学习笔记
内部审计在治理风险和控制中的作用
A 遵守国际内审协会的属性标准(熟练掌握)
1、明确内部审计的宗旨、权力和职责(1000)
a 确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准
内部审计:是一种独立、客观的保证工作与咨询业务活动,它的目的是为组织增加价值并提高组织的运作效率。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标。
业务:保证工作和咨询活动
目的:为组织增加价值并提高组织运作效率
方法:方法系统化、规范化
对象:风险管理、控制及治理程序进行评价
书面文件形式:内部审计章程。要求与《标准》一致,并经批准,也作为评价内审工作质量和业绩依据,处理分歧的依据
要求:1、内审地位 2、授权接触人、资料、实物 3、活动范围
批准章程组织:董事会、审计委员会、相关治理机构和高级管理层
b确定内审的宗旨、权力和职责是否通报业务委托人
业务委托人:审计监督对象,更是审计服务对象
通报目的:消除分歧,分清责任,取信合作实现审计目标
c阐明内审的宗旨、权力和职责
宗旨:审计活动要达到的目标
权力:实现目标的保证
职责:需要履行的责任
首席审计执行官定期评价,并报高级管理层和董事会,首席审计执行官的任期《标准》没有规定
2、保持独立性和客观性(1100)
a 加强独立性
独立性:独立于所审查的活动之外,包括机构独立和人员独立,是否独立就看有没有干扰其活动
机构独立性:在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性,不受管理层和其他方面的干扰、阻挠开展活动,机构独立性更重要。不承担组织经营责任
机构获得独立性:1、审计章程规定
2、向谁报告,理想的是向董事会、审计委员会和相关治理机
构CEO(报告行政工作)上述机构必须有足够
的权力,这也是CAE报告时应考虑的因素。
3、CAE与上述交流沟通,参加相关监督职责会议
4、人事任命,理想的是董事会任免CAE
5、审计委员会组成,理想的是没有管理层人员
b加强客观性
客观性:是指一种公正的、不偏不倚的态度或精神状态,不与任何方面达成质量妥协,或把自己的观点凌驾于审计事务的判断之上
客观性政策:1、审计人员工作避免利益冲突或偏见,可定期轮换工作
2、审计人员不承担经营责任,如果承担至少一年后才能审计自己
过去工作的地方
3、审计工作结果要审查
4、对实施前的控制系统进行检查和提出建议,但不能设计、安装和经营该系统
5、可以接受大家都能得到的小礼物,不能接受有工作关系的人员送的酬金和礼物
个人客观性:1、安排审计人员工作避免利益冲突或偏见,应定期轮换工作,
2、不依附他人观点,可依赖外部审计意见
3、诚信工作,不作质量妥协
4、工作底稿和结果应审查
5、不接受礼金和礼物
合规性审计客观性强,经营审计、绩效审计、财务控制审计主管判断多
独立性和客观性受到侵害怎么办:
1、审计人员与被审单位有利益冲突,CAE重新指派
2、审计范围受到限制,书面报告其影响给董事会或权力机构
3、具体情况在审计报告或工作报告中进行披露
谁来监督首席审计执行官:独立内部审计机构以外的有关方面
3、确定是否具备必要的知识、技能和胜任能力(1200)
熟练:不必寻求广泛的技术研究和帮助就能完成特定审计工作的能力
具备能力:1、熟练的内审标准、程序和技术
2、理解(不一定熟练)管理原则、会计学、法律、税收、信息技术
等,不要求在会计原则和技术上有广泛的鉴别能力
3、交际能力,与被审计单位保持满意关系,不包括审计风险的交流和沟通
4、接受后续教育
上述能力作为审计机构应当集体具有,知识能力互补,所以具有专业工程技术人员只要有兴趣也可到审计机构工作
4、开发和/或取得内部审计活动所必须的知识、技能和胜任能力
更专业的领域可以寻求外部帮助,这些领域包括:1、信息技术、统计学、税收、翻译等
2、资产评估
3、合同完成程度
4、舞弊和安全调查
5、精算福利欠款
6、解释法律、管理和技术
7、兼并和收购
首席审计执行官负责评价外部能力,但与董事会、高级管理层或其他人员有私人关系和专业关系,与本组织有经济、技术、利益关系的将有损外部审计的独立性
