当代内部审计的若干重要问题

1,当代内部审计的若干重要问题,第九、十届全国政协委员财政部内部控制标准委员会委员 王光远中国内部审计协会副会长 中国内部审计准则委员会主任厦门大学教授、博士生导师,2,一、内部审计职业界面临的种种批评,内部审计重在防弊而不是兴利，重在强化本位主义，而不是实现企业的总目标；内部审计人员只是在审查数豆子的人是否将豆子数得一粒不差；内部审计在重复外部审计的工作，重复地做财务系统的审查，而不关注业务系统；内部审计人员多是一批较少掌握信息科技知识的“机盲”，他们只懂得利用信息中心，而不懂得利用信息工具；,3,内部审计报告都是些可预测的“陈词滥调”式的指责、批评，使各业务部门及其员工对内部审计人员颇多敌视； 内部审计程序烦琐，有时审查过度、过细，有时审查时间过长，干扰业务部门的正常运行；内部审计底稿成堆，审计主管复核费时费力，内部审计部门是一个劳动力密集的部门；内部审计部门是一个成本中心，而不是利润中心。,4,二、内部审计的发展历程,传统内部审计提供的产品是“会计质量控制”，其需求方是主计长（controller)控制导向内部审计提供的产品是“内部控制”，需求方是董事会下的审计委员会风险导向内部审计提供以风险和控制为核心的多元化产品，适应多元化的需求，它包括董事会、最高管理层、经营管理层、外部审计师等结论：控制与内部审计与生俱来。,5,6,三、国际内部审计准则,（一）1978年发布世界上第一部内部审计准则内部审计职业实务准则（IIA基本准则）。1、 准则的目的帮助向其他人传达内部审计的职能、范围、功能和目标统一全球范围的内部审计促进内部审计的持续改善建立对内部审计业务统一衡量的基础提供一种媒介，使得内部审计可以被完全认可为一种职业,7,2、 准则的精神,内部审计是一门艺术，五大类二十五个小类构成 的基本准则是内部审计这门艺术的基本规则。基本准则的贯彻受内部审计部门履行职责的环境制约，所以，准则的焦点不是聚焦在个人身上，而是聚集于一系列团体，包括设置内审部门的组织、内审部门本身、内审部门主管以及个人执业者。 基本准则是一个完整的体系，其中最重要的是“工作范围准则”。内部审计为整个组织提供服务，而不仅仅是为管理层提供服务。,8,3 、内部审计准则说明书控制的概念与责任结果沟通舞弊的预防、检查、调查和报告质量保证内外部审计师的关系审计工作底稿与董事会的沟通分析性复核程序风险评估对营运及专项规划实现既定目的和目标的评估,9,混合意见审计计划对已报告的审计发现的追踪内部审计词汇表督导遵循政策、计划、程序、法规及合同的审计对外部审计质量的评估利用外部专家的服务,10,（二）2001年以后：建立国际内部审计职业实务准则框架1、 新准则的目的及其重大修改为支持和推动增值型内部审计活动提供一个灵活的架构勾画出通行全世界的内部审计实务原则促进优化的组织流程和运营建立一个质量保证机制以确保准则的遵循以高质量内部审计服务的全球性声望为基础，在市场上赢得“首选的提供者”的认可,11,本次是对1978年准则的本质性修改，明确引入咨询职能，本次修改涵盖了以下几方面：信息技术风险计算机辅助审计工具对治理程序的审计扩大的、与职业道德规范相关的职责与内外部客户更为紧密的沟通确保审计工作符合准则的要求评估审计结果发布的意义识别在确认审计服务中产生的咨询服务的机会,12,2、 实务准则框架的构成 基本准则和职业道德规范（强制 性规范）实务咨询（ IIA强力推荐）发展与实务支持（ IIA制定或认可的有用参考资料）,13,内部审计定义,内部审计定义,14,（三）属性准则的构成内部审计的宗旨、权力和职责独立性和客观性专业素养和职业谨慎质量保证和业绩评估计划,15,（四）工作准则的构成内部审计活动的管理内部审计工作的性质内部审计的工作计划内部审计的执行计划报告内部审计结果监督和评估的程序管理层对风险的接受,16,（五）实施准则的构成从确认和咨询两方面为特定项目提供明细的应用指南，以满足不同客户的不同需要；同时参照其他适用的专业准则，如政府审计准则、独立审计准则、IT审计准则等；未来有可能单列舞弊调查。,17,（六）确认服务与咨询服务1 、确认服务的六条标准和三个类型确认项目包括客观获取和评价证据的系统过程。这些项目需要事先确定的标准。项目涉及到将结果传递给相关使用者、除服务提供者或者被审查过程与领域中人员以外的第三者。这个第三方就是确认服务的客户，它决定着这项服务的价值。准则要求审计人员自主决定工作的范围，而不是由所查领域的业务管理者来确定。准则需要规定审计报告的形式和内容的要求。准则要提出对审计人员独立性和客观性的约束。,18,三个类型财务审计，包括像分部业绩报告审计和盈利产品线审计那样的传统鉴证审计，包括对外部财务报表审计的合作，还包括业绩指标审计（特别是政府部门，推行平衡计分卡的公司）业绩审计或业务审计，包括评估风险和对内部控制的适当性提供确认。