某公司在coso模式下的评估

StrugglingtoincorporatetheCOSOrecommendationsintoyourauditprocess?

Here’soneauditshop’swinningstrategy.12/26/202211992年，COSO委员会发布了一份关于内部控制的蓝本报告，内部控制——整合框架，也被简称为COSO，它为建立内部控制制度并评价其有效性提供了一个合理的基础。随着报告的出版，Boeing部分地采用了COSO的建议作为其内部控制政策与程序的基础。Asaresult，我们的内审部门开始在每次审计中对内部控制的质量进行打分排序（rate）。我们很快发现将这些标准植入实际业务中困难重重。然而提供资料的时候,我们的评分大部分带有主观色彩,一般在报告中缺乏系统分析和文件记录的支持。为了达到质量更高的结果，我们重组了（reengineered）现有的审计模式（methodology）—从开始，到现场工作，到最终报告—以适应COSO的框架。功夫不负有心人。我们的审计不再是偶然与随意，COSO给我们的审计工作提供了基础。12/26/20222Theapproach我们将COSO整合入审计的过程与IIA的一篇研究基础报告中-“内部审计师在管理层关于内部控制的报告中的作用”描述的很相似。这篇研究中建议，审计结果应当按照COSO框架进行归类，这些信息可以被董事会和公司高管在最高（top-level）报告中利用。我们的方法就基于这些概念，将COSO的标准融入各个审计阶段的流程。12/26/20223根据COSO，内部控制应确保以下三个目标（1）经营的效率和效果；（2）精确的财务报告；和（3）法律和规定的遵循。报告还列出了有效控制系统的五个关键因素：12/26/20224控制环境，它通过提供基础性的原则与构架建立了内部控制的基础。风险评估，它包括管理层-而不是内审师-对实现组织既定目标过程中对相关风险的识别和分析。控制活动，确保组织管理目标实现和风险平抑（riskmitigation）战略被执行的政策、程序和实务操作。信息与沟通，通过与员工沟通控制责任以及用保证人们履行其责任的表格和时间表（formandtimeframe）提供信息，为其它（四个）要素提供支持。监控，它包括对管理当局内部控制的外部考察和过程之外的其他利益方，或独立方法的应用（applicationofindependentmethodologies），如由员工在过程内定制的程序及标准清单（likecustomizedproceduresorstandardchecklists,byemployeeswithinaprocess.）12/26/20225我们运用这些要素来定义要审计的控制目标，评价Boeing控制系统的各个组成部分，并向管理层汇报结果。按照这种方式在我们的审计过程中增加结构将COSO整合其内，确保每次审计的关键阶段对正确标准的深思熟虑，并留下审计轨迹以支持所形成的结论。12/26/20226定义目标流程重组中的一个关键方面是，在每次审计中我们都集中于COSO的一个单一目标，而不是许多目标。在与管理层的沟通中，每个审计师都要确定恰当的COSO目标-经营、财务报告以及遵循。在制定审计计划时就要把这些确定下来，记录在工作底稿中，形成正式文件。集中于一个审计目标使我们能够更明确审计焦点、提高效率。如果需要确立另一个目标，则又是新一次审计的开始。12/26/20227如果指导审计调查和现场工作之后，必须偏离预定的目标，则建议的调整必须进行审核并被审计管理层通过。工作底稿也必须进行修正，并对进行调整的合理性做出描述。根据实务经验，审计方案完成之后通常都不会偏离最初制定的COSO目标。12/26/20228大多数审计方案都有一个就所要审查的职责和流程的较容易辨别的清晰的目标。例如，“采购流程”（programshopscheduling）显而易见应该归入“经营目标”的类别。但也有一些审计的目标就不是那么的明显。一个验收“Receivinginspection”审计就既不是一个经营目标，又不是一个遵循目标，这取决于要检查的管理层控制的类型。同样，如“车间的成本归集”的审计可能集中于经营或财务报告，它取决于要评价的控制。对于那些个别难以辨别COSO目标的审计方案，审计人员有责任识别本次审计主要侧重于哪个方面，在下面的指引的基础上确定一个恰当的目标。12/26/20229COSO基础审计的获益效果测试COSO所有五个控制要素，为确定控制保证的程度提供一个坚实的基础。效率集中于一个COSO目标类别，严谨提防“越界”（“scopecreep”）。可比较性

使用一个能够在不同业务部门之间的控制进行比较的审计框架和评分系统。沟通

整合COSO标准时，应与客户进行讨论以增强他们对控制概念的理解。审计委员会按照COSO框架进行报告有助于描绘内部控制系统的优势和弱点。12/26/202210经营经营目标集中中于管理的效效率和效果。。效果包括对对具体的管理理目标实现进进行控制的质质量，而效率率则包括对如如何以最适宜宜的资源转换换为更多的产产出的度量进进行控制的质质量。对于一一次经营审计计，组织应该该能够确定其其能否合理确确信不存在重重要方面的无无效率或被审审的组织与过过程中的无效效果。因为波音处于于一个高管制制（highlyregulated）的行行业，所以每每次经营审计计都容易被看看成为一次遵遵循审计，但但是，除非为为对法律和规规定的遵循情情况而对整个个控制系统进进行审计，就就不能提供一一个综合评价价。这样的系系统包括与管管理机构的关关系，Boeing内部部政策和程序序，促进遵循循的人员分配配，以及监控控遵循效果的的方法。只有有审计遵循程程序的各个方方面，才能对对确保遵循法法律法规的内内部控制的整整体有效性进进行汇报。