内部审计培训(1).ppt
内部审计培训,目录内部审计的定义和发展趋势内部审计的工作方法内部审计质量控制舞弊识别,内部审计的定义和发展趋势,内部审计的定义演变和发展趋势职责审计范围组织结构汇报体系人员配置和运作使用工具内审发挥作用的条件改进建议,内部审计的定义,内部审计是一种独立并且客观的保障与咨询活动,旨在增加企业价值和改善组织运营。它通过运用系统的、规范的方法,评估并改善风险管理、控制活动以及公司治理过程的成果,以帮助组织实现其既定目标。(国际内部审计师协会之定义)www.theiia.org,内部审计的定义内审与外审的比较(审计领域),外部审计 从历史的角度关注财务报告的公正性IT审计的领域多局限于财务应用系统发表的审计意见主要供第三方利益者参考,其次供管理层与董事会参考,内部审计从发展的角度关注战略、运营操作、合规性以及财务控制等方面 IT审计的领域涉及所有的应用系统内部审计的工作报告仅供管理层和董事会使用,内部审计的定义内审与外审的比较(职业规范),外部审计遵循GAAS(SASS)设定的一系列标准和要求,从而生成并签署审计意见。通过实质性测试、访谈、分析性复核以及对一些内部控制的评价,最终生成审计意见。,内部审计关注于被任意选择的业务流程,在对其进行检查与评估后,生成增强内部控制和提高运营效力的相关建议。内部审计的基础是风险评估以及为管理这些风险而设计的控制。内部审计的主要测试方法为访谈、观察和分析性复核,其次是实质性测试。,内部审计的定义内审与外审的比较(服务及费用),外部审计客户为“已知”的产品付费审计意见,内部审计扩大内审工作范围的情况时有发生,原因有可能是识别出新的风险,或发现了显著控制缺陷从而需要扩大测试范围,或是需要进行专项审计。因为内部审计不是法定的要求,所以在股东眼里,内审在增加价值方面甚至比外部审计更吸引力。,内部审计的定义和发展趋势,内部审计的定义演变和发展趋势职责审计范围组织结构汇报体系人员配置和运作使用工具内审发挥作用的条件改进建议,内部审计的发展趋势职责及作用,监督职责促进建立预防舞弊的有效机制确保既定的操作和流程得以有效执行独立评价管理层执行内部控制流程的有效性参与到风险管理中平衡利益、道德以及社会责任三者的关系,咨询职责帮助管理层进行自我评价为管理层和员工提供有关风险管理和内部控制的培训为董事会、管理层和审计委员会提供建议以实现既定目标评估风险管理和内部控制的充分性和有效性对于利润和成本方面提供相关建议,从而提高企业的竞争力,内部审计的两大基本职责,内部审计的发展趋势职责及作用,内部审计职责的演变,内部审计的发展趋势职责及作用,内部审计职责的演变:协助企业进行风险管理成为新内审工作的重点,内部审计的发展趋势职责及作用,内部审计职责的演变目标及作用:从以保障企业价值到实现企业价值增值。内审工作重心:从单一交易、单一稽核到助企业进行风险管理。内审的技术关注点:从法律法规遵循审计到风险管理咨询。在过去的10年里审计委员会和管理层对内部审计部门的作用以及期望发生了很大的改变,内部审计部门不仅仅起到监督的作用,同时能够为评估运营风险提供帮助和有价值的建议。,内部审计的发展趋势审计领域,内部审计师在风险管理中的职责:,内部审计的发展趋势审计领域,核心职责:保障风险管理流程建设保障风险评估结果的准确性评价风险管理流程评价关键风险的报告程序检查对关键风险的管理过程,常规职责:协助管理层识别、评估风险指导管理层进行风险应对协助开展风险管理工作汇总风险报告维护并改进风险管理框架支持风险管理的实施制定风险管理战略交高级管理层审批,不可承担的职责:确定风险偏好制定风险管理流程提供管理层对风险的保障决定风险应对策略代替管理层进行风险应对承担风险管理责任,内部审计师在风险管理中的职责:,内部审计的发展趋势审计领域,审计方面:风险评估定期审计和持续审计审查政策特殊审计和专项审计,如项目审计和调查辅助管理层开展内部控制的自我评估辅助外部审计工作萨班斯-奥克斯利(SOX)管理测试,行政方面:对质量有定期的控制持续的培训(内部和外部)沟通,如国际银行的内审部每两年举行1次内部审计研讨会定期汇报定期与管理层、审计委员会和外部审计师沟通,内部审计的发展趋势组织结构,内部审计组织结构:没有常规意义上的组织结构在不同企业中其组织形式不尽相同,应业务需求而变化除了独立的子公司外,内部审计的方法、政策、标准以及年度审计计划通常由总部负责制定。