内部审计解释

如第4节所述，工作人员有义务协助内部审计工作.《免费mg不朽情缘试玩》第5条. 本指南适用于主持或协助大学内部审计职能进行审计的工作人员. 以下信息汇集在一起，以解释审计过程的一些背景, 您在审核过程中可以期待什么，并就如何使审核顺利进行提出建议，并尽可能有助于改进和加强您所在领域的工作.

我们为什么要进行内部审计?

内部审计的总体目标是改善大学各个系统的运作, 政策和程序，并确保这些提供物有所值. 作为在学生办公室注册的监管要求的一部分, 大学必须有一套全面的风险管理系统, 管制及公司管治. 内部审计为大学提供了一种内部保证机制. 在这种情况下, “内部”是指这些审计报告是为大学审计委员会提供的, 理事会和大学高级管理人员, 向他们提供下列保证:

• 管理和运营信息和数据准确，
• 恰当地识别、减轻和管理风险;
• 以及大学的运作符合其本身的政策和程序，以及适用的法律和法规.

内部审计报告一般不对外公开.

谁是内部审计员?谁负责管理他们?

该大学的内部审计职能目前由一家外部公司提供, 普华永道会计师事务所(“普华永道”). 普华永道是在公开竞争招标过程后被任命的. 内部和外部审计的合同是由校董会而不是大学管理层授予的, 但战略规划和管治总监负责与指定公司的日常管理联系, 由管治服务主管提供支持.

与普华永道的合同包含保密条款，该公司已经与大学的DPO进行了GDPR风险评估. 在处理个人资料方面, 审计合作伙伴将适当地匿名化和删除数据，这意味着任何信息都可以安全地与他们共享. 与审计合作伙伴的数据共享在大学的隐私通知中得到了解决

内部审计职能的工作由大学审计委员会代表校董会进行规划和监督. 内部审计工作的典型输出是一份认可良好实践的报告，并在已确定的改进领域提出建议. 大学的所有活动(包括附属公司和相关机构在接受大量资金- i.e. 学生会)可能会接受内部审计. 使用大型专业服务公司来履行内部审计职能，可以获得整个公司广泛的专业知识, 包括法律和网络安全等领域的专家.

通常进行的审计工作类型

内部审计按照既定的报告格式进行标准审查，并可能被要求进行后续审查，以确定建议是否已被采纳. 通常，审计将包括以下方面:

• Finance: 财务审计通常侧重于内部控制的实施和运作, 以及财务交易/相关审批的适当性, 通过制衡来确保这一点. 例如，针对采购活动的审计, staff expenses, fees invoicing, 研究经费成本.
• Data: 数据审计通常将重点放在准确性上, use, completeness, 数据的安全性和保留. 此类审计的例子包括针对大学学生的法定回报的审计, 员工和财务数据, 部门内部的数据持有或与规定的合规领域相关的数据.
• Compliance: 合规性审计评估大学的流程遵守相关法律的程度, regulations, policies, 及大学及有关规管机构的程序.
• Operations: 运作审计的重点是在部门内部署资源和程序/惯例, 受审核的部门或过程. 其目的是评估大学的宗旨和目标是否以有效和高效的方式实现，并确定任何潜在的改进领域. Typically, 此类审计将包括对相关内部控制的一些分析，以及这些内部控制在管理和减轻相关风险方面的有效程度.
• IT: IT审计将评估系统过程控制, 仔细检查数据安全性, 设备的物理安全, 围绕内部软件开发和外部采购的实践和流程, 围绕IT的弹性/应急计划/紧急响应，以及现有系统满足现有业务需求和可能满足未来需求的程度.

大多数审计将结合上述列表中的两个或多个元素. 以及具体的建议, 我们还会根据主题，了解大学如何与该领域或其他领域的其他大学进行比较.

如何在审核员的工作中识别领域或过程?

根据风险评估过程选择特定的活动领域进行审计, 对关键领域的定期审核时间表(例如.g. 数据返回OfS)和大学执行委员会(UEB)和审计委员会的建议. 这些不同的投入有助于年度审计计划的产生, 经审计委员会批准, 分配给每个审计的天数. 在这一阶段，还确定了UEB或专业服务执行小组(PSEG)的领导官员和业务领导.

在制定本年度审计计划时, 还考虑了一系列其他因素, 包括大学的风险登记册, 有可能影响大学战略目标的具体活动(例如.g. 大型建筑计划或新伙伴关系), the scale, 活动的规模和复杂性或大学的营业额, 合规风险, 营业额占比, 管理层或其他关键人员的变动, 其结果是，风险较高的领域或活动将比风险较低的领域或活动受到更频繁的审计. UEB和PSEG通常会听取提交审计委员会的计划草案和最终结果的简报，以帮助各地区规划未来12个月的工作. On occasion, UEB或部门或部门内的管理层可要求对其职责范围内的特定活动进行审计.

