宁波银行内部审计手册范本.doc

1、 . 银行部审计手册银行 审计部二一年十月40 / 40目录第一章审计方法论6第一节审计类型6一、常规审计6(一)业务审计6(二)信息系统审计6二、特殊审计项目6第二节审计宇宙与可审计单元7一、审计宇宙7二、可审计单元9第三节风险评估9一、风险评估前期准备9(一) 了解本行的战略目标与开展预期9(二) 风险评估标准9二、开展风险评估11(一)全面理解本行的业务12(二)识别风险13(三)评估风险13第四节制定审计计划16一、制定审计计划的目标16二、审计计划的制定16(一)对重大流程进展分类16(二)对重大流程的主要流程进展排序16(三)确定审计项目16(四)确定审计工作时间17三、审计计划的

2、调整17第二章审计操作流程18第一节审计准备阶段18一、确定审计项目18二、确定项目主审人18三、确定审计人员与分工19四、下发审计通知书19五、收集审计相关资料19六、审计前会议20第二节审计实施阶段20一、入场会谈20二、实施审计20(一)人员访谈20(二)识别业务的重大风险和控制21(三)穿行测试22(四)控制测试23(五)审计工作底稿编制25三、审计发现、沟通与总结25(一)审计发现汇总25(二)审计发现沟通与总结26第三节审计报告阶段27一、起草审计报告初稿27(一)审计报告要求27(二)报揭发送28二、审计报告审核、审批28三、审计报告声明28第四节项目总结阶段29一、审计项目总结

3、29二、审计项目管理29第五节后续跟踪阶段29一、整改计划审核、确认29二、整改良程监控30三、后续审计30第三章质量监控31一、持续评估31二、自我评估31三、外部评估32第四章审计档案管理33一、立卷建档33二、编写档案目录33三、制作档案封面和档案管理33第五章审计知识管理与共享34第六章信息系统审计35一、企业层面信息科技控制35二、信息系统的一般控制35三、信息系统的应用控制37四、计算机辅助审计39第一章 审计方法论第一节审计类型一、常规审计常规审计是审计部实施最频繁的审计工作类型，也是审计部开展年度审计工作的主要容。假设干常规审计项目构成了年度审计计划，这些项目可被归纳为两类：(

4、一) 业务审计业务审计主要为1) 对业务单元、业务条线、职能部门或模块以与业务功能实施审计，2) 对某一个或一类特定的业务产品与效劳实施审计，3) 对业务部门或产品效劳提供支持的应用系统实施审计，该应用系统的审计通常作为业务流程审计中的一局部，并不单独立项实施审计工作。业务审计的实施主要以流程为根底，运用一定审计方法，执行相关审计步骤，从而得出有效的审计结论并向管理层就业务功能和运作的提升提出改良建议。执行业务审计的具体程序参见“第二章 审计操作流程。 (二) 信息系统审计信息系统审计是指对信息系统与其业务应用的效能、效率、平安性进展监测、评估和控制的过程，以确认预定的业务目标得以实现。具体而

5、言，信息系统审计就是以信息系统为审计对象，通过现代的审计理论和信息科技管理理论，从信息资产的平安性、数据的完整性以与系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程进展全面审查与评价，以确定其是否能够有效可靠地到达组织的战略目标，并为改善和健全组织对信息系统的控制提出建议的过程。二、特殊审计项目特殊审计项目是由于某一特殊事件或环境引发的要求审计部必须实施的审计项目，该审计项目未包含在基于风险评估结果而制定的年度审计计划。特殊审计项目可应本行高级管理层或监管当局要求发起。审计部应向适当的管理层级汇报特殊审计项目的工作结果，并针对每个项目的性质确定是否出具正式

6、的审计报告。第二节审计宇宙与可审计单元一、审计宇宙审计宇宙，又称为审计工作围框架，是一家银行所有可以被审计的领域的集合。建立审计宇宙是根据以风险为导向的审计方法论开展部审计工作的首要根底。审计部首次开展风险评估时，应与各业务/职能部门以会议或研讨的形式讨论并制定审计宇宙。审计委员会和高级管理层审阅并批准审计部提交的经讨论达成一致的审计宇宙。在确定银行的审计宇宙时，需要考虑的因素包括：(1) 部审计的职能定位；(2) 银行的经营围和业务领域；(3) 银行的组织架构和业务流程体系；(4) 外部监管机构的要求等。审计部结合本行的经营管理特点建立了适于本行的审计宇宙，包括：(1) 主要业务条线，如公司

