学文网内部控制测评篇1
关键词:内部控制;测评
内部控制测评是通过对内部控制的测试,评价内部控制设计的合理性和运行的有效性,确定其是否有助于实现既定控制目标,是否按照既定控制设计有效运行,是否能够改善当前控制效率。
一、控制测评的内容
(一)控制标准的合理性
控制的标准通常由组织管理层制定。内部审计人员应该了解管理层是否建立了适当的控制标准并评价该标准的合理性。
(二)控制制度的适当性
衡量内部控制是否适当,应当考虑其能否经济有效得为实现组织目标提供合理保证。适当性并非要求内部控制的设计无任何偏差,而是应将偏差控制在合理的范围内。经济有效是指设计和执行内部控制时应当考虑“成本效益”原则。
(三)控制执行的有效性
评价控制的有效性就要确定现行的内部控制能否实现预期效果――即为组织任务目标的实现提供合理保证。审计人员必须运用适当的审计方法,获取控制程序是否被严格执行并有效运行的审计证据,评价控制运行有效与否。
二、控制测评的程序
审计人员可以使用“询问、查阅、观察、穿行测试”等方法获取审计证据,多种审计方法的结合使用构成了审计测评程序。
测评程序按照其适用的阶段不同,可以划分为了解内部控制设计的程序和测试内部控制运行的程序。“询问、查阅、观察、穿行测试”通常被应用于了解内部控制设计的过程中,而“询问、查阅、观察、重新执行”则被应用于内部控制的细节性测试中。
三、内部控制测评的流程
结合现代审计理念和实际审计经验,将内部控制测评流程划分为五个环节,简要流程***如***1:
(一)获取控制标准
获取控制标准是开展内部控制测评工作的出发点。实际测评中,审计人员通常采用“询问、查阅”的方法获取控制标准。
询问过程中采取“自上而下”的介入方式会取得良好的效果。通过对高层管理人员,尤其是对某项内部控制设计人员的询问,可以快速、有效得了解高层管理人员设计内部控制的初衷和高层管理人员认为应当重点关注的关键控制点。这些需要审计人员优先了解的事项往往是组织高层管理人员制定内部控制时设计控制标准的出发点。
审计过程中,仅依靠询问、观察获取的审计证据不具有充分的适当性。针对目标控制标准的询问结果,审计人员还需要取得支持性的材料互为依据。
审计人员可以通过查阅与内部控制相关的组织章程、会议纪要以及内部控制操作手册等获取书面证据。
(二)了解控制程序
获取控制标准后,审计人员需要根据既定标准了解目标内部控制。目的是确定目标内部控制是如何设计的,并判断现有控制程序的设计是否合理、是否得到执行。
审计人员通常采取“询问、查阅、观察”的方法了解内部控制,这三种方法的结合使用能在第一时间为审计人员提供控制程序变化的证据,提高测评效率。对于留下运行轨迹的审计人员认为必要的控制程序,可以执行“穿行测试”获取证据。
获取的审计证据足以支持审计人员做出以下判断的,通常被认为是充分、适当的:(1)审计证据可以帮助审计人员描绘内部控制;(2)审计证据可以帮助审计人员识别、判断重要业务流程和关键控制点;(3)审计证据可以帮助审计人员确定重要业务流程和关键控制点的控制程序是否存在、设计是否合理、在运行过程中是否得到执行;(4)审计证据可以帮助审计人员初步识别、判断重要业务流程和关键控制点的薄弱控制环节。
在对内部控制了解的过程中,审计人员应当区分整体层面和具体流程两个层面分别进行了解。
1.对内部控制整体层面的了解。针对这一层面的了解主要集中在对目标控制具有“质”的影响的控制要素上,通过了解获取的审计证据应当能够支持审计人员对内部控制整体层面薄弱与否做出“是”或“不是”的性质判断。如:对于“控制环境”的了解,整个内部控制存在潜在缺陷的危险可能是源于薄弱的控制环境,审计人员通过了解后获取的审计证据应该能够得出控制环境是否薄弱的结论。
2.对内部控制具体流程层面的了解。审计人员通常采取如下步骤,识别内部控制中可能存在重大缺陷的环节:(1)确定重要业务流程和关键控制点并记录;(2)识别与之相关的内部控制;(3)了解相关内部控制的设计、执行情况,必要时执行“穿行测试”。
重要业务流程的确认和关键控制点的识别是了解具体流程层面内部控制的重点。通常情况下,审计人员会将组织的主要业务流程和发生较少但往来金额超过一定水平的业务流程确认为重要业务流程;对于关键控制点的识别,最简便的方法就是:如果某项控制需要各级分工或要求二级复核,那么各级分工和二级复核的确认就是关键控制点。
(三)项目小组讨论
了解内部控制之后,审计人员需要根据既定控制标准,初步评价控制程序设计的合理性,制定进一步测评方案。
项目小组讨论的目的应当包含以下几项:(1)评价控制标准,定义控制缺陷;(2)讨论并判断已识别的重要业务流程和关键控制点;(3)设计测评程序,制定测评方案。
参与小组讨论的人员通常是参加审计测评的关键人员,如果测评项目需要聘请拥有特殊技能的专家,这些专家也应被纳入参与讨论人员的范围。
项目小组讨论的内容应当包含以下几点:(1)目标项目内部控制的标准;(2)现有内部控制的流程;(3)高层管理人员对现有内部控制的评价和企及;(4)目标项目拟采取的改进措施。
项目小组讨论的结果应当包括项目小组成员对目标控制设计合理与否的评价,评价的结论可能是:(1)重要业务流程和关键控制点的内部控制单独或连同其他控制预期能够防止、发现并纠正重大错报,并已得到执行;(2)重要业务流程和关键控制点的内部控制本身设计合理,但并未得到执行;(3)重要业务流程和关键控制点本身的设计就是无效的或重要业务流程和关键控制点缺乏必要的控制措施。
项目小组讨论的过程和结果应当被记录在案,作为审计备查项目,并以审计概要的形式下发至每一名参与测评的人员,作为具体流程层面测评的审计指引。
需要强调的是,项目小组讨论的时间和方式具有一定的灵活性,既可以根据测评项目的时间进度安排,也可以根据测评工作的进度随时安排。
(四)在具体流程层面测评内部控制
审计人员应当根据项目小组讨论确定的测评方案,针对拟信赖的重要业务流程和关键控制点的内部控制设计、实施进一步审计程序,在具体流程层面测试控制运行的有效性。
无论采用何种审计程序,审计人员都需要合理确定拟实施审计程序的性质、时间和范围。
1.控制测评的性质
审计程序的适用具有一定的局限性,针对同一控制流程使用不同的审计程序,可能获取不同的审计证据。审计人员需要根据项目小组讨论时制定的审计策略及拟获取的控制测评的保证程度合理选择审计程序。
在内控的测评中,单一审计程序获取的表明内部控制运行良好的审计证据通常不具有充分的说明性,针对同一控制流程采用多种审计程序获取多样的审计证据,通过综合比较分析不同审计证据的相关性和可靠性后,判断控制流程运行的有效性。
2.控制测评的时间
在具体流程层面的控制测评中,审计人员需要重点确认两个时间:一是在什么时间执行控制测试;二是控制测试所测评的应用控制适用的时点或时期。
执行测评的时间通常选在目标项目的期初或期中。如果了解内部控制后做出的初步评价表明内部控制可信赖程度较高,通常在项目期初的了解过程中采用双重目的测试执行控制测评,此时获取的是某一时点的审计证据。在之后的期中测评中必须选取部分重要业务流程和关键控制点执行补充性测试,补充测试获取的审计证据应当包含某一期间或时间段内控制的运行情况。
如果初步了解过程中获取的内部控制可信赖程度水平不高或者低,审计人员通常将测评的时间选在期中测试时执行,并需获取整个测评期间控制运行的证据,此时的测评对象重点集中在全部重要业务流程和关键控制点的控制程序上。
3.控制测评的范围
控制测评的范围是指审计人员在进行控制测评时拟实施的审计测试的数量,包括选取的涉及重要业务流程和关键控制点的内部控制流程的数量、对同一关键控制执行的审计程序的次数等。
影响控制测评范围的主要因素有:(1)控制标准的合理性,较高程度的标准要求执行较大范围的控制测试;(2)了解内部控制过程中获取审计证据的保障程度,高保障程度的审计证据要求在具体流程测评中获取更有效的审计证据支持;(3)项目小组讨论的结果,对于小组讨论确定的重要业务流程和关键控制点通常需要适当扩大测试范围,获取充分的审计证据;(4)具体流程测试中获取的审计证据与前期获取审计证据的相关程度;(5)执行测评人员的职业、经验等。
(五)汇总评价内部控制
完成内部控制测试后,审计人员应当汇总获取的审计证据,综合分析审计证据的充分、适当性,判断被测试控制运行的有效性。
1.复核控制测试中已执行审计程序的适当性,识别是否存在潜在控制缺陷。审计人员应该重点关注以下内容:(1)复核测评中确定的重要业务流程和关键控制点;(2)判断针对重要业务流程和关键控制点获取的审计证据的充分、适当性;(3)重新评价测评中发现的重大内部控制缺陷。
2.汇总审计证据,评价内部控制。审计人员对内部控制的测评主要是确认现有内部控制运行的有效性和未来可预测期间控制设计的合理性。为此,审计人员必须确认:(1)针对重要业务流程和关键控制点获取的审计证据足以支持审计人员作出内部控制运行有效与否的判断;(2)审计人员根据判断结果可以形成测评报告,提出内部控制改进意见,且该意见在未来期间具有实际可操作性。
四、控制测评结束后知悉的信息
控制测评结束后至测评报告日之间知悉的与测评期间控制运行相关的信息,审计人员应当设计专门的测评程序,识别这些期后事项,并根据这些事项的性质判断其对测评结果的影响。
1.如果知悉的信息与控制测评时确认的重要业务流程和关键控制点无关,审计人员仅需执行“询问”和“查阅”等程序了解相关事项,无需考虑其对测评结果的影响。
2.如果知悉的信息与控制测评时确认的重要业务流程和关键控制点相关,审计人员应当考虑追加测评程序,评价其对测评结果的影响程度,判断是否需要在测评结果中反映相关信息或修改测评结果。
参考文献:
内部控制测评篇2
关键词:控制测试 内部控制评价 实务 应用
一、为内部控制评价
《企业内部控制评价指引》中将内部控制评价定义为:企业董事会或类似权力机构对内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。
内部控制评价的内容围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素入手,在具体评价中应采取必要的技术方法,遵循规定的程序。内部控制评价的程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。
