国际注册内部审计师

Topic C-1　根据内部审计结果确定适当的跟踪活动

　　Determine appropriate follow-up activity by the internal audit activity
　　★相关知识
　　1.根据内部审计结果确定适当的跟踪活动
　　根据《标准》，内部审计活动必须应用系统、规范的方法，评估并协助改善治理、风险管理和控制过程。内部审计活动必须评价并提出适当的改进建议，以改善组织为实现目标的治理过程。
　　在业务完成后，业务报告中涉及的有些业务发现和提出的建议可能非常重要，影响到组织的经营活动，需要管理层马上采取纠正措施，所以内部审计部门应该对业务结果的执行情况进行适当的监督，以保证实现业务目标，降低组织风险，提高组织经营活动的效率和效果。关于内部审计活动实施后续监督程序的权利应该在内部审计活动章程中予以特别表述。
　　1.1 首席审计执行官承担的责任
　　1.1.1 在内部审计业务活动结束后，内部审计团队和首席审计执行官要编制报告，用以：
　　● 利用审计开始时制定的标准，评估发现问题；
　　● 确认业绩缺陷或潜在风险，依据各种事实，包括造成的财务影响（如低效、损失浪费、所有权的丧失和损失、舞弊）和道德或法律方面的影响（如违反组织道德规范、违反法律法规），优先提出解决这些问题的纠正措施；
　　● 描述（如果必要）计划制定使用的标准，以纠正工作缺陷。
　　1.1.2根据《标准》2500，“首席审计执行官必须制定并维护系统或制度，监督已通报结果的处理情况”，“首席审计执行官必须建立后续程序，监督及确保管理层已采取有效措施，或高级管理层已接受不采取行动的风险”。
　　为了有效监督结果的处理情况，首席审计执行官建立的程序应包括以下内容：
　　首席审计执行官的责任包括：
　　● 要求管理层对业务发现和建议作出反应的时间限制；
　　● 对管理层所作反应的评价；
　　● 对反应进行的验证（适当时）；
　　● 开展跟踪审计（适当时）；
　　● 针对不满意的反应或措施（包括风险假设），向适当的高级管理层或董事会通报。
　　若某些上报的发现和建议非常重要，需要管理层或董事会立即采取行动，则内部审计部门应对这些情况进行持续监督，直至问题被纠正或建议被采纳。
　　1.2决定采用适当的跟踪活动
　　根据《标准》2500.A1，“首席审计执行官必须建立后续程序，监督及确保管理层已采取有效措施，或高级管理层已接受不采取行动的风险”。后续程序是内部审计跟踪活动的一种工作程序，即内部审计师对管理层为应对已报告的发现和建议（包括外部审计师和其他人员的发现和建议）所采取行动的完整性、效果性和时效性进行评价。这些程序也包括确认高级管理层和/或董事会是否已接受不采取针对已报告发现问题的纠正措施所带来的风险。
　　1.2.1 首席审计执行官决定跟踪活动的性质、时间和范围，是否实施跟踪活动应基于所包含风险和漏洞的严重程度、安排采取纠正活动的困难程度和重要性。影响首席审计执行官作出相关决策的因素包括：
　　● 报告中提到的业务发现或业务建议的重要性。重要的业务发现是首席审计执行官依据判断认定会影响组织实现其目标的消极状况，包括与违法、违规、错误、低效率、损失浪费、无效果、利益冲突、控制缺陷等有关的情况。例如，一制药公司的内部审计部门发现向药品审查人员支付费用的情况（通常由医生负责独立收集数据，该数据被用于获取对新药品的核准）。这样做严重违反了公司政策、行业规章制度和联邦法律，也会给公司带来了极其严重的后果，严重程度从被罚款到被拒绝受理新产品核准。按照常规，内部审计师可以期望管理层将迅速采取行动以消除与上述行为相关的潜在风险。所以内部审计部门希望通过定期监督会计核算记录，确保管理层采取措施的有效性。另外一个相反例子，内部审计部门发现公司市场部经理的差旅费用记录上存在一个小问题。这一审计结果要求管理层作出反馈，以消除风险，但是跟踪活动可能只要求在内部审计师的工作底稿上作个标记，提醒审计师在下次审计中重新检查。
　　● 采取行动纠正报告提出问题所需要的成本和工作量。纠正成本，包括资金和丧失的生产力，能够与其带来的收益相匹配吗?例如，某制造公司的内部审计部门发现运送设备和工人的某运输方式可能存在伤害雇员的风险，在讨论过此种情况后，内部审计和制造部门管理人员都认为重新安排设计这些设备将耗费很大的成本，要降低生产能力。另外，虽然存在风险，但是过去两年还没有发生安全事故。最后，内部审计和管理部门都同意采取更加节约成本的替代性解决方案。
