以准则为基础、以控制为根本的现代内部审计

1,以准则为基础、以控制为根本的现代内部审计,2,内部审计是一种旨在增加组织价值和提高组织运营效率的独立、客观的确认和咨询活动。它通过系统化、规范化的方法评价治理程序、风险管理与内部控制，提高它们的效率，从而帮助实现组织目标。（国际内部审计师协会，2009）,3,现代内部审计十大理念,内部审计的本质在于受托责任，内部审计是确保受托责任履行的控制机制内部审计与内部控制是受托责任的孪生兄弟，控制评价是内部审计的执业秘诀风险管理是内部控制的延伸，内部审计是风险管理的确认者、是对风险管理的再管理。内部审计是透视公司的窗口，是公司治理的守门员，是组织治理主体可依赖的、极具价值的资源。,4,确认和咨询是内部审计的两大服务领域，组织应根据不同环境，相机形成不同比例的服务组合积极营销内部审计，努力扮演企业变革代理人角色，参与企业重大变革坚守独立性和客观性，高度重视客观性管理建立健全以控制和风险为导向的内部审计准则体系，执业人员要恪守准则、超越准则以企业管理的理念管理内部审计部门，致力于把内审部门建成一个利润中心或投资中心融合风险管理审计、内部控制审计和公司治理审计，实现内部审计的价值增值（王光远，审计研究，2007（2）,5,一、内部审计职业界面临的种种批评,内部审计就是那种盘旋于大海上空，看见船帆就飞过去乱叫一通，却对海中人无任何帮助的海鸥；内部审计就像是电影终结者里那无情无感的机器人，不管多么辛苦，也不管有多大压力，都努力地找寻不称职的主管、表现不良的员工，消除误导性业绩信息和糟糕的营运方案；内部审计是那种走也走不动、跑也跑不快的平足者，是爱挑毛病、找麻烦和管闲事的另类人；内审部门是一个老员工养老、等待退休的地方，是一间“大象的坟场”；,6,内部审计重在防弊而不是兴利，重在强化本位主义，而不是实现企业的总目标；内部审计人员只是在审查数豆子的人是否将豆子数得一粒不差；内部审计在重复外部审计的工作，重复地做财务系统的审查，而不关注业务系统；内部审计人员多是一批较少掌握信息科技知识的“机盲”，他们只懂得利用信息中心，而不懂得利用信息工具；,7,内部审计报告都是些可预测的“陈词滥调”式的指责、批评，使各业务部门及其员工对内部审计人员颇多敌视；内部审计程序烦琐，有时审查过度、过细，有时审查时间过长，干扰业务部门的正常运行；内部审计底稿成堆，审计主管复核费时费力，内部审计部门是一个劳动力密集的部门；内部审计部门是一个成本中心，而不是利润中心。,8,二、内部审计的发展历程,传统内部审计提供的产品是“会计质量控制”，其需求方是主计长（controller)控制导向内部审计提供的产品是“内部控制”，需求方是董事会下的审计委员会风险导向内部审计提供以风险和控制为核心的多元化产品，适应多元化的需求，它包括董事会、最高管理层、经营管理层、外部审计师等结论：控制与内部审计与生俱来。,9,10,三、国际内部审计准则,（一）1978年发布世界上第一部内部审计准则内部审计职业实务准则（IIA基本准则）。1、准则的目的帮助向其他人传达内部审计的职能、范围、功能和目标统一全球范围的内部审计促进内部审计的持续改善建立对内部审计业务统一衡量的基础提供一种媒介，使得内部审计可以被完全认可为一种职业,11,2、准则的精神,内部审计是一门艺术，五大类二十五个小类构成的基本准则是内部审计这门艺术的基本规则。基本准则的贯彻受内部审计部门履行职责的环境制约，所以，准则的焦点不是聚焦在个人身上，而是聚集于一系列团体，包括设置内审部门的组织、内审部门本身、内审部门主管以及个人执业者。基本准则是一个完整的体系，其中最重要的是“工作范围准则”。内部审计为整个组织提供服务，而不仅仅是为管理层提供服务。,12,3、内部审计准则说明书控制的概念与责任结果沟通舞弊的预防、检查、调查和报告质量保证内外部审计师的关系审计工作底稿与董事会的沟通分析性复核程序风险评估对营运及专项规划实现既定目的和目标的评估,13,混合意见审计计划对已报告的审计发现的追踪内部审计词汇表督导遵循政策、计划、程序、法规及合同的审计对外部审计质量的评估利用外部专家的服务,14,（二）2001年以后：建立国际内部审计职业实务准则框架(简称PPF)1、新准则的目的及其重大修改为支持和推动增值型内部审计活动提供一个灵活的架构勾画出通行全世界的内部审计实务原则促进优化的组织流程和运营建立一个质量保证机制以确保准则的遵循以高质量内部审计服务的全球性声望为基础，在市场上赢得“首选的提供者”的认可,15,本次是对1978年准则的本质性修改，明确引入咨询职能，本次修改涵盖了以下几方面：信息技术风险计算机辅助审计工具对治理程序的审计扩大的、与职业道德规范相关的职责与内外部客户更为紧密的沟通确保审计工作符合准则的要求评估审计结果发布的意义识别在确认审计服务中产生的咨询服务的机会,16,2、实务准则框架的构成基本准则和职业道德规范（强制性规范）实务公告（IIA强力推荐）发展与实务支持（IIA制定或认可的有用参考资料）,17,内部审计定义,内部审计定义,18,（三）2009年：国际内部审计实务准则框架（theInternationalProfessionalPracticesFramework，简称IPPF）1、改革背景及其重大修改对PPF及其制定过程进行重新审视，重点考察PPF框架的范围以及整个准则体系的发展、复核及颁布过程的透明性及一贯性。