适应公司治理和管理要求的现代内部审计文化王光远.ppt

适应公司治理和管理要求的现代内部审计文化,全国政协委员财政部内部控制标准委员会委员第四、五届中国内审协会副会长 厦门大学教授、博士生导师,王 光 远,一、会计审计的本质在于受托责任,1.受托责任的概念及其种类受托责任由来已久受托财务责任和受托管理责任企业受托责任和公共受托责任,什么是受托责任“受托责任是由于委托关系的建立而发生的委托关系建立后，作为一个受托人，就要以最大的善意、最经济有效的办法、最严格地按照当事人的意志来完成委托人所托付的任务。这种责任叫受托责任”。,1.受托责任的概念及其种类,受托责任主要包括以下四点：严格按照委托人的意图，最大善意地完成任务；用最经济、有效、严密的方法保管和使用由于完成托付的任务而获得的资源。建立必要的会计和内部控制制度，将完成的任务和因此而发生的资源的收支以及收支的结果据实向委托人报告。为了便于提出报告，接受审查，平常应对任务完成的情况，资金、资源收支使用的情况进行记录。为了证明这些记录是实在的，要保存一切足以证明完成受托责任情况的各种证据。,1.受托责任的概念及其种类,几个要点：委托受托关系完成任务报告这种责任相当宽泛：“一个人什么时候接受了对方委托的资源及运用、管理此一资源的权利，什么时候他就理所当然地要承担起这一责任，向委托人交待”,1.受托责任的概念及其种类,会计审计学者所界定的受托责任概念包括：委托人和受托人的委托受托关系衡量受托责任完成情况的标准受托责任的内容受托责任的报告,1.受托责任的概念及其种类,1.受托责任的概念及其种类,社会情境行动指令 行动信息报酬 关系（契约）对资源的权力（受托责任的解除）行动 社会情境,1.受托责任的概念及其种类,受托责任的种类受托责任可分为受托财务责任和受托管理责任“前者要求受托人尽一个最大善良管理人的责任，诚实经营，保护受托资财的安全完整，同时要求其行动符合法律的、道德的、技术的和社会的要求；后者要求受托人不仅应合法经营，而且应有效经营、公平经营，也就是说，受托人要按照经济性、效率性、效果性、甚至公平性和环保性来使用和管理受托资源”。,1.受托责任的概念及其种类,控制与受托责任：“本质上讲，控制是受托责任的需要，控制是对受托责任的控制，没有受托责任也就无所谓控制。”,1.受托责任的概念及其种类,公共受托责任 有专家提出五层次的“受托责任阶梯”（ladder of accountability）“正直守法的受托责任”（accountability for probity or legality），即总体上确保资金按授权要求恰当使用；“过程受托责任”（process accountability），即代理人遵守特定程序的适当性；“业绩受托责任”（performance accountability）和“程序受托责任”（programme accountability），这两类受托责任类似，关注整体的工作绩效和预定的目标是否达到；“方针受托责任”（policy accountability），这涉及目标与程序不明确、不确定时的受托责任关系。,一、会计审计的本质在于受托责任,2.受托责任循环过程责任的确立责任的履行责任的解除,一、会计审计的本质在于受托责任,3.受托责任的确立确立受托责任标准就是要给受托人确立一个要达成的目标长期目标短期目标所有目标的确立都依赖于管理会计和内部审计,一、会计审计的本质在于受托责任,4.受托人对受托责任的履行严格按标准行事随时揭示作业背离标准的差异并进行及时控制：管理业绩报告受托人履行受托责任的结果：财务报告受托责任的履行过程及结果依赖于管理会计和内部审计,一、会计审计的本质在于受托责任,5.受托责任的解除解除受托责任的唯一措施就是审计审查财务报告的是财务审计审查管理业绩报告的是管理审计,二、内部审计职业界面临的种种批评,内部审计就是那种盘旋于大海上空，看见船帆就飞过去乱叫一通，却对海中人无任何帮助的海鸥；内部审计就像是电影终结者里那无情无感的机器人，不管多么辛苦，也不管有多大压力，都努力地找寻不称职的主管、表现不良的员工，消除误导性业绩信息和糟糕的营运方案；内部审计是那种走也走不动、跑也跑不快的平足者，是爱挑毛病、找麻烦和管闲事的另类人；内审部门是一个老员工养老、等待退休的地方，是一间“大象的坟场”；,内部审计重在防弊而不是兴利，重在强化本位主义，而不是实现企业的总目标；内部审计人员只是在审查数豆子的人是否将豆子数得一粒不差；内部审计在重复外部审计的工作，重复地做财务系统的审查，而不关注业务系统；内部审计人员多是一批较少掌握信息科技知识的“机盲”，他们只懂得利用信息中心，而不懂得利用信息工具；,二、内部审计职业界面临的种种批评,内部审计报告都是些可预测的“陈词滥调”式的指责、批评，使各业务部门及其员工对内部审计人员颇多敌视；内部审计程序烦琐，有时审查过度、过细，有时审查时间过长，干扰业务部门的正常运行内部审计底稿成堆，审计主管复核费时费力，内部审计部门是一个劳动力密集的部门；内部审计部门是一个成本中心，而不是利润中心。