實務公告2120.A1—1：對控制過程的評價和報告

解釋《內(nèi)部審計專業(yè)實務標準》中的第 2120．A1 條標準 相關標準：第 2120．A1 條標準
    內(nèi)部審計部門應該在風險評價結(jié)果的基礎上，評價覆蓋機構治理、運營及信息系統(tǒng)等內(nèi) 容的控制程序的充分性與有效性。此類評價應當包括：
    •財務與運營信息的可靠性與完整性；
    •運營的效率與效果；
    •資產(chǎn)的護衛(wèi)情況；
    •對法律、法規(guī)與合同的遵守情況。 本實務公告性質(zhì)
    內(nèi)部審計師在評價機構控制系統(tǒng)的有效性并將評價意見向管理層和董事會報告時應該 考慮以下建議。當年開展的審計工作應該獲取充分的信息，使審計師能夠?qū)刂葡到y(tǒng)進行評 價并形成相關意見。是否遵守實務公告由審計師白行選擇決定。
    1．董事會的一大任務是建立并維護機構的治理程序，并獲取關于風險管理和控制過程 有效性的保證。管理高層的作用是監(jiān)督風險管理和控制系統(tǒng)的建立、管理和評價。這種多元 控制系統(tǒng) 的目的是支持機構成員對風險進行管理，并實現(xiàn)既定的、已經(jīng)廣為人知的機構目 標。更具體地說，人們希望這些控制過程能夠保證以下情形的存在：
    •財務和運營信息可靠、完整；
    •運營工作高效率、有成效；
    •資產(chǎn)得到護衛(wèi)；
    •機構的行為和決定遵守相關的法律、規(guī)定和合同。
    2．機構管理人員的一大責任是評價所在領域的控制過程。內(nèi)部和外部審計師為所選活 動和部門的風險管理和控制過程的有效性提供了不同程度的保證。
    3．機構管理高層和審計委員會一般希望審計執(zhí)行主管在當年開展充分的審計工作，并
    收集其他可以獲取的信息，以便就控制過程的充分性和效果性形成判斷意見。審計執(zhí)行主管 應該將關 于機構控制系統(tǒng)的總體判斷意見向機構管理高層和審計委員會報告。越來越多的 機構在提交外部利益關系方的年度報告或定期報告中收入管理層關于內(nèi)部控制系統(tǒng)的報告。
    4．審計執(zhí)行主管應該為來年開發(fā)審計計劃草案，保證獲取充分證據(jù)，對控制過程的有 效性進行評價。計劃應該呼吁通過審計業(yè)務或其他程序，收集關于所有主要操作部門和業(yè)務 部門的相 關信息。審計計劃還應該特別考慮近期或期望變化影響的運營領域。這些環(huán) 境的變化可能是市場或投資條件、收購或強制過戶、重組或建立新企業(yè)所引發(fā)的。所提議的 計劃應該靈活，以便在當年根據(jù)管理戰(zhàn)略和外部條件的變化或?qū)C構實現(xiàn)目標期望的修改而 進行調(diào)整。
    5．在確定所提議的審計計劃時，審計執(zhí)行主管應該考慮其他人開展的相關工作。為了 限度地減少重復和效率低下現(xiàn)象，在確定來年的預期審計范圍時，應該考慮管理層在評 價控制和質(zhì)量改進過程中所計劃的或最近完成的工作以及外部審計師計劃的工作。
    6．最后，審計執(zhí)行主管應該從兩個角度評價所提議計劃的范圍：計劃是否充分涉及機 構各部門，是否包括各種交易和業(yè)務過程。如果所提議審計計劃的范圍不夠充分，不足以就 機構的控制過程做出保證性說明，審計執(zhí)行主管應該將預期的缺陷、缺陷發(fā)生的原因和可能 出現(xiàn)的結(jié)果告知管理高層
    7．內(nèi)部審計所面臨的挑戰(zhàn)是在許多單項評價總匯的基礎上評價機構控制系統(tǒng)的有效性。 這些單項評價結(jié)果大都來自內(nèi)部審計業(yè)務、管理層的自我評價和外部審計工作。隨著審計業(yè) 務的開展，內(nèi)部審計師應該及時將審計發(fā)現(xiàn)向恰當層次的管理人員通報，以便及時采取行動， 糾正或減緩所發(fā)現(xiàn)的控制空隙或薄弱環(huán)節(jié)所帶來的不利后果。
    8．在評價機構控制過程的總體效果時應該考慮三大關鍵因素：
    •通過所開展的審計工作和收集的其他評價信息是否發(fā)現(xiàn)了控制空隙或薄弱環(huán)節(jié)?
    •如果發(fā)現(xiàn)了，是否在發(fā)現(xiàn)之后進行了糾正或改進?
    •是否可以從所發(fā)現(xiàn)的控制空隙或薄弱環(huán)節(jié)及其后果得出以下結(jié)論：機構存在導致風險 水平無法接受的普遍情形?
    然而，嚴重控制空隙或薄弱環(huán)節(jié)的暫時存在并不總是能使審計師得出這種情形很普遍， 從而會給機構帶來無法接受風險的結(jié)論。在確定整個控制體系的有效性是否受到損害、是否 存在無法接受的風險時，審計師必須考慮發(fā)現(xiàn)問題的形式、非法侵入的程度、后果的嚴重程 度以及風險程度等因素。在一般情況下，審計執(zhí)行主管應該每年向管理高層和審計委員會提 交一份關于機構檸制過程狀況的報告。
    9．上述報告應該強調(diào)控制過程在追求機構目標方面所起的關鍵作用，并應參考內(nèi)部審 計所開展的主要工作和其他用以形成總體保證判斷的重要信息渠道。報告的意見部分一般采 用否定形式的保證意見。即，那個階段開展的審計工作和收集的其他信息沒有揭示產(chǎn)生普遍 影響的嚴重控制薄弱環(huán)節(jié)。如果控制空隙或薄弱環(huán)節(jié)嚴重而且普遍，報告的保證部分可能采 用有保留的或反面意見的形式，但最后采取什么形式取決于剩余風險水平的預蜘增加及其對 機構目標的影響。
    10．年度報告的接收對象是高層執(zhí)行官和審計委員會委員。因為這些讀者對審計和機構 業(yè)務的理解比較分散，年度報告應該清楚、扼要、信息量大。報告的措詞和編撰應該易于理 解，井能滿足讀者的信息需要。通過包括主要改進建議和關于現(xiàn)行控制問題和趨勢的信息
    (如：技術和信息安全風險、各業(yè)務部門控制空隙或薄弱環(huán)節(jié)的形式、遵紀守法所面臨的潛 在困難)，可以增加報告對這些讀者的價值。
    11．有充分的證據(jù)表明，圍繞內(nèi)部審計部門在評價控制和就控制過程的運作狀況提供保 證方面存在期望差距。一種差距是，管理人員和審計委員會一般對內(nèi)部審計服務的價值抱有較高期望，而內(nèi)部審計師了解審計范圍所受的實際限制，而且對于能否產(chǎn)生足夠的證據(jù)、為
    形成客觀知情的判斷意見提供支持抱懷疑態(tài)度，因而，內(nèi)部審計師對內(nèi)部審計工作的期望比 較適度。審計執(zhí)行主管應該懂得報告讀者的期望和當年實際發(fā)生的情況之間可能存在的差 距。他/她應該將報告變成協(xié)調(diào)不同期望的手段，井通過報告建議改進機構的能力并減少審 計師在獲取信息和實現(xiàn)審計效果方面受到的限制。