内部控制
内控审计实务——审计标准(一)
添加日期:2014年03月10日
根据中天恒3C框架基于风险管理的内部控制研究结果,内部控制审计,是内部控制监控要素的重要内容,是由审计机构或审计人员,依据国家内部控制规范及组织机构的内部控制制度,通过系统规范的审计程序和方法,对特定基准日内部控制设计与运行的有效性,独立进行的审查、评价等监督活动。内部控制审计的目的、内容、程序、方法以及报告与其他形式的审计有相同的地方,但也有自身的特点。
一般来说,内部控制审计内容在整体层面上包括控制环境、风险评估、控制活动、信息与沟通和内部监督等五要素或者内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通和监控等八要素。除了整体层面以外,内部控制审计内容还应包括业务层面的内部控制,如不把后者也列为审计重点,内部控制审计工作就难以深入,容易流于表面化、形式化。中天恒3C框架将内部控制审计内容分为财务控制审计、业务控制审计和管理控制审计三个方面,以便于在内部控制审计实践中操作。
内部控制审计流程是内部控制审计工作从开始到结束的基本过程,过程中的阶段划分因审计主体和审计范围的不同而不同。根据我国《企业内部控制审计指引》,会计师事务所承接的基于鉴定需要的内部控制审计工作主要步骤为:计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告等主要步骤。中天恒3C框架认为,内部控制审计基本流程应包括审计准备、审计实施、审计报告三个阶段,每个阶段又可细分若干内容。
审计准备
审计准备,是内部控制审计工作的首要环节,是对内部控制审计工作的规划或计划,一般包括以下几个阶段:
(一)制定规划。制定规划,就是审计机构对内部控制审计工作做出的事先规划,是确定内部控制审计项目的直接依据。
一般来说,审计机关和内审机构应根据本机构的工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度、半年度内部控制审计规划(计划)或更长期间的规划,并根据实际工作中出现的新情况、新问题及时对规划进行调整、修改和补充。
对于会计师事务所来说,不需要编制年度、半年度的内部控制审计计划,而应编制内部控制审计项目计划。项目计划就是对内部控制审计项目的具体安排,基本上可等同于项目工作方案。
(二)确定单位。确定单位,就是确定实施内部控制审计的被审计单位。审计机关和内审机构应依据审计工作规划并根据上级部门和有关领导直接布置的专项工作,确定具体的被审计单位。而会计师事务所只能根据委托协议确定实施内部控制审计的对象。
(三)初步了解。初步了解,也称初步调查,就是初步了解企业的基本情况及内部控制状况,这是制定具有针对性的内部控制审计工作方案的前提。在确定了被审计单位后,审计人员应对该单位情况进行初步了解。在审计准备阶段的初步了解不可能太详细,一般应包括了解被审计单位所处的环境和营业的特点、内部控制的构建和运行状况等。
初步了解的程序包括:
(1)确定内部控制有效性的审计标准。
(2)收集相关资料和信息,主要包括:被审计单位的基本情况;被审计单位各种成文的内控制度及其适用范围和控制环节;以前年度的内部控制审计结果;近一年来其他审计或检查结果;从其他渠道得到的内部控制信息等。
(3)确定审计内容和重点。对照内部控制审计要点,对收集到的相关资料和信息进行分析,判断被审计单位内部控制的薄弱环节,确定审计的内容和重点,以往审计或检查发现的内部控制执行缺陷必须纳入审计重点。
(四) 制定方案。制定方案,就是制定内部控制审计工作方案,这是实施内部控制审计的具体依据。内部控制审计工作方案,相当于内部控制审计工作项目计划,是审计机构及审计人员为完成审计业务,达到预期的审计目的,对内部控制审计工作做出的事先规划,对于审计人员能够及时、有效地开展审计工作具有重要作用。
内部控制审计工作方案内容包括内部控制审计的目的、时间、范围、方式、内容、人员的分工等,其中最主要的是确定审计范围、审计人员及审计程序。会计师事务所的内部控制审计工作项目计划一般包括:总体审计策略,包括审计范围、审计时间、审计方向、审计资料配置;具体审计计划,包括风险评估程序、计划实施的进一步审计程序、计划实施的其他审计程序;更改审计计划。
内部控制审计工作组组长负责编制内部控制审计方案,由审计机构审批后实施。一般来说,审计机构在制定内部控制审计工作方案时,审计人员应当考虑以下主要因素:一是企业所在行业的情况,包括行业景气程度、经营风险、技术进步等;二是企业的内部情况,包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等;三是企业近期在经营和内部控制方面的变化;四是管理层的诚信、能力及发生舞弊的可能性;五是管理层评价内部控制有效性的方法和证据;六是对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断;七是特定内部控制的性质及其在内部控制整体中的重要性;八是对内部控制有效性的初步判断;九是从其他专业服务中了解到的有关被审计单位内部控制的情况。
