某公司在coso模式下的評(píng)估課件

StrugglingtoincorporatetheCOSOrecommendationsintoyourauditprocess?

Here’soneauditshop’swinningstrategy.12/26/2022112/26/2022Strugglingtoincorporatethe1992年，COSO委員會(huì)發(fā)布了一份關(guān)于內(nèi)部控制的藍(lán)本報(bào)告，內(nèi)部控制——整合框架，也被簡(jiǎn)稱為COSO，它為建立內(nèi)部控制制度并評(píng)價(jià)其有效性提供了一個(gè)合理的基礎(chǔ)。隨著報(bào)告的出版，Boeing部分地采用了COSO的建議作為其內(nèi)部控制政策與程序的基礎(chǔ)。Asaresult，我們的內(nèi)審部門開始在每次審計(jì)中對(duì)內(nèi)部控制的質(zhì)量進(jìn)行打分排序（rate）。我們很快發(fā)現(xiàn)將這些標(biāo)準(zhǔn)植入實(shí)際業(yè)務(wù)中困難重重。然而提供資料的時(shí)候,我們的評(píng)分大部分帶有主觀色彩,一般在報(bào)告中缺乏系統(tǒng)分析和文件記錄的支持。為了達(dá)到質(zhì)量更高的結(jié)果，我們重組了（reengineered）現(xiàn)有的審計(jì)模式（methodology）—從開始，到現(xiàn)場(chǎng)工作，到最終報(bào)告—以適應(yīng)COSO的框架。功夫不負(fù)有心人。我們的審計(jì)不再是偶然與隨意，COSO給我們的審計(jì)工作提供了基礎(chǔ)。12/26/2022212/26/20221992年，COSO委員會(huì)發(fā)布了一份關(guān)于內(nèi)部控制的藍(lán)本報(bào)告，Theapproach我們將COSO整合入審計(jì)的過程與IIA的一篇研究基礎(chǔ)報(bào)告中-“內(nèi)部審計(jì)師在管理層關(guān)于內(nèi)部控制的報(bào)告中的作用”描述的很相似。這篇研究中建議，審計(jì)結(jié)果應(yīng)當(dāng)按照COSO框架進(jìn)行歸類，這些信息可以被董事會(huì)和公司高管在最高（top-level）報(bào)告中利用。我們的方法就基于這些概念，將COSO的標(biāo)準(zhǔn)融入各個(gè)審計(jì)階段的流程。12/26/2022312/26/2022Theapproach我們將COSO整合入審計(jì)的過程與II根據(jù)COSO，內(nèi)部控制應(yīng)確保以下三個(gè)目標(biāo)（1）經(jīng)營的效率和效果；（2）精確的財(cái)務(wù)報(bào)告；和（3）法律和規(guī)定的遵循。報(bào)告還列出了有效控制系統(tǒng)的五個(gè)關(guān)鍵因素：12/26/2022412/26/2022根據(jù)COSO，內(nèi)部控制應(yīng)確保以下三個(gè)目標(biāo)（1）經(jīng)營的效率和效控制環(huán)境，它通過提供基礎(chǔ)性的原則與構(gòu)架建立了內(nèi)部控制的基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估，它包括管理層-而不是內(nèi)審師-對(duì)實(shí)現(xiàn)組織既定目標(biāo)過程中對(duì)相關(guān)風(fēng)險(xiǎn)的識(shí)別和分析?？刂苹顒?dòng)，確保組織管理目標(biāo)實(shí)現(xiàn)和風(fēng)險(xiǎn)平抑（riskmitigation）戰(zhàn)略被執(zhí)行的政策、程序和實(shí)務(wù)操作。信息與溝通，通過與員工溝通控制責(zé)任以及用保證人們履行其責(zé)任的表格和時(shí)間表（formandtimeframe）提供信息，為其它（四個(gè)）要素提供支持。監(jiān)控，它包括對(duì)管理當(dāng)局內(nèi)部控制的外部考察和過程之外的其他利益方，或獨(dú)立方法的應(yīng)用（applicationofindependentmethodologies），如由員工在過程內(nèi)定制的程序及標(biāo)準(zhǔn)清單（likecustomizedproceduresorstandardchecklists,byemployeeswithinaprocess.）12/26/2022512/26/2022控制環(huán)境，它通過提供基礎(chǔ)性的原則與構(gòu)架建立了內(nèi)部控制的基礎(chǔ)。我們運(yùn)用這些要素來定義要審計(jì)的控制目標(biāo)，評(píng)價(jià)Boeing控制系統(tǒng)的各個(gè)組成部分，并向管理層匯報(bào)結(jié)果。按照這種方式在我們的審計(jì)過程中增加結(jié)構(gòu)將COSO整合其內(nèi)，確保每次審計(jì)的關(guān)鍵階段對(duì)正確標(biāo)準(zhǔn)的深思熟慮，并留下審計(jì)軌跡以支持所形成的結(jié)論。12/26/2022612/26/2022我們運(yùn)用這些要素來定義要審計(jì)的控制目標(biāo)，評(píng)價(jià)Boeing控制定義目標(biāo)流程重組中的一個(gè)關(guān)鍵方面是，在每次審計(jì)中我們都集中于COSO的一個(gè)單一目標(biāo)，而不是許多目標(biāo)。在與管理層的溝通中，每個(gè)審計(jì)師都要確定恰當(dāng)?shù)腃OSO目標(biāo)-經(jīng)營、財(cái)務(wù)報(bào)告以及遵循。在制定審計(jì)計(jì)劃時(shí)就要把這些確定下來，記錄在工作底稿中，形成正式文件。集中于一個(gè)審計(jì)目標(biāo)使我們能夠更明確審計(jì)焦點(diǎn)、提高效率。如果需要確立另一個(gè)目標(biāo)，則又是新一次審計(jì)的開始。12/26/2022712/26/2022定義目標(biāo)流程重組中的一個(gè)關(guān)鍵方面是，在每次審計(jì)中我們都集中于如果指導(dǎo)審計(jì)調(diào)查和現(xiàn)場(chǎng)工作之后，必須偏離預(yù)定的目標(biāo)，則建議的調(diào)整必須進(jìn)行審核并被審計(jì)管理層通過。工作底稿也必須進(jìn)行修正，并對(duì)進(jìn)行調(diào)整的合理性做出描述。根據(jù)實(shí)務(wù)經(jīng)驗(yàn)，審計(jì)方案完成之后通常都不會(huì)偏離最初制定的COSO目標(biāo)。12/26/2022812/26/2022如果指導(dǎo)審計(jì)調(diào)查和現(xiàn)場(chǎng)工作之后，必須偏離預(yù)定的目標(biāo)，則建議的大多數(shù)審計(jì)方案都有一個(gè)就所要審查的職責(zé)和流程的較容易辨別的清晰的目標(biāo)。例如，“采購流程”（programshopscheduling）顯而易見應(yīng)該歸入“經(jīng)營目標(biāo)”的類別。但也有一些審計(jì)的目標(biāo)就不是那么的明顯。一個(gè)驗(yàn)收“Receivinginspection”審計(jì)就既不是一個(gè)經(jīng)營目標(biāo)，又不是一個(gè)遵循目標(biāo)，這取決于要檢查的管理層控制的類型。同樣，如“車間的成本歸集”的審計(jì)可能集中于經(jīng)營或財(cái)務(wù)報(bào)告，它取決于要評(píng)價(jià)的控制。對(duì)于那些個(gè)別難以辨別COSO目標(biāo)的審計(jì)方案，審計(jì)人員有責(zé)任識(shí)別本次審計(jì)主要側(cè)重于哪個(gè)方面，在下面的指引的基礎(chǔ)上確定一個(gè)恰當(dāng)?shù)哪繕?biāo)。12/26/2022912/26/2022大多數(shù)審計(jì)方案都有一個(gè)就所要審查的職責(zé)和流程的較容易辨別的清COSO基礎(chǔ)審計(jì)的獲益效果測(cè)試COSO所有五個(gè)控制要素，為確定控制保證的程度提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)。效率集中于一個(gè)COSO目標(biāo)類別，嚴(yán)謹(jǐn)提防“越界”（“scopecreep”）?？杀容^性

使用一個(gè)能夠在不同業(yè)務(wù)部門之間的控制進(jìn)行比較的審計(jì)框架和評(píng)分系統(tǒng)。溝通

