pwc如何建立内审职能

如何建立有效的内部审计职能 培训教材 2004 PricewaterhouseCoopers. PricewaterhouseCoopers refers to the individual member firms of the world-wide PricewaterhouseCoopers organisation. All rights reserved. PwC 关于普华永道关于普华永道 普华永道是全球最具规模的专业服务机构，融合各地人才、知识及不同 地域的珍贵资源。我们在全球 150个国家拥有超过 15万名专业人士，凭着 他们所具备的渊博知识与丰富经验，为世界各地的公司解决繁复的业务难 题，并协助客户建立价值、管理风险及提升业务表现。 普华永道目前是大中国区最大的国际财务和商业咨询公司。有员工约六 千人，在北京、香港、台湾、重庆、大连、广州、上海、深圳、天津、西 安及苏州等内地城市设立办事处。 业务范围包括： 管理 咨询 企业融资 税务 公司重组 审计等 PwC 关于普华永道的全球风险管理服务关于普华永道的全球风险管理服务 普华永道在世界 四 大会计师事务所中第一个在国内设立了专门的提供强 化经营程序、风险管理和内部控制服务的部门，配备了专门的风险管理专 家针对国内客户的需求提供专业服务。 我们将充分的考虑客户的业务和经营实际情况以及在国内经营大环境下 受到的种种限制。 全球风险管理解决方案服务主要类别如下： 风险管理和内部控制 内部审计 财务和经营风险 电信行业咨询服务 金融行业咨询服务 流程改进、业绩提高 技术风险 ERP选型及项目管理 /监理 战略风险 合规性和监管 PwC 培训培训 目的目的 随着市场竞争的进一步加剧，建立一套完整和有效的内 部审计体系、促进企业的全面风险管理体系日益成为国 际国内各大企业风险管理和内部控制工作的重点。 这次培训将使参加人员能够系统的了解建立有效的内部 审计职能应考虑的因素。 PwC 当这节课程结束以后，参与者将能够了解 : l建立有效内审职能的十个步骤 第 1-4步，战略问题 第 5-10步，战术问题 l普华永道的内部审计和风险管理的工具 TEAMMATE TEAMRISK 培训内容培训内容 为成功打下战略基础为成功打下战略基础 确认审计委员会和公司高级管理层对内审部门的期望 和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划 PwC 不断变化的环境 l “e-Business” 电子商务 l 变化、更多的变化 l 事倍工半 l 时间在逐渐缩短、距离在不 断拉近、文化差异在逐步消失 （ WTO） l 经济高速增长 l 安然和世通事件余波未平， 监管的加强 l 期望持续的价值和创新 l 支持部门必须为总体的经营战 略增加价值 l 对风险和控制的真 正的 敏感（ “ 没有意外 ”） l 关注经营战略和客户 中国的新环境 管理层不断变化的观点 PwC 对内审部门的期望差异 利益相关方对内部审计的职能与角色的认识 通常是不同的，这样就产生了所谓的 “期望差异 ”。 保障（ assurance） 业务咨询 董事会 高级管理层 内部审计 现状 最优 ? PwC 内部审计的环境变化 l 理解 “价值 ”是正确的运用资源和工作的关键。 l 利益相关方期望与传统的内部审计不同的更为宽泛的审计技术 。 l 为了创造价值，内部审计的资源和能力必须与利益相关方和组 织的价值期望保持一致。 l 内部审计必须能够衡量和确定他们的贡献以及创造的价值。 根本问题 你在做正确的事情吗？ 存在 “期望差异 ”吗？ PwC 内部审计的价值驱动 l 风险管理和控制 l 内部控制的效率和效果 l 法律法规及公司政策的合规性 l 萨本斯奥克斯利法案准备阶段的测试和每年的持续测试 l 对紧急事件的处理能力 l 公司对内审投入的回报 l 在公司范围内提高风险和控制的意识 l 成为业务部门的好伙伴并协助解决问题 l 培育管理层的人选和作为员工职业发展的一部分 l 通过与外部审计公司的合作使审计成本更加有效 内部审计的价值驱动 : PwC 消除期望差异 l 我们的内部审计部门是否拥有实现目标价值的审计技术 ? l 我们的内部审计人员需要什么样的培训和方法以创造目标价值 ? l 我们是否期望内部审计部门成为培育组织管理人才的摇篮 ? l 如何衡量内部审计的成果 ? l 我们是否采用外包或合作的方法以实现我们的目标 ? 