪。编制审计发现事项追踪表，清楚的列明所有审计发现事项完成情况。 第十五条 法规遵循及风险管理关注重点 与法规遵循及风险管理主管讨论他们是否有特别关注的，希望在审计过程中引起审计部门重视的问题。 第十六条 初步会议 每一审计项目在现场工作实施之前，应提前足够的时间开始计划。有关审计人员应先与被审计单位的主管举行初步会议，对被审计单位的业务及业务风险进行了解，取得被审计单位主管对风险评估的看法和观点，建立沟通渠道。 第十七条 审计通知的发送审计部门应在每一项审计现场工作开始前五至十个工作日内发出审计通知。审计通知以邮件的形式发送至被审计单位的主管，同时抄送公司管理层。审计通知由审计部门主管发送。 一、审计通知的内容审计部门应使用标准格式的受权调查范围，详述本次审计的目的，范围，方法，所需工作时间及人员，日程安排。审计通知书的格式如附件4。第三章 业务流程分析 第十八条审计范围及业务系统描述 审计部门应全面了解业务系统，以便深入了解审计领域及其相关的业务风险。可从公司内部或公司外部获得对业务系统的总体了解。公司内部的信息来源包括以前年度审计工作底稿、审计报告、组织架构图、制度和程序、管理报告、法规遵循报告以及外部审计报告。外部信息来源包括行业出版物、政府监管或法律方面的出版物、电视媒体以及其它电子或书面媒体。交易处理所采用的系统整合所有的业务处理，该系统包括销售人员获取商业信息的系统、风险管理系统以及财务控制使用的内部结算及支付系统、总帐系统和管理信息系统。审计人员必须充分了解上述各系统的运用以及各系统间的连接，如有必要，可请资讯技术审计人员协助。审计部门对业务系统及组织架构取得了解后，应编制系统描述，并记录于工作底稿中。对业务及系统环境取得深入了解后，便可设定审计范围。 审计部门还应向管理层获取最新的组织架构图，并归入工作底稿中。如果管理层无法提供最新的组织架构图，应要求其编制，并将该问题做书面记录。 第十九条 财务信息 为评价某特定业务领域的风险等级，审计人员应获取有关业务规模、资产负债状况、业务限制以及预算执行情况的信息。这些信息应从风险管理部门和财务部门获取。 第二十条 流程图和穿行测试 应对不同类型的业务流程做穿行测试，并编制流程图。 一、流程图： 制作一个流程图的流程包括： （一）从现有的文档或系统用户中获取相关文件、资料及交易流，它们的制作及传送；及 （二）确保所有文件及复印件以存档、处理、传送给他人或传递到另一图表的方式列示。 流程图应包括的重要项目： （一）主要输入来源； （二）使用的重要数据文件、记录； （三）重要的流程步骤，包括系统自动程序及手工输入系统程序； （四）主要产出的文件、报告及记录； （五）支持流程的IT应用程序； （六）位置； （七）部门。 流程图帮助了解流程及协助识别哪里可能发生重要错误和哪里存在控制防止或发现这些错误。 流程文字描述工作表见附件5。 二、穿行测试： 在穿行测试中，审计人员从头到尾观察一个样本（一个或可能的话两个交易）以确定审计人员对系统或流程的了解，并协助识别流程中的重要控制点。穿行测试不能使审计人员得出一系列程序已遵照执行的结论，只用于确认流程。 使用每种类型的典型交易来充分确认各流程及系统。穿行测试应是充分的、详细的，以确认是否所描述的就是实际发生的。审计小组应通过充足的询问，以确定所描述的控制是否被常规执行。 发现任何例外情况，应更新流程文件（流程图和文字描述）。 穿行测试工作表见附件6。 第二十一条 业务流程的确认 记录的业务流程是否正确，应取得流程所有者（那些流程运行的负责人）的确认，可以一起审核并讨论这些书面文件，也可以向流程所有者提供书面文件草稿并要求反馈。任何确认的修改应在审计工作底稿中保留修改依据。第四章评估设计有效性 第二十二条 识别及评估风险 设计评估步骤的目的是确认并更新被审计单位的风险。 一、在对被审计单位业务有了初步了解后，审计小组应 识别对达成业务目标或价值驱动力产生负面影响的风险。