快速反应审计（quick response auditing)，它通常来自于高级管理层的特殊要求，这包括舞弊调查，也包括评价和审慎性调查（Due diligence).,19,2、 咨询服务的三条标准和三个类型,三条标准准则无需规定审计人员应当自主决定其工作范围；准则也无需规定具体的报告要求，如要求出具书面报告或要求对项目结果进行后续审计；咨询服务过程中，如果委托人（业务管理者）认为某个领域做更多的工作已无多大价值，就可以让审计人员停止工作,20,三个类型：评估服务（assessment services)，指对各种业务的过去、现在或未来的某些方面进行检查和评价，并以此信息帮助管理层做出决策。如系统设计对控制的评估、对特定的组织再造的评估、对外包流程节约程度的评估等。协调服务（facilitation services)，引导管理人员发现组织的优势和改进的机会。如控制自我评估、标杆管理（Benchmarking)、企业流程再造 、协助制定业绩指标、战略规划支持等。补救服务（remediation services)，用于防止或阻止可疑的组织问题。这是与确认服务最不兼容的一类服务，它实际上是在履行一 项管理性职能。,21,3 、确认服务的相关问题确认服务的等级证据与确认类型和确认等级的关系向组织外部提供确认服务确认服务在舞弊调查中的性质,22,4、咨询服务相关问题混合项目确认服务和咨询服务的平衡内部审计从事咨询服务的限制咨询服务的风险和回报,23,5 、咨询服务的风险内审人员客观性的丧失咨询项目失败对职业声誉的影响未能有效履行确认职责负面的政治风险成本和时间的超支,24,6 、咨询服务的回报增加组织价值改善内部审计与管理层的关系增加员工的表现机会，展现员工职业生涯的前景,25,（七）准则体系中对内部审计质量的关注长期的质量保证和改善计划经常评估计划的有效性 外部评估内部评估向董事会提出报告采用“依据内部审计准则执行”的报告披露不符合内审准则要求的事项,26,（八）内部审计准则中有待研究的问题1、研究不同的内部审计需求可以有不同的证据充分性、相关性、可靠性，以便与审计委员会、业务经理、外部审计师进行有效的沟通；2、研究什么样的内部审计服务可以满足公司治理 的要求；3、研究持续性监督软件的应用问题；4、研究认定关键风险的指标并建立连续不断地认定风险并作出决策的信息系统；5、研究企业流程以认定舞弊、内部渐衰及关键风险的指标；6、研究实施咨询活动时如何保持内部审计人员的客观性；7、研究如何确保审计信息及管理信息的安全；,27,8、研究如何提高内部审计参与企业的购并效果；9、研究如何评估内部审计与外部审计相关联的确认性服务；10、研究内部审计与企业再造的关系；11、研究内部审计服务价值的评估问题；12、研究如何评估企业行为规范的价值；13、研究隐私权的保护；14、研究重要设施的风险及安全需求；15、研究内部审计与组织整合的关系；16、研究提高审计效能的技术与方法,28,（九）职业道德规范正直性客观性保密性胜任性,29,职业道德规范有待关注的问题：不同行业对职业道德规范的影响不同经历和经验的内审人员对职业道德规范的影响不同性别的内审人员对职业道德规范的影响不同专业素养的内审人员对职业道德规范的影响,30,（十）追求内部审计的职业精神一个专门执业者应具备的基本特质和基本标准是：一个专门职业者往往要提供特殊知识服务，因此需要有一套熟练的专门知识领域，这些知识可以通过正规学历教育和在职继续进修教育而获得，IIA在这方面已作了积极的努力。一个专门职业者所提供的特殊服务，往往是一般社会公众所不熟悉的，因而无法对其工作质量进行评估。显然，我们无法期望一般社会公众能够评估内部审计的服务质量。一个专门职业者当遵守基本的职业道德规范，并且应该让一般社会公众对这些职业道德规范的要求有所了解，IIA在这方面的努力是有成效的。一个专门职业者当积极参与其所属的职业团体组织，该组织也应为其会员提供各式各样的服务，就内部审计职业界而言，这个组织就是IIA。,31,一个专门职业者应当自尊、自重、自爱，营造积极的良性竞争环境。一般职业的从业人员都受限于法律法规的保护，只准许法律法规认可的合格人士从事该行业，而内部审计人员则是受限于一个组织之内，当然他也要遵守法律法规的要求。一个专门职业者的服务质量，可以同业评鉴的方式来评估或鉴定，评鉴的指标也不仅限于财务指标。IIA1978年的“内部审计职业实务准则”和随后发布的“内部审计准则说明书”，就确定了基本的同业评鉴办法和同业评鉴标准。一个专门职业者都有特定的服务对象，内部审计人员的服务对象是整个组织成员，他不会为一般社会公众提供服务。一个专门职业人员所提供的服务应该超越其最低标准，其职业境界应该远在物质报酬之上。,32,上述八条基本特质和基本标准，内部审计人员能否达到，尚需实践的检验。内部审计职业是一个非常特殊的职业，内部审计工作不是内部审计人员自己做好就行了，而是还要要求别人做好，若别人做不好，还要去纠正他，因而，内部审计人员就需要有一种“富贵不能淫，威武不能屈”的道德勇气，有一种大公无私的服务精神。