高伟达软件股份有限公司
内部审计管理制度
中国·北京二〇二五年十月
目录
第一章总则 ...... 3
第二章内部审计组织 ...... 3
第三章年度审计计划 ...... 10
第四章开展内部审计业务 ...... 13
第五章审计工作底稿 ...... 22
第六章审计项目管理 ...... 24
第七章审计质量控制 ...... 24
第八章附则 ...... 25
第一章总则为规范公司内部审计工作,明确内部审计的职责和权限,发挥内部审计在强化内部控制、改善经营管理、提高经济效益的作用,确保内部控制持续有效实施,维护投资者的权益,实现内部审计的制度化和规范化,依据中国证券监督管理委员会发布的《上市公司章程指引》、中国内部审计协会发布的《中国内部审计准则》及国际内部审计师协会发布的《全球内部审计准则》及相关法律法规,结合公司具体情况,特制定本制度。
本制度所称“内部审计”,是一种独立、客观的监督和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。
公司根据内部审计管理制度开展工作。
内部审计的目的是加强内部控制,防范企业风险。其宗旨是为了实现财务报表的可靠性、经营的效率和效果、资产的安全和完整、内部控制的有效性。
第二章内部审计组织
公司设立的审计部,是审计工作的执行机构,向董事会负责。在审计与风险控制委员会的领导下,审计部依照国家法律、法规和有关政策及公司规章制度,独立开展工作及行使内部监督权,发挥监督、评价和服务功能。审计机构和人员保持独立性和客观性,不得置于财务部门的领导之下,或者与财务部门合署办公,不得负责被审计单位经营活动和内部控制的决策与执行。审计部的日常工作向审计部经理报告,特别事项和重大事项可直接向审计与风险控制委员会/董事会汇报。审计部配备专职审计人员,设立审计部经理、副经理、审计主管、审计专员等职务,下设审计组,由若干个人组成。审计部和审计人员依法行使职权,受国家法
律和公司规章制度的保护,任何部门和个人不得干预、拒绝、阻碍审计人员执行其职责,不得对其进行打击报复。
2.1内部审计职能
(1)对公司各内部机构、控股子公司以及对公司具有重大影响的参股公司(如有)的内部控制制度的完整性、合理性及其实施的有效性进行检查和评估;负责公司内部控制评价的具体实施工作。
(2)对公司各内部机构、控股子公司以及对公司具有重大影响的参股公司(如有)的各项经营活动、财务活动、项目投资的真实性、合法性、合规性、完整性、效益性的日常审计;审计部对公司业务活动、风险管理、内部控制、财务信息等事项进行监督检查,在监督检查过程中,应当接受审计与风险控制委员会的监督指导。审计部发现相关重大问题或者线索,应当立即向审计与风险控制委员会直接报告。
(3)合并、分立、投资、租赁、资产转让、项目清理等重大经营、重大项目、重要经济合同审计。
(4)至少每季度向董事会或审计与风险控制委员会报告一次,内容包括但不限于内部审计计划的执行情况以及内部审计工作中发现的问题;
(5)积极配合审计与风险控制委员会与会计师事务所、国家审计机构等外部审计单位进行沟通,并提供必要的支持和协作。
(6)领导人员离任进行任期经济责任审计及离任审计。
(7)在内部审计过程中关注和检查可能存在的舞弊行为,发现公司相关重大问题或线索的,应当立即向审计与风险控制委员会直接报告;监督对违纪违规行为进行调查,审核违纪违规行为处理意见和建议处理方案,并对公司员工的检举、控告进行处理,并按规定进行处理和答复。
2.2内部审计组织架构
| 审计与风险控制委员会/董事会 |
| ↓ |
| 审计部经理/副经 |
| 理 |
| ↓ |
| 审计主管 |
| ↓ |
| 审计助理 |
2.3岗位职责
2.3.1内审部经理
(1)制定内部审计工作制度和方法体系,不断提高审计工作质量和内部管理水平;
(2)负责制定年度审计工作计划,包括日程安排和人员安排,报审计与风险控制委员会批准后组织实施;
(3)协调审计过程中与公司各部门及所属公司的关系,针对审计发现的缺陷情况,与被审计单位沟通审计意见,做出改善方案,并检查其纠正行为;
