内部审计作业手册(doc 52页)内部审计作业手册目录第一章内部审计概述 (1)第二章审计业务计划 (4)第三章业务流程分析 (8)第四章评估设计有效性 (11)第五章测试运行有效性 (22)第六章审计执行结束 (39)第七章审计报告 (43)附件1年度审计项目列表附件2年度审计工作计划附件3 审计计划备忘录附件4审计通知书附件5流程文字描述工作表附件6穿行测试工作表附件7风险控制矩阵附件8 关键控制登记表/测试工作表附件9问题及缺陷表附件10 审计报告格式第一章内部审计概述第一条审计使命审计部门直接对公司总裁办负责，为公司管理层评估公司记录、内部控制制度、管理资讯系统及作业系统是否健全、完善、有效。

协助公司管理层发现业务发展中可能存在的风险，并提出如何建立适当的制度、内部控制系统和程序来充分地、有效地管理控制风险。

第二条审计组织公司设立审计部，作为专职的内部审计机构。

审计部的日常审计工作直接向公司总裁办汇报。

同时，审计部作为审计委员会下设的办公室，负责处理审计委员会交办的日常工作。

第三条审计的主要职责审计部门的主要职责是：一、拟定公司内部审计制度，编制年度审计计划和审计预算；二、对公司及各分支机构各项经营活动和财务活动的真实性和合规性进行监督、检查和评价；三、对公司及各分支机构内部控制体系以及风险管理体系的健全性、合理性和有效性进行监督、检查和评价，并出具年度内部控制评估报告；四、对董事及高级管理人员在任职期间所进行的经营管理活动进行审计检查；五、对公司及各分支机构经营效益等事项进行专项审计；六、对公司信息系统进行审计；七、对被审计单位整改情况进行后续审计；八、处理董事会审计委员会交办的日常工作；九、法律法规规定和公司要求的其他审计事项。

第四条审计范围审计工作范围涵盖公司全部业务。

审计部门必须在整个工作领域内，明确订立出各个需要被查核的区域，以利查核工作的进行。

审计工作范围包括一、业务审计；二、财务审计；三、合规审计（包括定期进行反洗钱和反恐怖融资方面的审计等）；四、董事及高级管理人员审计；五、根据公司管理层的要求进行的专项调查；六、公司外部有关部门（政府监管部门、股东方及会计师事务所）检查所发现的重大管理缺失事项的追踪。

第五条审计制度公司制定《公司内部审计制度》。

审计制度是内部审计的基本行为准则，是审计人员在任何情况下都必须遵守的原则。

第六条 审计程序与方法公司审计部门采用风险/控制的审计方法。

完整的审计程序包括审计业务计划，业务流程分析，评估固有风险/评价控制设计，控制运行有效性的测试/评估剩余风险及审计执行结束。

审计执行循环如下：风险评估及审计计划步骤 3: 评估固有风险 / 评价控制设计步骤 2: 业务流程分析步骤 1： 审计业务计划步骤 4: 控制运行有效性的测试/评估剩余风险步骤 5: 审计执行结束 审计执行第二章审计业务计划第七条年度审计计划目的审计部门须对每一年度的审计项目安排年度审计计划。

年度审计计划编制的目的在于：一、确保审计工作满足公司内部管理和外部监管的需要；二、使审计部门与被审计单位之间在工作安排方面协调一致；三、确保审计项目的时间和人员安排充分并且适当。

第八条年度审计计划要素年度审计计划包括将于该年度内实施的所有常规审计项目。

年度审计计划的要素包括各审计项目范围，涉及部门及项目的时间安排，包括现场工作日及审计报告提交日。

所有包含于年度审计计划中的审计项目均应编号。

项目编号以年份加顺序号组成。

第九条年度审计计划的编制程序一、审计范围和可审计单位审计工作的范围涵盖公司全部业务。

公司业务中凡被内部审计人员或外部审计人员（政府监管部门或查帐会计师事务所）认为须作查核的领域，全部包括在审计范围之内。

审计工作应以审计范围内各业务运作流程的内部控制制度的建立和执行情况为重点。

以审计工作的可操作性考虑，审计范围整体应分成若干个可审计单位。

每一个可审计单位都应该可以单独被查核，但又与整个内部审计计划相联系。

可审计单位的划分，以各项业务操作的流程为宜，不受业务部门的限制。

二、审计项目之选择根据确定的可审计单位，审计部门主管应充分考虑以下因素，确定年度审计项目，编制年度审计计划。

（一）风险高及公司策略重点的可审计单位审计次数应更频繁；（二）为确保审计项目的完整性及有效性，审计项目应涵盖业务审计，资讯技术审计及财务审计等审计范围；（三）审计项目涵盖的范围及其及时性应使内部审计工作价值最大化，并为外部审计师提供帮助；（四）每一审计项目的确定及人员安排应确保审计报告在审计工作开始后60天内发表。

第十条年度审计计划之核准内部审计部门应于每年12月底前完成下一年度审计计划，并呈报公司领导及董事会核准。

年度审计项目列表详见附件1。

年度审计工作计划详见附件2。

第十一条审计项目计划的目的每一审计工作皆须经过适当的事先规划，以确保内部审计工作能有效果并有效率地完成，同时符合内部审计部门的审计作业方法和程序以及有关法律法规的要求。

