《风险导向的内部审计理论与实务.ppt》由会员分享,可在线阅读,更多相关《风险导向的内部审计理论与实务.ppt(125页珍藏版)》请在三一文库上搜索。
1、风险导向的内部审计理论与实务 周中胜 苏州大学商学院,2019/5/25,2,根据IIA的统计,美国实行内部审计外包 (outsourcing)的企业已达到21.5%,在电子、汽车、感光材料等行业甚至超过50%。,2019/5/25,3,2002年末,美国时代周刊评出2002年新闻人物,包括辛西亚.库珀和雪伦沃特金斯。 前者是世界通信的内部审计部副总经理,后者是安然公司副总裁。,2019/5/25,4,2019/5/25,5,2008年9月15日,雷曼兄弟宣布破产,2019/5/25,6,2019/5/25,7,2008年1月24日,法国兴业银行曝出因交易员违规操作而巨亏约70亿美元的消息,让
2、世界震惊 。,2019/5/25,8,2019/5/25,9,2019/5/25,10,1999,国际内部审计师协会(IIA)发布内部审计职业实务准则框架,确立了风险导向内部审计的基本思想。,2019/5/25,11,研讨的主要内容,内部审计的发展和演进 风险导向内部审计的理念 风险导向内部审计与内部控制、风险管理 风险导向内部审计与公司治理 风险导向内部审计的案例分析,2019/5/25,12,内部审计的发展历程,萌芽状态的内部审计 财务导向的内部审计 业务导向的内部审计 管理导向的内部审计 风险导向的内部审计,2019/5/25,13,2019/5/25,14,萌芽状态的内部审计,分工和分
3、权的思想 受托责任的履行情况进行检查 目的主要是查错防弊,2019/5/25,15,财务导向的内部审计,19世纪末,20世纪初 背景: 工业革命与机器大工业的出现 股份公司的诞生 独立审计的出现 现代会计的出现 1494 卢卡.帕乔利 算术、几何与比例概要,2019/5/25,16,1941,IIA 1941,维克托.布林克,内部审计:性质、职能和程序方法 1947,内部审计职责说明书第1号,SRIA No.1,2019/5/25,17,业务导向的内部审计,20世纪40年代末、50年代初 主要受到泰罗的科学管理理论和法约尔的一般管理理论的影响 前者从作业管理层面强调效率至上 后者强调从组织管理
4、角度改进管理,提高企业效率,2019/5/25,18,2019/5/25,19,2019/5/25,20,业务导向的内部审计实践,1948年,内部审计对梅迪希银行伦敦支行的管理当局及其所从事的业务活动进行了审计,并出具了详细的业务审计报告。 1968年,IIA的调查结果显示美国内部审计实务大量涉及采购、库存规划与控制、保险计划、基建、运输、管理信息系统、生产、广告等业务活动。,2019/5/25,21,75%的公司的内部审计重点是财务审计与业务审计兼而有之。 在人员结构方面,41%的内部审计人员来自会计专业以外。,2019/5/25,22,管理导向的内部审计,20世纪70年代开始 背景: 1、
5、外部环境的改变所引起的管理理论的发展(控制论、信息论、系统论、耗散结构论、协同论、突变论)。 2、公司治理理论研究与实务操作全面展开。 3、更加强调决策在管理中的核心地位,强调企业内自上而下的目标一致性。,2019/5/25,23,彼得.德鲁克的目标管理理论 赫伯特.西蒙的决策管理理论,2019/5/25,24,2019/5/25,25,管理审计的对象,狭义的对象主要指对高层的管理决策、方针及战略等进行审查与评价。 广义的对象还包括业务活动的审查。 1974年,CIA考试开始,2019/5/25,26,管理导向内部审计的缺陷,内部审计做的仅仅是事后的评价与反馈。 内部审计在评价管理活动的着眼点
6、主要是管理决策、经营活动及控制活动本身,但没有将这些对象与企业目标并联系在一起。 无法证明内部审计是企业价值链上的重要一环。,2019/5/25,27,风险导向的内部审计产生的背景,管理环境的变化 管理理论与实践的发展 迈克尔.波特的战略管理理论 迈克尔.哈默和詹姆斯.钱皮的企业再造理论 戴明和朱兰的全面质量管理理论(TQM) 彼得.圣吉的学习型组织理论,2019/5/25,28,2019/5/25,29,2001,安然事件 2002,SOX法案 2004,ERM,2019/5/25,30,2019/5/25,31,风险导向内部审计的特点,内部控制是风险导向内部审计的基础。 对风险的评估与改善
