第一篇:关于利用信息技术建立内部控制审计体系的思考
关于利用信息技术建立内部控制审计体系的思考
摘要:推进审计信息化建设是信息化环境下提升内部审计工作效率的必然选择。设计、执行和维护有效的内部控制,并评价其有效性是公司董事会等高级管理层的责任。文章以企业内部审计信息化、内部控制自我评价和报告工作为背景,阐述内部控制审计与内部控制、内部控制审计与信息系统审计的区别与联系,并结合作者所在单位在内部控制审计信息化建设中的实践经验,提出建立信息技术内部控制审计体系的建议。
关键词:信息技术;内部控制;内部控制审计;信息系统审计
一、背景
信息技术的快速发展及广泛使用,在促进企业经济效益增长和技术进步的同时,也给企业和广大投资者带来了更大的风险,安然、世通、施乐等公司重大财务舞弊案件的曝光,使得内部控制审计越来越多地受到国内外学者和内部控制审计工作者的重视。虽然自1991年开始,美国反舞弊性财务报告委员会发起组织(简单COSO委员会)就进行了关于内部控制的研究,但直到2002年,由参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出的以“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”为宗旨的《萨班斯-奥克斯利法案》的出台才推动了内部控制审计工作的发展,SOX法案中指出“公司管理层要对本企业的内部控制进行评价,注册会计师要对被审计单位内部控制的有效性进行审计并发表意见。”SOX法案的颁布与实施在一定程度上提高了大股东及广大中小投资者的信心,与此同时,欧盟、英国等国家也对各自的资本市场监管法规进行了修订。在国内,1999年修订的《会计法》第一次从立法的角度对企业建立内部控制进行了要求。随后,为了提高会计信息质量、保护资产的安全完整、确保有关法律法规和规章制度的贯彻执行等,财政部规定从2001年6月起所有公司均应建立健全和有效实施本单位的内部会计控制体系,并制定了《内部会计控制规范》基本规范及货币资金等7项内部会计控制规范。2006年在全球内部控制审计大热潮的推动下,由财政部等5部委联合发起成立的“企业内部控制标准委员会”先后出台了《企业内部控制基本规范》、《企业内部控制配套指引》等文件,上海和深圳证券交易所也分别颁布了《上市公司内部控制指引》,根据相关文件和制度要求,上市公司要对本企业的内部控制进行评价,形成的内部控制自我评价报告与公司年度财务报表一同对外披露。同时,要求自2011年1月1日起我国境内外同时上市的公司开始实施企业内部控制审计指引,2012年1月1日起施行范围扩大至沪深交易所的主板上市公司。由此可见,在理论与实务方面,美欧等国家要早于我国,对我国企业内部控制审计的实践具有一定的指导借鉴作用,但由于国内企业大多对内部控制审计认识不到位,因而在实务中仍存在很多问题,如内部控制审计机构不独立、审计人员专业胜任能力不足等。同时,伴随信息技术在企业各领域的广泛使用,“触手可见”的审计资料越来越少,因此,如何利用信息技术开展内部控制审计工作意义重大。
本文以企业内部控制审计管理工作实践为视角,对笔者所在企业在利用信息技术建立内部控制审计体系中的做法和困难进行分析,并对如何更好的建立信息技术内部控制审计体系提出建议。
二、内部控制审计及相关理论辨析
(一)内部控制审计与内部控制的涵义与区别
对于内部控制的涵义,1949年美国会计师协会(AICPA)曾将其界定为“企业为保护资产完整、会计信息准确、提高经营效率及制度执行而制定的方法与措施”。1992年COSO委员会在《内部控制-整体框架》(Internal Control-Integrated Framework)中指出“内部控制是指由企业董事会、经理层和员工设计并执行,旨为特定目标实现提供合理保证的过程。目标具体包括财务报告真实可靠、企业合法合规经营、经营的效率和效果。”综上,内部控制是企业自我监督的重要手段,是企业各个业务流程的操作规范,目的在于提高经营管理水平。
内部控制审计是对内部控制的再控制,是评价、监督被审计单位内部控制设计及执行有效性的过程,实践中又分为注册会计师视角下的内部控制审计和企业内部管理视角下的内部控制审计。其中,注册会计师视角下的内部控制审计是指注册会计师接受被审计单位董事会委托对被审计单位内部控制的设计与运行有效性进行审计并发表审计意见的过程,目前我国的上市公司均需按照《企业内部控制审计指引》的要求聘请注册会计师进行内部控制审计;基于企业内部管理视角下的内部控制审计,其实质是属于企业的一种自我评价活动,由企业内部人员(内部审计人员及业务流程负责人)进行的自我测试、审计,目的在于发现并整改内控执行缺陷,促进公司内部管控水平提升。
可见,内部控制与内部控制审计两者在职能和目标上是不同的。
(二)内部控制审计与信息系统审计
