安永的内部审计培训(非常实用)

1. 询问系统管理员和IT经理程序变更的流程和控 制内容； 2. 观察系统管理员进行程序变更的过程，是否符 合控制描述； 3. 从系统中打印《系统变更报告》（从x 月到审 计日为止），随机抽取25个样本，检查其相应 的《程序变更申请表》，确定是否得到适当的 批准和变更后确认。 1. 询问IT经理其对《系统变更报告》的审核方式 和频率；如可以，观察IT经理对《系统变更报 告》的审核过程，确认其审核的有效性。 2. 随机抽取3个月，检查该3个月的《系统变更报 告》、审核纪录和后续跟踪记录，确认IT经理 审核的有效性。
2. IT经理每季度从系统中打印生成《系统 变更报告》，将报告内容和《程序变更 申请表》进行比较，确认没有未经授权 的变更。
1. 询问系统管理员和IT经理程序变更的流程和控 制内容； 2. 观察系统管理员进行程序变更的过程，是否符 合控制描述； 3. 从系统中打印《系统变更报告》（从x 月到审 计日为止），随机抽取25个样本，检查其相应 的《程序变更申请表》，确定是否得到适当的 批准和变更后确认。 M 1. 询问IT经理其对《系统变更报告》的审核方式 和频率；如可以，观察IT经理对《系统变更报 告》的审核过程，确认其审核的有效性。 2. 随机抽取5个月，检查该5个月的《系统变更报 告》、审核纪录和后续跟踪记录，确认IT经理 审核的有效性。
24 16 16 24 24 Y
Y Y Y Y
财务报告和规性
会计政策的选 择和使用 员工培训
H
H
H
John Carol
16
Y
信息系统 信息系统满足财 务报告需求
Hபைடு நூலகம்
H
H
程序设计 程序变更 系统安全 操作
John John John John
IT Li IT Li IT Li IT Li
20 20 20 20
经营绩效
职 能
法规遵循
阶段一
阶段二 渐进阶段
阶段三
阶段四
内部审计新职能
价值保护 监察
5
平衡型
内部审计职能
价值增加 咨询
交易分析 /资产保护 财务风险管理 有限
风险控制 整改
流程改进
与管理层协作 实现风险& 自我评估控制 全面 企业风险管理
相关的风险管理覆盖区
财务/审计遵 循 检测舞弊 程序分析 & 最优方法 风险咨询
50 54 48
非财务性指标 员 工 道 德 及 舞 弊
M H L M M
净 利 润
小 计
竞 争 对 手
客 户 需 求
法 律 要 求
产 品
诉 讼
操 作
财 务 报 告
财 务 风 险
人 力 资 源
信 息 系 统
合 计
总部 ABC 分公司 ABC-北京 分公司 ABC-上海
25 300 500 4,000 50
2005年度审计时 间表 第 一 季 度 第 二 季 度
Y Y Y Y Y
保 人 费 赔 投 力 收 偿 资 资 入 源
1 2 1 1 1
财 法 信 务 税 律 息 报 务 要 系 告 求 统
2 1 2 3 3 2 1 1 3 3 2 1
第 三 季 度
第 四 季 度
总部 ABC 分公司 ABC-北京 分公司 ABC-上海
管理 管理 保险业务 1. 业务增长10% 保险业务 1. 业务增长10% 1. 投资回报率提高5% 分公司 ABC资产管理 投资管理 2. 投资成本维持不变 1. 及时地数据处理 分公司 ABC数据中心 后台支持 2. 差错率0.5%
第一阶段：评估规划 – 制定详细审计计划
风险评估 控制目标 风险类别 可能性 ABC数据中心 财务报告 财务报告准确 影响 小计 子流程 组长 组员 审计人员 预计 小时 第一周
根据风险等 级，制定跟 踪计划 复检后，风 险重新评估
第一阶段 – 评估规划
风险管理贯穿于整个内部审计过程：
审 计 程 序
10
第一阶段 评估规划
第二阶 段 审计过 程
第三阶 段 审计报 告
第四阶 段跟踪 改善
步 骤 说 明
分析公司年 度目标的风 险因素 风险等级初 评 拟定审计计 划
4月3日
13
第二季度
第二周 第三周
4月10日 4月17日
略
转账分录错误 总账和明细账不符 合并范围不当 账实不符 没有及时对新业务 采用适当的会计处 理方法 会计人员不熟悉XX 会计政策 信息系统架构
