审计实务.docx

审计实务.docx

《审计实务.docx》由会员分享，可在线阅读，更多相关《审计实务.docx（27页珍藏版）》请在冰豆网上搜索。

审计实务

审计实务基本内容

一、审计任务

审计任务，含信息技术审计、经营和项目的效益审计、财务审计和合规性审计。

（一）制定计划

据新修订的《内部审计实务标准》，首席审计执行官应根据审计风险来制定与内部审计部门的章程和机构目标相一致的审计工作计划。

内部审计活动的业务计划应在风险评估的基础上制定，并且至少一年进行一次。

在制定计划的过程中，应考虑高级管理层和委员会的意见。

首席审计执行官应将业务计划与资源要求提交高级管理层和委员会通过。

首席审计执行官还应说明资源方面的限制可能带来的后果。

审计执行主管应根据工作在改善管理、增加价值、改善机构的经营方面的作用来考虑是否接受所提议开展的咨询工作，并应在计划中罗列出已经接受的咨询工作。

审计工作计划的内容应包括：

目标、审计业务范围、审计业务工作方案、资源分配和财务预算、部门报告。

内部审计部门应该能够在规定的经营计划和预算范围内实现目标，并在可能的程度上衡量目标的实现情况。

这些目标应该附带衡量标准和实现日期。

审计工作安排（日程）应包括以下内容：

即将开展哪些活动，何时开展这些活动，完成这些活动估计所需时间。

工作日程应能够保证一定时期内适当的审计覆盖面。

风险评估对于制订出有效的审计工作日程安排是极为重要的。

人员配备和财务预算包括审计师的数量以及完成工作所需要的知识、技巧和专业培训，应依据审计工作日程和审计研究和开发工作的要求安排管理活动、教育和培训。

业务活动报告必须定期地送交高级管理层和董事会。

这些报告应包括执行情况与审计目标和审计工作日程安排的比较情况，实际支出与财务预算的比较情况，并说明发生重大变化的原因以及需要采取的措施。

在确定审计工作日程安排的重点时应该考虑的事项包括：

（1）最近一次审计的日期和结果；

（2）对风险和风险/管理控制过程效果的最新评价；（3）管理高层、审计委员会和理事会的要求；（4）当前与机构治理有关的问题；（5）企业业务、经营、程序、系统和控制方面的主要变化；（6）实现盈利的机会；（7）审计师的变化和能力；（8）具有充分的灵活性，以便应付对内部审计部门的意外要求。

