内部审计理论与实践汇总

1、.,内部审计理论与实务讲座,.,陈艳娇，南京审计学院审计与会计学院内部审计系主任，博士， 副教授，硕导，CIA。 中国内部审计协会培训教师，内部审计 和 内部控制课程组负责人，IAEP（国际内部审计协会 IIA 内部审计教育合作伙伴项目）南审项目组负责人，承担着中国内审 协会内审发展研究 中心工作， 国际内部审计师协会（IIA）会员， 中国审计学会会员，江苏审计学会会员， 国际信息系统审计师协 会 （ISACA） 会员，中国农村金融与投资中心特聘研究员、 “国 家 益贫政策” 亚太区域合作项目国家级顾问专家小组成员，农业 部农垦局项目评审专家组成员，国家卫计委审计专家组成员。在 审计研究等专业

2、期刊上发表 论文40余篇，主持审计署、农业 部、卫生部、企业集团等多项内部审计与内部控制课题的研究。 联系电话邮箱:32115075 QQ群号：232778362,.,讲座内容,内部审计面临的困境与其症结 基于新视角对内部审计定义的重释 现代内部审计的发展趋势 增值型内部审计的内涵及其理解 内部审计的机构设置 内部审计人员 内部审计业务类型 内部审计实战技巧 内部审计人际关系的沟通,.,（一）内部审计职业界面临的种种批评 （二）内审实务工作中的困境 （三）内审人员在工作中应注意的问题或应避免的误区,内部审计面临的困境与其症结,.,基于新视角对内部审计定义的重释,.,2

3、004年IIA颁布的审计准则指出: “是一种独立、客观的确认和咨询活动， 旨在增加价值和改善组织的运营。它通过应用 系统的、规范的方法，评价并改善风险管理、 控制和治理过程的效果，帮助组织实现其目标。”,.,2009年1月，IIA颁布了国际内部审计专业实务框架即“International Professional Practices Framework（IPPF）”，于2009年1月1日生效； 从“应该”到“必须”的改变规定了对审计行为的要求。,.,.,CIIA内部审计准则体系 第1101号内部审计基本准则 第1102号内部审计人员职业道德规范 第2101号内部审计具体准则审计计划 第210

4、2号内部审计具体准则审计通知书 第2103号内部审计具体准则审计证据 第2104号内部审计具体准则审计工作底稿 第2105号内部审计具体准则结果沟通 第2106号内部审计具体准则审计报告 第2107号内部审计具体准则后续审计 第2108号内部审计具体准则审计抽样 第2109号内部审计具体准则分析程序,作业类准则9,.,第2201号内部审计具体准则内部控制审计 第2202号内部审计具体准则绩效审计 第2203号内部审计具体准则信息系统审计 第2204号内部审计具体准则舞弊的预防、检查与报告 第2301号内部审计具体准则内部审计机构的管理 第2302号内部审计具体准则与董事会或最高管理层的关系 第

5、2303号内部审计具体准则内部审计与外部审计的协调 第2304号内部审计具体准则利用外部专家服务 第2305号内部审计具体准则人际关系 第2306号内部审计具体准则内部审计质量控制 第2307号内部审计具体准则评价外部审计工作质量,业务类准则4,管理类准则7,.,第3101号内部审计实务指南审计报告 第3201号内部审计实务指南建设项目内部审计 第3202号内部审计实务指南物资采购审计 第3203号内部审计实务指南高校内部审计 第3204号内部审计实务指南企业内部经济责任审计,.,2013年CIIA内部审计的新定义（第1101号）： 本准则所称内部审计，是一种独立、客观的确认和咨询活动，它通过