在企业具体操作的整个程序中,实施现场测试和认定控制缺陷这两个环节是评价的中心环节,是对具体控制活动的符合性及有效性进行认定的关键环节,需要综合运用相应的技术方法,一般包括:个别访谈、调查问卷、专题讨论、控制测试、穿行测试、实地查验、抽样和比较分析等方法,在这些技术方法的运用当中,控制测试和穿行测试是最为常用的技术方法,而且是评价过程中最重要,也是必不可少的方法。
二、何为控制测试
控制的有效性就是指在控制能够在各个控制点按照既定的设计得以一贯运行。控制测试就是对控制执行有效性进行验证的一种方法,是内部控制评价实施现场测试的重要方法。通过这种方法能够认定我们通常开展的控制活动是否在企业的各个层级有效地得以贯彻和执行,为认定内控缺陷提供依据。
在评价实务操作过程中,用企业“财务管理”流程下的二级子流程“资金管理”下的三级子流程“银行存款对账”财务控制活动的控制测试实例,来说明控制测试的操作流程。
测试操作流程:通过对财务部门每月银行存款对账控制活动一定量的抽样,测试其对该流程每一个预先设定的控制步骤是否严格执行,并形成控制文档,控制文档是体现控制生成结果的有力依据。该流程分为8个步骤,即8个控制点,登记银行存款日记账核对账户明细获取银行对账单核对对账单编制余额调节表分析并处理未达账项抽查银行对账情况存档,流程中对每个控制点的控制措施都设定有详细的描述,通过样本的测试可以得出每个控制点是否存在不符或异常,测试人员据此编制控制测试工作底稿。如在“抽查银行对账情况”这一控制点,如果会计主管或指定的会计人员未执行不定期抽查或并未留有可以证明履行抽查的证据,就证明该步骤未得到有效控制,如果此步骤是关键控制步骤,有可能导致整个流程控制失效,最后得出经测试的流程控制是否有效的结论,就此一个完全的控制测试环节告一段落。
三、控制测试的要素和具体方法
(一)控制测试的六要素
在控制测试过程中,首先要明确测试的对象,既对什么进行测试,这里我们要需要关注六个要素:主体、时间、地点、客体、目的、方式。
主体——已被授权或赋有职责的人是否执行了控制,既执行的主体;
时间——是否按事先设定的步骤逐一执行,既控制发生的时间;
地点——是否涵盖了所有适用的交易,既控制体现在何处;
客体——控制的对象是否得到了有效控制,既通过控制生成的结果在预期范围内;
目的——是否将已识别的风险降低在可接受的范围内,既控制的目的得以实现;
方式——如何执行控制活动,既具体操作和控制的执行过程是怎样的。
沿用上例,在“银行存款对账”三级子流程的测试中,主体是财务部门出纳、会计主管或指定复核人,时间是每月发生,客体是银行存款对账事项,地点即是否涵盖了所有账户,目的是银行对款对账是否按预定的程序得到有效控制,方式是指具体的控制过程。六个要素在一项控制测试中完全得以体现。
(二)控制测试的具体方法
控制测试的具体方法有询问和访谈、观察、审阅和检查、重新执行等。询问和访谈:测试人员对控制活动执行情况对控制主体进行面对面的部问询;观察:测试人员对执行中的控制,如资产保全、职责分离、安全维护等具体措施的实施实地观察是否真实执行,并查验其执行的效果;审阅和检查:测试人员对控制证据、生成的控制文档或需要检查的财务、技术、管理等各方面资料的实地检查和审阅;重新执行:为测试控制是真实有效的,测试人员对所选交易重新分析或重新执行控制的整个过程。即重新处理交易样本,以确认处理是否正确。
这些方法在具体测试过程中,是综合运用的,其作用各不相同,当仅运用询问或访谈、观察或检查,不足以获取充分的证据时,需要将各种方法结合运用。比如:在“银行存款对账”流程的测试过程中,对出纳的登账、对账以及指定人员复核的步骤可以综合运用审阅、检查或询问等方法,验证符合性,对编制银行存款余额调节表这一步骤,有必要的话可以运用重新执行的方法,验证调节表编制和未达账项处理的正确性。
(三)测试的程度和范围
测试中,对于测试客体,由于控制执行的频次各不相同,有些控制的频次相当高,一日多次发生,需要确定大致范围和程度,这就是对测试样本量的确定,需要采用抽样法,只有科学合理地确定样本量,才能保证测试结果相对合理,将抽样风险降致最低。通常运用任意抽样法、随机抽样法、统计抽样法。
内部控制测评篇3
一、农村信用社内控制度的不足
由于内控制度制度建设是一个系统工程,必然会受到各种相关因素和客观情况制约,使得现行的内控制度或多或少都存在着一些问题。农村信用社内控制度的不足,具体来说主要表现在以下几个方面:
1、对内控的认识出现偏差
目前主要有三种不良的倾向:一是把信用社内部控制看成是执行信贷指令的单纯会计检查,无法综合反映信用社的经营目标和内部管理要求;二是把信用社的内控部门当作应付中央银行、上级部门及***府各检查人员的接待单位,内控机制流于形式;三是曲解内控机制的内涵,内部控制功能局限于事后,不能从根本上消除隐患。
2、内控制度本身建设的滞后
信用社现行许多制度是从传统的计划经济时代演变而来的,有些制度虽经不断修订,但尚未从根本上进行改革。现行会计报表没有严密反映出全部计息科目的积数、平均余额、平均利率,也没有反映一个行一年决算应该收到多少和付出多少利息的数据。没有利息收支总额的控制,就难免产生了隐瞒收入或扩大支出的行为。这是会计核算制度上的一个漏洞。
3、职能部门之间、岗位之间缺少必要的制约和监督
各职能部门上下自成体系,各自为***,工作指导只针对本部门,相互之间缺乏协调、制约和监督。本来计划部门通过计划报表可以制约信贷部门的违章拆借,计划部门可以制约会计部门的利率执行。但各部门没有真正发挥相互制约和监督的作用。另外,信贷岗位的审贷分离制度、会计岗位的交叉复核、储蓄岗位的事后监督制度必须严格执行,而且各岗位之间没有真正做到相互制约和监督。
4、对权力缺乏有效的制约手段
信用社实行的是多级法人制,而且目前信用社的“三会”基本上是流于形式,民主管理制度不健全,因此,多数信用社实际上已演变成内部人控制,对信用社主任行使的权力缺乏有效的监督。
5、稽核部门的监督职能弱化
主要原因是:第一,审计地位不超脱。稽核部门作为联社的内部机构而存在,这种稽核管理体制,不能对由于主任决策失误造成的损失进行有效的监督。第二,稽核部门不能***行使监督职能。稽核部门要对主任负责,对审计查出的,不经主任同意就不能上报,不能***作出处罚决定。第三,监督的滞后性。稽核部门是对已经发生的经营行为进行事后监督,没有渗入到经营管理的开始与过程中进行监督。第四,审计机构与审计人员缺乏必要的地位和权威。
二、内部控制制度的测试
企业内部控制制度审计是现代审计的一种模式,主要是通过对内部控制制度的审查、分析和测试,研究和评价其可信程度,从而对其做出鉴定。实施审计过程中,可以采取抽样审计为主,全面审计为辅的原则,对企业内部控制制度的各个重要环节做出全面测试和评价,不仅对会计数据的可靠性、合规性和合法性进行审查,而且对各项经济业务的责任行为和数据产生的条件以及内部控制制度本身的科学性、严密性和贯彻能力进行审查,据以确定制度的可信赖程度。内部控制制度审计的基本方法有以下两种:
(一)了解内部控制是内部审计部门检查农村信用社内部控制的首要步骤。通过对内部控制制度的调查,可以了解和掌握被审计社的内部控制制度是否建立健全;制度本身是否完善,有无缺陷,即对内部控制制度的系统化和健全化作一般的、大概的、形式上的了解和掌握。
(二)若要确切掌握被审计社内部控制制度在实际贯彻执行中的可行性、有效性,审计人员必须在对内部控制制度调查的基础上,进一步查证核实制度的执行情况及发挥作用的程度,从而确定内部控制制度的缺陷和薄弱环节,为评价信用社工作提供依据,达到审查内部控制制度的目的,这项工作称为符合型测试。符合性测试是为了确定信用社内部控制的设计和执行是否有效而实施的审计程序。符合性测试是在了解内部控制的基础上,来确定其设计和执行的有效性。具体的测试方法有以下两种:
1、流程测试
即按照信用社内部控制系统的主要流程,对其中各个控制点的实际执行情况进行全面检查。这种方法也称为“穿行测试”。通过流程测试,可以全面地评价内部控制系统各个控制点的执行情况、发挥的作用、存在的问题,以及整个控制系统是否有成效,据以作出评价结论,促进信用社改进管理,加强内部控制。
2、重点验证
即针对信用社内部控制系统中的某些重要的控制点,采用重复验证、凭证稽查、实地观察等方法,来判断控制点的执行情况和发挥作用的程度。下面主要介绍实地观察和凭证稽查两种方法。
内部控制测评篇4
一、内部控制及其在审计中的运用
(一)内部控制标准站在不同的立场或角度,对内部控制的需要和认识不尽相同。出于对不同群体需要的考虑,COSO开发了一个实用的、能够被广泛接受的标准:内部控制――整合框架,将内部控制描述为为了达到3个目标所必需的5个组成部分:控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督。3个目标是:财务报告的可靠性、经营的效率和效果、相关法律法规的遵循。尽管这些目标各不相同,但可能相互交叉。一般而言,很多控制措施可能对应一个以上的目标。只有包含广泛范围的内部控制,才能满足不同的目标,也才能被广泛的接受。
(二)内部控制在审计中的运用现代风险导向审计要求审计人员以重大错报风险的识别、评估和应对为审计工作的主线,提高审计工作的效率和效果。审计人员是在了解被审计单位及其环境(包括内部控制)的过程中识别与评估财务报表层次和认定层次的重大错报风险,并针对不同层次的风险,分别采取总体应对措施和进一步审计程序。其中对内部控制实施的审计程序包括两个步骤:对内部控制的了解和控制测试。前者是必须程序,后者是非必须程序。对内部控制执行的审计程序的性质和范围,取决于审计人员对控制风险水平的判断(如***1所示)。
二、了解内部控制
(一)了解内控的含义对企业内部控制的了解是指,将内部控制与企业的其他信息(如以前年度的经验)一起考虑,来评估控制的设计是否有效。“设计有效性”指的是一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。对内部控制的了解还包括确定企业是否在实际应用这些控制。
