索耶内部审计.docx
《索耶内部审计.docx》由会员分享,可在线阅读,更多相关《索耶内部审计.docx(107页珍藏版)》请在冰豆网上搜索。
索耶内部审计
审计发现的性质
在审计工作中内部审计师要确定哪些情形需要采取纠正行动,那些与规范或可接收标准之间的偏离称为审计发现。
审计发现以各种形式出现,它们可能是:
·应采取而实际未采取的行动;
·被禁止的行为;
·不适当的行为;
·令人不满意的系统;
·应考虑到的风险暴露。
尽管有时审计发现被视为“缺陷”,但很多内部审计机构认为“缺陷”这个术语太过否定,实际上,在某些情况下,甚至“发现”这个术语也被认为太具有否定意味,而诸如“情况”这类词的威胁性就小得多,也不容易引起客户的对立情绪。
虽然每个组织可能有不同的称谓,但其基本概念大体一致,审计发现是描述以前或现在的错误,或者为很可能发生的错误。
标准
实务公告第2410-1号:
沟通
2、审计的最终沟通可能包括背景信息和总结。
背景信息可用于确认被检查的部门和活动,并提供相关说明性的信息,还可以包括来自以前审计报告的审计发现、审计结论、审计建议,并表明报告内容是否属于计划内的审计内容,是否应有关方面的要求而编制。
如果还包括总结,其内容应该全面概述审计沟通的内容。
5、审计结果应包括审计观察结果、审计结论(意见)、审计建议和行动计划。
6、审计观察结果是对事实的相关陈述。
最终审计沟通应该包括支持内部审计师结论和建议,以及防止误解这些结论和建议的必要审计观察结果。
比较次要的审计观察或建议可以通过非正式形式沟通。
7、通过比较应该达到的目标和实际的做法,就可以得出审计观察结果和审计建议。
不管两者之间是否存在差异,内部审计师都有了编制报告的基础。
如果情况符合标准,在审计沟通中确认出色的业绩可能比较恰当。
审计观察和审计建议应该以下述特征为依据:
·标准:
在进行评价或验证时应用的标准、措施和期望值(即什么是应该有的)
·情况:
内部审计师在检查过程中发现的事实证据(什么山确实存在)
·原因:
预期和实际情况之间存在差异的原因(为什么有差异)
·影响:
由于情况与标准不一致,组织或其他部门面临风险或暴露(差异造成的影响)。
在确定风险或暴露的程度时,内部审计师应该考虑其审计发现和审计建议对组织财务报表可能产生的影响。
·审计观察结果和审计建议还可以包括审计客户的业绩、相关问题和为在其他方面反映的辅助信息。
关于现行的审计报告,在实务公告第2420-1号中,对沟通标准的质量有如下陈述:
1、客观的沟通具有实事求是、不偏不倚、不歪曲事实的特点,所包括的审计发现、审计结论和审计建议应该没有偏见。
2、清除的沟通是指容易理解并富有逻辑性。
通过避免使用不必要的技术词汇和提供充分的支持性信息,可以使其更清晰。
3、简明扼要的沟通能一针见血,避免不必要的细节。
他们尽可能最精辟的语言完整地表达思想。
4、富有建设性的沟通是指沟通的内容与沟通时的态度都对组织有所帮助,并促进组织进行必要的改进工作。
5、及时的沟通是指没有延误及时讨论,以确保采取及时有效的行动。
改进建议
内部审计师也可能遇到如下事务或情况,它们可能本质上没有错,但可以被改进。
为从未收到货物付款绝对是错误的,如果涉及的金额足够大,显然这是个值得报告的审计发现。
另一方面,在内部审计师无法指出处理收款过程存在错误的情况下,可以进一步简化的收货单格式不应被视为缺陷,因而也不是审计发现。
在区分审计发现和改进建议时,内部审计师一定要弄清楚该情况是违反了可接受的标准,还是它是可以接受的但由于新知识的出现而可以进一步改进的。
两者之间的分界并非总是很容易分清的。