6、运作规范的程序和方法，审查和评价组织业务活动及其内部控制、风险管理的适当性、合法性和有效性，促进组织改善治理和管理，帮助组织增加价值，实现其目标。,2003年的CIIA内部审计定义： 是指组织内部的一种独立客观的监督和评价活动， 它通过审查和评价经营活动及内部控制的适当性、 合法性和有效性来促进组织目标的实现。,.,新旧定义对比,独立性重要属性， 是内审准则的基础。 对该属性的强调有可能导致什么结果？,.,新定义初稿只有“客观”一词， 而没有“独立”这个词， 这样又有可能导致何结果？,新定义将独立性和客观性均加上。 但反映了一个问题： 我们无法在严格意义上保持独立性。 我们该怎么做？,.,管理

7、层通过内部审计师开展的评估工作 究竟得到了什么回报？,您认为确认和咨询的区别是什么？,.,“检查和评估”是狭义、有重点的。 “增值和改善”是广义的。 为什么要改？,.,关注焦点从微观层次转向了宏观层次。,分析：内审不仅是看日常经营的具体细节，还要关注机构的战略方向。在有的放矢时向管理部门提出战略建议，同时规划内审自己的业务、协助管理部门达到他们期望的目标（而不仅仅是评估已存在的事物）。,.,如何理解？,.,旧定义将内审业务局限于控制范围，而所谓的控制一般仅限于诸如职责分工、授权和调节等有形的控制活动。而且其前提是控制必须具有成本效益。,为什么新定义拓展了业务范围？,.,内审在风险管理中起何作用

8、？,.,内部审计在企业全面风险管理中的确认作用,检查主要风险的管理,评价对主要风险的报告,评价风险管理过程,为风险评估的准确性提供确认,为风险管理过程提供确认,确认作用,.,内部审计在企业全面风险管理中的咨询作用,制定风险管理战略提交董事会审批,倡导企业风险管理的建立,维护和发展风险管理框架,合并风险管理报告,协调企业全面风险管理工作,指导管理层如何应对风险,推动风险的识别和评估,咨询作用,.,现代内部审计的发展趋势,.,角度一：内审环境、目标、服务对象方面 1、环境：较为完善的公司治理结构 2、目标：内部审计增值目标 3、服务对象：所有利益相关者 4、态度： 被审计单位：从被迫到自愿 审计人

9、员：服务导向,.,角度二：内部审计机构、人员方面,1、较为完善的内部审计组织架构，审计职能组织集中化管理； 2、持续的内部审计人力资源建设 3、通过内部审计机制培养企业经理。,如何衡量完善的内部审计组织架构？,为什么内审人员在众多公司被作为领导人的培养基地？,.,角度三：内部审计内容,1、由合规导向型向管理导向型转变，财务审计是基础； 2、关注内部控制审计、风险管理审计、治理程序审计是未来内部审计的重点； 3、确认和咨询共存；增值目标定位下的咨询功能将会越来越受到内部审计师的青睐； 4、关注战略层面、职能部门衔接和系统重新设计等问题。,.,角度四、工作方式方法和技术方面,将面临重大变革与挑战。

10、 其出发点：其减少时间，提升效率。 1、从评价到预测（从事后向事前）; 2、风险导向； 3、诊断式审查和例外分析作为竞争优势得到保留 ； 4、自我评估方法的使用； 5、规范的审计程序；,.,7、审计工作方法标准化； 8、先进审计技术手段的应用，关注远程监控。 9、关注大数据背景下的内审工作开展 10、参与式审计（协商）； 11、面向接受者的沟通方式； 12、合作外包。 13、加强宣传、关注经验交流。,.,（一）IPPF中的增值规定,2000内部审计活动的管理 首席审计执行官必须有效地管理内部审计活动，确保为组织增加价值。 2010计划： 2010.C1-首席审计执行官在考虑是否接受拟开展的咨询

11、业务时， 应当考虑该业务在改善风险管理、增加价值、改善组织运营方面的潜在作用。已经接受的咨询业务必须纳入计划。,增值型内部审计的内涵及其理解,.,IPPF词汇表： 1、增加价值：内部审计通过确认和咨询服务，增加组织实现既定目标的机会，确认运营的改进，并/或降低风险暴露的程度，从而为组织创造价值。 2、咨询服务：指咨询及相关的客户服务活动，其性质和范围需要与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。,（一）IPPF中的增值规定,.,IPPF实务公告： 实务公告1300-质量保证与改进程序 使