7、银行业务条线，零售银行业务条线，个人银行业务条线，信用卡业务条线，资金业务条线，风险管理条线等；(2) 重大流程，如信贷效劳，客户结算效劳与风险管理等；重大流程又被划分为假设干主要流程，如重大流程“信贷效劳分为申请处理，担保管理，贷后管理等主要流程。审计宇宙的具体构成详见下页图示。银行审计宇宙示例审计部定期至少每年审阅审计宇宙并根据本行实际经营状况进展更新，与各业务/职能部门确认后提交高级管理层和审计委员会审批确定。审计部根据更新后的审计宇宙开展风险评估活动。由于定期更新，最新版本的审计宇宙以【审计管理信息系统】中显示的框架图为准。二、可审计单元可审计单元根据不同的定义方法，可分为以下类别：(

8、1) 一项业务或管理职能；(2) 一类业务或管理活动；(3) 一个业务职能部门；(4) 一条业务条线；(5) 一家分/支行；与(6) 一个具体项目或业务程序等。审计部定期对可审计单元实施风险评估，根据风险评估结果制定项目审计计划，对可审计单元开展具体审计工作。第三节风险评估一、风险评估前期准备(一) 了解本行的战略目标与开展预期审计部在实施风险评估前，与董事会、审计委员会以与高级管理层以会议或其他形式进展充分沟通，理解本行整体的战略目标与未来的业务开展预期，以与他们对部审计的预期，继而确定部审计工作重心，合理分配部审计资源。(二) 风险评估标准审计部会同风险管理部、各业务条线人员与涉与的分支机

9、构，共同制定风险评估标准，提交高级管理层审阅并最终确定。该标准从风险因素可能导致的不利影响的程度和风险因素发生的可能性两方面综合考虑，为评估本行面临的所有重大业务风险的上下程度提供统一的判定标准。在考虑风险因素可能导致的不利影响的程度时，审计部应首先决定从哪些风险因素方面评估本行面临的主要风险如财务风险，操作风险，声誉风险等，且这些风险因素须与部审计工作重心一致。通常可通过制定定性和定量的标准来确定风险上下程度，如以下图所示：风险评估标准示例影响程度：【风险评估标准】可能性：形成的风险程度：审计部定期至少每年审阅和重新评估风险评估标准，检查其列示的具体标准是否符合当前业务开展状况和管理要求。如

10、需更新该标准，审计部应于开展具体风险评估前提交高级管理层审阅并确定修改容。二、开展风险评估实施风险评估的目的是通过利用一种合理的方式对经选择的具体风险有效配置现有审计资源。风险评估时，审计部识别、评估并记录本行流程和组织要素的风险以与与风险相关的管理活动。风险评估主要分为三个阶段：(一) 全面理解本行的业务熟悉并理解本行业务经营的围和程度是实施风险评估的第一阶段。于本阶段，审计部应评估本行整体的控制环境，确认对业务流程的理解，识别并与业务部门确认影响业务目标完成的最重大的固有风险，了解信息科技控制环境。1 评估本行整体的控制环境此处的控制环境主要指管理层的控制意识和态度。从以下四方面评估控制环

11、境：(1) 管理层的控制意识和经营风格；(2) 银行诚信与道德标准；(3) 公司治理措施；(4) 组织架构和职责划分；与(5) 人力资源政策，人员素质和能力审计部如在以上方面发现重大事项或差异，应与时向审计委员会和高级管理层报告。2 确认对业务流程的理解审计部与各业务条线部门以与职能部门沟通确认相关业务流程事项，并向其解释风险评估事项，包括以下方面：(1) 简要介绍审计宇宙和风险评估过程；(2) 简要介绍风险评估时如何运用风险评估标准；(3) 根据高级管理层设定的总体业务目标，将目标与审计宇宙中列示的重大流程相匹配；确认各业务部门的具体业务目标，确认每个重大流程以与相关重要流程的关键成功因素；

12、4) 确认重大流程的结构，识别流程负责人，了解流程主要容；(5) 识别对重大流程存在影响的利益相关人和其他任何外部因素，发现影响流程且使其不能到达业务目标的风险；(6) 识别用于衡量关键成功因素的关键业绩指标，与管理层确认其是否使用关键业绩指标以监控流程的有效性；(7) 识别任何存在的总体风险；与(8) 讨论相关的信息科技事项，如，信息科技如何运用于各重大流程。3 识别并确认重大固有风险审计部与各流程负责人以沟通、会议或其他形式讨论并确定重大流程中存在的最重大的固有风险。这些风险可归类为：(1) 与利益相关者和/或外部因素相关；(2) 直接存在于本行的控制活动中；与(3) 存在于本行的控制活

