1、内部审计----工作性质
内部审计评估能够提供信息,评价整个管理过程。所有组织内部的业务系统、过程、运营、职能及活动要服从于内部审计师的评估。
内部审计综合性工作范围应合理保证管理层的:
①风险管理系统是有效的;
②内部控制系统是高效率、有效果的;
③通过创造和保存价值、设置目标、监督业务活动和业绩、定义承担责任的方法,实现治理程序的有效性。
2、内部审计----治理
A、内部审计活动必须评价并提出适当的改进建议,以改善组织实现下列目标的治理过程:
①在组织内部推广适当的道德和价值观;
②确保整个组织开展有效的业绩管理,建立有效的问责机制;
③向组织内部有关方面通报风险和控制信息;
④协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。
B、内部审计部门必须针对组织内与职业道德相关的目标、计划和业务,评估其设计、实施和效果。
C、内部审计活动必须评估组织的信息技术治理是否支持组织的战略和目标。
内部审计部门应通过评价并改进以下程序为组织治理过程做出贡献:
①制定和宣传目标及价值的程序;
②监控目标实现情况的程序;
③确保责任机制的程序;
④维护价值的程序。
(1)公司治理
治理就是运用权利去指导、控制以及用法律来规范和协调人们利益的行为。
①目标和受托责任
公司治理的根本要素在于受托责任。公司治理是由股东大会和董事会、董事会和高级管理层组成的两个控制系统。形成多重受托责任。
②相关主体
利益相关者(所有者或捐赠者)
董事会/审计委员会 内部审计人员
管理层
独立的注册会计师
③风险和控制的监控
内部审计的基本治理活动可分为“风险监控”和“提供控制确认”。
在组织治理结构中,与风险相关的关键活动是监控风险(即识别风险)、评估风险对组织的潜在影响、确定应对风险的策略,以及之后监控风险的环境、监控现行的风险策略和相应的控制措施等。
控制的存在是为了应对风险,公司治理是控制权的实现。“监督”和“控制”是公司治理程序中的核心内容。
(2)董事会与审计委员会
董事会的主要职责:
A、审查和批准组织的重大战略;
B、监控公司经营;
C、监控组织的发展和战略的执行;
D、监控风险和组织的控制系统;
E、监控组织的活动,并采取措施以保证公平对待各股东团体及其他利益相关者。
董事会通常根据其职能和作用,将内部职能划分为执行委员会、审计委员会、报酬委员会、提名委员会、预算委员会、筹资委员会等。
其中审计委员会的主要职责包括:
A、讨论每一年度和季度的财务报表并提出质疑;
B、评估公司对外发布的所有盈利信息和分析性预测;
C、切实讨论公司的风险评估和管理政策;
D、负责公司内部审计机构的建立及运行;
E、负责聘请注册会计师事务所,给事务所支付报酬并监督其工作,受聘的会计师事务所应直接向审计委员会报告;
F、接受并处理本公司会计、内部控制或审计方面的投诉;
G、有权雇佣独立的法律顾问、其他咨顾问和外部审计师。
(3)内部审计在治理中的作用
内部审计人员的作用包括监控、评价和分析组织的风险与控制,以及检查和确认对政策、程序和法律的遵循性。内部审计人员与管理层像伙伴一样一起工作,为董事会、审计委员会和高级管理层确认风险得到控制以及组织的公司治理是强有力和有效的。并且,当组织中有任何改进空间时,内部审计人员就会提出改善过程、政策和程序的建议。
内部审计的作用:A、风险评估;B、提供控制确认;C、遵循性;D、咨询和经营。
①强化风险管理
A、评价被审计领域的现有风险,并向管理层、审计委员会或同时向二者报告评估结果;
B、制订系统评价整个组织风险的计划;
C、当组织出现真空时领导风险管理活动;
D、利用风险自我评估技术推进风险评价;
E、评价与计算机最新发展状况相联系的风险,如果风险没有被控制在预先设定的可接受水平上就终止该项目;
F、协助管理层推行贯穿整个组织的风险模型。
②提供控制确认
A、在职能范围内测试控制的遵循性,向管理层报告结果,若结果很重要,还应向审计委员会报告;
B、协助管理层设计综合的评价方法,包括测试整个组织的控制;
C、协助管理层编制关于内部控制有效性的报告;
D、识别重大的控制缺陷,包括高层基调的要素,并(就检查领域)向审计委员会报告;
E、推行计算机测试技术,如持续控制监控技术,以便监控控制的有效性;
F、通过控制自我评估(CSA)技术帮助理解和发展职责领域的控制。
③评价遵循工作【个人经验:基础审计工作人员这一项更为实用】
A、评估法律、法规和合同的遵守情况,重点关注组织是否建立了监督遵守相关政策的控制系统;这些控制是否充分、有效;相关的业务活动是否遵守了这些政策、效果如何;
