企业内部控制审计思维新探
审计作为企业实施控制与改进管理的有效工具,也是企业检验和改进内部控制的重要手段。以风险为导向的内部控制审计理念引入企业领域,诸多企业正不同程度地开展内部控制审计。本文从企业内部控制审计目标定位、审计重点、审计方法、风险防范等方面进行思考。
一、准确定位内部控制审计目标
企业内部控制审计的目标,是指在特定的历史条件下,通过实施企业内部控制审计所要达到的预期效果,它通常包括总体目标和具体目标。
(一)企业内部控制审计总体目标企业通过实施企业内部控制审汁.合理有效地促进企业建立健全内部管理制度,改进企业内部管理水平,维护企业资产安全完整,提高企业运营效率和经营效果.以实现企业整体经营目标。
(二)企业内部控制审计具体目标内部控制审计总体目标的进一步具体化,是企业内部控制审计目标的具体表现。通常。企业内部控制审计具体目标概括起来,主要包括以下几个方面:一是健全性。健全性也称完整性,它包含两层涵义:一方面是指企业根据生产经营需要,应该设置的内部控制都已设置;另一方面是指对生产经营活动全过程进行自始自终的控制。二是合规性。是指企业已建立的内控制度是否合法合规。审计企业内控制度的合规性,主要审查两方面:审查企业内控制度是否符合法律、法规以及行业制度体系的规定和审查企业内控制度是否符合上级组织或主管机构制定的内部控制制度有关规定。三是合理性。审计企业内部控制的合理性,同样也包含两层涵义:审计企业内部控制设计和执行时的适用性和审计企业内部控制设计和执行时的经济性。四是遵循性。审计企业内部控制的遵循性,是在审计企业内控制度健全性和合理性的基础上,主要对企业内控制度的实际执行情况进行符合性测试和实质性测试,即审计企业内控制度在生产经营过程中是否遵照执行。五是有效性。审计企业内部控制的效果性,主要是审查企业内部控制政策和措施是否有与国家法律法规相抵触的地方,以及企业内部控制是否具有可操作性,在企业生产经营过程中能否得到贯彻执行并发挥应有作用,以实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。
二、把握内部控制审计重点
根据COSO提出的《内部控制——整体框架》理论和《内部审计其体准则第5号——内部控制审计》等有关规定,企业内部控制审计内容主要包括控制环境、风险管理、控制活动、信息与沟通、内部监督等方面,简称COSO五大要素。因此,要全面把握企业内部控制审计的重点内容,可以分别从以下几方面人手。
(一)控制环境审计是指对企业控制环境总体情况进行审查和评价。其审查重点主要包括:企业生产经营活动的复杂程度;企业内部管理权限的集中程度;企业管理层行为守则或类似规范;企业管理哲学及管理风格;企业文化及员工对企业文化的理解和认同;法人治理结构状况;企业各阶层人员的知识与技能;企业组织结构和职责划分隋况;重要(或关键)岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训;员工业绩考核与激励机制。
(二)风险管理审计是指对企业风险管理机制及其运行情况进行审查和评价。其审查重点主要包括:可能引发风险的内外因素;风险发生的可能性和预计带来的后果;辨识与分析风险能力;防范和降低风险的能力;风险管理的具体方法及效果。
(三)控制活动审计是指对企业各生产经营业务实施控制活动情况进行审查和评价。其审查重点主要是:控制活动业绩评估系统建立及其运行状况;控制活动对风险的识别和规避情况;控制活动对实现企业经营目标的贡献;控制活动执行的有效性。
(四)信息与沟通审计是指对企业建立信息系统、获取及传递信息等信息处理情况进行审查和评价。其审查重点主要是:获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
(五)内部监督方面对内部监督方面进行审计,应当重点审查:内部监督主体状况;内部监督机制设置情况、内部监督活动实施情况、内部监督组织安排情况等。
三、创新内部控制审计方法
作为一种新的审计类型,企业内部控制审计在运用审计方法上,有别于常规审计。具体来说,企业内部控制审计在实施方法、技术方法和评价方法上,要不断进行改进和创新。
(一)实施方法审计内控的实施方法主要有两种:一是延伸导向法。延伸导向法即从财务审计、管理审计等常规审计人手,向企业内部控制审计延伸,是企业通过运用财务审计、管理审计等常规审计方式而导向内部控制审计的一种审计方法创新。首先,通过企业运用财务审计、管理审计等常规审计方式,获取的如有关财务信息数据和内控管理状况等方面情况,初步评价企业相关财务信息数据和管理效果。其次,根据初步评价情况确定内部控制审计范围及其重点,并按审计流程实施内部控制审计。最后,对企业内部控制的健全性、合理性及有效性等方面进行审计评价,提出审计意见或整改措施。二是结果导向法。结果导向法即直接检查和分析企业内部控制现实状况人手,跟踪审查企业如购产销等主要业务流程在运行和管理中的实际效果情况。据以对企业内部控制状况作出审计评价。首先,对企业购产销等主要业务方面的内部控制情况等进行全面分析,并通过职业判断找准切人点。然后,审查购产销业务流程中个关键环节在运行中的实际效果情况,并对其作出审计评价。最后,根据业务流程运行效果状况,据以对其内部控制评价发表审计评价意见。
