1.5 内部审计的流程

由定义、关键要素和架构等因素可知，内部审计是一种科学、客观和严谨的企业内部活动。在其他要素没有差异的情况下，标准化的流程一般有助于提高审计活动的科学性、客观性和严谨性。因此，我们建议按照《内部审计基本准则》的规定，企业内部审计部门针对确认和咨询活动分别设定标准化流程。

实践中常见的内部审计流程一般按照四个阶段或五个环节进行一级流程划分，在此基础上再区分二级流程甚至三级流程。具体实践可以参考《内部审计基本准则》和《商业银行内部审计指引》等文件，这些文件均给出了可遵循的通用标准流程。

1.5.1 内部审计的四个阶段

内部审计的基本流程可以分解为四个阶段（见图1-8），分别是审计计划阶段、审计执行阶段、审计整改阶段和审计跟踪阶段。

1）审计计划阶段，包括年度审计计划和单个项目的审计方案。其中部分大型和复杂项目也会制订项目计划。一般在进行年度风险评估后制订年度审计计划，在进行单项风险评估后制订单个项目审计方案。单个项目审计方案的核心是确定审计范围、审计期限、审计标准、审计方法和工具、人员分工和资源投入情况等。

2）审计执行阶段，涵盖成立审计团队、发出审计通知、执行现场及非现场审计、进行问题沟通和确认、撰写审计报告并汇报、管理审计档案等过程。

3）审计整改阶段。内部审计人员与被审计方达成一致的整改落实计划和方案，被审计方按期落实整改。

4）审计跟踪阶段。内部审计人员按照整改计划和方案，执行问题整改跟踪或者后续跟踪专项审计。

此外，审计成果应用、审计质量监督也可以纳入内部审计流程，与上述四个阶段共同构成内部审计工作的全生命周期流程。

1.5.2 内部审计的五个环节

实践中还有一种划分方法，即将内部审计分为五个环节，包括审前准备、审计实施、审计报告、后续审计和成果运用，如图1-9所示。

根据中国内部审计协会发布的《内部审计具体准则》，内部审计的工作程序包括审计计划（2103号）、审计通知书（2102号）、审计抽样（2108号）、分析程序（2109号）、审计工作底稿（2104号）、结果沟通（2105号）、审计报告（2106号）、后续审计（2107号）、审计档案工作（2308号）等。

内部审计的工作程序在不同企业或不同性质的项目中会有所不同，可以对上述划分方式进行组合或分解。例如，一些企业将内部控制审计的主要程序划分为编制项目审计方案、组成审计组、实施现场审查、认定控制缺陷、汇总审计结果、编制审计报告。

根据《商业银行内部审计指引》的规定，内部审计的工作流程包括编制中长期审计规划、编制年度审计计划、组建审计组、编制项目审计方案、现场审计与非现场审计、编制审计工作底稿、征求审计对象意见、完成审计报告、审计报告的确认和上报、问题整改、档案管理、审计质量评估等，如图1-10所示。

内部审计的方法一般有分析、核对、审核、观察、访谈、调查、检查、函证、鉴定、调节等。内部审计人员也可以综合运用访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等方法来开展内部审计工作。

对于内部审计工具，相关规定和指引并未给出明确的类型。因此，内部审计工具可以各不相同，各企业和团队可以研发、借鉴和使用不同的有形或无形工具，如调查问卷、视频录音、数据分析工具、计算机辅助审计工具。

1.5.3 内部审计的流程解析

根据内部审计四个阶段和五个环节的划分方式，结合企业实践经验，可以进一步将内部审计的流程划分为以下几个环节：业务和风险评估、制订年度审计计划、编制审计方案、执行非现场审计、执行现场审计、编制审计底稿、审计问题的识别和沟通、撰写审计报告、问题整改和追踪。下面对这些流程进行进一步的阐述。

1.业务和风险评估

在内部审计工作流程中，业务和风险评估是一项重要的工作，贯穿整个内部审计生命周期。业务和风险评估是制订审计计划、确定审计范围、识别问题缺陷、整改跟踪审计、问题处罚等工作的重要基础。风险就是可能影响企业业务目标实现的事件，内部审计需要建立一套系统的业务和风险评估流程。内部审计风险评估的流程及方法如图1-11所示。

2.制订年度审计计划

根据《内部审计基本准则》，审计计划一般包括年度审计计划和项目审计方案。年度审计计划是对年度预计要完成的审计任务的工作安排，是组织年度工作计划的重要组成部分。

内部审计人员应确保审计计划与相关业务目标及风险相匹配。具体来说，可以关注以下几点：

1）分析组织的中长期战略、年度目标及业务活动重点。

2）了解重要的法律、法规、政策、计划和合同。

3）了解近期的风险管理状况，分析未来的风险管理趋势。

4）了解重要人员的变动。

5）理解企业业务、资源、文化和价值。

6）对利益相关者在价值链中进行价值驱动分析。

年度审计计划至少应该包括年度审计工作目标、具体审计项目及实施时间、各审计项目需要的审计资源、后续审计安排等内容。此外，年度审计计划还需要经过高级管理层及审计委员会或董事会的审批和授权。内部审计机构负责人负责年度审计计划的编制工作。

