《企业怎样建立有效的内部审计职能》由会员分享,可在线阅读,更多相关《企业怎样建立有效的内部审计职能(65页珍藏版)》请在金锄头文库上搜索。
1、pwc,如何建立有效的内部审计职能,关于普华永道,普华永道是全球最具规模的专业服务机构,融合各地人才、知识及不同地域的珍贵资源。我们在全球150个国家拥有超过15万名专业人士,凭着他们所具备的渊博知识与丰富经验,为世界各地的公司解决繁复的业务难题,并协助客户建立价值、管理风险及提升业务表现。 普华永道目前是大中国区最大的国际财务和商业咨询公司。有员工约六千人,在北京、香港、台湾、重庆、大连、广州、上海、深圳、天津、西安及苏州等内地城市设立办事处。 业务范围包括: 管理咨询 企业融资 税务 公司重组 审计等,本资料来源,关于普华永道的全球风险管理服务,普华永道在世界四大会计师事务所中第一个在国内
2、设立了专门的提供强化经营程序、风险管理和内部控制服务的部门,配备了专门的风险管理专家针对国内客户的需求提供专业服务。 我们将充分的考虑客户的业务和经营实际情况以及在国内经营大环境下受到的种种限制。 全球风险管理解决方案服务主要类别如下: 风险管理和内部控制 内部审计 财务和经营风险 电信行业咨询服务 金融行业咨询服务,流程改进、业绩提高 技术风险 ERP选型及项目管理/监理 战略风险 合规性和监管,培训目的,随着市场竞争的进一步加剧,建立一套完整和有效的内部审计体系、促进企业的全面风险管理体系日益成为国际国内各大企业风险管理和内部控制工作的重点。 这次培训将使参加人员能够系统的了解建立有效的内
3、部审计职能应考虑的因素。,当这节课程结束以后,参与者将能够了解: 建立有效内审职能的十个步骤 第1-4步,战略问题 第5-10步,战术问题 普华永道的内部审计和风险管理的工具 TEAMMATE TEAMRISK,培训内容,为成功打下战略基础,确认审计委员会和公司高级管理层对内审部门的期望和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划,不断变化的环境,“e-Business”电子商务 变化、更多的变化 事倍工半 时间在逐渐缩短、距离在不断拉近、文化差异在逐步消失(WTO) 经济高速增长 安然和世通事件余波未平,监管的加强,期望持续的价值和创新 支持部门必须为总体
4、的经营战略增加价值 对风险和控制的真正的敏感(“没有意外”) 关注经营战略和客户,中国的新环境,管理层不断变化的观点,对内审部门的期望差异,利益相关方对内部审计的职能与角色的认识 通常是不同的,这样就产生了所谓的“期望差异”。,保障(assurance),业务咨询,董事会,高级管理层,内部审计,现状,最优,?,内部审计的环境变化,理解“价值”是正确的运用资源和工作的关键。 利益相关方期望与传统的内部审计不同的更为宽泛的审计技术。 为了创造价值,内部审计的资源和能力必须与利益相关方和组织的价值期望保持一致。 内部审计必须能够衡量和确定他们的贡献以及创造的价值。,根本问题 你在做正确的事情吗? 存
5、在“期望差异”吗?,内部审计的价值驱动,风险管理和控制 内部控制的效率和效果 法律法规及公司政策的合规性 萨本斯奥克斯利法案准备阶段的测试和每年的持续测试 对紧急事件的处理能力 公司对内审投入的回报 在公司范围内提高风险和控制的意识 成为业务部门的好伙伴并协助解决问题 培育管理层的人选和作为员工职业发展的一部分 通过与外部审计公司的合作使审计成本更加有效,内部审计的价值驱动:,消除期望差异,我们的内部审计部门是否拥有实现目标价值的审计技术? 我们的内部审计人员需要什么样的培训和方法以创造目标价值? 我们是否期望内部审计部门成为培育组织管理人才的摇篮? 如何衡量内部审计的成果? 我们是否采用外包
