你还敢说内审与流程无关? 证据都在这里了
快乐内审第159篇原创文章 文尾更精彩
《实务框架》对治理的定义:“治理是指董事会实施的各种流程和架构的组合,用于告知、指导、管理和监督组织的活动,以实现组织的目标”。公司治理是一个涉及公司的 管理层、董事会、股东和其他利益相关者之间的一整套关系体系。它提供了一个确立公 司目标、决定实现目标的措施和绩效监控的框架。良好的公司治理应该对董事会和管理 层提供适当的激励,促使其追求符合公司和股东利益的目标并有利于有效的监督。所有 权和控制权分离而导致的治理问题会影响公司的治理和决策过程。所以说,治理就是用 权力去指导、控制以及用法律来规范和协调人们利益的行为。
《标准》是《框架》强制性指南的重要组成部分。它既是内部审计专业的基础,同时也是《框架》的核心。
《标准》的宗旨是:
指导内部审计人员遵循《标准》中的强制性内容; 为开展和推动各类具有增值效应的内部审计服务提供框架;建立评估内部审计业绩的依据; 促进组织流程和运营的改善。
CoCo 对控制的定义:“组织的要素,包括组织资源、系统、流程、文化、结构和 任务,这些要素合在一起支持人们实现组织的目标”。
控制是管理层监控各项活动以确保它们按计划进行并纠正各种重要偏差的过程,包括会计控制和行政控制。控制的过程可以划分为三个步骤:
一是衡量实际绩效;
二是将实际绩效与标准进行比较;
三是采取管理行动来纠正偏差或不适当的标准。
在控制过程中,预算是典型的管理控制技术,除此之外,控制通常还包括成本控制、库存控制、项目控制、财务控制和流程图等控制技术。
流程与确认业务
内部审计通过提供多种方式的服务为组织增加价值。最新的内部审计定义将内部审 计工作集中于确认和咨询服务两方面。
确认服务是指内部审计师为了对机构、业务、流程、系统或其他对象提供独立意见 或结论而做出的客观评价。确认服务的性质和范围由内部审计师确定,其服务类型已经从传统的三个类别,即财务审计、遵循性审计以及经营审计发展到现代的多元化审计, 如第三方审计、合同审计、绩效审计、舞弊检查、风险和控制自我评估、尽职调查、质 量审计、安全审计、信息技术审计、隐私审计等。
一般而言,确认服务涉及三方:( 1)与接受确认服务的机构、运营、职能、流程或其他对象存在直接关系的个人或机 构,即被审计单位或个人;( 2)开展确认服务的个人或机构,即内部审计师;( 3)应 用确认服务的个人或机构,即用户。
管理层经常要求内部审计人员帮助提供下列确认活动:
有效地识别和监控风险;
有效地控制组织过程;
确保组织流程是有效率的或有效果的。
流程与咨询业务
帮助提供的咨询服务是内部审计可以从改善风险管理和控制流程中,进一步帮助管理层和董事会增加组织价值和改善组织运营。因此,内部审计常被认为是管理者的 “耳目”。同时,内部审计在满足管理层确认与咨询的需要时,与满足审计委员会的要 求方面有着明显的差异,审计委员会对控制的确认更感兴趣。
内部审计师的更为前瞻性的角色是通过咨询的方式改进组织的基本流程,对传统的 确认活动予以补充。不过,内部审计师在建立和管理风险管理过程的前瞻性角色和 “风险责任人”的角色是不一样的。内部审计师不能承担这种角色,或是在不损害独立性的情况下承担管理层、董事会或审计委员会在风险管理过程中的任何角色。董事会和 审计委员会对于确定是否具有恰当的风险管理过程以及风险管理过程的适当性、有效性 方面负有监督责任。管理者要负责管理已发现的风险,并确保组织具有合理的风险管理过程且能发挥作用。内部审计师若是管理已发现的风险,就会承担管理者的角色,有损其独立性。
通过咨询服务,内部审计可以从改善风险管理和控制流程中,向董事会提供关于风险管理和内部控制制度运行情况的分析和确认,进 一步帮助管理层和董事会改善其他控制程序,影响受托责任环境,确保受托责任的有效 履行,帮助增加组织价值。
