内部审计理论与实务(ppt 50页)

全省内审人员执业资格考前培训之二内部审计理论与实务,主讲：王学龙兰州商学院会计学院2012年4月24日,甘肃省内部审计协会,内部审计理论与实务,内部审计准则和职业道德规范审计程序和技术方法、内部审计报告内部控制审查与评价、风险管理、公司治理内部审计概论,第一部分内部审计基本理论第一章内部审计概述第二章内部审计准则与职业道德规范第二部分内部审计方法与程序第三章内部审计程序第四章内部审计技术方法第八章内部审计报告第三部分内部审计实务第五章内部控制审查与评价第六章组织风险管理第七章公司治理与内部审计,内部审计理论与实务讲授内容,第一讲内部审计概述,内部审计概念和业务类别定义：1、独立性和客观性；2、一种咨询和保证活动；3、采用系统化、规范化的方法；4、任务是对组织的风险管理、控制和治理程序进行评估和改善；5、目的是为组织增加价值并提高组织的运作效率，帮助组织实现目标。,内部审计概念,1、内部审计产生的客观基础：内部审计产生的客观基础是受托经济责任关系，所谓受托经济责任关系是指财产资源所有者与经营管理者、上级管理者和下级管理者之间形成的委托或受托经营管理的关系。2、内部审计的性质：内部审计作为内部管理和控制的重要手段，与企业单位中其他管理和控制措施相比具有综合性、高层次。,内部审计的业务范围,财务审计；经营审计；专项审计；任期经济责任审计（兼有财务审计与经营审计的内容）；其他交办审计。,内部审计的特征,1、服务的内向性；2、审查和评价的及时性和广泛性；3、与本单位目标的紧密相关性。,第一讲内部审计概述,内部审计的宗旨：为本组织的管理者提供服务内部审计的作用：1、监控作用；2、咨询作用；3、风险预警作用；4、信息鉴证作用。内部审计的组织机构形式：1、董事会或董事会下设的审计委员会形式；2、监事会模式；3、总经理模式（这是最主要的一种形式）；4、纪检、监察合署模式；5、隶属于财会部门模式。-在实践中，内部审计地位的高低往往取决于：内部审计机构的设置层次；内部审计的职责；内部审计机构工作开展情况。,内部审计人员的基本条件：,1、具备必要的学识及业务能力，熟悉本组织的经营活动和内部控制，不断接受后续教育以保持和提高专业胜任能力。2、遵循职业道德规范，恪守应有的职业谨慎3、保持独立与客观，不负责被审计单位经营活动和内部控制的决策与执行4、具有较强的人际交往技能，能恰当地与他人进行有效沟通,内部审计的行业管理,内部审计行业自律管理中国内部审计协会1、制定内审准则和职业道德准则2、提出指导内部审计工作的意见和建议3、组织培训和职业资格、技术职称考试4、交流内部审计工作经验5、协调行业内外关系6、开展国际交往活动,第二讲内部审计准则与职业道德规范,一、内部审计准则1、国际内部审计准则的主要内容（1）国际内部审计师协会内部审计职责说明书（SRIA1947)（2）内部审计实务标准（属性标准、工作标准、实施标准）国际审计准则-工作标准的内容包括：审计业务计划；报告审计结果；管理内部审计活动；监测审计结果的处理情况。（3）内部审计实务公告2、中国内部审计准则（1）中国内部审计基本准则：一般准则；作业准则；报告准则；内部管理准则。-它具有阐明内部审计原理、指导内部审计工作规范性要求的功能。（2）具体准则（29#）（3）实务指南（3#）,二、内部审计职业道德规范,1、国际内部审计协会的内部审计职业道德规范（1968年）（1）与内部审计职业和实务相关的原则：正直；客观；保密；能力。（2）描述内部审计人员预期行为规范的行为原则。2、中国内部审计人员职业道德规范（2003年）,第三讲内部审计程序,内部审计程序模式1、传统内部审计程序-控制导向审计程序2、现代内部审计程序-风险导向审计程序国际内部审计师协会的一份研究报告表明，内部审计模式将从控制导向审计向风险导向审计转变。,第三讲内部审计程序,审计准备阶段审计实施阶段审计终结阶段后续审计内部审计管理,审计准备阶段,1、选择审计项目：确认被审计事项；确定相关风险因素并评估其重要性程度。2、委派审计人员，编制项目审计计划(1)组成审计组（2）编制项目审计计划项目审计计划的内容：被审计单位的基本情况；审计目的、审计范围及审计策略；重要性和审计风险的评估；审计组的构成和审计时间的分配及预算安排；对专家和外部审计工作结果的利用；其他有关内容。（3）制定审计实施方案，下发审计通知书审计实施方案的基本内容：审计目标；审计内容、方法和程序；执行人及执行日期；审计工作底稿的索引号；其他有关内容。