执行您的审计

审计报告是审计测试、讨论和观察的主要书面证据。 工作文件管理必须做到集中化、自动化和实时,以便立即提供持续的审计监督和透明度。 在本文中,我们讨论如何使用项目应用程序执行审计。

本文阐述了如何使用工作计划工作流执行审计,这对于中小型审计职能和团队非常有用。 本文所述工作流适合于简单的审计,包括审计团队将会执行的一套步骤或程序,以及每个步骤结果的记录。 这是其中一种方法,您也可以使用其他项目类型实现相同或类似的目标。

执行审计意味着什么?

执行审计涉及各种活动,包括:

  • 执行风险评估
  • 执行程序
  • 审核和分析证据
  • 记录观察和问题
  • 起草临时结论和建议
  • 咨询客户和其他团队成员

执行审计的结果是问题识别和补救。

我在哪里执行审计?

您可以使用项目应用程序执行审计。

全盘视角

  • 项目模板用作构建一个或多个审计的起点,可以根据需要进行修改。
  • 项目应用程序用于记录目标、风险和程序,记录外勤工作并捕获问题。

  • 框架用于构造和管理多个项目之间的相同信息。 可以使用一个框架在多个项目之间同步相同的目标、注解、风险、控制和测试计划。

    When you make changes to the above elements in a project, you can sync those changes back to the framework the project is associated with, so you can apply those changes to all other projects associated with that framework. This is particularly helpful for audits that happen regularly. For more information, see 将项目与框架同步.

在项目中,审计工作的范围贯穿各个阶段,并显示在一系列顺序选项卡中。

这些项包括:

  • 项目计划活动
  • 记录外勤工作
  • 对所完成的工作进行质量保证审核
  • 报告审计结果并向管理层提出建议
  • 捕获问题并补救

步骤

准备好进行了解了吗?

让我们在情境中仔细了解上述功能。

1. 设置您的项目

第一步是理解在您的系统中建立数据的最佳办法,以便您能够正确报告。 您可以创建项目来定义目标、风险和程序,执行程序以及编制信息以进行报告。 您还可以设置标记结构,以将目标、风险和程序映射到相关的情境数据点(资产、所有者、实体等), 并启用上述维度的报告。

提示

项目应用程序提供了多个风险和控制库(项目模板),其中包含特定工作流的预填充内容。 各种项目模板通常用于快速启动审计和创建可重复使用的模板。 这些项包括:

  • 内部审计(可操作)模板
  • SOC/SSAE 16/ISAE 3402 审计模板
  • 内部审计(财务和互联网控制)模板
  • Sarbanes-Oxley (SOX) 审计模板(COSO 2013 框架)

设置项目

您可以在两种不同类型的项目工作流之间进行选择,具体取决于其审计是运营审计还是更全面的审计(例如 SOX 或 ICFR 审核)。 设置项目后,项目应用程序会在审计中执行一个简单的工作流程。 这有助于您确定相关的审计程序并管理问题。

示例

场景

您是负责物理安全审计的审计人员,希望开始集中管理审计文档。 该项目将重点关注对您的组织 Vandelay Industries 极为重要的橡胶库存的物理安全性。

流程

帮助主题 使用项目模板

作为构建项目的起点,您使用 Latex 设施安全审查项目模板创建项目。

结果

项目填充了一系列目标。 每个目标均包含一系列风险和程序。

为您的组织实体结构建模

组织由不同的业务单位、部门、地点、地区和法律实体组成。 您可以在审计管理过程中为业务和法律实体结构建模。 这允许您向管理层和审计委员会报告测试结果和问题。

示例

场景

Vandelay Industries 涵盖不同的地理区域和位置。 您希望能够从业务的不同交叉部分创建报告,使组织所有级别的利益相关者都能够获得他们需要的信息。 同样,健康与安全委员会也要求他们自己的报告。

