《内部控制测评技术与方法培训课件》由会员分享,可在线阅读,更多相关《内部控制测评技术与方法培训课件(120页珍藏版)》请在金锄头文库上搜索。
1、中国内部审计协会2006年至2010年工作规划 一、工作方针:管理、服务、宣传、交流。 二、总目标: 1、推进内审工作基本实现从真实性、合规性为导向的财务审计为主向以内部控制和风险管理为导向的管理审计为主的全面转型与发展,促进内部审计事业逐步实现法制化、规范化、现代化。 2、全面实现协会工作方式从行政管理型向服务自律型的转变,基本建立起符合我国社会主义市场经济要求和内部审计职业发展规律的职业自律体制和协会工作机制。 三、发展完善准则建设工作,以“发展完善”与“组织实施”并重的原则,推进“实务指南”的起草和制作力度。 四、加强内部审计理论方法研究。 1、组建“内部审计研究中心”;2、组织编写内部
2、审计学;3、举办理论研究成果交流会,就内部审计与公司治理、内部控制和风险管理、管理与效益审计、IT审计与相关领域发展的实践经验和研究成果开展开放式的交流;4、引进国外先进内部审计理论与方法,建立主要国家内部审计发展情况的资料库;5、制定内部审计工作质量评价指标体系;6、健全理论和方法研讨的机制,运用“论文评选”、“专题调研”、“典型调研”等多种形式,利用电子信息网络技术,提升研讨效果和效率;7、促进研究成果的利用和转化。 五、加强内部审计职业化教育工作。 1、并重“专业胜任能力”和“职业道德教育”;2、开展远程教育;3、开展案例教学;4、加大CIA的宣传和推广;5、规范内部审计资格证书的考试,
3、统一考试大纲,制定考试办法和实施细则,规范考试工作;6、引进管理会计师的考试(CMA),拓宽内审高级管理人员的视野;7、规范各考试项目的管理,维护考试的严肃性和权威性;8、加强内审的宣传工作,办好内审网、中国内部审计会刊、加强与地方媒体的沟通与合作、做好2008年至2010年度两次全国内部审计“双先”评选活动;9、开展与国外组织和海峡两岸的交流;10、完善体制推动协会建设(发展单位会员、个人会员及行业设立分会);11、全面加强秘书处建设,做好内审信息、内审咨询等工作(上海审计上海内审网)。多种形式依法开展审计工作提高审计工作效率 1、基础审计 2、专项审计 3、审计专题调查 4、审计信息 5、
4、审计科研1、基础审计财政、财务收支审计(以经济活动真实、合法性为审计重点,揭露财政、财务收支活动中违法乱纪及造假等情况。)2、专项审计:(1)经济效益审计(以经济活动的经济性、效果性、效率性为审计重点,使经济活动在结构合理的前提下有质量的进行提升及可持续的发展。)(2)经济责任审计(以明确责任、监督过程、评价结果为审计重点。)(3)财经法纪审计(以查处专案为审计重点。)(4)管理审计(以完善法人治理结构为审计重点。)(5)环境审计(以保护自然及社会环境为审计重点,并注重环境成本的研究。环境成本指生产、使用、运输和回收过程中,为解决和补偿环境污染、生态破坏、资源流失所需费用之和。如在考虑环境成本
5、的情况下产品的价格应由以下三部分组成:1制造产品的原料价格;2制造产品的劳动力成本及预期利润之和;3制造产品及使用该产品过程中对环境造成的危害。)(6)舞弊审计(以预防由于主观动机而损害国家或组织利益、谋取集体或个人利益为审计重点。)(7)固定资产投资审计(以预防重大投资项目资金损失、浪费为审计重点。其审计主要内容是:项目建设程序执行、项目资金来源与使用、项目财务收支情况及项目竣工决算等方面。) (8)内部控制审计(以强化组织内部日常管理、形成自律系统为审计重点,通过促进组织主动建立和加强良性的控制环境,引导、激励人们正确履行责任,实现组织目标,并将控制环境逐步融入组织文化体系。) (9)风险
6、基础管理审计(以识别、评估和控制组织经营活动中出现的相关风险为审计重点,并根据各种经济活动的特点,建立一个长期运行有效的风险管理机制。)(10)其他(根据法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项)注意点:上述所有专项审计首先要解决好经济活动的真实、合法问题。其次紧紧围绕内部控制实施情况展开。再次明白上述各项审计内容彼此间有着密切联系。3、开展专项审计调查:对重点投资项目、对关系人民群众切身利益的财政专项资金使用情况、对组织运行中资金利用、内外部管理和协调、组织经营效益实现及降低组织运行风险等方面的热点及难点问题进行调查或开展绩效评估,等等。4、反映审计信息 :及时反映
7、在开展审计工作时发现的相关信息,为决策管理活动提出良好的审计建议。5、审计科研:打好审计理论及实践基础,实施审计发展的战略目标,合理运用审计工作成果(例:如何根据各行业特点来制定科学合理的内部审计制度、合理运用审计技术及评价方法等等)。可参见及阅读如 上海审计、中国审计、中国内部审计等文章 。审计工作思考体系1、知道是什么?2、知道为什么?3、知道谁去做?4、知道怎样做?开展内部控制审计工作的一些重要概念内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性,促进组织目标的实现。 组织发展目标可包括:功能定位、产业结构、形态分布、和谐发展
8、等内容。内部控制实施历程 1、基于职责结构的内部控制 将组织内部职责进行细分,并研究相互关系和建立制约关系。强调了不相容职务的分离。 2、基于业务结构的内部控制 将组织的业务类型进行细分,并研究相互关系,并建立关联和制约关系。内部控制的作用范围扩大到经营管理领域,形成了内部管理控制。 3、基于组织结构的内部控制 在管理层面上,将决策、执行、监督相分离;在业务层面上,将执行与监督相分离。 第、者注重执行层面;第者更注重整体性的战略管理特性。v4、基于风险结构的内部控制v内部控制不再局限于单项岗位、单项职责、单项业务、单项流程,而是要包括组织活动的全过程、全体人员,控制视角不仅包括几个关键控制点,
9、还要包括所有可能诱发风险的所有活动上。v5、基于信息结构的内部控制v将基于职责结构、业务结构、组织结构、风险结构的内部控制与信息技术相集成。一是要利用信息技术对职责结构、业务结构、组织结构、风险结构的内部控制进行改造和调整。二是要使内部控制的运作方式信息化。形成一个适于组织的管理信息系统,包括审计管理系统和审计实施系统。对大型组织而言,可能需要高度集成化和网络化,例如集团化组织、跨国和跨地区的组织。v 内部控制的内容发生了变化: 1、“单要素”的内部控制内部牵制,是内部控制的最初形态。特点:物理牵制、职责牵制、簿记牵制等。 2、“两要素”的内部控制-内部会计控制和内部管理控制,包括组织机构和方
10、法措施。特点是将管理问题纳入控制视野。 3、“三要素”的内部控制(上世纪80年代)-控制环境、会计制度、控制程序。特点是以“框架”论取代“制度”。 4、五要素内部控制(上世纪90年代)控制环境、风险评估、控制活动、信息沟通、内部监控。特点是将内部审计引进内部控制视野。 5、八要素内部控制(本世纪)年美国的防止虚假财务报告委员会提出了企业风险管理框架,将内部控制内容深化成八项要素:控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、内部监控、信息沟通。特点:内部控制框架与企业风险管理框架相融合。内部控制的演进对内部审计影响1、使内部审计具有双重身分。内部审计既在内部控制之中,又在内部控制
