内部审计课件

* 1 企业内部审计前沿问题研究 主讲人：贺健 小组成员：贺健 徐康 呙道勇 肖颖 张颖 * 主要内容 1. 企业内部审计的现代理念 2. 企业内部审计的前沿课题 3. 企业内部审计的现状与思考 2 * 热点内审新闻 面对世界性金融风暴 内部审计无能为力 3 李金华称，通过这次世界性的金融危机，应该更加理 性地看待内部审计的作用 内部审计不是万能的。它作 为内部监控制度，在强化企业管理、防范风险等方面发挥 了很大作用，但是在世界性的金融风暴中，内部审计是无 能为力的，它不能将所用的风险都囊括在监控之中。 人民政 协报 2009.3.5 * 热点内审新闻 金融危机促使企业进一步重视内部审计 4 中国内部审计协会与德勤永华会计师事务所日前联合发布 的 2009年内部审计热点问题调查报告 显示，金融危机促使 企业主要领导进一步提高了对内部审计的重视程度 调查显示，分别有 84% 和 60% 的受访者认为金融危机使企 业主要领导提高了对风险管理和内部控制，以及内部审计的重 视程度； 65% 的受访者表示事前事中审计的日益增多有助于流 程的前端风险防范 新 华 网 2009.4.30 * 热点内审新闻 中国大陆与香港内部审计能力与需求调查 5 全球领先的商业咨询和内部审计专业机构甫瀚咨询（ Protiviti）联合中国内部审计协会发布了第二年 中国大陆与香 港内部审计能力与需求调查 报告。报告显示，在金融危机环境 下，中国内部审计人员评价自身的一般技术知识能力较低，其中 信息安全连续两年能力水平最低，亟待改善；在审计流程知识方 面，应对舞弊的知识技能成为受访者的关注焦点；个人沟通能力 （公开演讲和战略性思考）则继续受到业内人士的高度重视 中 华 工商 时报 2010.1.14 * 热点内审新闻 内部审计有苦难言 6 某企业招聘三名员工，将考核后的第一名安排到集团上市 公司财务部，第二名安排到集团公司财务部，第三名安排到审 计部。 一些不愿被看到的事实正在发生，很多企业虽然设置了内 审部门，但只是将其作为一个摆设而已。这显然与内审所应发 挥的作用相去甚远，因为内审相对于中介审计的优势就在于能 够贯穿于事前、事中和事后，对企业经营的全过程进行监督和 评价。因此，很多内审人员越来越感觉到有被边缘化的趋势。 中国会 计报 2009.7.3 * 内部审计的现代理念 关于内部审计的传统观念 7 成本中心 非增值 部门 公司警察 小题大做 耳目眼线 法定负担 查错防弊 * 内部审计的现代理念 内部审计经典定义（ IIA， 1999） 8 内部 审计 是一种旨在 增加 组织 价 值 和 改善 组织营 运 的 独 立 、 客 观 的 鉴证 和 咨 询 活 动 ，它通 过 系 统 化、 规 范化的方 法来 评 价和改善 风险 管理 、 内部控制 和 治理程序 的效果， 以帮助 实现组织 目 标 对内审的组织地位和专 业能力提出了极高的、 有时候并不现实的要求 * 内部审计的现代理念 价值（ Value） 9 价值 利润 价值：创造未来现金流量的能力 经济增加值（ Economic Value Added, EVA ） 现代内部审计目标经历了由消极除弊，到积极兴利，再到 价值增值的发展历程（王光远， 2003） 经济增加值 = 税后净营业利润 资本成本 = 税后净营业利润 资本总额 加权平均资本成本 * 内部审计的现代理念 内审理念 10 内部审计不仅是现实资产的守护者、财务账表的复核者、会 计核算的勾稽者，更是强化管理的促进者、提高效能的推动者、 价值增值的促导者 内部审计必须以 “强管理、防风险、促发展 ”为己任，积极探 索以 “风险为导向、控制为主线、治理为核心、发展为目标 ”的管 理审计和绩效审计，积极探索以 “事前审计为基础、事中审计为重 点、事后审计为保障 ”的审计模式 刘家 义 * 内部审计的现代理念 内审理念 11 重监督，也重服务；重结果，也重过程；重事后，更重事 中、事前；重财务，也重业务和管理；重合规，更重 3E（经济 性、效率性、效果性）；重审查，也重建议；重当前，也重战 略性和长远性；重静态，更重动态；重内部控制，也重风险管 理；重独立行为，也重互动 易仁萍 * 内部审计的现代理念 内部审计人员之歌 12 在阳光下，在风雨中，前进的脚步依然匆匆 我们是内部审计人员，无比自豪，无比光荣 防范风险 ， 加强内控 ，我们把握着方向 增加价值 ， 实现目标 ，我们肩负着使命 啊，内部审计人员像律动的琴弦 有清纯的音符谱写着和谐社会的乐章 