中国内部审计职业规范(ppt 67页)

中国内部审计职业规范南京审计学院陈思维2005年3月一、审计法律规范体系（一）依法审计涵义（一）依法审计的涵义法定职责授权内审机构法定工作权限实施审计遵守法定审计程序法律法规法定审计准则制度其他标准（二）审计法律规范体系的三个层次层次特征举例法律立法机关通过立法程序颁布宪法（1982年）、审计法、注册会计师法、会计法、证券法等行政法规国务院制定或批准颁布审计法实施条例、经济责任审计的两个暂行规定等部门规章和地方法规国务院有关部门或地方人大（政府）颁布审计准则、审计署关于内部审计工作的规定（4号令）等（二）三个层次1、三个层次的关系——较高层次法规是制定较低层次法规的依据；——较低层次法规的内容与较高层次法规不得抵触。注意正确理解“抵触”的涵义，不包括补充或细化。2、划分为三个层次的意义——明确各种不同法规的地位和效用，正确用于审计实践；——更好地满足社会环境对审计的要求：三个层次的制定（修订）程序要求不同，具有不同的灵活性。（二）三个层次：关于会计法的解释——单位会计监督体系第一层次：国家监督（包括财政、审计、税务、证监、物价监督等）第二层次：社会监督（包括注册会计师等社会中介组织的“监督”）第三层次：单位内部监督（主要包括内部控制和内部审计）（三）审计准则1、审计准则涵义：对审计主体及其行为的规范注意：审计主体和客体都是审计准则的执行者。2、审计准则的来源：审计实践活动审计准则审计理论研究内容来源借鉴国外成果审计环境影响（包括法律环境）（三）审计准则3、审计准则的意义（1）规范行为，明确责任，降低风险（2）评价审计质量的标准（3）增强审计结果的可理解性4、关于审计结果的可理解性:准则规范审计主体审计结果使用者（编写）（理解）（四）我国内部审计职业规范——产生的背景1、我国内部审计机构产生的非自发性（正常原因：管理层次和组织目标）；2、我国传统审计理论对内部审计的影响；3、内部审计内向服务对社会认知的影响：我国内部审计法律依据层次相对较低；4、〈内部审计条例〉的制定过程和审计暑4号令的颁布；5、国际内部审计发展的影响和CIA考试机制的引入。（四）我国内部审计职业规范——体系的内容1、审计署关于内部审计工作的规定（4号令）（三次制定和修定）2、内部审计基本准则（2003年）3、内部审计职业道德规范（2003年）4、内部审计具体准则第一批1-10（2003年）第二批11-15（2004年）第三批16-20（2005年）（五）内部审计具体准则第一批（2003年）1、审计计划2、审计通知书3、审计证据4、审计工作底稿5、内部控制审计6、舞弊的预防、检查和报告7、审计报告8、后续审计9、内部审计督导10、内外审计的协调（五）内部审计具体准则第二批（2004年）第三批（2005年）11、结果沟通16、风险管理审计12、遵循性审计17、重要性与审计风险13、评价外部审计工作18、审计抽样质量19、内部审计质量控制14、利用外部专家审计20、人际关系15、分析性复核二、职业规范中的内部审计——4号令和基本准则（一）关于内部审计的定义内部审计定义的三种类型1、财政、财务收支监督型（政府官员）；2、组织目标服务型（学者及海归人员）；3、管理控制系统型（不被我国所接受），例如：内部控制系统、环境管理系统（ISO14001)三种类型的主要区别：审计职能、工作范围、审计目的、流行范围等。（一）关于内部审计的定义国际内部审计（IIA）的定义1、审计职能：独立客观的保证工作与咨询活动；（保证和咨询）2、工作范围：风险管理、控制和治理程序；3、审计目标：直接目的-增加价值，提高机构运作效率；最终目的-帮助实现机构目标。（一）4号令和基本准则的比较审计署4号令内部审计基本准则审计职能监督和评价监督和评价工作范围财务、财政收支经营活动及内部和经济活动控制直接目的真实、合法、效适当性、合法性和益性有效性最终目标加强经济管理、促进组织目标的实实现经济目标现（二）职责授权和工作权限1、新增加的内容（1）新增加的职责授权：4号令第九条（三）（五）（六）（2）新增加的工作权限：4号令十一条（五）（八）（十）（2）内部审计机构的其他职责和权限4号令第十、十二条：工作报告权和处理、处罚权。