www.glzl8.com额外的应用连续控制评估的例子包括:
1、检查交易数据:如标记所有的严重超出采购卡的限额,包含有禁止采购商品的采购卡花费。
2、检查汇总数据:如当月的持卡者消费汇总超过$10.000的情况和持卡人不在采购部门中的情况。
3、借助比较分析:如汇总加班报酬然后与所有的其他在相同工种和层次的员工相比,以识别潜在的滥用加班(过量的、未经授权的,等等)。 4、测试总分类账户总发生额:如找出那些与上年相比金额超过25%的账户,识别不正常的行为,如销账的增加。
在所有的情况下,审计师能够快速检查所有的详细交易来发现原因,然后快速地、容易地执行所需的后续工作。 二、应用于连续风险评估
管理层负有开发和维持一个系统来识别和减轻风险的责任,国际内部审计准则2110号指出,审计师应该通过识别和评估重大的暴露在风险下的项目来帮助组织,并在改进风险管理和控制系统中发挥作用。国际内部审计准则2010号鼓励首席审计师建立风险基础的计划来决定内部审计行为的优先次序,以与组织的目标相一致。这两项行为是相关的,审计师能够利用连续风险评估来识别和评估风险水平的变化。这允许他们评估管理层的减轻风险行为,支持制定个别审计目标和年度审计计划。
连续风险评估能够连续地用来识别和评估风险。它不仅通过测量某个交易点,还通过使用通过比较分析法来进行交易的总体分析来完成这些工作。通过这种形式的比较,审计师能够通过衡量许多方面的可变性来检查流程
www.glzl8.com的一致性。在经营中,例如,检查一些缺陷的可变性是测试生产线协调的一种方法。控制缺陷数量的可变性越大,生产线的合理性和功能的协调性就越要得到关注。相同的前提能够很容易通过检查变量(如调整主体的数字和美元价值)来应用于测量财务系统的完整性。可变性的概念是连续风险评估与内嵌审计模块和例外报告的关键区分因素。
通过执行连续风险评估,首席审计师能够应用更加具有策略性的背景来制定审计计划,在风险变化时为使审计计划在整个年度都能保持最近的状态进行连续调整,并且分配稀缺资源,将高度熟练的审计资源分配到组织内高暴露出最高风险的地方。连续风险评估还能够找出一些要么没有控制要么这些控制没有充分地执行的地方,帮助审计师在特定领域执行连续控制评估。因此,连续风险评估不仅对审计计划有帮助,而且对连续控制评估也是起作用的。
举例:基于风险选择审计点
在全国拥有超过1100家零售商店,ABC食品的内部审计部门需要一个高效率和高效果的方式来选择单个商店审计。在过去,审计师试图至少每年要对每家商店访问一次来执行遵循基础审计。但是,这不是一项有效的确定真正风险领域的方式。
首席审计师需要一个可信赖的风险评估方案,通过数据驱动标准,可以不用每年访问这些商店,而且能对所有的1100家商店提供保证。连续风险评估用于建立必要的分析程序,如报告存货损失和熟练员工的营业额。现在,内部审计师小组能够快速指出风险程度最高的商店,并制定出一个更加及时、效果好和效率高的方法。
www.glzl8.com(一)制定审计计划
与传统的审计计划根据标准的循环(如一年、两年、三年的比率进行)相比而言,企业经营过程中审计的频率更应该基于风险因素。最高层次的连续风险评估支持制定审计计划,允许数据驱动识别和评估风险指标。它不仅支持建立审计总体,而且支持收集定量化的数据,而且,让内部审计部门优先关注公司内部的高风险领域,将适当的资源分配到新的和变化的领域。
第一步是定义审计行为的范围和覆盖面的程度,然后利用从不同系统(如财务、人力资源和运营信息系统)中获取的数据来确定重大性和风险指标。在重大性方面,一种方式是参照规模相似的企业——尽管风险指标还可能要考虑一个单位与另一个单位的复杂性。连续风险评估应该还要包括对管理层监控职能的评价,包括业绩评价、质量控制和职责分离。 举例:制定审计计划
