现代内部审计的新思维与新发展PPT课件

北京国家会计学院秦荣生教授 现代内部审计的新思维与新发展 导言 进入21世纪以来 随着国际经济环境的变化 科学技术的飞速发展和公司治理运动的深入等因素的影响 现代内部审计面临并正在进行重大变革 内部审计理论与技术 方法的每一次重大变革 都是随着经济的发展 公司治理要求的提高 IT新技术的出现等而摧生的 一 现代内部审计的新思维 二 现代内部审计的新发展 三 完善我国内部审计制度的措施 三 我国内部审计的发展选择 自1947年至1999年间 国际内部审计师协会 IIA 先后7次内部审计的基本职责进行了新的定义 集中反映了国际组织对内部审计理论内涵认识的不断深入 也反映了社会对内部审计职能和作用的不断深入挖掘 可以看出 监督和评价始终是内部审计的两大职责 以监督者自居的思维一直指导着内部审计人员的工作 随着公司治理的深入开展 对内部审计在实践中的需求越来越多 内部审计逐渐站在管理层甚至整个组织的高度 开展以增加组织价值为目的的内部审计工作 一 现代内部审计的新思维 1 国际内部审计师协会对内部审计的定义1999年6月 国际内部审计师协会 IIA 理事会通过了内部审计新定义和新的专业实务框架 PPF 将内部审计定义为 内部审计是一种独立 客观的确认和咨询活动 旨在增加组织的价值和改善组织的运营 它通过应用系统的 规范的方法 评价并改善风险管理 控制及治理过程的效果 帮助组织实现其目标 一 现代内部审计的新思维 一 现代内部审计的新思维 内部审计工作内容 确认服务 咨询服务 保证组织活动质量 帮助组织实现其目标 一 现代内部审计的新思维 内部审计目标 目标 增加组织的价值和改善组织的运营 IIA对内部审计的新定义具有深刻的历史意义 拓展了风险审计的内涵 明确了内部审计发挥职能的着力点 1 新增了咨询服务功能 强调要通过内部审计的咨询服务职能 为组织提供增值服务 2 明确了内部审计咨询和服务着力点 明确了内部审计职能有效发挥的着力点是 风险管理 控制和治理 3 升华了内部审计的服务目标 将内部审计目标与组织目标相统一 提出了内部审计帮助组织实现其目标 一 现代内部审计的新思维 一 现代内部审计的新思维 2 中国内部审计协会对内部审计的定义中国内部审计协会 CIIA 2013年在 内部审计基本准则 中指出 本准则所称内部审计 是一种独立 客观的确认和咨询活动 它通过运用规范的程序和方法 审查和评价组织业务活动及其内部控制 风险管理的适当性 合法性和有效性 促进组织改善治理和管理 帮助组织增加价值 实现其目标 一 现代内部审计的新思维 3 巴塞尔委员会对内部审计的规定2012年巴塞尔委员会 BCBS 发布 银行的内部审计职能 原则1 一个有效的内部审计职能是就内部控制 风险管理 公司治理体系和流程的质量和有效性向董事会和高级管理层提供独立的保证 从而帮助董事会和高级管理层保护他们的组织及其声誉 原则13 内部审计职能应独立评估内部控制 风险管理 公司治理体系和流程的有效性 并对相关体系以及流程提供保证 一 现代内部审计的新思维 4 ABB公司对内部审计的规定ABB集团位列全球500强企业 是电力和自动化技术领域的全球领导厂商 对内部审计是这样规定的 内部审计是站在CEO等经理者的肩膀上 用第三只眼由上向下看 看基层单位应该怎么做 实际做得如何 存在哪些偏差 然后提出纠偏措施 12 AddYOURtITLE 1 内部审计以发现并解决问题为审计理念 从 揭露问题型 向 持续改进型 转变 以帮助组织提高其经营管理水平 为组织健康发展保驾护航 2 内部审计以审计对象参与审计过程为审计理念 从 被动接受型 向 主动参与型 转变 共同研究经营管理中的问题 为提高组织经管水平服务 3 内部审计以增加组织价值为审计理念 从单纯强调 独立性 向追求 价值增值 转变 将内部审计目标纳入组织目标 为管理层排忧解难 一 现代内部审计的新思维 五个转变 