内部控制审计范文
时间:2023-03-27 04:30:00
导语:如何才能写好一篇内部控制审计,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
(一)内部审计被认为是内部控制中的组成部分
内部控制在五个要素条件下共同组成整体框架,在这其中的控制环境要素指的是位于企业中的一些核心人员加之这些人的个别属性和他们所处的工作环境,其中包括审计会以及审计委员会、个人能力以及诚心价值观、组织结构、内部审计、管理者的理念与风格以及人力资源政策以及程序等。那么显而易见的是,控制环境中将内部审计包含了在内,然而因为环境控制又是内部控制要素里的一个,所以说内部审计也就能被看做是内部控制的一部分。然而内部审计不单单是内部控制中的一部分,还被视为监控内部控制时的一个十分重要的途径。这个监控就是指在经营活动的整个过程中向内部控制作出全方面的监督与评价,在相关程度上是有着特殊独立性的,一般来说都是由那些独立的职能部门实施内部审计的开展以及实施,此外还可以是向内部控制作出的自我评估。在进行内部审计之后,能够向除了控制环境以外的那些控制要素实施再次的控制,对内部控制进行监督,保证其有效的运行,在对其进行不断的评价与改进的过程中,使内部控制目标的实现得以促进。
(二)内部审计是对内部控制进行监控与评价的主要手段
当前,经济责任、经济效益、财务收支审计以及对特殊目的进行的专项审计是内部审计业务的主要内容。国际内部审计师协会对内部审计工作制定的新定义指出,我国内部审计在未来将以价值增值型审计、风险评估与风险管理审计作为发展的新趋势。不管是何种形式的内部审计工作,都需要对内部控制的建立以及执行的情况进行审查与评价,以此将审计的重要与审计的范围确定出来。所以说内部审计能够监督内部控制的简历以及执行的情况,是对内部控制的再控制。
(三)内部审计同内部控制之间能够相互融合与促进
内部控制由内部审计组成,在内部控制里是控制环境中的一个要素,也是企业和单位进行自我评价的一种评价活动,对于内部审计的本身来说也是一种控制。内部审计生成的一个主要产品与对象就是内部控制,内部审计能够通过审查与评价内部控制政策以及程序的有效性与健全性,能够促进建立出一个良好的控制环境。内部审计能够通过审查与评价内部控制,将组织在内部控制过程中隐含的风险点作出分析,对产生问题的原因以及引发出的一些不良影响作出评估,使内部控制能够更加的健全与有效。内部控制能够使内部审计的发展得以促进。如果内部控制能够进行良好的设计与运行,就会使审计工作得到更加顺利的开展,能够将审计工作的工作质量与工作效率提升,并且将审计的风险降低,还会帮助审计领域的扩大,令现代审计方法能够加快变革。
二、加强内部审计、完善内部控制的措施
(一)单独立项审查组织内部控制
当前,我国仍然存在很多组织内部的审计工作只是对财务数据的合法性与真实性进行查证,并没有进深到经营领域与风险管理上,一般都是在查账的过程对内部控制进行顺带的审查,不能使内部审计应当在内部控制中具有的作用实时发挥出来。对此,内部审计需要将重要的工作内容置于监督与评价内部控制过程中,应当对其进行单独立项,针对组织内部控制存在的地域风险能力并健全的有效程度加以衡量,将组织面临的各种类型的风险进行防范与化解,将组织的管理水平与运营能力提升。
(二)为内部控制提供管理咨询服务
根据相关法律规定,公司经理需要对公司的基本管理制度进行拟定。通常来说相关业务部门负责内部控制的制定阶段,业务部门往往会以自身的角度与利益为出发点对内部控制的方案进行制定,但是在这种情况下制定出的方案并没有对组织从全局上进行思考,其设计出的方案必定有很大的缺陷存在,甚至还有可能存在一些控制盲点。由于内部控制中内部审计的重要性以及内审人员了解组织内控情况,使得内部审计工作中涵盖了管理咨询服务这部分的内容。在对相关公司起草和构建基本管理制度时应当立即向内审部门提出咨询,拥有丰富经验的内审人员会以统筹考虑组织全局发展的角度给出自己的建议,在由总经理进行审阅、由董事会做出最终的决定,以此来将内部控制的缺陷在构建阶段得到最大限度的控制,使程序与制度的完善性得到了保证,进而发挥出极大的效果。
(三)合理设置并且准确定位内审机构
组织应当同国内外形势的变化相适应,进而建立出更加高效合理的现代化内部审计机构,使审计环境能够更加的良好,使内部审计能够将其在内部控制中的作用得到充分的发挥。关于审计理念需要从财务收支审计转变为对财务报告进行内部控制审计、从事后审计转变为全程审计、从查错防弊导向审计转变为价值增值导向审计、从对经营层的业务导向审计转变为战略层的治理导向审计。将服务作为立足点,将内部审计的预控功能发挥到实处,进而使组织的价值服务得以增强。
(四)对内部审计队伍加强建设
篇2
1.内部控制
内部控制是单位各级管理部门,利用单位内部因分工而产生的相互联系、相互制约的关系,对其经济活动进行组织、制约考核和调节的重要工具,其目的是为了强化和完善企业的经营管理。内部控制是衡量现代企业管理的重要标志。通过实践得出的结论是:得控则强、失控则弱、无控则乱。内部控制作为现代管理制度的重要组成部分,是现代企业管理的重要手段。内部控制是形成一系列具有控制职能的方法、措施、程序,并予以规范化和系统化,使之成为一个严密的、较为完整的体系。内部控制主要包括下面三方面的内容:
(1)控制环境
控制环境指对建立或实施某项政策发生影响的各种因素,主要反映单位管理者和其他人员对控制的态度、认识和行动。具体包括:管理者的思想和经营作风、单位组织结构、管理者的职能和对这些职能的制约、确定职权和责任的方法、管理者监控和检查工作时所采用的控制措施、人事工作方针及其实施和影响本单位业务的各种外部关系等。
(2)会计系统
会计系统指单位建立的会计核算和会计监督的业务活动方法和程序。有效的会计系统应当做到:
①确认并记录所有真实的经济业务,及时并充分详细地描述经济业务,以便在财务会计报告中对经济业务作出适当的分类。
②计量经济业务的价值,以便在财务会计报告中记录其适当的货币价值。
③确定经济业务发生的时间,以便将经济业务记录在适当的会计期间。
④在财务会计报告中适当地表达经济业务和披露相关事项。
(3)控制程序
控制程序指管理者所制定的方针和程序,用以保证达到一定的目的。具体包括:经济业务和经济活动批准权、明确有关人员的职责分工并有效防止舞弊、凭证和账单的设置和使用应保证业务和活动得到正确的记载、财产及其记录的接触使用要有保护措施、对已登记的业务及其计价要进行复核等。
2.内部审计
内部审计是指由部门、单位内部审计机构和人员进行的审计,是在单位内部建立的一种独立的评价监督部门,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其做出评价,以促进企业管理效率的提高。为了遵守国家财经法规,促进廉政建设,维护单位合法权益,改善经营管理,提高经济效益,根据《中华人民共和国审计法》和审计署《关于内部审计工作的规定》,各部门、各行业都相继建立了内部审计制度,设置了内部审计机构。
(1)建立内部审计的必要性
内部审计虽然存在着独立性不够充分的局限性,但它具有对本单位的情况比较熟悉,取证比较容易的优点,因而,容易收到审计效果。再者,我国幅员辽阔,被审单位众多,审计任务繁重,单靠外部审计的力量是不够的。因此,内部审计是外部审计的重要补充。最后,内部审计的审计范围广泛,包括财政,财务收支、财经法纪和经济效益等各个方面。显而易见,建立内部审计是非常必要的。
(2)内部审计的职能
内部审计是我国审计体系的重要组成的部分,其职能和国家审计一样,通过检查企业财务收支及其经济活动的合规合法性,以减少差错和失误,杜绝损失浪费,堵塞管理中的漏洞,保证经营方向沿着正确的轨道运行,维护国家、集体、个人的利益。在此基础上,对单位的经营情况、经济效果、经济效益进行评价、鉴证,为单位领导层决策提供依据,以利于改进经营管理中的薄弱环节,促使企业加强管理,完善规章制度,提高经济效益。由此可见,内部审计的职能可概括为经济监督、经济评价、经济鉴证的职能。
二、内部控制与内部审计的关系
内部审计与内部控制的关系问题一直是理论界争执的问题。一般可归纳为以下两种论点:一种论点认为,内部审计与内部控制是并存的。不存在谁包括谁的问题;另一种观点认为内部审计本身就是内部控制的一个组成部分,二者是包含与被包含的关系。内部控制是企业、单位由于管理的需要而建立的既相互联系又相互制约的管理体系。内部控制包括会计控制和内部管理控制两大控制系统。无论是内部会计控制,还是内部管理控制,都是作为管理手段而存在的,其目的都是为了强化和完善企业的内部管理。而内部审计则是指部门、单位内部建立的一种独立的评价监督机构,其目的是协助单位人员有效地履行职责,监督各项管理措施地执行并对其做出评价以促进企业管理效率的提高。内部审计在经济组织中处于相对独立的地位,其业务活动也具有一定的超脱性。就二者的关系,有以下观点:
1.两者相互渗透
内部审计在内部控制中属于环境控制要素范围,是单位自我独立评价的一种活动,内部审计本身就是一种控制,它按照内部控制要求,通过内部控制制度为其制定的审计程序和方法及要完成的任务、达到的目标,协助单位最高管理者监督内部控制政策和程序的有效性,来促成好的控制环境的建立,并为改进内部控制提供建设性意见。
2.两者相互促进
内部审计促进内部控制。通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。反过来,内部控制促进内部审计的发展。一个良好的内部控制,有助于内部审计工作的开展,有助于提高审计效率,降低审计风险,提高审计质量,更有助于扩大审计领域,加速现代审计方法的变革。
3.两者相互需要,缺一不可
内部审计需要内部控制。内部控制素质比任何其他因素更能决定审计的形式。没有健全的内部控制制度作基础,审计就无法开展;没有良好的内部控制,会计、财务信息会出现失真,管理人员责任会不明确,管理会出现混乱现象等,不仅会加重内部审计工作量,而且会加大内部审计的风险,从而制约了内部审计的发展。同理,内部控制需要内部审计。没有内部审计对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议,内部控制也只能原地踏步,造成与现实不符,效果不佳,甚至形同虚设,或因内部控制的局限性,给不法之徒以可乘之机,造成内部控制失控。
三、内部审计在内部控制中的作用
1.参与内部控制的风险评估
根据COSO内部控制整体框架,内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标,识别目标相关的风险,评估识别出风险的后果和可能性,针对风险评估的结果,考虑适当的控制活动。从上述过程可以看出,只有评估了风险点,才能设计有针对性的控制程序。大多数人认为全面的风险评估对于一个组织的成功已越来越重要。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业流畅的经验,也有设计企业会计计量系统的经验,但他们对评估未来风险方面的经验不如内部审计人员,美国的研究结果表明了这一点。2001年,IIA将内部审计定义为一种独立、客观的保证和咨询活动,其目的在于为组织增加价值和提高组织的运作效率,通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现目标。
2.内部审计促成建立良好的控制环境
通过对内部控制制度的评审,提供纠正错弊、完善内部控制的建议,来促成良好控制环境的建立,进而有效的促进组织的控制目标的实现。主要体现在以下几个方面:
(1)内部控制的健全、有效是一个动态的过程,因为组织的经营环境在变化,自身在不断的发展,内部控制制度应适应这种变化并相应进行调整。在这种不断的调整过程中,内部审计的职责是发现管理中是否存在的错弊,因而着重于从内部控制制度的缺陷入手进行审计,这更容易发现其存在的缺陷,进而提出改善的建议。
(2)组织的内部审计是内部控制体系的一个组成部分,诸如内部审计参与合同的评审、工程预决算的审计、费用支出报销前的审签等,就是其例证。一旦公司内部审计成为内部控制制度的一个组成部分,那么,内部审计本身作用发挥的程度,内部审计在内部控制制度运行各方面、各环节的参与度,就决定或至少影响了内部控制制度的完善和有效性程度。
(3)在企业执行分权分层管理的情况下,伴随分权,企业的部分财产相对独立地受托于企业内的分公司或部门使用。此时这些财产所有权属于企业,
而分公司或部门拥有这部分资产的经营权。为了了解这些分公司或部门履行经济责任或受托责任的情况,独立的内部审计会担当此职,行使监督职能,对其职责履行情况进行鉴证和评价使内部控制的组织保证得到了进一步的加强。
3.内部审计有效防止了内部控制失效
建立和完善现代组织中的监控机制,加强内部审计的监督力度。能有效防止内部控制失效。
(1)在企业内部建立以内部审计为主线的监控机制,对组织运行的各个环节实现不同程度与方式的监控措施,将内部审计监督行为扩展到组织运营的具体业务中。建立以“防”为主的监控防线,结合内部稽核、离任审计、落实举报、专项审计等“查”的方式。在不同层次实施内部监控措施,不仅可以及时发现问题,而且对防范和消解企业经营中的风险,将起到重要的作用。
(2)为了保证内部控制制度能有效地发挥作用,并使之不断地得到完善,企业就必须对内部控制制度的执行情况进行检查和考核,该工作由内审部门牵头并结合其他相关部门来定期执行对内部控制度执行情况的检查和测评工作。对于能严格按照内部控制制度执行的,给予精神鼓励或物质奖励,对于违规违章的,应给予相应的处罚,并应与今后职务升迁挂钩。进而有效增强内部控制执行的有效性。
篇3
医院内部审计机构设置不完善,审计人员配置不足,人员专业素质不高,难以适应内部控制审计工作量大、专业性强的需求。据调查统计,2016年重庆市二级以上公立医院设置了独立审计机构者仅占65.1%,配备有专职审计人员者占56.6%,审计人员有大专以上学历者占54.2%,认为审计人员数量能基本满足工作需求的医院仅占12.0%[2]。内部控制审计工作量大,占用审计资源多。医院内部控制审计涉及的部门、岗位人员和业务环节多,审计的范围广,时间长。从理论上讲,对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多[2]。因此,审计人员实施内部控制审计需要涵盖较长的期间才能获取足够的证据。内部控制审计专业性强,对审计人员的综合素质要求高。审计人员除具备审计专业知识与技能外,还需了解与内部控制业务层面相关的国家法律、规章和制度等,要熟悉医院各部门的规章制度、职责权限和医院的信息管理软件等,同时,还需要具备管理、协调与沟通能力。医院内部审计机构开展内部控制审计者不足50.0%,且审计质量不高。据统计,2016年重庆市二级以上公立医院内部审计机构开展了内部控制审计的单位占43.0%[3],主要存在以下困难:(1)缺乏内部控制审计实施指引。中国内部审计协会至今没有制定有关内部控制审计的实务指南,原卫生部规划财务司编印的《卫生系统内部审计操作指南》第3章只对内部控制的部分项目审计要点进行了阐述,却没有对审计方法和审计流程做出引导。(2)审计人员缺乏内部控制审计的实践经验。审计人员在开展内部控制审计时普遍存在审不明、审不深、审不服的情况[4]。表现为审计范围不全面,审计依据不充分,对内控缺陷认识不足,分不清设计缺陷与运行缺陷,审计结论只触及表面现象,缺乏对问题背后风险控制和内部管理等方面原因的分析与挖掘[5]。存在委托中介机构代替内部审计机构开展内部控制审计的误区。不少医院认为内部审计部门没有能力开展内部控制审计,就委托会计师事务所实施。但内部审计机构和中介机构对内部控制的审计职责是有区别的,相互不能替代。《企业内部控制审计指引》明确要求“注册会计师完成审计工作后,应当取得经企业签署的书面声明”。声明企业已对内部控制的有效性做出自我评价,并说明评价时采用的标准以及得出的结论;企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告[3]。因此,医院在委托中介开展内部控制审计前必须先由内部审计机构对内部控制的有效性进行审计。
2医院内部审计机构开展内部控制审计的必要性
内部控制审计是内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动(第2201号内部审计具体准则-内部控制审计)。医院内部审计机构开展内部控制审计是职责所在,同时,也是医院实施内部控制必不可少的控制要素。
2.1内部审计是内部控制的重要组成部分
内部审计既是内部控制环境要素的组成,也是内部控制的监督要素,开展内部控制审计是运用内部审计的方式来改善医院内部控制效果[6]。
2.2审计机构是独立于内部控制管理机构的监督机构
按照《审计署关于内部审计工作的规定》的要求,内部审计机构需对本单位及所属单位内部控制及风险管理情况进行审计。通过审计能对单位内部控制管理水平有着一个直观的认识。与此同时,审计信息在一定程度上能对单位不同项目的经济价值与管理形式进行反馈,管理人员通过信息可以对财务活动的专业性与合法性进行确认[7]。
2.3内部审计机构开展内部控制审计是促进单位内部控制建设的必要手段
