现代内部审计的新要求与新发展.ppt

1、,单击此处添加一级标题,单击此处添加副标题,现代内部审计的新要求与新发展,T E L：17601651098 Mail：,秦荣生 教授,导 言,进入21世纪以来，随着国际经济环境的变化、科学技术的飞速发展和公司治理运动的深入等因素的影响，现代内部审计面临并正在进行重大变革。 内部审计理论与技术、方法的每一次重大变革,都是随着经济的发展、公司治理要求的提高、新技术的出现等而摧生的。 随着公司治理的深入开展，对内部审计在实践中的需求越来越多，内部审计逐渐站在公司董事会甚至整个公司的高度，开展以增加公司价值为目的的内部审计工作。,二、现代内部审计的新发展,一、现代内部审计的新要求,一、现代内部审计的

2、新要求,1、党的十八大提出的新要求：推进权力运行公开化、规范化，健全质询、问责、经济责任审计、引咎辞职、罢免等制度，让人民监督权力，让权力在阳光下运行。 2、党的十八届三中全会提出的新要求：中共中央关于全面深化改革若干重大问题的决定：健全严格的财务预算、核准和审计制度，着力控制“三公”经费支出和楼堂馆所建设。,一、现代内部审计的新要求,3、国务院提出的新要求：2014年10月09日印发关于加强审计工作的意见，提出审计工作的指导思想和基本原则，发挥审计促进国家重大决策部署落实的保障作用，强化审计的监督作用，完善审计工作机制，狠抓审计发现问题的整改落实，提升审计能力和加强组织领导。 4、党的十八届

3、四中全会提出的新要求：完善审计制度，保障依法独立行使审计监督权。对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖。,一、现代内部审计的新要求,5、中共中央、国务院提出的新要求：2015年8月24日关于深化国有企业改革的指导意见提出：完善企业内部监督体系，明确监事会、审计、纪检监察、巡视以及法律、财务等部门的监督职责，完善监督制度，增强制度执行力。强化对权力集中、资金密集、资源富集、资产聚集的部门和岗位的监督，实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。建立审计部门向董事会负责的工作机制。,一、现代内部审计的新要求,6 、中共中央办公厅、国务

4、院办公厅印发关于深化国有企业和国有资本审计监督的若干意见 厅字（2017)1号 深化国有企业和国有资本审计监督，要围绕国有企业、国有资本、境外投资以及国有企业领导人履行经济责任情况，做到应审尽审、有审必严。主要审计： （1）遵守国家法律法规、贯彻执行党和国家重大政策措施情况； （2）投资、运营和监管国有资本情况； （3）贯彻落实“三重一大”决策制度情况； （4）境外国有资产投资、运营和管理情况； （5）公司法人治理及内部控制情况。,一、现代内部审计的新要求,6 、中共中央办公厅、国务院办公厅印发关于深化国有企业和国有资本审计监督的若干意见 厅字（2017)1号 健全完善相关审计制度，做到国有企

5、业、国有资本走到哪里，审计就跟进到哪里，不留死角。 （1）建立健全经常性审计机制。5年至少1次，任期1次。 （2）建立健全境外国有资产审计监督机制。 （3）建立健全大数据审计工作机制。建立联网审计制度。 （4）建立健全内部审计监督机制。 （5）建立健全审计机关与相关部门的协调配合机制。 （6）建立健全审计查出问题整改及责任追究机制。 （7）建立健全审计结果报告和公告机制。,二、现代内部审计的新发展,现 代 内 部 审 计 的 新 发 展,3、实施风险管理审计,2、实施信息安全审计,4、实施内部控制评价,1、更新内部审计概念,5、实施公司治理审计,6、发展内部审计技术,（一）更新内部审计概念,1

6、、国际内部审计师协会的定义 在2001年1月国际内部审计师协会（IIA）发布的新版的国际内部审计专业实务框架中，将内部审计全新定义为： 内部审计是一种独立、客观的确认和咨询活动，旨在增加组织的价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。,（一）更新内部审计概念,IIA对内部审计的新定义放弃了长期强调的“监督”职能，提出了内部审计新的基本职能，拓展了内部审计的内容，明确了内部审计的目标： （1）提出了内部审计的“确认”与“咨询”职能。不再将“监督”作为内部审计职能； （2）明确了内部审计确认和咨询职能的内容。内部审计的审计内容