11、之外,发挥着其它监控机制所不能发挥的作用。如开展内部控制自我评估工作。2、使内部审计的工作重心发生变化。内部控制发展对内部审计工作内容产生了决定性的影响。单要素内部控制关心资产及其记录的安全。两要素内部控制进一步关心资产及其记录安全性之外的管理问题。三要素内部控制开始关注控制环境。五要素内部控制又将控制重心转向组织的风险领域。八要素内部控制实际上是从企业风险管理的角度来看待内部控制,将内部控制与风险管理融为一体。 、使内部审计关注的领域发生变化。凡是决策层、管理层、外部利益相关人关注的领域,理当成为内部审计关注的对象和有所作为的领域,如风险管理、经营管理、效率管理等领域。、使内部审计的实务类型
12、发生了变化。内审实务中出现了风险导向、管理导向、经营导向、业务导向、业绩导向等内部审计类型。、使内部审计理论迅速给予更新。以风险管理为例:比较传统的观点和实务是内部审计部门需要评估组织的风险管理体系,出具评估风险的报告。比较激进的观点和实务是直接评估和报告风险。我国将全面推进及实施内部控制制度 1、满足外部监管机构的要求; 2、完善业务流程,提高公司管理和控制水平与效率; 3、完善规章制度,明确职责,加强监督; 4、更好的理解企业所面领的风险,有效地规避风险; 5、全面风险管理将成为企业管理的标准规范。 中国企业内部控制基本规范是我国实行内部控制规范性的文件 财政部会同证监会、审计署、银监会、
13、保监会,于2008年6月28日正式发布企业内部控制基本规范(以下简称内控规范,2009年7月1日起强制在上市公司范围内实施(现在已修改执行日期);为了配合企业内部控制基本规范的施行,财政部、证监会、审计署、银监会、保监会又联合发布了企业内部控制评价指引、企业内部控制应用指引和中注协主持起草的企业内部控制鉴证指引等配套规范的征求意见稿,届时我国上市公司的内部控制的建立和评审的体系就基本确立。 根据财政部、证监会、审计署、银监会、保监会关于印发企业内部控制基本规范的通知,企业内部控制基本规范(以下简称“基本规范”)自2009年7月1日(原决定)起在上市公司范围内施行,鼓励非上市的大中型企业执行。
14、根据本规范第一章总则第二条,本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。 大中型企业和小企业的划分标准根据国家有关规定执行内部控制基本规范。确立内部控制审计目标 一、审计总目标:适当、合法、有效。内部控制审计总目标:健全、合理、有效。 二、审计的具体目标的制定:必须是十分明确而具体的,易于理解并且可以实现的。有两种表达方式:一是将审计目标写成审计之后要达到的一种状态。二是列示一些问题,审计之后要对这些问题进行回答。 一般审计具体目标:1、存在性;2、准确性;3、完整性;4、所有权;5、合法性;6、估价;7、截止期;8、披露 (根据各审计项目
15、要求还需进一步细化)。 内部控制审计的具体目标:(1)授权(2)真实性(3)完整性(4)计价(5)截止期(6)分类(7)过账和汇总。 上述具体目标根据各审计项目要求还可进一步细化,并将其内容体现在审计方案中。中国实施内部控制五要素内容(我国目标体系与COSO的对比)明确内部控制五大原则v(一)全面性原则v内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。v内部控制应覆盖企业的各项业务活动、各个部门和各级人员,并应针对业务处理过程中的关键控制点,将内部控制活动渗透到决策、执行、监督等各个经营环节,即要在企业内部实行全过程、全员性的控制,不能存在内部控制活动的空白点。v
16、(二)重要性原则v重要性原则要求企业在对各项经济业务活动实施全面控制的基础上,要有针对性的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。v对重要性的应用需要一定的专业判断,企业应当根据所处行业环境和自身经营特点,从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。(详后重要性标准)v重要性评定标准有数量和质量两方面的特征,根据行业特点制定。以下供参考v 1、制度健全性:90%以上,健全;8089%,基本健全;79%以下,不够健全。v 2、资产负债差错率2%以内真实;2%-5%基本真实;5%以上不真实。v 3、损益差错率5%以内真实;5%-10%以内基本真实;10%以上
17、不真实。v 4、所有者权益差错率0.5%以内,真实; 0.5%-1%,基本真实;1%以上不真实。v(三)制衡性原则v内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。v制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。v横向:完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明;v纵向:完成某个工作需经过互不隶属的两个或两个以上的岗位和环节,以使下级受上级监督,上级受下级牵制。v(四)适应性原则v内部控制应当与企业经营规模、
18、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。v内部控制随着企业内外环境的变化,其控制效果也会发生改变。一些原本效果较好的控制制度,可能会随着环境的改变而失效。因此,企业内部控制应当具有前瞻性,应当随着国家法律法规、政策制度等外部环境的改变和企业经营战略、经营方针、经营理念等内部环境的变化及时进行相应的修改或完善。v企业应当适时地对内部控制制度进行评估,以发现可能存在的重大缺陷,并及时采取措施予以补救v(五)成本效益原则v内部控制应当权衡实施成本与预期效益,以适当的成本实现有效的控制。v内部控制的任何分工、审核、制衡,都必须考虑是否符合成本效益原则。企业内部控制的设计一定
19、要考虑控制投入成本和控制产出效益之比。如果某项控制的成本高于其效益,则不应当采用该项控制。v把握原则:企业应从整体利益角度来综合判断某项控制是否符合成本效益原则。尽管一些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时就应该实施该项控制。v企业应当充分发挥各部门及人员的工作积极性,尽量降低经营运作成本,保证以合理的成本达到最佳的内部控制效果。v明确我国内部控制的具体内容:v一、控制环境:v正直和道德、激励和引导、道德指引和彰显道德行为、各种岗位所需的知识和技能、董事会和审计委员会的职能、管理哲学和经营风格、组织结构、划分职权和责任、人力资源政策。v重点要求:v1、规范的公司治理结构和
