内部审计作业手册

1、内部审计作业手册目录第一章内部审计概述 1第二章审计业务计划 4第三章业务流程分析 8第四章评估设计有效性 11第五章测试运行有效性 22第六章审计执行结束 39第七章审计报告 43 附件 1 年度审计项目列表附件 2 年度审计工作计划附件 3 审计计划备忘录附件 4 审计通知书附件 5 流程文字描述工作表附件 6 穿行测试工作表附件 7 风险控制矩阵附件 8 关键控制登记表 / 测试工作表附件 9 问题及缺陷表 附件 10 审计报告格式第一章内部审计概述第一条审计使命评估审计部门直接对公司总裁办负责， 为公司管理层 公司记录、内部控制制度、管理资讯系统及作业系统是否 健全、完善、有效。协助公

2、司管理层发现业务发展中可能 存在的风险，并提出如何建立适当的制度、内部控制系统 和程序来充分地、有效地管理控制风险。第二条 审计组织公司设立审计部，作为专职的内部审计机构。审计部 的日常审计工作直接向公司总裁办汇报。同时，审计部作 为审计委员会下设的办公室，负责处理审计委员会交办的 日常工作。第三条审计的主要职责审计部门的主要职责是：一、拟定公司内部审计制度，编制年度审计计划 审计预算；二、对公司及各分支机构各项经营活动和财务活动的 真实性和合规性进行监督、检查和评价；三、对公司及各分支机构内部控制体系以及风险管理 体系的健全性、合理性和有效性进行监督、检查和评价， 并出具年度内部控制评估报告

3、；四、对董事及高级管理人员在任职期间所进行的经营 管理活动进行审计检查；五、对公司及各分支机构经营效益等事项进行专项审 计；六、对公司信息系统进行审计；七、对被审计单位整改情况进行后续审计；八、处理董事会审计委员会交办的日常工作；九、法律法规规定和公司要求的其他审计事项。第四条审计范围审计工作范围涵盖公司全部业务。审计部门必须在整 个工作领域内，明确订立出各个需要被查核的区域，以利 查核工作的进行。审计工作范围包括一、业务审计；二、财务审计；三、合规审计（包括定期进行反洗钱和反恐怖融资方 面的审计等）；四、董事及高级管理人员审计；五、根据公司管理层的要求进行的专项调查；六、公司外部有关部门（政

4、府监管部门、股东方及会 计师事务所）检查所发现的重大管理缺失事项的追踪。第五条审计制度公司制定公司内部审计制度。审计制度是内部审 计的基本行为准则，是审计人员在任何情况下都必须遵守 的原则。第六条审计程序与方法公司审计部门采用风险/控制的审计方法。完整的审计 程序包括审计业务计划， 业务流程分析，评估固有风险/评价 控制设计，控制运行有效性的测试/评估剩余风险及审计执行 结束。审计执行循环如下：第二章审计业务计划第七条 年度审计计划目的审计部门须对每一年度的审计项目安排年度审计计划。年度审计计划编制的目的在于：一、确保审计工作满足公司内部管理和外部监管的需 要；二、使审计部门与被审计单位之间在

5、工作安排方面协 调一致；三、确保审计项目的时间和人员安排充分并且适当。第八条年度审计计划要素年度审计计划包括将于该年度内实施的所有常规审计 项目。年度审计计划的要素包括各审计项目范围，涉及部 门及项目的时间安排， 包括现场工作日及审计报告提交日 所有包含于年度审计计划中的审计项目均应编号。项目编 号以年份加顺序号组成。第九条年度审计计划的编制程序一、审计范围和可审计单位审计工作的范围涵盖公司全部业务。公司业务中凡被 内部审计人员或外部审计人员（政府监管部门或查帐会计 师事务所）认为须作查核的领域，全部包括在审计范围之 内。审计工作应以审计范围内各业务运作流程的内部控制制度的建立和执行情况为重点

6、以审计工作的可操作性考虑，审计范围整体应分成若 干个可审计单位。每一个可审计单位都应该可以单独被查 核，但又与整个内部审计计划相联系。可审计单位的划分，以各项业务操作的流程为宜，不 受业务部门的限制。二、审计项目之选择根据确定的可审计单位，审计部门主管应充分考虑以 下因素，确定年度审计项目，编制年度审计计划。（一）风险高及公司策略重点的可审计单位审计次数应 更频繁；（二）为确保审计项目的完整性及有效性，审计项目应 涵盖业务审计，资讯技术审计及财务审计等审计范围；（三）审计项目涵盖的范围及其及时性应使内部审计工 作价值最大化，并为外部审计师提供帮助；（四）每一审计项目的确定及人员安排应确保审计报

7、告 在审计工作开始后 60 天内发表。第十条 年度审计计划之核准内部审计部门应于每年 12 月底前完成下一年度审计 计划，并呈报公司领导及董事会核准。年度审计项目列表详见附件 1。年度审计工作计划详见附件 2。第十一条 审计项目计划的目的每一审计工作皆须经过适当的事先规划，以确保内部 审计工作能有效果并有效率地完成，同时符合内部审计部 门的审计作业方法和程序以及有关法律法规的要求。第十二条 审计计划备忘录 审计人员应对每一个审计项目编制审计计划备忘录。 审计计划备忘录如附件 3。第十三条 监管环境 审计人员应明确主要的监管机关，确保已了解监管环 境，并已考虑重要的监管约束。应咨询法规遵循主管，

