《风险导向的内部审计理论.ppt》由会员分享,可在线阅读,更多相关《风险导向的内部审计理论.ppt(97页珍藏版)》请在三一办公上搜索。
1、风险导向的内部审计理论与实务,2002年末,美国时代周刊评出2002年新闻人物,包括辛西亚.库珀和雪伦沃特金斯。前者是世界通信的内部审计部副总经理,后者是安然公司副总裁。,2008年9月15日,雷曼兄弟宣布破产,2008年1月24日,法国兴业银行曝出因交易员违规操作而巨亏约71亿美元的消息,让世界震惊。,1999,国际内部审计师协会(IIA)发布内部审计职业实务准则框架,确立了风险导向内部审计的基本思想。,研讨的主要内容,内部审计的发展和演进内部控制与企业风险管理框架风险导向内部审计的理念及相关内容风险导向内部审计的案例分析,内部审计的发展历程,萌芽状态的内部审计财务导向的内部审计业务导向的内
2、部审计管理导向的内部审计风险导向的内部审计,萌芽状态的内部审计,分工和分权的思想受托责任的履行情况进行检查目的主要是查错防弊,财务导向的内部审计,19世纪末,20世纪初背景:机器大工业的出现股份公司的诞生独立审计的出现现代会计的出现,1941,IIA1941,维克托.布林克,内部审计:性质、职能和程序方法1947,内部审计职责说明书第1号,SRIA No.1,业务导向的内部审计,20世纪40年代末、50年代初主要受到泰罗的科学管理理论和法约尔的一般管理理论的影响前者从作业管理层面强调效率至上后者强调从组织管理角度改进管理,提高企业效率,业务导向的内部审计实践,1948年,内部审计对梅迪希银行伦
3、敦支行的管理当局及其所从事的业务活动进行了审计,并出具了详细的业务审计报告。1968年,IIA的调查结果显示美国内部审计实务大量涉及采购、库存规划与控制、保险计划、基建、运输、管理信息系统、生产、广告等业务活动。,75%的公司的内部审计重点是财务审计与业务审计兼而有之。在人员结构方面,41%的内部审计人员来自会计专业以外。,管理导向的内部审计,20世纪70年代开始背景:1、外部环境的改变所引起的管理理论的发展(控制论、信息论、系统论、耗散结构论、协同论、突变论)。2、公司治理理论研究与实务操作全面展开。3、更加强调决策在管理中的核心地位,强调企业内自上而下的目标一致性。,彼得.德鲁克的目标管理
4、理论赫伯特.西蒙的决策管理理论,管理审计的对象,狭义的对象主要指对高层的管理决策、方针及战略等进行审查与评价。广义的对象还包括业务活动的审查。1974年,CIA考试开始,管理导向内部审计的缺陷,内部审计做的仅仅是事后的评价与反馈。内部审计在评价管理活动的着眼点主要是管理决策、经营活动及控制活动本身,担没有将这些对象与企业目标并联系在一起。无法证明内部审计是企业价值链上的重要一环。,风险导向的内部审计产生的背景,管理环境的变化管理理论与实践的发展迈克尔.波特的战略管理理论迈克尔.哈默和詹姆斯.钱皮的企业再造理论戴明和朱兰的全面质量管理理论(TQM)彼得.圣吉的学习型组织理论,2001,安然事件2
5、002,SOX法案2004,ERM,风险导向内部审计的特点,内部控制是风险导向内部审计的基础。对风险的评估与改善是风险导向内部审计的首要目标。,风险,狭义的风险广义的风险,风险导向内部审计的本质,确保受托责任有效履行的能动的管理控制机制,风险导向的内部审计与风险导向的外部审计的区别,内涵不同目标不同风险范围不同,独立审计模式的演变,账表导向的独立审计制度导向的独立审计风险导向的独立审计,风险导向内部审计的对象,内部控制风险公司治理,风险导向内部审计的目标,提供增值服务,风险导向的内部审计人员应具备的能力,内部审计规范的发展演进,第一阶段,从IIA成立到20世纪70年代,以内部审计职责说明书为代
6、表(SRIA)第二阶段,从20世纪70年代到20世纪90年代末,1978年IIA通过内部审计职业实务准则,1968年通过内部审计职业道德规范第三阶段,2001年至今,COSO内部控制整体框架(Internal Control-Integrated Framework),COSO报告(IC-IF),监控,控制环境,控制程序,风险,信,息,沟,通,信,息,沟,通,COSO报告(IC-IF 1992)的观点,1、定义:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告真实性、相关法令的遵循性等目标所达成而提供合理保证的过程。,内部控制为谁而设?,内部控制不是由某个人或哪个层