（二）2、与其他法规的关系（1）第九条：“按照本单位主要负责人或权力机构的要求，履行下列职责”；（2）第十一条：“单位负责人或权力机构应当制定相应规定，确保内部审计机构具有履行职责所必须的权限”；（3）第十四条：正确处理职业规范和本单位要求之间的关系。（三）职业道德规范责任品德能力1、遵守中国内部1、不得损害三1、职业判断审计准则（1）种利益（2）能力（5）2、保密和使用资2、独立、客观2、专业胜任及料责任（8）公正、勤勉（3）聘请专家（6）3、客观、完整披3、廉洁（4）3、人际交往、露责任（9）处理关系（10）4、诚实诚信4、接受后续（7）教育（11）（四）内部审计的管理1、国际上的内部审计管理国际内部审计师协会（IIA）1993年修订的《内部审计实务标准》提出：“内部审计部门经理要恰当地负责管理这个部门，以便使：（1）审计工作能够完成由高级管理层批准并得到董事会认可的总的目的和职责；（2）充分有效地使用内部审计部门的人才资源；（3）审计工作符合《内部审计实务标准》的要求。”这就是审计管理的目标，概括为实现审计目标和职责、资源利用效率和规范化。1、国际上的内部审计管理从这些目标出发，提出六个要素构成的审计管理结构，它们是：1）宗旨、权力和职责（510）；2）计划制定（520包括风险评价）；3）政策与程序（530）；4）人员管理和开发（540）；5）与外部审计师的协调（550）6）质量保证（560）。在2001年修订的《内部审计实务标准》中，对上述要素进行完善，例如增加了“实务公告2210-1审计目标”；增加了信息管理方面的规范“2310-1收集信息”、“2320-1分析与评价”和“2330-1记录信息”等；将人才资源的管理扩展为“审计业务资源的分配”（2230-1）。2、我国的内部审计管理（1）我国审计管理理论结构——管理目标一般为两种：实现审计目标；提高审计资源利用效果。（2）我国审计管理体系：1、计划管理（含风险管理）；2、质量管理；3、信息管理（含档案管理）；4、现场管理。（3）基本准则中规定的内部审计管理；1、计划管理（含人力资源和财务计划）；2、审计制度和审计工作手册3、人员业绩管理；4、与外部审计的协调。三、我国内部审计准则的主要内容（一）审计计划：三个层次我国内部审计计划的三个层次层次性质考虑因素1、年度审计对机构年度审计组织风险、管理计划任务的事前规划需要和审计资源2、项目审计对项目实施全审计目的和审前计划过程的综合安排调查3、审计对项目审计程序审计重要性和和资源配置的具审计风险评估安排体（一）审计计划：风险评价1、年度计划的核心是选择审计事项，选择标准一般包括四种：组织风险、重要性、管理层需要和审计资源。2、组织风险的评价包括：（1）组织发展目标和年度工作重点；（2）影响经营活动的法规、政策、计划和；（3）相关内部控制的质量；（4）经营活动复杂性及近期变化；（5）相关人员的能力、品质和近期变动；（6）其他重要情况。（一）审计计划：审前调查1、项目审计计划的核心是重要性和审计风险，其评估的依据是审前调查。2、审前调查的渠道：经营活动概况（向政府监管部门了解）审前内部控制的设计和运行情况（报送内部控制调查表）调查财务、会计资料（报送，分析性复核）重要的合同、协议和会议记录（报送）上次审计的情况（包括内部和外部审计）（二）审计通知书1、理论意义：审计与被审计关系的建立2、通知书的内容：（1）项目信息：项目名称、来源、范围、时间、审计组成员等（2）告知事项：要求被审单位（人）作的准备工作、回避权利等3、送达时间（第六条）4、送达对象（第七条）5、编制依据（第五条）（三）遵循性审计1、目的：审查和评价组织活动中遵循性标准的遵守执行情况。（2）2、遵循性标准的内容：（1）国家相关法规；（2）行业、部门的政策；（3）组织的经营、财务计划；（4）组织的经营、财务预算；（5）组织规定的各种程序和标准；（6）组织签订的各类合同。