,二、内部审计职业界面临的种种批评,三、文化视角下的内部审计准则,1.人人都是审计人员，但还需要独立的内部审计部门内审是以准则为依据内审无自己的利益内审既具有保护价值的功能，也具有创造价值的功能,2.支撑国际内部审计准则的基本理念,内部审计是一门艺术，基本准则是内部审计这门艺术的基本规则。基本准则的贯彻受内部审计部门履行职责的环境制约，所以，准则的焦点不是聚焦在个人身上，而是聚集于一系列团体，包括设置内审部门的组织、内审部门本身、内审部门主管以及个人执业者。基本准则是一个完整的体系，其中最重要的是“工作范围准则”。内部审计为整个组织提供服务，而不仅仅是为管理层提供服务。,3.风险导向内部审计准则,准则充分体现了风险导向内部审计理念，要求将审计计划与组织的风险相联系，特别强调关注组织的战略与计划，关注管理策略、方向、目标等的变动。所以，现代风险导向内部审计=经营风险导向审计+战略风险导向审计。,借鉴国际内部审计准则和西方发达国家内部审计的先进经验，使中国内部审计准则与国际内部审计准则相趋同，是制定准则的基本立场，也是准则前瞻性的要求。我国的政治、经济、文化与西方国家有所不同，我国内部审计的发展道路也与西方国家不尽一致，因此，必须考虑我国特有的环境对内部审计准则的影响，这是准则现实性的要求。,4.内部审计准则的国际化与国家化,准则只是约束人们行为的最低标准，而基于特定文化氛围产生的社会价值观则能使人们自发追求一种较为高层次的标准，因此，文化是一座冰山，而准则是暴露在冰面上的冰尖。中国内部审计准则必须符合中国文化的“和”“合”精神，以期建立一种互信、和谐、合作、参与、协调的审计关系。坚持国际化与国家化统一的前提是内部审计准则必须具有科学性，这种“科学”强调，准则的水准既不是人人可及的“全体及格”，也不是人人不可及的“全体不及格”。如果说内部审计准则是一剂药方，那么，我们不可以昨日之方来医今日之病，那会使人不求精进，落后于时代；也不可以明日之方来医今日之病，那会使人努力无望，放弃进步。,三类准则只有相互借鉴与包容，才能实现内部审计和外部审计成果的相互利用;政府审计准则的特点是简化、概括和强制，独立审计准则的特点是复杂、细致、趋同，而内部审计准则就要借鉴这两类准则的合理成分，兼具科学性、现实性和前瞻性的特点;,5.与政府审计准则及民间审计准则的不同,内部审计准则体系的特别之处：客观性是第一位的，内审人员应具有维持良好人际关系以及有效地与他人沟通的技能。应适时地进行后续审计。按利润中心、投资中心的要求，来组织和管理内部审计部门。重视问题的发现，更重视问题的解决。既当传声筒，更当转换器。不适合提“依法审计”，内审的依据主要是公司的战略、计划、预算、业务标准、管理标准、控制标准、技术标准，当然也包括法律、法规。,5.与政府审计准则与民间审计准则的不同,研究不同的内部审计需求可以有不同的证据充分性、相关性、可靠性，以便与审计委员会、业务经理、外部审计师进行有效的沟通；研究什么样的内部审计服务可以满足公司治理 的要求；研究持续性监督软件的应用问题；研究认定关键风险的指标并建立连续不断地认定风险并作出决策的信息系统；研究企业流程以认定舞弊、内部渐衰及关键风险的指标；研究实施咨询活动时如何保持内部审计人员的客观性；研究如何确保审计信息及管理信息的安全；,6.内审准则中尚待研究的问题,研究如何提高内部审计参与企业的购并效果；研究如何评估内部审计与外部审计相关联的确认性服务；研究内部审计与企业再造的关系；研究内部审计服务价值的评估问题；研究如何评估企业行为规范的价值；研究重要设施的风险及安全需求；研究内部审计与组织整合的关系；研究提高审计效能的技术与方法,6.内审准则中尚待研究的问题,7.恪守准则，超越准则,四、应有的职业谨慎与专业胜任能力,1.应有的职业谨慎 对被审计单位可能存在的问题保持必要的警觉，不说：过头的话、没有把握的话、没有根据的话。有知识不一定有能力，有知识、能力无经验也不行。有罪推定与无罪推定。