审计计划的制订主要包括如下步骤：

1）复核战略计划。

2）进行年度风险评估，确定本年度实施的审计项目。

3）核实已有的审计资源和专业胜任能力。

4）制定人员和资源预算。

5）拟订审计计划并与管理层沟通。

6）计划审批通过。

7）根据风险变化及业务需求进行调整。

根据行业最佳实践，优秀的审计计划应具备以下特点：

1）正式、规范的风险评估过程。

2）定义了全部的审计范围。

3）利益相关者大量参与。

4）使用了风险调查。

5）内部审计的审计计划与风险评估紧密相连。

6）审计计划覆盖了高中风险领域。

7）审计计划包含控制情况回顾和对未来的预测。

8）审计资源配置要求的初步估计，如技能、经验和人力。

9）得到审计委员会的审批。

年度审计计划关注点、主要内容、流程和领先实践如图1-12所示。

3.编制审计方案

项目审计方案是针对具体审计项目所需的审计内容、审计程序、人员分工、审计时间、资源配置等进行安排的计划。除了遵循《内部审计基本准则》的要求外，审计方案的结构和内容还可以根据企业和具体项目的特点进行个性化、创造性的改造。

4.执行非现场审计

非现场审计是一种在现代信息和数据处理、传递方式下快速发展起来的审计方式。它通过定期采集被审计单位的各种真实数据和信息，利用审计软件、监控系统等有重点地进行信息分析和数据核查，评估出风险线索，确定审计重点。一方面，它可以为现场审计提供有价值的信息，具有很强的时效性和针对性；另一方面，它也可以独立开展核查分析，发现问题。它对被审计单位定期进行非现场分析，使审计分析具有连续性和科学性。非现场审计通过网络实现数据在线审计或离线审计，能够实时、有效地对被审计单位各项业务进行监控。

5.执行现场审计

现场审计是指审计人员进驻被审计单位的工作现场开展审计工作，是审计项目实施中最重要、最关键的环节之一。现场审计通常包括几个标准化的审计工作流程，以独立开展项目的形式进行。此外，现场审计也可以在进驻现场之前通过调查问卷、获取数据和信息等方式进行审前分析。在目前的审计实践中，很多审计项目是通过现场审计和非现场审计相结合的方式开展的。

6.编制审计底稿

内部审计人员应根据项目审计方案，综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法，获取审计证据，并将审计过程和结论记录于审计底稿中。

监管机构没有给出审计底稿的形式标准。国外和国内、不同企业、同一企业内部不同时期不同项目的内部审计报告在形式上均具有差异。审计底稿格式示例见表1-1。

7.审计问题的识别和沟通

企业可以建立审计异议解决机制，以针对有异议的审计结论进行沟通和确认，再将沟通结果和审计结论报送至相关上级机构并归档保存。

审计项目中发现的问题可以记录在《审计问题事实确认书》中。在描述审计问题时，应注意审计标准的匹配性、审计证据的充分性、审计措辞的严谨性及语言的简洁性。对于合规类问题，应清晰地描述所违反的法规具体条款。对于风险类问题（无明确违反内外部政策制度的问题），应描述风险的现状、大小和影响。对于管理提升类问题，应描述领先实践和其他公司的管理规范。

8.撰写审计报告

内部审计人员在实施必要的审计程序后，应征求审计对象意见并及时完成内部审计报告。内部审计报告应包括审计目标和范围、审计依据、审计发现、审计结论和审计建议等内容。

内部审计人员应将内部审计报告发送给审计对象，并上报审计委员会及董事会。同时，根据内部审计章程的规定，应及时与高级管理层沟通在审计中发现的问题。

与审计底稿一样，监管机构也没有给出内部审计报告的形式标准。实际上，国外和国内、不同企业、同一企业内部不同时期不同项目的内部审计报告在形式上均具有差异。存在差异是可取的，一成不变、僵化固定格式的内部审计报告反而是缺乏创新精神和变革精神的体现。

9.问题整改和追踪

金融机构的董事会及高级管理层应采取有效措施，确保内部审计结果得到充分利用，整改措施得到及时落实。对未按要求整改的，应追究相关人员的责任。内部审计部门应跟进在审计中所发现问题的整改情况，必要时可开展后续审计，评价问题的整改进度及有效性。内部审计问题整改和追踪台账见表1-2，各企业内部审计部门可在实务操作中参考使用。