内部审计业务实施指南标准版.docx
《内部审计业务实施指南标准版.docx》由会员分享,可在线阅读,更多相关《内部审计业务实施指南标准版.docx(22页珍藏版)》请在冰豆网上搜索。
内部审计业务实施指南标准版
A实施内部审计业务(要求熟练掌握)
一、审计准备
1、研究和采用适当的标准
aIIA专业实务框架《内部审计实务标准》《实务公告》《道德规范》
·判断准则要求:
《道德规范》要求
b其他专业的、法律的和法规的标准
·判断评价指标:
采用内部控制最低标准、行业惯例、预算等
2、在实施审计业务时要保持防范潜在的舞弊的意识
a注意舞弊迹象和征兆
·员工舞弊的征兆:
9项
·组织舞弊迹象25项
·助长舞弊因素:
内控无效、相互勾结和流动资产的存在
b设计适当的审计业务步骤以应对重大的舞弊风险
c采用审计测试以发现舞弊
·注意到舞弊征兆或控制弱点,应扩展审计程序,扩大审计范围,证明自己的判断
·已发现:
通知组织内部适当的权力机构,提出进一步调查的建议。
组织承担风险可不查
·评估共谋程度(串通)和可能范围(那些人),避免信息误导
d确定是否应对任何可疑的舞弊进行调查
舞弊调查通常参与:
内部审计师、律师、调查员、安全官员和来组织内外专家参与
·通过盘点与永续盘存记录核对发现丢失存货
·调查回扣,可看个人生活
二、实施审计
1、收集资料(内部审计的核心工作)
证据:
为审计结论和建议提供支持的信息
证据分类:
证据来源
·内部证据,内部单位产生、处理及保存信息资料,低于外部单位参与证明
·内-外证据,内部产生,经过外部处理的资料,可靠性大于内部证据(销售发票)
·外-内证据,外部产生,内部处理保存,证明力强,但有篡改和错误使用可能
·外部证据,审计从外部直接获得,无法修改,证明力最强(提货单)
证据特征
·实物证据:
人财物和事件直接观察和审查获得(如盘点)
·证明证据:
被审单位个人和与单位有关联系人、独立第三方,口头书面,说服力弱
·文件证据,支票、发票、运输记录、验收报告和采购订单,属内部或外部证明
·分析证据,分析数据关系、内部控制、特殊政策及数据构成形成
说服程度
·充分信任,不需要佐证就能支持审计结论
·部分信任,必须要佐证的辅助证明,才能支持
·不可信任,但是,这些证据有助于指导审计方向,帮助获取有价值的信息
·实物检查――外部资料――审计观察――询问管理部门
法律概念
·直接证据,提供证据人直接取得
·旁证,证明尚待证实的事情的真相提供的一种声明,一般不被接纳
·最优证据,最有说服力,典型的是文件证据
·次要证据,由原始复印件或口头证据形成
·意见证据,有偏见,一般不算作证明,但可了解范围,专家意见除外
·附属证据,从首要证据中推断出来,属于间接证据
·确证证据,同直接证据,间接证据不是确证证据
·佐证证据,支持其他证据的证据,它越多说服力越强
收集证据应考虑的问题:
获得多、审计目标、抽样风险、成本/效益、被上层认可、反馈
应具有的职业审慎:
工作范围、对象复杂和风险管理、发生概率、审计成本
2、分析和解释数据
·包括比率、趋势、回归及比较分析等(审计工具:
分析性复核技术中详细讲解)
·审计发现属性:
标准、条件、原因和效果,由此工作底稿支持审计发现,发现就是对内部控制弱点的事实的贴切陈述
标准:
在进行评价或核实时所使用的标准、措施或期望值
条件:
在审计过程中发现的事实证据(p100旅行社差费)
原因:
事实与标准之间产生差异的原因(p100)
效果:
差异造成的影响(p100)
3、编制工作底稿
·编制目的:
为审计报告提供主要证据支持,记录审计业务活动
·专业判断分歧:
把不同的观点记录在审计工作底稿上以便于存档
·工作底稿的内容:
(目标、程序、事实、结论和建议)
计划、审计方案