通常以外包方式达到以下目标:弥补内部资源的不足获取专业人员的建议以完成专项审计对海外子公司的审计提供支持减少资源使用和持续培训所带来的投入,内部审计的发展趋势报告体系,报告体系没有统一的上报机制在不同的公司中会不尽相同通常内部审计向首席财务官汇报也可以直接向首席执行官汇报但必须有与审计委员会直接沟通的权利,包括与审计委员会的定期会谈,内部审计的发展趋势报告体系,CAE汇报统计:,内部审计的发展趋势人员配置和运作模式,人员配置内部审计师不一定是注册会计师(CPA),但是他们应当拥有一些职业资格,例如注册内审师(CIA),系统审计师(CISA)或其他。调查表明56%的内部审计的职位由专业的内部审计师来担任。基于业务需求设定组建专业内审团队,例如IT、专属业务范围(金融、保险、通信等)在很多大型企业中,业务部门的骨干被轮岗到内审部工作两至三年以得到升职机会,同样也有内部审计部门的骨干转到业务部门工作。调查表明37%的公司雇佣拥有不同经验的员工并采取轮岗的政策(例如内部审计与财务部门或其他部门的轮岗)。在国外,内审部门的一项职责是对管理者进行培训。,内部审计的发展趋势人员配置和运作模式,运作模式 在运作模式被确定之前应有明确的目标,内部审计的发展趋势审计工具(常用工具),数据收集和分析ACL、IDEA、Excel、Access、当前流行的系统例如ERP(企业资源规划)报告等舞弊行为分析和验证ACL、IDEA、专门的舞弊调查分析等电子商务控制和网络安全分析ISS Internet/System Scanner、CyberCop Scanner、Enterprise Security Manager等,电子审计工作底稿管理:Teammate,AutoAudit,Microsoft office software etc.持续监控ACL、IDEA、Excel、Access审计管理、风险评估Excel、自主研发软件等与内控相关的自我评估自主研发软件,外国企业通常会利用一系列的工具以支持审计工作,被首先采用的工具可分为以下类别:,内部审计的发展趋势审计工具,内部审计的发展趋势审计工具,TeamMate提高了审计人员的生产力及效率,标准化工作底稿编制流程,有助于提升项目质量,加强审计人员的专业知识,提高审计报告的品质并可为管理层提供重要信息。,TeamMate项目文档风险框架文档审核报告生成项目文件管理扫描复制拷贝-Replication安全模式备份和存档,TeamRisk,内部审计的发展趋势审计工具,使用TeamMate的优点:,内部审计的发展趋势审计工具,内部审计的发展趋势审计工具,TeamMate的主要特点:TeamMate大大提高了审计程序的效率是市场上唯一的具有先进的文件复制和扫瞄功能的而基于非LotusNotes的产品使用TeamMate无其它隐藏成本应用过程简易,使用方便专业的忠实的技术支持丰富全面的风险评估及全球项目资料数据库强大灵活的知识管理工具适用于各种项目和审计类型唯一的有中文版的国际知名审计管理软件,内部审计的发展趋势审计工具,TeamMate 大家族,内部审计的发展趋势审计工具,内部审计的发展趋势审计工具,TeamRisk是一个风险评估工具。基于风险的审计计划深度的管理报告功能(热度图、风险打分表),内部审计的发展趋势审计工具,TeamSchedule是一个进行时间和人员安排的工具。安排项目安排时间和人员管理安排冲突,内部审计的定义和发展趋势,内部审计的定义演变和发展趋势职责审计范围组织结构汇报体系人员配置和运作使用工具内审发挥作用的条件改进建议,发挥作用的条件,内审的功能、角色和职责应当清晰界定独立于管理层恰当的内审结构与目标能够胜任的内审人员合理的审计方法确定足够的审阅范围以确保监督的有效性恰当的内审结构与目标:清楚定义并充分记录内审的结构,汇报机制,岗位及职责在下述领域应制定明确的政策和目标:招聘与薪酬政策培训与技能发展工作方法与质量保证绩效评定年度计划与预算与审计委员会的沟通等,发挥作用的条件,能够胜任的内审人员:内审部门拥有充分的技能内审人员有相关的经验和专业技能以保证内审工作得以有效完成。有反映业务特征,风险和审计要求的技术技能,如:IT,资本,税法,审计准则等方面的技能。