,33,四、中国内部审计准则总论,（一）制定准则的必要性让社会公众深刻认识内部审计推动内部审计职业化和国际化推动内部审计工作的规范化全面提高内审人员的专业素养,34,（二）制定准则的程序选定项目拟订初稿征求意见修改完稿,35,（三）准则的基本体系基本准则：总纲具体准则：具体规范实务指南 ：可操作性指导意见,36,内部审计规范体系,内部审计基本准则,内部审计人员职业道德,内部审计具体准则,内部审计实务指南,指导性,建设项目内部审计、物质采购审计,审计计划、审计通知书、审计证据、审计工作底稿、内部控制审计、舞弊的预防、检查和报告、审计报告、后续审计、内部审计的督导、内部审计与外部审计的协调、结果沟通、遵循性审计、评价外部审计工作质量、分析性复核、风险管理审计、重要性与审计风险、审计抽样、内部审计质量控制、人际关系、客观性与独立性、控制自我评估、内审机构的管理、与董事会和高管层的关系,37,（四）具体准则和实务指南的基本结构总则：包括制定准则的目的和依据、核心概念的定义、适用范围一般原则：包括管理层与内审机构及内审人员的责任、本准则涉及到的具有重要影响的总体原则和总体要求具体原则：规范内部审计活动的基本内容和方法。一般作统一列示，若内容、步骤较多也可分章列示附则：包括准则的发布权与解释权、准则的生效日,38,（五）制定准则遵循的基本原则内部控制与风险是核心概念财务审计与管理审计相融合防弊、兴利、增值相共存借鉴与包容政府审计、独立审计准则信息技术的进步国际化与国家化的统一,39,（六）内部控制与风险是核心概念内部控制作为内部审计的对象是与生俱来的内部审计职业界为现时通行的COSO报告作出了重要的贡献。1946年布林克的文章；1978年IIA的基本准则；1986年IIA的研究报告“控制与内部审计”（提出由四大要素构成的评估内部控制的概念框架）,40,内部控制的基本内涵：五大要素和五大特征对审查内部控制的规范包括：内部控制审计准则、遵循性审计准则、风险管理审计准则、内审人员参与内控自我评估准则风险管理是现代内部审计的对象。这里的风险包括外部环境风险、经营过程和资产损失风险、信息风险,41,42,风险管理审计就是对风险管理过程风险控制、风险评估以及风险应对的审计。风险管理审计是整体内控审计的组成部分。在充分关注风险的时代，内部审计的建设更加强调风险规避、风险转移和风险控制控制与风险概念贯穿内部审计准则制定的全过程,43,（七）财务审计与管理审计相融合会计审计的本质在于受托责任，由于受托责任可细分为受托财务责任与受托管理责任，故有财务会计与管理会计之分，也有财务审计与管理审计之分依据内部审计的目标，现代内部审计更加关注管理审计。时间上的标志是1971年IIA的内部审计师责任说明书,44,内部审计的对象是“经营活动和内部控制”，并不等于排除财政财务收支审计，只是更加强调业务活动和管理活动的审计内部经济责任审计是典型的将财务审计与管理审计融为一体的综合审计内部管理审计也可由政府审计机关、管理咨询公司和会计师事务所来做，但内部审计有较大的竞争优势吸取世通公司舞弊案的教训，正确处理财务审计与管理审计的关系,45,（八）防弊、兴利与增值相共存消极防弊、积极兴利和价值增值，既是内审的三大目标，又体现了内审的三个发展阶段防弊是兴利与增值的基础，只有做好了查错纠弊，才能进一步实现兴利与增值。安然、世通等公司舞弊案的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计进行抽查确认，而忽视对舞弊线索的追查,46,兴利与增值是一致的，兴利是增值的外在表现，增值是兴利的内在要求。鉴于兴利与增值是内部审计的重要目标，故内部审计不宜与纪检监察共置于一个部门，特别是企业。强调防弊不能使其成为兴利和增值的绊脚石；强调兴利和增值不能以牺牲防弊为代价。内部审计应成为现代组织的“仁医”。,47,（九）借鉴与包容政府审计准则和独立审计准则三类准则只有相互借鉴与包容，才能实现内部审计和外部审计成果的相互利用;政府审计准则的特点是简化、概括和强制，独立审计准则的特点是复杂、细致、趋同，而内部审计准则就要借鉴这两类准则的合理成分，兼具科学性、现实性和前瞻性的特点;,48,内部审计准则内容体系中最特别之处有：应具有维持良好人际关系以及有效地与他人沟通的技巧。在独立审计准则中至多也是暗示CPA应具有良好的人际，但“有效地与他人沟通”则是没有的。外部审计人员多认为社会公众有责任去学习、研究如何理解外部审计报告；内部审计人员则认为他们自己有责任让报告的使用人恰当地理解审计报告。这种认识上的差距同时也反映了他们在独立性和客观性程度上的差别应适时地进行后续审计。政府审计准则中只是有这样的精神，但缺乏完整的准则条款；独立审计准则则是没有这方面的要求内部审计部门的组织和管理,49,（十）充分考虑信息技术的进步信息技术正在改变市场自身的结构，改变市场产品的生命周期，变革基本的企业模式，从而引起组织结构和人们工作方式的重大变革，适应这个信息时代并保持竞争优势是我们面临的唯一重要的管理挑战。