整合COSO標(biāo)準(zhǔn)時(shí)，應(yīng)與客戶進(jìn)行討論以增強(qiáng)他們對(duì)控制概念的理解。審計(jì)委員會(huì)按照COSO框架進(jìn)行報(bào)告有助于描繪內(nèi)部控制系統(tǒng)的優(yōu)勢(shì)和弱點(diǎn)。12/26/20221012/26/2022COSO基礎(chǔ)審計(jì)的獲益效果12/21/20221012/21經(jīng)營經(jīng)營目標(biāo)集中于管理的效率和效果。效果包括對(duì)具體的管理目標(biāo)實(shí)現(xiàn)進(jìn)行控制的質(zhì)量，而效率則包括對(duì)如何以最適宜的資源轉(zhuǎn)換為更多的產(chǎn)出的度量進(jìn)行控制的質(zhì)量。對(duì)于一次經(jīng)營審計(jì)，組織應(yīng)該能夠確定其能否合理確信不存在重要方面的無效率或被審的組織與過程中的無效果。因?yàn)椴ㄒ籼幱谝粋€(gè)高管制（highlyregulated）的行業(yè)，所以每次經(jīng)營審計(jì)都容易被看成為一次遵循審計(jì)，但是，除非為對(duì)法律和規(guī)定的遵循情況而對(duì)整個(gè)控制系統(tǒng)進(jìn)行審計(jì)，就不能提供一個(gè)綜合評(píng)價(jià)。這樣的系統(tǒng)包括與管理機(jī)構(gòu)的關(guān)系，Boeing內(nèi)部政策和程序，促進(jìn)遵循的人員分配，以及監(jiān)控遵循效果的方法。只有審計(jì)遵循程序的各個(gè)方面，才能對(duì)確保遵循法律法規(guī)的內(nèi)部控制的整體有效性進(jìn)行匯報(bào)。同時(shí)，經(jīng)營審計(jì)中附帶發(fā)現(xiàn)的非遵循性內(nèi)部程序必須與管理層進(jìn)行溝通。審計(jì)師應(yīng)特別注意控制評(píng)價(jià)表中附帶發(fā)現(xiàn)的那些潛在的違例事項(xiàng)。12/26/20221112/26/2022經(jīng)營經(jīng)營目標(biāo)集中于管理的效率和效果。效果包括對(duì)具體的管理目標(biāo)RATINGCRITERIAFORCOSO-BASEDAUDITS

12/26/20221212/26/2022RATINGCRITERIAFORCOSO-BASED財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告的目標(biāo)在哪里，我們就把審計(jì)的重點(diǎn)放在確保外部報(bào)告財(cái)務(wù)數(shù)據(jù)可靠性的管理控制的充分與有效上。對(duì)這些控制的審計(jì)應(yīng)提供合理的確信在檢查過的數(shù)據(jù)中沒有重大的錯(cuò)報(bào)。追蹤審計(jì)控制和財(cái)務(wù)數(shù)據(jù)到財(cái)務(wù)報(bào)告就表示審計(jì)的目標(biāo)是財(cái)務(wù)報(bào)告。檢查用于估計(jì)合同履行成本的假設(shè)和方法時(shí)的審計(jì)也有財(cái)務(wù)報(bào)告目標(biāo)。同樣，對(duì)管理生成財(cái)務(wù)報(bào)表的會(huì)計(jì)控制的審計(jì)也應(yīng)為財(cái)務(wù)報(bào)告目標(biāo)。盡管也有例外情況，許多財(cái)務(wù)職責(zé)審計(jì)集中于財(cái)務(wù)報(bào)告目標(biāo)，審計(jì)范圍一般反應(yīng)了他們的審計(jì)目標(biāo)。12/26/20221312/26/2022財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告的目標(biāo)在哪里，我們就把審計(jì)的重點(diǎn)放在確保外部最初很難確定，比如，應(yīng)付會(huì)計(jì)的審計(jì)目標(biāo)究竟屬于經(jīng)營還是財(cái)務(wù)報(bào)告的范疇，這取決于要審計(jì)的管理控制的種類。同樣，“costscreeningforgovernmentallowability”的審計(jì)隱含了三個(gè)目標(biāo)：過程的效率和效果-經(jīng)營；遵守了FAR（聯(lián)邦政府采購法規(guī)）的要求-遵循；以及成本歸集與處理的可靠性-財(cái)務(wù)報(bào)告。選擇目標(biāo)是一項(xiàng)重要的職業(yè)判斷，它取決于要檢查的管理控制的性質(zhì)和主要特征。12/26/20221412/26/2022最初很難確定，比如，應(yīng)付會(huì)計(jì)的審計(jì)目標(biāo)究竟屬于經(jīng)營還是財(cái)務(wù)報(bào)遵循基于遵循的審計(jì)主要集中于保證對(duì)外部法律與規(guī)定遵守的管理控制的充分與有效。該類審計(jì)應(yīng)主要關(guān)注公司的程序和實(shí)務(wù)與法律的相互關(guān)系。我們經(jīng)常廣泛地征求公司法律顧問的意見-這便是一個(gè)明證，審計(jì)應(yīng)有遵循性的目標(biāo)。對(duì)公司是否遵循了FCPA（ForeignCorruptPracticesAct）而進(jìn)行的審計(jì)是遵循目標(biāo)審計(jì)的最好例證。這類審計(jì)的例子還包括，對(duì)FAR”成本披露”、FAR”非正常定價(jià)”及聯(lián)邦航空管理局“unapprovedparts”遵循情況的管理控制的審計(jì)等。12/26/20221512/26/2022遵循基于遵循的審計(jì)主要集中于保證對(duì)外部法律與規(guī)定遵守的管理控評(píng)價(jià)控制要素根據(jù)COSO，在對(duì)整個(gè)內(nèi)部控制的設(shè)計(jì)和效果提交報(bào)告之前必須對(duì)每個(gè)控制要素進(jìn)行評(píng)價(jià)。因此，我們對(duì)流程進(jìn)行了重組，以在所有的審計(jì)中每個(gè)要素都能覆蓋到。在定義每個(gè)控制要素時(shí)，COSO確定了七個(gè)控制因素，我們把這些因素作為標(biāo)準(zhǔn)對(duì)控制效果進(jìn)行打分。在整個(gè)過程中，審計(jì)師都必須考慮每一個(gè)因素，評(píng)價(jià)控制的效果時(shí)，必須設(shè)計(jì)恰當(dāng)?shù)膯柧砗蜏y(cè)試。通過表述每一個(gè)控制要素和因素，我們一直致力于審計(jì)中確保最大的連貫性，使審計(jì)的效果達(dá)到最大化。12/26/20221612/26/2022評(píng)價(jià)控制要素根據(jù)COSO，在對(duì)整個(gè)內(nèi)部控制的設(shè)計(jì)和效果提交報(bào)為了易于理解與應(yīng)用標(biāo)準(zhǔn)，控制要素的評(píng)價(jià)只能是滿意的或不滿意。我們考慮“二者必選一”的評(píng)分構(gòu)架，在個(gè)別情況下，審計(jì)師在被審計(jì)的內(nèi)部控制系統(tǒng)之外偶然發(fā)現(xiàn)一個(gè)值得報(bào)告的情況，附帶的“滿意-不滿意”的觀察可能被記錄。12/26/20221712/26/2022為了易于理解與應(yīng)用標(biāo)準(zhǔn)，控制要素的評(píng)價(jià)只能是滿意的或不滿意。評(píng)分必須與預(yù)先制定的標(biāo)準(zhǔn)相一致，以可靠的審計(jì)證據(jù)為基礎(chǔ)，并記錄在工作底稿中。如果控制能夠提供合理確信管理目標(biāo)能夠達(dá)到，就給一個(gè)“滿意的”打分，如果控制不能提供這樣的合理確信，就視為不滿意。在打分時(shí)，審計(jì)師的職業(yè)判斷起著重要的作用，對(duì)于不滿意的情況，應(yīng)提出合理的建議。為了支持審計(jì)師對(duì)控制的評(píng)價(jià)打分，我們提供了對(duì)每項(xiàng)控制要素進(jìn)行聲明（address）的指引。12/26/20221812/26/2022評(píng)分必須與預(yù)先制定的標(biāo)準(zhǔn)相一致，以可靠的審計(jì)證據(jù)為基礎(chǔ)，并記TheBoeingControlEvaluationForm12/26/20221912/26/2022TheBoeingControlEvaluation控制環(huán)境。為易于分析，該因素的控制因子被分成硬控制與軟控制。在波音，硬控制包括組織結(jié)構(gòu)、權(quán)利與責(zé)任的分配、人力資源政策與實(shí)務(wù)。在絕大多數(shù)審計(jì)中，所有這三個(gè)都是傳統(tǒng)相關(guān)的領(lǐng)域。每項(xiàng)的審計(jì)證據(jù)都很容易得到。軟件控制包括職業(yè)道德，勝任能力，管理風(fēng)格等。這種控制傳統(tǒng)審計(jì)上被忽視，因?yàn)檫@樣審計(jì)的文件證據(jù)很難獲得和進(jìn)行測(cè)試。12/26/20222012/26/2022控制環(huán)境。為易于分析，該因素的控制因子被分成硬控制與軟控制。如果在被審計(jì)的范圍內(nèi)有任何一個(gè)硬控制不能有效地運(yùn)行，將被授予不滿意的等級(jí)評(píng)價(jià)。另一方面，合理的行為被假定為軟控制，在不合理行為被發(fā)現(xiàn)的情況下，將會(huì)得到一個(gè)不利的審計(jì)結(jié)論。除非有直接的證據(jù)表明軟控制是正確而又適當(dāng)?shù)?，否則不能將其評(píng)為滿意的評(píng)價(jià)等級(jí)。