运营经理可能会试图说服内部审计师,即个别审计发现仅表明有机会在其他方面将情况改善得令人满意。
然而内部审计师则可能视之为一个缺陷而当作一项审计发现。
作出决定是一项专业判断,而判断权不会让步给运营部门的管理人员。
审计发现要求采取纠正活动,而对于是否采取行动运营经理是无权选择的。
在另一方面,改进某种情况(在该情况下并不违反现有的规则或标准)的一项建议则是另一回事了。
在这种情况下,经理有权决定是否采纳该项建议。
值得报告的审计发现
并非内部审计师确认的每一项缺点都应当报告,有一些缺点是次要的和不值得管理层注意的。
所有制的报告的审计发现有如下特征:
·足够重要,值得报告给管理层;
·能用事实而非判断来证明,并有充分、有力和相关的证据支持;
·客观地提出,不带任何偏见或个人成见;
·与所审计的事项有关;
·有足够的说服力,促使他们采取行动去纠正不足之处。
显然这种特征属于主观上的解释。
被一个人认为是重要的偏差,可能会被其他人认为是无关紧要的。
像客观性、说服力、合理性和逻辑性这样的词,对于不同的人而言,有着不同的含义。
测试的方法就是预计在同样的或类似的情况下,一个明智的、谨慎的人是如何评价这些缺点的。
当内部审计师在评价这类缺陷情况时,他们必须问自己:
“如果这是我所在的组织或机构,并且我是这个机构的总裁或总监,我应该怎样评价这样的情况?
”
提出审计发现的方法
如何在重要的、值得报告的审计发现中陈述事实和细节是一种后天性技能,它需要基于经验上的判断。
某些外行人看来很严重的缺陷,在专业内部审计师眼里可能只是微不足道的差错。
发现较小的差错相对比较容易。
很少能够做到完美,而且代价通常太大。
为了获得最后5%的纯度所要付出的努力可能远远超过先前95%的努力。
内部审计师必须现实一些,作出判断和结论时公平一些。
他们必须把良好的业务感觉应用到审计发现中去。
在提出和报告审计发现时,内部审计师应考虑以下因素:
※ 对管理层的决策作“事后诸葛亮”式的评价是不公平和不切实际的。
内部审计师应考虑到缺陷出现时所处的环境。
管理层决策时一般是基于当时所掌握的情况。
内部审计师不应仅仅因为他们对某项决策有异议就批评该决策,也不要因为审计师掌握了一些决策者无法得到的新信息而对决策提出批评。
内部审计师不应以审计判断代替管理层的判断。
※ 提供证据的责任在于内部审计师,而非客户。
如果一个审计发现无法提供充分证据,使客观、理性的人信服,那么这种审计发现是不值得报告的。
※ 内部审计师很自然关注其个人业绩的提高,但审计师的业绩不应靠报告中的批判来决定,因为它不一定百分之百的准确。
※ 内部审计师应当改进审计发现以应对那些提出质疑的人。
内部审计师应仔细审查他们的审计发现,以防出现可能的瑕疵和不可靠的推理。
像其他坚持自己观点的人一样,内部审计师也希望是的解释合理化以支持审计发现。
花了大量时间和努力之后,内部审计师往往想保住这些付出,竭力使审计发现能经得起各种挑剔的审问,但实际上有些审计发现可能经不起时间的考验和严格的质问。
增加价值
在不同的情况下,增加价值这个概念都有新的和特殊的含义。
内部审计的最新定义中队增加价值有详细的论述。
被认为不能增加价值的部门存在被缩小规模甚至被撤销的危险。
内部审计师增加价值的一种方法是确保他们明确提出的审计发现和审计建议对组织有正面作用。
内部审计师不仅要确定他们的工作对组织的目标和成功有贡献,还必须确信这些贡献被他人所理解和重视。
通过前端检查所得出的审计发现很可能更有益处。
如果内部审计师能够在新的计算机化存货跟踪系统设计完成并运行之前(而非之后)发现其潜在的控制问题,组织将获得更大好处。
