2022年内审师复习-内部审计在治理风险和控制中的作用02

2022年内审师复习—内部审计在治理风险和控制中的作用02

内部审计主管应遵循IIA属性标准。

审计执行主管要能够有效治理内部审计部门,使审计工作能实现经高层治理者批准并得到董事会认可的总体目标和职责，既有效率又有效果地使用各种资源,遵循。

高层治理者和董事会：治理者指的是治理层，董事会指的是全部者。有时候对于高级治理层和CEO不加以区分，是由于CEO往往是董事会成员。所以报告董事会也就等于报告治理层。

内部审计的定义和进展

内部审计职业自50多年前在《内部审计职责说明》做出第一个定义以来状况不断发生变化,在这期间内审人员的工作从评价治理掌握的有效性,扩展到帮忙组织改良治理，增加价值,实现目标。这种变化使内部审计职业有必要重新讨论其根本假设。反映环境和状况的变化。

1997年国际内部审计师协会成立指南特殊小组（GTF）来检查《内部审计实务标准》的适用性,并提出修改建议。小组在开头讨论的时候发觉,由于内部审计效劳的新类型不断消失,原定义确定的范围已不符合内审计职业的快速进展。需要用一个更具敏捷性、范围更广泛的定义来取代。他们还发觉以前的定义只是描述内审人员应当如何工作，并把要做的事情一条条列出来.而没有强调内审能为组织供应多种效劳,能为组织制造更多的价值，也没有强调内审人员应与董事会、高级治理层和股东进展沟通，使他们了解内审能为他们供应什么效劳,因而不利于内审职业在剧烈的市场竟争中进展自己。于是着手拟定新义,以反映内审职业进展的新趋势。

1947-2022年内部审计定义的演化

（1）1947年定义：“内部审计是建立在审查财务、会计和其它经营活动根底上的独立评价活动。它为治理供应爱护性和建立性的效劳，处理财务与会计问题，有时也涉及经营治理中的问题。”

内部审计虽然从会计分别出来，成为一个独立的职业了，但它仍旧以财务、会计为根底。

它答复了内部审计是做计么的：审查财务会计和其它经营活动。

它反映了形势的要求,内部审计不仅可以处理财务会计问题,而且有时也处理经营治理中的问题。

它首次为内部审计定位为:独立评价活动。这种观点坚持了53年,直至2022年第七次修改才作了调整。

它初次提出为治理效劳的方向。这个观点坚持了22年。虽然它前面加了一个定语：“爱护性和建立性”显得有点累赘。

（2）1957年：“内部审计是建立在审查财务、会计和经营活动根底上的独立评价活动。它为治理供应效劳，是一种衡量、评价其它掌握有效性的治理掌握。”（治理掌握，表达了审计的监视作用）

删去处理财务会计问题，有时也涉及经营治理中的问题。由于只要内审是建立在审查财务、会计和其它经营活动根底上，就必定会去处理这些问题，是无需重复的。

首次提出内部审计“是一种衡量、评价其它掌握有效性的治理掌握。”从而大大提高了内审的地位。指出它是一种治理掌握，但又反过来衡量、评价其它掌握的有效性，表达了审计是较高层次的监视。

（3）1971年：“内部审计是建立在审查经营活动根底上的独立评价活动，并为治理供应效劳，是一种衡量、评价其它掌握有效性的治理掌握”。（财务审计向经营审计进展）

这条定义最突出的一点是取销了“建立在财务会计根底上”这句话。但保存了“建立在审查经营活动根底上”这一句。这预示着内部审计从财务审计向经营审计的方向进展。但不意味着内部审计从今不审查财务会计，不去处理财务会计问题，而是说审查、处理财务、会计问题是理所固然的，不言而喻的，它已包括在“审查经营活动”这一概念中了。