(4)组织审计人员根据审计目标、审计事项,制定审计工作方案,选择适当的审计方法有序地进行各项审计工作;
(5)审核审计报告,提出最终的审计意见;
(6)职能上负责向审计与风险控制委员会汇报审计部门的工作情况;
(7)负责内部审计团队建设,制定部门发展计划,包括人员内外培训、日常业务考核等,并提供奖惩、任免、晋升建议。
(8)负责配合、协助外部审计等机构从事集团及子公司的审计、检查活动。
2.3.2审计主管
(1)协助、参与建立健全内部审计工作制度、审计工作流程。
(2)合理规划每一审计项目,确保审计项目处于良好的控制、组织状态;
(3)开展前期调查准备工作,确定每一审计项目的工作方向和重点,明确审计目标、审计范围和审计方法;
(4)现场督导内部审计人员,检查在审计实施过程中是否遵循了专业的准则;
(5)获取、分析和评价审计资料,并以此为基础,开展相应的调查,确认导
致缺陷的因素,对用来纠正该缺陷的方法提出建议;
(6)对审计中发现的重要问题及时与上级沟通,协商处理。
(7)维护、保持和被审计单位的良好工作关系,向管理层提出口头或书面的陈述,讨论所存在的缺陷,以及纠正缺陷的审计建议;
(8)撰写审计报告,并向审计部经理汇报工作,包括口头和书面汇报。
(9)对在审计过程中提出的建议及整改措施的落实情况进行跟踪检查。
2.3.3审计助理人员
(1)协助审计主管,完成前期的调查准备工作;
(2)积极参与制定审计方案,按照分工在规定的时间内完成审计任务,获取审计证据;
(3)如实记录实施的审计工作并报告审计工作结果;
(4)适时向审计主管/内审部经理汇报潜在的、重大的审计发现。
(5)负责本部门文件、资料的日常管理及立卷归档工作。
2.4.内部审计职责和权限审计的职责是促成公司的有效经营管理和内部控制,并协助董事会和审计与风险控制委员会履行其所负有的责任。
审计部履行职责所需的人力需求和费用预算,列入公司年度人力资源计划和财务预算。
审计部在履行职责时,享有业务上的独立性。审计部接受审计与风险控制委员会提出的要求,但有权启动、采取和通报审计认为是履行其职责所必需的其他行动。
2.4.1具体应履行如下职责:
(1)检查公司内部控制制度的执行情况,并对其有效性、合理性、经济性进行评价。
(2)对各公司的经济活动及相关财务收支的真实性、合法性、效益性进行审计监督,防错纠弊,为公司的企业优化管理提供意见。
(3)根据国家有关法律法规,拟定公司内部审计管理制度并在审批通过后组织实施。
(4)总结、交流内部审计工作经验,组织内部审计理论研讨,培训内部审计人员。
(5)制定/修改内部审计管理制度,报审计与风险控制委员会审核、审批后执行。
(6)向审计与风险控制委员会提交年度审计计划和年度审计报告,按时完成交办的审计任务。
(7)积极配合审计与风险控制委员会与会计师事务所、国家审计机构等外部审计单位进行沟通,并提供必要的支持和协作。
2.4.2为有效地履行审计职责,授予审计如下权限
(1)审计部可以根据审计与风险控制委员会批准的年度审计计划,在职责范围内,自主确定审计项目和审计对象;
(2)审计部可根据需要委派审计人员对有关单位或特定的事项实施审计。实施审计过程中,除特别限定外,受委派的审计人员具有与委派其工作同等的审计权限;
(3)在履行职责时,审计可以不受限制地直接、立即查阅属于公司的所有文件与记录,包括但不限于:
?规章制度、会议纪要、工作计划和总结等内部文件资料;?凭证、账册、报表、对账记录、实物等会计资料;?签订的各类合同、招投标活动纪录、材料物资核价单、供应单位及人员信息档案等资料;?财务预算、投资预算、决策等文件资料;?行政管理、人力资源管理、档案管理等文件资料;?其他与审计工作相关的资料。
(4)进行内部审计时,被审计单位应当按照审计部规定的期限和要求,向审计部报送、提供与审计内容相关的原始文件资料或其复印件。如有必要,报经审计与风险控制委员会或董事会批准,审计部可以暂时封存会计账册、凭证、档案
等原始文件和资料;
(5)根据需要,审计部有权出席或参加有董事或最高管理层举行的与审计、财务报告、内控管理等有关的会议;
