内控审计实施方案

内控审计实施方案内部控制审计是经济组织内部进行的一种审计，通常不是针对整个内部控制系统进行，而是对其中部分展开。根据涉及内部控制的范围，可分为业务循环内部控制审计、非独立部门内部控制审计和独立单位内部控制审计。这三类审计各有各的特点，但在审计程序上，以独立单位内部控制审计为蓝本进行讨论。内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，但由于服务的目标不一致，在程序上也有差别。内部控制评价程序一般包括了解与记录内部控制、初步评价控制风险、实施符合性测试和评价内部控制的强弱。作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的。在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。接下来实施符合性测试，以获得遵循性的评价，同时最终确定内部控制的健全性和有效性。最后归纳总结审计结果，提出审计报告。因此，本文认为内部控制审计程序为了解基本情况、了解内部控制、实施符合性测试和提出审计报告。了解基本情况是开展内部控制审计的基本条件，了解内部控制是必须的，符合性测试是获取遵循性的评价，最后提出审计报告。2、划分应该具有可操作性，即能够将其分解为可管理的子过程;3、划分应该具有连续性和完整性，即能够反映业务的完整过程，不遗漏任何环节;4、划分应该具有实用性，即能够满足审计需要，为审计程序提供有效的指导。划分好业务循环后，就可以进入内部控制评价程序了。了解内部控制要了解内部控制，首先需要解决内部控制的构架问题。美国AICPA在1988年提出了内部控制结构，即控制环境、控制结构和会计系统。而COSO在1994年提出了内部控制要素，包括控制环境、风险评估、控制作业、信息与沟通和监控。内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础。将会计系统扩大为信息与沟通，更强调信息的内部传达，增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，因此本文认为，在我们目前的条件下，我们应采用COSO报告的观点，以它的框架为指导。同时，鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。了解内部控制的内容主要包括控制环境、控制程序与政策及信息系统。由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位。而风险评估是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制。内部控制审计要评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程。因此，风险评估不做了解，而在接下来的分析工作中进行。了解内部控制的方法是以业务循环为主线展开的，即按业务循环逐个循环了解，这些循环构成单位整体，这是横向的。同时针对每个循环的控制，分别去了解它控制环境、控制程序与程序、信息系统，这是每个循环的控制的纵向构成，是纵向的了解。这样的方法不仅能够反映出所涉及业务的共同性质特点及其全部过程，还有利于审计的组织安排。横向和纵向的交叉构成了内部控制程序的骨架。了解控制环境是了解影响内部控制其他要素的因素，提供内部控制构成基础好坏的证据，同时为分析内部控制健全性、有效性和遵循性好坏的原因提供证据素材。控制环境包括员工的诚实性和道德观、员工的胜任能力、董事会或审计委员会、管理哲学和经营方式、组织结构、授权和分配责任的方式、人力资源政策。这些因素针对各个业务循环所涉及的部门、人员和方法进行了详细说明。了解控制程序与政策是了解控制目标实现风险所采取的措施，是内部控制要素中最重要的部分。每个业务循环都可分为若干个作业，每个作业都要设置若干控制程序和政策来控制。在业务循环的划分阶段，已经取得了业务循环大致内容的了解，在了解控制程序与政策阶段，应进一步了解以获得足够信息来进一步确定业务循环内的各个作业，然后针对每个作业，去了解所采取的控制程序与政策。了解信息系统只要是了解单位内外部信息记录载体，以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料，内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。进行内部控制的了解可采取的方法与内部控制评价程序中的一样，大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。在对内部控制获得了解后，就可以对其健全性和有效性进行初步分析，以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉，而重要或经常发生的作业则在了解控制程序与政策中已了解，通过了解控制程序与政策能知道它们是否设置控制。初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。在进行初步有效性分析时，需要先确定各个业务循环和作业的控制目标，然后分析控制程序和政策是否能够实现这些目标。如果发现控制存在缺陷，可以提出初步改进意见。接着，可以规划符合性测试，但对于业务循环或关键控制点的控制初步评价为无效、已知控制未得到遵循或控制得到很好遵循、以及未发生相关业务的情况，可以不进行测试。而对于相关业务大量发生、涉及金额相对较大或控制程序相对复杂的业务循环或关键控制点，可以考虑进行大范围的测试。最后，需要将规划结果记入审计计划，并对计划做相应调整。记录内部控制的方法有文字叙述、调查表、核对表和流程图，其中调查表最为常用。