内部审计经典阅读索耶内部审计（可编辑）

内部审计经典阅读索耶内部审计（可编辑） 内部审计经典阅读―索耶内部审计 审计发现的性质 在审计工作中内部审计师要确定哪些情形需要采取纠正行动，那些与规范或可接收之间的偏离称为审计发现。 审计发现以各种形式出现，它们可能是: ??应采取而实际未采取的行动; ??被禁止的行为; ??不适当的行为; ??令人不满意的系统; ??应考虑到的风险暴露。 尽管有时审计发现被视为“缺陷”，但很多内部审计机构认为“缺陷”这个术语太过否定，实际上，在某些情况下，甚至“发现”这个术语也被认为太具有否定意味，而诸如“情况”这类词的威胁性就小得多，也不容易引起客户的对立情绪。 虽然每个组织可能有不同的称谓，但其基本概念大体一致，审计发现是描述以前或现在的错误，或者为很可能发生的错误。 标准 实务公告第2410-1号:沟通 2、审计的最终沟通可能包括背景信息和总结。背景信息可用于确认被检查的部门和活动，并提供相关说明性的信息，还可以包括来自以前审计报告的审计发现、审计结论、审计建议，并表明报告内容是否属于计划内的审计内容，是否应有关方面的要求而编制。如果还包括总结，其内容应该全面概述审计沟通的内容。 5、审计结果应包括审计观察结果、审计结论(意见)、审计建议和行动计划。 6、审计观察结果是对事实的相关陈述。最终审计沟通应该包括支持内部审计师结论和建议，以及防止误解这些结论和建议的必要审计观察结果。比较次要的审计观察或建议可以通过非正式形式沟通。 7、通过比较应该达到的目标和实际的做法，就可以得出审计观察结果和审计建议。不管两者之间是否存在差异，内部审计师都有了编制报告的基础。如果情况符合标准，在审计沟通中确认出色的业绩可能比较恰当。审计观察和审计建议应该以下述特征为依据: ??标准:在进行或验证时应用的标准、措施和期望值(即什么是应该有的) ??情况:内部审计师在检查过程中发现的事实证据(什么山确实存在) ??原因:预期和实际情况之间存在差异的原因(为什么有差异) ??影响:由于情况与标准不一致，组织或其他部门面临风险或暴露(差异造成的影响)。在确定风险或暴露的程度时，内部审计师应该考虑其审计发现和审计建议对组织财务报表可能产生的影响。 ??审计观察结果和审计建议还可以包括审计客户的业绩、相关问题和为在其他方面反映的辅助信息。 关于现行的审计报告，在实务公告第2420-1号中，对沟通标准的质量有如下陈述: 1、客观的沟通具有实事求是、不偏不倚、不歪曲事实的特点，所包括的审计发现、审计结论和审计建议应该没有偏见。 2、清除的沟通是指容易理解并富有逻辑性。通过避免使用不必要的技术词汇和提供充分的支持性信息，可以使其更清晰。 3、简明扼要的沟通能一针见血，避免不必要的细节。他们尽可能最精辟的语言完整地表达思想。 4、富有建设性的沟通是指沟通的内容与沟通时的态度都对组织有所帮助，并促进组织进行必要的改进工作。 5、及时的沟通是指没有延误及时讨论，以确保采取及时有效的行动。 改进建议 内部审计师也可能遇到如下事务或情况，它们可能本质上没有错，但可以被改进。为从未收到货物付款绝对是错误的，如果涉及的金额足够大，显然这是个值得报告的审计发现。另一方面，在内部审计师无法指出处理收款过程存在错误的情况下，可以进一步简化的收货单格式不应被视为缺陷，因而也不是审计发现。 在区分审计发现和改进建议时，内部审计师一定要弄清楚该情况是违反了可接受的标准，还是它是可以接受的但由于新知识的出现而可以进一步改进的。两者之间的分界并非总是很容易分清的。运营经理可能会试图说服内部审计师，即个别审计发现仅表明有机会在其他方面将情况改善得令人满意。然而内部审计师则可能视之为一个缺陷而当作一项审计发现。作出决定是一项专业判断，而判断权不会让步给运营部门的管理人员。 审计发现要求采取纠正活动，而对于是否采取行动运营经理是无权选择的。在另一方面，改进某种情况(在该情况下并不违反现有的规则或标准)的一项建议则是另一回事了。在这种情况下，经理有权决定是否采纳该项建议。 值得报告的审计发现 并非内部审计师确认的每一项缺点都应当报告，有一些缺点是次要的和不值得管理层注意的。所有制的报告的审计发现有如下特征: ??足够重要，值得报告给管理层; ??能用事实而非判断来证明，并有充分、有力和相关的证据支持; ??客观地提出，不带任何偏见或个人成见; ??与所审计的事项有关; ??有足够的说服力，促使他们采取行动去纠正不足之处。 显然这种特征属于主观上的解释。被一个人认为是重要的偏差，可能会被其他人认为是无关紧要的。像客观性、说服力、合理性和逻辑性这样的词，对于不同的人而言，有着不同的含义。 测试的就是预计在同样的或类似的情况下，一个明智的、谨慎的人是如何评价这些缺点的。当内部审计师在评价这类缺陷情况时，他们必须问自己:“如果这是我所在的组织或机构，并且我是这个机构的总裁或总监，我应该怎样评价这样的情况,” 提出审计发现的方法 如何在重要的、值得报告的审计发现中陈述事实和细节是一种后天性技能，它需 要基于经验上的判断。某些外行人看来很严重的缺陷，在专业内部审计师眼里可能只是微不足道的差错。发现较小的差错相对比较容易。很少能够做到完美，而且代价通常太大。为了获得最后5%的纯度所要付出的努力可能远远超过先前95%的努力。内部审计师必须现实一些，作出判断和结论时公平一些。他们必须把良好的业务感觉应用到审计发现中去。在提出和报告审计发现时，内部审计师应考虑以下因素: ????对管理层的决策作“事后诸葛亮”式的评价是不公平和不切实际的。内部审计师应考虑到缺陷出现时所处的环境。管理层决策时一般是基于当时所掌握的情况。内部审计师不应仅仅因为他们对某项决策有异议就批评该决策，也不要因为审计师掌握了一些决策者无法得到的新信息而对决策提出批评。内部审计师不应以审计判断代替管理层的判断。 ????提供证据的责任在于内部审计师，而非客户。如果一个审计发现无法提供充分证据，使客观、理性的人信服，那么这种审计发现是不值得报告的。 ????内部审计师很自然关注其个人业绩的提高，但审计师的业绩不应靠报告中的批判来决定，因为它不一定百分之百的准确。 ????内部审计师应当改进审计发现以应对那些提出质疑的人。内部审计师应仔细审查他们的审计发现，以防出现可能的瑕疵和不可靠的推理。像其他坚持自己观点的人一样，内部审计师也希望是的解释合理化以支持审计发现。花了大量时间和努力之后，内部审计师往往想保住这些付出，竭力使审计发现能经得起各种挑剔的审问，但实际上有些审计发现可能经不起时间的考验和严格的质问。 增加价值 在不同的情况下，增加价值这个概念都有新的和特殊的含义。内部审计的最新定义中队增加价值有详细的论述。被认为不能增加价值的部门存在被缩小规模甚至被撤销的危险。内部审计师增加价值的一种方法是确保他们明确提出的审计发现和审计建议对组织有正面作用。内部审计师不仅要确定他们的工作对组织的目标和成功有贡献，还必须确信这些贡献被他人所理解和重视。 通过前端检查所得出的审计发现很可能更有益处。如果内部审计师能够在新的计算机化存货跟踪系统完成并运行之前(而非之后)发现其潜在的控制问题，组织将获得更大好处。能产生最大价值的审计发现通常能够释放出技术的能量，促进积极的变化，以及知名未来的方向，它们帮助组织向前发展并实现目标。 合理的审计发现能带来实实在在的经济利益和服务改善，或者能改善组织结构和业务流程。在上述两种情况下，内部审计师都可以树立其作为增加价值者而不是资源消耗者的形象。在真个审计发现的过程中，对内部审计师而言，始终着眼于提供高价值的活动和服务是很重要的。 