内部审计在治理、风险和控制中的作用-兆泰讲义整理精炼版

内部审计在治理、风险和控制中的作用兆泰考前辅导整理版2004年10月 小桥v 学习是个积累的过程。有了一定的目标，锲而不舍地进行努力，终可实现理想。天道酬勤。如何复习PART1v 首先，内部审计是一项管理工作，同样需要通过计划、组织、控制等管理职能来实现其工作目的，以帮助企业管理者实现效率和效果；v 其次，内部审计是一项审计工作，必须遵循审计标准和程序，这些标准和程序是内部审计工作的框架和指引。对考试而言，对这部分的理解和掌握很重要。v 最后，既然要以管理者的身份去对内控等进行审计，那么，相关这个职位应当掌握的管理常识和工具、策略、技能等就要知道或了解（尤其是新大纲）。这样，再来看看试题，也许就觉得简单和比较对出题者的意图了。 _援引兆泰老师语内部审计的基本概念v 内部审计：内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构的目标。v 增加价值: 通过满足管理层和董事会需要、改进机会以实现组织的目标、确认运营上的改进，或通过确认服务和咨询服务来减少风险暴露，就可以提供价值。v 确认服务：一种对组织的风险管理、控制和治理过程提供独立的评估为目的的客观检查证据的行为。例如财务审计、绩效审计、合规性审计、系统安全审计与应尽责任业务。v 咨询服务：顾问及相关的客户服务活动，这种服务的性质和范围通过与客户协商确定，目标是增加组织价值和改善组织运营。这类服务有商议、建议、协调、程序设计及培训等。红皮书词汇表1v 董事会-是指董事会、董事会下属的审计委员会、内部审计人员向其报告的机构或法规部门的领导、非盈利机构的理事会或受托人董事会、机构内部其他指定治理机构。v 章程-内部审计部门的章程是用以确定审计部门的宗旨、权限和职责的正式书面文件。该章程应该：（1）规定内部审计部门在该机构中的地位；（2）授权可以接触与执行审计工作有关的资料、人员和实物资产；（3）确定内部审计活动的范围。v 审计执行主管-是指机构内负责内部审计活动的最高职位。在传统的内部审计活动中就是指内部审计主任。在内部审计活动由外部服务提供者开展的情况下，审计执行主管就指负责监督审计活动的服务合同及活动的整体质量保证、向高级管理层和董事会报告有关内部审计活动的情况、对审计结果进行后续跟踪的人员。该词还包括一些头衔，如总审计师、首席内审师和总检查官等。v 职业道德规范-国际内部审计师协会（IIA）职业道德规范的宗旨是在全球内部审计职业中提倡一种道德文化。职业道德规范对于内部审计职业来说是必需的、适当的，它是基于对风险、控制与治理的客观性保证的信任。职业道德规范对提供内部审计服务的个人与实体都适用。红皮书词汇表2v 合规性-合理保证符合并遵守机构的政策、计划、程序、法律、规章及合同的能力。v 利益冲突-指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害个人客观地履行其职责。v 咨询服务-提供建议以及相关的客户服务活动，这种服务的性质与范围通过与客户协商确定，它的目的是增加价值并提高机构的运作效率。这样的服务包括顾问服务、建议、协调、程序设计及培训等。红皮书词汇表3v 控制-是指管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。管理层计划、组织并指导诸多方案的实施，以合理地保证目标得以实现。v 控制环境-机构内董事会和管理层对控制的重要性所持的态度及所采取的行动。控制环境为实现内部控制系统的基本目标提供了规范和框架。控制环境包括以下要素： （1）诚实性和道德价值观； （2）经营管理理念和经营风格； （3）机构结构； （4）权力的分配和责任的划分； （5）人力资源政策和惯例； （6）人员的能力。红皮书词汇表4v 控制过程-即控制框架的组成成分，包括政策、程序及控制活动，控制过程的设计旨在保证把风险控制在风险管理过程规定的风险容忍度之内。v 审计业务-指一项特定的内部审计工作、任务或评审活动，例如，内部审计、控制自我评价复核、舞弊检查或咨询。为实现一套特定的相关目标，审计业务可以包括多个任务或活动。v 审计业务目标-指由内部审计师通过概括性声明确定的、希望实现的审计业务成果。v 审计业务工作方案-指一份说明开展审计业务时所应遵循的步骤的文件。设计审计业务工作方案的目的是完成审计业务计划。红皮书词汇表5v 外部服务提供者-独立于内部审计部门所在机构且在某一特定学科领域内有专门的知识、技术与经验的个人或公司。