內(nèi)部審計作業(yè)辦法

1、內(nèi)部審計作業(yè)手冊目 錄第一章 內(nèi)部審計概述1第二章審計業(yè)務打算4第三章業(yè)務流程分析8第四章評估設(shè)計有效性11第五章測試運行有效性22第六章審計執(zhí)行結(jié)束39第七章審計報告43附件1年度審計項目列表附件2年度審計工作打算附件3審計打算備忘錄附件4審計通知書附件5流程文字描述工作表附件6穿行測試工作表附件7風險操縱矩陣附件8關(guān)鍵操縱登記表/測試工作表附件9問題及缺陷表附件10審計報告格式第一章 內(nèi)部審計概述 第一條審計使命 審計部門直接對公司總裁辦負責，為公司治理層 評估公司記錄、內(nèi)部操縱制度、治理資訊系統(tǒng)及作業(yè)系統(tǒng)是否健全、完善、有效。協(xié)助公司治理層發(fā)覺業(yè)務進展中可能存在的風險，并提出如何建立適當

2、的制度、內(nèi)部操縱系統(tǒng)和程序來充分地、有效地治理操縱風險。 第二條 審計組織 公司設(shè)立審計部，作為專職的內(nèi)部審計機構(gòu)。審計部的日常審計工作直接向公司總裁辦匯報。同時，審計部作為審計委員會下設(shè)的辦公室，負責處理審計委員會交辦的日常工作。 第三條 審計的要緊職責 審計部門的要緊職責是： 一、擬定公司內(nèi)部審計制度，編制年度審計打算和審計預算； 二、對公司及各分支機構(gòu)各項經(jīng)營活動和財務活動的真實性和合規(guī)性進行監(jiān)督、檢查和評價； 三、對公司及各分支機構(gòu)內(nèi)部操縱體系以及風險治理 體系的健全性、合理性和有效性進行監(jiān)督、檢查和評價，并出具年度內(nèi)部操縱評估報告； 四、對董事及高級治理人員在任職期間所進行的經(jīng)營治理

3、活動進行審計檢查； 五、對公司及各分支機構(gòu)經(jīng)營效益等事項進行專項審計； 六、對公司信息系統(tǒng)進行審計； 七、對被審計單位整改情況進行后續(xù)審計； 八、處理董事會審計委員會交辦的日常工作； 九、法律法規(guī)規(guī)定和公司要求的其他審計事項。 第四條審計范圍 審計工作范圍涵蓋公司全部業(yè)務。審計部門必須在整個工作領(lǐng)域內(nèi)，明確訂立出各個需要被查核的區(qū)域，以利查核工作的進行。 審計工作范圍包括 一、業(yè)務審計； 二、財務審計； 三、合規(guī)審計（包括定期進行反洗鈔票和反恐懼融資方面的審計等）； 四、董事及高級治理人員審計； 五、依照公司治理層的要求進行的專項調(diào)查； 六、公司外部有關(guān)部門（政府監(jiān)管部門、股東方及會計師事務所

4、）檢查所發(fā)覺的重大治理缺失事項的追蹤。 第五條 審計制度 公司制定公司內(nèi)部審計制度。審計制度是內(nèi)部審計的差不多行為準則，是審計人員在任何情況下都必須遵守的原則。 第六條 審計程序與方法風險評估及審計打算步驟 3: 評估固有風險 / 評價操縱設(shè)計步驟 2: 業(yè)務流程分析步驟 1：風險評估及審計打算步驟 3: 評估固有風險 / 評價操縱設(shè)計步驟 2: 業(yè)務流程分析步驟 1： 審計業(yè)務打算 步驟 4: 操縱運行有效性的測試/評估剩余風險 步驟 5: 審計執(zhí)行結(jié)束審計執(zhí)行第二章 審計業(yè)務打算 第七條 年度審計打算目的 審計部門須對每一年度的審計項目安排年度審計打算。年度審計打算編制的目的在于： 一、確

5、保審計工作滿足公司內(nèi)部治理和外部監(jiān)管的需 要； 二、使審計部門與被審計單位之間在工作安排方面協(xié) 調(diào)一致； 三、確保審計項目的時刻和人員安排充分同時適當。 第八條 年度審計打算要素 年度審計打算包括將于該年度內(nèi)實施的所有常規(guī)審計項目。年度審計打算的要素包括各審計項目范圍，涉及部門及項目的時刻安排，包括現(xiàn)場工作日及審計報告提交日。所有包含于年度審計打算中的審計項目均應編號。項目編號以年份加順序號組成。 第九條 年度審計打算的編制程序 一、審計范圍和可審計單位 審計工作的范圍涵蓋公司全部業(yè)務。公司業(yè)務中凡被內(nèi)部審計人員或外部審計人員（政府監(jiān)管部門或查帳會計師事務所）認為須作查核的領(lǐng)域，全部包括在審計

6、范圍之內(nèi)。審計工作應以審計范圍內(nèi)各業(yè)務運作流程的內(nèi)部操縱制度的建立和執(zhí)行情況為重點。 以審計工作的可操作性考慮，審計范圍整體應分成若干個可審計單位。每一個可審計單位都應該能夠單獨被查核，但又與整個內(nèi)部審計打算相聯(lián)系。 可審計單位的劃分，以各項業(yè)務操作的流程為宜，不受業(yè)務部門的限制。 二、審計項目之選擇 依照確定的可審計單位，審計部門主管應充分考慮以下因素，確定年度審計項目，編制年度審計打算。 （一）風險高及公司策略重點的可審計單位審計次數(shù)應更頻繁； （二）為確保審計項目的完整性及有效性，審計項目應涵蓋業(yè)務審計，資訊技術(shù)審計及財務審計等審計范圍； （三）審計項目涵蓋的范圍及其及時性應使內(nèi)部審計工

7、 作價值最大化，并為外部審計師提供關(guān)心； （四）每一審計項目的確定及人員安排應確保審計報告 在審計工作開始后60天內(nèi)發(fā)表。 第十條 年度審計打算之核準 內(nèi)部審計部門應于每年12月底前完成下一年度審計打算，并呈報公司領(lǐng)導及董事會核準。年度審計項目列表詳見附件1。 年度審計工作打算詳見附件2。 第十一條 審計項目打算的目的 每一審計工作皆須通過適當?shù)氖孪纫?guī)劃，以確保內(nèi)部審計工作能有效果并有效率地完成，同時符合內(nèi)部審計部門的審計作業(yè)方法和程序以及有關(guān)法律法規(guī)的要求。 第十二條 審計打算備忘錄 審計人員應對每一個審計項目編制審計打算備忘錄。 審計打算備忘錄如附件3。 第十三條 監(jiān)管環(huán)境 審計人員應明確