能产生最大价值的审计发现通常能够释放出技术的能量,促进积极的变化,以及知名未来的方向,它们帮助组织向前发展并实现目标。
合理的审计发现能带来实实在在的经济利益和服务改善,或者能改善组织结构和业务流程。
在上述两种情况下,内部审计师都可以树立其作为增加价值者而不是资源消耗者的形象。
在真个审计发现的过程中,对内部审计师而言,始终着眼于提供高价值的活动和服务是很重要的。
重要性程度
世界上没有两个完全一样的审计发现。
每一个审计发现代表特定程度的实际或潜在的损失或风险。
因此内部审计师在将审计报告提交管理层前应仔细考虑该缺陷可能造成或已经造成损害的程度。
通常审计发现分成三类:
无关紧要的、次要的和重要的。
无关紧要的审计发现
一项无关紧要的审计发现-例如所有组织都经历过的抄写工作中的笔误,并不能让人觉得需要采取正式的行动。
事实上,在正式的审计报告中写上这种审计发现可能会起到反作用,因为这会分散内部审计师寻找重要审计发现的精力,而且这还会暗示着内部审计师没有能力分清一个小斑点于一大片污迹之间的区别。
此外,这还会给人留下一个不良的印象:
内部审计师是个吹毛求疵者。
对于无关紧要的审计发现,我们既不应掩饰,也不应忽视。
以下是可以接受的做法:
①与该事项的负责人进行讨论;②确定该情况已得到纠正③在工作底稿中记录该问题④不将该细微的偏离写入正式的内部审计报告。
在这里并不是建议所有偶然的笔误都不用报告。
如果这些错误属于严重问题的征兆,进行报告则是适当的。
这些错误可能表明员工缺乏培训、监管不到位和书面指引不够清晰等问题。
在这些情况下,这些控制缺陷构成了审计发现。
偶然的错误有时证明缺陷的存在,需要引起管理层的重视。
次要的审计发现
次要的审计发现需要报告,因为它比偶然的人为错误严重。
如果不加以纠正,它会继续下去或造成坏的影响;尽管它可能不会阻碍组织主要经营目标的实现,但其重要性足以引起管理层的注意。
有些次要的审计发现最好以《致管理层函》的形式报告。
主要的审计发现
主要的审计发现是指那些阻碍组织或组织内部门实现其重要目标的一种发现。
次要的与主要的审计发现之间的界线可能变得非常细微,在辨别两者时需要很好的审计判断。
但如果提供合理的判断标准,内部审计师对于审计发现的分类就能站得住脚。
由于涉及审计判断问题,一项发现是属于主要的还是次要的,最后决定权在内部审计师手里。
该决定权不能让渡给管理层。
审计发现的要素
内部审计师并非无所不知,也不能期待他们洞悉所审计的一切。
然而,内部审计师应当对审计发现是否值得报告才行,因为他们是在质疑现状的正确性,他们需要找出那些不符合可接受经营标准的系统或者业务。
内部审计师应该能够接受挑战,因为他们应该比其他人更加了解审计发现。
内部审计师发现的事实应是无可辩驳的,他们采用的标准应是可以接受的,他们的逻辑应是令人信服的。
行动正确与否,最好的衡量方法是将其与可接受标准进行比较,审计发现的提出也是一样。
如果所提出的审计发现符合所有可接受的标准,它就是符合逻辑合理和有说服力的,它能促使人们采取纠正行动。
如果所报告的审计发现缺少某些东西,该发现可能会被质疑,导致极不情愿地采取纠正行动,甚至没有采取纠正行动。
绝大多数值得报告的审计发现包括特定要素:
背景、标准、情况、原因、影响、结果和建议。
无论如何,严格包含这些要素的所有审计发现,都为采取纠正行动提供了强有力的依据,同时它会想方设法证明确实存在问题并提出解决方法。
在个别情况下,原因这一要素可能不一定合理,因为某个问题可能是特定情况下的结果。
背景
要让阅读者完全理解为何内部审计师认为该审计发现应该报告,就需要提供足够的与事实相关的总体信息。
