《内部审计在治理风险和控制中的作用.doc》由会员分享,可在线阅读,更多相关《内部审计在治理风险和控制中的作用.doc(24页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部审计在治理风险和控制中的作用内部审计在治理风险和控制中的作用A 遵守国际内审协会的属性标准(熟练掌握)1、明确内部审计的宗旨、权力和职责(1000)a 确定内审的宗旨、权力和职责是否清楚地以书面形式记录并获得批准内部审计:是一种独立、客观的保证工作与咨询业务活动,它的目的是为组织增加价值并 提高组织的运作效率。它采用系统化、规范化的方法来对风险管理、控制及治理程序进行 评价,提高它们的效率,从而帮助实现组织目标。业务:保证工作和咨询活动目的:为组织增加价值并提高组织运作效率方法:方法系统化、规范化对象:风险管理、控制及治理程序进行评价书面文件形式:内部审计章程。要求与标准一致,并经批准,也
2、作为评价内审工作质 量和业绩依据,处理分歧的依据要求:1、内审地位 2、授权接触人、资料、实物 3、活动范围批准章程组织:董事会、审计委员会、相关治理机构和高级管理层b 确定内审的宗旨、权力和职责是否通报业务委托人业务委托人:审计监督对象,更是审计服务对象通报目的:消除分歧,分清责任,取信合作实现审计目标c 阐明内审的宗旨、权力和职责宗旨:审计活动要达到的目标权力:实现目标的保证职责:需要履行的责任首席审计执行官定期评价,并报高级管理层和董事会,首席审计执行官的任期标准没 有规定2、保持独立性和客观性(1100)a 加强独立性独立性:独立于所审查的活动之外,包括机构独立和人员独立,是否独立就看
3、有没有干扰 其活动机构独立性:在组织中享有经费、人事、内部管理、业务开展等方面的相对独立性,不受 管理层和其他方面的干扰、阻挠开展活动,机构独立性更重要。不承担组织经营责任机构获得独立性:1、审计章程规定2、向谁报告,理想的是向董事会、审计委员会和相关治理机构 CEO(报告行政工作)上述机构必须有足够的权力,这也是 CAE 报告时应考虑的因素。3、CAE 与上述交流沟通,参加相关监督职责会议4、人事任命,理想的是董事会任免 CAE5、审计委员会组成,理想的是没有管理层人员b 加强客观性客观性:是指一种公正的、不偏不倚的态度或精神状态,不与任何方面达成质量妥协,或 把自己的观点凌驾于审计事务的判
4、断之上客观性政策:1、审计人员工作避免利益冲突或偏见,可定期轮换工作2、审计人员不承担经营责任,如果承担至少一年后才能审计自己过去工作的 地方3、审计工作结果要审查4、对实施前的控制系统进行检查和提出建议,但不能设计、安装和经营该系 统5、可以接受大家都能得到的小礼物,不能接受有工作关系的人员送的酬金和 礼物个人客观性:1、安排审计人员工作避免利益冲突或偏见,应定期轮换工作,2、不依附他人观点,可依赖外部审计意见3、诚信工作,不作质量妥协4、工作底稿和结果应审查5、不接受礼金和礼物合规性审计客观性强,经营审计、绩效审计、财务控制审计主管判断多独立性和客观性受到侵害怎么办:1、审计人员与被审单位
5、有利益冲突,CAE 重新指派2、审计范围受到限制,书面报告其影响给董事会或权力机构3、具体情况在审计报告或工作报告中进行披露谁来监督首席审计执行官:独立内部审计机构以外的有关方面3、确定是否具备必要的知识、技能和胜任能力(1200)熟练:不必寻求广泛的技术研究和帮助就能完成特定审计工作的能力具备能力:1、熟练的内审标准、程序和技术2、理解(不一定熟练)管理原则、会计学、法律、税收、信息技术等,不要求 在会计原则和技术上有广泛的鉴别能力3、交际能力,与被审计单位保持满意关系,不包括审计风险的交流和沟通4、接受后续教育上述能力作为审计机构应当集体具有,知识能力互补,所以具有专业工程技术人员只要有