8、要緊的監(jiān)管機關(guān)，確保已了解監(jiān)管環(huán)境，并已考慮重要的監(jiān)管約束。應咨詢法規(guī)遵循主管，考慮是否有專門監(jiān)管約束需要在審計過程中引起注意。 第十四條 往常年度審計發(fā)覺事項 為確保往常年度審計發(fā)覺事項得到妥善解決，再次審計時應對往常年度審計發(fā)覺事項進行追蹤。編制審計發(fā)覺事項追蹤表，清晰的列明所有審計發(fā)覺事項完成情況。 第十五條 法規(guī)遵循及風險治理關(guān)注重點 與法規(guī)遵循及風險治理主管討論他們是否有特不關(guān)注的，希望在審計過程中引起審計部門重視的問題。 第十六條 初步會議 每一審計項目在現(xiàn)場工作實施之前，應提早足夠的時刻開始打算。有關(guān)審計人員應先與被審計單位的主管進行初步會議，對被審計單位的業(yè)務及業(yè)務風險進行了解

9、，取得被審計單位主管對風險評估的看法和觀點，建立溝通渠道。 第十七條 審計通知的發(fā)送審計部門應在每一項審計現(xiàn)場工作開始前五至十個工作日內(nèi)發(fā)出審計通知。審計通知以郵件的形式發(fā)送至被審計單位的主管，同時抄送公司治理層。審計通知由審計部門主管發(fā)送。 一、審計通知的內(nèi)容審計部門應使用標準格式的受權(quán)調(diào)查范圍，詳述本次審計的目的，范圍，方法，所需工作時刻及人員，日程安排。審計通知書的格式如附件4。第三章 業(yè)務流程分析 第十八條審計范圍及業(yè)務系統(tǒng)描述 審計部門應全面了解業(yè)務系統(tǒng)，以便深入了解審計領(lǐng)域及其相關(guān)的業(yè)務風險?？蓮墓緝?nèi)部或公司外部獲得對業(yè)務系統(tǒng)的總體了解。公司內(nèi)部的信息來源包括往常年度審計工作底稿

10、、審計報告、組織架構(gòu)圖、制度和程序、治理報告、法規(guī)遵循報告以及外部審計報告。外部信息來源包括行業(yè)出版物、政府監(jiān)管或法律方面的出版物、電視媒體以及其它電子或書面媒體。交易處理所采納的系統(tǒng)整合所有的業(yè)務處理，該系統(tǒng)包括銷售人員獵取商業(yè)信息的系統(tǒng)、風險治理系統(tǒng)以及財務操縱使用的內(nèi)部結(jié)算及支付系統(tǒng)、總帳系統(tǒng)和治理信息系統(tǒng)。審計人員必須充分了解上述各系統(tǒng)的運用以及各系統(tǒng)間的連接，如有必要，可請資訊技術(shù)審計人員協(xié)助。審計部門對業(yè)務系統(tǒng)及組織架構(gòu)取得了解后，應編制系統(tǒng)描述，并記錄于工作底稿中。對業(yè)務及系統(tǒng)環(huán)境取得深入了解后，便可設(shè)定審計范圍。 審計部門還應向治理層獵取最新的組織架構(gòu)圖，并歸入工作底稿中。假如

11、治理層無法提供最新的組織架構(gòu)圖，應要求其編制，并將該問題做書面記錄。 第十九條 財務信息 為評價某特定業(yè)務領(lǐng)域的風險等級，審計人員應獵取有關(guān)業(yè)務規(guī)模、資產(chǎn)負債狀況、業(yè)務限制以及預算執(zhí)行情況的信息。這些信息應從風險治理部門和財務部門獵取。 第二十條 流程圖和穿行測試 應對不同類型的業(yè)務流程做穿行測試，并編制流程圖。 一、流程圖： 制作一個流程圖的流程包括： （一）從現(xiàn)有的文檔或系統(tǒng)用戶中獵取相關(guān)文件、資料及交易流，它們的制作及傳送；及 （二）確保所有文件及復印件以存檔、處理、傳送給他人或傳遞到另一圖表的方式列示。 流程圖應包括的重要項目： （一）要緊輸入來源； （二）使用的重要數(shù)據(jù)文件、記錄；

12、（三）重要的流程步驟，包括系統(tǒng)自動程序及手工輸入系統(tǒng)程序； （四）要緊產(chǎn)出的文件、報告及記錄； （五）支持流程的IT應用程序； （六）位置； （七）部門。 流程圖關(guān)心了解流程及協(xié)助識不哪里可能發(fā)生重要錯誤和哪里存在操縱防止或發(fā)覺這些錯誤。 流程文字描述工作表見附件5。 二、穿行測試： 在穿行測試中，審計人員從頭到尾觀看一個樣本（一個或可能的話兩個交易）以確定審計人員對系統(tǒng)或流程的了解，并協(xié)助識不流程中的重要操縱點。穿行測試不能使審計人員得出一系列程序已遵照執(zhí)行的結(jié)論，只用于確認流程。 使用每種類型的典型交易來充分確認各流程及系統(tǒng)。穿行測試應是充分的、詳細的，以確認是否所描述的確實是實際發(fā)生的。

13、審計小組應通過充足的詢問，以確定所描述的操縱是否被常規(guī)執(zhí)行。 發(fā)覺任何例外情況，應更新流程文件（流程圖和文字描述）。 穿行測試工作表見附件6。 第二十一條 業(yè)務流程的確認 記錄的業(yè)務流程是否正確，應取得流程所有者（那些流程運行的負責人）的確認，能夠一起審核并討論這些書面文件，也能夠向流程所有者提供書面文件草稿并要求反饋。任何確認的修改應在審計工作底稿中保留修改依據(jù)。第四章評估設(shè)計有效性 第二十二條 識不及評估風險 設(shè)計評估步驟的目的是確認并更新被審計單位的風險。 一、在對被審計單位業(yè)務有了初步了解后，審計小組應 識不對達成業(yè)務目標或價值驅(qū)動力產(chǎn)生負面阻礙的風險。識不的風險應與不同的風險類型相關(guān)

14、聯(lián)（信用、市場、業(yè)務、運營和保險風險）。業(yè)務風險業(yè)務風險是“在一個特定的業(yè)務中”的風險，例如公司費用、業(yè)務持續(xù)性、銷售額等方面遭遇與預期不同的可能性。信用/轉(zhuǎn)讓風險信用風險是公司遭遇證券發(fā)行商、交易對手、借款人、中介機構(gòu)的信用質(zhì)量發(fā)生變化的風險。轉(zhuǎn)讓風險指海外機構(gòu)持有的資金不能遣返或由于政府限制，有償付能力的外國客戶或交易對手不能取得可自由兌換的貨幣。保險風險保險風險能夠如下分類:死亡率風險是由于死亡的發(fā)生或非發(fā)生而引起現(xiàn)金流的時刻和金額的偏差。 P&C風險包括今后理賠支付的可變的規(guī)模、頻率及時刻，懸而未決理賠的進展和分攤損失而調(diào)整的費用。 發(fā)病率風險是由于投保人發(fā)病率的變動而產(chǎn)生的理賠等級和