同时，经营审审计中附带发发现的非遵循循性内部程序序必须与管理理层进行沟通通。审计师应应特别注意控控制评价表中中附带发现的的那些潜在的的违例事项。。12/24/202211RATINGCRITERIAFORCOSO-BASEDAUDITS12/24/202212财务报报告财务报报告的的目标标在哪哪里，，我们们就把把审计计的重重点放放在确确保外外部报报告财财务数数据可可靠性性的管管理控控制的的充分分与有有效上上。对对这些些控制制的审审计应应提供供合理理的确确信在在检查查过的的数据据中没没有重重大的的错报报。追追踪审审计控控制和和财务务数据据到财财务报报告就就表示示审计计的目目标是是财务务报告告。检查用用于估估计合合同履履行成成本的的假设设和方方法时时的审审计也也有财财务报报告目目标。。同样样，对对管理理生成成财务务报表表的会会计控控制的的审计计也应应为财财务报报告目目标。。尽管管也有有例外外情况况，许许多财财务职职责审审计集集中于于财务务报告告目标标，审审计范范围一一般反反应了了他们们的审审计目目标。。12/24/202213最初很很难确确定，，比如如，应应付会会计的的审计计目标标究竟竟属于于经营营还是是财务务报告告的范范畴，，这取取决于于要审审计的的管理理控制制的种种类。。同样样，““costscreeningforgovernmentallowability””的审审计隐隐含了了三个个目标标：过过程的的效率率和效效果-经营营；遵遵守了了FAR（（联邦邦政府府采购购法规规）的的要求求-遵遵循；；以及及成本本归集集与处处理的的可靠靠性-财务务报告告。选选择目目标是是一项项重要要的职职业判判断，，它取取决于于要检检查的的管理理控制制的性性质和和主要要特征征。12/24/202214遵循基于遵遵循的的审计计主要要集中中于保保证对对外部部法律律与规规定遵遵守的的管理理控制制的充充分与与有效效。该该类审审计应应主要要关注注公司司的程程序和和实务务与法法律的的相互互关系系。我我们经经常广广泛地地征求求公司司法律律顾问问的意意见-这便便是一一个明明证，，审计计应有有遵循循性的的目标标。对公司司是否否遵循循了FCPA（（ForeignCorruptPracticesAct））而进进行的的审计计是遵遵循目目标审审计的的最好好例证证。这类审审计的的例子子还包包括，，对FAR”成成本披披露””、FAR”非非正常常定价价”及及联邦邦航空空管理理局““unapprovedparts”遵遵循情情况的的管理理控制制的审审计等等。12/24/202215评价控制要要素根据COSO，在对对整个内部部控制的设设计和效果果提交报告告之前必须须对每个控控制要素进进行评价。。因此，我我们对流程程进行了重重组，以在在所有的审审计中每个个要素都能能覆盖到。。在定义每个个控制要素素时，COSO确定定了七个控控制因素，，我们把这这些因素作作为标准对对控制效果果进行打分分。在整个个过程中，，审计师都都必须考虑虑每一个因因素，评价价控制的效效果时，必必须设计恰恰当的问卷卷和测试。。通过表述述每一个控控制要素和和因素，我我们一直致致力于审计计中确保最最大的连贯贯性，使审审计的效果果达到最大大化。12/24/202216为了易于理理解与应用用标准，控控制要素的的评价只能能是满意的的或不满意意。我们考考虑“二者者必选一””的评分构构架，在个个别情况下下，审计师师在被审计计的内部控控制系统之之外偶然发发现一个值值得报告的的情况，附附带的“满满意-不满满意”的观观察可能被被记录。12/24/202217评分必须与与预先制定定的标准相相一致，以以可靠的审审计证据为为基础，并并记录在工工作底稿中中。如果控控制能够提提供合理确确信管理目目标能够达达到，就给给一个“满满意的”打打分，如果果控制不能能提供这样样的合理确确信，就视视为不满意意。在打分分时，审计计师的职业业判断起着着重要的作作用，对于于不满意的的情况，应应提出合理理的建议。。为了支持持审计师对对控制的评评价打分，，我们提供供了对每项项控制要素素进行声明明（address）的指引引。12/24/202218TheBoeingControlEvaluationForm12/24/202219控制环境。。为易于分分析，该因因素的控制制因子被分分成硬控制制与软控制制。在波音音，硬控制制包括组织织结构、权权利与责任任的分配、、人力资源源政策与实实务。在绝绝大多数审审计中，所所有这三个个都是传统统相关的领领域。每项项的审计证证据都很容容易得到。。软件控制包包括职业道道德，胜任任能力，管管理风格等等。这种控控制传统审审计上被忽忽视，因为为这样审计计的文件证证据很难获获得和进行行测试。12/24/202220如果在被审审计的范围围内有任何何一个硬控控制不能有有效地运行行，将被授授予不满意意的等级评评价。另一一方面，合合理的行为为被假定为为软控制，，在不合理理行为被发发现的情况况下，将会会得到一个个不利的审审计结论。。除非有直直接的证据据表明软控控制是正确确而又适当当的，否则则不能将其其评为满意意的评价等等级。只要要发现不道道德、不称称职、不当当管理行为为的事例，，审计人员员就应考虑虑给予不满满意的评价价等极。审审计人员对对（有效））软控制提提供保证的的程度远远远低于通常常的汇报。。随着对软软控制测试试技术的提提高，评价价标准可以以进行修改改，对（汇汇报）提供供为积极的的保证。12/24/202221根据coso的的风险评评估，有有效风险险评估要要求：重新定义义目标目标的兼兼容性达到目标标的风险险识别关键风险险的判断断确定减少少风险的的措施12/24/202222如果缺少少任何一一个因素素，通常常会给予予不满意意的等级级评价。。而且，，应该设设计审计计调查测测试来判判断是否否存在管管理层非非预期关关键风险险。如果果这种风风险被识识别出存存在并被被认为是是关键的的，应提提出一个个不满意意的评价价等级并并单独报报告，即即使以上上列出的的五个因因素都存存在。