深圳国资委：内部审计(张龙平)

我国内部审计思路及方法的变革问题

中南财经政法大学张龙平一、内部审计的新思路1、经营审计2、战略审计3、风险导向审计4、增值审计5、综合审计6、持续审计7、咨询（非鉴证）服务1、经营审计（1）经营业务（活动）的内涵和种类（2）经营审计的目的（3）经营审计的要点（4）经营审计对内审人员能力的要求（1）经营业务（活动）的内涵和种类经营范围：业务大类（如房地产开发、物业管理、港口运输等）业务流程：业务环节（如供产销）商业模式：运作方式（如原材料采购模式，销售模式等）（2）经营审计的目的（3E-5E）

3E:根据《内部审计准则》，“经济性”是指组织经营活动过程中获得一定数量和质量的产品和服务及其他成果时所耗费的资源最少，主要关注的是资源投入和使用过程中成本节约的水平和程度及资源使用的合理性；“效率性”是指组织经营活动过程中投入资源与产出成果之间的对比关系，当一定量的资源“投入”获得符合既定质量和数量的“产出”最大化时，或者确定一定数量、质量的“产出”最大化时，或者取得一定数量、质量的“产出”而“投入”的资源最小化都可以称之为有效率；“效果性”是指组织从事经营活动时实际取得成果与预期取得成果之间的对比关系。“效果性”主要关注的是既定目标的实现程度及经营活动产生的影响。5E=（3E+公平性审计+环保性审计）（3）经营审计的要点选择审计项目确定评价标准（最难）收集相关证据作出适当评价（4）经营审计对审计人员的要求了解经营业务具备管理知识深入调查研究具备创新精神举例：凯迪电力生物质电厂的原材料采购模式三特索道的景点经营营销模式2、战略审计（1）企业战略的内涵和种类（2）战略审计的目的（3）战略审计的要点（4）战略审计对内部审计人员能力的要求（1）企业战略的内涵和种类内涵：企业为其确定的未来发展意图、宗旨、目标、途径及行为方式、原则或策略种类：1）实施主体分：公司级/集团性战略、经营级/竞争性战略、职能级战略/策略。2）时间跨度分：短期、中期、长期3）实现目的分：增长型、稳定型、防御型、混合型经营级/竞争性战略：成本领先战略、差异领先战略、集中战略市场集中战略、产品集中战略市场开发战略、产品开发战略（2）战略审计的目的战略方向策略选择（3）战略审计的要点SWOT分析对比分析成本效益分析举例：1）三特索道北峰华山索道案例2）贵州茅台拟涉足装备制造业案例3）湘鄂情产业选择案例湘鄂情正式更名中科云网，

去年曾计划转型五次！曾经的高端餐饮连锁湘鄂情2014-8-24晚间发布公告，表示将全面剥离餐饮业务转向大数据新媒体，公司名称及证券简称由此前的“湘鄂情”正式变更为“中科云网”，英文简称CLTG。公告表示，公司名称变更后，公司主要经营范围变更为中餐；零售酒、饮料、烟；农业科技、电子信息技术、生物质气化产品技术开发、计算机软件设计、计算机系统服务等方向。（4）战略审计对审计人员的要求战略管理知识特殊审计方法其他相关技能3、风险导向审计（1）企业风险的内涵和种类（2）风险导向审计的目的（3）风险导向审计的要点（4）风险导向审计对内部审计人员能力的要求（1）企业风险的内涵和种类内涵：企业面临各种不利后果的可能性种类：违规风险经营风险信息风险资产损失风险战略失误风险（2）风险导向审计的目的有助于实现以下目的：预防风险发现风险纠正风险（3）风险导向审计的要点风险评估风险应对举例：1）云南锡业董事长案例2）华润公司案例-收购山西金业焦煤化集团3）泸州老窖1573逆市挺价失败案例云南锡业集团52岁董事长案例：更为惊人的是，420.76亿负债中，流动负债占了371.02亿，其中，短期借款高达273.82亿元，加上一年内到期的非流动负债13.93亿元，合计年内短期须还银行贷款高达287.75亿元。而在当期末，整个集团货币资金只有47.6亿。“雷毅被抓，纪委说的是两个理由，一是巨额受贿，二是生活作风。他手上掌握的资源很多，这几年又开始搞多元化新产业和新业务，房地产、新能源都在搞，摊子铺得太大，利用职务之便受贿有不少机会。那么多银行在催债，今年上半年亏损近10个亿，钱到哪里去了？”前述云锡集团内部人士极为痛心，“云锡集团是一个世界级的公司，历史悠久，把一个优良企业搞成这样，前董事长肖总比他做得好，起码没有亏这么多。”（4）风险导向审计对审计人员的要求风险管理知识经营业务知识法律知识行业知识审计专业知识计算机知识4、增值审计（1）企业增值的内涵和种类（2）增值审计的目的（3）增值审计的要点（4）增值审计对内部审计人员能力的要求（1）企业增值的内涵和种类2009《中央企业负责人经营业绩考核暂行办法》第8条规定有两个基本指标：1）利润总额，指经核实的企业合并报表利润，计算时可加上经核定的当年企业消化以前年度亏损，并扣除变卖企业主业优质资产等取得的非经常性收益。2）经济增加值，指经核定的企业税后净营业利润减去资本成本的余额。（2）增值审计的目的以改善和行动为主要内容。内部审计不再仅是“独立的问题发现者，而应成为推动改革的使者”，内部审计活动将以改善机构运行的状况和推动改革的具体行动作为主要内容，它运用系统化的方法，通过评估和改善风险管理、控制和治理程序帮助机构实现其目标，其主要特征是提供增值服务。增值性内部审计向客户提供防范性的审计产品，向客户提供解决方案，内部审计不再将自己视为“局外人”，而是成为机构增加价值、提供效率的一员，为实现机构的目标提供保障和咨询。（3）增值审计的要点1）和被审计单位建立经营伙伴关系

