内部审计讲座2014

内部审计理论与实务西南财经大学吕先锫教授“内部审计这棵大树扎根于古代，只是到了近代才开始开花结果。”

“内部审计之父”—劳伦斯·索耶

一、内部审计的角色与地位《时代》杂志2002年度新闻人物2002年度:美国世界通讯的辛西亚·库珀(1963),安然事件的莎朗·沃特金斯(1959),及美国联邦调查局的科琳‧罗利（1954）

美国世通公司是任何倒下的内部审计揭开了世通公司的黑幕英国近代内部审计的产生19世纪末，在一次次经济危机的严重打击下，深受股份公司破产之苦的股东和债权人强烈要求对企业的会计记录和资产管理加强监督。为了满足这些正当的要求，英国议会于1844年率先制订公司法，从法律制度上明确要求企业设监事之职，行使内部审计之权，从而初步确立了近代内部审计制度。

德国内部审计的产生在19世纪末，德国克虏伯公司在军火工业中占据着统治地位，它是一个将采煤、冶金、机器和军火生产合为一体的巨大康采恩。1875年，该公司也实行了内部审计制度。该公司的审计手册指出：

审计人员应确定是否正确地遵循了法律、合同、政策和程序；企业的所有业务是否符合所确定的政策，并取得成功。就此而论，审计人员应提出建议，以改进现存设备和程序，并以改进管理的建议方式，对合同加以批。

这表明，该公司已配备审计人员，并初步实施了合规审计和经营审计。美国内部审计的产生

在美国，铁道部门是最早认识到审计的必要性并建立内部审计制度的行业。它们在19世纪末就配备了内部审计人员，负责巡视各铁路售票机构、检查现金记录的正确性，故这些审计人员亦称“巡回审计师”。约在1919年，美国一家大型铁路公司就曾利用内部审计人员对餐车业务进行了财务审计和经营审计。这些审计人员在审计报告中不仅揭露了工作差错和舞弊行为，而且详细列举了浪费现象。日本内部审计的产生日本在明治和大正时代，就出现了实行内部审计的公司。审计人员不仅进行财务审计，也进行经营审计。当然，这种经营审计大多数不是为了健全现代化的管理制度，而是带有对经济管理的效果进行评价的性质。其审计方式主要包括：由总公司派出检查人员进行审计由商法规定的监事实行内部审计由专职内部审计部门进行审计由兼职内部审计师进行审计临时进行内部审计工作内部审计是干什么的内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。（1947年）内部审计是干什么的内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其他控制有效性的管理控制。（1971年定义）内部审计是干什么的内部审计是一项独立、客观的保证和咨询活动。其目的在于增加价值和改进组织的运作。它通过系统化和规范化的方法，评价和改进风险管理、控制和管理过程的效果，帮助组织实现其目标。（

1999年）第1101号—中国内部审计基本准则第二条

本准则所称内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。第1101号—中国内部审计基本准则第十五条内部审计人员应当深入了解被审计单位的情况，审查和评价业务活动、内部控制和风险管理的适当性和有效性，关注信息系统对业务活动、内部控制和风险管理的影响。审什么审交易→审制度→审风险→审动机审人还是审事15

富有成效的内部审计对企业的价值意味着什么？1、真实信息的价值2、公司治理价值3、信用价值4、风险管理与内控价值5、管理的协同价值6、资源与资产价值7、企业文化价值8、人本价值9、社会价值10、战略价值——武钢决策层对内部审计的十项价值发现如何理解内部审计内审部门是一个为企业提供自我评价和内部咨询的团队内审部门在企业中是独立且客观的内审部门是为企业增值并完善内部运作而设立的部门

要善于发现问题,更要善于解决问题对被审部门抱信任态度,与他们讨论审计目标、审计内容、计划采取某些审计程序的理由,取得其理解和支持征求被审部门的意见,寻求他们的合作与当事人讨论审计中发现的问题,共同分析改进的必要性和探讨改进的可行措施采取口头、非正式形式向被审部门报告期中审计结果,及时就地解决存在的问题,以避免发生更大的损失审计报告采用建设性的措辞,重点放在分析问题产生的原因和可能造成的影响、指出改进的可能性和改进措施上。内部审计的重要性取决于公司规模业务的复杂程度管理区域增加价值

增加价值——机构的设立，是为其所有者、其他利益关系方、顾客和客户创造价值或谋取利益。他们通过开发产品和服务，利用资源推出这些产品和服务来提供价值。内部审计师在收集资料、认识并评价风险的过程中，对经营与改良时机产生了深刻见解，这些见解可能会对机构带来诸多利益。这些有价值的信息可以以咨询、建议、书面报告或通过其他产品的形式呈现出来，所有这些都应传达给相应的经营管理人员。存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议……...……….内部审计在企业中的角色和职能企业内部活动的监督者防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计人员风险管理咨询

保护资产

遵守政策、机会、程序和法律法规

既定目标的完成情况欺诈是如何发生的怎样改正内部控制中导致欺诈的缺陷如何杜绝未来欺诈的发生（比发现欺诈更好的是通过有效的控制防止欺诈）内部审计在企业中的角色检查企业内部活动预防错弊监控企业的运作