外部服务提供者包括精算师、会计师、评价师、环境专家、舞弊调查者、律师、工程师、地理学家、安全问题专家、数据统计师、信息技术专家、外部审计师及其他审计机构。董事会、高级管理层或审计执行主管可以雇佣外部服务提供者。v 舞弊-所有具有欺骗、隐瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁。个人和机构为获取金钱、财产或服务，避免付费或失去服务，或获取个人或商业优势都会犯下舞弊罪。v 治理程序-机构的投资人代表（例如，股东等）所遵循的程序，旨在对管理层执行的风险和控制过程加以监督。v 损害-对个人的客观性和机构的独立性造成的损害。此类损害包括个人的利益冲突，审计范围的限制，对资料的接触、人员和财产的制约及资源（资金划拨）的限制。红皮书词汇表6v 内部审计部门-为了增加价值并改善机构的运营而提供独立、客观的保证与咨询服务的部门、处或小组的顾问或其他从业人员。内部审计部门通过系统化、规范化的方法，对风险管理、控制与治理程序进行评价，进而提高它们的效果。v 客观性-是一种公正的、不偏不倚的态度，它要求内部审计师在执行审计工作时，对他们的工作成果抱有诚实的信条，不会与任何方面达成重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。v 风险-是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。A.遵守国际内部审计师协会的属性标准1.明确内部审计的宗旨、权限和职责v 宗旨：内部审计活动所要达到的目标；v 权利：实现内部审计目标的保证；v 职责：内部审计部门和人员需要履行的责任。 2.保持独立性和客观性v 独立性：独立性可免于重大利益冲突，这种冲突会威胁到客观性。这种对客观性的威胁必须在单个审计师的层面、业务层面、以及组织层面得到管理。v 客观性：是一种无偏的心理姿态，它允许（要求）内部审计师在开展业务时，对他们的工作成果持有诚实的信念，没有重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。v 内部审计活动应独立他们所审查的活动之外。内部审计活动只有具备应有的独立性才能作出公正的、不偏不倚的坚定和评价。独立性要求内部审计活动全过程不受干扰。2.1独立性的具体表现 v 个人的独立性 形式独立性 实质独立性v 机构的独立性 2.2如何获得机构的独立性 v 最重要和最大的保证来自内部审计章程v 内部审计部门应对组织中具有足够权利的领导负责并报告工作v 内审部门与各治理机构直接沟通信息，并有权出席与其职责有关的各种会议v 首席审计执行官由董事会一致任免v 审计委员会主要由非管理层人员组成。2.3客观性 客观性对内部审计时的要求：1、 要做到独立判断2、 对他们的工作成果抱有诚实的信条3、 不会与任何方面达成重大的质量妥协4、 不能把对其他事物的判断凌驾于对审计事物的判断之上5、 不应被置于无法做出客观的专业判断的处境中2.4如何保证客观性：v 内部审计师的指派必须避免利益冲突和偏见v 内部审计师不应承担经营风险v 内部审计师不能履行设计、安装和经营系统的职责v 在审计报告公布之前，必须复核内部审计工作v 不接受雇员、可户、供应商或者有工作关系人员的酬金或礼物2.5对独立性或客观性的损害 v 偏见v 范围限制v 评价以前负责的经营工作v 借调、临时聘用未隔合理时间等人员参与审计v 参与审计、安装、程序起草、操作v 接受相关人员礼金v 负责可能受审计的经营性工作 2.6减轻对独立性或客观性的损害 v 出现利益冲突时，内部审计师报告首席审计执行官，由其指派审计师。v 对于审计范围的限制，应以书面形式将受到的限制及潜在的影响报告相关治理机构。v 具体情况报告在审计结果报告或工作报告进行披露。 3.具备必要的知识、技能和胜任能力内部审计师：v 仅应该从事那些其己具备了必要的知识、技能和经验的服务；v 应根据内部审计专业实务标准开展内部审计服务；v 应不断提高其服务的熟练性、效率和质量。3.1熟练性v 内部审计师应具备履行其职责所需的知识，技能和其他的胜任能力。内部审计活动应在总体上具备或获取履行其职责的知识、技能和其他的胜任能力。v 如果内部审计人员缺乏履行全部或部分业务的知识、技能或其他胜任能力，首席审计执行官应取得胜任的建议和帮助。v 应具有充分的知识以识别舞弊的迹象，但不能期望内部审计师具备与专门负责检查和调查舞弊的专家的相同的能力。v 应懂得处理人际关系v 应有熟练的口头和书面沟通技巧v 应接受后续教育，以保持专业技术的适应性4.