内部控制与审计的区别篇1
关键词:内部审计;基层央行;风险管理
随着人民银行各项业务的发展,各类风险隐患和案件事故的发生严重影响基层央行的形象和职责的履行,风险控制和防范成为基层央行内部管理和控制的重点。内部审计可以从单位层面(如组织治理、制度设计等)和部门层面(如国库、发行等)上对风险管理进行审查和评价,分析相关层面风险管理存在的问题及成因,并提出有针对性的政策建议。因此内部审计参与风险管理是完善内部控制、防范系统风险、确保央行业务规范运行的有效方式和发展方向。
一、基层央行风险管理的现状分析
近几年来,人民银行的业务发展逐渐呈现出“三化”的特征,分别为:资金清算集中化、业务处理系统化、金融管理信息化。目前基层央行基本设置内部审计、巡视、纪检监察三个部门进行监督检查,其中巡视是针对基层央行党委班子,纪检监察主要侧重于党风廉政建设、惩防体系建设,内审主要关注重要业务、重点领域,曾经对国库、发行、资金清算等基础业务专门开展事后监督的事后监督中心多数中心支行已撤销或合并,改由各部门或支行设立事后监督岗位自行监督,自行监督自己开展的工作。改革创新业务极大的促进了辖区经济发展,但相应的监督制约机制却未能及时建立健全。如分支行强力推进的农村信用体系建设、服务民生的金融iC卡应用工程是促进经济发展,方便群众生活的民心工程,但在操作应用的过程中产生许多潜在的风险隐患,如何防范这些风险隐患,至今未有系统的监督制约机制。
二、基层央行风险管理中存在的问题
目前,基层央行按照“分散控制与集中监督相结合”的模式进行风险管理。一方面上级行业务部门对本业务条线的风险进行纵向监督管理,另一方面本行内部审计部门对业务进行横向监督检查,通过多年实践,基层央行现行风险管理模式在促进人民银行履职等方面取得了较好的成效。同时主要存在以下问题:
(一)内部审计成果利用率较低,影响内审职能作用的发挥
作为风险管理推动主体的内部审计部门,对审计发现的问题以整改通知的形式发送被审计部门,个别被审计部门不能充分重视问题产生的原因分析及潜在的风险损失,导致一些问题屡查屡犯,造成内部审计工作难以取得良好工作效果。
(二)风险管理意识有待加强
一是目前基层央行的风险管理大部分是以部门业务制度的形式存在,风险管理缺少系统性的应对策略。二是目前基层央行部分员工对风险管理的重要性认识不足,风险观念和规范意识不强。
(三)风险管理组织、制度体系不够完善
目前人民银行系统尚未形成系统、独立的风险管理体系,也缺乏一个明确、统一的风险管理部门,主要依靠内部审计部门的审计监督进行事后的风险发现与管理,事前防范和事中监控不足。
三、内部审计在促进基层央行风险管理中应发挥的作用
内部审计所固有的相对独立性,使其更能从全局的角度去识别、分析和评估风险,及时发现风险管理体系中存在的薄弱环节,提出风险预警,实现风险的有效控制;同时作为基层央行内部管理的重要监督部门,具有经常性、综合性的监督特点,它能随时针对分支央行的业务工作开展审计监督,对面临的风险进行全面的分析、评估,及时防范和化解基层央行所面临的风险。因此,内部审计在促进分支央行风险管理中能发挥积极的作用。
(一)卓有成效地开展审计监督,充分发挥内审职能作用
根据人民银行垂直管理体制的特点,内审监督要针对关键问题和薄弱环节积极实施审计项目,做到有的放矢,才能更好地发挥内审的职能作用:一是要按照上级行统一布置的内审项目开展审计监督;二是要对行领导关注的问题做出审计安排;三是要符合内审创新转型的要求选择审计项目,实施审计监督。
(二)推进内控长效机制建设,促进内控管理的不断加强
有效的内部控制是防范风险的必要手段,建设有效的内控长效机制是组织管理层的职责,但作为组织内部一个重要环节的内审部门,在内控长效机制建设中必须发挥应有的作用:一是要积极发挥领导的“耳目”作用,及时了解和掌握全行内控管理现状,发现薄弱环节,向行领导提出内控机制建设性建议。二是要强化审计咨询。与审计对象进行充分交流与沟通,分析、评价其内部控制状况,剖析问题原因,从内审视角提出改进意见,促进其不断强化内部控制,达到内控最优化。三是要加强审计后续监督,积极督促职能部门认真履行内控管理职责,切实整改审计发现的各类问题,促进内控长效机制建设。
(三)积极开展风险识别、评估、应对工作,确保风险在可控状态
基层央行应建立“风险引导审计、审计关注风险”的风险导向审计模式。应定期对本行各业务职能领域开展风险识别、评估、分析工作,参考总行风险评估工作试行办法中的程序开展风险评估工作,评价现有的风险控制措施是否科学。对于评估风险较高的业务职能领域,加大审计监督力度,对审计中发现的问题进行深入分析,科学采取相应措施,实现对风险的有效控制。
