随着企业规模不断扩大以及企业所有者和经营者的分离,企业法人资产的控制权逐渐转移到经理人、会计人员等内部人员手里。为了保证企业生产经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,各企业纷纷根据自身情况建立相应的内部控制制度。审计是企业实施内部控制的有效工具, 也是企业检验和改进内部控制的重要手段。笔者拟就企业内部控制审计的目标定位、重点内容、实施程序及风险防范进行思考,以达到改进和强化企业内部控制审计、规范企业内部管理、真正发挥内部控制作用、促进企业经营目标实现的目的。
一、企业内部控制审计的目标定位
审计目标是审计活动的方向,是审计行为的出发点和落脚点。无论何种类型审计都具有其审计目标。企业内部控制审计的目标,是指在一定的历史条件下, 通过实施企业内部控制审计所要达到的预期效果,它通常包括总体目标和具体目标。
1.企业内部控制审计总体目标
企业内部控制审计总体目标,就是通过实施企业内部控制审计,合理有效地保证企业建立、健全、遵守国家有关法律、法规和内部管理规章制度, 维护企业资产安全完整,促进企业经营效率和效果的提高并实现企业经营目标。
2.企业内部控制审计具体目标
企业内部控制审计具体目标,是内部控制审计总体目标的具体化,是企业内部控制审计必须实现的具体目标。企业内部控制审计具体目标主要包括四个方面:
(1)健全性(完整性)。健全性包含两层涵义:一方面是指企业根据生产经营需要, 应该设置的内部控制都已设置;另一方面是指对生产经营活动全过程进行自始至终的控制。健全性目标是企业内部控制审计具体目标中的首要目标, 也是其他具体目标的基础。如果企业内部控制审计的健全性目标不能实现,则企业内部控制审计的合理性、遵循性和效果性目标也无从谈起。
(2)合理性。审计企业内部控制的合理性, 一是审计企业内部控制设计和执行时的适用性, 二是审计企业内部控制设计和执行时的经济性。审计企业内部控制的合理性,是对企业内部控制审计更深一层次的要求。忽视审计企业内部控制设计和执行时的适用性和经济性, 就会背离实施企业内部控制审计的初衷,企业内部控制审计的遵循性和效果性目标也无法实现。
(3)遵循性。审计企业内部控制的遵循性, 是在审计企业内部控制制度健全性和合理性的基础上,主要对企业内部控制制度的实际执行情况进行符合性测试和实质性测试, 即审计企业内部控制制度在生产经营过程中是否遵照执行。通过遵循性审计,应当并发现企业内部控制制度是否被遵照执行,内部控制制度的运行是否切合企业实际等问题。
(4)效果性。审计企业内部控制的效果性, 主要审查企业内部控制政策和措施是否有与国家法律、法规相抵触的地方,企业内部控制是否具有可操作性, 在企业生产经营过程中能否得到贯彻执行并发挥应有作用, 以实现其为提高经营效率效果、提供可靠财务报告和遵循法律、法规提供合理保证的目标。效果性目标是企业内部控制审计具体目标的集中体现和最终落脚点。
二、企业内部控制审计的重点内容
根据COSO 提出的《内部控制整体框架》理论和《内部审计具体准则第5 号内部控制审计》有关规定, 企业内部控制审计主要包括控制环境、风险管理、控制活动、信息与沟通、监督等内容。
1.控制环境审计
控制环境审计是指对企业控制环境总体情况进行审查和评价。其审查重点主要包括企业生产经营活动的复杂程度、企业内部管理权限的集中程度、企业管理层行为守则或类似规范、企业管理哲学及管理风格、企业文化及员工对企业文化的理解和认同、法人治理结构状况、企业各阶层人员的知识与技能、企业组织结构和职责划分情况、重要(或关键)岗位人员的权责相称程度及其胜任能力、员工聘用程序及培训、员工业绩考核与激励机制等。
2 、风险管理审计
风险管理审计是指对企业风险管理机制及其运行情况进行审查和评价。审查重点主要包括可能引发风险的内外因素、风险发生的可能性和预计带来的后果、辨识与分析风险能力、防范和降低风险的能力、风险管理的具体方法及效果等。
3.控制活动审计
控制活动审计是指对企业各生产经营业务实施控制活动情况进行审查和评价。其审查重点主要是控制活动业绩评估系统建立及其运行状况、控制活动对风险的识别和规避情况、控制活动对实现企业经营目标的贡献、控制活动执行的有效性等。
4.信息与沟通审计
信息与沟通审计是指对企业建立信息系统、获取及传递信息等信息处理情况进行审查和评价。其审查重点主要是:获取财务信息、非财务信息的能力, 信息处理的及时性和适当性,信息传递渠道的便捷与畅通, 管理信息系统的安全可靠性等。
5.内部控制监督审计
对内部控制监督进行审计, 应当重点审查监督主体状况、监督机制设置情况、监督活动实施情况、监督组织安排情况等。
三、企业内部控制审计的实施程序
作为一种审计类型,参照常规审计业务工作流程, 企业内部控制审计程序应当按准备阶段、实施阶段、报告阶段和后续审计阶段四个阶段实施。
1.企业内部控制审计准备阶段
