內部審計在治理風險和控制中的作用
A 遵守國際內審協會的屬性標準(熟練掌握)
1、明確內部審計的宗旨、權力和職責(1000)
a 確定內審的宗旨、權力和職責是否清楚地以書面形式記錄并獲得批準
內部審計:是一種獨立、客觀的保證工作與咨詢業務活動,它的目的是為組織增加價值并提高組織的運作效率。它采用系統化、規范化的方法來對風險管理、控制及治理程序進行評價,提高它們的效率,從而幫助實現組織目標。
業務:保證工作和咨詢活動
目的:為組織增加價值并提高組織運作效率
方法:方法系統化、規范化
對象:風險管理、控制及治理程序進行評價
書面文件形式:內部審計章程。要求與《標準》一致,并經批準,也作為評價內審工作質量和業績依據,處理分歧的依據
要求:1、內審地位 2、授權接觸人、資料、實物 3、活動范圍
批準章程組織:董事會、審計委員會、相關治理機構和高級管理層
b確定內審的宗旨、權力和職責是否通報業務委托人
業務委托人:審計監督對象,更是審計服務對象
通報目的:消除分歧,分清責任,取信合作實現審計目標
c闡明內審的宗旨、權力和職責
宗旨:審計活動要達到的目標
權力:實現目標的保證
職責:需要履行的責任
首席審計執行官定期評價,并報高級管理層和董事會,首席審計執行官的任期《標準》沒有規定
2、保持獨立性和客觀性(1100)
a 加強獨立性
獨立性:獨立于所審查的活動之外,包括機構獨立和人員獨立,是否獨立就看有沒有干擾其活動
機構獨立性:在組織中享有經費、人事、內部管理、業務開展等方面的相對獨立性,不受管理層和其他方面的干擾、阻撓開展活動,機構獨立性更重要。不承擔組織經營責任
機構獲得獨立性:1、審計章程規定
2、向誰報告,理想的是向董事會、審計委員會和相關治理機構CEO(報告行政工作)上述機構必須有足夠的權力,這也是CAE報告時應考慮的因素。
3、CAE與上述交流溝通,參加相關監督職責會議
4、人事任命,理想的是董事會任免CAE
5、審計委員會組成,理想的是沒有管理層人員
b加強客觀性
客觀性:是指一種公正的、不偏不倚的態度或精神狀態,不與任何方面達成質量妥協,或把自己的觀點凌駕于審計事務的判斷之上
客觀性政策:1、審計人員工作避免利益沖突或偏見,可定期輪換工作
2、審計人員不承擔經營責任,如果承擔至少一年后才能審計自己過去工作的地方
3、審計工作結果要審查
4、對實施前的控制系統進行檢查和提出建議,但不能設計、安裝和經營該系統
5、可以接受大家都能得到的小禮物,不能接受有工作關系的人員送的酬金和禮物
個人客觀性:1、安排審計人員工作避免利益沖突或偏見,應定期輪換工作,
2、不依附他人觀點,可依賴外部審計意見
3、誠信工作,不作質量妥協
4、工作底稿和結果應審查
5、不接受禮金和禮物
合規性審計客觀性強,經營審計、績效審計、財務控制審計主管判斷多
獨立性和客觀性受到侵害怎么辦:
1、審計人員與被審單位有利益沖突,CAE重新指派
2、審計范圍受到限制,書面報告其影響給董事會或權力機構
3、具體情況在審計報告或工作報告中進行披露
誰來監督首席審計執行官:獨立內部審計機構以外的有關方面
3、確定是否具備必要的知識、技能和勝任能力(1200)
熟練:不必尋求廣泛的技術研究和幫助就能完成特定審計工作的能力
具備能力:1、熟練的內審標準、程序和技術
2、理解(不一定熟練)管理原則、會計學、法律、稅收、信息技術等,不要求在會計原則和技術上有廣泛的鑒別能力
3、交際能力,與被審計單位保持滿意關系,不包括審計風險的交流和溝通
4、接受后續教育
上述能力作為審計機構應當集體具有,知識能力互補,所以具有專業工程技術人員只要有興趣也可到審計機構工作
4、開發和/或取得內部審計活動所必須的知識、技能和勝任能力
更專業的領域可以尋求外部幫助,這些領域包括: 1、信息技術、統計學、稅收、翻譯等
2、資產評估 3、合同完成程度 4、舞弊和安全調查 5、精算福利欠款 6、解釋法律、管理和技術 7、兼并和收購
首席審計執行官負責評價外部能力,但與董事會、高級管理層或其他人員有私人關系和專業關系,與本組織有經濟、技術、利益關系的將有損外部審計的獨立性
5、運用應有的職業審慎
