风险导向内部审计

《风险导向内部审计》作者菲尔·格里夫茨作为 内审行业的资深从业者，曾在多家国际大型企业和审 计咨询机构工作，具有丰富的审计经验，其作为英国 内审职业协会的专家，长期参与风险导向审计的理论 研究。作者丰富的理论和实践知识使其能够从内部审 计职业面临的挑战入手，深入浅出地介绍风险导向审 计发展的历史、产生背景，以及对内审行业造成的深 刻变革和带来的发展机遇。同时，《风险导向内部审 计》还详细介绍了如何在风险导向模式下加强内部审 计组织管理、制定审计工作计划，如何在具体审计项 目中基于风险制定审计方案、构建风险概图、开展控 制测试，如何形成有影响力的审计报告、提出审计建 议和宣传审计成果等，附件还提供了开展风险导向审 计的常用工具包。这些都使该书具有了丰富的实践价 值。

菲尔·格里夫茨，于1999年成立了商业风险管理公司，向私营公司和公共部门提供风险管理、内部审计和预防舞弊方面的培训、咨询和指导工作。 他积极推动内部审计和风险管理发挥业务助推器的作用。 他的公司目前在25个国家有超过800个客户。在过去6年间，菲尔曾培训过10000余人，对许多知名公司提供过咨询服务，协调高层次事件，并就多个重要商业议题主持过多项国际国内会议。 他曾在专业杂志上发表过多篇论文和文章，包括：“CEO对内部审计及其发展的期望”，“如何改进确认服务”等。 商业管理公司开展的主要业务包括： 培训 1．与专家小组一起，提供包括内部审计、风险管理和防范舞弊方面的公开活组织内培训。 2．培训教师具有上述领域的最新工具、技术和理念，以充分保证审计质量。 3．最受欢迎的培训课程包括： a)风险导向审计 b)内部审计介绍 c)改进内审报告的100种方法

内部审计的特点如下： 1.独立性 内部审计工作保持独立性至关重要。组织应该设 立独立的内审部门，内审部门不得承担任何其他职责 ，也不能承担管理责任。以增加组织价值为目的而开 展审计活动，面临独立性的两难选择。但我认为，内 部审计定义中的独立性更多倾向于审计思想的独立性 和客观性，可以称之为“客观确认”。内部审计必须 证明在审计中不偏颇，不被情绪或政治问题所左右。 增加价值和保持客观独立是风险导向审计的关键，并 相互补充。 2.咨询 关于这个话题争论很多。一些人可能会觉得内部 审计人员作为咨询顾问很奇怪。常用一个笑话描述内 部审计人员：有人借用你的手表告诉你时间，并留下 了手表——这不是一个正面的角色。不过，享有更广 泛职权和自由度的外部顾问往往是非常有用的。我认 为，咨询工作和其他工作的主要区别在于，咨询工作 必须根据请求、以一种完全不同的方式开展。也可以 专题调研的形式开展审计调查。在我的职业生涯中， 我组织过很多这样的“审计”。例如，如果您打算审 核合同，或一个项目，或一项业务的全过程，一个很 好的办法是：将所涉及的主要人员召集在一起，问他 们哪些事情已顺利完成，哪些完成得不好，有哪些威 胁和机会，然后再确定审计检查的范围；完成审计后 ，将这些人召回来，给他们提出审计意见和建议。对 于管理层来说，这是一种积极主动的工作，他们甚至 不认为这是审计工作，这是不同于一般审计确认的审 计咨询工作。 3.协助完成业务目标 关于内部审计定义研究的下一个方面是，它有助 于实现组织目标。由于风险导向审计直接关注目标的 实现，与管理层的愿望完全一致。 内部审计定义的结尾突出了内部审计有助于评价 和改进组织的风险管理、内部控制和治理过程的有效 性。 近年来，该定义将控制纳入其中，现在又首次提 到风险管理，再次反映了风险导向审计方法的确立。 内部审计定义的最后关键字是“治理”，我们将在稍 后关注这一重要话题。几年前内部审计师协会主持制 定内部审计能力框架系列工作，其成果之一，就是给 出了第二个关于内部审计的定义： 内部审计是指在组织动态变化的环境中，对组织 所面临的风险给予恰当的识别和管理的过程。 该定义与前一个定义有很大的不同，由于远离了 合规方向，没有被内部审计师协会正式采用，但已被 纳入绩效标准2600。 如果首席审计执行官认为，剩余风险水平超过了 组织的风险可接受水平，则会与高级管理人员讨论该 问题；不能达成一致时，需向董事会报告，由董事会 进行决议。 因此，内部审计应关注所有关键领域的风险以及 他们是被如何管理的。如果内部审计认为，该组织接 受了不可接受的或过高的风险，或发生了风险敞口， 应与高级管理层讨论，并就风险接受情况达成一致。 根据“内部审计师协会标准”：不能达成一致意见时 ，必须向董事会报告——这是内部审计在组织的高层 管理中发挥作用的重要机会。 4.最佳实践 如何对内部审计的最佳实践进行定义不是一个简 单的事。通常认为，最佳实践，就是被那些最受人尊 敬和成功的组织或部门所采用的流程。我们在收集 3000多个内审部门信息的基础上，建立了最佳审计实 践数据库。当我在本书中提及最佳实践，将会给出最 佳实践以及如何实施。这些审计部门传达了一个非常 明确的信息：“别在乎小钱”。这是一种比喻，不仅 指数额小的现金，而且指所有的小问题，指一切与组 织重大风险无关的问题。也许有人每天从公司窃取零 星现金，但这并不会对组织造成重大影响。当然，这 也并不意味着永远不审计这些领域，只是说明这并非 审计关注的主要问题。 5.审计汇报途径 确保内部审计能够与组织最高管理层保持沟通。 如果不能定期与包括首席执行官在内的高级管理人员 进行沟通，很难知道哪些是组织的重要事项。最佳审 计实践认为，内审部门负责人与CEO应该每月或至少 每季度进行正式交流。 6.全过程参与 审计需要能够证明具有为组织增加价值和为管理 服务的强烈意愿。实现这一目的的最好方式就是在一 项新的业务流程开发建设阶段提出重要的控制建议， 也就是协助识别管理遗漏和需要加强控制之处。如果 一项业务流程已经建成实施了3个月，你才发现问题 所在，没有人会感谢你。 目前已有内部审计人员认识到参与业务系统开发 建设项目的重要性，但有些人害怕这种工作会损害审 计独立性。“如果我们参与了系统建设项目，那么我 们是否能够在新系统实施后对其进行审计？”我不认 为内部审计人员应该有这种担忧。内部审计只以咨询 形式，在关键阶段参与系统建设，为了不损害独立性 ，内部审计人员不应参与系统的验收。内部审计人员 不参与任何制度、流程和系统的验收非常重要，如果 签署了同意意见，就成了制度和流程的一部分，独立 性不可避免地会受到影响。 全过程参与的另一个方面就是要尽量前移审计关 口。在与高级管理人员的沟通中，你提出内审部门将 就某重要事项开展审计，如果这一事项恰好是高级管 理人员所关注的，你将被认为具有前瞻性，内审部门 声誉将得到加强。事实上，风险导向审计在重要问题 上采取向前看而不是向后看的态度。如果高级管理人 员在全身心地应对未来挑战，而内审人员还沉迷于对 过去的评论，则无疑会削弱内审部门的声誉。风险导 向审计将引领内部审计向前看，内审人员将被带人“ 水晶球”(译者注：全透明)领域，即审计人员没有任 何经验和信息的领域，如电子商务，这是一个多么令 人兴奋、可以参与的领域！P16-19

