第3章了解内部审计活动在组织治理中的角色模板

第3章了解内部审计活动在组织治理中的角色•3.1获得董事会对内部审计章程的批准•3.2沟通审计业务计划•3.3报告重大审计事项•3.4定期向董事会报告关键绩效指标•3.5讨论重大风险领域•3.6支持董事会开展风险评估•3.7检查内部审计部门在组织内风险管理框架中的定位•3.8监督遵守公司行为规范和商业惯例情况•3.9报告控制框架的有效性•3.10协助董事会评估外部审计师的独立性•3.11评估董事会的道德氛围•3.12评估组织的道德氛围•3.13评估在特定领域遵守政策的情况•3.14评估组织向董事会报告的机制•3.15跟踪并报告管理层对法规监管机构和外部审计检查结果的落实情况•3.16评估业绩测评系统的充分性和整体目标的实现情况•3.17树立舞弊防范意识，鼓励报告不正当行为3.1获得董事会对内部审计章程的批准•内部审计章程是确定内部审计活动宗旨、权力和职责的正式文件，是内部审计部门开展工作的基本政策声明。•内部审计章程的作用–确立内部审计活动在组织中的地位；–描述内部审计的报告路径；–授予内部审计权力：可接触与业务开展相关的记录、人员和实物资产的权力；–规定内部审计活动的范围：组织所有的经营活动；–提供公认的陈述，管理层与内部审计活动相关的一切问题，都将依据经过批准的章程规定的内容来解决。3.1获得董事会对内部审计章程的批准•内部审计章程的编写–一般由内部审计部门参考《框架》中的相关要求，加以编写。•内部审计章程的批准–首席审计执行官负责将内部审计章程提交董事会、审计委员会、相关治理机构和管理层批准或认可。但是经过高级管理层的批准并不是硬性要求，章程的最终批准权在董事会。–章程一经批准，便形成管理当局与内部审计部门双方的协议，内部审计部门可以根据章程的授权不受限制地开展工作，也可为消除与审计客户间就审计氛围、审计职责等方面的分歧提供依据。–作为董事会和管理层评价内部审计工作质量的依据。3.1获得董事会对内部审计章程的批准•内部审计章程的定期评估–首席审计执行官要定期对内部审计章程进行评估，确保章程符合内部审计工作的实际需要，足以实现内部审计目标。–首席审计执行官应将内部审计章程评价的结果通报给高级管理层和董事会。•注：首席审计执行官的任期与内部审计的宗旨、权利和职责并不直接相关，因此不属于章程建议内容。3.2沟通审计业务计划•首席审计执行官负责与高级管理层和董事会进行审计业务计划沟通工作，内容包括：–报告内部审计部门的工作计划和资源要求。–报告审计资源不足和审计范围受限的情况及其可能带来的后果。–报告审计计划执行过程中的任何重大变化。•报告的信息应充分，包括工作安排、人员配备、财务计划、工作范围、范围限制。3.3报告重大审计事项•每年至少向高级管理层和董事会提交一次工作报告。•及时向董事会报告出现的重大审计事项（指根据首席审计执行官的判断可能对组织产生不利影响的情况，如处理违章、违法、差错、低效、浪费、无效、利益冲突和控制系统薄弱环节）。•向董事会报告前，应与高级管理层进行讨论。即便讨论取得满意的结果，也需要向董事会报告。•将高级管理层对重大审计事项所做的决定通知董事会。若高级管理层决定不采取任何行动并承担由此产生的风险，或者组织、董事会、高级管理层或其他方面有任何变动，应将原先报告的事项再次向董事会报告。3.4定期向董事会报告关键绩效指标•内部审计应评估组织的绩效管理系统及核心工作目标的完成情况。•应考虑的基本要素：–确定衡量绩效的相关标准；–将绩效成果与已确定标准相比较；–评估绩效差距。•实施业绩评估的对象是控制每一个层次工作目标达成情况的关键业绩指标。•评价关键业绩指标需要判断：–指标是否正确（能否涵盖组织的全部目标？能否反映组织实际绩效的变化？使用者能否理解这些指标？指标反映是否及时？）–指标作用的发挥是否充分？（数字精确、信息来源可靠）•关键业绩指标包括：–产出（销售收入、产量）、流程特征（及时性、精确性）、关键风险指标（过错发生率、错误发展趋势）、可持续指标、社会责任指标等。