首先，对现有的内部审计职能进行评估： PwC 为成功打下战略基础为成功打下战略基础 确认审计委员会和公司高级管理层对内审部门的期望 和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划 PwC 内部审计演进模型 价值保护 中间阶段 价值创造 控制纠正 与管理层合作 实行风险和 控制自我评估 流程改进 企业全面风险管理 持续的风 险管理 风险咨询舞弊防范 财务 /合规 性审计 合规性 关注交易 / 资产保护 相关风险范围 流程分析 & 最佳实务操作 有限的 全面的 PwC 为成功打下战略基础为成功打下战略基础 确认审计委员会和公司高级管理层对内审部门的期望 和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划 PwC 普华永道的内部审计模型 普华永道开发了内部审计的价值 模型，以帮助内部审计部门寻找 提高业绩表现的方法： n将内部审计关注与公司战略政 策相联系 n确定技术提高和 /或流程改进的 领域 n提高内部审计的效果和效率 PwC 如何达到 “世界水平 ”？ 世界水平的内部审计职能优先考虑利益相关方的需求和价值观，并进行 相应的投入。 普华永道的看法 关键因素 : - 明确的价值驱动 - 整合 - 交流 - 风险焦点 - 有效的内部审计技术 - 知识管理 普华永道观点 内部审计部门和管理 层的交流程度与管理 层对内部审计的认识 程度存在高度的相关 性 。 PwC 战略计划应考虑哪些内容 内审职能的定位 内审部门的服务对象 资金与人力资源计划 工作方法和工具的运用 信息与沟通 衡量工作成果的标准 建议这个战略计划由管理层、董事会及审计委员会审阅 PwC 为成功打下战略基础为成功打下战略基础 确认审计委员会和公司高级管理层对内审部门的期望 和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划 PwC 风险评估 目标 v 有效的风险评估过程，可以帮助内审 人员 识别所有的风险、对风险 进行排序，并评价风险评估的效果。 v 在恰当的层次实行风险评估可以发现具体的风险并确定内部审计重 点： 企业层次 业务单位（事业部） 被审单位层次 PwC 企业全面风险评估（ EWRM） 企业全面风险评估的是采用综合的、系统化的风险框架， 建立企业全 面风险因素汇总 。其核心，是识别、评估、规避和量化风险；这些风险 贯穿整个企业，是在管理人员、业务流程、技术和外部事件中所固有的 。 依赖于一种企业文化，该文化认可风险并鼓励积极的思维过程。 量化风险所带来的正面的机会，并量化可能导致的损失。 系统化地考虑日常业务活动中的风险。 是完整的战略计划中不可缺少的一部分。 对于业务环境变化所导致的影响，进行持续的评估。 风险评估 最佳实务操作 PwC 内部审计职能在风险评估过程中的作用 由于各个企业业务需求和与内审相关联的各方的需求的不同，内部 审计在风险管理活动中所扮演的角色有很大的不同。通常内审所扮演 的角色取决于企业的风险管理结构，主要包括： 依据风险评估的结果制定内部审计战略、年度及执行计划。 内审部门主持风险评估过程，并与管理层协同进行风险评估。 向利益相关方提供关于风险管理的有建设性的意见。 审阅风险管理的实务操作，确定控制措施的有效性。 向管理层和内部审计委员会就企业风险管理过程的充分性提供保 证 风险评估 最佳实务操作 PwC 内部审计在风险评估过程中的作用 （接上页） 针对 “ 关键风险 ” ，建立专职的内审小组。 是企业的风险 /控制自我评估的倡导者和主持者。 辅导业务部门进行风险评估。 举办风险管理研讨会。 相管理层通报最新的风险评估 /管理方面的发展动态。 风险评估 最佳实务操作 PwC 风险评估的主要步骤： 确定主要目标、 业务单位和主要业务流程 确定与业务目标、业务单位和主要业务流程相关的关键业务风险 评估发生的可能性和影响 现有的控制和流程对风险的影响 记录风险评估的结果 风险评估 最佳实务操作 PwC 风险管理结构的类型： q 集中化的风险管理职能 由集中化的风险管理职能来设定风险政策、建立风险的通用语言并汇集全 企业的风险敞口。其目标是实现从企业整体的角度看待风险。 