C_监督审计业务结果.doc

02C 监督审计业务结果1. 根据内部审计结果确定适当的跟踪活动在业务完成后，业务报告中涉及的有些业务发现和提出的建议可能非常重要，影响到组织的经营活动，需要管理层马上采取纠正措施，所以内部审计部门应该对业务结果的执行情况进行适当的监督，以保证实现业务目标，降低组织风险，提高组织经营活动的效率和效果。关于内部审计活动实施后续监督程序的权利应该在内部审计活动章程中予以特别表述。1.1. 首席审计执行官承担的责任在内部审计业务活动结束后，内部审计团队和首席审计执行官要编制报告，用以： 利用审计开始时制定的标准，评估发现问题； 确认业绩缺陷或潜在风险，依据各种事实，包括造成的财务影响（如低效、损失浪费、所有权的丧失和损失、舞弊）和道德或法律方面的影响（如违反组织道德规范、违反法律法规），优先提出解决这些问题的纠正措施； 描述（如果必要）计划制定使用的标准，以纠正工作缺陷。按照实务公告，如果审计报告向管理层提出改进建议，那么首席审计执行官就有责任设立程序，保证管理层对提出的建议作出回应（提出反馈意见）。首席审计执行官的责任包括： 设立一个适当的时间表，要求管理层在时间表内对业务发现和建议提出反馈意见； 评估管理层的反馈意见。首席审计执行官必须取得管理层对建议的反馈意见，以便决定该反馈意见是否满足审计师所提建议的目标； 通过后续的沟通，证实管理层的反馈意见； 如果必要，实施跟踪审计业务； 如果必要，提高使问题得到关注的组织层次。如果首席审计执行官确信管理层没有作出适当回应（管理层通过不回应内部审计建议，承担不适当的组织风险），那么他或她就有责任确保这件事引起更高级别管理层的关注。内部审计的跟踪活动是一种工作程序，即内部审计师通过跟踪活动，确定管理层针对报告中的业务发现和业务建议（包括外部审计师和其他人员提出的发现和建议）所采取纠正措施的适当性、有黄性、及时性。如果内部审计确保是向那些有权力和能力解决问题的人提出建议，那么就更加有可能获得管理层的适当反馈意见。管理层的反馈意见可以是口头的，也可以采用书面形式。为了评估管理层反馈意见的适当性，决定采取什么样的最适合跟踪活动，内部审计部门应该告知管理层内部审计需要了解的事项。恰当的管理层反馈意见应该能够证明管理层全面、准确地理解了内部审计确认的风险，并且建立了清晰的控制目标以降低风险。1.2. 决定采用适当的跟踪活动首席审计执行官决定跟踪活动的性质、时间和范围，是否实施跟踪活动应基于所包含风险和漏洞的严重程度、安排采取纠正活动的困难程度和重要性。影响首席审计执行官作出相关决策的因素包括： 报告中提到的业务发现或业务建议的重要性。重要的业务发现是首席审计执行官依据判断认定会影响组织实现其目标的消极状况，包括与违法、违规、错误、低效率、损失浪费、无效果、利益冲突、控制缺陷等有关的情况。例如，一制药公司的内部审计部门发现向药品审查人员支付费用的情况（通常由医生负责独立收集数据，该数据被用于获取对新药品的核准）。这样做严重违反了公司政策、行业规章制度和联邦法律，也会给公司带来了极其严重的后果，严重程度从被罚款到被拒绝受理新产品核准。按照常规，内部审计师可以期望管理层将迅速采取行动以消除与上述行为相关的潜在风险。所以内部审计部门希望通过定期监督会计核算记录，确保管理层采取措施的有效性。另外一个相反例子，内部审计部门发现公司市场部经理的差旅费用记录上存在一个小问题。这一审计结果要求管理层作出反馈，以消除风险，但是跟踪活动可能只要求在内部审计师的工作底稿上作个标记，提醒审计师在下次审计中重新检查。 采取行动纠正报告提出问题所需要的成本和工作量。纠正成本，包括资金和丧失的生产力，能够与其带来的收益相匹配吗？例如，某制造公司的内部审计部门发现运送设备和工人的某运输方式可能存在伤害雇员的风险，在讨论过此种情况后，内部审计和制造部门管理人员都认为重新安排设计这些设备将耗费很大的成本，要降低生产能力。