1、基于制度控制系统内部审计方法制度基础审计应该是内部审计关键采取方法。该系列文章意在对该种内部审计方法进行简述并探讨怎样更有效地开展内部审计工作。我们也试图论证内部审计和外部审计在方法和目标上不一样点。 近几年风险管理兴起让很多内部审计师开始考虑开发基于风险内部审计方法。然而,风险并非单独存在,而是和组织或制度目标没有实现关联在一起。风险自然应包含在制度基础审计方法中。该方法使我们能够在整体制度框架内考察内部控制充足性和可靠性。 制度基础审计在开始时是由外部审计师为提升效率而开发。然而,制度基础审计方法在成为更有效内审方法前还需要深入开发和提炼。外部审计是对组织财务报表发表意见,而内部审计目标则
2、完全不一样,她们和各层经理一起工作,不停改善和优化内部控制、风险管理和企业治理。不一样目标造成内部审计不能完全照搬外审方法,而应该依据自己特点来开发属于内审自己方法。分步进行内部审计 通常见分段式方法描述制度基础审计方法。但也不能按字面意思描述,并不表示每阶段必需在上一阶段完成后才开始。相反,制度基础审计应该看做一个整体。经过应用该整合方法,审计师知识将逐步扩大。在审计每个阶段审计师全部应重新考虑方法是否适用,不停回顾对体系了解,在必需时候也要把重大事宜通报给经理。制度基础审计分为以下多个方面: 1.审计计划; 2.识别控制系统 3.描述现行控制 4.控制评定 5.测试关键控制 6.形成结论和
3、提议 7.审计汇报 在审计计划阶段,要考虑前期审计结果并了解相关制度。即使审计初步计划已经和被审系统(制度或步骤)责任人达成一致,也要依据新情况和后续进展考虑对初步计划进行修改。假如该系统最近经过复核,那么复核统计更有利于了解被审体系。假如被审体系经理在每次审计前全部要从头给审计师介绍这个体系,那简直太遭了。然而,要想对该体系有个清楚全方面了解必需是渐进过程,直到审计结束后才可能有完整了解。审计师应像锯条一样促进对业务了解:先看边缘和轻易了解部分,然后再进攻比较困难关键部分。 审计师描述步骤深入程度取决于她对系统了解。只要审计师发觉部分细节就应该统计,但这个阶段不要求审计师给出很全方面步骤描述
4、。审计测试和审计汇报、和被审对象讨论等全部会加深审计师对制度步骤了解。在计划结束时再描述步骤图或统计是个好主意。最少也要严格复核,然后,在审计汇报公布时再作必需修改。 控制评定是每次审计很关键阶段。在内控测试前应该完成控制评定。要注意是:仅对那些存在且可能降低风险控制才进行测试。然而,评定仅是测试一个引导,测试程序要伴随对制度步骤更深入了解而不停修订。假如审计师意识到控制根本不起作用,那就应该立即停止测试。假如在测试过程中又发觉了部分关键控制,那还要开展更深入测试。 对内部审计来是说,利用测试来说明控制是否有效地确保了制度步骤目标或控制是否降低了风险。控制本身未见得是好事,所以只要其有效运行并
5、对体系目标实现有重大影响就应该不停测试。所以控制测试实际上反应了制度步骤全方面属性、审计师对体系了解和不一样控制相互关系。 形成结论和提议通常是内部审计最终一个阶段。但也有可能开始时就能形成初步“结论”,对以前对该制度步骤了解和和经理人员会谈全部能使有经验审计人员形成对控制环境和改善方法等初步见解。见解会伴随审计开展不停深入、升华。. 审计汇报,包含书写正式汇报和和经理意见交流,是审计人员对制度步骤了解、进行弱点分析和提出改善提议关键阶段。汇报阶段应该客观复核控制系统各个方面和分析整个系统合理性。写汇报使审计师有机会“站在画外看画”。 在分析审计结论并考虑是否还要附加控制来改善时,一定要注意利
6、用对整个系统和各块控制相互关系了解为基础来分析。假如需要,还要进行必需质询和附加测试。 没有经验审计人员要按制度基础审计方法逐步实施审计。伴随经验增加,应利用更高级方法。经过参与项目,审计师知识和对体系了解会愈发深入。这些知识应该不停和审计方法、测试范围和程度和审计汇报时间相适应。内审计划 内部审计师期望组织更有效率并提升价值。为了使得审计价值不过于“虚”,审计师应该确保能充足地计划审计工作并确保有效率完成工作。审计师应注意是否复核了被审系统体系全部重大方面和是否存在有效控制来管理风险。为此,审计师应该和业务经理合作开展工作。所以能够考虑在审计开始前几周内把审计工作概要计划发给业务经理。这么,
7、能够使经理能对审计目标和范围提出意见和提议并预先通知其能够依据审计计划来安排工作。 在每次审计前应该召开开启会,由审计师(包含审计经理和项目经理)和被申单位经理参与。对审计师来说,目标以下: 1.讨论步骤或体系目标和影响目标重大风险; 2.对该步骤或体系岗位、职责和汇报关系有个大约了解; 3.考虑步骤或体系经理关心事项或期望在审计过程中关注事项; 4.初步对审计范围和目标达成一致。 内部审计师应尽可能依据业务情况灵活安排审计时间,最好不要进行进行“忽然审计”。大多数经理全部很忙,审计师应和经理沟通确定适宜时间。在计划过程中要制订清楚时间预算,当然,预算应足够灵活。审计项目可能会超出预期时间,但
8、这种情况仅在确实需要加强对全部重大方面了解情况下才。另外,可能还需要加些时间用来计划汇报并提出大量提议,这在控制很微弱步骤或体系中尤其关键。 然而,人员安排需要严格控制。假如内部审计师在一个项目上拖延了时间,那就要在以后项目中找回来。部分审计项目不可避免要延长,另部分项目很可能提前完成。内部审计师在分配给部分项目标时间应该是灵活。但审计经理是在整体预算中给各个审计师分配任务,所以审计师不能放松对自己要求,每十二个月计划审计项目一定要在该年总时间预算内完成。假如不能完成,内部审计要对审计委员会述职并对碰到问题和没有按时完成任务原因给出合理解释。 审计经理要确保分配任务时考虑审计师经验和知识、技能
9、。不需要成为每个被审领域教授,但她们应该有该领域基础背景经验,这么她才能识别控制环境并分析出弱点。对部分审计领域,如信息系统和资本支出合约审计,专业知识是必需。 每次审计督导程度取决于审计师水平,体系复杂性和技术或专业属性。在每次审计前,审计经理全部要确保全体审计人员了解审计工作、工作方法和访谈量和样本量等。另外,每个审计人员全部应畅所欲言,把她们在审计中发觉问题和碰到不确定性说出来和大家讨论。讨论绝对是内审人员利器,有利于知识和经验在审计团体中传输。 审计计划对于内部审计师有效完成审计工作和愈加好和审单位配合开展工作全部是很必需。计划应主动复核修订,不应该看做是程序化步骤。正所谓未雨绸缪才能
10、预防损失。控制目标和关键控制内部审计关键任务 内部审计人员一定对控制程序感爱好,然而她们并不单纯地认为控制程序是有帮助。控制程序通常是为了某一个目标而存在,这个目标确保该系统或程序能达成它目标。只有在为达成该目标而能将风险控制在可接收水平时,控制程序才有必需存在。这么,一些环境下内部审计人员可能会提议删除一些控制程序。比如,她们认为该程序无助于降低关键风险。 基于控制系统审计方法关键围绕系统目标来进行,比如,现存控制系统是否为高级管理者和董事会达成系统目标提供了足够保障,现行内部控制系统是否将犯错误几率降至可接收水平。在内部审计人员开始具体单项审计任务之前,她们首先要清楚相关组织和管理层目标。
11、 控制目标 控制目标形成了具体审计任务主体框架。需要将系统目标各个方面加以细化。内部审计人员基于上述细化了特定控制目标来评价整个现行控制系统。控制目标需要被充足细化认为上述评价提供基础。应该避免笼统说法,比如“确定支持性服务是充足”。 经过考虑下列控制方面,综合性控制目标能够应用于任何系统中 1.系统是否进行充足计划? 2.是否合适监督和控制实际操作? 3.是否定时复核控制系统? 4.能否产生合适管理信息 内部审计人员需要同被审计系统责任人就系统目标和审计人员指明控制目标取得一致意见。在最初会议上,应该就这些问题取得一致意见。同时,系统责任人应该被要求签字确定审计任务范围和目标 关键控制 在控
12、制目标达成共识以后,内部审计人员需要明确她们认为能为目标达成提供保障控制程序。这些控制程序被称为关键控制。假如足够幸运话,能够借鉴相关系统已经有控制程序表,表格中需要书面统计该系统标准控制目标和随之产生估计关键控制。 期望关键控制表目标是为了在审计过程中辅助评价实际存在控制程序。有必需对期望控制程序进行仔细地复核,以确保其合适性。标准期望存在控制并非总是和实际相关,有必需时应该依据被审核系统特殊情况加以调整。 假如审计人员未能确定关键估计控制,就可能存在仅仅关注实际控制程序而忽略了本应有控制程序危险。在确定关键控制程序以后,那么经过关注被审查系统关键控制方面,审计时间就能够得到有效使用。在众多
13、控制程序中,关键控制是最关键,也是最基础控制程序,它能够保障每一项控制目标均能达成和全部关键风险全部得到控制。审计人员应该关注于关键控制合适性和可靠性评价。确定和统计现存控制程序 制度基础审计应该严格评价现行控制程序是否能够完成系统控制目标,所以,明确现行控制程序是制度基础审计一个关键任务。在对现行控制程序有着清楚且完整认识之前,内部审计人员无法对现行内部控制程序进行评价和测试,甚至提出改善意见。书面统计现行控制程序能够帮助审计人员了解这些控制程序,并建立评价基础,进而设计下一步测试战略。 信息起源 对内部审计人员来说,了解现行系统能够从各个方面取得信息,包含: 1.同职员和经理进行面谈 2.
14、复核现行文件 3.观察实际工作情况 4.参考以前审计汇报面谈是关键 在系统中工作职员是最关键信息起源,她们了解系统是怎样操作,并对怎样进行改善有着合理提议。所以对于审计人员来说,面谈技巧是很关键。她们应该能够了解一个复杂系统,并能够严格评价系统每一个阶段,比如,为何这么操作,这么操作能够变得愈加有效? 系统中职员往往知道她们是怎样做,但并不一定了解为何这么做。她们可能会试图从最好角度来进行解释。所以,内部审计人员应该有能力是全部面谈职员坦诚布公,谈论她们实际作了什么(而不是她们认为应该做什么),而且提出她们认为能够改善地方。了解为何这么做可能是比较困难,职员可能会说我们一贯是这么做,甚至会说是
15、审计人员告诉我们这么做。 有经验审计人员能够同面谈职员轻松地进行讨论,并使其毫不掩盖描述系统,了解实际发生情况,并确信改善方法是否可能有是操作性。 其它需要关注地方 审计人员能够检验企业书面文件,比如章程、函件、委员会汇报、岗位描述、组织架构图、方针和程序指南和财务规章等。这些文件统计了系统是怎样要求,但并不一定反应了真正工作状态。内部审计人员能够依据这些文件内部控制合适性,或最少能够了解管理层对内部控制态度。 内部审计人员能够经过对实地环境和工作方法观察来深入取得相关实际操作程序证据。 在没有其它实地证据能够证实该事件可能发生情况下,实地观察法是一个很好方法。然而,内部审计人员应该意识到,她
16、们出现会使受观察职员行为和操作受到影响。 以前由其它内部审计人员、外部审计人员和其它检察机构出具检验汇报也是十分有用信息起源。然而,对于这些汇报应该谨慎对待。内部审计人员应该充足考虑到,上述汇报作者是否完全了解系统,汇报是否涵盖了系统全部方面,是否有含糊其辞现象。这种思索能够使内部审计人员提升自己汇报水平和质量,比如,她们汇报是否会使其它使用者快速地把握住系统和内部控制关键方面? 内部控制 审计人员需要了解系统工作方法和关键程序操作规则,但实质上,她们仅对内部控制感爱好。内部控制有很多不一样方法,最关键内部控制方法能够被归纳为SOAPMAPS: 1.职责分离:交易授权、统计和对应资产保管应该由
17、不一样人员来实施(Segregation of duties) 2.合适组织:应该有清楚组织架构,全部职员应该有立即更新岗位职责明确各自责任(Organisation) 3.授权和同意:全部交易和决定全部应该由有权限人员给予正式授权(Authorisation) 4.实地控制:对于进入办公室、接触资产及受控制办公用具和计算机系统等行为全部有合适实地控制(Physical) 5)管理层:提供合适财务和管理信息;利用例外汇报管理;对于危机复核和质询管理(Management) 6)核实和会计:检验/复核她人工作;统计订单、发票、工资单等;编制银行调整表;控制账户设置等(Arithmetical a
18、nd accounting: checking) 7)人事:职员雇用需要经合适控制;全部职员在上岗前应该受到合适培训,并受到定时评价(Personnel) 8)监督:应该由了解操作程序并能立即发觉问题人员对全部职员和行为进行充足监督(Supervision) 统计内部控制 这个阶段,全部内部审计工作应该被书面统计下来,而且能够充足地支持相关内部控制是否合适和可靠结论。在关键风险方面关键程序和关键控制应该清楚、正确地统计。审计工作底稿应该包含: 1.系统说明,能够以文字和/或图表形式 2.面谈和会议统计 3.现行关键控制及其可靠性统计 4.现行内部控制能够确保预定控制目标得以实现程度 5.审计抽
19、样和测试控制证据 相关程序和控制统计方法有很多个,比如,步骤图、关键控制表、内部控制问卷及相关说明等等。不管采取哪一个方法,全部应该连续使用,这会有利于以后检验中很快地了解程序。系统书面统计应该:清楚易懂;提供标准化方法;强调风险点和关键控制 这些书面统计目标: 1.帮助内部审计人员能够检验收到信息,而且组织她们思绪和学识,从而使其能够系统地评定和测试; 2.具体地统计所碰到问题、所做工作证据和由此得出结论,也为以后做审计计划提供参考; 3.证实审计工作得到合适计划、控制、实施和汇报 内部审计人员了解现行内部控制程序而且统计以后,她们能够深入评价这些内部控制是否合适。不过,审计人员应该注意,内
20、部审计并不是简单地按部就班地来进行。当审计人员对已确定控制程序实施测试时候,她们可能会发觉深入控制程序,或预想控制程序被没有得到实施。这时候审计人员需要修改相关系统统计,从而确保和实际操作中控制相一致。 这个系列第三部分,也就是最终一部分将在ACCA学生杂志6-7月份中登出。现行内部控制程序评定 对每个系统审计来说,关键应该集中于对内部控制充足性和可靠性评价,这些内部控制应该能够确保既定目标实现。上述评价工作形成了审计工作关键。然而,比如控制环境、系统效率和最好方案采纳程度等关键方面也需要被复核。 每一个现行内部控制评价需要两个步骤。只有实现了下列两个方面才被认为是可靠: 1.审计评价需要证实
21、理论上控制程序设计是充足,并能确保既定控制目标实现(健全性); 2.要有充足审计证据证实上述控制程序得到了连续、可靠实施(遵照性) 假如内部审计人员经过最初评价认为控制程序不充足或认为无必需取得对应控制目标,则无需测试控制程序。 将实际和期望控制程序相比较 当实际控制程序被确定后,需要将其统计成文并和期望控制相比较,可采取下列方法之一: 1.实际控制和期望控制相等 2.期望控制不存在,但存在充足替换程序 3.期望程序不存在 确定控制程序和期望程序完全相符也是可能,这可能表示附加程序存在。假如附加程序被认为对于取得控制目标很关键,它也需要进行评定。或,假如实际上期望控制程序不存在,需要说明它所带
22、来影响。 事实控制程序和期望控制程序能够不一致。针对某一特定程序,能够有若干种作用相同并被认可控制方法。基于上述原因,内部审计需要确定以下: 1.当将实际和期望关键控制相比较时,需要考虑赔偿性控制存在 2.在整个控制评价过程中,需要考虑现有控制程序是否全部有存在必需。 删除或修正控制程序时候,可能会使操作系统增加部分不关键风险,但能够节省成本。 评定内部控制弱点 内部审计评价需要考虑令人不快事件发生可能性(风险)和其对组织影响程度(关键性)。内部审计人员利用她们自己判定能力来确定在相关风险和关键性水平中何种控制水平是适宜 风险能够被看作是一个或多个企业目标未被实现机会或可能性。关键性是用来评价
23、未取得该目标所带来影响程度。关键性能够用相关财务指标、目标重用性或包含区域敏感程度来衡量。在考虑关键性时候,内部审计人员需要考虑下列原因: 1.可能发生直接或间接财务后果 2.特定管理目标在整个组织目标中关键性 3.潜在对企业声誉损失或负面影响 在考虑潜在错误本身影响同时,内部审计人员也需要考虑应对错误而产生成本。这么成本包含调查成本、纠错成本和对相关行政当局进行必需解释成本 替换性、赔偿性控制 在一些时候内部审计人员会失望地发觉没有找到期望控制程序,这时需要寻求能够填补替换型控制程序。比如,在审计销售程序过程中,控制目标之一是订货、付款和记账等程序由书面要求并被很好实施。内部审计人员发觉实际
24、没有上述程序指南(达成目标期望控制程序)。不过,参与此项工作职员很有经验和专业技能,并被严格监督,这种环境下,内部审计人员能够认为职员经验和专业技能及监督水平充足抵偿了缺乏程序指南所带来潜在漏洞。据此也能够认为控制目标已经实现。 内部审计人员应该考虑每一个存在控制程序是否合适。另外,也需要评价整体控制以确定某一特定控制目标是否已经实现。测试现行控制 当实际关键控制程序被确定和评定时,内部审计人员应该实施一些测试来确定上述控制程序是否合适、必需、可靠,而且按要求实施内部审计人员在实施测试而选择交易样本时,应该考虑以下原因: 1.样本应该从全部交易中选择,比如,当测试全部付款是否全部适当授权时,样
25、本应该从银行队长单或付款账簿中选择,而不应该从付款发票中选择。 2.样本覆盖区间应该合适。通常从应该上次审计结束时开始。然而,选择时应该愈加倾向于目前财务年度,尤其在上次审计在若干年以前进行时候。假如系统有重大改变时候,样本只需要包含改变开始以后期间。 3.应该书面统计挑选样本方法,样本应该包含全部关键交易类型。 4.测试应该集中在高风险区域。 符合性测试 符合性测试目标是确定现行控制程序可靠并按要求实施。例子之一就是检验每一张发票开出全部得到合适管理人员授权。复核性测试关键目标不是用来发觉错误和潜在欺诈,而是用来发觉有没有未按要求实施控制程序。对内部审计人员来说,错误或遗漏原因和控制程序可靠
26、性比单个错误或遗漏更关键。在整个系统审计中,复核性测试应该成为测试标准形式。实质性测试 和实质性测试相关是结果正确性和完整性,而非控制程序合适性。例子之一就是检验支付款项金额和发票金额相一致。实质性测试在整个审计程序中只是被有程度采取。然而,内部审计人员在没有其它方法来说服管理层时,可用实质性测试作为存在性或弱点严重程度证实。内部审计人员需要记住,是实施程序通常是不经济,而且假如不能为实际错误提供证据时候,也会减弱她们论点。测试技术 审计人员能够实施很多个不一样方法来进行测试内部控制,但应该注意选择最符合成本效益标准方法,以取得每一被测试内部控制可靠性证据。内部控制不一样属性会影响测试方法选择
27、,但关键应该采取以下五种方法: 1.实地观察法:对于没有连续性统计活动来说,实地观察法是一个很有效方法。持 续观察能够发觉是否有不正确进入受限制区域行为。 2.面谈:当证据缺乏或不清楚时候,面谈是很有用。不过审计人员应该注意,她们行为可能会影响面谈人员态度,有时不合适方法会引发非正常或防御型反应。 3.鉴证:验证是指独立确定交易真实性、正确性和有效性。然而,内部审计人员首要任务应该是评价和测试内部控制,而不是简单地核实数据本身有效性。当初用验证测试方法时,应该确保这和内部控制实施是相关联。验证通常使用以下方法: 1)比较法:和确定事实或标准相比较。比如,指导手册是否立即更新,或职员是否在要求间
28、隔时间内受到合适培训 2)确定:检验绩效说明,如和用户查对送货时间是否和供给商说明一致 3)追查单据:检验交易相对应单据,比如,核查对供给商付款是否和对应订单、收货单一致 4.重新核实:在计算或测量被作为控制手段之一时,审计人员可重新核实以确定该项控制是否实施 5.分析性复核包含复核关键比率合理性、趋势或其它数据。比如,将多个月工资比率和职员人数相比较。这么,它即使关键是实质性测试工具,也能够为总体控制环境质量评价提供证据 当对现行内部控制可靠性测试完成以后,内部审计人员将开始最困难,也是最能表现其职业水平部分提出提议和结论汇报提出提议和结论汇报 内部审计由两个相关联任务。 第一,应该合理地向
29、董事会或其它类似部门汇报,是否组织重大风险全部已经得到合适管理,关键强调内部控制标准; 第二,内部审计应该汇报,在不停改变环境下,组织重大风险和系统内部控制是否也在对应提升和完善。 所以,内部审计人员应该就其审计任务提出两个关键方面叙述。首先,应该就其审计系统内部控制质量提出一个清楚见解或结论;其次,应该就怎样提升系统内部控制质量,或降低组织面临风险提出一系列提议。这两点不应该混淆,审计结论不应该是所提出提议概要。审计人员应该给高层管理者和董事会一个清楚明确结论,即现行内部控制对降低组织面临关键风险、达成其控制目标到底有多少作用。内部控制是否能对组织目标提供完全保障?或仍相关键缺点需要考虑?提
30、议在每一项任务实施过程中,内部审计人员全部应该考虑其应该提出提议。经过什么方法能够使组织愈加有效地完成目标,或降低风险?当她们发觉可能控制弱点和失败时,应该考虑以下几点: 1.这项控制有多关键? 2.存在补充性或替换性控制来降低其内在关键性吗? 3.为何会产生差错,这种差错有多关键? 4.这种控制失败是单独吗,它会再次发生吗? 5.深入测试(用以确定结论)是必需或可行吗? 6.控制弱点是否很关键,以致需要立即通知管理层?内部审计人员提议包含以下几点: 1.介绍深入控制 2.修改或填补现行控制,使其愈加有效 3.确保现有控制制度得到定时和一致实施 4.降低无须要控制 5.介绍最好控制实践内部审计
31、人员不应该因其爱好而推荐引入或加强一些控制。她们应仅推荐那些能够将关键风险水平降至可接收程度或能很好管理关键风险控制程序。在已发觉控制风险和推荐控制程序之间必需找到平衡。推荐控制应该和风险关键性和可能发生程度相当。引入控制程序成本应和估计控制或降低风险成本相当。实施全部内部控制程序成本应和组织从中可能取得利益相当。 内部审计人员提议需要和特定组织环境相适应。内部审计人员需要仔细考虑:何种控制方法最适宜该组织、该部门企业文化。提议应该足够细致明确,使经理人能正确了解审计人员推荐引入控制程序。审计人员可能还不了解何种控制方法真正起作用,但在形成审计汇报前,和经理人员进行探讨能够处理该问题。审计人员需要确定,该经理人员比审计者愈加了解系统运作,而且经过讨论,她们可能需要修改其提议。 内部审计人员需要确定她们提议能够避免或降低发觉风险。然而,内部控制仍然属于相关经理人责任。假如经理人同意开启提议控制,她们需要确信,引入增加控制程序利益能够抵偿其成本,而且没有其它更有效控制程序存在。
浙ICP备2021020529号-1 | 浙B2-20240490 
