完善内部监督体系：内部审计实务指南

各类企业、各级政府机关同其他单位内部的审计人员在进行内部审计工作时，需要按照一定的准则，这就是所谓的内部审计准则。内部审计的基本原则是内部审计工作的重要基础，是主要纲领，是内部审计工作人员在工作时需要遵守的基本规范。它对内部审计工作的质量和效率起着重要的推动作用，无规矩不成方圆，必须要遵守基本规则，才能完成工作。内部审计机构和人员在进行内部审计时，必须要遵守内部审计实务指南，而这一指南是根据基本准则和实际情况而制订的，对于内部工作人员来说具有可行性，可以为他们提供较强的指导意见。

一、内部审计具体准则

内部审计具体准则的权威性相对于基本准则来说要低一些，但比起实务指南要高一些，也具有一定的约束力。为了更好地进行审计工作，中国内部审计协会在2003年便对具体准则进行了全面的修改，并在第六届常务理事会上通过且得以实施。具体准则的分类主要有三种：第一是作业类，第二是业务类，第三是管理类，如图2-2所示。三类准则汇聚起来一共有20个具体准则。

具体准则的编码是2000，而在具体准则之中，内部审计的作业类编号是2100，从2101号到2109号；而业务类编号是2200，从2201到2204号；管理类的编号是2300，从2301号到2307号。千位数代表准则体系中的具体准则，百位数代表具体准则中的该项类别准则，而个位数则代表该项准则在该项类别中的序号。

图2-2　内部审计具体准则分类

（一）作业类具体准则

作业类具体准则从2101号到2109号，一共有9项具体准则，依次为：审计计划、审计通知书、审计证据、审计工作底稿、审计结果沟通、审计报告、后续审计、审计抽样以及分析程序9项内部审计具体准则。

1.审计计划

为了完成审计任务，内部审计机构和设计人员会根据审计项目作出相应的审计规划，即审计计划。原本的审计计划分为年度审计计划、项目审计计划和审计方案三个层次，这三个层次层层递进。后来国家对审计计划进行调整，将原审计计划调整为年度审计计划和项目审计方案两个层次，并将有关内容进行了优化整合。

所谓年度审计计划，指的是在年度预期要完成的任务和相应的工作安排，是年度工作计划中的一个重要组成部分和主要环节。项目审计方案是对所提出的审计项目作出具体的规划，之后对其中涉及的人员和时间也会作出相应的调整和安排，并且根据这些内容设定具体的审计目标、具体的任务和时间、工作中所需要的审计资源以及在审计工作结束后的后续工作安排。

内部审计机构的编制要在年度审计计划之前，应该要重点调查与审计工作相关的重要情况以及审计工作的风险状况，如组织性的战略目标、年度目标、业务活动、相关业务活动的重大影响、相关内部控制的有效性和风险管理水平；近期的活动变化和复杂性变化；相关人员近期的岗位变动以及工作人员的工作能力及有关的其他项目的重要情况。

2.审计通知书

审计通知书，指的是在实施审计工作之前，通知被审计单位或被审计人员的书面文件。审计通知书的目的是：知会，表达对被审计对象的尊重；交代事项，促进沟通和获得支持，进而促进审计工作开展；权威，表达公司高层的重视程度。通常情况下，审计通知书需要有审计项目的具体名称，以及接受审计的单位和人员姓名，审计的范围和审计内容，接受审计的时间，以及需要被审计单位提供的帮助，审计组长以及审计工作人员的名单，内部审计机构的印章和签发日期。

要尽可能让审计通知书既有权威，又有感情。比如，各种项目都应该表达对支持和理解的感谢；有时年末，销售部门为了冲业绩，其数据就会有一定的水分，可以通过对数据的整理和分析来探究其中的真实程度，这种情感沟通，主要是为了拉近距离，缓和矛盾。

内部审计机构应该至少在开始工作三天前，将审计通知书送达具体单位，并给予其充分的准备时间。

3.审计证据

对于内部审计而言，其工作人员可以根据相应的审计程序来证实审计事项，可以支持审计结论的具体事实被称为审计证据，它适用于大部分组织的内部机构和内部审计工作人员的日常内部审计活动。审计证据的获得，可以通过和其他组织人员合作，也可以通过对其他组织人员进行聘用，共同参与审计工作。

