1、中国内部审计协会2006年至2010年工作规划 一、工作方针:管理、服务、宣传、交流。二、总目标:1、推进内审工作基本实现从真实性、合规性为导向的财务审计为主向以内部控制和风险管理为导向的管理审计为主的全面转型与发展,促进内部审计事业逐步实现法制化、规范化、现代化。2、全面实现协会工作方式从行政管理型向服务自律型的转变,基本建立起符合我国社会主义市场经济要求和内部审计职业发展规律的职业自律体制和协会工作机制。三、发展完善准则建设工作,以“发展完善”与“组织实施”并重的原则,推进“实务指南”的起草和制作力度。四、加强内部审计理论方法研究。1、组建“内部审计研究中心”;2、组织编写内部审计学;3、
2、举办理论研究成果交流会,就内部审计与公司治理、内部控制和风险管理、管理与效益审计、IT审计与相关领域发展的实践经验和研究成果开展开放式的交流;4、引进国外先进内部审计理论与方法,建立主要国家内部审计发展情况的资料库;5、制定内部审计工作质量评价指标体系;6、健全理论和方法研讨的机制,运用“论文评选”、“专题调研”、“典型调研”等多种形式,利用电子信息网络技术,提升研讨效果和效率;7、促进研究成果的利用和转化。五、加强内部审计职业化教育工作。1、并重“专业胜任能力”和“职业道德教育”;2、开展远程教育;3、开展案例教学;4、加大CIA的宣传和推广;5、规范内部审计资格证书的考试,统一考试大纲,制
3、定考试办法和实施细则,规范考试工作;6、引进管理会计师的考试(CMA),拓宽内审高级管理人员的视野;7、规范各考试项目的管理,维护考试的严肃性和权威性;8、加强内审的宣传工作,办好内审网、中国内部审计会刊、加强与地方媒体的沟通与合作、做好2008年至2010年度两次全国内部审计“双先”评选活动;9、开展与国外组织和海峡两岸的交流;10、完善体制推动协会建设(发展单位会员、个人会员及行业设立分会);11、全面加强秘书处建设,做好内审信息、内审咨询等工作(上海审计上海内审网)。多种形式依法开展审计工作提高审计工作效率 1、基础审计 2、专项审计 3、审计专题调查 4、审计信息 5、审计科研1、基础
4、审计财政、财务收支审计(以经济活动真实、合法性为审计重点,揭露财政、财务收支活动中违法乱纪及造假等情况。)2、专项审计:(1)经济效益审计(以经济活动的经济性、效果性、效率性为审计重点,使经济活动在结构合理的前提下有质量的进行提升及可持续的发展。)(2)经济责任审计(以明确责任、监督过程、评价结果为审计重点。)(3)财经法纪审计(以查处专案为审计重点。)(4)管理审计(以完善法人治理结构为审计重点。)(5)环境审计(以保护自然及社会环境为审计重点,并注重环境成本的研究。环境成本指生产、使用、运输和回收过程中,为解决和补偿环境污染、生态破坏、资源流失所需费用之和。如在考虑环境成本的情况下产品的价
5、格应由以下三部分组成:1制造产品的原料价格;2制造产品的劳动力成本及预期利润之和;3制造产品及使用该产品过程中对环境造成的危害。)(6)舞弊审计(以预防由于主观动机而损害国家或组织利益、谋取集体或个人利益为审计重点。)(7)固定资产投资审计(以预防重大投资项目资金损失、浪费为审计重点。其审计主要内容是:项目建设程序执行、项目资金来源与使用、项目财务收支情况及项目竣工决算等方面。)(8)内部控制审计(以强化组织内部日常管理、形成自律系统为审计重点,通过促进组织主动建立和加强良性的控制环境,引导、激励人们正确履行责任,实现组织目标,并将控制环境逐步融入组织文化体系。)(9)风险基础管理审计(以识别
6、、评估和控制组织经营活动中出现的相关风险为审计重点,并根据各种经济活动的特点,建立一个长期运行有效的风险管理机制。)(10)其他(根据法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项)注意点:上述所有专项审计首先要解决好经济活动的真实、合法问题。其次紧紧围绕内部控制实施情况展开。再次明白上述各项审计内容彼此间有着密切联系。3、开展专项审计调查:对重点投资项目、对关系人民群众切身利益的财政专项资金使用情况、对组织运行中资金利用、内外部管理和协调、组织经营效益实现及降低组织运行风险等方面的热点及难点问题进行调查或开展绩效评估,等等。4、反映审计信息:及时反映在开展审计工作时发现的