5、运用应有的职业审慎
职业审慎:运用专业熟练和技术发现损害组织利益的行为,对一些现象保持警惕,对控制不当地方提出改进建议。审慎,不是要求对所有的交易进行检查,也不杜绝违纪现象
运用审慎:1、根据审计风险安排计划,确定审计工作重点
2、开展我们具备知识和经验的方面审计,不足部分寻求外部帮助
3、工作中处理足够的信息,如扩大审计范围
6、促进持续专业发展
a 为内审人员制定并实施持续专业发展计划:考证、学历、继续教育(无硬性
时间要求)、专题讨论
b 通过持续专业发展提高个人能力:考CIA、参加会议、研讨会、大学课程、内部培训
7、促进内审活动的质量保证与改进(1300)
a 建立和保持质量保证与改进项目:是否遵循《标准》《道德规范》,关键是《内
审章程》,满足上级要求
b 对内部审计监督质量保证与改进项目的效果(三方面)
监督:是否遵守《标准》和审计方案
内部评价:定期自我检查活动情况,CAE指定个人或小组对工作进行评价,提出建议
外部评价:必须独立于组织外部,不能有利益冲突,如果由内部其他部门评价会有利益冲突
c 将质量保证与改进的结果报告董事会或其他治理机构
报告内容:机构对《标准》的遵守情况,以及对机构章程和其他适用标准遵守的情况,提出改进意见,对不合规的行为应披露事实和造成的影响d 实施质量保证程序并建立改善内审业绩:评价之后编制书面行动计划,恰当的跟踪措施
8、遵守和促进对IIA《道德规范》的遵守
正直、客观、保密、胜任能力
正直:按要求披露信息
客观:行为上不参加有损害的活动,不接受妨碍职业判断的东西,充分揭露事实(注意对象)
保密:不经适当授权不披露信息,对外发布信息不是审计师的职责,而是董事会的事情
能力:熟练,理解,高效
B 以风险为基础制定计划确定内审重点(熟练掌握)
1、建立评估风险的框架
风险:是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性,用潜在的货币化,或不利影响衡量,后果包括:错误决定、错误财务报告和损失、财产保全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标和任务
COSO(IIA和AICPA专业联盟)内部控制框架:(金字塔模型)
底层:内控环境:影响内部控制的各种因素
调查:风险评估:是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。
措施:控制活动:包括确保管理层指令得以实施的政策和程序:批准、授权;
核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则(用四只眼睛盯一笔业务)。
联系:信息与交流:是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约
束,内控实际上是一个无止境的过程。
高层:监控:意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。
2、应用该框架
首席执行官确定审计计划时采用的风险评估框架:
内部环境―目标设定―事件识别―风险评估―风险回应―控制活动―信息沟通-监督
考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素
风险损失:风险带来损失的金额乘以概率,但不是所有风险都可以量化的
审计风险:检查中可能没有发现重大错误或弱点,导致审计失败,不是制定计划考察的组织风险
3、识别内审资源需求
审什么:1、对组织可审活动进行分类
2、分析其带来的风险(潜在损失金额大的不是唯一标准,还要考虑发生的可能性)
3、按风险大小进行排序
4、特别关注部分,管理层的要求也许比审计委员会的要求更具有紧迫性
数量化风险评估模型:对全组织的各项风险因素进行排列,并赋予分值进行综合
评估,得出审计重点,风险因素包括管理层对完成目标的
信念意识和紧迫感、人力资源、资产配臵、市场变化、内
部信息化程度、预测能力等,审计纠错执行情况,
已审计过的对象也是考虑因素。优点:审计长期计划提供
依据,主观判断减少,系统化。但不是所有风险都可以量
化的。