(1)在内部控制体系的设计与建设过程中提出审计建议。内部审计对医院管理机制和经济活动有充分的了解,在医院内部控制体系建设的过程中能协助内控管理部门开展风险评估,完善医院内部控制的制度、岗位职责和流程的设计。(2)在内部控制体系运行过程中开展日常审计,及时发现控制缺陷,提出整改建议。医院的经济活动较复杂,特别是大型医院内部机构和人员岗位多,业务范围广,风险点多,控制难度大。内部审计人员能随时深入到各部门和各业务单元了解内部控制的执行情况。当医院控制环境和经济业务变动时或重要岗位人员对制度与职责疏于执行,内部审计机构能够通过定期测试,及时发现这些变动对内部控制体系的影响,提出整改建议。(3)内部审计能平衡医院的管理成本与效益的关系,提出切实可行的建议。在内部控制建设中的重要性原则是平衡管理成本与效益的原则。内部审计能深入了解医院的资源的配置与战略目标的关系,在审计过程中既要保障对组织效率具有促进作用,还要控制审计工作带来的组织资源的消耗[8],可以提出与目标实施进程匹配,兼顾管理成本与效益的建议。
3医院内部审计机构开展内部控制审计的可行性
医院开展内部控制审计面临的最大的困难是内部审计资源匮乏。但通过科学合理的策划与布局,将内部审计机构具备的优势转化为有效的审计资源,实现与内部控制全过程、全领域、全时段的融合[9],不仅能弥补审计资源不足的缺陷,还能使内部控制审计工作取得显著的成效。
3.1目标协同,相互支撑
医院审计工作的目标与内部控制的目标均是以医院的战略目标为基础的。开展内部控制审计时将审计目标与内部控制目标结合可形成相互支撑、相互促进的有机统一体,共同为医院完善治理、增加价值与实现目标服务。
3.2主动参与,把握先机
审计人员参与内部控制体系的设计与修订,能充分了解内部控制框架中相关制度、职责、内部控制流程图和内控信息化功能与权限设置,既可为开展内部控制审计获取相关信息,又能及时提出审计建议,取得事前审计的成效。
3.3部门协作,资源共享
内部审计在不违背独立性的前提下与其他部门协作开展工作,可充分了解其他部门的工作方式,共享专业人员的知识与技能、缩短工作时间。如开展设备效益审计时可与设备科、财务科共同拟定设备效益分析的方案,选定分析指标与评价标准,然后各司其职,为审计工作提供分析证据与分析结论;开展风险评估时审计部门可协同内部控制管理部门、各业务部门共同实施,通过交叉评价,能理深入地识别风险。
3.4动态检测,持续追踪
审计部门可常态化对被审计单位业务运营进行持续监测,定期进行风险评估和专项分析[10],在内部控制运行过程中追踪控制的有效性,及时提出审计意见与建议,促进内部控制持续有效地发挥作用。
3.5点面结合,合理布局
内部控制审计可以实行日常的审计业务、专项调查与专项审计等业务的整合[11]。日常审计应突出重要性与时效性,通过监测内部控制重点环节的运行情况,及时发现控制缺陷,搜集审计证据;专项审计需全面覆盖,对内部控制各个层面进行系统的、全面的评价。利用日常审计与专项调查搜集的证据,可减少专项审计实施的工作量,既弥补了日常审计分散的缺陷,又实现了资源的合理利用。
4医院内部审计机构开展内部控制审计的实践经验
本院是一所市属三级专科医院,审计科只有2名专职审计人员。为有效利用审计资源,本院不断探索开展内部控制审计的方法与实施途径,借鉴行业内的先进经验,通过不断修改完善内部控制审计制度,调整审计方案,创新审计模式,实现了内部控制审计的规范化、系统化、常态化,提高了审计的质量与效率。
4.1明确审计目标,规范审计流程
内部控制审计的目标是对医院内部控制体系设计的合规性和运行的有效性进行评价。审计范围包括内部控制单位层面和业务层面所有的控制要素:(1)围绕内部控制审计的目标与范围,从审计计划的编制、审计项目方案的制定入手,明确年度工作总目标和阶段性工作的具体化,突出审计工作重点,增强计划的科学性[12]。(2)修改完善内部控制审计工作制度,规范内部控制审计的工作方式与工作流程。采取灵活多样的审计工作方式,如日常审计(事前或事中审计)、局部内部控制的专项审计(事中或事后审计)、全面的内部控制专项审计(事后审计)等。为确保审计工作质量,根据审计法规的要求,结合本单位的实际情况,针对不同的审计方式,制定了相应的工作流程与审计工作记录表单与审计意见反馈单。
4.2延展审计时间,扩大审计范围
针对内部控制运行的特点,采取日常审计与专项审计相结合的方式,于经济活动的事前、事中、事后合理布局内部控制审计工作,按重要性原则,分别确定日常审计与专项审计的重点,将审计工作深入到内部控制业务层面的重要控制环节,及时发现问题,提出审计建议,合理保证了医院内部控制有效运行。
4.2.1预算业务控制审计
预算控制包括预算的编制、审批下达、调整、执行、分析与考核、绩效评价等。日常审计的重点为参与预算编制与调整的审查,定期抽查预算的执行。专项审计的重点为预算编制与调整的依据与说明,预算批复与分解下达指标的执行情况、预算分析、预算考核与绩效评价等内容。
4.2.2收支业务控制审计
收支控制包括收入的记账、结算、缴款、欠费管理、收据管理,重大经济事项报批、支出授权审批流程、报销支付依据等;日常审计的重点为定期抽查收费人员缴款、收据稽核、应收账款的清理、重大经济事项的事前报批与支付审批流程;专项审计的重点为收入、支出等管理制度的执行情况,重大收支项目的执行过程与效果,收入与支出核算账目与核算依据等。
4.2.3合同控制审计
合同相关业务占到医院经济业务的80.0%以上,是内部控制审计的重点。合同控制包括对签约事项的立项审批、对合约方的确定方式(采购或指定等)、合同洽谈与审批、合同执行与归口管理等内容。日常审计的重点包括合约项目的立项审批、预算、采购、审核、合同条款的合法合规性等;专项审计的重点为合同的归口管理、合同签审流程、合同执行、变更、补充与纠纷处理、质保与后续服务等。
4.2.4政府采购业务审计
政府采购控制包含了采购预算、采购计划与实施过程等。日常审计重点包括各采购项目的预算与采购计划、采购文件、采购方式与采购过程等。专项审计重点为年度的采购预算与计划的制定与执行情况、采购制度的实施情况、采购档案的保管等内容。
4.2.5资产控制审计
资产控制包括资产的取得、使用、保管、处置等业务环节。日常审计的重点包括每季度抽查现金的收付与盘点、银行存款清理对账,抽查药品、材料物资的入库、领用、盘点与对账等工作的开展情况和信息系统的操作记录,检查应收账款的清理、对账等工作,监督资产处置流程;专项审计的重点包括资产管理制度与岗位人员职责的执行情况,资产的增减变动,贵重资产的取得与处置项目的论证、审批、实施过程,货币资金、固定资产与无形资产的使用效益与管理状况,应收账款的收回周期与坏账损失,固定资产的清查盘点等。
4.2.6建设项目审计
建设项目控制包括基本建设与维修的立项审批、概算、实施过程与竣工结算等。日常审计的重点包括项目的采购、合同签审与执行、设计变更、计价与结算、工程进度、跟踪审计与工程管理等;专项审计的重点包括对基建项目的立项审批、设计、概算、合同执行进度、付款进度、项目竣工决算、建设档案管理等。
4.3创新工作模式,提高审计效率
为有效利用审计资源,借鉴行业先进经验,结合医院的实际情况,设计了灵活多样的审计工作模式。
4.3.1多维度交叉审计
当审计对象涉及内部控制单位层面与业务层面的多个控制要素时采用多维度的综合测试,可获得多项控制业务中不同层面的审计证据,取得事半功倍的效果。如审计设备购置合同时涉及单位层面的要素包括决策机制、监督机制,涉及业务层面包括预算控制、采购控制、合同控制、资产控制等。
4.3.2业务链延伸审计
抽查某业务环节上的内部控制时对其上下业务链进行延伸审计,可获取多个业务环节的证据。如抽查库存物资时可延伸抽查采购申请、采购计划、采购方式、合同执行、验收入库、领用出库、库房盘点清查、库存积压、报废物品的处置等业务流程。
4.3.3点面结合审计
开展内部控制专项审计时根据审计目标,将审计对象按照审计作业面进行分类,然后梳理各个作业面的风险点及其内部控制要素,确定审计的重点与审计方法,进行取证确认;将日常审计和专项审计中分散的审计证据进行归类总结,提炼出与审计作业面相关的信息,形成审计要点的证据链,支撑审计作业层面的审计意见。
4.3.4风险导向审计
医疗卫生机构处于高技术、高风险、高难度的行业,任何活动均会带来相应的风险,且种类复杂、专业化程度较深[13],按《行政事业单位内部控制规范(试行)》的规定,医院至少每年组织一次风险评估。本院审计科与内部控制管理办公室及相关职能科室协作开展风险评估。对内部控制单位层面和业务层面的风险进行识别,对风险的影响程度进行评估,形成风险评估报告。根据风险评估的结果确定内部控制审计的重点,识别风险控制的缺陷,提出改进建议。
篇4
关键词:内部控制审计;作用;实施
一、内部控制审计的作用
第一,优化内部控制环境。通过评价鉴定企业内部各单位、各部门受托经济责任履行情况,形成良好的激励与约束机制;另一方面通过对企业的风险管理及查错防弊,提供咨询建议,规避及降低风险,提高企业的内控能力。
第二,监督内部控制的运行。通过将检查和考核行为渗透到内部控制运行中去,针对不同环节实行不同的监督手段,不定期监控与定期检测相结合,并配合外部审计,健全监控覆盖面,及时发现业务流程中的薄弱环节,提供改进建议,防范和化解风险。