流程

帮助主题 设置实体标签

管理实体下,您根据适用于项目的地理区域和位置为业务结构建模。

结果

您现在可以将项目、目标、风险、程序和问题标记到相关的情境数据点,并基于这些维度进行报告。

执行审计风险评估

组织通常可以系统地识别和评估风险。 审计风险评估提供了评估影响业务的运营风险的手段,优先考虑应首先缓解的风险。 您可以开发一组通用的评估标准,可以在营运部门、实体或业务单位之间使用,并根据定义的评分框架评估运营风险。

提示

为避免手动评估运营风险,您可以使用评估推动器自动执行不同的风险评估。 您可以将在结果应用程序中创建的度量链接到项目应用程序中的风险评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。

示例

场景

您的组织拥有成熟和完善的运营风险评估进程,并采用三分制从两个维度(可能性、影响)评估风险:

  • 1 = 低
  • 2 = 中
  • 3 = 高

现在,您需要评估固有风险评分,以确定在没有实施控制或其他缓解因素的情况下,组织面临的原始风险。

流程

帮助主题

您在乳胶设施安全审查项目中捕获了以下信息:

风险 4-A:如果发生紧急情况,设施安全和活动可能会中断。

  • 影响 2 -中等
  • 可能性 2 - 中等

风险 4-B:在检查过程中未能符合安全要求可能会导致罚款或其他处罚,包括停业。

  • 影响 1 - 低
  • 可能性 3 - 高

结果

已完成固有风险评估:

2. 收集、评估和记录证据

收集、评估和记录证据涉及各种活动。 项目工作完成后,可以进行质量保证审核。 高级审计师可以轻松地添加辅导说明和审核注释,并向资历较浅的团队成员分配其他任务。 项目应用程序会自动向团队成员发送电子邮件并通知其要完成的任务,让团队成员参与审核流程。

提示

使用 Diligent HighBond iOS 或 Android 版,审计团队可以不间断和实时访问工作文件,而无论各个团队成员的实际位置如何。

执行程序

审计人员可以记录其执行的程序的结果。 在执行程序时,项目应用程序会自动汇总测试结果和问题,并实时计算保障。

提示

使用项目应用程序和结果应用程序,您可以将工作文件证据直接链接到自动化分析,实现高效的全群体测试。 通过基于组织实际数据的真正分析驱动的风险评估,管理人员可以随时了解组织风险的确切状态,而无需编制各种报告和更新。 风险评估自动考虑固有风险和缓解措施,提供残留风险的量化估计。

示例

场景

作为审计风险评估的结果,您的团队确定需要对确保环境控制措施到位引起重视。 您需要执行与风险 4-A 风险 4-B 相关联的程序:

4-03:必须定期对设施进行消防检查。 应及时解决所发现的不足。 可提供手持式灭火器或固定式消防水带。

流程

帮助主题 执行程序和测试控制

程序结果部分,您可以写下您的观察并记下所找到的过期灭火器。 您在完成此程序时是否发现问题的旁边指定了注意到的问题

结果

已捕获程序评估:

确定问题

审计人员在审计过程中捕获和分配标记为要补救的问题。 他们可以将问题委托给所有者以更新状态和相关的行动计划。 他们还可以将操作分配给利益相关者,以便跟踪、捕获证据和解决问题。

示例

场景

由于程序 4-03 失败,您需要通过记录问题来指出异常情况。 您希望在工作文件中添加问题和背景,了解捕获问题的原因。

流程

帮助主题 记录问题

您记录了以下问题:

  • 标题/大标题过期的灭火器
  • 描述在设施的西入口旁发现一个过期的灭火器。
  • 所有者大楼管理员
  • 问题类型发现
  • 识别日期日期
  • 严重性
  • 已发布已发布

