实务公告 2120.A1—2:应用控制自我评价
对控制过程的充分性进行评价 解释《内部审计专业实务标准》中的第 2120.A1 条标准 相关标准:第 2120.A1 条标准
内部审计部门应该在风险评价结果的基础上,评价覆盖机构治理、运营及信息系统等内 容的控制程序的充分性与有效性。此类评价应当包括:
•财务与运营信息的可靠性与完整性;
•运营的效率与效果;
•资产的护卫情况;
•对法律、法规与合同的遵守情况。 本实务公告性质
管理人员和内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com应该应用控制自我评价方法对机构风险管理和控制过程的充分 性进行评价。内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com可以应用控制自我评价项目收集关于风险和控制的相关信息,在审 计计划中强调高风险的异常领域,并加强与操作部门的管理人员和工作小组的合作。是否遵 守实务公告由审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com自行选择决定。
1.管理高层负责监督风险管理和控制过程的建立、管理和评价。操作部门的管理人员 负责评价所在部门的风险和控制。内部和外部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com则为整个机构风险管理和控制过程的有 效性提供各种程度的保证。管理人员和审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com都有兴趣应用技术和工具来突出对现有风险管 理和控制过程进行评价的工作重点,拓展这种评价工作,并寻找改进效果的方式。
2.控制自我评价是一种包括自我评价调查和协调研讨班的方法,是管理人员和内部审 汁师合作评价控制程序的有效有用方法。在最纯粹的形式上,控制自我评价综合了业务目标 和控制过程的风险,,有时也把控制自我评价称为控制/风险自我评价。虽然控制自我评价 的实际应用者应用一系列的不同技术和格式,但大多数已经实施的项目具有共同的关键特征 和目标。应用自我评价的机构拥有正式的、得到文件记录的程序,允许直接参与业务部门工 作或有关程序的管理人员和工作小组以规范化方式参与以下工作:
•确认风险;
•评价减少或管理风险的控制过程;
•开发用以将风险减少到可接受程度的行动计划;
•确定实现业务目标的可能性。
3.通过控制自我评价可以达到的结果包括:
•业务部门的人员在评价风险和将控制过程与管理风险、改善实现业务目标的机会等内 容相联系方面得到培训并获得经验;
•非正式的、控制更容易得到发现和评价;
•能够掌管本部门的控制过程使人们获得动力驱动,而工作小组所采取的纠正性行动经 常更为有效及时;
•机构的整个目标一风险一控制基础设施能够得到更多的监督和持续的改善;
•通过为工作小组充当协调员、文书和报告人员,并为支持控制自我评价提供关于风险
和控制概念的培训,内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com参与控制自我评价过程,并获得关于此过程的深入了解;
•内部审计部门可以从机构内部获取关于控制过程的更多信息,而且可以在分配其稀有 资源时对额外的信息进行控制,以便花更多的精力调查并测试存在严重控制薄弱环节或高度 剩余风险的业务部门;
•管理人员在机构风险管理和控制过程中的责任得到了加强,而经理们对于将这些管理 活动拱手让给审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com等专家并不积极;
•内部审计部门的首要任务是通过开展测试并发表关于整个风险管理和控制系统充分性 和有效性的专业判断意见,继续对评价过程进行证朋。
4.机构控制自我评价所应用的各种不同方法反映了行业、地理、结构、机构文化、雇 员得到授权的程度、主流管理风格以及制定战略和政策方式等的区别。这种情况也表明,某 种控制自 我评价项目在一个机构获得了成功,并不意味着同样的项目肯定会在另一机构获 得成功。控制自我评价过程应该量体裁衣,适应每个机构的独特特征。而且,这种情况也表 明,控制自我评价方 法必须灵活,能够随着机构的持续发展而不断发生变化。
5.控制自我评价项目的三大主要形式是:协调小组研讨班、调查和管理人员开展的分 析。一般机构都综合这几种形式,而不是单纯应用某一种形式。
6.协调小组研讨班通过代表业务部门或职能部门不同层次的工作小组成员收集信息。 研讨班的形式以相关目标、风险、控制或过程为依据。
