财务稽核工作底稿7篇

时间：2022-09-23 10:30:06 来源：网友投稿

财务稽核工作底稿7篇财务稽核工作底稿　所属会计师事务所：　会计师事务所（特殊普通合伙）被审计单位：　XXX银行股份有限公司审核员：　审核员A日期：　2013.XX.XX索引下面是小编为大家整理的财务稽核工作底稿7篇,供大家参考。

财务稽核工作底稿7篇

篇一：财务稽核工作底稿

会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：填表信息：一、信息系统基本情况二、信息系统清单业务流程应用系统名称说明（若为“其他”请添加说明）是否与其他系统存在接口操作系统数据库硬件型号服务器所在地点自主开发?采购软件？最早上线（使用）日期交易、风控、结算客服财务合规稽核人力资源固定资产信息技术<其他>…三、计算机环境的复杂程度序号1.

　商业银行的计算机信息系统主要由主机系统和终端系统两部分组成。主机系统主要包括以大型机/微型机为主机系统。终端系统包括通用终端和专用终端，后者主要包括存折票据打印机、ATM智能终端和POS智能终端等。商业银行计算机系统的硬件和软件环境主要由操作系统、网络软件和应用软件组成。系统当年重大变更的性质？是否存在与其他系统的接口？应用系统是否当年新实施？系统是否变更，变更方式？是否高度自动化？联系方式问题回答是否存在批处理操作？会计师事务所（特殊普通合伙）信息系统应用规模标准问卷审计部门填表人联系方式客户业务及财务部填表人联系方式客户IT部门填表人注：因商业银行属于客户业务高度依赖信息系统自动化处理的情形，系统环境一般为复杂。故应由信息系统审计人员（专家）执行信息系统和电子转账系统（ITGC）的了解与测试工作，并按照准则要求编制工作底稿、形成工作结论、提交有关工作报告。项目组按照准则要求评价信息系统审计人员（专家）对商业银行计算机信息系统和电子资金转账系统的测试结论，以确定进一步审计程序的性质、时间安排和范围。（提示：商业银行在资金调拨、交易处理和会计核算等方面大量使用计算机信息系统和电子资金转账系统，包括外购和自行开发各种软件。《中国注册会计师审计准则第1611号——商业银行财务报表审计》第十五条指出，商业银行的计算机信息系统和电子资金转账系统具有下列重要作用，注册会计师应当关注其使用的方式和程度：（1）计算和记录利息收入和支出；（2）计算外汇和证券交易头寸，并记录相关的损益；（3）提供资产、负债余额的最新记录；（4）每日处理大量巨额交易。因此，为了正确进行控制测试和确定实质性程序的性质、时间和范围，注册会计师应当关注商业银行使用计算机信息系统和电子资金转账系统的方式和程度。第十六条规定，由于商业银行具有的特征和风险，注册会计师通常需要依赖控制测试而不能完全依赖实质性程序。在评价商业银行内部控制的预期可信赖程度时，注册会计师应当着重考虑计算机信息系统和电子转账系统的使用方式和电子化程度对内部控制可信赖程度的影响，包括核心计算机信息系统、电子资金转账系统和其他信息技术系统及其关联性。第三十一条规定，计算机信息系统和电子资金转账系统的广泛使用，对注册会计师评价商业银行的内部控制有重要影响。注册会计师应当对影响系统开发、修改、接触、数据登录、网络安全和应急计划的相关内部控制进行评价。注册会计师应当考虑商业银行使用电子资金转账系统的程度，评价交易前监督控制和交易后确认及调节程序的完整性。）

　所属会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：会计师事务所（特殊普通合伙）信息系统应用规模标准问卷7根据上述选项回答，参考下列指引判断客户信息系统环境的复杂程度:客户使用集成性大型ERP系统（如SAP, Oracle）或自行开发核心业务或财务系统的，系统环境一般为复杂；客户当年上线新业务和财务系统的，系统环境判断一般为复杂；客户对现有系统进行功能性、程序性和改变系统运转方式的关键参数设置变更的，系统环境一般为复杂；客户核心业务或财务系统存在关键数据处理接口的，系统环境一般为复杂；客户使用批处理操作进行数据处理的，系统环境一般为复杂；客户业务高度依赖信息系统自动化处理的（如银行、保险、证券、电子商务、电信等行业或电子数据交换、无纸化运作等），系统环境一般为复杂；其他判断系统环境为复杂的因素（如基于风险评估审计团队认为是复杂），遵从审计团队的判断；问卷检查信息（填写）问卷检查、访谈过程中发现的值得注意的计算机整体控制相关问题四、结论信息系统环境为：项目负责合伙人：签名日期其他需要关注的信息，如有检查访谈对象联系方式检查日期问卷检查人联系方式信息系统审计师介入的程度与信息系统一般控制审计的范围和时间。

　所属会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8-10审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：是否执行ITGC 测试是一、ITGC 测试目的对每个ITGC相关的种类进行穿行测试。我们进行ITGC穿行测试以确认我们对于ITGC设计及其执行的理解。二、ITGC 穿行测试程序在下面的空白处，识别由此项穿行测试所涵盖的“ IT 技术环境”及与“IT 技术环境”相关的“ 应用程序”。注：信息系统环境的技术构成包括：应用系统、数据库管理系统、操作系统、网络和互联网/远程访问等

　常见的应用系统包括：金蝶、用友、SAP、Oracle Financials或者企业自行开发的应用系统等

　常见的数据库管理系统包括：Oracle、DB2、Microsoft SQL Server等

　网络是指共同分享沟通的计算机群和相关设备，通常共享存储在计算机服务器上的资源

　互联网/远程访问是指把应用系统用户从外部资源链接到信息系统环境的方法、流程和技术请选择请选择请选择若不适用，则出现：描述不适用的原因：三、ITGC 穿行测试（一）系统开发和变更管理1、系统开发和变更管理穿行测试其他请描述流程内容安排执行开发或测试的人员没有批准程序开发或变更的管理权限、实施程序移入或移出生产环境的操作权限、及执行对程序开发和变更相关控制的监控权限。执行对程序开发和变更相关控制的监控人员没有批准程序开发或变更的管理权限、安排开发或变更、或将程序移入或移出生产环境的权限。系统开发和变更管理的不相容职责的分工请选择请选择系统开发和变更管理程序（授权、测试和批准）信息系统安全系统开发和变更管理系统开发和变更管理的监控回答下列每个问题:目标：只允许对应用程序、界面、数据库和操作系统进行经过适当授权、测试和批准的变更。记录我们对于客户针对“系统开发和变更管理”种类程序的了解和参考的客户文档。其他ITGC，包括IT运营对于计划依赖ITGC的应用程序，我们应对能够达到每个相关“ITGC 种类”目标的ITGC执行穿行测试，选出应当执行穿行测试的“ITGC 种类”。信息系统一般控制（ITGC）测试（穿行测试）IT技术环境通常会支持多个应用程序，因此通常会对影响核心业务和财务信息的应用程序的IT技术环境执行穿行测试；若有特殊情况需特别注明。IT技术环境的例子包括：应用程序的管理控制、支持应用程序的技术平台，或支持应用程序的数据中心。IT 技术环境名称与IT技术环境相关的应用程序描述否的原因：若否，则出现：

　所属会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8-10审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：信息系统一般控制（ITGC）测试（穿行测试）2、描述为“系统开发和变更管理”种类所执行的ITGC穿行测试以及为确认我们对其设计及已被执行的了解所获得的证据。系统开发和变更管理程序（授权、测试和批准）程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现系统开发和变更经过授权系统开发和变更经过测试系统开发和变更经过批准可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现系统开发和变更受到监控可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现系统开发和变更管理环境下不相容职责的分工系统开发和变更管理环境下的环境分离可加行其他程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现可加行（二）信息系统安全1、信息系统安全穿行测试其他请选择信息系统安全的监控具有特许访问权限的人员不会执行对特许访问用户的监控。不同人员批准用户访问权限、设置用户访问权限及监控访问违规/违规企图。信息系统安全的不相容职责的分工回答下列每个问题:请选择如果对上面任一问题的回答为“NO(否)”，则应描述能够对不相容职责进行分工的替代控制。物理访问应用用户访问管理对系统管理资源访问管理系统开发和变更管理的监控内容一般系统安全设置（用户身份和认证策略）目标: 只允许经授权的人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的职能（例如：询问、执行和更新）。记录我们对于客户针对“信息系统安全”种类的程序的了解或参考的客户文档。请描述流程系统开发和变更管理的不相容职责的分工如果对上面任一问题的回答为“NO(否)”，则应描述能够对不相容职责进行分工的替代控制。