（4）1978年：“内部审计是建立在以检查、评价组织为根底的独立评价活动，并为组织供应效劳”。（为组织效劳，不是某一治理部门）

这条定义最令人注目的是，将为治理效劳改为为组织效劳。把内部审计效劳的范围扩大。然而这不是要排斥为治理效劳。正如维克托.布林克所说:内部审计的主要效劳对象依旧是治理。所不同的是,为组织效劳要求审计人员以整个组织为效劳对象,而不是以某一治理部门及其人员为效劳对象。要求他们站在整个组织的立场上观看和评价问题,为组织的长远的全局的利益效劳。由于组织的长远利益才是组织的根本利益,是解决各种问题的根底。

（5）1990年：“内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种效劳工作，对其活动进展审查和评价。

这条定义突出的一点是，把内部审计定义为:是建立在一个组织内部的，以与外部审计相区分。这个提法到2022年第七次定义时被修改。至于为组织效劳是为谁效劳仍未解决。（组织内部，区分于外部审计）

（6）1993年：本次定义除了确认上次定义之外,明确指出：“内部审计的目的是帮助该组织的治理成员有效地履行他们的职责”。从而解决了为组织效劳是为谁效劳的问题。

（7）2022年：内部审计是一种独立、客观的保证和询问活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和标准化的方法,评价和改良风险治理、掌握和治理过程的效果，帮忙组织实现其目标

这个定义同93年定义相比,删去了“组织内部”和“评价活动”这两个词。这是由于“组织内部”一词示意着内部审计工作只局限于组织内部,不利于外部借助内审工作，也不利于内部审计借助外部的帮忙。取销它预示内部审计将来有一个更为宽阔的活动空间，而不是要表示内部审计将成为外部审计，也不意味着组织内部的治理活动和决策将托付外部人员来完成。组织内部的事是不能假手外部的人员来完成的。安稳大事就是一个很典型的例子，我们在后面还会有所讲解。

与此相关取消了“评价活动”一词。独立评价活动一词从1947年第一次定义以来坚持了53年。由于这个词指的是对组织内部活动进展审查和评价,同样是将内审活动局限在组织内部,它没有反映出内审在组织中日益增加的作用和影响范围的逐步扩大。因而在新定义中用“询问”一词来取代。

（a）内部审计章程目的、权限、责任

内部审计章程是内部审计部门的根本政策

确立审计部门地位

章程树立了内部审计部门在整个组织架构中的地位，内部审计部门是独立于其他部门进展工作的。内部审计章程描述了内部审计主管向CEO报告这一组织地位，但是也可以直接向董事会报告。行政上向CEO负责，职能上向审计委员会负责。

（i）内部审计部门的目的（特别重要，每一个都要有所了解）

依据政策和程序,审核组织活动,确定执行掌握职能的效率和效果

确定内部掌握系统的效果

审核财务信息的牢靠性和完整性,并审核识别,计量,分类和报告这些信息的方式

审核资产安全保障的方式,核实资产的存在性

评估资源使用的效率和经济性

审核经营状况和打算

同外部审计师进展协调

审计计算机系统的规划,设计,开发,实施和运行工作

对计算机中心进展审计

参与并购审计的规划和实施,确保审计目标完成

报告审计结果,提出建议

评价订正措施,并确保订正措施有效

留意点:

内部审计章程和主管的报告关系，以及审计委员会构成，表达了独立性和客观性。章程是审计部门与外界接触的权利来源，审计部门的权限来源于章程的规定。

（ii）权限

内部审计部门在执行任务时,要全面,自由,不受限制的接触同审计工作有关的各种记录,人员和实物资产.审计人员应当直接接触审计委员会，强化内部审计的独立性和客观性。不能受到其它部门个人的制约和影响。

（iii）责任

内部审计部门通过审核,检查和评价有关活动,供应有关分析,评定,报告有关发觉和提出有关建议的方式,实现帮助治理层的目的.开展审计工作要保持应有的职业审慎，职业审慎的建立来源于适当的训练，阅历，证书，态度和诚信等方面。

（b）内部审计打算

什么是内部审计打算？审计打算就是对将来要被审计的领域及其具体日程的安排。

内部审计主管制定打算履行部门职责,打算与章程保持全都,符合组织目标.

