Topic C-1 根據內部審計結果確定適當的跟蹤活動
Determine appropriate follow-up activity by the internal audit activity
★相關知識
1.根據內部審計結果確定適當的跟蹤活動
根據《標準》,內部審計活動必須應用系統、規范的方法,評估并協助改善治理、風險管理和控制過程。內部審計活動必須評價并提出適當的改進建議,以改善組織為實現目標的治理過程。
在業務完成后,業務報告中涉及的有些業務發現和提出的建議可能非常重要,影響到組織的經營活動,需要管理層馬上采取糾正措施,所以內部審計部門應該對業務結果的執行情況進行適當的監督,以保證實現業務目標,降低組織風險,提高組織經營活動的效率和效果。關于內部審計活動實施后續監督程序的權利應該在內部審計活動章程中予以特別表述。
1.1 首席審計執行官承擔的責任
1.1.1 在內部審計業務活動結束后,內部審計團隊和首席審計執行官要編制報告,用以:
● 利用審計開始時制定的標準,評估發現問題;
● 確認業績缺陷或潛在風險,依據各種事實,包括造成的財務影響(如低效、損失浪費、所有權的喪失和損失、舞弊)和道德或法律方面的影響(如違反組織道德規范、違反法律法規),優先提出解決這些問題的糾正措施;
● 描述(如果必要)計劃制定使用的標準,以糾正工作缺陷。
1.1.2根據《標準》2500,“首席審計執行官必須制定并維護系統或制度,監督已通報結果的處理情況”,“首席審計執行官必須建立后續程序,監督及確保管理層已采取有效措施,或高級管理層已接受不采取行動的風險”。
為了有效監督結果的處理情況,首席審計執行官建立的程序應包括以下內容:
首席審計執行官的責任包括:
● 要求管理層對業務發現和建議作出反應的時間限制;
● 對管理層所作反應的評價;
● 對反應進行的驗證(適當時);
● 開展跟蹤審計(適當時);
● 針對不滿意的反應或措施(包括風險假設),向適當的高級管理層或董事會通報。
若某些上報的發現和建議非常重要,需要管理層或董事會立即采取行動,則內部審計部門應對這些情況進行持續監督,直至問題被糾正或建議被采納。
1.2決定采用適當的跟蹤活動
根據《標準》2500.A1,“首席審計執行官必須建立后續程序,監督及確保管理層已采取有效措施,或高級管理層已接受不采取行動的風險”。后續程序是內部審計跟蹤活動的一種工作程序,即內部審計師對管理層為應對已報告的發現和建議(包括外部審計師和其他人員的發現和建議)所采取行動的完整性、效果性和時效性進行評價。這些程序也包括確認高級管理層和/或董事會是否已接受不采取針對已報告發現問題的糾正措施所帶來的風險。
1.2.1 首席審計執行官決定跟蹤活動的性質、時間和范圍,是否實施跟蹤活動應基于所包含風險和漏洞的嚴重程度、安排采取糾正活動的困難程度和重要性。影響首席審計執行官作出相關決策的因素包括:
● 報告中提到的業務發現或業務建議的重要性。重要的業務發現是首席審計執行官依據判斷認定會影響組織實現其目標的消極狀況,包括與違法、違規、錯誤、低效率、損失浪費、無效果、利益沖突、控制缺陷等有關的情況。例如,一制藥公司的內部審計部門發現向藥品審查人員支付費用的情況(通常由醫生負責獨立收集數據,該數據被用于獲取對新藥品的核準)。這樣做嚴重違反了公司政策、行業規章制度和聯邦法律,也會給公司帶來了極其嚴重的后果,嚴重程度從被罰款到被拒絕受理新產品核準。按照常規,內部審計師可以期望管理層將迅速采取行動以消除與上述行為相關的潛在風險。所以內部審計部門希望通過定期監督會計核算記錄,確保管理層采取措施的有效性。另外一個相反例子,內部審計部門發現公司市場部經理的差旅費用記錄上存在一個小問題。這一審計結果要求管理層作出反饋,以消除風險,但是跟蹤活動可能只要求在內部審計師的工作底稿上作個標記,提醒審計師在下次審計中重新檢查。
● 采取行動糾正報告提出問題所需要的成本和工作量。糾正成本,包括資金和喪失的生產力,能夠與其帶來的收益相匹配嗎?例如,某制造公司的內部審計部門發現運送設備和工人的某運輸方式可能存在傷害雇員的風險,在討論過此種情況后,內部審計和制造部門管理人員都認為重新安排設計這些設備將耗費很大的成本,要降低生產能力。另外,雖然存在風險,但是過去兩年還沒有發生安全事故。最后,內部審計和管理部門都同意采取更加節約成本的替代性解決方案。
