党建
在内部审计或CIA/CISA考试中,写审计程序看似简单,实则暗藏门槛。
不少审计人误把观察、检查、询问当作万能词,却忽略了一个基本前提:
你看到的是什么,就决定你怎么取证。
你想验证什么,就决定你怎么设计程序。
今天从审计证据类型出发,系统掌握程序三要素的设计逻辑,解决在考试、实务和沟通中反复踩的雷。
01审计证据类型决定了你的动作词
根据IIA《内部审计实务标准》,审计证据应具备充分性与适当性。而适当性的关键,是获取正确类型的证据来支撑你的测试目的。
| 证据类型 | 来源 | 动作词 | 示例 |
|---|---|---|---|
| 文件证据 | 文档、报表 | 检查 | 发票、登记簿、制度文件、记录表 |
| 实物证据 | 实体、现场 | 观察 | 门禁设备、仓库、生产线 |
| 口头证据 | 人员陈述 | 询问 | 仓管员、操作员、管理层 |
| 分析证据 | 数据与数值 | 分析/重算 | 入库数量、成本差异、温度日志等 |
📌 提示:
不要看文件写观察,听员工说写检查——证据类型不匹配,程序就无法有效获取你需要的证据。
02写程序,牢牢记住“动作 + 对象 + 目的”
一个合格的审计程序 = 动作(How)+ 测试对象(What)+ 测试目的(Why)
🔍 举例:
观察(How)门禁系统操作(What),以确认仅授权员工可进入车间(Why)
检查冷藏库温度记录(What),以验证温控产品是否维持在规定温度内(Why)
📌 缺少动作 = 无法执行
📌 缺少对象 = 不知干什么
📌 缺少目的 = 不知为何做、结果难解释
03典型控制点的程序写法示例
以下内容来自制造企业的控制自评问卷,审计人员需设计相应的测试程序。现依照证据类型,匹配审计动作,构建专业表达。
✅ 控制点1:车间是否限制出入?(回答:是)
控制目标:防止无授权人员进入
可选程序:
观察门禁操作过程,以确认指纹识别系统阻止未授权员工进入;
检查门禁访问日志,以验证进入记录是否与授权名单一致;
询问安保人员,以了解是否核实身份及处理异常流程。
📌 推荐组合:观察 + 文件检查,可构成交叉验证。
✅ 控制点2:原材料是否分区标识存放?(回答:是)
控制目标:避免混料或交叉污染
可选程序:
实地观察原材料存储区域,以确认分区与标识是否清晰一致;
检查物料清单及库位图,以核实是否符合制度要求;
询问仓储人员,以了解其分区规则与实际执行情况。
✅ 控制点3:易腐品是否在冷库中储存?(回答:是)
控制目标:维持产品质量,防范风险
可选程序:
检查冷藏库温度记录,以验证温度是否在设定范围;
观察冷库运行状态,以确认系统是否正常;
询问仓储负责人,以了解对异常温控的应对机制。
📌 补充建议:如有系统数据,可分析温度趋势图,判断控制是否持续有效。
✅ 控制点4:设备每日清洁并登记?(回答:是)
控制目标:保障生产卫生
可选程序:
检查清洁登记表,以确认是否每日签字、无遗漏;
观察设备现场清洁状态,以判断是否按规定执行;
询问清洁人员,以了解其执行频率与流程。
📌 高阶做法:抽样某周记录,与当日观察结果进行比对,验证制度执行与记录一致性。
04从动作词到审计策略的跃迁
一组程序不仅是单一动作的堆砌,更是对控制目标达成情况的系统验证。程序设计需反映以下三点能力:
-
识别控制目标(与COSO控制活动/流程目的对应)
-
匹配适当的审计证据类型(与控制特征一致)
-
设计具有说明力的程序表达(能被执行、能被解释、能被报告)
当你能清晰回答:
我要验证的控制点是什么?
最能支撑结论的证据类型是什么?
用什么动作能取到这类证据?
你的程序才不是动作词 + 主体,而是一个完整的、结构化的控制测试逻辑。
📌程序不是动作堆砌,是判断的结果
许多考试、评审、复盘中不合格的审计程序,问题不在语法,而在“看错了控制,找错了证据,用错了动作”。
真正合格的程序背后,是对控制目的的理解、对证据类型的判断、对程序逻辑的掌控。
你不只是要写出“检查发票”,
你要明白为什么检查、检查什么、怎么判断它合不合格。
97046009
