武汉市内部审计师协会培训项目 企业内部审计前沿问题 中南财经政法大学会计学院 陈 波

主讲人简介 武汉大学博士 中南财经政法大学博士后 中国注册会计师 副教授兼硕士研究生导师 中南财经政法大学审计教研室主任 中南财经政法大学会计学专业硕士（MPAcc）中心主讲教师 多家大型企事业单位财务、会计、内部审计、内部控制、风险管理、预算培训主讲人 2017/3/22

主要内容 1. 企业内部审计的现代理念 2. 企业内部审计的前沿课题 3. 企业内部审计的现状与思考 2017/3/22

热点内审新闻 面对世界性金融风暴 内部审计无能为力 ——《人民政协报》2009.3.5 李金华称，通过这次世界性的金融危机，应该更加理 性地看待内部审计的作用……内部审计不是万能的。它作 为内部监控制度，在强化企业管理、防范风险等方面发挥 了很大作用，但是在世界性的金融风暴中，内部审计是无 能为力的，它不能将所用的风险都囊括在监控之中。 ——《人民政协报》2009.3.5 2017/3/22

热点内审新闻 金融危机促使企业进一步重视内部审计 中国内部审计协会与德勤永华会计师事务所日前联合发布 的《2009年内部审计热点问题调查报告》显示，金融危机促使 企业主要领导进一步提高了对内部审计的重视程度 调查显示，分别有84%和60%的受访者认为金融危机使企 业主要领导提高了对风险管理和内部控制，以及内部审计的重 视程度；65%的受访者表示事前事中审计的日益增多有助于流 程的前端风险防范 ——新华网2009.4.30 2017/3/22

热点内审新闻 中国大陆与香港内部审计能力与需求调查 全球领先的商业咨询和内部审计专业机构甫瀚咨询（ Protiviti）联合中国内部审计协会发布了第二年《中国大陆与香 港内部审计能力与需求调查》报告。报告显示，在金融危机环境 下，中国内部审计人员评价自身的一般技术知识能力较低，其中 信息安全连续两年能力水平最低，亟待改善；在审计流程知识方 面，应对舞弊的知识技能成为受访者的关注焦点；个人沟通能力 （公开演讲和战略性思考）则继续受到业内人士的高度重视 ——《中华工商时报》2010.1.14 2017/3/22

热点内审新闻 内部审计有苦难言 某企业招聘三名员工，将考核后的第一名安排到集团上市 公司财务部，第二名安排到集团公司财务部，第三名安排到审 计部。 一些不愿被看到的事实正在发生，很多企业虽然设置了内 审部门，但只是将其作为一个摆设而已。这显然与内审所应发 挥的作用相去甚远，因为内审相对于中介审计的优势就在于能 够贯穿于事前、事中和事后，对企业经营的全过程进行监督和 评价。因此，很多内审人员越来越感觉到有被边缘化的趋势。 ——《中国会计报》2009.7.3 2017/3/22

讨论 做内审感觉如何？ 2017/3/22

内部审计的现代理念 关于内部审计的传统观念 小题大做 公司警察 非增值 部门 成本中心 耳目眼线 法定负担 查错防弊 2017/3/22

内部审计的现代理念 内部审计经典定义（IIA，1999） 内部审计是一种旨在增加组织价值和改善组织营运的独立 、客观的鉴证和咨询活动，它通过系统化、规范化的方法 来评价和改善风险管理、内部控制和治理程序的效果，以 帮助实现组织目标 对内审的组织地位和专业能力提出了极高的、有时候并不现实的要求 2017/3/22

内部审计的现代理念 价值（Value） 价值：创造未来现金流量的能力 经济增加值（ Economic Value Added, EVA ） 价值 ≠ 利润 价值：创造未来现金流量的能力 经济增加值（ Economic Value Added, EVA ） 现代内部审计目标经历了由消极除弊，到积极兴利，再 到价值增值的发展历程（王光远，2003） 经济增加值 = 税后净营业利润 — 资本成本 = 税后净营业利润 — 资本总额 ×加权平均资本成本 2017/3/22

