风险导向的审计理论与实务

风险导向的内部审计理论与实务

周中胜

苏州大学商学院

2023/9/171根据IIA的统计，美国实行内部审计外包〔outsourcing)的企业已到达21.5%，在电子、汽车、感光材料等行业甚至超过50%。2023/9/1722002年末，美国时代周刊评出2002年新闻人物，包括辛西亚.库珀和雪伦·沃特金斯。前者是世界通信的内部审计部副总经理，后者是安然公司副总裁。2023/9/1732023/9/1742021年9月15日，雷曼兄弟宣布破产2023/9/1752023/9/1762021年1月24日，法国兴业银行曝出因交易员违规操作而巨亏约70亿美元的消息，让世界震惊。2023/9/1772023/9/1782023/9/1791999，国际内部审计师协会〔IIA〕发布内部审计职业实务准那么框架，确立了风险导向内部审计的根本思想。2023/9/1710研讨的主要内容内部审计的开展和演进风险导向内部审计的理念风险导向内部审计与内部控制、风险管理风险导向内部审计与公司治理风险导向内部审计的案例分析2023/9/1711内部审计的开展历程萌芽状态的内部审计财务导向的内部审计业务导向的内部审计管理导向的内部审计风险导向的内部审计2023/9/17122023/9/1713萌芽状态的内部审计分工和分权的思想受托责任的履行情况进行检查目的主要是查错防弊2023/9/1714财务导向的内部审计19世纪末，20世纪初背景：工业革命与机器大工业的出现股份公司的诞生独立审计的出现现代会计的出现……1494卢卡.帕乔利?算术、几何与比例概要?2023/9/17151941，IIA1941，维克托.布林克，?内部审计：性质、职能和程序方法?1947，?内部审计职责说明书?第1号，SRIANo.12023/9/1716业务导向的内部审计20世纪40年代末、50年代初主要受到泰罗的科学管理理论和法约尔的一般管理理论的影响前者从作业管理层面强调效率至上后者强调从组织管理角度改进管理，提高企业效率2023/9/17172023/9/17182023/9/1719业务导向的内部审计实践1948年，内部审计对梅迪希银行伦敦支行的管理当局及其所从事的业务活动进行了审计，并出具了详细的业务审计报告。1968年，IIA的调查结果显示美国内部审计实务大量涉及采购、库存规划与控制、保险方案、基建、运输、管理信息系统、生产、广告等业务活动。2023/9/172075%的公司的内部审计重点是财务审计与业务审计兼而有之。在人员结构方面，41%的内部审计人员来自会计专业以外。2023/9/1721管理导向的内部审计20世纪70年代开始背景：1、外部环境的改变所引起的管理理论的开展〔控制论、信息论、系统论、耗散结构论、协同论、突变论〕。2、公司治理理论研究与实务操作全面展开。3、更加强调决策在管理中的核心地位，强调企业内自上而下的目标一致性。2023/9/1722彼得.德鲁克的目标管理理论赫伯特.西蒙的决策管理理论2023/9/17232023/9/1724管理审计的对象狭义的对象主要指对高层的管理决策、方针及战略等进行审查与评价。广义的对象还包括业务活动的审查。1974年，CIA考试开始2023/9/1725管理导向内部审计的缺陷内部审计做的仅仅是事后的评价与反响。内部审计在评价管理活动的着眼点主要是管理决策、经营活动及控制活动本身，但没有将这些对象与企业目标并联系在一起。无法证明内部审计是企业价值链上的重要一环。2023/9/1726风险导向的内部审计产生的背景管理环境的变化管理理论与实践的开展迈克尔.波特的战略管理理论迈克尔.哈默和詹姆斯.钱皮的企业再造理论戴明和朱兰的全面质量管理理论〔TQM〕彼得.圣吉的学习型组织理论2023/9/17272023/9/17282001,安然事件2002，SOX法案2004，ERM2023/9/17292023/9/1730风险导向内部审计的特点内部控制是风险导向内部审计的根底。对风险的评估与改善是风险导向内部审计的首要目标。2023/9/1731风险狭义的风险广义的风险：还包括正面的风险即时机2023/9/1732风险导向内部审计的本质确保受托责任有效履行的能动的管理控制机制2023/9/1733风险导向的内部审计与风险导向的外部审计的区别目标与内涵不同风险范围不同2023/9/1734独立审计模式的演变账表导向的独立审计制度导向的独立审计风险导向的独立审计2023/9/1735风险导向内部审计的对象内部控制风险公司治理2023/9/17362023/9/1737风险导向内部审计的目标提供增值效劳2023/9/1738风险导向的内部审计人员应具备的能力2023/9/17392023/9/1740内部审计标准的开展演进第一阶段，从IIA成立到20世纪70年代，以内部审计职责说明书为代表〔SRIA〕第二阶段，从20世纪70年代到20世纪90年代末，1978年IIA通过内部审计职业实务准那么，1968年通过内部审计职业道德标准第三阶段，2001年至今2023/9/17412023/9/17422021年5月22日，财政部、证监会、审计署、银监会、保监会印发?企业内部控制根本标准?。2023/9/17432021年4月26日，五部委联合发布?企业内部控制应用指引第1号——组织架构?等18项应用指引、?企业内部控制评价指引?、?企业内部控制审计指引?，要求自2021年1月1日起首先在境内外同时上市的公司施行，2021年1月1日起扩大到上海、深圳证交所主板上市公司施行，在此根底上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。2023/9/1744COSO?内部控制—整体框架?〔InternalControl-IntegratedFramework)2023/9/1745COSO报告〔IC-IF〕监控控制环境控制程序风险信息沟通信息沟通2023/9/1746COSO报告(IC-IF1992)的观点1、定义：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告真实性、相关法令的遵循性等目标所达成而提供合理保证的过程。2023/9/1747内部控制为谁而设？内部控制不是由某个人或哪个层级的人提出来，专门针对某一个或某一群特定层级的人的制度。它是为整个企业设计的系统，不专门针对具体的哪一层级或哪一群人，而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。