如果企业有多个经营场所,审计人员应当选择某些经营场所的内部控制进行了解和测试。在选择了解和测试的经营场所时,审计人员除考虑上述有关因素外,还应当考虑以下因素:不同场所之间经营活动和内部控制的相似性;会计处理的集中程度;控制环境的有效性,尤其是管理层对各经营场所行使授权的控制和有效监督经营活动的能力;各经营场所发生交易的性质和金额。
中天恒3C框架特别强调的是,审计机构在制定审计工作方案前应当从企业管理当局手中获取有关内部控制有效性的书面认定,以及内部控制手册、流程图、调查问卷和备忘录等文件。
在内部控制审计实施过程中,因条件的变化需要改变方案的内容或者在审计实施过程中发现新的重要事项时,审计人员必须合理地调整内部控制审计工作方案,但需要按照规定程序进行修改和批准。为保证审计工作方案的有效实施,确保审计工作的质量,审计人员应当严格执行工作方案,不能私自更改审计工作方案的内容。
(五)成立小组。成立小组,就是成立内部控制审计项目组,这是内部控制审计工作能够有效进行在组织和人员上的保证。
与一般财务报表审计相比,内部控制审计对审计人员的要求比较高,除应具备基本的财务审计知识和技能外,更需要具备企业经营管理知识和能力,配备具有专业胜任能力的项目组是高质量完成内部控制审计的基础。助理人员是内部控制审计项目组必不可少的组成部分,无论从工作效率还是审计成本考虑,审计项目组都需要助理人员。对助理人员进行适当的督导,可以保证内部控制审计的工作质量。
审计机构应根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对审计任务的特殊要求和规避原则,组织有经验的审计人员,聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
审计人员进行内部控制审计时,利用其他人员的工作是必要的,但要对所利用的其他人员的工作进行判断和评价,并应当对发表的审计意见独立承担责任。
(六)确定标准。确定标准,就是确定内部控制审计的具体依据。审计机构在实施内部控制审计前,应明确审计标准,并要求所有参与审计的人员认真阅读,必要时应进行培训。我国企业的内部控制审计标准统一为财政部、证监会、审计署等五部委颁发的《企业内部控制基本规范》及其配套指引,企业的《内部控制管理手册》、《内部控制评价手册》、《内部控制审计手册》是最具体的标准。
(七)编制程序。编制程序,就是编制内部控制审计具体流程表。审计机构应在内部控制审计标准的基础上,结合企业内部控制现状,设计具体的内部控制审计程序表,这对引导审计人员进行具体审计工作是非常有用的。
(八)资料准备。资料准备,就是内部控制审计前需要准备的相关资料,包括审计机构及被审计单位两方面。审计机构需要准备的资料主要包括审计标准、调查问卷、抽样计划、工作底稿、缺陷认定及报告模板等。在审计工作实施前,将审计流程表及相应的工作模板让参与审计的人员熟知,对提高审计工作效率和质量具有十分重要的意义。被审计单位需要准备的资料主要包括内部控制体系文件及相关记录等。
(九)下发通知。下发通知,就是在内部控制审计前下发审计通知书,具体明确内部控制审计的有关事宜。一般来说,内部控制审计工作组于实施现场审计前向被审计单位下达的通知书中应明确该单位需要准备的资料、参加审计的人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。下发通知的时间可以是审计人员进现场的当天,也可以提前几天或几周,若无特殊情况,最好在实施前一周下发审计通知书,以便于被审计单位做好审前准备。
(十)组织进点。组织进点,就是组织内部控制审计组入驻被审计单位开始进行内部控制审计现场工作。内部控制审计工作涉及面广、难度大,需要企业各部门全力配合才能完成。在内部审计实施前,利用进点会或以其他形式对被评价单位的高管及员工进行动员或宣讲十分必要的。审计组进点后应按照内部控制评价工作方案要求,按照具体分组、分工及时投入实际评价工作中去。
总之,内部控制审计准备阶段工作很多,其中,最主要的工作是制定内部控制审计工作方案(审计计划)、组成内部控制项目组这两项工作。在实际的内部控制审计工作中,内部控制审计准备阶段的上述各项工作不可能人为割裂开来,顺序上也不是固定的,内容上亦是可多可少。
(未完待续)