展示内部控制的保障

审计的主要目的是提供风险管理有效性的保证和认定组织中控制环境的强度。通过集中和自动执行部分审计程序,审计可以简化内部控制管理并促进整个组织的协作。在本文中,我们讨论如何使用项目应用程序测试控制。

本文阐述了如何使用反贿赂和反腐败内部控制框架项目模板来测试控制,这对于中小型审计职能和团队非常有用。本文中的工作流程适合于更复杂的审计类型:定义了注解,需执行排查以验证控制设计,并开展测试以验证控制的运行有效性。这是其中一种方法,但您可以使用其他项目模板实现相同或类似的目标。

测试控制意味着什么?

测试控制是以下过程:

  • 确定关键和非关键控制措施
  • 确定将测试哪些控制
  • 根据其设计和运行效果评估每个关键控制措施

如果测试表明控制未按预期或设计运行,审计会注意到异常,并与业务部门合作管理补救计划。

我在哪里测试控制?

您可以使用项目应用程序测试控制。

全盘视角

  • 项目用于记录目标、风险和控制,测试控制的设计和有效性,以及捕获问题。
  • 评估用于记录对控制的设计和运行有效性的评估。

项目的测试结果最终可能会累积到您的组织的保障分数中,您可以实时了解您的组织在减轻风险方面的表现。

步骤

准备好进行了解了吗?

让我们在情境中仔细了解上述功能。

1. 设置您的项目

第一步是理解在您的系统中建立数据的最佳办法,以便您能够正确报告。您可以创建项目来定义目标、风险和控制,评估控制的设计和运行有效性,以及编制用于报告的信息。可以从头开始、从模板或从已有项目创建项目。

提示

项目应用程序提供了多个风险和控制库(项目模板),其中包含特定工作流的预填充内容。有许多不同的项目模板用于快速启动审计和创建可重复使用的模板。这些项包括:

  • 内部审计(可操作)模板
  • SOC/SSAE 16/ISAE 3402 审计模板
  • 内部审计(财务和互联网控制)模板
  • Sarbanes-Oxley (SOX) 审计模板(COSO 2013 框架)

设置项目

您可以在两种不同类型的项目工作流之间进行选择,具体取决于其审计是运营审计还是更全面的审计(例如 SOX 或 ICFR 审核)。设置项目后,项目应用程序会在审计中执行一个简单的工作流程。这有助于您确定相关的审计程序并管理问题。

提示

框架有助于减少设置项目所涉及的手工操作,并可用于集中管理不断变化的监管和业务环境中的信息。

记录目标

目标形成项目的基础,它们也是项目中已完成工作的组织容器。每个目标说明正在检查的主题事项,以及如何评估绩效。可以定义目标以便将工作分成可管理的任务,供审计团队成员完成。

文件注解

注解提供了一种了解组织的内部控制如何适应业务流程的方式。许多组织将流程表作为可视化和显示给定区域内详细工作流的主要方法。可以附加任何音频或视觉内容以支持注解文档,而且您可以关联控制以便引用。

记录风险和控制

在生成的风险控制矩阵(RCM)中记录风险和控制。RCM 由已识别的风险和对应的控制(如何缓解风险的措施或操作过程)组成。

说明

根据组织和审计职能的规模,评估固有风险和残留风险可能分属于不同的团队负责。较大的组织通常利用运营风险或合规风险评估来支持审计工作。

提示

一旦记录了风险和控制,流程所有者就可以在项目应用程序中制定计划,以确保持续一致地执行控制活动。

2. 评估控制设计和有效性

许多审计职能部门期待该业务承担一些评估控制设计和有效性的职责。所有者自己可以访问更新控制排查以及记录控制有效性测试步骤等简单任务。这可对真正归业务所有的控制进行评估。

评估控制设计

审计可以与控制所有者合作,通过证明和/或附加证据来评估控制的设计,制定行动计划以实施缺失的控制,或解释为什么不需要控制。

提示

组织中的一线员工可以使用任务控制应用程序来管理其在项目应用程序外部有权访问的控制。任务控制是个应用程序,它以简化而集中的视图呈现来自项目应用程序的控制信息。

定义测试计划

测试计划确定您将如何测试控制。您可以定义测试计划,以指定测试方法、总样本数(在测试周期中分割)以及测试控制所需执行的测试步骤。

提示

灵感是从全球 Diligent 计划中收集的风险场景和测试的目录,按流程提供一系列分析测试想法。有关详细信息,请参阅工具和模板

评估控制有效性

评估控制的有效性涉及记录详细的测试结果以及指明控制是否通过。完成控制的有效性评估后,您可以标记文本部分并链接至证据,例如政策或程序手册、规范、SLA/SLS 和合同。

提示

为避免手动给控制有效性打分,您可以使用评估推动器自动执行不同的控制评估。您可以将在结果应用程序中创建的度量链接到项目应用程序中的控制评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。

3. 展现保障

项目应用程序能够将整个项目中的风险评估、测试结果和问题自动汇总到可用于报告目的的单一保障度量(百分比)中。保障随着排查和测试的通过而增加。

提示

如果您采用自上而下的方法并在战略应用程序中管理组织的战略风险,则可以通过汇总已实施项目的测试结果来显示保障,以减轻或管理战略风险。

后续步骤

监控您的 SOX 项目的进度

您可以通过 Storyboard 查看和监控您的 SOX 项目的进度。安装预配置的 SOX Storyboard 工具包并且使您的 Storyboard 填满数据只需花费几分钟。有关详细信息,请参阅SOX Storyboard Toolkit