获取外部服务 v 内部审计部门在特殊情况下可以应用外部服务提供者v 信息技术、税收、翻译等方面的知识v 土地、艺术品、投资金融工具资产评估v 开展舞弊和安全调查v 遇到兼并和收购的情况4.1首席审计执行官在获取外部服务时的有关要求 v 评价外部服务提供者的知识、技能和其他能力v 评价外部服务提供者的独立性合乎客观性v 获取关于外部服务的充分信息v 保证外部服务就工作遵守标准的要求v 适当地报告外部服务5.运用应有的职业审慎应有的职业审慎性v 根据审计目标确定审计范围、拟订审计程序v 充分认识需要提供保证性服务事项的复杂性、重大性和重要性v 对风险管理、控制和治理程序的充分性和有效性做出判断和建议v 对严重出错、违规和不守法行为保持警惕v 考虑潜在利益相对的审计成本v 应有的职业审慎性不意味着用永不出错。应有的职业审慎性要求审计师在合理程度上开展检查和核证工作，但不要求对所有交易进行详细检查。相应地，内部审计师不可能绝对保证组织不存在违规或违规。此外，无论何时开展内部审计工作，审计师都应该考虑存在重大违规或违规现象的可能性（实务公告1220-1）。6.促进内部审计活动的质量保证与改进监督质量保证与改进项目的效果：v 监督v 内部评价v 外部评价6.1 内部评价应该包括：不断对内部审计活动的工作进行复核；通过自我评估，或由组织中的其他具备内部审计实务知识及了解标准的人进行定期复核；1.持续的复核 2定期的内部复核 3沟通结果6.2外部评价如质量保证检查，应至少每5年开展一次，由合格的、组织外部的独立检查人员或检查小组来进行。7.促进内部审计活动的质量保证与改进v 质量项目的报告v 依据标准开展内部审计活动v 披露不合规行为8.遵守和促进对IIA道德规范的遵守v IIA道德规范的使用和信守的原则v 正直v 客观v 保密v 胜任能力8.1道德规范IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化。道德规范对以诚信为基础、对风险、控制和治理进行客观性确认的内部审计职业而言是必要、适当的。道德规范适用于提供内部审计服务的个人和实体。8.2道德规范v 目标：促进内部审计职业的道德文化建设。v 适用性：适用于提供内部审计服务的个人和组织。v 原则：诚实、客观性、保密性及胜任能力。8.3道德规范原则期望内部审计师运用和信守的以下原则：v 诚实-内部审计师的诚实建立起信用，从而为其判断提供了信任基础。v 客观性-对于正在检查的活动和程序的信息收集、评价和沟通，内部审计师表现出最高水平的职业客观性。内部审计师对所有相关的情形会作出均衡的评估，并在形成判断时不因自身利益或他人利益而受到影响。v 保密性-内部审计师尊重其所获取的信息的价值和所有权，未经适当的授权不会披露这些信息，除非法律或职业责任要求他们那样做。v 胜任能力-内部审计师在开展内部审计服务时要运用所需的知识、技能和经验。B.以风险为基础制定计划确定内部审计重点1.标准中界定的风险管理过程的5个目标v 建立评估风险的框架v 应用评估风险的框架v 识别内部审计资源需求v 与各方面协调内部审计工作v 选择审计业务1.1建立风险评估框架v 风险的定义v 风险的衡量标准v 风险的后果v 风险管理过程的目标1.2建立风险评估框架风险的后果v 因使用不正确、不及时、不完整、不可靠的资料导致决策错误v 记录有错误、会计核算资料不真实、不完镇、财务报表有欺骗性行为，以及发生财务损失。v 资产保护不当v 客户不满意，组织信誉受损v 执行组织决策、计划、程序不力，或有违法违规行为v 不经济地获取或无效地利用资源v 没有完成组织的任务和目标v 找出业务战略与活动领域的风险，并进行优先排序；v 管理层和委员会已经确定了组织可以接受的风险水平，包括为实现组织的战略计划而接受的风险；v 设计、实施了降低了风险的活动，把风险降低、管理在管理层和董事会可以接受的水平上；v 开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险；v 董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该定期向利益关系方传达风险、风险战略和控制情况。1.3.应用风险评估框架v 风险评估v 风险评估对审计工作日程安排极为重要v 通常对高风险的活动优先考虑实施审计v 风险评估应该每年进行一次1.4.