職業審慎:運用專業熟練和技術發現損害組織利益的行為,對一些現象保持警惕,對控制不當地方提出改進建議。審慎,不是要求對所有的交易進行檢查,也不杜絕違紀現象
運用審慎:1、根據審計風險安排計劃,確定審計工作重點
2、開展我們具備知識和經驗的方面審計,不足部分尋求外部幫助
3、工作中處理足夠的信息,如擴大審計范圍
6、促進持續專業發展
a 為內審人員制定并實施持續專業發展計劃:考證、學歷、繼續教育(無硬性時間要求)、專題討論
b 通過持續專業發展提高個人能力:考CIA、參加會議、研討會、大學課程、內部培訓
7、促進內審活動的質量保證與改進(1300)
a 建立和保持質量保證與改進項目:是否遵循《標準》《道德規范》,關鍵是《內審章程》,滿足上級要求
b 對內部審計監督質量保證與改進項目的效果(三方面)
監督:是否遵守《標準》和審計方案
內部評價:定期自我檢查活動情況,CAE指定個人或小組對工作進行評價,提出建議
外部評價:必須獨立于組織外部,不能有利益沖突,如果由內部其他部門評價會有利益沖突
c 將質量保證與改進的結果報告董事會或其他治理機構
報告內容:機構對《標準》的遵守情況,以及對機構章程和其他適用標準遵守的情況,提出改進意見,對不合規的行為應披露事實和造成的影響
d 實施質量保證程序并建立改善內審業績:評價之后編制書面行動計劃,恰當的跟蹤措施
8、遵守和促進對IIA《道德規范》的遵守
正直、客觀、保密、勝任能力
正直:按要求披露信息
客觀:行為上不參加有損害的活動,不接受妨礙職業判斷的東西,充分揭露事實(注意對象)
保密:不經適當授權不披露信息,對外發布信息不是審計師的職責,而是董事會的事情
能力:熟練,理解,高效
B 以風險為基礎制定計劃確定內審重點(熟練掌握)
1、建立評估風險的框架
風險:是指發生對目標實現可能產生影響的事件的不確定性。衡量標準是后果和可能性,用潛在的貨幣化,或不利影響衡量,后果包括:錯誤決定、錯誤財務報告和損失、財產保全不當、被審計單位的信譽損失、不遵守規章、效率和資源利用低下、沒有實現經營目標和任務
COSO(IIA和AICPA專業聯盟)內部控制框架:(金字塔模型)
底層:內控環境:影響內部控制的各種因素
調查:風險評估:是在既定的經營目標下分析并減少風險。這一環節是COSO內部控制整體框架的獨特之處。
措施:控制活動:包括確保管理層指令得以實施的政策和程序:批準、授權;核對會計分錄;核實(包括內部控制模型);檢查業績、風險披露限制;職責劃分、生產安全。制定程序的原則有:避免由“相關人士”組成的集團從頭到尾控制某個操作或交易;“四只眼睛”的原則(用四只眼睛盯一筆業務)。
聯系:信息與交流:是整個內部控制系統的生命線,為管理層監督各項活動和在必要時采取糾正措施提供了保證。內控是一個動態的過程,依據環境,制定措施,信息反饋,進行糾錯,如此不斷改進。但受成本效益原則的約束,內控實際上是一個無止境的過程。
高層:監控:意在評估內部控制,貫穿于經營活動之中,具有一定的超然獨立性。監測的實施途徑可以是內部審計,也可以是內部控制自我評估。前者的實施人是獨立的職能部門,而后者是由管理部門和員工完成的。內部審計的目的是,就控制系統的風險和操作情況向管理層提供獨立保證并幫助管理層有效地履行責任。
2、應用該框架
首席執行官確定審計計劃時采用的風險評估框架:
內部環境―目標設定―事件識別―風險評估―風險回應―控制活動―信息溝通-監督
考慮組織中風險、易受外界影響的薄弱環節以及潛在損失等是制定審計計劃首要因素因素
風險損失:風險帶來損失的金額乘以概率,但不是所有風險都可以量化的
審計風險:檢查中可能沒有發現重大錯誤或弱點,導致審計失敗,不是制定計劃考察的組織風險
3、識別內審資源需求
審什么:1、對組織可審活動進行分類
2、分析其帶來的風險(潛在損失金額大的不是唯一標準,還要考慮發生的可能性)
3、按風險大小進行排序
4、特別關注部分,管理層的要求也許比審計委員會的要求更具有緊迫性
數量化風險評估模型:對全組織的各項風險因素進行排列,并賦予分值進行綜合評估,得出審計重點,風險因素包括管理層對完成目標的信念意識和緊迫感、人力資源、資產配置、市場變化、內部信息化程度、預測能力等,審計糾錯執行情況,