重要性程度 世界上没有两个完全一样的审计发现。每一个审计发现代表特定程度的实际或潜在的损失或风险。因此内部审计师在将审计报告提交管理层前应仔细考虑该缺陷 可能造成或已经造成损害的程度。通常审计发现分成三类:无关紧要的、次要的和重要的。 无关紧要的审计发现 一项无关紧要的审计发现,例如所有组织都经历过的抄写工作中的笔误，并不能让人觉得需要采取正式的行动。事实上，在正式的审计报告中写上这种审计发现可能会起到反作用，因为这会分散内部审计师寻找重要审计发现的精力，而且这还会暗示着内部审计师没有能力分清一个小斑点于一大片污迹之间的区别。此外，这还会给人留下一个不良的印象:内部审计师是个吹毛求疵者。 对于无关紧要的审计发现，我们既不应掩饰，也不应忽视。以下是可以接受的做法:与该事项的负责人进行讨论;确定该情况已得到纠正在工作底稿中记录该问题不将该细微的偏离写入正式的内部审计报告。 在这里并不是建议所有偶然的笔误都不用报告。如果这些错误属于严重问题的征兆，进行报告则是适当的。这些错误可能表明员工缺乏培训、监管不到位和书面指引不够清晰等问题。在这些情况下，这些控制缺陷构成了审计发现。偶然的错误有时证明缺陷的存在，需要引起管理层的重视。 次要的审计发现 次要的审计发现需要报告，因为它比偶然的人为错误严重。如果不加以纠正，它会继续下去或造成坏的影响;尽管它可能不会阻碍组织主要经营目标的实现，但其重要性足以引起管理层的注意。有些次要的审计发现最好以《致管理层函》的形式报告。 主要的审计发现 主要的审计发现是指那些阻碍组织或组织内部门实现其重要目标的一种发现。次要的与主要的审计发现之间的界线可能变得非常细微，在辨别两者时需要很好的审计判断。但如果提供合理的判断标准，内部审计师对于审计发现的分类就能站得住脚。由于涉及审计判断问题，一项发现是属于主要的还是次要的，最后决定权在内部审计师手里。该决定权不能让渡给管理层。 审计发现的要素 内部审计师并非无所不知，也不能期待他们洞悉所审计的一切。然而，内部审计师应当对审计发现是否值得报告才行，因为他们是在质疑现状的正确性，他们需要找出那些不符合可接受经营标准的系统或者业务。内部审计师应该能够接受挑战，因为他们应该比其他人更加了解审计发现。内部审计师发现的事实应是无可辩驳的，他们采用的标准应是可以接受的，他们的逻辑应是令人信服的。 行动正确与否，最好的衡量方法是将其与可接受标准进行比较，审计发现的提出 也是一样。如果所提出的审计发现符合所有可接受的标准，它就是符合逻辑合理和有说服力的，它能促使人们采取纠正行动。如果所报告的审计发现缺少某些东西，该发现可能会被质疑，导致极不情愿地采取纠正行动，甚至没有采取纠正行动。 绝大多数值得报告的审计发现包括特定要素:背景、标准、情况、原因、影响、结果和建议。无论如何，严格包含这些要素的所有审计发现，都为采取纠正行动提供了强有力的依据，同时它会想方设法证明确实存在问题并提出解决方法。在个别情况下，原因这一要素可能不一定合理，因为某个问题可能是特定情况下的结果。 背景 要让阅读者完全理解为何内部审计师认为该审计发现应该报告，就需要提供足够的与事实相关的总体信息。背景应能够确定参与者和组织的关系，甚至在某种程度上，涉及到了目的和目标。他应是从总体上描述经营活动所处的周围环境和情况的严重性，促使内部审计师应该及时报告该审计发现。 标准 在标准概念中，审计发现的提出必须包括两个主要要素:目标和目的，很可能包括经营标准，它表明管理层希望被审计的经营活动所要实现的目标和目的;完成 的质量。 不理解一项经营活动的目的，就像被蒙住双眼的人去鉴别一件雕塑一样。虽然可能对触摸到的部分有一些认识，但没有总体的概念。在提出审计发现时，除了各要素外，内部审计师还应该清楚地看到并理解全局情况。 在对一项活动进行审计时，目标地正确性、效率性、经济性和效果性都要涉及，包括:所有的资源都得到最大程度的利用，浪费要减至最少。为了确定如何正确、如何有效率、如何经济以及如何有效果，内部审计时必须有个标尺，即衡量标准。他们必须能够确认合理的标准或者业绩标准。在他们提出批评前，必须要知道什么是对的。 经营标准可能已经存在于组织的一些领域内，但内部审计师在采用该标准前，应评估其有效性，应对制定标准的基础加以研究。内部审计师应该将该标准与其他同类组织的标准进行比较，以检查其在实现组织目标方面的合理性。 另一方面，还可能存在管理层没有建立标准的情况，在此情况下，内部审计师可以遵循以下原则: ??应有的职业审慎包括评价已有的经营标准，确定这些标准是否可以接受，是否可以达到。当这些标准模糊时，内部审计时应寻求权威性解释。如果内部审计师需要解释或选择经营标准，应该与客户就衡量经营业绩所需标准达成一致。 标准可能来自于自行制定的、同行业的、历史的，或者法律规定的标准。此外专家意见、成本核算研究也可以提供标准。 标准与程序和实务密切相关。程序是指管理层的指引，通常以书面形式存在，而实务则是做事的方法，这种方法可能对也可能错/部完善的程序可能会导致不能令人满意的状况，而不良的实务则可能会违背合理的程序。在提出审计发现时，内部审计师应了解事物和程序的现行状况和理想状况分别是怎样的。 不完善程序的存在或者正确程序的缺乏，可能是需要采取纠正行动的深层次原因。然而将其清楚表达出来而且不令人费解需要相当的技巧。内部审计师应当只报告最重要的部分，而省略不必要的细节。 情况 这个术语指的是由内部审计师通过观察、询问、分析、复核和调查所得到的事实。情况是审计发现的核心，其信息应该是充分、可靠和相关的，并应能够经得起任何质疑。它必须能够反映被检查的所有人或系统的情况，或者在个别情况下反映一个重大的缺项。同时，客户应认同所反映的事实，尽管他们可能对内部审计师所抨击事项的严重性有所争议。 客户可能会不同意审计发现的结论或解释，但绝不能对作出审计结论依据的审计 事实有异议。如果审计客户能能够合理说明内部审计师得到的事实并不准确，该发现就可能不能合理、准确地提出。因此应及早与那些了解事实的人讨论这些情况，关于事实的任何争议都应该在该发现被报告前得到解决。内部审计师必须保持“看问题准确”的名声，不辜负如下评论:“如果内部审计师说了，它就是真的。” 原因 根本的原因解释为什么存在偏离标准的偏差、目标为何没有实现以及目的为何没有达到。找出原意是解决问题的关键。每一项与期望值的偏离都可以以审计发现来描述，但只有在偏离被识别以及原因被找出的情况下，问题才能得到解决。 确定原因就是解决问题的一项工作，过程包括如下典型步骤: ??收集事实; ??确定问题，寻找偏离情况; ??列出问题的详细情况:什么是偏离,偏离在那里,何时发生,有多重要,它是由于某些行为引起的还是由于不作为引起的, ??测试可能的原因，即那些能够完全解释偏离、每次都出现并且能够解释偏离方向的方方面面的原因，要找出那些根本性的原因，不能仅仅停留在表面上; ??陈述采取潜在纠正行动的目标; ??将可选择的行动与上述目标进行比较，初步选出最优的; ??考虑所选择的纠正行动所带来的不利影响; ??多考虑一下“如果„将会„”; ??是否存在正在改善的情况; ??建议采取控制措施，以保证最佳纠正行动确实被执行。 影响 影响回答了“将会怎么样”这一问题。假设所有事实如陈述的一样，将会怎么样,谁或什么受到了损害，损害有多严重,结果是怎样的,这些不利的结果不仅仅是与程序间的一些偏离，而重要的影响是说服客户或更高管理层的必要元素，向他们证明这些不合理的现状，如果允许它们继续下去的话，将会导致严重的损害，而且所造成的损失将超过纠正该问题所应采取必要行动的成本。 