要实现增值性审计的目的，必须提供专门的审计服务，成为所服务领域的专家，不是仅去发现那些控制薄弱的环节，而是要努力防止这种薄弱环节的产生，要与客户合作、向管理部门营销审计业务、提供培训、教育等服务，并将部分精力集中于防范工作，这样才能最大限度地发挥自身作用。在经营伙伴关系中，内部审计部门会主动出击，其职责是管理风险，而不是回避风险。

2）采用双向参与的审计方式

双向参与包括审计人员参与管理部门的有关活动，管理部门和审计人员共同制定审计计划；审计人员和管理人员实行轮换。如朗讯科技公司要求审计师成为朗讯经营利润中心财务部门高层领导的成员，成为公司业务合并和重组小组的成员；朗讯科技公司还实行“客座审计师”的制度，在审计小组中大约有20％—50％的成员来自朗讯的其他部门。

3）改变轮流审计方式增值性审计已大大减少或干脆不做回报较低的重复性工作，对需要进行合规性审计的机构，有两种途径：一是把所有分支机构作为一个整体，然后利用软件抽取高风险分支机构进行审计；二是让管理部门通过自我控制评价来实施。

内部审计不再以循环的形式开展，审计师经常和高层管理人员讨论，确定何处需要审汁，并根据具体任务的需要提供审计服务。通常确定审计领域有三种依据：一是以风险为基础，审计师与管理部门一起识别风险，并关注高风险领域；二是以程序为基础，审计的主要目的是改善程序，使程序更加经济和有效率；三是参与，审计师和管理部门一起制定审计计划，在进行审计时让管理部门介入思考过程，与管理部门一起提出改善建议。4）对内部控制以自我评价为主

内部控制评价仍然是增值性内部审汁的重点之一，但其实施不再以审计部门为主。朗讯科技公司的内部审计部门开发了一种基于COSO模式的内部控制自我评价工具，由管理部门进行自我评价，然后外部审计师通过对抽样选出的工厂进行突然访问来测试自我评价程序。

5）向管理部门营销审计业务如果管理部门对内部审计缺乏信任，内部审计就不可能实现增值，为此内部审计部门应向管理部门营销已经开发的审计产品，以取得管理部门的信任。杜邦公司有一个正式的营销方案，该方案由杜邦公司的“审计师全球网络”小组开发，其开发的八种审计产品，针对不同的部门确定营销目标和战略。JCPenney公司没有正式的营销方案，他们认为最佳的营销方式是建立非正式的关系和展示真实的业绩，但他们仍然利用各种会议发言去营销审计项目；并在每个度假季节，审计师都被鼓励去JCPenney百货商店工作两周，使他们学会用一线工作人员的眼光看待经营，从而大大改变了人们对审计的看法。

6）不拘形式的审计过程这方面最具典型意义的是JCPenney公司。JCPenney公司的内部审计部门在提供增值服务方面已经比较成熟，并努力创造一种非正式的、不拘泥于形式的审计部门形象。他们已经不再提前几个月就详细制定下一年度的工作计划，而是采用即时的方法制定工作计划；他们不使用计算机的风险模型来制定年度计划，而是依据对自身业务的了解和与管理部门的密切联系来确定需要予以关注的领域，即从依赖事先确定的、量化的风险因素转向依赖职业判断和与管理部门的伙伴关系。他们在审计时间表上留出充分的时间，以满足客户提出的特别服务要求。他们采用大量的非正式的方式和管理部门交流，他们注重问题的解决，甚至主张正式的审计报告应趋于淡出。

