运营管理层对风险管理和控制承担直接的责任

他们也负责执行流程以及问题的纠正和改进

具体责任

建立各种与风险管理以及控制相关的职能，来支撑第一道防线

具体责任

内部审计在组织中具备高度的独立性和客观性，可以为董事会和高级管理层提供综合的确认服务，这种髙度的独立性和客观性是第二道防线职 能部门所不具备的。

转变企业生产经营和长期发展的战略和目标

根本性变革

企业的战略变革往往具有创新性和革命性

大多是由内部和外部环境因素引发的

外部因素

内部因素

组织结构变革使得原有的金字塔形组织结构向扁平化结构转变

改变组织效率低下、 人浮于事

技术变革是由于经济环境发生变化，导致需求变化而产生的，生产技术的变革必然引发管理技术的变革

于对组织的一些基本问题（如组织的宗旨、组织的战略 目标和组织的市场KPI标等）的重新思考而进行的整体流程取新安排，以更加适应组织的宗旨和满足市场的耑要

强调重新开始做正确的事，而不是纠正已经发生或正在发生的错误的事

落后的企业价值观往往以自我为中心，管理层次繁琐复杂、办事效率低、相互排挤和缺乏信任、个人利益高于一切

管理者必须为企业建立新的价值观，以团队精神为核心，建立团队导向、成采导向、相互信任、分工明确、企业利益高于一切的企业文化是企业成功变革的重要保证

不确定性，变革会使已知的东西变得模糊不淸和不确定，会使人产生风险感并 可能怀有敌意

关心个人得失，变革会使人担心失去既得利益

变革不符合组织的目标或最佳利益

沟通和教育

参与和投入

协调和支持

谈判和协议

操纵和协作

明确或暗中胁迫

总体职责

审计委员对董事会的帮助

管理层显然是公司治理的推动者

高级管理层需要以个人名义在财务错弊、内部控制、道德规范等方面承担更大的法律资任

内部审计经常被要求服务于两个对象：负责治理的人和被治理者

管理层经常要求内部审计人员帮助提供下列确认活动：

讨论每一年度和季度的财务报表并提出质疑

评估公司对外发布的所有盈利信息和分析性预测

切实讨论公司的风险评估和管理政策

负责公司内部审计机构的建立及运行

负责聘注册会计师亊务所，给事务所支付报酬并监督其工作，受聘的会计师事务所应直接向审计委员会报告

接受并处理本公司会计、内部控制或审计方面的投诉

有权雇用独立的法律顾问、其他咨询顾问和外部审计师

批准内部审计章程

批准以风险为基础编制的内部审计划

批准内部审计预箅和所需资源计划

与首席审计官就内部审计计划实施情况或其他事项进行沟通

批准关于首席审计官任免的决定

批准首席审计官的薪酬

听取首席审计官的审计结果报告并责成其对有关事项实施审计或审计调查

检查内部审计结果的采用情况

适当洵问符理层和首席审计官以确定是哲存在不适当的审计范围或资源限制。

协助审计委员会，确保其章程、内部审计活动和各项过程对于履行其职责是恰当的；

确保内部帘计章程、作用和各项活动得以清晰阐述，且能反映审计委员会和殖 祺会的耑求；

与审计委员会和主席保持开放、有效的沟通。

至少每年评估一次审计委员会章程，审核章程是否充分体现了董事会有关审计委员会职贵的规定和相关条文，并将此情况告知委员会。

评估或保存一份详细列出所有规定开展活动的审计委员会会议日程计划，用来判断这些活动是否被完成。

起草审计委员会会议日程，呈交委员会主席审阅，帮助审计委员会将此资料分发给各委员，记录审计委员会会议内容。

鼓励审计委员会比照当前最佳实务，定期评估其工作和活动，确保该活动与最先进的实务保持一致。

定期与委员会主席会面，讨论向委员会提供的材料和信息是否满足委员会的需求。

征求审计委员会意见，判断是否需要培训性会议或报告。

征求委员会意见，判断为委员会分配的工作频率和时间是否充分。