简介 第一章 什么是风险导向审计 一、内部审计的身份危机 二、定义和概述 三、内部审计面临的挑战 四、新趋势 五、转移焦点 六、内部审计师协会专业标准 七、内部审计角色：警察、风险评估师，还是咨询顾问 八、内部审计的发展历程 九、小结 第二章 认识风险 一、风险管理方法 二、定义 三、对风险的错误认识 四、对风险的误解会引发灾难 五、意外与风险 六、风险与文化 七、风险管理策略 八、风险管理项目简介 九、收益与计量指标 十、风险示例 十一、澳大利亚／新西兰风险管理标准4360 十二、COSO企业风险管理整合框架 十三、《萨班斯-奥克斯利法案(2002)》 十四、其他标准 第三章 重新审视风险导向内部审计职责 一、现代内部审计范围的变化 二、了解首席执行官的期望 三、总结 四、内审介入风险管理的时机 五、如何成功协调风险管理项目 六、风险识别 七、风险计量 八、风险管理项目 九、人员和流程风险 十、风险管理 十一、降低风险 十二、实际与期望控制之间的对比评价 十三、风险敞口 十四、风险登记表 十五、监控风险管理整改计划 十六、提升审计技能的必要性 十七、如何建立审计技能库 第四章 风险导向的审计计划 一、风险导向的审计规划 二、界定审计总范围 三、业务风险导向的审计方案 四、了解管理层需要的确认水平 五、了解可接受的最小审计覆盖面 六、确定审计优先级并制定审计计划 七、审计风险分析模型 八、审计风险评估的范例 九、审计优先级清单 十、哪些风险不易审计 第五章 实施风险导向审计 一、风险导向的审计项目计划 二、制定审计项目计划 三、确定业务职能目标 四、构建风险概图 五、确定所需的测试水平 六、测试方法 七、处理审计客户关系 八、审计方案 九、应用审计工具 十、了解威胁审计成功的因素 第六章 风险导向审计报告 一、审计报告的目标 二、向谁报告 三、怎样形成有影响力的审计报告 四、好报告是怎么形成的 五、关于审计报告的四十个问题 六、职业标准 七、如何将目标、风险与审计发现问题相关联 八、报告摘要 九、主审计报告的最佳实践 十、撰写报告 十一、使报告更加简洁 十二、关于审计报告的更多建议 第七章 衡量审计价值、宣传审计效果 一、管理层如何看待内部审计 二、内审声誉及其衡量方法 三、风险导向审计的关键绩效指标 四、审计质量基准 五、宣传风险导向审计方法 六、对审计流程的解释说明 第八章 风险确认职责与内审角色 一、风险确认职责带来的挑战 二、提供风险确认服务的部门· 三、内部审计的机遇 四、风险确认服务提供者之间的合作 五、多层次报告 六、如何协调与其他风险确认提供者的关系 第九章 展望未来 一、下一发展阶段——确认导向审计 二、内部审计未来——盛宴还是饥馑 三、全球化对内审的启示 四、结语 附录 风险导向审计工具包 第一部分：简介 第二部分：业务风险确认项目发起备忘录 第三部分：风险识别研讨会议程 第四部分：风险登记表 第五部分：审计人员技能评价表 第六部分：审计工作流程 第七部分：审计效果评价 第八部分：内审质量检查评价建议 第九部分：常见问题 第十部分：对于内审职责的一些误解 第十一部分：内审手册的总裁序言 第十二部分：审前会议准备 第十三部分：控制目标调查问卷 第十四部分：内审报告模板 专用名词中英文对照 关于作者