IT几乎影响着内部审计的每一个重要方面： 它的组织地位和章程、工作范围、方法和活动；IT似乎承担了所有的事情，从战略到管理信息系统、管理决策，到包括流程再造的经营过程，直至整个监督工作和治理领域;IT作为管理过程和企业战略的一个驱动者(driver)和协进者(enabler)，并不能增加内部审计的有效性，但对内部审计职能的发挥产生“全面影响”,50,9表3,51,内部审计必须以创新的方式创造性地利用IT，以为组织增加价值并改善组织的营运。内部审计部门有三种配置方式：完全内置、合作审计(co-sourced)、完全外包(outsourced)，IT对不同的配置方式会产生不同种类和不同程度的影响（如内审部门的规模和人员配置），通常以完全内置为标杆，来讨论IT对内部审计的实质性影响。IT审计的研究，多集中在外部审计领域，外部审计的IT研究成果推广至内部审计领域需格外地小心谨慎，人们可以去研究内外部审计人员在何种特定环境下，合作出相似的（或不同的）反应。,52,（十一）坚持国际化与国家化的统一借鉴国际内部审计准则和西方发达国家内部审计的先进经验，使中国内部审计准则与国际内部审计准则相趋同，是制定准则的基本立场，也是准则前瞻性的要求。我国的政治、经济、文化与西方国家有所不同，我国内部审计的发展道路也与西方国家不尽一致，因此，必须考虑我国特有的环境对内部审计准则的影响，这是准则现实性的要求。,53,准则只是约束人们行为的最低标准，而基于特定文化氛围产生的社会价值观则能使人们自发追求一种较为高层次的标准，因此，文化是一座冰山，而准则是暴露在冰面上的冰尖。中国内部审计准则必须符合中国文化的“和” “合”精神，以期建立一种互信、和谐、合作、参与、协调的审计关系。坚持国际化与国家化统一的前提是内部审计准则必须具有科学性，这种“科学”强调，准则的水准既不是人人可及的“全体及格”，也不是人人不可及的“全体不及格”。如果说内部审计准则是一剂药方，那么，我们不可以昨日之方来医今日之病，那会使人不求精进，落后于时代；也不可以明日之方来医今日之病，那会使人努力无望，放弃进步。,54,五、基本准则确定经过及内容阐述,（一）总则目的和依据基本定义适用范围,55,（二）一般准则机构设置与人员配备质量控制专业胜任能力遵循职业道德规范独立性和客观性人际关系,56,（三）作业准则重要性和审计风险风险导向审计计划审计通知书审计测试证据的充分、相关和可靠计算机系统下的审计审计工作底稿,57,（四）报告准则报告的质量要求报告的基本内容遵循内部审计准则分级复核制度后续审计,58,（五）内部管理准则年度计划与预算内部审计工作手册内部激励约束机制内外部审计的协调（六）附则,59,六、职业道德规范,遵守内部审计准则及协会的有关规定不得损害相关利益和职业荣誉独立、客观、正直和勤勉廉洁从审应有的职业谨慎保持和提高专业胜任能力保持诚信原则保守商业秘密客观披露全部主要事项妥善处理各方关系持续提高服务质量,60,七、已出台的具体准则,第1号 审计计划第2号 审计通知书第3号 审计证据第4号 审计工作底稿第5号 内部控制审计第6号 舞弊的预防、检查和报告,61,第7号 审计报告第8号 后续审计第9号 内部审计督导第10号 内外部审计的协调第11号 结果沟通第12号 遵循性审计第13号 评估外部审计工作质量第14号 利用外部专家服务,62,第15号 分析性复核第16号 风险管理审计第17号 重要性和审计风险第18号 抽样审计第19号 内部审计质量控制第20号 人际关系第21号 内部审计的控制自我评估第22号 内部审计的独立性与客观性第23号 内部审计机构与董事会或最高管理层的关系第24号 内部审计机构的管理第25号 经济性审计第26号 效率性审计第27号 效果性审计,63,内部审计具体准则的总体结构,第22号客观性与独立性,第24号内审机构的管理,第21号控制自我评估,第23号与董事会、高管层的关系,64,八、已出台的实务指南,建设项目审计指南 物资采购审计指南,65,九、正在研究制订的准则,（一）具体准则信息化环境下的内部审计 审计信息与管理信息的安全内部审计人员的后续教育咨询服务准则,66,（二）实务指南经济责任审计内部控制审计审计报告企业并购审计高等学校审计政府机构内部审计,67,十、内审人员的专业胜任能力,（一）内部审计人员专业胜任能力框架（CFIA,1999）,68,（二）Ratliff & Reding21世纪审计人员的职责和必要技能(2002)21世纪的内部审计人员必须准备审查几乎所有的 事项经营活动、控制系统、经营业绩、信息与信息系统、法律法规的遵循、财务报表、环境报告与业绩、质量。审计人员必须掌握12种技能：分析和批判性思考(Critical thinking)的技能。充分了解审计对象（包括人、组织或系统）的有效方法。