(二)了解内控的范围尽管内部控制关系到整个企业以及企业的各个经营单位或业务功能,但审计人员并不必了解与企业的每个经营单位或业务功能相关的内部控制。在评估控制风险时,审计人员最关心的是影响财务报表认定可靠性的控制。即如果某一内部控制程序产出的信息形成财务报告信息或检验财务报告信息,则这一内部控制程序是与财务报告相关的内部控制程序。如用来保护或维护资产免受非授权购买、使用或变卖的控制,通常既能够满足财务报告的目标,又能够满足经营的目标。审计人员在考虑这些控制时,通常局限于与财务报告可靠性相关的控制上。大多数与管理层各种决策过程的效率和效果相关的控制都与审计无关。如限制在企业的生产过程中过度使用原材料的措施,通常与审计无关,审计人员不必在了解内部控制和评估控制风险时予以考虑。
(三)了解内控的要求与财务报告相关的控制,在企业中被应用于各种层面。有些控制要素(如控制环境)在企业的较高层面运行,因此对很多乃至所有账户的余额都有影响。有些控制被应用到一个循环或一个循环中的整个交易类别,影响到相关交易产生的账户余额,而控制活动则在更低、更详细的层面上运行,主要关注交易循环中的单个应用程序,并对特定账户余额和审计目标产生影响。不同控制组成部分,达到财务报表认定或审计目标的效果也不同。较高层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性。因此,要求审计人员从被审计单位整体层面和业务流程层面分别了解被审计单位的内部控制。
(四)了解内控的技术方法审计人员应充分了解内部控制的5个要素,以便针对每个重要交易类别和账户余额进行初步风险评估。实务中常用的技术方法有:(1)观察:指审计人员亲临工作现场,实地观察有关人员的工作情况,以确定控制措施是否有效的方法。(2)询问:指为了解公司内部控制设计是否有效,执行是否符合要求,而向有关人员询问情况的方法,包括口头询问和书面询问,并对询问结果进行分析、判断。(3)检查:指抽取内部控制生成的记录和文件,检查内部控制是否有效实施的方法。如通过检查借款审批单上的有关负责人签字,核实资金支付是否经过恰当的授权审批。(4)穿行测试:指选取某一交易样本,从该交易开始启动到授权、记录和处置,并经过信息处理系统,最终反映在财务报表的整个过程进行追踪、测试。通过穿行测试,可以有助于审计人员对内部控制进一步详细了解,并有助于判断内控设计和执行的缺陷。
(五)初步评价在了解了足够的内部控制信息后,审计人员通过检查所设计的控制程序在良好运行条件下,能否达到目标来评价控制设计的有效性。当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时,表明存在某项内部控制缺陷。设计缺陷包括以下两种情形:(1)为达到实现控制目标的必要控制措施未实施;(2)现有控制的设计不适当,以至于尽管控制按照设计运行,但控制的目标经常不能实现。审计人员对控制的评价结论可能是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;(3)控制设计无效或缺乏必要的控制。
(六)示例由于企业的规模和复杂程度及控制的性质各不相同,对内部控制的了解也存在差异。本文列示了对大中型企业内部控制的了解。
(1)对整体层面内部控制的了解。对整体层面内部控制的了解主要针对控制环境、风险评估、与财务报告相关的信息系统与沟通以及监督四个要素进行,这些要素在企业的较高层面运行,通常与企业的所有交易均相关。在具体实施时,审计人员要分析每个控制要素的具体内容,针对各自的影响因素,确定相应的控制目标,并根据不同的控制目标,了解和记录被审计单位采取的相关控制措施,进而判断控制设计是否合理。表1列示了实务中对“控制环境”要素的了解和评价。
(2)对业务流程层面内部控制的了解。与其他控制要素不同,控制活动均在业务层面上进行,一般只针对数量大或风险高的交易类别及某些特定账户余额和审计目标,其关系到特定的经营过程和相关交易及账户,因而比运转在较高层面、较为概括的控制更加直接地影响企业的财务报告目标。实务中通常首先针对各循环的控制目标,将常用的控制活动与被审计单位的控制活动进行比较,并评价控制活动对实现控制目标是否有效。其次,进行穿行测试,以确定控制是否得到执行。表2列示了对销售和收款循环中控制活动的了解和评价。
三、实施控制测试
(一)控制测试的含义与目的控制测试指测试控制运行的有效性。运行有效性是指如何运用一项控制,其是否在本期自始至终处于运行状态,以及什么人负责其运行。作为进一步审计程序的类
型2_--,控制测试并非在任何情况下都需要实施。审计人员实施控制测试是基于以下两个目的:一是出于成本效益的考虑。在评估认定层次重大错报风险时,如果预期控制的运行是有效的,那么与该控制有关的财务报表认定发生错报的可能性就不会很大,审计人员就可以减少相应的实质性程序。二是为了获取另一类的审计证据。当仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降低至可接受的低水平时,审计人员应当实施控制测试,以获取控制运行有效性的证据。
(二)控制测试的确定实务中控制测试的具体运用包括两种情形:一是了解内部控制同时执行控制测试;二是为降低控制风险的评估水平而执行额外的控制测试。审计人员究竟决定怎样进行测试以及测试哪些控制,主要依据对控制风险的初步评估。评估的控制风险水平越低,就越需要有关控制有效运行的证据。
(1)了解内部控制同时执行控制测试。如果将控制风险初步评估为低于最大值,但不是低水平,那么审计人员就会将控制测试限制在企业层面的控制和业务层面的监督控制上。而大多数业务中,审计人员通过了解内部控制时执行的程序,能够取得某些企业层面控制有效运行的证据,来支持控制风险低于最大值的评估结论,因此,就不需要执行进一步的控制测试。在了解控制的同时所执行的控制测试通常不是针对控制活动进行的,因此不能提供充足的证据来支持控制风险为低水平的评估结论。
(2)执行额外的控制测试。为了将控制风险评估为低水平,审计人员可能会需要进行额外的控制测试。额外的控制测试是针对控制活动进行的。因为控制活动是应用在更低、更详细的层次上,而且相对于控制的其他组成部分来说,控制活动对特定审计目标和交易循环中账户余额有更直接的影响,因此,控制活动的测试对支持低水平的控制风险评估来说是必不可少的。但是测试控制活动通常比测试其他组成部分的控制,需要投入更多的审计精力。因此,除非审计人员已经确定可以取得证据,来支持账户余额或交易类别的完整性、准确性以及存在性或发生性这三个目标的控制风险评估为低水平,而且证据的取得方式是有效率的,否则通常不会测试控制活动。在满足以上要求的情况下,审计人员就能省略或大大削减上述目标相关的实质性测试。
(三)控制测试的程序审计人员在进行控制测试时使用的技术方法、执行测试的时间及测试数量,取决于对支持具体控制风险评估结果的必要证据的判断。审计人员在做这些决定时,应该考虑证据的来源、证据的及时性以及其他相关证据是否存在。
(1)控制测试技术方法。进行控制测试时,可以使用的技术方法有询问、观察、检查文件和记录以及重新执行。除了重新执行,其他用来进行控制测试的方法和那些用于了解控制的方法完全一样。可见,为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计,但可能提供有关控制运行有效性的审计证据。通常基于观察、询问和检查文件记录而进行的测试,能够提供足够的证据,来证明相关控制的运行是有效的。只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时,审计人员才考虑通过重新执行来证实控制是否有效运行。
(2)控制测试范围。控制测试中应用的程序应该足够广泛,以支持对控制风险的评估。如审计人员询问销售经理,如何审核和调查毛利率异常的报告,如果仅仅询问销售经理是否对差异做了调查,是不充分的。通常还应该询问:报告是怎样审核;是否每个报告都经过审核;如何调查报告上的项目;哪些问题导致出现这些异常情况等。
(3)证据的时效性。如果在控制测试中使用观察技术,审计人员应该考虑到,从测试中获取的证据仅仅与观察发生的时点相关。该证据不足以评价在非测试期间控制的有效性。在这种情况下审计人员会决定执行其他的控制测试,来获得控制在整个审计期间运行有效的证据。如审计人员会在某个时点观察存货的盘点,并检查其他时间段内用于记录存货盘点的文件。
(4)控制的持续运行。在评估控制测试是否支持计划的实质性控制范围时,审计人员需要确定相关控制在本期内是否持续运行。由于手工控制和计算机控制的特点不同,其控制风险也存在差异。手工应用的控制更容易发生随机失败。当评估这些控制时,审计人员应取得证据,证明其被用于不同的时间和地点。当然这些测试不需要很广泛。在某些情况下,对监督控制的测试,能够提供手工执行控制持续运行的有效证据。而且,获取有关持续运行的证据,并不必总是将测试拓展至整个期间。如某项控制包括审核和追踪异常报告,那么只要特定要求得到了遵守,如报告了“已收到但没有出具发票的货物”,就表明该项控制是连续的。对于计算机控制,如果已经进行了测试,并且发现其运行有效,那么就提供了程序化的会计和控制流程在整个期间内持续运行的证据。
(四)控制测试结果的评估审计人员应从以下几个方面评估控制测试的结果:(1)计划的控制风险估计水平是否已经达到。如果审计人员发现某个审计目标重大错报风险比预期的高,就必须考虑需要从实质性测试中取得的保证。(2)考虑出现偏离或缺陷的原因。如果控制测试揭露以前描述过的控制中出现了偏离或缺陷,审计人员应该考虑出现的原因,是有意还是无意。有意的偏差或缺陷可能意味着存在欺诈行为,审计人员要考虑其对管理层和员工的正值性和其他审计内容的影响。如果是无意的偏差或缺陷,审计人员应考虑如何修改实质性测试计划的内容。(3)综合考虑控制的所有组成部分。不同的控制组成部分,通过不同的方式对内部控制起作用。只有企业层面的内部控制组成部分有效,内部控制的整体才有效。如果审计人员推断整个企业的内部控制是有效的,那么内部控制的其他低层次方面被越权或忽略以及出现错报的风险也会比较低。这个结论能帮助审计人员确定其他审计程序的性质、时间和范围。
(五)示例实务中,应针对不同的控制目标及被审计单位的控制活动,考虑控制执行的频率,采取相应的程序获取证据,以评价控制活动是否有效,是否支持控制风险的评估水平。表3列示了对控制活动进行的测试和评价。