7、是“风险管理、控制和治理过程”； （3）升华了内部审计的目标。将内部审计目标与组织目标相统一，提出了内部审计“帮助组织实现其目标”。,（一）更新内部审计概念,2、中国内部审计协会对内部审计的定义 中国内部审计协会（CIIA）2013年在“内部审计基本准则”中指出： 本准则所称内部审计，是一种独立、客观的确认和咨询活动，它通过运用规范的程序和方法，审查和评价组织业务活动及其内部控制、风险管理的适当性、合法性和有效性，促进组织改善治理和管理，帮助组织增加价值，实现其目标。,（一）更新内部审计概念,3、ABB公司对内部审计的规定 ABB集团位列全球500强企业，是电力和自动化技术领域的全球领导厂商，

8、对内部审计是这样规定的： “内部审计是站在CEO等经理者的肩膀上，用第三只眼由上向下看，看基层单位应该怎么做，实际做得如何，存在哪些偏差，然后提出纠偏措施”。,（二）实施信息安全审计,中国的信息安全，面临着严峻的考验和挑战。 随着云计算、物联网、移动互联网、大数据、智能化等应用的持续拓展，未来中国企业信息安全威胁将持续扩大。 美国微软的操作系统、英特尔的芯片、思科的交换路由器统治着我国信息产业的基础产品，加上谷歌、苹果、Facebook 、推特等提供的先进、方便的互联网服务，全球网络信息向美国单方向聚合，形成了巨大的信息失衡。 2013年4月斯诺登曝光的“棱镜门”透露：美国国家安全局自2007

9、年就入侵了大部分中国政府部门和大中型企业的网站窃取信息，而中国政府部门和大中型企业却毫无所知。,需求,现状,需要一个独立于信息系统管理部门的机构评价信息系统的安全性。 需要构建预防、减少或消除信息安全潜在风险为目标的安全架构。,信息系统的脆弱性、技术的复杂性、操作的人为因素； 为了降低网络与系统的维护成本而采取的租用网络或者运行维护外包； 信息系统管理部门，主要从事设计、开发信息系统，对整个信息系统的设计和运行安全关注不够。,由内部审计机构对信息运行和维护管理与操作监控进行审计就成为必要 以预防、发现错误或违规事件，形成对信息系统风险进行事前防范、事中控制、事后审计和纠正的组合管理。,必 要

10、性,（二）实施信息安全审计,（二）实施信息安全审计,制度,审计,（二）实施信息安全审计,（1）信息安全审计的重点是确认硬件、软件和数据存储的安全性。如确认数据库、数据平台和应用系统的安全性，确认识别非法访问的有效途径和审阅系统日志。 （2）信息安全审计应对信息技术控制与合规性和应用控制及特殊的技术平台实施审计，并运用计算机辅助审计工具（CAATs）对数据进行测试和检查。 （3）实信息安全审计应利用计算机技术进行审计，开展基于程序分析的CAATs和基于数据分析的CAATs。,审计具体内容,（二）实施信息安全审计,国际信息系统审计与控制协会(ISACA)创立于1969年，它是一个从事信息管理、控制

11、、安全和审计标准研究的全球性组织。 通过国际信息系统审计与控制协会(ISACA)的CISA考试，可成为国际信息系统审计师(Certified Information System Auditor) ，简称CISA。自1978年开始对国际信息系统审计师(CISA)实施注册以来，全球已有6万多名专业人员获取该认证。 CISA课程包括了信息系统审计程序、信息技术治理、系统与基础架构生命周期管理、信息技术服务的交付与支持信息资产的保护、业务连续性与灾难恢复等六大部分，全面覆盖了信息系统审计涉及到的各个环节。,（三）实施风险管理审计,公司风险管理的三道防线,风险管理框架,风险管理审计： 内部审计采用系统

12、化、规范化的方法来进行以测试风险管理系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动，对公司的风险管理、控制及监督过程进行确认和评价。,（三）实施风险管理审计,风险管理审计牢固风险管理的最后一道防线,驱动因素,市场风险,信用风险,操作风险,国家风险,法律风险,经营风险,风险管理 审计,树立风险意识,风险识别与评估,风险控制的有效性,声誉风险,战略风险,（三）实施风险管理审计,风险管理审计牢固风险管理的最后一道防线,外部环境评价,经营风险高低判断,控制测试和实质性测试,结果与结论,内部经营环境评价,宏观经济形势、监管政策把握,科学确定审计内容和审计重点,开展

13、现场、非现场审计,撰写审计报告,公司战略目标、风险偏好把握,风险管理审计运用,后续评价,开展后续审计,（四）实施内部控制评价,内部控制评价： 由公司董事会和经理层组织，一般由内部审计机构实施的，对公司内部控制有效性进行评价，形成评价结论，出具评价报告的过程。,（四）实施内部控制评价,美国 2002年颁布了萨班尼斯-奥克斯莱法案，其第404条款：“管理层对内部控制的评价”规定：上市公司管理层负有建立和维护内部控制系统及相应控制程序充分有效的责任；上市公司管理层应在最近财务年度末对内部控制系统及控制程序有效性进行评价。,我国现状 2008年财政部、证监会、审计署、银监会、保监会联合发布了企业内部控

