内部审计学（第2版） 课件 【ch03】 内部审计的角色和作用

内部审计的角色和作用“华信经管创新系列內部审计学（第二版）第三章01三线模型010203040506原则1：组织治理

原则4:第三线的职责原则2:组织治理机构的职责原则5:第三线的独立性原则3:管理层和第一、二线的职责原则6:创造和保护价值三线模型（一）三线模型的原则国际内部审计师协会(IIA)发布的“三线模型”如图。三线模型（二）三线模型中的关键职责THECONNOTATIONOFCORPORATECULTURE(1)受利益相关方的委托，监督组织运行情况。(2)与利益相关方一道监督其利益，并对实现组织目标与利益相关方保持公开透明的沟通。(3)建立一个鼓励职业道德行为和问责的组织文化。(4)建立组织治理的结构和流程，其中还包含根据需要建立辅助性委员会。(一)组织治理机构三线模型（二）三线模型中的关键职责THECONNOTATIONOFCORPORATECULTURE(5)将职责分配给管理层，并为其提供完成组织目标所需的各种资源。(6)确定组织的风险偏好，并监督组织风险管理工作(包括内部控制)。(7)保持对合规工作的监督，确保各项工作符合法律、法规和道德规范的要求。(8)建立一个独立、客观、胜任的内部审计部门，并对其进行监督。(一)组织治理机构三线模型(二)管理层(1)领导并指挥各项业务(包括相关的管理风险),运用各种资源，完成组织目标。(2)与组织治理机构之间保持沟通，并向其报告与实现组织目标相关的计划、实际情况和预期，以及相关风险。(3)为组织的运营和风险管理(含内部控制)工作搭建适当的结构和流程，并对其进行维护。(4)确保各项工作符合法律、法规和道德规范的要求。第二线的职责主要包括以下内容：(1)提供补充性的专业知识，发挥支持或监督作用，并对风险管理相关工作提出合理质疑。(2)对风险管理(含内部控制)的准确性和有效性进行分析和报告。三线模型(三)内部审计(1)为管理层和治理机构就组织治理和风险管理工作(含内部控制)的准确性和有效性提供独立客观的确认和咨询，支持组织实现目标，推动并协助组织不断完善。(2)将有损内部审计独立性和客观性的情况报告给治理机构，并根据要求采取保护措施。三线模型(四)外部确认提供方外部确认提供方的主要职责包括提供额外的确认服务：(1)满足有关保护利益相关方权益的法律和法规要求；(2)作为内部确认服务的补充，满足管理层和组织治理机构的需求。三线模型(一)组织治理机构和管理层(第一、二线职能)的关系组织治理机构会通过确定组织发展愿景、使命、价值以及风险偏好为组织明确发展方向。确定发展方向之后，治理机构会将实现组织目标的各项职责和必要的资源分配给管理层。治理机构还要接受管理层关于计划、实际情况和预期结果的报告，以及关于风险和风险管理的报告。对于不同的组织而言，治理机构和管理层之间可能会存在职能交叉或相互独立的情况，其程度也各不相同。治理机构或多或少都会“插手”组织战略和运营方面的事务。治理机构或管理层都有可能领导或共同承担组织战略规划制定工作。三线模型（三）核心职能之间的关系(二)管理层(第一、二线职能)和内部审计的关系内部审计相对于管理层的独立性，能够防止其在制订计划和开展工作时受到阻挠或偏听偏信，并能够根据工作需要不受限制地接触相关人员，获取资源和信息。内部审计对组织治理机构负责，但是独立性不意味着完全孤立。内部审计与管理层之间必须保持定期互动，从而确保内部审计工作的相关性，且能够与组织战略和运营需求保持一致。三线模型（三）核心职能之间的关系内部审计对组织治理机构负责，有时也被称为组织治理机构的“眼睛和耳朵”。组织治理机构负责对内部审计进行监督。(三)内部审计和组织治理机构的关系三线模型组织治理机构、管理层和内部审计各自具有明确的职责，但是所有的活动都必须与组织的目标保持一致。保持一致的基础是各职能之间定期进行有效的协调、合作和沟通。(四)所有职能之间的关系三线模型(一)结构、职能和职责属于第一线的管理部门要承担与其业务相关的风险管理职责。第二线的职能可能会包含对风险管理相关的事务进行监督，提供建议、指导、测试、分析和报告。第三线的显著特征就是保持相对于管理层的独立性。三线模型的各项原则对内部审计独立性的重要性和本质特征进行了描述，将内部审计与其他职责进行了区分，明确提出了内部审计具备提供确认和咨询服务的独特价值。三线模型（四）三线模型的应用(二)监督和确认组织治理机构依靠管理层(由第一、二线职能部门组成)、内部审计和其他部门的报告来履行监督职责，并实现既定目标，从而履行对利益相关方所负的责任。管理层利用第一手的实务经验和专业知识，针对工作计划、实际情况和预计结果、风险、风险管理提供有价值的确认(也可以视为其开展工作情况的证明)。属于第二线的部门负责对风险相关的事务提供额外的确认服务。由于内部审计独立于管理层之外，因此与第一、二线部门相比，内部审计提供给治理机构的确认具有最高水平的客观性和可信度。组织可以通过外部确认提供方获得进一步的确认服务。三线模型（四）三线模型的应用(三)相互配合并保持一致高效的组织治理要求对职责进行合理的分配，并通过相互合作和沟通，保持各项活动高度一致。治理机构希望通过内部审计的确认，能够了解组织治理结构和流程的设计和运行是否符合期待。三线模型（四）三线模型的应用02内部审计在组织治理中的角色和作用