四、内部审计参与基层央行风险管理运作设想
内部审计参与基层央行风险管理审计应明确总目标,即以央行总体工作目标为标准,以基层央行内部控制状况的审计和评价为基础,监督评价各业务部门和单位在风险识别、控制和监督等方面的充分性、合理性、有效性。我们以基层央行国库业务为例,具体运作设想如下:
(一)风险识别
风险事件,根据不同的分类原则,可进行多角度的分类,风险分类的不同,对于后面制定风险管理策略有重要作用。搜集初始信息,主要是对近三年单位或部门各种监督检查发现问题作为搜集对象,从大量的初始信息中,组织对单位或部门的风险事件进行归类分析。如国库业务共识别风险事件7项(见表1):
(二)风险分析、风险评价
1.建立风险事件评估标准进行风险辨识、分析、评价应将定性与定量方法相结合,要进行准确的风险事件评估,必须制定相对合理和准确的评估标准,这是风险评估重要的组成部分。可以利用近三年国库业务监督检查结果为依据,采用分析性复核,经过反复讨论验证,而且为了验证标准的合理性,我们用今年监督检查结果进行进行了返回测试,返回测试结果是:参与人员都认可通过了测试。最后确定国库业务风险事件评估标准如表22.发生概率分析对照评估标准,对风险事件进行发生概率分析。首先形成可观的判定理由,在与评估标准对照,确定发生概率的等级,见表3:4.风险坐标图评估风险时,应根据对风险发生可能性的高低和对目标影响程度的评估,绘制风险坐标图。风险坐标图的作用主要是用来确定风险管理的优先顺序和策略。具体应用,首先绘制风险坐标区域图。风险坐标区域图是通过把风险策略原则的边界,转化为坐标图中的一些险段,将坐标图分成几个区域,形成风险坐标区域图。罗在不同区域内的风险事件,其管理策略也不同,我们把风险策略原则边界转化为两条直线段和一条1/4圆弧线,对风险坐标图进行分区。如图1所示,我们把坐标图视为被三条线断分为4个区:其中红色区(a区)为双高风险区,绿色区(D区)为低风险区,靠近纵坐标的浅色区(B区)为高风险区,靠近横坐标的浅色区(C区)为高危险区。风险事件落在不同的区域,原则上采取不同的风险管理策略。
(三)风险评估结果与内部审计工作
按照风险管理工作流程图,风险事件评估和确定风险管理策略。对于1、2、3、7等风险事件,处于高风险领域,应高度关注,制定具体的操作策略,内审部门应加大检查力度。对于4、5、6、8等风险事件,可适当放宽检查频率。对高风险领域的风险事件,要深入分析成因,提出有针对性的应对措施,为领导决策提供参考。
五、内部审计参与基层央行风险管理应注意的问题
(一)风险管理监督与评价应以风险管理流程、风险评估标准为依据
一是看能否有效识别并管理贯穿与央行的各类风险,不仅要识别某个部门面临的单独风险,而且还能从整体卅还能够识别每个风险之间的相互影响,并收集整合各种分离的信息,有效管理风险。二是能够有效的风险评估和风险计量,使管理层能获得更多的信息,关注高风险的业务和管理活动,进而合理分配资源,提高管理效率。三是能有效促进央行履行职责。
(二)内控机制尚需完善,内控评价水平需进一步提高
一是个别部门、个别支行在人民银行职能调整和支行机构改革后,未及时根据内部科室业务职能的变化修订岗位职责和操作规程。二是上级行在有些制度制定和完善方面相对滞后,特别是近几年来,金融业务发展较快,新情况、新问题不断涌现,老的制度不能覆盖所有的风险点,新制度又没能及时完善充实,致使内控出现盲点,造成一定的风险隐患。三是对内部控制评价监督机制不统一。有依据自身开展控制评价的,有依据本行外部监督开展监督评价的,没有形成统一的内部控制评价体系,造成各行确定审计重点的不同。
(三)操作过程中技术性含量不足
一方面现场检查过程中没有采用科学合理的抽样方法与抽样数量,容易引起检查风险。另一方面没有从全行的角度出发,对风险按照科学规定系统的加以有效识别和科学界定,建立风险评估框架;并且没有完全采用定量和定性结合的方法来分析风险,导致风险隐患的确定不准确。
(四)内审人员素质亟待提高
一方面长期以来,基层央行内审人员适应了查错纠弊的传统审计模式,对风险控制因素考虑较少,对于风险审计评价的概念淡薄,缺乏风险识别和风险评估必要的理论基础。另一方面评价人员对标准的掌握程度和判断能力的高低直接影响评价与检查的结果,内审人员的水平不能满足现场检查时有大量信息判断的需要,造成检查风险。
参考文献:
[1]人行上海总部课题组,“内部审计对央行风险管理的监督与评价”,《中国内部审计》,2008年第3期.
