时间:2023-03-16 17:32:57
导言:作为写作爱好者,不可错过为您精心挑选的10篇内控审计论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
内部控制制度,主要是注册会计师有从事的审计业务即对合计会计报表的审计过程来实现。一般包括:审计准备、审计实施和审计终结三个阶段。由于审计风险始终贯穿其中,因此,有效地控制审计风险必须控制审计的三个阶段。
一、审计准备阶段审计风险的控制
审慎选择被审单位,选择一个好被审单位在很大程度上可以减少或部分降低审计风险。在决定承办审计事项后,为了做好审计计划工作,注册会计师应充分了解被审单位的经营业务及所属行业的基本情况,以便弄清楚对会计报表具有重大影响的事项、交易及惯例。认真调查了解被审单位的内部控制制度。对被审单位的内控制度进行评价时,首先要调查了解被审单位的内控制度的执行情况,并做好记录;其次,要对被审单位的内控制度实施符合性测试程序,证实有关内部控制制度的设计和执行效果;第三,要对被审单位内控制度的强弱程度进行评价,即评价被审单位的控制风险水平的高低。
若内控制度执行得好的被审单位,相应的控制风险也较低,反之亦然。了解被审单位内控制度的实施情况,可以确定在内控制薄弱的领域扩展审计程序,以便在实质性测试过程中采取相应的对策来降低审计风险。与业务委托人签订明确的审计业务约定书,并取得其管理当局声明书。审计业务约定书具有法律效力,它是确定会计师事务所与委托人之间权利和义务的重要文件。它规定了所执行业务的性质、审计对象、双方的责任即会计责任和审计责任等事项。被审单位管理当局声明书是一份表明其对所提供的会计报表及相关资料的真实性,并对审计工作不加以限制的书面证明,这对减轻注册会计师的审计风险具有十分重要的作用。
二、审计实施阶段审计风险控制
根据审计计划确定的范围、重点、步骤和方法等,进行取证、评价,借以形成审计结论,这是实现审计目标的中间环节。它是审计全过程的中间不可缺少的步骤,其主要工作应包括:对被审单位内控制度的建立和遵守情况进行符合性测试,根据测试结果修订审计计划;对会计报表项目的数据进行实质性测试,根据其测试结果进行评价、鉴定。在这一阶段中,注册会计师不可能把全部的错误事项都审计出来,所以审计风险总是存在的。这就要求注册会计师自己应严格遵循专业标准的要求执业,时刻保持慎重的警惕,尽量降低审计风险。
在审计过程中,注册会计师应特别注意以下几点:
(1)对于接近资产负债表日的大量产品销售收入应执行有关的审计程序;
(2)对资产负债表日后一段时间的有关业务的执行必要的审计程序;
(二)对内部控制进行评价与监督一方面,当企业管理活动与内控完全融合时企业内控运行过程就等同于企业经营管理过程。内部审计人员应将内部控制原有限制充分考虑进来以评价内部控制,同时还要充分围绕内控目标,对企业会计制度、控制环境、交易授权以及机构设置等内控内容进行考量,审查内控执行状况,评价内控有效性、合法性以及健全性,提升会计信息的可信度。因此对内控进行评价,促进内控程序的修订与完善是内部审计重要作用之一。另一方面,内部控制具有整体性,包括文化、程序以及制度等,结合系统论相关观点,系统持续改进与运转效率均密切关联于监督,因此在风险管理框架中都把监督当做主要内容,并将其放于最顶端。内部审计就是对内部控制进行再控制,在企业内部中内部审计不会参与任何经营管理活动,但是对内部控制又极为熟悉,因此在内部控制中内部审计充分发挥监督作用。
二、强化内部控制中内部审计作用的途径
(一)强化内审队伍建设,增强人员综合素质现代内部审计职能的完善对于审计人员也提出更高要求,例如知识广博、技能多元化、专业知识扎实并了解一定的法律与管理知识等。同时,内审人员还要充分了解企业发展经营目标、战略、计划,并掌握各项管理职能。因此企业一定要培训内审人员,将其内审职能充分发挥,提升管理效果。首先要对内审人员结构进行优化,重在提升其职业道德素质与责任感;其次对知识结构进行完善,加快知识更新速度。可开展类型多样的培训,开展再教育,使其职业责任感与专业操作技能得以持续提升;最后实行科学合理的考核机制,以评价内审人员的工作效果,并联系于绩效奖金,激发员工工作积极性,进而提升内审工作的效率与质量。
(二)坚持成本效益原则,增强内审机构独立性外国经验认为内审机构最好设置在董事会或者下设审计委员会中,可将内部控制中内审作用充分发挥出来。但是在设置机构层级时一定要遵循成本效益原则,尤其时当前我国诸多企业不具备规模经济以建设独立性强的内部审计机构,因此在建设内审组织层级时不能采用一刀切方式,各个企业应充分结合自身实际开展。不管哪种组织层级,都应做到以下内容:内部审计章程需先经由董事会批准,内审负责人需直接报告董事会内审相关情况,并有共同研究问题的机会;内审人员有权利参加董事会或者高层举行的关联于内审机构职责会议;董事会直接负责内审负责人的任免、考核以及薪酬,使其独立性更强。
(三)实行全面质量管理,适当外包内部审计在提升内部审计工作效果时应重点考虑内部审计质量。我国相关规定中明确了内部审计机构管理人员应该采取何种措施监督内审工作人员,但是仅靠监督无法实现全面质量管理的要求。可适当开展内部审计外包工作,即将企业内部审计工作外包给会计事务所专业人员。分析价值链得知内部审计对于企业而言价值重大,若企业价值链分析内审后发现其无法为企业带来效益,那么企业可放弃设置单独的内部审计部门,选择外包方式。这其中不包含国家法规强制性要求需设立独立内审机构的企业。若企业已经设立内部审计机构,但是由于内审人员在某些项目中专业素质较低无法胜任则可将该项目外包出去,这不仅与成本效益原则相符,也可在极大程度上避免内审工作人员由于专业知识低下或者技能缺陷而导致企业陷入内审风险。
(四)对内部审计方式进行创新1、要对内控有关的法律法规予以健全优化当前我国颁布的与内控有关的法规主要为部门规章,领域则主要为会计,尚未构建内控整体框架。此时应结合我国国情对内控相关法律法规体系进行完善。2、对内部审计准则体系进行完善制定审计准则时需确保其水准高,同时还要注重严肃性与可行性,以对内部审计行为进行规范,提升工作质量。同时企业应基于自身实际制定内部审计办法,为实际内审工作提供指导。3、创新内部审计方式传统内部审计的开展主要依靠手工操作,随着科学技术的快速发展,现代企业已经普遍使用计算机技术,在内审工作中也要充分使用审计软件,以提升内审效率与质量。
二、地勘单位应制定《内部审计质量考核办法》,建立考核指标体系
