浅析内部控制审计及其与信息技术融合论文.docx
7页
浅析内部控制审计及其与信息技术融合论文 内部控制自产生起就与审计有着紧密的联系无论是制度基础审计,还是风险导向审计, 对内部控制的测试与评价,都是审计的重要工作之一,并最终发展成为审计学科的一个重要分支———内部控制审计本文结合内部控制审计的特点,探索内部控制审计与信息技术深度融合的方法,是提高内部控制审计的效率与效果的有益尝试 一、内部控制审计概述 (一)内部控制审计 内部控制服务于组织的管理需求,其目标包括:合理保证外部法令与内部规章得到遵循; 促进经营方针与目标的实现;合理保证信息真实、完整,财务报告可靠内部控制体系由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素构成,诸要素协同作用,为三大目标的实现提供合理保证 随着企业面临的市场环境中风险日益增大,COSO 认为内部控制应该强化风险管理理念和意识,在2005 年10 月发布了《企业风险管理:整合框架》,对《内部控制:整合框架》进行更新,将其中的风险评估要素细化为事项识别、风险评估和风险应对三个要素,内部控制进入到一个全面风险管理的阶段 随着制度基础审计方法的推行,内部控制评价逐渐成为一项重要的审计程序和工作内容。
对内部控制进行测试评价,最终发展成为对内部控制进行审计,并进入制度化轨道 (二)内部控制审计的目标与作用 直接目标是鉴证内部控制的有效性并发表独立、客观、公正的鉴证信息;间接目标是促进企业内部控制的制度完善和执行有效实施内部控制审计既是《内部控制审计指引》等规范的外部要求,也是企业自身不断完善内部控制体系确保实现内部控制目标的内在需求 有学者以我国上市公司2007 年—2008 年内部控制审计报告为对象, 对内部控制审计动机、价值相关性及内部控制效率相关性进行检验,结果表明:内部控制审计能够提高资本运作效率和投资者的信心,降低企业发生法律诉讼、财务信息违规的概率和次数;强化内部控制审计有助于企业内部控制监管, 优化市场效率 二、内部控制审计的一般程序 内部控制审计有两种组织方式,单独立项审计和与其他审计项目整合审计内部控制审计的一般程序包括: 审计计划、审计实施、缺陷认定、审计报告等环节具体为: 合理的审计计划是保证内部控制审计项目质量的先决条件在此阶段应初步判断其内部控制的有效性,并参考以前年度对内部控制的测试评价结果,以之作为编制审计计划的依据 审计实施是内部控制审计的具体检查环节,一般采用自上而下的方法。
即先从财务报表层次分析错报的可能来源,从企业层面控制初步了解内部控制整体风险;然后有针对性地选择拟测试的企业层面、执行层面控制流程进行检查测试,获取审计证据,形成审计检查底稿 在完成企业层面与各执行层面控制流程的检查后,按照设计缺陷、运行缺陷、财务报告缺陷、非财务报告缺陷的不同类别,重大、重要、一般缺陷的不同程度等定性、定量的标准来评价认定检查中发现的内部控制缺陷 审计报告是内部控制审计最终结果的展示审计报告分为两种, 一种是标准内部控制审计报告,《内控审计指引》对标准内部控制审计报告的范式做出了详尽的要求, 包括标题、收件人、责任叙述、固有局限性说明、缺陷描述、内部控制审计意见等要素另一种是非标准内部控制审计报告,包括带强调事项段、否定意见、无法表示意见三种 三、内部控制审计的内容与方法 (一)内部控制审计内容 1、内部控制设计的合理性内部控制审计的对象是内部控制体系,应首先关注内控体系设计的合理性重点关注内部控制诸要素是否齐备, 诸要素相互关联的设计是否合理,控制流程的设计是否做到经济、合理、有效,能否达到控制目标这部分内容的审计应该贯穿始终,在检查各要素流程控制有效性的同时,关注其设计的合理性,最后在各个组成要素评价的基础上,对内部控制的整体设计能否合理保证控制目标的实现做出评价。
