内部审计操作流程指南（试行）

为规范公司内部审计工作操作流程，指导内部审计师在执行内部审计工作操作流程中的思考、分析和判断，根据公司《内部审计制度》、《内部审计实施细则》和《内部审计操作流程规定》，制定本操作流程指南。

步 骤 一：选择被审计者

被审计者可以是在诚志股份组织内部的某个分子公司，或经营活动、方案，也可以是一个的过程、活动或条件。

审计法务部对下属各分子公司或其经营活动、方案等分析，以内控风险评价为基础，判断风险的大小，规划年度内部审计计划，呈交总裁办公会批准后，以文件形式通知各有关被审计者，作为年度例行审计。具体审计时间和人员的安排由审计法务部总经理依据年度审计计划，对时势、风险的了解和判断后决定。审计法务部基于日常了解到的异常情况，或进行例行审计时发现的关联单位的异常情况，可向总裁建议临时审计。

基于组织层和董事会的判断，发现急需关注和处理的问题，从而替代内部审计部门完成选择被审计者的工作。作为年度审计计划外的审计任务，由组织层、董事会或审计法务部总经理研究、决定是否必须中断某项年度审计计划，或修改年度审计计划；

被审计者也可以自行提出审计的要求。

在决定是否中断年度审计计划，来实施另一项审计前，不论这项审计由组织层、董事会、审计法务部还是被审计者提出，都应考虑其是否比预定的审计项目重要。重要性同样通过风险评价来衡量。

步 骤 二：制定审计计划

制定审计计划包括：1）初步确定审计目标和审计范围；2）研究背景信息；3）成立审计小组；4）初步联系被审计者及其他有关当事人；5）制定初步审计方案；6）计划审计报告；7）取得对审计方案的批准。

（1） 初步确定审计目标和审计范围

审计目标可以分为三类：1）内部控制的完整及有效性；2）经济效益；3）离任审计；4）查错防弊；5）其他目标。

审计范围的大小与被审计的信息系统或经营系统本身及所要求的审查深度有关，尽管审计目标和审计范围会在审计过程中根据客观情况需要而不断发生变化，但它是成立审计小组和初步了解被审计者有关情况的基础。

（2） 研究背景信息

大多数审计项目并非是首次审计，查阅和研究以前的审计报告和有关资料是必需的。另一个方法是与被审计者管理当局进行座谈。内部审计师应尽可能地了解和熟悉被审计者经营活动的性质和特点，以便为初步调查做好准备。

（3） 成立审计小组

审计小组的具体组成，依审计项目的规模和性质而定，但必须明确审计项目的现场负责人。

（4） 初步联系被审计者及其他有关当事人

在开展审计之前，内部审计师应向被审计者下达审计通知书，并与其就有关的审计事项进行交流，如审计的目的和范围、人员组成、时间安排、被审计者的准备工作等。与被审计者的联系，需拟定一份备忘录，作为审计工作底稿之一。

（5） 制定初步审计方案

审计方案包括以下内容：审计目标、审计范围、审计过程中必须特别加以关注的事项、审计程序、拟收集的审计证据、内部审计师分工及审计时间的安排等。

制定初步审计方案的作用是为“初步调查”（步骤3）和“描述和分析内部控制”（步骤4）的审计工作作出说明，在实施“初步调查”（步骤3）和“描述和分析内部控制”（步骤4）时，需根据从其工作中获取的有关信息对审计方案进行修改和完善。

（6） 计划审计报告

审计报告是向被审计者和有关部门反映审计结果的文件，在审计的初期，应考虑审计报告涵盖的主要内容如何编制、何时报送以及向谁报送。

（7） 取得对审计方案的批准

在审计工作实施前，应由审计法务部负责人对审计方案进行审核和批准。

步 骤 三：初步调查

1、开始审计工作，召开审计会议，向被审计者的管理当局介绍拟展开的审计工作，协调审计工作与被审计者的经营活动，并取得被审计单位协助人员的名单。

2、实地观察，通过实地观察，内部审计师可以对被审计者经营活动的性质、工作气氛、工作流程、实物资产、部门之间的关系等取得一个初步的了解，并有机会与被审计者的员工进行接触。

