2023年内部审计在治理风险和控制中的作用兆泰讲义精炼版

内部审计在治理、风险和控制中的作用

学习是个积累的过程。有了一定的目标，锲而不舍地进行努力，终可实现理想。天道酬勤。

如何复习PART1

首先，内部审计是一项管理工作，同样需要通过计划、组织、控制等管理职能来实现其工作目的，以帮助企

业管理者实现效率和效果；

其次，内部审计是一项审计工作，必须遵循审计标准和程序，这些标准和程序是内部审计工作的框架和指引。

对考试而言，对这部分的理解和掌握很重要。

。最后，既然要以管理者的身份去对内控等进行审计，那么，相关这个职位应当掌握的管理常识和工具、策略、

技能等就要知道或了解（尤其是新大纲）。这样，再来看看试题，也许就觉得简单和比较对出题者的意用了。

援引兆泰老师语

内部审计的基本概念

❖内部审计：内部审计是•种独立、客观的保证工作与咨询活动，它的目的是为机构增加价值并提

高机构的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价，提高

它们的效率，从而帮助实现机构的目标。

❖增加价值：通过满足管理层和董事会需要、改进机会以实现组织的目标、确认运营上的改进，或

通过确认服务和咨询服务来减少风险暴露，就可以提供价值。

。确认服务：一种对组织的风险管理、控制和治理过程提供独立的评估为目的的客观检查证据的行

为。例如财务审计、绩效审计、合规性审计、系统安全审计与应尽责任业务。

­:•咨询服务：顾问及相关的客户服务活动，这种服务的性质和范围通过与客户协商确定，目标是增

加组织价值和改善组织运营。这类服务有商议、建议、协调、程序设计及培训等。

红皮书一词汇表1

董事会--是指董事会、董事会下属的审计委员会、内部审计人员向其报告的机构或法规部门的领导、非通

利机构的理事会或受托人董事会、机构内部其他指定治理机构。

<­章程--内部审计部门的章程是用以确定审计部门的宗旨、权限和职责的正式书面文件。该章程应该：（1）

规定内部审计部门在该机构中的地位；（2）授权可以接触与执仃审计_L作布•关的资料、人员和实物资产；

（3）确定内部审计活动的范围。

。审计执行主管…•是指机构内负责内部审计活动的最高职位。在传统的内部审计活动中就是指内部审计主任。

在内部审计活动由外部服务提供者开展的情况下，审计执行主管就指负责监督审计活动的服务合同及活动的

整体质量保证、向高级管理层和蚤事会报告有关内部审计活动的情况、对审计结果进行后续跟踪的人员。该

词还包括一些头衔，如总审计师、首席内审师和总检查官等。

《职业道谯规范》--国际内部审计师协会（IIA）《职业道德规范》的宗旨是在全球内部审计职业中提倡一

种道德文化。职业道镌规范为于内部审计职业来说是必需的、适当的，它是基于对风险、控制与治理的客观

性保证的信任。《职业道德规范》对提供内部审计服务的个人与实体都适用。

红皮书一词汇表2

­:•合规性一•合理保证符合并遵守机构的政策、计划、程序、法律、规章及合同的能力。

利益冲突--指任何表面上或事实上都不符合机构的最大利益的各种关系。利益冲突会妨害个人客观地履行

其职员。

*咨询服务--提供建区以及相关的客户服务活动，这种服务的性质与范围通过与客户协商确定，它的耳的是

增加价值并提高机构的运作效率。这样的服务包括顾问服务、建议、协调、程序设计及培训等。

红皮书一词汇表3

­:•控制…•是指管理层、委员会及其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性

的行为。管理层计划、组织并指导诸多方案的实施，以合理地保证目标得以实现。

<­控制环境--机构内董事会和管理层对控制的重要性所持的态度及所采取的行动。控制环境为实

现内部控制系统的基本目标提供了规范和框架。控制环境包括以下要素：

（1）诚实性和道德价值观；

（2）经营管理理念和经营风格：

（3）机构结构：

（4）权力的分配和责任的划分：

（5）人力资源政策和惯例；

（6）人员的能力。

红皮书一词汇表4

控制过程-…即控制框架的组成成分，包括政策、程序及控制活动，控制过程的设计旨在保证把风险控制在

风险管理过程规定的风险容忍度之内。

♦审计业务--指一项特定的户部审计工作、任务或评审活动，伊牧1,内部审计、控制自我评价复核、舞弊检

查或咨询。为实现一套特定的相关目标，审计业务可以包括多个任务或活动。

审计业务目标--指由内部审计师通过概括性声明确定的、希望实现的审计业务成果。

审计业务工作方案-一指一份说明开展审计业务时所应遵循的步骤的文件。设计审计业务工作方案的目的是

完成审计业务计划。

红皮书一词汇表5

外部服务提供者--独立于内部审计部门所在机构且在某一-特定学科领域内有专门的知识、技术

