审计实施方案(精选12篇)
审计实施方案 篇1
一、认真进行调查了解
编制审计实施方案的重要前提条件是进行调查了解。审计组在进行调查了解时,要充分考虑被审计单位所处的宏观环境和自身环境,宏观环境应考虑被审计单位所处的经济环境和政策因素,被审计单位是如何受其影响的;自身环境应考虑被审计单位的隶属关系、组织机构、人员构成、财务状况等基本情况。对宏观环境的调查了解可以通过互联网及媒体进行了解,主要了解被审计单位所处的行业地位、相关政策情况、管理水平等因素;对自身环境的调查了解主要是通过查阅被审计单位相关制度和会议纪要(记录)等文件、了解内控制度执行情况、查看以前年度审计档案等。审计组在进行调查了解时要对调查时间合理统筹,使用正确方法,保证调查了解内容的真实性和可靠性,以使审计实施方案编制依据行之有效。
二、合理确定审计目标
审计的总体目标要以提高审计质量为前提,在确定审计总体目标时要综合考虑被审计单位的实际情况。就审计本身而言,确定审计的具体目标需要从宏观和微观两个层面考虑:宏观层面要考虑所处的经济社会环境对审计的影响;微观层面要考虑审计资源状况和审计人员的专业能力、职业道德水平。就被审计单位而言,具体的审计目标需要根据审计范围制订,着重于对某项业务活动设定,在具体设定中要考虑审什么,能否审,审的目的是什么。假如要审计“根据供货者的情况购货”,审计目标就是明确是否为供货者的选择制定了恰如其分的标准;明确采购部门是否按期取得了相关部门提供的供货者情况的完整信息;是否对未达到既定选择标准的供货者采取了必要的措施。
三、全面确定审计范围
审计范围指归属于审计单位会计期间的财政财务收支以及涉及的其他审计事项。审计范围与审计目标具有牢不可分的关系,审计项目所包涵的会计期间和涉及的审计事项由审计目标所决定。如被审计单位的审计范围为被审计单位会计期间涵盖的财政财务收支,则将财政财务收支的真实性、合法性和效益性设定为审计目标,该审计目标决定了审计范围。如将被审计对象的审计目标设定为被审计对象任职期间履行经济责任的真实性、合法性,则该被审计对象任职期间履行经济责任的有关事项即是审计范围。在编制审计实施方案时还要考虑是否要对被审计单位进行延伸审计,在确定审计范围时主要应从时间上和空间上考虑是否进行延伸审计。
四、正确确定审计重点内容
一般地,审计内容包括重点实施的审计事项和将要实现的具体审计目标。通常被审计单位审计范围内的所有事项都应当包括在审计事项中,但重复的审计事项在审计过程中要予以避免;具体审计目标在审计过程中需要查明的具体事项,以实现审计总目标为目的,是对审计总目标的具体化。
对重点审计内容、步骤和方法的确定可以从四个方面入手:一是重点关注被审计单位对国家有关政策、法律法规及规章的贯彻执行情况。主要做法是收集与被审计单位有关的政策、法律法规及规章,并结合被审计单位对政策、法律法规及规章的实际执行情况,予以分析判断,初步判断被审计单位是否严格贯彻执行国家政策及法律法规的规定。二是注重运用各种分析方法。可以综合采用趋势分析法、比较分析法、比率分析法、结构分析法等方法进行分析性复核,将从被审计单位获取的资料与其他渠道搜集的相关资料和同行业资料、审计人员根据职业判断估计的数据资料等进行对比分析,以确定重点审计内容、步骤和方法。三是重点关注被审计单位内部控制的薄弱环节。主要做法是对被审计单位内部控制要素情况进行了解;通过进一步调查测试,从内部控制薄弱环节中找到重点问题线索,在审计重点内容中列入重点问题线索的调查测试分析情况。四是重点关注会计科目及重要经济活动。如审查往来账,检查是否存在“转移费用”“隐匿、截留收入”“以物抵债”“虚列资产”等行为。
五、合理确定审计方法
审计人员在实施方案中要确定是采用详查法还是抽查法的审计方法,以保证审计证据的充分性。若运用抽查法,还应对抽查的规模予以明确。为了保证审计证据的适当性,审计人员按照具体审计目标,在实施方案中要明确审查是采用检查、监盘、观察、函证、重新计算、分析性复核等技术方法中的其中一种或是将上述几种方法进行组合使用。如对于存货真实性的审查,监盘法是通常采用的方法;对于收支合法性的审查,检查法较为常用;对于某项支出效益性的审查,通常运用分析比较法等。在实施方案中,需要有适当的审计方法保证实现各项具体审计目标,应当有专门的审计方法确保实现重要的具体审计目标,可以将一般的具体审计目标结合其他具体审计目标,运用适当的审计方法进行审查。
六、落实人员分工
一是对每个项目具体审计内容所需要的时间进行科学预测,明确某一审计组成员负责对某一具体审计内容的完成时间。二是进行分工时应依据具体审计目标和审计事项,通过审计组成员的分工编制工作底稿,考虑审计组成员的专业特长、职业道德、专业能力、兴趣爱好和工作量的均衡要求,确保在审计过程中“人尽其用”,落实人员分工,以发挥审计人员的专长,尽最大可能有效利用现有人力资源完成审计任务。
七、规范审批审计实施方案
审计实施方案由审计组长编制后,交予审计组所在部门负责人审核,审计组所在部门负责人对审计实施方案应仔细研读,与调查了解材料进行比对,主要审核审计目标是否可行、审计风险评估是否合理、审计范围是否全面、审计内容是否完整、审计重点是否准确、审计方法是否具有可操作性、时间安排是否合理、人员分工是否恰当、审计步骤是否合理等。对于实施方案中的不妥之处,并签署修改意见交予审计组修改。审计机关分管领导应对部门负责人审核后的实施方案审核批准。审计机关应通过审计业务会议,集体讨论审定重要审计项目的审计实施方案。
摘要:审计实施方案是用来具体指导审计组成员根据各自的审计分工,依照确定的审计部骤、方法和工作进度安排,对被审计部门实施审计。在制定审计实施方案前需进行认真的调查了解。审计实施方案的要素包括审计目标、审计范围、审计内容和重点、审计方法、预定的审计工作起止时间、审计组组长、审计组成员及其分工等。
关键词:审计实施方案,审计分工,实施审计
审计实施方案 篇2
各科室:
根据《x市审计机关“抓建设、练内功、提效能”五年行动计划》的总体安排和《关于印发x市审计机关“审计提升年”活动实施方案的通知》部署,结合我局实际,特制定本实施方案。
一、指导思想和总体目标
指导思想:以邓小平理论和“三个代表”重要思想为指导,深入学习实践科学发展观,认真贯彻落实党的十七大、十七届三中、四中全会和全国全省全市审计工作会议,以加速审计转型为宗旨,总结经验,突出重点,全面提升,充分发挥审计“免疫系统”功能,为促进x经济社会健康协调可持续发展发挥更大作用。
总体目标:以“服务经济建设 加快x崛起”为主题,开展扎实有效的系列活动,全面推动传统审计向现代审计转型,实现“五个提升”,增强“五种能力”,即提升人员素质,增强学习力;提高质量管理,增强执行力;提升执法水平,增强威慑力;提升成果运用,增强服务力;提升审计文化,增强凝聚力。
二、主要内容
(一)提升人员素质,增强学习力。
1.强化学习。在全局树立“工作学习化、学习工作化”的理念,营造“时时学习、人人学习”的氛围。今年参加市审计局统一举办的“读书月”、读书演讲比赛、读书心得征文等活动,在全局形成人人爱读书的良好局面。
2.加强培训。根据形势发展需要参加有针对性的培训,提高实战能力。参加市审计局举办的绩效审计、专项审计调查培训、计算机审计和经济责任培训等
3.完善机制。要鼓励审计人员参加多职称、多学历教育;加大干部轮岗交流力度;完善上下级审计机关之间“上下互派”制度,参加上级审计机关的审计项目,提高审计水平。
4.严格考核。细化机关各科室工作职责,明确到人,加大岗位问责力度;进一步加大“局领导点评制”执行力度;根据市局相关办法,积极参加全市审计机关优秀审计主审和审计能手评选,争创一流审计项目。
(二)提高质量管理,增强执行力。
1.改进审计计划管理。一是开展项目立项调研,多渠道开展调查研究,做好立项基础工作。二是建立完善审计项目库,在此基础上,编制项目计划。三是建立被审计单位数据库。四是根据市局相关办法,拟定财政审计大格局工作规划,力争用3年左右的时间,逐步构建财政审计大格局。
2.加强审计质量管理和控制。一是加强审计项目进度管理,提高审计工作效率。在继续执行项目动态跟踪管理的基础上,实行审计项目开展情况动态报告制。二是加强审计项目三级复核管理。即所有审计项目先由主审复核,然后由法规审理室负责对项目复核审理,最后提交局务会审核。三是进一步深化AO和OA运用,探索在线审计、联网审计质量管理的实现模式,初步建立起信息化条件下的审计质量控制体系。
3.加强审计成本管理。一是积极探索和推进项目矩阵式管理的有效方式,建立健全审计现场管理考核办法。二是完善项目经费预算管理。在完善审计项目现场工作量核定制度的基础上,做好审计成本测算工作,审计项目实施方案要有审计经费的测算。三是完善送达审计模式,改进送达审计核定办法。
4.科学整合审计人力资源。探索整合审计资源制度管理模式,充分利用国家审计、内部审计、社会中介机构审计力量,善于借用外部专家力量,发挥他们在专业性较强领域的作用,统一调配,多出审计“精品”。
5.加强行政事务管理。健全和完善公文、网络、档案、财务、资产、后勤、人事、宣传、党务等各项管理制度。对现行的规范性文件进行全面清理、分类、整理,并汇编成册;加强公文和审计业务在OA系统中电子档案归档工作,完善电子档案资料库,实现审计资源的共享和利用。
6.加强审计信息化建设。一是深化计算机审计的应用。所有审计项目均要在OA中立项、分解,审计过程各个环节及相关资料要在OA系统中编制、归集,形成完整的电子数据包并及时归档。二是全年向市审计机关提供计算机审计专家经验及案例各1篇。三是积极参加AO认证考试和计算机审计中级培训班,争取机关60%以上的业务人员通过AO认证考试,15%以上的业务人员要通过计算机审计中级水平考试。四是充分利用网上论坛和视频会商系统,开展计算机系统应用和计算机审计中疑难问题的理论探讨和集体攻关活动。五是按照市局审计信息化工作考核标准,做好信息化考核的相关工作。六是拓展OA系统公文流转系统的应用和管理功能;加强专家经验库等基础数据库建设。七是积极参加市局信息系统审计试点工作。
7.拓展审计内容和改进审计方式。一是继续加大固定资产投资审计力度。强化投资建设审计相关制度的落实,拟定《x区政府投资建设项目竣工财务决算审计报告参考标准模式》,选择1个建设项目实施跟踪审计,并采取适当方式公告跟踪审计结果。
二是着力提高绩效审计水平。根据x市出台的《x市绩效审计暂行办法》和《部门预算执行绩效审计评价指标体系》,结合实际拟开展两个“结合型”和两个“独立型”的绩效审计项目;积极参加市局召开的绩效审计座谈会,总结交流开展绩效审计的做法和经验。
三是稳步推进经济责任审计转型。转发《x市领导干部离任经济责任事项交接办法》,逐步扩大任中审计比重,全年任中审计项目的比例占经济责任审计项目的70%;准备选择1个项目实施任前经济责任审计试点;开展经济责任审计项目质量自查,迎接省厅和市局的检查。
四是注重发挥专项审计调查作用。从x年起,开展的专项审计调查项目应占到整个审计项目的一半以上,力争有1-2个专项审计调查报告被本级党委政府批示采用,并直接促成党委政府及有关部门制定或修改相关政策,出台或完善相关制度。
(三)提高执法水平,增强威慑力。
1.进一步落实审计监督“双百”制度的要求。一是充分发挥内部审计和社会审计的作用,加大审计监督覆盖的频率、深度和力度,力争到x年建立全面覆盖的大审计格局;进一步加大对违法违规问题和案件线索的查处力度;进一步加大审计整改力度。争取将审计整改结果纳入区政府目标考核的内容;推动建立健全审计问责制度,强化责任追究。
2.进一步推进结果公告制度的建立。继续执行《x市审计结果公告试行办法》,扩大审计结果公告范围。争取年内对1—2个审计或审计调查项目进行公告,加大审计结果公告的力度。
3.加强沟通和联系。加强与上级审计部门的沟通和联系工作机制;加强与被审计单位的协调和沟通;加强与内部审计人员的联系,做好对内审工作的指导和监督;组织好x区内部审计人员的后续教育;建立内部审计人员人才库。
(四)提升成果运用,增强服务力。
1.进一步提高审计报告质量。审计报告要加强综合分析,提高审计内容的宏观性、把握问题的规律性、审计建议的针对性,以及审计报告的可读性;审计查出问题的定性和引用法律法规做到准确无误。
2.进一步提升审计成果利用水平。加强审计成果的提炼、分析、整合,形成1-2个综合报告被区委、区政府采纳,并促成被审计单位建章立制,使审计成果得以充分运用。
3.进一步完善审计成果利用机制。积极推动建立由审计、组织、人事、检察、监察、公安、财政、国资等部门和单位参加的审计成果利用协调机制;推动建立审计结果与干部人事考评相结合的机制;严格执行《x市审计结果运用办法》。
(五)提升审计文化,增强凝聚力。
1.积极弘扬优良审计精神。积极开展审计机关精神文明创建活动;参加市局“优秀审计能手”评比表彰活动和“岗位创优”活动;在被审计单位文明、和谐审计,体现审计文化人理念。
2.加强审计理论和实践研究。一是总结五年规划的主要成果和特点,参加全市审计系统“五年行动计划”经验总结提升研讨会,提供好的经验、做法。二是开展审计工作未来五年发展调研活动,提供好的意见和建议。三是要抓住当前审计转型中的重大问题,组织理论研讨,形成一批科研成果。四是积极参加市审计机关攻关小组活动,形成攻关成果.3.扩大审计宣传。向市审计机关提供x审计精神表述语,每位审计人员至少提供一条;利用网站、媒体等多种形式加强宣传,引导活动深入开展,适时在有关媒体上开展专题宣传;加强与党委政府和上级审计机关的沟通,按《x市审计机关信息宣传工作办法》的要求抓好信息宣传,力争信息采用率高于去年;联系区普法办开展新的《审计法实施条例》系列宣传活动;在网站设立“审计提升年”专栏,全年不少于3篇,网站更新每月不少于5次。
三、保障措施
(一)加强组织领导。成立x区审计局“审计提升年”活动领导小组,由局党组书记、局长x同志任组长,负责领导全局开展“审计提升年”活动,具体活动由局综合科、审计科和经济责任局共同组织和参与。实行“一把手”负责制,形成分工负责、责任明确、协调配合的工作机制。
(二)精心谋划部署。按照本方案的要求,结合本局实际,制订“审计提升年”活动实施方案,在保证完成省厅、市局统一安排活动基础上,更要注重自身实际,突出地方特色。
(三)注意统筹协调。在扎扎实实开展“审计提升年”活动的同时,要统筹兼顾,科学安排,把提升年活动与各项具体工作有机结合起来,坚持以提升年活动推动各项工作开创新局面,以各项工作的新成果衡量和检验提升年活动的成效。
(四)活动经费保障。依据提升年活动实际情况,将审计提升年活动经费列入x年部门预算2万元,已经财政部门批准,确保提升年活动顺利开展。
审计实施方案 篇3
