完善企业内部控制审计的流程设计和政策建议
完善企业内部控制审计的流程设计和政策建议
一、内部控制和内部控制审计的概念
1986年,最高审计机关国际组织在第十二届国际审计会议上对内部控制做出了解释:“内部控制是国家的方针政策和财经法规在企业内部的贯彻执行,是企业经营决策和规章制度正确落实、会计资料真实可信、财务活动合法有效以及各项经营活动正常有效开展的根本保证。内部控制作为完整的财务和其他控制体系,是由管理当局根据总目标而建立的,目的在于帮助企业的经营活动合法化,具有经济性、效率性和效果性,保证管理决策的贯彻,维护资产和资源的安全,保证会计记录的准确与完整,并提供及时的、可靠的财务和管理信息。”与内部控制相对应的内部控制审计,是指企业在遵守有关法规,在制定和实施相关政策、程序和措施的基础过程上,以维护企业资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性为目的而开展的管理活动。财政部《企业内部控制审计指引》明确指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
二、内部控制审计的作用(一)有助于完善企业内部控制
实施内部控制审计,可以发现被审计单位内部控制是否完善、合理、有效,在企业的内部控制中找出问题的症结所在,并有针对性地提出改进措施,从而使被审计单位不断完善内部控制,堵塞漏洞,有利于加强管理,提高管理效率。(二)有助于评价企业内部控制
内部控制审计通过对某个单位的内部控制进行系统性的检查和评价,制作成审计报告,其中包括对各种经营活动无偏见的、独立的、公正的分析和经过论证以后,进而合理地提出改进行动的建议,以协助各级部门能有效地履行其职责。由此可见,内控审计是评价与改善企业内部控制的重要手段(三)有助于提高审计工作效率和效果
以评价内部控制为基础的风险导向审计是现代审计的一个重要特征,内部控制审计可以克服详查或大量抽查浪费人力和时间的不足,不仅可以提高审计效率,而且可以提高审计质量,达到深化审计监督的目的。(四)有助于突出审 计重点
通过内部控制审计,审计人员可以确定被审计单位内部控制的可信赖程度,有利于从薄弱环节入手,有效地、迅速地明确审计重点和方向,既保证了审计工作的质量,又减少了审计工作量。(五)有助于满足信息使用者的需要
我国目前尽管己经开始实施了风险导向审计,但是在实践过程中,注册会计师通常认定企业的内部控制预期是有效的,只有在实施实质性程序无法获得充分有效的证据的时候,才考虑对内部控制进行测试。当对内部控制进行独立公正的审计,出具内部控制审计报告,信息使用者就可以对公司内部控制的有效性和健全性有一个更加深入的了解,满足其投资决策的需求。三、当前我国企业内部控制审计存在的问题
(一)内部控制审计目标不明确内部控制审计目标决定着审计的范围、审计程序的选择与运用、审计意见的表达、审计质量的衡量和审计责任的界定。为了确保审计质量,防范审计风险,避免注册会计师承担过高的审计责任,审计准则应当明确内部控制审计的目标。但是,目前相关审计准则尚未对内部控制审计的目标做出明确规定。
(二)企业内部控制审计机构建立模式不合理九十年代后,为了加强自身的管理,我国企业内部控制审计机构主要有两种形式:第一种是受董事会或监事会领导,另一种则是受总经理领导。这两种模式都在一定程度上增强了内部控制审计机构的独立性和权威性,但也存在一定的不足。第一种模式使内部控制审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督,但会造成经营者对内部控制审计的误解,从而在不同程度上引发审计风险;第二种模式在为企业实现经营目标服务的基础上把内部控制审计作为总经理的参谋和助手,但是在审计过程中,不可避免地受本单位利益的限制,涉足企业经营活动有关的风险。尤其当领导参与或法人违纪时,内部控制审计往往失去其效果,从而引发审计风险。
(三)内部控制审计程序不明确为了确保内部控制审计能够为内部控制自我评估报告的真实性和合法性提供合理保证,相关审计准则必须明确内部控制审计应当实施的审计程序,否则内部控制审计质量就无法保证。但是,由于我国内部控制审计实施时间不长,与财务报告相关的内部控制的概念尚未得到清晰的厘定,采取的审计程序也是不系统的 Ü。
(四)内部控制审计方法落后目前的内部控制审计方法主要是制度基础审计,这种审计方法过分依赖被审计单位内部控制制度的测试,受计划经济影响较深,许多内部控制审计流于形式,缺乏自身应有的地位和威信,起不到应有的效果,根本无法保证内部控制审计的独立性和权威性,因此已不能适应当今复杂的经营环境。
四、科学设计我国内部控制审计流程审计流程设计是审计业务的核心和灵魂,内部控制审计流程设计是否科学、合理,直接决定内部控制审计的实施效果。在研究美国公众公司会计监督委员会(PCAOB)的财务报告内部控制审计准则基础上,结合其他研究成果,我们初步设计了适合我国企业的内部控制审计流程。具体分为三个阶段,分别为计划审计工作阶段、实施审计工作阶段和完成审计阶段,主要由注册会计师负责实施。
