时间:2023-05-29 17:59:41
(一)内部审计被认为是内部控制中的组成部分
内部控制在五个要素条件下共同组成整体框架,在这其中的控制环境要素指的是位于企业中的一些核心人员加之这些人的个别属性和他们所处的工作环境,其中包括审计会以及审计委员会、个人能力以及诚心价值观、组织结构、内部审计、管理者的理念与风格以及人力资源政策以及程序等。那么显而易见的是,控制环境中将内部审计包含了在内,然而因为环境控制又是内部控制要素里的一个,所以说内部审计也就能被看做是内部控制的一部分。然而内部审计不单单是内部控制中的一部分,还被视为监控内部控制时的一个十分重要的途径。这个监控就是指在经营活动的整个过程中向内部控制作出全方面的监督与评价,在相关程度上是有着特殊独立性的,一般来说都是由那些独立的职能部门实施内部审计的开展以及实施,此外还可以是向内部控制作出的自我评估。在进行内部审计之后,能够向除了控制环境以外的那些控制要素实施再次的控制,对内部控制进行监督,保证其有效的运行,在对其进行不断的评价与改进的过程中,使内部控制目标的实现得以促进。
(二)内部审计是对内部控制进行监控与评价的主要手段
当前,经济责任、经济效益、财务收支审计以及对特殊目的进行的专项审计是内部审计业务的主要内容。国际内部审计师协会对内部审计工作制定的新定义指出,我国内部审计在未来将以价值增值型审计、风险评估与风险管理审计作为发展的新趋势。不管是何种形式的内部审计工作,都需要对内部控制的建立以及执行的情况进行审查与评价,以此将审计的重要与审计的范围确定出来。所以说内部审计能够监督内部控制的简历以及执行的情况,是对内部控制的再控制。
(三)内部审计同内部控制之间能够相互融合与促进
内部控制由内部审计组成,在内部控制里是控制环境中的一个要素,也是企业和单位进行自我评价的一种评价活动,对于内部审计的本身来说也是一种控制。内部审计生成的一个主要产品与对象就是内部控制,内部审计能够通过审查与评价内部控制政策以及程序的有效性与健全性,能够促进建立出一个良好的控制环境。内部审计能够通过审查与评价内部控制,将组织在内部控制过程中隐含的风险点作出分析,对产生问题的原因以及引发出的一些不良影响作出评估,使内部控制能够更加的健全与有效。内部控制能够使内部审计的发展得以促进。如果内部控制能够进行良好的设计与运行,就会使审计工作得到更加顺利的开展,能够将审计工作的工作质量与工作效率提升,并且将审计的风险降低,还会帮助审计领域的扩大,令现代审计方法能够加快变革。
二、加强内部审计、完善内部控制的措施
(一)单独立项审查组织内部控制
当前,我国仍然存在很多组织内部的审计工作只是对财务数据的合法性与真实性进行查证,并没有进深到经营领域与风险管理上,一般都是在查账的过程对内部控制进行顺带的审查,不能使内部审计应当在内部控制中具有的作用实时发挥出来。对此,内部审计需要将重要的工作内容置于监督与评价内部控制过程中,应当对其进行单独立项,针对组织内部控制存在的地域风险能力并健全的有效程度加以衡量,将组织面临的各种类型的风险进行防范与化解,将组织的管理水平与运营能力提升。
(二)为内部控制提供管理咨询服务
根据相关法律规定,公司经理需要对公司的基本管理制度进行拟定。通常来说相关业务部门负责内部控制的制定阶段,业务部门往往会以自身的角度与利益为出发点对内部控制的方案进行制定,但是在这种情况下制定出的方案并没有对组织从全局上进行思考,其设计出的方案必定有很大的缺陷存在,甚至还有可能存在一些控制盲点。由于内部控制中内部审计的重要性以及内审人员了解组织内控情况,使得内部审计工作中涵盖了管理咨询服务这部分的内容。在对相关公司起草和构建基本管理制度时应当立即向内审部门提出咨询,拥有丰富经验的内审人员会以统筹考虑组织全局发展的角度给出自己的建议,在由总经理进行审阅、由董事会做出最终的决定,以此来将内部控制的缺陷在构建阶段得到最大限度的控制,使程序与制度的完善性得到了保证,进而发挥出极大的效果。
(三)合理设置并且准确定位内审机构
组织应当同国内外形势的变化相适应,进而建立出更加高效合理的现代化内部审计机构,使审计环境能够更加的良好,使内部审计能够将其在内部控制中的作用得到充分的发挥。关于审计理念需要从财务收支审计转变为对财务报告进行内部控制审计、从事后审计转变为全程审计、从查错防弊导向审计转变为价值增值导向审计、从对经营层的业务导向审计转变为战略层的治理导向审计。将服务作为立足点,将内部审计的预控功能发挥到实处,进而使组织的价值服务得以增强。
(四)对内部审计队伍加强建设
什么是内部控制?不同部门的人从不同的角度对内部控制会有不同的看法。
美国审计权威机构COSO(1994)的定义是:内部控制是一个受某单位不同层次的人影响的过程。具体包括:
1、内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;
2、内部控制是用来取得一种或多种互相区分而又紧密联系的目标;
3、内部控制受人的影响,而不只是政策、守则或表格;
4、只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
国内学者大多认为内部控制是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证程序或过程。
二、內部控制的内容
内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与交流以及自我监督等方面,从总体上透视了企业生产的各个环节。其有效实施会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和规范化。
(1)控制环境:控制环境是推动控制工作的发动机,是所有其他内部控制组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内部控制的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内部控制的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
(2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估原则强调有效的内部控制系统,需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司所面对的全部风险(如企业要面对财务风险、经营风险、市场风险、法律风险和声誉风险)。需要不时调整内部控制,以便恰当地处理任何新的或过去不加控制的风险。
(3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。
(4)信息与交流:存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
(5)监督评审:是经营管理部门对内部控制的管理监督和内审监察部门对内部控制的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整等等。
三、內部控制的目的:
内部控制目的论的发展经过了下述阶段:
1、“三目的论”认为:内部控制是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。
2、“四目的论”认为:内部控制除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。巴塞尔委员会把内部控制的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
国内学者归纳起来认为:内部控制的目的是指内部控制想要达到的目标,大致包括:
①保护企业资产的安全、完整及对其的有效使用。
②保证会计信息及其他各种管理信息的存在、可靠和及时提供。
③保证企业制定的各项管理方针、制度和措施的贯彻执行。
④尽量压缩、控制成本、费用,减少不必要的成本、费用,以求企业达到更大的盈利目标。
⑤预防和控制且尽早尽快查明各种错误和弊端,以及及时、准确地制定和采取纠正措施。
⑥保证企业各项生产和经营活动有秩序有效地进行。
建立有效的内部控制制度对于防止、及时发现和纠正生产、经营运行过程中的各种错弊现象及不法行为有其特殊作用,对涉及投资、生产、经营、财务等各个方面和各个环节进行全方位、全过程的管理控制,对完善现代企业制度,依法治企,满足监管要求,控制风险,加强基础工作、提高管理水平,促进各项生产经营活动进一步规范、有序运行,保证整体经营目标的实现等,都有极其重要的意义。
四、内部控制存在的问题:
近年来,在强调建立现代企业制度,完善法人治理结构的同时,理论和实务界不约而同地把治理的重点瞄向加强企业内部控制,强化企业自身的“免疫”和“抗干扰”能力上。然而,还有相当一部分企业未意
识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。主要表现在:
1、内部控制制度不健全:
目前,多数企业的内部控制制度不够全面,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使中小企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账簿、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据,设置“小金库”,乱摊成本,隐瞒收入,虚报利润,恶意逃避税收等。所有这些,都与企业内部控制制度不健全密切相关。2、内部控制审计缺失:
内部控制审计是企业内部控制制度的一个重要组成部分。据调查,为数不少的企业没有设置内部审计机构,更谈不上内部控制审计。即使具有内审机构的企业,其内部控制审计也往往会被忽略。
五、解决问题的方法:
1、建立健全内部控制体系
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏,直接影响到企业内部控制的遵循和执行,以及企业经营目标、整体战略目标的实现。加强和完善企业内部控制,应注意企业内部控制环境的建设,包括经营管理的理念、方式和风格,组织机构,授权和分配责任的方法,管理控制方法,人力资源管理政策和实务,外部环境的影响等。只有建立良好的内部控制环境,才能保证制度的真正落实,才能真正达到内部控制的目的。
(1)建立组织规划控制机制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。
(2)业务经办职务与审核监督职务分离。
(3)业务经办职务与会计记录职务分离。
(4)财产保管职务与会计记录职务分离。
(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制,目前必须解决两个问题:
(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。
(2)推行职务不兼容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免关键管理人员重叠等等。
2、建立会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规,制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。会计系统控制主要包括:
(1)建立健全内部会计管理规范和监督制度,且要充分体现权责明确、相互制约以及及时进行内部审计的要求。
(2)统一会计政策,尽管国家制定了统一的会计制度,但其中某些会计政策是可选的。因此,从企业内部管理要求出发,必须统一执行所确定的会计政策,以便统一核算汇总分析和考核,企业会计政策可以专门文件的方式予以颁布。
(3)统一会计科目,在实行国家统一一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集团性公司更有必要统一下级公司的会计明细科目,以便统一口径,统一核算。
(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法,遵循会计制度规定的各条核算原则,使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
3、授权批准、财产保全控制
授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定,一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定,一般其时效性较短。不论采用哪一种授权批准方式,企业必须建立授权批准体系,其中包括:
(1)授权批准的范围,通常企业的所有经营活动都应纳入其范围。
(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各管理层有权亦有责。
(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免责任不清,一旦出现问题又难咎其责的情况发生。
(4)授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审批,以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。
财产保全控制包括:
(1)限制直接接触,限制直接接触主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。
(2)定期盘点,建立资产定期盘点制度,并保证盘点时资产的安全性。通常可采用先盘点实物,再核对账册来防止盘盈资产流失的可能性,对盘点中出现的差异应进行调查,对盘亏资产应分析原因、查明责任、完善相关制度。
(3)记录保护,应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管,避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这在当前计算机处理条件下尤为重要。
(4)财产保险,通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会,从而保护实物的安全。
(5)财产记录监控,对
企业要建立资产个体档案,资产增减变动应及时全面予以记录。加强财产所有权证的管理,改革现有低值易耗品等核销模式,减少备查簿的形式,使其价值纳入财务报表体系内,从而保证账实的一致性。4、完善内部控制审计机制
内部审计控制是内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。审计作为企业客观、公正的管理部门,在建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经济效益等方面发挥着重要作用。企业内部控制的建立,为审计人员提供了新的审计任务,即如何对企业内部控制进行审计呢?
