海尔电器公司内部审计控制指引手册(编辑修改稿)

海尔电器公司内部审计控制指引手册(编辑修改稿)内容摘要：

理层 与 公司 管理层建立良好有效的工作关系，对内审来讲是十分重要的。 但这不能影响到另一重要的原则，即保持内审的独立性。 [外部审计师 ] 为了有效地利用审计资源，内审应与外部审计师定期进行会谈，分享审计发现，并一起讨论审计计划以确保涵盖到所有已达成共识的风险领域。 5．审计规划 风险评估工作主要有以下两部分： I)风险的识别；及 II)风险的评价 I)风险的识别可以通过以下方法取得： 问卷调查 与有关人员的访谈 通过工作坊作集体讨论 II)风险的评价主要是综合考虑已识别的风险的影响程度和 可能发生性，以下是评价风险影响程度的指引： 以下是评价风险可能发生性的指引： 年度审计计划应主要针对关键风险、业务流程以及平衡 公司 的各类业务活动。 审计计划的制定应考虑到管理层和审计委员会对审计范围的期望。 制定审计计划的目的是要确保能经济有效地涵盖 公司 所面对的关键风险。 随着 公司 业务的不断扩，灵活的审计规划方法是至关重要的。 年度审计计划通常是由内审主管在部门经理的配合下来制定的。 内审的每一项工作都应作适当规划。 个别项目的计划可由内审人员来完成。 审 计项目计划的内容因项目而异，但是项目计划应至少涵盖以下内容： 确定该项目的审计目的。 确定该项目的工作范围。 安排与管理层的会谈，以确定审计项目的时间和计划。 确定开展该项目所需要的内部审计相关资源。 确定审计项目小组与成员在该项目中需要达到的目标。 对被审计项目背景资料的搜集。 既定目标应确保审计考虑了所审流程或领域中的最重大的风险。 审计职权范围应在现场工作开始前先发给被审计单位。 第。 不可 能对每一类项目都作出细致的规定，内审人员应就个别项目制定该项目工作所需要做的具体工作计划方案。 6．执行审计 审计项目工作范围初步指出了审计的主要业务流程、系统以及需要注意的风险。 审计方案的目的是要更详细地列出在每个领域中所要进行的具体工作。 这可能需要更详细地考虑特定领域的风险，以确保审查工作重点是正确的。 审计方案应包括： 收集信息和理解流程 控制评估 控制测试 除了确保达到审计目标，审计方案也提了： 分配工作的基础 工作完成的记录 实际工作与计划之比较 审计方案注重测试重 大风险的有效控制点。 对于无效的控制点，无需进行审计测试。 信息采集过程主要包括： 了解整体的管治结构 记录相关人员或团队的作用和责任 对所审查的系统和流程进行文档记录（例如，流程图、系统说明等） 了解管理层如何评估绩效 一旦与管理层讨论并识别出风险之后，就需要识别出每个风险的控制点。 进行控制点评估时可以考虑以下问题： 该控制点是用来防范风险的，还是辨识风险的。 是人工控制，还是系统控制。 控制点是否有效。 （如果只有这一个控制点能运作，它是否能缓解风险。 如果连同 其他控制点一起是否能缓解风险。 ） 需要进行穿行测试来确认对流程和控制点的认识。 这包括观察整个流程的运作，以及追查测试一笔完整的反映整个流程的交易。 现场测试包括了审阅管理层使用的汇结果，选择样本以进行详细的检查 ,以及采用计算机辅助审计技术。 测试技术 下表对不同的测试技术进行了汇说明 样本选择 有效审计，就是尽可能用少量的样本得到尽可能最大的保证。 必须在所选样本的基础上尽可能得出确的结论。 当发现控制失效时，应当进行更详细的测试，以确定该问题的程度和规模。 如果没有证据显示控制无效， 则无需进一步测试，除非有存在其它问题的迹象。 [样本应当随机抽取。 ] 样本的多少还取决于所审查的控制点是 辨识性 的，还是 防范性 的。 辨识性的控制是用来确定是否有问题发生。 这类控制是事后的，通常数量有限。 这种情况下，就有可能作全部测试。 而防范性的控制，如发票的审批，是用来在第一时间阻止问题的发生。 由于可能存在大量的发票，所以就需要选取少量样本来做测试。 进行测试时，必须确保得到充足和可靠的证据以核实控制的有效性。 如果测试显示控制并不如预期所想的样，则可以采取以下三个步骤： •了解发生控制例外的性质（例如， 是特例或个别例子还是重复发生的，失效的原因） •延伸测试 核对例外的解释是否属实，或决定例外的影响有多大 •考虑是否存在其他控制可以弥补这一风险 分析性复核 •确立测试的目标 •设立并记录预期的结果，作为评估比较实际测试结果的基 准 •进行数据分析 •评估结果 包括评估问题发生的原因，决定是否需要进一步调查，以及最终确定和记录结果。 计算机辅助审计技术 (CAATs) 计算机辅助审计技术在测试大量交易或全部对象时十分有用。 