时间:2022-06-24 10:36:19
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计内部控制,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着经济体制改革的深入,公司规模和经营范围逐步扩大,同行业之间的竞争也日趋激烈,公司面临的风险点也不断地发生变化,为了进一步完善公司管理规范而采取的措施方法更多,同时从内部控制与内部审计的二者关系上看,他们需要从公司内部制定出相互协调的有效措施,才能有助于通过内部审计的工作,降低公司经营管理风险,实现公司管理水平的持续提升。
【关键词】
加强内部审计与内部控制;实施风险导向控制
一、两者具有相同的理论基础和共同的最终目标
(一)两者具有相同的理论基础和共同的最终目标。
两者同属于委托人理论和信息管理经济学的理论范畴。在委托人理论关系中,投资者和经营者在公司的权、责、利等方面,存在不同的想法和观点。投资者为了集团利益,对经营者和中小股东利益保护不足,存在较大地偏差,所以就必须采取现代公司治理机制,来协调他们之间的关系,基于此制度而产生了内部控制。内部审计的监督服务职能,则有利于公司内部控制目标的实现,有利于化解公司风险管理,实现委托人对人的监督和绩效评价,是受托责任关系能够顺利实现的必要手段和保证机制,是为了降低管理风险,提升管理效率,实现对受托责任履行情况进行的检查和发展。
(二)公司的内部控制评估是开展内部审计工作的必要前提,监督与评价是内部控制的重要手段。
而内部审计是内部控制的重要组成部分。内部控制的完善程度及执行好坏的情况,直接影响到开展内部审计工作所采取程序和方法。内部审计部门要定期对内部控制制度的健全性及有效性进行监督与评估,寻找控制薄弱点和失控点,判断风险领域所在,同时确认审计工作重点内容,完善的内部控制是实施风险导向内部审计的前提条件。
(三)内部审计与内部控制是现代公司治理的不同形式、内在要求和手段。
健全的公司内部控制则有助于内部审计工作的顺利开展和实施,而内部审计是内部控制体系中不可或缺的组成部分,也是内部控制制度完善与改进的监督者。内部审计通过发现问题、分析问题发生的原因和影响程度,进而提出改进的措施,帮助高层管理者梳理、健全和完善公司制度,同时针对各环节提出整改建议和意见。
二、明确内部审计职责和权限范围,完善内部控制的相关措施,确保内部审计职责的实现
(一)明确内部审计职责和范围,规范内部审计机构的设置,彰显内部审计的独立性、权威性。
内部审计是单位内部从事审计业务的专门部门,是由所在部门或单位授权,代表部门或单位的利益开展审计业务,是该部门或单位的一个组成部分。具有以服务公司内部为其工作目的;具有相对的独立性;具有广泛的审查范围的特点。独立性是内部审计的灵魂,是内部审计能够充分发挥作用必备的内在条件。权威性是相关法律的保证,是保证审计独立性的必要条件,独立性是权威性的基础。在现代公司治理模式下,正是发挥了内部审计特点和职责,实现了对内部控制的监督与评价,只有保证内部审计的独立性和权威性,才能实现对内部控制的有效性进行监督检查与评价,才能实现内部审计在内部控制中的引领作用,才能确保内审人员规范作业程序,控制审计质量,认真履行岗位职责。
(二)内部审计与内部控制的有机结合,进一步强化风险管理的控制。
内部审计与内部控制都要主动参与评价风险管理全过程,揭示不利于公司可持续发展的问题和隐患,对问题进行分析和评估,为建立恰当的公司风险管理体系,为公司治理作出贡献。内部控制制度的制定,要有全局观念,从控制缺陷和控制盲点等领域,建立有效的风险信息反馈系统,在预防措施、消除风险、转嫁风险等方面,制定出有效的风险应对措施,使公司将面临的风险控制在最小范围之内,发挥内部审计的职责,使得内部审计成为内部控制有效屏障,因此,加强内部审计与内部控制的有机结合,在审计全过程中的各个环节上,应当准确识别相关风险是来自内部或外部及其影响程度,确保风险分析结果的准确性,是实现公司战略目标的保证,最终形成公司的可持续发展的竞争力。
(三)随着内部审计服务领域的延伸,为内部控制管理提供咨询管理服务。
现代公司竞争日趋激烈,公司的内外部经营环境不断变化,“査错纠弊”的内部审计的目标,常常处于事后的、被动的审计。故而要求内部审计的工作重点必须转向,针对管理、控制的全过程中的缺陷提供咨询和服务,不断完善改进内部管理过程,使得咨询管理服务成为内部审计工作的主流,由专业的内部审计人员多角度作全局统筹考虑,变事后审计为全过程审计,避免内部控制制度存在控制盲点,起到事半功倍的效果,促使公司各成员都能从自身业务的风险进行自我评价与自我控制,使风险管理成为各级人员的共同承担的责任,提供公司经营效率和效果,促进公司实现可持续发展战略。
作者:耿琴 单位:南京市中医院
参考文献:
一、构建内部控制审计模型
内部控制审计对象可以是整个企业内部控制体系,也可以是对某个业务域内部控制体系。开展内部控制审计对于内部控制更好地发挥其风险防控职能,实现企业战略具有重要的促进作用。考虑内部控制审计的专业性和具体业务的技术性,江西洪都航空工业集团公司构建了以业务域为划分的专业内控管理组,以目标为导向,以标准化控制为对标基础,以风险控制矩阵为工具,通过对内部控制管理情况自查、内部控制审计人员抽查、缺陷确认、缺陷整改等流程,实现内部控制改进目标。
内部控制审计工作模型
二、开展内部控制审计的主要做法
(一)统筹协同,开放共享,分层分类组织推进。
鉴于内部控制审计是对企业经营班子认定的内部控制体系的有效性进行审计并发表意见,公司内控审计明确受董事会所属内审委员会领导,审计部门牵头实施。
内部控制体系全层级覆盖了企业的全价值链各个经营环节,内部审计部门从人员到业务能力难以满足独立开展全体系内控审计工作的要求,因此,公司按照业务域成立专业风险内控管理工作组,实行内部控制分类管理,工作组负责专项风险内控管理的统筹规划和组织实施、检查、完善,组长由主管业务副总经理担任,常务副组长由相关业务主管副总师担任,成员由相关业务单位主管领导担任,各工作组下设该业务域跨部门专家组,在业务牵头单位组织下推进各专项业务的内控审计工作。开展内控审计期间,各专业风险内控管理工作组所属业务团队在根据审计部统一部署开展工作,为审计工作组提供专业支持。
(二)聚焦热点、找准关键,致力提升管控短板。
内部控制审计工作过程是对企业现有的内部控制系统的设计、实施及运行的结果进行调查、测试、分析、评价,进而对其内部控制管理状态作出审计结论的系统性活动;公司开展一次内部控制审计周期一般不超过三周,要在如此短暂的时间通过内部控制审计有效推进企业内部控制管理水平,难度很大;如何确定工作重点,使内部控制审计发挥最大的效益,成为一个需要深入思考,逐步解决的问题。我们的做法是,全面梳理企业核心业务流程,同时围绕组织战略明确中长期工作目标,通过目标牵引,制定中长期整体工作规划;在此基础上,聚焦企业当前热点、难点、焦点问题,分解工作规划,明确阶段性任务重点,以保证工作的重要性、及时性和持续性;通过集中力量解决当期关键业务短板,助推企业管理能力快速提升。为有效评价公司关键业务域内部控制设计与运行的有效性,及时发现内部控制中存在的缺陷并整改,持续提升公司风险防范能力和内部控制水平,保障公司持续健康发展,公司根据企业重点业务特点梳理出重要业务流程133条,重点业务范围包括:组织架构、战略规划、人力资源、股东权益、经营业绩考核与评价、采购业务、工程项目、销售业务、存货管理、财务管理等27项,明确实施内部控制评价要点及内容526处。2014年,公司在全面推进保障财报真实性、完整性内控审计的同时,重点围绕投资企业管理、采购管理业务开展内部控制审计业务,通过后期整改,基本实现了预期效果。
(三)开放视角,贴合实际,合理选用内控审计方法。
编制内控审计工作方案要合理选用内控审计工作推进方式。我们认为,当前内控审计常用推进方式一般有按业务过程检查评价审计、按部门检查评价审计两种。按业务过程检查评价审计,一般按业务域分工,依托业务流程逐步推进,全价值链排查,可有效避免部门间业务流内部控制的重叠和空白,但这个过程往往会涉及多个部门,组织不好容易出现多个审计工作组重复到同一部门开展工作的现象;以部门为中心的检查评价审计,工作效率相对较高,但由于一个部门往往涉及多个业务的多个过程,如果准备不充分、掌握不细致,容易发生重复或疏漏现象,这要求在审计工作组织阶段充分考虑到过程间的相关性,对内控审计各小组的内部沟通和配合提出较高的要求。
另外,内控审计还可按业务方向采取顺向追踪、逆向追溯工作方式。顺向追踪是按照内控体系过程的实施运行顺序进行审计的方式,从控制文件的内容查到实施情况,可以系统地了解业务控制设计的有效性,这种方式可以系统地了解内控体系的整个过程,查证跨部门接口及其协调性,但耗时较长;逆向追溯通过反方向审计内部控制设计和实施过程存在的问题,这种方式针对性强,工作效率高,容易发现当前业务核心矛盾,但可能导致审计评价结果不够全面。
公司开展内部控制审计业务期间,根据具体审计业务规模、周期要求等特点、结合对该业务了解程度,合理选用审计工作,科学编制内控审计工作方案;公司内控审计围绕业务链循序开展,通过工作组内部协调,避免对同一部门的长期进驻;在开展全面内控审计期间,对重点业务域采取顺向追踪审计,全面排查;对非重点业务域以顺向追踪抽查为主,同时围绕未完成KPI值及上年度发生相关风险事件实施逆向追溯审计,保证审计工作“性价比”最优。
(四)目标牵引,多维考量,科学判定内控缺陷标准。
评判内控缺陷标准设定是否合理是内部控制审计的重要工作之一,公司依托中航工业内控缺陷评价标准模板,围绕企业战略目标、经营目标的实现,结合公司实际,多维考量,努力推动内控缺陷标准设置最优化。
根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,尤其是当前航空城建设及企业制造能力转型升级期特点,研究确定了适用于本公司的内部控制缺陷具体认定标准,公司确定的内部控制缺陷认定标准:
财务报告内部控制缺陷认定标准
a.公司确定的财务报告内部控制缺陷评价的定量标准如下:
注:采取孰低原则作为缺陷的判断标准
b.公司确定的财务报告内部控制缺陷评价的定性标准如下:
非财务报告内部控制缺陷认定标准
a.公司确定的非财务报告内部控制缺陷评价的定量标准如下:
注:采取孰低原则作为缺陷的判断标准
b.公司确定的非财务报告内部控制缺陷评价的定性标准如下:
(五)对标梳理,多方验证,正确做出内控审计结论。
公司对标上级集团公司及行业内标杆企业参考国际内控控制相关准则,制定了相对完善的内控控制工作规范,开展内部控制审计期间,以风险管理为导向,对标工作规范,以制度、流程梳理为抓手,以重大风险应对、关键点控制为审计重点,逐级排查内部控制缺陷。由于在内控审计结论确认方面,基于财报的可量化缺陷相对容易得到认可,但基于非财报的内控缺陷中,对非财报内控设计有效性缺陷的认定,被审计方往往会东一条、西一点的从各个制度、流程、工作规范中抽取一些材料,以图支撑其内控有效的论点;同时由于难以量化,被审计方往往对内控缺陷等级认定也存在不同的理解,给内控审计结论的确定带来困难,为解决该工作难点,公司审计部一是借助各业务域专家组力量,弥补审计团队专业知识不足的缺陷,通过多角度充分论证大幅提升审计结论质量;二是强化审计人员客观意识,避免因脱离企业实际,忽视实际控制效果,过度强调内部控制系统化整合要求。
(六)循序整改,跟踪归零,保障实现内控审计目标。
积极落实内控缺陷审计整改,确保整改到位。公司对上一年度内控审计中发现的内控缺陷,制定整改计划,明确整改目标,布置整改任务及里程碑节点,落实责任人,跟踪整改进度,报告整改结果。并按期检查内控审计缺陷整改工作,对未完成重大重要缺陷整改工作的,逐级上报,说明原因,由审计部门组织考核打分,考核结果列入公司组织绩效考核体系一并奖惩。