(1)确定审计重点,编制内部控制审计计划
a、审计部门根据本企业的工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度、半年内部控制审计计划,并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。
b、根据上级部门和有关领导直接布置的专项工作制定专项内部控制审计计划。
(2)组建内部控制审计工作组。
根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
(3)编制内部控制审计方案。
a、内部控制审计工作组组长负责编制内部控制审计方案。
b、内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。其中审计的内容包括:合规性审计、全面性与系统性审计、内部牵制及不相容审计、权责和奖惩审计、成本效益审计、可操作性审计等等。
c、内部控制审计方案要保证能够使审计工作达到预期效果。
(4)下达审计通知
内部控制审计工作组于实施现场审计前2-3日向被审计单位下达内部控制审计通知书,通知书中明确被审计单位需要准备的资料、参加审计人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
(5)进行现场审计
内部控制审计工作组进驻现场后,要召开审计进点会,向被审计单位说明审计的任务,提出具体要求,并听取有关情况汇报。审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。
审计人员将测试情况(包括存在的问题和被检查单位或部门已有的改正措施)记录于工作底稿,被审计单位和部门负责人或当事人在工作底稿上签字确认。此外,内部控制审计组组长还应指定专人复核工作底稿,提出复核意见,必要时重新进行测试。
最后,审计组组长负责召集小组成员对审计情况进行讨论和总结,以测试记录为依据,按照内部控制评价方法,从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面,对所检查的控制点和流程进行评价,分析被审计单位内部控制制度存在的缺陷和漏洞,评价该单位内部控制的成效,初步形成审计意见和建议,并将评价结论记录于工作底稿,审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人,并与其充分讨论沟通,交换意见,被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认,对存在的问题限期整改。
(6)撰写审计报告
内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理,完善审计意见,撰写审计报告,审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。
通过上述实施内部控制审计过程,可以为完善内部控制审计机制提供帮助。
六实施内部控制过程中须注意的几个问题
为适应现代社会经济环境的发展,内部控制必须由“维持现状”向“改善现状”转变,由重“纠偏”向重“引导”转变。因此,在内部控制实施过程中,有以下几个问题需要关注:
1.控制对象与内容的可控性。控制的核心问题是控制对象与内容可控,进而才能通过调整行为标准来改善现状。从理论上讲,控制的对象既包括正在使用或发生的资源与活动,也包括已经使用或发生的资源与活动,还有未来将要使用或发生的资源与活动。
2.控制环节的相互影响。组织中的每个成员分布在流程中相互连接的不同环节,各个控制点正在进行的活动不是孤立的,其控制效果既受以往完成的活动状况的影响,也对将来状态及效果产生影响。如果控制过程过分追求责任控制,使每个组织成员只关心自己行为的直接后果而无视处于流程中的下一控制环节所带来的连带效应,必然导致组织内部不协调,增加不必要的管理损耗。因此,现代内部控制在立足未来、改善现状的同时,必须考虑整体效果并树立系统观念。
3.业绩衡量的操作性。业绩是控制的结果体现,对业绩的正确衡量有利于判断控制的效果以及指明未来改善的方向。判断所设定指标对特定主体是否可控,美国管理会计学界曾提出三条标准,即指标可衡量性、主体可知性和可影响性。但实践中,即使设定了符合需要的指标,也很难对业绩进行准确恰当的衡量。主要有三个方面的原因:首先,在执行组织目标、预算的过程中存在着各种不确定性;其次,对于规模庞大、结构复杂的组织来说,很难明确区分单个部门或个人对业绩的贡献程度;另外,控制环节的相互影响也使某一环节对组织目标实现的影响程度很难界定。可以说,组织中难以自上而下形成强有力的自我控制意识与业绩衡量的模糊性有着相当大的关系。所以,恰当解决业绩衡量的模糊性问题是促进组织控制文化形成的关键。
4.信息系统建设。传统的内部控制系统强调权力的制衡,而忽视信息系统的建设。但正如COSO报告《内部控制整体框架》(1992)中指出的,信息与沟通是内部控制要素的重要组成部分,相当于组织内部控制有效运行的神经中枢系统。管理基于信息,控制也要基于信息。信息的集成、传递的滞后会导致事前因实际后果未知而无法控制;事中因无法获得实时信息而无力控制;事后缺少反馈信息而无可控制。
【关键词】内部控制审计;整合审计;财务报表审计
一、引言
社会经济的发展,时代对审计提出了新的要求,无论从企业角度还事务所角度,内部控制审计与财务报表走上整合的道路已经不可避免,整合审计不仅可以提高审计质量、降低审计费用,同时能够提高相关利益者使用信息的真实性和准确性。在这一背景下,本文将针对财务报表审计和内部控制审计的关联性命题展开研究。
二、财务报表审计与内控审计的理论概述
1.基础内涵
财务报表审计针对的主要是被审计单位的经营成果、财务状况以及现金流量,反映的是被审计单位的财务报表的可信赖程度。而内部控制审计的目的则在于确定被审计单位的内部控制是否能够有效发挥其作用,从而确定被审计单位的控制风险,以及披露被审计单位与财务报告不相关的重大的内部控制缺陷。
2.关联意义
财务报告审计和内部控制审计的整合是指被审计单位的内部控制审计和财务报表审计可以由同一个审计师或同一个会计师事务所的项目组负责,根据内部控制审计和财务报告审计的相关性制定审计流程、实施审计计划并合理运用审计成果对被审计单位的内部控制、财务状况等作出综合评价。将两者结合起来审计可以在减少审计工作量、审计成本的同时提高审计效果和效率,以及提高相关利益者对企业财务、经营等方面的知情权,
三、财务报表审计和内控审计的整合必要
1.理论上具备可行性
在对被审计单位的财务报告进行审计的过程中,需要根据被审计单位的内部控制的有效性确定实质性测试的抽样规模,因此审计师可以借鉴被审计单位内部控制审计的审计成果,从而在确保降低审计风险的情况下节约审计成本,提高审计效率。
2.人才队伍上有支撑
近年来,随着国内审计的不断发展,审计师的专业技术和专业知识也在不断提升,有大量合格的审计师具备相应的审计能力,具备了将内部控制审计和财务报表审计进行整合的业务能力,也使得内部控制审计和财务报表审计的整合拥有了坚实的人才基础。
3.有效节约审计成本
如被审计单位的内部控制审计和财务报表审计分别由不同的会计师事务所负责审计,那么被审计单位需要花费更多的人力物力和不同的会计师事务所进行沟通,相关的审计费用也会增多。然而,如被审计单位的内部控制和财务报表审计均由同一家会计师事务所接手,则审计师在与被审计单位的管理层进行沟通的时候无疑会更加顺畅,整体的审计时间无疑会更长,这更有利于审计师在更充分的审计期间发现被审计单位的重大审计风险,保障审计质量。
四、促进财务报表与内控整合审计的构想
1.善于规划与利用审计时间
在目前的审计实践中,由于会计师事务所承接了大量的审计任务,所以大多数审计项目组在安排被审计单位的审计时间时都会把时间安排得非常紧凑。这样就导致了因内部控制审计和财务报表审计整合而节省下来的时间并没有被用于继续降低审计风险,而是被安排承接另一个审计项目。也导致了内部控制审计和财务报表审计整合的优势没有得到充分的发挥,降低审计风险的目的很难达到。然而,财务报表审计与内控审计整合的目的即在于高效利用内部控制审计和财务报表审计的相关性。因此,实现内控审计和财务报表审计的有机整合,最优化利用审计时间,即对两次审计都需要取得的证据进行一次性取得,并且在财务报表审计的过程中参照内部控制审计的审计结果设计实质性测试的抽样范围,能够显著提高审计效率。
2.建立健全内控建设与内控审计披露制度
内部控制是一个过程,受企业董事会、管理层和其他员工的影响,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。因此,建立健全的内控制度,加强内控审计披露制度的实施,可以使企业在日常经营中逐步降低财务报表的中重大错报,从而有效防止相关人员进行的舞弊案件的发生。同时,对所有上市公司都要求强制披露完整的内部控制审计结果,使内部控制审计披露更规范,更透明;对其中故意隐瞒和掩盖自身内部控制缺陷的,证监会和有关部门应当采取严惩,以确保内部控制审计披露的公正性、完整性和透明度。
3.夯实内控审计队伍的专业素质基础
虽然我国的审计师的专业技术有了长足的进步,但是不可否认的是审计师的业务能力仍然有待提高。在短短的审计期间内如何准确发现被审计单位的内部控制缺陷,是每一个审计师需要认真解决的问题。因此,企业应继续加强审计师的培训,增强审计师的业务能力以及专业知识,从而更好的把握被审计单位的内部控制情况,更准确的做出专业审计判断,降低审计风险,提高审计效率。