13、动之外。4 了解信息科技控制环境审计部应了解应用于各重大流程的信息科技容，在识别与评估其他银行风险时连同信息科技风险一同进展。(二) 识别风险审计部利用在“(一)全面理解本行的业务步骤中收集到的重大流程信息，为重大风险的识别工作提供充分指导，特别是识别那些存在于主要流程中且与部审计工作重心相关的重要风险。审计部针对主要流程具体开展以下工作：1 与主要流程的负责人讨论，清楚了解这些流程的目的与目标，相关的关键成功因素和关键业绩指标，以与高度概括的流程特点和流程中存在的重大风险；2 在上述1中涉与的具体信息的根底上，识别那些与流程相关的重大风险，了解：(1) 为确保流程运作到达业务目标，必须正确实

14、施的工作与可能阻止这些工作发生的情况；(2) 流程中可能出错的地方，且其可能阻止业务目标的实现；(3) 信息科技和人力资源如何应用于流程且会产生哪些重大风险；(4) 设计的流程是否符合市场开展和环境变迁，如利益相关者的影响或外部因素；与(5) 流程是否存在任何可能导致财务损失或其他损失的固有因素。3 与管理层讨论并确定识别的每一个风险。(三) 评估风险通过评估与汇总每一个主要流程存在的风险从而形成一份总体的流程评估结果：1 按业务条线评估各主要流程存在的风险：审计部与各业务条线通过使用风险评估标准中列示的评估标准，决定本条线涉与的各主要流程存在风险的程度。需注意的是风险评估标准仅作为衡量风险的

15、一个标尺，审计人员在实际评估时仍需要依赖自身的专业判断。因此审计人员必须记录得出评估结果的根本原因。2 在不同业务条线中平衡同一个主要流程存在的风险：审计部审阅同一个主要流程在不同业务条线中得出的风险评估结果，不同业务条线下的风险程度可能不同。产生差异的根本原因主要为：(1) 本行的战略开展目标决定各业务条线的重要水平不同；与(2) 各业务条线的业务规模与流程操作的复杂程度不同。虽然存在差异，但是审计人员应运用专业判断将这些差异合理化。审计人员可以适当调整风险程度，但必须与各业务条线确认调整后的风险评估结果。3 评估所有主要流程存在的总体风险：在评估完审计宇宙包含的所有主要流程在不同业务条线存

16、在的风险后，即按各主要流程对不同业务条线下的风险进展综合总体评估。审计人员将各业务条线的风险进展简单加总并运用专业判断得出一个总体的风险程度。审计部应与负责流程的管理层就该主要流程的总体风险评估结果达成一致。如假设存在任何重大的意见分歧，审计部应详细了解该流程容和事实根底，以期与管理层就存在的风险程度达成一致。如假设仍不能达成共识，审计部应与时与高级管理层和审计委员会进展沟通。在评估所有主要流程存在的总体风险时，需要考虑如下因素：(1) 对银行经营目标实现的影响程度；(2) 系统与流程的复杂程度；(3) 合规要求；(4) 部与外部审计的审计发现；(5) 距离前次审计检查的时间；(6) 舞弊发生

17、的可能性；(7) 资产的流动性与变现能力；与(8) 对财务报表重大错报漏报的影响程度等。审计部将上述风险评估的总体结果反映在审计风险热力图中，风险程度的上下用红、黄、绿三种颜色加以区别，见以下图示例。银行审计风险热力图示例审计部定期至少每年开展风险评估活动并相应更新审计风险热力图，供董事会与高级管理层了解全行何处存在风险。第四节制定审计计划一、制定审计计划的目标审计部基于风险评估结果开场编制本行的年度审计计划。在具体制定年度审计计划时，审计部可以着眼于以下方面：(1) 运用基于风险的方法论；(2) 参考以前年度的审计计划与审计结果；(3) 审计委员会与高级管理层特别关注的事宜；(4) 咨询业务

18、条线负责人的意见；(5) 监管合规要求；与(6) 外部审计师的建议或要求。二、审计计划的制定(一) 对重大流程进展分类审计部基于风险评估结果，将重大流程大致分为两类：一类重大流程覆盖全行大局部业务条线，另一类重大流程那么只涉与某些业务条线。如银行审计风险热力图示例所示，如“获取新业务、“战略与变革管理与“风险管理等重大流程属于第一类，而“效劳客户、“信贷效劳与“客户结算效劳等重大流程那么属于第二类。(二) 对重大流程的主要流程进展排序每个重大流程包含假设干主要流程，根据风险评估结果，每个主要流程都已确定了总体风险程度。审计部在重大流程将各主要流程按照风险高中低程度从高至低进展排列。审计部须确定