20、议事规则v2、机构设置及权责分配v3、审计委员会v4、内部审计v5、人力资源政策v6、企业文化建设v7、法律顾问制度及重大法律纠纷案件备案制度控制环境的要求 根据目标制定出最优的人力资源政策。 根据企业的具体情况制定和实施有利于企业可持续发展的人力资源政策。 1、制定明确的人力资源管理制度。 人力资源管理制度必须明确、透明和有相应文档记录的规章制度。 2、机构、岗位设置与分析对机构和岗位设置进行分析,确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。 3、提高全员职业道德修养及专业胜任能力。 4、按职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准: (1)加强员工
21、培训和继续教育; (2)不断提升员工素质; (3)高级管理人员发挥主导作用,加强企业文化建设; (4)建立并贯彻员工行为守则。 5、管理层的基调和态度是公司道德规范和文化环境建设的基础 (1)培养积极向上的价值观和责任感; (2)倡导诚实守信、爱岗敬业、开拓创新和团队协作精神; (3)树立现代管理理念; (4)强化风险意识; (5)建立并贯彻员工行为守则。 6、建立健全法律顾问及法律工作程序: 如:上市公司必须接受国家和证券监管部门颁布的法律法规监管,这是市场经济法则的客观要求。为达到这些目标企业应当: (1)加强法制教育; (2)增强董事、监事、经理及其他高级管理人员和员工的法律观念; (3
22、)严格依法决策、依法办事、依法监督; (4)建立健全法律顾问制度和重大法律纠纷案件备案制度。 内部控制的组织实施: 1、由董事会负责建立健全内部控制并有效实施。 2、由监事会负责对董事会建立与实施的内部控制进行监督。 3、由经理层负责组织领导企业内部控制的日常运行。 4、由专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。 5、由董事会、审计委员会和外部审计(国家审计和注册会计师)机构共同形成内部控制评价的主体。v不成功的企业最典型特征:脱贫的领导保姆式的员工v二、风险评估:v风险是最为关键的概念。风险是一种事件、行动或者非行动对企业达到自身经营目标和执行战略产生不利影响的威胁。v它
23、通常由发生的可能性和产生影响的程度两个要素组成。 v1、所有的企业都要面对不确定性。不确定性既代表风险,也代表机遇,企业经营的环境中有许多因素都会给企业带来不确定性,如全球化、技术、法规、企业重构、多变的市场以及竞争等。所以不确定性来源于无法明确地决定潜在事项将要发生的可能性及其相应结果。v2所有风险都可用价值来衡量。表现为增利及损失。从战略的制定到企业的日常经营,管理者的决策会创造、保持或减少企业的价值。v3所有风险都应纳入企业管理。v 、风险可分为企业层面风险和流程层面的风险。v(1)企业层面的风险:企业层面的风险是涉及企业各层面的风险,具有普遍性的特点。如政策制定。v所以对企业层面风险的
24、控制指对企业有普遍影响的控制,在公司各层级均可执行,包含更多战略性和宏观经济方面的考虑,如缺乏长期的经营策略;审计委员会或董事会对经营缺乏足够的监管等等。v(2)流程层面风险:流程层面风险通常可与业务流程中存在的控制活动相联系,其特点是较为具体。如财会部门对现金流过程失去控制,等等。 风险源于组织的战略决策,关键在于决策风险和执行风险。不同的目标面临不同的风险和机会。内部控制的设置就是为了管理风险,发现机会,实现组织的战略目标。(1)确定风险目标:将经营、财务、法律等,纳入总体战略。()风险识别:辨别影响战略的风险因素。外部因素:技术进步、市场变动、竞争环境、新法律、自然灾害、经济周期等因素。
25、组织层面因素:信息系统崩溃、雇员素质低劣、培训和激励有问题、董事会和审计委员会职责不到位等。业务层面因素:销售、生产、市场开拓、产品研发、技术研发等。()风险分析:风险因素的影响面及影响程度。()风险反应:实施快速有效应对风险的措施。v 所有企业都是在有风险的环境下经营,而不是企业风险管理使企业面临这样的环境。v 企业风险管理使企业的管理者能够:v (1)将风险偏好和企业的战略结合在一起。风险偏好是一个公司或企业在追求其目标的过程中愿意接受的风险的程度。如:沉没成本。v (2)将企业成长、风险和收益联系起来,同时预期补偿风险的相应收益。v (3)增加风险反应决策。企业的风险反应方案包括风险规避
26、、风险降低、风险共担和风险接受。v v (4)使企业的经营意外和损失最小化。关键在于减少经营意外的出现次数以及减少相应的成本或损失。v (5)确认和管理企业的总体风险。管理不仅需要对每一种风险进行管理,还需要了解风险对企业总体的影响。v (6)针对多重风险提供完整的反应方案。企业风险管理就是为管理风险提供一整套解决方案。v (7)抓住机遇。对每一潜在事项表明了何种机遇有一个了解。v (8)合理分配资金。改进企业的资金配置。v v 风险管理关注点:v 企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应该用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事
27、项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。v 其7个特点是:v 1企业的风险管理是一个过程其本身并不是一个目的,而是实现目的的一种方式。v 2风险管理受人的影响它不只是企业的政策、调查和表格,还涉及一个企业各个层次员工。v 3风险管理也适用于企业战略制定的全过程。v 4企业风险管理应在整个企业范围内应用,在每一个经营层面和每一个单位内应用,并应以一种企业总体的风险组合的观点来看待。 v 5风险管理的设计应有助于确认会对企业造成潜在影响的事项并确保在企业风险偏好的范围内管理企业的风险。v 6风险管理仅为企业的管理者和董事会提供合理的保证。v 7企业风险管理的目标是帮助企业一
28、类或几类单独并相互重叠的目标的实现。v “合理保证”反映了“不确定性和风险都是与未来相关,而未来是没有人可以确切地预测的”这一思想。v 内部审计人员在企业风险管理的监控中占有重要的地位,这一职责作为其正常职责的一部分,他们的工作业绩及工作质量依赖高级管理者、下级管理者或部门执行人员。v 内审人员主要工作是通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会。内部风险识别的着手点: 1、管理方面:(1)组织结构;(2)经营方式;(3)资产管理;(4)业务流程。 2、安全环保方面:(1)营运安全;(2)员工健康;(3)环境保护。 3、自主
29、创新方面:(1)技术投入;(2)信息技术;(3)研究开发。 4、财务方面:(1)财务状况;(2)经营成果;(3)现金流量。 5、人力资源因素:(1)职业操守;(2)专业胜任能力;(3)团队精神。 外部风险识别的着手点: 1、经济方面:(1)经济形势;(2)产业政策;(3)融资环境;(4)市场竞争;(5)资源供给。 2、法律方面:(1)法律法规;(2)监管要求。 3、社会方面:(1)安全稳定;(2)文化传统;(3)社会信用;(4)教育水平;(5)消费者行为。 4、行业技术方面:(1)技术进步;(2)工艺改进。 5、自然环境方面:(1)自然灾害;(2)环境状况。v风险评估应对策略(风险反应)的建立