内部审计打算过程包括：目标建立,审计工作安排,员工配备,财务预算,活动报告等。制定打算时候，内部审计师应当审核全部相关信息。

（i）风险分析模型

与制定长期审计安排表有关。定量的风险评估是制定审计打算工作的根底。

风险评估的关键是内部审计人员的推断（主观性）

技术缺失不是风险因素，由于可以从其它地方获得

审计打算

将来将要审计的领域及其具体日程的安排

每一项审计活动的时间估量

组织风险,暴露和潜在损失

每一项审计活动的开头日期

审计活动不包括:审核战略治理,用定性和定量方式对决策质量进展评估,向审计委员会报告结果（战略规划和决策是高级治理者的根本职责，内部审计人员不具备审核这些活动的资格）

三类不同审计的打算。长期，中期和短期。

注：内部审计的职能范围不包括审核战略治理过程。

内部审计目标可以到达,可以评价，可以考核的（例如：完成的培训小时数，依据打算完成的审计实践，审计业务数量等）

打算人员配备要求的最可能渠道是同执行治理层和委员会争论审计需求，而不是审核审计人员的训练和培训记录。

长期审计工作安排：打算与内部审计部门章程保持全都，可实现。

关键概念：审计打算

审计章程:长期文件,不是打算工具

审计安排:长期打算工具

审计部门预算:中期打算工具

审计方案:短期打算工具

审计师不应当审计以前工作过的部门

审计活动安排

工作基于可审计领域的相关风险。

需要考虑的重大标准：某部门在运营上的重大变更；某部门有更多的时机取得经营收益；不重要的标准：新增加人员；在某个可审计领域具备阅历等

例如：假如审计资源稀缺，那么对公司的现金治理和信贷政策的审计要安排在以下三项之前（1）公司道德标准和利益冲突政策（2）员工工作时间报告机制（3）预算编制和猜测

活动报告

内部审计主管定期向治理层和董事会提交，与审计工作安排比拟。

（c）政策和程序

指导审计人员在日常工作中遵循该部门的工作标准；内部审计主管供应书面政策和程序指导审计人员。审计质量掌握符合，审计职务描述，审计师业绩评定不重要。

（1）审计手册

审计手册是否正规，取决于内部审计部门规模。例如超过5个员工的部门，应当编写正规的审计手册。

制定书面政策和程序时，也要考虑内审部门的构造和规模。有越多的人使用手册，就需要更多的解释和分析。

（2）员工会议

定期召开员工会议，改良沟通。通过争论问题和了解最新政策，可以获得适宜的审计方法。对于影响内部审计工作的传言，内部审计主管应当在员工会议上直接澄清。

（3）利益冲突

通过要求审计师向主管报告利益冲突状况，提高内部审计人员的独立性。

（4）审计报告

职业审慎要求：审计人员意见建立在充分事实证据根底上，保证审计意见表达的合理性；应有的职业审慎建立在合理的工作量根底上，并不要求开展大范围的审计。

报告分发：分发给相关人员，对于高层经理，一份总结报告即可。

报告类型：政策中规定报告类型（年度报告，中期报告）；沟通形式（书面，口头）；报告使用者类型（外部，内部）等。

审计政策要求审计报告在没有得到治理层响应之前，是不能出具的。但是，假如是发觉了重大问题，审计报告没有得到治理层响应，的替代方法是出具一个关于重大发觉的中期报告。考虑时间因素。

