风险导向的内部审计理论与实务

风险导向的内部审计理论与实务

周中胜

苏州大学商学院

2025/4/151根据IIA的统计，美国实行内部审计外包（outsourcing)的企业已达到21.5%，在电子、汽车、感光材料等行业甚至超过50%。2025/4/1522002年末，美国时代周刊评出2002年新闻人物，包括辛西亚.库珀和雪伦·沃特金斯。前者是世界通信的内部审计部副总经理，后者是安然公司副总裁。2025/4/1532025/4/1542008年9月15日，雷曼兄弟宣布破产2025/4/1552025/4/1562008年1月24日，法国兴业银行曝出因交易员违规操作而巨亏约70亿美元的消息，让世界震惊。2025/4/1572025/4/1582025/4/1591999，国际内部审计师协会（IIA）发布内部审计职业实务准则框架，确立了风险导向内部审计的基本思想。2025/4/1510研讨的主要内容内部审计的发展和演进风险导向内部审计的理念风险导向内部审计与内部控制、风险管理风险导向内部审计与公司治理风险导向内部审计的案例分析2025/4/1511内部审计的发展历程萌芽状态的内部审计财务导向的内部审计业务导向的内部审计管理导向的内部审计风险导向的内部审计2025/4/15122025/4/1513萌芽状态的内部审计分工和分权的思想受托责任的履行情况进行检查目的主要是查错防弊2025/4/1514财务导向的内部审计2025/4/15151941，IIA1941，维克托.布林克，《内部审计：性质、职能和程序方法》1947，《内部审计职责说明书》第1号，SRIANo.12025/4/1516业务导向的内部审计20世纪40年代末、50年代初主要受到泰罗的科学管理理论和法约尔的一般管理理论的影响前者从作业管理层面强调效率至上后者强调从组织管理角度改进管理，提高企业效率2025/4/15172025/4/15182025/4/1519业务导向的内部审计实践2025/4/152075%的公司的内部审计重点是财务审计与业务审计兼而有之。在人员结构方面，41%的内部审计人员来自会计专业以外。2025/4/1521管理导向的内部审计20世纪70年代开始背景：1、外部环境的改变所引起的管理理论的发展（控制论、信息论、系统论、耗散结构论、协同论、突变论）。2、公司治理理论研究与实务操作全面展开。3、更加强调决策在管理中的核心地位，强调企业内自上而下的目标一致性。2025/4/1522彼得.德鲁克的目标管理理论赫伯特.西蒙的决策管理理论2025/4/15232025/4/1524管理审计的对象狭义的对象主要指对高层的管理决策、方针及战略等进行审查与评价。广义的对象还包括业务活动的审查。1974年，CIA考试开始2025/4/1525管理导向内部审计的缺陷内部审计做的仅仅是事后的评价与反馈。内部审计在评价管理活动的着眼点主要是管理决策、经营活动及控制活动本身，但没有将这些对象与企业目标并联系在一起。无法证明内部审计是企业价值链上的重要一环。2025/4/1526风险导向的内部审计产生的背景管理环境的变化管理理论与实践的发展迈克尔.波特的战略管理理论迈克尔.哈默和詹姆斯.钱皮的企业再造理论戴明和朱兰的全面质量管理理论（TQM）彼得.圣吉的学习型组织理论2025/4/15272025/4/15282001,安然事件2002，SOX法案2004，ERM2025/4/15292025/4/1530风险导向内部审计的特点内部控制是风险导向内部审计的基础。对风险的评估与改善是风险导向内部审计的首要目标。2025/4/1531风险狭义的风险广义的风险：还包括正面的风险即机会2025/4/1532风险导向内部审计的本质确保受托责任有效履行的能动的管理控制机制2025/4/1533风险导向的内部审计与风险导向的外部审计的区别目标与内涵不同风险范围不同2025/4/1534独立审计模式的演变账表导向的独立审计制度导向的独立审计风险导向的独立审计2025/4/1535风险导向内部审计的对象内部控制风险公司治理2025/4/15362025/4/1537风险导向内部审计的目标提供增值服务2025/4/1538风险导向的内部审计人员应具备的能力2025/4/15392025/4/1540内部审计规范的发展演进第一阶段，从IIA成立到20世纪70年代，以内部审计职责说明书为代表（SRIA）第二阶段，从20世纪70年代到20世纪90年代末，1978年IIA通过内部审计职业实务准则，1968年通过内部审计职业道德规范第三阶段，2001年至今2025/4/15412025/4/15422008年5月22日，财政部、证监会、审计署、银监会、保监会印发《企业内部控制基本规范》。2025/4/15432010年4月26日，五部委联合发布《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》，要求自2011年1月1日起首先在境内外同时上市的公司施行，2012年1月1日起扩大到上海、深圳证交所主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。2025/4/1544COSO《内部控制—整体框架》（InternalControl-IntegratedFramework)2025/4/1545COSO报告（IC-IF）监控控制环境控制程序风险信息沟通信息沟通2025/4/1546COSO报告(IC-IF1992)的观点1、定义：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告真实性、相关法令的遵循性等目标所达成而提供合理保证的过程。2025/4/1547内部控制为谁而设？内部控制不是由某个人或哪个层级的人提出来，专门针对某一个或某一群特定层级的人的制度。它是为整个企业设计的系统，不专门针对具体的哪一层级或哪一群人，而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。