背景应能够确定参与者和组织的关系,甚至在某种程度上,涉及到了目的和目标。
他应是从总体上描述经营活动所处的周围环境和情况的严重性,促使内部审计师应该及时报告该审计发现。
标准
在标准概念中,审计发现的提出必须包括两个主要要素:
①目标和目的,很可能包括经营标准,它表明管理层希望被审计的经营活动所要实现的目标和目的;②完成的质量。
不理解一项经营活动的目的,就像被蒙住双眼的人去鉴别一件雕塑一样。
虽然可能对触摸到的部分有一些认识,但没有总体的概念。
在提出审计发现时,除了各要素外,内部审计师还应该清楚地看到并理解全局情况。
在对一项活动进行审计时,目标地正确性、效率性、经济性和效果性都要涉及,包括:
所有的资源都得到最大程度的利用,浪费要减至最少。
为了确定如何正确、如何有效率、如何经济以及如何有效果,内部审计时必须有个标尺,即衡量标准。
他们必须能够确认合理的标准或者业绩标准。
在他们提出批评前,必须要知道什么是对的。
经营标准可能已经存在于组织的一些领域内,但内部审计师在采用该标准前,应评估其有效性,应对制定标准的基础加以研究。
内部审计师应该将该标准与其他同类组织的标准进行比较,以检查其在实现组织目标方面的合理性。
另一方面,还可能存在管理层没有建立标准的情况,在此情况下,内部审计师可以遵循以下原则:
·应有的职业审慎包括评价已有的经营标准,确定这些标准是否可以接受,是否可以达到。
当这些标准模糊时,内部审计时应寻求权威性解释。
如果内部审计师需要解释或选择经营标准,应该与客户就衡量经营业绩所需标准达成一致。
标准可能来自于自行制定的、同行业的、历史的,或者法律规定的标准。
此外专家意见、成本核算研究也可以提供标准。
标准与程序和实务密切相关。
程序是指管理层的指引,通常以书面形式存在,而实务则是做事的方法,这种方法可能对也可能错/部完善的程序可能会导致不能令人满意的状况,而不良的实务则可能会违背合理的程序。
在提出审计发现时,内部审计师应了解事物和程序的现行状况和理想状况分别是怎样的。
不完善程序的存在或者正确程序的缺乏,可能是需要采取纠正行动的深层次原因。
然而将其清楚表达出来而且不令人费解需要相当的技巧。
内部审计师应当只报告最重要的部分,而省略不必要的细节。
情况
这个术语指的是由内部审计师通过观察、询问、分析、复核和调查所得到的事实。
情况是审计发现的核心,其信息应该是充分、可靠和相关的,并应能够经得起任何质疑。
它必须能够反映被检查的所有人或系统的情况,或者在个别情况下反映一个重大的缺项。
同时,客户应认同所反映的事实,尽管他们可能对内部审计师所抨击事项的严重性有所争议。
客户可能会不同意审计发现的结论或解释,但绝不能对作出审计结论依据的审计事实有异议。
如果审计客户能能够合理说明内部审计师得到的事实并不准确,该发现就可能不能合理、准确地提出。
因此应及早与那些了解事实的人讨论这些情况,关于事实的任何争议都应该在该发现被报告前得到解决。
内部审计师必须保持“看问题准确”的名声,不辜负如下评论:
“如果内部审计师说了,它就是真的。
”
原因
根本的原因解释为什么存在偏离标准的偏差、目标为何没有实现以及目的为何没有达到。
找出原意是解决问题的关键。
每一项与期望值的偏离都可以以审计发现来描述,但只有在偏离被识别以及原因被找出的情况下,问题才能得到解决。
确定原因就是解决问题的一项工作,过程包括如下典型步骤:
·收集事实;
·确定问题,寻找偏离情况;
·列出问题的详细情况:
什么是偏离?
偏离在那里?
何时发生?
有多重要?
它是由于某些行为引起的还是由于不作为引起的?