19、对不同风险的审计单元的审计频率：高风险的主要流程【每年】实施审计，中风险的主要流程【每两年】实施一次审计，低风险的主要流程【每三年】实施一次审计。审计部根据当年的风险评估结果并考虑以前年度审计计划的覆盖围，最终确定审计部于当年应对哪些主要流程实施审计。(三) 确定审计项目针对第一类重大流程，审计部可进展全行层面的专题审计项目。以“获取新业务为例，审计部对该重大流程中涉与的需要当年执行审计的主要流程开展审计工作，该审计工作将覆盖所有涉与的业务条线。针对第二类重大流程，审计部可按业务条线开展常规业务审计项目。以“公司银行条线为例，审计部按照公司银行条线涉与的重大流程“效劳客户、“信贷效劳、“客户结

20、算效劳、“维护交易渠道以与“提供支持效劳中覆盖的需要当年执行审计的主要流程开展审计工作。假设不同审计项目的围同时覆盖了一个主要流程，审计部应遵循效率和效果的原那么适当调整审计项目围。(四) 确定审计工作时间审计部根据以往年度的审计经历以与被审计业务的复杂程度等，估算不同的主要流程需要的审计时间，进展相加后匡算出不同审计项目需要的审计时间。各项目工作时间的总和不得超过预计的当年可实施审计工作的时间总量。三、审计计划的调整审计部依据全行的工作安排，合理安排审计项目的先后顺序和持续时间，继而制定出当年的年度审计计划。审计委员会批准该审计计划后，审计部方可按照计划实施具体工作。对于应监管当局或本行高级

21、管理层的要求而实施的特殊审计项目，审计部应与时将这些审计项目纳入年度审计计划，必要时可适当调整各审计项目的顺序和持续时间。年度审计计划的重大调整也应与时报告审计委员会。第二章 审计操作流程审计过程分为审计准备、审计实施、审计报告、项目总结和后续跟踪五个阶段，非现场审计项目可视具体情况简化流程。第一节审计准备阶段一、确定审计项目审计部根据以下情况确定审计项目：(1) 经批准的年度审计工作计划；(2) 分管行领导和上级审计部门交办的项目；(3) 其他部门的委托；与(4) 未列入年度计划的重大风险示警事项。审计项目立项应报审计部负责人审核，并按银行部审计管理方法报有权审批人批准后实施。二、确定项目主

22、审人审计部负责人指定审计组长，由审计组长根据项目情况和主审人所需资格与要求指定项目主审人。项目主审人负责组织制定审计项目总体审计方案，组织协调整个审计项目的实施，指导各审计工作小组工作，组织撰写审计项目报告，考评各审计工作小组的工作质量与其组长的工作。审计方案由项目主审人编制，经审计部负责人审核，报有权审批人批准。在实施审计过程中，审计组在获得有权审批人书面同意后，可以根据具体情况对审计方案作出调整。审计方案的主要容包括但不限于：(1) 制订审计方案的依据；(2) 审计目标；与(3) 审计的时间、围、容、重点、方法和实施步骤等。审计围为评估运营和信息系统控制的充分性和效率，包括财务和运营信息的

23、可靠性和准确性，合规情况，确保资产平安，运营的有效性和效率等。三、确定审计人员与分工由审计组长和项目主审人选择能够胜任相关审计工作的审计人员组成审计组。审计组可根据工作需要分为假设干工作小组，根据审计人员的经历和能力，确定分工，落实责任。四、下发审计通知书审计部应提前向被审计单位发出审计通知书，容包括：(1) 被审计单位名称；(2) 审计期间、审计事项、审计开场时间和预计审计工作日；(3) 审计组组长、主审人和其他成员；(4) 对被审计单位配合审计工作的要求；与(5) 签发日期。特殊情况下，可先以、 等形式通知被审计单位，审计组进入审计现场后再向被审计单位递交审计通知书。根据审计工作需要，被审