一、审计实施方案编制中存在的问题
(一)审计实施方案编制大而粗,缺乏指导意义。有的审计实施方案编制的内容看似很全面,资产、负债、损益、收入、支出,该审计的审计实施方案上全都有,但是每个方面都是蜻蜓点水,一笔带过,不能有效地指导审计实施,操作性不强。
(二)审计实施方案重点不突出。没有结合被审计单位的实际情况进行编写,针对性不强。在实际操作中一把抓,没有侧重点,很难做到有的放矢。而且由于方案过于全面,实际审计,难以做到面面俱到,在审计质量检查中,南于没有按照审计实施方案执行,从而影响对审计质量的评价。
(三)重要性水平确定和审计风险评估工作不到位。由于这项工作专业性强,而且对财政、金融、企业、行政事业单位、投资项目等也存在着不尽一致的评估方法,导致部分审计组未按准则的要求对被审计单位或项目实施分析性复核、内部控制制度测评,忽略了重要性水平确定和审计风险的评估,仅凭经验来评定,导致不同项目的重要性水平和审计风险评估千篇一律,增加了审计风险。
(四)审计实施方案中没有针对具体审计事项制定获取合理、充分的审计证据的步骤和方法,以及执行具体审计实施所需要的时间。
(五)审计实施方案的审核、审批把关不严。审计实施方案一般由组长或主审编写,所在部门负责人初审核。再由审计机关有关复核部门复审核,重大项目的审计实施方案需经主管领导审定或办公会研究审定。在实际执行中审计实施方案的审核基本流于形式,没有起到真正的把关作用。
二、审计实施方案执行中存在的问题
(一)不按审计实施方案要求进行,凭经验审计。随意性大。实施方案一经制订,没有特殊需要调整的情况,就应该照章执行,以期在规定的期限内达到预定的审计目标,避免走弯路。但在审计实践中,往往正式开始审计后,实施方案就被搁置了,全凭经验办事,完全是结合审计现场的具体情况来开展工作,审计重点选择、人员分工、时间进度安排等方面都处于随机应变状态,有时甚至偏离主题,导致重点不突出,不能很好地实现既定目标。
(二)审计过程中未能按规定进行方案调整。在审计实践中,审计人员往往只根据审计项目的客观实际情况随时调整审计思路、审计重点、审计方法和审计分工,但具体的调整过程和内容并不在实施方案中及时反映。审计过程中对实施方案基本是置之不理,更不会按照程序要求及时修订方案并认真执行,只是在审计结束后整理归档时才按照最终审计报告对实施方案予以调整,也不经过任何审批手续,有的小项目甚至先实施审计后编制方案。
三、科学编制和执行审计实施方案的措施
(一)深入细致进行审计调查了解。审计人员在调查了解被审计单位及其相关情况时,应当调查了解单位性质、组织结构、职责范围或者经营范围、业务活动及其目标;相关法律法规、政策及其执行情况;财政财务管理和业务管理体制;适用的业绩指标及业绩评价情况;相关内部控制及其执行情况;相关信息系统及其电子数据情况;经济环境、行业状况及其他外部因素;以往接受审计和监管及其整改情况等方面调查了解时可以书面或口头询问被审计单位内部和外部相关人员,检查有关文件、报告、制度,观察有关业务活动及其场所、设施,追踪有关业务的处理过程,以使调查了解的内容更详实。
(二)合理确定重要性水平。在了解被审计单位的基本情况及内部控制制度执行情况后,审计人员应运用职业判断对所取得的资料进行分析性复核。通过对会计报表项目的横向分析、纵向分析和比率分析,以及对重要的财务与非财务信息之间关系的综合分析。进一步了解被审计单位当年财务指标与上年数的增减情况、偿债能力、盈利能力等,检查相互之间关系的合理性,再运用专业判断确认是否有异常或意外的波动。评估被审计单位会计报表或者会计报表中的单个项目反映的会计信息存在错报或者漏报的可能性,以及这种可能性对审计风险的影响程度,初步判断审计项目的重要性水平,确定审计的重点范围和重点领域,并据以合理确定所需收集审计证据的数量。
(三)进行审计风险评估。在初步判断审计项目的重要性水平后,还需评估审计风险。最重要的是要依据审计人员的专业判断和评估,根据被审计单位的管理水平,包括管理人员的诚信度和能力,管理人员和财务人员的变动情况,单位的业务性质及有关的法律法规的调整变化情况、影响单位所在部门或行业的环境因素、上年度审计结果,容易发生错报或漏报的会计报表项目、容易损失或被挪用的资产、临近会计期末发生的异常或复杂的会计处理情况等评估该单位的固有风险;然后遵循稳健性,根据内部控制测评结果对控制风险进行初步评估,宁可高估,不可低估,可根据被审计单位内部控制制度是否健全、有效、是否缺少某些控制环节、关键点来评估控制风险。最后根据固有风险和控制风险的综合水平,确定审计人员可以接受的检查风险。固有风险和控制风险的综合水平越高,审计人员可接受的检查风险水平就越低,需要进行的实质性测试的范围就越大,所需抽取样本和收集审计证据的数量就越多。
(四)对重要事项确定审计应对措施。主要是评估对内部控制的依赖程度,确定是否及如何测试相关内部控制的有效性;评估对信息系统的依赖程度,确定是否及如何检查相关信息系统的有效性、安全性:确定主要审计步骤和方法,审计时间、执行的审计人员等。这一点可以借鉴审计署及特派办的做法,就是项目审计实施方案编制具体细化到每天干什么?怎么干?达到什么效果?这样即使初次参加审计的人员只要按照实施方案的要求实施,就会很顺利地达到审计目标。
(五)把好审计实施方案复核关。审计组所在部门负责人应当从方案中审计目标的可行性;重要性水平确定和审计风险评估的合理性;审计范围、内容和重点的适当性;审计步骤和方法的可操作性;时间安排的合理性;审计分工的恰当性等方面来复核审计实施方案。重要审计项目的审计实施方案还应当报经审计机关负责人审定。
(六)严格执行审计实施方案。是否按照审计实施方案规定的作业步骤、进度、审计方法完成审计工作是对审计项目质量考核的一个重要指标。审计组长应是实施方案执行的指导者和第一责任人,负责实施方案的落实,可定期召开审计组成员汇报审计情况。及时掌握项目是否按照方案要求进行实施及项目的进展情况。解决审计过程中出现的问题,保证审计实施方案的执行及审计目标的实现。
(七)严格规范实施方案的调整程序。审计所面临环境的多样和复杂性决定了审计工作具有很大的不确定性,随时要根据现场审计的实际情况不断调整工作思路和重点。但在调整中,必须按照《国家审计准则》规定的具体调整程序,及时办理审批手续并修订完善实施方案,以确保实施方案的严肃性。
审计实施方案 篇4
为应对以管理层舞弊为显著特征的“重大错报风险”, 2006年财政部颁布了一系列风险导向审计准则 (并于2010年进行了修订) , 标志着审计理论与实践正迈入现代风险导向审计时代。在风向导向审计模式下, 注册会计师必须实施风险评估程序, 以此识别和评估财务报表重大错报风险。由于风险评估程序提供的是间接证据, 本身并不足以为发表审计意见提供充分、适当的证据。因而, 注册会计师应当实施进一步审计程序, 包括实施控制测试和实质性程序。本文借助舞弊三角理论分析舞弊的成因, 在此基础上选择和实施相应的审计程序, 进而将重大错报风险降低至可接受的水平。
一、基于舞弊三角理论的管理层舞弊成因分析
舞弊是指被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或者非法利益的故意行为。舞弊往往会导致企业经营失败, 而且是公众、监管者、企业所有者、董事会和管理层最关心的问题。通常, 我们把涉及管理层和治理层一个或多个成员的舞弊称为“管理层舞弊”, 其成因可能来自多方面。借助舞弊三角理论 (该理论是由美国会计学家W.Steve Albrecht于1995年提出的, 他认为, 舞弊三角形的三个顶点是“压力、机会和自我合理化”, 舞弊是三者的综合结果) 可以将其成因归结为以下三个方面。
(一) 压力与动机。
压力与动机因素位于舞弊三角的顶端, 压力亦称“逐利”动机, 是指由于企业经营环境和生存环境发生变化或为应对不确定性因素, 导致管理层无法从正常途径缓解或者消除时舞弊者的行为动机。通常可以把压力因素分为财务压力、恶习、与工作有关的压力、其余压力四种。如:东方电子上市后曾制定一个年增长速度在50%以上的发展计划和利润目标, 高不可达的经营目标迫使东方电子管理层铤而走险, 形成了一个在董事长指挥下的由证券部、财务部和销售部门分工合作组成的“造假小组”, 造就了“东方不败”的神话。
(二) 机会。
机会和自我合理化是舞弊三角理论的两个支柱, 有了机会才有舞弊的可能性。所谓机会是指舞弊者有舞弊的空间, 并且舞弊行为能够被掩盖起来而不被发现或者逃避惩罚的可能性, 主要包括信息不对称、公司治理不完善、企业内控不健全、绩效评价机制不完善、法律制度和会计准则的缺陷、注册会计师的审计能力等。如:美国HPL公司的创始人、董事会主席兼首席执行官David Lepejian利用自己的主席身份, 掌控公司内控各个模块的操作口令, 可轻易的进出各模块, 修改传真程序、订单、对账单, 伪造各种会计和业务数据, 虚构了逾2 800万美元的销售收入。
(三) 自我合理化。
自我合理化是指舞弊者能够为自己的行为找到“合理”的理由, 其实质上是舞弊者个人的道德价值判断。在众多的舞弊事件中, 舞弊者总会找到若干舞弊的理由和借口, 为不当行为穿上“合法或合理”的外衣。
二、风险导向审计模式下审计程序的选择
风险导向审计要求注册会计师识别和评估财务报表重大错报风险, 并设计和实施进一步审计程序应对评估的错报风险并纠正被审计单位的重大错报, 根据审计结论发表恰当的审计意见。这里的审计程序是指在审计过程中的某个时间, 注册会计师对将获取的某类审计证据如何收集详细的指令。根据审计准则规定, 风险导向审计包括三类总体审计程序 (风险评估程序、控制测试、实质性程序) , 八种获取审计证据的具体程序 (检查记录或文件、检查有形资产、观察、询问、函证、重新计算、重新执行、分析程序) 。。注册会计师在审计过程中, 要根据审计的性质、时间、范围选择相应的审计程序, 收集充分、适当的审计证据。风险导向审计的重点是识别和评估重大错报风险, 而重大错报风险很大程度上源自于管理层舞弊, 结合舞弊成因的分析, , 可以针对性地选择相应的审计程序。
(一) 风险评估程序。
压力与动机是管理层舞弊的最关键因素, 为识别和防范重大错报风险, 必须实施风险评估程序, 通过对被审计单位及其环境的了解, 运用询问、观察、分析程序等具体的审计程序, 来识别和评估被审计单位的重大错报风险 (包括财务报表层次的重大错报风险和认定层次的重大错报风险) , 以此揭示和发现管理层舞弊的压力与动机。如:了解被审计单位的战略目标、财务业绩的衡量和评价、内部控制、会计政策的选择等, 判断是否存在舞弊的可能性, 进而减少财务报表中可能隐藏的舞弊行为。这样, 一方面可以降低审计风险, 为财务报表审计提供合理的保证;另一方面, 可以提高审计质量, 为财务报告使用者的有效决策提供鉴证服务。
(二) 控制测试。
机会是舞弊孕育的土壤, 机会在很大程度上是内部控制薄弱造成的, 因而, 可以通过控制测试来检查内部控制运行的有效性, 进而识别特别风险和发现舞弊的可能性。堵塞企业内部控制可能存在的漏洞, 完善公司治理机制, 可以大大减少舞弊产生的机会, 进而减少财务报表重大错报的可能性。值得注意的是, 控制测试是为了确定被审计单位控制政策和程序的设计与执行是否完整与有效而实施的审计程序 (从而支持或修改重大错报风险的评估结果, 据以确定实质性程序的性质、时间和范围) , 并非必须执行的审计程序, 只有在评估认定层次的重大错报风险时, , 预期控制的运行是有效的, 或实施实质性程序不足以提供认定程序充分、适当的审计证据才应该执行。
(三) 实质性程序。
为了识别和发现管理层为自己的不当做法找到“合理”的理由, 必须进一步实施细节测试和实质性分析程序。注册会计师应综合考虑企业的环境和面临的经营风险, 把握企业面临的各方面情况, 分析企业经济业务中可能出现的错误和舞弊行为, 并对其进行穿行测试, 如与某一类交易有关、期末余额有关、列报有关的认定。只有这样, 才能否定管理层自我合理化行为, 防范于未然, 才能实现审计的合法性和公允性目标。
三、风险导向审计模式下审计程序的实施
《中国注册会计师审计准则第1101号———财务报表审计的目标和一般原则》要求注册会计师在审计过程中要贯彻风险导向的审计理念, 并在《中国注册会计师审计准则第1121号———了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1131号———针对评估的重大错报风险实施的程序》中进一步作出了具体的规定。通过前文的分析, 为应对舞弊的风险, 重点应关注舞弊三角:压力与动机、机会和自我合理化, 并实施相应的审计程序 (如下图所示) , 发现和揭示舞弊, 识别和评估重大错报风险, 以将审计风险降低至可接受的水平。注册会计师应通过学习和实践来提高审计技能, 在整个审计过程中保持应有的谨慎, 对风险较高或具有特别风险的事项应多加关注, 同时采取不被管理层预见或事先了解的风险应对措施。
结算审计实施方案 篇5
审计范围:
1、竣工结算报告及结算书;
2、招投标文件、合同文件及其他竣工资料。
审计程序
一、程序文件签订:涉及价格的签证变更必须由公司授权人员签字并认可。
二、资料交接:
1、资料接收:
项目负责人接收委托人送审的资料,填列《委托方提供资料清单》(详见附表一),办理资料交接手续。
委托人应提供具有真实性和合法性的下列资料: ① 工程招标和投标文件,工程量清单,中标单位预算及报价,施工组织设计,工程承包合同,补充合同或补充协议书; ② 全套施工图纸,设计变更图纸,设计变更签证单,竣工图,工程竣工验收单及质量等级评定书; ③ 施工过程中的有关签证、会议纪要,与工程造价有关的隐蔽工程资料; ④ 盖有委托方单位公章、编制单位公章和结算编制人资格专用章的工程决算书; ⑤ 建设单位供料明细表,主要材料消耗分析表,钢筋翻样清单,材料差价调整计算明细表,工程量清单单价调整明细表,需要核实的施工单位采购的材料凭证; ⑥ 其他与工程造价有关的文件资料。
2、资料符合审查性: ① 资料真实性认可:资料内容必须与现场实际情况相符; ② 资料有效性认可:必须有建设单位、监理单位、施工单位的签字盖章;变更资料必须有设计单位出具证明;签字资料必须有合理的事由,建设单位的认可证明。
三、审计实施
1、程序实施 ① 送审资料的完整性、合法性和充分性; ② 计价方式是否符合合同约定,工程量清单计算是否符合规则; ③ 清单项目人、材、机换算及计算结果是否准确; ④ 工程量调整是否有依据,是否符合招标文件要求、投标承诺和合同约定,计算结果是否准确; ⑤ 清单项目综合单价调整是否有依据,是否符合招标文件要求、投标承诺和合同约定; ⑥ 主要材料消耗量计算是否准确,材料价格是否与报价相符,价格调整是否有依据; ⑦ 甲供材料的品种、数量和结算是否正确;