3.5讨论重大风险领域•对组织的风险管理过程进行评估和报告是内部审计工作的一项重要内容。•首席审计执行官应与管理层、审计委员会和董事会讨论风险和风险管理的薄弱环节。若首席审计执行官认为管理层接受的风险水平与机构的风险管理战略和政策不一致，或该水平不能被机构接受，应就此与高级管理层进行讨论。若讨论不能解决问题，则应报告董事会解决。•管理层负责对重大风险采取行动，首席审计执行官负责评价这些行动，对管理层决定不采取行动而承担的后果，应向董事会报告。3.6支持董事会开展全面风险评估•风险管理责任应当在组织的风险管理流程中负有责任的全体和个人之间协调一致，并在该组织的战略规划、董事会政策、管理层指导方针、操作流程和其他治理工具中被适当记载。•风险管理责任分配：–董事会和审计委员会：对于确定本组织具备良好的风险管理流程且运转正常负有监督责任。–管理层：负责确保本组织具备良好的风险管理流程，且运转正常。–内部审计：运用风险管理方法和控制措施，采用适当的审计程序，收集足够的审计证据，检查、评价风险管理过程的充分性、有效性和所选择风险管理方式的适当性,发表审计意见，提出改进建议，向适当管理层进行报告，为管理层和审计委员会提供帮助。•风险管理过程充分性的主要目标–找出组织战略与业务活动领域的风险并进行优先排序；–管理层和审计委员会已经确定了组织可以接受的风险水平，包括为实现组织战略计划而承受的风险；–设计、实施了降低风险的活动，把风险降低并管理在上述可接受的水平上；–开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险；–董事会和管理层定期收到风险管理过程的结果报告。3.7检查内部审计部门在组织风险管理框架中的定位•对于尚未建立风险管理流程的组织，首席审计执行官应提醒管理层注意，并提出建议；•如果有关方面提出要求，内部审计师可以积极协助组织进行风险管理过程的初步建立工作，但更为积极的工作是通过改善组织基本程序的咨询工作对传统保证业务进行补充，不能超出正常的保证和咨询工作，以免损害独立性，即内部审计师可以促进、协助风险管理过程的建立，但不负责风险管理的责任。3.8监督遵守公司行为规范和商业惯例情况•公司行为规范是由组织制定的、旨在规范员工行为、防止过失和违法违纪行为的正式书面规章制度，它强化了组织的道德要求，通常包括下列内容：利益冲突、保密、公平交易、恰当使用资产、礼品及酬金、遵守法律规则及监管制度、报告违法及不道德行为。•商业惯例是在商业活动中形成的被广泛接受的通用做法，一般是非正式的，但一旦违反，则会给组织带来不利影响。3.8监督遵守公司行为规范和商业惯例情况•内部审计有责任评价公司行为规范和商业惯例的建立情况、执行情况和执行效果，具体审查内容：–评估组织是否建立了相关行为规范和商业惯例：书面的、可理解的、有指导性的。–相关控制和保证系统是否充分建立：采取多种形式（培训、手册、公告），利用多种场合，针对不同层次和部门强调不同重点。–运行是否充分和恰当：保证员工已经阅读、理解并遵守公司行为规范和商业惯例，运用监督和审计机制以发现不遵守情况，建立举报机制，设立奖惩制度。–系统的执行效果如何。3.9报告控制框架的有效性•评价的内容和范围：–控制系统的充分性，即控制系统能否适当保证机构的任务和目标有效完成（考虑成本效益问题）；–控制系统的有效性：即是否取得预期效果，达到预期的控制目标（包括财务和运营信息可靠完整；运营工作高效率有成效；资产得到保护；遵守了相关法律法规和合同）。•评价的标准：–如果本组织制定的标准适用，应予以采用；–如果本组织没有制定标准，或者不适用，应向管理层报告，建议采用行业标准、专业组织标准、协会标准、法律等标准；–如果管理层标准模糊，审计师应寻求权威性解释；–衡量标准应与被审单位达成一致意见。•评价的程序：–在检查和评价内部控制的基础上制定审计计划。–开展审计工作，收集充分证据。•与管理人员一起进行控制自我评价。