7、是风险导向内部审计的首要目标。,2019/5/25,32,风险,狭义的风险 广义的风险:还包括正面的风险即机会,2019/5/25,33,风险导向内部审计的本质,确保受托责任有效履行的能动的管理控制机制,2019/5/25,34,风险导向的内部审计与风险导向的外部审计的区别,目标与内涵不同 风险范围不同,2019/5/25,35,独立审计模式的演变,账表导向的独立审计 制度导向的独立审计 风险导向的独立审计,2019/5/25,36,风险导向内部审计的对象,内部控制 风险 公司治理,2019/5/25,37,2019/5/25,38,风险导向内部审计的目标,提供增值服务,2019/5/25,3
8、9,风险导向的内部审计人员应具备的能力,2019/5/25,40,2019/5/25,41,内部审计规范的发展演进,第一阶段,从IIA成立到20世纪70年代,以内部审计职责说明书为代表(SRIA) 第二阶段,从20世纪70年代到20世纪90年代末,1978年IIA通过内部审计职业实务准则,1968年通过内部审计职业道德规范 第三阶段,2001年至今,2019/5/25,42,2019/5/25,43,2008年5月22日,财政部、证监会、审计署、银监会、保监会印发企业内部控制基本规范。,2019/5/25,44,2010年4月26日,五部委联合发布企业内部控制应用指引第1号组织架构等18项应用
9、指引、企业内部控制评价指引、企业内部控制审计指引,要求自2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到上海、深圳证交所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。,2019/5/25,45,COSO内部控制整体框架(Internal Control-Integrated Framework),2019/5/25,46,COSO报告(IC-IF),监控,控制环境,控制程序,风险,信,息,沟,通,信,息,沟,通,2019/5/25,47,COSO报告(IC-IF 1992)的观点,1、定义: 内部控制是由企业董
10、事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告真实性、相关法令的遵循性等目标所达成而提供合理保证的过程。,2019/5/25,48,内部控制为谁而设?,内部控制不是由某个人或哪个层级的人提出来,专门针对某一个或某一群特定层级的人的制度。 它是为整个企业设计的系统,不专门针对具体的哪一层级或哪一群人,而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。,2019/5/25,49,内部控制定义的理解,1、内部控制是一种“过程”,讲求的是达到结果的过程而非结果本身; 2、内部控制是受“人”影响的过程,是由“人”执行的过程而并非仅是政策手册与表格,它来自于组织内每一个阶层的人;
11、3、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证; 4、不同类别的内部控制相互配合,以一种、多种或重叠性的类别达到多项管理目标(3目标)。,2019/5/25,50,5、软控制 6、内部控制的责任 7、柔和管理与控制的界限,2019/5/25,51,谁对内部控制承担责任?,管理当局的责任: CEO:负责建立有效的内部控制,在整个组织内倡导控制意识; CFO:核心作用,设计,推行和监管组织的财务信息报告行为 C- LEVEL:确保其分管活动的accountability,2019/5/25,52,董事会与审计委员会的责任: 董事会:公司治理的监督责任.确认管理当局是否履行其建立
12、和维护内部控制的责任 审计委员会:警惕管理当局凌驾控制之上或财务欺诈行为,并采取适当措施制止.,2019/5/25,53,员工的责任: 对任何与不遵循控制规定或非法行为相关的问题,有责任按组织层次向上报告。,2019/5/25,54,COSO报告(IC-IF 1992)内容,(一)控制环境 控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它是内部控制其他构成要素的基础,它的设计和运行,不仅会影响企业整体活动方式,而且对企业目标制定与评估风险、控制活动、信息与沟通系统,以及监督活动等都会产生重大的影响。,2019/5/25,55,(一)控制环境 1、诚信的原则和道德价值观
13、2、评定员工的能力 3、董事会和审计委员会 4、管理哲学和经营风格 5、组织结构 6、责任的分配与授权 7、人力资源政策及实务,2019/5/25,56,诚信原则与道德价值观,是企业道德与行为准则的凝结,以及如何将这些价值观教化员工并诉诸实际行动 内部控制作为企业文化相当脆弱 任何人不得凌驾于内部控制制度之上,权力的杠杆作用,2019/5/25,57,正直与道德价值观,道德观指南的关键在执行 安然既有道德风尚规则,也有举报机制,但言行不一。 安然2000年度报告中的价值观:以坦诚和真诚对待客户与未来;遵守诺言,言行如一。(We work with customers and prospects