应当熟悉业务运营,对行业知识和风险领域有充分的理解,知悉有关的法律和法规要求恰当的审计方法:内审部门应当采用广为接受的审计方法:由内部审计师协会(IIA)颁布的国际内审实务标准该方法应当包括:如何确定审计范围,形成审计计划,如何记录测试步骤和结果,工作底稿的保存,审计发现及结论恰当记录审计方法和程序各个层级都有正式的质量控制程序以确保审计工作的质量,如,对于各个报告的审阅,审计负责人对审计报告的定期审阅,年度质量评价或外部定期评估等确定足够的审阅范围以确保监督的有效性:用于高层监管,内审部应定期执行公司范围内的风险评估,并以此作为制定和执行年度计划的基础审计范围没有任何有形或者无形的限制,内部审计的定义和发展趋势,内部审计的定义演变和发展趋势职责审计范围组织结构汇报体系人员配置和运作使用工具内审发挥作用的条件改进建议,改进建议,目前企业内审存在的共性问题:角色、岗位以及部门缺乏充分的独立性。审计范围受限,如审计范围是否能够涵盖所有的业务部门,业务活动及分支。缺乏技术技能与经验,包括关键的风险领域如IT等。审计方法与工具方面的经验,尤其是风险评价方面的经验。人员配置及技能的充分性。,改进建议,应考虑的改进方面:公司应当尽力解决内审中出现的问题并提升内审的地位公司应从以下四个方面开始改进:资源领域组织结构和汇报机制方法和流程公司应更加关注如何获取技术和经验,以建立持续内审的基础,改进建议,资源分析业务发展所需的技术技能开始对内控人员的培训培训需要特殊技能的内审人员领域通过企业风险评估界定内审范围不再参与业务的运营或管理通过外部资源执行特殊审计,组织结构和汇报机制建立直接沟通的渠道分析并逐步调整现有的组织结构计划并调整内审方法和流程分析和收集现有的内审政策,同国际认可的方法论相结合,包括:企业风险评估,制定审计范围和审计计划,编写和保留工作底稿,审计发现和结论,内审的定义和发展趋势小结,内审是一种独立、客观的保证与咨询活动。内部审计的独立性、客观性是内审发挥作用的基础。内部审计的职责从单一的项目审计向协助企业进行全面风险管理转变。内部审计领域从传统的财务、经营审计延伸到内部控制审计和企业风险管理咨询等方面。内部审计面临新的挑战,使内审部门能够发挥作用的条件包括:清楚界定内审的地位形成当期和长期计划、目标与预算建立沟通渠道执行风险评估与合规性审计策略确认所需的技能与资源获取所需的基础框架、方法和技术建立绩效评价机制逐步体现对企业的价值,提升内审的地位是一项长期工作,可能需要若干年的时间,内部审计培训,内部审计的定义和发展趋势内部审计的工作方法内部审计质量控制舞弊识别,内部审计工作方法,内部审计的工作方法基于风险的内部审计工作方法测试方法举例说明,内部审计工作方法基于风险的内部审计,内部审计最佳实务以各种类别的风险为向导遵从商业目标为企业带来价值为风险管理提供咨询协助企业适应环境的变化为特定项目提供相应的技术/行业专家支持,例如电子商务,IT,内部审计工作方法基于风险的内部审计,COSO内部控制框架:在风险评估及控制有效性测试中有广泛应用。,内部审计工作方法基于风险的内部审计,可能影响内审工作的3个领域年度审计计划:被用于定义影响企业的目标和风险并把他们依重要性排序,从而制定风险导向战略计划和年度审计计划。在审计计划阶段对审计对象的风险进行初步评估,复核已完成的战略计划,并根据评估的结果制定年度审计计划。审计范围:对应对主要风险的措施予以重点关注和审计。审计测试的先后顺序:还可以用于确认对企业目标和风险具较大影响的业务单元,并将其按影响大小排序,这些业务单元也在更进一步的风险评估中被涵盖,例如业务单元或业务流层面的风险评估。在审计工作完成后,对剩余风险进行评估。跳出对低风险领域的循环性/强制性审阅审计委员会/董事会接受对某些领域从未进行审计的事实,内部审计工作方法基于风险的内部审计,审计流程,内部审计工作方法基于风险的内部审计,第一阶段:制定战略计划(举例:风险评估与审计范围),内部审计工作方法基于风险的内部审计,第一阶段:制定战略计划(举例:风险评估与战略计划),内部审计工作方法基于风险的内部审计,第二阶段:制定年度审计计划 年度计划包括当年风险排序、基于风险确定的审计日程表、人员及财务预算等内容。年度计划需经高级管理层及审计委员会或董事会审批授权,在一定程度上保证了内审人员的工作领域和所需资源,有利于增强内审的独立性。