内部审计在治理风险与控制中的作用讲义

n更多企业学院： 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料n更多企业学院： 中小企业管理全能版183套讲座+89700份资料总经理、高层管理49套讲座+16388份资料中层管理学院46套讲座+6020份资料国学智慧、易经46套讲座人力资源学院56套讲座+27123份资料各阶段员工培训学院77套讲座+ 324份资料员工管理企业学院67套讲座+ 8720份资料工厂生产管理学院52套讲座+ 13920份资料财务管理学院53套讲座+ 17945份资料销售经理学院56套讲座+ 14350份资料销售人员培训学院72套讲座+ 4879份资料2009年CIA内审师_内部审计在治理风险和控制中的作用_预习讲义021.1管理内部审计职能 内部审计主管应遵循IIA属性标准。审计执行主管要能够有效管理内部审计部门,使审计工作能实现经高层管理者批准并得到董事会认可的总体目标和职责，既有效率又有效果地使用各种资源,遵循。高层管理者和董事会：管理者指的是管理层，董事会指的是所有者。有时候对于高级管理层和CEO不加以区别，是因为CEO往往是董事会成员。所以报告董事会也就等于报告管理层。内部审计的定义和发展内部审计职业自50多年前在内部审计职责说明做出第一个定义以来情况不断发生变化,在这期间内审人员的工作从评价管理控制的有效性,扩展到帮助组织改进管理，增加价值,实现目标。这种变化使内部审计职业有必要重新研究其基本假设。反映环境和情况的变化。1997年国际内部审计师协会成立指南特别小组（GTF）来检查内部审计实务标准的适用性,并提出修改建议。 小组在开始研究的时候发现,由于内部审计服务的新类型不断出现,原定义确定的范围已不符合内审计职业的迅速发展。需要用一个更具灵活性、范围更广泛的定义来取代。他们还发现以前的定义只是描述内审人员应当如何工作，并把要做的事情一条条列出来.而没有强调内审能为组织提供多种服务,能为组织创造更多的价值，也没有强调内审人员应与董事会、高级管理层和股东进行沟通，使他们了解内审能为他们提供什么服务,因而不利于内审职业在激烈的市场竟争中发展自己。于是着手拟定新义,以反映内审职业发展的新趋势。1947-2001年内部审计定义的演变（1）1947年定义：“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”内部审计虽然从会计分离出来，成为一个独立的职业了，但它仍然以财务、会计为基础。它回答了内部审计是做计么的：审查财务会计和其它经营活动。它反映了形势的要求,内部审计不仅可以处理财务会计问题,而且有时也处理经营管理中的问题。它首次为内部审计定位为:独立评价活动。这种观点坚持了53年,直至2000年第七次修改才作了调整。它初次提出为管理服务的方向。这个观点坚持了22年。虽然它前面加了一个定语：“保护性和建设性”显得有点累赘。（2）1957年：“ 内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。”（管理控制，体现了审计的监督作用）删去处理财务会计问题，有时也涉及经营管理中的问题。因为只要内审是建立在审查财务、会计和其它经营活动基础上，就必然会去处理这些问题，是无需重复的。首次提出内部审计“是一种衡量、评价其它控制有效性的管理控制。”从而大大提高了内审的地位。指出它是一种管理控制，但又反过来衡量、评价其它控制的有效性，体现了审计是较高层次的监督。（3）1971年：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。（财务审计向经营审计发展）这条定义最突出的一点是取销了“建立在财务会计基础上”这句话。但保留了“建立在审查经营活动基础上”这一句。这预示着内部审计从财务审计向经营审计的方向发展。但不意味着内部审计从此不审查财务会计，不去处理财务会计问题，而是说审查、处理财务、会计问题是理所当然的，不言而喻的，它已包括在“审查经营活动”这一概念中了。（4）1978年：“内部审计是建立在以检查、评价组织为基础的独立评价活动，并为组织提供服务”。（为组织服务，不是某一管理部门）这条定义最令人注目的是，将为管理服务改为为组织服务。把内部审计服务的范围扩大。然而这不是要排斥为管理服务。正如维克托. 布林克所说:内部审计的主要服务对象依然是管理。所不同的是,为组织服务要求审计人员以整个组织为服务对象,而不是以某一管理部门及其人员为服务对象。要求他们站在整个组织的立场上观察和评价问题,为组织的长远的全局的利益服务。因为组织的长远利益才是组织的根本利益,是解决各种问题的基础。（5）1990年：“内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。这条定义突出的一点是，把内部审计定义为:是建立在一个组织内部的，以与外部审计相区别。