内部审计在治理风险和控制中的作用.doc

内部审计在治理风险和控制中的作用A 遵守国际内审协会的属性标准（熟练掌握）1、明确内部审计的宗旨、权力和职责（1000）a 确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准内部审计：是一种独立、客观的保证工作与咨询业务活动，它的目的是为组织增加价值并提高组织的运作效率。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现组织目标。业务：保证工作和咨询活动目的：为组织增加价值并提高组织运作效率方法：方法系统化、规范化对象：风险管理、控制及治理程序进行评价书面文件形式：内部审计章程。要求与标准一致，并经批准，也作为评价内审工作质量和业绩依据，处理分歧的依据要求：1、内审地位 2、授权接触人、资料、实物 3、活动范围批准章程组织：董事会、审计委员会、相关治理机构和高级管理层b 确定内审的宗旨、权力和职责是否通报业务委托人业务委托人：审计监督对象，更是审计服务对象通报目的：消除分歧，分清责任，取信合作实现审计目标c 阐明内审的宗旨、权力和职责宗旨：审计活动要达到的目标权力：实现目标的保证职责：需要履行的责任首席审计执行官定期评价，并报高级管理层和董事会，首席审计执行官的任期标准没有规定2、保持独立性和客观性（1100）a 加强独立性独立性：独立于所审查的活动之外，包括机构独立和人员独立，是否独立就看有没有干扰其活动机构独立性：在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性，不受管理层和其他方面的干扰、阻挠开展活动，机构独立性更重要。不承担组织经营责任机构获得独立性：1、审计章程规定2、向谁报告，理想的是向董事会、审计委员会和相关治理机构CEO（报告行政工作）上述机构必须有足够的权力，这也是 CAE 报告时应考虑的因素。3、CAE 与上述交流沟通，参加相关监督职责会议4、人事任命，理想的是董事会任免 CAE5、审计委员会组成，理想的是没有管理层人员b 加强客观性客观性：是指一种公正的、不偏不倚的态度或精神状态，不与任何方面达成质量妥协，或把自己的观点凌驾于审计事务的判断之上客观性政策：1、审计人员工作避免利益冲突或偏见，可定期轮换工作2、审计人员不承担经营责任，如果承担至少一年后才能审计自己过去工作的地方3、审计工作结果要审查4、对实施前的控制系统进行检查和提出建议，但不能设计、安装和经营该系统5、可以接受大家都能得到的小礼物，不能接受有工作关系的人员送的酬金和礼物个人客观性：1、安排审计人员工作避免利益冲突或偏见，应定期轮换工作，2、不依附他人观点，可依赖外部审计意见3、诚信工作，不作质量妥协4、工作底稿和结果应审查5、不接受礼金和礼物合规性审计客观性强，经营审计、绩效审计、财务控制审计主管判断多独立性和客观性受到侵害怎么办：1、审计人员与被审单位有利益冲突，CAE 重新指派2、审计范围受到限制，书面报告其影响给董事会或权力机构3、具体情况在审计报告或工作报告中进行披露谁来监督首席审计执行官：独立内部审计机构以外的有关方面3、确定是否具备必要的知识、技能和胜任能力（1200）熟练：不必寻求广泛的技术研究和帮助就能完成特定审计工作的能力具备能力：1、熟练的内审标准、程序和技术2、理解（不一定熟练）管理原则、会计学、法律、税收、信息技术等，不要求在会计原则和技术上有广泛的鉴别能力3、交际能力，与被审计单位保持满意关系，不包括审计风险的交流和沟通4、接受后续教育上述能力作为审计机构应当集体具有，知识能力互补，所以具有专业工程技术人员只要有兴趣也可到审计机构工作4、开发和/或取得内部审计活动所必须的知识、技能和胜任能力更专业的领域可以寻求外部帮助，这些领域包括： 1、信息技术、统计学、税收、翻译等2、资产评估 3、合同完成程度 4、舞弊和安全调查 5、精算福利欠款 6、解释法律、管理和技术 7、兼并和收购首席审计执行官负责评价外部能力，但与董事会、高级管理层或其他人员有私人关系和专业关系，与本组织有经济、技术、利益关系的将有损外部审计的独立性5、运用应有的职业审慎职业审慎：运用专业熟练和技术发现损害组织利益的行为，对一些现象保持警惕，对控制不当地方提出改进建议。