制定基于风险的内部审计计划
*关于IPPF*
国际专业实践框架®(IPPF®)是概念框架,它组织了IIA颁布的面向全球内部审计专业人员的权威指南。
强制性指导是在已建立的审计工作过程之后制定的,其中包括为利益相关者参与的公共披露期。IPPF的强制性内容包括:
内部审计专业实践的核心原则。
内部审计的定义。
道德准则。
关于补充指导
实践指导
实践指导是补充指导的一种,提供了详细的方法,循序渐进的过程以及旨在为所有内部审计师提供支持的示例。选择实践指导重点在于:
金融服务。
公共部门。
总体概要
在当今的商业环境中,有效的内部审计需要周密的计划以及应对快速变化的风险的敏捷响应能力。为了增加价值并提高组织的效率,内部审计优先级应与组织的目标保持一致,并应解决最有可能影响组织实现这些目标能力的风险。
本实践指导介绍了系统的方法,用于创建和维护基于风险的内部审计计划。CAE和指定的内部审计师共同努力:
了解组织。
识别,评估风险并确定其优先级。
与其他提供商进行协调。
估算资源。
提出计划并征求反馈。
完成并沟通计划。
不断评估风险。
正文
介绍
全面的基于风险的计划使内部审计活动能够适当地调整并集中其有限的资源,以针对组织最紧迫的问题提供洞察力、积极主动且具有前瞻性的确认和建议。确保内部审计优先级基于风险需要进行高层级规划,CAE负责根据至少每年进行一次的风险评估制定内部审计业务计划(Standard 2010 – Planning and Standard 2010.A1)。
基于风险计划的沟通
在准备内部审计计划时,CAE应该考虑如何与利益相关者进行互动,并创建一个能够产生最大利益相关者价值的内部审计计划。注意事项包括:
哪种类型的内部审计业务可以为高级管理层和董事会提供充分的保证和建议,以有效地减轻重大风险?
内部审计活动将如何传达其风险评估和基于风险的内部审计计划?哪些类型的图文展示将有助于支持有效的交流?
*谁负责基于风险的内部审计计划?*
虽然CAE负责内部审计计划,但是经验丰富的内部审计经理和内部审计人员可以在计划过程中执行活动。本指南讨论了CAE,内部审计经理,内部审计师以及内部审计活动的整体作用和职责。但是,没有一种方法适合所有组织,并且安排因组织而异(例如,根据内部审计活动的规模和资源而定)。
计划变更
本指导说明了初步创建内部审核计划的步骤,以及计划的正式批准要求,这些要求可能会在预定的时间间隔内发生。另外,内部审计活动必须对影响组织目标和风险优先级的内部和外部变更做出快速响应。组织和外部条件不断变化,在执行任何参与活动期间可能会出现新的或更详细的风险信息。内部和外部审计师可能会在参与期间发现新信息,这将促使内部审计的全面风险评估和内部审计计划发生变化。
审核计划制定概述
图1:内部审计计划制定周期
Understand Organization
了解组织
确定目标,策略和结构
了解组织的风险管理流程需要确定如何协调风险管理和治理的角色和职责。通常,这种协调涉及:
通过运营和生产线管理来实施控制。
保证风险管理和控制系统已经有效设计并按设计运行。风险管理、合规性,质量控制和类似功能可提供此类保证。
由内部审计活动提供有关治理、风险管理和控制流程的独立保证和建议。
审查关键文件
在启动风险评估之前,CAE可能会审核关键的组织文件,例如组织结构图和战略计划。CAE可能会审核这些文档,以深入了解组织的业务流程以及潜在的风险和控制点。
图2:用于信息收集的文档来源
与主要利益相关者进行咨询
CAE必须与主要利益相关者协商,以实现与Standard 2010 – 计划有关的标准要求。持续的交流对于灵活地进行更改调整至关重要。此外,持续的沟通有助于确保高级管理层,董事会和内部审计活动对组织的风险和保证优先级具有共同的理解。
与董事会和治理委员会的会议
CAE应出席与董事会和主要治理委员会(例如,审计委员会,风险委员会)的会议,并可以与个别成员独立开会。参加此类会议有助于CAE了解组织中的最新发展,并警惕更改可能导致的潜在风险。
与管理层会面
除了与董事会会面外,CAE(或指定的内部审计师)还应参加高级管理层和/或直接向高级管理层汇报的人员(即第二道防线的职位)的例行会议(电话,网络或面谈) ,例如合规性、风险管理和质量控制的专属官员)。CAE应独立与个别高级管理人员交谈。在某些受到严格监管的行业或部门中,CAE可能还会与外部审计师和/或监管机构会面。
与主要利益相关者进行咨询
利益相关者包括
董事会:审计委员会,风险委员会,治理委员会,个别董事会成员。
高级管理层,首席风险官。
第二(防)线功能。
运营/生产线管理。
人力资源。
市场营销。
执行关键运营任务的员工。
外部审计员/监管者,如专管人员(特定行业)。
交流方式
面对面的会议。
电话/在线会议。
调查。
面谈。
小组集体讨论会,研讨会。
随时进行的非正式沟通。
非正式沟通
非正式获得的信息可能会完善内部审计对组织的理解,并提供未正式披露的现实细节。当内部审计师被指派与特定的业务线,职能,位置和/或法人合作时,关系通常会得到加强。与整个业务部门和职能部门(包括人力资源和市场营销等部门)的管理层和员工进行互动,有助于内部审计活动全面了解组织的计划和控制环境。
调查,访谈,头脑风暴,研究
其他获取信息的工具包括调查,访谈和小组研讨会(例如,头脑风暴和聚焦研讨)。这些工具对于识别新兴风险和欺诈风险特别有用。
组织的十大目标与主要部门目标之间有何关系?
哪些策略用于实现这些目标?
如果发生了哪些风险,可能会干扰组织实现这些目标的能力?
风险信息来源
管理优先级,业务流程,技术(IT)和运营方面的变化。
欺诈风险的道德/举报系统。
地缘政治发展。
法律和法规变更。
来自高级管理层和董事会的要求。
新项目和变更计划。
来自管理层和内部审计活动(包括欺诈,IT和财务控制)的事先风险评估
创建或修订审计宇宙(Audit University)
一旦确定了主要策略和目标,CAE可能会想要创建或查看审核范围,这是组织内所有可能审核的单位的列表或目录。可审计单元可以是“由于存在风险而可以证明审计工作合理的任何主题,客体,项目,部门,过程,实体,职能或其他领域”。
确保审计宇宙的完整性
为了确保审核范围的完整性,CAE应该考虑以下风险信息来源:
组织的战略和价值创造链。
所有主要领域,事业部,部门和项目及其战略,目标和流程(从组织结构图,法律和/或ERM框架的高层)。
第三方供应商(来自法律,采购或合同管理职能)。
所有主要职能的流程和子流程(来自流程要求的活动,例如ISO要求的)。
主要的IT应用程序和信息系统资产,包括硬件,软件及其包含的信息(来自IT管理)。
适用于组织的法规和法律合规性要求。
非财务绩效指标(例如环境,健康和安全,社会,治理)。
来源:审计撷英。(如有转载,请注明以上信息)。
联系客服