第一篇:CPA审计是提升内控有效性的制度安排大全
CPA审计是提升内控有效性的制度安排
一、实施企业内控注册会计师审计的重要意义
2008年5月和2010年4月,财政部会同证监会、审计署、银监会、保监会先后发布了《企业内部控制基本规范》和20项《企业内部控制配套指引》,在基本建成我国企业内控规范体系的同时,确立了企业内控有效性的自我评价制度和注册会计师审计制度,由此推动我国企业内控体系贯彻实施步入了法制化、规范化发展的新阶段。实施企业内控注册会计师审计,是立足我国国情、借鉴国际惯例推出的一项创新之策,也是确保企业内控有效实施的重要标志和制度安排。
(一)实施企业内控注册会计师审计符合国际惯例,有助于揭示企业内控重大缺陷,维护投资者利益和资本市场秩序。在企业尤其是金融企业和上市公司中推行内部控制注册会计师审计制度由来已久。1991年美国颁布《联邦储蓄保险公司法案》,要求资产高于2亿美元的金融机构管理层提供内部控制有效性评价报告,同时要求此类金融机构“聘请独立审计师出于鉴证之目的而对其内部控制进行评估并报告结果”。2002年,美国颁布《萨班斯—奥克斯利法案》,通过其302和404条款将财务报告内部控制自我评价和注册会计师审计制度扩大到公众公司。2006年,日本颁布《金融机构与交易法》,借鉴美国模式建立了日本公众公司的内控审计制度;同年,欧盟修订“欧洲议会和欧盟理事会指令”,明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷,是注册会计师审计的重要职责。注册会计师根据有关法律法规的规定和《企业内部控制基本规范》、《企业内部控制审计指引》的要求将认定的内控重大缺陷报告给企业投资者和社会公众,有利于投资者、社会公众和其他利益相关者全面、及时、准确地了解和掌握企业内控现状,提高决策的科学性和针对性,防止和降低决策失误风险,从而有效维护投资者利益和资本市场健康稳定发展。
(二)实施企业内控注册会计师审计,有助于增强企业内部控制效能,促进企业全面提升风险防范能力和经营管理水平。注册会计师的独立性和专业性,决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题,较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目,只缘身在此山中”的固有约束,注册会计师提出的审计意见往往更具针对性、深刻性和建设性;同时,注册会计师审计报告具有法律效力和威慑性,使得企业管理层必须高度重视注册会计师的审计意见,围绕注册会计师提出的内控缺陷采取及时有效的整改措施,从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性,为企业举一反三健全管控、杜塞漏洞,实现又好又快可持续发展提供助推力。
(三)实施企业内控注册会计师审计,有助于促进注册会计师行业紧密适应市场需求推动业务转型升级、实现加快发展。为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全,2009年10月,国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》(简称“国办56号文件”),明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上,积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸,推动大型会计师事务所业务转变和升级,加速向高端型、高附加值、国际化业务发展”。实施企业内控审计,是落实国办56号文件精神的具体体现,是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。
二、实施企业内控注册会计师审计中应当正确处理的几个关系
(一)企业内控责任与注册会计师审计责任的关系。
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(二)企业内控自我评价与注册会计师内控审计的关系。
第一,企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。企业内控责任与注册会计师内控审计责任的划分,决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规则独立完成,两者之间不能相互替代和免除。
第二,注册会计师在实施内控审计中可以适当利用企业内控自评工作。一般而言,企业内控自评工作应先于注册会计师内控审计进行,因此,适当利用企业内控自评工作及其成果,可以相应减少注册会计师的工作量,提高内控审计效率。但是,注册会计师的内控审计责任,不能因为利用了企业内控自评工作而减轻,这就要求注册会计师在利用企业内控自评工作时,必须毫不放松风险意识,特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。下图揭示了注册会计师利用企业内控自评工作应当把握的方法和尺度。
第三,在各负其责的基础上加强双方的沟通协调,是做好企业内控自评和注册会计师内控审计不容忽视的重要方法。一方面,就注册会计师及其所在的会计师事务所而言,一是要注重树立整体研判观念,善于在宏观层面把握大局、把握实质;二是要着重关注合规目标、报告目标和资产安全目标,适当兼顾效率效果目标和战略目标;三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员;四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调;五是要加强内控审计业务培训和经验交流;六是要重视以前年度审计情况总结分析;七是要建立与同行的经验共享、技术合作机制;八是要加强信息技术等非财会、审计人才的引进和培养。另一方面,就企业管理层而言,一是要自觉强化可持续发展理念和借力“会诊”意识,主动配合支持注册会计师的审计工作;二是要建立并理顺与注册会计师的沟通协调机制,在审前、审中和审后保持坦诚、深入的沟通;三是要针对注册会计师的疑虑,提出有说服力的证据;四是要在第一时间整改注册会计师识别的控制缺陷,为获得更为正面的审计意见赢得主动。
(三)财务报告内控和非财务报告内控的关系。
第一,财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与管理控制的界定一样。一般而言,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控,比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。
第二,《企业内部控制审计指引》对财务报告内控和非财务报告内控提出了差异化的审计要求,即:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。必须强调,这一规定是实事求是的,既充分考虑了注册会计师的专业特长和职业风险,将注册会计师的审计重心定位在财务报告内控领域,同时又大胆破除了单纯财务报告内控观念的束缚,促使注册会计师的内控审计范围与企业管理层的内控自评范围总体上趋于一致,增强了内控审计报告与自评报告的协调。
(四)内控审计和财务报表审计的关系。
《企业内部控制审计指引》规定,注册会计师可以将内部控制审计与财务报表审计整合进行(即整合审计),也可以单独进行内部控制审计。
尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择,但从企业更“经济”地委托审计分析,我们倡导内控审计和财务报表审计整合进行。事实上,审计准则所要求的风险导向审计与内控规范体系所要求的风险评估,在理念和方法上是趋于一致的,因此整合审计具有较好基础。整合审计的目的,就是在内控审计中获取充分、适当的证据,支持注册会计师在财务报表审计中对内部控制的风险评估结果;同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内控审计中对内部控制的有效性发表意见。整合审计的互动关系见下图。