对多个审计单位风险评估:给各单位5各风险因素,每个风险因素1-5分,分
析后,加总各单位分值,那个分值最高,那个单位先审计划安排审计资源:审计人员配臵(人数、能力)和财务预算(经费),工作日
程安排上应有一定的覆盖面,审计日常工作:工作日程安
排、管理活动、教育培训、审计研究和发展
一般分工:CAE:审计工作计划的制定与高级管理部门的沟通审计工作的最终
复核
经理:具体审计事项的组织实施
工作内容的初步调查
审计现场的监督管理
复核工作底稿和审计报告草稿
与被审计单位管理层沟通
人员:执行审计程序编制工作底稿
编制初步报告
现场沟通等
4、与各方面协调内审工作
需要协调的部门:外部审计师(要求信息共享,工作底稿和审计方案的保密性不妨碍内审使用)、法规监督机构、其他内部保证部门(承担某些
方面的监督、控制和保证工作,内部审计不根据他们的要求改
变章程要求,以保证独立性),对于调查中发现人员的弱点应记
录,并确定潜在的影响
5、选择审计业务
内审范围及重点:
1、财务和经营信息资料的可靠性和完整性
2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况
3、审查资产保护方式
4、评价资源利用的经济性和有效性
5、审查经营项目,确认结果和目标是否一致
审计资源不足:向董事会和高级管理层报告可能带来的后果,报告还包括审计范围、资料的限制
C 理解内审在公司治理中的作用(熟练掌握:1道德氛围评估、2报告机制评估、
3报告控制评估、4特定领域评估、5外部审计评估、6公司行为商业惯例遵循评估、7业绩测评系统评估、8整改效果评估、9防范舞弊评估)
1、获得董事会对内审章程的批准(获得独立性,确定目的、责、权)
2、沟通审计业务计划
如何沟通:1、工作业务计划报高级管理层审批
2、中期计划重大变动沟通
3、执行中资源不足、范围、资料限制后果的报告
3、报告重大审计事项和机构工作业绩指标
例行报告:定期(一年)提交董事会工作报告,组织报告规则:行政上报首席执行官(行政工作),职能上向董事会报告(业务工作)
1、重要的审计发现和建议
2、审计工作计划、人员计划和财务预算执行偏差和原因
重大事项:CAE判断对组织不利影响的情况,
报告步骤:1、先与高级管理层讨论
2、对审计事项高层讨论决策结果报董事会
3、高层决定不行动承担风险或其变动,最好再向董事会报告
4、涉及高层管理者,可不向本人报告,直接报董事会或审计委员会中期报告:在无法发布最终审计报告时,可发布中期报告包括特别关注事项、审计范围变化、需要延长时间等
5、讨论重大风险领域
内审不是对风险进行管理(管理责任是管理层的事),而是对组织风险管理过程进行评估和报告
管理层对风险接受水平不符合组织战略目标时,CAE与之讨论,问题得不到解决报董事会,董事会有针对性的决定,管理层不能有效执行,报董事会
6、支持董事会开展全公司的风险评估
检查、评价风险管理过程充分性和有效性(充分性、有效性的概念在后面的报告内容中有)
风险评估程序:
1、行业趋势带来的风险
2、检查政策、董事会和审计委员会会议记录,评价接受风险接受程度
3、检查内外发布的风险评估报告
4、与管理层讨论,确定各部门目标及风险监督
5、收集、评估降低风险的内控活动的有效性
6、评估报告,及恰当性、充分性、及时性,建议的全面性、完善性、有效性
7、管理自我评价的客观性和有效性
8、与高层评估讨论风险控制可以接受的水平
7、检查内审机构在组织内风险管理框架中的定位
组织各层次的职责定位:
1、董事会:负责制定战略目标的制定
2、高级管理层:赋予风险所有权
3、执行层:接纳剩余风险
4、运营层:负责持续识别、评估、减轻和监督活动
5、审计机构:负责定期评价并协助其他部门进行风险管理
内审在风险管理中的做事原则:
1、没有建立风险管理流程的,提请管理层注意
2、内审只在建立过程的初期积极协助,但更积极的是用保证和咨询业务进行补充
3、章程中应规定,内审可以促进、协助风险管理过程的建立,但不负担风险管理责任
8、监督遵守公司行为规范和商业惯例情况
公司行为规范:由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度
