2017现代内部审计的新要求与新发展

单击此处添加一级标题单击此处添加副标题现代内部审计的新要求与新发展TEL：17601651098Mail：qinrs@mail.nai.edu.cn秦荣生教授导言进入21世纪以来，随着国际经济环境的变化、科学技术的飞速发展和公司治理运动的深入等因素的影响，现代内部审计面临并正在进行重大变革。内部审计理论与技术、方法的每一次重大变革,都是随着经济的发展、公司治理要求的提高、新技术的出现等而摧生的。随着公司治理的深入开展，对内部审计在实践中的需求越来越多，内部审计逐渐站在公司董事会甚至整个公司的高度，开展以增加公司价值为目的的内部审计工作。二、现代内部审计的新发展21一、现代内部审计的新要求一、现代内部审计的新要求1、党的十八大提出的新要求：推进权力运行公开化、规范化，健全质询、问责、经济责任审计、引咎辞职、罢免等制度，让人民监督权力，让权力在阳光下运行。2、党的十八届三中全会提出的新要求：《中共中央关于全面深化改革若干重大问题的决定》：健全严格的财务预算、核准和审计制度，着力控制“三公”经费支出和楼堂馆所建设。一、现代内部审计的新要求3、国务院提出的新要求：2014年10月09日印发《关于加强审计工作的意见》，提出审计工作的指导思想和基本原则，发挥审计促进国家重大决策部署落实的保障作用，强化审计的监督作用，完善审计工作机制，狠抓审计发现问题的整改落实，提升审计能力和加强组织领导。4、党的十八届四中全会提出的新要求：完善审计制度，保障依法独立行使审计监督权。对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖。一、现代内部审计的新要求5、中共中央、国务院提出的新要求：2015年8月24日《关于深化国有企业改革的指导意见》提出：完善企业内部监督体系，明确监事会、审计、纪检监察、巡视以及法律、财务等部门的监督职责，完善监督制度，增强制度执行力。强化对权力集中、资金密集、资源富集、资产聚集的部门和岗位的监督，实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。建立审计部门向董事会负责的工作机制。一、现代内部审计的新要求6、中共中央办公厅、国务院办公厅印发《关于深化国有企业和国有资本审计监督的若干意见》厅字（2017)1号深化国有企业和国有资本审计监督，要围绕国有企业、国有资本、境外投资以及国有企业领导人履行经济责任情况，做到应审尽审、有审必严。主要审计：（1）遵守国家法律法规、贯彻执行党和国家重大政策措施情况；（2）投资、运营和监管国有资本情况；（3）贯彻落实“三重一大”决策制度情况；（4）境外国有资产投资、运营和管理情况；（5）公司法人治理及内部控制情况。一、现代内部审计的新要求6、中共中央办公厅、国务院办公厅印发《关于深化国有企业和国有资本审计监督的若干意见》厅字（2017)1号健全完善相关审计制度，做到国有企业、国有资本走到哪里，审计就跟进到哪里，不留死角。（1）建立健全经常性审计机制。5年至少1次，任期1次。（2）建立健全境外国有资产审计监督机制。（3）建立健全大数据审计工作机制。建立联网审计制度。（4）建立健全内部审计监督机制。（5）建立健全审计机关与相关部门的协调配合机制。（6）建立健全审计查出问题整改及责任追究机制。（7）建立健全审计结果报告和公告机制。二、现代内部审计的新发展现代内部审计的新发展3、实施风险管理审计2、实施信息安全审计4、实施内部控制评价1、更新内部审计概念5、实施公司治理审计6、发展内部审计技术（一）更新内部审计概念1、国际内部审计师协会的定义在2001年1月国际内部审计师协会（IIA）发布的新版的《国际内部审计专业实务框架》中，将内部审计全新定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加组织的价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。（一）更新内部审计概念IIA对内部审计的新定义放弃了长期强调的“监督”职能，提出了内部审计新的基本职能，拓展了内部审计的内容，明确了内部审计的目标：（1）提出了内部审计的“确认”与“咨询”职能。不再将“监督”作为内部审计职能；（2）明确了内部审计确认和咨询职能的内容。内部审计的审计内容是“风险管理、控制和治理过程”；（3）升华了内部审计的目标。将内部审计目标与组织目标相统一，提出了内部审计“帮助组织实现其目标”。（一）更新内部审计概念2、中国内部审计协会对内部审计的定义中国内部审计协会（CIIA）2013年在“内部审计基本准则”中指出：本准则所称内部审计，是一种独立、客观的确认和咨询活动，它通过运用规范的程序和方法，审查和评价组织业务活动及其内部控制、风险管理的适当性、合法性和有效性，促进组织改善治理和管理，帮助组织增加价值，实现其目标。（一）更新内部审计概念3、ABB公司对内部审计的规定ABB集团位列全球500强企业，是电力和自动化技术领域的全球领导厂商，对内部审计是这样规定的：“内部审计是站在CEO等经理者的肩膀上，用第三只眼由上向下看，看基层单位应该怎么做，实际做得如何，存在哪些偏差，然后提出纠偏措施”。（二）实施信息安全审计中国的信息安全，面临着严峻的考验和挑战。随着云计算、物联网、移动互联网、大数据、智能化等应用的持续拓展，未来中国企业信息安全威胁将持续扩大。美国微软的操作系统、英特尔的芯片、思科的交换路由器统治着我国信息产业的基础产品，加上谷歌、苹果、Facebook、推特等提供的先进、方便的互联网服务，全球网络信息向美国单方向聚合，形成了巨大的信息失衡。2013年4月斯诺登曝光的“棱镜门”透露：美国国家安全局自2007年就入侵了大部分中国政府部门和大中型企业的网站窃取信息，而中国政府部门和大中型企业却毫无所知。诚信为本操守为重坚持准则不做假账需求现状需要一个独立于信息系统管理部门的机构评价信息系统的安全性。需要构建预防、减少或消除信息安全潜在风险为目标的安全架构。