从美国公共会计公司(会计师事务所)整合进行财务报表审计和财务报告内控审计(404审计)的通常做法看,内控审计团队一般先于财务报表审计团队1-2个月的时间进入被审企业,在对财务报告内控有效性作出总体评估的基础上,对实施财务报表审计的性质、时间和范围作出适当调整和完善,之后,通过对财务报表的实质性分析复核,再来验证财务报告内控的有效性。由此可见,所谓整合审计,实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见,这是值得我国会计师事务所研究借鉴的。
(五)企业层面控制测试与业务层面控制测试的关系。
无论是企业内控自评,还是注册会计师内控审计,都需要对企业层面控制和业务层面控制进行测试。一般认为,与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响的控制属于企业层面控制;与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。
因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。
需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为关键控制,除此之外,则被认定为一般控制。经验数据表明,在所有业务层面控制中,关键控制一般占到20%左右。下图为认定关键控制提供了一种可供参考的方法。
(六)重大缺陷披露与其他缺陷沟通的关系。
内部控制缺陷按其影响程度分为重大缺陷(实质性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定,当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效,应当认定企业财务报告内控存在重大缺陷,对企业财务报告内控有效性发表否定意见,并通过内控审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷,应当以书面形式与企业董事会和经理层沟通;对于一般缺陷,应当以书面形式与企业有关职能部门沟通。
从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著(见下图)。这也提示我国注册会计师在实施企业内控审计时,应当着力把握易于出现错弊的关键领域和重要环节,切实揭示出企业财务报告内控重大缺陷。
三、进一步深化企业内控注册会计师审计应当研究解决的几个重要问题
《企业内部控制审计指引》的发布,为实施企业内控审计提供了执业准则和操作指南;同时,随着企业内控审计的不断深入,也势必反映出这样那样的各种具体问题。在当前和今后一段时间,应当着力研究解决以下几个重要问题。
(一)非财务报告内控测试的范围界定和方法技术问题。
关于非财务报告内控测试的范围。相对而言,财务报告内控测试范围较为明确,而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制,要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此,我们倾向于紧密围绕内控目标,建立一套非财务报告内控测试的核心指标体系,这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点,其中:对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面,特别是董事会、监事会建设和审计委员会监督职能的发挥情况;对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用;对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况;对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善,以及信息系统开发、建设和运行状况;对内部监督的测试聚焦于日常监督和持续性监控的落实情况,特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。
关于非财务报告内控测试的方法。总体而言,应与财务报告内控测试方法基本相同或相近,比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法,但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。下面以对企业文化的面询为例,为注册会计师提供一个测试、审视企业文化的新视角。
企业文化 备注1.贵公司是如何建立员工行为准则和高管人员职业道德准则的?2.这些行为准则、职业道德准则多长时间检查和更新一次?3.董事会居于何种考虑建立上述行为准则和职业道德准则?a.您认为达到董事会的目标了吗?达到了能叙述一下是如何达到的吗?没达到您认为未能达到目标的主要障碍是什么?4.如果公司管理层认识到存在不可接受的行为,那么将采取什么程序来调查这个问题?a.您能举出一些具体的例子吗?b.公司如何让员工们了解到管理层在这个问题上采取的行动?5.董事会已经识别了那些可能 诱导不道德行为的薪酬政策或者其他激励措施了吗?是的这些政策是什么?您如何监督这些政策?没有在制定薪酬政策或措施的时候,考虑的是什么标准?6.在过去三年中,管理层认识到内部控制的任何缺陷了吗?a.您是怎么认识到的?b.采取了什么措施来加以改进?7.您得到了有效完成您的工作的全部信息了吗?是的它是可靠的吗?及时的吗?没有为什么没有得到?8.董事会定期讨论企业文化和“高层的调子”吗?它们如何影响内部控制的整体有效性?是的董事会发现了什么?没有是什么防碍了你们做这些事情?在询问结束后,注册会计师要初步评估:与企业文化有关的控制政策看起来是何种程度的,以此作为对企业文化的初步测试结论。
(二)内控测试评价的样本选取问题。
基于净利润、资产总额等指标的计划重要性水平确定抽样规模,是财务报表审计的重要方法。但是,企业内控审计的外延和内涵大大超越财务报表审计,因此,如何确定内控测试评价的抽样规模,是一个亟待解决的突出问题。截至目前,尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据,值得研究思考并在此基础上予以完善。
(三)首次执行内控审计与连续实施内控审计的策略问题。
根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署,包括《企业内部控制审计指引》在内的《企业内部控制配套指引》自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。因此,除按《萨班斯—奥克斯利法案》404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外,其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计,特别是同时也属首次执行财务报表审计,意味着注册会计师对某一特定企业(客户)的了解尚不全面、系统、深入,因此,首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地,在以后年度的内控连续审计中,由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解,因此可以突出审计重点、简化部分程序,更多地关注高风险领域、企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化,对企业和会计师事务所是“双赢”之举,应当予以重视。由此也启示会计师事务所,一定要未雨绸缪、早做准备、注重积累,不断建立健全不同行业、企业的风险案例库,为提升内控审计质量和内控咨询服务水平奠定扎实基础。