应用风险评估框架v 可审计的活动v 风险因素1.5应用风险评估框架风险评估的步骤v 挑选出对组织各单位最重要的风险因素v 给风险因素逐一评分v 加总得出“风险分值”v 按各单位的风险值排序v 许多审计部门运用数字模型进行风险评估2.风险管理程序的目标 v 找出风险并优化加以解决v 确立组织可以接受的风险水平v 把风险降低和控制在可接受水平v 定期对风险和控制的有效性进行再评估v 审计委员会和管理层定期听取风险管理程序的结果报告 2.1对风险管理的审计 v 内部审计师应该帮助组织发现并评价重要的风险因素，帮助改进风险管理和控制体系v 内部审计师应检查、评价和报告组织的风险管理程序的充分性和有效性v 如果组织尚未建立风险管理程序，内部审计师应该提请管理层注意这种情况，并提出相关建议v 内部审计师应评价管理层对风险的接受水平2.2内部审计师对风险的关注正从控制风险和审计风险改变为关注运营风险v 对运营风险的理解，需要三个标准，即： 1.对组织运营过程的通盘了解； 2.主动的想象力和适用的工具，对风险可能涉及的结果形成意见； 3.一个统一的风险框架或风险模型，以及讨论风险的共同语言2.3以风险为基础的审计v 一个完整的风险管理框架具有非常重要的意义，因为风险与传统的业务日益相交叉。如果一个组织将职能与风险独立开来，则它就无法看清整个形势。v 风险管理：是一个识别和管理所有潜在重大风险的过程，它应该运行于组织的所有结构层次、经营过程和活动中。理论上讲，运营风险管理过程表现在确认、探究、测评、监控等几个方面。v 运营风险：是这样一种威胁，即某个事件或行动对组织实现其经营目标或成功实施其战略的能力所产生的负面影响。这一定义包括这一组织存在受到潜在的消极后果影响的可能性以及错过获取积极成果机会的威胁2.4风险评估v 风险评估是评价和综合对有关可能的不利情况或事情的专业判断的一个系统过程；是对不确定事件的可能的重要影响的思考。换言之，“风险评估”是对风险和机会的确认、评定和排列。v 风险评估是确认和分析与完成某些特定目标有关的风险。它构成了决定如何管理风险的基础，是内部控制的职能。因此，目标的确定是风险评估的前提条件。在组织层次上需要考虑的风险有： 外部因素：新科技的发展、竞争对手新的市场策略、不利的法规变动、自然灾害、不利的经济环境和国外市场； 内部因素：信息处理操作的中断、无效的人员聘用和培训措施；管理责任的变动、防止员工获取公司资产的控制措施不足、高级管理层或审计委员会的缺乏自信或工作不力。2.5管理层的风险评估与审计师的风险评估不同v 管理层的风险评估是内部控制设计和运行的组成部分，是为了减少差错和舞弊；v 审计师要关注的是管理层风险评估的过程，评估风险会决定审计证据的收集。v 如果管理层能有效地评估风险并作出相应反应，审计师通常会收集较少的证据。v 通常，审计师通过确定管理层识别与财务报告有关的风险、评价它们的重要性、发生的可能性、针对风险需要采取的行动，以取得对管理层风险评估过程的了解。3.识别内部资源需求v 审计人员的配置v 财务预算4.与以下各方协调审计工作v 外部审计师v 法规监督机构v 其他内部保证部门（如健康和安全部门）5.选择审计业务v 参与审计业务选择过程v 选择审计业务v 与董事会沟通以获得其对审计业务计划的批准C.理解内部审计在公司治理中的作用1.获得董事会对审计章程的批准2.沟通审计业务计划3.报告重大审计事项4.定期向董事会报告主要的审计工作业绩指标5.讨论重大风险领域6.支持董事会开展全公司的风险评估7.检查内部审计机构在组织内风险管理框架中的定位8.监督遵守公司行为规范和商业惯例情况9.报告控制框架的有效性10.协助董事会评估外部审计的独立性11.评估董事会的道德氛围12.评估组织的道德氛围13.评估特定领域遵守政策的情况（如：衍生产品）14.评估组织向董事会报告的机制15.对法规监督机构检查结构的落实情况进行跟踪并报告16.对外部审计的结果进行跟踪并报告17.评估业绩测评系统的充分性和整体目标的实际情况18.树立舞弊防范意识，鼓励报告不正当的行为1.获得董事会对审计章程的批准v 获得批准的好处 1.能最大限度地保证内部审计活动的独立性； 2.获得批准的内部审计章程可以评价内部审计工作质量的依据；3.保证内部审计活动能在章程授权内不受限制的开展工作。2.沟通审计业务计划v 内部审计机构的工作计划应报高级管理层批准，并报董事会备案；v 审计业务计划在中期发生重要变化时，应及时沟通；v 内部审计资源的不足和审计范围的限制应及时向高级管理层和董事会报告。3.报告重大审计事项v 处理违章v 违法v 差错v 低效率v 浪费v 无效v 利益冲突v 控制系统的薄弱环节4.