(七)多方培养,双向交流,积极打造内控管理团队。
为了更好地开展内控审计工作,公司加强内审培训、内部研讨与交流,注重审计文化宣传,陶冶审计人员情操,加强内控审计工作机构和队伍建设。内控审计机构和人员是内控审计工作的基础,是审计主体责任的重要体现。公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力;鼓励风控岗位和业务岗位的双向交流,优化队伍结构,保障全面风险管理和内部控制工作的有效推进。同时在公司内控管理办公室的高度重视下,采取洪都大学堂、多媒体宣传、知识竞赛等多种形式,进行公司一级、二级培训,为各专业风险内控管理工作组、各业务单位培养风险内控管理专业人才;同时加大检查力度,对于发生重大风险事件的单位,反查其工作机构和队伍建设是否到位,落实相关领导责任,进而推动内控审计队伍建设,发挥相关业务人员工作效能。
(八)集成功能,健全系统,积极探索信息化审计工具。
公司自2013年起,研究建设风险内控(IC-ERM)信息系统,部分功能已逐步投入使用。IC-ERM信息系统在业务上遵循《企业内部控制评价指引》,在技术上基于流程引擎、表单引擎、文档引擎三大基础引擎,围绕“内控评价-缺陷分析-缺陷整改”评价过程,提供了对内控体系进行工作底稿自我测试、管理层测试、缺陷分析、缺陷跟踪等业务的全面监督,从不同角度自动产生统计和分析报告,并在系统初始化的业务规则基础上,提供了对签署流程、表单模板、表单底稿、文档模板进行灵活再定义的功能,在评价过程中不同签署环节,可借助业务建模、项目管理、访谈工具、缺陷识别等工具开展和落实评价工作,最终达到对企业内部控制和风险管理的有效监督。
2014年,公司主要运用该系统进行了固定资产投资业务域部分的内部控制审计,从工作结果看,借助IC-ERM信息系统不仅为内控审计工作提供了多样化的选择工具,由于IC-ERM信息系统实现了“零散信息集中化,概念信息具体化,时效信息控制化”的目标,大幅缩短了内控审计周期,提高了审计效率。当前,公司还正在为内控审计工作与信息化更加广泛的结合开展积极探索,不仅包括风险内控信息IC-ERM系统,还充分考虑和其他信息系统在内控审计的功能对接,如:公司流程管理信息系统(ARIS)是专门针对“流程设计”的梳理、展示平台,在内控审计管理工作中可以有效检验其设计是否有效;公司流程落地信息系统的开发是针对固定资产投资业务域全链条的线上执行,这种无纸化的线上运行可以充分检验业务执行是否有效。类似以上两个信息系统在公司内控审计中的应用还有很多,信息化不仅为日常办公提供了便利,更为审计部门在内控审计工作中检查业务的设计和执行有效性时提供了可靠的依据。
三、内部控制审计工作取得的成效
(一)企业管理水平和抗风险能力进一步提升。
近年来,通过内控审计推动,公司持续从战略绩效管理、财务管理、生产管理、人力资源管理等多方面强化管理,提升管理水平。在战略绩效管理方面,2014年,公司修改完善了177个绩效指标,2015年又新增绩效指标248个;在财务管理方面,公司全年节约费用8 000余万元;在生产管理方面,公司持续强化指令性计划管理,全年零件指令性计划完成率达99.61%;在管理创新方面,AOS生产制造模块试点工作稳步推进,精益改善项目取得积极成效;在2014年,公司内控审计共发现缺陷XX项,现均已整改完成,内部控制水平的提升无疑为各项管理成果的实现提供了保障。
(二)企业阶段性经营目标顺利实现,经济效益显著。
公司紧紧抓住经营目标,统筹做好科研生产经营各项工作,圆满完成了年度经营目标。营业收入同比增长14.8%,工业总产值同比增长54.31%,工业增加值同比增长13.31%,利润总额同比增加1 589万元。内部控制审计是企业目标实现的助推器,为企业战略目标的实现保驾护航。
(三)助推培养了一批管理人才,促进营造良好风险内控文化氛围。
近年来,公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力。公司举办了多次风险内控知识培训,发表多篇风险内控文化宣传报导,从思想上、知识结构上培养一批风险意识强、业务缺陷辨别能力高的人才队伍,以风险内控方法查找内部控制中存在的问题,强化内控缺陷整改,达到提升内控管理水平的目的。
结语
根据国资委对中央企业开展内部控制评价工作的要求,江西洪都航空工业集团公司不断探索内部控制评价与内部控制审计工作,在实践中探索出内部控制自评价与对重点业务域开展内控审计相结合的工作模式,并建立和完善了内控审计的工作模版和评价标准等。通过几年实践,逐渐形成了通过内控审计,查找内控缺陷,开展缺陷整改,实现管理提升的管理模式,为企业发展提供了基础保障。
参考文献
[1]郝振平.coso委员会新版《内部控制整合框架》的主要内容和实施策略[J].Theory理论,2014.
[2]杨书怀.全面风险管理框架与内部控制整体框架的比较分析[J].财会通讯(学术版),2005,(11):13-15.
[3]吴水澎.萨班斯法案、COSO风险管理综合框架及其启示[J].学术问题研究(综合版),2006,(2):36-45.
[4]李连华.我国内部控制理论研究及其研究路线[J].财经论丛,2007,(6):63-69.
内容摘要:随着内部控制配套指引的出台,内部控制审计越来越被关注,内部报表审计与内部控制评价、财务报表审计内部控制评审之间的关系容易被混淆,论文重点分析以上几项之间的联系与区别,以便深入了解内部控制审计。
中图分类号:F270 文献标识码:A
内部控制在防范财务信息失真,预防重大的会计舞弊方面发挥着重要的作用。但是,任何一个好的制度都需要强有力的监督才能发挥积极有效的作用,才能对由此产生的财务信息的质量进行合理保证。所以利用注册会计师,对企业内部控制进行外部审计,出具合理保证的审计报告,已经成为全世界的共识。随着美国SOX法案(《萨班斯—奥克斯利法案》)的颁布,绝大部分国家都意识到了内部控制审计的重要性。我国在2008年5月由财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,2010年4月,上述5部门又颁布了《企业内部控制审计指引》。
《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。注册会计师在执行内部控制审计工作中,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系,又有本质区别。弄清它们之间的关系,对于充分认识内部控制审计的独特作用,切实推进内部控制审计工作的开展,具有重要意义。
内部控制审计与内部控制评价之间的关系
内部控制评价是指由企业董事会或类似权利机构对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。董事会或类似权利机构通常指定内部审计部门为内部控制评价部门,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素的设计与运行情况进行全面评价,并指出控制缺陷包括设计缺陷和运行缺陷,形成内部控制自我评价报告。
企业董事会对内部控制自我评价报告的真实性和合法性负责,内部控制自我评估报告的真实性,是指内部控制自我评估报告是否如实反映了企业内部控制设计和执行的有效性;内部控制自我评估报告的合法性,是指内部控制自我评估报告的编制是否符合国家有关法律、规章的要求(吴秋生,2010)。
(一)内部控制审计与内部控制评价的区别
1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。
按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
2.性质不同。内部控制审计是企业外部对企业的内部控制审计,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价,通常情况,授权内部审计机构对企业内部控制进行评价,是一种相对独立的服务业务。
3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价,一方面,在评价的过程中可以发现企业内部控制缺陷,及时改善企业内部控制情况,进而提高企业经济效益;另一方面,投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营能力,从而为投资决策和正确行使相关权利提供资料依据。
4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照该指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成,两者之间不能够相互替代和免除(金灵,2011)。
5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价,而内部控制审计依据《企业内部控制审计指引》进行审计。
(二)内部控制审计与内部控制评价的联系
1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。
2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。
3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我评价工作进行评 估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻(王晓丽,2011)。
内部控制审计与财务报表审计中的内部控制评审之间的关系
财务报表审计中的内部控制评审,是指为编制审计计划能够准确确定审计重点和抽样规模提供可靠依据,进而进一步确定实施实质性程序的范围、性质,注册会计师在进行财务报表审计时应当首先了解审计单位内部控制,且出现下列两种情况时注册会计师应当对内部控制实施控制测试:
在评估认定层次重大错报风险时,预期控制的运行是有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。
(一)内部控制审计与财务报表审计中的内部控制评审的区别
1.直接目的不同。内部控制审计是出于管理方面的需求,从公司层面对企业整个内部控制系统尤其是财务报告内部控制进行全面的评价,以促进企业经营管理措施的实施及目标的实现,表现形式为对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见。而财务报表审计中的内部控制评审是为了满足审计方面的需要,评价那些可能对财务报表可靠性有重要影响的内部控制,判断其可依赖程度,从而合理确定审计程序,保证审计质量,提高审计效率。
2.性质不同。内部控制审计是一项独立的鉴证业务。而财务报表审计中的内部控制评审是财务报表审计工作中的一部分,一个重要的环节,而非单独的一项业务。
(二)内部控制审计与财务报表审计中的内部控制评审的联系
1.审计对象相同。内部控制审计与财务报表审计中的内部控制评审都要对与财务报告相关的内部控制进行审查,审查财务报告相关的内部控制设计的合理性,执行的有效性。
2.审计方法相似。针对相同的审计对象,内部控制审计与财务报表审计中的内部控制评审在审计方法上相似,都需要运用检查书面文件和记录、询问有关人员、穿行测试等方法。