在经济性、效率性的审计发现中，效果常常以金额来衡量。在有效性审计发现中影响通常表示无法实现希望得到的或法定的最后结果。影响应有说服力，它对审计发现来说是不可缺少的。如果它不能让管理层充分信服，那纠正行动被采纳的机会将会很微小。 结论 结论必须有事实来支持，但结论是专业判断，而非细节的复述。通过提出他们的审计结论，内部审计师能够清晰地展示其对组织的特殊的贡献。当内部审计师能 一贯地提出审计结论，这些结论引致新的、更高水平的业绩，降低成本和提高产品质量，消除不必要的工作，充分发挥技术的力量，提升顾客满意度，改善服务，增强组织的竞争力，那么内部审计的作用是显而易见的。结论能够加强内部审计师对组织以及被审计部门于整个企业之间的关系业务的理解。 结论能够并应该提出潜在纠正行动的方式，指出纠正缺陷的成本将低于其带来的收益，在影响中揭示损失程度的出发点是为了采取纠正行动。 建议 建议是描述行动的方式，管理层可能考虑借以调整那些已趋于错误的情况和强化控制系统的弱点。建议应积极有效并尽可能详尽，还应明确由谁去执行。 然而，审计建议也潜伏着危险。如果管理层被告知，内部审计师建议的方向就是应该着手做的事情，那所采取的行动可能会使内部审计师陷入困境。确认不能令人满意的情况是内部审计师的责任，而纠正该情况是管理层的职责。 更好的做法是内部审计师提出纠正行动的措施共管理层参考。审计建议不应盲目的采用，而是应和其他可能的措施一起进行考虑。内部审计师不能命令管理层采取措施，到最后，是管理层而非内部审计师对纠正行动负责。 最好的解决审计发现的方法是在书面审计报告完成以前，与运营部门管理层进行 讨论。这时，双方应就审计事实和纠正错误所应采取的某些行动达成一致意见。其后正式的审计报告中应包含如下陈述:“我们与管理层讨论了有关审计发现，结果是我们相信旨在纠正上市情况的行动已得到考虑(或者已采取纠正上述情况的行动)”。这种方法并没有造成内部审计师任何损失，它还能在内部审计师与客户之间建立起一种解决问题的伙伴关系。 我们坚信，和那些强调客户失职、巴内部审计师的建议当作圣旨的报告发布方式相比，以下这种审计建议的报告形式更为可取:“我们与管理层讨论了我们的审计发现和结论。结果管理层采取措施„，管理层满意的是，该措施将产生„额外收益，同时降低成本„;此外管理层还„ ”讨论审计发现 在提出审计发现和仔细考虑审计建议时，内部审计师应意识到自己也可能犯错。他们可能么有正确地解释情况，或者可能没有专门阅读相关程序。为了检查对审计发现的理解是否正确，内部审计师应与那些最有可能了解这些事实的人进行讨论。内部审计师还应该获得客户的解释并将其记录于工作底稿。 与建议行动的结果有关的经理和富有经验的员工的意见特别受欢迎。有经验的内部审计师会询问组织内见多识广的人，即那些对审计所质疑的业务有充分了解的人。内部审计师会询问他们“这里有个问题，该情况需要纠正或改善。如果我们建议采取这项行动，将会怎样,”许多经验丰富的内部审计师有各种方式来提出这类询问，在得到有价值意见同时避免使自己陷入困境。 审计发现的记录 期望其审计发现的所有要素都已得到充分考虑的内部审计师，可能希望依赖一种表格或者其他方式来保留他们的工作成果。该表格也能给审计主管提供一种途径，用以检查并确定审计师在形成一项正确审计发现的过程中所必须的步骤是否都得到实施。 审计发现记录范例一 组织:?????????????????????????????????????????????审计发现的记录号: ???????????????????????????????????????????????????工作底稿索引号: 情况: 标准: 上次检查有同样的发现:???????是??????????????????????? 否????????????????? 程序或实务: 选取样本的方法: 总体规模:???????????样本量:???????偏离数量:????????????占样本的%: 原因: 影响: 建议: 纠正行动: 讨论情况: ??姓名????????????职务?????????部门????????日期??????????????意见 1、 2、 3、 4、 ???????????????????内部审计师:???????????????????日期: ????????????????????审计主管:????????????????????日期: 该范例展示了有关审计发现的内部审计活动记录，它提供了这类表格的一个例子。它有助于: ??确定应负责任的组织; ??为特定的审计发现提供一个识别号码，以及为支持性的工作底稿提供索引; ??对情况进行简要陈述; ??确定在评价情况时所应用的标准; ??指出该审计发现是否在以往的审计工作中提出过; ??引用审计发现所涉及的有关政策、程序，或者工作指南; ??概述审计测试情况以及所发现的偏离数量; ??解释原因，即为何会出现偏离; ??陈述建议采取的纠正行动或已采取的纠正行动; ??记录与客户员工讨论的情况，并注明他们的意见，如果有的话，还要记录他们计划采取行动的方式。 审计发现的记录表格具有灵活性，可以对大量审计发现的记录进行整理和重新分类，使得编制正式审计报告更为容易。这种表格也提供了现成的讨论指引，因为它将描述问题所需要的绝大部分内容集中在一张表上。，它还起到向导的作用，能够提醒内部审计师一项充分的审计发现需要收集的全部资料有哪些。审计发现的记录表格应在审计现场完成，以便任何错漏都能在不需要重返现场的情况下得到纠正。 除了作为工作底稿资料外，一些组织已扩展了审计发现的记录表格的作用。他们通过它将审计发现通告给客户并获取客户的书面意见。通过这种方法，争议更容易得到解决，而对纠正行动的统一情况也能留下一定的记录。客户的反应和已经采取或承诺采取的行动的记录包含于审计发现记录表格的附件中。 审计发现记录范例二 对象:???????????负责主管:???????????内部审计师:???????审计用时: ???????????????????????????????????????????????????工作底稿索引号: 负责范围: 总体风险:???低???????????????????????审计结论:?可作典范的 ?????????????中??????????????????????????????????令人满意的 ?????????????高??????????????????????????????????良好，但需要改善 ??????????????????????????????????????????????????不能令人满意的 审计意见: 重要的审计建议: 管理层的回应:? 接受????????????????所有建议将在(时间)实施 ??????????????? 不同意 管理层和内部审计计划的跟踪检查: 内部审计师将会检查相关修改控制„ 有些组织会对每一项重要的审计发现签发一份便函以便通报情况、标准、原因、效果，以及管理层的回应。如 审计发现概要 被审计对象: 审计内容: 报告主题: 情况: 标准: 原因: 影响: 管理层回应: ???????????????????????????????审计经理:??????????????日期: 这有以下好处: ??高级管理层通过一种快捷途径以便了解现时存在的问题以及为解决问题已采取或需要采取的行动; ??在现场办公的经理被告知存在的病可能影响他们的问题，这样内部审计师在耗费同等资源情况下能够影响到多个领域; ??