定期向董事会报告主要的审计工作业绩指标v 重要的审计发现和建议v 审计工作计划v 人员计划和财务预算在执行总出现的重要偏差及其原因5.讨论重大风险领域报告的重大审计事项包括：v 处理违章v 违法v 差错v 低效率v 浪费v 无效v 利益冲突v 控制系统的薄弱环节6.支持董事会开展全公司的风险评估v 衡量风险的标准是后果和可能性v 降低风险是内部审计的目标之一风险评估是指定内部审计计划、安排审计工作的基础。7.内部审计机构在组织内风险管理框架中的定位v 内部审计师可以促进、协助风险管理过程的建立，但不负担风险管理的责任。v 对组织的风险管理流程进行评估并做出书面报告，一般具有较高的审计优先顺序。v CAE应当理解管理层和董事会对内部审计活动在本组织的风险管理流程中的预期。v 内部审计机构应当定期评价并协助董事会、管理测和其他部门进行风险管理。8.监督遵守公司行为规范和商业惯例情况相关的审计工作应当包括v 组织是否建立了关于行为规范和商业管理的道德规范v 组织是否保证员工已经阅读、理解并遵守了公司的行为规范和商业惯例v 组织是否采取合理措施促进行为规范和商业管理的遵守v 组织高层的人员如何负责监督对行为规范和商业惯例的遵守情况v 公司行为规范和商业惯例是否得到确实遵守9.报告控制框架的有效性对控制框架的有效性进行评价v 评价的内容和范围v 评价的标准v 评价的程序v 评价结果报告的接受对象内部审计师应当定期向管理层和审计委员会提供总体运营和遵循政策和流程情况的评估10.协助董事会评估外部审计的独立性对外部审计师独立性的评价内容v 本人或其家庭成员是否对本组织进行投资v 本人或其家庭成员是否和本组织之间有无雇佣关系v 是否提供可能影响独立性的非审计业务v 外部审计师可以提供任何内部审计服务或与内部会计控制、财务系统或与财务报表无关的操作性内部审计服务11.评估董事会的道德氛围v 董事会是否倡导并建立道德文化v 道德文化是否有清晰的道德规范和符合实际v 董事会执行道德文化情况及效果如何v 是否定期对董事会道德氛围进行检查和评估12.评估组织的道德氛围组织良好道德文化的主要特征：v 有清晰易懂的道德规范及相关的说明；v 由有影响力的领导经常宣传鼓励员工成为良好道德文化的执行者；v 有支持并加强道德文化的具体措施；v 有保护检举人的举报制度；v 有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度；v 设有接受举报的机构，以保证检举得到评价；v 有道德文化宣传教育机制，使员工都能成为良好道德文化的倡导者；v 定期对雇员、供应商和顾客的道德状况进行调查；v 定期检查组织道德文化可能受到的损害；v 把背景调查和诚信测试作为招聘员工的一个内容。13.评估特定领域遵守政策的情况（如：衍生产品）v 管理层有没有建立监督执法系统；v 评估这些系统是否恰当、有效；v 检查在业务活动中是否遵守了有关政策、计划、程序、法律和规定。14.评估组织向董事会报告的机制v 是否建立了相关的报告机制v 报告机制是否充分而有效，能否满足组织的需要v 评价报告机制的实际运转情况和效果15.对法规监督机构检查结构的落实情况进行跟踪并报告v 建立相关的跟踪、监测和报告制度v 保证有关纠正行动得到开展v 评价检查结果的效果16.对外部审计的结果进行跟踪并报告v 将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告v 接受并评价管理层对审计发现和审计建议的反应v 收集管理层对审计发现和审计建议反应的最新信息v 接收并评价来自组织内部负责采取跟踪或纠正性措施的其他部门的信息v 向高级管理层或董事会报告对审计发现和审计建议反应情况17.评估业绩测评系统的充分性和整体目标的实际情况v 组织是否建立了业绩测评系统v 评价业绩测评系统的科学性、合理性和可操作性v 确定业绩测评系统是否有效运行18.树立舞弊防范意识，鼓励报告不正当的行为v 评估组织中相关控制的充分性和有效性v 应具有足够的舞弊知识和识别舞弊的能力v 保持足够的审计职业审慎v 倡导组织内良好的道德文化D.执行其他内部审计任务和职责v 道德规范v 风险管理v 保密v 信息或物理安全1.道德规范上市公司治理和内部控制的要求（萨奥法案有关条款）v NO.806：“对提供舞弊欺诈证据的上市公司雇员的保护”v NO.304：“某些奖金和利润的剥夺”v NO.306：“养老基金管制期间的内部人交易”报告合归情况（萨奥法案）v NO.402: “强化的利益冲突条款”v NO.403：“对管理层和主要持股人所参与交易的披露”v NO.406：“高级财务官员道德规范”先进道德文化的主要特征v 清晰、便于理解、正式的道德规范v 清晰的战略v 明确的责任授权v 方便的学习机会v 积极的人事实务v 定期审查或调查2.