CIA辅导第三科：信息技术部分

2010年CIA后续教育风险管理、内部控制与内部审计CIA后续教育2内部审计是一项为了增加组织的价值和改善组织的运营所进行的独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改进组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。CIA后续教育3国际内部审计实务标准框架（IPPF）CIA后续教育4CIA后续教育5新版IPPF所作的重大改变是：(1)程序改进。加强IPPF的各个部分，提高了透明度并确定了权威标准的修订周期。标准的修订周期目前确定为三年。尽管并非每三年都需要进行修改IIA仍致力于确保对标准作全面的审核，并视需要进行修订。(2)发展与实务帮助。这二部分不再纳入框架体条。它曾经包含了内部审计师在工作过程中可能会用到的所有资源(例如培训、出版物和研究报告等)。由于新版IPPF的范围只包括上述的权威标准，这项内容不再适合于新的框架。(3)释义。这是新增的对标准中的术语和短语作出的进一步阐释，置于需要加以解释的相关标准条款之下。(4)实务公告。这部分内容在范围上己经缩减为只包括用于实施“内部审计定义”、《职业道德规范》和《标准》的技术和方法。原框架中涉及工具或技术方法的内容已经移至实务指南部分。(5)实务指南和立场公告。这是IPPF新增的内容。实务指南侧重于在工具和技术的具体运用方面提供指引，包括详细的流程、程序、方案和步骤(例如每一步所形成结果的范例)。立场公告表明IIA关于内部审计在特定事项中的角色及职责所持的立场或观点。CIA后续教育6IPPF包括两类指南：1、强制性指南，包括：内部审计定义；职业道德规范；内部审计实务标准。《标准》的强制性质通过使用“必须”一词加以强调。《标准》中用“必须”特指无条件的强制性要求。在某些例外情况下使用“应当”一词来表示期待相关要求得到遵守，除非根据专业判断所涉情形允许偏离《标准》的要求。遵循强制性指南的要求对于内部审计师和内部审计部门有效地履行职责是至关重要的。《职业道德规范》要求内部审计师依据《标准》提供内部审计服务。内部审计师是指国际内部审计师协会会员、已经或正在获取IIA职业教育资格的人员以及按照内部审计定义的界定提供内部审计服务的人员。强制性指南适用于提供内部审计服务的个人或机构。CIA后续教育7IPPF包括两类指南：2、强力推荐的指南，包括：立场公告；实务公告；实务指南。强力推荐的指南通过了IIA的认可，由IIA国际技木委员会按照规定的流程制定。这类指南不具有强制性，而是为满足强制性指南的要求提供一系列适用的解决方案。强力推荐的指南并非旨在为特定情况给出明确的答案，因此更宜于用作指引。针对特定的具体情况，IIA建议可以寻求独立专家的意见。强力推荐的指南可以由胜任的内部审计师凭借其专业判断加以运用。CIA后续教育8培训大纲第一讲：内部控制原理与定义第二讲：内部控制环境第三讲：风险管理与风险评估第四讲：应用控制评估与测试第五讲：内部控制衡量与报告CIA后续教育9一、概述二、《企业内部控制基本规范》三、内部控制理论与实务发展第一讲：内部控制原理与定义CIA后续教育10目前，企业内部控制系统的设计主要有三种形式：——外包给四大会计师事务所；——企业自行设计；——自行设计与外包相结合。CIA后续教育11谁对内部控制系统负责?最高管理层负有对内部控制系统的组织实施的责任；董事会负有监督责任；外部和内部审计师负有评估内部控制有效性的责任；谁担当设计和实施内部控制的重任？CIA后续教育12二、我国《企业内部控制基本规范》CIA后续教育13《企业内部控制基本规范》2008年6月，在借鉴和吸收国际监管新理念的背景下，我国财政部、审计署、证监会、银监会和保监会五部委联合印发了《企业内部控制基本规范》（财会[2008]7号）。这一被称为中国版《萨•奥法案》的《企业内部控制基本规范》是我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件。CIA后续教育14基本规范的特点该规范的实施给不少企业带来脱胎换骨的影响，意味着中国企业内控规范体系建设正在向国际标准靠拢（主要借鉴美国COSO报告）；大力强化内部控制是进入美国资本市场的“入门证”和“通行证”；对企业每一项经营活动强调过程控制；以财务报告真实完整的内部控制为主线，以防范风险和控制舞弊为中心。(公司治理?)CIA后续教育15内部控制定义、目标和要素定义：内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制目标：合理保证企业(1)经营管理合法合规；(2)资产安全；(3)财务报告及相关信息真实完整；(4)提高经营效率和效果；(5)促进企业实现发展战略。要素：基本规范在形式上借鉴了COSO内部控制5要素框架；在内容上体现了COSO风险管理8要素框架的实质。CIA后续教育16根据《企业内部控制基本规范》的执行要求，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。上市公司应当对本公司内部控制有效性进行自我评估，披露年度自我评价报告，并可聘用具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。CIA后续教育17实施难度和主要问题（1）政出多门，标准要求不统一；（2）企业无所适从，缺乏内在动力；（3）实施内部控制的成本巨大；（4）缺乏内部控制系统设计、执行和评估的专业人才；（5）未能将内控合规性成本转化为增强企业核心竞争力的优势。CIA后续教育18内部控制的演变内部牵制内部控制制度内部控制结构内部控制整合框架企业风险管理整合框架CIA后续教育19引发内部控制法规出台的国际背景1992年，COSO——美国反欺诈财务报告委员会（TreadwayCommittee）发起组织委员会发布《内部控制——整合框架》构建了由三个目标和五项要素组成的内部控制框架。