某公司在coso模式下的評(píng)估

StrugglingtoincorporatetheCOSOrecommendationsintoyourauditprocess?

Here’soneauditshop’swinningstrategy.12/26/202211992年，COSO委員會(huì)發(fā)布了一份關(guān)于內(nèi)部控制的藍(lán)本報(bào)告，內(nèi)部控制——整合框架，也被簡稱為COSO，它為建立內(nèi)部控制制度并評(píng)價(jià)其有效性提供了一個(gè)合理的基礎(chǔ)。隨著報(bào)告的出版，Boeing部分地采用了COSO的建議作為其內(nèi)部控制政策與程序的基礎(chǔ)。Asaresult，我們的內(nèi)審部門開始在每次審計(jì)中對(duì)內(nèi)部控制的質(zhì)量進(jìn)行打分排序（rate）。我們很快發(fā)現(xiàn)將這些標(biāo)準(zhǔn)植入實(shí)際業(yè)務(wù)中困難重重。然而提供資料的時(shí)候,我們的評(píng)分大部分帶有主觀色彩,一般在報(bào)告中缺乏系統(tǒng)分析和文件記錄的支持。為了達(dá)到質(zhì)量更高的結(jié)果，我們重組了（reengineered）現(xiàn)有的審計(jì)模式（methodology）—從開始，到現(xiàn)場工作，到最終報(bào)告—以適應(yīng)COSO的框架。功夫不負(fù)有心人。我們的審計(jì)不再是偶然與隨意，COSO給我們的審計(jì)工作提供了基礎(chǔ)。12/26/20222Theapproach我們將COSO整合入審計(jì)的過程與IIA的一篇研究基礎(chǔ)報(bào)告中-“內(nèi)部審計(jì)師在管理層關(guān)于內(nèi)部控制的報(bào)告中的作用”描述的很相似。這篇研究中建議，審計(jì)結(jié)果應(yīng)當(dāng)按照COSO框架進(jìn)行歸類，這些信息可以被董事會(huì)和公司高管在最高（top-level）報(bào)告中利用。我們的方法就基于這些概念，將COSO的標(biāo)準(zhǔn)融入各個(gè)審計(jì)階段的流程。12/26/20223根據(jù)COSO，內(nèi)部控制應(yīng)確保以下三個(gè)目標(biāo)（1）經(jīng)營的效率和效果；（2）精確的財(cái)務(wù)報(bào)告；和（3）法律和規(guī)定的遵循。報(bào)告還列出了有效控制系統(tǒng)的五個(gè)關(guān)鍵因素：12/26/20224控制環(huán)境，它通過提供基礎(chǔ)性的原則與構(gòu)架建立了內(nèi)部控制的基礎(chǔ)。風(fēng)險(xiǎn)評(píng)估，它包括管理層-而不是內(nèi)審師-對(duì)實(shí)現(xiàn)組織既定目標(biāo)過程中對(duì)相關(guān)風(fēng)險(xiǎn)的識(shí)別和分析。控制活動(dòng)，確保組織管理目標(biāo)實(shí)現(xiàn)和風(fēng)險(xiǎn)平抑（riskmitigation）戰(zhàn)略被執(zhí)行的政策、程序和實(shí)務(wù)操作。信息與溝通，通過與員工溝通控制責(zé)任以及用保證人們履行其責(zé)任的表格和時(shí)間表（formandtimeframe）提供信息，為其它（四個(gè)）要素提供支持。監(jiān)控，它包括對(duì)管理當(dāng)局內(nèi)部控制的外部考察和過程之外的其他利益方，或獨(dú)立方法的應(yīng)用（applicationofindependentmethodologies），如由員工在過程內(nèi)定制的程序及標(biāo)準(zhǔn)清單（likecustomizedproceduresorstandardchecklists,byemployeeswithinaprocess.）12/26/20225我們運(yùn)用這些要素來定義要審計(jì)的控制目標(biāo)，評(píng)價(jià)Boeing控制系統(tǒng)的各個(gè)組成部分，并向管理層匯報(bào)結(jié)果。按照這種方式在我們的審計(jì)過程中增加結(jié)構(gòu)將COSO整合其內(nèi)，確保每次審計(jì)的關(guān)鍵階段對(duì)正確標(biāo)準(zhǔn)的深思熟慮，并留下審計(jì)軌跡以支持所形成的結(jié)論。12/26/20226定義目標(biāo)流程重組中的一個(gè)關(guān)鍵方面是，在每次審計(jì)中我們都集中于COSO的一個(gè)單一目標(biāo)，而不是許多目標(biāo)。