,职业道德规范公正、客观、保密、胜任要记住：干净的杯子，才能装干净的水；在这变革以“秒杀”速度前进的时代，不要“法规熟律律，十句九举不”的食古不化，而要勇于接收改变、勇于面对挑战。,2.对职业道德的思考,职业道德规范有待关注的问题：不同行业对职业道德规范的影响不同经历和经验的内审人员对职业道德规范的影响不同性别的内审人员对职业道德规范的影响不同专业素养的内审人员对职业道德规范的影响,2.对职业道德的思考,3.专业胜任能力,内部审计人员专业胜任能力框架（CFIA,1999）,Ratliff&Reding21世纪审计人员的职责和必要技能(2002)21世纪的内部审计人员必须准备审查几乎所有的 事项经营活动、控制系统、经营业绩、信息与信息系统、法律法规的遵循、财务报表、环境报告与业绩、质量。审计人员必须掌握12种技能：分析和批判性思考(Critical thinking)的技能。充分了解审计对象（包括人、组织或系统）的有效方法。内部控制的新观念、新准则和新技术。认识和理解与审计对象及审计人员相关的风险和机会。,3.专业胜任能力,针对任何审计项目，制定审计的总目标和具体目标。选择、收集（利用一系列审计程序）、评估、证实审计证据，包括利用统计和非统计方法。利用多种形式向不同的审计报告使用人报告审计结果。后续审计。职业道德。在多种形式的审计报告中可应用的审计技术。理解独立性和客观性概念。全面了解风险、机会和审计证据的成本及重要性。,3.专业胜任能力,Moeller&Witt（1999）：一个成功的内部审计师必须具有的个人品质（除技术与专业资格之外）基本的公平与正直组织利益适度的谦卑专业化的姿态投入角色的一贯性好奇心批评性的态度,3.专业胜任能力,警觉坚持不懈精力充沛自信勇气作出合理判断的能力,4.用管理剩余风险的理念来主动积极地管理内审人员的客观性,管理威胁客观性因素的框架,识别威胁客观性的具体因素,自我检查（self-review）社会压力（social pressure）经济利益（economic interest）私人关系（personal relationship）审计师与被审单位的熟悉程度（familiarity）文化、种族和性别歧视（cultural,racial,gender bias）认知偏差（recognition bias）,5.快乐审计与文明审计,脸上有笑、嘴上有门、心里有数。,五、内部审计职能的界定与履行,1.防弊、兴利与增值的协调消极防弊、积极兴利和价值增值，既是内审的三大目标，又体现了内审的三个发展阶段防弊是兴利与增值的基础，只有做好了查错纠弊，才能进一步实现兴利与增值。安然、世通等公司舞弊案的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计进行抽查确认，而忽视对舞弊线索的追查,(1).总体分析、发现疑点、分散核查、系统研究,重大违法行为是指被审计单位和相关人员违反法律法规、涉及金额比较大、造成国家重大经济损失或者对社会造成重大不良影响的行为。审计人员检查重大违法行为，应当评估被审计单位和相关人员实施重大违法行为的动机、性质、后果和违法构成。审计人员可以通过关注下列情况，判断可能存在的重大违法行为：具体经济活动中存在的异常事项；财务和非财务数据中反映出的异常变化；有关部门提供的线索和群众举报；公众、媒体的反映和报道；其他情况。,发现重大违法行为的线索，审计机关可以采取下列应对措施：增派具有相关经验和能力的人员；避免让有关单位和人员事先知晓检查的时间、事项、范围和方式；扩大检查范围，使其能够覆盖重大违法行为可能涉及的领域；获取必要的外部证据；依法采取保全措施；提请有关机关予以协助和配合；向政府和有关部门报告；其他必要的应对措施。,兴利与增值是一致的，兴利是增值的外在表现，增值是兴利的内在要求。鉴于兴利与增值是内部审计的重要目标，故内部审计不宜与纪检监察共置于一个部门，特别是企业。强调防弊不能使其成为兴利和增值的绊脚石；强调兴利和增值不能以牺牲防弊为代价。内部审计应成为现代组织的“仁医”。,(2).增值的定位和渠道,内部审计活动增加价值的四大决定因素深入了解组织,包括其文化、重要的合作者以及竞争环境等有勇气以所有者未能料到的方式推动改革对职业公认能增加价值的实务有广泛的了解拥有足够创造力进行组织变革并得到令人惊喜的结果,超越所有者的预期产品（服务）增值标准：紧跟客户需求、体现参与与合作的理念、面向未来充满创造、科学系统的风险导向,内部审计人员有着广泛的专业面内部审计人员的专业背景涉及面很广，部分人员采取本组织中其他各机构的人员轮换的方式，余下的核心人员则具有丰富的内审实务经验与深厚的审计技能。