　所属会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8-10审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：信息系统一般控制（ITGC）测试（穿行测试）2、描述为“信息系统安全”种类所执行的ITGC穿行测试以及为确认我们对其设计及已被执行的了解所获得的证据。程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现一般系统安全设置是恰当的。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现应用系统管理权限授权合理。用户访问经授权且适当设置（包括用户新增、权限更改、离职删除）。管理层定期审核用户权限合理性。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现对系统管理资源访问限于适当的授权人员。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现对计算机硬件的物理访问限于适当人员。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现信息系统安全过程受到监控。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现信息系统安全环境下的不相容职责分工。可加行其他程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现可加行（三）其他ITGC，包括IT运营1、其他ITGC，包括IT运营的穿行测试信息系统安全的不相容职责的分工目标：正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以准确完整地恢复此类数据（即备份和恢复）。按计划执行程序，及时识别并消除按计划处理时产生的偏差（即时间安排）。及时识别、解决、复核和分析 IT 运行问题或事件(即问题和事件的管理及监控)。在相关控制的失败可能对会计报表或披露产生影响时，应包括其他 ITGC种类，包括IT运维。记录我们对于客户针对“其他 ITGC种类,包括IT运营”种类的程序的了解或参考的客户文档。内容请描述流程应用用户访问管理对系统管理资源访问管理一般系统安全设置（用户身份和认证策略）物理访问信息系统安全的监控

　所属会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-8-10审查项目：

　了解内部控制会计期间：

　2012.12.31 复核员：

　复核员B 日期：

　2013.XX.XX 页次：信息系统一般控制（ITGC）测试（穿行测试）数据接口管理其他(包括IT治理）程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现财务数据已备份且可恢复。可加行程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现及时识别并处理批处理/按计划执行程序产生的偏差。程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现及时识别、解决、复核和分析 IT 运营问题或事件。数据接口管理程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现及时识别、解决、复核和分析数据接口问题或事件其他(包括IT治理）程序客户控制穿行测试支持性文件索引号穿行测试结论执行有效性测试结论发现四、结论问题和事件的管理及监控批处理/按计划执行程序管理2、描述为“其他ITGC，包括IT运营”种类所执行的ITGC穿行测试以及为确认我们对其设计及已被执行的了解所获得的证据。财务数据的备份和恢复问题和事件的管理及监控批处理/按计划执行程序管理财务数据的备份和恢复

　索引号：

　BB2-8-10-100ITGC 穿行测试程序本底稿帮助我们记录“了解穿行测试, 测试和评估ITGCs”中所描述的我们对ITGC的穿行测试。我们选择ITGC 的一次发生来执行穿行测试。穿行测试包含所适用的手动和自动的ITGC。在执行每个ITGC穿行测试时：我们应记录处...

篇二：财务稽核工作底稿

行稽核工作底稿操作规程（试行）

　第一章

　总则

　第一条

　为了规范稽核工作底稿的编制、复核、使用和管理，根据国家有关法律法规、中国银行业监督管理委员会有关规定以及《农商行稽核工作暂行规定》等规定，结合实际，制定本操作规程。

　第二条

　本操作规程所称稽核工作底稿，是指由稽核人员编制、具有规范格式、记录稽核过程、反映稽核发现及其稽核证据的书面文件。

　第二章

　基本规定

　第三条

　稽核人员应当及时编制稽核工作底稿，以实现下列目的：

　（一）提供充分、适当的记录，作为稽核报告的基础；

　（二）提供证据，证明其按照稽核操作规程的规定执行了稽核工作。

　第四条

　对每项具体稽核业务，稽核人员应当将稽核工作底稿归整为稽核档案。

　第五条

　稽核工作底稿包括三种形式：

　（一）工作记录，记录稽核事项的测试过程；

　（二）情况记录，记录稽核发现中的问题部分；

　（三）备查记录，记录稽核组执行稽核项目的主要程序。

　按照保存形式，稽核工作底稿可以分为纸质、电子或其他介质形式。

　第六条

　稽核工作底稿应当符合下列标准：

　（一）格式规范，是指稽核人员应当使用农村信用合作社联合社规定的稽核工作底稿格式；

　（二）标识一致，是指稽核工作底稿中使用的各种标识，应当保持前后一致并说明其含义；

　（三）内容完整，是指稽核工作底稿的要素齐全，记录的稽核事项前因后果清晰，具有可复核性；

　（四）记录准确，是指稽核工作底稿中记录的稽核事项、时间、地点、行为人、数据、计量、计算方法和因果关系应当准确无误，前后一致，相关的资料如有矛盾，应当予以鉴别和说明；

　（五）措词精当，是指稽核人员描述稽核事项，做出稽核评价和结论的用语应当恰如其分、言简意赅；

　（六）结论明确，是指稽核人员做出的稽核结论有的放矢、指代清楚。

　第七条

　应纳入稽核工作底稿的其他材料：

　（一）与稽核对象组织结构有关的资料；

　（二）重要的法律性文件、协议和会议记录的副本或摘录；

　（三）会计制度和有关内部控制制度评价记录；

　（四）业务分析；

　（五）重要的比率和趋势分析；

　（六）稽核程序执行的性质、时间、范围及结果；

　（七）对稽核人员执行的工作进行监督和检查的证据；

　（八）执行稽核程序的人员、时间；

　（九）稽核组同有关专家和专门机构沟通函件的副本；

　（十）稽核对象的陈述函件；

　（十一）稽核人员对重要稽核问题得出的结论，包括由稽核程序中揭露出来的例外情况和非正常事项的处理规程及结果；

　（十二）对稽核报告有支持作用的财务资料及稽核报告副本；

　（十三）向被稽核单位提交稽核报告的函件或会谈记录；

　（十四）其他应纳入稽核工作底稿的资料。

　第三章

　稽核工作底稿的编制

　第八条

　稽核人员应当根据具体稽核方案确定的内容，逐项逐事编制稽核工作底稿。

　第九条

　相关稽核工作底稿之间，应保持清晰的勾稽关系，相互引用的应注明索引编号。部分引用时，被引用部分应当有明显的标识。

　第十条

　稽核人员应当在稽核工作底稿上对常用标识做出简要说明。常用标识有“√”表示同意、正确、肯定；“×”表示拒绝、错误、否定；“☆”表示关注、要点、重点；“？”表示疑问、不确定；“○”表示选定范围、区域。

