适应公司治理和管理要求的现代内部审计文化王光远.ppt

适应公司治理和管理要求的现代内部审计文化,全国政协委员 财政部内部控制标准委员会委员 第四、五届中国内审协会副会长 厦门大学教授、博士生导师,王 光 远,一、会计审计的本质在于受托责任,1.受托责任的概念及其种类 受托责任由来已久 受托财务责任和受托管理责任 企业受托责任和公共受托责任,什么是受托责任 “受托责任是由于委托关系的建立而发生的委托关系建立后，作为一个受托人，就要以最大的善意、最经济有效的办法、最严格地按照当事人的意志来完成委托人所托付的任务。这种责任叫受托责任”。,1.受托责任的概念及其种类,受托责任主要包括以下四点： 严格按照委托人的意图，最大善意地完成任务；用最经济、有效、严密的方法保管和使用由于完成托付的任务而获得的资源。 建立必要的会计和内部控制制度，将完成的任务和因此而发生的资源的收支以及收支的结果据实向委托人报告。 为了便于提出报告，接受审查，平常应对任务完成的情况，资金、资源收支使用的情况进行记录。 为了证明这些记录是实在的，要保存一切足以证明完成受托责任情况的各种证据。,1.受托责任的概念及其种类,几个要点： 委托受托关系 完成任务 报告 这种责任相当宽泛：“一个人什么时候接受了对方委托的资源及运用、管理此一资源的权利，什么时候他就理所当然地要承担起这一责任，向委托人交待”,1.受托责任的概念及其种类,会计审计学者所界定的受托责任概念包括： 委托人和受托人的委托受托关系 衡量受托责任完成情况的标准 受托责任的内容 受托责任的报告,1.受托责任的概念及其种类,1.受托责任的概念及其种类,社会情境 行动指令 行动信息 报酬 关系（契约） 对资源的权力 （受托责任的解除） 行动 社会情境,1.受托责任的概念及其种类,受托责任的种类 受托责任可分为受托财务责任和受托管理责任 “前者要求受托人尽一个最大善良管理人的责任，诚实经营，保护受托资财的安全完整，同时要求其行动符合法律的、道德的、技术的和社会的要求； 后者要求受托人不仅应合法经营，而且应有效经营、公平经营，也就是说，受托人要按照经济性、效率性、效果性、甚至公平性和环保性来使用和管理受托资源”。,1.受托责任的概念及其种类,控制与受托责任：“本质上讲，控制是受托责任的需要，控制是对受托责任的控制，没有受托责任也就无所谓控制。”,1.受托责任的概念及其种类,公共受托责任 有专家提出五层次的“受托责任阶梯”（ladder of accountability） “正直守法的受托责任”（accountability for probity or legality），即总体上确保资金按授权要求恰当使用； “过程受托责任”（process accountability），即代理人遵守特定程序的适当性； “业绩受托责任”（performance accountability）和“程序受托责任”（programme accountability），这两类受托责任类似，关注整体的工作绩效和预定的目标是否达到； “方针受托责任”（policy accountability），这涉及目标与程序不明确、不确定时的受托责任关系。,一、会计审计的本质在于受托责任,2.受托责任循环过程 责任的确立 责任的履行 责任的解除,一、会计审计的本质在于受托责任,3.受托责任的确立 确立受托责任标准就是要给受托人确立一个要达成的目标 长期目标 短期目标 所有目标的确立都依赖于管理会计和内部审计,一、会计审计的本质在于受托责任,4.受托人对受托责任的履行 严格按标准行事 随时揭示作业背离标准的差异并进行及时控制：管理业绩报告 受托人履行受托责任的结果：财务报告 受托责任的履行过程及结果依赖于管理会计和内部审计,一、会计审计的本质在于受托责任,5.受托责任的解除 解除受托责任的唯一措施就是审计 审查财务报告的是财务审计 审查管理业绩报告的是管理审计,二、内部审计职业界面临的种种批评,内部审计就是那种盘旋于大海上空，看见船帆就飞过去乱叫一通，却对海中人无任何帮助的海鸥； 内部审计就像是电影终结者里那无情无感的机器人，不管多么辛苦，也不管有多大压力，都努力地找寻不称职的主管、表现不良的员工，消除误导性业绩信息和糟糕的营运方案； 内部审计是那种走也走不动、跑也跑不快的平足者，是爱挑毛病、找麻烦和管闲事的另类人； 内审部门是一个老员工养老、等待退休的地方，是一间“大象的坟场”；,内部审计重在防弊而不是兴利，重在强化本位主义，而不是实现企业的总目标； 内部审计人员只是在审查数豆子的人是否将豆子数得一粒不差； 内部审计在重复外部审计的工作，重复地做财务系统的审查，而不关注业务系统； 内部审计人员多是一批较少掌握信息科技知识的“机盲”，他们只懂得利用信息中心，而不懂得利用信息工具；,二、内部审计职业界面临的种种批评,内部审计报告都是些可预测的“陈词滥调”式的指责、批评，使各业务部门及其员工对内部审计人员颇多敌视； 内部审计程序烦琐，有时审查过度、过细，有时审查时间过长，干扰业务部门的正常运行 内部审计底稿成堆，审计主管复核费时费力，内部审计部门是一个劳动力密集的部门； 内部审计部门是一个成本中心，而不是利润中心。,二、内部审计职业界面临的种种批评,三、文化视角下的内部审计准则,1.人人都是审计人员，但还需要独立的内部审计部门 内审是以准则为依据 内审无自己的利益 内审既具有保护价值的功能，也具有创造价值的功能,2.