审计通知书的内容：被审计单位、项目名称；审计目的、范围和时间；被审计单位应提供的资料和其他必要的协助；审计小组名单，审计机构及其负责人的签章和日期。,审计实施阶段,1、调查和测试内部控制2、扩大测试和审计结果3、获取审计证据-审核、观察、监盘、询问、函证、计算、分析性复核；例题：下列各项中不能采用函证法进行审计取证的事项是：A.债权和股票；B.财产担保和财产抵押C.会计凭证和会计报表；D.短期投资和长期投资,审计证据,1、审计证据的类型：书面证据、实物证据、口头证据、电子视听证据、环境证据。口头证据是指与被审计事项有关的人员提供的言词材料。例如被审计事项知情人的陈述、被调查人的口头答复。2、取证时应考虑的因素：（1）不同类型证据相组合的必要性；（2）审计目标的指导性；（3）审计风险；（4）成本效益的考量；（5）重要性。3、评价审计证据的充分性和适当性（可靠性、相关性、有用性）,审计工作底稿,编制审计工作底稿-审计人员需要把审计证据的计划、收集、分析、解释和综合等一系列过程记录于工作底稿，作为审计结论的依据。1、类型（P60)2、内容：审计对象名称、审计目的、审计日期或期间、审计师签名及日期、目录或索引号。3、复核,审计终结阶段,编制内部审计报告审计项目负责人应在实施必要的审计程序后，编制审计报告，并向被审计单位征求反馈意见。审计报告是说明审计目的、范围和结果的经签署的书面文件。包括审计结果、审计意见和审计建议。编制步骤：检查工作底稿-起草报告-讨论报告-修改并审定报告-发送报告。审核审计报告报送审计报告形成审计档案,后续审计,后续审计的定义及意义后续审计是指内部审计机关为检查被审计单位对审计发现的问题所采取的纠正措施及其效果而实施的审计。后续审计中需要考虑的主要问题:分析问题，寻找原因；坚持风险导向和成本效益原则；确认责任，编写后续审计报告。后续审计的主要步骤1、分析被审计单位的反馈意见（需要关注反馈意见）2、与被审计单位进行讨论3、对重大的审计结果进行现场追踪审计和测试4、针对已采取的各项措施进行评估，对控制风险重新进行评估5、提交后续审计报告,内部审计管理,内部审计项目管理1、审计项目人员安排的管理：个人每年出具声明说；实行定期轮换。2、审计项目质量控制（1）组织机构-建立质量控制机构、制定质量控制制度；（2）监督机制-审计人员自查、互查、小组内部分层次检查、审计机构专人检查。（3）程序：监督内部审核外部审核（4）内容：审计实施方案质量控制；内部控制制度测试及评价的质量控制；现场审计工作质量控制；审计报告质量控制；后续审计工作的质量；审计档案工作的质量控制。内部审计机构管理1、内部审计经理的责任2、质量保证程序包括三个环节，即：一是监督，二是内部审核，三是外部审核。,第四讲内部审计技术方法,一般方法:询问法；审核法；观察法；函证法；监盘法。审核法的适用对象主要是会计凭证、会计账簿、会计报表等会计资料和计划、预算、会议记录及各种规章等其他有关资料。监盘法的局限性是只能对实物资产是否确实存在提供有力证据，但都不能保证被审计单位对资产拥有所有权。函证法的应用步骤：1.确定函证事项2.编制并寄发询证函3.收回询证函进行分析及处理4.在未收回询证函情况下采取必要的替代程序,分析性复核,1、分析性复核的目的：审计准备阶段-编制审计计划；审计实施阶段-收集审计证据；审计报告阶段-复核审计结果。2、分析性复核的方法：趋势分析法；比率分析法；简单合理性分析法。3、分析性复核的局限性4、分析性复核的步骤：确定对象-估计预期值-确定重点查验的标准-确认是否存在重大查验-调查重大差异的原因-确定进一步审计程序。5、分析性复核结果的处理：当分析性复核结果出现异常差异时，审计人员应当进行调查，要求被审计单位给予解释，并获得适当的验证证据；如果被审计单位不予解释或解释不当，则可能预示着存在潜在的差错、不正当或非法行为，审计人员应当考虑是否实施其他审计程序。内部审计人员在确定对分析性复核结果的依赖程度时，应当考虑的因素有：分析性复核的目标；被审计单位的性质；以往审计中发现的差异和漏洞，但不必考虑分析性复核所分析的信息形式。,第四讲内部审计技术方法,审计抽样1、相关概念：总体和样本；抽样风险与可信赖程度（反向关系）；可容忍误差（与样本量成反向）；预期总体误差；审计抽样（统计抽样）。2、审计抽样的基本程序（1）确定被审计总体范围（2）确定样本量-考虑可信赖程度（同向）、可容忍误差（反向）。