内部控制的新观念、新准则和新技术。认识和理解与审计对象及审计人员相关的风险和机会。,69,针对任何审计项目，制定审计的总目标和具体目标。选择、收集（利用一系列审计程序）、评估、证实审计证据，包括利用统计和非统计方法。利用多种形式向不同的审计报告使用人报告审计结果。后续审计。职业道德。在多种形式的审计报告中可应用的审计技术。理解独立性和客观性概念。全面了解风险、机会和审计证据的成本及重要性。,70,（三）Moeller& Witt （1999）：一个成功的内部审计师必须具有的个人品质（除技术与专业资格之外）基本的公平与正直组织利益适度的谦卑专业化的姿态投入角色的一贯性好奇心批评性的态度,71,警觉坚持不懈精力充沛自信勇气作出合理判断的能力,72,（四）IIA提出的称职内审人员应具备的知识结构,73,十一、有效利用风险评估， 合理分配内审资源,（一）选择被审单位的方法依照一种有系统的方法来决定高级管理层或董事会的要求被审单位的请求三种方法并不排斥，而是互为补充,74,（二）制定选择被审单位的战略将组织细分为不同的情况分公司、工厂、商店、厂房资产等座落地点；与每一地点或每一营运类型相关的总金额；各种活动、营运作业与过程的复杂性；审计部门可供使用的人力资源；管理阶层的关心程度；功能性的组织单位；交易循环（Transaction Cycles）；决策中心（Decision Center）,75,（三）依据风险评估结果，选出被审单位分配内部审计资源重要风险因素的确定将风险因素量化资料收集技术,76,（四）加拿大贝尔电讯公司的经验将由下而上的方式与由上而下的方式相结合将风险评定与核心流程相结合将审计资源分配到核心流程审计中,77,（五）风险导向内部审计计划年度审计计划须与组织最高层级的战略风险相连结审计计划须与经营计划相一致审计主题的选定对业绩有重要影响的事项潜在危机的发现与使受害程度减至最低的事项高级管理层及全公司关心的审计主题不合算的交易、与无效业务的发现与改善有关的事项希望努力的交易、与业务改进及对策有关的事项经营层和管理层的审计主题管理部门中不易发觉的事项前次审计中未列作审计对象的事项,78,（六）日本内部审计主题选定的实况调查,表一 选定审计主题的主要线索,79,（六）日本内部审计主题选定的实况调查,表二 审计主题的主要决定方法,80,（六）日本内部审计主题选定的实况调查,表三 是否将被审单位业务计划的合理性及允当性列作审计主题,81,（六）日本内部审计主题选定的实况调查,表四 计划及实绩的对照,82,（六）日本内部审计主题选定的实况调查,表五 计划的允当性和适切性,83,（六）日本内部审计主题选定的实况调查,表六 为促进收入，利益增加为目的的审计主题,84,（七）采用轮流审计（Rotation Audit），编制中长期审计计划每两或三年审计一次当年未接受审计的单位须实行自我审计计划（self-audit program）,85,十二、独立性与客观性的要求,（一）不同的职业审计有不同的独立性与客观性要求1.独立审计主要关注独立性，较少关注客观性欧洲专家联合会（FEE）提出若干威胁法定审计人员客观性的因素：审计人员与客户之间的私人、商业和财务关系； 在客户中担任管理或监督的角色；提供非审计服务,86,审计收费管理长时间为某客户提供服务审计人员与客户之间实际的或潜在的诉讼客户向其他法定审计人员征求意见审计事务所管理,87,FEE提出五种威胁法定审计人员独立性的因素：自身利益自我检查 鼓吹（advocacy)熟悉（或信任）胁迫（intimidation）,88,2.政府审计关注的是审计组织和审计人员的独立性3.内部审计主要关注客观性，较少关注独立性。过分强调独立性，会导致内部审计部门和人员与被审计单位之间形成对立,89,（二）管理威胁客观性因素的框架,90,（三）识别威胁客观性的具体因素,自我检查（self-review）社会压力（social pressure）经济利益（economic interest）私人关系（personal relationship）审计师与被审单位的熟悉程度（familiarity）文化、种族和性别歧视（cultural, racial, gender bias）认知偏差（recognition bias）,91,（四）缓解威胁客观性程度的具体因素,组织地位和政策环境:强有力的公司治理系统激励（奖励、处罚）小组工作监督（同业互查）时间流逝与环境内部咨询,92,（五）提高内部审计人员客观性的措施,聘用规则培训监督检查质量保证检查小组工作轮换/重新分配内部审计外包,93,十三、舞弊的预防检查与报告,（一）舞弊的定义与错误的区别有意还是无意损害组织利益的舞弊与谋取组织利益的舞弊舞弊行为可能损害组织的利益，也可能是为组织谋取利益，但这种谋取的利益是通过不正当手段获得，当该行为被曝光后，最终会给组织带来伤害。舞弊行为可能给舞弊者带来不正当利益。