(一)计划审计工作阶段这一阶段的主要工作是编制内部控制审计计划。审计人员应对根据企业所处的环境和营业的特点等,结合财务报表审计中对财务报告内部控制的了解,恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
(二)实施审☤计工作阶段在这一阶段要采用“自上而下方式”,首先了解企业内部控制的程序,识别公司层次的控制,识别重大账户、列报及与之相关的认定,了解错报可能的来源以及选择拟测试的控制;然后对流程层面进行控制测试,主要包括测试控制设计的有效性和测试控制执行的有效性及确定对内部控制有效性的评价。
1、采用自上而下方式审计。审计人员应当运用自上而下方式对内部控制进行了解,以便选择拟进行测试的控制,然后对业务流程层面的内部控制进行测试与评价。审计人员要从公司层次控制开始,然后将工作逐渐下移至重要账户、重要过程,最后展开到存在于过程、交易或应用层次的具体控制活动。2、了解内部控制并确定控制测试点。审计人员需要了解被审计单位的内部控制五要素、识别公司层次的控制、估计审计委员会监督的有效性、识别重要的财务报表项目和披露、识别相关的财务报表认定、识别重要的交易过程和类别、了解期末财务报告的过程、识别拟测试的控制活动。审计人员了解内部控制通常所采用的方法有:询问有关管理、监督和执行人员、检查公司文件、观察有关业务处理控制的运行情况、执行穿行测试程序等。
3、内部控制设计和运行有效性的测试与评价。内部控制设计的有效性是指内部控制符合所设计的要求:防止或发现可能引起重要财务报表错报的错误或舞弊。审计人员通过以下识别和判断以确定符合内部控制标准要求的控制活动是否存在:识别各个领域的控制目标;识别满足各个控制目标所需要的控制活动;判断有效的控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。测试和评价内部控制的设计有效性程序包括询问、观察、执行穿行测试程序和检查。审计人员用以了解经营者评价过程和了解内部控制的程序也可以提供关于内部控制设计有效性的证据,同时,审计人员用以测试和评价内部控制设计有效性的程序也可能提供运行有效性的证据。(三)完成审计阶段
这一阶段是最终形成审计意见,主要包括审计工作汇总和发表独立审计意见两个步骤,其中,审计工作汇总,包括了形成审计意见、获取管理层的书面声明以及书面沟通。1、形成审计意见
注册会计师应当评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中❅发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价证据时,注册会计师应当查阅本年度内容涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。2、沟通相关事项
注册会计师应当以书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应当在注册会计师出具内部控制审计报告之前进行。如果认为审计委员会对财务报告及其内部控制的监督无效,注册会计师应当就这一事项以书面形式与董事会沟通。3、出具内部控制审计报告
审计人员在完成必要的审计程序、审计公司内部控制有效性后,根据审计情况发表独立审计意见,出具独立审计报告。注册会计师应当在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。审计人员可以选择发布关于公司财务报表和财务报告内部控制的合并报告(一份报告既包含财务报表的审计意见,也包括财务报告内部控制的审计意见)或单独报告。五、进一步完善国有企业内部控制审计的建议
(一)合理设置内部控制审计组织架构受多方面因素影响,目前我国企业内部控制审计的独立性不强,因此合理设置内部控制审计组织架构,保证内部控制审计的独立与执行性非常关键。从长远看,尤其是内部控制审计发展到一定阶段时,要完善国有企业内部控制审计,还是应该成立专门的内部控制审计机构。特别是那些经济业务复杂、规模较大的国有企业,应该在企业内部设置审计部和审计委员会,对董事会等权力机构负责,全权实施内部控制审计。
(二)提高内部控制审计人员素质内部控制审计并不是与外部审计完全不相关的,内部控制审计也可以帮助注册会计师提高工作效率。内部审计人员素质提高了,并能够保持高度的独立性,内部审计工作就能为内部控制审计工作提供内部控制制度合理性和有效性的审计证据,这样也可以节省注册会计师的审计时间和精力。所 ت以提高内部审计人员的素质,完善内部审计工作,是更加有效实施国有企业内部控制审计的一个重要方面。
(三)避免重复审计,控制审计成本企业在实施内部控制审计的过程中,应考虑成本效益,在保证审计质量的前提下尽可能降低审计成本,提高审计效率。首先,内部控制审计应尽可能选择整合审计方法,与企业财务报告审计相互配合。内部控制审计需要了解和测试ฑ企业与财务报告相关的内部控制的设计及运行情况,而财务报告的审计在实质性程序不足以提供充分审计证据的情况下也要进行内部控制的测试,两者可以相互借鉴、相互整合。其次,注册会计师在进行内部控制审计时,应该尽可能利用企业开展的内部审计报告,减少工作量。