在與管理層的溝通中，每個(gè)審計(jì)師都要確定恰當(dāng)?shù)腃OSO目標(biāo)-經(jīng)營、財(cái)務(wù)報(bào)告以及遵循。在制定審計(jì)計(jì)劃時(shí)就要把這些確定下來，記錄在工作底稿中，形成正式文件。集中于一個(gè)審計(jì)目標(biāo)使我們能夠更明確審計(jì)焦點(diǎn)、提高效率。如果需要確立另一個(gè)目標(biāo)，則又是新一次審計(jì)的開始。12/26/20227如果指導(dǎo)審計(jì)調(diào)查和現(xiàn)場工作之后，必須偏離預(yù)定的目標(biāo)，則建議的調(diào)整必須進(jìn)行審核并被審計(jì)管理層通過。工作底稿也必須進(jìn)行修正，并對(duì)進(jìn)行調(diào)整的合理性做出描述。根據(jù)實(shí)務(wù)經(jīng)驗(yàn)，審計(jì)方案完成之后通常都不會(huì)偏離最初制定的COSO目標(biāo)。12/26/20228大多數(shù)審計(jì)方案都有一個(gè)就所要審查的職責(zé)和流程的較容易辨別的清晰的目標(biāo)。例如，“采購流程”（programshopscheduling）顯而易見應(yīng)該歸入“經(jīng)營目標(biāo)”的類別。但也有一些審計(jì)的目標(biāo)就不是那么的明顯。一個(gè)驗(yàn)收“Receivinginspection”審計(jì)就既不是一個(gè)經(jīng)營目標(biāo)，又不是一個(gè)遵循目標(biāo)，這取決于要檢查的管理層控制的類型。同樣，如“車間的成本歸集”的審計(jì)可能集中于經(jīng)營或財(cái)務(wù)報(bào)告，它取決于要評(píng)價(jià)的控制。對(duì)于那些個(gè)別難以辨別COSO目標(biāo)的審計(jì)方案，審計(jì)人員有責(zé)任識(shí)別本次審計(jì)主要側(cè)重于哪個(gè)方面，在下面的指引的基礎(chǔ)上確定一個(gè)恰當(dāng)?shù)哪繕?biāo)。12/26/20229COSO基礎(chǔ)審計(jì)的獲益效果測試COSO所有五個(gè)控制要素，為確定控制保證的程度提供一個(gè)堅(jiān)實(shí)的基礎(chǔ)。效率集中于一個(gè)COSO目標(biāo)類別，嚴(yán)謹(jǐn)提防“越界”（“scopecreep”）?？杀容^性

使用一個(gè)能夠在不同業(yè)務(wù)部門之間的控制進(jìn)行比較的審計(jì)框架和評(píng)分系統(tǒng)。溝通

整合COSO標(biāo)準(zhǔn)時(shí)，應(yīng)與客戶進(jìn)行討論以增強(qiáng)他們對(duì)控制概念的理解。審計(jì)委員會(huì)按照COSO框架進(jìn)行報(bào)告有助于描繪內(nèi)部控制系統(tǒng)的優(yōu)勢和弱點(diǎn)。12/26/202210經(jīng)營經(jīng)營目標(biāo)集中中于管理的效效率和效果。。效果包括對(duì)對(duì)具體的管理理目標(biāo)實(shí)現(xiàn)進(jìn)進(jìn)行控制的質(zhì)質(zhì)量，而效率率則包括對(duì)如如何以最適宜宜的資源轉(zhuǎn)換換為更多的產(chǎn)產(chǎn)出的度量進(jìn)進(jìn)行控制的質(zhì)質(zhì)量。對(duì)于一一次經(jīng)營審計(jì)計(jì)，組織應(yīng)該該能夠確定其其能否合理確確信不存在重重要方面的無無效率或被審審的組織與過過程中的無效效果。因?yàn)椴ㄒ籼幱谟谝粋€(gè)高管制制（highlyregulated）的行行業(yè)，所以每每次經(jīng)營審計(jì)計(jì)都容易被看看成為一次遵遵循審計(jì)，但但是，除非為為對(duì)法律和規(guī)規(guī)定的遵循情情況而對(duì)整個(gè)個(gè)控制系統(tǒng)進(jìn)進(jìn)行審計(jì)，就就不能提供一一個(gè)綜合評(píng)價(jià)價(jià)。這樣的系系統(tǒng)包括與管管理機(jī)構(gòu)的關(guān)關(guān)系，Boeing內(nèi)部部政策和程序序，促進(jìn)遵循循的人員分配配，以及監(jiān)控控遵循效果的的方法。只有有審計(jì)遵循程程序的各個(gè)方方面，才能對(duì)對(duì)確保遵循法法律法規(guī)的內(nèi)內(nèi)部控制的整整體有效性進(jìn)進(jìn)行匯報(bào)。