稽核策略

巨人缩水版
1 ℃
2017-12-15

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

政府內部稽核準則優良作業指南稽核策略英國政府財政部英國政府財政部稽核政策與建議2002年5月目錄頁章節頁序11.前言22.稽核策略概述43.擬定稽核策略的先決條件64.確認稽核的必要範圍105.適度引用其它可信之結果126.稽核工具箱147.確認及取得必要的技能及資源168.報告189.品質保證20附件23附件1界定最佳稽核意見的衡量標準22附件2針對稽核範圍擬定策略性方法2411序本指南係為發展綜合內部稽核策略而提供之優良作業指導原則，以供稽核委員會就機構整體的風險管理、管控與治理向會計長提出建議。實務上，稽核意見的範圍可能受限於稽核工作可使用或可取得的資源等因素。然而，策略規劃之初仍應以提供最佳稽核成果之目標為前提，且只有在內部稽核主管遇到阻礙其執行的情形時才會受有限制。本文件旨在協助內部稽核主管實現最佳的稽核成果，並針對無法達成的關鍵潛在情形提供一些指導方向（例如管理風險分析不足以因應本文件規範之方法，或資源不足以實現最佳稽核成果）。須注意，稽核意見不一定完全能發掘機構之風險、管控或治理上之缺失。稽核意見應以足夠的可靠且相關之證據為基礎，以便在合理的範圍內明確說明。內部稽核主管若能於研擬稽核策略的過程中參研本指導原則，即使執行稽核時因特定狀況而未能有最佳的成果，但也會因內部稽核已盡了最大的努力，而增加其機構在風險、管控與治理上的效益。稽核政策與建議英國政府財政部2002年5月21.前言1.1「政府內部稽核準則」中對內部稽核所下的定義為，內部稽核「係針對風險管理、管控與治理向會計長提供獨立客觀的意見」，此等意見通常是以敘述的方式總結相關的優、缺點及其意義。準則1（範圍）規定，在提出意見方面，於必須完成的特定稽核工作之考慮範圍內，該意見必須屬於「會計長指定之性質」（1.1.1h），並包括「其所有作業、資源、服務及對其他機構的責任」（1.1.1g）。準則6的第6.1.1節並指出：「內部稽核主管的意見乃是會計長宣布完成年度內控聲明書所需之保證架構的關鍵因素」。1.2會計長必須充分了解其內控系統的效益1，以便其編製內控聲明書（即使無需在聲明書中揭露效益）。會計長主要須對國會負責；關於此方面之責任，很明顯地，公共帳戶委員會（CommitteeofPublicAccounts）不會接受以「缺乏對管控缺點的認識」作為應可管控的風險發生時或是接受未妥善管理之風險的充分理由。因此，會計長需要獲得針對風險、管控與治理的可靠且經證實之意見，且必須明確地表達（即使意見可能相反，指出風險、管控與治理沒有效率、效益或不經濟）。然而，唯一合理的是，沒有任何意見或保證是絕對的，且其必然是根據可獲得之證據所作的推斷。稽核意見乃針對風險、管控與治理方面向會計長提供保證之基礎。附件1則為最佳稽核意見提供了較詳細的定義。1.3應注意的是，內部稽核意見並不能取代會計長對於風險、管控與治理方面的責任，而且，只要能證明其已根據專業自律與注意事項標準執行內部稽核工作，內部稽核人員便無需為管控失敗負責。此為內部稽核角色的特色，部分內部稽核主管可能會希望在他們提請稽核委員會及會計長核准的策略中將這點加以釐清。1請注意，內控聲明書的「內控系統」應視為包括對風險的所有回應，且包含透過將風險移轉給外部合作夥伴（例如經由保險）執行的管制，以及透過機構特定行動執行的「軟性」管控（例如道德標準）和「硬性」管控。31.4本指南的目的在於擬定稽核策略時所需特別考量的範圍，而非規定一套「標準策略」，因為每個機構及其風險管理、管控與治理以及內部稽核策略都是獨特的。使用本指南將可協助內部稽核主管注意到有效稽核策略的所有關鍵因素。1.5本指南著重於提供保證的策略，包含內部稽核在提供保證時的諮詢角色，但不包括內部稽核所能有的其他專業角色，例如詐欺調查（雖然這些工作領域可提供知識及事實發現，對於準備風險、管控與治理的整體保證極具價值），這些主題已納入與本指南有關之其他優良作業指導原則中。