内部审计的现代理念 内审理念 内部审计不仅是现实资产的守护者、财务账表的复核者、会 计核算的勾稽者，更是强化管理的促进者、提高效能的推动者、 价值增值的促导者 内部审计必须以“强管理、防风险、促发展”为己任，积极 探索以“风险为导向、控制为主线、治理为核心、发展为目标” 的管理审计和绩效审计，积极探索以“事前审计为基础、事中审 计为重点、事后审计为保障”的审计模式 ——刘家义 2017/3/22

内部审计的现代理念 内审理念 重监督，也重服务；重结果，也重过程；重事后，更重事 中、事前；重财务，也重业务和管理；重合规，更重3E（经 济性、效率性、效果性）；重审查，也重建议；重当前，也重 战略性和长远性；重静态，更重动态；重内部控制，也重风险 管理；重独立行为，也重互动 ——易仁萍 2017/3/22

内部审计的现代理念 内部审计人员之歌 在阳光下，在风雨中，前进的脚步依然匆匆 我们是内部审计人员，无比自豪，无比光荣 防范风险，加强内控，我们把握着方向 增加价值，实现目标，我们肩负着使命 啊，内部审计人员像律动的琴弦 有清纯的音符谱写着和谐社会的乐章 啊，内部审计人员像绽放的荷花 用绚丽的色彩描绘出伟大祖国美好前程 2017/3/22

内部审计的现代理念 案例：通用电气公司（GE）的内部审计 目标：“超越账本，深入业务” 以财务为主线的审计，其审来审去终究审的是一种结果，是以既定的事实、无可弥补的损失为代价的，因而他们愿意花费更多的时间和精力去研究可能蕴藏更多矛盾和更多问题的企业管理环节 还有人认为审计就是“查账”吗？ 2017/3/22

内部审计的现代理念 案例：通用电气公司（GE）的内部审计 内容：多样化的经营审计（或管理审计） 企业发展战略和经营决策审计、投资效益审计、市场景气状况审计、物资采购审计、生产工艺审计、产品推销审计、研究与开发审计、人力资源管理审计、后勤服务系统效率审计、信息系统设计与运行审计等，甚至对环境污染、社区关系等因素对企业利益和持续经营的影响也进行评估，“绿色”审计、社会责任审计也成为内部审计的重要内容 有哪些是咱们正在做的？ 2017/3/22

企业内部审计前沿课题 风险导向审计 以基于目标、战略和流程的风险识别和分析为基础，确定审计项目安排的优先次序和审计资源的分配，并在特定项目审计计划中确定审计重点的审计理念与方法 后果 概率 风险容限 剩余风险 固有风险 控 制 风险导向内部审计 2017/3/22

企业内部审计前沿课题 风险导向审计 风险评估流程 风险辨识 持续监控 什么会妨碍企业达到战略目标？ 是 否 实施应对方案 风险分析及评价 内控有效吗？ 考虑风险潜在的影响及发生的可能性 是 否 重大吗？ 持续监控 2017/3/22

企业内部审计前沿课题 风险导向审计 风险排序 概率高低 ③ ② ① ④ ⑤ 高 中 低 后果 大小 小 中 大 2017/3/22

企业内部审计前沿课题 讨论 请列举您认为的贵公司最大的经营风险及其来源 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 操作流程 识别审计单元 定义审计深度 识别风险因素 计算风险降低水平 计算风险因素权重 分配审计时间 风险因素排序 审计资源配置 项目选择及排序 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 风险因素识别 规模：审计单元的金额重要性及雇员人数 内部控制：审计单元的内控质量，依据以前年度审计结果及管理 层对内控的重视程度而定 变化：管理层及关键员工的变动，业务活动、组织结构、商业系 统以及外部坏境的变化 环境因素：政治风险、商业模式、法律、经济及文化环境 内外压力：管理层面临的预算目标等内部压力，以及由于经营业 绩考核和经济景气程度带来的外部压力 业务类型及范围：审计单元的生产、研发、出口、产品线多样化 程度等 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 风险排序结果（仅列出前5位及后5位） 审计 单元 风险因素 排序 规模6% 内控41% 变化26% 环境6% 压力5% 业务15% 1 4 5 2 4.44 4.38 3 3.99 3.88 3.87 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 风险排序结果（仅列出前5位及后5位） 审计 单元 风险因素 排序 规模6% 内控41% 变化26% 环境6% 压力5% 业务15% 53 5 1 2 3 4 2.19 54 2.15 55 2.06 56 1.89 57 1.68 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 审计深度与风险降低程度的界定与计算 Level 1：有限复核，以管理层访谈为主，无需详细测试 Level 2：对关键业务循环的集中测试 Level 3：对所有业务循环的全面测试 风险降低系数（用于衡量审计工作的效果）主要考虑因素 （计算公式略）：审计深度、风险指数、审计人员对项目的 熟悉程度 2017/3/22