只要發(fā)現(xiàn)不道德、不稱職、不當(dāng)管理行為的事例，審計(jì)人員就應(yīng)考慮給予不滿意的評(píng)價(jià)等極。審計(jì)人員對(duì)（有效）軟控制提供保證的程度遠(yuǎn)遠(yuǎn)低于通常的匯報(bào)。隨著對(duì)軟控制測(cè)試技術(shù)的提高，評(píng)價(jià)標(biāo)準(zhǔn)可以進(jìn)行修改，對(duì)（匯報(bào)）提供為積極的保證。12/26/20222112/26/2022如果在被審計(jì)的范圍內(nèi)有任何一個(gè)硬控制不能有效地運(yùn)行，將被授予根據(jù)coso的風(fēng)險(xiǎn)評(píng)估，有效風(fēng)險(xiǎn)評(píng)估要求：重新定義目標(biāo)目標(biāo)的兼容性達(dá)到目標(biāo)的風(fēng)險(xiǎn)識(shí)別關(guān)鍵風(fēng)險(xiǎn)的判斷確定減少風(fēng)險(xiǎn)的措施12/26/20222212/26/2022根據(jù)coso的風(fēng)險(xiǎn)評(píng)估，有效風(fēng)險(xiǎn)評(píng)估要求：12/21/202如果缺少任何一個(gè)因素，通常會(huì)給予不滿意的等級(jí)評(píng)價(jià)。而且，應(yīng)該設(shè)計(jì)審計(jì)調(diào)查測(cè)試來判斷是否存在管理層非預(yù)期關(guān)鍵風(fēng)險(xiǎn)。如果這種風(fēng)險(xiǎn)被識(shí)別出存在并被認(rèn)為是關(guān)鍵的，應(yīng)提出一個(gè)不滿意的評(píng)價(jià)等級(jí)并單獨(dú)報(bào)告，即使以上列出的五個(gè)因素都存在。12/26/20222312/26/2022如果缺少任何一個(gè)因素，通常會(huì)給予不滿意的等級(jí)評(píng)價(jià)。而且，應(yīng)該控制活動(dòng)：無論是何種審計(jì)類型或被正被稽核的控制活動(dòng)的本質(zhì)，都必須在審計(jì)工作底稿中對(duì)明確的控制活動(dòng)和相關(guān)的控制目標(biāo)形成記錄。被審計(jì)的一般控制活動(dòng)包括：財(cái)務(wù)——填制流程，授權(quán)，記錄保存，管理部門審查，保證資產(chǎn)分類數(shù)據(jù)，防止金融欺詐和侵吞資產(chǎn)。信息系統(tǒng)——總體，硬件以及應(yīng)用，以確保系統(tǒng)運(yùn)作的可靠性，數(shù)據(jù)輸出的準(zhǔn)確性，設(shè)備和檔案的保護(hù)措施。業(yè)務(wù)操作——指示性的、預(yù)防性的、偵察性的控制，集中于對(duì)資源的利用效率以及明確的控制目標(biāo)能夠達(dá)到的可度量程度。12/26/20222412/26/2022控制活動(dòng)：無論是何種審計(jì)類型或被正被稽核的控制活動(dòng)的本質(zhì)，都如果關(guān)鍵控制活動(dòng)沒有執(zhí)行或沒有完成指定的目標(biāo)，在這種情況下，這個(gè)控制組成部分一般會(huì)給與一個(gè)不滿意的評(píng)價(jià)等級(jí)?；蛘哒f，必須有關(guān)鍵的控制活動(dòng)提供合理保證業(yè)務(wù)正常運(yùn)作，按照預(yù)期達(dá)到控制目標(biāo)。如果控制活動(dòng)上反映出管理層的風(fēng)險(xiǎn)緩解戰(zhàn)略缺失或不充分，僅此一項(xiàng)即可招致不滿意的評(píng)分。12/26/20222512/26/2022如果關(guān)鍵控制活動(dòng)沒有執(zhí)行或沒有完成指定的目標(biāo)，在這種情況下，信息和溝通coso提到幾個(gè)關(guān)于信息和溝通的控制因素，我們期望我們的審計(jì)人員在評(píng)價(jià)時(shí)取最小值：識(shí)別、收集、溝通已審計(jì)范圍內(nèi)的公認(rèn)標(biāo)準(zhǔn)。員工認(rèn)識(shí)到其控制責(zé)任關(guān)系到整個(gè)體系處理客戶，供應(yīng)商，員工關(guān)注，投訴，糾紛的機(jī)制和處理機(jī)制應(yīng)及時(shí)。如果以上這些因素不能有效運(yùn)作，將給與不滿意的等級(jí)評(píng)價(jià)。12/26/20222612/26/2022信息和溝通coso提到幾個(gè)關(guān)于信息和溝通的控制因素，我們期望監(jiān)管管理層制定的控制評(píng)價(jià)程序，在一定的時(shí)間檢測(cè)決定內(nèi)部控制系統(tǒng)的質(zhì)量。日常流程中的一些獨(dú)立表格是必要，以保證對(duì)有效的控制形成監(jiān)管。因此，我們并不把流程中管理層的日常業(yè)績(jī)?cè)u(píng)價(jià)視為一項(xiàng)監(jiān)管，相反，我們把它視為一項(xiàng)控制活動(dòng)。監(jiān)管包括管理層的內(nèi)部監(jiān)管和流程外其他組織的外部監(jiān)管。它可能包括一些獨(dú)立方法的運(yùn)用，例如，制定的流程和核查清單的標(biāo)準(zhǔn)。如果管理層未建立內(nèi)部控制系統(tǒng)的監(jiān)測(cè)程序，不論是獨(dú)立形式評(píng)估還是持續(xù)的監(jiān)測(cè)，將不會(huì)得到一個(gè)滿意的評(píng)分等級(jí)。12/26/20222712/26/2022監(jiān)管管理層制定的控制評(píng)價(jià)程序，在一定的時(shí)間檢測(cè)決定內(nèi)部控制系COSO-BASEDREPORTINGWecommunicateourauditassessmentstomanagementusingaCOSO-basedcontrolevaluationformthatwedeveloped.Thisform,whichisshownonpage64,providesmanagementwithasnapshotofhowtheauditedareastacksupagainsttheCOSOcontrolrequirements.Theratingsforeachcontrolcomponentareshown,aswellasanoverallsummaryrating,whichdetermineswhetherthereisreasonableassurancethatmanagement’sobjectiveswillbeachieved.Wealsonotetherationaleforanyunsatisfactoryratingsgiven.Thecontrolevaluationformiscompletedpriortotheauditexitconferenceandreviewedwithotherauditorsandauditmanagement.Theseinterimreviewsdeterminewhethersufficientbasisexistsfortheratingsassigned.Auditorsareencouragedtodiscusstheratingswiththeauditcustomer—eitherdirectly,usingthecontrolevaluationform,orindirectlyduringreviewanddiscussionoftheauditfindings.Thesediscussionsaremosteffectivewhenwespeakintermsof"ourcontrolframework"andavoiduseofthe"COSO"acronym.Thecontrolevaluationformisfinalizedastheauditreportisprepared,andacompletedformistransmittedtothegeneralauditorattheendofeachproject.Controlratingsaresummarizedatgroupandcompanysegmentlevels,formingabasisforreportingonthestatusofinternalcontrolstoseniormanagementandtheauditcommittee.Dataistrackedtodetermineunsatisfactorycontroltrends,aswellasareasofauditrisktoaddressinplanningfutureauditprojects.Forexample,ifunsatisfactoryratingsconsistentlyappearinthemonitoringcontrolcomponent,thenadditionalauditemphasisandmanagementvisibilitymaybegiventoself-reviews,controlself-assessment,andsimilarongoingmonitoringtechniques.Allcontrolevaluationsaresummarizedsemi-annuallyandpresented,withappropriateexplanation,totheauditcommitteeaspartofthecompany’sinternalcontrolsystemsassessment.12/26/20222812/26/2022COSO-BASEDREPORTINGWecommuniTHEROADTOSUCCESSAlthoughourCOSOimplementationhasultimatelybeensuccessful,wedidencounterafewhurdles.Weimplementedtheprocessincrementally,startingwithdevelopmentandtestingofthecontrolevaluationform.ThisearlierversionoftheformcombinedCOSOcontrolcomponentswithinternalcontrolobjectivesfromTheIIA’sStandardsfortheProfessionalPracticeofInternalAuditing.AnimmediateproblemdevelopedwhenauditorswereconfusedbyvariationsinterminologybetweenCOSOandtheStandards.12/26/20222912/26/2022THEROADTOSUCCESSAlthoughouInaddition,therewaslimitedunderstandingoftheCOSOframeworkamongauditstaff,andnocriteriaregardingcontrolratingswereprovidedtoensureconsistency.Compoundingtheproblem,twosignificantmergersinvolvingBoeing,Rockwell,andMcDonnellDouglasconsolidatedthreeauditstaffswithdifferentperspectivesonperforminginternalaudits.Ofevengreaterconcernwasthefactthatmanyauditorsfailedtoseeanyrealbenefitinratinginternalcontrols—aperceptionnotwithoutmeritgiventhelackofguidanceandconfusionoverterminology.12/26/20223012/26/2022Inaddition,therewaslimitedTheseproblemswereovercomethroughaconsensus-buildingprocesscombiningemployeeinvolvement,managementdirection,detailedwrittenguidance,workshoptraining,andfollow-upverification.Trainingworkshopswereheldtoeducateauditstaffinthenature,purpose,anduseofCOSO.Revisionstoourauditmethodologywerepresentedattheseworkshopstoensureconsistentapplication.COSO-basedratingcriteriaalsowereprovidedtoguideauditorsinreportinginternalcontrolconditions.Toensuregoalcongruence,anewinternalcontrolpolicyandprocedurewereissued,standardizingCOSOapplicationthroughoutthecompanyandemphasizingmanagement’sresponsibilityforimplementation.12/26/20223112/26/2022TheseproblemswereovercometInaddition,seniormanagementsupportwascrucial.Withoutthisbacking,manytypicalbarrierstochangewouldhaveblockedCOSOimplementation.Suchsupportincluded:MemorandafromourgeneralauditorcommunicatingtheneedtoadopttheCOSOframeworkasthebasisforreportingandtrackingtheconditionofcompany-wideinternalcontrols.SeniormanagementassistanceandactiveparticipationatourCOSOworkshoptrainingsessions,conveyingsupportfortheCOSOmodelandtheneedforemployeebuy-in.Auditdirectoruseofcontrolevaluationmetricstoprepareassessmentsofthecontrolenvironment.ProjectmanagementsupportoftheCOSOguidance,includingcheckstoensureproperapplicationofCOSOcriteriaintheauditprocess.12/26/20223212/26/2022Inaddition,seniormanagementOnebenefitofthisefforthasbeenimprovedreportingonthecompany’sinternalcontrolstatustoourauditcommittee.Sincewe’vereengineeredourauditprocesstoreflecttheCOSOprinciples,companydirectorsandseniorexecutivemanagementreceiveasnapshotofinternalcontroleffectivenessbasedonassessmentsderivedfromourCOSOratingsystem.AdaptingtheCOSOframeworktoourstandardauditprocesshasbeenbeneficialinotherways,aswell.Mostnotably,webelievethatconcentratingonasingleCOSOobjectiveduringeachauditwillultimatelyimprovetheefficiencyandeffectivenessofourprojects.Ourpolicy,whichrequiresthatallfiveCOSOcomponentsbecoveredinallaudits,hasalreadyimprovedtheeffectivenessofourauditworkincaseswherethesecomponentswerenotaddressedinprioraudits.12/26/20223312/26/2022OnebenefitofthisefforthasAnotherkeybenefithasbeentheprovisionofauniversalframeworkforinternalauditingatthenewBoeing.FocusingonCOSOhelpeddevelopaperspectiveofinternalcontrolconceptscommontotheauditorsofthethreerecentlycombinedcompanies.Thereliabilityandcomparabilityofourauditworkproduct,however,dependsoncontinuedadherencetotheprescribedmethodology,asinconsistentimplementationposesanongoingrisk.Peerreviewsandongoingmonitoringshouldhelptomitigatethispossibility.ThepathtoCOSO-basedauditingisnoteasilynavigated.Yetthoseshopswillingtomakethejourneywillberewardedbymorethoroughauditcoverageandimprovedmanagementreporting.12/26/20223412/26/2022Anotherkeybenefithasbeent12/26/20223512/26/202212/21/20223512/21/202212/26/20223612/26/202212/21/20223612/21/2022StrugglingtoincorporatetheCOSOrecommendationsintoyourauditprocess?