14、制基本规范 2010年发布三个企业内部控制建设指引、企业内部控制评价指引 和企业内部控制审计指引 自2011年1月1日起首先在境内外同时上市的公司施行 自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,萨班尼斯-奥克斯莱法案,企业内部控制配套指引,执行企业内控规范体系的公司，必须对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。,（四）实施内部控制评价,国务院国资委和财政部2012年5月7日联合发布关于加快构建中央企业内部控制体系有关事项的通知，要求中央企业切实

15、加强对内部控制工作的组织领导，加快构建中央企业内部控制体系。 两部门要求，中央企业要设立专职机构或确定牵头部门，按照内部控制建设与监督评价职责相分离的原则，明确内部审计或相关部门负责组织内部控制评价工作；要分类分步推进，全面启动内部控制建设与实施工作，力争用两年时间，建立规范、完善的内部控制体系。 各中央企业应当制订全集团内部控制整体建设实施方案或持续改进计划，经董事会批准后，报国资委备案；自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。,（四）实施内部控制评价,（1）内部控制系统设计的有效性。评价有效性是指评价为实现控制目标所必需的内部控制要素是否都

16、存在并且设计恰当，从而判断其中是否存在设计缺陷、是否缺少为实现控制目标所必需的控制。 （2）内部控制运行的有效性。评价设定的内部控制系统是否按照规定程序得到了正确执行，是否存在设计完好的控制未按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力。,评价内容,（四）实施内部控制评价,评价内容,评价方法,企业应制定评价方案、实施评价活动、编制评价报告，开展内部控制评价。 企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行的。

17、 流程层面评价通常包括了解重要业务流程；根据业务流程描述，识别风险与控制；执行穿行测试；执行控制测试；汇总和报告发现问题。 。,（五）实施公司治理审计,1、评价公司治理环境,内部审计,首先应评价董事会和经理层职责是否清晰，以保证具有保护公司股东权利的恰当政策。 应评价所有的公司治理政策是否都符合保护公司利益相关者权利的要求。 应评价公司的信息披露是否公开、透明，能否揭露公司治理有关的薄弱环节。 应评价董事会、监事会和经理层的运作是否规范，是否取得良好的绩效。,公司治理,2、公司治理审计的内容,（1）战略执行审计,战略执行审计,内部审计作用,公司战略执行审计是指按照一定程序，根据一定标准，对公司

18、战略的执行情况做出判断，发现问题，分析原因，提出建议的过程。,内部审计机构不仅有开展公司战略执行审计的内在要求和必要性。 内部审计机构不仅有开展公司战略执行审计的内在要求。 内部审计可以通过评价战略执行的有效性来推进这一目标的实现。,坚定的公司战略执行,良好的治理,紧密联系,2、公司治理审计的内容,战略执行审计,驱动因素,（1）战略执行审计以股东价值为取向，与公司战略协同,战略理解偏差,战略执行力度,股东价值 最大化,公司战略 目标实现,全面审计,专项审计,内部控制评价,经济责任审计,核 心,2、公司治理审计的内容,（1）战略执行审计,（2）薪酬政策审计,2、公司治理审计的内容,（1）战略执行

19、审计,（2）薪酬政策审计,（3）舞弊控制审计,审查公司是否具有有效公司治理所需的反舞弊的预防措施和侦察手段与程序； 应审查公司是否设有腐败揭发工具、程序和相关的支持性沟通渠道，以有助于保证舞弊能够迅速引起经理层、审计委员会和董事会的关注； 应审查腐败揭发程序背后的组织流程是否能够保证鼓励员工参与及所需的保密措施，使员工有理由相信，如果他们举报了腐败行为不会受到打击报复。,审计内容：,2、公司治理审计的内容,（4）财务资源分配审计,（1）战略执行审计,（2）薪酬政策审计,（3）舞弊控制审计,财务资源分配流程重点因素： 作为财务资源分配基础的原则和流程是否建立且有效； 财务资源分配原则和标准是否得

20、到了有效的沟通。,财务资源分配目标： 以公司发展战略为导向，以效益性为核心，将财务资源配置到最恰当、最重要、效益性最好的地方，使其得到充分合理的使用，以保障财务资源供给，节约财务资源，提高财务资源利用效率，最终实现公司的目标。,审计内容： 应审查公司是否建立了包括明确的政策和标准在内的财务资源分配流程，并对特定的财务资源分配与控制进行审计，从而保证财务资源分配的原则和标准的适当性和是重大财务资源分配的有效性。,（六）发展内部审计技术,1、联网审计 联网审计，又称非现场审计，或称持续审计，是近年来兴起的一项现代化审计技术，它是指通过网络与被审计单位信息系统进行互联后，在系统测评和数据动态采集分析