支撑国际内部审计准则的基本理念,内部审计是一门艺术，基本准则是内部审计这门艺术的基本规则。 基本准则的贯彻受内部审计部门履行职责的环境制约，所以，准则的焦点不是聚焦在个人身上，而是聚集于一系列团体，包括设置内审部门的组织、内审部门本身、内审部门主管以及个人执业者。 基本准则是一个完整的体系，其中最重要的是“工作范围准则”。 内部审计为整个组织提供服务，而不仅仅是为管理层提供服务。,3.风险导向内部审计准则,准则充分体现了风险导向内部审计理念，要求将审计计划与组织的风险相联系，特别强调关注组织的战略与计划，关注管理策略、方向、目标等的变动。所以，现代风险导向内部审计=经营风险导向审计+战略风险导向审计。,借鉴国际内部审计准则和西方发达国家内部审计的先进经验，使中国内部审计准则与国际内部审计准则相趋同，是制定准则的基本立场，也是准则前瞻性的要求。 我国的政治、经济、文化与西方国家有所不同，我国内部审计的发展道路也与西方国家不尽一致，因此，必须考虑我国特有的环境对内部审计准则的影响，这是准则现实性的要求。,4.内部审计准则的国际化与国家化,准则只是约束人们行为的最低标准，而基于特定文化氛围产生的社会价值观则能使人们自发追求一种较为高层次的标准，因此，文化是一座冰山，而准则是暴露在冰面上的冰尖。中国内部审计准则必须符合中国文化的“和” “合”精神，以期建立一种互信、和谐、合作、参与、协调的审计关系。 坚持国际化与国家化统一的前提是内部审计准则必须具有科学性，这种“科学”强调，准则的水准既不是人人可及的“全体及格”，也不是人人不可及的“全体不及格”。如果说内部审计准则是一剂药方，那么，我们不可以昨日之方来医今日之病，那会使人不求精进，落后于时代；也不可以明日之方来医今日之病，那会使人努力无望，放弃进步。,三类准则只有相互借鉴与包容，才能实现内部审计和外部审计成果的相互利用; 政府审计准则的特点是简化、概括和强制，独立审计准则的特点是复杂、细致、趋同，而内部审计准则就要借鉴这两类准则的合理成分，兼具科学性、现实性和前瞻性的特点;,5.与政府审计准则及民间审计准则的不同,内部审计准则体系的特别之处： 客观性是第一位的，内审人员应具有维持良好人际关系以及有效地与他人沟通的技能。 应适时地进行后续审计。 按利润中心、投资中心的要求，来组织和管理内部审计部门。 重视问题的发现，更重视问题的解决。既当传声筒，更当转换器。 不适合提“依法审计”，内审的依据主要是公司的战略、计划、预算、业务标准、管理标准、控制标准、技术标准，当然也包括法律、法规。,5.与政府审计准则与民间审计准则的不同,研究不同的内部审计需求可以有不同的证据充分性、相关性、可靠性，以便与审计委员会、业务经理、外部审计师进行有效的沟通； 研究什么样的内部审计服务可以满足公司治理 的要求； 研究持续性监督软件的应用问题； 研究认定关键风险的指标并建立连续不断地认定风险并作出决策的信息系统； 研究企业流程以认定舞弊、内部渐衰及关键风险的指标； 研究实施咨询活动时如何保持内部审计人员的客观性； 研究如何确保审计信息及管理信息的安全；,6.内审准则中尚待研究的问题,研究如何提高内部审计参与企业的购并效果； 研究如何评估内部审计与外部审计相关联的确认性服务； 研究内部审计与企业再造的关系； 研究内部审计服务价值的评估问题； 研究如何评估企业行为规范的价值； 研究重要设施的风险及安全需求； 研究内部审计与组织整合的关系； 研究提高审计效能的技术与方法,6.内审准则中尚待研究的问题,7.恪守准则，超越准则,四、应有的职业谨慎与专业胜任能力,1.应有的职业谨慎 对被审计单位可能存在的问题保持必要的警觉，不说：过头的话、没有把握的话、没有根据的话。 有知识不一定有能力，有知识、能力无经验也不行。 有罪推定与无罪推定。,职业道德规范 公正、客观、保密、胜任 要记住：干净的杯子，才能装干净的水；在这变革以“秒杀”速度前进的时代，不要“法规熟律律，十句九举不”的食古不化，而要勇于接收改变、勇于面对挑战。,2.对职业道德的思考,职业道德规范有待关注的问题： 不同行业对职业道德规范的影响 不同经历和经验的内审人员对职业道德规范的影响 不同性别的内审人员对职业道德规范的影响 不同专业素养的内审人员对职业道德规范的影响,2.对职业道德的思考,3.专业胜任能力,内部审计人员专业胜任能力框架（CFIA,1999）,Ratliff & Reding 21世纪审计人员的职责和必要技能(2002) 21世纪的内部审计人员必须准备审查几乎所有的 事项经营活动、控制系统、经营业绩、信息与信息系统、法律法规的遵循、财务报表、环境报告与业绩、质量。审计人员必须掌握12种技能： 分析和批判性思考(Critical thinking)的技能。 充分了解审计对象（包括人、组织或系统）的有效方法。 内部控制的新观念、新准则和新技术。 认识和理解与审计对象及审计人员相关的风险和机会。,3.专业胜任能力,针对任何审计项目，制定审计的总目标和具体目标。 选择、收集（利用一系列审计程序）、评估、证实审计证据，包括利用统计和非统计方法。 利用多种形式向不同的审计报告使用人报告审计结果。 后续审计。 职业道德。 在多种形式的审计报告中可应用的审计技术。 理解独立性和客观性概念。 