42.稽核策略概述2.1稽核策略的目的是提供一種策略性的方法，使內部稽核主管採行能協助達成下列目標之方式管理稽核單位：y每年針對機構的風險管理、管控與治理向會計長提供整體意見，以協助編製內控聲明書。y在機構之目標與風險合適的效益原則下，透過定期稽核計畫，稽核機構之風險管理、管控與治理。y透過稽核供作向部門管理階層提供建議，以改善機構的風險管理、管制與治理。y確認有效稽核服務(尤其是有關準則1所定義之稽核工作範圍)所需的稽核資源符合政府內部稽核準則，。y與外部稽核人員及機構內部的其他審核單位有效合作。y透過內部稽核，提供保證及諮詢服務。2.2文件化的稽核策略應能及時就下列事項提供規範：y內部稽核可依賴管理階層之風險分析2的程度（或內部稽核協助管理階層發展其風險分析的方法）；y年度檢討之重要的風險分析因素，以便提供積極、合理的「保證」用以支持內控聲明書；y為提供積極合理之「保證」以及滿足會計長與稽核委員會的特定保證需求所需的額外風險分析範圍；y機構之變更部分應接受系統發展之稽核；y內部稽核援用其他「保證」之資料以擬定稽核建議的方法及範圍；y內部稽核計畫展開之方法與範圍；2本文件所稱之風險分析係指管理階層確認、評估機構所面臨之風險以及決定其優先性的程序。5y內部稽核溝通其工作成果的主要方法；y提供稽核保證所需的資源評估，包括確認可能需要的專業技能；y取得內部稽核及專業資源的方法；y在發展內部稽核工作人員的專業方面，是以何種方法徵募／訓練／持續，以確保其具備提供內部稽核服務之技能；y內部稽核服務如何自行評估績效、保證品質以及持續發展；y稽核單位為管控這些風險而執行策略及計畫時，其所面臨的風險。2.3稽核策略的制定形式應由內部稽核主管決定，可選擇的方式包括製作單份策略文件並定期檢討，或在可單獨檢討並依需要修訂的稽核手冊或一系列稽核政策文件中制定策略。不論選用何種形式，均應對稽核單位所有成員公布該策略的所有要素，以及（至少）將會計長應尋求稽核委員會建議的問題等相關因素（請參閱準則3.2）提供給稽核委員會。（關於人員配置／採購的部分細節，可能必須限制在稽核管理階層）。63.擬定稽核策略的先決條件3.1在擬定稽核策略時有許多先決知識條件：y徹底了解機構的目的及績效目標。y徹底了解機構的風險分析程序，包括機構風險的優先順序以及關鍵風險的責任分配。y徹底了解會計長取得有關風險管理、管控與治理整體「保證」的程序（例如管理工作報告程序的架構方法，以及指定之風險主管的角色及專長）。y徹底了解目前因應風險的方式（管制系統）[針對新的IAS，希望提供先前服務的資訊]。y徹底了解高階管理階層的架構及角色，以及相對的機構之架構。y徹底了解管理委員會的優先重點（若可能，內部稽核主管應定期查看管理委員會會議紀錄及關鍵文件的變更，例如部會投資策略（DepartmentalInvestmentStrategy；DIS）。簽訂新的契約時，這些知識的取得對內部稽核的外部供應商十分重要，且對所有內部稽核服務也很重要；此可建立一種機制，確保他們的知識尚未過時且仍為完整。3.2風險分析是管理階層（而非內部稽核）的工作，尤其會計長必須對風險管理、管控與治理的經濟性、效率及效益負責。因此，稽核策略必須以管理階層的風險優先順序為基礎，而不是根據個別的風險稽核分析（若未實施適當的管理風險評估，則請參閱以下決定行動）。3.3如已有完整的風險管理分析，內部稽核應先期作業以擬訂稽核策略：y風險分析應受到系統化的稽核。其目的有二：y向會計長提供關於機構風險分析之策略方法的建議；y向內部稽核保證該風險分析是規劃稽核工作的健全基礎。7y稽核應尋求以下的證據：y風險確認程序的完整性；y確認評估風險影響及機率的適當衡量標準；y針對經確認的風險適當應用這些衡量標準；y適當決定風險的優先順序並確認關鍵風險；y組織目標及重要風險之間的適當關係；y將風險的責任分配給有權指派資源以因應風險的階層；y定期檢討／修正風險分析。