(二)技术方法审计内控的技术方法主要有三种:一是调查测试法。在实施企业内部控制审计之前,首先,拟定一个详细的调查提纲和系统的调查表格,列出应予以调查的全部事项和有关数据,根据调查和测试结果,确定企业内部控制审计实施的范围及其重点。二是模糊综合评判法。模糊综合评判法是模糊数学在实践工作中常用的一种应用方式,尤其适用于定性指标因素较多的案例分析与评价。将它运用于企业内部控制审计,主要是鉴于COSO五大要素中的控制环境和风险识别这两方面要素,即企业管理层面存在大量的定性指标因素,需要运用理论模型(如模糊综合评判法)进行技术处理,以确保和提高评价的准确性。通过运用模糊综合评判法,对企业管理层经营理念和管理风格、员工能力要求、人事政策、企业目标制定等方面进行综合评判。三是流程图法。流程图法是指用特定的符号和图形将被审计企业内部控制系统反映出来的方式。相对于模糊综合评判法来说,流程图法运用于企业内部控制审计,主要侧重于企业业务操作层,包括对企业内部控制系统的设计、执行情况等方面的审计。通过流程图直观地反映企业各业务循环流程现实状况及其存在的问题,据以对企业业务层面内部控制进行综合评价。
(三)评价方法审计内控的技术方法主要有三种:一是局部评价法。局部评价法是就每一事项进行评价的方法,即一事一论。如对企业采购业务、生产业务、销售业务、筹资业务、投资业务等单个事项进行评价。这种评价方法涉及面不大,可以在审查过程中有效运用。二是专项评价法。专项评价法即对构成整体的部分事项进行评价的方法。由于这一方法涉及范围较大,一般在具体审计事项完成后进行。如在企业内部控制审计中,对构成企业内部控制系统的五大方面即控制环境、风险识别、控制活动、信息与沟通以及监督,在有关具体审计事项完成后,分别就上述五方面情况进行的审计评价。三是综合评价法。综合评价法即对一个企业、一个行业、一个地区等整体单位的内部控制进行全面评价的方法。对于企业内部控制审计来说,就是对企业内部控系统整体状况进行全面评价。
四、强化内部控制审计风险防范
从内部控制审计基本程序和关键环节来看,要做好企业内部控制审计,必须切实加强对以下审计风险进行重点防范。
(一)防范了解不全风险对被审计单位内部控制情况进行全面了解,是企业内部控制审计实施阶段的首要环节,也是对企业内部控制进行测试的重要前提。为了防范了解不全风险,审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况,审计人员应重点了解:被审计单位的性质;高层管理人员;资产、负债、所有者权益;所属行业;经营业务;组织结构;各机构职能及负责人;职员人数;高层管理人员分管业务及各自职责等。对被审计单位总体控制环境,审计人员应重点了解:高层管理人员对企业内部控制的态度;高层管理人员从事相关业务年限、相关学历;被审计单位经营管理目标是否明确;是否订有职工行为守则;高层管理者是否重视制度的实际执行;被审计单位以前或目前是否有重大违反财经法规的行为,以及高层管理者对此态度如何等。对各类业务循环内部控制,审计人员重点了解被审计单位业务特点及业务流程中关键控制点。
(二)防范测试失效风险在企业内部控制测试环节.审计人员主要防范测试失效风险。导致测试失效风险,主要由以下因素引起:选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计,会使审计失之偏颇;测试重点不准直接影响内部控制测试效率和效果;测试审计方法多种多样,要因事制宜,根据不同业务而方法各异,否则会导致测试失效;抽查的业务缺乏代表性,会因评价不全面而带来测试失效风险。因此,要防范测试失效风险审计人员必须做到测试范围要全,测试重点要准,测试方法得当,抽查业务的代表性要强。
(三)防范评价不当风险在企业内部控制审计终结阶段整体评价中,审计人员要防范出现评价不当风险。究其原因,除了由企业内部控制了解、测试两个环节存在的风险引起外,还会因企业内部控制系统本身不完善和风险估计水平过高等因素造成。企业内部控制系统本身不完善,使某些业务活动被置于审计范围之外而疏忽,通常导致企业内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险,从而造成企业内部控制有效性评价不当风险。因此,要防范评价不当风险,除了要做好企业内部控制了解、测试两个环节工作外,审计人员还应从宏观出发,统筹考虑,从各方面调查了解熟悉被审计单位业务活动及其相应的内控系统,并充分利用审计技术对风险水平作出合理估计。