识别的风险应与不同的风险类型相关联（信用、市场、业务、运营和保险风险）。业务风险业务风险是“在一个特定的业务中”的风险，例如公司费用、业务持续性、销售额等方面遭遇与预期不同的可能性。信用/转让风险信用风险是公司遭遇证券发行商、交易对手、借款人、中介机构的信用质量发生变化的风险。转让风险指海外机构持有的资金不能遣返或由于政府限制，有偿付能力的外国客户或交易对手不能取得可自由兑换的货币。保险风险保险风险可以如下分类: 死亡率风险是由于死亡的发生或非发生而引起现金流的时间和金额的偏差。 P&C风险包括将来理赔支付的可变的规模、频率及时间，悬而未决理赔的发展和分摊损失而调整的费用。 发病率风险是由于投保人发病率的变动而产生的理赔等级和时间的可变性风险。市场风险市场风险是与利率、资产价格、房产价格、外币兑换率、或其它经济因素相关的风险。运营风险运营风险是由于不足够或失败的内部流程、人员及系统或外部事件而造成直接或间接损失的风险。它包括信誉风险，它不是直接的或是第二顺序影响运营的风险。同样，项目风险也是运营风险的一种形式。运营风险可以分为10种子风险类型: 控制风险由于未遵循已建立的内外部业务标准或准则而发生的损失。未授权行为风险未经授权的雇员交易、批准或者超越授权而引起的损失。操作风险交易处理中无意的人员操作错误而引起的损失。雇佣及工作场所安全风险由于与雇佣、健康或安全法律或协议不一致的行为，形成的付款或人员伤害的理赔，或由于差异性/歧视事件而造成的损失。信息 (技术)风险由于可使用数据不足够、数据的完整性、数据的保密性或系统信息安全引起的损失，由于系统设计不充分和IT系统（处理，交流，信息）中断及由于IT应用程序/软件的故障而引起的损失。内部欺诈包括公司内部至少一个人参与犯罪或欺诈行为而引起的损失。外部欺诈由公司外部人员的犯罪或欺诈行为而引起的损失。危机管理 & BCP/DRP 风险由外部事件，自然（地震，暴风雨等）或人为（故意破坏，炸弹袭击）等引起的损失。合规风险由于未遵循适当的法律、法规及标准而对公司的诚信受损，导致对公司名誉的损害，法律或监管制裁，或财务损失的风险。人身及物理安全风险 与公司房产或可移动资产保护相关的风险，包括第三者的进入，盗窃，火灾，贵重物品的保护，安全器材的可用性及用品持续的供给。与商务旅行中公司人员的安全、外籍人员派驻、项目执行及他们办公室环境相关的风险。 分析结果应概括于风险控制矩阵（Risk Control Matrix，简称RCM）中。RCM中包含的风险应根据被审计单位的业务目标、价值驱动力等审核其相关性和完整性,在审计业务计划和业务流程分析阶段，如对业务有进一步的了解和认识，应及时更新RCM。RCM是重要的审计档案，用于归纳相关风险、控制、测试及审计结果。审计部门主管应确保编制高质量的RCM，RCM与工作底稿做交叉索引并归入审计档案中。 风险控制矩阵如附件7。 二、评估固有风险 （一）风险要素 在识别和分类风险后，审计人员需要评估固有风险。风险的重要元素：可能性和影响。理解每个风险的特性是重要的，这将对后续评估相关控制的设计和运作有效性起到重要作用。 对于每个识别的风险，应通过考虑潜在的影响（风险可能引起的质和量的影响）和可能性（风险发生的可能性）来评估固有风险。 （二）固有风险 固有风险指在没有任何控制去管理一个特定风险的情况下该风险可能导致的危险。 （三）风险足迹 在评估固有风险前，审计小组根据“标准业务单位”的风险足迹完成固有风险评级。请记住用于固定风险评估的风险足迹将来也会用于剩余风险的评估。根据不同风险足迹中风险的影响和可能性,评估固有风险和剩余风险级别（即严重、高级、中级和低级）。 影响及可能性的分数应在风险足迹中标绘以取得整体风险影响分数（严重、高级、中级和低级）和每个风险的颜色（红、橙、黄和绿）。