供应商现场审计报告(收集3篇)
供应商现场审计报告范文篇1
(一)
银行业务外包是一种商业战略,就是银行把自身内部业务的一部分承包给外部专门机构。外包的理论基础是企业再造理论。企业再造根本思想就是彻底摈弃大工业时代的模式,重新塑造与当今时代信息化、全球化相适应的企业模式。它是从另一个角度反映企业组织如何去适应不断变化的环境。随着信息化和全球化进程的不断发展,包括把内部审计业务等一些银行非核心业务外包出去已成为一种趋势。
就银行方面而言,实行内部审计业务外包策略的主要好处不仅能节约内部审计成本,而且还可以提高内部审计工作的质量和效率。
1、以优补绌。我国各家银行内部审计资源普遍不足,这种不足不仅表现在数量上,更表现在质量上。一是缺少普遍适用的专业实务标准和审计条例。二是内部审计人员的专业能力不能满足需要,特别是在收集信息、检查、评价和交流方面能力不够,审计的手段、方法落后,不能适应银行业务活动日益增加的技术复杂程度和内部审计部门需要承担的繁重任务。三是银行审计理论滞后。国内银行的内部审计人员是一个相当规模的群体,但尚无一成熟的理论和专业标准。从银行方面讲,内部审计业务外包能使银行利用自身所没有的专业技能,有机会利用外部先进的审计技术和理论,比如获得特别审计项目的专门技能和知识,而银行内部是不具备这种知识的。通过业务外包可扬长避短,以优补绌。对于某些规模和风险程度都不大的小银行来说,可以考虑将内部审计职能外包给外部专家,并由高级管理层负责监督实施审计师的建议,确定负责实施建议的人员。
2、降低内部审计成本。国内银行的内部审计机构从总行一级分行二级分行或区域内部审计中心,估计银行系统的内部审计人员超过3万人。这样庞大的机构和众多的人员,银行系统每年为此需耗费数十亿元成本。内部审计业务外包可以部分削减这方面昂贵的招聘、培训和福利支出,从而可大大降低银行相应的成本。
3、提高内部审计效率。作为银行内部审计业务外包商的会计师事务所,其注册会计师是审计领域的专家。他们所掌握的审计手段、技术、方法和专业水准具有明显的优势,由专家来做能更好地完成审计目标。
4、提高内部审计质量。内部审计的质量主要体现在审计结果的客观性和公正性,而独立性是内部审计部门保持客观性和公正性的物质基础。我国银行的内部审计体制虽经近年改革,但仍没有实现真正意义上的独立。而外包商不涉及银行的经营活动或选择或实施内部控制措施,也可以避免和被审计银行机构发生任何利益冲突。所以,实行内部审计业务外包,可从根本上解决独立性问题,外包商可以向银行管理层和银行监管人提供高质量的审计信息。
从社会方面看,银行内部审计外包可利用比较优势,使社会审计资源得到充分利用。从外包商----注册会计师及事务所(CPA)方面来说,银行内部审计不仅是一个专业问题,而且还是一个很大的产业,因为它是一个很大的市场。随着中国银行业走向世界,这个市场会越来越大。金融机构内部审计社会化是世界性的趋势,因为这样可以节约审计成本,提高审计质量。中国的银行内部审计市场,对CPA来说充满机遇,也充满挑战。目前,我国金融机构有20多万个,金融从业人员300万人,有待审计的银行资产达几十万亿元。这就是说,现在不是有没有金融审计市场的问题,而是中国的CPA有没有能量去占领这个市场的问题。对CPA来说,目前是一个千载难逢的机遇。中原逐鹿,不知鹿死谁手。竞争的对手不仅是国内同业之间,更多的还会来自国际上的知名会计公司。我国CPA业应作战略性的调整,将现有的审计资源向金融审计倾斜,作好充分的准备,以迅速占领这个市场。
尤其值得一提的是,金融是现代经济系统的核心,谁掌握了中国未来金融审计的市场,谁就掌握了中国审计市场的未来。它的意义不仅在于银行审计本身的巨大市场,而且可带动整个审计市场;它不但是审计市场新的增长点,而且对传统审计业务可起到优化和催化作用。金融审计业务可提高我国CPA的整体素质,提高事务所的竞争能力,而银行内部审计业务是金融审计业务的一个重要部分。
(二)