已審計過的對象也是考慮因素。優點:審計長期計劃提供依據,主觀判斷減少,系統化。但不是所有風險都可以量化的。
對多個審計單位風險評估:給各單位5各風險因素,每個風險因素1-5分,分析后,加總各單位分值,那個分值最高,那個單位先審
計劃安排審計資源:審計人員配置(人數、能力)和財務預算(經費),工作日程安排上應有一定的覆蓋面,審計日常工作:工作日程安排、管理活動、教育培訓、審計研究和發展
一般分工:CAE:審計工作計劃的制定 與高級管理部門的溝通 審計工作的最終復核
經理:具體審計事項的組織實施
工作內容的初步調查
審計現場的監督管理
復核工作底稿和審計報告草稿
與被審計單位管理層溝通
人員:執行審計程序編制工作底稿
編制初步報告
現場溝通等
4、與各方面協調內審工作
需要協調的部門:外部審計師(要求信息共享,工作底稿和審計方案的保密性不妨礙內審使用)、法規監督機構、其他內部保證部門(承擔某些方面的監督、控制和保證工作,內部審計不根據他們的要求改變章程要求,以保證獨立性),對于調查中發現人員的弱點應記錄,并確定潛在的影響
5、選擇審計業務
內審范圍及重點:
1、財務和經營信息資料的可靠性和完整性
2、保證上述資料可靠性和完整性所建立的組織系統及遵循情況
3、審查資產保護方式
4、評價資源利用的經濟性和有效性
5、審查經營項目,確認結果和目標是否一致
審計資源不足:向董事會和高級管理層報告可能帶來的后果,報告還包括審計范圍、資料的限制
C 理解內審在公司治理中的作用(熟練掌握:1道德氛圍評估、2報告機制評估、3報告控制評估、4特定領域評估、5外部審計評估、6公司行為商業慣例遵循評估、7業績測評系統評估、8整改效果評估、9防范舞弊評估)1、獲得董事會對內審章程的批準(獲得獨立性,確定目的、責、權)
2、溝通審計業務計劃
如何溝通:1、工作業務計劃報高級管理層審批
2、中期計劃重大變動溝通
3、執行中資源不足、范圍、資料限制后果的報告
3、報告重大審計事項和機構工作業績指標
例行報告:定期(一年)提交董事會工作報告,組織報告規則:行政上報首席執行官(行政工作),職能上向董事會報告(業務工作)
重要的審計發現和建議
審計工作計劃、人員計劃和財務預算執行偏差和原因
重大事項:CAE判斷對組織不利影響的情況,
報告步驟:1、先與高級管理層討論
2、對審計事項高層討論決策結果報董事會
3、高層決定不行動承擔風險或其變動,最好再向董事會報告
4、涉及高層管理者,可不向本人報告,直接報董事會或審計委員會
中期報告:在無法發布最終審計報告時,可發布中期報告包括特別關注事項、審計范圍變化、需要延長時間等
5、討論重大風險領域
內審不是對風險進行管理(管理責任是管理層的事),而是對組織風險管理過程進行評估和報告
管理層對風險接受水平不符合組織戰略目標時,CAE與之討論,問題得不到解決報董事會,董事會有針對性的決定,管理層不能有效執行,報董事會
6、支持董事會開展全公司的風險評估
檢查、評價風險管理過程充分性和有效性(充分性、有效性的概念在后面的報告內容中有)
風險評估程序:
1、行業趨勢帶來的風險
2、檢查政策、董事會和審計委員會會議記錄,評價接受風險接受程度
3、檢查內外發布的風險評估報告
4、與管理層討論,確定各部門目標及風險監督
5、收集、評估降低風險的內控活動的有效性
6、評估報告,及恰當性、充分性、及時性,建議的全面性、完善性、有效性
7、管理自我評價的客觀性和有效性
8、與高層評估討論風險控制可以接受的水平
7、檢查內審機構在組織內風險管理框架中的定位
組織各層次的職責定位:
1、董事會:負責制定戰略目標的制定
2、高級管理層:賦予風險所有權
3、執行層:接納剩余風險
4、運營層:負責持續識別、評估、減輕和監督活動
5、審計機構:負責定期評價并協助其他部門進行風險管理
內審在風險管理中的做事原則:
1、沒有建立風險管理流程的,提請管理層注意
2、內審只在建立過程的初期積極協助,但更積極的是用保證和咨詢業務進行補充
3、章程中應規定,內審可以促進、協助風險管理過程的建立,但不負擔風險管理責任
8、監督遵守公司行為規范和商業慣例情況
公司行為規范:由組織制定的、旨在規范員工行為、防止過失違法違紀的正式和書面的規章制度
