1、道德规范/合规情况
《萨－奥法案》对提供舞弊证据的上市公司雇员保护
对道德规范/合规投诉内审作什么？
   1、制定书面政策和流程，并对投诉进行调查
   2、监督管理层落实投诉解决办法有关决定，否则内审职业生涯受到损害
 《萨－奥法案》规定：CEO CFO，报表被要求更正，其奖金和利润将被剥夺，即报告报出之前12个月内权益报酬（所持股票分红），或剥夺12个月内出售证券得到的利润（SEC：美国证券交易委员会）
 上市公司的内审必须遵守《萨－奥法案》报告合规情况：
    1、强化的利益冲突条款，规定管理人员不得以公司名义给个人贷款或借款
    2、管理层和主要持股人参与公司交易，报告自己直接或间接持有10％股票
    3、高级财务官员道德规范，要求披露道德准则，以及对其的修改
2、风险管理
 内部审计作用：以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制，从而解决风险，对风险评估一般具有较高的审计优先顺序，评估重点是管理过程的充分性和有效性。如果有部门提出要求，内审可以帮助机构进行风险管理的初步建立工作，咨询业务可作为保证业务的补充。必须明确内审可以促进、协助风险管理过程的建立，但不负担风险管理责任（在管理层没有识别风险时，审计可以协助识别，而不是帮助建立制度，制度建立是管理层的责任）
3、保密
 对外发布信息：一般而言是董事会或审计委员会的责任，不是内部审计的责任，当非法律部门要求披露审计信息时，可将这一要求报董事会或审计委员会
4、信息或物理安全
 薄弱环节：是指系统可能被不良目的所利用的某些方面，包括系统弱点、安全漏洞和实施缺陷，内审对其进行评价和检查纠正的落实
 定期评价合规：向董事会或审计委员会定期报告，报告包括：物理安全的环境风险和未经授权的访问保安，遵守法律、法规有关隐私规定
 防止获得口令的最有效办法：使用者使用卡片自动产生口令，密钥介入每次口令不同
E 治理、风险和控制知识要点
1、可选择的公司治理模型
治理：就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为
 公司治理：是指对公司的统治和支配，它决定运营的目标和方向，治理过程就是对管理层执行的风险和控制过程加以监督。研究投资人和公司各级管理层、外部利益互相作用和影响关系。治理程序的核心是：监督和控制，公司治理的实现是控制权。
 公司治理程序：
     1、公司权利机构（股东大会）、决策机构（董事会）、执行机构（高级管理层）三者之间的分立制衡关系
     2、治理程序体现在与各个经营管理层的委托关系，通过内部控制制度构建，董事会是核心
 治理模型：
     1、英美国家的股东主权模型，融资结构以股本为主，股权分散，参与不多，收购容易并形成垄断
     2、德日国家的共同治理模型，融资结构中银行占有很大比率，银行集股东和债权人于一身，公司负债率高，产生了股权与债权共同治理的模式，控制权集中，容易形成腐败和结派
2、可选择的控制框架
 内部控制：是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。通过计划、组织、实施来保证目标实现，从三方面理解：
     1、“内部”涉及组织的董事会和各个部门，通过内部指令完成，不是外部（政府、其他组织）
     2、控制服务于组织的目标
     3、控制不能必然保证目标实现，来自组织内部和外部的影响，就是风险，发现处理风险，把它降低到最低程度，就是风险管理
 内控框架（COSO）和保证实现的组织目标
    1、组织运行的效果与效率：效果：实现目标的程度，如利润多少，效率：资源的投入产出量
      产出量：产量、利润、工作量或其他可以测得的成果
    2、财务报告的可靠性和完整性：可靠：内容的真实，完整：全面、详尽反映资产负债和经营情况，财务报告不真实、不完整往往是组织重要风险之源
    3、符合相关的法律和合同，违反法律和合同会给组织带来风险
    4、资产的安全：不因不当行为而损失、不当经营而减少、不当使用而低效、不当处置而贬值，保值增值是股东的最根本的利益体现
 参见评估风险框架