根据国际信息系统审计与控制协会(ISACA)的定义,信息系统审计是“搜集并评价审计证据的过程,以判断信息系统是否能够有效保证资产安全、数据完整及高效地使用组织资源实现被审计单位的目标。”从ISACA对信息系统审计内容的规定来看,信息系统审计包括信息系统建设生命周期管理、信息资产保护、灾难恢复计划等;从信息系统审计工作实践上来看,信息系统审计包括信息安全审计、软硬件管理审计等。而在传统内部控制审计工作中,审计人员一方面需要对信息系统进行一般控制审计与应用控制审计,以判断支持企业日常工作的信息系统是否安全并得到有效控制,另一方面还需要运用计算机辅助审计技术,以高效地分析、处理和验证从各个系统中获取的数据。
可见,虽然两者均属于审计,但是属于两种不同类型的工作。
三、构建信息技术内部控制审计体系的探索与实践
伴随着公司信息化进程的不断发展,信息系统遍布公司的各个业务流程,为了促进公司提高内部控制管理水平,公司管理层十分重视对各业务领域的审计项目开展。在此背景下,公司利用信息技术进行内部控制审计的工作得到极大的支持,并形成了以“内部控制审计系统”为中心的信息技术内部控制审计体系,具体内容包括内部控制审计系统、持续审计系统及计算机辅助审计。
(一)构建实时的全过程内部控制审计监督体系,发挥内部审计免疫系统功能
1.内部控制审计系统的开发背景
作为境外上市公司,相对于国内其它公司而言,公司较早的执行了COSO内部控制基本规范,为了确保公司内部控制的设计有效,公司对各领域进行了流程划分及流程控制点细分,并按照国家法律法规、公司业务规范等要求对各控制点的操作流程等进行描述,经过不断修订形成了较为完善的内部控制矩阵,该矩阵的构建为公司内部控制审计系统的建设提供了基础。然而,完善的内部控制制度体系离不开公司上下的一贯执行,由于公司业务繁多,如何实时的对内部控制的执行有效性进行评价成了难点。因此,公司以控制点为单元,按照各控制点的发生频率及涉及单位下发样本采集工单,通过将内部控制矩阵固化到系统中的方式来实现对各控制点执行的有效性进行准时实时监督的目的。
2.利用内部控制审计系统开展内部控制测试的工作程序及方法
与外部审计人员开展内部控制测试类似,利用内部控制审计系统开展内部控制测试工作也需要先对控制点描述的准确性进行检验,即通过查阅资料、访谈等审计手段确认当前的内部控制程序是否能够对重大差错、风险的发生起到防范作用,并且是否与当前的实际情况相符;并在内部控制设计有效性得到认可的情况下,通过进行穿行测试等来判断某一业务是否按照内部控制要求的程序得到一贯的执行,也可通过审阅已完成业务的过程记录、函证、观察、访谈等方式确定内部控制是否执行有效。
3.内部控制审计系统运行中的难点及成效
在利用内部控制审计系统开展内控测试的过程中,可根据审计目的的不同划分为对关键控制点的测试和对所有控制点的全面测试。但无论哪种测试,都需要测试人员及控制点责任人员配合完成,配合的效果直接影响测试结论的准确性。另一方面,由于系统中测试样本提供的人为性、随意性,在对某一控制点的缺陷认定方面存在一些困难。尽管如此,内部控制审计系统不但满足了审计人员开展非现场审计及审计资料共享的要求,也通过系统交办、承办、反馈等环节,实现了部门间对内部控制有效执行的整体推进,同时,内部控制审计系统的测试结论也为公司内部控制自我评价提供重要依据。
(二)推动审计部门与其他部门间信息交换,实现持续审计监督服务
1.持续审计系统的产生
根据管理层的关注重点及业务部门的审计需求开展各类审计工作是公司内部审计机构的职责,但针对某一高风险领域如何进行持续的审计监督,成为审计实践中亟待解决的问题。此外,为了研究审计发现问题产生的原因及更有效的发现问题,需要对大量的原始数据进行调取,数据分析与建模也被更多地应用于审计程序中。经过对实践工作进行总结,公司通过将数据获取、数据分析、审计发现及报告等系统化,实现了对某些领域的持续审计系统监督。
2.信息系统持续审计中的难点及成效
由于利用信息技术开展持续审计工作可实现对审计发现问题及审计报告的自动生成功能,因此,内部审计机构的工作重点更多的是利用审计报告结果发现问题突出的单位并向管理层报告,同时,持续的与业务部门就审计发现问题进行沟通确认也成了工作难点。但信息技术的融入对内部审计工作效率的提高及非现场审计目标的实现起到了极大的促进作用。
(三)运用计算机审计工具,有效提升审计效率
同国内大多数企业一样,公司在利用计算机执行和完成某些审计程序和任务的过程中,并未利用专门的辅助审计软件进行项目审计,主要是在审计业务中利用电子表格、数据库及字处理软件等帮助审计人员计算、复算、复核、分析审计数据,以节约审计时间、增加准确性。这也是公司在各项目开展中使用最为广泛的审计手段之一。
四、建立信息技术内部控制审计体系的建议
(一)做好内部控制审计信息化建设的整体布局,提高系统的开放性和可拓展性
内部控制审计信息化建设是公司信息化发展的重要组成部分,认真做好审计信息化建设的规划及组织实施可避免信息化建设发展不均衡、低水平重复建设等诸多问题。此外,由于多数公司信息系统的数据口径各不相同,增强电子数据的通用性和规范性,建立与之相适应的数据采集转换接口,对提高系统的适用性意义重大。
