内审指引(草稿)文档格式.docx
- 文档编号:427763
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:44
- 大小:148.07KB
内审指引(草稿)文档格式.docx
《内审指引(草稿)文档格式.docx》由会员分享,可在线阅读,更多相关《内审指引(草稿)文档格式.docx(44页珍藏版)》请在冰点文库上搜索。
7.2审计报告 13
7.3闭幕会议 14
7.4其他形式的工作成果 14
7.5向审计委员会提交内部审计报告 14
8.跟进审计 15
8.1跟进工作的原则 15
8.2开展跟进审计 15
8.3汇报审计发现 15
8.4主要绩效指标 15
9.内部审计部行政管理 17
9.1 存档 17
9.2时间记录 17
9.3电子文档 17
9.4绩效管理 18
9.5知识管理 18
9.6被审计单位的反馈 18
9.7部门会议 18
附录 19
A.1计划阶段:
审计项目计划表–框架(样本) 20
A.2计划阶段:
审计范围说明–框架(样本) 21
A.3计划阶段:
审计项目详细计划(样本) 22
A.4.1测试阶段:
流程图–符号的使用说明 23
A.4.2测试阶段:
流程图–框架(样本) 24
A.5测试阶段:
流程描述–框架(样本) 25
A.6测试阶段:
工作记录–框架(样本) 26
A.7报告阶段:
审计报告–框架(样本) 27
A.8报告阶段:
闭幕会议 31
B.内部审计部门架构 32
C.内部审计章程 33
D.内部审计方案–框架(样本) 35
1.内部审计理念和方法
1.1内部审计的使命
内部审计的使命,是通过其独立、客观的工作,以及提出最佳方案,来确保企业得以最有效地运作。
通过其有系统的工作方法,内部审计将对企业的风险管理、内部控制、以及管理流程的有效性进行评估并提出改善建议,从而帮助企业实现其目标。
1.2内部审计章程
内部审计章程列示了内审部门的目标、权威性及责任。
是经公司董事会和审计委员会批准通过的。
详见附录C。
1.3内部审计的作用
建立并维护一个有效的内部控制系统以及进行风险评估和管理是海尔所有管理人员的职责,这不会因内审及外审的审查工作而改变。
内部审计主管有权就海尔企业管治情况的适当性和有效性以及遵从程度进行独立审核,并向审计委员会作汇报。
具体审查工作将被纳入内部审计计划中。
内部审计是一种独立、客观的监督和咨询活动。
其目的是协助企业增值和提高企业的运作效率。
5
1.4内部审计流程
制定年度内审计划
年度内审计划
审计委员会
设定审计项目大纲
工作范围
被审计单位
设定审计项目详细计划
审计方案
内部审计部
实地进行测试工作
工作底稿
记录并讨论所发现的问题
审计报告(讨论稿)
提出改善建议并上报所发现的问题
审计报告(正稿)
主席/
首席执行官/审计委员会/被审计单位
跟进审计工作
跟进审计报告
下列流程图总结了内审工作过程中的几个主要阶段以及每个阶段所相对应的工作结果。
内审部门也可能会开展一些审计以外的工作。
对任何其他类型的项目,基本原则还是相同的:
应作适度规划,对所做工作进行适当的文字存档、记录并与管理层讨论工作发现,同时进行独立的审核和汇报所有发现的问题。
如果适用的话,也应进行跟进审查。
2.道德规范
2.1诚信
内审应以高诚信的态度执行工作,即诚实、勤奋和负有责任心。
2.2独立性
决定内审有效性的其中一个主要因素就是独立性。
内部审计应当:
·
与高级管理层的接触不受限制
以其部门的本身名义汇报工作
与各业务线分离
2.3保密性
内审人员不可以不当地披露或使用在其工作中所得到或获取的信息。
所有报告和工作底稿都被视为机密。
.