内部审计领域风险评估拟定草案并与管理层沟通计划经授权审批根据风险变化及业务需求进行调整,内部审计工作方法基于风险的内部审计,第三阶段:风险为导向的审计实施,主要步骤如图所示(以下为内审项目的常规程序,根据项目目标的不同,具体步骤及内容可能略有不同。),工作程序与要点,(具体16个步骤介绍请见后页),现状了解了解的内容-经营业务(主要业务流程知识,业务发展所处的经济和法律环境及业务经营所处的市场环境)-经营目标(业务发展目标)-相关风险(产品和服务风险,经营风险,市场风险等)了解的方法-开会准备(趋势分析,垂直分析,比率分析,合理性测试)-正式开会-会后问卷(在分析性复核的基础上制定会谈调查问卷)风险评估初步风险评估-目的(评估组织和关键管理层的有效性,包括人数和能力,评估管理层对风险的评价及控制的水平及评估合规合法意识)-重要性(对固有和控制风险的性质和程度的初步评估是审计计划制定的重要因素)-种类(如固有风险,控制风险和审计风险)-风险评估问卷(即审计人员填写的,用于决定审计目标和策略的评估表)详细计划计划动员会议审计计划(制定审计目标,审计策略及所选用的程序)制订时间表(确定审计成员的角色和责任,准备详细的时间表)人员动员启动会议(和客户开会,介绍审计计划,包括审计策略等)会议记录(就达成一致的审计计划,进行书面记录,并且记录客户的要求和期望,以及建设性的意见和建议,以便在实际审计工作中予以考虑),内部审计工作方法基于风险的内部审计,审计启动与被审计单位准备、确认会议议程和进行面谈、讨论流程图/测试绘制流程图,使用图表或叙述方式.运用穿行测试,确认流程图的准确性。根据试验结果进行必要修改。运用抽样调查,找出不合规之处或控制薄弱环节.确认问题同以下相关人员确认问题:直接工作人员主管部门经理总经理在确认问题过程中,如果有不同意见,根据需要采取必要的措施后续复核起草报告审计报告一般包括:内部审计范围,目的,审计期间,结论,审计发现,审计人员及审阅人签名/日期审计项目负责人及审计经理复核审计报告初稿.,内部审计工作方法基于风险的内部审计,达成一致意见向管理层呈交审计报告初稿审批审计结束会议在审计结束会议中,讨论并确认问题发现汇总和审计报告公司审计部门最高管理层应参加审计结束会议.建议反馈被审计单位对审计报告的反馈意见应充分反映在最终报告中被审计单位应对审计报告的问题发现和改进建议方案高度重视并提出改进计划报告定稿,内部审计工作方法基于风险的内部审计,跟进建议根进建议主要包括:建议的实施情况实施过程中的阻碍无法实施的原因实施协助实施协助可以采用以下方法:培训示范人力支持密切联系审计人员应与被审计单位保持良好关系通过对被审计单位的业务发展和趋向、部门需求的充分了解,才能提供优质和更多的服务再次评估针对审计所提出的建议的实施情况的审核,包括:合规政策是否建立是否如实执行风险-可能的风险已经得到相应的控制,内部审计工作方法基于风险的内部审计,内部审计工作方法,内部审计的工作方法基于风险的内部审计工作方法测试方法及工作底稿举例说明,内部审计工作方法测试方法及工作底稿,测试方法,内部审计工作方法测试方法及工作底稿,测试步骤:确定测试方法后应根据被测试单位具体情况编写测试步骤,明确指导测试人员的工作及关注点。举例1:控制点:会计主管定期审核银行存款调节表。测试方法:询问、检查测试步骤:询问:询问会计主管如何审核银行存款调节表,包括审核的主要内容、关注的差异金额、审核的频率,如发现问题如何处理;了解会计主管是否在调节表上签字,对异常项目的调查是否有处理记录。检查:检查调节表的签字、核对记录及对异常项目的处理记录。检查调节表上是否存在大额、长期调节项目,如有则核对是否已进行调查处理并上报相应管理层。,内部审计工作方法测试方法及工作底稿,测试步骤:举例2:控制点:公司每月进行存货全面盘点。测试方法:观察测试步骤:询问:询问会计主管如何审核银行存款调节表,包括审核的主要内容、关注的差异金额、审核的频率,如发现问题如何处理;了解会计主管是否在调节表上签字,对异常项目的调查是否有处理记录。观察:观察存货盘点过程,主要关注是否按职责分离原则分配工作、是否有财务人员参加、存货流动是否停止、存货是否整齐摆放、对长货龄存货是否单独摆放。观察盘点人员是否使用标准化盘点表并现场进行记录。,内部审计工作方法测试方法及工作底稿,测试步骤:举例3:控制点:税务主管检查纳税申报表计算的准确性。测试方法:重新执行测试步骤:重新执行:选取年末所得税纳税申报表,核对收入、成本、费用等申报数字是否与财务报表一致,检查所有调节项目的支持性文档,独立计算验证纳税申报数字的准确性。,内部审计工作方法测试方法及工作底稿,抽样:抽样是审计程序中的一个应用,它通过在同类样本总量中选取少于100%的个体来评价样本总量。抽样方法:统计抽样非统计抽样两种方式都被普遍应用并各有其优缺点。