审计的基本流程汇总十篇

时间：2023-11-15 11:06:07

审计的基本流程

审计的基本流程篇（1）

作为一般贸易公司，在海外的子公司，也是以一般贸易公司形式运营，业务相对简单明了，那么在贸易型公司的子公司中，内部审计主要划分为哪几类呢？依据审计的目的基本可以划分为以下几类：首先，为管控日常运营风险，应定期对海外子公司的日常业务流程进行审计，可称之为“内部流程审计”;其次，对于海外子公司的关键岗位变动，需进行“离任审计”，主要包括子公司的第一负责人，及财务负责人等关键岗位;再次，根据对新市场开发的需要，应进行尽职调查的审计;针对海外特殊事项，为规避运营风险，还需要进行特殊事项审计等。

一、内部流程审计

对于海外子公司应每年就其在日常财务管理流程的严谨性及科学性进行梳理，并对海外子公司本身财务制度的全面性，科学性及执行总部下发各项管理制度的严格性进行监督及管理，这就要求总部每年均需派遣相关人员对海外子公司进行内部流程审计，一般主要分为以下几个步骤：

（一）下发内部审计通知书，告知被审计单位审计日期、审计范围并要求被审计单位在三个工作日内给予答复。

（二）根据初步了解，编制内部审计实施计划，罗列重要事项与问题。

（三）进行现场审计，与相关人员面谈，了解子公司负责人对业务熟悉度及对子公司管理的整体规划。或远程通过电话、视频等方式进行访谈。

（四）现场巡视，诸如：办公场所、仓库等作业现场，使审计人员取得初步的直观了解，可以为后续工作提供帮助。

（五）索取反映财务收支及有关经营管理活动的会计资料及其他相关资料，被审计单位应及时提供并对所提供的资料的真实性及准确性负责，对所提出的问题及重大事项提供说明和相关资料，实地审计结束时，审计人员应归还所索取的资料。

（六）审计人员执行审计业务，应当取得充分、相关和可靠的审计证据，作为审计结论和建议的依据。可以采用下列方法获取审计证据：

1.审阅复核会计凭证、会计账簿、会计报表、各项管理制度和其他与审计项目有关的文件、资料;

2.抽查盘点被审计单位现金、存货等各种实物资产;

3.实地察看被审计单位的经营场所、实物资产和有关业务活动;

4.了解被审计单位各项业务流程，分析其合理性，并执行“穿行测试”;

5.为印证被审计单位会计记录所载事项向有关单位和人员询问;

6.复核被审计单位原始凭证及会计记录中的数据;

7.分析被审计单位重要的比率或趋势。

8.将审计过程、审计证据、审计判断等记录于书面底稿中。

（七）对上次内部审计问题点进行复核，追踪整改情况。

（八）实地工作终结，应与被审计单位沟通，主要内容包括审计概况、审计结论、审计建议等重要问题，与被审计单位达成共识，初步形成问题的改进方案。

二、内部关键岗位离任审计

内部关键岗位在离职时，尤其作为海外子公司的主要管理岗位在离职时，总部应派遣权威的审计人员对其在职期间的履职情况进行审计，就其在履职期间是否存在重大违规违纪行为、是否存在重大营私舞弊行为、是否对关键工作内容进行交接等内容进行审计，主要可采取以下步骤：

（一）了解审计目的：

任职人的离职背景（正常离任审计、违纪离任审计、其他非正常原因）以及基本任职情况，结合不同背景和离职原因，制定相应审计策略及审计侧重点。

取得职位说明书，了解职位工作目标与职责。

（二）根据初步了解，编制内审实施计划，罗列重要事项与问题。

（三）与相关人员访谈，审核任职者的职责履行情况或者远程通过电话、视频等设施进行访谈。

（四）查阅相关业务资料、财务资料，审核任职期间公司或经办项目的财务状况，落实取得业绩、披露存在问题、明确责任。包括业绩目标的实现情况、所管辖事务的开支状况、公司资产负债状况、盈利或亏损状况以及项目效益状况、所签订的重要合同及其财务结果等。

（五）与相关人员访谈、查阅业务记录，审核任职期间的管理状况

包括部门或单位的组织结构建设、管理系统建设及其实施情况;人员结构、知识结构与职责的匹配性、组织系统的通畅性和效率性;管理风格是否符合发展需求;团队的信任机制是否正常等等。

（六）任职期间风险状况审核

包括管理不善或涉及违规操作导致公司存在风险或面临罚款，如项目失败风险、管理不力或违规操作涉及国家、行业法规风险、业务的法律漏洞或其他条款导致公司损失风险、管理控制风险等等。

（七）未决事项审核

包括尚未执行完的合同、尚未结束的项目、财务事宜、技术事宜或法律事宜等等。

（八）其他事项，如可能涉及的舞弊问题等等

三、内部专项审计

内部专项审计是针对财务强相关的、在内部管理出现漏洞的事项，需要专业审计部门或者财务人员对此事项进行审计，调查出现漏洞的原因及相应的责任人并最终出具处理意见。主要应由以下几个步骤：

（一）制定审计调查方案，编写审计计划。

（二）审计部门应根据专项审计调查事项的大小和工作难易程度及要求，指派能足够胜任该项工作的人员，或组成调查组，确定调查组组长，实行组长负责制，明确责权

（三）进行现场调查，与相关人员访谈、翻阅相关资料。对发现的问题进行描述，并提出改进建议。

（四）完成现场审计后，编写审计报告。

（五）审计报告内容应征求被审计单位的意见，就报告中所列的问题和情况作进一步核实

（六）审计报告逐层上报上级领导审阅，涉及被审计单位相关负责人经济责任的应将审计报告同时送交人力资源部，由其出具相应的惩处措施。

四、内部审计报告的撰写基本要求

内审人员完成现场审计后，应撰写内部审计报告。

（一）内审报告应包括以下内容：

标题正文撰写人报告日期

（二）内审报告的正文应包括以下主要内容：

1.审计调整：针对会计核算中的主要问题提出的调整意见，并重述被审计单位的资产负债表和利润表。

2.审计结论：对被审计单位在制度建设、财务管理、业务流程、内部控制等方面存在的问题作出评价，并对影响企业经营的重大事项、相关风险予以揭示。对于审计中发现的重大违规违纪行为需单独列示，并详细描述问题及可能带来的损失及风险，明确整改期限及相关责任人。

审计的基本流程篇（2）

工程开工前,内审机构可对建设项目可行性研究报告的真实性、完整性和科学性进行审查与评价,对工程项目投资估算、资金筹措、施工设计、招投标及合同签署等内容进行审核,重点评价工程项目工作的内部流程设计、职责分工、内部控制是否完整、有效等。

(一)内部控制制度审计

基建规章制度越是健全完善,工作流程越是完整有效、岗位职责越是明确合理,工程质量控制、造价控制、进度控制越是有保障。内审机构首先要审查基建内控制度的健全完整性,以及审查工作流程的完整性有效性。健全有效的基建制度为基建各部门充分发挥业务部门的管理作用提供保障。

(二)建设程序审计

建设程序是国家对建设项目的重要管理控制流程制度,是国家对建设项目管理的一项重要内容,严格执行国家基本建设领域的制度,保证建设行为的合法性,提高建设项目管理水平,为按期、保质完成项目做好基础保障工作。建设程序的合规合法也是国家审计及社会审计重要内容,内部审计是以服务工程为目的,也应该关注建设程序。建设程序审计重点包括以下内容:包括项目建议书、可行性研究报告、环境影响评价报告、概算批复、建设用地批准、建设规划及施工许可、环保及消防批准、项目设计及设计图审核等文件是否齐全。

(三)对工程建设资金的审计

资金安全也是跟踪审计关注的重要内容之一,重点审查资金管理制度是否建立,资金使用、拨付的审批和监督机制是否完善,建设资金是否落实到位、是否合理、是否专户存储,是否能满足项目建设当年应完成工作量的需要。

(四)招投标审计

基建项目招投标管理情况是政府各管理部门关注的重点,也是确定工程造价是否合理的依据之一。为顺利通过最终工程造价决算审核,内审机构开展招投标审计可重点督促完善招投标管理体系、业务流程及管理流程等方面。

内审机构的审计内容主要包括审核招标方式是否合规,招标程序包括资格预审、招标方式、开标、评标等过程是否合法、合规;评标结果是否按项目隶属关系报各主管部门备案;是否在规定的期限内签订书面合同,合同中内容是否与投标书承诺内容一致,检查投标保证金的财务处理是否合规;招标机构是否具有相应资质;标底编制单位是否具有相应资质;检查投标保证金的财务处理是否合规等。

(五)合同审计

有效的合同管理可减少和消除企业管理和经营风险,内审机构可重点关注合同的签订、履行、变更、终止过程及合同管理是否有完善的管理制度及管理流程。可通过以下几个方面实现制度与流程的审查:合同的主要条款是否与招标文件、中标条件相符;合同的执行及变更情况;合同管理情况的审计主要审计管理制度、管理台账、管理机构是否完善。

二、施工过程中跟踪审计

为实现对工程质量、工程造价、工程进度管理的有效监督与控制,内审机构在施工过程中对工程质量、工程造价进行审核能起到控制与促进工程管理的作用。

(一)造价控制审计

工程造价主要由合同、设计变更及现场签证等决定,施工阶段造价控制审计的工作重点是审查合同执行情况及工程中间量变更的管理及控制流程是否有效。内审机构主要对工程施工过程中的工程进度款拨付、材料价款及其现场变更签证等内容进行监督控制。

1.工程进度款拨付的审查。在跟踪审计过程中,首先审查工程进度款拨付的工作流程是否有效,是否能达到施工单位、监理单位及建设单位逐级制衡、控制造价的目标。

2.材料价款审查。材料价格确定要根据合同条款进行区分。材料若为建设方自行购买,则要对材料购买各环节内部控制的严密性进行审查。如果合同为统包价,材料价格跟踪审计主要以材料选择是否与合同承诺一致予以确定。

