风险和控制自我评估
1.1控制自我评价是一种检查和评估组织风险管理和控制系统有效性的方法,它将传统内部审计概念与风险分析、自我评估方法结合起来,有时也被称为风险和控制自我评价。控制程序的目的是在风险管理和实现组织既定目标方面提供支持。高级管理层的任务之一是监督风险管理系统和控制程序的建立、管理和评估、一线管理人员的职责之一是评估所在领域的控制程序。内部审计部门所面临的主要挑战是在汇总许多单项评估结果的基础上评估组织控制程序的有效性。风险和控制自我评价的基本理念是:控制的责任在于组织中的每个人,要求在经营过程中工作的人,包括雇员和管理人员,都要对其所在经营过程中的风险和控制进行评价。因此,组织中所有雇员均可以参与评价过程。除了传统的审计方法和审计实务外,采用控制自我评价方法没有改变责任本身。在一定程度上,它还将一些责任转移给其他人。
风险和控制自我评价的优点在于:为组织雇员增强对经营风险和控制制度的理解提供了机会;提高了组织雇员的控制意识及降低风险的能力;及早发现存在的风险;提倡公开沟通、团队合作精神,鼓励不断完善; 组织的风险/控制环境可能得到更有力的监督,并得到持续地改善;组织雇员得到授权,提高了责任感;增强了管理层在风险管理和控制过程中应承担的责任;内部审计师能够获得更多的有关控制程序的信息,促进其更加关注存在重大控制弱点或高风险的单位或职能部门;通过评价,内部审计活动和经营单位及部门共同合作,形成了有关控制程序如何运行良好、剩余风险如何重要等方面的准确信息。
风险和控制自我评价包括5个过程:
· 制定全面系统的工作计划,并实施初步审查工作,确定评价采用的方法、标准和所需要的资源。
· 将参与者分成小组,并召集他们在同一时间和地点开会。参与者都是“程序主人”,他们是被评价事项中的管理人员和一般职员,对这些事项最了解,是对控制制度的实施至关重要的人。
· 设计一份议程表,推进者按照议程表安排领导小组成员检查。通常,议程表是依据设计好的标准结构或模型编制的,以便保证参与者能够关注所有应该注意的事项。
· 安排一名记录员随时记录会议过程,利用电子投票技术使每位参与者匿名表达其对事项的看法
· 报告评价结果,并制定改进计划。
风险和控制自我评价的方法有很多种,取决于组织所在的行业差异、地理位置、组织结构、组织文化、雇员的授权度、重要的管理模式以及政策和战略的制定方法。常用的风险和控制自我评价方法主要有三种:促进小组研讨班法、调查法和管理部门分析法。组织在进行自我评价时,经常将上述三种方法结合起来。
推动型专题讨论会法收集的信息来源于代表不同层次经营单位或职能部门的工作小组。既可以针对组织目标进行,又可以针对风险、控制或过程进行。在研讨过程中,审计业务客户和内部审计职员都可以起到促进作用。
· 以风险为基础的方式将注意力集中在确认实现目标的风险上。工作小组在开始时,就将所有可能阻止目标实现的障碍、威胁和漏洞罗列出来,然后检查控制程序,确定这些程序是否充分,能否有效地控制这些重要风险。工作小组的目的是发现重要的剩余风险。以风险为基础的方式要求工作小组参与目标——风险——控制计划的全过程。
· 以控制为基础的方式将注意力集中在现行的控制制度是否有效运行。该方式与其他方式的不同之处在于:在工作小组开始工作前,推进者就要确定关键风险和控制,但是推进者不参与评价过程。工作小组评估控制制度是如何有效地降低风险和促进组织目标的实现,其目的在于分析控制制度实际运行情况和管理层理想运行情况之间的差距。
· 以过程为基础的方式将注意力集中在挑选构成过程链组成因素的各项活动上。该方式涵盖了过程中多项目标,支持管理层采取一致行动完成重新设计、提高质量、持续完善等工作,因此其所作的分析比以控制为基础的方式要广泛和客观。
