内部审计发展与风险管理审计
一、内部审计职业界面临的种种批评
内部审计重在防弊而不是兴利,重在强化本位主义,而不是实现企业的总目标;
内部审计人员只是在审查数豆子的人是否将豆子数得一粒不差;
内部审计在重复外部审计的工作,重复地做财务系统的审查,而不关注业务系统;
内部审计人员多是一批较少掌握信息科技知识的“机盲”,他们只懂得利用信息中心,而不懂得利用信息工具;
内部审计报告都是些可预测的“陈词滥调”式的指责、批评,使各业务部门及其员工对内部审计人员颇多敌视;
内部审计程序烦琐,有时审查过度、过细,有时审查时间过长,干扰业务部门的正常运行;
内部审计底稿成堆,审计主管复核费时费力,内部审计部门是一个劳动力密集的部门;
内部审计部门是一个成本中心,而不是利润中心。
二、内部审计的发展历程
传统内部审计
提供的产品是“会计质量控制”,其需求方是主计长(controller)
控制导向内部审计
提供的产品是“内部控制”,需求方是董事会下的审计委员会
风险导向内部审计
提供以风险和控制为核心的多元化产品,适应多元化的需求,它包括董事会、最高管理层、经营管理层、外部审计师等
结论:控制与内部审计与生俱来。
整合风险管理与公司治理
独立的评估功能
内部审计在组织的角色
针对流程风险
针对功能性控制
内部审计报告
风险管理:
规避/多样化风险
分享/转移风险
控制/接受风险
内部控制:
强化
成本效益
效率/效果
内部审计建议
强调所涵盖的广泛经营风险的重要性
强调详细控制测试的完整性
内部审计方法
重要的风险
重要的控制
内部审计测试
情景规划(Scenario Planning)
风险因素
风险评估
互动的;即时的;连续的监控;战略规划的参与者
反应式的;事实发生后的;不连续的 ;战略规划行动的观察者
内部审计回应
经营风险
内部控制
内部审计焦点
风险导向审计
控制导向审计
特点
三个类型
财务审计,包括像分部业绩报告审计和盈利产品线审计那样的传统鉴证审计,包括对外部财务报表审计的合作,还包括业绩指标审计(特别是政府部门,推行平衡计分卡的公司)
业绩审计或业务审计,包括评估风险和对内部控制的适当性提供确认。
快速反应审计(quick response auditing),它通常来自于高级管理层的特殊要求,这包括舞弊调查,也包括评价和审慎性调查(Due diligence).
三个类型:
评估服务(assessment services),指对各种业务的过去、现在或未来的某些方面进行检查和评价,并以此信息帮助管理层做出决策。如系统设计对控制的评估、对特定的组织再造的评估、对外包流程节约程度的评估等。
协调服务(facilitation services),引导管理人员发现组织的优势和改进的机会。如控制自我评估、标杆管理(Benchmarking)、企业流程再造 、协助制定业绩指标、战略规划支持等。
补救服务(remediation services),用于防止或阻止可疑的组织问题。这是与确认服务最不兼容的一类服务,它实际上是在履行一 项管理性职能。
四、风险管理审计
(一)内部审计的两大转变
(二)企业风险管理(Enterprise Risk
Management, ERM)
(三)功能性审计和程序性审计
(四)内部审计人员应定期评估道德风险
(一)内部审计的两大转变
以风险导向审计取代传统的控制导向审计
内审所扮演的角色从事后的确认及评估延伸至及时的顾问和咨询
内部审计人员在风险导向审计中扮演的角色
咨询(advisory)
提升(promotion)
参与(participation)
评价(evaluation)
分析(analysis)
(二)企业风险管理(Enterprise Risk Management, ERM)
检查风险管理的必要性
按照ERM的观点,风险可分成四类:
战略风险
营运风险
财务风险
冒险风险
利用ERM架构组成的企业风险神经系统
环境与战略
监督及持续改进
信息与沟通
降低风险及控制活动
风险辨识
风险评估
利用ERM架构组成的企业风险神经系统
评估组织的环境及战略
建立ERM架构
降低风险及控制
建立一套风险神经系统
持续监督及报告
评估风险架构
风险转化管理
(三)功能性审计和程序性审计
功能性审计(functional audit)
执行功能性审计时,内部审计人员应确保组织内有某一人负责这些风险管理计划的执行,包括:
风险评估
识别辨识及评价组织的资产及资源;
识别主要的损失暴露;
评估并沟通目前的潜在风险。
风险控制
支持预发式的风险及损失控制计划;
对风险控制计划参与者提供最大的激励;
监督风险控制作业的效果。
风险融资
考虑各种可能的财务资源,以适应风险管理;
维持适当的灾害保障;
将风险财务支出的成本以合理的方式分摊于各营运单位。
行政管理
创造并维持管理层对风险管理的重视与承诺;
采行一种明确界定的风险管理结构;
制定明确的年度目标;
与相关管理层维持良好的沟通。
内部审计人员应确定谁在执行风险管理的具体活动,例如:
工业安全
资产保全(security)
火灾防护
索赔管理
福利协调-健康医疗、残障、劳工酬劳
合约的风险转移-保险及非保险的合约
产品质量
环保事务
灾害复原计划-信息资源、制造及行政管理
识别负责活动的执行者及他们如何完成这些任务,有助于对组织的整体风险管理计划的洞察,及决定如何有效执行程序性审计。
程序性审计(procedure audit)
程序性审计的目的在于决定功能性的责任是否完成。不论任何功能领域,一些常规问题应予检查。例如:
是否有证据显示对公司的资产有充分的认识与了解?