正因为两者的相似点,现阶段内部控制审计与财务报表审计就内部控制的有效性的评价可以开展整合审计,即由同一会计师事务所的不同项目组执行同一委托单位的内部控制审计和财务报表审计,整合有利于注册会计师之间的沟通,方便协调各自的工作进度,互相借助对方的工作成果,可以大大加速审计时间,节约审计费用,降低审计成本,有利于促进内部控制审计顺利开展。当然在整合审计过程中,应同时实现如下的目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
一方面,注册会计师在进行财务报表审计中的内部控制评审时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。
另一方面,注册会计师提出内部控制有效性审计结论时,应考虑财务报表审计控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。注册会计师要充分利用财务报表审计中的内部控制评审结论,再进行补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价。
结论
综上所述,无论是内部控制审计还是内部控制评价及财务报表审计的内部控制评审,均是针对企业内部控制所做的评价。按照评价主体的不同,可以分为外部评价和内部评价。内部控制审计与财务报表审计的内部控制评审是外部审计,通常由企业以外的注册会计师完成;内部控制评价是是典型的内部审计,一般由企业内部审计人员对内部控制做具体评价,管理层审批生成内部控制自我评估。虽然不同主体对内部控制的评价在目标、范围、内容和程序等方面存在差异,但是他们有一个共同性,评价对象是企业的内部控制。
由此看来,内部控制对于企业而言是非常重要的,它直接影响企业生存的质量、长久生存的耐力及扩张力,合理设计并有效运行内部控制是现代企业的生存之道。由此,自然滋生出对内部控制设计是否合理、有无执行及执行是否有效内部控制评价系统。其中内部控制审计作为外部监督系统,对企业内部控制执行的合法性和有效性发表审计意见,提供合理的鉴证,对于企业外部信息使用者作出合理的判断和决策起到了非常重要的作用。
参考文献:
1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9)
2.杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].财务与会计,2010(10)
3.吴葳.内部控制审计研究[D].南京大学,2011
4.李锦.财务报告内部控制审计[D].浙江工商大学,2010
作者简介:
管理学(会计学)博士,东北财经大学会计学院教授,东北财经大学出版社社长、编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。财政部会计准则委员会咨询专家、中国注册会计师审计准则组专家。
一、内部控制与审计模式的演进
企业作为市场之外的一种契约形式,在组合资源、追求目标的过程中,存在着对内部控制的内在需求。而随着企业的演进以及所有权和经营权的日趋分离,作为问责机制一部分的财务报告及其审计制度应运而生。20世纪中叶,审计和内部控制的发展不断交织,进而互动和耦合,直接导致了制度基础审计模式的诞生。此后,内部控制逐渐确立了在审计中的地位,成为推动审计模式演变和探索审计理论与方法的重要因素之一。
(一)内部控制的引入与制度基础审计模式的确立
直到19世纪末期,独立审计的基本模式仍然是账项基础审计,即详细地验证账簿中记录的交易。后来随着股份有限公司的发展,企业的规模越来越大,经济交易越来越复杂繁多,使得全面、详细的测试变得不太可行。于是,就产生了选择性测试(抽样审计)。早期的选择性测试在抽取样本时,基本上是根据注册会计师的经验和认识进行判断性的抽样。
在20世纪前期近30年的发展过程中,审计职业界逐渐认识到根据对被审计单位内部控制的评价,来选择进行测试的领域和数量,不仅能够比判断性抽样更为科学、合理,而且能够显著地减少审计的工作量。此后,制度基础审计模式(或称内控导向审计)开始逐步确立,审计与内部控制的交织发展也拉开了序幕。
在制度基础审计模式从萌生到盛行的数十年中,随着审计的发展,审计职业界所界定的内部控制也在不断地发展。1936年,美国会计师协会[AIA,1957年更名为美国注册会计师协会(AICPA)]首次提出了内部控制的概念。随后,麦克森一罗宾斯等一系列事件的爆发,促使审计职业界广泛关注内部控制问题。在这种背景下,AIA审计程序委员会(CAP)下属的一个专门委员会于1949年发表了一份关于内部控制的研究报告,给内部控制下了一个当时广为认可的权威定义。
在此后近十年的审计实践中,职业界反映该定义过于宽泛,会导致审计工作量和责任的加大。于是,CAP于1958年10月了第29号审计程序公告“独立审计师评价内部控制的范围”,将内部控制划分为会计控制和管理控制;1963年12月的第33号审计程序公告“审计准则与程序(汇编)”进一步明确注册会计师主要关注会计控制;1972年11月的第54号审计程序公告“审计师对内部控制的研究与评价”,对会计控制和管理控制的定义进行了修订和充实,并被收入新成立的审计准则执行委员会(AudSEC)同月的第1号审计准则公告“审计准则与程序汇编”之中。
20世纪六七十年代爆发的大陆售货机等一系列事件,尤其是水门事件后1977年《反国外贿赂行为法案》的颁布,使内部控制的重要性得到前所未有的强调。同时,区分会计控制和管理控制的做法受到越来越广泛的质疑。为此,AICPA下设的审计准则委员会(ASB,1978年取代AudSEC)于1988年4月了第55号审计准则公告“财务报表审计中对内部控制的考虑”,放弃了会计控制与管理控制的划分,提出了由控制环境、会计系统和控制程序三个要素组成的内部控制结构的概念。
制度基础审计既是一种程序驱动型的审计模式,又是一种理论驱动型的审计模式。它基于内部控制能保证财务报告可靠性的基本假设来设计审计程序。当注册会计师拟信任被审计单位的内部控制时,首先针对内部控制制度的遵循情况进行符合性测试,然后根据符合性测试的结果确定实质性测试的性质、时间和范围。这样,内部控制实际上成了注册会计师设计审计程序、分配审计资源的指向标。毫无疑问,此时内部控制在审计模式中的地位是举足轻重的。
(二)内部控制在传统风险导向审计模式中实质上仍然处于核心地位
20世纪70年代的“诉讼爆炸”,使得审计职业界开始着重研究审计风险问题,而对审计风险模型的探索是其标志性活动。ASB于1981年6月的第39号审计准则公告“审计抽样”认为,审计风险由固有风险、控制风险、分析性复核风险和细节测试风险四个要素组成;1983年12月的第47号审计准则公告“实施审计工作中的审计风险和重要性”,将审计风险概括为固有风险、控制风险和检查风险三要素的乘积,成为通行的审计风险模型。一般认为,此时审计模式已经逐渐摆脱制度基础审计模式,开始进入风险导向审计模式,即根据对审计风险的评估,来确定审计程序的性质、时间和范围。
风险导向审计是一种理论驱动的审计模式,它从分析审计风险出发,根据注册会计师对被审计单位固有风险、控制风险的评估,结合预期的审计风险水平,来确定可按受的检查风险水平,并以此为基础设计审计程序、分配审计资源。但是早期,注册会计师的眼光仅仅放在审计业务本身的风险上,而且对固有风险的评估由于缺乏清晰的范围界定和明确的操作指引往往难以有效进行,实践中注册会计师往往不加评估就消极地将固有风险定为高水平,机械地套用审计风险模型。而从理论上讲针对财务报表整体的风险评估主要有赖于对固有风险的评估,这样就会使风险评估实质上仅仅针对交易、余额和列报等认定层次,造成风险评估和审计程序设计“只见树木、不见森林”的情形。同时忽略对固有风险影响因素(包括一些重要的环境、背景情况)的全面了解和对固有风险的评估,就很难把握住真正的高风险领域,从而使整个审计工作侧重局部、迷失方向。
应该说,三因素的审计风险模型在理论上是科学的。但是理论驱动的审计模式的一个缺点是容易与实践相脱节。从前文的分析中可以看出,在实际执行中真正关注的往往只有控制风险和检查风险两因素。这样,尽管审计模式不同,但是只不过是新瓶装旧酒,实质性的审计程序与制度基础审计没有本质区别。从这个角度看,有人将固有风险与控制环境挂钩,认为风险导向审计模式不过是转换了视角的内控导向审计,尽管有失偏颇,但是也并非完全没有道理。
而此时逐渐风行的分析性审计技术,尽管有助于从总体上把握一些重要的关联和趋势,但是它毕竟需要强大的基础数据作为支持,而且所获取的审计证据本身证明力较差。对分析
性复核的过分依赖和滥用,会从客观上抑减细节测试的范围和数量,最终影响审计质量。
因此,我们一般把早期的风险导向审计模式称为传统风险导向审计模式。它也因为上述缺陷和不足以及实践中频繁发生的审计失败事件而受到指责。
(三)在现代风险导向审计模式中,内部控制仍然起着不可替代的重要作用
20世纪八九十年代,由于诉讼风险和职业责任的加大,审计职业界开始把考虑风险的目光从审计业务风险本身扩充到被审计单位的经营风险,并由此引发了风险导向审计模式的升级换代。
国际领先的会计师事务所(主要是当时的“五大”)率先开展了对现代风险导向审计模式的探索,其中最为突出的是KPMG。KPMG的研究小组于1997年提出了以战略系统观组织审计的观点,并开发出了名为“经营计量过程”(BMP)的风险基础战略系统审计方法。几乎与此同时,安永开发了“经营环境分析技术”(BEAT),安达信开发了“经营导向审计”,PWC开发了“普华永道审计方法”,德勤开发了“AS/2”审计工具。而现代风险导向审计模式的最终确立则以IAASB于2003年底正式颁布首批审计风险准则为标志。
现代风险导向审计模式克服了传统模式的不足,着重强调注册会计师在充分了解被审计单位及其环境(包括所处的行业、法律和监管背景、单位的性质、目标、战略和经营风险,以及内部控制等)的基础上,从财务报表整体和认定两个层次上评估重大错报风险。然后针对评估的重大错报风险设计进一步审计程序,通过控制检查风险,最终将剩余风险控制在预期的审计风险水平上。
顺应这种思路上的转变,对审计风险模型进行了新的概括,即:审计风险=重大错报风险×检查风险。应该说,新模型立足于重大错报风险,回归了本原,突出了审计的根本目标:合理保证经审计的财务报表不存在重大错报。但是,新模型只是角度和思路的转换,并不是对三因素模型的否定。尤其是,它并不意味着摈弃对控制风险和内部控制的考虑。实际上,在风险评估程序中,对内部控制的了解是了解被审计单位及其环境的重要内容之一。而对内部控制的了解,也是决定进一步程序采取实质性方案还是综合性方案的直接依据。如果决定采取综合性方案,则先进行控制测试,根据控制测试的结果决定实质性程序的性质、时间和范围。显然,综合性方案下的进一步审计程序,实际上类似于内控导向审计。由于不拟信赖内部控制的情形毕竟是特例,加上在一些情况下仅仅依靠实质性程序并不能获取充分适当的审计证据,所以采用综合性方案是主流的和典型的。从这个角度看,内部控制即使在现代风险导向审计模式中,仍然起着不可替代的重要作用。当然,这与内部控制在防止财务报表重大错报方面的作用是分不开的。
(四)内部控制概念的整合与拓展及其对审计的影响
为了研究财务报告舞弊问题,AICPA等五个组织于1985年组建了Treadway委员会。该委员会于1987年专门成立了发起组织委员会(COSO),负责整合各种内部控制概念。COSO经过多年的研究,于1992年9月正式了著名的《内部控制整合框架》(1994年作出局部修订),提出了包括三个目标(经营的效率和有效性,财务报告的可靠性,对适用法律法规的遵循)、五个要素(控制环境,风险评估,控制活动,信息与沟通,监控)的三棱锥形框架。