　稽核工作底稿上列示数据表应当在小计栏目下划单线，汇总数的栏目下划双线。

　第十一条

　稽核工作底稿中注释符号的书写应当紧接所注的文字、数字或日期的右边。同一次稽核使用的注释符号应当一致。单页底稿的注释符号不应超过五个。

　第十二条

　稽核人员编制的稽核工作底稿应当经主稽核人和稽核组长复核。

　第十三条

　稽核人员根据复核意见检查稽核工作底稿，确有需要改动的，应当另行编稽核工作底稿，并做出书面说明，原稽核工作底稿作为附件保留。

　经复核审定的稽核工作底稿，不得修改。

　第十四条

　稽核人员应当将稽核工作底稿进行分类整理，将稽核发现进行定性，按照重要性顺序排列，编制稽核发现汇总表。

　第十五条

　稽核工作底稿应当由稽核组长或指定专人编号，工作底稿的编号应当连续，不得漏号、跳号和重号。

　稽核工作底稿的“工作记录”、“情况记录”和“备查记录”应当分别编号。

　第十六条

　稽核人员应当对其编制的稽核工作底稿的客观性、真实性和完整性负责。

　主稽核人、稽核组长应当对各自的复核意见负责。

　第十七条

　稽核人员应当将情况记录及其附录的稽核证据一并送稽核对象或取证对象确认，由稽核对象或取证对象签名盖章。

　稽核人员对稽核对象拒绝签名或盖章的稽核证据，应当注明原因和日期。拒绝签名或盖章不影响稽核事实存在的，稽核证据仍然有效。

　第四章

　稽核工作底稿的归档与保管

　第十八条

　稽核人员应当按照规定，及时将稽核工作底稿归整为最终稽核档案。

　稽核工作底稿的归档期限为稽核报告日后六十天内。

　第十九条

　在稽核报告日后将稽核工作底稿归整为最终稽核档案是一项事务性的工作，不涉及实施新的稽核程序或得出新的结论。

　如果在归档期间对稽核工作底稿作出的变动属于事务性的，稽核人员可以作出变动，主要包括：

　（一）删除或废弃被取代的稽核工作底稿；

　（二）对稽核工作底稿进行分类、整理和交叉索引；

　（三）对稽核档案归整工作的完成核对表签字认可；

　（四）记录在稽核报告日前获取的、与稽核项目组相关成员进行讨论并取得一致意见的稽核证据。

　第二十条

　在完成最终稽核档案的归整工作后，如果发现有必要修改现有稽核工作底稿或增加新的稽核工作底稿，无论修改或增加的性质如何，稽核人员均应当记录下列事项：

　（一）修改或增加稽核工作底稿的时间和人员，以及复核的时间和人员；

　（二）修改或增加稽核工作底稿的具体理由；

　（三）修改或增加稽核工作底稿对稽核结论产生的影响。

　第二十一条

　在完成最终稽核档案的归整工作后，稽核人员不得在规定的保存期届满前删除或废弃稽核工作底稿。

　第二十二条

　稽核部门应当自稽核报告日起，对稽核工作底稿至少保存十年。

　第二十三条

　稽核工作底稿属农商行所有，由各级稽核部门保管。在任何情况下，未经稽核部门负责人批准，不得对外提供。

　第五章

　稽核工作底稿的保密与查阅

　第二十四条

　稽核人员应当保守稽核工作底稿中涉及的秘密。稽核人员在工作中向上级内部稽核部门提供稽核工作底稿，不属于泄密。

　第二十五条

　上级内部稽核部门有权调阅、复制、摘录所有的稽核工作底稿。

　第二十六条

　外部机构查阅稽核工作底稿必须持有合法手续，经稽核部门负责人审批同意方可查阅，并进行登记。

　第二十七条

　稽核工作底稿的外部查阅者因使用稽核工作底稿不当所造成的后果，保管稽核工作底稿的稽核人员及其所在部门不承担责任。

　第六章

　附则

　第二十八条

　本操作规程由农商行联合社负责解释和修订。

　第二十九条

　本操作规程自下发之日起施行。

篇三：财务稽核工作底稿

建龙重工集团有限公司制度编码：

　F2114制度页数：

　共25 页编制：

　王子谦审核：

　杜明核准：

　张志祥发布日期：

　2010年7月 5日生效日期：

　2010年7月 5日财务稽核管理办法主办单位：

　总裁室财务管理组第一部分

　总

　则第一条

　为使集团财务稽核作业有所遵循，根据国家财经法律、法规和集团《财务管理规则》特制定本办法。第二条

　本办法所称财务稽核分为内部稽核和外部稽核：1、内部稽核是指集团各级财务部门依据国家财经法规、集团财务制度及各项内部控制流程，对会计核算工作与财务管理活动的合法性、真实性、完整性进行的自我检核与评价，并定期出具内部稽核报告的控制机制。2、外部稽核是指集团总裁室财务管理组及各子公司总经理室财务管理组按照核签的财务外部稽核计划组织实施的、对集团各级财务部门的会计核算工作与财务管理活动所进行的独立、客观的再检核与再评价，并出具外部稽核报告的控制机制。第三条

　本办法适用于北京建龙重工集团有限公司（以下简称“集团公司” ）

　及其下属子公司（以下简称“各子公司” ，集团公司和各子公司统称为“集团” ）

　的财务稽核管理作业。第二部分

　内部稽核第一章

　内部稽核的目的及原则第四条

　目的通过建立日常性的内部稽核机制，发现并及时反映各类异常，确保集团会计核算与财务管理工作安全、规范、有序地运行。第五条

　原则1、预防性原则1

　通过内部稽核控制，及时发现和处理集团各级财务部门在执行各项财务规章制度中出现的各种异常，提高会计核算质量和财务管理水平。2、日常性原则由各稽核岗位的财务人员针对会计核算与财务管理活动，在日常工作中随时随地进行的稽核，以减少会计核算差错和舞弊、防范财务风险。3、回避原则专（兼）

　职稽核员日常作业岗位与稽核岗位的设置应遵循不相容职务相互分离和回避的原则。4、规范性原则进行财务内部稽核时，必须以国家财经法规、集团各项财务制度及内部控制流程为依据。5、分级管理原则集团建立分级稽核、分级报告的财务内部稽核体系。

　第二章

　内部稽核岗位及职责第六条

　集团各级财务部门须设专人执行总稽核员职责，并根据风险管控的需要及业务量的大小设置若干名一般稽核员。第七条

　内部稽核岗位和人员的设置应按照集团内部控制的要求遵循回避原则。第八条

　集团公司内部稽核岗位职责：1、一般稽核员负责本岗位的稽核作业，在作业时针对发现的问题及时、准确地登记［日常稽核记录清单］（见附件一）

　，月底将其汇总为［日常稽核月度汇总表］（见附件二）。2、总稽核员职责：（1）

　复核与汇总一般稽核岗位的［日常稽核月度汇总表］，编制［财务内部日常稽核报告］（以下简称为日常稽核报告）

　（见附件三）

　；（2）

　集团公司财务部的总稽核员还须复核专项稽核工作底稿、交换意见记录等资料，编制［财务内部专项稽核报告］（以下简称为专项稽核报告）

　（见附件四）

　。2

　3、总稽核员还需对各子公司或下属公司的财务稽核人员进行业务指导、作业检查、业务培训，组织经验交流。4、各子公司稽核人员应配合集团公司组织实施的财务专项财务稽核。5、各级财务内部稽核人员在实施稽核作业时，如发现有重大过错或舞弊事项应及时向集团公司总裁室审计监察组报告。第三章

　内部稽核的方式第九条

　内部稽核的方式：1、日常稽核：

　由各级财务部门负责实施，各稽核岗位人员应对本公司各项财务收支的所有会计凭证、账簿、报表及内部控制流程的执行情况进行全面复核。2、专项稽核：

　针对集团集中业务所涉及的财务作业，或集团公司高层会议临时指定的项目组成稽核小组，由集团公司财务部门依据集团高层会议的指示组织实施的稽核作业。专项稽核可根据稽核期间、范围采取抽查稽核，必要时应全面稽核，采用何种方式由稽核小组讨论，并形成会议记录由总稽核员签字，装入稽核档案。采用抽查方式的，抽查样本量的选取及依据，应在稽核方案中予以明确。（1）

　集团公司财务部总稽核员应于年度末制订下一年度集团专项稽核计划，经集团公司财务部部长核签后实施，并报总裁室财务管理组备案。（2）

　专项稽核遵循计划性与临时性相结合的原则。对于计划内的稽核项目，应事前通知被稽核单位，制定稽核方案；稽核结论形成后应与被稽核单位进行交换意见；编制稽核工作底稿和专项稽核报告，并对稽核中发现的异常进行跟催。各子公司财务部门可参照集团公司专项稽核的模式开展专项稽核，同时亦需制订专项稽核计划，经本公司财务负责人核签后实施。第四章

　内部稽核的内容及范围第十条

　内部稽核的内容1、各项财务制度、管理流程和授权是否得到较好执行；2、各会计要素的确认、计量与披露是否适当，是否与财经法规、公司制度相违背；3、会计政策及会计估计的使用是否遵循了一贯性原则；3

　4、财务各项收支是否执行了财务预算、资金计划、合同等有关规定；

　5、原始凭证是否齐全、有效、合法；6、在财务管理系统下，查核系统各项操作权限分配是否符合公司内部控制的要求7、、其它需要进行稽核的内容。第十一条

　内部稽核的范围1. 审核会计凭证。

　包括原始凭证和记账款凭证；2. 审核会计账簿；3. 审核会计报表；稽核人员对本单位及下属子公司会计报表每月进行全面审核；有管理口径报表的单位，还应对其管理口径报表进行审核。4. 审核公司内部财务控制程序。重点审核收付款、费用报销、收入确认、成本费用摊提、资产盘亏盘盈、资产处置、账项核销等作业是否符合内部控制流程、是否超越授权权限。第五章

　内部稽核报告第十二条

　内部稽核报告的分类1、日常稽核报告：

　是指各级财务部门在日常财务外部稽核实施过程中，对所发现的各种异常事项形成的报告。2、

　专项稽核报告：

　针对集团财务部门组织实施的专项财务外部稽核形成的报告。第十三条

　日常稽核报告的编制1、日常稽核作业的确认（1）

　［日常稽核记录清单］中发现的异常，应由被稽核岗位人员签字确认。（2）

　［日常稽核月度汇总表］应由总稽核员复核，经财务一级主管签字确认。（3）

　［日常稽核报告］应由财务一级主管复核，经公司财务负责人或会计机构负责人签字确认。2、日常稽核报告的编制与报送日期：4

　（1）

　一般稽核员实施日常稽核作业，对稽核中发现的异常随时记录，登记［日常稽核记录清单］；稽核记录要清晰、完整、体现重要性原则；针对稽核记录反映问题要证据充分，制度依据明确。（2）

