澳大利亚内部控制与审计方法
来源: 赵济堃/曾晓冬
2004-06-17
普通
北京市审计局曾组团赴澳大利亚进行内部控制与审计方法培训考察。通过这次短期培训和考察,不但开阔了眼界、拓宽了思路,而且在如何优化审计环境、改进审计工作等方面也有较深刻的体会。
一、澳大利亚的企业内部控制与审计
(一)企业内部控制系统及目标
澳大利亚的企业内部控制系统由三个要素组成。一是控制环境,主要包括七个方面的内容,即管理理念和经营风格;企业组织结构;职权分配体系;内部审计;计算机技术应用水平;人力资源;审计委员会的组成和作用发挥。控制环境是对企业内部控制的建立和实施产生重大影响的因素,它的优劣直接决定企业管理当局各项控制政策能否实施和实施后的效果。二是信息系统,即计算机系统的应用。这个系统是企业汇总、分析、分类、记录、计量、报告真实交易的关键因素,它能否有效、安全运行直接影响到财务报表的可信度。三是控制程序,它是企业管理当局为了合理保证经营目标的实现而建立和运行的政策及程序,包括:交易授权;职责划分和不相容职务的分离;凭证与记录控制;资产的保管与记录使用;独立稽核。
澳大利亚的企业内部控制目标是管理和控制风险。澳大利亚的企业管理引入了风险管理概念,他们认为风险与企业经营随时随地发生着联系,因此,企业管理当局最重要的职责之一就是应对各种风险。这些风险主要包括:战略决策风险、经营风险、财务管理风险、产品质量风险、服务风险、商业风险(不可抗力)等。监测、审查、预防、控制和处理这些风险是企业建立和运行内部控制的目标。通常情况下,管理和控制风险的模式是:建立风险管理系统并保证其运行;依靠风险管理系统的运行识别各种风险;分析风险的成因和类型并尝试对风险进行控制;评估风险引发的后果或危害;对风险进行处理,规避风险、堵塞漏洞,消除风险的不良影响。内部审计和外部审计是风险管理系统中的重要组成部分。
(二)企业内部控制审计
澳大利亚的内部审计和外部审计,在审计实施中均对企业内部控制系统进行审查,但它们的目的截然不同。
1.内部审计审查内部控制系统的目的是管理和控制风险。
澳大利亚的企业有严格的内部审计制度。澳大利亚2001年《公司法》规定,上市公司设立审计委员会,对公司进行管理和控制风险。其他企业内部审计师也是通过风险管理审计,监督企业内部控制运行,指导企业管理。澳大利亚内部审计师的工作目标是:资料真实、完整、合法;资产安全完整;有效控制现金;经济有效地使用资源;保证企业达到预期目标。在内部控制的审查中,内部审计师要检查内部控制系统是否有效地抵御了战略决策风险、财务管理风险、经营性风险、商业性风险和技术应用风险(包括计算机软件、硬件应用)。
2.外部审计审查内部控制系统的目的,是为实现财务审计目标而确定审计重点、收集审计证据、节约审计资源、提高工作效率。
澳大利亚的财务审计目标是国际通行的,它包括:存在性或所有权;权利和义务;真实、完整;计价;记录和披露。《澳大利亚审计准则》第502条规定,外部审计师根据财务审计目标发表审计意见,要收集充分的证据。收集证据的方式可以采用内部控制系统测评(系统基础审计)的方法。运用这种方法有三个步骤。一是了解内部控制系统;二是符合性测试;三是实质性测试。实施这三个步骤的目的是确定企业内部控制是否有效运行,借以发现财务报告中的重大错弊。了解内部控制系统是否摸清和掌握企业内部控制环境、会计信息系统和控制程序等内部控制要素,初步评价内部控制的健全性和有效性,为审计师决定是否应用符合性测试、设计符合性测试程序和范围提供决策依据。在了解内部控制系统的基础上,对财务报表金额进行横向、纵向以及比率和趋势的分析性复核,可以进一步确定符合性测试的重点范围。符合性测试是复核和检查内部控制系统的运行情况,判断内部控制系统的可信赖程度,借以评价内部控制系统,确定实质性测试的范围和规模。实质性测试则是最终检查会计账目,收集审计证据,确认财务报表的金额。
3.外部审计在内部审计基础上开展工作。