⑧ 甲方单独分包项目工程量的划分和结算是否正确; ⑨ 措施费用调整是否有依据,计算基数、取费标准、计算程序和计算结果是否正确; ⑩ 各种税金和规费计取是否符合税务和相关管理部门的规定; ⑪ 实际施工工期与合同工期比较,差异原因和责任;
⑫ 索赔和违约金支付的理由是否符合合同的约定或法规的规定,证据是否确凿、完整,费用计算是否正确; ⑬ 其他与工程造价有关的内容。
审核过程中遇有不明确或持有异议的问题,项目负责人应与委托人取得联系,会同建设单位、施工单位到施工现场查勘和取证。
审核人员依据送审资料、取证材料、会商纪要、建设行政主管部门制定的规则、工程造价管理部门的规定和《合同法》、《招标投标法》等国家的有关法规,对送审的工程预结算逐项进行审核,编制《工程审核计算书》和结算调整明细表征求意见稿,拟写初审意见,随同《咨询质量控制流程单》交项目负责人复核。
项目负责人复核同意后,将初审意见和征求意见稿交送委托人,有委托人送交建设单位和施工单位征求意见。
如委托人、或建设单位、或施工单位对初审意见有异议,项目负责人应要求委托人约时召集建设单位、施工单位、审核单位进行会商,充分听取各方意见,必要时可实事求是地对初审意见进行调整,以求达成共识。
对审核的结算达成一致意见后,项目负责人将审定意见和《工程造价咨询质量控制流程单》交技术负责人进行最终审定。
委托人、建设单位、施工单位负责人和咨询单位技术负责人分别在《工程结算审定表》上签署意见,盖上公章,以示认可。
承发包双方对工程造价咨询单位出具的竣工结算审核意见仍有异议的,可以向县级以上地方建设行政主管部门申请调解。调解不成的,可依法申请仲裁或向人民法院提起诉讼。
四、提出审计结论
1、审核人员初审: ① 熟悉有关审核资料及相关法规规定; ② 依据相关资料,落实工程数量,做到计算数据准确,计算公式及内容完整,结果真实可靠。
2、校核人员会审: ① 校核人员组织审核人员对原审计结果进行评审,对工程数量存在差异的查明原因; ② 校核人员组织审核人员编制审核初稿。
3、项目负责人审定: ① 项目负责人全面审定审核初稿内容; ② 项目负责人对审计结论中主材含量在内的主要经济指标作出符合性对比分析; ③ 项目负责人组织审核人员对有争议的遗留问题进行解决; ④ 项目负责人根据以上内容以及江阴市国家建设项目审计中心规定格式编制审计报告。
五、审计工作联系程序
1、需要建设单位澄清、解释的事项由审计单位提出工作联系函;
2、建设单位根据工作联系函内容及时回函。
六、审计步骤
1、结算审核 ① 单价确定依据、批准程序及合理性; ② 对结算工程量真实性审核; ③ 对甲供材数量、品牌、规格、型号进行审核; ④ 对现场签证、变更的真实性、合理性进行审核; ⑤ 对结算计费合理性进行审核; ⑥ 对审核初步结论进行复核; ⑦ 提出审核结论。
2、管理合规性审查 ① 招标过程是否规范,计价、计费及违约索赔条款设置是否复核业主利益; ② 合同是否降低了招标标准,是否与招标要约一致; ③ 合同签订批准程序是否完整; ④ 审查建设单位各项涉价制度是否健全及执行情况; ⑤ 招标活动是否符合招投标法; ⑥ 对施工过程中的签证变更及现场管理进行审查; ⑦ 审查监理、项目部及建设单位在结算阶段的造价控制技能; ⑧ 对建设单位与其委托的审核中介单位所签订的委托合同、委托实施程序、资料标准、监督程序、复核认定进行审查; ⑨ 建设单位是否能积极、有效配合审计实施; ⑩ 提出管理合规性审查结论。
质量保证措施
1、首先要掌握完整的、第一手的工程竣工资料。主要包括工程施工合同、竣工图纸、施工组织方案、工程变更签证、工程竣工验收报告等资料(一般都要求提供原始件)。通过对这些资料的了解,保证在开始核算工程量前,对工程施工范围、合同的特殊约定、是否有甲方供料等情况有个通盘地、全面的了解。
2、把好工程量计算关。工程量是进行结算的基本依据,要精确计算和核实各分部的工程量,预结算审核人员必须熟悉施工图纸,有良好的识图、读图能力,这要求预结算审核人员平时就要做好准备工作,了解工程的每一个细节,对每一部分工程量都要做到心中有数。尤其是对工程造价较大、数量较多的主要分部分项工程更要仔细核对、分析、确定,到现场亲自测量,结合有关施工过程记录、签证,综合分析后确定工程量,避免施工单位不认真计算工程量,自觉或不自觉地掺杂一些“水分”,为了企业自己的私利,高估冒算,造成工程结算不实。对多计工程量和重复计算工程量以及只增项不减项,或只增项少减项等较为突出的问题,注重帐表核对,账实核对,直到查清查实为止。在审计工程量时注重抓好以下两个方面:一是审计建筑工程的列项过程是否正确,有无多列、少列或错列现象;二是审计工程量计算规则。对施工图工程量的审核最重要的是熟悉工程量的计算规则。
3、重视“现场签证”。在市政工程施工中,经常会发生一些影响工程结算的变动,如地质条件复杂,地下管线散乱,周围环境的障碍,材料品种规格上的变更,施工时间、施工方式的改变,图纸设计中的差错与失误的修正和甲方提出 的变更等,往往不可避免地发生签证工程量,于是有的施工单位巧立名目,弄虚作假,有意歪曲有关规范界限的含义,钻建设单位不熟悉规范的空子,争得签证,或者以少报多,高估冒算,还有的遇到问题不及时办理签证,完工结算时搞突击,互相扯皮,因此作为结算审核人员,平时就要经常深入工地,掌握实际施工情况,随时记录,对变更的项目做到了如指掌,结算时才能有理有据,按照实际与合同的有关规定如实结算。
4、把好取费标准审计关。取费应根据当地工程造价管理部门颁发的文件及规定,结合相关文件如合同、招投标文件等来确定取费费率。审核是应注意取费文件的时效性;执行的取费表是否与工程性质相符;费率计算是否正确。如计算时的取费基础是否正确,是以人工费为基础还是以直接费为基础。对于费率下浮或总价下浮的工程,在结算时特别要注意变更或新增项目是否同比下浮等。
5、把好材料差价审计关。价差调整的材料是否符合文件规定,对于按系数法计算的材差部分,注意材差系数的变化和材差计算的基数规定,以地方有关主管部门每季度下发的文件为审计标准,注意材差系数计取的时间与施工进度一致。对于按实结算的材料在审计其价差时,以审计材料用量和材料的实际价格为主。对那些可以据实调整的材料直接审查施工企业的原始票据,特别对装饰材料加强审计力度。
6、把好套用定额审计关。工程造价定额具有科学性、权威性、法令性,任何人使用都必须严格执行它的形式和内容、计算单位和计量标准,不能随意提高和降低。首先,审计定额的选用是否正确、合理。如新建的建筑工程与改建的建筑工程使用的定额不同,前者以建筑工程预算定额为主,后者以修缮定额为主;其次,审计定额的使用过程是否严谨,有无错套定额现象。如工程结算中选用的定额编号所对应的工程内容是偶与施工图纸表现的工程部位完全一致,定额基价所包含的项目内容是否重复计算,定额基价的换算过程是否完全正确等。
7、措施项目、其他项目费的审核。该部分审核重点是现场安全文明施工措施是否经相关部门现场考评及文明工地评定,对大型机械设备进出场及安拆费要有现场签证,垂直运输机械费要考虑机械使用时间是否在施工合同规定的时间等。
审计实施方案 篇6
一、切实提高认识,不断增强审计促进“十二五”规划顺利实施的自觉性和坚定性。今年2月份,江西省十一届人大四次会议审议通过的“十二五”规划纲要,描绘了未来五年江西省经济社会发展的宏伟蓝图,也对全省审计工作提出了新的更高要求。3月份,审计署出台的《关于加强审计监督 促进“十二五”规划顺利实施的意见》,对审计机关如何切实履行审计监督职责,促进“十二五”规划顺利实施又提出了明确具体的要求。全省各级审计机关一定要深入学习、吃透精神,切实把思想和行动统一到省委、省政府的决策部署和审计署的指示要求上来,深刻认识“十二五”规划的重大意义,深刻领会“十二五”规划的指导思想、主要目标和推进措施,深刻理解审计机关肩负的使命和责任,进一步增强审计服务“十二五”规划的责任感和使命感,将保障“十二五”规划顺利实施摆在重要位置,推动江西经济社会更好更快发展。要切实增强大局意识、责任意识和服务意识,找准审计工作为“十二五”规划顺利实施服务的切入点和着力点,坚持不懈地抓好各项工作落实,为“十二五”规划顺利实施提供有力的审计支持。要紧紧围绕科学发展这个主题、加快转变经济发展方式这条主线和鄱阳湖生态经济区建设这个龙头,把维护人民群众利益作为根本目标,把维护国家安全作为首要任务,努力培养战略思维、辩证思维、开放思维和创新思维,从促进经济社会科学发展的高度谋划审计工作,更加自觉地服务于经济社会发展大局,更加积极、主动和有效地发挥审计的“免疫系统”功能,推动审计工作在继承中发展、巩固中提高、创新中跨越。
二、认真履行职责,积极发挥审计促进“十二五”规划顺利实施的服务保障作用。今后五年,是在新的起点上全面推进江西审计事业科学发展的重要时期。全省审计机关要紧紧围绕“十二五”规划确定的各项重大部署,把审计工作进一步融入经济社会发展大局之中,找准审计工作的切入点和落脚点,切实加强对重点资金、重点领域和重点环节的审计监督,服务经济社会又好又快发展。一是更加注重深化对宏观政策执行情况的跟踪审计力度。要不断深化对宏观经济政策执行情况的审计监督,及时发现和反映问题,及时提出有针对性的政策建议,确保各项政策措施不折不扣地执行到位。要着重检查转变发展方式、调整经济结构相关政策的落实情况,着重检查节能减排和资源环境保护政策的执行情况,在保持全省经济平稳较快发展的同时,引导各方面切实把工作着力点放在转变发展方式、调整经济结构、提高经济增长质量和效益上来,确保中央和省委、省政府宏观决策和部署落实到位,推动全省经济社会全面协调可持续发展。二是更加注重加大绩效审计的推进力度。要继续加大绩效审计力度,每一项审计都要关注绩效问题,注重从政策执行、资金使用、资源利用、行政效能等多方面作出评价,在关注经济效益的同时将社会效益和生态效益摆在更加突出的位置,正确处理好微观局部与宏观全局、揭露问题与解决问题、资金使用绩效与政府行政效能的关系,提出有针对性和可操作性的审计建议,促进加快转变经济发展方式,提高财政资金和公共资源管理活动的经济性、效率性和效果性,促进建设资源节约型和环境友好型社会。三是更加注重加大对重大违法违纪问题和案件的揭露和查处力度。要始终把查处重大违法违纪案件、促进反腐倡廉建设作为重要职责,抓住腐败现象易发多发的重点领域、重点部位和重点环节,切实突出对财政资金的管理、分配和使用,工程建设中的预决算、招投标和物资采购,土地转让中的“招拍挂”、出让金和异地置换,金融机构的贷款发放、票据贴现和保险理赔,国有企业的对外投资、资产处置等方面的审计监督。要加大案件线索移交力度,完善与纪检监察、检察、公安等部门的案件移送制度,加强工作沟通、协作、配合,严肃揭露和查处以权谋私、渎职侵权、贪污受贿等问题,推动反腐败斗争不断深入。四是更加注重加大对体制机制制度性问题的揭示和反映力度。要切实增强审计监督的深度和分析研究的力度,着力反映体制障碍、制度缺陷、机制扭曲和管理漏洞,促进深化重点领域和关键环节的改革。要更加关注财税体制和转移支付制度运行情况,促进健全财权与事权相匹配的公共财政体系,推动建立统一和完整的政府预算;更加关注金融体制和金融市场建设情况,促进金融企业强化内部治理和风险管理,完善金融监管体制机制;更加关注国有资产管理体制和国有经济战略性调整情况,推动加快股权多元化和公司制改革,促进国有企业增强活力、壮大实力、提高竞争力。五是更加注重加大对审计发现问题的整改力度。要切实增强督促整改的自觉性和主动性,认真落实省政府办公厅转发的《关于进一步加强审计整改工作的意见》,主动争取党委、政府的支持,促使有关单位严格执行审计决定,采纳审计建议,整改审计查出的问题。要加强与有关部门的配合,健全完善审计整改报告、督查、联动、公告、问责等制度,努力构建审计整改的长效机制,促进审计查出问题整改到位,维护审计的严肃性和权威性。要依法推进审计结果公告工作,全面客观地反映审计和整改情况,提高审计的公信力和执行力。
三、坚持探索创新,不断提升审计促进“十二五”规划顺利实施的能力和水平。“十二五”是全面建设小康社会的关键时期,是改革开放、加快转变经济发展方式的攻坚时期,新的形势和任务对审计工作提出了新的更高的要求。为此,要坚持不懈地探索审计创新,着力提高审计能力和水平,推动审计工作不断深化和发展,为促进“十二五”规划顺利实施提供强有力的审计支持。一是坚持不懈地创新审计监督内容和领域。要认真落实温总理提出的“财政资金运用到哪里,审计就跟进到哪里”的指示要求,深化审计内容,拓展审计领域,把一切政府性资金纳入审计视野。要紧紧围绕“十二五”规划来开展审计工作,既要坚持依法审计,又要正确处理好监督与服务、全面审计与突出重点、原则性与灵活性的关系,把是否有利于推动经济社会科学发展、有利于加快转变经济发展方式、有利于维护人民群众根本利益作为评判标准,实事求是地作出审计评价、结论和决定。二是坚持不懈地创新审计业务管理。要进一步改进审计项目计划和成本管理,逐步建立动态的审计项目储备库,完善和有效实施审计项目中长期滚动计划,达到年度计划与中长期计划相衔接,提高审计计划的科学性。要积极创新审计组织管理方式,坚持上下联动,内外结合,科学配置和合理整合全省审计力量资源,大力开展全省性的行业审计和专项审计,积极探索“1+N”的作业模式,将专项审计、预算执行审计和经济责任审计有机结合起来,充分发挥审计工作的整体效能,实现“一审多果”。要积极探索实行审计项目招标和审计组长竞聘制度,有效整合机关内部资源,充分调动审计人员的积极性、主动性和创造性。三是坚持不懈地创新审计方式方法。要积极探索实现构建财政审计大格局的有效途径,对审计内容、审计重点、审计资源、组织实施和成果利用进行统筹管理,提升审计工作报告和审计结果报告的层次和水平。探索对关系国计民生的重大建设项目、矿产资源开发与环境保护事项、国家重大政策措施的执行实行全过程跟踪审计,认真研究跟踪审计的工作思路、介入时间和具体流程,始终坚持审计的独立性,避免越权、越位,把跟踪审计提高到一个全新的水平。要积极探索跨若干项资金、若干个事项和若干个行业联合(综合)审计,如民生工程和投资联合审计,财政与经责联合审计等等,切实提高审计效果。要不断探索符合各地实情的审计技术方法,以审计信息化建设为依托,积极推进对税收、社会保险等重要单位的联网审计;推进审计数据中心建立,建立完备的数据库,为深化信息化条件下的计算机审计创造条件;进一步加大审计管理系统(OA)与现场审计实施系统(AO)的应用与普及力度,努力提升计算机应用的层次和水平。四是坚持不懈地创新审计风险防范机制。一方面,积极防范审计项目质量风险。要进一步健全和完善相关制度,逐步建立起更加科学规范的审计质量控制体系,实现对审计全过程的质量控制和跟踪检查。要全面推进审计项目审理制度,对审计实施方案编制、审计实施方案执行,以及审计证据、审计工作底稿、审计结果类文书格式、反映情况和问题、适用法律法规规章、评价定性、处理处罚等重要事项实行审理监督。要坚持和完善三级复核、审计业务会议、审计质量检查、质量责任追究等制度,提高审计质量,防范审计风险。要建立健全审计实施过程中的质量检查实名通报制度,确保审计结果准确,体现出水平、经得起检验。另一方面,积极防范审计廉政风险。要围绕权力运用这条主线,全面开展风险岗位廉能管理,建立健全审计机关廉政风险防控工作机制,加强对廉政风险点的查找与防控,加快构建惩治和预防腐败体系。要建立健全财务管理等制度,严格落实经费预算和“收支两条线”规定,积极推进“三公经费”网上公开,接受社会监督。要积极推行审计外勤经费完全自理,严格执行“八不准”审计纪律和各项廉政规定,强化审计项目现场廉政监督检查和审计回访,维护审计工作的独立性和权威性。五是坚持不懈地创新审计人才工作机制。要逐步建立以“专业化”为导向的审计干部管理机制,努力打造一支能够适应时代要求的专业化审计队伍。要建立健全职业准入制度,大力引进工程、计算机、法律等方面高层次审计专业人才;要创新业务培训,强化审计专业能力的培养;要完善考评体系,深化以业务能力为标准、以工作实绩为导向的干部人事制度改革。要科学利用外部人才资源,探索建立外聘专家库和专家咨询制度,不断推进人才工作体制机制创新。