第三,提供管理咨询与建议。内部审计的职能从单纯查错防弊的保护型向管理服务的建设型转变,从检查、监督向分析、评价转变。内部审计人员除了要及时履行基本的审计职能以外,还应该结合自己的专业知识就内部控制中的薄弱或缺陷环节向管理层提供改进意见和措施,帮助管理层改善内控机制,促进企业实现内部控制的目标。
第四,评价和评估内部控制。一方面评价内部控制系统的健全性。通过学习,了解企业内部控制系统的功能,同时结合访谈、调查、抽样等审计方法,评价控制系统的健全程度。另一方面评估内部控制系统的执行程度和有效性。通过对一些控制点的穿行测试,评价内部控制系统在实际业务活动中的执行程度,了解内部控制系统是否发挥作用、效果如何等问题。
二、把握内部控制审计重点
根据COSO提出的《内部控制――整体框架》理论和《内部审计具体准则第5号――内部控制审计》等有关规定,企业内部控制审计内容主要包括控制环境、风险管理、控制活动、信息与沟通、内部监督等方面,简称COSO五大要素。因此,要全面把握企业内部控制审计的重点内容,可以分别从以下几方面入手。
第一,控制环境审计是指对企业控制环境总体情况进行审查和评价。其审点主要包括企业生产经营活动的复杂程度;企业内部管理权限的集中程度;企业管理层行为守则或类似规范;企业管理哲学及管理风格;企业文化及员工对企业文化的理解和认同;法人治理结构状况;企业各阶层人员的知识与技能;企业组织结构和职责划分情况;重要(或关键)岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训;员工业绩考核与激励机制。
第二,风险管理审计是指对企业风险管理机制及其运行情况进行审查和评价。其审点主要包括可能引发风险的内外因素;风险发生的可能性和预计带来的后果;辨识与分析风险的能力;防范和降低风险的能力;风险管理的具体方法及效果。
第三,控制活动审计是指对企业各生产经营业务实施的控制活动情况进行审查和评价。其审点主要是控制活动业绩评估系统建立及其运行状况;控制活动对风险的识别和规避情况;控制活动对实现企业经营目标的贡献;控制活动执行的有效性。
第四,信息与沟通审计是指对企业建立信息系统、获取及传递信息等信息处理情况进行审查和评价。其审点主要是获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
第五,内部监督方面对内部监督方面进行审计,应当重点审查内部监督主体状况;内部监督机制设置情况、内部监督活动实施情况、内部监督组织安排情况等。
三、内部控制审计的实施
(一)确定审计重点,编制内部控制审计计划
企业内部审计部门根据全年工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度内部控制审计计划,并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。
(二)组建内部控制审计工作组
根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
(三)编制内部控制审计方案
1.内部控制审计工作组组长负责编制内部控制审计方案。
2.内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。审计的内容:(1)合规性审计。即企业内部控制是否符合国家的法律、法规和政策;是否符合证券监管机构有关上市公司的法律、法规和要求。(2)全面性与系统性审计。内部控制涉及企业经营活动的各个方面,其内部监督和控制贯穿于投资、生产、经营、财务、监督检查等方方面面经营管理活动的全过程和全体员工。企业的每一个员工既是内部控制的主体,又是内部控制的客体;既要对其负责的作业实施控制,又要受到其他人员或制度的监督与制约。内部控制使企业内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体,确保各部门和各岗位均能按特定的目标相互协调地发挥作用,最终实现企业内部控制的总体目标。(3)内部牵制及不相容审计。内部牵制是指在部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关系,属于企业内部控制制度的一个重要组成部分。其主要特征是将有关责任进行分配,使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权,必须经过不相容的其他部门或人员的验证、核对和制约。(4)权责和奖惩审计。即审计企业是否根据各部门和岗位的职能与性质,明确各部门及人员应承担的责任范围,赋予相应的权限;制定操作规程和处理程序、手续是否可行;是否确定追究、查处责任的措施与奖惩办法,权限和责任是否合适,奖惩是否得当;是否权有所属,责有所归,利有所享,有无发生越权或互相推诿的现象。(5)成本效益审计。在内部控制活动中是否贯彻成本效益原则,即是否以最小的控制或管理成本获取最大的经济效益。是否实行有选择的控制;是否努力降低控制成本,机构和人员是否尽量精简等。(6)可操作性审计。内部控制是否符合企业实际,业务流程控制点的设置和授权项目权限的确定,是否考虑实际管理工作的可行性,能否保证其可操作性。
3.内部控制审计方案要保证能够使审计工作达到预期效果。
(四)下达审计通知
内部控制审计工作组于实施现场审计2-3日前向被审计单位下达内部控制审计通知书,通知书中明确被审计单位需要准备的资料、参加审计人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
(五)进行现场审计
1.内部控制审计工作组进驻现场后,要召开审计进点会,向被审计单位说明审计的任务,提出具体要求,并听取有关情况汇报。
2.内部控制审计工作组现场调查内部控制。(1)审计工作组审阅各种文件,询问被审计单位的员工,了解员工对相关业务流程内部控制制度的熟悉和掌握情况。(2)审计工作组按照内部控制中规定的各业务流程步骤和控制程序,将需要调查的内容事先编制成标准式的问卷调查表,直接询问或发给被审计单位和部门,有关当事人如实填写并签字后交回检查组。(3)整理问卷调查表,对照内部控制确定现场审计的重点。
3.审计工作组现场对内部控制进行符合性测试。(1)审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务,对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。(2)审计人员将测试情况(包括存在的问题和被检查单位或部门已有的改正措施)记录于工作底稿,被审计单位和部门负责人或当事人在工作底稿上签字确认。(3)内部控制审计组组长指定专人复核工作底稿,提出复核意见,必要时重新进行测试。(4)进行现场总结,与被审计单位交换意见。审计组组长负责召集小组成员对审计情况进行讨论和总结,以测试记录为依据,按照内部控制评价方法,从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面,对所检查的控制点和流程进行评价,分析被审计单位内部控制制度存在的缺陷和漏洞,评价该单位内部控制的成效,初步形成审计意见和建议,并将评价结论记录于工作底稿,审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人,并与其充分讨论沟通,交换意见,被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认,对存在的问题限期整改。
(六)撰写审计报告
内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理,完善审计意见,撰写审计报告,审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。
(七)审计问题的落实和整改
内部控制审计工作组出具审计报告是促进企业提升管理水平,而不是束之高阁。因此,应大力推进审计建议的落实和整改工作,将审计落实作为审计工作的归宿。在审计项目终结后,审计小组应及时将审计过程发现的问题及审计建议向被审计单位通报,并督促被审计单位在规定期限内进行落实,并将落实情况向审计部门通报。
总之,加强企业内部控制,建立健全内部控制体系,是企业自身的需求,也是企业面对市场风险与挑战的需要。内部审计部门更应该发挥好作用,认真总结和探索新方法、新思路,促使企业以合理成本促进有效控制,从而从根本上确保企业持续、稳定、健康发展。
参考文献:
1.中华人民共和国财政部.企业内部控制规范[M].中国财政经济出版社,2010.
2.周生玉.企业内部管理制度精细化的思考[J].凿岩机械气动工具,2003(3).
3.胡子燕.企业管理制度规范性与创新性研究[J].粤港澳市场与价格,2008(3).
4.张培东.内部控制制度建设与会计信息质量[J].会计之友,2003(5).
