Topic B—2 实施咨询业务
Conduct consulting engagements
★相关知识
2.1 咨询业务指咨询及相关的客户服务活动,其性质和范围需与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询业务。咨询业务本质上是一种顾问服务,一般应客户的具体要求而开展。咨询业务的性质和范围需与客户协商确定。咨询业务一般涉及两方:(1)提供咨询建议的个人或机构,即内部审计师;(2)寻求并接受咨询业务的个人或机构,即客户。在开展咨询业务时,内部审计师应保持客观性,不承担管理责任。
咨询业务的性质必须在内部审计章程中确定。只有审计章程中明确了作用和责任,内部审计师才能采取行动。”
2.2 确认业务和咨询业务并不相互排斥,它们也不排斥内部审计师行为准则中规定的其他类型服务活动。咨询业务通常产生于确认业务(例如,业绩评估审计可能演变成咨询业务,即设计完善业绩水平的衡量标准),反之亦然。
2.2.1 许多咨询业务是审计客户提出的特殊要求,目的是帮助检查由于组织变化、新技术应用等而需要强化的现行程序。许多其他要求是由于组织提供新产品或新服务而提出的,内部审计可以针对这些计划活动和程序提供一些客观建议。实施咨询业务的审计师在不损害客观性的情况下,可以更了解组织程序。
2.2.2首席审计执行官应该决定采用何种技术方法来对组织内部的各项业务进行归类。在一些情况下,实施“混合”业务可能比较妥当,即将咨询和确认业务中的一些内容融合到一起,形成一种混合方法。在其他情况下,区分业务中的确认和咨询内容可能是比较恰当的。
2.2.3如果客户委托的服务项目更适合内部审计师实施确认业务,那么内部审计师就应该实施确认业务,而不应该简单地实施咨询业务,以回避或允许其他人回避本适合确认业务的委托要求。作为确认业务实施的服务活动一旦被认定更适合作为咨询业务,那么就应该调整业务方法。
2.3咨询业务种类
咨询业务可以包括提供专业咨询和建议、开展优化促进活动、设计程序及开展培训等几方面内容。具体类型包括:
· 正式的咨询业务——计划内且经书面协议规定的业务;
· 非正式的咨询业务——各种日常性活动,例如,参加常务会议、临时项目、专门会议及日常信息交流;
· 特殊的咨询业务——参加兼并或收购小组,参加流程再造小组等;
· 紧急的咨询业务——参加灾后恢复或重建小组,参加非正常经营事件的恢复或重建小组,参加为满足特殊需要而建立的小组活动。
2.4 内部审计师在实施咨询业务时,应关注的事项
2.4.1保持独立性和客观性。
· 内部审计师有时被要求提供的咨询服务与他们以前负责的或实施过确认业务的经营活动有关。在提供这样的咨询业务前,首席审计执行官应该确认董事会了解并且批准要提供的咨询业务内容。一旦获得了批准,就应该修改内部审计章程,将咨询业务的授权及责任包含进去。同时,为实施此项业务,还需要为内部审计活动编制适当的政策和程序。
· 在得出结论和向管理层提供建议时,内部审计师要保持其客观公正性。当咨询业务开始前就存在损害客观性或独立性的情况,或者,在实施过程中出现有损客观性的情况时,内部审计师应该马上向管理层反映。
· 同一内部审计师,在咨询业务完成后的一年内,对同一审计业务客户实施确认业务,也会损害其独立性和客观性。因此,需要采取一些措施来减少这种损害的影响:(1)委派不同的内部审计师去完成每一项服务业务;(2)建立独立的管理和监督机制;(3)阐明对项目结果应承担的责任;(4)披露已认定的损害事实。管理层有责任接受且执行内部审计师提出的各项建议。
《标准》1130规定,内部审计师必须避免评价其以往负责的特定业务。如果内部审计师为其在上一年度内负责的业务提供确认服务,则其客观性会被视为受到损害。但内部审计师可以对其以往负责的业务提供咨询服务。若内部审计师可能会损害拟开展的咨询业务的独立性或客观性时,必须在接受该业务之前向客户披露。