·测试可能的原因,即那些能够完全解释偏离、每次都出现并且能够解释偏离方向的方方面面的原因,要找出那些根本性的原因,不能仅仅停留在表面上;
·陈述采取潜在纠正行动的目标;
·将可选择的行动与上述目标进行比较,初步选出最优的;
·考虑所选择的纠正行动所带来的不利影响;
·多考虑一下“如果…将会…”;
·是否存在正在改善的情况;
·建议采取控制措施,以保证最佳纠正行动确实被执行。
影响
影响回答了“将会怎么样”这一问题。
假设所有事实如陈述的一样,将会怎么样?
谁或什么受到了损害,损害有多严重?
结果是怎样的?
这些不利的结果不仅仅是与程序间的一些偏离,而重要的影响是说服客户或更高管理层的必要元素,向他们证明这些不合理的现状,如果允许它们继续下去的话,将会导致严重的损害,而且所造成的损失将超过纠正该问题所应采取必要行动的成本。
在经济性、效率性的审计发现中,效果常常以金额来衡量。
在有效性审计发现中影响通常表示无法实现希望得到的或法定的最后结果。
影响应有说服力,它对审计发现来说是不可缺少的。
如果它不能让管理层充分信服,那纠正行动被采纳的机会将会很微小。
结论
结论必须有事实来支持,但结论是专业判断,而非细节的复述。
通过提出他们的审计结论,内部审计师能够清晰地展示其对组织的特殊的贡献。
当内部审计师能一贯地提出审计结论,这些结论引致新的、更高水平的业绩,降低成本和提高产品质量,消除不必要的工作,充分发挥技术的力量,提升顾客满意度,改善服务,增强组织的竞争力,那么内部审计的作用是显而易见的。
结论能够加强内部审计师对组织以及被审计部门于整个企业之间的关系业务的理解。
结论能够并应该提出潜在纠正行动的方式,指出纠正缺陷的成本将低于其带来的收益,在影响中揭示损失程度的出发点是为了采取纠正行动。
建议
建议是描述行动的方式,管理层可能考虑借以调整那些已趋于错误的情况和强化控制系统的弱点。
建议应积极有效并尽可能详尽,还应明确由谁去执行。
然而,审计建议也潜伏着危险。
如果管理层被告知,内部审计师建议的方向就是应该着手做的事情,那所采取的行动可能会使内部审计师陷入困境。
确认不能令人满意的情况是内部审计师的责任,而纠正该情况是管理层的职责。
更好的做法是内部审计师提出纠正行动的措施共管理层参考。
审计建议不应盲目的采用,而是应和其他可能的措施一起进行考虑。
内部审计师不能命令管理层采取措施,到最后,是管理层而非内部审计师对纠正行动负责。
最好的解决审计发现的方法是在书面审计报告完成以前,与运营部门管理层进行讨论。
这时,双方应就审计事实和纠正错误所应采取的某些行动达成一致意见。
其后正式的审计报告中应包含如下陈述:
“我们与管理层讨论了有关审计发现,结果是我们相信旨在纠正上市情况的行动已得到考虑(或者已采取纠正上述情况的行动)”。
这种方法并没有造成内部审计师任何损失,它还能在内部审计师与客户之间建立起一种解决问题的伙伴关系。
我们坚信,和那些强调客户失职、巴内部审计师的建议当作圣旨的报告发布方式相比,以下这种审计建议的报告形式更为可取:
“我们与管理层讨论了我们的审计发现和结论。
结果管理层采取措施…,管理层满意的是,该措施将产生…额外收益,同时降低成本…;此外管理层还…
讨论审计发现
在提出审计发现和仔细考虑审计建议时,内部审计师应意识到自己也可能犯错。
他们可能么有正确地解释情况,或者可能没有专门阅读相关程序。
为了检查对审计发现的理解是否正确,内部审计师应与那些最有可能了解这些事实的人进行讨论。
内部审计师还应该获得客户的解释并将其记录于工作底稿。
与建议行动的结果有关的经理和富有经验的员工的意见特别受欢迎。
有经验的内部审计师会询问组织内见多识广的人,即那些对审计所质疑的业务有充分了解的人。
内部审计师会询问他们“这里有个问题,该情况需要纠正或改善。
如果我们建议采取这项行动,将会怎样?