,19,IPPF与PPF在本质的内容和理念方面没有差异。本次改革具体包括以下方面：准则框架结构主要差异在于取消了“发展与实务支持”这部分，新增了立场公告（PositionPapers）与实务指南（PracticeGuides）部分内容如在国际准则部分为某些条款增加了“解释”，在语义与词汇部分作了修改和更新准则制定程序,20,2.准则框架结构,内审定义（Definition）职业道德规范（CodeofEthics）国际准则（InternationalStandards）立场公告（PositionPapers，简称PP）实务公告（PracticeAdvisories，简称PA）实务指南（PracticeGuides，简称PG）,强力推荐,强制性规范,21,22,IPPF结构,23,3.准则制定程序,职业实务理事会（ProfessionalPracticesCouncil，简称PPC）,负责IPPF的全面事务IIA的各个技术委员会各自负责IPPF中相应部分的标准或指南的草拟和修订IIA还特别提出了准则的“生命周期”（LifeCycle）的概念,24,（四）属性准则,1内部审计的宗旨、权力和职责内部审计活动的宗旨、权力和职责应在章程中进行正式的界定，界定应与准则保持一致，并须经董事会通过。2独立性和客观性内部审计活动应该独立，内部审计师在开展工作时应做到客观。3专业能力与应有的职业谨慎内部审计在开展业务时，必须具有专业能力和应有的职业谨慎。4质量保证和改进程序首席审计执行官应制定并坚持开展质量保证与改进程序，并向最高管理层和董事会报告结果。,25,（五）工作准则,1内部审计活动的管理首席审计执行官应有效地管理内部审计活动，确保为组织增加价值。2工作性质：治理程序、风险管理和控制内部审计活动必须应用系统、规范的方法对治理、风险管理和控制进行评估，并为这些改善做出贡献。3工作计划：工作目标、范围等首席审计执行官应以风险为基础制定计划，确定与所在组织一致的内部审计工作重点。4执行计划：确认、分析、评价、记录与监督,26,（五）工作准则,5报告内部审计结果内部审计师必须及时报告业务结果6监督和评估的程序首席审计执行官必须建立并维护一项制度，对报告给管理层的结果的处理进行监督7高管层对风险的接受当首席审计执行官认为高管层已接受组织可能无法接受的某种剩余风险水平时，必须与高管层讨论这一情况。如果经过充分讨论，双方仍无法就剩余风险做出决定，首席审计执行官必须提请董事会解决。,27,（六）实施标准,从确认和咨询两方面为特定项目提供明细的应用指南，以满足不同客户的不同需要。同时参照其他适用的专业准则，如政府审计准则、独立审计准则、IT审计准则等。未来有可能单列舞弊调查。,28,（七）准则体系中对内部审计质量的关注长期的质量保证和改进计划内部评估外部评估向高管层和董事会提出报告采用“依据内部审计准则执行”的报告披露不符合内审准则要求的事项,29,（八）国际内审准则需特别关注的几项内容,IPPF的实务公告、实务指南中包括某些我国准则尚未涉及的内容：一是关于内审人员承担咨询职责时是否会对客观性造成损害;二是评估组织的隐私制度;三是持续审计对确认、监督以及风险评估的影响;四是管理以及审计隐私风险.,30,IPPF非常强调“专业胜任能力与应有的职业谨慎”,采用三个实务公告进行规范。内审人员的专业素质和知识技能以及谨慎态度是影响审计质量的重要因素，因此IPPF专门针对内审人员应当具备的能力、知识结构、交流沟通技能、表达能力等进行了规范，足见对此问题的重视。,（八）国际内审准则需特别关注的几项内容（续）,31,（八）国际内审准则需特别关注的几项内容（续）,IPPF充分体现了风险导向内部审计理念，要求将审计计划与组织的风险相联系，特别强调关注组织的战略与计划，关注管理策略、方向、目标等的变动，这就是风险导向内部审计的核心所在。,32,IPPF在实务指南中详细叙述了信息系统审计的相关问题。随着信息技术的迅速发展，绝大部分现代企业内部审计所面临的并非传统的手工系统，而是技术含量很高的信息环境。信息系统与手工系统在控制、风险、管理等领域有着截然不同的特点，对审计方法和技术提出了很高要求，因此，信息系统审计将是内审关注的重点和难点。,（八）国际内审准则需特别关注的几项内容（续）,33,在IPPF已正式颁布的14项实务指南中，明显涉及信息系统的就有12个：信息系统控制IT变革及弥补管理控制IT审计的管理信息系统弱点审计及管理信息系统外包应用控制的审计识别与接近管理（IAM）的审计业务延续管理信息系统审计计划信息系统风险评估方法信息系统总体控制缺陷评估业务及信息系统风险评估,34,（九）内部审计准则中有待研究的问题1、研究不同的内部审计需求可以有不同的证据充分性、相关性、可靠性，以便与审计委员会、业务经理、外部审计师进行有效的沟通；2、研究什么样的内部审计服务可以满足公司治理的要求；3、研究持续性监督软件的应用问题；4、研究认定关键风险的指标并建立连续不断地认定风险并作出决策的信息系统；5、研究企业流程以认定舞弊、内部渐衰及关键风险的指标；6、研究实施咨询活动时如何保持内部审计人员的客观性；7、研究如何确保审计信息及管理信息的安全；,35,8、研究如何提高内部审计参与企业的购并效果；9