培训课程
新版《内部审计在治理、风险和控制中的作用》学习笔记(三)
C 理解内审在公司治理中的作用(熟练掌握:1道德氛围评估、2报告机制评估、3报告控制评估、4特定领域评估、5外部审计评估、6公司行为商业惯例遵循评估、7业绩测评系统评估、8整改效果评估、9防范舞弊评估)
1、获得董事会对内审章程的批准(获得独立性,确定目的、责、权)
2、沟通审计业务计划
如何沟通:1、工作业务计划报高级管理层审批
2、中期计划重大变动沟通
3、执行中资源不足、范围、资料限制后果的报告
3、报告重大审计事项和机构工作业绩指标
例行报告:定期(一年)提交董事会工作报告,组织报告规则:行政上报首席执行官(行政工作),职能上向董事会报告(业务工作)
1、 重要的审计发现和建议
2、 审计工作计划、人员计划和财务预算执行偏差和原因
重大事项:CAE判断对组织不利影响的情况,
报告步骤:1、先与高级管理层讨论
2、对审计事项高层讨论决策结果报董事会
3、高层决定不行动承担风险或其变动,最好再向董事会报告
4、涉及高层管理者,可不向本人报告,直接报董事会或审计委员会
中期报告:在无法发布最终审计报告时,可发布中期报告包括特别关注事项、审计范围变化、需要延长时间等
5、讨论重大风险领域
内审不是对风险进行管理(管理责任是管理层的事),而是对组织风险管理过程进行评估和报告
管理层对风险接受水平不符合组织战略目标时,CAE与之讨论,问题得不到解决报董事会,董事会有针对性的决定,管理层不能有效执行,报董事会
6、支持董事会开展全公司的风险评估
检查、评价风险管理过程充分性和有效性(充分性、有效性的概念在后面的报告内容中有)
风险评估程序:
1、行业趋势带来的风险
2、检查政策、董事会和审计委员会会议记录,评价接受风险接受程度
3、检查内外发布的风险评估报告
4、与管理层讨论,确定各部门目标及风险监督
5、收集、评估降低风险的内控该 内 容 由 中 审网 校 所属ww w. au d itc n.com活动的有效性
6、评估报告,及恰当性、充分性、及时性,建议的全面性、完善性、有效性
7、管理自我评价的客观性和有效性
8、与高层评估讨论风险控制可以接受的水平
7、检查内审机构在组织内风险管理框架中的定位
组织各层次的职责定位:
1、董事会:负责制定战略目标的制定
2、高级管理层:赋予风险所有权
3、执行层:接纳剩余风险
4、运营层:负责持续识别、评估、减轻和监督活动
5、审计机构:负责定期评价并协助其他部门进行风险管理
内审在风险管理中的做事原则:
1、没有建立风险管理流程的,提请管理层注意
2、内审只在建立过程的初期积极协助,但更积极的是用保证和咨询业务进行补充
3、章程中应规定,内审可以促进、协助风险管理过程的建立,但不负担风险管理责任
8、监督遵守公司行为规范和商业惯例情况
公司行为规范:由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度
商业惯例:是在商业活动中形成的被广泛接受的通用做法,一般是非正式的,但违反会对组织带来不利影响
内审对其评估内容:
1、书面道德规范是否存在,各层次执行标准是否不同,对其了解机会和接触情况
2、是否对各层次人员进行讲解,并强调重点 教育
3、员工和代理理解和接受规范
4、有无措施促进其遵守(监督、举报、奖惩) 管理
5、高层监督其执行情况
6、公司行为是否遵循规范和商业惯例 公司行为
防止商业回扣有效办法,与供货商签订长期合同,合同条款由董事会审批,并在道德规范中禁止
9、报告控制框架的有效性
充分性:控制系统能否适当的保证机构的任务和目标有效的完成,考虑成本效益原则
