险和控制的有效性进行再评估,以便管理风险;(5)董事会和管理层定期收到风险管理流程的结果报告。组织的公司治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况(实务公告2110-1)。
3.3 控制
2120- 控制- 内部审计活动应该评价组织控制的效果和效率,促进控制的持续改进,以帮助组织保持有效的控制。
2120.A1 - 根据风险评估的结果,内部审计活动应该评价围绕组织的治理、运营和信息系统的控制的适当性和有效性。应该包括:财务和运营信息的可靠性、完整性;运营的效果和效率;资产的安全保障;法律、法规及合同的遵守情况。
2120.A2 - 内部审计师应该确定已建立的运营和程序的目标、目的的程度,并确定它们是否和组织的目标、目的保持一致。
2120.A3 - 内部审计师应该审核运营和程序,确定其结果与既定的目标、目的保持一致的程度,从而确定运营和程序是否按设想在执行和实施。
2120.A4 - 评价控制需要适当的标准。内部审计师应该确定管理层已制定的适当标准的程度,从而确定控制的目标、目的是否实现。如果标准适当,那么内部审计师应该在其评价中运用这些标准;如果标准不适当,内部审计师应该和管理层共同制定适当的评价标准。 2120.C1 - 在咨询业务期间,内部审计师应该关注与业务的目标相一致的控制,并且应该对存在的任何重大控制薄弱环节保持警觉。
2120.C2 - 内部审计师应该将在咨询业务中对控制的了解结合到发现和评价组织的重大风险暴露的过程中去。
这些控制过程预期能确保以下情形的存在:财务和运营信息可靠性和完整性;运营得到高效地开展,且实现了有效的结果;资产的安全保障;组织的行动和决策遵守法律、法规及合同。
审计执行主管应当从两个角度评价所提交的审计计划的范围:计划是否充分涉及组织各部门,是否包含各种交易和业务流程。如果所提交的审计计划的范围不够充分,不足以对组织的控制过程作出确定性的表述,审计执行主管应将预期的缺陷及其发生的原因,还有可能的后果告之高级管理层和审计委员会。
内部审计师所面临的挑战是在众多单项评估汇总的基础上评价组织控制系统的有效性。这些单项评价结果大都来自于内部审计业务、管理层的自评以及外部审计师的工作。随着业务的进展,内部审计师应及时将审计发现与适当的管理层沟通,以便及时采取行动,纠正或化解所发现的控制缺陷或薄弱环节。
在评价组织控制过程的总体效果时应考虑三大关键因素。 通过开展的审计工作,是否发现了控制薄弱环节 如果发现了,是否在发现之后进行了纠正和改进 是否可以从所发现的薄弱环节及其后果得出结论:由于这些情况,导致组织无法接受商业风险。
上述报告应强调控制过程在追求组织的目标方面所起的关键作用,并应参考内部审计所开展的主要工作和其他用以形成总体确认判断的重要信息渠道。报告的意见一般采用否定形式的确认意见。也就是说,那个阶段开展的审计工作和收集的其他信息没有揭示产生普遍影
响的严重薄弱环节。如果控制缺陷或薄弱环节严重而且普遍,报告的确认部分可能采用有保留的或拒绝意见形式,而这取决于剩余风险的预期增加及其对组织目标的影响。
评价控制需要适当的标准。内部审计师应确定管理层已制定的标准的适当程度,用于判断组织的目标和目的是否已经实现。如果适当,内部审计师应在评价中加以应用。如果不适当,内部审计师应与管理层合作,制定适当的评价标准。”(标准2120.A4)。
控制自我评估CSA
控制自我评估是用于检查和评价组织内部控制系统的一种方法。它是对传统内部审计概念、风险分析和自我评估方法的混合。
风险管理和控制过程的建立、管理和评价
高层管理者 业务经理 内外部审计师 监督 评价 程度确认
控制自评项目的三大主要形式是:协调小组研讨班、调查问卷和管理人员开展的分析。 控制自评是一种包括自评调查和协调研讨班的方法,是管理人员和内部审计师合作评估和评价控制过程的有效的一种有用方法。在最纯粹的形式上,控制自评综合了业务目标和控制过程的风险。有时也把控制自评称为控制/风险自评。虽然控制自评的实际应用者应用一系列的不同技术和格式,但大多数已开展的项目具有共同的关键特征和目标。应用自评的机构拥有正式的、得到文件记录的程序,允许直接参与业务部门工作或有关程序的管理者和工作小组以规范化方式参与以下工作:识别风险和风险暴露;评估用以减少或管理上述风险的控制过程;制定用以将风险减少到可接受程度的行动计划;确定实现业务目标的可能性。