(二)建立内部控制审计信息化标准,提高利用信息技术进行内部控制审计工作的规范性
内部控制审计信息化在促进内部控制行为规范的同时,也须对内部控制审计系统的设计与开发、运行与维护、审计程序及审计证据的搜集与使用、审计人员应具备的资格等方面做出明确规定,并在建设和实践的相互作用中,不断完善信息化技术内部控制审计理论。
(三)拓宽信息化人才培养渠道,提高内部审计人员整体信息化素质
其一,引入一些既熟悉信息技术又精通审计的复合型人才到内部审计队伍中,补充信息化审计人才缺口。其二,有针对性地开展各种业务培训,促进现有内部审计人员更好地掌握信息化环境下的现代审计技术和方法。其三,加强部门间横向交流,特别是与信息专业人才的交流,通过实践锻炼、借调、交流,不断提升内部审计人员的计算机审计开发与运用水平。
参考文献:
[1]闫梦然.我国企业内部控制审计问题研究[D].财政部财政科学研究所,2013.[2]张海霞.企业内部控制审计研究[D].山西财经大学,2012.[3]叶常青、仇栋良、于铁军、李勉、陈伟波、丁朝霞.基于数据挖掘、联网审计和在线审计的内部审计信息化建设―来自广州市公安局内部审计信息化建设的实践[J].全国内部审计理论研讨优秀论文集,2013.[4]陈冬梅、刘彦军、王红霞、裴浩帆、张国刚、王晓辉、李兵、潘国辉.企业内部审计信息化建设研究[J].全国内部审计理论研讨优秀论文集,2013.[5]焦学文.证券公司内部审计信息化发展现状及趋势[J].审计与理财,2014(05).[6]李晟璐.高校会计信息系统内部控制体系构建[J].财会通讯,2015(35).[7]张瑕.基于注册会计师视角的内部控制审计问题研究[D].安徽财经大学,2013.(作者单位:中国移动通信集团内蒙古有限公司)
第二篇:内部控制审计(定稿)
关于……公司的审计报告
(一)审计概况:为了……,我们对公司……进行了专项审计,旨在自我评价,完善公司内部控制及财务核算,使之符合相关法规准则及公司内控制度的要求。我们的审计目标是测试……内部控制方面是否存在漏洞,各关键控制点在实务工作中是否得到有效执行。审计涉及的期间是20 年 月 日至20 年 月 日。审核的范围包括……等方面。
第三篇:建立和完善内部控制制度的思考
建立和完善内部控制制度的思考
众所周知,红极一时的亚细亚集团曾因其在经营和管理上的创新创造了一个平凡而奇特的现象——“亚细亚现象”。来自全国30多个省市的近200个大中城市的党政领导、商界要员来到亚细亚参观。并且亚细亚商场自1989年5月开业以来,仅7个月就实现销售9000万元,1990年达1.86亿元,实现税利1315万元,一年就跨入全国50家大型商场行列,到1995年,销售额一直呈增长趋势,1995年达4.8亿元。然而,1998年8月15日,郑亚商场悄然关门!面对这残酷的事实,人们众说纷纭。笔者认为,导致亚细亚倒闭的原因是多方面的,而其内部控制的极端薄弱是促成其倒闭的主要原因之
一。下面我们对亚细亚内部控制进行系统,从而引发在我国建立和完善内部控制的思考。
(一)控制环境失败
控制环境是对建立、加强或削弱特定政策程序及其效率产生的各种因素,具体包括企业的董事会,企业管理人员的品行、操守、价值观、素质与能力,管理人员的管理与经营观念,企业文化,企业各项规章制度,信息沟通体系等。企业控制环境决定其他控制要素能否发挥作用,是内部控制其他要素发挥作用的基础,直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现,是企业内部控制的核心。据悉,在郑亚集团内部,董事会一直处于瘫痪状态,注册于1993年10月的郑亚集团公司直到1995年6月才最后确定董事会。在近两年时间内,集团公司决策层一直处于不断演变的状态之中,没有按章程规范运作,董事会从未召集董事们就重大决策进行过表决,凡事都由总经理一人拍板。在人事政策上,以貌取人、随意用人、任人唯亲、排斥异己的现象屡见不鲜。过于乐观、自信、想当然的管理层一手遮天,缺乏必要的监督和控制,使郑亚集团的经营隐患重重。
(二)风险意识不强
我们来看看原郑亚集团总经理王某在谈到对风险的认识时是怎么说的,“对市场认识不足,对形势认识不足”。“在我们前进的过程中,不但遇到了国内商业同行的压力,而且国外零售业的大举进入也给我们造成了很大的冲击,导致我们认为较先进的经营模式一下子就被冲得体无完肤。”“面对零售业艰难的状况,我们的应变能力差,整个经营进入死胡同,最后到了山穷水尽的地步。”“抗风险能力差,一遇事阵脚就乱了。”不难看出,在郑亚集团管理层的思想中缺乏风险概念,没有设置风险管理机制,因此,抗险能力极低。
(三)缺乏适当的控制活动
郑亚集团运作中几乎不存在控制活动,或者即使存在所谓的政策和程序,也是名存实亡。且看一组数据:亚细亚一年一度的场庆花费都超过70万元;集团某股东从郑亚商场借出800万元,连借条也没有,后来归还300万元,剩余500万元商场账面和收据显示是工程款。郑亚集团的控制活动若此,何以确保管理层的指令得以实现?