（二）实施审计任务

1、内部审计程序内部审计程序可分为九个步骤：

（1）选择被审者。

（2）审计准备。

（3）初步调查经营活动。

（4）描述、分析和评价内部控制。

（5）扩大内部控制测试的范围。

（6）形成审计发现和审计建议。

（7）审计报告。

（8）后续审计。

（9）审计评价。

2、审计对象的选择

选择被审者应考虑的主要问题是风险。

风险越大，越需要管理当局给予重视和关注。

审计项目的时间安排通常以风险评价为基础，优先安排审计风险高的项目。

选择被审者的基本方法有三种：

制定一个预算期间的审计方案（系统选择法）；

应管理部门或董事会的要求（例外事项的审计）；应被审者的要求。

3、审计准备

（1）初步确定审计目标和审计范围。

在计划审计工作时，要求审计人员初步定出审计应达到的目标和审计的范围。

①确定审计目标。

《内部审计职责说明》强调，内部审计的目标是“协助该组织的领导成员有效地履行他们的职责。

”内部审计师在开展每项审计业务时都应根据总体工作计划制定并记录审计项目计划。

就单个审计项目而言，其审计目标是比总体工作计划更为具体化的。

审查和评价是说明审计目标的关键词。

由于审计工作范围不同，审计目标也有所不同，但是无论如何，审计目标应该直接与组织的风险相关。

②确定审计范围。

审计范围包括两方面：

①审计什么；②为了审计它，审计师要做些什么。

前者可以称为审计兴趣范围，后者可称为审计活动范围。

它们阐明了审计师审查和评价什么。

内部审计的范围应包括审查和评价企业组织的内部控制系统的恰当程度和有效性，以及在完成所指派的职责时的执行效果。

审计范围的大小与被审计的信息系统或经营系统本身及所要求的审查深度有关。

在选择被审者之后，为了有效地计划审计工作，审计人员应初步确定该项审计的审计目标和审计范围。

尽管审计目标和审计范围会在审计过程中根据客观情况需要而不断发生变化，但对其进行初步的确定却是必要的，它是成立审计小组和初步了解被审者有关情况的基础。

（2）研究背景信息。

审计人员应尽可能地熟悉被审者经营活动的性质，以便为初步调查做好准备。

研究背景资料不仅有助于审计人员估计经营活动中可能发生的需加以关注的特别或例外事项，也有助于他们熟悉被审者的政策制度和控制程序。

背景资料有四种来源：

①永久性文件；②以前的审计文件；③来往信函；④与管理人员面谈。

取得与审计活动有关的背景资料中应包括如下信息：

①目标和目的；②可能对经营和报告产生重要影响的政策、计划、程序、法律、规定和合同；③机构信息；④被审计活动的预算信息、经营结果、财务数据；⑤审计业务开始前的工作底稿；⑥其他审计业务的结果，包括已完成的或正在进行的外部审计师的工作；⑧用以确定潜在重要审计业务问题的通讯文档；⑨适合被审计活动的权威性和技术性文字。