3.变更签证的确定。设计变更及现场签证对于工程造价的控制起到重要作用。首先,内审机构要审查是否有明确的设计变更及现场签证流程。其次,审查根据变更的提出方是否有相应的控制流程,同时,审查控制流程中工程现场监督和工程量的核实工作有控制环节及控制措施。变更签证单的内容决定了签证流程的不同,只有发挥监理、造价咨询机构监督、鉴证职能才能从源头上控制工程造价。

(二)工程质量管理、进度管理审计

工程质量审计是跟踪审计最重要的环节,是“免疫系统”功能最好的诠释。首先审查工程质量管理是否完善,参建方有否有控制质量的有效措施,管理流程是否健全有效。内审部门主要审查工程管理质量控制、进度控制环节内控制度的建立与执行情况;审核质量控制措施、进度控制措施是否真实有效,重点审查和评价设备材料验收是否合格、中间环节验收、隐蔽工程验收的质量控制措施落实是否有效。

三、工程竣工后跟踪审计

审计的基本流程篇（3）

(一)内部控制制度审计

(二)建设程序审计

(三)对工程建设资金的审计

(四)招投标审计

(五)合同审计

二、施工过程中跟踪审计

(一)造价控制审计

(二)工程质量管理、进度管理审计

三、工程竣工后跟踪审计

审计的基本流程篇（4）

中图分类号：F83

文I标识码：A

doi：10.19311/ki.16723198.2017.09.045

1引言

随着全球经济一体化的到来，市场的竞争日益加剧，各方外部环境的不确定性导致企业面临的系统风险也在不断增加。合理保证企业健康持续发展的风险管理也应运而生。内部控制审计作为一种保障企业有效完成组织目标，落实内部控制体系的企业内在机制，其重要性不言而喻。企业为了在市场竞争中得以生存发展，开展以风险为导向的内部控制审计成为必然。内部审计自上世纪80年代开始，进入了以风险为导向的全新内审领域，其基于企业的全面风险评估报告确定审计方向和审计重点，将风险分析渗透到审计的整个流程中。将风险概念融入审计中，加速了内部审计的发展。

风险导向的内控审计体系建设已经得到西方发达国家的普遍重视和广发的发展与运用，相比较而言我国企业在这方面的建设依然处于探索阶段。我国企业虽然已经开始意识到管控风险对于企业生存发展的重要性，但就目前情况而言，大多数企业仍然只停留在事后审计，并没有针对性的存在一套行之有效的内控审计体系，同时，学术界对于内控审计的研究也没有可观的成果。因此，基于前沿的理论基础，并结合相关的具体实际工作经验，构建一套科学完整的以风险导向的内控审计体系是我国企业当前面临的重要课题。这不仅可以提升企业的价值，同时也能够推动我国内部控制审计的发展。

2内控审计体系建设的发展历程

风险导向内部审计作为近几年新发展起来的一种审计模式，已经引起了西方发达国家的普遍重视，并在现实实践当中得到广泛应用。与之相对应的审计理论体系和审计方法也得到了理论界和实务界的高度重视，引起国内外学者对风险导向审计展开了更为深入的探讨与研究。

二十世纪九十年代，IIA公布的“基于风险导向的内部审计的新定义”以及“内部审计职业准则新框架”中着重突出了内部审计是通过系统规范的方法以达到完善公司的风险管理、内部控制、公司治理，进而达到实现企业价值提升的最终目标。随后，其又多次对《内部审计实务标准》的具体内容做出修订和完善，而多次修改中仍然强调风险导向的内部控制审计，这在一定程度上也奠定以风险为导向的内审基础，使得其成为了审计发展的总体趋势。

我国的内部控制体系相对于西方发达国家来说，起步略晚。王光远于1994年首次在《论管理审计概念》中建议中国审计的发展模式应该转变向以管制为导向的审计，之后，在相关文章中具体讲述了以风险为导向的审计具体发展模式，同时，也介绍了内部审计通过什么途径达到抵御企业风险的目标。

2008年，我国五部委颁布的《企业内部控制基本规范》中明确提出了对作为内部控制要素之一的风险评估的具体要求，随后也在18个与内部控制相关的应用指南中强调了应该关注风险。这也可以看出风险管理在内部控制中的核心位置。2009年，郝素利具体分析了以风险导向的内部控制审计的步骤以及方法。

直到现在，虽然有许多大型的中国企业先后实行了以风险导向的内部控制审计，但身为中国内部控制审计的未来趋势的以风险导向的内部控制审计依旧止于初步阶段，仍需要不断地成长与完善。

3关于以风险为导向的内控审计体系建设的相关构想

综上，当前企业内控审计的发展趋势是以风险为导向，我国企业逐步开展以风险为导向的内控审计体系建设以成为必然。但是，企业究竟该如何构建一个合理完善、符合企业发展现状和需求的内控审计体系？在我国还缺乏深入的探讨和研究。笔者认为，这个问题的本质涵盖了如下两层含义：一是应该构建什么样的风险导向内控审计模式，即回答以风险为导向的内控审计体系包含哪些内容；二是如何构建并持续完善以风险为导向的内控审计体系，即回答如何合理有效的发挥风险导向内控审计体系的作用，实现其企业价值。

3.1内控审计体系的基本要素和主要内容

笔者认为要推行风险导向的内控审计模式，企业首先应构建一个合理完善符合企业发展现状和需求的内控审计体系，该体系的基本内容应涵盖在风险导向的理念下内控审计的目标并与风险导向内部审计的对象相对应。笔者参考了风险导向内部审计理论方面现有的研究成果并结合个人在实务中的一些体会和相关经验，总结了风险导向内部审计框架体系内容应至少包含以下5个基本要素：战略布局、业务流程、组织结构、技术要素、人员要素。涉及的具体内容如下：

战略布局：战略布局指明确审计工作的战略定位和战略目标。战略定位即制定风险导向的内控审计工作实施的具体方案和流程。战略目标即确定风险导向的内部审计的范围、对象、职能、方式，关键在于基于风险管理对内部审计的业务范围进行重新审视和规划。

业务流程：业务流程由对现有流程进行检测和流程变革两部分构成。对现有流进行程检测主要是分析现行的审计业务的具体流程及其运行中存在哪些问题；而流程变革则在流程检测的基础上说明哪些审计业务流程需要变革及如何实现变革，从而实现整个业务流程的优化及升级。

组织结构：组织结构由对现行组织结构进行检测和组织结构变革两部分构成。对现行组织结构进行检测主要是分析先行的审计组织结构及其运行中存在哪些问题；组织结构变革则主要说明审计组织结构的哪些部分需要变革及如何实现变革。

技术要素：技术要素由技术检测和技术变革两个部分构成。对企业现有技术进行检测主要是分析企业目前采用的审计方法及其中存在的重大问题；技术变革则主要说明哪些审计技术需要变革及怎样实现变革。

人员要素：人员要素由对现有的人员构成进行检测和人员变革两部分构成。对现有人员的构成进行检测主要是分析目前的人员构成情况及其存在的问题；人员变革则主要说明审哪些人员需要变革及如何实现变革。

战略布局为整个内部审计工作指明了方向，而战略布局正是通过具体的业务流程来实现的。因此，业务流程的变革是实现战略计划的关键。首先，它进一步推动企业的组织变革，企业的组织结构是业务流程得以实施的具体环境和保障。其次，要实现业务流程的变革，就得具备相应的人员和技术。总之，体系中的5个基本要素相辅相成，互不可缺。

3.2如何有效推行风险导向的内控审计体系建设若干经验体会

3.2.1预先识别风险节点，正确把握审计方向

以往的审计项目经常会存在由于缺乏对审前的调查而出现较大盲目性的问题，事实上企业首先需根据审计工作前的相关准备工作特别是风险评估工作为基础，把握风险节点，明确审计方向，在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤，从而确保审计工作的顺利实施。这就需要广泛征求意见，收集相关信息，通过各种途径预先识别审计风险，明确审计的范围，在识别主要风险后，分析形成风险的原因，并制定具有针对性的审计工作计划和具体方案，这样才能正确把握审计的方向，合理有效利用审计资源。

3.2.2重新梳理审计流程，纵向厘清审计思路

根据制定的内部审计整体战略规划，重新梳理审计工作实施的各个流程和环节，把握审计思路。可以通过规范内部审计工作并实现精细化管理来实现这一目的。为此，还需建立与风险导向的内控审计体系相适应的一套内控审计管理制度。其中应包括具体的实施章程、相关业务准则、操作流程指引及后续的考核和归档安排等；以此来规范企业的内控审计工作，使得审计人员熟悉并掌握具体的审计操作流程，从而顺利开展相关的审计工作。

3.2.3充分借助信息系统，全面提升审计效率

随着经济社会信息化进程加快，信息系统的运用促进了审计行业与具体技术的进一步发展。现代企业和相关机构等相关业务操作的电子化和网络化，迫切需要企业完善相关的技术支撑，通过信息系统优势，提高审计工作效率，如实现对业务的在线监控，使得监控作业可以实现动态化、持续化；通过信息系统的运用还可以实现对数据的智能分析并通过事前建立的风险预警系统及时发出预警，有助于企业对相关的风险的由事中和事后控制向事前控制转变。信息系统也可以实现一些非审计现场技术方法的强化，从而提高具体的现场审计业务效率，缩短审计时间，最终实现审计成本的节约。

3.2.4详尽设计审计程序，严格确保程序到位

审计程序是否细化详尽，在很大程度上会影响内部控制审计的效果。以往的审计程序往往存在可操作性差，随意性大等问题，为了使审计程序能够更具可操作性和可检查性，企业应该详尽设计审计程序。