Here’soneauditshop’swinningstrategy.12/26/20223712/26/2022Strugglingtoincorporatethe1992年，COSO委員會(huì)發(fā)布了一份關(guān)于內(nèi)部控制的藍(lán)本報(bào)告，內(nèi)部控制——整合框架，也被簡(jiǎn)稱為COSO，它為建立內(nèi)部控制制度并評(píng)價(jià)其有效性提供了一個(gè)合理的基礎(chǔ)。隨著報(bào)告的出版，Boeing部分地采用了COSO的建議作為其內(nèi)部控制政策與程序的基礎(chǔ)。Asaresult，我們的內(nèi)審部門開始在每次審計(jì)中對(duì)內(nèi)部控制的質(zhì)量進(jìn)行打分排序（rate）。我們很快發(fā)現(xiàn)將這些標(biāo)準(zhǔn)植入實(shí)際業(yè)務(wù)中困難重重。然而提供資料的時(shí)候,我們的評(píng)分大部分帶有主觀色彩,一般在報(bào)告中缺乏系統(tǒng)分析和文件記錄的支持。為了達(dá)到質(zhì)量更高的結(jié)果，我們重組了（reengineered）現(xiàn)有的審計(jì)模式（methodology）—從開始，到現(xiàn)場(chǎng)工作，到最終報(bào)告—以適應(yīng)COSO的框架。功夫不負(fù)有心人。我們的審計(jì)不再是偶然與隨意，COSO給我們的審計(jì)工作提供了基礎(chǔ)。12/26/20223812/26/20221992年，COSO委員會(huì)發(fā)布了一份關(guān)于內(nèi)部控制的藍(lán)本報(bào)告，Theapproach我們將COSO整合入審計(jì)的過程與IIA的一篇研究基礎(chǔ)報(bào)告中-“內(nèi)部審計(jì)師在管理層關(guān)于內(nèi)部控制的報(bào)告中的作用”描述的很相似。這篇研究中建議，審計(jì)結(jié)果應(yīng)當(dāng)按照COSO框架進(jìn)行歸類，這些信息可以被董事會(huì)和公司高管在最高（top-level）報(bào)告中利用。我們的方法就基于這些概念，將COSO的標(biāo)準(zhǔn)融入各個(gè)審計(jì)階段的流程。12/26/20223912/26/2022Theapproach我們將COSO整合入審計(jì)的過程與II根據(jù)COSO，內(nèi)部控制應(yīng)確保以下三個(gè)目標(biāo)（1）經(jīng)營的效率和效果；（2）精確的財(cái)務(wù)報(bào)告；和（3）法律和規(guī)定的遵循。報(bào)告還列出了有效控制系統(tǒng)的五個(gè)關(guān)鍵因素：12/26/20224012/26/2022根據(jù)COSO，內(nèi)部控制應(yīng)確保以下三個(gè)目標(biāo)（1）經(jīng)營的效率和效控制環(huán)境，它通過提供基礎(chǔ)性的原則與構(gòu)架建立了內(nèi)部控制的基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估，它包括管理層-而不是內(nèi)審師-對(duì)實(shí)現(xiàn)組織既定目標(biāo)過程中對(duì)相關(guān)風(fēng)險(xiǎn)的識(shí)別和分析?？刂苹顒?dòng)，確保組織管理目標(biāo)實(shí)現(xiàn)和風(fēng)險(xiǎn)平抑（riskmitigation）戰(zhàn)略被執(zhí)行的政策、程序和實(shí)務(wù)操作。信息與溝通，通過與員工溝通控制責(zé)任以及用保證人們履行其責(zé)任的表格和時(shí)間表（formandtimeframe）提供信息，為其它（四個(gè)）要素提供支持。監(jiān)控，它包括對(duì)管理當(dāng)局內(nèi)部控制的外部考察和過程之外的其他利益方，或獨(dú)立方法的應(yīng)用（applicationofindependentmethodologies），如由員工在過程內(nèi)定制的程序及標(biāo)準(zhǔn)清單（likecustomizedproceduresorstandardchecklists,byemployeeswithinaprocess.）12/26/20224112/26/2022控制環(huán)境，它通過提供基礎(chǔ)性的原則與構(gòu)架建立了內(nèi)部控制的基礎(chǔ)。我們運(yùn)用這些要素來定義要審計(jì)的控制目標(biāo)，評(píng)價(jià)Boeing控制系統(tǒng)的各個(gè)組成部分，并向管理層匯報(bào)結(jié)果。按照這種方式在我們的審計(jì)過程中增加結(jié)構(gòu)將COSO整合其內(nèi)，確保每次審計(jì)的關(guān)鍵階段對(duì)正確標(biāo)準(zhǔn)的深思熟慮，并留下審計(jì)軌跡以支持所形成的結(jié)論。12/26/20224212/26/2022我們運(yùn)用這些要素來定義要審計(jì)的控制目標(biāo)，評(píng)價(jià)Boeing控制定義目標(biāo)流程重組中的一個(gè)關(guān)鍵方面是，在每次審計(jì)中我們都集中于COSO的一個(gè)單一目標(biāo)，而不是許多目標(biāo)。在與管理層的溝通中，每個(gè)審計(jì)師都要確定恰當(dāng)?shù)腃OSO目標(biāo)-經(jīng)營、財(cái)務(wù)報(bào)告以及遵循。在制定審計(jì)計(jì)劃時(shí)就要把這些確定下來，記錄在工作底稿中，形成正式文件。集中于一個(gè)審計(jì)目標(biāo)使我們能夠更明確審計(jì)焦點(diǎn)、提高效率。如果需要確立另一個(gè)目標(biāo)，則又是新一次審計(jì)的開始。12/26/20224312/26/2022定義目標(biāo)流程重組中的一個(gè)關(guān)鍵方面是，在每次審計(jì)中我們都集中于如果指導(dǎo)審計(jì)調(diào)查和現(xiàn)場(chǎng)工作之后，必須偏離預(yù)定的目標(biāo)，則建議的調(diào)整必須進(jìn)行審核并被審計(jì)管理層通過。工作底稿也必須進(jìn)行修正，并對(duì)進(jìn)行調(diào)整的合理性做出描述。根據(jù)實(shí)務(wù)經(jīng)驗(yàn)，審計(jì)方案完成之后通常都不會(huì)偏離最初制定的COSO目標(biāo)。12/26/20224412/26/2022如果指導(dǎo)審計(jì)調(diào)查和現(xiàn)場(chǎng)工作之后，必須偏離預(yù)定的目標(biāo)，則建議的大多數(shù)審計(jì)方案都有一個(gè)就所要審查的職責(zé)和流程的較容易辨別的清晰的目標(biāo)。例如，“采購流程”（programshopscheduling）顯而易見應(yīng)該歸入“經(jīng)營目標(biāo)”的類別。但也有一些審計(jì)的目標(biāo)就不是那么的明顯。一個(gè)驗(yàn)收“Receivinginspection”審計(jì)就既不是一個(gè)經(jīng)營目標(biāo)，又不是一個(gè)遵循目標(biāo)，這取決于要檢查的管理層控制的類型。同樣，如“車間的成本歸集”的審計(jì)可能集中于經(jīng)營或財(cái)務(wù)報(bào)告，它取決于要評(píng)價(jià)的控制。對(duì)于那些個(gè)別難以辨別COSO目標(biāo)的審計(jì)方案，審計(jì)人員有責(zé)任識(shí)別本次審計(jì)主要側(cè)重于哪個(gè)方面，在下面的指引的基礎(chǔ)上確定一個(gè)恰當(dāng)?shù)哪繕?biāo)。12/26/20224512/26/2022大多數(shù)審計(jì)方案都有一個(gè)就所要審查的職責(zé)和流程的較容易辨別的清COSO基礎(chǔ)審計(jì)的獲益效果測(cè)試COSO所有五個(gè)控制要素，為確定控制保證的程度提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)。效率集中于一個(gè)COSO目標(biāo)類別，嚴(yán)謹(jǐn)提防“越界”（“scopecreep”）?？杀容^性

使用一個(gè)能夠在不同業(yè)務(wù)部門之間的控制進(jìn)行比較的審計(jì)框架和評(píng)分系統(tǒng)。溝通

整合COSO標(biāo)準(zhǔn)時(shí)，應(yīng)與客戶進(jìn)行討論以增強(qiáng)他們對(duì)控制概念的理解。審計(jì)委員會(huì)按照COSO框架進(jìn)行報(bào)告有助于描繪內(nèi)部控制系統(tǒng)的優(yōu)勢(shì)和弱點(diǎn)。12/26/20224612/26/2022COSO基礎(chǔ)審計(jì)的獲益效果12/21/20221012/21經(jīng)營經(jīng)營目標(biāo)集中于管理的效率和效果。效果包括對(duì)具體的管理目標(biāo)實(shí)現(xiàn)進(jìn)行控制的質(zhì)量，而效率則包括對(duì)如何以最適宜的資源轉(zhuǎn)換為更多的產(chǎn)出的度量進(jìn)行控制的質(zhì)量。對(duì)于一次經(jīng)營審計(jì)，組織應(yīng)該能夠確定其能否合理確信不存在重要方面的無效率或被審的組織與過程中的無效果。因?yàn)椴ㄒ籼幱谝粋€(gè)高管制（highlyregulated）的行業(yè)，所以每次經(jīng)營審計(jì)都容易被看成為一次遵循審計(jì)，但是，除非為對(duì)法律和規(guī)定的遵循情況而對(duì)整個(gè)控制系統(tǒng)進(jìn)行審計(jì)，就不能提供一個(gè)綜合評(píng)價(jià)。這樣的系統(tǒng)包括與管理機(jī)構(gòu)的關(guān)系，Boeing內(nèi)部政策和程序，促進(jìn)遵循的人員分配，以及監(jiān)控遵循效果的方法。只有審計(jì)遵循程序的各個(gè)方面，才能對(duì)確保遵循法律法規(guī)的內(nèi)部控制的整體有效性進(jìn)行匯報(bào)。同時(shí)，經(jīng)營審計(jì)中附帶發(fā)現(xiàn)的非遵循性內(nèi)部程序必須與管理層進(jìn)行溝通。審計(jì)師應(yīng)特別注意控制評(píng)價(jià)表中附帶發(fā)現(xiàn)的那些潛在的違例事項(xiàng)。12/26/20224712/26/2022經(jīng)營經(jīng)營目標(biāo)集中于管理的效率和效果。效果包括對(duì)具體的管理目標(biāo)RATINGCRITERIAFORCOSO-BASEDAUDITS

12/26/20224812/26/2022RATINGCRITERIAFORCOSO-BASED財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告的目標(biāo)在哪里，我們就把審計(jì)的重點(diǎn)放在確保外部報(bào)告財(cái)務(wù)數(shù)據(jù)可靠性的管理控制的充分與有效上。對(duì)這些控制的審計(jì)應(yīng)提供合理的確信在檢查過的數(shù)據(jù)中沒有重大的錯(cuò)報(bào)。追蹤審計(jì)控制和財(cái)務(wù)數(shù)據(jù)到財(cái)務(wù)報(bào)告就表示審計(jì)的目標(biāo)是財(cái)務(wù)報(bào)告。檢查用于估計(jì)合同履行成本的假設(shè)和方法時(shí)的審計(jì)也有財(cái)務(wù)報(bào)告目標(biāo)。同樣，對(duì)管理生成財(cái)務(wù)報(bào)表的會(huì)計(jì)控制的審計(jì)也應(yīng)為財(cái)務(wù)報(bào)告目標(biāo)。盡管也有例外情況，許多財(cái)務(wù)職責(zé)審計(jì)集中于財(cái)務(wù)報(bào)告目標(biāo)，審計(jì)范圍一般反應(yīng)了他們的審計(jì)目標(biāo)。12/26/20224912/26/2022財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告的目標(biāo)在哪里，我們就把審計(jì)的重點(diǎn)放在確保外部最初很難確定，比如，應(yīng)付會(huì)計(jì)的審計(jì)目標(biāo)究竟屬于經(jīng)營還是財(cái)務(wù)報(bào)告的范疇，這取決于要審計(jì)的管理控制的種類。同樣，“costscreeningforgovernmentallowability”的審計(jì)隱含了三個(gè)目標(biāo)：過程的效率和效果-經(jīng)營；遵守了FAR（聯(lián)邦政府采購法規(guī)）的要求-遵循；以及成本歸集與處理的可靠性-財(cái)務(wù)報(bào)告。選擇目標(biāo)是一項(xiàng)重要的職業(yè)判斷，它取決于要檢查的管理控制的性質(zhì)和主要特征。12/26/20225012/26/2022最初很難確定，比如，應(yīng)付會(huì)計(jì)的審計(jì)目標(biāo)究竟屬于經(jīng)營還是財(cái)務(wù)報(bào)遵循基于遵循的審計(jì)主要集中于保證對(duì)外部法律與規(guī)定遵守的管理控制的充分與有效。該類審計(jì)應(yīng)主要關(guān)注公司的程序和實(shí)務(wù)與法律的相互關(guān)系。我們經(jīng)常廣泛地征求公司法律顧問的意見-這便是一個(gè)明證，審計(jì)應(yīng)有遵循性的目標(biāo)。對(duì)公司是否遵循了FCPA（ForeignCorruptPracticesAct）而進(jìn)行的審計(jì)是遵循目標(biāo)審計(jì)的最好例證。這類審計(jì)的例子還包括，對(duì)FAR”成本披露”、FAR”非正常定價(jià)”及聯(lián)邦航空管理局“unapprovedparts”遵循情況的管理控制的審計(jì)等。12/26/20225112/26/2022遵循基于遵循的審計(jì)主要集中于保證對(duì)外部法律與規(guī)定遵守的管理控評(píng)價(jià)控制要素根據(jù)COSO，在對(duì)整個(gè)內(nèi)部控制的設(shè)計(jì)和效果提交報(bào)告之前必須對(duì)每個(gè)控制要素進(jìn)行評(píng)價(jià)。因此，我們對(duì)流程進(jìn)行了重組，以在所有的審計(jì)中每個(gè)要素都能覆蓋到。在定義每個(gè)控制要素時(shí)，COSO確定了七個(gè)控制因素，我們把這些因素作為標(biāo)準(zhǔn)對(duì)控制效果進(jìn)行打分。在整個(gè)過程中，審計(jì)師都必須考慮每一個(gè)因素，評(píng)價(jià)控制的效果時(shí)，必須設(shè)計(jì)恰當(dāng)?shù)膯柧砗蜏y(cè)試。通過表述每一個(gè)控制要素和因素，我們一直致力于審計(jì)中確保最大的連貫性，使審計(jì)的效果達(dá)到最大化。12/26/20225212/26/2022評(píng)價(jià)控制要素根據(jù)COSO，在對(duì)整個(gè)內(nèi)部控制的設(shè)計(jì)和效果提交報(bào)為了易于理解與應(yīng)用標(biāo)準(zhǔn)，控制要素的評(píng)價(jià)只能是滿意的或不滿意。我們考慮“二者必選一”的評(píng)分構(gòu)架，在個(gè)別情況下，審計(jì)師在被審計(jì)的內(nèi)部控制系統(tǒng)之外偶然發(fā)現(xiàn)一個(gè)值得報(bào)告的情況，附帶的“滿意-不滿意”的觀察可能被記錄。