时间:2023-08-17 18:03:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计基本流程,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、基本建设项目竣工财务决算审计程序
(一)接受委托后的初步工作
通过查阅资料、踏看现场,调查了解建设项目的相关情况,形成调查记录,评估建设项目是否具备执行竣工财务决算审计的条件,以及存在重大??题的可能性。
(二)取得决算资料并审查其完整性
包括立项文件、可研报告、初设报告、概算及概算调整批复、造价审核报告、审价定案表、招投标文件、施工图竣工图、设计变更、工程量变更、各年财务报表及审计报告等会计资料、各种合同协议、财产移交清单等。
(三)对项目建设程序的审计
一是项目的建设程序是否规范,审批手续是否齐全。
二是应该进行招投标的事项是否进行了招投标。
三是工程变更是否具备合理的依据、程序是否规范。
(四)对基本建设财务管理情况的审计
一是建设单位或项目核算单位基本建设财务管理制度、内部控制制度的建设和执行情况。
二是对基本建设项目是否严格实行单独核算,且将核算情况纳入建设单位的会计账簿体系和财务报表,是否存在账外账、多套账等违反会计法的情况。
三是建设项目的预算管理情况,项目资金预算的编制项目是否合规,核算管理及进度管理是否按照批准的项目概(预)算执行。
四是财产物资的管理是否严格,如建立物资档案、定期清查、对盘盈盘亏情况及时申报处理等。
五是工程价款结算的办理是否及时,是否在规定期限内编报项目竣工财务决算,资产交付使用的手续是否办理。
(五)对会计资料的审计
1.检查会计科目设置情况。如,项目的建设成本是否分别按照建筑安装工程投资支出、设备投资支出、待摊投资支出、其他投资支出进行核算;
2.审查建设成本的合法性、真实性,检查各种支付凭证能否作为入账依据。抽查建筑安装工程的结算,抽查比例不低15%,重点关注超概算金额较大的单位工程;审查设备、材料运杂费和采保费的核算情况;审查待摊投资支出的列支内容和分摊情况;审查其它投资支出的列支情况。
3.审查各项债权债务的真实性、合法性,是否存在长期挂账、清理不及时的情况,有无变相挪用、挤占建设资金的情况。
4.检查是否存在基建收入、索赔、违约金等收入,其账务处理是否符合国家相关财务会计规范。
5.审查工程款的结算情况。工程款的支付是否严格执行合同约定和工程款结算流程,工程质量保证金是否按照约定预留,且不超过结算总额的5%。
6.审查建设资金来源情况。如:资金是否到位;是否依法筹集资金,使用贷款融资的,贷款利息的计算和支付是否符合国家规定和合同约定;是否专款专用,是否存在挤占、挪用等情况,是否存在明显的不合理支出。审计人员应考虑执行分析性程序。
7.审查尾工工程。依据概算和工程形象进度,核实尚未完工工程量是否符合概算、完成尾工工程所需要的支出是否合理。
8.审查资产交付情况。
(1)项目竣工验收合格后是否及时移交资产、办理交付使用手续,是否按照批复的项目竣工财务决算对账务进行调整。
(2)对非经营性项目形成的资产,是否按照规定分为待核销基建支出、交付使用资产价值、转出投资进行账务处理。
(3)资产的移交是否真实、合法,是否账实相符,根据所交付资产的不同类型采用不同的审核方式:房屋、建筑物、不需安装的设备,逐项核实;需要安装的设备,抽查比例不低于50%;工器具、备品件、办公及生活家具,关注其移交手续是否合规,对移交手续不合规的根据具体情况进行抽查,查明有无虚交或账外资产等问题。
9.审查结余资金。对于非经营性项目,是否按照规定在归还贷款后,及时上缴财政,可执行以下审计程序:盘点核实各项货币资金,查明是否存在小金库;审核库存材料盘亏情况,查明是否存在隐瞒、转移、挪用;核实债权债务的真实性,是否通过往来挂账转移结余资金。
二、重点关注对新法规的变化内容的审计
2016年,财政部颁布了《基本建设财务规则》(财政部令第81号)、《基本建设项目竣工财务决算管理暂行办法》(财建[2016]503号)、以及《基本建设项目建设成本管理规定》(财建[2016]504号),自2016年9月1日起开始正式施行。已实施十余年的《基本建设财务规定》(财建[2002]394号)同时废止。
本次财政部颁布的新法规对基建财务核算和管理的规定有较大的变化,审计人员应了解新旧规定的适用和衔接,重点关注建设单位是否正确执行了新法规定,包括:
(一)项目竣工财务决算的编制程序和编制依据是否合规
审计内容包括:编制时间是否是在项目完工或试运行合格后3个月内编制完成;决算未经审计前,负责人及相关管理人员是否仍然在岗;决算编制前,是否已进行了财产物资清查盘点,各项账务处理已全部完成;决算的编制依据是否完整,包括可研报告、初设和概预算文件、相关合同协议、财务会计资料等;决算内容是否完整,包含了决算报表、财务决算说明书、财务决(结)算审核情况及相关资料。
(二)建设成本中是否包含规定不得列入成本的支出
《基本建设财务规则》(财政部令第81号)明确规定了不得列入建设成本的七项支出,包括:超过批准建设内容的支出;非法摊派与收费;无合同协议依据支持的支出;没有取得合规发票、没有责任人和审批签字的支出;由于设计单位、施工单位、供货单位的原因造成的工程报废损失,及未经批准的损失;项目达到验收条件之日起3个月后的支出;不应当由项目负担的支出。
审计人员应当关注建设成本的入账依据必须具备合规发票这一新的规定。在以往的项目竣工财务决算中,常常存在工程款、设计费等支出由于各种原因未及时支付和结算,建设单位在未取得对方单位开具的发票的情况下,依据工程结算书、合同等文件确认建设成本和应付款的现象。按照这一新的规定,在对竣工财务决算审计时,审计人员对此类没有开具发票的支出,不能确认为项目建设成本。
审计人员还应重点审核是否存在项目达到验收条件之日起3个月后发生的开支。《基本建设财务规则》规定,项目竣工价款结算一般最迟应当在项目竣工验收后3个月内完成。严格对支出时间的审计,有利于预防基本建设项目的工程价款拖欠等现象,维护社会经济的有序和平稳运行。
(三)业务招待费的开支比例
财建[2016]504号文规定,严格按照国家有关规定列支项目业务招待费,列支金额不能超过项目建设管理费的5%,而已废止的财建[2002]394号文规定的比例是10%。显然,国家进一步深化改革、防止腐败的举措更加细致和严密,审计人员应掌握相关国家法规与政策,如,《党政机关国内公务接待管理规定》、《党政机关厉行节约反对浪费条例》等规定,采用检查支付依据和审批手续、重新计算等审计程序,核实业务招待费支出。
审计人员还应关注财建[2016]504号文对建设管理费(原“建设单位管理费”)的限制性规定,以《党政机关厉行节约反对浪费条例》为标准审核建设管理费开支的合理合法性。应注意的是,财建[2016]504号文修改了建设管理费的总额控制数费率,从原来的七级费率改为六级,并提高了各级费率,如工程总概算1000万元以下级的建管费费率,从原来的1.5%提高到2%。
(四)代建管理费的列支
财建[2016]504号文规定了代建管理费和建设管理费原则上不能同时列支,如果确实需要列支的,则两项之和不能高于按照总额控制数费率计算的建设管理费总额。
会计师事务所常常会接受政府委托,审计政府招标的代建制项目,审计人员应关注基建项目成本核算的新规定,审核代建制项目是否同时列支了代建管理费和建设管理费,是否超过了允许列支的控制限额。
(五)尾工工程和结余资金
《基本建设财务规则》对尾工工程作出了规定,并修改了非经营性项目结余资金的使用规定。对尾工工程,审计人员应关注尾工工程预留的必要性,以及预留投资比例是否在批准的项目概(预)算总投资的5%以内;对政府投资的非经营性项目结余资金,是否在归还贷款后的规定期限内(竣工验收合格后3个月内)缴回财政,是否擅自截留结余资金。
三、提高项目竣工财务决算审计效率的措施
一个基本建设项目的完成,往往长达数年,相应的项目竣工财务决算审计涉及的?Y料和程序繁杂,审计周期也比较长,为提高项目竣工财务决算审计的审计效率,降低审计风险,审计人员应做好以下几方面工作:
(一)做好业务承接时的风险评估
在承接审计项目时,审计人员应从自身和客户两个方面评估承接项目的可行性。一方面,应了解建设项目是否具备审计条件,另一方面应评估会计师事务所的专业胜任能力。如,委派的审计人员是否熟悉基本建设程序,是否具备相应的工程知识等。
(二)做好审计工作计划
根据对建设单位和建设项目的了解,安排和组织具有胜任能力的审计人员执行审计程序,明确各项审计程序的执行时间、复核控制等内容,并确保审计人员在审计过程中有充足的讨论和交流。
关键词: 建设项目跟踪审计介入流程
【中图分类号】:【文献标识码】:
1 前言
所谓建设项目跟踪审计是指独立的审计机构和审计人员接受业主委托,依据国家相关法律法规和制度,对建设项目从投资立项到竣工交付使用的全过程管理活动,进行连续、全面、系统的审查、监督、分析和评价。其目的是有效控制和真实反映工程投资,帮助建设部门纠正偏差,及时提出审计意见和建议,维护合法权益,有效控制工程成本和投资规模,完善建设项目管理,保障建设资金的合理使用,提高资金的使用效率。跟踪审计立足项目全过程的监督,它一改过去工程由竣工后集中一次结算审计的传统模式,是现代审计制度的创新。它在优化投资决策、规范建设行为、促进项目管理以及加强党风廉政建设等方面均发挥着积极的作用。
2 建设项目跟踪审计内容
