風險導向內部審計課件

風險導向內部審計

若干基礎問題主講人：嚴暉管理學（會計學）博士廈門大學會計系審計教研室主任中國內部審計協(xié)會準則委員會委員兼秘書1Copyright?2009,yanhui,sm,xmu.風險導向內部審計

若干基礎問題主講人：嚴暉1Copyrig主要內容一、內部審計模式的歷史演變二、風險導向內部審計的基本理念三、風險導向內部審計實務簡介四、風險導向內部審計的新要求2Copyright?2009,yanhui,sm,xmu.主要內容一、內部審計模式的歷史演變2Copyright?20內審人員在行動……世界通信（Worldcom）公司驚天會計丑聞的揭露－－三位內審人員被譽為三個火槍手3Copyright?2009,yanhui,sm,xmu.內審人員在行動……世界通信（Worldcom）公司驚天會計丑杜邦公司內部審計創(chuàng)新－－內審系列產品的提供－－內審被譽為公司變革的推進器4Copyright?2009,yanhui,sm,xmu.杜邦公司內部審計創(chuàng)新－－內審系列產品的提供4Copyrigh內審究竟應當以財務、合規(guī)作為關注的重點，還是應當以經營、管理的效率效果為關注的重點？5Copyright?2009,yanhui,sm,xmu.內審究竟應當以財務、合規(guī)作為關注的重點，還是應當以經營、管理一、內部審計模式的歷史演變1、財務導向內部審計對象：財務事項，會計記錄目標：查錯防弊職能：監(jiān)督6Copyright?2009,yanhui,sm,xmu.一、內部審計模式的歷史演變1、財務導向內部審計6Copyri2、業(yè)務導向內部審計對象：業(yè)務活動，內部控制目標：興利職能：評價7Copyright?2009,yanhui,sm,xmu.2、業(yè)務導向內部審計7Copyright?2009,yanh3、管理導向內部審計對象：管理活動和決策目標：高層次的興利職能：評價8Copyright?2009,yanhui,sm,xmu.3、管理導向內部審計8Copyright?2009,yanh4、風險導向內部審計（1）20世紀末企業(yè)管理實踐特點：信息技術；全球化經營；以顧客為中心，從大規(guī)模生產轉向個性化定制9Copyright?2009,yanhui,sm,xmu.4、風險導向內部審計9Copyright?2009,yanh（2）20世紀末流行的管理理論戰(zhàn)略管理理論企業(yè)再造理論

10Copyright?2009,yanhui,sm,xmu.（2）20世紀末流行的管理理論10Copyright?200（3）傳統(tǒng)內審存在的問題進行的是事后評價，沒有面向未來著眼于管理決策，并非根本無法成為企業(yè)價值鏈上一個環(huán)節(jié)風險導向內部審計的目標：增值11Copyright?2009,yanhui,sm,xmu.（3）傳統(tǒng)內審存在的問題11Copyright?2009,y結論：內審應當像一面鏡子，隨著企業(yè)的變化而變化12Copyright?2009,yanhui,sm,xmu.結論：內審應當像一面鏡子，隨著企業(yè)的變化而變化12Copy二、風險導向內部審計的基本理念1、國際內部審計協(xié)會對內部審計的定義舊定義：內部審計是在一個組織內部建立的一種獨立的評價活動，并作為對該組織的活動進行審查和評價的一種服務。內部審計的目的是協(xié)助該組織的管理成員有效履行他們的職責。新定義：內部審計是一種獨立、客觀的確認工作與咨詢活動，它的目的是為機構增加價值并提高機構的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進行評價，提高它們的效率，從而幫助實現(xiàn)機構目標。13Copyright?2009,yanhui,sm,xmu.二、風險導向內部審計的基本理念1、國際內部審計協(xié)會對內部審計2、風險導向內部審計邏輯順序

傳統(tǒng)內部審計的邏輯順序：注重內控的審查并提出改進建議導致的結果：控制的層次累加和冗余；增值過程的障礙了解確定內控評估風險評價對組織目標的影響14Copyright?2009,yanhui,sm,xmu.2、風險導向內部審計邏輯順序