4 现代内部审计的新思维 AddYOURtITLE 4 内部审计强调以改善风险管理为审计理念 从 过程控制型 向 风险管理型 转变 化解威胁组织的内 外部风险 为实现组织的可持续服务 5 内部审计以采用新技术 新方法为审计理念 从 借鉴应用型 向 开发创新型 转变 改革传统的审计技术与方法 为提高内部审计的效率提供保障 一 现代内部审计的新思维 五个转变 二 现代内部审计的新发展 现代内部审计的新发展 3 深入介入内部控制自我评价 2 开拓风险管理审计的新领域 4 探索公司治理审计的新业务 6 更新内部审计人员的职责 1 实施信息安全审计的新职责 5 采用非现场审计 云审计技术 需求 现状 需要一个独立于信息系统管理部门的机构评价信息系统的安全性 需要构建预防 减少或消除信息安全潜在风险为目标的安全架构 信息系统的脆弱性 技术的复杂性 操作的人为因素 为了降低网络与系统的维护成本而采取的租用网络或者运行维护外包 信息系统管理部门 主要从事设计 开发信息系统 对整个信息系统的设计和运行安全关注不够 由内部审计机构对信息运行和维护管理与操作监控进行审计就成为必要以预防 发现错误或违规事件 形成对信息系统风险进行事前防范 事中控制 事后审计和纠正的组合管理 必要性 1 实施信息安全审计的新职责 1 实施信息安全审计的新职责 制度 技术 1 实施信息安全审计的新职责 国际信息系统审计与控制协会 ISACA 创立于1969年 它是一个从事信息管理 控制 安全和审计标准研究的全球性组织 通过国际信息系统审计与控制协会 ISACA 的CISA考试 可成为国际信息系统审计师 CertifiedInformationSystemAuditor 简称CISA 自1978年开始对国际信息系统审计师 CISA 实施注册以来 全球已有6万多名专业人员获取该认证 CISA课程包括了信息系统审计程序 信息技术治理 系统与基础架构生命周期管理 信息技术服务的交付与支持信息资产的保护 业务连续性与灾难恢复等六大部分 全面覆盖了信息系统审计涉及到的各个环节 2 开拓风险管理审计的新领域 良好的公司治理 风险管理框架 风险管理审计 内部审计采用系统化 规范化的方法来进行以测试风险管理系统 各业务循环以及相关部门的风险识别 分析 评价 管理及处理等为基础的一系列审计活动 对公司的风险管理 控制及监督过程进行评价进而提高效率 帮助实现公司目标 2 开拓风险管理审计的新领域 内部审计的目的在于增加组织的价值和改善组织的经营 内部审计人员是公司的管理咨询师 内部审计机构为了自身的发展 为了在公司中担当更重要的角色和发挥更重要的作用 不断探索内部审计的新领域 公司管理层对风险管理的空前重视 为内部审计发展提供了一个良好的机会 内部审计机构对风险管理进行审计 使内部审计在公司中成为一个重要的角色 正因如此 国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域 这既是内部审计顺应公司发展的要求 更是内部审计行业发展的内在要求 国际内部审计师协会强调内部审计 评价并改善风险管理 控制和治理程序的效果 帮助组织实现其目标 2 开拓风险管理审计的新领域 2 开拓风险管理审计的新领域 2 开拓风险管理审计的新领域 近年来 注册会计师的业务领域不断扩展 在其所扩展的新的保证服务业务中就包括了风险评估 且是发展迅猛的主要业务之一 内部审计机构和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势 内部审计机构和内部审计人员对公司面临的风险更了解 内部审计机构和内部审计人员对防范公司风险 实现公司目标有着更强烈的责任感 既然外部审计可以从事此项业务 内部审计就更可以从事这一工作 2 开拓风险管理审计的新领域 风险管理审计 牢固风险管理的最后一道防线 驱动因素 市场风险 信用风险 操作风险 国家风险 法律风险 