内部控制系统的有效性和完整性信息的可靠性和一致性有效地运用资源

制定经营标准

根据经营标准评价效率

识别并报告低效使用内部审计在企业中的角色监控企业运作和资源使用的效率和效果从监管机构和投资者的角度企业管理和风险管理框架里不可缺少的要素监管要求-降低违规风险,保障投资者权益投资者-企业内在的自我监督和完善内控机制从董事会和审计委员会的角度反问:公司的流程和控制有效吗?–没有问题暴露=没有问题发生?建立制度只是规范管理的第一步，往往问题发生在日常操作过程中–专责部门监督执行–加强推行力度协助董事会及审计委员会执行监察的职责从管理层的角度业务和风险不断变化，现有的流程和控制是否还合适？业务单位能客观的对自身的,内控程序有效性进行评价吗？内部审计与被审管理层的关系独立合作、帮助，而非对立发现事项、改进建议须得到管理层的认同，而非命令内审的价值不仅是发现问题，而是协助管理层解决问题内部审计与董事会组织的董事会对管理负最终的责任。董事会设立经营目的，这些目的指导应怎样设计和监视控制系统。不同管理层次的作用在组织内部相互影响，依次产生检查和平衡的关系。这种关系产生了内部审计独立于经营管理的需要，因为任何比董事会低的管理部门都会出现和系统目标相反的行动。内部审计与审计委员会审计委员会——与董事会的联络者。有外部董事参加的审计委员会的产生，进一步增强了内部审计人员相对于管理部门的独立性。审计委员会和内部审计部门的联系越强，审计检查和报告的独立性和结果的客观性就越大。审计委员会至少要负责审计部门主管的雇佣、提升和报酬。指导内部审计部门的发展是审计委员会的主要职责，审计委员会也应批准审计政策、标准和规章。作为内部员工，由管理层选派指定作为外部聘请的专业人员，由股东大会选派指定由管理层决定需要由注册会计师协会及其他资格认定机构确定只有作为内部职工的权利由相关法律规定由管理层决定，如防错纠弊、效率考察等对财务报表发表真实公允的审计意见由管理层决定不应受到任何限制对审计委员会、董事会或其他内部机构,不具鉴证作用对董事会或股东大会报告,所出具报告具有鉴证作用仅独立于被审计的机构既独立于委托人,又独立于被审计机构内部审计与外部审计的比较内部审计的独立性独立性概念是审计的本质特征，是审计得以存在的根本。

受托责任

上级管理者（所有者）

下级管理者

审计者内部审计的独立性单纯强调独立于管理部门通常被认为是内部审计人员最为重要的属性，但是对该属性的强调会导致内部审计人员与企业管理层之间的敌对关系，造成内部审计人员与任何经营管理活动都要“划清界限”。

内部审计的独立性

IIA2001

对内部审计的定义：“独立、客观”取代了此前六十年所有定义中都没有改变的“独立”。前者指内部审计机构的独立性：确定审计范围、实施审计程序、报告审计结果时不受干扰后者指内部审计人员的客观性：有公正的态度，不偏不倚，避免利益冲突。独立性的价值独立性与服务发生的环境有关，环境中没有任何破坏客观性的利益冲突，反映的是审计小组和个体所处的环境，包括个人环境和总体环境。独立性的价值在于它创造了使内部审计人员保持最客观性的环境。客观性的实质与评估、判断以及决策质量有关，是保持一种不偏不倚的精神状态，反映的是内部审计小组和个体的特征。审计师个人的客观性

客观性要求内部审计师在开展审计工作时，对他们的工作成果要有一种诚实的信条，而且不作重大的质量妥协。不得将内部审计师置于他们感觉无法做出客观的专业判断的处境中。在为员工分配职责时，应避免潜在的或实际出现的利益冲突和偏见。审计执行主管应该定期从内部审计职员中获取有关潜在利益冲突和偏见的信息。在可行的情况下，内部审计师被指派的工作应定期轮换。