(6)审计部进行审计工作时,有权实地察看、盘点或监督盘点实物;有权进行工作流程测试。
(7)审计部履行职责时,有权就审计事项向有关单位和个人进行书面或口头调查、询问,被审计单位和个人应当如实向审计部反映情况,提供有关证明材料。口头询问应作笔录,并由审计人员和被询问人员签署。
(9)审计人员根据预定的审计目标,在预定的审计范围内实施内部审计。如有必要可调整审计目标,扩大审计范围,或进行追溯、延伸审计。
(10)审计可以直接受理公司个人就可能存在的欺诈、浪费、滥用职权、不遵守行政、人事和其他制度或与审计的职责规定相关的其他不规范活动提出的投诉或提供的信息。
(11)董事会保证所有审计人员有权与被审计单位进行接触和向其索取相关审计资料、信息,而无打击报复之虞。
(12)审计在履行职责过程中,对被审计单位的下列行为,有权做出制止的决定,提出改进经营管理的建议,并报告审计与风险控制委员会或董事会:
?阻挠、妨碍审计工作的行为。?转移、隐匿、篡改、毁弃会计凭证、账簿、报表以及其他与经济活动和审
计事项有关的资料。?截留、挪用公司资金,转移、隐匿、侵占公司财产行为。?其他违反公司内部规章、侵害公司经济利益的行为。
(13)对阻挠、妨碍审计工作以及提供虚假信息和拒绝提供资料的单位、部门或人员,经审计与风险控制委员会或董事会同意批准,审计部可以采取必要的措施,并提出追究有关人员责任的建议。
(14)审计部认为按照法律法规和公司规定,应当对有关责任人给予处分、处罚或追究刑事责任的,可以向审计与风险控制委员会或董事会提出处理建议。
(15)对揭发、检举违反公司规章制度行为,提供审计线索的有功人员,以及对遵守和维护财经法规、取得显著经济效益的部门和个人、提出表彰和奖励的建议。
2.5.培训与发展
内部审计人员应当具备履行其职责相适应的专业知识、职业能力和工作经验,并通过持续职业发展来增加知识、提高技能及其他能力,而且,还应随时了解审计领域的最新发展动态。内审部采取多种方式,鼓励、支持内审人员的培训和发展,如举办业务讨论会,举办内部培训项目,参加后续教育培训,参加专业组织举办的专题研讨等。同时,也鼓励内审人员通过参加各种职业资格考试,不断提高自己的专业知识和技能。
2.6.职业道德
内部审计部人员在履行职责时,应当遵守职业道德规范:正直、客观、保密、专业和胜任。努力做到:
(1)坚持公正、客观和勤勉的原则,并负责地开展工作;
(2)保持忠诚,拒绝参与不利于公司或违法的行为;
(3)避免参与影响内部审计独立性,或影响其客观履行职责的任何妥协性的举动;
(4)不接受来自于被审计单位的任何贵重礼物。不参与被审计单位或个人安排的任何可能影响审计独立性及公正判断的活动;
(5)拒绝参与任何可能影响职业判断的活动,或从被审计单位获得可能有损
职业判断的利益;
(6)应当审慎利用在履行职责过程中获取的资料信息,严禁将任何保密信息
用于为任何个人牟利,或是有害于公司利益;
(7)应当尽职地获取足够而确凿的证据来支持审计报告中的结论,并客观地披露所了解的全部重要事项。
2.7.对内部审计人员专业要求
《中国内部审计准则》的相关规定:
第1210号—内部审计人员职业道德规范:内部审计人员在从事内部审计活动时,应当保持诚信正直;应当遵循客观性原则,公正、不偏不倚地作出审计职业
判断;应当保持并提高专业胜任能力,按照规定参加后续教育;应当遵循保密原则,按照规定使用其在履行职责时所获取的信息;应当具备履行职责所需的专业知识、职业技能和实践经验;应当通过后续教育和职业实践等途径,了解、学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。内部审计人员实施内部审计业务时,应当保持职业谨慎,合理运用职业判断。
第三章年度审计计划
3.1.制定年度审计计划
内审部在制定年度审计计划前,需要做审计需求调查,并进行公司风险评估,在此基础上,根据风险发生的可能性和对公司单个或者整体控制目标造成的影响程度,来选择审计项目,制定年度审计项目计划。以风险为基础制定年度审计计划的目的是将审计重点关注在对企业发展有着重要作用的业务单元,减少风险对企业的影响。