(作者单位:江西省审计厅)
审计法实施条例 篇7
第一条根据《中华人民共和国审计法》 (以下简称审计法) 的规定, 制定本条例。
第二条审计法所称审计, 是指审计机关依法独立检查被审计单位的会计凭证、会计账簿、财务会计报告以及其他与财政收支、财务收支有关的资料和资产, 监督财政收支、财务收支真实、合法和效益的行为。
第三条审计法所称财政收支, 是指依照《中华人民共和国预算法》和国家其他有关规定, 纳入预算管理的收入和支出, 以及下列财政资金中未纳入预算管理的收入和支出:
(一) 行政事业性收费;
(二) 国有资源、国有资产收入;
(三) 应当上缴的国有资本经营收益;
(四) 政府举借债务筹措的资金;
(五) 其他未纳入预算管理的财政资金。
第四条审计法所称财务收支, 是指国有的金融机构、企业事业组织以及依法应当接受审计机关审计监督的其他单位, 按照国家财务会计制度的规定, 实行会计核算的各项收入和支出。
第五条审计机关依照审计法和本条例以及其他有关法律、法规规定的职责、权限和程序进行审计监督。
审计机关依照有关财政收支、财务收支的法律、法规, 以及国家有关政策、标准、项目目标等方面的规定进行审计评价, 对被审计单位违反国家规定的财政收支、财务收支行为, 在法定职权范围内作出处理、处罚的决定。
第六条任何单位和个人对依法应当接受审计机关审计监督的单位违反国家规定的财政收支、财务收支行为, 有权向审计机关举报。审计机关接到举报, 应当依法及时处理。
第二章审计机关和审计人员
第七条审计署在国务院总理领导下, 主管全国的审计工作, 履行审计法和国务院规定的职责。
地方各级审计机关在本级人民政府行政首长和上一级审计机关的领导下, 负责本行政区域的审计工作, 履行法律、法规和本级人民政府规定的职责。
第八条省、自治区人民政府设有派出机关的, 派出机关的审计机关对派出机关和省、自治区人民政府审计机关负责并报告工作, 审计业务以省、自治区人民政府审计机关领导为主。
第九条审计机关派出机构依照法律、法规和审计机关的规定, 在审计机关的授权范围内开展审计工作, 不受其他行政机关、社会团体和个人的干涉。
第十条审计机关编制年度经费预算草案的依据主要包括:
(一) 法律、法规;
(二) 本级人民政府的决定和要求;
(三) 审计机关的年度审计工作计划;
(四) 定员定额标准;
(五) 上一年度经费预算执行情况和本年度的变化因素。
第十一条审计人员实行审计专业技术资格制度, 具体按照国家有关规定执行。
审计机关根据工作需要, 可以聘请具有与审计事项相关专业知识的人员参加审计工作。
第十二条审计人员办理审计事项, 有下列情形之一的, 应当申请回避, 被审计单位也有权申请审计人员回避:
(一) 与被审计单位负责人或者有关主管人员有夫妻关系、直系血亲关系、三代以内旁系血亲或者近姻亲关系的;
(二) 与被审计单位或者审计事项有经济利益关系的;
(三) 与被审计单位、审计事项、被审计单位负责人或者有关主管人员有其他利害关系, 可能影响公正执行公务的。
审计人员的回避, 由审计机关负责人决定;审计机关负责人办理审计事项时的回避, 由本级人民政府或者上一级审计机关负责人决定。
第十三条地方各级审计机关正职和副职负责人的任免, 应当事先征求上一级审计机关的意见。
第十四条审计机关负责人在任职期间没有下列情形之一的, 不得随意撤换:
(一) 因犯罪被追究刑事责任的;
(二) 因严重违法、失职受到处分, 不适宜继续担任审计机关负责人的;
(三) 因健康原因不能履行职责1年以上的;
(四) 不符合国家规定的其他任职条件的。
第三章审计机关职责
第十五条审计机关对本级人民政府财政部门具体组织本级预算执行的情况, 本级预算收入征收部门征收预算收入的情况, 与本级人民政府财政部门直接发生预算缴款、拨款关系的部门、单位的预算执行情况和决算, 下级人民政府的预算执行情况和决算, 以及其他财政收支情况, 依法进行审计监督。经本级人民政府批准, 审计机关对其他取得财政资金的单位和项目接受、运用财政资金的真实、合法和效益情况, 依法进行审计监督。
第十六条审计机关对本级预算收入和支出的执行情况进行审计监督的内容包括:
(一) 财政部门按照本级人民代表大会批准的本级预算向本级各部门 (含直属单位) 批复预算的情况、本级预算执行中调整情况和预算收支变化情况;
(二) 预算收入征收部门依照法律、行政法规的规定和国家其他有关规定征收预算收入情况;
(三) 财政部门按照批准的年度预算、用款计划, 以及规定的预算级次和程序, 拨付本级预算支出资金情况;
(四) 财政部门依照法律、行政法规的规定和财政管理体制, 拨付和管理政府间财政转移支付资金情况以及办理结算、结转情况;
(五) 国库按照国家有关规定办理预算收入的收纳、划分、留解情况和预算支出资金的拨付情况;
(六) 本级各部门 (含直属单位) 执行年度预算情况;
(七) 依照国家有关规定实行专项管理的预算资金收支情况;
(八) 法律、法规规定的其他预算执行情况。
第十七条审计法第十七条所称审计结果报告, 应当包括下列内容:
(一) 本级预算执行和其他财政收支的基本情况;
(二) 审计机关对本级预算执行和其他财政收支情况作出的审计评价;
(三) 本级预算执行和其他财政收支中存在的问题以及审计机关依法采取的措施;
(四) 审计机关提出的改进本级预算执行和其他财政收支管理工作的建议;
(五) 本级人民政府要求报告的其他情况。
第十八条审计署对中央银行及其分支机构履行职责所发生的各项财务收支, 依法进行审计监督。
审计署向国务院总理提出的中央预算执行和其他财政收支情况审计结果报告, 应当包括对中央银行的财务收支的审计情况。
第十九条审计法第二十一条所称国有资本占控股地位或者主导地位的企业、金融机构, 包括:
(一) 国有资本占企业、金融机构资本 (股本) 总额的比例超过50%的;
(二) 国有资本占企业、金融机构资本 (股本) 总额的比例在50%以下, 但国有资本投资主体拥有实际控制权的。
审计机关对前款规定的企业、金融机构, 除国务院另有规定外, 比照审计法第十八条第二款、第二十条规定进行审计监督。
第二十条审计法第二十二条所称政府投资和以政府投资为主的建设项目, 包括:
(一) 全部使用预算内投资资金、专项建设基金、政府举借债务筹措的资金等财政资金的;
(二) 未全部使用财政资金, 财政资金占项目总投资的比例超过50%, 或者占项目总投资的比例在50%以下, 但政府拥有项目建设、运营实际控制权的。
审计机关对前款规定的建设项目的总预算或者概算的执行情况、年度预算的执行情况和年度决算、单项工程结算、项目竣工决算, 依法进行审计监督;对前款规定的建设项目进行审计时, 可以对直接有关的设计、施工、供货等单位取得建设项目资金的真实性、合法性进行调查。
第二十一条审计法第二十三条所称社会保障基金, 包括社会保险、社会救助、社会福利基金以及发展社会保障事业的其他专项基金;所称社会捐赠资金, 包括来源于境内外的货币、有价证券和实物等各种形式的捐赠。
第二十二条审计法第二十四条所称国际组织和外国政府援助、贷款项目, 包括:
(一) 国际组织、外国政府及其机构向中国政府及其机构提供的贷款项目;
(二) 国际组织、外国政府及其机构向中国企业事业组织以及其他组织提供的由中国政府及其机构担保的贷款项目;
(三) 国际组织、外国政府及其机构向中国政府及其机构提供的援助和赠款项目;
(四) 国际组织、外国政府及其机构向受中国政府委托管理有关基金、资金的单位提供的援助和赠款项目;
(五) 国际组织、外国政府及其机构提供援助、贷款的其他项目。
第二十三条审计机关可以依照审计法和本条例规定的审计程序、方法以及国家其他有关规定, 对预算管理或者国有资产管理使用等与国家财政收支有关的特定事项, 向有关地方、部门、单位进行专项审计调查。
第二十四条审计机关根据被审计单位的财政、财务隶属关系, 确定审计管辖范围;不能根据财政、财务隶属关系确定审计管辖范围的, 根据国有资产监督管理关系, 确定审计管辖范围。
两个以上国有资本投资主体投资的金融机构、企业事业组织和建设项目, 由对主要投资主体有审计管辖权的审计机关进行审计监督。
第二十五条各级审计机关应当按照确定的审计管辖范围进行审计监督。
第二十六条依法属于审计机关审计监督对象的单位的内部审计工作, 应当接受审计机关的业务指导和监督。
依法属于审计机关审计监督对象的单位, 可以根据内部审计工作的需要, 参加依法成立的内部审计自律组织。审计机关可以通过内部审计自律组织, 加强对内部审计工作的业务指导和监督。
第二十七条审计机关进行审计或者专项审计调查时, 有权对社会审计机构出具的相关审计报告进行核查。
审计机关核查社会审计机构出具的相关审计报告时, 发现社会审计机构存在违反法律、法规或者执业准则等情况的, 应当移送有关主管机关依法追究责任。
第四章审计机关权限
第二十八条审计机关依法进行审计监督时, 被审计单位应当依照审计法第三十一条规定, 向审计机关提供与财政收支、财务收支有关的资料。被审计单位负责人应当对本单位提供资料的真实性和完整性作出书面承诺。
第二十九条各级人民政府财政、税务以及其他部门 (含直属单位) 应当向本级审计机关报送下列资料:
(一) 本级人民代表大会批准的本级预算和本级人民政府财政部门向本级各部门 (含直属单位) 批复的预算, 预算收入征收部门的年度收入计划, 以及本级各部门 (含直属单位) 向所属各单位批复的预算;
(二) 本级预算收支执行和预算收入征收部门的收入计划完成情况月报、年报, 以及决算情况;
(三) 综合性财政税务工作统计年报、情况简报, 财政、预算、税务、财务和会计等规章制度;
(四) 本级各部门 (含直属单位) 汇总编制的本部门决算草案。
第三十条审计机关依照审计法第三十三条规定查询被审计单位在金融机构的账户的, 应当持县级以上人民政府审计机关负责人签发的协助查询单位账户通知书;查询被审计单位以个人名义在金融机构的存款的, 应当持县级以上人民政府审计机关主要负责人签发的协助查询个人存款通知书。有关金融机构应当予以协助, 并提供证明材料, 审计机关和审计人员负有保密义务。
第三十一条审计法第三十四条所称违反国家规定取得的资产, 包括:
(一) 弄虚作假骗取的财政拨款、实物以及金融机构贷款;
(二) 违反国家规定享受国家补贴、补助、贴息、免息、减税、免税、退税等优惠政策取得的资产;
(三) 违反国家规定向他人收取的款项、有价证券、实物;
(四) 违反国家规定处分国有资产取得的收益;
(五) 违反国家规定取得的其他资产。
第三十二条审计机关依照审计法第三十四条规定封存被审计单位有关资料和违反国家规定取得的资产的, 应当持县级以上人民政府审计机关负责人签发的封存通知书, 并在依法收集与审计事项相关的证明材料或者采取其他措施后解除封存。封存的期限为7日以内;有特殊情况需要延长的, 经县级以上人民政府审计机关负责人批准, 可以适当延长, 但延长的期限不得超过7日。
对封存的资料、资产, 审计机关可以指定被审计单位负责保管, 被审计单位不得损毁或者擅自转移。
第三十三条审计机关依照审计法第三十六条规定, 可以就有关审计事项向政府有关部门通报或者向社会公布对被审计单位的审计、专项审计调查结果。
审计机关经与有关主管机关协商, 可以在向社会公布的审计、专项审计调查结果中, 一并公布对社会审计机构相关审计报告核查的结果。
审计机关拟向社会公布对上市公司的审计、专项审计调查结果的, 应当在5日前将拟公布的内容告知上市公司。
第五章审计程序
第三十四条审计机关应当根据法律、法规和国家其他有关规定, 按照本级人民政府和上级审计机关的要求, 确定年度审计工作重点, 编制年度审计项目计划。
审计机关在年度审计项目计划中确定对国有资本占控股地位或者主导地位的企业、金融机构进行审计的, 应当自确定之日起7日内告知列入年度审计项目计划的企业、金融机构。
第三十五条审计机关应当根据年度审计项目计划, 组成审计组, 调查了解被审计单位的有关情况, 编制审计方案, 并在实施审计3日前, 向被审计单位送达审计通知书。
第三十六条审计法第三十八条所称特殊情况, 包括:
(一) 办理紧急事项的;
(二) 被审计单位涉嫌严重违法违规的;
(三) 其他特殊情况。
第三十七条审计人员实施审计时, 应当按照下列规定办理:
(一) 通过检查、查询、监督盘点、发函询证等方法实施审计;
(二) 通过收集原件、原物或者复制、拍照等方法取得证明材料;
(三) 对与审计事项有关的会议和谈话内容作出记录, 或者要求被审计单位提供会议记录材料;
(四) 记录审计实施过程和查证结果。
第三十八条审计人员向有关单位和个人调查取得的证明材料, 应当有提供者的签名或者盖章;不能取得提供者签名或者盖章的, 审计人员应当注明原因。
第三十九条审计组向审计机关提出审计报告前, 应当书面征求被审计单位意见。被审计单位应当自接到审计组的审计报告之日起10日内, 提出书面意见;10日内未提出书面意见的, 视同无异议。
