【正文】 律、法規(guī)及標準而對公司的誠信受損，導致對公司名譽的損害，法律或監(jiān)管制裁，或財務損失的風險。 影響及可能性的分數(shù)應在風險足跡中標繪以取得整體風險影響分數(shù)（嚴重、高級、中級和低級）和每個風險的顏色（紅、橙、黃和綠）。然而，管理層應制定行動計劃確保及時降低風險以避免情況惡化。 自動: 自動控制發(fā)生在沒有人員介入，植入軟件程序以預防或發(fā)現(xiàn)未經(jīng)授權的交易，或允許交易的處理。使用以下標準評估控制有效性的高級、中級和有限的：高級有效：可以依靠自己本身來降低風險的控制。評估關鍵和非關鍵控制的目的是為了關注重要的控制以幫助提高審計測試的效率和效果。發(fā)現(xiàn)的問題應記錄在問題及缺陷表上，與相關的風險/控制矩陣互相進行索引。測試目的應直接從關鍵控制登記表/測試工作表的控制描述中獲得。 重新執(zhí)行 – 此方法包括審計人員重新全部或部分執(zhí)行被審計單位的運作。 第二十五條 確定抽樣方法 本步驟的目的是評估和記錄通過抽樣獲取的審計證據(jù)的充分性。相應的，它也不大可能說明從測試結果中獲得的保證的水平。期望可信賴的水平越高，需要測試的樣本就越多。如果這樣，審計小組應將這種情況記錄在審計工作底稿中。 控制運行有效性的過去經(jīng)驗？ 如果過去控制衰弱，應有足夠多的樣本量來決定現(xiàn)在的控制是按照設計運行。為進一步防止偏好，審計小組在選擇樣本前可以確保樣本總量是隨機排序的。但是，如果樣本是空的，應選擇替代樣本進行測試。 第二十六條 評估測試結果 本步驟的目的是： 注釋：測試結果 單獨的例外情況 – 測試發(fā)現(xiàn)一些例外情況，通過我們擴大樣本測試或其他進一步調(diào)查，審計人員斷定是單獨的例外情況，及在主要部分，控制運行有效。 三、了解及記錄根本原因 為了了解控制例外的屬性，識別導致例外的原因很重要。例如，可能有一條特定的公司制度沒有遵循；相反的，過度控制的區(qū)域可能導致控制及運行資源的重新組合和分配。 審計重大判斷及結論是適當?shù)?；? 第二十八條 結束會議 本步驟的目的是確保：重要意見的行動計劃應由審計人員進行追蹤。管理層應在收到審計報告初稿后一周內(nèi)，回復主要管理層行動。 審計結果。應盡快制定降低風險的重要措施。每條發(fā)現(xiàn)應與審計過程中一個特定的流程或職能相關聯(lián)。如果到期日與發(fā)現(xiàn)的風險級別不協(xié)調(diào)，應與管理層討論。如果到期日與發(fā)現(xiàn)的風險級別不協(xié)調(diào)，應與管理層討論。 注釋：查核發(fā)現(xiàn)組成的相關技術資料查核發(fā)現(xiàn)表包括以下資料：標題：簡短的描述發(fā)現(xiàn)； 發(fā)現(xiàn)：發(fā)現(xiàn)的描述應揭露問題的適當原因。 影響：如果發(fā)生，影響有多大？每一項查核發(fā)現(xiàn)同樣需要給管理層一個匯總的解決發(fā)現(xiàn)的行動的建議。對主要控制缺陷及風險等級的描述。 健全。 第三十二條 審計報告的內(nèi)容和格式 一、審計報告封面 審計報告的封面應將審計項目名稱，報告日期，報告編號明確地表達出來。 第二十九條 審核報告 審計負責人完成起草審計報告后，應將審計報告初稿提交高級審計經(jīng)理審核及修改。應盡可能避免關于存在風險的不同意見。 復核要點應被記錄及通過清理來確認。復核應確保： 運行有效性測試的結果應與管理層分享并取得他們的同意。