15、時刻的可變性風險。市場風險市場風險是與利率、資產(chǎn)價格、房產(chǎn)價格、外幣兌換率、或其它經(jīng)濟因素相關(guān)的風險。運營風險 XE Operational risk 運營風險是由于不足夠或失敗的內(nèi)部流程、人員及系統(tǒng)或外部事件而造成直接或間接損失的風險。它包括信譽風險，它不是直接的或是第二順序阻礙運營的風險。同樣，項目風險也是運營風險的一種形式。運營風險能夠分為10種子風險類型: 操縱風險由于未遵循已建立的內(nèi)外部業(yè)務標準或準則而發(fā)生的損失。未授權(quán)行為風險未經(jīng)授權(quán)的雇員交易、批準或者超越授權(quán)而引起的損失。操作風險交易處理中無意的人員操作錯誤而引起的損失。雇傭及工作場所安全風險由于與雇傭、健康或安全法律或協(xié)議不一

16、致的行為，形成的付款或人員損害的理賠，或由于差異性/卑視事件而造成的損失。信息 (技術(shù))風險由于可使用數(shù)據(jù)不足夠、數(shù)據(jù)的完整性、數(shù)據(jù)的保密性或系統(tǒng)信息安全引起的損失，由于系統(tǒng)設(shè)計不充分和IT系統(tǒng)（處理，交流，信息）中斷及由于IT應用程序/軟件的故障而引起的損失。內(nèi)部欺詐包括公司內(nèi)部至少一個人參與犯罪或欺詐行為而引起的損失。外部欺詐由公司外部人員的犯罪或欺詐行為而引起的損失。危機治理 & BCP/DRP 風險由外部事件，自然（地震，暴風雨等）或人為（有意破壞，炸彈突擊）等引起的損失。合規(guī)風險由于未遵循適當?shù)姆伞⒎ㄒ?guī)及標準而對公司的誠信受損，導致對公司名譽的損害，法律或監(jiān)管制裁，或財務損失的風險

17、。人身及物理安全風險 與公司房產(chǎn)或可移動資產(chǎn)愛護相關(guān)的風險，包括第三者的進入，盜竊，火災，貴重物品的愛護，安全器材的可用性及用品持續(xù)的供給。與商務旅行中公司人員的安全、外籍人員派駐、項目執(zhí)行及他們辦公室環(huán)境相關(guān)的風險。 分析結(jié)果應概括于風險操縱矩陣（Risk Control Matrix，簡稱RCM）中。RCM中包含的風險應依照被審計單位的業(yè)務目標、價值驅(qū)動力等審核其相關(guān)性和完整性,在審計業(yè)務打算和業(yè)務流程分析時期，如對業(yè)務有進一步的了解和認識，應及時更新RCM。RCM是重要的審計檔案，用于歸納相關(guān)風險、操縱、測試及審計結(jié)果。審計部門主管應確保編制高質(zhì)量的RCM，RCM與工作底稿做交叉索引并歸

18、入審計檔案中。 風險操縱矩陣如附件7。 二、評估固有風險 （一）風險要素 在識不和分類風險后，審計人員需要評估固有風險。風險的重要元素：可能性和阻礙。理解每個風險的特性是重要的，這將對后續(xù)評估相關(guān)操縱的設(shè)計和運作有效性起到重要作用。 關(guān)于每個識不的風險，應通過考慮潛在的阻礙（風險可能引起的質(zhì)和量的阻礙）和可能性（風險發(fā)生的可能性）來評估固有風險。 （二）固有風險 固有風險指在沒有任何操縱去治理一個特定風險的情況下該風險可能導致的危險。 （三）風險足跡 在評估固有風險前，審計小組依照“標準業(yè)務單位”的風險足跡完成固有風險評級。請記住用于固定風險評估的風險足跡今后也會用于剩余風險的評估。依照不同風

19、險足跡中風險的阻礙和可能性,評估固有風險和剩余風險級不（即嚴峻、高級、中級和低級）。 阻礙及可能性的分數(shù)應在風險足跡中標繪以取得整體風險阻礙分數(shù)（嚴峻、高級、中級和低級）和每個風險的顏色（紅、橙、黃和綠）。標準業(yè)務單位每月一次每季度一次每年一次 每5年一次每10年一次Euro010.00030.000100.000300.0001 mln3 mln10 mln30 mln100 mln300 mln300 mln低級中級高級嚴峻一種顏色狀態(tài)（紅、橙、黃或綠）相應的分配到嚴峻、高級、中級和低級的風險級不。阻礙的金額代表區(qū)間，如0 - 10.000，10.000以上 30.000，30.000以上

20、 100.000等。 （四）風險等級嚴峻風險對業(yè)務目標和/或價值驅(qū)動力的阻礙特不重大。治理層應決定就當前已暴露的風險，立即建立降低風險的程序。假如沒有預算，應安排專項資金。高級風險對業(yè)務目標和/或價值驅(qū)動力的阻礙是重大的。治理層應決定就當前已暴露的風險，盡快建立起降低風險的程序。中級風險對業(yè)務目標和/或價值驅(qū)動力的阻礙是不重大的。然而，治理層應制定行動打算確保及時降低風險以幸免情況惡化。低級風險對業(yè)務目標和/或價值驅(qū)動力的阻礙是忽略不計的。然而，治理層應監(jiān)控風險并采取適當且必要的措施來預防風險變得重大。 對阻礙和可能性的評估及風險分類（嚴峻、高級、中 級和低級）應被記錄在審計文檔并歸結(jié)在風險/

21、操縱矩陣中。當對嚴峻性和可能性的推斷發(fā)生變化時，應在審計文檔中清晰的記錄緣故。 阻礙風險可能性的因素：交易量大，其他情況相同時，意味著與交易量小相比更高的錯誤可能性。交易復雜，其他情況相同時，意味著與交易簡單相比更高的錯誤可能性。 第二十三條 識不及評估操縱 該設(shè)計評估步驟的目的是:確定并更新已識不風險對應的現(xiàn)有操縱，并將操縱與風險操縱矩陣（RCM）中每個范圍內(nèi)的風險相互匹配;測量被審計單位每個領(lǐng)域暴露的“凈”風險，評估被審計單位總體操縱設(shè)計的充足性。 一、識不及分類操縱 （一）操縱類型 每個評估的風險，審計人員需要依照他們的時刻和性質(zhì)，識不、分類、記錄及評估與該風險相關(guān)的操縱： 時刻： -

22、指導性或預防性操縱：一種通過明確的確保風險可不能發(fā)生來尋求限制風險的操縱。一個好的例子是雙重簽核一份合同。 - 修正性或發(fā)覺性操縱: 一種在情況發(fā)生后通過“調(diào)整”（即更正）以確保風險可不能變大的操縱。例如項目會議或預算監(jiān)控使治理層審核和評估當前進程，如此，可能的問題（延遲、差異、假設(shè)錯誤等）能容易調(diào)整。性質(zhì): - 人工: 人工操縱由人員執(zhí)行。 - 自動: 自動操縱發(fā)生在沒有人員介入，植入軟件程序以預防或發(fā)覺未經(jīng)授權(quán)的交易，或同意交易的處理。 - 依靠人工/IT: 這些操縱同時有人工和自動元素。一個操縱可能依靠自動化流程但操縱的關(guān)鍵元素可能是人工的。例如，一個操縱可能包括系統(tǒng)審核采購訂單、收貨單