此项信息的来源为何及其正确性如何?
损失的暴露如何被识别?
上次在什么时候曾经执行正式的风险评估?
曾采用什么计划以消除风险?
曾经执行哪些事项以减少风险发生的冲击?
采用什么程序以监控这些风险管理计划的执行成效?
内部审计人员应定期评估道德风险
道德风险是企业整体或员工价值观的堕落,游走于法律法规的边缘,凡事均考量权利之大小,而非企业整体利益为考量。内审人员应定期评估相关道德文化政策的有效性,以管理道德风险。
评估书面化的正式行为守则,清楚的解释奖惩事项
经常与颇具影响力的主管相沟通,期望主管能率先垂范,遵守道德行为规范
疏通投诉不法行为的管道
让员工、供应商及客户明白,他们与组织间的互动必须符合组织道德规范的要求
员工须不断地接受后续教育并了解通畅的升迁管道,从而改善其精神面貌,提升其道德水准
定期向员工、供应商及客户征询意见,了解他们对公司道德文化的感受
定期复核组织内部可能造成压力及预设立场的流程
风险基础审计程序与方法
一、风险识别:
1、审计人员应询问被审计单位管理当局和财务、销售及其他人员,以获取对识别风险有用的信息。
2、审计人员应实施分析程序以助于识别异常的交易或事项,以及对会计报表和审计产生影响的金额、比例和趋势。
3、审计人员应当实施下列观察和检查程序,获取被审计单位及其环境的信息,即印证对管理当局和内部其他相关人员询问的结果:
4、审计人员应当从被审计单位外部获取有助于识别风险的信息。
5、审计人员应当考虑利用以前所获取的信息,但要考虑到被审计单位及其环境的变化。
为了更好识别风险,应针对每一项目标注意下列问题:
1、哪些方面最容易出错?
2、最大的漏洞可能在哪里?
3、可能会失败的方式?
4、有哪些资产没有所得到应有的保护?
5、可能遭窃的方式是什么?
6、营运可能遭他人中断的方式是什么?
7、最依赖的资讯和最可能中断的资讯是什么?
8、最大的开销是什么?
9、最不稳定的收入是什么?
10、最需要高度判断的决策是什么?
11、性质最复杂的活动有哪些?
12、有哪些活动受到法律规范?
13、最大的合法性暴险是什么?