這可以在報告的時候，幫助確定問題的嚴重性；應避免選擇沒有代表性的樣本。 第三方產(chǎn)生并直接提供給我們的證據(jù)比第三方產(chǎn)生而由被審計客戶持有的證據(jù)可靠。分層是在抽樣前將樣本總量中相類似的歸成一個組。換句話說，一個程序與管理層描述的為了達到控制目標的差異的頻率。審計人員需要定義抽樣的間隔。 風險的等級？ 風險產(chǎn)生的影響及可能性？風險影響大的區(qū)域依賴控制較重，可能需要增加樣本，對控制環(huán)境提供適當?shù)谋ＷC。 注釋：測試周期 測試周期應考慮以下因素： 注釋：統(tǒng)計樣本量 影響樣本量的因素有以下兩個： 需要精確及確信的推斷結果； 測試的根本特征； 檢查 – 通過檢查或盤點資產(chǎn)、及閱讀、追蹤、審核支持性文件、比較及核對記錄來獲取證據(jù)。 如果當一個關鍵控制只有與其他控制在一起時才被評估為有效，那么，這些控制都應得到測試； 確認識別的任何控制差距或過度控制的地方，及 他們的重要性和行動計劃；如果是這樣的話，該控制應被視為一個關鍵控制。 關鍵和非關鍵控制都可以使用關鍵控制登記表/測試工作表。一個好的例子是雙重簽核一份合同。如果沒有預算，應安排專項資金。每5年一次 （二）固有風險 固有風險指在沒有任何控制去管理一個特定風險的情況下該風險可能導致的危險。內(nèi)部欺詐包括公司內(nèi)部至少一個人參與犯罪或欺詐行為而引起的損失。保險風險保險風險可以如下分類: 流程文字描述工作表見附件5。第三章 業(yè)務流程分析 第十八條 審計范圍及業(yè)務系統(tǒng)描述 審計部門應全面了解業(yè)務系統(tǒng)，以便深入了解審計領域及其相關的業(yè)務風險。 年度審計工作計劃詳見附件2。審計執(zhí)行循環(huán)如下：第二章 審計業(yè)務計劃 第七條 年度審計計劃目的 審計部門須對每一年度的審計項目安排年度審計計劃。 第二條 審計組織 公司設立審計部，作為專職的內(nèi)部審計機構。項目編號以年份加順序號組成。應咨詢法規(guī)遵循主管，考慮是否有特殊監(jiān)管約束需要在審計過程中引起注意。審計人員必須充分了解上述各系統(tǒng)的運用以及各系統(tǒng)間的連接，如有必要，可請資訊技術審計人員協(xié)助。審計小組應通過充足的詢問，以確定所描述的控制是否被常規(guī)執(zhí)行。 人身及物理安全風險 與公司房產(chǎn)或可移動資產(chǎn)保護相關的風險，包括第三者的進入，盜竊，火災，貴重物品的保護，安全器材的可用性及用品持續(xù)的供給。標準業(yè)務單位每年一次 低級風險對業(yè)務目標和/或價值驅(qū)動力的影響是忽略不計的。 依靠人工/IT: 這些控制同時有人工和自動元素。 中級有效 ：能很大程度降低風險，但不能完全降低風險的控制。 五、與被審計單位確認設計評估 風險和控制評估應與管理層分享。行動計劃應包括執(zhí)行的完成日期和負責人。行動應明確和直接為了獲取證據(jù)（核查/證實等）而不應含糊不清（審閱、了解、討論等）。它只有在審計人員需要確保計算或記數(shù)的正確性情況下使用。 一、識別和定義規(guī)模 測試控制時，先識別和定義控制發(fā)生的頻率（樣本總量）。 三、考慮非統(tǒng)計抽樣 使用非統(tǒng)計抽樣時，審計小組應將決定選擇非統(tǒng)計抽樣的原因記錄在關鍵控制登記表/測試工作表中。 可容忍錯誤率定義了在控制被認為是有效的之前，能容忍的與描述的控制程序的差異數(shù)量。 注釋：減少測試 樣本量和測試深度根據(jù)期望可信賴的水平及控制運行的頻率決定。 