30、v 有效的风险管理要求管理者选择一个可以使企业风险发生的可能性和影响都落在风险容忍度范围之内的风险反应方案。 v 1、风险规避:企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。v 2、风险降低:企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。v 3、风险分担:企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。 v 4、风险承受:企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。 风险管理的误区 三、控制活
31、动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素:确定应该做什么的一个政策和影响该政策的一系列过程。 1、控制活动是公司建立执行的政策章程,以确保管理层的指示可以得到顺利贯彻执行。 2、控制活动必须与风险评估结合成一个整体。 各种措施的综合运用,重点是确定可承受度。重点关注如下方面:是否可预防或及时发现?是否可管理和监督结合?是否可手工及计算机结合?v控制活动的重点目标:v1、对财产保护进行控制v2、对会计系统控制运营分析进行控制 v3、对授权审批进行控制v4、对绩效
32、考评及其措施进行控制v5、对预算进行控制v6、对运营进行控制v7、对不相容职务分离进行控制控制活动的重要方面: 1、权力资产、资金、资本。v 动机切入法:2007年4月揭示的邯郸农业银行金库资金5300万被盗案符合上述三个症状。v (1)欲望(缺钱如生活贫困,如不良习惯:好赌、吸毒,如扭曲的心态等); (2)岗位或权力(如分管财务的岗位,如有权直接接触资金的岗位等); (3)借口如先“借”后还,如“借”了无人知道。 2、预算和预测控制、报告控制、业务记录和授权控制、实物控制、预警控制、职责分离控制。 四、信息与沟通 信息与沟通是获取和交换信息的程序,以使企业能够正常运行,并得到适当的管理及控制
33、内部控制相关信息的收集信息与沟通技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。包括: 1、信息的处理与传递有效 2、信息的及时沟通及时 3、信息与沟通系统能及时识别、获取和交流信息,促使管理层和其他员工履行其职责。科学合理的信息与沟通制度可促进内部控制的有效运行。可用 建立信息系统,满足经营管理需要、战略决策需要和组织内外沟通需要。 来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递,以保证企业的员工能够执行各自的职责。 有效的沟通包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换,如客户、供应商
34、、行政管理部门和股东等。它的形式包括量化的和非量化的信息,以使得企业的风险管理可以对现实世界中不断变化的条件及时作出反应。v 五、监督。v 内部监督的主体是由管理者、内部审计和外部审计共同构成的监控组合。v 1、企业应制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。v 2、内部控制监督制度是企业内部控制的重要组成部分,贯穿于内部控制活动的各个环节,是确保企业内部控制高效运行的重要保障。 v内部审计v 中国内部审计的发展要求将趋同于国际内部审计发展的要求。v 追溯内审发展历程:v 国家审计阶段(1983年以前)从新中国成立至1983年8
35、月的34年间,我国一直没有独立的政府审计机关。v 内审建立阶段(1983年-1994年)1983年9月审计署成立后,国家即针对国营企业和行政事业单位制定了一系列的法规,基本确立了我国内部审计制度。至此与内部审计相关的机构也在我国萌芽,中国内部审计学会的成立是我国内部审计发展的重要里程碑之一。同年12月,中国内部审计学会加入国际内部审计师协会,标志着中国内部审计进入国际化运作历程。v 但是在这一阶段我国尚没有相应法律来确立内审的地位。就企业而言,大多数的精力还是致力于业务的开拓和发展,所以,有些企业的内审部门仍依附于财务部门之下,或直接由财务部门执行此职能,甚至许多企业根本没有内审功能的设置。v
36、内审确立阶段(1994年-2002年)v 1994年中华人民共和国审计法的颁布,中国内部审计的法律地位才得以确立。v 1995年7月,审计署发布了审计署关于内部审计工作的规定(原1号)第一次对内部审计的定义、机构的设置、职责、权限、审计任务、工作程序以及职业道德等作了全面具体的规定。v 年代相关法律建立:会计法、中国人民银行法、上市公司章程指引、上市公司治理准则、信托投资公司管理办法、国有重点金融机构监事会条例以及企业国有资产监督管理暂行条例等相关法律法规对“内部审计工作”做了相应的规定。至此,企业开始重视内部审计的角色和职能,基于内部审计的独立性要求,许多企业的内部审计功能不再依附于财务部门
37、,也不再由其代为行使。v 内审发展时期(后安然时期2003年至今)v 美国安然公司、世界通讯公司财务舞弊事件的曝光让投资人信心受到重挫。美国于2002年7月30日出台了由美国总统签署的萨班斯-奥克斯莱法案,它强调公司治理对企业的重要性,其中包含对审计委员会和内部审计职能设置和其他相关的要求。v 近期的金融危机对我国内部审计发展的机遇主要体现为提高了企业管理层对内部审计重要性的认识。许多企业管理层对内部审计的看法有了改观,“认为内部审计是企业风险控制和管理的重要环节,不仅是风险控制流程的重要环节,而且在风险管理后期扮演着重要角色。有了内部审计不一定就没危机,但没有内部审计,危机会更大。目前对风险
38、管理、危机管理不仅是当务之急,而且是发展趋势。” v内部审计法规的建立:v 从2005年至2008年底,中国内部审计协会陆续颁布了中国内部审计基本准则、二十多项具体准则和两个内部审计实务指南,对中国内部审计的基本概念、内部审计活动的目标、宗旨、范围、性质与功能等皆有所指 导。v 2008年5月,财政部等五部委共同制定了被称为中国的“萨班斯法案”的企业内部控制基本规范。规范第十五条明确规定:企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程
39、序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。至此,内部审计的独立性和客观性,已被视为建立企业内部控制是否完善的必要评估条件之一。v 做好一些基础工作:v (1)强化内部控制意识;v (2)内审、内控合规部门及各职能部门的资源配置,开展风险和内部控制的培训;v (3)编制内部控制政策、内控评估执行方案,建立内部控制文档保存制度;v (4)运用风险评估的方法,通过访谈、问卷、穿行测试等活动,完成内控评估工作;v (5)确认相关的流程和内控程序,对已被识别的控制缺陷进行确认;v (6)制定各级单位内控管理工作汇报与沟通的内容形式及程序,定期自下而上对内