(四)信息沟通不顺畅
一个良好的信息与沟通系统有助于提高内部控制的效率和效果。在郑亚集团内部,信息沟通几乎不存在。据称,集团内部一不需要成本信息,二不投资回收期及投资回报率,三不收集市场方面的信息。信息系统由管理层随意控制,资金被大量挪用,却不知去向何方。在郑亚集团,信息系统已经不再是一个管理和控制的工具,而是上层管理者的话筒,信息随其意愿而变。
(五)内部监督缺乏
在亚细亚,自开业以来,没有进行过一次全面彻底的审计。偶尔的局部的内部审计中曾发现几笔几百万元资金被转移出去的事,后来也不了了之。任何事情都是总经理说了算,属下当然包括内部审计人员在内,全无发言权,可见内部控制极度缺乏是既成事实。
在亚细亚,内部控制的各要素皆存在,最终必然走向倒闭。在知识环境下,如何建立适合本单位的内部控制体系,是企业发展面临的主要难题之一,下面从内部控制的方式入手来谈谈如何建立和实施内部控制。
(一)实施内部控制的方式
通常情况下,一个单位要实行内部控制,重点应当在组织结构及职责分工、授权批准、会计记录、资产保护、职工素质、预算管理和报告制度等主要环节组织实施,同时还要通过强化外部会计监督对企业施加压力,从而使内部控制最有效地发挥作用。
1.组织结构控制
根据内部控制的要求,单位在确定和完善组织结构的过程中,应当遵循不相容职务分离的原则。单位的经济活动通常可以划分为五个步骤,即:授权、签发、核准、执行和记录。一般情况下,如果上述每一步骤由相对独立的人员(或部门)实施,就能够保证不相容职务的分离,便于内部控制作用的发挥。郑亚集团内部组织结构混乱,总经理一手遮天,董事会形同虚设,最高决策机构、监督机构几乎瘫痪,决定了其走向没落的命运,而公司制企业应该如何改进和完善组织机构控制呢?《中共中央关于加强国有企业改革和发展若干重大问题的决定》指出,公司制是现代企业制度的一种有效组织形式。公司法人治理结构是公司制的核心,要明确股东会、董事会、监事会和经理层的职责,形成各负其责、协调运转、有效制衡的法人治理结构。
2.授权批准控制
授权批准是指单位在处理经济业务时,必须经授权批准以进行控制。在公司制企业中,一般由股东会授权给董事会,然后再由董事会授予企业的总经理和有关管理人员。企业每一层的管理人员既是上级管理人员的授权客体,又是对下级管理人员授权的主体。因为企业的经济业务既涉及企业与外单位之间资产与劳务的交换,也包括企业内部资产和劳务的转移和使用。因此,每笔经济业务都有一系列内部相互联系的授权批准程
序。案例中,郑亚集团在处理经济业务时,实行总经理“一支笔”审批的做法。许多理应经董事会讨论通过的事项,如冠名权,却只要总经理签字同意,别人就可以建个“亚细亚”。实践证明,权利要受到制约,失去制约的权利极易导致腐败。因此,各项工作人员必须在获得批准和授权后,方能执行或处理,绝不能超越权限去处理不属于自己职权范围内的事项,比如非出纳人员不能收付货币资金,非采购人员不能办理采购业务等。
3.会计记录控制
会计记录控制的要求是保证会计信息反映及时、完整、准确、合法。在实际工作中,要严格遵照会计制度要求,从会计人员岗位责任制开始,对会计人员进行的分工,使之相互分离和制约;并对会计凭证进行编号,防止经济业务的遗漏、重复,并可根据连续编号的凭证是否缺号,揭示某些弊端和问题;记账方式要采取复式记账并进行科学的凭证传递程序,每一笔经济业务不仅要记入总账,而且要记入相关的明细账,实行平行登记。这种方式要求对每种经济业务的处理程序和手续制定出标准化模式,形成各环节之间步步核查、环环监督的格局,以便及时发现差错和弊端,加以处理。
4.资产保护控制
广义的资产保护控制可以包括对实物的采购、保管、发货及销售等各个环节进行控制。而狭义的资产保护控制主要包括接近控制、定期盘点控制等,案例中,郑亚集团由于缺乏适当的控制措施,集团股东从商场借钱,无人催要,当账面余额不平时,便巧立名目,人为抹平,导致资产严重流失。在实际工作中,现金、银行存款、其他货币资金、有价证券和存货等变现能力较强的资产必须限制无关人员直接接触,货币资金的收支管理只能限于特定的出纳员,支票等重要票据的签发,必须是单位指定的负责人,存货的实物保护可以有专职的仓库保管员控制,对一些特殊的存货还应采取一些必要的其他保护措施,达到保护单位资产的安全完整,防止资产流失的目的。
5.职工素质控制
职工素质控制包括单位在招聘、使用、培养、奖惩等方面对职工素质进行控制。招聘是保证单位的职工应有素质的重要环节,单位的人事部门和用人部门应共同对应聘人员的素质、水平、能力等有关情况进行全面的测试、调查、使用,以确保受聘人员能够适应工作的要求。同时注重人力资源的合理配置,打破平均主义的分配制度,推行优胜劣汰的市场机制,还要实行良好的管理方式,充分调动劳动者的积极性,使充满生机和活力。郑亚集团任人唯亲,排除异己,不尊重作为人力资源载体的职工的心理需求,令不行禁不止,也是其失败的原因之一。
6.预算控制
预算控制是内部控制的一个重要方面。它的可以涵盖单位经营活动的全过程,包括筹资、融资、采购、生产、销售、投资、管理等诸多方面。也可以就某些方面实行预算控制。在实际工作中,预算编制不论采用自上而下或自下而上的方式,其决策权都应落在内部管理最高层,由这一权威层次进行决策、指挥与协调。预算的执行层由各预算单