参考文献:
[1]王翠琳,张莉,徐娜.我国整合审计主体选择研究[J].财会月刊,2014(02)
[2]张莉,张琳,整合审计文献梳理评述[J].商场现代化,2014(09)
【关键词】内部控制 审计质量 内部控制
一、内部控制审计概述
为了保证企业健康发展,股东、政府和债权人等利益相关者对企业的内部控制越来越关心,内部控制审计作为对内部控制的鉴证,直接影响利益相关者对企业内部控制的评价。近年来,国家有关部门极其重视企事业单位内部控制的建设。2008年,财政部、证监会、审计署、银监会、保监会五部门联合的《企业内部控制基本规范》对内部控制做了如下的定义:“本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”规范中还指出,控制环境、风险评估、控制活动、信息与沟通和监督为内部控制的五要素。
内部控制的重要性不言而喻。而内部控制的作用的真正发挥离不开内部控制审计。安然事件之后,美国为了实现对企业的监管,要求企业对内部控制进行审计。我国《企业内部控制基本规范》也要求,上市公司和非上市大中型公司聘请有资质的会计师事务所对其内部控制进行审计,并出具审计报告。本文采用《企业内部控制审计指引》中的定义:“内部控制审计是指会计师事务所接受被审计单位委托,对被审计单位在特定基准日的内部控制设计与运行的有效性进行评价,并出具审计意见。”内部控制审计的范围有广义和狭义之分。广义的范围包括与财务报告有关的内部控制审计和非财务报告内部控制审计。狭义内部控制审计指与财务报告有关的内部控制审计。本文中内部控制审计的范围为狭义的。内部控制审计主要围绕内部控制五要素进行,采用谈话询问、审查书面资料、实地观察和检查、重做验证等方法进行审计。
二、审计质量
广义的审计质量包括审计工作质量和审计报告质量两方面的含义。审计质量与一般产品的不同之处在于,它不仅影响客户而且影响利益相关者。审计质量的高低直接影响到对利益相关者的保护程度。国内外学者已经对审计质量影响因素进行了深入的研究,笔者对之前学者们提高的影响因素总结出来,如图1。
(一)主体因素
主体因素是审计质量最主要的决定因素,决定着具体项目的审计质量。通常情况下,事务所的规模越大,声誉越好,审计质量就越高,而无限责任形式的会计师事务所一般比有限责任制的会计师事务所审计质量要高。注册会计师是审计行为最后的执行者,注册会计师的专业胜任能力、工作经验、风险意识、职业道德和在项目上花的审计时间都会对审计质量产生影响。一般情况下,注册会计师的专业胜任能力越强、工作经验越丰富、风险意识越高、职业道德素养越高、在项目的审计上花费时间越多审计质量就越高。
(二)客体因素
客体因素即为被审计单位自身的因素。被审计单位的规模越大,相应的收费越高,出具审计报告时,受到被审计单位施压的可能性就越大,可能对审计质量造成一定影响。被审计公司治理结构越合理,审计质量越高。
(三)环境因素
环境因素对审计质量的影响是整体层面的,决定着这个环境内的审计质量。法律风险、审计准则、内在需求、市场结构和审计收费都在一定上影响着整个审计行业的审计质量。
三、我国内部控制审计存在的不足
我国内部控制审计刚开始实施,而内部控制审计相关规定更多的是参照国外经验制定,内部控制审计处于初建阶段必定会存在很多不足,这些不足归根结底是由审计质量影响因素决定的。结合审计质量影响因素,将不足总结目前我国内部控制中的不足总结如下:
(一)事务所在安排内部审计流程、标准和流程的不完整,审计人员的经验不足
我们本土的会计师事务所在2008年出台的规范中提出上市公司,大众型非上市公司需聘请会计师事务所进行内部控制审计后,才陆续开始接手内部控制审计,内部控制审计作为一种新的鉴证业务,事务所和审计人员并没能立即设计出针对内部控制的流程、标准等,相关的事务所和审计人员在经验积累方面也不足的。为了提高内部审计的质量,会计师事务所需要根据相关规定和已有经验的合理设计高效的内部控制审计流程。审计人员的经验直接影响着其可胜任能力,影响内部控制审计的质量。
(二)公司治理结构不足
公司治理结构作为内部控制中内部控制环境的重要组成部门,它的健全程度直接关系到整个公司内部控制的质量和内部控制审计质量。在我国的大中型大企业基本上的设置了三权制衡的治理机制,董事会、监事会、股东会缺一不可,但是这种治理结构整的发挥做了了吗?很多时候,我国企业的监事会是虚设的,公司决策的控制权更多的是掌控在董事会手中。这必然会影响企业内部控制的建设,影响内部控制审计质量。
(三)社会对内部控制审计的需要较低,内部控制审计制度存在缺陷,缺乏法律监督
需要时产品质量的重要考核标准,很大程度上得到利益相关者的看法,而内部控制和内部控制审计的产生较少了公司自发的,而是国家有关政策的要求,行使相关政策才建成很审计的,在这种情况下,大多数股民,在财务数据还没弄清楚的情况下如何看懂内部控制、内部控制审计。大多数股民依旧只看关键财务数据,对内部控制的审计需要较低,只有那些需要长线投资的股民才会参考内部控制审计意见。此外,有些单位自身也不希望内部控制审计,觉得内有这个必要性,被审计人员的支持程度不足就会影响内部审计的质量。
我国近年来有关内部控制和内部控制审计都出台了新的规定,但是就范围而言,我国相关规定都只针对大中型企业,没有针对小企业内部控制的指导,对建设整个企业界的内部控制制度和内部控制审计质量的提高都是不利的。其次,我国目前内部控制涉及没有出台科学的、统一的可操作性内部控制审计准则,虽然《企业内部控制审计指引》做出了相关规定,但是此规定并不详细,没有对内部控制评价标准进行确定,而且指引并没有详细地支出各个环节的细节,需要制定更加具体可行的内部控制审计准则。
没有一部法律是规定相关内部控制审计的责任,注册会计师在内部控制审计中应该做什么,做错了怎么办,这些都是没有规定,法律对于规范实施情况和自身的监督都存在严重不足。
四、提高内部控制审计质量的建议
上面对我国内部控制目前存在的不足进行了分析,针对这些不足,我们应该不断改进。
(一)提高会计师事务所和注册会计师的职业水平
我国内部控制审计开始不久,内部控制审计还存于初级阶段,为了保证内部控制审计的质量,必须不断提高注册会计师的专业胜任能力,提高整个注册会计师行业的执行水平。提高专业胜任能力和执业水平重要的手段就是学习,事务所可以组织对注册会计师进行培训,可以多学习国外的经验,不断提高会计师事务所和准则会计师的职业水平。
(二)完善治理结构,完善内部控制
治理结构是内部控制的要重组成部分,治理结构的不完善,或些某些职能或缺,都会成为公司内部重要的隐患,而且由于事务所所审计的是与财务报表有关的,而常常被忽视。因此公司自身必须完善自己的治理结构。公司在实践中就应该建立完整的内部控制制度,公司建立了完善的内部控制制度,能够降低公司的风险,也可以节约内部控制审计的成本。
(三)制定内部控制审计准则,明确评价标准,明确法律责任
我国目前实施的是《企业内部控制审计指引》,其里面的相关规定较为概况不利于实施,我们可以在完善《企业内部控制审计指引》的同时,策划内部控制审计准则,在准则中明确内部控制的评价标准,并增加法律责任的内容。此外为了增加内部控制审计的严肃性,可以将内部控制审计的相关内容加在《公司法》《证券法》等相关法律中。
参考文献
[1]宋红军.提高内部控制审计质量有效防范经营风险[J].经济与管理科学.2009.11.
一、内部控制审计的内涵
自本世纪40年代,内部控制的理论和实践得到了迅速发展和广泛应用,已成为当今现代企业行之有效的管理工具,其合理性和有效性决定了企业能否健康良好发展。内部控制审计则是对内部控制是否有效做出鉴定的现代审计方法,是内部控制的再控制,是保证内部控制的有效机制,同时也是企业优化经营管理、提高经济效益和文化价值的自我需要,为内部控制保障了良好的控制环境。
具体而言,内部控制审计是指运用文字描述、调查表及流程图等手段与方法对内部控制有效性进行确认、分析、评价的过程,具体包括对企业控制设计和控制运行缺陷及缺陷等级的确认和评价,并分析缺陷形成的原因,进而提出相应的内部控制改进建议。一般地,内部控制审计由企业内部审计部门负责,也可以委托不负责年审的会计师事务所开展工作。
二、企业内部控制审计的目标
审计目标是各类审计活动的方向和指导,是审计行为的出发点和落脚点。企业内部控制审计的目标,是通过实施企业内部控制审计达到预期效果。
企业内部控制审计的总体目标是通过实施企业内部控制审计,合理有效地保证企业建立健全有关国家法律法规及内部管理规章制度,从而维护企业资产安全完整行,推动企业经营的高效性和价值性。
企业内部控制审计的具体目标则是内部控制审计总体目标的具体化,是企业内部控制审计必须实现的目标,主要体现在四个方面:健全性、合理性、遵循性、效果性。健全性目标是指企业应建立健全内部控制制度,并对生产经营的全过程实行自始至终的控制管理,它是企业内部控制审计具体目标中的首要目标,也是其他具体目标的基础。合理性目标、遵循性目标、效果性目标则是企业经营过程中对内部控制执行的合理适当、遵照遵循及效果效率提供切实保证的具体目标。
三、企业内部控制审计的重点内容
COSO委员会《内部控制整合框架》指出,企业内部控制审计的内部组成主要包括五个方面:
第一,内部控制环境审计。内部控制环境审计,即对企业内部控制环境的总体情况进行审核和评价,主要侧重于组织人员的诚实、伦理价值和能力;管理层分配权限和责任、组织方式;管理层哲学和经营模式;董事会提供的关注和方向;企业文化及员工的理解和认同。控制环境审计影响企业人员的管理意识和理解,是其他内部控制审计内容的基础。