（3）成立审计小组。

审计小组由组长、领队审计师或责任审计师（负责管理现场工作和准备审计报告）和审计职员（通常由为帮助审计和准备审计报告的一个或多个审计师组成）。

审计小组的具体组成，依审计项目的规模和性质而定。

大多数的审计项目是由人数为1到8名的审计人员组成。

其中，2到3名审计人员负责深入被审者现场实施外勤审计工作，另外还有1到2名审计人员负责审计的监督工作。

不同的审计项目要求审计师具备不同的知识和技能，选择不同审计小组进行不同的审计工作反映了这些不同的要求。

审计小组内部要合理地进行分工。

当然，在审计人员较少的情况下，一名审计人员可能要同时负责多项工作。

有些审计部门甚至只有一名审计人员，所有的审计工作只能由其独自完成。

（4）初步联系被审者及其他有关当事人。

在开展审计之前，审计人员应向被审者下达审计通知，并与之就有关的审计事项进行交流，向被审者提出需要配合的事项，使被审者有足够的时间做好准备。

审计人员还要将审计时间和目的通知被审单位的行政管理部门和审计委员会。

另外，审计人员应讲明预期的报告程序和审计行为。

审计通知书既是一种礼貌，也是一种好的审计行为。

值得注意的是，审计人员不应妨碍组织的经营。

计划和实施审计，应尽可能做到不影响正常业务。

（5）制定初步审计方案。

审计工作需要进行周密的计划安排。

记录审计计划和各项审计工作时间安排的文件，称审计方案。

审计方案包含以下内容：

审计目标、审计范围、审计过程中必须特别加以关注的事项、审计程序、拟收集的审计证据、审计人员分工以及审计时间安排。

通常，审计方案由审计组长准备，由负责审计工作的人（一般是首席审计执行官）批准。

制定审计方案分两个阶段，制定初步审计方案是其中的第一个阶段。

初步审计方案的内容应包括对其他审计工作的估计和安排。

初步审计方案的作用是为初期的审计工作提供一个系统的指南，它要对初步调查与描述和分析内部控制这两个步骤的审计工作作出说明。

在实施这两步审计工作以后，要根据从这两步工作中所获取的有关信息对审计方案进行修改和完善。

制定审计方案有三种传统方法：

①在审计准备阶段制定；②在审计过程中制定；③对具体业务使用标准审计方案。

（6）计划审计报告。

审计报告是向被审者和组织的有关部门反映审计结果的文件。

计划审计报告在审计过程的准备阶段进行。

审计报告是审计工作的最终结果，因此，内部审计人员在审计的初期就要考虑审计报告如何编制，何时报送以及向谁报送。

计划审计报告，并不是对审计报告中的所有细节都作出安排，而是确定某些基本的要素。

（7）取得对审计方案（AuditProgram）的批准。

审计工作开展之前，要由内部审计经理对审计方案进行复核和批准。

审计方案的复核包括对审计程序、审计目标和审计范围的复核。

这种全面、综合的复核有助于保证审计程序能有效地支持审计目标和审计范围。

4、初步调查

初步调查的目的是取得对被审者的初步了解，为进一步完善审计方案提供依据，并取得被审者的合作。

通过初步调查，审计人员可能获得新资料，包括在审计准备阶段认为不重要的内容，听取被审者的意见和建议，以便重新修订审计计划，使其切实可行。

所以，从某些方面看，初步调查是审计准备的延伸，和早期准备工作不同点在于初步调查包括实地考察。

实地考察十分重要，是整个审计工作不可缺少的重要部分。

初步调查做得不好，就无法指导审计工作。

而且会导致审计人员忽略应做的重要审计工作。

初步调查包括以下步骤：

①与审计客户开展讨论；②与被审计事项影响的个人（如被审计单位的用户）进行面谈；③进行现场观察；④审核管理层的研究工作报告；⑤分析性复核；⑥绘制流程图；⑦“穿行测试”；⑧记录关键控制活动；⑨调查结束时应编写调查结果报告，以明确重要的审计业务问题及其原因，调查过程中开发的相关信息，审计业务目标、程序和应用的特殊方法，潜在的关键控制点、控制缺陷和/或控制过度的情况，以及（在适用条件下）不继续进行审计的原因。

（1）审计座谈会。

在初步调查阶段，要召开审计座谈会，出席会议的包括审计小组的成员和被审者管理当局。

会议通常是在被审者的经营场所举行的。

审计座谈会的主要目的是：

①取得被审计者的合作；②向被审计者传递有利于审计工作顺利进行的有关信息；③获得审计所需的信息；④增加信任感。

与所有需要了解有关审计工作的人员进行交流。

讨论的话题可以包括计划内项目的审计目标和工作范围以及时间安排；参与此项目的内部审计师；整个业务实施期间的报告过程和操作情况，包括管理和主要系统的最新变化；管理人员或内部审计师所关心的事项或要求；对内部审计部门报告程序和跟踪过程的说明。