企业内部审计前沿课题 Janssen国际制药集团公司风险导向内部审计案例 审计时间分配 审计单元 审计深度 风险降低系数 时间要求 （人工小时） 1 2 2.17 378 2.25 333 3 1.88 205 4 1.81 246 5 1.91 190 ··· 小计 43.09 6402（6400可用） 2017/3/22

企业内部审计前沿课题 风险管理审计 概念分析与基本要求 内部审计师通过对于企业风险管理的恰当性和有效性进行检 查、评价、报告和提出改进建议，来协助管理当局、董事会或 审计委员会（IIA, 2004） 风险导向审计 VS.风险管理审计 内审部门应独立于风险管理部门 2017/3/22

企业内部审计前沿课题 风险管理审计 流程图 改进建议 持续监控 无效 否 有效 目 标 是 是 否 战 略 否 否 是 是 经营风险 否 是 关键风险是否已得到识别 有效 目 标 是 是 否 战 略 否 剩余风险是否不超风险容限 风险是否已得到适当评估 否 是 是 经营风险 否 是 是否已采取适当的应对措施 应对措施是否得到恰当执行 2017/3/22

企业内部审计前沿课题 案例：摩根斯坦利（ Morgan Stanley ）风险管理审计 内部审计在风险管理体系中的作用和地位：内部审计部门提供独立的风险与控制评估，并同时向审计委员会和法律总监（Chief Legal Officer）报告，对于审计委员会的报告是业务上的，对于法律总监的报告是行政上的；内部审计部定期检查公司的运营与控制环境，并执行涵盖所有主要风险类别的审计工作 审计委员会对于风险管理的监督职责：复核或在适当情况下与管理层、内部审计师讨论公司在风险评估和管理方面的指南、政策与程序；复核公司及其业务分部主要的风险敞口，包括市场风险、信用风险、财务风险、法律及其他风险，以及管理层所采取的监督与控制风险敞口的措施；向董事会提供与上述事项相关的结论 2017/3/22

企业内部审计前沿课题 IT审计 电子商务（E-Commerce） 企业资源计划（Enterprise Resources Planning，ERP） 内审人员对于企业IT系统的安全性、稳定性和有效性应进行独立 测试和评价 对于复杂、高度集成的IT系统，缺乏必要计算机审计技术的审计人 员可能什么问题都查不出，而对于精通相关技术的审计人员，被审计 单位可能什么问题都藏不了 2017/3/22

企业内部审计前沿课题 案例：审计署信息系统审计小案例 审计署现在对天津中化集团的审计中，发现了重大审计线索，该 集团的ERP模拟系统中，客户端到ERP服务器之间用户帐户信息 的传送要经过办公网，数据无加密，这样在该集团办公网上的任 意一台计算机都可以通过一定的技术截取帐户信息，找出帐号、 密码，而且该技术还不需要多少技术含量 可以预见，该系统存在的重大系统安全漏洞，可能已经造成中化 集团各业务系统被人为入侵 2017/3/22

企业内部审计前沿课题 计算机辅助审计（CAAT） 计算机辅助审计技术（Computer Assisted Audit Technology） 面向数据的CAAT：利用CAAT完成数据提取、查询、排序、抽 样、复核、统计等，可提高证据搜集的效率，节约审计成本 面向系统的CAAT: 直接测试被审计单位所运行的信息系统，例 如测试应用软件的性能、检查实际使用的软件版本是否为事先规 定的版本等 2017/3/22

企业内部审计前沿课题 计算机辅助审计（CAAT） 审计人员的工具箱 Excel，Access，SQL，SAP，IDEA，ACL，用友审易， 中审审易、北京鼎信诺，博科审计之星等 2017/3/22