审计人员高度职业化，超过75%的成员是注册的专业人员。审计人员都精通数据分析，能熟练运用审计软件解决问题。45%的内部审计机构在一定程度上将内审业务外包给更有专业资源的机构，以充分利用外部专家资源。,(3).增值的标杆,挑战性的工作环境内部审计机构倾向于让其成员广泛参与决策，以激发成员的创造力。机构负责人营造充满趣味、挑战性以及创造性的工作氛围。机构文化强调合作而非单独完成工作，然而却不失客观性。鼓励内部审计人员寻找完善经营的途径，而非仅仅指出内控的缺陷。,根据组织结构协调内审业务内部审计人员的组织及分配与组织的具体生产线、事业部相配合，小组成员相对固定，有利于内审人员深入了解某项业务并与被审计单位负责人形成稳定的人际关系。可以针对不同的经营领域安排“内部审计关系经理”（the relationship managers），负责与所在领域的管理层直接沟通，深入了解风险的变化并与管理层分享关于良好实务（best practices）的建议，讨论控制的缺陷。,进行参与性、高质量的、实时的风险评估将内部审计计划与组织的战略规划相联系，帮助组织实现目标。年度审计计划有着更多的灵活性，其中机动时间的安排一般会超过17%。审计中要不停地进行风险评估，考虑是否由于风险的变化而需要紧急安排计划中没有的项目。,内部审计服务形成了系列产品内审机构能够提供多样的产品，例如：风险基础审计、过程审计、自我评估、内部控制教育等。杜邦公司开发了内部审计服务系列八大产品：系统实施审查、改善经营过程、内部控制教育、内部控制评价、咨询、自我评价、过程审计、调查，成为内部审计增值服务的标杆。,确认的标准确认项目包括客观获取和评价证据的系统过程。这些项目需要事先确定的标准。项目涉及到将结果传递给相关使用者、除服务提供者或者被审查过程与领域中人员以外的第三者。这个第三方就是确认服务的客户，它决定着这项服务的价值。准则要求审计人员自主决定工作的范围，而不是由所查领域的业务管理者来确定。准则需要规定审计报告的形式和内容的要求。准则要提出对审计人员独立性和客观性的约束。,2.确认的标准、客户及类型,确认的客户确认服务的客户可能是：内部客户董事会、高级管理层、审计委员会、中级管理层等；外部客户供应商、消费者、股东、监管者、其他利益相关者等,确认的类型财务审计，包括像分部业绩报告审计和盈利产品线审计那样的传统鉴证审计，包括对外部财务报表审计的合作，还包括业绩指标审计（特别是政府部门，推行平衡计分卡的公司）业绩审计或业务审计，包括评估风险和对内部控制的适当性提供确认。快速反应审计（quick response auditing)，它通常来自于高级管理层的特殊要求，这包括舞弊调查，也包括评价和审慎性调查（Due diligence).,确认服务的相关问题确认服务的等级证据与确认类型和确认等级的关系向组织外部提供确认服务确认服务在舞弊调查中的性质,3.咨询的标准、客户及类型,咨询的标准准则无需规定审计人员应当自主决定其工作范围；准则也无需规定具体的报告要求，如要求出具书面报告或要求对项目结果进行后续审计；咨询服务过程中，如果委托人（业务管理者）认为某个领域做更多的工作已无多大价值，就可以让审计人员停止工作,咨询的类型评估服务（assessment services)，指对各种业务的过去、现在或未来的某些方面进行检查和评价，并以此信息帮助管理层做出决策。如系统设计对控制的评估、对特定的组织再造的评估、对外包流程节约程度的评估等。协调服务（facilitation services)，引导管理人员发现组织的优势和改进的机会。如控制自我评估、标杆管理（Benchmarking)、企业流程再造、协助制定业绩指标、战略规划支持等。补救服务（remediation services)，用于防止或阻止可疑的组织问题。这是与确认服务最不兼容的一类服务，它实际上是在履行一 项管理性职能。,咨询服务的相关问题混合项目确认服务和咨询服务的平衡内部审计从事咨询服务的限制咨询服务的风险和回报,4.确认与咨询的混合体:经济责任审计,(1).任中可审，离任必审(2).人格化与责任化的统一(3).关注绩效：成绩是相对的，问题是绝对的？抑或成绩是绝对的，问题是相对的？(4).关注控制、关注风险(5).关注责任:权责对等原则、历史原则、实质重于形式原则,5.