质量评估的六种方式增加了内部审计的价值

Thoughtware文章 发布日期:2020年7月14日
键盘

根据美国内部审计师协会(IIA)的规定国际内部审计职业实践准则(准则),“首席审计执行官必须制定和维护一个质量保证和改进计划,涵盖内部审计活动的各个方面。”这样的程序必须包括内部和外部评估。但是,虽然标准的要求,执行此类评估有更好的理由,即。,它可以添加到内部审计(IA)功能的值。

内部质量评估(QA)包括对内部审计职能的持续监测和通过自我评估的定期审查,外部质量评估应至少每五年由组织外部的合格独立审查员进行一次。无论是内部还是外部,QA关注的是我们将在本文中讨论的6个领域:

  1. IA结构与职责
  2. 风险评估和审计计划
  3. 员工专业熟练程度
  4. 信息技术
  5. 完成审计计划和附加价值
  6. 计划和执行审计业务、工作底稿评审、审计报告和进度监控

IA结构与职责

IA部门的基础是其结构,提供了其运作的基本指南。审计章程概述了IA活动的宗旨,权威和范围,独立性,责任和报告要求。正式报告行 - 通常向审计委员会或高级行政表明内部支持和指导水平,活动将在整个审计计划中保持独立性和客观性。

独立性是至关重要的,必须小心确保审计监督报告结构不会损害(或看上去损害)这种独立性。例如,IA可能向财务副总裁(VP)报告,后者了解活动需要独立运作,以客观和有效地开展工作。然而,如果财务副总裁负责首席审计执行官(CAE)的薪酬审查和调整,当IA对同样向财务副总裁报告的职能(如财务)进行审计时,独立性的外观可能会受到影响。可能会有人担心,由于财务副总裁负责CAE的薪酬调整,CAE可能会在向财务副总裁报告的职能审计中发布有利的结果。

QA审查员必须决定各种政策和程序,加上活动的目的和报告结构,是否提供了适当的基础设施,在遵循严格的专业指导方针的同时为公司增值。

风险评估和审计计划

虽然定义IA活动的结构和责任,为在组织内运营的功能提供了基础,但它是风险评估和审计计划进程,确定函数的潜在成功和值 - 添加。IIA指南重点关注基于风险的方法,以帮助确保活动关注最关键的风险区域,并允许IA活动增加价值。每年,CAE对可审计领域进行风险评估,在此期间,CAE通过一系列访谈和调查更好地了解对组织的关键控制和潜在风险。通过该实体的战略目标和使命,考虑到面试的结果,以建立年度审计计划。因此,强劲的年度风险评估过程建立了一年的剩余时间。

在评估内部监督的风险评估及审核计划过程是否符合标准时,质素保证审核员会考虑:

  • 内部审计是否确定了一个完整的审计域或可审计区域的范围?
  • 是否至少每年进行一次正式的风险评估,以确定年度审计计划中应处理哪些可审计领域?
  • 个人审计计划是否侧重于所选审查的每个可审计区域的重大风险?
  • 如果人员配置不允许完成风险评估中确定的所有审核,推迟或重新安排审核的过程是否合理,是否已沟通?

这方面的一个大问题是,可用的人员编制驱动审计计划,而不是审计计划驱动人员编制需求。通常情况下,内部审计功能“回到”基于现有人员的审计计划中。首先应完成风险评估,然后应考虑人员配备水平是否足以应付已确定的主要风险。在风险评估过程中,如果审计被确定为需要,但由于人员配备不足而推迟或重新安排,包括与董事会和/或执行管理层的沟通和他们的回应,质量保证审查员将详细了解这一过程。

员工专业熟练程度

与任何职业一样,这一行业的工具是必需的。在这种情况下,审核员必须拥有适当的技能、经验和胜任能力来执行工作。此外,组织必须提供持续的支持和继续教育,以保持员工的技能与时俱进。CAE必须根据行业和风险评估结果决定审核组的组成。每位员工的学位和证书,如。、财务、运营或信息技术(IT),由审计基础驱动。质量保证审核员评估这些属性是否符合标准。

通常,这方面的关注与员工的IT审计技能有关。虽然有一些资源可以对员工进行IT控制方面的教育,但如果没有适当的实地接触和培训,就很难培养IT审计技能。组织不是通过雇佣或合作外包来获取所需的技能,而是干脆从年度审计计划中取消IT审计,或者“淡化”审计的范围,让财务审计员来执行这项工作。此外,当采用集成审计方法时,许多审计机构将IT审计与非IT审计分开执行。QA审核员评估团队是否具备足够的IT审核技能,如果不具备,审核员可以建议管理层考虑雇用或签约员工来满足这一需求,并在内部培训开发人员。