6、兴趣也可到审计机构工作4、开发和/或取得内部审计活动所必须的知识、技能和胜任能力更专业的领域可以寻求外部帮助,这些领域包括: 1、信息技术、统计学、税收、翻译等2、资产评估 3、合同完成程度 4、舞弊和安全调查 5、精算福利欠款 6、解释法律、管 理和技术 7、兼并和收购首席审计执行官负责评价外部能力,但与董事会、高级管理层或其他人员有私人关系和专 业关系,与本组织有经济、技术、利益关系的将有损外部审计的独立性5、运用应有的职业审慎职业审慎:运用专业熟练和技术发现损害组织利益的行为,对一些现象保持警惕,对控制 不当地方提出改进建议。审慎,不是要求对所有的交易进行检查,也不杜绝违纪现象运用审慎:
7、1、根据审计风险安排计划,确定审计工作重点2、开展我们具备知识和经验的方面审计,不足部分寻求外部帮助3、工作中处理足够的信息,如扩大审计范围6、促进持续专业发展a 为内审人员制定并实施持续专业发展计划:考证、学历、继续教育(无硬性时间要求) 、 专题讨论b 通过持续专业发展提高个人能力:考 CIA、参加会议、研讨会、大学课程、内部培训7、促进内审活动的质量保证与改进(1300)a 建立和保持质量保证与改进项目:是否遵循标准 道德规范 ,关键是内审章程 , 满足上级要求b 对内部审计监督质量保证与改进项目的效果(三方面)监督:是否遵守标准和审计方案内部评价:定期自我检查活动情况,CAE 指定个人
8、或小组对工作进行评价,提出建议外部评价:必须独立于组织外部,不能有利益冲突,如果由内部其他部门评价会有利益冲 突c 将质量保证与改进的结果报告董事会或其他治理机构报告内容:机构对标准的遵守情况,以及对机构章程和其他适用标准遵守的情况,提 出改进意见,对不合规的行为应披露事实和造成的影响d 实施质量保证程序并建立改善内审业绩:评价之后编制书面行动计划,恰当的跟踪措施8、遵守和促进对 IIA道德规范的遵守正直、客观、保密、胜任能力正直:按要求披露信息客观:行为上不参加有损害的活动,不接受妨碍职业判断的东西,充分揭露事实(注意对 象)保密:不经适当授权不披露信息,对外发布信息不是审计师的职责,而是董
9、事会的事情能力:熟练,理解,高效B 以风险为基础制定计划确定内审重点(熟练掌握)1、建立评估风险的框架风险:是指发生对目标实现可能产生影响的事件的不确定性。衡量标准是后果和可能性, 用潜在的货币化,或不利影响衡量,后果包括:错误决定、错误财务报告和损失、财产保 全不当、被审计单位的信誉损失、不遵守规章、效率和资源利用低下、没有实现经营目标 和任务COSO(IIA 和 AICPA 专业联盟)内部控制框架:(金字塔模型)底层:内控环境:影响内部控制的各种因素调查:风险评估:是在既定的经营目标下分析并减少风险。这一环节是 COSO 内部控制整 体框架的独特之处。措施:控制活动:包括确保管理层指令得以
10、实施的政策和程序:批准、授权;核对会计分 录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程 序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛” 的原则(用四只眼睛盯一笔业务) 。联系:信息与交流:是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采 取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行 纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。高层:监控:意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的 实施途径可以是内部审计,也可以是内部控制自我评
11、估。前者的实施人是独立的职能部门, 而后者是由管理部门和员工完成的。内部审计的目的是,就控制系统的风险和操作情况向 管理层提供独立保证并帮助管理层有效地履行责任。2、应用该框架首席执行官确定审计计划时采用的风险评估框架:内部环境目标设定事件识别风险评估风险回应控制活动信息沟通监督考虑组织中风险、易受外界影响的薄弱环节以及潜在损失等是制定审计计划首要因素因素风险损失:风险带来损失的金额乘以概率,但不是所有风险都可以量化的审计风险:检查中可能没有发现重大错误或弱点,导致审计失败,不是制定计划考察的组 织风险3、识别内审资源需求审什么:1、对组织可审活动进行分类2、分析其带来的风险(潜在损失金额大的