经营风险 风险审计 风险意识 风险识别与评估 控制有效性 声誉风险 战略风险 2 开拓风险管理审计的新领域 风险管理审计 牢固风险管理的最后一道防线 外部环境评价 经营风险高低判断 控制测试和实质性测试 后续评价 内部经营环境评价 宏观经济形势 监管政策把握 科学确定审计内容和审计重点 开展现场 非现场审计 开展后续审计 公司战略目标 风险偏好把握 风险管理审计运用 2 开拓风险管理审计的新领域 风险管理审计 牢固风险管理的最后一道防线 专项审计调研 客户状况专项审计 客户风险 风险提示 客户经营情况变化客户发生外部事件 非现场监控 客户预警信息 光伏行业钢贸行业港口船舶行业 经济下行行业风险 行业政策变化行业形势变化行业风险集中 按行业筛选监控数据 浙江温州地区广东汕头地区 区域风险 区域经营特色区域问题集中暴露 按区域筛选监控数据 房地产业务地方政府融资平台 监管政策风险 监管政策变化监管关注重点 跟踪研究政策动向 3 深入介入内部控制自我评价 内部控制评价 由公司董事会和经理层组织 一般由内部审计机构实施的 对公司内部控制有效性进行评价 形成评价结论 出具评价报告的过程 3 深入介入内部控制自我评价 美国2002年颁布了 萨班尼斯 奥克斯莱法案 其第404条款 管理层对内部控制的评价 规定 上市公司管理层负有建立和维护内部控制系统及相应控制程序充分有效的责任 上市公司管理层应在最近财务年度末对内部控制系统及控制程序有效性进行评价 我国现状2010年财政部 证监会 审计署 银监会 保监会联合发布了 企业内部控制配套指引 自2011年1月1日起首先在境内外同时上市的公司施行自2012年1月1日起扩大到在上海证券交易所 深圳证券交易所主板上市的公司施行在此基础上 择机在中小板和创业板上市公司施行 同时 鼓励非上市大中型企业提前执行 萨班尼斯 奥克斯莱法案 企业内部控制配套指引 执行企业内控规范体系的公司 必须对本公司内部控制的有效性进行自我评价 披露年度自我评价报告 同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计 出具审计报告 29 国资委和财政部的新要求 为推动中央企业扎实开展管理提升活动 国务院国资委和财政部2012年5月7日联合发布 关于加快构建中央企业内部控制体系有关事项的通知 要求中央企业切实加强对内部控制工作的组织领导 加快构建中央企业内部控制体系 两部门要求 中央企业要设立专职机构或确定牵头部门 按照内部控制建设与监督评价职责相分离的原则 明确内部审计或相关部门负责组织内部控制评价工作 要分类分步推进 全面启动内部控制建设与实施工作 力争用两年时间 建立规范 完善的内部控制体系 各中央企业应当制订全集团内部控制整体建设实施方案或持续改进计划 明确总体建设目标和分阶段任务 经董事会批准后 于2012年8月31日前报国资委备案 自2013年起 于每年5月31日前向国资委报送内部控制评价报告 同时抄送派驻本企业监事会 3 深入介入内部控制自我评价 1 内部控制系统设计的有效性 评价有效性是指评价为实现控制目标所必需的内部控制要素是否都存在并且设计恰当 从而判断其中是否存在设计缺陷 是否缺少为实现控制目标所必需的控制 2 内部控制运行的有效性 评价设定的内部控制系统是否按照规定程序得到了正确执行 是否存在设计完好的控制未按设计意图运行 或执行者没有获得必要授权或缺乏胜任能力 评价内容 3 深入介入内部控制自我评价 评价内容 评价方法 它将运行和维持内部控制的主要责任赋予董事会和经理层 使员工和内部审计人员与董事会和经理层合作评价控制程序有效性 共同承担对内部控制评价的责任 内部控制评价要求从整个业务流程中发现问题 汇总并反馈问题 审计人员转变成外向型人才 广泛接触各部门人员 采用多种技术方法 促进经营管理目标的实现 3 深入介入内部控制自我评价 内部审计人员不再仅仅是 独立的问题发现者 