第二,风险评估审计。风险评估审计,即对企业风险管理机制及运行的相关情况进行审核和评价,主要侧重于风险引发的因素、可能性及预计带来的后果;识别与规避风险的能力;风险管理和评估的具体方案及效果。风险评估审计将随着行业、经济、监管和经营环境变化而变化,企业须根据具体情况建立相应的风险管理和评估机制。
第三,控制活动审计。控制活动审计,即对企业各生产经营和业务活动情况进行审核和评价,主要侧重于控制活动业绩评估系统的建立及运行;控制活动对风险的识别和规避;控制活动执行的有效性及其对企业价值的实现。控制活动审计的政策和程序贯穿于整个组织和层次,保证企业各组织层次活动的高效有序进行。
第四,信息沟通与交流审计。信息沟通与交流审计,即对企业建立和运行信息系统、获取和传递信息、执行相关信息处理等情况进行审核和评价,主要侧重于财务信息和非财务信息的获取能力;信息系统管理的安全性和可靠性;信息传递的便捷性和畅通性;信息处理的及时性和恰当性。信息沟通与交流基于企业内部控制系统各组织和层次所处的位置,以及相互的关系,保证了各方信息的有效沟通与交流。
第五,对环境的监控审计。对环境的监控审计,即对企业正常的管理和控制活动以及员工执行职责过程中的活动进行审核和评价,主要侧重于内部监督机制的设置;内部监督活动的实施;内部组织安排的运作,重点审查内部监督主体的相关状况。对环境的监控审计程序和步骤取决于风险评估和执行过程中的监控有效性,保证公司治理结构、组织结构模式及企业文化的健康良好。
企业加强内部控制审计的重要性
目前我国内部控制审计由会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。内部控制审计是企业经营管理的重要组成部分,是确保企业稳定发展的重要管理环节,是提升企业文化价值必不可缺的途径,同时也是企业经营风险管理的报警器,对建立现代企业制度,完善法人治理结构,提高经营效益发挥着不可替代的作用。
一、开展内部控制审计,是法制和政府的推动
2000年7月《会计法》的实施第一次对内部控制提出了法律要求,明确各单位应当建立健全内部会计监督制度。 2001年财政部颁布《内部会计控制规范》,明确各单位应当建立起会计信息、资金管理等方面的内部控制机制。2006年《审计法》的修订明确要求企业须建立起内部控制制度。2008年6月,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》,于2009年7月1日起在上市公司实施,并鼓励在非上市公司的大中型企业施行。该规范对加强企业内部控制,提高经营管理水平和风险防范能力,促进企业可持续发展,维护市场经济秩序和社会公众利益起到指导作用。其和实施成为我国建立健全企业内部控制制度的重大契机,需要内部控制审计对内部控制建设和执行情况进行监督和评价,由此在法制和政府的积极推动下,开展内部控制审计成为必然趋势。
20世纪中叶,西方国家研究探索出一种称之为“以内部控制系统为基础的审计”。这种有别于以经济业务检查为基础的科学审计方法,既能提高审计效率,又能保证审计质量,成为传统审计转变为现代审计的一项重要标志,使现代会计报表审计与内部控制之间产生了密切的联系。
我国有借鉴外国经验,结合我国国情的基础上,颁布了《独立审计具体准则第9号——内部控制与审计风险》,其中指出:“注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制。注册会计师应当对拟信赖的内部控制进行符合性测试,据以确定对实质性测试的性质、时间和范围的影响”。
1999年10月31日,第九届全国人民代表大会常务委员会第十二次会议通过了经修订的《会计法》,新《会计法》又对企业内部控制作了新的规定,其中第二十七条规定:“各单位应当建立、健全本单位内部会计监督机制。”《会计法》的修订为我国审计人员实施内部控制评价,并将评价结果运用于审计当中奠定了法制基础,为我国审计事业的发展创造了契机。
(一)审计中内部控制评价的方法
审计人员对于企业内部控制的评价可以分为三个步骤:第一步,健全性测试和评价,即调查了解企业的内部控制情况,并作出相应的记录;第二步,符合性测试和评价,即实施一定的测试程序,证实有关内部控制设计和执行的效果;第三步,综合性评价,即评价内部控制的强弱,并确定在内部控制薄弱的领域扩展审计程序。
在审计过程中,如果健全性评价认为被审计单位的内部控制系统是完善的,就可对其进行符合性测试和评价;否则即执行全面的实质性测试。如果符合性评价认为该单位的内部控制系统的执行是有效的,就可汇总以上评价的结果,据以确定实质性测试的范围、重点和方法,然后进行有限的实质性测试;否则即执行全面的实质性测试。
(二)内部控制评价结果的应用
审计人员测试和评价被审计单位的内部控制系统的评价结果在审计工作中的应用主要表现在两个方面:
1、根据具体审计项目评价的结果,确定实质性测试的范围、重点和方法。
将内部控制评价结果应用于审计工作,关键在于根据具体审计项目评价的结果确定实质性测试的范围、重点和方法,以修补具体审计方案,指导实质性测试的正确实施。
(1)确定审计范围。在审计实际工作中,审计人员依据对被审计单位内部控制系统的评价结果确定审计范围,一般规律主要有以下几点:一是将综合性评价所认定的失去控制和控制薄弱的业务系统或业务环节,包括健全性评价认为审计不完善或较不完善以及符合性平均认为不执行或执行不力的系统和环节,列入审计范围。二是将特定时间内未得到良好控制的业务系统和业务环节,列入审计范围。三是固有风险较大的经济业务。
(2)确定审计重点。通常情况下,凡列入审计范围的失控环节和控制弱点作用下的业务及资料,都应列入审计重点。具体讲,凡与下列情况有关的经济业务都应列入审计重点进行审查:一是内部控制系统中控制环节和关键控制环节设置很不够健全;二是控制环节和关键控制环节的某些控制措施设计得比较薄弱;三是某些控制措施未被执行;四是某些控制措施执行不力,功效不强。
(3)确定审计方法。审计范围和审计重点确定以后,审计人员就可以根据审计计划的要求和必审项目及经济业务的性质特征,确定采用适当的审计技术和方法。对于列入审计重点的项目,一般应采用详细审计方法,进行全面审查;对于列入审计范围的非重点业务,一般应采用抽样审计方法,选择较大规模的样本进行审查;对于未列入审计重点和审计范围的业务,一般可以采用抽样审计的方法,选择较小规模的样本进行略查,或者不作检查。选取样本后,可以根据样本特征,进一步确定审阅法、查询法、盘点法、复核法、调查法、分析法等技术方法。
2、根据具体审计项目评价结果,提出改进内部控制的建议。
审计不仅要监督企业的经济活动,而且应该结合审计中发现的问题,向被审计单位提出改进财政收支或财务收支管理,以及改善经营管理的建议。在测试和评价企业内部控制系统的基础上,审计人员恰好可以根据在健全性测试和符合性测试中发现的失控环节和控制薄弱环节,提出改进内部控制的建议。
一、构建内部控制审计模型
内部控制审计对象可以是整个企业内部控制体系,也可以是对某个业务域内部控制体系。开展内部控制审计对于内部控制更好地发挥其风险防控职能,实现企业战略具有重要的促进作用。考虑内部控制审计的专业性和具体业务的技术性,江西洪都航空工业集团公司构建了以业务域为划分的专业内控管理组,以目标为导向,以标准化控制为对标基础,以风险控制矩阵为工具,通过对内部控制管理情况自查、内部控制审计人员抽查、缺陷确认、缺陷整改等流程,实现内部控制改进目标。
内部控制审计工作模型
二、开展内部控制审计的主要做法
(一)统筹协同,开放共享,分层分类组织推进。
鉴于内部控制审计是对企业经营班子认定的内部控制体系的有效性进行审计并发表意见,公司内控审计明确受董事会所属内审委员会领导,审计部门牵头实施。
内部控制体系全层级覆盖了企业的全价值链各个经营环节,内部审计部门从人员到业务能力难以满足独立开展全体系内控审计工作的要求,因此,公司按照业务域成立专业风险内控管理工作组,实行内部控制分类管理,工作组负责专项风险内控管理的统筹规划和组织实施、检查、完善,组长由主管业务副总经理担任,常务副组长由相关业务主管副总师担任,成员由相关业务单位主管领导担任,各工作组下设该业务域跨部门专家组,在业务牵头单位组织下推进各专项业务的内控审计工作。开展内控审计期间,各专业风险内控管理工作组所属业务团队在根据审计部统一部署开展工作,为审计工作组提供专业支持。
(二)聚焦热点、找准关键,致力提升管控短板。
内部控制审计工作过程是对企业现有的内部控制系统的设计、实施及运行的结果进行调查、测试、分析、评价,进而对其内部控制管理状态作出审计结论的系统性活动;公司开展一次内部控制审计周期一般不超过三周,要在如此短暂的时间通过内部控制审计有效推进企业内部控制管理水平,难度很大;如何确定工作重点,使内部控制审计发挥最大的效益,成为一个需要深入思考,逐步解决的问题。我们的做法是,全面梳理企业核心业务流程,同时围绕组织战略明确中长期工作目标,通过目标牵引,制定中长期整体工作规划;在此基础上,聚焦企业当前热点、难点、焦点问题,分解工作规划,明确阶段性任务重点,以保证工作的重要性、及时性和持续性;通过集中力量解决当期关键业务短板,助推企业管理能力快速提升。为有效评价公司关键业务域内部控制设计与运行的有效性,及时发现内部控制中存在的缺陷并整改,持续提升公司风险防范能力和内部控制水平,保障公司持续健康发展,公司根据企业重点业务特点梳理出重要业务流程133条,重点业务范围包括:组织架构、战略规划、人力资源、股东权益、经营业绩考核与评价、采购业务、工程项目、销售业务、存货管理、财务管理等27项,明确实施内部控制评价要点及内容526处。2014年,公司在全面推进保障财报真实性、完整性内控审计的同时,重点围绕投资企业管理、采购管理业务开展内部控制审计业务,通过后期整改,基本实现了预期效果。