对这些问题概要的定期分析可以揭示其发展趋势。当引起高级管理层注意时，他们将会采取全面行动去组织不力趋势; ??在编制审计报告前编写概要的做法，能够帮助内部审计师查明在形成审计发现过程中的任何不足。精心编写概要能减轻后面编制最终审计报告的工作。 ??对概要的集中检查有助于维持用于改进内部审计的质量保证程序。 沟通技巧 有关问题必须用简洁、准确的语言清晰的阐述，即使是存在于那些审计发现的记录中的尖端陈述也应认真编写。如可能，审计发现的记录应尽可量用积极的语气进行描述，避免使用那些煽动情绪的或者引起防御性反应的措辞。 同时，内部审计师必须处理好敏感的、消极的问题。不管内部审计师的沟通能力或者审计发现的记录的目的如何，严重的控制问题、舞弊，或者不合法行为总被 当作坏消息。 上级复核 上级复核仍然是对审计师提出专业审计发现的过程进行控制的主要措施。每一项值得报告的审计发现都应该得到最仔细的上级复核，无论是手工方式还是电子方式，所进行的检查应由上级主管手工签名或电子签名以证明其得到批准。 没有任何东西像经不起质疑的不适当审计发现那样能降低内部审计活动的可信性，一向审计发现在概念上说是一项批评。那些被批评的的人出于与生俱来的的防御能力通常会对批评进行反击。因此审计发现应无可指责。审计主管发现带着下述问题的是审计发现可达到预期结果。 ??审计发现的人和要素是否被遗漏,为什么,可以做些什么工作的来找出被遗漏的要素,这些缺陷是否由不足的陈述或者不完整的审计工作所造成, ??这些要素是否被混淆以至影响了清晰性,是否以个人意见代替了事实,原因与影响是否混淆了,建议是否仅是事实的简单叙述, ??当有关程序未被执行时，审计建议是否仅仅是一个缺乏说服力的说明“程序应该执行”的执行,还是它们阐明了为什么程序未被执行,换句话说，建议采用更清晰的指引、更仔细的检查和更持久的监控，或者其它迅速地确认偏离程序情况的控制措施是否更有用, ??审计标准是否合理、清楚、令人信服或客观,是否有助于管理层目标的实现, 他们是否有积极意义, ??有关原因的信息是否完整,或者很肤浅,原因是一个符合逻辑的结论吗,它是否触及问题的核心,该原因是否每一次都会产生同样的不利结果,原因是表面的还是根本的, ??影响是否被人为夸大,是否符合逻辑,是否有所掩饰,它是否被充分的量化,无形的影响是否得到足够的认识和充分的理解,管理层是否认同报告的影响,如果没有，他们的态度如何, ??是否存在可以缓解的情况,该情况会使审计发现变得失去价值,这些情况是否能被消除, ??审计建议是否有用和详细,或者它仅仅是说改善控制,它是否过于苛求、强调按照内部审计师要求的处事方式进行,它是否仅仅着眼于过去而忽略了未来,它是否是惩罚性而非建设性的,它是否与原因相吻合,它是否包含了检测有关情况以免产生不利影响的一套方法, ??描述的方法是否符合标准的规定, 报告审计发现 审计发现的记录和概要除了用于记录审计发现和通报客户外，还有其它用处。实际上，一些内部审计机构已将这些总结性资料作为内部审计报告的主要基础。他们将这些资料按主题、地点，或被审计单位的逻辑顺序分类汇总，然后将结果以一页纸的篇幅事实概要形式提交管理层。该摘要简要的描述审计范围，阐述了总体的审计意见，并提供内部审计师对所审计的经营业务作出的评价。此外实施摘 要还扼要地列举了值得报告的审计发现，而那些附件证明性资料的发现体现在审计发现的记录或者概要中。 后续审计 关于内部审计师对后续审计的责任，有不同的观点，有些作者和业内人士认为，内部审计师确认有缺陷的情况，而由管理层采取纠正行动并确定其充分性和监督其有效性。然而，这种观点并不符合标准引言中对内部审计责任的概述: 内部审计是一种独立、客观的保证和咨询活动，它的目的是为组织增加价值并提高组织的运作效率。 上述描述含蓄地表明了确定和报告组织中已存在和潜在风险的责任。了解缺陷和风险的内部审计师应将这些问题报告给适当层次的管理层。 标准:首席审计执行官应按规定开展跟踪检查，以监督、保证管理行为得到有效落实，或高级管理层已接受了不采取行动所带来的风险。 2、内部审计师所进行的后续审计是指它们用以确认管理层针对报告中的审计发现和建议所采取的行动是否充分、有效和及时的工作过程。这些发现和建议也包括由外部审计师和其他人员所提出的。 3、后续审计的责任应在内部审计机构的书面章程中得到明确。首席审计执行官 应确定后续审计的性质、时间和范围。在确定合适的后续审计程序时应考虑以下因素: ??所报告的审计发现和建议的重要性; ??纠正报告问题需要的努力程度和费用; ??如果纠正措施失败，可能会产生的影响; ??纠正措施的复杂性; ??所涉及的时间期限。 某项已被报告并且管理层也认为是合理的缺陷，已清楚地描述了对组织产生的风险。在缺陷被纠正之前，风险仍然存在。如果在缺陷被纠正或者高级管理层或董事会声明他们将接受风险前失去对该风险的监控，那么内部审计师举会被认为没有尽责。 另一种反对内部审计师对纠正行动进行后续审计的观点就是他们是行政员工而非一线员工。上述规定非常明确，内部审计师不应履行一线部门的职责。但是对纠正行动进行后续审计并非一线部门的责任，它属于评价一线部门行为的行政部门的责任。内部审计师通过评估一线部门在降低组织风险方面的业绩来履行自己的责任。 纠正行动的充分性 由于审计发现和需要采取的纠正行动在形式和规模上各有不同，因此，就无法提供一套在所有情况下对纠正行动都适合的严格规则。总体上来说纠正行动应是: ??回应被报告的缺陷; ??完整地纠正缺陷的所有主要部分; ??保持纠正行动的有效性; ??得到监督以防止缺陷重现。 权力和审计地位 如果没有相应的权力，就无法履行其责任。如果内部审计师没有得到授权，那么其评估纠正行动充分性和有效性的审计责任就变得毫无意义。 除非高级管理层清晰的授权内部审计师去判断实际的或计划的纠正行动是否能纠正被报告的缺陷，否则内部审计师会听到来自运营经理的异议:我满意目前的情况，你凭什么说三道四, 这些权力应清楚地写进内部审计章程，所有的运营经理都应完全明白，纠正行动是真实的和必须实施的，内部审计师将有权检查这些行动，并在行动不能被纠正的情况下进行报告。 然而说服比告诉更有价值，而且说服行动应该早日介入。在准备会上，内部审计 时应使客户相信:内部审计师所看到的每一项审计发现都会在第一时间告诉他们;所有审计发现和证明材料都将得到充分的讨论;在问题报告之前，关于该事实的任何疑问都将得到解决;客户可以对审计发现提出相反的立场]客户完全有机会去采取纠正行动。 在最终审计报告中，应特别注明热后粘合一开始或完成的纠正行动。陈述审计发现要恰如其分，不要过多强调或粉饰。此药的审计发现只要被纠正了，就根本无需再进行正式的报告。索耶内部审计-风险评估 谁运用风险评估 管理层把风险评估作为保证组织取得成功的程序的组成部分。该事实在COSO研究报告中有清晰的论述。管理层也把风险评估作为设计新系统的一个重要工具。无论是人工或是计算机化的新系统都是用来实现已认可的目标的。设计和开发程序的一个重要任务就是对所有的妨碍系统实现目标的事件和行为进行确认。 目前的法律要求有一定规模银行做年度的风险评估，以此作为编制关于内部控制系统状况的公开声明的基础，并要求银行的注册会计师验证该声明的准确性。自1979年以来，人们试图要求所有依据1934年证券交易法报告的组织提供此类声明。很可能，通过法律或法规会使这种提供报告的要求在越来越多的企业和公共部门成为强制性要求。 注册会计师必须使风险评估遵照他们的准则进行。