2023年内部审计在治理风险和控制中的作用学习笔记.doc

内部审计在治理风险和控制中的作用 A 遵守国际内审协会的属性标准〔熟练掌握〕 1、明确内部审计的宗旨、权力和职责〔1000〕 a 确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准 内部审计：是一种独立、客观的保证工作与咨询业务活动，它的目的是为组织增加价值并提高组织的运作效率。它采用系统化、标准化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现组织目标。 业务：保证工作和咨询活动 目的：为组织增加价值并提高组织运作效率 方法：方法系统化、标准化 对象：风险管理、控制及治理程序进行评价 书面文件形式：内部审计章程。要求与标准一致，并经批准，也作为评价内审工作质量和业绩依据，处理分歧的依据 要求：1、内审地位 2、授权接触人、资料、实物 3、活动范围 批准章程组织：董事会、审计委员会、相关治理机构和高级管理层 b确定内审的宗旨、权力和职责是否通报业务委托人 业务委托人：审计监督对象，更是审计效劳对象 通报目的：消除分歧，分清责任，取信合作实现审计目标 c说明内审的宗旨、权力和职责 宗旨：审计活动要到达的目标 权力：实现目标的保证 职责：需要履行的责任 首席审计执行官定期评价，并报高级管理层和董事会，首席审计执行官的任期标准没有规定 2、保持独立性和客观性〔1100〕 a 加强独立性 独立性：独立于所审查的活动之外，包括机构独立和人员独立，是否独立就看有没有干扰其活动 机构独立性：在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性，不受管理层和其他方面的干扰、阻挠开展活动，机构独立性更重要。不承当组织经营责任 机构获得独立性：1、审计章程规定 2、向谁报告，理想的是向董事会、审计委员会和相关治理机构CEO〔报告行政工作〕上述机构必须有足够的权力，这也是CAE报告时应考虑的因素。 3、CAE与上述交流沟通，参加相关监督职责会议 4、人事任命，理想的是董事会任免CAE 5、审计委员会组成，理想的是没有管理层人员 b加强客观性 客观性：是指一种公正的、不偏不倚的态度或精神状态，不与任何方面达成质量妥协，或把自己的观点凌驾于审计事务的判断之上 客观性政策：1、审计人员工作防止利益冲突或偏见，可定期轮换工作 2、审计人员不承当经营责任，如果承当至少一年后才能审计自己过去工作的地方 3、审计工作结果要审查 4、对实施前的控制系统进行检查和提出建议，但不能设计、安装和经营该系统 5、可以接受大家都能得到的小礼物，不能接受有工作关系的人员送的酬金和礼物 个人客观性：1、安排审计人员工作防止利益冲突或偏见，应定期轮换工作， 2、不依附他人观点，可依赖外部审计意见 3、诚信工作，不作质量妥协 4、工作底稿和结果应审查 5、不接受礼金和礼物 合规性审计客观性强，经营审计、绩效审计、财务控制审计主管判断多 独立性和客观性受到侵害怎么办： 1、审计人员与被审单位有利益冲突，CAE重新指派 2、审计范围受到限制，书面报告其影响给董事会或权力机构 3、具体情况在审计报告或工作报告中进行披露 谁来监督首席审计执行官：独立内部审计机构以外的有关方面 3、确定是否具备必要的知识、技能和胜任能力〔1200〕 熟练：不必寻求广泛的技术研究和帮助就能完成特定审计工作的能力 具备能力：1、熟练的内审标准、程序和技术 2、理解〔不一定熟练〕管理原那么、会计学、法律、税收、信息技术等，不要求在会计原那么和技术上有广泛的鉴别能力 3、交际能力，与被审计单位保持满意关系，不包括审计风险的交流和沟通 4、接受后续教育 上述能力作为审计机构应当集体具有，知识能力互补，所以具有专业工程技术人员只要有兴趣也可到审计机构工作 4、开发和/或取得内部审计活动所必须的知识、技能和胜任能力 更专业的领域可以寻求外部帮助，这些领域包括： 1、信息技术、统计学、税收、翻译等 2、资产评估 3、合同完成程度 4、舞弊和安全调查 5、精算福利欠款 6、解释法律、管理和技术 7、兼并和收购 首席审计执行官负责评价外部能力，但与董事会、高级管理层或其他人员有私人关系和专业关系，与本组织有经济、技术、利益关系的将有损外部审计的独立性 5、运用应有的职业审慎 职业审慎：运用专业熟练和技术发现损害组织利益的行为，对一些现象保持警惕，对控制不当地方提出改良建议。审慎，不是要求对所有的交易进行检查，也不杜绝违纪现象 运用审慎：1、根据审计风险安排方案，确定审计工作重点 2、开展我们具备知识和经验的方面审计，缺乏局部寻求外部帮助 3、工作中处理足够的信息，如扩大审计范围 6、促进持续专业开展 a 为内审人员制定并实施持续专业开展方案：考证、学历、继续教育〔无硬性时间要求〕、专题讨论 b 通过持续专业开展提高个人能力：考CIA、参加会议、研讨会、大学课程、内部培训 7、促进内审活动的质量保证与改良〔1300〕 a 建立和保持质量保证与改良项目：是否遵循标准道德标准，关键是内审章程，满足上级要求 b 对内部审计监督质量保证与改良项目的效果〔三方面〕 监督：是否遵守标准和审计方案 内部评价：定期自我检查活动情况，CAE指定个人或小组对工作进行评价，提出建议 外部评价：必须独立于组织外部，不能有利益冲突，如果由内部其他部门评价会有利益冲突 c 