010203组织治理概述内部审计在组织治理中的作用提升内部审计在组织治理中地位的途径内部审计在组织治理中的角色和作用（一）组织治理概述THECONNOTATIONOFCORPORATECULTURE组织治理或公司治理是被监管者、投资者、注册会计师和董事会经常使用的、含义广泛的概念。世界经济合作和发展组织将公司治理界定为“涉及公司管理层、董事会、股东和其他利益相关者之间的一系列关系。在大多数情况下，治理是一个过程或是一种体系，是动态的进程，而不是静态的规定，进而将治理界定为“董事会实施的各种流程和架构的组合，用以了解、指导、管理和监督组织的活动，目的是促进组织实现目标”。内部审计在组织治理中的角色和作用010203维护组织各利益相关方的利益，促进组织治理目标的实现。促进组织治理效率的提升，为组织增加价值。优化组织治理结构，提高组织运营效率。内部审计在组织治理中的角色和作用（二）内部审计在组织治理中的作用（三）提升内部审计在组织治理中地位的途径内部审计机构在制订审计计划时应当考虑组织的所有治理过程，特别是具有高风险的治理过程和风险领域，因为这些领域也是董事会和高级管理层关注的重点。内部审计机构直接隶属于审计委员会，确保了内部审计在组织中的权威地位和独立性。内部审计直接向审计委员会报告审计结果，提高了内部报告流程的效率和效果。内部审计机构还是帮助审计委员会履行其职责的一个重要工具。内部审计人员能够帮助审计委员会获得对组织的风险和控制以及组织财务信息可靠性的理解。内部审计在组织治理中的角色和作用03内部审计在风险管理中的角色和作用

（一）风险管理概述THECONNOTATIONOFCORPORATECULTURE风险管理对于维持企业生产经营的稳定性、提高企业的经营效益和树立良好的企业形象具有重要意义。有效的风险管理可以使企业充分了解自己所面临的风险及其性质和严重程度，及时采取措施避免或减少风险损失，或者当风险损失发生时能够得到及时补偿，从而保证企业生存并迅速恢复正常的生产经营活动。有效的风险管理可以降低企业的费用，从而直接增加企业的经济效益；增强企业扩展业务的信心，增加领导层经营管理决策的正确性，从而降低企业现金流量的波动性；有效的风险管理还有助于创造一个安全稳定的生产经营环境，激发劳动者的积极性和创造性，为企业更好地履行社会责任创造条件，帮助企业树立良好的社会形象。内部审计在风险管理中的角色和作用内部审计在风险管理中的角色和作用（二）内部审计在风险管理中的确认和咨询作用1、内部审计在风险管理中的确认作用内部审计通常可以对以下三个方面提供确认：(1)风险管理过程，包括其设计和运行情况；(2)对主要风险进行管理的措施和效果，包括控制的效果和其他应对措施；(3)可靠、适当的风险评估及对风险和控制情况的报告。内部审计为组织增加价值的两种最重要的方式是为主要业务风险已经得到适当管理层的关注提供客观的确认，以及为风险管理和内部控制框架正在有效地运作提供客观的确认。内部审计在风险管理中的角色和作用（二）内部审计在风险管理中的确认和咨询作用(二)内部审计在风险管理中的咨询作用内部审计对组织风险管理咨询工作的深入程度取决于其他资源，包括董事会所能够获取的内部和外部的资源，还取决于组织的风险成熟度，并且可能会随时间而变化。内部审计可以发挥其在风险管理领域的咨询职能，包括推动风险的识别和评估，指导管理层如何应对风险，协调组织的风险管理活动，合并风险管理报告，维护和发展风险管理框架，倡导组织树立风险管理的理念，以及制定风险管理战略提交董事会审批等。内部审计在风险管理中的角色和作用04内部审计在内部控制中的地位和作用内部审计在内部控制中的地位和作用0102在内部控制的构成要素中，内部监督是不可或缺的重要组成部分。不论是组织内部控制环境的营造，还是风险评估和