　在财务报表集团规定报出日后3个工作日内，一般稽核员汇总上月稽核记录，编制［日常稽核月度汇总表］，并填写改善建议后报送总稽核员。（3）

　季末，在财务报表集团规定报出日后7个工作日内，总稽核员依据［日常稽核月度汇总表］完成［日常稽核报告］的编制。第十四条

　专项稽核报告的编制1、专项稽核作业的确认：（1）

　专项稽核作业工作底稿确认专项小组成员在稽核作业时必须形成工作底稿，工作底稿须经集团财务部总稽核员签字，遇重大问题需稽核小组讨论，形成会议记录，与会人员签署意见，作为形成稽核意见的依据，装入稽核档案。（2）

　专项稽核报告（草稿）

　的沟通。与被稽核单位进行稽核意见的沟通是专项稽核必经程序。

　稽核人员可依沟通的结论修改或依职业判断坚持稽核意见2、专项稽核报告的编制：集团公司总稽核员依据工作底稿、会议记录、稽核报告（草稿）

　及与被稽核单位沟通记录进行整理，再复核稽核档案资料，编制［专项稽核报告］。3、专项稽核报告的报送报告编制成后，按专项稽核计划中规定的时间节点报送。第十五条

　财务内部稽核报告传递流程1、日常稽核报告，须以公文的形式报送本层级财务负责人签署意见后，再报送集团公司财务部，并报总裁室财务管理组备案。2、专项稽核报告，由集团公司财务部总稽核员报集团公司财务部长，同时报财务管理组组长。

　集团总裁指定的稽核事项还应呈报总裁。3、内部稽核报告应逐级上报，但在稽核中发现重大异常事项或舞弊案件的除外。5

　第十六条

　财务业务改善1. 针对财务部门内部的改善意见，在内部稽核报告报出后3个工作日内，由总稽核员应召集本部门专业改善会议进行自我检讨与改善。2. 针对业务部门的改善意见，在［内部稽核报告］报出后5个工作日内，应将本层级财务机构主管或公司财务负责人签署的［业务改善建议书］（见附件五）

　，通过公文送达业务部门。第十七条

　内部稽核报告的档案管理1、内部稽核报告及其相关资料的存档，按集团《档案管理办法》的有关规定执行。2、［日常稽核记录清单］［日常稽核月度汇总表］应作为日常稽核报告的组成部分一并存档。3、内部稽核报告的编号［日常稽核报告］与［专项稽核报告］编号规则相同，均为四位即年度后两位+两位流水号。第三部分

　外部稽核第一章外部稽核的目的及原则第十八条

　目的通过系统化和规范化的方法，对集团财务信息的真实性、完整性及财务内部控制的有效性进行再评价，以防范财务风险、规范与改善业务流程，促进集团财务管理目标及集团发展战略目标的实现。第十九条

　原则1、独立性原则

　是指外部稽核人员履行稽核职责时，应在形式上和实质上与被稽核对象保持相对的独立，避免干扰。2、客观性原则是指外部稽核人员的稽核结论应以客观事实为依据，实事求是，切忌主观臆断。3、公正性原则6

　是指外部稽核人员在实施稽核时，应保持诚实客观、不偏不倚的公正态度和职业操守。4、保密性原则是指内部稽核人员在实施稽核时，对获知的被稽核单位的各类信息应予保密，不得私自泄露。第二章

　外部稽核岗位及职责第二十条

　集团公司总裁室财务管理组为集团外部稽核的管理机构，设置外部稽核岗位，负责组织实施集团外部稽核工作。第二十一条

　集团外部稽核的实施方式1、由集团公司总裁室财务管理组人员组成稽核小组具体实施，独立出具外部稽核报告。2、由各子公司总经理室财务管理组负责具体实施，总裁室财务管理组汇总稽核意见，出具汇总外部稽核报告。3、由集团公司总裁室财务管理组抽调有关人员形成联合稽核小组，具体实施。4、其他实施形式。第二十二条

　集团公司总裁室财务管理组应建立健全财务外部稽核制度（见附件六）

　、作业流程和报告模板设计。第三章

　外部稽核的内容与方法第二十三条

　外部稽核的内容：对集团各级财务部门的财务制度执行情况、会计核算、资金管理、资产营运、成本控制、收益分配、重组清算、费用预算执行等会计核算与管理活动进行稽核并做出评价。第二十四条

　外部稽核方法是指稽核人员为了达到特定的稽核目的，对稽核对象进行检查、分析，收集稽核证据，形成稽核结论和意见的技术手段。7

　第二十五条

　外部稽核的基本方法（或称具体稽核程序）

　，包括检查、监盘、观察、查询及函证、计算、分析性复核等方法。第四章

　外部稽核程序第二十六条

　外部稽核计划1、稽核计划是指稽核人员为了顺利完成稽核工作，达到预期稽核目的，对一段时期的稽核工作任务或具体稽核项目做出的事先安排。2、稽核计划一般包括年度稽核计划、月度工作计划、项目稽核方案三个层次：（1）年度稽核计划是对年度的稽核任务所作的事先安排，是组织年度工作计划的重要依据之一；（2）月度工作计划是对某月份稽核项目的确认和时间及人力资源的综合安排；（3）项目稽核方案是对具体稽核项目的稽核程序及其时间等做出的详细的安排。第二十七条

　外部稽核通知书1、外部稽核通知书（见附件七）是指内部稽核部门在实施稽核项目前，通知被稽核单位（个人）接受稽核，并做好相关资料准备的书面文件。2、外部稽核通知书应包括以下基本内容：（1）被稽核单位及稽核项目名称；（2）稽核目的及稽核范围；（3）稽核时间，包括稽核外勤起止时间和稽核资料的归属期间；（4）被稽核单位应提供的具体资料清单和其他必要的协助；（5）稽核组成员名单；（6）总裁室财务管理组的稽核印鉴和签发日期；（7）

　重大稽核项目要附稽核方案。3、外部稽核项目责任人，必须根据经过批准后的稽核计划编制稽核通知书，并于稽核项目实施的7个工作日前，通过集团公文系统，向被稽核单位送达稽核通知书；不具备条件的也可采用书面方式送达或在实施稽核时送达，并同时附稽核通知书回执单。8

　4、稽核通知书主送被稽核单位，必要时可抄送单位内部相关部门。

　涉及员工个人责任的稽核项目，还应抄送被稽核者。5、被稽核单位接到稽核通知书后，应于稽核组进驻稽核现场前，通过公文系统反馈收到稽核通知书的信息；采用书面方式送达或在实施稽核时送达的，被稽核单位应在一个工作日内将签署的［稽核通知书回执单］（见附件八）送回稽核单位。第二十八条

　外部稽核证据与稽核发现稽核证据: 是指内部稽核人员为了得出稽核结论，形成稽核意见而使用的所有信息。

　包括会计报表依据的会计记录中含有的信息和其他信息。稽核发现：

　是指将稽核证据与财经法律法规、集团财务制度及控制流程进行对照，对财务异常事项的记录。第二十九条

　外部稽核证据的取得1、外部稽核人员应当依据稽核目标获取不同类型的稽核证据。2、外部稽核人员一般应采用抽样方法获取稽核证据。

　无论是进行控制性测试还是进行实质性测试，都应考虑样本的代表性，回避证据风险。3、外部稽核人员在收集稽核证据时，对认为必要的稽核证据应当及时取证。

　在当时不能取得而以后稽核证据又可能灭失或难以取得的情况下，经稽核部门负责人批准，可以先行登记保存，保全稽核证据。4、外部稽核人员...