23、及發(fā)票的匹配。系統(tǒng)將自動生成不匹配的例外報告（自動元素），再由人工審核并清理（人工元素）。 - 終端用戶: 某些操縱流程可能運用終端客戶應用程序例如電子表格、數(shù)據(jù)庫和終端用戶編碼。 （二）關(guān)鍵操縱登記表/測試工作表 在關(guān)鍵操縱登記表/測試工作表上記錄這些操縱。 關(guān)鍵操縱登記表/測試工作表有雙重的目的。它適用于：記錄（關(guān)鍵）操縱;記錄關(guān)鍵操縱的測試（步驟和測試結(jié)果）。 關(guān)鍵和非關(guān)鍵操縱都能夠使用關(guān)鍵操縱登記表/測試工作表。 關(guān)鍵操縱登記表/測試工作表如附件8。 通過RCM上的文件鏈接，關(guān)鍵操縱登記表/測試工作表上描述的操縱映射到風險/操縱矩陣上關(guān)聯(lián)的風險。 二、評估操縱 評估每個操縱降低每個風險

24、的充足性，使用“高級、中級和有限”的操縱有效性級不，并記錄在風險/操縱矩陣中。使用以下標準評估操縱有效性的高級、中級和有限的：高級有效：能夠依靠自己本身來降低風險的操縱。 中級有效 ：能專門大程度降低風險，但不能完全降低風險的操縱。 有限的有效：能降低風險，但不是有效的。 三、評估操縱設(shè)計 針對每個風險，評估相應操縱設(shè)計的總體充足性。那個評估應被記錄在風險/操縱矩陣中。 使用選擇的風險足跡作為剩余風險阻礙和可能性評分的基礎(chǔ)。剩余風險評估應記錄在風險/操縱矩陣中。 剩余風險的評估要求測試操縱運行的有效性，一旦完成運行有效性測試，應更新剩余風險評估。當剩余風險評估仍在一個不能同意的水平上（嚴峻、高

25、級、中級），審計人員可建議額外的操縱或加強現(xiàn)有的操縱以降低剩余風險水平。相反，當剩余風險被認為可同意的，可能有機會識不“過度操縱”的地點。 四、識不關(guān)鍵操縱 關(guān)鍵操縱是 XE Controls 指在審核/評估操縱設(shè)計的基礎(chǔ)上，能（單獨或與其他操縱一起）專門大程度降低固有風險的操縱。此外，審計人員應考慮是否該操縱的失敗會導致剩余風險水平到嚴峻、高級或中級。假如是如此的話，該操縱應被視為一個關(guān)鍵操縱。審計人員應考慮，在一個“過度操縱”的情況下，哪個操縱是“關(guān)鍵”的。 被識不為關(guān)鍵操縱的操縱應在風險/操縱矩陣和關(guān)鍵操縱登記表/測試工作表上注明。 關(guān)鍵操縱應評估其設(shè)計有效性，然后測試以確認他們運行的有

26、效性。評估關(guān)鍵和非關(guān)鍵操縱的目的是為了關(guān)注重要的操縱以關(guān)心提高審計測試的效率和效果。 五、與被審計單位確認設(shè)計評估 風險和操縱評估應與治理層分享。考慮被審計單位的反饋，適當?shù)脑挘略u估（RCM）。確保審計軌跡能完整地證明變化及理由。 （一）注釋: 固有風險評估 審計人員應與治理層討論已識不的風險和操縱的存在性、完整性及其評估。 注意，治理層可能不能理解即使存在操縱以預防風險的產(chǎn)生，但風險仍會存在。 注釋: 操縱設(shè)計評估 XE Control Design Assessment 目標是：確認識不的操縱已準確地被描述；確認所有相關(guān)操縱已被識不；確認操縱已被準確地映射到相關(guān)的風險；確認每個操縱的重

27、要性 (高級、中級和有限的有效)；確認每個風險的操縱設(shè)計評估；及, 確認識不的任何操縱差距或過度操縱的地點，及他們的重要性和行動打算；識不關(guān)鍵操縱。 （二）問題及缺陷表 任何商定的操縱差距都應制定一個行動打算。相反地，過度操縱的地點可能導致重新調(diào)整/合理化操縱和運營資源。發(fā)覺的問題應記錄在問題及缺陷表上，與相關(guān)的風險/操縱矩陣互相進行索引。行動打算應包括執(zhí)行的完成日期和負責人。問題及缺陷表是RCM上列出所有相關(guān)操縱問題的初步登記表（設(shè)計和運行有效性）。因此，它可能涉及操縱的缺失，操縱設(shè)計的缺陷，和運行有效性的缺陷。完整的總體審核能關(guān)心發(fā)覺是否問題和缺陷存在相同的根源或者相同的地點?？傮w審核同樣

28、能關(guān)心決定需要包括在審計報告執(zhí)行摘要中的關(guān)鍵風險領(lǐng)域（一些問題和缺陷應合并成一個發(fā)覺）。 問題及缺陷表如附件9。第五章測試運行有效性 第二十四條 記錄測試程序 本步驟的目的是編制書面的測試程序，包括適當?shù)臏y試目的，詳細描述測試深度，及測試方法。 一、記錄測試目的、測試深度及測試方法 識不了最適當?shù)年P(guān)鍵操縱來進行測試后，審計人員應編制測試的特定步驟，以滿足關(guān)鍵操縱登記表/測試工作表中的測試目的。包括測試目的、測試深度及測試方法。 以下規(guī)則能用來評估哪些操縱測試應得到關(guān)注：假如一個關(guān)鍵操縱被評估為設(shè)計有效，應得到測試；假如當一個關(guān)鍵操縱只有與其他操縱在一起時才被評估為有效，那么，這些操縱都應得到測

29、試；假如一個關(guān)鍵操縱被評估為無效，通常情況下不用進行測試。然而，一個設(shè)計無效的操縱可能得到測試，用于決定該操縱缺陷的阻礙。 注釋：測試目的 操縱運行有效性測試 正確設(shè)定測試目的是特不重要的，因為這是確保執(zhí)行的工作有價值的起點。測試目的應直接從關(guān)鍵操縱登記表/測試工作表的操縱描述中獲得。行動應明確和直接為了獵取證據(jù)（核查/證實等）而不應模糊不清（批閱、了解、討論等）。 注釋：測試目的 實質(zhì)性測試 運行無效的操縱需要額外的測試，例如，對運行的項目重新執(zhí)行一遍操縱或進行實質(zhì)性核查，以證實他們的完整性和正確性。例如，操縱設(shè)計及運行測試發(fā)覺例外情況，實質(zhì)性測試能夠提供額外的審計證據(jù)。實質(zhì)性測試程序能夠包