四、存在问题及对策
(一)内部控制评价缺乏标准我国现实条件下并不存在具有普遍指导意义的内部控制标准规范,尚未形成完整的内部控制整体框架。现实中,至少存在包括证监会、***、人民银行、证券交易所等部门或主管单位的关于内部控制标准的规范文件。上述各规范中关于“内部控制”的定义不尽相同,企业选择的内部控制标准就存在差异。这将导致审计人员对内部控制评价的困扰,进而影响内部控制评价的合理性。
内部控制测评篇5
关键词:内部控制;内部审计
中***分类号:F239文献标识码:A
一、内部控制审计若干问题
(一)内部控制概述。内部控制是指从控制环境、风险评估、控制活动、信息沟通、监督评价五要素出发,制定并实施一系列具有控制职能的业务操作程序、管理方法与控制措施,以实现企业经营效益性、财务可靠性及合规性三大目标。
(二)内部控制与内部审计的关系。内部审计又称部门审计,是指本部门和本单位内部专职的审计机构和审计人员按照《审计法》的规定,对本部门和本单位进行的审计。它是企业进行管理控制、提高企业经营效率、实现企业目标的重要工具。
1、内部控制是内部审计的评审对象。内部审计在企业内部天然的监督作用使内部审计控制成为企业内部控制的一种形式,也是企业内部经济活动和管理制度是否合规有效的评价机构。内部审计与内部控制中的控制活动相比,内部审计最大的特点是不参与具体的经验管理活动,而是对内部控制进行有效控制。内部控制与内部审计相互依存、相互促进,进行内部审计,通过先了解被审单位的内部控制制度是否健全有效、企业的各项活动是否遵守内部控制制度,把失去控制和控制薄弱的业务系统和控制环节列入审计范围,把失控点和控制弱点以及与此相关的业务资料列入审计重点,有助于确定审计范围和审计重点、确定审计程序,从而提高审计的效率和效果。
2、内部审计促使内部控制系统更完善。审计人员通过对内部控制系统进行审计评价,找出其薄弱环节、可能存在的问题及带来的影响,并将这些信息、审计结论传递给企业管理层,帮助企业完善管理、克服弊端、消除隐患。同时,通过对问题严重或内部控制效率效果不佳的进行公布,可以对企业形成一定的压力,促使其完善企业内部控制。
(三)我国内部控制审计的发展。2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见,制定规范,从而正式确立了我国的内部控制审计制度。2006年7月,***、***、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会,许多监管部门、大型企业、行业组织、科研院所的领导和专家学者都积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。我国***会计司2000年开始调查研究,制定了一系列控制规范,包括《企业内部控制规范―基本规范》和17项具体规范。这也意味着对财务呈报内部控制有效性进行审计也将成为一种趋势,制定相关的审计准则有助于审计人员提高风险意识,保证财务报告的编报质量。
(四)我国企业内部控制审计现状及问题。目前,我国很多企业尤其是中小型企业,并未意识到内部控制的重要性,甚至对内部控制的概念存在误解。使企业内部控制薄弱或没有内部控制,导致企业一方面经济业务多,而另一方面内部控制审计机制缺乏或有效性低。
从机构设置上看,有些中小型企业没有***的内部审计部门,而设有内部审计部门的企业,很大一部分其内部审计部门与其他职能部门是平行的,无法保证内部审计工作的***、客观、真实性。没有准确的审计结果就无法保证内部控制制度的有效性,无法真正达到内部控制的目的,久而久之,内部审计部门就变成了可有可无的部门。
从审计方式看,大部分企业采用的都是事后审计,事后审计只能对发生的问题进行审计,无法做到预防问题的发生。只有综合使用事前评价、事中评价及事后评价才能对企业内部控制进行全过程、全方位的监督和评价。
从审计内容上看,审计人员还是很传统的,主要审计会计报表、账本、凭证等财务相关资料,这导致了管理和经营领域没有得到或没有充分得到审计。
从审计人员看,我国企业的审计人员大多是财务出身,对经营管理相关知识比较欠缺,无法做到对企业内部控制进行全面的审计。
二、内部控制审计的程序和方法
审计的重点是对制度内各个控制环节进行审查,从而找出制度中控制的薄弱环节。审计程序是审计活动赖以有序高效运行的基础,而审计方法则是审计结论准确的保障。只有依赖于合理规范的审计程序,选择合适的审计方法,才能真正做到对企业内部控制进行快速、准确的审计。
(一)内部控制审计的程序。内部控制审计主要是对被审计单位的内部控制制度进行检查和测试,找出制度中的薄弱环节,而对内部控制制度的检查、测试又可细分为:责任控制制度、内部牵制制度、会计控制制度、经营方面各个循环系统的控制制度、财产及凭单管理制度五大方面。
内部控制审计的程序分为:了解并记录企业的内部控制现状、初步评价内部控制的健全性、对内部控制的设计及执行的效果进行符合性测试、评价内部控制的强弱及控制风险以确定内部控制薄弱的领域、制订实质性审计方案五大步骤。审计流程如***1所示。(***1)
1、了解企业内部控制现状。了解企业的内部控制现状是整个审计活动的基础,只有充分了解被审计单位的内部控制制度及执行情况,才能对后续的工作提供依据或借鉴。了解企业内部控制现状后需要及时并准确的做出记录、描述。内部控制现状包括控制环境现状、控制程序现状和会计系统现状。
2、初步评价内部控制的健全性。内部控制的健全性是下一步进行符合性测试的前提,它是指企业的内部控制是否完善、是否能对企业的风险进行控制、是否能达到企业进行内部控制的目标。在第一步了解企业内部控制现状,即对被审计单位内部控制有了一个初步的认识的基础上,对内部控制风险和内部控制的可依赖程度做出初步评价。评价内部控制的健全性包括评价企业的控制环境、控制程序和会计系统。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程。
在初步评价过程中若发现企业内部控制失效或者难以对内部控制的有效性做出评价,则应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平,并不拟进行下一步符合性测试;若发现相关内部控制可能防止或发现和纠正重大错弊,则不应评价其控制风险处于高水平并拟进行下一步符合性测试。
3、对内部控制的设计及执行效果进行符合性测试。符合性测试是为了确定内部控制制度的设计和执行是否有效。其基本对象包括内部控制设计测试和内部控制执行测试。设计测试是测试被审计单位控制***策和程序是否合理,是否能防止或发现和纠正特定会计报表认定的重大错报或漏报。执行测试是测试被审计单位的控制***策是否发挥了作用。设计和执行同等重要,没有好的设计,执行将不起作用、甚至起到相反的作用,设计再好,没有认真执行,则设计也无法真正发挥作用。
通过初步评价内部控制的健全性就可以基本确定被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。审计人员并非对所有的内部控制进行符合性测试,只对那些准备信赖的内部控制执行符合性测试,并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时,符合性测试才是必要的且经济的。
4、评价内部控制的强弱及控制风险,确定内部控制薄弱的环节。只有完成了内部控制符合性测试,审计人员才会发现被审计单位内部控制制度是否建立、健全,哪些内部控制制度得到了有效执行,哪些内部控制虽然建立但没有执行或执行不力,哪些内部控制是有效的,哪些内部控制是无效,哪些是内部控制的薄弱环节。同时,利用专业判断来调整和综合评价被审计单位的内部控制估计风险的水平。审计人员对在审计中发现的内部控制问题进行汇总、整理,分析问题产生的原因和可能带来的后果,提出有效的改进措施,以管理建议书的方式,反映给被审计单位管理部门。
5、制订实质性审计方案。利用上一步的综合评价结果可制订出实质性的审计方案。实质性审计方案的实施为完善企业内部控制提供了依据及标准。
(二)内部控制审计方法。在内部控制的审计流程中,各步骤都有相应的审计方法。在进行审计时,审计人员应充分考虑被审计单位的经营规模、业务复杂程度、数据处理系统类型、审计重要性、相关内部控制类型、相关内部控制记录方式、固有风险的评估结果等因素。主要审计方法:
1、分析以往的审计报告、审计工作底稿、企业的内部控制相关文件及资料、内部控制生成的文件和记录。
2、对被审计单位相关人员进行问卷调查或访谈,以了解内部控制现状、企业各项业务操作是否符合控制要求、业务执行情况等。
3、观察被审计单位的业务活动和内部控制的运行情况。审计人员可亲临现场,实地观察相关人员的工作情况,以确定既定控制程序是否得到严格执行。
4、对具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审计情况,可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进。
5、对账表、凭证等书面证据等进行抽检以判断是否存在内部控制制度,制度是否得到有效贯彻执行。
6、重复执行法。审计人员就某项内部控制制度按照被审计单位的业务程序全部或部分重做一次,以验证既定的控制措施是否被贯彻执行。
7、综合评价。进行综合评价时,若内部控制有效实施了,则评价控制风险为低,仅对各项账户余额和交易进行有限的实质性测试。重新调整内部控制的可依赖程度,制订出实质性审计方案;若审计人员在经过内部控制测试后,发现部分内部控制没有得到有效执行,就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围;针对内部控制的缺陷,确定实质性测试的时间、范围和程序。通过符合性测试,审计人员根据所掌握的具体缺陷和不足,制订下一步实质性审计方案,其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容;然后,就内部控制缺陷,向被审计单位管理当局提出改进建议。
(作者单位:中国矿业大学(北京)管理学院)
主要参考文献:
[1]张世体.审计基础与实务.立信会计出版社,2006.