审计的四个阶段

典型的审计包括四个阶段:

Preparation

• 内部审计将与UEB和业务发起人联系
• 为确定工作的重点领域，制定了确定范围的时间表并召开了会议
• Following this, 核数师会拟备一份核数范围及目标草案，供大学的调查对象提出意见
• 核数师会考虑管理层的意见，并订定审核工作的职权范围及指示性时间表. 该文件通常包括一个信息请求列表, 这通常是在实地工作之前提供的，以确保流程的顺利运行.

Fieldwork

• 审查政策/流程文件
• 与确定的相关人员面谈
• 负责过程和控制的审核测试工作
• 与大学领导就审核进度和潜在发现进行持续沟通

Audit Report

• 与UEB和业务主管举行闭幕会议，讨论审计员的意见和建议
• 然后，向UEB和业务主管发出风险评级报告草案，以获得任何反馈，并要求大学根据确定的建议采取行动, 包括责任人以及完成这些工作的时间表
• 在收到大学计划的答复后, 审计员将向职能/部门和高级管理人员发出最后报告，其中包括管理人员的答复
• 然后，该报告将提供给UEB和PSEG以供参考，然后提交审计委员会审议
• UEB和业务主管被要求就内部审计过程提供任何反馈

Follow-up

• 商定的管理行动和时间表输入到TrAction在线工具
• 负责行动的个人将定期收到提醒，并将被要求提供证据
• 内部审计将定期与相关人员联系，了解报告建议进展的最新情况，这也由战略规划和治理总监监督，审计委员会通过与风险投资公司对话，审查管理进展, 副行政总裁(营运)兼财务总监.
• 有时可能需要额外的测试或后续审计来评估进展.

In general, 最有效的审核是由大学相关人员最充分参与的审核. 关键方面包括, 与审计师建立建设性的工作关系, 确保审计师拥有所需的相关信息和权限，并及时跟进行动，提供适当的完成证据. 理想情况下，相关人员将持续参与每个阶段, 因此，相关人员了解审计的目的, 为什么要进行调查?调查信息充足，因此能够得出权威的结论. 在这方面，业务主管尤为重要，因为他们将为审计员将与之互动的其他大学工作人员提供审计的背景. 以下建议旨在帮助UEB和业务主管充分利用流程的每个阶段.

准备和范围

UEB和PSEG成员应每年审查已公布的审核计划, 注意与其职责相关的主题以及审计委员会会议应向其提交相关报告的主题，并将这些内容传达给可能涉及的人员. 审计通常会在预定委员会日期的3个月前进行.

当你意识到你所负责的领域/活动即将进行审计时, 是否考虑过任何你希望被审查的问题, 或者您是否认为在某些领域，该活动或流程将特别受益于高等教育或其他部门的最佳实践信息. 这种事先考虑有助于使审计过程有用, 但请记住，审计人员完成审计的时间有限，可能需要专注于关键要素，以向审计委员会提供所需的保证. 没有足够的时间满足所有要求, 审计发起者将对范围作出最终意见, 与战略规划和管治总监协商，他将考虑审计委员会的要求和审计合作伙伴的建议.

范围会议的目的是审查和完善与审计委员会商定的广泛范围, 讨论审核的时间表和目标，以便制定审核的职权范围. 在这个时候，你应该对任何你觉得被忽略的东西提出质疑, 考虑哪些政策, 标准操作程序或其他书面信息将有助于审核员的工作(不要认为他们自己会发现这一点), 确定在面试中可以提供权威信息的关键员工，并讨论任何担忧或潜在的附加项目. 你还需要讨论相关流程中的风险领域-内部审计的目的是通过测试和加强大学的流程和系统来协助降低风险.

Fieldwork

实地工作的性质取决于审计本身的类型, 但这本质上是一个收集证据的练习. 这可能涉及一些业务和内部控制上下文的通用信息, 但也可能包括事务测试, 检查系统日志文件，并与参与该过程的工作人员面谈. 审核员使用这些集体信息来确定所确定的控制是否有效运作并与政策保持一致, 程序或相关的外部规定. 值得注意的是，虽然审计人员在该部门和与免费mg不朽情缘试玩合作方面经验丰富, 他们不是调查人员，如果有证据或政策/程序可以帮助他们进行评估, 业务主管和被确定接受面谈的人员应带头确保审核员了解并能够接触到这些信息.

随着实地工作的进行, 审计员将讨论调查结果, 特别是与职能/部门有关的重大发现. 这应该是一次对话，并为业务主管提供机会，提醒审核员注意他们可能忽视的任何方面，并与审核员合作，确定最适当的方式来回应发现并改进系统和流程. 实地调查完成后，审核员将安排时间总结审计结果, conclusions, 和建议. 这为业务主管及其团队提供了与其他可能参与审计过程的关键人员一起审查这些文件的机会.

