審計部門應該在風險評估結果的基礎上,評價覆蓋公司治理、運營及資訊系統等內容的控制程式的充分性和有效性,並將評價結果向相關人員進行報告。
(1)評價的內容和範圍:控制系統的充分性,即控制系統能否適當保證機構的任務和目標有效地完成,這裡要考慮成本效益問題;控制系統的有效性,即是否能取得預期效果,是否達到了預期的控制目標。預期的控制目標包括:財務和運營資訊可靠和完整;運營工作高效率、有成效;資產得到保護;機構遵守了相關的法律、規定和合同;
(2)評價的`標準:如果本組織制定的標準適用,應予採用。如果本組織沒有制定標準,或者不適用,應向管理層報告,建議採用行業標準、專業組織標準、協會標準、法律和政府標準。如果管理目標和標準模糊,審計師應尋求權威性解釋。衡量控制框架的標準應與被審單位達成一致意見;
(3)評價的程式:制定審計計劃時,將控制過程列入檢查和評價範圍;開展審計工作,收集充分證據。與管理人員一起進行控制自我評價也是收集證據的一種好途徑。對控制過程的單項進行評價,在對運營性管理者的單項評價基礎上進行彙總,作出對戰略性管理者的總體評價,也即是整個控制框架的總體效果。總體評價從範圍來講就是評價組織內部各種控制系統和所有的活動。從目的來講就是要評價控制系統能否適當保證組織目標的完成。在總體評價之後審計師應當考慮三個關鍵問題:是否發現了漏洞或薄弱環節;發現之後是否進行了改進;是否可以得出組織存在無法接受的普遍的風險。作出評價結論和控制過程評價報告。根據發現的風險水平和對組織目標的影響,用三種形式發表審計意見:否定式,即經過審計沒有發現控制系統存在普遍的嚴重薄弱環節;保留意見,即審計發現存在控制系統漏洞或薄弱環節,但整體上不至於控制失效;否定意見,即控制系統有重大漏洞或嚴重的薄弱環節,控制系統整體上作用很小甚至失效。評價報告要做到簡明易懂、資訊量大、有建設性意見;
(4)評價結果報告的接收物件:高階管理層和審計委員會。
根據《薩班斯一奧克斯利法案》第302條的規定,上市公司的執行長和首席財務官必須在報送給美國證券交易委員會的公司季報、年報上,書面宣告:
1)已經稽核了上述報告;
2)基於其瞭解,上述報告不包含對於重大事實的不真實陳述或遺漏,並且,對於報告中包括的財務報表和其他財務資訊在所有重要方面的表達都是公允的;
3)尤其是,這些負責簽字的人員對於建立和維護資訊披露控制和流程負有直接責任,親自設計和評估了這些資訊披露控制和流程,並在報告中表明瞭對於這些資訊披露控制和流程有效性的結論;
4)已向外部審計師和審計委員會披露了內部控制的設計和執行過程中影響公司的報表編制的重大缺陷、涉及管理層或對內部控制存在重大影響的員工的欺詐行為,以及在評估之後內部控制的重大變化。
為此,內部審計師可以提供以下增值服務:參與資訊披露控制和流程的初始設計,加入資訊披露委員會,協調外部審計師和管理層的行動,獨立地評價資訊披露控制和流程。內部審計師應當確保本組織具備正式的政策和書面記載的流程來管理財務報告以及相關法規監管機構要求的資訊披露。CAE應當促進資訊披露委員會的組建,併成為其一員。內部審計師應當定期審查和評估有關財務報告的資訊披露控制和流程、資訊披露委員會的活動及其相關檔案,並向管理層和審計委員會提供總體運營和遵循政策和流程情況的評估。