非统计抽样的三个关键步骤:1、确定控制测试的目的、样本总量和样本个体;2、确定样本量(包括对外部审计样本量的利用、对自动控制的具体考虑、扩大样本测试中的例外事项和指导方针,跟进审计中补偿性控制测试);手工控制-样本量决定于控制发生的频率和客户以及管理层对证据重要性划分。自动控制-如果已经完成了对计算机系统一般控制的检查,并显示控制有效,只需对此自动控制点进行一次测试来核实该控制确实有效。当发现的异常时,测试范围需参考手工控制的样本量。3、选择测试所需样本。,内部审计工作方法测试方法及工作底稿,样本量选择:内审部应根据审计项目的性质,对不同类业务制定样本量选择标准。以下为内部控制测试中手工控制的常规样本量选择表。,内部审计工作方法测试方法及工作底稿,抽样工具(举例)内审人员可以利用Excel等电子软件的功能选择样本。,内部审计工作方法测试方法及工作底稿,审计工作底稿:审计工作底稿是一种书面记录,它是获得结论的基础,可以用于支持在相关的报告中提出的发现和建议。审计底稿的三个主要用途:辅助审计工作的计划、实施和监督为检查审计工作质量提供基础为发现和建议提供主要支持审计底稿必须包括充足的信息,从而使一个没有接触过此项目的审计师可以:明白审计程序的种类、时点、范围和结果,以及所获证据和得到的结论了解工作的执行者和工作应完成的时间,以及完成检查工作的人和时间文档记录:你做了什么。文档记录:你是如何得出的结论。如果你没有对所做过的工作进行记录,那么几乎相当于你没有做。,内部审计工作方法测试方法及工作底稿,工作底稿需符合再执行标准项目文档记录必须遵照再执行的标准文档内容必须包括足够的信息,从而使一个有经验的审计师可以:明白测试性质、时点、范围和测试程序的结果、所获证据和结论了解由谁来执行和检查测试工作了解结论与事实的关系,内部审计工作方法,内部审计的工作方法基于风险的内部审计工作方法测试方法及工作底稿举例说明,内部审计工作方法举例说明,下面以本次对特冰公司内控审阅项目为例对内部审计工作程序进一步说明。我们遵循的是普华永道推荐的内审服务工作程序,公司应根据自身特点及内审部门职能制定内审项目工作流程。本次审阅的目的是了解关键流程、关键控制、评估内部控制的有效性并提供改进建议。根据项目目标及客户需求,我们主要分三阶段工作开展工作:,内部审计工作方法举例说明,计划阶段主要工作:初步了解公司情况识别主要风险明确具体审计范围人员安排,我们的方法:召开会议明确客户需求、签订业务约定书、确定总体时间安排。取得SAP流程清单。主要采取了“头脑风暴”的方法,与主要流程负责人召开研讨会,识别高风险领域并明确该环节涉及的流程。根据公司特有的组织架构及风险排序,明确审阅范围。,本次项目每一阶段主要工作任务、工作方法及工作成果如下:,主要工作成果:项目业务约定书。工作计划明确的审计范围37个业务流程及7个公司层面流程清单。访谈清单,内部审计工作方法举例说明,举例:详细的工作计划是项目有序进行的保证。工作计划主要包括:阶段工作目标主要成果各阶段主要任务人员安排时间计划具体见附件举例。,内部审计工作方法举例说明,举例:访谈时间安排是保障项目有效、有序进行的前提,下表为本次项目进行中的访谈安排计划。,内部审计工作方法举例说明,提示:在项目执行过程中,我们重点关注以下问题:管理层怎样判断他们用以评估业务表现、业务流程和控制的信息是可靠的?管理层怎样对流程和控制执行的有效性进行监督的?在关键风险管理方面,管理层的控制点是不是设计充分、完善并有效执行呢?在访谈过程中应充分考虑上述三点,以风险为出发点开展工作。具体访谈技巧在相关部分讨论。,内部审计工作方法举例说明,执行阶段主要工作:收集信息了解业务流程确认问题、进行评估,我们的方法:审阅SAP流程图、公司现有规章制度及控制流程文档。与流程负责人访谈。了解并记录流程内容。识别流程中的风险、控制目标及控制点。取得一个样本,确认控制的存在性。评估控制设计的有效性。,主要工作成果:每日访谈纪录。发现问题汇总。工作底稿。支持性证据。,内部审计工作方法举例说明,收集信息:文档记录可以有很多形式:流程图政策手册会计手册备忘录决策表相关报道归档的调查问卷控制文档中加有备注的流程图是最常见也是最有效的一种。,内部审计工作方法举例说明,了解业务流程:了解业务流程的过程中,我们需要明白交易发生的过程。这包括交易是怎样:开始的被记录的被授权的被进行的被报告的记录以上的整个过程可以使我们判断哪些控制需要进行评价。