12、利益相关方认为内部审计工作可以增加价值，并改善组织的运营状况。 实务公告 1310-1 质量保证与改进程序的要求 评估是评价内部审计工作的质量，并得出结论，同时提出适当的改进建议。质量保证与改进程序包括对一下项目的评估：内部审计工作为组织增加价值、改善组织运营的程度。,（一）IPPF中的增值规定,.,我们的理解：增值型内部审计定义： 以提高组织运作效率和增加机构价值为目的，利用内部审计特殊的地位、资源和方法，在提高自身效率的同时，向客户提供在变化的新环境下不断增值的新型内部审计。,思考：增值型内审与传统的内审相比有何不同？,.,（三）衡量增值型内部审计的模型构建,内部审计增值如何衡量？ 您的答

13、案？,.,内部审计的机构设置,.,内审机构隶属关系,.,设 在 决 策 层,设 在 监 督 层,设在执行层,总 经 理 领 导 下,财务 副总 经理 或总 会计 师领 导下,与纪 检 监察 部门 合署 办公,单一领导模式,双重领导模式,董事会下设审计委员 会,在企业行政系统 经营管理系统设置 内审机构,我国内部审计机构的设置,.,集团公司系统内内部审计模式,课题组重点选择了11 家国内大型集团公司和2家银行进行现场跟踪调查。 调查的主要方式访谈和座谈。,.,国有大型企业集团内部审计模式五种类型,分级管理模式 垂直管理模式 分级管理与垂直管理相结合模式 垂直管理与分级管理相结合模式 集中管理与分

14、级管理相结合模式,.,分级管理模式,上 级 审 计 机 构,集团各管理层级,本层内审机构,一定的业务指导,根据自身 需要确定 机构设立 及内审 业务类型,管理 内审业务、 人事、 行政、 经费等,对本 管理层 负责,.,分级管理模式,优点： 内部审计部门有较好的适应性、灵活性和针对性。,缺点： 独立性较弱； 有背离集团总体发展目标和管理要求的可能性。,.,垂直管理模式,总部设置内审机构,（各层级下属单位不再设内审机构）,总部分区的派驻机构 （审计本区域范围内的所有单位）,设立,管理人事、行政、经费及审计业务,.,垂直管理模式,完全独立于审计对象。这种审计体制的主要特征是“上审下”。 难以最大限

15、度地发挥内部审计增值功能？,适合的企业类型？,., 垂直管理与分级管理相结合体制,（各层级根据需要设立内审机构）,总部内审机构,总部分区的派驻机构,下属单位,设置,项目审计,统筹 年度 审计 计划,., 垂直管理与分级管理相结合体制,这种体制主要特征是“上审下”和“同级审”并存。 在这种体制下，审计管辖范围分工的基本原则是“谁投资，谁审计”，“谁任命，谁审计”。 相对来说，这种审计模式是最优模式。,制度设计,需要思考的问题？,.,分级管理与垂直管理相结合模式,总部内审机构,二级单位内审机构 （审计重心在二级）,不垂直管理，项目审计,本级管理层,向其负责,在三级单位 派驻审计机构,在三级单位 设

16、审计联络员,.,分级管理与垂直管理相结合模式,优点： 通过二级企业的派驻制，弥补三级企业内审力量的不足； 内部审计更具系统性、完整性，审计资源得到合理的整合与统筹； 体现内审独立性的要求。,缺点： 有抵触情绪，不配合的可能性也比较大； 审计成本会提高，审计效率会降低。,.,集中管理与分级管理相结合模式,上级审计机构,下级审计机构,较强力度的 业务指导,统筹管理 下级的审计计划， 统筹调配审计资源,.,集中管理与分级管理相结合模式,独立性依然难以得到很好的体现； 一定程度上能够补充第一种模式的不足。,.,1、内部审计组织是否存在，以何种方式存在，应视企业属性和规模大小而定。 2、所有者控制机制不