首先需根据审计工作前的相关准备工作，把握风险节点，明确审计方向，在整体审计工作计划和方案的指导下明确后续各个审计工作阶段的具体程序和步骤，包括确定审计抽样的数量、审计样本名称等等，同时，在具体审计工作实施的过程中要详细地记录实施过程、抽取样本情况以及相关的结论，以增强审计程序的可检查性，在一定程度上也能降低审计人员随意操作的可能性，明确相关责任归属情况，确保程序执行到位。

3.2.5合理配置人力资源，有效达成审计目标

内部审计的质量的一个重要制约因素就是审计人员的专业技能和职业判断。在选取内部审计人员时应该制定较高的准入条件和严格的选拔程序，内部审计人员应该具备一定的学历、工龄，并在某专业领域有着丰富的实战经验。与此同时企业要注重对审计人才的培养，如制定定期的培训及考核、跟组学习积累实践经验等；总之，以人为本，合理使用人力资源，全面提高审计人员的综合素质，是提升内部审计质量的根本，也是风险导向内部审计开展的条件之一。

4结论

风险导向内部审计要想在我国审计实践中被推广、应用和完善，必须探索和完善出适合我国企业的风险导向内部审计程序。而我国风险导向内部计的本程序还一直处于探索之中，所以还需要理论界实务界通力合作建立适合我企业的权威而统一的风险导向的内部审计框架体系。笔者认为，我国企业想要构建一个合理完善符合企业发展现状和需求的内控审计体系，关键点在于持续有效的风险评估，预先识别风险节点，把握正确的审计方向，在此基础之上制定有针对性的审计计划方案，从而指导审计工作中具体的审计程序和步骤；此外，企业为持续完善风险导向的内控审计体系使之能持续有效为企业服务，还需建立与风险导向的内控审计体系相适应的企业组织结构及管理体制。

参考文献

[1]周庆西，谢伟.风险导向内部审计模式创新[J].中国内部审计，2013，（03）.

审计的基本流程篇（5）

审计模式(Auditing Approach)，又称审计方式模式、审计取证模式，是指为了实现特定的审计目标所采取的审计策略、方式和方法的总称，它规定了审计取证工作的切入点，规定了审计人员在实施审计工作时，从何处人手、如何人手、何时人手等问题。审计模式的发展与审计目标的变化是相适应的。企业内部审计的审计目标相继在制度遵循、流程规范、风险控制、风险管理之间变化，审计模式亦相应地经历了控制基础审计(Control-based Auditing,简称CBA)、流程基础审计(Process-based Auditing,简称PBA)、风险基础审计(Risk-based Auditing，简称RBA)风险管理基础审计(Risk Management-based Auditing,简称RMBA)等审计模式。这些审计模式分别在什么背景下产生及其特征如何，模式演进的动因有哪些，这些都是我们需要回答的问题。本文以美国内部审计发展为例，探寻这些问题的答案，期望通过对美国内部审计模式的发展革沿，把握各种审计模式的特征，从而助于探寻我国内部审计模式跨越式发展之路。

一、控制基础审计

(一)控制基础审计产生背景首届美国国会在1789年通过了审计署长任命法案，建立起国家审计制度，但由于殖民时期的美国几乎没有大规模的工业，内部审计并不很需要，导致美国内部审计滞后其他国家审计近百年。实际上，美国内部审计的源头只能追溯到19世纪，当时的美国铁路公司通常被认为是最早雇佣首批内部审计人员的公司。由于此阶段相应的法律并没有明确规定公司管理层在公司违规时需要承担怎样的责任，外部审计也还没有法定，故此阶段内部审计模式还没有显现。真正意义上的内部审计直到20世纪上半叶才随着大规模商业公司而出现，其后一系列法案的出台，使得内部审计工作日益为管理层所注重，控制基础审计在这一过程中完善起来。其主要有：一是《所得税法》的系列修订使内部审计需求趋大。美国国会于20世纪初对《所得税法》进行了系列修订，1913年通过了《所得税法》的第16次修订，法案条款要求所有公司保持充分的会计记录。由此，管理层开始重视对会计师以及内部审计师的需求。二是《版权法案》中有关管理层法律责任的规定对控制基础审计的作用不可或缺。1976年开始制定的一系列与知识产权有关的版权法案，其中对公司管理层即使并不知道公司的任何违法行为，也需要承担法律责任的规定，使公司管理层意识到减轻法律责任的办法唯有从源头上寻求内部控制制度的帮助。三是《外国贿赂行为法案》使控制基础审计渐臻完善。1977年的《外国贿赂行为法案》(Foreign Corrupt Practices act，简称FCPA)，要求在SEC登记的公司必须建立和保持充分的账簿、记录和会计，并必须保持一个能合理保证组织目标得以实现的内部控制系统。《FCPA》包含以下规则：当公司由于进行非法支付而被控有罪时，公司管理层不可通过声明不知情而逃脱责罚；若其试图这样做，又会因既有的内部控制系统没有发现非法支付而获罪。因为《FCPA》规定，内部控制系统未能合理保证组织目标达成也同样会被认定为未遵守联邦法律。由此，内部审计需要对内部控制遵循情况加以审计，从而控制基础审计最终确立并渐臻完善。

(二)控制基础审计的特征控制基础审计的特征可从其审计目标、审计重心、审计方式、审计所用测试方法以及审计最终形成的建议等方面把握：以各项潜在的法律法规是否得到了遵循，即合规性，作为审计目标；以找出企业中法律法规未得到遵循，或错误遵循情形作为其审计重点；以了解法律法规的遵循情况作为主要的审计方式；审计测试集中于把法律法规的规定与本企业对规定遵循情况的比较；最终形成的审计建议则集中于企业如何就存在的法律法规未遵循方面或错误遵循等情形加以改善。由此可以看出，内部审计的控制基础审计与CPA的制度基础审计有着本质的区别。CPA的制度基础审计虽有时也被称作为控制基础审计，其审计目标是发表审计意见，其以评价内部控制系统为导向，从检查被审计单位内部控制系统人手，通过对被审计单位内部控制的全面了解、研究和评价，以形成对被审计控制风险的评估，在此基础上确定实质性测试的性质、时间和范围，然后，根据实质性测试收集的审计证据，形成相应的审计意见。而内部审计的控制基础审计却并不以发表审计意见作为自己的终极目标。

二、流程基础审计

流程基础审计，于上世纪80年代盛行，其以业务流程作为切入点，以最佳业务流程作为流程评价的标杆(Benchmark)，对组织内关键业务流程的设计、效果和效益性进行评价，是控制基础审计的有效补充。

(一)流程基础审计产生的背景首先是迅速发展的内部控制建设运动。法律法规对管理当局责任强调使得企业内部控制建设迅速发展。在这一过程中，管理当局需要确信组织效率没有因业务控制点的设置而降低，从而产生了需要内部审计师对提出对业务流程关键控制点设置情况给予评价的要求。从而内部审计师要以流程作为取证切入点，把流程作为其主要的评价对象。其次是计算机的技术发展。微型计算机在20世纪70年代出现后，企业不断在传统的生产与经营流程中引入这一新技术以对流程加以再造。由于对企业流程再造思想没有系统地总结，众多企业只能是在实践中摸索，新技术的开发与企业在生产经营流程引入使用几乎是同步的。在引领潮流企业的努力下，物料管理系统、项目管理系统、产品数据管理、管理信息系统成功推出，专家系统、决策支持系统、集体决策支持系统等方面也取得了突破。在新技术革命的诱惑与挑战下，众多的企业转向了对关键职能部门以及关键业务流程的梳理与优化过程中。寻求在其他业务领域拓展以为组织提供更多增值服务是内部审计部门一直以来的目标，充分利用在组织中所处相对独立地位以及审计工作中所积累的对企业流程的了解，适应管理阶层流程梳理与优化的需要，开展流程基础审计是其必然选择。

(二)流程基础审计的特征流程基础审计特征：以业务流程规范，具有效果与效率，即流程的效果性与效率性，作为审计目标；找出当前流程与最佳实务之间的差距作为其审计重点；比较当前流程与最佳实务作为审计方式；审计测试着重于差距的询问；最终形成的审计建议则集中于如何缩短当前流程与最佳实务之间差距、如何改进流程等方面。流程基础审计的特征使其允许内部审计师发挥更多的创造力并为组织提供增值服务，但也决定了其只能是控制基础审计的有效补充，而不可取代控制基础审计成为当时的主流审计模式。一方面，流程基础审计是从当前流程与最佳流程的差距处人手，希望通过企业组织流程的重组与再造来优化流程以

为企业提供增值，流程基础审计的这一特点决定了其“治病救人”的非常规特征，而不能作为一个配置常规审计资源的方式。另一方面，流程基础审计是在传统审计领域之外的拓展，在控制遵循审计之外，开展流程改善为目标的审计，决定了其不会以全新的方式来配置企业的审计资源，这也是其不被认为是独立审计模式的主要原因之一。

三、风险基础审计

风险基础审计得以确立是上世纪90年代初期，其以审计项目所含风险作为切入点，在决定应开展哪一审计项目以及应以什么方式开展时，以项目所含风险作为决策依据和衡量标准，从而将审计资源分配到对财务报告和内部控制产生影响的重要风险领域。内部审计风险基础审计与CPA风险基础审计形相似但质不同。