12、不是唯一标准,还要考虑发生的可能性)3、按风险大小进行排序4、特别关注部分,管理层的要求也许比审计委员会的要求更具有紧迫性数量化风险评估模型:对全组织的各项风险因素进行排列,并赋予分值进行综合评估,得 出审计重点,风险因素包括管理层对完成目标的信念意识和紧迫感、人力资源、资产配置、 市场变化、内部信息化程度、预测能力等,审计纠错执行情况,已审计过的对象也是考虑因素。优点:审计长期计划提供依据,主 观判断减少,系统化。但不是所有风险都可以量化的。对多个审计单位风险评估:给各单位 5 各风险因素,每个风险因素 15 分,分析后,加总 各单位分值,那个分值最高,那个单位先审计划安排审计资源:审计人员
13、配置(人数、能力)和财务预算(经费) ,工作日程安排上应 有一定的覆盖面,审计日常工作:工作日程安排、管理活动、教育培训、审计研究和发展一般分工:CAE:审计工作计划的制定 与高级管理部门的沟通 审计工作的最终复核经理:具体审计事项的组织实施工作内容的初步调查审计现场的监督管理复核工作底稿和审计报告草稿与被审计单位管理层沟通人员:执行审计程序编制工作底稿编制初步报告现场沟通等4、与各方面协调内审工作需要协调的部门:外部审计师(要求信息共享,工作底稿和审计方案的保密性不妨碍内审 使用) 、法规监督机构、其他内部保证部门(承担某些方面的监督、控制和保证工作,内部 审计不根据他们的要求改变章程要求,
14、以保证独立性) ,对于调查中发现人员的弱点应记录, 并确定潜在的影响5、选择审计业务内审范围及重点:1、财务和经营信息资料的可靠性和完整性2、保证上述资料可靠性和完整性所建立的组织系统及遵循情况3、审查资产保护方式4、评价资源利用的经济性和有效性5、审查经营项目,确认结果和目标是否一致审计资源不足:向董事会和高级管理层报告可能带来的后果,报告还包括审计范围、资料 的限制C 理解内审在公司治理中的作用(熟练掌握:1 道德氛围评估、2 报告机制评估、3 报告控 制评估、4 特定领域评估、5 外部审计评估、6 公司行为商业惯例遵循评估、7 业绩测评系 统评估、8 整改效果评估、9 防范舞弊评估)1、
15、获得董事会对内审章程的批准(获得独立性,确定目的、责、权)2、沟通审计业务计划如何沟通:1、工作业务计划报高级管理层审批2、中期计划重大变动沟通3、执行中资源不足、范围、资料限制后果的报告3、报告重大审计事项和机构工作业绩指标例行报告:定期(一年)提交董事会工作报告,组织报告规则:行政上报首席执行官(行 政工作) ,职能上向董事会报告(业务工作)1、 重要的审计发现和建议2、 审计工作计划、人员计划和财务预算执行偏差和原因重大事项:CAE 判断对组织不利影响的情况,报告步骤:1、先与高级管理层讨论2、对审计事项高层讨论决策结果报董事会3、高层决定不行动承担风险或其变动,最好再向董事会报告4、涉
16、及高层管理者,可不向本人报告,直接报董事会或审计委员会中期报告:在无法发布最终审计报告时,可发布中期报告包括特别关注事项、审计范围变 化、需要延长时间等5、讨论重大风险领域内审不是对风险进行管理(管理责任是管理层的事) ,而是对组织风险管理过程进行评估和 报告管理层对风险接受水平不符合组织战略目标时,CAE 与之讨论,问题得不到解决报董事会, 董事会有针对性的决定,管理层不能有效执行,报董事会6、支持董事会开展全公司的风险评估检查、评价风险管理过程充分性和有效性(充分性、有效性的概念在后面的报告内容中有)风险评估程序:1、行业趋势带来的风险2、检查政策、董事会和审计委员会会议记录,评价接受风险
17、接受程度3、检查内外发布的风险评估报告4、与管理层讨论,确定各部门目标及风险监督5、收集、评估降低风险的内控活动的有效性6、评估报告,及恰当性、充分性、及时性,建议的全面性、完善性、有效性7、管理自我评价的客观性和有效性8、与高层评估讨论风险控制可以接受的水平7、检查内审机构在组织内风险管理框架中的定位组织各层次的职责定位:1、董事会:负责制定战略目标的制定2、高级管理层:赋予风险所有权3、执行层:接纳剩余风险4、运营层:负责持续识别、评估、减轻和监督活动5、审计机构:负责定期评价并协助其他部门进行风险管理内审在风险管理中的做事原则:1、没有建立风险管理流程的,提请管理层注意2、内审只在建立过
