企业风险导向的内部审计理论gcnl.pptx

《企业风险导向的内部审计理论gcnl.pptx》由会员分享，可在线阅读，更多相关《企业风险导向的内部审计理论gcnl.pptx（96页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、风险导向的内部审计理论与实务风险导向的内部审计理论与实务 2002年末，美国时代周刊评出2002年新闻人物，包括辛西亚.库珀和雪伦沃特金斯。前者是世界通信的内部审计部副总经理，后者是安然公司副总裁。2008年9月15日，雷曼兄弟宣布破产2008年1月24日，法国兴业银行曝出因交易员违规操作而巨亏约71亿美元的消息，让世界震惊。E1999，国际内部审计师协会（IIA）发布内部审计职业实务准则框架，确立了风险导向内部审计的基本思想。研讨的主要内容研讨的主要内容*内部审计的发展和演进*内部控制与企业风险管理框架*风险导向内部审计的理念及相关内容*风险导向内部审计的案例分析内部审计的发展历程*萌芽状态

2、的内部审计*财务导向的内部审计*业务导向的内部审计*管理导向的内部审计*风险导向的内部审计萌芽状态的内部审计萌芽状态的内部审计分工和分权的思想受托责任的履行情况进行检查目的主要是查错防弊财务导向的内部审计财务导向的内部审计19世纪末，20世纪初背景：背景：机器大工业的出现股份公司的诞生独立审计的出现现代会计的出现*1941，IIA*1941，维克托.布林克，内部审计：性质、职能和程序方法*1947，内部审计职责说明书第1号，SRIA No.1业务导向的内部审计业务导向的内部审计20世纪40年代末、50年代初主要受到泰罗的科学管理理论和法约尔的一般管理理论的影响前者从作业管理层面强调效率至上后者

3、强调从组织管理角度改进管理，提高企业效率业务导向的内部审计实践1948年，内部审计对梅迪希银行伦敦支行的管理当局及其所从事的业务活动进行了审计，并出具了详细的业务审计报告。1968年，IIA的调查结果显示美国内部审计实务大量涉及采购、库存规划与控制、保险计划、基建、运输、管理信息系统、生产、广告等业务活动。75%的公司的内部审计重点是财务审计与业务审计兼而有之。在人员结构方面，41%的内部审计人员来自会计专业以外。管理导向的内部审计20世纪70年代开始背景：1、外部环境的改变所引起的管理理论的发展（控制论、信息论、系统论、耗散结构论、协同论、突变论）。2、公司治理理论研究与实务操作全面展开。3

4、、更加强调决策在管理中的核心地位，强调企业内自上而下的目标一致性。彼得.德鲁克的目标管理理论赫伯特.西蒙的决策管理理论管理审计的对象管理审计的对象狭义的对象主要指对高层的管理决策、方针及战略等进行审查与评价。广义的对象还包括业务活动的审查。1974年，CIA考试开始管理导向内部审计的缺陷内部审计做的仅仅是事后的评价与反馈。内部审计在评价管理活动的着眼点主要是管理决策、经营活动及控制活动本身，担没有将这些对象与企业目标并联系在一起。无法证明内部审计是企业价值链上的重要一环。风险导向的内部审计产生的背景风险导向的内部审计产生的背景d管理环境的变化d管理理论与实践的发展迈克尔.波特的战略管理理论迈克

5、尔.哈默和詹姆斯.钱皮的企业再造理论戴明和朱兰的全面质量管理理论（TQM）彼得.圣吉的学习型组织理论2001,安然事件2002，SOX法案2004，ERM风险导向内部审计的特点风险导向内部审计的特点内部控制是风险导向内部审计的基础。对风险的评估与改善是风险导向内部审计的首要目标。风险风险狭义的风险广义的风险风险导向内部审计的本质风险导向内部审计的本质确保受托责任有效履行的能动的管理控制机制确保受托责任有效履行的能动的管理控制机制风险导向的内部审计与风险导向风险导向的内部审计与风险导向的外部审计的区别的外部审计的区别内涵不同目标不同风险范围不同独立审计模式的演变独立审计模式的演变账表导向的独立审

