中国内部审计2001.12

关于参加2001年亚洲内部审计大会的报告

中国内部审计学会代表团

亚洲内部审计联合会组织举办的2001年亚洲内部审计大会，于2001年10月10日至12日在马来西亚首都吉隆坡召开。马来西亚、中国、日本、印度尼西亚、印度、新加坡、文莱和香港等8个国家和地区的内部审计协会或组织代表425人参加了会议。中国内部审计学会方振慰副会长率领部分会员单位代表14人参加了会议。

2001年亚洲内部审计大会的主题是：新经济对内部审

计的挑战——一风险管理与公司治理。会议首先由IIA马来西亚主席 Devanesan Evanson致欢迎词，亚洲内部审计联合会主席格瑞特先生致开幕词，国际经济行动委员会执行理事Ybhg．Dato’MustaPa Mohamed做了主题发言。他们从不同角

度指出，在新的经济环境下必须加强学习与交流，学习风险管理、自我评估和控制的新技术；内部审计要有前瞻性，要做“明天的审计师”，而非“今天的审计师”。面对新的经济形势，内部审计必须继续关注组织管理层的需求，了解组织的风险，并对风险管理进行评估。他们在发言中强调：内部控制是公司治理的重要组成部分，审计委员会必须依赖于内部审计工作。内部审计在经济全球化的今天越来越重要，亚洲经济危机是重要的警示。

会议邀请曾华会计公司（香港公司、马来西亚公司）。毕马威会计公司（亚洲咨询处、管理保证服务处）、安达信会计公司（新加坡公司），马来西亚 Roots咨询公司、美国亚利桑纳州立大学、美国运通公司、新加坡电讯有限公司、新加坡审计长办公室、科信集团国际有限公司等机构12名专家，就新经济时代内部审计面临的挑战、内部审计新的价值观与标准、内部审计在遏制风险中的作用、有效风险管理。技术主导型业务对审计提出的挑战，以及控制自我评估技术等做了重要演讲。

各位专家演讲的主要内容可归纳为以下几个方面：

1、亚洲经济危机，警示各个组织必须重视和加强内部审计在风险管理和公司治理方面所起的作用。当前，风险管理面临的主要挑战是：公司治理的目标不明确；脆弱的业务控制；缺乏对风险的了解；不适当的信息系统管理；对财务风险和管理缺乏足够认识等。特别是在IT迅速发展的时代，越来越多的人使用因特网，通过计算机网络开展业务，舞弊形式也发生了较大的变化，内部审计在这方面的防范作用应引起各个组织的关注。

2．有效的风险控制可以促进组织提高对于风险的意识。内部审计应当在风险管理和公司治理方面发挥其特有的作用。内部审计必须保持独立性，其职责是保证服务，检查风险管理恰当性；确保风险管理信息（数据）的真实性和准确性；就内部控制有效性进行评估，向管理层提供咨询服务。内部审计师的作用主要表现在保证服务、保险服务和咨询服务方面；为防范明天可能出现的风险做好准备，不断寻找可能出现风险的解决方案，以防止临时“救火”的情况。

3、内部审计在风险管理和公司治理方面所起的作用，是通过对于风险管理的自我评估实现。内部审计义不容辞地应当充当起风险管理自我评估的协调人和总体策划者。内部审计师作为“风险评估”的协调人，可以提高组织对风险的意识，可以促使更多的人参与风险管理，可以使公认的风险得到更快地治理。内部审计师要发挥好组织的潜力，不仅要完成合规性审计，做好内部顾问，而且要当好风险管理的协调人。专业审计人员应当对 IT、电子商务等持续地作项目评估，提高审计能力。

4．成功的风险管理，一是高层管理者要有积极的态度，要求各级管理者都要有较强的防范风险的意识；二是有较好的风险管理方法，这些方法来自对于自身风险的评估，有效的自我评估是成功风险管理的关键；三是有较好合规环境，市场运行规则明确，组织内部有较为严密的执行系统。成功的风险管理还有赖于工作技巧，要促进人们达成共识；要促进将机遇转变为提高的机会；要能够将负面的反应转换为积极的态度；懂得如何去倾听他人的心声；要有真诚的态度。