审慎，不是要求对所有的交易进行检查，也不杜绝违纪现象运用审慎：1、根据审计风险安排计划，确定审计工作重点2、开展我们具备知识和经验的方面审计，不足部分寻求外部帮助3、工作中处理足够的信息，如扩大审计范围6、促进持续专业发展a 为内审人员制定并实施持续专业发展计划：考证、学历、继续教育（无硬性时间要求） 、专题讨论b 通过持续专业发展提高个人能力：考 CIA、参加会议、研讨会、大学课程、内部培训7、促进内审活动的质量保证与改进（1300）a 建立和保持质量保证与改进项目：是否遵循标准 道德规范 ，关键是内审章程 ，满足上级要求b 对内部审计监督质量保证与改进项目的效果（三方面）监督：是否遵守标准和审计方案内部评价：定期自我检查活动情况，CAE 指定个人或小组对工作进行评价，提出建议外部评价：必须独立于组织外部，不能有利益冲突，如果由内部其他部门评价会有利益冲突c 将质量保证与改进的结果报告董事会或其他治理机构报告内容：机构对标准的遵守情况，以及对机构章程和其他适用标准遵守的情况，提出改进意见，对不合规的行为应披露事实和造成的影响d 实施质量保证程序并建立改善内审业绩：评价之后编制书面行动计划，恰当的跟踪措施8、遵守和促进对 IIA道德规范 的遵守正直、客观、保密、胜任能力正直：按要求披露信息客观：行为上不参加有损害的活动，不接受妨碍职业判断的东西，充分揭露事实（注意对象）保密：不经适当授权不披露信息，对外发布信息不是审计师的职责，而是董事会的事情能力：熟练，理解，高效B 以风险为基础制定计划确定内审重点（熟练掌握）1、建立评估风险的框架风险：是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性，用潜在的货币化，或不利影响衡量，后果包括：错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务COSO（ IIA 和 AICPA 专业联盟）内部控制框架：（金字塔模型）底层：内控环境：影响内部控制的各种因素调查：风险评估：是在既定的经营目标下分析并减少风险。这一环节是 COSO 内部控制整体框架的独特之处。措施：控制活动：包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型 )；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个操作或交易；“四只眼睛”的原则（用四只眼睛盯一笔业务） 。联系：信息与交流：是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。高层：监控：意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。2、应用该框架首席执行官确定审计计划时采用的风险评估框架：内部环境目标设定事件识别风险评估风险回应控制活动信息沟通监督考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素风险损失：风险带来损失的金额乘以概率，但不是所有风险都可以量化的审计风险：检查中可能没有发现重大错误或弱点，导致审计失败，不是制定计划考察的组织风险3、识别内审资源需求审什么：1、对组织可审活动进行分类2、分析其带来的风险（潜在损失金额大的不是唯一标准，还要考虑发生的可能性）3、按风险大小进行排序4、特别关注部分，管理层的要求也许比审计委员会的要求更具有紧迫性数量化风险评估模型：对全组织的各项风险因素进行排列，并赋予分值进行综合评估，得出审计重点，风险因素包括管理层对完成目标的信念意识和紧迫感、人力资源、资产配置、市场变化、内部信息化程度、预测能力等，审计纠错执行情况，已审计过的对象也是考虑因素。优点：审计长期计划提供依据，主观判断减少，系统化。但不是所有风险都可以量化的。对多个审计单位风险评估：给各单位 5 各风险因素，每个风险因素 15 分，分析后，加总各单位分值，那个分值最高，那个单位先审计划安排审计资源：审计人员配置（人数、能力）和财务预算（经费） ，工作日程安排上应有一定的覆盖面，审计日常工作：工作日程安排、管理活动、教育培训、审计研究和发展一般分工：CAE：审计工作计划的制定 与高级管理部门的沟通 审计工作的最终复核经理：具体审计事项的组织实施工作内容的初步调查审计现场的监督管理复核工作底稿和审计报告草稿与被审计单位管理层沟通人员：执行审计程序编制工作底稿编制初步报告现场沟通等4、与各方面协调内审工作需要协调的部门：外部审计师（要求信息共享，工作底稿和审计方案的保密性不妨碍内审使用） 