在内部控制审计中，为配合政府推动内部控制的建设，调查表应引入标准内部控制作为导引。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制，可以由财政部门或行业主管部门或行业协会制订。在调查表中引入标准内部控制，可以从标准控制中抽取提炼出对控制点的标准控制程序和政策，作为调查内容。这样可以更好地记录控制程序和政策以及信息系统，并形成审计工作底稿。在调查控制程序和政策时，需要遵循其规定进行。然而，由于引入了标准内部控制，可能无法调查到单位特殊的控制程序和政策，这些控制也是非常重要的。因此，需要将调查表与文字叙述结合起来，加入单位实际做法的叙述。符合性测试包括设计测试和执行测试。设计测试包括健全性和有效性测试，但由于了解阶段获得的信息可能不彻底，需要深入了解。执行测试是符合性测试的主体，主要是检查内部控制是怎样执行的。在进行内部控制设计测试时，需要更深层次地了解单位的内部控制，获得进一步支持健全性和有效性初步评价结果的证据，检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。在进行内部控制执行测试时，需要特别注意对业务循环和关键控制点设计的控制是如何具体组织应用于实际的，控制是否一贯执行，是否由控制规定职务的人来执行，其中后两个是重中之中。独立审计准则第5号提供了三种符合性测试方法，即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制。本文认为符合性测试方法应以检查为主，同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重，而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者，检查控制信息载体就能了解到这两者，在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体，即针对每个业务循环所涉及的单证、报告、合同等控制信息载体，抽取其中部分，检查执行各个控制点下各个控制程序与政策留下的记录，推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行，基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定，样本采用随机选样或系统选样的办法选取。遵循性评价主要针对控制点内的各项控制措施。实际遵循情况是一个程度概念，本文认为对遵循性的评价应采取评级的办法，以更好的反映遵循程度。遵循性级别最好分为4到6个等级，由审计人员根据具体情况确定级别，并确定相应的审计意见。评级时，审计人员主要根据属性抽样结果，同时综合考虑通过观察和询问得到的控制应用于实际的情况，运用自己的专业判断，评判其遵循性级别。评定级别只是一种手段，重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标，而发现控制具体应用于实际中存在的问题，则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。健全性和有效性评价是内部控制审计的重要环节。健全性评价主要针对重要或经常发生的业务或作业。控制文件中没有规定控制、测试程序中也未发现实施了控制，或控制文件中没有规定控制，经询问相关人员得知设置了控制，但经测试没有实施控制，都应对相应业务或作业提出控制不健全的意见。若没有控制文件，其他了解方法也不能得知是否设置控制，但经测试已实施控制，则应认为实际是健全的，但应提出健全控制文件的建议。有效性评价主要是针对未采用标准内部控制而实施特殊控制的情况，对采用了标准内部控制的也要做简要分析。有效性评价首先要分析确定对各控制点实施控制应达到的目标，可以在内部控制系统目标的指导下结合控制点的具体情况分析确定。标准内部控制可能不适于单位，一些控制政策需要按照标准结合自己的实际自行制定。针对不健全和控制无效或有缺陷的地方，应提出审计意见。3)会计记录控制，包括确保会计记录真实、完整、准确、及时;4)财产保管控制，包括确保财产安全、完整、准确、及时;5)业务稽核控制，包括确保业务活动合规、有效、及时;6)监督检查控制，包括确保监督检查及时、有效、全面、公正。在提出健全性和有效性改进意见时，应结合这些控制方法，对照标准内部控制，提出具体的改进建议，从而实现内部控制的优化和完善。总之，内部控制建立是保障企业健康发展的重要保障，而健全性和有效性评价则是内部控制建立的重要手段。在评价过程中，应注意控制目标的确定和控制措施的合理性，结合标准内部控制和内部控制方法提出具体的改进建议，以实现内部控制的优化和完善。3)文件记录控制是指机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统等文件的管理和宣传认知。4)预算控制包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系。5)财产保全控制包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险等措施。6)职工素质控制包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘等方面的管理。7)风险抵御控制包括筹资风险、投资风险、合同风险、信用风险的评估与控制。8)内部报告控制包括生产报告、经营报告、财务报告、特殊事件报告等报告的处理和管理。9)电子信息系统控制包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制、输入输出控制、处理控制等方面的管理。这些方法可以指导和衡量建立和改进意见的提出。