(四)内控审计报告的披露形式问题。
《企业内部控制审计指引》明确了内控审计报告的格式和内容,但并未对如何公布、披露内控审计报告作出详细规定。从美国的情况看,企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告,一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看,既有在年度报告中单作一部分予以披露的,也有自成体系形成一个专门报告单独披 露的。两种做法各有利弊,我们尊重企业的自主选择权。同时,考虑到内控自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联,我们倾向于建议企业在年度报告中一并披露内控审计报告,以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内控状况的基础上作出正确决策。但是应当强调,在年度报告中一并披露的内控审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也易于弱化内控审计。
(五)内控审计信息系统的开发建设问题。
会计师事务所及其注册会计师执行企业内控审计,必须开发建设审计软件,将内控审计程序固化在信息系统之中,形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看,其财务报告内控审计软件主要包括以下数据包:1.审计项目概述。2.审计项目计划,包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。3.内控审计模型,包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。4.审核相关备忘录(MRC),包括404缺陷备忘录等。5.控制测试概览,包括:控制评估与记录;企业层面控制测试;承诺义务与或有事项;工薪循环控制测试;存货循环控制测试;现金收入(含销售业务)循环控制测试;现金支付(含采购业务)循环控制测试;财务报表结账程序控制测试;固定资产循环控制测试;负债循环控制测试;所得税控制测试;股东权益控制测试等。以对固定资产的控制测试为例,需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。6.对内控缺陷的集合与评估。7.就控制缺陷与企业管理层的沟通情况。8.就控制缺陷与企业董事会审计委员会的沟通情况。9.内控审计报告,包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异,但开发建设内控审计软件的基本思路和总体要求是一致的,应当迅速行动起来,通过联合开发、自主开发等多种形式,在利用信息技术实施内控审计中赢得先机。
(六)内控审计结果的利用问题。
构建政府、企业、注册会计师行业和社会有关方面有机协调、相互促进的良性互动关系,是贯彻实施企业内控基本规范和配套指引的内在要求,也是我国推进企业内控体系建设的重要创新。要实现这一目标,必须以充分利用企业内控审计结果为抓手。对政府有关部门而言,通过分析、利用企业内控审计结果,可以增强政府监督的针对性和实效性;同时,通过汇总、分析各类企业尤其是上市公司内控审计结果,发布上市公司内部控制年度综合分析报告,可以为改进宏观调控、完善资本市场提供直接有力的决策参考。对企业而言,通过反思内控审计结果尤其是内控重大缺陷,并将内控有效性情况纳入绩效考评体系,可以促进健全内控机制,培育内控文化,推动内控理念和制度深入人心、落地生根。对注册会计师行业而言,通过测试、评价企业内控有效性,由点及面、积少成多,可以丰富、充实企业内控经验教训案例库,为延伸专业服务链条,提供高端型、高附加值增值服务提供强有力的支持。对社会有关方面,包括理论界而言,内控审计报告为深度研究公司治理、风险管理和内部控制问题提供了丰富素材,在此基础上归纳、拓展、提升,可以为深化企业内控建设提供科学理论指导。
实施企业内控审计制度日渐临近、任重道远。广大企业、会计师事务所和各方面的专家学者应当积极投身其中,深入研究当前和今后一个时期的重点、热点、难点问题,切实把实施企业内控审计与推行企业内控自我评价结合起来,切实把实施企业内控审计与繁荣内控理论研究结合起来,切实把实施企业内控审计与培养造就高素质、复合型会计审计人才和企业经营管理人才结合起来,推动企业内控审计扎实、有序、深入开展。
第二篇:CPA审计是提升内控有效性的制度安排(二)
CPA审计是提升内控有效性的制度安排
(二)中国会计报
无论是企业内控自评,还是注册会计师内控审计,都需要对企业层面控制和业务层面控制进行测试。一般认为,与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响的控制属于企业层面控制;与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论,企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制。
因此,在实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。所谓自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。同时应当注意,强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计。
需要注意的是,在测试业务层面控制时,一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为关键控制,除此之外,则被认定为一般控制。经验数据表明,在所有业务层面控制中,关键控制一般占到20%左右。下图为认定关键控制提供了一种可供参考的方法。
(六)重大缺陷披露与其他缺陷沟通的关系。
内部控制缺陷按其影响程度分为重大缺陷(实质性漏洞)、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷,又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定,当注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报,或者企业更正已经公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效,应当认定企业财务报告内控存在重大缺陷,对企业财务报告内控有效性发表否定意见,并通过内控审计报告予以披露。对于其他控制缺陷,包括重要缺陷和一般缺陷,应当区别情况与企业沟通。一般地,对于重要缺陷,应当以书面形式与企业董事会和经理层沟通;对于一般缺陷,应当以书面形式与企业有关职能部门沟通。
从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著(见下图)。这也提示我国注册会计师在实施企业内控审计时,应当着力把握易于出现错弊的关键领域和重要环节,切实揭示出企业财务报告内控重大缺陷。
三、进一步深化企业内控注册会计师审计应当研究解决的几个重要问题
《企业内部控制审计指引》的发布,为实施企业内控审计提供了执业准则和操作指南;同时,随着企业内控审计的不断深入,也势必反映出这样那样的各种具体问题。在当前和今后一段时间,应当着力研究解决以下几个重要问题。
(一)非财务报告内控测试的范围界定和方法技术问题。
