2010内部审计师对内部审计的指导(6)
确认业务是指内部审计人员对证据进行客观评价,并对程序、制度或其他常规事项提出独立意见或结论的工作。确认业务的性质和范围由内部审计师决定。确认业务主要包括舞弊调查、风险与控制自我评价、第三方审计和合同审计、质量审计、尽职审计、安全审计、保密审计、绩效审计、业务审计、财务审计、信息科技(it)审计和合规审计。
咨询业务,有几个内容。内部控制培训、业务流程检查、基准比较、信息技术与系统开发、绩效评价体系设计等。都属于咨询业务。
风险和自我评价在第一科、第二科、第三科的考试中都有涉及,在第二科的审计业务工具第五部分也有出现,所以希望广大考生关注这个问题。这种控制自我评价是内部控制的一种自我评价,不同于传统的审计工作,因为这项工作需要基层员工、执行层和管理层来进行。因此,组织中的所有员工都可以参与评估过程。在某种程度上,控制自我评价将内部审计人员的一些责任转移给了其他人。风险和控制自我评价往往可以识别风险和不利因素以及潜在危机的影响,因为它可以评价那些降低或管理风险的控制程序;为风险降低的可接受性制定行动计划;而让员工参与控制自我评价过程,有助于提高员工对所从事工作的认同感,进而增强员工的自我满足感,激励员工更好地完成工作。
这种控制自我评价的实施有一个很重要的内容,就是培训。通过培训,也更容易发现部门内部控制的薄弱环节;另一方面,内部审计人员可以获得更多关于控制过程的信息,从而可以关注存在重大控制薄弱环节或剩余风险较高的业务部门,针对这些薄弱环节设置更多的程序,进行更多的测试,收集更多的证据,从而提高我们的审计效果。
注意,控制自我评价与所使用的不同方法、组织的文化授权程度以及制定战略和政策的方式有关。因此,某个控制自我评价项目在一个组织中的成功并不意味着同样的项目在另一个组织中一定会成功。
常用的风险与控制自我评价方法有三种:推广小组研讨会、调查和管理分析。
推动小组讨论会的方法是指通过代表不同级别的业务单位或职能部门的小组来收集信息。工作组的工作重点是目标、风险、控制和流程。在小组讨论中,要保证讨论中的信息畅通,大家可以自由发表各种意见。为了解决不同观点和利益集团的分歧,也可以采用无记名投票的方式。评估结束后,我们应准备一份报告,记录小组在讨论中达成的共识,小组成员有权查看即将发布的最终报告。
小组讨论会根据目的不同分为四种形式。基于目标的工作组侧重于实现运营目标的方式;研讨会首先确定现有的支持目标的控制措施作为出发点,然后确定剩余的风险,基于风险的工作组着重于制定影响目标实现的风险清单;它强调列出影响目标实现的所有风险,然后检查控制过程,以确定控制过程是否足以管理关键风险。基于控制的工作组主要评估控制风险和促进目标实现的方法,目的是根据当前的应用分析控制过程与管理人员的期望之间的差距。基于流程的工作组侧重于选择自始至终构成流程链组件的活动。
调查是一种自我评估的方法,通过精心编制的问卷向过程参与者收集信息,控制风险。问卷应该是最简单的是或否,或是或否的问题。内部审计师也可以使用问卷来确认推广小组研讨会方法的工作组中的许多风险和控制措施。
管理分析方法包括许多其他方法。这些方法用于管理团队获取有关业务流程、风险管理活动和控制程序的信息。
风险与控制自我评价可用于检查业务活动和财务状况的风险,评估控制活动、道德价值和控制效果,也可用于检查和了解各种控制活动和政策的执行情况。这项工作可以独立进行,也可以与其他业务同时进行。但是,有些业务,如欺诈调查和目标复杂或不明确的业务,不适合这种方法。
第三方审计是由向组织提供服务或产品并与组织有利益关系的独立第三方开展的审计业务,特别是当影响交易事项的重要控制体系存在于组织外部时,开展第三方审计是非常必要的。提供外包服务的审计组织或审计电子数据交换系统中涉及的贸易伙伴是典型的第三方审计。
第三方审计主要涉及两种:一种是合同审计。另一类是审核,评估组织本身对一些行业公认标准的实施情况。这些审计由注册审计员完成,他们的主要任务是确保组织符合相关标准,如ISO9000或ISO14000。
合同审计通常是针对一些重要的建造合同和商务合同(如专用机械设备制造合同和软件开发)的审计,目的是对合同进行监督和评价。
质量审计主要关注管理质量,即审计人员使用一系列标准或控制来衡量组织当前的业务活动。必要时,审计人员还应评价组织的控制质量,跟踪控制是否随着组织活动、行业规则和技术的变化而更新,并不断得到改进和加强。有效的质量体系由检验、测试和相应的纠正措施和方法组成。
质量审核涉及全面质量控制的概念。全面质量管理是一种在组织中提高全面质量(从供应商到客户)的综合方法,是一个持续的监控过程。全面质量管理的概念强调高层管理人员的努力是全面质量管理成功的关键因素。在实施全面质量管理的组织中,内部审计师应该对质量管理的全过程进行评价,特别是在评价风险和促进控制体系的持续改进方面。同时,全面质量管理的理念也适用于内部审计活动,以提高自身的工作质量。
