展示内部控制的保障
审计的主要目的是提供风险管理有效性的保证和认定组织中控制环境的强度。通过集中和自动执行部分审计程序,审计可以简化内部控制管理并促进整个组织的协作。在本文中,我们讨论如何使用项目应用程序测试控制。
本文阐述了如何使用反贿赂和反腐败内部控制框架项目模板来测试控制,这对于中小型审计职能和团队非常有用。本文中的工作流程适合于更复杂的审计类型:定义了注解,需执行排查以验证控制设计,并开展测试以验证控制的运行有效性。这是其中一种方法,但您可以使用其他项目模板实现相同或类似的目标。
测试控制意味着什么?
测试控制是以下过程:
- 确定关键和非关键控制措施
- 确定将测试哪些控制
- 根据其设计和运行效果评估每个关键控制措施
如果测试表明控制未按预期或设计运行,审计会注意到异常,并与业务部门合作管理补救计划。
我在哪里测试控制?
您可以使用项目应用程序测试控制。
全盘视角
- 项目用于记录目标、风险和控制,测试控制的设计和有效性,以及捕获问题。
- 评估用于记录对控制的设计和运行有效性的评估。
项目的测试结果最终可能会累积到您的组织的保障分数中,您可以实时了解您的组织在减轻风险方面的表现。
步骤
准备好进行了解了吗?
让我们在情境中仔细了解上述功能。
1. 设置您的项目
第一步是理解在您的系统中建立数据的最佳办法,以便您能够正确报告。您可以创建项目来定义目标、风险和控制,评估控制的设计和运行有效性,以及编制用于报告的信息。可以从头开始、从模板或从已有项目创建项目。
提示
项目应用程序提供了多个风险和控制库(项目模板),其中包含特定工作流的预填充内容。有许多不同的项目模板用于快速启动审计和创建可重复使用的模板。这些项包括:
- 内部审计(可操作)模板
- SOC/SSAE 16/ISAE 3402 审计模板
- 内部审计(财务和互联网控制)模板
- Sarbanes-Oxley (SOX) 审计模板(COSO 2013 框架)
设置项目
您可以在两种不同类型的项目工作流之间进行选择,具体取决于其审计是运营审计还是更全面的审计(例如 SOX 或 ICFR 审核)。设置项目后,项目应用程序会在审计中执行一个简单的工作流程。这有助于您确定相关的审计程序并管理问题。
提示
框架有助于减少设置项目所涉及的手工操作,并可用于集中管理不断变化的监管和业务环境中的信息。
记录目标
目标形成项目的基础,它们也是项目中已完成工作的组织容器。每个目标说明正在检查的主题事项,以及如何评估绩效。可以定义目标以便将工作分成可管理的任务,供审计团队成员完成。
查看示例
示例
场景
贵组织的部分反贿赂工作包括差旅费和招待费 (TNE) 政策,须将上述政策作为审计的一部分进行测试。您需要向项目添加 TNE 目标以定义检查范围。
流程
帮助主题 定义目标
您如下定义目标:
- 标题 差旅费和招待费
- 描述 确保针对差旅费和招待费流程(包括采购卡)相关的反贿赂和反腐败风险,采取适当的预防性与探测性控制措施。
- 参考 TNE
- 机构/部门 财务
- 分配的用户 您的姓名
结果
目标已定义。
文件注解
注解提供了一种了解组织的内部控制如何适应业务流程的方式。许多组织将流程表作为可视化和显示给定区域内详细工作流的主要方法。可以附加任何音频或视觉内容以支持注解文档,而且您可以关联控制以便引用。
查看示例
示例
场景
您需要构建一个与 TNE 目标相关的注解。
在注解中,您计划定义业务流程,并附上与流程相关的风险和主要控制的摘要。当您收集更多信息时,您打算相应地更新注解。
流程
帮助主题 定义注解
您导航至项目中的注解选项卡,并添加标题为 TNE 流程注解的新注解。
您开始如下定义注解:
流程概览:差旅费和招待费政策包括商务旅行时发生的差旅费用,包括交通、住宿、膳食和其他杂项支出。这些支出必须是开展业务时所合理和必要的,并且直接归因于此。
最后,附上一个 Word 文档,其中包含与 TNE 流程相关的风险和主要控制摘要。
结果
注解的第一部分是草稿,Word 文档被添加为支持附件。
记录风险和控制
在生成的风险控制矩阵(RCM)中记录风险和控制。RCM 由已识别的风险和对应的控制(如何缓解风险的措施或操作过程)组成。
说明
根据组织和审计职能的规模,评估固有风险和残留风险可能分属于不同的团队负责。较大的组织通常利用运营风险或合规风险评估来支持审计工作。
提示
一旦记录了风险和控制,流程所有者就可以在项目应用程序中制定计划,以确保持续一致地执行控制活动。
