第一步,确定审计目标。确定审计目标应先与内部审计部门经理研究并征得其同意,再与小组成员讨论,使其清楚了解该次审计的目的。一般地,大部分审计目标都旨在验证每一项内部控制及其有效运作的程度,看各个内部控制目标是否实现。为了实现控制目标,管理当局设计了比较详细的内部控制程序,它是管理审计的标准,依据这些标准,依据这些控制程序和控制目标的相关关系,可促进管理审计师更好地认识他所审核的部门,提高管理审计的质量。 第二步,了解所要审核的单位或领域,尤其是新的或特别复杂的单位或领域。其信息来源包括:以往的审计报告、行业公报、部门手册或与对该单位审计有经验的专家讨论等。风险评估是这一步骤的重要工作,通常包括被审计单位的先天固有风险和可察觉的风险。要评估风险并了解内部控制的水平,必须了解被审计单位的内、外部环境限制。所谓内部环境限制系指被审计单位目前的管理、财务及营运情况;外部环境限制则包括行业现状、法律法规以及被审计单位的报告责任等。除风险评估外,还应对被审计单位作一般性了解,其资料来源包括:初步的观察与询问、与管理当局的公开讨论、研读过去的审计报告、其他非正式来源等。 第三步,编制审计计划和审计进度表。当审计目标与可能的审计风险都明确后,即可确定审计范围、编制审计时间预算和人员预算、给审计小组成员分派工作。明确的审计目标不仅是审计小组成员之间沟通的工具,更是提高管理审计效率和效果的关键因素。 第四步,收集并记录现有控制情况。审计师熟悉了审计主题后,应集中关注内部控制;而要评价现有内部控制的可靠性,必须先确定控制良好的各个营运部门所应该具有的控制。在大多数情况下,用流程图比较合适。流程图能包含更多的信息,且能更清楚地说明:现有的控制情形、潜在的风险区域以及遗漏某些控制之处。 第五步,检验现有控制的可靠性。首先要设计适当的检验程序,并在审计计划中作清楚的说明,包括详细的审计步骤、进行控制测试的目的以及如何针对个别控制加以检查。每个检验控制的步骤应包括四项内容:①对与被审计单位有关的一般控制的目标加以定义;②对所要审核的控制制度及所采取的审核步骤加以说明;③对所采用的个别审核检验目的加以介绍;④对检验结果所将产生的审计工作底稿加以描述。 第六步,比较实际控制系统与理想控制系统,找出被遗漏的控制。比较可以分阶段进行。首先,用公司政策、经营手册、会计准则、政府的法律法规等作标准,来评判实际控制系统是否适当;此后,再用内部控制标准、行业公报、审计理念、审计师的知识与经验,对实际控制系统的适当性进行评估。这是整个管理审计过程中最困难也是效益最高的工作。 第七步,评估控制系统。当审计师发现内部控制的缺陷之后,他们应决定这些发现所带来的影响。管理审计师应以管理者的高瞻远瞩和成本效益原则为基础来评估内部控制系统。若审计师能做出既能改进营运及相关控制环境、又符合成本效益的评估,便达到了审计的目的,并可对公司的整体效益作出贡献。 第八步,结束现场工作,提出审计报告。审计报告应涵盖审计全过程。初步审计的发现与期中审计备忘录可于期中会议时告知被审计单位,这些文件可作为与被审计单位沟通的工具。此种形式的报告有四个优点:①使被审计单位可随时了解所发现的问题;②可促进被审计单位与审计小组间的沟通;③迫使审计师充分利用其发现;④大大简化正式报告的撰写。每一份报告应包括:审计的发现、潜在的问题、被审计单位对审计师的发现及意见的答复,根据其答复,即可形成整体性结论。一般说,审计的发现应包括四个基本要求:①所发现且存在于被审计单位的实际情况;②应存在于被审计单位的理想情况;③所发现的缺陷及其可能的影响;④产生缺陷的原因。将这些项目融合于初步审计发现中,可使管理当局易于了解因而有助于沟通。审计报告是审计小组提供给管理当局惟一可见的有形产品,审计部门的业绩也主要取决于审计报告的质量。