美国注册会计师协会《内部审 计准则公告》第55号讨论了会计师在获得对控制系统的了解方面的责任。会计师在计划他们的审计工作时也要进行风险评估。未达到审计目标的风险是什么,该运用哪种审计测试方法来保证审计目标的实现,一类风险是选择了错误的测试方法，另一类风险是采用不正确的抽样计划和技术，等等。 毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险评估工作，他们总是问:“什么地方出了问题,”对潜在错误或违规行为进行识别已是一项绝对的要求。只有找到风险，才能确定应采用什么样的控制程序。毕竟，如果没有风险，那么还有控制吗,除非风险已经被识别和评估，否则，内部审计师怎样才能确定在某种情况下一项特定的控制是否是一项有效的控制, 在许多组织中，内部审计机构在形成管理层关于控制系统状况年度声明的风险评估重视关键的执行者。在该声明的陈述中必须考虑内部审计师正在进行的工作。有些组织要求实施特定的审计，以监督在当年发现的弱点在南中报告日已得到纠正。 计划风险评估和暴露 制定审计计划要包括对组织风险和暴露程度的考虑。在战略计划中，审计计划应该评估对风险优先顺序和暴露的要素的关注程度，因此，风险管理过程的结果影响审计领域。该报告包括审计活动的详细方法如审计工作时间表的内容、审计的方法、审计的实施、报告内容以及对“降低风险的内部控制”的评估。 扩展风险导向审计 风险导向审计的概念传统上是以对控制的观察和分析开始的，接着继续对与经营相关的风险进行确认，最后确认审计活动是否与组织的目标一致。Mc Namee和Selim认为这种方法是错误的。因为内部审计首先需要为目标服务，目标是经营的基础，并且不是一成不变的，必须灵活并且是或应当是着眼于未来的。他们提出了首先考虑建立组织目标的方法，接着通过识别、衡量和优先排序等方法评估风险，最后通过下列方法进行风险管理: ※??????控制和接受风险 ※??????规避或分散风险 ※??????向其他部门分配和转移风险 ※??????? 管理风险的概念日益被人们所接受，因为风险在所有各类运营中不可避免，需要通过活动的多重选择去容纳风险，这些风险包括: ※??????控制组织活动从而在规模和数量上降低风险; ※??????通过容许对于进步和利润所必须的谨慎的风险去接受风险; ※??????规避风险涉及到对业务程序的重新设计从而改变风险模式; ※??????分散风险通过将总体风险分散到许多分离的经营活动当中，一个实例是对关键材料选用多个供应商; ※??????通过运用以及安排第三方接受部分或所有风险来分配和转移风险，如保险。 从风险确认扩展到风险管理就是未来的发展潮流。 没有风险管理程序的组织 本章的大部分论述了风险的两个方面:第一，，内部审计师为了编制审计计划应该检查被审计领域里的风险;第二，如果存在风险管理方案，作为审计的一部分，内部审计师应该对其进行评估。《实务公告》2100-4指出:内部审计在没有风险管理程序的组织中的作用，该公告建议内部审计师: ?帮助组织识别、评估和实施风险管理以及董事会关注的问题，确定如何通过风险管理和控制来解决这些问题。 ?识别管理层和董事会关注的问题，并确定如何通过风险管理程序来解决这些问题。 ?引起组织对缺乏风险管理程序的注意，并对建立风险管理程序提出建议。 ?了解管理层和董事会对内部审计在建立风险管理程序方面提供帮助的期望。 ?了解管理层对于内部审计师在建立风险评估程序中的作用的看法。 ?如果被要求，可以在风险管理程序的开发中发挥主动作用，但应当谨防对自身独立性的损害。 ?避免成为“风险的所有者”。 首席审计执行官必须牢记:这种帮助不应超出正常的保证和咨询业务的范围。 审计风险及其在财务报表审计中的风险要素 审计师和管理层时常置疑风险的程度和概率。程度是指风险暴露的数额，概率是发生的可能性。 管理特征 ??管理决策由一个人控制; ??管理层对财务报告采取极端干预的态度; ??管理层流动比较快; ??管理层非常强调满足赢利项目; ??管理层在企业界的声誉较差。 经营和行业特征 ??组织的获利能力与行业相比是不适当或不一致的; ??组织的经营结果对不同的经济因素比较敏感; ??组织处于衰退行业之中; ??组织的结构被分散后没有适当的监控活动; ??组织可能不是持续经营的。 业务特征 ??有许多引起争议的或难于处理的会计问题; ??有重要的交易或余额难以审计; ??有重大和异常的关联方交易; ??在审计期间发现了存在重要误报的前期历史记录或没有可利用的前期历史记 录。 诸如此类的因素不应被孤立地去看待，例如，规模、复杂性以及组织的所有权将 会加强或减缓这些因素。 审计师对财务报表层次审计风险的评价结论将影响:?业务人员的调配;?要求的监管;?全面的审计策略;?专业怀疑的态度。例如在审计师认为审计风险增加了的情况下，可能会在期中和年终工作中调配更多的有经验的人员运用更为实质的程序。 风险清单 Allstate的内部审计机构开发了一种“业务风险清单”，它的用处是: ??提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以考虑; ??促进对业务风险的讨论; ??构建一个帮助组织持续识别新的风险的机制，用来监控一段时间内在业务风险中发生的变化; ??使管理和内部审计能采取积极主动地方式来应对风险; ??增加审计人员的与风险有关的专门知识。 风险清单的制定必须经过四个步骤: ※识别可以接受的最高风险; ※合并和组织风险; ※制定一个标准的风险清单和风险术语表; ※精简风险清单。 风险清单由两个基本部分组成。外部风险包括:环境、灾难、金融市场、风险评 级;内部风险包括:人力资源、正直、信息和技术、会计和报告、财务。 然后，审计人员为每一个组织单元和共享的服务制定具体的风险清单，并确定那些成为组织最大威胁的风险。 接着，审计人员根据风险的严重性和可能性，在一个三点标尺上对风险评级，即高值、中间值和最低值。那些最高级别的风险被标上“关键”风险，“威胁”和“关键”风险的结合点被最先审计，并随之受到管理层的重视。 最后，审计人员为外部风险制定一系列的“风险触发器”，同时为内部风险制定一个“风险触发器”。假定对触发器和关键风险采用矩阵方法，审计师可以据此制定审查的重要区域。 风险的基本问题 组织总是尽力对风险保持更多的控制。因此组织提出许多已经被确认为是最重要的问题，并对涉及风险程度比较高的那些领域进行审计，以保持对风险的控制。当管理层和内部审计师认识到随着业务时间的改变，风险已经发生了显著改变时，这点就变得特别重要。例如，管理层已经日益关注市场风险和对组织产品的需求。在互联网时代，电子商务以及由电子商务构成的电子支付的高风险二者必居其一。没有认识到这种重大变化可能对组织产生灾难性的损害。 组织一直在对风险评估的不同方法进行评价。下列问题(风险因素)已经被运用 于风险评估中: ??在先前的审计中有重大发现吗, ??上次审计的范围是什么, ??上次审计是在多长时间进行的, ??系统中已经发生了什么变化, ??人事安排已经发生了什么变化, ??该实体提供的产品和服务是否发生了什么变化, ??控制的资产的实际价值是多少, ??实体的交易金额是多少, ??该实体对母公司的重要性是什么, ??该实体资产的流动性如何, ??该实体的职责分离如何, ??该实体中的信息的敏感性如何, ??实现目标或其他业务标准的压力如何, ??法律法规是如何影响组织的, ??员工遭受非道德行为的潜在程度如何, ??发挥该实体作用要求什么样的知识, ??