各报表项目的审定表、明细表和其他工作底稿的关系如何？

基本过程可以分为规划、实施、运行和后评估等四个阶段。

规划阶段可以分为信息化战略规划、信息化规范规划、需求管理、项目立项与可行性分析；

“信息化战略规划”是在诊断和评估企业信息化现状的基础上，制定和调整企业信息化的指导纲领，争取企业以最适合的规模、成本去做最适合的信息化工作，其目的在于研究企业的信息化战略如何与企业的业务发展战略进行匹配；

“规范管理”主要从技术、业务、管理等层面对信息化建设进行具体的实施指导，规范建设行为；

“需求管理”是对企业各个层次的管理者、业务部门和最终用户的业务需求进行整理汇总，实现企业业务战略向信息化流程的转变，形成的信息化流程及相应的软件准确实现对企业发展的支撑；

“项目立项与可行性研究”是从技术、经济、管理和开发环境等四个方面着手，研究项目的可能性和必要性；

实施阶段分为IT投资预算管理、设计方案管理、工程实施管理、验收管理；

“IT投资预算管理”与“设计方案管理”一起，共同对可行的信息系统建设的需求进行资金和各类信息资源的设计和管理；

“设计方案管理”不但设计好信息系统实施的各类软、硬件系统，还要设计对应的各个岗位的人力资源角色，为“培训管理”奠定需求的基础，同时它还要设计出对应用系统生产过程控制的测试用例和时间资源进度表；

“设备采购管理”是在“设计方案管理”和“信息化投资预算管理”完成之后，与“工程实施管理”一起共同完成信息系统的建设，但它侧重的是现成设备、软件和服务的采购。“供应商合作伙伴关系管理”为它提供评价和选择；

“工程实施管理”分为两个部分：首先是试验公司的工程实施，之后是“验收管理”的实验公司测试、上线、试运行和终验。在“工程实施”过程中，“需求分析管理”的维护阶段要对需求变更进行版本控制和风险评估，与业务需求提供部门进行协商，保证信息系统实施按期、保质的顺利进行。在工程实施的过程中需要根据“信息化规范管理”保证工程质量。在工程实施过程中，要依据“供应商/合作伙伴关系管理”对厂商进行信用度评估；

“验收管理”与“工程实施管理”进行交互，要依据设计方案管理提供的文档，按信息化规范管理进行验收控制，为“服务支撑”提供完整的信息系统。在验收工作过程中，要依据“需求分析管理”的需求维护，对信息系统进行需求变更，但一定要与企业各个层面进行有效沟通，进行风险评估，以取得各方面的利益平衡；

运行阶段分为服务台管理、服务支持和服务交付管理；

“服务台管理”建立服务台，统一服务标准，统一服务入口，对服务的工单进行监控、考核，并建立服务支撑系统，对服务请求进行电子化管理；

“服务支撑管理”在配置管理的基础上，确定问题管理、故障处理等流程，同时建立各项维护制度；

“服务提供管理”采用服务等级管理SLA的管理理念，实现可用性、能力、持续性等管理，建立维护知识共享数据库，从而保证企业发展的顺利进行；

后评估阶段包括后评估管理。

“后评估管理”是在总结信息系统运行情况下，为下一轮的“信息化战略规划管理”提供数据，依据是“服务支撑”和“服务提供”提供的各类资料，并在运行阶段、依据“需求分析管理”中的需求维护，提出在下一版本信息系统建设中的改进意见。

要让所有的事情都去掉主观性是很困难的，但是实践和经验可以提高项目经理预测风险的概率和影响的能力。通常的风险评估过程都由以下六个基本步骤构成。评估所有的方法。所有不同的方法都应该考虑到，所有影响风险的因素都必须考虑。头脑风暴法或其他的风险识别方法应该使用得透彻，所有可能影响风险发生的因素都应该考虑到。考虑风险态度。决策者的风险态度是需要重点考虑的。不同的人会用不同的态度估计风险，并且使用同样的数据做出不同的决定。一些决策者，与其他的决策者相比较，或多或少是厌恶风险的，并且会根据给定的数据，对风险的发生和影响做出不同的主观评估。考虑风险的特征。风险是否已经识别、它们是否可控和它们的影响将会怎样，这些都是需要考虑的。控制已经识别(例如内部可控的)的风险而不是其他的(例如外部不可控的)风险，这是可能的。所有可能的风险特征都需要识别。建立测量系统。风险需要用定量或定性(或综合的)方法测量和评估。一些方法是使用已经建立的模型，这些模型输入了风险的特征和风险面临的情况，这样，根据历史经验就可以做出预测。解释结果。测量中生产的数据需要解释。这种解释同样也有定性的或定量的。测量过程的结果给预测和可能的结果提供了一种暗示，但是这些仍需要解释。两个不同的解释人员可能用的是同样的数据和结果，但他们所做的评价却不相同。解释可能会根据观察到的数据用外推法对未来的结果做出预测。做决策。整个过程的最后阶段需要决定哪些风险会保留，哪些风险要转移出去。风险是否保留取决于组织的实际情况和决策者的态度。

