内控审计评价操作指导书(精)
内部审计操作手册
内部审计操作手册第一章:内部审计概述 (2)1.1 内部审计的定义与作用 (2)1.1.1 内部审计的定义 (2)1.1.2 内部审计的作用 (2)1.2 内部审计的发展历程 (3)1.2.1 起源阶段 (3)1.2.2 发展阶段 (3)1.2.3 成熟阶段 (3)1.2.4 创新阶段 (3)第二章:内部审计理论基础 (3)2.1 内部审计的基本原则 (3)2.2 内部审计的目标与范围 (4)2.3 内部审计的方法论 (4)第三章:内部审计组织结构 (5)3.1 内部审计部门的设立与职责 (5)3.1.1 内部审计部门的设立 (5)3.1.2 内部审计部门的职责 (5)3.2 内部审计人员的素质要求 (6)3.2.1 专业知识 (6)3.2.2 个人品质 (6)3.3 内部审计人员的培训与发展 (6)3.3.1 培训内容 (6)3.3.2 培训形式 (6)3.3.3 发展规划 (6)第四章:内部审计作业流程 (7)4.1 内部审计计划与准备 (7)4.2 内部审计实施与记录 (7)4.3 内部审计报告与反馈 (8)第五章:内部审计技术与方法 (8)5.1 文件审查与实地调查 (8)5.2 分析性程序与内部控制测试 (8)5.3 抽样审计与非抽样审计 (9)第六章:企业业务循环内部审计 (9)6.1 销售与收款循环审计 (9)6.2 采购与付款循环审计 (10)6.3 生产与存货循环审计 (10)第七章:建设项目内部审计 (11)7.1 建设项目审计的目标与内容 (11)7.1.1 建设项目审计的目标 (11)7.1.2 建设项目审计的内容 (11)7.2 建设项目审计的程序与方法 (11)7.2.1 建设项目审计的程序 (11)7.2.2 建设项目审计的方法 (12)7.3 建设项目审计的案例分析 (12)第八章:合规性审计 (13)8.1 合规性审计的概念与范围 (13)8.2 合规性审计的程序与方法 (13)8.3 合规性审计的案例分析 (14)第九章:保证性审计 (14)9.1 保证性审计的定义与目标 (15)9.1.1 保证性审计的定义 (15)9.1.2 保证性审计的目标 (15)9.2 保证性审计的程序与方法 (15)9.2.1 保证性审计的程序 (15)9.2.2 保证性审计的方法 (15)9.3 保证性审计的案例分析 (16)第十章:绩效达标/提高审计 (16)10.1 绩效达标/提高审计的概述 (16)10.2 绩效达标/提高审计的程序与方法 (17)10.2.1 审计程序 (17)10.2.2 审计方法 (17)10.3 绩效达标/提高审计的案例分析 (17)第十一章:内部审计管理 (18)11.1 内部审计质量控制 (18)11.2 内部审计风险与应对 (19)11.3 内部审计绩效评价与改进 (19)第十二章:内部审计与外部审计的协同 (19)12.1 内部审计与外部审计的关系 (20)12.2 内部审计与外部审计的协同流程 (20)12.3 内部审计与外部审计的案例分析 (20)第一章:内部审计概述1.1 内部审计的定义与作用1.1.1 内部审计的定义内部审计是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善其运营。
内部控制审计评价指引
内部控制审计评价指引一、引言内部控制审计评价是指企业内部控制的有效性评价,通过对企业内部控制的规划、执行、检查的评价、分析与报告,以便评价未受外界影响的情况下企业内部控制的有效性和适用性。
内部控制审计评价是企业建立完善内部控制制度的重要手段,企业应严格按照内部控制审计评价指引进行内部控制审计评价工作,以保证企业内部控制制度的有效性和适用性。
本指引旨在规范内部控制审计评价工作,帮助企业评价内部控制的有效性,并提出改进建议,以提高内部控制的有效性和适用性。
二、内部控制审计评价的基本原则1. 评价独立性原则内部控制审计评价工作应由专业的内部控制审计评价人员独立进行,以保证评价结果的客观性和公正性。
2. 评价全面性原则内部控制审计评价工作应覆盖企业各个部门和业务领域,全面评价企业内部控制的有效性。
3. 评价一致性原则内部控制审计评价工作应遵循一致的评价标准和方法,以保证评价结果的一致性和可比性。
4. 评价风险导向原则内部控制审计评价工作应基于风险管理理念,将重点放在评价高风险领域的内部控制有效性。
5. 评价持续改进原则内部控制审计评价工作应不断总结经验,提出改进建议,推动企业内部控制的持续改进。
三、内部控制审计评价的基本步骤1. 确定评价范围内部控制审计评价工作应确定评价范围,包括评价的业务领域、部门范围和评价对象。
2. 制定评价计划根据评价范围和评价目标,制定内部控制审计评价工作计划,明确评价的时间安排和评价的方法步骤。
3. 收集评价证据通过查阅文件、询问人员、观察操作等方式收集评价证据,评价内部控制的有效性。
4. 评价内部控制的有效性根据评价证据,评价内部控制的有效性,包括内部控制的设计、执行和监督等方面。
5. 分析评价结果对评价结果进行分析,找出内部控制存在的问题和不足,提出改进建议。
6. 编制评价报告根据评价结果,编制内部控制审计评价报告,明确内部控制的有效性评价结论和改进建议。
四、内部控制审计评价的关键要点1. 评价标准的确定内部控制审计评价工作应明确评价的标准和依据,参照国家相关法律法规和规范性文件,采用成熟的评价标准和方法。
内部控制审计实施指南
内部控制审计实施指南一、引言内部控制审计是指通过评估、测试和检查一个组织的内部控制系统,以确定其有效性和合规性的过程。
本文旨在提供内部控制审计的实施指南,以帮助组织有效管理和评估其内部控制。
二、内部控制审计的定义与重要性内部控制审计是指组织内部的一种独立评估活动,目的是评估并提高内部控制的有效性、合规性和效率。
内部控制审计对组织的稳定和可持续发展至关重要,有助于减少风险、增强合规性、保护资产,以及提高业务流程的效率。
三、内部控制审计的步骤1. 确定审计目标和范围:内部控制审计的目标应明确,并确定审计的范围,包括要审计的业务流程、控制对象和时间周期。
2. 收集内部控制相关信息:审计人员应收集和整理与内部控制相关的文件、制度、程序、政策和其他相关信息,以便进一步分析和评估。