篇四：财务稽核工作底稿

2004013《税务稽查工作底稿（一）》

　税务稽查工作底稿（一）

　共

　页第

　页

　被查对象名称：

　案件编号：

　账簿名称会计科目记账日期凭证号码摘

　录对应科目金

　额备

　注借

　方贷

　方

　被查对象(当事人) 陈述意见：

　经办人（签章）：

　被查对象（盖章）

　年

　月

　日检查人员（签名）

　年

　月

　日

篇五：财务稽核工作底稿

工作底稿稽核範圍：

　稽核執行期間：

　年

　月

　日 ~

　年

　月

　日

　出具稽核報告：

　年

　月

　日

　章節敘述符合度說明與結果非常尚屬不盡不適用 4 資訊安全管理系統

　 4.1 通則

　 4.1.1 組織應建立、維持並持續改善一個文件化的資訊安全管理系統，該文件化的資訊安全管理系統應涵蓋組織整體之作業及風險。4.2 建立及管理資訊安全管理系統目標

　4.2.1 建立資訊安全管理系統

　組織應執行下列作業：

　a) 依照組織的業務特性、位置、資產及技術來定義資訊安全管理系統的範圍與範圍之界線；

　章節敘述符合度說明與結果非常尚屬不盡不適用

　b) 依照組織的業務特性、位置、資產及技術來制定資訊安全政策；

　1)包含建立一套有明確目標、總體指導原則與行動規範的資訊安全架構

　 2)需考量業務需求、法律規範與組織相關合約中之條款

　 3)需符合風險管理相關結果

　 4)需建立風險評估之標準

　 5)需由管理階層核准

　 c) 制訂組織之風險評鑑程序；

　1)需辨識出適合資訊安全管理制度之風險管理方法與業務資訊安全、法律與相關標準之要求

　 2)發展組織辨識可接受風險之標準並辨識出組織可接受風險值

　 d) 辨識風險；

　1)辨識範圍內之資訊資產與其權責單位/人員

　 2)辨識資訊資產所面臨之威脅

　章節敘述符合度說明與結果非常尚屬不盡不適用

　3)辨識資訊資產可能為威脅所利用之弱點

　 4)從機密性、完整性與可用性辨別出失去資訊資產之衝擊

　 e)分析與評估風險

　 1)從機密性、完整性與可用性考量資訊資產損失對組織之衝擊

　2)評估安全事件中影響之資訊資產之威脅、弱點、衝擊與現有控制

　 3)建立風險等級

　 4)決定是否直接接受風險分析結果或需建立風險評估標準

　 f)風險控管

　 1)適當的控制措施，以降低風險

　 2)謹慎、客觀的接受風險，並使其符合組織政策與風險評鑑標

　準

　 3)規避風險

　 4)轉嫁風險，如：

　保險等

　章節敘述符合度說明與結果非常尚屬不盡不適用

　g)實施風險控管措施；控制目標與控制措施應符合風險評估與風險改善程序，並應考量可接受風險值、法律、相關標準之要求

　h)需由管理階層確認殘餘風險

　 i)由管理階層授權實施 ISMS

　 j)適用性聲明

　 1)說明控制目標、控制措施與其原由

　 2)控制目標與現行控制措施

　 3)排除於本文與附錄條文之項目

　4.2.2 建置及運作 ISMS

　組織應執行下列作業：

　a) 擬定風險改善計畫；風險改善計畫應制訂適當之管理措施、

　責任及管理資訊安全風險之優先順序。

　b) 執行風險改善計畫以達成制訂之控制目標；

　c) 建立組織選擇之控制以符合控制目標；

　d)訂定評估選擇控制點有效性之指標並說明如何產生結果之程序

　章節敘述符合度說明與結果非常尚屬不盡不適用

　e) 進行教育訓練及認知推廣活動；

　(See 5.2.2 Training, Awarenessand Competency) add item D

　 f) 管理作業；

　g) 管理資源；

　(See 5.2 - Resource Management);

　 h) 建立安全事件回應程序及其他相關控制。

　4.2.3 監督及檢視 ISMS

　組織應執行下列作業：

　a) 執行監控程序及其他控制以：

　1)當作業發生錯誤時，主動偵測出作業錯誤；

　2)主動辨識失敗及成功的安全漏洞及事件；

　3)使管理階層有判斷指定專人負責或由資訊技術執行之安全

　活動是否如預期般確實執行；

　add item A&C

　 4)執行監控安全事件並藉由指標量測來預防事件再次發生；

　5)辨別修補安全漏洞的措施是否有效。

　章節敘述符合度說明與結果非常尚屬不盡不適用

　b) 進行 ISMS 有效性定期檢視(包括達成安全政策及目標，檢視安全控制)，應參考資訊安全稽核、事件、其他相關單位之建議及回應。

　c)確認控制措施是否有效地符合安全需求

　 d) 檢視殘餘風險及可接受風險之程度，應考量下列元件之改變：

　1)組織；

　2)技術；

　3)營運目標及作業。

　4)已辨識之威脅。

　5)已建立控制項目之有效性。

　6)外部環境，例如: 法令規範的改變，合約責任的改變，社會趨勢的改變。

　e) 依據計畫進行內部 ISMS 稽核

　 f) 管理階層應定期進行 ISMS 檢視(最少一年一次)以確保 ISMS範圍被適當的維持並持續改善。

　(詳 6 -管理階層之 ISMS 檢視)

　g)要將監控與覆核之結果更新於安全計畫中

　章節敘述符合度說明與結果非常尚屬不盡不適用

　h) 記錄對 ISMS 運作或有效性距影響之行為或事件。

　(詳 4.3.3 -紀錄管制) 4.2.4 維持及改善資訊安全管理系統

　組織應定期地執行下列作業：

　a)建立可辨識之 ISMS 改善措施；

　b) 依據 ISMS 改善計畫採取適當的矯正及預防措施 (詳 7.2 - 矯

　正措施及 7.3 - 預防措施)。

　ISMS 改善計畫應參考組織本身或其他組織的資訊安全經驗。

　c) 與所有相關單位溝通改善活動之結果並取得認同。

　d) 確保所有改善活動皆達到預期之目標。

　4.3 文件化需求

　 4.3.1 通則

　文件化應包含管理決策之紀錄，以確保管理之決策與政策均有所依循。

　需瞭解風險評鑑、風險改善計畫、選擇控制措施與 ISMS 之政策與目標之關係。

　章節敘述符合度說明與結果非常尚屬不盡不適用

　a)資訊安全政策及控制目標；

　b)資訊安全管理系統之範圍及；

　c)支持資訊安全管理系統之相關程序及控制措施；

　d)風險評鑑方法；

　e)風險評估報告；

　f)風險改善計畫；

　g) 所有組織為確保其資訊安全作業之有效的計畫、操作及控制措施；

　h) BS7799 要求之紀錄；

　i) 適用性聲明。

　4 資訊安全管理系統

　4.3.2 文件管制

　 ISMS 文件應被保護及控制。

　文件管制程序應被建立以確保文件

　滿足下列要求：

　a) 文件內容之適當性應於使用前被核准；

　b) 必要時檢視及更新文件，並重新核准文件；

　c) 確保文件版本控制作業；

　章節敘述符合度說明與結果非常尚屬不盡不適用

　d) 確保所有相關文件之最新版皆可隨時取得；

　e) 確保文件之可讀性及有效性；

　f)確保文件依其分級使用、傳遞與廢止

　 g) 確保外來文件之可辨識性；

　h) 確實控管文件之分發；

　i) 防止廢止、無效文件之物用；

　j) 廢止文件若需保存應採用適當之辨識方式。

　4.3.3 紀錄管制

　紀錄應被建立並保存以提供 ISMS 運作有效性及遵循 ISMS 要求

　之證明。

　紀錄應被控管。

　紀錄之建立及保存應考量任何相關之法令要求。

　紀錄應保持其有效性、可讀性及可存取性。

　紀錄之識別、儲存、保護、存取、保存期間即廢止作業應被記錄。

　記錄管理程序應決定紀錄之需求及保存。

　紀錄應被視為「建立及管理 ISMS」作業之執行成效及所有 ISMS相關安全事件發生之證據。

　5 管理階層之責任

　章節敘述符合度說明與結果非常尚屬不盡不適用5.1 管理階層之承諾

　 5.1.1 管理階層應提供承諾制訂、建立、維運、監督、檢視、維護及改善 ISMS 之承諾：

　a) 制訂資訊安全政策；

　b) 確保資訊安全目標及計畫被制訂；

　c) 制訂資訊安全之角色及責任；

　d) 對組織溝通達成資訊安全目標及遵循資訊安全政策之重要性，管理階層依法令要求應盡之責任，及持續改進的需求；

　e) 提供開發、建置、運作及維持 ISMS 所需之足夠資源；

　f) 決定可接受風險值；

　g)確認 ISMS 內部稽核之執行;

