武汉市内部审计师协会企业内部审计前沿问题中南财经政法大学会计学院陈波武汉市内部审计师协会培训项目2020/7/7主讲人简介2–武汉大学博士–中南财经政法大学博士后–中国注册会计师–副教授兼硕士研究生导师–中南财经政法大学审计教研室主任–中南财经政法大学会计学专业硕士(MPAcc)中心主讲教师–多家大型企事业单位财务、会计、内部审计、内部控制、风险管理、预算培训主讲人2020/7/7主要内容1.企业内部审计的现代理念2.企业内部审计的前沿课题3.企业内部审计的现状与思考32020/7/7热点内审新闻面对世界性金融风暴内部审计无能为力4李金华称,通过这次世界性的金融危机,应该更加理性地看待内部审计的作用……内部审计不是万能的。它作为内部监控制度,在强化企业管理、防范风险等方面发挥了很大作用,但是在世界性的金融风暴中,内部审计是无能为力的,它不能将所用的风险都囊括在监控之中。——《人民政协报》2009.3.52020/7/7热点内审新闻金融危机促使企业进一步重视内部审计5中国内部审计协会与德勤永华会计师事务所日前联合发布的《2009年内部审计热点问题调查报告》显示,金融危机促使企业主要领导进一步提高了对内部审计的重视程度调查显示,分别有84%和60%的受访者认为金融危机使企业主要领导提高了对风险管理和内部控制,以及内部审计的重视程度;65%的受访者表示事前事中审计的日益增多有助于流程的前端风险防范——新华网2009.4.302020/7/7热点内审新闻中国大陆与香港内部审计能力与需求调查6全球领先的商业咨询和内部审计专业机构甫瀚咨询(Protiviti)联合中国内部审计协会发布了第二年《中国大陆与香港内部审计能力与需求调查》报告。报告显示,在金融危机环境下,中国内部审计人员评价自身的一般技术知识能力较低,其中信息安全连续两年能力水平最低,亟待改善;在审计流程知识方面,应对舞弊的知识技能成为受访者的关注焦点;个人沟通能力(公开演讲和战略性思考)则继续受到业内人士的高度重视——《中华工商时报》2010.1.142020/7/7热点内审新闻内部审计有苦难言7某企业招聘三名员工,将考核后的第一名安排到集团上市公司财务部,第二名安排到集团公司财务部,第三名安排到审计部。一些不愿被看到的事实正在发生,很多企业虽然设置了内审部门,但只是将其作为一个摆设而已。这显然与内审所应发挥的作用相去甚远,因为内审相对于中介审计的优势就在于能够贯穿于事前、事中和事后,对企业经营的全过程进行监督和评价。因此,很多内审人员越来越感觉到有被边缘化的趋势。——《中国会计报》2009.7.32020/7/7讨论做内审感觉如何?82020/7/7内部审计的现代理念关于内部审计的传统观念9成本中心非增值部门公司警察小题大做耳目眼线法定负担查错防弊2020/7/7内部审计的现代理念内部审计经典定义(IIA,1999)10•内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的鉴证和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标对内审的组织地位和专业能力提出了极高的、有时候并不现实的要求2020/7/7内部审计的现代理念价值(Value)11•价值≠利润•价值:创造未来现金流量的能力•经济增加值(EconomicValueAdded,EVA)•现代内部审计目标经历了由消极除弊,到积极兴利,再到价值增值的发展历程(王光远,2003)经济增加值=税后净营业利润—资本成本=税后净营业利润—资本总额×加权平均资本成本2020/7/7内部审计的现代理念内审理念12内部审计不仅是现实资产的守护者、财务账表的复核者、会计核算的勾稽者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式——刘家义2020/7/7内部审计的现代理念内审理念13重监督,也重服务;重结果,也重过程;重事后,更重事中、事前;重财务,也重业务和管理;重合规,更重3E(经济性、效率性、效果性);重审查,也重建议;重当前,也重战略性和长远性;重静态,更重动态;重内部控制,也重风险管理;重独立行为,也重互动——易仁萍2020/7/7内部审计的现代理念内部审计人员之歌14在阳光下,在风雨中,前进的脚步依然匆匆我们是内部审计人员,无比自豪,无比光荣防范风险,加强内控,我们把握着方向增加价值,实现目标,我们肩负着使命啊,内部审计人员像律动的琴弦有清纯的音符谱写着和谐社会的乐章啊,内部审计人员像绽放的荷花用绚丽的色彩描绘出伟大祖国美好前程2020/7/7内部审计的现代理念案例:通用电气公司(GE)的内部审计目标:“超越账本,深入业务”以财务为主线的审计,其审来审去终究审的是一种结果,是以既定的事实、无可弥补的损失为代价的,因而他们愿意花费更多的时间和精力去研究可能蕴藏更多矛盾和更多问题的企业管理环节15还有人认为审计就是“查账”吗?2020/7/7内部审计的现代理念案例:通用电气公司(GE)的内部审计内容:多样化的经营审计(或管理审计)企业发展战略和经营决策审计、投资效益审计、市场景气状况审计、物资采购审计、生产工艺审计、产品推销审计、研究与开发审计、人力资源管理审计、后勤服务系统效率审计、信息系统设计与运行审计等,甚至对环境污染、社区关系等因素对企业利益和持续经营的影响也进行评估,“绿色”审计、社会责任审计也成为内部审计的重要内容16有哪些是咱们正在做的?2020/7/7企业内部审计前沿课题风险导向审计17以基于目标、战略和流程的风险识别和分析为基础,确定审计项目安排的优先次序和审计资源的分配,并在特定项目审计计划中确定审计重点的审计理念与方法后果概率风险容限剩余风险固有风险控制风险导向内部审计2020/7/7企业内部审计前沿课题风险导向审计18风险评估流程风险辨识风险分析及评价重大吗?持续监控内控有效吗?什么会妨碍企业达到战略目标?