审计业务范围
如前所述,审计业务程序帮助内部审计师实现审计活动目标。同样的,审计活动目标和程序细化了审计业务范围。审计业务范围确立了内部审计的界限。本质上,审计业务范围就是具体说明了内部审计师将要检查什么活动和不会检查什么活动。审计业务的范围应该根据审计业务的目标来确定,应能足以实现审计业务目标。根据上述的内部审计目标,审计业务范围一般包括组织的治理、经营及信息系统,应考虑到相关的系统、记录、人力及包括受第三方控制的实物财产。如果内部审计师在开展工作时对业务范围有保留,应与被审计单位就这些保留进行讨论,决定是否继续进行审计工作。审计业务范围的大小与被审计单位的信息系统或经营系统本身及所要求的审查深度有关。如在对内部控制系统的审计中,审计业务范围可以包括:
■对内部控制系统的恰当性进行审查。确定现有的系统是否能提供适当的保证,使企业组织的任务和目标能高效、经济地实现;
■审查内部控制系统的有效性。确认该系统能否如预期的那样起作用;
■对执行效果进行审查。确认组织的任务和目标是否已经完成。
在对公司财务部门局域网的安全性审计中,确定审计范围时,除局域网安全性外,也应考虑公司其他应用敏感数据的局域网的安全程度。
范围的陈述还应该包括审计工作性质和程度的描述和相关信息如已经审阅过的时间段。
范围的局限性
在第一章第二个问题“保持独立性和客观性”中讨论过,内部审计活动中任何限制其完成审计业务的限制都要进行沟通,最好以书面的形式报送董事会、审计委员会和其他相关管理机构。