随着这个框架被广泛接受,ASB于1995年12月了第78号审计准则公告“财务报表审计中对内部控制的考虑:对第55号审计准则公告的修订”,全面采用了该框架对内部控制的定义。目前,国际和主要西方国家的审计准则,金融监管机构的监管准则,乃至美国2002年SOX法案所提出的财务报告内部控制报告、证实与验证的要求,采用的都是这个框架。
内部控制概念的整合,有助于明确审计中所考虑的内部控制的概念和内容,使得对内部控制的了解和测试有了明确的指引,结束了长期以来尽管一直倚重内部控制、但是对其概念、范围和内容莫衷一是的尴尬。
二、审计实践中内部控制功能和作用的偏离
从前面的回顾与分析中不难看出,局部的抽样审计对比全面的详细审计而言,其减少工作数量的出发点是不言而喻的。而在这个过程中选择内部控制作为审计方法创新的核心,绝对是一个有重大意义的突破。内部控制能够防止财务报表的重大错报,因而以其作为设计审计程序、分配审计资源的依据,是科学、合理的。
但是在实践中,人们逐渐发现要想对内部控制进行评价和测试不但绝非易事,而且费时费力、成本高昂。对此,审计职业界主要采取了两个方面的“对策”:一是开发出一套了解内部控制和进行符合性测试的程序表,在审计工作中简单、消极地勾划表格(check thebox);二是开始探索分析性审计技术,希冀以某些关键指标、关联和趋势作为引导审计资源流向的标杆。尽管前者有助于逃避责任,后者有助于降低风险,但是总体上看,两者都是以牺牲审计质量为代价的。
审计失败的增多和诉讼风险的加大,导致了对审计风险模型的探索和传统风险导向审计的确立。密切关注和有效降低审计风险,能显著地提高审计质量。但是,评价固有风险的难度和工作量绝不亚于控制风险,就可能导致实践中消极地简化乃至放弃对固有风险的评价,即在审计模式上的“穿新鞋,走老路”。而制度基础审计模式下的两类对策,也会重新抬头。
此后,环境催生的现代风险导向审计模式直指审计的根本目标。但是这种引入经营风险考量、注重全面了解和评价重大错报风险的审计模式,显然有着加大审计难度和工作量的一面。而且,风险评估程序和控制测试程式化(例如表格化)以及突出强调分析程序等试图“挽救”审计质量的做法已经露出端倪,实在不能不令人忧虑这种理论驱动的审计模式在实践当中会不会走样。因此,尽管现代风险导向审计模式的确有重大改进和突破,而且目前对它的赞誉和推崇盛于一时,我们对于这种模式的前景和效果也只能持谨慎乐观的态度。
三、对新审计准则的相关解读与评论
前文以较大篇幅进行了历史回顾和理论分析,主要是希望为全面理解和科学评价新近颁布的相关审计准则提供一些理念上的支撑。
新颁布的《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》中,对风险评估程序中了解被审计单位内部控制的规定十分详尽、具体。该准则第四章“了解被审计单位的内部控制”中,以较大的篇幅对内部控制的内涵和要素、与审计相关的控制、对内部控制了解的深度、内部控制的人工和自动化成分、内部控制的局限性等相关问题作出了规定,并从控制环境、被审计单位的风险评估过程、信息系统与沟通、控制活动以及对控制的监督等五个方面作出了详细的指引。不难看出,它基本上是以COSO1992年的框架为蓝本,同时考虑了财务报表审计的特殊角度。
而在另一项现代风险导向审计核心准则《中国注册会计师审计准则第1231号――针对评估的重大错报风险实施的程序》中,第四章“控制测试”则从控制测试的内涵和要求、控制测试的性质、时间和范围等方面对新审计模式下的控制测试作出了详细规定。这些规定,体现了现代风险导向审计模式下内部控制的功能与作用,而且与第1211号准则是互相呼应的。
第二条、本准则所称内部控制,是指被审计单位为了维护资产的安全、完整,确保信息的真实、可靠,保证其管理或者经营活动的性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。
内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。
第三条、本准则所称的内部控制测评,是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
第四条、建立健全内部控制并保证其有效实施是被审计单位的责任,审计人员的责任是对内部控制的健全性和有效性进行评价。
第五条、审计人员进行内部控制测评分为下列四个步骤:
(一)对内部控制进行调查了解;
(二)对内部控制进行初步评价,评估控制风险;
(三)对内部控制的执行情况进行符合性测试;
(四)提出内部控制测评结果,并利用测评结果确定实质性测试的范围、重点和。
第六条、审计人员对内部控制的调查了解和初步评价可以通过下列方法进行:
(一)查阅被审计单位的各项管理制度和相关文件;
(二)询问被审计单位管理人员和其他有关人员;
(三)检查内部控制过程中形成的文件和记录;
(四)观察被审计单位的业务活动和内部控制的实际运行情况。
第七条、审计人员对被审计单位控制环境进行了解的主要有:被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度,经营规模及业务复杂程度,组织机构和相关制度,各部门的分工和职责,主要财政预算和财务计划,人力资源政策等。
第八条、审计人员对被审计单位的风险评估进行了解的内容主要有:被审计单位如何确定风险、评估风险的重要性,如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。
第九条、审计人员对被审计单位的控制活动进行了解的内容主要有:被审计单位各项业务处理程序的授权批准,职责分工,实物控制,凭证与记录的设置和运用,独立的检查程序等控制手段的设置与执行情况。
第十条、审计人员对被审计单位的信息与沟通情况进行了解的内容主要有:被审计单位管理和经营活动的主要业务类别,处理各类经济业务的程序,各项业务的会计处理程序和所依据信息的来源,会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目,各部门间信息的传递方式等。
第十一条、审计人员对被审计单位的内部监督情况进行了解的内容主要有:被审计单位日常性的监督检查方法,即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法,内部审计的设置和工作情况等。
第十二条、审计人员可以采用如下形式对被审计单位内部控制进行描述,并写入审计日记:
(一)用文字记录的形式描述被审计单位内部控制的设置情况;
(二)使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录;
(三)以特定的语言符号,绘制经济活动的业务流程,以描述被审计单位内部控制的设置情况。
以上方法可以单独使用,也可以结合使用。
第十三条、审计人员进行初步评价后,应当评估控制风险,对是否依赖被审计单位的内部控制及依赖的程度作出决策。
第十四条、评估控制风险包括以下工作内容:
(一)可能发生错弊的业务环节和活动领域,并考察被审计单位已采取的控制措施;
(二)测试相关内部控制的合理性和运行的有效性;
(三)确定控制风险水平。
第十五条、审计人员对内部控制进行符合性测试,可以通过检查文件资料、询问、现场观察、重做某项业务等来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种:
(一)按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行;
(二)选择有关业务,对业务处理程序中的关键控制点进行测试,检查其是否真正发挥作用。
第十六条、审计人员在对内部控制执行情况测评后,应当综合分析被审计单位内部控制的健全性和有效性,提出内部控制测评结果,并据此确定实质性测试的范围、重点和方法。
第十七条、审计人员在评价被审计单位内部控制时,应当保持应有的职业谨慎,充分考虑到内部控制的下列固有限制:
(一)内部控制的设置和运行受制于成本效益原则;
(二)内部控制一般仅针对常规业务活动而设置;
(三)即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误而失效;
(四)内部控制可能因有关人员相互勾结、内外串通而失效;
(五)内部控制可能因执行人员滥用职权或屈从于外部压力而失效;
(六)内部控制可能因经营环境、业务性质的改变而削弱或失效。
第十八条、确定实质性测试重点领域时应当考虑以下三个方面:
(一)缺少内部控制的重要业务领域;
(二)内部控制设置不合理,控制目标不能实现的领域;
(三)内部控制没有发挥作用的领域。
确定实质性测试的具体方法时,应当针对内部控制缺陷和可能产生的后果提出对应的检查措施,以核实相关的财政收支、财务收支和处理是否真实、合法。
第十九条、审计人员对被审计单位内部控制的测评不能代替实质性测试,无论被审计单位的内部控制如何健全和有效,审计人员都应当选择适当方法对被审计单位重要的财政收支、财务收支活动进行实质性测试。
第二十条、在机进行信息处理的条件下,审计人员应当对被审计单位计算机信息系统的控制环境和应用控制进行测评,以确定其可靠程度和下一步的审计方法。
第二十一条、对规模较小的单位是否实施内部控制测评程序,审计人员应当按成本效益原则,并利用其职业判断作出决定。
第二十二条、审计人员应当将调查了解、测试和评价被审计单位内部控制的过程及结果记录于审计日记,并将在测评中发现的内部控制的重要缺陷与被审计单位进行沟通。
进行内部控制审计有两种形式,一是专项内部控制审计,二是辅助财务报表审计的内部控制评价。两种方式既有联系又有区别。两者的理论范围、基本程序和方法都基本相通,两者的结论也可以互相利用。但两者有区别:
(1)目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。
(2)范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与财务报表有关的内部控制,范围要小。
(3)对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见,因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据,评价精度比前者要低。
随着内部控制重要性的提高,实践中人们已经越来越多将其作为独立的专项审计目标单独开展,尤其对于公司,专项内部审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。
二、内部控制审计的涵义
所谓内部控制,是指被审计单位为了维护资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。
内部控制审计是运用文字描述,调查表及流程图等手段与方法对内部控制系统实施健全性评价,检查和评价企业内部控制系统是否健全,内部控制制度是否被遵循及内部控制机制运行是否有效。
企业内部控制审计是公司运作管理的重要组成部分,是确保企业健康发展的重要管理环节。企业内部控制审计是公司高层决策者监控公司工作、校正决策与规范管理,提升公司价值必不可少的手段,它是最高层管理者耳目的延伸,也是经营风险管理的报警器。。
三、企业开展内部控制审计的重要性
1、是贯彻法律、法规的要求。
2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度,第一次对内部控制提出了法律要求。财政部于2001年颁布的《内部会计控制规范》等一系列规范,要求企业从会计信息、资金管理、对外投资、资产处置等方面建立起一套内部控制机制、2006年新修订的《审计法》要求企业建立起内部控制制度。2008年6月,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》,并于2009年7月1日起在上市公司范围内施行,同时鼓励非上市公司的大中型企业执行。这一规范的实施将为我国企业防范经营风险构筑一道坚实的“防火墙”,同时,成为建立健全企业内部控制制度的契机。这需要企业的内部审计机构肩负起监督的职责,检查和评价内部控制的建设情况和执行情况。