24、计单位应当或者需要其先行自查时，审计通知书中应予以明确。审计通知书统一编制文号并加盖审计部公章。五、收集审计相关资料审计组可收集以下与审计项目有关的背景资料：(1) 被审计单位年度计划的相关信息；(2) 与相关主要管理人员和员工讨论审计所需的文档，包括运营、财务、系统和法律合规等方面；(3) 获取工作计划与其他相关文档包括产品、效劳和系统的相关信息；(4) 总结报告、以前年度的审计报告和外部审计、检查报告；(5) 外部规章制度；与(6) 其他文件和资料。审计组长或主审人与审计组成员、相关管理人员沟通，广泛收集、认真审核和深入分析被审计单位的背景资料，对其管理状况作出初步判断，为落实和细化审计方

25、案提供依据。六、审计前会议在正式实施审计前，可由审计组长或项目主审人组织对参加审计项目的人员进展必要的培训，统一审计标准和要求，确认或调整分工，落实和细化审计方案。第二节审计实施阶段经过前期充分的准备，审计组入驻被审计单位开场现场审计工作。于本阶段，审计人员将完成现场测试工作，深入了解被审计单位的风险控制状况，发现其可能存在的管理缺乏和低效运营，与其沟通发现问题并初步提出可操作的改良建议。本阶段主要分为三个环节：入场会谈，实施审计，以与审计发现、沟通与总结。本节容仅适用于指导审计项目的现场实施。一、入场会谈审计组于审计通知书确定的日期进入被审计单位。在正式开展具表达场审计工作前，与被审计单位的

26、主要负责人与其相关部门负责人进展会谈。会谈中，主审人说明此次审计的目的、容与围，审计工作安排以与对被审计单位配合审计工作的要求，同时向被审计单位的主要负责人与其相关部门负责人了解被审计单位的整体运作情况，经营管理思想，经营中存在的主要问题和风险等。审计人员与时记录会议容，整理形成书面会议纪要。二、实施审计以流程为根底实施审计时，通常遵循以下四个步骤：(一) 人员访谈审计人员与流程负责人确定访谈时间，编制访谈提纲并至少于访谈前一日发送流程负责人，确保被访谈人了解会谈的主题与容等。访谈时，审计人员根据访谈提纲展开提问，详细了解流程容，包括但不限于：(1) 流程包括的环节以与环节涉与的业务/职能部门

27、和具体负责人员；(2) 构成各流程环节的具体业务活动与(或)发生的变动；(3) 业务活动中潜在的风险；(4) 业务活动中目前设置的控制活动状况，如控制执行人、控制频率等；与(5) 业务活动运用的信息系统和工具。审计人员根据访谈结果断定是否与流程中涉与的其他相关人员进展深入访谈，以进一步了解流程容。如有需要，请参照前述程序开展访谈。审计人员与时整理访谈容，将访谈中了解到的重要流程容记录在审计工作底稿中。(二) 识别业务的重大风险和控制审计人员依据访谈获取的流程容，整理并识别流程从起点至终点所涉与的风险点与对应的控制，详细记录和汇总这些风险点与控制点以与各控制点的属性与详细情况，并可以将流程的风险

28、和控制信息记录在该流程的“风险控制矩阵中。编制风险控制矩阵时应遵循以下步骤：(1) 梳理访谈容，列示流程包含的主要环节。这些环节按照流程的操作过程有序排列，构成一个完整的流程；(2) 在各主要环节中，基于本行的风险偏好、监管合规的要求以与审计人员的专业判断等，识别并列示各主要环节中存在的风险；(3) 针对已识别的风险，从流程容中查找、识别并列示可能存在的相应控制，并详细填写这些控制的属性与其他详细信息，如控制执行部门/岗位、控制类型、控制频率、控制依赖的信息系统等；(4) 在完成上述(1)(3)的工作后，审计人员须与流程负责人确认识别的流程环节、风险点、相应控制点与控制属性等信息是否准确，并相

29、应进展修改；(5) 对每个控制实施穿行测试后，将测试结果记录在风险控制矩阵中，并根据测试时掌握的实际情况相应更新之前识别的风险点与控制点；与(6) 对穿行测试中被验证设计有效的控制实施控制测试后，将测试结果记录在风险控制矩阵中。风险控制矩阵提供了一个严谨的架构，确保所有风险点与控制点都得到充分记录，逐一列示现有控制与相关属性信息。编写风险控制矩阵的时间跨度较长，通常在完成控制测试参见“(四) 控制测试后才能最终确定风险控制矩阵。风险控制矩阵示例风险控制矩阵在项目审计的控制活动测试工作中起到控制、引导与汇总的作用。审计部根据每年实施的审计项目容，与时准确地更新、维护风险控制矩阵。(三) 穿行测试