3.1.1计划内容
年度计划主要包括:年度审计工作目标、各审计项目的审计目标及实施时间、审计范围和审计重点,需要的审计资源以及后续审计安排。
3.1.2.编制步骤
(1)调查审计需求,初步选择审计项目。应考虑下列因素:
?董事会、审计与风险控制委员会安排或者授权审计的项目;?公司管理层对审计工作的要求;?经分析相关数据认为应当列入的审计事项;?上一次审计遗留问题;?其他方面的需求和关注的事项。
(2)对初选审计项目进行风险评估。对风险发生的可能性和影响程度进行估值,
应考虑下列因素:
?公司发展目标和工作重点;?经营管理及内部控制的状况、有效性和风险管理水平;?重大法规、政策、计划与合同的调整变化;?经营活动的复杂性及其近期变化;?人员的能力及岗位、职位的近期变动。?其他与项目有关的重要情况
(3)确定备选审计项目及优先顺序。应优先将审计资源安排到高风险的审计项
目,形成年度计划初稿。
(4)计划初稿经内审部内部讨论、并征求管理层意见后,形成内部审计年度计
划送审稿。
(5)年度审计计划报送到审计与风险控制委员会进行审批。如果审计与风险控
制委员会不同意审计计划,则内审部应根据审计与风险控制委员会提出的意见,修改年度审计计划,再次报批。
(6)在计划执行过程中,如果出现重大事项,必须调整年度审计计划时,内审
部应上报审计与风险控制委员会批准。
3.2年度审计计划流程图
3.3向审计与风险控制委员会报告
内审部应定期(季度或半年)向审计与风险控制委员会进行工作汇报,包括计划的执行情况、每个审计项目的重大审计发现、原因分析、审计建议以及整改情况。
内审部每年应向审计与风险控制委员会提交年度总结报告,包括对内部控制总体状况、审计报告、管理和经营状况的分析评价。
第四章开展内部审计业务
《中国内部审计准则》的相关规定:
第2101号内部审计具体准则--审计计划:内部审计机构应当根据批准后的审计计划组织开展内部审计活动。在审计计划执行过程中,如有必要,应当按照规定的程序对审计计划进行调整。内部审计机构负责人应当定期检查审计计划的执行情况。
审计项目负责人应当根据下列情况,编制项目审计方案:
(一)业务活动概况;
(二)内部控制、风险管理体系的设计及运行情况;
(三)财务、会计资料;
(四)重要的合同、协议及会议记录;
(五)上次审计结论、建议及后续审计情况;
(六)上次外部审计的审计意见;
(七)其他与项目审计方案有关的重要情况。
项目审计方案应当包括下列基本内容:
(一)被审计单位、项目的名称;
(二)审计目标和范围;
(三)审计内容和重点;
(四)审计程序和方法;
(五)审计组成员的组成及分工;
(六)审计起止日期;
(七)对专家和外部审计工作结果的利用;
(八)其他有关内容。
4.1内部审计过程概述
内审部开展具体审计项目的计划来源于:
?年度审计计划;?审计与风险控制委员会/董事会的临时指令;?高级管理层的需求。完整的内部审计过程可划分为准备、实施、报告和后续跟踪四个阶段:
?审计准备阶段?审计实施阶段?审计报告阶段?后续跟踪审计
4.2审计准备准备阶段是指从确定审计项目开始,到制定出书面的审计方案为止的这一过程。准备阶段是整个审计过程的起点,其工作的周密细致程度直接影响到项目审计工作的质量和效果。
经过审计准备,审计人员应当明确审计什么(审计范围),为什么要审计(审计目标)以及怎么去审计(审计程序)。
4.2.1组成审计小组
审计小组由审计组长和其他成员组成。审计小组可以是内审部人员,也可以根据不同的审计项目所需要的人力资源及其知识结构和专业性,由内审部与其他部门人员共同组成。审计小组组长由内审部审计主管及以上人员担任。
组成审计小组没有固定的模式和标准,但须保证审计组成员的综合素质和能力能够完成审计任务,满足审计质量管理的要求。在确定审计组的成员时,应考虑以下几个方面:
?年度审计计划对人力资源、时间和费用预算的要求;
?上一次审计对被审计单位内部控制状况的评价;
?企业管理层对该审计项目的一些特殊要求;
?上一次审计中发现的问题所采取的纠正行动及其效果。
