审计的宇宙
审计计划过程始于对所有可能审计领域的企业范围模型的开发。众所周知,审计领域包括主要的组织单元、过程、系统和组织的控制结构。这个模型永远不会完成,但对于确保所有主要领域都得到考虑至关重要。
审核本
审计箱是可以/应该在某个时间点执行的审计的集合。它们是从基于风险、机会、常识和管理要求的审计领域中提取出来的。
内部审计例行分析以下内容,以开发宇宙和审计库:
- 全面的年度财务报告、预算等重要文件
- 表的组织
- 工程的项目仪表板和前25个项目
- 战略计划,关键计划和精益价值流评估
- IT路线图和项目跟踪器
内部审计还采取以下措施:
- 获取主管和高层领导的意见
- 参考主要行业公认的治理模型,包括Treadway委员会的赞助组织委员会(COSO)和信息和相关技术控制目标(COBIT)。
- 会见水务专员委员会
主要风险框架
在丹佛水务审计计划的制定中,内部审计使用了丹佛水务各部门开发的关键风险框架。每个部门,作为企业风险管理过程的一部分,保持对其最高操作风险的理解。此外,内部审计还会与各水务专员进行面谈,了解他们的担忧和风险,然后将其纳入风险评估。有了一个关键的风险框架,内部审计可以根据组织的具体情况评估风险。
风险评估
审计库中的每一项都基于六个标准进行风险评估。的标准是:
- 金融风险
- 复杂性
- 业务接触
- 改变
- 管理要求
- 声誉风险
(注:有更完整的定义。)
利用风险评估的结果,将审计库从最高风险到最低风险进行排序。然后,将前40个潜在审计区域提取到一个可行的集合中。审计是从前40名中选择的,以符合覆盖目标。
覆盖目标
一个有效的审核计划应该涵盖足够广泛的组织控制环境的观点,以支持全企业的审核意见。因此,在计划中包含有效的审计领域组合是很重要的。确保使用组织覆盖目标完成广泛的覆盖。这些覆盖目标帮助内部审计避免在组织的任何一个领域花费太多时间。
在计划审计
将覆盖范围目标应用到前40个审计领域的集合中,就会产生审计计划中的一组审计。该计划代表了一系列审计,包括内部审计小组打算每年完成的若干备选审计。该计划由首席执行官审查,并在每年秋季由水专员委员会批准。然而,首席内部审计员有广泛的自由裁量权来修订计划并就变动向董事会提出建议。
该计划不包括任何可能由道德热线或其他来源推动的调查工作,但它预计一些工作人员的时间将用于这些目的。
调度
规划过程的最后一步是同意每个审计业务与主题领域的时间安排,并创建一个可行的审计时间表。确定每个审计的确切范围是一个迭代和探索的过程,涉及与主题领域的管理的实质性讨论。