全面了解风险、机会和审计证据的成本及重要性。,3.专业胜任能力,Moeller& Witt （1999）：一个成功的内部审计师必须具有的个人品质（除技术与专业资格之外） 基本的公平与正直 组织利益 适度的谦卑 专业化的姿态 投入 角色的一贯性 好奇心 批评性的态度,3.专业胜任能力,警觉 坚持不懈 精力充沛 自信 勇气 作出合理判断的能力,4.用管理剩余风险的理念来主动积极地管理内审人员的客观性,管理威胁客观性因素的框架,识别威胁客观性的具体因素,自我检查（self-review） 社会压力（social pressure） 经济利益（economic interest） 私人关系（personal relationship） 审计师与被审单位的熟悉程度（familiarity） 文化、种族和性别歧视（cultural, racial, gender bias） 认知偏差（recognition bias）,5.快乐审计与文明审计,脸上有笑、嘴上有门、心里有数。,五、内部审计职能的界定与履行,1.防弊、兴利与增值的协调 消极防弊、积极兴利和价值增值，既是内审的三大目标，又体现了内审的三个发展阶段 防弊是兴利与增值的基础，只有做好了查错纠弊，才能进一步实现兴利与增值。安然、世通等公司舞弊案的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计进行抽查确认，而忽视对舞弊线索的追查,(1).总体分析、发现疑点、分散核查、系统研究,重大违法行为是指被审计单位和相关人员违反法律法规、涉及金额比较大、造成国家重大经济损失或者对社会造成重大不良影响的行为。审计人员检查重大违法行为，应当评估被审计单位和相关人员实施重大违法行为的动机、性质、后果和违法构成。 审计人员可以通过关注下列情况，判断可能存在的重大违法行为： 具体经济活动中存在的异常事项； 财务和非财务数据中反映出的异常变化； 有关部门提供的线索和群众举报； 公众、媒体的反映和报道； 其他情况。,发现重大违法行为的线索，审计机关可以采取下列应对措施： 增派具有相关经验和能力的人员； 避免让有关单位和人员事先知晓检查的时间、事项、范围和方式； 扩大检查范围，使其能够覆盖重大违法行为可能涉及的领域； 获取必要的外部证据； 依法采取保全措施； 提请有关机关予以协助和配合； 向政府和有关部门报告； 其他必要的应对措施。,兴利与增值是一致的，兴利是增值的外在表现，增值是兴利的内在要求。鉴于兴利与增值是内部审计的重要目标，故内部审计不宜与纪检监察共置于一个部门，特别是企业。 强调防弊不能使其成为兴利和增值的绊脚石；强调兴利和增值不能以牺牲防弊为代价。 内部审计应成为现代组织的“仁医”。,(2).增值的定位和渠道,内部审计活动增加价值的四大决定因素 深入了解组织,包括其文化、 重要的合作者以及竞争环境等 有勇气以所有者未能料到的方式推动改革 对职业公认能增加价值的实务有广泛的了解 拥有足够创造力进行组织变革并得到令人惊喜的结果,超越所有者的预期 产品（服务）增值标准：紧跟客户需求、体现参与与合作的理念、面向未来充满创造、科学系统的风险导向,内部审计人员有着广泛的专业面 内部审计人员的专业背景涉及面很广，部分人员采取本组织中其他各机构的人员轮换的方式，余下的核心人员则具有丰富的内审实务经验与深厚的审计技能。 审计人员高度职业化，超过75%的成员是注册的专业人员。 审计人员都精通数据分析，能熟练运用审计软件解决问题。 45%的内部审计机构在一定程度上将内审业务外包给更有专业资源的机构，以充分利用外部专家资源。,(3).增值的标杆,挑战性的工作环境 内部审计机构倾向于让其成员广泛参与决策，以激发成员的创造力。 机构负责人营造充满趣味、挑战性以及创造性的工作氛围。 机构文化强调合作而非单独完成工作，然而却不失客观性。 鼓励内部审计人员寻找完善经营的途径，而非仅仅指出内控的缺陷。,根据组织结构协调内审业务 内部审计人员的组织及分配与组织的具体生产线、事业部相配合，小组成员相对固定，有利于内审人员深入了解某项业务并与被审计单位负责人形成稳定的人际关系。 可以针对不同的经营领域安排“内部审计关系经理”（the relationship managers），负责与所在领域的管理层直接沟通，深入了解风险的变化并与管理层分享关于良好实务（best practices）的建议，讨论控制的缺陷。,进行参与性、高质量的、实时的风险评估 将内部审计计划与组织的战略规划相联系，帮助组织实现目标。 年度审计计划有着更多的灵活性，其中机动时间的安排一般会超过17%。 审计中要不停地进行风险评估，考虑是否由于风险的变化而需要紧急安排计划中没有的项目。,内部审计服务形成了系列产品 内审机构能够提供多样的产品，例如：风险基础审计、过程审计、自我评估、内部控制教育等。 杜邦公司开发了内部审计服务系列八大产品：系统实施审查、改善经营过程、内部控制教育、内部控制评价、咨询、自我评价、过程审计、调查，成为内部审计增值服务的标杆。,确认的标准 确认项目包括客观获取和评价证据的系统过程。 这些项目需要事先确定的标准。 项目涉及到将结果传递给相关使用者、除服务提供者或者被审查过程与领域中人员以外的第三者。这个第三方就是确认服务的客户，它决定着这项服务的价值。 准则要求审计人员自主决定工作的范围，而不是由所查领域的业务管理者来确定。 