此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

洛阳市审计局 - 内部审计在国有企业开展内部控制评价的实践
当前位置:首页--->内审园地

内部审计在国有企业开展内部控制评价的实践

[来源: | 作者:系统管理员 | 日期:2010/8/4 18:13:50 | 0次]

 --中国洛阳浮法玻璃集团有限责任公司  郭延红

 

内容摘要:现代企业制度下,企业作为市场经济中的独立主体,面临着激烈竞争的环境,要在竞争中求得生存和发展,企业必须实行科学管理,增强自我约束机制,全面提高经济效益。作为企业自我机制重要组成部分的内部审计,如何为企业经营管理提供更好的服务,加强改进内部审计工作,有效地开展内部控制评价,是内部审计生存、发展和充满活力的关键。

关键字:内部控制  内部审计  评价

内部控制作为管理现代化的产物,其发展经历了一个漫长的过程随着内部控制理论的不断完善,内部控制的内容不断丰富,内部控制的测试和评价已成为现代审计不可缺失的部分。这一变革促使了内部审计工作从详细审计发展成为以测试内部控制为基础的抽样审计,审计人员必须研究内部控制的新发展,并探讨完善有效的内部控制评价的方式、方法,以便有效地开展工作,降低审计风险和审计成本。

内部控制是组织经营活动中必不可少的政策和程序;是管理层确保风险规避、效益提高、资产安全、信息可靠、目标实现的工具。目前,大部分企业都已把对内控制度的审计作为审计工作的重点内容。内部审计人员通过实现审计程序可以对组织控制做出客观评价,并协助组织完善内部控制系统方面,内部审计扮演着重要的角色。如何才能搞好这项工作呢?本人认为应从以下五个方面来把握:一是调查了解企业内部控制结构,并作相应的记录;二是初步评价控制风险;三是实施符合性测试程序,以证实内部控制结构的完整性与有效性;四是评价内控制度地有效性;五是编写内控评价报告。

一、调查了解企业内控制度

审计人员对被审计单位内控制度的调查了解,应围绕两方面进行:一是了解每一控制要素的政策和程序的设计;二是这些政策和程序是否得到有效的执行。同时,对以下内部控制要素进行重点了解。

了解内部控制环境。所谓控制环境是指对企业内部控制的建立和实施有重大影响的各种因素的总称,如组织结构、经营品种、经营方式、经营规模等,调查了解应从以下几个方面进行:

1、利用以前年度及有关部门对内部控制调查的信息。

   2、与被审计单位领导、各层面管理人员、技术人员、职工群众进行谈话,全面了解被审计单位的管理情况。

3、通过查阅被审计单位及其下属机构的各种文件,搜集被审计单位实施管理中以文件形式体现的相关记录。

4、现场查看并审阅被审计单位的财务管理、生产管理、产品质量管理、原材料和产品进出库管理、销售发票管理、业务合同管理,以及各种经营经济事项的审核、批准、指令等资料,深入了解被审计单位在处理经济业务时的相关关系及各项经济业务的处理程序等。

5、将了解到的被审计单位的管理情况,绘制成被审计单位的“组织机构图”、“计划流程图”、“业务处理流程图”等,从而进一步检查了解被审计单位各项管理、业务处理程序及其存在的漏洞或弊端。

6、编制并向被审计单位各层次员工发放“问卷调查表”,调查表所列的调查内容:一是被审计单位在组织设置及权责分配、人力资源政策、决策管理、经营体系控制情况等方面是否存在问题;二是被审计单位各项管理以打分制或以好、中、差三个等级进行评分、评价。通过调查表进一步搜集、了解被审计单位在内部控制方面存在的问题及其效果情况。

这六项内容的调查了解是内部控制评审的基础。

了解会计系统。会计系统是内部控制结构的重要组成部分,企业所用经济业务的结果最终都会反映在会计报表要素里。会计系统的核心就是处理交易,并为每一笔交易提供完整的审计轨迹,审计人员应通过对会计系统的了解,能识别和理解被审计单位经济业务的主要类型、经济业务如何产生、相关的会计资料如何、会计处理和会计报表的编制程序。