对内部控制系统的健全性和有效性所进行的检查和评价
执行的审计程序、取得的资料以及所得出的结论
审查
报告
跟踪检查
电子工作底稿的不足:
需要特殊技术培训
·编制工作底稿的技术:
标头(被审单位、活动名称、目标、工作日期)、签名、目录(交叉索引)、核实的符号应加以注释、标明数据来源
4、复核工作底稿
·所有的工作底稿必须检查、首席审计执行官全面负责(可聘请部门人员来完成)
·复核办法:
每张工作底稿签字注明日期、编制检查的工作底稿清单、编制一份记载检查性质、
范围和结果的备忘录,被审单位所有表格和指令的复印件形成过渡文档
·复核发现问题:
形成复核记录,发现问题必须得到解决且在工作底稿中显示(修改后不留)
·工作底稿的归属权:
组织,
保管:
内审机构,没有进一步用途由法律顾问批准处理掉,
使用:
首席执行官审批,
用于:
外部审计调用、被审单位人证实和解释审计结果、法庭要求必须交出
·电子工作底稿:
要制作原始凭证复制件,缺点:
受到计算机系统控制和安全支配,只能由制
作工作底稿的审计师更改(它无法让编制人和检查人签字,只能规定这样)
5、沟通中期进展情况、得出结论、在适当的时候编制建议书
·审计建议书:
是根据审计发现和审计结论编制的,在有足够证据之后编制,是审计师的职业判断
·建议书类型:
现有系统无需改变
内部控制系统需要修正
不可行的内部控制,建议增加保险方面的支出
影响风险的某项报酬率需要调整
6、报告审计业务结果
·编制审计报告的主要原因:
陈述审计目标、范围、工作结果认定责任不是审计职能,
是管理的职能
·审计目标:
审计业务要达到的目的
·审计范围:
应该说明各项检查活动,需要时包括审计期间或界定审计界限未审计活动
a召开退出会议
签发最终报告前,召开有被审计单位管理层参加的会议,进行沟通,取得反馈意见同时改善与被审计单位的关系,
促进关注控制弱点最有效方法:
表扬被审单位已做的改善并鼓励进一步改进
b编制审计报告或其他沟通文件
编制标准:
准确、客观、清晰、简明、建设性、完整、及时
报告符合管理层和高层期望和认识,即包括概括情况,又包括经营方面的细节
被审计单位不同意审计结论:
报告中陈述双方观点以及意见不一致的原因
审计报告:
无固定格式,包括:
正式、非正式、最终审计报告、总结报告(通常报告给高层或董事会,可以是对当前审计的总结)、口头报告(审计人员与听众进行讨论)、过程报告
写作技巧:
应使用清楚、常见的词汇和短而简单的句子,多用主动语态,尽量使用段落短小(如:
并列句子,图标、重复),使用图标和注脚,使用下划线或斜体字来强调重点内容,报告在审计开始时进行,而不是在发现问题才开始
c批准报告
最终审计报告签发前,应该经过首席审计执行官或其指定人审核签发,并决定向谁分发
d确定报告分发
·报告接受人:
应该是有权采取纠正措施或者能够保证采取纠正错误的人,内部审计师开始
审计时的必须联系人可得到一本副本。
·涉及重大机密或不当违法行为,应单独报告,涉及高层管理者,报董事会
·有利益关系或受到影响的方面,如董事会或外部审计师
·其他管理部门对审计报告有兴趣,可给总结报告、口头报告
·中期报告:
在审计工作结束前提交的报告,是某些审计项目的特殊需要,书面、口头
报告内容:
需要延长时间、马上引起重视的问题(立即要采取措施)、管理当局迫切
问题、审计范围变化
e取得管理层对报告的反馈意见
三、审计结束
实施顾客满意度调查目的:
缓解冲突,增加顾客参与,改善顾客与内部审计师之间的关系
完成审计业务人员的业绩评价
评价标准:
需要具备的各种技能(计算机、沟通能力等等)
努力实现的成果的质量和范围、工作性质、对审计和组织程序的了解
与被审计单位的关系
持续教育
上次评价后的改善情况
计划能力