标准业务单位每月一次每季度一次每年一次 每5年一次每10年一次Euro010.00030.000100.000300.0001 mln3 mln10 mln30 mln100 mln300 mln300 mln低级中级高级严重一种颜色状态（红、橙、黄或绿）相应的分配到严重、高级、中级和低级的风险级别。影响的金额代表区间，如0 - 10.000，10.000以上 30.000，30.000以上 100.000等。 （四）风险等级严重风险对业务目标和/或价值驱动力的影响非常重大。管理层应决定就当前已暴露的风险，立即建立降低风险的程序。如果没有预算，应安排专项资金。高级风险对业务目标和/或价值驱动力的影响是重大的。管理层应决定就当前已暴露的风险，尽快建立起降低风险的程序。中级风险对业务目标和/或价值驱动力的影响是不重大的。然而，管理层应制定行动计划确保及时降低风险以避免情况恶化。低级风险对业务目标和/或价值驱动力的影响是忽略不计的。然而，管理层应监控风险并采取适当且必要的措施来预防风险变得重大。 对影响和可能性的评估及风险分类（严重、高级、中 级和低级）应被记录在审计文档并归结在风险/控制矩阵中。当对严重性和可能性的判断发生变化时，应在审计文档中清晰的记录原因。 影响风险可能性的因素：交易量大，其他情况相同时，意味着与交易量小相比更高的错误可能性。交易复杂，其他情况相同时，意味着与交易简单相比更高的错误可能性。 第二十三条 识别及评估控制 该设计评估步骤的目的是: 确定并更新已识别风险对应的现有控制，并将控制与风险控制矩阵（RCM）中每个范围内的风险相互匹配; 测量被审计单位每个领域暴露的“净”风险，评估被审计单位总体控制设计的充足性。 一、识别及分类控制 （一）控制类型 每个评估的风险，审计人员需要根据他们的时间和性质，识别、分类、记录及评估与该风险相关的控制： 时间： - 指导性或预防性控制：一种通过明确的确保风险不会发生来寻求限制风险的控制。一个好的例子是双重签核一份合同。 - 修正性或发现性控制: 一种在事情发生后通过“调整”（即更正）以确保风险不会变大的控制。例如项目会议或预算监控使管理层审核和评估当前进程，这样，可能的问题（延迟、差异、假设错误等）能容易调整。性质: - 人工: 人工控制由人员执行。 - 自动: 自动控制发生在没有人员介入，植入软件程序以预防或发现未经授权的交易，或允许交易的处理。 - 依靠人工/IT: 这些控制同时有人工和自动元素。一个控制可能依靠自动化流程但控制的关键元素可能是人工的。例如，一个控制可能包括系统审核采购订单、收货单及发票的匹配。系统将自动生成不匹配的例外报告（自动元素），再由人工审核并清理（人工元素）。 - 终端用户: 某些控制流程可能运用终端客户应用程序例如电子表格、数据库和终端用户编码。 （二）关键控制登记表/测试工作表 在关键控制登记表/测试工作表上记录这些控制。 关键控制登记表/测试工作表有双重的目的。它适用于： 记录（关键）控制; 记录关键控制的测试（步骤和测试结果）。 关键和非关键控制都可以使用关键控制登记表/测试工作表。 关键控制登记表/测试工作表如附件8。 通过RCM上的文件链接，关键控制登记表/测试工作表上描述的控制映射到风险/控制矩阵上关联的风险。 二、评估控制 评估每个控制降低每个风险的充足性，使用“高级、中级和有限”的控制有效性级别，并记录在风险/控制矩阵中。使用以下标准评估控制有效性的高级、中级和有限的：高级有效：可以依靠自己本身来降低风险的控制。 中级有效 ：能很大程度降低风险，但不能完全降低风险的控制。 有限的有效：能降低风险，但不是有效的。 三、评估控制设计 针对每个风险，评估相应控制设计的总体充足性。这个评估应被记录在风险/控制矩阵中。 使用选择的风险足迹作为剩余风险影响和可能性评分的基础。剩余风险评估应记录在风险/控制矩阵中。 剩余风险的评估要求测试控制运行的有效性，一旦完成运行有效性测试，应更新剩余风险评估。