而成为推动公司改革的使者 将以前消极的以 发现和评价 为主要内容的内部审计活动向积极 防范和解决方案 的内部审计活动转变 从事后发现内控薄弱环节转向事前防范 从单纯强调内部控制转向积极关注利用各种方法改善公司的经营业绩 使风险更易于发现和监控 纠正措施更易于落实 业务目标的实现更有保证 评价方法 评价作用 评价内容 3 深入介入内部控制自我评价 对现行内部控制评价的改进1 改进现行内部控制评价的方式应要求被评价单位先进行内部控制自查 并提供单位的内部控制自我评价报告 审计部根据被评价单位内部控制自我评价报告进行检查 并对被评价单位内部控制自我评价报告出具内部控制评价报告 2 改进抽样技术和方法现行对内部控制评价的抽样技术和方法 主要考虑对被检查单位业务数量的覆盖率 关键业务的内部控制 业务操作层面等部分 按照内部控制评价要求 应考虑分清公司层面和业务操作层面的内部控制 并考虑业务发生的频率 3 深入介入内部控制自我评价 对现行内部控制评价的改进3 改进和加强访谈等方法的运用目前 在审计方法的运用上 主要采用抽样方法和书面检查方法 其他方法运用较少 内部控制的评价 涉及到人的活动 应大量采取个别访谈法 穿行测试 专项讨论会法 重新执行等方法 4 加强对缺陷的分析和认定对被检查单位内部控制的检查 目标是确认内部控制是否存在缺陷 并进一步认定是何种类型的缺陷 在认定缺陷的类型基础上 对被检查单位内部控制的有效性做出评价 并据以有针对性的整改建议 3 深入介入内部控制自我评价 对现行内部控制评价的改进5 对内控缺陷的整改要举一反三目前 在要求被评价单位对内部控制缺陷的整改上 主要是查到什么缺陷就整改什么缺陷的 对内部控制对内部控制缺陷的整改 应举一反三 全面系统整改 6 改进现行内部控制评价报告现行内部控制评价报告主要包括被评价单位的基本情况 内部控制存在的缺陷 改进的意见和建议等部分 应按照内部控制评价要求 分清与财务报告相关的内部控制和非财务报告的内部控制进行评价 缺陷的认定 整改情况等 4 探索公司治理审计的新业务 1 评价公司治理环境和道德规范 良好公司治理环境的特点 1 董事会各专业委员会之间持续的交流和联系 2 在公司董事会 经理层及分支机构治理责任明确 3 横向及纵向的监督有效 4 可靠的 有效的信息可以传达至董事会各专业委员会 5 监督政策 监督流程和措施清楚晰和易沟通 公司治理 1 评价公司治理环境和道德规范 内部审计 1 评价董事会 专业委员会的职责是否清晰 以保证公司具有改善公司治理的恰当政策 2 评价所有的公司治理政策是否都符合法律法规的要求 董事会和各个专业委员会的治理活动是否与公司的经营业务的重要性次序保持一致 3 评价公司的道德规范是否有效 并揭露与公司治理有关的薄弱环节 公司治理 战略执行审计 发展目标 资源分配 业务边界 监督评价 技术 制度 产品 风险管理 人员 业务流程 战略的分解 公司战略是一个复杂的系统工程 内部审计只有站在公司战略的角度去开展工作 深入战略管理过程的每个环节 才能准确评价公司战略的发展成效 揭示与战略发展不一致的问题 才能真正起到纠偏的作用 把战略审计落到实处 战略的执行 2 公司治理审计的内容 战略执行审计 战略执行审计 内部审计作用 公司战略执行审计是指按照一定程序 根据一定标准 对公司战略的执行情况做出判断 发现问题 分析原因 提出建议的过程 内部审计机构不仅有开展公司战略执行审计的内在要求和必要性 内部审计机构不仅有开展公司战略执行审计的内在要求 内部审计可以通过评价战略执行的有效性来推进这一目标的实现 坚定的公司战略执行 良好的治理 紧密联系 2 公司治理审计的内容 战略执行审计 驱动因素 战略执行审计 以股东价值为取向 与公司战略协同 战略理解偏差 战略执行力度 股东价值最大化 公司战略目标实现 全面审计 专项审计 内部控制评价 经济责任审计 核心 战略执行审计 民生银行小微战略实施 