14、 openly, honestly and sincerely. When we say we will do something we will do it, when we say we can not or will not do something then we wont do it.) 安然当局对网上交易系统的评价,2019/5/25,58,员工素质,提倡对正义、公理、公德的忠诚,而非狭隘的“公司忠诚”;公司不能置公理和正义之上。 价值观与基本素质 知识结构与技能 经验及培训,2019/5/25,59,董事会及审计委员会,独立性 成员经验及地位 作用程度 行为方式 与外部审计的影响
15、,2019/5/25,60,安然审计委员会:不议事的议员主席,不治公司病的癌症中心总裁,安然的审计委员会为何没能对后来暴露的财务问题引起警觉? 6个成员中至少有1人与公司存在不当经济关系。问题的关键在独立,而安然审计委员会的独立董事却与公司管理层穿连裆裤。 -Delaware 大学教授Charles Elson 问题2在成员的地域组成:审计委员会成员来自美国、英国、巴西及香港,难得凑齐讨论日常事务。,2019/5/25,61,管理当局的哲学理念和行事作风,企业运作理念: 1.胡雪岩现象: 2.政治与企业经济的关系 3.畸形的企业参政热情 4.对待企业失败的不同态度 5.企业运作思路的比较,20
16、19/5/25,62,2019/5/25,63,中国企业 国际企业 关系 法律 经济利益 经济利益 法律 关系,2019/5/25,64,双汇集团 理性决策:形成以肉类加工为主,养殖、屠宰、包装、彩印等紧密联系的产业群体,1998年集团实现利税295亿元,去年又突破了5亿元大关。 资金控制:产品销售一律现款现货制度,原料采购实行生产试用合格后付款制度。 财务管理:财务垂直管理、审计日常监督 总裁万隆也不避讳:“管理是企业的生命,双汇赢就赢在管理上。,春都集团 妖言决策:收购和兼并了洛阳市旋宫大厦、等10多家扭亏无望企业;投资茶饮料等10多个大型项目; 资金失控:12亿元贷款中,66亿元项目占用
17、,23亿元用于兼并亏损企业,2亿欠款; 财务虚假:1998年亏损4994万元,上报省贸易厅为利润2055万元。 集团新任总裁赵海均坦言:“现在看来,春都在发展中确实是轻视了管理。”,2019/5/25,65,同是国务院确定的全国520家重点企业 同是地处中原的肉类加工企业(漯河肉联厂和洛阳肉联厂) 都始建于1958年,又都于1984年由省管下放到地方。 1984年漯河肉联厂的资产总额是468万元,企业累计亏损534万元 洛阳肉联厂当时的资产总额是2000万元,当年实现利税200万元。 1986年,中国第一根火腿肠在洛阳肉联厂诞生, 1992年漯河肉联厂生产出第一根火腿肠。 1993年,春都集团
18、实现工业总产值、利税分别达到11599亿元、1082亿元,而双汇集团仅为857亿元和7045万元。,2019/5/25,66,组织结构,组织结构的定义: 通过提供完整的架构作用于组织实 现其目标的能力;是规定组织内部 责任与授权的线型结构。 组织结构设计必须覆盖组织活动的全部形式: 计划,执行,控制,监督 组织结构设计的哲学意义:做什么?做!如何做? 组织结构设计的2个限制: 少一个不行;多一个冗余; 部门功能必须是线型的、支持的,而非拦截的,计划 做什么的组织安排,执行 落实计划的组织安排,控制 保证正确执行 计划的组织安排,监督 保证控制有效 的组织安排,2019/5/25,67,组织结构
19、的设计因素: 确认授权和责任的关键领域; 确认报告路径 组织设计合理的流水线模式: 三个问题: 所有的事是否都有人做? 行为者是否充分授权行事? 所有行为是否有人承担责任?,2019/5/25,68,企业成为权力角斗场的原因: 1.组织结构设计不确定: 对权力定义不清或定义错误,导致权力的涣散; 权力与责任不对称 2.权力结构不稳定: 权力成为公开招标物; 导致冲突和耍政治手腕,而不是对责任及合格责任人的正当提供。,2019/5/25,69,权力与责任的分配,授权与指挥三忌: 多头领导; 越级指挥; 管辖人员过多 组织行为与责任的分配 对组织目标的协同作用 责任与报告,2019/5/25,70