30、穿行测试的目的是为了验证控制设计的有效性，同时还可以加深审计人员对控制的理解。针对风险控制矩阵中识别的所有控制点，选取1个样本，验证从起点到终点的整个流程中包括的控制活动。执行穿行测试的方法包括：询问、观察、检查、重新执行。(1) 询问业务/职能部门的适当员工，有助于获取与需测试控制设计与运行情况相关的信息。然而，仅仅通过询问不能为控制点设计的有效性提供充分的证据，需要和其他测试手段结合使用才能发挥作用；(2) 观察业务/职能部门的经营活动和控制活动，增加对涉与的各业务/职能部门人员如何进展经营活动与实施控制的了解，并印证对相应业务/职能部门相关人员的询问结果。观察主要针对不留下书面记录的控制

31、如职责别离；(3) 检查业务/职能部门的业务流程操作指引、控制手册、与其他机构或个人签订的合同或协议等，了解各业务/职能部门控制的具体执行情况。检查主要针对运行情况留有书面证据的控制；(4) 以人工方式或使用计算机辅助技术，重新独立执行作为业务/职能部门控制组成局部的程序或控制等，以验证测试控制点设计的有效性。通常只有当询问、观察和检查程序结合使用但仍无法获得充分证据时，才考虑通过重新执行来证实控制是否有效运行。通过穿行测试确认对流程中启动、授权、记录、处理与汇报等方面控制点的了解，并判断流程中每个控制点设计的有效性。通过对每个控制点和其设计的有效性的了解，判断控制测试的必要性。如果控制设计有

32、效，那么针对该控制点执行控制测试；如果控制设计无效，那么将本缺陷作为发现问题在审计发现汇总表中提出。对于穿行测试中发现的缺陷，审计人员需与相关业务/职能部门进展确认，分析问题产生原因，有针对性地提出改良建议，在审计发现汇总表中进展记录。审计人员在穿行测试文档中详细记录测试的样本、穿行测试涉与控制点、测试程序、获取的测试资料、发现的问题以与对该流程控制设计有效性评价等信息。审计人员应复印、编号并存档相关的穿行测试资料。【穿行测试工作底稿示例】(四) 控制测试1. 审计抽样与样本量确定一般来说，可以根据以下因素决定样本量：(1) 控制的性质 需要通过测试到达什么目标(2) 时间期间 测试覆盖的时间

33、段(3) 控制环境 管理层对于控制的态度(4) 关于控制执行方面的经历(5) 如果不执行该控制，风险的影响大小对交易或相关文档进展抽样测试，以确定关键控制执行的有效性。按照控制发生频率随机抽取一定数量的业务样本进展测试，具体的样本数量根据控制种类与控制执行频率的不同有所差异。依据统计学的“发现抽样的原理，在假设同一测试对象总体的性质无差异的前提下，借助“随机数组的抽取结果，以保证抽取的随机样本在测试总体中具有代表性。然后以样本出现差异的情况来推断测试总体会发生差异的可能性：以每天发生的控制为例，随机抽取的25个样本中如果未发现控制差异，那么可以推断在抽样总体中会发生差异的可能性低于10%，那么

34、抽取测试到达的总体的置信度为90%。对于发生频率较低的控制行为每周、每月、每季发生的控制，由于测试总体数量较小，样本分布无法满足随机正态分布的前提条件，因此审计人员参考每日发生的控制样本量，抽取总体10%的样本作为测试对象如每周发生的控制，项目小组按照年52周的10%，即抽取5个样本作为测试对象。按控制种类来分：此次测试样本选取方法如下所示： 人工控制执行的频率最小控制测试样本数量一天屡次25每天25每周5每月2-3每季1-2每年1(1) 对于每日发生的控制，通常要求从测试期间发生的相应业务交易总量中随机抽取25个样本进展测试。例如：买卖外汇业务、债券业务等；(2) 对于每月发生一次的控制包括

35、预防性与检查性控制，通常要求从测试期间任意或随机抽取至少2个月作为测试样本。例如：月度提交给银监会的报表等；(3) 对于每个季度发生一次的控制，通常要求从测试期间任意或随机抽取至少1个季度进展测试。例如：季度向董事会提交的市场风险报告等；(4) 对于每年发生一次的控制，通常要求每年均需要对该控制进展测试。例如：制定年度资金业务计划等。针对每一个测试的控制点，所选测试样本中如果存在2个如月度和季度控制或2个以上的错误，那么认为该控制点在执行的有效性方面存在缺陷；对于发生少于2个错误除月度和季度控制之外的测试控制点，以下述抽取样本的方法扩大样本量对该控制点的有效性进展补充测试，如果在补充测试过程中