3、风险的词汇和概念
风险的种类：
  1、行业风险：对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析，从而确定本组织的发展方向、竞争优势和竞争策略
  2、组织风险：分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析
  3、沟通风险：实际上是信息风险与关系风险的总称，信息风险：信息不准确、不及时、不完整造成的决策失误或缓慢的风险。关系风险：沟通不力，或不能很好地了解信息知识出现对信息的误解，并导致不适当的行动，进而造成客户丧失、机会损失或士气低落以及各种冲突
 公司合并的风险含有文化差异的风险，这些风险是内审应当考虑
4、风险管理技术
风险管理技术：1、风险评估框架 2、风险防范系统
风险评估框架：1、风险评估：确定评估范围与方法，收集和分析相关数据，对结果进行说明
              2、风险缓解：确定风险可能发生的范围、可能性、可能损失，采取的保护措施
              3、不确定性分析：充分收集有关情报，借助一系列技术手段模型分析
风险战略目标最优化：股东价值最大化
5、不同组织结构中的风险/控制内容
 1、部门设置：根据工作特征设置，部门多管理分工细，但管理效率低，成本高。部门少部门内部二次分工，增加层级数，信息传递容易失真，指挥效率低
 2、管理层级：划分为高层、中层、基层，分管不同任务
 3、管理跨度：管理者或管理层直接指挥的下属人员或部门的数量，它取决于管理者的能力和偏好和组织结构，跨度大，层级少，跨度小，层级多，授权下属决策，但不能转移对决策结果的最终职责
组织机构类型：（机构设置带来的风险，即缺点）
  1、机械式：分工明确、弹性小，技能要求低，适应稳定环境，包括：职能型、分部型
  2、有机式：弹性大、适应变化，参与决策，分工不明确，技能要求高，适应不确定环境
             简单结构：集权小型企业
              矩阵结构：产品部门化＋职能化，复杂而又独立项目＋专家组合，缺点：不统一指挥增加部门的模糊，混乱产生于不知向谁报告（报告产品经理、职能经理），会培养权力斗争的种子
              网络结构：一个小中心，通过职能外包，进行运营，经济灵活，缺点：控制力、质量保证、信息保密有损害
   3、有机附属结构：在有机结构不变的情况下，部分单位设置为机械组织，方法：成立任务小组结构、委员会结构
6、不同领导风格下的风险/控制内容
 领导风格类型：1、任务驱动型：倾向于用权威命令指挥任务完成 2、关系驱动型：通过沟通协调调动积极性
 领导方式类型：1、自由放任式：在工作比较复杂，有充分信任和技术保证前提下
               2、体贴式：士气不振或分工明确、环境复杂目标难以完成下
               3、民主式：发挥专业优势下，有一定信任程度，同时能统一意见下
               4、结构式：按部就班领导成员完成任务
7、变革管理
 流程再造：在现有的资源的基础上重新建立一个新的组织，不是纠正已经发生或正在发生的错误的事
 造成的阻力：1、不确定性，造成担心工作的稳定，从而产生抵触
             2、关心个人得失
             3、认为变革不符合组织利益，造成失业、人员分裂、工作关系变化
 解决手段：1、教育和沟通  2、鼓励参与 3、推动支持（积极行动肯定）4、谈判和协商 5、修改隐私部分信息（敏感问题分布进行，避免集中爆发） 6、公开和私下强制
8、冲突管理
冲突类型：功能正常的冲突，属于建设性的 功能失调冲突，属于破坏性的
产生冲突根源：沟通差异，沟通渠道有噪音，影响理解
              结构差异，部门从各自利益出发形成的意见不一致
              人格差异，独特的格产生的不信任，陌生，难合作
解决方法：回避：不属于主要冲突，可以不关注
          迁就：顺从别人的目标，把别人目标看的比自己高
          强制：牺牲别人
          妥协：双方做出有价值的让步