风险管理v 风险管理（Risk Management） 一种设计的旨在确认、管理和控制潜在事件的流程，用于对组织的目标的实现提供合理的保证。v 治理过程（Governance Process）：组织的利益相关人代表（如，股东等）所利用的程序，用于对管理层管理的风险和控制过程进行监督。v 初步的风险评估：在业务计划期间所开展的风险评估，旨在确立业务的范围和目标。v 剩余风险：在管理层采取措施减少不利事件可能性和影响（包括响应风险的控制活动）后所保留的风险。v 风险：某个事件发生的不确定性，它可能影响到目标的完成。风险根据影响和可能性来衡量。v 不可接受的剩余风险 ：在控制活动没有充分设计、没有适当实施时，或是将风险减小到一个可以接受的水平无效时，就会存在这种风险。3.保密v 确定保密的薄弱环节v 报告合归情况v 内部审计师尊重其收到信息的价值和所有权4.信息或物理安全安全的薄弱环节：1.系统弱点2.安全漏洞3.实施缺陷对安全薄弱环节的评估：v 分析资产系统v 定义薄弱环节v 提供薄弱环节评估报告报告合规情况：v 定期评价本组织的信息或物理安全实务v 提出改进意见和实施建议v 提交信息或物理安全保证报告v 评价遵守法规、法律有关隐私的规定E.治理、风险和控制知识要点v 治理v 控制框架v 风险的词汇和概念v 风险管理技术v 不同组织结构中的风险/控制内容v 不同领导风格下的风险/控制内容v 变革管理v 冲突管理v 管理控制技术v 控制类型1.可选择的公司治理模型v 公司治理的概念v 公司治理机制1.1公司治理的概念v 公司治理：指用于决定和控制一个组织的战略方向和业绩表现的各种利益相关者之间的关系。它也可以看作是企业针对所有者和经营者之间可能出现的利益冲突而建立的一种秩序或规则。1.2公司治理机制v 内部治理机制1.所有权集中：个人股东和机构投资者所占股份的相对比例关系。2.董事会：由代表公司所有者监督高层经理战略决策的个人组成的机关。3.执行官报酬：以工资、奖金和其他长期激励手段达到使经理人和股东利益一致化的目的。4.多部门组织结构：产生独立的业务分支来密切监控高层经理的战略、v 外部治理机制公司治理市场，对业绩地域同行业竞争对手的企业的收购，以提高其战斗力2.可选择的控制框架v 内部控制的概念v 内部控制框架v 内部控制过程中各种有关角色的作用2.1内部控制的概念v 内部控制：管理层、审计委员会及其其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。管理层计划、组织并指导诸多方案的实施，以合理地保证目标得以实现。v 内部控制石组织的内部活动，通过组织制度、组织机构和组织指令或程序来完成。v 组织存在的意义在于它具有与众不同的特定目标。v 组织的活动不能必然保证组织目标的实现。2.2内部控制框架COSO模型对内部控制概念的理解：v 内部控制是一个过程，是实现目标的手段，而不是结果本身v 内部控制受到组织内各层次人员的影响，而不仅是简单地制定出一本制度手册或规章v 对管理层或董事会来说，内部控制提供的只是合理的保证，而不是绝对的保证 v 内部控制的目的在于实现组织一个或几个目标COSO模型内部控制的目的是保证实现以下目标：v 运营的效果和效率v 资产的安全防护 v 财务报告的可靠性v 遵守适用的法律和法规内部控制主要由以下五个部分组成：v 控制环境v 风险评价v 控制活动v 信息和沟通v 监督控制环境v 控制环境体现并影响着组织文化。它是内部控制其他几个组成部分的基础。v 控制环境包括下列要素： 诚实和道德价值； 管理的哲学和经营风格； 组织架构； 权利和责任的分配； 人力资源政策和实践； 员工的胜任能力。2.3内部控制过程中各有关角色的作用v 董事会的主要任务是建立并维护组织的治理程序，并获取关于风险管理和控制过程有效性的保证。v 高级管理层负责监督风险管理和控制过程的建立、管理和评价。v 操作部门的管理人员为整个组织风险管理和控制过程的有效性提供各种程度的保证。v 机构管理人员的主要责任是评价所在领域的控制过程。v 首席审计执行官应将关于组织控制制度的总统判断意见向组织管理成和审计委员会报告。应为下年制定审计计划草案，保证获取充分证据，对控制过程的有效性进行评价。