商業慣例:是在商業活動中形成的被廣泛接受的通用做法,一般是非正式的,但違反會對組織帶來不利影響
內審對其評估內容:
1、書面道德規范是否存在,各層次執行標準是否不同,對其了解機會和接觸情況
2、是否對各層次人員進行講解,并強調重點 教育
3、員工和代理理解和接受規范
4、有無措施促進其遵守(監督、舉報、獎懲) 管理
5、高層監督其執行情況
6、公司行為是否遵循規范和商業慣例 公司行為
防止商業回扣有效辦法,與供貨商簽訂長期合同,合同條款由董事會審批,并在道德規范中禁止
9、報告控制框架的有效性
充分性:控制系統能否適當的保證機構的任務和目標有效的完成,考慮成本效益原則
有效性:能否取得預期的效果,是否達到預期的控制目標
控制目標:財務和運營信息的可靠性和完整性,運營工作成效,資產保護,遵守了法律、規定和合同
評價標準:組織標準,行業、專業、協會標準,如果管理目標和標準模糊,尋求權威解釋。衡量標準應與被審單位達成一致
評價程序:確定檢查范圍、收集證據、單項評價、總體評價。
總體評價:1、是否發現了漏洞和薄弱環節 2、發現之后是否進行了改進 3、是否存在無法接受的風險
報告三種意見方式:1、否定式:沒有發現
2、保留意見,發現,但總體上不至于失控
3、否定意見,重大漏洞或嚴重薄弱環節,控制系統總體上作用很小甚至失效
《薩-奧法案》對報告的要求:季報、年報,CEO和CFO必須書面聲明:
審核了報告(負責制定和維護了信息披露控制和流程)
重大事實真是陳述,無遺漏(設計信息披露控制和流程,確保信息能夠知曉)
特別強調,保真的內部控制制度承擔責任,并保證其有效性
對影響報告編制的重大缺陷和員工的欺詐行為,已向外部審計和審計委員會披露
內審作用:1、參與信息披露控制和流程的初始設計
2、加入信息披露委員會
3、協調外部審計師工作
4、獨立評估信息披露控制和流程
10、協助董事會評估外部審計的獨立性
《薩-奧法案》規定:提供非審計業務缺乏獨立性包括:參與客戶會計記錄、與報表有關記錄,財務信息系統設計和實施,內部審計服務時間超過客戶全部內部審計活動時間40%(2億元資產一下客戶除外,可提供與報表無關的內部審計服務),提供評估服務,人力資源和法律服務,以管理層或職員身份開展工作。
11、評估董事會的道德氛圍 12、評估組織的道德氛圍
道德氛圍在很大程度上決定了治理效果,有效創建治理過程的道德文化氛圍包括:建立清晰易懂的規范說明,保護檢舉人的具體措施,學習機會,創造積極的人事管理機制等
治理過程:所有者及董事會對管理者的監督活動,管理者對治理過程的效果負責
13、評估在特定領域遵守政策的情況
特定領域:
電子商務,互聯網上從事商業活動,其最低風險是符合本組織戰略的電子商務規劃、設計和實施項目,電子商務的風險是在目標實現中有負面影響的不確定性事件,內審起到作用是在災難恢復計劃形成階段進行評估
衍生產品,支付的款項或價值是由某些約定的指標的表現決定的,指標可以是商品、利率或匯率,包括期權型和遠期型兩種合約類型
14、評估組織向董事會報告的機制
管理層報告機制:
1、規定報告事項 2、規定誰來報告 3、規定報告形式和時限、問題的解決 4、規定逐級上報和各個管理層級的責任
內審評估這一報告機制:
1、是否書面清晰規定 2、報告機制是否充分有效滿足董事會需要 3、機制是否按規定運行
《薩-奧法案》規定:審計委員會負責制定、償付和監督為組織出具報告的會計師事務所的工作,負責舉報接受處理、自主決定雇請法律顧問和其他咨詢人員
15、對法規監督機構檢查結果的落實情況進行跟蹤并報告16、對外部審計的結果進行跟蹤報告
首席審計執行官對跟蹤并報告怎么作:
1、建立維護一項制度,保證對處理情況的監督
2、對非常重要的應要求管理層馬上采取糾正行動
3、判斷高級管理層已接受了不采取行動所帶來的風險
4、評價糾正行動的充分性和有效性
如何監督進展情況:
1、把審計發現和建議報告給負責糾正的管理層(高級管理層應和糾正單位商量如何糾正)
2、報告后在合理的時間內得到管理層反饋,收集最新反饋信息,收集有監督義務部門的信息
3、向高級管理層或董事會報告反映情況(糾正單位行動,內審合理時間內復查)
糾正行動批準后仍未得到執行怎么辦?