员工与该实体的顾客联系的频度, ??该实体经营的复杂性如何, 一些组织基本上已经建立了问题清单，其中的问题是内部审计师在其计划中必须 解决的。还有一些组织对每一个问题已经设置了定量的答案供审计师使用。以这 些答案为基础，可以得出一个分数，这可能是一个简单的总和，直至以专家系统为基础的加权计算结果。一旦确定了分数，内部审计师就能依据相关分数确定审计计划。对内部审计师来说，无论采用哪种方法，相对于预测值来评估审计结果都是十分重要的。 Bell加拿大的风险评估策略 Bell加拿大已经把风险评估用作其审计计划程序的一个不可分割的部分，提出了一种帮助内部审计师确定在每一种被审计的作业中所暴露的风险种类或程度的工具。每一种审计作业被分成“关键”的子程序、功能或活动。这些项目构成了风险矩阵的一个轴。在另一个轴上，内部审计师列举了公司的10种普遍的业务风险。在每个单元中，内部审计师用一个简单的评分系统:“3”表是发生的概率高、“2”表示发生的概率中等、“1”表示发生的概率低。 业务风险 影响 1、错误的财务记录 财务报表和财务管理记录，记账、计价类型或时间 2、不可接受的会计准则 与公认会计准则不一致的程序或对环境的不适应 3、业务中断 对提供服务或功能的能力的重大损害 4、政府谴责或司法诉讼 由司法、监管或政府机关给予的处罚 5、过高的成本 可以避免或减少的任何花费、资本或支出 6、收入不足 收入或薪酬的丧失、市场份额的减少 7、资产的毁损或丢失 工具、设备、材料、现金价值丢失或对资金或资料的清偿 8、不利竞争条件或公众、顾客不满意 不能保持与市场需求同步并进或对竞争挑战有效反应 9、舞弊与利益冲突 对政策、条例或道德的蓄意滥用或对诚信基础的侵害 10 、错误的管理政策或决策 用于决策的信息不完整，造成不适当的计划、组织、指导等 这样内部审计师就可以专注于那些具有最高程度的固有风险的目标上。他可以对每一个公司程序提出一个风险分数，并且因此在那种指南中指出审计活动的方向。然而应当评估风险领域关于它们对组织的功能和健康运行的重要性。因此，对一个高风险的作业不应优先考虑，如果该作业对组织的最终健康运行是不重要的。 管理层舞弊的风险 管理层舞弊的三要素结构: ?条件―允许管理层舞弊的条件; ?动机―构成舞弊行为的基础; ?态度―管理层的态度可能导致管理层实施舞弊行为。 一些实例: 条件― ※??????缺乏或较弱的内部控制 ※??????没有或较弱的内部审计委员会 ※??????快速增长; ※ 缺乏有优势的产品; ※ 集中化的决策; ※ 缺乏经验的管理层。 动机― ※??????鼓励外部投资; ※??????表明收入增长; ※??????消除负面的市场感觉; ※??????获得资金; ※??????表明遵守了融资契约; ※??????实现目标和目的; ※??????获取奖金。 ※??????? 态度― ※??????不诚实; ※??????对规章制度缺乏关注; ※??????缺乏对道德的信奉。 ※??????? 风险管理 内部审计师应该不仅通过识别风险领域去帮助管理层，而且一种积极的态度帮助管理层控制风险。 内部审计师帮助管理层以“适当和有效的缓冲器”去承担有利润的和谨慎的风险，他们评估管理层对“缓冲器”的运用，从而为组织实现最大利益。因此，审计成为一种积极的控制评估者，它有助于识别应当承担的风险和相关的控制，以便从收入和利润方面改善经营状况。 然而，除了风险评估和帮助管理层把风险转变为本组织的一种收入元素外，内部审计应扩展审计范围，它包括风险控制、风险理财和风险管理。 风险控制: ??支持积极的风险和损失控制计划; ??为参与风险控制计划提供最大的激励; ??监管风险控制活动的有效性。 风险理财: ??考虑全部可利用的财务资源; ??维持灾难保护制度; ??宰割运营单位均等分配风险理财成本。 风险管理: ??产生并维持管理层的风险管理责任; ??采用一个清楚明了的风险管理结构; ??建立清楚的指标化得年度目标; ??在所有受影响的管理层之间保持有效的沟通。 因此，在风险评估过程中内部审计事业关注风险管理的积极面并且引导内部审计功能发挥积极的作用，从而有助于改善管理。 风险管理程序的目标: ?? 来自于企业战略和活动的风险应被识别和优先考虑。 ?? 管理层和董事会已确定组织可接受的风险水平，包括用来完成组织战略计划的可接受风险。 ?? 确定和实施风险缓解和活动从而将风险降低到管理层和董事会(或其他管理)确定的可以接受的水平。 ??实施持续得监管活动从而定期重新评估风险和管理风险的控制的有效性。 ??董事会和管理层收到风险管理过程结果的定期报告;组织的公司治理程序应向股东提供风险、风险战略和控制的定期沟通。 风险评估底稿示例: 目标 某个有限目标的陈述，该目标应足够具体以便分析 O(F(C( 运营性、财务性、遵循性 风险分析 风险因素 可能妨碍具体目标实现的特定风险 可能性 风险在低中高等程度上发生的可能性 措施、控制活动、评论 如果风险发生，特定控制活动能够预防和检查它们 其他受影响的目标 对收到这种风险或控制活动影响的其他任何目标的引用 评价和结论 对涉及威胁目标实现的风险进行控制的有效性的判断 事件发生的概率可使用三个术语: 低可能―机会少????????????????0-15% 有可能―比极少多但少于可能???20-50% 可能―可能发生???????????????50-90% 近期―距离报表(报告)日前不超过一年 严重影响―在特定的集中发生的情况下某组织的脆弱性。虽然其重要性也可以中断组织正常的功能，然而他的影响小于灾难性。 Gregg R.Maynard 最佳实务 Gregg R.Maynard总结了对风险考虑的积极方法:全面的风险管理战略已经抛开了内部审计师传统的缺乏远见的方法，这种方法仅将注意力集中在控制住风险的不利方面。现在完全一体化的审计业务理解并把接受风险作为利润的一种来源。 他列出了12种最佳实务: ??结合审计领域的客观和主观分析来揭示审计的优先顺序; ??在预审描述中分析管理层实现其宣称的目标和目的的能力; ??用调查问卷去检查组织内全部的内部控制; ??分析用来构建和监视风险极限的程序; ??检查其他风险管理功能如资金、合规性和会计控制; ??观察战略规划过程及其结果; ??评估战略主动性; ??整合审计活动; ??把审计程序建立在风险的基本影响和补偿性控制基础上; ??通过提供咨询服务和增值信息与管理层合作; ??检查作为内部控制基本要素之一的道德; ??实施整个风险管理计划的综合计划。索耶内部审计-初步调查 当今企业复杂的经营状况很难被深入了解，许多内部审计师希望他们能像在审计审计项目完成时那样，在项目开始的时候就对它有深入的理解。此时初步调查成为内部审计师最好的工具，它为其完成一项成功的审计提供了必要的信息与观点，使内部审计师具有了一定的洞察力。 初步调查可以是一次对任何系统深思熟虑后的分析，也可以是一次试探性的审前调查。内部审计师必须明确他们花费在初步调查上的时间和精力是有成效的，适当的初步调查有助于制定合理的审计计划，而合理的审计计划有助于实施有效的审计。因此，审计工作的成败很大程度上取决于初步调查。仔细的计划和实施初步调查不仅是一项被普遍应用的策略，而且也是审计成功的一个强有力的决定因素。 当标准和程序已确定时，审计可能是日常工作环节的组成部分;由于开拓新的业务领域或由于采用新的调查研究技术而出现问题时，也可能产生新的审计需要。事实上，许多内部审计机构已经制定了用于内部审计计划的“适时制”方法，因此可以确信内部审计服务随时可用，并可随需而变。