审计师个人的客观性在提交有关的审计报告之前，应该审查内部审计工作的结果，以合理保证审计工作的客观进行。内部审计师接受公司雇员、客户、顾客、供应商或有工作关系的人员的酬金或礼物都是不道德的。审计师的客观性可能出现因接受酬金或礼物而受损的表象。这种表象不论在审计师目前的或未来的审计工作中都有可能出现。接受一些一般公众都能得到的或价值极小的宣传性的物品(例如钢笔、年历或样品等)不应该阻碍内部审计师的专业判断。如果有人提供数目很大的酬金或贵重的礼品时，内部审计师应立即向领导报告。案例背景离开原来工作的单位正好三个月，想了些曾经的工作故事，有个事情说起来，供朋友们共享。在我离开公司大约10天的时候，接到一个子公司老总的电话，以下是我们的对话语录。对话从子公司老总开始：“zhihui，您好，现在在哪啊？”“您好，我在长沙。”“哦，还在湖南嘛，那还是低头不见抬头见的。”“是的，当然有很多机会可以见面拉，您有什么事吗？”“是这样的，公司审计部对我作了个通报批评，虽然你现在不在公司了，但审计是你在公司期间做的，我想问问你为什么？”“*总，事情应该这样说，通报批评是公司行政部的作为，审计部没权利对你进行任何处罚，只有建议权。”“可他们都说这个文件是审计部做出来的。”“我再次跟你说，审计部不会对任何人作出处罚，我们的文件就是审计报告，审计报告是征求了被审单位意见的，我们所写的审计问题也是你认可了的。”“审计报告我是看过了，但这些问题都是你们写的，例****#####……”该公司老总重新对已落定的问题进行辩解。我冷静听完：“*总，我们所写的每个审计发现都是获取了充分证据的，如果你觉得有问题，你可以申请复审啊。”对方沉默了一下，然后说：“即便有这些问题吧，十四个分子公司都做了审计，我不相信哪个公司没任何问题。我的这些问题又不是很严重的事，为什么十四个地方，单单对我们分公司作通报批评？而且是对我个人？”“*总，问题又回到开始了，我说了处罚的事不是审计部的范围，你应该去问行政部或公司领导，既然是对分公司总经理的处罚，肯定有领导审批的。”“我打了电话给大老总了，他说要我觉得有问题就写申诉文件上去。”说到这里，我终于笑了，我说：“那你就按领导意思，写申诉文件啊，不过我提醒你一句的是，正像你所说的，为什么十四个地方，单单通报批评您一个人，请三思哦！”“……”结束语：然后挂了电话，至今没有再打过电话来。故事背景：当时在做该分公司审计时，正好集团常务副总到该分公司检查工作，并约了该分公司各部门负责人单独谈话，完了后对该分公司老总很不满意，交代我审计要从严。审计报告出来后，常务副总批阅：……对分公司总经理***进行全省通报批评。于是我们写了处理建议，交行政部下发了。二、内部审计是内部控制的重要组成部分

巴塞尔银行监管委员会认为：高效、完善的内部审计体系是商业银行内部控制系统运转正常的重要保障。安然公司：背景情况安然是一个什么样的公司？成立于1985年，由当时的休斯敦天然气公司和北联公司合并而成。主要业务：天然气管道生产和运输；电力生产和传送。能源产品的期货、期权和其他大宗商品（天气预报、通讯带宽）衍生交易市场，占据了新型能源交易市场的垄断地位。经营业务覆盖40多个国家和地区，为全球最大的能源供应商和商品交易商。雇员2万余人。安然公司：背景情况1998-2000年公司营业额从310亿美元提高到1000亿美元。2000年公司利润达10亿美元；股价最达每股90美元；市场价值曾超过800亿美元，市盈率PE超过70倍。列财富500强美国第7位，世界16位。连续4年获“美国最具创新精神”称号。安然公司：背景情况单位：亿美元项目2000年1999年1998年1997年资产总额655334293226负债总额516214202158少数股东权益24242111股东权益115967056营业收入1008401313203净利润10971安然公司：背景情况安然公司2001年10月16日突然发布公告称，公司前三个季度亏损6.18亿美元。2001年11月，安然公司在和安达信协商之后，向美国SEC提交了报告，对1997年至2001年第二季度的财务报表重新编制，承认高估利润5.91亿美元，隐瞒负债25.85亿美元。2001年12月2日，安然公司与其13家分公司向纽约南区法院提交破产保护申请，公司资产498亿美元，负债额为312亿美元，成为美国历史上最大的企业破产案。安然公司：背景情况股票价格由最高时的90．75美元跌至约50美分；流通股市值由600亿美元跌至不足2亿美元；第一批宣布解雇4000名员工（总部7500）；公司破产影响波及其他能源公司、金融机构、证券公司、保险公司、基金、员工等。安然公司高层受到调查；安达信被起诉。安然公司：背景情况安然案件涉及一大批政府要员和国会议员，还将使教师、消防员和部分政府雇员的退休基金损失１０亿美元以上，还涉及分布在８４个国家和地区的安达信的８．5万员工。美国著名的经济学家保罗·克鲁格曼说：“安然公司的崩溃不只是一个公司的垮台问题，它是一个制度的瓦解。而这个制度的失败不是因为疏忽大意或机能不健全，而是因为腐朽。”

安然公司：造假手段通过SPE高估利润，隐瞒负债；利用出售回购和股权转让，操纵利润；策划不具经济实质的对冲交易，掩盖投资损失；空挂应收票据，虚增资产和股东权益。安然公司：造假手段安然公司自1997年以来，主要通过“组织创新”、“交易设计”和“衍生工具”等方式创立了近3000家特殊目的实体（SPE）其他子公司，其中900家设在“避税天堂”的国家和地区。。安然通过滥用SPE不并表的规定，进行表外融资，提高信用等级；并通过与SPE发生资产买卖、股权转让、对冲交易等业务，夸大营业规模，编造会计利润。