审计组应当针对被审计单位提出的书面意见, 进一步核实情况, 对审计组的审计报告作必要修改, 连同被审计单位的书面意见一并报送审计机关。
第四十条审计机关有关业务机构和专门机构或者人员对审计组的审计报告以及相关审计事项进行复核、审理后, 由审计机关按照下列规定办理:
(一) 提出审计机关的审计报告, 内容包括:对审计事项的审计评价, 对违反国家规定的财政收支、财务收支行为提出的处理、处罚意见, 移送有关主管机关、单位的意见, 改进财政收支、财务收支管理工作的意见;
(二) 对违反国家规定的财政收支、财务收支行为, 依法应当给予处理、处罚的, 在法定职权范围内作出处理、处罚的审计决定;
(三) 对依法应当追究有关人员责任的, 向有关主管机关、单位提出给予处分的建议;对依法应当由有关主管机关处理、处罚的, 移送有关主管机关;涉嫌犯罪的, 移送司法机关。
第四十一条审计机关在审计中发现损害国家利益和社会公共利益的事项, 但处理、处罚依据又不明确的, 应当向本级人民政府和上一级审计机关报告。
第四十二条被审计单位应当按照审计机关规定的期限和要求执行审计决定。对应当上缴的款项, 被审计单位应当按照财政管理体制和国家有关规定缴入国库或者财政专户。审计决定需要有关主管机关、单位协助执行的, 审计机关应当书面提请协助执行。
第四十三条上级审计机关应当对下级审计机关的审计业务依法进行监督。
下级审计机关作出的审计决定违反国家有关规定的, 上级审计机关可以责成下级审计机关予以变更或者撤销, 也可以直接作出变更或者撤销的决定;审计决定被撤销后需要重新作出审计决定的, 上级审计机关可以责成下级审计机关在规定的期限内重新作出审计决定, 也可以直接作出审计决定。
下级审计机关应当作出而没有作出审计决定的, 上级审计机关可以责成下级审计机关在规定的期限内作出审计决定, 也可以直接作出审计决定。
第四十四条审计机关进行专项审计调查时, 应当向被调查的地方、部门、单位出示专项审计调查的书面通知, 并说明有关情况;有关地方、部门、单位应当接受调查, 如实反映情况, 提供有关资料。
在专项审计调查中, 依法属于审计机关审计监督对象的部门、单位有违反国家规定的财政收支、财务收支行为或者其他违法违规行为的, 专项审计调查人员和审计机关可以依照审计法和本条例的规定提出审计报告, 作出审计决定, 或者移送有关主管机关、单位依法追究责任。
第四十五条审计机关应当按照国家有关规定建立、健全审计档案制度。
第四十六条审计机关送达审计文书, 可以直接送达, 也可以邮寄送达或者以其他方式送达。直接送达的, 以被审计单位在送达回证上注明的签收日期或者见证人证明的收件日期为送达日期;邮寄送达的, 以邮政回执上注明的收件日期为送达日期;以其他方式送达的, 以签收或者收件日期为送达日期。
审计机关的审计文书的种类、内容和格式, 由审计署规定。
第六章法律责任
第四十七条被审计单位违反审计法和本条例的规定, 拒绝、拖延提供与审计事项有关的资料, 或者提供的资料不真实、不完整, 或者拒绝、阻碍检查的, 由审计机关责令改正, 可以通报批评, 给予警告;拒不改正的, 对被审计单位可以处5万元以下的罚款, 对直接负责的主管人员和其他直接责任人员, 可以处2万元以下的罚款, 审计机关认为应当给予处分的, 向有关主管机关、单位提出给予处分的建议;构成犯罪的, 依法追究刑事责任。
第四十八条对本级各部门 (含直属单位) 和下级人民政府违反预算的行为或者其他违反国家规定的财政收支行为, 审计机关在法定职权范围内, 依照法律、行政法规的规定, 区别情况采取审计法第四十五条规定的处理措施。
第四十九条对被审计单位违反国家规定的财务收支行为, 审计机关在法定职权范围内, 区别情况采取审计法第四十五条规定的处理措施, 可以通报批评, 给予警告;有违法所得的, 没收违法所得, 并处违法所得1倍以上5倍以下的罚款;没有违法所得的, 可以处5万元以下的罚款;对直接负责的主管人员和其他直接责任人员, 可以处2万元以下的罚款, 审计机关认为应当给予处分的, 向有关主管机关、单位提出给予处分的建议;构成犯罪的, 依法追究刑事责任。
法律、行政法规对被审计单位违反国家规定的财务收支行为处理、处罚另有规定的, 从其规定。
第五十条审计机关在作出较大数额罚款的处罚决定前, 应当告知被审计单位和有关人员有要求举行听证的权利。较大数额罚款的具体标准由审计署规定。
第五十一条审计机关提出的对被审计单位给予处理、处罚的建议以及对直接负责的主管人员和其他直接责任人员给予处分的建议, 有关主管机关、单位应当依法及时作出决定, 并将结果书面通知审计机关。
第五十二条被审计单位对审计机关依照审计法第十六条、第十七条和本条例第十五条规定进行审计监督作出的审计决定不服的, 可以自审计决定送达之日起60日内, 提请审计机关的本级人民政府裁决, 本级人民政府的裁决为最终决定。
审计机关应当在审计决定中告知被审计单位提请裁决的途径和期限。
裁决期间, 审计决定不停止执行。但是, 有下列情形之一的, 可以停止执行:
(一) 审计机关认为需要停止执行的;
(二) 受理裁决的人民政府认为需要停止执行的;
(三) 被审计单位申请停止执行, 受理裁决的人民政府认为其要求合理, 决定停止执行的。
裁决由本级人民政府法制机构办理。裁决决定应当自接到提请之日起60日内作出;有特殊情况需要延长的, 经法制机构负责人批准, 可以适当延长, 并告知审计机关和提请裁决的被审计单位, 但延长的期限不得超过30日。
第五十三条除本条例第五十二条规定的可以提请裁决的审计决定外, 被审计单位对审计机关作出的其他审计决定不服的, 可以依法申请行政复议或者提起行政诉讼。
审计机关应当在审计决定中告知被审计单位申请行政复议或者提起行政诉讼的途径和期限。
第五十四条被审计单位应当将审计决定执行情况书面报告审计机关。审计机关应当检查审计决定的执行情况。
被审计单位不执行审计决定的, 审计机关应当责令限期执行;逾期仍不执行的, 审计机关可以申请人民法院强制执行, 建议有关主管机关、单位对直接负责的主管人员和其他直接责任人员给予处分。
第五十五条审计人员滥用职权、徇私舞弊、玩忽职守, 或者泄露所知悉的国家秘密、商业秘密的, 依法给予处分;构成犯罪的, 依法追究刑事责任。
审计人员违法违纪取得的财物, 依法予以追缴、没收或者责令退赔。
第七章附则
第五十六条本条例所称以上、以下, 包括本数。
本条例第五十二条规定的期间的最后一日是法定节假日的, 以节假日后的第一个工作日为期间届满日。审计法和本条例规定的其他期间以工作日计算, 不含法定节假日。
第五十七条实施经济责任审计的规定, 另行制定。
第五十八条本条例自2010年5月1日起施行。
代码审计技术方案 篇8
关键词:代码审计,代码扫描,人工分析
1 代码审计概述
代码安全审计工作通过分析当前应用系统的源代码,在熟悉业务系统的情况下,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。在明确当前安全现状和需求的情况下,对下一步的编码安全规范性建设有重大的意义。
通过实施代码安全审计,以较小成本快速发现系统中的代码安全漏洞、快速评估系统代码安全风险,有助于增强系统安全性,抵御黑客恶意攻击,保护信息系统资产。
2 审计适用范围
代码安全审计适用于以C、C++、C#、Java、VB、VB.Net等语言开发的应用程序,以及以Ruby、PHP、ASP、JSP、AJAX和Perl等在内的各种Web技术编写的应用程序。源代码安全审计的对象可以是一个应用程序的全部代码,也可以是其中的一部分代码。
3 代码审计流程
为保证代码审计的客观性、专业性,代码审计由专业的独立第三方或成立独立的专业审计项目组开展。整个代码安全审计流程遵循闭环的管理理念,确保审计发现的问题得到有效确认处理。代码审计流程主要包括系统调研、审计过程、报告输出、问题确认、问题整改和整改确认等环节。
经过整个闭环的审计流程后,系统具备上线条件,可安排系统上线运行,后续开展持续跟踪及每次新版本增量的代码安全审计。
4 代码保密问题
由于代码安全审计工作需要将系统源代码交给第三方,如何保证代码安全,不被有意或无意泄露是一个迫切需要解决的问题。
必须通管理手段及技术手段相结合实施代码防泄露措施,结合我们的项目经验与实际情况,采取如下措施。
4.1 管理措施
对代码安全审计项目成员进行安全意识培训,提出保密要求,并与代码安全审计项目成员签订安全保密协议。
4.2 技术措施
首先部署一台代码安全审计服务器,具备与各系统进行SVN代码同步功能、代码扫描功能、代码反编译功能等,安装各类工具,如notepad++,eclipse等。
服务器部署在一个封闭的生产网络内,部署网络防泄漏系统对数据交互进行监控,并设置策略防止对外拷贝代码文件,从技术上保证代码不泄露出来。
代码安全审计服务器接入运维管控平台,确保在审计服务器上的操作是授权的,可审计的,可溯源的。
所在代码安全审计工作,在特定物理区域通过操作维护终端远程登录到审计服务器上进行。
5 代码审计内容
代码安全审计主要工作内容是对系统的源代码文件进行分析,并对导致安全漏洞的代码构造进行定位。
5.1 内容分类
代码安全审计内容包括以下几大类:输入验证、输出编码、身份验证和密码管理、会话管理、访问控制、加密规范、错误处理和日志、数据保护、通讯安全、系统配置、数据库安全、文件管理、内存管理、通用编码实践。
5.2 OWASP TOP10
同时也包括各种组织公布的常见典型的安全漏洞,如OWASP TOP 10 等。OWASP TOP10 包括:注入、失效的身份认证和会话管理、跨站脚本(XSS)、不安全的直接对象引用、安全配置错误、敏感信息泄漏、功能级访问控制缺失、跨站请求伪造(CSRF)、使用含有已知漏洞的组件、未验证的重定向和转发。
6 代码审计方法
代码安全审计的目标是在海量的代码当中发现存在缺陷的代码,所以需要采用各种手段互相结合,互相补充,以提高代码安全审计的效率与代码安全审计的准确性、审计的全面性。
通常情况下,需要先使用工具对代码进行一个全面的扫描,再结合人工分析,跟踪各种数据流,各种函数、方法的调用。
6.1 代码扫描
通过工具可以全面快速地发现代码中存在的缺陷问题,代码扫描工具通过利用预先定义好的规则从数据流、控制流、语义、结构、配置等几个方面对源代码进行分析。
常见主流商业代码扫描工具有Fortify、Checkmarx、Code Secure、Coverity和Klockwork等,各代码扫描工具都各有特点,有的侧重代码质量,有的侧重代码安全,对于要通过代码安全审计发现安全问题的,建议挑选侧重代码安全审计的工具,如Fortify。
6.2 人工分析
工具扫描的结果都存在不同程度的误报漏报情况,所以需要人工对扫描报告做进一步的分析,确认哪些漏洞是真正存在的;同时,结合系统设计文档资料对系统业务流程进行跟踪分析,重点分析流程中的每个控制点,以发现是否存在业务逻辑设计缺陷。
人工分析代码扫描报告,需要对扫描报告发现的问题点进行上下文跟踪,分析代码块在系统中的互相调用情况,各种参数的传递,函数方法的调用。
6.3 代码反编译
代码的反编译,这里以Java开发的应用作为例子,Java Web应用在开发过程中,有部分框架类的及公用类的代码开发厂家会将代码编译并打成jar包,无法获取到源代码,需要通过把反编译将jar包转成源代码文件,再做进一步分析。
使用jd(Java Decompiler)-gui可以将一个jar包里所有已经编译的class文件同时反编译成Java源代码。
6.4 漏洞验证
当通过代码安全审计发现代码缺陷问题或漏洞后,如何确定漏洞可被利用与漏洞被利用后的影响?最有效的验证方式是模拟黑客手法对漏洞进行利用,而渗透测试是模拟黑客攻击手段的有效测试方式,通过渗透测试,不再单一看待某一漏洞,可以立体化看到此漏洞对于系统的危害程度及严重性。
漏洞验证可通过测试环境进行,当发现可利用的漏洞问题,根据对代码的分析,构造出利用脚本,对系统发起请求,触发漏洞。
漏洞成功利用结果可导致访问本来不可访问的数据、拥有了本来没有的权限、控制了服务器、成功攻击了另外的用户等。
7 代码审计成果
代码安全审计工作完成后,输出系统的审计成果,包括代码安全审计报告、代码安全审计问题跟踪表。其中代码安全审计报告包括发现代码问题的详细分析过程、漏洞验证结果、漏洞加固建议等关键内容,代码安全审计问题跟踪表用于后续对代码问题整改的闭环管理跟踪。
8 总结
企业信息系统审计实施研究 篇9
一、组织信息系统审计概述
(一)信息系统审计定义
信息系统审计(Information System Audit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织——国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审计单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和IT审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(Electronic Data Processing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuous Audit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同CAM(Computer-aided Manufacturing,计算机辅助制造)、CAD(Computer-aided Design,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
(二)信息系统审计规范
国际内部审计协会(IIA)制定了基于风险的ITGC范围评估指南(GAIT)与全球技术审计指南(GTAG),GAIT是一套原则和方法,用于帮助评价组织信息系统控制的成本收益以及效率效果。通过制定GAIT,IIA一方面帮助组织识别信息系统控制中的关键因素,避免财务数据错弊的发生;另一方面指导管理层和内部审计师识别信息系统的关键控制点,以满足企业遵守《萨班斯一奥克斯利法案》404条款的要求。GTAG的制定是为了满足CAE和审计主管人员的要求,解决董事会和高级经理关心的问题,及时提供有关信息技术管理、控制或安全方面的信息。我国2008年颁布的《企业内部控制基本规范》中明确规定企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。2008年9月中国内部审计协会颁布了《内部审计具体准则第28号——信息系统审计》,对信息系统审计的含义、目的、专业胜任能力、内容、方法等进行了阐述。从以上信息系统审计规范来看,在信息系统审计实施阶段,内部审计师的主要工作包括搜集相关资料;确定审计的方式;根据需要列出需要访谈的人员名单;查阅相关部门的政策、标准及准则,以供审计使用;利用相关的审计方法对所有控制进行测试和评价。