审计章程

年度计划

舞弊监控

应该使审计委员会意识到，应该每五年开展一次内部审计活动的质量评估复核。

创建流程文件

分析内部控制疏漏

测试

指导内部控制

起草、制定和实施流程

出任流程负责人

补救

董事会可以利用多个渠道获得可靠的确认

第一类：向管理层报告的人员或本身就是管理层的组成部分

第二类：向菹事会报告的人员，包括内部审计师

第三类：向外部利益相关者报告的人员提供确认

包括以下栏目：

组织确认图谱绘制完成后，可以识别出缺乏适当确认的重大风险，或存在重复确认活动的区域。

内部审计部门在制定内部审计计划时，需要考虑未被适当覆盖的领域

制定针对组织外部服务的恰当政策应该考虑以下内容：

应当在聘用合同或协议中说明业务期望，最低期望应包括交付物的类型和所有权、 方法技术、程序类型及所使用的数据信息

内部审计师应当确定其他确认提供方的工作得到了适当的计划、监督、记录和复核。

内部审计师依赖或采用其他确认提供方的工作，应当考察其独立性和客观性。

内部审计师应当将其他确认提供方的结果并入董事会或其他重要利益 相关方的总体确认报告中。

内部审计师 在检查针对外部确认提供方的建议而采取行动时，应当确定管理层已经采取了行动，或 愿意承担不采取行动的风险。

审计覆盖面

互相接触审计方案和工作底稿

交换审计报告和管理建议书

审计技巧、方法及术语的共识

专业知识和经验

对组织所在行业的了解

独立性

专业服务的可获得性

对组织需求的估计和回应

重点业务人员的合理稳定

保持恰当的工作关系

合同承诺条款的实现

组织整体价值的实现

一般要求

损害独立性事项

①法规监管机构

②其他保证部门

应该记录的活动和责任包括：

应当评估的风险暴露有：

首席审计官应该建立同环境主管官员的密切工作关系

对审计计划和审计项目的实施进行检查

①找出业务战略与活动领域的风险并进行优先排序。

②高级管理层和董事会已经确定了组织可以接受的风险水平，包括为实现组织的战略计划而接受的风险。

③设计、实施了降低风险的活动，把风险降低、管理在管理层和董事会可以接受的水平上。

④开展持续的监督活动，定期对风险和控制的有效性进行再评估，以管理风险。

⑤董事会和高级管理层定期收到风险管理过程的结果报告。组织的治理过程应该包括定期向利益关系方传达风险、风险战略和控制情况。

①与研究、评估风险管理方法的参考资料和背景信息，评估是否恰当、是否行业最佳

②研究、评估与组织业务有关的当前发展情况、趋势、行业信息，确定是否存在影响组织的风险，用以解决、监督与再评估风险管控促使

③检查公司政策、董事会和审计委员会的记录，确定组织的经营战略，风险管理理念和方法，对风险的兴趣以及对风险的接收

④检查管理层、内审师、外审师以及其他方面发表的风险评估报告

⑤与行政经理和业务经理交谈，确定业务部门的目标，相关风险以及管理层开展降低风险的活动和控制及监控活动

⑥收集信息，独立评估降低风险、监督、风险报告和相关控制活动的有效性

⑦评估这对风险监督活动建立报告专线的恰当性

⑧评估风险管理报告的充分性和及时性

⑨评估观管理层的风险分析是否全面，评估为纠正风险管理过车合格中发现的问题而采纳的措施的完整性，提出改进建议

⑩确定管理层的自我评估过程的有效性

(11)评估与风险有关、可能你说明风险管理实务中存在薄弱环节的问题。【经理层对风险的接受能力、无法达成一致汇报董事会】

董事会对确保风险得到管理负全部责任

实践中，董事会将风险历框架的运作授权给管理团队来执行

为实现组织目标提供更大的可能性

在董事会层面综合报告不同风险

提高对主要风险及其广泛影响的认识

识别和分担跨业务风险