[2]刘庆玉、王峰艳,“企业外部质量风险评估方法”,《质量安全管理》,2006年第5期.
[3]李恒新,“风险管理中科学的风险评估方法”,《中国包装工业》,2007年第9期.
[4]兰芳,“内部审计参与企业风险管理的思考”,《审计论坛》,2007年第5期.
内部控制与审计的区别篇2
【关键词】aS5;内控审计指引;区别
一、两者的出台背景
(一)pCaoB审计准则第五号的出台背景
受2001年安然、世通等事件的影响,美国国会于2002年7月25日通过了SoX法案。为了保证其有效实施,SeC于2003年11月了《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》。为了贯彻SoX法案和SeC的要求,pCaoB(美国公众公司会计监督委员会)于2004年了《第2号审计准则――与财务报表审计相协同进行的财务报告内部控制审计》(以下简称aS2),用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。自aS2实施以来,pCaoB的监督结果显示,aS2的部分条款不清晰或者与SeC的要求有差别,也有部分条款规定过细,不利于注册会计师的职业判断,或不适合小企业审计的要求。因此,2007年pCaoB又了《第5号审计准则――与财务报表审计相结合的财务报告内部控制审计》(以下简称aS5),以取代2004年的aS2。
(二)我国2010年审计指引出台背景
美国SoX法案出台以前,中国注册会计师协会从行业自律视角于2002年2月15日单独了《内部控制审核指导意见》。2008年6月,为了配合《基本规范》的施行,中注协又了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制,虽未能正式出台,但对内部控制审计制度建设所起的推动作用毋庸置疑。2010年4月《企业内部控制配套指引》(以下简称《配套指引》)的出台,我国已基本建立起内部控制规范体系。其中《企业内部控制审计指引》(以下简称《审计指引》)第二条规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
二、aS5与我国2010年的内控审计指引的区别
(一)关于审计范围
基于注册会计师风险规避和成本效益原则,美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协,出于规范审计工作、规避审计风险的考虑,将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时,内部控制审计范围被扩展至广义的管理视角下的内部控制。《审计指引》第四条规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致,《审计指引》规定注册会计师审计的范围不限于财务报告内部控制,而是覆盖整个企业的内部控制体系。但是,考虑到注册会计师在内部控制审计过程中的风险责任承担能力,该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见,而对相关审计过程中注意到的非财务报告内部控制重大缺陷,则要求其增加描述段予以披露。
(二)关于审计流程
内控指引认为审计流程包括:计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作。而aS5则认为审计流程是计划审计工作、使用从上至下的方法、测试控制、评估识别的缺陷、总结、内控报告、通过对比,我们可以看出,我国内控指引将使用从上至下的方法和控制测试放在实施审计工作中,而aS5单独列出,并详细地将使用从上至下的方法分为:确定公司层面的控制、确定重大项目、确定相关论断、确定主要交易类型和重大流程、选择控制进行测试。将控制测试分为:测试设计有效性、测试执行有效性、确定风险和证据的关系、未来年份审计的特殊考虑。此外,内控指引所说的完成审计工作其实也就包括了aS5在总结中规定:获取书面申明、形成审计意见、通报某些事项。
(三)关于审计方法
1.aS5认为整合审计是一项强制性要求,aS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。准则明确规定:财务报告内部控制审计应与财务报表审计整合。两个审计的目标虽然不同,但审计师必须计划并执行审计工作,以实现两个审计的目标。而我国《审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。当然,此处所指的“整合”,不包括注册会计师对同一家企业既做咨询又做审计的情形。《内控指引》第十条明确规定,为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
2.aS5要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域。由于从上至下方法对审计的有效性具有积极的影响,第5号审计准则要求审计师在审计中,包括对重要的公司层面控制进行测试时使用该方法。并要求审计师在每一决策点的风险评估中采用从上至下的方法。对重要账目和相关论断的确定要求审计师应清楚存在的相关风险,以及风险如何影响其决策。指引要求注册会计师按照自上而下的方法实施审计工作,并将方法作为识别风险、选择拟测试控制的基本思路。同时,该指引强调,在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
(四)关于审计报告出具
1.标题。指引规定出具审计报告需要有标题、但是aS5强制规定必须包含“独立”一词的标题。
2.公司财务报表和财务报告内控报告是否合并。如何出具内部控制审计报告,是大多数注册会计师所关心的问题。与审计范围相对应,指引要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面。aS5审计师可以选择关于公司财务报表和财务报告内控的合并报告或单独报告。
3.报告类型。指引提供了四种内部控制审计报告参考格式,分别是:标准内部控制审计报告、带强调意见段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见审计报告。而aS5因为公司财务报表和财务报告内控报告是否合并而不同。
三、总结
本文通过比较了aS5和内控审计指引的区别,发现我国内控审计逐渐国际化,虽然有一些方面还不是完全与国际接轨,但是相比之前的规定,对进一步提升对我国上市公司的治理水平,同时也更好地保护投资者的利益,提高我国资本市场的国际竞争力具有进步意义。
参考文献
[1]邓美洁,吴国萍,美国内部控制审计制度及其对我国的启示[J].税务与经济,2011(4):69-72.