与经验的个人或公司。外部服务提供者包括精算师、会计师、评价师、环境专家、舞弊调杳者、

律师、工程师、地理学家、安全问题专家、数据统计师、信息技术专家、外部审计师及其他审计

机构。董事会、高级管理层或审计执行主管可以雇佣外部服务提供者。

。舞弊-一所有具有欺骗、隙瞒或破坏信任特征的非法行为。这些行为不依靠暴力或武力威胁「个人

和机构为获取金钱、财产或服务，避免付费或失去服务，或荻取个人或商业优势都会犯下舞弊罪。

治理程序--机构的投资人代表（例如，股东等）所遵循的程序，旨在对管理层执行的风险和控

制过程加以监督。

❖损害…•对个人的客观性和机构的独立性造成的损害。此类损害包括个人的利益冲突，审计范围的

限制，对资料的接触、人员和财产的制约及资源（资金划拨）的限制。

红皮书一词汇表6

❖内部审计部门--为r增加价值并改善机构的运背而提供独立、客观的保证与咨询服务的部门、处或小组的

顾问或其他从业人员。内部审计部门通过系统化、规范化的方法.对风险管理、控制与治理程序进行评价，

进而提高它们的效果。

❖客观性…•是一种公正的、不偏不倚的态度，它要求内部审计师在执行审计工作时，对他们的工作成果抱有

诚实的信条，不会与任何方面达成重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾

于对审计事务的判断之上。

❖风险--是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。

A.遵守国际内部审计师协会的属性标准

1.明确内部审计的宗旨、权限和职责

♦：*宗旨：内部审计活动所要达到的目标；

。权利：实现内部审计目标的保证；

职贡：内部审计部门和人员需要履行的贡任。

2.保持独立性和客观性

。独立性：独立性可免于重大利益冲突，这种冲突会威胁到客观性.这种对客观性的威胁必须在单个审计师的

层面、业务层面、以及组织层面得到管理。

♦客观性：是一种无偏的心理姿态，它允许（要求〉内部审计师在开展业务时，对他们的工作成果持有诚实的

信念,没有重大的质量妥协,。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。

。内部审计活动应独立他们所审查的活动之外。内部审计活动只有具备应有的独立性才能作出公正的、不偏不

倚的坚定和评价。

独立性要求内部审计活动全过程不受干扰。

2.1独立性的具体表现

个人的独立性

一形式独立性

一实质独立性

♦:♦机构的独立性

2.2如何获得机构的独立性

。最重要和最大的保证来自内部审计章程

内部审计部门应对组织中具有足够权利的领导负贡并报告工作

。内审部门与各治理机构直接沟通信息，并有权出席与其职责有关的各种会议

❖首席审计执行官由董事会一致任免

审计委员会主要由非管理层人员组成。

2.3客观性

客观性对内部审计时的要求：

1、要做到独立判断

2、对他们的工作成果抱有诚实的信条

3、不会与任何方面达成重大的质量妥协

4、不能把对其他事物的判断凌驾于对审计事物的判断之上

5、不应被置于无法做出客观的专业判断的处境中

2.4如何保证客观性：

。内部审计师的指派必须避免利益冲突和偏见

❖内部审计师不应承担经营风险

内部审计师不能履行设计、安装和经营系统的职贡

在审计报告公布之前，必须复核内部审计工作

❖不接受雇员、可户、供应商或者有工作关系人员的酬金或礼物

2.5对独立性或客观性的损害

•:♦偏见

范围限制

。评价以前负责的经营工作

♦:♦借调、临时聘用未隔合理时间等人员参与审计

♦：♦参与审计、安装、程序起草、操作

❖接受相关人员礼金

♦：♦负责可能受审计的经营性工作

2.6减轻对独立性或客观性的损害

♦:♦出现利益冲突时，内部审计师报告首席审计执行官，由其指派审计师。

♦：♦对于审计范围的限制，应以书面形式将受到的限制及潜在的影响报告相关治理机构。

具体情况报告在审计结果报告或工作报告进行披露。

3.具备必要的知识、技能和胜任能力

内部审计师：

。仅应该从事那些其」具备了必耍的知识、技能和经骁的服务；

♦:♦应根据内部审计专业实务标淮开展内部审计服务；

♦：♦应不断提高其服务的熟练性、效率和质量。

3.1熟练性

♦：♦内部审计师应具备履行其职责所需的知识，技能和其他的胜任能力。内部审计活动应在总体上具备或茯取履

行其职责的知识、技能和其他的胜任能力。

❖如果内部审计人员缺乏履行全部或部分业务的知识、技能或其他胜任能力，首席审计执行官应取得胜任的建

议和帮助。

❖应具有充分的知识以识别舞弊的迹象,但不能期望内部审计师具的与专门负责检查和调查舞弊的专家的相同

的能力。

♦:♦应懂得处理人际关系

♦应有熟练的口头和书面沟通技巧