7、相关信息,为决策管理活动提出良好的审计建议。5、审计科研:打好审计理论及实践基础,实施审计发展的战略目标,合理运用审计工作成果(例:如何根据各行业特点来制定科学合理的内部审计制度、合理运用审计技术及评价方法等等)。可参见及阅读如 上海审计、中国审计、中国内部审计等文章。审计工作思考体系1、知道是什么?2、知道为什么?3、知道谁去做?4、知道怎样做?开展内部控制审计工作的一些重要概念内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性,促进组织目标的实现。组织发展目标可包括:功能定位、产业结构、形态分布、和谐发展等内容。内部控制实施历程
8、1、基于职责结构的内部控制 将组织内部职责进行细分,并研究相互关系和建立制约关系。强调了不相容职务的分离。2、基于业务结构的内部控制 将组织的业务类型进行细分,并研究相互关系,并建立关联和制约关系。内部控制的作用范围扩大到经营管理领域,形成了内部管理控制。3、基于组织结构的内部控制 在管理层面上,将决策、执行、监督相分离;在业务层面上,将执行与监督相分离。第、者注重执行层面;第者更注重整体性的战略管理特性。4、基于风险结构的内部控制 内部控制不再局限于单项岗位、单项职责、单项业务、单项流程,而是要包括组织活动的全过程、全体人员,控制视角不仅包括几个关键控制点,还要包括所有可能诱发风险的所有活动
9、上。5、基于信息结构的内部控制 将基于职责结构、业务结构、组织结构、风险结构的内部控制与信息技术相集成。一是要利用信息技术对职责结构、业务结构、组织结构、风险结构的内部控制进行改造和调整。二是要使内部控制的运作方式信息化。形成一个适于组织的管理信息系统,包括审计管理系统和审计实施系统。对大型组织而言,可能需要高度集成化和网络化,例如集团化组织、跨国和跨地区的组织。内部控制的内容发生了变化:1、“单要素”的内部控制内部牵制,是内部控制的最初形态。特点:物理牵制、职责牵制、簿记牵制等。2、“两要素”的内部控制-内部会计控制和内部管理控制,包括组织机构和方法措施。特点是将管理问题纳入控制视野。3、“
10、三要素”的内部控制(上世纪80年代)-控制环境、会计制度、控制程序。特点是以“框架”论取代“制度”。4、五要素内部控制(上世纪90年代)控制环境、风险评估、控制活动、信息沟通、内部监控。特点是将内部审计引进内部控制视野。5、八要素内部控制(本世纪)年美国的防止虚假财务报告委员会提出了企业风险管理框架,将内部控制内容深化成八项要素:控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、内部监控、信息沟通。特点:内部控制框架与企业风险管理框架相融合。内部控制的演进对内部审计影响1、使内部审计具有双重身分。内部审计既在内部控制之中,又在内部控制之外,发挥着其它监控机制所不能发挥的作用。如开展内
11、部控制自我评估工作。2、使内部审计的工作重心发生变化。内部控制发展对内部审计工作内容产生了决定性的影响。单要素内部控制关心资产及其记录的安全。两要素内部控制进一步关心资产及其记录安全性之外的管理问题。三要素内部控制开始关注控制环境。五要素内部控制又将控制重心转向组织的风险领域。八要素内部控制实际上是从企业风险管理的角度来看待内部控制,将内部控制与风险管理融为一体。、使内部审计关注的领域发生变化。凡是决策层、管理层、外部利益相关人关注的领域,理当成为内部审计关注的对象和有所作为的领域,如风险管理、经营管理、效率管理等领域。、使内部审计的实务类型发生了变化。内审实务中出现了风险导向、管理导向、经营
12、导向、业务导向、业绩导向等内部审计类型。、使内部审计理论迅速给予更新。以风险管理为例:比较传统的观点和实务是内部审计部门需要评估组织的风险管理体系,出具评估风险的报告。比较激进的观点和实务是直接评估和报告风险。我国将全面推进及实施内部控制制度 1、满足外部监管机构的要求;2、完善业务流程,提高公司管理和控制水平与效率;3、完善规章制度,明确职责,加强监督;4、更好的理解企业所面领的风险,有效地规避风险;5、全面风险管理将成为企业管理的标准规范。中国企业内部控制基本规范是我国实行内部控制规范性的文件 财政部会同证监会、审计署、银监会、保监会,于2008年6月28日正式发布企业内部控制基本规范(以
13、下简称内控规范,2009年7月1日起强制在上市公司范围内实施(现在已修改执行日期);为了配合企业内部控制基本规范的施行,财政部、证监会、审计署、银监会、保监会又联合发布了企业内部控制评价指引、企业内部控制应用指引和中注协主持起草的企业内部控制鉴证指引等配套规范的征求意见稿,届时我国上市公司的内部控制的建立和评审的体系就基本确立。根据财政部、证监会、审计署、银监会、保监会关于印发企业内部控制基本规范的通知,企业内部控制基本规范(以下简称“基本规范”)自2009年7月1日(原决定)起在上市公司范围内施行,鼓励非上市的大中型企业执行。根据本规范第一章总则第二条,本规范适用于中华人民共和国境内设立的大