通过滥用SPE合并原则，操作利润安然公司不恰当地利用SPE符合特定条件，可以不并表的惯例，将本应纳入合并报表的3个SPE排除在合并报表之外，导致1997年至2000年期间高估利润4.99亿美元、低估负债数十亿美元；此外，以不符合“重要性”原则为由，未采纳安达信公司的审计调整建议，导致1997年至2000年期间高估利润0.92亿美元。利用出售回购和股票转让，操纵利润1999年6月至2001年9月，安然公司与LJM公司发生了24笔交易。这些交易编报之前出售资产、编报之后再回购资产，交易价格严重偏离公允市价。通过与LJM公司的关联交易，以偏离公允价值的方式虚构利润5.57亿美元；通过出售资产给LJM公司，确认利润8730万美元；通过受让LJM公司控制的五个SPE的股权，确认这些SPE与风险管理有关的利润4.7亿美元。策划不具实质的对冲交易，掩盖投资损失2000年末，安然公司持有高风险投资90亿美元。为避免利润大起大落，安然与LJM2合作设立了4家猛兽类SPE，作为对安然公司交易类证券的避险工具。安然利用与这四个SPE的对冲交易，在短短5个季度中隐瞒了10亿美元的损失（占当期利润总额的72%）。

200019991998非衍生金融工具收入935573477427215非衍生金融工具成本(94517)(34761)(26381)非衍生金融工具毛利(960)13834非衍生金融工具利得（或损失）723253384045其他费用(4319)(4549)(3501)营业利润19538021378净利润979893703利用能源合同及其他衍生工具操纵利润利用衍生金融工具操纵利润第一，2000年非衍生金融工具的成本大于收入。第二，安然公司的非衍生金融工具的毛利处于逐年递减的趋势。第三，安然公司正的营业利润主要来自金融衍生工具的利得。剔除衍生金融工具的利得，安然连续3年的营业利润都是亏损的。第四，安然公司的衍生金融工具利得对报表有着重大影响。2000年衍生金融工具利得是净利润的将近8倍。空挂应收账款，虚增资产和股东权益2000年4月，安然向“鹰爪”出售1.72亿美元的股票，在未收到任何认股款的情况下确认实收资本增加。2001年，安然向“大灰狼”、“野山猫”出售远期合约并承诺在未来向这两家SPE发行8.28亿美元的安然股票，安然将这些远期合约记录为实收资本和应收票据的增加。两项合计虚增资产和实收资本10亿美元。安然公司：资本结构1.股权高度分散。安然像美国大部分股份公司一样，股票大多为公众所持有，没有绝对控股的大股东。2.股权的流动性强。所有权的分散使得个人股东不大可能对其所投资的公司具有控制权,只有通过在股票市场上“用脚投票”的方式来选择代理者,形成对公司行为的约束。因此股权具有高度流动性。3.资产负债率较高。安然所处的行业（石油天然气传输和交易）有着较高的资产负债率。安然也不例外。

安然公司：董事会美国的公司治理实行一元制下的外部董事制度，即执行经营职能的董事和执行监督职能的董事都在一个董事会中,不设监事会，外部董事主导提名委员会、审计委员会和薪酬委员会的工作。安然公司：董事会安然公司的17名董事会成员,除董事会主席和首席执行官外,其余15名董事均为独立董事，其中不乏很有名望的专业人士，如审计委员会主席是已退休的斯坦福大学商学院院长、著名会计学教授罗伯特·杰迪克。

审计委员会的7名委员全部由独立董事组成。但独立董事未能为安然公司的股东把好对高层管理人员的监督关,最终导致投资者损失惨重。安然共签订了七份涉及14名董事的咨询服务合同,还有多项与不同董事所在的企业进行产品销售的合同,或是向一些董事任职的非盈利机构捐款。安然公司：管理层的激励与约束管理层的薪酬过高,期股、期权被滥用,缺乏透明度和有效监督。据统计,在美国《财富》500强公司中,有90%以上推行股票期权。在纳斯达克上市的企业推行股票期权的也同样在90%以上。据估计,美国企业高层经理人员在去年接受的酬金有60%来自股票期权。安然公司安然公司管理人员的高收入：一次性的奖金高达几千万美元；行政管理人员都享受股票期权计划；常务副总裁LUOPAI，2000年卖掉股票期权的收入2.65亿美元；董事长KennethLay累计获得650万期权，2000年他的年报酬超过1.4亿美元，1.23亿美元是股票期权收益高级经理人员享受公司低息贷款（ATM）安然公司：利害相关者利害相关者参与公司治理力度不够。作为公司债权人的金融机构和作为公司股东的机构投资者在美国公司治理结构中的地位和作用极为有限。公司股权非常分散,企业的大股东主要是机构投资者(如保险公司、养老基金和共同基金等),但根据美国和1934年通过的《证券交易法》规定,机构投资者不能对被持股企业产生直接的影响,因此造成内部约束机制不强。在安然事件中,Ｊ.Ｐ摩根集团、花旗集团和不少退休基金都损失惨重。安然公司：审计监督美国的公司大部分建立了内外审计体系。公司董事会一般都设有审计委员会,成员主要由独立董事组成,负责审阅财务报告、监督内部控制系统操作的有效性、定期会晤外部审计师、讨论程序及重大会计问题、确保公司政策符合有关法律及专业守则、审阅董事酬金及审计师酬金的合理性等。但安然的审计委员会成员一般都与管理层有良好的关系,独立性差。安然公司：审计监督安达信被质疑的事项：出具严重失实的审计报告和内控评价报告；对安然公司的审计缺乏独立性(安达信对安然公司每年约1亿美元的收费中，50%以上来自咨询服务)；未及时将有关问题向有关管理层报告；发现异常，未及时采取行动；销毁审计档案，妨碍司法调查。据统计，近年来SOX合规问题(财务处理上)序号问题类别涉及此类为题的比例1销售确认31.10%2递延税款31.80%3存货/销售成本27.20%4租赁及或有负债16.80%5固定资产/无形资产18.50%6折旧与摊销12.60%7合并过程中的问题8.90%内部控制上的问题序号问