40、控工作中发现的问题进行汇报,管理层定期自上而下了解各级内控工作的情况以及重大缺陷。 v (7)制定内部控制测试方案并结合内控建设和绩效考核,定期对内控工作的成效进行监督和考评。其中:管理层要制订整改方案及时间表,组织对整改后的控制点进行再测试。 v 发现内部控制缺陷及并对其进行分类:v 缺陷是一个或多个一般缺陷的组合,关键在于企业是否能及时防范或发现严重偏离整体控制目标。缺陷一定要引起管理层关注;前面所述主要有设计缺陷和运行缺陷。v 企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,根据可容忍水平,制定缺陷认定标准,从而对严重偏离的情形予以确定。可分为一般缺陷、重要缺陷及重大缺陷。v 一
41、、一般缺陷可能对日常运营带来轻微的影响:v1、可能导致轻微的人身伤害;v2、业务影响情况可以立刻得到较为有力的控制;v3、为公司带来轻微的财务损失;v4、造成的负面影响在部分区域流传,给公司声誉带来明显损害。v 二、重要缺陷可能对日常运营造成一定程度的影响:v1、可能导致需要进行医疗救护的人身伤害;v2、为公司带来一定程度的财务损失;v3、其造成的负面影响波及范围较广,在部分地区给公司声誉带来较为严重的损害。v 三、 重大缺陷可能对日常运营造成极大程度的影响:v1、可能引起重大的业务失误;v2、可能导致发生人身伤亡;v3、为公司带来极大财务损失;v4、其造成的负面影响波及范围极广,普遍引起公众
42、关注,给公司声誉带来无法弥补的损害;v5、政府或监管机构已经针对相关方面进行调查。v内部控制缺陷的分类举例v (1)对以前发表的财务报表进行重报,以反映对错误或舞弊导致的错报的纠正。v (2)审计师发现的公司当期财务报表的重大错报,但该错报没有被公司有关财务报告的内部控制首先发现(即使管理层随后对错报进行了纠正,这也是存在实质性漏洞的强烈迹象)。v (3)公司审计委员会对公司外部财务报告及对其相随财务报告的内部控制的监督失效。v (4)对需要设立内部审计职能或风险评估职能来进行有效监控或风险评估的公司而言,如大型或综合性公司,这些职能是否失效?对应该严格监管的行业、经济关系复杂的公司的合规性监
43、管职能失效,该违规行为可能对财务报告的可靠性产生重大影响。v (5)涉及高层管理人员的任何程度的舞弊行为。v (6)已向管理层和审计委员会汇报的重要缺陷,经过合理期限后仍然没有被整改。v (7)控制环境失效:如财务报告内部控制出现重大缺陷的一般迹象。等等。v内部控制测评指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。内部控制测评的步骤:v(一)对内部控制进行调查了解; v(二)对内部控制进行初步评价,评估控制风险;v(三)对内部控制的执行情况进行符合性测试;v
44、 (四) 提出内部控制测评结果,并利用测评结果,确定实质性测试的范围、重点和方法。调查了解和初步评价内部控制的方法: (一)查阅被审计单位的各项管理制度和相关文件;(二)询问被审计单位管理人员和其他有关人员;(三)检查内部控制过程中形成的文件和记录;(四)观察被审计单位的业务活动和内部控制的实际运行情况。对内部控制测评结果做出结论 在符合性测试的基础上进行实质性测试在确定实质性测试重点领域时要考虑以下三个方面:v (一)缺少内部控制的重要业务领域;v (二)内部控制设计不合理,控制目标不能实现的领域;v (三)内部控制没有发挥作用的领域。v确定实质性测试的具体方法时,要针对内部控制缺陷和可能产
45、生的后果提出对应的检查措施,以核实相关的财政财务收支和会计处理是否真实、合法。v电算化条件下的内控测试:一般控制、应用控制、专项控制。v内控测评的记录与沟通vv审计人员应当将调查了解、测试和评价被审计单位内部控制的过程及结果记录于审计工作底稿,并将在测评中发现的内部控制的重要缺陷与被审计单位进行沟通。 关注企业不同发展阶段内部控制特点是我们的责任转型阶段创业阶段成熟阶段优点一、吃苦耐劳,有非常强凝聚力二、灵活多变,对环境有极快的反映能力。三、团队之间有很好的信任,不拘泥于规章制度。效率很好!不足一、规模有限、无法完成较大的任务。二、缺乏足够的能力。优点一、具有规模,有领袖与权威,环境快速反映。
46、二、有核心团队、有行业骨干,有一定默契。三、有一定规章制度,但主要是以信任为基础。能承担一定规模业务。有较为丰富的企业资源。不足一、新老队伍需要较长时间磨合,职业经理人难以取得 信任。二、制度不健全、或有漏洞。三、企业文化正在培育过程中,不稳定。优点一、有较好的独创的企业文化氛围,易吸收社会职业管理人员。二、规则清晰、制度高于一切。三、内部流程营运明确,易复制与模仿。四、有承担大型工作的能力。有较丰富的企业资源。五、有较强的抗风险能力。不足一、可能会存在一些官僚作风。二、某些流程可能过于刻板。对一些工作细节反映迟钝。三、较高的管理与控制成本。最容易出现最容易出现灾难性风险灾难性风险注重按审计程
47、序开展工作 一、审计的准备阶段:确定审计项目、组织审计力量、进行审计前调查、编制审计方案、制定评价标准和下达审计通知等方面。 二、审计的实施阶段:详细调查了解、进行初步测试、收集审计证据、分析原因、酝酿审计意见和编制审计工作底稿等方面的工作。 三、审计的终结阶段: 审查访谈记录或编制审计工作底稿、讨论审计评价、提出审计报告、征求被审计单位意见、审定审计报告 、出具审计结果报告和作出审计决定、审计文件整理归档。 四、后续审计:是指审计机构和人员为检查被审计单位对审计发现的问题所采取的纠正措施及其效果而实施的审计。制定审计工作方案 审计方案应当指明审计工作范围,审计工作包括什么和不包括什么都应当解
48、释清楚。审计方案中的内容是为了告诉内部审计工作者下列内容:v将要做什么?v什么时候做?v怎么去做?v谁将要去做?v持续的时间多长?审计工作方案按照内部控制审计的具体目标的要求制定。v编制审计方案注意的问题: (1)考虑审计报告编写的要求; (2)内容明确,分工具体; (3)明确步骤之间及审计人员与审计工作之间的关系; (4)审计方案的具体内容应具有一定的弹性; (5)审计工作方案如由多个审计组参加或不同级次审计组织参加同一个审计项目时,需要编制具有指导性的总体方案。 (6)审计工作实施方案是审计工作方案所确定具体目标在某一个审计项目中的具体化,由审计组长负责编制,经所在部门审核,并报批分管理领
49、导批准后由审计组实施。 审计工作实施方案主要内容v1、编制的依据;v2、被审计领导所在单位的名称和基本情况;v3、审计具体目标(方案的核心内容);v4、审计范围、内容、重点、方式、具体步骤;v5、预定的工作起讫日期;v6、重要性确定及审计风险的评估;v7、审计组长及组员的分工;v8、编制人员、日期,复核(批准)人员的意见及日期;v9、其他有关内容。审计证据的类型及质量要求 一、审计证据类型: 书面证据、实物证据、口头证据、视听证据、环境证据(内部控制制度等)。 二、证据的质量要求: 充分性、相关性、可靠性。 三、依法有效取得审计证据(一是根据审计具体目标;二是根据审计标准如:遵循性审计准则、三