注釋：非統(tǒng)計抽樣 偶然選擇顯示沒有故意偏好包括或不包括規(guī)模中的某些項目。 注釋：價值加權抽樣 價值加權抽樣是根據(jù)屬性測試的理論，但用于實質(zhì)性測試。 根據(jù)測試結果得出與審計目的有關的結論； 不滿意結果 – 測試及隨后的調(diào)查顯示例外情況足夠使得我們得出控制沒有得到可靠運行的結論。根本原因分析使審計小組能夠與運營單位一起了解發(fā)現(xiàn)的例外情況的原因。 審計人員應建議管理層應該采取什么行動去解決問題。行動計劃應包括執(zhí)行的到期日和負責人。 執(zhí)行的工作，結果和結論被充分的記錄。 結論及建議已與適當審計客戶進行了討論；行動計劃應包括執(zhí)行的期限和負責人。 在收到管理層回復后，審計報告定稿。 （一） 背景資料 背景資料部分的編制如下： 審計范圍審計部從XX開始，對公司進行了XX作業(yè)的內(nèi)部審計工作。充足揭示出的控制薄弱對該領域的風險影響是有限的。查核發(fā)現(xiàn)應按每一流程或職能的次序合理編排。如果有必要，應在執(zhí)行摘要中報告。如果有必要，應在執(zhí)行摘要中報告。如果管理層和審計人員的觀點不能一致，應報告上一層級。 可能性：影響發(fā)生的可能？ 如，一個充足的審計意見可以編制如下：總體意見 充足審計部對審計時XX作業(yè)的內(nèi)部控制環(huán)境評定為“XX”，也就是說，揭示出的控制缺陷對該領域的風險影響是XX。 充足；結束會議日被定義為現(xiàn)場工作結束日。審計負責人應確保審計報告必須客觀，準確，完整，簡潔。在一些情況下，管理層會否認一些風險。經(jīng)理或指定負責人個人通常通過在每一張工作底稿（通常第一頁），每一部分的頭一張工作底稿上簽名和注明日期以證明他們的重要復核。 注釋：工作底稿復核目的現(xiàn)場工作中復核工作底稿的目的，應確保任何現(xiàn)場發(fā)現(xiàn)問題能在現(xiàn)場工作結束前得到解決。 注釋：評估暴露的剩余風險 一個考慮固有風險及當前控制（結合在一起）降低該風險的總體充足性的評估，可以用來使審計人員能夠?qū)⑹Ｓ囡L險的影響分類為嚴重、高級、中級、低級。 描述問題的先后次序，包括相關量化的評估（財務的或非財務的）及/或任何法律/法規(guī)、客戶或品牌影響的詳細資料。這可能由于在一個限制的期間或一個特定的部分選擇測試樣本，而例外情況正好存在于其中而產(chǎn)生。 書面證據(jù)比口頭證據(jù)可靠；當子總量相當多樣，每一層獨立抽樣是有利的。通?？刂朴行允峭ㄟ^測量控制程序沒有發(fā)生的頻率來測算的。 系統(tǒng)抽樣可使用在一個樣本總量中的物質(zhì)單元或貨幣單元。審計人員的判斷始終是重要的。 四、選擇樣本量 在關鍵控制登記表/測試工作表中評估及記錄合適的樣本量。 規(guī)模超過了定義的最低交易量（如5,000件交易），與審計經(jīng)理溝通確認最低交易量； 樣本選取的方法；當確認員工培訓及技能水平時，審計人員應考慮審計人員在場的情況下對控制運行表現(xiàn)的影響 – 如，如果審計人員不在場，該控制運行是否如此徹底。 如果一個關鍵控制被評估為設計有效，應得到測試； 確認每個風險的控制設計評估；及,此外，審計人員應考慮是否該控制的失敗會導致剩余風險水平到嚴重、高級或中級。 記錄關鍵控制的測試（步驟和測試結果）。 一、 識別及分類控制 （一） 控制類型 每個評估的風險，審計人員需要根據(jù)他們的時間和性質(zhì)，識別、分類、記錄及評估與該風險相關的控制： 時間：