尽职审计又称勤勉审计,是指对与组织有利害关系的第三方进行的有限的、专门的审计,主要用于涉及合资、兼并、联盟等并购的财务交易决策。除了金融交易、银行开户、证券交易,在房地产、工程建设等房地产项目中也经常实施尽职调查审计。一般来说,尽职审查需要一个团队来完成,通常由内部审计师、律师和外部审计师组成,他们都需要承担各自专业领域的审查责任。
尽职调查审计报告应关注事实问题,保持客观公正的立场,并包括一些关键问题的结论性总结。报告结构应按与业务相关的流程阶段进行描述,支持报告中观点和结论的所有文件和论文应简单编号,便于参考。
安全审计业务,这个安全审计,它的目的是评估当前安全控制的有效性,监督是否存在滥用和误用系统程序的情况。安全控制包括物理接触和环境控制、逻辑接触控制和备份控制。身体接触和环境控制主要是指你不能擅自接触组织资源和信息。比如电子门锁、金属钥匙门锁、生物门锁、报警系统、电子视频、保安、身份条形码、火灾报警系统(手动火灾报警器、烟雾发生器)、灭火系统(灭火器、水源)、防火办公材料、水源探测器、定期检查制度等。一般来说,逻辑联系控制就是通过设置各种密码,防止未经授权的更改,来保护信息系统的资源、应用软件和数据。比如登录密码和身份证号、视网膜扫描、指纹识别、记录在线活动、设置数据查看权限等等。备份控制就是定期备份度或数据文件,注意备份要远离原文件的位置。比如电脑数据的备份,可以通过刻字的方式单独封存。
对于这些与安全控制相关的制度,主要由管理层负责制定和实施,而内部审计人员则更多地了解这些措施,评估这些控制的有效性,并持续监控这些控制措施的实施,从而提出对制度或制度本身的改进建议。
保密审计,内部审计人员实施保密审计的主要目的是评价其组织制定的保密制度,确定重要风险。为了在保护个人隐私和合理使用之间取得平衡,我们不仅要避免未经授权使用信息,还要防范授权用户滥用这些信息造成的严重后果,还要注意保密措施的成本效益。还有一点,需要注意的是,内部审计人员也要严格要求自己。他们不应利用履行职责过程中收集的信息谋取个人利益,当预计保密措施的实施将影响其独立性时,应及时与首席审计官沟通。
绩效审计是内部审计人员围绕业务流程的经济性、效率和有效性开展的一系列审计活动。主要考察:组织在获取和使用资源的过程中是否符合成本效益原则,如果存在低效率,原因是什么?您在经营过程中是否遵守了有关经济和效率的法律法规。另外,在组织的效益产出审计中,主要评价:(1)计划目标的完成情况;(2)组织为实现输出目标所采取的活动是否有效;(3)被审核部门是否遵守与其职能相关的法律法规。这通常通过使用关键绩效指标(KPI)来完成。内部审计人员的任务是评价这一指标是否恰当,使用是否得当。
经营审计业务主要检查经营过程是否经济高效,组织内各职能部门实现目标的过程是否有效,能否帮助组织实现总体目标,部门目标与组织目标是否一致。
财务审计是对组织财务状况的审计。在国外,财务审计业务通常由外部审计人员进行,但也属于内部审计职责范围。外聘审计员进行的财务审计是审计财务报告中的信息是否符合会计准则,是否公允地反映了该组织的真实财务状况和经营成果。内部审计人员主要侧重于程序的监督,检查与财务相关的程序和制度是否存在缺陷和漏洞,控制关键环节,以不断提出改进制度的建议,确保支持财务报告编制的相关程序有效。
合规性审计,在实施合规性审计时,审计师会检查组织在经营过程中是否遵守了法律法规、合同约定以及组织管理层制定的政策和程序中的相关规定。
组织应建立符合性标准和体系。这些标准和系统应包括明确说明禁止活动的书面规定,以及清单、问题和答案、参与说明等。,并应编制组织流程示意图,以明确实施遵约制度时每个人的责任。
合规性审核的内容包括:确定书面规定是否有效,员工是否知晓相关内容,发现的违规行为是否得到妥善控制,处罚是否公正,举报人是否遭受打击报复,法律部是否履行了职责。最后,审核员还应该在审核后找出需要改进的地方,并努力获得员工的支持。
组织要建立一个“热线”,可以和非法律部门的董事代表接通,可以得到政策支持,不用担心打击报复。这时候热线就能充分有效地发挥作用,让可疑的事情得到最及时的曝光。此外,它也可以是行为准则问卷的形式。
管理层应将环境问题提上议事日程,推进环境管理体系审核,确保体系有效运行;开展防污染审核,最大限度地减少操作造成的污染和浪费;注意一些风险资产的处置、存储和处理;量化和报告因环境问题而增加的债务;评估生产过程是否符合安全规定等等。
首席审核官应与环境审核员建立联系,并应定期计划和实施环境健康和安全审核。他还应确保有关环境风险的重要信息能够顺利到达审计委员会或其他董事会成员手中。为此,他应评估组织外部的环境审核员是否遵守了审核标准或公认的道德规范,并评估环境审核部门在组织中的地位和独立性。