二、风险分析
在风险识别的基础上,通过对所收集的大量风险信息,运用数量化方法,估计和预测风险发生的可能性和损失的严重程度。
也即是通过风险原因、风险性质和风险后果分析,以确定风险发生的或然率(L)和重大性(S)。为应对决策提供依据。
二、风险分析
风险原因:引起暴险(风险造成的冲击,如收入受损、顾客不满意等)事件发生的人或事,这可能为某一类型的人,如员工或外人;也可能是事件,如火灾、水灾;或者可能是未采取适当的行动。
风险性质:风险或暴险的类型。最好的表达方式是实际发生的事情,如舞弊、盗窃资料损失等。西欧一些企业把风险划分为8种类型,如财务咨询与准度、财务管理与结果、法令与规章遵行、授信品质、内部舞弊与越权、犯罪与外部舞弊、系统/营业、管理等。
二、风险分析
在识别和评估重大错报风险时,应当注意:
1、在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、帐户余额、列报与披露;
2、将识别的风险与认定层次可能发生错报领域相联系;
3、考虑识别的风险是否重大,足以导致会计报表发生重大错报;
4、考虑识别的风险导致会计报表发生重大错报的可能性。
二、风险分析
在确定风险的性质时,应考虑下列问题:
1、风险是否是舞弊问题;
2、风险是否与近期经济环境、会计核算和其他方法的重大变化有关;
3、交易的复杂程度;
4、风险是否涉及重大的关联方交易;
5、财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;
6、风险是否涉及异常或超出正常业务范围的重大交易。
三、应对决策
审计人员在进行风险评估后,应根据风险排列的结果,确定总体应对措施,以及考虑进一步审计程序的性质、时间和范围,即为应对决策。
(一)总体应对措施
总体应对措施,是指根据风险评估结果确定进一步审计的基本思路。如:
1、双高(或然率高、重大性高)的风险重点审计
2、双低(或然率低、重大性低)的风险一般不予审计或作少量抽查;
3、介于高或低之间的风险,具体问题,具体对待;
4、风险发生的可能性高,但风险发生后重大性低,可作少量抽查或不予检查;
5、风险发生的可能低,但风险发生后重大性高,应引起足够的注意,重点抽查。
三、应对决策
(二)决定进一步审计程序
1、进一步审计的性质
进一步审计程序的性质是指审计程序的目的和类型。进一步审计程序的目的是进行控制测试或实质性的检查;进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行或分析程序等。
2、进一步审计的时间
进一步审计程序的时间是指何时实施审计程序,或审计证据适用的期间或地点。
在确定何时实施审计程序时,审计人员应当考虑控制环境;何时能得到相关信息;风险的性质与重大性;与审计证据相关的期间或时点等。
三、应对决策
3、进一步审计的范围
进一步审计程序的范围是指实施某项审计程序的数量,如抽取的样本量或对某项控制活动的观察效率。
在确定审计程序的范围时,审计人员应当考虑事项重要性;评估的风险和计划取得的保证程度等。随着风险的增加,审计人员应当考虑扩大审计程序的范围。但是,要注意审计程序本身与特定风险的相关性。
风险管理建议
风险基础审计终结阶段,在审计报告中,均要针对风险评估和进一步审计中发现与查明的风险问题提出风险管理的建议。
风险管理建议,包括减少风险发生和减少风险发生后的损失等两方面建议,建议被审计单位应从加强控制风险、分散与中和风险、转移风险、集中风险和承担风险等方面采取措施加强风险管理。
绩效审计是内部审计的主要业务领域
建设项目
内部控制
风险管理
业务经营活动(采购、生产、销售)
管理活动(合同管理、人力资源、投资决策、生产安全等)
主要审计领域的目标与追求(预算)
以政策评估和战略预警为目标的绩效审计
战略规划
以管理控制和产出为目标的绩效审计
活动(项目)管理
真实合规性审计
支出控制
审计目标与方式
公共预算功能
主要审计领域的目标与追求(国企)
控制和降低企业风险,提升竞争力(以政策评估和战略预警为目标的绩效审计)
维护国家在相关领域的战略优势
确立健全的公司运作模式,确保公司运作质量(以管理控制和产出为目标的绩效审计)
创造价值(包括社会价值)
保护国有股权益(真实合规性审计)
国有资产的保值
国企审计目标与方式
国有企业功能
主要审计领域的目标与追求