企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 辛西娅·库珀（Cynthia Cooper）：世 通公司审计部副总经理，顶住重重压力 （包括来自其顶头上司财务总监的压 力），找到世通弊案（高层通过将经营 费用转作资本支出进行了大规模的利润 造假）关键证据 2017/3/22

企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 为了获取世通会计造假的直接证据，必须进入世通电脑化的会计 信息系统调阅相关的会计分录和凭证。然而，只有经过财务总监 苏利文的批准，内审部才有资格不受限制地使用世通的电脑会计 系统 为了不惊动苏利文，辛西亚决定秘密行动，她嘱咐下属摩斯另辟 蹊径，侵入电脑系统；颇有“黑客”怪才的摩斯没有让辛西亚失 望，很快就利用信息部安装和调试新系统的机会，获得了进入电 脑会计系统的方法 2017/3/22

企业内部审计前沿课题 案例：世界通信（ WorldCom ）内部审计案例 鉴于世通很多有疑点的资本支出都是由总部化整为零转嫁至各地 分支机构进行记录，摩斯进入电脑会计系统后，将取证重点锁定 在“内部往来”，结果发现“内部往来”发生频繁，每月大约有 35万笔 有一次，摩斯偷偷下载这些数据时，服务器几乎瘫痪了，导致信 息部紧急关闭电脑会计系统，这一插曲差点使摩斯的“黑客行动” 败露；自此，摩斯只好选择在夜深人静时，进入负荷较轻的电脑 会计系统下载数据；经过一周的加班加点，摩斯成功地收集了世 通将20亿美元经营费用“包装”成资本支出的直接证据 2017/3/22

企业内部审计前沿课题 CAAT与“班福定律”（Benford‘s Law） 首位数字 奔福德定律分布 样本分布 1 30.10% 32.60% 2 17.60% 15.30% 3 12.50% 9.50% 4 9.70% 8.90% 5 7.90% 6.80% 6 6.70% 12.60% 7 5.80% 4.70% 8 5.10% 9 4.60% 2017/3/22

贵公司内部审计部门是否定期评估内部控制？ 企业内部审计前沿课题 内部控制自我评估 美国SOX 404条款 中国上市公司2010年1月1日起需按照《企业内部控制基本规范》对 企业内部控制的有效性进行自我评估，并出具报告 内部审计部门应协助管理层完成内控有效性的自我评估，识别企业 内控重大缺陷 贵公司内部审计部门是否定期评估内部控制？ 2017/3/22

企业内部审计前沿课题 内部控制自我评估 财政部发布的三项内部控制指引（征求意见稿） 应用指引 评价指引 鉴证指引 2017/3/22

企业内部审计前沿课题 案例：万科2008年内部控制自我评价报告 在董事会、管理层及全体员工的共同努力下，公司已经建立起 一套较完整的内控体系，从公司治理层面到各流程层面均建立 了系统的内部控制制度 董事会负责内部控制的建立健全和有效实施，经理层负责组织领导企业内部控制的日常运行；董事会下设立审计委员会，审计委员会负责督导企业内部控制体系建立健全，监督内部控制的有效实施和内部控制自我评价情况；公司审计部直接由审计委员会指导工作，其负责人由董事会任命，保证了其机构设置、人员配备和工作的独立性。监事会对董事会建立与实施内部控制进行监督 2017/3/22

企业内部审计前沿课题 案例：万科2008年内部控制自我评价报告 评价内容 内部环境：公司治理、机构设置、人力资源、企业文化 风险评估 重点业务活动控制：销售、成本、资金、采购、重大投资、对子公司管理、关联交易、对外担保、募集资金使用、信息披露 信息与沟通 内部监督 2017/3/22

企业内部审计前沿课题 案例：万科2008年内部控制自我评价报告 内部控制自我评价结论 董事会认为，公司已经建立起的内部控制体系在完整性、合 规性、有效性等方面不存在重大缺陷，但由于内部控制固有 的局限性、内部环境以及宏观环境、政策法规持续变化，可 能导致原有控制活动不适用或出现偏差，对此公司将及时进 行内部控制体系的补充和完善，为财务报告的真实性、完整 性，以及公司战略、经营等目标的实现提供合理保障 2017/3/22