· 在实施咨询业务时,尤其是在正在进行的或自然延续下来的咨询业务过程中,内部审计师要特别注意:不要不适当地或下意识地去承担超出业务范围或脱离原定目标的管理责任。他或她应该提供建议,而不是作出决策。
2.4.2保持应有的职业审慎性。开展咨询业务时,内部审计师必须考虑以下因素,履行其应有的职业审慎:
? 客户的需求与期望,包括咨询结果的性质、时间安排与结果沟通;
? 实现咨询业务目标所需开展工作的相对复杂性和范围;
? 与潜在效益相对的咨询业务成本。
2.4.3关注与业务目标相关的风险。在开展咨询业务时,内部审计师必须关注与业务目标相关的风险,并警惕其他重大风险的存在。内部审计师必须将开展咨询业务过程中了解到的风险情况,运用于评估组织的风险管理过程。
管理层和董事会负责组织的风险管理和控制过程。但起咨询性作用的内部审计师也可以协助组织识别、评估并运用风险管理的方法和控制措施,解决这些风险问题。协助管理层建立或改善风险管理过程时,内部审计师必须避免在实际工作中对风险进行管理,从而承担任何管理层应承担的责任。
2.4.4 关注与业务目标相关的控制。在开展咨询业务时,内部审计师必须关注与业务目标相关的控制,并警惕重大的控制问题。内部审计师必须将开展咨询业务过程中了解到的控制知识,运用于评估组织的控制过程。重大的风险漏洞和重要的控制弱点都需要引起管理人员的注意。在一些情况下,内部审计师应该将其担心通报给执行经理层,或者向审计委员会和董事会汇报。审计师应该利用职业判断:(a)决定漏洞或控制弱点的重要程度,提出采取或预计采取的可以纠正或消除这些漏洞和弱点的措施;(b)确定执行经理层、审计委员会和董事会在得到这些报告后的反映和要求。
2.4.5 当内部审计师缺乏完成全部或部分咨询业务所必需的知识、技能或其他能力时,首席审计执行官必须谢绝开展此项业务的委托或寻求充分的建议和协助。此外,内部审计师还要注意以下几点:
· 召开适当的会议,收集必要的信息,评估将要提供业务的性质和范围;
· 确认那些接受服务的组织能够了解和同意内部审计章程中规定的相关条款、内部审计活动的政策和程序以及其他相关规定。内部审计师应该拒绝实施那些内部审计章程禁止的业务、与内部审计活动的政策和程序相冲突的业务,也不能实施那些不能达到增值作用或者不能使组织获得最佳利益的业务;
· 评估咨询业务与整体内部审计活动计划的兼容性。内部审计活动以风险为基础制定的业务计划应该尽可能地将咨询业务包含在内,并且制定计划时充分依赖咨询业务,以便提供必要的审计覆盖面。
· 以书面协议或计划书的形式,记录下与咨询业务有关的一般条款、解释、说明或者重要事实,这对于内部审计师和服务接受方了解业务,加强沟通都是必要的。
2.5咨询业务的工作范围
2.5.1 《标准》2210规定:“咨询业务的目标必须在客户同意的范围内,针对治理、风险管理和控制过程等确定” ,“咨询业务的目标必须与组织的价值、战略及目标保持一致”。因此,内部审计师必须与咨询业务客户就业务目标、范围、各自的职责和其他客户期望达成协议。对于重要的咨询业务,该协议必须采用书面形式。
2.5.2内部审计师应该制定适当的目标,以满足服务接受方管理人员的需要。如果管理人员有特殊要求,且内部审计师认为自己制定的目标要先于这些要求实现时,内部审计师可以考虑采取以下手段:
· 说服管理人员将提出的额外目标纳入到咨询业务中去;或,
· 将这些目标没有被实现的事实记录下来,然后在最后沟通业务结果时,揭示出这一问题;并且,
· 将这些目标纳入到一项独立的后续确认业务中完成。