2、企业层面控制的有效性企业层面的控制涉及内部控制的诸多要素其内容包括企业管理层是否营造良好的内部环境,是否建立辨认、分析和管理相关风险的机制,将风险控制在可承受范围之内;企业是否进行持续的内部监督,包括日常监督和专项监督 3、执行层面运行的有效性检查评价执行层面运行的有效性是内部控制审计的重点具体内容包括所有确保管理层的指令得以执行的政策和程序,同时要关注各业务流程设置的合理性,检查业务流程的每一个控制点是否有效执行 (二)内部控制审计方法 内部控制审计抽取的样本以交易事项为主,一项交易通常是由交易主体、交易对象、交易辅助工具等构成的审计过程是找证据的过程, 获得的审计证据也表现为三种基本形式:人证、物证和书证一般而言,内部控制审计有四种基本审计方法:文本审阅法、实地观察法、询问法,还有一种是内部控制审计特有的穿行测试法 文本审阅法是最常用的审计方法,就是通过翻阅与原先的交易相关的文件、档案来了解交易原貌,获得书证,重点关注资料的真实性、完整性、有效性和协调性实地观察法是通过实地查看在交易中出现过的实物,来了解交易原貌,获得物证通过实地观察了解实物的存在性、权属性、完整性和足值性。
询问法就是通过与相关当事人对话,来发现新线索,澄清事实,补充、验证物证和书证,形成完备的证据链 穿行测试法在内部控制审计中运用最广,是检查评价内部控制设计及执行有效性必不可少的方法具体运用时选取在审计期间内已经完成全部控制流程的交易样本,检查或重新执行该交易样本的每一个控制环节在穿行测试过程中,同时运用文本查阅、询问、实地观察等方法,检查内部控制流程的全貌,对其设计和执行的有效性做出合理的评价 四、影响内部控制审计效率与效果的主要因素 (一)内部控制审计抽样的科学性 审计抽样是影响内部控制审计效率与效果的重要因素在当前的内部控制审计实务中, 审计抽样存在两种倾向:一是为追求审计“效果”而过度依赖经验判断抽样,经验丰富的审计人员凭借其职业经验,只要“抽取”较少的样本,就能够很快在其中“发现”差错样本;而对于经验一般的审计人员,抽取同样数量的样本却很难发现其中的差错样本适度运用职业经验进行审计抽样能够提高内部控制审计效果,但过度依赖经验判断抽样则缺乏科学性,会造成样本差错率高于统计概率平均值,不同经验的审计人员做同一内控流程的检查结果差异较大,无法对企业内部控制的有效性得出合理的评价,最终影响了内部控制审计效果。
二是为追求审计“效率”,简化抽样程序,忽视了不同企业的规模、业务类别及业务量的差异,简化抽取的样本并不能完全反映企业内部控制的实际情况实际上这两种倾向都不利于内部控制审计目标的实现,最终对内部控制审计的效率与效果造成负面影响要提高内部控制审计的效率与效果,必须依靠科学的审计抽样方法 审计抽样一般有统计抽样和非统计抽样两种,是否应用统计理论来评估样本总体特征,确定样本量是两者的根本区别对于一个既定的审计目标而言,统计抽样能够以较小的样本量实现相同的审计目标当然,统计抽样并不排除应用职业判断,相反,在设计抽样模型,选取抽样参数,确定抽样的总体,抽样的方式等方面需要采用职业判断 科学的审计抽样, 就是将经验抽样与统计抽样有机结合,形成程序化的抽样模式,对不同经验的审计人员,不同规模、类别的内部控制流程具有良好的适应性,在实施内控审计时得出的结论相对统一实践证明,设计合理,操作便捷,规范标准的程序化抽样方法,能够均衡提高内部控制审计效率与效果 (二)内部控制评审标准的一致性 内部控制评审的标准一般按照内部控制健全性、内部控制有效性及控制目标实现来分类建立健全性的评价标准包括合法合规性、不相容性与制衡性、成本效益与可操作性、适应性与相容性等标准;有效性评价标准包括各项业务的具体控制程序、措施,管理办法和奖惩制度;控制目标实现的标准则是量化评估内部控制在保证企业风险管理目标和企业战略目标的实现中所发挥的作用。