8、考 虑是否有特殊监管约束需要在审计过程中引起注意。第十四条 以前年度审计发现事项 为确保以前年度审计发现事项得到妥善解决，再次审 计时应对以前年度审计发现事项进行追踪。编制审计发现 事项追踪表，清楚的列明所有审计发现事项完成情况。第十五条 法规遵循及风险管理关注重点 与法规遵循及风险管理主管讨论他们是否有特别关注的，希望在审计过程中引起审计部门重视的问题。第十六条 初步会议 每一审计项目在现场工作实施之前， 应提前足够的时间 开始计划。有关审计人员应先与被审计单位的主管举行初 步会议，对被审计单位的业务及业务风险进行了解，取得 被审计单位主管对风险评估的看法和观点，建立沟通渠道。第十七条 审计

9、通知的发送审计部门应在每一项审计现场工作开始前五至十个工 作日内发出审计通知。审计通知以邮件的形式发送至被审 计单位的主管，同时抄送公司管理层。审计通知由审计部门主管发送。一、审计通知的内容审计部门应使用标准格式的受权调查范围， 详述本次审 计的目的，范围，方法，所需工作时间及人员，日程安排。审计通知书的格式如附件 4。第三章业务流程分析第十八条 审计范围及业务系统描述审计部门应全面了解业务系统，以便深入了解审计领 域及其相关的业务风险。可从公司内部或公司外部获得对 业务系统的总体了解。公司内部的信息来源包括以前年度 审计工作底稿、审计报告、组织架构图、制度和程序、管 理报告、法规遵循报告以及

10、外部审计报告。外部信息来源 包括行业出版物、政府监管或法律方面的出版物、电视媒 体以及其它电子或书面媒体。交易处理所采用的系统整合 所有的业务处理，该系统包括销售人员获取商业信息的系 统、风险管理系统以及财务控制使用的内部结算及支付系 统、总帐系统和管理信息系统。审计人员必须充分了解上 述各系统的运用以及各系统间的连接，如有必要，可请资 讯技术审计人员协助。审计部门对业务系统及组织架构取 得了解后，应编制系统描述，并记录于工作底稿中。对业 务及系统环境取得深入了解后，便可设定审计范围。审计部门还应向管理层获取最新的组织架构图，并归 入工作底稿中。如果管理层无法提供最新的组织架构图， 应要求其编

11、制，并将该问题做书面记录。第十九条财务信息为评价某特定业务领域的风险等级，审计人员应获取 有关业务规模、资产负债状况、业务限制以及预算执行情 况的信息。这些信息应从风险管理部门和财务部门获取。第二十条 流程图和穿行测试 应对不同类型的业务流程做穿行测试，并编制流程图。一、流程图：制作一个流程图的流程包括：（一）从现有的文档或系统用户中获取相关文件、资料 及交易流，它们的制作及传送；及（二）确保所有文件及复印件以存档、处理、传送给他 人或传递到另一图表的方式列示。流程图应包括的重要项目：（一）主要输入来源；（二）使用的重要数据文件、记录；（三）重要的流程步骤，包括系统自动程序及手工输入 系统程序

12、；（四）主要产出的文件、报告及记录；（五）支持流程的 IT 应用程序；（六）位置；（七）部门。流程图帮助了解流程及协助识别哪里可能发生重要错 误和哪里存在控制防止或发现这些错误。流程文字描述工作表见附件 5。二、穿行测试：在穿行测试中，审计人员从头到尾观察一个样本（一 个或可能的话两个交易）以确定审计人员对系统或流程的 了解，并协助识别流程中的重要控制点。穿行测试不能使 审计人员得出一系列程序已遵照执行的结论，只用于确认 流程。使用每种类型的典型交易来充分确认各流程及系统。 穿行测试应是充分的、详细的，以确认是否所描述的就是 实际发生的。审计小组应通过充足的询问，以确定所描述 的控制是否被常规

13、执行。发现任何例外情况，应更新流程文件（流程图和文字 描述）。穿行测试工作表见附件 6。第二十一条 业务流程的确认记录的业务流程是否正确，应取得流程所有者（那些 流程运行的负责人）的确认，可以一起审核并讨论这些书 面文件，也可以向流程所有者提供书面文件草稿并要求反 馈。任何确认的修改应在审计工作底稿中保留修改依据。第四章评估设计有效性第二十二条识别及评估风险设计评估步骤的目的是确认并更新被审计单位的风险。一、在对被审计单位业务有了初步了解后，审计小组 应 识别对达成业务目标或价值驱动力产生负面影响的风 险。识别的风险应与不同的风险类型相关联（信用、市场、业务、运营和保险风险）。业务风险业务风险

14、是“在一个特定的业务中”的 风险，例如公司费用、业务持续性、销 售额等方面遭遇与预期不同的可能性。信用/转让风险信用风险是公司遭遇证券发行商、交易 对手、借款人、中介机构的信用质量发 生变化的风险。转让风险指海外机构持 有的资金不能遣返或由于政府限制，有 偿付能力的外国客户或交易对手不能 取得可自由兑换的货币。保险风险保险风险可以如下分类：死亡率风险是由于死亡的发生或非 发生而引起现金流的时间和金额的 偏差。* P&C风险包括将来理赔支付的可变 的规模、频率及时间，悬而未决理赔 的发展和分摊损失而调整的费用。发病率风险是由于投保人发病率的 变动而产生的理赔等级和时间的可 变性风险。市场风险市场