7）开发高标准的审计依据和工作标准实施增值性审计的公司都在开发自己的内部审计规范，如内部控制评价手册、审计质量保证问卷和讨论指南、控制自我评价手册、审计人员技能矩阵等。在开发审计依据方面，朗讯科技公司是典型的代表。朗讯科技公司内部审计工作有五个目标，其中第四个目标是“发现问题的依据是行业最佳实务”，第五个目标是“内部审计在朗讯内外部被认为是代表行业基准的机构”。为实现第五个目标，朗讯公司成立了“经营伙伴最佳实务工作小组”，该工作小组的任务是：①确认一流审计部门应具有的属性；②确认在日常工作中审计部门应达到的最佳实务。8）按照新的能力要求招聘内部审计人员增值性审计部门的角色转换，必须有高水平的技能支持，为此国外各类机构都把人员配备作为向增值性审计转变的必要条件。朗讯科技公司的75名审计师中有30名工商管理硕士，35名审计师拥有相关证书。审计部门努力让每个人的才能和具体项目结合起来，为此设计了非常详细的技能矩阵，然后将这一技能矩阵用于审计工作的分派和个人发展的监测。在JCPenney公司，审计工作变得越来越具有创造性和挑战性，以此吸引其他部门的精英到审计部门来，并留住那些雄心勃勃的年轻人。JCPenney公司审计部门已成为由经验丰富的专家组成的多学科工作小组。其中大部分雇员直接来自高校，有约25％来自于公司内部轮岗人员，他们一般在JCPenney公司，工作了25年以上，具有丰富的经验，其余是长期在内部审计部门工作的中坚力量。