20、,人力资源政策 脊髓比脑髓更重要 -爱因斯坦,人与制度之间的关系: 若员工素质良好,有信用,有正义感,即使某些控制措施缺失,企业也能行为规范,信息可信; 若员工油滑、无原则、无正义感,即使有控制制度,企业也可能因此蒙受损失或名誉扫地。 如何招人,如何评价,如何训练和育化,是内部控制的关键。,2019/5/25,71,(二)风险评估 任何企业,不论其规模、结构、性质或行业 如何,都会面临来自内部和外部的不同风险。 风险是客观存在的,而管理者的每一项决策 本身就在创造风险,从而企业管理者只能谨慎 地接受风险,并将风险维持在一个合理的水平 之内,因此风险评估应该成为内部控制的主要 组成部分。,201
21、9/5/25,72,风险是不能实现目标的可能性,企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时,必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适当加以处理。 环境控制和风险评估,是提高企业内部控制效率和效果的关键。,2019/5/25,73,(二)风险评估的要素 1、目标 2、风险 3、环境变化后的管理,2019/5/25,74,(三)控制活动 控制活动是指管理者对所确认的风险所采取 的必要措施,是帮助管理者确保各项指令能执 行的政策和程序。 控制活动出现在整个企业内的各个阶层与各 种职能部门,包括诸如核准、授权、验证、调 节、复核营业绩效、保障资产安全以
22、及职务分 工等多种活动。,2019/5/25,75,控制活动包括政策和程序两个要素,政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。 政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯、彻底地加以执行。,2019/5/25,76,政策一般针对某种情况,而执行程序必须视当时情况而定,如果只是机械地、被动地执行程序也不会取得理想的效果。 控制程序是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。,2019/5/25,77,(三)控制活动的内容一般包括: 1、经济业务和经济活动的授权、批准; 2、明确有关人员的职责分工,并有
23、效防止舞弊; 3、凭证和账单的设置和使用应保证业务和活动得到正确记载; 4、财产和记录的接触使用要有保护措施; 5、对已登记的业务及其计价要进行复核,等等。,2019/5/25,78,(四)信息与沟通 围绕在控制活动周围的是信息与沟通系统,这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并相互交换这些信息。 企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项要素,是企业内部控制过程的一个部分。,2019/5/25,79,1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务; 2、它不仅要有向下的沟通渠道,还应该有向上
24、的、横向的以及对外界的信息沟通渠道; 3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等,是企业信息系统最为重要的组成部分。,2019/5/25,80,(五)监督 1、持续的监督活动 2、个别评估 3、报告缺陷,2019/5/25,81,企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。 因此,要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。,2019/5/25,82,2019/5/25,83,ERM与IC-IF,ERM报告相对于IC-IF,有以下创新: 提
25、出一个新的观念风险组合观 增加一个新的目标战略目标 提出二个新概念风险偏好和风险容忍度 增加三个风险管理要素“目标制定”、“事项识别”、“风险反应”。,2019/5/25,84,ERM的构成要素,内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息和沟通 监控,2019/5/25,85,2019/5/25,86,ERM的四个目标,战略目标 经营目标 报告目标 合法性目标,2019/5/25,87,各管理层在ERM中的地位和职责,董事会 管理者 风险管理员 内部审计人员 其他员工,2019/5/25,88,内部控制与风险管理的关系,2019/5/25,89,黑社会与银行的内部控制 水