15、风险是与利率、资产价格、房产价 格、外币兑换率、或其它经济因素相关 的风险。运营风险运营风险是由于不足够或失败的内部 流程、人员及系统或外部事件而造成直 接或间接损失的风险。它包括信誉风 险，它不是直接的或是第二顺序影响运 营的风险。同样，项目风险也是运营风 险的一种形式。运营风险可以分为10种子风险类型控制风险由于未遵循已建立的内外部业务 标准或准则而发生的损失。未授权行为风险未经授权的雇员父易、 批准或者超 越授权而引起的损失。操作风险交易处理中无意的人员操作错误 而引起的损失。雇佣及工作场所安全风险由于与雇佣、健康或安全法律或协 议不致的行为，形成的付款或人 员伤害的理赔，或由于差异性/

16、歧视事件而造成的损失。信息（技术）风 险由于可使用数据不足够、 数据的完 整性、数据的保密性或系统信息安 全引起的损失，由于系统设计不充 分和IT系统（处理，交流，信息） 中断及由于IT应用程序/软件的故 障而引起的损失。内部欺诈包括公司内部至少一个人参与犯 罪或欺诈行为而引起的损失。外部欺诈由公司外部人员的犯罪或欺诈行 为而引起的损失。危机管理 &BCP/DRP 风险由外部事件，自然（地震，暴风雨 等）或人为（故意破坏，炸弹袭击） 等引起的损失。合规风险由于未遵循适当的法律、 法规及标 准而对公司的诚信受损，导致对公 司名誉的损害，法律或监管制裁， 或财务损失的风险。人身及物理安全与公司房产

17、或可移动资产保护相风险关的风险，包括第三者的进入，盗 窃，火灾，贵重物品的保护，安全 器材的可用性及用品持续的供给。 与商务旅行中公司人员的安全、外籍人员派驻、项目执行及他们办公 室环境相关的风险。分析结果应概括于风险控制矩阵 （Risk Control Matrix , 简称RCM ）中。RCM中包含的风险应根据被审计单位的 业务目标、价值驱动力等审核其相关性和完整性，在审计业务计划和业务流程分析阶段，如对业务有进一步的了解和 认识，应及时更新 RCM。RCM是重要的审计档案，用于 归纳相关风险、控制、测试及审计结果。审计部门主管应 确保编制高质量的 RCM，RCM与工作底稿做交叉索引并 归

18、入审计档案中。风险控制矩阵如附件7。二、评估固有风险（一）风险要素在识别和分类风险后，审计人员需要评估固有风险。 风险的重要元素：可能性和影响。理解每个风险的特性是 重要的，这将对后续评估相关控制的设计和运作有效性起 到重要作用。对于每个识别的风险，应通过考虑潜在的影响（风险 可能引起的质和量的影响）和可能性（风险发生的可能性） 来评估固有风险。（二）固有风险固有风险指在没有任何控制去管理一个特定风险的情况下该风险可能导致的危险（三）风险足迹在评估固有风险前，审计小组根据“标准业务单位” 的风险足迹完成固有风险评级。请记住用于固定风险评估 的风险足迹将来也会用于剩余风险的评估。根据不同风险 足

19、迹中风险的影响和可能性，评估固有风险和剩余风险级 别（即严重、高级、中级和低级）。影响及可能性的分数应在风险足迹中标绘以取得整体风险影响分数（严重、高级、中级和低级）和每个风险的 颜色（红、橙、黄和绿）。标准业务单位中级咼级一种颜色状态（红、橙、黄或绿）相应的分配到严重、高级、中级和 低级的风险级别。影响的金额代表区间，如0 - 10.000, 10.000以上-30.000, 30.000 以上 -100.000 等。（四）风险等级严重风险对业务目标和/或价值驱动力的影响非常重大。管理层应决定就当前已暴露的 风险，立即建立降低风险的程序。 如果没 有预算，应安排专项资金。高级风险对业务目标和

20、/或价值驱动力的影响 是重大的。管理层应决定就当前已暴露的 风险，尽快建立起降低风险的程序。中级风险对业务目标和/或价值驱动力的影响 是不重大的。然而，管理层应制定行动计 划确保及时降低风险以避免情况恶化。低级风险对业务目标和/或价值驱动力的影响 是忽略不计的。然而，管理层应监控风险 并采取适当且必要的措施来预防风险变 得重大。对影响和可能性的评估及风险分类 （严重、高级、中 级 和低级）应被记录在审计文档并归结在风险/控制矩阵中。当对严重性和可能性的判断发生变化时，应在审计文档中 清晰的记录原因。影响风险可能性的因素：交易量大，其他情况相同时， 意味着与交易量小相比更高的错误可能性。交易复杂

21、，其 他情况相同时，意味着与交易简单相比更高的错误可能性。第二十三条识别及评估控制 该设计评估步骤的目的是* 确定并更新已识别风险对应的现有控制，并将控 制与风险控制矩阵（RCM ）中每个范围内的风险 相互匹配；*测量被审计单位每个领域暴露的“净”风险，评 估被审计单位总体控制设计的充足性。一、识别及分类控制（一） 控制类型每个评估的风险，审计人员需要根据他们的时间和性质，识别、分类、记录及评估与该风险相关的控制： 时间：- 指导性或预防性控制：一种通过明确的确保风险不 会发生来寻求限制风险的控制。一个好的例子是双重签核 一份合同。- 修正性或发现性控制：一种在事情发生后通过“调 整”（即更正

