策略规划及管治

本简短指南是针对主持或协助大学内部审计职能进行审计的工作人员的. 如第4节所述，工作人员有义务协助内部审计工作.五项大学财务条例. 本指南旨在解释审计过程的一些背景知识, 在审核过程中，您可以期望得到什么，并就如何使审核顺利进行提出建议，使其对改进和加强您所在领域的工作尽可能有用.

我们为什么要进行内部审计?

内部审计的总目标是改善大学各系统的运作, 政策和程序，并确保这些提供物有所值. 作为向学生办公室注册的监管要求的一部分, 大学必须有一套全面的风险管理系统, 控制及公司管治. 内部审计提供了一种机制，向大学提供内部保证. 在这种背景下, ' internal '的意思是这些审计报告是提交给大学的审计委员会的, 理事会和大学的高级管理人员, 向他们保证:

• 管理和运营信息和数据准确，
• 适当识别、减轻和管理风险;
• 大学的运作符合大学本身的政策和程序，以及适用的法律和规例.

内部审计报告一般不对外公布.

谁是内部审计员?谁管理他们?

大学的内部审计职能目前由一家外部公司提供, 普华永道(普华永道). 普华永道是在公开竞争招标过程后被任命的. 内部和外部审计的合同是由理事会而不是大学管理层授予的, 但战略规划和治理总监负责与指定公司的日常管理联系, 得到了治理服务主管的支持.

与普华永道的合同包含保密条款，该公司已与该大学的DPO进行了GDPR风险评估. 处理个人资料, 审计合作伙伴将适当地匿名化和删除数据，这意味着任何信息都可以与他们共享. 与审计合作伙伴共享数据的问题已在大学的隐私通知中提及

内部审计职能的工作由大学审计委员会代表校董会规划和监督. 内部审计工作的典型成果是一份确认良好做法的报告，并就已确定可改进的地方提出建议. 大学的所有活动(包括附属公司和收到大量资金的有关机构)- i.e. 学生会)可能会接受内部审计. 使用大型专业服务公司来提供内部审计功能，可以使公司获得广泛的专业知识, 包括法律和网络安全等领域的专家.

通常进行的审计工作的类型

内部审计采用既定的报告格式进行标准审查，并可能被要求进行后续审查，以确定建议是否已被采纳. 一般来说，审计将包括以下几个方面:

• 财务-财务审计通常将重点放在内部控制的实施和操作上, 以及财务交易/相关审批的适当性, 通过制衡来确保这一点. 例如以采购活动为重点的审计, 工作人员费用, 费用发票, 研究成本.
• 数据-数据审计通常关注准确性, 使用, 完整性, 数据的安全性和保留. 此类审计的例子包括针对大学的法定学生申报表的审计, 员工和财务数据, 部门内部的数据或与特定合规领域有关的数据.
• 合规性-合规性审计评估大学的程序遵守相关法律的程度, 规定, 政策, 及大学及有关规管机构的程序.
• 运作-运作审计的重点是部门内资源和程序/惯例的部署, 受审核的部门或过程. 目的是评估大学的宗旨和目标是否以有效和有效率的方式得到落实，并找出任何可加以改进的地方. 通常, 这种审计将包括对有关内部控制及其在管理和减轻有关风险方面的有效程度的一些分析.
• IT审计将评估系统过程控制, 审查数据安全, 设备的物理安全, 围绕内部软件开发和外部采购的实践和流程, 围绕IT的弹性/应急计划/紧急响应，以及现有系统满足现有业务需求和可能满足未来需求的程度.

大多数审计将结合上述列表中的两个或多个元素. 以及具体的建议, 我们也会根据主题的不同，寻求获得该大学与该领域或其他领域的其他大学相比的标准.

如何确定包括在审核员工作中的领域或过程?

根据风险评估过程选择具体的活动领域进行审计, 对关键领域的定期审核计划.g. 数据返回OfS)和UEB和审计委员会的建议. 这些不同的投入有助于制定年度审计计划, 经审计委员会批准, 每次审核都分配了一定的天数. 在这一阶段，还确定了UEB或PSEG主管人员和业务主管.

制定年度审计计划, 还考虑了一系列其他因素, 包括大学的风险登记册, 有可能影响大学战略目标的具体活动(即.g. 大型建筑计划或新的伙伴关系), 规模, 活动的规模和复杂性或大学的营业额, 合规风险, 营业额的比例, 管理层或其他关键人员的变动, 结果是，审计风险较高的领域或活动将比审计风险较低的领域或活动更频繁. UEB和PSEG通常会听取提交审计委员会的计划草案和最终结果的简报，以协助各领域规划未来12个月的工作. 有时, UEB或一个部门或部门内的管理层可要求对其负责的特定活动进行审计.

审计的四个阶段

典型的审核包括四个阶段:

准备

• 内部审计将与UEB和业务保荐人联系
• 制定范围会议的时间表，确定工作的重点领域
• 下面这个, 核数师会提出核数范围及目标的草案，以供大学的主要负责人提出意见
• 核数师将考虑管理层的意见，并最终确定审计工作的职权范围和指示性时间表. 本文档通常包括一个信息请求列表, 这通常是在实地工作之前提供的，以确保过程的顺利运行.