当剩余风险评估仍在一个不能接受的水平上（严重、高级、中级），审计人员可建议额外的控制或加强现有的控制以降低剩余风险水平。相反，当剩余风险被认为可接受的，可能有机会识别“过度控制”的地方。 四、识别关键控制 关键控制是指在审核/评估控制设计的基础上，能（单独或与其他控制一起）很大程度降低固有风险的控制。此外，审计人员应考虑是否该控制的失败会导致剩余风险水平到严重、高级或中级。如果是这样的话，该控制应被视为一个关键控制。审计人员应考虑，在一个“过度控制”的情况下，哪个控制是“关键”的。 被识别为关键控制的控制应在风险/控制矩阵和关键控制登记表/测试工作表上注明。 关键控制应评估其设计有效性，然后测试以确认他们运行的有效性。评估关键和非关键控制的目的是为了关注重要的控制以帮助提高审计测试的效率和效果。 五、与被审计单位确认设计评估 风险和控制评估应与管理层分享。考虑被审计单位的反馈，适当的话，更新评估（RCM）。确保审计轨迹能完整地证明变化及理由。 （一）注释: 固有风险评估 审计人员应与管理层讨论已识别的风险和控制的存在性、完整性及其评估。 注意，管理层可能不能理解即使存在控制以预防风险的产生，但风险仍会存在。 注释: 控制设计评估 目标是： 确认识别的控制已准确地被描述； 确认所有相关控制已被识别； 确认控制已被准确地映射到相关的风险； 确认每个控制的重要性 (高级、中级和有限的有效)； 确认每个风险的控制设计评估；及, 确认识别的任何控制差距或过度控制的地方，及他们的重要性和行动计划； 识别关键控制。 （二）问题及缺陷表 任何商定的控制差距都应制定一个行动计划。相反地，过度控制的地方可能导致重新调整/合理化控制和运营资源。发现的问题应记录在问题及缺陷表上，与相关的风险/控制矩阵互相进行索引。行动计划应包括执行的完成日期和负责人。问题及缺陷表是RCM上列出所有相关控制问题的初步登记表（设计和运行有效性）。因此，它可能涉及控制的缺失，控制设计的缺陷，和运行有效性的缺陷。完整的总体审核能帮助发现是否问题和缺陷存在相同的根源或者相同的地方。总体审核同样能帮助决定需要包括在审计报告执行摘要中的关键风险领域（一些问题和缺陷应合并成一个发现）。 问题及缺陷表如附件9。第五章测试运行有效性 第二十四条 记录测试程序 本步骤的目的是编制书面的测试程序，包括适当的测试目的，详细描述测试深度，及测试方法。 一、记录测试目的、测试深度及测试方法 识别了最适当的关键控制来进行测试后，审计人员应编制测试的特定步骤，以满足关键控制登记表/测试工作表中的测试目的。包括测试目的、测试深度及测试方法。 以下规则能用来评估哪些控制测试应得到关注： 如果一个关键控制被评估为设计有效，应得到测试； 如果当一个关键控制只有与其他控制在一起时才被评估为有效，那么，这些控制都应得到测试； 如果一个关键控制被评估为无效，通常情况下不用进行测试。但是，一个设计无效的控制可能得到测试，用于决定该控制缺陷的影响。 注释：测试目的 控制运行有效性测试 正确设定测试目的是非常重要的，因为这是确保执行的工作有价值的起点。测试目的应直接从关键控制登记表/测试工作表的控制描述中获得。行动应明确和直接为了获取证据（核查/证实等）而不应含糊不清（审阅、了解、讨论等）。 注释：测试目的 实质性测试 运行无效的控制需要额外的测试，例如，对运行的项目重新执行一遍控制或进行实质性核查，以证实他们的完整性和正确性。例如，控制设计及运行测试发现例外情况，实质性测试可以提供额外的审计证据。实质性测试程序可以包括分析性复核，将余额/项目与原始凭证或独立的文件进行核对及重新计算或核实该项目。 注释：测试深度 下表可以用来作为测试运行有效性水平的指导：控制 - 设计固有风险严重高级中级低级高级降低测试有效性（TOE）测试有效性（TOE）减少有效性测试（Reduced TOE）X中级降低减少有效性测试（Reduced TOE）减少有效性测试（Reduced TOE）XX 注释：测试方法 有多种方法来执行测试以获取审计证据。