评估目标 战略正确性分支机构对战略的理解分支机构实施情况 网络问卷调查 非现场评估 现场访谈 检查 实地走访商户 战略实施成效评价 业务结构出现快速调整小微客户基础快速形成存贷利差逐步扩大 战略实施问题发现 增长放缓 先发优势减弱措施执行不坚决分支机构发展不平衡小微信贷进展迟缓 制约业务发展 5个审计组 历时75天 覆盖32家分行 审计建议 思想认识统筹协调战略导向性资源配置执行力度品牌宣传 案例 2 公司治理审计的内容 战略执行审计 薪酬政策审计 2 公司治理审计的内容 战略执行审计 薪酬政策审计 舞弊控制审计 2 公司治理审计的内容 财务资源分配审计 战略执行审计 薪酬政策审计 舞弊控制审计 财务资源分配流程重点因素 作为财务资源分配基础的原则和流程是否建立且有效 财务资源分配原则和标准是否得到了有效的沟通 财务资源分配目标 以公司发展战略为导向 以效益性为核心 将财务资源配置到最恰当 最重要 效益性最好的地方 使其得到充分合理的使用 以保障财务资源供给 节约财务资源 提高财务资源利用效率 最终实现公司的目标 审计内容 应审查公司是否建立了包括明确的政策和标准在内的财务资源分配流程 并对特定的财务资源分配与控制进行审计 从而保证财务资源分配的原则和标准的适当性和是重大财务资源分配的有效性 2 公司治理审计的内容 民生银行实践 华北区域现金库存管理审计 案例 发现问题 思考解决方法 确定非现场审计方案 库存现金屡超限额 库存现金限额核定测算 库存现金管理问题 按分行进行限额定量测算 研究现金运营模式与流程 实施非现场审计 调查问卷 电话访谈 定量测算 定性分析 审计结论 真实验证 华北区域五家分行库存现金可压缩4 8亿元全行预计可压缩库存现金28亿元 华北区域实际压缩5 4亿元 全行实际压缩35亿元 2 公司治理审计的内容 财务资源分配审计 战略执行审计 薪酬政策审计 舞弊控制审计 管理会计系统审计 评价其功能 范围和有效性 确定这些衡量指标与总体治理活动相关的程度 通过开发自我评价程序 来证实评估公司治理绩效和评价其有效性 非现场审计 指审计人员应用计算机信息技术来对审计资料进行远程访问 按照审计准则的要求 通过连续地收集 整理被审计对象经营管理的数据和资料 运用适当的审计方法和流程实施的远程审计程序 5 采用非现场审计和云审计等新技术 1 非现场审计 非现场审计对比现场审计 优势 劣势 非现场审计实践 审计工具及方法 运用科技辅助审计手段 建立非现场审计系统应用平台 数据挖掘人员 业务专业人员确认 数据仓库 非现场系统 数据抽取 建模计算 归纳演绎 回归分析 总结报告 非现场审计实践 审计工具及方法 非现场监控与排查 中台检查 后台治理 2 云审计 云计算 的特征 5 采用非现场审计和云审计等新技术 2 云审计 云审计 就是在 云计算 基础上搭建的一个审计平台 实现各类审计信息的数字化 以促进信息的交流和共享 使审计资源得到充分优化利用 做法 通过建设云计算安全审计平台 可以提供综合分析云计算服务的风险 客观评价云计算服务平台的数据安全保护能力 业务持续性保证能力以及平台及服务合规建设水平 为云计算服务的参与者准确理解云服务的安全风险 持续风险以及合规风险 合理调整云服务建设及应用提供决策支持 意义 主要包括云审计用户服务平台和云审计企业服务平台 既可提供面向云计算服务提供商的信息审计服务 提升云平台的安全保障能力 又可提供面向云计算服务用户的信息监管服务 消除用户对云计算服务平台安全性 可信性 合规性以及持续性等方面能力的担忧 提升云计算的用户信任度 云计算安全审计平台应通过自主研究开发的一套云计算安全审计通用数据接口 提供针对云服务平台和云数据中心的统一的接口规范和命名协议 建立了一套开放 可扩展和安全的接口和技术方法 包括内容 6 更新内部审计人员的职责 1 内部审计人员从 后台 走向 前台 主要用来用来纠正组织存在的错误和不足 重点在 