波音公司在coso模式下的评估.pptVIP

Struggling to incorporate the COSO recommendations into your audit process?Here’s one audit shop’s winning strategy. 1992年，COSO委员会发布了一份关于内部控制的蓝本报告，内部控制——整合框架，也被简称为COSO，它为建立内部控制制度并评价其有效性提供了一个合理的基础。 随着报告的出版，Boeing部分地采用了COSO的建议作为其内部控制政策与程序的基础。As a result，我们的内审部门开始在每次审计中对内部控制的质量进行打分排序（rate）。我们很快发现将这些标准植入实际业务中困难重重。然而提供资料的时候, 我们的评分大部分带有主观色彩, 一般在报告中缺乏系统分析和文件记录的支持。为了达到质量更高的结果，我们重组了（reengineered）现有的审计模式（ methodology）—从开始，到现场工作，到最终报告—以适应COSO的框架。 功夫不负有心人。 我们的审计不再是偶然与随意， COSO 给我们的审计工作提供了基础。 The approach 我们将COSO整合入审计的过程与IIA的一篇研究基础报告中- “内部审计师在管理层关于内部控制的报告中的作用”描述的很相似。这篇研究中建议，审计结果应当按照COSO框架进行归类，这些信息可以被董事会和公司高管在最高（top-level）报告中利用。我们的方法就基于这些概念，将COSO的标准融入各个审计阶段的流程。 根据COSO，内部控制应确保以下三个目标（1）经营的效率和效果；（2）精确的财务报告；和（3）法律和规定的遵循。报告还列出了有效控制系统的五个关键因素： 控制环境，它通过提供基础性的原则与构架建立了内部控制的基础。 风险评估，它包括管理层-而不是内审师-对实现组织既定目标过程中对相关风险的识别和分析。 控制活动，确保组织管理目标实现和风险平抑（ risk mitigation）战略被执行的政策、程序和实务操作。 信息与沟通，通过与员工沟通控制责任以及用保证人们履行其责任的表格和时间表（form and time frame）提供信息，为其它（四个）要素提供支持。 监控，它包括对管理当局内部控制的外部考察和过程之外的其他利益方，或独立方法的应用（ application of independent methodologies），如由员工在过程内定制的程序及标准清单（like customized procedures or standard checklists, by employees within a process.） 我们运用这些要素来定义要审计的控制目标，评价Boeing控制系统的各个组成部分，并向管理层汇报结果。按照这种方式在我们的审计过程中增加结构将COSO整合其内，确保每次审计的关键阶段对正确标准的深思熟虑，并留下审计轨迹以支持所形成的结论。 定义目标 流程重组中的一个关键方面是，在每次审计中我们都集中于COSO的一个单一目标，而不是许多目标。在与管理层的沟通中，每个审计师都要确定恰当的COSO目标-经营、财务报告以及遵循。在制定审计计划时就要把这些确定下来，记录在工作底稿中，形成正式文件。集中于一个审计目标使我们能够更明确审计焦点、提高效率。如果需要确立另一个目标，则又是新一次审计的开始。 如果指导审计调查和现场工作之后，必须偏离预定的目标，则建议的调整必须进行审核并被审计管理层通过。工作底稿也必须进行修正，并对进行调整的合理性做出描述。根据实务经验，审计方案完成之后通常都不会偏离最初制定的COSO目标。 大多数审计方案都有一个就所要审查的职责和流程的较容易辨别的清晰的目标。例如，“采购流程”（program shop scheduling）显而易见应该归入“经营目标”的类别。但也有一些审计的目标就不是那么的明显。一个验收“Receiving inspection”审计就既不是一个经营目标，又不是一个遵循目标，这取决于要检查的管理层控制的类型。同样，如“车间的成本归集”的审计可能集中于经营或财务报告，它取决于要评价的控制。对于那些个别难以辨别COSO目标的审计方案，审计人员有责任识别本次审计主要侧重于哪个方面，在下面的指引的基础上确定一个恰当的目标。 COSO基础审计的获益 效果 测试COSO所有五个控制要素，为确定控制保证的程度提供一个坚实的基础。 效率 集中于一个COSO目标类别，严谨提防“越界”（“scope creep”）。 可比较性使用一个能够在不同业务部门之间的控制进行比较的审计框架和评分系统。 沟通整合COSO标准时，应与客户进行讨论以增强他们对控制概念的理解。 审计委员会 按照COSO框架进