22、）以确保风险不会变大的控制。例如项目会议或预算监控使管理层审核和评估当前进程，这样，可能 的问题（延迟、差异、假设错误等）能容易调整。性质:-人工：人工控制由人员执行。- 自动：自动控制发生在没有人员介入，植入软件程 序以预防或发现未经授权的交易，或允许交易的处理。- 依靠人工/IT:这些控制同时有人工和自动元素。一 个控制可能依靠自动化流程但控制的关键元素可能是人工 的。例如，一个控制可能包括系统审核采购订单、收货单 及发票的匹配。系统将自动生成不匹配的例外报告（自动 元素），再由人工审核并清理（人工元素） 。- 终端用户：某些控制流程可能运用终端客户应用程 序例如电子表格、数据库和终端用户

23、编码。（二）关键控制登记表/测试工作表在关键控制登记表/测试工作表上记录这些控制。关键控制登记表/测试工作表有双重的目的。它适用于：* 记录（关键）控制； 记录关键控制的测试（步骤和测试结果）。关键和非关键控制都可以使用关键控制登记表/测试工作表。关键控制登记表/测试工作表如附件8。通过RCM上的文件链接，关键控制登记表 /测试工作 表上描述的控制映射到风险 /控制矩阵上关联的风险。二、评估控制评估每个控制降低每个风险的充足性，使用“高级、中级和有限”的控制有效性级别，并记录在风险/控制矩阵中。使用以下标准评估控制有效性的高级、中级和有限的：高级有效：可以依靠自己本身来降低风险的控制。中级有效

24、：能很大程度降低风险，但不能完全降低风险的控制 有限的有效：能降低风险，但不是有效的。三、评估控制设计针对每个风险，评估相应控制设计的总体充足性。这 个评估应被记录在风险/控制矩阵中。使用选择的风险足迹作为剩余风险影响和可能性评分 的基础。剩余风险评估应记录在风险/控制矩阵中。 剩余风险的评估要求测试控制运行的有效性，一旦完成运行有 效性测试，应更新剩余风险评估。当剩余风险评估仍在一 个不能接受的水平上（严重、高级、中级），审计人员可建议额外的控制或加强现有的控制以降低剩余风险水平。相 反，当剩余风险被认为可接受的，可能有机会识别“过度 控制”的地方。四、识别关键控制关键控制是指在审核/评估控

25、制设计的基础上，能（单 独或与其他控制一起）很大程度降低固有风险的控制。此 外，审计人员应考虑是否该控制的失败会导致剩余风险水 平到严重、高级或中级。如果是这样的话，该控制应被视 为一个关键控制。审计人员应考虑，在一个“过度控制” 的情况下，哪个控制是“关键”的。被识别为关键控制的控制应在风险 /控制矩阵和关键控制登记表/测试工作表上注明关键控制应评估其设计有效性，然后测试以确认他们 运行的有效性。评估关键和非关键控制的目的是为了关注 重要的控制以帮助提高审计测试的效率和效果。五、与被审计单位确认设计评估风险和控制评估应与管理层分享。考虑被审计单位的 反馈，适当的话，更新评估（ RCM ）。确

26、保审计轨迹能完 整地证明变化及理由。（一） 注释：固有风险评估审计人员应与管理层讨论已识别的风险和控制的存在 性、完整性及其评估。注意，管理层可能不能理解即使存在控制以预防风险 的产生，但风险仍会存在。注释：控制设计评估目标是： 确认识别的控制已准确地被描述；- 确认所有相关控制已被识别；确认控制已被准确地映射到相关的风险；- 确认每个控制的重要性 （高级、中级和有限的有 效）；- 确认每个风险的控制设计评估；及 ， 确认识别的任何控制差距或过度控制的地方，及 他们的重要性和行动计划；识别关键控制。（二）问题及缺陷表任何商定的控制差距都应制定一个行动计划。相反地，过度控制的地方可能导致重新调整

27、/合理化控制和运营资源。发现的问题应记录在问题及缺陷表上，与相关的 风险/控制矩阵互相进行索引。行动计划应包括执行的完 成日期和负责人。问题及缺陷表是RCM上列出所有相关控制问题的初 步登记表（设计和运行有效性）。因此，它可能涉及控制 的缺失，控制设计的缺陷，和运行有效性的缺陷。完整的 总体审核能帮助发现是否问题和缺陷存在相同的根源或 者相同的地方。总体审核同样能帮助决定需要包括在审计 报告执行摘要中的关键风险领域（一些问题和缺陷应合并 成一个发现）。问题及缺陷表如附件9。第五章测试运行有效性第二十四条 记录测试程序本步骤的目的是编制书面的测试程序，包括适当的测 试目的，详细描述测试深度，及测

28、试方法。一、记录测试目的、测试深度及测试方法识别了最适当的关键控制来进行测试后，审计人员应 编制测试的特定步骤，以满足关键控制登记表/测试工作表中的测试目的。包括测试目的、测试深度及测试方法。以下规则能用来评估哪些控制测试应得到关注：如果一个关键控制被评估为设计有效，应得到测试；-如果当一个关键控制只有与其他控制在一起时才 被评估为有效，那么，这些控制都应得到测试；*如果一个关键控制被评估为无效，通常情况下不 用进行测试。但是，一个设计无效的控制可能得 到测试，用于决定该控制缺陷的影响。注释：测试目的 -控制运行有效性测试正确设定测试目的是非常重要的，因为这是确保执行 的工作有价值的起点。测试

29、目的应直接从关键控制登记表/测试工作表的控制描述中获得。行动应明确和直接为了获 取证据（核查/证实等）而不应含糊不清（审阅、了解、讨 论等）。注释：测试目的 -实质性测试运行无效的控制需要额外的测试，例如，对运行的项 目重新执行一遍控制或进行实质性核查，以证实他们的完 整性和正确性。例如，控制设计及运行测试发现例外情况， 实质性测试可以提供额外的审计证据。实质性测试程序可 以包括分析性复核，将余额/项目与原始凭证或独立的文件 进行核对及重新计算或核实该项目。注释：测试深度下表可以用来作为测试运行有效性水平的指导:控制-设计固有风险严重高级中级低级高级降低测试有效性(TOE)测试有效性(TOE)

30、减少有效 性测试(ReducecTOE)X中级降低减少有效 性测试(ReducedTOE)减少有效 性测试(ReducedTOE)XX注释：测试方法有多种方法来执行测试以获取审计证据。审计人员应 选择能达到测试目的的最合适的方法。包括：证实性的询问 -向员工、管理层及服务提供者询问以 获取程序和控制的资料。管理层可能被要求提供他们对控 制运行有效性满意的资料。通过询问的测试方法通常没有 其他形式的测试可靠，可能需要与其他形式的测试一起， 为审计人员的结论提供充分的证据支持。观察-直接观察员工的实际操作，以查看控制是否按 设计运行。当确认员工培训及技能水平时，审计人员应考 虑审计人员在场的情况下

31、对控制运行表现的影响-如，如果审计人员不在场，该控制运行是否如此彻底。检查-通过检查或盘点资产、及阅读、追踪、审核支 持性文件、比较及核对记录来获取证据。检查是高级有效 的测试形式，因为他们能为审计人员的结论提供更需要的 证据支持。确认函 -此测试方法用于比较内部记录与第三方记 录。确认函是高级有效的测试形式，但是，它被限制在当 有第三方参与的情况下使用。重新执行-此方法包括审计人员重新全部或部分执行 被审计单位的运作。它只有在审计人员需要确保计算或记 数的正确性情况下使用。审计人员在决定进行重新执行相 关运作时应注意，因为那将化较多时间。分析性复核程序-在测试阶段可能需要用到分析性复 核。例

32、如，在风险评估时发现不利的趋势，可能需要进一 步分析，更深层次专研，及锁定推动这种趋势的特定的一 组交易，以确定可能造成控制失败的根本原因。二、记录测试程序每一个测试程序应清楚地记录在关键控制记录表/测试工作表中。测试程序应能被充分理解，确保审计人员提 供充足的证据使得工作底稿审核人员能判定测试了什么及 测试的结果，及可以执行随后的重新测试。注释：关键控制登记表/测试工作表测试工作底稿应要求审计人员记录：-测试的控制；-测试数据的来源；*规模或控制执行的频率及样本量；*样本选取的方法；测试的根本特征；-测试结果；及审计测试的结论，包括任何控制例外的详细情况 对每一项控制例外，应记录是否有追踪测

33、试或行动。 第二十五条确定抽样方法本步骤的目的是评估和记录通过抽样获取的审计证据 的充分性。一、识别和定义规模测试控制时，先识别和定义控制发生的频率（样本总 量）。确保样本总量尽可能的清楚和完整，以确保表现所 f-X有兀素。注释：样本总量样本总量是指收集到的项目总量，审计人员将对该项 目总量发表一个结论。它也可以指“样本架构”，为了一 个特定审计测试目的而定义的样本总量。在测试控制有效性时，审计人员应定义控制发生的总 次数。例如，审计人员可能识别了对帐发生的频率（每月 或每周），这就是样本总量。二、考虑统计抽样使用统计抽样时，审计小组应将决定选择统计抽样的 原因记录在关键控制登记表 /测试工作

34、表中。注释：统计抽样统计抽样需要审计人员确定要素的数量及随机抽取项 目，允许审计人员定量地表达结果及测量样本风险。因此， 当执行实质性测试时使用统计抽样是一个合适的方法。以下情况应使用统计抽样：规模超过了定义的最低交易量 （如5,000件交易）， 与审计经理沟通确认最低交易量；-需要精确及确信的推断结果；绝对确信样本总量能被定义；及*样本总量中的每一项被选到的机会均等。大部分审计测试，我们通常不会使用统计抽样的方法。 相应的，它也不大可能说明从测试结果中获得的保证的水 平。三、考虑非统计抽样使用非统计抽样时，审计小组应将决定选择非统计抽 样的原因记录在关键控制登记表 /测试工作表中。注释：非统

35、计抽样非统计抽样使用的样本是非正式地（不带有故意和偏 见的选择）或判断地（根据判断与测试目的相关联）选择 的。非正式地选择是指没有使用特定的标准从一个样本总 量中选择项目。判断地选择可以包括，如选择高价值的项 目（为了测试适当的批准）。以下情况应使用非统计抽样：规模小于设定的最低交易数量限额；-不需要可测量，因为结果不需要推断；*不可能识别整个样本总量或交易量架构；其他审计证据暗示非常不可能发生错误。测试控制有效性，最合适的内部审计样本方法是非统 计抽样。四、选择样本量在关键控制登记表/测试工作表中评估及记录合适的 样本量。注释：统计样本量影响样本量的因素有以下两个：可信赖的水平；及可容忍的错