18、程的初期积极协助,但更积极的是用保证和咨询业务进行补充3、章程中应规定,内审可以促进、协助风险管理过程的建立,但不负担风险管理责任8、监督遵守公司行为规范和商业惯例情况公司行为规范:由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规 章制度商业惯例:是在商业活动中形成的被广泛接受的通用做法,一般是非正式的,但违反会对 组织带来不利影响内审对其评估内容:1、书面道德规范是否存在,各层次执行标准是否不同,对其了解机会和接触情况2、是否对各层次人员进行讲解,并强调重点 教育3、员工和代理理解和接受规范4、有无措施促进其遵守(监督、举报、奖惩) 管理5、高层监督其执行情况6、公司行为是否
19、遵循规范和商业惯例 公司行为防止商业回扣有效办法,与供货商签订长期合同,合同条款由董事会审批,并在道德规范 中禁止9、报告控制框架的有效性充分性:控制系统能否适当的保证机构的任务和目标有效的完成,考虑成本效益原则有效性:能否取得预期的效果,是否达到预期的控制目标控制目标:财务和运营信息的可靠性和完整性,运营工作成效,资产保护,遵守了法律、 规定和合同评价标准:组织标准,行业、专业、协会标准,如果管理目标和标准模糊,寻求权威解释。 衡量标准应与被审单位达成一致评价程序:确定检查范围、收集证据、单项评价、总体评价。总体评价:1、是否发现了漏洞和薄弱环节 2、发现之后是否进行了改进 3、是否存在 无
20、法接受的风险报告三种意见方式:1、否定式:没有发现2、保留意见,发现,但总体上不至于失控3、否定意见,重大漏洞或严重薄弱环节,控制系统总体上作用很小 甚至失效萨奥法案对报告的要求:季报、年报,CEO 和 CFO 必须书面声明:1、 审核了报告(负责制定和维护了信息披露控制和流程)2、 重大事实真是陈述,无遗漏(设计信息披露控制和流程,确保信息能够知晓)3、 特别强调,保真的内部控制制度承担责任,并保证其有效性4、 对影响报告编制的重大缺陷和员工的欺诈行为,已向外部审计和审计委员会披露内审作用:1、参与信息披露控制和流程的初始设计2、加入信息披露委员会3、协调外部审计师工作4、独立评估信息披露控
21、制和流程10、协助董事会评估外部审计的独立性萨奥法案规定:提供非审计业务缺乏独立性包括:参与客户会计记录、与报表有关 记录,财务信息系统设计和实施,内部审计服务时间超过客户全部内部审计活动时间 40(2 亿元资产一下客户除外,可提供与报表无关的内部审计服务) ,提供评估服务,人 力资源和法律服务,以管理层或职员身份开展工作。11、评估董事会的道德氛围 12、评估组织的道德氛围道德氛围在很大程度上决定了治理效果,有效创建治理过程的道德文化氛围包括:建立清 晰易懂的规范说明,保护检举人的具体措施,学习机会,创造积极的人事管理机制等治理过程:所有者及董事会对管理者的监督活动,管理者对治理过程的效果负
22、责13、评估在特定领域遵守政策的情况特定领域:电子商务,互联网上从事商业活动,其最低风险是符合本组织战略的电子商务 规划、设计和实施项目,电子商务的风险是在目标实现中有负面影响的不确定性事件,内 审起到作用是在灾难恢复计划形成阶段进行评估衍生产品,支付的款项或价值是由某些约定的指标的表现决定的,指标可以是商品、利率 或汇率,包括期权型和远期型两种合约类型14、评估组织向董事会报告的机制管理层报告机制:1、规定报告事项 2、规定谁来报告 3、规定报告形式和时限、问题的解决 4、规定逐 级上报和各个管理层级的责任内审评估这一报告机制:1、是否书面清晰规定 2、报告机制是否充分有效满足董事会需要 3
23、、机制是否按规 定运行萨奥法案规定:审计委员会负责制定、偿付和监督为组织出具报告的会计师事务所 的工作,负责举报接受处理、自主决定雇请法律顾问和其他咨询人员15、对法规监督机构检查结果的落实情况进行跟踪并报告 16、对外部审计的结果进行跟踪 报告首席审计执行官对跟踪并报告怎么作:1、建立维护一项制度,保证对处理情况的监督2、对非常重要的应要求管理层马上采取纠正行动3、判断高级管理层已接受了不采取行动所带来的风险4、评价纠正行动的充分性和有效性如何监督进展情况:1、把审计发现和建议报告给负责纠正的管理层(高级管理层应和纠正单位商量如何纠正)2、报告后在合理的时间内得到管理层反馈,收集最新反馈信息