全过程跟踪审计是一种动态的管理,由过去定期、不定期的审计发展到驻场实时审计,这种“贴身”的审计模式使审计监督覆盖了从项目立项、征地拆迁、安置补偿、工程招投标、合同签订、设计、变更、设备材料的采购、隐蔽工程等,直到工程最后竣工决算和资金收支的全过程。它把建设工程审计分为事前、事中、事后三个阶段,审计人员参与各个环节,全过程进行深入了解。项目建设中设专职审计人员驻扎现场,对隐蔽工程、现场变更、签证进行详尽把握,避免结算时产生矛盾,减少审计风险,从源头上控制工程投资。[1]
3 跟踪审计在建设项目管理中的具体应用
某建设单位为实施其扩建工程成立了建设指挥部,下设规划设计部、工程部、监审部、财务部等保障机构,其职责分别为:规划设计部负责设计管理和设计联系;工程部负责工程招投标准备工作和施工现场管理;监审部负责监督管理基本建设程序、党风廉政建设和投资效益;财务部负责资金筹措和会计核算。项目实施过程中,规划设计部委托有资质的设计单位完成方案设计、初步设计、设计概算编制、施工图设计;工程部委托有资质的造价咨询公司负责编制招标文件和工程量清单;监审部委托有资质的造价咨询公司负责跟踪审计,要求驻扎现场的专职审计人员按月提供审计报告。为提高工程建设管理水平,促使工期、质量、功能和投资的最佳化,该建设指挥部制定了跟踪审计在项目管理过程中的工作流程。
3.1 全过程跟踪审计的流程图(如图1)
图1跟踪审计的流程图
3.2跟踪审计在几个关键控制点的介入流程
根据图1跟踪审计工作流程,该建设指挥部选取了工程变更、支付工程进度款、工程索赔三项作为关键控制点。
3.2.1 工程变更时跟踪审计介入流程
工程变更是造价变化的主要根源,对工程造价的影响是复杂和多方面的。实质影响工程造价的阶段,即项目决策阶段、项目设计阶段、项目实施阶段,而项目设计阶段是造价控制的关键。据统计,在项目决策及初步设计阶段,工程设计影响工程造价的可能性为30%~75%,但是工程设计对工程造价的影响并不因为设计阶段的结束而结束,施工阶段的工程设计变更对工程造价的影响更大。为了在施工过程中更好地控制工程设计变更,该建设指挥部制定了如下设计变更、技术核定及其造价变动审核流程(如图2)。
图2 设计变更、技术核定及其造价变动审核流程
3.2.2 支付工程进度款时跟踪审计介入流程
为保障建设单位合理安全支付工程进度款,现场专职跟踪审计人员应做好基础工程、隐蔽工程的现场记录,参与验收,做到由建设单位、审计、施工、监理四方会审会签后才能加以封闭,使工程成本更加切合实际。根据合同当建设单位支付工程进度款项时,跟踪审计介入流程如图3。
图3 工程进度款审核流程
3.2.3 工程索赔审核流程
工程索赔是指建设项目合同履行过程中,合同当事人一方因对方不履行或未能正确履行合同或者由于其他非自身因素而受到经济损失或权利损害,通过合同规定的程序向对方提出经济或时间补偿要求的行为。工程索赔是一种正当的权利要求,实质是建设单位、承建单位之间一项正常的、大量发生而普遍存在的合同管理业务,是一种以法律和合同为依据的行为。工程索赔审核是涉及法律、经济、技术等方面综合性强的系统工程,要从三个层面审核,并结合运用反索赔准确把握审核工程索赔。所谓三个层面,即法律、法规层面;招投标文件及合同约定层面;工程量、价层面。工程索赔审核必须建立在以上三个层次上展开工程索赔的审核认定,具体流程如图4。
图4 工程索赔审核流程
4 结语
记得86年入学时,系主任张亦春教授给我们讲的第一次课就是“银行是门大学问”,而现在我对内部审计工作,也深深体会到其内涵的深刻和广大,深深感觉到“内部审计也是一门大学问”。我99年初参加农业银行的内部审计工作,在四年多的内部审计实践中,每年对内部审计的理解和体会都有所不同,以下是本人这几年从事内部审计工作不同阶段对内部审计的认识和了解,与各位内审同行交流,以期共同提高。
第一阶段,就是刚参加内部审计工作的一年多时间里,对业务操作熟悉,但对内部审计了解不多。和大多数内部审计同行一样,在参加审计工作之前,都是从事在具体业务操作,对各种业务的操作流程和方法十分熟悉,但对内部审计的基本技术方法了解不多。由于对内部审计缺乏较深入的理解,在实际审计工作中,往往是套用以前业务工作的经验和方法,这一阶段虽然也能基本正常开展审计工作,也能审查出一些违规问题和风险隐患,但由于缺乏内部审计的知识与技能,即缺乏一个合格内部审计师的基本素质,在审计中往往以业务流程的符合性作为审计发现的主要依据,过分注重操作过程的细节,结果是捡了芝麻丢了西瓜,经常会忽略了关键的风险控制环节和控制点,如对岗位职责的明确划分和相互制约等基本的内部控制内容。
第二阶段,就是参加内部审计工作2到3年时间之后,从各种渠道对内部审计有了一些了解,包括参加了各种审计培训、自学了一些有关内部审计的书刊,掌握了一些内部审计的工作方法和技能,能部分将审计理论和技能应用于实践工作中,初步具有了对风险的认识和把握能力,能根据业务操作的经验,对被审计事项的一些重要风险点进行归纳和总结,并作出判断和评价。这一阶段,个人的内部审计综合素质提高了,但对具体业务操作则逐步开始有所生疏,因为业务品种及操作往往是不断变化的,审计人员虽然也要经常学习业务知识,但毕竟时间、精力有限,不能对所有需要审计的业务都详细了解各种具体的操作细节。这个阶段对一些从业务操作岗位转入新参加内部审计工作的人员是一个关键时期,由于脱离了实际业务工作,对业务操作流程特别是一些细节可能生疏,如何克服这个阶段的困难,本人所在处室有位同事曾经说过:“审计人员有三类,一类是刚刚从业务岗位转过来的审计人员,他们熟悉实际操作,能按操作流程来进行审计,虽然其审计发现可能只局限在某一方面如操作流程、制度的遵守。第二类就是几年前参加审计的人员,这些人在参加审计之前,有较丰富的业务操作经验,但由于近几年脱离了业务实际操作,对实际业务操作流程开始有所生疏,这一类人如果不开始注重审计职业能力的提高,就可能变成既不懂业务又不懂审计,最后将被淘汰。第三类人,就是参加审计工作多年,且对奶奶实际的原理和技能有深入的研究和了解,虽然对具体业务可能不熟悉,但能应用这些知识和技能,按一定的审计程序,分析研究被审计对象的有关背景资料和进行现场检查,分析评价其内部控制,发现控制的弱点,这类审计人员可以胜任大多数的审计项目的审计,包括不熟悉的业务的审计。”本人对这个理解十分认同,在脱离实际业务操作几年后,我也遇到了这个问题,即原有的操作经验可能会逐步淡忘,而审计工作的范围却在增加,不仅要参与原来熟悉的业务,还要参加一些不很熟悉的领域,为解决这个问题,我重点加强作为内部审计人员所需要的基本素质的培养,包括较深入地学习了有关内部审计、内部控制的理论知识,学习风险管理的原理和技术,并努力扩大知识面。经过这些学习和研究,对内部审计的理解和掌握层次上得到提升。对一项审计活动,不再只从操作层次上去审查评价,而是站在更高的层次上,从整体的内部控制制度角度,从内部控制制度充分、合理、有效方面去寻找风险点和审计重点,从而使自己的审计工作效率和效果得到了很大的提高,对一些以前很少接触过的业务项目也能根据审计的基本原理和技术,与其他同事一起开展审计工作。
第三阶段,就是经过一定时期理论与实践的结合,初步具备一个合格的内部审计师的职业素质,包括掌握相应的理论知识和技能、具有职业的客观性、审慎性和敏锐性。在审计实践工作中,能从风险管理角度,发现风险控制方面的缺陷,并提出改进建议。这个阶段是一个提高的长期过程,本人自认为也只处在初级阶段。对审计的理解的深入的过程要经历量变到质变的过程,对我个人而言,我认为不断学习有关的内部审计知识并不断应用到实践中有助于促进这个进程,我在2002年参加了cia考试,用了近一年的时间广泛学习各方面的知识包括组织管理、内部控制等方面的理论和方法,用心体会其中的内涵,对自己的内部审计职业素养的提高起到了很大的促进作用。
从利用实际业务操作的经验进行审计到忘掉实际操作,按内部审计的基本原理、技术,依靠个人的具有的审计职业素质进行各项审计职业的判断,我经历了近五年的时间,虽然这对我要成为一名合格的内部审计师还仅仅是刚刚开始,但我还是想把我的内部审计工作历程和对内部审计的体会写出来,与各位内部审计同行交流,与大家一起分享,并接受大家的帮助,以求共同提高。
【关键词】传统风险导向审计现代风险导向审计风险评估策略审计风险
ComparingontheTacticsofRiskAssessmentofTraditionalRisk-basedAuditandModernRisk-basedAudit
Abstract:TraditionalRisk-basedAuditandModernRisk-basedAuditarethetwophasesthatRisk-basedAudithasevolved.tacticsofriskassessmentofTraditionalRisk-basedAuditandModernRisk-basedAuditdifferfromeachotherwhiletheystillhavesomesimilarities.ThispaperdoestheComparionontheTacticsofRiskAssessmentfromthefollowingfouraspects:orientationofriskassessment,extentofriskassessment,proceduresofriskassessmentandmethodsofriskassessment.