审计人员应选择能达到测试目的的最合适的方法。包括： 证实性的询问 向员工、管理层及服务提供者询问以获取程序和控制的资料。管理层可能被要求提供他们对控制运行有效性满意的资料。通过询问的测试方法通常没有其他形式的测试可靠，可能需要与其他形式的测试一起，为审计人员的结论提供充分的证据支持。 观察 直接观察员工的实际操作，以查看控制是否按设计运行。当确认员工培训及技能水平时，审计人员应考虑审计人员在场的情况下对控制运行表现的影响 如，如果审计人员不在场，该控制运行是否如此彻底。 检查 通过检查或盘点资产、及阅读、追踪、审核支持性文件、比较及核对记录来获取证据。检查是高级有效的测试形式，因为他们能为审计人员的结论提供更需要的证据支持。 确认函 此测试方法用于比较内部记录与第三方记录。确认函是高级有效的测试形式，但是，它被限制在当有第三方参与的情况下使用。 重新执行 此方法包括审计人员重新全部或部分执行被审计单位的运作。它只有在审计人员需要确保计算或记数的正确性情况下使用。审计人员在决定进行重新执行相关运作时应注意，因为那将化较多时间。 分析性复核程序 在测试阶段可能需要用到分析性复核。例如，在风险评估时发现不利的趋势，可能需要进一步分析，更深层次专研，及锁定推动这种趋势的特定的一组交易，以确定可能造成控制失败的根本原因。 二、记录测试程序 每一个测试程序应清楚地记录在关键控制记录表/测试工作表中。测试程序应能被充分理解，确保审计人员提供充足的证据使得工作底稿审核人员能判定测试了什么及测试的结果，及可以执行随后的重新测试。 注释：关键控制登记表/测试工作表 测试工作底稿应要求审计人员记录： 测试的控制； 测试数据的来源； 规模或控制执行的频率及样本量； 样本选取的方法； 测试的根本特征； 测试结果；及 审计测试的结论，包括任何控制例外的详细情况。对每一项控制例外，应记录是否有追踪测试或行动。 第二十五条 确定抽样方法 本步骤的目的是评估和记录通过抽样获取的审计证据的充分性。 一、识别和定义规模 测试控制时，先识别和定义控制发生的频率（样本总量）。确保样本总量尽可能的清楚和完整，以确保表现所有元素。 注释：样本总量 样本总量是指收集到的项目总量，审计人员将对该项目总量发表一个结论。它也可以指“样本架构”，为了一个特定审计测试目的而定义的样本总量。 在测试控制有效性时，审计人员应定义控制发生的总次数。例如，审计人员可能识别了对帐发生的频率（每月或每周），这就是样本总量。 二、考虑统计抽样 使用统计抽样时，审计小组应将决定选择统计抽样的原因记录在关键控制登记表/测试工作表中。 注释：统计抽样 统计抽样需要审计人员确定要素的数量及随机抽取项目，允许审计人员定量地表达结果及测量样本风险。因此，当执行实质性测试时使用统计抽样是一个合适的方法。 以下情况应使用统计抽样： 规模超过了定义的最低交易量（如5,000件交易），与审计经理沟通确认最低交易量； 需要精确及确信的推断结果； 绝对确信样本总量能被定义；及 样本总量中的每一项被选到的机会均等。 大部分审计测试，我们通常不会使用统计抽样的方法。相应的，它也不大可能说明从测试结果中获得的保证的水平。 三、考虑非统计抽样 使用非统计抽样时，审计小组应将决定选择非统计抽样的原因记录在关键控制登记表/测试工作表中。 注释：非统计抽样 非统计抽样使用的样本是非正式地（不带有故意和偏见的选择）或判断地（根据判断与测试目的相关联）选择的。非正式地选择是指没有使用特定的标准从一个样本总量中选择项目。判断地选择可以包括，如选择高价值的项目（为了测试适当的批准）。 以下情况应使用非统计抽样： 规模小于设定的最低交易数量限额； 不需要可测量，因为结果不需要推断； 不可能识别整个样本总量或交易量架构； 其他审计证据暗示非常不可能发生错误。 测试控制有效性，最合适的内部审计样本方法是非统计抽样。 