（3）样本的选取-随机选样法、系统选样法、分层选样法。（4）审查样本（5）抽样结果的评价：分析样本无偿-推断总体误差-重估抽样风险-形成审计结论。3、控制测试中抽样技术的运用-属性抽样（1）固定样本量抽样（2）发现抽样4、实质性测试中抽样技术的运用-变量抽样,第四讲内部审计技术方法,计算机环境下的审计技术方法概述1、手工方法-面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法。2、应用计算机审计的方法-测试数据法、平行模拟法、在线连续审计技术、综合测试法、受控处理法、受控再处理法。计算机环境下的审计技术方法1、测试数据法2、平行模拟法,第八讲内部审计报告,内部审计报告的作用、内容和类型1、内部审计报告的基本要素和内容基本要素：标题、收件人、正文、附件、签章和报告日期。审计报告的正文应包括以下主要内容：（1）审计概况：（2）审计依据；（3）审计结论；（4）审计决定；（5）审计建议；（6）附件，包括对审计过程与审计发现问题的具体说明、被审计单位的反馈意见等。2、审计报告应达到的要求：具有建设性；必须可靠；及时、清晰、简明。,内部审计报告的作用、内容和类型,3、审计报告的作用（1）全面总结审计过程和结果，反馈审计任务的完成情况（2）评价被评价单位的经济活动并提出审计意见和建议（3）指导被审单计单位纠错防弊（4）作为评价审计人员工作业绩，控制审计质量的依据。,4、审计报告的分类：,（1）按审计对象和报告的内容特点划分：财务审计报告、营运审计报告、信息系统审计报告、风险管理审计报告、公司治理审计报告、其他审计报告。（2）按审计报告是否正式和完整程度可分为：口头报告；中期审计报告和非正式备忘报告；问题式审计报告；正式审计报告；总结式审计报告（一般提交给审计委员会或管理高层）。,第八讲内部审计报告,内部审计报告的编制原则和方法1、编制原则：客观、完整、清晰、及时、具有建设性并体现重要性原则。2、报告格式：（1）报告对象和抄送人；（2）报告主题和检查目的；（3）审计范围和实地检查日期；（4）采用的审计程序；（5）检查结果和审计意见。（6）报告的重点：披露发现的情况和问题；描述情况并说明原因；提出改正意见和措施。,3、报告的编制方法,要求：措辞专业，表达精确，语言简洁，逻辑清晰，考虑被审计单位的意见，并富有建设性。审计报告内容的有效沟通1、现场审计结束时与被审计部门的沟通；2、针求被审计部门对审计报告的意见；3、与被审计单位领导的沟通。通常情况下，编制审计报告过程可分为以下步骤：检查工作底稿起草报告讨论报告修改并审定报告发送报告,第三部分内部审计实务,第五讲内部控制审查与评价内部控制的概念内部控制的要素内部控制审查与评价的内容内部控制审查与评价的方法内部控制自我评价,内部控制的概念,内部控制的演进内部牵制-内部控制-内部控制结构-内部控制框架内部控制的定义：内部控制是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果而采取的各种政策和程序，由控制环境、风险管理、控制活动、信息与沟通和监督五个要素组成。内部控制的责任1、管理层的责任：建立与维护内部控制制度的责任。2、董事会的责任3、内部审计机构的责任-对内部控制的健全和有效性负有评估责任，但对内部控制制度的建立与维护不负责任。4、其他员工的责任内部控制的目标：1、促使企事业单位遵守国家有关法律法规和组织内部规章制度；2、保证会计及其他信息资料的真实和可靠；3、保护资产的安全与完整；4、提高经营效率和效果。,内部控制的要素,控制环境：董事会，管理者的素质，管理者的经营理念，管理者倡导的组织文化，各项职责的分工及相应人员的胜任能力；人力资源政策及其执行。风险管理控制活动：1、适当授权；2、职责分工；-如采购员不能同时兼任记账、出纳工作3、有效的凭证与记录控制；4、资产和记录的接近限制；5、独立审核。信息与沟通监督：内部审计是基于企事业单位内部管理和控制的需要产生和发展起来的。,内部控制审查与评价的内容,1、审查与评价控制环境：2、审查与评价风险管理：3、审查与评价控制活动：4、审查和评价信息与沟通：,第六讲组织风险管理,风险的概念和风险管理的重要性风险环境和风险分类风险管理的方法COSO风险管理模式介绍内部审计人员在风险管理中的角色,风险的概念和风险管理的重要性,风险的一般概念1、概念：风险的概念起源于意大利，17世纪由法国传入英国，19世纪早期传入美国。