Keywords:TraditionalRisk-basedAuditModernRisk-basedAudit
TacticsofRiskAssessmentAuditrisk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计传统风险导向审计也称为控制风险导向审计[1]。审计模式发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SASNo.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。(二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997年,Bell和Frank发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号(ISA315)“了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。(二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。(四)风险评估具体方法风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1.风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2.风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3.风险评估程序不同:相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。4.风险评估具体方法重点不一样:两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1]王泽霞.论风险导向审计创新[J].会计,2004(12):49-54
[2]谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3]AICPA:professionalStandardsAsofJune1,1992,AU.31
[4]谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6]郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004[2006-4-17]/showdoc.asp?docid=448&uchecked=true
[7]王义华.BMP审计模式介绍[J].中国注册会计师,2005(06):69-70
[8]Ernst&YoungGlobalAuditPlanningToolkit2004[M],2004:65-67
[9]马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13
一般而言,流程是指一组相互关联的活动,这些活动按照其运行的先后次序来排序,共同作用于组织目标的实现。在《牛津词典》里,“流程”被定义为:指一个或一系列连续有规律的行动,这些行动以确定的方式发生或执行,促使特定结果的实现;而国际标准化组织在ISO9001:2000质量管理体系标准中给出的定义是:“流程是一组将输入转化为输出的相互关联或相互作用的活动”。
流程有六要素:资源、过程、过程中的相互作用(即结构)、结果、对象和价值。把一些基本要素串联起来:流程的输入资源、流程中的若干活动、流程中的相互作用(例如串行还是并行)。哪个活动先做,哪个活动后做,即流程的结构)、输出结果、顾客、最终流程创造的价值,称其为“流程的六要素”。一个完整的流程基本包括这几个要素。
从流程的定义可以看出,流程不是解决为什么而做、为什么这样做而不那样做的问题,而是解决怎么做的问题,更多的是从执行的角度来考虑员工、部门如何完成组织所分配的任务;进而将不同的流程组合在一起,使组织的业务经营和内部管理顺利实施,实现组织目标;而不考虑或者改变组织的决策,在决策确立之后,流程要解决的就是怎么更好地实现决策的目标,而不是改变决策的目标。
二、企业流程审计的含义
流程审计是企业由职能管理向流程管理演变过程中,企业组织形态调整而产生的一种新的审计模式,是“受托责任”理论和“流程再造”理论相互作用的产物;是内部审计机构在充分掌握企业经营管理业务流程的基础上,通过系统化、规范化的方法,对内部管理控制和业务流程执行的符合性实施鉴证和评价,发现对企业组织运营效率产生不利影响的因素,提出切实可行的改进建议,帮助企业实现经营管理目标,增加企业价值。
在传统的财务收支导向审计模式下,内部审计人员往往更多的将关注的重点放在对财务会计信息的真实性、合规性、合法性上,注重对是否存在重大违规违纪、舞弊事项的监督和检查;较少的关注业务流程,缺少对组织业务流程的了解和掌握,审计监督的范围和审计方法的使用等方面都受到了局限,内部审计作为组织内部规范监督的中坚力量没有得到充分体现;审计人员未能伴随组织变化而丰富、拓展专业技术范围;将流程理念引入审计工作成为审计模式调整的迫切需要。
与此同时,国际内部审计师协会(IIA)为适应企业发展变化和经营管理需求,也对内部审计的定义进行了多次变动调整;2011年1月了新版《国际内部审计专业实务框架》,内部审计被全新定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。从这个定义所涵盖的内容看,流程审计完全顺应内部审计的发展变化,为内部审计监督在烟草商业企业的发展提供了新的审计模式。
就目前已经查阅到的资料分析,审计理论界尚未对流程审计给予明确的定义;在审计实务操作中,一般将流程审计定义为:是指企业的流程审计部门或企业专门组织相关专家组成流程审计小组,对审计范围内具体流程的运作现状、执行情况、流程缺陷、客户满意度、流程存在的问题等各方面进行稽查和评估,督促流程得到真正落实和执行,帮助流程不断优化和改进。流程审计与流程日常管理相辅相成,互相补充。
烟草商业企业内部审计部门已经对审计模式的转变进行了一些有意义的探索,在保持常规性审计项目,如定期的财务收支审计、经济效益审计等项目的开展的前提下,还不断地拓展审计范围、改变审计方法,例如选择相关业务实施内部控制管理、内部控制制度评审等审计项目。这些新项目的实施对内部审计监督模式的调整具备较好的参考价值。
三、烟草商业企业流程审计的意义
为顺应经济发展的趋势,保持烟草行业持续、健康、和谐的发展,烟草行业近10年来一直致力于体制改革和经营管理模式的调整,内部常设机构和非常设机构得到充分的配置,内部监督部门和监督机制在体制改革中也得到了完善和提高。烟草行业屡次开展全行业范围的内部整顿规范专项检查工作,以促进烟草企业在卷烟市场管理、卷烟生产、卷烟营销等全方位的规范程度。
2003年烟草行业实施具有重大意义的整体行业体制变革——工商分离;烟草商业企业作为市场主体在卷烟流通领域开始承担起主要角色。随后为保障商业企业在卷烟专卖品的行政管理和市场营销的规范行为,在行业内开始大范围的进行全面质量管理体系的建立工作,通过ISO9001体系认证成为烟草商业企业规范管理工作的重要举措。在全面质量管理体系建立过程中,企业对经营管理的过程操作进行了全方位的梳理,建立了符合国家法律、行业规范的具体作业程序,相应的作业指导书、记录清单、程序文件陆续完善,相对固化的作业程序,为内部审计监督模式的调整提供了便利,也为烟草商业企业引入和应用流程审计理念提供了所需的充分条件。
烟草商业企业作为烟草行业运行的基本单元,在行业整顿规范工作中具有举足轻重的作用,同时随着烟草外部监督量力量的不断加强,特别是以互联网为代表的媒体的发展,烟草商业企业在行业、卷烟零售终端和卷烟消费者之间起到联系的媒介作用不断提高,烟草商业企业的市场管理行为、卷烟经营行为的规范程度以及合法性都直接暴露于外部舆论监督之下,也必将对整个行业的形象在较大范围内产生正面或负面的影响。因此,烟草商业企业的内部控制管理、监督的职能必须按照行业的总体发展思路进行调整和加强,并积极发挥出应有的作用。
烟草商业企业内部审计机构作为烟草商业企业内部规范管理和监督的重要组成部分,其审计监督模式应伴随着烟草体制改革而进行相应的调整;审计监督的介入点也应进行改变,由事后的经济性、效益性、合规性审查向事中的流程控制、事前的风险预测管理转变,由常规的财务收支审计监督向内部控制管理、管理经营风险转变;审计监督的端口必须前移至各项经营管理决策的起始点,真正在经营管理决策阶段起到提供参考、辅助作用。由此延伸可以得出,“事中的流程控制”即为内部审计模式转变中的“流程审计”,在审计过程中注重关注相关业务流程控制的健全性和合理性,以及内部控制措施的有效性,以成本效益原则比较业务经营过程中的风险、收益的平衡关系,来评价烟草商业企业经营管理的运作效率和内部管理控制的效果,进一步提高内部审计监督和服务的层次。
实施流程审计,既是适应烟草行业体制发展变化、充分发挥审计监督职能、拓展审计监督范围的需要,是内部审计由“监督主导型”向“服务主导型”职能转变的需要,也是烟草行业、尤其是烟草商业企业建立卷烟市场执法主体、经营主体的必然需求。
四、流程审计的程序与方法
(一)程序。通过借鉴全面质量管理体系ISO9000内部审核的程序,烟草商业企业内部流程审计的程序可以设定为:项目立项——实施审计——流程建议——后续跟踪等四个环节。其中,项目立项要提出流程审计的问题和需求,确定项目的目标、范围;实施审计要对业务流程的现状进行分析,发现存在的问题并与标准进行比较,以确定相应的改进点;后续跟踪需要假设对未来的业务状态,修订或重整新的系统和流程,充分考虑修订或重整的原因,并进行适度的试验,然后督促相关部门制定、实施新的业务流程或系统。
对现有业务流程进行准确的描述和定义,以角色、责任的不同,对流程活动进行分析,采用文字、图表、流程图等方式,使审计人员掌握流程的现状,分析流程中重点审核的范围。通过对流程中涉及的人员、流程的目标、衡量标准以及相关绩效考评体系、内部管理控制体系,来评价现有的组织和控制系统。
重视审前的方案制订,尽可能地细化审计方案;审计人员也应积累相应的技术知识,比如工程、质量管理、认证内部审核、信息系统等;在审计实施过程中审计人员应多问“为什么”,从流程的目的、流程设计的原则、流程中有无验证、流程的效率体现等多方面;更重要的是,内部审计人员还需要加强与被审核部门的沟通,将有效沟通贯穿于整个审计项目的全过程,突出审计的服务增值意图。
(二)审计方法。采取穿行测试、内部控制测试、分析性复核、交易测试、细节测试、问卷调查、员工访谈等审计方法和对标管理,从评估流程现状的角度出发,了解流程所涉及到的主要控制点,充分掌握流程现状,提出相应的审计管理建议。
主要参考文献:
[1]上海普瑞思企业管理咨询有限公司.如何进行流程审计.2011.6.
关键词:电信企业;内控管理
中图分类号:F279.23 文献标识码:A 文章编号:1001-828X(2013)11-00-01
近年来随着移动互联网和移动通信技术的快速发展,用户消费行为发生显著变化,信息服务产业价值从基础电信服务商到综合信息服务商转移,电信企业为适应行业变化,主动实施去“电信化”转型,目前已经进入转型攻坚阶段和发展的关键时期,战略转型和业务转型同步进行,新业务层出不穷,业务流程变化频繁。如何增强内控管理,服务企业转型,促进企业科学发展,是每一位财务工作者应该深入探讨研究的问题。
近几年,国家财政部制定企业内部控制规范、国资委制定全面风险管理规范,内控已经被国家监管层机构和企业界作为管理企业的重要手段。对于电信企业而言,以内控工作作为突破口,通过合理设计内控流程、严格执行内控流程,对于提升电信企业的运营管理水平、降低公司运营风险,顺利实现企业转型意义重大。下面笔者从基层电信企业视角谈谈如何加强电信企业内控。
一、将内控融入企业文化,营造人人注重内控、注重价值的内控环境
内控环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。而良好的内部环境建立关键在于是否具有优秀的企业文化、是否建立良好的治理结构、合理的组织架构和权责分配体系。