2023/9/1748内部控制定义的理解1、内部控制是一种“过程〞，讲求的是到达结果的过程而非结果本身；2、内部控制是受“人〞影响的过程，是由“人〞执行的过程而并非仅是政策手册与表格，它来自于组织内每一个阶层的人；3、内部控制只能为企业管理阶层与董事会提供“合理保证〞而非绝对保证；4、不同类别的内部控制相互配合，以一种、多种或重叠性的类别到达多项管理目标〔3目标〕。2023/9/17495、软控制6、内部控制的责任7、柔和管理与控制的界限2023/9/1750谁对内部控制承担责任？管理当局的责任:CEO:负责建立有效的内部控制,在整个组织内倡导控制意识;CFO:核心作用,设计,推行和监管组织的财务信息报告行为C-LEVEL:确保其分管活动的accountability2023/9/1751董事会与审计委员会的责任:董事会:公司治理的监督责任.确认管理当局是否履行其建立和维护内部控制的责任审计委员会:警惕管理当局凌驾控制之上或财务欺诈行为,并采取适当措施制止.2023/9/1752员工的责任：

对任何与不遵循控制规定或非法行为相关的问题，有责任按组织层次向上报告。2023/9/1753COSO报告〔IC-IF1992〕内容〔一〕控制环境控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，它是内部控制其他构成要素的根底，它的设计和运行，不仅会影响企业整体活动方式，而且对企业目标制定与评估风险、控制活动、信息与沟通系统，以及监督活动等都会产生重大的影响。2023/9/1754〔一〕控制环境1、诚信的原那么和道德价值观2、评定员工的能力3、董事会和审计委员会4、管理哲学和经营风格5、组织结构6、责任的分配与授权7、人力资源政策及实务2023/9/1755诚信原那么与道德价值观

是企业道德与行为准那么的凝结，以及如何将这些价值观教化员工并诉诸实际行动内部控制作为企业文化相当脆弱任何人不得凌驾于内部控制制度之上权力的杠杆作用2023/9/1756正直与道德价值观道德观指南的关键在执行安然既有道德风气规那么，也有举报机制，但言行不一。安然2000年度报告中的价值观：以坦诚和真诚对待客户与未来；遵守诺言，言行如一。〔Weworkwithcustomersandprospectsopenly,honestlyandsincerely.Whenwesaywewilldosomethingwewilldoit,whenwesaywecannotorwillnotdosomethingthenwewon’tdoit.〕安然当局对网上交易系统的评价2023/9/1757员工素质提倡对正义、公理、公德的忠诚，而非狭隘的“公司忠诚〞；公司不能置公理和正义之上。价值观与根本素质知识结构与技能经验及培训2023/9/1758董事会及审计委员会独立性成员经验及地位