完成对灭火器的审计后,您签核并将您的经理设置为批准您的工作的下一个审核者。

结果

已捕获问题。 审计员日后可以审核补救计划,记录重新测试结果,以确定不足是否真正得到了补救。

记录时间

经理可以使用时间表应用程序来按照利用情况衡量单个资源的绩效。 他们能够深入了解分配用于特定项目的计划资源,包括工作时数 他们还能够衡量特定项目的总体盈利能力和投资回报率(ROI),并生成报告。

示例

场景

您需要记录用于检查建筑物中灭火器的时间。 您想在工作文件中添加该时间条目。

流程

帮助主题 记录时间

您可以快速捕获以下建议的时间条目,该条目基于您的近期活动:

  • 日期 07/11/2018
  • 小时数 1
  • 描述灭火器检查

结果

已捕获时间条目:

管理请求

在项目周期的任何时刻,审计人员都可以直接在项目应用程序内提交和跟踪所有客户请求,以便使所有通信线程和请求事项井然有序。 您还可以将项目配置为定期发送自动提示,以将未完成的请求提醒项目参与者。

示例

场景

您已准备好执行以下程序:

3-02:在周末,只有设施的主要入口(丹佛的南 1(Dv1))和洛杉矶的南 2(LA1))允许门禁卡访问。

在执行此程序之前,您需要审查大厦的门禁卡访问日志。 您希望提交访问日志请求,以便继续执行程序。

流程

帮助主题 添加请求

您在请求面板中捕获了以下请求项:

  • 请求者 yourName
  • 描述请将访问日志发送给我,以便我对其进行分析。
  • 所有者大楼管理员
  • 立即发送已选择
  • 电子邮件电子邮件
  • 到期日2018 年 7 月 27 日

结果

已捕获请求项,并向大楼管理员发送通知。 然后大楼管理员可以查看请求并上载请求的访问日志。

3. 管理问题补救

问题管理、跟踪和补救是审计的主要结果。 补救阶段涉及管理问题生命周期及获得管理层对这些问题的响应。 您可以识别、编目、评估问题,并将其分解为补救措施。 您还可以将问题汇总为更大的主题以进行报告。

定义补救计划

审计人员经常与管理层合作,确保适当阐述对问题的回应并解决根本原因。 通过将问题分配给适当的所有者,问题所有者可以输入其管理层响应或行动计划,说明负责人、应采取的行动以及完成时间。

示例

场景

您需要记录补救计划来解决消防安全计划问题,并记录操作作为后续措施。

流程

帮助主题

跟进和补救子选项卡中,您将补救状态指定为等待管理层响应。 作为补救计划的一部分,您指定管理层审查消防安全计划的方向,并确保符合所有要求。 最后,您创建了两个操作来解决该问题。

结果

已捕获操作:

重新测试并关闭问题

审计人员可以跟进管理,重新测试问题,并记录任何后续发现。 他们可以说明问题是否得到了真正的补救,并向审计委员会报告补救活动的状态。

示例

场景

这两个操作均已完成;已更换灭火器,管理层已审查消防安全计划。 您重新检查了灭火器并发现灭火器已被更换,您注意到管理层已审查了消防安全计划并确保了合规。

流程

帮助主题

您记录重新测试结果以验证问题是否得到真正补救:

再测试结果概览

已检查和更换灭火器,且已对消防安全计划进行了审查。

然后,关闭问题和操作:

结果

已捕获重新测试结果,关闭项目并准备报告。

后续步骤

了解如何监控和沟通结果

结果应用程序可用于识别和管理异常,从受访者那里收集信息以提供数据情境,并且可视化数据以突出显示趋势、模式或异常值。 然后,您可以使用 Storyboard 应用程序在单个演示中呈现多个可视化效果和富文本内容。

更多详情请参阅监控和沟通结果

注册学校课程

通过学习 PROJ 100 课程内容,继续深入了解本文介绍的概念。

Academy 是 Diligent 的在线培训资源中心。 对于所有拥有 Diligent One 订阅的用户,Academy 课程均无须额外付费。 有关详细信息,请参阅 Academy