第十二条审计计划备忘录审计人员应对每一个审计项目编制审计计划备忘录。

审计计划备忘录如附件3。

第十三条监管环境审计人员应明确主要的监管机关，确保已了解监管环境，并已考虑重要的监管约束。

应咨询法规遵循主管，考虑是否有特殊监管约束需要在审计过程中引起注意。

第十四条以前年度审计发现事项为确保以前年度审计发现事项得到妥善解决，再次审计时应对以前年度审计发现事项进行追踪。

编制审计发现事项追踪表，清楚的列明所有审计发现事项完成情况。

第十五条法规遵循及风险管理关注重点与法规遵循及风险管理主管讨论他们是否有特别关注的，希望在审计过程中引起审计部门重视的问题。

第十六条初步会议每一审计项目在现场工作实施之前，应提前足够的时间开始计划。

有关审计人员应先与被审计单位的主管举行初步会议，对被审计单位的业务及业务风险进行了解，取得被审计单位主管对风险评估的看法和观点，建立沟通渠道。

第十七条审计通知的发送审计部门应在每一项审计现场工作开始前五至十个工作日内发出审计通知。

审计通知以邮件的形式发送至被审计单位的主管，同时抄送公司管理层。

审计通知由审计部门主管发送。

一、审计通知的内容审计部门应使用标准格式的受权调查范围，详述本次审计的目的，范围，方法，所需工作时间及人员，日程安排。

审计通知书的格式如附件4。

第三章业务流程分析第十八条审计范围及业务系统描述审计部门应全面了解业务系统，以便深入了解审计领域及其相关的业务风险。

可从公司内部或公司外部获得对业务系统的总体了解。

公司内部的信息来源包括以前年度审计工作底稿、审计报告、组织架构图、制度和程序、管理报告、法规遵循报告以及外部审计报告。

外部信息来源包括行业出版物、政府监管或法律方面的出版物、电视媒体以及其它电子或书面媒体。

交易处理所采用的系统整合所有的业务处理，该系统包括销售人员获取商业信息的系统、风险管理系统以及财务控制使用的内部结算及支付系统、总帐系统和管理信息系统。

审计人员必须充分了解上述各系统的运用以及各系统间的连接，如有必要，可请资讯技术审计人员协助。

审计部门对业务系统及组织架构取得了解后，应编制系统描述，并记录于工作底稿中。

对业务及系统环境取得深入了解后，便可设定审计范围。

审计部门还应向管理层获取最新的组织架构图，并归入工作底稿中。

如果管理层无法提供最新的组织架构图，应要求其编制，并将该问题做书面记录。

第十九条财务信息为评价某特定业务领域的风险等级，审计人员应获取有关业务规模、资产负债状况、业务限制以及预算执行情况的信息。

这些信息应从风险管理部门和财务部门获取。

第二十条流程图和穿行测试应对不同类型的业务流程做穿行测试，并编制流程图。

一、流程图：制作一个流程图的流程包括：（一）从现有的文档或系统用户中获取相关文件、资料及交易流，它们的制作及传送；及（二）确保所有文件及复印件以存档、处理、传送给他人或传递到另一图表的方式列示。

流程图应包括的重要项目：（一）主要输入来源；（二）使用的重要数据文件、记录；（三）重要的流程步骤，包括系统自动程序及手工输入系统程序；（四）主要产出的文件、报告及记录；（五）支持流程的IT应用程序；（六）位置；（七）部门。

流程图帮助了解流程及协助识别哪里可能发生重要错误和哪里存在控制防止或发现这些错误。

流程文字描述工作表见附件5。

二、穿行测试：在穿行测试中，审计人员从头到尾观察一个样本（一个或可能的话两个交易）以确定审计人员对系统或流程的了解，并协助识别流程中的重要控制点。

穿行测试不能使审计人员得出一系列程序已遵照执行的结论，只用于确认流程。

使用每种类型的典型交易来充分确认各流程及系统。

穿行测试应是充分的、详细的，以确认是否所描述的就是实际发生的。

审计小组应通过充足的询问，以确定所描述的控制是否被常规执行。

发现任何例外情况，应更新流程文件（流程图和文字描述）。

穿行测试工作表见附件6。

第二十一条业务流程的确认记录的业务流程是否正确，应取得流程所有者（那些流程运行的负责人）的确认，可以一起审核并讨论这些书面文件，也可以向流程所有者提供书面文件草稿并要求反馈。

任何确认的修改应在审计工作底稿中保留修改依据。

第四章评估设计有效性第二十二条识别及评估风险设计评估步骤的目的是确认并更新被审计单位的风险。

一、在对被审计单位业务有了初步了解后，审计小组应识别对达成业务目标或价值驱动力产生负面影响的风险。

识别的风险应与不同的风险类型相关联（信用、市场、业务、运营和保险风险）。

业务风险业务风险是“在一个特定的业务中”的风险，例如公司费用、业务持续性、销售额等方面遭遇与预期不同的可能性。

信用/转让风险信用风险是公司遭遇证券发行商、交易对手、借款人、中介机构的信用质量发生变化的风险。

转让风险指海外机构持有的资金不能遣返或由于政府限制，有偿付能力的外国客户或交易对手不能取得可自由兑换的货币。

保险风险保险风险可以如下分类:•死亡率风险是由于死亡的发生或非发生而引起现金流的时间和金额的偏差。

•P&C风险包括将来理赔支付的可变的规模、频率及时间，悬而未决理赔的发展和分摊损失而调整的费用。

•发病率风险是由于投保人发病率的变动而产生的理赔等级和时间的可变性风险。

市场风险市场风险是与利率、资产价格、房产价格、外币兑换率、或其它经济因素相关的风险。

运营风险运营风险是由于不足够或失败的内部流程、人员及系统或外部事件而造成直接或间接损失的风险。

它包括信誉风险，它不是直接的或是第二顺序影响运营的风险。

同样，项目风险也是运营风险的一种形式。

运营风险可以分为10种子风险类型:控制风险由于未遵循已建立的内外部业务标准或准则而发生的损失。

未授权行为风险未经授权的雇员交易、批准或者超越授权而引起的损失。

操作风险交易处理中无意的人员操作错误而引起的损失。