《澳大利亚审计准则》第604条对外部审计开展工作时利用内部审计资料做出了规定。外部审计在利用内部审计的资料前,要从四个方面确定资料的可信度,一是了解企业组织架构,审查企业是否设置内部审计师,内部审计师的工作情况如何;二是审查企业的内部审计师工作程序是否适当,内部审计师是否享有应有的职权,是否具有独立性;三是审查内部审计师是否具有专业能力,能够发挥应有的作用;四是审查并判断内部审计师是否具有职业精神和职业道德。如果审查结果表明内部审计师及其工作是可以信赖的,外部审计师则可以根据自身对企业内部控制测试的结果,判断并采用内部审计师的资料,以达到提高审计工作效率的目的。
(三)IT(计算机)环境下的内部控制审计
澳大利亚各行业计算机应用水平较高,因此也较重视IT审计。《澳大利亚IT审计准则》规定了IT审计的程序、内容和技术方法。内部IT审计以计算机系统安全保密和控制风险为主要目标;外部IT审计以计算机系统安全完整地记录和报告财务数据为主要目标。审计师对企业IT内部控制系统的了解和测试是企业内部控制审计中的重要一环,一般从以下几个方面着手:一是计算机系统的安全性、有效性;二是数据控制的方式和方法;三是软件运行;四是职务和职权的划分;五是使用和依赖网络的程度。在审计中,审计师要评估IT设计是否达到预期目标,IT系统所面临的各种风险是否得到有效控制。
(四)审计质量内部控制
澳大利亚民间审计的质量控制系统是严格和健全的。它包括以下几个方面:一是审计师要取得资格并保持独立性;二是审计中,审计师要严格执行《审计准则》并接受业务主管和中介机构合伙人的检查;三是合伙人之间建立监督制约机制;四是澳大利亚会计师协会对执业机构和审计师不定期的检查;五是英国注册会计师协会对执业机构每五年进行一次考查和审核;六是《国际审计质量管理准则》工作质量评估机构定期或不定期的检查、评估。
维多利亚州总审计长办公室也很重视对审计质量的控制,规定了完整的程序和措施。主要是:审计组的工作计划必须得到部门主管的批准;部门主管不断审核并复查计划的执行;部门主管必须对审计报告进行全面审查和签署;审计工作结束后,抽查审计报告并进行详细的复查;与被审计单位保持经常、畅通的联系,以保证他们向审计管理人员提出改进审计工作的意见。
二、几点启示
(一)建立健全并保证内部控制系统有效运行是部门和企业领导的重要职责
与澳大利亚企业管理部门相比,大多数国内部门和企业在管理中,对风险管理的概念还较模糊,未将内部控制系统的建立和运行作为管理和控制风险的重要手段。我国已经加入世界贸易组织,国际竞争将日益激烈,部门和企业的领导要学习先进的内部控制理论和管理经验,树立风险管理的意识,充分认识内部控制系统在管理中的重要作用,将建立健全和保证内部控制系统有效运行作为自己的重要职责。
(二)强化内部审计管理和控制风险的职能
在我国的审计监督体系中,内部审计是一个重要的组成部分。但在实践中,内部审计机构和人员很难做到控制风险和指导管理,大多数内部审计机构和人员的工作重点仍局限于财务收支的合规审计,难以将工作触角延伸到整个管理和控制系统。究其原因:一是内部审计机构和人员缺乏独立性,大多数内部审计机构和人员隶属于行政(经营)管理者,不能成为内部控制系统中的坚实一环;二是思想认识和专业素质上有差距,缺乏控制风险和指导管理的意识,不具备管理阅历和知识,难以胜任风险管理审计;三是技术方法老化,仍停留在账目基础审计方法上,不能发挥控制风险和指导管理的作用;也不能使审计机关和社会审计组织充分利用内部审计资料。面对这种形势,各部门、各单位的主要领导要在组织上赋予内部审计机构和人员独立性或相对独立性,上市公司更要引进独立的审计委员会制度,为内部审计发挥管理和控制风险职能打好组织基础;内部审计机构和人员要吸收国际先进的内部审计理论,注重提高专业素质,探索风险管理审计,强化管理和控制风险的职能。
(三)审计机关要推广应用系统基础审计方法