3. 进行风险评估:通过分析和评估组织的风险,确定可能对内部控制造成影响的风险因素,以便为后续的内部控制审计提供指引。
4. 设计审计测试计划:根据审计目标和范围,设计审计测试计划,确定需要进行的测试方法、样本数量和抽样方法,以确保对内部控制的全面覆盖。
5. 进行内部控制测试:根据审计测试计划,对内部控制进行测试,检查组织的控制环境、风险评估、控制活动、信息和沟通等方面的效力和合规性。
6. 分析审计结果:根据内部控制测试的结果,进行数据分析和比较,发现控制缺陷、漏洞和风险,并对可能的影响进行评估。
7. 提供审计报告:根据内部控制审计结果,撰写并发布审计报告,向组织的管理层和相关利益相关方提供内部控制的评估和建议。
四、内部控制审计的挑战与解决方案1. 复杂性:组织内部控制系统的复杂性可能导致审计的困难。
解决方案可以是建立一个详细的审计计划,并与组织管理层和其他利益相关方进行良好的沟通和协调。
2. 数据质量:内部控制审计所依赖的数据的质量和准确性对于审计结果的可靠性至关重要。
解决方案可以是确保数据收集过程的透明度和准确性,以及建立有效的信息管理系统。
内部控制审计操作手册
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载内部控制审计操作手册地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容目录第一章获取审计业务约定书 (1)一、获取审计业务约定书 (1)二、内部控制审计业务约定书的内容 (1)三、连续审计 (2)四、审计业务约定条款的变更 (2)五、业务约定书的文档记录 (3)第二章建立审计项目组 (3)一、项目小组成员的要求 (3)二、组建项目小组的考虑 (3)三、管理、指导、并监督项目小组 (4)四、项目小组成员的角色及责任 (5)第三章了解被审计单位及其环境 (6)一、了解被审计单位及其环境的必要性 (6)二、了解被审计单位及其环境的程度 (7)三、了解被审计单位及其环境的主要内容 (7)3.1行业状况、法律环境与监管环境以及其他外部因素 (7)3.1.1行业因素 (8)3.1.2 遵守法律法规的规定 (8)3.1.3 其他外部因素 (8)3.2了解被审计单位的性质 (9)3.3被审计单位对会计政策的选择和运用 (10)3.4被审计单位的目标、战略以及相关经营风险 (10)3.5被审计单位财务业绩的衡量和评价 (11)四、了解IT在企业中的角色 (12)4.1了解IT复杂程度 (12)4.2了解IT对我们审计工作的影响 (13)五、如何了解企业及其环境 (13)5.1检阅相关信息 (13)5.2询问企业管理层及其他人员 (14)5.3观察及检查 (14)5.4信息来源 (14)六、确定重大错报风险 (15)七、工作底稿记录 (15)第四章利用专家的工作 (15)一、确定是否利用专家的工作 (16)1.1确定IT专家的介入程度 (17)1.2确定税务专家的介入程度 (17)1.3确定相关行业专家的介入程度 (18)二、利用管理层专家的工作 (18)2.1评价管理层专家的胜任能力、专业素养和客观性 (18)2.2 了解管理层专家的工作 (19)2.3 评价管理层专家的工作是否足以实现审计目的 (20)三、利用事务所的内部专家的工作 (21)四、利用事务所外部专家的工作 (23)五、记录审计工作 (26)第五章了解企业整体的内部控制 (27)一、企业层面控制的内涵 (27)二、企业层面控制对其他控制及其测试的影响 (28)三、了解和评价企业层面内部控制的主要内容 (29)3.1与控制环境(即内部环境)相关的控制 (30)3.1.1管理层的理念和经营风格 (31)3.1.2诚信和道德价值观念的沟通与落实 (31)3.1.3治理层的参与程度 (32)3.2针对管理层和治理层凌驾于控制之上的风险而设计的控制 (32)3.3被审计单位的风险评估过程 (34)3.4对内部信息传递的控制 (35)3.5对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价 (35)3.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对 (36)3.5.2管理层是否为保证内部审计活动的有效性而确立了相应的控制 (36)3.5.3管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性 (36)3.5.4管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行(如共享服务中心等) (36)3.6集中化的处理和控制(包括共享的服务环境) (36)3.7监督经营成果的控制 (37)四、企业层面控制对其他控制及其测试的影响 (38)五、如何了解企业层面控制 (39)5.1了解企业层面控制的方法 (39)5.2审计证据的考虑和了解企业层面控制的范围 (39)六、识别和评估重大错报风险 (40)七、工作底稿记录 (40)第六章识别舞弊风险并确定应对措施 (40)一、识别舞弊风险的相关要求 (40)二、识别舞弊风险的主要程序及考虑因素 (41)2.1组织项目组讨论 (42)2.2就舞弊风险询问管理层和其他人员 (42)2.2.1询问管理层 (42)2.2.2询问内部审计人员 (43)2.2.3询问内部其他人员 (44)2.2.4询问治理层 (44)2.3考虑舞弊风险因素 (45)2.4考虑异常关系或偏离预期的关系 (45)2.5考虑其他信息 (45)三、识别由于舞弊而导致的重大错报风险 (45)3.1收入确认 (46)四、应对舞弊导致的重大错报风险 (46)4.1总体应对措施 (46)4.2特别措施 (46)五、应对管理层凌驾于控制之上的措施 (47)六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施 (47)七、对审计其他方面的影响 (48)第七章确定重要性水平 (48)一、了解确定整体重要性水平需做的考虑 (48)1.1确定整体重要性水平时财务报表使用者的展望与预期 (49)1.2整体重要性水平的恰当基准 (49)1.2.1是否存在特定会计主体的财务报表使用者特别关注的项目 (49)1.2.2被审计单位的性质、所处的生命周期阶段以及所处行业和经济环境 (49)1.2.3治理层的看法和预期 (49)二、了解确定特定类别的交易、账户余额或披露的重要性水平需做的考虑 (50)三、了解确定实际执行重要性水平(可容忍误差)需做的考虑 (50)四、确定整体重要性水平 (50)4.1定义整体重要性水平时确定应用适当百分比的税前利润 (51)4.1.1上市企业或重要项目 (51)4.1.2非重要项目 (51)4.2当税前利润作为计量基准不恰当时确定应用适当百分比的计量基础 (51)五、确定特定类别的交易、账户余额或披露的重要性水平 (52)六、确定实际执行的重要性水平 (52)七、在审计过程中修改重要性水平 (53)第八章识别重大账户、重大列报及相关认定 (53)一、识别重大账户、重大列报及其相关认定 (53)1.1重大账户或列报 (53)1.2确定重大账户或列报的金额标准 (53)1.3确定重大账户或列报的性质考虑 (54)1.3.1重大账户或列报的性质确定 (54)1.3.2考虑已识别的固有风险 (54)1.3.3评价财务报表项目及附注的错报风险因素 (54)1.4有关账户的其他考虑因素 (55)二、确定相关认定 (55)2.1利润表科目的重要账户的相关认定 (56)2.2资产负债表重要账户的相关认定 (56)2.3与列报和披露相关的认定 (56)三、更新我们确定的重大账户或列报及相关认定 (57)第九章识别重大业务流程和重大列报流程 (57)一、识别业务流程 (57)1.1常规的业务流程 (58)1.2非常规的业务流程 (58)1.3估计的业务流程 (58)二、确定重大流程 (58)2.1确定重大业务流程 (58)2.2对重大估计业务流程的考虑 (59)2.3重大列报流程 (59)三、识别相关信息系统 (60)第十章关于集团审计的特殊考虑 (60)一、了解集团及其环境、集团组成部分及其环境 (60)二、了解集团及其组成部分的内部控制 (61)三、集团管控风格的影响 (62)四、确定重要性水平以及可容忍误差 (62)4.1确定集团整体财务报表重要性 (63)4.2确定集团实际执行的重要性(可容忍误差) (63)4.3确定组成部分可容忍误差 (63)五、确定重要组成部分 (64)5.1根据规模确定 (65)5.2根据特定性质或情况确定 (65)5.3不重要组成部分 (65)六、识别重大账户、重大列报及其相关认定 (65)七、组成部分内部控制审计策略 (66)八、设定组成部分审计策略的标准 (66)第十一章了解企业内部控制自我评价过程以及利用他人的工作 (67)一、了解企业内部控制自我评价过程 (67)二、利用他人的工作 (68)2.1对专业胜任能力和客观性的考虑 (68)2.1.1专业胜任能力和客观性对可利用他人工作程度的影响 (68)2.2对利用内部审计人员工作的特殊考虑 (69)2.2.1评价内部审计人员的专业胜任能力 (69)2.2.2评价内部审计人员的客观性 (70)2.3利用内部审计人员的工作成果 (71)2.4确定利用他人工作的范围 (74)2.5测试由他人执行的部分工作 (74)三、工作底稿记录 (75)第十二章评价企业层面控制测试 (75)一、间接的企业层面控制 (75)二、应对舞弊导致的重大错报风险(包括董事会、管理层凌驾于控制之上的风险)的控制 (76)三、控制环境 (77)四、充当业务层面控制的直接企业层面控制 (77)五、工作底稿记录 (77)第十三章了解重大业务流程和重大列报流程 (78)一、考虑企业层面控制对重大业务流程和重大列报流程的影响 (78)二、识别重大业务流程和重大列报流程的关键流程 (78)2.1信息来源 (80)2.2询问 (80)2.3观察和检查 (80)2.4对服务机构的考虑 (81)三、在重大业务流程和重大列报流程中识别可能出错项 (81)3.1如何识别可能出错项 (82)3.2将可能出错项联系到相关认定 (83)3.3特别风险和可能出错项 (83)3.4 IT方面的可能出错项 (83)四、识别与审计相关的控制活动 (84)4.1相关的控制的种类 (84)4.2如何开始识别相关控制 (84)4.3对识别降低特别风险的控制的特殊考虑 (84)五、对了解不同性质的重大业务流程的具体考虑 (85)5.1重大业务流程的种类 (85)5.2相关控制活动 (86)5.2.1管理层对专家的利用 (87)5.2.2假设 (87)5.2.3改变会计估计的方法 (87)5.2.4估计的不确定性 (88)六、对了解重大列报流程的特殊考虑 (88)6.1重大会计账户的列报 (88)6.2财务报表决算过程的列报 (88)第十四章执行穿行测试 (89)一、执行穿行测试 (89)1.1穿行测试的程序 (90)1.2与穿行测试过程中进行的询问相关的考虑 (90)1.3对穿行测试的结果得出结论 (91)1.4对控制有效性的初步评价 (91)二、穿行测试的特殊考虑 (92)2.1会计估计的流程 (92)2.2关于降低重大错报风险的控制的穿行测试的考虑 (92)2.3在执行穿行测试时利用他人工作 (93)2.4针对自动化程序里的数据和交易信息 (93)第十五章选择、测试内部控制 (93)一、选择拟测试的控制的基本要求 (94)二、选择拟测试的控制的考虑因素 (94)2.1选择适当的控制测试 (94)2.1.1控制的目标和分类 (95)2.1.1.1预防性控制和检查性控制 (95)2.1.1.2手工控制和自动执行的控制 (95)2.2确认已选测试的控制与审计相关 (97)2.3评估已选测试的控制是否充分敏感 (97)三、与控制相关的风险 (99)四、控制测试的程序的性质 (100)4.1询问 (100)4.2观察 (100)4.3检查 (100)4.4重新执行 (101)五、控制测试的时间安排 (102)5.1期中测试的两种方法 (102)5.2是否测试被取代的控制 (103)5.3期中测试和前推程序 (103)5.4针对信息技术一般控制(ITGCs)和应用控制的前推程序 (104)5.5集团内部控制审计中实施前推程序的考虑 (104)六、控制测试的范围 (105)6.1影响测试范围的因素 (105)6.2抽样方法的一般考虑 (105)6.3样本参考量 (106)6.3.1测试人工控制的最小样本规模 (106)6.3.2测试应用控制的最小样本规模 (107)6.4追加控制测试 (107)七、执行内部控制测试 (108)7.1执行控制测试的一般考虑 (108)7.2审计证据质量的额外考虑 (108)八、评价控制偏差 (108)8.1确认控制偏差 (108)8.2确定控制偏差的属性 (109)8.3确定审计应对措施 (110)九、工作底稿记录 (110)第十六章了解和评价财务报告流程(FSCP) (111)一、了解和评价财务报告流程过程 (111)1.1财务报告流程了解程度 (111)1.2对财务报告流程进行了解的起点 (112)1.3了解和评价财务报告流程的程序 (113)1.3.1了解财务报告流程的子过程 (113)1.3.1.1编制试算平衡表并进行任何必要的合并 (113)1.3.1.2生成、授权和记录记账分录 (113)1.3.1.3编制财务报表及相关列报 (113)1.4识别可能出错项 (114)1.5识别和了解财务报告流程中的控制活动 (114)1.6初步评价控制的有效性 (115)第十七章了解、穿行测试、测试和评估IT一般控制 (115)二、信息系统环境中的控制测试 (116)2.1信息系统审计策略的确定 (116)2.2信息系统一般控制测试 (117)2.3系统应用控制测试 (119)三、控制测试底稿 (120)附件一信息系统环境复杂度判断指引 (120)附件二信息系统环境控制测试底稿 (122)第十八章评价内部控制缺陷 (123)一、控制缺陷的分类 (123)二、内部控制缺陷评价时的一般考虑 (124)2.1衡量缺陷严重性的标准 (124)2.2充分考虑缺陷组合 (124)2.3补偿性控制 (124)2.4考虑企业内部控制自我评价的结果 (124)三、财务报告内部控制缺陷评价标准 (124)3.1定量标准 (125)3.2定性标准 (125)四、非财务报告内部控制缺陷评价标准 (126)五、内部控制缺陷评价程序 (127)六、内部控制缺陷评价的特殊考虑 (130)6.1对信息系统一般控制的考虑 (130)6.2对企业层面控制缺陷评价的考虑 (131)6.3与其他缺陷一同进行评价 (131)6.4内部控制缺陷评价的其他关注领域 (132)七、内部控制缺陷整改 (132)八、工作底稿记录 (132)第十九章完成审计工作 (133)二、取得管理层的书面声明 (134)三、与企业沟通控制缺陷 (135)四、形成审计意见 (136)第二十章出具审计报告 (137)一、出具标准内部控制审计报告 (137)二、出具非标准内部控制审计报告 (138)2.1带强调事项段的无保留意见内部控制审计报告 (138)2.2否定意见内部控制审计报告 (139)2.3无法表示意见内部控制审计报告 (139)三、非财务报告内部控制存在重大限制 (140)四、对期后事项的考虑 (140)五、内部控制审计报告与财务报表审计报告的衔接 (141)第一章获取审计业务约定书在内部控制审计业务开始前,我们应先确定我们已遵循了风险管理委员会拟订的《业务承接制度--客户关系和具体业务的接受与保持操作规程》,评估客户承接/保持程序的结论以确定其对我们审计风险评估及审计策略的影响,确定客户承接/保持决定是适当的。
内部审计操作手册
公司内部审计操作手册内部审计是公司内部经济监督的一种形式,是公司审计室在董事会审计委员会的领导下,依照国家有关法规和公司有关规章制度,独立、客观地监督、评价公司及其下属单位的财务收支及其经济活动的真实性、合法性和效益性,检查、评价内部控制制度的完善性,评估企业经营风险,以达到查错防弊、防范和降低经营风险、改善经营管理、提高经济效益的目的.所谓真实性,是指企业的财务会计、统计等记录必须如实反映企业的实际经营管理成果,必须按照国家相关的经济法规、政策和公司董事会的有关规定,记录和反映企业的经营管理活动。
所谓合法性,是指企业的一切经营管理活动必须符合国家相应的法规、政策条例,必须符合公司董事会决议及公司的有关规章制度。
所谓效益性,是指企业的一切经营管理活动都必须围绕如何产生更大的经济效益和劳动效率而进行。
【审计工作的基本原则】《内审条例》所称的基本原则为:“依法”是指依据国家颁布的审计、财经、税务等方面的法律、法规、政策,在此还包括公司董事会决议、公司的有关规章制度等进行审计。
“独立”是指内部审计机构、内部审计工作、内部审计人员方面的独立性.在组织上的地位,必须使它能圆满地履行其审计职责,即内部审计机构隶属于公司董事会审计委员会,独立于公司内所有经营管理活动;内部审计独立开展审计工作,不受其它部门的干涉,审计工作的范围和深度不应受到影响和限制;独立地发表审计意见和建议;内部审计负责人的任免须经董事会审计委员会批准,审计委员会应赋予审计人员一定的职责权限。
“客观”是指审计工作中所收集的审计证据以及对“审计发现”的表述必须实事求是,客观如实。
审计工作重调查研究,重审计证据,即审计过程中必须以客观事实为基础,实事求是,注重证据,不夸大或缩小事实.“公正"是指审计报告中的审计意见、审计结论应恰如其分,不偏不倚,保证充分的公允性。
坚持证据确凿,结论公正,评价合理,建议中肯。
【审计机构及人员】公司董事会审计委员会是公司内部审计的权力机构。
2.审计评估作业指导书
职业健康审计评估作业指导书1.1目的为规范本公司职业健康审计评估行为,指导职业健康审计评估人员做好职业健康审计评估工作,使编制的职业健康审计评估报告符合《安全评价通则》(AQ8001-2007)和《河北省职业健康审计评估导则(试行)》要求,特制定本职业健康审计评估作业指导书。
1.2适用范围本《职业健康审计评作业指导书》,适用于公司职业健康审计评估工作。
1.3职责职业健康审计评估项目按本指导书进行资料收集、现场考察与报告编写;内部审核人员按本指导书进行审查;技术负责人按本指导书进行技术审核。
1.4工作程序职业健康审计评估程序主要包括:前期准备(收集资料见附件);辨识与分析职业危害因素;划分审计评估单元;选择审计评估方法;定性、定量审计评估;提出对策措施建议;做出职业健康审计评估结论;编制职业健康审计评估报告等内容。
工作程序框图如下:1.5职业健康审计评估报告内容编制说明一、说明被审计评估项目名称、委托方企业名称(开始用全称以后用简称,在各章节中企业名称要统一)及审计评估类型。
