内部审计中质量控制制度初探
审计作为一种系统的方法或过程,对其质量加以评价有一定难度。近年来,我国将审计质量定义为审计组织从事各项工作的优劣程度,具体包括审计工作质量和审计项目质量。要保证良好的审计质量,务必有一支过硬的审计队伍、健全的内部监督控制机制、完善的规章制度以及先进的审计技术方法等,必须构建科学的内部审计质量管理与控制体系,指导审计事务的有效、有序开展。质量管理与控制体系的目的是满足国家相关规范的要求。如《内审审计具体准则第19号一内部审计质量控制》(中国内部审计协会,2005年),《关于加强中央企业内部审计工作的通知》(国资委,2005年)。满足企业自身发展的要求。切实规范审计人员的实务操作,建立审计问责制度,推进审计实务的标准化、流程化,减少审计风险。
一、内部审计的全面质量控制
内部审计机构全面质量控制是指内审机构为合理保证所有内部审计活动符合内部审计准则的要求而制定的控制政策和程序。内部审计机构必须建立健全内部规章制度,以便于审计人员有据可依。分别从审计人员的管理、具体审计项目的实施管理等方面建章立制,督促审计人员对内审职业道德规范的遵守;确保审计人员按照各专业的审计实务操作手册开展规范的审计业务;保证审计机构不断提升内部审计人员的专业胜任能力等。内部审计机构必须定期开展内审的风险评估,处理重大审计风险,并通过相关措施进行风险控制,确保审计的质量。一方面,内部审计机构要制订出内部审计的风险清单,并划分风险等级,根据ERM风险管理模型,制定评价框架;另一方面,定期开展风险的评估,对存在有重要风险的活动或事项制订应对措施并有效落实。内部审计机构要加大精细化管理程度,通过构建科学的内审管理体系进行日常行政以及业务管理,如明确工作纪律要求、员工绩效考核标准等,通过不断提升管理水平,来构建一个良好的内部审计氛围。
积极采用先进的审计技术,如大力开展计算机审计,并对计算机审计过程进行质量控制。充分的审计调查是计算机审计质量控制的前提。标准化的作业流程是计算机审计质量控制的核心。计算机审计结果的复核是计算机审计质量控制的保证。计算机审计复核方法主要有两种,一是对计算机审计人员的作业文档进行复核;二是对计算机审计的线索进行核实,反过来验证计算机审计结果。通过这两种方式的结合,进行充分的事前、事后两个阶段的计算机审计复核,从而使之成为保证计算机审计质量的重要关口。
二、内部审计具体项目的质量控制
内部审计项目质量控制是为合理保证审计项目的实施符合内部审计准则的要求而制定的控制程序与方法,应体现内部审计机构质量控制的需要与要求。内部审计机构实施审计项目时,应对审计准备、审计实施和审计终结三个阶段全过程实行质量控制,即建立事前、事中、事后的控制制度。
(一)事前控制建立科学的审计项目选题机制。通过对公司风险评估的结果选出对公司目标实现有重要影响的项目。在项目筛选过程中,要把握以下原则:重要性原则,选取领导、员工关心的。对公司有较大影响的;效益性原则,选择紧扣公司发展大局,紧密联系当前的环境变化综合考虑;可行性原则,选择项目是审计人力物力所及,审计环境较好的项目;增值性原则,具有改进空间的项目。审计方案的质量控制。审计方案应在审计实施前编制完成,并经内部审计机构负责人批准;内部审计机构应当根据批准后的审计方案组织实施内部审计活动。在执行过程中,若有必要,应按规定的程序对方案进行修改和补充;审计项目负责人可以根据被审计单位的经营规模、业务复杂程度及审计工作的复杂程度,确定审计方案内容的繁简程度;督导人员应确认审计人员按批准后的审计方案实施必要的审计程序,并针对新发现的重要问题修订审计方案。