准则需要规定审计报告的形式和内容的要求。 准则要提出对审计人员独立性和客观性的约束。,2.确认的标准、客户及类型,确认的客户 确认服务的客户可能是： 内部客户董事会、高级管理层、审计委员会、中级管理层等； 外部客户供应商、消费者、股东、监管者、其他利益相关者等,确认的类型 财务审计，包括像分部业绩报告审计和盈利产品线审计那样的传统鉴证审计，包括对外部财务报表审计的合作，还包括业绩指标审计（特别是政府部门，推行平衡计分卡的公司） 业绩审计或业务审计，包括评估风险和对内部控制的适当性提供确认。 快速反应审计（quick response auditing)，它通常来自于高级管理层的特殊要求，这包括舞弊调查，也包括评价和审慎性调查（Due diligence).,确认服务的相关问题 确认服务的等级 证据与确认类型和确认等级的关系 向组织外部提供确认服务 确认服务在舞弊调查中的性质,3.咨询的标准、客户及类型,咨询的标准 准则无需规定审计人员应当自主决定其工作范围； 准则也无需规定具体的报告要求，如要求出具书面报告或要求对项目结果进行后续审计； 咨询服务过程中，如果委托人（业务管理者）认为某个领域做更多的工作已无多大价值，就可以让审计人员停止工作,咨询的类型 评估服务（assessment services)，指对各种业务的过去、现在或未来的某些方面进行检查和评价，并以此信息帮助管理层做出决策。如系统设计对控制的评估、对特定的组织再造的评估、对外包流程节约程度的评估等。 协调服务（facilitation services)，引导管理人员发现组织的优势和改进的机会。如控制自我评估、标杆管理（Benchmarking)、企业流程再造 、协助制定业绩指标、战略规划支持等。 补救服务（remediation services)，用于防止或阻止可疑的组织问题。这是与确认服务最不兼容的一类服务，它实际上是在履行一 项管理性职能。,咨询服务的相关问题 混合项目 确认服务和咨询服务的平衡 内部审计从事咨询服务的限制 咨询服务的风险和回报,4.确认与咨询的混合体:经济责任审计,(1).任中可审，离任必审 (2).人格化与责任化的统一 (3).关注绩效：成绩是相对的，问题是绝对的？抑或成绩是绝对的，问题是相对的？ (4).关注控制、关注风险 (5).关注责任:权责对等原则、历史原则、实质重于形式原则,5.预算资金走到哪里，审计就追踪到哪里；审计跟踪到哪里，整改就落实到哪里 6.“热工作”与“冷工作”的关系：做好“热”的工作，保障“热”的工作质量，首先要做好“冷”的工作，学会理性思考，注重控制评价，善于研究业务、管理和技术的发展变化，不断提高工作深度,六、以投入产出模型为基础的管理审计,1.投入产出模型的含义 投入产出模型，为划分管理审计提供了一项工具，该模型是根据审计的主题和所审查的业绩来划分管理审计。 当审计人员了解到，所进行的审计是检查投入、过程、产出和结果某一方面或是几个方面，并且了解要评估哪些业绩时，他们就可以据此选择适当的审计方法。,投入产出基本模型,2.投入产出模型的目标 这个模型的原理是获取投入资源，通过过程加以运用，以生产所要的产出产品和服务，实现某种想要的服务结果。 该模型的目标是：（1）在需要时有适当的资金；（2）在适当的时间，以最低的价格，获得资金和适当类型、数量和质量的物质资源；（3）通过某个过程应用这些资源，以在适当时间提供适当类型、数量和质量的产出；（4）有效地开展所有过程，减少运营成本；（5）让消费者高度满意；（6）实现在项目任务和目标中所要求的服务。,六、以投入产出模型为基础的管理审计,由于模型包括所有范围的审计主题和业绩，因此，能够用于划分管理审计的具体类型，这些具体类型将协助审计人员选择适当的方法进行审计。 审计人员可以依据审计目标，确立关注点是在投入、过程、产出还是结果，以及将要检查哪些业绩方面和所要改进的问题，而后决定所要使用的审计方法。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 对这个概念模型的投入过程产出结果的每一个维度，管理者和审计人员都有特有的业绩考虑。 与投入、过程、产出和结果相关的业绩，见下表。,六、以投入产出模型为基础的管理审计,3、投入产出模型各维度的含义 投入 投入是服务提供模型的第一个环节。组织必须掌握适当的资源，以完成使命和实现目标，这些资源包括资金、物质资源和人力资源等等，组织必须以适当的方式取得适量的资源。,投入 (续） 资金 在服务提供模型中，将货币资金做为一个维度有两种考虑：首先，组织需要有适当数量的资金；其次，当组织需要时应该可以得到货币资金，在需要时不能得到足够的资金，就无法实现想要的结果。这种情况如果出现在企业中，这样的企业最终会破产。,六、以投入产出模型为基础的管理审计,投入 （续） 资金 （续） 忠实（遵守要求）和保护，这两个职能适用此维度。“忠实”关注的是资金仅仅花费在授权的项目上并控制在批准的数量内。“保护”关注的是资金立刻存入银行和进行理性的投资，以获取最大报酬，防止损失，例如盗窃、舞弊和火灾等。,投入（续） 物质资源，主要关注的是，当需要并且价格较低时，组织持有适当类型、数量和质量的人力资源和材料资源。,三、投入产出模型各维度的含义 （一）投入（续） 材料资源：一旦获得，材料资源主要关注它们是否仅用于已批准的项目，并采取了正确的保护措施，防止损坏，例如盗窃、火灾。