❖应接受后续教育，以保持专业技术的适应性

4.获取外部服务

❖内部审计部门在特殊情况下可以应用外部服务提供者

❖信息技术、税收、翻译等方面的知识

❖土地、艺术品、投资金融工具资产评估

♦:♦开展舞弊和安全调查

。遇到兼并和收购的情况

4.1首席审计执行官在获取外部服务时的有关要求

❖评价外部服务提供者的知识、技能和其他能力

❖评价外部服务提供者的独立性合乎客观性

❖获取关于外部服务的充分信总

♦:♦保证外部服务就工作遵守《标准》的要求

❖适当地报告外部服务

5.运用应有的职业审慎应有的职业审慎性

♦:♦根据审计目标确定审计范围、拟订审计程序

❖充分认识需要提供保证性服务事项的复杂性、重大性和重要性

❖对风险管理、控制和治理程字的充分性和有效性做出判断和建议

❖对严重出错、违规和不守法行为保持警惕

❖考虑潜在利益相对的申il成本

❖应有的职业审慎性不意味着用永不出错。应有的职业审慎性要求审计师在合理程度上开展检查和核证工作，

但不要求对所有交易进行详细检查。相应地，内部审计师不可能绝对保证组织不存在违规或违规。此外，无

论何时开展内部审计工作，审计师都应该考虑存在重大违规或违规现象的可能性（实务公告1220-1）o

6.促进内部审计活动的质量保证与改进

监督质量保证与改进项目的效果：

❖监督

❖内部评价

♦外部评价

6.1内部评价应该包括：

不断对内部审计活动的工作进行复核；

通过自我评估，或由组织中的其他具备内部审计实务知识及了解标注的人进行定期复核：

1.持续的爱核

2.定期的内部兜核

3.沟通结果

6.2外部评价

如质量保证检查，应至少每5年开展一次，由合格的、组织外部的独立检查人员或检查小组来进行。

7.促进内部审计活动的质量保证与改进

❖质量项目的报告

♦:♦依据《标准》开展内部审计后动

❖披露不合规行为

8.遵守和促进对HA《道德规范》的遵守

❖IIA《道德规范》的使用和信守的原则

正直

♦:♦客观

❖保密

❖胜任能力

8.1道德规范

IIA道德规范的宗旨是在全球内部审计职业中倡导一种道德文化.道德规范对以诚信为基础、对风险、控制

和治理进行客观性确认的内部审计职业而占是必要、适当的。道德规范适用于提供内部审计服务的个人和实体。

8.2道德规范

❖目标：促进内部审计职业的道德文化建设。

❖适用性：适用于提供内部审计服务的个人和组织。

♦原则：诚实、客观性、保密性及胜任能力。

8.3道德规范原则

期望内部审计师运用和信守的以下原则：

♦诚实----内部审计师的诚实建立起信用，从而为其判断提供「信任基础。

♦:♦客观性--对于正在检查的活动和程序的信息收集、评价和沟通，内部审计师表现出最高水平的职业客观性。

内部审计师对所有相关的情形会作出均衡的评估，并在形成判断时不因自身利益或他人利益而受到影响。

❖保密性•一内部审计师尊重其所获取的信息的价值和所有权，未经适当的授权不会披露这些信息，除非法律

或职业责任要求他们那样做，

❖胜任能力--内部审计师在开展内部审计服务时要运用所需的知识、技能和经验。

B.以风险为基础制定计划确定内部审计重点

1.标准中界定的风险管理过程的5个目标

♦建立评估风险的框架

应用评估风险的框架

。识别内部审计资源需求

与各方面协调内部审计工作

❖选择审计业务

1.1建立风险评估框架

♦：♦风险的定义

。风险的衡量标准

❖风险的后果

风险管理过程的目标

1.2建立风险评估框架

风险的后果

❖因使用不正确、不及时、不完整、不可靠的资料导致决策错误

❖记录有错误、会计核算资料不真实、不完镇、财务报表有欺骗性行为，以及发生财务损失。

❖资产保护不当

❖客户不满意，组织信誉受损

❖执行组织决策、计划、程序不力，或有违法违规行为

❖不经济地获取或无效地利用资源

没有完成组织的任务和目标

❖找出业务战略与活动领域的风险，并进行优先排序；

❖管理层和委员会已经确定了组织可以接受的风险水平，包拈•为实现组织的战略计划而接受的风险；

❖设计、实施了降低了风险的活动，把风险降低、管理在管理层和董事会可以接受的水平上：

❖开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险：

❖董事会和管理层定期收到风险管理过程的结果报告。组织的公司治理过程应该定期向利益关系方传达风险、

风险战略和控制情况。

1.3.应用风险评估框架

❖风险评估

❖风险评估对审计工作日程安排极为重要

❖通常对高风险的活动优先考虑实施审计

风险评估应该每年进行一次

1.4.应用风险评估框架

♦可审计的活动

❖风险因素

1.5应用风险评估框架

风险评估的步骤

♦:♦挑选出对组织各单位最重要的风险因素

给风险因素逐一评分

❖加总得出“风险分值”