预算资金走到哪里，审计就追踪到哪里；审计跟踪到哪里，整改就落实到哪里6.“热工作”与“冷工作”的关系：做好“热”的工作，保障“热”的工作质量，首先要做好“冷”的工作，学会理性思考，注重控制评价，善于研究业务、管理和技术的发展变化，不断提高工作深度,六、以投入产出模型为基础的管理审计,1.投入产出模型的含义投入产出模型，为划分管理审计提供了一项工具，该模型是根据审计的主题和所审查的业绩来划分管理审计。当审计人员了解到，所进行的审计是检查投入、过程、产出和结果某一方面或是几个方面，并且了解要评估哪些业绩时，他们就可以据此选择适当的审计方法。,投入产出基本模型,2.投入产出模型的目标这个模型的原理是获取投入资源，通过过程加以运用，以生产所要的产出产品和服务，实现某种想要的服务结果。该模型的目标是：（1）在需要时有适当的资金；（2）在适当的时间，以最低的价格，获得资金和适当类型、数量和质量的物质资源；（3）通过某个过程应用这些资源，以在适当时间提供适当类型、数量和质量的产出；（4）有效地开展所有过程，减少运营成本；（5）让消费者高度满意；（6）实现在项目任务和目标中所要求的服务。,六、以投入产出模型为基础的管理审计,由于模型包括所有范围的审计主题和业绩，因此，能够用于划分管理审计的具体类型，这些具体类型将协助审计人员选择适当的方法进行审计。审计人员可以依据审计目标，确立关注点是在投入、过程、产出还是结果，以及将要检查哪些业绩方面和所要改进的问题，而后决定所要使用的审计方法。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义对这个概念模型的投入过程产出结果的每一个维度，管理者和审计人员都有特有的业绩考虑。与投入、过程、产出和结果相关的业绩，见下表。,六、以投入产出模型为基础的管理审计,3、投入产出模型各维度的含义投入 投入是服务提供模型的第一个环节。组织必须掌握适当的资源，以完成使命和实现目标，这些资源包括资金、物质资源和人力资源等等，组织必须以适当的方式取得适量的资源。,投入(续）资金 在服务提供模型中，将货币资金做为一个维度有两种考虑：首先，组织需要有适当数量的资金；其次，当组织需要时应该可以得到货币资金，在需要时不能得到足够的资金，就无法实现想要的结果。这种情况如果出现在企业中，这样的企业最终会破产。,六、以投入产出模型为基础的管理审计,投入（续）资金（续）忠实（遵守要求）和保护，这两个职能适用此维度。“忠实”关注的是资金仅仅花费在授权的项目上并控制在批准的数量内。“保护”关注的是资金立刻存入银行和进行理性的投资，以获取最大报酬，防止损失，例如盗窃、舞弊和火灾等。,投入（续）物质资源，主要关注的是，当需要并且价格较低时，组织持有适当类型、数量和质量的人力资源和材料资源。,三、投入产出模型各维度的含义（一）投入（续）材料资源：一旦获得，材料资源主要关注它们是否仅用于已批准的项目，并采取了正确的保护措施，防止损坏，例如盗窃、火灾。保护活动（包括修理和维护）应以最小成本、有效率的进行。,投入（续）人力资源 一旦雇佣，雇员主要关注，他们是否得到妥善的保护，不会损害身体、威胁健康，以及他们的技术和能力是否得到持续发展和充分运用。员工高流动率会增加成本和降低运营效率，因此，将管理层和雇员的流动率维持在一个与组织运营需求一致的比例，是非常重要的。一个基本原则就是保持足够的薪酬水平，吸引和留住胜任的人才。,附加财务和非财务资源的投入产出模型,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义产出 企业通过管理和运作，把投入的资源转化为产出，再将适当数量和质量的产出提供给消费者。企业追求在投入一定的情况下，实现产出的最大化。,六、以投入产出模型为基础的管理审计,三、投入产出模型各维度的含义（二）产出（续）主要关注的是当需要时，能以所期望的最低实际成本提供适当数量和质量的产品或服务在有一些情况下，模型需要增加维度，如增加销售维度，这种情况是针对生产一个产品或提供一种服务，然后通过单独过程进行销售的组织。例如，福特汽车公司分别有一个制造汽车的过程和销售汽车的过程。销售过程的产出是依据销售金额或所提供服务的数量和服务单价计算所得的。,附加销售维度的投入产出模型,投入-货币资金,结果,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义（三）结果 盈利组织中7个广泛认可的结果是：（1）消费者满意；（2）市场份额；（3）收入；（4）利润；（5）资产或投资收益；（6）流动性；（7）每股股利。