审计证据的来源有很多。比如，会计记录是重要的审计证据来源；被审计单位雇用或聘请的专家编制的信息也可以作为审计证据；审计证据既包括支持和佐证管理层认定的信息，也包括与这些认定相矛盾的信息；在某些情况下，信息的缺乏（如管理层拒绝提供注册会计师要求的声明）本身也构成审计证据，可以被注册会计师利用。

审计证据在整个审计报告中所扮演的角色是十分重要的。

审计证据作为审计意见的支撑点，是审计人员作出审计结论的基础，也是追究审计人员责任的依据，还是检验审计工作的关键。

内部审计人员获得审计证据的方式也有很多，可以通过访谈调查，也可以通过监管，但并不仅限于这些，只要在法律允许范围内的都可以。

4.审计工作底稿

编制审计工作底稿有利于在审计过程中形成审计工作记录，并整理获取的资料。它形成于审计过程，也能反映整个审计过程。审计工作底稿是内部工作人员在审计过程中的工作记录，是自然形成的。

审计工作底稿的作用有：可以给审计报告提供有效依据；可以证明审计工作的实际性；可以提高审计工作的工作质量；可以有效查看内部审计机构和内部审计人员是否有遵循内部审计准则；可以为之后的审计工作提供有效的参考。

审计工作的底稿应该保持内容和结构的完整性，要有明确的结论，要客观地反映审计方案的实际情况，并给出审计结论。

审计工作底稿通常包括：审计工作底稿的标题、审计过程记录、审计结论、审计标识及其说明、索引号及编号、编制者姓名及编制日期、复核者姓名及复核日期、其他应说明的事项。

5.审计结果沟通

审计结果沟通，就是内部审计机构同被审计单位之间的沟通。审计单位对于被审计单位审计过程中所遇到的问题、所审计的结果，根据审计依据、审计发现和审计结论等，进行沟通和交流，并提出一些指导性意见。沟通的目的是提高被审计单位的工作质量，也为了提高审计工作的质量。

内部审计单位要同被审计单位、组织和管理层进行科学性的沟通，双方充分理解，听取有效意见，才能提高工作效率、提升工作质量。内部审计机构负责人要与管理层对审计过程中发现的重大问题进行及时沟通，以避免问题扩大。

6.审计报告

简单来说，审计报告是由会计师事务所的注册会计师对公司年度或者季度的财务报表是否按照规定编制并按照公允反映的书面证明文件，是反映公司及其他机构（企业、机关单位等）真实财务报表的第三方的有效专业的证明文件。审计的编制要符合一些具体要求。审计报告要求实事求是地反应具体事实，要涵盖审计工作中所发现的问题，逻辑思路清晰，使看审计报告的人一目了然，要充分考虑到审计项目中的重要性和风险水平，要对其中的重要事项和重要观点进行说明，可以指出被审计单位的缺陷和不足之处，帮助其改正。审计报告的主要内容有标题、收件人、正文、附件、签章、报告日期以及其他内容。

审计报告的正文主要由六部分组成：一是审计概括，可以分为审计目标、审计范围、审计内容以及重点、审计方法、审计程序和审计时间；二是审计依据，即在审计过程中用到的相关法规和准则；三是审计发现，审计发现就是对审计过程中发现的被审计单位的一些具体问题和具体表现；四是审计结果，审计结果是对考察事实的结构陈述，风险评估和管理等；五是审计意见，就是对审计结果所提出的指导性意见；六是审计建议，即对审计过程中发现的主要问题所提出的内部控制和风险管理的意见。

后续审计、审计抽样以及分析程序在比不再详细论述。

（二）业务类具体准则

业务类的参照准则，主要是国家出台的第2201、2202、2203、2204号内部审计具体准则，具体指的是内部控制审计、信息系统审计、绩效审计、对舞弊行为的检查报告。依照这四个准则标准，开展内部审计的业务。

