内部控制审计的程序和方法
互联网 日期:2015-11-24
互联网 日期:2015-11-24
1 企业内部控制审计的程序
企业内部控制审计是内部审计的一部分,审计程序必须遵循内部审计工作规定,按照《内部审计工作实施办法》的要求,内部控制审计的主要程序如下。
1.1 制订审计项目计划
企业管理层作为内部控制评价的实施主体,在组织实施内部控制评价工作前应组织相关人员制订明确的工作方案,并经相关权力机构批准后予以实施。工作方案要包括内部控制评价的组织实施机构、实施步骤、费用预案、评价方法等。
1.2 审计项目立项
第一,审计项目实施前应调查了解被审计单位的基本情况,重点掌握被审单位管理层和业务流程方面的内部控制,包括控制环境(管理模式、组织结构、责权配置、人力资源制度等);风险评估(确定被审计单位、分析与实现内部控制目标相关的风险及采取的应对措施);控制活动(根据风险评估结果采取的控制措施,包括不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等);信息与沟通(收集、处理、传递与内部控制相关的信息,并能有效沟通的情况);对控制的监督(对各项内部控制设计、职责及其履行情况的监督检查)。第二,制订审计方案,根据了解被审单位的基本情况制订审计方案。实施审计3日前,应当向被审计单位发审计通知书。第三,根据审计工作计划、审计方案,下达审计任务书,确定审计方式、范围、内容、步骤和时间,明确审计小组分工。
1.3 实施阶段
一是实施准备。审计人员一般采取就地审计,被审单位应上报相关资料,包括所有建立的内部控制制度、手册、内控流程、图表、审计前其他审计机构的审计报告等资料、内部控制制度自查评价总结等。进行审计公示,根据现场情况制定审计实施方案。二是测试并进行查证核实。对样本进行测试(测试的内容包括为确定相关内部控制制度是否有效运行的穿行测试和企业内部控制实际运行情况的测试工作),对审计中发现的问题要认真做好审计查证、取证、核实工作。三是审计报告。审计结束后审计组提出审计报告,评价测试结果,对发现的违纪违规问题提出处理处罚建议,征求被审计单位或人员的意见后,提交单位负责人审定,形成审计报告并作出审计决定。
2 企业内部控制审计的方法
2.1 进行风险评价
企业组织实施内部控制评价,应评估公司整体内部控制目标以确定主要风险控制点,并判断企业是否适应规避风险的需要,从而设立有效的控制措施。如公司在设定可能由财务报告重大缺陷造成财务重大错报风险时,应充分考虑大额应收账款的控制程序、重大资本性支付的控制等,在此基础上为内部控制测试工作提供参考。风险评估本身就隐含着很大的风险,需要很强的专业判断。
2.2 询问调查法
询问调查法又称直接调查法,是由审计人员事先拟定调查提纲,以询问为手段,请被调查者回答相关问题以搜集资料和获取信息的调查方法。询问调查法在实际应用中,按传递询问内容的方式及调查者与被调查者接触方式的不同,有座谈会调查、个别面谈调查、电话调查、邮寄调查等方法。通过询问被审计单位的有关人员,了解他们对相关制度、流程的理解和操作情况,从而了解被审计单位内部控制制度和流程的执行情况。
2.3 对内部控制进行查阅
查阅法是审计人员对现有各种资料进行审查、阅读,通过对已发生业务的记录及相关资料的完整性、协调性、真实性、有效性的审查,掌握和认定被审计单位情况的方法。查阅法首先看资料的完整性,即看办理该笔业务应具备的文件是否都齐备;第二看资料的协调性,即看各项资料相互之间是否一致、是否有突兀感、能否相互印证;第三看资料的真实性,即看重要文件是否真实,有无伪造、变造;第四看资料的有效性(内含合法性),即看重要文件是否有法定效力。
2.4 观察内部控制运行情况
观察被审计单位的业务活动和内部控制的运行情况。审计人员亲临被审计单位的工作现场,实地观察有关人员的实际工作情况和已发生业务活动的运行结果,以确定该项业务活动的真实性及执行程度。通过盘点现场库存物资、产品实物,勘察现场记录等方式了解被审计单位的内部控制运行情况。观察法一察真实性,通过工作观察工作现场的业务活动是否真实发生及其处理过程是否依内部控制规定执行;二察存在性,往往需要盘点现有实物,结合记录看交易涉及的实物是否存在,账实是否相符;三察完整性,就是看交易所涉及的实物是否保持完好,有没有自然损毁和人为破坏;四察足值性,就是看所观察的实物是否贬值,是否是长期积压的报废物资。完整性主要看实物的使用(物理)状态,足值性主要看实物的价值状态;五察权属性,就是察看交易涉及的实物归谁所有,所观察实物的所有权是否归被审计单位所有,是否是代管物资或通过销售产权已经转移尚未出库的物资。
2.5 穿行测试法
《企业内部控制审计指引》将穿行测试定义为追踪某笔交易从发生到最终反映在财务报表中的整个过程。笔者认为,企业的内部控制审计穿行测试应定义为追踪某项事务从发生到最终结束的整个过程。这也是企业内部控制审计的常用方法。因企业发生的业务较多,测试内部控制运行是否有效,通常采取抽样的方法,样本规模取决于各项控制活动发生的频率。