建立ABC公司的风险基础审计计划需要建立一个审计域(audit universe),并界定被审计单位;收集和分析量化数据,如经营计划、组织结构图、管理投入和促成会议(facilitated session);收集、规范化和分析量化的数据,如财务、人力资源和经营信息;根据风险指标安排审计(单位)的优先次序。
以下描述ABC公司如何使用连续风险评估来帮助制定年度审计计划。连续风险评估是用来测量和对每个单位与财务、人力资源和经营相关的固有风险水平进行优先排序。
1、财务标准/指标:财务重要性主要处理支出、收入和资产方面的总额。
www.glzl8.com在不同情况下有不同的考虑。例如,不是所有的审计单位拥有收入,甚至一些没有资产。复杂性指标考虑的不仅是相对先前年度和相似规模企业的变化,而且还么考虑诸如责任中心的数量、可自由支配的个人开支的百分比、单位是否需要管理花费、收入和资产等项目。例如,单位A,有1500万支出,主要是薪金,那么它相对单位B而言,两者不在同一风险水平,因为B虽然只有500万的支出(其中82%是谨慎的),1000万的收入和1200万的资产。同样,如果这是第一个年度,单位B没有任何收入,那么将会增加它的财务风险水平。
2、人力资源标准/指标:人力资源主要考虑总的员工数量,但是年各类员工(如员工与承包人,全职与兼职),还包括员工变动和关键技能的丧失的员工等复杂指标。它还考虑与先前年度对比的变化(如一个快速发展的组织可能相对稳定的组织拥有不同的风险)和分部的数量(如地理分散)。 3、经营标准/指标:在ABC公司,经营标准和指标主要是关于产品数量的;因此,重要性也与产品的数量相关联。复杂性不仅与产品数量和组合的变化有关,而且与产品订货到交货的时间、响应客户的时间,制造流程的复杂程度有关。制造的复杂程度可以分为三种:高复杂性、中等复杂性和低复杂性,这是基于制造过程中所包含的时间来划分的。就是说一个产品要20个小时的制造时间,不仅花更长的时间来制造,而且带来了比一个只需两个小时的制造时间的产品更高水平的经营风险。制造人员根据这种方法来确认复杂性的合理标志。
一旦所有的来自这三个业务系统的数据被收集、规范化和对每个单位进行分析,相关单位的打分也被计算出来。这个分数是按照该单位排在前十
www.glzl8.com位的风险指标上的时间来决定的。这些单位根据分数划分不同的等级,而不是在一个点上。如果一个绝对数和分离点(cut-off)不是用于任何的特征,那么就没有必要调整参数,因为绩效已经达到改善。
在一个快速变化的商业环境下,年度审计计划可能不足以适应风险变化的水平。但是,通过技术辅助行为,能够很容易持续地更新风险评估和风险监控指标。风险评估测试能够频繁运行来保证部署的审计能够发现当前或出现的风险。此外,通过比较不同时点的风险评估结果,审计师能够在新出现的风险变得严重前进行预测。其结果能够用来设臵正式审计的参数和决定审计时间。
审计反应因风险水平的强度和紧急情况而异。及早地识别风险可能不需要一个完整的审计,可能只要一个简单的管理建议书,指出风险暴露点,并要求管理层作出回应。这不仅将审计资源臵于风险最高的地方,而且还最大化地有效利用了这些资源。 (二)支持个别审计
连续风险评估也能够通过支持识别和评估风险以及确定审计范围和审计目标来辅助个别审计。进一步地,它能够用于决定哪些位臵将会被访问到和识别特定的标准(如调查范围)。
连续风险评估用来制定企业的年度审计计划与支持个别审计的主要区别在于用于识别和评估风险的信息详细程度不同。企业范围的审计计划可能只需要每个单位的合计层次的信息,然而,在一个特定审计层面,需要更多的详细信息来识别某个水平的风险,以支持对一个给定的审计来定义审计范围和制定审计目标。