同時(shí)，經(jīng)營審審計(jì)中附帶發(fā)發(fā)現(xiàn)的非遵循循性內(nèi)部程序序必須與管理理層進(jìn)行溝通通。審計(jì)師應(yīng)應(yīng)特別注意控控制評(píng)價(jià)表中中附帶發(fā)現(xiàn)的的那些潛在的的違例事項(xiàng)。。12/24/202211RATINGCRITERIAFORCOSO-BASEDAUDITS12/24/202212財(cái)務(wù)報(bào)報(bào)告財(cái)務(wù)報(bào)報(bào)告的的目標(biāo)標(biāo)在哪哪里，，我們們就把把審計(jì)計(jì)的重重點(diǎn)放放在確確保外外部報(bào)報(bào)告財(cái)財(cái)務(wù)數(shù)數(shù)據(jù)可可靠性性的管管理控控制的的充分分與有有效上上。對(duì)對(duì)這些些控制制的審審計(jì)應(yīng)應(yīng)提供供合理理的確確信在在檢查查過的的數(shù)據(jù)據(jù)中沒沒有重重大的的錯(cuò)報(bào)報(bào)。追追蹤審審計(jì)控控制和和財(cái)務(wù)務(wù)數(shù)據(jù)據(jù)到財(cái)財(cái)務(wù)報(bào)報(bào)告就就表示示審計(jì)計(jì)的目目標(biāo)是是財(cái)務(wù)務(wù)報(bào)告告。檢查用用于估估計(jì)合合同履履行成成本的的假設(shè)設(shè)和方方法時(shí)時(shí)的審審計(jì)也也有財(cái)財(cái)務(wù)報(bào)報(bào)告目目標(biāo)。。同樣樣，對(duì)對(duì)管理理生成成財(cái)務(wù)務(wù)報(bào)表表的會(huì)會(huì)計(jì)控控制的的審計(jì)計(jì)也應(yīng)應(yīng)為財(cái)財(cái)務(wù)報(bào)報(bào)告目目標(biāo)。。盡管管也有有例外外情況況，許許多財(cái)財(cái)務(wù)職職責(zé)審審計(jì)集集中于于財(cái)務(wù)務(wù)報(bào)告告目標(biāo)標(biāo)，審審計(jì)范范圍一一般反反應(yīng)了了他們們的審審計(jì)目目標(biāo)。。12/24/202213最初很很難確確定，，比如如，應(yīng)應(yīng)付會(huì)會(huì)計(jì)的的審計(jì)計(jì)目標(biāo)標(biāo)究竟竟屬于于經(jīng)營營還是是財(cái)務(wù)務(wù)報(bào)告告的范范疇，，這取取決于于要審審計(jì)的的管理理控制制的種種類。。同樣樣，““costscreeningforgovernmentallowability””的審審計(jì)隱隱含了了三個(gè)個(gè)目標(biāo)標(biāo)：過過程的的效率率和效效果-經(jīng)營營；遵遵守了了FAR（（聯(lián)邦邦政府府采購購法規(guī)規(guī)）的的要求求-遵遵循；；以及及成本本歸集集與處處理的的可靠靠性-財(cái)務(wù)務(wù)報(bào)告告。選選擇目目標(biāo)是是一項(xiàng)項(xiàng)重要要的職職業(yè)判判斷，，它取取決于于要檢檢查的的管理理控制制的性性質(zhì)和和主要要特征征。12/24/202214遵循基于遵遵循的的審計(jì)計(jì)主要要集中中于保保證對(duì)對(duì)外部部法律律與規(guī)規(guī)定遵遵守的的管理理控制制的充充分與與有效效。該該類審審計(jì)應(yīng)應(yīng)主要要關(guān)注注公司司的程程序和和實(shí)務(wù)務(wù)與法法律的的相互互關(guān)系系。我我們經(jīng)經(jīng)常廣廣泛地地征求求公司司法律律顧問問的意意見-這便便是一一個(gè)明明證，，審計(jì)計(jì)應(yīng)有有遵循循性的的目標(biāo)標(biāo)。對(duì)公司司是否否遵循循了FCPA（（ForeignCorruptPracticesAct））而進(jìn)進(jìn)行的的審計(jì)計(jì)是遵遵循目目標(biāo)審審計(jì)的的最好好例證證。這類審審計(jì)的的例子子還包包括，，對(duì)FAR”成成本披披露””、FAR”非非正常常定價(jià)價(jià)”及及聯(lián)邦邦航空空管理理局““unapprovedparts”遵遵循情情況的的管理理控制制的審審計(jì)等等。12/24/202215評(píng)價(jià)控制要要素根據(jù)COSO，在對(duì)對(duì)整個(gè)內(nèi)部部控制的設(shè)設(shè)計(jì)和效果果提交報(bào)告告之前必須須對(duì)每個(gè)控控制要素進(jìn)進(jìn)行評(píng)價(jià)。。