          合作：开诚布公讨论，关注对方意见，没有时间压力，问题十分重要不能妥协
激发建设性冲突：改变组织文化、运用沟通、引进外人、重新构建组织
9、管理控制技术
预算：计划大量化说明，把有关的经济活动计划用数字和表格的形式反映出来
 全面预算：以利润为目标，以预算销售为基础，综合协调其他预算结果，对企业全部经济活动及其成果进行预算，包括：生产经营预算，财务状况和经营成果方面的预算，分类：业务预算、专门预算和财务预算
 常用工具：增量预算、弹性预算、零基预算、滚动预算、KAIZEN（日本，预算期内累计不断改进）
10、控制类型
按时间分：事前，预防性控制
 事中，典型的就是监督视察
 事后，实际与标准比对，如分析投诉、客户回访、监督退回
按功能分：预防，审计客户信用、采用招标、职责分离、将任务分给胜任员工、使用密码
 检查，核对账目、物资清点、对比检查
 指导，政策、指南和手册，如要求从业资格、保证毛利率、出勤率
 纠正，纠正程序、控制和例外报告
 计算机，综合控制和应用控制 F 计划审计业务（熟练掌握）
1、开展与业务委托人的初步沟通内容：
   1、沟通审计工作计划
   2、讨论审计的目标和审计方式
   3、要求委托人报送资料
   4、进行其他沟通
2、对审计业务范围实施初步调查
   1、了解审计业务的活动
   2、获取有利于审计的信息
   4、需要特别关注的领域
   3、决定如何开展下一步工作
   分析性复核：对调查取得的信息进行分析和评价的基础上初步形成调查结论，该技术不能确定具体舞弊行为，如果审计发现有舞弊存在，直接调查而不用该法。运用方法：
     1、比较前期和后期的类似信息
     2、比较目前与预算
     3、财务信息和非财务信息研究，发现影响关系
     4、研究因果关系
     5、比较部门之间类似信息
     6、比较与行业类似信息
     7、比较实际与审计期望值
   基准比较（标杆管理法）：用最佳行为作为基准比较，基准来自企业自身、竞争对手、行业最优点范围内选择
   实施面谈：面谈后对有关事项和达成的结论编程纪要，便如工作底稿，对初步显示的问题决定扩大性测试
    查阅以前审计报告和其他资料
    绘制流程图：水平流程图（涉及部门）、垂直流程图
    编制检查清单：在初步检查的最后阶段，编制检查清单
 3、完成相关领域的详细风险评估：在制定年度计划时，从全局高度审视组织风险并评价，在初步调查的基础上制定计划，这里强调的那个风险最大
4、与各方面协调审计业务工作
   a 外部审计师协调：首席审计执行官应当与提供保证和咨询业服务的其他内部或外部服务提供分享信息、协调工作，保证合署的工作范围并最大限度地减少重复工作，包括：讨论会、借助工作底稿、审计报告和管理层信件的交换、审计技术的理解
   b 外部法规监督机构：寻求法律、法规、规章、制度等理解和技术支持
5、建立/完善审计业务的目标，识别/确定审计业务的范围
   审计目标：内审做出的确定审计业务希望实现内容的概要声明，审计程序：实现审计目标的手段
  审计业务目标：是对被评价活动的风险、控制及治理过程提出意见
  根据不同的审计类型，具体建立和完善审计业务的目标：
     1、经营审计：目的是检查和评价内部控制系统以及所分配的职责的完成情况，关键理解内部控制，它是实现审计目标：评价存货内部控制的有效性之一，确定节约成本也是目标之一
     2、绩效审计：目标是确定效果、效率和效益，这种审计必须有一套能用来评价绩效的经认可的目的、目标和标准
     3、合规性审计：目标是确定组织对证词、程序、标准或者法律和政府法规遵守程度（客观性较强，审计师的主观判断少）
     4、质量审计：目标是确定组织质量管理的水平和效果，主要关注质量管理的四个关键要素：
 a 顾客需要；
 b 产品/服务计划、生产和运输满足顾客的需要；
 c 生产和运输产品/服务计划和执行
 d 过程控制，尤其是个别顾客需要产品的服务
     5、财务控制审计：目标是确定对组织内部财务资源控制和财务资源的会计资源控制的水平和效果
     6、财务报表审计：目标是对组织财务报表的公允性和一致性发表审计意见，通常由外部审