17、同的企业，其内部审计机构的类型也有所不同。 3、不同组织中，委托人和代理人追求的目标不同，他们的内部审计工作的侧重点也有所不同，其设置内部审计机构的方式也有所不同。,借鉴与启示,.,产业竞争环境、企业发展阶段、人力资源素质、经济技术能力、企业文化的不同，其内部审计活动目标是不同的； 目标的变化又决定了内部审计活动边界的动态调整； 影响着整个企业内部审计体制的变迁。 绝不能丢弃有效性原则。,.,企业内部审计发展不同阶段的思考,.,0-2年初创期；3-5年发展期；5年以上成熟期 1、主要解决的问题是什么？ 2、架构设置和人员素质问题？ 3、开展业务类型？ 4、注意事项？,内审部发展不同阶段 ，您会

18、考虑哪些问题？,.,内部审计人员,.,专业能力是知识、技能和其他能力的集合术语。 专业基础方面： 经济学、会计学、管理学、审计学 公司治理、战略管理、财务管理、风险管理 预算管理、法律法规、专业准则,内审人才的专业能力,.,专业技能方面： 政策研究、审计取证、专业判断 统计抽样、内控评价、资料汇总 归纳提炼、分析评价、计算机应用,.,行为技能方面： 职业道德、乐于学习、进取奉献 与人沟通、适应环境、承受压力 组织协调、工作有序,.,胜任的内部审计师所需的职业特质,胜任的内部审计师所具有的共同职业特质包括： 1、独立 2、客观 3、诚信 4、激情 5、好奇 6、坚定 7、主动 8、敏感 9、审慎

19、,.,首席审计执行官,审计署16日就内部审计工作规定（征求意见稿）向社会公开征求意见。征求意见稿规定，大型国有和国有资本占控股地位或者主导地位的企业，或者有关规定对设立首席审计官有明确要求的企业，应设置首席审计官。 并明确首席审计官应作为企业的高级管理人员，协助高级管理层主要负责人分管企业内部审计工作，向董事会和高级管理层主要负责人负责并报告工作，对内部审计的整体质量负责。,.,未来内部审计人员的职责,2009年IIA全球审计信息网络调查结果表明，认为内部审计人员的职责应该是）： 调查人员（45%），指导顾问（58%），咨询专家（46%），管理层的有益助手（38%）；其他人士（32%）。 未来

20、内部审计师必须具备哪些素质？,.,1、多面手。拥有大局观，对整个组织的价值具有前瞻性考虑。 2、置身其中。要参与和了解公司各项业务，发现问题及时提出解决措施，不搞秋后算账。 3、精通技术。应用专业技术知识来预防和减少公司的风险，改进治理过程和提高效率。 4、顾问。提供保证、培训和咨询服务。 5、领导人。在风险控制和改进组织的效果方面发挥领导作用。,.,内部审计实战技巧,.,问题：多一些计划，少一些审计 在一些大型欧美企业，内审部门的计划工作占总体工作的60-70%。,编制前调研,风险评估,确定审计重点,编制年度审计计划,编制临时计划,项目确定重点,项目编制审计方案,项目确定审计方法,有针对性的

21、培训,值得探讨的问题之一：审计计划,.,（一）内部审计计划的层次 1、内部审计计划：是指审计机构和人员为完成内部审计业务，达到预期审计目的，对一段时期的内部审计工作任务或具体审计项目做出的事先规划。 2、内部审计计划的层次性： （1）年度审计计划：是对年度的内部审计任务所作的事先规划，是组织年度工作计划的重要组成部分。 （2）项目审计计划：是对具体内部审计项目实施的全过程所作的综合安排。,.,（二）项目来源,年度审计计划,临时指派任务,其他部门或单位提请,常规确认项目,简易确认项目,咨询项目,项目综合评估,立项（进入具体化规程）,.,（三）年度审计计划制定方法及考虑因素 （理论层面的要求）,I

