微信
手机学习
智选
报班
  • 客服热线: 4008-000-428

新版《内部审计在治理、风险和控制中的作用》学习笔记(四)

发布时间:2010年01月12日| 作者:佚名| 来源:优府审计| 点击数: |字体:    |    默认    |   

D 执行其他内部审计任务和职责(熟练掌握)

1、道德规范/合规情况

《萨-奥法案》对提供舞弊证据的上市公司雇员保护

对道德规范/合规投诉内审作什么?

1、制定书面政策和流程,并对投诉进行调查

2、监督管理层落实投诉解决办法有关决定,否则内审职业生涯受到损害

《萨-奥法案》规定:CEO CFO,报表被要求更正,其奖金和利润将被剥夺,即报告报出之前12个月内权益报酬(所持股票分红),或剥夺12个月内出售证券得到的利润(SEC:美国证券交易委员会)

上市公司的内审必须遵守《萨-奥法案》报告合规情况:

1、强化的利益冲突条款,规定管理人员不得以公司名义给个人贷款或借款

2、管理层和主要持股人参与公司交易,报告自己直接或间接持有10%股票

3、高级财务官员道德规范,要求披露道德准则,以及对其的修改

2、风险管理

内部审计作用:以咨询的方式帮助本组织识别、评价和实施风险管理方法和控制,从而解决风险,对风险评估一般具有较高的审计优先顺序,评估重点是管理过程的充分性和有效性。如果有部门提出要求,内审可以帮助机构进行风险管理的初步建立工作,咨询业务可作为保证业务的补充。必须明确内审可以促进、协助风险管理过程的建立,但不负担风险管理责任(在管理层没有识别风险时,审计可以协助识别,而不是帮助建立制度,制度建立是管理层的责任)

3、保密

对外发布信息:一般而言是董事会或审计委员会的责任,不是内部审计的责任,当非法律部门要求披露审计信息时,可将这一要求报董事会或审计委员会

4、信息或物理安全

薄弱环节:是指系统可能被不良目的所利用的某些方面,包括系统弱点、安全漏洞和实施缺陷,内审对其进行评价和检查纠正的落实

定期评价合规:向董事会或审计委员会定期报告,报告包括:物理安全的环境风险和未经授权的访问保安,遵守法律、法规有关隐私规定

防止获得口令的最有效办法:使用者使用卡片自动产生口令,密钥介入每次口令不同

E 治理、风险和控制知识要点

1、可选择的公司治理模型

治理:就是运用权力去指导、控制以及用法律来规范和协调人们利益的行为

公司治理:是指对公司的统治和支配,它决定运营的目标和方向,治理过程就是对管理层执行的风险和控制过程加以监督。研究投资人和公司各级管理层、外部利益互相作用和影响关系。治理程序的核心是:监督和控制,公司治理的实现是控制权。

公司治理程序:

1、公司权利机构(股东大会)、决策机构(董事会)、执行机构(高级管理层)三者之间的分立制衡关系

2、治理程序体现在与各个经营管理层的委托关系,通过内部控制制度构建,董事会是核心

治理模型:

1、英美国家的股东主权模型,融资结构以股本为主,股权分散,参与不多,收购容易并形成垄断

2、德日国家的共同治理模型,融资结构中银行占有很大比率,银行集股东和债权人于一身,公司负债率高,产生了股权与债权共同治理的模式,控制权集中,容易形成腐败和结派

2、可选择的控制框架

内部控制:是指管理层、审计委员会及其他各方面进行的、旨在加强风险管理、增大实现既定目标的可能性的行为。通过计划、组织、实施来保证目标实现,从三方面理解:

1、“内部”涉及组织的董事会和各个部门,通过内部指令完成,不是外部(政府、其他组织)

2、控制服务于组织的目标

3、控制不能必然保证目标实现,来自组织内部和外部的影响,就是风险,发现处理风险,把它降低到最低程度,就是风险管理

内控 该内容由中 审 网 校 所属 www.au d itc n .com框架(COSO)和保证实现的组织目标

1、组织运行的效果与效率:效果:实现目标的程度,如利润多少,效率:资源的投入产出量

产出量:产量、利润、工作量或其他可以测得的成果

2、财务报告的可靠性和完整性:可靠:内容的真实,完整:全面、详尽反映资产负债和经营情况,财务报告不真实、不完整往往是组织重要风险之源

3、符合相关的法律和合同,违反法律和合同会给组织带来风险

4、资产的安全:不因不当行为而损失、不当经营而减少、不当使用而低效、不当处置而贬值,保值增值是股东的最根本的利益体现

参见评估风险框架

3、风险的词汇和概念

风险的种类:

1、行业风险:对所处的行业的总体趋势、当前状况和普遍存在的问题进行分析,从而确定本组织的发展方向、竞争优势和竞争策略

2、组织风险:分析包括组织结构的效率、组织结构与组织目标之间的适应性、组织结构与外部环境之间的适应性、组织文化、管理制度的合理性等因素进行综合分析

3、沟通风险:实际上是信息风险与关系风险的总称,信息风险:信息不准确、不及时、不完整造成的决策失误或缓慢的风险。关系风险:沟通不力,或不能很好地了解信息知识出现对信息的误解,并导致不适当的行动,进而造成客户丧失、机会损失或士气低落以及各种冲突

公司合并的风险含有文化差异的风险,这些风险是内审应当考虑

4、风险管理技术

风险管理技术:1、风险评估框架 2、风险防范系统

风险评估框架:1、风险评估:确定评估范围与方法,收集和分析相关数据,对结果进行说明

2、风险缓解:确定风险可能发生的范围、可能性、可能损失,采取的保护措施

3、不确定性分析:充分收集有关情报,借助一系列技术手段模型分析

风险战略目标最优化:股东价值最大化

5、不同组织结构中的风险/控制内容

1、部门设置:根据工作特征设置,部门多管理分工细,但管理效率低,成本高。部门少部门内部二次分工,增加层级数,信息传递容易失真,指挥效率低

2、管理层级:划分为高层、中层、基层,分管不同任务

3、管理跨度:管理者或管理层直接指挥的下属人员或部门的数量,它取决于管理者的能力和偏好和组织结构,跨度大,层级少,跨度小,层级多,授权下属决策,但不能转移对决策结果的最终职责

组织机构类型:(机构设置带来的风险,即缺点)

1、机械式:分工明确、弹性小,技能要求低,适应稳定环境,包括:职能型、分部型

2、有机式:弹性大、适应变化,参与决策,分工不明确,技能要求高,适应不确定环境

简单结构:集权小型企业

矩阵结构:产品部门化+职能化,复杂而又独立项目+专家组合,缺点:不统一指挥增加部门的模糊,混乱产生于不知向谁报告(报告产品经理、职能经理),会培养权力斗争的种子

网络结构:一个小中心,通过职能外包,进行运营,经济灵活,缺点:控制力、质量保证、信息保密有损害

3、有机附属结构:在有机结构不变的情况下,部分单位设置为机械组织,方法:成立任务小组结构、委员会结构

6、不同领导风格下的风险/控制内容

领导风格类型:1、任务驱动型:倾向于用命令指挥任务完成 2、关系驱动型:通过沟通协调调动积极性

领导方式类型:1、自由放任式:在工作比较复杂,有充分信任和技术保证前提下

2、体贴式:士气不振或分工明确、环境复杂目标难以完成下

3、民主式:发挥专业优势下,有一定信任程度,同时能统一意见下

4、结构式:按部就班领导成员完成任务

7、变革管理

流程再造:在现有的资源的基础上重新建立一个新的组织,不是纠正已经发生或正在发生的错误的事

造成的阻力:1、不确定性,造成担心工作的稳定,从而产生抵触

2、关心个人得失

3、认为变革不符合组织利益,造成失业、人员分裂、工作关系变化

解决手段:1、教育和沟通 2、鼓励参与 3、推动支持(积极行动肯定)4、谈判和协商 5、修改隐私部分信息(敏感问题分布进行,避免集中爆发) 6、公开和私下强制

8、冲突管理

冲突类型:功能正常的冲突,属于建设性的 功能失调冲突,属于破坏性的

产生冲突根源:沟通差异,沟通渠道有噪音,影响理解

结构差异,部门从各自利益出发形成的意见不一致

人格差异,独特的格产生的不信任,陌生,难合作

解决方法:回避:不属于主要冲突,可以不关注

迁就:顺从别人的目标,把别人目标看的比自己高

强制:牺牲别人

妥协:双方做出有价值的让步

合作:开诚布公讨论,关注对方意见,没有时间压力,问题十分重要不能妥协

激发建设性冲突:改变组织文化、运用沟通、引进外人、重新构建组织

9、管理控制技术

预算:计划大量化说明,把有关的经济活动计划用数字和表格的形式反映出来

全面预算:以利润为目标,以预算销售为基础,综合协调其他预算结果,对企业全部经济活动及其成果进行预算,包括:生产经营预算,财务状况和经营成果方面的预算,分类:业务预算、专门预算和财务预算

常用工具:增量预算、弹性预算、零基预算、滚动预算、KAIZEN(日本,预算期内累计不断改进)

10、控制类型

按时间分:事前,预防性控制

事中,典型的就是监督视察

事后,实际与标准比对,如分析投诉、客户回访、监督退回

按功能分:预防,审计客户信用、采用招标、职责分离、将任务分给胜任员工、使用密码

检查,核对账目、物资清点、对比检查

指导,政策、指南和手册,如要求从业资格、保证毛利率、出勤率

纠正,纠正程序、控制和例外报告

计算机,综合控制和应用控制

热销商品推荐
学员心声