12/24/202223控制活动动：无论论是何种种审计类类型或被被正被稽稽核的控控制活动动的本质质，都必必须在审审计工作作底稿中中对明确确的控制制活动和和相关的的控制目目标形成成记录。。被审计计的一般般控制活活动包括括：财务———填制流流程，授授权，记记录保存存，管理理部门审审查，保保证资产产分类数数据，防防止金融融欺诈和和侵吞资资产。信息系统统——总总体，硬硬件以及及应用，，以确保保系统运运作的可可靠性，，数据输输出的准准确性，，设备和和档案的的保护措措施。业务操作作——指指示性的的、预防防性的、、侦察性性的控制制，集中中于对资资源的利利用效率率以及明明确的控控制目标标能够达达到的可可度量程程度。12/24/202224如果关键控制制活动没有执执行或没有完完成指定的目目标，在这种种情况下，这这个控制组成成部分一般会会给与一个不不满意的评价价等级。或者者说，必须有有关键的控制制活动提供合合理保证业务务正常运作，，按照预期达达到控制目标标。如果控制制活动上反映映出管理层的的风险缓解战战略缺失或不不充分，仅此此一项即可招招致不满意的的评分。12/24/202225信息和沟通coso提到到几个关于信信息和沟通的的控制因素，，我们期望我我们的审计人人员在评价时时取最小值：：识别、收集、、沟通已审计计范围内的公公认标准。员工认识到其其控制责任关关系到整个体体系处理客户，供供应商，员工工关注，投诉诉，纠纷的机机制和处理机机制应及时。。如果以上这些些因素不能有有效运作，将将给与不满意意的等级评价价。12/24/202226监管管理层制定的的控制评价程程序，在一定定的时间检测测决定内部控控制系统的质质量。日常流流程中的一些些独立表格是是必要，以保保证对有效的的控制形成监监管。因此，，我们并不把把流程中管理理层的日常业业绩评价视为为一项监管，，相反，我们们把它视为一一项控制活动动。监管包括管理理层的内部监监管和流程外外其他组织的的外部监管。。它可能包括括一些独立方方法的运用，，例如，制定定的流程和核核查清单的标标准。如果管管理层未建立立内部控制系系统的监测程程序，不论是是独立形式评评估还是持续续的监测，将将不会得到一一个满意的评评分等级。12/24/202227COSO-BASEDREPORTINGWecommunicateourauditassessmentstomanagementusingaCOSO-basedcontrolevaluationformthatwedeveloped.Thisform,whichisshownonpage64,providesmanagementwithasnapshotofhowtheauditedareastacksupagainsttheCOSOcontrolrequirements.Theratingsforeachcontrolcomponentareshown,aswellasanoverallsummaryrating,whichdetermineswhetherthereisreasonableassurancethatmanagement’sobjectiveswillbeachieved.Wealsonotetherationaleforanyunsatisfactoryratingsgiven.Thecontrolevaluationformiscompletedpriortotheauditexitconferenceandreviewedwithotherauditorsandauditmanagement.Theseinterimreviewsdeterminewhethersufficientbasisexistsfortheratingsassigned.Auditorsareencouragedtodiscusstheratingswiththeauditcustomer—eitherdirectly,usingthecontrolevaluationform,orindirectlyduringreviewanddiscussionoftheauditfindings.Thesediscussionsaremosteffectivewhenwespeakintermsof"ourcontrolframework"andavoiduseofthe"COSO"acronym.Thecontrolevaluationformisfinalizedastheauditreportisprepared,andacompletedformistransmittedtothegeneralauditorattheendofeachproject.Controlratingsaresummarizedatgroupandcompanysegmentlevels,formingabasisforreportingonthestatusofinternalcontrolstoseniormanagementandtheauditcommittee.Dataistrackedtodetermineunsatisfactorycontroltrends,aswellasareasofauditrisktoaddressinplanningfutureauditprojects.Forexample,ifunsatisfactoryratingsconsistentlyappearinthemonitoringcontrolcomponent,thenadditionalauditemphasisandmanagementvisibilitymaybegiventoself-reviews,controlself-assessment,andsimilarongoingmonitoringtechniques.Allcontrolevaluationsaresummarizedsemi-annuallyandpresented,withappropriateexplanation,totheauditcommitteeaspartofthecompany’sinternalcontrolsystemsassessment.12/24/202228THEROADTOSUCCESSAlthoughourCOSOimplementationhasultimatelybeensuccessful,wedidencounterafewhurdles.Weimplementedtheprocessincrementally,startingwithdevelopmentandtestingofthecontrolevaluationform.ThisearlierversionoftheformcombinedCOSOcontrolcomponentswithinternalcontrolobjectivesfromTheIIA’’sStandardsfortheProfessionalPracticeofInternalAuditing.AnimmediateproblemdevelopedwhenauditorswereconfusedbyvariationsinterminologybetweenCOSOandtheStandards.12/24/202229Inaddition,therewaslimitedunderstandingoftheCOSOframeworkamongauditstaff,andnocriteriaregardingcontrolratingswereprovidedtoensureconsistency.Compoundingtheproblem,twosignificantmergersinvolvingBoeing,Rockwell,andMcDonnellDouglasconsolidatedthreeauditstaffswithdifferentperspectivesonperforminginternalaudits.Ofevengreaterconcernwasthefactthatmanyauditorsfailedtoseeanyrealbenefitinratinginternalcontrols—aperceptionnotwithoutmeritgiventhelackofguidanceandconfusionoverterminology.12/24/202230Theseproblemswereovercomethroughaconsensus-buildingprocesscombiningemployeeinvolvement,managementdirection,detailedwrittenguidance,workshoptraining,andfollow-upverification.Trainingworkshopswereheldtoeducateauditstaffinthenature,purpose,anduseofCOSO.Revisionstoourauditmethodologywerepresentedattheseworkshopstoensureconsistentapplication.COSO-basedratingcriteriaalsowereprovidedtoguideauditorsinreportinginternalcontrolconditions.Toensuregoalcongruence,anewinternalcontrolpolicyandprocedurewereissued,standardizingCOSOapplicationthroughoutthecompanyandemphasizingmanagement’’sresponsibilityforimplementation.12/24/202231Inaddition,seniormanagementsupportwascrucial.Withoutthisbacking,manytypicalbarrierstochangewouldhaveblockedCOSOimplementation.Suchsupportincluded:MemorandafromourgeneralauditorcommunicatingtheneedtoadopttheCOSOframeworkasthebasisforreportingandtrackingtheconditionofcompany-wideinternalcontrols.SeniormanagementassistanceandactiveparticipationatourCOSOworkshoptrainingsessions,conveyingsupportfortheCOSOmodelandtheneedforemployeebuy-in.Auditdirectoruseofcontrolevaluationmetricstoprepareassessmentsofthecontrolenvironment.ProjectmanagementsupportoftheCOSOguidance,includingcheckstoensureproperapplicationofCOSOcriteriaintheauditprocess.12/24/202232Onebenefitofthisefforthasbeenimprovedrepor