五项提高效率和价值的审计要点
审计团队经常难以确定项目延迟的原因,而且他们无法理解由此产生的客户担忧。大多数情况下,发生这种情况是由于项目计划不周或缺乏经验,导致审计团队忽视了准备审计的关键步骤。很多从业人员都有这样的经验,项目规划差的两个最常见的例子是没有在整个审计生命周期内监控项目,以及在组建团队进行特定审计时没有充分考虑审计团队成员的技能和专业知识。这些疏忽通常会导致延迟完成审计,并增加客户的困惑和挫败感,因为他们必须花费额外的时间进行审计讨论,并在其高压的日程安排和日常职责之外向审计师该 内 容 由 中 审网 校 所属 w ww . au d i tc n.com提供文件。
为了应对这些挑战,审计团队可以遵循五个基本步骤来有效地执行审计并为利益相关者增加价值。
第 1 步:了解预期
了解对审计的期望对于高级审计管理人员至关重要。审计管理层将年度审计计划分配给审计小组。在这个阶段,审计管理层和审计组之间应该有明确的沟通,以确保审计组有一个明确的方向,然后才能高效和有效的完成项目。在设定期望时,审计管理层应澄清以下内容:
- 审计类型——应确定审计是咨询业务还是鉴证业务。还应该明确它是否是安全审计(即 IT 一般控制与美国 Gramm-Leach-Bliley 法案 [GBLA])、治理审计(即 IT 治理与公司治理)、运营审计(即 IT与业务)或监管审计(即遵守组织标准与相关监管标准,例如美国国家标准与技术研究院 [NIST] 或美国联邦金融机构考试委员会 [FFIEC] 或国际组织制定的标准)或国际标准化组织 [ISO]/国际电工委员会 [IEC] 标准 ISO/IEC 27000信息安全管理)。
- 交付给审计管理层的成果——交付成果可以包括发送每周审计状态报告,以突出审计任务和时间表的进展,并通知审计管理层任何可能阻碍及时完成审计的障碍。
- 交付给客户的交付物——交付物可以包括发送定期更新,例如每周审计状态,这可以作为一个机会来突出审计的进度,并记录任何来自客户的未完成的工件和初步审计结果;审计报告草稿,可以方便最终报告的措辞,例如客户背景、范围内的过程领域、审计结果、结果的根本原因和报告分发列表;和最终审计报告。
- 审计团队成员——应根据经验、技能和专业知识分配审计团队。对于新的审计员,应在审计之前和整个审计过程中对其提供指导和培训。
- 利益相关者——利益相关者可以包括客户联系人、高级企业管理人员、审计委员会和董事会成员。
- 预算——审计计划应记录为项目批准的小时数,并应确保为每项任务分配时间
第 2 步:了解审计领域
审计团队应熟悉要审计的领域(这将有助于团队满足客户的期望)。审计通常分为两个主要类别之一:定期审计(往年的文件可用于此类审计)或新审计(顾名思义,没有往年的文件)。如果审核团队正在进行定期审计,可以使用多种技术来更加了解审计领域:
- 审查上一年度的审计报告。
- 审查上一年的流程演练文档和审核计划,包括测试程序。
- 确定风险自评估是否可用于审计领域。
- 确定审计领域是否有任何外部或监管信息可用。
- 确定自上一年以来是否有任何可能改变审计程序的变化。这些变更可能包括组织变更、流程或技术变更、影响审计领域的任何新监管标准或可能影响审计领域的任何其他新出现的风险。例如,如果审计领域发生组织变化并且整个管理层发生了变化,这可能会改变控制的运作方式。对于多年来一直存在的手动控制,例如检查文件总数,现在可能存在对散列的自动控制。
如果审计团队正在进行新的审计,它可以使用多种技术来更加了解审计领域:
- 检查组织的内部网以查找有关审计领域的相关信息。
- 如果是新主题或新兴风险领域,请进行研究以更广泛地了解该主题。
- 如果审计是针对新产品或服务的,请研究供应商的网站。
- 收集任何其他信息,例如来自 ISACA ®或内部审计师该 内 容 由 中 审网 校 所属 w ww . au d i tc n.com协会 (IIA)等相关组织的审计计划、相关文章、网络研讨会和白皮书。
- 审查相关框架以确定行业范围内的最佳实践,例如 COBIT ® 、Treadway 委员会 (COSO) 赞助组织委员会、NIST、ISO/IEC 27000 或 FFIEC。审计不再以孤立的功能完成,因为系统之间存在如此多的相互依赖性。因此,还要考虑其他关键因素,例如欺诈风险、这个审计是否是一体化审计以及使用数据分析的可能性。