IIA的定义：风险是发生某种影响目标完成的事件的不确定性。风险的大小可用该事件的后果和可能性来计量。2、风险的特点：不确定性；绝对性；主观性（对风险的评价因人而异，在某个人看来有极大的风险，可能对于另外一个人来说没有什么风险或者风险极低）。企业风险管理的性质企业风险管理是由企业的董事会、管理层以及利益相关人员共同实施的、从战略层面开始的、并贯彻与企业的一个过程。,风险环境和风险分类,风险环境：影响组织经营目标不能实现的经营环境就是风险环境。外部的法律、政治、经济环境会给组织带来风险，内部的经营管理活动也会产生风险。内部风险：包括战略风险、财务风险（融资风险、利率风险、汇率法律、投资回报率等）、经营风险（财产损失、信息管理风险、供货风险、人才流失、物流风险、运营风险等）、丧失诚信风险。外部风险：包括法律风险、政治风险和经济风险。企事业单位面临的风险环境中包括来自于内部的风险，主要有：战略风险、财务风险、营运风险、诚信风险。经营环境是风险的根源，内部审计应从着眼于风险转到着眼于经营环境。经营环境主要包括一般环境和社会环境，创业环境，组织环境和内部审计应用环境。,风险管理的方法,风险管理的定义：企业风险管理是由企业的董事会、管理层和其他人员实施的、从战略层面开始的、并贯穿整个企业的一个过程。（COSO)风险管理的内容和方法1、风险环境分析；2、风险事件识别和风险评估3、风险反映4、控制活动和风险信息沟通5、监控风险管理的有效性；风险管理的一般过程1、确定风险管理环境；2、识别风险；3、风险分析；4、评估风险；5、处理风险。,COSO风险管理模式介绍,COSO报告的目的：企业风险管理的目的在于帮助企业实现利润目标，防止损失，提高财务报告的质量；遵纪守法，避免信誉损害，帮助企业达到目的并避开沿途的险境。COSO对企业风险管理的定义：企业风险管理是由企业的董事会、管理层和其他人员实施的、从战略层面开始的、并贯穿整个企业的一个过程。COSO确定的企业风险管理基本要素：控制环境、事件识别、风险评估、风险反映、控制活动、信息和沟通、监控。,企业风险管理概述,风险管理和企业目标的关系：企业通过评判风险管理在4个层面的目标（战略目标、经营目标、可靠的报告、遵守法律）中的有效性可以得到实现企业经营目标的合理保证。（P165)风险管理的限制因素:经营决策者的人性弱点的现实，多个人员的合谋作弊，风险控制的高成本/效益比率，控制程序没有正常运行，管理人员超越控制程序，等。相关人员在风险管理中的责任：1、董事会和企业的首席执行官负有最终的责任，其他人员负责执行制定的风险管理指标；2、财务执行官、风险执行官和内部审计师的责任。,内部审计人员在风险管理中的角色,在风险环境分析中的作用：评估单位的“固有风险”和“剩余风险”；分析环境因素的变化；将分析结果反映给管理层的审计报告中。在风险事件识别活动中的作用：内部审计人员要判断管理层是否完全识别了单位的所有风险，若有遗漏，要提醒管理层加以考虑。在风险评估中的作用：内部审计人员从客观的角度分析风险的假设条件、计算方法来评价风险，提供专业意见。在风险反映和控制活动中的作用：内部审计人员通过分析/评估风险回避的合理性、减少风险措施的有效性，以降低单位承受的风险。在风险信息沟通和风险管理系统监控中的作用：内部审计人员通过审计报告可以向董事会和审计委员会传递风险是否得到有效管理的信息，保证单位对风险的管理是一直有效的。,第七讲公司治理与内部审计,公司治理概述公司治理的原则公司治理的内容美国公司治理相关规定介绍内部审计人员在公司治理中的角色,公司治理概述,公司治理的概念和产生的原因公司治理是研究包括股东在内的利益相关者之间的联系以及规定它们之间关系的制度安排。换言之，公司治理就是通过建立一系列内部和外部的规范机制来明确对公司管理者和董事会的责任要求，对他们履行责任的情况实施监督，防范管理者的不良行为，保障股东及其他利益相关者的利益。公司治理产生的原因是两权分离、股东与管理者的利益冲突、信息不对称。,对公司治理认识的发展和完善,1、20世纪90年代初步形成时期-强调董事对股东的责任。2、20世纪末逐步发展时期-公司治理是为了确保企业在经营活动中遵守各项相关法律法规制度、财务会计准则和履行日益增加的社会责任的前提下，实现股东价值最大化。3、21世纪不断完善时期-安然事件后，扩大了公司治理的内涵，将公司董事会制度纳入公司治理的范畴。,公司治理的原则,公司治理所约束的关系1、管理者对董事会的受托责任关系；2、