2.5.3正式咨询业务的工作计划中应该记录有业务的目标和范围,以及为完成目标所使用的技术手段。计划的形式和内容依咨询业务的性质而定。在确定业务范围时,内部审计师可以增加或者缩减范围以满足管理部门的要求。不过,内部审计师确定的咨询工作范围对满足业务目标来说应该是适当的范围。在工作期间,内部审计师需要定期重新评估业务的目标、范围和完成期限。
2.6咨询业务结果的沟通
2.6.1 咨询业务结果和过程的沟通形式和内容多种多样,要依业务的性质和客户的要求而定。提供报告的要求通常是由要求进行咨询业务的组织或人员决定的,因此关于报告形式和内容的要求应该满足他们制定的目标并与他们取得一致意见。无论采取何种方式沟通业务结果,都要清楚地表明业务的性质、存在的任何限制因素、限制条件或者其他应该引起信息使用者关注的事实。
2.6.2在一些情况下,内部审计师可以决定哪些结果应该越过服务接受者直接与其上级沟通,或要求提供服务者与其上级沟通。这时,内部审计师要扩展报告上报范围,以便可以与适当方面沟通业务结果。当扩展报告范围,向适当方面报告业务结果时,审计师要按照下列步骤进行,直至达到解决问题的目的:
· 首先,确认涉及咨询业务和相关沟通过程的协议中提供了什么样的规定;
· 第二,努力说服那些接受服务或要求提供服务的组织或个人能够自愿将业务结果与适当方面进行沟通;
· 第三,确认内部审计章程或审计政策和程序中有关咨询业务的操作指南是什么;
· 第四,确认组织制定的操作规程、道德规范以及其他相关政策中有关咨询业务的操作指南是什么;
· 第五,确认内部审计协会制定的《标准》和《道德规范》、审计师应该遵守的其他准则和规范以及一些相关法规中有关咨询业务的指南是什么。
2.6.3首席审计执行官负责向客户通报咨询业务的最终结果。在开展咨询业务时,可能会发现治理、风险管理和控制方面的问题。只要这些问题对组织是重要的,就必须向高级管理层和董事会报告。
2.7咨询业务的记录要求
需要注意的是:适合确认业务的记录规定没有必要一定应用在咨询业务的记录工作上。
2.8咨询业务的监督
内部审计部门应该监督咨询业务结果以最大限度地满足客户要求。不同类型的咨询业务需要采取不同类型的监督手段。监督效果如何取决于一些因素,例如:管理层对咨询业务的明确关心程度、内部审计师对项目风险的评估或者内部审计师对该项目能够为企业所创造价值的评估。
2.9开展咨询活动的指导原则(《实务公告》1000.C1-1)
· 价值观:内部审计活动的价值观体现在每一个雇用内部审计师的组织内,以一种适合该组织文化和资源的方式实现的。这种价值观体现在内部审计定义中,并且包含了保证和咨询活动。这些活动通过在管理、风险和控制领域内采取系统化、规范化的方法,来达到增加组织价值的目的。
· 遵循内部审计定义:在每一项内部审计活动中都包含系统的、规范的评价方法。广义类型的保证和咨询业务中通常包含有服务清单,不过,这些服务中还包括与广义内部审计定义相一致的、演变进化出来的增值服务类型。
· 审计活动不只包括确认和咨询业务:内部审计服务的种类有很多。确认与咨询业务并不相互排斥,也不排斥其他的审计活动(例如,调查和非审计作用)。许多审计服务既发挥保证作用,又发挥咨询(建议)作用。
· 确认与咨询业务之间的相互关系:内部审计咨询业务丰富了增值型的内部审计内容。虽然咨询活动通常是由确认服务直接产生的,但也要认识到确认业务也可能产生自咨询业务。
· 内部审计章程授权实施咨询业务:传统上,内部审计师提供了许多类型的咨询服务,范围包括:分析已建立控制制度,分析证券交易产品,被派出到相关单位分析经营情况并提出建议,等等。董事会(或审计委员会)应该授权内部审计活动提供额外服务并且在内部审计章程中作出规定。内部审计师在提供额外服务时,不能出现利益冲突现象,也不能违背对审计委员会承担的责任。
· 客观性:咨询业务可以增强对与确认业务相关的经营过程或事项的了解,并且不一定会损害审计师或内部审计活动的客观性。内部审计不具有管理决策的职能,是否采纳或实施作为内部审计咨询服务结果的建议取决于管理层,因此,管理层制定决策不会损害内部审计的客观性。