实地考察

• 审查政策/流程文档
• 与确定的相关人员面谈
• 承担过程和控制的审核测试工作
• 与大学领导就审核进展和潜在发现进行持续沟通

审计报告

• 审计员与联委会和业务主管举行结案会议，讨论其意见和建议
• 然后，一份风险评级的报告草稿被分发给大学管理学院和业务主管，以获得任何反馈，并要求确定大学针对确定的建议采取的行动, 包括责任人和完成这些任务的时间表
• 在收到大学计划的答复后, 审计员将向各职能/部门和高级管理层发出最后报告，其中包括管理层的答复
• 在提交审计委员会审议之前，该报告将提供给UEB和PSEG以供参考
• UEB和业务主管被要求就内部审计过程提供任何反馈

后续

• 同意的管理措施和时间表被输入到TrAction在线工具
• 对行为负责的个人将定期收到提醒，并将被要求提供证据表明
• 内部审计部门将定期与相关人员联系，获取报告建议进展的最新情况，战略规划和治理总监也会对此进行监督，审计委员会将与VC对话，审查管理进展情况, 副行政长官(营运)兼财务总监.
• 有时可能需要进行额外的测试或后续审核以评估进展.

在一般情况下, 最有效的审核，是大学有关教职员最充分参与的审核. 其中的关键方面包括, 与审计师建立建设性的工作关系, 确保审核员拥有他们需要的相关信息和权限，并及时跟进行动，提供适当的完成证明. 理想情况下，相关人员将继续参与每个阶段, 因此，相关人员了解审计的目的, 为什么要进行这项调查，为什么它消息灵通，因此能够得出权威的结论. 在这方面，业务领导尤其重要，因为他们将向审计员将与之互动的其他大学工作人员提供审计背景. 以下建议旨在帮助UEB和业务主管充分利用流程的每个阶段.

准备和范围

UEB和PSEG成员应每年审查公布的审计计划, 注意与他们职责相关的主题，以及审计委员会会议应提交的相关报告，并将这些报告传达给可能涉及的人员. 审核一般会在预定的委员会日期前3个月进行.

当你意识到你负责的某一领域/活动即将进行审计时, 是否考虑任何您希望被审查的问题, 或者您是否认为在某些领域，该活动或过程将特别受益于高等教育或其他部门的最佳实践信息. 这种事先考虑有助于使审计过程有用, 但请记住，审计员交付审计报告的时间有限，因此可能需要关注关键因素，以向审计委员会提供所需的保证. 是否有足够的时间来满足所有的需求, 审核发起人将对审核范围做出最终决定, 与战略规划和治理总监协商，后者将考虑审计委员会的要求和审计合伙人的建议.

范围会议的目的是审查和完善与审计委员会商定的广泛范围, 讨论审核的时间表和目标，以便制定审核的职权范围. 在这个时候，你应该对任何你觉得被忽略的东西提出质疑, 考虑什么政策, 标准操作程序或其他书面信息将有助于审核员的工作(不要认为他们会自己确定), 确定能在面试中提供权威信息的关键员工，并讨论任何需要关注的问题或潜在的附加项目. 你还需要讨论相关流程中的风险领域——内部审计的目的是通过测试和加强大学的流程和系统来帮助降低风险.

实地考察

实地工作的性质将取决于审计本身的类型, 但这本质上是一个收集证据的过程. 这可能涉及到操作上下文和内部控制的一些通用信息, 但也可能包括事务测试, 检查系统日志文件，并与参与该过程的工作人员面谈. 审计员使用这些集体信息来确定所确定的控制是否有效地运作并与政策保持一致, 程序或相关的外部规定. 值得注意的是，虽然审计人员在该部门有经验，并与金沙体育合作, 他们不是调查人员，如果有证据或政策/程序可以帮助他们作出评估, 业务主管和被确定接受面谈的人员应带头确保审核员意识到这一点并能够接触到它.

随着实地工作的进行, 审计员将讨论调查结果, 特别是与职能/部门有关的重大发现. 这应该是一种对话，并为业务主管提供机会，提醒审核员注意他们可能忽略的任何方面，并与审核员合作，以确定对发现作出反应和改进系统和流程的最适当方式. 实地调查完成后，审核员将安排时间总结审计结果, 结论, 和建议. 这为运营负责人和他们的团队提供了与其他可能参与审计过程的关键人员一起审查这些文件的机会.