6、或合作的方法以实现我们的目标?,首先,对现有的内部审计职能进行评估:,为成功打下战略基础,确认审计委员会和公司高级管理层对内审部门的期望和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划,内部审计演进模型,价值保护,中间阶段,价值创造,控制纠正,与管理层合作,实行风险和 控制自我评估,流程改进,企业全面风险管理,持续的风 险管理,风险咨询,舞弊防范,财务/合规 性审计,合规性,关注交易/ 资产保护,相关风险范围,流程分析 & 最佳实务操作,有限的,全面的,内审技术的趋势,内审职能的重点,为成功打下战略基础,确认审计委员会和公司高级管理层对内审部门的期望和定位 明确
7、内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划,普华永道的内部审计模型,普华永道开发了内部审计的价值模型,以帮助内部审计部门寻找提高业绩表现的方法:,将内部审计关注与公司战略政策相联系 确定技术提高和/或流程改进的领域 提高内部审计的效果和效率,如何达到“世界水平”?,世界水平的内部审计职能优先考虑利益相关方的需求和价值观,并进行相应的投入。 普华永道的看法 关键因素: - 明确的价值驱动 - 整合 - 交流 - 风险焦点 - 有效的内部审计技术 - 知识管理,普华永道观点 内部审计部门和管理层的交流程度与管理层对内部审计的认识程度存在高度的相关性。,战略计划应考虑哪些内
8、容,内审职能的定位 内审部门的服务对象 资金与人力资源计划 工作方法和工具的运用 信息与沟通 衡量工作成果的标准,建议这个战略计划由管理层、董事会及审计委员会审阅,为成功打下战略基础,确认审计委员会和公司高级管理层对内审部门的期望和定位 明确内审部门的任务和角色 制定正式的战略计划 完成风险评估并制定审计计划,风险评估,目标,有效的风险评估过程,可以帮助内审人员识别所有的风险、对风险进行排序,并评价风险评估的效果。 在恰当的层次实行风险评估可以发现具体的风险并确定内部审计重点: 企业层次 业务单位(事业部) 被审单位层次,企业全面风险评估(EWRM) 企业全面风险评估的是采用综合的、系统化的风
9、险框架,建立企业全面风险因素汇总。其核心,是识别、评估、规避和量化风险;这些风险贯穿整个企业,是在管理人员、业务流程、技术和外部事件中所固有的。 依赖于一种企业文化,该文化认可风险并鼓励积极的思维过程。 量化风险所带来的正面的机会,并量化可能导致的损失。 系统化地考虑日常业务活动中的风险。 是完整的战略计划中不可缺少的一部分。 对于业务环境变化所导致的影响,进行持续的评估。,风险评估,最佳实务操作,内部审计职能在风险评估过程中的作用 由于各个企业业务需求和与内审相关联的各方的需求的不同,内部审计在风险管理活动中所扮演的角色有很大的不同。通常内审所扮演的角色取决于企业的风险管理结构,主要包括:
10、依据风险评估的结果制定内部审计战略、年度及执行计划。 内审部门主持风险评估过程,并与管理层协同进行风险评估。 向利益相关方提供关于风险管理的有建设性的意见。 审阅风险管理的实务操作,确定控制措施的有效性。 向管理层和内部审计委员会就企业风险管理过程的充分性提供保证,风险评估,最佳实务操作,内部审计在风险评估过程中的作用 (接上页) 针对“关键风险”,建立专职的内审小组。 是企业的风险/控制自我评估的倡导者和主持者。 辅导业务部门进行风险评估。 举办风险管理研讨会。 相管理层通报最新的风险评估/管理方面的发展动态。,风险评估,最佳实务操作,风险评估的主要步骤: 确定主要目标、业务单位和主要业务流
11、程 确定与业务目标、业务单位和主要业务流程相关的关键业务风险 评估发生的可能性和影响 现有的控制和流程对风险的影响 记录风险评估的结果,风险评估,最佳实务操作,风险管理结构的类型: 集中化的风险管理职能 由集中化的风险管理职能来设定风险政策、建立风险的通用语言并汇集全企业的风险敞口。其目标是实现从企业整体的角度看待风险。风险和控制是业务单位的直接责任。 风险委员会 风险委员会的代表来自于内部审计、资金管理、计划等方面。风险委员会的工作是设定风险政策并分别从全企业、业务种类和业务流程的角度审视风险。 传统的职能结构 采用传统的组织结构,即法律合规、各部门负责人和内部审计与经营管理层共同携手工作,