14、中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行内部控制基本规范。确立内部控制审计目标 一、审计总目标:适当、合法、有效。内部控制审计总目标:健全、合理、有效。二、审计的具体目标的制定:必须是十分明确而具体的,易于理解并且可以实现的。有两种表达方式:一是将审计目标写成审计之后要达到的一种状态。二是列示一些问题,审计之后要对这些问题进行回答。一般审计具体目标:1、存在性;2、准确性;3、完整性;4、所有权;5、合法性;6、估价;7、截止期;8、披露(根据各审计项目要求还需进一步细化)。内部控制审计的具体目标:(1)授权(2)真实性(3)
15、完整性(4)计价(5)截止期(6)分类(7)过账和汇总。上述具体目标根据各审计项目要求还可进一步细化,并将其内容体现在审计方案中。中国实施内部控制五要素内容(我国目标体系与COSO的对比)明确内部控制五大原则(一)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。内部控制应覆盖企业的各项业务活动、各个部门和各级人员,并应针对业务处理过程中的关键控制点,将内部控制活动渗透到决策、执行、监督等各个经营环节,即要在企业内部实行全过程、全员性的控制,不能存在内部控制活动的空白点。(二)重要性原则重要性原则要求企业在对各项经济业务活动实施全面控制的基础上,要有针对性
16、的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。对重要性的应用需要一定的专业判断,企业应当根据所处行业环境和自身经营特点,从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。(详后重要性标准)重要性评定标准有数量和质量两方面的特征,根据行业特点制定。以下供参考 1、制度健全性:90%以上,健全;8089%,基本健全;79%以下,不够健全。2、资产负债差错率2%以内真实;2%-5%基本真实;5%以上不真实。3、损益差错率5%以内真实;5%-10%以内基本真实;10%以上不真实。4、所有者权益差错率0.5%以内,真实;0.5%-1%,基本真实;1%以上不真实。(三)制衡性
17、原则 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。横向:完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明;纵向:完成某个工作需经过互不隶属的两个或两个以上的岗位和环节,以使下级受上级监督,上级受下级牵制。(四)适应性原则 内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。内部控制随着企业内外环境的变化,其控制效果也会发生
18、改变。一些原本效果较好的控制制度,可能会随着环境的改变而失效。因此,企业内部控制应当具有前瞻性,应当随着国家法律法规、政策制度等外部环境的改变和企业经营战略、经营方针、经营理念等内部环境的变化及时进行相应的修改或完善。企业应当适时地对内部控制制度进行评估,以发现可能存在的重大缺陷,并及时采取措施予以补救(五)成本效益原则 内部控制应当权衡实施成本与预期效益,以适当的成本实现有效的控制。内部控制的任何分工、审核、制衡,都必须考虑是否符合成本效益原则。企业内部控制的设计一定要考虑控制投入成本和控制产出效益之比。如果某项控制的成本高于其效益,则不应当采用该项控制。把握原则:企业应从整体利益角度来综合
19、判断某项控制是否符合成本效益原则。尽管一些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时就应该实施该项控制。企业应当充分发挥各部门及人员的工作积极性,尽量降低经营运作成本,保证以合理的成本达到最佳的内部控制效果。明确我国内部控制的具体内容:一、控制环境:正直和道德、激励和引导、道德指引和彰显道德行为、各种岗位所需的知识和技能、董事会和审计委员会的职能、管理哲学和经营风格、组织结构、划分职权和责任、人力资源政策。重点要求:1、规范的公司治理结构和议事规则2、机构设置及权责分配3、审计委员会4、内部审计5、人力资源政策6、企业文化建设7、法律顾问制度及重大法律纠纷案件备案制度控制环境的