在最近几年，通常认为消费者满意度比获利能力和市场份额更重要。质量（服务或产品的）、效用和价格认为是消费者满意度的主要决定因素。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义结果（续）关注的业绩是所实施项目的相关效果。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义过程在投入、产出和结果三个要素概念之间存在两个过程资源获取过程和服务提供过程。过程把投入、产出和结果三个因素联系在一起。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义过程（续）获取过程主要关注的是政策、程序和所建立（和遵守）的控制，这些将合理确保当以最低价格需要时，能获取适当类型、数量、质量的物质资源。管理层应负责决策所需物质资源的数量和质量，以及何时应该得到这些物质资源。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义过程(续）生产/服务提供过程关注的是，应建立并遵循政策、程序和控制，以合理保证在需要时，以最低成本提供适当类型、质量和数量的产出。,六、以投入产出模型为基础的管理审计,3.投入产出模型各维度的含义过程（续）模型中，程序和控制存在于过程维度之中。过程、程序和控制必须帮助组织实现获取物质资源、生产和提供产出的五个业绩目标。它们分别是：（1）效率；（2）质量；（3）数量；（4）时间；（5）价格或成本。在完成这些目标的过程中，组织必须合理保护资产（投入和产出），并忠诚的遵守法律和法规。,七、后危机时代内部审计的战略调整,1.努力实现内部审计的系统化、规范化2.审计计划的战略调整,2.审计计划的战略调整首席审计执行官应按照组织风险预测的转变，及时调整内部审计计划的重点。对财富100强的首席审计执行官的调查显示，后危机时代中他们关注的第一大风险领域是经营风险和成本降低/抑制方面。第二大风险领域是信用、流动性危机以及处于财务困境中的第三方信息披露。审计范围在这两个领域有明显的扩大。不断扩展的业务审计内容要求首席审计执行官非常熟悉组织的业务活动，将内部审计方法更好地与业务流程相结合，不断向企业所有者证明他们的价值。,由于后危机时代的经济环境不稳定，当注意到管理层为应对经济环境采取行动时，首席审计执行官需要快速做好准备改变审计方向。由于不断变化的商业环境以及有限的资源，审计重点在不断的发生变化，审计计划应具备一定的弹性，不再仅仅作为一个每年制定并在一定周期内执行的工具。涉及到审计计划调整的事项应该一直在监督范围之内，由于经营活动和控制活动不断发生变化，原本发生几率较低的风险可能会增加，于是需要首席审计执行官经常进行风险评估。,制定审计计划时，首席审计执行官应考虑以下内容：当管理层召开会议讨论应对经济状况的相关计划和策略时，确保自己能够参加会议，关注相关的风险以及对执行即时或连续审计的需求。确保在与组织成本相关的计划和策略中能考虑到组织的信誉风险。考虑如何运用信息技术来扩大审计范围和结果。考虑每季度向审计委员会提交一次最近发生事项的概要，管理层的策略、成本方案以及由此产生的风险和变化均应在审计计划中有所反应对影响组织效益的风险扩大检查范围，如流动资金、信用、第三方合同、服务协议、存货估价和控制。经常开展业务审计，一些成本控制和收入提高的机会可看做“轻易实现的目标”，如工程和基本建设项目、合同履行、公司信用卡交易和收费等。,IIA的一项最新调查显示，自本次经济危机爆发以来，由企业员工和外部人实施的舞弊活动呈现出上升的趋势。增长最快的舞弊活动是盗窃公司财产和资源（包括商业机密），紧随其后的是监守自盗，例如费用账户舞弊、第三方或卖方舞弊。,3.对舞弊问题的特别关注,IIA主席兼CEO Richard Chambers在一份声明中表示：“在我30余年的内审职业生涯中，我曾多次目睹经济衰退的到来和消逝，它们以一种可以预测的方式对企业造成了影响。这次经济衰退与以往我们经历过的多次衰退一样，为舞弊频发创造了客观环境，但这些动荡之时也是内审活动展现自身价值的绝好时机。”,首席审计执行官对舞弊的关注提倡在组织的业务单元内部开展自我评估活动，由经营管理层承担控制和舞弊监督责任。自我评估作为一个持续不断的监督工具，能够有助于审计资源从合规性测试向检查自我评估系统的发展趋势和有效性方面转变。