Bästa praxis för att etablera en internrevisionsfunktion

Etablering av en internrevisionsfunktion

Triggers för inrättandet av en internrevisionsfunktion (IAF) inkluderar ett ökat behov av att identifiera möjligheter till förbättring av affärsprocesser och att öka tillförlitligheten av mildrande kontroller mot strategiska, affärsmässiga och andra framväxande risker. En etablerad IAF säkerställer efterlevnad av regulatoriska krav och ledande praxis för bolagsstyrning. Vidare ökar en IAF styrelsens förtroende för effektiviteten i affärsprocesser och kontroller.

Översikt över IAF:s skapandeprocess

Organisationens mognad

Medan man utvecklar en IAF, chefsrevisionschefen ( CAE) tar hänsyn till organisationens övergripande mognad. CAE bedömer den operativa designen, affärsprocesserna, tekniska framstegen, kontrollmiljön och mognad hos andra garantileverantörer (dvs. eventuella andra försvarslinjer) inom organisationen. Denna bedömning hjälper till att anpassa IA-resurserna och den strategiska planen till den övergripande organisationsstrategin, teknologier, budgetar, externa konsulter och potentiella konsultuppdrag i framtiden.

Natur och struktur

En IAF:s avdelningsstruktur varierar med organisationsformen och verksamhetens art . Till exempel kommer en bank med ett utbrett nätverk av kontor och regioner sannolikt att ha ett separat internrevisionsteam för individuella kontorsrevisioner. Ett naturgasföretag kan ha ett dedikerat team av ingenjörer för att utföra tekniska revisioner.

Reglementeringskrav

IAF:s struktur påverkas av lokala regulatoriska krav, särskilt för mer noggrant övervakade sektorer som bank och finans. Till exempel kan ett lands centralbank kräva att alla IAF:er i företag inom scope årligen granskar en viss procent av förskottsportföljen, vilket kan påverka den årliga planeringen, resursallokeringen och avdelningsstrukturen för deras IAF.

Implementeringsfaser

Utveckla styrningsramverk

CAE:s första steg är att utveckla ett ramverk för styrning som vägleder internrevisionsverksamhet. Styrningsramverket kommer att definiera IAF:s mandat, positionering inom organisationen, befogenheter, ansvar och arten av allt arbete som IAF kan utföra. Utveckling av ramverk för styrning involverar följande:

Förstå organisationen

CAE skaffar sig affärsförståelse genom att analysera organisationen och få feedback från den högsta ledningen relaterad till dess strategiska inriktning, framväxande risker och förväntade förändringar i affärsverksamheten. Denna analys och feedback hjälper CAE under utformningen av IAF Charter och Internal Audit Strategy.

Förstå styrelsens revisionskommittés roll

IA-teamet granskar styrelsens revisionskommittés (BAC) referensvillkor (TOR) och intervjuar BAC-medlemmar och ledande befattningshavare för att förstå BAC:s nuvarande roll.

IAF-stadgan

Stadgan är det kritiska styrdokumentet som definierar IAF:s mandat. Under utvecklingen av IAF-stadgan granskar CAE BAC-stadgan och samlar in synpunkter från BAC-medlemmarna för att identifiera syftet, uppdraget och övergripande målen för IAF-funktionen och anpassar dem till dem som finns i BAC-stadgan.

Stadgan bör definiera IAF:s syfte, befogenhet, ansvar, typ av tjänster och rapporteringsprotokoll. Helst godkänner styrelsen stadgan och den sprids över hela organisationen för att säkerställa att ledningen förstår mandatet.

Internrevisionsstrategi

Internrevisionsstrategin (strategin) tjänar till att anpassa IAF:s tillvägagångssätt med organisatoriska mål. Strategin fångar IA:s uppdrag och vision och anpassar IAF till organisationens strategiska plan, intressenternas förväntningar och potentiella tekniska framsteg som krävs av IAF under de kommande åren.

Operativa rutiner

Internrevisionsfunktionens roll är en oberoende, objektiv bestyrkandefunktion, som tillför värde och förbättra verksamheten i organisationen. Därför är det väsentligt att upprätta ett operativt ramverk för att vägleda internrevisionsfunktionens dagliga verksamhet.

Stadgan, BAC TORer och diskussioner med ledande befattningshavare utgör alla grunden för att utveckla internrevisionens operativa rutiner. Rutinerna täcker taktiska riktlinjer relaterade till olika internrevisionsfaser, inklusive riskbedömningsmetodik, årlig revisionsplanering, en inputmekanism för intressenter, engagemangsplanering, uppdragsövervakning, urvalsmetodik, revisionsrapportering, rapportering till BAC och kvalitetssäkringsmekanismen.

Den verksamhetsmanual kan tillhandahålla standardiserade mallar som används när internrevisionen utförs. Manualen kan innehålla mallar och riktlinjer för följande:

Engagemangsplan

En förlovningsplan inkluderar:

Engagemangsomfång

Engagemangsmål

Resursfördelning

Tidslinjer för varje fas av engagemanget

Identifiering av viktiga risker och kontroller

Planeringsfrågeformulär

Engagemangsteam kan använda planeringsfrågeformulär för att fånga upp nya risker, förändringar i affärsprocesser, ändringar av regulatoriska krav och input från den relevanta processägaren innan uppdraget påbörjas.

Preliminär riskbedömning

Utöver årlig riskbedömning (se nedan) utför IAF riskbedömning på engagemangsnivå för att identifiera förändringar i riskprofilen och nya risker till följd av förändringar i affärsverksamheten. IAF reviderar ytterligare kartläggningen av risk och kontroll för att återspegla eventuella identifierade skillnader.