保护活动（包括修理和维护）应以最小成本、有效率的进行。,投入（续） 人力资源 一旦雇佣，雇员主要关注，他们是否得到妥善的保护，不会损害身体、威胁健康，以及他们的技术和能力是否得到持续发展和充分运用。 员工高流动率会增加成本和降低运营效率，因此，将管理层和雇员的流动率维持在一个与组织运营需求一致的比例，是非常重要的。一个基本原则就是保持足够的薪酬水平，吸引和留住胜任的人才。,附加财务和非财务资源的投入产出模型,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 产出 企业通过管理和运作，把投入的资源转化为产出，再将适当数量和质量的产出提供给消费者。企业追求在投入一定的情况下，实现产出的最大化。,六、以投入产出模型为基础的管理审计,三、投入产出模型各维度的含义 （二）产出（续） 主要关注的是当需要时，能以所期望的最低实际成本提供适当数量和质量的产品或服务 在有一些情况下，模型需要增加维度，如增加销售维度，这种情况是针对生产一个产品或提供一种服务，然后通过单独过程进行销售的组织。例如，福特汽车公司分别有一个制造汽车的过程和销售汽车的过程。销售过程的产出是依据销售金额或所提供服务的数量和服务单价计算所得的。,附加销售维度的投入产出模型,投入- 货币资金,结果,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 （三）结果 盈利组织中7个广泛认可的结果是：（1）消费者满意；（2）市场份额；（3）收入；（4）利润；（5）资产或投资收益；（6）流动性；（7）每股股利。 在最近几年，通常认为消费者满意度比获利能力和市场份额更重要。质量（服务或产品的）、效用和价格认为是消费者满意度的主要决定因素。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 结果（续） 关注的业绩是所实施项目的相关效果。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 过程 在投入、产出和结果三个要素概念之间存在两个过程资源获取过程和服务提供过程。过程把投入、产出和结果三个因素联系在一起。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 过程（续） 获取过程主要关注的是政策、程序和所建立（和遵守）的控制，这些将合理确保当以最低价格需要时，能获取适当类型、数量、质量的物质资源。管理层应负责决策所需物质资源的数量和质量，以及何时应该得到这些物质资源。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 过程(续） 生产/服务提供过程关注的是，应建立并遵循政策、程序和控制，以合理保证在需要时，以最低成本提供适当类型、质量和数量的产出。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义 过程（续） 模型中，程序和控制存在于过程维度之中。过程、程序和控制必须帮助组织实现获取物质资源、生产和提供产出的五个业绩目标。它们分别是：（1）效率；（2）质量；（3）数量；（4）时间；（5）价格或成本。在完成这些目标的过程中，组织必须合理保护资产（投入和产出），并忠诚的遵守法律和法规。,七、后危机时代内部审计的战略调整,1.努力实现内部审计的系统化、规范化 2.审计计划的战略调整,2.审计计划的战略调整 首席审计执行官应按照组织风险预测的转变，及时调整内部审计计划的重点。 对财富100强的首席审计执行官的调查显示，后危机时代中他们关注的第一大风险领域是经营风险和成本降低/抑制方面。第二大风险领域是信用、流动性危机以及处于财务困境中的第三方信息披露。 审计范围在这两个领域有明显的扩大。不断扩展的业务审计内容要求首席审计执行官非常熟悉组织的业务活动，将内部审计方法更好地与业务流程相结合，不断向企业所有者证明他们的价值。,由于后危机时代的经济环境不稳定，当注意到管理层为应对经济环境采取行动时，首席审计执行官需要快速做好准备改变审计方向。 由于不断变化的商业环境以及有限的资源，审计重点在不断的发生变化，审计计划应具备一定的弹性，不再仅仅作为一个每年制定并在一定周期内执行的工具。 涉及到审计计划调整的事项应该一直在监督范围之内，由于经营活动和控制活动不断发生变化，原本发生几率较低的风险可能会增加，于是需要首席审计执行官经常进行风险评估。,制定审计计划时，首席审计执行官应考虑以下内容： 当管理层召开会议讨论应对经济状况的相关计划和策略时，确保自己能够参加会议，关注相关的风险以及对执行即时或连续审计的需求。 确保在与组织成本相关的计划和策略中能考虑到组织的信誉风险。 考虑如何运用信息技术来扩大审计范围和结果。 考虑每季度向审计委员会提交一次最近发生事项的概要，管理层的策略、成本方案以及由此产生的风险和变化均应在审计计划中有所反应 对影响组织效益的风险扩大检查范围，如流动资金、信用、第三方合同、服务协议、存货估价和控制。 经常开展业务审计，一些成本控制和收入提高的机会可看做“轻易实现的目标”，如工程和基本建设项目、合同履行、公司信用卡交易和收费等。