另外，虽然存在风险，但是过去两年还没有发生安全事故。最后，内部审计和管理部门都同意采取更加节约成本的替代性解决方案。 纠正活动失败所产生的影响。首席审计执行官必须考虑：管理层的反馈意见是否能够成功解决问题？不适当的反馈意见对组织意味着什么？例如，当地法律要求生产车间使用的危险品数据表都应该放在活页夹中，并将活页夹放在特定地点。内部审计发现有些要求记录的文件丢失或过时了。管理层同意在下一个工作高峰期之后修订数据表格以符合规定。首席审计执行官考虑：雇员得到了全面的危险品知识培训，在使用危险品的地方都有警告提示，因此，可以确定，管理层尽管没有及时增加必要的数据表，但不会有什么影响，几乎不会带来成本。所以，首席审计执行官接受了管理层提出的纠正时间表。再举个相反的例子：内部审计师发现的证据表明某雇员和某供应商之间存在异常的亲密关系，但是不能就确认存在舞弊行为。内部审计在给管理层的报告中包含了上述潜在风险内容。管理层回应说：缺少舞弊发生的具体证据，不能调动该雇员的工作，但是将会“时刻关注这件事”。鉴于发生盗窃行为的可能性，首席审计执行官可以认定管理层的反馈意见是不恰当的。 涉及的时间跨度。索耶内部审计建议首席审计执行官安排管理层回应审计发现的不同时间表。发现的重要风险（以“发生频率、重要程度和威胁程度”来衡量）应该马上获得管理层的反馈意见。最理想的是，当发现了重要风险或损失时，管理层应该在审计期间就着手提出反馈意见，这样一来，在签发审计报告时，问题至少部分得到解决。例如，首席审计执行官要求在组织内网和外部用户（如客户）之间进行数据交换时的安全隔离（可以增加组织和客户双方财务数据的安全性）应该尽快设立，至少在60天内设立。不太重要的发现可以允许较长的反馈时间，比如120天。其他的审计发现可能不要求特定的回应时间表，有两个原因：一是它们太重要了以至于必须马上纠正（例如，辞退和处罚骚扰其他雇员的雇员）；二是它们不太重要，不必实施具体的跟踪活动（例如，提议文件在其他地方整理归档，以节省办公室空间）。对不太重要建议的跟踪活动通常列入下次常规业务计划中。美国国家会计总署（GAO）在1991年发表了白皮书，主要关注审计的跟踪活动。GAO建议，在决定是否开展审计跟踪活动时，需要考虑6个问题： 提出的建议还有依据吗？情况发生了改变，这种改变使风险或消除或降低，或者导致解决问题的要求发生重大改变。例如，内部审计报告提出没有对某跨国公司负责采购的职员进行当地法律培训，这可能带来违反当地法律的风险。该公司决定，采取替代培训职员这种方式，今后将依靠当地独立公司来完成采购工作。因为公司采购部门不负责当地采购工作，所以，审计部门提出的建议就不再相关了。 其他方法能够满足所提出建议的目标吗？例如，审计部门可能建议增加一份物理日志，记录对受保护领域的访问。管理层决定通过安装一台监视录像系统来代替审计提议的日志。虽然管理层没有采纳建议，但是增强安全性的目标达到了。 有其他事情可以改变管理层关于执行建议的想法吗？帮助管理层更加全面地了解风险代价和控制风险带来的好处，有助于内部审计从管理层那里获得期望获得的回应。为管理层提供全面分析，分析没有执行建议而造成的资金损失，分析建议带来的辅加收益（如增加了雇员雇用时间的灵活性），也有助于从管理层那里获得期望获得的回应。 应该拖延建议的执行期吗？例如，首席审计执行官知道公司需要一套更好的运输跟踪系统，但是这种需求在即将进行的并购完成后才会显得更为明显。随着市场的扩大和运输车队的增加，对协同性、风险管理和有效性的需求将变得更加突出。 对解决这一领域控制事项来说，提出的建议是至关重要的吗？这是关于决定优先排序的事。为了赢得管理层同意采纳一项更加重要的建议，首席审计执行官可以决定最终放弃某项建议。 为了使提出的建议更具有可实现性并且为此获得管理层较高的认可度，能够修改该建议吗？例如，某部门感觉人手不足，工作太多，它就不可能欢迎要增加新的、额外业务的建议。