”许多经验丰富的内部审计师有各种方式来提出这类询问,在得到有价值意见同时避免使自己陷入困境。
审计发现的记录
期望其审计发现的所有要素都已得到充分考虑的内部审计师,可能希望依赖一种表格或者其他方式来保留他们的工作成果。
该表格也能给审计主管提供一种途径,用以检查并确定审计师在形成一项正确审计发现的过程中所必须的步骤是否都得到实施。
审计发现记录范例一
组织:
审计发现的记录号:
工作底稿索引号:
情况:
标准:
上次检查有同样的发现:
是 否
程序或实务:
选取样本的方法:
总体规模:
样本量:
偏离数量:
占样本的%:
原因:
影响:
建议:
纠正行动:
讨论情况:
姓名 职务 部门 日期 意见
1、
2、
3、
4、
内部审计师:
日期:
审计主管:
日期:
该范例展示了有关审计发现的内部审计活动记录,它提供了这类表格的一个例子。
它有助于:
·确定应负责任的组织;
·为特定的审计发现提供一个识别号码,以及为支持性的工作底稿提供索引;
·对情况进行简要陈述;
·确定在评价情况时所应用的标准;
·指出该审计发现是否在以往的审计工作中提出过;
·引用审计发现所涉及的有关政策、程序,或者工作指南;
·概述审计测试情况以及所发现的偏离数量;
·解释原因,即为何会出现偏离;
·陈述建议采取的纠正行动或已采取的纠正行动;
·记录与客户员工讨论的情况,并注明他们的意见,如果有的话,还要记录他们计划采取行动的方式。
审计发现的记录表格具有灵活性,可以对大量审计发现的记录进行整理和重新分类,使得编制正式审计报告更为容易。
这种表格也提供了现成的讨论指引,因为它将描述问题所需要的绝大部分内容集中在一张表上。
,它还起到向导的作用,能够提醒内部审计师一项充分的审计发现需要收集的全部资料有哪些。
审计发现的记录表格应在审计现场完成,以便任何错漏都能在不需要重返现场的情况下得到纠正。
除了作为工作底稿资料外,一些组织已扩展了审计发现的记录表格的作用。
他们通过它将审计发现通告给客户并获取客户的书面意见。
通过这种方法,争议更容易得到解决,而对纠正行动的统一情况也能留下一定的记录。
客户的反应和已经采取或承诺采取的行动的记录包含于审计发现记录表格的附件中。
审计发现记录范例二
对象:
负责主管:
内部审计师:
审计用时:
工作底稿索引号:
负责范围:
总体风险:
□ 低 审计结论:
□可作典范的
□ 中 □令人满意的
□ 高 □良好,但需要改善
□不能令人满意的
审计意见:
重要的审计建议:
管理层的回应:
□接受 所有建议将在(时间)实施
□不同意
管理层和内部审计计划的跟踪检查:
内部审计师将会检查相关修改控制…
有些组织会对每一项重要的审计发现签发一份便函以便通报情况、标准、原因、效果,以及管理层的回应。
如
审计发现概要
被审计对象:
审计内容:
报告主题:
情况:
标准:
原因:
影响:
管理层回应:
审计经理:
日期:
这有以下好处:
·高级管理层通过一种快捷途径以便了解现时存在的问题以及为解决问题已采取或需要采取的行动;
·在现场办公的经理被告知存在的病可能影响他们的问题,这样内部审计师在耗费同等资源情况下能够影响到多个领域;
·对这些问题概要的定期分析可以揭示其发展趋势。
当引起高级管理层注意时,他们将会采取全面行动去组织不力趋势;
·在编制审计报告前编写概要的做法,能够帮助内部审计师查明在形成审计发现过程中的任