● 糾正活動失敗所產生的影響。首席審計執行官必須考慮:管理層的反饋意見是否能夠成功解決問題?不適當的反饋意見對組織意味著什么?例如,當地法律要求生產車間使用的危險品數據表都應該放在活頁夾中,并將活頁夾放在特定地點。內部審計發現有些要求記錄的文件丟失或過時了。管理層同意在下一個工作高峰期之后修訂數據表格以符合規定。首席審計執行官考慮:雇員得到了全面的危險品知識培訓,在使用危險品的地方都有警告提示,因此,可以確定,管理層盡管沒有及時增加必要的數據表,但不會有什么影響,幾乎不會帶來成本。所以,首席審計執行官接受了管理層提出的糾正時間表。再舉個相反的例子:內部審計師發現的證據表明某雇員和某供應商之間存在異常的親密關系,但是不能就確認存在舞弊行為。內部審計在給管理層的報告中包含了上述潛在風險內容。管理層回應說:缺少舞弊發生的具體證據,不能調動該雇員的工作,但是將會“時刻關注這件事”。鑒于發生盜竊行為的可能性,首席審計執行官可以認定管理層的反饋意見是不恰當的。
● 涉及的時間跨度。《索耶內部審計》建議首席審計執行官安排管理層回應審計發現的不同時間表。發現的重要風險(以“發生頻率、重要程度和威脅程度”來衡量)應該馬上獲得管理層的反饋意見。最理想的是,當發現了重要風險或損失時,管理層應該在審計期間就著手提出反饋意見,這樣一來,在簽發審計報告時,問題至少部分得到解決。例如,首席審計執行官要求在組織內網和外部用戶(如客戶)之間進行數據交換時的安全隔離(可以增加組織和客戶雙方財務數據的安全性)應該盡快設立,至少在60天內設立。不太重要的發現可以允許較長的反饋時間,比如120天。其他的審計發現可能不要求特定的回應時間表,有兩個原因:一是它們太重要了以至于必須馬上糾正(例如,辭退和處罰騷擾其他雇員的雇員);二是它們不太重要,不必實施具體的跟蹤活動(例如,提議文件在其他地方整理歸檔,以節省辦公室空間)。對不太重要建議的跟蹤活動通常列入下次常規業務計劃中。
1.2.2美國國家會計總署(GAO)在1991年發表了白皮書,主要關注審計的跟蹤活動。GAO建議,在決定是否開展審計跟蹤活動時,需要考慮6個問題:
● . 提出的建議還有依據嗎?情況發生了改變,這種改變使風險或消除或降低,或者導致解決問題的要求發生重大改變。例如,內部審計報告提出沒有對某跨國公司負責采購的職員進行當地法律培訓,這可能帶來違反當地法律的風險。該公司決定,采取替代培訓職員這種方式,今后將依靠當地獨立公司來完成采購工作。因為公司采購部門不負責當地采購工作,所以,審計部門提出的建議就不再相關了
● 其他方法能夠滿足所提出建議的目標嗎?例如,審計部門可能建議增加一份物理日志,記錄對受保護領域的訪問。管理層決定通過安裝一臺監視錄像系統來代替審計提議的日志。雖然管理層沒有采納建議,但是增強安全性的目標達到了。
● 有其他事情可以改變管理層關于執行建議的想法嗎?幫助管理層更加全面地了解風險代價和控制風險帶來的好處,有助于內部審計從管理層那里獲得期望獲得的回應。為管理層提供全面分析,分析沒有執行建議而造成的資金損失,分析建議帶來的輔加收益(如增加了雇員雇用時間的靈活性),也有助于從管理層那里獲得期望獲得的回應.
● 應該拖延建議的執行期嗎?例如,首席審計執行官知道公司需要一套更好的運輸跟蹤系統,但是這種需求在即將進行的并購完成后才會顯得更為明顯。隨著市場的擴大和運輸車隊的增加,對協同性、風險管理和有效性的需求將變得更加突出。
● 對解決這一領域控制事項來說,提出的建議是至關重要的嗎?這是關于決定優先排序的事。為了贏得管理層同意采納一項更加重要的建議,首席審計執行官可以決定最終放棄某項建議。
● 為了使提出的建議更具有可實現性并且為此獲得管理層較高的認可度,能夠修改該建議嗎?例如,某部門感覺人手不足,工作太多,它就不可能歡迎要增加新的、額外業務的建議。那么,管理層能夠通過從供應商購買服務的方式執行該建議嗎?
美國國家會計總署的建議強調首席審計執行官和管理層需要溝通和談判。在管理層不理解和不支持的情況下,高級管理層強加的解決方法,比相互協商通過的解決方法,可能要面對更多的挑戰。
新考試應用:考試答疑,互動交流!!
(責任編輯:中大編輯)