题

类

别涉及此类为题的比例1财务/编报人员配置问题47.7%2职责分离21.0%3财务报告的修正49.2%4年末的重大调整52.8%5内部审计发现的问题2.5%6信息系统流程/权限相关缺陷20.7%内部控制框架1992年9月，美国注册会计师协会、国际内部注册会计师协会、财务经理协会、美国会计协会和管理会计协会共同组成的专门委员会（COSO委员会，即美国反对虚假财务报告委员会的赞助组织委员会）发布了《内部控制——整体框架》的研究报告，提出了“内部控制框架”的概念。COSO委员会提出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。控制环境风险评估监控控制活动COSO内部控制要素的关系 * FootnoteSource: Source通息信沟管理与控制

企业须在确认自身战略目标的基础上，对组织架构、业务流程、以及业绩评估三个元素进行整合，并取得信息技术的充分配合与支持，才能全面提升管理水平。

经营战略

信息技术

业绩评估

业务流程组织架构

环环市场境境业行控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4监督控制要素控制类别连续性的行动和一次性的活动反映严重问题的系统监控系统的评价

内部审计在公司监督中的作用

在大多数情况下,内部审计功能应在审计委员会的指导下完成,并向后者按时汇报.内部审计职能并不是作为审计委员会的备选方案.恰恰相反,内部审计职能在协助审计委员会完成公司监管职责方面起着重要作用.审计委员会的设立是重要的第一步,但只有建立专业的内部审计功能才可以给审计委员会强有力的武器来保证对控制所处环境的有效监测.

内部审计在公司监督中的作用

英国Cadbury报告中特别指出,对公司来讲,建立内部审计功能是一种很好的实践.内部审计功能将对公司关键控制和程序进行常规监测,并且其本身应被看作公司内部控制整体的一个部分和一种保证内部控制有效的途径.同样,COSO报告陈述道:“内部审计员在评估控制系统有效性方面起着重要的作用,并对系统进行中的有效性作出贡献.由于其组织性地位和在实体中的权威,内部审计经常发挥重要的监测职能.”目前,建立专业内部审计功能以帮助管理层完成公司监管的职责,已被广泛的看作一种很好的实践.第一代（1980之前）第二代（80年代）第三代（90年代）第四代（21世纪）控制企业风险企业风险管理流程控制结构

出发点是已有的流程、程序和控制

以符合性测试为主

出发点是财务风险和符合性风险

确定应该存在的控制

审计目的是评估控制的设计、运行效果和合规性

出发点是对企业和各种风险的充分理解

确定应该存在的控制

审计目的是评估控制的设计、运行效果和合规性

确定应该存在的能有效控制风险的企业风险管理流程

评估企业风险管理流程的设计、运行效果和合规性近代内部审计的演变出发点是对企业和各种风险的充分理解传统内部审计与内部控制内部审计包含在内部控制之中内部控制又是内部审计的对象之一内部审计发挥的基本作用是反馈，是对内部控制其他内容的再控制。重点关注控制：对子公司的控制