24、,收集有监督义务部门的 信息3、向高级管理层或董事会报告反映情况(纠正单位行动,内审合理时间内复查)纠正行动批准后仍未得到执行怎么办?首席审计执行官应决定开展跟踪检查,并确定必要的范围17、评估业绩测评系统的充分性和整体目标的实现情况业绩测评系统没有建立,内审应建议建立,或与被审计单位协商寻求双方可以接受的测评 标准业绩测评系统标准模糊,内审应寻求权威性解释评估原则:科学性、合理性和可操作性18、树立舞弊防范意识,鼓励报告不正当的行为防范舞弊的首要机制是控制,控制是管理人员的责任内审的责任是通过评价相关控制的充分性和有效性来协助防止舞弊,对人的能力上要求更 高,对舞弊时刻警惕。考题会出现如何发
25、现舞弊,所以要了解舞弊的特征D 执行其他内部审计任务和职责(熟练掌握)1、道德规范/合规情况萨奥法案对提供舞弊证据的上市公司雇员保护对道德规范/合规投诉内审作什么?1、制定书面政策和流程,并对投诉进行调查2、监督管理层落实投诉解决办法有关决定,否则内审职业生涯受到损害萨奥法案规定:CEO CFO,报表被要求更正,其奖金和利润将被剥夺,即报告报出 之前 12 个月内权益报酬(所持股票分红) ,或剥夺 12 个月内出售证券得到的利润(SEC: 美国证券交易委员会)上市公司的内审必须遵守萨奥法案报告合规情况:1、强化的利益冲突条款,规定管理人员不得以公司名义给个人贷款或借款2、管理层和主要持股人参与
26、公司交易,报告自己直接或间接持有 10股票3、高级财务官员道德规范,要求披露道德准则,以及对其的修改2、风险管理内部审计作用:以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制,从而解 决风险,对风险评估一般具有较高的审计优先顺序,评估重点是管理过程的充分性和有效 性。如果有部门提出要求,内审可以帮助机构进行风险管理的初步建立工作,咨询业务可 作为保证业务的补充。必须明确内审可以促进、协助风险管理过程的建立,但不负担风险 管理责任(在管理层没有识别风险时,审计可以协助识别,而不是帮助建立制度,制度建 立是管理层的责任)3、保密对外发布信息:一般而言是董事会或审计委员会的责任,不是内部审计
27、的责任,当非法律部门要求披露审计信息时,可将这一要求报董事会或审计委员会4、信息或物理安全薄弱环节:是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施 缺陷,内审对其进行评价和检查纠正的落实定期评价合规:向董事会或审计委员会定期报告,报告包括:物理安全的环境风险和未经 授权的访问保安,遵守法律、法规有关隐私规定防止获得口令的最有效办法:使用者使用卡片自动产生口令,密钥介入每次口令不同E 治理、风险和控制知识要点1、可选择的公司治理模型治理:就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为公司治理:是指对公司的统治和支配,它决定运营的目标和方向,治理过程就是对管理层
28、 执行的风险和控制过程加以监督。研究投资人和公司各级管理层、外部利益互相作用和影 响关系。治理程序的核心是:监督和控制,公司治理的实现是控制权。公司治理程序:1、公司权利机构(股东大会) 、决策机构(董事会) 、执行机构(高级管理层)三者之 间的分立制衡关系2、治理程序体现在与各个经营管理层的委托关系,通过内部控制制度构建,董事会是 核心治理模型:1、英美国家的股东主权模型,融资结构以股本为主,股权分散,参与不多,收购容易 并形成垄断2、德日国家的共同治理模型,融资结构中银行占有很大比率,银行集股东和债权人于 一身,公司负债率高,产生了股权与债权共同治理的模式,控制权集中,容易形成腐败和 结派