有效性:能否取得预期的效果,是否达到预期的控制目标
控制目标:财务和运营信息的可靠性和完整性,运营工作成效,资产保护,遵守了法律、规定和合同
评价标准:组织标准,行业、专业、协会标准,如果管理目标和标准模糊,寻求解释。衡量标准应与被审单位达成一致
评价程序:确定检查范围、收集证据、单项评价、总体评价。
总体评价:1、是否发现了漏洞和薄弱环节 2、发现之后是否进行了改进 3、是否存在无法接受的风险
报告三种意见方式:1、否定式:没有发现
2、保留意见,发现,但总体上不至于失控
3、否定意见,重大漏洞或严重薄弱环节,控制系统总体上作用很小甚至失效
《萨-奥法案》对报告的要求:季报、年报,CEO和CFO必须书面声明:
1、 审核了报告(负责制定和维护了信息披露控制和流程)
2、 重大事实真是陈述,无遗漏(设计信息披露控制和流程,确保信息能够知晓)
3、 特别强调,保真的内部控制制度承担责任,并保证其有效性
4、 对影响报告编制的重大缺陷和员工的欺诈行为,已向外部审计和审计委员会披露
内审作用:1、参与信息披露控制和流程的初始设计
2、加入信息披露委员会
3、协调外部审计师该 内 容 由 中 审网 校 所属ww w. au d itc n.com工作
4、独立评估信息披露控制和流程
10、协助董事会评估外部审计的独立性
《萨-奥法案》规定:提供非审计业务缺乏独立性包括:参与客户会计记录、与报表有关记录,财务信息系统设计和实施,内部审计服务时间超过客户全部内部审计活动时间40%(2亿元资产一下客户除外,可提供与报表无关的内部审计服务),提供评估服务,人力资源和法律服务,以管理层或职员身份开展工作。
11、评估董事会的道德氛围 12、评估组织的道德氛围
道德氛围在很大程度上决定了治理效果,有效创建治理过程的道德文化氛围包括:建立清晰易懂的规范说明,保护检举人的具体措施,学习机会,创造积极的人事管理机制等
治理过程:所有者及董事会对管理者的监督活动,管理者对治理过程的效果负责
13、评估在特定领域遵守政策的情况
特定领域:电子商务,互联网上从事商业活动,其最低风险是符合本组织战略的电子商务规划、设计和实施项目,电子商务的风险是在目标实现中有负面影响的不确定性事件,内审起到作用是在灾难恢复计划形成阶段进行评估
衍生产品,支付的款项或价值是由某些约定的指标的表现决定的,指标可以是商品、利率或汇率,包括期权型和远期型两种合约类型
14、评估组织向董事会报告的机制
管理层报告机制:
1、规定报告事项 2、规定谁来报告 3、规定报告形式和时限、问题的解决 4、规定逐级上报和各个管理层级的责任
内审评估这一报告机制:
1、是否书面清晰规定 2、报告机制是否充分有效满足董事会需要 3、机制是否按规定运行
《萨-奥法案》规定:审计委员会负责制定、偿付和监督为组织出具报告的会计师事务所的工作,负责举报接受处理、自主决定雇请法律顾问和其他咨询人员
15、对法规监督机构检查结果的落实情况进行跟踪并报告16、对外部审计的结果进行跟踪报告
首席审计执行官对跟踪并报告怎么作:
1、建立维护一项制度,保证对处理情况的监督
2、对非常重要的应要求管理层马上采取纠正行动
3、判断高级管理层已接受了不采取行动所带来的风险
4、评价纠正行动的充分性和有效性
如何监督进展情况:
1、把审计发现和建议报告给负责纠正的管理层(高级管理层应和纠正单位商量如何纠正)
2、报告后在合理的时间内得到管理层反馈,收集最新反馈信息,收集有监督义务部门的信息
3、向高级管理层或董事会报告反映情况(纠正单位行动,内审合理时间内复查)
纠正行动批准后仍未得到执行怎么办?