考虑风险潜在的影响及发生的可能性是持续监控是实施应对方案否否2020/7/7企业内部审计前沿课题风险导向审计19•风险排序③②①④③②⑤④③后果大小低中高小中大概率高低2020/7/7企业内部审计前沿课题讨论请列举您认为的贵公司最大的经营风险及其来源202020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•操作流程21识别审计单元识别风险因素计算风险因素权重风险因素排序项目选择及排序定义审计深度计算风险降低水平分配审计时间审计资源配置2020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•风险因素识别22•规模:审计单元的金额重要性及雇员人数•内部控制:审计单元的内控质量,依据以前年度审计结果及管理层对内控的重视程度而定•变化:管理层及关键员工的变动,业务活动、组织结构、商业系统以及外部坏境的变化•环境因素:政治风险、商业模式、法律、经济及文化环境•内外压力:管理层面临的预算目标等内部压力,以及由于经营业绩考核和经济景气程度带来的外部压力•业务类型及范围:审计单元的生产、研发、出口、产品线多样化程度等2020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•风险排序结果(仅列出前5位及后5位)23审计单元风险因素排序结果规模6%内控41%变化26%环境6%压力5%业务15%14544254.4425542254.3834544223.9944534233.8853543233.872020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•风险排序结果(仅列出前5位及后5位)24审计单元风险因素排序结果规模6%内控41%变化26%环境6%压力5%业务15%535123342.19542222232.15552223222.06562121341.89572212121.682020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•审计深度与风险降低程度的界定与计算25•Level1:有限复核,以管理层访谈为主,无需详细测试•Level2:对关键业务循环的集中测试•Level3:对所有业务循环的全面测试•风险降低系数(用于衡量审计工作的效果)主要考虑因素(计算公式略):审计深度、风险指数、审计人员对项目的熟悉程度2020/7/7企业内部审计前沿课题Janssen国际制药集团公司风险导向内部审计案例•审计时间分配26审计单元审计深度风险降低系数时间要求(人工小时)122.17378222.25333321.88205421.81246521.91190············小计43.096402(6400可用)2020/7/7企业内部审计前沿课题风险管理审计27概念分析与基本要求•内部审计师通过对于企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,来协助管理当局、董事会或审计委员会(IIA,2004)•风险导向审计VS.风险管理审计•内审部门应独立于风险管理部门2020/7/7企业内部审计前沿课题风险管理审计28流程图目标战略经营风险关键风险是否已得到识别是否已采取适当的应对措施风险是否已得到适当评估应对措施是否得到恰当执行剩余风险是否不超风险容限是是是否否否无效否否是是有效改进建议持续监控2020/7/7企业内部审计前沿课题案例:摩根斯坦利(MorganStanley)风险管理审计29内部审计在风险管理体系中的作用和地位:内部审计部门提供独立的风险与控制评估,并同时向审计委员会和法律总监(ChiefLegalOfficer)报告,对于审计委员会的报告是业务上的,对于法律总监的报告是行政上的;内部审计部定期检查公司的运营与控制环境,并执行涵盖所有主要风险类别的审计工作审计委员会对于风险管理的监督职责:复核或在适当情况下与管理层、内部审计师讨论公司在风险评估和管理方面的指南、政策与程序;复核公司及其业务分部主要的风险敞口,包括市场风险、信用风险、财务风险、法律及其他风险,以及管理层所采取的监督与控制风险敞口的措施;向董事会提供与上述事项相关的结论2020/7/7企业内部审计前沿课题IT审计30•电子商务(E-Commerce)•企业资源计划(EnterpriseResourcesPlanning,ERP)•内审人员对于企业IT系统的安全性、稳定性和有效性应进行独立测试和评价•对于复杂、高度集成的IT系统,缺乏必要计算机审计技术的审计人员可能什么问题都查不出,而对于精通相关技术的审计人员,被审计单位可能什么问题都藏不了2020/7/7企业内部审计前沿课题案例:审计署信息系统审计小案例31•审计署现在对天津中化集团的审计中,发现了重大审计线索,该集团的ERP模拟系统中,客户端到ERP服务器之间用户帐户信息的传送要经过办公网,数据无加密,这样在该集团办公网上的任意一台计算机都可以通过一定的技术截取帐户信息,找出帐号、密码,而且该技术还不需要多少技术含量•可以预见,该系统存在的重大系统安全漏洞,可能已经造成中化集团各业务系统被人为入侵2020/7/7企业内部审计前沿课题计算机辅助审计(CAAT)32计算机辅助审计技术(ComputerAssistedAuditTechnology)•面向数据的CAAT:利用CAAT完成数据提取、查询、排序、抽样、复核、统计等,可提高证据搜集的效率,节约审计成本•面向系统的CAAT:直接测试被审计单位所运行的信息系统,例如测试应用软件的性能、检查实际使用的软件版本是否为事先规定的版本等2020/7/7企业内部审计前沿课题计算机辅助审计(CAAT)33审计人员的工具箱•Excel,Access,SQL,SAP,IDEA,ACL,用友审易,中审审易、北京鼎信