1.内部控制审计

内部控制审计是一种审查和评价活动，审查和评价的对象是内部审计机构对设计和运行的控制有效性。内部控制审计具体分为两部分：一部分是全面内部控制审计，指的是全方面地对所有的组织活动进行内部控制。内部控制的内容包括控制内部环境、控制具体活动、控制风险评估、控制内部活动、控制内部监督。另一部分是专项内部控制审计，指的是对具体组织内部要素、具体业务、具体活动环节的内部控制审计。

内部控制审计的内容主要从组织层面和业务层面作出了具体的规定。在组织层面上，内部控制审计的内容应参考《企业内部控制评价指引》，以内部控制审计的五部分为基础，在按照指引打好基础后，力求达到《企业内部控制基本规范》和配套指引所要求的标准。另外，内部审计机构可以按照规范和指引的规定标准，全面地从控制活动、内部环境、信息与沟通、风险评估、内部监督五个方面，对内部审计机构组织层面的内部控制进行设计和运行情况的评价和审查。

内部审计工作人员应当严格遵守《企业内部控制基本规范》和配套指引对内部控制审计所作出的相关规定，根据规定开展内部环境要素审计。审计工作的开展在遵循实际事实的基础上，还应该注重组织结构、人力、文化氛围、未来发展规划、社会责任与义务等方面对审计的影响。(www.xing528.com)

内部审计工作人员应当严格遵守《企业内部控制基本规范》和配套指引对内部控制审计所作出的相关规定，开展控制活动要素审计。在进行审计工作时，应该结合具体情况和事实，从运行和设计两方面开展控制活动的评价和审查。尤其应注意在运行和设计方面，审计委员会内部审计机构监事会是否发挥了监督作用；在业务层面的设计和运行情况方面，应该对采购业务、销售业务、担保业务、资产管理、合同管理、研究与开发、工程项目、全面预算、业务外包、信息系统等方面重点关注。

内部控制审计人员在明确审计内容和重点时，应该结合内部控制的自我评估报告，全方位地开展内部控制审计工作，具体开展计划为：①编写项目方案。②分为具体小组。③组织开展现场审查。④找寻认定控制缺陷。⑤总结审计结果。⑥编写审计报告。

2.信息系统审计

信息系统审计指的是由内部审计机构和工作人员开展的一种审查评价活动，审查和评价的对象是组织内部的信息系统和有关信息技术的内部控制及流程。信息系统审计的目的是通过评价和审查信息系统，对当前的信息系统管理提出工作意见和建议，帮助工作人员解决存在的问题，为未来的工作开展提供宝贵的建议。

信息系统审计工作的开展需要工作人员掌握与审计相关的专业知识和技能，如果遇到审计人员无法解决的复杂问题时，可以寻求专家学者的帮助。除此之外，审计工作的开展可以是独立的，也可以结合其他审计工作共同开展。在进行审计工作时，应该注意，当作为综合内部审计项目的一部分开展工作时，应该及时将所获得的审计证据与其他审计工作人员进行交流沟通，及时调整内部审计项目的审计重点、目标、范围、性质、时间等因素。

内部审计工作人员在进行信息系统审计时，应当以风险基础审计方法开展工作，全方位地评估信息系统审计的风险。内部审计工作人员在开展审计工作时，应该善于应用审计方法，可以独立使用某一种审计方法，也可以综合运用审计方法。总而言之，为了审计工作能顺利开展，可以结合实际选择具体符合实际需求的审计方法，待审计方法确认后，应按照业务流程，进行审计证据的获取工作，通过审计证据评审内部控制的有效性。可使用的审计方法有：①对有关控制人员进行询问审查。②具体查看和了解内部特定控制的运用情况。③利用信息系统的特性，进行穿行测试，对信息系统中的交易处理过程进行追踪。④审阅文件、报告、计算机文、日志。⑤使用计算机辅助审计工具、技术。⑥登录信息系统开展系统查询。⑦验证系统控制、计算逻辑。⑧利用相关专业机构得出的审计结果、组织对信息技术内部控制的评估结果。⑨其他。

