企业内部审计前沿问题.ppt

* 企业内部审计前沿课题 风险管理审计 * 流程图 目 标 战 略 经营风险 关键风险是否已得到识别 是否已采取适当的应对措施 风险是否已得到适当评估 应对措施是否得到恰当执行 剩余风险是否不超风险容限 是 是 是 否 否 否 无效 否 否 是 是 有效 改进建议 持续监控 * 企业内部审计前沿课题 案例：摩根斯坦利（ Morgan Stanley ）风险管理审计 * 内部审计在风险管理体系中的作用和地位：内部审计部门提供独立的风险与控制评估，并同时向审计委员会和法律总监（Chief Legal Officer）报告，对于审计委员会的报告是业务上的，对于法律总监的报告是行政上的；内部审计部定期检查公司的运营与控制环境，并执行涵盖所有主要风险类别的审计工作 审计委员会对于风险管理的监督职责：复核或在适当情况下与管理层、内部审计师讨论公司在风险评估和管理方面的指南、政策与程序；复核公司及其业务分部主要的风险敞口，包括市场风险、信用风险、财务风险、法律及其他风险，以及管理层所采取的监督与控制风险敞口的措施；向董事会提供与上述事项相关的结论 * 企业内部审计前沿课题 IT审计 * 电子商务（E-Commerce） 企业资源计划（Enterprise Resources Planning，ERP） 内审人员对于企业IT系统的安全性、稳定性和有效性应进行独立测试和评价 对于复杂、高度集成的IT系统，缺乏必要计算机审计技术的审计人员可能什么问题都查不出，而对于精通相关技术的审计人员，被审计单位可能什么问题都藏不了 * 企业内部审计前沿课题 案例：审计署信息系统审计小案例 * 审计署现在对天津中化集团的审计中，发现了重大审计线索，该集团的ERP模拟系统中，客户端到ERP服务器之间用户帐户信息的传送要经过办公网，数据无加密，这样在该集团办公网上的任意一台计算机都可以通过一定的技术截取帐户信息，找出帐号、密码，而且该技术还不需要多少技术含量 可以预见，该系统存在的重大系统安全漏洞，可能已经造成中化集团各业务系统被人为入侵 * 企业内部审计前沿课题 计算机辅助审计（CAAT） * 计算机辅助审计技术（Computer Assisted Audit Technology） 面向数据的CAAT：利用CAAT完成数据提取、查询、排序、抽样、复核、统计等，可提高证据搜集的效率，节约审计成本 面向系统的CAAT: 直接测试被审计单位所运行的信息系统，例如测试应用软件的性能、检查实际使用的软件版本是否为事先规定的版本等 * 企业内部审计前沿课题 计算机辅助审计（CAAT） * 审计人员的工具箱 Excel，Access，SQL，SAP，IDEA，ACL，用友审易，中审审易、北京鼎信诺，博科审计之星等 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 * 辛西娅·库珀（Cynthia Cooper）：世通公司审计部副总经理，顶住重重压力（包括来自其顶头上司财务总监的压力），找到世通弊案（高层通过将经营费用转作资本支出进行了大规模的利润造假）关键证据 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 * 为了获取世通会计造假的直接证据，必须进入世通电脑化的会计信息系统调阅相关的会计分录和凭证。然而，只有经过财务总监苏利文的批准，内审部才有资格不受限制地使用世通的电脑会计系统 为了不惊动苏利文，辛西亚决定秘密行动，她嘱咐下属摩斯另辟蹊径，侵入电脑系统；颇有“黑客”怪才的摩斯没有让辛西亚失望，很快就利用信息部安装和调试新系统的机会，获得了进入电脑会计系统的方法 * 企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 * 鉴于世通很多有疑点的资本支出都是由总部化整为零转嫁至各地分支机构进行记录，摩斯进入电脑会计系统后，将取证重点锁定在“内部往来”，结果发现“内部往来”发生频繁，每月大约有35万笔 有一次，摩斯偷偷下载这些数据时，服务器几乎瘫痪了，导致信息部紧急关闭电脑会计系统，这一插曲差点使摩斯的“黑客行动”败露；自此，摩斯只好选择在夜深人静时，进入负荷较轻的电脑会计系统下载数据；经过一周的加班加点，摩斯成功地收集了世通将20亿美元经营费用“包装”成资本支出的直接证据 * 企业内部审计前沿课题 CAAT与“班福定律”（Benford‘s Law） * 首位数字 奔福德定律分布 样本分布 1 30.10% 32.60% 2 17.60% 15.30% 3 12.50% 9.50% 4 9.70% 8.90% 5 7.90% 6.80% 6 6.70% 12.60% 7 5.80% 4.70% 8 5.10% 4.70% 9