如:xxx单位是一个以什么为原料,生产什么产品,使用、储存什么有毒物品(或剧毒化学品)的企业,于x年x月由何单位为其进行了职业健康许可证专项审计评估,(并取得了河北省安全生产监督管理局颁发的职业健康许可证,许可证编号为:xxxxxx,有效期至_________)。
二、根据《使用有毒物品作业场所劳动保护条例》(中华人民共和国国务院令第352号),《河北省使用有毒物品作业场所职业卫生安全许可证实施办法(暂行)》等法律、法规及有关规定要求,xx单位委托河北君圣安全评价咨询有限公司对该单位进行每三(一)年一次的职业健康审计评估。
(如是延期审计评估,应引用相关文件的要求)三、接受委托后,我公司成立了xx项目审计评估组,于x年x月x日-x年x月x日对xx单位现场进行了实地考察、搜集相关资料。
针对实际情况,依据国家相关法律、法规、标准和规范,遵循科学性、公正性、合法性和针对性原则,运用科学的审计评估方法与程序,持严肃的态度进行了xx单位的职业健康审计评估。
内部控制审计操作手册
内部控制审计操作⼿册⽬录第⼀章获取审计业务约定书 (1)⼀、获取审计业务约定书1⼆、部控制审计业务约定书的容1三、连续审计2四、审计业务约定条款的变更2五、业务约定书的⽂档记录3第⼆章建⽴审计项⽬组3⼀、项⽬⼩组成员的要求3⼆、组建项⽬⼩组的考虑3三、管理、指导、并监督项⽬⼩组4四、项⽬⼩组成员的⾓⾊及责任5第三章了解被审计单位及其环境6⼀、了解被审计单位及其环境的必要性6⼆、了解被审计单位及其环境的程度7三、了解被审计单位及其环境的主要容73.1⾏业状况、法律环境与监管环境以及其他外部因素7 3.1.1⾏业因素83.1.2 遵守法律法规的规定83.1.3 其他外部因素83.2了解被审计单位的性质93.3被审计单位对会计政策的选择和运⽤103.4被审计单位的⽬标、战略以及相关经营风险103.5被审计单位财务业绩的衡量和评价11四、了解IT在企业中的⾓⾊124.1了解IT复杂程度124.2了解IT对我们审计⼯作的影响13五、如何了解企业及其环境135.1检阅相关信息135.2询问企业管理层及其他⼈员145.3观察及检查145.4信息来源14六、确定重⼤错报风险15七、⼯作底稿记录15第四章利⽤专家的⼯作15⼀、确定是否利⽤专家的⼯作161.1确定IT专家的介⼊程度171.2确定税务专家的介⼊程度171.3确定相关⾏业专家的介⼊程度18⼆、利⽤管理层专家的⼯作182.1评价管理层专家的胜任能⼒、专业素养和客观性18 2.2 了解管理层专家的⼯作192.3 评价管理层专家的⼯作是否⾜以实现审计⽬的20三、利⽤事务所的部专家的⼯作21四、利⽤事务所外部专家的⼯作23五、记录审计⼯作26第五章了解企业整体的部控制27⼀、企业层⾯控制的涵27⼆、企业层⾯控制对其他控制及其测试的影响28三、了解和评价企业层⾯部控制的主要容293.1与控制环境(即部环境)相关的控制303.1.1管理层的理念和经营风格313.1.2诚信和道德价值观念的沟通与落实313.1.3治理层的参与程度323.2针对管理层和治理层凌驾于控制之上的风险⽽设计的控制323.3被审计单位的风险评估过程343.4对部信息传递的控制353.5对控制有效性的部监督(即监督其他控制的控制)和部控制评价353.5.1管理层是否定期地将会计系统中记录的数额与实物资产进⾏核对363.5.2管理层是否为保证部审计活动的有效性⽽确⽴了相应的控制363.5.3管理层是否建⽴了相关的控制以保证⾃我评价或定期的系统评价的有效性363.5.4管理层是否建⽴了相关的控制以保证监督性控制能够在⼀个集中的地点有效进⾏(如共享服务中⼼等) (36) 3.6集中化的处理和控制(包括共享的服务环境) (36)3.7监督经营成果的控制37四、企业层⾯控制对其他控制及其测试的影响38五、如何了解企业层⾯控制395.1了解企业层⾯控制的⽅法395.2审计证据的考虑和了解企业层⾯控制的围39六、识别和评估重⼤错报风险40七、⼯作底稿记录40第六章识别舞弊风险并确定应对措施40⼀、识别舞弊风险的相关要求40⼆、识别舞弊风险的主要程序及考虑因素412.1组织项⽬组讨论422.2就舞弊风险询问管理层和其他⼈员422.2.1询问管理层422.2.2询问部审计⼈员432.2.3询问部其他⼈员442.2.4询问治理层442.3考虑舞弊风险因素452.4考虑异常关系或偏离预期的关系452.5考虑其他信息45三、识别由于舞弊⽽导致的重⼤错报风险453.1收⼊确认46四、应对舞弊导致的重⼤错报风险464.1总体应对措施464.2特别措施46五、应对管理层凌驾于控制之上的措施47六、应对与关联⽅有关的由于舞弊⽽导致的重⼤错报风险的措施47七、对审计其他⽅⾯的影响48第七章确定重要性⽔平48⼀、了解确定整体重要性⽔平需做的考虑481.1确定整体重要性⽔平时财务报表使⽤者的展望与预期491.2整体重要性⽔平的恰当基准491.2.1是否存在特定会计主体的财务报表使⽤者特别关注的项⽬491.2.2被审计单位的性质、所处的⽣命周期阶段以及所处⾏业和经济环境49 1.2.3治理层的看法和预期49⼆、了解确定特定类别的交易、账户余额或披露的重要性⽔平需做的考虑50三、了解确定实际执⾏重要性⽔平(可容忍误差)需做的考虑50四、确定整体重要性⽔平504.1定义整体重要性⽔平时确定应⽤适当百分⽐的税前利润514.1.1上市企业或重要项⽬514.1.2⾮重要项⽬514.2当税前利润作为计量基准不恰当时确定应⽤适当百分⽐的计量基础51五、确定特定类别的交易、账户余额或披露的重要性⽔平52六、确定实际执⾏的重要性⽔平52七、在审计过程中修改重要性⽔平53第⼋章识别重⼤账户、重⼤列报及相关认定53⼀、识别重⼤账户、重⼤列报及其相关认定53 1.1重⼤账户或列报531.2确定重⼤账户或列报的⾦额标准531.3确定重⼤账户或列报的性质考虑541.3.1重⼤账户或列报的性质确定541.3.2考虑已识别的固有风险541.3.3评价财务报表项⽬及附注的错报风险因素54 