30、括分析性復核，將余額/項目與原始憑證或獨立的文件進行核對及重新計算或核實該項目。 注釋：測試深度 下表能夠用來作為測試運行有效性水平的指導：操縱 XE Controls - 設(shè)計固有風險嚴峻高級中級低級高級降低測試有效性（TOE）測試有效性（TOE）減少有效性測試（Reduced TOE）X中級降低減少有效性測試（Reduced TOE）減少有效性測試（Reduced TOE）XX 注釋：測試方法 有多種方法來執(zhí)行測試以獵取審計證據(jù)。審計人員應選擇能達到測試目的的最合適的方法。包括： 證實性的詢問 向職員、治理層及服務提供者詢問以獵取程序和操縱的資料。治理層可能被要求提供他們對操縱運行有效性中

31、意的資料。通過詢問的測試方法通常沒有其他形式的測試可靠，可能需要與其他形式的測試一起，為審計人員的結(jié)論提供充分的證據(jù)支持。 觀看 直接觀看職員的實際操作，以查看操縱是否按設(shè)計運行。當確認職員培訓及技能水平常，審計人員應考慮審計人員在場的情況下對操縱運行表現(xiàn)的阻礙 如，假如審計人員不在場，該操縱運行是否如此完全。 檢查 通過檢查或盤點資產(chǎn)、及閱讀、追蹤、審核支持性文件、比較及核對記錄來獵取證據(jù)。檢查是高級有效的測試形式，因為他們能為審計人員的結(jié)論提供更需要的證據(jù)支持。 確認函 此測試方法用于比較內(nèi)部記錄與第三方記錄。確認函是高級有效的測試形式，然而，它被限制在當有第三方參與的情況下使用。 重新執(zhí)

32、行 此方法包括審計人員重新全部或部分執(zhí)行被審計單位的運作。它只有在審計人員需要確保計算或記數(shù)的正確性情況下使用。審計人員在決定進行重新執(zhí)行相關(guān)運作時應注意，因為那將化較多時刻。 分析性復核程序 在測試時期可能需要用到分析性復核。例如，在風險評估時發(fā)覺不利的趨勢，可能需要進一步分析，更深層次專研，及鎖定推動這種趨勢的特定的一組交易，以確定可能造成操縱失敗的全然緣故。 二、記錄測試程序 每一個測試程序應清晰地記錄在關(guān)鍵操縱記錄表/測試工作表中。測試程序應能被充分理解，確保審計人員提供充足的證據(jù)使得工作底稿審核人員能判定測試了什么及測試的結(jié)果，及能夠執(zhí)行隨后的重新測試。 注釋：關(guān)鍵操縱登記表/測試工

33、作表 測試工作底稿應要求審計人員記錄：測試的操縱；測試數(shù)據(jù)的來源；規(guī)?；虿倏v執(zhí)行的頻率及樣本量；樣本選取的方法；測試的全然特征；測試結(jié)果；及審計測試的結(jié)論，包括任何操縱例外的詳細情況。對每一項操縱例外，應記錄是否有追蹤測試或行動。 第二十五條 確定抽樣方法 本步驟的目的是評估和記錄通過抽樣獵取的審計證據(jù)的充分性。 一、識不和定義規(guī)模 測試操縱時，先識不和定義操縱發(fā)生的頻率（樣本總量）。確保樣本總量盡可能的清晰和完整，以確保表現(xiàn)所有元素。 注釋：樣本總量 樣本總量是指收集到的項目總量，審計人員將對該項目總量發(fā)表一個結(jié)論。它也能夠指“樣本架構(gòu)”，為了一個特定審計測試目的而定義的樣本總量。 在測試操

34、縱有效性時，審計人員應定義操縱發(fā)生的總次數(shù)。例如，審計人員可能識不了對帳發(fā)生的頻率（每月或每周），這確實是樣本總量。 二、考慮統(tǒng)計抽樣 使用統(tǒng)計抽樣時，審計小組應將決定選擇統(tǒng)計抽樣的緣故記錄在關(guān)鍵操縱登記表/測試工作表中。 注釋：統(tǒng)計抽樣 統(tǒng)計抽樣需要審計人員確定要素的數(shù)量及隨機抽取項目，同意審計人員定量地表達結(jié)果及測量樣本風險。因此，當執(zhí)行實質(zhì)性測試時使用統(tǒng)計抽樣是一個合適的方法。 以下情況應使用統(tǒng)計抽樣：規(guī)模超過了定義的最低交易量（如5,000件交易），與審計經(jīng)理溝通確認最低交易量；需要精確及確信的推斷結(jié)果；絕對確信樣本總量能被定義；及樣本總量中的每一項被選到的機會均等。 大部分審計測試，

35、我們通?？刹荒苁褂媒y(tǒng)計抽樣的方法。相應的，它也不大可能講明從測試結(jié)果中獲得的保證的水平。 三、考慮非統(tǒng)計抽樣 使用非統(tǒng)計抽樣時，審計小組應將決定選擇非統(tǒng)計抽樣的緣故記錄在關(guān)鍵操縱登記表/測試工作表中。 注釋：非統(tǒng)計抽樣 非統(tǒng)計抽樣使用的樣本是非正式地（不帶有有意和偏見的選擇）或推斷地（依照推斷與測試目的相關(guān)聯(lián)）選擇的。非正式地選擇是指沒有使用特定的標準從一個樣本總量中選擇項目。推斷地選擇能夠包括，如選擇高價值的項目（為了測試適當?shù)呐鷾剩?以下情況應使用非統(tǒng)計抽樣：規(guī)模小于設(shè)定的最低交易數(shù)量限額；不需要可測量，因為結(jié)果不需要推斷；不可能識不整個樣本總量或交易量架構(gòu)；其他審計證據(jù)暗示特不不可能發(fā)

36、生錯誤。 測試操縱有效性，最合適的內(nèi)部審計樣本方法是非統(tǒng)計抽樣。 四、選擇樣本量 在關(guān)鍵操縱登記表/測試工作表中評估及記錄合適的樣本量。 注釋：統(tǒng)計樣本量 阻礙樣本量的因素有以下兩個：可信賴的水平；及可容忍的錯誤率。 可信賴的水平定義了需要從審計測試結(jié)果中得到的信心的水平。期望可信賴的水平越高，需要測試的樣本就越多。 可容忍錯誤率定義了在操縱被認為是有效的之前，能容忍的與描述的操縱程序的差異數(shù)量?？扇萑痰腻e誤率越高，需要測試的樣本就越少。 注釋：非統(tǒng)計抽樣樣本量 下表用于測試操縱運行有效性時選擇非統(tǒng)計抽樣樣本量。測試操縱設(shè)計（穿行測試）不包括在本表中。必須在關(guān)鍵操縱登記表/測試工作表中記錄樣本