,IIA的一项最新调查显示，自本次经济危机爆发以来，由企业员工和外部人实施的舞弊活动呈现出上升的趋势。 增长最快的舞弊活动是盗窃公司财产和资源（包括商业机密），紧随其后的是监守自盗，例如费用账户舞弊、第三方或卖方舞弊。,3.对舞弊问题的特别关注,IIA主席兼CEO Richard Chambers在一份声明中表示：“在我30余年的内审职业生涯中 ，我曾多次目睹经济衰退的到来和消逝，它们以一种可以预测的方式对企业造成了影响。这次经济衰退与以往我们经历过的多次衰退一样，为舞弊频发创造了客观环境，但这些动荡之时也是内审活动展现自身价值的绝好时机。”,首席审计执行官对舞弊的关注 提倡在组织的业务单元内部开展自我评估活动，由经营管理层承担控制和舞弊监督责任。 自我评估作为一个持续不断的监督工具，能够有助于审计资源从合规性测试向检查自我评估系统的发展趋势和有效性方面转变。 通过检查自我评估问卷、调查表、清单的结果，内部审计人员能够获得关于可能会导致舞弊的控制弱点的有用信息。 特别关注容易产生舞弊的领域：公司采购业务、销售佣金和奖金、应付工资、加班、费用报告、存货、应付款项 反舞弊就是“反”出来的，“改”出来的，它无法通过“发展”来解决,内部审计师在舞弊风险管理中的作用,（1）增强公司反舞弊意识、沟通和培训；（2）检查系统及其相关政策、程序和控制；（3）开展对主要风险、高风险领域的常规审计；（4）检查特定的财务活动；（5）实施后续审计程序；（6）开展风险评估和风险导向审计；（7）提升内、外部审计小组及其他项目的协调合作水平；（8）增强首席执行官、高级经理和业务经理的反舞弊意识、沟通及培训；（9）开展或辅助开展舞弊检查；（10）进行数据的采集和分析。 4.重新认识内部控制五要素，推行以风险为导向的监督机制,监督扮演整合内部控制其他组成要素的功能，它将内部控制的其他四个组成要素环绕包围，帮助企业评估其内部控制是否有效运作，并协助组织达成下列目标： 及时的识别与纠正内部控制问题 提供更正确、更可靠的信息 编制正确且及时的财务报告 通过监督可定期确认与验证内部控制的有效性,监督要素的有效运行可以通过三种方式为组织提供价值: 使管理层和董事会能够确定，内部控制系统是否随着时间流转，而持续有效地运行。 通过一些方式提高组织的整体效率和效果，如：及时提供证据，表明内部控制的设计或运行己经发生或可能发生变化，从而在控制缺陷重大地影响内部控制系统实现组织目标的能力之前，帮助组织识别和纠正控制缺陷。 能促进良好的控制运行。当内部控制的负责人知道他们的工作要接受监督，他们就更可能恰当地履行职责。,监督是一个动态的过程，包括风险排序、识别关键控制、识别有说服力的信息以及执行监督程序，每一个步骤都在某种程度上持续运行。,了解企业实现目标面临的 风险，并排序,透过风险评估 辨识重要控制,开发并执行符合成本效益的程序 以评估那些有说服力的信息,识别能够有力说明内控系统是否有效运行的信息,确定信息,控制辨识,执行监督,风险排序,在引导组织度过经济动荡时期的过程中，首席审计执行官发挥了比以往更积极、更富有战略意义的作用，并与其他利益相关者一起改变组织的风险管理和治理文化。 利益相关者期望内部审计人员能够发挥更具战略意义的作用。内部审计活动应转向企业风险管理流程以及影响组织效益的风险、内部审计人员应该为各利益相关者提供确认和咨询活动，要确保组织准确报告相关业务活动、风险和结果。,5.治理审计的战略调整,加强与审计委员会的交流 当审计委员会更加关注组织的风险和风险管理流程时，内部审计人员可以通过与审计委员会的交流，从以下几方面为组织增加价值： 在定期会议或特别会议中，为审计委员会成员提供风险管理培训，帮助他们熟悉风险管理术语并掌握划分风险优先等级的方法 扩大与董事会关于风险管理的讨论，包括短期和长期战略风险评估，而不仅仅是一份风险热力图或风险清单 在提交给审计委员会的每份文件中，列出组织中存在的前十大风险，并指出这些风险与审计计划的关系 积极地协助其他风险和控制职能部门，识别出其后即将发生的十大风险 除了常规的面对面交流外，还需通过电话和电子邮件等方式来增加非正式的沟通 识别并报告普遍存在的影响组织效益的事项，如与流动性、裁员、舞弊等有关的风险,更加关注治理审计 当前的经济危机清楚地说明了许多组织治理的失败，同时治理中包含了组织对风险的战略反应，因此首席审计执行官应更加关注治理审计 管理层和董事会都在尽其所能的引导组织，他们需要更深入地了解整体风险管理流程和治理过程，内部审计人员可以协助管理层，共同讨论组织的治理过程，界定和理解组织的整体治理结构。 风险管理是一项重要的责任，由管理层和董事会负责。内部审计人员应该通过检查、评价、报告风险管理流程的适当性和有效性并提出改进意见，对管理层和董事会提供帮助。 组织成功的重要原因包括拥有一个优秀的董事会、一个积极规避风险的风险管理流程和良好的道德文化。,推动治理的机会 后经济危机时期内部审计帮助组织改善治理的新机会： 帮助审计委员会更好地理解组织的治理流程，同时强化组织的治理活动，实现治理由形式到实质的转变 为审计委员会成员提供培训课程，以便他们加深对治理和风险管理最佳实务的理解 确保首席审计执行官在行政上向CEO报告，从而加强内部审计的地位和权威性 提高首席审计执行官的专业技术和胜任能力，以保证其在治理层面得到信赖 强化内部审计职能作用的发挥，使其涵盖战略业务风险和治理 信息沟通从审计部门到管理层，或从管理层到审计部门，各层级的透明度要高 反对将内部审计仅定位为合规性审计，而应按照IIA对内部审计的要求来全面开展审计活动。