以目标、风险、控制或流程为导向的四种协调研讨会形式 ·以目标为导向的形式:强调实现业务目标的最佳方式。研讨班以确认现有的、用于支持目标的控制措施为起点,接着确定剩余风险。研讨班的目的是决定控制过程是否在有效运作,并使剩余风险维持在可以接受的水平; ·以风险为导向的形式:强调列举实现目标的各种风险。研讨班以列举所有可能阻止目标实现的壁垒、障碍、威胁和风险为起点,接着对控制过程进行检查,以确定控制过程是否足以对关键风险进行管理。研讨班的目的是确定严重的剩余风险。在这种形式中,工作小组必须走遍整个目标--风险--控制过程。 ·以控制为导向的形式:强调现有控制措施的运行情况。这种形式有别于以上两种形式,因为协调员在研讨班开始之前就确认了关键的风险和控制。而在研讨班进行过程中,工作小组对控制减少风险的方式进行评价,并促进目标的实现。研讨班的目的是分析控制过程目前的运行情况与管理人员的期望值之间的差距。 ·以流程为导向的形式:强调所选的、作为流程链组成因素的活动。流程通常是一系列相关的、从一个起点通向另一个起点的活动,如:采购的不同步骤、产品开发、收入的产生等。这种研讨班通常涵盖对整个流程目标和各种中间步骤的确认。研讨班的目的是评价、更新、证明、改善和简化整个流程及其组成活动内容。与以控制为基础的形式相比,这种研讨班可能会进行更广泛的分析,方法是涵盖流程中的各种目标、并对协同的管理工作提供支持(如:重组、质量改善、持续改进活动等)。
\一组人在同样的时间/地点开会,是典型的简易化座次安排(U型桌)以及会议协调者。参与者是\有关流程的责任人\涉及专门议题的管理人员和员工处于检查之中,他们知道谁最
好,他们对实施适当的流程控制最为关键。\
控制自我评估CSA
控制自我评估是用于检查和评价组织内部控制系统的一种方法。它是对传统内部审计概念、风险分析和自我评估方法的混合。 CSA具有以下要素:
a.从头至尾要进行计划,并开展初步的审计工作。
b.一组人在同样的时间/地点开会,是典型的简易化座次安排(U型桌)以及会议协调者(facilitator)。参与者是\有关流程的责任人\涉及专门议题的管理者和员工处于这种自我评估当中,他们知道谁最好,他们对实施适当的流程控制最为关键。
c.协调者在结构化议程中领导一个小组,对风险和控制流程进行全面的检查。通常,这个议程以定义明确的构架或模型为基础,以便参与者能明确关注所有必要的议题。这个模型可以注重于控制、风险,或为这个项目制定的具体议题构架。
d.有关人员在线随意出席会议及电子投票技术的出现,使参与者能匿名表达他们的理解。
审计报告副本(报告)应该分发给组织中那些确保对审计结果给予应有考虑的成员 其他实务公告
实务公告2120.A1-3:内部审计在季度财务报告、披露和管理层声明方面的角色 ·SOA对公司提出了声明过程的挑战,该过程是高层管理者对个人声明进行必要保证的基础。声明过程的一个关键因素是财务信息记录和汇总的风险管理和内部控制。 ·新的法案要求 ·建议内部审计师采取的行动 实务公告2120.A1-4:财务报告过程审计 ·内部控制报告 ·内部控制框架 ·内部控制的效果报告 ·内部审计师的角色
实务公告2120.A4-1:控制标准:
内部审计师应该评价既定运营目标和期望结果,并确定运营标准是否可以接受并得到遵守。如果管理目标和标准模糊,审计师应寻求权威解释。如果内部审计师需要解释或选择运营目标,应与业务客户就衡量工作业绩所需标准达成一致意见。
运营风险和组织的内部系统、产品、服务、流程、技术和人员有关
战略风险和战略、政治、经济、监管和全球市场环境有关,战略风险还包括信誉风险、领导力风险、品牌管理风险以及客户风险
金融风险包括来自外币、利率和商品浮动的风险
危害风险包括那些可保险的风险,如自然灾害,各种可保险的负债,有形资产的损害以及恐怖主义。
内部审计的角色是对风险和内部控制效果提供可靠的全面地评估为了改善公司治理方面,实施企业风险管理,内部审计师要做到:
(1)采用一种更加商业导向的方法来审计公司运营。(2)改变审计方法,注重与业务风险。(3)对公开的ERM积分卡和质量标准进行更为有效的后续跟进,以增加管理层的问责性。(4)作为ERM的组成部分,审核由管理层制定的正式行动计划。记分卡、度量标准和正式行动计划是ERM框架的关键部分
为了满足企业风险管理ERM实施上的挑战,内部审计师应该
(1)采取风险为导向的审计方法,而不是以控制为导向的方法(2)成为ERM实施小组的咨询师,而不是警察(3)关注于未来事件,而不是过去的事件。(4)取得胜任的技能,成为ERM的协调者,而不是采用传统的会计和审计工具和技能。 董事会提供治理、指导和监督,但不能对股东提供保证
第三章了解内部审计活动在组织治理中的作用