[2]关鉴航.内部控制与现代审计.税务与经济,2010.1.
内部控制测评篇6
[关键词]内部控制;自我评价;监督;成本
在当前金融危机的情况下,建立和保持一个强有力的内部控制系统对任何组织的成功都是至关重要的。但是内部控制的执行和遵循成本是一个不能回避的问题。相对而言,内部控制自我评价提倡的是以研讨会的方式让全体员工参与内部控制的建设。不仅有助于降低成本,而且符合人本管理的理念。因此,内部控制自我评价对企业的重要性不言而喻。《企业内部控制基本规范》第二章内部环境中要求审计委员会负责“审查企业内部控制,监督内部控制的有效实施和自我评价情况”,但对于如何实施、怎样实施并未有具体指引。内部控制自我评价的现实意义是什么?如何具体实施内部控制自我评价等问题是每个企业应该关注的重要问题。
一、内部控制自我评价的概念及其特征
内部控制自我评价系统最早是由加拿大的海湾资源公司在上世纪八十年代开始运用的,并大大推动了该公司内部控制的发展和完善。近年来,其理念受到了国际内部审计协会等理论界和实务界的赞许和推广。随着经济全球化、决策低层化以及企业外部竞争多元化趋势的日益加剧和加深,企业经营风险加大。与此同时,内部审计人员由于对复杂多变的业务不尽熟悉,受人力资本、工作时间和工作地域的限制,完全依赣个别审计人员实施完整有效的审计监督已不具可能性。在公司治理活动的推动下。企业内部管理的强化,使内部控制系统评价也由传统的审计人员检查单据、实施复核性测试程序为导向,转为在审计人员指引下、由管理部门和员工共同研讨、提出最佳改进措施的“内部控制自我评价”。
内部控制自我评价(CSA)是指公司定期或不定期地对自己及所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率和效果以期能更好地实现内部控制的目标。其一般的方法是内部审计人员与被评价单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评价,然后根据评价和集体讨论来改进建议,出具报告,由管理者实施(张谏忠、吴轶伦,2005)。J.Stephen Mcnally(2007)认为内部控制自我评价是一种管理技术,其运用可以向内部和外部重要的利益相关者确保一个组织的内部控制系统是可靠的。内部控制自我评价是一个持续的过程,管理层可凭借这种方法检验证实其内部控制的效果。也就是一个组织里的每个过程中的组长或个人都对其效果进行检验,核实关键的控制功能是否适当地发挥,从而察觉或消除重要的误报。综上所述,内部控制自我评价是指公司管理层和员工共同在公司内部为实现目标、控制风险,而进行的内部控制系统的有效性和恰当性实施的自我评价方法。有效的内部控制自我评价是一个对内部控制效果的监督和测试的持续过程。
“内部控制自我评价”体现了内部控制系统评价的崭新观念。发展至今,已由审计的技术和方法转变为管理的技术和方法。内部控制自我评价有三个基本特征:关注业务过程和控制成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。企业不仅是建立和实施内部控制的主体,而且负责对内部控制状况进行检查、监督和评价,增强了企业的自主性和责任感。内部控制的自我评价机制使内部控制的监督由被动变为主动,是公司治理协调性和有效性的体现。
二、实施内部控制自我评价的益处
内部控制自我评价活动一般以研讨会的形式进行,通过每个过程的人员及时发现存在的缺陷和可能导致的后果,主动采取改进行动,从而提高全员的内部控制意识。
第一,内部控制自我评价增加了业务流程执行者的责任,总体上也增加了经营管理阶层的经营管理责任。实施内部控制自我评价的首要步骤,需要确保内部控制的过程和程序已经建立并清晰地解释。每个业务流程的组长必须理解由他或她的部门所拥有的整个计划,包括每个小组成员的作用以及如何由小组相互联系实行控制活动。然后要求每个业务流程的组长检测他们的控制效果,履行制定的检验手册,核实证据并且证实控制是否按所设计运行。该流程的组长亲自负责监督和证实该部门整个年度内部控制的效果。一个有效的自我评价把内部控制的责任感带到了每个业务流程小组的每个成员。事实上,由那些直接对交易加工处理的人、或者是对某个过程履行关键控制的人证实经营活动的效果是最好的安排。通过调动这些不同的个人的积极性,使他们对作为控制的主人、他们的责任、以及控制意识等获得了更好的理解。
第二,有效的内部控制自我评价会促进对法律法规的持续遵循。它是通过将内部控制有效性的评价镶嵌于每日的活动或例行的程序中提供了保证。最重要的是实施内部控制的自我评价使得管理阶层更有可能发现对现有的控制活动加以改善或合理化的机会,取消多余的、无效的控制,减轻内部控制系统可能存在的缺陷,使某个过程的组长和个人对他们在过程中的特有的作用加深了理解。因而,自我评价的结果很可能使企业的内部控制系统得以加强并且合理化,自然使得管理当局遵循法律法规演化为一个持续的过程。
第三,内部控制自我评价可能成为一个有效的培训工具。实施自我评价的过程并在整个年度内对其进行检验,有助于那些对交易进行加工处理的人理解他们在整个计划里的作用,结果使他们在履行其工作时变得更有效。自我评价也使得经营管理阶层,特别是每个过程的组长更好地理解关键的控制和由小组中每个成员所发挥的作用之间的联系。自我评价的文件可以被另一个小组中的新的成员进行复核,这样对于他们总体上的作用和对内部控制的义务就能迅速地达成。一个有效的自我评价确保内部控制培训变成了常规的一部分。
第四,降低内部控制的遵循成本。内部控制法律法规的遵循,常常要增加内部审计人员或雇佣新的人员,从而提高了内部控制的成本。实施一个有效的自我评价,管理当局就能减少或消除对第三方的依赖。从而使内部审计的功能更加关注那些有压力的和战略上的需要,从而减少了纯粹出于遵循而增加的成本。由于内部控制自我评价是一个在广泛的范围内员工参与的过程,因而不会对其中的某一个人造成过度的负担。
第五,强化内部控制的环境。有效的自我评价不只提高了内部控制的遵循效率,而且提高了公司总体上的控制意识。由于在管理当局和全体员工较宽的范围内执行,组织将更好地培训和激励员工,特别是当自我评价的责任经由业绩的复核可以被计量或奖励的话,更易于对雇员的激励。
另外,自我评价使管理当局能够识别
内部控制的不足,对控制的失败具有很大的预防性的作用。员工对内部控制具有了一致的认识并能在控制缺陷发生时加以识别和更正,而不是在发现故障之后才补救。有效的自我评价将提高经营管理阶层和高管之间的交流,并且对高管和外部审计师就组织的内部控制有效运行提供较大的保证。
三、内部控制自我评价的具体实施方法和步骤
内部控制自我评价方法常用的有三种:即研讨会法、问卷调查法和管理结果分析法。其中,研讨会法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。问卷调查法是利用问卷工具使得受访者只要做出简单的“是/否”或“有/无”的反应,控制流程的执行者则利用调查结果对内部控制系统做出评价。无论采用何种方法或结合使用几种方法。都需要了解实施的步骤。
内部控制自我评价的实施包括定义其性质和范围;开始实施;对实施进行测试和复核;总结具体的经验和教训;开始下一轮实施过程。一般主要通过以下几个步骤来实现:
(一)研究采用的内部控制自我评价的模式
研究采用的内部控制自我评价应取得管理层的支持,由内部审计人员参与设计,必要时聘请外部审计人员或相关的专家帮助设计。其结构一般包括;管理者的支持及工作小组的创建。并恰当安排小组成员。有助于内部审计部门和其他部门开展合作和增加相互理解。参与的人员要有对各自控制环境的风险发表意见的机会,可以采用定期举行会议的形式。对发现的问题可由审计师以职业的眼光进行判断,以预防各种错弊。
(二)定义内部控制自我评价的范围、原则和目标
每个组织关于内部控制自我评价范围、原则和目标并不相同,但一般应采用全员参与的、整个流程范围的自我评价。并要在所有的关键的利益相关者之间进行交流、调整,如内部审计师、高层管理人员和董事会。
(三)作用和责任的限定
有效的内部控制自我评价关键在于对参与者的作用和责任的限定。包括过程的岗位责任者,内部控制自我评价的测试人员以及经营的复核者。一般而言,一个过程的岗位负责人应该是一个拥有较强的项目管理技术的专家并且足够资深,以确保无论在何种情况下,内部控制自我评价能优先排序。对测试人员要实行详细的检验,并将相应的结果文件化,测试人员必须对自我评价的过程理解和所测试的基本控制进行适当的权衡,并且以合理程度的专业怀疑态度和***性进行测试。内部控制自我评价的复核人员也必须对实施有效的复核过程有足够的理解。对某一个既定的过程而言,自我评价复核人员逻辑上通常是这个过程的岗位负责人。
(四)确定内部审计人员的功能
出于遵循法律法规的需要,一般都由内部审计人员正式地对内部控制自我评价进行评估并发表相应的意见;或者他们只是简单地对某个既定过程的基本的内部控制在一般的基于风险的审计范围内进行审计。无论内部控制自我评价在结构上采用何种方式,关键的是对上述人员的作用加以规定,并从项目涉及的各个参与人的视角进行协调,达成一致意见。
(五)全面实施内部控制自我评价
在建立了内部控制自我评价的总体的结构、原则和预期后,就需要将相应的培训列入日程中。培训涉及内部控制的性质、审计功能和目标,对那些没有审计经验的参与者要使其领会内部控制自我评价项目的具体要求。
(六)提出实施的具体要求
对每一个关键控制的目标如何进行测试要制定测试手册。包括事先确定样本的规格、具体测试的步骤、步骤保留的证据以及每项测试通过与不通过的组成内容。可以多听取外部审计师及其他专家的意见。
(七)实施测试和复核
在进行内部控制自我评价测试期间,对每一位内部控制自我评价的测试者而言,首先应该复核已有的内部控制文件,包括关键控制和有关的测试手册以及分配的每一个责任领域;其次按照事先建立的测试手册和正式的文件实施适当的内部控制自我评价测试,必要时要保持有关的证据。每个测试人应该与该过程的岗位责任人和具体的个人就潜在的、新的内部控制缺陷进行讨论,完成测试。某个过程的岗位负责人或涉及的个人应该对内部控制自我评价测试的文件进行复核,包括详细描述实施的测试、达成的结论和任何支撑的证据。
(八)矫正已确认的内部控制的缺陷
在内部控制自我评价测试中,如果内部控制的缺陷已经被确认,或者是对所设计的控制有某些担心或者失败已确认,则应尽快启动对差异的矫正。确认已有的控制和最佳的控制之间的差距,从而不断改善、发现和掌握使内部控制程序和内部控制本身更有效的方法。
(九)总结经验,完善内部控制自我评价
内部控制测评篇7
[关键词] 内部控制;内部控制审计;穿行性测试;程序及方法
一、内部控制制度审计的主要内容
(一)内部控制审计的定义