 审计业务范围：根据审计业务目标确定，包括：治理、经营和信息系统
    内部控制系统审计范围：
      1、内控的恰当性：能否提供适当的保证，并高效、经济实现组织目标
      2、内控的有效性：能否起到应有的作用
      3、执行效果审查：确认组织任务和目标是否已经完成
6、识别或开发保证业务的标准（审计所依照的标准）
   那些标准或准则审计师采用恰当：
   1、部门的质量标准的操作程序
   2、内部会计控制原则，引自注册会计师手册的相关内容
   3、理想的经营实务，基于内部审计师参与许同公司内部审计实务所积累的经验和知识
7、在计划审计业务时考虑舞弊的潜在可能
    舞弊与错误的区别：舞弊是有意识的，错误是无意识的，结果损人利己，舞弊的风险因素是控制弱点，助长因素：无效的内部控制，员工的勾结，流动资产的存在
    防止舞弊最有效的方法：保持一个有效的内部控制系统
    危险信号：是在总结以往舞弊的基础上得出的在这些条件下舞弊发生的比率较高，不一定记录，收集，坐支是舞弊的因素，该名词被大家熟悉，并产生积极影响
    舞弊类型：1、为组织谋取利益而进行的舞弊事例
              2、谋取组织利益的舞弊迹象或征兆
              3、为个人谋取利益行为
              4、谋取个人利益征兆
    对舞弊行为采取的行动：
         1、已经发生的舞弊迹象，做出是否采取进一步行动或提出调查的建议
         2、足够证据证明舞弊迹象，可以提出调查建议时，要通知适当的权力机构
         3、得出结论提交报告，报告内容：发现问题、结论、建议和纠正措施
    如何实现内审协助发现舞弊职责：就是评价控制系统在防止潜在风险暴露方面的充分性和有效性，舞弊者承认舞弊，应记录成工作底稿，签字，报告高级管理层，请示下一步行动
8、确定审计业务步骤
 审计方案：一份说明开展具体审计业务时所应遵循的工作步骤文件，通常包括：
1、资料收集 2、分析和评价资料 3、记录信息 4、对审计业务进行监督
9、确定审计业务所需要的人员水平和资源
部门培训的主要目的：实现组织目标，同时也是提高个人能力
配置内审岗位职责：考虑工作范围、职责水平、建立学历和工作经历标准
10、建立对审计业务充分的计划和监督
当首席审计执行官与内部审计师对重大专业问题判断不一致时，应对事实进行讨论和进一步调查研究。
 1、如果未能达成共识可将不同观点记入工作底稿，但所有分歧必须在审计机构内部解决，呈现在管理层和被审计单位的审计报告中的结论只能是一种
 2、如果在职业道德问题上发生专业判断不一致，应向本组织有关道德实务负责人请示
对审计师的监督必须是持续的：
  1、这种监督贯穿于审计的各个阶段，包括监督工作底稿能否支持审计发现
  2、监督扩展到培训、经费、时间报告等管理问题
  3、监督的恰当证据应该得到文件记录和保留，包括工作底稿上
11、编制审计业务工作程序
以下过程应记录在工作底稿中：
制定计划
对内部控制系统所作的检查和评价
执行的审计程序、取得的资料、得出的结果
对工作底稿的审查
提交审计报告
进行后续审计
以下资料作为工作底稿
内控调查表、流程图、核对清单和记事
调查记录和备忘录
组织系统图和工作流程图
重要合同、协议的复印件
有关经营和财务政策的资料
对内部控制系统的评价意见
确认和陈述的信件、如应收款函证
有争议的交易事项及其处理意见
对账户余额的检查、分析
实施的分析性审计程序
审计报告及管理层意见
审计结论及其反馈意见
格式：
每一张工作底稿有标头：名称、内容、目的、日期或时期
记录的数据应注明来源，并注明报告和记录是否一致
工作底稿的目录或索引
审计师签字，并注明日期
责任：
首席审计执行官对工作底稿负完全责任，负责制定工作底稿的各项政策
应亲自或指派较高水平的人员审核工作底稿并签字、注明日期
审核中发现的问题应当记录，并跟踪审核发现的问题已经解决，解决的可以保留或销毁
工作底稿的所有权属于本组织，档案保留在内部审计机构
调用工作底稿应由首席审计执行官批准，提供外部应有高级管理层批准或法律顾问批准

5/6   首页 上一页 3 4 5 6 下一页 尾页