12、对于企业的风险提出意见。,风险评估,最佳实务操作,风险评估 - 热度图示例,编号,风险领域,风险子领域,流程,职责,目标,具体的风险或机会,影响业,务单位,影响公,司,可能性,1,竞争对手,市场竞争决,策,总经理,保持竞争中的优势地,位,,XX,年度,保证市,场占有率达到(维持,在),75%,。,由于竞争对手获得,3G,牌照,,拥有全业务能力对XX移动,产生的负面影响。,3,3,60%,2,业务,计费,/,收入,保证,原始通话数,据的采集与,处理,计费,部,经理,保证计费的准确性、,完整性。,由于,BOSS,系统没能自动识,别断号的原始通化记录造成,的错记、漏记花费。,2.5,1.5,20%,
13、3,业务报告,税务处理,纳税申报,财务部,经理,保证税务工作符合法,律法规的要求,将年,度申报延迟的问题降,低到不超过一次。,由于没有及时、准确的填制,纳税申报表使企业遭受来自,税收部门的罚金损失。,0.8,0.5,5%,4,业务,产品开发,新产品的研,发,业务发,展部,保证最大限度地利用,集团的现有资源来开,发新产品。,闭门造车,没有跟总公司或,其它关联公司研发部门有效,的沟通和交流,造成重复开,发,人力物力的浪费。,2.8,2.5,10%,5,业务,经营中断,网络监控和,维护,网络,中心,通过对网络监控,及,时发现网络问题,保,证网络正常运行。,没有发现网络故障或隐患。,3,3,30%,风
14、险矩阵例示微软的风险矩阵,普华永道的TeamRisk工具,风险评估软件,风险评估 -风险分类汇总框架例示,将风险排序或制成图表; 合理分配资源,集中精力对有较大影响力和较大可能性的风险进行控制。,年度计划 年度计划是一个精确的统筹安排,以平衡时间范围、可用资源和已承诺的工作量。可以看作是一个宏观的计划,以明确内审部门在未来的年度中计划审核的流程。其内容主要基于: 经管理层认可和董事会批准的风险评估结果;如果尚未实施风险评估,内审则应首先实施风险评估,并与业务管理层讨论确认评估的结果,参见上述风险评估部分。 与管理层的持续联络,以确保及时发现新的风险领域,并确保审核工作能够在最有利的时间得以实施
15、。 对于各个关键的风险领域所实施的有效监控,在各个类型的审核活动中所分配的资源。 与企业中参与风险管理和控制的各个内部和外部的职能保持有效联络,以确保在时间和成本上的效率性。 企业经营行为的改变,例如并购、变卖处理、新的系统和流程等。,基于风险的审计计划,执行计划 内部审计执行计划主要包括在未来季度内需要完成的项目的排期。其通常以简要的书面形式记录以下内容: 项目时间安排表; 项目目标; 审计小组成员/资源; 预计分配的工作天数; 预计的岂止日期;,基于风险的审计计划(续),执行计划 编制执行计划的过程中应考虑: 员工发展和培训,包括在部门内和企业中的职业进步; 业绩考核,“平衡计分卡”; 各
16、种可选用的审计方法和工具,例如:内控自我评估,调查问卷等; 内部审计资源,所需内部审计人员的数量、技能、知识和经验等; 可能的风险; 相关经营管理层是否有时间配合;,基于风险的审计计划(续),战术实施阶段,制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估,制定当年和长期的预算,根据审计计划,编制审计部门的预算 预算应包括正常的、计划内的审计项目,还应考虑可能发生的临时的、特殊的审计项目 预算中还应考虑相应的员工培训及发展计划,战术实施阶段,制定当年和长期的预算 尽早开展现场工作 确认所需的技能 开发或取得所需的基本框架、方法和技术 建立沟通渠道 绩效评估,尽早开展现场工作,并非应该等到所有的基础设施和人员全部到位才能开展现场工