2、是审计方法发展的要求。
随着社会生产力的发展、企业规模日益壮大、经营业务日趋繁复,传统的详细审查方法受到挑战,于是出现了抽样审查的方法,通过抽样结果来推断财务报表的可靠程度。但是,如果单凭审计人员主观或任意判断进行抽样,那么抽样的结果难免以偏概全,影响审计结论。内部控制是管理现代化的必然产物,它的产生和发展,促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。制度基础审计就是以对内部控制的测评为基础,运用抽样方法得到审计结论的一种审计取证模式。它可以在提高审计效率的同时,确保审计结论达到所要求的质量水平。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本,受到审计人员和企业的普遍欢迎。
3、是加强内部管理的需要。
随着经济的发展,市场竞争越来越激烈,企业面临着经营地点分散、控制跨度增加、控制权利层次增多等难题,商业欺诈、资金周转不力等经营风险与财务风险越来越大,管理任务更加艰巨,需要企业内部协调一致,加强监督和控制,防止工作差错和舞弊,提高经营效率,提高企业的竞争能力。因此企业无论在客观还是主观上都要建立起具有自我控制和自我调节功能的管理机制。
4、是提高企业社会认知度的需要。
当今世界,企业的信誉很重要,直接影响到客户对企业产品的信任感,影响企业的生存和发展。企业信誉不仅取决于当前的资金实力和赢利能力,更主要取决于人们对企业未来的预期。企业一旦发生欺诈行为、管理不善或违反法规,就会引起社会的广泛关注,造成不良的社会影响,使企业的价值大大下降。内部控制有助于预防此类问题的发生,并及时提出妥善的补救措施。企业无论利用内部审计机构还是聘请外部审计师对内部控制进行检查和评价,肯定的评价结果都能提升企业的信誉
信息系统内部控制审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的可靠性、安全性、完整性、效果和效率等方面。
二、开展信息系统内部控制审计的程序和方法
(一)对信息系统内部控制进行初步了解与评价
审计人员可以通过询问被审计单位有关人员,查阅被审计单位的相关文件记录、观察被审计单位的业务活动及其运行情况等方法,围绕以下内容对信息系统内部控制的进行初步了解与判断:被审计单位的基本情况,被审计单位信息系统的情况,信息系统的网络和安全管理情况,影响信息系统的行业监管信息、组织内部制度要求等内外部因素等内容。通过了解这些内容,审计人员能够对被审计单位的信息系统关键程度、关键业务流程、内外的监管要求等有了初步了解,也就可以初步分析审计所面临的风险。
(二)对信息系统内部控制进行符合性测试
符合性测试是对内部控制制度的实施情况和遵循结果进行测试。对信息系统内部控制进行符合性测试可以分为一般控制符合性测试和应用控制符合性测试。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。由此,对一般控制的符合性测试通常在应用控制符合性测试之前进行。
1.一般控制的符合性测试
目前,被审计对象一般是在日常运行的信息系统,因而,我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计,判断信息系统的安全性、可靠性。
组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括:系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。(2)操作控制。操作控制是用来控制信息系统的操作,以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。
2.应用控制的符合性测试
信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能,通过对系统的应用控制功能审计,检查应用系统本身是否存在漏洞和功能缺陷,评价信息系统的可靠性、效果和效率等方面。(1)输入控制。输入控制确保输入数据的合法、准确和完整,包括:数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计人员采用与操作人员座谈、现场观察系统输入控制,可以初步了解系统输入控制情况。审计人员设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。审计人员可以通过数据验证检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性,包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。(2)处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。审计人员从被审单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。审计人员模拟被审单位对实际数据的处理要求设计一个程序,将被审计单位的真实数据用审计人员的程序重新处理一遍,检查信息系统控制功能是否有效。(3)输出控制。输出控制确保系统处理结果的完整性和正确性、输出结果提交给有权使用的人员。可采用面谈法、观察法和系统文档审阅法、平衡模拟法等审计方法检查系统输出控制。审计人员可以通过与系统管理员、操作人员座谈及系统文档审阅、系统查询测试等发现系统输出控制可能存在的欠缺。
(三)对信息系统内部控制系统进行总评
审计人员在对信息系统内部控制进行初评的基础上,根据符合性测试的结果,对被审计单位信息系统内部控制可信赖程度和风险水平进行评估,以确定将要执行的实质性测试程序的性质、时间和范围。评估中需要说明的问题主要包括内部控制系统中存在的薄弱环节或发挥作用的程度及内部控制的可信赖程度或风险水平。
三、加强信息系统内部控制审计的几点建议
(一)注重事前介入,从源头加强信息系统内部控制审计
内审部门要积极提前介入同级业务和技术部门的信息系统开发全过程,从系统开发从业务需求的提出,数据结构和内部控制的设计、程序代码的编写、软件的测试、运行到软件的验收、审计人员都应站在内审部门的角度从信息系统的合法合规性、安全可靠性、可维护性及内部控制机制的完善性等方面提出可行意见和建议,以便从系统开发的源头上防止系统出现漏洞和缺陷等安全隐患。
2007年以来美国次贷危机、全球性金融风暴乃至经济危机的蔓延,让人们深刻地认识到内部控制的重要性。而2008年发生的金融业最大的职务舞弊案例――法国兴业银行舞弊案,其主要原因是兴业银行内部监控机制“严重缺失”。而纵观我国,近年来,我国上市公司内部控制的问题也是层出不穷,远的有银广夏、琼民源、红光实业、ST猴王、大庆联谊、东方锅炉、黎明股份、郑百文、东方电子,近的有亿安科技、春都、“德隆航母”、三鹿集团、中航油等,还有众多的“高管失踪”事件。这些问题的出现,除了我国资本市场的不规范因素外,更深层次的原因就是上市公司内部控制制度存在严重缺陷。内部控制已成为时下内部审计师、企业管理层、各国政府,以及相关监管部门瞩目的焦点。
自从1875年德国Friedrich Krupp公司设立了较为完整的内部审计制度以来,大型股份公司普遍建立了内部审计系统,监督、评价、防护和反馈成为其四个重要职能。安然、世通事件在全球范围内引起了人们对内部审计的重视。2002年8月,美国纽约证券交易所要求所有上市公司必须建立内部审计机构。在中国,内部审计受到重视。早在1985年,国家审计署就要求大中型国有单位设立内部审计机构;2002年,中国证券监管机构建议上市公司建立内部审计制度。2003年5月实施的《审计署关于内部审计工作的规定》明确指出国家机关、金融机构、企事业组织、社会团体以及其他单位,应当按照国家有关规定建立健全内部审计制度。内部审计是公司治理机制的重要组成部分,具有枢纽地位。本文从内部审计和内部控制的关系出发,界定内部审计在内部控制中的重要作用,并为内部审计发挥对内部控制的作用提出一些建议。
二、内部审计与内部控制的关系
(一)内部审计与内部控制的涵义 从内部审计的定义可以看出其在内部控制方面的作用。2003年国际内审协会修订的《内部审计实务标准》提出,内部审计应帮助组织评价重要的风险因素、帮助改进风险管理与控制体系;评价控制的效率与效果、促进控制的不断改善,以此来帮助组织保持有效的控制;评价并改进机构的治理程序,为组织的治理作贡献。1992年美国反财务欺诈委员会下属内部控制专门研究委员会COSO对内部控制的界定在目前世界范围内认可度很高,它认为内部控制包括五个要素:控制环境、风险评估、控制活动、信息与沟通、监督,其中监督是内部审计的正常工作和固有职责。英国的Cadbury报告、加拿大的COCO报告、日本的《企业内部控制大纲》、南非的King报告、法国的Vienot报告和我国的《独立审计具体准则第9号》、《内部审计具体准则第5号》等都从不同角度对内部控制进行了诠释。从内部审计与内部控制的含义来看,内部审计与内部控制是相互渗透的,内部审计性质的演变一直与人们对内部控制概念认识的发展交织在一起。
(二)内部审计是内部控制的重要要素之一 自从1986年最高审计机关国际组织的第12届大会声明明确内部控制制度包括组织结构、方法程序和内部审计,内部审计就开始被视为是内部控制框架中的重要要素之一。国外的研究,如Carcello,Hermanson和Raghunandan(2005)认为美国证监会(SEC)近年来的指引和强制性动作都反映出这样一种倾向:内部审计是公司治理和公司内部控制程序的有机组成部分。国内近期关于这方面的议论也很多,如汪国银、林钟高(2005)认为,公司治理是企业运作的基础,提供了企业内部各项管理活动的环境,内部审计作为企业内部控制活动的一部分受到公司治理的制约;陈艳利、刘英明(2004)认为内部审计作为实现内部控制的关键因素,是公司治理结构的有机组成部分。
(三)内部审计是对内部控制的控制 内部审计是内部控制的特殊方式,其在内部控制框架中具有独特身份,即内部审计既是内部控制的组成部分,又具有不同于其他内部控制要素的相对独立的身份,肩负对其他内部控制要素进行再控制的职责。建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分(Cadbury报告,1992)。内部审计对内部控制的控制主要体现在内部审计利用自身的独立性和对本企业情况的了解,以及在长期审计工作中积累的经验,通过监督业务活动和管理活动是否符合内部控制结构的要求,评价内部控制的健全性、遵循性和有效性,针对内部控制中的薄弱环节及时提出相应改进建议,促使组织以合理的成本促进有效控制,达到改善组织内部管理状况的目的。内部审计人员以其专业知识能够保证内部控制测试的顺利进行,美国IMA的调查报告中就指出,内部审计部门对于测试内部控制起关键作用。自上世纪90年代起,内部审计就开始大量做内部控制自我评估工作。在这种工作方式下,内部审计作为主导,其它相关部门同时参加,共同完成对内部控制健全性和有效性的检查。这种工作方式最能说明内部审计的之内加之外的独特身份。后萨班斯时代内部审计的控制功能日益凸现,因为内部审计不仅可以作为控制直接作用于被控制对象,也可以通过对控制的再控制间接作用于被控制对象。
