导图社区 CIA Part2 内部审计的运营
- 72
- 4
- 0
- 举报
CIA Part2 内部审计的运营
内部审计
编辑于2021-10-14 14:15:38- 相似推荐
- 大纲
内部审计的运营
内部审计部门管理
➡️ 内部审计章程 ➡️ 制定年度审计计划 ➡️ 制定内部审计部门的政策和程序 ➡️ CAE就以上方面与董事会和高级管理层的沟通 ➡️ 内部审计资源管理与协调 ➡️ 审计项目管理、人力资源管理、财务预算管理、组织协调管理、内部审计质量管理
内部审计部门管理,包括:
➡️ 实现内部审计业务目标 ➡️ 促进内部审计资源得到充分、有效的利用 ➡️ 提高内部审计质量,更好地履行内部审计职责 ➡️ 促使内部审计活动符合内部审计准则的要求
内部审计部门管理,目的
1)战略
审计成熟度模型(五)
2)政策和程序
CAE
CAE通过指定一系列政策和程序,从而计划、组织、知道和监督内部审计业务。 政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。 e.g. 1)大型:大型部门的政策和程序应包含更多的细节,因为有更多的人使用,这必然需要更多的解释分析 2)小型:小型部门,太多细节则是不必要的。政策和程序可以作为单独的文件发布,或作为审计管理软件程序整体的一部分
1)IA部门的目的和职责 2)遵循IPPF强制性指南 3)独立性、客观性 4)道德规范 5)保密涉密信息 6)保留记录 7)员工培训 8)建立质量保证和改进计划
政策
1)审计计划(基于风险) 2)计划审计业务编制工作流程 3)执行审计业务 4)记录审计业务 5)结果沟通/报告 6)监督和后续跟进程序
程序
手册为成员提供了有关活动目标及实现目标的方法指南。包含政策、程序,CAE制定,超过5人,需要编写,少人监督、备忘录也行目的 ▪️为IAor提供指导,支持他们遵循道德规范、专业标准 ▪为IAor定义高水平的绩效期望,履行角色(组织治理、风险管理、控制目标),实现战略目标 ▪️关注IAor关键目标和价值观 ▪️协调IA角色和职责,与外部机构的关系 ▪️编写关键政策(保密、沟通、监督)和程序(执行的步骤) ▪️提供评价内部审计活动绩效的基础
手册
CAE
CAE负责指定和维护审计手册,分发给整个内部审计活动人员,并确保持续不断实施审计手册中包含的政策和程序。 正规的审计手册(是否需要),取决于部门规模。 1)大型:(超过5人,或审计师独立工作的内审部门)更加正规、综合的政策与程序对指导内部审计人员执行年度审计计划是必不可少的 2)小型:可以是非正式的,可以通过日常的、密切的监督和遵循政策与程序的备忘录来指导和控制审计人员 
2040 政策与程序 首席审计官必须制定政策和程序,为IA活动提供指导
3)行政管理
1)计划
包括制订风险导向的 1)审计计划 2)预算编制(考虑:内审人员数量、审计工作日程安排、内审机构的行政管理活动、内审人员的教育及培训要求、审计研究和发展工作等) 3)评估员工能力需求 4)招聘和发展规划 5)等活动
战略层次
2)组织
包括设计结构和流程,以实现业务目标,达到总统效率和效果: 1)为特定审计活动分配审计人员(审计人员的选择根据他们与改审计活动类似经验来决定) 2)为独立的审计活动分配时间(包括计划、指定和实施审计方案、进行实地调查、攥写报告)(所分配的时间取决于审计人员的经验水平和该审计业务的复杂性)
经营活动
3)指导
包括与指导审计活动相关的许多任务 1)在组织内及外部机构之间必须维持良好的沟通 2)必须挑选外部审计服务提供者及面试和雇佣新员工 3)必须实施绩效管理系统(包括审计活动结束时和年底的评估,可通过留意员工的压力水平及提供奖励和职业发展机会来维持积极性)
4)监督