2.4利益冲突
内审人员应当警惕发生会对其独立性产生质疑的情况。
如果发生了这种情况,应及时通知内部审计主管。
2.5胜任能力
内审人员应掌握必需的知识、技能和经验以开展相关工作,并不断提高其服务质量和有效性。
2.6商业道德
内审人员应遵守有关商业道德、企业行为守则,以及内审人员所属的专业协会的所有指引,尤其是[美国内部审计师协会]的道德规范。
3.风险管理
3.1管理层的角色
海尔管理层所担任的一个关键角色就是识别和管理风险,以保障投资者的利益、保护公司财产、维护有效的内控制度、有效管理公司资金以及维护公司的良好形象。
3.2风险管理与内审活动之间的关系
从制定审计计划到审计报告,内审在其工作的每个阶段都要与管理层紧密配合,以确保内审工作的重点集中在会对企业产生影响的重大风险上。
内审的作用是向管理层客观地报告企业风险管理的情况,以及向审计委员会报告整体风险管理流程的有效性。
内审可以协助管理层监督和报告风险管理的执行情况。
但是,海尔管理层对风险管理负有最终的主要责任。
4.与第三方关系
4.1审计委员会
内审部的最主要任务之一是协助审计委员会履行其对公司的独立监督作用,内审主管会定期向审计委员会汇报各审计项目的结果。
内审主管与审计委员会有独立、不受阻碍的沟通渠道,以便内审部能独立监督管理层日常的运作。
审计委员会每年至少召开[四]次会议,就内审提供的审计结果报告及其他相关事宜进行讨论。
如有必要,审计委员会可以从既定计划中重新指示内审资源的安排。
此外,每年的审计计划亦会于开展之前由审计委员会审阅并批准执行。
4.2首席执行官
首席执行官是海尔日常营运的最高负责人,内审主管会定期向首席执行官汇报各审计项目的结果,并由首席执行官推动和立令要求各相关单位执行内审部门在有关项目所提出的各种建议和全力配合。
此外,首席执行官亦会确保内审部有足够的资源开展工作。
4.3首席财务官
内审主管与[首席财务官]之间是一种伙伴关系,其共同目标是确保海尔财务安排和内控系统的准确性和有效性。
首席财务官也可以邀请内审部进行某些特定的审核工作以协助其履行某些法定职责。
4.4高级管理层
与海尔管理层建立良好有效的工作关系,对内审来讲是十分重要的。
但这不能影响到另一重要的原则,即保持内审的独立性。
4.5[外部审计师]
为了有效地利用审计资源,内审应与外部审计师定期进行会谈,分享审计发现,并一起讨论审计计划以确保涵盖到所有已达成共识的风险领域。
5.审计规划
5.1风险评估
风险评估工作主要有以下两部分:
I)风险的识别;
及II)风险的评价
I)风险的识别可以通过以下方法取得:
-问卷调查
-与有关人员的访谈
-通过工作坊作集体讨论
II)风险的评价主要是综合考虑已识别的风险的影响程度和可能发生性,以下是评价风险影响程度的指引:
影响程度
7
适用于所有行业财务影响
声誉影响
日常运行,较低的财务损失,无人身伤亡。
评分
1
2
3
定量方法描述
税前利润1%以下
税前利润的1-5%
税前利润的6-10%
税前利润的11-20%
税前利润20%以上
定性方法描述
极轻微的极低
轻微的低
中等的中等
重大的高
灾难性的极高
举例说明
不会影响企业的
对企业日常运营
对企业日常运营有中
企业失去一些业务
重大业务失误及人身
较低的财务损失
负面消息在企业内部流传,企业声誉未有受损。
有轻度影响,造成轻微的人身伤害,情况立刻受到控制,轻微的财务损失。
轻微的财务损失
负面消息在当地局部流传,对企业声誉造成轻微损害。
度影响,需要医疗救援,情况需要外部支持才能得到控制,中等的财务损失。
中等的财务损失
负面消息在某区域上流传,对企业声誉造成中等损害。
能力,造成严重人身伤害,情况失去控制但无致命影响
,重大的财务损失
。
重大的财务损失
负面消息在全国各地流传,对企业声誉造成重大损害。
伤亡,极大的财务损失。
极大的财务损失
负面消息流传至世界各地,政府或监管机构进行调查,引起公众关注,对企业声誉造成无法弥补的损害
以下是评价风险可能发生性的指引:
可能性
10%以下
10%-30%
30%-70%
70%-90%
90%以上
评分定量
方法描述
极低 低 中等 高 极高
定 一般情况下
在极少的情况
会在某些情况
在较多情况