　 h) 執行 ISMS 管理階層檢視。

　5.2 資源管理

　 5.2.1 資源供應

　組織應決定並供應資源給下列需求：

　a) 以制訂、建立、運作及維持 ISMS；

　章節敘述符合度說明與結果非常尚屬不盡不適用

　b) 以確保資訊安全程序可支持業務需求；

　c) 辨識及確認法令及規範之要求、履行合約之義務；

　d) 藉由正確的應用所有建置的控制以維持適當的安全；

　e) 當需要時，執行檢視作業，並適當地回應檢視之結果；

　f) 於需要時，改善 ISMS 之效力。

　5 管理階層之責任

　5.2.2 教育訓練、認知及能力

　組織應確保於 ISMS 內被賦予責任之皆有能力執行下列要求之任

　務：

　a) 決定執行會影響 ISMS 作業之人員所必須具備之能力；

　b) 提供培訓能力之教育訓練，若必要，聘請有能力之講師；

　c) 評估教育訓練之效果，並採取適當之行動；

　d) 保留教育、訓練、技能、經驗及資格之紀錄；

　章節敘述符合度說明與結果非常尚屬不盡不適用

　組織應同時確保所有相關人員皆瞭解跟其相關極重要之資訊安全活動，及他們如何配合來達成 ISMS 目標。

　6 管理階層之 ISMS 檢視

　 ISMS 內部稽核

　組織應於規劃之期間執行 ISMS 內部稽核以決定 ISMS 之控制目

　標、控制措施、程序及作業：

　a) 遵循 BS7799 標準及相關的法令或規範之需求；

　b) 遵循組織既定之資訊安全需求；

　c) 有效地建立並維持；

　d) 如預期般運作。

　稽核活動應被妥善規劃，應考量業務、區域之狀態、重要及前次稽核結果，應訂定稽核之標準、範圍、頻率與方法，並慎選稽核人員以達稽核之目標，稽核人員不應稽核本身之業務。

　應以文件化明訂稽核之權責、要求與報告、紀錄維護之責任。

　管理階層應確保稽核活動之順利進行，而稽核後之活動應包含確認採取之措施與稽核之結果。

　章節敘述符合度說明與結果非常尚屬不盡不適用7 管理階層之 ISMS 檢視

　 7.1 通則

　 7.1.1 管理階層應於計畫之區間檢視組織之 ISMS 以確保 ISMS 持續的適用性、適當性及有效性。

　ISMS 檢視應包含評量 ISMS 之改善機會及變更需求，包含資訊安全政策極安全目標。

　檢視之結果應被清楚地記錄，紀錄應被保存。

　7.2 檢視來源

　 7.2.1 管理階層檢視之來源應包含下列資訊：

　a) ISMS 稽核及檢視之結果；

　b) 相關單位之回應；

　c) 組織用於改善 ISMS 執行績效及效果之技術、產品或程序；

　d) 預防及矯正活動之狀態；

　e) 於前期風險評估時未被適當說明之弱點或威脅；

　f)有效評估下之結果；

　g) 前期風險管理檢視之持續追蹤活動；

　章節敘述符合度說明與結果非常尚屬不盡不適用

　h) 任何可能會影響 ISMS 之變更；

　i) 改善建議；

　7.3 檢視結果

　 7.3.1 管理階層檢視之結果應包含任何跟下列項目有相關之決定或活動：

　add item b c e

　 a) 提升 ISMS 之績效；

　b)更新風險評鑑方法與風險改善計畫；

　c) 修改影響資訊安全之程序，若有必要，反應內部或外部可能影響 ISMS 之事件，包括下列事項之異動：

　 1)業務需求；

　2) 安全需求；

　3) 影響既有業務需求之業務程序；

　4)規範或法令環境；

　5)合約之要求

　 6)風險分級/可接受風險值；

　d) 需求之資源。

　章節敘述符合度說明與結果非常尚屬不盡不適用 e)評估控制措施之有效性

　 8 改善 ISMS

　8.1 持續改善

　 8.1.1 組織應藉由使用資訊安全政策、安全目標、稽核結果、監控事件之分析、矯正及預防措施及管理階層檢視等方式，持續提升 ISMS之執行效果。

　8.2 矯正措施

　8.2.1 組織應採取行動以減低因建置及運作 ISMS 而發生之不符合事項防止重複發生。

　文件化的矯正措施應定義下列項目之需求：

　a) 辨識建置及運作 ISMS 之不符合事項；

　b) 決定不符合事項之發生原因；

　c) 評量採取確保不符合事項不再發生之措施之需求；

　d) 決定及建置需要的矯正措施；

　e) 記錄採取矯正措施之結果；

　f) 檢視採取之矯正措施。

　章節敘述符合度說明與結果非常尚屬不盡不適用8.3 預防措施

　8.3.1 組織應決定防衛未來不符合事項之行動以防止其發生。

　預防措施應該因其對潛在問題之影響而被重視。

　文件化的預防措施應定義下列項目之需求：

　a) 辨識潛在不符合事項及其可能發生原因；

　b) 決定及建置需要的預防措施；

　c) 記錄採取之預防措施之執行結果；

　d) 檢視採用之預防措施；

　 e) 辨識異動風險及確保重大的異動風險已被注意。

　A.5 安全政策

　 A.5.1 資訊安全政策

　A.5.1.1 資訊安全政策文件

　資訊安全政策文件應由管理階層核准，並以適當方式向所有員工

　及第三方公布與宣導。

　A.5.1.2 資訊安全政策的審查與評估

　章節敘述符合度說明與結果非常尚屬不盡不適用

　資訊安全政策應定期或有重大改變時審查，以確保合乎時宜及其有效性。

　A.6 資訊安全組織

　A.6.1 內部組織

　A.6.1.1 資訊安全管理承諾

　管理當局應透過明確指示、實際作為、詳盡指派及確認資訊安全責任等方式表達對組織安全的支持。

　A.6.1.2 資訊安全協調工作

　應由相關單位代表組成之跨部組織，負責協調資訊安全活動之執行。

　A.6.1.3 資訊安全責任的配置

　所有資訊安全之職責，應明確地加以定義。

　A.6.1.4 資訊處理設施的授權作業

　應建立新的資訊處理設施之管理授權程序。

　A.6.1.5 保密合約

　員工應簽署保密合約以作為其啟始僱用契約的一部份。

　A.6.1.6...

篇六：财务稽核工作底稿

会计师事务所：

　会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：执行人索引号1.了解是否设立审计委员会及其主管部门会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿审核程序四、了解分析被审核单位内部审核设置与工作情况（一）内部审计部门设置、业务范围分析（4）内审底稿的编制和复核2.了解内审部门的部门管辖权限及业务范围3.了解人员配备及职责4.了解内部审核部门不相容职务分工与授权业务流程情况（二）内部审核控制工作分析1.检查年度内审工作（包括发外审计项目）（1）获取内审部门的年度内审情况（2）内部审计执行情况2.内审业务实施（1）内审计划各项目的实际实施时间、人员安排（2）非内审年度计划内审项目的实施授权依据、实施时间、人员安排（3）内审人员与内审项目的独立性评价4.检查内审项目的工作底稿是否完整保存（5）内审报告的起草和审核（6）内审和内审项目相关人员的沟通（7）内审项目完成后对内审意见的落实整改跟踪（8）对完成的内审项目的质量评价（9）部分内部审计项目外包，事先对外包机构的独立性、客观性和专业胜任能力进行评估，事后质量的评价3.内审人员培训计划及其执行

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-10审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：一、基本情况（一）了解内部审核业务制度是否建立（二）了解人员岗位姓名从业年限相关岗位职责说明见二、内部审核部门基本建设风险评估岗位专业技能所属部门岗位职责说明会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿了解内部审核部门基本情况制度名称简要说明

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-20审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：索引号7.内审意见跟踪三、内审人员培训5.内审报告的签发6.内审底稿的归档3.内审报告起草4.内审报告的审核1.现场（非现场）审核2.与相关人员沟通2.计划核准二、内审实施一、内审计划1.计划编制会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿内审业务流程与控制程序说明业务步骤实施部门与关键节点权限说明制度依据

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-30审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：一、主要内审项目情况索引号（对当年内审情况简要说明）20XX年度审计计划及已审项目清单见BB2-1-D-3-1、BB2-1-D-3-2。二、20XX年度内审人员培训情况（详见人力资源内控底稿）三、内审在专项评价中作用了解及分析控制目标结论索引号对内部控制进行专门评价，专门评价的范围和频率适当评价过程是适当的用以评价内部控制系统的方法适当，并合乎逻辑书面记录适当内部审计主要集中于经营责任审计，工作能够降低财务报表重大错报风险内部审计的独立性适当信息系统审计人员能够胜任职责内部审计人员坚持适用的专业准则四、审计结论内部审计部门定期地直接向董事会、审计委员会或类似的独立机构报告。专门评价的范围（包括广度和深度）及频率适当。建立内部审计人员的定期培训制度；建立内部审计自查制度。负责专门评价的人员具备必要的知识和技能；评价人员充分了解企业的活动；评价人员了解系统应当如何运作，以及实际如何运作；评价人员将评估结果与既定标准进行比较并对发现的差异进行分析。评价方法使用核对清单、问卷及其他评价工具；评价小组成员一起设计评价程序，并保证各成员工作的协调；负责管理该项评价工作的高层管理人员具备足够的权威。书面记录评价的过程；审计委员会会议记录中包括评价的记录。内部审计人员定期检查财务信息；内部审计人员定期评价经营效率和经营效果。定期对信息系统审计人员培训，以应对复杂的高度自动化的环境。控制措施了解评估控制过程缺陷培训内容计划安排时间内审人员审批人会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿了解内审工作情况内审项目内容是否发外执行时间备注（执行者）