企业应当重点加强对子公司的控制，主要包括：（一）依法建立对子公司的控制架构，确定控股子公司章程的主要条款，选任董事、监事、经理及总会计师；（二）根据企业的战略规划，协调子公司的经营策略和风险管理策略，督促控股子公司据以制定相关业务经营计划、风险管理程序；（三）制定子公司的业绩考核与激励约束制度；（四）制定母子公司业务竞争、关联交易等方面的政策及程序；（五）制定子公司重大事项的内部报告制度，重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事衍生工具投资、签订重大合同、海外控股子公司的外汇风险管理等；（六）定期取得子公司月度财务报告和管理报告，并根据相关规定，委托会计师事务所审计控股子公司的财务报告。重点关注控制：重大投资控制企业应当重点加强重大投资的控制，主要包括：（一）明确股东（大）会、董事会对重大投资的审批权限，制定相应的审议程序，其中，委托理财事项必须由董事会或股东（大）会审批，不得将委托理财审批权授予董事个人或管理层行使；（二）指定专门机构负责对重大投资项目的可行性、投资风险、投资回报的研究和评估，监督重大投资项目的执行进展，报告重大投资项目的投资效益；（三）制定严格的决策程序、监控措施和报告制度，并根据企业的风险承受能力，限定企业的衍生工具投资规模；（四）制定委托理财代理机构的选择程序，规定选择资信状况、财务状况良好，无不良诚信记录及盈利能力强的合格专业理财机构作为受托方，并与受托方签订书面合同，明确委托理财的金额、期间、投资品种、双方的权利义务及法律责任等；（五）针对委托理财业务制定严格的报告制度、监控措施以及应变机制并且由董事会指派专人监督委托理财资金的进展及安全状况，保证在出现异常情况时董事会能够及时了解信息，立即采取有效措施回收资金，避免或减少企业损失；（六）企业应当制定重大投资的负责追究机制，如出现未按计划投资、未能实现项目预期收益、投资发生损失等情况，董事会应查明原因，追究有关人员的责任。重点关注控制：对外担保控制企业应当重点加强对外担保的控制，主要包括：（一）明确对外担保事项的审批权限，以及违反审批权限和审议程序的责任追究机制；（二）调查被担保人的经营和信誉情况，审议分析被担保方的财务状况、经营运作状况、行业前景和信用情况，审慎决策担保业务；（三）妥善管理担保合同及相关原始资料，及时进行清理检查，并定期与银行等相关机构进行核对，保证存档资料的完整、准确、有效，重点关注担保的时效期限；（四）指派专人持续关注被担保人的情况，及时收集被担保人的财务资料和审计报告，定期分析其财务状况及偿债能力，关注其生产经营、资产负债、对外担保以及分立合并、法定代表人变化等情况，建立相关财务档案，定期向董事会报告，如发现被担保人经营状况严重恶化或发生企业解散、分立等重大事项的，有关责任人应及时报告董事会。董事会有义务采取有效措施，将损失降低到最小程度；（五）对外担保的债务到期后，企业应当督促被担保人在限定时间内履行偿债义务，若被担保人未能按时履行义务，企业应及时采取必要的补救措施；（六）企业担保的债务到期后需展期并需继续由其提供担保的，应当作为新的对外担保，重新履行担保审批程序。重点关注控制：关联交易控制企业应当重点加强对关联交易的控制，主要包括：（一）明确划分股东（大）会、董事会对关联交易事项的审批权限，规定关联交易事项的审议程序和回避表决要求；（二）确定关联方的名单，并及时予以更新，确保关联方名单真实、准确、完整；（三）企业及其下属子公司在发生交易活动时，相关责任人应当仔细查阅关联方名单，审慎判断是否构成关联交易，如果构成关联交易，应当在各自权限内履行审批、报告义务；

（四）企业在审议关联交易事项时，不得对所涉交易标的状况不清、交易价格未确定、交易对方情况不明朗的关联交易事项进行审议并作出决定；（五）与关联方之间的交易应当签订书面协议，明确交易双方的权利义务及法律责任；（六）定期查阅与关联方之间的资金往来情况，了解企业是否存在被控股股东及其关联方占用、转移公司资金、资产及其他资源的情况，如发现异常情况，及时提请董事会采取相应措施；给企业造成损失或可能造成损失的，董事会应当及时采取诉讼、财产保全等保护性措施避免或减少损失。重点关注控制：衍生工具交易企业应当重点加强对衍生工具交易的控制，主要包括：（一）合理制定衍生工具交易的目标、套期保值的策略；（二）制定衍生工具交易的执行制度，包括交易员的资质、考核、风险隔离、执行、止损、记录和报告等的政策和程序；（三）制定衍生工具交易的风险报告制度，包括授权、执行、或有资产、隐含风险、对冲策略及其他交易细节；（四）制定衍生工具交易风险管理制度，包括机构设置、职责、记录和报告的政策和程序。重点关注的控制：财务报告编制及报送过程控制应当重点加强对财务报告编制及报送过程的控制，主要包括：（一）建立财务报告编制的岗位责任制，企业董事长及全体董事对财务报告的真实性、完整性集体负责；（二）制定年度财务报告编制方案，明确年度财务报告编制方法、会计政策、披露政策及报告的时间要求；（三）编制年度财务报告前，全面清查资产、核实债务，并将清查、核实结果及其处理方法向董事会和相应机构报告；（四）在日常会计处理过程中及时进行对账，将会计账簿记录与实物资产、会计凭证、往来单位或者个人等进行互相核对，定期对所有会计科目进行总账和明细账之间的核对、调节；（五）建立规范的账务调节制度，在审核已录入但未复核过账的凭证过程中，一经发现串户、记账科目使用错误、借贷方向错误等差错时，应及时根据原始凭证实际情况进行调整，或向有关制证人员等询问后办理调账；重点关注的控制：财务报告编制及报送过程控制（六）依照有关法律法规规定的年度、半年度、季度、月度结账日进行结账，结算出本期发生额合计和余额，并将其余额结转下期或者转入新账；（七）根据登记完整、核对无误的会计账簿记录和其他有关资料编制会计报表，不得漏报或者任意进行取舍；（八）对会计报表科目进行校验，通过人工分析或利用计算机信息系统自动检查会计报表之间、会计报表各项目之间的勾稽关系是否正确；（九）对会计报表中需要说明的事项在会计报表附注和财务情况说明书中作出真实、完整、清楚的说明；（十）及时向董事会、财会部门提交月度、季度、半年度或年度财务报告，并根据国家法律法规和有关监管规定，聘请会计师事务所对企业财务报告进行审计。重点关注控制：信息披露的控制企业应当重点加强信息披露的控制，主要包括：（一）建立信息披露管理制度和重大信息内部报告制度，明确重大信息的范围和内容以及报告程序，指定专人负责对外发布信息，并明确各相关部门的重大信息报告责任人；（二）建立重大信息的内部保密制度，因工作关系了解到相关信息的人员，在该信息尚未公开披露之前，负有保密义务，若信息不能保密或已经泄漏，企业应当及时采取措施向监管部门报告；（三）规范公司对外接待、网上路演等投资者关系活动，确保信息披露的公平性；（四）建立内部重大信息上报审核制度，如有必要，相关信息应当报告董事会审批并且根据企业信息披露管理制度有关规定对外披露；（五）关注控股股东及其实际控制人的公开承诺事项并且指定专人监督承诺事项的落实情况，关注承诺事项履行条件的变化。三、内部审计应成为风险管理专家