[2]刘玉廷.全面提升企业持续经营管理水平的重要举措――企业内部控制配套指引解读[J].会计研究,2010(5):5-18.
[3]《企业内部控制应用指引》.财政部,证监会,审计署,银监会,保监会联合,2010-4-15.
内部控制与审计的区别篇3
在具体的内部审计实践中,可以综合运用制度控制方法、质量复核方法、区域控制方法、自查互查质量方法、内部审计公示方法等五种方法,加强审计质量的过程控制,建立内部审计项目质量控制制度体系。笔者结合多年的内部审计工作实践经验,对在审计工作中如何运用这些方法提高内部审计质量谈一些粗浅的看法。
一、运用制度控制方法提高内部审计质量
制度控制方法,是指内部审计部门通过建立健全各种质量控制制度,以监督、约束和规范内部审计行为,提高审计质量的方法。对于内部审计部门而言,一方面应通过制度控制来规范内部审计行为;另一方面还必须通过一定的制度控制来明确内部审计的责任。在内部审计业务中实施制度控制,可以严格审计质量,控制审计流程,使内部审计行为做到规范化、标准化,从而建立控制内部审计质量的长效机制。
如何建立健全审计质量控制制度?借鉴全面质量管理理论中pDCa工作循环法的原理,在实施审计过程中,我们可将审计项目质量控制过程分为四个步骤进行:第一步骤是“计划(plan)”。针对某一具体审计项目进行分析,制定具体审计质量控制计划和措施;第二步骤是“实施(Do)”。认真执行计划并严格落实各项质量控制措施;第三步骤是“检查(Check)”。对计划实施情况进行检查和考核,找出存在的问题与差距;第四步骤是“处理(action)”。总结审计经验,以便在今后的审计工作中推行。如果检查的结果与审计之前预定的计划不一致的话,则一定要查明原因,采取措施加以解决。只要我们认真执行以上四个步骤,周而复始,建立有效的审计质量控制循环机制和制度,就一定能够切实保障和提高审计项目质量。
在国家审计署所制订的《审计机关审计项目质量控制办法(试行)》([2004]审计署令第6号)中,明确规定了国家审计机关实施审计项目时,对编制审计方案、收集审计证据、编写审计日记和审计工作底稿、出具审计报告、归集审计档案等全过程实行质量控制。该办法对国家审计机关如何进行质量控制作出了详尽和严密地规定。内部审计机构在制订本单位的内部审计项目质量控制制度时,可以参照国家审计署所制订的《审计机关审计项目质量控制办法(试行)》,结合本单位的具体实际情况,制订出切合实际的内部审计项目质量控制制度,为运用制度控制方法提高内部审计质量做好基础工作。
二、运用质量复核方法提高内部审计质量
质量复核方法,是指在项目审计过程中,通过一定的程序,结合实际情况建立严格的审计质量复核制度。在审计项目实施过程中,进行多层次的复核十分必要。
怎样进行审计质量复核?首先,在内部审计制度中,应明文规定要对审计质量进行复核,质量复核包括审中复核和审后复核。要对复核人级别、复核程序与要点、复核人职责等作出规定。其次,要结合项目审计的特点,扩展审计质量复核层次,建立由内部审计小组、内部审计机构、内部审计分管领导所组成的三级复核制度,分别履行详细复核、一般复核、重点复核的职责。内部审计小组侧重于审中的详细复核,应指定专人或复核小组对审计过程中已完成的业务跟踪进行质量复核。在审计完成阶段,内部审计机构、内部审计分管领导进行审后复核,在作出正式的审计结论前,对审计组已经完成的全部审计业务进行审计质量把关。
三、运用区域控制方法提高内部审计质量
区域控制方法,是指在审计过程中,内部审计人员将整个审计对象划分为重点审计区域和非重点审计区域,然后对两个区域分别实施详尽程度、繁简程度不同的审计和审计质量控制,做到全面监督和重点检查相结合,提高审计质量。
如何运用区域控制方法进行审计?第一,在审计计划阶段,关键工作是确定重点审计区域和非重点审计区域,在审计方案中应明确将重点审计区域列入工作重点;第二,在审计实施阶段,分别重点区域和非重点区域,按照不同的审计方法和策略进行审计。对重点区域实施重点审计和详细审计,尽可能做到全面监督和重点检查相结合,确保审计质量。
四、运用自查互查质量方法提高内部审计质量
自查互查质量法主要适用于内部审计小组,它是质量复核方法在内部审计小组中的具体运用。自查法,就是审计人员分别根据自己所担负的审计任务,对自己所进行的审计工作进行追溯性检查,以检验审计结果质量的方法;互查法,是指由审计组中担负不同审计任务的审计人员相互之间对审计业务过程进行追溯性检查,以检验审计结果质量的方法。