杰克、韦尔奇的自传中讲述了他为了在公司中实施“6西格玛”总共进行了6000多次公开演讲和报告。可见一项重大的基本制度建立和落实需要最高层一个长期而坚持不懈的推行过程。自从电信企业实施内控制度以来,电信企业提出了“企业价值意识、诚信经营意识”,并且高层管理者不遗余力、坚持不懈地宣贯,现在企业价值意识、诚信经营意识基本已经深入人心了,内控环境已经极大改善了。但诚信只是内控工作的一个重要方面,其他重要的有关企业价值提升的关键控制点需要各级管理者作为日常重要工作来抓,因此对于内控工作,我们应该向重视价值、重视诚信一样,电信企业各级管理层站在企业文化的高度不断灌输内控意识,进而形成公司企业文化的一部分,创建良好的内控内部环境。
二、建立合理的内控流程体系,融入企业日常管理
根据财政部《企业内部控制基本规范》企业建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注公司重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
公司应根据内控流程设计的五个重要原则,基于去电信化转型后业务特点重新梳理、设计内控流程,摒弃那些低风险、高执行成本的控制点,突出管理重点,使内控流程真正有效、操作性强。
三、重建内控监督检查考核体制,严格执行内控
前些年部分分公司仍存在背离价值,违反诚信的事例,说明我们的内控并没有全面贯彻执行。这与公司上下不真正重视内控有很大关系,但实质上是公司对于内控执行缺乏一个有效的监督检查考核机制,每年内控自我评估走过场的多,对于检查发现的问题也仅仅是通报通报而已,整改和考核力度不大,考核导向注定内控不会得到有效的执行。因此,要使内控理念真正融入企业文化需要重构内控监督检查考核体制,需要通过严格的内控监督检查来推动内控执行工作。
(1)开展持续性内控监督检查工作。公司要对建立和实施内部控制的整体情况进行连续、全面的、系统的、动态的检查监督。具体组织方式是各单位先自我评估,后审计部门牵头组织内控审计。特别是对内控基础较差单位,必须每年度组织1-2次内控审计,通过内控审计检查是否严格执行,发现管理漏洞,帮助整改提升内控管理。
(2)开展专项监督检查工作。公司日常应对重要的风险领域、风险点进行不定期的、有针对性的监督检查,监督检查机构为省、市分公司专业管理部门、如财务部、审计部等。通过监督检查不断优化内控流程,降低运营风险、提升管理水平。在日常性检查工作之外,对于公司运营存在较大风险的或新业务管理领域,开展专项监督检查。一是通过专项检查,建立起新业务内控流程评估机制,如2009年对移动终端管理检查,通过检查发现的问题,制定终端管理内控流程手册,理顺了管理流程,强化内控执行。建议对不通过营业系统受理的高风险的业务管理流程进行监督检查,如对于目前互联网平台充值业务,根据风险评估制定内控流程规范,加强管理。二是对于重点风险项目强化监督管理,降低运营风险,如对于用户欠费会业合拢、存货盘点、光进铜退物资管理等。
(3)加强内控审计成果,将内控工作融入各专业管理中。 现在审计部门每年审计项目很多,审计人员也付出了辛苦的劳动,但每次审计,通过层层协调,往往最后审计报告成了审计部门的自娱自乐的报告,很少能为公司决策提供重大决策参考依据,事实上形成审计资源的严重浪费。对比工程审计,是审计成果利用率最高的审计项目,审计人员有成就感,而财务和内控审计成果往往是雷声很大、雨点很小。长此以往,形成了基层审计人员热衷于工程审计而不重视财务和内控审计的现状。
关键词:上市公司;审计;风险管理审计研究
中图分类号:F239.45 文献识别码:A 文章编号:1001-828X(2017)003-0-02
一、我国上市公司风险管理审计存在的突出问题
(一)审计机构独立性问题
从社会层面上来看,我国的会计师事务所相比于国外的会计师事务所具有一定的差距,我国许多会计事务所在审计工作中存在一定的不确定性,大多仅仅是避免政府的规章制度,严格的审计要求等方面带来的不必要麻烦而聘请的注册会计师,而不是出于提高自身经营管理能力的目的。从审计关系上来看,研究表明,审计的独立性在很大程度上受审计收费的影响,可以说审计收费在审计独立性的比重过高,从而影响审计的独立性。我近几年会计事务所的数量呈上升的事态,相反,正是数量的剧增,经济的下行压力加大,竞争激烈,致使事务所为了在同行中具有一定的优势,就会降低审计成本,争相降低收取费用。从而加大审计风险。从理论上来看,会计事务所和客户是一种平等互利的关系,然而在利益驱动的作用下,大多的事务所与客户则形成雇佣与被雇佣的关系,这就很大程度的影响了审计机构的独立性,直接导致了各个部门人员对自身职责了解不清晰,进而造成在问题出现时互相推卸问题的现象。
(二)工作流程不合理问题
制约风险管理审计的主要原因在于对不同的企业差异化流程体系的缺失。从企业风险管理审计存在的目的上说,运用一些管理方式保障产品的创新和发展具有重要意义。在审计过程中不仅需要技术和制度方面引进套用固定的模式,还应该与所在的中小型企业具备的特点相适应。而相比现行的风险管理审计流程通常是先以固定的模式作为参考,对不同的客户个性化的业务没有进行专业设计,对企业进行风险管理审计过程中,将一整套的流程体系运用到企业里,造成审计过程的繁琐性,从而导致效率低下,管理混乱同时对于服务流程的规范也不精细,流程优化不足还导致了审计的成本增加。
(三) 技术的落后性
由于我国的信用体系不完善,在对企业进行审计的时候没有相应的判断的参考体系或信息管理系统的不完善,没有建立覆盖所有个人和企业的信息系统,使信息在调用时比较困难。我国的大部分企业都是处于这个阶段,只对审计问题仅定性的层面进行管理,对定量方面则没有相应的剖析,这样做会对风险管理审计的有效性带来一定的影响,甚至导致审计的无效,浪费了资源。而在对上市公司进行审计时,审计过程需要网上申报、审批与文件录入,必不可少的要用信息库对客户的信息进行存储与更新。
(四)组织机构的不完善问题
我国近几年经济的迅速发展,在审计流程的设计中不能够适应社会的发展需要,导致存在一些弊端,例如:大多数企业都存在组织机构不完善的问题,这一问题使得在岗人员对自身的职责不明确,风险承担主体也具有了模糊性,当发生问题时,各个部门之间就会相会推卸责任,无法高效的解决所发生的问题,这也间接反映了我国无法在企业风险管理上取得突破性进展,发展到战略高度。
(五)专业风险管理审计人员的缺乏
风险管理内部审计最基本的是在于审计人员,专业的审计人员是内部审计的重中之重,对于我国的审计发展相对起步晚,发展慢,企业风险管理审计人员需求远远不够,在这种情况下,各个企业为了满足政策要求,只能启用一些没有审计专业基本技能或没有相应的审计经验的人员,这些人员往往缺乏实践经验,自身的知识储备不能有效的运用到案例中,自身的工作能力较差,从而会对企业造成一定的损失。从我国现实的角度而言,企业聘请的注册会计师对企业本身的基本情况都不是太了解。所以,加强对风险管理审计人员修养与能力的提高将会对风险管理审计产生积极的作用。
二、文献综述
西方学者对风险管理审计做出了深入的研究,得出主要两个方面的作用:第一方面是在风险管理过程方面,A-UK and Ireland(2000)认为风险管理审计可以将风险管理与企业经济活动相结合;Allegrini(2004),他认为通过进行风险管理审计可以使企业了解自己在经济活动中的不确定性因素,从而合理地进行经济活动;第二个方面咨询服务方面,对于咨询服务来说,相关从业人员有责任与义务对企业提供相应的咨询活动,帮助其寻找解决方案。咨询服务对企业的影响表现的尤为突出,也是当今企业经营中面临的一个重要问题。
国内对于这方面的研究主要有以下三个方面:第一,风险管理与审计关系的研究:陈书丽(2005)认为,风险管理审计是以改善组织运营的一种保证活动与咨询服务;陈磊(2006)认为,就我国目前的审计行业现状来说,有这样一个趋势,就是要完全将企业审计与风险管理融合,对企业经济活动的不确定性做出预测,使企业的经济活动可以顺利进行。陈留平(2007)从审计管理角度着手,揭示内部审计的相关概念,对风险管理进行深入的思考。第二,存在的问题研究:杜鹏远(2000),指出审计人员自身素质存在问题,风险管理中缺乏独立性,审计人员结构体系不合理等。杨莉(2004)认为风险管理审计过程中相应的法规并不完善,没有对审计人员行为进行明确的规范。李晓春(2008)等人对我国审计风险管理工作的困难点与重要性进行分析且对我国在这方面的长远发展提出了有效的建议。李俊林(2009)分析了我国在这方面研究的现状及存在的主要问题,并且以此为基础,给予了我国实施风险导向内部审计的具体方案。第三,关于风险管理审计作用的研究,其中,张慧清的研究较为完善,她通过对有关公司数据的调查分析得出了风险管理审计对企业的长远发展有着极其重要的作用;李曼等人探讨了风险导向在风险管理审计中是如何实施的。综上所述,国外对企业风险审计的研究非常成熟,提出了许多有效的见解,但由于国内外企业所处的环境差异,我国对企业风险审计不能完全复制与照搬,而这个方面对于我国来说还属于新兴的事物,因此在某些方面的研究上仍存在着一定的争论。本文旨在对我国企业风险管理审计中的问题提出针对性的建议。
三、上市公司加强风险管理审计的必要性分析
目前,在我国企业风险管理审计的流程不够完善,对审计人员的专业性存在缺乏,这也使得我国企业风险管理审计的发展有更加广阔的发展趋势。同时,在这种复杂的背景下,同行业的竞争导致风险管理审计面临的问题更加的严峻,为了使上市公司能够稳定的进行经济活动,对上市公司进行风险管理审计研究是具有现实的意义。
(一)上市公司加强风险管理审计的必要性
1.应对风险日益增大的经营环境需要。企业在面对复杂的经济形势,要使企业生存和发展下去,就需要企业的技术水平与运营能力还有风险管理水平,随着企业经营环境的日益复杂化,经营的风险也很大程度的增加,如:国家的政策导向、对手的竞争以及法律的变化等都会导致经营风险,稍有不慎就会导致巨大的损失。
2.改善公司治理机制的需要。从我国审计行业的角度上分析,风险管理审计一方面能够让高层的管理人员通过审计管理制定更有效的方案来的防范出现的风险,另一方面可以使企业的股东能够深入了解审计风险,增强股东的投资信心。从而促使企业能够在复杂的环境中成功的运营,进而达到改善公司治理结构的目的。
3.企业风险管理的需要。随着我国市场经济的深入发展,企业对风险控制也越来越重视,企业在提升自身的管理水平,提高争实力,实现股东的最大化,风险管理审计是企业管理的关键,通过科学有效的方法来规避风险,提出可行性方案。
(二)加强风险管理审计优势
1.企业在进行风险管理审计能够有效的对可能出现的风险进行预测和初步判断,并对预测的风险产生一定的影响进行分析,大大的降低企业由于风险带来的危害,减少审计风险产生的危害。从而使得企业在经济活动中避免盲目性与无序性。
2.对于上市公司进行风险管理审计时,通过对同行业的竞争企业审计过程中出现的问题进行归纳总结来获取足够的经验与教训,在根据自身的风险有效的结合,制定出正确合理的解决方案。
四、强化我国上市公司风险管理审计的政策建议
(一)提高审计机构的独立性
当前我国审计管理现状存在一定的缺陷,需要对审计过程中存在的问题进行有针对性的解决,从而使风险管理审计工作能够有效的展开并发挥其重要的作用,就需要对审计机构的独立性进行完善,以下将从两个方面提出针对性建议:一是加强审计制度的建设,提高审计机构的独立性,如:把会计事务所的性质更改为行政事业单位,发挥其在审核经济实体的过程之中的强大力量,同时,有关部门应当采取相应措施,使企业与会计事务所的力量处于一种平衡机制;二是对审计机构的独立性进行完善,如:对会计事务所进行文化建设,增强从业人员职业基本素质,加强从业人员社会责任意识,提高审计人员的专业能力和实际的业务水平。在增强审计机构的独立性方面具有重要意义。一方面有利于增强我国审计行业的整体实力,另一方面对降低上市公司的审计风险,提高公司的竞争力。
(二)明确审计工作流程
风险管理审计的流程先是有固定的模式作为参考,但是没有对不同的客户个性化的业务流程进行设计,对于上市公司而言,经济活动对公司的影响具有较强的特殊性,审计人员仅仅使用一套较单一的流程运用在审计管理上会增加审计过程的繁琐性。因此,在对上市公司风险管理审计流程的优化方面有如下建议:
1.强调以客户为中心。
2.注重业务效率与风险管理。
3.借鉴而非照搬固定的工作流程模式。
4.为了使对公司的风险管理审计能够正常的进行,审计人员需要对被审计对象的相关特点进行充分的了解,并未其提供个性化的业务工作流程,以客户的需求为基本点,整合并优化各类资源,同时,做好市场定位并且以客户细分为基础设计流程;完善配套机制,改进风险管理审计中的各项管理体制;完善其岗位分配,使分工更加专业化,减少流程重复,把业务操作手续简单化;提高工作的质量和效率,改进业务管理方法。
(三)健全审计信息技术系统、优化公司内部审计组织机构