(四)内部控制对内部审计的促进 从内部控股要素的发展历史来看,早期的单要素内部牵制关心的只是资产及其记录的安全,两要素的内部控制将关心资产及其记录安全之外的内部管理控制纳入了控制视野,随后,控制环境又得到关注。两要素和三要素的内部控制已经不仅关注资产及其记录的安全问题,而且还要关注组织的经营管理问题,这就大大拓宽了内部控制的范围。五要素和八要素内部控制的提出,又将控制重心进一步转移到组织的风险管理。内部控制重心的变化,引发了内部审计内容的变化,同时也造成了内部审计工作重心的转移。美国内部审计学者布林克在回顾IIA的历史时指出,内部审计最该关注的就是“内部控制”,内部审计的理论构建应以内部控制概念为中心。内部审计需要内部控制,内部控制比任何其他因素更能决定内部审计的形式。一个良好的内部控制,有助于内部审计工作的开展,有助于提高审计效率,降低审计风险,提高审计质量,更有助于扩大审计领域,加速现代审计方法的变革。没有健全的内部控制制度作基础,内部审计就无法开展;没有良好的内部控制,会计、财务信息失真,管理人员责任不明确,管理出现混乱等,不仅会加重内部审计工作量,而且会加大内部审计的风险,从而制约内部审计的发展。有调查表明,大型组织的内部审计,大多已经将风险管理、经营管理、经营效益和效率等内容作为自己的重要工作内容。随之内部审计大类型也日益丰富,出现了风险管理导向审计、管理导向审计、经营导向审计和业务导向审计,甚至出现了业绩导向审计。
三、内部审计在内部控制中的作用
(一)评价职能:特殊优势 随着风险管理和治理结构的完善,内部控制被提高到公司战略的高度,与企业的经营管理完全融合在一起,内部控制的充分性和有效性直接关系到财务与运营信息的可靠性与完整性、运营的效率与效果。由于内部控制具有内在和外在的局限性,如内部控制的设计考虑到成本效益原则、内部控制的设计可能不涉及临时性或未预计到的业务等导致内部控制不能发挥效应等,都会影响到内部控制的效果,所以需要第三方对内部控制的充分性和有效性进行独立评价。内部审计机构在组织、人员、工作和经费等方面独立于被审计单位,不直接参与企业的经营管理,因此在评价企业内部控制时具有较强的客观性、公正性和权威性;内部审计机构一般受企业审计委员会或CEO直接领导,内部控制评审中发现的问题和提出的建议更容易受到高层领导的关注,从而得到有效执行;虽然内部审计具有同体监督的特点,其独立性是相对的,但正是其具有的这种相对的独立性,使其既有别于内部控制体系中的其他部门,又不同于社会审计,在对内部控制评价中具有特殊地位和优势。
(二)监督职能:常规工作 从内部控制的构成来看,企业内部控制是由一系列控制政策、制度与程序组成的系统。根据系统论的观点,系统的有效运转和持续改进离不开监督,所以COSO框架和ERM框架都将监督作为内部控制组成要素之一,并且置于框架的最顶端。企业内部审计是监督内部控制是否执行以及执行是否有效的重要过程。从要素来看,内部审计是内部控制不可缺少的重要组成部分,是实施内部控制环境的基础环节。从职能来看,内部审计处于相对独立的地位,在企业中不直接参与相关的经济活动,又贯穿于企业的各项管理活动中,了解和熟悉企业的内部结构及各项业务的运营过程,在内部控制的构成要素中实行内部监督最为合适。有效的内部控制将合理保证企业的经营管理活动。内部审计对内部控制履行监督职能的直接目标是确保内部控制的有效运行,以使内部控制的目标能够实现。
(三)咨询职能:努力方向 随着内部审计范围向风险管理和公司治理领域的拓展,内部控制评价的重要地位并没有被削弱,而是得到了加强。而且,内部审计战略地位的变化要求内部审计不应再以一个检查者的立场对被审计者的风险和控制进行评价,而是要以一个咨询顾问的身份,促进并组织审计客户对自身业务的风险和控制进行自我评价,使风险的防范和控制成为所有管理层共同承担的责任。
四、内部审计与内部控制关系的启示
(一)独立性与客观性的保证 IIA2001年颁布的内部审计实务标准框架,提出了内部审计的新定义,在定义中用“独立、客观”取代了此前60年所有定义中都没有改变的“独立”。在属性标准中对独立性和客观性进行了区分:前者指内部审计机构的独立性,后者指内部审计人员的客观性。独立性是和内部审计服务发生的环境有关的,反映的是审计小组和个人所处的环境,其价值在于它创造了使内部审计人员保持最大客观性的环境,它是保证审计人员客观、公正、或免除偏见地从事审计活动的先决条件,是审计工作的基础。客观性是与评估、判断及决策质量有关的,保持一种不偏不倚的精神状态,反映的是内部审计小组和个人的特征,客观性可以帮助内部审计人员及小组更容易处理与被审计单位之间的关系。在公司组织结构中,内部审计部门属于公司行政系统的一部分,在日常活动中要服从于公司管理当局的指挥。虽然这有助于结合公司经营管理的需要对内部控制进行审计,但同时也形成了评价者(内部审计)与被评价者(管理当局及其所实施的内部控制与财务呈报)角色混同的矛盾现象,不利于内部审计功能的有效发挥。调查数据显示,我国国有企业内部审计机构归属副总经理和总经理领导的比例最高,体现了“高管层”主导的基本特征,尚未达到IIA在《内部审计专业实务标准》要求的归属“董事会与高管层”双重管理的标准。因此,公司在建立内部控制体系时,应当根据相关法律要求建立并发挥好审计委员会的职能;内部审计部门应当隶属于审计委员会和企业最高管理当局,实行双向负责制,在特殊情况下可以越过管理当局直接向审计委员会报告,这样就可以提高内部审计的地位和独立性,维护必要的内部审计权威,从而充分发挥内部审计在内部控制中的重要作用。而为了保持客观性,国际内部审计师协会也对内部审计人员提出了几点要求:(1)不应该参加任何有可能损害或者假定会损害它们无偏见的评估的活动或关系;(2)不应该接受任何可能损害或假定会损害他们职业判断的东西;(3)应该披露所有知道的重要事实,只要如果不披露将会歪曲对所审查的活动的报告。
(二)内部审计人员胜任能力的保证 内部审计对内部控制作用的发挥还有赖于内部审计人员专业胜任能力的保证。根据贺颖奇等(2006)的调查资料,我国内部审计人员对财务会计、财务审计、会计法与会计准则、审计法、税法、审计准则等领域的知识比较熟悉;对公司治理、战略管理、管理会计与管理审计、组织行为/管理沟通、风险管理、信息系统及其审计等领域的知识不熟悉。其他学者的研究发现我国内部审计的现状是审计人员的知识结构不合理、知识老化、复合型人才少;内部审计人力资源管理上,审计人力资源利用不尽合理,人员管理机制简单化。根据调查问卷资料显示,占75%的单位的内部审计人员均以本科及以下学历组成;内部审计部门只有会计知识人员组成的占25%(陈丹萍,2007)。可见单一的知识结构影响了内部审计的工作范围和深度,同时制约了内部审计作用的进一步发挥。因此,应该科学合理地配备内部审计人员,尤其要努力使内部审计人员的专业构成合理,同时强化职业道德意识,加强职业培训。使内部审计在企业内部控制中发挥更大的作用。
(三)积极开展内部控制自我评估传统的内部审计理念下,内部审计主要功能是帮助企业高管层确认经营活动中是否存在问题。因此,财务审计、经营审计和内部控制审计是查错纠弊的典型代表。IIA在1999年第七次修改内部审计定义时,第一次提出了组织内部审计的目标是帮助组织增加价值并提高组织的运作效率。与传统内部审计相比较,增加价值要求审计内容向决策层面延伸,审计方式从事后走向事中和事前,审计职能定位从确认走向咨询。因此,内部审计为现代内部控制提供保证与咨询服务可以开展控制自我评估(Control Self-Assessment,简称CSA)。内部控制自我评估是在内部审计机构的推动下公司不定期或定期的对自己及所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标。自20世纪90年代中期起,CSA已成为许多企业内部审计实务的一部分。IIA2002年对北美4500位来自各种组织的内部审计负责人进行了内部审计增值实务方面的调查,其结果显示CSA被列作“当前内部审计最佳实务”的第二位,而在“未来将越来越重要的实务”中排名第一(Roth J.,2003)。内部审计机构对下级部门和其他人员进行评价,主要了解下级部门和其他人员的知识结构、组织纪律性、对企业是否有归属感、对内部控制制度能否积极接受并加以执行。评价时应抓住主要问题,即给内部控制的设计和执行的有效性带来风险的关键人员的败德行为,一般根据其背景资料、日常出勤情况、有无违纪记录等作出评价。英国特恩布尔报告(Turnbull Report,1999)认为,在对内部控制进行自我评估时,应特别考虑以下几个问题:(1)自上次评估以来,重要风险的性质和程度所发生的变化,以及公司对这些商业风险和外部环境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量,以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率,以便在公司内建立起累计评估体系,对内部控制状况及风险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点,及其所导致或可能导致的不可遇见的结果及或有事项的程度,以及对公司财务状况和业绩产生的重大影响。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点,董事会应决定这种失败或弱点是如何产生的,并对内部控制系统的有效性进行重新评估。
参考文献:
[1]刘华:《审计案例研究》,上海财经大学出版社2009年版。
[2]王光远:《现代内部审计十大理念》,《审计研究》2007年第2期。
[3]何玉:《职务舞弊与内部控制、内部审计――兼评法国兴业银行职务舞弊案例》,《审计研究》2009年第2期。
[4]程新生、张宜:《中国制造业上市公司内部审计模式实证研究》,《审计研究》2005年第1期。
[5]石爱中:《从内部控制历史看内部控制发展――内部控制信息化改造》,《审计研究》2006年第6期。
[6]陈艳利、刘英明:《基于公司治理的内部审计问题研究》,《审计研究》2004年第5期。
[7]时现、毛勇、易仁萍:《国内外企业内部审计发展状况之比较――基于调查问卷分析》,《审计研究》2008年第6期。
[8]贺颖奇、陈俊佳:《当代国际内部审计的变化与中国内部审计的发展机会》,《审计研究》2006年第4期。
[9]陈丹萍:《我国内部审计管理现状与对策》,《审计研究》2007年第6期。
[10]董美霞:《增强企业内部控制评价效果的思考――基于》,《审计与经济研究》2010年第1期。
【摘要】 通过分析内部审计的含义以及与内部控制的关系,分析了我国企业目前内部审计所存在的问题,并提出相关完善意见。
【关键词】 内部审计;内部控制;独立性
1999年,国际内部审计是学会董事会也对内部审计进行了定义:内部审计是一项独立、客观的咨询活动,用于改善机构的运作并增加其价值。通过引入一种系统、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性,内部审计可以帮助一个机构实现其目标。我国也有对与内部审计的相关定义:由被审计单位内部机构或人员,对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。内部审计是和政府审计、注册会计师审计并列的三种审计类型之一。
一、内部审计与内部控制的关系