舞弊者本人可能从舞弊行为中获取间接或直接的个人利益，但这不是舞弊的必然现象。,94,（二）舞弊防范与内部控制的作用,组织管理层的责任,内部控制是防止企业舞弊发生的主要途径,三角理论：压力、机会、借口,GONE理论：贪婪、机会、需要、事后暴露,95,Treadway委员会的观点：四道防线 高管层的 业务经营 管理理念过程内部控制 内部审计外部独立审计,96,一个案例巴林银行,1763年，弗朗西斯巴林爵士在伦敦创建了巴林银行，它是世界首家“商业银行”，既为客户提供资金和有关建议，自己也做买卖。由于巴林银行的卓越贡献，巴林家族先后获得了五个世袭的爵位。这可算得上一个世界记录，从而奠定巴林银行显赫地位的基础。于1989年7月10日正式到巴林银行工作的里森，不断地将交易中的错误记入“88888”的错误账户来隐瞒错误，并私自进行交易，妄想弥补错误。但最终亏损86000万英镑，使巴林银行与1995年2月破产。三角理论：里森面临错误的压力、有被总部遗忘的“88888”错误账户的机会、寻找各种借口甚至伪造躲过内部审计的审查,97,一个案例巴林银行,高管层的理念 关于资产负债表，巴林银行董事长彼得巴林还曾经在1994年3月有过一段评语，认为资产负债表没有什么用，因为它的组成，在短期间内就可能发生重大的变化，因此，彼得巴林说：“若以为揭露更多资产负债表的数据，就能增加对一个集团的了解，那真是幼稚无知。”内部控制 从制度上看，巴林最根本的问题在于交易与清算角色的混淆。巴林在1994年底发现资产负债表上显示5000万英镑的差额后，仍然没有警惕到其内部控管的松散及疏忽。内部审计 巴林总部的审计部门的调查都被里森以极轻易的方式蒙骗过去,98,（三）舞弊的检查与发现1996年对六大事务所问卷调查 舞弊警讯：经理人员曾对审计人员撒谎或曾对其询问过分推诿审计人员的经验认为管理层有某种程度的不诚实管理层过分强调达成预测或其他数量目标管理层经常与审计人员发生会计处理方面的争议管理层以采用购买会计原则的审计意见管理层对财务报告的态度过分冒进控制环境严重不良管理层的报酬和数量化目标的达成密切相关管理层对主管机关表现出相当不尊重的态度管理层在营运及财务方面的决策有少数人垄断,99,1994年KPMG对3000家大型公司的一个调查，调查对象包括内部审计人员（39），安全人员（21），财务主管（18），总裁（13），法律顾问（7），其他（2）舞弊如何被发现：内部控制 53员工举报 51内部审计 47管理层特别调查 42顾客举报 34意外发现 28,100,美国注册舞弊检查师协会1996-2002已发现舞弊案件统计 研究样本中： 雇员发现 26.3% 偶然发现 18.8% 内部审计 18.6% 内部控制 15.4% 外部审计 11.5% 客 户 8.6% 匿 名 6.2% 其 他 6.8%,101,十四、内部控制审计,（一）内部控制及其重要性 （二）影响企业内部控制的因素（三）内部控制要素（I）（四）内部控制要素（）：加拿大CoCo报告（五）内部控制要素（）：英国的Cadbury报告,102,（一）内部控制及其重要性控制系指管理层为实现既定目的或目标而采取的任何行动控制过程的三要素,103,（1）设定标准,104,（2）计量实际业绩（3）找出差异并采取纠正行动,105,控制的重要性降低错误及舞弊发生的可能性。减少违法事件的发生。降低企业失败的概率。提高企业的竞争力,106,控制的人性面,高层管理人员一致性期望,降低成本的需要,符合竞争的需要,更严密的控制,更高的业绩标准,标准化的作业程序,出现之征兆怠工异动调迁工会行动冷淡不关心,时间,业绩改善（短期）,业绩逐渐恶化,更严密的控制,疏离强调低层次的需求（安全、工资）希望不受干扰,业绩（？）,107,主管承受预算的压力控制造成短视过分强调短期因素过分注重量化因素有些控制造成权术运用控制可能引起内部冲突,108,（二）影响企业内部控制的因素公司治理方式风险与机会政府管理或法律管理企业文化科技进步企业责任混沌理论（chaostheory）,109,（三）内部控制要素（I）：COSO报告1.COSO组织及其运行2.内部控制及其目标 提高经营活动的效率和效果 确保财务报告的可信性 确保法律法规得以遵循,110,3.内部控制的五大要素控制环境（controlenvironment ）风险评估（riskassessment）控制活动（controlactivities）信息与沟通（informationandcommunication）监督活动（monitoring）,111,监督活动,控制环境,沟,通,信,息,控制,风险,沟,通,信,息,作业,评估,内部控制五要素,112,4.控制环境 正直性和价值观 员工能力 董事会或审计委员会 管理哲学与经营风险 组织结构 权责的分配 人力资源政策及其执行,113,5. 风险评估 设定企业目标 判别组织层级风险和作业层级风险的来源 评估每个风险因素 确定重点风险,114,6. 