(三)开放视角,贴合实际,合理选用内控审计方法。
编制内控审计工作方案要合理选用内控审计工作推进方式。我们认为,当前内控审计常用推进方式一般有按业务过程检查评价审计、按部门检查评价审计两种。按业务过程检查评价审计,一般按业务域分工,依托业务流程逐步推进,全价值链排查,可有效避免部门间业务流内部控制的重叠和空白,但这个过程往往会涉及多个部门,组织不好容易出现多个审计工作组重复到同一部门开展工作的现象;以部门为中心的检查评价审计,工作效率相对较高,但由于一个部门往往涉及多个业务的多个过程,如果准备不充分、掌握不细致,容易发生重复或疏漏现象,这要求在审计工作组织阶段充分考虑到过程间的相关性,对内控审计各小组的内部沟通和配合提出较高的要求。
另外,内控审计还可按业务方向采取顺向追踪、逆向追溯工作方式。顺向追踪是按照内控体系过程的实施运行顺序进行审计的方式,从控制文件的内容查到实施情况,可以系统地了解业务控制设计的有效性,这种方式可以系统地了解内控体系的整个过程,查证跨部门接口及其协调性,但耗时较长;逆向追溯通过反方向审计内部控制设计和实施过程存在的问题,这种方式针对性强,工作效率高,容易发现当前业务核心矛盾,但可能导致审计评价结果不够全面。
公司开展内部控制审计业务期间,根据具体审计业务规模、周期要求等特点、结合对该业务了解程度,合理选用审计工作,科学编制内控审计工作方案;公司内控审计围绕业务链循序开展,通过工作组内部协调,避免对同一部门的长期进驻;在开展全面内控审计期间,对重点业务域采取顺向追踪审计,全面排查;对非重点业务域以顺向追踪抽查为主,同时围绕未完成KPI值及上年度发生相关风险事件实施逆向追溯审计,保证审计工作“性价比”最优。
(四)目标牵引,多维考量,科学判定内控缺陷标准。
评判内控缺陷标准设定是否合理是内部控制审计的重要工作之一,公司依托中航工业内控缺陷评价标准模板,围绕企业战略目标、经营目标的实现,结合公司实际,多维考量,努力推动内控缺陷标准设置最优化。
根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,尤其是当前航空城建设及企业制造能力转型升级期特点,研究确定了适用于本公司的内部控制缺陷具体认定标准,公司确定的内部控制缺陷认定标准:
财务报告内部控制缺陷认定标准
a.公司确定的财务报告内部控制缺陷评价的定量标准如下:
注:采取孰低原则作为缺陷的判断标准
b.公司确定的财务报告内部控制缺陷评价的定性标准如下:
非财务报告内部控制缺陷认定标准
a.公司确定的非财务报告内部控制缺陷评价的定量标准如下:
注:采取孰低原则作为缺陷的判断标准
b.公司确定的非财务报告内部控制缺陷评价的定性标准如下:
(五)对标梳理,多方验证,正确做出内控审计结论。
公司对标上级集团公司及行业内标杆企业参考国际内控控制相关准则,制定了相对完善的内控控制工作规范,开展内部控制审计期间,以风险管理为导向,对标工作规范,以制度、流程梳理为抓手,以重大风险应对、关键点控制为审计重点,逐级排查内部控制缺陷。由于在内控审计结论确认方面,基于财报的可量化缺陷相对容易得到认可,但基于非财报的内控缺陷中,对非财报内控设计有效性缺陷的认定,被审计方往往会东一条、西一点的从各个制度、流程、工作规范中抽取一些材料,以图支撑其内控有效的论点;同时由于难以量化,被审计方往往对内控缺陷等级认定也存在不同的理解,给内控审计结论的确定带来困难,为解决该工作难点,公司审计部一是借助各业务域专家组力量,弥补审计团队专业知识不足的缺陷,通过多角度充分论证大幅提升审计结论质量;二是强化审计人员客观意识,避免因脱离企业实际,忽视实际控制效果,过度强调内部控制系统化整合要求。
(六)循序整改,跟踪归零,保障实现内控审计目标。
积极落实内控缺陷审计整改,确保整改到位。公司对上一年度内控审计中发现的内控缺陷,制定整改计划,明确整改目标,布置整改任务及里程碑节点,落实责任人,跟踪整改进度,报告整改结果。并按期检查内控审计缺陷整改工作,对未完成重大重要缺陷整改工作的,逐级上报,说明原因,由审计部门组织考核打分,考核结果列入公司组织绩效考核体系一并奖惩。
(七)多方培养,双向交流,积极打造内控管理团队。
为了更好地开展内控审计工作,公司加强内审培训、内部研讨与交流,注重审计文化宣传,陶冶审计人员情操,加强内控审计工作机构和队伍建设。内控审计机构和人员是内控审计工作的基础,是审计主体责任的重要体现。公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力;鼓励风控岗位和业务岗位的双向交流,优化队伍结构,保障全面风险管理和内部控制工作的有效推进。同时在公司内控管理办公室的高度重视下,采取洪都大学堂、多媒体宣传、知识竞赛等多种形式,进行公司一级、二级培训,为各专业风险内控管理工作组、各业务单位培养风险内控管理专业人才;同时加大检查力度,对于发生重大风险事件的单位,反查其工作机构和队伍建设是否到位,落实相关领导责任,进而推动内控审计队伍建设,发挥相关业务人员工作效能。
(八)集成功能,健全系统,积极探索信息化审计工具。
公司自2013年起,研究建设风险内控(IC-ERM)信息系统,部分功能已逐步投入使用。IC-ERM信息系统在业务上遵循《企业内部控制评价指引》,在技术上基于流程引擎、表单引擎、文档引擎三大基础引擎,围绕“内控评价-缺陷分析-缺陷整改”评价过程,提供了对内控体系进行工作底稿自我测试、管理层测试、缺陷分析、缺陷跟踪等业务的全面监督,从不同角度自动产生统计和分析报告,并在系统初始化的业务规则基础上,提供了对签署流程、表单模板、表单底稿、文档模板进行灵活再定义的功能,在评价过程中不同签署环节,可借助业务建模、项目管理、访谈工具、缺陷识别等工具开展和落实评价工作,最终达到对企业内部控制和风险管理的有效监督。
2014年,公司主要运用该系统进行了固定资产投资业务域部分的内部控制审计,从工作结果看,借助IC-ERM信息系统不仅为内控审计工作提供了多样化的选择工具,由于IC-ERM信息系统实现了“零散信息集中化,概念信息具体化,时效信息控制化”的目标,大幅缩短了内控审计周期,提高了审计效率。当前,公司还正在为内控审计工作与信息化更加广泛的结合开展积极探索,不仅包括风险内控信息IC-ERM系统,还充分考虑和其他信息系统在内控审计的功能对接,如:公司流程管理信息系统(ARIS)是专门针对“流程设计”的梳理、展示平台,在内控审计管理工作中可以有效检验其设计是否有效;公司流程落地信息系统的开发是针对固定资产投资业务域全链条的线上执行,这种无纸化的线上运行可以充分检验业务执行是否有效。类似以上两个信息系统在公司内控审计中的应用还有很多,信息化不仅为日常办公提供了便利,更为审计部门在内控审计工作中检查业务的设计和执行有效性时提供了可靠的依据。
三、内部控制审计工作取得的成效
(一)企业管理水平和抗风险能力进一步提升。
近年来,通过内控审计推动,公司持续从战略绩效管理、财务管理、生产管理、人力资源管理等多方面强化管理,提升管理水平。在战略绩效管理方面,2014年,公司修改完善了177个绩效指标,2015年又新增绩效指标248个;在财务管理方面,公司全年节约费用8 000余万元;在生产管理方面,公司持续强化指令性计划管理,全年零件指令性计划完成率达99.61%;在管理创新方面,AOS生产制造模块试点工作稳步推进,精益改善项目取得积极成效;在2014年,公司内控审计共发现缺陷XX项,现均已整改完成,内部控制水平的提升无疑为各项管理成果的实现提供了保障。
(二)企业阶段性经营目标顺利实现,经济效益显著。
公司紧紧抓住经营目标,统筹做好科研生产经营各项工作,圆满完成了年度经营目标。营业收入同比增长14.8%,工业总产值同比增长54.31%,工业增加值同比增长13.31%,利润总额同比增加1 589万元。内部控制审计是企业目标实现的助推器,为企业战略目标的实现保驾护航。
(三)助推培养了一批管理人才,促进营造良好风险内控文化氛围。
近年来,公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力。公司举办了多次风险内控知识培训,发表多篇风险内控文化宣传报导,从思想上、知识结构上培养一批风险意识强、业务缺陷辨别能力高的人才队伍,以风险内控方法查找内部控制中存在的问题,强化内控缺陷整改,达到提升内控管理水平的目的。
结语
根据国资委对中央企业开展内部控制评价工作的要求,江西洪都航空工业集团公司不断探索内部控制评价与内部控制审计工作,在实践中探索出内部控制自评价与对重点业务域开展内控审计相结合的工作模式,并建立和完善了内控审计的工作模版和评价标准等。通过几年实践,逐渐形成了通过内控审计,查找内控缺陷,开展缺陷整改,实现管理提升的管理模式,为企业发展提供了基础保障。
参考文献
[1]郝振平.coso委员会新版《内部控制整合框架》的主要内容和实施策略[J].Theory理论,2014.
[2]杨书怀.全面风险管理框架与内部控制整体框架的比较分析[J].财会通讯(学术版),2005,(11):13-15.
[3]吴水澎.萨班斯法案、COSO风险管理综合框架及其启示[J].学术问题研究(综合版),2006,(2):36-45.
[4]李连华.我国内部控制理论研究及其研究路线[J].财经论丛,2007,(6):63-69.