内部审计业务外包在给银行带来上述诸多好处的同时,也带来了风险。银行在实际操作内部审计业务外包时,应当把握好风险评估、外包商选择、外包合同审查和事后监督控制等主要环节。
1、风险评估。银行董事会和高级管理层应当负责了解与内部审计业务外包相关的风险,并确保有效的风险管理程序的充分到位。作为董事会职责的一部分,董事会应当就内部审计外包对银行战略目标和计划的支援情况、与外包商的关系管理情况进行评估。没有一个有效的风险评估阶段,内部审计外包就可能与银行的战略计划不一致,或代价不菲,或带来不可预见的风险。
内部审计外包的风险评估应当考虑下列情形:金融机构的战略目的、目标和经营需要;评价和监督外包关系的能力;内部审计业务对金融机构的重要性和被外包的风险程度;对内部审计业务外包的明确要求;必要的控制和报告程序;外包商的合同义务和要求;内部审计的应急计划;对内部审计外包协议的持续评估,以评价是否与银行战略目标一致和外包商的工作业绩;是否符合监管要求和有关准则。
2、选择外包商。一旦银行完成了风险评估,管理层就应当对内部审计外包商进行评估,以确定其运行情况和财务状况是否满足银行的需要。管理层应当将银行的需求、目标和必要的控制要求告诉潜在的内部审计外包商。管理层也应当对外包合同的有关规定进行讨论。在选择一个合格的内部审计外包商时,银行应当考虑外包商以下三个因素:即专业知识和技能、运行情况和控制情况、外包商的财务状况。
在外包商的专业知识和技能方面,银行应当考虑:评估外包商提供内部审计服务的经验和能力;识别银行必须对外包商进行支援以全面管理风险的领域;评价外包商在未来预期的运作环境下提供内部审计服务的经验知识;必要的话,要进行现场督察,以更好地了解外包商是如何开展内部审计服务的。
在外包商的运行和控制情况方面,银行应当考虑:确定外包商与内部控制相关的标准、政策和程序的健全性;审查外包商的审计报告,以确定内部审计范围是否全面,内部控制措施是否完备;评价银行是否能够完全、及时地获得外包商的内部审计信息。
在外包商的财务状况方面,银行应当考虑:分析外包商最近被审计的财务报表和年报;考虑外包商在内部审计行业中的执业期限有多长、市场份额有多大。
由此可见,一个良好的外包商必须是具备专业胜任能力和适当的知识技能、内部控制完备、财务状况良好的公司。他们应当是一批既精通国际银行游戏规则又熟悉国际审计游戏规则的人才。就我国国情而言,银行内部审计的外包商主体主要应当是会计师事务所及其注册会计师。我国注册会计师要通过审计实践和理论研究,总结、归纳和创造一套既符合国际惯例,又有自身特点的组织结构、企业文化、金融审计方法与理论。银行在选择内部审计外包商时除上述因素以个外,还要综合考虑:一是外包商的资质。经人行和财政部许可,目前国内有68家会计师事务所取得从事金融审计业务的资质。二是评价客户在社会上执业信誉如何。三是外包商在银行审计领域的专业水平如何。四是外包商的收费标准。
3、审查外包合同。内部审计外包合同是银行机构与提供内部审计服务的外包商之间签订的一项契约。合同应当考虑银行经营需求和在风险评估、选择外包商阶段被识别出的重要风险因素。合同应当明确采用书面形式,内容应当具体详细,包括:内部审计的服务范围、业绩标准、安全保密、控制措施、审计条款、报告制度、争议解决等。
(1)服务范围:合同应当明确规定有关各方的权利和义务,包括外包商的任务和职责;外包商实施的风险分析和制定的计划必须事先得到银行高级管理层的批准。
(2)业绩标准:业绩标准规定了外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。银行机构应当定期审查外包商的业绩标准,确保其内部审计服务与银行战略目标相一致。外包商必须亲自承诺将所需资源应用于根据审计计划有效地执行其任务
(3)安全保密:合同应当规定外包商有保守银行信息资源机密的义务,以防止银行商业机密的泄密。