(三)信息系统审计的特点
1. 信息系统审计是一个过程。
它是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,它贯穿于信息系统生命周期的全过程。
2. 信息系统审计的对象具有综合性和复杂性。
信息系统审计的对象是以计算机为核心的信息系统,它包含了除财务信息以外的其他与生产经营流程有关的所有信息系统,其实质是审计对象及内容的拓展。从纵向(生命周期)看,覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务;从横向(信息系统构成)看,它包含对软硬件审计、应用程序审计、安全审计等。从这个意义看,信息系统审计拓展了传统审计的内涵,将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3. 信息系统审计拓展了传统审计的目标。
传统审计目标仅仅包括了“对被审计单位财务报表的合法性、公允性及会计处理方法的一贯性发表审计意见”,《中国独立审计具体准则第20号——计算机信息系统环境下的审计》第四条也明确规定“注册会计师在计算机信息系统环境下执行财务报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围”,由此可见EDP审计、电算化审计和计算机审计都没有改变审计的目标,但信息系统审计除了上述目标外,还包括信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性。
4. 信息系统审计是事后、事前、事中审计的结合体。
注册会计师所执行的财务报表审计往往是年度审计,属于事后审计。而信息系统审计是事后、事前、事中审计兼而有之。如信息系统在开发过程中,由审计人员介入所进行的审计属于事中审计,此项审计相对于系统运行后而对其所进行的审计而言又可以看作是事前审计;信息系统运行后,对其在一定期间的运作情况所进行的审计则为事后审计。
5. 信息系统审计的内容更加宽泛。
信息系统审计包含了一切与信息系统有关的审计,除了整个生命周期过程及相关业务的审计外,随着信息技术的发展,还必将包括联网审计、电子商务审计、网站审计、ASP审计和XBRL审计等。
6. 信息系统审计是一种基于风险基础审计的理论和方法。
很多组织都能意识到技术带来的潜在好处,然而成功的组织还能够理解和管理好与采用新技术相关的很多风险。信息系统有着与生俱来的风险,这些风险用不同方式冲击着信息系统,审计者面临着审计什么、何时审计以及如何帮助信息系统的管理者管理和控制风险从而实现企业的战略目标的问题。
二、信息系统审计实施
(一)信息系统开发过程的审计
1. 系统规划的审计
系统规划是否能够做出重要的决策,决定着是否需要新的信息系统以及需要一个什么样的信息系统,这就需要内部审计来进行把关。系统规划审计的任务就是要确保新开发的信息系统能够满足组织战略发展需要,从技术、经济和操作的角度来说是可行的、恰当的。对系统规划的审计主要包括两个方面的内容,一个是跟踪整个系统规划的过程,判断整个规划是否是按照必要的可行性分析步骤进行的,是否越过了某些必要的关键步骤,或其规划步骤是否存在着明显的不合理性;二是审计规划的内容。规划内容的审计的一个重要依据就是分析员提交的文档,其中包括可行性分析报告及相应的系统流程图、数据流程图、数据字典或成本效益分析。
在系统规划阶段,内部审计师的考察重点主要体现在以下几个方面:系统规划是否从组织上确定了整体计划的主要体制,是否取得了最高层领导的认可;整体计划是否根据主要规则判定,是否得到了最高层领导的认可;整体计划中是否明确阐述了信息化的效果、推进体制、费用等各项内容,以及信息系统的整体概貌、系统开发的优先级、组织及业务改变、安全对策的方针,是否定期进行修正以及随经营环境的变化而修正;开发计划是否得到最高领导的认可,考虑了与整体计划的协同一致,是否是在对内外信息技术调查基础上决定的,是否明确阐述了目的、对象业务、性能价格比等各项内容,是否明确阐述了改变信息系统生命周期的条件。一旦内部审计师负责监督整个系统的开发规程,他们在这一阶段首先要考虑的就是确保系统实施的独立性。如果内部审计师只是从事后的审查或总体的把握的角度进行工作,则他们在这一阶段主要考虑的内容首先是过去的系统开发人员确定评估方法的过程,其次是过去这个评估方法所取得的效果怎样。内部审计师只能利用这些途径来评估这个决策对今后系统开发的影响。
2. 系统分析的审计
系统分析的目的主要在于将用户的需求及其解决方法确定下来。内部审计师在审计时要考察在系统分析的过程中是否有精通业务的用户参与,使用的分析模型是否便于分析员与用户沟通,并要考察系统的逻辑模型是否符合用户的需求。对系统分析阶段的审计主要表现在以下几个方面:开发计划和需求定义是否得到开发方和用户方的共同认可;在用户需求调查时是否明确了对象、范围及方法;是否对相关信息系统的法律制度等进行调查核实;对引入信息系统后会受到影响的业务、管理体制和各种规程等是否进行研讨与修正;用户部门和信息部门的功能分配是否考虑了软件、硬件和网络等的需求;是否存在达到信息系统目的的替代方案;是否按照开发的规程、时间及系统的特性来确定开发方法;开发以及相关运行费用的计算是否准确;是否对信息系统的运行效果进行了定量与定性的评价;是否有足够的开发所必需的人员、预算、设备及时间等。
3. 系统设计的审计
系统设计的主要内容包括新系统的总体框架、结构设计、代码设计、数据库设计、输入输出设计、处理流程及功能模块的设计。对系统设计的审计就是针对上述几个主要内容实现的过程进行审计,并根据系统分析报告,审查这一阶段所产生的各种文档,找出设计过程中所存在的错误及疏漏的地方并加以取证。从信息系统是否有效的角度出发,内部审计师要考虑设计是否满足需求描述。从效率的角度出发,内部审计师要评估所需资源的合理性。从安全性和数据完整性的角度出发,内部审计师要评估对系统的可靠性控制。当内部审计师在对信息系统的设计做事后评价或总体评估的时候,则应该主要审计以下两方面的内容:(1)详细需求的描述。可以从投资者那里了解他们需要什么,也可以利用分析与试验发现新的需求。(2)数据信息流的设计。内部审计师必须仔细地评估这个阶段的活动,以评价最终的设计是否符合了系统的需求。另外,在这个阶段内部审计师还要重点考察测试计划的制定,包括测试计划中是否明确目的、范围、方法及进度安排等。
4. 试运行的审计
试运行是系统调试和检测工作的延续。内部审计师主要从以下几个方面来开展审计工作:是否根据试运行计划进行试运行以及是否根据试运行决定运行计划;根据试运行计划,是否能确保必要的人员、预算和设备等;试运行结果的验收方法是否明确;是否制定试运行后的运行计划。具体来说,在这一审计过程中,内部审计师根据制定的试运行计划,审查系统的试运行准备情况,在试运行期间的实施情况以及检测反馈情况。内部审计师在系统试运行阶段应重点核对新系统输出和老系统(人工或计算机系统)输出的结果;对实际系统的输入方式进行考察(是否方便、效率如何和误操作保护等);对系统实际运行、响应速度(包括运算速度、传递速度、查询速度和输出速度等)进行实际测试。
(二)信息系统运行过程的审计
信息系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确操作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。在这一阶段,内部审计师主要从信息系统本身的运行和用户对系统的运行管理两方面进行审计,指出现行系统的缺陷与不足,以及用户操作管理的疏漏与误区,并提出相应的改进建议。
1. 系统输入审计
系统输入审计主要对信息系统的输入操作进行审计,评价系统输入操作及其管理的正确性和规范性,同时它也是对输入界面和数据有效性验证等的再审计,以进一步确定和评价系统数据输入的有效性以及对错误数据的识别和纠正能力,指出系统输入的缺陷与不足,并提出相应的改进建议。内部审计师应主要考虑以下几点:信息系统用户是否制定并遵守输入管理的规则;数据的输入是否按照输入管理规则进行;输入数据的生成顺序、处理等是否有防止差错、防止不正当行为及机密保护的对策;数据输入的防止差错、防止不正当行为及机密保护的对策是否有效;输入数据的保管及废除是否按输入管理规则进行。对系统输入的性能的审计可以从输入界面、数据编码控制、校验码和数据有效性验证四个方面进行。
2. 通信系统审计
通信系统审计主要是对通信系统的管理的科学性和有效性进行考察和评价,同时也对信息系统的通讯设备以及通信过程中的各种控制的有效性进行再审计,以进一步确定系统数据传输的有效性和效率,指出通信系统的管理和自身性能中的缺陷与不足,并提出相应的改进建议。内部审计师应主要考察以下几点:是否制定并遵守网络管理的规则;对网络存取控制及监控是否有效;是否记录网络的利用状况,并定期进行分析。
3. 处理过程审计
处理过程审计是对数据在输入系统后是否被正确处理进行审计。内部审计师应该对处理过程进行抽样,对抽样的处理过程进行全程跟踪和记录,对数据从被系统接受到处理完毕之间的整个处理过程进行检验,分析和评价数据处理的正确性和效率,给出信息系统数据处理性能的评价报告和合理建议。
4. 数据库的审计
数据库审计主要对信息系统的数据库管理进行审计,同时也是对数据库的设计与运行状况的再审计,它进一步确定数据库系统对数据操作的有效性和发生异常操作时对数据的保护能力(正确数据不丢失,数据回滚以保证数据的一致性),评价数据库管理与维护工作的有效性和规范性,并提出相应的改进建议。在数据库审计中,内部审计师应主要考查以下几点:是否制定及遵守数据管理的规则;对数据的存取控制及监视是否有效;是否记录数据的利用状况,并进行定期分析;是否在考虑业务内容、处理状态及恢复的方法后决定数据备份的范围;数据的接受是否按数据管理的规则进行;数据的交换、保管、编制及废除是否有防止差错、防止不正当行为与机密保护等对策;是否有数据故障对策;是否对数据的知识产权进行管理。
5. 系统输出的审计
系统输出的审计是对信息系统输出数据的管理进行的审计,也是对报告等系统输出结果的设计的再审计,它进一步确定系统数据输出的正确有效性和系统输出数据对用户的易接受性和易理解性,评价对系统输出数据的管理的科学性和规范性,指出系统输出的缺陷与不足,并提出相应的改进建议。在系统输出审计中,内部审计师主要考查以下几点:是否制定及遵守输出管理的规则;输出信息的获取及处理时是否有防止不正当行为及机密保护对策;输出信息的传递是否及时准确,是否按输出管理规则进行;输出信息的保管及废除是否按输出管理规则进行;输出信息的正确性如何;输出信息的形式和格式是否便于用户理解和接受;是否记录输出信息的出错状况、利用状况,并定期进行分析。
(三)信息系统维护过程的审计
信息系统维护过程的审计是对信息系统维护活动所进行的审计,包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。
1. 维护组织审计
建立维护组织是进行信息系统维护的第一步。在对维护组织的审计中,内部审计师应考查以下几点:维护组织的大小是否适应信息系统的规模的要求;维护组织中人员的职责分工是否明确;维护组织是否有一套科学的内部管理机制和协调工作机制。
2. 维护顺序审计。
内部审计师应审计维护组织是否制定并遵守了科学的维护顺序,可以从相关的书面文件以及实际操作过程中来寻找审计证据。
3. 维护计划审计
维护管理部门应根据维护费用、系统使用期限、业务变更情况、维护申请量以及错误的严重性等因素制定维护计划。在对维护计划的审计中,内部审计师主要审计维护计划包含的内容是否完整,对维护任务所需要的资源是否明确并合理配置,维护费用的预算是否能满足维护活动的需要,进度安排是否合理。对于维护计划的制定,内部审计师还应从以下几点进行审计:制定的维护计划是否得到维护方与用户责任人的认可;在维护计划的制定前是否对维护内容与影响范围进行了调查与分析,明确了解维护后的变更将造成的影响;维护的测试计划是否有明确的目的、范围、方法和安排等。
4. 维护实施审计
对维护实施的审计,内部审计师主要从以下几点进行:系统设计报告、程序设计说明书等是否按照维护计划进行修改,是否得到维护及被用户责任人认可;程序的修改是否按照维护顺序进行,是否在得到维护负责人的同意后实施;是否按照修改后的程序设计说明书对程序进行修改。
5. 维护确认的审计
维护确认是对维护活动的验收。在这一阶段,内部审计师主要从以下几点进行审计:修改程序的测试是否按照维护测试计划进行;修改的程序是否进行了与新开发的程序同等程度的测试;修改程序的测试是否由用户参加,按照用户手册实施;修改程序的测试结果是否得到开发、运行、维护及用户负责人的认可;修改的程序的测试结果是否记录下来,并进行保管;维护数据是否记录并妥善保存。
三、结束语
信息技术的发展和创新极大改变了企业信息系统的运行模式。其重要价值在于支持企业的业务并帮助组织完成总体使命。内部审计加强信息系统审计是拓展内审职业空间的需要,也是满足促进企业增效增能的需要。当前,随着企业信息化进程的推进,信息系统审计实践正在如火如荼地开展。关于审计什么,如何审计,内部审计师在实务操作中应遵循什么样的规范,还没有形成统一的标准,这也是信息系统审计实施研究的方向之一。
审计实施方案 篇10
关键词:审计,方案,质量
一、内部审计方案在内部审计质量控制中的作用
内部审计方案是内部审计质量控制的基础和灵魂,一个目标明确、内容翔实、重点突出、科学合理的内部审计方案,对全面指导审计工作、规范实施程序、提高审计质量起到关键性作用,表现在:
(一)内部审计方案指导内审人员开展审计工作,达到审计目标。
内部审计方案中确定了审计目标和审计重点内容,对每个审计重点内容都有详细的审计程序和方法,内审人员按照内部审计方案的步骤开展审计工作,能够很顺利地完成审计任务,达到预期的目标。同时,内部审计方案中有分工和审计起始时间,内审人员能按照内部审计方案合理安排审计时间,知道已经完成的和尚需集中精力完成的工作内容有哪些,使整个现场审计过程中做到目标明确、有的放矢。审计现场负责人或者审计机关管理者也能够把握内审人员按照内部审计方案完成的审计任务和审计进度。
(二)内部审计方案是对现场审计工作进行监督和检查的依据。