CAE负责确保 1)遵循政策和程序 2)监控和评估预算 3)满足审计委员会、高管层和审计客户的要求 4)审计活动实现其战略目标(包括审计计划的要求)
CAE
4)组织结构图
组织结构图
具备灵活性
内审师必须了解内审组织报告结构的每一层级的角色和职责。和级别权限。
5)人力资源
0)CAE
CAE对内审人力资源的有效性负责,应建立系统的审计人员管理体系和综合评价激励机制,促进内审不断发展
CAE
1)主要内容
1)IAor聘用、培训、数量
聘用(关键)寻找高质量、有能力的人员,聘用合适和胜任的IAor(必须考虑专业胜任能力和性格特征)
培训(方法)内审机构要根据组织的特点及IAor的基本素质状况制订切实可行的培训计划,并采取相应的培训方法
2)IAor工作任务安排
CAE(确保)分配给每项业务的人员整体上具备开展业务所需的知识、技能和其他相关能力
CAE(考虑)各职位的工作范围和责任层次的前提下,为职位确立合适的教育和工作经验要求,获取关于未来可能的IAor的资格和专业胜任能力的合理保证
3)IAor知识结构和专业能力分析
(部门)通过分析,帮助查找通过职业发展、招聘或资源整合加以解决的改进领域
(个人)当IAor缺乏完成全部或部分业务所具备的知识、技能时,CAE考虑获取专家的帮助,对IA不够专业的领域给予支持或补充
4)IAor业绩考核与激励机制
IA机构,应在人力资源管理的书面文件中列示 1)评价的政策和方案 2)↑ 说明怎样才是优秀、良好或不合格的业绩 3)↑ 明确在何时或间隔多久进行一次评价,怎么进行考核
考核(益处) 1)为IAor专业发展提供信息反馈 2)↑ 是人员任命和提升的基础 3)↑ 为培训和发展提供了指南 4)全棉评价IAor的工作能力和发展潜力,出台科学合理的奖惩措施,促进审计人员的专业发展,提供综合业务能力
2)岗位职责
大型、有很多业务和作业场所的机构,应为每个层级的IAor(CAE、审计经理、高级审计师、审计师)制定书面的岗位职责说明
3)人员评价
提醒雇员注意其工作状态,确定其不足和有利条件,以便改进他们对部门的总体贡献,让他们知道自己的强项、弱点和进步
目的
正式评估系统
1)制定相关标准和提供衡量业绩的统一方法
2)标准和评估方法应清晰在员工备忘录或手册上列出(以告知员工)
3)↑ 这个步骤消除了任何意外的因素,让每一个IAor都明白要达到令人满意的评估结果需要做些什么
2)评估应针对执行审计任务所需要的知识、技能和纪律
分析能力,可以通过有条理和系统性地解决问题来体现
重要能力
1)IAor实施的或协助实施的项目中没有两个是完全相同的。(有些可能根本体现不出审计人员的能力,而有些可能超出个人经验或潜能) 2)还有其他项目,以前曾经实施过,当时平淡无奇、缺乏想象力,但由于某个IAor采取了新颖的方法或革新的做法,就会上升到意想不到的高度
缺点
↑ 在构建评估系统时,所有这些因素都应得到考虑,以便对雇员公平,对活动也有好处
3)分为2部分
1)每一项目完成后进行的评估
2)由CAE进行的年度检查
4)每一位IAor都有权与CAE或审计经理进行每年一次的面对面交谈,以讨论改审计师的进步和未来
5)应考虑的因素
1)工作量 2)计算机运用水平 3)工作质量 4)审计知识 5)审计才能 6)书面和口头表达能力 7)对企业程序的了解 8)与客户的关系 9)计划能力以及遵循公司指引情况
业绩因素
1)改IAor自上一次评估以来是否有进步 2)他多大程度上实现了个人目标 3)改IAor的经验和教育 4)参加持续专业发展情况 5)所完成审计工作的复杂程度
其他因素
1)态度 2)人格 3)领导品质 4)判断力 5)主动性 6)自信心 7)与审计团队其他成员相处的能力
个人特性
4)人员招聘
CAE负责
1)为IAor制定正规的岗位说明书 2)甄选合格的人员 3)为每一位IAor的业绩进行年度检查
1)面试