对上市公司进行风险管理审计充分利用强大的审计信息技术系统作为支撑,并利用强大的信息系统代替人工系统进行工作。随着技术的更新加快,研发的费用也相应的提高,所以在技术投入方面,每个会计师事务所都应该增加投资,建立强大的信息技术系统。与此同时,我国政府应该给予一些奖励政策来鼓励技术发展和创新,还应该引进国外的先进的高科技。在健全审计信息技术系统的同时,优化公司内部审计组织机构,建立健全相关制度,达到人岗匹配,使得在职人员的岗位职责明确,风险承担的主体清晰。
(四)提高审计人员素质、完善风险评估系统
随着我国市场经济的快速发展,中国的企业在全球的影响力也越来越大,这使得企业在国际的竞争中越来越具有挑战性。这也对我国的审计人员的素质提出了严格的要求。我国会计事务所机构要加强对审计人员的培训和引导。一般来说,注册会计师的素质包括很多方面,例如:技能、知识、性格、动机等要素,通过培训让注册会计师能够熟练的掌握技能和相关知识,也通过这种方式来相应的提高审计人员的业务水平,会计师事务所应该更加重视实质而不是重视形式。达到效率优先,重在实质的培训效果。并且对培训人员进行能力水平、性格相关的测试,来有针对性的进行制定培养方案,加强训练的力度,完善培训的内容。从而弥补会计师存在的问题,及时更新其知识储备。既要提高审计人员的素质也要完善风险评估系统,风险评估系统的完善有利于审计工作的有效开展,也有利于我国现行的风险评估系统的完善,弥补以前在风险评估系统中存在的不足,并且对未发生风险进行一定防御作用。利用计算机技术来对风险管理审计进行辅助,发散从业人员的思维,提高工作效率和质量,使得审计人员在工作中更加积极,有效的完成任务。对于企业的审计过程中,建立完善的信息系统和风险审计操作平台。
参考文献:
一、市政交通基本建设项目审计的主要内容
在具体的审计工作中,经常会发生基本建设项目审计与工程项目审计工作的混淆与错误理解。基本建设审计是财务会计专业。因此理清市政交通基本建设项目审计的主要内容不仅可以有效地区分两者之间的关系,而且可以为发现工程财务审计工作中的问题、优化审计工作提供精细化的方向。
1、项目开工前期的主要审计内容
开工前期的审计主要是对市政交通基本建设项目的项目建议书、可行性研究、审计任务书以及初步设计等方面的内容进行审计,并且出具相关审计证明。对于该阶段的审计工作,审计人员需要重点关注的是该项目是否列入地方政府或者部门的市政交通建设计划、相关一系列审批手续以及各项开支的合法性以及合规性(如项目资金是否按照规定存入专业银行等)、设计概算的编制是否合规(如有无少算、重算、漏算项目费用,材料、设备购置费是否真实、合理,计划列项的预留费用是否科学、合理等)。
2、项目施工阶段的主要审计内容
施工阶段审计质量的高低,直接影响着整个交通基本建设项目的质量安全以及项目资金使用的廉洁性程度。近几年频发的公路塌陷、大桥倒塌、市政交通建设资金使用明细不清等问题,都与施工阶段的项目审计质量有关。在项目施工阶段,审计人员的审计任务是复杂繁重的,主要目标就是要控制好内部机制,保证施工阶段管理的合理化、制度规范化,确保施工质量,把工程建设成本尽量降低,减少施工过程中的损失浪费。
审计内容主要包括对相关建设项目合同履行、控制情况的审查,检查被审计单位内控制度的建立及执行情况;每月进度款的支付财务审计人员,应审查是否有项目相关的建设单位、监理单位及造价咨询单位审核签字,是否与实际完成的工程量及合同清单确定的单价相符,防止提前支付,给项目业主带来资金压力和多发生利息支出,通过审查资金的支付是为更好地有计划安排资金。财务人员必须参与概预算和合同管理,若发生超出审批概算范围(除特殊项目外)或合同价款内容调整情况的,特别是要使用预备费用项目的,要进行合理性审查,是否超合同范围,保障资金支出要有完备的支撑资料及分部分项审批的控制流程的完整,财务审计人员也需要到现场实际调查审核是否存在虚列“影子”项目;根据施工进度,严格审查资金的使用权限和责任是否认真执行到位;对项目的建设单位、监理单位、造价咨询单位等各参建单位的履职情况以及延伸到相关单位的审计与监督;检查基本建设程序执行情况。对整个工程内部控制情况的审计与评价,对财务费用报销制度的执行情况,特别要重视审查费用是否正确归集;列入费用收支的延期竣工赔偿和提前竣工的奖励等的真实性审查;重视审计会计报表等工作,检查财务收支账目及工程造价经济资料审核后归档情况,以便将来出现问题后有备查资料可查而分清各自责任。
3、项目竣工后的主要审计内容
项目竣工后的审计工作属于市政交通基本建设工程的事后审计,涉及到合规、合法问题进行的事后审计,以及对项目的经济效益做出具体审查评价,工作内容多、任务量大。主要包括对竣工决算的审计、对概算执行情况的审计、对建设项目资金资产使用与结余情况的审计、对待摊投资的审计以及对交通基本建设项目经济效益的审计等工作。这些内容只是从大的框架上予以阐述的,实际上所包含的细节性工作还有很多,以资金管理审计为例。
一是审计项目建设资金来源、到位、使用及结余情况,是否存在超概算情况;二是审计工程进度拨款情况,要注意与对应的施工单位承包合同条款中的相关付款条款相对比,是否存在提前支付工程款项从而造成增加投资成本的现象;三是审计建设单位管理费用列支的真实性合法性合规性,审计时要特别关注是否存在不属于建设单位管理费用范围开支的部分也归纳入建设单位管理费,是否存在挤占挪用现象;四是审计建设期贷款及利息费用计取和分摊情况,大部分建设单位不是一笔贷款对应一个项目,而是存在项目间相互拆借,对多个项目共同使用同一笔贷款的情况,分摊的原则和计算是一个审计重点;五是审计征地拆迁补偿资金的使用情况。征地拆迁应先完整收集有关征地方面的会议纪要记录、合同及协议、审批手续等资料,完整收集确定评估价和补偿价的评估报告、评估计算书、补偿协议等相关资料,进行必要的市场调查,并且从资金流向、被补偿人情况、评估单位、拆迁单位等进行全面深入查证,根据资金流的走向来进行审计。六是勘察设计、监理、跟踪审核费用的相关单位的费用计取和支付情况,主要审计各类费用的计取依据是否合法、合规;支付是否按签订的合同付款条款进行支付。在审计过程中,做到宏观分析、微观查证。七是要做到文明审计,多与被审计单位沟通交流情况,掌握第一手真实情况,确保审计工作的质量。
二、市政交通基本建设项目审计中的共性问题
1、重事后审计,轻事中审计
近几年,交通部结合国家审计署的交通基本建设项目审计情况,就中标单位违规获利资金、套取挪用建设资金等情况进行了严格的处分,并强调要将这些问题遏制在萌芽阶段。这就内在的反映了项目审计事前与事中审计的重要性。实际上,我国交通基本建设项目的审计工作有着明显的事后审计特征,忽视项目的事中审计,导致资金使用情况、项目建设合规情况等可能出现的问题无法及时发现,给工程质量和工程资金使用均带来较大的安全隐患。需要注意的是,就事前审计而言,从其工作内容可以看出,主要包括各项审批程序的合规性以及概算的科学性上。由于处于项目初始阶段,其审计工作内容较后期审计简单,因此忽视项目事前审计工作的现象较为普遍。
2、审计操作不规范
从上述三阶段的内容描述可以看出,整个工程项目的审计内容较多,且相当繁琐。由于市政交通基本建设项目的审计持续时间长、投入资金多、审批手续复杂,所以对项目审计工作的规范性提出了很高的要求。一旦忽视了某个细小环节的规范性审计,将会给工程项目带来巨大损失。实务中,诸如审计样本选择不规范导致无法确定工程量清单是否准确,合同和补充协议审查的不规范导致与工程概算、招投标文件不一致,施工现场原材料、工程设备出厂证明、质检报告以及材料抽查结果审计的不规范导致工程项目质量无法保证,对各项审批材料以及资质的不规范审计导致项目资金流失等现象屡见不鲜。这些不规范的审计操作给交通基本建设项目的完成情况、预期带来的社会利益与经济效益等都造成了一定的影响。
3、没有充分发挥好审计力量
对于市政交通基本建设项目来说,审计在服务党委、政府宏观决策以及经济社会发展大局中都有着建设性的作用。审计内容涵盖了基本建设程序、工程建设管理、财务管理、征地拆迁、资金管理、工程招标等各项工作,单靠内部审计或者国家审计的力量会削弱审计工作的建设性作用。在实际审计工作中,没有充分发挥好内部审计、国家审计以及社会审计的作用,而是多依靠内部审计以及国家审计的作用。即使社会审计机构参与到项目的审计过程中,由于受到各方面权限的限制,不能“大显身手”,只是就一些重点、难点审计环节提供辅的工作。在这种情况下,审计效率和效果都受到了较大的影响。
三、加强市政交通基本建设项目审计质量
1、审计全过程精细化管理
要想使得跟踪审计真正发挥作用,必须实现项目审计全过程的精细化管理。精细化管理与规范化管理是相辅相成的,两者在加强市政交通基本建设项目审计质量中是交叉性的发挥作用的,相关审计部门要就整个审计流程形成一个整体的规范性框架。比如,统一明确项目的审计目标、审计范围与内容、审计关键环节、时间安排;统一审计通知书、工作底稿、审计通报、阶段性审计报告等文书的格式与使用条件;统一审计质量符合程序等。在此基础上,将每一环节所涉及的工作予以细分,对细分的项目在进行规范化地管理。当然,不同的交通建设项目都有自身的特点,因此,规范化的要求是可以根据项目予以灵活调整,但不管哪种模式下的跟踪审计都需要有精细化的管理思想。
2、促进被审计单位严格内部控制,规范完善财务管理
通过相关工作我们发现,除了极个别单位、事项属于蓄意或人为造假、舞弊外,大多数审计出的不规范事项还是属于被审计单位、项目财务基础工作不完善、内部控制不严格所导致,如报销流程不清晰、合同审签、支付流程不完善等所导致。因此,在市政交通基本建设项目跟踪审计,要立足于自身审计工作的独立性角度,充分认识、研究被审计单位的内部控制设计是否合理、财务会计核算是否规范、财务工作是否完善等,通过与被审单位的工作沟通、交流,出具管理建议书,或者与被审计单位管理层、财务部门进行座谈,提供改进财务管理工作的建议,并就发现的典型事项,在当时可以交流的前提下进行沟通,以提升被审计单位财务管理水平,这样才能找准根源,对症下药,从根本上解决被审计单位类似问题的重复发生。
3、加强项目审计过程中的各方沟通
市政交通基本建设项目的人力、物力以及财力覆盖面广、耗时长,加之跟踪审计需要及时、全面的信息予以支撑。因此,要加强项目审计过程中各方面的沟通。一方面,沟通主体要全面,不仅仅是内部审计、国家审计以及社会审计各个审计部门内部的沟通,还要注意三者之间的信息沟通,同时要注意三方审计部门与承包方、施工方之间的信息沟通。另一方面,沟通方式上的便捷性以及及时性,比如,审计机构可以通过电话会议、视频会议等方式就简单问题进行及时沟通,通过聊天软件和通讯软件进行实时互动等。
4、整合内外审计资源,创新审计模式与审计组织
市政交通基本建设项目审计内容多且复杂,要想实现全过程的跟踪审计,就需要发动一切可利用的内外部审计资源,将审计监督的关口前移,严格执行各个阶段的审计工作。建议充分利用内部审计、国家审计以及社会审计的力量,就市政交通基本建设项目的跟踪审计制度,建立创新性的审计模式以及审计组织。以项目审计资金为主线、基准点,为内部审计、国家审计以及社会审计提供项目开展全过程审计的平台,形成“分工合作、层层审计”的模式,对项目各个阶段的施工状况以及政府的投资状况,进行及时有效地跟踪监督。在审计组织上,一方面以市政交通建设主管部门内部审计机构作为实施审计的主体,结合社会审计力量对其所管辖的普通路网项目实施全过程跟踪审计;另一方面由国家审计机关结合内部审计与社会审计力量对政府投资的市政交通工程等政府投资的重大项目进行全过程跟踪。
5、充分利用互联网,提高项目审计的经济、社会效益
各审计部门应以互联网为依托平台,首先,将项目的各阶段报表数据传到跟踪审计控制单位,让审计单位第一时间掌握项目情况,发现偏差及时纠正。建立大数据库,要求建立定期报送机制。在适当周期下的定期报送可以解决及时性和追溯性,同时避免因数据获取而耽误审计项目进展。其次,以制度规范配合审计工作。用制度来约束被审计单位及相关企业、机关对审计工作的配合,一定程度上保障审计获取数据的真实性、完整性。最后,建立专业数据分析团队以有效整合数据分析,找出项目审计中出现的问题和解决的方法。要着力树立大局意识,有效整合资源、形成合力,建立多部门、多系统、跨行业的大数据审计资源,从而实现在组织架构、现场管理、数据资源、信息传递等多方面的审计大协同作业。针对出现的问题建立相应的管控制度,提高控制效率,有效节约和控制成本,提高项目的经济性、社会性以及效益性。
【关键词】 信息系统审计 审计内容 审计方法
一、引言