(二)事中控制审计证据的质量控制:审计证据是内部审计人员在从事审计活动中,通过实施审计程序所获取的,用以证实审计事项,作出审计结论和建议的依据。(1)内部审计人员获取的审计证据应当具备充分性、相关性和可靠性。(2)审计项目的各级复核人应在各自责任范围内对审计证据的充分性、相关性和可靠性予以复核。(3)内部审计人员在获取审计证据时,应当考虑下列基本因素:适当的抽样方法;合理的审计风险水平;成本与效益的合理程度以及具体审计事项的重要程度。内部审计人员应当从数量和性质两个方面判断具体审计事项的重要性,以做出获取审计证据的决策。(4)内部审计人员应将获取审计证据的名称、来源、内容、时间等清晰、完整地记录在工作底稿中。(5)内部审计机构经批准后可聘请其他专业机构或人士对审计项目的某些特殊问题进行鉴定,以鉴定结论作为审计证据。内部审计人员应对引用该证据的可靠性负责。(6)对于被审计单位存有异议的审计证据,内部审计人员应作进一步核实。一般审计证据应当由证据提供者签名或盖章。如果证据提供者拒绝,内部审计人员应当注明原因和日期,该证据依然可作为支持审计结论和建议的依据。(7)内部审计人员应做好审计证据的分类、筛选和汇总工作,保证已获取审计证据的充分性、相关性和可靠性。在评价审计证据时,应充分考虑证据之间的相互印证及证据来源的可靠程度。
审计工作底稿的质量控制:审计工作底稿是内部审计人员在审计过程中形成的工作记录,是联系审计证据和审计结论的桥梁。内部审计机构应建立审计工作底稿的分级复核制度,由内部审计机构中比工作底稿编制人员职位更高或更具有丰富经验的人担任。内部审计机构负责人对审计工作底稿的复核负完全责任。审计工作底稿应内容完整、记录清晰、结论明确,客观反映项目审计计划与审计方案的制定及实施情况,并包括与形成审计结论和建议有关的所有重要事项;应注明索引编号和顺序编号。相关工作底稿之间如存在勾稽关系应予以清晰反映,相互引用时应交叉注明索引编号;在具体审计过程中,审计项目负责人应对工作底稿进行现场复核并负责,如果发现审计工作底稿存在问题,复核人员应在复核意见中加以说明,并要求相关人员补充或重编工作底稿。
(三)事后控制主要是审计报告编制复核和审计结论的执行情况。(1)内部审计人员应在审计实施结束后,以经过核实的审计证据为依据,形成审计结论与建议,出具审计报告。如有必要,内部审计人员可以在审计过程中提交期中报告,以便及时采取有效的纠正措施改善经营活动和内部控制。(2)审计报告应当客观、完整、清晰、及时、具有建设性,并体现重要性原则。具体来说,报告的编制应实事求是、客观公正地反映审计事项;应要素齐全、格式规范,不遗漏审计中发现的重大事项;突出重点、简明扼要、易于理解;编制应及时,以便适时采取有效纠正措施;报告应针对被审计单位经营活动和内部控制的缺陷提出可行的改进建议,促进组织目标的实现;报告形成的审计结论与建议应当充分考虑审计项目的重要性和风险水平。(3)被审计单位对审计报告持有异议的,审计项目负责人及相关人员应进行研究、核实、复查,并及时给予答复,对确需采纳的意见应修改审计报告。(4)内部审计机构应将审汁报告提交被审计单位和组织适当管理层,并要求被审计单位在规定的期限内落实纠正措施。
(四)后续审计质量控制后续审计是内部审计机构为检查被审计单位对审计发现的问题时所采取的纠正措施及其效果而实施的审计。内部审计人员应评价被审计单位管理层采取的纠正措施是否及时、合理、有效。机构负责人如果初步认定被审计单位管理层对审计发现的问题已采取了有效的纠正措施,后续审计可以作为下次审计工作的一部分;当被审计单位基于成本或其他考虑,决定对审计发现的问题不采取纠正措施,并做出书面承诺时,内部审计机构负责人应向组织适当管理层报告;内部审计机构负责人应根据被审计单位的反馈意见,确定后续审计时间和人员安排,编制审计方案,应考虑审计决定和建议的重要性、纠正措施的复杂性、落实纠正措施所需要的期限和成本、纠正措施失败可能产生的影响以及被审单位的业务安排和时间要求。因此,内部审计人员在确定后续审计范围时,应分析原有审计决定和建议是否仍然可行。如果被审计单位的内部控制或其他因素发生变化,使原有审计决定和建议不再适用时,则应对其进行必要的修订。