12/26/20225312/26/2022為了易于理解與應(yīng)用標(biāo)準(zhǔn)，控制要素的評(píng)價(jià)只能是滿意的或不滿意。評(píng)分必須與預(yù)先制定的標(biāo)準(zhǔn)相一致，以可靠的審計(jì)證據(jù)為基礎(chǔ)，并記錄在工作底稿中。如果控制能夠提供合理確信管理目標(biāo)能夠達(dá)到，就給一個(gè)“滿意的”打分，如果控制不能提供這樣的合理確信，就視為不滿意。在打分時(shí)，審計(jì)師的職業(yè)判斷起著重要的作用，對(duì)于不滿意的情況，應(yīng)提出合理的建議。為了支持審計(jì)師對(duì)控制的評(píng)價(jià)打分，我們提供了對(duì)每項(xiàng)控制要素進(jìn)行聲明（address）的指引。12/26/20225412/26/2022評(píng)分必須與預(yù)先制定的標(biāo)準(zhǔn)相一致，以可靠的審計(jì)證據(jù)為基礎(chǔ)，并記TheBoeingControlEvaluationForm12/26/20225512/26/2022TheBoeingControlEvaluation控制環(huán)境。為易于分析，該因素的控制因子被分成硬控制與軟控制。在波音，硬控制包括組織結(jié)構(gòu)、權(quán)利與責(zé)任的分配、人力資源政策與實(shí)務(wù)。在絕大多數(shù)審計(jì)中，所有這三個(gè)都是傳統(tǒng)相關(guān)的領(lǐng)域。每項(xiàng)的審計(jì)證據(jù)都很容易得到。軟件控制包括職業(yè)道德，勝任能力，管理風(fēng)格等。這種控制傳統(tǒng)審計(jì)上被忽視，因?yàn)檫@樣審計(jì)的文件證據(jù)很難獲得和進(jìn)行測(cè)試。12/26/20225612/26/2022控制環(huán)境。為易于分析，該因素的控制因子被分成硬控制與軟控制。如果在被審計(jì)的范圍內(nèi)有任何一個(gè)硬控制不能有效地運(yùn)行，將被授予不滿意的等級(jí)評(píng)價(jià)。另一方面，合理的行為被假定為軟控制，在不合理行為被發(fā)現(xiàn)的情況下，將會(huì)得到一個(gè)不利的審計(jì)結(jié)論。除非有直接的證據(jù)表明軟控制是正確而又適當(dāng)?shù)?，否則不能將其評(píng)為滿意的評(píng)價(jià)等級(jí)。只要發(fā)現(xiàn)不道德、不稱職、不當(dāng)管理行為的事例，審計(jì)人員就應(yīng)考慮給予不滿意的評(píng)價(jià)等極。審計(jì)人員對(duì)（有效）軟控制提供保證的程度遠(yuǎn)遠(yuǎn)低于通常的匯報(bào)。隨著對(duì)軟控制測(cè)試技術(shù)的提高，評(píng)價(jià)標(biāo)準(zhǔn)可以進(jìn)行修改，對(duì)（匯報(bào)）提供為積極的保證。12/26/20225712/26/2022如果在被審計(jì)的范圍內(nèi)有任何一個(gè)硬控制不能有效地運(yùn)行，將被授予根據(jù)coso的風(fēng)險(xiǎn)評(píng)估，有效風(fēng)險(xiǎn)評(píng)估要求：重新定義目標(biāo)目標(biāo)的兼容性達(dá)到目標(biāo)的風(fēng)險(xiǎn)識(shí)別關(guān)鍵風(fēng)險(xiǎn)的判斷確定減少風(fēng)險(xiǎn)的措施12/26/20225812/26/2022根據(jù)coso的風(fēng)險(xiǎn)評(píng)估，有效風(fēng)險(xiǎn)評(píng)估要求：12/21/202如果缺少任何一個(gè)因素，通常會(huì)給予不滿意的等級(jí)評(píng)價(jià)。而且，應(yīng)該設(shè)計(jì)審計(jì)調(diào)查測(cè)試來判斷是否存在管理層非預(yù)期關(guān)鍵風(fēng)險(xiǎn)。如果這種風(fēng)險(xiǎn)被識(shí)別出存在并被認(rèn)為是關(guān)鍵的，應(yīng)提出一個(gè)不滿意的評(píng)價(jià)等級(jí)并單獨(dú)報(bào)告，即使以上列出的五個(gè)因素都存在。12/26/20225912/26/2022如果缺少任何一個(gè)因素，通常會(huì)給予不滿意的等級(jí)評(píng)價(jià)。而且，應(yīng)該控制活動(dòng)：無論是何種審計(jì)類型或被正被稽核的控制活動(dòng)的本質(zhì)，都必須在審計(jì)工作底稿中對(duì)明確的控制活動(dòng)和相關(guān)的控制目標(biāo)形成記錄。被審計(jì)的一般控制活動(dòng)包括：財(cái)務(wù)——填制流程，授權(quán)，記錄保存，管理部門審查，保證資產(chǎn)分類數(shù)據(jù)，防止金融欺詐和侵吞資產(chǎn)。信息系統(tǒng)——總體，硬件以及應(yīng)用，以確保系統(tǒng)運(yùn)作的可靠性，數(shù)據(jù)輸出的準(zhǔn)確性，設(shè)備和檔案的保護(hù)措施。業(yè)務(wù)操作——指示性的、預(yù)防性的、偵察性的控制，集中于對(duì)資源的利用效率以及明確的控制目標(biāo)能夠達(dá)到的可度量程度。12/26/20226012/26/2022控制活動(dòng)：無論是何種審計(jì)類型或被正被稽核的控制活動(dòng)的本質(zhì)，都如果關(guān)鍵控制活動(dòng)沒有執(zhí)行或沒有完成指定的目標(biāo)，在這種情況下，這個(gè)控制組成部分一般會(huì)給與一個(gè)不滿意的評(píng)價(jià)等級(jí)?；蛘哒f，必須有關(guān)鍵的控制活動(dòng)提供合理保證業(yè)務(wù)正常運(yùn)作，按照預(yù)期達(dá)到控制目標(biāo)。如果控制活動(dòng)上反映出管理層的風(fēng)險(xiǎn)緩解戰(zhàn)略缺失或不充分，僅此一項(xiàng)即可招致不滿意的評(píng)分。12/26/20226112/26/2022如果關(guān)鍵控制活動(dòng)沒有執(zhí)行或沒有完成指定的目標(biāo)，在這種情況下，信息和溝通coso提到幾個(gè)關(guān)于信息和溝通的控制因素，我們期望我們的審計(jì)人員在評(píng)價(jià)時(shí)取最小值：識(shí)別、收集、溝通已審計(jì)范圍內(nèi)的公認(rèn)標(biāo)準(zhǔn)。員工認(rèn)識(shí)到其控制責(zé)任關(guān)系到整個(gè)體系處理客戶，供應(yīng)商，員工關(guān)注，投訴，糾紛的機(jī)制和處理機(jī)制應(yīng)及時(shí)。如果以上這些因素不能有效運(yùn)作，將給與不滿意的等級(jí)評(píng)價(jià)。12/26/20226212/26/2022信息和溝通coso提到幾個(gè)關(guān)于信息和溝通的控制因素，我們期望監(jiān)管管理層制定的控制評(píng)價(jià)程序，在一定的時(shí)間檢測(cè)決定內(nèi)部控制系統(tǒng)的質(zhì)量。日常流程中的一些獨(dú)立表格是必要，以保證對(duì)有效的控制形成監(jiān)管。因此，我們并不把流程中管理層的日常業(yè)績(jī)?cè)u(píng)價(jià)視為一項(xiàng)監(jiān)管，相反，我們把它視為一項(xiàng)控制活動(dòng)。監(jiān)管包括管理層的內(nèi)部監(jiān)管和流程外其他組織的外部監(jiān)管。它可能包括一些獨(dú)立方法的運(yùn)用，例如，制定的流程和核查清單的標(biāo)準(zhǔn)。如果管理層未建立內(nèi)部控制系統(tǒng)的監(jiān)測(cè)程序，不論是獨(dú)立形式評(píng)估還是持續(xù)的監(jiān)測(cè)，將不會(huì)得到一個(gè)滿意的評(píng)分等級(jí)。