、研究如何评估内部审计与外部审计相关联的确认性服务；10、研究内部审计与企业再造的关系；11、研究内部审计服务价值的评估问题；12、研究如何评估企业行为规范的价值；13、研究重要设施的风险及安全需求；14、研究内部审计与组织整合的关系；15、研究提高审计效能的技术与方法,36,（十）职业道德规范公正性客观性保密性胜任性,37,职业道德规范有待关注的问题：不同行业对职业道德规范的影响不同经历和经验的内审人员对职业道德规范的影响不同性别的内审人员对职业道德规范的影响不同专业素养的内审人员对职业道德规范的影响,38,（十一）追求内部审计的职业精神一个专门执业者应具备的基本特质和基本标准是：一个专门职业者往往要提供特殊知识服务，因此需要有一套熟练的专门知识领域，这些知识可以通过正规学历教育和在职继续进修教育而获得，IIA在这方面已作了积极的努力。一个专门职业者所提供的特殊服务，往往是一般社会公众所不熟悉的，因而无法对其工作质量进行评估。显然，我们无法期望一般社会公众能够评估内部审计的服务质量。一个专门职业者当遵守基本的职业道德规范，并且应该让一般社会公众对这些职业道德规范的要求有所了解，IIA在这方面的努力是有成效的。一个专门职业者当积极参与其所属的职业团体组织，该组织也应为其会员提供各式各样的服务，就内部审计职业界而言，这个组织就是IIA。,39,一个专门职业者应当自尊、自重、自爱，营造积极的良性竞争环境。一般职业的从业人员都受限于法律法规的保护，只准许法律法规认可的合格人士从事该行业，而内部审计人员则是受限于一个组织之内，当然他也要遵守法律法规的要求。一个专门职业者的服务质量，可以同业评鉴的方式来评估或鉴定，评鉴的指标也不仅限于财务指标。IIA1978年的“内部审计职业实务准则”和随后发布的“内部审计准则说明书”，就确定了基本的同业评鉴办法和同业评鉴标准。一个专门职业者都有特定的服务对象，内部审计人员的服务对象是整个组织成员，他不会为一般社会公众提供服务。一个专门职业人员所提供的服务应该超越其最低标准，其职业境界应该远在物质报酬之上。,40,上述八条基本特质和基本标准，内部审计人员能否达到，尚需实践的检验。内部审计职业是一个非常特殊的职业，内部审计工作不是内部审计人员自己做好就行了，而是还要要求别人做好，若别人做不好，还要去纠正他，因而，内部审计人员就需要有一种“富贵不能淫，威武不能屈”的道德勇气，有一种大公无私的服务精神。,41,四、中国内部审计准则,（一）基本体系基本准则：总纲具体准则：具体规范实务指南：可操作性指导意见,42,内部审计规范体系,内部审计基本准则,内部审计人员职业道德,内部审计具体准则,内部审计实务指南,指导性,建设项目审计、物资采购审计、审计报告、高等学校审计、经济责任审计、信息系统审计,审计计划、审计通知书、审计证据、审计工作底稿、内部控制审计、舞弊的预防、检查和报告、审计报告、后续审计、内部审计的督导、内部审计与外部审计的协调、结果沟通、遵循性审计、评价外部审计工作质量、分析性复核、风险管理审计、重要性与审计风险、审计抽样、内部审计质量控制、人际关系、客观性与独立性、控制自我评估、内审机构的管理、与董事会和高管层的关系、经济性、效果性、效率性、信息系统审计、后续教育,43,（二）具体准则和实务指南的基本结构总则：包括制定准则的目的和依据、核心概念的定义、适用范围一般原则：包括管理层与内审机构及内审人员的责任、本准则涉及到的具有重要影响的总体原则和总体要求具体原则：规范内部审计活动的基本内容和方法。一般作统一列示，若内容、步骤较多也可分章列示附则：包括准则的发布权与解释权、准则的生效日,44,（三）制定准则遵循的基本原则内部控制与风险是核心概念财务审计与管理审计相融合防弊、兴利、增值相共存借鉴与包容政府审计、独立审计准则信息技术的进步国际化与国家化的统一,45,1、内部控制与风险是核心概念内部控制作为内部审计的对象是与生俱来的内部审计职业界为现时通行的COSO报告作出了重要的贡献。1946年布林克的文章；1978年IIA的基本准则；1986年IIA的研究报告“控制与内部审计”（提出由四大要素构成的评估内部控制的概念框架）,46,内部控制的基本内涵：五大要素和五大特征对审查内部控制的规范包括：内部控制审计准则、遵循性审计准则、风险管理审计准则、内审人员参与内控自我评估准则风险管理是现代内部审计的对象。这里的风险包括外部环境风险、经营过程和资产损失风险、信息风险,47,48,风险管理审计就是对风险管理过程风险控制、风险评估以及风险应对的审计。风险管理审计是整体内控审计的组成部分。在充分关注风险的时代，内部审计的建设更加强调风险规避、风险转移和风险控制控制与风险概念贯穿内部审计准则制定的全过程,49,2、财务审计与管理审计相融合会计审计的本质在于受托责任，由于受托责任可细分为受托财务责任与受托管理责任，故有财务会计与管理会计之分，也有财务审计与管理审计之分依据内部审计的目标，现代内部审计更加关注管理审计。时间上的标志是1971年IIA的内部审计师责任说明书,50,内部审计的对象是“经营活动和内部控制”，并不等于排除财政财务收支审计，只是更加强调业务活动和管理活动的审计内部经济责任审计是典型的将财务审计与管理审计融为一体的综合审计内部管理审计也可由政府审计机关、管理咨询公司和会计师事务所来做，但内部审计有较大的竞争优势吸取世通公司舞弊案的教训，正确处理财务审计与管理审计的关系,51,3、防弊、兴利与增值相共存消极防弊、积极兴利和价值增值，既是内审的三大目标，又体现了内审的三个发展阶段防弊是兴利与增值的基础，只有做好了查错纠弊，才能进一步实现兴利与增值。