讨论的事项和达成的结论应作记录，并形成工作底稿。

（2）现场调查。

适当进行现场调查可以熟悉被查活动及其控制制度，有利于获取审计信息，确定审计重点，征求被审计单位的意见和建议。

现场观察通常是查看被审者开展经营活动的场所，审计人员可以从中对被审者经营活动的性质、工作气氛、工作流程、实物资产、与其他部门的关系等情况有一个基本的了解。

（3）研究文件资料。

审计人员需要研究的资料包括组织结构图、有关的法律规定、陈述组织目标的文件、工作说明书、组织的政策、汇总报告、重要经营活动的文件、定期报表等等。

其主要目的是对实地考察收集到的文件进行整理归档，以便查阅。

在这一阶段，审计人员的主要任务是确定这些文件是否存在、如何组织、是否有序存放和妥善保管，等等。

（4）分析性审计程序。

实施分析性审计程序能够对各种财务和经营报表的数据进行分析比较，包括：

实际和预算的比较，多期数据的趋势分析，账户间关系分析，财务和生产经营比率与前期比率、行业比率的分析比较，等等。

分析程序不但有助于审计人员用定量的方法了解被审者的经营情况，而且有助于审计人员计划适当的审计程序。

因为这种比较和分析所发现的异常情况，能引起审计人员的关注，从而有针对性地采取更详细的审计程序来审查。

另外，这种程序的作用并不仅仅在于引起审计人员的注意，它还能提供明确的证据来证明经营和财务数据是否合理，证实风险高的和需要多花精力的审计领域。

（5）编写被审部门说明书。

编写被审部门说明书包括绘制流程图、“穿行测试”和记录关键控制活动。

审计人员需要充分了解被审者的情况，以便有效地评价内部控制系统的适当性。

对被审者情况的书面描述是永久性审计档案的组成部分。

它有助于审计人员了解被审者，并可作为审计人员评价内部控制系统和制定审计程序的基础。

对信息系统和经营活动的书面描述包括：

文字叙述，流程图，经营场所平面布置图，反映经营政策、竞争对手情况和被审者经营外部环境的文件和资料。

5、描述、分析和评价内部控制制度。

具体包括：

对被审事项的内部控制进行详略得当的描述，针对关键控制点选取交易和经营活动进行“穿－行测试”，对内部控制实施小样本的测试，评价内部控制，重估内部控制风险。

（1）描述内部控制。

内部审计人员可以通过内部控制问卷、流程图和文字描述这三种方式来描述内部控制。

由于内部控制流程图往往是与经营活动流程图结合在一起的，所以便于审计人员评价内部控制在经营活动中发挥的作用，明确是否有必要增加或修改原有的内部控制。

内部控制问卷与文字描述则能够对内部控制系统作进一步的分析，使审计人员能在测试和评价内部控制系统之前，取得对内部控制更为全面和完整的了解。

如果不是首次审计，在描述内部控制的时候，可以通过参考和修改审计档案中的相应文件来进行。

（2）“穿行测试”。

“穿行测试”就是要求审计师一步步重新执行某一控制的全过程，它是审查内部控制时实施的第一个层次的测试，主要是针对关键控制点，选取一定的交易和经营活动进行测试。

内部控制中往往包含一定数量的关键控制点，这些控制点是风险比较高的领域。

审计人员需要针对这些关键控制点，对经营活动进行逐步测试。

通常对于交易的每一步要实施一到两次穿行测试。

穿行的途径有两种：

一是“凭证穿行测试”，即根据机构的记录来追踪交易的整个过程；二是“程序穿行测试”，即由审计师亲自处理这些交易。

（3）小样本测试。

小样本测试是审计人员选择少量的交易进行测试，检查这些交易如何进行处理。

这种测试是对真实交易的测试，能使审计人员了解交易的实际处理是否与预期的一致，内部控制是否得到有效执行。

这种测试的样本量一般在25－30个左右，但某些情况下也可以是2－3个，视具体需要而定。

（4）信息系统内部控制的测试。

审计人员一方面通过实施上述小样本测试来了解经营系统内部控制的实施情况，另一方面，也可以进一步对信息系统的内部控制进行更为广泛深入的测试。

对信息系统的测试很重要，因为审计人员后面要实施的审计测试很大程度上依赖于信息系统的质量。

不可靠、不真实的信息会误导审计人员，从而得出错误的审计结论。

在实施更广泛的测试时，审计人员的目标是寻找有说服力的审计证据，即寻找那些能保证审计结论正确无误的审计证据。

当然，有说服力的审计证据并非指证据具有绝对的确定性。

在这种测试中，通常使用统计抽样的方法。

统计抽样的优点在于：

能利用概率，精确地计算出审计结果的可信赖程度。

信息系统的内部控制涉及到被审经营活动的信息收集、处理、传递和保管等各个环节。

相对于传统性组织而言，现代大型组织的信息系统则是综合到经营活动中去，与经营活动平行。

（5）评价内部控制。

评价内部控制的常用方法是使用内部控制矩阵图。

在内部控制矩阵图上列示内部控制的审查结果、所存在的风险以及应用的控制标准。

利用内部控制矩阵，审计师可以就控制目标和控制风险等问题对内部控制制度的质量作出初步评价。

（6）重估风险。

经过了对内部控制的测试和分析，审计人员需要考虑是否对审计目标和审计范围进行修改和完善；还要考虑在得出审计结论、提出审计建议和编写审计报告之前，是否需要进行扩大性测试工作。

所有这些需要考虑的问题，都是以审计人员对所审事项的风险评价作为基础的。

6、扩大审计测试。

评价了内部控制之后，就要根据风险重估的结论确定审计程度，即决定是实施扩大性的审计测试，还是直接进入提出审计发现和审计建议的阶段。

是否执行扩大测试取决于以前各步骤收集的证据和审计风险评估。

如果决定执行扩大测试，审计人员必须调整审计方案。

扩大测试的目的是获得额外的信息，使审计结论更可靠。

扩大测试有三个主要目的：

（1）执行更详细的检查；

（2）

对已建立的控制制度和目标进行遵循性测试；（3）评价内部控制制度的实施情况。

扩大测试并非审计过程中对每一个项目必须实施的程序。

审计师可从被审计项目中选择几个项目进行扩大测试。

扩大测试的标准是：

直接性（测试与风险有直接关系的内容）、有效性（只在需要时进行扩大性测试）和合理性（审计师或审计顾问的能力，扩大性测试需要掌握一定的审计技术）。

如果需要实施扩大性的测试，那么就要完成以下的工作：

（1）对审计方案做必要的补充，并确定所需的人员和其他资源；

（2）编写书面审计报告的初步框架或对原来的框架进行修改和完善。

由于还没有得到最后的审计结果，因此，不可能把审计报告的实质性内容列示出来，但审计人员应商定审计报告所反映的主题内容以及各主题所占的篇幅；（3）实施扩大性审计测试。