4.2.2下达审计通知书
在审计实施现场审计前,审计部门应该以邮件、传真等方式,将审计通知书送达给被审计单位的管理层。审计通知书的内容主要包括:
(1)被审计单位:应与被审计单位的直接负责人沟通。如果涉及到多个部门,则应该通知所有相关部门的直接负责人;
(2)审计范围:应清楚地告诉被审计单位计划内的审计目标和审计范围;
(3)审计起止时间:应让被审计单位了解审计的时间安排;
(4)审计小组组长:应让被审计单位的管理层知晓审计主管人员;
(5)前期准备工作:应告知被审计单位配合审计的要求。
(6)审计业务通知书由审计小组组长负责起草,审计部经理审核并经公司董事长签批后下发。
(7)在正式的审计通知书签发后,审计小组组长应与被审计单位及时沟通,以确认已经知悉审计通知书的内容,同时落实审计前的相关准备。
4.2.3调查了解被审计单位
审计人员应熟悉、了解被审计单位的相关情况,以判断被审计单位可能存在的问题及其问题的严重性,收集和掌握确定重点审计领域、编制审计方案所必需的信息。审计人员可以通过查阅、访谈、观察、追踪、数据分析等方法了解被审计单位及其相关情况,主要包括:
(1)组织结构:组织架构,责权配置、职责说明书,岗位负责人;
(2)相关制度文件和文档资料等;
(3)业绩指标体系以及业绩考核情况;
(4)相关内部控制措施及其执行情况,包括不兼容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等;
(5)以往接受审计及其整改情况;
(6)需要了解的其他情况。
除了阅读审核财务或非财务信息外,内部审计人员还可以通过实地观察被审
计单位的正在从事的活动,或者和被审计单位的负责人、其他工作人员进行访谈,了解当前的实际的运营情况和已知的问题领域。可以选择下列标准作为职业判断的依据:
(1)法律法规和其他规范性文件;
(2)会计准则、会计制度;
(3)行业技术标准;
(4)预算、计划和合同;
(5)管理制度、工作标准、操作手册和业务流程;
(6)绩效目标和考核体系;
(7)历史数据和历史业绩;
(8)公认的业务惯例或者良好的事务;
(9)专业机构或者专家意见。职业判断所选择的标准应当具有客观性、适用性、相关性、公认性。应当结合适用的标准,来分析判断被审计单位可能存在的问题,并运用职业判断,根据可能存在问题的性质、数额、发生的具体环境、判断其严重性。
调查了解结束后,审计组长应该对所收集到的资料进行汇总,分类记录资料的来源。应与被审计单位/部门进行沟通,并确认审计人员的理解是正确无误的。
4.2.4制定审计实施方案
在完成上述准备工作之后,内部审计人员根据所掌握的基本情况和风险评估的结果,确定具体的审计目标和重点审计领域,制定项目审计的具体实施方案。项目审计方案是开展审计的整体指导,是整个准备阶段的最终成果。
根据审计任务编制审计实施方案,内容主要包括:
(1)被审计单位的基本情况、最新的变化、重要的问题等;
(2)被审计单位管理层关注的问题;
(3)审计目标和范围;
(4)审计内容和重点;
(5)审计程序、步骤和方法;
(6)审计工作要求,包括审计的时间进度安排、审计成员职责分工等;
(7)被审计单位的责任和需配合的事项;
(8)审计人员需求和资金预算。审计实施方案在执行过程中,如果发现审计目标和审计事项发生变化、发现实际情况和调查了解的信息有较大差异,需要对审计方案进行调整时,内审部应该以书面的方式报送批准。
4.3审计实施内部审计的实施阶段又可称之为现场审计阶段,是指审计项目经过充分的准备之后,针对高风险领域或显示可能存在重大问题的领域进行审计的阶段,也是将审计方案付诸实施,化作实际行动的阶段。
在审计的实施过程中,内部审计人员要深入审计方案中规定的审计领域,采用适当的审计技术和方法,对现场调查中确定的缺陷或问题进行深入细致的分析研究,获取充分可靠的审计证据,揭示审计发现的原因和结果,作出审计结论和意见,并提出有价值的审计建议或改进措施。
从某种意义上讲,审计的实施阶段是一个检查和评价信息的过程,即收集、分析和解释与既定审计目标相关的信息,并将其写入审计工作底稿,形成文件化记录,以证实审计发现、结论和建议。
