某公司在coso模式下的评估

StrugglingtoincorporatetheCOSOrecommendationsintoyourauditprocess?

Here’soneauditshop’swinningstrategy.1/7/202411/7/20241992年，COSO委员会发布了一份关于内部控制的蓝本报告，内部控制——整合框架，也被简称为COSO，它为建立内部控制制度并评价其有效性提供了一个合理的根底。随着报告的出版，Boeing局部地采用了COSO的建议作为其内部控制政策与程序的根底。Asaresult，我们的内审部门开始在每次审计中对内部控制的质量进行打分排序〔rate〕。我们很快发现将这些标准植入实际业务中困难重重。然而提供资料的时候,我们的评分大局部带有主观色彩,一般在报告中缺乏系统分析和文件记录的支持。为了到达质量更高的结果，我们重组了〔reengineered〕现有的审计模式〔methodology〕—从开始，到现场工作，到最终报告—以适应COSO的框架。功夫不负有心人。我们的审计不再是偶然与随意，COSO给我们的审计工作提供了根底。1/7/202421/7/2024Theapproach我们将COSO整合入审计的过程与IIA的一篇研究根底报告中-“内部审计师在管理层关于内部控制的报告中的作用〞描述的很相似。这篇研究中建议，审计结果应当按照COSO框架进行归类，这些信息可以被董事会和公司高管在最高〔top-level〕报告中利用。我们的方法就基于这些概念，将COSO的标准融入各个审计阶段的流程。1/7/202431/7/2024根据COSO，内部控制应确保以下三个目标〔1〕经营的效率和效果；〔2〕精确的财务报告；和〔3〕法律和规定的遵循。报告还列出了有效控制系统的五个关键因素：1/7/202441/7/2024控制环境，它通过提供根底性的原那么与构架建立了内部控制的根底。风险评估，它包括管理层-而不是内审师-对实现组织既定目标过程中对相关风险的识别和分析。控制活动，确保组织管理目标实现和风险平抑〔riskmitigation〕战略被执行的政策、程序和实务操作。信息与沟通，通过与员工沟通控制责任以及用保证人们履行其责任的表格和时间表〔formandtimeframe〕提供信息，为其它〔四个〕要素提供支持。监控，它包括对管理当局内部控制的外部考察和过程之外的其他利益方，或独立方法的应用〔applicationofindependentmethodologies〕，如由员工在过程内定制的程序及标准清单〔likecustomizedproceduresorstandardchecklists,byemployeeswithinaprocess.〕1/7/202451/7/2024我们运用这些要素来定义要审计的控制目标，评价Boeing控制系统的各个组成局部，并向管理层汇报结果。按照这种方式在我们的审计过程中增加结构将COSO整合其内，确保每次审计的关键阶段对正确标准的深思熟虑，并留下审计轨迹以支持所形成的结论。1/7/202461/7/2024定义目标流程重组中的一个关键方面是，在每次审计中我们都集中于COSO的一个单一目标，而不是许多目标。在与管理层的沟通中，每个审计师都要确定恰当的COSO目标-经营、财务报告以及遵循。在制定审计方案时就要把这些确定下来，记录在工作底稿中，形成正式文件。集中于一个审计目标使我们能够更明确审计焦点、提高效率。如果需要确立另一个目标，那么又是新一次审计的开始。1/7/202471/7/2024如果指导审计调查和现场工作之后，必须偏离预定的目标，那么建议的调整必须进行审核并被审计管理层通过。工作底稿也必须进行修正，并对进行调整的合理性做出描述。根据实务经验，审计方案完成之后通常都不会偏离最初制定的COSO目标。1/7/202481/7/2024大多数审计方案都有一个就所要审查的职责和流程的较容易区分的清晰的目标。例如，“采购流程〞〔programshopscheduling〕显而易见应该归入“经营目标〞的类别。但也有一些审计的目标就不是那么的明显。一个验收“Receivinginspection〞审计就既不是一个经营目标，又不是一个遵循目标，这取决于要检查的管理层控制的类型。同样，如“车间的本钱归集〞的审计可能集中于经营或财务报告，它取决于要评价的控制。对于那些个别难以区分COSO目标的审计方案，审计人员有责任识别本次审计主要侧重于哪个方面，在下面的指引的根底上确定一个恰当的目标。1/7/202491/7/2024COSO根底审计的获益效果测试COSO所有五个控制要素，为确定控制保证的程度提供一个坚实的根底。效率集中于一个COSO目标类别，严谨提防“越界〞〔“scopecreep〞〕。可比较性

使用一个能够在不同业务部门之间的控制进行比较的审计框架和评分系统。沟通

整合COSO标准时，应与客户进行讨论以增强他们对控制概念的理解。审计委员会按照COSO框架进行报告有助于描绘内部控制系统的优势和弱点。1/7/2024101/7/2024经营经营目标集中于管理的效率和效果。效果包括对具体的管理目标实现进行控制的质量，而效率那么包括对如何以最适宜的资源转换为更多的产出的度量进行控制的质量。对于一次经营审计，组织应该能够确定其能否合理确信不存在重要方面的无效率或被审的组织与过程中的无效果。因为波音处于一个高管制〔highlyregulated〕的行业，所以每次经营审计都容易被看成为一次遵循审计，但是，除非为对法律和规定的遵循情况而对整个控制系统进行审计，就不能提供一个综合评价。这样的系统包括与管理机构的关系，Boeing内部政策和程序，促进遵循的人员分配，以及监控遵循效果的方法。只有审计遵循程序的各个方面，才能对确保遵循法律法规的内部控制的整体有效性进行汇报。同时，经营审计中附带发现的非遵循性内部程序必须与管理层进行沟通。审计师应特别注意控制评价表中附带发现的那些潜在的违例事项。1/7/2024111/7/2024RATINGCRITERIAFORCOSO-BASEDAUDITS