最终要经过内部审计部门主管审核，批准和签名。假如高级治理层存在问题，审计报告送交审计委员会。

（5）后续改良

确保实行了订正措施，并取得了应有的成效。

假如没有实行订正措施，审计师要确定治理层或董事会担当风险。

可能的状况：审计委员会审核内部审计报告结果时，执行治理层打算承受而不实行措施的风险，这时，内部审计主管的选择是已经履行了内部审计职责，不要求实行下一步审计活动。

（d）人事治理和开发

内部审计主管要制定内部审及部门的人力资源方案。制定良好的甄选标准，是内部审计部门人力资源方案胜利的关键因素。

（1）聘请

内审人员要能娴熟运用内部审计准则、程序和技术。

推断应聘者是否成为合格的审计人员的最可能的推断标准：是否能很好组织并表达自己思想的力量

最不行能的推断标准：大学会计课程的平均学分，对公司的了解等。

对盼望召入的审计人员的有关资质和业务娴熟水平取得合理保证。如大学成绩单，证明信确定工作阅历等。

学问和技能的互补性：假如某审计人员全面了解内部审计技术、会计学和治理原理，对经济学和计算机不了解，在有其他互补人员时，是适宜人员。

（2）甄选标准

内审主管要制定评价标准。不包括计算机业务的娴熟程度。要鉴定会计学根本学问，治理学原理等。

（3）绩效标准

对极端状况的评价（评价，最低评价）进展解释，由于会直接影响到员工；一年一次，准时反应员工胜任力量水平；尽早进展，对新员工指导。

（4）持续训练

内部审计主管负责建立持续训练和持续培训时机，开发内部审计部门人力资源。内部审计部门培训的主要目的是实现个人及部门在培训中的目标。持续训练是持续培训的一种形式。

（e）外部审计师

内部审计主管要协调内外部审计成果，最小化审计工作的重复性，提高审计工作的成效。

关系协调

（f）质量保证

三个要素：

（1）督导（监视）：是持续进展的过程，从打算开头直到审计任务完毕。对审计工作的掌握就是对全部审计工作进展监视性的复核。内部审计主管负责供应适当的审计督导。目的是产生全都的高质量的审计。

（2）内部复核：内部审计部门人员定期、正式的内部复核，听从于内部审计主管要求，不听从于董事会要求，也不听从于内部审计人员，执行治理层的要求。

（3）外部复核：同业复核，显着特点是客观性，能够供应独立评价。

实现预期目标：完成一系列目标。

证明审计质量的前后全都

质量要建立在审计工作的各个阶段，包括打算、实施、报告、后续跟进。出具报告前，还要进展最终的质量核查。

质量核查包括两类测试：对支持有关成果的证据的独立验证；成果复核。

（g）事后审计质量检查

事后审计质量复核向高层治理者供应内部审计部门遵循职业标准及相关政策和程序的独立评估。

审计小组是否具备完成审计任务的资格？每位审计人员是否满意执业要求？

工作底稿是否指出了有关独立性受损的未解决的问题？

内部审计与全面质量治理

一个有效的质量掌握体系不仅要能确保开展工作的质量，还要确定所完成的审计工作，以及客户和利害关系人对有关结果的看法。这可以通过客户和利益相关者调查，建议追踪和报告系统，以及审计师绩效评价和酬劳体系等方法完成。

背景：什么是全面质量治理？

全面质量治理的含义。全面质量治理（简称TQC）是20世纪60年月初美国的菲根鲍姆首先提出来的。所谓全面质量治理，就是运用系统的观点和方法，把企业各部门、各环节的质量治理活动都纳入统一的质量治理系统，形成一个完整的质量治理体系。

全面质量治理的根本原理与其他概念的根本差异在于，它强调为了取得真正的经济效益，治理必需始于识别顾客的质量要求，最终顾客对他手中的产品感到满足。全面质量治理就是为了实现这一目标而指导人、机器、信息的协调活动。

质量治理经受了三个阶段：

第一个阶段：20世纪初到40年月，属于质量的事后检查阶段。这一阶段就是当产品生产出来以后，对产品进展质量检查。它只起对出厂产品质量把关作用，而起不到预防作用。

其次个阶段：20世纪40年月到50年月，进入数理统计阶段。通过大量的数据分析，找到