。按各单位的风险值排序

♦:♦许多审计部门运用数字模型进行风险评估

2.风险管理程序的目标

找出风险并优化加以解决

确立组织可以接受的风险水平

❖杷风险降低和控制在可接学•水平

♦：♦定期对风险和控制的有效性进行再评估

审计委员会和管理层定期听取风险管理程序的结果报告

2.1对风险管理的审计

♦内部审计师应该帮助组织发现并评价重要的风险因素，帮助改进风险管理和控制体系

♦内部审计师应检查、评价和报告组织的风险管理程序的充分性和有效性

。如果组织尚未建立风险管理程序，内部审计师应该提请管理层注意这种情况，并提出相关建议

♦：♦内部审计师应评价管理层对风险的接受水平

2.2内部审计师对风险的关注正从控制风险和审计风险改变为关注运营风险

。对运营风险的理解，需要三个标准，即：

1.对组织运营过程的通盘了解：

2.主动的想象力和适用的工具，对风险可能涉及的结果形成意见；

3.一个统一的风险框架或风险模型，以及讨论风险的共同语言

2.3以风险为基础的审计

一个完整的风险管理框架具有『•常重要的意义，因为风险与传统的业务日益相交叉。如果一个组织将职能与

风险独立开来，则它就无法看清整个形势。

❖风险管理：是一个识别和管理所有潜在南大风险的过程，它应该运行于组织的所有结构层次、经营过程和活

动中。理论上讲，运营风险管理过程表现在确认、探究、测评、蓝控等几个方面。

❖运洋风险：是这样•种威胁，即某个事件或行动对组织实现其经营目标或成功实施其战略的能力所产生的负

面影响。这•定义包括这•组织存在受到潜在的消极后果影响的可能性以及错过获取积极成果机会的威胁

2.4风险评估

中风险评估是评价和综合对有关可能的不利情况或事情的专业判断的一个系统过程；是对不确定事

件的可能的重要影响的思考。换言之，“风险评估”是对风险和机会的确认、评定和排列。

•:•风险评估是确认和分析与完成某些特定目标有关的风险。它构成了决定如何管理风险的基础，是

内部控制的职能。因此，目标的确定是风险评估的前提条件。在组织层次上福要考虑的风险有：

外部因素：新科技的发展、竞争对手新的市场策略、不利的法规变动、自然灾害、不利的经济环

境和国外市场；

内部因素：信息处理操作的中断、无效的人员聘用和培训措施：管理责任的变动、防止员二获取

公司资产的控制措施不足、高级管理层或审计委员会的缺乏自信或工作不力。

2.5管理层的风险评估与审计师的风险评估不同

❖管理层的风险评估是内部控制设计和运行的组成部分，是为了减少差错和舞弊：

♦:♦审计师要关注的是管理层风险评估的过程，评估风限会决定审计证据的收集。

♦如果管埋层能有效地评估风险并作出相应反应，审计加通宿会收集较少的i止据。

❖通常，审计师通过确定管理层识别与财务报告有关的风险、评价它们的币:要性、发生的可能性、针对风险需

要采取的行动，以取得对管理层风险评估过程的r解。

3.识别内部资源需求

审计人员的配置

财务预算

4.与以下各方协调审计工作

❖外部审计师

♦:♦法规监督机构

其他内部保证部门（如健康和安全部门）

5.选择审计业务

参与审计业务选择过程

❖选择审计业务

♦：♦与董事会沟通以获得其对•审计业务计划的批准

C.理解内部审计在公司治理中的作用

1.获得董事会对审计章程的批布

2.沟通审计业务计划

3.报告重大审计事项

4.定期向董事会报告主要的审计工作业绩指标

5.讨论重大风险领域

6.支持董事会开展全公司的风险评估

7.检查内部审计机构在组织内风险管理框架中的定位

8.监督遵守公司行为规范和商业惯例情况

9.报告控制框架的有效性

10.协助董事会评估外部审计的独立性

11.评估董事会的道德家围

12.评估组织的道谯氛困

13.评估特定领域遵守政策的情况（如：衍生产品）

14.评估组织向董事会报告的机制

15.对法规监督机构检查结构的落实情况进行跟踪并报告

16.对外部审计的结果进行跟踪并报告

17.评估业绩测评系统的充分性和整体目标的实际情况

18.树立舞弊防范意识，鼓励报告不正当的行为

1.获得董事会对审计章程的批准

获得批准的好处

1.能最大限度地保证内部审计活动的独立性：

2.获得批准的内部审计章程可以评价内部审计工作质量的依据；

3.保证内部审计活动能在章程授权内不受限制的开展工作。

2.沟通审计业务计划

。内部审计机构的工作计划应报高级管理层批准，并报董事会备案；

♦：♦审计业务计划在中期发生重要变化时，应及时沟通：

♦：♦内部审计资源的不足和审计范围的限制应及时向高级管理层和董事会报告。

3.报告重大审计事项

♦处理违章

♦：♦违法

❖差错

♦:♦低效率

。浪费

♦：♦无效

♦：♦利益冲突

♦控制系统的薄弱环节