企业内部控制审计是内部审计的一部分,审计程序必须遵循内部审计工作规定,按照《内部审计工作实施办法》的要求,内部控制审计的主要程序如下。
1.1 制订审计项目计划
企业管理层作为内部控制评价的实施主体,在组织实施内部控制评价工作前应组织相关人员制订明确的工作方案,并经相关权力机构批准后予以实施。工作方案要包括内部控制评价的组织实施机构、实施步骤、费用预案、评价方法等。
1.2 审计项目立项
第一,审计项目实施前应调查了解被审计单位的基本情况,重点掌握被审单位管理层和业务流程方面的内部控制,包括控制环境(管理模式、组织结构、责权配置、人力资源制度等);风险评估(确定被审计单位、分析与实现内部控制目标相关的风险及采取的应对措施);控制活动(根据风险评估结果采取的控制措施,包括不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等);信息与沟通(收集、处理、传递与内部控制相关的信息,并能有效沟通的情况);对控制的监督(对各项内部控制设计、职责及其履行情况的监督检查)。第二,制订审计方案,根据了解被审单位的基本情况制订审计方案。实施审计3日前,应当向被审计单位发审计通知书。第三,根据审计工作计划、审计方案,下达审计任务书,确定审计方式、范围、内容、步骤和时间,明确审计小组分工。
1.3 实施阶段
一是实施准备。审计人员一般采取就地审计,被审单位应上报相关资料,包括所有建立的内部控制制度、手册、内控流程、图表、审计前其他审计机构的审计报告等资料、内部控制制度自查评价总结等。进行审计公示,根据现场情况制定审计实施方案。二是测试并进行查证核实。对样本进行测试(测试的内容包括为确定相关内部控制制度是否有效运行的穿行测试和企业内部控制实际运行情况的测试工作),对审计中发现的问题要认真做好审计查证、取证、核实工作。三是审计报告。审计结束后审计组提出审计报告,评价测试结果,对发现的违纪违规问题提出处理处罚建议,征求被审计单位或人员的意见后,提交单位负责人审定,形成审计报告并作出审计决定。
2 企业内部控制审计的方法
2.1 进行风险评价
企业组织实施内部控制评价,应评估公司整体内部控制目标以确定主要风险控制点,并判断企业是否适应规避风险的需要,从而设立有效的控制措施。如公司在设定可能由财务报告重大缺陷造成财务重大错报风险时,应充分考虑大额应收账款的控制程序、重大资本性支付的控制等,在此基础上为内部控制测试工作提供参考。风险评估本身就隐含着很大的风险,需要很强的专业判断。
2.2 询问调查法
询问调查法又称直接调查法,是由审计人员事先拟定调查提纲,以询问为手段,请被调查者回答相关问题以搜集资料和获取信息的调查方法。询问调查法在实际应用中,按传递询问内容的方式及调查者与被调查者接触方式的不同,有座谈会调查、个别面谈调查、电话调查、邮寄调查等方法。通过询问被审计单位的有关人员,了解他们对相关制度、流程的理解和操作情况,从而了解被审计单位内部控制制度和流程的执行情况。
2.3 对内部控制进行查阅
查阅法是审计人员对现有各种资料进行审查、阅读,通过对已发生业务的记录及相关资料的完整性、协调性、真实性、有效性的审查,掌握和认定被审计单位情况的方法。查阅法首先看资料的完整性,即看办理该笔业务应具备的文件是否都齐备;第二看资料的协调性,即看各项资料相互之间是否一致、是否有突兀感、能否相互印证;第三看资料的真实性,即看重要文件是否真实,有无伪造、变造;第四看资料的有效性(内含合法性),即看重要文件是否有法定效力。
2.4 观察内部控制运行情况
观察被审计单位的业务活动和内部控制的运行情况。审计人员亲临被审计单位的工作现场,实地观察有关人员的实际工作情况和已发生业务活动的运行结果,以确定该项业务活动的真实性及执行程度。通过盘点现场库存物资、产品实物,勘察现场记录等方式了解被审计单位的内部控制运行情况。观察法一察真实性,通过工作观察工作现场的业务活动是否真实发生及其处理过程是否依内部控制规定执行;二察存在性,往往需要盘点现有实物,结合记录看交易涉及的实物是否存在,账实是否相符;三察完整性,就是看交易所涉及的实物是否保持完好,有没有自然损毁和人为破坏;四察足值性,就是看所观察的实物是否贬值,是否是长期积压的报废物资。完整性主要看实物的使用(物理)状态,足值性主要看实物的价值状态;五察权属性,就是察看交易涉及的实物归谁所有,所观察实物的所有权是否归被审计单位所有,是否是代管物资或通过销售产权已经转移尚未出库的物资。
2.5 穿行测试法
《企业内部控制审计指引》将穿行测试定义为追踪某笔交易从发生到最终反映在财务报表中的整个过程。笔者认为,企业的内部控制审计穿行测试应定义为追踪某项事务从发生到最终结束的整个过程。这也是企业内部控制审计的常用方法。因企业发生的业务较多,测试内部控制运行是否有效,通常采取抽样的方法,样本规模取决于各项控制活动发生的频率。