位组织实施,并辅之以对等的权、责、利关系。由内部审计部门负责监督预算的执行。各单位要通过预算的编制和实施,检查预算的执行情况,对内部各单位未完成预算的原因进行比较,对未完成预算的不良后果采取改进措施。
7.风险控制
风险一般是指某一行动的结果具有变动性。风险控制就是尽可能地防止和避免出现不利的结果。风险分为来自生产经营方面的经营风险和举债带来的财务风险。由于原材料供应地的情况变动,运输路线改变,原材料价格变动,新材料、新设备的出现等因素带来的供应方面的风险,以及由于产品生产方向不对头,产品更新时期掌握不好,生产质量不合格,新产品、新技术开发试验不成功等因素带来的风险是经营风险,所有这些生产经营方面的不确定性,都会引起企业的利润或利润率的高低变化,从而给企业带来风险。企业息税前资金利润率和借入资金利息率的差额具有不确定性,从而引起自有资金利润率的高低变化,这种风险即为财务风险。单位要牢牢树立风险意识,对市场和形势谨慎估计,并能随着国内外经济环境和形势的变化转换经营方式和理念,设置风险管理机制,比如,对财务风险的控制,关键是要保证有一个合理的资金结构,维持适当的负债水平,既要充分利用举债经营这一手段获取财务杠杆收益,提高自有资金盈利能力,同时要注意防止过度举债而引起财务风险的加大,避免陷入财务困境。
(二)强化内部控制的宏观政策
强化企业内部控制,关键在于管理者是否有动力和压力。从内部来说,是经营管理者有搞好监督的内在需求,从外部来说,通过强化外部会计监督对企业施加压力。促使内部控制最有效的发挥作用。
1.加快经济体制改革的步伐,建立产权清晰、代理关系明确的公司法人治理结构。充分发挥股东大会、董事会、监事会对经营管理者的监督效力,使所有者监督到位。在这种情况下,经营者为适当的履行职责,避免被解聘,客观上需要依据真实可靠的会计信息进行决策而不是主观臆断,需要依赖会计采取有效的手段对企业生产经营活动进行协调、监督,这样就能使内部控制成为企业的内部需求,自发行动。
2.加大《会计法》的执法力度。新修订的《会计法》明确了单位负责人是会计责任主体,要切实履行赋予的职责,不断提高执行财经法纪法规的自觉性,带头执法,维护国家财经纪律,切实加强对本单位会计工作的领导,完善内部会计监督制度。单位负责人应当支持、保证会计机构和会计人员依法履行职责,保障会计人员的合法权益,在单位内部为会计人员实行有效监督创造一个良好的工作环境;财政部门作为会计工作的主管部门和执法监督部门要加大执法力度,完善与《会计法》相配套的有关法规制度建设,加强对会计工作的监督检查,依法查处会计工作中的违法违纪行为,维护国家法律的尊严。
3.协调运作国家监督方式,使其形成监督合力。我国国家监督的方式很多,包括财政、审计、税务、人民银行、证券监管、保险监督等,但监督效果却不理想,原因是各种监督的功能交叉,标准不一,加之分散管理缺乏横向信息沟通,未能形成有效的监督合力。因此,新《会计法》规定上述监督检查部门在对有关单位的会计资料依法实施
监督检查后,应当出具检查结论。有关监督检查部门已经做出的检查结论能够满足其他监察部门履行职责需要的,其他监察部门应当加以利用,避免重复查账,从而提高外部监督的质量,节约资源。
4.加强社会监督,提高注册会计师审计的质量。注册会计师在整顿会计工作秩序、规范和加强会计工作、保证会计信息质量方面具有举足轻重的作用,注册会计师在执行审计业务时,要坚持独立、客观、公正的原则,促使单位加强内部控制,提供真实、完整的会计信息,做好“经济警察”的监督作用。
5.改革会计人员管理体制。会计部门是企业的内部管理机构,会计人员应当回归企业。应当建立一种会计资源社会管理,企业聘用会计的管理体制。会计人员的任职资格已通过会计证由政府部门进行了认定。另外,还应成立类似会计行业协会的自律性组织,由行业协会进行全社会会计资源管理,利用机建立全国会计人员档案信息库,实行全社会会计人员档案的统一管理,这样,就形成了一个全国统一的会计市场,用人单位和会计人员可进行双向选择,如此,将会促进会计人员提高整体专业技术水平和遵守道德规范,提高会计工作质量。
6.充分运用现代化高手段。指纹识别、密码校验是诸单位实施各岗位授权批准控制的新,重大的筹资行为、投资决策、大额资金收付等业务人员均要经过授权批准,方可进行处理。实施网络内部控制是我国许多单位普遍于内部控制的有效方式。在货币资金的收付、存货保管、购销等业务实施各岗位间横向与纵向的相互牵制,从而预防发生错误和舞弊。
第四篇:内部控制审计实施办法
****分公司 内部控制审计实施办法
第一章 总 则
第一条 为了规范公司内部控制审计,提高审计工作效率,保证审计工作质量,根据中国****股份有限公司企业标准《内部控制审计规范》和****分公司《关于内部审计工作的规定》,结合公司内部控制审计工作的具体情况,制定本办法。
第二条 内部控制是公司为了保证信息资料的可靠性和完整性,保证遵循政策、计划、程序、法律和法规,保护资产安全,经济、有效地利用资源,以及保证完成所制定的经营计划任务或目标,使各项业务活动正常、有效进行而在内部设立的管理控制程序。