控制活动 授权程序 职能分工 批准程序 文件凭证和记录 接近控制 独立的内部审查（independent internalverification）,115,7. 信息与沟通 信息的生成 信息的流动 信息与沟通的共生关系 沟通协调的实务技巧 事前沟通与充分协调 自助、助人、人助,116,8. 监督活动 持续性监督（ongoingmonitoring） 个别监督（separateevaluation）,117,9. 评估内部控制的技术 分五大要素列出明细控制要点 依对外关系、经营活动、管理工作和会计控制四个层面来说明风险评估及其工作底稿的使用方法 评估控制是灵活的,118,10. 对外报告内部控制 背景分析 对外报告内部控制的范围和时间 衍生金融工具中的内部控制问题,119,（四）内部控制要素（）：加拿大CoCo报告,控制的定义控制的要素：目的（purpose）承诺（commitment）能力（capability）监督（monitoring）学习（learning）内部控制的有效性与管理活动的区别控制标准,120,（五）内部控制要素（）：英国的Cadbury报告,控制环境 控制程序 有效内控的特性 三种模式的综合分析,121,十五、公司治理审计,（一）公司治理失败的原因：外部审计 会计师事务所的企业文化伦丧 风险导向审计成为不切实审计的借口 不断追求咨询服务的成长，使得擅长营销的人升任为领导阶层 设于世界各地的事务所分所可以推翻总所有关会计议题的处理原则和处理办法,122,（二）公司治理失败的原因：内部审计以世通公司为例：世通公司内部审计的优势：内部审计人员努力履行自己的职责全面推行业务审计，注重创造最大收益、最低成本和提高效率获得董事会及高级管理层的信赖发现不当的事情，敢于揭发,123,世通公司内部审计的劣势：内部审计部门独立性不够与外部审计师沟通不畅预算资源不足内部审计过程有瑕疵过分注重增值服务，忽略财务控制，以至未能及时发现公司不实的财务报告,124,（三）公司治理失败的原因：经济与管理的环境采取激进的会计政策，导致不实财务报告采取不适当的管理层薪酬制度（如给予高级管理层过多认股权），导致管理层逾越内部控制及会计准则会计准则制定过程的政治化，使其无法发挥规范企业会计处理及财务报告的功能。使得舞弊与激进会计政策之间的界限相当模糊企业道德伦丧，尤其是管理层不正视道德文化的重要性，不能以身作则，致使书面上完善的道德规范，现实中未能落实。,125,（四）萨班斯法案的要旨萨班斯法案的主要内容多与控制有关。该法案的主要目的是：提高外部审计的功能加强对内部控制的报告以原则为导向制定会计处理准则设置“揭露委员会”管理层对财务报告及内部控制的认定,126,提升审计委员会的重要性和警觉性：具备财务专长投入足够的时间 企业提供适用的信息系统更多的有关舞弊预防和检查的责任简言之，萨班斯法案认为有效的公司治理必须是董事会、管理层、内部审计师及外部审计师的结合。公司的利害关系人信任董事会及管理层将善尽其受托责任，并依靠内部审计和外部审计的功能，以确保董事会和管理层有效履行其受托责任。内部审计是内部控制的评估者和测试者，是企业控制流程的协力者。,127,（五）内部审计角色的转变确认管理层或审计委员会在财务报告上扮演的角色 确认有关“报告的经济透明度”所扮演的角色评估企业决策是否以经济实质为依据质疑异常的事项，挑战激进的会计处理（aggressive accounting) 评估高风险流程，即所有需要重大管理创新的领域检查所有异常的或复杂的交易事项检查所有异常项目的来源,128,利用数据挖掘、数据处理专业技术识别重要关注的项目评估及提高企业的道德水准与价值观。看企业的价值观是否与社会期望值相一致；看企业是否有良好的声誉风险管理政策评估及提高履行责任的过程评估剩余风险的沟通情形与董事会、管理层及外部审计作有效的沟通善用有关行业发展趋势及法规环境的信息来源评估企业与道德有关的目的、计划及活动的设计、执行与成效。企业道德氛围包括：企业必须采取的行为/道德规范企业必须披露的搁置事项审计委员会应建立有关程序，接受、保存及处理申诉事项处理检举人提供的信息,129,（六）内部审计功能的发挥有赖管理层的支持内部审计应就下列事项取得管理层的支持：CEO及CFO应对财务报告及内部控制等进行认定内部控制评估治理框架的建立与评估风险管理流程的评估。在企业风险管理方面，内部审计人员扮演“流程评估者”和“风险导向”两种角色,130,（七）内部审计功能的发挥有赖董事会的支持内部审计应就下列事项取得审计委员会的支持：检举人(whistleblower)的流程内部审计的独立性外部审计师的聘任关联方交易的复核“教育”董事会和管理层监督控制风险提高财务透明度,131,（八）人基本上是诚实的，当你关注他们的时候，他们会更为诚实。