1.4有关账户的其他考虑因素55⼆、确定相关认定552.1利润表科⽬的重要账户的相关认定562.2资产负债表重要账户的相关认定562.3与列报和披露相关的认定56三、更新我们确定的重⼤账户或列报及相关认定57第九章识别重⼤业务流程和重⼤列报流程57⼀、识别业务流程571.1常规的业务流程581.2⾮常规的业务流程581.3估计的业务流程58⼆、确定重⼤流程582.1确定重⼤业务流程582.2对重⼤估计业务流程的考虑592.3重⼤列报流程59三、识别相关信息系统60第⼗章关于集团审计的特殊考虑60⼀、了解集团及其环境、集团组成部分及其环境60⼆、了解集团及其组成部分的部控制61三、集团管控风格的影响62四、确定重要性⽔平以及可容忍误差624.1确定集团整体财务报表重要性634.2确定集团实际执⾏的重要性(可容忍误差)634.3确定组成部分可容忍误差63五、确定重要组成部分645.1根据规模确定655.2根据特定性质或情况确定655.3不重要组成部分65六、识别重⼤账户、重⼤列报及其相关认定65七、组成部分部控制审计策略66⼋、设定组成部分审计策略的标准66第⼗⼀章了解企业部控制⾃我评价过程以及利⽤他⼈的⼯作67⼀、了解企业部控制⾃我评价过程67⼆、利⽤他⼈的⼯作682.1对专业胜任能⼒和客观性的考虑682.1.1专业胜任能⼒和客观性对可利⽤他⼈⼯作程度的影响682.2对利⽤部审计⼈员⼯作的特殊考虑692.2.1评价部审计⼈员的专业胜任能⼒692.2.2评价部审计⼈员的客观性702.3利⽤部审计⼈员的⼯作成果712.4确定利⽤他⼈⼯作的围742.5测试由他⼈执⾏的部分⼯作74三、⼯作底稿记录75第⼗⼆章评价企业层⾯控制测试75⼀、间接的企业层⾯控制75⼆、应对舞弊导致的重⼤错报风险(包括董事会、管理层凌驾于控制之上的风险)的控制76三、控制环境77四、充当业务层⾯控制的直接企业层⾯控制77五、⼯作底稿记录77第⼗三章了解重⼤业务流程和重⼤列报流程78⼀、考虑企业层⾯控制对重⼤业务流程和重⼤列报流程的影响78⼆、识别重⼤业务流程和重⼤列报流程的关键流程782.1信息来源802.2询问802.3观察和检查802.4对服务机构的考虑81三、在重⼤业务流程和重⼤列报流程中识别可能出错项813.1如何识别可能出错项823.2将可能出错项联系到相关认定833.3特别风险和可能出错项833.4 IT⽅⾯的可能出错项83四、识别与审计相关的控制活动844.1相关的控制的种类844.2如何开始识别相关控制844.3对识别降低特别风险的控制的特殊考虑84五、对了解不同性质的重⼤业务流程的具体考虑855.1重⼤业务流程的种类855.2相关控制活动865.2.1管理层对专家的利⽤875.2.2假设875.2.3改变会计估计的⽅法875.2.4估计的不确定性88六、对了解重⼤列报流程的特殊考虑886.1重⼤会计账户的列报886.2财务报表决算过程的列报88第⼗四章执⾏穿⾏测试89⼀、执⾏穿⾏测试891.1穿⾏测试的程序901.2与穿⾏测试过程中进⾏的询问相关的考虑901.3对穿⾏测试的结果得出结论911.4对控制有效性的初步评价91⼆、穿⾏测试的特殊考虑922.1会计估计的流程922.2关于降低重⼤错报风险的控制的穿⾏测试的考虑92 2.3在执⾏穿⾏测试时利⽤他⼈⼯作932.4针对⾃动化程序⾥的数据和交易信息93第⼗五章选择、测试部控制93⼀、选择拟测试的控制的基本要求94⼆、选择拟测试的控制的考虑因素942.1选择适当的控制测试942.1.1控制的⽬标和分类952.1.1.1预防性控制和检查性控制952.1.1.2⼿⼯控制和⾃动执⾏的控制952.2确认已选测试的控制与审计相关972.3评估已选测试的控制是否充分敏感97三、与控制相关的风险99四、控制测试的程序的性质1004.1询问1004.2观察1004.3检查1004.4重新执⾏101五、控制测试的时间安排1025.1期中测试的两种⽅法1025.2是否测试被取代的控制1035.3期中测试和前推程序1035.4针对信息技术⼀般控制(ITGCs)和应⽤控制的前推程序1045.5集团部控制审计中实施前推程序的考虑104六、控制测试的围1056.1影响测试围的因素1056.2抽样⽅法的⼀般考虑1056.3样本参考量1066.3.1测试⼈⼯控制的最⼩样本规模1066.3.2测试应⽤控制的最⼩样本规模1076.4追加控制测试107七、执⾏部控制测试1087.1执⾏控制测试的⼀般考虑1087.2审计证据质量的额外考虑108⼋、评价控制偏差1088.1确认控制偏差1088.2确定控制偏差的属性1098.3确定审计应对措施110九、⼯作底稿记录110第⼗六章了解和评价财务报告流程(FSCP)111⼀、了解和评价财务报告流程过程1111.1财务报告流程了解程度1111.2对财务报告流程进⾏了解的起点1121.3了解和评价财务报告流程的程序1131.3.1了解财务报告流程的⼦过程1131.3.1.1编制试算平衡表并进⾏任何必要的合并113 1.3.1.2⽣成、授权和记录记账分录1131.3.1.3编制财务报表及相关列报1131.4识别可能出错项1141.5识别和了解财务报告流程中的控制活动1141.6初步评价控制的有效性115第⼗七章了解、穿⾏测试、测试和评估IT⼀般控制115⼀、信息系统审计围界定116⼆、信息系统环境中的控制测试1162.1信息系统审计策略的确定1162.2信息系统⼀般控制测试1172.3系统应⽤控制测试119三、控制测试底稿120附件⼀信息系统环境复杂度判断指引120附件⼆信息系统环境控制测试底稿122第⼗⼋章评价部控制缺陷123⼀、控制缺陷的分类123⼆、部控制缺陷评价时的⼀般考虑1242.1衡量缺陷严重性的标准1242.2充分考虑缺陷组合1242.3补偿性控制1242.4考虑企业部控制⾃我评价的结果124三、财务报告部控制缺陷评价标准1243.1定量标准1253.2定性标准125四、⾮财务报告部控制缺陷评价标准126五、部控制缺陷评价程序127六、部控制缺陷评价的特殊考虑1306.1对信息系统⼀般控制的考虑1306.2对企业层⾯控制缺陷评价的考虑131 6.3与其他缺陷⼀同进⾏评价1316.4部控制缺陷评价的其他关注领域132七、部控制缺陷整改132⼋、⼯作底稿记录132第⼗九章完成审计⼯作133⼀、项⽬组部讨论133⼆、取得管理层的书⾯声明134三、与企业沟通控制缺陷135四、形成审计意见136第⼆⼗章出具审计报告137⼀、出具标准部控制审计报告137⼆、出具⾮标准部控制审计报告1382.1带强调事项段的⽆保留意见部控制审计报告138 2.2否定意见部控制审计报告1392.3⽆法表⽰意见部控制审计报告139三、⾮财务报告部控制存在重⼤限制140四、对期后事项的考虑140五、部控制审计报告与财务报表审计报告的衔接141第⼀章获取审计业务约定书在部控制审计业务开始前,我们应先确定我们已遵循了风险管理委员会拟订的《业务承接制度--客户关系和具体业务的接受与保持操作规程》,评估客户承接/保持程序的结论以确定其对我们审计风险评估及审计策略的影响,确定客户承接/保持决定是适当的。