篇5
关键词:内部控制签证 内部控制审计 时间思路
近年来我国针对本国的国情以及发展情况,要求公众公司管理阶层应对的内部控制进行自我评价,同时也要做出对外的报告,而且要求年报审计会计应对以上管理层的行为做处鉴证,并出具相应的报告。近年来我国内部控制审计和控制鉴证不仅引起了我国监管部门的关注,同样也引起学术界高度的重视,越是关注度高,就约会引起争议,对于这个问题,我国还存在着无多理论和实际问题,有待我们进行进一步的研究。
一、了解我国内部控制审计和内部控制鉴证的政策变化
中国内部控制审计鉴证政策变迁和美国方面存在着不约而同的一样的地方,两者都是通过从最初的财务报表审计中的内部控制评价发展到内部控制审核,最后发展到内部控制审计和内部控制鉴证的过程。但是我国对强制中小板和创业板公司并没有给出什么硬性要求,这两类的公司主要采取择机实施的方式,而大范围的针对主板上市公司。我国对主板和中小板的要求是实施内部审计,实施控制内部鉴证主要是针对创业板的公司。那么不仅会引起了内部控制审计和内部控制鉴证不同,还会引起内部控制审计与内部控制鉴证执行情况的不同,等等一系列问题的探究。
二、内部控制鉴证与内部控制审计的对比
(一)在概念上区分内部控制鉴证和内部控制审计的不同
从《中国注册会计师鉴证业务基本准则》里比较清洗的表明,鉴证业务只是注册会计师对鉴证对象的具体信息作出具体的结论,可以不断的增强人民群众对鉴证对象的有关信息的信任度,这只是其中的一项任务。鉴证任务种类繁多,除了包括审计任务、审阅任务等基本的鉴证任务等,还具体到内部控制鉴证和内部控制审计。由中国《企业内部控制审计指引》可看出,内部控制审计主要负责会计事务所接受企业内部控制,进行审计并反映出行对应的建议。由此可见,内部控制审计归属于审计业务。
(二)在行为上区分内部控制审计与内部控制鉴证的不同
从行为的角度上着手,内部控制审计与内部控制鉴证既存在着相同之处,也具有一定的差异。二者都遵循《中国注册会计师鉴证业务基本准则》为行动准则,与内部控制鉴证业务还是有不同之处,内部控制审计必须严格遵守《企业内部控制审计指导》,而内部控制鉴证则要遵守《其他鉴证业务准则》。
(三)内部控制审计与内部控制鉴证在主体及对象上的差异
单从主题上说,二者主体相同,无论是内部控制审计还是内部控制鉴证,都鼓励上市公司实施会计师事务所实施的他们内部控制鉴证与审计。但是在对象上来看,内部控制审计和内部控制鉴证存在着差异。责任方设定鉴证对象信息的形式,被使用者们所获得,注册会计师只负责对鉴定对象进行有效的评价,也可以采取直接从责任方得到鉴证对象的认定。
(四)内部控制审计和内部控制鉴定在风险上的差异
内部鉴证业务的保证程度受具体的情况而定,在保证内部控制鉴证的活动中,对注册会计师提供了具体的要求,要求注册会计师将鉴证风险针对鉴证后的内部控制,降低到这个业务公司能够承受的范围,应当保持应有的职业谨慎。内部控制审计在业务风险上相比较内部控制鉴定来说,业务风险较高,保证程度也较为合理。
(五)其他方面的比较
与内部控制审计相比,内部控制鉴定在收集程序的性质、时间和范围等方面都要受到严重的限制,这就说明在在证据收集程度要求上内部控制鉴证和内部控制审计有很大的不同。而且在证据收集的数量上也有不同的要求,内部控制审计的所需要的数量较多,内部控制见证要求的数量较少。除此之外。审计师在二者之间担任的责任也大不相同,审计司在内部控制计单人的责任相对来说更高。还有就是内部控制审计业务收费与内部控制鉴证来比,也相对较高。
三、内部控制鉴证与内部控制审计的实施现状
(1)我国多数公司公司都采取足一年一次的内部控制审计报告的方式,并且在长期发展中逐渐提高,但是依旧避免不了占少数比例的公司无法满足这一要求。
(2)近年来,有关内部控制审计和内部控制鉴证的研究大量涌现,由此也发现了不少问题,例如审计、鉴证依据不统一,审计、鉴证报告名称不一致和业务类型有差异等等问题,随着相关规范的实施和完善,上市公司内部控制报告也随之不断地规范,,这些问题也在慢慢地解决当中。
四、有关于内部控制鉴证与内部控制审计更好发展的对策
通过对上文的论述,我们很容易就会发现,内部控制鉴证的要求高于内部控制审计的要求,两者在概念范畴、适用的行为规范、业务对象、保证程度和业务报告以及业务风险上都存在着很大的差异。创业板公司相比较主板和中小板的公司来说,具有规模小和风险高等不利因素,这就导致了在内部控制鉴证与内部控制审计的执行上,创业版公司在执行上更费力一些,出现的不足也相对来说更多一些。因此要结合现实中的问题和情况,采取有效的针对性措施,可以让所有不同版块都可以很好的实现对公司内部控制鉴证与内部控制审计的实施。
(一)完善内部控制审计准则和内部控制鉴证的准则
中小板和创业板和主板相比,存在着很多的差异,尤其是创业板,有带有规模小、风险高等多种不利因素,使内部控制审计与内部控制鉴证有实施造成一定的障碍。而我国现有的制度、规范又很少考虑到创业板公司的特点,实际操作方式也没有明确的了解。所以,必须对现状进行观察,对所有不同板块的特点和优缺点以及差异进行整合,使制定出来的内部控制标准能够适应不同板块,包括所有的内部控制的应用、内部控制的自我评价、内部控制鉴证、审计等具体内容。
(二)审计师应该明确内部控制鉴证和内部控制审计之间的区别和联系,需要审计师自己的正确理解
内部控制审计和内部控制鉴证大不相同,在实际的具体要求中也一样存在着极大的差异,既涵盖业务风险、保证程度和业务报告等方面,也要非常注重两者之间的联系,比如二者的主体都是会计师事务所,两者的主要目的都是对内部控制发表有效的意见和建议。审计师既是内部控制审计的主体,也是内部控制见证的主体,又同时都是二者的出具方。所以要加强审计师对内部控制审计和内部控制见证的认识,只有对内部业务进行充分的理解,才能把工作效果实现最大化。
(三)相关公司提高内部控制审计意识和内部控制鉴证意识
目前不少公司还是存在着对内部控制鉴证与内部控制审计存在着就是在找麻烦的误区,所以为了促进二者的实施,要从根本上认识到二者的重要性,增强公司自身的意识。
五、结束语
虽然内部控制审计与内部控制鉴证存在着很多争议,也存在着很大的不足之处和缺点,但是在政府和相关公司的共同努力下,这项事业一定能蓬勃发展,取得明显的成效。
参考文献:
[1]方红星,戴捷敏.公司动机、审计师声誉和自愿性内部控制鉴证报告――基于A股公司2008―2009年年报的经验研究[J].会计研究,2012,02:87-95+97
[2]李明辉,张艳.上市公司内部控制审计若干问题之探讨――兼论我国内部控制鉴证指引的制定[J].审计与经济研究,2010,02:38-47
篇6
一、AS2的产生和受到的争议
2002年,SOX被SEC接受,用来保护公司在未来不会因为缺少恰当的控制和审计关注而受到潜在的灾难性市场变化的影响。
因为SOX是一项非常广泛和彻底的法案,所以非常有必要为审计师评价那些需要遵循SOX的公司提供特定的指南。SOX的一个主要内容是成立PCAOB,负责监管执行公众公司审计的会计师事务所及注册会计师。2004年,为了使审计人员能够胜任对内部控制有效性进行评价,PCAOB了AS2,以指导审计的计划与实施。该准则关注对财务报告内部控制的审计工作,以及这项工作与财务报告审计的关系问题。
AS2提出财务报告内部控制审计的目标是对管理层就企业财务报告内部控制有效性的评估发表意见。AS2要求审计人员评价管理层应用于评估内部控制的程序方法的可靠性;复核和使用一些管理层、内部审计人员和其他人的评价过程中取得的测试结果;或自己进行测试,以形成独立意见。SOX和AS2为审计师提供的指导是模糊的,审计师为了避免诉讼,宁愿采取全面的、成本高昂的积极的审计评价。对于SOX的执行成本高、需要花费企业大量资源的非议很多,CFO们开始意识到执行SOX就好像是剥洋葱,执行完一层控制的审计还有另外一层等着被审计。遵循AS2导致了过度审计。CEO和CFO整天忙于为了保证公司的披露控制和内部控制有效性而努力。AS2面临的挑战包括:资源和金钱上的高成本;在最小风险领域花费的努力和金钱;外部审计师不能使用其他人员的工作成果,导致冗余和重复劳动。
二、AS5的产生和主要修改内容
AS5是对许多公司面临的成本和收益困境的必要的回应。AS5使一个企业执行SOX的合规努力更加容易,减少了相关的成本,节省了时间和金钱。这项准则也可以把企业的焦点重新引回到对项目的风险管理上来。
1、AS5的主要目标
虽然AS2的原则还被保留,但是PCAOB的人员指出新准则变化的程度还是不容低估的。这些变化主要关注审计质量的提高,与PCAOB在2006年12月提出的四个目标相一致。
(1)关注最重要事项的内部控制审计;
(2)消除为了取得目标利益不必要的程序;
(3)提供根据公司规模和业务复杂程度来调整审计工作的清晰的、可以操作的指南;
(4)使准则简单化;
2、AS5的主要变化
AS5是基于由上而下的方法和风险导向来评价内部控制。几个主要的变化可以大量减少合规成本并且保持投资者的信心。
(1)由上而下的方法(Top—downApproach)
使用由上而下的方法来评价内部控制意味着一个组织的内部控制评价是从实体层面控制(entity—levelcontrols)的角度开始,再发展到过程层面控制和账户层面控制(process/accountlevelcontrols)。新准则包括了对实体层面控制三个层次的分类以及每个分类如何影响其它控制的测试。分类包括:①对财务报告要素有直接影响的实体层面控制(direct);②对财务报告要素有间接影响的实体层面控制(indirect);③用来监控其他控制有效性而设计的控制(monitor)。
检验实体层面的控制,首先要保证内部控制的评价按照最普遍和最重要的顺序排序和检验,然后再到最细节和详细划分的地方。目的是集中精力检验关键的控制,借此来避免强调次级控制。减少一些过程层面控制的测试范围对于降低成本的影响是有显著效果的(dramatie)。
在采用由上而下的方法以前,通常都在交易或者过程层面控制执行广泛的测试,而不考虑在更高的层面上是否存在有效的控制。更高层面的控制包括一些项目,比如回顾、差异分析、审批和其他的监控方式。在很多情况下,对更高层次控制进行恰当的确认和适当的考虑能够减少,甚至完全消除过程层面控制的测试。