,应对治理风险的方法 传统的确认和咨询法:分治理较为成熟和不很成熟组织 与人力资源部合作开展问卷调查 审计外包 依靠董事会的自我评估 与董事会或其各委员会合作 与法律部门或第三方专家合作 与风控部门保持良好的关系 内部审计人员建立这种交流关系时，应确保任何一块区域都有专人负责，审计人员可以基于业务活动来架构自己的知识体系，并能做到根植于组织的风险管理战略 与外部审计师合作 通过参与经验交流会和风险讨论会与外部审计师建立合作关系，同时更加注重外部风险而不是内部风险。如自由讨论的议题可以包括新出现的会计事项、法律法规或风险事项、当前存在或引申的监管问题、同业公司关于风险披露的比较等,经济危机凸显了对于强化风险管理的迫切需要。首席审计执行官应率先确保风险管理在整个组织的有效运行，让内部审计在组织中扮演战略伙伴和风险管理捍卫者的角色。 后经济危机时期，人们对风险管理的关注更多的从战术层面转向战略层面，这种转变对于内部审计师既是机遇也是挑战。要使得风险管理发挥作用，组织必须积极而迅速地回应风险事件。,6.以战略性视野关注风险管理,内部审计成为风险管理的战略伙伴 风险管理中内部审计应采取一些措施，确保管理层做出审慎的风险决策并实施恰当的风险监控程序。内部审计师应督促管理层了解是否在坚持组织的道德、文化和政策、对风险的评价是否准确、是否与组织的风险偏好相一致、是否有适当的风险监控程序和触发机制 内部审计要解答审计委员会在商业战略和风险方面的疑惑，加强与高管层和审计委员会之间的交流，取得一定的信任。 内部审计通过对实践、整体监管战略以及组织的风险偏好等方面提出严格的问题，确保组织形成一套成熟的风险管理体系。内部审计已成为风险管理的战略伙伴，这种情形也表明内部审计在企业高层存在证明其价值的机会。,协助组织实现向战略风险管理转变 内部审计应协助组织实现向战略风险管理转变，首先便是对组织风险管理流程开展审计。 评价风险管理流程时，审计人员应关注所有业务流程： 结合组织的风险管理流程，评价其结构、作用、报告路径及沟通交流情况 确保组织设定了适当的风险偏好并已传达至整个组织 评价组织的风险评估流程，包括连带效应的影响，因为它们可能导致更高级别的风险甚至是灾难性风险 评价管理层对整体风险的责任，同时评价各责任主题对个别风险的责任 确保风险管理流程深入到每一个业务单元及其战略规划中,在组织的风险偏好内，评价薪酬分配和激励计划的有效性 根据风险框架和通用的“风险语言”，阐述风险的透明度、受托责任及关注焦点 确保风险评估流程的动态性，并定期更新，以保证组织的风险预测是最新的 评价信誉风险对组织中所有流程、活动和职能部门的影响 审计人员应确保管理层在组织的风险管理框架中涵盖了COSO的风险管理框架八要素，从而保证组织管理活动的完整性和连贯性,协助组织实现向战略风险管理转变（续） 两种风险评估方法 组织应考虑增加风险发生率、如何应对和如何恢复等因素拓展风险热力图，评价风险发生的可能性及其影响 对整个组织的风险管理应对进行评价，并将重点放在情景规划上 风险管理中一个最根本的问题是内审人员常常困扰于检查表法。内部审计师应从一张空白的清单开始，重新评价事项，然后再考虑关联风险，这样可以获取之前风险评估没有发现的信息。 内部审计师应时刻关注“什么风险将会使组织陷入困境？”,推动组织采用更具战略性的风险管理方法 内部审计师可以采取以下措施： 提高风险评估的质量，增加风险评估的频率，做好报告工作 推动组织内部有关风险管理的讨论 将风险管理视为内部审计人员的核心技能，保证审计人员能够获得适当的风险和风险管理实务方面的培训 评价组织的业务计划，判断在组织战略中是否合理考虑到风险因素，是否进行风险监测并设置触发机制 结合COSO的风险管理框架，促进组织风险管理的改善 评价年度报告 提出一些问题，如是否恰当地披露和讨论了企业的风险；持续监督和评价利益相关者对于风险及风险管理相关的期望，协助开展针对利益相关者的培训工作；加强与组织中其他风险和控制职能部门的联系，以更有效地识别风险；发现并分享风险管理最佳实务。,八、过程导向的内部审计报告,1.当前审计报告实践中存在的问题 审计主管将一位训练有素的审计师完成的报告初稿撕成碎片、推倒重来。 审计的客户只关心审计结果，只期望首席审计官尽快提交最终审计报告，而毫不关心报告的撰写过程。 过多的复核层级和复核程序，使得报告的撰写花去了太多的时间和预算。,八、过程导向的内部审计报告,1.当前审计报告实践中存在的问题（续） 大多审计人员关心审计过程远胜于关心审计报告，以至现场审计结束后会漫不经心地完成一份质量不高的报告交给主管。 不少审计人员是一个好的检查者、问题发现者，但不是一个好的报告人，能了然于心却不能信达于言。,八、过程导向的内部审计报告,1.当前审计报告实践中存在的问题（续） 现场审计人员与审计主管在语法、拼写、逻辑、问题解释等方面存在认识上的不一致。 远离审计现场、远离现实环境，在办公室撰写审计报告，往往造成审计报告未充分考虑被审计单位利益，结构不合规定，内容贫乏又不易理解。,八、过程导向的内部审计报告,2.