虽然内部控制审计由来已久,但国内外学术界和审计实践界对内部控制审计的定义均持有不同的看法,尚未形成统一的定论。美国上市公司会计监管委员会的《p***b审计准则第2号——内部控制审计原则》(2004年)、中国注册会计师协会的《***审计具体准则第9号——内部控制与审计风险》(1997年)和中国内部审计协会的《内部审计具体准则第5号——内部控制审计》(2003年)中均没有明确对内部控制审计予以定义。
内部控制审计的含义和性质应该采用广义的概念,即内部控制审计既可以作为***的审计项目组织实施,用以完善内部控制,也可以作为实施其他审计项目的一个程序或方法,以便确定对其依赖程度和进行内部审计的范围、重点及方法,有效提高审计工作效率和质量。内部控制审计就是对内部控制的健全性、符合性、合理性及有效性的测试和评价。
(二)内部控制审计的对象和内容
内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。
内部控制审计的内容是对构成内部控制的各要素进行测试与评价,主要包括:内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。
二、内部控制审计的程序与方法
审计师在进行内部控制审计时,应该应用通用的外业和报告准则,具备足够的胜任能力,保持应有的职业谨慎。遵循一定的程序,采用适当的方法,以确保内部控制审计报告的质量。通常来说,审计师应按照如下顺序,根据审计和评估的内容不同,分别采用适当的方法予以审计和评估。
(一)审计准备阶段
1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助,以保证在需要时,进行适当的监督。
2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括:审计师决定应当对哪些控制实施测试,包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下,实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足,来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。
3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息,包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制,包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。
4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。
5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。
6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。
7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分,审计师应当评估:公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如,标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。
(二)审计实施阶段
1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程,以及对每个被审计的重要流程所进行的控制,包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据:确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解,包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解,并且根据每个相关的财务报表认定,判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。
2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后,审计师应当对如下进行评估以识别出可以进行测试的控制:发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标,是否需要一个以上的控制,或者为实现某一特定目标,补入一个以上的控制是必要的;以及控制不能有效实施的风险。
3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时,内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制:识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制,是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。
审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。
4.形成关于内部控制是否有效的意见。在对内部控制发表意见时,审计师应当对获得的所有证据进行评估并发表意见,只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下,审计师才可以发表无保留意见。如果存在实质性漏洞,审计师应当对财务报告的内部控制发表否定意见,如果工作范围受到限制,审计师应当发表保留意见或无法表示意见,视受限制的范围所定。
5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷,并且决定这些缺陷单独或累加之后,是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面:某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。
(三)审计报告形成阶段
1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告,审计师应当评估下列事件:管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时,管理层内部控制有效性的评估,是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。
2.报告的修订。如果存在以下任何一种情况,审计师就应当修订标准报告:管理层的评估是不充分的,或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告,审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来,发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。
3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时,管理层就有责任来确定和审计师就应当评估:变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。
[参 考 文 献]
[1]***.美国sox法案视角下对我国上市公司内部控制的思考[j].集团经济研究,2007(22)
[2]朱光.试论内部控制制度审计[j].集团经济研究,2007(1)
[3]周树大.试论内部控制审计的性质[j].审计与经济研究,1999(6)
[4]陈梦.coso报告对我国审计事业的启示[j].财会通讯,2001(8)
内部控制测评篇8
【关键词】企业;内部控制;制度;审计
内部控制即是企业自我管理和约束的主要机制,也是企业经营管理的主要手段。发挥内部控制职能,逐步完善企业治理,促进企业科学管理,是改善和提升企业价值的有效路径。审计作为内部控制制度建设和实施的评价部门,对建立现代企业制度,完善法人治理结构,加强企业管理,提高企业经济效益等方面发挥着重要作用。
一、内部控制审计的作用、目的及内容
(一)内部控制审计的作用和目的
1、有助于提高审计工作效率和效果。以评价内部控制为基础的风险导向审计是现代审计的一个重要特征,可以克服详查或大量抽查浪费人力和时间的不足,它不仅可以提高审计效率,而且可以提高审计质量,达到深化审计监督的目的。
2、有助于突出审计重点。通过内部控制审计,审计人员就可以确定被审计单位内部控制的可信赖程度,有利于从薄弱环节入手,有效地、迅速地明确审计重点和方向,既保证了审计工作的质量,又减少了审计工作量。
3、有助于完善内部控制。对内部控制审计可以发现被审计单位内部控制是否完善、合理、有效。审计工作不仅要揭露经济活动中的问题,还要在内部控制中找出问题的症结所在,并有针对性地提出改进措施,从而使被审计单位不断完善内部控制,堵塞漏洞,有利于加强管理,提高管理效率,做到防查结合,以防为主,达到抓标治本的目的。
(二)内部控制审计的基本内容
1、内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源***策、企业文化等。
2、风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
3、控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
5、内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
二、内部控制审计的程序和方法以风险评估
为基础,选择拟测试的控制,确定控制所需收集的证据
(一)了解企业内部控制的设计
首先,通过查阅被审单位的有关方针、***策和规章制度等文件,查看组织机构系统***,了解组织机构系统和各级管理人员的业务范围和素质的状况,以及凭证的填制和传递程序,并向有关人员进行询问,亦可实地观察或查阅前期审计报告或审计工作底稿等方法和途径,对被审单位内部控制进行全面深入的了解和掌握。其次,将以上了解的情况,应用调查表法、文字表述法、流程***法,把被审计单位的内控制度直接描述出来,初步掌握其健全程度和完整程度。
(二)初步评价被审单位内部控制的健全性与合理性
在对内部控制系统的控制环境、控制活动、信息与沟通、控制风险监督与评价以及控制风险管理等进行调查了解,对被审计单位内部控制有了一个初步认识的基础上,应对内部控制风险和内部控制可依赖程度做出初步评价。首先,审查内部控制是否符合内部控制的原则,对关键控制点是否进行了控制,以及所有控制的目的是否达到。其次,审查内部控制在内容上有无重大缺陷,条款是否合理、健全。通过检查与评价被审单位内部控制是否健全、完备、严密、科学,设计的措施和方法是否适应、有效,确定能否预防错误和舞弊的发生。
