(A)內部控制審計程序概述
為了討論方便,首先簡單分析壹下內部控制審計的分類。經濟組織內部控制審計不能針對整個內部控制系統進行,更多的時候是針對其中的壹部分進行。按照內部控制的範圍,大致可以分為以下三類:1、商業周期內部控制審計所謂商業周期內部控制,是指對壹個商業周期的控制,按照經濟組織的業務縱向進行,專門審計商業周期內部控制;2.非獨立部門的內部控制審計。這種審計專門針對非獨立部門或機構所涉及的內部控制。所謂不獨立,是指財務獨立,沒有獨立的財務機構,不單獨核算;3、獨立單位內部控制審計,這種審計是對經濟組織的獨立單位的內部控制進行審計,獨立單位是指財務獨立,可以是投資中心或利潤中心,也可以是子公司,單獨設立分支機構的金融機構,它們可能有自己的壹套內部控制,也可以對整個經濟組織實施內部控制。這三類審計各有特點,但就審計程序而言,獨立單位內部控制審計相對復雜,程序也最全面,所以以下以其為基礎。
內部控制審計程序和內部控制評價作為其他審計中的審計程序應該有相似之處,因為畢竟兩者都是以內部控制為重點,但由於服務目標不壹致,在程序上也有區別。內部控制評價程序壹般為:1,了解並記錄內部控制;2.風險控制的初步評估;3.實施符合性測試;4.評估內部控制的強度。作為單獨審計,需要了解經濟組織的基本情況,因為對內部控制的需求越強烈,經濟組織的規模就越大,這是必然的;在壹個大規模的組織中,內部審計人員不可能熟悉高級管理層和下屬機構的許多具體的基本情況。了解基本情況是開展內控審計的基本條件,否則無從下手。在同壹個大規模的組織中,既有針對整個組織的控制,也有針對某個部分或某個下屬機構的控制,內部審計人員不可能都熟悉,所以有必要了解內部控制。在了解內部控制的階段,還必須對所了解的信息進行初步分析,以初步確定內部控制的健全性和有效性,並計劃將要實施的合規性測試程序。接下來,與內部控制評價程序壹樣,進行合規性測試,以獲得合規性評價,並最終確定合理性和有效性。最後,總結審計結果,提出審計報告。
綜上所述,本文認為內部控制審計程序為:1,了解基本情況;2.了解內部控制;3.實施符合性測試;4.提交審計報告。以下是基於此程序的討論,其中審計報告在內部審計報告中討論。
(2)了解基本情況
了解基本情況是了解被審計內部控制涉及單位的基本情況,是審計的必要準備和基本條件,影響整個審計過程和結果。這些基本信息包括:1,單位所屬行業及歷史沿革(重點關註管理層沿革);2.本單位的組織結構、人員規模和各機構的崗位結構;3、單位資產規模、生產經營或專業服務的特點;4.主營業務和輔助業務的種類和數量;5.金融會計機構及其工作機構;等壹下。這些基本信息可以通過詢問管理人員、查閱相關文件、會計和統計數據來獲得。
審計師在獲得基本信息後,應適當運用自己的職業判斷,確定以下內容:1,商業周期及其大致內容;2.必須控制的重要或頻繁的業務;3.內部控制僵化;4、審核應投入人力、分工和時間預算。確定商業周期及其大致內容,實際上就是劃分商業周期的過程,確定審計發展的主線;重要或頻繁的業務必須加以控制,確定它們就是確定審計的重點;內部控制的嚴謹程度與獨立單位的規模有關,較小單位的內部控制相應較低,因此衡量標準不能太高。其實這就是確定測量標準的問題,提出設計意見時必須考慮;確定投入人力和時間預算的目的是保證整個審核過程有序進行,保證審核質量。
下壹步是制定總體審計計劃,主要內容是審計人員在獲得上述基本信息後所確定的內容,主要包括審計的範圍,即業務周期和內容,審計的重點,即必須控制的重要或頻繁的業務,審計團隊的組成、分工和時間預算。該計劃將在今後的審計過程中適時調整。
需要特別說明的是商業周期的劃分。商業周期的劃分是將幾個相關的經濟業務或管理活動結合起來。2001年,財政部發布《內部會計控制基本規範(征求意見稿)》,提出“內部控制的內容主要包括對貨幣資金、資金籌集、采購與支付、實物資產、成本、銷售與收款、工程項目、對外投資、擔保等經濟業務活動的控制”,其中這些經濟業務是基本的業務周期劃分,但目前國際上、國內都有多元化趨勢。業務周期是未來審計程序的主線,對內部控制的理解和合規性測試都是按照它來組織的,因此業務周期的劃分影響著整個審計的組織、效率和質量。壹般來說,商業周期的劃分應遵循以下原則:1,涵蓋公司所有業務及其各個環節;2、每個業務周期都能反映所涉及業務及其全過程的* * *特征;3、有利於審計的組織。
