第一部分第三讲:首席审计执行官(2)

    2.3 内部审计部门管理

    2000—内部审计活动的管理

    内部审计部门管理是指首席审计执行官为提高审计工作质量而采取的管理措施。主要包括内部审计部门的计划管理,制定内部审计部门的政策和程序,内部审计资源管理以及首席审计执行官就以上方面与董事会和高级管理层的沟通和协调等。

    2.3.1 计划
    首席审计执行官负责制定年度审计计划。

    2010—计划
    首席审计执行官必须以风险为基础制定计划,以确定与组织目标相一致的内部审计活动重点。

    【释义

    首席审计执行官负责以风险为基础制定计划。制定计划时,首席审计执行官需考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果尚未建立风险管理框架,首席审计执行官可以与高级管理层和董事会磋商后,自行作出风险判断。

    2010.A1—内部审计部门的计划必须建立在有记录的风险评估基础上,并至少每年制定一次。在计划制定过程中,必须考虑高级管理层和董事会的意见。

    2010.A2—首席审计执行官必须考虑高级管理层、董事会以及其他利益相关方对于内部审计意见或其他结论的预期。

    2010.C1—首席审计执行官在考虑是否接受拟开展的咨询业务时,应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。

    审计计划的制定应考虑三点要求:

    1.与内部审计部门章程和组织目标保持一致
    2.以风险为基础来制定计划。
    3.遵循成本效益的原则。

    此外,首席审计执行官考虑高级管理层和董事会的审计需求,并应考虑他们对于审计意见或其他结论的预期。

    年度审计计划的内容构成包括:

    (1)审计目标;
    (2)业务工作安排;
    (3)人员配置计划和财务预算;
    (4)行动报告。



    制订审计计划的基础是对组织风险的评估。风险评估应考虑所有的治理过程并侧重关注具有较高风险的治理过程和风险领域。具体来说,首席审计执行官制定年度审计计划包括:

    1.确定审计范围

    在制定年度审计计划时,优先确定审计范围是很有效的方法。审计范围是指所有可能进行审计的领域,具体包括:

    (1)董事会和管理层的要求。
    (2)公司战略。
    (3)其他。

    一般来说,风险管理过程的结果也会对审计范围产生影响。内部审计计划一般应关注以下方面:

    (1)需要采取管理措施的当前不可接受的风险。这些关键控制薄弱或化解因素少的领域,高级管理层希望立即实施审计。

    (2)组织依赖程度最高的控制系统。

    (3)固有风险和剩余风险间差别很大的领域。

    (4)固有风险非常高的领域。

    此外,还包括法律法规的要求、外部审计师报告中提到的问题等。

    2.确定内部审计活动的优先次序

    首席审计执行官应该运用组织内部设定的风险管理流程制定内部审计计划,并在评估风险和风险暴露优先次序的基础上安排审计工作。只有对风险进行优先排序之后,才能根据风险暴露的重要性分配相关的资源。多种风险模型的存在对首席审计执行官是很有帮助的。大多数的风险模型都利用了影响力、可能性、重要性、资产流动性、管理能力、内部控制的质量和内涵、变化或稳定程度、上次审计业务开展的时间和结果、复杂性、与雇员及政府的关系等风险因素。

    在确定审计工作安排重点时应该考虑的事项包括:

    (1)最近一次审计的日期和结果;

    (2)对风险和风险管理/控制过程效果的最新评价;

    (3)管理高层和董事会的要求;

    (4)当前与组织治理有关的问题;

    (5)企业业务、运营、程序、系统和控制发生的主要变化;

    (6)实现营业利益的机会;

