内部审计基础知识.docVIP

内部审计基础知识 一、 审计基本概念 国际内部审计师协会将内部审计定义为一项独立、客观的保证及咨询活动，其目的在于增加价值和改进组织的运营。它通过系统化和规范化的方法评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。 1、 内部审计的地位追求独立和客观。 独立性是保证内部审计有效性的一个重要因素，其重要标志是组织地位，组织地位越高，独立性越强。内部审计部是董事会下设的审计委员会直接领导。客观性是确立内部审计可信度的重要前提，和独立性相比，客观性更具有积极的现实意义。 2、 内部审计的性质是一种保证和咨询。 保证服务不仅包含了所有传统的审计服务，如财务审计、合规性审计、经营性审计等，还涉及IT审计等新型审计服务。内部审计还向管理者提供咨询服务，使组织运营与控制效果得到直接改善，并为组织增加价值。内部审计摆脱了追求独立性的束缚，变得更为主动、积极和富于参与精神。咨询服务通常由保证服务直接产生，同时，咨询服务也可能衍生出保证服务。 3、 内部审计的目的在于为组织增加价值 内部审计定位于为组织增加价值，有助于其保持和提高职业地位，并使这一职业充满前所未有的活力。 4、 内部审计的工作范围扩展到风险管理、控制和治理过程等各个领域。 随着组织生存环境的复杂化和组织战略意识的增强，内部控制越来越多的受到组织整体风险和治理过程的影响，并紧随组织目标持续变化。因此，内部审计没有拘泥于原有的作用范围，而将在更广阔的领域，包括风险管理、控制和治理的各个过程发挥关键作用。 二、 COSO内部控制   1. 控制环境：内部控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境 。 2. 风险评估：确定和分析目标实现过程汇总的风险，并为决定如何对风险进行管理提供基础 3. 控制活动：确保管理层的指令得以实施的政策和程序。 4. 信息与沟通：信息是确保人们履行职责的必要条件；沟通是各级人员接收最高管理层关于控制责任的指令的方式。 5. 监督：是由实施评价内部控制执行质量的程序组成的，这一程序包括持续的监督、独立评价，或者两者的综合。监督能够确保内部控制的有效运行。 COSO模型同内控目标的关系： 三、 风险管理常识 风险是指某种类型损失或损害及其发生的可能性，风险管理的过程：风险识别→风险风险评估→风险应对，其中对内部审计师来说至关重要的是风险评估。 风险评估流程如下图所示：  四、 组织治理常识 公司治理结构是一个关键的控制策略，开始于内部审计职能，包括一个有效的审计委员会和IT治理。 1、 审计委员会必须独立于管理层，甚至独立于其他董事会成员，充当对内部审计职能的独立的“制约与平衡”作用，作为财务报表、风险和管理层生命的监督者和与外部审计师的联系人的作用。有效的内部审计委员会特征包括：独立性（外部董事）、专业胜任能力（了解会计、审计和内部控制；批判性思考者）、组织结构（直接听取内部审计师、外部审计师和揭发人的报告）、领导（积极主动、强有力、决定性的地位）、前瞻性方法（前一活动能对后一活动造成深远的影响）。 审计委员会可能向内部审计部询问的问题： l 在编制财务报表的过程中，管理层作出过任何重大会计调整从而使财务报表不同于由审计师自己编制和负责所得到的财务报表吗？ l 基于审计师的经验和他们对公司的了解，公司的财务报表公正、清楚、完整地向投资者表明了公司在财务报告期间的财务状况和业绩并且符合IFRS的披露要求吗？ l 基于审计师的经验和他们对公司的了解，公司已经实施了对公司合适的内部控制和内部审计过程吗？ 通常情况下审计委员会的监督领域——依重要性排序 l 经营风险和财务风险的关键领域 l 高层的状况/道德规范 l 内部控制和系统 l 外部审计活动和关系 l 定期财务报告，包括财务和会计政策 l 内部审计活动 l 关键财务/控制职位重要人员的选择 2、 信息技术治理是董事会的责任，由确保组织的IT能够支持和扩展组织战略和目标的领导、组织结构和过程组成。信息技术治理的目标是确保对IT的期望得到满足和减轻IT风险，理解IT问题和IT的战略重要性、确保企业能够维持经营和确定它能够实施将活动持续到将来所需的战略。 信息技术治理重点关注的事项 l 适当和充分的经营和IT业绩评价 l 适当和充分的经营和IT结果驱动因素 l IT战略和调整问题 l IT治理的最佳实践 l 董事会和管理层应该询问的问题 五、 法规库及合规性指南 内部审计总监及其他人员应确保相关法规及合规性指南的搜集整理，作为开展日常工作的参考。