1、内部控制审计随着现代企业制度的建立和企业内部控制建设进程的加快,传统的报表审计、经济责任审计已远远不能满足管理层对内部审计的要求,内部审计应该在企业内部控制中发挥更大的作用,将内部控制的监督、评价作为重要的工作内容,单独立项,专门评价。衡量企业内部控制建立健全程度和抵御风险能力,寻找内部控制薄弱环节,提出强化内控建设的措施,以防范和化解企业各种经营风险,提高企业管理水平。1.我国企业开展内部控制审计的现状及存在问题目前,国内相当一部分企业尚未意识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效
2、的内部控制审计机制。一般企业中的内部审计,从内容上讲主要是围绕信息的可靠性与完整性,政策、计划、程序、法律和规定的遵循,保护资本的安全,资源的节约和有效使用,经营目标的完成等方面来展开的。内部审计从机构的设置、工作重点、审计内容的深度和广度、审计方式和规范管理等方面,还远未发挥出应有的支持内部管理的作用,更无法适应现代企业建立健全内部控制制度的要求。主要表现在以下几方面:从机构设置看,目前企业大部分的内部审计部门,基本上与其他职能部门平行,有些中小企业甚至还没有独立的内部审计部门,这种状况使内部审计机构及人员往往受利益因素制约、人际关系影响,无法独立、客观、真实、公正、深入地开展工作,做出的审
3、计处理也往往因管理体制的制约得不到有效贯彻落实,久而久之就失去了内部审计的权威性,成了企业可有可无的部门,难以在内部控制监督、评价中取得满意的效果。从审计内容看,目前,一般企业的内部审计人员往往将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,其主要职能是查错防弊而不是对企业管理作出分析、评价和作出管理建议,审计的对象主要是会计报表、帐本、凭证及其相关资料,工作都集中在财务领域而未深入到管理和经营领域。从审计方式看,目前,一般企业的内部审计都是事后审计,只将内部控制评价作为审计的一种手段而不是独立的审计内容,无法做到对企业内部控制进行全过程、全方位的监督和评价,实现事前预防和
4、事中控制,及时发现各个环节存在的问题,把企业的风险降到最低程度。从审计人员构成看,目前,内部审计正由财务领域向经营、管理领域的拓展,但一般企业审计机构在人员的构成上仍是单一化的,大多为财务出身,缺乏精通企业各相关业务的专门人才,使内部审计在企业内部控制制度中难以发挥更大的作用。2.内部控制审计的内容审查与评价控制环境控制环境的优劣直接决定着企业的各项控制措施能否执行及执行的效果。如果控制环境不好,一方面很难建立完备的内部控制;另一方面即使建立了完备的内部控制制度,也不会取得好的效果,也照样出问题。控制环境内容包括:经济性质和经营类型;管理层的经营理念;管理层倡导的组织文化;法人治理结构;各项职
5、责的分工及相应人员的胜任能力;人力资源政策及其执行。重点审查经营活动的复杂程度;管理行为守则的健全性和有效性;管理层对逾越既定控制程序的态度;组织文化的内容及组织成员对此的理解与认同;法人治理结构的健全性和有效性;组织各阶层人员的知识与技能;组织结构和职责划分的合理性;重要岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训制度;管理权限的集中程度;员工业绩考核与激励机制。审查与评价风险管理在现代市场经济条件下,企业,特别是许多大型企业,其失败更多不是其产品或劳务市场的消亡或萎缩,而是其没有很好地控制住风险。风险管理内容包括:识别影响组织目标实现的各类风险;建立风险管理机制,分析各类风险。重
6、点审查被审单位抗风险的能力;是否建立风险应急应对机制;是否定期组织对高风险项目、重要管理岗位和资金流通环节等可能发生灾害性事故的防范和应对演练。审查与评价控制活动控制活动是内部控制成败的关键所在,内部控制的环境再好,风险意识再强,如果没有严密的控制活动,那么也起不到内部控制应有的作用。控制活动内容包括:所有经营活动应有适当的授权;不兼容职务应当分离;有效控制凭证和记录的真实性;资产和记录的接近限制;独立的业务审核。重点审查控制活动建立的适当性;控制活动对组织目标实现的作用;控制活动执行的有效性;控制活动对风险的识别和规避。审查与评价信息与沟通信息与沟通是企业应对情况改变、保证控制有效的“神经系