提供咨询服务的基础:很多咨询业务是确认和调查业务活动的一个自然的工作延伸,可能就是内部审计师提出的正式或非正式的建议、分析和评价。内部审计活动被定位于实施这类咨询业务是基于内部审计活动:(1)对组织的经营、风险及战略的广泛了解;(2)具有高标准客观性。
· 基础信息的沟通:向高级管理层和审计委员会提供保证是内部审计的首要存在价值,如果依据首席审计执行官的判断应向高级管理层及董事会成员报告的信息受到隐瞒,就无法开展咨询活动。所有咨询业务都应该在这种背景下得到理解。
· 组织所了解的咨询业务原则:组织必须制定为所有成员所了解的咨询业务的基本实施规定,而且这些规定应该编入经审计委员会批准且组织已颁布的内部审计章程中。
· 正式咨询业务:管理层通常聘请外部咨询顾问实施正式咨询业务,这需要持续很长时间。不过,组织会发现内部审计部门是唯一有资格实施一些正式咨询任务的部门。当内部审计活动受命去执行一项正式咨询业务时,内部审计小组应该采用系统化、规范化的方法来实施这项业务。
· 首席审计执行官(CEA)的职责:咨询活动使首席审计执行官得以就特定的管理问题与管理层进行对话。在对话中,业务范围及时间期限要符合管理层的需要,但是,首席审计执行官有权决定采取什么样的审计技术,并且在审计结果的性质和严重程度会给组织带来重大风险时,有权向高级管理层和审计委员会成员报告。
· 解决冲突或新问题的标准:内部审计师首要的还是一名内部的审计师,因此,在开展服务活动中,也应遵循IIA的《道德规范》及《标准》中的属性标准与工作标准,所有不可预见的冲突或活动都应按照《道德规范》及《标准》的规定解决。
2.10具体咨询业务
2.10.1 内部控制培训,是内部审计师对组织内相关人员进行内部控制制度方面的培训,帮助职员了解内部控制的建立、目标、相关流程和关键控制点,目的是使职员提高对内部控制制度的了解和认识,从而有效执行各项内部控制制度,提高组织运营效率和效果,降低组织风险。
2.10.1.1 内部控制是任何系统的基础部分,常被用于规范和指导经营活动,提高经营业绩,以实现组织目标。内部控制涉及组织中的每个人,因此,每个人(包括组织本身)都会受益于对控制程序及其重要性的广泛认识。内部审计师是促进内部控制执行和升级完善的当然人选,同时,内部审计师自身也需要进行控制培训。
2.10.1.2如果业务进行过程中,能够让接受检查的人自愿参与且积极配合,那么审计业务会相当顺利地进行。为审计客户提供了解控制制度的机会,有助于其认识审计重要性,更愿意提供有用、完整的信息。内部控制培训应该让客户了解以下5个方面内容:
· 控制环境。每个人都在各自岗位做正确的事。
· 风险评估。为了实现目标,要充分考虑风险。
· 控制活动。由于确认了风险,所以建立了适当的控制制度且正在发挥作用。
· 信息和沟通。收集和讨论数据。
· 监督。监督目标实现过程。
了解这些内容及相关因素可以帮助审计客户在判断内部控制质量时,更好地了解需要评估的必要管理活动,也有助于审计客户更好地承担帮助组织实现其目标的工作责任。同时,此类培训,还有助于内部审计活动获得审计客户的理解,并为其所接受。
2.10.1.3组织内部控制成功的关键在于培训。如果组织雇员不了解内部控制目标,不知道控制制度如何运行,不清楚控制制度带来的好处,那么,组织就不符合内部审计标准要求。内部控制培训内容包括:
· 外部的法律、规定、政策和制度。雇员知道适用的公共安全制度吗?清楚环境安全的各项要求吗?
· 财务和人事制度。雇员了解准确报告工作时间和缺席情况的重要性吗?他们知道如何记录工作时间或者如果发生错误,如何纠正或报告发生的错误吗?
· 信息处理程序。组织建立了数据两次检查程序,或者数据接触控制和错误报告程序了吗?