L M L M L
L M H H H
L M M H M
总账流程 关账流程 会计报表编制
John Carol IT Li John Carol IT Li John Carol John Carol John
积极协助公司管理层把握机会；
协助评估资源需求及分配
从传统内审到现代内审的转变
7
传统内审
侦弊型 经济警察 复核 财务 费用型 部门型 终生制 下查一级 “鹅毛笔” 局部评价
防范型
咨询顾问 风险审计
客户 服务型
过程型
职业发展 同级审计 现代技术 整体评价
现代内审
第二部分 如何开展风险导向的內部审计
2. IT经理每季度从系统中打印生成《系统 变更报告》，将报告内容和《程序变更 申请表》进行比较，确认没有未经授权 的变更。
M
第三阶段 – 审计报告
风险管理贯穿于整个内部审计过程：
审 计 程 序
18
第一阶段 评估规划
第二阶 段 审计过 程
第三阶 段 审计报 告
第四阶 段跟踪 改善
步 骤 说 明
风险等级复 评 提出审计报 告
M
20
剩余风险 影 响
M
改进建议 合 计
M
小 计
M
信息系统 完整准确 未经授 1. 地获得、 权修改 任何程序变更，必须有使用部门填写《程 处理和维 程序 序变更申请表》，说明变更理由和变更内 护信息 容，并由使用部门经理和IT部门经理签字 批准。IT开发人员进行程序变更，并由程 序管理员将变更、测试通过后的程序放入 系统；使用部门在《程序变更申请表》上 签字确认变更结果符合要求。
50 600 -
(50) 2
L M M H L
VL H H VL VL
VL H H VL VL
L M M H VL
VL M M H VL
L M M H VL
VL H M M H
VL L L M H
VL VL VL H VL
H M H H H
VL L L M H
L M M H M
24 (30)
分公司 ABC资产管理 投资管理 分公司 ABC数据中心 后台支持
內部审计程序概论
风险管理贯穿于整个内部审计过程：
审 计 程 序
9
第一阶段 评估规划
第二阶 段 审计过 程
第三阶 段 审计报 告
第四阶 段跟踪 改善
步 骤 说 明
分析公司年 拟定审计方 风险等级复 评 案 度目标的风 险因素 执行审计方 提出审计报 告 案 风险等级初 评 拟定审计计 划
保险行业内部审计
北京，2007年4月28日
目录
1. 內部审计新趋势 2. 如何开展风险导向的內部审计
2

內部审计程序概论 內部审计程序各阶段实例说明
3. 内部审计有效性及质量控制
4. 对保险行业完善内部审计的几点建议
第一部分 内部审计新趋势
内部审计新趋势
您目前的内审工作处于哪一个阶段呢？
4
400 200 (25) 25
第一阶段：评估规划 – 制定年度审计计划
根据前面公司层面风险 评估结果，排定审计地 区、范围及时间先后
12
依据风险高低确定审计范围 （优先程度： 1高度， 2中度， 3低度 经营场 所类型 名称 主要职能 主要经营目标 公 司 治 理
1 1 3 2 2 2 1 1 2 1
程序开 系统的设计未考虑使用 发/变 者的需求或实施的不正 更 确 没有正确实施系统和程 序修改 未经授权修改程序
H Y Y Y Y Y Y Y Y L Y Y M
H
H
H H
M H
H
第二阶段：了解现有控制，制定审计方案
目标 具体 风险 控制 ABC数据中心 固有 风险
H
17
审计程序
信息系统 完整准确地获 未经授 1. 得、处理和维 权修改 任何程序变更，必须有使用部门填写《 程序 程序变更申请表》，说明变更理由和变 护信息 更内容，并由使用部门经理和IT部门经 理签字批准。IT开发人员进行程序变更 ，并由程序管理员将变更、测试通过后 的程序放入系统；使用部门在《程序变 更申请表》上签字确认变更结果符合要 求。
针对每一风险类别，确定 其具体风险事项或导致风 险发生的“触发事件”
ABC数据中心
16
在不考虑现有的内 部控制时，该具体 风险的高低