•对运营性管理者的控制过程进行单项评价。•对战略性管理者的控制过程进行总体评价（控制整体效果的评价）。•考虑三个关键问题：是否发现了漏洞或薄弱环节；是否进行了改进；是否存在组织无法接受的普遍风险。•表达审计意见：肯定意见（经过审计没有发现控制系统存在普遍的严重薄弱环节）；保留意见（审计发现存在控制系统薄弱环节，但整体上不至于控制失效）；否定意见（控制系统有重大漏洞或严重的薄弱环节，控制系统整体上作用很小甚至失效）。–向高级管理层和董事会提交评价结果报告。3.10协助董事会评估外部审计师的独立性•评估外部服务提供者的能力–专业证明、执照和其他相关学科能力的证明；–在有关专业机构的会员资格和对这些机构《职业道德规范》的遵循情况；–声誉（与其熟悉的人员联系）；–在所提供服务领域的经验；–对与所涉及业务相关的学科接受的教育和培训；–对组织所在行业的知识和经验。•评估外部服务提供者的独立性和客观性–可能在组织拥有的经济利益；–可能与组织董事会成员、高级管理层或其他人员发生的私人或专业的关系；–可能与机构或被审活动发生的关系；–可能正在为机构提供的其他持续服务的范围；–可能拥有的报酬或其他激励机制。3.10协助董事会评估外部审计师的独立性•《萨班斯·奥克斯利法案》规定，外部审计师提供下列非审计业务表明其缺乏独立性：–参与客户的会计记录或与财务报表有关的记账或其他业务；–财务信息系统的设计和实施；–提供评价、评估、发表公允性意见；–精算服务；–内部审计服务（外部审计师在任一财务年度为某审计客户提供的内部审计服务超过了该客户全部内部审计活动所花时间的40%，除非该客户的资产少于2亿美元）；–人力资源、管理职能、经纪人服务、法律服务。3.11评估董事会的道德氛围•董事会通过设立组织最高基调（最佳行为规范）和监督所有治理活动来为组织描绘了整体愿景，并最终为公司的风险和业绩承担责任（不承担直接的管理责任）。•组织的道德与核心价值观是其所有治理实践的基础。如果股东对董事会有任何的不信任或董事会出现任何违反组织行为规范和道德标准的事情，有效的治理将不复存在。•内部审计通过对董事会某些领域进行评估并提出建议的方式对改善董事会治理活动中的道德方面给予重大的支持。具体关注：–董事会结构、目标和活力：合理的董事会构成（人数、利益冲突回避、胜任能力），充分的会议频率（必要时召开秘密会议），开放式的讨论，与管理层健康的交流，重大议题在董事会会议上得到考虑。–董事会成员职能：会议进度、日程安排、信息提前发布、对董事会章程的遵守、董事会成员拥有记录工作职责的日常记录，定期监督组织表现与规定职责相符。–董事会方针手册：完善和保持方针手册的工作流程；合规性程序。–了解治理要求的程序：组织具备保证外部人员知悉治理守则和合规要求的工作流程。–董事会教育与培训：董事会新成员履职前的教育与培训的规定；对组织、技术变革和突发风险领域等重要事项进行持续性教育的规定。3.12评估组织的道德氛围•良好道德文化的特征–清晰易懂的道德规范及相关说明、政策和其他道德理想表述；–有影响力的领导经常宣传并践行期望达到的良好的道德文化态度和行为；–有支持并加强道德文化的具体战略和更新、改进的经常性程序；–设有接受举报的机构和保护检举人的制度（设有在保密前提下通畅地举报不正当行为的渠道）；–对合理举报行为进行鼓励，对被举报情况进行调查和处理；–要求雇员、供应商、顾客定期声明遵守组织道德规范的制度；–明确的责任分配，保证评价得到结果，提供可信的咨询服务，调查不当的行为嫌疑，报告发现的情况；–有学习的机会，使员工都能成为良好道德的倡导者；–积极鼓励每位雇员为组织道德氛围做出贡献的人事管理制度；–定期对雇员、供应商、顾客进行调查，以确定组织的道德氛围状况；–正式或非正式地定期检查损害道德文化的压力和偏见；–把背景调查作为招聘员工的一部分内容，包括诚实性测试。•举报者：报告舞弊和权力滥用的人。•典型的举报者：通常是雇员，或前雇员、组织外部人员。•举报热线是报告舞弊的最普遍的工作手段。•那些拥有