审计不再以孤立的功能完成,因为系统之间存在如此多的相互依赖性。因此,还要考虑其他关键因素,例如欺诈风险、这个审计是否是一体化审计以及使用数据分析的可能性。
- 欺诈风险——在评估控制设计时讨论欺诈风险,并确定任何审计步骤,以测试可能存在欺诈机会的领域的控制的运行有效性。
- 一体化审计——确定审计风险是否需要跨其他团队进行沟通,例如 IT 风险、运营风险和监管风险。如果是这样,请与相关团队合作以获取适当风险控制测试的知识。
- 数据分析——确定可能需要数据分析来评估风险影响的控制措施。例如,如果组织从事保险业务,则提交的索赔(即金额、频率、提供者)是使用数据分析的良好候选者。通过使用数据分析工具(例如,Microsoft Excel vlookup功能、审计命令语言 [ACL] 工具),可以对提交的整个索赔群体进行抽样以确定任何异常情况。确保数据分析的具体步骤嵌入到相关的控制测试程序中。
第 3 步:与受审计方建立联系
做好准备是与客户建立联系的关键,可以确保审计顺利进行。可以采取多种措施与被审计方建立联系:
- 安排与客户的启动会议并包括审计团队成员。如果需要,还可以与客户安排每周沟通会议。
- 保持会议议程简洁明了。启动会议的目的是:
♢ 介绍审计团队和审计联系人。
♢ 分享审计过程。
♢ 讨论时间表和客户可用性。
♢ 概述接下来的步骤。
- 如果客户不熟悉审计或将其视为挑战,那么审计师该 内 容 由 中 审网 校 所属 w ww . au d i tc n.com必须传达该项目是审计团队的众多项目之一。客户可能会感到放心,因为他们不是唯一被审计的人,而且审计过程与任何其他业务职能相似。传达审计已获得董事会批准也可能会有所帮助。
第 4 步:规划审计
审计师该 内 容 由 中 审网 校 所属 w ww . au d i tc n.com必须对与所审查活动相关的风险进行初步评估。参与目标必须反映此评估的结果。IIA 保证标准 2210.A1 可用于确定客户管理层如何评估风险,以及审查领域的背景信息是否符合管理层的风险评估。这些风险因素应成为参与目标的一部分。此外,在规划审计时应考虑几个因素,例如:
- 风险——确定与审计领域相关的风险和严重程度,例如财务、运营、安全、战略或声誉。
- 演练——召开演练会议以了解审计流程。在演练过程中,可以确定审计领域的控制措施,并可以发现其他风险领域。
- 测试程序——对于范围内的风险领域,制定全面的测试程序来测试到位的控制。例如,关于机密数据可能被泄露的风险,确保对访问(即只有必需的人员可以访问)和安全性(即机密数据在静态和传输过程中加密)等控制进行了测试。如果范围内的风险领域没有控制措施,请确定任何补偿性控制措施。如果没有注明控制,这可能是一个例外,应与客户确认。
- 目标和范围——为审计准备和分发目标和范围文件;该文件也可称为最终计划备忘录。该目标和范围文件将作为审核的重点。
第 5 步:进行审计并监控进度
一旦计划完成,审计的现场工作阶段就可以开始了。为了有效地执行审计测试,客户提供适当的文件是必不可少的。因此,明确要求提供证据有助于避免任何客户困惑。审核组应向客户发送测试审核程序所需文件的综合清单。一旦收到大部分证据,可以在测试阶段根据需要请求额外的证据。
如果在测试过程中发现任何异常,应与客户进行公开对话,并在整个测试过程中继续讨论。这确保了问题的透明度,并且在审计结束时不会给客户留下任何意外的余地。
测试完成后,应使用来自测试的信息准备审核报告,并且应审查任何发现并与客户沟通。在发布最终审计报告之前,让审计管理层和客户管理层审查审计报告草案是很重要的。审计报告是大多数审计的最终交付物;因此,必须确保报告的措辞真实准确。
在审计项目中设置关键里程碑有助于监控进度。与审计团队一起监控审计并安排定期沟通,以确保跟踪项目中的关键里程碑及时完成。如果项目不受监控,尤其是对于更大和更复杂的项目,可能会错过里程碑,影响最终交付成果并导致审计完成延迟。
结论
审计员必须了解他们的角色和职责并向客户传达审计的目标是评估过程域并减轻与过程或活动相关的任何风险。审计报告的利益相关者可以从股东到董事会、供应商、客户和金融机构。审计报告中的任何不准确之处都可能对审计师该 内 容 由 中 审网 校 所属 w ww . au d i tc n.com和审计客户的声誉产生负面影响。这些技巧和技术可用于任何审计(IT 或非 IT 审计),以提高审计效率并为客户提供有价值的建议。
上一篇:GRC 2022年大会即将召开