29、2、可选择的控制框架内部控制:是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。通过计划、组织、实施来保证目标实现,从三方面理解:1、 “内部”涉及组织的董事会和各个部门,通过内部指令完成,不是外部(政府、其 他组织)2、控制服务于组织的目标3、控制不能必然保证目标实现,来自组织内部和外部的影响,就是风险,发现处理风 险,把它降低到最低程度,就是风险管理内控框架(COSO)和保证实现的组织目标1、组织运行的效果与效率:效果:实现目标的程度,如利润多少,效率:资源的投入 产出量产出量:产量、利润、工作量或其他可以测得的成果2、财务报告的可靠性和完整性:可
30、靠:内容的真实,完整:全面、详尽反映资产负债 和经营情况,财务报告不真实、不完整往往是组织重要风险之源3、符合相关的法律和合同,违反法律和合同会给组织带来风险4、资产的安全:不因不当行为而损失、不当经营而减少、不当使用而低效、不当处置 而贬值,保值增值是股东的最根本的利益体现参见评估风险框架3、风险的词汇和概念风险的种类:1、行业风险:对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析,从而确 定本组织的发展方向、竞争优势和竞争策略2、组织风险:分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构 与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析3、沟通风
31、险:实际上是信息风险与关系风险的总称,信息风险:信息不准确、不及时、 不完整造成的决策失误或缓慢的风险。关系风险:沟通不力,或不能很好地了解信息知识 出现对信息的误解,并导致不适当的行动,进而造成客户丧失、机会损失或士气低落以及 各种冲突公司合并的风险含有文化差异的风险,这些风险是内审应当考虑4、风险管理技术风险管理技术:1、风险评估框架 2、风险防范系统 风险评估框架:1、风险评估:确定评估范围与方法,收集和分析相关数据,对结果进行说 明2、风险缓解:确定风险可能发生的范围、可能性、可能损失,采取的保护 措施3、不确定性分析:充分收集有关情报,借助一系列技术手段模型分析风险战略目标最优化:股
32、东价值最大化5、不同组织结构中的风险/控制内容1、部门设置:根据工作特征设置,部门多管理分工细,但管理效率低,成本高。部门少部 门内部二次分工,增加层级数,信息传递容易失真,指挥效率低2、管理层级:划分为高层、中层、基层,分管不同任务3、管理跨度:管理者或管理层直接指挥的下属人员或部门的数量,它取决于管理者的能力 和偏好和组织结构,跨度大,层级少,跨度小,层级多,授权下属决策,但不能转移对决 策结果的最终职责组织机构类型:(机构设置带来的风险,即缺点)1、机械式:分工明确、弹性小,技能要求低,适应稳定环境,包括:职能型、分部型2、有机式:弹性大、适应变化,参与决策,分工不明确,技能要求高,适应
33、不确定环境简单结构:集权小型企业矩阵结构:产品部门化职能化,复杂而又独立项目专家组合,缺点:不 统一指挥增加部门的模糊,混乱产生于不知向谁报告(报告产品经理、职能经理) ,会培养 权力斗争的种子网络结构:一个小中心,通过职能外包,进行运营,经济灵活,缺点:控制 力、质量保证、信息保密有损害3、有机附属结构:在有机结构不变的情况下,部分单位设置为机械组织,方法:成立任 务小组结构、委员会结构6、不同领导风格下的风险/控制内容领导风格类型:1、任务驱动型:倾向于用权威命令指挥任务完成 2、关系驱动型:通过沟 通协调调动积极性领导方式类型:1、自由放任式:在工作比较复杂,有充分信任和技术保证前提下2
34、、体贴式:士气不振或分工明确、环境复杂目标难以完成下3、民主式:发挥专业优势下,有一定信任程度,同时能统一意见下4、结构式:按部就班领导成员完成任务7、变革管理流程再造:在现有的资源的基础上重新建立一个新的组织,不是纠正已经发生或正在发生 的错误的事造成的阻力:1、不确定性,造成担心工作的稳定,从而产生抵触2、关心个人得失3、认为变革不符合组织利益,造成失业、人员分裂、工作关系变化解决手段:1、教育和沟通 2、鼓励参与 3、推动支持(积极行动肯定)4、谈判和协商 5、修改隐私部分信息(敏感问题分布进行,避免集中爆发) 6、公开和私下强制8、冲突管理冲突类型:功能正常的冲突,属于建设性的 功能失