常常会发生
性 不会发生
方
下才会发生
下发生
法 几乎从不 很少 经常 很经常 持续
描 在之后10年
述 内发生的可能少于1次
在之后5至10年内可能发生1次
在之后2至5年内可能发生1次
在之后1年内可能发生
1次
在之后1年内至少发生1次
5.2制定年度审计计划
年度审计计划应主要针对关键风险、业务流程以及平衡海尔的各类业务活动。
审计计划的制定应考虑到管理层和审计委员会对审计范围的期望。
制定审计计划的目的是要确保能经济有效地涵盖海尔所面对的关键风险。
随着海尔业务的不断扩张,灵活的审计规划方法是至关重要的。
年度审计计划通常是由内审主管在部门经理的配合下来制定的。
5.3制定个别项目的审计计划
内审的每一项工作都应作适当规划。
个别项目的计划可由内审人员来完成。
审计项目计划的内容因项目而异,但是项目计划应至少涵盖以下内容:
-确定该项目的审计目的;
-确定该项目的工作范围;
-安排与管理层的会谈,以确定审计项目的时间和计划;
-确定开展该项目所需要的内部审计相关资源;
-确定审计项目小组与成员在该项目中需要达到的目标;
-对被审计项目背景资料的搜集。
5.4拟定审计项目工作范围
既定目标应确保审计考虑了所审流程或领域中的最重大的风险。
审计职权范围应在现场工作开始前先发给被审计单位。
5.5其他类型内审工作的规划
第5.3节所提到的基本原则适用于大多数的内审工作。
不可能对每一类项目都作出细致的规定,内审人员应就个别项目制定该项目工作所需要做的具体工作计划方案。
6.执行审计
6.1制定审计方案
审计项目工作范围初步指出了审计的主要业务流程、系统以及需要注意的风险。
审计方案的目的是要更详细地列出在每个领域中所要进行的具体工作。
这可能需要更详细地考虑特定领域的风险,以确保审查工作重点是正确的。
审计方案应包括:
-收集信息和理解流程
-控制评估
-控制测试
除了确保达到审计目标,审计方案也提供了:
-分配工作的基础
-工作完成的记录
-实际工作与计划之比较
审计方案注重测试重大风险的有效控制点。
对于无效的控制点,无需进行审计测试。
6.2收集信息
信息采集过程主要包括:
-了解整体的管治结构
-记录相关人员或团队的作用和责任
-对所审查的系统和流程进行文档记录(例如,流程图、系统说明等)
-了解管理层如何评估绩效
6.3控制的评估
一旦与管理层讨论并识别出风险之后,就需要识别出每个风险的控制点。
进行控制点评估时可以考虑以下问题:
-该控制点是用来防范风险的,还是辨识风险的?
-是人工控制,还是系统控制?
-控制点是否有效?
(如果只有这一个控制点能运作,它是否能缓解风险?
如果连同其他控制点一起是否能缓解风险?
)
需要进行穿行测试来确认对流程和控制点的认识。
这包括观察整个流程的运作,以及追查测试一笔完整的反映整个流程的交易。
19
6.4控制点的测试
现场测试包括了审阅管理层使用的汇总结果,选择样本以进行详细的检查,以及采用计算机辅助审计技术。
测试技术
下表对不同的测试技术进行了汇总说明
验证
解释说明 优点 缺点
追踪源头文件以获取控制 能针对潜在的问题领域 难以取得独立和可靠的证运行的证据 据。
选样可能有偏颇。
重新操作
审计师重新操作控制程序 精确
然后对结果进行比较
耗时,并不一定会得到高
质量的证据。
观察
观察控制的运行;
当缺乏 提供控制程序运行情况的 基于某单一时间点上的观
对控制活动的永久记录时 直接证据 察。
被观察人员可能因为
尤为重要 有审计师在实地观察而表
现得特别卖力。
询问
询问控制是如何执行的,
由谁执行,以及会由什么样的程序来保证控制有效
运行
测试控制执行人员对控制
的理解程度
较少执行证据的支持
分析性复核
对处理大量数据特别有
用;
可以用来辨析趋势和统计异常
有效率且涵盖整个对象总
体
需要事先计划,且成本可
能较高
样本选择
有效审计,就是尽可能用少量的样本得到尽可能最大的保证。
必须在所选样本的基础上尽可能得出准确的结论。
当发现控制失效时,应当进行更详细的测试,以确定该问题的程度和规模。
如果没有证据显示控制无效,则无需进一步测试,除非有存在其它问题的迹象。
[样本应当随机抽取。
]
样本的多少还取决于所审查的控制点是“辨识性”的,还是“防范性”的。