商业惯例:是在商业活动中形成的被广泛接受的通用做法,一般是非正式的,但违反会对组织带来不利影响
内审对其评估内容:
1、书面道德规范是否存在,各层次执行标准是否不同,对其了解机会和接触
情况
2、是否对各层次人员进行讲解,并强调重点教育
3、员工和代理理解和接受规范
4、有无措施促进其遵守(监督、举报、奖惩)管理
5、高层监督其执行情况
6、公司行为是否遵循规范和商业惯例公司行为
防止商业回扣有效办法,与供货商签订长期合同,合同条款由董事会审批,并在道德规范中禁止
9、报告控制框架的有效性
充分性:控制系统能否适当的保证机构的任务和目标有效的完成,考虑成本效益
原则
有效性:能否取得预期的效果,是否达到预期的控制目标
控制目标:财务和运营信息的可靠性和完整性,运营工作成效,资产保护,遵守了法律、规定和合同
评价标准:组织标准,行业、专业、协会标准,如果管理目标和标准模糊,寻求权威解释。衡量标准应与被审单位达成一致
评价程序:确定检查范围、收集证据、单项评价、总体评价。
总体评价:1、是否发现了漏洞和薄弱环节 2、发现之后是否进行了改进 3、是否存在无法接受的风险
报告三种意见方式:1、否定式:没有发现
2、保留意见,发现,但总体上不至于失控
3、否定意见,重大漏洞或严重薄弱环节,控制系统总体
上作用很小甚至失效
《萨-奥法案》对报告的要求:季报、年报,CEO和CFO必须书面声明:
1、审核了报告(负责制定和维护了信息披露控制和流程)
2、重大事实真是陈述,无遗漏(设计信息披露控制和流程,确保信息能够知
晓)
3、特别强调,保真的内部控制制度承担责任,并保证其有效性
4、对影响报告编制的重大缺陷和员工的欺诈行为,已向外部审计和审计委员
会披露
内审作用:1、参与信息披露控制和流程的初始设计
2、加入信息披露委员会
3、协调外部审计师工作
4、独立评估信息披露控制和流程
10、协助董事会评估外部审计的独立性
《萨-奥法案》规定:提供非审计业务缺乏独立性包括:参与客户会计记录、与报表有关记录,财务信息系统设计和实施,内部审计服务时间超过客户全部内部审计活动时间40%(2亿元资产一下客户除外,可提供与报表无关的内部审计服务),提供评估服务,人力资源和法律服务,以管理层或职员身份开展工作。11、评估董事会的道德氛围12、评估组织的道德氛围
道德氛围在很大程度上决定了治理效果,有效创建治理过程的道德文化氛围包括:建立清晰易懂的规范说明,保护检举人的具体措施,学习机会,创造积极的人事管理机制等
治理过程:所有者及董事会对管理者的监督活动,管理者对治理过程的效果负责13、评估在特定领域遵守政策的情况
特定领域:电子商务,互联网上从事商业活动,其最低风险是符合本组织战略的
电子商务规划、设计和实施项目,电子商务的风险是在目
标实现中有负面影响的不确定性事件,内审起到作用是在
灾难恢复计划形成阶段进行评估
衍生产品,支付的款项或价值是由某些约定的指标的表现决定的,指
标可以是商品、利率或汇率,包括期权型和远期型两种合
约类型
14、评估组织向董事会报告的机制
管理层报告机制:
1、规定报告事项
2、规定谁来报告
3、规定报告形式和时限、问题的解决
4、
规定逐级上报和各个管理层级的责任
内审评估这一报告机制:
1、是否书面清晰规定
2、报告机制是否充分有效满足董事会需要
3、机制
是否按规定运行
《萨-奥法案》规定:审计委员会负责制定、偿付和监督为组织出具报告的会计师事务所的工作,负责举报接受处理、自主决定雇请法律顾问和其他咨询人员
15、对法规监督机构检查结果的落实情况进行跟踪并报告16、对外部审计的结果进行跟踪报告
首席审计执行官对跟踪并报告怎么作:
1、建立维护一项制度,保证对处理情况的监督
2、对非常重要的应要求管理层马上采取纠正行动
3、判断高级管理层已接受了不采取行动所带来的风险
4、评价纠正行动的充分性和有效性
如何监督进展情况:
1、把审计发现和建议报告给负责纠正的管理层(高级管理层应和纠正单位商量如何纠正)
2、报告后在合理的时间内得到管理层反馈,收集最新反馈信息,收集有监督义务部门的信息
3、向高级管理层或董事会报告反映情况(纠正单位行动,内审合理时间内复查)
纠正行动批准后仍未得到执行怎么办?