21、基础上，对被审计单位财务收支及相关资料的真实、合法和效益进行实时、远程监督的行为。 联网审计系统给内部审计人员提供了前所未有的审计数据，审计领域空前扩大，对于促进审计预警机制建立、实现审计关口前移起着重要的作用，充分发挥审计“全覆盖”的功能。,联网审计是在充分获取被审计对象相关信息数据的基础上，运用信息技术手段开展非现场监测和分析，发现其经营管理中存在的问题和潜在的风险，并将检测分析结果用来服务各项审计活动的审计工作方式。联网审计包括常规风险监测、专项风险分析以及审计项目中的联网分析等形式。,1、联网审计,联网审计对比现场审计,优势,劣势,1、联网审计,数据挖掘 人员,业务专业 人员确认,数据

22、库,非现场审计系统,数据抽取,建模计算,归纳演绎,回归分析,总结报告,联网监控与排查,1、联网审计,审计工具及方法联网监控与排查、中台检查、后台治理,日常监控 数据建模 疑点筛选 抽样,中台现场检查,统一立项 统一方案 统一培训 统一实施,后台治理,结果利用 整改监督 内控有效性考核 问责,2、大数据审计,“大数据”起源,精髓: 在于促使人们在采集、处理和使用数据时思维的转变，这些转变将改变人们理解和研究社会经济现象的技术和方法。,2、大数据审计,大数据”(big data)，或称巨量资料，指的是所涉及的资料数量规模巨大到无法透过目前主流软件工具，在合理时间内实现采集、整理、处理或转化成为帮助

23、决策者决策的可用信息。 互联网数据中心（IDC）为“大数据”下定义:“大数据”是指为了更经济更有效地从高频率、大容量、不同结构和类型的数据中获取价值而设计的新一代架构和技术，用它来描述和定义信息爆炸时代产生的海量数据，并命名与之相关的技术发展与创新。,2、大数据审计,（1）在大数据时代，应有总体性思维，人们处理的数据从样本数据变成全部数据。 19世纪以来，人们研究社会经济现象，总是以抽样方式来取得相关数据，然后以抽样的数据和特征来推断总体特征，这是在难以取得总体数据的条件下的必然结果。 现在，IT技术、互联网和云计算等科学技术手段得到了普遍应用，人们处理数据的能力得到了很大提高，而且可记录、储

24、存的数据量越来越多，从TB级向PB级跃升。 随着大数据时代的来临，总体性分析取代抽样分析，总体的性质和特征不再依赖于抽取的样本的数据和特征，现在可以搜集几乎全部的数据，从而对事物的认识可以更全面和深刻。,2、大数据审计,（2）在大数据时代，应有容错性思维，不应追求数据的精确度，而应追求利用数据的效率。 大数据时代的来临，大量的非结构化和半结构化的数据能够得到记录、储存和处理，提高了从数据中获取价值的能力，对长期依赖结构化数据的精确性思维提出了挑战，容错性思维得到了普遍应用。所谓容错性，是指在大数据中无需要求每一个数据都有很高的精准度，尽管存在数据优劣掺杂，但因数据量巨大，最终还是能得出事物的总

25、体性质和特征。 大数据时代，无需深究每一个数据的精确性，应该容忍一定的数据误差，只要认识和了解总体的性质和特征的基本趋势即可，更应追求数据的及时性和利用率。,2、大数据审计,（3）在大数据时代，应有相关性思维，通过事物的相关性来深入认识事物的真相。 大数据时代的来临，人们可以通过互联网和云计算技术搜集、挖掘和分析数据中的相关性，应用事物间的相关性分析来帮助捕捉现在和预测未来。 相关性分析是指通过对两个以上具有一定的联系或者概率的变量元素进行分析，从而衡量两个或多个变量因素的关联程度。相关性分析不同于因果性分析，也不是简单的个性化分析，相关性分析可以涵盖人们的生活和工作的所有领域。 关注相关性，可以帮助人们了解和认识事物的各个方面，成为人们深入了解和认识社会经济现象的新视角。,2、大数据审计,大数据审计五大模块,（1）深入数据挖掘，确定重点,（2）实施特征分析，发现线索,（3）应用权重分析，揭示隐患,（4）加强资金追踪，查找证据,（5）加强趋势研究，重在预测,（6）提高认识水平，提高能力,大数据审计能力,锐普PPT论坛chinakui首发：,发生在审计期,2、大数据审计,谢谢！,