辨识性的控制是用来确定是否有问题发生。
这类控制是事后的,通常数量有限。
这种情况下,就有可能作全部测试。
而防范性的控制,如发票的审批,是用来在第一时间阻止问题的发生。
由于可能存在大量的发票,所以就需要选取少量样本来做测试。
进行测试时,必须确保得到充足和可靠的证据以核实控制的有效性。
如果测试显示控制并不如预期所想的那样,则可以采取以下三个步骤:
了解发生控制例外的性质(例如,是特例或个别例子还是重复发生的,失效的原因)
延伸测试–核准对例外的解释是否属实,或决定例外的影响有多大
考虑是否存在其他控制可以弥补这一风险
确立测试的目标
设立并记录预期的结果,作为评估比较实际测试结果的基准
进行数据分析
评估结果–包括评估问题发生的原因,决定是否需要进一步调查,以及最终确定和记录结果。
计算机辅助审计技术(CAATs)
计算机辅助审计技术在测试大量交易或全部对象时十分有用。
采用该种技术时,需要事先做好计划,以确保数据处于可读取的格式。
计算机辅助审计技术包括比较实际与预期数据,以及提供系统内审计的综合报告。
6.5记录工作发现
工作底稿是制作审计报告的基础,应当遵守认可标准并保持专业性。
工作底稿应达到以下目的:
记录已进行的工作和收集到的证据
提供所遇问题的详细情况
呈现有条不紊的工作方法
支持审计报告的结论和建议
便于审阅
为下一次审计提供背景介绍和参考资料
便于与被审计单位进行讨论
工作底稿必须易读、清晰、简洁、客观,还应对工作底稿进行编号、附上日期、签名,工作底稿间相互参照、保持相关性,并且参照源头文件。
透过工作底稿,要能使之前不了解所审领域的审计人员也能得出与实际审计人员一样的相同结论。
审计人员应当清楚了解所有内审文件都可能会受外部审计师查阅。
6.6起草报告要点
将审计问题转成报告草案要点的过程应融入于整个审计过程中,而不只是停留在审阅工作的最后阶段才草拟。
所提出的每一个审计问题都应具备:
基于事实的对审计问题的陈述
审计问题的后果
审计人员的初步建议
管理层对审计问题及建议的回复
整改负责人
完成整改的期限
在审计过程中,当发现审计问题时,即当起草“审计发现和影响”以及相对应的“建议”,并与管理层进行讨论。
还应在审计文档中记录下具体的同意日期以及同意人名字。
6.7管理层审阅审计工作
在结束现场工作后、出具报告草案之前,审计经理应当对审计工作进行全面的审阅。
如有问题需要跟进,则可以在出具报告前进行。
若审计经理能在整个审计进行的过程中保持及时的审阅则更为理想;
这样可以避免一直等到正式审阅后才发现重大问题需要作重新或追加审计。
当审计结论为“控制不佳”时,内审主管需要审阅全部审计文档,且需要在出具报告草案前完成。
对于其他审计结论的项目,内审主管也可抽样审阅部分,以此作为内审部门质量保证过程的一部分。
6.8完成现场工作
向管理层出具报告草案,被视为现场工作的完成。
到此阶段,应完成对每个审计发现都有提出建议并得到管理层回复,完成报告摘要,以及同管理层召开过闭幕会议讨论报告。
审计管理层还应完成对审计文档、审计发现及报告草案的审阅。
理论上讲,从报告草案到最后定稿的变动应该不多。
因此在日程表上,从召开闭幕会议讨论报告到出具报告正稿,只安排了[5]个工作日的时间。
6.9其他工作
审计项目的基本原则同样适用于内审部门所开展的其他类型工作。
尤其是,对工作要清楚地加以规划和理解;
要做适当的文字存档;
审计经理要审阅工作,任何问题要恰当报告。
6.10专项审计
专项审计分两个主要阶段,初步健康检查和详细的项目审查。
6.11合同审计
积极主动地管理与重要的或战略性供应商之间的关系是至关重要的。
只有当合同管理部门具备充足的供应链管理技能时,公司才可能提高与供应伙伴合作所带来的价值。
7.报告及其他形式工作成果
7.1对审计问题的评价
(1)审计报告总述需对所发现的重大审计发现进行汇总;
(2)重大审计发现的数量将有助于决定报告的结论。
在决定某一审计问题的重大性时,审计人员应当考虑该问题的财务后果、对企业声誉或技术所产生的影响。
7.2审计报告
给管理层和其他重要接收者的报告被称为“审计报告正稿”。
在出具审计报告正稿前,需要经审计经理和审计主管审阅。