(一)风险基础审计产生背景企业对风险的关注达到新高。20世纪80年代，科学技术的进步使得国际经济金融一体化进程加快，市场竞争也日益激烈，企业面临的风险也日益增大，金融衍生产品交易的迅速发展更是推波助澜。英国巴林银行的倒闭、日本住友银行期货铜交易巨额经营亏损案，以及此起彼伏的金融危机风险，使企业管理当局意识到衍生产品投资与交易带来巨大利益同时也蕴含着巨大风险。同时，企业还面临着其他对生存造成影响的风险，企业管理当局需要内部审计控制这些风险，确保其保持在司接受水平不至于对企业的生存造成威胁。外部审计向内部审计业务的拓展。内部审计的风险基础审计，是在外部审计倡导风险基础审计并向内部审计业务转移的背景下得以确立。20世纪90年代，国际五大会计师公司(毕马威、德勤、安永、普华永道以及安达信等)比以往更加热衷于提供管理咨询服务，在他们的游说下，许多公司将内部审计业务外包，2001年美国安然公司是典型转移例案，其大量的内部审计工作被为其从事外部审计的安达信会计公司所承包，内部审计行业遭遇巨大生存压力。在外部审计的巨大竞争压力下，内部审计部门相应改变了工作方式，对于哪一审计项目应开展和以何方式开展的决策依据需要改变为项目所含风险。这一工作方式的改变，立刻就显现其生命力，行为方式的这一改变有助于公司领导部门确信公司审计资源已经得到很好运用。因此，控制基础审计项目、流程基础审计项目可能仍会开展，但在规划与执行时，则依据项目暗含的经营风险而定。使内部审计部门的工作成效显著，对组织的增值贡献立现，并取代了传统内部审计模式成为主导审计模式。

(二)风险基础审计的特征风险基础审计与控制基础、流程基础的区别可以从审计目标、审计重点、审计方式、测试方法、审计建议等方面：其以企业用以降低关键风险的控制与程序是否有效，即控制与程序的有效性，作为审计目标；审计重点能否查找出关键风险；能否识别出有效降低关键风险的控制与程序作为审计方式；查找失效的控制与不规范的程序，不单纯依赖于控制测试，还应结合以推测等方法；审计后形成的审计建议则集中于识别出关键风险以及对用于降低这些风险的控制与程序的评价。

内部审计的风险基础审计与CPA的风险基础审计有着本质区别。内部审计风险基础审计，是内部审计行业在遭受外部审计巨大竞争压力的情况下被动适应，其目的是发现企业关键业务流程、关键控制所包含的风险以便采取措施，降低组织面临的风险，是从组织、管理当局的视角看风险。内部审计师虽也会考虑需要将审计风险降低到可容忍范围之内，且这种考虑是可以服从于管理当局对某一领域的风险容忍度的，将CPA的风险基础审计，通过对审计风险的系统分析与评价以提高审计效率与效果，从而使审计过程成为一个不断克服和降低审计风险的过程，其最终目的是有效控制审计风险，弥合审计期望差距，减轻审计人员的责任，是以外部审计人员的视角来阐释风险。虽然也会考虑管理当局对某――领域的风险容忍度，但这一考虑是服从于审计人员对审计风险的整体。

四、风险管理基础审计

(一)风险管理基础审计的产生背景一是企业风险管理活动的盛行。风险管理在20世纪70年展起来，到90年代随着经济的快速发展和社会的不断进步，对风险的认识发生了很大的变化，对风险管理概念的理解也超越了传统，认为风险管理不再是针对使企业遭受损失的负面事项管理，而是有助于企业在更广阔领域里进行决策的工具。综合了财务风险管理、业务风险管理、流程风险管理、以及战略风险管理等在内的整体风险管理体系开始为一些企业所探索。至上世纪90年代后期，整体风险管理体系作为通盘管理企业所面临风险的一种方式，逐步为更多的企业所采用。在这一过程中，内部审计部门为配合管理当局需要，主动调整自己的工作方式，开展风险管理基础审计，即对风险管理情况的审计。风险管理基础审计最初的出现是零星的，主要是一些金融企业或从事衍生金融新产品交易企业的内部审计部门在应用。风险管理基础审计除了具有风险基础审计的许多特征，更以在组织战略目标、管理层风险容忍度、关键风险度量、业绩指标以及风险管理能力等方面予以更大关注为特色。二是COSO委员会《企业风险管理整体框架》的出台。在风险管理活动盛行情形下，实施风险管理的企业需要一个健全的框架有效地识别、评估并管理风险。美国的COSO委员会于2001年启动开发《企业风险管理整体框架》项目，并于2004年完成。考虑到《ER_M整体框架》制定者的背景，不妨参考一下《内部控制整体框架》，使其成为企业风险管理的指导与准则，势必会为更多企业在更广、更深领域里所应用。在《ERM框架》中，董事会在企业风险管理方面扮演更加重要的角色，即对企业风险管理负总体责任，并且变得更加警惕。由此，内部审计人员在监督和评价成果方面承担重要任务。他们必须协助管理层和董事会监督、评价、检查、报告和改革EKM，内部审计风险管理基础审计的基本形成。某种审计模式的零星出现与基本形成有着应用的深度、广度、效度、以及领导层的支持力度等方面的区别。

(二)风险管理基础审计的特征风险管理基础审计在保留其他审计模式优点的基础上，更加关注于组织的战略目标、管理层对风险的容忍度、关键风险度量或表现指针等方面。在风险基础审计模式下，内部审计部门运用所确定的关键风险审计项目，与管理层在ERM过程中所关注的关键风险有所相同，但正RM还有许多其他方面的特征，却并不为风险基础审计所涵盖。其特征：以组织目标的达成、缓解风险和最优化企业风险管理，亦即组织风险管理活动的有效性作为其审计目标；审计重点在于识别当前风险管理有效性与期望有效性之间的差距；审计方式则是由理解目标、识别与影响目标达成的风险、理解容忍度、识别绩效与风险衡量方法、以及评估风险管理的有效性组成的一个总体体系；测试方法，聚焦于关键目标及与其相关的风险，结合推测与遵循性控制测试；审计后形成的审计建议主要是就风险管理有效性的差距与潜在风险和关键商业目标之间给以建议。

审计的基本流程篇（6）

ERP系统做为物流企业卓越的管理模式,秉承企业利益最大化的原则,一改传统物流企业的物流、资金流、信息流互相分离的问题,实现了资源的优化配置和效用,尤其对于审计工作来说,只有在审计目标、核心内容、审计程序、计算方法等方面不断提升与优化,才能使其满足不同层次的所需,顺利适应外部全新管理环境的挑战,完成物流企业内部审计的转型之路。

一、ERP系统的应用范围广

ERP系统以提升企业的管理水平和实力,增强企业利润率及竞争力为目的,构造出统一标准的背景平台,以完整的供应链业务流程为依托,体现数据信息的规范严谨化与定量化的特征。该系统给予企业在经营宗旨、管理理念、战术部署、外部环境分析到运营项目的分析、统筹规划、操作、执行和绩效考评等多角度全方位的变革,加之”互联网+”背景下国家对于信息技术的高度重视,日趋激烈的市场环境和竞争压力之下,众多物流企业将ERP系统的开发、研究和实施作为工作的重点,更是赢得企业战略制高点的有力武器,因此,系统在物流企业中得以广泛的应用,取得阶段性的、良好的发展势头。针对自身经营管理的特点规律与实际情况,物流企业有的选择购进ERP软件,而有的则利用资源优势开发该软件,本着用科技求发展的原则,ERP系统可以起到实现企业流程再造、凝聚核心竞争力,增强经营工作周转效率的作用,使企业成为同行业的佼佼者从而创造卓越的市场价值。

二、ERP系统是物流企业审计工作实现信息化的基石

物流企业审计工作的信息化、数字化构建主要依赖于ERP系统,而内部审计又是企业管理的重要环节和核心实践,因此ERP系统的引入与推广使用具有推动物流企业实现信息化的显著意义。1、基于ERP系统的广泛使用,企业审计工作亟需实现信息化。伴随着审计业务的急剧增长和传统手工操作的审计工作效率低下的矛盾,为满足企业对于审计工作的实际需求,过渡到在ERP系统下以信息技术为主线、数字平台预算为背景,多渠道、多途径、复合业务和信息系统的有效利用一改过去单一的财务监督方式,显然更适合现代物流企业对于审计内容和信息透明度的高度要求。2、ERP平台的打造有利于物流企业审计工作的开展。ERP系统作为一种现代的管理体系着眼点在于对业务流程的科学管理和严密控制,形成了物流、资金流、业务流等的有机结合,已然成为管理规范严密、标准严格、应用广泛的专业化数字管理系统。审计工作作为现代企业制度的重要考核因素得益于ERP系统的规范使用和科学衡量。3、会计电算化为ERP系统的小分支给物流企业审计工作实。现信息化的道路扫清障碍不论是以采购崭新会计电算化软件的形式出现,还是以与企业ERP系统配套作用的方式展现,会计电算化都作为物流企业信息化建设的中心和内核,无论受到外部环境影响下审计工作的转型道路如何艰难多变,审计的工作量繁重、内容广泛,企业的经营状况审计工作、财务审计、投入产出审计和投资收益率审计等项目皆围绕会计电算化的中心完成,会计电算化在奠定了审计工作信息化基础的同时也为企业的信息化发展指明了方向、扫清了前进道路上的障碍。4、ERP系统的建设为审计工作的信息化提供了保障。ERP系统作为优秀的管理模式搭建了企业管理的有效平台,在管理模式、信息采集、整理分析和管理流程规范化等方面取得了突破性成果,为系统化管理的思路前进和发展提供了有益的支持,给物流企业的审计工作提供了科学技术保障。