当前地勘单位内部审计机构独立性不强,受单位负责人的个人意愿指挥。内审人员违规或者失职的惩罚成本太低,基本处于“无风险状态”,仅靠内审人员的道德自律软指标来约束,没有建立审计责任倒查追究制度,上升到制度硬指标层次,使得内审工作质量大打折扣。为改变这种状况,笔者建议地勘单位制定《内部审计质量考核办法》。该办法从工作态度、工作业绩、创新管理方面出发,设立一级指标,予以量化考核。在一级指标下,再细化出各项二级质量性指标,每个质量性指标2-5分,总分值100分。三个部分分别占总分值的30%、40%、30%。按照考核得分排名,确定考核等级:优秀(占20%)、良好(占40%),一般(占30%)和较差(占10%)。考核结果与奖惩挂钩,优秀人员予以奖励,一般人员进行再培训教育,较差人员考虑转岗,不再从事内审工作。《内部审计质量考核办法》可由考核指导思想与原则、考核内容与计分办法、考核依据、组织领导、奖惩规定等五章组成,后附设计的百分考核表。工作态度考核内容主要包括:是否按照审计设计要求,认真参与并及时报送审计项目成果资料,报送资料满足规定要求;是否按时报送审计工作计划、总结、报表;是否主动参与审计理论、审计课题研究,完成分工任务,是否在省级以上期刊登载发表审计专业论文、课题成果,积累经验;是否积极参加审计培训;是否对上级部门下达的审计任务提供积极配合,及时、准确提供审计组需要的资料、数据,保证审计工作顺利开展;是否重视审计人员队伍建设;对审计任务开展组织是否得力。工作业绩考核的内容主要包括审计目标、审计工作方案、审计程序、审计方法、审计成果和审计责任追究六个方面。具体考核通过审计工作程序实施审计实施方案,获得的审计成果是否使审计目标得以实现;审计成果是否产生良好的审计效果,审计建议采纳情况;审计程序是否规范;审计技术方法是否得当;是否有审计差错造成重大审计风险的情况发生;是否重视审计成果运用,建立审计成果运用机制;审计整改率是否达到100%。创新管理考核的内容主要包括审计工作标准化、信息化、集约化方面。审计制度建设是否完善,执行是否有力;是否在日常管理中全面贯彻落实审计制度相关规定和要求;是否积极利用现代信息手段,为提高审计工作质量提供技术支持、资源支持,完善本单位的审计信息系统建设;优秀审计人才在本单位使用情况,是否发挥作用;审计工作合理化建议利用情况。地勘单位可由队领导、各部门负责人、职工代表组成考核小组,采取打分的办法,对审计项目质量进行考核。部门领导打分结果占60%,其他人员占40%,加权平均计算出考核结果,并对外予以公布。
一、目前大部分企业在内部审计工作方面存在的问题现状
内部审计质量控制是指内部审计机构为确保其审计质量符合相关准则的要求而制定和执行的政策和程序。审计工作的内容较为复杂烦琐,且企业在实际的工作过程中还存在一些问题需要解决。
(一)审计方法有待创新
新时期,我国市场经济体制发生了一定的变化,相应的经济管理制度和财务工作上的项目分类也都有了新的规划。同时,基于科技信息技术的发展进步,各个企业都在积极建设信息化工作平台。这就对内部审计工作有了新的要求,尤其是对企业实物资产和无形资产的数量统计和质量检查问题上,传统的审计工作不仅会耗费大量的人力资源,工作效率慢,而且容易出现数据记录错误的问题,而影响审计工作的质量。此外,许多审计人员所使用的方法还存在不科学的问题。比如,目前仍然有审计人员在工作过程中根据自身长期的工作经验来做出分析和判断,在专业技术的使用方面只对统计抽样的方法有一定的应用,其他审计技术都没有发挥作用。而且,内审人员的审计理念和意识仍停留在账项及制度基础审计方面,片面地认为内部审计就是查问题、找毛病。过于注重企业资产核对的工作,而忽视了内部审计在监督、服务、管理等方面的职能。对审计工作的重要性认识不足,还容易出现工作马虎的情况,无法全面地展示出企业的经济运行情况。这些问题都是由于审计工作人员自身审计能力不够完善引起的,也与企业没有重视起对员工定期进行培训教育工作有一定的关系。这是目前企业在开展内部审计工作时,需要解决的主要问题。
(二)管理制度有待完善
内部审计工作人员虽然是在企业内部完成各项工作,但是其相应的技术操作及运行方法都是经过国家统一规定的。而实际上,许多企业在实际运行过程中,所使用的工作方式和发展目标都不相同,就使得各个企业内部的管理机制也各不相同。这就要求内部审计工作在运行机制方面应当具有一定的适应性,并且,工作人员应当制定科学的审计工作方案,规范工作流程才能保证审计工作的质量。而基于目前个别企业的管理机制无法有效落实到位的问题,审计工作经常出现同一项目重复审计或者审计疏漏的情况,导致审计工作质量下降,这也与信息沟通交流渠道不畅通有一定的关系。因此,目前我国大部分企业在内部审计问题上存在的主要问题就是制度有待进一步完善,尤其是针对审计部门的独立性问题上还存在许多不足,制约着内部审计工作效力的充分发挥。
(三)审计质量评价问题
不论在哪个工作岗位上,在具体进行工作时,都需要按照一定的标准来进行工作。而这体现在内部审计工作上就是对质量控制的标准设定问题。国际上有很多的内部审计准则,说法不一。企业的内部审计作为企业发展中不可缺少因素,更应该结合自身情况制定一套科学的合理的评价审计质量的标准。主要应当将评价目标放在员工的工作行为上,而在目前的审计工作中,有部分企业就缺乏质量控制评价体系,主要是以业务量的多少或者查处问题的多少来衡量其审计能力。内部审计业务标准的缺乏,使得审计人员执业目标不清晰,执业能力低下,没有积极的执业意愿,只关注于如何提升审计工作量,而忽视了质量方面的问题。
二、有效控制和优化内部审计质量的可行方法
基于内部审计质量方面在目前存在的主要问题,相关企业可以从以下几个方面来对控制和优化审计质量的有效方式进行分析和研究。
(一)提高审计团队的工作能力和素质
要想充分提升内部审计工作的质量,就必须要对相关的工作人员开展培训教育工作。工作的内容应当以思想教育和知识技能教育为主,结合新时期社会经济制度发展变化情况以及企业生产经营工作的具体需求,安排专家授课。企业必须要意识到设置审计工作部门的重要作用,认可审计工作人员在企业当中的地位,并帮助审计人员明确意识到自身的工作职责。为了能够提高审计团队整体的工作能力和素质,企业还应当设置人才引进机制,面向社会开展招聘会议,招收一些高技术、高素质的专业审计工作人员,为内部审计工作团队注入新鲜血液,从而确保各项审计工作的有序开展。
(二)应用信息技术建立全面的审计结构体系