Revisionsprogram

Ett revisionsprogram beskriver viktiga teststrategier och procedursteg för att utvärdera kontrolldesign och funktionseffektivitet för de kontroller som identifierats under den preliminära riskbedömningen. Testrutiner kopplar till riskerna och målen för uppdraget. Kartläggning av engagemangsmål och kritiska risker inom testprocedurer hjälper internrevisorer att säkerställa att testning täcker alla relevanta engagemangsmål.

Ärenderapport

Ett ärenderapport är ett verktyg som internrevisorer kan använda för att utföra uppföljning och övervakning av aktuella och utestående revisionsresultat. Den består huvudsakligen av processreferens, observationsdetaljer, rättelsedatum och status.

Revisionsrapport

En revisionsberättelse kan använda olika format beroende på uppdragets karaktär. En revisionsrapport bör åtminstone innehålla engagemangets omfattning, engagemangsmål, detaljer om observationer, korrigeringstider och en handlingsplan.

Arbetspapper

Dokumenterade riktlinjer säkerställer standardisering av arbetsdokument som används i flera engagemangsteam. Olika mallar och procedurer för arbetspapper kan utvecklas för varje typ av engagemang.

Feedback

Att söka feedback från de granskade ledningen för varje uppdrag spelar en avgörande roll för att mäta internrevisorernas prestationer och fungerar som ett verktyg för kontinuerlig övervakning av IAF:s personals prestationer.

Program för kvalitetssäkring och förbättring (QAIP)

QAIP omfattar riktlinjer relaterade till interna bedömningar, externa bedömningar och rapportering av QAIP-resultat till BAC och ledande befattningshavare. Interna bedömningar består av två komponenter – löpande övervakning och periodisk självutvärdering mot IIA:s obligatoriska riktlinjer.

Riskbedömning

Efter att ha utvecklat styrningsramverket utför CAE en riskbedömningsövning. Komponenter i denna övning inkluderar:

Riskbedömningsfasen

För att starta riskbedömningsfasen bedömer CAE först riskhanteringsfunktionens (RMF) mognad. Om det finns en mogen RMF kan IAF använda det av RMF utvecklade riskregistret. Men i avsaknad av en mogen RMF kan IAF skapa riskregister för att fånga upp alla väsentliga risker som kan påverka uppnåendet av organisatoriska mål. Detta arbete hjälper IAF att identifiera kritiska risker som hotar organisationens mål och utgör grunden för att ta fram en internrevisionsplan. Eventuella identifierade risker utgör grunden för ett nytt affärsriskregister.

Riskkategorisering

IAF kartlägger identifierade risker med mildrande kontroller och kategoriserar riskerna baserat på riskbedömningsmetodik som definieras i internrevisionens operativa rutiner. Risker kategoriseras generellt som höga, medelhöga och låga baserat på inneboende och kvarvarande riskfaktorer.

Första internrevisionsplanen

Vad behövs för att utveckla en internrevisionsplan?

IAF utvecklar en internrevisionsplan baserad på en initial risk bedömning, revisionsuniversum, bemanningsstrategi och input från relevanta intressenter.

Revisionsuniversum

Ett revisionsuniversum hänvisar till dokumentationen av revisionsbara enheter inom en organisation. Ett revisionsuniversum kan organiseras efter geografiska platser, funktioner eller affärsprocesser. Efter att ha utfört en riskbedömning utvecklar IAF ett revisionsuniversum för att detaljera alla möjliga revisionsbara enheter inom en organisation.

Kartläggning av resultat av riskbedömning med revisionsuniversum

Efter att ha dokumenterat revisionsuniversum kartlägger och prioriterar IAF riskbedömningsresultaten med de identifierade revisionsbara enheterna. Kartläggningen hjälper till att rangordna varje område i revisionsuniversumet som högt, medelhögt eller lågt, beroende på värderingen av bedömda risker. Den här övningen gör det möjligt för CAE att identifiera kritiska processer och bedöma den övergripande kontrollmiljön inom organisationen.

Input från ledande befattningshavare

IAF söker input från ledande befattningshavare för att identifiera revisionsfokusområden. Denna input hjälper till att anpassa internrevisionsplanen till förväntningarna hos relevanta intressenter och identifierar eventuella konsultuppdragsmöjligheter.

Internrevisionsplan

Med hjälp av riskbedömningsresultaten och ledningens input utvecklar IAF en revisionsplan som täcker detaljer om uppdrag som ska utföras, en omfattning på hög nivå, en motivering för att inkludera i en årlig revision, resurs och timmar som krävs, och en tidsram för varje uppdrag. Organisationer kan utveckla en en- eller flerårig revisionsplan beroende på flera faktorer, inklusive typen av affärsdynamik, föränderliga risker och organisationens strategiska plan.

Bemanningsstrategi

En bemanningsstrategi beskriver kort- och långsiktiga resursplaneringsmetoder. För att ta fram en bemanningsstrategi genomför IAF en kompetensbedömningsaktivitet. Denna aktivitet identifierar antalet resurser som krävs för att slutföra den årliga revisionsplanen, de kompetenser som behövs för att uppfylla IAF:s mål, kraven på att anställa ämnesspecialister eller outsourcing/cosourcing-arrangemang. Bemanningsstrategin relaterar till och stöder IAF:s strategiska plan och den årliga revisionsplanen.

Godkännande och förnyelse

IAF presenterar den årliga internrevisionsplanen, bemanningsstrategin, budgeten, riskbedömningen och riskregistret för BAC för granskning och godkännande. BAC kan föreslå ändringar av utkastet till revisionsplan och ger slutligen tillstånd att genomföra.

Lämna ett svar

Relaterade inlägg

  • Hur utvecklar man TV-spel?

  • Inför högskoleprovet – Hur man förbereder sig

  • Fördelar och nackdelar med React i JavaScript