•以目标为基础的形式:强调实现业务目标的最佳方式。研讨班以确认现有的、用于支 持目标的控制措施为开端,接着确定剩余风险。研讨班的目的是决定控制程序是否在有效运 作,并使剩余风险维持在可以接受的水平;
•以风险为基础的形式:强调列举实现目标的各种风险。研讨班以列举所有可能阻止目 标实现的堡垒、障碍、威胁和风险为开端,接着对控制程序进行检查,以确定控制过程是否 足以对关键风险进行管理。研讨班的目的是确定严重的剩余风险。在这种形式中,工作小组 必须走遍整个目标-风险-控制过程;
•以控制为基础的形式:强调现有控制措施的运作情况。这种形式有别于以上两种形式, 因为协调员在研讨班开始之前就确认了关键的风险和控制。而在研讨班进行过程中,工作小 组对控制减少风险的方式进行评价,并促进目标的实现。研讨班的目的是分析控制程序目前 的运作情况与管理人员的期望值之间的差距;
•以过程为基础的形式:强调所选的、作为过程链组成因素的活动。过程通常是一系列 相关的、从一个起点通向一个终点的活动,如:采购的不同步骤、产品开发、收入的产生等。 这种研讨班通常覆盖对整个过程目标和各种中间步骤的确认。研讨班的目的是评价、更新、 证明、改善和简化整个过程及其组成活动内容。与以控制为基础的形式相比,这种研讨班可 能会进行更广泛的分析,方法是覆盖过程中的各种目标,并对协同的管理工作提供支持(如: 重组、质量改善、持续改善举动等)。
7.控制自我评价一般应用问卷调查形式,这种问卷倾向于提出容易被问卷对象理解的、 措辞谨慎的、最为简单的“是/不是”或“有/没有”等问题。如果理想的问卷答复人太多, 或分布分散,因而无法邀请他们参加研讨班时,经常应用问卷调查方法。如果机构文化可能 阻止在研讨班环境下开展公开坦诚的讨论,或者,如果管理人员希望最大限度地减少收集信 息所花的时间和成本,应用这种形式也比较可取。
8.以“管理人员开展的分析”而著称的自我评价形式包括管理小组用以产生关于所选 业务过程、风险管理活动和控制程序的信息的大多数其他方法。这种分析经常旨在得出关于 控制程序具体特点的及时、知情的判断意见,一般由工作人员或辅助人员小组编制。内部 审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com可以将这种分析与其他信息进行综合,从而加强对控制程序的理解,并与业务或职能部门的管理人员一起 分享这些知识。这些工作将成为机构自我控制评价项目的组成部分。
9.所有自我控制评价项目的支柱都是人,即理解“风险”和“控制”这两个概念并在 交流沟通过程中应用这些概念的管理人员和工作小组成员。对于培训课程,为了推动研讨班 讨论的有 序进行,并检查整个过程的完整性,机构经常采用 COSO 和 CO—CO 模式的控制 框架。
10.典型的自我控制评价协调员研讨班大多在讨论过程中产生报告。各部分讨论都将记 录小组的一致意见,而且小组在最后的讨论结束之前审议所提议的最终报告。有些项目应用 无记名投 票方法来保证研讨班期间信息和观点的自由流动,并协助协调不同意见和不同利 益小组的分歧。
11.内部审计部门对有些自我控制评价项目进行投资是很重要的,可以采取的方式包括: 赞助、设计、实施并实际拥有整个过程,开展培训,提供协调员、文书和报告人员,安排管 理人员 和工作小组参与项目等。在其他自我控制评价项目中,内部审计的参与微乎其微, 主要作为项目感兴趣方、整个过程的顾问、工作小组评价工作的最终核实人进行参与。在大 多数项目中,内部审计的投入介于上述两种极端情形中间。随着内部审计在自我控制评价项 目和研讨班讨论活动参与程度的提高,审计执行主管应该监测内部审计人员的客观性,在必 要情形下采取步骤管理这种客观性,并加强内部审计测试,以保证偏见或片面性并不影响对 手下人员的最后判断。第 1120 条标准指出:内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com应该拥有公正的、毫无偏见的态度, 避免利益冲突。
12.自我控制评价项目通过协助管理人员履行其在建立并维护风险管理和控制程序以及 评价这些程序的充分性等方面的职责,加强内部审计部门的传统作用。通过自我控制评价项 目,内部审计部门和业务部门开展合作,出具更好的、关于控制程序如何运作以及剩余风险 严重程度的信息。
13.内部审计部门虽然通过配备协调员和专家等为自我控制评价项目提供人员支持,但 它经常发现,它可以减少控制程序的信息收集工作并取消有些测试工作。自我控制评价项目 应该增加 在整个机构进行控制过程评价的覆盖面,改善过程负责部门采取的纠正性措施的 质量,并强调内部审计在检查高风险过程和异常情形方面所开展的工作。它还可以突出对自 我控制评价项目所出 具的评价结论的证明工作,对从机构各部门收集的信息的综合工作和 就控制有效性向管理高层和审计委员会进行的审计意见报告工作。