Reporting

书面报告是每次审计工作的主要输出. 在这份文件中，审计师将提供他们的意见, 提交审计结果, 提供改进的建议和商定的管理行动. 实地工作完成后, 内部审计将与UEB和业务主管以及其他主要工作人员会面，讨论报告草案, 确定需要澄清或更正的地方, 并同意商定的管理行动, 职责和时间表. 所有审计资料应被视为机密，并只报告给需要了解的大学工作人员. 根据审计合伙人的意见，每一份报告都会获得一个整体风险评级，并遵循基于以下部分的标准格式:

• 背景及范围
• 行政摘要(包括整体RAG风险评级)
• 调查结果(单独的RAG风险评级和商定的行动以及相关责任人和截止日期(本阶段tbc))

审计报告草稿将被发送给UEB和业务主管，以供审查和评论，并抄送战略规划主任 & 信息治理. 领导有机会对报告草案作出书面回应，并应最终确定商定行动的文本, 责任人及完成期限. 至关重要的是，领导和其他被点名为行为负责的人是:

• 清楚行动意味着什么, 负责的人有权力和资源来实施它，并清楚地知道行动将如何在实际条件下进行.
• 行动能够并将在规定的时间内完成
• 审计员将代表审计委员会向审计员证明所采取的行动的完成方式

有了这些反馈和对行动的确认, 最终的报告草稿将提交给PSEG和UEB以获取信息和评论. 最后的版本将提交审计委员会审查. 鉴于高层管理人员和州长的严格审查, 你需要花点时间来确保你对报告的内容感到满意，并且它准确地反映了情况. Do, however, 请注意，核数师向审计委员会提供的价值之一是他们独立于管理层，有时他们会行使其专业判断，并可能提出参与审计的人并不总是欢迎的建议.

审核跟进和行动完成情况

这最后阶段的重点是完成商定的管理行动. 审计委员会定期审查已议定行动的进展情况, 强调逾期的行动，并假定不延长商定的最后期限，以最大限度地减少风险和维持有效的控制环境. 该大学使用在线普华永道TrAction服务来管理行动的进展.

一旦报告通过审计委员会, 动作被上传到TrAction系统和任何动作所有者添加的相关截止日期. 重要的是，当收到关于操作的电子邮件通知时，操作所有者必须在TrAction上创建一个帐户(如果他们还没有帐户)。. 如果在使用TrAction时需要支持，请参考指南, 或联系战略规划和治理总监或治理服务主管，他们可以安排与普华永道的会议，解释该系统.

这个系统使负责行动的人员能够按要求提供有关进展的最新状态，并将行动完成的证据上载给审核员. 在要求提供更多证据之前，审计员将审查和核实他们是否认为某项行动是完整的, 或结束审计行动，并向审计委员会报告已完成的审计行动.

如上所述, 应考虑将提供的行动完成证据的类型, 如有必要，在报告初稿定稿时与审计师进行讨论. 证据的例子可能包括修订后的政策的副本, 更改的系统功能的屏幕截图, 更新软件代码, 或收到有关人员的书面确认. More rarely, 可能会确定应进行后续审计，以核实行动是否已完成.

审计委员会的明确期望是，行动通常按照有关审计报告中商定的时间表完成. 在特殊情况下，责任人可能需要寻求延期完成日期. 延期申请应提交给战略规划和管治主任，他将与来自管理层的其他审计委员会与会者(副校长)联系, 副行政总裁兼财务总监)关于延期和, 如果大家都同意的话, 在审计委员会下次会议上，将通过核数师的最新报告向审计委员会提交延期申请.

审计委员会商定的审计时间表的增加或改变

Any Dean, 总监或部门主管可以与战略规划和管治总监联系，讨论是否可以考虑将其领域/流程/政策纳入年度内部审计计划，并与其他风险领域和固定定期审计一起考虑. 非常偶然的情况下，如果发现了紧迫的风险, 管理层可寻求审计委员会的同意，以修订年度计划以配合此类审计, 或者同意为额外的审计日提供资金，以满足这种需求.

审核的时间表

完成审计所需的时间长短取决于所审计的领域或过程的大小和复杂性. 普华永道在年度规划中分配了一些审计师日，总体时间将由员工的可用性决定, 复杂性和物流, 但从确定范围的会议到最终报告的制作之间通常有两到四个月的时间. 审核员将努力向审计委员会的时间表会议(以及PSEG和UEB之前的会议)提交报告，因此您应该优先与他们合作，以确保这不会滑落.

审计合伙人的典型工作实践

内部审计通常是远程进行的，这将是审计团队的假设. However, 如果你认为在这个过程中有任何要素是面对面进行的, 向审计团队提出这个问题，他们会很乐意根据需要进行调整.

对业务正常运行的影响

审核员需要与有关工作人员会面，以便进行规划和面谈, 但会考虑在一个领域的工作量高峰或员工可能有时间限制. 通过在UEB和PSEG讨论年度计划草案，高级员工应该了解与其领域相关的审计，并向其他需要了解的人通报. 从根本上说，内部审计程序是一项业务需要，应加以规划，不应过度扰乱工作，并应被视为持续改进大学政策的一个因素, 系统与服务.

Audit Committee

大学审计委员会的详细资料, 其职权范围及成员资格可于 立法会小组委员会网页.