通过检查自我评估问卷、调查表、清单的结果，内部审计人员能够获得关于可能会导致舞弊的控制弱点的有用信息。特别关注容易产生舞弊的领域：公司采购业务、销售佣金和奖金、应付工资、加班、费用报告、存货、应付款项反舞弊就是“反”出来的，“改”出来的，它无法通过“发展”来解决,内部审计师在舞弊风险管理中的作用,（1）增强公司反舞弊意识、沟通和培训；（2）检查系统及其相关政策、程序和控制；（3）开展对主要风险、高风险领域的常规审计；（4）检查特定的财务活动；（5）实施后续审计程序；（6）开展风险评估和风险导向审计；（7）提升内、外部审计小组及其他项目的协调合作水平；（8）增强首席执行官、高级经理和业务经理的反舞弊意识、沟通及培训；（9）开展或辅助开展舞弊检查；（10）进行数据的采集和分析。4.重新认识内部控制五要素，推行以风险为导向的监督机制,监督扮演整合内部控制其他组成要素的功能，它将内部控制的其他四个组成要素环绕包围，帮助企业评估其内部控制是否有效运作，并协助组织达成下列目标：及时的识别与纠正内部控制问题 提供更正确、更可靠的信息 编制正确且及时的财务报告 通过监督可定期确认与验证内部控制的有效性,监督要素的有效运行可以通过三种方式为组织提供价值:使管理层和董事会能够确定，内部控制系统是否随着时间流转，而持续有效地运行。通过一些方式提高组织的整体效率和效果，如：及时提供证据，表明内部控制的设计或运行己经发生或可能发生变化，从而在控制缺陷重大地影响内部控制系统实现组织目标的能力之前，帮助组织识别和纠正控制缺陷。能促进良好的控制运行。当内部控制的负责人知道他们的工作要接受监督，他们就更可能恰当地履行职责。,监督是一个动态的过程，包括风险排序、识别关键控制、识别有说服力的信息以及执行监督程序，每一个步骤都在某种程度上持续运行。,了解企业实现目标面临的风险，并排序,透过风险评估辨识重要控制,开发并执行符合成本效益的程序以评估那些有说服力的信息,识别能够有力说明内控系统是否有效运行的信息,确定信息,控制辨识,执行监督,风险排序,在引导组织度过经济动荡时期的过程中，首席审计执行官发挥了比以往更积极、更富有战略意义的作用，并与其他利益相关者一起改变组织的风险管理和治理文化。利益相关者期望内部审计人员能够发挥更具战略意义的作用。内部审计活动应转向企业风险管理流程以及影响组织效益的风险、内部审计人员应该为各利益相关者提供确认和咨询活动，要确保组织准确报告相关业务活动、风险和结果。,5.治理审计的战略调整,加强与审计委员会的交流当审计委员会更加关注组织的风险和风险管理流程时，内部审计人员可以通过与审计委员会的交流，从以下几方面为组织增加价值：在定期会议或特别会议中，为审计委员会成员提供风险管理培训，帮助他们熟悉风险管理术语并掌握划分风险优先等级的方法扩大与董事会关于风险管理的讨论，包括短期和长期战略风险评估，而不仅仅是一份风险热力图或风险清单在提交给审计委员会的每份文件中，列出组织中存在的前十大风险，并指出这些风险与审计计划的关系积极地协助其他风险和控制职能部门，识别出其后即将发生的十大风险除了常规的面对面交流外，还需通过电话和电子邮件等方式来增加非正式的沟通识别并报告普遍存在的影响组织效益的事项，如与流动性、裁员、舞弊等有关的风险,更加关注治理审计当前的经济危机清楚地说明了许多组织治理的失败，同时治理中包含了组织对风险的战略反应，因此首席审计执行官应更加关注治理审计管理层和董事会都在尽其所能的引导组织，他们需要更深入地了解整体风险管理流程和治理过程，内部审计人员可以协助管理层，共同讨论组织的治理过程，界定和理解组织的整体治理结构。风险管理是一项重要的责任，由管理层和董事会负责。内部审计人员应该通过检查、评价、报告风险管理流程的适当性和有效性并提出改进意见，对管理层和董事会提供帮助。组织成功的重要原因包括拥有一个优秀的董事会、一个积极规避风险的风险管理流程和良好的道德文化。,推动治理的机会后经济危机时期内部审计帮助组织改善治理的新机会：帮助审计委员会更好地理解组织的治理流程，同时强化组织的治理活动，实现治理由形式到实质的转变为审计委员会成员提供培训课程，以便他们加深对治理和风险管理最佳实务的理解确保首席审计执行官在行政上向CEO报告，从而加强内部审计的地位和权威性提高首席审计执行官的专业技术和胜任能力，以保证其在治理层面得到信赖强化内部审计职能作用的发挥，使其涵盖战略业务风险和治理信息沟通从审计部门到管理层，或从管理层到审计部门，各层级的透明度要高反对将内部审计仅定位为合规性审计，而应按照IIA对内部审计的要求来全面开展审计活动。