· 以目标为基础的方式将注意力集中在完成业务目标的最佳方式上。工作小组以证实现行的控制能否支持目标实现、然后确定存在的剩余风险来开始其评价工作,他们的目的是决定控制程序能否有效运行,能够将剩余风险控制在可接受水平之内。
1.2调查问卷法,倾向于提出易为被调查对象理解的、简单的“是/不是”或“有/没有”等问题。采用调查方法的前提包括:(1)预计评价参与者很多或很分散,不能集中参加研讨班;(2)企业文化不利于开展坦诚公开的讨论;(3)管理人员希望最大程度地降低收集信息所花费的时间和成本。
1.3管理部门分析法,又被称为自我评价方法,没有上述其他两种方法常用。。它涵盖了很多管理小组产生和收集信息的方法。这种分析通常趋向于对控制程序具体特征作出及时和有见解的判断。内部审计活动还可以发挥以下两个极端不同的作用:在有些项目中发挥了重要作用,在有些项目中发挥了较少作用。
1.4第三方审计是对那些为组织提供服务或产品、与组织有利益往来的独立第三方实施的审计业务,尤其是影响交易事项的重要控制制度存在于组织外部时,实施第三方审计是非带必要的。典型的第三方包括:提供外包信息处理职能业务的服务组织、电子数据交换系统涉及的交易伙伴。第三方审计主要涉及两种类型:(1)合同审计。(2)另外一种类型是为了证明组织(例如国际标准组织ISO)制定标准的执行情况而实施的审计。
合同审计通常是指对重要的建筑合同和经营合同(例如特殊机械设备制造合同)的审计,目的是对合同进行监督和评估。虽然每类合同都有其自身的风险和优势,但是合同审计的共同点就是要求审计师寻找在人员成本、材料成本、设备成本和供应成本控制上存在的缺陷。内部审计师应该监督从合同谈判到合同完成的全过程,而不仅仅是执行过程。应该检查:招投标过程、成本估算和控制成本、财务预算和资金来源、承包人的管理系统、承包人的财务状况、税收事宜,等等。
一次付款(固定价格)合同:内部审计师在审计这类合同时,应该更多关注合同变更情况或者长期性合同在执行过程中出现的复杂情况,例如:付款过程、劳动力成本的调整、变更订单等。
成本加总合同:合同价格等于成本与一个固定金额的总和,或等于成本与按照成本一定百分比计算出来的金额的总和。内部审计师应该关注合同执行的经济性和效益性,关注成本节约问题。建议合同内容中包含以下条款:(1)规定成本上限,同时规定合同双方共享低于上限而节约的成本;(2)规定提前完成合同的奖励措施。
单位价格合同:合同中规定每单位工作成本,合同总额为完成的工作量与单位成本的乘积。在此类合同审计中,内部审计师应该关注的是已完成工作量计算的准确性。
1.4质量审计业务是指审计师用一系列标准或控制来衡量组织当前的经营活动。必要时,审计师还要评价组织的控制质量,确定控制是否随着组织活动、行业规则、技术的变化而更新,并且不断得到完善和强化。有效的质量系统由检查、测试以及制度构成。独立审计师实施质量审计的目的是提供这样的保证,即组织质量计划如果得到遵守,是否就达到了预期的质量要求。内部审计师应该考虑:质量问题是组织中所有各方都应该承担的责任;如果缺乏质量标准,应该与管理层及相关部门合作建立一套标准;如果组织中的质量保证部门或质量管理团队定期实施审计,则应该与这些部门合作,另外这些部门本身也属于内部审计范畴之内;了解全面质量控制(TQM)概念。全面质量管理是一种提高组织中全方位质量(从供货商到顾客)的综合方法,是一种持续监督过程,其基本目标是:提高客户满意度,促进持续不断的改善,提升团队合作精神。全面质量管理理念强调高级管理层的努力是全面质量管理成功的关键因素。
相关推荐: