Topic B—2 實施咨詢業務
Conduct consulting engagements
★相關知識
2.1 咨詢業務指咨詢及相關的客戶服務活動,其性質和范圍需與客戶協商確定,目的是在內部審計師不承擔管理職責的前提下,為組織增加價值并改進組織的治理、風險管理和控制過程。顧問、建議、推動、培訓等均屬于咨詢業務。咨詢業務本質上是一種顧問服務,一般應客戶的具體要求而開展。咨詢業務的性質和范圍需與客戶協商確定。咨詢業務一般涉及兩方:(1)提供咨詢建議的個人或機構,即內部審計師;(2)尋求并接受咨詢業務的個人或機構,即客戶。在開展咨詢業務時,內部審計師應保持客觀性,不承擔管理責任。
咨詢業務的性質必須在內部審計章程中確定。只有審計章程中明確了作用和責任,內部審計師才能采取行動。”
2.2 確認業務和咨詢業務并不相互排斥,它們也不排斥內部審計師行為準則中規定的其他類型服務活動。咨詢業務通常產生于確認業務(例如,業績評估審計可能演變成咨詢業務,即設計完善業績水平的衡量標準),反之亦然。
2.2.1 許多咨詢業務是審計客戶提出的特殊要求,目的是幫助檢查由于組織變化、新技術應用等而需要強化的現行程序。許多其他要求是由于組織提供新產品或新服務而提出的,內部審計可以針對這些計劃活動和程序提供一些客觀建議。實施咨詢業務的審計師在不損害客觀性的情況下,可以更了解組織程序。
2.2.2首席審計執行官應該決定采用何種技術方法來對組織內部的各項業務進行歸類。在一些情況下,實施“混合”業務可能比較妥當,即將咨詢和確認業務中的一些內容融合到一起,形成一種混合方法。在其他情況下,區分業務中的確認和咨詢內容可能是比較恰當的。
2.2.3如果客戶委托的服務項目更適合內部審計師實施確認業務,那么內部審計師就應該實施確認業務,而不應該簡單地實施咨詢業務,以回避或允許其他人回避本適合確認業務的委托要求。作為確認業務實施的服務活動一旦被認定更適合作為咨詢業務,那么就應該調整業務方法。
2.3咨詢業務種類
咨詢業務可以包括提供專業咨詢和建議、開展優化促進活動、設計程序及開展培訓等幾方面內容。具體類型包括:
· 正式的咨詢業務——計劃內且經書面協議規定的業務;
· 非正式的咨詢業務——各種日常性活動,例如,參加常務會議、臨時項目、專門會議及日常信息交流;
· 特殊的咨詢業務——參加兼并或收購小組,參加流程再造小組等;
· 緊急的咨詢業務——參加災后恢復或重建小組,參加非正常經營事件的恢復或重建小組,參加為滿足特殊需要而建立的小組活動。
2.4 內部審計師在實施咨詢業務時,應關注的事項
2.4.1保持獨立性和客觀性。
· 內部審計師有時被要求提供的咨詢服務與他們以前負責的或實施過確認業務的經營活動有關。在提供這樣的咨詢業務前,首席審計執行官應該確認董事會了解并且批準要提供的咨詢業務內容。一旦獲得了批準,就應該修改內部審計章程,將咨詢業務的授權及責任包含進去。同時,為實施此項業務,還需要為內部審計活動編制適當的政策和程序。
· 在得出結論和向管理層提供建議時,內部審計師要保持其客觀公正性。當咨詢業務開始前就存在損害客觀性或獨立性的情況,或者,在實施過程中出現有損客觀性的情況時,內部審計師應該馬上向管理層反映。
· 同一內部審計師,在咨詢業務完成后的一年內,對同一審計業務客戶實施確認業務,也會損害其獨立性和客觀性。因此,需要采取一些措施來減少這種損害的影響:(1)委派不同的內部審計師去完成每一項服務業務;(2)建立獨立的管理和監督機制;(3)闡明對項目結果應承擔的責任;(4)披露已認定的損害事實。管理層有責任接受且執行內部審計師提出的各項建議。