首席審計執行官應決定開展跟蹤檢查,并確定必要的范圍
17、評估業績測評系統的充分性和整體目標的實現情況
業績測評系統沒有建立,內審應建議建立,或與被審計單位協商尋求雙方可以接受的測評標準
業績測評系統標準模糊,內審應尋求權威性解釋
評估原則:科學性、合理性和可操作性
18、樹立舞弊防范意識,鼓勵報告不正當的行為
防范舞弊的首要機制是控制,控制是管理人員的責任
內審的責任是通過評價相關控制的充分性和有效性來協助防止舞弊,對人的能力上要求更高,對舞弊時刻警惕。考題會出現如何發現舞弊,所以要了解舞弊的特征
D 執行其他內部審計任務和職責(熟練掌握)1、道德規范/合規情況
《薩-奧法案》對提供舞弊證據的上市公司雇員保護
對道德規范/合規投訴內審作什么?
1、制定書面政策和流程,并對投訴進行調查
2、監督管理層落實投訴解決辦法有關決定,否則內審職業生涯受到損害
《薩-奧法案》規定:CEO CFO,報表被要求更正,其獎金和利潤將被剝奪,即報告報出之前12個月內權益報酬(所持股票分紅),或剝奪12個月內出售
證券得到的利潤(SEC:美國
證券交易委員會)
上市公司的內審必須遵守《薩-奧法案》報告合規情況:
1、強化的利益沖突條款,規定管理人員不得以公司名義給
個人貸款或借款
2、管理層和主要持股人參與公司交易,報告自己直接或間接持有10%股票
3、高級財務官員道德規范,要求披露道德準則,以及對其的修改
2、風險管理
內部審計作用:以咨詢的方式幫助本組織識別、評價和實施風險管理方法和控制,從而解決風險,對風險評估一般具有較高的審計優先順序,評估重點是管理過程的充分性和有效性。如果有部門提出要求,內審可以幫助機構進行風險管理的初步建立工作,咨詢業務可作為保證業務的補充。必須明確內審可以促進、協助風險管理過程的建立,但不負擔風險管理責任(在管理層沒有識別風險時,審計可以協助識別,而不是幫助建立制度,制度建立是管理層的責任)
3、保密
對外發布信息:一般而言是董事會或審計委員會的責任,不是內部審計的責任,當非法律部門要求披露審計信息時,可將這一要求報董事會或審計委員會
4、信息或物理安全
薄弱環節:是指系統可能被不良目的所利用的某些方面,包括系統弱點、安全漏洞和實施缺陷,內審對其進行評價和檢查糾正的落實
定期評價合規:向董事會或審計委員會定期報告,報告包括:物理安全的環境風險和未經授權的訪問保安,遵守法律、法規有關隱私規定
防止獲得口令的最有效辦法:使用者使用卡片自動產生口令,密鑰介入每次口令不同
E 治理、風險和控制知識要點1、可選擇的公司治理模型
治理:就是運用權力去指導、控制以及用法律來規范和協調人們利益的行為
公司治理:是指對公司的統治和支配,它決定運營的目標和方向,治理過程就是對管理層執行的風險和控制過程加以監督。研究投資人和公司各級管理層、外部利益互相作用和影響關系。治理程序的核心是:監督和控制,公司治理的實現是控制權。
公司治理程序:
1、公司權利機構(股東大會)、決策機構(董事會)、執行機構(高級管理層)三者之間的分立制衡關系
2、治理程序體現在與各個經營管理層的委托關系,通過內部控制制度構建,董事會是核心
治理模型:
1、英美國家的股東主權模型,融資結構以股本為主,股權分散,參與不多,收購容易并形成壟斷
2、德日國家的共同治理模型,融資結構中銀行占有很大比率,銀行集股東和債權人于一身,公司負債率高,產生了股權與債權共同治理的模式,控制權集中,容易形成腐敗和結派
2、可選擇的控制框架
內部控制:是指管理層、審計委員會及其他各方面進行的、旨在加強風險管理、增大實現既定目標的可能性的行為。通過計劃、組織、實施來保證目標實現,從三方面理解:
1、“內部”涉及組織的董事會和各個部門,通過內部指令完成,不是外部(政府、其他組織)
2、控制服務于組織的目標
3、控制不能必然保證目標實現,來自組織內部和外部的影響,就是風險,發現處理風險,把它降低到最低程度,就是風險管理
內控框架(COSO)和保證實現的組織目標