三、基于ERP系统的物流企业审计信息化的主要特征

1、ERP系统下物流企业的风险控制方法产生变革。在ERP系统实施之前,物流企业的审计制度是基于内部监督与财务真实数据计算流程发展,现在根据网络信息化、顾客需求层次化、软件实践应用型的实际要求进行了业务流程的重新组合,逐步形成管理控制和软件系统相结合、人工与平台软件共同监督管理的复合型监控体系,ERP系统内部监控的核心体现在管理权限的安全设定和重点监控点的选取上,因此物流企业尤其要重视内部审计的变化形势。2、物流企业内部审计的范畴扩大。ERP系统的采用使得传统的以会计资料为主要载体的企业核算活动转变成相关数据的有效自动传递,例如在运输、采购、货代和客户服务等各种数据的紧密联系性要求更高。平台的搭建和使用决定了物流企业的审计工作不单纯是在财务信息方面的审核,还涵盖相互关联的许多模块,包括原始数据是否准确录入和重点环节的监督管理情况也纳入其中;在实际运行中物流企业还要仔细分析ERP系统的安全稳定运行;业务流程组合之后设计到物流企业的内部资源与外部资源,必然要受到竞争者的威胁和挑战,因此扩大审计的范围和权限是必要的发展方向。3、数字环境下的内部审计线索取证难度增长。在采用ERP系统后,原始的纸质单据、报表信息转化为仅有电脑才能够识别的数字编码,多种项目被数字的表达方式所代替呈现出更加隐秘以及高科技信息化的特征,系统的可更改性和功能复合性也使得传统的一数据信息为审计基础的工作程序出现改变,数据的统计给审计工作提供便利的同时也对于信息安全性和加密性提出了更高的要求,这对于物流企业的内部审计工作大大增加了取证的难度。4、企业内部审计工作因ERP系统的采用而风险激增。(1)受人为因素的影响我国企业的审计人员以从事财务工作者居多,往往存在重视财务管理审计、轻视运营过程中的审计工作的现象,职业技能与业务素质尚待提高,个别操作人员利用职务之便在录入数据信息时错填、漏填、推迟输入的时间、扰乱输入步骤和程序等恶意破坏审计工作的行为,给内部审计制造困难与风险。(2)互联网环境与数据安全的风险激增在进行ERP系统设计时,某些企业由于测试的不确定性与技术水平的桎梏导致系统存在缺陷,而互联网环境的公开透明与信息的自由流动使得系统风险大大增加,进而严重影响审计工作的公平有序展开,例如网络黑客的对后台背景的攻击,电脑病毒破坏系统程序与数据库等严重侵害了企业的利益与审计工作的透明度。在数据传输时仅仅通过二进制识别,所以一旦出现数据传递的失误就会影响审计结果的准确性。另外磁介质做为起到存储信息与数据的载体会受到温度、压力等外界情况的影响,一旦受损严重就会导致信息数据的丢失,因此必须重视数据信息存储和处理的各个环节,以免给变革中的审计工作徒增风险和压力。

四、基于ERP系统的物流企业审计工作的改革

ERP系统为企业引入全新的管理方式也为审计工作带来困难挑战,具有两面性的特点,只有满足各个阶层的不同需求才能打造物流企业现代化的管理运营模式。1、基于ERP系统的审计理念变革。审计人员要熟知财务方面的法律法规,具备娴熟的会计核算、审计和管理储备知识,更能够驾驭先进的ERP系统和数据处理、数据信息存储等基本常识,能够将现代化的信息数据处理技术融入到审计工作中去,树立ERP系统与现代企业审计工作相结合的理念,内部控制、风险控制与内部审计融为一体的理念,ERP系统分析、实施评价与审计工作相互配合的理念,积极调动员工的积极性和主动性,向着未来高透明度和流程简约化的目标前进。2、基于ERP系统的审计内容的变革。首先加强对于原始数据录入准确性的抽查,定期对系统中的原始数据进行复核以保证源头的准确无误;其次要对ERP系统进行安全性评估,掌握业务流程的循环、现代化信息存储方式引起的安全性考核,严格把控内部监督质量体系的完善,针对审计结果无异议的情况下加强对于业务流程的监管方面,测量审计工作的效率与评价体系。3、基于ERP系统的审计方法的变革。优先使用ERP系统输出数据信息并形成考核所需的资料,通过对比数据资料的完整精确性来提升审计工作的有效性。探索互联网线上审计、远程遥控审计、连续审计分享数据资源,将传统人工审计的方法和现代网络系统实现融合,保证审计质量与审计时效性的统一。重点关注当业务流程发生变化时和竞争环境、管理方式变革时,企业的控制机制是否有效,从而为审计体系提供核心保障。在审核方法中运用计算机系统控制与审计人员的双重标准判定审计质量和绩效结果,调动人员业务素质提升的同时实现技术更新完善的目的。ERP系统的有效运行离不开相关工作人员对于建设项目的全面参与,通过对于系统运行前的调查分析、建设中的追踪、业务流程的重构、测试期间的严密监督管理、核心业务的重点关注,详细记录系统项目的设计实施与后续服务,可以通过实地考察调研完成ERP项目的可行性分析和实施企业内部控制监管的效能。4、基于ERP系统的审计程序的变革。ERP系统参与下的审计程序可以进一步简化,例如原来的程序中先进行企业基本情况和内部控制的调查分析,然后再通过测试和评价总结出审计报告,现在实施ERP控制后的流程构造清晰简约、管理简单有效,可以对内部控制进行评价和了解业务流程是否变更即可;在提交审计报告时,也可以对分析好的数据结果汇总成表格即可,通过分析报表代替大量冗长的原始数据资料而达到简化审计过程的目标。5、基于ERP系统的评价体系的变革。由于审计的内容、形式、方式与侧重点不同,所以我们更加依赖于审计质量与审计效果评价体系的建立,基于ERP系统的数据分析功能内容丰富与信息量比较大,对于评价指标的公平性和准确性起着重要的意义。本着利益最大化与成本最小化的原则导向,物流企业的审计工作根据所需由审计监督控制机制提供基本保障,也保证了审计工作的持续有效的进行。ERP系统实施之后的审计工作质量事关企业的未来走势与发展,其评价体系也因改革后的指标、评定和数据收集整理等工作方法产生改变,审计内容涵盖范围增加导致评价体系较之过去更加严格和繁杂,只有立足于需求和成本效益完善审计的质量控制与质量监督体系,持续性关注工作效率并进一步防范和降低审计风险,阶梯性的提升审计工作的质量。

总之,伴随着ERP系统建立和使用,传统单一的企业审计模式远远跟不上数字信息的脚步,企业亟需以提供增值服务、满足不同层次要求为中心,对审计工作的诸多方面进行深化改革,进而拉动企业的竞争能力与自身价值的飞跃。

作者:张海霞单位:山东外事翻译职业学院

参考文献:

[1]徐贵丽.《云审计:机遇、挑战与发展趋势》[J].《中国注册会计师》2014(3)

[2]王璧云.《浅谈计算机审计》[J].《现代经济信息》2012(18)

[3]隋新.《企业内部审计应对信息化环境的挑战刍议》[J].《投资与合作》2013(1)

审计的基本流程篇（7）

当前，国内商业银行内部审计项目的基本作业流程如下：

首先，由总行审计部门组织制定审计项目总体方案，明确审计目标、审计对象、审计事项和审计期间等。

然后，各下辖审计机构分别成立审计组，审计组按照总体方案要求，编制具体方案，界定具体审计范围、审计重点、审计样本和审计资源配置等；各审计组成员按照具体方案确定的审计测试点和审计样本进行查证，对在查证样本时获取的审计发现出具审计工作底稿。

最后，各审计组归纳工作底稿，撰写审计报告，上报总行审计部门，由总行审计部门出具汇总审计报告。

二、现行项目作业流程存在的弊端

上述作业流程对规范审计项目运作模式发挥了不可替代的作用，但相对于内部审计在商业银行公司治理结构中的定位和内部审计履行监督、评价、建设职能的要求来说，存在着以下弊端：

一是各审计组无从精准把握审计项目的立项背景，审计组成员对项目涉及领域的全行业务发展状况、经营管理状况、风险管理重点缺乏必要了解。

二是各审计组仅是根据总体方案和审计对象情况编制具体方案，对审计事项涉及的制度、流程、系统、控制机制等梳理、研究不够，导致其不能完全按照“风险导向”原则确定审计范围、审计重点和审计样本，更多的是把总体方案的“刚性”要求具体化。

三是审计人员根据对审计样本的查证所出具的工作底稿，注重对问题状况及其表现形式的描述和揭示，但缺乏“样本推断总体”、“问题透析缺陷”的必要程序。因此，这种工作底稿对相关制度、流程、系统和内控缺陷剖析得不够深入和系统。

四是各审计组撰写审计报告时，更多的是对审计发现问题进行简单的归纳，缺乏系统的分析与提炼，由此生成的审计报告缺乏应有的高度、广度和深度。

三、优化审计项目作业流程的设想

1.在编制审计项目总体方案时，增加对项目立项背景的解读。商业银行年度审计项目计划是内部审计部门根据商业银行业务发展战略和年度工作目标，对一个年度拟开展的审计项目进行的事先部署和安排。编制总体方案时，对审计项目立项背景进行全面、精准的诠释，可为各审计组及其成员明确项目审计目标、界定审计范围、把握审计重点提供支持。

在诠释审计项目立项背景时，应着重从以下几个方面进行：一是解读审计项目涉及业务的发展战略，明确管理层及业务部门对开展这一审计项目的需要，诠释该审计事项存在的重大风险因素；二是描述外部监管部门对该业务的监管要求，解析近期被披露（暴露）出的同业重大风险事项；三是传导总行审计部门对开展这一审计项目的心理预期。

2.在编制具体方案前期，从制度、流程、系统和内控层面对审计对象进行风险预评估。各审计组在编制具体审计方案时，对审计对象进行风险评估是审计组及其成员把握审计重点、明确审计样本，编制测试方法和统筹内部审计资源的前提和基础。