各级审计机关的审计任务是比较繁重的,尤其是预算执行审计、部门决算(草案)审签等审计项目,涉及单位广、管理环节多、财务数据浩繁,而且还有明确的时限要求,这就使审计机关承担着巨大的审计风险。在审计资源既定的情况下,保证审计质量、降低审计风险的惟一途径就是推广应用系统基础审计乃至风险基础审计方法。目前,我们虽然在探索应用系统基础审计方法,但是审计干部还不能运用自如。其主要原因,一是审计干部的内部控制系统理论不扎实,对内部控制系统的构成和运行缺乏应有的理解,不能完整操作了解控制系统、进行符合性测试、实施实质性检查这三个步骤,实践中,往往混淆了解控制系统和进行符合性测试两个环节,使符合性测试流于形式。二是审计干部职业判断经验不足,一方面不能依据对内部控制系统的了解情况,评价其健全性、有效性,进而确定并判断是否应用符合性测试以及设计测试的重点和程序;另一方面不能依据符合性测试结果评价内部控制系统的可信度,进而确定并判断是否应用实质性检查以及检查的重点和范围。这就需要审计机关加强对审计干部内部控制系统理论和实际操作技能的培训,使系统基础审计方法真正应用于审计实践中。
(四)跟上时代步伐,发展计算机审计
随着计算机技术的普及和计算机网络化的发展,审计机关发展计算机审计技术已经迫在眉睫。与澳大利亚同行相比,我们的计算机审计还较落后,仅仅处于起步阶段,而且还存在着一些亟待解决的问题。主要是:审计干部计算机应用技术水平偏低;审计机关,尤其是基层审计机关,计算机技术装备的数量、质量难以支撑工作需要;审计软件开发应用落后;规定计算机审计程序、内容、方法的技术准则尚处于空白等等。对于这些问题,我们应予足够的重视,要加大培训和软件研发的工作力度;制定切合实际的《计算机审计准则》指导工作;要争取本级政府的领导,给予必要的经费支持。只有迎头赶上,我们才不会失去审计资格。
(五)认真贯彻《审计方案准则》,确保审计机关的审计工作质量
维多利亚州总审计长办公室对审计质量控制的方式启示我们,严格的审计方案审批、复查程序是确保审计质量的重要手段。审计署颁布的《审计方案准则》是与国际接轨的产物,它在确定审计目标,明确编制和实施审计方案的责任,编制审计方案的程序和内容等方面做出了详尽的规定。但是实际工作中,审计机关的一些单位和部门贯彻《审计方案准则》不到位,存在重实地操作、轻方案编制和审定的倾向。这种错误倾向如不及时纠正,则不利于审计机关确定审计目标、分清内部工作责任、保证审计质量。
(六)强化对社会审计质量的监控
借鉴澳大利亚民间审计质量控制体系,社会审计的管理部门应当在审计质量监管工作上与国际接轨,建立定期和多层次的考查、审核和评估制度;审计机关也要进一步加大对社会审计质量监管的力度,肩负起在会计领域打假治乱、正本清源的历史使命。
一、澳大利亚的企业内部控制与审计
(一)企业内部控制系统及目标
澳大利亚的企业内部控制系统由三个要素组成。一是控制环境,主要包括七个方面的内容,即管理理念和经营风格;企业组织结构;职权分配体系;内部审计;计算机技术应用水平;人力资源;审计委员会的组成和作用发挥。控制环境是对企业内部控制的建立和实施产生重大影响的因素,它的优劣直接决定企业管理当局各项控制政策能否实施和实施后的效果。二是信息系统,即计算机系统的应用。这个系统是企业汇总、分析、分类、记录、计量、报告真实交易的关键因素,它能否有效、安全运行直接影响到财务报表的可信度。三是控制程序,它是企业管理当局为了合理保证经营目标的实现而建立和运行的政策及程序,包括:交易授权;职责划分和不相容职务的分离;凭证与记录控制;资产的保管与记录使用;独立稽核。
澳大利亚的企业内部控制目标是管理和控制风险。澳大利亚的企业管理引入了风险管理概念,他们认为风险与企业经营随时随地发生着联系,因此,企业管理当局最重要的职责之一就是应对各种风险。这些风险主要包括:战略决策风险、经营风险、财务管理风险、产品质量风险、服务风险、商业风险(不可抗力)等。监测、审查、预防、控制和处理这些风险是企业建立和运行内部控制的目标。通常情况下,管理和控制风险的模式是:建立风险管理系统并保证其运行;依靠风险管理系统的运行识别各种风险;分析风险的成因和类型并尝试对风险进行控制;评估风险引发的后果或危害;对风险进行处理,规避风险、堵塞漏洞,消除风险的不良影响。内部审计和外部审计是风险管理系统中的重要组成部分。
(二)企业内部控制审计
澳大利亚的内部审计和外部审计,在审计实施中均对企业内部控制系统进行审查,但它们的目的截然不同。
1.内部审计审查内部控制系统的目的是管理和控制风险。