企业内部控制审计操作指引
企业内部控制审计操作指引
企业内部控制审计操作指引旨在规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量。
在执行内部控制审计工作过程中,注册会计师应获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
审计工作应基于对企业内部控制设计与运行有效性的审计,并对财务报告内部控制的有效性发表审计意见。
同时,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在进行整合审计时,注册会计师需要确保从财务报表审计中获取的证据支持其对控制风险的评估结果,并与企业沟通获取的内部控制缺陷。
此外,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
企业建立健全内部控制并保持其有效性,以及积极配合注册会计师进行内部控制审计工作,是保证企业健康发展的重要环节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内控审计评价操作流程(XXX31目的 (22范围 (23规范性引用文件 (24术语和定义 (25职责 (26审计评价操作流程简图 (3 7发现缺陷 (38初步判定缺陷 (39汇总评价结果 (410最终判定缺陷 (711使用系统及工具 (812关键控制点 (813流程图 (814跟踪验证 (915报告和记录 (916记录保存 (917支持文件和记录 (918附则 (10附录A 公司费用审计评分示例 (131 目的为了规范审计评价,提高审计质量,正确反映审计对象的管理水平,特制定本操作流程。
本操作流程建立了公司管理的缺陷分类和健康评级标准。
2 范围本操作流程适用于公司内控管理部门对项目的审计评价。
3 规范性引用文件无4 术语和定义下列术语和定义适用于本操作流程。
4.1 重大缺陷(简称Cr可能导致企业严重偏离控制目标的控制缺陷。
[《企业内部控制评价指引》,第十七条]4.2 重要缺陷(简称Mj可能导致企业偏离控制目标的控制缺陷,其严重程度或后果低于重大缺陷。
[《企业内部控制评价指引》,第十七条]4.3 一般缺陷(简称Mi除重大缺陷、重要缺陷之外的其他控制缺陷。
4.4 设计缺陷缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
4.5 运行缺陷现存设计完好的控制没有按照规定的程序和要求进行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
5 职责5.1 主管领导5.1.1 总裁、审计委员会(1对认定为重大缺陷的问题进行复核,做出最终认定意见;(2对内部控制评价报告中列示的问题,督促有关部门或单位采取适当的措施进行改进,对于重大缺陷应追究相关人员的责任。
5.1.2 董事会秘书(1对认定为重大缺陷的问题进行审核;(2对内部控制评价报告中列示的问题,督促有关部门或单位采取适当的措施进行改进。
5.2 内审部5.2.1 审计组成员5.2.1.1 审计人员(1负责初步认定审计发现的缺陷等级;(2负责跟踪审计发现缺陷的落实情况。
5.2.1.2 审计组长(1负责审核审计发现的缺陷等级;(2负责统计缺陷,并综合评分,提出审计意见;(3负责编制项目《内审报告》。
5.2.2 负责人(部长(1负责审核审计发现的缺陷等级;(2负责审核项目《内审报告》,并提交审计委员会和总裁审批、会签。
6 审计评价操作流程简图图1 审计评价操作流程简图7 发现缺陷依据《实施内控审计操作流程》的第9章节和项目审计操作流程作业指导书,按照审计工作测试程序的要求,对审计对象实施审计,确定审计发现的缺陷。
8 初步判定缺陷8.1 缺陷分类内部控制缺陷按其成因分为设计缺陷和运行缺陷。
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷、一般缺陷三种。
一般缺陷根据缺陷偏离目标的程度,再细分为“中等”、“较轻”和“轻微”三个级别。
内部控制缺陷的划分按表1执行。
表1 控制缺陷重要程度分类表8.2 缺陷判定在审计过程中发现控制缺陷后,首先确定内部控制的目标和要求,然后根据审计对象的内控特点及所处的特定环境,对照表1,考虑各种缺陷或替代性控制的影响,综合评估缺陷的严重程度,并做出判定。
【关键控制点】:(1出现附表一中的问题,均判定为重大缺陷:(2缺陷严重程度的评估必须充分考虑以下两点对评估结论的影响:(a 关注和分析缺陷组合风险。
缺陷与偏离目标可能性之间不仅存在着一一对应关系,还存在着缺陷组合的风险叠加效应。
例如,在其他控制环节严密的情况下,由出纳核对银行日记账和银行对账单是一个重要的缺陷,但是,如果同时与银行印鉴管理不严、支票管理漏洞相组合,则构成重大缺陷。
(b 替代性控制(补偿性控制的作用。
替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补,可以降低发生缺陷的风险,即:控制缺陷的严重程度实际是下降的。
8.3 缺陷分值采用5分制对缺陷等级进行评分(见表2。
表2 缺陷评分对照表9 汇总评价结果9.1 项目层级9.1.1 层级分类审计前,先将审计项目进行层级的划分(层级划分见示例1图示:(1第一级项目(总项:为最高层级,即审计项目,例如:公司费用审计项目中“公司费用”即为最高层级;(2第二级项目(分项,它是按审计项目所包涵的主要内容和特点再加以细分(见示例1“审计分项”栏。
例如:“公司费用”下分为通讯费用、车辆费用、招待费和差旅费四个二级分项(见示例2;(3第三级项目(单项,它是针对二级分项具体内容的不同,再作进一步的细分(见示例1“审计单项”栏。