在进行审计事项风险预评估中，应着重从以下几个方面进行：一是梳理审计事项相关业务所制定的规章制度，从制度的健全性和合理性上评判审计事项的风险；二是分析审计事项相关业务所涉及的业务流程，从业务流程的严谨性和效率性上评判审计事项的风险；三是掌握审计事项相关的业务支持系统和管理信息系统，从系统的应用控制设计和技术支撑度上评判审计事项的风险；四是总体了解审计对象对审计事项相关业务的内部控制状况，从授权与批准、职责分离、会计记录控制、实物控制和独立检查五个方面评判审计事项的风险。

3.在审计测试后期，进行样本推断总体，注重对管理缺陷进行分析提炼。科学地进行“样本推断总体”和“问题透析缺陷”，能起到“窥一斑而见全豹”、“透过现象看本质”的作用。

内部审计人员在实施审计测试、加工审计发现时，可分别制作两类审计工作底稿：

一类为“问题记录”，用于就测试样本时发现的样本本身存在的具体问题进行描述，该类底稿重在对某个或某些样本存在的问题及其表现形式进行描述和记录，它可以样本属性（笔、户、个等）或测试点等为基本单位，针对取证对象分别出具。

二类为“缺陷记录”，用于就审计发现问题所暴露出的制度、流程、系统和内控缺陷进行提炼和归纳，该类底稿是在“样本推断总体”、“问题透析缺陷”基础上的深层次剖析，它可以缺陷类型和主要涉及部门为基本单元针对审计对象整合出具。

4.在审计报告阶段，着重依托缺陷分析结果，归纳形成审计报告。各审计组在撰写审计报告时，不能仅对审计发现问题进行简单的汇总，应注重对重大风险事项的披露和管理缺陷的归纳。

一是在提炼审计发现时，应以审计项目相关的经营活动为背景，依托“缺陷记录”形成审计发现中的各个具体“缺陷”，并从制度、流程、系统及内控缺陷方面进行系统性的阐释，然后从相应的“问题记录”中提炼出具有重要性、典型性和代表性的问题作为论据，支撑对各个具体“缺陷”的表述。

二是在撰写审计评价时，应依托对审计事项的风险评估和提炼的“缺陷”型审计发现，对审计事项进行总体性的判断和评价。

审计的基本流程篇（8）

本文试以审计及时性作为实证案例中的质量控制指标。因为审计及时性对于帮助建设单位尽早了解施工造价结算的准确性，保证工程竣工验收等工程建设后期环节的顺利实施，避免审计结论滞后于工程建设进度起着重要的作用。本文从实务角度出发，选择该质量控制指标进行实践，至于审计报告准确性等其他审计质量指标的实施方法与其做法相类似。

本文的创新点在于：第一，据笔者所知，目前国内尚没有将六西格玛管理方法应用于审计质量控制的先例；第二，本文以定量分析方法来快速定位审计质量控制中的症结，而不同于传统的凭借职业判断和工作经验来寻找问题；第三，本文在实施实证案例时使用了过程控制图、帕累托排列图、鱼骨图、FMEA表、对策表等一系列实用的质量控制工具，为审计质量控制的操作提供了新的切入点。

一、提升审计及时性的实证案例

20世纪90年展起来的六西格玛管理①是在总结全面质量管理成功经验基础上，提炼了其中流程管理技巧的精华和最行之有效的方法，成为一种提高企业业绩与竞争力的管理模式。

六西格玛管理作为一种通过减少缺陷和差错，提高客户满意度，增加利润的管理方法在具体实施过程中较常采用的方法是DMAIC模式(D：定义，M：测量，A：分析，I：改进，C：控制)，其目的就是改变组织现有体系，实现现有过程到修订过程的转变，使流程的质量指标达到六西格玛的要求并最终稳定在项目目标范围内。

中国移动通信集团上海有限公司(以下简称“公司”)内审部运用六西格玛管理，提升审计及时性的做法包括以下几个工作阶段。

1.定义阶段

定义阶段的主要工作包括：界定项目待解决的问题、制订合理的项目计划和目标、分析委托方对审计时限的规定，以确定质量的关键点(CTQ，Critical-To-Quality)。

公司内审部一般按照建设行业(通信、土建或者其他零星)的要求，把一定数量的施工合同归集为若干个批次，然后再分发给不同的造价审计机构。一般要求完成的审计时限为30日、40日或60日不等。目前上海移动内审部使用了较为完善的审计信息管理系统(下文中简称为“系统”)和二维码的技术手段，可以将施工合同的采购订单、项目名称、合同额、送审额、审定额和审增减额等关键信息集中在一张审定单上，再将这些数据转换为一个二维码，然后录入系统。而一份施工合同从送审签收到数据扫描入系统的各个审批环节也可以在系统中流转并留下记录，故在本项目实施前，内审部将审计时限定义为在系统中从送审施工合同签收日至扫描录入日之间的天数。本项目中将待解决的问题定义为审计及时性问题，本项目中待解决的CTQ即为审计及时率，具体指及时完成审计的施工合同数与全部委托审计的施工合同数之比。

项目目标，是对系统中导出的数据统计审计及时率。2010年全年共有5家造价审计机构参与了工程结算审计工作，全年的审计及时率为68.82%；2011年1月1日～5月1日共有6家造价审计机构参与了工程结算审计工作，审计及时率为74.09%，而近两年公司对于审计及时率的挑战性目标一直都为90%，由此可见近两年的审计及时率均低于理想中的考核水平，影响了审计质量和建设单位对于内审部工程结算审计工作的满意度，而且通过增加造价审计机构数量也未能有效缩短审计时限，需要对审计流程进行改进。故本项目的目标设定为将审计时限进行缩短，使审计及时率达到90%的水平。

2.测试阶段

测试阶段的主要工作包括：对CTQ(本案例中为审计及时率)进行可操作性定义，对改进前的流程进行梳理，确定每个CTQ测量系统的有效性并收集相关基础数据，对这些数据进行分类、归组、分析以便清晰地描述现状。

在本项目测试系统和测试数据范围分析中，审计及时率及工程结算的过程数据信息可以由审计信息管理系统自动取得，这些通过系统自动采集的数据，能确保数据的真实性、准确性和有效性。只是在确定影响及时性原因的末端分析中，通过座谈会、调查了解等方式从各个相关单位收集数据后进行人工统计，故本项目的所有研究结论均建立于相关人员能真实客观地提供信息的基础上。另外，为了确保数据和原因分析的可追溯性，所以着重分析2011年1月至5月初的审计项目数据。

基于现有制度和委托审计机构实际操作过程，项目组绘制出目前工程造价结算委托审计工作的矩阵流程图(图略)。

根据系统中送审日期介于2011年1月1日至5月1日之间的所有2 478个施工合同的审计信息数据，按照委托审计时间的先后顺序排列并按照每5个数据为一个子组进行抽样，得到496个样本。

在样本均值图(图略)中，纵轴为“样本均值”，显示共有127个样本的审计使用时间距离中心线超过3个标准差，表明过程缺乏控制，占比为25.60%。在和标准差控制图(图略)中，纵轴为“样本标准差”，显示共有19个样本的审计使用时间距离中心线超过3个标准差，表明可能由于特殊原因造成了这些偏差。总体而言，现有测量系统的测试结果显示改进前流程中各个审计项目的使用时间偏差较大，波动较高，缺乏有效的控制手段，导致审计及时率的现有基线水平较低。

3.分析阶段

分析阶段的主要工作包括：找出所有对CTQ造成影响的因素；收集每个X的基础数据；建立每个X的标准，并推导出每个X对CTQ的影响；分析出对CTQ造成影响的关键原因Xk，并层层深入，最终定位每个Xk的主要诱因所在。

在本案例中，项目组筛选出了2011年1月1日至2011年5月初委托审计且超时限未完成的537个项目，通过调查了解和访谈的形式，向各个委托审计机构收集了第一手的超时限原因资料，经过分析、统计后得到主要造成审计超时限的原因如表1所示。

按照帕累托法则，从图1中可以发现造成超时限的主要原因可以归类于：施工单位确认环节、单个批次数量过大且批次之间频率间隔低、施工单位补充资料以及审计单位尚在实施审计等4个主要问题，即关键的Xk。项目组针对这4个主要原因，通过头脑风暴式的讨论，分析了更深层的潜在诱因，如下面的鱼骨图所示(图2)。

为了进一步缩小关注范围，项目组对上述由鱼骨图得到的潜在诱因，利用FMEA模型(Failure modes and effects analysis)来筛选主要诱因，为了得到更加客观公正的结果，听取了来自各方面的信息，项目组将此表格向内审部、建设单位和委托审计机构主管人员分发，并对收集到的11份反馈表格进行汇总，结果如表2所示。

通过FMEA表的筛选，可以看到整个委托审计流程的各个潜在失效模式中风险优先值(RPN，risk priority number)，按得分高低排序，前4项为主要的Xk诱因分别为施工单位补充资料、施工单位拖延、建设单位送审集中和审计机构未及时跟进，问题主要集中在审计初稿确认和审计项目送审签收两个流程环节。

4.改进阶段

改进阶段的主要内容包括：基于分析阶段的结果，针对关键因素Xk的主要诱因确立最佳解决方案，通过制定对策表等方法来规范关键Xk的水平进而优化CTQ。

项目组在完成了分析阶段的工作后，确定了审计及时率的主要症结，与建设单位、委托审计机构、审计信息管理系统的开发商进行了沟通讨论，并针对各个诱因在流程和信息系统改造两个层面制订了若干措施，如表3所示。

根据对策表中对审计时限的重新定义，内审部还改进了工程造价结算委托审计工作流程，主要将原来由委托审计机构来进行的初稿确认阶段工作时间，从审计时限中删除，改由内审部负责，使委托审计机构可以将更多的精力和时间花在审计任务的实施上，以保证审计及时性和准确性。