风险评估 风险类型 固有风险 合 规 性 可 能 性
目标
风险 类别
具体风险
公 司 策 略
经 营
财 务 报 告
影 响
小 计
合 计
信息系统 完整准确地获 得、处理和维 护信息
Y Y Y Y
针对公司层面风险和年度审计计划，展开至各业务单位、流程的详细审计计划。
第一阶段：评估规划 – 汇总产生风险图
职能领域 信用及贷款 存款管理 结算 投资管理 财务 / 会计 其他
总行 北京 分行 上海 分行 江苏 分行 浙江 分行 山西 分行 山东 分行 广西 分行 风险变化 趋势
14
M
剩余风险 影 响
M
小 计
M
合 计
M
信息系统 完整准确 未经授 1. 地获得、 权修改 任何程序变更，必须有使用部门填写《 处理和维 程序 程序变更申请表》，说明变更理由和变 护信息 更内容，并由使用部门经理和IT部门经 理签字批准。IT开发人员进行程序变更 ，并由程序管理员将变更、测试通过后 的程序放入系统；使用部门在《程序变 更申请表》上签字确认变更结果符合要 求。
L
L
L
第三阶段：提出改进建议
针对审计发现事项，提出 改进建议
目标 具体风 险 控制 固有 风险 审计程序 审计发现 可 能 性 1. 询问系统管理员和IT经理程序变更的流程和控制 内容； 2. 观察系统管理员进行程序变更的过程，是否符 合控制描述； 3. 从系统中打印《系统变更报告》（从x月到审计 日为止），随机抽取25个样本，检查其相应的 《程序变更申请表》，确定是否得到适当的批 准和变更后确认。 1. 询问IT经理其对《系统变更报告》的审核方式和 频率；如可以，观察IT经理对《系统变更报告》 的审核过程，确认其审核的有效性。 2. 随机抽取5个月，检查该5个月的《系统变更报 告》、审核纪录和后续跟踪记录，确认IT经理审 核的有效性。 在检查的25个程序变更中发现， 有1个变更(新增《月度预算差异 报告》）没有填写书面的《程序 变更申请表》，据和xxx(使用部 门,财务部经理)和xxx，IT部门经 理访谈后，了解到给变更为紧急 变更，由财务经理直接向IT经理 提出，但当时两人均在国外出差 ，因此没有编制申请表。 该例外事项属于控制缺陷，具体 内容见工作底稿-程序变更.xls 无



高风险 中等风险 低风险
图例
通过风险热度图迅速得出 风险的分布情况。
第二阶段 – 审计过程
风险管理贯穿于整个内部审计过程：
审 计 程 序
15
第一阶段 评估规划
第二阶 段 审计过 程
第三阶 段 审计报 告
第四阶 段跟踪 改善
步 骤 说 明
拟定审计方 案 执行审计方 案
第二阶段：确定风险因素和具体风险评估
第一阶段：评估规划 – 企业层面风险评估
通过定性和定量分析， 来评估风险水平
11
业务单位类型 和经营目标
风险评估 财务性指标 (人民币：百万） 经营场 所类型 名称 主要职能 主要经营目标 总 资 产 管理 保险业务 保险业务 管理 1. 业务增长10% 1. 业务增长10% 1. 投资回报率提高5% 2. 投资成本维持不变 1. 及时地数据处理 2. 差错率0.5% 收 入 成 本 及 费 用
第三阶段：审计后的风险评估
存在重大内控缺陷，而未 被及时发现或预防的可能 性。
目标 具体 风险 控制 固 有 风 险
H
19
审计程序
审计发现 可 能 性 在检查的25个程序变更中发现， 有1个变更(新增《月度预算差异 报告》）没有填写书面的《程序 变更申请表》，据和xxx(使用部 门,财务部经理)和xxx ，IT部门经 理访谈后，了解到给变更为紧急 变更，由财务经理直接向IT经理 提出，但当时两人均在国外出差 ，因此没有编制申请表。 该例外事项属于控制缺陷，具体 内容见工作底稿-程序变更.xls 无
持续性风险 管理
内部审计技能
内部审计新角色
从合规性内部审计，扩充至公
司战略规划、经营效率效益和 财务报告的真实准确；
6
作为董事会/审核委员会、高级
管理层、业务单位、外部审计 与主管单位间的沟通桥梁； ������
以风险为导向，结合公司目标、
风险承受能力和公司战略，并 积极协助公司管理层将风险控 制在可接受的范围內；