内部控制指的是一个单位为了实现其经营目的,确保财务信息的准确,确保经营活动的经济性、效率性和效果性而采取的内部自我约束,调整的一系列措施的总称。内部控制主要分为五个要素:控制环境、风险评估、控制活动、信息与沟通、监控。内部审计与内部控制两者都是随着现代公司制度发展而产生的产物,可以说是内部控制的产生和发展促进了内部审计的发展。随着企业内部管理的不断完善,对内部审计的要求也在不断提高。内部审计与内部控制既有区别,又有联系。内部审计是一种特殊的内部控制,它主要是起到一种监督的作用,它与其他内部控制政策的区别在于并不参与实际管理工作。内部审计并非是其他内部控制的简单重复,而是通过监督,对内部其他控制要素是否合理以及是否按照要求执行进行判定。从这个角度来看,内部控制与内部审计是相互依存,内部控制主要通过控制环境、风险评估、控制活动、信息与沟通、监控五个要素来实现其目的。内部审计则是对内部控制的执行进行监督,通过内部审计来发现内部控制中存在的问题,进而解决问题完善内部控制。
二、内部审计存在的问题分析
(1)内部审计机构设置不合理。我国企业大多未合理设置内部审计机构,如果由财务等部门来领导内部审计,对于自身出现的财务问题是难以发现的。领导机构较低,所获取的职权也比较低,对于由公司高级部门设置的规章制度等即使发现问题也难以进行,对于某些部门也无力审计。如果主管部门为财务经理,其所审计信息也只限于财务方面,远远不能达到内部控制所需要的职能。(2)内部审计范围较窄。在我国企业的内部审计更多的侧重于财务方面,对于管理方面涉及得比较少。我国内审部门更多的是将精力投入到财务数据的真实性,它主要的职能也仅仅是防错查弊,审计的对象也只是停留在报表、凭证之类的会计信息。这些都是内部审计应当具有的职能,内部审计在我国企业内部并没有起到应有的作用。(3)内部审计人员不合理。在我国企业内部,内部审计往往被列为与财务有关的一项业务。财务信息是内部审计的一个重要组成部分,由于财务的专业性要求其成员有财务专员无可厚非,如果仅仅都是财务人员构成那么就会对公司的其他管理事务缺乏认识。对于某些具有专业性的业务,比如IT设置等,财务人员往往难以对其进行一定的判断。
三、完善内部审计,确保企业内部控制的有效性
(1)完善内部审计机构设置。独立性是审计的灵魂,缺乏独立性内部审计的效用也会大打折扣。独立性包括两个方面:一个是实质性独立,一个是表面上独立。表面上独立指的主要是审计人员与审计对象没有联系,使外人不能从业务关系上对审计的独立性提出质疑。实质性独立是指审计部门能够不受任何部门干预限制,能够独立于所有被审计部门执行审计业务。对于内审部门直接领导部门应当是企业的最高领导层董事会。内审部门应当对董事会负责,其主管人员的人事调动等均有董事会负责,其经费来源也不受其他部门制约,让内部审计具有实质性的独立性。这样内部审计才能真真的为内部控制提供参考意见,不然,内部审计也只能沦为内部控制的附属物。(2)扩大内审范围。内审的目的是通过对内部控制的再控制来对其提出参考性的意见。内部审计不能仅仅局限于财务信息方面的审计。第一由参与经济决策,对于某项经济业务不能只是从表面文义性的内容进行考核,还要从预期效益方面进行考量,对于该项业务是否可行提出参考意见;第二要将内部控制制度作为审计的重点方位,内部审计人员在进行评审过程中要对内部控制制度是否合理,是否得到执行给予重点关照;第三审计过程中,实行部门责任制度,对不同部门应当承担相关责任。
四、合理调配内部审计人员
目前我国企业的内审部门大多都是以财务人员为主,这对内审部门起管理职能是相当不利。随着财务会计的发展,其发展职能也逐步趋向于管理方向发展,在内审部门拥有财务人员那是必须的。公司的管理也并非仅仅依靠财务信息即可,之前强调了要将内部控制制度作为内审的一个重要方面,除了财务人员外,应当选取其他方面的人员加入内审部门。内审部门一方面进行会计控制的审计,另一方面管理控制制度的审计。
关键词:高等院校;内部审计;内部控制
中图分类号:F239.0 文献标志码:A 文章编号:1673-291X(2014)12-0117-02
引言
改革开放以来,中国高等院校发展十分迅速,几乎全国每个行政区都至少有一所本科院校。2008年,中国教育部门颁布的《关于加强高等学校预算执行与决算内部控制工作意见》规定,每个高等院校都必须设立自身独立内部控制部门。随着中国高等院校数量的增加以及中国高等院校不断扩大招生人数,给中国财政带来了新的机遇和挑战。但是,面对越来越复杂的市场环境。中国大多数高等院校并没有相应改变自身的财务制度,中国很多高等院校依然按照计划经济时代的会计制度来实行内部控制管理。中国高等院校内部控制工作一直都没有等到应有重视,甚至很多高等院校将内部控制机构形式化,内部审计表面化,一切同虚设。内部控制是由经理层和全体员工实施的、旨在实现控制目标的过程。内部审计要对内部控制的有效性进行监督检查。由此可见,加强内部审计是建立与实施有效的内部控制的必然选择。为了科学配置中国的教育资源,合理利用高等院校经费,就必须重视高等院校财务管理制度,并且加强中国高等院校内部控制的建设。以此看来,完善中国高等院校内部控制体制工作迫在眉睫。
一、中国高等院校内部控制以及内部审计中存在的问题
高等院校内部控制主要通过运用系统、规范的方法去评价,并且改善高等院校所承受到风险控制、管理及风险治理的过程,从而帮助高等院校去实现财务管理目标。中国高等院校内部控制工作开展仅仅不到二十年的时间,高等院校内部控制基础工作,以及内部控制质量管理和内部审计风险控制等都需要高等院校加强以及完善。特别是高等院校内部审计质量管理工作,直接影响到了高等院校内部控制作用的发挥,严重影响到了高等院校内部控制的职能。并且,当前,中国高等院校内部审计工作中存在着一些影响着内部控制质量的问题。中国不少高等院校对于内部控制的重要性以及作用缺乏应有理解,高等院校并不是根据自身需要来进行内部控制制度变革,而是仅仅是因为政府部门强制性要求而不得不进行内部控制制度的变革。高等院校内部控制机构是监督管理与维护财经法纪等职能,但是其服务、管理及建设等职能被高等院校忽视,而且因为内部审计受到多种因素制约,导致高等院校内部控制在高等院校形同虚设的难堪境地。
(二)中国高等院校内部控制缺乏独立性
虽然,在中国政策规范下,不少高等院校都建立了相应内部控制机构,但是,由于中国高等院校内部控制部门没有一定的规章制度,不少高等院校将内部控制部门和财务部门放在一块,有一部分高等院校将内部控制部门和学校纪律监督部门放在一起。这严重影响了高等院校内部控制部门的独立性。另外,中国高等院校内部控制委托人一般都是高等院校的管理层,在这样的环境约束下,即使高等院校拥有独立的内部控制部门,内部控制部门依然要受到高等院校领导者管理决策。因此,内部控制职能受到了高等院校管理者的影响,那么,内部审计独立性就变得非常薄弱,就不能发挥其应有作用。另外,在高等院校里,内部控制人员容易受到人事制约,人事部门严格控制着内部控制人员职称、晋升、考核、调动等问题,而人事部门又受到了高等院校管理者的管理。由于高等院校内部审计受到高等院校内部利益关系羁绊,内部控制人员独立性就受到了严重影响。
(三)中国高等院校缺乏先进内部审计的方法与手段
当前高等学校内部审计主要针对还是高等院校的财务收支开来展开内部审计工作。中国大多数高等院校都是沿用传统意义上内部审计办法,仅仅是根据高等院校的财务账目来进行账目内部审计,高等院校财务部门简单将高等院校财务数据的真实性、准确性以及差异性作为内部审计工作开展的重点。中国大多数高等院校内部审计信息化程度不够高,导致了高等院校内部审计难以适应中国要求逐步增多高等院校内部审计工作。有些高等院校在建立财务规章制度、规范财务工作流程以及程序,规范高等院校内部审计档案管理、加强高等院校财务管理人员职业道德教育等方面做了不少工作,但是由于这些高等院校缺乏完整的内部审计体系,导致高等院校建立许多规章制度无法得到准确落实,许多内部审计工作都缺乏应有的控制标准,没有将内部审计责任落实到实处,内部审计工作也不能认真贯彻执行,最终导致高等院校内部审计人员行为无法得到规范,内部审计工作质量过低。
(四)高等院校缺乏专业内部控制人员
由于高等院校用人制度改革力度相对较低,在高等院校还没有建立起有效人才流动体制,因此,高等院校内部控制人员数量比较少。例如,中国2013年,教育部直属高等院校仅有1 000来名内部控制人员,并且,这些内部控制人员之中专业内部控制人员仅仅有800名左右,在中国100所高等院校中平均每个高等院校仅仅只有7个内部控制人员。并且,高等院校内部控制人员组成结构非常不合理,高等院校内部控制人员中以内部控制、财经专业为主,缺乏应有法律知识、管理知识等专业人员,缺乏较高理论水平,丰富实践经验综合素质较好的内部控制人员。高等院校内部控制人员职业判断能力和洞察力需要进一步提高。
二、针对高等院校内部控制的一些建议
各个高等院校管理层要充分认识内部控制工作,在高等院校内部管理以及对高等院校廉政建设等各个方面进行,高度重视并且进行内部控制工作,切实加强领导对内部控制重视。因为只有得到高等院校领导重视,高等院校才能顺利展开内部审计工作,这样,高等院校内部控制工作质量才可以得到提高。高等院校应该建立起健全内部控制规章制度。并且对高等院校内部审计工作定期研究、检查和部署内部控制工作,高等院校相关部门应该及时审查批复高等院校年度工作计划,并且严格审查内部控制人员制定内部控制报告,监督高等院校内部控制决策执行,并且应该使得内部控制工作变得制度化,并且常规化。要建立健全内部审计工作报告机制、内部控制制度、内部控制工作考核机制、内部控制成果运用机制以及内部控制人才培养机制等。支持内部控制机构和内部控制人员依法履行内部控制职责,并保证内部控制工作条件。对成绩显著的内部控制人员进行必须表彰和奖励。
(二)提高高等院校内部控制机构的独立性
高等院校应该按照内部控制要求分部控制职责、科学进行的内部控制管理原则来设置独立内部控制机构,确保内部审计工作由专职内部控制人员来进行编制,并且高等院校应该为内部控制部门配备具有内部控制的岗位资格以及专业内部控制素质内部控制人员,还可以根据高等院校实际工作的需要,来聘请高级特约兼职审计人员来进行定期性的内部控制工作监督。并且,高等院校在进行内部控制机构设置时候,高等院校还应该充分考虑高等院校各个部门领导岗位互相牵制,以增强高等院校内部控制部门独立性。中国高等院校应该借鉴国外大型企业集团内部控制成功经验,建立内部控制部门,以保证内部控制机构独立性。例如,现阶段,中国中央财经大学已经开展了建立内部控制部门工作,并取得了相应成功,因此,其他高等院校也应该借鉴此成功案例,发挥高等院校内部控制在提高高等院校内部控制作用。
(三)提高高等院校内部审计方式
高等院校应该开拓创新,与时俱进,积极探索适应高等院校发展要求的内部审计方法,是提高高等院校内部审计质量,完成高等院校内部审计工作任务重要措施。高等院校内部审计部门和内部控制人员应积极学习先进内部审计方法,提高高等院校内部审计工作效率,在最大程度地降低高等院校内部审计风险,不断提高高等院校内部审计质量。高等院校应该在内部审计工作过程中,充分利用高等院校内部审计职能来开展专项内部审计工作,提高高等院校内部审计在财务工作中所占比例;并且在高等院校内部审计工作中存在问题,应该采用分析具体情况,研究分析相应对策,确保高等院校可以实现内部审计职能。
(四)高等院校应该加强内部控制人员培养
由于内部控制的领域相对来说比较广,内部控制要求内部控制人员不仅要拥有专业财务知识,还要具有一定的经济管理、计算机等方面知识。因此,高等院校在选择内部控制人员过程中,应当严格控制高等院校内部控制人员选择过程,还应该调整高等院校内部控制人员结构。高等院校还应该通过对内部控制人员培训,提高现有内部控制人员水平不断提升内部控制人员知识水平,真正提高内部控制人员综合素质。因此高等院校应该强化对内部控制人才教育,确定内部控制人员职责,加强内部控制方面纪律管理。
结论