财务审计 实现了审计控制的 关口 前移 主动进行事前 事中诊断 控制和评价 实现了由单纯的监督者角色向风险控制者 信息提供者 价值增加者的角色转换 后台 秋后算账 事后诸葛亮 前台 角色转变 6 更新内部审计人员的职责 2 未来内部审计人员的职责 1 多面手 Versatile 内部审计人员应有大局观 对组织的各方面业务具有前瞻性考虑 2 置身其中 Involvement 内部审计人员要参与和了解公司各项业务 发现问题及时提出解决措施 不搞秋后算账 3 精通技术 Technology 内部审计人员应用专业技术知识来预防和减少公司的风险 改进治理过程和提高效率 4 顾问 Advisor 内部审计人员应提供保证 培训和咨询服务 5 领导人 Leader 内部审计人员应在风险控制和改进组织的效果方面发挥领导作用 6 更新内部审计人员的职责 内部审计专业化建设 人员专业化 应届生 硕士 博士 博士后非应届生 3年以上金融从业经验 学历与从业要求 专业背景要求 准入资格要求 职业资格认证 金融 工程 经济 统计 会计 法律 IT 审计资格准入考试 CIA CPA CFA CISA等 6 更新内部审计人员的职责 3 拓展内部审计人员的知识与技能 系统思维能力 人力开发能力 创造力 沟通能力 合作精神 领导能力 素质和能力 KPMG会计公司对 财富1000强 2012年中的520位内部审计人员的访谈结果 6 更新内部审计人员的职责 与职业行为相关的行为原则 诚实守信 客观公正 不偏不倚 追求真理 具备职业能力及尽职 依法监督 要放宽视野 能够从更宏观 更复杂的局面中理清公司的发展思路 要注重审计和财务会计知识 要有行业的知识 要有信息披露和关系维护的知识 要有与投资方和政府进行有效沟通的知识 沟通艺术和技能是支持内部审计人员感知环境 综合运用知识 形成职业能力的软性技能 核心知识主要包括行业知识 技术与工艺知识 战略管理 公司治理 财务战略 财务报告 风险管理 成本管理 税收筹划 价值管理与全面预算管理 审计与内部控制等模块 相关知识包括信息技术 财务信息系统与ERP 投融资 经济学 经济法 国际商务 行为学 外语等 3 拓展内部审计人员的知识与技能 6 更新内部审计人员的职责 沟通艺术内部审计工作有 三多 一是涉及的内容多 企业几乎没有一项活动不涉及钱的 二是涉及部门多 除了要与企业股东和高层领导有效沟通外 还要与企业内所有部门进行沟通 三是涉及关系多 企业外部如股东 银行 会计师事务所审计 政府监管部门等 沟通70 是情绪 30 是内容 80 是倾听 20 是表达 90 是尊重 10 是方法 三 我国内部审计的发展选择 1 提升公司治理水平 发挥内部审计作用 2 改革内部审计机构的隶属关系 3 发挥内部审计在风险管理中的作用 4 提高内部审计信息 网络技术水平 5 提高内部审计人员的素质和能力水平 1 提升公司治理水平 发挥内部审计作用 内部审计 2 改革内部审计机构的隶属关系 内部审计的主要职责是协助董事会监督经理层的受托经济责任 为了保证内部审计工作的独立性 内部审计一般应由董事会下属的审计委员会领导 我国长期以来 内部审计在公司中直接向总经理或副总经理报告工作 部分向监事会或纪委报告工作 内部审计在公司中的独立性和客观性不高 现代企业制度要求 公司应建立 完善内部审计机构及监督体系 建立独立的内部审计机构 以保障内部审计工作的有效开展 国资委2005年发出的 关于加强中央企业内部审计工作的通知 中央企业要按照现代企业制度要求建立完善的内部审计机构及监督体系 大型企业集团应当按照现代企业治理结构要求建立独立的内部审计机构 以保障内部审计工作的有效开展 设立董事会的企业 董事会应下设审计委员会 以加强对内部审计工作的指导和监督 尚未设立董事会的企业 审计机构应对企业主要负责人负责 确保内审工作的独立性和权威性 3 发挥内部审计在风险管理中的作用 1 建立风险管理的