相比于传统审计,信息系统审计(Information System Auditing)是审计领域中的一个新概念。目前,关于信息系统审计,学术界和业界均无通用的定义。美国信息系统审计权威专家Ron.A.Weber提出:信息系统审计可定义为通过一定的技术手段收集、分析证据,以对计算机系统是否能够保证资产安全、维护数据完整、实现组织目标以及高效利用资源进行评价的过程。日本通产情报协会作了如下定义:信息系统审计是指,为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场对以计算机为核心的信息系统进行综合检查和评价,并向信息系统审计对象的最高领导者提出问题与建议的一连串活动。国际信息系统审计和控制协会(ISACA)将其定义为:信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
针对以上观点,我们将其要点归纳如下:信息系统审计是审计师对以计算机为核心的信息系统,通过专业判断和评价,合理保证信息系统安全、稳定、有效,并向信息系统的高层管理者及使用者提供问题解决方案,以达到改善经营和为组织增加价值目的的一个过程。
二、信息系统审计的发展与现状
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计(EDP Electronic Data Processing)。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。
1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。
一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。
目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
三、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。
近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南――计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。
上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。
围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标――信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。
一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。
一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
四、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。
广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5―6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
五、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。
目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统――自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
企业管理流程信息化的过程中,会对原有的业务流程进行优化甚至重构。对原有手工流程的内控评价在信息化环境中可能不再适用。因此,广州地铁在信息系统审计中添加了对业务流程的内控评价――先对业务的内部控制情况进行评估,梳理并确定业务流程风险和关键控制点,再对照业务流程对系统的处理流程进行评价,确保信息系统审计评价的准确性。信息系统审计与业务内控审计相结合的方法还体现在对一个流程中未在信息系统实现的控制环节可以通过内控审计进行补充。实践表明,信息系统审计与业务内控审计相结合的方法在很大程度上提高了审计的全面性。
由于信息技术自身的特点,例如电子数据的不可视性,加之被审计单位信息系统内部控制方面可能存在缺陷以及信息系统审计人员在专业技术和职业道德方面亦不完美,信息系统审计风险客观存在。面对信息系统审计风险,需要审计人员通过深入调研,全面了解被审计系统的情况;需要培养专业人才,“以点带面”提升团队能力;结合企业发展情况,制定内部信息系统审计标准;利用审计软件,降低抽样风险,提高审计效率等多种措施,不断降低审计过程中的检查风险,提高审计质量。
【参考文献】
[1] Ron A.Weber,Information Systems Control and Audit,1st ed,NJ:Prentice Hall,1998.
[2] S. Anantha Sayana:The IS Audit Process[J].The ISACA Journal,2002(1).
[3] Craig S. Wright:The IT Regulatory and Standards Compliance Handbook:How to Survive Information Systems Audit and Assessments,1st ed,MA:Syngress, 2008.
[4] Robert E. Davis:Information Systems Auditing:The IS Audit Planning Process,3rd ed,2010.
[5] Jack J. Champlain:Auditing Information Systems[J].2nd ed,NJ:John Wiley&Sons,2003.
[6] 卢红柱:计算机信息系统审计的探索之路[J].审计研究,2006(增刊).
[7] 王进波、常卫:信息系统审计的发展与现状[J].财政监督,2008(4).
[8] 陈继初:信息系统审计在我国的现状及存在的问题[J].消费导刊,2008(12).
[9] 吴沁红:信息系统审计内容分析[J].财会研究,2008(10).
[10] 胡晓明:信息系统审计理论体系的构建[J].中国注册会计师,2006(6).
[11] 王艳、周剑:信息系统审计辨析[J].图书情报工作,2004(48).
[12] 田佳林:信息系统审计简述[J].财政监督,2008(4).
[13] 陈婉玲、杨文杰:COBIT及其在信息系统控制与审计中的应用[J].审计研究,2006(增刊).
[14] 赵静:COBIT框架在IT审计中的应用[J].中国内部审计,2009(12).
[15] 张妍:信息系统审计方法研究[J].审计月刊,2010(11).
[16] 刘杰、罗继荣:信息系统审计质量控制准则研究[J].财会通讯,2011(5).
[17] 王振武、张子瑾:信息系统审计理论结构框架研究[J].会计之友,2011(7).
会计学是一门操作性、实践应用性极强的学科,围绕独立院校人才培养目标,实践性教学就成为会计学科教学不可缺甚至无法跳过去的重要环节。为此,独立院校必须坚持理论教学与实践教学相结合的原则。将实践教学有机的融入到理论教学中。提高学生学以致用的能力。实践教学的主要目标是培养学生技术应用能力,离开了实践,什么技能、技巧、运用能力、操作能力等都无从谈起。
面对新的会计环境,必须高度重视会计专业的实践性教学,加强专业技能训练,加大实践性教学的课时比重,边教边学边做,使每一个学生都掌握多个职业、若干工作岗位所需的本领。根据社会实际工作对专业人员的职业能力的要求,独立院校应整合会计实践教学体系,建立单项技能训练与分岗综合实训相结合、校内教学与社会服务相结合的实践教学新体系,夯实会计职业能力。将实践教学环节的功能发挥到最佳效果。以完成应用型人才培养的目标与宗旨。为此,我们应将会计实践教学分为认识实习、单项实训、分岗综合实训、毕业实习四个循序渐进、相互依存的部分。
一、认识实习,重内涵
首先,由专业教师进行实习动员,激发同学们热爱会计这个职业。其次,外出参观制造企业、商品流通企业、物业管理企业等,使同学们了解各类型企业的生产经营特点、工艺流程、资金循环、企业组织结构和内部制度,为后续专业基础课和专业课奠定良好的基础。再次,还可以聘请专家举办讲座,让同学们全面了解会计的内涵,树立做会计职业人的目标。
二、单项实训,重基础
会计单项技能训练,可细分企业会计核算及投资理财等主要技能,根据培养计划将会计单项技能分散到会计基础课程和专业课程的实践教学中,其中核心的实践课程集中一周或两周专门训练,其余的可穿插在相关专业课程中。
1、初级财务会计手工实训
通过实训,学生能规范地书写阿拉伯数字、中文大写数字、汉字;熟悉各种原始凭证、记账凭证的基本要素、各种账页、报表的格式与用途;掌握会计凭证的填制和审核方法、传递程序、整理与装订;掌握账簿的启用、建立、登记、更正、结账、对账等方法;熟悉会计报表的格式、内容,掌握会计报表的编制方法;熟悉并掌握会计流程;掌握简单会计业务的处理。为学习专业会计和综合实训打基础。
2、中级财务会计实训
通过模拟实践的学习和实际操作,使学生能够较系统、全面地掌握企业会计核算的基本程序和具体方法;熟悉各类会计业务,加强学生对财务会计基本理论的理解、对会计基本方法的运用及对会计基本技能的进一步训练;加深学生对会计工作的认识。为综合实训及今后从事会计工作打下坚实的基础。
3、成本会计实训
使学生了解制造业的生产特点、工艺流程;掌握制造业的成本费用账户设置原则,生产费用的归集和分配方法,计算技巧;熟悉品种法、分批法、分步法的具体计算程序,结转方法、会计处理,多种方法的综合运用。具备成本会计的能力要求,为综合实训打好基础。
4、税法实训
通过实训,使学生能够理论联系实际,对各税种的具体应用有一个系统的、全面的认识。掌握增值税、营业税、企业所得税、个人所得税、城市建设维护税、资源税、城镇土地使用税、房产税、车船使用税、印花税等税费的申报。将学生所学的税法知识转化为税收实务的基本操作技能,为学生全面掌握税法知识、为综合实训打基础打下坚实的基础。
5、财务管理实训
以案例贯穿整个环节,学习、运用典型案例。掌握资金筹集方式;杠杆原理的运用;投资的预测与决策,资金的营运;收入的管理和分配政策;财务预算的编制方法、控制方法、考核方法、分析方法。具备财务管理工作能力,为综合实训打基础。
6、审计实训
选用中外资本市场上审计成功与失败的案例。从案例中吸取精髓,掌握审计的程序、方法、技术;内部控制与审计风险,审计证据与审计质量;审计工作底稿与审计报告。具备审计的工作能力,为综合实训打基础。实践课程如表1所示。
三、分岗综合实训,重岗位
1、分岗模拟综合实训
会计分岗模拟综合实训是在会计相关专业课程结束之后进行的独立开设的会计专业实践性课程,其目的是让学生通过手工(计算机)操作手段,对模拟会计资料进行分岗位综合实训,增强对会计专业知识的理解和感性认识,提高会计业务综合处理能力,树立分工协作意识和培养良好的会计人员职业道德;使学生系统地掌握企业会计核算的全过程,熟悉会计内部控制制度及各财务岗位责任制度,从而提高会计业务综合实践能力。
在会计分岗综合实训过程中,以企业真实情况为背景,以典型经济业务为主线,通过从建账到日常会计核算、期末会计事项处理,再到编制财务会计报告全过程的模拟操作,按岗位设置职能,按职能安排实训流程,学生模拟企业中会计人员的人事安排和实务传递,能够亲身体验会计主管、稽核、出纳、会计核算等各会计工作岗位之间的业务传递及内部控制环节,更接近于财务的实际操作。以此补充理论教学上没有讲到的实践方面的知识和技能。主要培养学生会计岗位职业能力。
2、分岗实岗综合实训
学生到校外实训基地实训,主要了解企业生产经营的主要流程,企业各个部门(生产、供应、销售等)与财务工作的相互联系与协作,真正感受会计实岗的财务工作流程和财务技能。
1.西方内审大多数侧重内部控制和流程审计,所以出具的审计报告往往篇幅很长(熟悉美国公司的人都知道,老美很能“说”),但具体差错例证较少,对财务报表的影响也相对间接。
2.而中国的内审工作按照管理层的要求比较多样化,对财务报表的审核非常严苛,对费用及销售渠道的合规性审计也很详尽,审计报告有充分的差错例证支持,与财务相关的审计发现也有量化的财务影响。
造成中西审计方法差别的原因是什么呢?