22、IA的IPPF,CIIA的准则,教材中规定,方法：应基于风险为基础编制 年度审计计划,.,内部审计应以风险为基础制定计划 制定审计计划时，要考虑组织的风险管理框架，包括管理层针对不同的业务或部门确定的风险偏好水平，以确定与组织目标相一致的内部审计活动重点。,思考：您单位如何制定年度审计计划的？,.,值得探讨的问题之二：审计报告的撰写,.,一、审计报告的定义,审计报告是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后，就被审计事项作出审计结论，提出审计意见和审计建议的书面文件（第2106号内审具体准则） 审计人员应当在审计实施结束后，以经过核实的审计证据为依据，形成审计结论、意义和建议

23、，出具审计报告。,.,（一）实事求是、不偏不倚地反映被审计事项的事实； （二 ） 要素齐全、格式规范，完整反映审计中发现的重要问题 ； （三） 逻辑清晰、用词准确、简明扼要、易于理解； （四）充分考虑审计项目的重要性和风险水平，对于重要事项应当重点说明； （五）针对被审计单位业务活动、内部控制和风险管理中存在的主要问题或者缺陷提出可行的改进建议，以促进组织实现目标。,二、审计报告撰写要求,.,（一）应该怎样撰写审计报告 ？,审计报告是审计人员和审计工作的产品!,用何心态推销审计报告？,你的产品有人需要吗？,你的报告阅读者需要什么样的产品？,审计报告需要包装吗？,四、结合实务对撰写审计报告的分析

24、,.,（三）审计发现,1、审计发现的要素 目前的状况 Condition 判断的标准 Criteria 此例外产生的原因Cause 例外产生的负面影响评估Impact,.,（四）审计建议,1、审计建议需要是正确的，不能胡编乱造。,2、问题与建议的相关性。,3、审计建议需要与主题相关。,4、审计建议需要有实际可操作性,5、审计建议质量不高,.,1、内审独立性和权威性差怎么办？ 2、公司内部信息闭塞，内审成了盲聋人，怎么办？ 3、挑战与薪酬待遇不成比例，流动率高，怎么办？ 4、沟通不畅，沟通压力大，怎么办？ 5、不懂业务怎么办？,三、如何改善其他困境,.,目录,第一部分 内控审计定义及其相关概念辨

25、析 第二部分 内控审计开展的必要性 第三部分 国内外内部控制相关规定 第四部分 内控审计开展的内容及所关注的风险基于理论研究视角 第五部分 基于外审的内部控制审计报告的分析实践视角的分析,.,一、什么是内部控制 （2008年6月28日我国企业内部控制基本规范第三条）,第一部分 内控审计定义及其相关概念辨析,.,二、内控审计概念,内部控制审计，是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。 （第2201 号内部审计具体准则内部控制审计第二条）,.,2010年企业内部控制审计指引： 内部控制审计是会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计，发表审计

26、意见。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。,.,三、相关概念的区别,（一）内审与内部控制的关系：,内审是内控的一种要素，重要组成部分。,内部控制与内部审计是相互依存、相互促进的关系。,内部控制是内部审计的重要业务,.,（二）内审部门与外审开展的内控审计区别:,内审：主要围绕五大控制要素对企业所有的内部控制设计与运行情况进行全面评价。,外审：仅以财务报告相关内部控制为主，对企业财务报告相关内部控制的有效性发表审计意见。但对非财务报告的重大缺陷有报告之

27、责。,.,（三）内部控制审计与内部控制评价区别:,内控审计：一种业务类型,内控评价：一种方法,内控评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程（内控评价指引第二条）。企业董事会对企业内控的一种自我评价，目的在于发现并解决企业内控存在的缺陷。,.,内控审计,风险管理审计,内控审计的重点应放在制度内各个控制环节的审查上，目的在于发现制度中控制的薄弱环节。发现这些薄弱环节实际上就是找出问题发生的根源，然后在这些环节上扩大检查范围，看其是否造成了重大的错误或舞弊。,其审计的内容按照企业风险管理的流程设计展开，从企业的目标角度来评估与改善风险，并对企业