(三)對內部控制的理解
了解內部控制的內容
要理解內部控制,首先要解決內部控制的框架問題。1988美國AICPA提出的內部控制結構,即控制環境、控制結構和會計制度,被我國獨立審計準則所采用。1994 COSO報告提出了內部控制要素,即控制環境、風險評估、控制運作、信息與溝通和監控。內部控制要素是內部控制結構的深入發展,在內容上進壹步完善,更加關註內部環境中員工的素質。增加風險評估強調要實現目標,就要分析相關風險,這就形成了風險管理的基礎,將會計系統擴展為信息和溝通,強調信息的內部傳遞,增加監控要素包括內部控制的實施。由於COSO報告提供的內部控制理論比較全面,更接近於對內部控制的本質認識,內部控制的建設要以先進的理論為指導,並結合實際情況,因此本文認為在我國目前的條件下,應該采用COSO報告的觀點,以其框架為指導,同時針對我國內部控制落後的現狀,更加註重控制操作和監控。即如何建立健全有效的控制程序和政策及其實際執行。在控制操作完善的推動下,風險評估和信息溝通逐步完善。同時逐步轉變管理理念,提高員工素質,建立合理的公司治理結構和具體的組織結構,改善控制環境。
因為內部審計主要起監控的作用,內部控制審計是履行監控的職責,所以對內部控制階段的認識可以放在次要位置;由於風險評估的風險是由於內外部風險因素的影響而導致管理層和運營層的控制目標無法實現的風險,因此在評估後設置相應的控制操作對其進行控制,而內部控制審計的部分工作是評估控制操作是否能夠控制風險並實現控制目標,這實際上就是風險評估過程,所以風險評估並不是理解的,而是在後續的分析工作中進行的。由於控制操作實際上是控制過程和策略,為了直觀理解,本文稱之為控制過程和策略。因為內外部信息及其在內外部單位和內部部門成員之間的流動可以形成壹個系統,信息和通信可以統稱為信息系統。綜上所述,本文認為內部控制審計要理解的內部控制要素是控制環境、控制程序和政策以及信息系統。
如前所述,對內部控制的理解是基於業務周期的,即按照業務周期逐壹理解,構成整個單位,這是橫向的;同時,對於每個循環的控制,要分別了解其控制環境、控制程序和程序、信息系統,這是對每個循環的控制的縱向構成和縱向理解。橫向和縱向的交叉理解構成了理解內部控制程序的骨架。
了解控制環境就是了解影響內部控制其他要素的因素,提供內部控制基礎質量的證據,為分析內部控制健全性、有效性和合規性的原因提供證據材料。了解控制環境的內容,其實就是控制環境的內容。根據COSO報告,控制環境包括:1)、員工的誠信道德;2)員工的能力;3)、董事會或審計委員會;4)、經營理念和經營方式;5)、組織結構;6)、授權方式和責任分配;7)、人力資源政策。這主要是針對每個業務周期涉及的部門、人員、方法,第三點是針對整個單位,實際上在了解基本情況的過程中已經進行了。
理解控制程序和政策是理解內部控制要素的最重要部分。每個商業周期可以分成幾個作業,每個作業需要由幾個控制程序和策略來控制。在本文中,我們將這些作業稱為控制點。例如,制造業的銷售和收款周期可分為接受訂單、批準信貸、裝運貨物、開具發票、應收賬款和記錄、收款、退貨和處理客戶投訴等操作。在商業周期的劃分階段,已經了解了商業周期的大致內容。在了解控制程序和政策階段,要進壹步了解和獲取足夠的信息,進壹步確定業務周期中的每壹項操作,進而了解每壹項操作所采用的控制程序和政策。
了解信息系統只要是了解單位內部和外部的信息記錄載體和通訊方式。外部信息載體包括記錄市場份額、監管要求和客戶反饋等信息的資料,內部信息載體包括業務申請審批報告、各種分析報告、控制操作生成的文件、會計資料等。溝通方式包括政策手冊、財務報告手冊、備忘錄、口頭溝通、管理實例等。