20、要求 根据目标制定出最优的人力资源政策。根据企业的具体情况制定和实施有利于企业可持续发展的人力资源政策。1、制定明确的人力资源管理制度。人力资源管理制度必须明确、透明和有相应文档记录的规章制度。2、机构、岗位设置与分析对机构和岗位设置进行分析,确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。3、提高全员职业道德修养及专业胜任能力。4、按职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准:(1)加强员工培训和继续教育;(2)不断提升员工素质;(3)高级管理人员发挥主导作用,加强企业文化建设;(4)建立并贯彻员工行为守则。5、管理层的基调和态度是公司道德规范和文化环境
21、建设的基础 (1)培养积极向上的价值观和责任感;(2)倡导诚实守信、爱岗敬业、开拓创新和团队协作精神;(3)树立现代管理理念;(4)强化风险意识;(5)建立并贯彻员工行为守则。6、建立健全法律顾问及法律工作程序:如:上市公司必须接受国家和证券监管部门颁布的法律法规监管,这是市场经济法则的客观要求。为达到这些目标企业应当:(1)加强法制教育;(2)增强董事、监事、经理及其他高级管理人员和员工的法律观念;(3)严格依法决策、依法办事、依法监督;(4)建立健全法律顾问制度和重大法律纠纷案件备案制度。内部控制的组织实施:1、由董事会负责建立健全内部控制并有效实施。2、由监事会负责对董事会建立与实施的内
22、部控制进行监督。3、由经理层负责组织领导企业内部控制的日常运行。4、由专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。5、由董事会、审计委员会和外部审计(国家审计和注册会计师)机构共同形成内部控制评价的主体。不成功的企业最典型特征:脱贫的领导保姆式的员工 二、风险评估:风险是最为关键的概念。风险是一种事件、行动或者非行动对企业达到自身经营目标和执行战略产生不利影响的威胁。它通常由发生的可能性和产生影响的程度两个要素组成。1、所有的企业都要面对不确定性。不确定性既代表风险,也代表机遇,企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争
23、等。所以不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。2所有风险都可用价值来衡量。表现为增利及损失。从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。3所有风险都应纳入企业管理。、风险可分为企业层面风险和流程层面的风险。(1)企业层面的风险:企业层面的风险是涉及企业各层面的风险,具有普遍性的特点。如政策制定。所以对企业层面风险的控制指对企业有普遍影响的控制,在公司各层级均可执行,包含更多战略性和宏观经济方面的考虑,如缺乏长期的经营策略;审计委员会或董事会对经营缺乏足够的监管等等。(2)流程层面风险:流程层面风险通常可与业务流程中存在的控制活动相联系,其
24、特点是较为具体。如财会部门对现金流过程失去控制,等等。风险源于组织的战略决策,关键在于决策风险和执行风险。不同的目标面临不同的风险和机会。内部控制的设置就是为了管理风险,发现机会,实现组织的战略目标。(1)确定风险目标:将经营、财务、法律等,纳入总体战略。()风险识别:辨别影响战略的风险因素。外部因素:技术进步、市场变动、竞争环境、新法律、自然灾害、经济周期等因素。组织层面因素:信息系统崩溃、雇员素质低劣、培训和激励有问题、董事会和审计委员会职责不到位等。业务层面因素:销售、生产、市场开拓、产品研发、技术研发等。()风险分析:风险因素的影响面及影响程度。()风险反应:实施快速有效应对风险的措施
25、。所有企业都是在有风险的环境下经营,而不是企业风险管理使企业面临这样的环境。企业风险管理使企业的管理者能够:(1)将风险偏好和企业的战略结合在一起。风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。如:沉没成本。(2)将企业成长、风险和收益联系起来,同时预期补偿风险的相应收益。(3)增加风险反应决策。企业的风险反应方案包括风险规避、风险降低、风险共担和风险接受。(4)使企业的经营意外和损失最小化。关键在于减少经营意外的出现次数以及减少相应的成本或损失。(5)确认和管理企业的总体风险。管理不仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。(6)针对多重风险提供完整的反