37、選擇的差不多原理/標準，樣本測試程序和測試結(jié)果。操縱類型操縱執(zhí)行的頻率每年每季每月每星期每天每天多次專門少手工111268大部分手工1113915自動111111注釋：擴大范圍測試 在一些情況下，應擴大樣本量，如：測試的結(jié)果是否定的，應擴大樣本量，評估差異是否是機構(gòu)性的或偶然的；操縱的重要性及復雜程度和推斷的重要性；失敗的風險。 然而，結(jié)果不能通過測試的樣本來推斷。審計人員的推斷始終是重要的。 注釋：測試周期 測試周期應考慮以下因素：操縱運行的種類和頻率；操縱環(huán)境的變化和/或在一個期間內(nèi)的特定操縱有復核； 通常，測試周期能夠是審計開始日前1個月之前的期間。在一些情況下，不大可能測試年度操縱。假

38、如如此，審計小組應將這種情況記錄在審計工作底稿中。 注釋：減少測試 樣本量和測試深度依照期望可信賴的水平及操縱運行的頻率決定。假如測試水平是減少測試，樣本量至少為1個，最多依照統(tǒng)計抽樣樣本量（見上表）。測試結(jié)果應對關(guān)鍵操縱運行有效性給出充分的保證。 必須在關(guān)鍵操縱登記表/測試工作表中記錄樣本選擇的差不多原理/標準，樣本測試程序和測試結(jié)果。 注釋：推斷樣本量 在所有情況下，一個清晰的選擇樣本量的差不多原理/標準應記錄在適當?shù)牟倏v文件中。以下情況，有必要脫離標準樣本量：操縱執(zhí)行的頻率？- 操縱執(zhí)行的頻率越少，需要越少的樣本量來決定操縱是否按照設(shè)計運行。操縱產(chǎn)生的是什么類型的證據(jù)？- 假如執(zhí)行操縱的

39、結(jié)果專門少或沒有證據(jù)顯示操縱按照設(shè)計運行，測試可能不能提供必要的證據(jù)證明操縱在運行。審計人員可能決定在有限的基礎(chǔ)上使用更多有講服力的證據(jù)。風險的等級？- 風險產(chǎn)生的阻礙及可能性？風險阻礙大的區(qū)域依靠操縱較重，可能需要增加樣本，對操縱環(huán)境提供適當?shù)谋ＷC。操縱環(huán)境的有效性？- 考慮操縱被忽略或被治理層不顧的可能性。操縱運行有效性的過去經(jīng)驗？- 假如過去操縱衰弱，應有足夠多的樣本量來決定現(xiàn)在的操縱是按照設(shè)計運行。測試的整個期間是由相同的職員來治理該操縱？- 考慮選擇樣本時，應考慮是否原來執(zhí)行操縱的職員現(xiàn)在已不再執(zhí)行該操縱，對操縱的阻礙有多大。 五、選擇樣本 選擇樣本量后，審計小組需要識不選擇樣本的方

40、法，及將程序記錄在關(guān)鍵操縱登記表/測試工作表中。 注釋：統(tǒng)計抽樣 統(tǒng)計抽樣的方法可分為簡單隨機抽樣和系統(tǒng)抽樣。 簡單隨機抽樣需要所有項目被抽到的機會是相等的。使用隨機號碼表來抽樣。在規(guī)模中的每一項必須代表一個號碼。樣本量必須已確定。在表中遵循的方向和路徑已確定，隨機起點已選定，確實是第一個被選的項目。隨即號碼的產(chǎn)生可在Microsoft Excel中找到。 系統(tǒng)抽樣可使用在一個樣本總量中的物質(zhì)單元或貨幣單元。審計人員需要定義抽樣的間隔。可將樣本總量除以樣本量得到。為了防止抽樣中的潛在的偏好，建議選擇幾個隨機起點。例如，抽樣間隔能夠是75，選擇三個隨機起點，每個隨機起點開始各選擇20個樣本。為進

41、一步防止偏好，審計小組在選擇樣本前能夠確保樣本總量是隨機排序的。 注釋：非統(tǒng)計抽樣 偶然選擇顯示沒有有意偏好包括或不包括規(guī)模中的某些項目。這是審計人員最佳可能一個代表樣本，及代表性地從一份清單中選擇交易。 批量選擇通過應用審計程序在一套交易中執(zhí)行，如所有交易在一個特定期間發(fā)生。例如，審計人員可能選擇所有在三月的第一個星期支付的發(fā)票?；蛘?，選擇所有發(fā)票號1000至1050 。為了最小化風險，應選擇幾批樣本。 推斷抽樣在選擇樣本中使用審計人員的推斷。推斷選擇包括選擇高額的發(fā)票測試批準，最長時刻未達帳項，測試其清理的力度和全然緣故。 注意非統(tǒng)計抽樣結(jié)果不能通過選擇的樣本來推斷。 注釋：屬性抽樣 屬性

42、抽樣適合執(zhí)行操縱測試時使用。通常操縱有效性是通過測量操縱程序沒有發(fā)生的頻率來測算的。換句話講，一個程序與治理層描述的為了達到操縱目標的差異的頻率。測試通常包括“是/不是”決定 盡管是或不是被正確執(zhí)行。假如如此，審計人員需要事先定義通過或失敗的標準。 假如樣本的支持性文件丟失，阻礙適當?shù)臏y試，可被視為一個錯誤。然而，假如樣本是空的，應選擇替代樣本進行測試。 注釋：價值加權(quán)抽樣 價值加權(quán)抽樣是依照屬性測試的理論，但用于實質(zhì)性測試。價值加權(quán)抽樣用于表達頻率的結(jié)論或者關(guān)樣本總量中獨特的價值。這種抽樣技巧，一個抽樣單元確實是樣本總量中的每個貨幣單元，不管樣本總量中有多少邏輯單元（發(fā)票的數(shù)量等）。測試是依

43、照選擇的包括貨幣單元的交易進行的。 因此，項目越大，被抽樣選到的機會就越大。使其成為一個適當?shù)姆椒?，用在對重大余額的正確性形成一個意見。 貸方余額及余額為零時對價值加權(quán)抽樣形成困難。因此，這些應在抽樣前去除。另外分層抽樣應包括這些去除的樣本。 注釋：分層抽樣 分層是將一部分樣本總量歸入子總量的過程，樣本就從每一層中抽取。當子總量相當多樣，每一層獨立抽樣是有利的。分層是在抽樣前將樣本總量中相類似的歸成一個組。 各層相互不包括：樣本總量中的每一元素必須分到一個層中。各層應包括全體：沒有樣本總量的元素不包括在其中。每一層采納隨機抽樣。 第二十六條 評估測試結(jié)果 本步驟的目的是： 注釋：測試結(jié)果依照測

44、試結(jié)果得出與審計目的有關(guān)的結(jié)論；確保得出適當?shù)慕Y(jié)論時有充足的資料。 一、記錄測試結(jié)果 為了提供充足的證據(jù)證明執(zhí)行的審計工作，測試結(jié)果應記錄在關(guān)鍵操縱登記表/測試工作表中。 注釋：測試結(jié)果 審計人員必須總結(jié)測試結(jié)果，將每一步驟得出的結(jié)果記錄在關(guān)鍵操縱登記表/測試工作表中。在工作表中記錄的結(jié)果是總結(jié)性水平，應編制充足詳細的支持性工作底稿，供獨立審核，理解結(jié)論確切如何得出。另外，工作底稿應充足詳細記錄，以確保在需要的情況下能夠重新測試。 所有文件應與其支持性文件做好交叉索引。 二、將測試結(jié)果與其標準進行評估 審計人員應依照獵取的證據(jù)得出與測試目的相關(guān)的結(jié)論，及將不中意的結(jié)論記錄在問題及缺陷表中。 注