在信息时展进步的环境背景下,相关企业应当重视起信息技术能够为审计工作带来的便利性,增加资金投入,引进相应的工作设备,然后创建内部的网络工作平台。审计工作人员需要明确一点,就是审计质量控制的实质和核心便是审计证据是否充分和适当,不同的审计证据可以实现不同的审计目标。这就要求审计人员必须要结合内部审计工作的具体流程,设置完善的网络结构运行体系,保证审计工作的全面性。比如,审计工作主要包括事前监督、事中管理以及事后审核,审计人员需要根据不同阶段的不同侧重点来明确工作的重点方向,细化网络结构体系的分类情况。利用信息技术收集并整理相关的经济收支信息,在这里尤其要注重网络信息安全的问题,建立安全防护体系,并设置平台的身份验证系统,其他工作人员可以查看审计信息,监督审计工作的公平性和合理性,但是不能对审计数据随意进行修改。
(三)内部监督管理机制的健全和完善
健全的监督管理机制是保障内部审计工作质量的决定性因素,基于传统的监管机制没有结合企业自身发展特点进行设置,因而无法有效落到实处,也就无法发挥监管工作的真正价值。针对这个问题,相关企业必须要结合企业内部的监督管理机制、审计工作的范围以及国家相关的管理规定进行综合分析,从而制定出科学合理内部管理制度。企业需要设置一个监管工作部门,保证其各项工作的独立性,避免出现权责问题划分不清而导致影响工作效率和质量的情况。但是,独立不代表不与其他部门建立联系,企业内部每个部门的工作数据变化都会对审计工作的最终数据产生影响。这就要求监管部门与内部各个部门之间建立起紧密的联系,在这方面也可以利用信息技术手段来保证工作数据的及时传递,确保数据的真实性。
(四)建立审计质量的综合考评制度
考核和评价内部审计工作的效果是完善内部审计质量控制的重要内容,通过内部审计工作效果的评价和考核,可以从总体上了解内部审计工作,才能发现问题,分析问题,解决问题,提高审计工作的整体实力。这就要求企业建立一个科学的审计质量综合考评制度,对内部审计人员的每日工作情况进行详细的记录。并定期针对记录的内容进行工作总结,在总结会议上,对严格按照管理规定进行审计工作的员工给予表扬,并对出现审计马虎情况的人员进行批评。同时,企业要设置一些奖惩结合的考评机制。根据每位员工的实际绩效情况合理进行职位和薪酬的调整,以提高内部审计人员的工作热情。在这个环节,企业还要根据基础审计结构体系当中对审计内容的分类来为每位审计人员安排具体的工作任务,这是保证员工工作效率的关键所在。
三、结语
企业必须要意识到内部审计工作对自身发展以及社会经济稳步发展的重要作用,积极结合国家的相关管理规定,以及新时期审计工作的具体内容和形式变化,对相关工作人员展开培训教育工作。在这个环节要注重对员工个人工作素质的提升,然后可以应用信息技术的优势来建设工作平台,根据审计工作流程来完善审结构体系。并将审计工作的相关基本要求与企业内部的运行管理机制结合起来,为审计工作的顺利开展提供基础保障。最后,建立审计工作质量的考评机制,提高员工的工作热情,进而达到控制和优化内部审计质量的最终目的。
参考文献
二、内部控制审计风险构成
为促进企业建立健全内部控制,规范审计人员对内部控制的审计业务,监管部门制定了《企业内部控制审计指引》。依据《企业内部控制审计指引》的界定,内部控制审计风险是指“内部控制存在重大缺陷而审计人员出具了不恰当的意见的风险”,即企业内部控制存在重大缺陷而未被审计人员有效识别,而发表不恰当的审计意见和结论,给使用者带来损失所需要承担的责任。所谓内部控制存在重大缺陷包括三个方面,一是内部控制设计的不充分或者不合理;二是设计合理的内部控制没有按照要求被充分执行;三是设计合理并且表面执行充分的内部控制由于缺乏必要的授权或资格而在实质上不符合规范,或是没有对内控的执行进行恰当的监督,导致内部控制无法真正有效的运行。在对内部控制进行审计时,需要充分考虑这三方面的因素,只有三方面内容均不存在时,审计人员才能发表无保留意见。内部控制审计风险主要包括三方面的风险:固有风险、内部控制设计和运行有效性风险、内部控制评价风险,具体来看:
(一)固有风险
内部控制审计的固有风险是由内部控制本身决定的,内部控制是一个过程,是实际目的的手段,它受人的影响,涉及企业各层次的人员,因此只能提供合理的保证,而非心绝对的保证。在固定风险比较低的前提下,即使内部控制设计不合理或者执行缺乏有效性,内部控制审计风险也可能是比较低的。一般而言,审计人员需要通过分析收集到的各种信息,来评价内部控制的固定风险。影响固定风险的因素主要发生于被审计单位内部,如其所处的外部环境、自身具备的竞争能力、企业文件、管理人员及员工的能力和素质等。此外,会计期末发生的复杂交易或者异常情况、在会计核算中容易被忽略的交易或者事项等都是产生固有风险的因素。注册会计师在对被审计单位的内部控制固有风险进行评价时,需要全面考虑这些因素,得出综合结论。
(二)内部控制设计和运行有效性风险
内部控制设计和运行有效性风险是指存在内部控制的前提下,内部控制本身设计的不合理或者设计合理的内部控制制度没有被有效执行,从而导致内部控制重大缺陷的可能性。如果拥有授权和专业能力的人员按照程序和要求执行,内部控制目标能够实现,则表明内控设计是有效的。如果内部控制正在按照设计运行,并能实现预期目标,则说明内控运行是有效的。注册会计师在判断内部控制是否存在内部控制设计风险时,需要考虑是否存在应有的内部控制,如果没有,可能会存在哪些差错。注册会计师在判断内部控制是否存在内部控制运行有效性风险时,需要考虑设计合理的内控是否得到执行以及结果是否有效。
(三)内部控制评价风险
内部控制评价风险是指被审计单位内部控制存在重大缺陷,但审计人员出具不恰当审计报告的可能性。它类似于财务报表审计中的检查风险。一般而言,内部控制评价风险是必然存在的。因为注册会计师在审计时,会受到审计期限、审计方法、审计资源、自身专业知识和经验判断等要素的制约,所以这种风险不能根除,并且与被审计单位不存在关系。审计人员需要科学合理的设计内部控制审计的程序、时间和审计范围并严格执行,才能尽可能的降低评价风险。
三、内部控制审计风险的防范
从构成因素上看,要做好企业的内部控制审计,审计人员应当准确识别和评估内部控制的固有风险、设计和执行有效性风险,防范评价风险,才能尽可能的降低内部控制审计风险。为确保将内部控制审计风险控制在较低水平上,需要采取各种措施,如全面掌握被审计单位的情况、严格按照审计程序进行审计、明确测试对象等,来防范和规避内部控制的审计风险。
(一)全面掌握被审计单位的情况,防范了解不全风险
在对企业内部控制进行审计之前,注册会计师需要全面了解被审计单位的基本情况和内部控制环境等,这是内部控制审计的重要前提和首要环节。为全面掌握被审计单位的情况,审计人员应该重点了解一下几个方面:一是被审计单位所处的行业发展前景、法制监管环境及产业政策、单位性质、组织架构、对会计政策的选择与运用、经营目标、战略及风险、业绩考评等基本情况;二是被审计单位的高层管理人员的理念和经营风格、经历与胜任能力等相关信息、高层管理者对控制制度的重视程度、以前年度对内部控制有效性的评价等总体控制环境;三是企业风险评估过程、内部信息传递流程、内部控制的自我监督和自我评价等企业层面的内部控制;四是各类业务特点、流程等具体业务层面的内部控制执行情况。