3.绩效审计

绩效审计指的是由内部审计机构和工作人员开展的一种审查评价活动，审查和评价的是组织经营活动。第一，效率性，具体指的是在组织经营活动中，投人资源和产出效果之间的比例关系；第二，效果性，具体指的是组织经营活动的结果与预期目标之间的比例关系；第三，经济性，指的是组织经营活动中所收获的产品质量和数量或服务，除此之外还包括其他成果所耗费的资源。

对于绩效审计的三个标准，在开展工作时，可以根据组织内部的具体情况审查和评价某一方面，也可以根据实际情况全部审查。绩效审计的主要内容有：①审查相关经营活动的效率性、效果性、经济性信息是否属实；②相关管理经营活动预期目标是否适当、相关、可行、是否完成；③管理经营活动相关的财、物、人、信息、资源、技术、用途；④关于决策、计划、控制、指导、协作等活动的效率；⑤内部控制审计和风险管理为组织项目效率性、效果性、经济性、健全性、有效性；⑥业务活动有关的研发、采购、销售、财务、生产的效率；⑦经济管理活动最后的结果能否达到预期的经济和社会效益目标，达到何种程度；⑧其余有关具体事项。

绩效审计主要从以下方面衡量审计标准：国家相关部门和行业已经成文的指标；具体法律法规的规定、要求、规范；行业内其他时期的数据或同时期的国际数据；行业内的实际操作经验、具体做法；内部组织制订的计划、预算、目标、定额。

对舞弊行为的检查报告也是开展内部审计的重要部分，审计工作人员一定要严格遵守各项规定，将这项工作落到实处。

（三）管理类具体准则

管理类的参照准则主要是国家出台的第2301、2302、2303、2304、2305、2306、2307号内部审计准则。准则的内容是内部审计机构的管理准则、审计与董事会或最高管理层之间的关系准则、内部审计与外部审计关系的协调准则、外部专家提供服务支持准则、人际关系的准则、内部审计质量的控制准则、外部审计工作的质量评价准则。下面重点介绍一下内部审计机构的管理准则和审计与董事会或最高管理层之间的关系准则。

1.内部审计机构管理

内部审计机构的管理工作指的是机构对审计工作人员和审计活动进行的有计划，有组织、有安排的控制、指导、调控。审计机构管理工作的内容，主要是控制审计工作完成预期目标；宏观调控、调用审计资源，确保资源得到充分有效利用；进行宏观分析，整体提高审计质量，尽到审计部门的责任。内部审计机构在开展审计工作和进行审计工作管理时，应该遵照一定的程序。首先，内部审计机构的领导和监督职责应该是机构的董事会，或者是最高的管理人员。其次，内部审计机构的负责人应该对机构日常管理的合理性和有效性负主要的责任。最后，审计机构在确定审计规程制度时，应该通知并报告给董事会和最高管理人员，在其许可的情况下，制定审计目标、权限、职责等。对内部审计工作而言，具体的流程应该是：确定内部审计工作的目标；明确内部审计工作的职责、权限；明确审计工作的范围；明确内部审计工作的标准；明确其他相关的内部审计工作的注意事项。

为了更好地明确内部审计机构的管理，审计机构应适当地建立多层级的组织结构，将内部审计管理变成有序的集中管理和分级管理。内部审计机构可以通过集中管理的方式也就是实行委派制和派驻制，对下级组织进行管理；还可以通过分级管理的方式，也就是审查督导的方式对下级进行管理。

内部审计机构日常所管理的内容，主要是在审计工作进行过程中，所涉及的审计计划、人力、财力、组织协调能力、审计结果质量和其他相关事宜。

内部审计机构的管理工作主要分为两部分，一部分是部门管理，也就是内部审计机构整体运作过程中需要的行政管理；另一部分是项目管理，顾名思义，就是内部审计机构在进行审计项目工作时所进行的管理。内部审计机构的管理工作需要人力资源的支持，所以为了保证内部审计机构管理工作的有效进行，需要做到以下几点：及时聘用相关审计工作人员；对聘用人员进行专业的业务培训；分配具体任务；对聘用人员的任务完成情况进行评价；建立健全审计工作人员的业绩能力考核和鼓励机制；其他人力资源相关注意事项。