(2)充分利用风险导向的方法(LeveragingRisk—basedMethodology)
风险评估不仅局限于辨别数量上重要的账户,也可以评价所有和财务报告相关的控制。可以定量的风险需要和账户、过程和控制相关联,来评价相应的舞弊风险、IT独立性、对管理人员越权(managementoverride)的敏感性。这个评估的结果会使关注点集中在合规项目和相关高风险领域的测试,同时显著地减少测试工作和控制失败的机会。通过评价和区分风险,审计师减少了低风险控制的测试,集中精力发现和评估承担着风险的项目。
AS5也同样要求在IT控制中使用风险导向的方法。IT风险是辨认和分析财务报告风险的拓展。通过把IT风险评估作为财务风险评估的一个组成部分,企业能够减少花费在设计和应用信息技术控制上的资本支出的金额。在财务报告风险评估的过程中,通过辨别和重要的IT应用相关的风险将会保证时间和资源的合理使用。IT控制通常是最有效率和效果的控制手段,因为一旦被应用就不会被改变。
(3)使用其他人工作成果的能力(usetheworkofothers)
PCAOB不再推荐使用准则《在审计中考虑和使用其他人的工作》(ConsideringandUsingtheWorkofOth-ersinanAudit)。相反,PCAOB的人员把这个准则中重要的方面整合到AS5中,鼓励审计师使用公司员工和内部审计师的工作成果。现行的AU322条款依然有效。
在评价企业的控制的时候,AS5允许外部审计师依赖其他人的工作成果。这个新的使用范围使得公司能够允许外部审计师依赖已经完成的交易测试和已经被管理层应用并且经过内部审计人员检验的控制,从而减少不必要的程序。
外部审计师在确定是否依赖其他人工作的时候要考虑三个因素:被测试事项的性质;执行测试人员的专业胜任能力;执行测试人员的客观性。
考虑到外部审计的功能和责任,内部审计的过程越精确,外部审计师就越会信赖内部审计,执行更窄、更有效的测试范围,从而节省了劳动和成本并且同样保证了有效。
AS5使用其他人工作的范围包括分享管理当局、内部审计师和外部审计师所掌握的情况,极大地提高了效率。因此,有效地执行AS5的合规策略时,在可能的情况下,鼓励内外审计师的协作很重要。
(4)豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求
这可以大大减少审计时间,降低审计成本。PCAOB的人员声明在他们编写最终准则的过程中,非常注意区分审计师和管理当局在角色和责任上的差异,管理当局的评估和审计师的评价是相互补充的,并且必须都以加强财务报告的可靠性的思想来执行。因此,管理当局日常的与内部控制的互动使他的评估过程不同于审计师,审计师对于企业的熟悉程度远不如管理当局,也不会像管理当局那样经常地、有规律地与内部控制互动。
(5)审计师可以根据企业规模和复杂性调整审计工作
AS5整合了之前关于根据规模和复杂性调整审计工作的讨论,去掉了AS2中关于审计工作规模的单独的部分。PCAOB的人员也指出未来的准则。他们计划放松对于小企业和较少复杂性企业的内部控制审计的审计工作规模,这使得审计师可以根据每个公司的实际情况来调整审计工作。
3、AS5的其他变化
(1)统一PCAOB的审计准则和SEC的管理层解释指南中的术语
在可能的情况下,努力使得两个文件中的术语、定义和方法保持一致,使两个文件在关于ICFR的评估和判断过程相一致。例如:实质性薄弱环节(materialweakness)和重大缺陷(significantdeficiency),用实体层面控制(entity—levelcontrols)取代公司层面控制(company—levelcontrols)等。
(2)澄清了穿行测试的要求
在分析过评论意见之后,PCAOB的人员认为AS2对于穿行测试的指导掩盖了目标(overshadowedtheobjective)。因此,新准则要求审计师更加关注穿行测试的目标,而不是程序本身。不是特定类型的检查需要穿行测试,而是准则要求审计师获得对可能的错报的有效理解并且确定需要测试的控制。
(3)强调审计师的职业判断
AS5减少了说明性需要的数量,去掉了对于重大过程和交易事项主要分类的指导,允许审计师根据准则的原则执行更多的专业判断。可能导致不必要审计程序的强制性用语“必须”和“应该”的数量减少,允许审计师根据公司的实际情况安排审计的性质、时间和程序。因此,最终的准则非常强调审计师的职业判断。
(4)欺诈控制
欺诈评价是SOX合规项目中的重要组成部分,每个公司都有欺诈风险的固有水平。控制必须被设计成强调管理层越权的风险。对于欺诈的考虑贯穿到整个实体层面控制和其他普通控制的测试中,审计师应该在过程中就考虑控制如何能被合作方的逆向意图击溃。评价欺诈控制需要对企业有详尽的了解来形成企业存在舞弊可能的判断。理解那些在财务报告过程中起影响作用的财务报告环境很重要,包括品质、态度、伦理道德、动机和压力等。
对于小型的、组织结构简单的公司,评价管理层越权的风险在欺诈控制因素别重要。管理层可能的越权行为有:故意错报收入的性质和时间;记录虚假的交易;改变交易的合理的时间;建立或者反向操作结果;改变重要的或者非经常交易的相关记录。
理解企业的预算状况也很重要。对于不切实际的预算的早期质疑能有效地防范管理层控制越权来实现不切实际的目标。
三、AS5的预期执行效果调查
会计师事务所已经把AS5的基本原则融入了自己的工作当中。Eisner会计师事务所董事JohnFodera说:“这减少了多余的和不必要的工作,降低了客户的成本。”在AS5的变化中,对于降低审计成本最重要的修订是允许外部审计师利用其他人的工作成果。一项调查显示,超过60%的企业(不包括尚未执行的小型企业)在审计师以外聘请咨询顾问来帮助达到404条款的要求。管理层聘请外部咨询顾问的动机和审计师对这些动机的理解在审计师决定是否依赖这种特殊的审计证据时起到重要的作用。
Blaskovich&Mintehik(2007)对这个问题进行了调查,对“四大”中的两家的92位审计师发放调查问卷,两家事务所的审计师分别为34位和58位。其中,合伙人占3%,高级经理占14%,管理者占13%。高级人员占38%,普通员工占32%,75%的人持有CPA证书。调查结果表明,62%的人认为聘请外部咨询顾问表明了管理层评估内部控制状况达到合法的意图,只有13%的人认为是一个企业内部控制存在问题的信号,另外的25%保持中立的观点。74%的人反对或者强烈反对管理当局聘请外部咨询顾问从审计师的视角出发来掩盖潜在的缺陷的观点。总之,结果表明外部审计师把企业聘请外部咨询顾问看成是一个积极的反应,并且会减少外部审计师的审计风险和审计时间。
PCAOB明确表示在执行新准则的时候减少审计时间是一个目标,无论审计师采用咨询顾问的工作成果还是采用内部审计师的工作成果,都会实现AS5减少审计时间的目标。
四、启示
从AS5修改的内容和预期执行效果调查可以得到以下几点启示。
1、AS5提高了企业遵从SOX404条款的效果和效率。程序的简化,审计时间的减少和合规成本的降低,将更有利于SOX404的有效执行。企业遵从SOX的合规成本降低,也会增加美国资本市场对外国公司赴美国上市的吸引力。
2、AS5引导企业从风险的角度看内部控制。在制定评估程序时,采取由上而下风险评估的方法,着重于未有效实施内部控制而导致财务报告有重大错误的风险,从了解财务报告的固有风险开始,首先找出重大风险科目及其组成项目、相关交易的种类。并评估实体层面控制,然后设计交易层面控制,搜集相关风险已适当控制的证据,以取得评估的有效性。新晨
风险管理和内部控制是一个硬币的两个方面,执行SOX404不是要增加更多的控制过程。使企业被众多复杂繁琐的控制掩埋,而是应该把内部控制放在风险管理中来考虑,保证控制能够有效实施。
在国际会计师联合会(InternationalFederationofAccountants,IFAC)的企业职业会计师委员会(Profes-sionalAccountantsinBusinessCommittee,PAIB)计划在2008年的原则导向内部控制实务指南中也特别强调从风险的角度看内部控制。2007年8月,PAIB委员会了一项新的研究报告——《从风险角度看内部控制》(InternalControlFromaRisk—BasedPerspective)。这份报告主要由资深财经记者RobertBruce对10名商界的高级职业会计师的访谈构成,访谈涉及这些会计师在建立有效的内控系统和风险管理之间的联系方面丰富的经验和深入的见解。构成了内部控制实务指南的制定基础。
篇7
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出,其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的安全性、完整性、效果和效率等方面。通常,信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业保险基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的实践,就相关审计内容与方法谈一下肤浅的认识。
一、信息系统的一般控制及审计方法
信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。目前,被审计对象一般是在日常运行的信息系统,因而,我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计,判断信息系统的安全性、可靠性。
1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括:系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中,使用该方法发现信息系统中部分用户的不相容的操作权限未予分离,征费员既有收费等征收管理的权限,又有车辆类型管理、费率设置、修改缴费标准等权限。