B、监督遵守公司行为规范和商业惯例的情况,重点评估组织相关行为规范和商业惯例是否存在;相关的控制和保证系统是否建立、是否充分和恰当;系统的执行效果如何等。
(a道德规范,书面的、易于人们理解的和具有指导性的,机构不同层次的人的执行标准应有所不同,了解方式--参加培训、发放手册、公告等;
b多种场合向各层次员工讲解道德规范,并针对不同部门的员工强调不同的重点;
c组织代理参加为他们量身定做的讲座,新员工要进行专门培训;
d组织应保证员工已阅读、理解并遵守了公司的行为规范和商业惯例;
e组织应采取合理措施促进行为规范和商业惯例的遵守,如应用监督和审计机制发现不遵守情况、建立举报热线、设立相关奖惩制度等;
f高层人员应总体负责监督行为规范和商业惯例的遵守情况;
g公司行为规范和商业惯例是否得到确实遵守。)
C、评估组织向董事会报告的机制;
董事会:建立并维护组织的治理程序,并获取关于风险管理和控制过程有效性的保证;
高级管理层:监督风险管理和控制系统的建立、管理和评价;
内部审计机构:对相关的报告机制进行检查和评估。
(a是否建立了相关报告机制。良好的报告机制应该是清晰而明确的书面政策;
b报告机制是否充分而有效,能否满足组织与董事会进行及时、畅通而充分沟通的需要;
c机制的运转情况和效果如何,实际的报告工作是否如机制确定的政策进行。)
评估结果报告包括:现行机制的运行效果和改进意见。
后期动作:首席审计官跟踪检查;或高级管理层接受了不采取行动所带来的风险。
D、评估业绩测试系统
内部审计机构:一方面对业绩测评系统本身进行评估;
另一方面要通过检查和评估工作,得出组织整体目标是否得到实现的审计结论。
(a是否建立了业绩测评系统;
b业绩测评系统是否充分和可以接受;
c业绩测评系统是否有效运行。)
④提供咨询服务【发展初期的公司或业务】
已知控制问题或治理过程不完善,通过咨询服务来替代正式评估,改进控制或治理过程。
咨询职能充分体现内部审计的能动性及增值目标,并且将事后的反馈扩展到内部控制建立前以及实施时的协助与促进,帮助管理层对现代内部控制进行持续改进与完善。
⑤报告主要工作
内部审计师必须及时报告业务结果。内容包括:业务目标、范围以及适用的结论、建议和行动计划。准确、客观、清晰、简洁、富有建设性、完整和及时。
A、沟通审计业务计划;
B、定期报告工作;
工作报告具体内容包括:重要的审计发现和建议,审计工作计划、人员计划和财务预算在执行中出现的重要偏差及其原因等。时间:至少一年一次。
C、报告重大审计事项;
重大审计事项:根据首席审计官的判断,可能对组织产生不利影响的情况,包括处理违章、违法、差错、低效率、浪费、无效、利益冲突和控制系统的薄弱环节。注意:首席审计官在向董事会汇报重大审计事项前,应与高级管理层讨论。
D、报告控制框架的有效性;(实操点)
有效性:a评价的目标;预期的控制目标包括财务和运营信息完整可靠、运营工作效率高、资产得到保护、机构遵守了相关的法律、规定和合同;
b评价的标准;建议组织采用行业标准、专业组织标准、协会标准、法律和政府标准;权威性解释的管理标准。
c评价的程序:制定审计计划时,应将控制过程列入检查和评价范围,开展审计工作,收集充分证据,总体评价组织内部各控制系统和所有的活动。
在总体评价之后,审计师应考虑是否发现了漏洞或薄弱环节,发现之后是否进行了改进,以及是否可能存在组织无法接受的普遍风险。
⑥促进文化建设(立论点--实操中最难落地最空的一块,但似乎又及其重要)
治理过程是否有效在很大程度上取决于企业的文化,良好的企业文化对完善治理有着积极的效果。
A、评估董事会的道德氛围
a董事会是否倡导并建立道德文化;b道德文化是否有清晰的道德规范并符合实际;c董事会执行道德文化情况及效果如何;d是否定期对董事会的道德氛围进行检查和评估。
B、评估组织的道德氛围
a有清晰易懂的道德规范及相关的说明、政策及其他道德理想的表述;b有加强道德文化的具体措施,经常宣传鼓励良好的道德文化;c有保护检举人的举报违反道德规范、政策和其他不当行为嫌疑的制度;d有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度;e有学习机会,使员工都能成为良好道德文化的倡导者;f定期对雇员、供应商和顾客进行调查,以确定组织的道德氛围状况;g把背景调查和诚信测试作为招聘员工的一个内容;h鼓励每名员工为组织的道德氛围做出贡献,从而创造积极的人事管理实务。
C、培养良好的企业文化来防范舞弊
内部审计机构的作用是通过评估相关控制的充分性和有效性来协助防止舞弊。
内部审计师可以利用自身优势,在倡导良好的道德文化方面发挥更大的作用。