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-40审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：一、样本属性：1.内审项目编号：________________________________________2.内审项目内容：________________________________________二、审核过程审核要素索引号经办人行为依据部分内部审计项目外包，事先对外包机构的独立性、客观性和专业胜任能力进行评估，事后质量的评价内审报告内审和内审项目相关人员的沟通内审项目完成后对内审意见的落实整改跟踪非内审年度计划内审项目的实施授权依据、实施时间、人员安排实际实施时间20XX/XX/XX到20XX/XX/XX参与人员内审底稿复核人内审报告的起草人内审报告的签发人项目内审实施审核说明审核要素审核说明索引号经办人审核说明索引号核准人行为依据会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿内部审核样本抽查内审计划的编制内审计划的核准

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-50审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：一、实施的审核程序：______________________________二、实施本项审核程序时获取的文件提供者索引号三、内部控制检查要求了解了其内部审计的工作规程与实际工作情况。四、审核测试过程说明与获取的相关证据1.获取并查阅了该部门的有关制度及文件 2.与稽核部门的员工进行了访谈 3.获取并查阅了该部门的20XX年度主要工作的执行情况

　五、分析结论该行的内部审计工作已经有组织有计划的展开。但仍存在以下问题：会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿检查分析测试工作底稿文件名称主要内容

　所属会计师事务所：会计师事务所（特殊普通合伙）被审计单位：

　XXX银行股份有限公司审核员：

　审核员A 日期：

　2013.XX.XX 索引号：

　BB2-4-60审查项目：

　内部审计会计期间：

　2012年度复核员：

　复核员B 日期：

　2013.XX.XX 页次：1.约谈背景：由于该行上年度已经过访谈初步了解，故对本年变化情况作了解。2.约谈记录摘要调查人员：____________________约谈时间：____________________约谈对象：____________________所属部门：____________________职务：____________________约谈目的：了解稽核审计工作情况Q：20XX年度我行稽核审计部的工作职能总体情况有何变化？A：Q：OCR事后监督系统是对结算会计业务的再复核，属于业务控制范畴，是否与监察稽核的对业务控制的评价有冲突？AQ：OCR事后监督系统的全行集中是否完成？A：Q：如何监督员工的个人行为？我们行本年是否有员工严重违规行为。A：Q：我们部门人员流动性如何？培训情况如何？A：Q：本年是否对所有业务条线进行审计？A：会计师事务所（特殊普通合伙）内部控制—内部审计审核工作底稿（一）内部审计部门的关于20XX年度访谈

篇七：财务稽核工作底稿

ull; (一) 稽核工作底稿的概念和一般规定• 内审准则中的定义：

　审计工作底稿，是指内部审计人员在审计过程中形成的工作记录，是联系审计证据和审计结论的桥梁。• 稽核工作底稿是稽核证据的载体，是指稽核人员在执行稽核过程中形成的全部工作记录和获取的资料。

　其内容包括稽核人员在制定和实施稽核计划时直接编制的、用以反映其稽核思路和稽核过程的工作记录，稽核人员从被稽核单位或其他有关部门取得的、用作稽核证据的各种原始资料，以及稽核人员接受并审阅他人代为编制的稽核记录。

　稽核工作底稿的全部内容，是稽核人员形成稽核结论、发表稽核意见的直接依据。

　一、稽核工作底稿

　•稽核工作底稿归稽核部门或稽核项目派出单位所有，由相应的部门或单位保管。

　（所有权、不得用于私有）稽核部门应建立工作底稿保密制度。

　如果内部稽核机构以外的组织或个人要求查阅工作底稿，必须由稽核部门负责人或其主管领导批准但法院负责人或其主管领导批准。

　但法院、检察院和其他有权部门依法进行查阅的除外。

　（不是单独建立制度，二是在你的制度中应有“底稿保密” 文字的描述）检察院和其他有权部

　•(二) 编制和取得稽核工作底稿存在的主要问题。•就全省农村合作金融机构而言，目前稽核部门和稽核人员在形成稽核工作底稿方面存在的问题可归结为以下几点：•1. 对稽核工作底稿的重要性认识不足。

　（用作草稿纸)•2. 稽核工作底稿形成的方式单一。

　（有：

　编制、取得两种）•3. 复核制度未真正形成。

　（做到：

　A、 B角复核）•4. 格式不统一，甚至同一个稽核项目编制类的稽核工作底稿格式五花八门。

　(使用单位便签、文稿纸等代替底稿纸，反映稽核人员工作态度【素质】

　）•5. 编制工作底稿不认真、不规范。

　（编制中：

　字迹不清楚、要素缺少）•6. 保密意识不强。

　（工作中到处存放、检查中使用的电脑资料应删除等）

　•(三) 稽核工作底稿的分类和形式•根据稽核工作底稿的性质和作用，可将其分为综合类工作底稿、业务类工作底稿和备查类工作底稿三类。•1. 综合类工作底稿：

　是指稽核人员在稽核计划和稽核报告阶段，为规划、控制和总结整个稽核工作并发表稽核意见所形成的稽核工作底稿。

　该类工作底稿主要包括稽核计划、稽核报告书未定稿、稽核总结及稽核调整分录汇总表等综台性的稽核工作记录。•2. 业务类工作底稿：

　是指稽核人员在稽核实施阶段执行具体稽核2. 业务类工作底稿：

　是指稽核人员在稽核实施阶段执行具体稽核程序所编制和取得的工作底稿。

　该类工作底稿主要包括稽核人员在执行预备调查、符合性测试和实质性测试等稽核程序时所形成的工作底稿。

　（指：

　现场检查，目前使用的内控制度审计（符合性测试）

　；单位内部控制制度是否起到应由的内部控制作用)•

　• 符合性测试和实质性测试。

　是内部控制测试的两种方法。• 符合性测试，是针对被稽核单位的内部控制设计和执行是否有效所进行的检查和验证。

　有业务测试和功能测试两大基本类型。• 业务测试是指采用顺查或逆查的方法对某项经济业务的整个流程或程序所采取的一切控制措施进行审查，其目的在于揭示这些控制措施是否都在发挥控制功能，其发挥的程度和效能如何。

　例如对贷款业务进行测试是从授权授信和借款人申请，进行贷款调查和贷款审批开始，一直到签订借款合同，将贷款发放出去进行贷后管理，发生逾期拖欠直至最终收回贷款本息或作为损失进行核销为止，要按照贷款业务处理的有关程序进行系统审核。•

　• 功能测试是指对某项控制措施是否一贯地被有效执行所进行的测试，以明确该控制措施是否有效执行。

　例如：

　对单位活期存款账户的定期对账这一控制措施进行测试，就需要对行社向客户发送的“余额对账单” 等有关文件进行抽样，然后将样本与开户单位鉴送的“对账回单” 相核对，以确认这项控制措施是否被有效执行。实质性测试实质性测试。

　是对被稽核单位内部控制发挥作用的结果是对被稽核单位内部控制发挥作用的结果•或者说是对内部控制的实际效能所进行的检查和验证。

　通过实质性测试，主要了解和掌握内部控制是否真正起到了应有的控制作用，控制目标是否真正实现等。

　实质性测试有细节测试和分析性复核两大基本类型。

　•细节测试也称详细测试。

　具体包括交易的细节测试和余额的细节测试。

　交易的细节测试是通过检查交易过程涉及的文件和会计记录来审核各笔交易的真实性和恰当性。

　余额的细节测试是直接查证账户余额。

　交易的细节测试和余额的细节测试的区别在于交易的细节测试是为了审定某一笔交易的正确性，而余额的细节测试是为了审定某一个账户余额的正确性户余额的正确性。• 分析性复核。

　主要是通过分析复核各种财务会计数据和非财务会计数据之间的关系所进行的测试。

　在实质性测试中运用分析性复核技术，往往以五种比较关系为基础。

　这五种比较关系是：

　• (1) 本期财务会计信息与前期财务会计信息的比较；• (2) 本期财务会计信息与预测则务会计信息的比较；• (3) 本单位财务会计信息与同行业财务会计信息的比较；• (4) 财务会计信息各构成要素之间的比较；• (5) 财务会计信息与相关非财务会计信息的比较。分析性复核的有效运用，将会使稽核结论更加可靠、分析性复核的有效运用将会使稽核结论更加可靠更加准确，因此，随着计算机的广泛使用及稽核人员在财务分析技术上的加强，分析性复核必将在稽核实务中得到更广泛使用。

