| 内部控制独立审计案例及分析 |
| 审计学会秘书处 2009-08-12 |
|
为了解企业内部控制执行情况,通过对内部控制的健全性、合理性及有效性进行了解、测试、评价,揭示存在的风险,并提出改进的建议,促使企业内部控制制度有效、高效运行,使企业各项经营目标得以实现,特进行内部控制独立审计。 企业内部审计部门在编制年度审计计划时,应以风险为导向确定本年计划开展的内部控制审计项目及审计时间、重点、范围和组织方式等。内部控制审计既可以作为独立的审计项目组织实施,也可以与其他审计项目合并进行。 一、审计依据和要求 审计依据是审计署《审计机关内部控制评价准则》、财政部等五部委《企业内部控制基本规范》、中国内部审计协会《内部审计具体准则第5号——内部控制审计》及企业有关规定。 审计要求主要包括:审计人员进行内部控制测评中,在对主要业务循环的划分、关键控制点的确定、控制风险水平的评估及运用内部控制测评结果进行实质性测试程序时,均应保持应有的职业谨慎,合理运用专业判断。审计人员的责任是对内部控制的健全性、合理性和有效性进行测试和评价。审计人员应当保持应有的职业谨慎,关注内部控制的固有限制,获取充分、适当的证据,将审计风险降低至可接受的水平。内部审计部门可根据审计项目实施方案确定的审计目标以及被审计单位、被审计事项的实际情况,有针对性地确定审计范围、内容和重点。 二、审计的内容和重点 1.控制环境审计。主要检查企业经营规模及经营活动的复杂程度,管理权限的集中程度,管理行为守则的健全性和有效性,法人治理结构的健全性和有效性,各管理层人员的知识与技能,组织结构和职责划分的合理性,重要岗位人员的权责相称程度及其胜任能力,员工聘用程序及培训制度,员工业绩考核与激励机制。 2.风险评估审计。主要检查企业是否建立风险管理机制,是否具备对抗风险的能力;如何确定可能引发风险的内外因素;如何评估风险概率、重要性及预计带来的后果;如何将风险概率与管理目标、经营计划和财务报告等相关内容联系起来,存在哪些可能发生错弊的业务环节和活动领域,采取了哪些措施以及效果如何。 3.控制活动审计。主要检查企业所有经营活动是否适当授权;人员岗位职责分工是否合理,能否有效控制各种记录并保证其真实性;接近资产和记录是否存在限制;是否设立审核程序,是否有效执行;内部控制是否发生变化,执行或监督内部控制的关键人员是否发生变动;控制活动对企业目标实现的作用。 4.信息与沟通审计。主要检查企业主要业务类别及处理程序;企业能否及时、准确、完整地处理所有信息;获取企业内外部财务信息和非财务信息的能力如何;管理信息系统的安全可靠性。 5.监督审计。主要检查企业有关内部监督制度是否健全;是否设立内部监督机构;内部监督机构是否定期评价内部控制;管理层对内部控制进行自我评估和改进情况等。 三、内部控制审计的程序及方法 审计程序一般包括调查了解内部控制,描述内部控制,初步评价内部控制,评估控制风险,进行符合性测试,进行实质性测试。 ——了解内部控制。通过适当方法调查了解企业内部控制设立情况。包括询问被审计单位的有关人员,查阅被审计单位的政策和规章制度手册,审查内部控制生成的凭证和记录,观察被审计单位的经营活动,选择若干具有代表性的交易和事项进行穿行测试等。 ——描述内部控制。审计人员在调查了解中,应将企业内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来,以供测试和评价。描述内部控制除根据现有内部控制描述有关业务的运行流程和控制点外,还应根据专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。 ——初步评价内部控制。主要是在了解、描述内部控制的基础上,对内部控制各构成要素的健全性、合理性进行检查和评价。 ——评估控制风险。审计人员对企业内部控制进行初步测试、评价后,应当评估控制风险,对是否依赖被审计单位内部控制及依赖的程度作出决策。 ——符合性测试。审计人员对企业内部控制进行健全性测试、评价后,是否进行符合性测试,应当根据实际情况确定。审计人员认为比较健全、完善的控制制度,才对其进行符合性测试。对内部控制进行符合性测试,可以根据具体情况实施详查或者抽样测试,具体测试方式包括穿行测试、功能测试及跟单作业等。 ——实质性测试。审计人员在对内部控制执行情况进行符合性测试后,应当综合分析被审计单位内部控制的健全性和有效性,提出内部控制测评结果,并据此确定实质性测试的范围、程序、重点和方法。实质性测试应按照审计工作程序有关规定,采取检查、监盘、观察、计算、分析性复核、查询及函证等审计方法,对被审计单位具体经济业务信息、数据的真实性、合法性、正确性和完整性,以及被审计单位的财务会计报告及相关资料项目金额进行实证性审核检查。 四、审计综合评价及结果报告 审计人员应在对企业内部控制健全性、符合性和实质性测试的基础上,进行综合评价,总结各项测试结果,指出被审计单位内部控制的缺陷,评价企业内部控制是否健全、内部控制设计是否合理、内部控制执行是否有效等。综合评价要求主要包括三点:一是突出重点,着重评价与审计事项有密切相关的内部控制及与审计目标和范围有关的业务控制。对重大缺陷和实质性漏洞,以及高风险点的控制情况及可能造成的后果应重点关注和评价。评价既要着眼于内部控制是否能够起到保护财产、防止弊端的作用,又要看其是否能够保证和促进经济业务活动的顺利进行。对内部控制的评价及提出的建议、措施应明确、具体,针对性强。 审计人员应向管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、评价标准、内部控制失效的情形及原因、审计评价、审计意见及建议等。 五、审计发现的主要问题及建议 从内控独立审计评价情况看,企业均建立了内部控制管理机构,明确了相关责任人员和职责,此次内部控制独立审计未发现存在重大缺陷的问题。但审计也发现个别单位在内部控制流程未根据实际及时调整,个别内部控制存在一般缺陷;个别单位对所属二级单位派驻外地机构的内部控制管理存在薄弱环节;个别单位存在突破资金审批权限及补办审批等行为。分析问题产生的原因主要是个别单位负责人对内部控制制度重视不够,没有及时针对机构变化情况修正内控流程,对以前审计发现的违反规定的行为处理处罚不到位,造成有令不行、有禁不止。 根据审计发现的问题,提出如下审计建议: 一是加强内控制度的宣传力度,建议设立专职联络员制度,明确内部控制动态管理机制。 二是尽快修订完善内部控制制度,针对屡查屡犯的问题要从管理制度和体制机制上找原因,切实改进由于考核管理制度不合理导致的上有政策、下有对策的行为。 三是加大处理处罚力度,对连续两次以上发现存在一般缺陷的单位和个人进行必要的经济处罚。对严重违反规定给单位造成直接经济损失的个人解除劳动合同。 四是建议建立风险评价机制,针对审计发现的问题,结合相关审计项目情况,在对单位内部控制执行情况进行综合评价的基础上,对企业提出风险评估报告。 五是建议对审计发现存在较大控制缺陷的单位,审计部门应当于审计后至少半年之内,采取抽审、督察等方式,对其进行针对性的后续审计,检查是否落实了审计意见或审计决定。 六、审计启示 一是内部控制独立审计是开展审计项目的基础,任何审计项目都要依靠内控审计发现薄弱环节线索,关键在于被审计单位的内控制度是否得到有效执行,如果经过初步判断认定被审计单位内控制度环境并不理想,那么我们就不能依赖最初调查方案确定的范围了,必须扩大审计覆盖面,抽样调查的范围要扩大。 二是内部控制独立审计不能仅仅立足于为被审计单位评分和定性方面,要把审计评价建立在充分进行必要程序后的综合评价,特别是对于可能存在重大缺陷和风险的环节要重点关注。 三是内部控制独立审计要强调“独立”,不能完全依赖于被审计单位提供的自我评价材料,必须进行复核测试,关注内控制度是否有效执行,漏洞和风险是否存在。 四是探索建立内部控制风险控制模型,通过数据库信息的导入,充分考虑企业经营特点和管理难度,运用模型测算,判别风险可能性,提出有效防范风险的措施。 (摘自《中国财经审计法规选编》2009年第8期) |
|
|