4.定期向董事会报告主要的审计丁作此绩指标

❖市.要的审计发现和建议

审计工作计划

♦：♦人员计划和财务预算在执行总出现的重要偏差及其原因

5.讨论重大风险领域

报告的重大审计事项包括：

♦：♦处理违章

♦：♦违法

❖差错

♦:♦低效率

♦:♦浪费

无效

❖利益冲突

❖控制系统的薄弱环节

6.支持董事会开展全公司的风险评估

衡量风险的标准是后果和可能性

降低风险是内部审计的目标之一

风险评估是指定内部审计计划、安排审计工作的基础。

7.内部审计机构在组织内风险管理框架中的定位

内部审计师可以促进、协助风险管理过程的建立，但不负担风险管理的责任。

4-对组织的风险管理流程进行评估并做出书面报告，一般具有较高的审计优先顺序。

❖CAE应当理解管理层和董事会对内部审计活动在本组织的风险管理流程中的预期。

❖内部审计机构应当定期评价并协助董事会、管理测和其他部门进行风险管理“

8.监督遵守公司行为规范和商业惯例情况

相关的审计工作应当包括

❖组织是否建立了关于行为规范和商业管理的道德规范

♦：♦组织是否保证员工已经阅读、理解并遵守了公司的行为规范和商业惯例

♦组织是否采取合理措施促进行为规范和商业管理的遵守

♦组织高层的人员如何负责监督对行为规范和商业惯例的遵守情况

♦公司行为规范和商业惯例是否得到确实遵守

9.报告控制框架的有效性

对控制框架的有效性进行评价

♦:♦评价的内容和范围

♦：♦评价的标准

。评价的程序

♦:♦评价结果报告的接受对象

内部审计师应当定期向管理层和审计委员会提供总体运营和遵循政策和流程情况的评估

10.协助董事会评估外部审计的独立性

对外部审计师独立性的评价内容

♦本人或其家庭成员是否对本组织进行投资

本人或其家庭成员是否和本组织之间有无雇佣关系

♦是否提供可能影响独立性的作审计业务

外部审计师可以提供任何内部审计服务或与内部会计控制、财务系统或与财务报表无关的操作性内部审计服

务

11.评估董事会的道德氛围

董事会是否倡导并建立道德文化

道德文化是否有清晰的道第规范和符合实际

董事会执行道德文化情况及效果如何

是否定期对近事会道德氛围进行检查和评估

12.评估组织的道德氛围

组织良好道德文化的主要特征：

♦：♦有清晰易懂的道德规范及相关的说明：

。由有影响力的领导经常宣传鼓励员工成为良好道德文化的执行者；

♦：♦有支持并加强道德文化的具体措施：

有保护检举人的举报制度；

*有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度：

设有接受举报的机构，以保证检举得到评价：

有道德文化宣传教育机制，使员工都能成为良好道德文化的倡导者；

♦：♦定期对雇员、供应商和顾客的道德状况进行调查：

。定期检查组织道德文化可能受到的损害；

。把背景调查和诚信测试作为招聘员工的一个内容。

13.评估特定领域遵守政策的情况（如：衍生产品）

管理层有没有建立监督执法系统：

♦:♦评估这些系统是否恰当、有效；

♦：♦检查在业务活动中是否遵守了有关政策、计划、1程序、法律和规定。

14.评估组织向董事会报告的机制

♦：♦是否建立了相关的报告机制

报告机制是否充分而有效，能否满足组织的镭要

。评价报告机制的实际运转情况和效果

15.对法规监督机构检查结构的落实情况进行跟踪并报告

建立相关的跟踪、监测和报告•制度

♦:♦保证有关纠正行动得到开展

♦:♦评价检查结果的效果

16.对外部审计的结果进行跟踪并报告

将审计发现和审计建议向负责采取纠正性措施的恰当管理层报告

♦接受并评价管理层对审计发现和审计建议的反应

♦:♦收集管理层对审计发现和审计建议反应的最新信息

接收并评价来自组织内部负贲采取跟踪或纠正性措施的其他部门的信息

向高级管理层或董事会报告对审计发现和审计建议反应情况

17.评估业绩测评系统的充分性和整体目标的实际情况

组织是否建立了业绩测评系统

♦:♦评价业绩测评系统的科学性、合理性和可操作性

确定业绩测评系统是否有效运行

18.树立舞弊防范意识，鼓励报告不正当的行为

♦:♦评估组织中相关控制的充分性和有效性

应具有足够的舞弊知识和识别舞弊的能力

。保持足够的审计职业审慎

♦:♦倡导组织内良好的道德文化

D.执行其他内部审计任务和职责

道德规范

风险管理

保密

♦:♦信息或物理安全

1.道德规范

上市公司治理和内部控制的要求（萨奥法案有关条款）

NO.806：“对提供舞弊欺诈证据的上市公司雇员的保护”

❖NO.304：“某些挈金和利润的剥夺"

NO.306：“养老基金管制期间的内部人交易”

报告合归情况（萨奥法案）

NO.402:“强化的利益冲突务款”