安然、世通等公司舞弊案的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计进行抽查确认，而忽视对舞弊线索的追查,52,兴利与增值是一致的，兴利是增值的外在表现，增值是兴利的内在要求。鉴于兴利与增值是内部审计的重要目标，故内部审计不宜与纪检监察共置于一个部门，特别是企业。强调防弊不能使其成为兴利和增值的绊脚石；强调兴利和增值不能以牺牲防弊为代价。内部审计应成为现代组织的“仁医”。,53,4、借鉴与包容政府审计准则和独立审计准则三类准则只有相互借鉴与包容，才能实现内部审计和外部审计成果的相互利用;政府审计准则的特点是简化、概括和强制，独立审计准则的特点是复杂、细致、趋同，而内部审计准则就要借鉴这两类准则的合理成分，兼具科学性、现实性和前瞻性的特点;,54,内部审计规范体系中最特别之处有：应具有维持良好人际关系以及有效地与他人沟通的技巧。在独立审计准则中至多也是暗示CPA应具有良好的人际，但“有效地与他人沟通”则是没有的。外部审计人员多认为社会公众有责任去学习、研究如何理解外部审计报告；内部审计人员则认为他们自己有责任让报告的使用人恰当地理解审计报告。这种认识上的差距同时也反映了他们在独立性和客观性程度上的差别应适时地进行后续审计。政府审计准则中只是有这样的精神，但缺乏完整的准则条款；独立审计准则则是没有这方面的要求内部审计部门的组织和管理,55,5、充分考虑信息技术的进步信息技术正在改变市场自身的结构，改变市场产品的生命周期，变革基本的企业模式，从而引起组织结构和人们工作方式的重大变革，适应这个信息时代并保持竞争优势是我们面临的唯一重要的管理挑战。IT几乎影响着内部审计的每一个重要方面：它的组织地位和章程、工作范围、方法和活动；IT似乎承担了所有的事情，从战略到管理信息系统、管理决策，到包括流程再造的经营过程，直至整个监督工作和治理领域;IT作为管理过程和企业战略的一个驱动者(driver)和协进者(enabler)，并不能增加内部审计的有效性，但对内部审计职能的发挥产生“全面影响”,56,9表3,57,内部审计必须以创新的方式创造性地利用IT，以为组织增加价值并改善组织的营运。内部审计部门有三种配置方式：完全内置、合作审计(co-sourced)、完全外包(outsourced)，IT对不同的配置方式会产生不同种类和不同程度的影响（如内审部门的规模和人员配置），通常以完全内置为标杆，来讨论IT对内部审计的实质性影响。IT审计的研究，多集中在外部审计领域，外部审计的IT研究成果推广至内部审计领域需格外地小心谨慎，人们可以去研究内外部审计人员在何种特定环境下，合作出相似的（或不同的）反应。,58,6、坚持国际化与国家化的统一借鉴国际内部审计准则和西方发达国家内部审计的先进经验，使中国内部审计准则与国际内部审计准则相趋同，是制定准则的基本立场，也是准则前瞻性的要求。我国的政治、经济、文化与西方国家有所不同，我国内部审计的发展道路也与西方国家不尽一致，因此，必须考虑我国特有的环境对内部审计准则的影响，这是准则现实性的要求。,59,准则只是约束人们行为的最低标准，而基于特定文化氛围产生的社会价值观则能使人们自发追求一种较为高层次的标准，因此，文化是一座冰山，而准则是暴露在冰面上的冰尖。中国内部审计准则必须符合中国文化的“和”“合”精神，以期建立一种互信、和谐、合作、参与、协调的审计关系。坚持国际化与国家化统一的前提是内部审计准则必须具有科学性，这种“科学”强调，准则的水准既不是人人可及的“全体及格”，也不是人人不可及的“全体不及格”。如果说内部审计准则是一剂药方，那么，我们不可以昨日之方来医今日之病，那会使人不求精进，落后于时代；也不可以明日之方来医今日之病，那会使人努力无望，放弃进步。,60,（四）职业道德规范,遵守内部审计准则及协会的有关规定不得损害相关利益和职业荣誉独立、客观、正直和勤勉廉洁从审应有的职业谨慎保持和提高专业胜任能力保持诚信原则保守商业秘密客观披露全部主要事项妥善处理各方关系持续提高服务质量,61,（五）已出台的具体准则,第1号审计计划第2号审计通知书第3号审计证据第4号审计工作底稿第5号内部控制审计第6号舞弊的预防、检查和报告,62,第7号审计报告第8号后续审计第9号内部审计督导第10号内外部审计的协调第11号结果沟通第12号遵循性审计第13号评估外部审计工作质量第14号利用外部专家服务,63,第15号分析性复核第16号风险管理审计第17号重要性和审计风险第18号抽样审计第19号内部审计质量控制第20号人际关系第21号内部审计的控制自我评估第22号内部审计的独立性与客观性第23号内部审计机构与董事会或最高管理层的关系第24号内部审计机构的管理第25号经济性审计第26号效率性审计第27号效果性审计第28号后续教育审计第29号信息系统审计,64,内部审计具体准则的总体结构,第1号：审计计划,第2号：审计通知书,第12号：遵循性审计,第3号：审计证据,第10号：