1、組織運行的效果與效率:效果:實現目標的程度,如利潤多少,效率:資源的投入產出量
產出量:產量、利潤、工作量或其他可以測得的成果
2、財務報告的可靠性和完整性:可靠:內容的真實,完整:全面、詳盡反映資產負債和經營情況,財務報告不真實、不完整往往是組織重要風險之源
3、符合相關的法律和合同,違反法律和合同會給組織帶來風險
4、資產的安全:不因不當行為而損失、不當經營而減少、不當使用而低效、不當處置而貶值,保值增值是股東的最根本的利益體現
參見評估風險框架
3、風險的詞匯和概念
風險的種類:
1、行業風險:對所處的行業的總體趨勢、當前狀況和普遍存在的問題進行分析,從而確定本組織的發展方向、競爭優勢和競爭策略
2、組織風險:分析包括組織結構的效率、組織結構與組織目標之間的適應性、組織結構與外部環境之間的適應性、組織文化、管理制度的合理性等因素進行綜合分析
3、溝通風險:實際上是信息風險與關系風險的總稱,信息風險:信息不準確、不及時、不完整造成的決策失誤或緩慢的風險。關系風險:溝通不力,或不能很好地了解信息知識出現對信息的誤解,并導致不適當的行動,進而造成客戶喪失、機會損失或士氣低落以及各種沖突
公司合并的風險含有文化差異的風險,這些風險是內審應當考慮
4、風險管理技術
風險管理技術:1、風險評估框架 2、風險防范系統
風險評估框架:1、風險評估:確定評估范圍與方法,收集和分析相關數據,對結果進行說明
2、風險緩解:確定風險可能發生的范圍、可能性、可能損失,采取的保護措施
3、不確定性分析:充分收集有關情報,借助一系列技術手段模型分析
風險戰略目標最優化:股東價值最大化
5、不同組織結構中的風險/控制內容
1、部門設置:根據工作特征設置,部門多管理分工細,但管理效率低,成本高。部門少部門內部二次分工,增加層級數,信息傳遞容易失真,指揮效率低
2、管理層級:劃分為高層、中層、基層,分管不同任務
3、管理跨度:管理者或管理層直接指揮的下屬人員或部門的數量,它取決于管理者的能力和偏好和組織結構,跨度大,層級少,跨度小,層級多,授權下屬決策,但不能轉移對決策結果的最終職責
組織機構類型:(機構設置帶來的風險,即缺點)
1、機械式:分工明確、彈性小,技能要求低,適應穩定環境,包括:職能型、分部型
2、有機式:彈性大、適應變化,參與決策,分工不明確,技能要求高,適應不確定環境
簡單結構:集權小型企業
矩陣結構:產品部門化+職能化,復雜而又獨立項目+專家組合,缺點:不統一指揮增加部門的模糊,混亂產生于不知向誰報告(報告產品經理、職能經理),會培養權力斗爭的種子
網絡結構:一個小中心,通過職能外包,進行運營,經濟靈活,缺點:控制力、質量保證、信息保密有損害
3、有機附屬結構:在有機結構不變的情況下,部分單位設置為機械組織,方法:成立任務小組結構、委員會結構
6、不同領導風格下的風險/控制內容
領導風格類型:1、任務驅動型:傾向于用權威命令指揮任務完成 2、關系驅動型:通過溝通協調調動積極性
領導方式類型:1、自由放任式:在工作比較復雜,有充分信任和技術保證前提下
2、體貼式:士氣不振或分工明確、環境復雜目標難以完成下
3、民主式:發揮專業優勢下,有一定信任程度,同時能統一意見下
4、結構式:按部就班領導成員完成任務
7、變革管理
流程再造:在現有的資源的基礎上重新建立一個新的組織,不是糾正已經發生或正在發生的錯誤的事
造成的阻力:1、不確定性,造成擔心工作的穩定,從而產生抵觸
2、關心個人得失
3、認為變革不符合組織利益,造成失業、人員分裂、工作關系變化
解決手段:1、教育和溝通 2、鼓勵參與 3、推動支持(積極行動肯定)4、談判和協商 5、修改隱私部分信息(敏感問題分布進行,避免集中爆發) 6、公開和私下強制
8、沖突管理
沖突類型:功能正常的沖突,屬于建設性的 功能失調沖突,屬于破壞性的
產生沖突根源:溝通差異,溝通渠道有噪音,影響理解
結構差異,部門從各自利益出發形成的意見不一致
人格差異,獨特的格產生的不信任,陌生,難合作