风险和控制是业 务单位的直接责任。 q 风险委员会 风险委员会的代表来自于内部审计、资金管理、计划等方面。风险委员会 的工作是设定风险政策并分别从全企业、业务种类和业务流程的角度审视风险 。 q 传统的职能结构 采用传统的组织结构，即法律合规、各部门负责人和内部审计与经营管理 层共同携手工作，对于企业的风险提出意见。 风险评估 最佳实务操作 PwC 风险评估风险评估 - 热度图示例热度图示例 编号 风险领域 风险子领域 流程 职责 目标 具体的风险或机会 影响业 务单位 影响公 司 可能性 1 竞争对手 市场竞争决 策 总经理 保持竞争中的优势地 位， XX年度，保证市 场占有率达到（维持 在） 75%。 由于竞争对手获得 3G牌照， 拥有全业务能力对 XX移动 产生的负面影响。 3 3 60% 2 业务 计费 /收入 保证 原始通话数 据的采集与 处理 计费 部 经理 保证计费的准确性、 完整性 。 由于 BOSS系统没能自动识 别断号的原始通化记录造成 的错记、漏记花费。 2.5 1.5 20% 3 业务报告 税务处理 纳税申报 财务部 经理 保证税务工作符合法 律法规的要求，将年 度申报延迟的问题降 低到不超过一次 。 由于没有及时、准确的填制 纳税申报表使企业遭受来自 税收部门的罚金损失。 0.8 0.5 5% 4 业务 产品开发 新产品的研 发 业务发 展 部 保证最大限度地利用 集团的现有资源来开 发新产品。 闭门造车，没有跟总公司或 其它关联公司研发部门有效 的沟通和交流，造成重复开 发，人力物力的浪费 。 2.8 2.5 10% 5 业务 经营中断 网络监控和 维护 网络 中心 通过对网络监控，及 时发现网络问题，保 证网络正常运行 。 没有发现网络故障或隐患 。 3 3 30% PwC 风险矩阵例示风险矩阵例示 微软的风险矩阵微软的风险矩阵 PwC 普华永道的普华永道的 TeamRisk工具工具 风险评估风险评估 软件软件 PwC 风险评估风险评估 -风险分类汇总框架例示风险分类汇总框架例示 将风险排序或制成 图表； 合理分配资源，集 中精力对有较大影 响力和较大可能性 的风险进行控制。 PwC 年度计划 年度计划是一个精确的统筹安排，以平衡时间范围、可用资源和已承诺的工作量 。可以看作是一个宏观的计划，以明确内审部门在未来的年度中计划审核的流程。 其内容主要基于： 经管理层认可和董事会批准的风险评估结果；如果尚未实施风险评估，内审则应首先实施风 险评估，并与业务管理层讨论确认评估的结果，参见上述风险评估部分。 与管理层的持续联络，以确保及时发现新的风险领域，并确保审核工作能够在最有利的时间 得以实施。 对于各个关键的风险领域所实施的有效监控，在各个类型的审核活动中所分配的资源。 与企业中参与风险管理和控制的各个内部和外部的职能保持有效联络，以确保在时间和成本 上的效率性。 企业经营行为的改变，例如并购、变卖处理、新的系统和流程等。 基于风险的审计计划 PwC 执行计划 q 内部审计执行计划主要包括在未来季度内需要完成的项目的 排期。其通常以简要的书面形式记录以下内容： 项目时间安排表； 项目目标； 审计小组成员 /资源； 预计分配的工作天数； 预计的岂止日期； 基于风险的审计计划 （续） PwC 执行计划 q 编制执行计划的过程中应考虑： 员工发展和培训，包括在部门内和企业中的职业进步； 业绩考核， “ 平衡计分卡 ” ； 各种可选用的审计方法和工具，例如：内控自我评估，调查问卷等； 内部审计资源，所需内部审计人员的数量、技能、知识和经验等； 可能的风险； 相关经营管理层是否有时间配合； 基于风险的审计计划 （续） 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC 制定当年和长期的预算 l 根据审计计划，编制审计部门的预算 l 预算应包括正常的、计划内的审计项目，还应考 虑可能发生的临时的、特殊的审计项目 l 预算中还应考虑相应的员工培训及发展计划 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC 尽早开展现场工作 l 并非应该等到所有的基础设施和人员全部到位才 能开展现场工作 l 比较理想的情况是在内审部门宣布成立的 100天 内应该对 3 5个高风险领域展开审计工作 l 