内外审计协调,第4号：审计工作底稿,第5号：内部控制审计,第6号：舞弊审计,第7号：审计报告,第8号：后续审计,第9号：内部审计督导,第19号：内审质量控制,第14号：利用外部专家服务,第17号：重要性和审计风险,第13号：评价外部审计工作质量,第11号：结果沟通,第20号：人际关系,第16号：风险管理审计,第15号：分析性复核,第18号：审计抽样,第23号:与董事会或最高管层的关系,第24号:内审机构的管理,第21号：控制自我评估,第22号：独立性与客观性,第25号:经济性审计,第26号:效果性审计,第27号:效率性审计,第29号:信息系统审计,第28号:后续教育审计,65,（六）已出台的实务指南,建设项目审计指南物资采购审计指南审计报告指南高等学校审计指南经济责任审计指南信息系统审计指南,66,（七）正在研究的准则和指南,咨询服务准则内部控制审计指南,67,（八）我国内审准则需特别关注的几项内容,完善的内控审计准则体系内部控制审计是内部审计工作的重中之重，以控制为核心是我国内审准则的基本原则也是IIA的基本理念。我国已发布与内部控制审计相关的四套准则，包括第5号内部控制审计准则、第12号遵循性审计准则、第16号风险管理审计准则、第21号内部审计的控制自我评估准则，建立了理念先进、逻辑合理的内控审计体系。,68,首次专门针对管理审计颁布准则IIA虽然早在几十年前就倡导管理审计，但仍尚未就管理审计颁布专门的准则，我国的第25号经济性审计准则、第26号效果性审计准则、第27号效率性审计准则是内部审计准则的一大创举与贡献，体现了我国内部审计准则的先进性和前瞻性。,69,界定和规范重要性与审计风险我国具体准则第17号重要性与审计风险从内部审计的角度对这两个重要概念进行了界定与规范，有助于内审人员将其贯彻到内审活动中，作出合理判断，而IPPF则回避了这个问题，此准则充分体现了我国准则的先进性。,70,注重关于沟通和交流的指导沟通技能是专业胜任能力的重要内容，我国内审准则注重对内审人员沟通技能的指导，具体准则第11号结果沟通、第20号人际关系、第23号内部审计机构与董事会或最高管理层的关系，吸收了IIA的先进理念，从多角度全方位提供了沟通和交流的指导。,71,我国几项实务指南所涉及的内容IPPF没有涉及随着我国经济快速增长，实践中急需对内部审计人员建设项目审计和物资采购审计进行指导，建设项目审计指南和物资采购审计指南充分体现了我国内审准则国家化，密切结合了我国经济现实，对特殊行业、特殊实务的内审活动进行了规范。,72,五、国际内部审计准则与我国内部审计准则的比较,（一）IPPF国际准则与中国内部审计基本准则的对比,73,IPPF国际准则与中国内部审计基本准则的对比,74,IPPF国际准则与中国内部审计基本准则的对比（续）,75,（二）中国内部审计基本准则与具体准则的对应关系及关联性,76,中国内部审计基本准则与具体准则的对应关系及关联性,77,中国内部审计基本准则与具体准则的对应关系及关联性（续）,78,中国内部审计基本准则与具体准则的对应关系及关联性（续）,79,（三）中国内部审计具体准则及实务指南与IPPF的对应关系,80,中国内部审计具体准则及实务指南与IPPF的对应关系,81,中国内部审计具体准则及实务指南与IPPF的对应关系（续）,82,中国内部审计具体准则及实务指南与IPPF的对应关系（续）,83,1、确认服务的标准、特征和类型确认的标准确认项目包括客观获取和评价证据的系统过程。这些项目需要事先确定的标准。项目涉及到将结果传递给相关使用者、除服务提供者或者被审查过程与领域中人员以外的第三者。这个第三方就是确认服务的客户，它决定着这项服务的价值。准则要求审计人员自主决定工作的范围，而不是由所查领域的业务管理者来确定。准则需要规定审计报告的形式和内容的要求。准则要提出对审计人员独立性和客观性的约束。,六、确认服务与咨询服务,84,1、确认服务的标准、特征和类型确认的特征确认服务涉及：审计人员、流程负责人业务经理、利用确认服务的第三方。确认服务的评估：实体内部控制的充分性；子实体内部控制流程的充分性；企业风险管理的充分性；治理过程的充分性；法律或规章的合规性。,85,确认的特征（续）确认服务的客户可能是：内部客户董事会、高级管理层、审计委员会等；外部客户消费者、股东、监管者、其他利益相关者等确认服务的成果是：发表“意见”，确认是否适当；正式并且详尽；向第三方报告；后续追踪。,86,确认的类型财务审计，包括像分部业绩报告审计和盈利产品线审计那样的传统鉴证审计，包括对外部财务报表审计的合作，还包括业绩指标审计（特别是政府部门，推行平衡计分卡的公司）业绩审计或业务审计，包括评估风险和对内部控制的适当性提供确认。快速反应审计（quickresponseauditing)，它通常来自于高级管理层的特殊要求，这包括舞弊调查，也包括评价和审慎性调查（Duediligence).,87,确认服务,88,2、咨询服务的标准、特征和类型,咨询的标准准则无需规定审计人员应当自主决定其工作范围；准则也无需规定具体的报告要求，如要求出具书面报告或要求对项目结果进行后续审计；咨询服务过程中，如果委托人（业务管理者）认为某个领域做更多的工作已无多大价值，就可以让审计人员停止工作,89,2、咨询服务的标准、特征和类型咨询的特征咨询服务涉及到：内部审计人员和客户咨询服务可以：改善效果或提高效率；帮助设计纠正措施；提供新系统设计所需的控制；提出衡量的标准；在内部审计的技术范围内，提供所请求的类似服务。