结论之一是西方国家的公司治理已经规范化,而且业务增长慢,95%的业务都可能是重复性的同质业务,新业务不多,外加高等教育普及,公司里绝大多数人对规章制度的理解和执行处在同一水平上,因此审计的重点是看这些规章制度是否合理合法,业务流程有没有按照规章制度来。 而中国仍然在高速发展,市场变化日新月异,对公司操作流程的发展演进要求很高,公司流程3年不更新就会不适应管理需求。
另外,中国各地教育水平差别较大,不同年龄层次的员工对管理制度的理解力和执行力不同,很难用统一的流程规范来约束所有的公司行为。有审计师会发现,在审计中,经常在花费九牛二虎的力气了解公司流程之后,开始做穿行测试和样本测试,却又发现了更多书面没有的操作流程和方法,一问又都是允许的。所以,在中国完全依赖流程审计很难行得通,更多的需要大量的实质性审计程序来了解业务和发现问题。
当然,至于说文化冲突、水土不服却对其影响不大。所谓的水土不服很多时候是由于沟通不畅造成的,不是审计师的沟通技巧有问题,就是英语水平有问题。排除这些因素后,基本的审计效率还是可以保证的。
撇开沟通层面的因素,在具体的企业治理上,各国公司还是有一定的层次差异的。
1.西方发达国家
比如日本和澳洲,企业和员工遵纪守法的观念最强,对内审的工作比较配合,内审工作会比较顺畅,较少会发现严重的问题,有不少审计发现是因为人头紧张而导致的内控疏忽,但也不常会造成严重的财务后果。有时也会查出合规性问题,但往往是因为公司内部非常严格的规定(比如不能送客户超过价值XX美元的礼物等)在当地还没有得到贯彻所造成的。很少有真正严重的合规性问题会在内审过程中发现。
2.发展中国家和地区
比如韩国,新加坡,香港台湾,因为国家小法规相对简易,企业层面的违法风险比较低,但员工诚信问题也经常存在。在新加坡、香港和韩国发现的报销违规的人,不乏年收入10万美元以上的中高层,所以报销诚信的问题和个人经济水平关联度不大。
在这些地区,企业后勤管理人员(比如财务和人事)会尽可能撇清自己的责任,外表上清高不易接近,实质是非常的胆小怕事,估计是因为这种小地方找工作实在不易,好不容易有个位子先把自己保护牢。审计时只要保持自己较高水平的职业素养和严谨的沟通,不被他们抓住不够professional的小辫子,审计还是能够顺畅进行,他们该怎么配合还得怎么配合,发现审计问题也会仔细纠正。以前有人说这些国家的公司治理比中国高很多,所以内审也发现不了什么大问题。但只要认真仔细的查,他们的问题一样不比中国的少。
3.印度
之所以把印度和中国分开说,实在因为这两个国家和其他国家相比太特殊了。印度自称为“Incredible India”。Incredible(不可思议的,难以置信的,惊人的)这个词被希望从正面理解,但印度社会的现实往往让外来者作出反向的解释Incredibly(低效,狡辩,缺乏诚信)。
去过孟买的人都知道国际机场往市区方向在修轻轨,这条轻轨的完工进度终于从09年的40%爬升到13年的70%,用爬一点也不为过。但工程留给社会的是拥堵不堪的街道和肮脏的环境。而这仅仅是印度诸多Incredible的一个缩影。就算是这样,南印度的人(孟买所在)总是嘲笑北印度(首都新德里所在)的人是多么的低效和懒惰,实在让旁观者无言以对。
体现在公司治理上,很多人会说印度成本低。印度的公司管理成本其实并不低,他们仅有中国2/3水平的工人收入,但看不到的是他们要2个工人才能做中国1个工人作的活。外加极度官僚的政府和复杂的税务体系,还有欠钱不还的信用陷阱,能在印度赚到钱的外国公司少之又少。审计师需要花比其他地方更多的精力来和管理层沟通了解事项,发现审计问题后,管理层找借口夸夸其谈的本事要远超其他国家的人,解决问题更是会一拖再拖。
4.中国
中国近100年来对于西方资本都是一个难以抗拒的诱惑。这里有听话的员工,庞大的市场。这些基本要素100年来从来没有变过,可以预期的将来也不会变,这也让中国成为第二个综合水平最像美国的国家。另外,民族的高度统一和巨大的人口数量让这个国家有着比美国深远的多的潜力。
公司治理上,中国公司的体量较大,业务复杂而又多变,各种问题花样百出,给内部审计提供了广阔的舞台。
【关键词】 传统风险导向审计 现代风险导向审计 风险评估策略 审计风险
Comparing on the Tactics of Risk Assessment of Traditional Risk-based Audit and Modern Risk-based Audit
Abstract: Traditional Risk-based Audit and Modern Risk-based Audit are the two phases that Risk-based Audit has evolved. tactics of risk assessment of Traditional Risk-based Audit and Modern Risk-based Audit differ from each other while they still have some similarities. This paper does the Comparion on the Tactics of Risk Assessment from the following four aspects: orientation of risk assessment, extent of risk assessment, procedures of risk assessment and methods of risk assessment.
Keywords: Traditional Risk-based Audit Modern Risk-based Audit
Tactics of Risk Assessment Audit risk
一、引言
传统风险导向审计和现代风险导向审计是风险导向审计模式发展的两个不同阶段。传统风险导向审计和现代风险导向审计均以风险评估为起点,同时都将风险与控制方法贯穿运用于审计全过程,使审计过程成为一个不断克服和降低审计风险的过程。因此传统风险导向审计和现代风险导向审计两种审计模式在风险评估策略上存在一定的相同之处,但同时更多地体现出了差异。鉴于两种审计模式的风险评估策略较易被混淆,本文拟对两种审计模式的风险评估策略作一比较,对两者差异加以初步探讨。 二、传统风险导向审计和现代风险导向审计涵义
(一)传统风险导向审计 传统风险导向审计也称为控制风险导向审计[1]。审计模式 发展到传统风险导向审计的标志性事件是AICPA在1983年了第47号《审计准则公告》(SAS No.47)——“审计业务中的审计风险和重要性”,首次提出了审计风险模型。传统风险导向审计是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法(账项导向审计和制度导向审计)之中,进而获取审计证据,形成审计结论的一种审计取证模式。传统风险导向审计的基本程序并没有脱离制度导向审计模式,但它在制度导向审计模式的基础上更加注重风险评估和风险管理。针对制度导向审计不直接处理审计风险,不能对审计风险进行量化的缺点,传统风险导向审计引入审计风险模型,通过该模型将从各种渠道所收集的证据联系了起来,并在此基础上对审计风险进行定量评估,将审计资源相对合理的分配到高风险领域。 (二)现代风险导向审计
现代风险导向审计也称为经营(商业)风险导向审计、风险基础战略系统审计。1997 年,Bell 和 Frank 发表了名为《通过战略系统的视角对组织进行审计》的研究报告,首次提出了毕马威的BMP 审计模式,这标志着现代风险导向审计的产生。现代风险导向审计是审计技术方法在系统和战略管理理论基础上的重大创新,它以被审计单位的战略经营风险为导向,通过“战略分析——流程分析——经营业绩评价——财务报表剩余风险分析”的基本思路,将报表重大错报风险和经营风险联系了起来,从而提出了审计师从源头分析和发现会计报表错报的观念[2]。现代风险导向审计针对传统风险导向审
计风险评估不到位,未能有效发现高风险审计领域,造成审计过量或审计不足的缺点,大大加强了风险评估程序,做到了以风险评估中心,真正体现了风险导向审计的理念。
2003年10月国际审计和保证准则委员会(IAASB)了国际审计准则第315号( ISA 315) “了解被审计单位及其环境并评估重大错报风险”,将传统风险导向审计下的审计风险模型修改为:审计风险=重大错报风险×检查风险,明确规定了审计工作以评估财务报表重大错报风险作为新的起点和导向。这就导致了实务中普遍运用的现代风险导向审计在审计风险模型和审计具体风险导向等上和准则规定产生了一定的差异。鉴于这一点,特别指出本文所称的现代风险导向审计是指国际会计师事务所在实务中运用的以战略经营风险为导向的现代风险导向审计。 二、传统风险导向审计和现代风险导向审计风险评估策略比较
风险评估是指对审计风险的评估。美国注册会计师协会(AICPA)认为审计风险是指审计人员对于存在重大错报的财务报表未能适当发表意见的风险[3]。风险评估的目标就是确定
高风险环节,从而确定审计的范围和重点,并进一步确定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。策略,是根据形势发展而制定的行动方针和方法。借鉴中注协(1997)对审计策略的定义,笔者将风险评估策略定义为审计人员根据确定的风险评估范围,选择能够达到风险评估目标而应当实施的最有效风险评估程序的基本思路、组织方式和具体方法。在本文中,笔者从风险评估导向、风险评估范围、风险评估程序、以及风险评估具体方法四个方面来比较两种审计模式的风险评估策略。
(一)风险评估导向