(4)控制措施:银行应当考虑外包商的内部控制措施;遵循监管要求的合规性;外包商保持的有关记录;高级管理层或其代表、外部审计师或其代表及监管当局有权在任何时候接触与外包商任务有关的记录,包括审计工作计划和工作报告。
(5)审计条款:合同应当订明外包商提供的内部审计报告类型(如财务、内部控制和安全评估)。合同也应当订明内部审计次数、有关审计成本和银行获取内部审计结果的权利。银行应当特别关注对网上银行业务的内部审计服务。
(6)报告制度:合同条款应当规定银行收到的内部审计报告的类型和次数。
(7)争议解决:银行机构应当在合同中订立一个争议解决规定,以解决未来潜存的问题。
银行管理层应当考虑合同是否具备足够的灵活性,以适应技术和金融机构运作的变化。所以银行与外包商之间也应当订立可以改变合同条款的协议,尤其是如果发现重大问题需要扩大审计工作的时候。在签字之前,应当由法律顾问进行审查。
4、控制和监督。实行内部审计业务外包可以给银行带来很大的好处,但另一方面外包也可能给银行带来风险,比如丧失或减少对外包业务的控制。尤其是当银行将一项重要职能外包出去的时候,就需要对这些风险进行管理和监督。而且,外包也可能对监管当局收集信息或要求改变被外包的职能的运作方式的能力产生负面影响。
高级管理层应当确保银行达成一项有效期较长的合同,同时确保外包商精通必要的专业知识,能够考虑到有关银行的特点。即使外包商提供了内部审计服务,银行董事会和高级管理层仍旧要负责确保内部控制系统(包括内部审计职能)得到有效的运作。
银行机构应当让具资深和经验丰富的审计师担任内部审计部门负责人,并考虑维持一支少量精干的内部审计队伍。外包商协助审计人员确定要审查的风险,提出建议,实施经内部审计经理批准的审计程序,并与内部审计经理共同向董事会或其审计委员会报告其发现。银行内部审计部门应当十分精通银行各项重要业务,以检查和评估这些业务内部控制措施的功能、效率和有效性。但外部专家也可以承担某种内部审计部门不会或不十分精通的检查任务。另外,内部审计部门负责人应当了解外部专家的知识要融入其所在部门,有可能的话要让其一到几个部属参与外部专家的工作。
当银行机构实施外包安排时,其运作风险就会增加。监管机构应当寄希望于银行就外包将对银行总体风险组合和银行内部控制系统所产生的影响进行分析。具体而言,银行应当在以下三个方面对外包商实施监督控制程序:
(1)在监督外包商的财务和运作状况时,银行应当定期评价外包商的财务状况;审查审计报告和获取的监管检查报告,评价外包商系统和控制措施的完备性;跟踪检查审计报告所指明的任何缺陷;定期审查外包商与内部控制有关的政策;监督外包商在内部审计方面的人事变动;实施现场监督检查。
(2)在评估外包商提供的内部审计服务质量时,银行应当定期审查有关外包商业绩的报告,确定这些报告是否准确;及时追查内部审计的任何问题,评估外包商加强内部审计水准的计划;评价外包商支持和增强银行战略导向的能力;定期与外包商会晤讨论业绩和运作问题。
供应商现场审计报告范文篇2
一、网站认证的由来
(一)产生背景
1997年,美国政府正式提出了电子商务框架(E-businessframework)的概念。BusinesstoBusiness(BtoB),BusinesstoCustomer(BtoC)的电子商务形式,以及InternetServiceProvider(ISP),ApplicationServiceProvider(ASP)和CertificatedAuthorities(CA)等服务随之丰富和繁荣起来。同一年,AICPA与CICA联合提出了一项旨在帮助网站浏览者增强对网站的信任,帮助保障隐私,认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust。这项鉴证服务是由持有特许专业执照的注册会计师,按照AICPA和CICA公布的“网站认证”准则与规范(PrinciplesandCriterias)对被审查网站的在线隐私(OnlinePrivacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(BusinessPractices/TransactionIntegrity)、认可(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证,对于符合准则与规范的网站,允许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上,供浏览网站的顾客点击后,以安全方式查看位于Verisign网站的注册会计师鉴证报告。
