企业内部审计控制方法

基于制度控制系统的内部审计方法制度基础审计应该是内部审计主要采用的方法。该系列文章旨在对该种内部审计方法进行简述并探讨如何更有效地开展内部审计工作。我们也试图论证内部审计与外部审计在方法和目标上的不同点。 近几年风险管理的兴起让许多内部审计师开始考虑开发基于风险的的内部审计方法。然而，风险并非单独存在，而是与组织或制度的目标没有实现关联在一起的。风险自然应包含在制度基础审计方法中。该方法使我们可以在整体制度的框架内考察内部控制的充分性与可靠性。 制度基础审计在开始时是由外部审计师为提高效率而开发的。然而，制度基础审计方法在成为更有效的内审方法前还需要进一步开发和提炼。外部审计是对组织的财务报表发表意见，而内部审计目的则完全不同，他们与各层经理一起工作，不断改善和优化内部控制、风险管理和公司治理。不同的目的导致内部审计不能完全照搬外审的方法，而应该根据自己的特点来开发属于内审自己的方法。分步进行内部审计 通常用分段式的方式描述制度基础审计方法。但也不能按字面意思描述，并不表示每阶段必须在上一阶段完成后才开始。相反，制度基础审计应该看做一个整体。通过应用该整合的方法，审计师的知识将逐步扩大。在审计的每个阶段审计师都应重新考虑方法是否适用，不断回顾对体系的理解，在必要的时候也要把重大事宜通报给经理。制度基础审计分为以下几个方面： 1.审计计划； 2.识别控制系统 3.描述现行控制 4.控制评估 5.测试关键控制 6.形成结论和建议 7.审计报告 在审计计划阶段，要考虑前期的审计结果并了解相关制度。即使审计初步计划已经与被审系统（制度或流程）的负责人达成一致，也要根据新的情况和后续的进展考虑对初步计划进行修改。如果该系统最近经过复核，那么复核记录更有助于了解被审体系。如果被审体系的经理在每次审计前都要从头给审计师介绍这个体系，那简直太遭了。然而，要想对该体系有个清晰全面的理解必须是渐进的过程，直到审计结束后才可能有完整的理解。审计师应像锯条一样增进对业务的了解：先看边缘的和容易理解的部分，然后再进攻比较困难的核心部分。 审计师描述流程的深入程度取决于他对系统的理解。只要审计师发现一些细节就应该记录，但这个阶段不要求审计师给出非常全面的流程描述。审计测试以及审计报告、与被审对象的讨论等都会加深审计师对制度流程的理解。在计划结束时再描述流程图或记录是个好主意。至少也要严格的复核，然后，在审计报告发布时再作必要的修改。 控制评估是每次审计的非常重要的阶段。在内控测试前应该完成控制评估。要注意的是：仅对那些存在且可能降低风险的控制才进行测试。然而，评估仅是测试的一个引导，测试程序要随着对制度流程的更深入理解而不断的修订。如果审计师意识到控制根本不起作用，那就应该立刻停止测试。如果在测试过程中又发现了一些关键控制，那还要开展更深入的测试。 对内部审计来是说，利用测试来说明控制是否有效地保证了制度流程的目标或者控制是否减少了风险。控制本身未见得是好事，所以只要其有效的运行并对体系目标的实现有重大影响就应该不断的测试。因此控制测试实际上反映了制度流程的全面属性、审计师对体系的理解以及不同的控制的相互关系。 形成结论和建议通常是内部审计的最后一个阶段。但也有可能开始时就能形成初步的“结论”，对以前对该制度流程的了解以及与经理人员的会谈都能使有经验的审计人员形成对控制环境和改善方法等的初步观点。观点会随着审计的开展不断深入、升华。. 审计报告，包括书写正式的报告以及与经理的意见交流，是审计人员对制度流程理解、进行弱点分析以及提出改进建议的重要阶段。报告阶段应该客观的复核控制系统的各个方面以及分析整个系统的合理性。写报告使审计师有机会“站在画外看画”。 在分析审计结论并考虑是否还要附加控制来改进时，一定要注意利用对整个系统以及各块控制相互关系的理解为基础来分析。如果需要，还要进行必要的质询和附加测试。 没有经验的审计人员要按制度基础审计的方法逐步实施审计。随着经验的增长，应运用更高级的方法。通过参加项目，审计师的知识和对体系的理解会愈发深入。这些知识应该不断的与审计方法、测试的范围与程度以及审计报告的时间相适应。内审计划 内部审计师希望组织更有效率并提高价值。为了使得审计的价值不过于“虚”，审计师应该确保能充分地计划审计工作并确保有效率的完成工作。审计师应注意是否复核了被审系统体系的所有重大方面以及是否存在有效的控制来管理风险。为此，审计师应该与业务经理合作开展工作。因此可以考虑在审计开始前的几周内把审计工作的概要计划发给业务经理。这样，可以使经理能对审计目的与范围提出意见和建议并预先通知其能够根据审计计划来安排工作。 在每次审计前应该召开启动会，由审计师（包括审计经理和项目经理）和被申单位的经理参加。对审计师来说，目的如下： 1.讨论流程或体系的的目标以及影响目标的重大风险； 2.对该流程或体系的岗位、职责和报告关系有个大概的了解； 3.考虑流程或体系的经理关心的事项或希望在审计过程中关注的事项； 4.初步对审计范围和目标达成一致。 内部审计师应尽可能根据业务情况灵活安排审计时间，最好不要进行进行“突然审计”。大多数经理都很忙，审计师应与经理沟通确定合适的时间。在计划过程中要制定清晰的时间预算，当然，预算应足够灵活。审计项目可能会超过预期时间，但这种情况仅在确实需要加强对所有重大方面的理解的情况下才。此外，可能还需要加些时间用来规划报告并提出大量的建议，这在控制非常薄弱的流程或体系中尤其重要。 然而，人员安排需要严格控制。如果内部审计师在一个项目上拖延了时间，那就要在以后的项目中找回来。一些审计项目不可避免的要延长，另一些项目很可能提前完成。内部审计师在分配给个别项目的时间应该是灵活的。但审计经理是在整体预算中给各个审计师分派任务，所以审计师不能放松对自己的要求，每年计划的审计项目一定要在该年总的时间预算内完成。如果不能完成，内部审计要对审计委员会述职并对遇到的问题和没有按时完成任务的原因给出合理的解释。 审计经理要确保分派任务时考虑审计师的经验与知识、技能。不需要成为每个被审领域的专家，但他们应该有该领域的基本的背景经验，这样他才能识别控制环境并分析出的弱点。对一些审计领域，如信息系统和资本支出合约的审计，专业知识是必须的。 每次审计的督导程度取决于审计师的水平，体系的复杂性以及技术或专业属性。在每次审计前，审计经理都要确保全体审计人员理解审计工作、工作方法以及访谈量和样本量等。此外，每个审计人员都应畅所欲言，把他们在审计中发现的问题和遇到的不确定性说出来与大家讨论。讨论绝对是内审人员的利器，有利于知识和经验在审计团队中的传播。 审计计划对于内部审计师有效的完成审计工作以及更好的与审单位配合开展工作都是非常必要的。计划应主动的复核修订，不应该看做是程序化的步骤。正所谓未雨绸缪才能防止损失。控制目标和关键控制内部审计的核心任务 内部审计人员一定对控制程序感兴趣，然而他们并不单纯地认为控制程序是有帮助的。控制程序通常是为了某一个目标而存在，这个目标确保该系统或程序能达到它的目的。只有在为达到该目标而能将风险控制在可接受的水平时，控制程序才有必要存在。这样，某些环境下内部审计人员可能会建议删除某些控制程序。例如，他们认为该程序无助于降低重要的风险。 基于控制系统的审计方法主要围绕系统的目标来进行，例如，现存的控制系统是否为高级管理者和董事会达到系统的目的提供了足够的保障，现行的内部控制系统是否将犯错误的几率降至可接受的水平。在内部审计人员开始具体的单项审计任务之前，他们首先要清楚相关的组织和管理层的目标。 控制目标 控制目标形成了具体审计任务的主体框架。需要将系统目标的各个方面加以细化。内部审计人员基于上述细化了的特定控制目标来评价整个现行控制系统。控制目标需要被充分的细化以为上述评价提供基础。应当避免笼统的说法，例如“确认支持性服务是充分的”。 通过考虑下列控制的方面，综合性的控制目标可以应用于任何系统中 1.系统是否进行充分的计划？ 2.是否恰当的监督和控制实际操作？ 3.是否定期复核控制系统？ 4.能否产生恰当的管理信息 内部审计人员需要同被审计系统的负责人就系统的目标和审计人员指明的控制目标取得一致意见。在最初的会议上，应当就这些问题取得一致意见。同时，系统的负责人应当被要求签字确认审计任务的范围和目标 关键控制 在控制目标达成共识以后，内部审计人员需要明确他们认为能为目标的达成提供保障的控制程序。这些控制程序被称为关键控制。如果足够幸运的话，可以借鉴相关的系统已经有的控制程序表，表格中需要书面记录该系统的标准控制目标和随之产生的预计的关键控制。 期望的关键控制表的目的是为了在审计过程中辅助评价实际存在的控制程序。有必要对期望的控制程序进行仔细地复核，以确保其恰当性。标准的期望存在的控制并非总是与实际相关，有必要时应当根据被审核系统的特殊情况加以调整。 如果审计人员未能确认关键的预计控制，就可能存在仅仅关注实际的控制程序而忽视了本应有的控制程序的危险。在确认关键的控制程序之后，那么通过关注被审查系统重要的控制方面，审计时间就能够得到有效的使用。在众多的控制程序中，关键控制是最重要的，也是最基本的控制程序，它能够保障每一项控制目标均能达成以及所有重要的风险都得到控制。审计人员应当关注于关键控制的恰当性和可靠性的评价。确认和记录现存的控制程序 制度基础审计应当严格评价现行的控制程序是否能够完成系统的控制目标，因此，明确现行的控制程序是制度基础审计的一个核心任务。在对现行的控制程序有着清楚且完整的认识之前，内部审计人员无法对现行的内部控制程序进行评价和测试，甚至提出改进意见。书面记录现行的控制程序可以帮助审计人员了解这些控制程序，并建立评价的基础，进而设计下一步的测试战略。 信息来源 对内部审计人员来说，了解现行的系统可以从各个方面获得信息，包括： 1.同职员和经理进行面谈 2.复核现行的文件 3.观察实际的工作情况 4.参考以前的审计报告面谈是重要的 在系统中工作的职员是最重要的信息来源，他们了解系统是如何操作的，并对如何进行改进有着合理的建议。因此对于审计人员来说，面谈的技巧是很重要的。他们应当能够理解一个复杂的系统，并能够严格的评价系统的每一个阶段，例如，为什么这样操作，这样操作能够变得更加有效？ 系统中的职员往往知道他们是怎样做的，但并不一定了解为什么这样做。他们可能会试图从最好的角度来进行解释。因此，内部审计人员应当有能力是所有面谈的职员坦诚布公，谈论他们实际作了什么（而不是他们认为应该做什么），并且提出他们认为能够改进的地方。了解为什么这样做可能是比较困难的，职员可能会说我们一贯是这样做的，甚至会说是审计人员告诉我们这样做的。 有经验的审计人员能够同面谈的职员轻松地进行讨论，并使其毫不掩盖的描述系统，了解实际发生的情况，并确信改进措施是否可能有是操作性。 其他需要关注的地方 审计人员可以检查公司的书面文件，例如章程、函件、委员会报告、岗位描述、组织架构图、方针和程序指南以及财务规章等。这些文件记录了系统是如何要求的，但并不一定反映了真正的工作状态。内部审计人员可以根据这些文件内部控制的适当性，或者至少能够了解管理层对内部控制的态度。 内部审计人员可以通过对实地环境和工作方法的观察来进一步获得关于实际操作程序的证据。 在没有其他的实地证据可以证明该事件可能发生的情况下，实地观察法是一个非常好的方法。然而，内部审计人员应当意识到，他们的出现会使受观察的职员的行为和操作受到影响。 以前的由其他内部审计人员、外部审计人员和其他检察机构出具的检查报告也是十分有用的信息来源。然而，对于这些报告应当谨慎对待。内部审计人员应当充分考虑到，上述报告的作者是否完全了解系统，报告是否涵盖了系统的所有方面，是否有含糊其辞的现象。这种思考可以使内部审计人员提高自己的报告的水平和质量，例如，他们的报告是否会使其他使用者迅速地把握住系统和内部控制的重要方面？ 内部控制 审计人员需要了解系统的工作方法和关键程序的操作规则，但实质上，他们仅对内部控制感兴趣。内部控制有很多不同的方法，最重要的内部控制方法可以被归纳为SOAPMAPS： 1.职责分离：交易的授权、记录和相应资产的保管应当由不同的人员来实施（Segregation of duties） 2.适当的组织：应当有清楚的组织架构，所有的职员应当有及时更新的岗位职责明确各自的责任（Organisation） 3.授权和批准：所有的交易和决定都应当由有权限的人员予以正式授权（Authorisation） 4.实地控制：对于进入办公室、接触资产及受控制的办公用具和计算机系统等行为都有适当的实地控制（Physical） 5）管理层：提供适当的财务和管理的信息；利用例外报告管理；对于危机的复核和质询管理（Management） 6）核算和会计：检查/复核别人的工作；记录订单、发票、工资单等；编制银行调节表；控制账户的设立等（Arithmetical and accounting: checking） 7）人事：职员的雇用需要经适当的控制；所有的职员在上岗前应当受到适当的培训，并受到定期的评价（Personnel） 8）监督：应当由了解操作程序并能及时发现问题的人员对所有的职员和行为进行充分的监督（Supervision） 记录内部控制 这个阶段，所有的内部审计工作应当被书面记录下来，并且能够充分地支持关于内部控制是否恰当和可靠的结论。在重要风险方面的主要程序和关键控制应当清楚、准确地记录。审计工作底稿应当包括： 1.系统说明，可以以文字和/或图表的形式 2.面谈和会议的记录 3.现行关键控制及其可靠性的记录 4.现行的内部控制能够保证预定的控制目标得以实现的程度 5.审计抽样和测试控制的证据 关于程序和控制的记录方法有很多种，例如，流程图、关键控制表、内部控制问卷及相关说明等等。无论采用哪一种方法，都应当持续使用，这会有助于以后的检查中很快地了解程序。系统的书面记录应当：清楚易懂；提供标准化的方法；强调风险点和关键控制 这些书面记录的目的： 1.帮助内部审计人员能够检查收到的信息，并且组织他们的思路和学识，从而使其能够系统地评估和测试； 2.详细地记录所遇到的问题、所做工作的证据和由此得出的结论，也为今后做审计计划提供参考； 3.证明审计工作得到适当的计划、控制、实施和报告 内部审计人员了解现行的内部控制程序并且记录以后，他们可以进一步评价这些内部控制是否恰当。但是，审计人员应当注意，内部审计并不是简单地按部就班地来进行。当审计人员对已确定的控制程序实施测试的时候，他们可能会发现进一步的控制程序，或者预想的控制程序被没有得到实施。这时候审计人员需要修改关于系统的记录，从而确保与实际操作中的控制相一致。 这个系列的第三部分，也就是最后一部分将在ACCA学生杂志2002年6-7月份中登出。现行内部控制程序的评估 对每个系统的审计来说，重点应当集中于对内部控制的充分性和可靠性的评价，这些内部控制应当能够保证既定目标的实现。上述评价工作形成了审计工作的核心。然而，例如控制环境、系统的效率和最佳方案的采纳程度等重要方面也需要被复核。 每一个现行内部控制的评价需要两个步骤。只有实现了下列两个方面才被认为是可靠的： 1.审计评价需要证明理论上控制程序设计是充分的，并能保证既定控制目标的实现（健全性）； 2.要有充分的审计证据证明上述控制程序得到了连续的、可靠的执行（遵循性） 如果内部审计人员经过最初的评价认为控制程序不充分或者认为无必要取得相应的控制目标，则无需测试控制程序。 将实际的与期望的控制程序相比较 当实际的控制程序被确认后，需要将其记录成文并与期望的控制相比较，可采用下列方法之一： 1.实际控制与期望控制相等 2.期望控制不存在，但存在充分的替代程序 3.期望程序不存在 确认的控制程序与期望的程序完全相符也是可能的，这可能表示附加程序的存在。如果附加程序被认为对于取得控制目标很重要，它也需要进行评估。或者，如果事实上期望的控制程序不存在，需要阐明它所带来的影响。 事实的控制程序与期望的控制程序可以不一致。针对某一特定的程序，可以有若干种作用相同并被认可的控制方法。基于上述原因，内部审计需要确认如下： 1.当将实际与期望的关键控制相比较时，需要考虑补偿性控制的存在 2.在整个控制评价的过程中，需要考虑现有的控制程序是否都有存在的必要。 删除或者修正控制程序的时候，可能会使操作系统增加一些不重要的风险，但能够节省成本。 评估内部控制的弱点 内部审计评价需要考虑令人不快事件发生的可能性（风险）和其对组织的影响程度（重要性）。内部审计人员运用他们自己的判断能力来确定在相关的风险和重要性水平中何种控制水平是合适的 风险可以被看作是一种或几种企业目标未被实现的机会或可能性。重要性是用来评价未取得该目标所带来的影响程度。重要性可以用相关的财务指标、目的的重用性或者涉及区域的敏感程度来衡量。在考虑重要性的时候，内部审计人员需要考虑下列因素： 1.可能发生的直接的或者间接的财务后果 2.特定管理目标在整个组织目标中的重要性 3.潜在的对企业声誉的损失或负面影响 在考虑潜在错误本身影响的同时，内部审计人员也需要考虑应对错误而产生的成本。这样的成本包括调查成本、纠错成本和对有关的行政当局进行必要解释的成本 替代性、补偿性的控制 在某些时候内部审计人员会失望地发现没有找到期望的控制程序，这时需要寻找能够弥补的替代型控制程序。例如，在审计销售程序的过程中，控制目标之一是订货、付款和记账等程序由书面的规定并被很好的执行。内部审计人员发现实际没有上述程序指南（达到目标的期望控制程序）。但是，参与此项工作的职员很有经验和专业技能，并被严格监督，这种环境下，内部审计人员可以认为职员的经验和专业技能及监督水平充分抵偿了缺乏程序指南所带来的潜在漏洞。据此也可以认为控制目标已经实现。 内部审计人员应当考虑每一个存在的控制程序是否适当。另外，也需要评价整体的控制以确定某一特定控制目标是否已经实现。测试现行的控制 当实际的关键控制程序被确认和评估时，内部审计人员应当实施某些测试来确认上述控制程序是否恰当、必要、可靠，并且按规定执行内部审计人员在实施测试而选择交易样本时，应当考虑以下因素： 1.样本应当从所有交易中选择，例如，当测试所有的付款是否都得当授权时，样本应当从银行队长单或者付款账簿中选取，而不应当从付款发票中选取。 2.样本覆盖的区间应当恰当。通常从应当上次审计结束时开始。然而，选择时应当更加倾向于当前财务年度，特别在上次审计在若干年以前进行的时候。如果系统有重大变化的时候，样本只需要包括变化开始以后的期间。 3.应当书面记录挑选样本的方法，样本应当包括所有重要的交易类型。 4.测试应当集中在高风险的区域。 符合性测试 符合性测试的目的是确认现行的控制程序可靠并按规定执行。例子之一就是检查每一张发票的开出都得到适当管理人员的授权。复核性测试的主要目的不是用来发现错误和潜在的欺诈，而是用来发现有无未按规定执行的控制程序。对内部审计人员来说，错误或遗漏的原因和控制程序的可靠性比单个的错误或遗漏更重要。在整个系统审计中，复核性测试应当成为测试的标准形式。实质性测试 与实质性测试相关的是结果的准确性和完整性，而非控制程序的恰当性。例子之一就是检查支付款项的金额和发票的金额相一致。实质性测试在整个审计程序中只是被有限度的采用。然而，内部审计人员在没有其他方法来说服管理层时，可用实质性测试作为存在性或者弱点严重程度的证明。内部审计人员需要记住，是执行程序通常是不经济的，并且如果不能为实际的错误提供证据的时候，也会削弱他们的论点。测试技术 审计人员可以实施许多种不同的方法来进行测试内部控制，但应当注意选取最符合成本效益原则的方法，以取得每一被测试内部控制的可靠性的证据。内部控制的不同属性会影响测试方法的选择，但主要应当采用以下五种方法： 1.实地观察法：对于没有持续性记录的活动来说，实地观察法是一种非常有效的方法。持 续的观察可以发现是否有不正确进入受限制区域的行为。 2.面谈：当证据缺乏或者不清楚的时候，面谈是非常有用的。不过审计人员应当注意，他们的行为可能会影响面谈人员的态度，有时不恰当的方法会引起非正常的或防御型的反应。 3.鉴证：验证是指独立确认交易的真实性、准确性和有效性。然而，内部审计人员的首要任务应当是评价和测试内部控制，而不是简单地核实数据本身的有效性。当时用验证的测试方法时，应当确保这与内部控制的实施是有关联的。验证通常使用如下方法： 1）比较法：与确认的事实或标准相比较。例如，指导手册是否及时更新，或者员工是否在规定的间隔时间内受到适当的培训 2）确认：检查绩效说明，如与客户核对送货时间是否与供应商的说明一致 3）追查单据：检查交易相对应的单据，例如，核查对供应商的付款是否与相应的订单、收货单一致 4.重新核算：在计算或测量被作为控制手段之一时，审计人员可重新核算以确定该项控制是否实施 5.分析性复核包括复核重要比率的合理性、趋势或其他数据。例如，将几个月的工资比率与员工人数相比较。这样，它虽然主要是实质性测试的工具，也可以为总体控制环境的质量评价提供证据 当对现行内部控制的可靠性测试完毕以后，内部审计人员将开始最困难的，也是最能体现其职业水平的部分提出建议和结论报告提出建议和结论报告 内部审计由两个相关联的任务。 第一，应当合理地向董事会或其他类似部门报告，是否组织重大的风险都已经得到恰当的管理，重点强调内部控制的原则； 第二，内部审计应当报告，在不断变化的环境下，组织重大的风险和系统的内部控制是否也在相应的提高和完善。 因此，内部审