(三)对内部控制的设计和执行效果实施符合性测试
在对被审单位内部控制健全性与合理性进行初步评价后,如决定全部或部分地信赖内部控制,就必须对有关的内部控制的执行情况进行详细的检查,确定每项具体控制程序的执行是否有效,可以进行符合性测试。符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试。控制设计测试是测试被审计单位的控制***策和程序是否设计合理、适当,能否防止或发现和纠正特定会计报表认定的重大错报或漏报,控制执行测试是测试被审计单位的控制***策和程序是否实际发挥作用。内部控制符合性测试常用的方法主要有三种,即检查证据法、验证法、实地观察法。内部控制与主要经营环节及业务相互衔接配套,构成有机的系统,形成了一个闭环的管理。
(四)综合评价被审单位内部控制
经过上述符合性测试,审计人员应对该企业内部控制进行综合评价。主要评价应从其内部控制的可信赖程度,确定其对实质性测试的范围,看其是否存在重要的内部控制缺陷或重要的内部控制弱点。为了进一步确认符合性测试的结果,评价企业现行的内部控制的可靠性,还应进行以下方面的评价:组织机构是否健全,职责分工是否明确;各项管理制度、会计流程是否完整;业务处理与记录程序是否完善、正确;外协件的授权、批准、执行、合同、记录、报告等手续是否完备;是否有严格的岗位分工及责任制;关键控制点是否均有必要的控制措施;内部控制及有关措施是否经济有效。
(五)对内控制度进行实质性测试
在对被审单位的内部控制进行符合性测试的基础上,应进一步对其内部控制进行实质性测试。对内部控制的实质性测试,主要是对被审单位的会计信息及有关经济信息的真实性、正确性作进一步的审核,将审核的结果作为审计证据,并据此做出有关的审计结论。对内部控制进行实质性测试,主要包括以下内容:实物盘点、向第三者询证、复核、仔细检查有关业务记录及账户余额、核对账证、账表、分析账簿中余额和内容、审阅购货合同、会计记录以及比较重要的比率和指标等。对内部控制的系统、功能及优缺点有了初步了解后,我们初步确认了其内部控制基本可以依赖。但是,对其依赖利用的确切程度还取决于内部控制的执行情况与结果,确定各个控制环节是否确实存在,是否始终相符,有无失控之处。
(六)提出审计报告
对内部控制的审计阶段实施以后,应对被审计单位财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
三、内部控制审计的风险和防范
(一)内部控制审计的风险
1、内部控制健全性评价失当风险。在审计人员对被审计单位的内部控制进行健全性水平测试过程中,会因为建立和使用的评价标准不当,造成对评价的偏差,以至于产生相应的审计风险。
2、内部控制有效性评价失当风险。在审计人员对被审计单位的内部控制进行有效性水平测试的过程中,有时也会因过分信赖而造成审计风险。
(二)内部控制审计风险的防范
审计人员在进行内部控制审计时,和执行其他审计一样总有审计风险相随,对于审计人员来说,努力去做的应该是了解风险所在并针对性地进行风险防范。对于内部控制审计的风险防范可以采取如下手段:设计合理的内部控制评价标准;制定合理的内部控制审计步骤;测试和评价内部控制结构的合理性;测试和评价内部控制执行的有效性;注重学习新知识。
内部控制测评篇9
浅议审计风险的评价 文章作者:阿飞 文章加入时间:2005年9月7日10:56 近两年来,我国会计市场接连发生重大的诉讼案件,许多注册会计师和会计师事务所,都被牵扯到经济案件中,在社会上产生了很大的反响。随着国有企业改革的进一步深化和会计师事务所脱钩改制的完成,注册会计师更需要对被审计单位的审计风险有一个清醒的认识。 审计风险,英文称audit risk(ar),是指在会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。审计风险的造物主是注册会计师(cpa),它的产生并非偶然,当注册会计师的慧眼终究识破不了被审计单位的会计报表中存在的重大错报和漏报时,就有发表不恰当审计意见的可能性。于是,审计风险就产生了。 随着审计事
业的发展,职业界对审计风险问题将日趋重视,努力从本单位的实际情况出发,根据自己所处的环境和条件,在审计准备、实施和报告阶段采取各种风险管理和控制对策,以减少审计风险。避免风险损失是当前会计师事务所迫切需要解决的问题。审计风险的评价贯穿于审计过程的始终。审计风险评价的高与低、正确与否和注册会计师承担的审计责任有密切的关系,因此,加强审计风险管理,正确评价审计风险已成为会计师事务所提高审计质量和效率的一种十分重要的手段。 一、审计风险的构成要素及其关系 审计风险的内部控制结构很简单,由固有风险(inherent risk,缩写为ir)、控制风险(control risk—cr)和检查风险(detction risk—dk)三部分组成。所谓固有风险险是指假定不存在相关内部控制时,某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报或漏报的可能性。所谓控制风险,是指某一帐户或交易类型单独或连同其他帐户或交易类型产生错误或漏报,而未能被内部控制防止、发现或纠正的可能性。所谓检查风险,是指某一帐户或交易类型单独或连同其他帐户、交易类型产生重大错报或漏报而未能被实质性测试发现的可能性。 在审计风险的三个构成要素中,ir和cr是审计风险的硬件,因为它们的产生源于被审计单位,不易改变,注册会计师对比无能为力。因此,注册会计师只能将工作重点放在实质性测试上,以便将审计风险的软件dr控制在可接受的水平内,进而将审计风险降低至可接受的范围内。ir、cr和dr相互关系可以用定量和定性两个模型来考察。 从定量的角度看,审计风险三要是的相互关系可用下列公式表示: 审计风险=固有风险×控制风险×检查风险 根据上述公式,在既定的审计风险下,检查风险可计算如下: 检查风险=审计风险/(固有风险×控制风险) 例如:某注册会计师可接受的审计风险为5%,根据以往审计经验以及本年度审计对内部控制的研究和评价,他将被审计单位的固有风险和控制风险分别评估为60%和40%,以这些评估为基础,他可接受的检查风险如下: dr=5%/(60%+40%)=20.8% 从定性的角度考虑,审计风险三要素的相互关系如下表所示: 注册会计师 对固有风险 的评估注册会计师对控制风险的评估 高中低 注册会计师可接受的检查风险 高最低较低中等 中较低中等较高 低中等较高最高 上表说明,检查风险与固有风险和控制风险的综合水平之间存在着反比关系。固有风险和控制风险的综合水平越高,注册会计师可接受的检查风险水平越低,反之亦然。换言之,当固有风险和控制风险的综合水平越高时,注册会计师必须扩大审计范围,将检查风险尽量降低,以便使整个审计风险降低至可接受的水平;反之,如果被审计单位内部控制行之有效,固有风险和控制风险的综合水平较低,则注册会计师即使冒较大检查风险,但总体审计风险仍然较低。 因此,评价审计风险应从它的三个要素入手,下面就分别进行阐述。 二、固有风险的评价 固有风险与被审计单位内部控制是否存在、是否有效有关,是被审计单位所固有的,是注册会计师不能改变的,但是,注册会计师可以通过研究和评价被审计单位的内部控制来对它做出评估,若被审计单位内部控制良好,则会计报表产生错报或漏报的可能性就较小,注册会计师可将其评价为低水平;反之,则应评价为高水平。 在评价固有风险时要考虑多方面的因素,这些因素大体可以分为两类:第一类因素与会计报表定省略符合性测试,直接实施实质性测试,将无法对内部控制的有效性做出评价,基于稳健考虑,应当将控制风险评估为高水平。 只有出现下列情况时,注册会计师才不应当将控制风险评为高水平: 1、相关内部控制可能防止、发现或纠正重大错报或漏报。 2、注册会计师不拟进行符合性测试。上述第一种情况说明内部控制可能有效,第二种情况说明控制风险的高低,只有待注册会计师实施符合性测试程序后,才能最终予以评估。 (二)符合性测试与控制风险的进一步评价 注册会计师如拟信赖被审计单位内部控制,应当实施符合性测试程序,以评价控制风险。初步评价的控制风险水平越低,注册会计师就应获取越多关于内部控制设计合理和运行有效的证据。这包括两层含义:第一层含义是实施符合性测试是确定信赖内部控制的前提条件。当然,如果不准备信赖内部控制,注册会计师便不实施符合性测试。第二层含义说明了控制风险初步评价结果与审计证据的关系。如前所述,基于稳健原则,注册会计师宁可高估控制风险,不可低估控制风险。因此,注册会计师如将控制风险评估为最低水平,则他必须获取尽可能多的证据以表明内部控制设计合理、运行有效。 进行了符合性测试后,注册会计师应当根据符合性测试的结果,评价内部控制的设计和运行是否与控制风险的初步评估结论相一致。如果存在偏差,应当修正对控制风险的评价,并据以修改实质性测试程序的性质、时间和范围。 控制风险可评价为高水平,也可评价为低水平。意味着内部控制不能及时防止或发现和纠正某项认定中的重要错报或漏报的可能性很大。如果很多认定或所有认定的控制风险都被评价为高水平,那么注册会计师就要研究是否应进一步对被审计单位会计报表进行审计。 注册会计师只有在确认以下事项的情况下,才能将控制风险评价为高水平: 1、控制***策和程序与认定不相关; 2、控制***策和程序无效; 3、取得证据来评价控制***策和程序显得不经济。 注册会计师只有在确认以下事项的情况下,才能将控制风险评价为低水平: 1、控制***策和程序与认定相关; 2、通过符合性测试已获得证据证明控制有效。 如果注册会计师评价企业内部控制为高信赖程度,说明控制风险为最低。而控制风险越低,注册会计师就可以执行越有限的实质性测试。如果内部控制为低信赖程度,说明控制风险很高,那么,注册会计师只有依靠执行更多的实质性程序,才能控制检查风险处于低水平,进而控制审计风险处于低水平。只有这样,才能保证审计的质量。可以看出,内部控制目标与审计目标相联系,无效的内部控制必然导致注册会计师增加实质性测试的工作量。但不论固有风险和控制风险的评估结果如何,注册会计师均应对各重要账户或交易类别进行实质性测试。 (三)实质性测试与控制风险的最终评价 注册会计师在终结审计之前,应当根据实质性测试的结果和其他审计证据,对控制风险进行最终评估,并检查其是否与控制风险的初步评估结果相一致。如果不一致,如实质性测试结果表明,控制风险水平高于控制风险的初步评估水平,可能意味着根据对控制风险初步评估结论而设计的实质性测试程序不能将检查风险降低至可接受的水平,在这种情况下,注册会计师应当考虑是否追加相应的审计程序。例如:通过发函询证,注册会计师发现回函结果与被审计单位的会计记录普遍存在重大差异,这表明被审计单位未能有效地就应收账款与客户定期核对。为此,注册会计师可能决定全面、详细地审查所有销货交易,扩大应收账款的函证范围。 通过控制测试和实质性测试,可以从总体上把握审计质量,控制审计风险。 四、检查风险的评价 (一)检查风险的评价基础