没有战略的企业就像一艘没有舵的航船一样只会在原地打转，它又像个流浪汉一样无家可归。乔尔·罗斯和迈克尔·卡米

风险的定义IIA2001：可能对目标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。英国风险管理协会(IRM)：风险是事件及其后果的可能性的结合。风险既关注积极面，也关注消极面。业务目标(Qualitiestolookfor)具体化可衡量可达到有经济效益与企业长远目标相联目标、风险与内部控制的关系RISK风险Control控制通过管理程序或活动减少风险可量化，可衡量，可以达到的业务目标Objective目标可能影响业务目标实现的事件内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控经营报告合规子公司

业务单元

分部主体层次企业风险管理框架战略协调风险容量与战略增进风险应对决策抑减经营意外和损失识别和管理贯穿于企业的风险提供对多重风险的整体应对抓住机会改善资本调配企业风险管理包括的内容企业风险管理的定义应用贯穿于企业应用于战略制定由人员来实施目标实现提供合理保证风险容量企业风险管理的基本概念一个过程企业风险管理防线一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会内部审计与风险管理确认识别组织风险组织的战略规划组织的年度计划单项工作目标组织的审计规划年度审计计划评价风险管理过程具体的风险管理活动确定组织目标传统内审现代内审注重财务注重经营风险以交易为基础业务过程改进过时的风险评估模型综合的经营风险模型发现和建议业务洞察力、业务解决方案以测试内控为基础控制自我评估内部控制权威风险权威公司的看门狗受尊敬的业务顾问以投入为导向以结果为导向独立的技术工具交互式的知识分享路障能动的关键业务发起者IIA研究结论IIA内部审计对象相关内容

理解期望分析相关程序及风险

汇报结果确认相关程序及风险

跟踪理解、分析经营状况理解企业经营战略，目标企业整体经营风险分析理解有关业绩衡量指标了解有关程序理解分析相关经营风险及内部控制评估具体程序的有效性及缺陷评估具体程序内的风险测试现有的控制程序－确认控制弱点－原因－补救措施程序改进程序测试程序分析内部审计过程简介成为风险管理的专家仅以雇员和经理贪污行为为例,据毕马威国际会计公司1998年对涉及20个行业的5000家企业和组织的调查显示,贪污手法多种多样，平均每起贪污案金额达11.6万美元。被调查对象中只有43%的人指出：进行内部审计是发现贪污的有效方法。而回答雇员举报是发现贪污的有效方法的人员所占比例则高达58%。内部审计部门应围绕企业经营风险的甄别、评估、控制和防范计划和实施审计工作,促使并协助企业改进整个内部控制系统

划分被审计对象按地理位置按总价值（总资产、现金流量等）按职能部门按业务循环按决策中心按审计资源按管理部门的关注选择被审计单位三种方法系统选择法示警事项法应被审计者要求选择风险评估：企业风险模型TM

竞争者 敏感性 股东关系 资金充足性 金融市场

灾难性损失 独立／政治 法律 行政管理 行业 环境风险信息技术风险使用权完整性 相关性可得到性基础设施

财务风险货币 利率流动性 结算再投资 信用双边关系现金转移或流速改变

廉政风险管理欺诈 雇员欺诈非法行为 无授权使用商誉

授权风险领导力 权力限制 表现激励沟通营运风险客户满意 人力资源产品开发 效率能力 表现差异循环时间 资源商品定价 过失或损失符合性 业务中断健康和安全 环境产品或服务失败商标或产品名侵蚀

营运价格 合同投入衡量结盟 完整性和精确性管理报告决策信息风险

财务预算和计划 完整性和精确性会计信息 财务报告评价税收 养老基金投资评估 管理报告

战略环境检视 业务组合价值衡量 组织结构资源分配 计划生命周期

风险识别：环境风险

1.竞争者：竞争者令企业失去原有的市场竞争优势2.敏感性：企业无法对变化的环境作出有效及时的反应3.股东关系：直接关系到企业在资本市场上的筹资能力4.资本的可获得性 ：公司可能无法筹措到足够的资金来支持自身发展

风险识别：环境风险（续）

5.灾难性损失：自然灾害给企业造成巨大的损失6.政策.法规风险：由政策.法规的不可测性及变化给企业带来损失7.行业风险：由于行业有关要素变化，使企业丧失在行业中的优势地位8.金融市场风险：由于金融市场的价格波动给企业的金融性资产造成损失