首席审计执行官应决定开展跟踪检查,并确定必要的范围
17、评估业绩测评系统的充分性和整体目标的实现情况
业绩测评系统没有建立,内审应建议建立,或与被审计单位协商寻求双方可以接受的测评标准
业绩测评系统标准模糊,内审应寻求权威性解释
评估原则:科学性、合理性和可操作性
18、树立舞弊防范意识,鼓励报告不正当的行为
防范舞弊的首要机制是控制,控制是管理人员的责任
内审的责任是通过评价相关控制的充分性和有效性来协助防止舞弊,对人的能力上要求更高,对舞弊时刻警惕。考题会出现如何发现舞弊,所以要了解舞弊的特征
D 执行其他内部审计任务和职责(熟练掌握)
1、道德规范/合规情况
《萨-奥法案》对提供舞弊证据的上市公司雇员保护
对道德规范/合规投诉内审作什么?
1、制定书面政策和流程,并对投诉进行调查
2、监督管理层落实投诉解决办法有关决定,否则内审职业生涯受到损害《萨-奥法案》规定:CEO CFO,报表被要求更正,其奖金和利润将被剥夺,即报告报出之前12个月内权益报酬(所持股票分红),或剥夺12个月内出售证券得到的利润(SEC:美国证券交易委员会)
上市公司的内审必须遵守《萨-奥法案》报告合规情况:
1、强化的利益冲突条款,规定管理人员不得以公司名义给个人贷款或借款
2、管理层和主要持股人参与公司交易,报告自己直接或间接持有10%股票
3、高级财务官员道德规范,要求披露道德准则,以及对其的修改
2、风险管理
内部审计作用:以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制,从而解决风险,对风险评估一般具有较高的审计优先顺序,评估
重点是管理过程的充分性和有效性。如果有部门提出要求,内审
可以帮助机构进行风险管理的初步建立工作,咨询业务可作为保
证业务的补充。必须明确内审可以促进、协助风险管理过程的建
立,但不负担风险管理责任(在管理层没有识别风险时,审计可
以协助识别,而不是帮助建立制度,制度建立是管理层的责任)3、保密
对外发布信息:一般而言是董事会或审计委员会的责任,不是内部审计的责任,当非法律部门要求披露审计信息时,可将这一要求报董事会或审计委员会4、信息或物理安全
薄弱环节:是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷,内审对其进行评价和检查纠正的落实
定期评价合规:向董事会或审计委员会定期报告,报告包括:物理安全的环境风险和未经授权的访问保安,遵守法律、法规有关隐私规定
防止获得口令的最有效办法:使用者使用卡片自动产生口令,密钥介入每次口令不同
E 治理、风险和控制知识要点
1、可选择的公司治理模型
治理:就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为
公司治理:是指对公司的统治和支配,它决定运营的目标和方向,治理过程就是对管理层执行的风险和控制过程加以监督。研究投资人和公司各级管理层、外部利益互相作用和影响关系。治理程序的核心是:监督和控制,公司治理的实现是控制权。
公司治理程序:
1、公司权利机构(股东大会)、决策机构(董事会)、执行机构(高级管理
层)三者之间的分立制衡关系
2、治理程序体现在与各个经营管理层的委托关系,通过内部控制制度构建,
董事会是核心
治理模型:
1、英美国家的股东主权模型,融资结构以股本为主,股权分散,参与不多,
收购容易并形成垄断
2、德日国家的共同治理模型,融资结构中银行占有很大比率,银行集股东
和债权人于一身,公司负债率高,产生了股权与债权共同治理的模式,
控制权集中,容易形成腐败和结派
2、可选择的控制框架
内部控制:是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。通过计划、组织、实施来保证目标实现,
从三方面理解:
1、“内部”涉及组织的董事会和各个部门,通过内部指令完成,不是外部(政
府、其他组织)
2、控制服务于组织的目标
3、控制不能必然保证目标实现,来自组织内部和外部的影响,就是风险,