7、统”,关键是保证信息真实与沟通及时。信息与沟通内容包括:及时、准确、完整地记录所有信息;保证管理信息系统的有序运行;保证管理信息系统的安全可靠。重点审查获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。3.开展内部控制审计的要求内部审计开展内部控制评价的范畴不应局限于内部会计控制长期以来,人们对内部控制评价的定位,一直站在制度基础审计的角度,集中于会计控制。会计控制是企业内部控制系统最基础的控制平台,是企业内部控制的主要内容,但绝不是惟一内容。以目前我国许多上市公司为例,有些公司虽然会计制度比较健全,但由于忽略控制环境问题,使管理环节
8、存在诸多缺陷,导致会计控制失效的事例频频发生。红光、琼民源、郑百文、深华源、银广夏等业已暴露的违规事件几乎都与内部控制环境弱化有着千丝万缕的联系。从目前运用最广泛的内部控制理论一美国“反虚假财务报告委员会”COSO报告看,内部控制中的控制环境被置于很高的地位,而控制环境中的大部分内容显然超出了会计控制的范畴。尤其在我国,企业的发展有着特殊的背景,控制环境包含的内容更丰富,需要解决和完善的问题更多。因此,内部审计应加强对内部控制理论的研究和学习,对企业内部控制的评价,不应局限于内部会计控制范畴,应涵盖内部控制每个层面以及每一个重要控制,尤其对控制环境中企业法人治理结构和文化建设等方面要素要给予足
9、够的关注和建议,更好地促进我国企业内部控制的日臻完善。运用风险导向内部控制评价模式在内部审计领域,人们对风险导向审计方法有着与外部审计不同的理解,更多地将风险导向中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险。内部审计领域运用风险导向内部控制评价模式,要求内审人员改变过去那种以检查历史业务一记录和内部控制系统历史运营情况而提出建议和意见的传统评价模式,把审计的起点和重点放在关注企业未来发展所面临的风险以及企业为降低风险所进行的管理活动上,结合企业目标,评价企业现有控制措施能否将其存在的风险降低至可接受水平,以风险评估的结果来主导内部控制评价重点,根据风险的性质、影响程度
10、、可接受水平,评价内部控制的恰当性和有效性,根据风险管理的需要决定所需要的控制,寻找所有可能降低风险的途径,提出管理、控制风险的建议和方法,将审计结果直接与企业经营目标和风险控制联系在一起,为企业增加更多的价值。4.加强企业内部控制审计的途径参与企业内部控制制定,改变内部控制在制定阶段主要交由相关业务部门完成的传统做法,使内部控制在建立之时就交由内部审计进行评价。内部审计师应站在企业内部控制全局的高度,统筹考虑并提出自己的建议,最大限度地克服内部控制建立时可能就有的天然缺陷。在日常审计项目中,不仅通过内部控制评价,确定审计重点和审计风险,用以指导审计工作,而且还要对该项业务涉及到的内部控制的健
11、全性、适当性、执行的有效性进行评价,评价其关键控制和程序能否保证内控目标的实现,能否有效抵御和控制企业各种风险,发现控制弱点和控制缺陷,及时报告管理层。此外,日常审计项目中发现的问题和企业发生的“非正常事件”,往往暴露出企业内部控制的薄弱环节,内部审计师应及时对相关的内部控制进行更为详细的评价步骤,提出改进、完善内部控制的建议。对企业内部控制单独立项,专门评价。毋庸讳言,当前我国多数内审还没有从传统审计的“阴影”中走出来,仍将主要精力投入到财务数据真实性、合法性的查证而未深入到管理和经营领域,几乎没有专门为测试和评价内部控制单独立项,只是在查账过程中去发现一些内部控制存在的问题,未能充分发挥内
12、部审计在内部控制中的作用,内部审计地位也因此受到影响和威胁。随着现代企业制度的建立和企业内部控制建设进程的加快,传统的报表审计、经济责任审计己远远不能满足管理层对内部审计的要求,内部审计应该在企业内部控制中发挥更大的作用,将内部控制的监督、评价作为重要的工作内容,单独立项,专门评价。分步骤、有计划地对企业各部门、各环节的内部控制进行综合评价和全面测试,衡量企业内部控制建立健全程度和抵御风险能力,寻找内部控制薄弱环节,提出强化内控建设的措施,以防范和化解企业各种经营风险,提高企业管理水平。组织管理部门开展内部控制自评。内部控制自评是指由内部审计人员与被审部门管理人员组成审计小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,提出报告。内部控制自评可以让管理部门更好地熟悉本部门内部控制情况,明确本部门对企业内部控制的责任,促进其更好地履行职责;同时,还可以从执行者的角度更好地反映当前内部控制中存在的问题。既降低了审计成本,减少了审计人员工作量,又使内部审计达到了更好的效果。内部控制审计