6、计制度导向的独立审计风险导向的独立审计风险导向内部审计的对象*内部控制*风险*公司治理风险导向内部审计的目标风险导向内部审计的目标提供增值服务风险导向的内部审计人员应具备的能力风险导向的内部审计人员应具备的能力内部审计规范的发展演进第一阶段，从IIA成立到20世纪70年代，以内部审计职责说明书为代表（SRIA）第二阶段，从20世纪70年代到20世纪90年代末，1978年IIA通过内部审计职业实务准则，1968年通过内部审计职业道德规范第三阶段，2001年至今COSO内部控制整体框架（Internal Control-Integrated Framework)COSOCOSO报告（报告（IC-I

7、FIC-IF）监控控制环境控制程序风险信息沟通信息沟通COSO报告报告(IC-IF 1992)的观点的观点1、定义：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告真实性、相关法令的遵循性等目标所达成而提供合理保证的过程。内部控制为谁而设？内部控制为谁而设？I内部控制不是由某个人或哪个层级的人提出来，专内部控制不是由某个人或哪个层级的人提出来，专门针对某一个或某一群特定层级的人的制度。门针对某一个或某一群特定层级的人的制度。I它是为整个企业设计的系统，不专门针对具体的哪它是为整个企业设计的系统，不专门针对具体的哪一层级或哪一群人，而是针对在该企业环境下的所一层级或哪

8、一群人，而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。有人。没有人能脱离该系统而自由运作。内部控制定义的理解内部控制定义的理解1、内部控制是一种“过程”，讲求的是达到结果的过程而非结果本身；2、内部控制是受“人”影响的过程，是由“人”执行的过程而并非仅是政策手册与表格，它来自于组织内每一个阶层的人；3、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证；4、不同类别的内部控制相互配合，以一种、多种或重叠性的类别达到多项管理目标（3目标）。5、软控制6、内部控制的责任7、柔和管理与控制的界限谁对内部控制承担责任？管理当局的责任管理当局的责任:CEO:CEO:负责建立有

9、效的内部控制负责建立有效的内部控制,在整个组在整个组织内倡导控制意识织内倡导控制意识;CFO:CFO:核心作用核心作用,设计设计,推行和监管组织的推行和监管组织的财务信息报告行为财务信息报告行为C-LEVEL:C-LEVEL:确保其分管活动的确保其分管活动的accountabilityaccountability董事会与审计委员会的责任董事会与审计委员会的责任:董事会董事会:公司治理的监督责任公司治理的监督责任.确认管理当局是确认管理当局是否履行其建立和维护内部控制的责任否履行其建立和维护内部控制的责任审计委员会审计委员会:警惕管理当局凌驾控制之上或财务警惕管理当局凌驾控制之上或财务欺诈行为欺

10、诈行为,并采取适当措施制止并采取适当措施制止.员工的责任：员工的责任：对任何与不遵循控制规定或非法行为相关的问题，有责任按组织层次向上报告。COSO报告（报告（IC-IF 1992）内容）内容（一）控制环境 控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，它是内部控制其他构成要素的基础，它的设计和运行，不仅会影响企业整体活动方式，而且对企业目标制定与评估风险、控制活动、信息与沟通系统，以及监督活动等都会产生重大的影响。（一）控制环境1、诚信的原则和道德价值观2、评定员工的能力3、董事会和审计委员会4、管理哲学和经营风格5、组织结构6、责任的分配与授权7、人力资源政策及实务

11、诚信原则与道德价值观诚信原则与道德价值观是企业道德与行为准则的凝结，以及如何将这些价值观教化员工并诉诸实际行动内部控制作为企业文化相当脆弱任何人不得凌驾于内部控制制度之上任何人不得凌驾于内部控制制度之上权力的杠杆作用正直与道德价值观正直与道德价值观道德观指南的关键在执行道德观指南的关键在执行O安然既有道德风尚规则，也有举报机制，但言行不安然既有道德风尚规则，也有举报机制，但言行不一。一。O安然安然20002000年度报告中的价值观：以坦诚和真诚对待年度报告中的价值观：以坦诚和真诚对待客户与未来；遵守诺言，言行如一。客户与未来；遵守诺言，言行如一。（We work with customers