通过将实际工作与内部审计方案进行比较,就可以分析发现哪些工作内容尚未完成或完成得不够理想、需要在剩余时间里及时予以补救和改进。另外,审计组织对审计底稿进行复核,内部审计方案作为评价审计项目完成情况的重要依据,可以据此提出修改完善意见,如果发现内部审计方案中内容未完成,审计目标未达到,可以增加审计程序,以此提高内部审计质量。
(三)有效促进审计风险防范。
内部审计方案依据重要性水平进行了风险评估,提出了审计步骤和方法,内审人员根据内部审计方案开展工作,就可以有效防范审计风险。
(四)内部审计方案是提高审计工作效率和效果的必要措施。
实施良好的内部审计方案可以使内审人员从被审计单位复杂的信息迷宫里摆脱出来,避免在大量枝节问题上纠缠不清,而将时间和精力集中于风险较大或可能存在重大问题的领域,强化对之检查和评价的深度和力度;内审人员可以减少不必要的审计时间,保证工作质量符合质量控制的要求,以更经济有效的方式实现审计目标,完成审计任务,达到审计目的。
(五)合理有效分配人力资源,发挥每位内审人员的优势。
内部审计资源都很有限,编制好的内部审计方案,根据审计资源情况确定审计重点和人员安排,这样才能取得最好的审计效果,审计效率也最高,内部审计质量才能得到保证。
二、内部审计方案存在的问题
内部审计方案在内部审计质量控制方面的作用很关键,但是从目前集团公司内部审计部门编制的内部审计方案来看,存在以下几方面的问题:
(一)审前调查不充分。
作为内部审计来说,对被审计单位的基本情况比较清楚,内审人员认为不需要做审前调查也能知道被审计单位的主要风险,很多项目都未进行审前调查或者审前调查比较匆忙,只是了解了被审计单位的一些基本情况,未对被审计单位的内部控制、业务流程、战略计划、重大投融资、重大诉讼担保等方面进行了解和分析,无法发现重大审计线索。
(二)未确定具体审计目标,审计目标不能体现项目特点。
经过对多家集团公司内部审计项目方案进行比较发现,对同一类型的审计项目的审计目标基本一致,内部审计方案中只有总体审计目标,比如经济责任审计的目标都为:通过对被审计对象任职期间被审计单位资产、负债、权益和损益的真实性、合法性和效益性及重大经营决策等有关经济活动,以及执行国家有关法律法规情况进行审计,客观、公正、全面的评价被审计对象任期期间的经营业绩与经济责任,促进被审计单位加强和改善经营管理。很多内控审计项目都以此作为审计目标,不能体现被审计单位的业务特点,也不能反映被审计单位的主要风险点。对于服务单位和生产单位的审计目标肯定是有所不同的,但是只有总体审计目标的话,不能体现这种区别。
(三)审计重点未与审计实际情况结合。
根据被审计单位的风险分析确定审计重点,每个项目的审计重点肯定存在区别,但是对集团公司的内部审计方案进行分析来看,审计重点基本为财务、预算、资金、采办、投资等,未根据被审计单位的情况确定重大风险点,以此确定审计重点。如某个经济责任审计方案确定的重点包括:会计信息、经营绩效、资产质量、重大经营活动及经营决策、内部控制情况、分子公司的管理和其他事项。国资委对经济责任审计的内容是在对企业风险和内部控制进行测试的基础上,对企业的财务状况、经营成果、资产质量、重大经营和决策活动以及经营合法合规等方面进行审计。两者对比一下就能发现,内部审计方案确定的重点内容与国资委的要求基本一致,而国资委的要求是对所有经济责任审计都适用的,内部审计方案未能根据被审计单位的情况细化审计重点内容,导致有限的审计力量不能用于风险大的内容进行审计。
(四)审计程序和方法不完整,不能完全指导内审人员。
确定了审计目标和审计重点内容后,应该确定审计程序和方法以达到审计目标,但是现有的内部审计方案中的审计程序不完整或者缺失,导致内审人员不能按照内部审计方案进行审计,只能按照每个内审人员的理解去完成审计内容,这样可能达不到审计目标,而且对于不是很熟悉审计业务的内审人员来说,审计程序和方法不完整可能不能完成审计任务。
(五)执行与内部审计方案脱节,审计工作随意性强。
在审计过程中,内审人员往往不按照内部审计方案执行,完全凭自己经验去执行内部审计方案,导致内部审计方案未发挥作用,审计随意性较大。
三、如何发挥内部审计方案在内部审计质量控制中的作用
(一)做好充分的审前调查。
内部审计机构的人员和时间等资源非常有限,做一个审计项目时很难进行全面审计,只能根据风险分析后确定几个审计重点,确定的审计重点能保证是被审计单位的重大风险领域,必须进行充分的审前调查。所以细致周密的审前调查是编制内部审计方案的基础工作,是内部审计方案具备针对性和指导性的前提条件,是确定审计工作重点的重要保证。审前调查应注意几个方面:
1. 要分析比较相关数据,并能敏锐抓住问题线索。
审前调查主要通过查阅会议纪要、请示报签、工作报告、合同清单、财务资料等资料,在大量的资料中对数据进行分析比较,检查是否存在异常的情况,而且要对资料中提及的事项有很强的敏感性,能敏锐地抓住资料中提及的事项的重要性,将其作为审计线索,最后将所有线索进行汇总分析确定重点内容。
2. 重大的或者复杂的项目能有时间进行现场调查。
内部审计项目如果对被审计单位不了解,而且审计项目比较重大或者复杂,最好能有时间进行现场调查,现场调查能与被审计单位的相关人员进行访谈,了解被审计单位的业务流程,并能够对审计单位的业务流程中的风险进行分析,依据风险确定审计重点。
3. 最好能访谈被审计单位主管领导。
被审计单位主管领导对被审计单位比较了解,清楚哪些地方可能出问题,对确定审计重点有很大帮助。
4. 关注外界披露或者内部披露重大事项。
对于上市公司而言,媒体或者被审计单位会将重大事项对外披露,对于非上市公司而言,发生的重大安全、环境、对外合同等事件会有报道,另外,公司内部也会通报重大事项。内审人员应多关注这些信息,结合这些信息分析确定审计重点。
(二)编制详细可行的内部审计方案。
一个好的内部审计方案要让人能看懂,要目标明确、重点突出,要具备指导性、针对性和可操作性等特点,这些也是对方案编制的基本要求。在审前调查的基础上,可以从审计目标、审计重点和审计程序及方法和人员安排方面着手,提高内部审计方案的编制水平。
1. 可行的具体目标。
审计目标不能光有总体审计目标,要根据领导的要求和审前调查风险分析将总体审计目标具体化,这样总体审计目标才能得到落实,审计目标才具有可操作性。具体审计目标要根据有关领导对审计项目的要求和被审计单位的实际情况来制定。如一项集团公司并购活动中,国资委委托审计监察部对其进行经济责任审计,公司领导层要求要摸清家底,揭示风险,再结合审前调查的情况,在总体审计目标的基础上确定的具体审计目标包括:(1)在对企业风险与内部控制进行了解测试的基础上,对被审计单位的资产、负债和损益的真实性、完整性进行测试,对被审计单位的质量进行全面检查,检查资产使用情况、不良资产变动情况,以全面了解被审计单位质量状况和财务状况;(2)对被审计单位业务进行分析,了解被审计单位各业务盈利状况和重大风险情况;(3)对被审计单位及被审计单位下属单位改制及股权变动进行审计,了解在改制或股权变动中合规情况;(4)对审计单位的所有诉讼和担保进行审计,了解被审计单位的潜在风险。在明确具体审计目标后,审计重点也相应确定。
2. 确定审计重点。
充分进行审计调查,分析审前调查发现的重大问题线索,明确下一阶段审计工作重点,实现审计目标。审计重点的确定是内部审计质量控制的基础,只有制定符合被审计单位风险情况的审计重点,才能揭示审计单位的关键风险点,内部审计质量才能得到保证。
3. 详细完整的审计程序和方法。
每个内审人员对审计内容的理解和程序存在差异,对于重点审计内容,内部审计方案中要有详细完整的审计程序和方法,不然内审人员按照自己的习惯执行审计任务,在执行过程中往往会遗漏某些审计程序。比如在审计银行账户时,有些内审人员会认为审计对账单不是特别重要,会在审计过程中忘了检查银行对账单及余额调节表,但是有时可能就会发现重大资金不符,从中发现线索。详细完成的审计程序和方法使审计重点内容得到审计保证,实现审计目标,同时也能全面指导内审人员开展审计工作,帮助内审人员提高审计水平,提高内部审计质量。
4. 合理安排时间和人员。
每个内审人员都有自己比较擅长的领域,编制内部审计方案时必须根据审计组成员的能力合理安排审计任务,才能保证审计目标实现。另外,要根据人力资源状况和审计内容合理安排审计时间,要是时间太紧,可能审计内容无法完成,或者完成质量不高。
(三)严格按照内部审计方案执行审计。
内部审计方案制定再全面,如果在审计过程中不认真执行,那也是毫无意义,因此,在审计过程中,内审人员必须严格按照内部审计方案确定的目标、重点内容、程序和方法、人员安排和时间安排来开展工作,从而保证发挥内部审计方案指导审计实践的作用,进一步提高审计工作水平。为了能让内部审计方案得到严格执行,需要以下一些措施:
1. 事前重视内部审计方案。
内部审计方案编写完成后应得到业务处负责人审核,经过部门审核同意后实行,这保证了内部审计方案的严肃性,让内审人员提高认识,能更加重视内部审计方案。
2. 加强审计底稿的复核。
审计现场负责人必须对审计组其他成员编制的审计底稿进行全面复核,审计现场负责人编制的底稿应由其他人员完成全面复核,检查内审人员是否按照内部审计方案执行审计,检查中发现有遗漏的审计内容或程序应要求内审人员补充审计。另外审计机构在审计过程中也应对内部审计方案的执行进行检查,发现内部审计方案未得到严格执行,审计目标未能实现的,应要求审计组补充审计。
3. 事后进行复核检查。
审计现场结束后,业务处负责人应对内部审计方案的执行情况进行复核,发现重大审计程序或者内容未进行审计,应要求内审人员补充审计,另外,审计机构也应加强事后检查,检查内部审计方案是否得到有效执行,审计目标是否实现。另外,可将内部审计方案的执行情况作为内审人员的考核指标之一,这样能够得到很好执行。
参考文献
[1].国务院国有资产监督管理委员会统计评价局.企业经济责任审计工作手册[M].北京:经济科学出版社, 2006.
审计实施方案 篇11
[关键词]大型审计;现场;管理
开展此类审计能够系统地摸清、揭示某个领域或地区的总体情况和具体问题,实现从微观到宏观的深层次分析,使国家审计有效服务于国家治理。但对审计项目现场管理也相应带来更大的问题,归纳这些项目审计现场管理的成败,势必对指导今后审计机关开展大型审计项目有教导作用。
一、统一组织模式的优势特点
大型审计项目具有审计对象规模大、管理控制点多等特征。从国际、国内审计工作实践状况来看,其组织模式符合审计现代化管理的发展方向,同时也是我国当前经济社会发展和国家治理的客观要求和现实需要。具体来讲,笔者认为这种组织模式有以下几方面特点:
(一)管理扁平化
此类审计项目控制跨度相对其他项目大,需要合理设计组织结构,各组成部分权责清晰,避免了职能的重叠或空白。扁平化的机构设置减少了信息传递的级次和时间,有效避免传递过程中的推诿、扯皮等问题,审计实施期间的各项指令不必经过各级审计机关,可以直接在各临时机构之间传递。
(二)效率最大化
随着审计规模扩大,组织结构越来越复杂,管理要素逐步递增,要将整个项目紧密结合为整体,高效实施,在一定方面需要最大发挥审计的效率,积极整合审计的资源,挖掘审计人员潜力。需要根据人员的特长和优势,在机关内部统筹调配,组建临时性审计组,搭建信息研究组、报表统计组、数据分析组、质量控制组等。保证完成上级下达的各项指令及任务安排,切实提高应对复杂环境及问题的综合素质,增强实际战斗能力。
二、如何加强大型审计模式的现场管理
在大型审计项目下,不断加强审计现场管理,是为了进一步提高审计项目质量,最大范围限度地降低审计风险的重要举措。审计项目是“三分技术、七分管理”,管理的落脚点是应用和落实到位。一定要消除传统审计中重视查问题轻视管理、机构设置僵化各自为战、审计现场时间管理随意性大等弊端。加强统一组织模式的现场管理,需要关注以下几个方面:
(一)调查了解和编制方案等前期管理
“凡事预则立不预则废”,在任何工作中,前期的铺垫是后期收获的基石。审计是一项复杂的脑力工作,完成一个审计项目,必须有一定专业知识和一定的审计人员。审计组在进行此部分工作时,要“抢先抓早”,对参审人数进行适当估算,形成完善的工作方案、工作重点、操作指南等内容。应该提前组织审计人员中熟悉数据和政策的人员对审计范围内的重点及时分析,避免各组后期出现窝工的情况。
应制定严谨细致的审计实施方案,将工作方案的审计目标具体化,体现被审计单位的特点,特别是在工作过程中将被审计事项进行详尽地细化并分解,使每一项审计事项都有明确的目标。在实施方案中,应该将责任和义务明确到人,便于实行扁平化管理。同时在实施方案中应有如何设置党组织和开展党务活动;如何设置工会组织和开展工会活动等内容,做到业务和思想工作两不误,在其中还要强调审计纪律,尤其是“八不准纪律”和保密纪律,使每位审计人员的心中都有一股高压线。
(二)审计实施方案执行管理
1.落实项目审计责任制。在完成具体审计项目的实施阶段,要按照审计项目管理制度的规定,明确项目组长和各级审计人员的工作职责,明确项目组长对审计项目的工作质量负主要责任。审计项目进度以审计机关要求的现场审计结束日期和出具报告日期为基准,倒排出工作进度时间表,确保现场审计工作按计划完成,不得自行延期。因此类项目后期多需要综合汇总,务必给后期汇总留下充足的时间。
2.定期召开审计组业务会议。为从总体把握情况,主审和各级组长应定期召开审计业务会,及时通报工作,适时解疑释惑,协调各种困难。审计人员应汇报自己的工作情况,互相交流工作方法和工作经验,以使审计信息在专业审计组内部和各专业审计组之间互通有无,充分实现“上下联动”。平时建立动态上报机制,通过内部交流系统及时沟通,遇到重大审计事项,先在各级审计组内集体讨论,拿出初步意见,再及时请示审计组长,由审计组长定夺。
3.要做到基础工作扎实。通常审计会发现,个别审计组和审计人员对于基础数据不重视,综合组在审计时要及时提醒各组审计人员,编写审计取证和审计底稿要养成良好的习惯,不能在交换意见前突击编写,以便给复核人员留出足够的时间复核;审计取证要做到充分、完整、适当,避免过度冗余。同时现场负责人和各组主审要进行认真审核把关,按照审计准则要求高标准、严要求编制审计工作底稿和审计取证,只有这样才能确保未来撰写高质量的审计报告和审计信息。
4.上报时要注意规范问题定性。各组在上报给综合组动态和分报告的时候,要对问题定性、法规引用加以完善,不能将一些认为是问题又找不到法规的情况在最后交给综合组,让综合组帮着找法规,将一些无法规定性的情况全部放在其他问题归类。对于该类问题,在审计过程中综合组应该注意收集归纳,当一个地方认为是问题但又难以找到定性法规的时候,综合组应及时向上反映,并咨询省级相关经办机构,同时要向各组转发关注该情况,可能最后找到该问题的定性依据是个普遍问题,也可能本身就不是一个问题,只是一个线索或基本情况,在问题的定性上一定要严谨,切勿将问题定性过于放大。