　• 符合性测试和实质性测试的联系。符合性测试的结果，对实质性测试的影响很大。

　若符合性测试被认为好的方面，可以缩小实质性测试的范围和数量。

　相反，则要扩大实质性测试的范围和数量。

　因此，实质性测试是在符合性测试之后进行的，是符合性测试的继续、深入和发展。另外另外，需要说明的是，在稽核实务中，符合性测试和实质性测试在每次的稽核过程当中总是自觉或不自觉地混合、交替运用的。需要说明的是在稽核实务中符合性测试和

　• 3. 备查类工作底稿：

　是指稽核人员在稽核过程中形成的，对稽核工作仅具有备考作用的稽核工作底稿。

　该类工作底稿主要包括与稽核事项有关的重要法律性文件、重要会议记录与纪要、重要经济合同与协议、章程等原始资料的副本或复印件。• 按照稽核工作底稿形成的方式，可将其分为编制的工作底稿和取得的工作底稿。• 稽核工作底稿的形式：

　可以是纸质、磁带、磁盘、胶片或其他有效的信息载体。

　无纸化的工作底稿应制作备份。

　• (四) 稽核工作底稿的作用•稽核工作底稿是稽核人员实施稽核检查时普遍使用的专业工具。

　编制或取得稽核工作底稿是稽核人员最主要的稽核工作。

　稽核工作底稿的主要作用表现在以下几个方面：•1.

　是联结整个稽核工作的纽带。•稽核项目小组一般由多人组成，项目小组内要进行合理的分工，不同的稽核程序、不同会计账项、经营管理事理的分工，不同的稽核程序、不同会计账项、经营管理事项的稽核往往由不同人员执行。

　而最终形成稽核结论和发表稽核意见时，则主要根据稽核目的综合评价。

　因此，必须把不同稽核人员的稽核工作有机地联结起来，以便对整体性发表意见，而这种联结必须借助于稽核工作底稿。•

　•2.

　是稽核人员形成稽核结论、发表稽核意见的直接依据。•稽核结论和稽核意见是根据稽核人员获取的各种稽核证据，以及稽核人员一系列的专业判断形成的。

　而稽核人员所收集到的稽核证据和所做出的专业判断，都完整地记载于稽核工作底稿中。

　因此，稽核工作底稿理所当然地成为稽核人员发表稽核结论与提出稽核意见的直接依据。•

　•3、证实稽核人员是否尽职，是解脱或减轻稽核人员的稽核责任，评价或考核稽核人员专业能力与工作业绩的依据。•稽核人员依照稽核工作操作规范的要求，实施了必要的稽核程序，方可解脱或减轻其稽核责任。

　稽核人员专业能力的大小、工作业绩的好坏，主要体现在对稽核程序的选择、执行和有关的专业判断上，而稽核人员是否实施了必要的稽核程序，稽核程序的选择是否合理，专业判断是否准确都必须通过稽核工作底稿来体现和衡量。•

　•4.

　为稽核质量控制与质量检查提供了可能。•稽核部门进行稽核质量控制，主要是指导和监督稽核人员选择实施稽核程序，编制稽核工作底稿，并对稽核工作底稿进行严格复核。

　稽核主管部门或其他上级有关单位或部门进行稽核质量检查，也主要是对稽核工作底稿的检查。因此，没有稽核工作底稿，稽核质量的控制与检查就无法落到实处。•5.

　对未来的稽核业务具有参考备查价值。•稽核业务有一定的连续性，同一被稽核单位前后年度的稽核业务具有众多联系或共同点。

　因此，当年度的稽核工作底稿对以后年度稽核业务具有很大的参考或备查作用。•6. 有利于提高稽核人员的专业素质。

　•(五) 稽核工作底稿的基本要素•(1) 被稽核单位名称(宜细不宜粗) ；•(2) 稽核项目名称；•(3) 稽核实施日期；•(4) 稽核过程记录，包括稽核查证的主要事实及其来源，计算和分析的结果、认定事实的依据；•(5) 编制者姓名；•(6) 复核者姓名及复核日期；•(7) 索引号及页次；•(8) 其他应说明事项。• 稽核工作底稿基本格式示例：

　稽核工作底稿编号：

　（按小组编）被稽核单位稽核日期稽核人员复核人稽核项目或内容事实描述：被稽核单位有关人员签字：

　（不作为要求）

　• (六) 形成稽核工作底稿的原则和要求• 1. 形成稽核工作底稿应坚持的原则• (1) 实事求是的原则。

　稽核工作底稿必须真实反映稽核工作实施过程和检查结果，严禁弄虚作假、任意扩大或缩小。• (2) 质量至上原则。

　稽核工作底稿记录的数据、资料、事实、证据必须精确、完整，能在进行稽核评价、撰写稽核报告时运用。• (3) 讲求时效的原则。

　稽核工作底稿是稽核实施阶段和文字性总结，同时也是稽核报告的前提，因此必须在稽核人员进行稽核核查、核对、分析时及时完成，否则将影响实施阶段的工作进度和整个稽核工作进程。•

　• (4) 讲求规范的原则。

　稽核工作底稿作为书面文件，必须合乎规范，这样都能反映稽核实施阶段的工作业绩，才能为撰写稽核报告提供可靠有效的依据，同时也为复查稽核结论、总结稽核工作提供准确、完整的资料。

　• 2. 形成稽核工作底稿的要求。• 稽核工作底稿的形成方式有编制与获取两种，对稽核工作底稿的基本要求也应从这两方面来认识。•（ 1）

　编制稽核工作底稿的基本要求•要扭转稽核工作底稿就是工作草稿的错误认识。

　稽核人员在编制稽核工作底稿时，应当做到内容完整、格式规范、记录清晰、结论明确，客观反映项目稽核计划与稽核方案的制定及实施情况并包括与形成稽核结论方案的制定及实施情况，并包括与形成稽核结论、评价和建议有关的所有重要事项。

　应便于其他有关人员在复核、检查或使用稽核工作底稿时，能够理解和接受稽核工作底稿的内容。（稽核底稿是提供别人看的）评价和•稽核工作底稿应注明索引编号和顺序编号。

　相关工作底稿之间如存在勾稽关系应予以清晰反映，相互引用时应交叉注明索引编号。

　• (2) 获取稽核工作底稿的基本要求•稽核人员可直接从被稽核单位或其他有关单位取得稽核工作底稿，也可以要求被稽核单位有关人员代为编制有关会计账项的明细分类或汇总底稿，甚至可以要求被稽核单位就有关事项提供声明，诸如从被稽核单位取得的有关法律性文件、合同与章程，从与被稽核单位有往来关系的对方单位获取的往来款项询证函，要求被稽核单位编制的盘点清单等。

　对于上述稽核资料，稽核人员必须做到：盘点清单等。

　对于上述稽核资料，稽核人员必须做到：• ①注明资料来源；• ②实施必要的稽核程序，如对有关法律性文件的复印件审阅并同原件核对一致；• ③形成相应的稽核记录，稽核人员在审阅或核对后，应形成相应的文字记录并签名，方能形成稽核工作底稿。（复印件应由被稽核单位注明此件与云间相一致后盖章确认）

　• (七) 稽核工作底稿的复核•1、稽核工作底稿复核制度与复核的作用•一张稽核工作底稿往往由一名稽核人员独立完成，编制者对有关资料的引用、对有关事项的判断、对会计数据的加计复算等都可能出现误差。

　因此，在稽核工作底稿编制完成后，通过一定的程序，经过多层次的复核显得十分必要。

　稽核部门应结合本部门实际情况制定出实用有效的复核制度。

　所谓稽核工作底稿复核制度，就是稽核部门对有关复核级别、复核程序与要点、复核职责等做出的明文规定。

　稽核部门负责人对稽核工作底稿的复核负完全责任。•

　• 稽核工作底稿复核的作用主要体现在以下三方面：•（ 1）

　减少或清除人为的稽核误差，以降低稽核风险，提高稽核质量；•(2) 及时发现和解决问题，保证稽核计划顺利执行，并能够不断地协调稽核进度、节约稽核时间、提高稽核效率率；•(3) 便于对稽核人员进行稽核质量监控和工作业绩考评。

　•2.

　稽核工作底稿的复核要点•（ 1）

　所引用的有关资料是否翔实、可靠；•(2) 所获取的稽核证据是否充分、适当；•(3) 稽核判断是否有理有据；•(4) 稽核结论是否恰当。

　• 3. 稽核工作底稿复核的基本要求•(1) 稽核工作底稿的复核应由比工作底稿编制人员职位更高或具有丰富经验的...

推荐访问:财务稽核工作底稿底稿稽核财务