内部审计部门应该在风险评价结果的基础上,评价覆盖机构治理、运营及信息系统等内 容的控制程序的充分性与有效性。此类评价应当包括:
•财务与运营信息的可靠性与完整性;
•运营的效率与效果;
•资产的护卫情况;
•对法律、法规与合同的遵守情况。 本实务公告性质
管理人员和内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com应该应用控制自我评价方法对机构风险管理和控制过程的充分 性进行评价。内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com可以应用控制自我评价项目收集关于风险和控制的相关信息,在审 计计划中强调高风险的异常领域,并加强与操作部门的管理人员和工作小组的合作。是否遵 守实务公告由审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com自行选择决定。
1.管理高层负责监督风险管理和控制过程的建立、管理和评价。操作部门的管理人员 负责评价所在部门的风险和控制。内部和外部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com则为整个机构风险管理和控制过程的有 效性提供各种程度的保证。管理人员和审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com都有兴趣应用技术和工具来突出对现有风险管 理和控制过程进行评价的工作重点,拓展这种评价工作,并寻找改进效果的方式。
2.控制自我评价是一种包括自我评价调查和协调研讨班的方法,是管理人员和内部审 汁师合作评价控制程序的有效有用方法。在最纯粹的形式上,控制自我评价综合了业务目标 和控制过程的风险,,有时也把控制自我评价称为控制/风险自我评价。虽然控制自我评价 的实际应用者应用一系列的不同技术和格式,但大多数已经实施的项目具有共同的关键特征 和目标。应用自我评价的机构拥有正式的、得到文件记录的程序,允许直接参与业务部门工 作或有关程序的管理人员和工作小组以规范化方式参与以下工作:
•确认风险;
•评价减少或管理风险的控制过程;
•开发用以将风险减少到可接受程度的行动计划;
•确定实现业务目标的可能性。
3.通过控制自我评价可以达到的结果包括:
•业务部门的人员在评价风险和将控制过程与管理风险、改善实现业务目标的机会等内 容相联系方面得到培训并获得经验;
•非正式的、控制更容易得到发现和评价;
•能够掌管本部门的控制过程使人们获得动力驱动,而工作小组所采取的纠正性行动经 常更为有效及时;
•机构的整个目标一风险一控制基础设施能够得到更多的监督和持续的改善;
•通过为工作小组充当协调员、文书和报告人员,并为支持控制自我评价提供关于风险
和控制概念的培训,内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com参与控制自我评价过程,并获得关于此过程的深入了解;
•内部审计部门可以从机构内部获取关于控制过程的更多信息,而且可以在分配其稀有 资源时对额外的信息进行控制,以便花更多的精力调查并测试存在严重控制薄弱环节或高度 剩余风险的业务部门;
•管理人员在机构风险管理和控制过程中的责任得到了加强,而经理们对于将这些管理 活动拱手让给审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com等专家并不积极;
•内部审计部门的首要任务是通过开展测试并发表关于整个风险管理和控制系统充分性 和有效性的专业判断意见,继续对评价过程进行证朋。
4.机构控制自我评价所应用的各种不同方法反映了行业、地理、结构、机构文化、雇 员得到授权的程度、主流管理风格以及制定战略和政策方式等的区别。这种情况也表明,某 种控制自 我评价项目在一个机构获得了成功,并不意味着同样的项目肯定会在另一机构获 得成功。控制自我评价过程应该量体裁衣,适应每个机构的独特特征。而且,这种情况也表 明,控制自我评价方 法必须灵活,能够随着机构的持续发展而不断发生变化。
5.控制自我评价项目的三大主要形式是:协调小组研讨班、调查和管理人员开展的分 析。一般机构都综合这几种形式,而不是单纯应用某一种形式。
6.协调小组研讨班通过代表业务部门或职能部门不同层次的工作小组成员收集信息。 研讨班的形式以相关目标、风险、控制或过程为依据。
•以目标为基础的形式:强调实现业务目标的最佳方式。研讨班以确认现有的、用于支 持目标的控制措施为开端,接着确定剩余风险。研讨班的目的是决定控制程序是否在有效运 作,并使剩余风险维持在可以接受的水平;