【关键词】内部审计;质量控制;因素;建议;重要性
一、内部审计质量的重要性
2004年4月,审计署制定了《审计机关审计项目质量控制办法(试行)》,并在审计署机关和地方审计机关开始试行,该项办法对控制审计项目质量提出了具体的要求和操作指导。控制内部审计质量已经成为当前审计机关的一项核心工作。其意义有五点:(一)加强内部审计质量控制是依法治国、依法行政的基本要求;(二)加强内部审计质量控制是维护审计机关声誉的要求;(三)加强内部审计质量控制有利于问题的处理以及审计建议的采纳;(四)加强内部审计质量控制有利于遏制违纪违规问题的蔓延;(五)加强内部审计质量控制是实行审计结果公告制度的前提和保障。
二、内部内部审计质量控制的内涵
内部审计质量是审计工作的生命线,是审计机关赖以生存和发展的基础。现阶段在理论学习和工作实务中存在多种理解。笔者认为比较贴切的理解是指审计组织和审计人员为确保内部审计质量,提高工作效率,而制定和运用的各项政策和程序。控制政策是指基本方针和策略。是采用科学的组织手段和技术方法,使各项审计管理工作和审计业务工作按预定目标和在规定程序中运作,以便达到规定的质量水平,提高审计工作水平和审计工作效率。内部审计质量控制包括计划、实施、检查、分析和反馈等一系列活动。内部审计质量控制是保证内部审计质量的重要途径。通过质量控制,可以降低风险,促进审计工作的发展,使审计工作适应企业内外部环境变化的需要。内部审计质量控制包括广义和狭义两个方面。广义的审计质量是指审计工作的总体质量,包括管理工作和业务工作是指审计工作的优劣程度,或者说内部审计质量是满足人们对审计结果运用的程度;狭义的内部审计质量是指一个特定审计项目审计目标的实现程度和对相关职业规范的遵守情况。审计项目质量是内部审计质量的核心,抓好审计项目质量是内部审计质量的落脚点。
三、影响内部审计质量控制的因素
1、审前调查不全面、不充分
对被审计单位基本情况了解太少。尤其是对其所处的经济环境、业务流程、关联交易及其内控制度等未作审前调查。忽略了制定审计方案时的审前调查工作。如在了解被审计单位基本情况后,未对所取得的资料进行初步分析性复核;在编制审计方案前对重要性水平和审计风险未进行初步评估。审计方案过于简单。内容不详细、分工不合理,对审计工作缺乏指导作用。对审计的目的不明确。对审计后应该达到什么目的、取得什么效果没有十分明晰的思路要求。
2、审计底稿不规范
审计工作底稿是审计过程中形成的与审计事项有关的工作及其结果的记录。它与审计证据是编制审计报告、检查审计程序合规与否的重要依据,也是形成审计评价意见和审计结论最主要的支持。审计底稿的质量直接决定审计工作的质量。
但是,目前一些审计人员编制审计底稿不规范。突出表现在底稿编制不健全,层次不清。审计证据事实不清楚,定性欠准确,表述不清晰,似是而非,模棱两可,且没有汇总项目。审计记录和审计证据只与审计报告中被审单位的违纪违规问题相对应,而对合规但需审计认定的事项、账户所进行实质性测试的过程和结果却没在底稿中反映。这样,对审计方案所分配的工作是否进行了符合性测试和实质性测试,深度如何,是否达到了所定目标,有关事项是否漏审等等,底稿中无法反映,也不能全面考察。这就对审计结论的客观性和真实性留下了风险隐患。
另外,底稿制作的基本要素不完整。内容简单,也没有复核监督制度。有的底稿没有编制者、复核者的签名,缺少审计人员对所查事项内部审计质量的监督、评价和处理意见,不符合规范要求。
3、审计人员专业胜任能力不过关
专业胜任能力是保证审计人员工作质量的重要手段。在审计过程中,保持应有的职业谨慎。审计工作需要依靠大量的职业判断,而且审计结果对审计报告的各个利益相关人的利益影响也是巨大的,因此往往审计人员的一个疏忽会造成难以弥补的损失。
四、完善内部审计质量控制的几点建议
1、遵照审计法规、严格做好审前工作
审计前期工作是指审计从项目的立项、实施、总结等过程进行组织和管理的基础性工作。加强审计基础工作,首先应严格审计项目审批程序。对每项审计业务,都要明确其审计的对象、范围、内容及时间要求等,做好审前准备工作。其次应严格审计工作计划的编制。审前调阅原有的审计档案,掌握被审计单位的基本状况,了解其执行审计结论的情况,以确定审计的范围、重点和方法。编制审计工作计划时,审计范围、内容、目标、步骤、人员责任如何落实等问题应尽可能详细。再次应严格审计工作底稿编制程序。要根据审计工作计划确定的项目内容,逐项逐步编制分项目审计工作底稿,并在此基础上,按分项目审计工作底稿的性质、内容进行分类归集,综合编制汇总审计工作底稿。要严格遵守审计工作底稿的编制要求,做到内容全面充分、完整真实、重点突出、观点明确、条理清楚、用词恰当、字迹清晰、格式规范,记载的事实应当附有证明材料。要严格审计工作底稿的复核,建立完善的复核制度,并加强审计终结阶段的复核,规范管理。
2、提高人员素质,优化审计人员队伍
人员的素质是质量的控制源头,决定内部审计质量。应从以下几个方面加强对审计人员的控制:首先审计人员选聘应以年轻化、知识化、专业化和德才兼备为标准,选择热心审计事业、工作责任心强、业务技术精的人员为审计的中坚力量。其次对审计人员的业务培训,加速知识更新,加强其业务胜任能力:可以定期和不定期的组织内部培训或利用业余时间加强自学,也可以在审计业务执行过程中,采取以老带新,干学结合的互促形式。再次加强审计人员的职业道德教育:加强对审计人员的职业道德素质教育,使其牢固树立在思想上、精神上保持独立的观念。要求审计人员每年参加一定时间的职业继续教育。
参考文献:
[1]吴益兵. 内部控制审计、价值相关性与资本成本[J]. 经济管理,2009,09:64-69.
[2]陈丽蓉,周曙光. 内部控制、风险管理与审计——兼议企业风险综合治理体系的构建[J]. 会计之友(上旬刊),2010,06:37-39.
[3]赵海阳. 内部审计与内部控制的关系探讨[J]. 科技信息,2010,35:1284+1252.
[4]陈文铭. 企业的内部控制与内部审计相关问题探讨——兼论《萨班斯—奥克斯利法案》对我国的启示[J]. 东北财经大学学报,2007,02:50-53.
关键词:内部审计 质量控制 因素
实行质量控制应先了解审计质量,审计质量是衡量审计工作符合审计标准的程度,包括人员的质量、工作的质量、审计结果(审计报告)的质量;审计质量控制只有紧紧围绕审计质量各要素进行,才能保证质量控制政策和程序制定的合理性和运行的有效性。
一、影响质量控制的因素
1.主观认识模糊、意识不强,实际操作方法单一。主观认识上表现在:(1)管理者对内部审计的职能认识模糊,认为内部审计就是查、找毛病,内部审计机构就是为了应付上级部门,忽视了内部审计监督、服务、管理的职能,限制了审计工作的开展。(2)无竞争对手、思想松懈。由于内部审计的对象决定了审计机构独享审计权,审计机构不用担心竞争对手和业务来源,缺乏应有的竞争力,而更多的关心审计任务的完成、上级领导的态度,对建立健全内部质量控制缺乏热情。(3)企业与个人利益的一致性使内部审计人员对一些违纪违规行为视而不见;复杂的人际关系使内部审计人员不愿深入细查;领导的态度在某种程度上决定了审计的时效、范围使审计人员不敢违背;众多理由使得审计人员在质量控制上意识不强。(4)对潜在风险认识不足。求数量、抢时间、搞突击,在质量控制上下功夫不够。主要表现在:对审计中出现耗时、耗费的具体项目不愿深查,对不清楚的业务避重就轻,对获取审计证据的相关性和可靠性不透,处理问题上更多地依赖专业判断或个人偏好。
实际操作中表现在:一是重视专业胜任能力,对职业道德重视不够。在工作委派上考虑较多的是专业胜任能力,对审计人员及助理人员的独立性及职业道德考虑较少;在培训中注重业务,对职业道德抓得不够。二是对指导、监督、复核不重视:缺乏对审计执行情况及其结果适时进行监督和检查;未建立分级督导、复核制度,对所聘用的助理人员事前没进行必要的培训,甚至未编制审计计划以传达审计指导意见;在具体项目审计过程中重操作,轻督导,往往在出了问题时才予以督查;审计报告阶段对工作底稿未实行多级复核。
2.人员素质有待提高。一些审计人员财会知识不熟练,对新的准则理解不透彻,对新的问题拿不准;对法规不熟悉,对合同理解片面,对相关税收政策吃不准,抓不住;对审计不求甚解等,在审计实践中碰到问题时,存在回避现象,靠现学现用或靠经验审计很多内部审计人员来自财会队伍,专业单一,后续教育跟不上,缺乏必要的审计理论。知识结构不合理,有的只掌握某一方面的知识,难以发现深层次问题。编制的工作底稿不规范、收集的审计证据不充分、专业判断不合理、审计建议可操作性不强;加大了审计风险,降低了审计质量。
3.机构设置不合理、制度不健全。当前,国有企业在改制、改组过程中,有的内部审计机构被撤销,有的被弱化,有的把内部审计机构与其他相关职能部门合并综合办公,归企业总会计师或财务主管分管,或由企业的财务部门负责人兼任内审部门的领导。专业人员配备不全,在审计实务中大量依靠助理人员实施,造成内审机构及其人员工作独立性不强,限制了审计工作的开展,难以保证审计质量。
质量控制是全员、全过程的管理活动,要求审计中的每个环节、每个人、每项工作必须为其他人员的工作质量提供保障,而不是孤立的。,一些企业未根据实际建立健全一套行之有效的内部审计规章制度,缺乏宏观指导,责任不清、奖罚不明,操作程序不规范,随意性大。
4.缺乏质量控制评价体系。企业自身缺乏的、量化的评价审计质量的标准,在一些企业中就没有评价标准,而是以业务量的多少、查处问题的多少来衡量其质量的高低;上级部门对下级的考核评价指标单一且实施考核监督较少;对内部审计工作质量控制缺乏推动力。
二、搞好审计质量控制的途径
1.完善机构设置是搞好质量控制的前提条件。没有完善的机构,质量控制将无从谈起。因此,要建立内部审计机构、完善管理体制,增强内部审计的独立性,强化督导力量,把素质好、业务精、能力强的人员充实到审计岗位上。
2.提高审计人员综合素质是提高审计质量的基本保证。审计人员综合素质的提高是使审计质量提高的总体要求,要有高质量的审计就必须有高质量的审计人才。审计人员必须恪守审计职业道德,依法审计,做到独立、客观、公正,并保持严谨、负责的职业态度;具体从以下方面着手解决:(1)加大培训力度。审计工作的对象之一是被审计单位的会计资料,随着我国加入WTO,各种会计准则相应出台并不断变化,各种税收政策不断适时调整,审计工作必须适应这种变革。因此,要科学、合理地把审计工作与培训结合起来,有计划地安排审计人员进行业务培训,促进审计人员更新知识,开阔视野,掌握先进的审计方法,提高业务能力。(2)大力提倡自学。内部审计不能仅为完成任务而疲于奔命,应鼓励审计人员提高自学意识,是提高审计人员层次的重要途径,审计人员可以通过参加职称或CPA等资格考试,使自己在不断中提高理论知识水平,进而提高审计工作质量。(3)及时交流和讨论。项目实施的计划阶段,针对被审计单位的实际情况,多对实施项目的具体目标、需要获取哪些重要证据、如何获取证据及证据的证明力等进行讨论;实施阶段,多对审计证据与认定的关系及专业判断作讨论;报告阶段,多对审计意见及建议作讨论。通过交流和讨论,可以增强彼此之间的业务水平和实际操作技能,使审计人员在实践中不断改进审计工作方法,可以及时获取一些间接知识,有利于整体素质的提高,同时可使审计证据更经济、适当,审计报告更具说服力和审计建议更具可操作性。