（三）遵循性审计3、实施审计时应关注的情况（线索）（1）受到政府部门的调查和处罚；（2）重要的法律诉讼；（3）异常交易或事项；（4）计划、预算执行结果严重偏离标准；（5）信息严重失真或资料不完整；（6）相关内部控制缺乏或无效；4、有证据表明存在或正在发生违反遵循性标准的事项，应及时与组织领导层沟通。（四）重要性判断-目的1、审计计划应考虑的因素审计重要性判断；（17号）确定审计重点编制审计审计风险评估结果；提高工作效率方案应该（17号）降低审计风险考虑因素内部控制评价；分析性复核（15号）（四）重要性判断-概念2、有关概念（1）涵义：错弊的严重程度两种影响（财政、财务收支）（使用者判断和决策）（相关会计资料）（审计目的实现）（2）重要性水平的概念：是否产生影响的临界点（3）重要性的应用编制方案时—确定测试的性质、时间和范围报告阶段—以重要性水平为标准，评价审计结果，作出审计结论（四）重要性判断-举例应用举例：某被审单位被审年度营业收入200万元，利润30万元。计算的重要性水平分别为：收入业务200万*1%=2万元利润业务30万*5%=1.5万元编审计计划方案时，单笔发生额大于2万的收入业务和大于1.5万元的利润要素业务（如投资收益、营业外收支等）作为检查测试重点。在报告阶段，金额大于2万元的收入错弊和大于1.5万元的利润错弊应在审计报告反映，并影响审计结论。（四）重要性判断-计算（1）计算：重要性水平=判断基础*相应比率常用惯例：适用于企业或事业单位判断基础相应比率1、预算收入/支出总额0.5-1%2、资产/投资总额0.5-1%3、净资产/所有者权益总额1-2%4、费用/营业收入总额0.5-1%5、净利润/利润总额5-10%（四）重要性判断-判断相应比率在区间内选择是判断过程，应考虑的因素包括：1、国家法律法规对单位财务会计的要求：例如：上市公司要求高，重要性水平应该低；一般企业要求低，重要性水平可以高。2、不同使用者对信息需求不同（即不同审计目的），各信息项目重要性水平也不同。3、单位性质影响判断基础，业务规模影响水平高低。4、控制和固有风险越高，重要性水平越低。5、与审计目的关系密切，变动趋势不利、大幅度波动的项目，重要性水平低。（五）审计风险评估-概念1、审计风险概念狭义——被审报表中存在严重错报漏报，注册会计师出具不恰当审计意见的可能性。（民间审计）广义——审计结论与被审单位实际情况不相符合的可能性。（适用于国家审计和内部审计）与评估模型有关的概念包括：审计风险可以接受水平、固有风险、控制风险、检查风险、重大错报风险等。（五）审计风险评估-模型审计风险=固有风险*控制风险*检查风险ARIRCRDR确定可以不可控不可控基本可以接受水平可评估可评估控制例：5%=100%*100%*5%5%=50%*100%*10%5%=50%*50%*20%（五）审计风险评估-模型2004年12月15日，国际会计师联合会（IFAC）将风险评估模型做了修订：审计风险=重大错报风险*检查风险整体报表层次控制环境和治理其中：重大错报风险结构帐户交易认定固有风险和控制层次风险（五）审计风险评估-程序3、审计风险评估的程序第一步：确定项目审计风险可以接受的水平；（审计人员职业判断）第二步：对被审单位各项业务和财产类别的固有风险和控制风险进行评估；第三步：根据第一、二步结果，计算各类别检查风险应控制的水平；第四步：确定实质性测试的重点，据以配置审计资源，编制审计计划（方案）。（五）审计风险评估-判断4、项目审计风险可以接受水平的判断判断因素举例：1、财务与经营状况；2、以前审计间隔时间和结论；3、外部使用者对审计结果的依赖程度；4、审计的成本效益关系。（五）审计风险评估-评估5、固有风险的评估（1）固有风险的评估因素：——会计核算复杂程度；——会计、审计中的判断程度；——政策、法规的漏洞大小；——经济业务的性质；——人员素质高低等。