NO.403：“对管理层和主要持股人所参与交易的披露"

NO.406：“高级财务官员道德规范"

先进道德文化的主要特征

♦:♦清晰、便于理解、止式的道德规范

♦:♦清晰的战略

♦:♦明确的责任授权

。方便的学习机会

积极的人事实务

*定期审查或调查

2.风险管理

♦：♦风险管理(RiskManagement)•种设计的旨在确认、管理和控刖潜在事件的流程，用于对组织的目标的实

现提供合理的保证。

治理过程(GovernanceProcess)：组织的利益相关人代表(如,股东等)所利用的程序，用于对管理层

管理的风险和控制过程进行监督。

♦：♦初步的风险评估：在业务计划期间所开展的风险评估，旨在确立业务的范围和目标。

♦：♦剩余风险：在管理层采取措施减少不利事件可能性和影响(包括响应风险的控制活动)后所保留的风险。

风险：某个事件发生的不确定性，它可能影响到目标的完成。风险根据影响和可能性来衡量。

。不可接受的剩余风险：在投制活动没有充分设计、没有适当实施时，或是将风险减小到一个可以接受的水

平无效时，就会存在这种风险。

3.保密

确定保密的薄弱环节

报告合归情况

内部审计师尊重其收到信息的价值和所有权

4.信息或物理安全

安全的薄弱环节：

1.系统弱点

2.安全漏洞

3.实施缺陷

对安全薄弱环节的评估：

。分析资产系统

❖定义薄弱环节

提供薄弱环节评估报告

报告合规情况：

♦：♦定期评价本组织的信息或物理安全实务

。提出改进意见和实施建议

提交信息或物理安全保证报告

♦:♦评价遵守法规、法律有关隐私的规定

E.治理、风险和控制知识要点

♦：♦治理

控制框架

小风险的词汇和概念

❖风险管理技术

❖不同组织结构中的风险/控制内容

不同领导风格卜的风险/控制内容

❖变革管理

♦:♦冲突管理

❖管理控制技术

控制类型

1.可选择的公司治理模型

公司治理的概念

公司治理机制

1.1公司治理的概念

公司治理：指用于决定和控制一个组织的战略方向和业绩表现的各种利益相关者之间的关系。它也可以看作

是企业针对所有者和经营者之间可能出现的利益冲突而建立的一种秩序或规则。

L2公司治理机制

内部治理机制

1.所有权集中：个人股东和机构投资者所占股份的相对比例关系。

2.董事会：由代表公司所有者监督高层经理战略决策的个人组成的机关。

3.执行官报册：以工资、奖金和其他长期激励手段达到使经理人和股东利益一致化的目的。

4.多部门组织结构：产生独立的业务分支来密切监控高层经理的战略、

❖外部治理机制

公司治理市场，对业绩地域同行业竞争对手的企业的收购，以提高其战斗力

2.可选择的控制框架

内部控制的概念

♦：♦内部控制框架

❖内部控制过程中各种有关角色的作用

2.1内部控制的概念

内部控制：管理层、审计委员会及其其他各方进行的、旨在加强风险管理、增大实现既定目标的可能性的行

为。管理层计划、组织并指导诸多方案的实施，以合理地保证目标得以实现。

♦：♦内部控制石组织的内部活动，通过组织制度、组织机构和组织指令或程序来完成。

❖组织存在的意义在于•它具有与众不同的特定口标。

。组织的活动不能必然保证组织目标的实现。

2.2内部控制框架COSO模型

对内部控制概念的理解：

内部控制曷一个过程，星实现目标的手段,而不杲结果本身

内部控制受到组织内各层次人员的影响，而不仅是简单地制定出一本制度手册或规章

对管理层或董事会来说，内部控制提供的只是合理的保证，而不是绝对的保证

内部控制的目的在于实现组织•个或几个目标

COSO模型

内部控制的目的是保证实现以下目标：

运营的效果和效率

资产的安全防护

♦财务报告的可靠性

遵守适用的法律和法规

内部控制主要由以下五个部分组成：

。控制环境

♦:♦风险评价

。控制活动

信息和沟通

监督

控制环境

♦:♦控制环境体现并影响着组织文化。它是内部控制其他几个组成部分的基础。

♦:♦控制环境包括下列要素：

诚实和道德价值；

管理的哲学和经营风格；

组织架构；

权利和责任的分配：

人力资源政策和实践：

员工的胜任能力。

2.3内部控制过程中各有关角色的作用

董事会的主要任务是建立并维护组织的治理程序，并获取关于风险管理和控制过程有效性的保证。

♦高级管理层负责监督风险管理和控制过程的建立、管理和评价。

操作部门的管理人员为整个坦织风险管理和控制过程的有效性提供各种程度的保证。

。机构管理人员的主要责任是评价所在领域的控制过程。

。首席审计执行官应将关于组织控制制度的总统判断意见向组织管理成和审计委员会报告。应为下年制定审

计计划草案，保证获取充分证据，对控制过程的有效性进行评价。

♦：♦内部审计师应该及时将审计发现向恰当层次的管理人员通报。

♦：♦

3.风险的词汇和概念

♦:♦风险的概念