发现处理风险,把它降低到最低程度,就是风险管理
内控框架(COSO)和保证实现的组织目标
1、组织运行的效果与效率:效果:实现目标的程度,如利润多少,效率:资
源的投入产出量
产出量:产量、利润、工作量或其他可以测得的成果
2、财务报告的可靠性和完整性:可靠:内容的真实,完整:全面、详尽反映
资产负债和经营情况,财务报告不真实、不完整往往是组织重要风险之
源
3、符合相关的法律和合同,违反法律和合同会给组织带来风险
4、资产的安全:不因不当行为而损失、不当经营而减少、不当使用而低效、
不当处臵而贬值,保值增值是股东的最根本的利益体现
参见评估风险框架
3、风险的词汇和概念
风险的种类:
1、行业风险:对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析,从而确定本组织的发展方向、竞争优势和竞争策略
2、组织风险:分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析
3、沟通风险:实际上是信息风险与关系风险的总称,信息风险:信息不准确、不及时、不完整造成的决策失误或缓慢的风险。关系风险:沟通不力,或不能很好地了解信息知识出现对信息的误解,并导致不适当的行动,进而造成客户丧失、机会损失或士气低落以及各种冲突
公司合并的风险含有文化差异的风险,这些风险是内审应当考虑
4、风险管理技术
风险管理技术:1、风险评估框架 2、风险防范系统
风险评估框架:1、风险评估:确定评估范围与方法,收集和分析相关数据,对结果进行说明
2、风险缓解:确定风险可能发生的范围、可能性、可能损失,采取的保护措施
3、不确定性分析:充分收集有关情报,借助一系列技术手段模型分析
风险战略目标最优化:股东价值最大化
5、不同组织结构中的风险/控制内容
1、部门设臵:根据工作特征设臵,部门多管理分工细,但管理效率低,成本高。部门少部门内部二次分工,增加层级数,信息传递容易失真,指挥效率低
2、管理层级:划分为高层、中层、基层,分管不同任务
3、管理跨度:管理者或管理层直接指挥的下属人员或部门的数量,它取决于管理者的能力和偏好和组织结构,跨度大,层级少,跨度小,层级多,授权下属
决策,但不能转移对决策结果的最终职责
组织机构类型:(机构设臵带来的风险,即缺点)
1、机械式:分工明确、弹性小,技能要求低,适应稳定环境,包括:职能型、分部型
2、有机式:弹性大、适应变化,参与决策,分工不明确,技能要求高,适应不确定环境
简单结构:集权小型企业
矩阵结构:产品部门化+职能化,复杂而又独立项目+专家组合,
缺点:不统一指挥增加部门的模糊,混乱产生于不知向谁
报告(报告产品经理、职能经理),会培养权力斗争的种
子
网络结构:一个小中心,通过职能外包,进行运营,经济灵活,
缺点:控制力、质量保证、信息保密有损害
3、有机附属结构:在有机结构不变的情况下,部分单位设臵为机械组织,方
法:成立任务小组结构、委员会结构
6、不同领导风格下的风险/控制内容
领导风格类型:1、任务驱动型:倾向于用权威命令指挥任务完成 2、关系驱动型:通过沟通协调调动积极性
领导方式类型:1、自由放任式:在工作比较复杂,有充分信任和技术保证前提下
2、体贴式:士气不振或分工明确、环境复杂目标难以完成下
3、民主式:发挥专业优势下,有一定信任程度,同时能统一意
见下
4、结构式:按部就班领导成员完成任务
7、变革管理
流程再造:在现有的资源的基础上重新建立一个新的组织,不是纠正已经发生或正在发生的错误的事
造成的阻力:1、不确定性,造成担心工作的稳定,从而产生抵触
2、关心个人得失
3、认为变革不符合组织利益,造成失业、人员分裂、工作关系变
化
解决手段:1、教育和沟通 2、鼓励参与 3、推动支持(积极行动肯定)4、谈判和协商 5、修改隐私部分信息(敏感问题分布进行,避免集中爆发)
6、公开和私下强制
8、冲突管理
冲突类型:功能正常的冲突,属于建设性的功能失调冲突,属于破坏性的
产生冲突根源:沟通差异,沟通渠道有噪音,影响理解