对重要事项集中管理

减少意外或危机

在组织内部更加关注用正确的方法做正确的事情

对将要采取的行动增加变更的可能性

具备为获取更高回报而承担更大风险的能力

更有依据的风险承受和决策

说明和沟通组织目标

确定组织的风险偏好

建立适当的内部环境，包括风险管理框架

识别影响目标实现的潜在威胁

评估风险（如，威胁的影响和发生可能性）

选择和实施风险应对

采取控制和其他应对措施

组织中所有层级采用一致的方式进行风险信息沟通

集中监督和协调风险管理过程及结果

为风险管理的效果提供确认

当明确管理层对风险管理的职责；

内部审计师职责的性质应当写入内部审计章程并由审计委员会审批通过；

内部审计不应当代表管理层管理任何风险；

内部审计应当提供建议、挑战 并支持管理层做决定，而不是他们自行做出风险管理决定。

①为特定的审计活动分配审计人员。

②为独立的审计活动分配时间

每一项目完成后进行的评估

由首席审计官进行的年度检查

完成工作情况

个人特性

涵盖内审活动的全部内容

能够连续监控内审活动的效果

遵循《标准》和《职业道德规范》

为组织增加价值并改善组织的运营

包括定期和持续性的内部评估

包括至少每五年一次的外部评估，并向董事会报告评估结果

对内审活动执行情况的持续监督

定期自我评估或由组织其他充分了解内审事务的人员进行的评估

首席至少每年一次向高级管理层和董事会报告内部评估报告

最少五年开展一次

必须有来自组织外部、合格且独立的评估人员负责实施

首席必须与董事会讨论

外部评估的形式和频率

外部评估人员的组织和独立性，包括任何潜在的利益冲突

首席必须向董事会汇报结果

只有遵循了，首席才能发表声明

向高级管理层和董事会披露未遵循事项及其影响

每年至少一次

①持续监督

②定期评估，抽样是否遵循《道德规范》《标准》

以下情况可免除外部评估

未遵循《国际内部审计专业实务标准》

不恰当的质量保证与改进程序，包括用以监控内部诉计师独立性和容观性的程序

缺乏有效的风险评估流程，在战略性风险评估过程中未能识别关键审计领域， 在单个审计项目计划中未能识别高风险领域，结果导致未能正确的实施帘计， 或将时间浪费在错误的审计上

没有设计有效的内部审计程序来测试“真实的”风险和正确的控制

没有评价控制设计的适当性和控制效果，并将之作为内部审计程序的组成部分

在审计人员选用上，没有避于对高风险领域的了解或经验而采用恰当的胜任人员

没有根据审计发现或控制缺陷.提出职业怀疑并扩展审计程序

没有适当的内部审计监督

在棠握某些舞弊证据时，做出错误的判断和决定

没有与适当的人员沟通所怀疑事项

没有恰当地进行报告

质证保证与改进程序

定期对审计领域进行审核

定期对审计计划进行审核

有效的审计规划

有效的审计设计

有效的管理人员审核和升级程序

适当的资源配置

①就内部帘计活动的作用和强制性积极地与审计委员会、高级管理层以及其他利益 相关者沟通。

②就风险评估、内部审计计划和内部审计业务中涉及的事项进行明确的沟通，对其 中没有涉及的工作范围更要明确。

③设立一个“项目认可”流程，对每个项目相关的风险级别以及内部审计在每个项目中的作用进行评估。

④如果将内部审计师扩充到某项目的人员配备中，要对他们参与的角色和范围进行记录，还要对其客观性和独立性问题进行记录，决不能将内部审计人员看作是借调来的 资源，以避免导致错误确认。

董事会把监控和确认责任委派给管理层，自己仅保留主要的决策权

职责

管理层主要负责识別和管理风险，并以一种结构化、一致和协调的方式来实施企业风险管理

风险偏好定义为“在广泛的层面上组织为追求价值而愿总接受的风险数量。”