36、误率。可信赖的水平定义了需要从审计测试结果中得到的信 心的水平。期望可信赖的水平越高，需要测试的样本就越 多。可容忍错误率定义了在控制被认为是有效的之前，能 容忍的与描述的控制程序的差异数量。可容忍的错误率越 高，需要测试的样本就越少。注释：非统计抽样样本量下表用于测试控制运行有效性时选择非统计抽样样本 量。测试控制设计（穿行测试）不包括在本表中。必须在 关键控制登记表/测试工作表中记录样本选择的基本原理/标准，样本测试程序和测试结果。控制类型控制执行的频率每年每季每 月每星期每天每天多次很少手工111268大部分手工1113915自动111111注释：扩大范围测试在一些情况下，应扩大样本量，

37、如:-测试的结果是否定的，应扩大样本量，评估差异 是否是机构性的或偶然的；-控制的重要性及复杂程度和判断的重要性；失败的风险。但是，结果不能通过测试的样本来推断。审计人员的 判断始终是重要的。注释：测试周期测试周期应考虑以下因素：*控制运行的种类和频率；控制环境的变化和/或在一个期间内的特定控制 有复核；通常，测试周期可以是审计开始日前1个月之前的期间。在一些情况下，不大可能测试年度控制。如果这样， 审计小组应将这种情况记录在审计工作底稿中。注释：减少测试样本量和测试深度根据期望可信赖的水平及控制运行的频率决定。如果测试水平是减少测试，样本量至少为1个，最多根据统计抽样样本量（见上表）。测试结

38、果应对 关键控制运行有效性给出充分的保证。必须在关键控制登记表 /测试工作表中记录样本选择 的基本原理/标准，样本测试程序和测试结果。注释：判断样本量在所有情况下，一个清晰的选择样本量的基本原理/标准应记录在适当的控制文件中。以下情况，有必要脱离 标准样本量：*控制执行的频率？-控制执行的频率越少，需要越少的样本量来决定控制是否按照设计运行。-控制产生的是什么类型的证据？-如果执行控制的结果很少或没有证据显示控制按照设计运行， 测试可能不能提供必要的证据证明控制在运行。 审计人员可能决定在有限的基础上使用更多有说 服力的证据。-风险的等级？-风险产生的影响及可能性？风险 影响大的区域依赖控制较

39、重，可能需要增加样本， 对控制环境提供适当的保证。-控制环境的有效性？-考虑控制被忽略或被管理 层不顾的可能性。控制运行有效性的过去经验？-如果过去控制衰弱，应有足够多的样本量来决定现在的控制是按 照设计运行。-测试的整个期间是由相同的员工来管理该控制？-考虑选择样本时，应考虑是否原来执行控制的 员工现在已不再执行该控制，对控制的影响有多 大。五、选择样本选择样本量后，审计小组需要识别选择样本的方法， 及将程序记录在关键控制登记表 /测试工作表中。注释：统计抽样统计抽样的方法可分为简单随机抽样和系统抽样。 简单随机抽样 需要所有项目被抽到的机会是相等的。使用随机号码表来抽样。在规模中的每一项必

40、须代表一个 号码。样本量必须已确定。在表中遵循的方向和路径已确 定，随机起点已选定，就是第一个被选的项目。随即号码 的产生可在 Microsoft Excel中找到。系统抽样可使用在一个样本总量中的物质单元或货币 单元。审计人员需要定义抽样的间隔。可将样本总量除以 样本量得到。为了防止抽样中的潜在的偏好，建议选择几 个随机起点。例如，抽样间隔可以是 75,选择三个随机起 点，每个随机起点开始各选择20个样本。为进一步防止偏好，审计小组在选择样本前可以确保样本总量是随机排序 的。注释：非统计抽样偶然选择显示没有故意偏好包括或不包括规模中的某 些项目。这是审计人员最佳估计一个代表样本，及代表性 地

41、从一份清单中选择交易。批量选择 通过应用审计程序在一套交易中执行，如所 有交易在一个特定期间发生。例如，审计人员可能选择所 有在三月的第一个星期支付的发票。或者，选择所有发票 号1000至1050。为了最小化风险，应选择几批样本。判断抽样 在选择样本中使用审计人员的判断。判断选 择包括选择高额的发票测试批准，最长时间未达帐项，测 试其清理的力度和根本原因。注意非统计抽样结果不能通过选择的样本来推断。注释：属性抽样属性抽样适合执行控制测试时使用。通常控制有效性 是通过测量控制程序没有发生的频率来测算的。换句话说，一个程序与管理层描述的为了达到控制目标的差异的频 率。测试通常包括“是/不是”决定

42、-尽管是或不是被正 确执行。如果这样，审计人员需要事先定义通过或失败的 标准。如果样本的支持性文件丢失，阻碍适当的测试，可被 视为一个错误。但是，如果样本是空的，应选择替代样本 进行测试。注释：价值加权抽样价值加权抽样是根据属性测试的理论，但用于实质性 测试。价值加权抽样用于表达频率的结论或者关样本总量 中独特的价值。这种抽样技巧，一个抽样单元就是样本总 量中的每个货币单元，不管样本总量中有多少逻辑单元 （发 票的数量等）。测试是根据选择的包括货币单元的交易进 行的。因此，项目越大，被抽样选到的机会就越大。使其成 为一个适当的方法，用在对重大余额的正确性形成一个意 见。贷方余额及余额为零时对价