3、研究资料，内部审计师需要研究的资料包括组织结构图、有关法律规定、陈述组织目标的文件、工作说明书、组织内部经营管理性文件、重要的经营活动文件、财务报表等资料，并确定这些文件是否存在、如何组织、是否有序存放、妥善保管等。

4、书面描述，对被审计者的情况的书面描述，是永久性审计档案的组成部分。内部审计师需要充分了解被审计者的情况，以便有效地评价内部控制系统的适当性。对信息系统和经营活动的书面描述包括：文字叙述、流程图、反映经营、竞争对手情况和被审计者经营外部环境的文件和资料。

5、分析性审计程序，实施分析程序是初步调查的一个组成部分。分析程序，能够对各种财务和经营报表数据进行分析比较，包括：实际和预算的比较，多期数据的趋势分析，账户间关系分析，财务和生产经营指标与前期指标、行业指标的分析比较等。

分析程序有助于内部审计师更好地理解被审计者的情况，还有助于内部审计师计划适当的审计程序，如发现异常而引起更详细地关注，提供明确的证据来证明经营和财务数据是否合理，证实风险高的和需要多花费时间和精力的审计领域。

步 骤 四：描述、测试和评价内部控制制度

此阶段审计工作具体包括：对被审计事项的内部控制进行详略得当的描述，针对关键控制点选取交易和经营活动进行“穿--行”测试，对内部控制实施小样本的测试、符合性测试和检查，评价内部控制，重估内部控制风险。

特别强调信息系统的内部控制，不可靠的信息系统，将得到错误的审计结论。 1、描述内部控制，可以通过流程图、内部控制问卷和文字描述等方式来描述内部控制。非首次审计，在描述内部控制时，可以参考或修改审计档案中的相应文件来进行；

2、“穿--行”测试，针对关键控制点选取交易和经营活动进行测试； 3、小样本测试，选择少量的交易进行测试，检查这些交易如何进行处理，确定交易的实际处理与预计的是否一致；

4、信息系统内部控制的测试，信息系统内部控制涉及被审计经营活动的信息收集、处理、传递和保管等各个环节，对信息系统的内部控制进行更广泛深入地测试，目标是寻找那些能保证审计结论正确无误的审计证据，当然，这些审计证据并非具有绝对的确定性；

无论何种测试，都包含三个基本内容：1）检查有什么样的经营活动，以及制定了哪些能促使这些活动有效率、效果地展开的相应内部控制措施；2）对这些活动进行测试，看它们是否与所设计的内部控制制度相符；3）评价内部控制系统的设计及其实际执行的效果。

5、符合性测试和检查，在上述测试程序的基础上，对相关的内部控制系统关键点进行符合性测试和检查，包括审查记录和文件、与被审者管理当局和其他员工进行面谈、实地观察经营活动、检查资产、将实际和记录进行比较，以及能使内部审计师充分详细了解组织控制系统的其他审计程序。

6、评价内部控制，经过上述对内部控制系统的描述和测试后，可以对被审者系统的内部控制情况作出初步的评价，就控制目标和控制风险、内部控制系统的质量等问题作出评价；

7、重估内部控制风险，经过对内部控制的描述、分析测试和评价，内部审计师需要考虑对审计目标和审计范围进行修改和完善。重估风险可能会导致对以后工作的重新调整，并决定是否进行扩大性测试；

一般而言，完成上述四个步骤，可以为本次审计目标的审计结论和审计建议提供足够的证据。但是，如果在“重估内部控制风险”阶段发现，审计证据不足以支持、完成本次审计目标，或审计证据初步揭示了本次审计目标之外的、重要的控制风险，则将进入步骤5。

如果经报告、批准，暂时不进行扩大性测试，留待于将来的审计完成，则在本次审计工作底稿中，应作为一项重点事项予以备忘。

步 骤 五：扩大性测试

扩大性测试的目的是获得额外的信息，使新的审计发现和审计结论更可靠。主要目的包括：1）执行更详细的检查；2）对已建立的控制制度和目标进行遵循性测试；3）评价内部控制制度的实际情况。

扩大性测试并非审计过程中对每一项目必须实施的程序，内部审计师可以从被审计项目中选择几个项目进行扩大性测试，是否选择进行扩大性测试，基于在执行步骤3和步骤4的基础上对风险重估的分析和判断。