•以风险为基础的形式:强调列举实现目标的各种风险。研讨班以列举所有可能阻止目 标实现的堡垒、障碍、威胁和风险为开端,接着对控制程序进行检查,以确定控制过程是否 足以对关键风险进行管理。研讨班的目的是确定严重的剩余风险。在这种形式中,工作小组 必须走遍整个目标-风险-控制过程;
•以控制为基础的形式:强调现有控制措施的运作情况。这种形式有别于以上两种形式, 因为协调员在研讨班开始之前就确认了关键的风险和控制。而在研讨班进行过程中,工作小 组对控制减少风险的方式进行评价,并促进目标的实现。研讨班的目的是分析控制程序目前 的运作情况与管理人员的期望值之间的差距;
•以过程为基础的形式:强调所选的、作为过程链组成因素的活动。过程通常是一系列 相关的、从一个起点通向一个终点的活动,如:采购的不同步骤、产品开发、收入的产生等。 这种研讨班通常覆盖对整个过程目标和各种中间步骤的确认。研讨班的目的是评价、更新、 证明、改善和简化整个过程及其组成活动内容。与以控制为基础的形式相比,这种研讨班可 能会进行更广泛的分析,方法是覆盖过程中的各种目标,并对协同的管理工作提供支持(如: 重组、质量改善、持续改善举动等)。
7.控制自我评价一般应用问卷调查形式,这种问卷倾向于提出容易被问卷对象理解的、 措辞谨慎的、最为简单的“是/不是”或“有/没有”等问题。如果理想的问卷答复人太多, 或分布分散,因而无法邀请他们参加研讨班时,经常应用问卷调查方法。如果机构文化可能 阻止在研讨班环境下开展公开坦诚的讨论,或者,如果管理人员希望最大限度地减少收集信 息所花的时间和成本,应用这种形式也比较可取。
8.以“管理人员开展的分析”而著称的自我评价形式包括管理小组用以产生关于所选 业务过程、风险管理活动和控制程序的信息的大多数其他方法。这种分析经常旨在得出关于 控制程序具体特点的及时、知情的判断意见,一般由工作人员或辅助人员小组编制。内部 审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com可以将这种分析与其他信息进行综合,从而加强对控制程序的理解,并与业务或职能部门的管理人员一起 分享这些知识。这些工作将成为机构自我控制评价项目的组成部分。
9.所有自我控制评价项目的支柱都是人,即理解“风险”和“控制”这两个概念并在 交流沟通过程中应用这些概念的管理人员和工作小组成员。对于培训课程,为了推动研讨班 讨论的有 序进行,并检查整个过程的完整性,机构经常采用 COSO 和 CO—CO 模式的控制 框架。
10.典型的自我控制评价协调员研讨班大多在讨论过程中产生报告。各部分讨论都将记 录小组的一致意见,而且小组在最后的讨论结束之前审议所提议的最终报告。有些项目应用 无记名投 票方法来保证研讨班期间信息和观点的自由流动,并协助协调不同意见和不同利 益小组的分歧。
11.内部审计部门对有些自我控制评价项目进行投资是很重要的,可以采取的方式包括: 赞助、设计、实施并实际拥有整个过程,开展培训,提供协调员、文书和报告人员,安排管 理人员 和工作小组参与项目等。在其他自我控制评价项目中,内部审计的参与微乎其微, 主要作为项目感兴趣方、整个过程的顾问、工作小组评价工作的最终核实人进行参与。在大 多数项目中,内部审计的投入介于上述两种极端情形中间。随着内部审计在自我控制评价项 目和研讨班讨论活动参与程度的提高,审计执行主管应该监测内部审计人员的客观性,在必 要情形下采取步骤管理这种客观性,并加强内部审计测试,以保证偏见或片面性并不影响对 手下人员的最后判断。第 1120 条标准指出:内部审计师该 内 容由中审 网 校 所 属w w w.a udit cn.com应该拥有公正的、毫无偏见的态度, 避免利益冲突。
12.自我控制评价项目通过协助管理人员履行其在建立并维护风险管理和控制程序以及 评价这些程序的充分性等方面的职责,加强内部审计部门的传统作用。通过自我控制评价项 目,内部审计部门和业务部门开展合作,出具更好的、关于控制程序如何运作以及剩余风险 严重程度的信息。
13.内部审计部门虽然通过配备协调员和专家等为自我控制评价项目提供人员支持,但 它经常发现,它可以减少控制程序的信息收集工作并取消有些测试工作。自我控制评价项目 应该增加 在整个机构进行控制过程评价的覆盖面,改善过程负责部门采取的纠正性措施的 质量,并强调内部审计在检查高风险过程和异常情形方面所开展的工作。它还可以突出对自 我控制评价项目所出 具的评价结论的证明工作,对从机构各部门收集的信息的综合工作和 就控制有效性向管理高层和审计委员会进行的审计意见报告工作。