风险识别：流程风险－营运风险

1.客户满意：由于对客户服务不够重视造成营业额下降2.人力资源：岗位人员资格和能力不够3.产品开发：新产品无法被市场接受4.效率：企业效率底下令成本高居5.能力：企业生产能力过剩或者不足风险识别：流程风险－营运风险（续）6.表现差异:企业的运作水平与国际先进水准之间还存在巨大的差距7.时间拖延:业务流程耗时过多8.存货遗失:由于管理不当，存货的遗失给企业业绩造成巨大的损失9.符合:由于员工的失误，造成产品不能符合市场的需要，无法完成企业的预期目标风险识别：流程风险－营运风险（续）10.业务中断:企业可能由于主要原材料供应的突然中断.有经验人员

的流失等原因造成业务的中断，给公司的发展造成不利影响11.采购:企业可能由于缺乏材料供应商的选择余地造成采购成本偏高，影响企业产品竞争力12.商品定价:定价的不合理，比如企业使用现行市价与客户签订远期合同，由于市场价格的波动给企业带来可能的损失风险识别：流程风险－营运风险（续）13.产品或服务失败:由于某种产品的失败给企业的整个形象造成影响14.环境:由于企业破坏环境而受到第三方或政府的罚款15.健康和安全:由于对安全生产不够重视造成员工的伤亡，给企业造成不必要的损失16.商标被侵蚀:由于产品或服务的质量不佳，造成企业名誉受损

风险识别：流程风险－财务风险

1.货币风险:货币汇率的波动直接影响企业的业绩2.利率风险:利率波动可能会增加企业的借款费用和减少投资项目的产出3.流动性:资产变现能力差可能企业陷入财务危机4.现金转移速度:现金的回笼速度直接影响企业对现金的使用效率风险识别：流程风险－财务风险（续）5.结算－ 企业资金在两国市场上运作，可能由于两个市场结算时间不同给企业的现金流带来影响6.再投资－ 资金在短期高回报投资项目结束回笼后无法再次获得相同回报的投资机会7.信用－ 客户长期拖欠货款造成企业现金被大量挤占

风险识别：流程风险－授权风险

1.领导力－ 业务流程的负责人没有领导力2.职权－ 员工或者不能尽职或者做本不应由其完成的工作3.限制－ 管理层超越职权限制，滥用权利4.表现激励－ 由于表现评估制度不合理致使员工对工作缺乏兴趣5.沟通－ 公司内部上下以及横向沟通不够造成内部合作不够紧密

风险识别：流程风险－信息处理/技术风险

1.使用权－ 对数据使用的权限设置不够安全,造成机密的泄漏2.整合性－ 公司两个实体使用的系统不同，造成公司的数据不具整合性，给管理造成困难3.相关性－ 所收集的数据与管理所需的数据无关4.可得到性－ 急需的数据无法得到

风险识别：流程风险－廉正风险

1.管理欺诈－ 管理层在会计报表中作假蒙骗总公司领导和投资者2.雇员欺诈－ 雇员私自挪用公司资产造成企业重大损失3.非法行为－ 管理人员或员工擅自以公司名义作出违法行为使企业蒙受损失4.无授权使用－ 员工未经授权，为其他目的使用公司资产

风险识别：决策信息风险－营运风险

1.定价风险－ 定价不合理造成对企业业绩的影响2.合同执行－ 公司可能由于没能按期完成合同，造成公司被大量罚款和最终失去某个客户3.衡量－ 由于缺乏可靠的衡量标准，造成管理层决策较为随意，容易造成决策失误给企业带来损失

风险识别：决策信息风险－营运风险（续）

4.符合性－ 公司流程中所执行的目标和业绩考核标准与公司总体的目标所要求的不相符合5.管理报告－ 向有关不门递交的报告不完整.不正确.不及时，使企业遭受有关方面的罚款等

风险识别：决策信息风险－财务

预算和计划－ 预算和计划不切实际，无法执行完整性和准确性－ 企业财务数据不够完整和准确，无法全面真实地反 映企业经营状况会计信息－ 过渡依赖于会计信息对企业经营状况作出判断，忽 视其他的因素如客户满意度等

风险识别：决策信息风险－财务（续）

税收－ 由于企业没能按时按期依法纳税，遭到税务机关的罚款福利基金－ 福利基金的不足造成员工缺乏工作积极性投资评估－ 管理层在缺乏财务数据和相关信息的基础上作出投资评估， 往往造成投资的失败风险识别：决策信息风险－战略环境监视－ 无法及时发现竞争环境所发生的变化，及时调整战略业务组合－ 企业没有良好的业务组合来实现其业绩的最大化价值评估－ 管理层没能从战略角度评估某项业务衡量标准－ 组织衡量标准只关注短期业绩或与业务战略不一致风险识别：决策信息风险－战略（续）组织结构－组织架构与变化了的企业战略不相适应资源分配－资源分配无法维持企业在市场中的有利地位生命周期－企业没能依照产品的生命周期及时调整自身的战略重要风险识别

PattonEvansLewis《评估内部审计风险的