50、是合理的审计技术方法;所有的证据要编制成审计工作底稿)。 四、取证六步骤模式:1.明确内控审计具体目标;2.明确内控审计评价标准;3.确定何种证据可以用于回答问题;4.研究证据的来源;5.设计取证的技术与方法( 收集证据的方法集中见后);6.对证据进行分析。 审计工作底稿 审计工作底稿是在审计工作过程中反映审计事实的书面记录,是联系审计证据和审计报告的桥梁。 审计工作底稿的取得途径:收录和编制。 审计工作底稿的形式:单项和汇总。 审计工作复核 审计督导对审计工作的监督与指导。督导人员:审计组长及内部审计负责人(或权威人物)。督导分工审计项目组长(主审)对工作底稿进行现场复核。 内部审计负责人对
51、审计工作底稿及审计报告复核。 内部审计负责人对审计工作底稿负完全责任。审计工作底稿的主要内容1、被审单位名称2、审计事项及其期间或截止日期3、审计程序的执行过程和执行结果记录、审计结论、执行人姓名和执行日期、复核人员姓名、日期及意见、索引号及页次、审计标识与其他符号的说明等审计报告的构成要素v1、标题;v2、收件人;v3、正文;(见下一页)v4、附件;v5、签章;v6、报告日期。正文v 1、审计概况:说明审计立项依据、审计目的和范围、审计重点和审计标准等内容;v 2、审计依据:应声明内部审计是按照内部审计准则的规定实施,若存在未遵守该准则的情形,应对其做出解释和说明;v 3、审计结论:对已查明
52、的事实(经营活动及内部控制制度进行评价);v 4、审计决定:针对问题的处理、处罚意见。v 5、审计建议:针对主要问题提出改善意见。 按结果沟通准则要求,正文部分所有内容一定要与被审计单位进行沟通。v如何写内部控制评定报告:v 1、内部控制评价的目的和责任主体。v 2、内部控制评价的内容和所依据的标准。v 3、内部控制评价的程序和所采用的方法。v 4、衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。v 5、被评估的内部控制整体目标是否有效的结论。v 6、被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响。v 7、造成重大缺陷的原因及相关责任人。v 8、所有在评估过程中发现的控制缺
53、陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。v 9、企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。内部控制审计中运用的一些主要技术方法 1、审阅核对法;2、监督盘点法;3、观察法;4、询问法;5、计算;6、专家鉴定;7、分析性复核法(准则);8、制度基础审计(准则);9、风险管理审计(准则) ;10、跟踪延伸审计;11、自查与抽查结合的方法;12、头脑风暴法;13、动机切入法;14、按业务循环程序进行审计;15、审计抽样(准则);16、从账户入手法;17、内部审计的控制自我评估法(准则)18、其他 动机切入法 1、欲望(缺钱如生活贫困,如不良习惯:好赌、吸毒,如扭曲
54、的心态等); 2、岗位或权力(如分管财务的岗位,如有权直接接触资金的岗位等); 3、借口如先“借”后还,如“借”了无人知道。 2007年4月揭示的邯郸农业银行金库资金5300万被盗案符合上述三个症状。对内部控制进行描述的方法(一)用文字记录的形式描述被审计单位内部控制的设置情况;(二)使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录;(三)以特定的语言符号,绘制经济活动的业务流程,以描述被审计单位内部控制的设置情况。评估控制风险的工作内容(一)分析可能发生错弊的业务环节和活动领域,并考察被审计单位已采取的控制措施;(二)测试相关内部控制的合理性和运行的有效性;
55、(三)确定控制风险水平。内部控制的符合性测试方法:(一)检查文件资料;(二)询问;(三)现场观察;(四)重做。具体要求:、沿业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行;、选择有关经济业务,对业务处理程序中的关键控制点进行测试,检查其是否真正发挥作用。 内部控制审计的着手点1、了解业务流程及相关内控情况:(1)资金流程;(2)资产流程;(3)了解以往年度审计中获得的内部控制信息;(4)了解各业务流程中相关内部控制制度细化的程度及可操作性。2、了解业务的关键控制点: (1)各项业务实现控制具体目标的情况; (2)关注重点控制环节及主要的控制措施; *事先的控制(如:不相容职务的分
56、离如授权与执行、审核与记录和保管与清查等要求被分离。授权的控制如一般授权和特殊授权。业务流程的控制如:同一项业务必须经过不同部门;检查者不得从属于被检查者 )*事中的控制(各相关业务管理信息反馈的程序控制、审计监督)*事后的控制(管理者对内控制度实施情况的重视,审计监督)3、了解相关单位在内部控制中容易出现问题的方面和重要环节。相关单位在内部控制中容易出现的一些主要问题货币资金方面:1、截留各种货币资金收入;2、挪用资金;3、虚报冒领;4、出借账号;5、现金超额存款;6、白条抵库;7、违规出借;8、其他。投资方面1、盲目投资(投资不熟悉的行业或风险行业);2、截留投资收益成账外资金;3、证券投
57、资暗箱操作,亏损由企业负担,赢利归个人或小团体所有;4、投资票据保管不善,账实不符;5、投资会计处理错误,调节利润;6、投资关系不明确,产权关系模糊;、董事会形同虚设;8、其他。筹资方面1、非法集资;2、资金预算失误,造成资金流量短缺或资金成本上涨;3、虚增筹资费用,形成账外资金;4、未发行的凭证保管不当,遗失或被盗;5、筹资记录未做真实反映;6、其他。固定资产方面1、盲目开发和购建;2、混淆资本性支出与收益性支出;3、固定资产盘盈不入账;4、固定资产闲置不处理造成报废;5、固定资产与流动资产核算混淆;6、固定资产残值收入不入账;7、虚增(减)折旧,维修费用支出失控;8、其他。采购和应付账款方
58、面1、盲目采购;、收受回扣;、虚报损耗;、大量预付款;、混淆采购成本;、验收不及时,以少报多,以次充好;、违规结算,资金流失或失取诚信;8、其他。销售和应收账款方面、虚记销售收入,调节利润;、销售成本结转不实,调节利润;、收款方式不当,造成坏账;、销售费用失控,成本增大;、销售凭证保管不严,造成资产流失;6、其他。基本建设项目在内部控制方面容易存在的问题基本建设项目在内部控制方面容易存在的问题 如基本建设程序的合规性存在的问题:项目建设程序不合规。如项目资金(项目资本金)来源不合法或不落实:配套资金不到位或不落实。如项目不按批准的概算内容建设:建筑面积超概算、 提高建设(装修)标准、设备购置标
59、准提高。如财务核算不合规性:交付使用资产核算不完整、明细科目核算不正确、自购固定资产核算不完整。如项目不进行公开招投标:项目规避招标、设备、材料采购不公开招投标、工程肢解分包,等等。 相关单位管理中容易失控的其他环节1、越级管理的环节;2、分工不清的环节;3、分管内容不是个人专业或知识范围的环节;4、管理水平达不到企业发展速度和要求的环节;5、高风险经营的环节;6、相关人员重要岗位频繁调动的环节;7、财会指标有造假情节难以重处的环节;8、人治大于法制的环节;9、主管部门管理工作尚待衔接的环节;10、缺乏部门间牵制的环节;11、新情况已出现但尚未引起监督部门注意的其他环节;12、其他环节(如容易