· 实务资产或财产的控制。雇员了解保卫和保护易受损害资产的重要性吗?
· 制度和责任。雇员清楚分配的责任吗?他们了解在程序中应该发挥的作用吗? 他们如何最有效地实现其目标?
2.10.2业务流程检查,是内部审计师采用一系列方法和技术,对组织内的各个业务流程和程序进行的检查,目的是确认业务流程的执行情况和各业务流程的有效性,同时针对存在的漏洞和弱点,提出适当的改进建议,以提高和改善组织经营活动。
2.10.2.1 传统公司结构,除了奖赏制度、管理目标、激励机制和评估机制以外,用有形的和无形的墙将各部门分隔开来。市场部与设计部分开,设计部与生产部分开,生产部又与采购部分开,等等。随着第二次世界大战后全面质量管理、持续完善等理念的出现,这些墙开始倒塌。新的组织模式(例如,被称为“协同计划、预测和补充”的CPFR)强化那些剪短部门之间分隔界线的程序,组成各种工作团队,例如,市场代表、产品设计员、生产工程师、运输专家、地区销售代表全都将注意力放在创新产品和服务上,专家们共同合作,满足每个领域,包括最终消费者的需要。上述强化不同学科交叉的重组过程,也给内部审计实务带来了挑战,要求内部审计必须关注不同种类生产、不同组织、不同账务核算办法和不同区域等。业务流程审计可以通过衡量交叉部门流程的效果性和效率性,来应对这些挑战。流程
审计关注点有很多,例如:
· 材料和供应品的订购、验收和付款过程
· 将供货或服务直接送达使用部门的过程
在以流程为导向的组织中,每个流程都有其自己的审计部门,部门中包括专门负责流程审计的职员。
2.10.2.2 《索耶内部审计》为内部审计关注组织流程,列出下列优势:
· 内部审计报告涉及组织活动,对组织生存和成长是必要的,而且是高级管理层最感兴趣的;
· 审计职员增加了对流程操作过程的熟悉和了解;
· 内部审计发现可以直接引起高级管理层的注意;
· 审计的持续监督使审计事项的解决成为焦点,并且构成解决流程中存在问题的建议来源渠道;
· 分权和缩小规模有利于及时签发报告;
· 在业务流程职员和内部审计师之间存在共同点,双方都关注流程能否运行良好。
2.10.3基准比较法,又称为基准管理法或标杆管理法。它首先寻找最佳的对象,将其行为确定为基准,最后与组织内部的活动、职能和操作程序相比较,并采取行动努力向基准靠拢,以达到持续改善组织经营情况的目的。它的基本点是:
· 寻找同本组织内部某一事项类似的最佳基准,并总结其特点、优势和经验;
· 根据基准评价组织自身水平,寻找差距;
· 制定计划和方案,改进组织内部的工作;
· 持续不断地寻找更先进的基准;
· 根据组织特性,确定关键的、需要改进的问题作为设立基准的要素。
2.10.3.1 基准只是组织(或个人)努力要实现的目标。有效的基准比较取决于在挑选目标上所投入的用心和智力程度。一个不能衡量、不能实现或很容易实现的基准是几乎没有或者一点没有存在价值的。一般来说,基准可以在企业自身、竞争对手、所在行业的基准和优点等范围内选择,选择的基准要具有可衡量性、精确性、有目的性及实用性。
2.10.3.2评估组织内部审计业务客户建立的基准是适合内部审计师提供的一项服务内容。基准比较也适合于绩效审计和全面质量审计。事实上,基准比较和全面质量管理(TQM)是相联系的。基准比较法既可以用于企业整体运行情况比较,以提高企业竞争能力,改善企业的运行,也可以用于一个部门、一个项目小组甚至职员个人的比较。比较的内容可以是全部,也可以是某一个或几个方面,比如营销系统、质量管理、客户服务或组织应变能力等。
客观上,不可能存在一个企业在所有的方面都比其他企业好的情况。如果出现了这种情况,说明企业进入了一个十分危险的阶段。要么是它的信息沟通系统出现了问题,要么是管理者或员工出现了自满情绪。所以持续不断地寻找比自身更优秀的标杆并不困难。为此,基准比较法成为企业持续创新的有效动力来源之一,它有助于推动企业成长,增加企业市场占有量,提高客户满意度,促进企业重要目标的实现。