12、and prospects openly,honestly and sincerely.When we say we will do something we will do it,when we say we can not or will not do something then we wont do it.）O安然当局对网上交易系统的评价安然当局对网上交易系统的评价员工素质员工素质 提倡对正义、公理、公德的忠诚，而非狭隘的“公司忠诚”；公司不能置公理和正义之上。价值观与基本素质价值观与基本素质知识结构与技能知识结构与技能经验及培训经验及培训董事会及审计委员会董事会及审计委员会独立性独立

13、性 成员经验及地位成员经验及地位 作用程度作用程度 行为方式行为方式 与外部审计的影响与外部审计的影响 安然审计委员会安然审计委员会:不议事的议员主席不议事的议员主席,不治不治公司病的癌症中心总裁公司病的癌症中心总裁安安然然的的审审计计委委员员会会为为何何没没能能对对后后来来暴暴露露的的财财务务问问题引起警觉？题引起警觉？6个个成成员员中中至至少少有有1人人与与公公司司存存在在不不当当经经济济关关系系。问问题题的的关关键键在在独独立立，而而安安然然审审计计委委员员会会的的独独立立董董事却与公司管理层穿连裆裤。事却与公司管理层穿连裆裤。-Delaware 大学教授大学教授Charles Elso

14、n问问题题2在在成成员员的的地地域域组组成成：审审计计委委员员会会成成员员来来自自美国、英国、巴西及香港美国、英国、巴西及香港,难得凑齐讨论日常事务。难得凑齐讨论日常事务。管理当局的哲学理念和行事作风管理当局的哲学理念和行事作风企业运作理念：企业运作理念：1.胡雪岩现象：2.政治与企业经济的关系3.畸形的企业参政热情4.对待企业失败的不同态度5.企业运作思路的比较 中国企业中国企业 国际企业国际企业关系关系 法律法律经济利益经济利益 经济利益经济利益法律法律 关系关系双汇集团双汇集团C理性决策：形成以肉类加理性决策：形成以肉类加工为主，养殖、屠宰、包工为主，养殖、屠宰、包装、彩印等紧密联系的产

15、装、彩印等紧密联系的产业群体，业群体，19981998年集团实现年集团实现利税利税2 29595亿元，去年又亿元，去年又突破了突破了5 5亿元大关。亿元大关。C资金控制：产品销售一律资金控制：产品销售一律现款现货制度，原料采购现款现货制度，原料采购实行生产试用合格后付款实行生产试用合格后付款制度。制度。C财务管理：财务垂直管理、财务管理：财务垂直管理、审计日常监督审计日常监督C总裁万隆也不避讳：总裁万隆也不避讳：“管管理是企业的生命，双汇赢理是企业的生命，双汇赢就赢在管理上。就赢在管理上。春都集团春都集团D妖言决策：收购和兼并了妖言决策：收购和兼并了洛阳市旋宫大厦、等洛阳市旋宫大厦、等1010

16、多多家扭亏无望企业；投资茶家扭亏无望企业；投资茶饮料等饮料等1010多个大型项目；多个大型项目；D资金失控：资金失控：1212亿元贷款中，亿元贷款中，6 66 6亿元项目占用，亿元项目占用，2 23 3亿元用于兼并亏损企业，亿元用于兼并亏损企业，2 2亿欠款；亿欠款；D财务虚假：财务虚假：19981998年亏损年亏损49944994万元，上报省贸易厅万元，上报省贸易厅为利润为利润20552055万元。万元。D集团新任总裁赵海均坦言：集团新任总裁赵海均坦言：“现在看来，春都在发展现在看来，春都在发展中确实是轻视了管理。中确实是轻视了管理。”I同是国务院确定的全国520家重点企业 I同是地处中原的