43、值加权抽样形成困难。因 此，这些应在抽样前去除。另外分层抽样应包括这些去除 的样本。注释：分层抽样分层是将一部分样本总量归入子总量的过程，样本就 从每一层中抽取。当子总量相当多样，每一层独立抽样是 有利的。分层是在抽样前将样本总量中相类似的归成一个 组。各层相互不包括：样本总量中的每一元素必须分到一 个层中。各层应包括全体：没有样本总量的元素不包括在 其中。每一层采用随机抽样。第二十六条评估测试结果本步骤的目的是：注释：测试结果-根据测试结果得出与审计目的有关的结论；-确保得出适当的结论时有充足的资料。一、记录测试结果为了提供充足的证据证明执行的审计工作，测试结果 应记录在关键控制登记表/测试

44、工作表中。注释：测试结果审计人员必须总结测试结果，将每一步骤得出的结果 记录在关键控制登记表/测试工作表中。在工作表中记录的 结果是总结性水平，应编制充足详细的支持性工作底稿， 供独立审核，理解结论确切如何得出。另外，工作底稿应 充足详细记录，以确保在需要的情况下可以重新测试。所有文件应与其支持性文件做好交叉索引。二、将测试结果与其标准进行评估审计人员应根据获取的证据得出与测试目的相关的结论，及将不满意的结论记录在问题及缺陷表中。注释：审计证据审计证据的可靠性由其属性和来源决定。以下证据的 可靠性的假定可能有用：书面证据比口头证据可靠；-第三方产生并直接提供给我们的证据比第三方产 生而由被审计

45、客户持有的证据可靠。客户产生并 持有的证据最不可靠；-由审计人员产生的分析及实地核查的证据比从其 他地方获取的证据可靠。注释：审计结论满意的结果-测试结果没有显示任何例外情况及因 此指出控制运行有效。单独的例外情况 -测试发现一些例外情况，通过我们 扩大样本测试或其他进一步调查，审计人员断定是单独的 例外情况，及在主要部分，控制运行有效。不满意结果-测试及随后的调查显示例外情况足够使得我们得出控制没有得到可靠运行的结论审计人员应考虑测试结果对已获得的保证水平的影 响。一个不满意的测试结果并不一定需要导致降低已获得 的保证的水平，审计人员需要判断。对获得的保证的总体 影响取决于：控制的重要性和是

46、否有其他控制存在可以减轻失 败；-有多少其他不满意的测试结果。注释：少数例外情况发现采取的行动少数或占比很少的测试项目没有达到测试标准，审计 人员应考虑进一步证据，是否这些例外情况是单独的或它 们是否给控制满意运行带来问题。例如，控制例外情况适 用整个样本总量（或只限于一个部门、区域或分部）？注释：许多例外情况发现采取的行动审计人员发现高比例的例外情况，或一个控制运行完 全缺失的证据，审计人员可能需要采取以上相同的步骤。 如果很明显审计人员了解到一个控制存在但没有完全运 行，或没有持续运行，审计人员应考虑：-是否发现的证据不能代表常规控制运行。这可能 由于在一个限制的期间或一个特定的部分选择测

47、 试样本，而例外情况正好存在于其中而产生。应 避免选择没有代表性的样本。是否确实控制没有运行或仅仅是无法获取证据。 在这种情况下，可能需要扩大测试，包括重新执 行控制，或者寻找一些其它确定的证据，表明控 制实际上是运行的但没有证据。三、了解及记录根本原因为了了解控制例外的属性，识别导致例外的原因很重 要。根本原因分析使审计小组能够与运营单位一起了解发 现的例外情况的原因。根本原因分析应记录在问题及缺陷表中。注释：根本原因分析根本原因分析的目的是确定问题的来源，关于：-发生了什么？为什么发生？-有什么可以做的，防止它再次发生？为了执行根本原因分析，收集尽可能多的关于发现例 外情况的资料很重要（如

48、，什么时候发生？在那里发生？ 哪些控制可以防止发生？），因而，可以识别相关的根本 原因。持续资料的收集，直到审计小组确信所有可能的偶 然因素都已识别。四、报告问题及缺陷以下要素应考虑包括在表格中的每一个审计点中：-陈述应清晰、有事实根据及简明。使读者关注问 题及造成的影响；-描述问题的先后次序，包括相关量化的评估（财 务的或非财务的）及/或任何法律/法规、客户或 品牌影响的详细资料。这可以在报告的时候，帮 助确定问题的严重性；-根本原因，描述什么导致目前的状况。这将帮助 确保管理层制定的解决问题的行动计划是否有 效；-审计人员应记录他/她比较了什么标准，测量出缺 陷。例如，可能有一条特定的公司

49、制度没有遵循；-审计人员应建议管理层应该采取什么行动去解决 问题。建议应关注解决问题的根本原因，而不是 征兆或结果及应该可实现。发现应与管理层讨论并取得管理层的同意。五、重新评估控制的充足性及当前剩余风险每一条提出的发现，决定暴露风险的影响/控制差距在运行有效性测试的基础上，更新在设计评估阶段的控制 评估。注释：控制有效性在设计评估阶段评估控制充足性，假设所有识别的控 制运行有效。关键控制测试运行有效性发现不足，将影响在设计评 估阶段评估的控制。评估应建立在未采取任何行动计划之 前的基础上。给每一个风险提供一个以固有风险等级及控制评估为 基础的剩余风险评估。剩余风险的影响及可能性分数应根 据选