2.操作控制。操作控制是用来控制信息系统的操作,以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括:系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时,操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。如在养路费项目中,使用该方法发现存在操作人员使用其他用户进行操作信息系统的情况,操作控制不严,有3名协管员于2005年10月至2006年6月期间,擅自使用领导的用户名及密码先后8次私自减免5辆汽车养路费滞纳金。
3.灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时,为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。
二、信息系统的应用控制及审计方法
信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能,包括输入控制、处理控制和输出控制。通过对系统的应用控制功能审计,检查应用系统本身是否存在漏洞和功能缺陷,评价信息系统的可靠性、效果和效率等方面。
1.输入控制。输入控制确保输入数据的合法、准确和完整,包括:数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计可以采用以下方法检查系统输入控制。
(1)面谈法、观察法。审计人员采用与操作人员座谈、现场观察系统输入控制,可以初步了解系统输入控制情况。
(2)测试数据法。审计人员设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。如在社保审计中,审计人员通过测试数据法,发现存在参保人员重复开户问题,系统输入控制不严,进而发现重复征收失业保险费、养老保险费等问题。
(3)数据验证法。主要是通过检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性,包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。如在养路费审计中通过数据库主表与明细表数据的核对和检查,审计发现系统对部分业务数据保存不够完整和正确:部分养路费滞纳金减免记录在减免明细表中记录不完整、部分养路费缴费记录存在缴费总表与缴费明细表记录不符。又如在养老保险基金审计中通过对养老保险系统保存的地税征收的养老保险费数据与地税部门实际征收的数据比较核对,发现系统保存的地税征收的养老保险费不够正确和完整,原因在于地税部门没有提供标准格式的征收养老保险费情况的电子数据,社保部门通过手工将地税征收的养老保险费数据输入系统。
2.处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。审计可以采用以下方法检查系统应用控制。
(1)抽样数据法。审计人员从被审单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。如在被征地人员养老保障审计中,审计人员通过对不同类型参保人员个人账户计息情况抽样审核,发现部分个人账户计息不正确。
篇8
关键词:内部控制;内部审计;关系;作用
内部审计与内部控制都是企业规模与经营范围扩大的产物,是企业为实现经营目标而采取的重要手段,是企业为了完善管理而采取的措施。内部审计是内部控制的重要组成部分,也存在相互依赖和相互促进的关系,在企业内部控制系统中发挥着重要的作用,对于建立健全的内部控制体系,促进企业健康发展具有重要的意义。
一、内部审计与内部控制的含义
《国际内部审计专业实务框架》将内部审计定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。其目的是协助单位人员有效履行职责, 监督各项管理措施的执行并对其作出评价, 以促进企业管理效率的提高。
内部控制是指组织内部为实现经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证遵循国家法律法规,提高组织运营的效率及效果,而采取的各种政策和程序。内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。
健全有效的内部控制可以为组织健康发展提供有力保障,从而促进组织目标的实现。内部审计的重要工作之一就是审查被审计单位内部控制的适当性、健全性和有效性,促进组织的整个管理活动不断优化。
二、内部审计与内部控制的关系
(一)内部审计是内部控制的重要组成部分
内部审计是为了加强内部经济监督和经营管理的需要而发展的,对企业内部的经济活动起着监督的作用,各项经营管理活动是否达到预定目标,是否遵循单位的规章制度等进行监督,它是内部控制体系的一个组成部分,在内部控制中属于环境控制。内部审计的各要素都影响着内部控制的监督目标的实现,是影响内部控制制度正常运行的重要因素。内部审计的本身就是一种控制,它是按内部控制的要求,通过内部控制制度制定的审计程序和方法,评价和监督内部控制程序的有效性。
(二)内部审计对内部控制进行再控制
内部审计是内部控制的特殊方式,在内部控制框架中具有独特身份,即内部审计既是内部控制的组成部分,又具有不同于其他内部控制要素的相对独立的身份,对其他内部控制要素进行再控制的职责。内部审计部门作为组织的监督机构,它独立于会计系统控制之外,代表管理层对整个内部控制制度的完整性和有效性进行评价,通过分析问题产生的原因,协助企业管理,完善内部控制,促进内部控制制度的健全,维护内部控制的建设。
(三)内部审计与内部控制相辅相成,缺一不可
内部审计与内部控制之间相互促进、相辅相成。内部审计是内部控制的重要组成部分,是内部控制中的控制环境要素,是单位自我评价的一种活动,其本身就是一种控制;内部控制是内部审计的主要产品和对象,内部审计通过对内部控制政策和程序的健全性和有效性的审查评价,促成良好的控制环境的建立,并为组织最高管理层提供改进内部控制的建设性意见。
内部审计通过对内部控制的审查与评价,发现组织内部控制的风险和薄弱环节,分析问题产生的原因,评估造成的不良影响,协助管理层不断完善内部控制,促进内部控制的健全和有效。内部控制促进内部审计的发展。一个设计并运行良好的内部控制,有助于内部审计工作的顺利开展、提高审计工作效率降低审计风险,同时也有助于扩大审计领域,加快现代审计方法的变革。
三、内部审计在企业内部控制系统中的作用
(一)内部审计对内部控制系统起着防护和建设性的作用
内部审计可以监督内部控制的运行,评价其完整性、合理性、有效性,督促企业各部门的各种经济活动按照合理、合法、稳定、可持续发展的原则运行, 防止问题的发生或及时发现内部控制系统在设置和运行方面存在的不足,及时纠正错弊,消除隐患,促使企业的业务管理、监督与控制活动能正常运行,达到预定的目标。内部审计可以为内部控制提供管理咨询服务。内部审计针对内部控制的建立,参与重大控制程序的制定,在内部控制的实施过程中,针对管理和内部控制的缺陷,提出建设性意见和改进措施,完善企业的内部控制,促进企业不断改进经营管理水平,增强竞争力,提高获利能力,有助于经济效益的提高。
(二)通过内部审计完善企业内部控制的信息与沟通系统
内部审计通过对企业业务流程与管理活动的审查与分析,评价信息系统的健全性、完整性和安全性,帮助企业建立完善的信息系统,确保信息的质量,使管理层能够作出合理的经营管理决策。此外,在企业日常经营管理过程中,内部审计应从中间的立场对管理当局与所管理的部门之间、部门与部门之间进行适当的沟通,客观地评价各部门的工作,使管理当局能够及时、充分的了解经营活动存在的问题,并迅速采取有效的管理措施。内部审计通过与管理当局之间的各种沟通,使各部门的权力、责任和利益有一个明确的规定,有助于各方面之间减少分歧、达成共识,形成明确的沟通机制,使内部控制系统能良好的运行。
(三)通过内部审计改进企业整体内部控制系统
内部审计的重要职能是经济监督,内部审计人员不从事具体经营活动,独立于其他业务部门,使审计人员可以从全局出发、从客观的角度,评价和分析各部门实施内部控制的情况,及时采取措施调整内部控制制度。内部控制系统实质上是一个“动态过程”,随着时间和环境的变化,原本有效的政策和程序可能会变得无效,内部审计对政策与程序的制定、执行及效果进行监督和评价,以便满足管理当局根据环境变化来调整内部控制系统的需要,确保内部控制系统完整、有效。
四、内部审计与内部审计关系的案例分析
《中国青年报》2001年10月报道,华润总公司下属子公司――润琛进出口有限责任公司的总经理刘玖及副总经理邹秀海以本公司的名义对外借款一千万元,在刘、邹二人的授意下,该公司的业务员杨三伪造了外贸合同。趁华润总公司管理不严时,连续在中国建设银行骗取了该公司的远期信用证4张,共计美元2643万元,换成人民币为2.19多亿元,将其挪用。经过检察机关查证,华润瑞琛进出口有限责任公司是一个只有10多人的小公司,内部有些合同随便摆放,这给不法犯罪嫌疑人提供了方便。
篇9
1、内部控制。内部控制是指由公司管理层及全体员工实施的,以实现企业合法经营、保全资产、及时准确披露财务报告及附注,提高企业效益,促进企业可持续发展为目标,提供合理保证的过程。
2、内部审计。内部审计是对企业经济活动的有效性进行独立监督和评价,以提高企业价值、改善运行效率为目标。它通过系统化、规范化的方法进行风险管理,对企业活动进行控制,客观的评价其运行效果,从而协助企业实现目标。
二、在公司治理中的定位及作用
(1)内部控制与公司治理。由于两权分离,产生了问题,公司治理主要解决就是股东与管理层的利益冲突。公司治理结构是指由股东大会、董事会、监事会等组成的用来约束经营者的行为的控制制度。其核心目标是使公司能够有效地运行,提高经营绩效。内部控制作为现代公司内部管理的重要组成部分,是在长期的经营活动中逐渐形成的。内部控制在公司治理中的作用主要表现为保证国家政策、方针的贯彻实行、保证会计资料真实和准确、防范公司特别风险、保全企业法人资产的完整、提高企业绩效等。因此,良好的公司治理结构和有效的内部控制制度只有结合起来,进行有效的互动,才能有效防范企业面临的风险。