那么，管理层能够通过从供应商购买服务的方式执行该建议吗？美国国家会计总署的建议强调首席审计执行官和管理层需要沟通和谈判。在管理层不理解和不支持的情况下，高级管理层强加的解决方法，比相互协商通过的解决方法，可能要面对更多的挑战。2. 确认监督审计业务结果的适当方法用以有效监督业务结果处理情况的方法包括： 将业务发现和建议向负责采取纠正性措施的恰当管理层报告或通报。 在业务进行过程中或在业务结果沟通后的合理时间内，收集并评价管理层对业务发现和建议的反馈意见。如果这些反馈意见包括了有助于首席审计执行官评价纠正性措施充分性和时效性的充分信息，这些反馈意见的用途将大大增加。 定期收集来自于管理层的最新信息，以评价管理层纠正以前沟通问题的努力程度。 收集并评估来自组织内负责实施跟踪活动或采取纠正行动的其他部门的信息。 向高级管理层或董事会报告对业务发现和建议的反馈情况。作为业务项目的第一步骤，计划对于能否成功监督业务结果是很重要的。监督计划取决于建议重要性及建议复杂性等因素。计划涉及的基本要素包括： 谁来监督建议执行结果。特定内部审计人员被分派承担监督责任。如果允许获得其他部门的配合和支持，就需要与这些部门签订合同，协调努力。例如，如果某项建议牵扯到对某地区重新进行设备安装，以提高雇员安全性，那么就有必要取得工作环境保护设计人员提供的服务，有必要与设备运营区的管理层合作，共同计划新的设计图纸。 要监督什么。建议的目标是提出可以衡量和可以看得见的标准。例如，某项建议提出：会计核算部门应该采取新的会计核算方法。这项建议可能只要求举行培训、取得必要的材料（如计算机应用软件）和提出采用建议的日期。另一项建议提出：所有现在和将来的供应商都应该证明其法律法规遵守情况。那么，这项建议就要求提供这方面的证明材料。负责监督工作的内部审计师就需要检查所有或者抽查部分供应商提供的证明材料。管理层了解并且同意内部审计师需要实施监督活动是很重要的，同时，证实建议执行情况以便内部审计师认可管理层采取的纠正措施也很重要。 如何实施监督活动。监督活动依据具体情况而定。例如，内部审计建议某一数额之上的交易只能由经过授权的人实施。内部审计也可能简单地接触计算机系统以确认新操作规程是否存在并且得到贯彻执行。对于一些特别重要的建议，如按照规定编制财务报表，内部审计可以计划实施跟踪活动。对于一些不太重要的建议，例如改善某办公室安全设施，采用跟踪活动调查问卷和面谈方式就是适合的。内部审计应该明确管理层采用什么方式（书面的、电子邮件、口头的）来证明其对建议的回应。 何时或隔多长时间实施监督活动。应该向管理层明确他们提供反馈意见的时间表以及在规定日期之后将要采取跟踪活动的事实。像我们以前讨论的，跟踪活动的时间表取决于建议的重要性。一件紧急的事情需要立即解决。如果某项建议涉及非常复杂的解决方案，内部审计还要决定一系列重要跟踪活动的时间表。例如，内部审计要检查某信息系统供应商（其开发了建议采用的应用软件）提出的项目方案，接着，检查确定这一项目是否按时间表完成。审计可以完成对某系统实施前进行的13因素测试和对测试结果的分析。审计可以决定去证实新系统全部运行后的最终结果。3. 实施跟踪活动跟踪活动是监督检查管理层是如何处理报告给他们的业务结果的过程，目的是首席审计执行官确定管理层针对报告中提到的业务发现和建议（包括外部审计师和其他相关人员提出的业务发现和建议）所采取行动的适当性、有效性和及时性。在实施跟踪活动过程中，内部审计要收集数据，证实内部审计向管理层提出建议的处理情况。监督活动既可以包括以跟踪业务形式实施的内部审计活动，也可以包括定期向管理层收取项目进展报告，或者向负责跟踪活动程序的组织其他部门收取项目进展报告。作为该业务的首要步骤，实施跟踪活动的内部审计师应该力求与相关部门建立合作的、积极的关系。跟踪业务包括收集和分析数据、检查文件、观察工作业绩、与管理人员和相关人员面谈等。