2. 评估控制设计和有效性
许多审计职能部门期待该业务承担一些评估控制设计和有效性的职责。所有者自己可以访问更新控制排查以及记录控制有效性测试步骤等简单任务。这可对真正归业务所有的控制进行评估。
评估控制设计
审计可以与控制所有者合作,通过证明和/或附加证据来评估控制的设计,制定行动计划以实施缺失的控制,或解释为什么不需要控制。
提示
组织中的一线员工可以使用任务控制应用程序来管理其在项目应用程序外部有权访问的控制。任务控制是个应用程序,它以简化而集中的视图呈现来自项目应用程序的控制信息。
查看示例
示例
场景
既然您已评估固有风险,则需要执行排查来评估每个控制的设计。
流程
帮助主题 执行程序和测试控制
您导航到与每个控制相关的排查,并根据注解中描述的流程评估 TNE 控制的设计。
您确定已正确设计所有控制。完成对控制设计的评估后,您签核并将您的经理设置为批准您的工作的下一个审核者。
结果
已捕获每个控制的排查:
定义测试计划
测试计划确定您将如何测试控制。您可以定义测试计划,以指定测试方法、总样本数(在测试周期中分割)以及测试控制所需执行的测试步骤。
提示
灵感是从全球 Diligent 计划中收集的风险场景和测试的目录,按流程提供一系列分析测试想法。有关详细信息,请参阅工具和模板。
查看示例
示例
场景
您已进行了排查,能更好地了解控制被如何设计以缓解风险。在开始测试控制的有效性之前,您需要制定一个测试计划,以确定每个测试控制的方式。
流程
帮助主题 执行程序和测试控制
首先,您为以下控制定义测试计划:
TNE-04 - 采购卡阈值:采购卡有月度和个人限额。超过上述限额的采购应被拒绝。管理人员应该及时审核并纠正异常情况。
- 测试方法 观察
- 总样本数 1
- 测试步骤/测试属性
- 获取执行测试所需的数据:
- 包括每张卡的月度限额和交易限额的 Pcard 持卡人数据
- 审核期间的 Pcard 交易数据
- 将 Pcard 交易数据中的交易金额与 Pcard 持有人数据中列出的交易限额进行比较。
- 按月和按卡小计交易金额,并与 Pcard 持有人数据中列出的每月限额进行比较。
- 获取执行测试所需的数据:
结果
已捕获 TNE-04 的测试计划。
评估控制有效性
评估控制的有效性涉及记录详细的测试结果以及指明控制是否通过。完成控制的有效性评估后,您可以标记文本部分并链接至证据,例如政策或程序手册、规范、SLA/SLS 和合同。
提示
为避免手动给控制有效性打分,您可以使用评估推动器自动执行不同的控制评估。您可以将在结果应用程序中创建的度量链接到项目应用程序中的控制评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。
查看示例
示例
场景
现在您已评估控制设计,并制定了一个测试计划,其中规定了如何测试 TNE-04,您还需要评估控制有效性以确定残留风险或在实施控制之后剩余的风险量。
流程
帮助主题 执行程序和测试控制
您导航到与每个控制关联的测试周期并测试每个控制的有效性。
您确定所有控制都在有效运行,除了 TNE-04 控制。虽然交易限额在销售点得以体现和减少,但月度限额并非如此,许多卡大大超过其月度限额。
结果
已捕获每个控制的排查评估。此时,您还可以创建问题,以便管理问题补救计划并将操作分配给负责与采购卡公司间的关系的人员。
3. 展现保障
项目应用程序能够将整个项目中的风险评估、测试结果和问题自动汇总到可用于报告目的的单一保障度量(百分比)中。保障随着排查和测试的通过而增加。
提示
如果您采用自上而下的方法并在战略应用程序中管理组织的战略风险,则可以通过汇总已实施项目的测试结果来显示保障,以减轻或管理战略风险。
查看示例
示例
场景
TNE 目标测试完成后,您想衡量组织在减轻风险方面的表现,以便可以适当分配资源。
流程
帮助主题 风险保障入门
您导航至进度区域,查看差旅费和招待费目标的固有和残留风险评分以及保障分数:
然后,您导航到结果区域,查看审计的整体保障分数:
结果
您可以报告与差旅费和招待费目标相关的保障分数,以及与整个审计相关的整体保障分数。
后续步骤
监控您的 SOX 项目的进度
您可以通过 Storyboard 查看和监控您的 SOX 项目的进度。安装预配置的 SOX Storyboard 工具包并且使您的 Storyboard 填满数据只需花费几分钟。有关详细信息,请参阅SOX Storyboard Toolkit。