26、应方案。企业风险管理就是为管理风险提供一整套解决方案。(7)抓住机遇。对每一潜在事项表明了何种机遇有一个了解。(8)合理分配资金。改进企业的资金配置。风险管理关注点:企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应该用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。其7个特点是:1企业的风险管理是一个过程其本身并不是一个目的,而是实现目的的一种方式。2风险管理受人的影响它不只是企业的政策、调查和表格,还涉及一个企业各个层次员工。3风险管理也适用于企业战略制定的全过程。4企业风险管理应在
27、整个企业范围内应用,在每一个经营层面和每一个单位内应用,并应以一种企业总体的风险组合的观点来看待。5风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。6风险管理仅为企业的管理者和董事会提供合理的保证。7企业风险管理的目标是帮助企业一类或几类单独并相互重叠的目标的实现。“合理保证”反映了“不确定性和风险都是与未来相关,而未来是没有人可以确切地预测的”这一思想。内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其正常职责的一部分,他们的工作业绩及工作质量依赖高级管理者、下级管理者或部门执行人员。内审人员主要工作是通过对管理者风险管理过程的充
28、分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。内部风险识别的着手点:1、管理方面:(1)组织结构;(2)经营方式;(3)资产管理;(4)业务流程。2、安全环保方面:(1)营运安全;(2)员工健康;(3)环境保护。3、自主创新方面:(1)技术投入;(2)信息技术;(3)研究开发。4、财务方面:(1)财务状况;(2)经营成果;(3)现金流量。5、人力资源因素:(1)职业操守;(2)专业胜任能力;(3)团队精神。外部风险识别的着手点:1、经济方面:(1)经济形势;(2)产业政策;(3)融资环境;(4)市场竞争;(5)资源供给。2、法律方面:(1)法律法规;(2
29、)监管要求。3、社会方面:(1)安全稳定;(2)文化传统;(3)社会信用;(4)教育水平;(5)消费者行为。4、行业技术方面:(1)技术进步;(2)工艺改进。5、自然环境方面:(1)自然灾害;(2)环境状况。风险评估应对策略(风险反应)的建立 有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。1、风险规避:企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。2、风险降低:企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。3、风险分担:企业准备借助他人力
30、量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。4、风险承受:企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。风险管理的误区误区误区管理依赖于一系列强有力的政策和程管理依赖于一系列强有力的政策和程序序管理是公司内控审计师的责任管理是公司内控审计师的责任经济管理的重点在于财务经济管理的重点在于财务管理本质上是被动的,只是列出禁止管理本质上是被动的,只是列出禁止事项清单事项清单管理造成不可避免的麻烦。我们不仅管理造成不可避免的麻烦。我们不仅要忙于核心业务要忙于核心业务制造产品,促进销制造产品,促进销售和服务客户,还要
31、致力于税务等管售和服务客户,还要致力于税务等管理理正确理解正确理解管理以积极的控制环境为基础管理以积极的控制环境为基础管理是企业相关管理层的责任管理是企业相关管理层的责任管理涵盖公司整体业务经营的方方面管理涵盖公司整体业务经营的方方面面面管理确保业务从开始起就顺利进行,管理确保业务从开始起就顺利进行,并从此延续下去并从此延续下去管理的设计应当和公司的业务经营相管理的设计应当和公司的业务经营相结合结合 三、控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该