(双向交流)面试人员:具有人事部背景和内审工作经验的人,讨论这项工作、组织、机会和工作性质
(记录)只有时间能够证明雇用的人员是否正确。除智力测试、能力测试和注册内部审计师考试外,没有其他标准的测试方法
(可能标准)应聘者是否具备很好的组织并表达自己思想的能力
2)测试
1)写作能力测试
给一个审计情况的陈述,要求以规定格式写一份报告(非技术语言,非专业人看明白)
2)思维逻辑能力测试
给若干个关于某个审计问题的陈述,陈述被顺序编号,打乱逻辑顺序 要求依照合理顺序重新排列(包括目的、范围、控制结果、执行结果、意见和建议)
3)区分事实和猜想的能力测试
(事实)某种客观存在的事物,某个可确定的推论,及某个可验证或可证实的陈述 (猜想)缺乏足够证据来证明它是事实的东西
收集事实,评价它们,从中得出结论,而不是猜想,这是IAor工作的核心
3)就职培训
为新到任的IAor指明正确的方向,目的是为IAor提供能使他们尽快具有工作能力的信息
6)预算编制
有效的预算编制取决于健全的组织架构,这意味着在预算中明确界定了每一个业务阶段的权力和责任。
建立在坚实的研究和分析基础上的预算能够更好地制定有助于实现本组织所期望的目标
好处
1)提前计划 2)明确目标 3)预警系统 4)协调活动 5)管理意识 6)人员动机

7)审计技能开发
1)IAor的素质

2)人员配备模型
1)轮换模型

2)职业模型

3)以胜任能力为中心模型

8)审计风险管理
1)审计失效风险
导致失效的因素
1)未遵循《国际内部审计专业实务标准》 2)不恰当的质量保证与改进程序,包括用以监控内部审计师独立性和客观性的程序 3)缺乏有效的风险评估流程,在战略性风险评估过程中未能识别关键审计领域,在单个审计项目计划中未能识别高风险领域,结果导致未能正确实施审计,或将时间浪费在错误的审计上 4)没有设计有效的内部审计程序来测试“真实的”风险和正确的控制 5)没有评价控制设计的适当性和控制效果,并将之作为内部审计程序的组成部分 6)在审计人员选用上,没有基于对高风险领域的了解或经验而采取恰当的胜任人员 7)没有根据审计发现或控制缺陷,提出职业怀疑并扩展审计程序 8)没有适当的内部审计监督 9)在掌握某些舞弊证据时,做出错误的判断和决定 10)没有与适当的人员沟通所怀疑事项 11)没有恰当地进行报告
化解风险措施
1)质量保证与改进程序。对于每一个内部审计活动而言,实施有效的质量保证与改进程序至关重要 2)定期对审计领域进行审核。通过常规地评价改组织的动态风险组合,来审核用以判断审计领域完整性的方法是否恰当 3)定期对审计计划进行审核。审核当前的审计计划,评估哪项工作安排存在较高风险,这样可以使内部审计活动的管理一目了然,也可以有更多时间去了解解决关键问题的途径 4)有效的审计规划。有效的审计规划是无可替代的,一个能够及时更新客户和有效启动风险评估的全面规划过程,能够明显降低审计失效的风险 审计工作范围和实施程序也是审计规划过程的重要内容,将降低审计失效的风险。建立内部审计管理核查点以及要求对偏离既定计划的情况进行审批,在审计规划中同样至关重要。 5)有效的审计设计。多数情况下,在测试控制有效性前,大量的花费时间在了解和分析内部控制体系的设计上,以确定其是否能够提供适当的控制,这为内审指出控制薄弱的根本原因而非表面现象提供了坚实的基础,这个过程中还可以识别遗漏的控制,降低审计失效的风险 6)有效的管理人员审核和升级程序。内部审计人员参与内审过程可能涉及:审核工作底稿,针对审计发现的相关事项进行“实时”讨论或总结会议,通过对内审过程中内审活动进行管理,较早识别和评估潜在问题。当某类问题上升到某个内部审计管理层级时,可以通过制定内审程序或指南规范内容活动,控制审计失效风险 7)适当的资源配置。风险较高或技术较强的业务,内审人员具备恰当的胜任能力对降低审计失效风险会起到重要的作用。除了恰当的胜任能力,确保审计人员具有适当的经验水平,包括内审项目负责人必须具备较强的项目管理能力也是非常重要的。