风险的种类

3.1风险的概念

♦：♦风险：指可能对目标的实现南生影响的事件发生的不确定性。风险衡量标准是后果与可能性。在经营管理

中，风险常常被定义为生产运营的弊端、失误或失败带来组织微机的可能性。

3.2风险的种类

斗行业风险

组织风险

♦:♦沟通风险

♦：♦系统风险

♦：♦非系统风险

4.风险管理技术

♦：♦风险管理的概念

风险管理技术

4.1风险管理的概念

♦：♦风险管理：一种设计的旨在确认、管理和控制潜在事件的流程，用于对组织的目标的实现提供合理的保证。

4.2风险管理技术

❖远期

♦:♦期优

❖期权

立换合约

。通过多样化的投资组合降低乃至消除非系统风险

♦:♦转移系统风险

将风险资产进行对冲

♦:♦购买损失保险

5.不同组织结构中的风险/控制内容

♦：♦组织结构的一般概念

组织内部的部门化

*组织结构的类型

5.1不同组织结构中的风险/控制内容

组织结构是指组织内部的机构设置、职责与权限划分、责任机制、信息传递方式和相应的人员配备。决定组

织结构的主耍因素包括组织内部分工、部门设置、管理层级与跨度和责任与权限。

♦管理层级是指组织中各指挥级别，一般可划分为高级管理、中层管理和基础管理。

♦管理跨度是指某一管理者或管理层直接指挥的下属人员或部门的数量。它决定于管理者的能力、偏好和组织

特征。

5.2组织内部的部门化

。职能部门化

产品一服务部门化

按地区划分部门化

♦:♦按顾客类型划分部门化

5.3组织结构的类型

机械式

1.职能型结构

2.分部型结构

有机式

1.简单结构

2.矩阵结构

3.网络结构

。有机的附加结构

1.任务小组结构

2.委员会结构

5.3组织结构的类型

♦:♦机械制组织——职能型结构;分部型结构

有机式组织一简单结构/矩阵结构/网络结构

有机的附加结构一任务小组（临时性结构完成特定复杂任务）、委员会结构（跨职能界限处理问题，协调

活动，监控项目）

5.3组织结构的类型

组织结构的权变因素：

♦战略与结构要求匹配。探索者战略采取有机式组织结构；防御式战略采取机械化组织结构。

❖规模与结构。大型组织更倾向子采用高程度的专业化和横向及纵向分化，即更可能采取机械化组织结构。

❖技术与结构。技术越常规，结构越标准化。技术越飞常规结构就越会式有机式的。

❖环境与结构。稳定的环境，采用机械式组织结构，动态的、不确定的环境可能采取有机式组织结构。

6.不同领导风格下的风险/控制内容

领导风格：一个组织中管理者对经营管理工作的态度和处理事情的才惯做法。

1、自由放任式（适合成员责任感强、专业技能强的组织）

2、民主化（适用任务复杂、成员专业能力强的情况，有利丁•发挥专业优势，统一意见）

3、结构化——集权式、程序化/追求管理和决策的稳定依赖规章制度/适用稳定的组织按部就班的领导

4、体贴式——关怀，人本注意，温情管理;适用于士气不振，环境且杂不利，目标难以实现

5、任务驱动型——着重考虑分解和落实/权威式命令指挥/任务明确，组织稳定，内部关系清晰

6、关系驱动型一着重理顺组织关系、沟通、协调/技术性强、专业人士多、人际复杂。需要较强的协调能力

7.变革管理

。流程再造

♦：♦变革的类型

*阻碍变革的原因

♦推动变革的手•段

7.1变革的类型

。结构变革一改变组织的复杂性、正规化、集权化程度、职务再设计

♦:♦技术变革一改变工作过程、所使用的方法和设备

♦：♦人员变革一改变员工的工作态度、期望、认知和行为

组织文化变革

7.2阻碍变革的原因

❖不确定性

❖关心个人得失

变革不符合组织的口标或最佳利益

7.3推动变革的手段

❖教育和沟通

♦鼓励参与

♦推动支持

♦:♦谈判和协商

♦:♦操纵与合作

♦：♦公开和私下强制性措施

❖8.冲突管理

♦:♦由于某种抵触或对立状态而感知到的不一致的屋异。只要人们感觉到差异的存在，则冲突就存在。

❖8.1冲突处理技能

冲突产生原因

♦:♦沟通差异

结构差异

。人格差异

❖8.2冲突处理方式

冲突处理：

回避

迁就

♦:♦强制

妥协

+合作

♦8.3激发冲突的技术

改变组织文化

运用沟通

引进外人

重新构建组织

♦:♦任命一吹毛求疵者

9.管理控制技术

♦:♦预算

♦成本控制

库存控制

♦：*项目控制

。财务控制

其他控制工具

9.1预算

增量预算

♦：♦弹性预算

。零基预算

♦:♦滚动预算

9.2成本控制

目标成本法

发生在某一特定产品上，而仍能够使企业获得其所要求的边际利润的成本。

。作业成本法（ABC法）

它以成本动因来决定间接成本的数目何每一间接成本库的最佳分配基础。

9.3库存控制

经济订货批量模型（EQR）

外在涉及订货于保管问题的四种成木，即采购成木.订货成木.保管成木及缺货成木中寻求一种平衡.