45、釋：審計證據(jù) 審計證據(jù)的可靠性由其屬性和來源決定。以下證據(jù)的可靠性的假定可能有用：書面證據(jù)比口頭證據(jù)可靠；第三方產(chǎn)生并直接提供給我們的證據(jù)比第三方產(chǎn)生而由被審計客戶持有的證據(jù)可靠?？蛻舢a(chǎn)生并持有的證據(jù)最不可靠；由審計人員產(chǎn)生的分析及實地核查的證據(jù)比從其他地點獵取的證據(jù)可靠。 注釋：審計結(jié)論中意的結(jié)果 測試結(jié)果沒有顯示任何例外情況及因此指出操縱運行有效。 單獨的例外情況 測試發(fā)覺一些例外情況，通過我們擴大樣本測試或其他進一步調(diào)查，審計人員斷定是單獨的例外情況，及在要緊部分，操縱運行有效。 不中意結(jié)果 測試及隨后的調(diào)查顯示例外情況足夠使得我們得出操縱沒有得到可靠運行的結(jié)論。 審計人員應考慮測試結(jié)果

46、對已獲得的保證水平的阻礙。一個不中意的測試結(jié)果并不一定需要導致降低已獲得的保證的水平，審計人員需要推斷。對獲得的保證的總體阻礙取決于：操縱的重要性和是否有其他操縱存在能夠減輕失?。挥卸嗌倨渌恢幸獾臏y試結(jié)果。注釋：少數(shù)例外情況發(fā)覺采取的行動少數(shù)或占比專門少的測試項目沒有達到測試標準，審計人員應考慮進一步證據(jù)，是否這些例外情況是單獨的或它們是否給操縱中意運行帶來問題。例如，操縱例外情況適用整個樣本總量（或只限于一個部門、區(qū)域或分部）？注釋：許多例外情況發(fā)覺采取的行動審計人員發(fā)覺高比例的例外情況，或一個操縱運行完全缺失的證據(jù)，審計人員可能需要采取以上相同的步驟。假如專門明顯審計人員了解到一個操縱存

47、在但沒有完全運行，或沒有持續(xù)運行，審計人員應考慮：是否發(fā)覺的證據(jù)不能代表常規(guī)操縱運行。這可能由于在一個限制的期間或一個特定的部分選擇測試樣本，而例外情況正好存在于其中而產(chǎn)生。應幸免選擇沒有代表性的樣本。是否確實操縱沒有運行或僅僅是無法獵取證據(jù)。在這種情況下，可能需要擴大測試，包括重新執(zhí)行操縱，或者查找一些其它確定的證據(jù)，表明操縱實際上是運行的但沒有證據(jù)。 三、了解及記錄全然緣故 為了了解操縱例外的屬性，識不導致例外的緣故專門重要。全然緣故分析使審計小組能夠與運營單位一起了解發(fā)覺的例外情況的緣故。 全然緣故分析應記錄在問題及缺陷表中。注釋：全然緣故分析 全然緣故分析的目的是確定問題的來源，關(guān)于：

48、發(fā)生了什么？什么緣故發(fā)生？有什么能夠做的，防止它再次發(fā)生？ 為了執(zhí)行全然緣故分析，收集盡可能多的關(guān)于發(fā)覺例外情況的資料專門重要（如，什么時候發(fā)生？在那兒發(fā)生？哪些操縱能夠防止發(fā)生？），因而，能夠識不相關(guān)的全然緣故。持續(xù)資料的收集，直到審計小組確信所有可能的偶然因素都已識不。 四、報告問題及缺陷以下要素應考慮包括在表格中的每一個審計點中：陳述應清晰、有事實依照及簡明。使讀者關(guān)注問題及造成的阻礙；描述問題的先后次序，包括相關(guān)量化的評估（財務的或非財務的）及/或任何法律/法規(guī)、客戶或品牌阻礙的詳細資料。這能夠在報告的時候，關(guān)心確定問題的嚴峻性；全然緣故，描述什么導致目前的狀況。這將關(guān)心確保治理層制定

49、的解決問題的行動打算是否有效；審計人員應記錄他/她比較了什么標準，測量出缺陷。例如，可能有一條特定的公司制度沒有遵循；審計人員應建議治理層應該采取什么行動去解決問題。建議應關(guān)注解決問題的全然緣故，而不是征兆或結(jié)果及應該可實現(xiàn)。 發(fā)覺應與治理層討論并取得治理層的同意。 五、重新評估操縱的充足性及當前剩余風險 每一條提出的發(fā)覺，決定暴露風險的阻礙/操縱差距。在運行有效性測試的基礎(chǔ)上，更新在設(shè)計評估時期的操縱評估。 注釋：操縱有效性 在設(shè)計評估時期評估操縱充足性，假設(shè)所有識不的操縱運行有效。 關(guān)鍵操縱測試運行有效性發(fā)覺不足，將阻礙在設(shè)計評估時期評估的操縱。評估應建立在未采取任何行動打算之前的基礎(chǔ)上。

50、 給每一個風險提供一個以固有風險等級及操縱評估為基礎(chǔ)的剩余風險評估。剩余風險的阻礙及可能性分數(shù)應依照選擇的風險足跡。 注釋：評估暴露的剩余風險 一個考慮固有風險及當前操縱（結(jié)合在一起）降低該風險的總體充足性的評估，能夠用來使審計人員能夠?qū)⑹Ｓ囡L險的阻礙分類為嚴峻、高級、中級、低級。 運行有效性測試的結(jié)果應與治理層分享并取得他們的同意?？紤]被審計客戶的反饋，及同意，更新評估（RCM）。確保審計軌跡完整，包括記錄與被審計客戶確認事項的變更及差不多原理。 任何同意的操縱差異應制定一個行動打算。相反的，過度操縱的區(qū)域可能導致操縱及運行資源的重新組合和分配。行動打算應包括執(zhí)行的到期日和負責人。 注釋：歸

51、結(jié)相似的報告問題 存在相似的例外情況，它們的全然緣故相同，將這些問題歸結(jié)在一條建議進行報告。例如，充足的職責分離在專門多程序中被運用，應合并成一條發(fā)覺。第六章審計執(zhí)行結(jié)束 第二十七條技術(shù)復核 本步驟的目的是：確保執(zhí)行的工作及編制的記錄遵循受權(quán)調(diào)查范圍，能充分支持提出的問題，及所有發(fā)覺已被提出。確保工作底稿是充分的，外部機構(gòu)能充分信賴已執(zhí)行的工作，特不是測試可重新執(zhí)行。 一、復核工作底稿 在審計過程中，應執(zhí)行工作底稿的復核。每一張工作底稿應有一位審計人員編制，一位較資深的審計人員復核。保存復核證據(jù)及對復核要點進行清理的底稿。 注釋：工作底稿復核目的現(xiàn)場工作中復核工作底稿的目的，應確保任何現(xiàn)場發(fā)覺