网络安全、隐私权和浏览者信任等问题一直是严重阻碍网络经济发展的主要问题。一方面,各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术,推出一些认证方式,维护网络安全;但另一方面,在开放型的网络世界中,人们不断听到、看到和受到各种网络安全的威胁,因此对于网上交易戒心重重。此外,虚拟的网站使顾客只能通过网页的内容来了解公司而无法知晓公司的规模、诚信、产品和服务的实际状况,更无法确认网站承诺的安全保密条款会否得到不折不扣地执行,而且越是有名的安全技术性认证,越容易引起黑客的攻击兴趣。AICPA和CICA正是看到了这一新兴的市场,利用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场,使“网站认证”服务应运而生。
(二)准则内容
也许是受到计算机行业惯例的影响,AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式。其最新的3.0版准则与前期的2.0版和1.0版比较,有了很大的进步,将网站认证的范围扩大到了BtoB、ISP、CA等范围。3.0版准则提供给网站更多的认证选择,以满足其具体的需要。例如提供BtoC服务的网站会对“在线隐私”和“商业模式与交易完整”认证更感兴趣;提供BtoB服务的网站会对“安全”和“认可”认证更感兴趣。以下是3.0版准则的简要介绍:
1.在线隐私。2000年11月30日AICPA制定了“在线隐私”准则与规范3.0版:“网站应该充分地揭示其对在线商务隐私的运作程序,并遵守这些程序,保持对这些程序的有效控制,对在电子商务中产生的私人信息的安全提供合理的保证”。该准则适用于BtoC、ISP和ASP服务。
2.安全性。2001年1月1日,AICPA制定了“安全性”准则与规范3.0版:“网站应揭示、执行和保持其安全保护政策,并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
3.商业模式与交易信誉。2001年1月1日,AICPA制定了“商业模式与交易完整”准则与规范3.0版:“网站应揭示、执行和保持其既定的商业运作政策,并为商务运作完整、准确和一致的遵循其政策提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
4.有效性。2001年1月1日,AICPA制定了“有效性”准则与规范3.0版:“网站应揭示、执行和保持其既定的有效性政策,并为电子商务交易的有效性提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
除上述准则外,“网站认证”的其他准则与规范与以前旧版模式内容没有太大变化。
(三)发展现状
根据AICPA网站2001年5月的消息,目前共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务,其中包括香港会计师公会(HKSA)。但是,获得网站认证徽记的网站不足40家。台湾学者的相关研究认为,网站认证发展受阻的主要原因是:1.公众对注册会计师的网站认证鉴证服务还很不熟悉。2.网站认证的收费较高,对于很多网站来说不具成本效益。3.消费者是因为对网站感兴趣才进入该网站。4.注册会计师不善于进行网站认证营销。可见,网站认证还处于起步阶段,需要注册会计师们的大力推广,不断更新。