结构差异,部门从各自利益出发形成的意见不一致
人格差异,独特的格产生的不信任,陌生,难合作
解决方法:回避:不属于主要冲突,可以不关注
迁就:顺从别人的目标,把别人目标看的比自己高
强制:牺牲别人
妥协:双方做出有价值的让步
合作:开诚布公讨论,关注对方意见,没有时间压力,问题十分重要
不能妥协
激发建设性冲突:改变组织文化、运用沟通、引进外人、重新构建组织
9、管理控制技术
预算:计划大量化说明,把有关的经济活动计划用数字和表格的形式反映出来全面预算:以利润为目标,以预算销售为基础,综合协调其他预算结果,对企业全部经济活动及其成果进行预算,包括:生产经营预算,财务状况和经营成果方面的预算,分类:业务预算、专门预算和财务预算
常用工具:增量预算、弹性预算、零基预算、滚动预算、KAIZEN(日本,预算期内累计不断改进)
10、控制类型
按时间分:事前,预防性控制
事中,典型的就是监督视察
事后,实际与标准比对,如分析投诉、客户回访、监督退回
按功能分:预防,审计客户信用、采用招标、职责分离、将任务分给胜任员工、使用密码
检查,核对账目、物资清点、对比检查
指导,政策、指南和手册,如要求从业资格、保证毛利率、出勤率
纠正,纠正程序、控制和例外报告
计算机,综合控制和应用控制
F 计划审计业务(熟练掌握)
1、开展与业务委托人的初步沟通内容:
1、沟通审计工作计划
2、讨论审计的目标和审计方式
3、要求委托人报送资料
4、进行其他沟通
2、对审计业务范围实施初步调查
1、了解审计业务的活动
2、获取有利于审计的信息
4、需要特别关注的领域
3、决定如何开展下一步工作
分析性复核:对调查取得的信息进行分析和评价的基础上初步形成调查结论,该技术不能确定具体舞弊行为,如果审计发现有舞弊存在,直接调查而不用该法。运用方法:
1、比较前期和后期的类似信息
2、比较目前与预算
3、财务信息和非财务信息研究,发现影响关系
4、研究因果关系
5、比较部门之间类似信息
6、比较与行业类似信息
7、比较实际与审计期望值
基准比较(标杆管理法):用最佳行为作为基准比较,基准来自企业自身、竞争对手、行业最优点范围内选择
实施面谈:面谈后对有关事项和达成的结论编程纪要,便如工作底稿,对初步
显示的问题决定扩大性测试
查阅以前审计报告和其他资料
绘制流程图:水平流程图(涉及部门)、垂直流程图
编制检查清单:在初步检查的最后阶段,编制检查清单
3、完成相关领域的详细风险评估:在制定年度计划时,从全局高度审视组织风
险并评价,在初步调查的基础上制定计划,这里强调的那个风险最大
4、与各方面协调审计业务工作
a 外部审计师协调:首席审计执行官应当与提供保证和咨询业服务的其他内部
或外部服务提供分享信息、协调工作,保证合署的工作范围并最大限度地减少重复工作,包括:讨论会、借助工作底稿、审计报告和管理层信件的交换、审计技术的理解
b 外部法规监督机构:寻求法律、法规、规章、制度等理解和技术支持
5、建立/完善审计业务的目标,识别/确定审计业务的范围
审计目标:内审做出的确定审计业务希望实现内容的概要声明,审计程序:实现审计目标的手段
审计业务目标:是对被评价活动的风险、控制及治理过程提出意见
根据不同的审计类型,具体建立和完善审计业务的目标:
1、经营审计:目的是检查和评价内部控制系统以及所分配的职责的完成情
况,关键理解内部控制,它是实现审计目标:评价存货内部控制的有效性之一,确定节约成本也是目标之一
2、绩效审计:目标是确定效果、效率和效益,这种审计必须有一套能用来
评价绩效的经认可的目的、目标和标准
3、合规性审计:目标是确定组织对证词、程序、标准或者法律和政府法规
遵守程度(客观性较强,审计师的主观判断少)
4、质量审计:目标是确定组织质量管理的水平和效果,主要关注质量管理
的四个关键要素:
a 顾客需要;
b 产品/服务计划、生产和运输满足顾客的需要;
c 生产和运输产品/服务计划和执行
d 过程控制,尤其是个别顾客需要产品的服务
5、财务控制审计:目标是确定对组织内部财务资源控制和财务资源的会计
资源控制的水平和效果