v 内部审计师应该及时将审计发现向恰当层次的管理人员通报。v3.风险的词汇和概念v 风险的概念v 风险的种类3.1风险的概念v 风险：指可能对目标的实现产生影响的事件发生的不确定性。风险衡量标准是后果与可能性。在经营管理中，风险常常被定义为生产运营的弊端、失误或失败带来组织微机的可能性。3.2风险的种类v 行业风险v 组织风险v 沟通风险v 系统风险v 非系统风险4.风险管理技术v 风险管理的概念v 风险管理技术4.1风险管理的概念v 风险管理：一种设计的旨在确认、管理和控制潜在事件的流程，用于对组织的目标的实现提供合理的保证。4.2风险管理技术v 远期v 期货v 期权v 互换合约v 通过多样化的投资组合降低乃至消除非系统风险v 转移系统风险v 将风险资产进行对冲v 购买损失保险5.不同组织结构中的风险/控制内容v 组织结构的一般概念v 组织内部的部门化v 组织结构的类型5.1不同组织结构中的风险/控制内容v 组织结构是指组织内部的机构设置、职责与权限划分、责任机制、信息传递方式和相应的人员配备。决定组织结构的主要因素包括组织内部分工、部门设置、管理层级与跨度和责任与权限。v 管理层级是指组织中各指挥级别，一般可划分为高级管理、中层管理和基础管理。v 管理跨度是指某一管理者或管理层直接指挥的下属人员或部门的数量。它决定于管理者的能力、偏好和组织特征。5.2组织内部的部门化v 职能部门化v 产品服务部门化v 按地区划分部门化v 按顾客类型划分部门化5.3组织结构的类型v 机械式 1.职能型结构 2.分部型结构v 有机式 1.简单结构 2.矩阵结构 3.网络结构v 有机的附加结构 1.任务小组结构 2.委员会结构5.3组织结构的类型v 机械制组织职能型结构/分部型结构v 有机式组织简单结构/矩阵结构/网络结构v 有机的附加结构任务小组（临时性结构完成特定复杂任务）、委员会结构（跨职能界限处理问题，协调活动，监控项目）5.3组织结构的类型组织结构的权变因素：v 战略与结构要求匹配。探索者战略采取有机式组织结构；防御式战略采取机械化组织结构。v 规模与结构。大型组织更倾向于采用高程度的专业化和横向及纵向分化，即更可能采取机械化组织结构。v 技术与结构。技术越常规，结构越标准化。技术越飞常规结构就越会式有机式的。v 环境与结构。稳定的环境，采用机械式组织结构，动态的、不确定的环境可能采取有机式组织结构。6.不同领导风格下的风险/控制内容领导风格：一个组织中管理者对经营管理工作的态度和处理事情的习惯做法。1、自由放任式（适合成员责任感强、专业技能强的组织）2、民主化（适用任务复杂、成员专业能力强的情况，有利于发挥专业 优势，统一意见）3、结构化集权式、程序化/追求管理和决策的稳定依赖规章制度/适用稳定的组织按部就班的领导4、体贴式关怀，人本注意，温情管理/适用于士气不振，环境复杂不利，目标难以实现5、任务驱动型着重考虑分解和落实/权威式命令指挥/任务明确，组织稳定，内部关系清晰6、关系驱动型着重理顺组织关系、沟通、协调/技术性强、专业人士多、人际复杂。需要较强的协调能力 7.变革管理v 流程再造v 变革的类型v 阻碍变革的原因v 推动变革的手段7.1变革的类型v 结构变革改变组织的复杂性、正规化、集权化程度、职务再设计v 技术变革改变工作过程、所使用的方法和设备v 人员变革改变员工的工作态度、期望、认知和行为v 组织文化变革7.2阻碍变革的原因v 不确定性v 关心个人得失v 变革不符合组织的目标或最佳利益7.3推动变革的手段v 教育和沟通v 鼓励参与v 推动支持v 谈判和协商v 操纵与合作v 公开和私下强制性措施v 8.冲突管理v 由于某种抵触或对立状态而感知到的不一致的差异。只要人们感觉到差异的存在，则冲突就存在。v 8.1 冲突处理技能冲突产生原因v 沟通差异v 结构差异v 人格差异v 8.2冲突处理方式冲突处理：v 回避v 迁就v 强制v 妥协v 合作v 8.3激发冲突的技术v 改变组织文化v 运用沟通v 引进外人v 重新构建组织v 任命一吹毛求疵者v 9.管理控制技术v 预算v 成本控制v 库存控制v 项目控制v 财务控制v 其他控制工具9.1预算v 增量预算v 弹性预算v 零基预算v 滚动预算9.2成本控制v 目标成本法 发生在某一特定产品上，而仍能够使企业获得其所要求的边际利润的成本。v 作业成本法（ABC法） 它以成本动因来决定间接成本的数目何每一间接成本库的最佳分配基础。9.3库存控制经济订货批量模型（EQR）v 在涉及订货于保管问题的四种成本，即采购成本、订货成本、保管成本及缺货成本中寻求一种平衡。