二、网站认证的特点
由于网络的虚拟特性,信息、证据的痕迹不能直接观察,网络技术环境更新迅速以及网站信誉鉴证有特殊目的等原因,使得这一鉴证服务有别于传统审计业务,具有许多新的特点。
(一)目标和审查重点。
网站认证不是以网站的财务状况、经营业绩为审查的中心目标,而是以网站的安全性、信息的管理保护等为审查对象,以评价这些内容是否符合有关准则与规范为目标进行的鉴证服务。这一目标的变化,直接导致了鉴证的各要素和鉴证方法的变化。因此,可以说网站认证是一种全新的审计概念。
我们认为,网站认证仍然是一种审计活动,而不是其他的管理咨询等非审计业务。美国会计学会(AAA)对审计的定义是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对这种结论有关的证据进行收集、评定,并将结果传达给利害关系人的有组织的过程。”可见,现代审计的概念早已经拓宽到管理审计、经济效益审计等多方面。“网站认证”作为现代审计的新分支,是网络经济的产物,是在注册会计师对网站进行审计时,结合客观现实的需要应运而生的。从审计的本质上讲,网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动是否符合有关规范所进行的评价与鉴证。
(二)审计职能
一般认为,审计具有监督、评价、鉴证职能。网站认证的评价职能是显而易见的,注册会计师对网站的营运方式分析、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性。虽然说评价的内容有所变化,但评价职能本身是没有改变的。网站认证的鉴证职能是其本身目标的直接体现,正是因为有了鉴证职能,网站浏览者和客户才会加强对网站的信任感,才能实现电子商务润滑剂的功能。“网站认证”由于是注册会计师接受网站本身的委托对其进行的审查活动,除对网站内部人员有一定监督作用外,监督职能因此并不突出。
(三)审计的主体、客体和对象
虽然网站认证依然是由注册会计师进行的,但是它对注册会计师提出了更高的要求。首先,注册会计师必须有特殊的专业执照才能进行这项业务,这不同于管理审计、管理咨询等业务。其次,注册会计师必须充分考虑是否需要其他专家的协助,而这往往是必不可少的,就犹如人寿保险审计,需要有精算师的配合与协助一样。最后,网站认证徽记是由Verisign网站提供和管理。所以网站认证审计的主体已经不再像传统审计那样单纯了。
网站认证的客体是网站。由于这一客体与传统的公司、组织有显著不同,因此“网站认证”审计也显得与众不同。网站公司往往实体业务很简单,更多更主要的经济活动是发生在虚拟的网络世界中,对这样的客体进行审计必须选择与之相适应的手段和方法。
网站认证的对象是网站的系统安全模式、网站的经济活动程序等等,这与传统的审计大不一样。
(四)审计风险
一方面,网站认证报告的对象是不确定的所有网站服务使用者,不局限于审计委托人;另一方面,网络的变化迅速,使用“网站认证”鉴证报告的浏览者得到的是根据以前信息做出的安全认证,这对于网络世界来说是明显滞后的。所以,注册会计师的风险很大,必须在认证报告中加入适当的说明,以明确责任。
(五)审计方法、手段和报告方式
综上所述,我们知道网站认证的目标、客体和对象与传统审计相比较有了很大变化,因此在审计手段和方法上也有相应的变化。
首先,网站认证的审计程序是:评价委托风险接受委托并获得管理当局声明书系统管理控制评价符合测试、实质测试完成审计工作,提出管理建议书,要求进行改进以达到标准出具报告,申请给与网站认证徽记每3个月进行复核测试。其中的最后一个步骤就是传统审计所没有的,是适应网络经济飞速发展的客观需要而采取的一项重要内容。而且,网站认证中管理当局声明书的内容较传统审计有很大不同,管理当局被要求对其管理网站的各项安全保密政策以及其他要求注册会计师审计的方面的政策和执行情况进行揭示与责任说明。网站认证中的管理当局声明书相当于传统审计中的会计报表加管理当局声明书,这与传统审计有所区别。