澳大利亚的企业有严格的内部审计制度。澳大利亚2001年《公司法》规定,上市公司设立审计委员会,对公司进行管理和控制风险。其他企业内部审计师也是通过风险管理审计,监督企业内部控制运行,指导企业管理。澳大利亚内部审计师的工作目标是:资料真实、完整、合法;资产安全完整;有效控制现金;经济有效地使用资源;保证企业达到预期目标。在内部控制的审查中,内部审计师要检查内部控制系统是否有效地抵御了战略决策风险、财务管理风险、经营性风险、商业性风险和技术应用风险(包括计算机软件、硬件应用)。
2.外部审计审查内部控制系统的目的,是为实现财务审计目标而确定审计重点、收集审计证据、节约审计资源、提高工作效率。
澳大利亚的财务审计目标是国际通行的,它包括:存在性或所有权;权利和义务;真实、完整;计价;记录和披露。《澳大利亚审计准则》第502条规定,外部审计师根据财务审计目标发表审计意见,要收集充分的证据。收集证据的方式可以采用内部控制系统测评(系统基础审计)的方法。运用这种方法有三个步骤。一是了解内部控制系统;二是符合性测试;三是实质性测试。实施这三个步骤的目的是确定企业内部控制是否有效运行,借以发现财务报告中的重大错弊。了解内部控制系统是否摸清和掌握企业内部控制环境、会计信息系统和控制程序等内部控制要素,初步评价内部控制的健全性和有效性,为审计师决定是否应用符合性测试、设计符合性测试程序和范围提供决策依据。在了解内部控制系统的基础上,对财务报表金额进行横向、纵向以及比率和趋势的分析性复核,可以进一步确定符合性测试的重点范围。符合性测试是复核和检查内部控制系统的运行情况,判断内部控制系统的可信赖程度,借以评价内部控制系统,确定实质性测试的范围和规模。实质性测试则是最终检查会计账目,收集审计证据,确认财务报表的金额。
3.外部审计在内部审计基础上开展工作。
《澳大利亚审计准则》第604条对外部审计开展工作时利用内部审计资料做出了规定。外部审计在利用内部审计的资料前,要从四个方面确定资料的可信度,一是了解企业组织架构,审查企业是否设置内部审计师,内部审计师的工作情况如何;二是审查企业的内部审计师工作程序是否适当,内部审计师是否享有应有的职权,是否具有独立性;三是审查内部审计师是否具有专业能力,能够发挥应有的作用;四是审查并判断内部审计师是否具有职业精神和职业道德。如果审查结果表明内部审计师及其工作是可以信赖的,外部审计师则可以根据自身对企业内部控制测试的结果,判断并采用内部审计师的资料,以达到提高审计工作效率的目的。
(三)IT(计算机)环境下的内部控制审计
澳大利亚各行业计算机应用水平较高,因此也较重视IT审计。《澳大利亚IT审计准则》规定了IT审计的程序、内容和技术方法。内部IT审计以计算机系统安全保密和控制风险为主要目标;外部IT审计以计算机系统安全完整地记录和报告财务数据为主要目标。审计师对企业IT内部控制系统的了解和测试是企业内部控制审计中的重要一环,一般从以下几个方面着手:一是计算机系统的安全性、有效性;二是数据控制的方式和方法;三是软件运行;四是职务和职权的划分;五是使用和依赖网络的程度。在审计中,审计师要评估IT设计是否达到预期目标,IT系统所面临的各种风险是否得到有效控制。
(四)审计质量内部控制
澳大利亚民间审计的质量控制系统是严格和健全的。它包括以下几个方面:一是审计师要取得资格并保持独立性;二是审计中,审计师要严格执行《审计准则》并接受业务主管和中介机构合伙人的检查;三是合伙人之间建立监督制约机制;四是澳大利亚会计师协会对执业机构和审计师不定期的检查;五是英国注册会计师协会对执业机构每五年进行一次考查和审核;六是《国际审计质量管理准则》工作质量评估机构定期或不定期的检查、评估。
维多利亚州总审计长办公室也很重视对审计质量的控制,规定了完整的程序和措施。主要是:审计组的工作计划必须得到部门主管的批准;部门主管不断审核并复查计划的执行;部门主管必须对审计报告进行全面审查和签署;审计工作结束后,抽查审计报告并进行详细的复查;与被审计单位保持经常、畅通的联系,以保证他们向审计管理人员提出改进审计工作的意见。
二、几点启示
(一)建立健全并保证内部控制系统有效运行是部门和企业领导的重要职责