报告

书面报告是每次审计工作的主要输出. 在这份文件中，审计员将提供他们的意见, 提交审核结果, 提供改进的建议和商定的管理行动. 实地工作完成后, 内部审计员将与UEB、业务主管以及其他关键人员会面，讨论报告草案, 确定需要澄清或更正的地方, 并同意商定的管理措施, 责任和时间尺度. 所有审计资料应被视为机密，并只报告给需要了解的大学职员. 每一份报告都会根据审计合伙人的意见进行总体风险评级，并遵循基于以下部分的标准格式:

• 背景和范围
• 行政摘要(包括整体RAG风险评级)
• 调查结果(单独进行RAG风险评估，并与商定的行动和相关责任人及截止日期(在此阶段))

审计报告初稿会送交各行政长官及业务主管审阅及提出意见，并抄送策略规划署署长 & 治理信息. 领导有机会对报告草案作出书面答复，并应最后确定商定的行动案文, 负责的个人和完成期限. 至关重要的是，领导和其他被点名对行动负责的人:

• 清楚行动的意义, 负责的人有权力和资源来执行它，并且清楚行动将如何实际推进.
• 行动能够并且将会在时间尺度内完成
• 审计行动的完成方式将代表审计委员会向审计员证明

有了这些反馈和行动上的确认, 最终的报告草稿将提交给PSEG和UEB，供其参考和评论. 然后将最终版本提交给审计委员会进行审查. 考虑到高层管理人员和理事的高度审查, 你需要花时间来确保你对报告的内容感到满意，并且报告准确地反映了情况. Do, 然而, 请注意，审计员对审计委员会的价值之一是他们独立于管理层，有时他们会行使自己的专业判断，并可能提出参与审计的人并不总是欢迎的建议.

审计跟踪和行动完成情况

最后一个阶段的重点是完成商定的管理行动. 审计委员会定期审查商定行动的进展情况, 强调逾期的行动，并假设不延长商定的最后期限，以尽量减少风险和维持有效的控制环境. 大学使用网络 普华永道牵引 针对操作管理进度的服务.

一旦报告通过审计委员会, 动作被上传到TrAction系统和相关的截止日期. 重要的是，当收到关于操作的电子邮件通知时，操作所有者在TrAction上创建一个帐户(如果他们还没有帐户). 如果在使用TrAction时需要支持，请参考指导, 或联系战略规划和治理总监或治理服务主管，他们可以安排与普华永道的会议，解释该系统.

这一系统使负责行动的人员能够根据需要提供有关进展的最新情况，并向审计员上载行动完成的证据. 然后，审计员将审查和核实他们认为某项行动是否已完成，然后再要求提供额外证据, 或结束行动，并将行动完成后报告审计委员会.

如上所示, 应考虑将提供的行为完成证据的类型, 如有必要，在报告初稿定稿时与审计员讨论. 证据的例子可能包括修订的政策的副本, 更改的系统功能的截图, 更新后的软件代码, 或收到有关人员的书面确认. 更很少, 可能会确定应进行后续审核，以核实行动是否已完成.

审计委员会的明确期望是，行动通常按照相关审计报告中商定的时间表完成. 在特殊情况下，负责的人可能需要寻求延长完成日期. 延期申请应提交给战略规划和治理主任，他将与管理层的其他审计委员会与会者(副校长, 副行政总裁兼财务总监), 如果这个小组达成一致, 延期申请将通过审计员在委员会下次会议上的更新报告提交给审计委员会.

增加或更改审计委员会商定的审计时间表

任何院长, 总监或部门主管可与战略规划和治理总监联系，讨论是否可考虑将其领域/过程/政策纳入年度内部审计计划，并与其他风险领域和固定定期审计一起考虑. 非常偶然，而且一旦发现了紧迫的风险, 管理层可寻求审计委员会同意修改年度计划，以适应这种审计, 或者同意为额外的审计日提供资金，以满足这种需要.

时间尺度的审计

完成审计所需的时间长短取决于被审计领域或过程的规模和复杂性. 在年度规划中分配了一些普华永道审计师日，总体时间将由员工可用性决定, 复杂性和物流, 但通常情况下，从界定会议到制作最终报告之间有两到四个月的时间. 审核员将致力于向审计委员会的时间表会议(以及前期的PSEG和UEB会议)提交报告，所以你与他们的工作应优先考虑，以确保这一点不会遗漏.

审计合伙人的典型工作实践

内部审计通常是远程进行的，这将是审核组的假设. 然而, 如果你认为在这个过程中有什么因素是面对面的会有好处的, 向审计团队提出这个问题，审计团队会很乐意根据需要进行调整.

对正常业务的影响

审核员需要与有关工作人员会面，以便进行计划和面谈, 但会考虑到某一领域的工作量高峰或员工的时间限制. 通过讨论UEB和PSEG的年度计划草案，高级人员应该了解与他们的领域相关的审计，并向其他需要了解的人介绍情况. 从根本上说，内部审计过程是一项业务需要，应加以规划，不应过度干扰工作，并应视为不断改进联合国大学政策的一个组成部分, 系统和服务.

审计委员会

大学审计委员会的详细资料, 委员会的职权范围及成员名单可于以下网页查阅: http://www.Lancaster.ac.uk/strategic-planning-and-governance/governance/council/sub-committees/#audit-committee-395617-0

关键的联系

大学与内部审计合作伙伴(普华永道)的日常关系由战略规划和治理主任管理, 西蒙·詹宁斯. 西蒙不在时，请向治理服务主管询问, 克莱尔·戈德斯, 在第一个例子中.