(二)严格按照审计程序进行审计,防范评价不当风险
内部控制审计的目标是对单位内部控制的有效性发表意见,为防范做出不当评价,发生评价风险,注册会计师首先应当在审计之前充分准备,根据对内部控制风险的评估,制定详细的审计方案,比如审计目标和审计的重点内容、审计具体方法、实施审计的程序、审计期限及时间分配、审计范围及审计人员任务安排等。其次,审计人员应广泛收集准确、真实的资料和证据,运用观察、查阅、询问等方法,对被审计单位的各种情况进行了解,对内部控制有效性做出初步判断。再次,在初步判断的基础上,运用审查、分析等方法,对内部控制的合理性、有效性进行测试,形成总体评价意见和整改建议等。由于审计人员的业务素质、专业知识、判断水平等直接关系到审计结论的有效性,因此要求注册会计师恪守职业道德水准、不忘风险意识,不断提高自身专业知识、阅读相关业务的专业书籍、提高判断分析和预测的能力,不断提高业务水准,按照确定的审计技术和方法圆满完成审计工作,将内部控制的评价风险降到最低。
独立性是审计工作的灵魂,在审计过程中能否保持自身形式上的独立与实质上的独立对于审计效率与效果而言,具有重要意义,独立性对于内部审计的重要性同样如此。以某医院为例,该医院资产总计2亿元,年门诊量达30万人次,职工人数达1000人,在内部审计机构设置层面,设立了一个独立的审计机构,有3名内部审计人员,财务专业出身的2人,其他专业的1人,院长是该审计机构的分管领导,主持管理审计机构的相关事项。医院院长作为医院内部审计机构的负责人,审计机构接受医院院长的领导,往往会使其丧失开展审计工作必须具备的独立性,审计人员在执行内部审计工作时,需要服从医院院长的领导,医院领导同时是医院财务会计工作的负责人,这种既是裁判员又是运动员的人员安排,会对会计信息的充分有效产生较大影响,在这种管理模式下,内部审计机构也就成为了医院为了迎合管理制度要求的摆设。此时,医院的管理人员更多的是将审计部门作为财务部门的附属机构,财务部门与审计部门的独立性并没有得到体现,审计部门的监督与评价作用无法得到充分发挥。
(二)医院内部审计制度在设计层面较为不完善
医院内部审计制度在设计层面,通常缺乏系统性,审计工作的开展所依据的相关制度较为不完备,内部审计这一医院的免疫系统没有在医院内部形成较为独立的监督与防控体系。以某公立医院为例,该医院的内部审计工作局限于与财务相关的报表编制、财务决算以及医院物价收费管理等方面,实际上,医院内部审计的工作维度远不止于此,医院的财务收支、设备招标、职工增加、药品耗材的购买以及医院基础设施建设等方面都需要内部审计对其工作进行监督,并对其合规性进行检查与评价。医院的审计工作并没有在医院的日常运营管理工作中得到体现,事前监督和事中监督机制较为欠缺,事后监督较为乏力,对于内部审计过程中发现的有关问题,在向相关领导反馈以后,并没有切实有效的制度使相关问题能够得到有效地解决,使得审计工作流于形式。
(三)医院内部审计制度在实施层面存在缺陷
当前,大部分医院在管理的灵活性与时效性层面较为缺乏,医院审计制度的开展也较为滞后。首先,部分业务的进度较快,审计工作需要较为繁琐的审计与批复流程,待审计工作得到批准之后,业务已经完成,无法对业务中的相关偏差予以及时纠正。其次,事前评估与事中监督较为缺乏,对于医院的重大项目,通常是在项目结束之后审计工作才会开展,相关管理人员有可能无法对项目开展过程中的风险进行有效识别,也就无法采取有效的措施进行规避,审计人员的工作在项目开展的过程中无法跟上,使得风险在项目开展的过程中进行消化。最后,内部审计制度在实施的过程中更多的是着眼于医院业务的开展,对其合规性进行审计,在管理层面审计的作用并没有得到充分的发挥,监督作用也就没有得到充分的发挥。
二、解决医院内部审计在内部控制中存在问题的对策
(一)大力提升医院审计部门的独立性
为了使内部审计在医院内部控制中充分发挥重要作用,切实提升内部审计机构的独立性是必经之路。医院应该设置独立性更强的审计部门,将其职能从财务部门和管理者中分离出来。医院内部审计部门所具备的职能应该高于其他职能部门,只有这样内部审计部门在医院中的独立性与权威才能得以体现。内部审计能够对与内部控制中的授权与批准制度进行有效的评价与监督,医院的授权审批事项可以分为常规事项与非常规事项两种形式,对于日常发生的常规事项的审批,内部审计人员能够通过执行一定的审计执行,采取穿行测试等方法来进行有效的审计,对于非常规事项,内部审计可以对授权审计事项相关手续是否完备进行更详细的核查。通过提升内部审计机构的独立性,使其能够对医院运营过程中的问题能够及时发现,为医院管理效率及服务水平的提升保驾护航。
(二)建立健全医院内部审计制度
在新医改的大环境下,医院应该结合自身发展的实际,制定切实可行的改革与发展制度,在内部审计方面,应该立足高远,对医院自身的审计制度进行系统化的设计,并在内部审计制度的基础上,制定出内部审计制度的实施细则,使得内部审计工作能够有章可循,有法可依,这对于内部审计制度有关工作的顺利开展具有重要意义。继续完善医院的内部控制制度,加强内部审计工作人员的各方面素质、工作组织程序、步骤以及内审报告质量等进行过程控制、考核以及评价。明确规定每个工作人员的工作职责,加强对内部审计工作人员行为的规范,建立责任制,让内部审计工作人员高效、公正、及时地完成自己的本职工作。同时,医院的内部审计部门要适时改进内部审计工作机制,将内部审计工作的目标与医院的经营目标挂钩,努力提高医院内部管理水平和医院社会效益和经济效益,充分发挥出内部审计的管理监督职能。
二、规范财务控制活动
关键是规范财务控制活动的一般授权机制。企业管理层可以通过制定统一的、合理的授权规范以使与各项业务相关的财务授权普遍适用于某类交易或者活动政策。规范财务控制活动的特别授权机制,比如日常经营过程中的重大资本支出、大型机器设备的购置等等。通过规范授权机制,审计人员可能只需要通过采取控制测试,定义适当的偏差即可将审计风险降至可接受的范围内。
三、提升内部控制的信息传递效率