12/26/20226312/26/2022監(jiān)管管理層制定的控制評(píng)價(jià)程序，在一定的時(shí)間檢測(cè)決定內(nèi)部控制系COSO-BASEDREPORTINGWecommunicateourauditassessmentstomanagementusingaCOSO-basedcontrolevaluationformthatwedeveloped.Thisform,whichisshownonpage64,providesmanagementwithasnapshotofhowtheauditedareastacksupagainsttheCOSOcontrolrequirements.Theratingsforeachcontrolcomponentareshown,aswellasanoverallsummaryrating,whichdetermineswhetherthereisreasonableassurancethatmanagement’sobjectiveswillbeachieved.Wealsonotetherationaleforanyunsatisfactoryratingsgiven.Thecontrolevaluationformiscompletedpriortotheauditexitconferenceandreviewedwithotherauditorsandauditmanagement.Theseinterimreviewsdeterminewhethersufficientbasisexistsfortheratingsassigned.Auditorsareencouragedtodiscusstheratingswiththeauditcustomer—eitherdirectly,usingthecontrolevaluationform,orindirectlyduringreviewanddiscussionoftheauditfindings.Thesediscussionsaremosteffectivewhenwespeakintermsof"ourcontrolframework"andavoiduseofthe"COSO"acronym.Thecontrolevaluationformisfinalizedastheauditreportisprepared,andacompletedformistransmittedtothegeneralauditorattheendofeachproject.Controlratingsaresummarizedatgroupandcompanysegmentlevels,formingabasisforreportingonthestatusofinternalcontrolstoseniormanagementandtheauditcommittee.Dataistrackedtodetermineunsatisfactorycontroltrends,aswellasareasofauditrisktoaddressinplanningfutureauditprojects.Forexample,ifunsatisfactoryratingsconsistentlyappearinthemonitoringcontrolcomponent,thenadditionalauditemphasisandmanagementvisibilitymaybegiventoself-reviews,controlself-assessment,andsimilarongoingmonitoringtechniques.Allcontrolevaluationsaresummarizedsemi-annuallyandpresented,withappropriateexplanation,totheauditcommitteeaspartofthecompany’sinternalcontrolsystemsassessment.12/26/20226412/26/2022COSO-BASEDREPORTINGWecommuniTHEROADTOSUCCESSAlthoughourCOSOimplementationhasultimatelybeensuccessful,wedidencounterafewhurdles.Weimplementedtheprocessincrementally,startingwithdevelopmentandtestingofthecontrolevaluationform.ThisearlierversionoftheformcombinedCOSOcontrolcomponentswithinternalcontrolobjectivesfromTheIIA’sStandardsfortheProfessionalPracticeofInternalAuditing.AnimmediateproblemdevelopedwhenauditorswereconfusedbyvariationsinterminologybetweenCOSOandtheStandards.12/26/20226512/26/2022THEROADTOSUCCESSAlthoughouInaddition,therewaslimitedunderstandingoftheCOSOframeworkamongauditstaff,andnocriteriaregardingcontrolratingswereprovidedtoensureconsistency.Compoundingtheproblem,twosignificantmergersinvolvingBoeing,Rockwell,andMcDonnellDouglasconsolidatedthreeauditstaffswithdifferentperspectivesonperforminginternalaudits.Ofevengreaterconcernwasthefactthatmanyauditorsfailedtoseeanyrealbenefitinratinginternalcontrols—aperceptionnotwithoutmeritgiventhelackofguidanceandconfusionoverterminology.12/26/20226612/26/2022Inaddition,therewaslimitedTheseproblemswereovercomethroughaconsensus-buildingprocesscombiningemployeeinvolvement,managementdirection,detailedwrittenguidance,workshoptraining,andfollow-upverification.Trainingworkshopswereheldtoeducateauditstaffinthenature,purpose,anduseofCOSO.Revisionstoourauditmethodologywerepresentedattheseworkshopstoensureconsistentapplication.COSO-basedratingcriteriaalsowereprovidedtoguideauditorsinreportinginternalcontrolconditions.Toensuregoalcongruence,anewinternalcontrolpolicyandprocedurewereissued,standardizingCOSOapplicationthroughoutthecompanyandemphasizingmanagement’sresponsibilityforimplementation.