在实际审计工作中,应努力避免使自查互查审计质量的行为流于形式。特别需注意的是,在自查中审计人员对自己的工作进行复查,受习惯性思维和惯性的影响可能使自查流于形式。互查法虽有助于克服上述局限,但也可能存在审计人员碍于情面,使复查难以深入;或因审计人员不熟悉情况,影响工作效率等弊端。因而,在各单位的内部审计制度中应严格规定内部审计人员的自查责任和互查责任,对违规审计人员要进行处理。
五、运用内部审计公示方法提高内部审计质量
内部审计公示方法,就是内部审计机构对重要内部审计事项的内容、审计程序、过程、结果、举报方式等,采用适当方式向内部被审单位进行公开的制度。内部审计公示的范围包括:一是对内部被审计单位公开,主要是对审计目的、内容、处理结果、审计举报及监督电话进行公开。二是对有关内部主管部门公开,公开的目的是一方面取得有关内部主管部门的支持、配合和监督,另一方面让有关内部主管部门了解被审计单位的审计情况和内部审计机构的审计建议,从而使被审计单位更好地改进自身的工作。:
如何进行内部审计公示?首先,在审前阶段,在审计项目正式实施以前,内部审计机构要就审计项目名称、审计的目标、审计的范围、内容和重点、审计组成人员、审计地点及联系电话、审计实施期间审计工作纪律、审计人员廉政纪律及内部审计机构监督举报电话,在被审计单位进行公示。审计公示采取书面形式,根据实际需要,可以一份亦可以多份,张贴于被审计单位显要位置,欢迎被审计单位广大干部职工反映情况和问题,监督审计人员执行工作纪律、廉政纪律情况。其次,在审中和审后阶段,内部审计机构可以在单位职工大会或被审计单位的中层以上干部及职工代表中公布审计中发现的问题和审计报告。
内部控制与审计的区别篇4
博弈均衡是指博弈的各方借助一次或者几次博弈,最终达到各自所认为的最大或最合理的效用,各方因此也不选择其他的策略组合,致使各个局中人在未来的行为选择具有了相对静态,即各方行为的可预测性。
一、博弈均衡分析方法的基本程序
在客观环境描绘的基础上,博弈均衡分析方法的基本程序包括四大层次:基础构建层次、最优解分析层次、概率区域分布图分析层次、综合分析层次。
(一)基础构建层次
第一步,问题定位。根据客观环境进行深入分析,以明确既存的矛盾与冲突,并选择一个或者几个矛盾或冲突作为进一步分析的起点。第二步,局中人识别。第三步,局中人策略集合确定。第四步,效用函数的确定。一局博弈结束时每个局中人的得失是全体局中人构成的一组策略的函数,即效用函数。第五步,构建约束条件下的支付矩阵。第六步,进行相异行为均衡计算,并确定各局中人相异行为均衡点。依据既有的链接方式对各局中人的行为选择进行等效用化处理,从而得到相异行为均衡点。
(二)最优解分析层次
第一步,依据各个局中人的相异行为均衡点与均衡条件,计算得到各局中人的行为选择条件。第二步,综合考量各局中人行为选择条件,从各局中人角度入手,基于约束条件得到内部控制实施主体在既定目标或者客观理想情景下的最优解。应该明确的是,该层次分析是借助均衡分析的分析模式得到了有利于内部控制制度制定者的策略选择,换而言之,是得到了非均衡的结果。
(三)概率区域分布图分析层次
第一步,依据各局中人相异行为均衡点与行为选择条件,构建概率区域分布图,同时应注意概率区域分布图亦是对应事件组合的分布图。第二步,确定各局中人在现有条件下的行为概率,确定方法可以是历史经验法、估算法、类比法、推算法等等。同时,应注意对于各个局中人的行为概率进行分别计算,以得到最终的行为概率集合。第三步,依据确定的局中人行为概率与相应的均衡点进行比较,明确所处的分布区间。
(四)综合分析层次
综合以上两大分析方法,对内部控制中各个因素进行剖析,并利用其他分析工具进行进一步地深入挖掘,最终得出相应的分析结果。
二、博弈均衡分析在企业内部控制中的应用示例
以一家企业针对某部门是否进行针对性内部审计为例。
(一)客观环境描绘
在实施以下博弈行为时,企业的整体运行保持稳定,不出现例外事项变动,即不存在异常事项。
(二)基础构建层次
1.问题定位。既存的冲突是审计者与被审计者之间对于实施内部审计与否和实施舞弊与否的相机抉择。
2.局中人识别。局中人包括审计者与被审计者,其属于静态二人博弈。
3.局中人策略集合确定。审计者的策略包括实施内部审计与不实施内部审计这两个相异行为;同理,被审计者的策略包括实施舞弊与不实施舞弊。
4.效用函数的确定。在既有条件下针对被审计者,其舞弊收益为t,但在舞弊被发现时的损失为F;针对审计者,其实施内部审计的成本为C。至于概率,站在被审计者的角度,对于审计者实施审计的判定概率为Q,而站在审计者的角度,对于被审计者实施舞弊的判定概率为p。依据此原理,事件与得失组合如下表:
5.构建约束条件下的支付矩阵。依据审计者与被审计者各自的策略所组成的策略集合以及相对应的效用函数,得到针对审计者与被审计者的支付矩阵如下:
6.相异行为均衡点计算。对于审计者而言,事件1进行审计、事件2不进行审计这一对相异行为的期望收益分别是:
即对于审计者而言,其实施审计与不实施审计这一对相异行为在经过效用化后的均衡点为p0。
对于被审计者而言,事件3实行舞弊、事件4不实行舞弊这一对相异行为的期望收益分别是:
即对于被审计者而言,其实施舞弊与不实施舞弊这一对相异行为经过效用化后的均衡点为Q0。
(三)最优解分析层次
1.行为选择条件确定
对审计者而言,当选择审计行为时,审计行为所对应的期望收益应大于不采取审计行为所对应的期望收益,即:e1>e2⑧
2.最优解确定
站在被审计者的角度进行对审计者的行为分析时,对于审计者而言,被审计者不进行舞弊时为最佳,即最优解是Q>t/(2×t+F)恒成立。
(四)概率区域分布图分析层次
1.构建概率区域分布图
依据事件组合建立分布区间,可以得到如下的概率区域分布图。
其中,a点是均衡点组合,即(Q0,p0),且事件分布为:
在一区域中,p>p0,而Qp0,而Q>Q0,事件组合为(进行内部审计,不进行舞弊)。
在三区域中,p
在四区域中,pQ0,事件组合为(不进行内部审计,不进行舞弊)。
2.确定各局中人在现有条件下的行为概率
对于舞弊概率p,审计者可以采用诸如历史经验法、估算法、类比法、推算法等方法进行估算,例如可以将以往所发现的舞弊次数与随机抽查的次数作比,得到p的估计值。
至于对Q的估算,这里的Q是对被审计者而言的,因此在对Q进行估算时,可以选用立场调换法或问卷法,最大限度地对Q的取值进行确定。
3.分布区间明确与最优区间确定
根据已经测算出的p、Q值与通过计算所得到相应的相异行为临界点,可以方便地确认相应的分布区间。
(五)综合分析层次
同时针对以上过程与结果进行分析,可以进一步得到如下结论:
1.根据Q0=t/(2×t+F)可知,Q0关于变量t的导数为F/(2×t+F)^2,即随着t增加,Q0也在增加,但增加的幅度在减缓。那么,为了达到最优解,应该使t/(2×t+F)处于低水平,审计者应增加惩处力度F;同时,应关注在收益t很小时,Q0关于t的导数是很大的,这就要求审计者应施加持续的影响,以保证对于舞弊收益t的压制,否则舞弊者将会谋求更大的收益t来弥补之前的损失,即将会对企业造成更大的损害。
2.关注t与F的实际表现形式,尽管在模型中是以金额的形式呈现,但是在实际经营过程中,其亦可以呈现出不同的表现形式。对于t收益而言,可以是未来的收益权,也可以是其他利益的获取权;而对于F惩处而言,可以借助声誉信号传递模式所造成名誉上的损失,也可以是未来收益的损失,亦或是未来其他形式的长期损失[1]。
3.为企业的风险量化计量与判断提供一种途径。审计者可以在企业的整体经营环境趋于稳定的前提下,对于被审计者舞弊概率p进行事前统计,诸如在一定审计次数下所发现的舞弊情况,采取相应的数据处理手段得到先验数据p。之后依据p0的计算公式得到现有条件下的相异行为均衡点p0,然后两者相比较,以选择是否进行审计行为。这样便于进行相应的风险量化处理,更大限度地刻画企业的内部审计风险。
三、博弈均衡分析在企业内部控制中的应用建议
(一)超然态度多主体分析
由于认知偏差的客观存在,如果单纯地从企业所有者角度出发,那么内部控制的制定者将会由于有限理性、过度反应以及推定因素的影响,陷入自我参照的误区,从而放大内部控制制度整体局限性。为此,内部控制制度的制定者应以超然的姿态出现,全方位地关注博弈多方的行为集合,关注有利事项与不利事项,并以此为出发点进行一系列制度的再建设[2]。
(二)关注核心控制点
在进行内部控制制度的制定时,应根据均衡点的概率表示找到核心控制点,把握核心控制点之间的约束关系并进行综合分析处理,以达到既有条件下核心控制点的协同,从而最大限度地克服成本收益不均衡的问题[3]。
(三)趋势分析与提前反应
根据前文的分析,在收益t很小时,Q0关于t的导数是很大的,这就要求审计者应施加持续的影响,以保证对于舞弊收益t的压制,否则舞弊者将会谋求更大的收益t来弥补之前的损失,即会对企业造成更大的损害。这种借助导数的大小来进行事前行为刻画的方式,可以根据各个变量之间的变动关系切实把握各个约束因素之间的变动关系,得到更加有效的控制手段,提升内部控制制度的事前预防能力[4]。
四、结论
本文归纳了CoSo框架下企业内部控制所存在的问题,进而延伸出实施博弈均衡分析的必要性,并给出博弈均衡分析的基本程序以及应用示例,同时得出系列建议。(作者单位:天津财经大学)
参考文献:
[1]晓芳.内部控制的自我执行[J].商业会计,2014,(11):06-09.