CEO职责

职责

预算和财务规划、跟踪和分析绩效以及报告

外部审计师能提供独立和客观的观点，有助于实现组织的外部财务 报告目标以及其他组织目标。

①在制定内部审计部门的审计计划

②审计活动领域可以吸收战略计划的成分

③首席在准备内审部的审计计划是，要以从高级管理层和董事会获取的审计活动领域以及风险、风险暴露对组织的影响进行的评估为基础

④审计活动领域和相关市计计划内容的更新，应该反映出管理层的方针、目标、重 点和关注点出现的变化

⑤应该在评估风险和风险暴辦优先次序的骓础上安排审计工作

访谈

焦点小组

观察

会议

研究

报告

调查

识别组织面临的各种风险

评估风险概率和可能带来的负面影响

确定组织承受风险的能力

确定风险消减和控制的优先等级

推荐风险消减对策

①风险识别

②风险度量

③风险排序。

金额的重大性

资产的折现力

管理能力

内部控制的质量

变化或稳定程度

上次审计业务开展的时间

复杂性

与雇员及政府的关系

影响因素

外部限制

定义

特征

作用

最大特点为自我控制

评价内控的人员是业务员本身

①促进小组研讨班法

②调查法

③管理部门分析法

合同审计的共同点就是要求找出在人员成本、材料成本、设备成本和供应成本控制上存在的缺陷。

为了维护组织利益，内部审计师应该对合同谈判、合同签订、合同执行、合同完成的全过程进行监督。

合同类型

质量问题是组织中所有各方都应该承担的责任；

如果缺乏质量标准，应该与管理层及相关部门合作建立一套标准；

如果组织中质量保证部门或质位管理团队定期实施审计，则应该与这些部门合 作，另外这些部门或本身也厲于内部审计范畴。

控制目标

安全漏洞

控制措施

控制测试

物理接触和环境控制是指对保护组织资源和信息系统以避免他人接触的硬件和软件实施的控制。

逻机接触控制是指为了避免未经授权接触、使用或更改信息系统的数据和程序，采用安企软件保护信息系统的资源、应用软件和数据的控制。

例如设立登录ID和密码、 系统日志、数据加密、建立生物安全接触控制（如视网膜扫描）、严格规定工作站应用管制措施（如限制进人的工作站数量)、设立回拨程序（使系统与用户联系时，只依据 以前授权的号码打电话）、数据分类（按照机密级别分类，不同类别数据根据授权采用 不同接触控制程序）等。

备份控制就是定期对程序或者数据文件进行备份，注怠备份应该远离原始文件的所在地。此外，对于计算机数据的备份圾好能采用刻盘封存。

经济性是指组织经营活动过程中获得一定数量：和质设的产品和服务及其他成果时所耗费的资源最少，其核心是支出是否节约；

效率性是指投入和产出的关系，包括是否以最少的投入取得一定的产出或者以一定的投人取得最大的产出，其核心是支出是否讲究效率；

效果性是指多大程度上达到组织目标、经营目标和其他预期结果，其核心是能否达到目标。

计划目标的完成况；

组织为实现产出目标而采取的各项活动是否有效；

审计业务客户是否遵守其职能相关的法律法规情况。

财务和运营信息的可靠性与完整性

运营的效率和效果

资产的安全

对法律、法规及合同的遵守

财务信息的揭示是否遵守已雄立的标准或准则；

组织是否遵守法律或法规的具体财务规定；

组织是否恰当地建立并实施了有关财务报告和资产安全的内部控制制度，以促进控制目标的完成

确定书面规章是否有效

雇员是否了解相关内容

发现的违规情况是否得到了适当控制

处罚是否公平

举报人是否遭受到报复

法律部门是否履行了职责。

最后，内部审计师还应该在审计后确认需要改进的方面，并设法获得雇员支持。

定义问题

提出建议

形成可供选择的方法

选定最佳的替代方法

及执行敁佳的替代方法

内部审计师在开展正式咨询业务后的一年内又对同一领域提供确认服务，其独立性 和客观性就会受损。采取以下措施可以趿小化受损影响：

内部市计师在开展正式咨询业务时，对以下内容应该保持应有的职业审慎：

咨询活动使首席审计官得以就特定的管理问题与管理层进行 对话。

有书面协议的计划内业务，适用一些谣要持续性进行的业务。

适合各种日常性活动，例如，参加常务会议、临时项目、专 门会议及日常信息交流。

一次性的特殊工作安排，例如，参加兼并和收购小组，流程再造 或是系统转换小组。

涉及紧急的非计划性咨询业务。例如，在发生灾难或其他特

内部控制培训应该让客户了解以下内容：

培训内容

3.5.6标杆比较法