（五）审计风险评估-评估6、控制风险评估程序不存在控制环境调查系统是否存在？存在结果是否可依赖？准备阶段不足健全性调查各事项内控是否依赖可依赖可依赖？修订符合性测试拟依赖的内控是实施否有效？阶段综合评价综合考虑各种因素高风险中风险低风险编制审计计划（六）利用外部专家服务1、利用外部专家服务的领域：（1）特定资产的评估；（2）工程项目的评估；（3）产品和服务质量问题；（4）信息技术问题；（5）衍生金融工具问题；（6）舞弊和安全问题；（7）法律问题；（8）风险管理问题等。（六）利用外部专家服务（二）责任：1、外部专家对选用的假设、方法和工作结果负责；2、内审机构对利用服务结果形成审计结论负责。（三）影响外部专家独立性的因素：1、外部专家与被审单位之间的重大利益关系；2、外部专家与被审单位管理层的私人关系；（七）风险管理审计-概念与过程1、风险管理概念风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。2、风险管理过程 风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。 （七）风险管理审计-识别2、对风险识别的审查 内部审计人员应当实施必要的审计程序，对风险识别过程进行审查与评价，重点关注组织面临的内、外部风险是否已得到充分、适当的确认。 ——外部风险是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于以下因素：     (一)国家法律、法规及政策的变化；     (二)经济环境的变化；     (三)科技的快速发展；     (四)行业竞争、资源及市场变化；     (五)自然灾害及意外损失；     (六)其他。 （七）风险管理审计-识别2、识别风险审查——内部风险是指内部环境中对组织目标的实现产生影响的不确定性，其主要来源于以下因素：     (一)组织治理结构的缺陷；     (二)组织经营活动的特点；     (三)组织资产的性质以及资产管理的局限性；     (四)组织信息系统的故障或中断；     (五)组织人员的道德品质、业务素质未达到要求；     (六)其他。 （七）风险管理审计-评估3、风险评估的审查——内部审计人员应当实施必要的审计程序，对风险评估过程进行审查与评价，重点关注以下两个要素：     (1)风险发生的可能性；     (2)风险对组织目标的实现产生影响的严重程度。 ——内部审计人员应当对管理层所采用的风险评估方法进行审查，并重点考虑以下因素：     (1)已识别风险的特征；         (2)相关历史数据的充分性与可靠性；     (3)管理层进行风险评估的技术能力；     (4)成本效益的考核与衡量；      （七）风险管理审计-评估3、风险评估的审查 ——内部审计人员在评价风险评估方法的适当性和有效性时，应当遵循以下原则：     (1)定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；     (2)在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；     (3)定量方法一般情况下会比定性方法提供更为客观的评估结果。（七）风险管理审计-应对4、风险应对（控制活动）的审查 ——内部审计人员应当实施适当的审计程序，对风险应对措施进行审查。风险应对措施主要包括以下几个方面：     (1)回避。是指采取措施避免进行可产生风险的活动；     (2)接受。是指由于风险已在组织可接受的范围内，因而可以不采取任何措施；     (3)降低。是指采取适当措施将风险降低到组织可接受的范围内；     (4)分担。是指采取措施将风险转移给其他组织或保险机构。 ——内部审计人员在评价风险应对措施的适当性和有效性时，应当考虑以下因素：     (1)采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；     (2)采取的风险应对措施是否适合本组织的经营、管理特点；         (3)成本效益的考核与衡量。 （七）风险管理审计-报告5、审计结果的报告——内部审计人员应向组织适当管理层报告审查和评价风险管理过程的结果，并提出改进建议。 ——风险管理的审查和评价结果应反映在内部控制审计报告中，必要时应出具专项审计报告。 四、国际内部审计定义的发展国际内部审计师协会自1941年成立至今已经62年了。期间共发表了7个内部审计定义，这些定义的修改和发展，记录了内部审计前进的足迹，从中可以得到新的启示。（一）1947年定义1947年内部审计第一次定义为：“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”这个定义说明了以下几点：1．内部审计虽然从会计分离出来，成为一个独立的职业了，但它仍然以财务、会计为基础。2．它回答了内部审计是做计么的：审查财务会计和其它经营活动。3．它反映了形势的要求,内部审计不仅可以处理财务会计问题,而且有时也处理经营管理中的问题。（一）1947年定义4.它首次为内部审计定位为:独立评价活动。这种观点坚持了53年,直至2000年第七次修改才作了调整。5.它初次提出为管理服务的方向。这个观点坚持了22年。虽然它前面加了一个定语：“保护性和建设性”显得有点累赘。这个定义提出以后，由于那时内部审计人员水平较低，为管理服务能力不强，内审人员的地位也比较低，只能向低层管理人员报告，因而内审职能的扩展还得有一个过程。（二）1957年定义1957年协会对定义作了修改：内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。这个定义的特点是：1．删掉第一次定义中那些不确定的和累赘的内容，使定义更加简洁、明确、直截了当。（二）1957年定义2．删去处理财务会计问题，有时也涉及经营管理中的问题。因为只要内审是建立在审查财务、会计和其它经营活动基础上，就必然会去处理这些问题，是无需重复的。3．首次提出内部审计“是一种衡量、评价其它控制有效性的管理控制。”从而大大提高了内审的地位。指出它是一种管理控制，但又反过来衡量、评价其它控制的有效性，体现了审计是较高层次的监督。（三）1971年定义1971年第三次定义：内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。1、这条定义最突出的一点是取销了“建立在财务会计基础上”这句话。但保留了“建立在审查经营活动基础上”这一句。这预示着内部审计从财务审计向经营审计的方向发展。但不意味着内部审计从此不审查财务会计，不去处理财务会计问题，而是说审查处理财务、会计问题，已包括在“审查经营活动”这一概念中了。（三）1971年定义 2、这个定义还表明，内部审计评价的范围扩展到发生在组织内部的、应由内部审计评价的所有经营活动。实践表明，在定义修改后审计人员用于财务、会计审计的时间不断减少，而用于经营活动审计的时间越来越多。据美国燃气协会和爱迪生电器协会的统计，内审人员1980年有40%的工作时间用于财务、会计审计，到1989年便下降到19%，更多的时间已用在合同审计和经营审计方面了。同一期间内审主管向董事长报告的比例由39%上升到52%。而向财务主管报告的比例则由10%，降为4%。（四）1978年定义1978年第四次定义为：内部审计是建立在以检查、评价组织为基础的独立评价活动，并为组织提供服务。 这条定义最令人注目的是，将为管理服务改为为组织服务。把内部审计服务的范围扩大。为组织服务要求审计人员以整个组织为服务对象,而不是以某一管理部门及其人员为服务对象。要求他们站在整个组织的立场上观察和评价问题,为组织的长远的全局的利益服务。但为组织服务的对象和内容没有解决。（五）1990年定义1990年第五次定义为：内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。