　　● 纠正活动失败所产生的影响。首席审计执行官必须考虑：管理层的反馈意见是否能够成功解决问题?不适当的反馈意见对组织意味着什么?例如，当地法律要求生产车间使用的危险品数据表都应该放在活页夹中，并将活页夹放在特定地点。内部审计发现有些要求记录的文件丢失或过时了。管理层同意在下一个工作高峰期之后修订数据表格以符合规定。首席审计执行官考虑：雇员得到了全面的危险品知识培训，在使用危险品的地方都有警告提示，因此，可以确定，管理层尽管没有及时增加必要的数据表，但不会有什么影响，几乎不会带来成本。所以，首席审计执行官接受了管理层提出的纠正时间表。再举个相反的例子：内部审计师发现的证据表明某雇员和某供应商之间存在异常的亲密关系，但是不能就确认存在舞弊行为。内部审计在给管理层的报告中包含了上述潜在风险内容。管理层回应说：缺少舞弊发生的具体证据，不能调动该雇员的工作，但是将会“时刻关注这件事”。鉴于发生盗窃行为的可能性，首席审计执行官可以认定管理层的反馈意见是不恰当的。
　　● 涉及的时间跨度。《索耶内部审计》建议首席审计执行官安排管理层回应审计发现的不同时间表。发现的重要风险（以“发生频率、重要程度和威胁程度”来衡量）应该马上获得管理层的反馈意见。最理想的是，当发现了重要风险或损失时，管理层应该在审计期间就着手提出反馈意见，这样一来，在签发审计报告时，问题至少部分得到解决。例如，首席审计执行官要求在组织内网和外部用户（如客户）之间进行数据交换时的安全隔离（可以增加组织和客户双方财务数据的安全性）应该尽快设立，至少在60天内设立。不太重要的发现可以允许较长的反馈时间，比如120天。其他的审计发现可能不要求特定的回应时间表，有两个原因：一是它们太重要了以至于必须马上纠正（例如，辞退和处罚骚扰其他雇员的雇员）；二是它们不太重要，不必实施具体的跟踪活动（例如，提议文件在其他地方整理归档，以节省办公室空间）。对不太重要建议的跟踪活动通常列入下次常规业务计划中。
　　1.2.2美国国家会计总署（GAO）在1991年发表了白皮书，主要关注审计的跟踪活动。GAO建议，在决定是否开展审计跟踪活动时，需要考虑6个问题：
　　● . 提出的建议还有依据吗?情况发生了改变，这种改变使风险或消除或降低，或者导致解决问题的要求发生重大改变。例如，内部审计报告提出没有对某跨国公司负责采购的职员进行当地法律培训，这可能带来违反当地法律的风险。该公司决定，采取替代培训职员这种方式，今后将依靠当地独立公司来完成采购工作。因为公司采购部门不负责当地采购工作，所以，审计部门提出的建议就不再相关了
　　● 其他方法能够满足所提出建议的目标吗?例如，审计部门可能建议增加一份物理日志，记录对受保护领域的访问。管理层决定通过安装一台监视录像系统来代替审计提议的日志。虽然管理层没有采纳建议，但是增强安全性的目标达到了。
　　● 有其他事情可以改变管理层关于执行建议的想法吗?帮助管理层更加全面地了解风险代价和控制风险带来的好处，有助于内部审计从管理层那里获得期望获得的回应。为管理层提供全面分析，分析没有执行建议而造成的资金损失，分析建议带来的辅加收益（如增加了雇员雇用时间的灵活性），也有助于从管理层那里获得期望获得的回应.
　　● 应该拖延建议的执行期吗?例如，首席审计执行官知道公司需要一套更好的运输跟踪系统，但是这种需求在即将进行的并购完成后才会显得更为明显。随着市场的扩大和运输车队的增加，对协同性、风险管理和有效性的需求将变得更加突出。
　　● 对解决这一领域控制事项来说，提出的建议是至关重要的吗?这是关于决定优先排序的事。为了赢得管理层同意采纳一项更加重要的建议，首席审计执行官可以决定最终放弃某项建议。
　　● 为了使提出的建议更具有可实现性并且为此获得管理层较高的认可度，能够修改该建议吗?例如，某部门感觉人手不足，工作太多，它就不可能欢迎要增加新的、额外业务的建议。那么，管理层能够通过从供应商购买服务的方式执行该建议吗?
　　美国国家会计总署的建议强调首席审计执行官和管理层需要沟通和谈判。在管理层不理解和不支持的情况下，高级管理层强加的解决方法，比相互协商通过的解决方法，可能要面对更多的挑战。

　　新考试应用：考试答疑，互动交流！！

（责任编辑：中大编辑）

共2页,当前第1页  第一页  前一页  下一页