该框架的发布和广泛采用标志着内部控制开始在理论上和实务上走出审计范畴，从而成为企业整个管理体系的有机组成部分，同时该框架也为企业内部控制评价提供了指导。CIA后续教育20与内部控制立法相关的历史事件1977年美国国会通过了《反海外贿赂行为法》;20世纪80年代，美国华尔街发生了许多金融机构破产的事件，给纳税人造成了1500亿美元的损失。财务报告舞弊案件很多，但随后的调查发现几乎所有案件中审计师都没有发出预警的信号。1985年，COSO发起成立了美国反欺诈财务报告委员会（TreadwayCommission），责成该委员会调查公司治理中存在的问题。CIA后续教育211987年，TreadwayCommission在其报告中指出：大多金融机构破产的原因一半以上是内部控制失效，该报告引起了各界广泛的关注。1992年，COSO在《内部控制——整合框架》中提出了内部控制报告的框架，规定内部控制报告应着重说明控制系统的有效性。CIA后续教育22COSO的五大成员机构COSO是“CommitteeofSponsoringOrganization”的英文简称，是致力于通过商业道德、有效的内部控制和公司治理来改进财务报告质量的民间组织。1985年COSO成立，目的是共同发起组建美国反欺诈财务报告委员会。COSO的五大成员机构如下：——美国注册会计师协会（AICPA）——美国会计师学会（AAA）——美国财务执行官协会（FEI）——国际内部审计师协会（IIA）——美国管理会计师协会（IMA）CIA后续教育23《2002年上市公司会计改革和投资者保护法案》(“Sarbanes-0xleyAct”,SOX）亦称《萨班斯-奥克斯利法案》(简称《萨•奥法案》)。由于该法案80%的内容或措施都与内部控制有关，故被称为是内部控制法案；亦称为“2002年公司与刑事欺诈责任法案”（theCorporateandCriminalFraudAccountabilityActof2002）。CIA后续教育24《萨•奥法案》的意向是增强投资者及公众对财务报告和公司治理的信任感。《萨•奥法案》的七个意向目标包括如下内容：1、恢复公众对公司会计报告的信任感；2、促使公司高级管理层对其行为更加负责；3、增强财务系统、披露以及内部控制措施；4、鼓励和支持自行检举者；5、确保保留必需的证据；6、增强董事会，尤其是董事会审计委员会的监管职责；7、增强独立审计师的独立性。《萨•奥法案》的意向目标CIA后续教育2520世纪80年代,内部控制是企业管理的重要内容，检查和评价内部控制制度是否适当、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。CIA后续教育2620世纪80年代,内部控制是企业管理的重要内容，检查和评价内部控制制度是否适当、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。CIA后续教育2720世纪90年代——风险管理取代内部控制企业兼并重组实行多样化经营，进入了众多以前未涉及的领域；实施国际化发展战略，控制链大大延长；信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下，企业开始注重风险管理，内部审计重点从以制度为基础审计(内部控制评审）转向以风险为基础审计，或称风险导向审计。CIA后续教育2821世纪初——螺旋式回归内部控制2001年（企业兼并重组改革10年后），上述公司财务丑闻的出现，使许多公司面临一些灾难性问题。同时，也影响了注册会计师事务所的信誉和形象，各大会计师事务所修改了审计制度方面的要求，例如，会计师事务所不能同时做审计和咨询业务。CIA后续教育29回归内部控制的重要原因2002年《萨•奥法案》对加强内部控制和设立审计委员会的强制性法律要求。CIA后续教育30CIA后续教育31风险管理框架战略目标经营目标报告合法目目标标目标制定事项识别风险评估风险反应控制活动信息沟通监控公司部门业务子公司等分支机构内部环境CIA后续教育32八要素与五要素关系内部环境目标制定事项识别风险评估风险反应控制活动信息沟通监控内部环境风险评估控制活动信息沟通监控CIA后续教育33要素---五要素及其相互关系监控控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据CIA后续教育34萨班斯·奥克斯利法案（Sarbanes-OxleyAct)对内部控制要求；作为统一公司的制度和流程的基础；及开始建立与现代企业制度相适应的公司治理结构和控制环境。CIA后续教育35美国的萨班斯·奥克斯利法案（Sarbanes-OxleyAct)所有在美国上市的公司均需遵行强调外部会计师的独立性关注公司内部治理及对外信息透明、完整与正确性以强化内部控制为核心的要求外部压力－法案的强制性CIA后续教育36美国的萨班斯·奥克斯利法案（Sarbanes-OxleyAct)需符合规定的时间：提交截止2005年底的经审计师鉴证的内部控制报告根据我们的经验，美国类似规模的上市公司需要一年以上的时间进行准备。项目的紧迫性CIA后续教育37只针对萨班斯·奥克斯利法案的要求和财务报告有关的部分覆盖的业务主体CIA后续教育38内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。内部控制是：美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。因此，整个集团的共同参与对于项目的成功至关重要。CIA后续教育39萨班斯·奥克斯利法案的要求的长远益处四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些因素是遵循萨班斯·奥克斯利法案的结果也是价值的创造提供的数据客观，形象的表示了公司业绩财务报表更改的情况将很少发生