报告会以摘要形式,作为机密文件的一部分呈交给审计委员会。
只有经过内审主管明确的书面批准,方可将报告副本发给分配名单以外的人员。
审计报告应由负责执行项目的项目经理发出,报告首页应印有内审主管的名字。
有必要在审计报告中给出结论的,可选的结论有:
“控制有效”
没有发现审计问题或只是几个小问题。
只有在特殊情况下才会给出这种结论。
而最常用的正面评论则是
“控制适当”
控制系统整体有效,但仍可以略作加强
“有待改进”
控制系统没有有效地运作,需要采取行动来适当地加以改进
“控制不佳”
存在重大的可能性会造成会计或其他控制崩溃,需要立刻引起关注
所有报告要发给:
被审计单位的负责人
公司董事会
审计委员会
首席执行官
首席财务官
报告的其他接收者要视具体审计范围而定。
报告编号应按XX/YY的格式来编排。
XX代表项目流水号(在规划调度阶段派发的);
YY代表审计年份。
最终的审计报告则加上后缀”F”,代表定稿。
7.3闭幕会议
闭幕会议的目的是要就审计报告草案的内容与管理层达成共识,告知管理层下一步审计工作安排。
审计报告草案应在结束会议后5个工作天内发出。
管理层则有5个工作天的时间在发表审计报告正稿前对修改草案给出意见。
除执行现场工作的审计人员外,审计经理最好也能在场参加闭幕会议。
[若报告结论为“控制不佳”,则内审主管也应参加闭幕会议。
作为最低指引,落实每个审计发现行动计划的最终责任人应被邀请参加结束会议。
7.4其他形式的工作成果
当内审希望引起管理层对某一问题的关注,但又不适宜出具正式的审计报告时,可采用审计咨询说明。
所有此类说明都须经过内审主管的审阅和签字。
内审所开展的其他类型工作的工作成果可能是多样的。
可以是口头形式的,例如审计人员参加并指导小组会议。
当内审的改进建议没有被落实时,则有必要出具书面报告。
重要的是,审计人员要记录下他们对整个流程所作出的贡献,例如以档案说明的形式。
这也能向其他部门提供证据显示出内审部门在管理风险方面所作出的贡献。
7.5向审计委员会提交内部审计报告
每半年及每年年底,内审主管要向审计委员会提供公司的内审工作报告。
在一年内内审的范围不可能涉及企业的每一方面,因此要清楚地阐述已经开展的工作并明确给出得出审计结论的基础,这是十分重要的。
内审主管还会在年内向审计委员会提交报告,概述部门所开展的工作及发现的主要审计问题。
此类报告没有特定形式。
提交给审计委员会的书面报告应被视为机密文件,需考虑保密性。
内部审计报告是需向管理层指出所发现的薄弱领域,提出改进建议,记录下管理层对于整改建议的答复。
而六个月(或经过其他商定的适当期限)后,内审部亦需向审计委员会汇报有关审计报告所指的各项重大发现的整改落实情况和进度。
8.跟进审计
8.1跟进工作的原则
所有审计跟进工作不得迟于出具审计报告正稿的六个月后展开。
内审的职责之一就是要核实管理层是否对审计问题采取了适当的改进行动。
跟进审计可以提前展开,尤其是对于那些需要立刻解决的审计问题。
实际的改进行动可能不同于当初在报告中所同意的。
如果审计人员认为其达到的效果是一致的,即风险被有效控制住的话,这样的改进行动是可以接受的。
跟进审计应当由适合的审计经理来完成。
主要原因是:
可以为审计提供新的观点;
可以获得对审计流程的反馈意见。
8.2开展跟进审计
第一步是要在开展跟进审计前约[1]个月通知主要的被审计单位的人员。
然后,应安排一个会议,讨论如何开展跟进审计以及了解报告中各审计问题的整改进度。
对已采取了改进行动的,需要核实:
是否的确如描述那样的采取了改进行动;
改进行动是否有效地缓解了风险
这可能需要审计人员对控制做进一步的测试。
审计人员应自行判断以决定是否需要测试以及需要进行哪些测试。
对于没有采取改进行动的问题,需要了解其原因(例如风险可能不再存在)。
如果风险依旧存在,则需要对此作出汇报。
8.3汇报审计发现
跟进审计的工作结果是另一份审计报告。
其主要目的是向高级管理层汇报原审计报告正稿中所发现的问题都已得到了适当的处理。
对仍未解决的问题,要给出将对其进行整改的商
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 指引 草稿