依据被审计单位实际情况,可采取就地审计与送达审计、定期审计与不定期审计、抽查审计与全面审计、专项审计、专案审计等多种实施方式。
4.3.1开展审计测试
审计测试是对与被审计活动相关的凭证、文件、记录、业务等进行实质性的检查和评价活动。测试的目的在于收集充分可靠的审计证据,确定真实的审计发现,以达到审计目标。
在审计测试过程中,内部审计人员应抽取适当规模数量的凭证、文件等作为样本,按照其传递过程对其反映的交易事项的业务处理过程进行测试。测试的重点应集中于主要控制系统的关键控制环节,以及现场调查中确定的高风险领域或已经显示存在控制缺陷和问题的领域。测试也意味着对所抽取的样本按其特征进行深入细致的分析、鉴证。
(一)审计证据审计人员获取的审计证据,应当具有相关性、可靠性、适当性和充分性。相关性,即审计证据与审计事项及其具体审计目标之间具有实质性联系。可靠性,即审计证据真实、可信。适当性是对审计证据质量的衡量,指审计证据在支持审计结论方面相关联并真实可信。充分性是对审计证据数量的衡量,在评估重要问题时应当获取数量足够的审计证据。审计项目的各级复核人员应当在各自职责范围内对审计证据的相关性、可靠性和充分性予以复核。
内部审计人员在获取审计证据时,应当考虑下列基本因素:
(一)具体审计事项的重要性。内部审计人员应当从数量和性质两个方面判断审计事项的重要性,以做出获取审计证据的决策。
(二)可以接受的审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低,所需证据的数量越多。
(三)成本与效益的合理程度。获取审计证据应当考虑成本与效益的对比,但对于重要审计事项,不应当将审计成本的高低作为减少必要审计程序的理由。
(四)适当的抽样方法。
审计人员可以采取下列方法获取审计证据:
(1)检查,指纸质、电子等形式的文件资料;
(2)观察,指查看正在从事的活动或正在执行的程序;
(3)询问,指向有关人员了解相关审计事项的信息;
(4)外部调查,指向与审计事项有关的第三方进行调查;
(5)重新计算,指对有关数据计算的正确性进行核对;
(6)重新操作,指对有关业务程序或者控制活动独立进行重新操作验证;
(7)分析,指研究数据之间(财务数据之间、财务与非财务数据之间)可能存在的合理关系,对相关信息作出评价,并关注异常波动和差异。
(8)其他方法,包括但不限于审核、监盘、访谈、函证等。
审计人员对于重要问题,应围绕下列方面获取审计证据:
(1)标准,即判断被审计单位是否存在问题的依据;
(2)事实,即客观存在和发生的情况。事实与标准之间的差异构成审计发现的问题;
(3)影响,即问题产生的后果;
(4)原因,即问题产生的条件。
(二)审计记录
审计人员应当真实、完整地记录实施审计的过程、审计发现、得出结论和有关重要管理事项,以支持审计人员编制的审计报告,并使未参与该项审计的其他人员能够理解其执行的审计措施、获取的审计证据、做出的职业判断和得出的审计结论。
审计记录包括调查了解记录、审计工作底稿和重要管理事项记录。
审计发现是指审计过程中发现的问题和缺陷,审计发现以各种形式出现,如应执行而未执行的行动、被禁止的行为、不适当的行为、令人不满意的系统等。
在内部审计人员开展审计测试过程中,会有各种各样的审计发现,审计人员应该对审计发现进行因果分析。因果分析意味着对已经确认的审计发现进行深入细致的调查研究,以揭示审计发现的原因和导致的不良后果。
在进行因果分析时,内部审计人员通常应考虑以下几个方面:
(1)原因和结果应是紧密相关的:这意味着对原因的理解和认识能够足以说明和解释所产生的结果;
(2)在可能的情况下,尽可能将控制缺陷导致的不良状况数量化,用数据来说明这种缺陷所造成的危害程度;
(3)如果因果分析表明存在一系列的问题,则可能暗示该领域或相关领域的内部控制失败。这时,内部审计人员就应该追踪检查,收集充分的证据,以证实这些领域内部控制失败的原因及其危害程度;
(4)考虑原因来源于何处,有助于正确评估审计发现的性质和重要性,有助于提出解决问题的建议和措施。