35、调冲突,属于破坏性的产生冲突根源:沟通差异,沟通渠道有噪音,影响理解结构差异,部门从各自利益出发形成的意见不一致人格差异,独特的格产生的不信任,陌生,难合作解决方法:回避:不属于主要冲突,可以不关注迁就:顺从别人的目标,把别人目标看的比自己高强制:牺牲别人妥协:双方做出有价值的让步合作:开诚布公讨论,关注对方意见,没有时间压力,问题十分重要不能妥协激发建设性冲突:改变组织文化、运用沟通、引进外人、重新构建组织9、管理控制技术预算:计划大量化说明,把有关的经济活动计划用数字和表格的形式反映出来全面预算:以利润为目标,以预算销售为基础,综合协调其他预算结果,对企业全部经济 活动及其成果进行预算,包
36、括:生产经营预算,财务状况和经营成果方面的预算,分类: 业务预算、专门预算和财务预算常用工具:增量预算、弹性预算、零基预算、滚动预算、KAIZEN(日本,预算期内累计 不断改进)10、控制类型按时间分:事前,预防性控制事中,典型的就是监督视察事后,实际与标准比对,如分析投诉、客户回访、监督退回按功能分:预防,审计客户信用、采用招标、职责分离、将任务分给胜任员工、使用密码检查,核对账目、物资清点、对比检查指导,政策、指南和手册,如要求从业资格、保证毛利率、出勤率纠正,纠正程序、控制和例外报告计算机,综合控制和应用控制F 计划审计业务(熟练掌握)1、开展与业务委托人的初步沟通内容:1、沟通审计工作
37、计划2、讨论审计的目标和审计方式3、要求委托人报送资料4、进行其他沟通2、对审计业务范围实施初步调查1、了解审计业务的活动2、获取有利于审计的信息4、需要特别关注的领域3、决定如何开展下一步工作分析性复核:对调查取得的信息进行分析和评价的基础上初步形成调查结论,该技术不 能确定具体舞弊行为,如果审计发现有舞弊存在,直接调查而不用该法。运用方法:1、比较前期和后期的类似信息2、比较目前与预算3、财务信息和非财务信息研究,发现影响关系4、研究因果关系5、比较部门之间类似信息6、比较与行业类似信息7、比较实际与审计期望值基准比较(标杆管理法):用最佳行为作为基准比较,基准来自企业自身、竞争对手、 行
38、业最优点范围内选择实施面谈:面谈后对有关事项和达成的结论编程纪要,便如工作底稿,对初步显示的问 题决定扩大性测试查阅以前审计报告和其他资料绘制流程图:水平流程图(涉及部门) 、垂直流程图编制检查清单:在初步检查的最后阶段,编制检查清单3、完成相关领域的详细风险评估:在制定年度计划时,从全局高度审视组织风险并评价, 在初步调查的基础上制定计划,这里强调的那个风险最大4、与各方面协调审计业务工作a 外部审计师协调:首席审计执行官应当与提供保证和咨询业服务的其他内部或外部服 务提供分享信息、协调工作,保证合署的工作范围并最大限度地减少重复工作,包括:讨 论会、借助工作底稿、审计报告和管理层信件的交换
39、、审计技术的理解b 外部法规监督机构:寻求法律、法规、规章、制度等理解和技术支持5、建立/完善审计业务的目标,识别/确定审计业务的范围审计目标:内审做出的确定审计业务希望实现内容的概要声明,审计程序:实现审计目 标的手段审计业务目标:是对被评价活动的风险、控制及治理过程提出意见根据不同的审计类型,具体建立和完善审计业务的目标:1、经营审计:目的是检查和评价内部控制系统以及所分配的职责的完成情况,关键理 解内部控制,它是实现审计目标:评价存货内部控制的有效性之一,确定节约成本也是目 标之一2、绩效审计:目标是确定效果、效率和效益,这种审计必须有一套能用来评价绩效的 经认可的目的、目标和标准3、合