[2]刘莉莉.我国企业内部控制的相关问题分析[J].外企业家,2012(04):20-22.
内部控制与审计的区别篇5
2008年7月,财政http://www.LwLm.com部等五部委联合的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。
一、风险评估程序:财务报表审计以内部控制审计为依据
(一)财务报表审计风险评估程序
风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。
(二)内部控制审计风险评估程序
内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。
(三)两种审计在风险评估程序的整合要点
内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高了审计效率,降低了审计成本。
二、控制测试程序:内部控制审计为财务报表审计提供结论
(一)控制测试程序并非财务报表审计的必需程序
财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的,但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。
(二)两种审计控制测试程序的区别
在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。
(三)两种审计在控制测试程序的整合要点
注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。
三、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持
(一)财务报表审计实质性测试程序对内部控制审计控制测试程序的影响
经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如
果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索。
(二)内部控制审计控制测试程序对财http://www.LwLm.com务报表审计实质性测试程序的影响
在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明了方向,因为如果发现内部控制存在某项重大缺陷,则财务报表在相应的账户就可能存在重大错报,就会影响财务报表审计中实质性测试的时间、性质和范围,审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。
(三)财务报表审计实质性测试与内部控制审计控制测试的整合要点
对于两种审计的整合来说,财务报表审计的实质性测试与内部控制审计的控制测试是相互利用、相互支持的,将两种审计在这两个程序所取得的审计证据及得出的审计结论相互利用、相互支持能提高审计效率,降低审计风险,最大限度地保证审计质量。
四、审计计划的综合制定
内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的,因此在分析了两种审计的审计程序整合要点之后,具体阐述如何根据整合要点综合制定审计计划。
(一)两种审计方式审计计划制定的重点
为达到充分整合内部控制审计和财务报表审计的目的,内部控制审计和财务报表审计应尽量由同一组审计人员实施,两种审计的审计计划也应共同制定。结合以上对审计程序的分析,对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成,在内部控制审计计划中应详细制定这两项审计程序的计划,在财务报表审计计划中可以对这两项审计程序的计划简化表述,但应重点对实质性测试程序的计划详细编制。
内部控制与审计的区别篇6
关键词:it环境;内部控制;建设
一、引言
内部控制关系到企业财产物资的安全完整、关系到会计信息系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必须建立起一整套内部控制制度,以保证企业有序、健康地发展。企业在lt环境下建立了会计信息系统后,企业会计核算和会计管理的环境发生了很大的变化。由于使用了计算机,会计数据处理的速度加快了,会计核算的准确性和可靠性得到了极大的提高。减少了因疏忽大意及计算失误造成的差错。但是,也为企业的内部控制带来了许多前所未有的新问题,对企业内部控制制度造成了极大的冲击。由于处在lt环境下的会计信息系统的特殊性,建立一整套适合lt环境下的会计信息系统的内部控制制度就显得尤为重要。而我区――广西壮族自治区,地处祖国的西南,与东盟各国为邻,与东部发达省市及南部沿海城市不能同日而语,但在近几年与东盟对话的环境下促使企业信息化的发展有了一定的起色,企业会计信息系统的初级阶段基本上得到了普及。由此而及的内部控制也有了一定的变化,笔者于2007年7月、8月在广西壮族自治区南宁市内的一些企业进行了走访,现就这些企业的内部控制在lt环境下的现状并针对其出现的一些问题提出了几点建议,以健全广西区内企业在it环境下的内部控制建设。
二、lt环境下广西区内企业内部控制的现状
笔者将广西区内企业分成三大类别:金融机构、企业和事业单位,每一类别抽出一个样本单位,对其在it环境下的内部控制情况进行归纳分析发现,这些企业在it环境的影响下与传统的内控相比有一定的特色,但也存在一些问题。
(一)it环境下广西区内企业内控的特点