2.内部审计机构与董事会或最高管理层的关系

内部审计机构与董事会或最高管理层之间的关系是指导与执行、汇报和审批的关系。董事会或最高管理层需要对内部审计机构的工作进行指导和审批，内部审计机构需要对董事会或最高管理层进行工作汇报和执行上级任务。具体而言，一般对内部审计机构有管理权利的机构为董事会、隶属于董事会的审计委员会或者其他非营利组织的理事会。

内部审计机构和董事会最高管理层之间的关系主要是内部审计机构向董事会和最高管理层汇报工作，执行上级任务。董事会和最高管理层需要指导和审批工作任务。除此之外，在有监事权力的组织中，内部审计机构也应该配合有监事权力的组织工作。

内部审计机构对董事会和最高管理层的具体的接受方式是：首先，有关审计工作的开展需要董事会和最高管理层批准许可，具体需要请示批准许可的工作内容包括：①内部审计工作的章程。②内部审计工作的年度计划。③内部审计工作的人力资源计划。④内部审计工作的财务预算。⑤内部审计工作政策的制定和相应的变动。其次，对董事会和最高管理层委派的业务主动接受并努力完成，具体可接受的委派内容包括：①对内部审计工作进行舞弊检查。②在内部审计工作的过程中实施专项审计。③在审计机构中开展相关的经济责任审计工作。④对社会审计组织的工作结果、工作质量进行评价。

除了上述工作内容需要内部审计工作和董事会最高管理层之间沟通外，还应该进行定期工作报告，沟通频率为至少一年一次，而且在工作报告中应该明确地说明与审计工作相关的情况。具体包括：计划执行情况；审计项目意见的总结；内部审计工作控制和风险的评估结果；审计过程中出现的差错总结和原因分析；工作中发现的新问题和对下一步工作的建议。

二、内部审计实务指南

为了给审计人员提供操作性强的指南，有必要根据具体的审计规则编制实务指南。实务指南属于我国审计体系准则的第三个层次。需要注意的是，这一指南并不具备强制力，它只是一个建议性文件。迄今为止，我国内审协会已经针对不同审计领域发布过了五个指南。下面进行具体阐述：

（一）建设项目内部审计

建设项目内部审计是针对企业项目在建设过程中是否合理合法进行的审计。这一审计的根本目的是促使企业的项目建设能够达到速度、质量和效益的统一。

所谓速度要求，指的就是建设进度符合预期；质量要求，就是建设质量达到预期；效益要求，即项目建设的成本和效益达到预期。

这一审计几乎包含了管理和财务审计的全部过程，不仅需要就风控、内控、效益管控给出审计意见，还要就合同产生及执行的全过程进行审计。

具体而言，这些内容主要包括项目前期立项、考察、招投标过程、合同执行、工程造价、财管、质量验收、工程后续评价等一系列项目建设活动。

当然，出于成本控制的考虑，对建设项目的审计有时并不需要面面俱到，在实践中，往往仅针对一个或几个关键环节进行审计。

（二）物资采购审计

物资采购审计是针对物资采购过程进行的。在具体的操作中，无论是采购项目的确立还是采购过程的规划，或是采购物品的质量，都在物资采购审计关注的范围内。

显而易见的是，物资采购审计存在的最大意义就是尽可能地降低采购过程中的费用浪费，提髙采购的效益。同项目建设审计类似，物资采购审计也是财务和管理审计的结合，不同的是，这一项目旨在对采购流程及其采购对象、供应商进行审计。

在实际的操作中，根据采购要求、采购量、内审制度甚至组织体制机制设置的不同，物资采购审计往往有选择地采取管理式或参与式审计。

管理式物资采购审计是将物资采购审计项目流程化、固定化，每年都相对固定地、有针对性地对某一或某些项目进行审计。采用这一审计模式的企业往往都有较为成熟的业务体系和较为庞大的业务规模。

参与式审计，相对的则是针对物资采购的整个流程进行审计，这一审计活动相对碎片化，采用这一模式的单位往往业务规模较小。