如前所述,审计风险三要素之间存在着密切联系。固有风险与控制风险的综合水平,决定者注册会计师的检查风险水平。评价的固有风险与控制风险综合水平越高,注册会计师可接受的检查风险水平也越低,反之亦然。因此,由于控制风险与固有风险相互联系,注册会计师应当对固有风险和控制风险进行综合评估,并据以作为检查风险的评估基础。 鉴于固有风险与控制风险的评估对检查风险有直接影响,固有风险和控制风险水平越高,注册会计师应实施越详细的实质性测试程序,并着重考虑其性质。例如:针对存货和产品成本项目,除进行分析性复核外,还应对其余额进行实质性测试,并对实质性测试的时间(如在接近会计期间结束时)、范围(如抽取较大样本)加以关注,以将检查风险降低至可接受的水平。 (二)检查风险对确定实质性测试的性质、时间和范围的影响 不论固有风险与控制风险的评估结果如何,注册会计师都应当对各重要账户或交易类别进行实质性测试。然而,注册会计师实施的实质性测试,其性质、时间和范围的确定,最终取决于根据固有风险和控制风险的综合水平确定的可接受的检查风险。它们的关系如下表所示: 实质性测试可受的检查风险性质时间范围 高分析性复核和 交易测试为主期中审计为主较小样本 较小证据 中分析性复核、交易测试以及余额测试结合运用其中审计、期末审计和期后审计结合运用适中样本 适量证据 低余额测试为主期末审计和期后审计为主较大样本 较多证据 (三)检查风险与审计意见的类型 检查风险不仅影响注册会计师所实施的实质性测试的性质、时间和范围,而且影响注册会计师所发表的审计意见的类型。如果经过实施有关实质性测试后注册会计师仍认为与某一重要账户或交易类别的认定有关的检查风险不能降低至可接受的水平,那么,他应当发表保留意见或拒绝表示意见。这是因为,如果不能将重要账户或交易类别的检查风险降低至可接受的水平,说明注册会计师因审计范围受到重大限制,难以确定有多少重大错报或漏报,无法通过实质性测试予以发现,会计报表的部分或全部认定是否真实、公允也难以确定。在这种情况下,比较稳妥的做法是发表保留意见或拒绝表示意见。 作为对外开放的专业服务市场之一,我国会计市场入世后必将发生很大变化。在未来市场中如何定位,已成为每一个会计师事务所当前最为关心的问题。如何科学合理地评价及运用审计风险理论已成为一个关系到会计师事务所生死存亡的关键因素。 最近,一些专家提出了一种新的审计风险评价模式:ar=ir+cr+dr+u(r)。u为随机扰动项,是一个风险的函数,专门应对那些无法估计到的因素,像汇率变动、物价上涨等因素。这一函数的引用将使审计风险模型的功能更加完备,同时事务所生存的压力也将增大。入世后,对注册会计师出具的审计报告期望越高,注册会计师事务所面临的审计风险就越大,稍有疏忽,有关会计师事务所就会面临关闭、没收财产、罚款、直接责任人被吊销执业资格的局面,甚至会导致某些人锒铛入狱等。 如前所述,注册会计师所从事的是一种风险性行业,只要执业环境存在缺陷,只要采用抽样审计,就会存在审计风险。注册会计师或许无法完全规避审计风险,但这不等于说他们可置审计风险于不顾。相反地讲,面对客观存在的审计风险,注册会计师应保持职业谨慎,运用专业判断,对被审计单位的审计风险各要素,包括固有风险、控制风险和检查风险进行全面的评价。如果评价结果表明被审计单位的固有风险和控制风险较高,注册会计师就应当实施能够将检查风险降低至最低水平的实质性测试,即以余额(金额)测试为主,在资产
负债表日之后实施,抽取较大样本,获取较多审计证据,只有这样,才能将总体审计风险降低至注册会计师可接受的水平。 现实是残酷的,而面对现实更需要理智和谋略,对注册会计师及事务所来说,转变观念,强化风险意识,建立良好的内部运行机制和完善内部质量控制制度,提高从业人员素质,引入风险管理模式等手段不失为一种降低审计风险,提高执业质量的有效途径。 文章出处: 【大 中 小】 【打印】 【关闭】
内部控制测评篇10
一、内部控制的设计
银行设计内部控制系统的目的是为了完成其经营目标。管理的思维方式往往是: 确立组织的经营目标评估实现目标的风险根据风险评估设计内部控制系统执行内部控制系统评价控制系统的适当性和有效性根据评价结果采取改进行动。可见设计内部控制系统的主要依据是风险,假如银行在实现目标过程中没有风险就不需要设计内部控制系统。
银行所有内部控制都是针对风险的大小来设计的,风险越大,设计的控制措施就越多、越严密。在银行重要风险领域,还要设置多重控制措施。内部控制与风险是一对矛盾。
内部控制和风险这对矛盾的双方都是人。设计和执行内部控制的往往是银行内部的人,而制造风险的也是人,造成这些的可能是银行外部的人,也有可能是银行内部的人,有时甚至是银行内部控制的设计者或执行者。所以,“人”是内部控制设计者应当考虑的核心问题。他们之间似乎是在玩博弈游戏,双方用的都是一种对抗性思维,所以,对银行内部控制系统的设计者而言,学会运用的思维至关重要。
二、内部控制的执行
内部控制系统的设计和执行在银行内部的不同管理层次有不同的分工。在组织中层次越高,设计的职责越多,执行的职责越少;层次越低,执行的职责越多,设计的职责越少。如用数学的方式来表达就是,内部控制的设计与管理层次成正比,内部控制的执行与管理层次成反比。譬如,银行董事会的职责是设计重大的方针***策,方针***策也是银行的内部控制;高级管理层的职责是执行董事会的方针***策,并设计相应的控制系统;中低级管理层的职责主要是执行高级管理层制定的有关***策和程序,并设计一些具体的控制措施; 最基层的操作人员只负责执行与自己岗位有关的操作规程和内控制度。
内部控制执行环节要注意以下问题:
1.内部控制的有效执行特别需要一个良好的控制环境。在银行内部营造一种浓厚的“控制文化”和“控制氛围”,是内部控制得以有效执行的基础。强调内部控制对单位管理与个人切身利益的关系,使全体管理人员与职工理解贯彻执行制度的意义,清楚最高管理层的决心、意向与要求,明确本职工作的地位与力。
2.银行各级管理层不仅是内部控制的设计者,同时也是内部控制的模范执行者。董事会和高级管理层要通过自己的言行,向广大员工表明内控的重要性。银行各阶层管理人员,特别是高层管理者要自觉遵守与自己有关的各项控制制度,要自觉接受违反制度后的应有惩罚。
3.可靠的信息系统是内部控制得以有效执行的前提。有效的内部控制系统应该是一个有效的信息数据系统。内部控制得以执行的前提是相关的控制信息能及时、准确地传达到执行者。所以,应保持有效的信息沟通渠道,以保证所有银行职员能充分了解和遵守涉及其责任和义务的所有***策和程序,并保证信息能够及时送达有关人员。
三、内部控制的评价
内部控制的评价,是指对上述内部控制系统“设计”和“执行”两个环节的恰当性和有效性进行测试和评价,其中测试是手段,评价是目的,测试是评价的基础,测试是为了获取充分的评价证据。
评价是内部控制循环过程中一个非常重要的环节,或者说是一个承前启后的环节。从系统本身看,它是内部控制持续改进过程中的一个重要信息反馈渠道。通过对内部控制设计和执行两个环节的测试,将内部控制适当性和有效性方面的评价信息,作为系统设计和系统执行两个环节的重要资源输入,从而使内部控制系统不断得到改进。
内部控制评价质量的高低,首先取决于评价者是否具有***的地位,其次取决于评价人员有无适当的评价方法和专业技术水平。按照评价主体的不同,内部控制评价有外部评价和内部评价两种。银行内部控制的外部评价主要是指外部审计师和银行监管当局对其内控的评价;内部评价主要是指内部审计师的评价,或有关管理部门的自我评价。不管是内部审计师,还是外部审计师,最重要的一点就是评价者应当保持“***性”。因为“***性”是评价者做出公正、客观评价结论的基础。内部审计部门是以履行内部控制评价为职能的机构,其对内部控制的评价具有一定的客观性和公正性。但外部审计师作为一种***的机构,相对内部审计来说更有其自己优势。事实上由外部审计师来完成银行内部控制评价工作可能会显得更和更有效率。所以,在市场经济成熟的国家里,不管银行监管当局还是银行管理当局,往往会把这项工作委托给外部审计师去完成。
内部控制测试和评价主要解决的有:
1.什么是确实存在的?即现状如何,就是在测试评价过程中发现的事实证据,特别是那些关键控制点上的事实证据。
2.什么是应该有的?即标准怎样,就是在做出评价时所使用的准则、措施或所期望的事物。
3.差异会造成什么?即风险有多大,就是由于现状和标准之间存在的差异而使被测试评价银行产生的风险暴露。
4.为什么会有差异?即原因何在,就是所期望的和实际存在之间的差异的产生原因。
5.应该采取什么改进措施?即改进建议,就是以上述“发现”为基础提出的改进措施。改进建议可能是:无须改变现行的控制系统;修改或补充现行的控制系统; 重新设计控制系统。
四、内控的持续改进
前面说,内部控制与风险是一对矛盾,风险是“矛”,内部控制是“盾”。矛盾的双方都是人,双方当事人存在一种对抗性思维,内部控制系统是否适当和有效要看谁更高明。这对矛盾随着时间和环境的变化而相互不断地进化。如果说昨天设计的“盾”还可以抵御“矛”的进攻,但经过进化后今天的“矛”就可能刺穿昨天的“盾”,那么,作为防御系统的“盾”也应当及时地做出相应的改进,而且,矛盾双方的进化是一个相互交替和持续不断的过程。因此,内部控制系统必须保持持续的改进。只有这样才能使内部控制和风险这对矛盾保持某种平衡状态。内部控制系统的持续改进也可以说是矛盾双方博弈的必然。
在评价和改进两个环节上,评价属手段,而改进才是目的。所以,内部控制过程还有一个不可缺少的环节,那就是在检查评价以后必然紧跟着改进行动。通过对内部控制系统的测试和评价,及时发现它的缺陷和薄弱环节,而且只有及时地加以改进,内部控制才能起到防御风险的作用。如果只检查评价,而没有相应的改进行动,那么这个内部控制过程也是不完整的。所以说,内部控制系统循环过程有四个环节,即:设计执行评价改进。
内部控制的设计执行评价改进是一个有机的整体,是一个循序渐进的过程,也是一种持续的过程。这四个环节体现了PDCA工作原理在银行内部控制活动中的具体,也就是说银行内部控制的过程也是一种PDCA循环。所谓PDCA工作原理或循环可简述如下:
P(Plan):根据顾客的要求和组织的方针,为提供结果建立必要的目标和过程。P就是根据组织目标及风险评估来设计内部控制系统。
D(Do):实施过程。D就是执行上述设计的内部控制系统。
C(Check):根据方针、目标和产品要求,对过程和产品进行监视和测量,并报告结果。C就是对内部控制系统的设计和执行两个环节的适当性和有效性进行测试并做出评价。
A(Act):采取措施,以持续改进过程业绩。A就是根据上述测试和评价中发现的内部控制设计和执行两个环节存在的缺陷,采取相应的改进。