6、财务报表审计:目标是对组织财务报表的公允性和一致性发表审计意见,
通常由外部审
审计业务范围:根据审计业务目标确定,包括:治理、经营和信息系统
内部控制系统审计范围:
1、内控的恰当性:能否提供适当的保证,并高效、经济实现组织目标
2、内控的有效性:能否起到应有的作用
3、执行效果审查:确认组织任务和目标是否已经完成
6、识别或开发保证业务的标准(审计所依照的标准)
那些标准或准则审计师采用恰当:
1、部门的质量标准的操作程序
2、内部会计控制原则,引自注册会计师手册的相关内容
3、理想的经营实务,基于内部审计师参与许同公司内部审计实务所积累的经
验和知识
7、在计划审计业务时考虑舞弊的潜在可能
舞弊与错误的区别:舞弊是有意识的,错误是无意识的,结果损人利己,舞弊的风险因素是控制弱点,助长因素:无效的内部控制,员工的勾结,
流动资产的存在
防止舞弊最有效的方法:保持一个有效的内部控制系统
危险信号:是在总结以往舞弊的基础上得出的在这些条件下舞弊发生的比率较高,不一定记录,收集,坐支是舞弊的因素,该名词被大家熟悉,并
产生积极影响
舞弊类型:1、为组织谋取利益而进行的舞弊事例
2、谋取组织利益的舞弊迹象或征兆
3、为个人谋取利益行为
4、谋取个人利益征兆
对舞弊行为采取的行动:
1、已经发生的舞弊迹象,做出是否采取进一步行动或提出调查的建议
2、足够证据证明舞弊迹象,可以提出调查建议时,要通知适当的权力
机构
3、得出结论提交报告,报告内容:发现问题、结论、建议和纠正措施
如何实现内审协助发现舞弊职责:就是评价控制系统在防止潜在风险暴露方面的充分性和有效性,舞弊者承认舞弊,应记录成工作底稿,签字,报
告高级管理层,请示下一步行动
8、确定审计业务步骤
审计方案:一份说明开展具体审计业务时所应遵循的工作步骤文件,通常包括:
1、资料收集
2、分析和评价资料
3、记录信息
4、对审计业务进行监
督
9、确定审计业务所需要的人员水平和资源
部门培训的主要目的:实现组织目标,同时也是提高个人能力
配臵内审岗位职责:考虑工作范围、职责水平、建立学历和工作经历标准
10、建立对审计业务充分的计划和监督
当首席审计执行官与内部审计师对重大专业问题判断不一致时,应对事实进行讨论和进一步调查研究。
1、如果未能达成共识可将不同观点记入工作底稿,但所有分歧必须在审计机
构内部解决,呈现在管理层和被审计单位的审计报告中的结论只能是一种2、如果在职业道德问题上发生专业判断不一致,应向本组织有关道德实务负责人请示
对审计师的监督必须是持续的:
1、这种监督贯穿于审计的各个阶段,包括监督工作底稿能否支持审计发现
2、监督扩展到培训、经费、时间报告等管理问题
3、监督的恰当证据应该得到文件记录和保留,包括工作底稿上
11、编制审计业务工作程序
以下过程应记录在工作底稿中:
1、制定计划
2、对内部控制系统所作的检查和评价
3、执行的审计程序、取得的资料、得出的结果
4、对工作底稿的审查
5、提交审计报告
6、进行后续审计
以下资料作为工作底稿
1、内控调查表、流程图、核对清单和记事
2、调查记录和备忘录
3、组织系统图和工作流程图
4、重要合同、协议的复印件
5、有关经营和财务政策的资料
6、对内部控制系统的评价意见
7、确认和陈述的信件、如应收款函证
8、有争议的交易事项及其处理意见
9、对账户余额的检查、分析
10、实施的分析性审计程序
11、审计报告及管理层意见
12、审计结论及其反馈意见
格式:
1、每一张工作底稿有标头:名称、内容、目的、日期或时期
2、记录的数据应注明来源,并注明报告和记录是否一致
3、工作底稿的目录或索引
4、审计师签字,并注明日期
责任:
1、首席审计执行官对工作底稿负完全责任,负责制定工作底稿的各项政策
2、应亲自或指派较高水平的人员审核工作底稿并签字、注明日期
3、审核中发现的问题应当记录,并跟踪审核发现的问题已经解决,解决的可
以保留或销毁
4、工作底稿的所有权属于本组织,档案保留在内部审计机构
5、调用工作底稿应由首席审计执行官批准,提供外部应有高级管理层批准或
法律顾问批准