内审准则系列:谈“内部控制审计”
内部控制审计是确认、评价企业内部控制有效性的过程,包括确认和评价企业控制设计和控制运行缺陷和缺陷等级,分析缺陷形成原因,提出改进内部控制建议。一、内部控制相关责任内部控制的设计运行是管理层的相关职责;内部审计的责任是对内控设计和运行有效性进行审查和评价,出具客观公正的审计报告,促进组织改善内部控制及风险管理。二、内部控制审计分类全面内部控制审计是针对所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计;专项内部控制审计针对内部控制的某个要素、某项业务活动或者业务活动某些环节的内部控制所进行的审计。三、内部控制审计程序
注意点:1、审查前,可以要求被审计单位最近一次的内部控制自我评价报告;2、审查组成员可以适当吸收组织内部相关机构熟悉情况的业务人员;四、内部控制审计的内容
1、内部环境:组织架构、发展战略、人力资源、组织文化、社会责任内部环境治理结构治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,减少代理成本。机构设置与权重分配公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。内部审计机制内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。人力资源是影响企业内部环境的关键因素,它所包括的雇用、培训、评价、考核、晋升、奖惩等业务,向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与公司员工密切相关,而员工正是公司中执行内部控制的主体。组织文化为人本管理理论的最高层次。企业文化重视人的因素,强调精神文化的力量,希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社会的发展而努力,并通过各种渠道对社会文化的大环境产生作用。2、风险评估:日常经营管理过程的风险识别、风险分析、应对策略风险评估目标设定风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。风险分析风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上,对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。风险应对企业应当在分析相关风险的可能性和影响程度基础上,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业管理层在评估了相关风险的可能性和后果,以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用方法有风险规避、风险降低、风险分担、风险承受。3、控制活动:是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。主要在采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、全面预算、合同管理等,对业务层面内部控制的设计和运行情况进行审查和评价。控制活动不相容职务分离控制是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。授权审批控制是指企业在办理各项经济业务时,必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。会计系统控制会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业开展各项生产经营活动的物质基础,企业应采取有效措施,加强对企业财产物资的保护。预算控制预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制,使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任企业的约束条件,能够从根本上保证企业经营目标的实现。运营分析控制运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法(通过函询的方式收集专家意见,对未来进行直观预测的一种定性方法)。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方面,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。绩效考评控制绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测(构建指标体系并进行监测),发现做得好的(绩效考核),进行奖励(激励机制),使其继续保持或者做得更好,能够完成更高的目标。更为重要的是,发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好(绩效改进)。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系,就是绩效考评体系。4、信息与沟通:针对有关内部信息传递、财务报告、信息系统等规定为依据,结合本组织的内部控制,对信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行审查和评价。信息与沟通信息质量企业日常生产经营需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。沟通制度企业应当建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。信息系统企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。反舞弊机制舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。5、内部监督:关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。内部监督制度层企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。但是内部审计机构应该独立于被监督部门。日常监督日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括:在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;在与员工沟通过程中获得内部控制是否有效执行的证据;通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;通过内部审计活动对内部控制有效性进行持续监督。专项监督专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。自我评价企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。内部控制自我评价的方式、范围、程序和频率,除法律法规有特别规定的,一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。总结:内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。关注重要业务单位、重大业务事项和高风险领域的内部控制。关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。五、内部控制审计的方法访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样和比较分析等。内部审计人员编制审计工作底稿应当详细记录实施内部控制审计的内容,包括审查和评价的要素、主要风险点、采取的控制措施、有关证据资料,以及内部控制缺陷认定结果等。六、缺陷认定1、设计缺陷、运行缺陷;2、重大缺陷、重要缺陷、一般缺陷;重大缺陷,是指一个或者多个控制缺陷的组合,可能导致组织严重偏离控制目标。重要缺陷,是指一个或者多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致组织偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的认定标准,由内部审计机构根据上述要求,结合本组织具体情况确定。举例:1、定量标准:项目重要程度重大缺陷重要缺陷一般缺陷资产总额潜在错报错报金额>资产总额的1%资产总额的0.5%≤错报金额≤资产总额的1%错报金额<资产总额的0.5%利润总额潜在错报错报金额>利润总额的10%利润总额的5%≤错报金额≤利润总额的10%错报金额<利润总额的5%2、定性标准:财务报告重大缺陷:①董事、监事和高级管理人员舞弊;②当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;③审计委员会以及内部审计部门对财务报告内部控制监督无效。重要缺陷:①未依照公认会计准则选择和应用会计政策;②未建立反舞弊程序和控制措施;③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。非财务报告重大缺陷:①公司决策程序导致重大损失;②严重违反法律、法规;③公司重要业务缺乏制度控制或制度体系失效,重要的经济业务虽有内控制度,但没有有效的运行;④公司内部控制重大或重要缺陷未得到整改;⑤公司遭受证监会处罚或证券交易所警告。重要缺陷:①公司决策程序导致出现重大失误;②公司重要业务制度或系统存在缺陷;③公司内部控制重要缺陷未在合理期间内得到整改。内部审计人员应当编制内部控制缺陷认定汇总表,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向组织适当管理层报告。重大缺陷应当及时向组织董事会或者最高管理层报告。七、内控审计报告的编制内部控制审计报告应当包括审计目标、依据、范围、程序与方法、内部控制缺陷认定及整改情况,以及内部控制设计和运行有效性的审计结论、意见、建议等相关内容。一般情况下,全面内部控制审计报告应当报送组织董事会或者最高管理层。包含有重大缺陷认定的专项内部控制审计报告在报送组织适当管理层的同时,也应当报送董事会或者最高管理层。经董事会或者最高管理层批准,内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。