52、問題能在現(xiàn)場工作結(jié)束前得到解決。復核應確保：審計工作是依照同意的范圍執(zhí)行的；執(zhí)行的工作能充分支持提出的問題；審計工作是依照專業(yè)的標準執(zhí)行的；審計重大推斷及結(jié)論是適當?shù)?；及?zhí)行的工作，結(jié)果和結(jié)論被充分的記錄。假如可能，復核工作應在現(xiàn)場進行。復核的時刻、范圍倚賴多種因素，包括：區(qū)域的主觀性和復雜性；編制工作底稿的人員的能力和經(jīng)驗；復核人員的能力和經(jīng)驗；復核人員直接參與工作的程度。 二、復核審計文檔 負責每一個審計項目的審計經(jīng)理/資深審計經(jīng)理（或其他合適的個人）應在審計測試結(jié)束后復核審計文檔。保存復核證據(jù)及對復核要點進行清理的底稿。 注釋：文檔復核程序 通常，該復核至少要求包括系統(tǒng)描述，操縱評估，測

53、試程序及結(jié)果和問題要點，及評估意見。經(jīng)理或指定負責人個人通常通過在每一張工作底稿（通常第一頁），每一部分的頭一張工作底稿上簽名和注明日期以證明他們的重要復核。 復核要點應被記錄及通過清理來確認。打算時期應在現(xiàn)場工作開始前得到復核，現(xiàn)場工作應在報告開始前得到復核。相應的文檔復核應在每一步驟結(jié)束時得到復核（打算，現(xiàn)場工作或報告）。 在清理復核要點時，工作底稿應提供足夠的證據(jù)講明提出的問題得到了解決。 第二十八條 結(jié)束會議 本步驟的目的是確保：結(jié)論及建議已與適當審計客戶進行了討論；項目中發(fā)覺的任何重要事項已提醒審計客戶的治理層注意；評估的等級已進行了討論并已取得同意。召集及記錄結(jié)束會議 在審計結(jié)束會

54、議前，在整個審計過程中與治理層持續(xù)的討論和聯(lián)絡(luò)，確保他們在會議前差不多明白發(fā)覺的問題。與審計客戶的審計結(jié)束會議應在審計的最后時期正式召集，討論問題及缺陷表中的審計發(fā)覺，問題及建議，并取得治理層的同意。注釋：治理層出席結(jié)束會議 那個程序確保清晰記錄審計發(fā)覺的討論，及確保后續(xù)的審計報告的內(nèi)容和處理可不能延遲及/或由于誤解而受到牽制。 因此，至少最終負責該程序（及負責執(zhí)行任何行動打算）的治理層成員應被邀請。需要出席結(jié)束會議的治理層成員應在訂立審計范圍時就已確定。討論和達成的一致意見應形成會議記錄。問題及缺陷表中每一項達成的一致意見應放入最終表中，包括對差不多同意的每一問題重要性的初步評估的變化，或總

55、體評估，作為會議的結(jié)果。在一些情況下，治理層會否認一些風險。應盡可能幸免關(guān)于存在風險的不同意見。假如審計小組不能使治理層 信服，應由更高一級的審計人員及治理層處理。 獵取治理層對所有同意的重要審計發(fā)覺的改善行動打算。 注釋：行動打算 可能需要一個或多個行動步驟來解決每一個審計意見，這取決于問題的屬性和復雜性。重要意見的行動打算應由審計人員進行追蹤。行動打算應包括執(zhí)行的期限和負責人。 結(jié)束會議給治理層機會澄清問題和表達觀點。在審計客戶不同意提出的問題的情況下，必須進一步討論，確認支持他們觀點的支持性資料。 當審計小組照舊無法獲得審計客戶的同意時，應將事件遞交給審計經(jīng)理，高級審計經(jīng)理，審計主管，與

56、更高級的審計客戶治理層討論，以取得他們的同意。第七章審計報告 本步驟的目的是確保執(zhí)行摘要（意見和要緊發(fā)覺）及報告內(nèi)容被適當?shù)母邔优鷾省?第二十八條 編制報告 報告的編制在審計執(zhí)行結(jié)束后，包括：完成工作底稿與審計文檔的復核；完成與治理層的結(jié)束會議。在會議中，問題及缺陷表，包括治理層的改善行動打算已進行了討論。 審計負責人應負責起草審計報告，依照審計打算備忘錄及問題及缺陷表中的資料。審計負責人應確保審計報告必須客觀，準確，完整，簡潔。 第二十九條 審核報告 審計負責人完成起草審計報告后，應將審計報告初稿提交高級審計經(jīng)理審核及修改。 在詳細發(fā)覺完成前確定審計等級。 第三十條 治理層回復 審計報告初稿

57、傳送給負責的治理層審核，要求他們將要緊治理層行動填入報告中。本審核的目的是確保報告的正確性，及與結(jié)束會議上討論的一致。治理層應在收到審計報告初稿后一周內(nèi)，回復要緊治理層行動。 在收到治理層回復后，審計報告定稿。 第三十一條報告簽發(fā)和送呈 審計主管應在審計報告送呈之前執(zhí)行復核及核準的程序，確保在審計報告簽發(fā)前，所有相關(guān)的工作底稿及技術(shù)復核都已完成/核準，確保報告的觀點真實、公證，及遵循審計執(zhí)行及審計報告的規(guī)則。審計主管必須在正式報告簽報頁上簽名。注釋：報告送呈審計報告正本呈報董事長、總裁和分管副總裁，副本分送至被審計單位主管及相關(guān)治理人員。必要時還應抄報中國建設(shè)銀行股份有限公司。而且：報告送呈限

58、制在內(nèi)部，按照“需要明白”原則；送呈人員的地址應在送呈清單中列明，包括名字及職位；外部機構(gòu)只限于法律法規(guī)的要求。注釋：審計報告發(fā)送所有審計報告應在審計現(xiàn)場工作結(jié)束后的7周內(nèi)發(fā)送。結(jié)束會議日被定義為現(xiàn)場工作結(jié)束日。 第三十二條 審計報告的內(nèi)容和格式 一、審計報告封面 審計報告的封面應將審計項目名稱，報告日期，報告編號明確地表達出來。 二、執(zhí)行摘要 執(zhí)行摘要包括3部分：背景資料；總體意見；審計結(jié)果。 （一）背景資料 背景資料部分的編制如下： 審計范圍審計部從XX開始，對公司進行了XX作業(yè)的內(nèi)部審計工作。本次審計的范圍為依照XX的要求，包括對XX等重要內(nèi)部操縱的檢查?？傮w意見是依照審計開始日的情況發(fā)表的，同樣這也適用于審計發(fā)覺和建議。 審計方法審計方法包括識不要緊風險；識不記錄及穿行相關(guān)流程；