了解內部控制的方法與內部控制評價程序中的方法相同,如查閱控制文件和控制信息記錄載體、詢問相關人員、觀察業務進展和內部控制運行情況等。
合理性和有效性的初步分析
在了解內部控制後,我們可以對其健全性和有效性進行初步分析,從而計劃將要實施的合規性測試程序。初步健全性分析主要是分析哪些重要或經常性的業務或操作應該控制而不設置。這些業務是通過了解基本情況學會的,而重要的或頻繁的操作是通過了解控制程序和政策學會的。通過了解控制程序和政策,我們可以知道它們是否受控。
初步有效性分析主要針對控制程序和政策。這實際上是壹個初步的風險評估。初步的有效性分析應首先分析和確定每個業務周期和每個操作的控制目標,然後分析控制程序和政策,看它們能否實現控制目標。對於控制上有缺陷的,可以提出初步的改進建議。
在初步的健全性和有效性分析之後,可以計劃要實施的符合性測試。壹般來說,以下情況不需要測試:1)業務周期或關鍵控制點的控制初步評價為無效;2)在了解內部控制的過程中,知道某個業務周期或關鍵控制點的控制沒有得到遵循;3)在了解公司內部控制的過程中,得知某個業務周期或關鍵控制點的控制得到很好的遵循;4)雖然控制了業務周期或關鍵控制點,但未發生相關業務。以下情況可以考慮大範圍測試:1)大量相關業務中的業務周期或關鍵控制點的控制;2)相關業務雖未大量發生,但涉及金額相對較大的業務周期或關鍵控制點的控制;3)控制程序相對復雜。策劃的結果應記錄在審核計劃中,審核計劃應作相應的調整。
記錄內部控制
制度基礎審計理論中記錄內部控制的方法主要有:文本敘述、問卷、檢查表和流程圖。本文認為內部控制審計作為壹種記錄方法是可以采用的。控制環境的記錄壹般是文字描述,根據控制環境的上述方面進行記錄。了解基本情況的程序也用文字敘述的方式記錄下來。記錄應形成審計工作底稿。
記錄內部控制主要記錄控制程序、政策和信息系統。以上四種方法都可以,但問卷是最常用的。本文對問卷的改進和特殊應用進行了探討。
壹般來說,調查問卷的內容是審計人員根據自己的經驗和被審計單位的情況設計的。但對於內部控制審計,本文認為,鑒於目前我國內部控制薄弱,人們對內部控制了解甚少,問卷應引入標準內部控制作為指引,配合政府推進內部控制建設。標準內部控制是指由權威部門為某項業務或操作設計的標準控制。比如2001,財政部發布了《關於加強貨幣資金內部控制的若幹規定》(征求意見稿),這是標準的內部控制。對於各類單位的業務或操作,如貨幣資金業務、固定資產業務、投資業務等,可以由財務部門制定統壹的標準;對於具有行業特點的業務或操作,如生產周期、銷售和收款等。,主要針對制造業,由行業主管部門或行業協會制定,供不同行業采用。將標準內部控制引入調查問卷,應從權威部門制定的每項業務或操作的標準內部控制中提取並細化標準控制程序和控制點政策,作為調查問卷的調查內容。調查時遵循控制程序和政策。同時,由於引入了標準的內部控制,單位的特殊控制程序和政策可能不會被調查,那些控制也是非常重要的。因此,有必要將問卷調查與書面描述相結合,並增加對本單位實際做法的描述。結合的方式是在每個控制點的控制調查內容下設立單行,記錄本單位的特殊做法。
(4)符合性測試
1,實施符合性測試
符合性測試包括設計測試和執行測試。設計測試意味著合理性和有效性測試,執行測試意味著符合性測試。在對內部控制程序的理解中,初步分析了其健全性和有效性。但由於了解階段獲得的信息可能是不完整的,如通過詢問了解投資業務的控制情況,需要深入了解講述人所說的是否真實、全面,有效性和健全性的初步分析結果需要進壹步證據證實。比如某個控制點的控制集是否能通過分析達到控制目標,這種判斷是否正確還需要進壹步了解,所以更全面的信息證據還需要通過測試進壹步獲得。執行測試是合規測試的主體,主要是檢查內部控制的執行情況。
開展內部控制設計測試,主要做好以下工作:1)更深層次地了解單位內部控制,對健全性和有效性做出更準確的評價;2)獲取進壹步支持初步評價結果的證據;3)檢查在了解和初步評價內部控制階段做出的重要專業判斷和分析。在進行內部控制執行測試時,應特別註意以下事項:1)如何在實踐中組織運用業務周期的控制和關鍵控制點設計;2)是否始終實施控制;3)是否由控制指定職責的人執行,後兩者最為重要。