无论是收集数据还是监督观察结果，都要应用计算机工具来提高工作力度和效率。跟踪活动分三个步骤： 高级管理层与审计业务客户进行协商，决定是否、何时、怎样按照内部审计师的建议采取纠正行动。 审计业务客户按照决定采取行动。 在报送审计报告后，经过一段合理时间，内审人员对审计业务客户进行复查，看其是否采取了合适的纠正措施并取得了理想的效果，如果不采取纠正行动，是否是高级管理层和董事会的责任。在实施跟踪活动中，内部审计的目标是确定： 建议是否得到采纳和执行，或者对建议的反馈意见是否正在形成中。 如果变化的发生主要是基于一些根本原因，那么哪些措施将阻止问题的再次发生。 采纳并执行建议可以给组织或某部门带来什么收益。 可以衡量的收益和节约的成本与执行建议的投入是否相匹配，如果不相匹配，为什么（在跟踪报告中明确获得的收益有助于体现建议的有效性和内部审计职能的价值）在跟踪活动实施后，必须以相关的方式来记录取得的进展，例如通过对文件和数据的审计、测试或直接观察。如果没有取得进展，内部审计必须找到原因，并加以记录。 管理层坚持执行建议了吗？ 执行中遇到了没有预测到的难题吗？ 条件发生变化，没有必要执行建议了吗？ 由于每日经营活动和危机压力，建议的执行被拖延了吗？ 建议自身是不适当的吗？在哪些方面？如果执行建议过程被中断，可以采用一些方法来继续，例如，与管理人员和相关人员探讨问题，必要的话，制定备选的建议执行方案。如果还是没有进展，可以考虑计划并实施另外的跟踪监督活动。4. 沟通监督计划和结果内部审计是否沟通监督计划和结果取决于首席审计执行官是否已经确定管理层的回应是适当的或是不适当的。 董事会应该知道高级管理层就所有重要业务发现和建议所作出的决定 首席审计执行官有责任评估上述管理层行为（即是否及时向董事会报告重要事项），以便使报告中提到的业务发现和建议得到及时解决。 向高级管理层报告重要审计事项可以采取总结报告的形式。首席审计执行官应该定期向审计委员会、董事会或其他类似的权威机构报告内部审计活动中的监督计划和监督结果，包括有关正在进行监督项目的季度报告。这些报告应该反映最新开始的审计业务、后续开展的监督活动结果及为证实已完成业务而实施的监督活动结果。在许多组织中，常常是首席审计执行官在高级管理层会议和董事会（审计委员会）季度会议上亲自报告。监督报告要强调继续进行监督活动的必要性（由于建议没有被完全执行或被错误执行，或者由于提出的建议没有解决发现问题）或者停止监督活动并宣布事情得到解决的能力。当建议得到成功执行（或建议目标以其他方式得到实现）或者当存在问题得到解决时，可以停止监督活动。在适当的时候，将监督业务从内部审计正在进行的项目清单中消除是很关键的。监督报告应该特别记录监督计划结果（最好利用最初建议中设立的标准），强调由于执行建议给组织带来的收益。结果可以是质量方面的（“客户满意订单传递速度的提高”），也可以是数量方面的（从预订订单到客户收到货物的时间从平均8.5天降低到平均6天）。结果的表述应该简洁，一张纸概括出目标、监督活动和结果，如果需要，应附有列在附录上的支持证据清单。但是，如果发生一些干扰建议实现、需要建议进行必要改变的事项，或者发生事项提出了新的与风险和控制有关事宜，那么这些事项都要在报告中予以充分讨论。基于一些善意的原因，内部审计有时会认为管理层对内部审计建议的回应是不适当的。例如，内部审计可能认为管理层没有回应的理由是重组导致管理人员变化，新的管理人员可能不了解审计建议。这时，首席审计执行官要制定策略，重新介绍反馈意见的必要性，如果需要，还要制定逐步与更高层管理人员沟通的策略。但是，内部审计发现的给组织带来重要风险的问题，应要求得到管理层及时和有效的回应。如果首席审计执行官确信管理层没有对发现的风险作出回应或者作出的回应不很适当,而且不愿意控制风险，那么从专业角度要求，首席审计执行官要让事情得到更高层次的注意，即高级管理层，如果有必要（高级管理层没有作