7、级的人提出来,专门针对某一个或某一群特定层级的人的制度。它是为整个企业设计的系统,不专门针对具体的哪一层级或哪一群人,而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。,内部控制定义的理解,1、内部控制是一种“过程”,讲求的是达到结果的过程而非结果本身;2、内部控制是受“人”影响的过程,是由“人”执行的过程而并非仅是政策手册与表格,它来自于组织内每一个阶层的人;3、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证;4、不同类别的内部控制相互配合,以一种、多种或重叠性的类别达到多项管理目标(3目标)。,5、软控制6、内部控制的责任7、柔和管理与控制的界限,谁对内部控制承
8、担责任?,管理当局的责任:CEO:负责建立有效的内部控制,在整个组织内倡导控制意识;CFO:核心作用,设计,推行和监管组织的财务信息报告行为C-LEVEL:确保其分管活动的accountability,董事会与审计委员会的责任:董事会:公司治理的监督责任.确认管理当局是否履行其建立和维护内部控制的责任审计委员会:警惕管理当局凌驾控制之上或财务欺诈行为,并采取适当措施制止.,员工的责任:对任何与不遵循控制规定或非法行为相关的问题,有责任按组织层次向上报告。,COSO报告(IC-IF 1992)内容,(一)控制环境 控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它是内部控制
9、其他构成要素的基础,它的设计和运行,不仅会影响企业整体活动方式,而且对企业目标制定与评估风险、控制活动、信息与沟通系统,以及监督活动等都会产生重大的影响。,(一)控制环境1、诚信的原则和道德价值观2、评定员工的能力3、董事会和审计委员会4、管理哲学和经营风格5、组织结构6、责任的分配与授权7、人力资源政策及实务,诚信原则与道德价值观,是企业道德与行为准则的凝结,以及如何将这些价值观教化员工并诉诸实际行动内部控制作为企业文化相当脆弱任何人不得凌驾于内部控制制度之上,权力的杠杆作用,正直与道德价值观,道德观指南的关键在执行安然既有道德风尚规则,也有举报机制,但言行不一。安然2000年度报告中的价值
10、观:以坦诚和真诚对待客户与未来;遵守诺言,言行如一。(We work with customers and prospects openly,honestly and sincerely.When we say we will do something we will do it,when we say we can not or will not do something then we wont do it.)安然当局对网上交易系统的评价,员工素质,提倡对正义、公理、公德的忠诚,而非狭隘的“公司忠诚”;公司不能置公理和正义之上。价值观与基本素质知识结构与技能经验及培训,董事会及审计委员会,
11、独立性 成员经验及地位 作用程度 行为方式 与外部审计的影响,安然审计委员会:不议事的议员主席,不治公司病的癌症中心总裁,安然的审计委员会为何没能对后来暴露的财务问题引起警觉?6个成员中至少有1人与公司存在不当经济关系。问题的关键在独立,而安然审计委员会的独立董事却与公司管理层穿连裆裤。-Delaware 大学教授Charles Elson问题2在成员的地域组成:审计委员会成员来自美国、英国、巴西及香港,难得凑齐讨论日常事务。,管理当局的哲学理念和行事作风,企业运作理念:1.胡雪岩现象:2.政治与企业经济的关系3.畸形的企业参政热情4.对待企业失败的不同态度5.企业运作思路的比较,中国企业 国