(2)内部审计与公司治理。公司治理的目的是通过建立内外部监督机制,实现对管理层的控制,解决其与股东的矛盾,保证企业经营目标的实现[4]。内部审计是公司治理的组成部分,通过内部审计报告,能够对管理层活动进行监督和控制,协调管理层与股东的利益冲突。而公司治理的发展推动了内部审计的发展,内部审计的发展也能进一步完善公司治理。公司治理的目的决定了内部审计的主要内容,即内部审计在一定程度上,要监督企业内部控制制度的执行情况,注重内部控制制度的执行效率。相对于外部审计,内部审计的独立性受到一定程度的制约,但其也有自身的特点。由于内部审计人员对于企业流程及运作情况熟悉,因此能够及时将相关情况反映给治理层,及时性较强。
三、内部控制与内部审计关系
(一)内部审计是内部控制的组成部分
内部审计是内部控制的重要组成部分,是企业经营运作的手段,是公司治理的重要内容,在公司治理中发挥作用。内部审计是内部控制缺一不可的组成部分,即内部审计是内部控制中控制要素的一部分,是对企业经营过程的自我评价。它本身就是控制活动的一种,内部审计根据内部控制的目标,通过内部审计程序和方法,对经济活动的独立性和有效性进行监督,协助管理层促进良好控制环境的形成,并为改进内部控制提出独到的意见和建议。因此,内部审计是内部控制中控制活动的组成部分。
(二)内部审计在内部控制中的作用
随着两权分离程度日益加深,内部审计对内部控制的作用日渐明显。内部审计是为加强现代企业经济监督和经营管理需要应运而生的,因此,它也是一种管理控制活动[8]。而内部审计的一个重要功能是评价内部控制的执行效果,通过监督组织的业务活动,评审内部控制是否健全、有效,再提出建议,从而改善内部经营管理,降低企业经营风险,提高经济绩效。内部审计虽然不具有很强的独立性,但由于其对内部经营熟悉,能够及时发现问题,因此,它也是改善企业管理的内在需要[9]。基于内部审计的作用角度,我们认为内部审计是对内部控制执行效果的内在监督,区别与外部审计的监督形式。这是因为内部审计是监督及评估内部控制制度的执行过程,维护内部控制的目标。
(三)内部审计保障内部控制的执行
篇10
【关键词】内部控制;内部审计;措施
内部审计既是企业内部控制体系的一部分,又是内部控制体系有效性的确认者,参与企业内部控制体系建设,确保企业内部控制持续有效运行,既是企业内部审计的法定职责,也是企业内部审计的发展机会,对内部控制与内部审计的联系进行研究,对于开展内部控制和内部审计工作具有重要意义。
一、内部控制和内部审计的内容
1.内部控制
企业的内部控制是指企业为了保证业务活动的有效进行和资产的安全完整,防止、发现和纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策、措施和程序。1995年美国COSO委员会对内部控制作了如下描述:内部控制是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程,包括五项要素: 控制环境、风险评估、控制活动、信息与沟通、监督等内容。
2.内部审计
内部审计是由参与企业管理的各部门、各单位内部设置的专门机构或人员实施的审计,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其作出评价,以促进企业管理效率的提高。现代企业内部审计工作主要涵盖以下内容:(1)财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明;(2)经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任审计和年度经济责任审计。(3)经济效益审计。审计重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果作出判断和评价,其中基建工程预决算审计应为重中之重。(4)内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。(5)开展明晰产权的审计。审计明晰其产权归属,避免造成国有资产、集体资产流失或其他有损企业利益的行为。(6)其他审计。结合企业自身行业特点,开展对经营、管理等方面的审计工作。
二、内部控制和内部审计的关系
1.内部控制和内部审计是公司治理的内在需求
(1)公司治理是现代企业制度的永恒命题
所有权与控制权的分离是现代企业制度最显著的特征之一,伴随着股份制公司的诞生和发展,从股东到公司员工的层层授权和,就成为公司内外部各利益相关者最为核心的关系。为了防范可能发生的委托人与人的利益目标错位甚至背离,规避可能存在的人为自身利益而损害委托人利益,即所谓“道德风险”的发生,在公司治理的理论和实践中,各种对人的经营管理、经营绩效进行有效监督和控制的制度安排和控制机制被设计和制定出来,并逐步形成了“关系框架+制度安排+控制机制”三者合一的公司治理架构。
(2)内部控制是公司治理的核心内容
公司治理既是一个静态的组织架构和控制机制,也是一个动态的螺旋式不断趋向完善的过程。在公司治理初始,治理目标定位在防范“道德风险”,治理手段主要依靠资本市场的作用和社会中介的会计控制。随着全球经济一体进程的加快和跨国公司的发展,人们把关注的目光,从道德风险转移到管理风险、经营风险、被兼并风险上,因为这些风险对企业生存和发展具有生死攸关的意义,公司治理的目标也从股东和公司利益最大化,转变提升为公司价值的最大化,这些都迫切需要在企业内部建立起自我约束、自我控制、自我监督的内部机制,与外部约束、控制和监督形成合力,共同承担起建立科学严密的公司治理机制、完成公司治理任务的重任。
从审计署披露的审计公告情况来看,目前国有企业经营管理中出现的问题主要表现在:一是部分单位执行国家法律法规和集团公司各项规章制度不严格,私设“小金库”账外账、乱拆借、乱担保、违规经营等问题时有发生,问题性质相当严重;二是有的单位采购管理内部控制不严,人为加大采购成本,收受回扣,滋生腐败;三是有的单位擅自组织职工集资入股,组建与母体企业有密切关系的多种经营实体,并向这些单位大量让利,造成母体企业效益流失;四是有的单位违规动用企业资金和补充养老保险资金进行股票炒作和委托理财,形成较大的资金风险;五是部分单位多级法人和多级管理现象严重,体制机制不完善,经营管理散乱,造成决策失误、经济责任不落实、国有资产流失。这些问题产生的原因虽然是多方面的,但内部控制不严、内部审计不力、内部监管不到位是不容忽视的重要因素。
(3)内部审计是内部控制的重要手段
事实证明,股份公司挂牌上市,并不等于现代企业制度就已经建立了,如果没有公司治理,或者公司治理不到位,就不是真正意义上的现代企业制度。原审计署审计长李金华在总结我国内部审计工作的优势和不足的时候,针对内部审计存在的“重监督轻服务、重结果轻过程、重财务轻业务、重合规轻效益、重单项轻系统、重当期轻长远、重查处轻建议、重独立轻互动”等问题,多次强调“内部审计机构很重要的一点,就是为你所在的单位、部门在加强管理、提高效益、建立良好的秩序方面发挥作用,这就是内部审计的主要目标”,提出了要“把内部审计作为一个控制系统,而不是一个检查系统”、“内部审计要以效益审计和管理审计为主”、“内部审计要以事前、事中审计为主”、“内部审计要以体现中国特色为主”等全新的内部审计理念。为内部控制、内部审计在公司治理中的地位和作用指明了方向。
与外部审计相比,内部审计在健全公司治理机制特别是强化内部管理和控制方面具有得天独厚的优势。与时俱进的内部审计,应该围绕公司治理机制的健全完善,以风险控制为导向,以监督检查内部控制活动有效性为主线,以促进提高风险控制能力为目标,坚持跟着风险走,哪里有风险,内部审计就跟到哪里,在公司治理中发挥出更大的作用。
2.内部审计是对内部控制的控制
内部审计独立于会计控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,具有其他任何部门和控制所无法代替的重要作用。现代企业制度下,内部控制审计已成为内部审计工作的重要内容,通过对内部控制的监督、检查,企业能够纠正和处理制度执行过程中出现的偏差和错误,使生产经营活动按照预定的目标和方式,在有效的控制下规范运作。
(1)内部审计对内部控制的评价和监督主要同通过以下几条途径实现。一是开展财务收支审计时对与会计控制系统相关的内部控制进行评价监督;二是开展经常性的管理审计时对内部控制系统的评价监督;三是通过企业对“非正常事件”的处理,及时发现内部控制薄弱环节,提出完善建议。
(2)内部审计对内部控制评价和监督的程序与方法。一是了解企业的内部控制情况,并做出相应的记录。二是初步评价内部控制的健全性,确认控制风险。三是实施控制测试证实有关内部控制的设计和执行的效果。四是评价内部控制的强弱,最终评价控制风险,并针对内部控制的缺陷,确定实质性测试的时间、范围和程序。五是审计人员对在审计中发现的内部控制问题进行汇总、整理,分析问题产生的原因和可能带来的后果,提出有效的改进措施。
三、加强内部审计,促进内部控制的措施
从前述内部审计对内部控制的关系分析可以看出,要解决企业内部控制一系列问题,充分发挥内部审计的功能为内部控制服务是非常重要的。
1.对内部审计机构进行合理设置与科学定位
加强内部审计控制,要解决内部审计机构的设置与定位的问题。内部审计组织机构是内部审计工作的基础,科学、有效的内部审计组织机构,是内部审计发挥作用的关键。为了充分发挥内部审计在内部控制中的作用,企业在设置内部审计组织机构及对其定位上,应坚持独立性原则和权威性原则。另一方面,组织地位的提高,独立性增强又为内审人员卓有成效地履行职责,发挥内审的职能作用提供了条件。
2.内部审计从事后审计逐步向事前及事中审计转变
目前我们的内部审计都属于事后监督,事后监督只是会计控制程序的最后一个环节,是在会计事项发生后,对会计凭证和资料进行全面监督,因而,事后监督概念所包括的监督内容和范围相对狭窄。随着市场经济的建立和发展,单一的事后监督已不能满足经营管理的需要,这就要求内部审计的工作重心逐渐向事前、事中监督转移,这将对企业内部控制进行全过程、全方位的监督和评价以最大限度地发挥资产经营的效益。
企业的生产经营过程必然经历计划与实施两个阶段,我们应该把事前审计与事中审计穿插在其中。首先是对企业的各类计划中的各项指标进行必要的审核,尽量避免决策失误。接着是事中控制,内审人员应该对日常管理工作进行监督与审核,在业务发生后的第一时间履行监督职责,这样可以在错误发生后及时进行整改,避免“亡羊补牢”的情况发生。