《獨立審計準則第5號——內部控制與審計風險》提供了三種符合性測試方法,即檢查交易和事項的憑證、現場查詢和觀察無審計線索的內部控制運行情況、重新執行相關內部控制,可以單獨使用,也可以組合使用。本文認為壹致性檢驗方法應以檢驗為主,觀察和詢問為輔。因為始終如壹地控制執行和規定負責人的執行是最重要的,而控制執行中留下的審計痕跡,即控制信息載體,可以反映這兩者,所以我們可以通過檢查控制信息載體來了解它們,同時通過觀察和詢問來獲得控制具體應用的證據。檢查控制信息載體,即提取每個業務周期所涉及的文件、報告、合同等壹些控制信息載體,檢查各個控制點下各種控制程序和政策的執行所留下的記錄,推斷是否得到了充分、壹致的執行。抽取工作采用屬性抽樣技術進行,與內控評價基本相同。樣本量根據了解內部控制階段的規劃確定,樣本采用隨機抽樣或系統抽樣的方式選取。
2.合規性評估
合規性評價主要針對控制點控制範圍內的各種控制措施。內部控制的實際合規性是壹個度的概念,合規和不合規只是它的兩個極端。本文認為,合規性評價應采用評級法,以更好地反映合規程度。合規級別最好分為四至六級。級別太少,難以準確衡量合規程度,級別太多,難以把握級別之間的差異。審計人員將根據具體情況確定級別。每壹級還應確定應提出的審計意見。如果將符合性分為A、B、C、D四個級別,如果被評為A,則為更好地實施提出建議,B為加強提出建議,C為重點加強提出建議,D為特別加強提出建議。評級時,審計人員主要根據屬性抽樣的結果,並考慮通過觀察和詢問獲得的控制對實際情況的應用,運用自己的專業判斷來判斷合規水平。
本文認為評級只是手段,重要的是實現內部控制的審計目標。評級和提出各種強化意見的目的是為了實現監督內部控制執行情況的審計目標,而檢查內部控制執行情況的目的是為了發現控制在具體應用中存在的問題以及控制執行不力導致的財產損失、信息失真、效益下降等問題。評級後評估合規性時,更應註意提出建設性意見。
3、健全性和有效性評價
通過設計測試,可以獲得初步評價的合理性和有效性時需要修改的補充證據,也可以獲得確認初步評價結果的證據。因此,這壹階段評估的主要工作是全面了解和檢驗兩個階段獲得的所有信息,並對其合理性和有效性做出最終評估;二是針對不完善、無效或有缺陷的控制提出審計意見。
健全性評價主要針對重要或頻繁的業務或操作,應註意三種情況:1,控制文件中未規定控制,測試程序中未發現控制;2.控制文檔中沒有指定控制。經詢問,相關人員得知設置了控件,但測試後並未實施;3.沒有控件文件,其他方法無法知道是否設置控件,但是控件經過測試已經實現。在前兩種情況下,應當對相應業務或經營的控制不完善提出意見,而在後壹種情況下,應當認為其實際上是健全的,但應當提出改進控制文件的建議。
有效性評價主要是針對不采用標準內控而實施特殊控制的情況,對於采用標準內控的也要做簡要分析,因為標準內控不壹定適合本單位,有些控制政策需要自己根據標準和自身實際制定。要評估有效性,首先要分析和確定控制每個控制點應該達到的目標。本文認為可以在現金收入控制程序等內部控制制度目標的指導下,結合控制點的具體情況來確定,按照確保資產安全完整的目標,目標是確保現金收入真正以真實金額流入單位。根據信息記錄的真實性和完整性,控制目標是確保所有現金收入記錄正確,根據提高經營效率,目標是提高現金流入單位的速度,根據遵守國家法律法規,目標是遵守《現金管理暫行條例》的有關規定。每個控制點的控制目標不壹定與控制系統目標壹壹對應,有些系統目標可能不適用於某些控制點。例如,采購驗收控制點的控制目標與“確保符合國家法律法規”無關,是根據具體情況而采用的。目標確定後,分析控制點控制的措施能否實現控制目標。
要特別重視對測試過程中發現的重大財產損失、效率低下、違法事件等控制措施健全性和有效性的原因分析。如果這些問題是由健全性和有效性引起的,那麽這些問題既是對初步分析的健全性和有效性的確認,也是分析、評價和建設建議的重點。