    (7)审计人员的变化和能力。工作安排应该具有充分的灵活性,以便适应对内部审计活动的意外要求。



    内部审计章程通常要求内部审计活动着重于高风险领域,包括固有风险和剩余风险。内部审计活动要求识别固有风险高的领域,剩余风险高的领域以及对于组织而言最为可靠的关键控制系统。因此,内部审计师在制定内部审计计划时,应考虑固有风险是否被识别并进行了评估,剩余风险是否被识别并进行了评估,化解风险的控制、应急计划以及监控活动是否与独立的事件和/或风险相联系,风险登记表是否系统、完整、准确,风险和有关活动是否得到纪录等因素。内部审计计划还应当包括定期选择风险层级较低的业务部门或分支机构进行审计,并设计审计范围,确定这些业务部门或分支机构的风险未发生变化。此外,内部审计部门要制定一套应对计划外未解决风险的优先处理方案。

    3.确定资源配置

    首席审计执行官需要为每项内部审计活动配置适当的资源,资源需求包括:

    (1)人员数量和配置;
    (2)财务预算;
    (3)开展工作所需的知识、技术和其他能力;

    4.确定审计目标

    内部审计部门的目标应该能够在计划和预算范围内实现,并且是可衡量的。在制定目标时应该附带衡量标准和实现日期。

    5.审计范围和计划的更新

    审计范围和相关审计计划内容的至少每年评估一次,并进行更新,以反映组织最新的战略和方针。



   【典型习题
在确认是否应将采购部或人事部列入审计日程安排时,以下哪个因素最不重要?
   A.其中一个部门的经营发生了重大变动。
   B.最近新来了一个精通其中领域知识的内部审计师。
   C.其中一个部门比另一个更有机会取得经营收益。
   D.其中一个部门的潜在损失远远大于另一个部门。

    2.3.2 沟通和批准

    2020—沟通和批准

    首席审计执行官必须将内部审计活动的计划和资源需求,包括重大的临时性变化,报高级管理层和董事会审批。首席审计执行官还必须就资源受限制的影响与高级管理层和董事会进行沟通。

    首席审计执行官应该每年将内部审计活动的计划和资源需求包括年度审计计划、工作安排、人员配备和财务预算等提交给高级管理层和董事会审批。同时,高级管理层和董事会也可以通过对这些计划和需求的审批来了解内部审计工作的范围。在执行过程中如果发生重大的临时性变化,同样也需要报高级管理层和董事会审批。

    注意:高级管理层和董事会不一定全盘接受由首席审计执行官提交的内部审计活动的计划和资源需求。例如,高级管理层可能认为对某一个领域的审计应当优先于现有的审计计划、某个领域暂时不需要开展审计或者对某个审计项目的预算进行缩减等。这时,首席审计执行官必须就范围的变化、范围的限制和资源的限制产生的影响与高级管理层和董事会进行沟通。

   【典型习题
如果面临强加的审计范围限制时,首席审计执行官应该:
   A.推迟该审计业务,直至该限制消除为止。
   B.向董事会的审计委员会报告该范围限制所造成的潜在影响。
   C.向董事会的审计委员会报告该范围限制所造成的潜在影响。
   D.为该业务分派更多有经验的审计人员。

    2.3.3 资源管理

    2030—资源管理
    首席审计执行官必须确保内部审计资源适当、充分并得到有效配置,以完成获得批准的计划。

   【释义

    “适当”是指实施计划所必须的知识、技能和其他能力的组合。“充分”是完成计划所必需的资源数量。资源有效配置是指资源以能够最优实现获批计划的方式被运用。

    内部审计资源包括雇员、外部服务提供者、资金支持和可利用的审计技术和方法。组织的高级管理层和董事会对充足的内部审计资源负有最终责任,首席审计执行官应当帮助他们履行这一职责。首席审计执行官要定期向高级管理层和董事会沟通资源需求现状和资源充足情况,因为首席审计执行官对内部审计资源的充分性和有效性负有主要责任,以确保能够履行内部审计章程中详细规定的内部审计职责。

    资源规划的考虑因素包括审计范围、相关的风险水平、年度审计计划、审计覆盖面预期和对计划外业务的评估。内部审计资源必须足以实现审计业务的广度、深度和及时性,以符合高级管理层和董事会的预期,并与内部审计章程保持一致。