2)错误确认风险
定义
内审活动可能在不知不觉中提供某些错误确认。“错误确认”基于感知或假定而产生的,并非事实。 多数情况下,只要内审活动涉及某一事件,可能就会或多或少地产生错误确认。
e.g.某业务部门要求内审提供一些“资源”,协助实施新的计算机系统。系统涉及方面出现某个错误使财报产生错报,当被问及时,业务部门回复审计已介入系统测试并且没有识别出来。(实际情况是审计仅参与其中,过程中并没有要求审计对系统设计和运行提供合理保证)
管理该风险
1)经常进行明确的沟通是一个关键的战略举措 2)就内部审计活动的作用和强制性积极地与审计委员会、高管层以及其他利益相关方沟通 3)就风险评估,内部审计计划和内部审计业务中涉及的事项进行明确的沟通,对其中没有涉及的工作范围更要明确 4)设立一个“项目认可”流程,对每个项目相关的风险级别以及内部审计在每个项目中的作用进行评估,评估事项包括:项目的范围、内审活动的作用、报告预期、要求的胜任能力、内审人员的独立性 5)如果将内审师扩充到某项目中的人员配备中,要对他们参与的角色和范围进行记录,还要对其客观性和独立性问题进行记录,决不能将内审师看做是借调来的资源,以避免错误确认
3)声誉风险
可靠声誉
1)确保内审活动有效性的重要部分 2)吸引有才能的专业人员 3)大幅提升内审活动在组织中的价值
内审品牌建立在长期一贯的、高质量的工作之上 可能因为一个负面事件而毁于一旦
化解 1)对内审活动涉及的各个流程实施强有力的质量保证与改进程序(包括人力资源和聘用流程) 2)定期对内审活动进行风险评估, 识别可能影响其“品牌”的潜在风险 3)强化行为准则和职业道德,包括遵循IIA的《职业道德规范》 4)确保内审活动遵循公司所有适用的政策和实务
9)审计外包业务
IIA的根本宗旨
推动内部审计以总体效果最佳的方式帮助组织实现其战略目标。不论谁提供内部审计服务,首先应遵循《标准》,其次是胜任能力的考量。 不能外包:内部审计机构监督和应承担的责任外包(可以采取将整体内部审计业务外包的方式获取审计服务)
2070 外部服务提供方与组织对内部审计的责任 在内部审计活动外包给外部服务提供方的情况下,外部服务提供方必须使组织了解其对有效的内部审计活动负有责任
外包内审的操作
1)指定一位内部联络官(最好是CEO、高管层成员),也要考虑独立性 2)董事会或与其相当的治理机构在监督过程中的作用也很重要,应考虑其主动监督的程度和力度 3)获取审计服务的方式或资源的来源中任何一项即将发生重大变化,都应向董事会提交关于此项建议的书面评估意见。 4)鉴于内部审计对公司治理过程的重要性,任何关于内部审计业务整体外包(或外包其重要部分)的建议都应当经过董事会审批,董事会审批应记录在会议纪要中
外包原因
1)可用资源方面。内审资源稀缺或不可用,需要外包来获取胜任的审计师和及时、专业的审计服务 2)组织规模方面。小规模因无力雇佣永久或全职内审师而采取外包方案。其他规模因内审师临时短缺、专业技能需求、对远程业务场所的覆盖、专项计划方案、补充人员以满足紧张的时限等采用外包方案
外包类型
1)整体业务外包
持续从外部获得100%的审计服务
2)部分业务外包
持续利用外部资源获取少于100%的审计服务
3)联合
外部资源和组织内部资源联合参与内部审计业务
4)将特定业务或将业务的某些部分分包给外部服务提供方,多数情况下是为了满足时间期限的约束,对业务的管理和监督通常由内部审计师执行
外包的限定
法律、条例对某些内部审计业务外包做出限定,此外,某些行业制定法规性指引以管理外包安排
IIA认为,即使法律、条例、规定允许,也不应当将内部审计业务外包给为公司出具财务审计报告的那家公司,否则损害其独立性