第三条 内部控制审计是审计人员对被审计单位内部控制的健全性、符合有效性及科学合理性所进行的测试与评价。
第四条 内部控制审计既可以作为独立的审计项目组织实施,用以完善内部控制,也可以作为实施其他审计项目的一个程序或方法,以便确定对其依赖程度和进行实质性测试(即审计)的范围、重点及方法,提高审计工作效率和质量,减少审计风险。
第二章 内部控制的范围、措施及方式
第五条 内部控制的范围指与被审计单位经济活动或审计事项有关 1 的控制制度,一般分为:
1.内部财务会计控制:针对财务会计信息的完整、真实的控制,包括为保证会计信息的正确性、财务收支的合法性,以及维护财产物资的安全与完整而采取的有关组织、分工、程序、方法和标准等方面的控制。
2.内部经营管理控制:针对经营管理活动过程的控制,包括为保证经营决策、方针和政策的贯彻执行,保证经济活动的经济性、效率性和效果性,以及实现经营目标而采取的有关组织分工、程序、方法和标准等方面的控制。
第六条 内部控制的措施有:
1. 预防性控制:为防止错误和舞弊的发生而采取的控制; 2. 检查性控制:把已经发生和存在的错误检查出来的控制; 3. 纠正性控制:对那些由检查性控制查出来的问题的控制; 4. 指导性控制:引导或促使期望发生的有利结果实现而采取的控制;
5. 补偿性控制:针对某些环节的不足或缺陷而采取的控制。第七条 内部控制的方式包括:
1. 组织机构控制:通过对内部组织机构的设置、分工,明确划分职责范围而形成的控制制度。
2. 责任分工控制:通过确定不同工作岗位任务、责任和权限,以及对不相容岗位职务进行分离、分工而建立的控制制度。
3. 业务程序控制:通过制定有关经济业务处理程序和操作规范 2 而进行的控制。
4. 授权批准控制:对经济业务处理进行一般授权审批和特殊授权审批方面的控制。
5. 计划预算控制:在经营计划、财务预算等方面对经济活动的控制。
6. 会计质量控制:为保证经济活动信息真实、准确、公允、可靠,确保财产安全、完整和保值、增值而采取的控制。
7. 人员素质控制:对业务经办人员思想品质、业务技术和工作能力与其所担任的控制责任是否相符的控制。
8. 内部审计控制:通过设立内部审计机构和人员,对单位内控制度及经营活动进行监督、鉴证、检查和评价而实施的再控制。
第三章 审计的内容和依据
第八条 内部控制审计的内容是对构成内部控制的财务会计控制及经营管理控制的各要素进行测试与评价。
内部控制审计内容包括:内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。
第九条 内部控制健全性检查评价,是通过检查被审计单位现有的内部控制制度,评价各项业务系统应设置的控制环节和控制措施是否齐全完整,各个控制环节的控制功能是否达到内部控制的设计要求,是否适应本单位的特点和管理需要,能否起到应有的控制作用。
第十条 内部控制符合有效性测试,是在内部控制健全性检查评 3 价基础上,测试被审计单位有关经济业务活动的运行与相关内部控制的符合程度,评价各控制措施在实际经济活动中是否得到贯彻执行,是否取得了应有的效果。
第十一条 内部控制合理科学性综合评价,是对被审计单位内部控制设置的合理性、科学性,控制的有效性、适度性,以及能否保障企业经营目标的实现和规范化管理进行的总体评价。
第十二条 内部控制实质性测试,是指审计人员为了检查被审计单位具体经济业务信息、数据的真实性、合法性、正确性和完整性,对被审计单位的财务会计报告及相关资料项目金额进行的实证性审核检查。
第十三条 内部控制审计依据:
1.进行内部控制的健全性检查评价,应当依据规定的管理规则和模式,并考虑是否与被审计单位的生产经营规模及特点、管理机制、管理层次相适应。
2.进行内部控制符合有效性测试,应当依据被审计单位制定的内部控制制度。
3.进行内部控制实质性测试,应当依据国家有关法律、法规和股份公司及分公司有关规定。
第四章 审计程序、方法和要求
第十四条 审计人员对内部控制进行审计时,应遵循中国****股份有限公司企业标准《内部审计规范》规定的审计工作基本规范。通常 4 按下列程序进行:首先进行内部控制健全性检查,这包括调查内部控制和描述内部控制,并进行初步评价;然后进行内部控制符合有效性测试、内部控制实质性测试和内部控制综合评价。
第十五条 内部控制制度健全性检查及初步评价的审计程序包括:
1.调查内部控制:
① 审前或进驻被审计单位后,审计人员应通过查阅组织系统图,收集、审阅和分析被审计单位各项有关的规章制度、业务处理程序和人员职责分工等资料,以及向有关部门和人员进行调查,了解和掌握被审计单位内部控制情况。
② 审计人员对被审计单位内部控制进行调查时,应当考虑被审计单位业务规模、复杂程序、控制类型和控制程序等,恰当地确定调查范围。
③ 审计人员对被审计单位的控制现状进行调查时,应当关注被审计单位的控制环节、控制执行凭证、控制执行记录形式和控制程序运用的连续性。
2.描述内部控制:
① 将被审计单位或审计事项的内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来,以供测试和评价。
② 根据现有内部控制描述有关业务的运行流程和控制点,再根据理想模式和专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。
③ 审计人员对被审计单位的内部控制进行调查时,可采取下列方法进行描述:文字叙述法,即用文字说明内部控制;调查表法,即利用预先编制的表格形式,通过回答回答表格中设计的提问,来说明内部控制;流程图法,即以图解形式,运用符号说明内部控制。
3.内部控制健全性检查,是根据对被审计单位内部控制的调查和描述,分析和评价已建立的内部控制与其生产经营规模、特点、管理机制、管理层次的适应情况、覆盖程度,以及业务处理程序控制中应该设立的各项控制点是否设立,各项控制措施是否齐全、完整。
4.检查、评价内部控制的健全性,应当考虑下列因素:控制措施存在与否;存在的控制程序是否准备执行,有无可操作性;是否存在失控环节;失控的性质和原因;失控对控制系统的影响;审计方案对内部控制的依赖程度;内部控制的局限性。
5.符合有效性测试的重点是:对内部控制的执行记录、制约职能分工、操作状况等,这些有助于确定内部控制执行情况和有效程度。
第十六条 内部控制符合有效性测试一般采用审计抽样证据检查、重复检查、实地观察等方法,其内容包括:
1.业务测试:针对业务控制程序,在确定审计的业务系统中,选择若干笔业务,沿着规定的业务处理程序进行穿行测试,观察、检查制度中规定的各项控制措施(即控制点,特别是关键控制点)在实际经济活动中的执行情况。
2.穿行测试:既可采取顺查法,也可采取逆查法,重点是检查在这些事项的业务处理过程中,各控制环节的处理手续是否按规定办 6 理,内部控制是否按规定发挥了作用。
3.功能测试:针对业务控制程序中的关键控制点,选取若干笔业务,检查各项控制措施在实际工作中的运用效果。
第十七条 对被审计单位的内部控制进行实质性测试,应按照审计工作程序的有关规定,采取检查、监盘、观察、计算、分析性复核、查询及函证等审计方法,对被审计单位财务会计报告及相关资料项目金额进行实证性审核检查。
第十八条 对内部控制进行综合评价重点是以下几个方面: 1.内部控制的适用性、科学性,即被审计单位所设立的内部控制,是否有利于促进股份公司进一步深化改革、搞好持续重组,有利于调动全体员工的积极性,有利于大力推进科技进步和技术创新,增强公司的发展动力,以及促进股份公司完善全面预算管理,实行低成本战略,其满足性、最优性和适度性如何。
2.各项控制措施方面存在的缺陷对相应的控制点的影响及控制点方面存在的缺陷对各项业务系统内部控制的影响,揭示可能产生的后果。
3.对被审计单位内部控制的系统性、牵制性、协调性进行整体的分析与评价。
4.针对被审计单位内部控制所存在的缺陷、薄弱环节,建议从哪些方面进行完善和加强。
第十九条 对内部控制进行综合评价的要求:
1.要突出重点,着重评价与审计事项有密切管理的内部控制及与 7 审计目标和范围有关的业务控制;
2.评价既要着眼于内部控制是否能够起到保护财产、防止弊端的作用,又要看其是否能够保证和促进经济业务活动的顺利进行;
3.对内部控制的评价及提出的建议、措施应明确、具体,针对性强。
第二十条 对被审计单位内部控制进行健全性检查初步评价后,是否进行符合有效性测试,应当根据实际情况确定。一般比较健全、完善的控制制度,才对其进行符合有效性测试。审计人员对被审计单位内部控制进行健全性检查中,出现下列情况之一时,可不进行符合有效性测试,而直接进行实质性测试:
1.相关内部控制不存在;
2.相关内部控制虽然存在,但并未有效运行,或存在严重弊端; 3.易于发生错弊的业务环节,存在固有风险,以及控制风险高的业务;
4.符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量;
5.对被审计企业规模小的,不进行符合性测试,直接实施实质性测试程序。
第二十一条 审计人员确定对内部控制的可依赖程度时,应保持应有的职业谨慎,重点关注可能存在的构成内部控制局限性的主要因素为:
1.内部控制的设计和运行受制于成本与效益原则;
2.内部控制一般仅针对常规业务活动而设计; 3.控制程序可能因管理部门无视其存在而失效;
4.即使是设计完善的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对规定的误解而失效;
5.内部控制可能因有关人员相互勾结、内外串作弊而失效; 6. 内部控制可能因执行人滥用职权或屈从于外部压力而失效; 7. 内部控制可能因经营环境、业务性质的改变而削弱或失效。第二十二条 内部控制审计如作为独立审计项目,应按规定编写审计报告,书写审计意见书;如作为进行其他审计的一个程序或方法时,可将测评结果在有关审计工作底稿或审计报告中予以反映。
第五章 附 则
第二十三条 本办法由审计监察处负责解释。第二十四条 本办法自公布之日起实施。
第五篇:浅谈内部控制审计相关问题
浅谈内部控制审计相关问题