3.从建立健全质量控制制度上遏制审计质量滑坡。要结合本的实际建立健全各项审计制度,加快内部审计工作的制度化和规范化。(1)全面质量控制制度是搞好质量控制的根本。主要包括职业道德原则、专业胜任能力、工作委派、督导、咨询、业务承接、监控等。制定全面质量控制政策和程序要使其有效且切合实际。首先要考虑人员职业道德、业务能力,工作的委派要与其实际能力相适应,做到任务具体、职责明确,用规章制度规范和管理工作;要在实际工作中不断完善全面质量控制政策与程序,并采取措施保证各项制度全面贯彻落实;建立激励与约束机制,奖罚分明。确保所有审计工作符合独立审计准则的要求。(2)项目质量控制制度是搞好质量控制的关键。审计人员要在执行全面质量控制政策和程序中适用于审计项目的质量控制程序;督导人员应当在考虑助理人员的专业胜任能力等情况下,合理确定对其工作进行指导、监督和复核的方式及程度。对每一个业务项目都必须从头严抓,按操作程序做好每一步,在实施过程中要及时传达指导意见,监督审计全过程,了解出现的重要和审计并及时提出处理意见。同时,严格执行复核制度,任何一级都要具体明确复核和承担相应的责任,层层把关,确保每一个项目的每一个环节自始至终符合独立审计准则的要求。
4.进行审计全过程控制。(1)认真规划审计计划。周密安排审前准备工作,做到、合理,全面考虑;审计方案要目标明确、内容详细、分工具体合理并与其专业胜任能力相适应;要使审计人员充分了解审计的目标、内容以及被审计单位的基本情况,确认资料间异常的关系和意外的波动,以便找出存在潜在风险的领域。项目负责人要对重要的会计问题、审计问题、重要的审计领域、重点的审计程序、确定的重要性和审计风险及时传达到每一位审计人员。(2)加强实施中的指导和监督。审计实施过程实际上是收集整理审计证据的过程,审计证据的充分性、适当性是审计质量控制的实质和核心,不同的审计证据可以实现不同的审计目标,因此在审计实施中,要加强指导,促使审计人员以最、最合理的审计程序获取支持审计结论的审计证据。但不能因为审计证据的经济性或获取审计证据的难易程度作为减少审计程序的理由。督导人员应适时检查、指导,现场解决发现的问题和存在的分歧,确保审计程序按计划实施。对涉及到的新问题或审计人员拿不准的问题,可以查阅资料、向专家咨询,也可以通过开会讨论,使新问题充分显现,使审计证据能充分支持对审计事项的认定。(3)强化工作底稿及审计报告的复核。一张工作底稿通常由一人完成,编制者对有关资料的引用、对有关事项的判断、对审计结论的确定、对会计数据的加计复算都可能出现误差,因此,审计外勤工作完成后,应对审计工作底稿进行多层次的复核;对审计报告的措辞、发表的意见及有关审计建议的可操作性要由审计部门负责人作最后重点把握,一字一句斟酌,以减少或消除人为的审计误差,及时发现和解决问题,保证审计报告能真实地反映被审单位的实际状况。
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出,其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的安全性、完整性、效果和效率等方面。通常,信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业保险基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的实践,就相关审计内容与方法谈一下肤浅的认识。
一、信息系统的一般控制及审计方法
信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。目前,被审计对象一般是在日常运行的信息系统,因而,我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计,判断信息系统的安全性、可靠性。
1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括:系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中,使用该方法发现信息系统中部分用户的不相容的操作权限未予分离,征费员既有收费等征收管理的权限,又有车辆类型管理、费率设置、修改缴费标准等权限。
2.操作控制。操作控制是用来控制信息系统的操作,以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括:系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时,操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。如在养路费项目中,使用该方法发现存在操作人员使用其他用户进行操作信息系统的情况,操作控制不严,有3名协管员于2005年10月至2006年6月期间,擅自使用领导的用户名及密码先后8次私自减免5辆汽车养路费滞纳金。
3.灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时,为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。
二、信息系统的应用控制及审计方法
信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能,包括输入控制、处理控制和输出控制。通过对系统的应用控制功能审计,检查应用系统本身是否存在漏洞和功能缺陷,评价信息系统的可靠性、效果和效率等方面。
1.输入控制。输入控制确保输入数据的合法、准确和完整,包括:数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计可以采用以下方法检查系统输入控制。
(1)面谈法、观察法。审计人员采用与操作人员座谈、现场观察系统输入控制,可以初步了解系统输入控制情况。
(2)测试数据法。审计人员设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。如在社保审计中,审计人员通过测试数据法,发现存在参保人员重复开户问题,系统输入控制不严,进而发现重复征收失业保险费、养老保险费等问题。
(3)数据验证法。主要是通过检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性,包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。如在养路费审计中通过数据库主表与明细表数据的核对和检查,审计发现系统对部分业务数据保存不够完整和正确:部分养路费滞纳金减免记录在减免明细表中记录不完整、部分养路费缴费记录存在缴费总表与缴费明细表记录不符。又如在养老保险基金审计中通过对养老保险系统保存的地税征收的养老保险费数据与地税部门实际征收的数据比较核对,发现系统保存的地税征收的养老保险费不够正确和完整,原因在于地税部门没有提供标准格式的征收养老保险费情况的电子数据,社保部门通过手工将地税征收的养老保险费数据输入系统。
2.处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。审计可以采用以下方法检查系统应用控制。
(1)抽样数据法。审计人员从被审单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。如在被征地人员养老保障审计中,审计人员通过对不同类型参保人员个人账户计息情况抽样审核,发现部分个人账户计息不正确。
高校内部审计质量的现状表明其控制具有必要性。提高高校内部审计质量控制要科学设置相应机构,提高审计人员素质,采用先进技术手段,建立内部监督机制和责任追究与奖惩制度。
关键词:
高校内部审计质量;高校内部审计质量控制
一、高校内部审计质量的现状分析
(一)内部审计需求不高
高校内部审计的需求不高主要反映在以下两个方面:其一,高校的内部审计没有真正与高校的实际管理相结合。目前我国很多高校内部审计没有受到足够的重视,校内的一些重大决策和资金使用、资产购置处置等经济事项事前并不经过内审部门,导致了内审部门在不了解前期运作的情况下去发表审计意见。形式上的履行职责使内部审计部门承担了较大的审计风险,并且直接影响了审计质量。其二,学校管理层及员工普遍认为高校内部审计机构并不是由于学校自身对审计工作的需求而建立的,而是奉国家审计机关和上级领导部门的指令组建的,对内部审计缺乏了解和理解,从而导致高校领导对内部审计工作缺少支持。在高校的教职员工大多不了解内部审计的作用和价值,他们存在两种极端的思想:一是对于内部审计期望过高。由于部分高校审计与监察合署办公,对内部审计与纪检监察的职责分工不了解,认为内部审计和纪检监察一样就是抓的,这种达不到的期望在无形中影响了内审的威信。二是认为内部审计可有可无。认为内审工作就是敷衍上级部门,走走形式的,有无内部审计对单位内部的工作开展影响不大。这些对内部审计的认识误区导致了对内部审计的需求不高,内部审计部门难以提高审计质量。
(二)内部审计供给不足
高校内部审计供给不足由下列状况造成:高校内部审计机构状况。高校内部审计机构目前有两种存在形式,一是独立设置的审计部门,二是与纪检监察部门合署办公的纪监审办公室。仍有部分高校的内部审计机构设置不独立,特别是省属高校,会影响内审业务工作的自主性和权威性,降低审计职权的行使力度,从而无法保证内审质量和规避审计风险。高校内部审计制度建设状况。近年来各高校根据教育事业在各个发展时期的特点和要求,制订了相关的审计实施办法和规范性文件,内容涉及基本建设项目审计、经济责任审计、财务收支审计等。高校内部审计制度的出台主要考虑上级主管部门布置的工作重心,对于制度的系统性、全面性考虑较少。在组织机构建设、人员激励、各项内部审计工作的实施细则以及后续审计等方面,均未被加以重视。高校内部审计人力资源状况。由于高校内部审计业务的复杂性,人员的综合素质还未能满足高校内部审计快速发展的需求。一方面,内部审计人员在教育经济、建筑工程、计算机应用和法律等专业领域方面的知识相对薄弱。另一方面是人手不足的问题,由于编制等方面的原因,分配给审计部门的人员数量较少,难以完成日渐繁重的工作任务。高校内部审计方法与技术状况。目前高校内部审计大多仍采用的是手工审计的方法,包括审阅、核对、询问、函证、盘点、调查与分析等。在当前高等教育快速发展,高校业务日渐复杂的情况下,内部审计部门承担的审计任务也越来越繁重,采用简单的传统技术将无法提高审计的效率。高校内部审计内容状况。高校审计内容主要包括财务收支审计、预算执行情况审计、决算审计、经济责任审计、专项资金审计、基建审计、经济效益审计等,但是基本上以基建审计和经济责任审计为重点。高校内部审计目前着重关注的审计范围仍局限于财务、基建、后勤、资产等保障部门,而对教学管理、科研管理、人力资源管理等这类学校管理的核心业务却缺乏有效的控制途径。
二、高校内部审计质量控制的必要性
(一)高校内部审计工作规范性不强,要求实施内部审计质量控制
在高校内部审计工作中,相当一部分内部审计人员在审计过程仅仅凭借以往的经验进行实务操作,随意性较大,增加了审计无效的重复劳动,随之产生了较大的审计风险。当前内部审计工作不规范主要表现在:审计按领导意志进行,无立项计划;审计方案考虑不全面,分工实施中的衔接不好,导致遗漏部分审计内容;对某些经济事项,特别是异常项目审计的深度不够,从而影响审计质量;抽样审计时,对一些固有风险、控制风险大的项目样本只求数量,不求质量。