四、选择样本量 在关键控制登记表/测试工作表中评估及记录合适的样本量。 注释：统计样本量 影响样本量的因素有以下两个： 可信赖的水平；及 可容忍的错误率。 可信赖的水平定义了需要从审计测试结果中得到的信心的水平。期望可信赖的水平越高，需要测试的样本就越多。 可容忍错误率定义了在控制被认为是有效的之前，能容忍的与描述的控制程序的差异数量。可容忍的错误率越高，需要测试的样本就越少。 注释：非统计抽样样本量 下表用于测试控制运行有效性时选择非统计抽样样本量。测试控制设计（穿行测试）不包括在本表中。必须在关键控制登记表/测试工作表中记录样本选择的基本原理/标准，样本测试程序和测试结果。控制类型控制执行的频率每年每季每月每星期每天每天多次很少手工111268大部分手工1113915自动111111注释：扩大范围测试 在一些情况下，应扩大样本量，如： 测试的结果是否定的，应扩大样本量，评估差异是否是机构性的或偶然的； 控制的重要性及复杂程度和判断的重要性； 失败的风险。 但是，结果不能通过测试的样本来推断。审计人员的判断始终是重要的。 注释：测试周期 测试周期应考虑以下因素： 控制运行的种类和频率； 控制环境的变化和/或在一个期间内的特定控制有复核； 通常，测试周期可以是审计开始日前1个月之前的期间。在一些情况下，不大可能测试年度控制。如果这样，审计小组应将这种情况记录在审计工作底稿中。 注释：减少测试 样本量和测试深度根据期望可信赖的水平及控制运行的频率决定。如果测试水平是减少测试，样本量至少为1个，最多根据统计抽样样本量（见上表）。测试结果应对关键控制运行有效性给出充分的保证。 必须在关键控制登记表/测试工作表中记录样本选择的基本原理/标准，样本测试程序和测试结果。 注释：判断样本量 在所有情况下，一个清晰的选择样本量的基本原理/标准应记录在适当的控制文件中。以下情况，有必要脱离标准样本量： 控制执行的频率？- 控制执行的频率越少，需要越少的样本量来决定控制是否按照设计运行。 控制产生的是什么类型的证据？- 如果执行控制的结果很少或没有证据显示控制按照设计运行，测试可能不能提供必要的证据证明控制在运行。审计人员可能决定在有限的基础上使用更多有说服力的证据。 风险的等级？- 风险产生的影响及可能性？风险影响大的区域依赖控制较重，可能需要增加样本，对控制环境提供适当的保证。 控制环境的有效性？- 考虑控制被忽略或被管理层不顾的可能性。 控制运行有效性的过去经验？- 如果过去控制衰弱，应有足够多的样本量来决定现在的控制是按照设计运行。 测试的整个期间是由相同的员工来管理该控制？- 考虑选择样本时，应考虑是否原来执行控制的员工现在已不再执行该控制，对控制的影响有多大。 五、选择样本 选择样本量后，审计小组需要识别选择样本的方法，及将程序记录在关键控制登记表/测试工作表中。 注释：统计抽样 统计抽样的方法可分为简单随机抽样和系统抽样。 简单随机抽样需要所有项目被抽到的机会是相等的。使用随机号码表来抽样。在规模中的每一项必须代表一个号码。样本量必须已确定。在表中遵循的方向和路径已确定，随机起点已选定，就是第一个被选的项目。随即号码的产生可在Microsoft Excel中找到。 系统抽样可使用在一个样本总量中的物质单元或货币单元。审计人员需要定义抽样的间隔。可将样本总量除以样本量得到。为了防止抽样中的潜在的偏好，建议选择几个随机起点。例如，抽样间隔可以是75，选择三个随机起点，每个随机起点开始各选择20个样本。为进一步防止偏好，审计小组在选择样本前可以确保样本总量是随机排序的。 注释：非统计抽样 偶然选择显示没有故意偏好包括或不包括规模中的某些项目。这是审计人员最佳估计一个代表样本，及代表性地从一份清单中选择交易。 批量选择通过应用审计程序在一套交易中执行，如所有交易在一个特定期间发生。例如，审计人员可能选择所有在三月的第一个星期支付的发票。或者，选择所有发票号1000至1050 。