32、做什么的一个政策和影响该政策的一系列过程。1、控制活动是公司建立执行的政策章程,以确保管理层的指示可以得到顺利贯彻执行。2、控制活动必须与风险评估结合成一个整体。各种措施的综合运用,重点是确定可承受度。重点关注如下方面:是否可预防或及时发现?是否可管理和监督结合?是否可手工及计算机结合?控制活动的重点目标:1、对财产保护进行控制 2、对会计系统控制运营分析进行控制 3、对授权审批进行控制 4、对绩效考评及其措施进行控制 5、对预算进行控制 6、对运营进行控制 7、对不相容职务分离进行控制控制活动的重要方面:1、权力资产、资金、资本。动机切入法:2007年4月揭示的邯郸农业银行金库资金5300万
33、被盗案符合上述三个症状。(1)欲望(缺钱如生活贫困,如不良习惯:好赌、吸毒,如扭曲的心态等);(2)岗位或权力(如分管财务的岗位,如有权直接接触资金的岗位等);(3)借口如先“借”后还,如“借”了无人知道。2、预算和预测控制、报告控制、业务记录和授权控制、实物控制、预警控制、职责分离控制。四、信息与沟通 信息与沟通是获取和交换信息的程序,以使企业能够正常运行,并得到适当的管理及控制内部控制相关信息的收集信息与沟通技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。包括:1、信息的处理与传递有效 2、信息的及时沟通及时 3、信息与沟通系统能及时识别、获取和交流信息,促使管理层和其他员
34、工履行其职责。科学合理的信息与沟通制度可促进内部控制的有效运行。可用 建立信息系统,满足经营管理需要、战略决策需要和组织内外沟通需要。来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。有效的沟通包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商、行政管理部门和股东等。它的形式包括量化的和非量化的信息,以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。五、监督。内部监督的主体是由管理者、内部审计和外部审计共同构成的监控组合。1、企业应制定内部控制监督
35、制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。2、内部控制监督制度是企业内部控制的重要组成部分,贯穿于内部控制活动的各个环节,是确保企业内部控制高效运行的重要保障。内部审计 中国内部审计的发展要求将趋同于国际内部审计发展的要求。追溯内审发展历程:国家审计阶段(1983年以前)从新中国成立至1983年8月的34年间,我国一直没有独立的政府审计机关。内审建立阶段(1983年-1994年)1983年9月审计署成立后,国家即针对国营企业和行政事业单位制定了一系列的法规,基本确立了我国内部审计制度。至此与内部审计相关的机构也在我国萌芽,中国内部审计学会的成立
36、是我国内部审计发展的重要里程碑之一。同年12月,中国内部审计学会加入国际内部审计师协会,标志着中国内部审计进入国际化运作历程。但是在这一阶段我国尚没有相应法律来确立内审的地位。就企业而言,大多数的精力还是致力于业务的开拓和发展,所以,有些企业的内审部门仍依附于财务部门之下,或直接由财务部门执行此职能,甚至许多企业根本没有内审功能的设置。内审确立阶段(1994年-2002年)1994年中华人民共和国审计法的颁布,中国内部审计的法律地位才得以确立。1995年7月,审计署发布了审计署关于内部审计工作的规定(原1号)第一次对内部审计的定义、机构的设置、职责、权限、审计任务、工作程序以及职业道德等作了全
37、面具体的规定。年代相关法律建立:会计法、中国人民银行法、上市公司章程指引、上市公司治理准则、信托投资公司管理办法、国有重点金融机构监事会条例以及企业国有资产监督管理暂行条例等相关法律法规对“内部审计工作”做了相应的规定。至此,企业开始重视内部审计的角色和职能,基于内部审计的独立性要求,许多企业的内部审计功能不再依附于财务部门,也不再由其代为行使。内审发展时期(后安然时期2003年至今)美国安然公司、世界通讯公司财务舞弊事件的曝光让投资人信心受到重挫。美国于2002年7月30日出台了由美国总统签署的萨班斯-奥克斯莱法案,它强调公司治理对企业的重要性,其中包含对审计委员会和内部审计职能设置和其他相