(二)高校内部审计机构设置缺乏独立性,严重影响内部审计质量控制
审计署《关于内部审计工作的规定》中明确规定:“法律、行政法规规定设立内部审计机构的单位,必须设立独立的内部审计机构。”然而目前大部分高校的内部审计机构都是与纪检、监察合署办公,并由监察室主任或纪委书记兼任审计科室主任。这种内部机构设置在一定程度上影响了内部审计工作的独立性,从而严重地影响了内部审计工作的质量。
(三)高校内部审计人员对审计业务的综合素质偏底,要求强化内部审计质量控制
审计主体的业务素质和技术方法落后主要表现为:一高校内部审计人员对于某些专业领域缺乏了解,复合型人才较少,综合能力较低,使得审计经验和能力受到局限。二是落后的审计技术方法跟不上经济发展的脚步。经济的快速发展,对审计技术方法提出了更高的新要求,同时也使经济活动中的舞弊行为更加隐蔽,传统的手工审计方式难以查找出其中的错弊,会制约审计监督职能作用的发挥和审计工作质量的提高。
(四)经济活动的复杂化,要求加强内部审计质量控制
目前,高校各部门内部控制薄弱,经济业务活动日趋纷繁多样,给审计带来很大的难度。一方面,经济活动纷繁复杂,会计核算工作质量效率下降,被审计单位提供的会计资料缺乏完整性和真实性,有的甚至故意隐匿有关重要资料;另一方面,被审计单位内部控制制度薄弱,漏错很多,加大了审计人员存在错误判断的可能性。这些情况增加了审计的风险,严重影响了内部审计质量。
三、加强高校内部审计质量控制的对策
(一)科学设置内部审计机构
独立性对审计工作来讲至关重要,是开展审计工作的前提。只有确保内部审计人员的独立性,才能保证内部审计人员客观、公正地从事审计活动。审计人员的独立性主要体现在以下几个方面:一是在组织人员上,内审机构必须由高校主要负责人直接领导;二在机构设置上,不能隶属或合并本单位的其他部门,应当单独设置内部审计部门;三是在经济来源上,确保审计经费独立于其他部门,以便在开展审计工作时不受其他职能部门或个人的干预。
(二)提高内部审计人员综合素质,充实审计人力资源
高校内部审计人员综合素质的提高是审计质量控制的基础,提高高校内部审计人员综合素质可以从以下几方面着手:一是强化内审人员职业道德意识。诚信是内审人员职业道德意识的核心,是审计人员必须具备的基本素质,审计职业道德是一般社会道德在审计职业生活中的映射,审计职业道德要求审计人员在工作中必须按照审计相关的法律法规办事,要知法守法、依法办事、廉洁自律,并且热爱本职工作,对工作兢兢业业、尽心尽力。二是提高审计人员的业务能力。作为一名优秀的内审人员,不但要掌握审计方面的专业技能,还应掌握法律、会计、计算机、税务、基建等相关知识。同时,高校应有计划地安排内审人员参加各方面的业务培训,并定期对内审岗位进行轮岗。内审人员也应积极主动参加各类培训,在不断学习中提升自己的政策水平、业务水平和理论知识水平。三是加强内审人员学历教育。对于参加学历教育的内审人员,高校应当在时间上为其提供保障,而且还可以对通过努力取得学历者给予一定奖励,激励内审人员不断学习的热情,从而提升内审人员自身的综合素质,提高内审质量和工作效果。
(三)采用先进的审计质量控制技术方法,充分行使审计职能
高校要充分发挥审计的职能,必须适应经济发展要求,采用与时俱进的审计技术方法。一是利用计算机审计建立审计作业平台,对高校内部财务收支及院系的财务状况实行远程实时审计。二是对基建工程、设备采购、大宗物资、对外投资等金额大、性质重要的经济活动实行全过程跟踪审计。三是在审计过程中全面使用分析性复核审计方法,这一方法对隐蔽工程、潜在的违法违纪行为的曝光十分有效。四是对审计的过程结果及时进行反馈,审计结束后内审人员应将审计过程中发现的各类问题以建议、报告等形式反馈给相关的负责人员,以此达到强化管理的目的。
(四)建立内部审计质量控制的再监督机制,督促内部审计质量
监督职能是高校内部审计的重要的职能之一,而为了降低审计风险,作为监督者的内审人员自身也必须接受监督。高校建立内部审计质量控制的再监督机制,可以减少审计失误,并增强高校内部审计的公信力。高校内部可成立审计质量控制再监督委员会,明确委员会成员,制定相关制度,再由监督委员会定期或不定期对内审人员的各方面进行检查、评价。也可开展同业互查,可聘用会计师事务所、管理咨询公司等其他审计机构对内部审计项目进行再审计,通过外部检查来加强内审质量控制,促进内审质量提高。
(五)建立对审计的责任追究和奖惩制度
一、金融机构内审风险的表现形式
1.违规操作风险,即没有遵守上级行的操作规程和有关规定实施审计活动而引起的所谓上诉风险。形成原因部分属于制度体制层面,部分属于内审技术层面。目前阶段,银行系统均就内审方面制定了若干规定,大多是以“制度”、“操作规程”、“办法”等形式存在,这些规章制度是内审部门行使职责时必须要遵守的,但实际工作中受诸多情况的影响,存在不自觉的实际偏差,这些偏差使内审部门“执法”行为的“合法性”受到质疑。如在现场审计活动中,应该就查出的问题征求被审计单位有关人员的意见,但有些内审人员却忽视了这点,由此带来了被审计单位最后并不认可这种问题的存在,或上级行虽然下发内审结论,但被审计单位又提出复议要求等。
2.取证不当风险,即所取得的审计证据不充分或者是不恰当而形成的风险。这是在现场审计工作中普遍存在的一种内审风险,一般都是属于技术层面的原因造成的。按照现行内审操作一般规定,对查出的问题必须要有证据予以证明,即内审不仅仅是查出问题,更重要的是要有证据证明这是个问题,即查证问题。对查出的问题如果不取得足够的证据予以说明,容易引起这样两个后果,一是没证据下结论,不符合内审的一般操作规定,从而转化为违规操作风险;二是没证据就下结论使内审结论没有说服力。同时也不利于各级领导进一步思考这一违规问题。同时,由于没在现场及时取得相关证据,为少部分人篡改证据留下隐患。
3.查证不实风险,即对重要的审计事项查证不实、揭露不力而形成的风险。无论是商业银行,还是中央银行,内审风险在查证不实方面具有明显的银行业特点。银行内审主要是审计检查银行的业务,尤其是侧重检查潜在风险程度高的业务,由于银行业务的行业特征,若干业务的风险识别具有较高的难度。如联行业务,随着近几年银行联行资金被盗或挪用案件的不断发生,有关各方对内审监督的力度和作用提出了质疑,并且认为内审部门应该在联行资金安全方面负有一定的责任。但公平而论,就目前银行内审部门来说,单纯从事后检查的角度要确保银行联行资金的安全,确实是勉为其难。但是,无论是本行管理层,还是一般员工,对本行内部发生的案件,尤其是业务方面的案件,总是要问内审部门查没查过确是不争的事实。
4.定性不准风险,即引用法律规定、业务规章不当或者是定性措辞不尽规范而导致的风险。这是目前普遍存在的一种内审风险,也是制约内审工作整体水平发挥的主要风险形式。定性不准包括三种可能:一是定性错误,内审人员对查出问题的判断完全是错误的,如在对贷款进行分类时,没有依据借款人的主营业务收入判断借款人的还款能力,而是依据贷款的担保对象或抵押物的保证程度来判断其被归还的可能,将本来应该划分为次级的贷款,划分为正常,就属于定性错误;二是夸大错误的程度,如对主管会计行长定期检查制度执行情况的检查,从有关各方得到的信息是主管行长第三季度进行了检查,有检查书面材料,但在相关登记簿上没有行长的签名,定性为登记簿记录不全比较准确,而定性为主管行长没有认真执行定期检查制度,就属于夸大错误事实;三是缩小错误程度,检查发现某支行将贷款利息收入部分退还原借款人,应该定性为截留利润而定性为低于国家规定利率发放贷款,就属于缩小了错误的程度。
二、防范内审风险的措施
1.加强内控建设,降低控制风险。由于控制风险的存在,加大了内审风险的总体水平。因此,首先从降低控制风险入手就成为防范内审风险的首要选择。控制风险的存在形式决定必须从加强内控建设开始防范控制风险。
一是要弄清楚内审部门在本行内控建设中的地位或作用,银行的内控建设是一个宠大的系统工程,内审是重要组成部分,专门的监督职责使内审部门在整个单位的内控建设中处于较为特殊的地位,内审部门既是全行内控的一环,同时又较其他业务部门处于相对独立的地位。从内审可以行使“管理咨询职能”的角度,内审部门在整个内控建设中可以发挥规划、咨询、协调、督促的作用。二是银行的内控建设一定要突出防范和控制风险的特点,银行属于高风险行业,风险对银行来说是最大的威胁,因此银行内控建设涉及到的所有内控要素,都要从这个方面考虑,只有在充分控制好可能的风险的前提下,银行才能够考虑盈利和发展。内审部门在内控建设方面的作用也要强调这点。三是内审部门要加大对内控要素的监督评价力度,不但要在一般性的业务活动中突出对内控要素的监督,而且要制定专门的内控要素监督评价办法,把对内控要素的监督评价纳入内控建设的整体框架之内,以通过科学有力的内控监督活动,促进全行内控建设总体水平的提高,达到降低控制风险的目的。
2.强化内审自身建设,降低技术因素造成的检查风险。虽然内审部门可以通过督促全行的内控建设,达到降低控制风险,进而达到降低内审风险的目的,但结果如何不是内审部门可以控制的。内审部门能够控制的和对降低内审风险最有意义的还是在内审部门自身。
(1)加强内审部门自身的制度建设。各家银行总行内审部门应该认真考虑,把内审部门自身制度建设纳入全行内控建设整体框架中思考,按照内控制度的基本要素检查、规范和完善内审部门的各项规章制度。建立健全内审专业各项内部管理制度,把内审部门应该承担的责任以制度的形式固定下来,分监督对象或专业制定内审操作规程,进一步明确内审操作规程在内审检查活动中的重要性。
(2)尽快识别和界定内审监督检查的重点。内审监督活动既不是业务部门的即时复核,也不是事后监督。一般情况下,内审部门不可能对所有的监督领域和所有的内容进行全面的监督,也不可能在第一时间对这些业务内容实施监督,尽管从审计种类上存在全面审计或跟踪审计,但这仅仅是相对的。因此,从节约内审资源、提高内审效率和效果的角度考虑,就是必须找出内审部门必须要监督的内容,即我们通常说的检点。这项工作应该由各家银行总行内审部门负责,分别不同类别的行处和业务种类,集中业务专家,按照业务流程逐项分析判断内审监督的关键点。
(3)树立项目管理理念,加强现场内审管理。从我们对银行内审项目档案的检查分析来看,属于事故性项目的(体现出一定的内审风险特征)一般与现场操作有关。许多基于内审人员技术成分造成的检查风险,可以通过加强现场操作来予以防范。另外,从多家银行的内审操作规程分析,在银行内部已经开始把内审查处活动当作一个项目来对待。随之而来的就是按照项目操作要素组织实施内审项目,主要包括以下内容:一是科学计划项目安排,有针对性地选择内审人员,确定现场实施的时间、具体检查的重点和抽样比例等;二是明确现场项目操作管理岗位责任制,组长、主审人、小组长和其他成员分别代表不同的岗位,每个岗位的责、权、利都要通过一定形式予以确立,现场需要做的就是通过一定的组织形式坚决落实这些规定;三是确立项目整体操作的概念,从发出内审通知书到进入现场、调阅资料、抽取样本、实施检查、记录底稿、起草事实确认书、撰写初步意见、形成内审报告等所有的内审行为,均是围绕一个整体,即高质量地完成本次内审任务,任何一个环节的失误或偏差都有可能加大检查风险。