(p116AB审计师按个人习惯从事审计工作,不了解评价标准)应加权平均,适用于特定项目的业绩评价(具有普遍性),1年至少一次,对于低水平的审计师,要用特殊资料支持对其的评价,不能一般化
B实施具体审计业务(要求熟练掌握)
一.保证业务
(一)舞弊调查
1、确定调查的适当对象
舞弊调查:
已有征兆,需要执行扩展程序确定舞弊是否发生
调查步骤:
a组织内部发生舞弊的概率和同谋程度
b确定开展调查需要的知识、技能和其他能力
c设计程序:
确认舞弊者、舞弊程度、所用技术和舞弊原因
d多与管理人员协调行动
e嫌疑人与调查范围内有关人员的权利和对本组织名誉
2、证实舞弊事实和程度
评价已知事实:
需要加强的控制环节(分析性程序:
就是前期、预算等的比较)
设计测试内容,披露未来出现类似舞弊现象
协助其他人发现未来舞弊迹象
3、向适当方面报告结果
首席审计执行官:
负责向管理层和董事会报告,报告口头或书面、中期、最终报告
报告包括:
调查发现、结论、建议意见,可根据过去的口头、书面汇报、发现记录做
解释性指导:
确认已发生严重舞弊,及时报告管理层和懂事会
舞弊可能涉及以前年度财务报告,已经发生以前未产生负面影响,应通知管理层和董事会
报告包括:
调查发现、调查结论、调查建议和纠正措施
报告应提交法律顾问审查,
4、对过程进行检查一-改善预防舞弊的控制,并提出改进建议
发现舞弊的责任
a了解舞弊特点、手段、舞弊种类
b关注控制薄弱环节可能引发的舞弊机会,包括XX开展的交易、无视控制措施
未加解释的定价例外情形、异常巨额产品损失,认识到一种以上舞弊迹象会提高舞弊概率
c通过评估发现舞弊迹象,并进一步采取措施或建议开展的调查工作
d有舞弊迹象,应建议进行调查,并通报组织主管人员
e舞弊的工作底稿要保证安全和保密,询问底稿要被问人签字,防止上诉,证据两次检查
(二)风险和控制自我评价
风险:
发生对目标的实现可能产生影响的事件的不确定行,风险的衡量标准是后果的可能性,可用货币化潜在损失,对组织的不利影响来衡量
控制:
采用适当的方法、措施调整行为,使其满足目标的需要
控制自我评价的目的(控制措施在重大风险控制中的作用、程度)、作用、过程、方法(三大主要方法)
1、促进方法(促进小组研讨班,代表不同层次水平的信息)a业务委托人自我促进b审计促进
2、调查问卷方法(人多分散,企业文化阻碍坦诚、措辞简单回答是/否、有/无,投票方法不是最有效的)
3、自我认证方法(管理部门小组,对管理程序设计内部审计师可以参与)高级管理人员负责检查监督风险管理和控制程序的建立、管理和评估
对第三方的审计:
与组织有利益关系的独立第三方,如提供外包服务的组织等
合同审计:
大型建筑合同和经营合同,类型:
固定合同、成本加总合同、单位价格合同
监督全过程:
合同的招标、成本评估和控制程序、预算、税收等,而不是只在执行过程
质量审计业务:
质量管理的水平和效果,各项活动及结果是否与制定计划相一致
关注质量四要素:
a顾客的需要
b为满足顾客需要的产品/服务计划、生产和运输
c生产和运输产品/服务程序的计划和执行
d程序控制,尤其是对个别顾客需要的产品的服务
尽职调查审计业务:
为合资、合并、联合和并购事宜决策收集信息,包括有利和不利信息
参与人包括:
内部审计师、律师、外部审计师,工作各有关注点
安全审计业务:
组织使用的系统、程序及所实施的经营活动安全性正规检查和复核(计算机系统安全)
保密审计业务:
检查信息收集、存储、共享、使用和销毁的过程是否符合保密要求
绩效审计业务:
效果:
目标完成情况
效率:
所消耗的资源
效益:
投入与产出之间的关系
这种审计就是确认上述目标,但必须建立一套认可的目的、目标和标准评价指标
经营审计业务:
检查和评价内部控制系统,分配职责完成情况,关键是理解内部控制
包括:
建立经营目标情况(部门与组织目标是否一致,涉及对部门的检查)
对照标准衡量业绩水平
检查和分析偏差
采取纠正措施
依据经验重新评估标准
财务审计业务:
财务审计关注的是财产安全以及财务信息的可靠性和完整性
合规性审计业务:
关注组织中的违纪违规问题,组织政策、程序、标准的法律遵守程度
(三)信息技术审计业务
1、操作系统
除管理硬件和软件外,它的另一主要功能是保证雇员只对经授权的数据进行读写访问
a大型机:
大多数时候它指的开始于system/360一系列IBM计算机和其他兼容机
b工作站:
微型计算机
c服务器:
具有固定的地址,并为网络用户提供服务的节点,它是实现资源共享的重要组成部分。
操作系统审计要点:
系统信息收集、用户权限、资源访问、系统安全存储、维护记录
系统主机的审计包括:
容量管理程序和性能评价
硬件采购计划
硬件可靠性及使用状态
2、应用软件
a应用软件认证:
认证是证明身份用户的过程,授权则是标识用户可访问资源的过程
复合认证技术:
只有你知道的事情,如账号、密码(访问控制)
只有你拥有的东西,如身份证、工作证
只有你具有的特征,如指纹、声音、虹膜
审计内容:
测试安全性、隐蔽性,检查认证变动情况,包括非法用户撤销
b系统开发方法
生命周期法:
自上而下,优点:
系统性、规范性、严密性,缺点:
周期长,变化慢
原型法:
根据用户一个最基本的需求,开发一个实验模型,交用户使用,启发其需求
称为快速应用开发法,严密性不如生命周期法
面向对象的开发方法:
把握相对固定事件的本质开发软件,不管用户不断变化的需求
固定不变的部分称为对象(如通用软件)
系统开发活动:
系统分析、系统设计、测试、转换、运行与维护
审计重点:
组织要建立规范的开发过程
c变动控制:
变动管理控制是指计算机系统的任何变动只有经过管理层的批准后才能进行,包括硬件和程序变动控制
对变动管理的的审计,升级主机软件程序版本,利于全网络用户同步
对程序变动控制审计,是防止私自开发软件系统最有效方法,建立良好的变动控制程序,测试库程序紧急投入使用的风险是:
未经进一步测试就永久的投入运行,保护计算机程序库的安全最佳方式:
限制对程序库的物理和逻辑访问
d终端用户通讯:
系统的终端用户在没有和只有很少技术专家证实协助的条件下,自行完
(EUC)成系统开发的策略,主要审计内容是这样做的风险,因为自行开发系统整体分析功能考虑不全,建议成立信息中心负责用户咨询,制定相应规章制度
3、数据和网络通讯:
远程用户沟通,进行信号传输
基础通信网络:
PSTN公共电话交换网络
DDN数字数据网络
FR帧中继
ISDN综合服务数字网
ADSL非对称用户数字环线
审计重点:
通讯网络控制,设计、标准和规范,选择网络是否考虑成本/效益原则,以太网的数据传输量比电话线大,软件初始化不正确,可能造成网络反映迟缓
4、语音通讯:
(PBX)通过电话交换机进行语音沟通,主要承载:
PSTN/ISDN/IP/无线移动
语音黑客通过专用分组(交换机)PBX攻击调制解调器和访问数据网,如果防止语音邮件舞弊控制也带来系统功能降低
5、系统安全
系统控制:
一般控制,通用的控制手段和技术,是基础控制,有效性不受应用控制的影响,审计应首先确认已建立完善的一般控制,包括:
管理控制、运行控制(计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制、物理设备控制)
应用控制,特定为保障应用程序正确运行而设定的控制,如输入、处理、输出控制,包括:
输入控制、处理控制、输出控制)
工作站脚本:
建立终端运行环境,登录时起作用
自动注销不活动用户可使攻击者失去获得合法用户的机会
批量总额检查测试有利于输入的完整性和正确性
6、应急计划:
灾难后果处理,计划包括减少破坏事件的后果,及时恢复、增强数据中心灵活性和可用性(移植、升级,不中断业务)
审计内容:
计划的标准和法律实效适用性
测试灾难发生后恢复有效性
异地存储的适当性(远离现场的保存较好)
员工灾难发生时的反映能力(培训、救助能力)
7、数据库:
层次型数据库:
树状结构
网状型数据库:
网络中的元素之间通过指针进行连接
关系型数据库:
以表的形式表示,每个记录用字段表示
数据库管理系统(DBMS)
审计要点:
设计:
图表描述业务与其是否一致
访问:
访问被适当控制
管理:
访问级别设置、灾难恢复管理、处理过程一致和完整
界面:
信息保密性、可靠性及完整性
便利性:
只要有可能应用结构化查询语言SQL
数据库规范化:
目标是减少数据沉余,保证关系型数据库的二维表特征
8、数据中心运行:
负责软硬件日常工作
审计要点:
网络操作控制(职能部门管理)、信息系统操作(事件日志)、紧急状态操作(电压调整器:
防止电力浪涌,保证硬件设备安全)、问题处理报告(提供防止病毒服务)
9、网络基础设施:
运行在操作系统平台上的网络服务器和应用服务器
审计要点:
提供网络服务器和应用服务器的性能和可靠性
检查迅速排除故障的能力
检查时时性能状态监控,保证提供历史报告和公共数据输入
SSL安全协议:
提供数据加密、服务器身份验证、消息完整性和客户身份验证功能,网上通过安装一个数字证书数字被加密传输,加密在后台,不需要用户交互操作(如网上银行下载密码证书)
小程序:
从WWW服务器下载到客户机上,威胁最大的是从客户机建立与网络连接的小程序
10、软件许可:
使用盗版软件的风险、建立防止非法软件的管理制度、发现非法软件使用
降低盗版法律风险方法:
保存购置记录
对计算机使用的软件进行鉴别
建立软件使用政策
(提供正版安装)
正版拷贝备份为合法,拷贝多人使用为非法
上千台计算机工作站遵守软件许可调查起点,是看软件安装是否集中管理
二、实施咨询业务
内部控制培训:
审计对相关人员在内控方面的培训
经营过程检查(BPR):
对组织的业务流程和程序进行检查(电话费用控制方法的制定)
基准比较法:
与最优(标杆企业)比较,组织内部也有最优情况
信息技术与系统开发
业绩测评系统的设计
实施咨询业务的原则:
a委托业务更适合保证业务,就应当做保证业务
b章程中含有此项业务,并制定相应政策和程序
c一人从事咨询业务一年内,不能作保证业务,处理方法:
派另一人、建立独立监督机制、阐明结果、披露认定的损害,要管理层明白
d避免不必要的超出业务范围和脱离原定的目标管理责任
职业谨慎:
了解咨询动机和原因,确定范围,工作技巧,潜在影响,组织从中获什么益处
如何处理目标:
审计目标优于管理人员特殊要求,如何协调:
将额外目标纳入咨询业务中
记录额外目标,最后沟通时,报告观察结果
将额外目标纳入后续保证业务中
咨询计划:
包括业务目标、范围、完成目标的技术手段
结果沟通:
要求清楚的报告业务性质、存在的局限性、引起主意的地方。
越过服务对象,直接于上级沟通的情况:
重大风险漏洞和控制弱点
报告使用:
董事会、审计委员会、其他政府部门,在包括其他审计活动时进行披露
其他沟通:
这种方式不具体,但可描述业务类型和重要建议,这是审计职责
C监督审计业务结果(要求熟练掌握)
1.根据内部审计结果确定适当的跟踪活动
建立制度:
首席审计执行官负责建立和维护一套系统程序
2.确认监督审计业务结果的适当方法
监督技术:
建议报告给管理层
合理时间得到管理层的反馈
收集管理层最新信息,评价努力程度,包括执行和监督部门信息
向高层和董事会报告发现和反映
3.实施跟踪活动(3步骤)
与高层和审计单位协商整改计划
实施计划
进行复查,未采取行动,决定是否报告高层和董事会或确定其责任
4.沟通监督计划和结果