38、关的要求。近期的金融危机对我国内部审计发展的机遇主要体现为提高了企业管理层对内部审计重要性的认识。许多企业管理层对内部审计的看法有了改观,“认为内部审计是企业风险控制和管理的重要环节,不仅是风险控制流程的重要环节,而且在风险管理后期扮演着重要角色。有了内部审计不一定就没危机,但没有内部审计,危机会更大。目前对风险管理、危机管理不仅是当务之急,而且是发展趋势。”内部审计法规的建立:从2005年至2008年底,中国内部审计协会陆续颁布了中国内部审计基本准则、二十多项具体准则和两个内部审计实务指南,对中国内部审计的基本概念、内部审计活动的目标、宗旨、范围、性质与功能等皆有所指 导。2008年5月,财
39、政部等五部委共同制定了被称为中国的“萨班斯法案”的企业内部控制基本规范。规范第十五条明确规定:企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。至此,内部审计的独立性和客观性,已被视为建立企业内部控制是否完善的必要评估条件之一。做好一些基础工作:(1)强化内部控制意识;(2)内审、内控合规部门及各职能部门的资源配置,开展风险和内部控制的培训;(3)
40、编制内部控制政策、内控评估执行方案,建立内部控制文档保存制度;(4)运用风险评估的方法,通过访谈、问卷、穿行测试等活动,完成内控评估工作;(5)确认相关的流程和内控程序,对已被识别的控制缺陷进行确认;(6)制定各级单位内控管理工作汇报与沟通的内容形式及程序,定期自下而上对内控工作中发现的问题进行汇报,管理层定期自上而下了解各级内控工作的情况以及重大缺陷。(7)制定内部控制测试方案并结合内控建设和绩效考核,定期对内控工作的成效进行监督和考评。其中:管理层要制订整改方案及时间表,组织对整改后的控制点进行再测试。发现内部控制缺陷及并对其进行分类:缺陷是一个或多个一般缺陷的组合,关键在于企业是否能及时
41、防范或发现严重偏离整体控制目标。缺陷一定要引起管理层关注;前面所述主要有设计缺陷和运行缺陷。企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,根据可容忍水平,制定缺陷认定标准,从而对严重偏离的情形予以确定。可分为一般缺陷、重要缺陷及重大缺陷。一、一般缺陷可能对日常运营带来轻微的影响:1、可能导致轻微的人身伤害;2、业务影响情况可以立刻得到较为有力的控制;3、为公司带来轻微的财务损失;4、造成的负面影响在部分区域流传,给公司声誉带来明显损害。二、重要缺陷可能对日常运营造成一定程度的影响:1、可能导致需要进行医疗救护的人身伤害;2、为公司带来一定程度的财务损失;3、其造成的负面影响波及范围较
42、广,在部分地区给公司声誉带来较为严重的损害。三、重大缺陷可能对日常运营造成极大程度的影响:1、可能引起重大的业务失误;2、可能导致发生人身伤亡;3、为公司带来极大财务损失;4、其造成的负面影响波及范围极广,普遍引起公众关注,给公司声誉带来无法弥补的损害;5、政府或监管机构已经针对相关方面进行调查。内部控制缺陷的分类举例 (1)对以前发表的财务报表进行重报,以反映对错误或舞弊导致的错报的纠正。(2)审计师发现的公司当期财务报表的重大错报,但该错报没有被公司有关财务报告的内部控制首先发现(即使管理层随后对错报进行了纠正,这也是存在实质性漏洞的强烈迹象)。(3)公司审计委员会对公司外部财务报告及对其
43、相随财务报告的内部控制的监督失效。(4)对需要设立内部审计职能或风险评估职能来进行有效监控或风险评估的公司而言,如大型或综合性公司,这些职能是否失效?对应该严格监管的行业、经济关系复杂的公司的合规性监管职能失效,该违规行为可能对财务报告的可靠性产生重大影响。(5)涉及高层管理人员的任何程度的舞弊行为。(6)已向管理层和审计委员会汇报的重要缺陷,经过合理期限后仍然没有被整改。(7)控制环境失效:如财务报告内部控制出现重大缺陷的一般迹象。等等。内部控制测评指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实
44、质性测试的性质、范围、时间和重点的活动。内部控制测评的步骤:(一)对内部控制进行调查了解;(二)对内部控制进行初步评价,评估控制风险;(三)对内部控制的执行情况进行符合性测试;(四)提出内部控制测评结果,并利用测评结果,确定实质性测试的范围、重点和方法。调查了解和初步评价内部控制的方法:(一)查阅被审计单位的各项管理制度和相关文件;(二)询问被审计单位管理人员和其他有关人员;(三)检查内部控制过程中形成的文件和记录;(四)观察被审计单位的业务活动和内部控制的实际运行情况。对内部控制测评结果做出结论 在符合性测试的基础上进行实质性测试在确定实质性测试重点领域时要考虑以下三个方面:(一)缺少内部控