例如通讯费用项下细分为核查资金审批流程与权限,核查凭证合规性,核查资金结算期限,通讯费额度控制和公务通讯费的符合性共5个三级单项(见示例3;(4第四级项目(条款:为最低层级,即每一条审计条款,它是构成整个审计项目的基础单元(见示例1“控制测试内容”栏。
条款的编制主要依据法律法规、企业制度、过往的审计发现、审计追踪等要求进行编制。
注:由于篇幅设置,第一级(总项体现在《审计工作测试程序》表的“审计项目名称”栏。
9.1.2 层级组成形式审计项目层级的组成形式可视的审计项目规模的大小及实际需要,有两种组合模式:(1三级组合模式:总项(分项+单项+条款;(2四级组合模式:总项+分项+单项+条款。
注:将⑴中按三级进行细分时,将总项与分项合并,在计算时按总项进行处理。
9.2 单项及分项权重的设置权重设置以重要程度判定为原则来设置。
分项权重依据本分项在总项中的重要性进行设置,单项权重依据本单项在分项中的重要性进行设置。
以“公司费用”审计项目为例:(1先对公司费用进行分类,分为四个二级分项:交通费,通讯费,招待费,差旅费;(2根据这四个分项的重要程度设置权重,见示例2。
示例2:注:本示例为四级组合模式进行细分,当按⑴三级模式进行分级时此表省略。
(3根据单项在分项的重要性设置权重,见示例3。
示例3:注:本示例为四级组合模式进行分项,当按三级模式进行分级时,分项即为审计项目(总项。
【关键控制点】:(1分项及单项的权重设置由审计组根据审核项目中分项的重要程度及单项在审核分项中的重要程度,商议确定。
(2所有分项及单项的权重累加必须等于100%。
9.3 统计审计得分9.3.1 条款得分根据表2的缺陷评分对照表,在《审计工作测试程序》表的“实际得分”栏内对每一条审计条款(即第四级进行打分;对于“不适用“的审计条款,则在“实际得分”栏内划“/”,具体评分参见示例4中“实际得分”栏。
示例4:9.3.2 单项得分将审计单项下所有审计条款的“实际得分”栏累加后除以测试程序表中单项的总审计条款数的5倍再乘以100,计算单项的得分值。
即按以下公式计算:1005⨯⨯=单项总审计条款数实际得分累加单项内所有审计条款的单项得分式中:5 ——单条审计条款的满分值为5分单项总审计条款数——单项内所有适用条款数【关键控制点】:(1 公式中的总审计条款数需剔除“不适用”的条款数。
9.3.3 分项得分将审计分项内的每一个单项的得分值分别乘以各自对应的权重,再求和,即为分项的得分。
即按以下公式计算:∑⨯==ni i i 1(权重单项得分分项得分【关键控制点】:当某个单项不适用时,需对分项得分做如下处理:(1 各个单项的权重保持不变,同时不适用的单项得分设置为零; (2 分项得分按照以下公式计算:∑⨯==ni i i 1(11权重单项得分-不适用单项的权重分项得分式中:不适用单项的权重——分项内不适用单项的权重之和。
9.3.4 总项得分将所有的分项得分分别乘以各自对应的权重,再求和,得到的值即为审计项目的总得分,计算公式如下:∑⨯==ni 1权重i 得分i (分项总项得分【关键控制点】:(1 总项得分是百分制,若出现高于100分时,需检查权重、权重设置是否合理,计算是否出现错误。
(2 当某个分项不适用时,需对总项得分进行如下处理:(a 各个分项的权重保持不变,同时不适用的分项得分设置为零; (b 总项得分按照以下公式计算:∑⨯==ni i i 1(11权重分项得分-不适用分项的权重总项得分式中:不适用分项的权重——总项内不适用分项的权重之和。
9.3.5 缺陷频率缺陷的频率分为重大缺陷频率(f Cr 和重要缺陷频率(f Mj 。
计算缺陷频率主要为了依据表3确定审计项目的健康指数。
计算公式如下:重大缺陷频率=100⨯=有效审计条款数重大缺陷数量cr f重要缺陷频率=100⨯=有效审计条款数重要缺陷数量Mj f9.4 健康指数的确定根据审计项目(总项得分的得分,结合审计项目中重大和重要缺陷出现的频率,对审核项目的运行情况做出健康指数的评定,健康指数分为五级:A (健康型、B (成长型、C (改进型、D (薄弱型和E (休克型。
具体的评价标准见表3:表3 健康指数评定等级【关键控制点】:(1 A 级(健康型:内部控制的运行状况良好,无重大缺陷和重要缺陷;(2 B 级(成长型:内部控制的运行状况正常,无重大缺陷,但会有个别的重要缺陷,仍需要做一些内部控制方面的改善工作;(3 C 级(改进型:内部控制的运行中存在较多的重要缺陷,风险在加大,虽然表面上运作良好,但对于一些重要缺陷,如不加以纠正、预防措施,极有可能转变为重大缺陷,引发内部控制目标的严重偏离,必须马上纠错,并执行纠正措施。
(4 D 级(薄弱型:内部控制的运行存在较大的缺陷,企业风险极大,必须马上纠错,并执行纠正措施。
(5 E 级(休克型:内部控制的运行紊乱,错漏百出,企业面临重大危机,必须立即彻底整顿。
10 最终判定缺陷10.1 由审计组长,根据审计评价标准对审计对象的内部控制运行情况,做出健康指数等级的初步判定结论。
【关键控制点】:(1审计条款的缺陷判定必须严格依据表1的要求进行;(2初步的判定结论必须符合表3的要求;(3审计组长需召集审计组成员,针对重大缺陷和重要缺陷的审计发现进行讨论;讨论确定后,再将初步的评价意见写入到《内审报告》中。
【涉及记录】:(1《内审报告》(2《审计工作测试程序》10.2 由审计组长将《内审报告》提交给内审部负责人审核;内审部负责人对控制缺陷和评价结论审核通过后再提交给董事会秘书审批;最后再呈报给总裁和审计委员会审批会签。
通过后正式发布。
【关键控制点】:(1当内审部负责人对缺陷的判定和健康指数的评定结论有异议时,应组织审计组成员召开会议讨论确定;(2重大缺陷的认定必须经由总裁和审计委员会审批后,方可最终确定。
【涉及记录】:(1《内审报告》11 使用系统及工具本操作流程使用的系统及工具如下列示:(1 电脑;(2 OA系统。
12 关键控制点按照各条款的【关键控制点】执行。
13 流程图13.1 评价操作流程图:见图2;图2 评价操作流程图13.2 缺陷判定流程图:见图3。
图3 缺陷判定流程图14 跟踪验证评价标准运行过程,内控部门管理人员通过内审、关键部门管理人员通过管理检查、关键岗位人员通过运行检查、验证并发现SOP缺陷:(1对于重要或紧急的缺陷,内控部门应督导、关键部门应负责尽快组织修订;(2对一般性缺陷或非紧急的改进意见可提出书面报告交内控部门适时修订。