判断管理层已采取纠正措施的充分性,决定是否把跟踪活动放到以后的审计业务中
如果高层承担审计发现问题的风险,或不采取纠正措施的风险,审计责任就只有告知,可不再有跟踪报告责任
如果反复出现违反制度情况,首席审计执行官应判断是否管理层或董事会已经承担了不采取纠正措施带来的风险,同时应评估决定承担风险的原因,并向董事会报告
D舞弊知识要点
1.利用计算机分析数据(要求熟练掌握)
2.危险信号(要求熟练掌握):
一整套文字描述那种条件下舞弊发生率会比较高的方法,是总结以往经验的基础上得出,就是征兆或特征,但无舞弊情况下有些危险信号也存在,难以被量化或估价,审计不需收集该内容
举例:
由于个人原因而产生的过度压力,严重疾病、赌博、受人恩惠
由公司原因而产生的过度压力,经济困难、过渡财务杠杆、大量调账项目
具体的控制风险,监督不力、责任或义务不明确,任务分配存在明显的利益冲突
3.舞弊类型(要求熟练掌握)
舞弊特征:
以有意识欺骗为特征,对组织有利、也有损害,可能是组织内部人员、也可能是外部人员所为
舞弊类型:
为组织谋取利益,欺骗外部有关方面,个人间接获利,常见管理层舞弊动机是对组织的财务压力
为个人谋取利益,内部或外部人员或组织,直接间接获利
发现抽样法:
怀疑的舞弊行为已经发,需要证实,用发现抽样法,如果要100%证明发生很少也用此法,只要有一个偏差,就停止抽样,如检查部门去年已处理过的发票,发现一个问题
停-走抽样:
是当达到了目标差错率时,停止抽取样本
变量抽样:
针对金额和数量
属性抽样:
通过确认样本的属性,然后推断出总体属性
选择样本的技术:
包括随即抽样、按概率比率大小抽样
面谈技术:
两人以上在场、不能限制对象自由、注意对象谈话的措辞
问卷:
从一般问题到特殊问题
司法鉴定审计:
发现组织内部经济犯罪法律证据,首席审计执行官认为必要时的选择
E审计业务工具
抽样:
非统计抽样(主观判断样本量的大小)
统计(概率抽样或随机抽样,客观方法确定样本量的大小)
总体:
要得出结论或关心的事项,由审计目标决定,每个事项就是一个样本单位,是实际被挑选出来的检查项目,是总体的一部分。
如审计资产维修,资产维修单据为样本单位
样本:
抽出的个体,样本量计算可得,样本标准误差:
样本项目的变化程度,如退货情况多集中在两个月,只对这两个月进行抽样检查,得出的结论不能代表全年。
代表性:
样本的特征具有总体特征
置信水平:
风险5%置信水平95%(衡量希望抽样结果达到的可靠程度)
置信区间:
置信水平99%置信区间宽可接受的精确程度低
置信水平80%置信区间窄可接受的精确程度高
计算:
样本的平均值75
标准离差14
平均值的标准差2
样本量50
置信区间=75±(2×14/√50)=71±79
2000个项,抽样100,抽出样本总值10000元,单个样本值=10000/100=100元
总体样本值=2000×100=200000,精确度范围±4000,置信区间200000-4000=190000
和200000+40000=240000
风险和置信水平、置信区间、精确度的关系:
例如:
某审计师希望自己审计抽样结果的风险承担小,那么他的置信水平就高了,他就可能降低抽样精确度,抽样精确度低,抽样误差范围,也就是置信区间宽。
反之承担的风险高,置信水平就低,精确度提高,抽样误差范围就小,上下限就范围,也就是置信区间窄。
精确度:
查错率上下范围
试点样本:
用来估计变动程度,即标准离差
3.数据收集工具(要求熟练掌握)
a面谈4阶段:
1初步面谈2事实收集面谈3后续面谈4退出面谈面谈多用于经营审计
重要性:
交叉验证以前活动的信息资料,但证据有效性较低,需要其他客观实际进行证实
b调查问卷:
多用于内控制度调查,优点不忽视控制系统重要方面,并对内控系统进
升级会员 