,90,咨询的特征（续）咨询服务的客户通常是：经营管理层咨询服务的成果是：建议；通常是非正式的；与客户意见达成一致后的报告；对咨询服务业务中特定范围的跟进。咨询服务的工作是：可选择的可以拒绝审计人员不能胜任的业务。,91,咨询的类型：评估服务（assessmentservices)，指对各种业务的过去、现在或未来的某些方面进行检查和评价，并以此信息帮助管理层做出决策。如系统设计对控制的评估、对特定的组织再造的评估、对外包流程节约程度的评估等。协调服务（facilitationservices)，引导管理人员发现组织的优势和改进的机会。如控制自我评估、标杆管理（Benchmarking)、企业流程再造、协助制定业绩指标、战略规划支持等。补救服务（remediationservices)，用于防止或阻止可疑的组织问题。这是与确认服务最不兼容的一类服务，它实际上是在履行一项管理性职能。,92,咨询服务,93,3、确认服务的相关问题确认服务的等级证据与确认类型和确认等级的关系向组织外部提供确认服务确认服务在舞弊调查中的性质,94,4、咨询服务相关问题混合项目确认服务和咨询服务的平衡内部审计从事咨询服务的限制咨询服务的风险和回报,95,七、过程导向审计报告,（一）、一般审计流程,96,97,七、过程导向审计报告,（二）、审计报告撰写流程,98,99,七、过程导向审计报告,（三）、综合审计流程图,100,101,七、过程导向审计报告,（四）、过程导向管理审计报告的特征：审计报告过程与审计工作过程紧密结合，同步推进；迅速识别报告撰写过程中发生的新情况与新变化并做出反应；在审计报告过程中运用沟通与合作技能，确保审计报告符合报告用户的需求、重点突出、内容明确、逻辑严密、表达清晰；运用联系与综合性思维方法对审计报告的内容进行取舍、排序。,102,七、过程导向审计报告,（五）、过程导向审计报告的重要意义“过程导向”体现了审计报告撰写过程与审计工作流程一体化的新理念,突出了联系与综合性思维、沟通与合作技能贯穿审计报告全过程的重要性。审计报告绝不是一项尾随在审计工作完成之后单独进行的任务，将报告的撰写过程与审计工作流程相整合，既可以提高审计工作和审计报告的效率，又可以保证报告撰写的条理性、逻辑性和清晰性，从而将内部审计工作的价值淋漓尽致地体现出来。,103,七、过程导向审计报告,（六）对内审人员专业胜任能力的要求以相互关联及综合性的思维方式组织和编写审计报告相互关联及综合性思维定义为三种能力：了解模式、综合各部分并识别其中的重要要素；概括给定事实，综合几个领域的知识并得出结论；比较并区分各种观点，在合理讨论的基础上进行选择，验证证据的价值。,104,七、过程导向审计报告,（六）对内审人员专业胜任能力的要求以相互关联及综合性的思维方式组织和编写审计报告（续）相互关联及综合性思维就是要将“从具体到一般”的审计逻辑流程与读者期望的“从一般到具体”的阅读报告流程实现有机融合，生成一份使读者能快速阅读、直奔主题、相信自己拥有充分信息的审计报告。,105,八、内审人员的专业胜任能力,（一）内部审计人员专业胜任能力框架（CFIA,1999）,106,需要具备哪些专业技能以满足市场需求？基本技能：业务流程、内部控制、会计、系统；行为个人技巧：分析、解决问题、披露、沟通；处理不规范业务流程与事务的能力；全面的、以风险为导向的方法；,107,108,（二）确认服务的特殊要求内部审计师如果缺乏完成全部或部分确认业务所具备的知识、技能或其他能力时，首席审计执行官应当向他人寻求充分的建议或帮助。,109,专业知识一般范围,首席审计执行官目前使用一种合作模式阐述专业知识的一般范围，在此引进了外包模式的专家，以下包括：,110,（三）咨询服务的特殊要求,专业胜任能力如果内部审计师缺乏执行全部或部分业务所应具备的知识、技能或其他能力，首席审计执行官应拒绝开展此项业务，选择取消该咨询业务，但对于确认服务，却必须要求审计师具备应有的技能去完成。即，如果决定接受此项咨询服务，首席审计执行官应当向他人寻求充分的建议或帮助,111,（三）咨询服务的特殊要求,职业谨慎的要求内部审计师在考虑以下事项时，应保持应有的职业谨慎：客户的需求与期望，包括咨询结果性质、时限和报告；实现咨询目标所需要开展工作的相对复杂性与范围；潜在利益的咨询成本。,112,（三）咨询服务的特殊要求,理解咨询服务需求的原因内部审计师应理解如下几点内容：要求获得此类服务的动机和原因；对审计计划中审计范围的影响（审计计划之前已获得审计委员会批准）；对以后审计分配工作和业务带来的潜在影响。内部审计师必须仔细权衡开展咨询服务的原因，以及该项业务带来的利益，确保不会浪费资源,113,（三）咨询服务的特殊要求,提供咨询服务的几点原则：召开合适的会议，获得必要的信息，对所需要提供服务的性质和范围做出评估。确认接受服务的个人或组织明白并同意内部审计章程中规定的内容、内部审计政策及程序，以及其他规定咨询服务执行的相关材料。内部审计人员应拒绝执行那些内部审计章程予以限制执行的咨询服务，或者与内部审计活动规定政策及程序发生冲突的咨询服务，或者不会给组织带来价值及提升组织最佳利益的咨询服务。