这条定义突出的一点是，把内部审计定义为:是建立在一个组织内部的，以与外部审计相区别。这个提法到2000年第七次定义时被修改。至于为组织服务的对象和内容仍未解决。（六）1993年定义内部审计是在一个组织内部建立的独立评价活动，并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。与1990年定义相比，该定义明确了组织服务的具体对象和内容。审计范围是组织活动；审计目的是提高管理有效性；审计职能是评价和服务。（七）1999年（2001）定义1999年6月国际内部审计师协会理事通过下述内部审计新定义：内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。这个定义同93年定义相比,删去了“组织内部”和“评价活动”这两个词。这是因为“组织内部”一词暗示着内部审计工作只局限于组织内部,不利于外部借助内审工作，也不利于内部审计借助外部的帮助。取销它预示内部审计未来有一个更为广阔的活动空间。（七）1999年（2001）定义“独立评价活动”一词从1947年第一次定义以来坚持了53年。因为这个词没有反映出内审在组织中日益增加的作用和影响范围的逐步扩大。因而在新定义中用“咨询”一词来取代。新定义由6组概念组成：1、独立性和客观性；2．保证性和咨询性；3、增加价值；4、系统化和规范化的方法；5、评价和改进风险管理、控制和治理过程的效果；6．组织目标。五、萨班纳斯-奥克斯利法案对内部审计的影响-11、由于美国《萨班斯-奥克斯莱法》和美国证券交易委员会的有关指南，要求上市公司的高层管理人员对提交的财务报告提供保证，因此执行管理层是控制环境和财务资料的责任人。外部审计师为财务报告作公证，他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。内部审计师则负责向审计委员会或其它委员会保证，组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通。2、二项内容列入计划将财务报告过程审计列入年度　　为了帮助高级管理人员履行法定义务和要求，内部审计执行主管应将内部控制有效性评价和财务报告过程审计列入年度审计工作计划，并分配适当的资源。3、内部控制有效性评价（1）组织是否有浓厚的道德文化环境　　1.董事和高级管理人员是否以身作则遵守组织的道德行为规范，为员工树立榜样。　　2.组织的道德行为规范是否通过培训使全体员工了解，并成为组织道德文化的倡导者和执行者。　　3.组织有无公开的沟通渠道，使管理人员获得所需的信息。　　4.组织的目标和激励措施是否恰当，有无过分强调短期行为的现象。　　5.财务报告有无不实的表述和舞弊。3、内部控制有效性评价（二）组织怎样进行风险管理　　1.组织有无风险管理程序？是否有效？　　2.高级管理层是否依靠整个组织来控制风险？　　3.管理层是否开诚布公地与董事会讨论主要风险？3、内部控制有效性评价（3）组织的控制制度是否有效　　1.组织对财务报告过程的控制是否全面？是否包括收集资料、编制及其附注，以及规定要披露的和自主披露的事项？2.高级管理层和相关管理层是否声明对控制有效性承担责任？　　3.组织的财务报告或财务披露是否反映出高级管理层、董事会或组织事故不断？　　4.整个组织是否有良好的沟通渠道和报告制度？5.控制制度被视为促进目标实现的积极因素，还是绊脚石？　　6.雇用的人员是否合格？是否经过充分的培训？　7.解决问题是否及时和有效？3、内部控制有效性评价（4）组织是否有有效的监督　　1.董事会是否独立于管理当局，没有利益衝突，信息灵通，对存在的问题及时进行了调查？　　2.内部审计是否得到高级管理层和审计委员会的支持？3.内部审计师和外部审计师是否与高级管理层和审计委员会进行开诚布公的沟通和私人接触？　　4.各级管理人员是否对控制过程进行监督？　　5.对外购审计过程是否进行了监督？