啊，内部审计人员像绽放的荷花 用绚丽的色彩描绘出伟大祖国美好前程 * 内部审计的现代理念 案例：通用电气公司（ GE）的内部审计 目标： “ 超越账本，深入业务 ” 以财务为主线的审计，其审来审去终究审的是一种 结果 ，是 以 既定的事实 、 无可弥补的损失 为代价的，因而他们愿意花 费更多的时间和精力去研究可能蕴藏更多矛盾和更多问题的 企业管理环节 13 审计就是 “查账 ”的 想法是错误的 * 内部审计的现代理念 案例：通用电气公司（ GE）的内部审计 内容：多样化的经营审计（或管理审计） 企业发展战略和经营决策审计、投资效益审计、市场景气状 况审计、物资采购审计、生产工艺审计、产品推销审计、研 究与开发审计、人力资源管理审计、后勤服务系统效率审计 、信息系统设计与运行审计等，甚至对环境污染、社区关系 等因素对企业利益和持续经营的影响也进行评估， “ 绿色 ” 审计、社会责任审计也成为内部审计的重要内容 14 * 企业内部审计前沿课题 风险导向审计 15 以基于目标、战略和流程的风险识别和分析为基础，确定审计 项目安排的优先次序和审计资源的分配，并在特定项目审计计划中 确定审计重点的审计理念与方法 后果 概率 风险容限剩余风险 固有风险 控 制 风险导向内部审计 * 企业内部审计前沿课题 风险导向审计 16 风险评估流程 风险辨识 风险分析 及评价 重大吗？ 持续监控 内控有效吗？ 什么会妨碍企业 达到战略目标？ 考虑风险潜在的影 响及发生的可能性 是 持续监控 是 实施应对 方案 否 否 * 企业内部审计前沿课题 风险导向审计 17 风险排序 后果 大小 低 中 高 小 中 大 概率 高低 * 企业内部审计前沿课题 讨论 请列举您认为的企业最大的经营风险及其来源 18 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 操作流程 19 识别审计单元 识别风险因素 计算风险因素权重 风险因素排序 项目选择及排序 定义审计深度 计算风险降低水平 分配审计时间 审计资源配置 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 风险因素识别 20 规模 ：审计单元的金额重要性及雇员人数 内部控制 ：审计单元的内控质量，依据以前年度审计结果及管理 层对内控的重视程度而定 变化 ：管理层及关键员工的变动，业务活动、组织结构、商业系 统以及外部坏境的变化 环境因素 ：政治风险、商业模式、法律、经济及文化环境 内外压力 ：管理层面临的预算目标等内部压力，以及由于经营业绩 考核和经济景气程度带来的外部压力 业务类型及范围 ：审计单元的生产、研发、出口、产品线多样化程 度等 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 风险排序结果（仅列出前 5位及后 5位） 21 审计 单元 风险因素 排序 结果规模 6% 内控41% 变化26% 环境 6% 压力 5% 业务15% 1 4 5 4 4 2 5 4.44 2 5 5 4 2 2 5 4.38 3 4 5 4 4 2 2 3.99 4 4 5 3 4 2 3 3.88 5 3 5 4 3 2 3 3.87 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 风险排序结果（仅列出前 5位及后 5位） 22 审计 单元 风险因素 排序 结果规模 6% 内控41% 变化26% 环境 6% 压力 5% 业务15% 53 5 1 2 3 3 4 2.19 54 2 2 2 2 2 3 2.15 55 2 2 2 3 2 2 2.06 56 2 1 2 1 3 4 1.89 57 2 2 1 2 1 2 1.68 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 审计深度与风险降低程度的界定与计算 23 Level 1：有限复核，以管理层访谈为主，无需详细测试 Level 2：对关键业务循环的集中测试 Level 3：对所有业务循环的全面测试 风险降低系数（用于衡量审计工作的效果）主要考虑因素（ 计算公式略）：审计深度、风险指数、审计人员对项目的熟 悉程度 * 企业内部审计前沿课题 Janssen国际 制药集团公司风险导向内部审计案例 审计时间分配 24 审计单元 审计深度 风险降低系数 时间要求（人工小时） 1 2 2.17 378 2 2 2.25 333 3 2 1.88 205 4 2 1.81 246 5 2 1.91 190 小计 43.09 6402（ 6400可用） * 企业内部审计前沿课题 风险管理审计 25 概念分析与基本要求 内部审计师通过对于企业风险管理的恰当性和有效性进行检 查、评价、报告和提出改进建议，来协助管理当局、董事会或 审计委员会（ IIA, 2004） 风险导向审计 VS.