45、制的重要业务领域;(二)内部控制设计不合理,控制目标不能实现的领域;(三)内部控制没有发挥作用的领域。确定实质性测试的具体方法时,要针对内部控制缺陷和可能产生的后果提出对应的检查措施,以核实相关的财政财务收支和会计处理是否真实、合法。电算化条件下的内控测试:一般控制、应用控制、专项控制。内控测评的记录与沟通 审计人员应当将调查了解、测试和评价被审计单位内部控制的过程及结果记录于审计工作底稿,并将在测评中发现的内部控制的重要缺陷与被审计单位进行沟通。关注企业不同发展阶段内部控制特点是我们的责任转型阶段创业阶段成熟阶段优点一、吃苦耐劳,有非常强凝聚力二、灵活多变,对环境有极快的反映能力。三、团队之
46、间有很好的信任,不拘泥于规章制度。效率很好!不足一、规模有限、无法完成较大的任务。二、缺乏足够的能力。优点一、具有规模,有领袖与权威,环境快速反映。二、有核心团队、有行业骨干,有一定默契。三、有一定规章制度,但主要是以信任为基础。能承担一定规模业务。有较为丰富的企业资源。不足一、新老队伍需要较长时间磨合,职业经理人难以取得 信任。二、制度不健全、或有漏洞。三、企业文化正在培育过程中,不稳定。优点一、有较好的独创的企业文化氛围,易吸收社会职业管理人员。二、规则清晰、制度高于一切。三、内部流程营运明确,易复制与模仿。四、有承担大型工作的能力。有较丰富的企业资源。五、有较强的抗风险能力。不足一、可能
47、会存在一些官僚作风。二、某些流程可能过于刻板。对一些工作细节反映迟钝。三、较高的管理与控制成本。最容易出现最容易出现灾难性风险灾难性风险注重按审计程序开展工作 一、审计的准备阶段:确定审计项目、组织审计力量、进行审计前调查、编制审计方案、制定评价标准和下达审计通知等方面。二、审计的实施阶段:详细调查了解、进行初步测试、收集审计证据、分析原因、酝酿审计意见和编制审计工作底稿等方面的工作。三、审计的终结阶段:审查访谈记录或编制审计工作底稿、讨论审计评价、提出审计报告、征求被审计单位意见、审定审计报告、出具审计结果报告和作出审计决定、审计文件整理归档。四、后续审计:是指审计机构和人员为检查被审计单位
48、对审计发现的问题所采取的纠正措施及其效果而实施的审计。制定审计工作方案 审计方案应当指明审计工作范围,审计工作包括什么和不包括什么都应当解释清楚。审计方案中的内容是为了告诉内部审计工作者下列内容:将要做什么?什么时候做?怎么去做?谁将要去做?持续的时间多长?审计工作方案按照内部控制审计的具体目标的要求制定。编制审计方案注意的问题:(1)考虑审计报告编写的要求;(2)内容明确,分工具体;(3)明确步骤之间及审计人员与审计工作之间的关系;(4)审计方案的具体内容应具有一定的弹性;(5)审计工作方案如由多个审计组参加或不同级次审计组织参加同一个审计项目时,需要编制具有指导性的总体方案。(6)审计工作
49、实施方案是审计工作方案所确定具体目标在某一个审计项目中的具体化,由审计组长负责编制,经所在部门审核,并报批分管理领导批准后由审计组实施。审计工作实施方案主要内容 1、编制的依据;2、被审计领导所在单位的名称和基本情况;3、审计具体目标(方案的核心内容);4、审计范围、内容、重点、方式、具体步骤;5、预定的工作起讫日期;6、重要性确定及审计风险的评估;7、审计组长及组员的分工;8、编制人员、日期,复核(批准)人员的意见及日期;9、其他有关内容。审计证据的类型及质量要求 一、审计证据类型:书面证据、实物证据、口头证据、视听证据、环境证据(内部控制制度等)。二、证据的质量要求:充分性、相关性、可靠性
50、。三、依法有效取得审计证据(一是根据审计具体目标;二是根据审计标准如:遵循性审计准则、三是合理的审计技术方法;所有的证据要编制成审计工作底稿)。四、取证六步骤模式:1.明确内控审计具体目标;2.明确内控审计评价标准;3.确定何种证据可以用于回答问题;4.研究证据的来源;5.设计取证的技术与方法(收集证据的方法集中见后);6.对证据进行分析。审计工作底稿 审计工作底稿是在审计工作过程中反映审计事实的书面记录,是联系审计证据和审计报告的桥梁。审计工作底稿的取得途径:收录和编制。审计工作底稿的形式:单项和汇总。审计工作复核 审计督导对审计工作的监督与指导。督导人员:审计组长及内部审计负责人(或权威人