首席审计执行官应决定开展跟踪检查,并确定必要的范围
17、评估业绩测评系统的充分性和整体目标的实现情况
业绩测评系统没有建立,内审应建议建立,或与被审计单位协商寻求双方可以接受的测评标准
业绩测评系统标准模糊,内审应寻求性解释
评估原则:科学性、合理性和可操作性
18、树立舞弊防范意识,鼓励报告不正当的行为
防范舞弊的首要机制是控制,控制是管理人员的责任
内审的责任是通过评价相关控制的充分性和有效性来协助防止舞弊,对人的能力上要求更高,对舞弊时刻警惕。考题会出现如何发现舞弊,所以要了解舞弊的特征
1、获得董事会对内审章程的批准(获得独立性,确定目的、责、权)
2、沟通审计业务计划
如何沟通:1、工作业务计划报高级管理层审批
2、中期计划重大变动沟通
3、执行中资源不足、范围、资料限制后果的报告
3、报告重大审计事项和机构工作业绩指标
例行报告:定期(一年)提交董事会工作报告,组织报告规则:行政上报首席执行官(行政工作),职能上向董事会报告(业务工作)
1、 重要的审计发现和建议
2、 审计工作计划、人员计划和财务预算执行偏差和原因
重大事项:CAE判断对组织不利影响的情况,
报告步骤:1、先与高级管理层讨论
2、对审计事项高层讨论决策结果报董事会
3、高层决定不行动承担风险或其变动,最好再向董事会报告
4、涉及高层管理者,可不向本人报告,直接报董事会或审计委员会
中期报告:在无法发布最终审计报告时,可发布中期报告包括特别关注事项、审计范围变化、需要延长时间等
5、讨论重大风险领域
内审不是对风险进行管理(管理责任是管理层的事),而是对组织风险管理过程进行评估和报告
管理层对风险接受水平不符合组织战略目标时,CAE与之讨论,问题得不到解决报董事会,董事会有针对性的决定,管理层不能有效执行,报董事会
6、支持董事会开展全公司的风险评估
检查、评价风险管理过程充分性和有效性(充分性、有效性的概念在后面的报告内容中有)
风险评估程序:
1、行业趋势带来的风险
2、检查政策、董事会和审计委员会会议记录,评价接受风险接受程度
3、检查内外发布的风险评估报告
4、与管理层讨论,确定各部门目标及风险监督
5、收集、评估降低风险的内控该 内 容 由 中 审网 校 所属ww w. au d itc n.com活动的有效性
6、评估报告,及恰当性、充分性、及时性,建议的全面性、完善性、有效性
7、管理自我评价的客观性和有效性
8、与高层评估讨论风险控制可以接受的水平
7、检查内审机构在组织内风险管理框架中的定位
组织各层次的职责定位:
1、董事会:负责制定战略目标的制定
2、高级管理层:赋予风险所有权
3、执行层:接纳剩余风险
4、运营层:负责持续识别、评估、减轻和监督活动
5、审计机构:负责定期评价并协助其他部门进行风险管理
内审在风险管理中的做事原则:
1、没有建立风险管理流程的,提请管理层注意
2、内审只在建立过程的初期积极协助,但更积极的是用保证和咨询业务进行补充
3、章程中应规定,内审可以促进、协助风险管理过程的建立,但不负担风险管理责任
8、监督遵守公司行为规范和商业惯例情况
公司行为规范:由组织制定的、旨在规范员工行为、防止过失违法违纪的正式和书面的规章制度
商业惯例:是在商业活动中形成的被广泛接受的通用做法,一般是非正式的,但违反会对组织带来不利影响
内审对其评估内容:
1、书面道德规范是否存在,各层次执行标准是否不同,对其了解机会和接触情况
2、是否对各层次人员进行讲解,并强调重点 教育
3、员工和代理理解和接受规范
4、有无措施促进其遵守(监督、举报、奖惩) 管理
5、高层监督其执行情况
6、公司行为是否遵循规范和商业惯例 公司行为
防止商业回扣有效办法,与供货商签订长期合同,合同条款由董事会审批,并在道德规范中禁止
9、报告控制框架的有效性
充分性:控制系统能否适当的保证机构的任务和目标有效的完成,考虑成本效益原则
有效性:能否取得预期的效果,是否达到预期的控制目标
控制目标:财务和运营信息的可靠性和完整性,运营工作成效,资产保护,遵守了法律、规定和合同