了解確定內控評估風險評價對組織風險導向內部審計邏輯順序：注重事前的風險分析、評價風險管理機制，協(xié)助改進導致的結果：適當?shù)摹⒂嗅槍π缘目刂茖L險控制在可接受水平內，并愿意冒一定風險從而抓住機會－－增值組織目標評估風險確定內控，風險管理15Copyright?2009,yanhui,sm,xmu.風險導向內部審計邏輯順序：組織目標評估風險確定內控，風險管理3、內部審計的職能監(jiān)督評價確認與咨詢查錯防弊興利增加組織價值16Copyright?2009,yanhui,sm,xmu.3、內部審計的職能監(jiān)督評價確認與咨詢查錯防弊興利增加組4、增值型內審的特征第一，內部審計人員有著廣泛的專業(yè)面第二，挑戰(zhàn)性的工作環(huán)境第三，根據(jù)組織結構協(xié)調內審業(yè)務第四，進行參與性的、高質量的、實時的風險評估第五，內部審計服務形成了系列產品17Copyright?2009,yanhui,sm,xmu.4、增值型內審的特征17Copyright?2009,yan美國杜邦公司內部審計8大產品風險系統(tǒng)實施審查改善經營過程內部控制教育內部控制評價咨詢自我評價過程審計調查18Copyright?2009,yanhui,sm,xmu.美國杜邦公司內部審計8大產品風險系統(tǒng)實施審查改善經營過程內部三、風險導向內部審計實務簡介流程：

計劃――實施――報告――后續(xù)審計19Copyright?2009,yanhui,sm,xmu.三、風險導向內部審計實務簡介流程：19Copyright?2確認識別組織風險組織的戰(zhàn)略規(guī)劃組織的年度計劃單項工作目標組織的審計規(guī)劃年度審計計劃評價經營管理活動具體的經營管理活動內控確定組織目標1、內部審計年度計劃的制定－－根據(jù)組織風險，切合組織戰(zhàn)略規(guī)劃20Copyright?2009,yanhui,sm,xmu.確認識別組織風險組織的戰(zhàn)略規(guī)劃組織的年度計劃單項工作目標組織2、內審年度計劃例示（1）將組織細分為不同的情況分公司、工廠、商店、廠房資產等座落地點；與每一地點或每一營運類型相關的總金額；各種活動、營運作業(yè)與過程的復雜性；審計部門可供使用的人力資源；管理階層的關心程度；功能性的組織單位；交易循環(huán)；決策中心21Copyright?2009,yanhui,sm,xmu.2、內審年度計劃例示（1）將組織細分為不同的情況21Copy（2）重要風險識別

內控系統(tǒng)質量管理人員能力管理人員道德單位的規(guī)模會計系統(tǒng)近期變動經營業(yè)務復雜程度要職人員的近期變動資產的流動性單位經濟環(huán)境的惡化快速增長業(yè)務處理的電子化程度距離上次內部審計的時間間隔管理人員對完成目標的壓力政府法規(guī)的影響員工的士氣注冊會計師的審計計劃對公眾的公開程度與總部（母公司）的距離22Copyright?2009,yanhui,sm,xmu.（2）重要風險識別