健全性和有效性評價的重點是提出意見,以實現補充、完善和再生內部控制的審計目標。有效性的評估實際上是有效性分析和改進意見的混合,在分析的過程中可以提出意見,改進意見是目的。健全性的評價實際上是確定不受控制的業務或經營並為其建立內部控制的過程,主要工作在後者。可以看出,有效性評價和健全性評價在基本方法上是壹致的,都是建立內部控制的方法,因為有效性分析和改進建議實際上是在確定控制目標、分析風險和提出控制措施。因此,內部控制的建立方法是對健全性和有效性的評價,是實現審計目標的重要因素。
本文將不詳細闡述建立內部控制的具體方法,僅提出壹些看法。本文認為,在提出健全意見和有效改進意見的過程中,應特別註意規範內部控制和內部控制方法的運用。如前所述,為配合政府推進內部控制建設,應註意相應的標準內部控制在具體業務或操作中的應用,並結合自身實際情況提出更具建設性的意見。這對於提出健全的意見更有現實意義。財政部2001發布的《內部會計控制基本規範(征求意見稿)》規定了內部控制方法。分別是:1)組織計劃控制,包括合理的組織結構設置和不相容崗位設置。不相容崗位是授權審批與業務辦理、業務辦理與會計記錄、會計記錄與財產保管、業務辦理與業務審核、授權審批與監督檢查;2)授權批準控制,包括建立合理的授權批準範圍、級別、職責和程序;3)文件記錄控制,包括機構職能和授權批準的權力和責任文件、工作說明、業務流程手冊、業務處理憑證、會計信息系統或類似文件,以及對這些文件的宣傳和認知;4)預算控制,包括預算體系的建立、編制和驗證,指標的下達和執行,執行授權,執行過程控制,預算差異的研究和反饋,預算考核和獎懲制度;5)財產保存控制,包括訪問限制、定期盤點和檢查、記錄保護、財產記錄控制和財產保險;6)員工質量控制,包括員工招聘、培訓、考核、崗位輪換、獎懲、晉升和解聘;7)風險抵禦控制,包括融資風險、投資風險、合同風險和信用風險的評估和控制;8)內部報告控制,包括生產報告、業務報告、財務報告、特殊事件報告和報告處理;9)電子信息系統控制,包括系統組織與管理、系統開發與維護、文檔與數據、網絡安全控制、輸入輸出控制和處理控制。這些方法在建立和改進意見時可以起到引導和衡量的作用。
(5)內部審計報告
與其他審計報告壹樣,內部控制審計報告也是審計結果的總結。在提交審計報告之前,審計人員應重新檢查審計過程中獲得的信息,並做出如下分析:1。妳是否理解並學習了機組的所有重要控制?2.分析和判斷是否經過試驗證實或有足夠的證據支持;3.是否遺漏了其他影響最終評價的客觀事實;4.穩健性和有效性的最終合規性評價是否恰當,是否有足夠的證據支持;5.內部控制出現過重大問題,哪些人員嚴重違反內部控制並造成嚴重後果;等壹下。審計項目負責人也會對審計底稿進行審核,然後準備寫審計報告。
內審報告要突出重點,有些細節可以通知當事人或主管,不需要在審計報告中體現,要通俗易懂。壹些與內部控制相關的專業術語應盡可能用通俗易懂的詞語代替。我認為報告的內容應該包括以下幾點:1,單位基本情況簡介;2.內部控制系統介紹;3.對內部控制的健全性和有效性的合規性評價和具體意見;4.內部控制引發的重大問題,相關人員嚴重違反內部控制的事實及處理意見。其中,合規性評價和對健全性、有效性的具體意見僅反映現有控制,運行良好的無需反映。本文的報告格式不需要固定,只要能充分反映上述內容即可。
審核報告應由審核小組討論和批準,在最終確定之前,應與設計的執行者或管理者溝通,聽取他們對審核建議的意見。這主要是為了保證審計意見的質量,使其得到更好的執行。審計報告應提交給內部審計機構主任。報告批準後,最高領導層還應就重大控制問題組織聽證會,並組織人員落實審計意見。審計完成後,內部審計機構應當及時組織回訪,檢查監督審計意見的落實情況。
內部控制審計在我國還是壹個新生事物。在加強內部控制建設的大環境下,其諸多問題必須深入討論,達成統壹認識,以促進其盡快發揮更好的作用。