,应对治理风险的方法传统的确认和咨询法:分治理较为成熟和不很成熟组织与人力资源部合作开展问卷调查审计外包依靠董事会的自我评估与董事会或其各委员会合作与法律部门或第三方专家合作与风控部门保持良好的关系内部审计人员建立这种交流关系时，应确保任何一块区域都有专人负责，审计人员可以基于业务活动来架构自己的知识体系，并能做到根植于组织的风险管理战略与外部审计师合作通过参与经验交流会和风险讨论会与外部审计师建立合作关系，同时更加注重外部风险而不是内部风险。如自由讨论的议题可以包括新出现的会计事项、法律法规或风险事项、当前存在或引申的监管问题、同业公司关于风险披露的比较等,经济危机凸显了对于强化风险管理的迫切需要。首席审计执行官应率先确保风险管理在整个组织的有效运行，让内部审计在组织中扮演战略伙伴和风险管理捍卫者的角色。后经济危机时期，人们对风险管理的关注更多的从战术层面转向战略层面，这种转变对于内部审计师既是机遇也是挑战。要使得风险管理发挥作用，组织必须积极而迅速地回应风险事件。,6.以战略性视野关注风险管理,内部审计成为风险管理的战略伙伴风险管理中内部审计应采取一些措施，确保管理层做出审慎的风险决策并实施恰当的风险监控程序。内部审计师应督促管理层了解是否在坚持组织的道德、文化和政策、对风险的评价是否准确、是否与组织的风险偏好相一致、是否有适当的风险监控程序和触发机制内部审计要解答审计委员会在商业战略和风险方面的疑惑，加强与高管层和审计委员会之间的交流，取得一定的信任。内部审计通过对实践、整体监管战略以及组织的风险偏好等方面提出严格的问题，确保组织形成一套成熟的风险管理体系。内部审计已成为风险管理的战略伙伴，这种情形也表明内部审计在企业高层存在证明其价值的机会。,协助组织实现向战略风险管理转变内部审计应协助组织实现向战略风险管理转变，首先便是对组织风险管理流程开展审计。评价风险管理流程时，审计人员应关注所有业务流程：结合组织的风险管理流程，评价其结构、作用、报告路径及沟通交流情况确保组织设定了适当的风险偏好并已传达至整个组织评价组织的风险评估流程，包括连带效应的影响，因为它们可能导致更高级别的风险甚至是灾难性风险评价管理层对整体风险的责任，同时评价各责任主题对个别风险的责任确保风险管理流程深入到每一个业务单元及其战略规划中,在组织的风险偏好内，评价薪酬分配和激励计划的有效性根据风险框架和通用的“风险语言”，阐述风险的透明度、受托责任及关注焦点确保风险评估流程的动态性，并定期更新，以保证组织的风险预测是最新的评价信誉风险对组织中所有流程、活动和职能部门的影响审计人员应确保管理层在组织的风险管理框架中涵盖了COSO的风险管理框架八要素，从而保证组织管理活动的完整性和连贯性,协助组织实现向战略风险管理转变（续）两种风险评估方法组织应考虑增加风险发生率、如何应对和如何恢复等因素拓展风险热力图，评价风险发生的可能性及其影响对整个组织的风险管理应对进行评价，并将重点放在情景规划上风险管理中一个最根本的问题是内审人员常常困扰于检查表法。内部审计师应从一张空白的清单开始，重新评价事项，然后再考虑关联风险，这样可以获取之前风险评估没有发现的信息。内部审计师应时刻关注“什么风险将会使组织陷入困境？”,推动组织采用更具战略性的风险管理方法内部审计师可以采取以下措施：提高风险评估的质量，增加风险评估的频率，做好报告工作推动组织内部有关风险管理的讨论将风险管理视为内部审计人员的核心技能，保证审计人员能够获得适当的风险和风险管理实务方面的培训评价组织的业务计划，判断在组织战略中是否合理考虑到风险因素，是否进行风险监测并设置触发机制结合COSO的风险管理框架，促进组织风险管理的改善评价年度报告提出一些问题，如是否恰当地披露和讨论了企业的风险；持续监督和评价利益相关者对于风险及风险管理相关的期望，协助开展针对利益相关者的培训工作；加强与组织中其他风险和控制职能部门的联系，以更有效地识别风险；发现并分享风险管理最佳实务。,八、过程导向的内部审计报告,1.当前审计报告实践中存在的问题审计主管将一位训练有素的审计师完成的报告初稿撕成碎片、推倒重来。审计的客户只关心审计结果，只期望首席审计官尽快提交最终审计报告，而毫不关心报告的撰写过程。过多的复核层级和复核程序，使得报告的撰写花去了太多的时间和预算。,八、过程导向的内部审计报告,1.当前审计报告实践中存在的问题（续）大多审计人员关心审计过程远胜于关心审计报告，