60、被偷盗的物品保管、同行业频频出事的环节等)。内部控制审计的着眼点 检查人员对内控制度测评不能代替实质性测试,无任内控制度是否健全有效都要进行实质性测试,并用适当的方法对被审计单位财务收支情况进行检查。从会计报表等书面资料中发现问题: 现金流量均衡性、收益构成、资产负债关系、指标间的勾稽关系、或有损失及单位发展战略目标制定等。结合各单位实际经济活动的特点有重点的实施检查以提高管理工作效率 缺少资金事件、亏损严重事件、参与高风险运作事件、非常规交易事件、指标异常趋势事件、高付出低效率的事件、同行业已有法律诉讼事件、重技术轻财务管理轻人事管理的事件、引起争议但难以处理的事件、注册范围大但不具有经营能
61、力的事件、资金频繁流动的账户等等。内部控制的案例报告(另附)中石油内部控制案例(另附)企业内部控制规范企业内部控制规范全文附件全文附件财政部制发财政部制发内部控制发生变化对内部控制发生变化对内部审计人员的思考提出了综合要求内部审计人员的思考提出了综合要求 宏观经济政策从宽松转向中性,再转向从紧,对组织的决宏观经济政策从宽松转向中性,再转向从紧,对组织的决策和经营将产生什么影响?策和经营将产生什么影响? 新政策法律法规的制定,原税法调整(如费改税、食品安新政策法律法规的制定,原税法调整(如费改税、食品安全法)等会怎样直接影响组织的经营和决策?全法)等会怎样直接影响组织的经营和决策? 经济状况出现
62、周期性的波动,如周期处于低谷,企业应该经济状况出现周期性的波动,如周期处于低谷,企业应该如何应对?如何应对? 新的产业结构调整对传统产业的冲击会使企业出现什么样新的产业结构调整对传统产业的冲击会使企业出现什么样的危机感?的危机感?产业政策调整的影响直面哪些淘汰类、限制类产业?产业政策调整的影响直面哪些淘汰类、限制类产业?地区政策调整的影响企业将如何持续经营哪些已没有优惠地区政策调整的影响企业将如何持续经营哪些已没有优惠政策的经济活动?政策的经济活动?转变经济增长方式后那些高能耗、高投入、高污染的产业转变经济增长方式后那些高能耗、高投入、高污染的产业出路在何方?等等出路在何方?等等内部审计人员的
63、内部审计人员的视野视野发生变化发生变化国际国际国内国内视角:视角:经济一体化的影响:发达国家转移传统产业,造成环境污染、生态经济一体化的影响:发达国家转移传统产业,造成环境污染、生态破坏、资源耗竭。破坏、资源耗竭。转型期的影响:快速转型,利益格局变化,社会动荡,社会风险加转型期的影响:快速转型,利益格局变化,社会动荡,社会风险加大。大。战略调整的影响:竞争领域引进民间资本,垄断领域拆分,竞争性战略调整的影响:竞争领域引进民间资本,垄断领域拆分,竞争性逐渐增强。逐渐增强。加入世贸组织的影响:扩大开放,跨国公司进入,争夺市场、人才,加入世贸组织的影响:扩大开放,跨国公司进入,争夺市场、人才,挤压了
64、生存空间。挤压了生存空间。信息化的影响:处在初中级工业化阶段,与后工业化阶段发达国家信息化的影响:处在初中级工业化阶段,与后工业化阶段发达国家相比,国际竞争力明显处于劣势。相比,国际竞争力明显处于劣势。知识经济的影响:在知识产业、无形资产、隐形知识方面,与发达知识经济的影响:在知识产业、无形资产、隐形知识方面,与发达国家差距还比较大,在产业链上处在末端。国家差距还比较大,在产业链上处在末端。行业视角:行业视角:行业竞争的影响:用户要求越来越高,价格空间越来越低,替代品行业竞争的影响:用户要求越来越高,价格空间越来越低,替代品越来越多,使行业竞争日趋激烈。越来越多,使行业竞争日趋激烈。行业集中度
65、的影响:行业集中度逐渐提高,竞争对手的实力越来越行业集中度的影响:行业集中度逐渐提高,竞争对手的实力越来越强。强。行业利润率变化的影响:传统行业利润率下降,形成对全行业的威行业利润率变化的影响:传统行业利润率下降,形成对全行业的威胁。胁。揭示问题的方向发生改变揭示问题的方向发生改变A A、生产运营:、生产运营:采购:采购成本高,控制力弱,存在供应紧张和采购:采购成本高,控制力弱,存在供应紧张和中断现象。中断现象。存货:积压、陈旧、损耗、减值。存货:积压、陈旧、损耗、减值。质量:质量低、服务差、退货多。质量:质量低、服务差、退货多。效率:生产组织效率低,成本上升,竞争力下降。效率:生产组织效率低
66、,成本上升,竞争力下降。生产能力:生产能力过剩或不足。生产能力:生产能力过剩或不足。信息化:信息化水平低,从设计、组织生产到销售、信息化:信息化水平低,从设计、组织生产到销售、结算,都使用传统手段。结算,都使用传统手段。营运:不能实现均衡生产。营运:不能实现均衡生产。安全:设备损坏,员工伤亡。安全:设备损坏,员工伤亡。环境保护:污染环境,受到处罚。环境保护:污染环境,受到处罚。社会责任:违法用工,损害员工权益。社会责任:违法用工,损害员工权益。B B、研发:、研发:没有新产品,产品技术含量低。没有新产品,产品技术含量低。没有核心竞争力概念,没有形成核心竞争力。没有核心竞争力概念,没有形成核心竞
67、争力。研发投入不足,没有技术研发中心。研发投入不足,没有技术研发中心。脱离市场需求搞研发。脱离市场需求搞研发。研发人员闲置。研发人员闲置。研发数据管理有漏洞,造成技术资料泄密。研发数据管理有漏洞,造成技术资料泄密。C C、营销:、营销:没有分析市场竞争态势,没有市场需求预测,找没有分析市场竞争态势,没有市场需求预测,找不到市场定位,对市场反应能力不足。不到市场定位,对市场反应能力不足。没有明确的营销策略和目标。定价不合理。没有明确的营销策略和目标。定价不合理。销售渠道不畅,营销费用居高不下,应收帐款过销售渠道不畅,营销费用居高不下,应收帐款过多。多。缺乏促销手段,过分依赖价格手段。缺乏促销手段
68、,过分依赖价格手段。缺乏品牌策略。缺乏品牌策略。客户满意度下降。客户满意度下降。D D、人力资源:、人力资源:人才缺乏。人才缺乏。人事管理混乱,人才流失严重。人事管理混乱,人才流失严重。缺乏激励机制,奖励政策不合理。缺乏激励机制,奖励政策不合理。凝聚力差,没有形成企业文化。凝聚力差,没有形成企业文化。员工涣散,经常完不成工作任务,或不认真履行职责。员工涣散,经常完不成工作任务,或不认真履行职责。E E、管理体制和组织结构:、管理体制和组织结构:管理跨度过宽,管理者处于忙乱之中。管理跨度过宽,管理者处于忙乱之中。决策无程序,缺乏科学性,经常发生决策失误现象。决策无程序,缺乏科学性,经常发生决策失
69、误现象。规章制度执行度差,经常处于有章不循状态。规章制度执行度差,经常处于有章不循状态。上下管理层之间缺乏沟通,信息传递速度慢,传递渠道上下管理层之间缺乏沟通,信息传递速度慢,传递渠道不畅。不畅。组织机构臃肿,管理费用居高不下。组织机构臃肿,管理费用居高不下。职能部门功能不全,界限不清,经常发生扯皮现象,管职能部门功能不全,界限不清,经常发生扯皮现象,管理效率低下,反应速度太慢。理效率低下,反应速度太慢。治理结构不健全,没有制衡机制。治理结构不健全,没有制衡机制。岗位设置不合理。岗位设置不合理。F F、舞弊:、舞弊:经常发生管理人员舞弊、雇员舞弊和违法行为,经经常发生管理人员舞弊、雇员舞弊和违