针对与内部审计整体计划之间的兼容性，对咨询服务做出恰当评估。以风险为导向的内部审计计划可在最大的合理范围内，将咨询服务纳入业务体系中，并依籁于这些咨询业务向组织提供必要的审计服务。以书面协议或计划的形式将正式咨询服务的一般条款、谅解、业务交付和其他因素记录在案。内部审计人员和咨询服务的客户必须明白并同意所需要的报告与沟通。,114,（四）Ratliff存在改进的可能时，加强监督。为组织提供更实际的指导具体阐述了如何将监督纳入组织的内部控制流程，并提供了不同的监督的例子。在当前充满变数的环境中，有效监督应降低企业无法满足合规性要求的风险，以及风险管理流程、关键内部控制和其他重要安全措施失效的威胁。COSO监督指引为那些真正想实施有效监督流程的企业，提供了一种通行的方法。,191,监督扮演整合内部控制其他组成要素的功能，它将内部控制的其他四个组成要素环绕包围，帮助企业评估其内部控制是否有效运作，并协助组织达成下列目标：及时的识别与纠正内部控制问题提供更正确、更可靠的信息编制正确且及时的财务报告通过监督可定期确认与验证内部控制的有效性,192,（六）内部控制系统监督指引,监督要素的有效运行可以通过三种方式为组织提供价值:使管理层和董事会能够确定，内部控制系统是否随着时间流转，而持续有效地运行。通过一些方式提高组织的整体效率和效果，如：及时提供证据，表明内部控制的设计或运行己经发生或可能发生变化，从而在控制缺陷重大地影响内部控制系统实现组织目标的能力之前，帮助组织识别和纠正控制缺陷。能促进良好的控制运行。当内部控制的负责人知道他们的工作要接受监督，他们就更可能恰当地履行职责。,193,监督职能欲有效发挥作用，需构建三要素：建立良好环境设计及执行监督程序评估及报告监督结果这个模型并非要确立一个绝对的监督程序，而是旨在说明处于动态环境中监督的一般流程。,194,（六）内部控制系统监督指引,监督模型三要素建立监督基础良好环境1、确立关于内部控制(包括监督)重要性的高层基调对于每一个控制要素，管理层和董事会表达他们对于监督重要性看法的方式，会对内部控制的有效性有直接影响。管理层的基调影响了员工们执行监督和对监督的反应方式。董事会的基调也会影响管理层执行监督和对监督的反应方式。高层基调可以通过沟通期望和必要时采取行动来表达。,195,（六）内部控制系统监督指引,监督模型三要素（续）建立监督基础（续）2、一个恰当的组织结构组织结构考虑了管理层和董事会在监督中的角色，以及对合适的评估者安排适当的岗位。管理层对组织的内部控制负有最主要的责任。管理层执行监督来确保内部控制系统持续有效运行。董事会通过以下方式行使其监督责任：了解影响组织目标实现的风险，管理层用来降低这些风险的控制，以及管理层如何使用监督程序以确保内部控制体系持续有效运行。董事会在履行监督职责时，有效的内部审计是一个很有用的工具。监督者和他们的信息提供者必须具备恰当的胜任能力和客观性。,196,监督模型三要素（续）建立监督基础（续）2、一个恰当的组织结构管理层可以通过两个步骤为监督职位选择具有合适能力、客观性、权威性的人员。第一步是在高管层层面确立监督领导团队。可以从以下人员中选派：首席财务官以及财务总监负责监督财务报告内部控制；首席信息官负责监督与信息系统相关的控制；首席风险官或首席法务官负责监督与法律法规遵循相关的控制。第二步，监督领导人可以将评价者所需的技能及客观性与所需监督的控制相匹配，复杂的领域可能需要由具有专门技能或经过培训的评价者来监督。,197,（六）内部控制系统监督指引,监督模型三要素（续）建立监督基础（续）3、对内部控制有效性的基准的理解控制基准监督体系的建立应从理解内部控制体系的设计以及确定其是否能达到组织内部控制目标开始。控制基准为有效的控制监督提供了一个恰当的起点。如果组织尚未在某一领域获得对应关注风险相关控制的基本理解，那么它需要进行初步甚至可能是广泛的内部控制设计评估并判断控制是否得到适当执行。组织通过变化识别和变化管理不断形成新的控制基准。,198,对持续变化的监督,发现变化,发现变化,发现变化,199,内部控制中的风险评估要素能够识别流程或风险的变化并且验证相关控制的设计是否仍然有效。当控制执行发生变化时，或者必要的控制设计变更已被识别时，监督将验证内部控制是否对控制实施了变更管理并针对修改后的控制建立了新的控制基准点。当使用有说服力的信息来进行监督时，持续监督程序能够在执行过程中重新验证控制有效的结论，从而保持一个连贯的控制基准点。当使用说服力较低的信息或当风险水平有特定要求时，则需要通过使用有适当说服力的信息，以个别评价的监督程序来定期验证控制执行的有效性。,200,假设某个主管负责管理一个订单录入的多人团队，并担心在销售系统中录入订单的完整性、准确性和及时性存在问题。该主管从以下两个步骤开始监督程序：（1）了解内部控制体系如何管理和减少可能导致订单录入不完整、不正确和不及时的风险；（2）了解用以衡量这些控制是否有效的基础（即控制基准点）。基于此基准点，主管可设立持续监督程序以识别环境或控制执行中的变化。对于控制环境变化的监督可考虑新销售渠道或订单录入系统程序变更等日常业务操作。对于控制执行变化的监督可包括订单录入统计数据的常规审阅（如每人录入订单量或系统生成的输入错误统计报告）。