5.控制阶段

控制阶段的主要工作包括：建立标准化的过程修订，采取诸如工作指导手册、过程控制计划等措施维持改进结果，建立测量体系，监控工作流程，使改善后的过程处于稳定正态分布范围。

通过流程改进和制定对策，内审部将信息系统层面的改进措施(如审计时限口径修改、超时限项目变色预警等)落实到了近期系统改造计划之中并通过会议纪要、修订《工程建设项目审计实施细则》管理办法等方式将流程层面的改进措施制度化，同时召开了委托审计机构沟通会，将有关改进措施进行宣传贯彻。以上措施从2011年6月开始实施，从系统中导出的委托送审日期在2011年6月1日至6月30日期间签收的施工合同共有458个，其中有9个已经完成审计，其余449个尚在审计中并且均未超过审计时限。项目组将进一步跟踪以上措施实施后，审计使用时间的变化及稳定性情况。

二、结论

公司内审部提高审计及时率项目的实践，探索验证了六西格玛管理方法在实施工程结算审计质量控制管理中的有效性，为审计质量控制领域的进一步应用提供了有益的素材和经验。

六西格玛管理方法，由于其可操作性强，基于数据进行定量分析的优点，可以准确快速地找到待解决质量要素的主要症结，在审计质量控制领域中也同样适用，为审计人员优化审计流程，进行质量控制提供了良好的方法指引，具有良好的应用前景。

第一，测量系统数据准确性，是实施六西格玛管理方法进行质量控制的基础。例如本例中，如果数据的准确性发生偏差将直接影响后期措施的控制效果。

第二，基础数据的可追溯性和充分挖掘数据背后隐含的信息，是使用六西格玛管理方法开展质量控制的关键。例如，在本文中项目组将样本数据定位在2011年1月到5月间，进而有效地获取了各个委托审计机构对537个超时限未完成项目原因的反馈，随后项目组人员对各种原因进行了分析和归类，挖掘出了4个主要原因及其关键诱因，而本项目正是由于该阶段的工作才使后续分析、改进和控制阶段的工作得以顺利实施。

审计的基本流程篇（9）

一、基于业务流程转变实施ERP应用风险审计的必要性

(一)ERP系统上线后业务流程发生根本性变化

ERP系统实施以前，许多基于计算机的业务系统，基本都是围绕某一业务功能或者是职能部门运行的，比如远光财务系统、远方物流系统等。这些系统都不是基于跨部门的流程来设计的。ERP系统中单一的数据库，使过去跨部门的审批流程得到简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在ERP系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也无法适应ERP基于流程的管理需要。

(二)ERP的系统特性对公司的风险管理提出了新的要求

实施ERP系统后，公司所遇到的业务风险一般来自四个方面：业务流程、应用架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风险特征相比过去发生了根本性的变化。

二、基于业务流程转变实施ERP应用风险审计的主要途径

基于业务流程转变实施ERP应用风险审计是针对由ERP系统实施所带来的新的业务控制风险，对公司内部控制体系做出重新评估和完善。通过充分评估ERP环境中的控制方式，一种是基于系统的控制，另一种是基于流程的控制。将由于“流程自动化”带来的内部控制可能的削弱作为风险敞口进行重点审查。结合流程追溯法、循环测试法、实时审计法、系统辅助法和专家分析法五种ERP风险审计方法，合理运用了风险审计步骤，从风险描述、风险成因、风险影响、风险评价多个维度对ERP应用风险性质、影响结果进行详细的定性分析。

三、基于业务流程转变实施ERP应用风险审计的具体做法

(一)审前准备阶段

1、制定审计目标

ERP系统是建立在对业务流程进行优化重组的基础之上的，针对由ERP系统实施所带来的新的业务控制风险，我们需要对公司内部控制体系做重新评估和完善。在审计目标的确立上应考虑：一是业务流程的转变打破了原有的权力分配模式，触动了一些部门或个人的利益，系统上线后能否按既定的模式运行以及运行效果如何？二是由于上线时间紧迫，实施时设定的业务流程是否是最佳流程？三是即使当时是最佳的业务流程，也会因为上线后运行环境的变化而有进一步优化的必要？

2、选择审计范围

ERP系统覆盖生产、采购、设备、财务、人资等公司运营管理的各个层面。在审计范围的选择上如果对每个流程和控制点都进行风险评估在资源的利用上是非常不经济的。因此，对ERP应用风险审计范围的选择应采取逆向思维的方法，首先从公司整个业务风险域中寻找具有最大风险的业务流程，进而确定有哪些ERP模块在支持这些业务流程。在实施过程中，通过对各模块关键用户的访谈，来确定评估范围。

3、确立审计内容

在ERP环境下，舞弊和错误均由原来的手工操作变成了由系统程序来完成，不留任何纸面痕迹，从而使风险更加隐蔽、层次更高、内涵更深，风险识别、评估和应对的难度更大。首先对ERP系统的薄弱环节进行风险分析，进而确立基于业务流程转变可能引发的风险类型，得出下列结论：一是伪造数据输入的舞弊类风险；二是错误数据输入的数据质量风险；三是应用操作控制变化的系统用户授权风险；四是应用层面的操作风险；五是脱离ERP业务流程的非集成风险；六是运行过程中的流程风险。

(二)审计现场实施阶段

1、流程追溯法

审计时遵循溯本求源的思路，提高对风险的识别和评价能力，根据追溯结果判断审计事项的发展方向，明确相关审计事项，评价风险应对措施的适应性及有效性，并提出进一步改进的意见。这种方法适用于伪造数据输入的舞弊类风险。

以项目模块中ERP环境下的虚构项目为例，在ERP项目模块中，根据项目管理流程，设计了相应的操作流程，这些ERP操作环节除了项建阶段涉及上级公司权限外，均要涉及公司工程管理相关部门，包括项目管理部门、物资部门、财务部门，整个流程因牵涉多个部门，会形成一定的内部牵制机制。但如果出现公司管理层主导的集体伪造ERP数据时，从项目WBS的创建、物资的采购、出入库、项目的服务确认、项目的竣工财务转资等流程一路绿灯，配套的物资采购合同、出入库单据、服务合同、发票、开竣工资料、工程决算资料等纸质资料和签字手续一应俱全。那么在ERP中运行的整个工程项目流程只能是一条经人为虚构的“完美”流程。

2、循环测试法

审计时通过查找各模块中的非集成业务风险，通过对比某一具体业务在单项功能中的运行结果和在系统集成功能下的运行结果，进而从ERP内部控制环境中寻找流程控制的风险点。这种方法适用于脱离ERP业务流程的非集成风险和运行过程中的流程风险。

以物资模块中线外采购为例，在ERP物资模块中，根据物资管理流程，从采购订单-发票校验-材料入库-材料出库有特定的业务流程，而往往对于成本中一次性消耗的大宗物料非集成风险频数较高，这类业务经常是绕过“线上”的ERP业务集成而直接采用“线下”的总账凭证在财务模块实现。这类业务涉及物资金额大、数量多，存在很大的二级库管理风险，如ERP系统外物资管理流程缺失的话，很容易造成物资流失。

3、实时审计法

审计人员可以根据需要实时收集自已感兴趣的资料，并通过系统将这些资料实现共享，从而进行实时审计，以弥补事后审计线索不充分的缺陷，为事前、事中审计创造条件。这种方法适用于错误数据输入的数据质量风险和应用层面的操作风险。

参考文献：

[1]王晓霞.企业风险审计（第二版）.中国时代经济出版

[2]皮克特.风险管理过程审计（英）.东北财经大学出版

审计的基本流程篇（10）

【中图分类号】 F232 【文献标识码】 A 【文章编号】 1004-5937（2016）24-0128-04

一、引言

财务共享服务模式是依托大数据、云计算等信息新技术以财务业务流程再造为基础的分布式管理模式，目的是优化组织结构、提升核算流程效率、降低财务核算成本以及为企业创造价值，其站在市场视角为内外部客户提供专业化财务服务。在财务共享服务模式下，集团企业将日常的、共同的、分散的、大量的、重复的、可标准化的财务会计流程从下属分公司剥离出来，统一交给财务共享中心进行处理[1]，实现了业务处理、数据存储的集中，同时也增加了IT风险。IT风险[2]已经成为企业的“经营风险”，包含IT环境风险、IT管理风险、IT技术风险和IT平台风险等。大数据时代基于财务共享服务模式的IT审计目的是为了找出并解决财务共享的IT风险，依托大数据、云计算等信息新技术，通过对大数据进行采集、处理、分析以发现问题。

IT审计一直受到诸多学者的重视，曹立明[3]分析了IT审计本质、目标与方法，认为IT审计是会计信息化的内在要求，并对会计信息化IT审计的目标、内容和实施条件进行分析，最后对会计信息化IT审计面临的问题进行了阐述。覃宪姬等[4]以广州地铁IT审计为例，在分析了广州地铁信息系统审计现状的基础上，构建了广州地铁IT审计框架并对其具体内容、实施步骤、审计策略以及审计方法进行了阐述。柳芳[5]从ERP系统安全性风险、业务流程风险和ERP系统管理风险入手，对ERP固有风险进行了分析并提出了相应的IT审计对策。李有华[6]将企业IT风险分为IT战略风险、IT项目风险、IT安全风险、IT服务风险、IT合规风险，并在此基础上对IT审计的内容、标准、范围、方法和制度进行了分析。

综观上述文献，大多数文献都基于传统信息系统，并从传统审计手段的角度出发对IT审计的框架、发展与实施进行研究。在大数据时代，财务共享服务模式成为大型集团企业的首要选择，其IT架构更多地运用到云计算技术，并需要大数据进行技术支撑。审计人员在财务共享服务模式下进行IT审计时将更多地运用大数据审计[7]手段进行IT审计，从数据的角度发现疑点，以减轻审计工作量，提高审计工作效率。有鉴于此，本文从大数据的角度对财务共享服务模式下IT审计的特点进行分析，梳理其数据流程，在此基础上构建IT审计框架模型，并对其实施流程进行阐述。