1/7/2024121/7/2024财务报告财务报告的目标在哪里，我们就把审计的重点放在确保外部报告财务数据可靠性的管理控制的充分与有效上。对这些控制的审计应提供合理确实信在检查过的数据中没有重大的错报。追踪审计控制和财务数据到财务报告就表示审计的目标是财务报告。检查用于估计合同履行本钱的假设和方法时的审计也有财务报告目标。同样，对管理生成财务报表的会计控制的审计也应为财务报告目标。尽管也有例外情况，许多财务职责审计集中于财务报告目标，审计范围一般反响了他们的审计目标。1/7/2024131/7/2024最初很难确定，比方，应付会计的审计目标究竟属于经营还是财务报告的范畴，这取决于要审计的管理控制的种类。同样，“costscreeningforgovernmentallowability〞的审计隐含了三个目标：过程的效率和效果-经营；遵守了FAR〔联邦政府采购法规〕的要求-遵循；以及本钱归集与处理的可靠性-财务报告。选择目标是一项重要的职业判断，它取决于要检查的管理控制的性质和主要特征。1/7/2024141/7/2024遵循基于遵循的审计主要集中于保证对外部法律与规定遵守的管理控制的充分与有效。该类审计应主要关注公司的程序和实务与法律的相互关系。我们经常广泛地征求公司法律参谋的意见-这便是一个明证，审计应有遵循性的目标。对公司是否遵循了FCPA〔ForeignCorruptPracticesAct〕而进行的审计是遵循目标审计的最好例证。这类审计的例子还包括，对FAR〞本钱披露〞、FAR〞非正常定价〞及联邦航空管理局“unapprovedparts〞遵循情况的管理控制的审计等。1/7/2024151/7/2024评价控制要素根据COSO，在对整个内部控制的设计和效果提交报告之前必须对每个控制要素进行评价。因此，我们对流程进行了重组，以在所有的审计中每个要素都能覆盖到。在定义每个控制要素时，COSO确定了七个控制因素，我们把这些因素作为标准对控制效果进行打分。在整个过程中，审计师都必须考虑每一个因素，评价控制的效果时，必须设计恰当的问卷和测试。通过表述每一个控制要素和因素，我们一直致力于审计中确保最大的连贯性，使审计的效果到达最大化。1/7/2024161/7/2024为了易于理解与应用标准，控制要素的评价只能是满意的或不满意。我们考虑“二者必选一〞的评分构架，在个别情况下，审计师在被审计的内部控制系统之外偶然发现一个值得报告的情况，附带的“满意-不满意〞的观察可能被记录。1/7/2024171/7/2024评分必须与预先制定的标准相一致，以可靠的审计证据为根底，并记录在工作底稿中。如果控制能够提供合理确信管理目标能够到达，就给一个“满意的〞打分，如果控制不能提供这样的合理确信，就视为不满意。在打分时，审计师的职业判断起着重要的作用，对于不满意的情况，应提出合理的建议。为了支持审计师对控制的评价打分，我们提供了对每项控制要素进行声明〔address〕的指引。1/7/2024181/7/2024TheBoeingControlEvaluationForm1/7/2024191/7/2024控制环境。为易于分析，该因素的控制因子被分成硬控制与软控制。在波音，硬控制包括组织结构、权利与责任的分配、人力资源政策与实务。在绝大多数审计中，所有这三个都是传统相关的领域。每项的审计证据都很容易得到。软件控制包括职业道德，胜任能力，管理风格等。这种控制传统审计上被无视，因为这样审计的文件证据很难获得和进行测试。1/7/2024201/7/2024如果在被审计的范围内有任何一个硬控制不能有效地运行，将被授予不满意的等级评价。另一方面，合理的行为被假定为软控制，在不合理行为被发现的情况下，将会得到一个不利的审计结论。除非有直接的证据说明软控制是正确而又适当的，否那么不能将其评为满意的评价等级。只要发现不道德、不称职、不当管理行为的事例，审计人员就应考虑给予不满意的评价等极。审计人员对〔有效〕软控制提供保证的程度远远低于通常的汇报。随着对软控制测试技术的提高，评价标准可以进行修改，对〔汇报〕提供为积极的保证。1/7/2024211/7/2024根据coso的风险评估，有效风险评估要求：重新定义目标目标的兼容性到达目标的风险识别关键风险的判断确定减少风险的措施1/7/2024221/7/2024如果缺少任何一个因素，通常会给予不满意的等级评价。而且，应该设计审计调查测试来判断是否存在管理层非预期关键风险。如果这种风险被识别出存在并被认为是关键的，应提出一个不满意的评价等级并单独报告，即使以上列出的五个因素都存在。1/7/2024231/7/2024控制活动：无论是何种审计类型或被正被稽核的控制活动的本质，都必须在审计工作底稿中对明确的控制活动和相关的控制目标形成记录。被审计的一般控制活动包括：财务——填制流程，授权，记录保存，管理部门审查，保证资产分类数据，防止金融欺诈和侵吞资产。信息系统——总体，硬件以及应用，以确保系统运作的可靠性，数据输出的准确性，设备和档案的保护措施。业务操作——指示性的、预防性的、侦察性的控制，集中于对资源的利用效率以及明确的控制目标能够到达的可度量程度。1/7/2024241/7/2024如果关键控制活动没有执行或没有完成指定的目标，在这种情况下，这个控制组成局部一般会给与一个不满意的评价等级。