要提升信息传递的速度,提升信息传递的质量。在这方面,可以充分利用现有的信息网络技术,通过ERP、OA、即时通讯工具等进行相关信息、数据的传递,并通过电子授权的方式进行网上签署。以构建企业全方位的信息沟通,不仅为企业的管理运作提供高效率、稳定性高的环境,也为企业的财务内控提供了时效性较高的信息。ERP系统对内整合企业各个部门的财务信息以及有价值的管理信息,对外则将企业置于横向以及纵向的交易的过程中以获取企业所需要的信息,成为企业财务管理非常重要的工具。通过全面预算管理、业务流程、财务会计等纳入ERP系统的设计、运用中,实现信息的一体化,这样在开展内部审计时,将会使内部审计人员极其方便快捷地掌握企业业务流转、信息流转的途径、权限与结果,极大地提升了内部审计的效率。
四、完善内部控制的风险预警功能
内部控制的重要内容之一是风险评估。对于一个完善的内部控制体系来说,不但要设计风险评估机制,还要设定风险预警及风险处置机制。对于企业特别是特大型企业而言,面对的风险都是无时不在的,而内部审计的主要关注点就是查错防弊,关注企业的风险控制问题。企业如果本身在内部控制中对于企业可能涉及的市场风险、财务风险、经营风险等具有足够的重视与关注,那么企业能够识别大部分风险,同时对于无法回避的风险采取及时的对策,使企业不致遭到意外、致命的打击。这也是内部审计关注的重点方面。很明显,通过内部审计发现企业风险评估有可能的失效之处,也可以促使企业在风险管理方面做得更加完善。
(二)风险识别与评估不到位对常规业务和管理活动的风险评估,缺乏行之有效的方法体系。体现在该县支行现行的制度和操作规程,虽然明确了业务运行和管理活动的特点、目标、要求、处理程序,但从总体上来看:业务操作流程未涵盖制度规程对各个环节、各岗位风险控制的具体要求,也没有对或不完全对业务管理关键控制环节的风险进行识别标注,特别是未对重要空白凭证、会计国库对账、库房门禁管理等高风险事项的风险隐患进行识别和应对。
(三)内部控制活动存在缺失1.对账管理确认控制不落实。一是2013年9月份国家金库龙山县支库省(市)级预算收入、中央级预算收入、地市级预算收入、区县级预算收入月报表的对账回单打印日期为2013年10月1日,而对账部门龙山县地方税务局签署的对账日期为2013年9月30日。二是2013年12月份国家金库龙山县支库省(市)级预算收入月报表的对账回单上,龙山县地方税务局漏签署对账结果及加盖对账印鉴。2.未严格执行守库值班制度。抽查2014年3月16日5时-6时和2014年4月1日3时-6时保卫部门值班守库电视监控录像资料,保卫值班岗位上无人;鉴于这种情况,审计组下延抽查了2014年4月1日1:12分-1:20分保卫部门值班守库电视监控录像资料,保卫值班人员在保卫值班岗上打瞌睡。3.财务管理控制活动有缺失。一是机关工会财务管理活动有缺陷。该县支行机关工会未在银行开立预算单位专用存款账户,所有收支业务均使用现金结算。二是库存现金管理控制缺失。在现场审计中发现,机关财务室存有行政经费业务备用库存现金75245.21元;机关工会经费结余库存现金为20699.30元,违反了与中华人民共和国《现金管理条例》的规定要求。且机关财务室未安装防盗门窗,存在资金安全隐患,4.未严格执行日常业务运行控制管理要求。2013年3月20日刘××、2014年4月11日向××查询本人信用报告,无本人身份证复印件,造成征信查询资料不齐全,手续欠完善。
(四)实物保护控制不到位1.对个人身份数字证书(CA证书)管理控制不严格。现场审计发现,该县支行专职管库员王××在日常业务处理中,使用专职管库员张××CA证书进行操作业务,原因是:专职管库员王××的CA证书,在2012年12月7日到期后上交中支发行科办理更换手续,至今未办妥更换手续,违反了《中国人民银行货币金银管理信息系统管理规定》。2.××发行库门禁控制不合规。一是发行库主门未按要求变更密码。2013年6月6日,管库员(王××、张××)变更发行库主门(1号锁、3号锁)密码,但上次变更时间为2012年11月6日,与《中国人民银行发行库门组合锁使用管理办法(暂行)》第十条规定要求不符。二是发行库备用门密码不能变更。现场查库发现发行库备用门已贴封条。查阅《组合锁使用管理登记簿》,2011年6月3日至检查日止,发行库备用门密码没有变更记录。经询问该县支行库管库员关于备用门管理情况为:备用门可以启动使用,但琐具由于使用年限太长,厂家已不能维修,密码已不能变更,与《中国人民银行发行库门组合锁使用管理办法(暂行)》第十六条规定要求不符。
二、案例分析
以上问题产生有客观因素和主观的原因。
(一)从客观上看1、县支行人员紧张矛盾突出。该县支行设有发行库,现有正式员工21人,不能满足落实制度(按照现行内部控制要求初步匡算,县支行仅会计、国库、发行、保卫四个部门最少需要20人。)的最低需求。人员配备存在人少岗多、跨专业兼岗的情况,且人员老龄化趋势明显,四十岁以上中、老年同志占82%。可能会因为人员紧张,造成强制休假、守库值班制度难以执行到位的现象。2、安全设施的物防、技防未跟上。部分设备老化,因资金紧张,没有及时更新。
(二)从主观上看1.对内部控制认识不到位。由于对内部控制理论和方法学习不够,部分员工对内部控制五个相互独立、相互联系又相互制约的要素(控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监督)缺乏了解,没有把内部控制看着是一种贯穿于决策、执行和监督过程中环环相扣的、平衡制约的动态机制,不能正确地识别人民银行分支机构面临的基本风险。而把内部控制简单地理解为规章制度的制定与制度的执行,甚至极个别人把制度当成应付检查的“档箭牌”和挂在墙上的“摆设”,内控管理理念陈旧。2.风险管理文化缺失。该县支行领导虽然注重制度建设和基础业务管理,但满足于工作任务完成和业务管理不出大问题,对平时业务中发生的不规范问题,放松了必要的风险警觉;部门少数业务人员则认为做基础工作难免会出现一些差错,放松对差错风险的警惕。表现为内部控制责任不落实,制度意识淡薄,用人情、信任代替制度;操作主观随意,存在侥幸心理和麻痹思想,导致制度执行“走捷径”、“打折扣”,凭经验或想象处理业务。这次审计发现的未严格执行国库对账和守库值班制度,对个人身份数字证书(CA证书)管理控制不严格,财务管理控制活动有缺失,发行库门禁控制不合规等问题,都是因为制度被简单化、递减式、抵触性、表面化、选择性、被动式或应付式执行所造成,有的问题离案件与重大责任事故可谓只一步之遥,内部控制软约束。3.内控机制建设滞后。现行的部分制度和操作规程未及时跟进业务管理要求,有的是沿用以前或照搬照抄上级行或借鉴其他单位现成的规章改头换面来的,制度和操作规程设计没有综合考虑在本行现有条件下是否切实可行,特别是忽视规章制度执行的有效性及其风险危害评估工作,导致内控管理制度和操作规程设计有先天缺陷。表现一:制度规程未覆盖所有业务运行和管理活动,导致个别管理制度规程缺失。例如:激励机制不足,约束处罚机制短缺;行政事务管理操作流程未实现风险点,未进行风险识别、风险应对控制措施不明确,制度规程的规范保障作用被打折扣。表现二:部分制度未涵盖业务活动的全过程或方方面面,原则性条款多,控制措施针对性欠强;出现部分事项欠缺约束。表现三:对于业务和管理活动的风险评估缺乏行之有效的方法体系,一些高风险事项未得到及时识别和应对。4.内部管理监督不到位。一是不能正确处理检查监督与争先创优的关系。怕“家丑外扬”,为了本单位或个人的名利,对检查问题进行“筛选”,检查上报问题要么轻描淡写,要么避重就轻。无形中助长了违规行为。二是是对逾越内控行为的查处手软。在“出现问题一解决问题一再出现问题—再解决问题”的循环过程中被动管理。对违规行为责任追究也只是口头上的空话,导致违规违章、屡查屡犯。