为了最小化风险，应选择几批样本。 判断抽样在选择样本中使用审计人员的判断。判断选择包括选择高额的发票测试批准，最长时间未达帐项，测试其清理的力度和根本原因。 注意非统计抽样结果不能通过选择的样本来推断。 注释：属性抽样 属性抽样适合执行控制测试时使用。通常控制有效性是通过测量控制程序没有发生的频率来测算的。换句话说，一个程序与管理层描述的为了达到控制目标的差异的频率。测试通常包括“是/不是”决定 尽管是或不是被正确执行。如果这样，审计人员需要事先定义通过或失败的标准。 如果样本的支持性文件丢失，阻碍适当的测试，可被视为一个错误。但是，如果样本是空的，应选择替代样本进行测试。 注释：价值加权抽样 价值加权抽样是根据属性测试的理论，但用于实质性测试。价值加权抽样用于表达频率的结论或者关样本总量中独特的价值。这种抽样技巧，一个抽样单元就是样本总量中的每个货币单元，不管样本总量中有多少逻辑单元（发票的数量等）。测试是根据选择的包括货币单元的交易进行的。 因此，项目越大，被抽样选到的机会就越大。使其成为一个适当的方法，用在对重大余额的正确性形成一个意见。 贷方余额及余额为零时对价值加权抽样形成困难。因此，这些应在抽样前去除。另外分层抽样应包括这些去除的样本。 注释：分层抽样 分层是将一部分样本总量归入子总量的过程，样本就从每一层中抽取。当子总量相当多样，每一层独立抽样是有利的。分层是在抽样前将样本总量中相类似的归成一个组。 各层相互不包括：样本总量中的每一元素必须分到一个层中。各层应包括全体：没有样本总量的元素不包括在其中。每一层采用随机抽样。 第二十六条 评估测试结果 本步骤的目的是： 注释：测试结果 根据测试结果得出与审计目的有关的结论； 确保得出适当的结论时有充足的资料。 一、记录测试结果 为了提供充足的证据证明执行的审计工作，测试结果应记录在关键控制登记表/测试工作表中。 注释：测试结果 审计人员必须总结测试结果，将每一步骤得出的结果记录在关键控制登记表/测试工作表中。在工作表中记录的结果是总结性水平，应编制充足详细的支持性工作底稿，供独立审核，理解结论确切如何得出。另外，工作底稿应充足详细记录，以确保在需要的情况下可以重新测试。 所有文件应与其支持性文件做好交叉索引。 二、将测试结果与其标准进行评估 审计人员应根据获取的证据得出与测试目的相关的结论，及将不满意的结论记录在问题及缺陷表中。 注释：审计证据 审计证据的可靠性由其属性和来源决定。以下证据的可靠性的假定可能有用： 书面证据比口头证据可靠； 第三方产生并直接提供给我们的证据比第三方产生而由被审计客户持有的证据可靠。客户产生并持有的证据最不可靠； 由审计人员产生的分析及实地核查的证据比从其他地方获取的证据可靠。 注释：审计结论满意的结果 测试结果没有显示任何例外情况及因此指出控制运行有效。 单独的例外情况 测试发现一些例外情况，通过我们扩大样本测试或其他进一步调查，审计人员断定是单独的例外情况，及在主要部分，控制运行有效。 不满意结果 测试及随后的调查显示例外情况足够使得我们得出控制没有得到可靠运行的结论。 审计人员应考虑测试结果对已获得的保证水平的影响。一个不满意的测试结果并不一定需要导致降低已获得的保证的水平，审计人员需要判断。对获得的保证的总体影响取决于： 控制的重要性和是否有其他控制存在可以减轻失败； 有多少其他不满意的测试结果。注释：少数例外情况发现采取的行动少数或占比很少的测试项目没有达到测试标准，审计人员应考虑进一步证据，是否这些例外情况是单独的或它们是否给控制满意运行带来问题。例如，控制例外情况适用整个样本总量（或只限于一个部门、区域或分部）？注释：许多例外情况发现采取的行动审计人员发现高比例的例外情况，或一个控制运行完全缺失的证据，审计人员可能需要采取以上相同的步骤。如果很明显审计人员了解到一个控制存在但没有完全运行，或没有持续运行，审计人员应考虑： 是否发现的证据不能代表常规控制运行。