六、内部审计报告内部控制审计报告是对审计结果的总结。在提出审计报告前，审计人员应重新检查在审计过程中获得的资料，做如下分析：是否了解研究了单位所有重要控制；所作分析判断是否得到了测试的证实或有足够的证据支持；是否遗漏了其他需要考虑的客观事实；最后的健全性有效性遵循性评价是否适当，有足够的证据支持；出现了哪些因内部控制导致的重大问题，哪些人员严重违反内部控制且已致严重后果等。审计项目负责人还要复核审计底稿，之后就着手准备撰写审计报告。内部审计报告应突出重点，一些细节问题只需通知当事人或主管人员，不必在审计报告中反映。报告应易于理解，避免使用内部控制的专业术语。报告内容应包括单位基本情况简介、内部控制体系介绍、内部控制健全性有效性遵循性评价及具体意见、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中健全性有效性遵循性评价及具体意见只反映存在问题的各个控制，运行良好的不必反映。报告格式无需固定，只要能充分反映出上述内容即可。审计报告应经过审计组的全体讨论通过，定稿前应与所设计执行人或管理者沟通，听取他们对审计建议的意见。这样做主要是为了保证审计意见质量，使其能更好地得到执行。审计报告向内审机构主管报出。报告批准后，最高领导层应该组织听证会，以落实审计意见并解决重大控制问题。完成审计后，内审机构应及时进行回访，以确保审计意见得到执行。内部控制审计在我国仍然是一个新领域，在加快内部控制建设的大环境下，需要加强讨论，形成统一认识，以促进其更好地发挥作用。一、内部控制制度审计的主要内容(一)内部控制审计的定义虽然内部控制审计已经存在了很久，但国内外学术界和审计实践界对其定义的看法仍然存在差异，尚未形成统一的定论。美国上市公司会计监管委员会发布的《PCAOB审计准则第2号——内部控制审计原则》(xx年)、中国注册会计师协会发布的《独立审计具体准则第9号——内部控制与审计风险》(1997年)和中国内部审计协会发布的《内部审计具体准则第5号——内部控制审计》(xx年)中均没有明确对内部控制审计予以定义。因此，我们应该采用广义的概念，即内部控制审计既可以作为独立的审计项目组织实施，用以完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行内部审计的范围、重点及方法，有效提高审计工作效率和质量。内部控制审计就是对内部控制的健全性、符合性、合理性及有效性进行测试和评价。(二)内部控制审计的对象和内容内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。审计的内容包括对构成内部控制的各要素进行测试与评价，主要包括：内部控制健全性检查评价；内部控制符合有效性测试；内部控制合理科学性综合评价；内部控制实质性测试。二、内部控制审计的程序与方法审计师在进行内部控制审计时，应该应用通用的外业和报告准则，具备足够的胜任能力，保持应有的职业谨慎。遵循一定的程序，采用适当的方法，以确保内部控制审计报告的质量。通常来说，审计师应按照如下顺序，根据审计和评估的内容不同，分别采用适当的方法予以审计和评估。(一)审计准备阶段1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。审计师在实施阶段需要进行以下工作：1.决定应该对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制。同时，需要评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度。2.评估控制设计的有效性，并根据评估其实施有效性的程序是否充足，来评估控制实施的有效性。同时，需要决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性，并对审计发现是否合理以及是否支持管理层的评估进行评价。3.评估管理层的文档记录，主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计，关于重要交易是如何被初始、授权、记录、处理和报告的信息，关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点，已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分，对期末财务报告过程的控制以及对资产保护的控制和管理层进行测试和评估结果。4.获得对内部控制的了解，主要通过询问合适的管理层、监督人员和员工，检查公司文件，观察专用控制的应用，通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。5.识别重要会计科目，审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。6.识别重要的流程和主要的交易类别，审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。7.理解期末财务报告流程，作为了解和评估期末财务报告流程的一部分，审计师应当评估公司使用编制年度和季度财务报表的输入和输出方法，期末财务报告过程中使用信息技术的程度，管理层的参与，涉及经营场所的数量，调整分录的类型(例如，标准、非标准、消除和合并)，以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。在实施阶段，审计师需要实施穿行测试，至少对第一交易类型实施一个穿行测试。穿行测试需要涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试是审计师进行内部控制审计的重要工具，可以提供以下证据：首先，确保审计师对五大方面的控制进行了识