企业内部审计的现状与思考 我国企业内部审计现状分析：进展 大型企业董事会中引入了独立董事，并且设立了薪酬与提 名委员会、审计委员会等专门委员会，建立了内审部门向审 计委员会的报告关系 绝大部分企业都设有内部审计职能，相当大一部分企业单 独设置内审部门，少数企业将内审与纪检、监察部门合设， 内审部门一般由公司审计委员会、监事会、总经理、财务总 监、总会计师等领导 2017/3/22

企业内部审计的现状与思考 我国企业内部审计现状分析：进展 内部审计在改善公司运营、加强风险控制、促进目标实现 方面的重要作用得到了普遍的重视 内部审计部门人员具有较好的学历和专业结构，绝大部分 内审人员具有大学本科以上学历，且在在会计、审计、计算 机、法律、工程等专业上有着比较合理的搭配 内部控制自我评估、风险管理审计等新型审计得到了初步 开展，风险导向审计方法得到了初步的运用 2017/3/22

企业内部审计的现状与思考 我国企业内部审计现状分析：问题 公司董事会、高管层对于内部审计性质、目标、职能等基 本问题的认识有待进一步深入，不少公司仍将内审的基本职 能定位为查错防弊 仍然有不少企业将内审部门视为非核心部门，甚至内审人 员自己也并不认为内审属于核心部门，审计报告往往得不到 应有重视，应用价值有限，而且存在“屡审屡犯”的情况 2017/3/22

企业内部审计的现状与思考 我国企业内部审计现状分析：问题 大多数企业尚未建立“有效制衡、科学决策”的公司治理 结构，需要处理和平衡党委、股东大会、董事会和监事会之 间的关系，这些深层次问题从根本上制约了企业内审向现代 内审转型的进程 在大多数企业，审计委员会的有效性有待提升，内审要更 好地发挥治理功能和风险控制功能往往缺乏现实条件 2017/3/22

企业内部审计的现状与思考 我国企业内部审计现状分析：问题 在大多数企业，内审仍然遵循传统理念，从事传统工作，运用传 统方法，工作缺乏长远规划和主动性，财务审计、合规性审计仍 占据了内审人员大部分的工作时间，运营审计、风险管理审计、 内部控制审计等增值型审计开展仍不够全面和深入 内审人员的职业素养有待进一步提升，方法技术的运用仍不够系 统化和规范化，工作带有较大的随意性，并且缺乏足够的专长开 展公司内部的咨询业务 2017/3/22

企业内部审计的现状与思考 企业内部审计需要解决的问题 先进的审计理念如何转化为可操作的方法 如何提高审计报告的应用价值 合理的内审规章制度如何贯彻落实 先进的审计理念如何转化为可操作的方法 如何提高审计报告的应用价值 如何拓展运营审计、内控审计和风险管理审计 如何解决内审人员的角色冲突 如何开发实用有效的审计方法与工具 ······ 2017/3/22

企业内部审计的现状与思考 企业内部审计的发展思路 将风险导向的审计思路应用于审计计划制定之中 与外部专业人士合作开发适用的方法、技术、模板等 制定内部审计的长期规划 将风险导向的审计思路应用于审计计划制定之中 与外部专业人士合作开发适用的方法、技术、模板等 制定风险评估手册，定期更新风险评估结果 制定内部控制评审手册，协助内部控制自我评估 避免秋后算账和就事论事的审计思路 2017/3/22

企业内部审计的现状与思考 企业内部审计的发展思路 开展后续审计，持续跟踪审计建议落实情况 树立大局观，抓核心和关键问题，不纠缠琐碎小事 注重发现风险管理和内部控制的重大缺陷 开展后续审计，持续跟踪审计建议落实情况 树立大局观，抓核心和关键问题，不纠缠琐碎小事 考察先进企业特别是大型外企内部审计运作细节 以风险管理和内部控制为重点的员工培训与进修计划 采购或开发适用的内部审计软件 积极探索实时监控与联网审计 2017/3/22

汇报结束 主讲人联系方式 联系方式 Email：lawry_yyt@tom.com Mobile：13638676121 Correspondence:武汉市洪山区南湖南路1号 中南财经政法大学会计学院 430073 2017/3/22

Thank You ! 中南财经政法大学会计学院