由此不难看出，内部审计在很多地方都实现了转变：①从“独立”到“独立的、客观的”；②从“评估机构”到“保证和咨询活动”；③从”通过检查和评估组织活动向所在组织提供服务”到“旨在增值和改善机构运营状况”；④从”协助该组织的管理成员有效地履行他们的职责”到“帮助所在机构实现目标”；⑤从“对与被审计活动有关的信息进行分析、评价、建议和讨论”到“系统化的严谨方法”；⑥从“以合理成本促进控制工作的有效开展”到“评价和改善风险管理、控制和治理程序的有效性”。（4）增值审计对审计人员的要求相关专业知识及技能求实态度及创新精神个人价值观企业价值观5、综合审计（1）综合审计的概念（2）综合审计的应用（1）综合审计的概念综合审计是专题审计的对称，指对被审计单位相关的几个审计项目一起进行审查评价的一种审计。它是近些年来西方国家政府审计机构在传统审计的基础上发展形成的一种新型审计方式。由于它将财务审计、财经法纪审计和经济效益审计有机地结合在一起，故称综合审计。这种审计有利于对政府部门和公营企业进行全面的监督。对内部审计也有指导和参考价值。（2）综合审计的应用综合审计最初只有美国、加拿大等经济发达国家实行。我国审计部门在进行承包经营责任审计时，有时结合财务审计和经济效益审计的要求进行综合审计，也收到了很好的效果。这种审计可以对被审计单位的财务收支和经济活动进行全面综合的评价，有利于促进改善经营管理，提高经济效益。内部审计如何应用？6、持续审计（1）持续审计的概念（2）对审计人员的要求（3）持续审计得好处（4）持续审计的特点和作用（5）审计证据收集（1）持续审计的概念持续审计是指独立审计师用以对委托项目的相关事项以一系列实时或短时间内生成的审计报告，对其提供书面认证的一套审计方法，是为了提高审计质量，降低审计风险，而将审计投入到整个组织运行流程中的一种实时审计。（2）对审计人员的特性要求持续审计是由信息技术的发展而产生的，它有别于传统的审计。在执行持续审计中，审计人员除了应具备很高的政治素质、业务素质外，还应当注意以下几点：1)审计人员应当了解客户行业背景和经营状况，以确信电子文件、记录和数据的可靠性与相关性。掌握客户的经营策略对于理解客户的业务流程、目标，估计相关风险，了解内部控制活动是非常重要的。2)审计人员需要理解交易过程和相关控制活动，以确信信息在无纸化实时会计系统下更有效更可靠。在实时会计系统下交易以电子形式传送、处理、接收，因此，审计人员需要确信这些交易没有被更改。3)在持续审计下，审计人员需要制定一个控制风险导向审计计划，更多地关注实时会计系统中内部控制行为的适当性和有效性，而减少对电子文档和交易的实质性测试的关注。4)持续审计要求审计人员自行开发审计工具软件或购买商业应用软件包。这些持续审计工具和技术(CATFs)使审计人员可以评估风险，评价内部控制，通过计算机执行一系列审计程序，包括抽取数据，下载信息以进行分析性复核，汇总分类账，选择进行控制测试和实质性测试的样本，确认异常交易等。（3）持续审计的好处持续审计使审计人员将目标从传统的资产负债表审计转到企业交易结果的审计上，利用计算机进行持续审计可以带来如下好处：第一，审计人员对客户的交易可以选择更大的样本(可达到100%)进行测试，以减少基础性审计的成本，更快搜索数据，它比传统方式更有效。第二，减少审计人员通常要人工检查交易和账户余额的时间和成本。第三，通过让审计人员将重点放在对客户的经营活动、内部控制结构上，提高财务审计的质量。第四，可以在整个年度内按照选定标准不间断地选择交易并执行控制测试和实质性测试。(4)持续审计的特点和作用1)审计过程的连续性持续审计要求审计工作融入企业的生产经营过程。这样，只要企业在持续经营，那么审计工作就会伴随着生产经营过程循环往复下去。在持续审计下，审计计划、控制评估、风险评估、审计报告等都是连续进行的。一个期间审计报告发出的同时，便开始了下一个期间审计计划的制定，进而步入下一期间审计评估工作的开始。这样连续的、循环的审计工作，对现金、银行存款等高风险的项目来说，可以很好地预防和控制错误的发生。2)审计信息的及时性持续审计要求提供的审计信息必须是及时的。传统的审计工作是在既定的时间内，对过去已经发生的事项进行审计。因此，提供的信息在时效上很弱，这样的信息对企业做出决策就帮助不大。持续审计则是强调在审计事项发生后或者发生时立即进行审计，提供的信息体现了实时性，进而也符合会计信息质量要求中重要性、相关性原则。3)审计程序的自动化持续审计的运作是在网络环境下进行，要求被审计单位与审计单位都应该置身于网络中。在网络环境下，完成审计证据的取得，审计计划的制定以及审计报告的发布。简单说来，持续审计的审计对象是一堆数据，那么持续审计必须拥有数据分析工具。持续审计要求及时发现被审计单位的问题，那么持续审计必须拥有网络触发器，可在被审计单位错误发生时便通过网络传递到审计单位，由审计单位进行分析，进而将审计信息发还给被审计单位并且予以公布。在这样的审计条件下，持续审计只有必须拥有高度自动化的审计程序。才能保证审计工作的正常开展。4)审计的风险控制持续审计是控制风险型的审计，重点在于被审计单位会计信息系统中内部控制的适时性和有效性。通过对被审计单位内部和外部经营环境的全面评估，对被审计单位形成一个整体印象，在关注财务报告审计的同时，对内部控制制度运行和运作效果进行审计。这对完善企业内部控制，降低审计风险，提高审计质量具有一定的意义。（5）审计证据收集不断发展的信息技术和电子贸易的普及都要求审计人员以电子手段获取证据。于是也要求会计界在职业准则中引入电子证据概念。l996年l2月，ASB发表了SAS第80号准则：证据。SAS第80号认为审计人员在传输、处理、保存、接收大量的电子信息后，仅执行实质性测试并不能将检查风险降到一个可接受的程度，它们仍要执行控制测试以评估控制风险，使之降到最高水平以下。某种电子证据会在某个时间段存在，但过了特定时间之后，如果文件被更改或备份文件不存在，这些证据就无法再获得，审计人员在决定实质性测试的目的、时间、范围时应当考虑信息存在的时间。持续审计在收集审计证据时考虑以下问题：1.怎样收集电子证据？2.数据怎么产生的，从哪产生?3.使用了什么认证技术？4.使用什么网络产生和传输数据?5.怎样处理数据?审计人员通常使用专业程序收集审计证据，如控制检查程序。它应用于查找异常交易中，首先寻找相同的交易活动，明确其交易方式，一旦查出异常的交易就通知审计人员。通过持续审计所获取的数据可以储存到一个审计数据集市(datanlars)以作测试和分析之用，数据集市在数据仓库(datawarehouses)文献中是一个很常见的概念。David和Steinbart(1999)将数据仓库定义为：它是一个企业独有的数据存储仓，是一个带有数据获取和分析工具的大型数据集。数据仓库从整个企业的所有应用系统中收集数据。而数据集市比数据仓库要小，它仅包括一个应用领域(如会计或营销)。因此，只通过有限数量的应用系统收集数据。通过使用一个审计数据仓库，有关数据获取、数据转换和审计测试方面的信息就转化为数据(metadata)的形式储存起来。理想的数据仓库应当具有延展性，在审计范围扩展的时候能够相应的容纳更大容量的数据。7、咨询（非鉴证）服务（1）咨询服务的内涵和种类（2）咨询服务对内部审计人员能力的要求确认（鉴证）业务与咨询服务的区别：