5．随着经济全球化的发

展、信息产业的发展，公司业务及商务交易方式发生了根本性变化，传统的风险管理评价控制方法已经难以发挥作用。电子商务的发展，存在着很多风险，如信任、隐私、安全性、合规性、过程控制、商务管理等。风险及解决风险问题的方式与计算机网络的联系越来越密切，需要更多的控制以保障安全。因此，内部审计工作也需要有IT方面的安全知识和技术，需要对系统的安全性进行监督，对不恰当地使用信息、不恰当地获取个人信息、不恰当地储存信息和侵犯隐私等问题予以防范。因此，要逐步探索开展有关电子业务风险管理有效性的审计，做好风险管理的自我评估。

6．审计委员会下的内部审计保障机制是一个比较好的公司治理结构。公司治理的关键因素包括价值观念（公司文化）、治理结构和责任性。好的公司治理需要有一个有能力的、负责的董事会，有一个有效的监督体系，可以向股东提供可靠、及时的信息。国际上的治理结构大体可以分为单轨模式（董事会下设审计委员会）和双轨模式（董事会十监事会）。审计委员会在监督审计过程的其他组成部分之间起着关键性作用。审计委员会与内部审计师之间、与外部审计师之间要有独立的交流，与管理层、内部审计师政十部审计师就事务的意义和影响可以进行坦率地对话。

审计委员会与内部审计师的关系，一是内部审计师可以作为审计委员会的职员；二是内部审计的主管参加审计委员会的会议；三是内部审计主管和高级职员应与审计委员会主席或委员会全体成员经常私下会见和交流。审计委员会对内部审计的监督主要表现在：评价内部审计章程；任免内部审计主管须征得审计委员会同意；评估内部审计计划与预算；评估审计结果；要求开展审计项目；质量保证复核等方面。

7．控制自我评估（CSA）是风险管理和公司治理的重要方法。CSA是检查、评估内部控制有效性的过程，目标是提供合理的保证。CSA是风险管理的组成部分，可以提醒管理层注意到目标、风险、控制之间的关系；可以改善工作关系；提高管理人员对控制的意识；增强对股东的保证力度；打破交流障碍，将运营与风险管理更好地结合起来；能够深入风险领域，使得审计重点更加集中。

CSA技术主要可以采取以下方式：（l）访谈。这种方式比较迅速，有较强的保密性，但发挥集体智慧有所不足。（2）问卷。对被访问对象来说比较有效率，保密性强，可以匿名，可以更好地抓住审计重点，关键是问卷要有针对性、科学性，必须有专门的人员进行设计；（3）座谈。这属于开放式文化，可以比较好地发挥集体的智慧，通过公开交流打破部门间的障碍，使问题得到更快地解决，但它需要有一定的领导、协调能力，有相当好的技术、内部控制经验，并熟悉各种工作方式的内部审计人员。

通过参加这次会议，有以下几个方面值得借鉴：





1、需要深入探讨现代企业的法人治理结构中监督体系的建立形式和对内部控制管理的要求。不健全或无效的监督体制不但不能促进企业内部风险管理的加强，反而可能削弱内部审计的作用。

2．增强风险意识，调整审计定位。围绕着组织最大的风险控制问题开展审计工作是内部审计的核心内容。内部审计不能仅仅满足一般地检查、揭示问题、提出纠正意见，应把主要精力放在内部控制和风险管理的有效性评估方面。

3、随着电子信息产业的发展与在公司业务中的应用，风险管理和内部控制的重点将逐步转移到各项电子业务中。它要求内部审计要尽快掌握现代信息技术，开展计算机风险管理控制的审计，掌握先进风险管理评估


技术和方法。＊