12、际企业关系 法律经济利益 经济利益法律 关系,双汇集团理性决策:形成以肉类加工为主,养殖、屠宰、包装、彩印等紧密联系的产业群体,1998年集团实现利税295亿元,去年又突破了5亿元大关。资金控制:产品销售一律现款现货制度,原料采购实行生产试用合格后付款制度。财务管理:财务垂直管理、审计日常监督总裁万隆也不避讳:“管理是企业的生命,双汇赢就赢在管理上。,春都集团妖言决策:收购和兼并了洛阳市旋宫大厦、等10多家扭亏无望企业;投资茶饮料等10多个大型项目;资金失控:12亿元贷款中,66亿元项目占用,23亿元用于兼并亏损企业,2亿欠款;财务虚假:1998年亏损4994万元,上报省贸易厅为利润2055万
13、元。集团新任总裁赵海均坦言:“现在看来,春都在发展中确实是轻视了管理。”,同是国务院确定的全国520家重点企业 同是地处中原的肉类加工企业(漯河肉联厂和洛阳肉联厂)都始建于1958年,又都于1984年由省管下放到地方。1984年漯河肉联厂的资产总额是468万元,企业累计亏损534万元洛阳肉联厂当时的资产总额是2000万元,当年实现利税200万元。1986年,中国第一根火腿肠在洛阳肉联厂诞生,1992年漯河肉联厂生产出第一根火腿肠。1993年,春都集团实现工业总产值、利税分别达到11599亿元、1082亿元,而双汇集团仅为857亿元和7045万元。,组织结构,组织结构的定义:通过提供完整的架构作
14、用于组织实现其目标的能力;是规定组织内部责任与授权的线型结构。组织结构设计必须覆盖组织活动的全部形式:计划,执行,控制,监督组织结构设计的哲学意义:做什么?做!如何做?组织结构设计的2个限制:少一个不行;多一个冗余;部门功能必须是线型的、支持的,而非拦截的,计划做什么的组织安排,执行落实计划的组织安排,控制保证正确执行计划的组织安排,监督保证控制有效的组织安排,组织结构的设计因素:确认授权和责任的关键领域;确认报告路径组织设计合理的流水线模式:三个问题:所有的事是否都有人做?行为者是否充分授权行事?所有行为是否有人承担责任?,企业成为权力角斗场的原因:1.组织结构设计不确定:对权力定义不清或定
15、义错误,导致权力的涣散;权力与责任不对称2.权力结构不稳定:权力成为公开招标物;导致冲突和耍政治手腕,而不是对责任及合格责任人的正当提供。,权力与责任的分配,授权与指挥三忌:多头领导;越级指挥;管辖人员过多 组织行为与责任的分配对组织目标的协同作用责任与报告,人力资源政策 脊髓比脑髓更重要-爱因斯坦,人与制度之间的关系:若员工素质良好,有信用,有正义感,即使某些控制措施缺失,企业也能行为规范,信息可信;若员工油滑、无原则、无正义感,即使有控制制度,企业也可能因此蒙受损失或名誉扫地。如何招人,如何评价,如何训练和育化,是内部控制的关键。,(二)风险评估 任何企业,不论其规模、结构、性质或行业如何
16、,都会面临来自内部和外部的不同风险。风险是客观存在的,而管理者的每一项决策本身就在创造风险,从而企业管理者只能谨慎地接受风险,并将风险维持在一个合理的水平之内,因此风险评估应该成为内部控制的主要组成部分。,风险是不能实现目标的可能性,企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时,必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适当加以处理。环境控制和风险评估,是提高企业内部控制效率和效果的关键。,(二)风险评估的要素1、目标2、风险3、环境变化后的管理,(三)控制活动 控制活动是指管理者对所确认的风险所采取的必要措施,是帮助管理者确保各项指令能执行的政策和
17、程序。控制活动出现在整个企业内的各个阶层与各种职能部门,包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。,控制活动包括政策和程序两个要素,政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯、彻底地加以执行。,政策一般针对某种情况,而执行程序必须视当时情况而定,如果只是机械地、被动地执行程序也不会取得理想的效果。控制程序是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。,(三)控制活动的内容一般包括:1、经济业务和经济活动的授权、批准;2、