评价标准:组织标准,行业、专业、协会标准,如果管理目标和标准模糊,寻求解释。衡量标准应与被审单位达成一致
评价程序:确定检查范围、收集证据、单项评价、总体评价。
总体评价:1、是否发现了漏洞和薄弱环节 2、发现之后是否进行了改进 3、是否存在无法接受的风险
报告三种意见方式:1、否定式:没有发现
2、保留意见,发现,但总体上不至于失控
3、否定意见,重大漏洞或严重薄弱环节,控制系统总体上作用很小甚至失效
《萨-奥法案》对报告的要求:季报、年报,CEO和CFO必须书面声明:
1、 审核了报告(负责制定和维护了信息披露控制和流程)
2、 重大事实真是陈述,无遗漏(设计信息披露控制和流程,确保信息能够知晓)
3、 特别强调,保真的内部控制制度承担责任,并保证其有效性
4、 对影响报告编制的重大缺陷和员工的欺诈行为,已向外部审计和审计委员会披露
内审作用:1、参与信息披露控制和流程的初始设计
2、加入信息披露委员会
3、协调外部审计师该 内 容 由 中 审网 校 所属ww w. au d itc n.com工作
4、独立评估信息披露控制和流程
10、协助董事会评估外部审计的独立性
《萨-奥法案》规定:提供非审计业务缺乏独立性包括:参与客户会计记录、与报表有关记录,财务信息系统设计和实施,内部审计服务时间超过客户全部内部审计活动时间40%(2亿元资产一下客户除外,可提供与报表无关的内部审计服务),提供评估服务,人力资源和法律服务,以管理层或职员身份开展工作。
11、评估董事会的道德氛围 12、评估组织的道德氛围
道德氛围在很大程度上决定了治理效果,有效创建治理过程的道德文化氛围包括:建立清晰易懂的规范说明,保护检举人的具体措施,学习机会,创造积极的人事管理机制等
治理过程:所有者及董事会对管理者的监督活动,管理者对治理过程的效果负责
13、评估在特定领域遵守政策的情况
特定领域:电子商务,互联网上从事商业活动,其最低风险是符合本组织战略的电子商务规划、设计和实施项目,电子商务的风险是在目标实现中有负面影响的不确定性事件,内审起到作用是在灾难恢复计划形成阶段进行评估
衍生产品,支付的款项或价值是由某些约定的指标的表现决定的,指标可以是商品、利率或汇率,包括期权型和远期型两种合约类型
14、评估组织向董事会报告的机制
管理层报告机制:
1、规定报告事项 2、规定谁来报告 3、规定报告形式和时限、问题的解决 4、规定逐级上报和各个管理层级的责任
内审评估这一报告机制:
1、是否书面清晰规定 2、报告机制是否充分有效满足董事会需要 3、机制是否按规定运行
《萨-奥法案》规定:审计委员会负责制定、偿付和监督为组织出具报告的会计师事务所的工作,负责举报接受处理、自主决定雇请法律顾问和其他咨询人员
15、对法规监督机构检查结果的落实情况进行跟踪并报告16、对外部审计的结果进行跟踪报告
首席审计执行官对跟踪并报告怎么作:
1、建立维护一项制度,保证对处理情况的监督
2、对非常重要的应要求管理层马上采取纠正行动
3、判断高级管理层已接受了不采取行动所带来的风险
4、评价纠正行动的充分性和有效性
如何监督进展情况:
1、把审计发现和建议报告给负责纠正的管理层(高级管理层应和纠正单位商量如何纠正)
2、报告后在合理的时间内得到管理层反馈,收集最新反馈信息,收集有监督义务部门的信息
3、向高级管理层或董事会报告反映情况(纠正单位行动,内审合理时间内复查)
纠正行动批准后仍未得到执行怎么办?
首席审计执行官应决定开展跟踪检查,并确定必要的范围
17、评估业绩测评系统的充分性和整体目标的实现情况
业绩测评系统没有建立,内审应建议建立,或与被审计单位协商寻求双方可以接受的测评标准
业绩测评系统标准模糊,内审应寻求性解释
评估原则:科学性、合理性和可操作性
18、树立舞弊防范意识,鼓励报告不正当的行为
防范舞弊的首要机制是控制,控制是管理人员的责任
内审的责任是通过评价相关控制的充分性和有效性来协助防止舞弊,对人的能力上要求更高,对舞弊时刻警惕。考题会出现如何发现舞弊,所以要了解舞弊的特征