v EQR模型的目标是使订货成本和保管成本之和为最小。9.4项目控制项目控制内容v 时间控制v 成本控制v 质量控制项目控制工具v 甘特图v 负荷图v 计划评审技术v 关键路径法9.5其他控制工具v 流程图：一种在进行初步调查、理解组织内部控制及进行习题开发时非常有用的工具。v 因果分析法：运用鱼骨图来确定问题产生原因。v 帕雷托分析法：基于20/80规则进行分析，以柱形图来表示在一定期间发生的频率。v 统计质量控制技术：实际发生与计划相比较的一种图形表示法。v 直方图：记录某种现象发生频率的分布图。v 相关分析：一种测量两个或两个以上变量之间线性关系强弱的方法。10.控制类型v 前馈控制 如：质量控制培训项目、预测预算、实时的计算机系统v 同期控制 如：监督视察v 后馈控制 如：客户回访、对完工产品进行检查、差异分析、评估客户投诉、监督产品退回情况等按功能进行分类v 预防性控制v 检查性控制v 纠正性控制v 指导性控制v 补偿性控制F.计划审计业务v 开展与业务委托人的初步沟通v 对审计业务范围实施初步调查v 完成相关领域的详细风险评估v 与各方面协调审计业务工作v 建立/完善审计业务的目标，识别/确定审计业务的范围v 识别或开发保证业务的标准v 在计划审计业务时考虑舞弊的潜在可能v 确定审计业务步骤v 确定审计业务所需的人员水平和资源v 建立对审计业务充分的计划和监督v 编制审计业务工作程序1.开展与业务委托人的初步沟通v 审计工作计划的内容：v 开展与审计客户的初步沟通v 在审计业务范围内实施初步调查v 对审计业务相关的领域进行详细的风险评估v 确定审计业务步骤v 确定审计业务所需的人员水平和资源v 制定审计工作方案与业务委托他进行初步沟通包括：v 沟通审计工作计划v 讨论审计的目标和审计方式v 要求业务委托人报送与审计业务相关的文件资料v 其他沟通2.对审计业务范围实施初步调查初步调查v 开始审计工作v 实地观察v 研究资料v 书面描述v 分析性审计程序（重点掌握内容及运用） v 初步调查阶段可采用调查程序和分析性复核调查活动包括：v 与被审计单位开展讨论v 与受审实现影响的个人进行面谈v 进行现场观察v 审核管理层的研究工作报告v 分析性复核v 绘制流程图v “穿行测试”v 记录关键控制活动v 从业务委托人处获得信息v 进行分析性复核v 进行基准比较v 实施面谈v 查阅以前的审计报告和其他相关资料v 绘制流程图v 编制检查清单3.完成相关领域的详细风险评估v 在制定审计业务计划时，内部审计师应确认并评估被审计活动相关的风险。审计业务工作的目标应该反应风险评价的结果。4.与各方面协调审计业务工作v 内外审计工作应相互协调以确保充分的审计范围，最大限度地减少重复工作v 对外部审计师的工作，包括与内部审计工作协调的监督，通常是董事会的责任。实际的协调工作应该由首席审计执行官负责。v 首席审计执行官应确保内部审计人员遵循标准2100所开展的工作，没有重复外部审计人员的工作。v 在外部审计人员进行年度财务报表审计时，首席审计执行官可同意为其做一些工作。v 首席审计执行官应经常评估内务部审计人员之间的工作协调情况。v 董事会在行驶监督职能时，可要求首席审计执行官评价外部审计师的工作情况。v 首席审计执行官应向高级管理层和董事会回报对内外部审计师工作协调情况的评估结果。v 外部审计师要保证向董事会通报特定事项，首席审计执行官应就这些事项与外部审计师交流。v 审计工作的协调包括定期召开会议商讨双方共同光线的事项、审计范围、互相接触审计方案和工作底稿、交换审计报告和管理建议书、对审计技巧方法及术语的共识。5. 建立/完善审计业务的目标，识别/确定审计业务的范围v 审计目标师内部审计师做出的、确定审计业务希望实现的内容的概要声明。审计程序师是实现审计目标的手段。审计目标和审计程序的结合决定了内部审计师的工作范围。v 审计目标和程序应该针对被审计活动的风险。v 确保审计目标的实现是首席审计执行官的责任。不同审计类型的审计业务目标：v 经营审计：检查和评价内部控制系统以及所分配的职责的完成情况。v 绩效审计：确定效果、效率和效益。v 合规性审计：法规遵循v 质量审计：确定组织质量管理的水平和效果。v 财务控制审计：确定组织内部财务资源控制和财务资源的会计控制的水平和效果。v 财务报表审计：对财务报表的公允性、一致性发表审计意见，通常由外部独立审计师进行。6.识别或开发保证业务的标准v 内部审计师应确定管理层已在多大程度上建立了适当的标准，从而可以确定有关目标和目的是否已经实现。v 认