26、泊梁山的内部控制,2019/5/25,90,2019/5/25,91,2019/5/25,92,2019/5/25,93,内部审计在内部控制与风险管理中的作用,传统的内部审计与内部控制 风险导向的内部审计与内部控制和风险管理,2019/5/25,94,传统的内部审计与内部控制,内部审计过程中主要的步骤围绕着内部控制而展开,包括描述、分析、评价内部控制及扩大性测试。 方法包括内部控制的描述方法、检查、穿行测试、观察、查询等。,2019/5/25,95,风险导向的内部审计与内部控制及风险管理,英国风险管理协会的意见: 1、内部审计工作的重点应放在重要的风险上,审查贯穿组织范围的风险管理; 2、为风
27、险管理提供确证服务; 3、积极支持并参与风险管理程序; 4、促进风险识别和评估 5、帮助向董事会、审计委员会等提供风险报告。,2019/5/25,96,2019/5/25,97,IIA的审计实务准则: 帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系; 评价控制的效率与效果,促进控制的不断完善,以帮助组织保持有效的控制。,2019/5/25,98,2019/5/25,99,风险导向内部审计对内部控制与风险管理的逻辑框架(风险导向的内部审计规划制定),2019/5/25,100,风险导向审计对内部控制与风险管理提供确证服务的技术方法,标杆比较法,2019/5/25,101,2019/
28、5/25,102,2019/5/25,103,2019/5/25,104,风险导向审计对内部控制与风险管理提供咨询服务的技术方法,控制自我评估法(风险自我评估法或控制风险自我评估法) 1987年由加拿大海湾石油公司率先采用,2019/5/25,105,控制自我评估法(CSA),内容: 确认风险; 评价减少或管理风险的控制过程; 开发用以将风险降至可接受水平的行动计划; 确定实现业务目标的可能性。,2019/5/25,106,展开形式: 以目标为基础 以风险为基础 以控制为基础 以过程为基础 以部门为基础,2019/5/25,107,方法: 问卷调查(Questionnaire) 研讨会(Wor
29、kshop),2019/5/25,108,优点: 提高内部审计效率 强调员工的参与性 进行持续的评估与改进 为企业管理层与员工提供内部控制的教育与培训,2019/5/25,109,公司治理,狭义的公司治理 广义的公司治理,2019/5/25,110,2019/5/25,111,公司治理的目标?,企业价值最大化 vs. 利益相关者利益最大化 企业社会责任,2019/5/25,112,内部审计与公司治理的关系,传统内部审计与公司治理 风险导向的内部审计与公司治理,2019/5/25,113,2019/5/25,114,管理导向的内部审计、风险导向的内部审计与公司治理关系的区别,前者是面向审计委员会
30、和高级管理层的反应式双轨报告关系 后者是面向审计委员会和高级管理层的能动式双轨报告关系,2019/5/25,115,2019/5/25,116,公司治理参与者需求的主要变化,内部控制有效性的评估与报告 风险管理的有效性 道德规范的建立与实施以预防舞弊和非法行为,2019/5/25,117,风险导向的内部审计在帮助建立与实施道德规范方面的作用,建立书面道德规范并教育全体员工遵循 提供额外的渠道处理舞弊和非法行为的举报 提供持续的舞弊调查服务,2019/5/25,118,公司治理也是内部审计的对象,IA2001实务准则之工作标准2130治理: “内部审计活动应评价并改进组织的治理程序,为组织的治理
31、做贡献。”,2019/5/25,119,内部审计如何为公司治理做贡献?,围绕公司价值观的活动 在实现目标过程中公司治理各方参与人的责任履行情况,2019/5/25,120,发展以道德观为基础的企业价值文化的步骤,行为规范的建立 行为规范的沟通与强化 设立渠道为职工处理道德问题提供帮助 明确各岗位职责 调查问题并保证对违法行为的处理的一致性 向上、向下交流违法行为处理的结果,2019/5/25,121,内部审计作为道德倡导者的作用(IIA),道德主管(举报调查员、首席稽核官、管理道德顾问或道德专家) 内部道德理事会成员 企业道德文化的评价者,2019/5/25,122,内部审计对企业价值观的评价方法,调查问卷 自我评估,2019/5/25,123,对各方责任人的评估,董事会的责任评估 高级管理层的责任评估,2019/5/25,124,IIA研究基金会: 公司治理与董事会:最佳实务,2019/5/25,125,Thank You for Your Attention,Any Questions?,