关注企业价值与组织战略地位
战略责任
关注绩效
绩效责任
关注真实与合法
遵纪守法责任
经责审计的目标与方式
领导干部经济责任
武钢内部审计
武钢内部审计定位
武钢认为:一流的企业需要一流的内部审计,武钢的内部审计正在变化中发展。武钢明确将链接“风险管理、控制及治理程序审计” 的“管理审计”作为内部审计工作未来发展的方向。
武钢内部审计(二)
武钢内部审计管理体制:
公司决策层
审计委员会
审计部
公司内审网络
派驻子公司监事会管理办公室
:
工程审计处
经营审计处
武钢内部审计(三)
内部审计报告路线:
——由审计部长作独立报告。
——经总经理授权,审计报告可直接发出。
——审计部长每月向总经理汇报工作,重大事项随时汇报。
六、GE内部审计
GE概览
——GE公司业务涉及通讯、家用电器、电子、医疗设备、工程塑料、航空航天、动力发电等领 域。
——2004年报资料显示7503亿美元的资产,年销售额达1528亿美元,利润168亿美元。
——GE公司审计部的目标:“超越账本,深入业务”。
GE内部审计(二)
GE管理模式
——对其所属企业的所有权集中体现是:各企业将其所获全部利润如数上缴公司总部,即全公司实行统一核算。
——公司为保证这一目标的实现,抓住下属企业负责人的任免权和公司资金的运用权,特别是投资和任免这两个关键性问题。
——对下属企业经营状况的好坏及其投资效果优劣成败的稽核、监督,一个重要途径就是依靠公司审计部。
GE内部审计(三)
内部审计定位:
——GE公司审计部工作是发现问题、分析问题和解决问题。
——从查账入手,但决不止于单纯查账,而是用更多的时间和精力去研究业务处理功能,包括处理流程和有关策略和措施。尤其注意风险大,利益影响也大的方面。
——GE 的审计人员担负帮助公司决策层和管理层制订战略、改进营销方法,加强日常业务工作,最终提高公司整体营利能力的重任。
GE内部审计(四)
他们信奉的哲学:
——“任何事物都不可能完美无缺,我们的使命是追求完美”。
——审计部把培养企业领袖看成是他们的重要目标。
GE内部审计(五)
队伍构成:
——GE公司审计部近百人,绝大部分是年轻人。
——其中大约80%的人有财会方面的背景;15%有工程、制造、管理等方面的背景;5%是搞信息系统的。
GE内部审计(六)
审计队伍来源与去向:
——公司每年从几百个报名者中挑选40名左右的人进入审计部,同时输送同样数量的人去充实GE业务部管理干部队伍。
——GE现有的副总裁中有13个出身审计,有11个经理级人员有审计经历。
——整个GE中级以上财会管理人员中,有60--70%是由公司审计部输送的。
——每年离开审计部的人员中,约40%可直接提升为中级以上管理人员。
GE内部审计(七)
工作实施
——在审计中,审计小组对整个审计工作负有全权,召开各种调查会,进行个别谈话,收集情况和资料,为实现审计目标,他们可以做他们认为需要做的任何工作。
——审计的目的是要找出一个比各种单项措施单独实施后所得效果之和还要好的解决方案。而且要把方案变成一种日常工作,具体坚持落实。
——在这一过程中,审计小组要与被审计部门的领导和业务人员打无数交道。他们实际上在想总经理所设想的问题,行总经理所行之事。
壳牌内部审计——与壳牌共同审计的体验
中国海油与壳牌共同兴建的中海壳牌石化项目总投资42亿美元,2005年初,中国海油与壳牌共同组成审计组,对中海壳牌石化项目进行了股东审计。此次审计,审计组长由壳牌担任。
壳牌内部审计
针对项目的实际情况,派出各方面的专家组成审计组。
——中海壳牌公司正处于建设期,项目管理是重中之重。壳牌作为大股东,派出了精通融资、SAP实施和工程管理等方面的专家组成审计小组,与中海油派出的审计师共同组成股东联合审计组,为顺利开展审计工作创造了条件。
注重在审计过程中宣传壳牌公司的企业文化
——壳牌作为牵头方,在审计首次会议上,详细介绍了壳牌“以人为本、注重风险管理”的企业文化,并将审计方案印成精美的小册子,广为分发,使被审计方的管理层对股东审计的目的和审计内容有清晰的了解和认识。
壳牌内部审计(二)
审计范围广泛,同时注重审计质量
——根据董事会的要求,审计组的审计范围比较广泛,从建设项目的制度建设、融资到项目管理承包商的招投标管理、SAP项目的预算控制和实施,以至人力资源管理和HSE管理都较深地介入,审计项目结束时,对建设项目的整体情况已全盘掌握,并抓住了工期滞后、人力资源管理松散、对项目管理承包商的控制措施不力等项目中存在的主要问题,在现场就与关键管理人员进行了充分沟通,取得了一致意见,保证了审计效果和审计质量。