17、肉类加工企业（漯河肉联厂和洛阳肉联厂）I都始建于1958年，又都于1984年由省管下放到地方。I1984年漯河肉联厂的资产总额是468万元，企业累计亏损534万元I洛阳肉联厂当时的资产总额是2000万元，当年实现利税200万元。I1986年，中国第一根火腿肠在洛阳肉联厂诞生，1992年漯河肉联厂生产出第一根火腿肠。I1993年，春都集团实现工业总产值、利税分别达到11599亿元、1082亿元，而双汇集团仅为857亿元和7045万元。组织结构组织结构 组织结构的定义：组织结构的定义：通过提供完整的架构作用于组织实通过提供完整的架构作用于组织实现其目标的能力；现其目标的能力；是规定组织内部是规定组

18、织内部责任与授权的线型结构。责任与授权的线型结构。组织结构设计必须覆盖组织活组织结构设计必须覆盖组织活动的全部形式：动的全部形式：计划，执行，控制，监督计划，执行，控制，监督组织结构设计的哲学意义：做组织结构设计的哲学意义：做什么？做！如何做？什么？做！如何做？组织结构设计的组织结构设计的2个限制：个限制：1.少一个不行；多一个冗余；少一个不行；多一个冗余；2.部门功能必须是线型的、支持部门功能必须是线型的、支持的，而非拦截的的，而非拦截的计划执行控制保证正确执行监督保证控制有效组织结构的设计因素：组织结构的设计因素：1.确认授权和责任的关键领域；2.确认报告路径组织设计合理的流水线模式：三个

19、问题：1.所有的事是否都有人做？2.行为者是否充分授权行事？3.所有行为是否有人承担责任？企业成为权力角斗场的原因：企业成为权力角斗场的原因：1.组织结构设计不确定：对权力定义不清或定义错误,导致权力的涣散；权力与责任不对称2.权力结构不稳定：权力成为公开招标物；导致冲突和耍政治手腕，而不是对责任及合格责任人的正当提供。权力与责任的分配授权与指挥三忌：授权与指挥三忌：1.多头领导；多头领导；2.越级指挥；越级指挥；3.管辖人员过多管辖人员过多 组织行为与责任的分配组织行为与责任的分配1.对组织目标的协同作用对组织目标的协同作用2.责任与报告责任与报告人力资源政策人力资源政策 脊髓比脑髓更重要

20、-爱因斯坦 人与制度之间的关系：人与制度之间的关系：若员工素质良好，有信用，有正义感，即使某些控制措施缺失，企业也能行为规范，信息可信；若员工油滑、无原则、无正义感，即使有控制制度，企业也可能因此蒙受损失或名誉扫地。如何招人，如何评价，如何训练和育化，是内部控制的关键。（二）风险评估 任何企业，不论其规模、结构、性质或行业如何，都会面临来自内部和外部的不同风险。风险是客观存在的，而管理者的每一项决策本身就在创造风险，从而企业管理者只能谨慎地接受风险，并将风险维持在一个合理的水平之内，因此风险评估应该成为内部控制的主要组成部分。风险是不能实现目标的可能性，企业管理者在制定与其销售、生产、行销、财

21、务等作业相结合的目标时，必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适当加以处理。环境控制和风险评估，是提高企业内部控制效率和效果的关键。（二）风险评估的要素1、目标2、风险3、环境变化后的管理（三）控制活动 控制活动是指管理者对所确认的风险所采取的必要措施，是帮助管理者确保各项指令能执行的政策和程序。控制活动出现在整个企业内的各个阶层与各种职能部门，包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。控制活动包括政策和程序两个要素，政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。政策可能书面规定，也可能只是一个口头的指令而已，

22、但无论政策是否做成书面，都应该前后一贯、彻底地加以执行。政策一般针对某种情况，而执行程序必须视当时情况而定，如果只是机械地、被动地执行程序也不会取得理想的效果。控制程序是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。（三）控制活动的内容一般包括：1、经济业务和经济活动的授权、批准；2、明确有关人员的职责分工，并有效防止舞弊；3、凭证和账单的设置和使用应保证业务和活动得到正确记载；4、财产和记录的接触使用要有保护措施；5、对已登记的业务及其计价要进行复核，等等。（四）信息与沟通（四）信息与沟通 围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们

