实务公告2130-1 评估控制程序的适当性
主要相关标准:
2130-控制
内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制。
1、组织建立和维持有效的风险管理科控制程序。控制程序的目的是在风险管理和实现组织既定目标方面提供支持。控制程序主要用于确保:
●财务和运营信息的可靠性与完整性;
●运营的效率和效果;
●资产的安全;
●对法律、法规及合同遵守。
2、高级管理层的任务之一是监督风险管理系统和控制程序的建立、管理和评估。一箱管理人员的职责之一是评估所在领域的控制程序。内部审计师为组织所选工作和部门的风险管理及控制程序的有效性提供不同程度的确认。
3、首席审计执行官对控制程序的适当性和有效性发表总体意见。首席审计执行官通过实施审计和适当信赖其他确认服务提供者的工作来取得足够证据,并据此发表意见。首席审计执行官就该意见与高级管理层和董事会沟通。
4、首席审计执行官制定年度审计计划草案,以获取充分证据,评估控制程序的有效性。
计划包括省级业务和/或其他程序,应以获取评估所有主要运营部门和业务部门的充分、适当的审计证据,同时检察主要控制程序在组织内的运行情况。计划应该灵活,以便根据管理战略、外部条件、主要风险领域的变化或对组织实现目标期望的修改而进行调整。
5、审计计划要特别考虑至易受到近期或意外变化影响的运营领域。这些领域的变化可能源自市场或投资环境、收购或过户、重组、新系统和新风险。
6、在确定所提议的审计计划的覆盖面时,首席审计执行官要考虑其他高级管理层提供确认的人(如企业合规人员)开展的相关工作,同时要考虑外部审计师完成的审计工作和管理层对组织风险管理过程、控制和质量改进程序的自我评价。
7、首席审计执行官应该评估所提议的审计计划的覆盖面的广度,以确定审计范围是否足以支持审计师对组织的风险管理和控制程序达成审计意见。如果在审计范围方面存在任何可能阻碍审计师达成意见的缺陷,首席审计执行官应当告知高级管理层和董事会。
8、内部审计部门所面临的主要挑战是在许多单项评估汇总的基础上评估组织控制程序的有效性。这些评估主要来源于内部审计业务、管理层的自我评估检查和其他相关确认服务提供者。随着业务的开展,内部审计师应该及时与适当管理层沟通业务发现,以便采取改进措施,纠正或减缓说发现的控制差异、缺陷及其后果。
9、在评估组织控制程序的总体效果时,首席审计执行官应该考虑以下因素:
●是否发现重大差异或缺陷;
●发现后是否进行了纠正或改进;
●能否从这一发现及潜在后果中得出一个结论,即无法接受的风险水平普遍存在。
10、重大差异或缺陷的存在不一定必然得出类似情形普通存在且将为组织带来无法接受的风险的结论。内部审计师在确定控制程序有效性是否受到危害和是否存在无法接受的风险时,既要考虑风险发现的性质和范围,也要考虑潜在后果的大小。
11、首席审计执行官通常每年向高级管理层和董事会提交关于组织控制程序的报告。该报告表明控制程序在实现组织目标方面所起的主要作用,同时阐述内部审计部门开展工作的性质和范围,以及在形成意见时所依赖的其他确认服务提供者的工作性质和范围。
了解详情800元/3科