国内会计事务所审计工作底稿可能存在的常见问题（管理方法论系列）

一、计划审计阶段 1、无具体审计计划

目前的底稿基本没有编制具体审计计划，中注协底稿编制指南的目录中并具体审计计划。《中国注册会计师审计准则第1201号－计划审计工作》第十三条，注册会计师应当为审计工作制定具体审计计划。实际上，该部分工作并不实没有来源，实际上就是风险评估和内控测试，以及针对上述所提出的应对程序。

2、重要性水平

重要性水平的计算无过程。

重要性水平未分配或者分配的标准未说明。合并报表的重要性水平分配至各成员单位，单个公司的重要性水平未分配至账户。

3、内控测试的样本量不够

内控测试的样本量太少（就3-5个样本），有些基本上是穿行测试的量。

4、风险评估的程序，仅有结果，没有相关底稿 二、执行审计工作阶段（含审计程序和底稿） 1、底稿要素不全

底稿的要素包括：单位名称、项目名称、审计项目时点或期间、审计过程的记录、审计结论、审计标示及说明、索引号及编号、编制人的姓名及日期、复核人的姓名及日期、其他应说明事项。

单位名称张冠李戴。

编制人（含复核人）和日期随便复制。

审计标示和审计过程的记录基本没有，有的甚至没有结论，没有一个汉字（成了全阿拉伯数字底稿）。

仅编号无索引。

时点期间不分。

有的审定表直接复制科目余额表，不加工。期初期末余额借贷方分别列示、科目级别含混不清，加计复核只是形式。

审计说明和审计结论不分。

2、底稿无审计说明

审计底稿无说明，虽然不是普遍现象，但也不是个别现象。

即使是一些不重要的科目，总账、报表、明细账核对一致总要写一句。

对销售收款循环的相关项目底稿，要求对公司的销售产品、销售模式、结算特点，对客户的信用是否有相关的评估机制和办法进行必要的简短说明。

对生产采购循环的相关项目底稿，也要求有必要的说明，比如成本结转方法等等。

对相关项目所采取的审计程序以及结论的简要说明。

甚至一些底稿，连结论都没有。即使一些不重要的项目，明显在重要性水平之下，也要写上直接确认或者认可的理由，这说明了一个审计的逻辑过程。

有些检查底稿的第5项也打“√”，但第5项是什么意思呢？第5项是根据实际情况的说明，或者是不符事项的说明。

3、索引，索引，索而不引

索引的问题，是一个非常普遍的现象。一般只有项目引导表上有索引号，对项目里一些支撑的底稿的索引层次不明。

调整分录的调整的数字来源没有索引。

调整分录汇总表上的调整分录没有与底稿之间进行索引。有的甚至直接在调整分录汇总表上进行调整。引导表上的调整数字来源于调整分录汇总表。

4、底稿中的说明与结论不符

底稿中的说明与最后的结论不符，比如在说明中说有些账款估计无法收回，但最后的坏账准备结论中没有对此做出反映。有些虽然说过后已经解决，但相关的说明没有更正，或者没有将解决疑惑相关记录下来。

这种问题的性质说大，很严重。如果相关的公司不存在这样的问题，那是底稿的编制不严谨，如果公司确实存在这样的问题，那给其他人如监管机构来看的话，就是故意作假，替公司隐瞒。

5、对获得的资料没有必要的整理分析

有些审计证据，直接装订。不知道用途、不知道内容，没有任何说明。

对这样一些资料，起码要看一遍，对需要以上级别的人注意的，要注明标示，如果相关资料涉及到特殊业务，在审计说明中需要简要介绍所获得资料的简要内容。

6、审计调整分录的原因和数字交代不清

底稿中经常出现一个孤零零的审计调整分录，原因也不知道，调整的数字来源哪里也没有索引。

7、部分审计工作记录

千万记住“NO MARKED,NO DONE”。

项目组的讨论无记录。

管理层治理层的沟通无记录，与独立董事、审计委员会的沟通并非管理层的沟通。

因此我们审计过程获得的任何信息，都要适当的方式记录于工作底稿。

也许有人说，有些内容并不适合记录，因为不支持审计结论。但这个问题并非大多数审计人员考虑的问题，大家不要过早的考虑底稿的取舍问题，这样不便于大家形成上述思想。

8、底稿的阅读对象是谁？

底稿的所有权是事务所的，但底稿的阅读对象是谁？是除了项目组之外的其他人。

我们底稿的最高目标是，具有一定专业水准的人员仔细看了底稿之后，所获得的结论和信息和你一致。当然，这是一个很难达到的目标，但我们要以这为目标。当你不明白相关内容该不该记录在底稿上的时候，你问一下自己，项目组之外的人看了能明白吗？

9、独立函证

既要实质独立，也要形式独立，这也是证券市场公开、公平、公正之外还要公信一个道理。

我相信我们函证，特别是银行函证是独立的。但我们自己相信有用吗？我们要以诉讼中可以质证的证据证据来证明我们的独立性。就目前函证上的记录来看，我们是证明不了的。

关于银行函证，建议大家在现场拿到函证的时候，我们的函证人员签署姓名和日期、时间。

关于用网上银行的页面截屏结果打印，是否可以代替独立函证。根据《函证》的要求，注册会计师应当对银行存款、借款（含零余额和本期销户的）及金融机构往来的其他重要信息实施函证。应收账款应该函证，除非不重要或者无效。在目前监管机构不认同银行函证的替代程序，因此还是尽量去函证。

应收款独立函证的基本要求：独立发函、独立收函。要保留函证地址汇总表、要保留函证的相关邮资证明、要保留客户直接回函的信封表面。如果是传真，应该要求不经过被审计单位的传真机。对回函有差异，一定要跟踪、一定要说明。发函前要保留发函的复印件，收到后再替换复印件。PS 目前国内大型会计事务所基本上都已设立了“函证中小”专门负责事务所各项目的函证工作

10、盘点

目前盘点，不管是基准日盘点还是期后盘点，对盘点后的程序不够重视

有些底稿盘点表上没金额，存货明细表上没有数量，这到底能证明什么？

对实物资产除了验证其实物存在性，还有验证其金额的正确，但存货的金额正确是基于一种会计处理方法。因此对实物资产的审计要将盘点和验算结合起来。很多程序是盘点了A，验算了B，结果是A和B都没有达到审计目标。

11、贷款卡、征信报告，仅收集了事？

贷款卡、征信报告的收集和分析，在监管当局来看是很重要一个程序。目前仅是收集了事。

收集完贷款卡、征信报告，贷款要与账面核对，核对的过程要形成记录。

对外担保特别要与公司确认，如果有些贷款贷款卡、征信报告上反映的担保实际已经解除，需要进一步的审计程序，包括函证。

12、样本选取的标准不明确

这是监管当局所提最多的一个问题。

不管怎么选取，要求要将抽样标准写上。

13、何谓替代测试

什么是替代测试或者说是替代程序？替代程序＝“抽凭”？，这个理解连目前的审计软件都列了抽凭的功能。

应收款函证的替代程序，目前最大的问题，将其与真实性抽查混为一潭。应收款函证的替代，应针对单个项目，测试其期初余额，本期借贷方，如果上述两点都正确，推定期末余额正确，但应收款函证的替代是否只有这一种？其实期后收回货款也是一个极好的替代程序。

银行存款的函证的替代，在审计准则上是否允许替代，但万一函证程序无法实施，怎么替代？比如现场打印对账单、网银截屏打印等，但要把这个过程清楚明白记录下来。

14、其他特殊项目的程序和底稿都不足

舞弊风险的评估严重缺乏

对违反法规的事项评估不足

15 现金流量表没有底稿 16 管理当局声明书模板不对 17、截止性测试严重不足 三、审计完成阶段 1、审计程序表千篇一律

T年度审计底稿中，程序表都是一起打印的，与实际执行的程序，存在出入。T+1年度审计如何解决这个问题？

2、项目组的沟通记录不全

项目组对审计完成阶段记录基本没有，对总体报表判断的评估也没有。

3、审计不符事项没有汇总

在信息化实施过程中，风险不仅仅来源于企业，信息系统的实施方也是导致风险产生的一个重要来源。在实施的不同阶段，从开始到结束，实施方的消极态度会直接导致项目的失败。

"诚实的自我评估、确定目标并向着目标稳步前进，所有这些构成了一个连续的过程，而这也正是管理的趣味所在。"

管理者成功地解决难题之后，征服感油然而生。但在企业的管理工作中，可以抵消这种趣味的事情似乎和趣味一样多。

接触过信息化建设的人士都知道，一个信息系统的实施不是短时间内能够完成的，上一个比较完整的ERP系统，少则半年，多则一两年，甚至三四年。如此漫长的实施过程，已经足以把企业内人们对信息化最初的憧憬和热情消磨殆尽。中国有句俗话，叫"日久见人心"，所隐含的无非就是时间可以作为衡量事物真实性的最好的手段。同样的，放在信息系统实施里，一开始不成问题的事情，到了后来都会蜕变成问题，并且有可能随着时间的推移，糟糕程度也不断地增加。因此，如何有效地管理实施过程，降低企业的实施风险成为保障信息化建设成功的一个重要环节，这也就是我们在这里探讨的主题。

首先需要了解在实施过程中我们可能碰到哪些风险。按照一般意义，我们常常所说的风险分为两大类，一种是不可预知的，一种是可预知的。既然是不可预测的风险，有预防的想法，恐怕也是无从做起，只能是在风险到来的时候直接对问题做出反应。而这里我们主要针对的是那些能够预测的风险，在明晰它们的基础上，想办法去控制和降低它们。

信息化项目的项目特性，注定了实施过程中的风险有综合风险，也有阶段风险。

信息化项目的风险包括项目的综合性风险和阶段性风险

所谓综合风险，是指贯穿整个实施过程，甚至贯穿整个信息化项目过程的几大类风险。

根据我们的研究，归纳总结出这么几种：缺乏共识项目驱动力风险

信息不对称/欺诈风险财务风险人力资源风险

业务中断风险

接下来我们就缺乏共识和项目驱动力风险这两项来做个简单的介绍。

缺乏共识，是IT项目中最常见的风险，带来的后果各种各样。

对于IT建设来说，项目组内部（包括企业方与实施方）、企业内部能就关键问题达到共识，显得至关重要。有一句话是这么概括的，在一个解决方案上达成共识比这个解决方案本身的先进性重要得多。为什么共识会在IT项目中扮演了如此重要的一个角色呢？业内人士聚在一起讨论信息化建设，常常会说信息化建设风险很大，然而最难以预测和掌握的是人的因素，技术的问题总是会有解决方案。而达成共识其实就是解决人的问题，减轻或者降低项目实施过程中可能出现的，由于人而引起的不必要的阻力。再来看看项目驱动力风险。项目驱动力其实包含了两层意思，一个是指项目启动的诱因，例如是否是由业务需求驱动，还是出于别的一些原因的考虑；另一个隐含的意思是企业高层对IT项目的推动作用。大家都知道信息化建设是"一把手工程"，领导的支持程度直接影响到项目的成败。

对于阶段性风险，顾名思义，就是在信息化建设各阶段（如选型阶段，项目启动，需求调研等）中出现的、带有浓厚的阶段色彩的风险。

举例来说，在项目启动阶段，可能出现计划残缺，思维混沌的风险。对于任何一个项目来说，有明确的项目目标以及详细的项目计划是至关重要的。一个明确的项目目标，决定了整个项目的基调，一个详细的项目计划，使得后面的每项活动都易于控制和掌握。对于IT项目来说，更是如此，作为一个新兴的项目管理领域，IT项目的管理是不够成熟的，而IT的本身又是极难衡量的。在这样的情况下，在项目启动阶段就明确了IT项目的目标和计划显得犹为重要。

"项目不是在结束时失败，而是在开始时失败。"做过项目的人大概都会对这句话感触良深。在项目开始前，或者在项目的启动阶段，多做些工作并且把工作做踏实是非常必要的，也是提前杜绝一些可预测风险发生的一个有效手段。

在进入项目实施前，项目目标明晰和项目计划落实固然非常重要，然而仅仅这些措施是不够的。我们提倡，在项目启动阶段，企业应该对现状做一个评估，看看一旦启动信息化项目，各种风险发生的可能性有多大，对可能发生的困难要有预估，并提前做好防范措施。

对于项目启动之前的风险评估一般来说可以从两个方面来考量:

一方面评估信息化建设成功的可能性

另一方面需要评价项目实施的难易程度。

影响项目成功可能性的风险因素包括（我们通常称之为A类指标）：企业战略对信息化的需求、决策层的态度、信息化项目的准备情况以及企业信息化建设的现状。信息化项目之所以可能成功，在于业务的驱动力大小。

以上就是关于IT风险管控的基本过程分为哪几个阶段全部的内容，包括:IT风险管控的基本过程分为哪几个阶段、项目风险评估程序是什么，需要从哪方面写、各报表项目的审定表、明细表和其他工作底稿的关系如何等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！