40、规性审计:目标是确定组织对证词、程序、标准或者法律和政府法规遵守程度 (客观性较强,审计师的主观判断少)4、质量审计:目标是确定组织质量管理的水平和效果,主要关注质量管理的四个关键 要素:a 顾客需要;b 产品/服务计划、生产和运输满足顾客的需要;c 生产和运输产品/服务计划和执行d 过程控制,尤其是个别顾客需要产品的服务5、财务控制审计:目标是确定对组织内部财务资源控制和财务资源的会计资源控制的 水平和效果6、财务报表审计:目标是对组织财务报表的公允性和一致性发表审计意见,通常由外 部审审计业务范围:根据审计业务目标确定,包括:治理、经营和信息系统内部控制系统审计范围:1、内控的恰当性:能否
41、提供适当的保证,并高效、经济实现组织目标2、内控的有效性:能否起到应有的作用3、执行效果审查:确认组织任务和目标是否已经完成6、识别或开发保证业务的标准(审计所依照的标准)那些标准或准则审计师采用恰当:1、部门的质量标准的操作程序2、内部会计控制原则,引自注册会计师手册的相关内容3、理想的经营实务,基于内部审计师参与许同公司内部审计实务所积累的经验和知识7、在计划审计业务时考虑舞弊的潜在可能舞弊与错误的区别:舞弊是有意识的,错误是无意识的,结果损人利己,舞弊的风险因 素是控制弱点,助长因素:无效的内部控制,员工的勾结,流动资产的存在防止舞弊最有效的方法:保持一个有效的内部控制系统危险信号:是在
42、总结以往舞弊的基础上得出的在这些条件下舞弊发生的比率较高,不一 定记录,收集,坐支是舞弊的因素,该名词被大家熟悉,并产生积极影响舞弊类型:1、为组织谋取利益而进行的舞弊事例2、谋取组织利益的舞弊迹象或征兆3、为个人谋取利益行为4、谋取个人利益征兆对舞弊行为采取的行动:1、已经发生的舞弊迹象,做出是否采取进一步行动或提出调查的建议2、足够证据证明舞弊迹象,可以提出调查建议时,要通知适当的权力机构3、得出结论提交报告,报告内容:发现问题、结论、建议和纠正措施如何实现内审协助发现舞弊职责:就是评价控制系统在防止潜在风险暴露方面的充分性 和有效性,舞弊者承认舞弊,应记录成工作底稿,签字,报告高级管理层
43、,请示下一步行 动8、确定审计业务步骤审计方案:一份说明开展具体审计业务时所应遵循的工作步骤文件,通常包括:1、资料收集 2、分析和评价资料 3、记录信息 4、对审计业务进行监督9、确定审计业务所需要的人员水平和资源部门培训的主要目的:实现组织目标,同时也是提高个人能力配置内审岗位职责:考虑工作范围、职责水平、建立学历和工作经历标准10、建立对审计业务充分的计划和监督当首席审计执行官与内部审计师对重大专业问题判断不一致时,应对事实进行讨论和进一 步调查研究。1、如果未能达成共识可将不同观点记入工作底稿,但所有分歧必须在审计机构内部解决, 呈现在管理层和被审计单位的审计报告中的结论只能是一种2、
44、如果在职业道德问题上发生专业判断不一致,应向本组织有关道德实务负责人请示对审计师的监督必须是持续的:1、这种监督贯穿于审计的各个阶段,包括监督工作底稿能否支持审计发现2、监督扩展到培训、经费、时间报告等管理问题3、监督的恰当证据应该得到文件记录和保留,包括工作底稿上11、编制审计业务工作程序以下过程应记录在工作底稿中:1、 制定计划2、 对内部控制系统所作的检查和评价3、 执行的审计程序、取得的资料、得出的结果4、 对工作底稿的审查5、 提交审计报告6、 进行后续审计以下资料作为工作底稿1、 内控调查表、流程图、核对清单和记事2、 调查记录和备忘录3、 组织系统图和工作流程图4、 重要合同、协
45、议的复印件5、 有关经营和财务政策的资料6、 对内部控制系统的评价意见7、 确认和陈述的信件、如应收款函证8、 有争议的交易事项及其处理意见9、 对账户余额的检查、分析10、 实施的分析性审计程序11、 审计报告及管理层意见12、 审计结论及其反馈意见格式:1、 每一张工作底稿有标头:名称、内容、目的、日期或时期2、 记录的数据应注明来源,并注明报告和记录是否一致3、 工作底稿的目录或索引4、 审计师签字,并注明日期责任:1、 首席审计执行官对工作底稿负完全责任,负责制定工作底稿的各项政策2、 应亲自或指派较高水平的人员审核工作底稿并签字、注明日期3、 审核中发现的问题应当记录,并跟踪审核发现的问题已经解决,解决的可以保留或销 毁4、 工作底稿的所有权属于本组织,档案保留在内部审计机构5、 调用工作底稿应由首席审计执行官批准,提供外部应有高级管理层批准或法律顾问批 准