从事IT内部审计已经3年多了。国内IT审计可以说刚刚起步，可以借鉴的地方太少。在这我整理了一下3年内审工作的心得，希望能给大家有所帮助。

一、内审存在的意义

当组织已经建立了环境管理体系，并按规范进行运行，则必须同时建立定期审核制度，以确定体系是否符合计划安排。如果没有一个内部审核环节，体系运行就不能保持或改进。所以内审起到的是监督和审查的作用。

二、审核工作基本步骤

审计工作大致有以下几个步骤：

1. 审核计划

2. 启动审核

3. 文件审核

4. 现场审核准备

5. 现场审核

6. 审核报告

7. 完成审核

8. 审核跟踪

三、审核计划，

内审人员在审计工作启动前应做好审核计划，审核计划应包括：

1. 审核目标和范围

2. 审核标准

3. 被审核的组织或职能部门

4. 流程的结构、顺序和关系

5. 需要会见的关键人员

6. 关注或高优先级（风险）

7. 区域参考文档（程序、许可等）

8. 开发工作文档

9. 审核组成人员

已个人经验而言，在审计前最好再做一份审计底稿，预先罗列出所关注的问题。审计底稿能帮助审计人员关注焦点问题，确保不会遗漏问题。同时也助于提问的连贯性及对时间的掌控。审计底稿是可复用的。

四、启动审核

发起内审的起始会议，会议应包括以下内容：

1. 介绍

2. 确认审核目标、范围和标准

3. 确认关注区域

4. 确认审核计划

5. 协商会议时间和参加人员

6. 阐述报告的方式

由主任审核员主持，而不是被审核组织，作为主任审核员应掌握和维持整个会议的主导权。

五、文件审核

文件审核的目的是审核公司的制度文件与标准文档要求是否一致，若公司制度文件与标准向冲突，则将开出不符项的审计建议。

六、现场审核

现场审核包括

1. 面谈

2. 抽样

3. 观察

4. 收集数据

七、审核报告

现场审核完毕后，将审计发现的问题归纳总结，出具审计报告。审核发现大致分为3类

1. 重大不符合项：

a) 未执行或不符合一个或多个标准制度适用的控制要求

b) 造成系统性或区域性严重失效的不符合

c) 可能造成严重后果的不符合事项

2. 轻微不符合项

a) 孤立的人为错误

b) 文件偶尔未被遵守，造成后果不太严重

c) 对系统不会造成重要影响

3. 观察项或建议项

a) 证据稍不足，估计存在问题，需提醒注意

b) 已经发现问题，尚不构成不符合，但发展下去有可能成为不符合

c) 其他需要提醒被审核方注意的事项

八、完成审核

主任审计员发起内部审计结项会议，会议内容包括：

1) 审核情况通报

2) 审计发现通报

3) 审计关闭时间要求

会后，被审核部门应对审计发现提交辩解和整改时间。

九、审核跟踪

内审工作完成后，审核人员应依据对方许诺关闭审核发现时间点，对不符项进行审核跟踪，从而关闭不符项。

希望以上内容能对大家有所帮助

本文出自 “标准的力量” 博客，谢绝转载！

IA 相关文章： IT内审那点事之审计技巧