虽然国际审计准则规定,在传统风险导向审计下审计人员首先应当对财务报表整体层次和交易类别、账户余额认定层次的固有风险进行评估,但由于固有风险和控制风险都受内外部环境的,两者很难区分,因此审计人员通常难以对固有风险单独做出准确评估。又鉴于稳健性原则的考虑,实务中审计人员往往将固有风险简单地确定为高水平,从而将风险评估重点锁定在控制风险上。因此在实务中,传统风险导向审计实际上是以对控制风险进行的评估为切入点的,所以传统风险导向审计是以控制风险为导向的。
现代风险导向审计强调:审计人员的审计风险[i]主要来源于企业财务报表的错报风险,而企业财务报表的错报风险则主要来源于整个企业的战略管理风险和经营活动风险[4]。所以要充
分理解审计风险,审计人员就必须从企业的战略分析入手,充分识别企业内、外部风险并理解内外部风险对财务报表认定的影响。因此,现代风险导向审计并不直接从对固有风险的评估入手,而是间接地以被审计单位的战略经营风险为导向,通过综合评估战略经营风险从而确定财务报表剩余风险,并进一步确定实质性测试的范围、时间和程序。因此,现代风险导向审计是以战略经营风险为导向的。 (二)风险评估范围
在实务中运用传统风险导向审计时,审计人员往往忽略对固有风险的准确评估,而将固有风险简单地确定为高水平。因此在传统风险导向审计下审计人员往往不注重从宏观层面上了解企业及其环境(如行业状况、监管环境;企业的性质;企业的目标、战略、以及可能导致会计报表重大错报的相关经营风险;对企业财务业绩的衡量和评价)[5],而只关注企业的内部
控制。因此,在传统风险导向审计方法下,审计人员实际上只仅仅依赖对控制风险所作的粗放型评估来直接、大致确定检查风险水平。
现代风险导向审计要比传统风险导向审计站得更高,看得更远,对企业了解得更透。它将被审计单位置于广泛的系统中,认为有效的审计需要对企业所处的宏观经济环境和行业环境、战略目标和措施、影响企业目标实现的主要业务活动和关键经营环节以及剩余风险进行深入的了解。在现代风险导向审计下审计风险仍然由固有风险、控制风险和检查风险三要素组成,审计人员也同样要对固有风险和控制风险进行评估。但是相比传统风险导向审计,现代风险导向审计下“固有风险”的内涵扩大了,除了包括会计报表项目本身的风险外,更多地考虑了企业的经营风险。而且在现代风险导向审计下,企业内部控制已经发展到内部控制框架阶段,并有被企业全面风险管理框架取代的趋势,相比传统风险导向审计下的内部控制结构概念,现代风险导向审计下对控制风险进行评估时考虑的因素则更加全面了。
(三)风险评估程序 传统风险导向审计风险评估的基本程序可表示为:固有风险评估了解被审计单位的内部控制结构控制风险初步评估控制测试(可选)控制风险综合评估确定检查风险。审计人员在对固有风险进行评估时主要考虑以下因素:管理人员的品行、能力、变动情况和遭受异常压力的情况;客户业务特征;关联方;非常规交易;以前审计结果等。但由于种种原因,实务中审计人员往往忽略对固有风险的准确评估,通常的做法是将固有风险简单地确定为高水平,而将风险评估的重点放在控制风险上。审计人员在对被审计单位的内部控制进行了解时,首先从控制环境入手,再对制度和控制程序进行分析。分析控制环境时主要考虑以下因素:管理和经营作风;组织机构;董事会及审计委员会职能;人事政策和程序;确定职权和责任的等。然后审计人员基于当前对内控的了解对控制风险水平进行初步评估(计划估计水平)。如果审计人员将某一控制的控制风险初步评估为最高值,则对该控制不需执行控制测试而直接进入实质性测试阶段;但如果审计人员将某一控制的控制风险评估为低于最高值时,则就需要对该控制执行控制测试,从而来获取证据以支持低于最高值的风险水平。控制测试完成以后,审计人员对被测试控制的控制风险进行再次评估(最终估计水平),并根据最终估计水平来决定相应的检查风险水平。 风险导向审计风险评估的基本程序可用下图表示。如图所示(由于不能粘贴,此处图略),审计人员首先需要对客户的战略进行分析,分析时需要对客户的内外部环境进行了解,包括客户行业状况、监管环境以及其他外部因素(宏观环境等);被审计单位的目标、战略以及面临的经营风险;对威胁企业战略的风险做出的反应等。对客户的战略进行分析后即可对战略风险做出评估。现代风险导向审计下内部控制被分为管理控制(战略控制、高层控制)和流程控制(一般控制、员工控制)[6],在对 客户的战略进行分析时同时要对战略控制进行了解并进行评价。然后审计人员对客户的流程进行分析,分析时可从流程目标、投入、作业、交易类型、威胁流程目标的风险等八个维度来了解流程情况[7]。通过流程分析可
以了解客户创造价值的方式、竞争优势及劣势、威胁,从而来评估流程经营风险。在对客户的流程进行分析时同时要对流程控制进行了解并进行评价。在对战略经营风险和流程经营风险进行评估时特别要注重对舞弊风险的评估。然后在此基础上来对固有风险进行初步评估,在评估时除了要重点考虑经营风险可能引起的重大错报之外,还要考虑其他可能引起重大错报的因素(管理当局遭受的异常压力等)。审计人员在对客户的战略和流程进行分析时已经从企业整体层次对内部控制进行了了解(战略控制和流程控制)并做了评价,在这个基础上还要对内部控制的其他方面进行了解并给予评价,特别是要关注有关交易重要类别的控制。基于对内部控制充分的了解,审计人员然后对控制风险进行初步评估。由于固有风险和控制风险都受企业内外部环境的,两者之间存在着紧密的联系,因此审计人员在单独对固有风险、控制风险进行初步评估的基础上还须对两者进行综合评估,即固有风险和控制风险的联合。对联合风险的评估是审计工作的核心,因为接下来其余的审计工作都要围绕联合风险来进行,联合风险的评估结果是审计人员决定实质性程序性质、时间以及范围的基础[8]。然后审计人员对 值得信赖的控制进一步执行控制测试,从而来获取支持其较低控制风险水平的证据。最后根据控制测试结果并结合联合风险评估水平,审计人员对会计报表重大错报风险进行综合评估,从而来确定会计报表剩余风险(即检查风险),并进一步决定实质性程序的性质、时间以及范围。 (四)风险评估具体方法 风险评估的方法主要有观察、检查、函证、询问、穿行测试、分析性程序等多种审计取证手法。虽然传统风险导向审计客观上要求大量使用分析性程序来进行风险评估,但由于实务中审计人员往往忽略对固有风险的准确评估,因此限制了分析性程序的运用范围。而且传统风险导向审计对于信急的再加工重视程度不够,分析性程序主要适用在报表分析上[9]。 而在现代风险导向审计下,风险评估以分析性程序为中心,分析性程序成为最重要的程序。而且随着分析性程序功能的不断扩大,分析性程序开始走向多样化,审计人员不仅对财务数据进行分析,同时也对非财务数据进行分析。由于分析性程序的多样化运用,大量的分析工具以及现代管理方法被运用到分析性程序中去。如在战略分析时审计人员运用了PSET分析和POPTER分析方法;在流程分析时运用到了价值链分析(VCA))和波士顿矩阵(BCG)以及SWOT分析方法;绩效分析时运用到了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术[10]。将分析工具运用到风险评估中 使得风险因素不再独立,而且风险评估不再是一元评估,而是多元评估,因此风险评估的结果将更加可靠。
三、结论
1. 风险评估导向不同:
虽然国际审计准则规定传统风险导向审计应以固有风险为切入点,但在实务中传统风险导向审计实际上是以控制风险为导向的;而现代风险导向审计则是以战略经营风险为导向的。
2. 风险评估范围不同:
审计人员在实务中运用传统风险导向审计时往往会忽略对固有风险的准确评估,只通过对控制风险所作的粗放型评估来决定实质性测试的性质、时间和范围;而现代风险导向审计下审计人员除了要对传统的固有风险,即会计报表项目本身的风险进行评估之外,更多地是要考虑企业的经营风险,特别是注重对舞弊风险的评估[11]。同时由于内部控制概念内涵的扩
大,审计人员在对控制风险进行评估时考虑的因素相比传统风险导向审计下更加全面了。
3. 风险评估程序不同: 相比传统风险导向审计,由于现代风险导向审计增加了对企业战略和经营流程的分析,以及对经营风险的评估,而且最后将固有风险和控制风险联合起来进行评估,因此在评估程序方面现代风险导向审计比传统风险导向审计更完善。由于现代风险导向审计对审计风险考虑的更全面了,所以在现代风险导向审计下能够更好的将会计报表剩余风险降低到可接受水平。 4. 风险评估具体方法重点不一样: 两种审计模式在风险评估时都运用了观察、检查、函证、询问、穿行测试等风险评估方法,但相比传统风险导向审计,现代风险导向审计更注重分析性程序的运用,做到了以分析性程序为中心。
________________________________________
[i]国际会计师事务所认为审计风险应该是广义的,即不仅包括审计过程的缺陷而导致审计结果与实际不相符而产生损失或责任风险,还包括客户经营失败而导致审计主体遭受损失或不利的可能性。
:
[1] 王泽霞.论风险导向审计创新[J].会计,2004(12): 49-54
[2] 谢荣,吴建友.现代风险导向审计研究与实务发展[J].会计研究,2004(14):47-51
[3] AICPA:professional Standards As of June 1,1992,AU.31
[4] 谢荣,吴建友.现代风险导向审计基本内涵分析[J].审计研究,2004(05):26-30
[5] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(14):58-63
[6] 郑朝晖.战略系统审计:财务数据之合理预期[J/OL].会计视野,2004 [2006-4-17] doc.esnai.com/showdoc.asp?docid=448&uchecked=true
[7] 王义华.BMP审计模式介绍[J].中国注册会计师,2005(06): 69-70
[8] Ernst&Young Global Audit Planning Toolkit 2004[M], 2004: 65-67
[9] 马贤明,郑朝晖.现代风险导向审计探讨[J].审计与经济研究,2005(01):9-13