运用 IS031000 标准评价风险管理过程有三种方法(可选择使用或混合使用)。
1.流程因素评价法:考虑 IS031000 标准风险管理过程的七个要素(沟通和咨询、确定环境、风险识别、风险分析、风险评价、风险应对、监控与检查),分七个步骤进行审计。
2.关键原则评价法:依据风险管理的 11 项主要原则进行评价:风险管理创造和保护价值是决策的组成部分;能够明确不确定性是系统的、结构化的和及时的;
3.成熟度评价法:强调风险管理给组织带来的价值,风险管理的演变进程从关注合规 性到关注有效的风险处理,可以对照预期和发展目标衡量进展情况。
1.组织层面的控制。组织层面的控制适用于整个组织,其设计不仅能确保组织目标 的实现,而且能够降低组织整体风险。
2.流程层面的控制。流程层面的控制是由流程的所有者建立的控制,以确保目标和 过程得以完成,了解流程中的风险并设法解决。
3.交易层面的控制。交易层面的控制主要是针对特定的交易事项,以确保交易目标 实现和交易中的特定风险得以识别。
流程图法
实施内部审计业务要重点掌握内部审计程序、工具和技术等内容,侧重于收集和分 析审计信息,其中包含的审计工具非常广泛,从非常传统的方式(如调查问卷、面谈) 到进化方法(如控制自我评估、计算机审计)。
内部审计师在实施内部审计业务的阶段:
审核以前的审计报告和其他相关文档;
运用检查清单、调查问卷、面谈、穿行测试、观察等有效方法收集审计信息;使用风险评估以识别关键风险和控制;运用各种抽样技术;运用流程图来帮助流程绘制。流程图使内部审计师能分析系统并确定所谓的内部控制的强项和薄弱环节以及审 计重点的恰当领域。
流程图最有价值的地方就是概括某个系统中的交易过程或对其进行总括描述。
流程图的目标是向用户展示一幅清晰而简洁地描绘一个系统或活动的图画,不管系统或活动是人工的还是自动化的。这样的描述为人们提供了解信息流的基础,也为内部控制的测试和评价所需的后续审计工作提供了坚强后盾。
流程图一般都需要其他 形式的文档进行补充,例如叙述、政策和程序、内部控制问卷( ICQs)或访谈。
编制流程图的好处在于将过程中的每个步骤描绘出来,提供了容易跟踪了解、显示从开始到结束全过程的“地图”。当将每个计划或已存在的步骤描绘在“地图”上时, 审计师或其他检查人员能够更加容易地评估哪个步骤是重要的,哪个步骤被遗漏了,应该将哪个步骤调换到其他位置,以及确定新增加步骤的位置。
流程与穿行测试法
穿行测试也叫全程测试、了解性测试是指在对企业、单位内部控制进行研究、复核时,在每一类交易循环中选择一笔或若干笔具有典型 代表性业务进行测试,以验证审计工作底稿中描述的内部控制相关信息的客观性和准确 性的审计方法。例如,审查采购付款循环内部控制时,可以选取具有代表性的原材料采 购业务以及其他采购付款业务,从请购开始,按照业务的进程,逐步追查至订购货物、 材料验收、入库、核准付款、实际支付以及凭证的编制、账簿的登记等,跨越会计系 统,对整个业务过程进行详细审查,通过测试,对业务处理流程就有了较为全面的认识。如果发现内部控制的设计和效能与审计工作底稿描述不一致,则应按测试结果对审 计工作底稿的记录予以修正。
穿行测试服务于双重目的,它是有效性测试(控制是否按预想运行),并且可以在设计评价阶段实施,可以达到评估内部控制流程的设计和运行效果的双重目的。
3.(值得收藏)中国风控领域政策文件大全(2019年12月份更新)
4.75篇内审实务案例汇编(2019年5月29日-12月4日)
9.我喜欢的审计书清单
10.致亲爱的,我的内审人
视频欣赏:霞浦日出
摄影:北京虞律师 配乐:上海交大王谨秀教授