、法规监督机构、其他内部保证部门（承担某些方面的监督、控制和保证工作，内部审计不根据他们的要求改变章程要求，以保证独立性） ，对于调查中发现人员的弱点应记录，并确定潜在的影响5、选择审计业务内审范围及重点：1、财务和经营信息资料的可靠性和完整性2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况3、审查资产保护方式4、评价资源利用的经济性和有效性5、审查经营项目，确认结果和目标是否一致审计资源不足：向董事会和高级管理层报告可能带来的后果，报告还包括审计范围、资料的限制C 理解内审在公司治理中的作用（熟练掌握：1 道德氛围评估、2 报告机制评估、3 报告控制评估、4 特定领域评估、5 外部审计评估、6 公司行为商业惯例遵循评估、7 业绩测评系统评估、8 整改效果评估、9 防范舞弊评估）1、获得董事会对内审章程的批准（获得独立性，确定目的、责、权）2、沟通审计业务计划如何沟通：1、工作业务计划报高级管理层审批2、中期计划重大变动沟通3、执行中资源不足、范围、资料限制后果的报告3、报告重大审计事项和机构工作业绩指标例行报告：定期（一年）提交董事会工作报告，组织报告规则：行政上报首席执行官（行政工作） ，职能上向董事会报告（业务工作）1、 重要的审计发现和建议2、 审计工作计划、人员计划和财务预算执行偏差和原因重大事项：CAE 判断对组织不利影响的情况，报告步骤：1、先与高级管理层讨论2、对审计事项高层讨论决策结果报董事会3、高层决定不行动承担风险或其变动，最好再向董事会报告4、涉及高层管理者，可不向本人报告，直接报董事会或审计委员会中期报告：在无法发布最终审计报告时，可发布中期报告包括特别关注事项、审计范围变化、需要延长时间等5、讨论重大风险领域内审不是对风险进行管理（管理责任是管理层的事） ，而是对组织风险管理过程进行评估和报告管理层对风险接受水平不符合组织战略目标时，CAE 与之讨论，问题得不到解决报董事会，董事会有针对性的决定，管理层不能有效执行，报董事会6、支持董事会开展全公司的风险评估检查、评价风险管理过程充分性和有效性（充分性、有效性的概念在后面的报告内容中有）风险评估程序：1、行业趋势带来的风险2、检查政策、董事会和审计委员会会议记录，评价接受风险接受程度3、检查内外发布的风险评估报告4、与管理层讨论，确定各部门目标及风险监督5、收集、评估降低风险的内控活动的有效性6、评估报告，及恰当性、充分性、及时性，建议的全面性、完善性、有效性7、管理自我评价的客观性和有效性8、与高层评估讨论风险控制可以接受的水平7、检查内审机构在组织内风险管理框架中的定位组织各层次的职责定位：1、董事会：负责制定战略目标的制定2、高级管理层：赋予风险所有权3、执行层：接纳剩余风险4、运营层：负责持续识别、评估、减轻和监督活动5、审计机构：负责定期评价并协助其他部门进行风险管理内审在风险管理中的做事原则：1、没有建立风险管理流程的，提请管理层注意2、内审只在建立过程的初期积极协助，但更积极的是用保证和咨询业务进行补充3、章程中应规定，内审可以促进、协助风险管理过程的建立，但不负担风险管理责任8、监督遵守公司行为规范和商业惯例情况公司行为规范：由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度商业惯例：是在商业活动中形成的被广泛接受的通用做法，一般是非正式的，但违反会对组织带来不利影响内审对其评估内容：1、书面道德规范是否存在，各层次执行标准是否不同，对其了解机会和接触情况2、是否对各层次人员进行讲解，并强调重点 教育3、员工和代理理解和接受规范4、有无措施促进其遵守（监督、举报、奖惩） 管理5、高层监督其执行情况6、公司行为是否遵循规范和商业惯例 公司行为防止商业回扣有效办法，与供货商签订长期合同，合同条款由董事会审批，并在道德规范中禁止9、报告控制框架的有效性充分性：控制系统能否适当的保证机构的任务和目标有效的完成，考虑成本效益原则有效性：能否取得预期的效果，是否达到预期的控制目标控制目标：财务和运营信息的可靠性和完整性，运营工作成效，资产保护，遵守了法律、规定和合同评价标准：组织标准，行业、专业、协会标准，如果管理目标和标准模糊，寻求权威解释。衡量标准应与被审单位达成一致评价程序：确定检查范围、收集证据、单项评价、总体评价。总体评价：1、是否发现了漏洞和薄弱环节 2、发现之后是否进行了改进 3、是否存在无法接受的风险报告三种意见方式：1、否定式：没有发现2、保留意见，发现，但总体上不至于失控3、否定意见，重大漏洞或严重薄弱环节，控制系统总体上作用很小甚至失效萨奥法案对报告的要求：季报、年报，CEO 和 CFO 必须书面声明：1、 审核了报告（负责制定和维护了信息披露控制和流程）