采用该种技术时，需要事先做好计划，以确保数据处于可读取的格式。 计算机辅助审计技术包括比较实 际与预期数据，以及提系统内审计的综合报告。 工作底稿是制作审计报告的基础，应当遵守认可标并保持专业性。 工作底稿应达到以下目的： •记录已进行的工作和收集到的证据 •提所遇问题的详细情况 •呈现有条不紊的工作方法 •支持审计报告的结论和建 •便于审阅 •为下一次审计提背景介绍和参考资料 •便于与被审计单位进行讨论 工作底稿必须易读、清晰、简洁、客观，还应对工作底稿进行编号、附上日期、签名，工作底稿间相互参照、保持相关性 ,并且参照源头文件。 透过工作底稿，要能使之前不了解所审 领域的审计人员也能 得出与实际审计人员一样的相同结论。 审计人员应当清楚了解所有内审文件都可能会受外部审计师查阅。 将审计问题转成报告草案要点的过程应融入于整个审计过程中，而不只是停留在审阅工作的最后阶段才草拟。 所提出的每一个审计问题都应具备： •基于事实的对审计问题的陈述 •审计问题的后果 •审计人员的初步建 议 •管理层对审计问题及建 议 的回复 •整改负责人 •完成整改的期限 在审计过程中，当发现审计问题时，即当起草 审计发现和影响 以及相对应的 建 议 ，并与管理层进行讨论。 还应在审计文档中记录下具体的同 意日期以及同意人名字。 在结束现场工作后、出具报告草案之前，审计经理应当对审计工作进行全面的审阅。 如有问题需要跟进，则可以在出具报告前进行。 若审计经理能在整个审计进行的过程中保持及时的审阅则更为理想；这样可以避免一直等到正式审阅后才发现重大问题需要作重新或追加审计。 当审计结论为 控制不佳 时，内审主管需要审阅全部审计文档，且需要在出具报告草案前完成。 对于其他审计结论的项目，内审主管也可抽样审阅部分，以此作为内审部门质量保证过程的一部分。 向管理层出具报告草案， 被视为现场工作的完成。 到此阶段，应完成对每个审计发现都有提 出建并得到管理层回复，完成报告摘要，以及同管理层召开过闭幕会讨论报告。 审计管理层还应完成对审计文档、审计发现及报告草案的审阅。 理论上讲，从报告草案到最后定稿的变动应该不多。 因此在日程表上，从召开闭幕会讨论报告到出具报告正稿，只安排了 [5]个工作日的时间。 审计项目的基本原则同样适用于内审部门所开展的其他类型工作。 尤其是，对工作要清楚地加以规划和理解；要做适当的文字存档；审计经理要审阅工作，任何问题要恰当报告。 专项审计分两个主要阶段，初步健康检查和详细的项目审查。 积极主动地管理与重要的或战略性应商之间的关系是至关重要的。 只有当合同管理 部门具备充足的应链管理技能时，公司才可能提高与应伙伴合作所带来的价值。 7．报告及其他形式工作成果 （ 1）审计报告述需对所发现的重大审计发现进行汇；（ 2）重大审计发现的数量将有助于决定报告的结论。 在决定某一审计问题的重大性时，审计人员应当考虑该问题的财务后果、对企业声誉或技术所产生的影响。 给管理层和其他重要接收者的报告被 称为 审计报告正稿。 在出具审计报告正稿前，需要经审计经理和审计主管审阅。 报告会以摘要形式，作为机密文件的一部分呈交给审计委员会。 只有经过内审主管明确的书面批，方可将报告副本发给分配名单以外的人员。 审计报告应由负责执行项目的项目经理发出，报告首页应印有内审主管的名字。 有必要在审计报告中给出结论的，可选的结论有： 控制有效 没有发现审计问题或只是几个小问题。 只有在特殊情况下才会给出这种结论。 而最 常用的正面评论则是 控制适当 控制系统整体有效，但仍可以略作加强 有待改进 控制系统没有有效地运作， 需要采取行动来适当地加以改进 控制不佳 存在重大的可能性会造成会计或其他控制崩溃，需要立刻引起关注 所有报告要发给： •被审计单位的负责人 •公司董事会 •审计委员会 •首席执行官 •首席财务官 报告的其他接收者要视具体审计范围而定。 报告编号应按 XX/YY 的格式来编排。 XX 代表项目流水号（在规划调度阶段派发的）； YY代表审计年份。 最终的审计报告则加上后缀 F，代表定稿。 闭幕会的目的是要就审计报告草案的内容与管理层达成共识，告知管理层下一步审计工作安排。 审计报告草案应在结束会后 5个工作 天内发出。 管理层则有 5个工作天的时间在发表审计报告正稿前对修改草案给出意见。 除执行现场工作的审计人员外，审计经理最好也能在场参加闭幕会。 [若报告结论为 控制不佳 ，则内审主管也应参加闭幕会。 ] 作为最低指引，落实每个审计发现行动计划的最终责任人应被邀请参加结束会。 当内审希望引起管理层对某一问题的关注，但又不适宜出具正式的审计报告时，可采用审计咨询说明。 所有此类说明都须经过内审主管的。