随着中国教育体制不断深入改革,国民更加关注教育事业,高等院校内部控制部门面临新的挑战和机遇,各个高等院校内部控制部门和内部审计人员一切工作围绕着提高高等院校内部控制工作质量来开展,高等院校内部控制事业才可以得到蓬勃发展。内部控制是保护高等院校经济秩序合理运行保障。现阶段,中国高等学校内部控制工作面临许多的问题和挑战,高等院校内部审计工作一定要有紧迫感,在内部控制方式应该不断进行创新,让高等院校内部控制充分发挥其职能,确保高等院校发展。
参考文献:
【关键词】:内部控制;内部审计;内部控制系统
内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。具体包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
一、 内部审计与内部控制的关系
内部审计与内部控制之间存在着一种相互依赖、相互促进的内在联系。
1、内部审计是内部控制的一个不可或缺的组成部分。内部审计是为加强内部经济监督和经营管理的需要而逐渐发展起来的,是企业内部一种独立的评核工作,通过检查会计、财务及其他业务,为管理当局提供咨询、建议等服务。内部审计作为监督的一个重要角色置于整个内控的较高层。
2、内部审计又是对内部控制的控制。内部审计又是全面审查、监督内控制度的专门组织,它立于会计控制之外,具有其他任何部门和控制所无法代替的重要作用。目前,内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。
二、内部审计在内部控制中的作用
1、评价和评估企业的内部控制系统
(1)测试评价内部控制系统的健全性
健全性测试主要解决内部控制系统是否合理、健全,以及内部控制关键点是否齐全、准确等问题。通过对这些测试资料的分析,来评价控制系统的健全程度。并针对内控中的薄弱点和失控点,发现管理中存在的漏洞,提出改进措施。
内部审计人员可以通过在企业内部收集有关的经营管理制度、规章和办法,以及向有关部门和人员调查了解,运用调查表法或记述法等审计方法,对内部控制的流程的正确程度和完善程度以及若干控制点进行测试。
(2)测试评价内部控制系统的遵循性
内部审计人员通过对一些内部控制系统控制点的测试,分析哪些控制点上建立了强有力的内控制度,哪些控制点上存在薄弱环节,以评价内部控制系统在实际业务活动中的执行情况,以及审查管理制度在执行中的使用情况。根据测试部位可信赖程度的分析,评价被测试系统内部控制的程度,并找出控制薄弱点和失控点,同时确定审计重点,以决定将其列入实质性测试。
(3)测试评价内部控制系统的有效性
有效性测试主要是了解内部控制系统功能如何,是否发挥作用,效果如何等问题。要正确评价内部控制系统的有效性,内部审计人员除了在财务领域对会计报表、账本、凭证及相关资料予以查证监督,还应对企业的管理和经营领域投入更多的热心与关注。
2、通过内部审计发挥企业内部控制的监控职能
内部审计在企业内部控制监督检查机制中将扮演重要的角色,应当负责对内部控制的建立和实施情况进行监督检查,开展相关的保证活动。在新的内部控制指导框架下,内部控制的监督检查工作应当满足以下两方面要求:一是,日常监督和专项监督相结合,以确保监督检查工作的有序开展;二是,定期向董事会提交内部控制监督检查工作报告,为董事会的内部控制自我评估提供依据
三、 影响内部审计在内部控制中作用发挥的因素
1、内部审计机构独立性和权威性不强,弱化监督力度
内部审计是一种独立、客观的监督和评价活动,独立性原则是内部审计行使和发挥好职能的基体。目前大多数的中小企业都设置了内审部门,但由于企业领导对认识的不到位或者考虑到企业规模和人力资本等因素,导致了机构设置不合理,隶属管理不明。内审部门有的是独立的部门,有的是挂靠财务部门,隶属于总经理或财务负责人领导,由于内审部门与其它部门处于平行的地位,致使许多内部审计流于形式,缺乏自身应有的地位和威信,无法保证其应有的独立性,也就大大弱化了监督力度的发挥。
2、 内部审计法规不健全,人员素质不高
目前我国还没有一部关于内部审计的法律法规,尽管有《审计法》和《审计署关于内部审计工作的规定》以及《审计机关指导监督内部审计业务的规定》等,但还不够完善,效力也比较差。内部审计法规依据不充分、不健全,或出现空白,使得审计人员在进行审计时,只能依据经验和知识进行分析判断,在某种程度上影响了审计结论的权威性,因而增大了审计风险。
目前我国企业内部审计人员的绝大多数是从会计岗位转过来的,知识面较单一,内部审计人员整体水平不高,综合素质较低,识别风险、判断正误的能力较差;有些内审人员职业道德欠佳,不能经受各方面的诱惑;更重要的是内审人员一般由领导指定,很容易出现任人唯亲的现象,从而难以选用有真才实学的人来担当此重任。因此一些素质不高的内审人员,无法运用最新的以风险导向为核心的审计方法来防范和化解风险,
四、 健全内部审计的对策
1、 提高内部审计机构的独立性和权威性
内控规范第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。第十三条企业应当在董事会下设立审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。根据以上内控规范规定,规模较大的企业应在股东大会,董事会和总经理之下分别设立监事会、审计委员会和审计部,三者之间由上而下存在业务指导关系,审计部的设置应高于其它各职能部门,在业务上向审计委员会负责并向其报告工作,在行政上向总经理负责并向其报告工作。对于规模较小,不设审计委员会的企业,审计部门应对董事会负责,并在业务上接受监事会的指导。这种双重负责的组织形式有利于内部审计作用的发挥。
2、 培养高素质的内部审计队伍,提高内部审计质量
随着内部审计由财务领域向经营和管理领域扩展,内部审计人员不仅要熟悉精通会计、审计、法律、税务、金融等方面的专业知识,还应熟悉经营管理、工程技术、工艺流程、经济政策法规、市场环境分析等方面的知识,因此,一方面要从企业管理的各专业领域吸收熟悉业务懂管理的人才补充壮大我们的内部审计力量,同时要抓好内审队伍的培训和教育工作,及新更新内审人员的知识,提高他们的应变能力和总体素质,建立一支知识结构多元化,专业知识技能化的内部审计专业队伍,以适应对企业内部控制体系的全方位监督和评价。
3、 建立一套完整的奖惩制度
关键词:内部审计;内部控制质量;内部审计制度
一、内部审计和内部控制之间的关系
内部审计和内部控制之间有着十分紧密的联系,具有相互依存、相辅相成的特点。内部审计保证了财务报告是否可靠,而内部控制就是在前者作用发挥的时候所产生的相关影响。因此。内部审计质量的高低直接影响了内部控制的质量高低。随着大环境之下的企业管理制度的加强以及创新,学者们纷纷展开了内部审计与内部控制相互关系的研究,内部审计虽然对内部控制具有决定性作用,但是也与内控控制呈包含关系。内部审计的质量涉及到多个方面的因素,但是最为主要的因素还是负责人的素质以及审计部门的规模,对内部审计工作进行改进也就相当于对内部控制质量进行改进。
二、内部审计和内部控制制度的背景
(一)内部审计对内部控制的评价
内部审计的评价指的就是进行审计的过程当中,审计人员发生操作的一个过程,相关人员展开审计的时候就是发现内部控制存在失控以及薄弱的部位的过程就,展开内部控制时就能按照发现的问题进行控制环节的薄弱部分的加强以及对失控的环节进行控制,从而促进内部控制的加强,实现企业经营、管理水平的双双提高。内部控制的评价可以归为一种审计方法,划分了审计的难点、重点,实施审计的过程之中就是对企业整体的控制系统进行评价,审计之后得出的结果可以决定企业的发展,审计的工作量很多、过程较为复杂,因此应该对被审计业务进行总结以及检查,给出正确的评价报告。
(二)界定内部控制审计中的企业内部控制质量评价
狭义的对内部审计进行说明,那就是对财务报告是否合理和真实进行确保,对内部审计工作进行认真的负责就是对企业认真的进行负责,而审计报告的准确就是保障了外界对信息使用人员的权力。内部控制审核工作最先展开的工作要做的就是对内部控制设计进行了解,接着就是对其合理性进行评价,最后要对内部控制是否有效进行测试。内部审计具有独立性,和其他的财务不存在关联,进行内部审计的工作时不单单限制于财务报表。采用财务审计评价内部控制的时候,还需要在同一时间给出相应的内部控制的审计报告,其不需要单独的算作一项业务,只需要含有在财务报告审计之中即可。所以,为了实现加强企业的内部控制的作用,对企业的经济效益和经营效率进行提高,应该借助于较大的一个口径进行内部控制才会更为合理、合适。企业在此之下能够建立完善、科学的内部控制系统,注册会计师也可以进行业务的扩展,提升审计工作质量,避免重复的做大量无用的工作。
三、研究内部审计特征与内部控制质量的结果
(一)内部审计部门的规模
内部审计的实力主要体现在两点:内部控制的质量与内部控制的规模,同时这两点也是保障企业内部控制质量的主要因素。通常认为,如果企业的内部审计部门规模很大,那么说明其部门中专业技能员工人数也很多,表示企业十分重视内部审计,而且因为人数众多,所以内部也会产生相互的竞争和监督,对于监督以及控制的工作来说,职能会更加的有效。若是内部审计的规模越大,那么企业的内部控制之中就会发现更多的问题,同时也可以帮助企业更好的解决问题以及提高内部控制的质量。因此,就能得出如下结论:内部审计的部门规模大,内部控制质量就高,反之则相反,呈正相关的关系,同时也和内部控制的质量改进表现为正相关的关系。
(二)内部审计负责人具备的专业能力
内部审计的负责人是否具备较高的专业能力直接对内部审计部门整体的水平起着决定着性作用,进行审计的时候主要核心力量就是负责人,因此其具有的素质和能力是决定职业能力的关键因素。会计或者是审计的水平会被阅历因素所限制,通常情况下工作经验越多的审计人员会比工作经验少的审计人员工作起来更加轻松。其次,还会受到资质因素的限制,资质越高的审计人员会掌握更为全面的金融知识,同时也更懂得对思维的发散,对专业技术能力以及专业水平最好的体现就是职称,例如,国际注册内部审计师或者是注册会计师就会比普通的审计师水平要高。接着就是学历因素的限制,不同的学历表明了学习阶段学习专业课程难度的不同,同时也可以反映出负责人的不同综合素质,甚至还可以映射出其适应工作环境的能力高低以及责任心的强烈与否。除此之外,相同的工作经验是否具有也是特别重要的一个限制因素,若是审计人员在以前的工作中接触过类似或者相同的工作,那么执业态度、敏感性、谨慎性之都会更加有助于促进内部审计工作的实施。所以,若是负责内部审计的人员具有较高的专业能力,那么审计工作的开展就会更加的顺利,,换言之,企业内部控制的质量也会相应的得到提高,能及时、准确的反映问题。所以,可以对如下结论进行得出:内部审计负责人的专业能力高低和内部控制质量高低之间呈正相关关系,同样,也和内部控制质量的改进之间是正相关的关系。
四、总结
综上,本文采取理论和实证结合的方法对内部审计对内部控制所产生的影响进行了验证,本文对中小企业--内部审计制度相较而言十分完善或者披露完善。从多个不同的角度、方面分析了内部审计、内部控制之间的关系,分析结果表明,内部控制的质量与内部审计人员的专业素质和责任心具有直接的关系,公司之中内部审计的整置还会对内部控制质量的高低起着直接的决定性作用。
参考文献:
[1]吴旭辉.内部审计特征与内部控制质量探讨[J].商,2015(40):147-147.
[2]齐卉.内部审计特征与内部控制质量关系探讨[J].经济管理:文摘版,2015(9):00240-00241.
[3]张锐.浅谈内部审计特征对内部控制质量的影响[J].财会学习,2017(4):130-130.
[4]赵毅萍.企业内部审计特征与内部控制质量的几点内容[J].经济管理:文摘版,2016(1):00282-00282.