解決方法:回避:不屬于主要沖突,可以不關注
遷就:順從別人的目標,把別人目標看的比自己高
強制:犧牲別人
妥協:雙方做出有價值的讓步
合作:開誠布公討論,關注對方意見,沒有時間壓力,問題十分重要不能妥協
激發建設性沖突:改變組織文化、運用溝通、引進外人、重新構建組織
9、管理控制技術
預算:計劃大量化說明,把有關的經濟活動計劃用數字和表格的形式反映出來
全面預算:以利潤為目標,以預算銷售為基礎,綜合協調其他預算結果,對企業全部經濟活動及其成果進行預算,包括:生產經營預算,財務狀況和經營成果方面的預算,分類:業務預算、專門預算和財務預算
常用工具:增量預算、彈性預算、零基預算、滾動預算、KAIZEN(日本,預算期內累計不斷改進)
10、控制類型
按時間分:事前,預防性控制
事中,典型的就是監督視察
事后,實際與標準比對,如分析投訴、客戶回訪、監督退回
按功能分:預防,審計客戶信用、采用招標、職責分離、將任務分給勝任員工、使用密碼
檢查,核對賬目、物資清點、對比檢查
指導,政策、指南和手冊,如要求從業資格、保證毛利率、出勤率
糾正,糾正程序、控制和例外報告
計算機,綜合控制和應用控制
F 計劃審計業務(熟練掌握)1、開展與業務委托人的初步溝通內容:
1、溝通審計工作計劃
2、討論審計的目標和審計方式
3、要求委托人報送資料
4、進行其他溝通
2、對審計業務范圍實施初步調查
1、了解審計業務的活動
2、獲取有利于審計的信息
4、需要特別關注的領域
3、決定如何開展下一步工作
分析性復核:對調查取得的信息進行分析和評價的基礎上初步形成調查結論,該技術不能確定具體舞弊行為,如果審計發現有舞弊存在,直接調查而不用該法。運用方法:
1、比較前期和后期的類似信息
2、比較目前與預算
3、財務信息和非財務信息研究,發現影響關系
4、研究因果關系
5、比較部門之間類似信息
6、比較與行業類似信息
7、比較實際與審計期望值
基準比較(標桿管理法):用最佳行為作為基準比較,基準來自企業自身、競爭對手、行業最優點范圍內選擇
實施面談:面談后對有關事項和達成的結論編程紀要,便如工作底稿,對初步顯示的問題決定擴大性測試
查閱以前審計報告和其他資料
繪制流程圖:水平流程圖(涉及部門)、垂直流程圖
編制檢查清單:在初步檢查的最后階段,編制檢查清單
3、完成相關領域的詳細風險評估:在制定年度計劃時,從全局高度審視組織風險并評價,在初步調查的基礎上制定計劃,這里強調的那個風險最大
4、與各方面協調審計業務工作
a 外部審計師協調:首席審計執行官應當與提供保證和咨詢業服務的其他內部或外部服務提供分享信息、協調工作,保證合署的工作范圍并最大限度地減少重復工作,包括:討論會、借助工作底稿、審計報告和管理層信件的交換、審計技術的理解
b 外部法規監督機構:尋求法律、法規、規章、制度等理解和技術支持
5、建立/完善審計業務的目標,識別/確定審計業務的范圍
審計目標:內審做出的確定審計業務希望實現內容的概要聲明,審計程序:實現審計目標的手段
審計業務目標:是對被評價活動的風險、控制及治理過程提出意見
根據不同的審計類型,具體建立和完善審計業務的目標:
1、經營審計:目的是檢查和評價內部控制系統以及所分配的職責的完成情況,關鍵理解內部控制,它是實現審計目標:評價存貨內部控制的有效性之一,確定節約成本也是目標之一
2、績效審計:目標是確定效果、效率和效益,這種審計必須有一套能用來評價績效的經認可的目的、目標和標準
3、合規性審計:目標是確定組織對證詞、程序、標準或者法律和政府法規遵守程度(客觀性較強,審計師的主觀判斷少)
4、質量審計:目標是確定組織質量管理的水平和效果,主要關注質量管理的四個關鍵要素:
a 顧客需要;
b 產品/服務計劃、生產和運輸滿足顧客的需要;
c 生產和運輸產品/服務計劃和執行
d 過程控制,尤其是個別顧客需要產品的服務
5、財務控制審計:目標是確定對組織內部財務資源控制和財務資源的會計資源控制的水平和效果