EQR模型的目标是使订货成本和保管成本之和为最小。

9.4项目控制

项目控制内容

。时间控制

成本控制

♦质量控制

项目控制工具

♦:♦甘特图

❖负荷图

。计划评审技术

关键路径法

9.5其他控制工具

♦:♦流程图：一种在进行初步调查、理解组织内部控制及进行习题开发时非常有用的工具。

♦：♦因果分析法：运用鱼骨图来确定问题产生原因。

❖帕雷托分析法，基于20/80规则进行分析，以柱形图来表示在一定期间发生的频率“

♦统计质量控制技术：实际发生与计划相比较的一种图形表示法。

直方图：记录某种现象发生频率的分布图。

。相关分析：一种测量两个或两个以上变量之间线性关系强弱的方法。

10.控制类型

❖前馈控制

如I：质量控制培训项目、预测预算、实时的计算机系统

❖同期控制

如：监督视察

♦：♦后馈控制

如：客户回访.、对完工产品进行检查、差异分析、评估客户投诉、监督产品退I可情况等

按功能进行分类

。预防性控制

♦：♦检查性控制

❖纠正性控制

♦：♦指导性控制

。补偿性控制

F.计划审计业务

♦开展与业务委托人的初步沟通

❖对审计业务范围实施初步调查

♦：♦完成相关领域的详细风险评怙

❖与各方面协调审计业务工作

♦建立/完善审计业务的目标，识别/确定审计业务的范围

❖识别或开发保证业务的标准

❖在计划审计业务时考虑舞弊的潜在可能

❖确定审计业务步骤

❖确定审计业务所需的人员水平和资源

❖建立对审计业务充分的计划和监督

❖编制审计业务工作程序

1.开展与业务委托人的初步沟通

♦:♦审计工作计划的内容：

开展与审计客户的初步沟通

在审计业务范国内实施初步调查

♦对审计业务相关的领域进行详细的风险评估

确定审计业务步骤

确定审计业务所需的人员水平和资源

制定审计工作方案

与业务委托他进行初步沟通包括：

♦:♦沟通审计工作计划

。讨论审计的目标和审计方式

要求业务委托人报送与审计业务相关的文件资料

其他沟通

2.对审计业务范围实施初步调查

初步调查

开始审计工作

实地观察

。研究资料

书面描述

分析性审计程序（重点掌握内容及运用）

♦初步调查阶段可采用调查程序和分析性复核

调查活动包括：

❖与被审计单位开展讨论

.：.与受审实现影响的个人进行面谈

❖进行现场观察

❖审核管理层的研究工作报告

❖分析性复核

❖绘制流程图

♦:♦“穿行测试”

♦:♦记录关键控制活动

❖从业务委托人处获得信息

+进行分析性复核

❖进行基准比较

♦实施面谈

♦:♦查阅以前的审计报告和其他相关资料

❖绘制流程图

❖编制捡查清单

3.完成相关领域的详细风险评估

郎在制定审计业务计划时,内部审计•师应确认并评估被由il•活动相关的风险。审计业务工作的目标应该殳应风

险评价的结果。

4.与各方面协调审计业务工作

1•内外审计工作应相互协调以确保充分的审计范围，最大限度地减少雨:复工作

。对外部审计师的工作，包括与内部审计工作协调的监督，通常是莹事会的责任。实际的协调工作应该由首席

审计执行官负贡。

1•首席审计执行官应确保内部审计人员遵循《标准》2100所开展的工作，没有玳豆外部审计人员的工作。

1•在外部审计人员进行年度财务报表审计时，首席审计执行官可同意为其做一些工作。

<•首席审计执行宜应经常评估内务部审计人员之间的工作协调情况。

。董事会在行驶监督职能时，可要求首席审计执行官评价外部审计师的工作情况。

。首席审计执行官应向高级管理层和董事会回报对内外部审计师工作协调情况的评估结果。

。外部审计师要保证向董事会通报特定事项，首席审计执行官应就这些事项与外部审计师交流。

。审计工作的协调包括定期召开会议商讨双方共同光线的事项、审计范围、互相接触审计方案和工作底稿、交

换审计报告和管理建议书、对审计技巧方法及术语的共识。

5.建立/完善审计业务的目标，识别/确定审计业务的范围

审计目标师内部审计师做出的、确定审计业务希望实现的内容的概要声明。审计程序师是实现审计目标的手

段。审计目标和审计程序的结合决定了内部审计师的工作范围。

。审计目标和程序应该针对•被审计活动的风险。

。确保审计目标的实现是首席审计执行官的