作用程度行为方式

与外部审计的影响2023/9/1759

安然审计委员会:不议事的议员主席,不治公司病的癌症中心总裁安然的审计委员会为何没能对后来暴露的财务问题引起警觉？6个成员中至少有1人与公司存在不当经济关系。问题的关键在独立，而安然审计委员会的独立董事却与公司管理层穿连裆裤。

--Delaware大学教授CharlesElson问题2在成员的地域组成：审计委员会成员来自美国、英国、巴西及香港,难得凑齐讨论日常事务。2023/9/1760管理当局的哲学理念和行事作风企业运作理念：1.胡雪岩现象：2.政治与企业经济的关系3.畸形的企业参政热情4.对待企业失败的不同态度5.企业运作思路的比较

2023/9/17612023/9/1762中国企业

国际企业关系法律经济利益经济利益法律关系2023/9/1763双聚集团理性决策：形成以肉类加工为主，养殖、屠宰、包装、彩印等紧密联系的产业群体，1998年集团实现利税2．95亿元，去年又突破了5亿元大关。资金控制：产品销售一律现款现货制度，原料采购实行生产试用合格后付款制度。财务管理：财务垂直管理、审计日常监督总裁万隆也不避讳：“管理是企业的生命，双汇赢就赢在管理上。春都集团妖言决策：收购和兼并了洛阳市旋宫大厦、等10多家扭亏无望企业；投资茶饮料等10多个大型工程；资金失控：12亿元贷款中，6．6亿元工程占用，2．3亿元用于兼并亏损企业，2亿欠款；财务虚假：1998年亏损4994万元，上报省贸易厅为利润2055万元。集团新任总裁赵海均坦言：“现在看来，春都在开展中确实是轻视了管理。〞2023/9/1764同是国务院确定的全国520家重点企业同是地处中原的肉类加工企业〔漯河肉联厂和洛阳肉联厂〕都始建于1958年，又都于1984年由省管下放到地方。1984年漯河肉联厂的资产总额是468万元，企业累计亏损534万元洛阳肉联厂当时的资产总额是2000万元，当年实现利税200万元。1986年，中国第一根火腿肠在洛阳肉联厂诞生，1992年漯河肉联厂生产出第一根火腿肠。1993年，春都集团实现工业总产值、利税分别到达11．599亿元、1．082亿元，而双聚集团仅为8．57亿元和7045万元。

2023/9/1765组织结构组织结构的定义：通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构。组织结构设计必须覆盖组织活动的全部形式：方案，执行，控制，监督组织结构设计的哲学意义：做什么？做！如何做？组织结构设计的2个限制：少一个不行；多一个冗余；部门功能必须是线型的、支持的，而非拦截的计划执行控制保证正确执行监督保证控制有效2023/9/1766组织结构的设计因素：确认授权和责任的关键领域；确认报告路径组织设计合理的流水线模式：三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？2023/9/1767企业成为权力角斗场的原因：1.组织结构设计不确定：对权力定义不清或定义错误,导致权力的松散；权力与责任不对称2.权力结构不稳定：权力成为公开招标物；导致冲突和耍政治手腕，而不是对责任及合格责任人的正当提供。2023/9/1768权力与责任的分配授权与指挥三忌：多头领导；越级指挥；管辖人员过多组织行为与责任的分配对组织目标的协同作用责任与报告2023/9/1769人力资源政策

脊髓比脑髓更重要

--爱因斯坦

人与制度之间的关系：假设员工素质良好，有信用，有正义感，即使某些控制措施缺失，企业也能行为标准，信息可信；假设员工油滑、无原那么、无正义感，即使有控制制度，企业也可能因此蒙受损失或名誉扫地。如何招人，如何评价，如何训练和育化，是内部控制的关键。

2023/9/1770〔二〕风险评估任何企业，不管其规模、结构、性质或行业如何，都会面临来自内部和外部的不同风险。

风险是客观存在的，而管理者的每一项决策本身就在创造风险，从而企业管理者只能谨慎地接受风险，并将风险维持在一个合理的水平之内，因此风险评估应该成为内部控制的主要组成局部。2023/9/1771风险是不能实现目标的可能性，企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时，必须设立可识别、分析和管理相关风险的机制，以了解自身所面临的风险，并适当加以处理。环境控制和风险评估，是提高企业内部控制效率和效果的关键。2023/9/1772〔二〕风险评估的要素1、目标2、风险3、环境变化后的管理2023/9/1773〔三〕控制活动控制活动是指管理者对所确认的风险所采取的必要措施，是帮助管理者确保各项指令能执行的政策和程序。