(三)审计报告阶段的后期管理
大型审计项目汇总不是单纯1-2人能够完成的,需要集中集体的智慧和力量,在这个过程中,安排心细的同志负责报表的汇总和报告中基本情况的撰写,做到数字文字完全吻合。主审所做的就是把各组的问题情况进行初步汇总,并整理出问题表格,然后召集各小组负责人和主审共同讨论问题的定性,是否能上汇总报告,这个过程一定要形成会议纪要,便于未来对一些不确定问题定性上产生分歧。审计组在自身对取证和底稿进行详细复核的基础上,还要合理安排时间,以便法规处及时审理,被审计单位及时反馈,最终形成正式报告。在此过程中,需要审计人员有坚强的信念和精神支撑,吃苦耐劳、甘于奉献。在主审撰写报告的同时,安排人员收集资料,完善审计档案归档。
作者简介
王冠琦(1980年—)、男、山东济南、审计署驻济南特派办、中级审计师、硕士、研究方向:社会保障审计。
我国如何有效实施风险导向审计 篇12
现代风险导向审计是以战略管理理论和全面风险管理理论以及系统论为指导, 对重大错报风险进行分析、测试、评价和决策, 通过综合评估重大错报风险来确定检查风险, 执行追加审计程序, 从而将检查风险降到可接受水平的一种审计方法和技术。
二、现代风险导向审计在我国运用现状
中注协于2007年6月开始对1 337家会计师事务所2006年度年报审计的执行情况进行检查, 占全国会计师事务所总数的20.54%。由于是新会计审计准则体系实施的第一年, 根据方案, 关于事务所新准则体系的贯彻执行情况的检查将重点关注:事务所是否按新准则要求及时修订审计规程, 是否实施风险导向审计程序。检查发现, 绝大多数事务所都能按照新审计准则的要求完成工作底稿, 表面上看新会计审计准则体系平稳实施, 效果良好。而实际情况是相当大一部分事务所都是在先总账、明细账加总核对, 再抽取记账凭证、复印原始凭证, 得出结论后为了应付新审计准则在最后才盲目填写关于风险评估程序的审计工作底稿, 这样的做法本身就违背了现代风险导向审计要求:注册会计师通过了解被审计单位及其环境评估重大错报风险, 从而指导实质性程序。这样的做法只能是应付检查而根本不能体现代风险导向审计方法的优越性。另有一部分事务所的识别和评估重大错报风险的程序流于形式, 无法鉴别出风险点, 识别的重大错报风险无法与实质性程序联系, 应对舞弊导致的重大错报风险程序缺乏针对性和有效性。只有极少数事务所能够按照新准则的要求完成审计工作。
从中注协此次的事务所质量检查中可以看到, 目前风险导向审计在我国实施的现状是审计工作底稿基本已按新审计准则的要求进行修改, 国内审计人员在理念上已经开始接受新的审计模式, 但是多数会计师事务所很难按照现代风险导向审计的要求一步落实到位。
三、现代风险导向审计在我国实施的必要性
产生上述问题的原因是新准则出台前我国审计实务正处于账项导向审计向制度导向审计过渡的阶段, 更多体现出账项导向审计的特点。新准则出台后直接跨度到现代风险导向审计, 这样风险导向审计的推行肯定会遇到困难。在中注协检查过程中, 很大一部分注册会计师反映现阶段在实施风险导向审计的过程中确实碰到了一些困难和阻力, 但不能因为困难和阻力而放弃风险导向审计在我国的实施。现代风险导向审计在我国实施的必要性主要体现在以下下几点:
1.适应当今社会审计环境的变化
审计环境的变化, 在客观上推动着审计模式的变迁。当今世界, 企业经营环境的市场化和国际化程度越来越高, 影响企业经营的各种因素急速变化, 企业组织结构及其经营活动方式也越来越复杂, 会计准则要求的判断和估计日益增加, 企业管理当局进行舞弊的动机和压力日益加大。近年来, 我国会计信息失真现象严重, 管理舞弊在我国呈不断上升的趋势, 舞弊的手法也越来越隐蔽。虽然审计职业界强调注册会计师只要按照审计准则开展审计业务即能免责, 其审计工作本身无法保证发现与会计报表相关的所有舞弊, 但社会公众认为注册会计师应该揭露企业的严重舞弊行为。由于在审计目标认定上的不一致性, 审计期望差距不断拉大, 社会公众对重大审计质量问题提出批评、指责, 甚至对审计有效性的信心产生了动摇。审计职业界开始将揭露舞弊作为审计目标之一, 这在客观上要求审计职业界提高审计质量, 控制审计风险。而现代风险导向审计有助于提高揭露管理舞弊的效率, 可以有效地使审计风险降低到可接受的水平, 缩小审计期望差距。
2.传统审计方法的内在缺陷
众多的诉讼案件表明, 着眼于内部控制制度评价的制度导向审计存在固有的局限性。制度导向审计要求审计师将审计的视角转向内部控制制度, 然而即使是设计最完美的内部控制制度, 也无法避免因执行人员的粗心大意、判断失误等原因造成控制失效。制度导向审计是在测试、评价内部控制制度基础上进行实质性测试, 这需要有健全、有效的内部控制作为前提, 而我国的现状是:计划经济留下的烙印很深、内部人控制现象严重、内部控制薄弱、企业管理水平较低, 控制风险评估难以有效进行。国内会计师事务所在实务中普遍存在简单将固有风险评估为高, 对控制测试仅通过收集被审计单位的章程、制度以及填写标准工作底稿来进行, 对于审计计划的开展没有实质性帮助, 主要精力放在了细节测试中。企业管理层也会利用其掌握的内部控制制定权与操作权, 刻意地掩盖其舞弊造假的迹象, 蒙蔽和利用注册会计师, 使他们在审计报告中出具错误的审计意见, 成为其舞弊造假行为的替罪羊。因此, 仅以内部控制测试为基础实施抽样审计很难将审计风险降至可接受的水平, 抽取样本量的大小也很难说服政府监管部门和社会公众。为了从理论和实践上解决制度基础审计存在的缺陷, 注册会计师职业界很快开发出了现代风险导向审计方法, 其最显著特点是将客户置于行业、法律、企业管理、内部控制、资金、技术等环境, 研究这些环境对审计风险的影响, 当然内部控制系统也是其中的一个方面。
四、我国实施现代风险导向审计面临的问题及问题产生原因
1.成本效益问题是实施现代风险导向的根本障碍
从会计师视野网站的问卷调查结果中可以发现, 审计成本的上升是我国审计职业界对现阶段实施风险导向审计十分担忧的一个问题。实施风险导向审计后, 在审计计划阶段, 注册会计师关注的范围扩大, 程度加深, 注册会计师需要对企业战略、业务流程、绩效评价做深入了解, 信息采集的工作量很大, 而目前我国信息系统建设比较落后, 信用体系也没建立起来, 企业的经营战略、新产品开发一般也作为公司商业机密, 注册会计师难以采集这方面的信息。同时, 审计软件的开发、人才培训以及高层次人才的引进都必然导致审计工作时间和审计成本的增加。因此, 在推行现代风险导向审计的初期, 会计师事务所需要增加大量的投资。从经济人的角度看, 会计师事务所作为中介机构必然是一种逐利性的组织, 如果审计成本的上升得不到收入补偿, 那会严重影响到事务所的盈利能力, 国内会计师事务所为了生存, 可能不愿增加投资或者会抵制现代风险导向审计的推行, 仍然执行原来的审计模式, 不利于现代风险导向审计在我国的实施。
在国内各会计师事务所激烈竞争的现状下, 审计收费一直徘徊在一个低水平, 成本的增加往往不可能过渡到收费的同步增加。这主要是因为国内审计收费标准依然是按照国家物价局、国家国有资产管理局[1992]价费字625号文规定执行, 而且各地收费标准不一。国内所定价一般依据两个标准:即根据被审单位的资产总额或者依据注册会计师的工作小时。“四大所”有一套标准, 那就是根据项目要动用多少人, 要动用什么级别的人, 这些人按不同的级别有不同的收费标准, 然后根据项目需要多少时间完成这几个指标先做出一个预算来, 再把报价传递给企业。国内会计师事务所审计收费采取政府指导价, 国际会计师事务所采用市场调节价, 这有失公允, 结果是国内所的收费水平与国际所水平相比整体偏低, 且差异较为悬殊。
政策的制定导致四大所的高端垄断及国内所的低端过度竞争。相关部门对国内外会计师事务所的差别对待, 客观上协助“四大所”在中国进行圈地运动。国内所俨然已经成了二等公民;由于有关部门的“推崇”, “四大所”也迅速将这些关系资源转化为竞争优势。其实国内所低价、收入少并不主要是定价机制所致, 最关键的是“观念问题”。国内不少政府和企业的负责人对“四大所”甚至有些迷信, 认为它们肯定是好的, 人家开口要多少, 就给多少。
审计收费偏低的另一个原因是我国目前大多数审计需求是强制性需求。审计需求可分为自愿性需求和强制性需求, 前者指在没有政府管制的情况下而产生的审计需求, 而后者指政府强制要求企业接受审计。在过去很长一段时间里, 由于我国特殊的社会环境, 过去我国的审计需求主要是政府强制性审计需求, 而非市场内在的需求。
从以上3方面可以看出, 在现有的制度安排下实施现代风险导向审计, 国内会计师事务所极有可能因审计成本大幅上涨、而审计收费上升又面临瓶颈而影响到现代风险导向审计的实施, 收入差别悬殊, 连生存都成问题, 自然就无力发展, 无力实施前期投入很大的现代风险导向审计。
2.注册会计师行业的整体素质有待提高
满足现代风险导向审计要求的注册会计师属于专用人力资本, 因为现代风险导向审计将审计的起点从内部控制测试提升到企业战略分析, 涉及企业战略以及企业经营方面的各环节。它要求注册会计师不但要掌握内部控制、审计、会计方面的知识, 还要具备宏观环境分析、行业分析和经营风险分析方面的能力。这在很大程度上决定了整个审计工作的成败, 当风险评估不到位时, 可能出现“以风险导向之名行偷工减料之实”的情况。而现阶段我国审计行业普遍存在的情况是, 真正具有丰富经验的审计人员或合伙人忙于开拓市场, 从事具体审计工作的很少, 这样就造成难以对客户的经营风险和舞弊风险做出正确的评估, 一旦审计人员在风险评估环节出现方向性错误, 极有可能影响后续程序的开展, 最终造成审计低效率, 甚至审计失败。
3.法律环境尚待完善
现代风险导向审计模式在国外的产生与发展, 一个很重要外部因素是审计职业界面临着很大的法律风险, 而我国的注册会计师所面临的是较为宽松的法律环境, 所承受的法律风险极低。主要表现在: (1) 不支持集团诉讼。《通知》第四条规定, “对于虚假陈述民事赔偿案件, 人民法院应当采取单独或共同诉讼的形式予以受理, 不宜以集团诉讼的形式受理。”这一规定使得注册会计师的法律责任大为降低。 (2) 支持辩方举证。我国的法律制度历来支持“谁主张、谁举证”的原则, 即举证责任在控方, 这样的制度安排大大增加了控方的诉讼成本, 降低了注册会计师和会计师事务所被提起诉讼的可能性。 (3) 设置前置程序。根据《规定》, 投资者对上市公司及有关人员的虚假陈述行为提起民事诉讼需以中国证监会或其派出机构、财政部、其他行政机关以及有权做出行政处罚的机构公布处罚决定、人民法院做出刑事判决作为前置程序。而行政处罚往往是在违规行为已产生明显不良后果且为监管部门掌握充分证据的情况下做出的, 这种处罚范围有限, 大大提高了投资者提起诉讼的门槛, 也使得受害者对那些没有受到行政处罚的会计师事务所的诉讼状告无门或时间上滞后。
为释放高风险而应运而生的现代风险导向审计, 在一个低风险的国家是否有足够的外部驱动力来推动其实施让人怀疑。在我国当前的民事赔偿机制和会计师事务所组织形式之下, 审计人员所面临的法律风险较小, 作为“经济人”的会计师事务所, 败德风险发生的可能性增大, 笔者认为有理由担忧现代风险导向审计模式会被束之高阁, 甚至沦落为审计人员自我辩解时的借口。
4.信息技术落后限制了现代风险导向审计在我国的实施
现代风险导向审计技术的使用是建立在信息技术的广泛使用基础上。一方面被审计单位使用信息技术进行经营管理, 方便注册会计师对审计证据的收集, 另一方面会计师事务所必须应用信息技术提高审计的效率。如毕马威BMP的行业分割模型就是运用数据库等信息技术建立起来的。没有数据库作为现代风险导向审计技术的基础, 很难识别、量化出被审计单位的重大错报风险, 主要表现在识别和评估重大错报风险的程序流于形式, 无法鉴别出风险点。注册会计师在识别和评估重大错报风险的过程中, 由于审计人员经验的不足和时间的紧迫, 以及会计师事务所在行业数据库建设和各种统计数据和分析报告收集方面的欠缺, 导致该评估程序的执行缺乏目的性, 存在为了完成审计程序而完成的现象。我国信息技术基础还很薄弱, 制约了现代风险导向审计技术的使用。
六、解决策略
为解决国内所的成本效益决策问题, 笔者认为政府应该统一收费标准, 形成公平竞争环境, 减少不必要的政府干预。虽然国内会计师事务所与国外会计师事务所的审计质量和服务水平存在一定差距, 但政府应当将国内所和国外所同等对待。为避免审计成本成为遏制现代风险导向审计实施的障碍, 政府可考虑根据各个地区的差异提高指导价的标准。同时我国应大力加强行业人才培养, 建设高质量的审计队伍, 这是注册会计师提高审计质量、承担社会责任的基础条件。而对于会计师事务所而言, 一方面可通过更为灵活的薪酬制度吸引专用性人力资本的加入, 另一方面应加大培训投入, 提高审计人员专业素质。在法律环境方面, 应从整体上提升法律风险, 完善我国的民事赔偿机制, 应明确规定允许采取集团诉讼和代理诉讼的形式, 对举证责任进行修正, 放宽诉讼条件, 取消民事法律责任承担以行政处罚或刑事判决为前置程序。我国会计师行业应尽快开发和使用中国注册会计师行业信息网络, 促进行业信息管理向制度化、规模化、网络化、现代化方向发展, 还应尽快建立审计信息化系统, 主要指建立一个审计工作专用的计算机平台, 通过审计系统内部与被审计单位联网, 实现网络资源的共享。至于审计辅助软件缺乏问题, 笔者认为在过渡时期可以先引进国外现成的辅助审计软件并要求配备顾问, 以确保辅助审计软件能够在我国顺利应用。
参考文献
[1]蔡春, 赵莎.现代风险导向审计论[M].北京:中国时代经济出版社, 2006:69, 82-83.
[2]陈林.现代风险导向审计理论及研究[D].厦门:厦门大学, 2006.
[3]中国注册会计师协会.审计[M].北京:经济科学出版社, 2008:160-163.
[4]夏冬林, 林震昃.我国审计市场的竞争状况分析[J].会计研究, 2003 (3) .
【审计实施方案】推荐阅读:
审计实施方案资料08-24
公司审计实施方案12-06
物业公司审计实施方案10-17
工程跟踪审计的实施12-25
经济责任审计实施办法06-27
内部审计实施办法07-29
内部控制审计的实施01-14
专项资金审计工作实施方案07-12
土地整治项目跟踪审计现场实施方案08-22