3.4若內部稽核不滿意前述任何項目，則應與會計長（或稽核委員會、風險委員會或稽核委員會指定負責準備風險分析的其他單位）討論並嘗試解決。3.5若內部稽核於討論後認為風險分析有嚴重的瑕疵（以及在機構的風險管理、管控與治理程序上的潛在後續瑕疵），應該向會計長報告；若他們不願意修整，則應要求他們將接受該風險分析的情況記錄下來。3.6若未執行完整的風險管理分析，內部稽核應先考慮管理階層需要那些協助以發展適當的分析，以及其對稽核程序有何協助。若無適當的風險分析，內部稽核便不得繼續執行其策略。內部稽核如可提供諮詢建議且不會妨礙客觀性及獨立性，則其應強調：y他們必須與管理階層合作發展風險分析；y風險分析是管理階層的責任，而非內部稽核的責任；y內部稽核在發展風險分析中的角色不包括：y保證提出適當的稽核分析，而無需作後續修正；y保證分析中沒有錯誤。83.7若管理階層拒絕接受此類提議，且未採取其他行動來發展風險分析，內部稽核應正式建議會計長，向其告知機構的風險管理、管控與治理程序中含有實質且重大的瑕疵，且將直接影響會計長依據財政部規定而提出之內控聲明書的績效結果。3.8在此狀況下，內部稽核即必須發展自己的風險分析，以協助準備稽核策略。3.9策略中應總結所進行的研究背景，以及管理階層的風險分析與稽核策略間的關係。9104.確認稽核的必要範圍4.1發展稽核策略的下一步則是考量風險管理、管控與治理的必要範圍，藉以對會計長提出意見。4.2考慮必要範圍時須以準則1–內部稽核工作的範圍為前提。無需每年針對風險、管控與治理的每一層面進行稽核，但特定的因素將會與現階段的考量相關：y應每年檢討機構的風險分析，以確保其仍適用；y在風險、管控與治理中，可能必須每年檢討特定的高風險系統或程序，以便提出必要之保證；y一項後續的考量是，該系統及程序是否需要每年全面且系統化地進行稽核，或是其某些年度的關鍵管控測試或法令遵循測試等方法（technigues）是否足夠；y整體範圍必須包括機構為達成其目標所界定之「關鍵」的全部風險；y適當範圍的非關鍵風險必須包含於任何年度的範圍內，以便對意見的綜合性提供可信度；y未被定義為關鍵的風險仍需多加注意，以避免產生重大不利影響；y對於機構之風險管理、管控與治理的最新知識（包括過去的內部稽核意見及外部稽核管理信函）將可用以評估（重大）瑕疵因擴大稽核範圍而減緩之可能性；y稽核範圍亦應考慮機構必須作出反應的重大中央導向發展，包括（例如）資訊自由、E化政府／現代化政府、BS7799、健康及安全、資源會計與資源預算等問題。4.3請注意，最有效益的稽核範圍乃是透過結合策略性稽核（風險、管控與治理是否受到良好的規劃及指導）及作業性稽核（風險管理、管控與治理是否妥善執行）而獲得。稽核範圍應針對解決管控的規劃及其實際運作的程度這兩個問題來訂定。114.4除了考慮既有的風險、管控與治理外，亦應考慮機構中正在發生或計劃發生的改變程度。策略中應包括影響風險、管控與治理的任何預定專案或發展：y變更程序本身可能會比既有及已知的程序更危險；y確認發展領域中的缺點，並於發展階段更正，這會比開始實施後才更正來得經濟。4.5如同前述考量，內部稽核應與會計長及稽核委員會討論必要的稽核保證，藉以協助估計所需的範圍。尤其在非關鍵風險方面，他們所需的保證程度將會變得重要。若所需的保證低於「積極且合理」的定義（請參閱附件1），則應討論並記錄其意義。相反地，若內部稽核因故無法提出此類保證，亦應加以討論，並就其意義達成協議。4.6針對機構之風險分析所作的這些考量將為任何發展年度應執行之稽核工作提供一個概括模型，據以發展定期稽核計畫。4.7針對經確認的各項內部稽核元素，應估計執行該項工作所需的人工天數，以預留足夠時間專業地完成工作且適當地取得並評估證據。進行這些估計的最佳資源就是經歷長時間完成稽核工作的歷史經驗。4.8內部稽核策略中應概述預定的範圍及資源。125.適度引用其它可信之結果5.1內部稽核並不一定要直接對程序進行稽核才能取得稽核保證結果。若已有發展成熟的保證程序：y內部稽核便可經常透過檢視這些程序來提出稽核意見。y針對從這些