內控系統(tǒng)質量快速增長22Copyrigh（3）風險的量化及排序內控管理人員能力管理人員道德會計系統(tǒng)變動資產流動性風險總分排序A31251124B1112166C45454221D52252162E23152133F2212310523Copyright?2009,yanhui,sm,xmu.（3）風險的量化及排序內控管理人員能力管理人員道德會計系統(tǒng)變（4）考慮審計資源次序部門估計審計工時累計審計工時1C1401402D802203E2204404A1606005F1609606B390135024Copyright?2009,yanhui,sm,xmu.（4）考慮審計資源次序部門估計審計工時累計審計工時1C140（5）加拿大貝爾電訊公司的經驗1、將風險評定與核心流程相結合2、將審計資源分配到核心流程審計中（6）澳洲航空公司的經驗25Copyright?2009,yanhui,sm,xmu.（5）加拿大貝爾電訊公司的經驗25Copyright?2003、風險識別與風險評估（1）內部審計何時運用風險識別及風險評估技術在制定年度審計計劃時需要進行風險識別及風險評估，從而與企業(yè)戰(zhàn)略以及風險管理系統(tǒng)相協(xié)調，著重關注風險嚴重的領域在協(xié)助企業(yè)建立風險管理機制時，需要引領企業(yè)管理人員進行風險識別與評估在進行風險管理審計時，需要評估企業(yè)風險識別與評估的有效性26Copyright?2009,yanhui,sm,xmu.3、風險識別與風險評估（1）內部審計何時運用風險識別及風險評設定各層級目標風險識別風險評估確定風險回應策略及具體的控制活動監(jiān)控持續(xù)監(jiān)控內部審計27Copyright?2009,yanhui,sm,xmu.設定各層級目標風險識別風險評估確定風險回應策略及具體的控制活（2）風險識別風險是指影響目標實現(xiàn)的各種潛在事項定義：風險識別是指從影響目標實現(xiàn)的內部或外部因素中識別潛在的事項。關鍵點：結合特定的目標識別風險28Copyright?2009,yanhui,sm,xmu.（2）風險識別28Copyright?2009,yanhui外部因素：與經濟有關的因素－－價格變動、市場競爭等；自然環(huán)境因素－－能源、自然災害等；政治因素－－立法、政策等；社會因素－－社會習俗、消費者行為等；技術因素－－電子商務形式等；……內部因素：組織結構；人員素質－－員工能力、職業(yè)道德等；流程－－流程設計、運作效率等；產品技術；財務狀況；……29Copyright?2009,yanhui,sm,xmu.外部因素：內部因素：29Copyright?2009,yan風險類別例示：市場風險、經營決策風險、違反法律法規(guī)風險、財務報告失真風險、資產安全風險、舞弊風險等兩個例子分別說明企業(yè)整體戰(zhàn)略層面的風險識別以及在具體業(yè)務層面的風險識別30Copyright?2009,yanhui,sm,xmu.風險類別例示：30Copyright?2009,yanhui風險識別的方法：研討會或訪談頭腦風暴法內部分析損失事項數(shù)據(jù)庫方法……31Copyright?2009,yanhui,sm,xmu.風險識別的方法：31Copyright?2009,yanhu風險識別的結果：形成典范的風險地圖（或稱之為風險詞典，風險目錄等）風險地圖中列示了企業(yè)自上而下從整體到具體業(yè)務部門的風險32Copyright?2009,yanhui,sm,xmu.風險識別的結果：形成典范的風險地圖（或稱之為風險詞典，風險目（3）風險評估定義：通過考慮風險發(fā)生的可能性以及風險后果的嚴重性來對其加以分析，并以此作為決定如何進行風險管理的依據(jù)關鍵點：綜合考慮可能性以及嚴重性兩方面33Copyright?2009,yanhui,sm,xmu.（3）風險評估33Copyright?2009,yanhui風險評估的方法：定性評估或定量評估定性評估：可能性：高－中－低嚴重性：大－中－小定量評估：可能性：用概率來表示嚴重性：用損失金額或者分值來表示34Copyright?2009,yanhui,sm,xmu.風險評估的方法：34Copyright?2009,yanhu風險評估的結果要和后續(xù)的決策掛鉤風險評估實際上要進行兩次，一次針對固有風險，一次針對剩余風險固有風險：尚未采取任何風險管理措施前的風險剩余風險：根據(jù)對固有風險評估的結果采取風險管理措施后剩余的風險風險管理的目標：將剩余風險控制在企業(yè)能接受的范圍之內35Copyright?2009,yanhui,sm,xmu.風險評估的結果要和后續(xù)的決策掛鉤35Copyright?20風險1風險5風險4風險2風險3風險8風險7風險6發(fā)生的可能性后果的嚴重性36Copyright?2009,yanhui,sm,xmu.風險1風險5風險4風險2風險3風險8風險7風險高沖擊(成本)低沖擊(成本)高概率低概率容忍和控制預防和控制忽略保險或后備計劃37Copyright?2009,yanhui,sm,xmu.高沖擊(成本)低沖擊(成本)高概率低概率容忍和控制預防和控制招商銀行Young信用卡風險評估示例38Copyright?2009,yanhui,sm,xmu.招商銀行Young信用卡風險評估示例38Copyright?4、風險導向內審與企業(yè)風險管理內部審計在進行年度計劃時需要與企業(yè)戰(zhàn)略以及風險管理系統(tǒng)相協(xié)調，著重關注風險嚴重的領域內部審計在風險管理審計中所扮演的角色從事后的確認及評估延伸至及時（事前及事中）的顧問和咨詢企業(yè)沒有建立風險管理機制時，內審推進風險管理機制的建立－－咨詢服務企業(yè)已建立了風險管理機制，內審為風險識別、風險評估、風險反應等提供專家建議－－咨詢服務企業(yè)風險管理機制運行中，內審評估其有效性－－確認服務39Copyright?2009,yanhui,sm,xmu.4、風險導向內審與企業(yè)風險管理內部審計在進行年度計劃時需要