信息技术

许多IA团队没有适当的IT资源来审计所有风险。除了考虑IA员工的IT审核技能外,QA审查员还应该确定是否有持续审核程序,如果没有,实施这样的程序是否对组织有益。

对IA团队的一个常见批评与报告结果的及时性有关。等到统计和审查结果、起草和审查报告时,审计结果可能已经存在几个月了。在QA过程中经常会注意到这样的观察结果。然而,数据挖掘技术现在允许IA团队通过持续审计技术和方法来执行测试,从而立即增加价值并提高及时性。

连续审计已经使用多年,并且随着数据挖掘技术的改进而不断流行。当使用连续审计时,测试是通过在连续的、例行的基础上提取当前数据来执行的,如。例如,每天、每周或每月生成数据报表,数据报表通常仅由异常生成。这使得内部审计员的时间得到了更有效的利用,因为已经确定了需要后续工作的例外情况。它还允许对整个人群进行测试,而不是对一个项目样本进行测试。

例如,组织可能希望实现持续审计程序,以帮助识别通过应付账款流程进行的潜在的欺诈性付款。可以实施程序来识别支付给与员工姓名或地址相同的供应商的款项,或通过邮局邮箱或邮箱服务地址发送给供应商的款项。对此类支付的实时调查可以帮助迅速确定欺诈支付是否已经开始。

完成审计计划和附加价值

实地考察和完成计划审计后及时发布报告是衡量IA团队的有效性的重要指标,但该团队增加的值是另一种对衡量和与领导沟通的重要性。CAES开始将QA视为验证他们对审计委员会的行动并建立可信度的机会。此外,CAES可以共享度量标准,例如由客户机调查,节省的结果,由可审计单位实现的建议数以及管理从管理的咨询请求说明值 - 添加。

随着IA函数的成熟,管理层应该被管理层视为增值资源和一个具有本组织最佳利益作为其最优先权的合作伙伴。除了通过年度审计计划工作外,具有合适技能组的内部审计师可以提供咨询服务,例如在组织实现新系统或产品时提供内部控制专业知识。此外,如果由董事会批准,CAE可以调整年度审计计划,以增加接受年度风险评估期间不存在的需求的接录,例如为最近的欺诈活动添加控制设计评估。QA Reviewer可以帮助组织确定其IA函数是否似乎为组织添加价值,如果没有,则活动应考虑实现的更改以使功能更有效。

计划和执行审计业务、工作底稿评审、审计报告和进度监控

正式的方法和方法帮助组织计划,执行和审查所有工作。大多数IA部门擅长锻炼基本程序,以审查支持工作人员的质量进行特定审计。

在QA评审期间评估的一个领域是IA职能部门的系统,该系统用于监督与管理层沟通的审计结果。审计监督的职责是审计风险领域并沟通建议,同时他们也有责任收集管理层的行动计划,并监督行动计划的实施,并有效地解决审计期间注意到的风险。例外情况是,高级管理人员接受不按照活动的观察结果采取行动的风险。最好的做法是定期监督行动计划,并将结果传达给董事会和/或执行管理层。如果没有这个系统,高级管理层可能会把审计报告搁置起来,忽略建议,直到下一次审计。QA审查员确定该系统是否存在并始终如一地应用。

一旦独立审稿人评估了本文所涉及的六个领域,就会发布一份报告,对IA团队是否符合标准发表意见。本报告亦载有有关改善保险业监督的架构、人员编制、资源调配和增值的意见和建议。

BKD会计师事务所如何提供帮助

BKD全国企业风险解决方案(ERS)实践提供了专门的资源,可提供专业知识和技能的合适组合,以实现综合成果。我们的ERS部门提供经验丰富的专业人士,为寻求提高IA活动的有效性和价值的组织提供QA服务。BKD提供各种QA服务水平,以满足您的需求,包括自主验证自我评估(SAIV)或完整的外部QA。此外,我们的专业人员可以帮助建立IA功能,并提供共同采购和外出选择以及现有IA功能的转换服务。

有关更多信息,请访问您的柏克德受信任的顾问或使用联系我们下面的形式。

Kate & Ben -我们能帮你什么?联系我们!

我们能为您做些什么?