了解控制程序。控制程序是为实现管理目标而制定的除控制环境以外的各项制度和程序,是提高被审计单位内部控制效率和效果的关键。一般应根据其经营活动的五大循环即采购循环、销售循环、付款循环、收款循环和理财循环等分别设计其控制活动。控制程序对于防止或发现和更改会计报表中重要错报或漏报比控制环境和会计制度更为有效。对它做充分的了解,应着重考虑交易授权、职责分工、凭证与记录程序、资产接近与记录的使用、独立稽核等方面。审计人员一般通过观察经济业务的处理及相关资产的处置程序、查阅被审计单位内部控制程序的书面文件以及询问相关人员等方法来进行。

二、初步评价控制风险

审计人员在对被审计单位的内部控制初步了解后,应对内部控制的可依赖程度作出初步评价。首先对内部控制的健全性和合理性要做出评价。健全性的评价是要分析内部控制是否建立了有效的关键控制点,是否存在薄弱环节;合理性评价是分析内部控制的布局是否合理,是否符合成本效益原则。其次是确定内部控制是否可以依赖。通常,在进行健全性和合理性评价后,发现被审计单位的内部控制存在以下问题时,就可不再依赖其内部控制,而直接进行余额测试;一是内部控制不存在或极为有限,且不严密;二是相关的内部控制虽然存在,但并未有效运行;三是进一步测试内部控制所减少的余额测试量少于进行必要的控制点测试的工作量。如果未出现上述问题,且审计人员决定依赖被审计单位的内部控制时,就应初步估计控制风险水平,并用以确定检查风险。控制风险一般可划分为最高、高、中、低四个等级。如果被审计单位内部控制在许多领域失败,审计人员不可依赖其内部控制,则控制风险可估计为最高水平。根据国际惯例,控制风险水平可进行量化估计,各等级估计比率分别为100%80%50%20%。在初步确定了控制风险水平后,可根据已确定的固有风险水平、可接受的审计风险水平,来确定检查风险和抽样规模。

三、对内部控制进行符合性测试

在对被审计单位内部控制调查了解、初步风险评估的基础上,审计人员要针对那些准备依赖的内部控制执行符合性测试,并确信已得到正确的执行时,才能减少实质性测试程序,从而减少审计取证工作,提高工作效率。

符合性测试应包括两方面:一是控制设计测试,即对被审计单位内部控制政策和程序的设计是否适当所进行的测试;二是是否在本年中得到一贯执行;三是由谁来执行。如果某项控制在本年中得以一贯执行,这项内部控制就是有效的。否则,就是内部控制失效。

在实际工作中,并不是执行控制测试的范围越大越好,而是根据成本效益的原则和审计人员对内部控制的初步了解,从最经济有效地满足审计目标的总体需要出发,合理的确定控制测试的范围。对可能会导致财务报表出现重大错报或漏报的内部控制政策和程序要作为执行控制测试的重点。

符合性测试的方法主要有询问、观察、审查和重新执行。其中重新执行是审计人员对被审计单位的部分内部控制程序重复执行一次,它可以为审计人员提供有关被审计单位的内部控制程序执行情况的最好证据。

符合性测试的方式主要有控制点测试和业务测试两种类型。常用的方式是控制点测试,也称“遵循性测试”,针对各项管理措施有效性的检查,主要是对会计系统及控制程序在多大程度上连续有效地执行而进行的测试。进行此项测试的目的:一是为了查明各项控制措施是否真实地存在于业务经营和财务活动中;二是查明所有人员在实际执行过程中是否确实遵守了内部控制的规定;三是要查明内部控制本身是否发挥了作用,有无不完善和不合理之处。审计人员通常采用询问、观察、审查和重新执行等方法对各种控制措施进行测试,其中实地观察法是测试“职责分工”与“资产和记录实物控制”等控制措施的首选方法,证据检查法是对“授权与审批”、“充分的凭证和记录”、“内部检查”等控制措施测试的首选方法。而业务测试也称为“业务实质性测试”,可与控制点测试结合起来使用,业务测试通常是根据企业的业务循环划分成若干项目进行,并针对重要经济业务的各项手续和办理顺序进行检查,其目的是判明各业务处理过程是否遵循有关管理制度和其他控制措施。