因此，我我們對(duì)流程程進(jìn)行了重重組，以在在所有的審審計(jì)中每個(gè)個(gè)要素都能能覆蓋到。。在定義每個(gè)個(gè)控制要素素時(shí)，COSO確定定了七個(gè)控控制因素，，我們把這這些因素作作為標(biāo)準(zhǔn)對(duì)對(duì)控制效果果進(jìn)行打分分。在整個(gè)個(gè)過程中，，審計(jì)師都都必須考慮慮每一個(gè)因因素，評(píng)價(jià)價(jià)控制的效效果時(shí)，必必須設(shè)計(jì)恰恰當(dāng)?shù)膯柧砭砗蜏y試。。通過表述述每一個(gè)控控制要素和和因素，我我們一直致致力于審計(jì)計(jì)中確保最最大的連貫貫性，使審審計(jì)的效果果達(dá)到最大大化。12/24/202216為了易于理理解與應(yīng)用用標(biāo)準(zhǔn)，控控制要素的的評(píng)價(jià)只能能是滿意的的或不滿意意。我們考考慮“二者者必選一””的評(píng)分構(gòu)構(gòu)架，在個(gè)個(gè)別情況下下，審計(jì)師師在被審計(jì)計(jì)的內(nèi)部控控制系統(tǒng)之之外偶然發(fā)發(fā)現(xiàn)一個(gè)值值得報(bào)告的的情況，附附帶的“滿滿意-不滿滿意”的觀觀察可能被被記錄。12/24/202217評(píng)分必須與與預(yù)先制定定的標(biāo)準(zhǔn)相相一致，以以可靠的審審計(jì)證據(jù)為為基礎(chǔ)，并并記錄在工工作底稿中中。如果控控制能夠提提供合理確確信管理目目標(biāo)能夠達(dá)達(dá)到，就給給一個(gè)“滿滿意的”打打分，如果果控制不能能提供這樣樣的合理確確信，就視視為不滿意意。在打分分時(shí)，審計(jì)計(jì)師的職業(yè)業(yè)判斷起著著重要的作作用，對(duì)于于不滿意的的情況，應(yīng)應(yīng)提出合理理的建議。。為了支持持審計(jì)師對(duì)對(duì)控制的評(píng)評(píng)價(jià)打分，，我們提供供了對(duì)每項(xiàng)項(xiàng)控制要素素進(jìn)行聲明明（address）的指引引。12/24/202218TheBoeingControlEvaluationForm12/24/202219控制環(huán)境。。為易于分分析，該因因素的控制制因子被分分成硬控制制與軟控制制。在波音音，硬控制制包括組織織結(jié)構(gòu)、權(quán)權(quán)利與責(zé)任任的分配、、人力資源源政策與實(shí)實(shí)務(wù)。在絕絕大多數(shù)審審計(jì)中，所所有這三個(gè)個(gè)都是傳統(tǒng)統(tǒng)相關(guān)的領(lǐng)領(lǐng)域。每項(xiàng)項(xiàng)的審計(jì)證證據(jù)都很容容易得到。。軟件控制包包括職業(yè)道道德，勝任任能力，管管理風(fēng)格等等。這種控控制傳統(tǒng)審審計(jì)上被忽忽視，因?yàn)闉檫@樣審計(jì)計(jì)的文件證證據(jù)很難獲獲得和進(jìn)行行測試。12/24/202220如果在被審審計(jì)的范圍圍內(nèi)有任何何一個(gè)硬控控制不能有有效地運(yùn)行行，將被授授予不滿意意的等級(jí)評(píng)評(píng)價(jià)。另一一方面，合合理的行為為被假定為為軟控制，，在不合理理行為被發(fā)發(fā)現(xiàn)的情況況下，將會(huì)會(huì)得到一個(gè)個(gè)不利的審審計(jì)結(jié)論。。除非有直直接的證據(jù)據(jù)表明軟控控制是正確確而又適當(dāng)當(dāng)?shù)?，否則則不能將其其評(píng)為滿意意的評(píng)價(jià)等等級(jí)。只要要發(fā)現(xiàn)不道道德、不稱稱職、不當(dāng)當(dāng)管理行為為的事例，，審計(jì)人員員就應(yīng)考慮慮給予不滿滿意的評(píng)價(jià)價(jià)等極。審審計(jì)人員對(duì)對(duì)（有效））軟控制提提供保證的的程度遠(yuǎn)遠(yuǎn)遠(yuǎn)低于通常常的匯報(bào)。。隨著對(duì)軟軟控制測試試技術(shù)的提提高，評(píng)價(jià)價(jià)標(biāo)準(zhǔn)可以以進(jìn)行修改改，對(duì)（匯匯報(bào)）提供供為積極的的保證。