,内部审计工作方法举例说明,了解业务流程(续):了解业务流程的重要方法之一是现场访谈,为了保证工作的效率和效果,内审人员应在访谈前初步辨识公司风险及控制目标,阅读流程文档并理解控制点。由于特冰公司管理层未进行风险评估,公司的SAP流程图中存在大量将执行的控制点,我们仅以流程图作为了解的辅助资料。在测试开始前需准备工作底稿模板,我们初步辨识的风险,包括一般加工制造企业的通用风险和初步访谈了解的公司特有风险、控制目标及最佳实务中提供的参考控制点进行填列。以下是我们在访谈前对“原材料入库流程”初步辨识的风险及控制目标。,内部审计工作方法举例说明,举例:辨识风险及控制目标:“原材料入库流程”风险1:入库原材料质量不合格、数量不准确或未经有效授权控制目标1:原材料的质量、数量均经检验。控制目标2:收到的原材料(类型、数量等)与经审批的订单一致。风险2:材料入库记录不完整、不准确控制目标1:原材料入库记录准确、完整控制目标2:原材料入库期间记录准确控制目标3:只有经授权的人员才能记录财务及物资台帐风险3:入库环节缺乏职责分离,易导致舞弊风险。控制目标1:只有经授权人员才可执行入库验收。控制目标2:入库验收、实物保管实现职责分离。,内部审计工作方法举例说明,举例:原材料入库流程(续):根据已识别的风险,我们参考最佳实践标准和通用的控制措施确定可参考的控制措施,工作底稿参见下表:,内部审计工作方法举例说明,提示:提示1:在访谈了解业务流程之前通过阅读流程图及相关政策,初步理解潜在风险及控制目标是以风险为导向的审计工作方法的重要步骤。提示2:在现场访谈测试前应根据已辨识的控制制定测试步骤。提示3:根据现有流程文挡初步评估控制设计的有效性,对可能存在的控制不足或缺失进行标注记录,在现场测试时进一步理解。由于本次项目开始前公司尚无完备的流程文档,未清晰阐述现有控制,提示2、3未充分体现。但对今后其他项目可参考上述因素。,内部审计工作方法举例说明,了解业务流程:访谈访谈原则上要求就实施控制的每个岗位进行访谈,以确保获取最直接的信息。但如果能够肯定判断从一个或几个岗位上访谈所获取的信息已经足够支持测试所需要了解的内容和信息,那么根据被测试单位的实际情况,可以不用访谈每个岗位。可以将同一部门或岗位执行的控制合并进行访谈,以便提高工作效率。访谈过程中应充分考虑风险因素。在访谈过程中应充分考虑提问的方式,多提open question,尽量引导被访谈人进行流程描述,尽量避免仅需回答yes or no的问题。访谈往往可以与其他测试方法同时进行。我们不能仅相信控制执行人所说的,还需要检查支持性文档或现场观察被访谈人员操作,以确认访谈了解的内容是否与实际一致,即控制正在被执行。,内部审计工作方法举例说明,提示:在访谈过程中,可以询问以下问题:管理层或执行人员认为该业务环节中通常会存在哪些风险,怎样发现风险?如何防范风险?以前在工作中曾经发生过什么样的问题?问题如何处理和解决的?对相关业务如何进行控制?对相关业务有什么样的制度规定?具体内容是什么?如何执行?是否知道业务环节如何前后衔接?是否曾被要求违反规定业务流程和控制制度?如果有,其具体情况是什么?如何确保该业务被准确记录?是否出现过问题,如何处理?上面给出的问题是给大家的一个提示,在实际的工作中,应从风险和控制目标出发,根据自己的经验,结合专业判断,运用合理有效的访谈的方法,理解流程并识别相关控制。,内部审计工作方法举例说明,提示:访谈过程中应注意:避免先入为主,完全按公司政策或流程描述进行提问。避免过多结论性问题,应尽量引导被访谈人员介绍日常工作。如仅按公司政策提问“订单是否由经理审批?”则可能得到的回答为“是”;但如果提问“订单如何下发?需要由何人审核?是否签字”则可能得到更明确的答案。考虑风险因素,在访谈过程中充分理解控制执行的有效性。即了解岗位执行人员对其所实施的控制执行是否到位,对所要控制的对象是否理解或对其所包含的内容是否明确。如提问执行人“如何进行核对?”“检查哪些内容?如果发现问题如何处理”等。在现场检查支持性文档或观察操作,结合文档或实际演示能提高访谈的效果和效率。,内部审计工作方法举例说明,举例:访谈以下为对原材料入库流程访谈过程中提出的主要问题:业务如何被发起的:即了解流程的起点,业务发起人。问题举例:入库信息如何传递给JIT或供应商,即如何确保到货时间的及时性?是否存在无送货通知单即收到材料的情况?如何处理?是否存在无订单货物?