其次,许多审计测试都必须通过计算机进行,不存在绕过计算机审计的方法。例如,在进行客户登录是否有安全保护,是否只能进入授权级别的内容,交易是否是在安全模式下进行等测试只能在网络上进行,相关的审计证据也是以电子方式存在,这是网站认证审计的一大特点。
第三,网站认证的委托人(审计报告的对象)与传统的报表审计不同。一般来说,“网站认证”是由网站管理当局委托注册会计师进行的,审计报告的对象是网站的管理当局,这是与目前的网站认证报告的使用目的相关的。网站所有者并不需要网站认证来证明网站的安全,因为这只是经营者提高业绩而进行的努力,所以网站认证的委托人大都是网站的管理当局。
最后,网站认证的报告方式别具一格。网站认证报告是通过被审计网站主页上的一个超链接图标与Verisign网站的相关报告链接,浏览者点击该图标就可以看到注册会计师的审计报告。这种审计报告是网站通过了何种认证标准的报告,不存在传统概念下的保留意见、否定意见或拒绝表示意见报告。以下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例:
独立审计师报告
兴隆公司管理当局:
我们已经审查了贵公司2000年1月1日到2000年12月31日的管理声明书(链接到管理声明书),声明包括揭示了所有重要的电子商务安全政策,并遵循了这些政策,且对只有获得授权的人才能在上述安全政策下接近电子商务系统和数据保持了有效的控制。我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)。执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任。我们的责任是根据我们的审查发表审计意见。
我们的审计程序是按照美国注册会计师协会的标准执行的,这些审计程序包括:(1)获得和了解兴隆公司揭示的安全政策和相关安全控制程序,(2)测试这些安全政策的执行遵守情况,(3)测试和评价安全控制执行的有效性,(4)其它我们认为必要的审计程序。我们认为我们的审查为我们的审计意见提供了合理的基础。
我们认为,兴隆公司的上述管理声明书,依据美国注册会计师协会“网站认证”安全标准,在所有重要方面都进行了公允地表达。
由于控制内在的限制,一些错误和舞弊可能存在而没有被检查出来。并且,基于我们的发现而得出的结论,在未来的期间,存在这些结论不适用的风险,因为:(1)安全系统和控制可能改变,(2)执行环境的变化,(3)时间流逝带来的变化,(4)对安全政策和程序的遵循可能懈怠。
在兴隆公司网站上的网站认证徽记是本报告内容的一种符号表示,它不是对本报告的更新,也不代表任何更进一步的保证。
埃得华会计师事务所
弗内斯特·埃得华注册会计师
华盛顿特区
2001年2月1日
三、中国注册会计师应如何面对网站认证
网站认证审计在我国还是个新鲜的事物。如何发展我国注册会计师的网站认证业务呢?笔者认为,我国注册会计师行业的建设随着时间与经验的积累,水平在逐渐提高。但由于种种原因,社会大众对我们注册会计师这个行业的信任度还不是很高。这是我国注册会计师拓展网络鉴证服务市场的主要阻碍。要克服这些障碍,我们仍有许多方面的工作必须加以努力。具体来讲:
1.有必要建立一部管理电子商务的基本法。没有法律的保护,任何行业的自律,任何第三方的证明,都不能使消费者和客户真正的放心。如果消费者权益没有明确的法律保护,那么电子商务将是一件风险很高的商业行为,更何况是网站认证。
2.中国注册会计师协会应该为网站认证或网站审计制定标准,提供资格认证。每一个行业都有自身的特点,虽然我们没必要为每一个行业制定特殊的审计准则,但是对于个别重要或特殊的行业还是应该根据实际情况,进行相应的处理。我们完全可以参考金融保险企业审计那样,为网站认证或网站审计规定新的游戏规则。
供应商现场审计报告范文篇3