12/24/202221根據(jù)coso的的風(fēng)險(xiǎn)評(píng)評(píng)估，有有效風(fēng)險(xiǎn)險(xiǎn)評(píng)估要要求：重新定義義目標(biāo)目標(biāo)的兼兼容性達(dá)到目標(biāo)標(biāo)的風(fēng)險(xiǎn)險(xiǎn)識(shí)別關(guān)鍵風(fēng)險(xiǎn)險(xiǎn)的判斷斷確定減少少風(fēng)險(xiǎn)的的措施12/24/202222如果缺少少任何一一個(gè)因素素，通常常會(huì)給予予不滿意意的等級(jí)級(jí)評(píng)價(jià)。。而且，，應(yīng)該設(shè)設(shè)計(jì)審計(jì)計(jì)調(diào)查測測試來判判斷是否否存在管管理層非非預(yù)期關(guān)關(guān)鍵風(fēng)險(xiǎn)險(xiǎn)。如果果這種風(fēng)風(fēng)險(xiǎn)被識(shí)識(shí)別出存存在并被被認(rèn)為是是關(guān)鍵的的，應(yīng)提提出一個(gè)個(gè)不滿意意的評(píng)價(jià)價(jià)等級(jí)并并單獨(dú)報(bào)報(bào)告，即即使以上上列出的的五個(gè)因因素都存存在。12/24/202223控制活動(dòng)動(dòng)：無論論是何種種審計(jì)類類型或被被正被稽稽核的控控制活動(dòng)動(dòng)的本質(zhì)質(zhì)，都必必須在審審計(jì)工作作底稿中中對(duì)明確確的控制制活動(dòng)和和相關(guān)的的控制目目標(biāo)形成成記錄。。被審計(jì)計(jì)的一般般控制活活動(dòng)包括括：財(cái)務(wù)———填制流流程，授授權(quán)，記記錄保存存，管理理部門審審查，保保證資產(chǎn)產(chǎn)分類數(shù)數(shù)據(jù)，防防止金融融欺詐和和侵吞資資產(chǎn)。信息系統(tǒng)統(tǒng)——總總體，硬硬件以及及應(yīng)用，，以確保保系統(tǒng)運(yùn)運(yùn)作的可可靠性，，數(shù)據(jù)輸輸出的準(zhǔn)準(zhǔn)確性，，設(shè)備和和檔案的的保護(hù)措措施。業(yè)務(wù)操作作——指指示性的的、預(yù)防防性的、、偵察性性的控制制，集中中于對(duì)資資源的利利用效率率以及明明確的控控制目標(biāo)標(biāo)能夠達(dá)達(dá)到的可可度量程程度。12/24/202224如果關(guān)鍵控制制活動(dòng)沒有執(zhí)執(zhí)行或沒有完完成指定的目目標(biāo)，在這種種情況下，這這個(gè)控制組成成部分一般會(huì)會(huì)給與一個(gè)不不滿意的評(píng)價(jià)價(jià)等級(jí)?；蛘哒哒f，必須有有關(guān)鍵的控制制活動(dòng)提供合合理保證業(yè)務(wù)務(wù)正常運(yùn)作，，按照預(yù)期達(dá)達(dá)到控制目標(biāo)標(biāo)。如果控制制活動(dòng)上反映映出管理層的的風(fēng)險(xiǎn)緩解戰(zhàn)戰(zhàn)略缺失或不不充分，僅此此一項(xiàng)即可招招致不滿意的的評(píng)分。12/24/202225信息和溝通coso提到到幾個(gè)關(guān)于信信息和溝通的的控制因素，，我們期望我我們的審計(jì)人人員在評(píng)價(jià)時(shí)時(shí)取最小值：：識(shí)別、收集、、溝通已審計(jì)計(jì)范圍內(nèi)的公公認(rèn)標(biāo)準(zhǔn)。員工認(rèn)識(shí)到其其控制責(zé)任關(guān)關(guān)系到整個(gè)體體系處理客戶，供供應(yīng)商，員工工關(guān)注，投訴訴，糾紛的機(jī)機(jī)制和處理機(jī)機(jī)制應(yīng)及時(shí)。。如果以上這些些因素不能有有效運(yùn)作，將將給與不滿意意的等級(jí)評(píng)價(jià)價(jià)。12/24/202226監(jiān)管管理層制定的的控制評(píng)價(jià)程程序，在一定定的時(shí)間檢測測決定內(nèi)部控控制系統(tǒng)的質(zhì)質(zhì)量。日常流流程中的一些些獨(dú)立表格是是必要，以保保證對(duì)有效的的控制形成監(jiān)監(jiān)管。因此，，我們并不把把流程中管理理層的日常業(yè)業(yè)績?cè)u(píng)價(jià)視為為一項(xiàng)監(jiān)管，，相反，我們們把它視為一一項(xiàng)控制活動(dòng)動(dòng)。監(jiān)管包括管理理層的內(nèi)部監(jiān)監(jiān)管和流程外外其他組織的的外部監(jiān)管。。它可能包括括一些獨(dú)立方方法的運(yùn)用，，例如，制定定的流程和核核查清單的標(biāo)標(biāo)準(zhǔn)。