或者说，必须有关键的控制活动提供合理保证业务正常运作，按照预期到达控制目标。如果控制活动上反映出管理层的风险缓解战略缺失或不充分，仅此一项即可招致不满意的评分。1/7/2024251/7/2024信息和沟通coso提到几个关于信息和沟通的控制因素，我们期望我们的审计人员在评价时取最小值：识别、收集、沟通已审计范围内的公认标准。员工认识到其控制责任关系到整个体系处理客户，供给商，员工关注，投诉，纠纷的机制和处理机制应及时。如果以上这些因素不能有效运作，将给与不满意的等级评价。1/7/2024261/7/2024监管管理层制定的控制评价程序，在一定的时间检测决定内部控制系统的质量。日常流程中的一些独立表格是必要，以保证对有效的控制形成监管。因此，我们并不把流程中管理层的日常业绩评价视为一项监管，相反，我们把它视为一项控制活动。监管包括管理层的内部监管和流程外其他组织的外部监管。它可能包括一些独立方法的运用，例如，制定的流程和核查清单的标准。如果管理层未建立内部控制系统的监测程序，不管是独立形式评估还是持续的监测，将不会得到一个满意的评分等级。1/7/2024271/7/2024COSO-BASEDREPORTINGWecommunicateourauditassessmentstomanagementusingaCOSO-basedcontrolevaluationformthatwedeveloped.Thisform,whichisshownonpage64,providesmanagementwithasnapshotofhowtheauditedareastacksupagainsttheCOSOcontrolrequirements.Theratingsforeachcontrolcomponentareshown,aswellasanoverallsummaryrating,whichdetermineswhetherthereisreasonableassurancethatmanagement’sobjectiveswillbeachieved.Wealsonotetherationaleforanyunsatisfactoryratingsgiven.Thecontrolevaluationformiscompletedpriortotheauditexitconferenceandreviewedwithotherauditorsandauditmanagement.Theseinterimreviewsdeterminewhethersufficientbasisexistsfortheratingsassigned.Auditorsareencouragedtodiscusstheratingswiththeauditcustomer—eitherdirectly,usingthecontrolevaluationform,orindirectlyduringreviewanddiscussionoftheauditfindings.Thesediscussionsaremosteffectivewhenwespeakintermsof"ourcontrolframework"andavoiduseofthe"COSO"acronym.Thecontrolevaluationformisfinalizedastheauditreportisprepared,andacompletedformistransmittedtothegeneralauditorattheendofeachproject.Controlratingsaresummarizedatgroupandcompanysegmentlevels,formingabasisforreportingonthestatusofinternalcontrolstoseniormanagementandtheauditcommittee.Dataistrackedtodetermineunsatisfactorycontroltrends,aswellasareasofauditrisktoaddressinplanningfutureauditprojects.Forexample,ifunsatisfactoryratingsconsistentlyappearinthemonitoringcontrolcomponent,thenadditionalauditemphasisandmanagementvisibilitymaybegiventoself-reviews,controlself-assessment,andsimilarongoingmonitoringtechniques.Allcontrolevaluationsaresummarizedsemi-annuallyandpresented,withappropriateexplanation,totheauditcommitteeaspartofthecompany’sinternalcontrolsystemsassessment.1/7/2024281/7/2024THEROADTOSUCCESSAlthoughourCOSOimplementationhasultimatelybeensuccessful,wedidencounterafewhurdles.Weimplementedtheprocessincrementally,startingwithdevelopmentandtestingofthecontrolevaluationform.ThisearlierversionoftheformcombinedCOSOcontrolcomponentswithinternalcontrolobjectivesfromTheIIA’sStandardsfortheProfessionalPracticeofInternalAuditing.AnimmediateproblemdevelopedwhenauditorswereconfusedbyvariationsinterminologybetweenCOSOandtheStandards.1/7/2024291/7/2024Inaddition,therewaslimitedunderstandingoftheCOSOframeworkamongauditstaff,andnocriteriaregardingcontrolratingswereprovidedtoensureconsistency.Compoundingtheproblem,twosignificantmergersinvolvingBoeing,Rockwell,andMcDonnellDouglasconsolidatedthreeauditstaffswithdifferentperspectivesonperforminginternalaudits.Ofevengreaterconcernwasthefactthatmanyauditorsfailedtoseeanyrealbenefitinratinginternalcontrols—aperceptionnotwithoutmeritgiventhelackofguidanceandconfusionoverterminology.1/7/2024301/7/2024Theseproblemswereovercomethroughaconsensus-buildingprocesscombiningemployeeinvolvement,managementdirection,detailedwrittenguidance,workshoptraining,andfollow-upverification.Trainingworkshopswereheldtoeducateauditstaffinthenature,purpose,anduseofCOSO.Revisionstoourauditmethodologywerepresentedattheseworkshopstoensureconsistentapplication.COSO-basedratingcriteriaalsowereprovidedtoguideauditorsinreportinginternalcontrolconditions.Toensuregoalcongruence,anewinternalcontrolpolicyandprocedurewereissued,standardizingCOSOapplicationthroughoutthecompanyandemphasizingmanagement’sresponsibilityforimplementation.1/7/2024311/7/2024Inaddition,seniormanagementsupportwascrucial.Withoutthisbacking,manytypicalbarrierstochangewouldhaveblockedCOSOimplementation.Suchsupportincluded:MemorandafromourgeneralauditorcommunicatingtheneedtoadopttheCOSOframeworkasthebasisforreportingandtrackingtheconditionofcompany-wideinternalcontrols.SeniormanagementassistanceandactiveparticipationatourCOSOworkshoptrainingsessions,conveyingsupportfortheCOSOmodelandtheneedforemployeebuy-in.Auditdirectoruseofcontrolevaluationmetricstoprepareassessmentsofthecontrolenvironment.ProjectmanagementsupportoftheCOSOguidance,includingcheckstoensureproperapplicationofCOSOcriteriaintheauditprocess.1/7/2024321/7/2024Onebenefitofthisefforthasbeenimprovedreportingonthecompany’sinternalcontrolstatustoourauditcommittee.Sincewe’vereengineeredourauditprocesstoreflecttheCOSOprinciples,companydirectorsandseniorexecutivemanagementreceiveasnapshotofinternalcontroleffectivenessbasedonassessmentsderivedfromourCOSOratingsystem.AdaptingtheCOSOframeworktoourstandardauditprocesshasbeenbeneficialinot