【关键词】内部审计;外包;操作环节
内部审计外包(outsourcingtheinternalauditfunction)是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。它有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。内部审计外包在给企业带来诸多好处的同时,也带来了风险。企业在实际操作内部审计外包时,应当把握好风险评估、外包商选择、外包合同审查和事后监督控制等主要环节。
一、评估风险
企业董事会和高级管理层应当负责了解与内部审计外包相关的风险,并确保有效的风险管理程序能充分到位。作为董事会职责的一部分,董事会应当就内部审计外包对企业战略目标和计划的支持情况、与外包商的关系管理情况进行评估。没有一个有效的风险评估阶段,内部审计外包就可能与企业的战略计划不一致,或带来不可预见的风险。
评估内部审计外包风险,一方面要通过感性认识和历史经验来判断,另一方面要通过对各种客观的统计、计划、总结等历史资料,以及本企业或其他企业的风险事故的记录进行分析、归纳和整理,并在必要时向专家咨询,从而发现外包可能出现的风险,为后期的风险控制提供对象。同时也要注意内部审计外包风险的评估是一项连续性和系统性的工作,随着企业内外各种环境和条件的变化,企业所面临的内部审计外包风险的大小和种类也有所不同,这就需要企业持续不断地去评估风险。
内部审计外包的风险评估应当考虑下列情形:企业的战略目的、目标和经营需要;评价和监督外包商的能力;内部审计业务对企业的重要性和外包的风险程度;对内部审计业务外包的明确要求;必要的控制和报告程序;外包商的义务;内部审计外包的应急计划;对内部审计外包协议的持续评估,以评价是否与企业战略目标一致;外包商的工作业绩是否符合监管要求和有关准则等。
二、选择外包商
选择好的外包商是内部审计外包成功实施的关键。如果企业对外包商的选择出现失误,将会对企业产生不同程度的负面影响。因此,企业一定要谨慎选择外包商。一个良好的外包商必须是内部控制完备、具备专业胜任能力和财务状况良好的公司。一般来说,企业在选择外包商时可以从以下几个方面考虑:
a.质量承诺。质量承诺是否达到企业的预期要求,是否能有效解决企业的问题,是选择外包商的首要因素。
b.收费标准。企业进行内部审计外包的一个主要原因是降低成本。内部审计外包是否一定会节约成本,因企业的具体情况而论,不能轻易做出主观判断。所以将内部审计业务进行外包前,进行综合性的成本分析是保证决策正确的客观要求,而外包商的收费标准就是其中的一个重要因素。
c.外包商的专业知识和技能。企业外包的一般是不占优势的内部审计工作,是为了弥补内部审计的缺陷而采取的行动。为达到这一目标应首选行业中居于领先地位的服务商,这也是质量承诺得以实现的基础。在外包商的专业知识和技能方面,企业应当考虑:评估外包商提供内部审计服务的经验和能力;评价外包商在未来预期的运作环境下提供内部审计服务的经验知识;必要的话,要进行现场督察,以更好地了解外包商是如何开展内部审计服务的。
d.外包商的市场地位及市场成熟度。考虑外包商在内部审计行业中的执业期限有多长、市场份额有多大,这关系到外包商提供服务被监管部门认可的程度,也可用以评价外包商承接内部审计业务的资质。
三、审查外包合同
选择好外包商之后,企业应该与外包商就有关事项签订外包合同。外包合同作为双方的主要约束条件,对外包合作的顺利开展有着至关重要的作用。一个有效的合同可以帮助企业甄别高效承包商,并在一定程度上避免道德风险问题,促使承包商努力完成外包业务。
内部审计外包合同应当考虑企业经营需求和在风险评估、选择外包商阶段被识别出的重要风险因素。合同应当采用书面形式,内容应当包括内部审计的服务范围、业绩标准、安全保密、控制措施、审计条款、报告制度、审计收费、争议解决。
a.服务范围:合同应当明确规定有关各方的权利和义务,包括外包商的任务和职责;外包商实施的风险分析和制定的计划必须事先得到企业高级管理层的批准。