到货不及时或到货过多(超过需求数量)存在哪些风险?如何确保送货的准确及时?如出现问题会如何处理?业务如何被授权的?采购订单是否经管理层审批?如何确保入库数量与采购订单一致?是否存在采购订单与入库数量不一致的情况?如何进行处理?是否需经管理层审批才可接受?业务如何被进行的?实物交接过程中出现过哪些问题?是否经常发现存货损毁等情况,如何处理?是否有标准化的实物验收、入库流程,相关操作人员是否了解并执行?验收入库环节是否有第三方参与?是否可形成职责分离、相互监督?,内部审计工作方法举例说明,举例:访谈(续):业务如何被记录的:物资台帐财务明细账由哪些部门维护?物资台帐财务帐的记录依据是什麽?何时登记?何人审核以确保准确性?是否存在标准化制度以规范记账过程?是否存在帐实差异?如何进行处理?财务部门如何监控物资台帐记录的准确性?业务如何被报告的?管理层是否定期审阅存货报告并对异常项目进行分析调查?执行人员是否及时将异常事项报告管理层?如何进行处理?,内部审计工作方法举例说明,了解业务流程:记录访谈结果应及时在工作底稿中进行记录,访谈记录的基本要求记录事实(5W1H)包括:人员:出席人员或参与者(who)事件:记录事件的背景、情景、实质(what)时间与地点:事件发生的时间以及地点(when&where)原因:是否首先记录了事件发生的原因(why)过程:记录我们得到结论的方法(how)具体记录方法,请参见下页“原材料入库流程”的工作底稿。,内部审计工作方法举例说明,内部审计工作方法举例说明,控制设计评估:需要考虑以下因素:关键风险(包含对COSO五要素的考量)能够预防或发现舞弊的控制(包括相关的职责分离)涉及财务报告、合规性和日常运营流程方面的控制涉及资产安全方面的控制采用COSO框架可以更好的评价内部控制。包括评价以下三方面的关系:目标风险控制,内部审计工作方法举例说明,评价对COSO框架的利用-控制目标,内部审计工作方法举例说明,评价对COSO框架的利用-风险了解风险是我们评价内控的关键。这可以让我们明确控制失效所带来的影响。实质上我们需要思考“什么地方可能出问题?”,内部审计工作方法举例说明,评价对COSO框架的利用-控制评价某一个具体控制点设计得是否充分有以下标准:此控制是否能够对应一个控制目标及相应风险此控制是否能够有效的达到既定目标(例如,该控制点是否采用合适的频率或者精确度)管理层是否贯彻执行了该控制评价某一个具体控制点的有效性需要考虑以下方面:控制和风险的对应结合控制的性质,如事后评估考核的控制有效性低于事前审批稽核控制。企业的追加工作控制发生的频率控制执行的期间通常情况下我们会综合所有审计工作中获取的可参考证据,以评估相关控制。,内部审计工作方法举例说明,对控制设计有效性的评估过程,内部审计工作方法举例说明,举例1:存货入库流程风险:材料入库记录不完整、不准确。控制目标:原材料入库记录准确、完整。现有控制:到货验收无误后登记台帐。发现问题:由于SAP系统目前尚未完全实现物资台帐功能,特冰事业部成本办负责维护手工台帐;但由于缺乏标准化流程,各生产车间成本经理手工登记的台帐不规范,未能区分登记原材料、在产品及产成品,未记录前一工序传递来的在产品;由此导致原材料记录不准确。是否存在补偿性控制:否结论:控制不足,内部审计工作方法举例说明,举例2:在产品管理流程风险:在产品、半成品记录不准确,可能导致资产丢失、损毁无法发现,同时导致财务记录不准确。控制目标:在产品、半成品的移动被准确记录。现有控制:各工序成本经理登记物资台帐。发现问题:同一生产车间不同工序间实物流转缺乏标准化单据,登记物资台帐不准确、不完整,成本办未定期对所有台帐记录进行审核,各工序台帐未进行核对。如特冰公司板金车间各工序间的物料转移不填写单据作为记帐依据;总装车间T-1区台帐记录的材料出库数与生产工序记录不一致的情况。由于生产需求与半成品送料无法时时匹配,对已接收的半成品不进行记录则无法及时发现物资缺失或非正常损耗。如发泡车间未对前工序板金车间送来的半成品进行记录,仅依赖工位生产人员对实物的管理。各生产车间未按期核对台帐,无法及时发现在产品传递差异。是否存在补偿性控制:是,成本办、定单处人员不定期审核各工序台帐。是否足够:否结论:控制不足,内部审计工作方法举例说明,完成阶段主要工作:汇总发现问题并向流程负责人确认。拟定报告初稿。与管理层讨论并获却反馈。报告定稿。,我们方法:汇总问题,在项目小组内讨论,确认大家理解一致并识别可能存在的补偿性控制。