2025/4/1548内部控制定义的理解2025/4/15495、软控制6、内部控制的责任7、柔和管理与控制的界限2025/4/1550谁对内部控制承担责任？管理当局的责任:CEO:负责建立有效的内部控制,在整个组织内倡导控制意识;CFO:核心作用,设计,推行和监管组织的财务信息报告行为C-LEVEL:确保其分管活动的accountability2025/4/15512025/4/1552员工的责任：

对任何与不遵循控制规定或非法行为相关的问题，有责任按组织层次向上报告。2025/4/1553COSO报告（IC-IF1992）内容2025/4/15542025/4/1555诚信原则与道德价值观

是企业道德与行为准则的凝结，以及如何将这些价值观教化员工并诉诸实际行动内部控制作为企业文化相当脆弱任何人不得凌驾于内部控制制度之上权力的杠杆作用2025/4/1556正直与道德价值观2025/4/1557员工素质

提倡对正义、公理、公德的忠诚，而非狭隘的“公司忠诚”；公司不能置公理和正义之上。价值观与基本素质知识结构与技能经验及培训2025/4/1558独立性成员经验及地位

作用程度行为方式

与外部审计的影响2025/4/15592025/4/1560管理当局的哲学理念和行事作风企业运作理念：1.胡雪岩现象：2.政治与企业经济的关系3.畸形的企业参政热情4.对待企业失败的不同态度5.企业运作思路的比较

2025/4/15612025/4/1562中国企业

国际企业关系法律经济利益经济利益法律关系2025/4/1563双汇集团理性决策：形成以肉类加工为主，养殖、屠宰、包装、彩印等紧密联系的产业群体，1998年集团实现利税2．95亿元，去年又突破了5亿元大关。资金控制：产品销售一律现款现货制度，原料采购实行生产试用合格后付款制度。财务管理：财务垂直管理、审计日常监督总裁万隆也不避讳：“管理是企业的生命，双汇赢就赢在管理上。2025/4/15642025/4/1565组织结构

组织结构的定义：通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构。组织结构设计必须覆盖组织活动的全部形式：计划，执行，控制，监督组织结构设计的哲学意义：做什么？做！如何做？组织结构设计的2个限制：少一个不行；多一个冗余；部门功能必须是线型的、支持的，而非拦截的计划执行控制保证正确执行监督保证控制有效2025/4/1566组织结构的设计因素：确认授权和责任的关键领域；确认报告路径组织设计合理的流水线模式：三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？2025/4/1567企业成为权力角斗场的原因：1.组织结构设计不确定：对权力定义不清或定义错误,导致权力的涣散；权力与责任不对称2.权力结构不稳定：权力成为公开招标物；导致冲突和耍政治手腕，而不是对责任及合格责任人的正当提供。