1.定义的区别要正确理解鉴证业务和咨询服务的区别，就要适当地运用标准中的属性标准和工作标准。应当记住两点：第一，要记住确认业务的定义，其关键词是“独立评价”，第二，要记住咨询服务的定义，其关键词是“服务的性质与范围是与客户协商确定的。”

2.参与的区别咨询服务主要是内部审计师和客户共同完成，确认服务除了包括内部审计、客户外，还需要结果使用者参与。

3.结果的区别咨询服务的产品就是意见和建议，客户对是否采用结果有最终决定权；确认服务是独立评价而不是建议，结果的使用者往往是审计委员会。与咨询服务相比，确认服务应遵守更严格的要求和更多的实施准则。确认服务的结果是要向法定的第三方，正式而且详尽地发表意见，确认和评估组织的经营活动或财务报告是否适当。二、内部审计技术方法变革问题（一）理论思考1、审计目的和对象要求2、审计人员能力和素质（二）实务选择1、政府审计方法的借鉴2、注册会计师审计方法的借鉴3、内审技术方法运用内部审计方式方法的新发展：1、数据分析法2、绩效评估法3、经济预测法4、逻辑研判法5、风险导向法6、计算机审计7、合作审计法（参与、合作）8、主动审计法三、国外内审经典案例分析1、IBM内部审计（做法、特点、启示）2、INTEL内部审计3、MICROSOFT内部审计4、通用汽车内部审计5、沃尔玛内部审计课后阅读详见：/p-331730868610.html1、新时代的审计—IBM

IBM2013年底的全球雇员约43万，总收入997亿美元，净利润165亿美元（按美国通用会计准则）。JanetAndersen（简称JA）是IBM内部审计与业务控制部门（InternalAudit&BusinessControls）的首席审计师。（1）专门的团队216人向JA直接汇报，其中125人是职业的审计师。有一小队支持人员负责提供控制培训、推进审计计划和总结控制中存在的问题。一名技术人员提供审计工具并对该公司在全球的"机动部队"提供支持。IBM的审计团队以及使用的审计和控制工具是一流的，但是其最与众不同的是审计与控制、系统和流程的结合。（2）IA与BC的结合内审不是控制改进建议唯一的来源渠道，内审要与遍布在IBM各业务部门的控制团队紧密结合，一起工作。业务控制（BC）部门的员工要向业务部门或财务管理部门汇报，帮助一线的管理者实施更好的控制。IA和BC的结合是成功的关键。因此，JA的团队称为IA&BC。IA&BC与业务部门保持很好的沟通，例如，提供培训并定期发送IA&BC期刊。这些努力使得在IBM存在很好的控制文化氛围。在IA&BC中，有人会负责全球的业务控制实践，着眼于与电子商务、流程再造和效率改进建议相关的全球范围的控制措施。这些控制专家可以为内审人员提供建议与咨询，并与相关流程的实施业务部门保持沟通，共同改善。还有一些人负责联盟、收购与合资，确保业务部门有能力遵循正确的控制程序。此外，IBM还关注发展中国家，这些国家的IBM业务不会应用全部的流程和控制措施。3、应用系统的认证和审计度（ASCA）和半年度控制评估（SACA）这两种方法使IBM达到很高的审计水准。ASCA确保开发任何新的或新更改的系统之前都要经过审计，以保证它们达到预期目的。这与质量复核不同，它更加全面并以控制为导向。IBM已经为ASCA审核过程申请了专利。ASCA团队审视应用系统，确保控制健全，包括控制点和文档管理。IBM审计部有三个子部门，各有一个经理负责此事。业务部门使用SACA(半年控制自我评估)进行流程评估和报告控制情况。为了得出SACA排名，IA&BC提供了一系列调查问卷，包含8个基本的问题，各个业务部门可以对这些问卷更改和个性化。回答的结果要按照矩阵的方式交叉比对，看存在那些交叉问题。这种方法可以使其从不同角度关注重要的问题