23、在执行、管理和控制企业经营过程中所需的信息，并相互交换这些信息。企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部控制的一项要素，是企业内部控制过程的一个部分。E1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务；E2、它不仅要有向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道；E3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等，是企业信息系统最为重要的组成部分。（五）监督（五）监督1、持续的监督活动2、个别评估3、报告缺陷 企业内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的。因此，要确保内部控制被切

24、实地执行且执行的效果良好、内部控制能够随时适应新情况等，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。ERM与IC-IFERM报告相对于IC-IF，有以下创新：提出一个新的观念风险组合观增加一个新的目标战略目标提出二个新概念风险偏好和风险容忍度增加三个风险管理要素“目标制定”、“事项识别”、“风险反应”。ERM的构成要素&内部环境&目标制定&事项识别&风险评估&风险反应&控制活动&信息和沟通&监控ERM的四个目标u战略目标u经营目标u报告目标u合法性目标各管理层在ERM中的地位和职责z董事会z管理者z风险管理员z内部审计人员z其他员工内部控制与风险管理的关系内部控制与

25、风险管理的关系黑社会与银行的内部控制水泊梁山的内部控制内部审计在内部控制与风险管理内部审计在内部控制与风险管理中的作用中的作用传统的内部审计与内部控制风险导向的内部审计与内部控制和风险管理传统的内部审计与内部控制传统的内部审计与内部控制内部审计过程中主要的步骤围绕着内部控制而展开，包括描述、分析、评价内部控制及扩大性测试。方法包括内部控制的描述方法、检查、穿行测试、观察、查询等。风险导向的内部审计与内部控制风险导向的内部审计与内部控制及风险管理及风险管理英国风险管理协会的意见:1、内部审计工作的重点应放在重要的风险上，审查贯穿组织范围的风险管理；2、为风险管理提供确证服务；3、积极支持并参与风

26、险管理程序；4、促进风险识别和评估5、帮助向董事会、审计委员会等提供风险报告。IIA的审计实务准则：帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系；评价控制的效率与效果，促进控制的不断完善，以帮助组织保持有效的控制。风险导向内部审计对内部控制与风险风险导向内部审计对内部控制与风险管理的逻辑框架（风险导向的内部审管理的逻辑框架（风险导向的内部审计规划制定）计规划制定）风险导向审计对内部控制与风险管理风险导向审计对内部控制与风险管理提供确证服务的技术方法提供确证服务的技术方法标杆比较法风险导向审计对内部控制与风险管理风险导向审计对内部控制与风险管理提供咨询服务的技术方法提供咨询服务的

27、技术方法控制自我评估法（风险自我评估法或控制风险自我评估法）控制自我评估法控制自我评估法（CSA)内容：确认风险；评价减少或管理风险的控制过程；开发用以将风险降至可接受水平的行动计划；确定实现业务目标的可能性。展开形式：展开形式：以目标为基础以风险为基础以控制为基础以过程为基础以部门为基础方法：方法：问卷调查(Questionair)研讨会（Workshop)优点：优点：提高内部审计效率强调员工的参与性进行持续的评估与改进为企业管理层与员工提供内部控制的教育与培训公司治理公司治理狭义的公司治理广义的公司治理内部审计与公司治理的关系内部审计与公司治理的关系传统内部审计与公司治理风险导向的内部审计与公司治理管理导向的内部审计、风险导向的内部管理导向的内部审计、风险导向的内部审计与公司治理关系的区别审计与公司治理关系的区别前者是面向审计委员会和高级管理层的反反应式应式双轨报告关系后者是面向审计委员会和高级管理层的能能动式动式双轨报告关系公司治理参与者需求的主要变化公司治理参与者需求的主要变化内部控制有效性的评估与报告风险管理的有效性道德规范的建立与实施以预防舞弊和非法行为公司治理也是内部审计的对象IA2001实务准则之工作标准2130治理：“内部审计活动应评价并改进组织的治理程序，为组织的治理做贡献。”