控制活动出现在整个企业内的各个阶层与各种职能部门，包括诸如核准、授权、验证、调节、复核营业绩效、保障资产平安以及职务分工等多种活动。2023/9/1774控制活动包括政策和程序两个要素，政策规定应该做什么，程序那么使政策产生效果，政策是程序的根底。

政策可能书面规定，也可能只是一个口头的指令而已，但无论政策是否做成书面，都应该前后一贯、彻底地加以执行。2023/9/1775政策一般针对某种情况，而执行程序必须视当时情况而定，如果只是机械地、被动地执行程序也不会取得理想的效果。

控制程序是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。2023/9/1776〔三〕控制活动的内容一般包括：1、经济业务和经济活动的授权、批准；2、明确有关人员的职责分工，并有效防止舞弊；3、凭证和账单的设置和使用应保证业务和活动得到正确记载；4、财产和记录的接触使用要有保护措施；5、对已登记的业务及其计价要进行复核，等等。2023/9/1777〔四〕信息与沟通围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并相互交换这些信息。企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部控制的一项要素，是企业内部控制过程的一个局部。2023/9/17781、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务；2、它不仅要有向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道；3、会计信息系统为企业提供本钱信息、营运信息、生产信息、库存信息等，是企业信息系统最为重要的组成局部。2023/9/1779〔五〕监督1、持续的监督活动2、个别评估3、报告缺陷2023/9/1780

企业内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的。

因此，要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。2023/9/17812023/9/1782ERM与IC-IFERM报告相对于IC-IF，有以下创新：提出一个新的观念——风险组合观增加一个新的目标——战略目标提出二个新概念——风险偏好和风险容忍度增加三个风险管理要素——“目标制定〞、“事项识别〞、“风险反响〞。2023/9/1783ERM的构成要素内部环境目标制定事项识别风险评估风险反响控制活动信息和沟通监控2023/9/17842023/9/1785ERM的四个目标战略目标经营目标报告目标合法性目标2023/9/1786各管理层在ERM中的地位和职责董事会管理者风险管理员内部审计人员其他员工2023/9/1787内部控制与风险管理的关系2023/9/1788黑社会与银行的内部控制水泊梁山的内部控制2023/9/17892023/9/17902023/9/17912023/9/1792内部审计在内部控制与风险管理中的作用传统的内部审计与内部控制风险导向的内部审计与内部控制和风险管理2023/9/1793传统的内部审计与内部控制内部审计过程中主要的步骤围绕着内部控制而展开，包括描述、分析、评价内部控制及扩大性测试。方法包括内部控制的描述方法、检查、穿行测试、观察、查询等。2023/9/1794风险导向的内部审计与内部控制及风险管理英国风险管理协会的意见:1、内部审计工作的重点应放在重要的风险上，审查贯穿组织范围的风险管理；2、为风险管理提供确证效劳；3、积极支持并参与风险管理程序；4、促进风险识别和评估5、帮助向董事会、审计委员会等提供风险报告。2023/9/17952023/9/1796IIA的审计实务准那么：帮助组织发现并评价重要的风险因素、帮助改进风险管理与控制体系；评价控制的效率与效果，促进控制的不断完善，以帮助组织保持有效的控制。2023/9/17972023/9/1798风险导向内部审计对内部控制与风险管理的逻辑框架〔风险导向的内部审计规划制定〕2023/9/1799风险导向审计对内部控制与风险管理提供确证效劳的技术方法标杆比较法2023/9/171002023/9/171012023/9/171022023/9/17103风险导向审计对内部控制与风险管理提供咨询效劳的技术方法控制自我评估法〔风险自我评估法或控制—风险—自我评估法〕1987年由加拿大海湾石油公司率先采用2023/9/17104控制自我评估法〔CSA)内容：确认风险；评价减少或管理风险的控制过程；开发用以将风险降至可接受水平的行动方案；确定实现业务目标的可能性。2023/9/17105展开形式：以目标为根底以风险为根底以控制为根底以过程为根底以部门为根底2023/9/17106方法：问卷调查(Questionnaire)研讨会〔Workshop)2023/9/17107优点：提高内部审计效率强调员工的参与性进行持续的评估与改进为企业管理层与员工提供内部控制的教育与培训2023/9/17108