风险管理审计 内审部门应独立于风险管理部门 * 企业内部审计前沿课题 风险管理审计 26 流程 图 目 标 战 略 经营风险 关键风险是否 已得到识别 是否已采取适 当的应对措施 风险是否已得 到适当评估 应对措施是否 得到恰当执行 剩余风险是否 不超风险容限 是 是 是 否 否 否 无效 否 否 是 是 有效 改进建议 持续监控 * 企业内部审计前沿课题 案例： 摩根斯坦利（ Morgan Stanley ） 风险管理审计 27 内部审计在风险管理体系中的作用和地位 ： 内部审计部门提供独立的风 险与控制评估，并同时向审计委员会和法律总监（ Chief Legal Officer）报 告，对于审计委员会的报告是业务上的，对于法律总监的报告是行政上的 ；内部审计部定期检查公司的运营与控制环境，并执行涵盖所有主要风险 类别的审计工作 审计委员会对于风险管理的监督职责 ： 复核或在适当情况下与管理层、 内部审计师讨论公司在风险评估和管理方面的指南、政策与程序；复核公 司及其业务分部主要的风险敞口，包括市场风险、信用风险、财务风险、 法律及其他风险，以及管理层所采取的监督与控制风险敞口的措施；向董 事会提供与上述事项相关的结论 * 企业内部审计前沿课题 IT审计 28 电 子商 务 （ E-Commerce） 企 业资 源 计 划（ Enterprise Resources Planning， ERP） 内 审 人 员对 于企 业 IT系 统 的 安全性 、 稳 定性 和 有效性 应进 行独 立 测试 和 评 价 对于复杂、高度集成的 IT系统，缺乏必要计算机审计技术的审计人 员可能什么问题都查不出，而对于精通相关技术的审计人员，被审计 单位可能什么问题都藏不了 * 企业内部审计前沿课题 案例： 审计署信息系统审计小案例 29 审计署现在对天津中化集团的审计中，发现了重大审计线索，该 集团的 ERP模拟系统中，客户端到 ERP服务器之间用户帐户信息的 传送要经过办公网，数据无加密，这样在该集团办公网上的任意一 台计算机都可以通过一定的技术截取帐户信息，找出帐号、密码， 而且该技术还不需要多少技术含量 可以预见，该系统存在的重大系统安全漏洞，可能已经造成中化 集团各业务系统被人为入侵 * 企业内部审计前沿课题 计算机辅助审计（ CAAT） 30 计 算机 辅 助 审计 技 术 （ Computer Assisted Audit Technology ） 面向数据 的 CAAT： 利用 CAAT完成数据提取、查询、排序、抽 样、复核、统计等，可提高证据搜集的效率，节约审计成本 面向系 统 的 CAAT: 直接测试被审计单位所运行的信息系统，例 如测试应用软件的性能、检查实际使用的软件版本是否为事先规 定的版本等 * 企业内部审计前沿课题 计算机辅助审计（ CAAT） 31 审计 人 员 的工具箱 Excel， Access， SQL， SAP， IDEA， ACL，用友审易， 中审审易、北京鼎信诺，博科审计之星等 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 32 辛西娅 库珀（ Cynthia Cooper）：世 通公司审计部副总经理，顶住重重压力 （包括来自其顶头上司财务总监的压力 ），找到世通弊案（高层通过将经营费 用转作资本支出进行了大规模的利润造 假）关键证据 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 33 为了获取世通会计造假的直接证据，必须进入世通电脑化的会计 信息系统调阅相关的会计分录和凭证。