在实施审计测试时,特别要抓住内部控制的三个重点:一是资金。测试被审计单位资金筹集、调度、使用、分配等是否实行了严格控制,以防资金体外循环;二是成本费用。测试被审计单位的各项成本费用支出是否实施了严格的监管,以防出现舞弊行为;三是权利使用。测试被审计单位各经营环节经济活动操作者的权利是否实施了有效监控,以防权利乱用,造成经济损失。

四、内部控制制度评价

对内部控制制度进行评价是基于对被审计单位内部控制制度进行了解、评估和测试后,对其在管理中有效性的评价。这个评价必须围绕被审计单位的管理情况进行评价。主要是对内部控制中具体问题,特别是差错、浪费、损失、非授权使用或滥用职权等敏感问题进行评价,找出失控的原因,提出相应的改进、补救措施。

对被审计单位内控制度的评价,应当与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。评价内容包括但不限于:

1、被审计单位组织结构中的职责分工的健全状况。

2、各项内部控制制度及相关措施是否健全、规范,是否与被审计单位内部的组织管理相吻合。

3、各项工作中的业务处理与记录程序是否规范、经济,其执行是否有效。

4、各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备。

5、各岗位的职权划分是否符合不相容岗位相互分离的原则,其职权履行是否得到有效控制。

6、是否有严格的岗位责任制度和奖惩制度。

7、关键控制点是否均有必要的控制措施,其措施是否有效执行。

8、内部控制制度在执行中受管理层的影响程度。

对被审计单位实施内控评价,包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

审计人员应当根据通过评估和测试获取与内部控制有效性相关的证据,判断相关控制设计与运行是否有效。评价内控的有效性应充分考虑以下因素:

1、是否针对风险设置了合理的细化控制目标;

2、是否针对细化控制目标设置了对应的控制活动;

3、相关控制活动是如何运行的;

4、相关控制活动是否得到了持续一致的运行;

5、实施相关控制活动的人员是否具备必需的权限和能力。

在内部控制评价中,应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。设计缺陷是只缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标;运行缺陷是指现存设计完好的控制没有按照设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

对于内部控制评价中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。存在下列情况之一,应当认定为内部控制存在设计或运行缺陷:

1、未实现规定的控制目标;

2、未执行规定的控制活动;

3、突破规定的权限;

4、不能及时提供控制运行有效的相关证据。

五、编写内部控制评价报告

审计人员依据对被审计单位内部控制制度评价的情况,向被审计单位出具内部控制评价报告,向其董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及需要采取的整改措施,并将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。

内部控制评价报告的编写目的。主要是说明内部控制程序是否符合国家有关规定,是否符合被审计单位管理方针和政策,是否满足被审计单位经营管理的需要,是否有利于被审计单位经营目标的实现,内部控制制度在运行中存在的漏洞或缺陷,改进的措施等。

评价报告应遵循的原则。一是客观性原则。客观性原则要求审计的评价必须是站在第三者的立场,依据被审计单位内部控制方面的可靠数据和客观事实,采取写实、量化的方法,实事求是地评价被审计单位的内部控制情况。二是针对性原则。针对性原则要求根据对被审计单位实施审计中发现的关键控制点出现的最容易出错、最薄弱的环节,有针对性的增加一些分析评价的内容,增大点评力度,已引起被审计单位的重视,促进整改、落实。三是准确性原则。准确性原则要求对被审计单位内控的评价要以实定论,好者言好,逊者言逊,做出观点鲜明、用词准确、措辞恰当,不能模棱两可或任意修饰。

结合内部控制的缺陷所出具的评价报告至少应当包括下列内容:

1、内部控制评价的目的和责任主体;

2、内部控制评价的内容和所依据的标准;

3、内部控制评价的程序和所采用的方法;

4、衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法;

5、被评估的内部控制整体目标是否有效的结论;

6、被评估的内部控制整体目标如果失效,存在的重大缺陷及其可能的影响;

7、造成重大缺陷的原因及其责任人;

8、所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施等。

以上内容可以根据被评估的整体目标的不同,其内容可以做适当调整。