壳牌内部审计(三)
审计方式灵活,注重审计访谈
对建设项目的过程审计,审计组采用了灵活的审计方式,到现场前制订了访谈人员名单和访谈提纲。事实证明,该方法非常有效,审计组从与被审计单位的访谈过程中获取了大量有价值的信息,使审计组成员迅速深入到项目管理的各个环节中去,节约了审计时间,提高了审计效率。
审计准备充分,提前一个月准备审计计划
——在现场审计前一个月,审计组已拟出审计方案,并召开2次电视电话会议,壳牌审计师与中海油的审计师对审计方案充分交换了意见,把双方股东的关注内容融入到审计方案中去,使审计内容涵盖了董事会关注的所有重要事项。
壳牌内部审计(四)
按照风险评价标准对审计过程中发现的问题进行风险揭示,明确风险等级
——现场审计结束后,审计组汇总了审计过程中发现的问题,逐一剖析并揭示了可能产生的风险,按高、中、低明确了问题的风险等级,在审计末次会上与被审计方进行了充分沟通。我们注意到,被审计单位管理层对风险级别高的问题给予了高度重视,并在以后的工作中进行了认真整改。这说明风险评级和评价制度在实施中见到了实效。
宝洁公司内部审计
基本理念:
——是否是世界级的审计部门,在于它能否使其服务的公司成为世界一流水平。
——宝洁公司内部审计的工作直接关系到所服务的客户的经营业绩。
——宝洁公司衡量内部审计成败的标准是被审计单位的目标实现程度。
——公司的目标是:在良好的业务增长、销售物美价廉的商品和提供优质服务的同时为投资者增加价值。他们认为,内部审计部门可以为这一目标做出贡献。
宝洁公司内部审计(二)
工作目标:
——通过客观的风险评价协助公司保护和增加股东权益。
——内部审计人员要力争成为专业大师并尽力帮助公司成为最好。
——内部审计期望的回报是通过努力赢得公司内外的认可。
宝洁公司内部审计(三)
建设国际一流内部审计的策略
——建立在企业中的核心价值
提供增值的审计服务 :把每次审计视作帮助管理层寻找更经济、有效的经营方式的机会,而不仅是发现问题。
提供增值的咨询服务 :主动接触业务领导人,讨论关键业务活动和他们所咨询的事项的进展。
控制自我评价制度 :宝洁内审认为控制自我评价制度是增强业务部门控制力的有效方式之一,并不遗余力地向业务部门宣传这一概念,坚持从和每一业务单位的管理层举办“培养培训员”的培训做起。
防范舞弊:建立舞弊案例库,帮助审计人员了解舞弊活动的惯用伎俩。也向业务部门提供舞弊识别和调查方面的咨询服务。
宝洁公司内部审计(四)
——优化组织结构和人员配备
建立优秀人才中心:人才中心由具有不同专长的专家小组构成。针对每一个业务领域,在总部和每个区域都有一个专家小组。
区域整合:把地区分布从原来的34个削减到7个。在北美、欧洲和拉丁美洲各有两支队伍,两年前又把整个亚洲地区的审计力量整合到一起。这些整合都达到了预期的效果,它使各片区之间保持更好的一致性,能接受更好的培训,更好的分享业务流程和审计实践经验。
3.配备具有IT相关知识的审计人员:
4.创建标准的审计程序和审计数据库:在数据库里把以往最好的审计实践资料集中在一起。审计人员只需查阅这些审计程序就可以得知该开展怎样的审计工作了。
5.特邀审计师和审计师轮换:从业务部门邀请专家帮助开展内部审计,实现“双赢”;不同地区的审计师定期交换合作,减少了各地区审计方法的不一致性,促进了地区之间审计方法和技术的交流。
6.人员构成多样化:保持审计人员文化背景与市场环境的差异;注重吸收技术背景的人员。
宝洁公司内部审计(五)
——整体提升技术技巧
职业资格认证 :每一名审计人员都要通过国际内部审计师的认证考试 。
培训和职业再教育:
工作与发展计划体系:在宝洁,每一位员工都必需制定个人年度工作发展计划,这个计划用来总结工作业绩与成果,阐述个人能力的强项方面和个人愿望。
外部交流:宝洁内审认为,持续不断的外部交流是学习先进思想和技术的唯一途径。
质量保证:建立全面的质量保证标准,定期进行质量保证自我评价,建立审计效果调查制度。
宝洁公司内部审计(六)
——开发系统的风险评估流程
24个月的滚动审计计划 :内审每年都与业务部门的同事和领导一同对公司作长期风险进行评估。评估风险时确保考虑多方面的因素。根据风险评估的结果,将风险分为五个等级,并制订出相应的审计计划。我们年初会对计划进行初步的调整,但尽量保持其灵活性,以便对业务变化及业务环境变化及时作出反映。