审计计划程序也在其他方面受许多内部审计活动采用的“增加价值”的方法的影响。在以管理为导向的内部审计环境中，被审计单位越来越多地被看作客户，更多的重点放在另客户满意和论证审计带给组织的好处上。在很多情况下，增加价值的思维方式已经导致组织 对审计的迫切需要，因此，许多审计并不是强加的，而是来自于审计客户自发要求。 同时审计观念正在改进和转变之中，一些特殊的审计方法如控制的自我评估正变得更加盛行。初步调查能帮助内部审计师确定哪类审计方法可能是最有效的。 无论审计方法怎样，初步调查都是一种必要的工具，它能使内部审计师通晓与审计相关的没有标、程序、风险和控制。内部审计师应该通过七个基本步骤去实施初步调查:初始研究、撰写文档、会谈、收集信息、观察、编制流程图和报告。 初始研究 大多数收集文档和初步熟悉环境的过程在内部审计师到达现场之前可能已经完成。内部审计师的初始研究包括对以前工作底稿、审计发现、组织图表和其他文件的检查，它有助于内部审计师熟悉审计对象。虽然现在许多内部审计师可以采用电子化方式从远程获取信息，但在大多数情况下，初始研究还是要在办公场所实地进行的。 如果审计是一系列定期安排计划计划中的一项，则内部审计师首先应查看特定经营内容的永久性档案。永久性档案包括以前审计报告和回复的复印件，也包括其他相关的被审计活动的信息。档案提供了内部审计师希望了解的情况、以前确认的问题、采取的措施或解决它们的承诺。 以前审计的工作底稿可以显示其他内部审计师如何完成制定的任务，虽然同一方 法在当前的审计中可能不可行或不令人满意，如:客户经营中采用了新技术、系统和方法，新的变更可能要求不痛的做法，不同的审计角度或人员力量也可能是影响因素，但无论如何，对以前工作底稿的查阅可以使内部审计师在初步熟悉业务的过程中向前迈出一大步。 无论审计工作是一个新的项目或是系列任务重的一部分，对相关对象现存文献俄查阅是必要的。互联网也成为内部审计师的一个重要的新资源。 初始研究也应该包括对相关的组织图表、授权和责任声明的审核，此类记录可以表明客户活动在企业体系中所处的位置，说明高级管理层对客户管理层的期望，以及业务经理被授权去从事的工作。然而，授权和责任的声明通常是由那些实施具体活动的人起草的。在一定程度上，声明可能仅是一种表面文章，并没有反映管理层的真实意图，内部审计师应以一种健康的怀疑态度来看待。 形成文档 文档应当涉及到内部审计师与客户管理层召开初始会议的几个步骤。编制提示清单和最初的内容目录是主要的文档工作之一。此外，内部审计师设计调查问卷将被用于与客户管路层和其他人的面谈和讨论。 提示清单 在审计工作开始时，内部审计师可能犹豫不定，“我下一步该做什么,”虽然每一次审计都是不相同的，但最初步骤几乎是固定的、相同的，这些步骤应计入提 示清单中，使工作的推进变得容易。 提示清单不是用来抑制主动性和创造性的，它只不过是通过帮助内部审计师快速完成机械的、零星的工作的一种手段，使审计工作以有组织的方式开始，从而简化计划过程。提示清单帮助内部审计师更有条理地去组织他们的工作底稿，简化随后实施的审计步骤。 审计项目提示清单示例: 项目 执行人 完成日期 计划 查阅永久性档案的以下事项: ??以前检查的审计分析表格 ??以前的审计报告和相关回复 ??注释和评论 对以前的缺陷和建议的总结 获得项目任务清单查阅来自公司内其他审计机构的相关报告 查阅近期对审计对象的研究报告 会晤被审计单位的经理 分析适当的组织图表、程序指南和手册 实施初步调查 编制审计方案，确定以下事项: ??指定的分类账的检查 ??适当的管理层报告的查阅 ??确定组织接受的计算机产生的报告是否是必需的 ??确定由组织提供给数据处理程序的输入是否准确、真实和及时 ??对影响所得税和其他税的因素的考虑 ??对审计方案各环节分配项目时间 ??统计抽样的使用 ??期中报告的分发计划 ??对记录保存规定和安全规章遵循性的检查 ??使用流程图来评估控制系统 与审计主管复核审计方案和本检查清单 外勤工作 每天公告项目时间记录和每周向主管的内部审计师报告时间 在外勤工作中间点预测外勤工作完成得日历天数 与客户的管理人员协商确定他们复核审计发现和报告草稿的具体可用时间，从而 与其员工假期和其他人员的缺勤情况 收尾工作 完成审计发现和报告概述的记录，并与主管审计师一起进行复核 编制审计报告草案并与工作底稿进行交叉索引 把适当的记录放入永久性档案中 编制审计分析表格 书面描述其他审计项目应考虑的事项，并把这类事项记入适当的永久????性档案中 安排时间与客户的相关人员一起复核审计报告草稿 通过测试或与客户的相关人员一起复核，来确认完整的和公开的审计发现 在将报告最终交付之前，通过客户复核或其他方式作出修改后，对报告草案实施最终确认 内容目录 内部审计师在着手处理清单中的说明前，在审计底稿的第一部分编写内容目录是一个好主意，它可以促进在审计计划阶段获得明确进展，促使内部审计师为随着工作进展必须处理的确定事项做准备，并编制审计底稿索引。 内容目录 主题 工作底稿索引 项目结束表格(任何审计中的最终文件放在底稿的顶部) A-1 对审计报告的答复(客户对要求采取纠正措施的审计报告和发现的书面回复) A-2 最终的正式报告的副本(提交给客户的报告的副本) A-3 经批注的报告草案()最后的审计报告草稿的副本，带有边缘性批注) A-4 报告概述(被提议的报告的概括结构，目的是在起草报告前让主管审核) A-5 复核的注释(在报告草稿上注明与被审计单位的管理人员一起进行的复核) A-6 工作安排表(正式的审计安排) A-7 来自永久文档的注释(已插入到永久文档的注释) A-8 审计指令(与主管或者审计经理就审计工作进行讨论的注释) A-9 以前的审计报告及回复 在审计检查期间，永久文档移出以备参考 A-10 时间记录(预计和实际使用时间的记录) A-11 项目提示清单(在实施审计项目中采取的步骤的清单) A-12 初步接触的记录(记录与管理人员讨论或者电话告知他们计划审计项目情况) A-13 组织图(包括审计领域的主要组织图的副本) A-14 政策声明、指南、程序 A-15 暂定的审计方案 最初的 A-16 审计方案(初步调查后编制的正式审计方案) A-17 对以前审计发现和建议的总结(由以前的审计产生的事件清单，目的是确定纠正 措施是否有效或存在弱点的情况是否再次发生) A-18 术语和缩写的词汇表 A-19 调查问卷和回答 B-1 数量统计 B-2 流程图 B-3 审计发现的记录(每个控制缺陷的是审计发现的报告和采的纠正措施的记录) B-4 其他(任何与单个的审计环节或测试不相关的其他信息) B-5 成本减少 成本减少直接影响企业的税后利润，通常管理层期望内部审计项目能有助于减少成本和改善经营。 许多内部审计师提出的成本减少的检疫员与现存条件、好的运气、聪明才智和瞬间灵感的结合，但是如果内部审计师知道从何处着手，则可以有条不紊地去寻找能促进成本减少的方法。在许多情况下，成本减少仅仅因为有条理的内部审计师在流程、设备、表格、计算机报告或登记簿等方面努力去发现，并提出如下问题而达到目的: ??如何简化这些活动, ??如何改善这一流程, ??如何删除这张表格或使它与其他报表合并, ??如何改变工作流程并使其更经济, ??如何完全废除这一步 ??如何消除重复 ??可以使用电子报告取代书面报告 ??这份报告在什么范围使用, ??这份报告真的是必须的吗 如果能连续地、有组织地、有条理地对付浪费和重复，其结果远远超出“灵光一 现”而产生的效果。 