关于非财务报告内控测试的范围。相对而言,财务报告内控测试范围较为明确,而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制,要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此,我们倾向于紧密围绕内控目标,建立一套非财务报告内控测试的核心指标体系,这一
核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点,其中:对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面,特别是董事会、监事会建设和审计委员会监督职能的发挥情况;对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用;对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况;对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善,以及信息系统开发、建设和运行状况;对内部监督的测试聚焦于日常监督和持续性监控的落实情况,特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。
关于非财务报告内控测试的方法。总体而言,应与财务报告内控测试方法基本相同或相近,比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法,但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。下面以对企业文化的面询为例,为注册会计师提供一个测试、审视企业文化的新视角。企业文化
备注
1.贵公司是如何建立员工行为准则和高管人员职业道德准则的?
2.这些行为准则、职业道德准则多长时间检查和更新一次?
3.董事会居于何种考虑建立上述行为准则和职业道德准则?a.您认为达到董事会的目标了吗?达到了能叙述一下是如何达到的吗?没达到您认为未能达到目标的主要障碍是什么?
4.如果公司管理层认识到存在不可接受的行为,那么将采取什么程序来调查这个问题?a.您能举出一些具体的例子吗?b.公司如何让员工们了解到管理层在这个问题上采取的行动?
5.董事会已经识别了那些可能
诱导不道德行为的薪酬政策或者其他激励措施了吗?是的这些政策是什么?您如何监督这些政策?没有在制定薪酬政策或措施的时候,考虑的是什么标准?
6.在过去三年中,管理层认识到内部控制的任何缺陷了吗?a.您是怎么认识到的?b.采取了什么措施来加以改进?
7.您得到了有效完成您的工作的全部信息了吗?是的它是可靠的吗?及时的吗?没有为什么没有得到?
8.董事会定期讨论企业文化和“高层的调子”吗?它们如何影响内部控制的整体有效性?是的董事会发现了什么?没有是什么防碍了你们做这些事情?在询问结束后,注册会计师要初步评估:与企业文化有关的控制政策看起来是何种程度的,以此作为对企业文化的初步测试结论。
(二)内控测试评价的样本选取问题。
基于净利润、资产总额等指标的计划重要性水平确定抽样规模,是财务报表审计的重要方法。但是,企业内控审计的外延和内涵大大超越财务报表审计,因此,如何确定内控测试评价的抽样规模,是一个亟待解决的突出问题。截至目前,尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据,值得研究思考并在此基础上予以完善。
(三)首次执行内控审计与连续实施内控审计的策略问题。
根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署,包括《企业内部控制审计指引》在内的《企业内部控制配套指引》自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执
行。因此,除按《萨班斯—奥克斯利法案》404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外,其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计,特别是同时也属首次执行财务报表审计,意味着注册会计师对某一特定企业(客户)的了解尚不全面、系统、深入,因此,首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地,在以后的内控连续审计中,由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解,因此可以突出审计重点、简化部分程序,更多地关注高风险领域、企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化,对企业和会计师事务所是“双赢”之举,应当予以重视。由此也启示会计师事务所,一定要未雨绸缪、早做准备、注重积累,不断建立健全不同行业、企业的风险案例库,为提升内控审计质量和内控咨询服务水平奠定扎实基础。
(四)内控审计报告的披露形式问题。
《企业内部控制审计指引》明确了内控审计报告的格式和内容,但并未对如何公布、披露内控审计报告作出详细规定。从美国的情况看,企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告,一般在企业报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看,既有在报告中单作一部分予以披露的,也有自成体系形成一个专门报告单独披
露的。两种做法各有利弊,我们尊重企业的自主选择权。同时,考虑到内控自评报告和审计报告与管理层讨论和分析、财务报告、财务报表审计报告等具有直接内在关联,我们倾向于建议企业在报告中一并披露内控审计报告,以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内控状况的基础上作出正确决策。但是应当强调,在报告中一并披露的内控审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也易于弱化内控审计。
(五)内控审计信息系统的开发建设问题。
会计师事务所及其注册会计师执行企业内控审计,必须开发建设审计软件,将内控审计程序固化在信息系统之中,形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看,其财务报告内控审计软件主要包括以下数据包:
1.审计项目概述。
2.审计项目计划,包括企业审计回顾摘要、抽样判断、穿行测试清单、上一测试结论、测试时间和经费预算等。
3.内控审计模型,包括与财务报表整合进行的审计模型、上一审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。
4.审核相关备忘录(MRC),包括404缺陷备忘录等。
5.控制测试概览,包括:控制评估与记录;企业层面控制测试;承诺义务与或有事项;工薪循环控制测试;存货循环控制测试;现金收入(含销售业务)循环控制测试;现金支付(含采购业务)循环控制测试;财务报表结账程序控制测试;固定资产循环控制测试;负债循环控制测试;所得税控制测试;股东权益控制测试等。以对固定资产的控制测试为例,需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。
6.对内控缺陷的集合与评估。
7.就控制缺陷与企业管理层的沟通情况。
8.就控制缺陷与企业董事会审计委员会的沟通情况。
9.内控审计报告,包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异,但开发建设内控审计软件的基
本思路和总体要求是一致的,应当迅速行动起来,通过联合开发、自主开发等多种形式,在利用信息技术实施内控审计中赢得先机。
(六)内控审计结果的利用问题。
构建政府、企业、注册会计师行业和社会有关方面有机协调、相互促进的良性互动关系,是贯彻实施企业内控基本规范和配套指引的内在要求,也是我国推进企业内控体系建设的重要创新。要实现这一目标,必须以充分利用企业内控审计结果为抓手。对政府有关部门而言,通过分析、利用企业内控审计结果,可以增强政府监督的针对性和实效性;同时,通过汇总、分析各类企业尤其是上市公司内控审计结果,发布上市公司内部控制综合分析报告,可以为改进宏观调控、完善资本市场提供直接有力的决策参考。对企业而言,通过反思内控审计结果尤其是内控重大缺陷,并将内控有效性情况纳入绩效考评体系,可以促进健全内控机制,培育内控文化,推动内控理念和制度深入人心、落地生根。对注册会计师行业而言,通过测试、评价企业内控有效性,由点及面、积少成多,可以丰富、充实企业内控经验教训案例库,为延伸专业服务链条,提供高端型、高附加值增值服务提供强有力的支持。对社会有关方面,包括理论界而言,内控审计报告为深度研究公司治理、风险管理和内部控制问题提供了丰富素材,在此基础上归纳、拓展、提升,可以为深化企业内控建设提供科学理论指导。
实施企业内控审计制度日渐临近、任重道远。广大企业、会计师事务所和各方面的专家学者应当积极投身其中,深入研究当前和今后一个时期的重点、热点、难点问题,切实把实施企业内控审计与推行企业内控自我评价结合起来,切实把实施企业内控审计与繁荣内控理论研究结合起来,切实把实施企业内控审计与培养造就高素质、复合型会计审计人才和企业经营管理人才结合起来,推动企业内控审计扎实、有序、深入开展。
第三篇:内控制度审计办法
江苏省电力公司内部控制制度审计实施办法
第一条 为了规范江苏省电力公司内部控制制度审计,提高审计效率和质量,根据国家电力公司《内控制度审计办法》和《江苏省电力公司内部审计工作准则》,制定本办法。
第二条 内部控制制度是指企业为保证企业实现经营目标、保障资产的安全、保证信息的可靠性和完整性、提高经营的经济性和有效性、促使经济活动健康有序进行而制定的一种内部协调、组织,制约、检查的控制系统。
第三条 本办法所称内部控制制度审计是指省公司各级审计机构对企业内部控制系统的健全性、符合性、有效性进行的调查、测试、评价和建议。包括对与会计记录、会计业务处理直接有关的会计控制系统和间接有关的管理控制系统的审计。
第四条 内部控制制度审计的目的是通过对企业内部控制制度的完善性及有效性等所进行的检查、测试、评价和建议,促进企业完善控制制度,达到保证企业资产资金安全完整和经济信息正确可靠,提高管理水平和经营效率,确保既定经营方针目标的实现。
第五条 企业内部控制制度主要包括以下内容:
1.货币资金内部控制制度;
2.债权管理和核算内部控制制度的审计要点; 3.存货管理和核算内部控制制度的审计要点: 4.投资管理和核算内部控制制度的审计要点: 5.固定资产管理和核算内部控制制度的审计要点。6.在建(技改、大修)工程管理内部控制制度; 7.负债管理和核算内部控制制度的审计要点; 8.损益管理与核算内部控制制度;
9.电(热)力、其他产品营销管理内部控制制度;
10.成本管理内部控制制度; 11.生产经营内部控制制度; 12.安全管理内部控制制度;
13.人事、劳动工资管理内部控制制度;
14.预算管理内部控制制度
15.经营合同招投标管理内部控制制度;
16.多种经营及预算外收入管理内部控制制度; 17.其他相关的内部控制制度。
第六条 内部控制制度审计的主要内容
1.健全性:内部控制制度是否覆盖了企业生产经营的全部过程、所有部门、岗位和个人;主要关节点是否得到了严密有效的控制;企业授权是否明确。
2.符合性:内部控制制度是否符合国家有关的经济法规、政策和制度;是否符合市场经济运行的规则;是否符合本单位的实际情况。
3.有效性:内部控制制度是否得到了完全有效的执行。
第七条 内部控制制度审计的程序与方法
一、检查与初步评价
(一)了解制度
在审计的准备阶段审计组应了解被审计单位内控制度系统以便能对之作出初步的评价。对内控制度系统了解的方法与手续如下:
1.利用原先的资料 由于内部控制制度通常变动不大,审计人员应充分利用前次审计所掌握和了解的资料,节约审计资源。
2.询问 询问是了解被审计单位内部控制制度系统的主要方法之一。询问时应注意询问对象的不同层次,职工、管理人员、中层干部和领导者都应有一定的比例。
3.收集被审计单位内控制度系统的文件记录。
4.凭证和记录检查 审计人员可以通过检查真实、完整的凭证和记录,详细了解文件中所记录的内容。
5.现场观察 审计人员可以选择正在进行的经济业务或观察 工作人员编制凭证和记录的过程,进一步加深对系统运行的了解和认识。
6.交易测试 审计人员可以选择一笔或几笔主要的经济业务,检查正在处理的每一阶段的全部记录,证实被审计单位内控制度文件中记录的控制手段是否存在。
(二)记录描述
如果审计人员选择的审计方案是全部或部分信赖被审计单位的内部控制制度,就应该将被审计单位的内控系统记录下来。记录的主要方法如下:
1.文字说明法:按主要经济业务的流程,用书面形式描述企业内部控制系统的状况。其主要内容一是有关职能部门的组织分工、职务的分离、各项规章制度的内容及控制措施等情况;二是企业经济业务的处理程序和方法、管理方式、控制重点、控制效果及审计人员的初步判断。
2.调查表法:就某项经济业务的主要控制点及主要问题,用事先设计好的表格来调查了解企业内部控制状况。
3.流程图法:用描述有关经济业务活动处理程序的图式来反映企业内部控制状况。
二、实质性测试
实质性测试是检查被审计单位制度遵守情况,以获得审计人员打算依赖的内控制度在企业内部一贯执行并发挥作用的的证据。
(一)凭证检查
审计人员应检查被审计单位的相关凭证和记录文件,检查签字、盖章等情况,以验证被审计单位制度的执行情况。
(二)重复执行控制程序
审计人员可以选择一重要的经济业务,部分或全部重复执行被审计单位已经完成的程序,借以检查其依从性。
第八条 内控制度最终评价的目的是确定被审计单位内部控制系统的可靠性,并根据所作出的评价确定其它审计程序的性质、时间和范围。审计人员对于可靠性的判断可以利用风险来表示:
1.低 内控制度系统出现差错很少、违章行为很少甚至没有。它表示审计人员可以依赖、利用被审计单位的文件记录。
2.中 内控制度系统有差错、违章行为很少。它表示审计人员可以部分利用被审计单位的文件记录。对出现差错或违章行为的内控制度适当增加审计抽样的数量和实质性测试的项目,保证审计结论的正确性。
3.高 内控制度系统有差错、违章行为的结果很严重。它表示审计人员不能利用被审计单位的文件记录。应增加实质性测试的份量并进行大量的抽样审计或详细审计。
第九条 审计组对被审计单位内控制度进行审计后,应结合被审计单位的具体情况,在认真分析的基础上恰当而慎重地作出评价,应实事求是,符合客观实际,明确指出内控制度中的缺陷及薄弱环节,究竟是哪一项措施或工作方法存在问题。并针对具体问题提出有针对性和可行性意见和改进措施。
第十条 内部控制评价的主要内容
评价的主要内容包括肯定企业内部控制执行有效方面的成绩,指出企业内部控制方面存在的薄弱环节,分析内部控制制度失控点的性质及可能造成的后果。
(1)企业是否根据内控制度的要求,建立了各种必要的管理制度并认真执行;
(2)企业和各职能部门及有关人员是否认真执行有关内控制度;
(3)执行内控制度取得哪些成绩;
(4)执行中存在哪些薄弱环节,其影响及后果如何;
(5)通过加强哪些环节的管理能够预防或揭露各种错弊;(6)企业有无建立内部审计制度和其他检查监督制度,效果如何;
第十一条 内部控制制度审计要点
一、货币资金管理和核算内部控制制度的审计要点:
(一)货币收支业务出纳与会计的职责是否分离;
(二)在运用计算机处理会计信息的情况下,出纳员、程序编制员、输入记录员的职务是否分离;
(三)货币支出是否经授权或审批,并有合法合规的原始凭证;
(四)货币资金是否有登记、复核、盘点制度和核对手续;
(五)发票、收据、支票的保管是否合规;
(六)企业银行帐户开立和使用是否符合《银行帐户管理办法》的规定;
(七)现金收入是否有合法凭证、并及时登记人帐。库存现金是否遵守银行核定的限额。
二、应收及予付帐项管理和核算内部控制制度的审计要点:
(一)应收帐款是否为商品交易,提供劳务而发生的债权;
(二)商品交易的发生和记帐岗位是否分离;
(三)赊销业务是否了解客户的信用状况;
(四)销货,发货,运货,开票环节是否相互牵制,记帐人员是否依据发票和赊销批准单等原始凭证记帐;
(五)企业是否建立催款制度,帐龄分析制度以及对帐制度;
(六)坏帐准备金的计提是否符合会计制度规定,坏帐核销是否经授权、批准;
(七)有关经济活动是否有合同管理机构(人员)管理,预付款的支付是否符合合同、协议条款。
三、存货管理和核算内部控制制度的审计要点:
(一)采购,验收、存储,发货岗位是否分离;
(二)采购是否按规定渠道办理申请。批准手续,存货储备是否有定额;
(三)验收是否建立制度,验收记录是否在采购、存储,会计部门之间传递并复核;
(四)存货是否帐、卡、物相符,并有定期盘点制度;是否建立存货退库制度,以及一次性领料,季度假退料制度;
(五)存货的领发是否建立有权领用人制度,会计部门对存货 的收、发、存动态是否及时记录;
(六)存货的盘亏、报废、损失、削价是否有鉴定制度,并有授权、批准手续;
(七)存货价值的核算是否符合会计制度的规定;
(八)招投标管理制度;
(九)合同管理制度。
四、投资管理和核算内部控制制度的审计要点:
(一)办理投资项目,业务和保管投资凭证以及记录投资业务的岗位是否分离;
(二)投资项目、业务是否经可行性论证,集体研究,并经授权和批准;
(三)投资凭证是否定期与会计记录核对;
(四)实物投资是否经过评估,作价是否合理;
(五)证券投资,出售和投资收益会计处理是否符合会计制度规定;
(六)是否掌握被投资单位的经营状况;
(七)相关制度是否完善。
五、固定资产管理和核算内部控制制度的审计要点。
(一)固定资产的购臵,建设,保管,使用和会计核算的岗位是否分离;
(二)新建(购臵)固定资产是否有计划和经上级主管部门批准;
(三)固定资产使用,管理、核算是否有专人负责,并建立岗位责任制;
(四)固定资产帐,卡,物是否定期核对,增减变动是否及时记录,是否建立定期清查制度;
(五)固定资产的调拨、出租、出售是否经授权和批准;
(六)固定资产盈亏、报废是否建立鉴定制度,变价收入是否合理,并及时入帐。
六、在建工程管理和核算内部控制制度的审计要点:
(一)项目的实施是否经过上级批准,有无计划外施工;
(二)工程成本核算对象是否明确,有元乱挤乱列;
(三)工程发包,设备购臵是否经授权和批准,是否签订合同。协议;
(四)工程项目计价。竣工结算。供货结算,项目管理部门和会计部门是否相互核对;
(五)工程项目是否有专人负责,项目完工是否及时办理验收和人帐手续,预付款项,工程结算款是否及时清结;
(六)对外发包工程是否办理工程决算审计,工程项目结余款是否按规定办理。
七、应付帐款管理和核算内部控制制度的审计要点:
(一)应付帐款是否属于商品交易,接受劳务而发生;
(二)采购,验收、财务部门的职责是否分离,有关订货单,验收单。发票是否在这些部门传递,数量。规格,单价。金额是否核对;
(三)应付帐款总帐与明细分类帐是否核对相符,应付款业务是否属实,有无经营和劳务等收入挂帐行为;
(四)应付帐款的支付是否经授权并批准。
八、应付票据管理和核算内部控制制度的审计要点:
(一)应付票据是否属于商品交易形成的负债。帐面金额与应付票据备查簿是否核对相符;
(二)带息票据的利息计算是否正确,己支付的票据其备查簿是否及时注销。
九、其他负债管理和核算内部控制制度的审计要点:
(一)短期借款业务是否经授权和批准。借款是否属于急需的周转资金。有无因产品积压。不良超储原因造成的资金紧张;
(二)其他应付款是否按规定核算,存入保证金和包装物租金是否建立备查簿,清理是否及时。
十、实收资本管理和核算内部控制制度的审计要点:
(一)资本的变动是否按照国家规定和企业章程办理,并报请 上级主管部门批准;
(二)投资者实物出资是否经过评估,投入资本是否遵守章程、协议的规定;
(三)投资者投资额是否有健全的记录,并与实收资本的总帐,明细帐相符。
十一、资本公积金管理和核算内部控制制度的审计要点:
(一)资本公积的变动是否符合国家规定,法定财产重估增值是否经上级主管部门批准;
(二)接受捐赠财产价值的确定是否符合规定,是否入帐管理;
(三)资本溢价是否维护原有投资者权益。
十二、留成收益管理和核算内部控制制度的审计要点:
(一)盈余公积的提取比例,变动是否符合会计制度的规定,其金额是否正确;
(二)盈余公积弥补亏损或转增资本是经授权或批准;
(三)未分配利润的形成是否真实,用于弥补亏损是否合规。
十三、收入管理和核算内部控制制度的审计要点:
(一)运输收入部门客货运费,杂费。代收款等收入的核收单据和运输进款,欠缴运输迸款帐户反映的数据是否相符;运输清算收入的清算单据和运输清算帐户反映的数据是否相符;
(二)换算周转量指标与统计部门的报表是否核对相符;
(三)财务清算单价与上级文件规定是否一致;
(四)其他单项清算指标是否真实、可靠;
(五)产品销售业务是否建立合同制度;
(六)销售合同是否有专人负责和登记,签订合同是否经授权和批准;
(七)销售业务的开票人,合同签订者。发货人。办理结算人员的岗位是否分离;
(八)销售合同、销售通知单,发票提货联。结算金额、数量是否相符,销售核查制度是否建立,发票存根联与收入帐面金额是否核对相符;
(九)销售价格是否符合国家政策,给予购货方折扣、折让是否经授权和批准。
十四、成本费用管理和核算内部控制制度的审计要点:
(一)企业是否建立以、财务负责人为主的成本管理责任制;
(二)成本开支范围和支出标准是否严格执行国家有关规定。
第十二条 审计组审计终结后,应针对被审计单位内控制度中存在的缺陷,以书面形式向被审计单位出具内控制度缺陷意见书和审计建议,经单位主要负责人批准后下发被审计单位执行。
第十三条 本办法适用于江苏省电力公司及其所属各单位 第十三条 本办法由省公司负责解释。
第十四条 本办法自下发之日起执行。
第四篇:财务管理内控制度审计方案范文
财务管理内控制度审计方案
为规范企业财务管理工作,推进企业财务管理内部控制制度的建设和执行,按照公司****年审计工作计划,对****开展财务管理内控制度审计。为确保审计有效顺利开展,制定本方案。
一、审计目的
通过对财务管理内控制度的建立和执行情况进行审计,查找财务管理中的薄弱环节及存在问题,促进各单位进一步加强和规范企业财务管理,加强内部会计监督,从而提高企业会计信息质量,保护资产的安全完整,确保经营目标的全面完成。
二、审计范围
本次审计范围为20**~20**年财务管理内部控制制度的建设和执行情况,根据工作需要可延伸审计其他。
三、审计依据
1.《中华人民共和国审计法》
2.《审计署关于内部审计工作的规定》 3.《内部审计基本准则》
四、审计内容及重点
在了解企业财务管理现状的基础上,重点关注预算管理、成本管理、资金管理、资产管理、对外投资、融资等方面的内控制度的建立及执行情况。
(一)预算管理
1.预算管理制度建设:企业是否制定预算管理的相关制度,制定的管理制度是否科学、可行,是否与上级管理部门的预算管理方面的要求一致;
2.预算编制和审核:预算编制是否遵循“自上而下、自下而上、上下结合、分级编制、逐级审批”的程序;预算是否涵盖被审计单位的所有经营业务活动,重点关注除电费收入外的其他收入是否纳入预算管理;预算审核是否有专业人员的参加;预算项目是否细化,是否存在预算项目过粗,不利于执行和考核的情况(如其他费用支出过大);是否根据预算编制月份预算或季度预算;预算审核时是否考虑公司发展目标和资产经营目标。
3.预算执行和调整:经审核批准的预算是否进一步分解细化到各部门(单位),并形成预算责任体系;是否按照预算目标,并结合实际业务活动逐月编制月度资金预算;是否建立预算管理台账;是否按资金预算严格控制各项费用支出,预算外支出是否按照制度规定履行相应的审批程序。预算调整是否经过上级预算管理部门审批。
4.预算分析和考核:是否定期召开预算分析会,对月度
(季度)预算的执行情况进行全面分析;是否对预算执行中的问题进行分析,并提出改进措施和建议;预算考核是否真正得到有效执行,考核结果是否兑现。
(二)成本费用管理
1.成本费用管理制度建设:获取企业成本费用相关管理制度,分析其是否覆盖企业各项生产经营支出,各项费用标准是否明确,是否符合国家和上级管理部门的要求。
2.成本费用控制审查:成本费用是否全部纳入预算管理,有无未经审批的预算外支出;财务部门对各部门的成本费用控制是否到位,监督考核是否落实到位;是否按制度规定执行成本开支的范围和标准,如福利费开支是否符合国家规定、差旅费是否符合标准等。
3.成本费用核算审查:成本核算是否符合国家和公司的相关规定,有无将职工薪酬、招待费、会议费等控制费用列入其他成本费用的情况;有无成本费用挂账的情况;有无通过往来账核算收入和成本费用。
(三)资金管理
1.资金管理制度建设:是否按照国家和上级管理部门资金管理的要求建立资金管理制度。包括岗位责任分离制度、货币资金授权批准制度、现金收支控制制度、银行存款控制制度、其他货币资金控制制度及货币资金监督检查制度等。职责分工
和授权审批程序是否明确规范,办理资金业务不相容岗位是否相互分离、制约和监督。
2.资金预算管理:企业的资金管理是否纳入预算管理范围,是否按预算管理的规定定期编制资金月度预算,企业的各项费用开支是否均纳入资金预算。
3.资金使用、审批、支付:是否对企业资金使用进行分类管理。资本性资金支出、专项管理的成本费用支出及管理费用支出等不同支出的资金是否规定了不同的审批程序,各项支出的审批流程及审批权限是否明确;资金支付的申请、审批、复核和办理是否按照规定执行;财务部门在执行资金支付程序时,是否实行计划、审核、支付的独立程序,并定期核对。各项捐赠支出及大额资金支付的审批是否符合制度规定。
4.资金安全管理:是否严格执行资金管理岗位责任制,出纳人员是否兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作,是否存在一人办理货币资金业务全过程的情况;是否存在未经授权的机构或人员办理资金业务或直接接触货币资金的情况,是否存在越权审批的情况。使用电子支付的单位,操作人员是否加强对交易和支付行为的审核,根据操作授权和密码进行规范操作,个人证书和密码是否由责任人保管。
5.现金和银行存款管理:库存现金是否符合制度规定,是否严格执行《现金管理暂行条例》,对不属于现金开支范围的业务是否通过银行办理转账结算;是否定期或不定期地对现金进行盘点,是否存在“白条抵库”等情况;取得的资金收入是否及时入账,是否严格执行“收支两条线”管理,是否存在收款不入账,账外设账,“坐支”电费收入的情况;银行账户的开立、变更、注销是否经上级部门批准;电费资金账户是否专门设立,是否全部纳入财务部门管理;其他部门和人员是否存在开设、管理银行账户和印鉴的情况;是否指定专人定期核对银行账户,每月至少核对一次,编制银行存款余额调节表,如调节不符,是否立即查明原因,及时处理;出纳人员是否同时从事银行对账单的获取、银行存款余额调节表的编制等工作;资金收支凭证、银行存款余额调节表是否有专人复核,并重点对资金支出凭证、银行对账单真实性、合法性进行审核。
6.银行汇票管理:是否按票据管理相关制度,建立银行票据备查登记簿,登记簿登记内容是否规范健全;是否定期对银行票据进行盘点。
7.票据及印章管理情况:是否明确各种票据的购买、保管、领用、背书转让、注销等环节的职责权限和程序,并专设登记簿进行记录,防止空白票据的遗失和被盗用;是否严格执行银行预留印鉴分人保管、妥善使用的制度,财务专用章是否由专人保管,个人名章是否由本人或其授权人员保管,是否存
在一人保管支付款项所需全部印章的情况;印章的保管存放地点是否安全,用章是否履行相关的审批手续并进行登记。
(四)资产管理
1.资产管理制度建设:获取企业资产管理制度,包括物资管理、固定资产管理、工程项目管理(在建工程)及债权资产管理等方面的管理制度,分析制度是否与国家及上级管理部门的要求一致;是否合理、科学、可操作,能有效发挥管理和控制作用等制度、2.物资管理:物资核算是否满足企业管理需要;存货的入库、发出是否及时登记,工程物资的发出是否做到项目明确,核算准确;是否与存货保管部门定期对账,定期盘点,对账账不符、账实不符的情况,是否及时查明原因,并作相应处理。
3.固定资产管理:固定资产核算是否符合公司规定;是否设臵台账(或卡片),固定资产的取得是否纳入预算管理,车辆购臵是否经过上级部门审批;固定资产的报废、毁损,是否经过技术鉴定,是否报经批准;报废资产的处臵程序是否符合制度规定;资产处臵收入是否及时入账;财务部门是否定期与资产管理部门定期核对、盘点固定资产;是否按照要求购买保险。
4.工程项目财务管理:是否编制项目资金计划,按工程项目投资计划和工程进度控制工程资金的支付,是否存在支付
超过计划或因资金计划脱离实际而形成资金大量沉淀;是否按照概预算监督工程投资,控制项目建设成本;是否能够专款专用,有无挪用工程资金的情况;有无计划外建设,自行扩大或缩小投资规模,提高或降低建设标准的情况;有无为完成预算指标,在项目未完成的情况下,财务虚列完成的情况;是否按照合同约定收取履约保证金、安全保证金;是否按照合同约定支付工程预付款、进度款,工程款支付是否履行相关的审批程序,支付依据是否真实、完整、合规;是否按照合同约定扣留质保金;待摊费用支出是否符合国家相关规定,是否严格控制在概算之内;工程竣工交付使用是否及时计入固定资产;是否及时办理财务决算。
5.债权资产管理:是否开展账龄分析,定期督促相关部门进行欠费催收;三年以上的应收款项形成原因,是否存在损失风险;预付账款是否按照合同约定支付;财务核算是否正确,有无成本挂账、对外投资挂账的情况;职工借款是否按照规定及时冲销,有无长期挂账的情况;关注与外单位的往来情况,重点检查是否存在转移国有资产、长期无偿占有国有资金的情况,并检查其合法性、公允性,是否存在损失风险。
(五)收入管理
1.制度建设:是否建立收入管理的相关制度,是否涵盖企业营销、资产租赁及出售等各项收入,是否能够有效控制和
防范收入流失。
2.电费收入:财务部门和营销部门是否定期核对应收电费和实收电费;是否每日核对收费报表和电费到账情况;电费坏账的核销是否按规定程序进行审批、账务处理;财务部门对长期未收回电费,是否定期发函确认;对以实物资产抵偿电费的,其价值是否经过相关机构评估,产权是否存在瑕疵,是否立即办理过户手续,抵债资产(尤其是土地、房屋等)的管理是否有效;违约使用电费、违约金是否按标准收取并按对应科目入账;营销部门与财务部门的预收电费数据是否相符。
3.其他收入:资产出租收入、报废资产或废旧物资处臵收入及业扩报装收入等其他收入是否及时入账;资产出租是否建立出租台账,财务部门与相关管理部门是否定期核对;财务部门是否定期与营销部门核对业扩报装收入,并与当期的新增用户核对;是否存在收入挂账或收入不入账的情况。
(六)投资、融资管理
1.制度建设:是否按照公司的管理要求建立科学的对外投资决策程序,是否建立责任追究制度;是否建立筹资业务的岗位责任制和授权批准制度,建立筹资决策审批制度,严格控制财务风险。
2.对外投资:对外投资是否经过可行性研究和评估,是否执行集体决策,是否报上级部门批准;是否对投资项目进行
跟踪管理,掌握被投资单位的财务状况和经营情况,防范投资风险;对外投资的处臵、转让是否经过集体决策,是否报上级部门批准;处臵或转让价格是否经过评估,价格是否公允;对外投资的财务核算是否符合规定。
3.对外融资:对外融资是否纳入当年预算,是否编制对外融资方案,是否按制度审核并报经上级审批;银行贷款目的和实际使用情况是否一致;企业目前经营情况是否能够保证及时归还银行贷款,抵押物是否存在风险。
五、工作时间计划及人员安排
(一)工作时间安排
1、****:审计组进驻现场,进行审计准备。
2、****至****:现场审计时间。审计组收集资料,开展现场审计工作,根据审计进度与被审计单位的相关部门沟通,交换意见。
3、****至****:整理工作底稿,汇总审计结果,拟定撰写审计报告征求意见稿,提交被审计单位。
(二)人员安排 组 长:*** 副组长:*** 主 审:*** 审计组成员:***、***、***、***、***
六、审计工作原则
(一)坚持独立、客观、公正、保密的审计原则,做到诚信为本,不虚报、不瞒报和不弄虚作假。
(二)严格遵守职业道德基本准则,在审计中自始至终保持形式上、实质上的独立。
(三)严格按照独立审计准则制定审计计划,实施审计鉴证程序,在取得充分适当的证据的基础上发表意见和出具报告书。
七、工作纪律
(一)坚持原则、实事求是、认真负责、努力工作、讲求质量,确保本次审计工作顺利完成。
(二)廉洁自律,忠于职守,不得接受被审企业的任何馈赠;不得以接业务为理由满足企业任何非正常要求。
(三)遵守被审企业的工作纪律,按时上下班,如需加班,要征得企业同意。
(四)对执行业务过程中知悉的企业的商业秘密及相关资料要严加保密,不得对外泄露。
第五篇:浅议农村信用社计算机内控制度审计
银行系统论文:浅议农村信用社计算机内控制度审计
随着金融电子化进程的日益加快,农村信用社上机业务不断增加,如何控制计算机系统风险就成为农村信用社内部控制制度的重要内容。计算机内部控制审计是指对信用社应用计算机处理的内部控制情况进行审计,除了检查电脑所产生的结果,而且还要深入检查电脑处理资料的过程,包括内部控制的评估,系统程序逻辑的检查,所记录信息正确性的检查,系统输入、输出的检查等,使审计人员可以深入了解电脑运行及信息处理过程,电脑输出的可靠性有了保障,审计水平、质量大大提高。具体讲,农村信用社计算机内控制度审计应把握如下几个方面:
一、系统设计开发的审计
1、开发系统应当和业务系统分离,程序员职能在开发系统工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。
2、系统管理员不能兼任柜面及事后审计等工作,不能参与相关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。
3、启用新的应用软件,应当按规定手续移交系统维护人员安装业务系统,并做好日志记录。
4、重要应用系统应用软件运行过程中出现异常现象,信用社应当立即报告本级计算机安全管理职能部门,做好详细记录,经领导同 1
意后,由系统管理员进行检查、修改、维护。
二、管理工作的审计
1、执行规章制度的审计。对信用社执行规章制度情况进行审计,主要是检查信用社应用计算机后各项规章制度的执行情况,建立完善机房的各项管理制度等情况。包括岗位责任制是否严格分工、互相制约;控制制度是否健全以及能否有效执行等;是否遵守上机规则,严格执行操作规程和各项规章制度。如:是否坚持双人双锁管理机房,是否做到人走时退出操作画面,操作员是否在自己的密码下工作,有无在别人的密码下操作等违规现象。
2、保密措施的审计。对信用社计算机应用保密措施进行审计,主要检查计算机系统的安全保密性,上机人员是否遵守保密规定,认真保管好自己的代码和密码,并依情况不定期地变动密码,以防密码泄露;是否执行业务处理的保密制度,未经允许是否按规定不向他人公开数据文件和程序。同时还要检查是否按规定进行软件管理,按规定临柜作业机器中不允许装有业务处理源程序等。
3、档案管理的审计。对信用社计算机档案管理情况进行审计,保证档案资料的完好性,应检查每天日终处理按规定复制的文件副本、拷贝的磁盘、磁带和各种打印帐表的正确完善;并检查是否按要求专人负责、异地保管,且保管条件是否符合要求。
三、物理环境的审计
对信用社计算机物理环境的审计,主要是检查机房是否建立健全并执行了机房管理制度,供配电系统、空调系统、机房装修是否符合
技术要求;是否有防火、防水、防鼠、防静电、防电击、防盗、防电磁干扰等防护措施,机房环境条件(温度、湿度、清洁度)是否符合要求,是否坚持了卫生制度;机房内有无危险性、腐蚀性、有毒性和强磁性物品。同时检查计算机的通讯网络系统,对数据传输是否有备份线路,以防止通讯系统的物理故障或自然灾害对金融计算机系统运行的损害和破坏。
四、业务核算管理工作的审计
1、检查输入、输出数据是否正确可靠,处理是否完整。检查帐务核算的准确性和完整一致性,检查事后监督能否正常发挥作用,特别是对计算机处理的结果要进行必要的核对。
2、检查凡要求输入计算机进行业务处理的会计业务事项,是否均有合法的会计凭证或者根据经业务主管人员盖章的书面通知办理,是否存在输入无凭证的数据及非法操作,以及凭电话或口头通知进行输入数据的情况,严防违法行为,以维护信用社信誉。检查时应注意通知开销户、增减利息积数、调整利率、冲正错账、修改计息帐号等涉及修改帐户信息的业务,是否经会计主管人员签字盖章后输入机器进行处理。所有会计凭证是否坚持按序时记帐的原则输入计算机。
3、对冲正存、贷款记帐串户的凭证,应检查原误记帐户是否对应相符,计息的存、贷款帐户的串户冲正,是否相应调整了计息积数,误记帐户的原因除看错外是否还有别的原因。
4、检查单位存款帐户开户手续是否完备,是否符合要求,审计有无内外勾结非法利用单位开设的存款帐户进行投机倒把、索贿受贿
等犯罪活动。
5、审计有无违法帐户(即信用社内部人员为营私舞弊而私设的假帐户)。对其审计方法是:根据开户必须提供的证件以及分析该帐户的存、取款的具体情况,审计有无利用违法帐户进行贪污存、贷款和利息以及套取现金、转移或占有他人储蓄的假帐户。
6、检查是否加强凭证、业务印章的管理。
7、检查是否加强结息管理,坚持按旬、月、季核对积数、利率、计息标记,是否坚持结息前检查,结息后复查。
8、检查业务处理的整体性,未经允许是否存在擅自修改数据和程序的现象,以防止信息破坏,防止操作失误,保护磁存贮设备中的数据和程序,防止复制资料和非法输入数据。
五、操作运行的审计
1、开机与日终处理检查。每天营业前和营业后的日终处理,是计算机业务处理的主要内容。审计部门应安排既懂业务又懂操作的人,定期到各上机点检查此类操作。检查的内容应根据各自系统的情况而定,通过审计和检查可防止作弊行为和减少由误操作而带来的损失。
2、操作运行合法性、准确性的检查。业务操作无论作弊和失误,都必然与计算机操作密切相关,非法的操作势必会引起事故的发生。为此,应临机检查业务操作的合法性、准确性和有无非法更改作业文件。在这里可以采用计算机对计算机审计的方法:
①利用运行中的应用程序,在修改分户账、总帐、计息帐号、利
率、利息区分等信息的程序中加上复写修改前后内容至某文件(审计文件)的功能。则在运行这些修改信息程序时,其修改前后内容就自动记录至该审计文件中,这个文件就是审计检查的依据。
②开发与原程序进行比较的审计文件,它反映系统的整个运行过程。该文件可以将非正常业务和正常业务作业的异常结果编辑打印,并能自动记录下人为修改帐务信息的经过和变化部分,以备检查,还能自动检查作业运行过程是否合法。
③在程序内编制使用系统资源的限制,以限制使用某程序、某设备的范围,从而达到审计控制的目的。
3、按照业务审计的目的和流程,编制特定的计算机审计程序,然后监察并记载计算机运行情况,检查其安全薄弱环节。
六、业务数据的审计
1、检查备份数据(分户账、日结单、日计表、总账等)与机内储存数据是否相符,机内各分户账轧平总余额与总账余额是否相符。
2、模拟计算机工作过程,用手工进行某天帐务处理,并将手工处理结果与计算机处理的结果核对。
3、在应用系统副本下运行业务数据。根据某月底或某结息日数据文件,然后利用每日软盘备份上流水账(其各科目日结单可与当天传票数据核对,以证实是否相符),采用故障恢复手段,利用流水账恢复分户账,重作日终处理。依此下去核对10天或月末各种数据(如余额、积数),并可与临柜机内数据核对。也可在审计部门微机上重新进行计息处理,然后抽查一些账户核对,从而有效地控制计算机犯
罪。
点击咨询 