全球协调审计计划:力争发现宝洁全球市场存在的共性问题。
波音公司内部审计
拥有15万员工、企业年销售收入达520亿美元的波音公司共配备166位审计职员,其构成主要有专业审计师占43%,企业审计员占40%,管理人员12%,其他为辅助人员。其中专业审计师主要负责财务、合同、舞弊审计方面的业务,一般具有CIA、CPA、CFE等专业资格注册证书,具有15年以上工作经验;企业审计员主要负责工程、质量管理、抽样检查及辅助审计等方面的审计业务,来自于本企业的各个相关部门,具有财务、工程、合同与项目管理等专业背景和经验基础。一般具有6年以上工作经验并有2年以上助理审计的经历。
波音公司内审队伍:内审人员是从全公司范围内选拔的,条件是沟通能力强,具有良好素质和发展潜力。
波音公司内部审计(二)
内部审计管理体制:
首席执行官
内部治理办公室
OIG
副总裁
(负责内审)
审计委员会
董事会
审计主管经理
(地区)
审计主管经理
(地区)
审计主管经理
(地区)
审计主管经理
(地区)
内审工作人员
波音公司内部审计(三)
内审人员的绩效评价与职业发展
——波音公司对其内部审计人员采取一年四次(平均每季度一次)、年终汇总的绩效评价方式,评价的主要内容是根据每个人具体的工作目标与工作计划,按目标管理的方式进行不间断的评价。每层主管负责对下一层的评价与考核,每次都要面对面地反馈评价意见,并征询被考核的审计人员想了解的意见和看法。同时内审人员也对其主管打分,反馈到该主管的直接上报,一年四次、年终汇总。
波音公司内部审计(四)
——评价往往不是看审计人员做了多少工作量,主要是看其工作的质量与成果。年终根据汇总的绩效评价结果对内审人员进行奖惩。
——每季度召开一次主管会议,由管理审计人员的各位主管汇总讨论内审人员的职业发展,对内审人员的素质及所需技能培训等做出规划,同时要求每层审计管理人员要负责下一层审计人员的职业规划,提出建设性意见和方案。
波音公司内部审计(五)
审计计划管理与审计风险评估
——审计风险评估与审计计划安排密切相关。
——波音公司内部并没有一套风险管理系统,主要将风险控制置于日常管理之中。内审部门经常针对财务、人身安全、法律法规等方面的风险,向公司员工发放调查问卷,将其结果进行汇总,提交给上级。高层管理人员非常关注日常管理中蕴藏的风险,每年专门召开风险管理分析会议研究相关风险控制问题。
波音公司内部审计(六)
确定审计计划的步骤:
——由内审人员对审计对象发放调查表,重点了解审计对象的战略、客户、市场情况发生了多大程度上的变化等;
——内审人员根据个人经验汇总、分析评估调查表所反映的情况,并提出个人汇总结果。所分析出的最高风险因素及整个风险评估归纳的报告提交给上级主管;
——审计主管组织确定审计范围及审计计划。
波音公司内部审计(七)
审计人员依据经验进行风险判断要考虑的因素:
——往往将没有审计过的内容列入优先考虑的范围;
——基于对业务单位平时了解的情况进行判断;
——对某些表现不良的业务予以重视。
波音公司内部审计(八)
审计计划执行:
——通常分20个审计工作组,每组6人,每季度对各自的年度审计计划进行一次自审。
——在以季度为周期的审计运作中,一般工作程序为:
第一个月:调查收集被审单位有关情况,就风险评估与管理层、与客户沟通;
第二个月,进行风险评估后的审计测试与现场调查;
第三个月,将审计结果与管理层、与客户沟通,向被审单位反馈意见。
——根据审计进展情况,审计小组可向审计主管报告申请审计资源的调增。
波音公司内部审计(九)
审计项目安排:
——波音公司审计部门坦言,他们的内部审计并不能覆盖所有风险点,但根据风险评估排序,关注和突出审计重点。每三个月可审20个审计项目,整个公司一年约80多个内审项目。这80多个内审项目是基于对全公司审计对象风险评估结果排定的,对高管层十分关注的项目,甚至有的一年半就审计过三次。
波音公司内部审计(十)
波音内部审计与社会中介外部审计机构的关系
——波音公司的内部控制评估与内部审计工作主要由内部审计人员来完成。但常年聘有社会中介审计机构,主要从事财务审计方面的工作。内外双方是合作关系,互相利用审计成果,并且利用外部审计对内部审计工作的质量进行评估,每5年全面评价一次。他们专门为外部审计机构设了办公室,以便保持相互间的沟通与交流。