三、案例启示和建议
(一)进一步优化内部控制环境建设。龙山县支行领导应进一步提高对内部控制重要性的认识,将加强内部控制环境建设作为健全内部控制体系的首要任务。一是支行领导和部门负责人要切实履行内部控制管理职责。二是深入开展央行内控文化建设。利用各种形式进行内控教育、思想政治教育、职业道德教育以及法制教育,不断深化和丰富央行内控文化建设内涵。引导员工树立“遵守内控制度为荣,违反内控制度为耻”的荣辱观,增强制度观念、法纪观念;切实提高员工职业道德素质,用“规范、进取、创新”的文化理念的引领员工增强团队精神,激发员工的工作热情和责任心,为内控管理提供了强有力的精神支撑。三是加强教育培训强化干部职工业务培训,使每个岗位人员了解内控制度,熟知业务操作,掌握岗位要求,实现业务素质和责任意识的整体提高。
(二)加快建立长效内部控制机制。认真贯彻执行《中国人民银行分支机构内部控制指引》精神。一是进一步完善内控制度和操作规程。对内控机制进行全面、彻底的梳理,针对目前内控制度操作规程方面存在的问题和缺陷,进行查漏补缺,建立业务违规行为责任追究制度及处罚办法、房屋出租管理制度、行政许可流程图、行政处罚业务流程图、行政复议业务流程图、法律事务审核流程图,完善层次分明、风险明示、措施针对的内控制度和业务操作流程;建立权责清晰的运行机制,使每个人各司其职,各负其责,奖惩公平。消除内部控制机制上的盲点和漏洞,实现风险控制全方位、全过程、全员参与,构筑内部风险防范的重要屏障。二是注重建立内控人力资源保障机制。通过员工考核机制、激励机制、员工培训机制、违规责任追究机制等人力资源管理手段,从而促进人员素质不断提高,确保每位员工、特别是重要岗位员工胜任本职工作,形成长效机制,促进持续发展。三是尽快建立对常规业务和管理活动的风险评估的方法体系。
1对集团公司开展内部控制审计的意义
1.1贯彻法律法规的要求
2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度,第一次对内部控制提出了法律要求。证监会2001年1制作月了《证券公司内部控制指引》,要求所有证券公司从内部控制机制和内部控制制度两方面建立和完善公司的内部控制。财政部于2001年颁布的《内部会计控制规范》等一系列规范,要求企业从会计信息、资金管理、对外投资、资产处置等方面建立起一套内部控制机制。2006年新修订实施的《审计法》要求企业建立起内部控制制度。这需要企业的内部审计机构肩负起监督的职责,检查和评价内部控制的建设情况和执行情况。
1.2集团公司内部管理的要求
随着经济的发展,市场竞争越来越激烈,集团公司面临着经营地点分散、控制跨度增加、控制权利层次增多等难题,商业欺诈、资金周转不力等经营风险与财务风险越来越大,管理任务更加艰巨,需要集团内部协调一致,加强监督和控制,防止工作差错和舞弊,提高经营效率,提高企业的竞争能力。因此集团公司无论在客观还是主管上都要求建立起具有自我控制和自我调节功能的管理机制。
1.3提高集团公司形象的需要
当今世界,企业的形象很重要,直接影响到客户对企业和产品的信任感,影响企业的生存和发展。企业形象不仅取决于当前的资金实力和赢利能力,更主要取决于人们对企业未来的预期。企业一旦发生欺诈行为、管理不善或违反法规,就会引起社会的广泛关注,造成不良的社会影响,使企业的价值大大下降。内部控制有助于预防此类问题的发生,并及时提出妥善的补救措施。集团公司面无论利用内部审计机构还是聘请外部审计师对内部控制进行检查和评价,肯定的评价结果都能提升企业的形象。
1.4审计方法发展的要求
在18世纪下半叶,由于社会生产力的发展、企业规模日益壮大、经营业务日趋繁复,使传统的详细审查方法受到挑战,于是出现了抽样审查的方法,通过抽样结果来推断财务报表的可靠程度。但是,如果单凭审计人员主观或任意判断进行抽样,那么抽样的结果难免以偏概全,影响审计结论。1936年美国注册会计师协会(AICPA)在《独立注册会计师对财务报表审计》的文告中首次指出:“审计师在制定审计程序时,应考虑一个重要的因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越好,财务报表需要测试的范围越小”,这对西方审计实务产生很大影响,于是出现了“制度基础审计”的方法。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本,受到审计人员和企业的普遍欢迎。
2内部控制审计的两种形式
进行内部控制审计有两种形式,一是专项内部控制审计,一是辅助财务报表审计的内部控制评价。两种方式既有联系又有区别。两者的理论范围、基本程序和方法都基本相通,两者的结论也可以互相利用。但两者有区别:
(1)目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。
(2)范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与财务报表有关的内部控制,范围要小。
(3)对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见,因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据,评价精度比前者要低。
随着内部控制重要性的提高,实践中人们已经越来越多将其作为独立的专项审计目标单独开展,尤其对于集团公司,专项内部控制审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。
3内部控制审计的前提条件
集团公司开展内部控制审计的前提是制度和组织保障。
