![]()
2013版coso内部控制框架
2013版的COSO内部控制框架模型是一个正立方体。立方体模型的正面分五个维度:控制环境、风险评估、控制活动、信息与沟通、监督活动。立方体模型的上面分三个维度:营运控制、报告控制、合规控制。立方体模型的侧面分为三个维度:公司层面控制、分支机构层面控制、业务活动控制;也有其他的分法,这三个维度可以再分为更多的维度,例如业务单位A、业务单位B、业务单位C…业务活动A、业务活动B、业务活动C…虽然这个2013版的COSO内部控制框架模型已经有些“古老”了,但是类比COSO内部控制框架,也可以对内部审计框架模型进行构建。我们是否可以把内部审计业务框架模型也可以构建成一个立方体呢?
一、构建内部审计业务框架模型的目的
1.构建内部审计业务框架模型可以让审计部门更全面地认识自己。无论是外部监管机关还是组织的管理层或者是审计部门自己,都会对内部审计业务提出要求。审计业务的广度、深度、高度都在不断地扩展。但是,很多时候,审计部门都在忙于应接不暇的审计项目,很少有时间盘点每年开展的审计项目之间有什么联系。通过构建内部审计业务框架模型,审计部门可以看到每年审计业务的开拓情况,也可以发现一些审计盲区,做到对整个审计业务的全盘认识。2.构建内部审计业务框架模型可以向管理层更好地展现自己。审计部门是花钱的部门。尽管审计部门对外宣传为组织创造价值,但是很多管理层都会思考投入到审计部门的资源是否能够充分发挥作用。构建内部审计业务框架模型可以让管理层看到审计部门的系统化运行。虽然不是所有领域都能查出重大问题,但那些经过审计部门审计的领域,至少会让管理层放心一些。审计部门要通过更多的方式让更多的人看得到。
二、如何构建内部审计业务框架模型
1.第一面:在内部审计框架立方体模型的正面,我们可以分为五个维度,分别是:资料收集和背景调查、风险评估、实施测试、反馈与报告、监督整改。这一层面维度的划分主要根据内部审计的整体作业流程来划分的。
2.第二面:在内部审计框架立方体模型的上面,可以分为多个维度:效率审计、风险审计、合规审计、内控审计,或者我们还可以加入其他更多的维度,比如效益审计、经济责任审计、营销审计等等。这一层面的维度划分,是按照内部审计的类型来划分的。
3.在内部审计框架立方体模型的侧面,与COSO内部控制框架立方体模型相类似,也可以划分为公司层面审计、分支机构层面审计、业务活动审计三个维度。这个层面是按内部审计的审计范围来进行划分的。
综上所述,简单地把内部审计框架也用一个立方体模型构建出来了。通过审计作业流程、审计类型、审计范围三个层面的维度划分,把内部审计的框架基本搭建出来。因为每个层面涉及的内部审计理论都很成熟和完整,这里就不再展开进行阐述了。
内部审计业务框架模型的建立,不仅使内部审计更直观地被管理者所了解,也便于内部审计部门和审计人员构建适合自身的审计体系。
模型思维不仅能够更好地发现审计业务之间的逻辑关系,还能够通过构建模型让审计人员看到审计业务的底层逻辑,使审计人员的思考力有了可以借助的工具。
(有兴趣的朋友可以用一些工具,把内部审计框架模型画出来。)
本文首次发布于2016年12月3日,2025年1月20日略有修订。