    首席审计执行官对内部审计人事管理的有效性负责,应制订方案来选择和开发内部审计部门的人力资源,包括:

    (1)为每一个层次的审计人员制订书面的岗位说明;

    (2)选择合格的和能够胜任工作的人员;

    (3)选择合格的和能够胜任工作的人员;

    (4)至少每年一次对每个内部审计人员的业绩进行鉴定;

    (5)向内部审计人员提供业绩和专业发展方面的咨询建议。

    解决资源需求的其他办法包括聘用外部服务提供者、公司内部其他部门的雇员或专业顾问。由于可用资源或组织规模等因素的影响,利用一定的外部资源或者将部分内部审计业务外包是适当的。外包方案包括整体业务外包、部分业务外部、联合、将特定业务或将业务的某些部分分包给外部服务提供者等四种类型。为了指引内部审计外部资源配置实务操作,IIA发布了第2号立场公告《内部审计内外部资源配置》,指出无论谁提供内部审计服务,首先应遵循《标准》,其次是胜任的专业人员的配置,以便独立、客观地完成审计目标。

    IIA认为,即使采取将整体内部审计业务外包的方式获取审计服务,也不能将内部审计部门监督和应承担的责任外包。如果获取审计服务的方式或者资源的来源中任何一项即将发生重大变化,首席审计执行官应当向董事会提交关于此项建议的书面评估意见。任何关于内部审计业务整体外包(或外包其重要部分)的建议都应当经过董事会审批。

   【典型习题
在选择培训内部审计职员的指导策略时,首席审计执行官应首先考虑:
   A.组织的目标。
   B.培训的内容。
   C.职员的学习愿望。
   D.预算约束。

    2.3.4 政策和程序

    2040—政策与程序
    首席审计执行官必须制定政策和程序,为内部审计活动提供指导。

    【释义

    (2)行政性的报告

    政策与程序的形式和内容取决于内部审计部门的规模、架构及其工作的复杂程度。

    该《标准》中规定了必须制定政策和程序,但没有说明其具体的形式。

    对于小型内部审计活动,可以通过日常的、密切的监督和遵循政策与程序的备忘录来指导和控制审计人员,不一定需要正式的管理和审计技术手册。

    对于大型内部审计活动,更加正规、综合的政策与程序对指导内部审计人员执行年度审计计划时必不可少。

   【典型习题
向审计委员会提供有关内部审计与其他机构就保证与咨询活动相互协调对专业和组织利益影响方面的信息,主要是由谁负责?
   A.外部审计师。
   B.首席审计执行官。
   C.首席执行官。
   D.各个保证和咨询机构。

    2.3.5 对内部审计活动的风险进行管理

    内部审计活动无法免除风险,因此,IIA在2010年专门发布了“对内部审计活动的风险进行管理”这一个新的实务公告,指出首席审计执行官需要加强内部审计活动的管理,采取必要的措施来确保自身的风险得到管理,尤其是要考虑与内部审计活动以及目标实现相关的风险,包括审计失效风险、错误确认风险、审计声誉风险等。

    虽然无法绝对保证不发生审计风险事件,但是内部审计活动可以实施多种控制措施来化解审计风险:
    (1)质量保证与改进程序。
    (2)有效的审计计划。
    (3)有效的督导程序。
    (4)适当的资源配置。

   【典型习题
随着内部审计作用和重要性不断提高的同时内部审计活动也面临挑战,多种因素使内部审计活动处于较高的风险水平。首席审计执行官需要考虑以下哪项与内部审计活动以及目标实现相关的风险?
   Ⅰ.审计失效风险。
   Ⅱ.错误确认风险。
   Ⅲ.审计声誉风险。
   A.仅有Ⅰ。
   B.仅有Ⅲ。
   C.Ⅰ和Ⅲ。
   D.Ⅰ、Ⅱ和Ⅲ。