4.3.2总结审计发现、结论和建议无论何时,内部审计人员发现潜在的审计缺陷,都要准备简要的情况小结,说明审计发现、结论和建议。这种小结称为审计工作底稿。审计工作底稿所列示的缺陷并不必然成为最终报告的审计发现,但是凡是在审计测试期间发现的审计缺陷事件,都应一一记录下来。
审计发现的要素应至少包括:
(1)审计标准:指对被审计活动的现状进行分析判断的依据,即“应该怎样”,例如,一般公认的会计原则,普遍采用的管理原则或实践,适用的政府法律和条例,企业内部的方针政策、程序、计划、预算、工作标准等等;
(2)情况描述:活动的实际执行结果,即“实际怎样”,内部审计师应提供足够的与审计发现事实相关的信息,该信息必须是充分、可靠和相关的,能经得住任何质疑。
(3)原因:即导致出现问题或缺陷的解释,即“为什么会出现审计发现”;
(4)影响:损害程度,即“如果不合理的现状继续下去,将会怎么样”。内部审计人员应该让管理层了解、信服其影响的严重程度,否则纠正行动被采纳的机会就会很小;
(5)建议:内审人员应该提出纠正行动的措施供管理层参考,建议应该积极有效,并尽可能详尽,还应明确具体的执行人。
4.3.3与被审计单位讨论审计发现
与被审计单位及时讨论交流审计发现和审计建议,应贯穿于整个审计过程。在现场审计时,审计人员适时地将发现的问题与被审计单位进行讨论,听取他们的解释,征求他们的意见和看法,这样有利于:
(1)确保审计发现事实真实可靠:任何关于事实的争议都应该在审计发现被报告前得到解决,内部审计师必须保持“看问题准确的名声”;
(2)为审计人员提供和被审计单位交流的机会,以便共同寻找解决问题的方法;
(3)有效避免审计报告中出现的差错,因为在审计过程中,所有审计发现和审计建议都已经得到被审计单位的认可,避免事后双方产生不必要的争议。
如果管理层拒绝审计建议,那么审计部经理应该向审计与风险控制委员会/董事会及时汇报。
4.4审计报告
虽然在审计过程中,审计人员就审计发现和建议已经和被审计单位的主要负责人进行了交流和讨论,但是最终内部审计人员必须以审计报告的形式督促被审计单位纠正存在的问题,完善内部控制,防止潜在的风险损失。
审计报告阶段主要包括这些过程:向被审计单位汇报审计结果;起草审计报告;完成并分发审计报告。
4.4.1起草审计报告
审计报告是根据审计工作底稿所包含的信息撰写的。在审计实施阶段与被审计单位讨论的基础上,便可以着手审计报告的起草工作。正式的最终书面审计报告应至少包括下列内容:
(1)审计依据;
(2)实施审计的基本情况,一般包括审计范围、内容、方式和实施的起止时
间;
(3)被审计单位基本情况;
(4)审计评价意见;
(5)具体的审计发现和改进建议;
(6)管理层回应或已经整改的情况。
审计报告应突出重要的审计发现。根据不同的审计目标,以审计认定的事实为基础,按照重要性原则,从真实性、合法性、效益性方面提出审计评价意见。
4.4.2送达审计报告
一旦审计部门和被审计单位就审计报告的内容达成一致意见后,审计部经理应签发正式的审计报告,并报送给集团高层管理。
4.5审计的后续跟踪
作为完整审计过程的一个阶段,后续跟踪意味对审计报告中反映的问题进行跟踪检查,并督促被审计单位采取措施进行整改,直到被审计单位采取了纠正行动,使内审人员和管理层感到满意为止。
是否需要对被审计单位的纠正行动进行后续跟踪审计,以及后续跟踪的时间和方式,应根据审计发现的重要性判断,并由审计部经理考虑和决定。
第五章审计工作底稿
《中国内部审计准则》的相关规定:
第2104号内部审计具体准则--审计工作底稿:审计工作底稿应当内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。
5.1审计工作底稿的概述
工作底稿是对审计工作的记录,记录审计过程中所获得的信息以及对这些信息所作的分析。从内审部人员开始安排审计工作,直至到结束审计,这个过程都要编制工作底稿。他们记录审计过程中的下列步骤:
(1)审计计划,包括审计实施方案;
(2)对内部控制系统的充分性和有效性的检查和评论;