,132,十六、风险管理审计,（一）内部审计的两大转变（二）企业风险管理（Enterprise Risk Management, ERM）（三）功能性审计和程序性审计（四）内部审计人员应定期评估道德风险,133,（一）内部审计的两大转变以风险导向审计取代传统的控制导向审计内审所扮演的角色从事后的确认及评估延伸至及时的顾问和咨询,134,内部审计人员在风险导向审计中扮演的角色 咨询（advisory） 提升（promotion） 参与（participation） 评价（evaluation） 分析（analysis）,135,（二）企业风险管理（Enterprise Risk Management, ERM）检查风险管理的必要性按照ERM的观点，风险可分成四类： 战略风险 营运风险 财务风险 冒险风险,136,利用ERM架构组成的企业风险神经系统,137,利用ERM架构组成的企业风险神经系统 评估组织的环境及战略 建立ERM架构 降低风险及控制 建立一套风险神经系统 持续监督及报告 评估风险架构 风险转化管理,138,（三）功能性审计和程序性审计 功能性审计（functional audit）执行功能性审计时，内部审计人员应确保组织内有某一人负责这些风险管理计划的执行，包括： 风险评估识别辨识及评价组织的资产及资源；识别主要的损失暴露；评估并沟通目前的潜在风险。,139,风险控制支持预发式的风险及损失控制计划；对风险控制计划参与者提供最大的激励；监督风险控制作业的效果。 风险融资考虑各种可能的财务资源，以适应风险管理；维持适当的灾害保障；将风险财务支出的成本以合理的方式分摊于各营运单位。,140,行政管理创造并维持管理层对风险管理的重视与承诺；采行一种明确界定的风险管理结构； 制定明确的年度目标；与相关管理层维持良好的沟通。,141,内部审计人员应确定谁在执行风险管理的具体活动，例如：工业安全资产保全（security）火灾防护索赔管理福利协调健康医疗、残障、劳工酬劳合约的风险转移保险及非保险的合约产品质量环保事务灾害复原计划信息资源、制造及行政管理 识别负责活动的执行者及他们如何完成这些任务，有助于对组织的整体风险管理计划的洞察，及决定如何有效执行程序性审计。,142,程序性审计（procedure audit） 程序性审计的目的在于决定功能性的责任是否完成。不论任何功能领域，一些常规问题应予检查。例如：是否有证据显示对公司的资产有充分的认识与了解？此项信息的来源为何及其正确性如何？损失的暴露如何被识别？上次在什么时候曾经执行正式的风险评估？曾采用什么计划以消除风险？曾经执行哪些事项以减少风险发生的冲击？采用什么程序以监控这些风险管理计划的执行成效？,143,（四） 内部审计人员应定期评估道德风险 道德风险是企业整体或员工价值观的堕落，游走于法律法规的边缘，凡事均考量权利之大小，而非企业整体利益为考量。内审人员应定期评估相关道德文化政策的有效性，以管理道德风险。评估书面化的正式行为守则，清楚的解释奖惩事项经常与颇具影响力的主管相沟通，期望主管能率先垂范，遵守道德行为规范疏通投诉不法行为的管道,144,让员工、供应商及客户明白，他们与组织间的互动必须符合组织道德规范的要求员工须不断地接受后续教育并了解通畅的升迁管道，从而改善其精神面貌，提升其道德水准定期向员工、供应商及客户征询意见，了解他们对公司道德文化的感受定期复核组织内部可能造成压力及预设立场的流程,145,十七 、内部控制自我评估（Control Self-Assessment, 简称CSA）,（一）CSA是当前及未来最重要的内审实务提高内审效率强调有关人员的参与持续的评估与改进可提供优异的内部控制教育与培训,146,（二）CSA采用的方法调查问卷法专题讨论会,147,（三）开会的方式以目标为基础以风险为基础以控制为基础以过程为基础,148,十八、海外子公司审计,（一）海外子公司治理的局限性（二）法律法规遵循的审计税法的不遵循公司法规的不遵循劳动法规的不遵循工厂安全及环保法规的不遵循,149,（三）经营业绩的审计（四）海外子公司舞弊的警讯成本节省战略欠缺跨国企业的经营经验失控的扩充抗拒监督母公司疏于监督,150,十九、内、外部审计师的协调与配合,（一）内外审计师合作的四个方面定期开会讨论双方共同的问题；方便取阅各自保有的审计细则（审计程序）与工作底稿；互换审计报告与致经理人函（建议书）；了解彼此的审计技巧、方法及术语。,151,（二）内部审计师与外部审计师的沟通沟通的目的：确定审计范围，减少重复性工作。沟通的时机：任何时间，但大多在遇到审计技巧有疑问；审计报告不知如何撰写；接到外部审计师的内控建议书；借助外部审计师说服及训练；外部审计师进行期中审计后及年度审计前,152,二十、内部审计外包,Kusel等（1997）发布了一个关于内部审计外包市场规模的调查报告 ，结果显示21的美国公司和31的加拿大公司都至少外包了部分内部审计职能，另外没有外包的公司中有32.4的美国公司和36的加拿大公司表示有意在未来外包内部审计职能 美国部分行业内部审