内部控制制度被广泛采纳后,其评审程序、内容逐渐标准化但由于评价标准内容多样,且包含定量和定性标准,保持标准的一致性仍是当前内控审计中存在的难点而在内部控制审计实务中,标准的一致性又往往不被重视,特别是对其中缺陷的认定,风险归类等定性标准部分,主观随意性较大,常常出现在不同时间、不同的审计人员对相同的审计事项采用不一样的审计评判标准的现象特别是对于大型的企业集团,下属分(子)公司较多,在对各分(子)公司同时进行的内部控制审计时, 各个审计组所把持的标准也具有差异,这样对两家内控执行有效性相似的分(子)公司进行审计时,可能会得出差异较大的评审结果 这种一致性差异还体现在企业内部控制日常管理部门与审计部门之间企业的内控管理部门的内控评价标准与审计部门的评审标准宽严度通常不一致,在审计实务中,审计的评审标准一般严于内控管理部门的标准,导致内控管理部门牵头的内部控制评审与审计部门牵头的内控评审结果会有较大差异,无法对企业的内部控制做出客观的评价结果评价标准的差异导致了检查评审的结果数据离散度高,不利于把握企业内部控制运行的准确状况以及变化趋势,影响了内部控制审计的实际效果 内控管理部门与审计部门共同建立内控审计评价标准数据库,将定量的标准表单化,定性的标准格式化,并同步更新是解决评审标准不一致的有效措施。
实施内部控制审计时,将检查结果与评价标准数据库对应取数,实现内部控制风险自动分类,缺陷自动计算,避免不同部门、不同时间、不同的审计人员对相同事项采取不同的评审标准,维持内部控制评审标准的一致性,确保对企业内部控制的有效性做出客观公正的评价,可有效提高内部控制审计效果 (三)内部控制审计成果应用的连续性 按照《内部控制审计指引》规范的要求,对企业的内部控制审计已经成为一个周期性持续实施的审计项目,对同一企业历年进行的内部控制审计成果整理分析,找出近年来该企业在内部控制实施过程中存在的薄弱环节和变化趋势,是编制内部控制审计计划,审计抽样参数设定的重要依据内部控制审计历史成果的连续运用, 可以合理确定审计范围,优化审计资源的配置,大大提高内部控制审计的效率 实际上审计成果应用的连续性体现在两个方面,除了纵向历史数据的延续应用,还有一种就是横向审计成果的实时借鉴利用这在大型企业集团对下属分(子)公司在同一时间段进行内部控制审计时,效果尤为突出内部控制审计成果包括最终成果和过程当中的阶段性成果,在企业集团对下属各个分(子)公司进行内控审计时,如果对其中一家分(子)公司的内控审计成果, 或者阶段性成果, 能够及时被其他分(子)公司的内部控制审计及时应用,能够有效提高审计的效率和效果。
比如在A 分公司的内控审计组发现这一年度,工程招投标控制业务流程执行的有效性存在异常,并形成检查底稿,B 分公司内控审计组能够实时关注这一审计结果,并利用这个结果及时修订内控审计实施方案的重点,调整抽样参数,关注相同业务是否存在相同问题,避免了错报样本的审计事项遗漏,有效提高大型企业集团内部控制审计的整体效果 在当前的内部控制审计实务中,内部控制审计成果应用的连续性没有受到应有的重视忽视对历史审计成果的应用,每一次内控审计都是“新”的开始;忽视对当期审计成果的应用,同时开展内部控制审计的各个审计组就像一座座信息孤岛,各自为战 建立内部控制审计信息平台,将离散的历史审计成果数据连续化,将点状的同期审计成果数据网络化,实现历史审计成果数据定期分析,当期审计成果数据实时共享,是提高内控审计效率与效果的有效方法 五、与信息技术融合的内部控制审计 (一)内部控制审计与信息技术融合的必要性 随着信息技术的迅猛发展,当前各企业使用的会计核算系统已实现电算化,而供应商管理、招投标管理、合同管理、OA 系统等企业管理信息系统, 特别是ERP 在各类企业广泛运用后, 大幅度提高了整个企业运行管理的环境信息化程度。