(3)实施的审计程序、获得的信息以及得出的结论;
(4)监督性符合;
(5)审计报告;
(6)对纠正措施的跟踪审计。
审计工作底稿通常用于下述目的:
(1)记录审计过程中所获得的信息,是审计人员工作的证明;
(2)为内部审计报告提供支持;
(3)为评价内部审计部门的质量提供依据;
(5)为外部审计提供参考。
审计工作底稿主要包括下列要素:
(一)被审计单位的名称;
(二)审计事项及其期间或者截止日期;
(三)审计程序的执行过程及结果记录;
(四)审计结论、意见及建议;
(五)审计人员姓名和审计日期;
(六)复核人员姓名、复核日期和复核意见;
(七)索引号及页次;
(八)审计标识与其他符号及其说明等。
5.2审计工作底稿的分类
内部审计人员在审计项目完成后,应当及时对审计工作底稿进行分类整理。审计工作底稿按下列类别划分:
(1)审计报告;
(2)审计计划及方案;
(3)审计资料,审计资料按取得来源,分部门列示;
(4)整理分析复核工作底稿。
5.3审计工作底稿的编制要求
审计工作底稿应当注明索引编号和顺序编号。相关审计工作底稿之间如存在勾稽关系,应当予以清晰反映,相互引用时应当交叉注明索引编号。不同类别工作底稿按序排列并标号。审计工作底稿应该保持完整。
5.4审计工作底稿存档
内部审计人员在审计项目完成后,按照审计工作底稿相关规定进行归档、保管和使用。每个审计项目结束后,电子版工作底稿要进行统一归档,审计底稿的所有权归公司,但是由审计部妥善保管。审计经理根据底稿的重要性,确定底稿的保管期限。
公司内其他部门可以要求查阅相关部分审计工作底稿,但是必须经审计部经
理的批准。公司以外的机构要接触审计工作底稿时,审计部经理必须获得高级管理层和法律部门的许可。
第六章审计项目管理年度审计计划中,对所有审计项目分配了时间预算和计划。但是在具体执行每个项目时,当审计人员对被审计单位完成初步调查和风险评估,并在制定审计方案中,应细致地规划预算和日程表。
第七章审计质量控制项目自我质量控制主要是指审计小组开展审计项目时,对确定项目小组成员、确定项目负责人、编制项目审计方案、搜集审计证据、编写审计工作底稿、形成审计意见、征求被审计单位意见、出具审计报告,实施后续审计、归集审计档案等全过程的质量控制。
审计部在进行质量控制时应重点遵循4个原则:系统性、重点性、可行性、经济性。在项目实施时有效运用内部审计质量控制政策和程序,使所有审计事项都符合内部审计准则的要求。
审计部在接受审计业务时,应当考虑自身能力和独立性,充分考虑被审计单位的有关情况,分析审计风险,必要时可向有关专家咨询。
《中国内部审计准则》的相关规定:
第2306号内部审计具体准则--内部审计质量控制:内部审计机构负责人对制定并实施系统、有效的质量控制制度与程序负主要责任。内部审计质量控制分为内部审计机构质量控制和内部审计项目质量控制。内部审计机构负责人和审计项目负责人通过督导、分级复核、质量评估等方式对内部审计质量进行控制。
内部审计质量控制主要包括下列目标:
(一)保证内部审计活动遵循内部审计准则和本组织内部审计制度的要求;
(二)保证内部审计活动的效率和效果达到既定要求;
(三)保证内部审计活动能够增加组织的价值,促进组织实现目标。
审计部应定期召开部门会议,进行政策和业务学习,同时对质量控制的执行情况进行检查和分析,对审计事项进行总结和评价,以便及时发现问题,不断完善质量控制制度,尽可能降低审计风险。审计项目负责人应承担的审计责任?对审计报告的真实性、完整性负责。?对审计事项的定性和政策运用负责。审计人员所应承担的审计责任:
?对审计工作底稿的真实性、完整性负责。
?对未执行必要审计程序导致重大问题未发现,以及审计查出的问题严重失实承担责任。
第八章附则
本制度未尽事宜或与本制度生效后颁布、修改的法律、法规、上市地上市规则或《公司章程》的规定相冲突的,按照中国有关法律、法规、上市地上市规则及《公司章程》的有关规定执行。
本制度自公司董事会审议通过之日起实施,修订时亦同。
本制度由公司董事会负责解释。
高伟达软件股份有限公司董事会
2025年10月