首先,要做好企业内部控制审计立项工作。企业内部控制审计,可根据年度审计计划进行常规立项, 也可根据领导决策或审计工作需要进行临时立项。其次,制订项目审计计划和审计工作实施方案。审计组长根据被审计单位业务大小、性质重要程度及审计工作的复杂程度, 制订项目审计计划和审计工作实施方案,并报审计机构负责人审批。项目审计计划应当明确审计项目和审计范围、重要性和审计风险的评估、审计组构成和审计时间的安排等内容, 审计工作实施方案应明确审计具体目标和审计主要内容、审计方式和具体审计方法、审计组成员工作任务及时间的分配等内容。项目审计计划和审计工作实施方案需经审机构负责人批准。最后,下达审计通知书。内审机构拟订和下达审计通知书, 在审计实施前三天送达被审计单位。
2.企业内部控制审计实施阶段
首先,审计组进驻被审计单位召开进点会。审计组通过会议或座谈等形式,同被审计单位有关人员进行信息沟通和交流,使被审计方明确此次审计有关事项, 审计人员进一步熟悉被审计单位有关内部控制等基本情况。必要时对审计工作实施方案进行修正。其次, 审计人员了解内部控制。现场审计人员收集资料, 运用询问、查阅、观察等审计方法, 对被审计单位基本情况、内部控制环境以及各类业务的内部控制情况进行详细了解,并在相应的《企业内部控制调查表》中作好审计记录,并对其内部控制的健全性作初步评价, 再据此确定内部控制测试的范围和重点。再次, 测试内部控制。审计人员根据所确定的内部控制测试范围和重点, 运用抽样技术抽查部分有代表性的业务活动, 采用审查、核对、分析性复核等审计方法,对其内部控制设的合理性、遵循性、效果性进行测试。审计人员根据测试结果, 填制相应的《企业内部控制测试表》, 并对其内部控制的合理性、遵循性、有效性作出初步评价。最后,整理审计工作底稿。审计人员将实施阶段的审计证据进行收集、汇总、整理好审计工作底稿, 并按审计有关规定进行复核。
3.企业内部控制审计报告阶段
首先,评价内部控制。审计组根据对内部控制了解、测试结果以及作出的初步评价,对被审计单位内部控制的健全性、合理性、遵循性及效果性进行综合分析,形成对内部控制的整体评价意见。其次,拟定审计报告(征求意见稿)。审计组根据审计报告有关规定和要求, 拟定审计报告(征求意见稿)。该报告应当包括审计概况、被审计单位基本情况、审计范围及主要内容、审计发现的主要问题、审计整改意见与建议等主要内容。审计组将审计报告(征求意见稿)连同审计报告征求意见书送被审计单位征求意见, 结合被审计单位提出的意见(必要时)适当修正审计报告, 并送审计机构负责人审核。最后,出具审计报告(正式)。审计报告经审计机构负责人审定后,报主管审计领导批示后, 发送被审计单位及有关所属单位。
4.企业内部控制审计后续阶段
审计机构根据审计报告提出的审计意见与建议, 跟踪审计被审计单位及有关单位对审计意见的执行情况和审计建议的采纳情况,同时被审计单位改进后的内部控制进行必要的审查和评价,并按照后续审计有关规定和要求, 出具后续审计报告。
四、企业内部控制审计的风险防范
从内部控制审计基本程序和关键环节来看, 要做好企业内部控制审计, 必须切实加强对以下审计风险进行重点防范。
1.防范了解不全风险
对被审计单位内部控制情况进行全面了解, 是企业内部控制审计实施阶段的首要环节,也是对企业内部控制进行测试的重要前提。为了防范了解不全风险, 审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。审计人员对被审计单位基本情况,应重点了解:被审计单位的性质,高层管理人员, 资产、负债、所有者权益, 所属行业, 经营业务, 组织结构, 各机构职能及负责人,职员人数, 高层管理人员分管业务及各自职责等。审计人员对被审计单位总体控制环境, 应重点了解:高层管理人员对企业内部控制的态度,高层管理人员从事相关业务年限、相关学历, 被审计单位经营管理目标是否明确, 是否订有职工行为守则,高层管理者是否重视制度的实际执行, 被审计单位以前或目前是否有重大违反财经法规的行为以及高层管理者对此态度如何等。审计人员对各类业务循环内部控制,应重点了解被审计单位业务特点及业务流程中关键控制点。
2.防范测试失效风险
在企业内部控制测试环节,审计人员主要防范测试失效风险。导致测试失效风险, 主要由以下因素引起:选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计,会使审计失之偏颇;测试重点不准直接影响内部控制测试效率和效果;测试审计方法多种多样, 要因事制宜,根据不同业务而方法各异,否则会导致测试失效;抽查的业务缺乏代表性, 会因评价不全面而带来测试失效风险。因此,要防范测试失效风险审计人员必须做到测试范围要全, 测试重点要准, 测试方法得当,抽查业务的代表性要强。
3.防范评价不当风险
在企业内部控制审计终结阶段整体评价中, 审计人员要防范出现评价不当风险。究其原因, 除了由企业内部控制了解、测试两个环节存在的风险引起外, 还会因企业内部控制系统本身不完善和风险估计水平过高等因素造成。企业内部控制系统本身不完善,使某些业务活动被置于审计范围之外而疏忽,通常导致企业内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险,从而造成企业内部控制有效性评价不当风险。因此, 要防范评价不当风险,除了要做好企业内部控制了解、测试两个环节工作外,审计人员还应从宏观出发, 统筹考虑,从各方面调查了解熟悉被审计单位业务活动及其相应的内控系统, 并充分利用审计技术对风险水平作出合理估计。