b.业绩标准:业绩标准规定了外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。企业应当定期审查外包商的业绩标准,确保其内部审计服务与企业战略目标相一致。
c.安全保密:合同应当规定外包商保守执行业务过程中获知的商业秘密,以防止其泄露企业的商业机密而影响企业的竞争优势。
d.控制措施:企业应当考虑外包商的内部控制措施;遵循监管要求的合规性;外包商保持的有关记录;高级管理层及其代表、外部审计人员和监管当局有权在任何时候接触与外包商任务有关的记录,包括审计工作计划和工作报告。
e.审计条款:合同应当注明外包商提供的内部审计报告类型(如财务、内部控制和安全评估)。合同也应当注明内部审计次数、有关审计成本和企业获取内部审计结果的权利。
f.报告制度:合同条款应当规定企业收到的内部审计报告的时间、类型和次数。
g.审计收费:合同应当明确内部审计服务收费的计费依据、计费标准及付款方式与时间。
h.争议解决:企业应当在合同中订立一个争议解决规定,以解决未来可能出现的问题。
环境的变化会给企业的内部审计业务带来新的问题,企业管理当局在签订外包合同时应考虑合同是否具备足够的灵活性,所以企业与外包商之间也应当订立可以改变合同条款的协议,尤其是会预料到可能出现重大问题而需要扩大审计工作的时候。在签字之前,双方应当聘请法律顾问进行审查。
四、控制和监督
内部审计外包后,企业面对的不再是企业内部的审计人员,而是承包商,这样就增加了企业的运作风险。因此,对整个外包活动的控制和监督就显得额外重要,它直接关系到整个外包工作的成败,是整个外包工作的关键所在。对于外包过程的风险,如果企业不能很好地甄别并加以控制,那么企业不仅不能从外包中获益,还有可能面临难以估量的损失。特别是当企业将一项重要的内部审计业务外包出去的时候,就更需要对这些风险进行控制和监督。
企业可以不参与外包审计,但不能不控制审计过程。企业的内部审计工作无论是否外包,企业的董事会和最高管理层都应对确保内部控制体系、内部审计工作的适当性和有效性负最终的责任。部分外包内部审计业务的企业,应当考虑维持一支少量精干的内部审计队伍,并让具备资深和经验丰富的审计人员担任内部审计部门负责人。外包商协助内部审计人员确定要审查的风险,提出建议,实施经内部审计经理批准的审计程序,并与内部审计人员共同向董事会或其审计委员会报告其发现的问题。全部外包内部审计业务的企业,应保留一名内部审计部门负责人,对内部审计日程进行适当的安排和控制。
对外包过程的监督,主要是监督承包商的行为及结果,企业可以从以下几个方面着手:
a.监督外包商的运作状况
审查审计报告和获取的监管检查报告,评价外包商控制措施的完备性;跟踪检查审计报告所指明的任何缺陷;定期审查外包商与内部控制有关的政策;监督外包商在内部审计方面的人事变动;实施现场监督检查等。
b.评估外包商提供的内部审计服务质量
企业应当定期审查有关外包商业绩的报告,确定这些报告是否准确;及时追查内部审计发现的问题,评估外包商加强内部审计工作水准的计划;评价外包商支持和增强企业战略导向的能力等。
c.监督合同遵守情况
企业应当定期审查合同条款是否得到遵守,是否有必要根据企业需要对某些条款进行修改;保留与合同遵守、修改和争议解决相关的档案记录。
如果外包合同出现突然终止的情况,企业要有应急措施。假如在内部审计领域还有许多可待选择的外包商,应急措施应当对某个候选外包商进行详细的调查。假如新外包商需要过一段时间才能开展工作,企业就必须考虑临时增加其自身的内部审计能力。
内部审计外包合同完成后,企业要对本轮外包进行评估和总结,及时地解决本轮外包中遗留的各种问题,如解决合同争议、进行事后的补救工作等,为下一轮外包的开展做好准备工作。
【参考文献】
[1]吴秋生,冯婷.当前内部审计工作需要转变的观念[j].中国审计,2008(11).