《標準》1130規定,內部審計師必須避免評價其以往負責的特定業務。如果內部審計師為其在上一年度內負責的業務提供確認服務,則其客觀性會被視為受到損害。但內部審計師可以對其以往負責的業務提供咨詢服務。若內部審計師可能會損害擬開展的咨詢業務的獨立性或客觀性時,必須在接受該業務之前向客戶披露。
· 在實施咨詢業務時,尤其是在正在進行的或自然延續下來的咨詢業務過程中,內部審計師要特別注意:不要不適當地或下意識地去承擔超出業務范圍或脫離原定目標的管理責任。他或她應該提供建議,而不是作出決策。
2.4.2保持應有的職業審慎性。開展咨詢業務時,內部審計師必須考慮以下因素,履行其應有的職業審慎:
? 客戶的需求與期望,包括咨詢結果的性質、時間安排與結果溝通;
? 實現咨詢業務目標所需開展工作的相對復雜性和范圍;
? 與潛在效益相對的咨詢業務成本。
2.4.3關注與業務目標相關的風險。在開展咨詢業務時,內部審計師必須關注與業務目標相關的風險,并警惕其他重大風險的存在。內部審計師必須將開展咨詢業務過程中了解到的風險情況,運用于評估組織的風險管理過程。
管理層和董事會負責組織的風險管理和控制過程。但起咨詢性作用的內部審計師也可以協助組織識別、評估并運用風險管理的方法和控制措施,解決這些風險問題。協助管理層建立或改善風險管理過程時,內部審計師必須避免在實際工作中對風險進行管理,從而承擔任何管理層應承擔的責任。
2.4.4 關注與業務目標相關的控制。在開展咨詢業務時,內部審計師必須關注與業務目標相關的控制,并警惕重大的控制問題。內部審計師必須將開展咨詢業務過程中了解到的控制知識,運用于評估組織的控制過程。重大的風險漏洞和重要的控制弱點都需要引起管理人員的注意。在一些情況下,內部審計師應該將其擔心通報給執行經理層,或者向審計委員會和董事會匯報。審計師應該利用職業判斷:(a)決定漏洞或控制弱點的重要程度,提出采取或預計采取的可以糾正或消除這些漏洞和弱點的措施;(b)確定執行經理層、審計委員會和董事會在得到這些報告后的反映和要求。
2.4.5 當內部審計師缺乏完成全部或部分咨詢業務所必需的知識、技能或其他能力時,首席審計執行官必須謝絕開展此項業務的委托或尋求充分的建議和協助。此外,內部審計師還要注意以下幾點:
· 召開適當的會議,收集必要的信息,評估將要提供業務的性質和范圍;
· 確認那些接受服務的組織能夠了解和同意內部審計章程中規定的相關條款、內部審計活動的政策和程序以及其他相關規定。內部審計師應該拒絕實施那些內部審計章程禁止的業務、與內部審計活動的政策和程序相沖突的業務,也不能實施那些不能達到增值作用或者不能使組織獲得最佳利益的業務;
· 評估咨詢業務與整體內部審計活動計劃的兼容性。內部審計活動以風險為基礎制定的業務計劃應該盡可能地將咨詢業務包含在內,并且制定計劃時充分依賴咨詢業務,以便提供必要的審計覆蓋面。
· 以書面協議或計劃書的形式,記錄下與咨詢業務有關的一般條款、解釋、說明或者重要事實,這對于內部審計師和服務接受方了解業務,加強溝通都是必要的。
2.5咨詢業務的工作范圍
2.5.1 《標準》2210規定:“咨詢業務的目標必須在客戶同意的范圍內,針對治理、風險管理和控制過程等確定” ,“咨詢業務的目標必須與組織的價值、戰略及目標保持一致”。因此,內部審計師必須與咨詢業務客戶就業務目標、范圍、各自的職責和其他客戶期望達成協議。對于重要的咨詢業務,該協議必須采用書面形式。
2.5.2內部審計師應該制定適當的目標,以滿足服務接受方管理人員的需要。如果管理人員有特殊要求,且內部審計師認為自己制定的目標要先于這些要求實現時,內部審計師可以考慮采取以下手段:
· 說服管理人員將提出的額外目標納入到咨詢業務中去;或,
· 將這些目標沒有被實現的事實記錄下來,然后在最后溝通業務結果時,揭示出這一問題;并且,
· 將這些目標納入到一項獨立的后續確認業務中完成。
2.5.3正式咨詢業務的工作計劃中應該記錄有業務的目標和范圍,以及為完成目標所使用的技術手段。計劃的形式和內容依咨詢業務的性質而定。在確定業務范圍時,內部審計師可以增加或者縮減范圍以滿足管理部門的要求。不過,內部審計師確定的咨詢工作范圍對滿足業務目標來說應該是適當的范圍。在工作期間,內部審計師需要定期重新評估業務的目標、范圍和完成期限。
2.6咨詢業務結果的溝通
2.6.1 咨詢業務結果和過程的溝通形式和內容多種多樣,要依業務的性質和客戶的要求而定。提供報告的要求通常是由要求進行咨詢業務的組織或人員決定的,因此關于報告形式和內容的要求應該滿足他們制定的目標并與他們取得一致意見。無論采取何種方式溝通業務結果,都要清楚地表明業務的性質、存在的任何限制因素、限制條件或者其他應該引起信息使用者關注的事實。
2.6.2在一些情況下,內部審計師可以決定哪些結果應該越過服務接受者直接與其上級溝通,或要求提供服務者與其上級溝通。這時,內部審計師要擴展報告上報范圍,以便可以與適當方面溝通業務結果。當擴展報告范圍,向適當方面報告業務結果時,審計師要按照下列步驟進行,直至達到解決問題的目的:
· 首先,確認涉及咨詢業務和相關溝通過程的協議中提供了什么樣的規定;
· 第二,努力說服那些接受服務或要求提供服務的組織或個人能夠自愿將業務結果與適當方面進行溝通;
· 第三,確認內部審計章程或審計政策和程序中有關咨詢業務的操作指南是什么;
· 第四,確認組織制定的操作規程、道德規范以及其他相關政策中有關咨詢業務的操作指南是什么;
· 第五,確認內部審計協會制定的《標準》和《道德規范》、審計師應該遵守的其他準則和規范以及一些相關法規中有關咨詢業務的指南是什么。
2.6.3首席審計執行官負責向客戶通報咨詢業務的最終結果。在開展咨詢業務時,可能會發現治理、風險管理和控制方面的問題。只要這些問題對組織是重要的,就必須向高級管理層和董事會報告。
2.7咨詢業務的記錄要求
需要注意的是:適合確認業務的記錄規定沒有必要一定應用在咨詢業務的記錄工作上。
2.8咨詢業務的監督
內部審計部門應該監督咨詢業務結果以最大限度地滿足客戶要求。不同類型的咨詢業務需要采取不同類型的監督手段。監督效果如何取決于一些因素,例如:管理層對咨詢業務的明確關心程度、內部審計師對項目風險的評估或者內部審計師對該項目能夠為企業所創造價值的評估。
2.9開展咨詢活動的指導原則(《實務公告》1000.C1-1)
· 價值觀:內部審計活動的價值觀體現在每一個雇用內部審計師的組織內,以一種適合該組織文化和資源的方式實現的。這種價值觀體現在內部審計定義中,并且包含了保證和咨詢活動。這些活動通過在管理、風險和控制領域內采取系統化、規范化的方法,來達到增加組織價值的目的。
· 遵循內部審計定義:在每一項內部審計活動中都包含系統的、規范的評價方法。廣義類型的保證和咨詢業務中通常包含有服務清單,不過,這些服務中還包括與廣義內部審計定義相一致的、演變進化出來的增值服務類型。
· 審計活動不只包括確認和咨詢業務:內部審計服務的種類有很多。確認與咨詢業務并不相互排斥,也不排斥其他的審計活動(例如,調查和非審計作用)。許多審計服務既發揮保證作用,又發揮咨詢(建議)作用。
· 確認與咨詢業務之間的相互關系:內部審計咨詢業務豐富了增值型的內部審計內容。雖然咨詢活動通常是由確認服務直接產生的,但也要認識到確認業務也可能產生自咨詢業務。
· 內部審計章程授權實施咨詢業務:傳統上,內部審計師提供了許多類型的咨詢服務,范圍包括:分析已建立控制制度,分析證券交易產品,被派出到相關單位分析經營情況并提出建議,等等。董事會(或審計委員會)應該授權內部審計活動提供額外服務并且在內部審計章程中作出規定。內部審計師在提供額外服務時,不能出現利益沖突現象,也不能違背對審計委員會承擔的責任。
· 客觀性:咨詢業務可以增強對與確認業務相關的經營過程或事項的了解,并且不一定會損害審計師或內部審計活動的客觀性。內部審計不具有管理決策的職能,是否采納或實施作為內部審計咨詢服務結果的建議取決于管理層,因此,管理層制定決策不會損害內部審計的客觀性。
提供咨詢服務的基礎:很多咨詢業務是確認和調查業務活動的一個自然的工作延伸,可能就是內部審計師提出的正式或非正式的建議、分析和評價。內部審計活動被定位于實施這類咨詢業務是基于內部審計活動:(1)對組織的經營、風險及戰略的廣泛了解;(2)具有高標準客觀性。
· 基礎信息的溝通:向高級管理層和審計委員會提供保證是內部審計的首要存在價值,如果依據首席審計執行官的判斷應向高級管理層及董事會成員報告的信息受到隱瞞,就無法開展咨詢活動。所有咨詢業務都應該在這種背景下得到理解。
· 組織所了解的咨詢業務原則:組織必須制定為所有成員所了解的咨詢業務的基本實施規定,而且這些規定應該編入經審計委員會批準且組織已頒布的內部審計章程中。
· 正式咨詢業務:管理層通常聘請外部咨詢顧問實施正式咨詢業務,這需要持續很長時間。不過,組織會發現內部審計部門是唯一有資格實施一些正式咨詢任務的部門。當內部審計活動受命去執行一項正式咨詢業務時,內部審計小組應該采用系統化、規范化的方法來實施這項業務。
· 首席審計執行官(CEA)的職責:咨詢活動使首席審計執行官得以就特定的管理問題與管理層進行對話。在對話中,業務范圍及時間期限要符合管理層的需要,但是,首席審計執行官有權決定采取什么樣的審計技術,并且在審計結果的性質和嚴重程度會給組織帶來重大風險時,有權向高級管理層和審計委員會成員報告。
· 解決沖突或新問題的標準:內部審計師首要的還是一名內部的審計師,因此,在開展服務活動中,也應遵循IIA的《道德規范》及《標準》中的屬性標準與工作標準,所有不可預見的沖突或活動都應按照《道德規范》及《標準》的規定解決。
2.10具體咨詢業務
2.10.1 內部控制培訓,是內部審計師對組織內相關人員進行內部控制制度方面的培訓,幫助職員了解內部控制的建立、目標、相關流程和關鍵控制點,目的是使職員提高對內部控制制度的了解和認識,從而有效執行各項內部控制制度,提高組織運營效率和效果,降低組織風險。
2.10.1.1 內部控制是任何系統的基礎部分,常被用于規范和指導經營活動,提高經營業績,以實現組織目標。內部控制涉及組織中的每個人,因此,每個人(包括組織本身)都會受益于對控制程序及其重要性的廣泛認識。內部審計師是促進內部控制執行和升級完善的當然人選,同時,內部審計師自身也需要進行控制培訓。
2.10.1.2如果業務進行過程中,能夠讓接受檢查的人自愿參與且積極配合,那么審計業務會相當順利地進行。為審計客戶提供了解控制制度的機會,有助于其認識審計重要性,更愿意提供有用、完整的信息。內部控制培訓應該讓客戶了解以下5個方面內容:
· 控制環境。每個人都在各自崗位做正確的事。
· 風險評估。為了實現目標,要充分考慮風險。
· 控制活動。由于確認了風險,所以建立了適當的控制制度且正在發揮作用。
· 信息和溝通。收集和討論數據。
· 監督。監督目標實現過程。
了解這些內容及相關因素可以幫助審計客戶在判斷內部控制質量時,更好地了解需要評估的必要管理活動,也有助于審計客戶更好地承擔幫助組織實現其目標的工作責任。同時,此類培訓,還有助于內部審計活動獲得審計客戶的理解,并為其所接受。
2.10.1.3組織內部控制成功的關鍵在于培訓。如果組織雇員不了解內部控制目標,不知道控制制度如何運行,不清楚控制制度帶來的好處,那么,組織就不符合內部審計標準要求。內部控制培訓內容包括:
· 外部的法律、規定、政策和制度。雇員知道適用的公共安全制度嗎?清楚環境安全的各項要求嗎?
· 財務和人事制度。雇員了解準確報告工作時間和缺席情況的重要性嗎?他們知道如何記錄工作時間或者如果發生錯誤,如何糾正或報告發生的錯誤嗎?
· 信息處理程序。組織建立了數據兩次檢查程序,或者數據接觸控制和錯誤報告程序了嗎?
· 實務資產或財產的控制。雇員了解保衛和保護易受損害資產的重要性嗎?
· 制度和責任。雇員清楚分配的責任嗎?他們了解在程序中應該發揮的作用嗎? 他們如何最有效地實現其目標?
2.10.2業務流程檢查,是內部審計師采用一系列方法和技術,對組織內的各個業務流程和程序進行的檢查,目的是確認業務流程的執行情況和各業務流程的有效性,同時針對存在的漏洞和弱點,提出適當的改進建議,以提高和改善組織經營活動。
2.10.2.1 傳統公司結構,除了獎賞制度、管理目標、激勵機制和評估機制以外,用有形的和無形的墻將各部門分隔開來。市場部與設計部分開,設計部與生產部分開,生產部又與采購部分開,等等。隨著第二次世界大戰后全面質量管理、持續完善等理念的出現,這些墻開始倒塌。新的組織模式(例如,被稱為“協同計劃、預測和補充”的CPFR)強化那些剪短部門之間分隔界線的程序,組成各種工作團隊,例如,市場代表、產品設計員、生產工程師、運輸專家、地區銷售代表全都將注意力放在創新產品和服務上,專家們共同合作,滿足每個領域,包括最終消費者的需要。上述強化不同學科交叉的重組過程,也給內部審計實務帶來了挑戰,要求內部審計必須關注不同種類生產、不同組織、不同賬務核算辦法和不同區域等。業務流程審計可以通過衡量交叉部門流程的效果性和效率性,來應對這些挑戰。流程
審計關注點有很多,例如:
· 材料和供應品的訂購、驗收和付款過程
· 將供貨或服務直接送達使用部門的過程
在以流程為導向的組織中,每個流程都有其自己的審計部門,部門中包括專門負責流程審計的職員。
2.10.2.2 《索耶內部審計》為內部審計關注組織流程,列出下列優勢:
· 內部審計報告涉及組織活動,對組織生存和成長是必要的,而且是高級管理層最感興趣的;
· 審計職員增加了對流程操作過程的熟悉和了解;
· 內部審計發現可以直接引起高級管理層的注意;
· 審計的持續監督使審計事項的解決成為焦點,并且構成解決流程中存在問題的建議來源渠道;
· 分權和縮小規模有利于及時簽發報告;
· 在業務流程職員和內部審計師之間存在共同點,雙方都關注流程能否運行良好。
2.10.3基準比較法,又稱為基準管理法或標桿管理法。它首先尋找最佳的對象,將其行為確定為基準,最后與組織內部的活動、職能和操作程序相比較,并采取行動努力向基準靠攏,以達到持續改善組織經營情況的目的。它的基本點是:
· 尋找同本組織內部某一事項類似的最佳基準,并總結其特點、優勢和經驗;
· 根據基準評價組織自身水平,尋找差距;
· 制定計劃和方案,改進組織內部的工作;
· 持續不斷地尋找更先進的基準;
· 根據組織特性,確定關鍵的、需要改進的問題作為設立基準的要素。
2.10.3.1 基準只是組織(或個人)努力要實現的目標。有效的基準比較取決于在挑選目標上所投入的用心和智力程度。一個不能衡量、不能實現或很容易實現的基準是幾乎沒有或者一點沒有存在價值的。一般來說,基準可以在企業自身、競爭對手、所在行業的基準和優點等范圍內選擇,選擇的基準要具有可衡量性、精確性、有目的性及實用性。
2.10.3.2評估組織內部審計業務客戶建立的基準是適合內部審計師提供的一項服務內容。基準比較也適合于績效審計和全面質量審計。事實上,基準比較和全面質量管理(TQM)是相聯系的。基準比較法既可以用于企業整體運行情況比較,以提高企業競爭能力,改善企業的運行,也可以用于一個部門、一個項目小組甚至職員個人的比較。比較的內容可以是全部,也可以是某一個或幾個方面,比如營銷系統、質量管理、客戶服務或組織應變能力等。
客觀上,不可能存在一個企業在所有的方面都比其他企業好的情況。如果出現了這種情況,說明企業進入了一個十分危險的階段。要么是它的信息溝通系統出現了問題,要么是管理者或員工出現了自滿情緒。所以持續不斷地尋找比自身更優秀的標桿并不困難。為此,基準比較法成為企業持續創新的有效動力來源之一,它有助于推動企業成長,增加企業市場占有量,提高客戶滿意度,促進企業重要目標的實現。
2.10.3.3基準比較法包括以下幾種類型:
· 內部型基準比較法:在部門內部或程序自身尋找高于現行最低業績水平的更高業績(但必須是可實現的),作為基準。例如,全體銷售人員都努力達到本部門最佳銷售人員實現的銷售數量。
· 職能型基準比較法:是與那些在同一技術領域中經營的組織相比較,提供那些需要完善業務方面的信息。
· 競爭型基準比較法:將本行業的最佳競爭對手業績水平作為基準,將注意力集中在組織的整體業績方面,而不是組織內的子活動或子業務,目的是提高整體競爭力。例如,第二名租賃代理機構可能努力達到第一名租賃代理機構的業務量。
· 一般型基準比較法:是將經營活動中的某一業務流程與具有相似特征的業務流程相比較,不考慮行業或生產過程,例如文件處理過程。該方法能夠導致創新式跳躍,但不如具有相似職能流程之間的比較那么有幫助。
· 行業型基準比較法:使用行業的衡量標準作為提高完善的目標。這樣可能產生實用的基準,但也可能受到一定限制。
· 最高級型基準比較法:與一般型基準比較法一樣,該方法在行業外部尋找比較模型。最高級基準是某一業務領域中世界領先者的業績。雖然與競爭對手和行業標準比較組織業績似乎顯得更加適當,但事實上,組織可以不顧其所在行業,進行許多這樣的比較活動。每個組織都有應收賬款,都要和顧客聯系,都與供應商打交道,等等。如果一個組織想要存貨保持在最低水平,同時又不會影響客戶,并且希望在這方面成為世界上最好的,那么它就應該在任何涉及存貨管理的行業中尋找比較模型。最高級型基準比較法能夠帶來很大的改革活 動。
· 流程型基準比較法.將注意力集中在各個流程上,而不是放在諸如銷售數量或銷售收入上。
2.10.4信息技術(IT)及系統開發。內部審計師應該參與信息技術(IT)及系統的開發過程,而且重點考慮的是軟件的監督、修改、可靠性及軟件測試等問題。
在參與計算機系統的開發過程中,內部審計師:
· 要關心開發計劃的適當性及成本/效益問題;
· 要監督開發過程的整個進展情況;
· 雖然不能參與計算機系統的設計,但應該建議在計算機系統中建立一定的控制并保留審計線索;
· 在正式運行軟件前,要組織對其進行測試,為慎重起見,新程序應與現行程序并行運行至少一個處理周期。
2.10.5業績測評系統的設計,是內部審計師接受組織委托,設計一系列考評標準體系,以衡量組織內部各部門及職員的工作業績,目的是激勵員工更好地完成工作目標和職責,最終實現組織目標。
2.10.5.1 在前面關于績效審計業務的探討中,對管理層用于衡量流程的主要業績指標進行了解釋。關鍵業績指標(KPIs)應該是可衡量的、經過選擇的,并且與組織主要目標是緊密聯系在一起的(因此是“主要的”,因為你不能有效地衡量“所有"活動)。內部審計師要和審計業務客戶共同制定業績衡量標準,同時在審計中檢查這些標準。
2.10.5.2有很多標準或KPIs可以作為業績計分卡包含的項目。業績計分卡(BSC)又稱為平衡計分卡或平衡積分卡,是一個系統的戰略績效管理和評價體系。平衡計分卡將企業的愿景、使命和發展戰略與企業的業績評價系統聯系起來,它把企業的使命和戰略轉變為具體的目標和測評指標,以實現戰略和績效的有機結合。
新考試應用:考試答疑,互動交流!!
典型試題新考試應用:考試答疑,互動交流!!
(責任編輯:中大編輯)