这个提法到2000年第七次定义时被修改。至于为组织服务是为谁服务仍未解决。（组织内部，区别于外部审计）（6）1993年：本次定义除了确认上次定义之外,明确指出：“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。从而解决了为组织服务是为谁服务的问题。（7）2001年 ：内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标这个定义同93 年定义相比,删去了“组织内部”和“评价活动”这两个词。这是因为“组织内部”一词暗示着内部审计工作只局限于组织内部, 不利于外部借助内审工作，也不利于内部审计借助外部的帮助。取销它预示内部审计未来有一个更为广阔的活动空间，而不是要表示内部审计将成为外部审计，也不意味着组织内部的管理活动和决策将委托外部人员来完成。组织内部的事是不能假手外部的人员来完成的。安然事件就是一个很典型的例子，我们在后面还会有所讲解。与此相关取消了“评价活动”一词。独立评价活动一词从1947年第一次定义以来坚持了53年。因为这个词指的是对组织内部活动进行审查和评价, 同样是将内审活动局限在组织内部,它没有反映出内审在组织中日益增加的作用和影响范围的逐步扩大。因而在新定义中用“咨询”一词来取代。（a）内部审计章程 目的、权限、责任内部审计章程是内部审计部门的基本政策确立审计部门地位章程树立了内部审计部门在整个组织架构中的地位，内部审计部门是独立于其他部门进行工作的。内部审计章程描述了内部审计主管向CEO报告这一组织地位，但是也可以直接向董事会报告。行政上向CEO 负责，职能上向审计委员会负责。（i）内部审计部门的目的（非常重要，每一个都要有所了解）根据政策和程序,审核组织活动,确定执行控制职能的效率和效果确定内部控制系统的效果审核财务信息的可靠性和完整性,并审核识别,计量,分类和报告这些信息的方式审核资产安全保障的方式,核实资产的存在性评估资源使用的效率和经济性审核经营情况和计划同外部审计师进行协调审计计算机系统的规划,设计,开发,实施和运行工作对计算机中心进行审计参加并购审计的规划和实施,确保审计目标完成报告审计结果,提出建议评价纠正措施,并确保纠正措施有效注意点: 内部审计章程和主管的报告关系，以及审计委员会构成，体现了独立性和客观性。章程是审计部门与外界接触的权利来源，审计部门的权限来源于章程的规定。（ii）权限内部审计部门在执行任务时,要全面,自由,不受限制的接触同审计工作有关的各种记录,人员和实物资产.审计人员应当直接接触审计委员会，强化内部审计的独立性和客观性。不能受到其它部门个人的制约和影响。（iii）责任内部审计部门通过审核,检查和评价有关活动,提供有关分析,评定,报告有关发现和提出有关建议的方式,实现辅助管理层的目的.开展审计工作要保持应有的职业审慎，职业审慎的建立来源于适当的教育，经验，证书，态度和诚信等方面。（b）内部审计计划什么是内部审计计划？审计计划就是对未来要被审计的领域及其详细日程的安排。内部审计主管制定计划履行部门职责,计划与章程保持一致,符合组织目标.内部审计计划过程包括：目标建立,审计工作安排,员工配备,财务预算,活动报告等。制定计划时候，内部审计师应该审核所有相关信息。（i）风险分析模型与制定长期审计安排表有关。定量的风险评估是制定审计计划工作的基础。风险评估的关键是内部审计人员的判断（主观性）技术缺失不是风险因素，因为可以从其它地方获得审计计划未来将要审计的领域及其详细日程的安排每一项审计活动的时间估计组织风险,暴露和潜在损失每一项审计活动的开始日期审计活动不包括:审核战略管理,用定性和定量方式对决策质量进行评估,向审计委员会报告结果（战略规划和决策是高级管理者的基本职责，内部审计人员不具备审核这些活动的资格）三类不同审计的计划。长期，中期和短期。注：内部审计的职能范围不包括审核战略管理过程。内部审计目标可以达到,可以评价，可以考核的（例如：完成的培训小时数，根据计划完成的审计实践，审计业务数量等）计划人员配备要求的最可能渠道是同执行管理层和委员会讨论审计需求，而不是审核审计人员的教育和培训记录。长期审计工作安排：计划与内部审计部门章程保持一致，可实现。关键概念：审计计划审计章程:长期文件,不是计划工具审计安排:长期计划工具审计部门预算:中期计划工具审计方案:短期计划工具审计师不应该审计以前工作过的部门审计活动分配工作基于可审计领域的相关风险。需要考虑的重大标准：某部门在运营上的重大变更；某部门有更多的机会取得经营收益；不重要的标准：新增加人员；在某个可审计领域具备经验等例如：如果审计资源稀缺，那么对公司的现金管理和信贷政策的审计要安排在以下三项之前（1）公司道德规范和利益冲突政策（2）员工工作时间报告机制（3）预算编制和预测活动报告内部审计主管定期向管理层和董事会提交，与审计工作安排比较。（c）政策和程序指导审计人员在日常工作中遵循该部门的工作标准；内部审计主管提供书面政策和程序指导审计人员。