这可能由于在一个限制的期间或一个特定的部分选择测试样本，而例外情况正好存在于其中而产生。应避免选择没有代表性的样本。 是否确实控制没有运行或仅仅是无法获取证据。在这种情况下，可能需要扩大测试，包括重新执行控制，或者寻找一些其它确定的证据，表明控制实际上是运行的但没有证据。 三、了解及记录根本原因 为了了解控制例外的属性，识别导致例外的原因很重要。根本原因分析使审计小组能够与运营单位一起了解发现的例外情况的原因。 根本原因分析应记录在问题及缺陷表中。注释：根本原因分析 根本原因分析的目的是确定问题的来源，关于： 发生了什么？ 为什么发生？ 有什么可以做的，防止它再次发生？ 为了执行根本原因分析，收集尽可能多的关于发现例外情况的资料很重要（如，什么时候发生？在那里发生？哪些控制可以防止发生？），因而，可以识别相关的根本原因。持续资料的收集，直到审计小组确信所有可能的偶然因素都已识别。 四、报告问题及缺陷以下要素应考虑包括在表格中的每一个审计点中： 陈述应清晰、有事实根据及简明。使读者关注问题及造成的影响； 描述问题的先后次序，包括相关量化的评估（财务的或非财务的）及/或任何法律/法规、客户或品牌影响的详细资料。这可以在报告的时候，帮助确定问题的严重性； 根本原因，描述什么导致目前的状况。这将帮助确保管理层制定的解决问题的行动计划是否有效； 审计人员应记录他/她比较了什么标准，测量出缺陷。例如，可能有一条特定的公司制度没有遵循； 审计人员应建议管理层应该采取什么行动去解决问题。建议应关注解决问题的根本原因，而不是征兆或结果及应该可实现。 发现应与管理层讨论并取得管理层的同意。 五、重新评估控制的充足性及当前剩余风险 每一条提出的发现，决定暴露风险的影响/控制差距。在运行有效性测试的基础上，更新在设计评估阶段的控制评估。 注释：控制有效性 在设计评估阶段评估控制充足性，假设所有识别的控制运行有效。 关键控制测试运行有效性发现不足，将影响在设计评估阶段评估的控制。评估应建立在未采取任何行动计划之前的基础上。 给每一个风险提供一个以固有风险等级及控制评估为基础的剩余风险评估。剩余风险的影响及可能性分数应根据选择的风险足迹。 注释：评估暴露的剩余风险 一个考虑固有风险及当前控制（结合在一起）降低该风险的总体充足性的评估，可以用来使审计人员能够将剩余风险的影响分类为严重、高级、中级、低级。 运行有效性测试的结果应与管理层分享并取得他们的同意。考虑被审计客户的反馈，及同意，更新评估（RCM）。确保审计轨迹完整，包括记录与被审计客户确认事项的变更及基本原理。 任何同意的控制差异应制定一个行动计划。相反的，过度控制的区域可能导致控制及运行资源的重新组合和分配。行动计划应包括执行的到期日和负责人。 注释：归结相似的报告问题 存在相似的例外情况，它们的根本原因相同，将这些问题归结在一条建议进行报告。例如，充足的职责分离在很多程序中被运用，应合并成一条发现。第六章审计执行结束 第二十七条技术复核 本步骤的目的是： 确保执行的工作及编制的记录遵循受权调查范围，能充分支持提出的问题，及所有发现已被提出。 确保工作底稿是充分的，外部机构能充分信赖已执行的工作，特别是测试可重新执行。 一、复核工作底稿 在审计过程中，应执行工作底稿的复核。每一张工作底稿应有一位审计人员编制，一位较资深的审计人员复核。保存复核证据及对复核要点进行清理的底稿。 注释：工作底稿复核目的现场工作中复核工作底稿的目的，应确保任何现场发现问题能在现场工作结束前得到解决。复核应确保： 审计工作是根据同意的范围执行的； 执行的工作能充分支持提出的问题； 审计工作是根据专业的标准执行的； 审计重大判断及结论是适当的；及 执行的工作，结果和结论被充分的记录。如果可能，复核工作应在现场进行。复核的时间、范围倚赖多种因素，包括： 区域的主观性和复杂性； 编制工作底稿的人员的能力和经验； 复核人员的能力和经验