然而，只有经过财务总监苏 利文的批准，内审部才有资格不受限制地使用世通的电脑会计系统 为了不惊动苏利文，辛西亚决定秘密行动，她嘱咐下属摩斯另辟 蹊径，侵入电脑系统；颇有 “黑客 ”怪才的摩斯没有让辛西亚失望， 很快就利用信息部安装和调试新系统的机会，获得了进入电脑会计 系统的方法 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 34 鉴于世通很多有疑点的资本支出都是由总部化整为零转嫁至各地 分支机构进行记录，摩斯进入电脑会计系统后，将取证重点锁定在 “内部往来 ”，结果发现 “内部往来 ”发生频繁，每月大约有 35万笔 有一次，摩斯偷偷下载这些数据时，服务器几乎瘫痪了，导致信 息部紧急关闭电脑会计系统，这一插曲差点使摩斯的 “黑客行动 ”败 露；自此，摩斯只好选择在夜深人静时，进入负荷较轻的电脑会计 系统下载数据；经过一周的加班加点，摩斯成功地收集了世通将 20 亿美元经营费用 “包装 ”成资本支出的直接证据 * 企业内部审计前沿课题 CAAT与 “班福定律 ”（ Benfords Law） 35 首位数字 奔福德定律分布 样本分布 1 30.10% 32.60% 2 17.60% 15.30% 3 12.50% 9.50% 4 9.70% 8.90% 5 7.90% 6.80% 6 6.70% 12.60% 7 5.80% 4.70% 8 5.10% 4.70% 9 4.60% 4.70% * 企业内部审计前沿课题 内部控制自我评估 36 美国 SOX 404条款 中国上市公司 2010年 1月 1日起需按照 企业内部控制基本规范 对 企业内部控制的有效性进行自我评估，并出具报告 内部审计部门应协助管理层完成内控有效性的自我评估，识别企业 内控重大缺陷 内部审计部门定 期评估内部控制 的重要性 * 企业内部审计前沿课题 内部控制自我评估 37 财 政部 发 布的三 项 内部控制指引（征求意 见 稿） 应用指引 评价指引 鉴证指引 * 企业内部审计前沿课题 案例：万科 2008年内部控制自我评价报告 在董事会、管理层及全体员工的共同努力下，公司已经建立起一 套较完整的内控体系，从公司治理层面到各流程层面均建立了系 统的内部控制制度 董事会负责内部控制的建立健全和有效实施，经理层负责组织领 导企业内部控制的日常运行；董事会下设立审计委员会，审计委 员会负责督导企业内部控制体系建立健全，监督内部控制的有效 实施和内部控制自我评价情况；公司审计部直接由审计委员会指 导工作，其负责人由董事会任命，保证了其机构设置、人员配备 和工作的独立性。监事会对董事会建立与实施内部控制进行监督 38 * 企业内部审计前沿课题 案例：万科 2008年内部控制自我评价报告 评价内容 内部环境 ：公司治理、机构设置、人力资源、企业文化 风险评估 重点业务活动控制 ：销售、成本、资金、采购、重大投资、 对子公司管理、关联交易、对外担保、募集资金使用、信息 披露 信息与沟通 内部监督 39 * 企业内部审计前沿课题 案例：万科 2008年内部控制自我评价报告 内部控制自我评价结论 董事会认为，公司已经建立起的内部控制体系在完整性、合 规性、有效性等方面不存在重大缺陷，但由于内部控制固有 的局限性、内部环境以及宏观环境、政策法规持续变化，可 能导致原有控制活动不适用或出现偏差，对此公司将及时进 行内部控制体系的补充和完善，为财务报告的真实性、完整 性，以及公司战略、经营等目标的实现提供合理保障 40 * 企业内部审计的现状与思考 我国企业内部审计现状分析：进展 41 大型企业董事会中引入了独立董事，并且设立了薪酬与提 名委员会、审计委员会等专门委员会，建立了内审部门向审 计委员会的报告关系 绝大部分企业都设有内部审计职能，相当大一部分企业单 独设置内审部门，少数企业将内审与纪检、监察部门合设， 内审部门一般由公司审计委员会、监事会、总经理、财务总 监、总会计师等领导 * 企业内部审计的现状与思考 我国企业内部审计现状分析：进展 42 内部审计在改善公司运营、加强风险控制、促进目标实现 方面的重要作用得到了普遍的重视 内部审计部门人员具有较好的学历和专业结构，绝大部分 内审人员具有大学本科以上学历，且在在会计、审计、计算 机、法律、工程等专业上有着比较合理的搭配 内部控制自我评估、风险管理审计等新型审计得到了初步 开展，风险导向审计方法得到了初步的运用 * 企业内部审计的现状与思考 我国企业内部审计现状分析：问题 43 公司董事会、高管层对于内部审计性质、目标、职能等基 本问题的认识有待进一步深入，不少公司仍将内审的基本职 能定位为查错防弊 仍然有不少企业将内审部门视为非核心部门，甚至内审人 员自己也并不认为内审属于核心部门，审计报告往往得不到 应有重视，应用价值有限，而且存在 “屡审屡犯 ”的情况 * 企业内部审计的现状与思考 我国企