信息系统的脆弱性、技术的复杂性、操作的人为因素；为了降低网络与系统的维护成本而采取的租用网络或者运行维护外包；信息系统管理部门，主要从事设计、开发信息系统，对整个信息系统的设计和运行安全关注不够。由内部审计机构对信息运行和维护管理与操作监控进行审计就成为必要以预防、发现错误或违规事件，形成对信息系统风险进行事前防范、事中控制、事后审计和纠正的组合管理。必要性（二）实施信息安全审计（二）实施信息安全审计RonWeber：收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济地使用资源。√定义对与信息安全有关的活动的相关信息进行识别、记录、存储和分析，检查发生了哪些与安全有关的活动和谁对这些活动负责。√内容信息安全管理相关的标准，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列等√依据制度审计（二）实施信息安全审计（1）信息安全审计的重点是确认硬件、软件和数据存储的安全性。如确认数据库、数据平台和应用系统的安全性，确认识别非法访问的有效途径和审阅系统日志。（2）信息安全审计应对信息技术控制与合规性和应用控制及特殊的技术平台实施审计，并运用计算机辅助审计工具（CAATs）对数据进行测试和检查。（3）实信息安全审计应利用计算机技术进行审计，开展基于程序分析的CAATs和基于数据分析的CAATs。审计具体内容（二）实施信息安全审计国际信息系统审计与控制协会(ISACA)创立于1969年，它是一个从事信息管理、控制、安全和审计标准研究的全球性组织。通过国际信息系统审计与控制协会(ISACA)的CISA考试，可成为国际信息系统审计师(CertifiedInformationSystemAuditor)，简称CISA。自1978年开始对国际信息系统审计师(CISA)实施注册以来，全球已有6万多名专业人员获取该认证。CISA课程包括了信息系统审计程序、信息技术治理、系统与基础架构生命周期管理、信息技术服务的交付与支持信息资产的保护、业务连续性与灾难恢复等六大部分，全面覆盖了信息系统审计涉及到的各个环节。（三）实施风险管理审计企业的业务部门风险管理职能部门内部审计机构公司风险管理的三道防线风险管理框架风险管理审计：内部审计采用系统化、规范化的方法来进行以测试风险管理系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动，对公司的风险管理、控制及监督过程进行确认和评价。（三）实施风险管理审计风险管理审计——牢固风险管理的最后一道防线公司面临的风险驱动因素市场风险信用风险操作风险国家风险法律风险经营风险风险管理审计树立风险意识风险识别与评估风险控制的有效性声誉风险战略风险（三）实施风险管理审计风险管理审计——牢固风险管理的最后一道防线外部环境评价经营风险高低判断控制测试和实质性测试结果与结论内部经营环境评价宏观经济形势、监管政策把握科学确定审计内容和审计重点开展现场、非现场审计撰写审计报告公司战略目标、风险偏好把握风险管理审计运用后续评价开展后续审计诚信为本操守为重坚持准则不做假账（四）实施内部控制评价内部控制评价：由公司董事会和经理层组织，一般由内部审计机构实施的，对公司内部控制有效性进行评价，形成评价结论，出具评价报告的过程。（四）实施内部控制评价美国2002年颁布了《萨班尼斯-奥克斯莱法案》，其第404条款：“管理层对内部控制的评价”规定：上市公司管理层负有建立和维护内部控制系统及相应控制程序充分有效的责任；上市公司管理层应在最近财务年度末对内部控制系统及控制程序有效性进行评价。我国现状2008年财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》2010年发布三个《企业内部控制建设指引》、《企业内部控制评价指引》和《企业内部控制审计指引》自2011年1月1日起首先在境内外同时上市的公司施行自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行《萨班尼斯-奥克斯莱法案》《企业内部控制配套指引》执行企业内控规范体系的公司，必须对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。（四）实施内部控制评价国务院国资委和财政部2012年5月7日联合发布《关于加快构建中央企业内部控制体系有关事项的通知》，要求中央企业切实加强对内部控制工作的组织领导，加快构建中央企业内部控制体系。两部门要求，中央企业要设立专职机构或确定牵头部门，按照内部控制建设与监督评价职责相分离的原则，明确内部审计或相关部门负责组织内部控制评价工作；要分类分步推进，全面启动内部控制建设与实施工作，力争用两年时间，建立规范、完善的内部控制体系。各中央企业应当制订全集团内部控制整体建设实施方案或持续改进计划，经董事会批准后，报国资委备案；自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。（四）实施内部控制评价（1）内部控制系统设计的有效性。评价有效性是指评价为实现控制目标所必需的内部控制要素是否都存在并且设计恰当，从而判断其中是否存在设计缺陷、是否缺少为实现控制目标所必需的控制。（2）内部控制运行的有效性。评价设定的内部控制系统是否按照规定程序得到了正确执行，是否存在设计完好的控制未按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力。评价内容（四）实施内部控制评价评价内容评价方法企业应制定评价方案、实施评价活动、编制评价报告，开展内部控制评价。企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行的。流程层面评价通常包括了解重要业务流程；根据业务流程描述，识别风险与控制；执行穿行测试；执行控制测试；汇总和报告发现问题。