成本减少的提示清单 记录 删除 合并 简化 改善 改变路线 消除重复 工作底稿索引 表格 表格型的报告 手工编织的报告 登录和登记 设备用法 印象的记录 在审计期间用来记录内部审计师的观察和印象的另一种清单通常不出现在内部审计师的正式报告中，然而，这种记录会对管理层提供一定的帮助，它完成了应该由高级管理层自己去实地考察的任务。 记录在音响记录表中的信息并不代表可以证明的客观事实，但它确是有价值的。因为管理层不仅要关注审计反映出来的客观事实，而且还要关注组织中的人员，内部审计师在提供此类信息时处于有利的地位。 印象的记录 审计项目:?????????????????????????????????????????????????标题: 被审计单位: 这种记录将有助于记下你对已经检查的组织特定方面的印象，应在每次审计之后完成，适合于在大量运用功能性复核的组织中采用。通过对调查数据的总结，从而确定整个组织中是否存在应该引起管理层注意的普遍倾向或问题，除非有与特定缺陷发现直接相关的印象，否则不要与客户的一般人员去讨论本记录。如果你感到没有足够多的信息回答一个问题，就在问题的下面作出说明。 员工士气 员工看上去对他们的同事、工作、主管和组织有良好的态度吗, 他们准备接受分配给他们的任务吗, 他们看上去支持部门目标和组织目标吗, 是或否 工作习惯 他们看上去是以一种结合力的节奏进行工作吗, 他们看上去在工作中从事太多的个人事务吗, 观察工作时间、午餐时间和休息时间了吗, 上级主管赞同员工的不满吗, 上级主管愿意采取适当的措施吗, 经理随时向员工告知情况吗, 组织与人员分工 组织看上去被很好地组织去实现其目标吗, 任务被正确地分离了吗, 工作看上去以有序和经济的方式流动吗, 员工看上去是在他们的工种内工作吗, 新员工接受了充分的定位培训吗, 督导 上级主管了解他们的工作吗,他们受员工尊重吗, 上级主管对员工实施控制和给予指导了吗, 和其他组织的联系 本组织和其他合作组织能进行有效的沟通吗, 存在大量的明显冲突吗, 存在真诚合作的证据吗, 工作场所 工作场所被正确的安排和维护吗, 位置、噪音、照明、温度和后勤看上去是适当和有助于有效的经营吗, 机器和设备被正确维护了吗, 员工看来有充足的设备吗, 在下面的空白处，届时任何负面的评价，如果发现的特定缺陷与任何负面评价相关，需要对这些发现进行索引。 审计主管:???????????????????????主审审计师:????????????????????日期: 印象的记录不是用来向管理层提供正式的建议，而是当年内部审计师与高层管理人员进行单独的秘密讨论时，发挥备忘录的作用。同时，通过结合此类清单大量审计项目的结论，可以定期地进行总结，揭示出那些存在于整个组织的不良倾向。印象记录有助于确认那些普遍的、值得特别注意的企业不良症状，促进员工关系、工作条件、管理或监管的改善。调查问卷 内部审计师在他们对自己熟悉的办公机构实施的初始检查中，一般会显示出足够的洞察力，可以对被审计的部门提出明智的问题。但在一开始就希望内部审计师在其负责的所有事务中成为专家是不现实的，但他们应当能大致地了解被审计的活动处于组织的何处，以及这些活动应当做什么。 对组织内部办公机构的检查通常要从下列记录中形成一张清单:永久性的档案、以前的审计报告和工作底稿，以及被审计活动要遵守的管理规章。从这些材料中，内部审计师能够设计出需要得到回答的问题，从而满足他们的审计目标，并在首 次会议上向客户经理提出。一般把问题写在分隔开的页面上，左边写下问题，右 边空白用来快速记下答案。这是一种有用的版式，并且为会谈制定了一项议事日 程。随后这个页面可以放进工作底稿而不用复制。根据不同的审计目的，适当选 择下列问题: ??在你的活动中存在多少阶段, ??在该方面雇用了多少人员, ??你实施了什么活动, ??对于这些活动你有书面的程序吗, ??你认为哪些活动是最重要的, ??最棘手的哪种, ??你是如何对你的组织实施控制得, ??你从你的员工那里收到什么类型的内部控制报告, ??你为你的员工制定了什么标准, ??你的标准的来源是什么, ??你是如何对员工进行培训的, ??你是如何评价他们的绩效的, ??主管如何促进改善员工绩效的, ??你是如何对你的工作设置先后顺序的, ??员工的离职率是多少, ??你为完成的工作积压的程度和原因是什么, ??你向谁报告, ??你为你自己的管理层编制何种报告，编制的频率是多少, ??报告的信息来源于何处, ??你和什么组织进行联系, ??你从哪些组织中获得了什么反馈, ??自从上次审计以来主要发生了什么变化, ??上次报告的审计发现的状况如何, ??对于应该特别注意的地方你有什么建议吗, 这种非正式的调查问卷可以根据实际情况加以扩展或缩减。根据被要求的审计是组织性的(完全在一个单独的组织单位内进行的审计)还是职能性的(按照职能或项目从头到底的审计，或按照组织业务流程进行的审计)，所提问题的性质应有所区别，在组织中定位于人的问题占优势;在职能或项目审计中，问题更多的是与工作流程、于其他组织的联系和反馈相关。 正式的调查问卷在内部审计师到达现场之前传送过去，这可提高效率，特别是在较远的地方，调查问卷能为内部审计师的到达作适当的准备，也能消除对审计的恐惧与怀疑，并且以一种权力平等的方法与客户的主管人员打交道.调查问卷可以给管理人员提供一个很好地的审是他们自己的机会，充分准备的问题可以发挥有效的自我评价形式的功能。虽然接收者有时感到回答所有的问题是一项繁重的任务，但内部审计师相信客户的管理人员认真回答这些问题将有助于他们提高管理水平。 使用调查问卷也能减少审计成本，可以把发放和回收问卷交给那些擅长跑腿的人 去做，内部审计师只需去分析答案和支持性数据，然后向客户的人员提出简化的问题。在许多实例中。答复的确认可能一般是按顺序安排的。 当要对远程机构实施审计时，可以通过发送调查问卷的形式进行。发放的问卷最好在首页附上由总经理签署的，要求远程机构负责人配合此次调查的便函。此便函一方面可以证实管理层的参与，另一方面可以增加调查的权威性。有内部审计师起草，总经理签发的便函应介绍内部审计师或审计团队，给出到达的时间并请求给予协助。便函也应清晰地把总经理的期望传递出去，即应充分和公开的回答全部问题，并附有与审计相关的报告的复印件和其他相关的文档的可审计的复印件。客户应当被告知在内部审计师到来之前要完成并准备好全部信息。 会谈 内部审计师和客户经理的会谈使其有机会去解释即将实施审计的目的和方法。在某些情形下，内部审计师甚至会在组织中讨论内部审计的综合作用。然而，会谈最初的关注点显然是即将进行的审计。 在与经理和主管进行讨论的过程中，内部审计师探究经营的目的、目标和标准以及经营的固有风险，也寻求获取对管理风格的了解。在审计的会谈中明显的为审计提供了一个方向，注意会谈的各种各样的要素可以有助于产生积极的结果。 准备工作 应该事先安排好会谈的时间和地点。无论何时，应避免出其不意的造访，虽然未 通报的突击式审计在涉及现金审计、安全审计或其他非常敏感问题的情况下可能是必须的。除此之外，事前通知是一种礼节，它应当被重视，并且不会对审计产生负面影响。有准备的客户可以提供更多的信息，而任何有客户故意传递的误导信息可能在实际审计中被检测出来。 内部审计师在到达现场之前，有时可以先提出负面意见，这种提前通知可以促使对有缺陷情况的纠正。对负面意见的反驳是“一切正常”。如果这是内部审计师在施加影响，则它是一种有益的影响。内部审计师和经营人员都视为同一雇主和相同的组