如果管管理層未建立立內(nèi)部控制系系統(tǒng)的監(jiān)測程程序，不論是是獨(dú)立形式評(píng)評(píng)估還是持續(xù)續(xù)的監(jiān)測，將將不會(huì)得到一一個(gè)滿意的評(píng)評(píng)分等級(jí)。12/24/202227COSO-BASEDREPORTINGWecommunicateourauditassessmentstomanagementusingaCOSO-basedcontrolevaluationformthatwedeveloped.Thisform,whichisshownonpage64,providesmanagementwithasnapshotofhowtheauditedareastacksupagainsttheCOSOcontrolrequirements.Theratingsforeachcontrolcomponentareshown,aswellasanoverallsummaryrating,whichdetermineswhetherthereisreasonableassurancethatmanagement’sobjectiveswillbeachieved.Wealsonotetherationaleforanyunsatisfactoryratingsgiven.Thecontrolevaluationformiscompletedpriortotheauditexitconferenceandreviewedwithotherauditorsandauditmanagement.Theseinterimreviewsdeterminewhethersufficientbasisexistsfortheratingsassigned.Auditorsareencouragedtodiscusstheratingswiththeauditcustomer—eitherdirectly,usingthecontrolevaluationform,orindirectlyduringreviewanddiscussionoftheauditfindings.Thesediscussionsaremosteffectivewhenwespeakintermsof"ourcontrolframework"andavoiduseofthe"COSO"acronym.Thecontrolevaluationformisfinalizedastheauditreportisprepared,andacompletedformistransmittedtothegeneralauditorattheendofeachproject.Controlratingsaresummarizedatgroupandcompanysegmentlevels,formingabasisforreportingonthestatusofinternalcontrolstoseniormanagementandtheauditcommittee.Dataistrackedtodetermineunsatisfactorycontroltrends,aswellasareasofauditrisktoaddressinplanningfutureauditprojects.Forexample,ifunsatisfactoryratingsconsistentlyappearinthemonitoringcontrolcomponent,thenadditionalauditemphasisandmanagementvisibilitymaybegiventoself-reviews,controlself-assessment,andsimilarongoingmonitoringtechniques.Allcontrolevaluationsaresummarizedsemi-annuallyandpresented,withappropriateexplanation,totheauditcommitteeaspartofthecompany’sinternalcontrolsystemsassessment.12/24/202228THEROADTOSUCCESSAlthoughourCOSOimplementationhasultimatelybeensuccessful,wedidencounterafewhurdles.Weimplementedtheprocessincrementally,startingwithdevelopmentandtestingofthecontrolevaluationform.ThisearlierversionoftheformcombinedCOSOcontrolcomponentswithinternalcontrolobjectivesfromTheIIA’’sStandardsfortheProfessionalPracticeofInternalAuditing.AnimmediateproblemdevelopedwhenauditorswereconfusedbyvariationsinterminologybetweenCOSOandtheStandards.12/24/202229Inaddition,therewaslimitedunderstandingoftheCOSOframeworkamongauditstaff,andnocriteriaregardingcontrolratingswereprovidedtoensureconsistency.Compoundingtheproblem,twosignificantmergersinvolvingBoeing,Rockwell,andMcDonnellDouglasconsolidatedthreeauditstaffswithdifferentperspectivesonperforminginternalaudits.Ofevengreaterconcernwasthefactthatmanyauditorsfailedtoseeanyrealbenefitinratinginternalcontrols—aperceptionnotwithoutmeritgiventhelackofguidanceandconfusionoverterminology.12/24/202230Theseproblemswereovercomethroughaconsensus-buildingprocesscombiningemployeeinvolvement,managementdirection,detailedwrittenguidance,workshoptraining,andfollow-upverification.Trainingworkshopswereheldtoeducateauditstaffinthenature,purpose,anduseofCOSO.Revisionstoourauditmethodologywerepresentedattheseworkshopstoensureconsistentapplication.COSO-basedratingcriteriaalsowereprovidedtoguideauditorsinreportinginternalcontrolconditions.Toensuregoalcongruence,anewinternalcontrolpolicyandprocedurewereissued,standardizingCOSOapplicationthroughoutthecompanyandemphasizingmanagement’’sresponsibilityforimplementation.12/24/202231Inaddition,seniormanagementsupportwascrucial.Withoutthisbacking,manytypicalbarrierstochangewouldhaveblockedCOSOimplementation.Suchsupportincluded:MemorandafromourgeneralauditorcommunicatingtheneedtoadopttheCOSOframeworkasthebasisforreportingandtrackingtheconditionofcompany-wideinternalcontrols.SeniormanagementassistanceandactiveparticipationatourCOSOworkshoptrainingsessions,conveyingsupportfortheCOSOmodelandtheneedforemployeebuy-in.Auditdirectoruseofcontrolevaluationmetricstoprepareassessmentsofthecontrolenvironment.ProjectmanagementsupportoftheCOSOguidance,includingcheckstoensureproperapplicationofCOSOcriteriaintheauditprocess.12/24/202232Onebenefitofthisefforthasbeenimprovedrepor