二、大数据时代基于财务共享服务模式的IT审计框架

（一）财务共享服务模式下IT审计的特征分析

一般认为IT内部控制包含组织层面的IT控制、一般控制和应用控制三个层面[6]，审计人员通常以此为基础展开IT审计工作。财务共享服务模式下的IT审计需要充分结合财务共享IT架构特征，其IT审计范围如图1所示。同时，三个层面的IT审计在财务共享服务模式下也出现了有别于传统企业IT审计的特点。

1.组织层面的IT审计

组织层面的IT审计主要检查财务共享IT架构的设计是否合理，以及是否得到有效实施，其核心内容是管理层控制。集团企业建立财务共享服务模式的战略目标清晰，即降低财务核算成本，其IT战略规划应当以实现该目标为前提，并以此为基础进行IT部门与职能的设置。财务共享服务模式下组织层面IT审计应当对财务共享IT战略规划、IT部门与职能的设置是否符合财务共享战略目标进行检查，并对其实施的有效性进行审计。

2.一般控制层面的IT审计

一般控制层面的IT审计是为了确保IT系统运行的可持续性，能够为应用控制提供支撑，审计对象包含软硬件平台、网络等。财务共享服务模式下集团企业将财务核算业务集中，借助移动互联网、云计算等信息新技术实现了财务核算流程再造和数据的集中存储，其IT技术风险应当得到审计人员的重视。财务共享服务模式下一般控制层面的IT审计应当对数据安全、基础设施更新、访问安全和网络安全等主要风险点进行审计。

3.应用控制层面的IT审计

应用控制层面的IT审计主要检查业务系统层面所设计、执行的IT控制是否能够确保整个系统具有可信性，以及是否能够完成相关数据的产生、记录、传递、处理、分析和报告等功能。财务共享服务模式下集团公司、各分子公司的ERP、HR、OA等其他业务系统需要和财务共享中心实现数据对接与共享，为财务核算系统提供数据支撑，其间数据的产生、记录、传递、处理、分析和报告都是IT审计的关键风险点。财务共享服务模式下应用控制层面的IT审计应当对财务核算流程的设计与实施、业务系统与财务共享中心的数据对接、登录权限等内容进行重点关注。

（二）IT审计程序流程框架

COBIT（Control Objectives for Information and related Technology）即信息系统和技术控制目标，是一种用于“IT审计”的知识体系，由美国信息系统审计与控制协会（ISACA）于1996年首次提出并于2005年更新到COBIT 5.0。目前COBIT已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。由于COBIT 5.0具有普适性，因此财务共享服务模式下的IT审计可以此为基础构建IT审计流程框架。在大数据技术背景下基于财务共享服务模式的IT架构与传统IT架构有所区别，在构建IT审计流程框架时应当充分考虑到这一点。

财务共享服务模式下的IT审计流程框架包含IT审计指南和IT审计流程两部分。其中IT指南是参考COBIT 5.0得出的IT审计标准，在IT审计过程中起着指导作用，包含关键审计因素、流程能力模型、风险控制模型、IT技术可信评估和IT审计知识库等内容。IT审计流程则包含制定审计目标、风险评估、制定审计计划、设计审计程序、执行审计程序和出具审计报告六个流程，如图2所示。

（三）IT审计数据流程框架

在财务共享服务模式的IT审计中，审计大数据的产生、传递、处理和分析贯穿整个审计过程。为了充分利用大数据技术提高审计效率，审计机构可以历史数据、互联网数据等组成的大数据为基础构建审计数据中心，并建立IT审计知识库，帮助审计人员进行高效的IT审计。在审计过程中，审计人员可以通过IT审计知识库中的IT审计知识对审计对象的关键风险点进行重点关注，通过大数据审计方式对审计对象提供的相关大数据进行审计。待审计人员出具审计报告后，可将该审计项目的主要风险点、测试方式以及实质性程序等相关审计数据反馈到审计数据中心以完善IT审计知识库，形成IT审计的数据闭环，如图3所示。

三、大数据时代基于财务共享服务模式的IT审计流程

大数据时代基于财务共享服务模式的IT审计应当是一个包含审计大数据产生、传递、归集和使用的闭环系统，在审计过程中应当由IT审计指南对IT审计的计划、实施进行指导。

（一）制定审计目标

审计人员在进行财务共享服务模式下的IT审计时，应当充分考虑该模式下的特点，结合财务共享的IT战略规划，明确审计的时间、目标和范围。集团企业建立财务共享服务模式的战略目标为降低财务核算成本，为了实现该目标，其IT架构应当满足技术可信、内部控制有效、数据平台安全等基本要求，也是财务共享服务模式下IT审计的主要目标。在不同性质的IT审计中，审计人员可以按照实际的审计需求选择不同的侧重点来制定满足实际需要的审计目标。例如内部审计中，审计人员进行IT审计时更多地关心财务共享服务模式下的应用控制制度建设是否合理、是否得到有效实施；社会审计中，审计人员进行IT审计时则更加在意通过财务共享服务模式是否能够提供真实可靠的财务信息。

（二）风险评估

财务共享服务模式的IT架构相较于传统IT更多地使用了大数据、云计算等技术，因此财务共享服务模式下IT审计的审计风险与以往所有差别，例如审计人员在IT技术层面可能无法对IT技术风险有足够的了解，可以通过权威的第三方IT咨询机构获取该审计项目中财务共享下IT技术的评估报告，即IT审计指南中的IT技术可信评估。除了IT技术风险外，审计人员还应当充分考虑财务共享服务模式下独特的审计环境，结合财务共享服务模式下的业务流程再造，对财务共享中心内部控制制度建设情况进行评估，得出可能的其他审计风险以及风险发生的可能性，通过建立二维风险矩阵的方式对风险进行定性和定量的评估。

（三）制定审计计划

根据风险评估的结果，在考虑企业IT管理框架、人力资源配置等因素的基础上，审计人员应当充分结合财务共享服务模式下财务处理流程标准化程度高、业务量饱和以及财务核算成本低等特点，分别制定总体审计计划和具体审计计划，包括确定审计目的、审计范围、人力调配以及审计策略等内容。需要注意的是，财务共享服务模式下运用了大数据技术，传统审计手段很难进行有效的IT审计，应当在审计计划中明确使用大数据审计等审计手段。

（四）设计审计程序

财务共享服务模式下的IT审计程序包含IT管理层控制、IT一般控制和IT应用控制三部分。大数据技术在该步骤得到广泛运用，审计人员可以通过大数据爬虫获取互联网数据，从财务共享数据中心获取集团大数据，然后使用数据驱动测试、数据挖掘、数据多维分析等方法对大数据进行分析，实施审计程序。同时，审计人员也可以使用IT审计知识库比对其他财务共享IT审计项目，辅助确定IT审计中的主要风险点。

1.IT管理层控制

审计人员在进行IT管理层控制时可以结合COSO内部控制框架与财务共享实施情况设计调查问卷，向分子公司总经理、集团财务部员工、财务共享中心负责人等发放。然后可以根据问卷结果与财务共享负责人或IT管理层进行访谈，以评价集团企业在财务共享服务模式下IT管理层控制的有效性。

2.IT一般控制

审计人员在进行IT一般控制时可以采取问卷调查、访谈、穿行测试等方式，也可以直接通过第三方IT咨询机构获取企业IT技术评估报告，以确认该审计项目中财务共享服务模式数据安全、基础设施更新、访问安全和网络安全等主要风险处于可接受范围内，不需要整改。

3.IT应用控制

审计人员在进行IT应用控制时可能更多地会运用大数据审计的方法获取审计证据，例如对采集到的大数据进行清洗后通过SQL查询、大数据挖掘和多维分析等方法寻找审计疑点，或通过黑盒测试法进行数据驱动测试以发现IT系统运行中存在的问题。除了大数据审计的方法外，穿行测试与控制测试也能帮助审计人员找出应用控制设计与执行中存在的问题。

（五）执行审计程序

按照设计好的审计程序进行下一步工作，审计人员需要结合风险评估结果对财务共享服务模式三个层面进行控制测试，根据实际需求实施实质性程序，通过大数据审计、穿行测试等审计手段得出审计证据，并将从中得出的主要控制风险告之相关人员，记录测试和交流沟通的结果。

（六）形成审计意见，出具管理层建议

按照得到的审计证据，结合最初制定的审计目标得出最后的审计结果，并根据审计结果当中的所发现的问题向管理层出具审计意见和提供建议，在与管理层进行沟通后取得其对管理建议的相关回复。

出具审计结果后审计人员应当将相关数据反馈到IT审计知识库以形成新的IT审计知识，完成审计大数据闭环。

四、结语

财务共享服务模式的建设需要大数据、云计算等技术支撑，但同时也改变了其IT审计的审计环境。本文基于财务共享服务模式的特点构建了该模式下IT审计的审计流程框架并对其具体流程进行了分析，以期对财务共享服务模式下的IT审计提供理论指导，帮助集团企业降低或规避其财务共享服务模式下的IT风险。

【参考文献】

[1] 王德宇.财务共享服务与企业管理研究[J].山东社会科学，2015（5）：160-163.

[2] 周常兰.IT风险控制整合框架的构建――风险控制四维整合框架的引入与扩展[J].经济体制改革，2014（2）：102-106.

[3] 曹立明.论IT审计与会计信息化[J].中国注册会计师，2012（12）：108-113.

[4] 覃宪姬，陈瑜，佟柱.信息系统审计的透视与思考――基于广州地铁审计案例的分析[J].中国内部审计，2014（8）：62-69.