2025/4/1568权力与责任的分配授权与指挥三忌：多头领导；越级指挥；管辖人员过多组织行为与责任的分配对组织目标的协同作用责任与报告2025/4/1569人与制度之间的关系：若员工素质良好，有信用，有正义感，即使某些控制措施缺失，企业也能行为规范，信息可信；若员工油滑、无原则、无正义感，即使有控制制度，企业也可能因此蒙受损失或名誉扫地。如何招人，如何评价，如何训练和育化，是内部控制的关键。

2025/4/1570（二）风险评估任何企业，不论其规模、结构、性质或行业如何，都会面临来自内部和外部的不同风险。

风险是客观存在的，而管理者的每一项决策本身就在创造风险，从而企业管理者只能谨慎地接受风险，并将风险维持在一个合理的水平之内，因此风险评估应该成为内部控制的主要组成部分。2025/4/1571风险是不能实现目标的可能性，企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时，必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适当加以处理。环境控制和风险评估，是提高企业内部控制效率和效果的关键。2025/4/1572（二）风险评估的要素1、目标2、风险3、环境变化后的管理2025/4/15732025/4/15742025/4/15752025/4/1576（三）控制活动的内容一般包括：1、经济业务和经济活动的授权、批准；2、明确有关人员的职责分工，并有效防止舞弊；3、凭证和账单的设置和使用应保证业务和活动得到正确记载；4、财产和记录的接触使用要有保护措施；5、对已登记的业务及其计价要进行复核，等等。2025/4/1577（四）信息与沟通围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并相互交换这些信息。企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部控制的一项要素，是企业内部控制过程的一个部分。2025/4/15781、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务；2、它不仅要有向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道；3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等，是企业信息系统最为重要的组成部分。2025/4/1579（五）监督1、持续的监督活动2、个别评估3、报告缺陷2025/4/1580

企业内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的。

因此，要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。2025/4/15812025/4/1582ERM与IC-IFERM报告相对于IC-IF，有以下创新：提出一个新的观念——风险组合观增加一个新的目标——战略目标提出二个新概念——风险偏好和风险容忍度增加三个风险管理要素——“目标制定”、“事项识别”、“风险反应”。2025/4/1583ERM的构成要素内部环境目标制定事项识别风险评估风险反应控制活动信息和沟通监控2025/4/15842025/4/1585ERM的四个目标战略目标经营目标报告目标合法性目标2025/4/1586各管理层在ERM中的地位和职责董事会管理者风险管理员内部审计人员其他员工2025/4/1587内部控制与风险管理的关系2025/4/1588黑社会与银行的内部控制水泊梁山的内部控制2025/4/15892025/4/15902025/4/15912025/4/1592内部审计在内部控制与风险管理中的作用传统的内部审计与内部控制风险导向的内部审计与内部控制和风险管理2025/4/1593传统的内部审计与内部控制内部审计过程中主要的步骤围绕着内部控制而展开，包括描述、分析、评价内部控制及扩大性测试。方法包括内部控制的描述方法、检查、穿行测试、观察、查询等。2025/4/1594风险导向的内部审计与内部控制及风险管理2025/4/15952025/4/1596IIA的审计实务准则：帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系；评价控制的效率与效果，促进控制的不断完善，以帮助组织保持有效的控制。2025/4/15972025/4/1598风险导向内部审计对内部控制与风险管理的逻辑框架（风险导向的内部审计规划制定）2025/4/1599标杆比较法2025/4/151002025/4/151012025/4/151022025/4/15103控制自我评估法（风险自我评估法或控制—风险—自我评估法）1987年由加拿大海湾石油公司率先采用2025/4/15104控制自我评估法（CSA)内容：确认风险；评价减少或管理风险的控制过程；开发用以将风险降至可接受水平的行动计划；确定实现业务目标的可能性。2025/4/15105展开形式：以目标为基础以风险为基础以控制为基础以过程为基础以部门为基础2025/4/15106方法：问卷调查(Questionnaire)研讨会（Workshop)2025/4/15107优点：提高内部审计效率强调员工的参与性进行持续的评估与改进为企业管理层与员工提供内部控制的教育与培训2025/4/15108公司治理狭义的公司治理广义的公司治理2025/4/151092025/4/15