18、明确有关人员的职责分工,并有效防止舞弊;3、凭证和账单的设置和使用应保证业务和活动得到正确记载;4、财产和记录的接触使用要有保护措施;5、对已登记的业务及其计价要进行复核,等等。,(四)信息与沟通 围绕在控制活动周围的是信息与沟通系统,这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并相互交换这些信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项要素,是企业内部控制过程的一个部分。,1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务;2、它不仅要有向下的沟通渠道,还应该有向上的、横向的以及对外界的信息沟通渠道
19、;3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等,是企业信息系统最为重要的组成部分。,(五)监督1、持续的监督活动2、个别评估3、报告缺陷,企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。因此,要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。,ERM与IC-IF,ERM报告相对于IC-IF,有以下创新:提出一个新的观念风险组合观增加一个新的目标战略目标提出二个新概念风险偏好和风险容忍度增加三个风险管理要素“目标制定”、“事项识别”、“风险反应”。,ER
20、M的构成要素,内部环境目标制定事项识别风险评估风险反应控制活动信息和沟通监控,ERM的四个目标,战略目标经营目标报告目标合法性目标,各管理层在ERM中的地位和职责,董事会管理者风险管理员内部审计人员其他员工,内部控制与风险管理的关系,黑社会与银行的内部控制水泊梁山的内部控制,内部审计在内部控制与风险管理中的作用,传统的内部审计与内部控制风险导向的内部审计与内部控制和风险管理,传统的内部审计与内部控制,内部审计过程中主要的步骤围绕着内部控制而展开,包括描述、分析、评价内部控制及扩大性测试。方法包括内部控制的描述方法、检查、穿行测试、观察、查询等。,风险导向的内部审计与内部控制及风险管理,英国风险
21、管理协会的意见:1、内部审计工作的重点应放在重要的风险上,审查贯穿组织范围的风险管理;2、为风险管理提供确证服务;3、积极支持并参与风险管理程序;4、促进风险识别和评估5、帮助向董事会、审计委员会等提供风险报告。,IIA的审计实务准则:帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系;评价控制的效率与效果,促进控制的不断完善,以帮助组织保持有效的控制。,风险导向内部审计对内部控制与风险管理的逻辑框架(风险导向的内部审计规划制定),风险导向审计对内部控制与风险管理提供确证服务的技术方法,标杆比较法,风险导向审计对内部控制与风险管理提供咨询服务的技术方法,控制自我评估法(风险自我评估法
22、或控制风险自我评估法),控制自我评估法(CSA),内容:确认风险;评价减少或管理风险的控制过程;开发用以将风险降至可接受水平的行动计划;确定实现业务目标的可能性。,展开形式:以目标为基础以风险为基础以控制为基础以过程为基础以部门为基础,方法:问卷调查(Questionair)研讨会(Workshop),优点:提高内部审计效率强调员工的参与性进行持续的评估与改进为企业管理层与员工提供内部控制的教育与培训,公司治理,狭义的公司治理广义的公司治理,内部审计与公司治理的关系,传统内部审计与公司治理风险导向的内部审计与公司治理,管理导向的内部审计、风险导向的内部审计与公司治理关系的区别,前者是面向审计委员会和高级管理层的反应式双轨报告关系后者是面向审计委员会和高级管理层的能动式双轨报告关系,公司治理参与者需求的主要变化,内部控制有效性的评估与报告风险管理的有效性道德规范的建立与实施以预防舞弊和非法行为,公司治理也是内部审计的对象,IA2001实务准则之工作标准2130治理:“内部审计活动应评价并改进组织的治理程序,为组织的治理做贡献。”,内部审计如何为公司治理做贡献?,围绕公司价值观的活动在实现目标过程中公司治理各方参与人的责任履行情况,