50、择的风险足迹。注释：评估暴露的剩余风险一个考虑固有风险及当前控制（结合在一起）降低该 风险的总体充足性的评估，可以用来使审计人员能够将剩 余风险的影响分类为严重、高级、中级、低级。运行有效性测试的结果应与管理层分享并取得他们的 同意。考虑被审计客户的反馈， 及同意，更新评估（RCM） 确保审计轨迹完整，包括记录与被审计客户确认事项的变 更及基本原理。任何同意的控制差异应制定一个行动计划。相反的， 过度控制的区域可能导致控制及运行资源的重新组合和分 配。行动计划应包括执行的到期日和负责人。注释：归结相似的报告问题存在相似的例外情况，它们的根本原因相同，将这些 问题归结在一条建议进行报告。例如，充

51、足的职责分离在 很多程序中被运用，应合并成一条发现。第六章审计执行结束第二十七条技术复核本步骤的目的是：确保执行的工作及编制的记录遵循受权调查范 围，能充分支持提出的问题，及所有发现已被提 出。-确保工作底稿是充分的，外部机构能充分信赖已 执行的工作，特别是测试可重新执行。一、复核工作底稿在审计过程中，应执行工作底稿的复核。每一张工作 底稿应有一位审计人员编制，一位较资深的审计人员复核保存复核证据及对复核要点进行清理的底稿。注释：工作底稿复核目的现场工作中复核工作底稿的目的，应确保任何现场发 现问题能在现场工作结束前得到解决。复核应确保：-审计工作是根据同意的范围执行的；-执行的工作能充分支持

52、提出的问题；审计工作是根据专业的标准执行的；审计重大判断及结论是适当的；及执行的工作，结果和结论被充分的记录。如果可能，复核工作应在现场进行 复核的时间、范围倚赖多种因素，包括：*区域的主观性和复杂性；编制工作底稿的人员的能力和经验；复核人员的能力和经验；-复核人员直接参与工作的程度。二、复核审计文档负责每一个审计项目的审计经理 /资深审计经理（或其 他合适的个人）应在审计测试结束后复核审计文档。保存 复核证据及对复核要点进行清理的底稿。注释：文档复核程序通常，该复核至少要求包括系统描述，控制评估，测试程序及结果和问题要点，及评估意见。经理或指定负责 人个人通常通过在每一张工作底稿（通常第一页

53、），每一部分的头一张工作底稿上签名和注明日期以证明他们的重要 复核。复核要点应被记录及通过清理来确认。计划阶段应在现场工作开始前得到复核，现场工作应在报告开始前得到 复核。相应的文档复核应在每一步骤结束时得到复核（计 划，现场工作或报告）。在清理复核要点时，工作底稿应提供足够的证据说明 提出的问题得到了解决。第二十八条结束会议 本步骤的目的是确保:-结论及建议已与适当审计客户进行了讨论；-项目中发现的任何重要事项已提醒审计客户的管 理层注意；-评估的等级已进行了讨论并已取得同意。一、召集及记录结束会议在审计结束会议前，在整个审计过程中与管理层持续 的讨论和联络，确保他们在会议前已经知道发现的问

54、题。 与审计客户的审计结束会议应在审计的最后阶段正式召 集，讨论问题及缺陷表中的审计发现，问题及建议，并取 得管理层的同意。注释：管理层出席结束会议这个程序确保清楚记录审计发现的讨论，及确保后续 的审计报告的内容和处理不会延迟及/或由于误解而受到牵制。因此，至少最终负责该程序（及负责执行任何行动计 划）的管理层成员应被邀请。需要出席结束会议的管理层 成员应在订立审计范围时就已确定。讨论和达成的一致意 见应形成会议记录。问题及缺陷表中每一项达成的一致意 见应放入最终表中，包括对已经同意的每一问题重要性的 初步评估的变化，或总体评估，作为会议的结果。在一些情况下，管理层会否认一些风险。应尽可能避免

55、 关于存在风险的不同意见。如果审计小组不能使管理层 信服，应由更高一级的审计人员及管理层处理。获取管理层对所有同意的重要审计发现的改善行动计 划。注释：行动计划可能需要一个或多个行动步骤来解决每一个审计意见，这取决于问题的属性和复杂性。重要意见的行动计划 应由审计人员进行追踪。行动计划应包括执行的期限和负 责人。结束会议给管理层机会澄清问题和表达观点。在审计 客户不同意提出的问题的情况下，必须进一步讨论，确认 支持他们观点的支持性资料。当审计小组仍旧无法获得审计客户的同意时，应将事 件递交给审计经理，高级审计经理，审计主管，与更高级 的审计客户管理层讨论，以取得他们的同意。第七章审计报告本步骤的目的是确保执行摘要（意见和主要发现）及 报告内容被适当的高层批准。第二十八条编制报告报告的编制在审计执行结束后，包括：-完成工作底稿与审计文档的复核；-完成与管理层的结束会议。在会议中，问题及缺 陷表，包括管理层的改善行动计划已进行了讨论 审计负责人应负责起草审计报告，根据审计计划备忘 录及问题及缺陷表中的资料。审计负责人应确保审计报告 必须客观，准确，完整，简洁。第二十九条审核报告审计负责人完成起草审计报告后，应将审计报告初稿 提交高级审计经理审核及修改。在详细发现完成前确定