摘要:本文在阐述企业内部控制与内部审计的基础上,指出强化内部审计对于企业内控制度的意义,并提出如何强化内部审计以适应内控制度的要求。
关键词:内部控制;内部审计;强化1 引言内部控制制度是指为了保证企业经营活动的顺利进行,实现企业的经营管理目标,在企业内部制定和实施的具有管控职能的一系列方法、程序和措施。内部审计是内部控制一种特殊形式,也是内部控制的重要组成部分。内部审计是企业实现内部控制目标的重要手段。内部审计通过对企业内部各项经营活动独立、客观的评价,可以检查企业内部是否有效执行了企业的各项程序和政策,是否严格遵循了企业的既定标准,是否合理、有效地实现了对企业资源的有效利用,是否实现了企业的既定目标等。
2强化内部审计对企业内控制度的意义2.1提高企业会计信息质量企业内部审计的内容之一是内部财务审计,监督企业会计资料的真实性和完整性。企业的财务部门应当建立企业内部的财务控制制度,对会计资料的取得、记录和保管都应有相应的制度,并通过内部稽核制度,保证会计资料和会计信息的及时性、真实性和完整性。但由于人为的主观因素以及相关制度的局限性,企业的财务工作不可避免地会存在一些问题,而内部财务审计的任务就是发现这些问题和偏差,并及时向企业的管理层提出相应的建议,使企业的财务工作达到企业内部控制制度的要求。
2.2保护企业财产完整通过对企业经营活动的内部审计,可以及时发现企业管理中存在的问题和漏洞。以企业库存商品的管理为例,在企业的库存商品管理中,其盘盈和盘亏的处理问题上最容易出现漏洞,这也是企业内部控制制度重点关注的内容。内部审计根据相关内部控制制度的要求,重点抽查相关库存商品的盘点、盘盈和盘亏资料,找出库存商品盘盈和盘亏的原因。同时,内部审计通政工期刊www.xiexiebang.com/zgsfb/过对企业库存商品盘盈和盘亏手续审批完备性以及账务处理的及时性和正确性进行审查,在很大程度上能堵住可能在库存商品盘点中存在的漏洞,确保企业资产的完整性。
2.3 确保企业实现经营目标在科学、合理的内部控制组织体系下,内部审计机构应该是独立于财务部和人力资源部的独立部门。内部审计机构应当直接对监事会负责,如果遇到企业重大的内部审计事项或者发现企业内部的经营管理存在重大的违法、违规事件时,内部审计机构还可以将上述事项或者事件直接向股东大会及其常设机构董事会进行汇报。内部审计部门应当在企业的内部监督机制中具有足够的权威性,这样才能保证企业的内部审计报告得到企业管理层的足够重视。针对企业内部审计报告提出的整改措施和处理建议,企业管理层应及时进行研究并给出反馈意见,这样才能为企业经营目标的实现提供有力的保障。
2.4 加强企业内部考核的力度为了保证企业的内部控制制度充分发挥作用,并在实施的过程中不断完善,企业必须定期或不定期地检查和考核企业内部控制制度的执行情况。内部审计部门应会同财务部门以及企业相关职能部门执行具体的内部检查工作。对于严格贯彻执行企业内部控制制度的,给予一定的物质奖励;对于那些违规操作的,则给予相应的行政和经济处罚,促进企业内部控制目标的实现。
3如何强化内部审计以适应内控制度的要求3.1配备高素质的内部审计人员随着企业的内部审计由财务领域拓展到企业的经营管理领域,对内部审计机构人员的整体素质提出了更高的要求。内部审计人员不仅要懂财务,而且还应当具有丰富的实践工作经验,熟悉和精通企业的相关业务,这样内部审计工作才能在企业的内部控制制度中发挥重要的作用。同时通过对内部审计人员的培训,进一步提升内部审计人员的综合素质,使他们更好地适应企业的内部审计工作,提高企业内部审计工作的质量。
3.2 由事后审计向事前、事中审计转变企业的内部审计一般都是事后审计。随着现代内部控制制度的建立,内部审计将更关注事前和事中控制,全过程和全方位地对企业内部控制制度进行评价和监督。现在,企业的原材料与设备采购、产品生产、产品销售、资金筹集与使用、投资以及费用支出预算等均应该做到事前审核和事中控制。内部审计的工作就是及时发现企业各个环节存在的问题和漏洞,降低企业面临的各种风险。
3.3转变内部审计的职能一般来说,审计人员常常将主要精力放在对财务数据的真实性和合法性的检查以及对生产经营的监督上,其主要职能就是查错防弊。随着现代审计的发展,审计的主要职能已经由传统的查建筑期刊www.xiexiebang.com/jzqk/错防弊转移到根据审计结果,分析和评价企业的经营管理,并提出相应的管理建议上来。过去,审计的主要对象就是企业的财务报表、凭证以及其他相关资料,工作主要集中在财务领域,很少涉及企业的经营管理。随着现代审计的发展以及现代企业内控制度的要求,企业内部审计的主要职能应从检查和监督职能转变为分析和评价职能。
3.4 重新定位内部审计机构目前我国很多企业还没有设立独立的内部审计部门,有些企业虽然设立了内部审计部门,但其内部审计的独立性和权威性很难得到保证。在实际工作中,很多企业的内部审计机构并不审计级别相同的总公司财务部门和其他相关经营部门,只对二级企业进行审计。即使对总公司财务部门和其他相关经营部门进行审计,效果也不理想。因此,必须重新定位企业的内部审计机构,保证其内部审计机构的独立性和权威性。
点击咨询 