可借助于外部力量的协助，好处是： 可以利用外部专家的力量完成高风险领域的审计 可以接触先进的工具和方法 实现知识转移，加速内部员工的成长 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC 确认所需的技能 l 许多公司往往更多地关注内审队伍的人数，而忽略了内审 队伍的技能搭配 l 在第二步中，对内审职能任务和角色的确定将决定内审人 员应具有的技能 审计技术 行业知识 项目管理技巧 交流能力等 l 某些特殊的审计技能采取外包的方式可以达到效率与效果 的最大化 PwC 内部审计 的 运作模式 自设内部审计 战略合作 内部审计 外包 与顾问建立合作关系 : 由顾问提供技术 /产业内审 专家 与顾问建立合作关系 : 由顾问提供部份内审人员 与顾问建立合作关系 : 除了内审主管 , 其他所有内 审人员由顾问提供 在决定运作模式前 , 需要有一个明确的目标 由顾问协助设立内部审计职 能 : 建立内审政策与程序 ,人力 资源 ,培训 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC 开发或取得所需的基本框架、方法和技 术 l 风险评估的方法 l 审计计划程序，审计文档记录审核程序和工具 l 审计最佳实务的整合 l 内审项目实施计划 l 质量控制 l 审计发现的跟踪、解决和沟通程序 l 人力资源管理 PwC 内部审计方法 目标 v 内部审计方法是高效的。 v 所使用的方法应充分地支持内部审计程序，具有灵活性，能够为了满 足每项具体的审核工作。 v 在实施日常内审工作中采用规范化的内部审计工具和技术，在所有的 项目中采用标准的程序，可以去除不必要的重复工作（即无效工作） 。向内审员工提供用于计划、实施、报告和沟通内审发现的通用的平 台。通过使用自动化内部审计工具 /方法，提高内审职能的整体有效性 。进而，员工可以更高效地工作，因为这些工具在开发中恰当地考虑 了需要审核的内控，并应用了最新的内部审计技术。同时提升了主要 利益相关方对于内部审计保证程度的信心。 PwC 内部审计方法 目标 v 使用创新的方法和工具，有助于提高内审执行高质量服务的能力。例 如，内审参与指导小组或顾问委员会，可以通过在设计阶段提出关于 内控最佳实务的建议、为核心业务流程的目标提出建设性意见，以体 现内审价值。与管理层的关系将得到改善，内审成为看得见的价值贡 献者，而非仅仅是警察的角色。 v 使用规范化的技术，将有助于内部审计师对于管理控制过程的理解， 协助内审人员获得对于需要审核的控制环境的更进一步理解。 PwC 内部审计方法 实施 内部审计需要利用有效率的和有效果的工作实务，采用必要的方法以提高 内部 审计职能的价值。但需牢记，工作实务及支持性技术是工具而非价值驱动因素。 （ 1）内审部门开发和建立内部审计标准程序和工作方法，以实现内部审计实施过程 的规范化。最佳实务的标准程序和方法通常包括： 风险评估 详细的计划 实施内部审计 报告和完成 质量控制 （ 2） 方法和工具由恰当的技术予以支持，并支持实现内审的职能和目标。 （ 3） 内审方法包括利用风险和内控信息库，风险和内控信息库可以被用作备忘录， 以帮助内部审计人员评估业务流程，防止时间的浪费 ； PwC 内部审计方法（续） （ 4） 建立一套质量控制流程，以确保这些工具、标准和方法为部门所有人员持续 地采用。 对于内审工具和方法，进行不断地改进，以保证其设计可以满足利 益相关方的价值驱动因素。 （ 5） 建立一套完善程序，培训新的内部审计师使用工具、标准技术和方法 。 （ 6） 通过会议、刊物书籍、与其他内审部门的交流，密切关注并了解内审领域所 发生的关于工具、标准技术和方法方面的变革。 （ 7） 通过实施控制自我评估，内审部门帮助建立企业范围的风险和控制意识，同 时了解那些有必要实施审核的领域的控制环境。 （ 8） 定期审核工具、标准、技术和方法，确定是否有改进的必要以提高内审的效 率。 PwC TEAMRISK 一个风险评估工具 , 用 于制定短期或长期的审 计计划，并可生成企业 风险图表。 TEAMMATE 强有力的审计底稿管理 系统，减少了审计人员 花在底稿的书写和复核 的时间，进而使审计人 员有更多时间提供其它 的增值服务。 