70、法行为,经常出现授权不清的现象。常出现授权不清的现象。G G、财务:、财务:汇率变动风险。汇率变动风险。利率变动风险。利率变动风险。变现能力差,现金回笼慢,产生流动性风险。变现能力差,现金回笼慢,产生流动性风险。缺乏投资决策信息,造成投资失败。缺乏投资决策信息,造成投资失败。应对违约能力差,形成合同风险。应对违约能力差,形成合同风险。举债不当,或使用债务资金不当,导致财务失败。举债不当,或使用债务资金不当,导致财务失败。担保不当,遭受损失。担保不当,遭受损失。信用调查和管理不当,遭受货款损失。信用调查和管理不当,遭受货款损失。预算和计划不切实际。预算和计划不切实际。财务报表不能真实地反映财务状
71、况、经营成果和现财务报表不能真实地反映财务状况、经营成果和现金流动状况缺乏纳税意识,金流动状况缺乏纳税意识,因逃税造成罚款损失。因逃税造成罚款损失。H H、战略管理:、战略管理:竞争战略、多样化经济战略、集团竞争战略、多样化经济战略、集团管理战略、跨国经营战略、购并战略等等。管理战略、跨国经营战略、购并战略等等。以上从风险识别角度看到,内部控以上从风险识别角度看到,内部控制所涉及的领域十分宽泛,而内部控制又制所涉及的领域十分宽泛,而内部控制又是内部审计的工作领域,因而内部审计领是内部审计的工作领域,因而内部审计领域也应该是十分广泛的。域也应该是十分广泛的。内部审计要想真正实现转型,要想内部审计
72、要想真正实现转型,要想发挥更大的作用,就必须更加关注内部控发挥更大的作用,就必须更加关注内部控制所涉及的领域,并将其逐步纳入自己的制所涉及的领域,并将其逐步纳入自己的视野和工作内容。视野和工作内容。内部审计“进入”策略v如影相随:与公司的治理、风险和遵从监管同步发展。v采取主动:帮助管理当局完善风险管理。v快速改变:重新界定基本价值定位,保持组织战略贡献者的地位。哪些因素影响内部审计角色、职责与功能?影响最强因素未来审计人员技能及其重要性未来审计人员技能及其重要性成功的内部审计特征v成功的内部审计组织有两个共同特征:成功的内部审计组织有两个共同特征:系统阐述利益相关者期望的能力;系统阐述利益相
73、关者期望的能力;稳定地超越利益相关者期望的能力。稳定地超越利益相关者期望的能力。 内部审计应考虑将关键利益相关者期望放在优先位置。利益相关者的基本期望利益相关者的基本期望v内部审计中的主要利益相关者其他利益相关者规则制定者外部审计人员管理者董事会审计委员会对内部审计对内部审计的期望的期望1.1.审计委员会和董事会对内部审计的期望审计委员会和董事会对内部审计的期望v制定综合的基于风险的审计计划v将组织的状况和控制程序告知董事v在风险和控制方面提供专家意见和保证v促进对组织风险及其管理程序的理解v监视组织的客观、独立的机构v可信赖的顾问2.2.管理者对内部审计期望管理者对内部审计期望v为内部控制提
74、供专家意见和保证v提议和提供关于企业风险方面的看法、建议和保证v传递及时的和相关的信息,促进风险管理和业务决策v通过识别新出现的风险和事件来辅助管理3.3.外部审计人员、规则制定者和其他利益相关外部审计人员、规则制定者和其他利益相关者对内部审计的期望者对内部审计的期望v识别组织面对的重大风险和评价控制对减缓风险的有效性v提供对财务控制适当性的认识v执行一个致力于财务风险和相关IT控制的风险基础审计计划成功内部审计的10项规则1.在组织中将内部审计放在足够的战略高度2.根据企业的重大目标和利益相关者的期望制定和定期更新正式的战略计划3.战略目标导向的业绩评价4.经常与重要的利益相关者按照它们的需
75、要和期望进行联系沟通,令内部审计满意5.与企业和利益相关者需要相一致的人力资源战略6.采用一个以风险为中心的评价方案,持续关注企业风险7.对IT审计采取一个综合的方法,加强内部审计人员的IT能力8.利用技术优化审计业务9.战略性地利用内部审计的知识和专家意见10.致力于持续质量保证和提高v当前审计中主要涉及的问题及建议经归类可分为以下几种:一些是探索的问题,要总结经验,保护改革的积极性;第二种是制度不规范,就要完善制度,它也是发展中的问题,要制定符合发展趋势的制度,完善政策;三是职业道德范畴,钻空子,没有违法;四是违法违规,以身试法,依法处置。这些问题要分清,不同的问题,用不同的方法解决。当前
76、内部审计工作中存在的一些问题1、审计准则执行不到位 方案太简单、证据未按规定取得(如无签字盖章)、工作底稿不能完整的反映审计情况(现场审计情况)、报告内容不完整(没有定性定量及处理依据)、复核出现虚设情况 2、证据不足以支持审计结论 审计事实表达不完整、检查测试没有计算过程和合理的分析推断、定性定量不正确、评价超出审计范围(如主要领导人法制观念薄弱、主要领导为企业发展做出了巨大的贡献)。3、引用法规制度不正确 条款引用错误或不具体、引用超出时间效率的法律法规4、处罚不到位 从轻处理或不处理、严重违纪情况不移送、隐藏已查出的严重问题5、审计切入点不明确 没有围绕审计目标6、审计过程中未对审计风险
77、进行有效的评估 不对内控情况进行测试、未对报表及相关账薄的“重要性”进行评估7、审计人员培训“走过场”。审计风险 审计风险是指被审单位会计资料存在重大的错报或漏报,而审审计风险是指被审单位会计资料存在重大的错报或漏报,而审计人员在审计后发表不恰当审计意见的计人员在审计后发表不恰当审计意见的可能可能。审计风险存在于审计。审计风险存在于审计全过程。全过程。 审计风险审计风险= =固有风险固有风险* *控制风险控制风险* *检查风险。检查风险。 固有风险:指假定不存在相关的内控制度,某一账户或交易固有风险:指假定不存在相关的内控制度,某一账户或交易类别单独或连同其他账户交易类别产生重大错报或漏报的可
78、能性。类别单独或连同其他账户交易类别产生重大错报或漏报的可能性。 控制风险:某一账户或交易类别单独或连同其他账户交易类控制风险:某一账户或交易类别单独或连同其他账户交易类别产生重大错报或漏报没有被内部控制防止、发现纠正的可能性。别产生重大错报或漏报没有被内部控制防止、发现纠正的可能性。 检查风险:某一账户或交易类别单独或连同其他账户交易类检查风险:某一账户或交易类别单独或连同其他账户交易类别产生重大错报或漏报而未被实质性测试发现的可能。(实质性测别产生重大错报或漏报而未被实质性测试发现的可能。(实质性测试是指审计人员为了取得关于被审计单位各类业务和账户的会计处试是指审计人员为了取得关于被审计单
79、位各类业务和账户的会计处理是否恰当的证据所进行的测试。)理是否恰当的证据所进行的测试。) 供交流的部分审计体会 1、利用结构,强化思维。 解决问题的过程并非始于事实,而是从结构开始。结构是指分析和解决问题的框架。 2、围绕审计具体目标设定初始假设(无错假设和有错假设) ,实施目标应考虑细化,便于操作。3、考虑让假设来决定分析方法,理顺分析的优先顺序,确定困难问题的范围。4、综合运用审计技术方法收集证据。 5、试行结构化访谈,访谈时注意倾听,注意敏感话题。6、不断积累多方面知识,以便快速收集有质量的信息。7、不停的向自己提出“这又是为什么”,切忌分析问题的局限性。8、充分考虑审计对象的能力,有准备的实施审计。 9、按照准则规定的程序及要求做,避开审计风险。