将质量保证与改良的结果报告董事会或其他治理机构 报告内容：机构对标准的遵守情况，以及对机构章程和其他适用标准遵守的情况，提出改良意见，对不合规的行为应披露事实和造成的影响 d 实施质量保证程序并建立改善内审业绩：评价之后编制书面行动方案，恰当的跟踪措施 8、遵守和促进对IIA道德标准的遵守 正直、客观、保密、胜任能力 正直：按要求披露信息 客观：行为上不参加有损害的活动，不接受阻碍职业判断的东西，充分揭露事实〔注意对象〕 保密：不经适当授权不披露信息，对外发布信息不是审计师的职责，而是董事会的事情 能力：熟练，理解，高效 B 以风险为根底制定方案确定内审重点〔熟练掌握〕 1、建立评估风险的框架 风险：是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性，用潜在的货币化，或不利影响衡量，后果包括：错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务 COSO〔IIA和AICPA专业联盟〕内部控制框架：〔金字塔模型〕 底层：内控环境：影响内部控制的各种因素 调查：风险评估：是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。 措施：控制活动：包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原那么有：防止由“相关人士〞组成的集团从头到尾控制某个操作或交易；“四只眼睛〞的原那么〔用四只眼睛盯一笔业务〕。 联系：信息与交流：是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反响，进行纠错，如此不断改良。但受本钱效益原那么的约束，内控实际上是一个无止境的过程。 高层：监控：意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。 2、应用该框架 首席执行官确定审计方案时采用的风险评估框架： 内部环境―目标设定―事件识别―风险评估―风险回应―控制活动―信息沟通－监督 考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计方案首要因素因素 风险损失：风险带来损失的金额乘以概率，但不是所有风险都可以量化的 审计风险：检查中可能没有发现重大错误或弱点，导致审计失败，不是制定方案考察的组织风险 3、识别内审资源需求 审什么：1、对组织可审活动进行分类 2、分析其带来的风险〔潜在损失金额大的不是唯一标准，还要考虑发生的可能性〕 3、按风险大小进行排序 4、特别关注局部，管理层的要求也许比审计委员会的要求更具有紧迫性 数量化风险评估模型：对全组织的各项风险因素进行排列，并赋予分值进行综合评估，得出审计重点，风险因素包括管理层对完成目标的信念意识和紧迫感、人力资源、资产配置、市场变化、内部信息化程度、预测能力等，审计纠错执行情况， 已审计过的对象也是考虑因素。优点：审计长期方案提供依据，主观判断减少，系统化。但不是所有风险都可以量化的。 对多个审计单位风险评估：给各单位5各风险因素，每个风险因素1－5分，分析后，加总各单位分值，那个分值最高，那个单位先审 方案安排审计资源：审计人员配置〔人数、能力〕和财务预算〔经费〕，工作日程安排上应有一定的覆盖面，审计日常工作：工作日程安排、管理活动、教育培训、审计研究和开展 一般分工：CAE：审计工作方案的制定 与高级管理部门的沟通 审计工作的最终复核 经理：具体审计事项的组织实施 工作内容的初步调查 审计现场的监督管理 复核工作底稿和审计报告草稿 与被审计单位管理层沟通 人员：执行审计程序编制工作底稿 编制初步报告 现场沟通等 4、与各方面协调内审工作 需要协调的部门：外部审计师〔要求信息共享，工作底稿和审计方案的保密性不阻碍内审使用〕、法规监督机构、其他内部保证部门〔承当某些方面的监督、控制和保证工作，内部审计不根据他们的要求改变章程要求，以保证独立性〕，对于调查中发现人员的弱点应记录，并确定潜在的影响 5、选择审计业务 内审范围及重点： 1、财务和经营信息资料的可靠性和完整性 2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况 3、审查资产保护方式 4、评价资源利用的经济性和有效性 5、审查经营项目，确认结果和目标是否一致 审计资源缺乏：向董事会和高级管理层报告可能带来的后果，报告还包括审计范围、资料的限制 C 理解内审在公司治理中的作用〔熟练掌握：1道德气氛评估、2报告机制评估、3报告控制评估、4特定领域评估、5外部审计评估、6公司行为商业惯例遵循评估、7业绩测评系统评估、8整改效果评估、9防范舞弊评估〕 1、获得董事会对内审章程的批准〔获得独立性，确定目的、责、权〕 2、沟通审计业务方案 如何沟通：1、工作业务方案报高级管理层审批 2、中期方案重大变动沟通 3、执行中资源缺乏、范围、资料限制后果的报告 3、报告重大审计事项和机构工作业绩指标 例行报告：定期〔一年〕提交董事会工作报告，组织报告规那么：行政上报首席执行官〔行政工作〕，职能上向董事会报告〔业务工作〕 1、 重要的审计发现和建议 2、 审计工作方案、人员方案和财务预算执行偏差和原因 重大事项：CAE判断对组织不利影响的情况， 报告步骤：1、先与高级