与澳大利亚企业管理部门相比,大多数国内部门和企业在管理中,对风险管理的概念还较模糊,未将内部控制系统的建立和运行作为管理和控制风险的重要手段。我国已经加入世界贸易组织,国际竞争将日益激烈,部门和企业的领导要学习先进的内部控制理论和管理经验,树立风险管理的意识,充分认识内部控制系统在管理中的重要作用,将建立健全和保证内部控制系统有效运行作为自己的重要职责。
(二)强化内部审计管理和控制风险的职能
在我国的审计监督体系中,内部审计是一个重要的组成部分。但在实践中,内部审计机构和人员很难做到控制风险和指导管理,大多数内部审计机构和人员的工作重点仍局限于财务收支的合规审计,难以将工作触角延伸到整个管理和控制系统。究其原因:一是内部审计机构和人员缺乏独立性,大多数内部审计机构和人员隶属于行政(经营)管理者,不能成为内部控制系统中的坚实一环;二是思想认识和专业素质上有差距,缺乏控制风险和指导管理的意识,不具备管理阅历和知识,难以胜任风险管理审计;三是技术方法老化,仍停留在账目基础审计方法上,不能发挥控制风险和指导管理的作用;也不能使审计机关和社会审计组织充分利用内部审计资料。面对这种形势,各部门、各单位的主要领导要在组织上赋予内部审计机构和人员独立性或相对独立性,上市公司更要引进独立的审计委员会制度,为内部审计发挥管理和控制风险职能打好组织基础;内部审计机构和人员要吸收国际先进的内部审计理论,注重提高专业素质,探索风险管理审计,强化管理和控制风险的职能。
(三)审计机关要推广应用系统基础审计方法
各级审计机关的审计任务是比较繁重的,尤其是预算执行审计、部门决算(草案)审签等审计项目,涉及单位广、管理环节多、财务数据浩繁,而且还有明确的时限要求,这就使审计机关承担着巨大的审计风险。在审计资源既定的情况下,保证审计质量、降低审计风险的惟一途径就是推广应用系统基础审计乃至风险基础审计方法。目前,我们虽然在探索应用系统基础审计方法,但是审计干部还不能运用自如。其主要原因,一是审计干部的内部控制系统理论不扎实,对内部控制系统的构成和运行缺乏应有的理解,不能完整操作了解控制系统、进行符合性测试、实施实质性检查这三个步骤,实践中,往往混淆了解控制系统和进行符合性测试两个环节,使符合性测试流于形式。二是审计干部职业判断经验不足,一方面不能依据对内部控制系统的了解情况,评价其健全性、有效性,进而确定并判断是否应用符合性测试以及设计测试的重点和程序;另一方面不能依据符合性测试结果评价内部控制系统的可信度,进而确定并判断是否应用实质性检查以及检查的重点和范围。这就需要审计机关加强对审计干部内部控制系统理论和实际操作技能的培训,使系统基础审计方法真正应用于审计实践中。
(四)跟上时代步伐,发展计算机审计
随着计算机技术的普及和计算机网络化的发展,审计机关发展计算机审计技术已经迫在眉睫。与澳大利亚同行相比,我们的计算机审计还较落后,仅仅处于起步阶段,而且还存在着一些亟待解决的问题。主要是:审计干部计算机应用技术水平偏低;审计机关,尤其是基层审计机关,计算机技术装备的数量、质量难以支撑工作需要;审计软件开发应用落后;规定计算机审计程序、内容、方法的技术准则尚处于空白等等。对于这些问题,我们应予足够的重视,要加大培训和软件研发的工作力度;制定切合实际的《计算机审计准则》指导工作;要争取本级政府的领导,给予必要的经费支持。只有迎头赶上,我们才不会失去审计资格。
(五)认真贯彻《审计方案准则》,确保审计机关的审计工作质量
维多利亚州总审计长办公室对审计质量控制的方式启示我们,严格的审计方案审批、复查程序是确保审计质量的重要手段。审计署颁布的《审计方案准则》是与国际接轨的产物,它在确定审计目标,明确编制和实施审计方案的责任,编制审计方案的程序和内容等方面做出了详尽的规定。但是实际工作中,审计机关的一些单位和部门贯彻《审计方案准则》不到位,存在重实地操作、轻方案编制和审定的倾向。这种错误倾向如不及时纠正,则不利于审计机关确定审计目标、分清内部工作责任、保证审计质量。
(六)强化对社会审计质量的监控
借鉴澳大利亚民间审计质量控制体系,社会审计的管理部门应当在审计质量监管工作上与国际接轨,建立定期和多层次的考查、审核和评估制度;审计机关也要进一步加大对社会审计质量监管的力度,肩负起在会计领域打假治乱、正本清源的历史使命。