扩大性测试的审计步骤：

（1）确定初步调查和内部控制检查的结果；

（2）上述结果是否有风险，若有则确定其风险水平；（3）确定控制上述风险的最好控制类型；（4）上述结果是否需要附加证据，如需要则确定其对资产控制的影响；（5）收集适当的附加证据。

描述、分析和评价内部控制能测试出内部控制的强弱，而扩大测试则可以进一步证实描述、分析和评价内部控制的结果，并能将风险暴露予以量化，从而使审计人员能够对控制系统作出最终的评价，并在必要的情况下提出建议。

扩大测试的方法包括审查记录和文件、与被审者管理当局和其他员工进行面谈、实地观察经营活动、检查资产、将实际情况和记录进行比较，以及能使审计人员充分详细了解组织控制系统的其他审计程序。

描述、分析和评价内部控制以及扩大测试为审计人员得出审计结论和提出审计建议打下了基础。

在充分了解被审者的目标和政策并熟悉了被审者的信息系统和经营活动以后，审计人员应能对内部控制系统作出一些有价值的评价，而且能够重估风险并对内部控制系统的完善提出有益的建议。

7、形成审计发现和审计建议

（1）审计发现是与事实相关的说明，是基于所期望的和实际之间的差异而形成的。

比较次要的审计发现或建议可通过非正式形式报告，但重要的审计发现或建议则应以书面形式反映在最终报告上。

审计发现和审计建议应具有以下特征：

①标准：

在进行评价/核证时应用的标准、措施或期望值；②情况：

内部审计师在检查过程中发现的事实依据；③原因：

预期和实际情况之间存在差异的原因；④效果：

在确定风险程度时，内部审计师应该考虑审计发现和审计建议可能对机构经营和财务报表产生的影响；⑤可以包括没有在其他地方反映的审计客户成绩、相关问题和辅助信息。

审计发现可以是肯定的，也可以是否定的。

否定的审计发现被称为“例外”，并引起审计人员的重视，以便在执行审计过程中加以纠正。

例外表示公认风险的范围。

（2）审计建议指内部审计部门以审计发现和审计结论为依据，呼吁采取措施纠正存在的问题或改进操作。

建议可以是概括性的，也可以是很具体的。

建议类型包括：

①现有系统无须改变；②现有内控制度需要修正；③当增加控制措施的做法不可能或不可行时，建议增加保险方面的支出；④影响风险的某项报酬率要调整。

8、及时报告审计结果。

审计结果是内部审计师对审计发现和审计建议影响被审计活动的情况进行评价。

它可以覆盖整个审计范围或具体审计方面。

（1）报告的内容。

它包括：

①审计的目标、范围和适当的审计结论、建议和行动计划；②自上次审计以来或建立良好控制措施以后审计客户取得的成绩；③审计客户关于审计结论或建议的观点。

④内部审计师和审计客户对于审计结果存在意见分歧。

内部审计师应努力征得审计客户同意其审计结果和为改进经营而建议采取的行动计划。

⑤审计客户的书面意见可以作为附录收进报告，也可以直接在报告主干部分加以表述或以信函的形式加以表述。

（2）报告的质量要求。

报告应达到准确、客观、清楚、简明、富有建设性、完整和及时等7项质量要求。

（3）披露违反《内部审计实务标准》的行为。

当违反《标准》的行为影响具体的审计活动时，内部审计师应在审计报告中披露没有得到完全遵守的条款、未遵守的原因以及对审计活动的影响。

（4）传达审计结果。

首席审计执行官应将审计结果传达给那些能够保证对审计结果进行应有考虑的人员。

有些可能不适合向所有报告接收人披露的信息可以在单独的报告中披露。

首席审计执行官还负责向客户传达咨询业务的最终结果。

在审计检查工作完成后，应及时提交书面报告。

中期报告可是书面或口头的，而且可以正式地或非正式地报送。

在发出最终审计报告前，内部审计师必须征求适当的管理层对审计结论和建议的意见。

9、后续审计和审计评价

（1）后续审计。

内部审计人员必须进行后续审计，以确保对报告中提到的审计结果采取适当的行动。