同时也可包括定期观察录入的订单或在订单录入团队内抽样检查已录入订单。如果组织增添了新的销售渠道，该渠道的订单输入程序也与以往不同，该主管首先会确认新程序的设计与执行是否适当（即变更管理）。随后可能要决定在某一段时间内，更全面的观察新接收订单的录入过程，和（或）选择更多的新接收订单（与旧的、常规订单相比）进行重新核查。这样，有效的变更识别和变更管理流程可以将该主管的注意力集中到因变更而带来的更重要的风险领域，从而促使其改变监督流程的类型、时机和范围，进而提高整体的效率。,201,（六）内部控制系统监督指引,监督模型三要素（续）设计和执行监督程序监督是一个动态的过程(见下图)，包括风险排序、识别关键控制、识别有说服力的信息以及执行监督程序，每一个步骤都在某种程度上持续运行。,了解企业实现目标面临的风险，并排序,透过风险评估辨识重要控制,开发并执行符合成本效益的程序以评估那些有说服力的信息,识别能够有力说明内控系统是否有效运行的信息,确定信息,控制辨识,执行监督,风险排序,202,（六）内部控制系统监督指引,监督模型三要素（续）设计和执行监督程序（续）1、将风险进行排序监督是以风险为导向，把焦点放在那些应对重大风险的控制的评估。这些重大风险是指在特定的时间段，能对组织目标实现有重大影响的风险。风险评估的形式和频率在不同的组织可以有很大的不同此处的风险排序并不意味着要单独的风险评估职能来支持监督。在一个运行良好的内部控制中，风险评估将根据组织目标定期识别风险并对其进行排序。这个过程的评估结果将会影响有关监督措施的类别、时间以及范围的确定。,203,在这个阶段需要考虑的风险因素包括业务性质组织构成方式和业务特性会影响监督的需求和实施。业务性质包括交易量、业务复杂程度、涉及的金额、地理位置等业务变更合并、合资、收购、系统变更、人事以及其他变动都是风险增加的标志环境因素外部环境能影响组织的生存能力并增加监督特定内部控制的需要。外部风险包括竞争、市场变化、法规以及诉讼或亏损风险较高的领域。偷窃或欺诈的可能性某些因素能增加偷窃或欺诈的可能性，包括拥有较高价值的资产、员工业绩指标可能为欺诈行为提供动机、执行未授权的交易等。,204,一家生产型企业希望确认其财务报告内部控制是有效的，管理层可以先从审阅财务报告开始分析，并提出可能出错的地方或者会妨碍公司实现在某一特定领域的财务报告目标的可能。下面通过收入确认的例子说明风险排序的过程。关注点：收入目标：在正确的期间确认收入风险：多记在送货前或商品所有权转移前就计入收入优先级：中等理由：增加风险的因素：该公司的季度末销售和发货一般都比较活跃，增加了截止性风险接近或在季度末时公司的资金运转量对财务报表影响较大公司薪酬奖励计划的制定可能促使销售人提前确认销售收入降低风险的因素：公司的标准业务流程依据FOB运输及定价条款的规定，因此，降低了货物所有权转移相关的截止性风险。,205,（六）内部控制系统监督指引,监督模型三要素（续）设计和执行监督程序（续）2、识别关键控制组织通过了解内部控制系统如何应对或减轻重大风险以及确定哪些控制对监督结论贡献最大来确定关键控制。关键控制通常具有一个或两个下述特点：关键控制失效是可能的，并且会对评价者负责的组织目标产生实质性影响，但有可能不会被其他控制及时发现；关键控制的执行可以防止其他控制的失效或在对组织目标产生实质性影响前及时发现这些控制失效。关键控制的认定可能在组织的各层中进行。如针对某风险的控制对于分厂经理可能是至关重要的，但对高管层而言就不重要了，因为它不是针对整体公司层面风险的重要控制。,206,监督模型三要素（续）设计和执行监督程序（续）2、识别关键控制可以考虑从增加导致内部控制失效的风险的各类因素出发，分析关键控制，这些因素包括：复杂性相比简单的控制，那些需要特殊技能或培训方能执行的控制更可能失败判断力需要高度判断力的控制的实施高度依赖于判断者的经验和接收的培训人工控制及自动控制相对于自动控制，人工控制更加可能产生人为失误，因此，更多的收到不同层级的监督已知的控制失效先前的控制失效是一个清晰的信号，说明需要增加监督活动直到整改措施已经有效抑制了失效原因人员的能力及经验缺少实施某一控制所必需的资质或经验会增加控制失效的可能性管理层凌驾的风险管理层为了某些与组织目标相悖的目的而凌驾于控制活动之上，这些控制需要特别的监督识别控制失效的可能性如果某一特定控制失效可以被内部控制中其他控制在其产生重大影响前将它识别出来，那么这个特定控制可以不识别为关键控制。,207,（六）内部控制系统监督指引,监督模型三要素（续）设计和执行监督程序（续）3、识别有说服力的信息一旦选择了关键控制，评估者就要识别相关信息，这些信息能够支持控制是否得到执行以及是否如期运行的结论识别这种信息必须了解控制失败可能怎样发生，以及在确定内部控制系统有效运行时哪些信息是有说服力的。有说服力的信息是适当且充分的，对有说服力的信息的识别使得组织能够确定使用何种监督程序以及执行监督的频率。,208,有说服力的信息能够为内部控制有效性提供足够的支持。有说服力的信息首先必须是适当的。适当的信息所需具备的三个要素:相关、可靠和及时，如右图,209,不能同时拥有这三个要素的信息可能具有一定程度的适当性，但它无法单独为控制持续有效的结论提供合理的支持。例如，信息可能是相关且可靠的