内部审计流程解析：如何逐步进行内部审计？

内部审计流程解析

• 大家好，团队早上好，下午好，晚上好，欢迎来到我的内部审计专题讲座

• 今天，我们将讨论什么是内部审计，以及如何逐步进行内部审计

• 通过本视频，我相信您可以成功通过内部审计面试，对内部审计有更清晰的认识

• 如果您是第一次来到本频道，请订阅我的YouTube频道，并点击铃铛图标，以确保不会错过任何视频

• 让我们从第一部分开始，什么是内部审计？

内部审计流程解析

审计流程的相关文件和准备工作

• 首先，我们需要发送公告函。

• 公告函应包括审计范围、审计日期和时间，审计人员的姓名以及审计范围。

• 接收公告函后，被审计方需要给予确认，表示他们同意该审计范围并愿意配合进行审计。

• 接下来是召开预审计会议，对部门人员进行访谈。

• 在预审计会议中，审计人员将解释内部审计的相关内容，并试图了解审计的流程，同时要求获取相关文件和政策。

• 完成会议后，审计人员会要求获取所有适用的法律法规、政策备忘录或指令、程序手册、组织架构图以及部门图表和目标等文件。

审计流程的相关文件和准备工作

内部审计计划备忘录

• 在我们发现文件中的任何发现时，我们可以提出疑虑，他们可以问你从哪里得到这份文件，因此我们总是通过电子邮件要求所有这些文件，开会后我们将文件文档化，并从审计部门请求这些文件，这样就完成了

• 我们准备了一个内部文件，文件的名称因组织而异，在我的组织中，我们称其为审计计划备忘录（APM）

• 这个APM是什么呢？在从第一次会议了解到整个变更管理流程后，再审查SOP的文件和可能的风险，我发现只有一个人批准，同一个人关闭工单以及实施。这是我们发现的缺陷，所以我们会列出与流程相关的可能风险清单。在这个文件中，我们还解释了变更管理流程的运作方式，解释了审计步骤，因此这个APM文档是为了内部目的

• 如果明天有委员会想要审计我们的工作，他们可以基于这份文件进行审计，所以这个文件是向组织内部开放的，我们不会与审计部门分享这个文件

• 首先，这个文件讨论了我们开始审计的范围，我们进行现场工作的时间安排，以及规划提交报告的一切，因此有一个时间表；其次，基本上称为审计范围和我们已经确定的可能风险清单

• 缺乏文件、SOP缺乏、SOD缺乏，没有 MOM，我只是根据文档假设，请注意，我不确定这些实际上是否是流程中存在的风险，因为我们只是根据文档识别出来的，这基本上称为APM文件（审计计划备忘录），如果我不在时，有人想要审查我去年所做的审计工作，他们可以审查这份文件，这个文件给予可见度

• 接下来，我们准备的下一件事是风险控制矩阵。根据APM所识别出的风险，我们会列出风险和可能的控制措施，然后再第三列，我们列出了如何对这些控制措施进行审计的步骤。这被称为预风险控制矩阵（pre-RCM）

• 基于此，我们开始下一项活动，称为现场工作。所以，这个预-RCM是我的文件，我将根据它进行现场工作。因此，在现场工作中，我将根据SOP开始调查，例如在SOP中，每个变更管理的RFC都需要具备六个强制参数，我们需要审查每个RFC，确保其中有六个强制参数，如安全影响分析必须覆盖、应急恢复计划等。那么，我们收集RFC的样本，检查这些参数

• 现在的问题是，我们有10000个RFC，20000个RFC，我们不可能让两个人都审核10000或20000个RFC。所以我们需要采样，我们选取100个样本，并基于这100个样本提出我们的意见。从10000个中我们挑选100个样本，根据内部抽样计算来进行。如果我在90个样本中发现RFC不符合SOP，我们会标记为发现。在审计中，发现有些RFC并未涵盖六个强制检查项，变更管理团队已经批准了变更请求，但流程是基于不准确的数据进行的，这成为了我的第一个发现，我会记录这个发现

• 关于这个预-RCM的好处是，它给予范围的可见度，我们需要在其中进行审计，还有助于节省时间。基于这个，我们开始下一项活动，称为现场工作。所以，这个预-RCM是我的文件，我将根据它进行现场工作。因此，在现场工作中，我将根据SOP开始调查，例如在SOP中，每个变更管理的RFC都需要具备六个强制参数，我们需要审查每个RFC，确保其中有六个强制参数，如安全影响分析必须覆盖、应急恢复计划等。那么，我们收集RFC的样本，检查这些参数。

内部审计计划备忘录

审计发现与讨论

• 审计工作实地考察结束后，我与同事将一起讨论所有发现的问题。

• 我们比对所有的调查证据，因为我们将提出一些关注点，指出某些地方存在工作不当的情况。

• 我们将收集这些样本并逐一记录，形成一些原始信息。

• 接着，我们会准备后RCM（重新风险评估）报告。

• 从后RCM报告中，我们将起草审计报告的初稿。

审计发现与讨论

审计流程概述

• 大部分争论发生在这个阶段，这是一个转折点，需要说服他们对发现进行调查，因为我们需要完成推荐等工作。我们进行讨论，了解所有问题，进行辩论。在某个特定的时刻，如果他们问是否有证据支持这一点，我们将提供证据，以便能够证明事实，这被称为我们的工作文件证据，工作文件是审计职业的重要工具，它们支持我们的审计意见。

• 一旦他们同意，确定了行动计划，我们需要询问行动计划的时间表。假设他们给出了行动计划，比如说，我们将在明年二月关闭此审计项目，那么根据这个时间表，我们将进行后续审计，检查他们是否关闭了审计项目。一旦他们同意，确定了行动计划，我们会发布最终报告，可以由我发布，也可以由我的经理发布。我们也会发送一份副本给我的审计管理部门，他们会对审计工作文件进行彻底审查，如果有任何讨论，他们可以进行讨论。之后，我们将最终报告发送给变革管理负责人和其他相关人员。我们还会定期举行会议，向董事会呈报发现情况。

• 这就是整个审计流程的基本经过。一旦按时间表完成审计，我会在二月份跟踪我的审计项目，并核实发现是否已经解决。内部审计不仅仅是对审计对象进行审计，我们还要进行一些行政工作，确保我们已经完成的审计项目得到适当的证据。

审计流程概述

Conclusion:

通过本文，您已经深入了解了内部审计的流程和相关工作。内部审计是组织内部非常重要的一环，通过正确的审计流程和方法，有助于发现问题并改进管理，提升组织的运营效率和风险控制能力。

Q & A