有效审计报告需要遵循的原则 2006年，IIA根据萨奥法案提出有效审计报告需要遵循的五项新原则： 将最重要的信息和最紧要的事情放在首位。 坚持使用简单、清晰、不会混淆的措辞。 不要过分强调某些内容，有节制地使用大写字母、下划线、斜体和黑体字。 合理运用留白，不要将太多数据挤在一个小区域中。 使用人们容易理解的标题和术语。,八、过程导向的内部审计报告,3.过程导向审计报告 一般审计流程,八、过程导向的内部审计报告,3.过程导向审计报告 审计报告撰写流程,八、过程导向的内部审计报告,3.过程导向审计报告 综合审计流程图,八、过程导向的内部审计报告,3.过程导向审计报告 过程导向审计报告的特征： 审计报告过程与审计工作过程紧密结合，同步推进。 迅速识别报告撰写过程中发生的新情况与新变化并做出反应。 在审计报告过程中运用沟通与合作技能，确保审计报告符合报告用户的需求、重点突出、内容明确、逻辑严密、表达清晰。 运用联系与综合性思维方法对审计报告的内容进行取舍、排序。,八、过程导向的内部审计报告,3.过程导向审计报告 过程导向审计报告的重要意义 “过程导向”体现了审计报告撰写过程与审计工作流程一体化的新理念,突出了联系与综合性思维、沟通与合作技能贯穿审计报告全过程的重要性。 审计报告绝不是一项尾随在审计工作完成之后单独进行的任务，将报告的撰写过程与审计工作流程相整合，既可以提高审计工作和审计报告的效率，又可以保证报告撰写的条理性、逻辑性和清晰性，从而将内部审计工作的价值淋漓尽致地体现出来。,八、过程导向的内部审计报告,3.过程导向审计报告 对审计人员专业胜任能力的要求以相互关联及综合性的思维方式组织和编写审计报告 相互关联及综合性思维定义为三种能力：了解模式、综合各部分并识别其中的重要要素；概括给定事实，综合几个领域的知识并得出结论；比较并区分各种观点，在合理讨论的基础上进行选择，验证证据的价值。,八、过程导向的内部审计报告,3.过程导向审计报告 对审计人员专业胜任能力的要求以相互关联及综合性的思维方式组织和编写审计报告（续） 相互关联及综合性思维就是要将“从具体到一般”的审计逻辑流程与读者期望的“从一般到具体”的阅读报告流程实现有机融合，生成一份使读者能快速阅读、直奔主题、相信自己拥有充分信息的审计报告。,八、过程导向的内部审计报告,4.自动生成的审计报告 信息技术正在改变着审计报告的形式和生成方式。“软件奇才正在发明自动收集、复核和存储数据的综合方法，并改变着审计程序，以前人工的、事后检查的方法正在向自动化的、防护性的方法转变” 传统的内部审计报告将变得更加具有预防性并实现更高程度的自动化。萨奥法案是程序自动化和报告自动化的催化剂。,八、过程导向的内部审计报告,4.自动生成的审计报告 优点 完整的审计轨迹 自动收集数据并直接将其输入报告文件，能保留完整的审计轨迹，从而加大了毁坏文件和实施舞弊的难度。,八、过程导向的内部审计报告,4.自动生成的审计报告 优点（续) 提升审计人员的能力 自动化系统的大量使用，使得内审人员可随时获取特定时期的所有数据，并定期测试数据、列示异常情况，从而大大提升了内部审计人员的能力。,八、过程导向的内部审计报告,4.自动生成的审计报告 优点（续) 预防性控制 自动编制审计报告，使得审计人员能事先发现需要预防的问题，而不仅仅是在事后发现需要记录的问题。,八、过程导向的内部审计报告,4.自动生成的审计报告 优点（续) 稳健性分析 自动化程序可以让审计人员及时获得更多数据，从而对信息作出更全面、更稳健的分析，这有助于识别机会、风险、重大差误，有助于增加内部审计的价值。,八、过程导向的内部审计报告,4.自动生成的审计报告 带来的挑战 自动化并不意味着自动正确 由于自动化程序的复杂性，审计报告不仅要体现对企业信息安全的关注，还要运用高超的沟通与合作技能以跨越内部审计与信息技术人员之间的职业区隔和交流障碍。,八、过程导向的内部审计报告,5.审计报告的艺术性和可读性 审计报告的艺术性 审计报告作为内部审计师与管理层、董事会以及企业其他利益相关者沟通的方式与载体，其表达内容与形式上的艺术性不容忽视。 审计人员勤恳、高效的工作与汗水和智慧的结晶能否博得审计报告用户的一声赞叹，在很大程度上取决于审计报告的吸引力与表现力。,八、过程导向的内部审计报告,5.审计报告的艺术性和可读性 审计报告的艺术性（续） 及时、充分、有技巧的沟通是内部审计报告撰写的润滑剂，合作则是将审计人员和审计客户、审计对象紧密联系起来的纽带，使审计报告在良好的合作氛围中收获巨大成效。 2006年IIA的调查显示，专业技能中的访谈能力、行为技能中的人际交往能力和团队精神是审计人员的最重要技能。,八、过程导向的内部审计报告,5.审计报告的艺术性和可读性 审计报告的艺术性（续） 审计报告不只是发现负面问题、消极事实，还要发现良好实践、积极表现。审计人员要利用多种渠道将审计对象的良好实践向董事会、高管层以及组织内部其他阶层报告或宣传。,八、过程导向的内部审计报告,5.审计报告的艺术性和可读性 审计报告的艺术性（续） 审计建议的提出要力避与公司文化发生冲突、要权衡公司核心价值与高管层的风险偏好及管理风格、要关注问题背后的系统性问题。,八、过程导向的内部审计报告,5.审计报告的艺术性和可读性 审计报告的可读性 审计报告的写作技巧 准确、具体、洗练的用词可以强化报告内容的客观性与说服力； 条理清晰、言简意赅的用语可以促使报告获得信任和