36、仍发现有样本错误，那么认为该控制点在执行的有效性方面存在缺陷，如果未发现错误，那么该控制点出现错误的几率在可容忍围，控制仍被认为执行有效，即：测试对象的总体中可能发生的过失率不会超过10%，测试样本的置信度到达了90%，只是存在个别偏差现象。抽样顺序样本量差异数量后续处理第一次抽样250控制有效第一次抽样251扩大测试40个第一次抽样25=2停止测试，存在控制缺陷扩大抽样40发现差异存在控制缺陷扩大抽样40没有差异控制依然有效2. 执行控制测试根据穿行测试的结果，判断控制是否存在，利用以上抽样原那么选取样本进展控制测试。对存在的关键控制，审计人员选取一定数量的样本进展控制测试。在控制测试文档上

37、将测试的关键控制与测试程序的具体步骤相对应，并按照具体步骤逐一对抽取的业务样本进展测试。控制测试方法包括：询问、观察、检查、重新执行和分析性复核。具体程序方法可参照前述穿行测试方法。分析性复核方法被广泛地应用于拥有大量交易或数据的控制中。利用分析性复核方法，可以识别交易开展的趋势，分析将会带来的影响程度以与验证控制的执行和有效性。 通过控制测试确认对流程中启动、授权、记录、处理与汇报等方面控制点的执行情况，并判断流程中每个控制点执行的有效性。对于控制测试中发现的缺陷，审计人员需要与相关业务/职能部门进展确认，分析问题产生原因，有针对性地提出改良建议，并在审计发现汇总表中进展记录。【控制测试工

38、作底稿示例】控制测试的每一个步骤均应可以被独立第三方再次验证。(五) 审计工作底稿编制在以上1至5步骤中涉与的各类审计工作底稿都应由审计人员仔细编制，经主审人审阅后提交审计组组长审阅。同一项目的审计工作底稿须做好文件勾稽关联，以便审阅人审阅底稿或其他审计人员快速查阅各类底稿并获取所需信息。三、审计发现、沟通与总结(一) 审计发现汇总审计人员汇总审计发现问题并进展原因分析，填写审计发现汇总表，以：(1) 确认发现事项的真实性与准确性；(2) 要求管理层针对控制薄弱环节制定适当的行动计划，作为审计报告容的一局部；与(3) 促使整改措施尽早实施。发现问题汇总表的容包括但不限于：(1) 对发现问题的描

39、述和产生原因的阐述；(2) 对发现问题可能引起的风险的阐述；(3) 相应的改良建议；与(4) 管理层对发现问题的反应。发现问题汇总表示例审计平台上线实施后，该发现问题汇总表可以直接从审计平台系统中导出。现阶段，由于审计平台尚在开发中，事实确认书仍作为审计发现问题汇总之用。该事实确认书可保持原有格式，但是具体描述容应当包括上述提与的要点，并可在现有容的根底上加以细化。主审人审阅审计发现汇总表，了解所有审计发现事项，确认描述事项是否专业、准确并且是否有足够的审计证据给予支持。(二) 审计发现沟通与总结审计组长向被审计单位的管理层提交审计发现汇总，并要求管理层在一定期限不超过7个工作日给予答复，如审

40、计发现问题的严重程度较大，可适当延长回复期限。对于被审计单位管理层以书面、会议或其他形式提供的回复，审计组应确认：(1) 管理层是否指出发现事项的描述有误；(2) 管理层提出的整改措施是否充分且能够降低风险；与(3) 整改措施制定的与时性。审计组如假设认为管理层的回复不够充分或是对审计组提出的发现问题存在异议，审计组可与管理层进展讨论，要求其提供更详细的资料以重新评估风险控制的有效性，并初步确定整改措施。管理层如假设未能在既定期限给予回复，应相应提供延误的原因与可回复的具体期限。审计组在离开现场前需与被审计单位就所有重大审计发现和未达成一致意见的审计发现召开审计现场完毕会议，并应就重大审计发现