扩大性测试的方法主要有：1）详细研究初步调查和内部控制检查时收集的证据；2）增加检查项目的数量；3）在执行步骤3和步骤4的基础上扩大检查的范围和深度。

如需要实施扩大性测试，应完成以下工作：

1、对审计方案作必要的测试，并确定所需的人员和其他资源；

2、编写书面审计报告的初步框架，如果在前期审计工作已完成了这一步，就要对原来的框架进行修改和完善；

3、实施扩大性审计测试，在审计方案中详细说明审计目标和审计范围的变化、所要进一步实施的审计过程以及内部审计师和审计时间的重新安排；

经过补充的审计方案，能反映在整个审计项目中的所有审计工作。每完成一项审计工作，都应立即在审计方案中记录其完成的日期，并由执行该项审计内部审计师签字，以明确每一审计程序的责任。

步骤4能测试出内部控制的强弱和初步的结果，步骤5则进一步证实步骤4的结果，并能将风险暴露予以量化，从而使内部审计师能对控制系统作出最终的评价，并在必要的情况下提出审计建议。

步骤5所实施的测试，包括步骤4中第5点的“符合性测试和检查”的审计程序。

需特别指出，这些测试的程序并非仅仅在步骤4和步骤5中。为完成审计目标、提出审计发现和建议，在整个审计过程中，内部审计师应判断地实施或加强这些测试工作。

步 骤 六：提出审计发现和审计建议

完成步骤4和步骤5，为内部审计师得出审计结论和提出审计建议打下基础。在充分了解被审者的目标和并熟悉被审者的信息系统和经营活动后，内部审计师应该可以对其内部控制系统作出一些有价值的评价，而且能够重估风险并对内部控制系统的完善提出有益的建议。

在结束了对被审者的研究和评价后，内部审计师应开始提出审计发现和审计建议。审计发现应包括内部审计师所发现的问题、评价这些问题的标准、实际和评价标准的差异所造成的影响（风险）、以及差异所产生的原因。

审计建议有以下四种类型： 1）无须改变现行的控制系统； 2）修改或补充现行的控制系统；

3）当增加被审者范围的控制措施的方法成为不可能或不可行时，建议扩大控制措施的范围，如整个“诚志”范围的系统控制措施；

4）对投资项目所要求的投资报酬率提出修改建议，以反映与这些投资相关的风险。

审计建议的提出，有时候很难择优选取，内部审计师可以倾向于某种类型，但我们建议，在难以择优选取审计建议时，通过列示不同的审计建议和风险提示，能使审计报告的使用者理解内部审计师作出该审计结论的根据。

步 骤 七：报告

审计所做的一切审计工作最终反映在审计报告中，并且是唯一能反映内部审计师能力的业绩的正式文件。

审计报告要说明审计目标、审计范围、总体审计程度、审计发现和审计建议，并由执行审计的内部审计师签字。

审计报告一般直接报送至总裁，经总裁批示，再下发至被审者及相关人员。

步 骤 八：后续审计 后续审计采取以下三种方式：

1）高级管理层与被审者进行协商，决定是否、何时、怎样纠正正式审计报告中的审计建议；

2）被审者按照决定采取行动；

3）在报送审计报告后的一段合理时间，内部审计师对被审者进行复查，看其是否采取了合适的纠正行动并取得了理想的效果，如果未采取纠正行动，是否是被审者有关第一责任人或部门的责任，并予以报告。

步 骤 九：审计评价

本步骤是由内部审计师对自身的工作评价。审计法务部负责人和审计项目负责人应考虑在以后的审计工作中应关注的事项，如本次审计的有效性如何、如何达到更理想的效果、本次审计对未来的审计有何指导意义等等，并做好评价，加以归档，在下次对该被审者再次审计时，此评价可作为前期审计档案，供内部审计师参考。

最后，编写业绩评价报告，评价审计项目负责人和其他内部审计师的工作，作为公司整体范围内CRG、审计法务部工作人员绩效考核执行的重要补充。

本指南自2003年10月1日起试行。

（2003年10月1日诚志审字[2003]2号）