审计质量控制符合，审计职务描述，审计师业绩评定不重要。（1）审计手册审计手册是否正规，取决于内部审计部门规模。例如超过5个员工的部门，应当编写正规的审计手册。制定书面政策和程序时，也要考虑内审部门的结构和规模。有越多的人使用手册，就需要更多的解释和分析。（2）员工会议定期召开员工会议，改进沟通。通过讨论问题和了解最新政策，可以获得合适的审计方法。对于影响内部审计工作的传言，内部审计主管应该在员工会议上直接澄清。（3）利益冲突通过要求审计师向主管报告利益冲突情况，提高内部审计人员的独立性。（4）审计报告职业审慎要求：审计人员意见建立在充分事实证据基础上，保证审计意见表达的合理性；应有的职业审慎建立在合理的工作量基础上，并不要求开展大范围的审计。报告分发：分发给相关人员，对于高层经理，一份总结报告即可。报告类型：政策中规定报告类型（年度报告，中期报告）；沟通形式（书面，口头）；报告使用者类型（外部，内部）等。审计政策要求审计报告在没有得到管理层响应之前，是不能出具的。但是，如果是发现了重大问题，审计报告没有得到管理层响应，最好的替代办法是出具一个关于重大发现的中期报告。考虑时间因素。最终要经过内部审计部门主管审核，批准和签名。如果高级管理层存在问题，审计报告送交审计委员会。（5）后续改进确保采取了纠正措施，并取得了应有的成效。如果没有采取纠正措施，审计师要确定管理层或董事会承担风险。可能的情况：审计委员会审核内部审计报告结果时，执行管理层决定接受而不采取措施的风险，这时，内部审计主管的选择是已经履行了内部审计职责，不要求采取下一步审计活动。（d）人事管理和开发 内部审计主管要制定内部审及部门的人力资源方案。制定良好的甄选标准，是内部审计部门人力资源方案成功的关键因素。（1）招聘内审人员要能熟练运用内部审计准则、程序和技术。判断应聘者是否成为合格的审计人员的最可能的判断标准：是否能很好组织并表达自己思想的能力最不可能的判断标准：大学会计课程的平均学分，对公司的了解等。对希望召入的审计人员的有关资质和业务熟练水平取得合理保证。如大学成绩单，证明信确定工作经验等。知识和技能的互补性：如果某审计人员全面了解内部审计技术、会计学和管理原理，对经济学和计算机不了解，在有其他互补人员时，是合适人员。（2）甄选标准内审主管要制定评价标准。不包括计算机业务的熟练程度。要鉴定会计学基本知识，管理学原理等。（3）绩效标准对极端情况的评价（最高评价，最低评价）进行解释，因为会直接影响到员工；一年一次，及时反馈员工胜任能力水平；尽早进行，对新员工指导。（4）持续教育内部审计主管负责建立持续教育和持续培训机会，开发内部审计部门人力资源。内部审计部门培训的主要目的是实现个人及部门在培训中的目标。持续教育是持续培训的一种形式。（e）外部审计师内部审计主管要协调内外部审计成果，最小化审计工作的重复性，提高审计工作的成效。关系协调（f）质量保证三个要素：（1）督导（监督）：是持续进行的过程，从计划开始直到审计任务结束。对审计工作最佳的控制就是对所有审计工作进行监督性的复核。内部审计主管负责提供适当的审计督导。目的是产生一致的高质量的审计。（2）内部复核：内部审计部门人员定期、正式的内部复核，服从于内部审计主管要求，不服从于董事会要求，也不服从于内部审计人员，执行管理层的要求。（3）外部复核：同业复核，显著特点是客观性，能够提供独立评价。实现预期目标：完成一系列目标。证明审计质量的前后一致质量要建立在审计工作的各个阶段，包括计划、实施、报告、后续跟进。出具报告前，还要进行最终的质量核查。质量核查包括两类测试：对支持有关成果的证据的独立验证；成果复核。（g）事后审计质量检查事后审计质量复核向高层管理者提供内部审计部门遵循职业标准及相关政策和程序的独立评估。审计小组是否具备完成审计任务的资格？每位审计人员是否满足执业要求？工作底稿是否指出了有关独立性受损的未解决的问题？内部审计与全面质量管理一个有效的质量控制体系不仅要能确保开展工作的质量，还要确定所完成的审计工作，以及客户和利害关系人对有关结果的看法。这可以通过客户和利益相关者调查，建议追踪和报告系统，以及审计师绩效评价和报酬体系等方法完成。背景：什么是全面质量管理？全面质量管理的含义。全面质量管理（简称TQC）是20世纪60年代初美国的菲根鲍姆首先提出来的。所谓全面质量管理，就是运用系统的观点和方法，把企业各部门、各环节的质量管理活动都纳入统一的质量管理系统，形成一个完整的质量管理体系。全面质量管理的基本原理与其他概念的基本差别在于，它强调为了取得真正的经济效益，管理必须始于识别顾客的质量要求，终于顾客对他手中的产品感到满意。全面质量管理就是为了实现这一目标而指导人、机器、信息的协调活动。质量管理经历了三个阶段：第一个阶段：20世纪初到40年代，属于质量的事后检查阶段。这一阶段就是当产品生产出来以后，对产品进行质量检查。它只起对出厂产品质量把关作用，而起不到预防作用。第二个阶段：20世纪40年代到50年代，进