(1)是制度保障,内部控制审计首先是针对已经建立的内部控制制度的单位而言,如果企业完全没有建立内部控制机制或者内部控制仅仅是摆设,则根本不需要进行内部控制审计。
(2)取得高层领导的支持很重要,最好由高层某一主管领导担当组长或顾问,因为内部控制审计是总部对对属下所有的子公司和分部门的内部控制、风险管理、公司治理程序等进行的独立、客观的评价活动,需要站在一个较高的角度来统筹规划,潜在的利益冲突会给审计工作带来一定的阻力,需要高层领导来协调方方面面的关系。审计所提出整改落实意见也需要高层领导来提供支持。
(3)成立工作组,挑选合适的人选来装备队伍。内部控制审计站在较高的角度,对集团公司整个控制流程进行检查和评价,找出漏洞所在。①对工作人员提出更高的要求,如果审计组成员不胜任此项工作,直接影响了工作的开展和工作质量。因此要求除了具备专业知识,还要掌握管理知识,熟悉企业的生产经营流程。除了内部审计机构配备的人员外,还可以从下属单位抽调合适人才补充需要,这是节约成本的较好方法;②聘请外部专家,如果遇到超出审计人员的业务水平需要专家判断的问题,最好取得外部专家的协助,这样能够有效降低审计风险;③进行有关的业务培训,为现场审计打好基础。
4内部控制审计的工作要点
做好集团公司的内部控制审计工作,还需要把握几个重点:
(1)要充分了解被审计单位或部门的情况,做好准备工作。审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解,唯有充分了解,才能制订出可行的审计实施方案,设计好调查问卷。审计了解的内容不但包括被审计单位的基本情况和总体控制环境,还要了解单位经营业务以及业务流程中关键控制点。在了解的基础上,才能设计有针对性的调查问卷。在控制审计中使用调查问卷可起到两个方面的作用,一是测试集团公司是否建立健全有效的控制制度,一是了解员工对相关业务流程内部控制制度的熟悉和掌握情况。所以要根据行业的性质、经营的特点、该单位的具体情况来设计。设计调查问卷的过程,也是了解内部控制流程的过程。
近年来,国内相关机构和企事业单位顺应企业管理的内在需要,逐步引入了内部控制及内部控制评审的理论,并组织开展了一系列理论研究和实务探索,取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。
一、内部控制、内部控制评审的定义
1.内部控制的定义
内部控制一词,最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展,内部控制理论由最初的“内部牵制理论”,发展为“内部会计控制与内部管理控制”。
1992年,美国反欺诈性财务报告委员会的主办机构委员会(COSO委员会)了《内部控制—整体框架》报告,即著名的COSO报告,报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素,这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论,受到各国理论界和实务界的广泛关注和普遍认可。
2.内部控制评审的定义
COSO报告认为,在内部控制系统中,所有部门、岗位都在其中充当着角色,内部审计也是如此。内部审计既是企业内部控制的重要组成部分,又是监督与评价内部控制的主要部门和主要手段。2002年以来,国际内部审计重新介入内部控制这一领域,在原先以内审部门实施内部控制评价的基础上,加强了与业务管理部门自我评估的结合,注重相关业务部门技术人员的参与,要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。
从内部审计的角度看:内部控制评审是指由企业董事会下设的审计委员会组织开展的,以内部审计人员为主,吸收相关专业技术人员和专家参加的,对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动,主要测评企业内部控制系统是否健全、合理,以及执行是否有效。
二、内部控制评审的内容
企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的,因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。
1.内部控制环境评审
内部控制环境是内部控制的基础,它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有:公司治理组织架构的建立、规范运作和分权制衡;内部控制系统中董事会的建立和完善责任,监事会的监督责任,高级管理层的执行和完善责任;人力资源政策和程序、人力资源日常管理情况等。
2.风险识别与评估评审
风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动,它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理;企业识别和获取适用法律法规要求的程序建立和执行的情况;与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。
3.内部控制活动评审
内部控制活动是指为了确保经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序。内部控制活动的评审是指对企业为进行企业管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是企业内部控制活动的健全性、合理性、有效性,主要包括企业所采取的控制措施和程序的健全、合理、有效程度;计算机系统环境下,为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度;应急预案的建立和执行、应急设备和设施的定期检查情况等。
4.监督评价与纠正评审
监督评价与纠正是指由企业特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况,可采取持续监督和个别评估分别进行或两者结合进行的方式。监督评价与纠正的评审是指对企业内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审,主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行;企业对内部控制进行不断完善的情况等内容。
5.信息交流与反馈评审