41、和未达成一致意见的审计发现情况的反应形成书面记录。第三节审计报告阶段一、起草审计报告初稿现场审计完毕后，主审人汇总审计发现、被审计单位反应，形成审计报告初稿。(一) 审计报告要求审计报告应满足管理层衡量控制环境质量和评估风险管理有效性的要求，审计报告应向高级管理层和董事会报告被审计单位部控制的总体情况和潜在的严重风险。审计报告分为三类：满意、合格和不满意1 满意满意的审计报告说明部控制程序和系统充分、各项职能有效履行，包括被审计领域的控制充分有效，运营合规。满意的审计报告可以包括单个的高风险审计发现，但不应该总体上表现为高风险。2 合格合格的审计报告说明部控制程序和系统存在弱点，执行力度有待加

42、强。合格的审计报告包括一个或多个控制点存在缺乏，但并没有到周期性，可能导致不满意的程度。运营效率有待提高。3 不满意(1) 不满意的审计报告表现为存在或可能发生对业务造成实质性影响的主要缺陷，如潜在损失、可能的不合规、重估风险和业务中断等；未评级的审计报告；前次审计发现的重要缺陷尚未整改；需要立即采取管理行动。(2) 不满意的审计报告说明控制不充分或运营不合规，此类报告必须清晰、 明确地建立在充分、相关和可靠的证据根底上。它必须一是说明审计评级、围和理由；二是包括高风险问题、风险和建议，以与经沟通认同的整改行动和期限。(3) 审计机构负责人需要呈送被审计单位的直接上级，该直接上级需要在5个工作

43、日给予一个合理的答复。这份报告也需要抄送对整改负有直接责任的人员。(4) 审计机构与适当层次的管理层讨论审计发现和容，报告各项安排，包括报揭发送的对象，与管理层达成一致。如果管理层不同意审计报告的容，最终审计报告应予以说明，并注明不同意的适当解释。(二) 报揭发送部审计报告必须严格发送给应该了解的管理层，如被审计单位和董事会。报揭发送清单应由审计组长认可。二、审计报告审核、审批审计组应当认真研究审计对象反应的意见，确有必要修改的，应对审计报告初稿进展修改。审计报告经有权复核人复核后，形成送审稿，报有权审批人审批。被审计单位所作的书面述，应当作为审计报告送审稿的附件。三、审计报告声明审计报告等书

44、面沟通应最大程度在容和形式上符合标准，审人员应在一些重要书面沟通材料的首页中说明以下免责声明，以提醒使用者注意：(1) 对材料的容性；(2) 材料分发过程中存在的严格限制；(3) 审计人员遵循此份材料的例外情况；与(4) 材料经常用到的专业条款的作用。第四节 项目总结阶段一、审计项目总结审计组长或项目主审人应在项目完毕后召集参加项目的全体审计人员，对审计项目组的以下方面进展总结：(1)审计政策、准那么和程序的遵循性；(2)审计方法和技术运用的适当性；(3)审计方案编制与调整的恰当性；(4)审计资源配置和利用的合理性；(5)审计意见的准确性；(6)审计建议的可行性；(7)审计本钱的节约性。同时，

45、审计组长或项目主审人应对审计组其他审计人员的以下方面进展考评：(1)审计政策、准那么和程序的遵循程度；(2)工作方法和技术；(3)配合、协调能力；(4)工作效率。假设项目组分成假设干小组，审计组长或项目主审人应对各审计工作小组组长的以下方面进展考评：(1)审计政策、准那么和程序的遵循性程度；(2)组织、协调能力；(3)工作效率；(4)审计本钱控制；(5)其他应当考评的方面。二、审计项目管理1 前期准备审计组长或项目主审人可根据审计方案制定详细的审计工作计划，具体安排项目审计组中每位成员在项目审计期间应开展的工作容和所需时间。此外，审计组长可根据项目规模制定项目管理方法，确定审计组与被审计单位各

46、自的职责。2 过程管理项目主审人在项目实施过程中监视各审计人员的工作进度，进而掌握整个项目的进程是否符合计划的时间进度，与时调整计划时间或工作量以便更好地完成审计项目。除了对时间进度的监控，项目主审人还应确保项目的实施始终与预期的审计目的相一致。审计组长与项目主审人与时审阅审计工作底稿，确保审计工作底稿能够充分支持审计发现和结论。审计组长或项目主审人应根据项目的持续时期和重要程度定期向管理层汇报工作进度，以便管理层与时了解审计工作的成果，解决审计人员遇与的重大困难。3 后期管理项目主审人应确保审计现场工作完成后与时出具审计报告，并且提示审计人员与时备份和归档已完成的工作底稿。第五节 后续跟踪阶段被审计单位对审计发现的有效整改负首要责任，主审人有责任监控审计发现的整改情况和相关性