经理审阅工作底稿及发现问题汇总。与客户管理层会晤,获得反馈信息。,主要工作成果:发现问题汇总。报告初稿。阶段性总结会议议程报告。,内部审计工作方法举例说明,举例:发现问题汇总模板各项目小组应根据项目目标、复杂程度及需要准备模板。,内部审计培训,内部审计的定义和发展趋势内部审计的工作方法内部审计质量控制舞弊识别,内部审计质量控制,内部审计标准及工作规范全面的审计质量控制程序定期的考核评估,内部审计质量控制内部审计标准及工作规范,确定内部审计标准内审部门应确立需遵守的职业标准,采取广为接受的审计方法,并按标准要求开展工作。可参考文献但不限于:国际内审协会颁布的内部审计实务标准中国内审协会颁布的中国内部审计准则,内部审计质量控制内部审计标准及工作规范,结合公司情况制定标准化、规范化的工作规范或流程是确保审计质量的前提,具体包括:针对不同业务类型的审计工作程序,如经济责任审计、内部控制审计、经营效率审计、信息系统审计等。明确定义每类审计业务的性质及范围制定审计工作流程制定审计方法及抽样原则制定标准华的工作底稿模板,包括项目计划书、工作底稿、内审报告模板、后续追踪调查模板等。制定标准的审计档案管理制度。定期对工作规范进行评估更新。,内部审计质量控制,内部审计标准及工作规范全面的审计质量控制程序定期的考核评估,内部审计质量控制,建立全面的审计质量控制程序,全面的审计质量控制的方式主要包括:内部评价:日常监督:是保证审计质量的基础,日常评估包括项目进行中的多级复核、内审人员表现的日常评价等。定期评估:审计部门自我评估 被审计单位或高级管理层评估外部质量监督:当遵循独立、客观原则,并具有评价工作所需要的专业胜任能力。外部监督的选择途径主要包括:会计师事务所管理咨询公司其他外部监管机构,内部审计质量控制,内部审计质量质量控制的内容主要包括:审计机构质量控制和审计项目质量控制审计机构质量控制:审计部门组织架构的合理性审计部门汇报路线及与其他部门沟通交流的顺畅性审计人员职业职业道德规范遵守情况审计人员的充足性及胜任能力审计工作流程与实务操作标准的适当性年度审计计划的完成情况审计报告的使用效果审计质量的内部考核与评价体系的合理性与执行情况,内部审计质量控制,内部审计质量质量控制的内容主要包括:审计机构质量控制和审计项目质量控制审计项目质量控制是指在实施具体项目时应当对拟定计划、审计实施、报告撰写、后续跟进、底稿编制和档案管理等全过程进行质量控制,主要包括:监督审计计划的执行。对审计计划、工作底稿、审计报告及后续跟进报告形成分级复核制度,由审计组长、项目组长、或审计部门负责人按文档重要程度进行层级审核。对审计人员工作的进行指导,保证审计工作按规范和程序进行。建立部门内部监督检查机制,内审主管定期组织合格的内部人员对不同项目进行抽样检查。,内部审计质量控制,内部审计人员考核指标(KPI):合理的内审人员考评指标是审计质量控制的重要环节,以下举例为普华永道提供咨询服务时考虑的主要方面:在与管理层事先约定的期限内递交报告。按计划安排准确完成现场工作。及时与被审计单位沟通,对被审计单位的要求或意见提供反馈。在项目开始前培训所有参与人员。遵守保密原则,除获得客户特殊许可,不将客户的经营、财务等相关信息泄露给第三方。就工作质量与管理层进行沟通,获取客户反馈,如打分表等。,内部审计质量控制,内审服务人员考核指标(KPI)举例:合理的内审人员考评指标是审计质量控制的重要环节,主要可考虑如下方面:,内部审计质量控制,内审服务人员考核指标(KPI)举例(续):,内部审计质量控制,内审服务人员考核指标(KPI)举例(续):,内部审计培训,内部审计的定义和发展趋势内部审计的工作方法内部审计质量控制舞弊识别,舞弊识别,舞弊的定义及诱因舞弊的影响如何预防、发现舞弊,舞弊识别舞弊的定义及诱因,舞弊:舞弊是指采用欺骗、欺诈等违法违规手段,损害或谋取公司利益,可能为个人带来不正当利益的行为。其特点是:是非暴力的非法获得经济利益通过隐蔽、欺骗的手段在公司中被称为“白领犯罪,舞弊识别舞弊的定义及诱因,舞弊的主要表现形式:导致虚假财务报告不实的故意行为挪用、侵占资产以欺诈手段获得收入或资产,如收受贿赂、回扣以欺诈手段避免成本费用支出高级管理层不正当融资,舞弊识别舞弊的定义及诱因,舞弊三角:舞弊发生的诱因,诱因:对物质的贪欲对金钱的需求机会被发现的可能,舞弊识别舞弊的影响,尽管挪用资产是目前最为普遍的舞弊形式,但财务报表作假对财务系统的影