信息交流与反馈是指企业在其经营过程中,按某种形式辨识、取得确切的信息,并进行沟通,以便员工能够履行其责任。信息交流与反馈的评审是指对企业辨识、取得、沟通合理信息的方式和过程的健全性、合理性、有效性所进行的评审。主要包括企业信息交流和沟通程序的建立和执行;内部控制系统文件的建立和保持;形成记录控制程序的建立和执行等内容。
三、内部控制评审方法
内部控制评审方法主要包括评审的切入方法和评审的具体技术方法两大方面。评审的切入方法是根据评审要求和为达到评审目的进行组织和实施评审的工作形式和工作思路,是制定评审实施方案的前提;评审的具体技术方法则是在具体评审时根据被评审企业的实际情况,为达到评审目的和要求所采用的具体审计技术方法。
1.内部控制评审的切入方法
内部控制评审的切入方法基本可以归纳为要素法、流程法和制度法三类。
(1)要素法。要素法是直接从评审内部控制的五大要素内容入手,运用内部控制评审的技术方法获取评审证据,从而评价内部控制要素各项内容的健全性、合理性和有效性,进而对企业内部控制做出综合评价。其适用范围主要是生产经营方式相对简单、业务流程比较单一、且已建立完整的内部控制系统的企业。
(2)流程法。流程法是建立在要素法的基础上,从测试业务流程和具体业务入手,采用内部控制评审技术方法获取评审证据,来评价内部控制各项要素内容的健全性、合理性和有效性的一种方法。其适用范围是生产经营过程比较复杂,业务流程比较繁多,且已建立完整的内部控制系统的企业。
(3)制度法。制度法是指从被检查企业内部控制制度入手,采用内部控制评审技术方法获取评审证据,来评价企业内部控制的健全性、合理性和有效性。其适用范围是尚未建立完整的内部控制系统的企业,或者是还停留在靠内部规章制度进行控制的企业。
2.内部控制评审的技术方法
内部控制评审的技术方法经常采用的技术方法主要有:
(1)抽样法。通过抽取一定数量且具有代表性的样本进行调查和测试,根据样本来推断总体状况的一种评审方法。这是审计工作普遍采用的方法,,应当采取科学抽样的方法来完成对企业已经发生的所有经济业务进行审计和评审,只要按照合理的允许的误差科学地抽取了样本,通过对样本的评审是能够满足对企业整个经济活动的评审需要的。
(2)穿行测试法。穿行测试也称全程测试,通常用于对业务流程或具体业务的测试与评价。这是内部审计经常运用的一种简便易行的技术方法,特别适用于对内部控制的评审中,通过对一笔或若干具体业务的穿行测试,可以比较直观有效的反映一个或若干业务流程的内部控制情况。(3)证据检查法。证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时,要求被评审企业在限定的时间内,提供被评审业务主要控制点对应的相关资料。通过对这些书面证据的检查,验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。
(4)压力测试法。即测试被评审企业关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。
(5)流程图法。流程图法主要用于内部控制系统的健全性和合理性测试,流程图法可以使评审人员清晰地看出被评审企业内部控制系统如何运行,业务的风险控制点和控制措施,有助于发现各内部控制系统的缺陷和评审重点。
四、内部控制评价标准和综合评价结果
现场评审结束后,应依据内部控制评价标准,对被评审企业进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则,做到量化合理、定性准确。
1.内部控制评价标准
在对各项评审内容严格审查、测试和初步评价的基础上,应对企业整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价。
(1)内部控制的健全性。内部控制的健全性是指企业根据生产经营管理的自身需要,应设置的内部控制系统的内容都比较完备,而且所设置的内部控制系统对企业的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。
(2)内部控制的合理性。内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性,它是在健全性的基础上对企业内部控制更深一层次的要求。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。
(3)内部控制的有效性。有效性是内部控制的精髓,应根据对评审内容的测试结果,对各项业务目标是否能够实现,各项业务风险的评估与规避情况如何,内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。
2.评审内容的计分和综合评价
为了科学、合理地对企业内部控制进行评价,评审组应依据内部控制评价标准评审内部控制各项内容,按照“健全性、合理性、有效性”三个标准进行汇总、分类、评分和评价。
(1)评审组根据在现场评审中所发现的问题,先依据评审实施方案中的“评审内容明细表”所确定的每项具体评审内容进行汇总,再按照“健全性、合理性、有效性”三个评审标准进行分类。经评审组统一研究、讨论得出每项评审内容的综合评审意见,根据评审意见给该项内容评分。
(2)在得出以上评分后,评审组还应结合评审中所揭示的企业内部控制系统存在的具体问题,依据“健全性、合理性、有效性”的评价等级,分别对被评审企业内部控制系统的健全程度、合理程度以及执行情况做出准确、严谨、中肯的定性评价。
3.内部控制评审报告
综合评审报告的内容,主要包括以下三方面。
(1)评审的基本情况。分为两部分,一是说明评审目的、范围、人员组成等,二是简述一下被评审企业的基本情况及其内部控制现状。
(2)存在的问题及危害性。将评审中发现的问题分类进行列述,并准确界定被评审企业的财务、经营风险档次,尤其是对于内部控制中存在的重大缺陷和薄弱环节,应指出风险隐患,说明其危害性。
(3)综合评价及处理建议。说明被评审企业的得分情况,按照综合评价标准对被评审企业的内部控制总体评审情况进行描述,并根据评审情况向审计委员会提出处理建议。处理建议要切合被评审企业的实际,要有科学性、针对性和可行性。
总之,内部控制作为企业管理的一部分,它是一个动态的管理过程,是在不断发展变化的。内部控制评审在我国尚处于初级阶段,需在实践中积极借鉴国外先进或成功的经验与做法,但不能照搬照套,应紧密结合本企业未来发展变化的情况,不断地加以总结、改进和提高,以制定出较为健全有效的内部控制评审规范体系,并逐步走上制度化、规范化的道路。
参考文献:
[1]中国注册会计师协会《内部控制审核指导意见》.