28、风险管理体系的准确、可靠、充分和有效发表审计意见。,（四）内控审计与风险管理审计:,.,一个企业就如一条在茫茫大海中航行的巨枪，掌控这条巨轮的就是企业的“老总”，他们既是船长，又是舵手。巨轮如何在惊涛骇浪中乘风破浪，奋勇直前?“老总们”最关心的是什么?最想知道的是什么?,第二部分 内控审计开展的必要性,（一）国外内部控制案例 （二）国内内部控制案例,.,第三部分 国内外内部控制相关规定及其发展,（一）国外内部控制相关规定及其发展,1934年美国证券交易法首先提出“内部会计控制”的概念,.,1992年COSO内部控制整体框架,2004年COSO的ERM框架,2013年COSO修订的内控框架,.,

29、（二）1997年以来我国发布的内控相关规定,1997年5月16日 中国人民银行加强金融机构内部控制的指导原则,1,.,3,2008年6月28日五部委颁布企业内部控制基本规范,17,2014年1月3日 中国证监会和财政部发布公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定,23,2014年9月12日，中国银监会印发修订后的商业银行内部控制指引,24,2001年发布的证券公司内部控制指引,2,.,一、 内控审计 开展内容 的相关规定,第八条内部控制审计按其范围划分，分为 全面内部控制审计和专项内部控制审计。 （CIIA 2013年的新准则2201号）,第四部分 内控审计开展

30、的内容及所关注的风险 基于理论研究视角,1、何为全面内控审计？何为专项内控审计 2、内部控制五要素所包含的子要素？,.,全面内部控制审计： 是针对组织所有业务活动的内部控制，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。,专项内部控制审计： 是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。,.,.,.,例1：人力资源审计,重点审什么？,.,例2：信息与沟通审计,重点审什么？,.,（二）2014内控审计关注的新风险,1. 网络安全框架 2关注第三方风险（Richard Chambers ） 3. 云计算 4移动技术 5COS

31、O 2013,.,第五部分 基于外审的内部控制审计报告的分析 实践视角的分析,一、2012年内控审计实施情况 2012年度是中国上市公司全面实施企业内部控制基本规范及其配套指引的第一年。截止到2013年4月末47家会计师事务所对949家上市公司实施了内部控制审计，并出具了内部控制审计报告，相较于2011年的67家公司，在数量上有了大幅提升。,.,在截止到2013年4月末出具的949份审计报告中， 20家被出具了带强调事项段的无保留意见的内控审计报告。 被出具否定意见的内控审计报告达4份，占所有内部控制审计报告的2.53%。而2011年度仅有一家被出具否定意见，占内部控制审计报告总数的1.49%

32、。,.,（一）按缺陷性质分类分析的启示 启示1：设计有效性缺陷造成的不利影响往往高于运行有效性缺陷，应是企业关注的重点。 启示2：企业应通过建立健全内部监督机制确保制度及流程的有效运行。,二、启示,.,（二）按缺陷内容分类分析的启示 启示1：加强制度建设形成制度定期梳理机制是完善内部控制的重要措施。 启示2：在各种类型的控制活动中均有可能存在重大缺陷。,.,（三）财务审计报告与内部控制审计报告之间的关系分析 启示1：与信息系统相关的内控风险应引起企业重视。 启示2：未来企业内控工作应更好地与风险管理相结合，实现风险导向的内部控制。,.,内部审计人际关系的沟通,一个人的成功，只有15%是由于他的专业技术，而85%则要靠人际关系和他做人处世的能力。 美国著名教育家 卡耐基,.,审计人才素质的基本要求 业务能力+ 沟通能力 内部审计师应是人际关系的沟通大师,.,沟通的定义,沟通是为了一个设定的目标，把信息、