6、財務報表審計:目標是對組織財務報表的公允性和一致性發表審計意見,通常由外部審
審計業務范圍:根據審計業務目標確定,包括:治理、經營和信息系統
內部控制系統審計范圍:
1、內控的恰當性:能否提供適當的保證,并高效、經濟實現組織目標
2、內控的有效性:能否起到應有的作用
3、執行效果審查:確認組織任務和目標是否已經完成
6、識別或開發保證業務的標準(審計所依照的標準)
那些標準或準則審計師采用恰當:
1、部門的質量標準的操作程序
2、內部會計控制原則,引自注冊會計師手冊的相關內容
3、理想的經營實務,基于
內部審計師參與許同公司內部審計實務所積累的經驗和知識
7、在計劃審計業務時考慮舞弊的潛在可能
舞弊與錯誤的區別:舞弊是有意識的,錯誤是無意識的,結果損人利己,舞弊的風險因素是控制弱點,助長因素:無效的內部控制,員工的勾結,流動資產的存在
防止舞弊最有效的方法:保持一個有效的內部控制系統
危險信號:是在總結以往舞弊的基礎上得出的在這些條件下舞弊發生的比率較高,不一定記錄,收集,坐支是舞弊的因素,該名詞被大家熟悉,并產生積極影響
舞弊類型:1、為組織謀取利益而進行的舞弊事例
2、謀取組織利益的舞弊跡象或征兆
3、為個人謀取利益行為
4、謀取個人利益征兆
對舞弊行為采取的行動:
1、已經發生的舞弊跡象,做出是否采取進一步行動或提出調查的建議
2、足夠證據證明舞弊跡象,可以提出調查建議時,要通知適當的權力機構
3、得出結論提交報告,報告內容:發現問題、結論、建議和糾正措施
如何實現內審協助發現舞弊職責:就是評價控制系統在防止潛在風險暴露方面的充分性和有效性,舞弊者承認舞弊,應記錄成工作底稿,簽字,報告高級管理層,請示下一步行動
8、確定審計業務步驟
審計方案:一份說明開展具體審計業務時所應遵循的工作步驟文件,通常包括:
1、資料收集 2、分析和評價資料 3、記錄信息 4、對審計業務進行監督
9、確定審計業務所需要的人員水平和資源
部門培訓的主要目的:實現組織目標,同時也是提高個人能力
配置內審
崗位職責:考慮工作范圍、職責水平、建立學歷和工作經歷標準
10、建立對審計業務充分的計劃和監督
當首席審計執行官與內部審計師對重大專業問題判斷不一致時,應對事實進行討論和進一步調查研究。
1、如果未能達成共識可將不同觀點記入工作底稿,但所有分歧必須在審計機構內部解決,呈現在管理層和被審計單位的審計報告中的結論只能是一種
2、如果在職業道德問題上發生專業判斷不一致,應向本組織有關道德實務負責人請示
對審計師的監督必須是持續的:
1、這種監督貫穿于審計的各個階段,包括監督工作底稿能否支持審計發現
2、監督擴展到培訓、經費、時間報告等管理問題
3、監督的恰當證據應該得到文件記錄和保留,包括工作底稿上
11、編制審計業務工作程序
以下過程應記錄在工作底稿中:
制定計劃
對內部控制系統所作的檢查和評價
執行的審計程序、取得的資料、得出的結果
對工作底稿的審查
提交審計報告
進行后續審計
以下資料作為工作底稿
內控調查表、流程圖、核對清單和記事
調查記錄和備忘錄
組織系統圖和工作流程圖
重要合同、協議的復印件
有關經營和財務政策的資料
對內部控制系統的評價意見
確認和陳述的信件、如應收款函證
有爭議的交易事項及其處理意見
對賬戶余額的檢查、分析
實施的分析性審計程序
審計報告及管理層意見
審計結論及其反饋意見
格式:
每一張工作底稿有標頭:名稱、內容、目的、日期或時期
記錄的數據應注明來源,并注明報告和記錄是否一致
工作底稿的目錄或索引
審計師簽字,并注明日期
責任:
首席審計執行官對工作底稿負完全責任,負責制定工作底稿的各項政策
應親自或指派較高水平的人員審核工作底稿并簽字、注明日期
審核中發現的問題應當記錄,并跟蹤審核發現的問題已經解決,解決的可以保留或銷毀
工作底稿的所有權屬于本組織,檔案保留在內部審計機構
調用工作底稿應由首席審計執行官批準,提供外部應有高級管理層批準或法律顧問批準
(責任編輯:中大編輯)
京公安備11010602000551號
營業執照