TEAMSTORE 一个简便的数据库 , 它 收集了审计方案的最 佳典范以及常见审计 议题，方便审计人员 在项目进行中随时参 考并将相关 资料导入 . TEAMCENTRAL 一个网上数据库 , 它集合了 全部审计结果及主要的统 计数据 ,方便审计人员对所 有进行中的项目的审计结 果或其它资料进行查找和 报告 . TeamMate提高了审计人员的生产力及效率，标准化工作底稿编制流程，有助 于提升项目质量， 加强审计人员的专业知识，提高审计报告的品质并可为管理层 提供重要信息。 TeamMate 是一个基于视窗的电子审计管理及核查系统，它实现了审计各阶段的自动化， 并帮助审计人员轻松进行项目的计划、执行及相关报告的生成 。 审计管理软件 TEAMMATE PwC 审计管理软件演示 TEAMMATE l TeamMate流览器 l 如何编写审计工作底稿 3 种方法 直接 新增 既存 如何记录审计发现 (结果 ) l 如何审阅审计工作底稿 生成审计报告 传送至 TeamCentral l TeamStores -审阅者 如何拷贝 “检查清单 ” l 如何建立新的项目 使用 Library 及 TeamStore 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC l 审计计划和审计结果是怎样与管理层沟通的 l 向审计委员会的沟通和汇报 l 将审计发现与被审单位进行沟通 l 离开被审单位前，将最终审计报告的出具时间告知被审单 位 l 审计报告中将会用到的审计评级或其他标准的沟通 l 审计项目中的进程报告、审计建议等的使用 l 与外部审计师的沟通 l 审计部门内的沟通 建立沟通渠道 内审部门应考虑以下的沟通： 战术实施阶段战术实施阶段 制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估 PwC 绩效评估 l 绩效评估的目的是总结审计部门的工作是否与公 司管理层以及董事会、审计委员会的期望是一致的 l 广泛采用的方法是 “平衡计分卡 ” PwC 最佳实务 “平衡计分卡 ” 举例： q被审单位满意度 q审计质量和效率 q员工满意度 q创新和学习 绩效指标例示 PwC 最佳实务 “平衡计分卡 ” 举例： I. 被审单位满意度： 目标 ： 满足管理层和审计委员会的要求和期望； 实施价值增值的审计； 完成审计委员会认可的审计计划； 实现管理层的特殊审计要求。 绩效指标： 在高风险领域所花费的审计时间（占总的审计小时的）； 与管理层讨论业务风险 /控制，所进行的联络、会议、电话沟通的次数； 满意度调查问卷中反映的管理层总的满意度打分； 出具报告和被审单位的调查问卷的时间； 绩效指标例示 PwC 最佳实务 “平衡计分卡 ” 举例： I. 被审单位满意度： 衡量的方法： 管理层满意度问卷； 审计委员会满意度问卷； 被审计方满意度问卷； 统计对于内部审计的投诉数量； 与审计计划相对照； 跟踪与高级管理层讨论业务目标和风险的会议次数； 绩效指标例示 PwC 最佳实务 “平衡计分卡 ” 举例： I. 被审单位满意度： 衡量的方法 (续） ： 统计落实的建议的数量； 量化未来可节约的成本金额，或量化通过实施审计建议而获得的额 外收益的金额； 统计出具审计报告所需的平均时间长度； 统计所收到和完成的特殊审计要求的数量； 绩效指标例示 PwC II. 审计质量和效率 目标： 关注管理层和内审部门认为的高价值活动； 审计的实施基于一个全面的、战略的风险评估程序（灵活的、具有针对性 的审计程序）； 在预算内完成审计（整体地降低审计成本和时间）； 对于每项审计中的关键审计活动实施质量控制措施（即及时的计划和通知 被审部门、审计事项由充分的审计证据的支持、建议的落实等）； 在部门的各项工作中，充分、有效地使用技术工具； 报告出具的时间； 审计的实施符合内部 /外部的质量标准； 绩效指标例示 最佳实务 “平衡计分卡 ” 举例： PwC II. 审计质量和效率 绩效指标： 效率指数（通过对比实际的审计结果与预计的目标来衡量）； 完成审计实际成本占预算成本的； 内部审计的计划、实施和报告与外部审计的结合程度； 数据提取和分析技术对于审计项目的支持（例如， ACL， 自行开 发的程序等） 所发现并向企业进行推广的最佳实务的数量； 绩效指标例示 最佳实务 “平衡计分卡 ” 举例： PwC II. 审计质量和效率 衡量的方