后续审计的重点应是由于控制目标未能实现而产生的风险，而不是与如何改进报告中提到的具体建议。

因此，控制目标的实现和风险的再评估是后续审计的重要内容。

内部审计部门可采用向负责采取纠正措施的恰当管理层、管理高层、董事会报告和反馈执行及评价情况等技术来有效监督执行审计结果的进展情况

后续审计有3种方式：

①高级管理层与被审计单位进行协商，决定是否、何时、怎样按内部审计师的建议采取纠正行动。

②被审计单位按照决定采取行动。

③在报送审计报告后，内部审计人员应经过一段合理的时间后对被审计单位进行复查，看纠正行动的效果是否理想；若没有采取行动，是否是高级管理层和董事会的责任。

（2）审计评价。

审计过程的最后一步是审计评价——对整个审计的评价。

审计评价是由审计师对自身的工作进行评价，并要编制业绩评价报告，来评价审计小组组长和其他审计师的工作。

并非所有的审计部门都评价了他们的工作，但越来越多的审计人员开始发现该项工作的价值。

审计评价通常在由审计组长、审计项目经理或监督人以及审计部门经理召开的会议上进行。

（三）、风险与范围

风险是指可能对目标的实现产生影响的事情发生的不确定性。

风险的衡量标准是后果与可能性。

风险的影响主要是：

（1）由于使用不正确、不及时、不全面的信息而作出了错误的决定；

（2）对于错误记录的保存、不适当的会计记录、舞弊的财务报告、财务损失和暴露；（3）没有恰当地保全资产；（4）客户的不满意、负面的宣传、名誉的损失；（5）没有遵守政策、程序、计划、法律和规章；（6）不经济地获取资源或没有效率、没有效果地使用这些资源；（6）没有达到项目经营所确定的目标和任务。

1、识别一项审计任务的目标和风险，并确定其优先次序。

这要求运用风险评估。

风险指一件事情或行动可能对组织产生不利影响的机率，风险评估是评价和综合对有关可能的不利情况或事情的专业判断的一个系统过程。

风险评估应每年进行一次，也可以经常更新。

风险评估对于制订出有效的审计工作日程安排是一个极为重要的过程，此过程包括确定可审计的活动，确定有关的风险因素，并评价它们相关的重要。

风险评估过程应提供一种方法，把专业判断组织、综合起来。

许多审计机构运用数字模型对机构风险程度进行评估，这种数字化风险评估模型主要优势有：

为必须长期坚持审计计划的审计执行主管提供文件依据；为针对风险和重点应用不同的权数提供系统化的方法；在评估中含有大量风险因素时，可帮助审计执行主管确定，而不需要再作出判断。

审计执行主管通常应对具有较高风险的活动确定给予优先审计。

风险评估的步骤：

（1）挑选出对机构的各单位最重要的风险因素；

（2）给风险因素逐一评分；（3）加总得出：

“风险分值”；（4）按各单位的风险分值排序。

风险因素是指用于识别对组织产生不利影响的情况或事情的重要性和可能性的鉴定标准。

它包括了：

（1）货币的重要性；

（2）资产变现能力；（3）管理水平和能力；（4）内部控制的质量；（5）变化或稳定性的质量；（6）上次审计的时间；（7）复杂性；（8）与雇员、政府间的关系等等。

内部审计部门经理可以决定对风险因素进行权衡，以确定它们相关的重要性。

对风险因素的权衡反映了内部审计部门经理在选择审计的活动时对某一因素所造成的有关影响的判断。

2、加强风险管理。

风险管理是管理人员的主要责任。

董事会和审计委员会应该在确定机构是否建立恰当的风险管理过程以及这些程序是否充分有效地运作等方面起监督作用。

内部审计师应该通过检查、评价、报告风险管理过程的充分性和有效性，并提出改进建议来协助管理人员和审计委员会的工作。

但以咨询顾问身份开展工作的内部审计师可以协助机构确定、评价并实施针对风险的管理办法和控制措施。

对机构的风险管理过程进行评价和报告一般是审计的重点。

如果机构尚未建立风险管理程序，内部审计师应该提请管理层注意这种情况，并同时提出建立风险管理程序的