2.10.3.3基准比较法包括以下几种类型:
· 内部型基准比较法:在部门内部或程序自身寻找高于现行最低业绩水平的更高业绩(但必须是可实现的),作为基准。例如,全体销售人员都努力达到本部门最佳销售人员实现的销售数量。
· 职能型基准比较法:是与那些在同一技术领域中经营的组织相比较,提供那些需要完善业务方面的信息。
· 竞争型基准比较法:将本行业的最佳竞争对手业绩水平作为基准,将注意力集中在组织的整体业绩方面,而不是组织内的子活动或子业务,目的是提高整体竞争力。例如,第二名租赁代理机构可能努力达到第一名租赁代理机构的业务量。
· 一般型基准比较法:是将经营活动中的某一业务流程与具有相似特征的业务流程相比较,不考虑行业或生产过程,例如文件处理过程。该方法能够导致创新式跳跃,但不如具有相似职能流程之间的比较那么有帮助。
· 行业型基准比较法:使用行业的衡量标准作为提高完善的目标。这样可能产生实用的基准,但也可能受到一定限制。
· 最高级型基准比较法:与一般型基准比较法一样,该方法在行业外部寻找比较模型。最高级基准是某一业务领域中世界领先者的业绩。虽然与竞争对手和行业标准比较组织业绩似乎显得更加适当,但事实上,组织可以不顾其所在行业,进行许多这样的比较活动。每个组织都有应收账款,都要和顾客联系,都与供应商打交道,等等。如果一个组织想要存货保持在最低水平,同时又不会影响客户,并且希望在这方面成为世界上最好的,那么它就应该在任何涉及存货管理的行业中寻找比较模型。最高级型基准比较法能够带来很大的改革活 动。
· 流程型基准比较法.将注意力集中在各个流程上,而不是放在诸如销售数量或销售收入上。
2.10.4信息技术(IT)及系统开发。内部审计师应该参与信息技术(IT)及系统的开发过程,而且重点考虑的是软件的监督、修改、可靠性及软件测试等问题。
在参与计算机系统的开发过程中,内部审计师:
· 要关心开发计划的适当性及成本/效益问题;
· 要监督开发过程的整个进展情况;
· 虽然不能参与计算机系统的设计,但应该建议在计算机系统中建立一定的控制并保留审计线索;
· 在正式运行软件前,要组织对其进行测试,为慎重起见,新程序应与现行程序并行运行至少一个处理周期。
2.10.5业绩测评系统的设计,是内部审计师接受组织委托,设计一系列考评标准体系,以衡量组织内部各部门及职员的工作业绩,目的是激励员工更好地完成工作目标和职责,最终实现组织目标。
2.10.5.1 在前面关于绩效审计业务的探讨中,对管理层用于衡量流程的主要业绩指标进行了解释。关键业绩指标(KPIs)应该是可衡量的、经过选择的,并且与组织主要目标是紧密联系在一起的(因此是“主要的”,因为你不能有效地衡量“所有"活动)。内部审计师要和审计业务客户共同制定业绩衡量标准,同时在审计中检查这些标准。
2.10.5.2有很多标准或KPIs可以作为业绩计分卡包含的项目。业绩计分卡(BSC)又称为平衡计分卡或平衡积分卡,是一个系统的战略绩效管理和评价体系。平衡计分卡将企业的愿景、使命和发展战略与企业的业绩评价系统联系起来,它把企业的使命和战略转变为具体的目标和测评指标,以实现战略和绩效的有机结合。
新考试应用:
考试答疑,互动交流!!
新考试应用:考试答疑,互动交流!!
(责任编辑:中大编辑)
微信公众号
网校手机版
Copyright © 2003 - 2021 www.wangxiao.cn All Rights Reserved. 中大英才(北京)网络教育科技有限公司 版权所有
出版物经营许可证:新出发京字第丰180113号
京B2- 20201340
京ICP备10212420号-1
京公安备11010602000551号
营业执照