内部控制是处理会计业务时所形成的自我调节和自我约束的有机体,包括了一系列既相互联系又相互制约的制度和手续。它是会计活动健康有序运行的重要保证,也是开展审计工作的基本条件和重要内容。《中华人民共和国会计法》规定各单位必须建立健全内部会计控制制度。《会计法》关于内部控制制度的主要内容包括:职责明确、相互制约、严格程序、如实记录、定期检查等。经过多年的研讨、时间、积累,手工会计系统的内部控制已形成了一整套行之有效的方法和制度。然而,随着现代信息技术在财会领域的广泛应用,使得原有的会计内部控制制度和方法在各方面都受到了挑战。在it环境下的会计信息系统对我国大多数企业来说还是一个比较新的东西,其许多控制方法与手工记账方式不同,没有手工记账凭证,所有过账、核算和报表都由计算机自动完成,原有的复核牵制机制失效,产生了一套新型的lt环境下的会计信息系统的内部控制。就我区内企业来看。在it环境下的内控主要特点有:
1 内部控制的措施和方法发生了变化。从三家样本单位的调查数据来看,主要体现在原手工会计系统下的一些内部控制措施在实施信息化后发生了转移。例如:制作科目汇总表、凭证汇总表,试算平衡的操作以及总账、明细账核对等由原来的手工核对转移到由会计信息系统自动完成。由于会计信息系统中的主要组成部分――会计软件,设计者在设计软件时就已经将以上控制措施固化到会计软件中,并且计算机在进行自动计算汇总时一般不会出错,除非在计算机病毒的影响、非法操作和数据受掼等情况下才会出现试算不平衡等现象。因此以上措施在手工控制时没有必要再重复进行。再如,记账凭证中金额的借贷平衡、各账户发生额的平衡、账户的余额平衡检查等,也由会计信息系统软件设计中的内含功能来完成,不需要手工将打印出来的凭证、账簿再次进行平衡校对。
2 内部控制制度有了新的内容。由于计算机技术、网络技术等现代信息技术的引入,使会计工作的形式发生了变化。也给会计工作增加了一些新的信息化元素,同时使内部会计控制的范围更广,包含了手工会计系统所没有的一些内部控制。例如:中国农业银行广西区分行就针对会计信息系统专门制订了计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章;计算机病毒防治、计算机系统内及磁盘内会计信息的安全保护、网络系统的安全控制规章:计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。
3 强调内部控制框架中的“软控制”与人的重要性。内部控制由人来进行并受人的因素影响,保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践是内部控制有效的关键因素之一。实践表明,基于环境现状构建内部控制机制是一种被动性的做法,因此,要重视将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容,更加强调“软控制”的作用。在it环境下,企业尤其应该注重培养组织中人员的信息观念,理解企业信息化建设和管理改革、内部控制创新之间的关系,并重视和实现这个改革。如这三家样本单位均对本单位的内审人员通过各种渠道进行信息化技术、工作能力、职能素养等方面的培训,以提高企业内审人员的工作水平、诚信度及道德水平。如:定期参加审计协会主办的培训;聘请外部审计专家专门指导培训;单位内审人员本身以检代训(下到各基层去检查前先培训,检查后遇到问题再培训再检查)。
信息时代同样是知识经济时代,企业发展将主要依靠科技、知识与人才。“人本主义”作为构建内部控制机制的信条已经越来越多地被企业接受,企业管理者应当重视对人员的选择、使用和培养,这不再单纯只是内部控制的环境因素,也日益成为内部控制结构的有机组成部分。
4 内部控制的技术信息化。企业内审人员的技术力量越来越雄厚,能够自行开发出内部审计软件,并通过此软件直接从业务数据库取数(一般是按报表的时间段定期取数),做到事中、事后监督及预警。如广西区内某家金融机构。现已经成功开发出内审软件的第一期,并已投入运行该软件能在报告期内从前台业务数据库中取数。
(二)it环境下广西区内企业内控存在的问题
广西区内的一些企业在进行it环境下构建企业的内部控制制度时,虽然取得了一些成绩,但由于受地域及历史
原因(如经济发展起步较晚)的影响也存在不少问题,主要有:
1 队伍建设。一是内部审计人员编制太少,不能满足工作的需要。如银监会规定金融机构的内部审计人员按员工人数比例不能低于1%,可广西区内有些金融机构不能达到此比例人数,这样就导致了许多工作无法开展或者周期延长等问题的出现。二是人员编制与职能定位不相吻合,岗位设置过于牵强,有些岗位形同虚设,而有些岗位却相当于几个岗位的工作范围。三是进出的渠道不够通畅,即有能力胜任内审工作的人想要进内审部门不能进,有能力提升时却又受到排挤,不能正常提升,这样内审队伍建设的稳定性就受到了制约。
2 标准协调。指两个标准的协调:一是会计信息系统的数据接口标准与内部审计软件的数据接口标准的协调。在广西区内的企业已实行会计信息化的,所采用的会计信息系统软件均是购买的商品化软件,其中所占比例较大的有两家,即“用友”与“金蝶”,且在国家标准《信息技术会计核算软件数据接口》(GB/t19581-2004)之前均已实施了,当时没有统一的数据接口标准,各自为政,而审核软件的开发是近两年才开始推行的,这样就导致了会计业务数据的导出与内审数据的导入之间要经过复杂的数据转换工作,对内审工作造成了一定的困扰。二是企业内部审计人员的工资标准协调问题。在企业内部各级内部审计人员的工资待遇是属地管理还是统一管理?因为在广西,不同行政地区的工资水平相差很远,如果是采取属地管理则导致了同工不同酬。基层单位的内审人员工作积极性不高。
3 内部审计的三性不明确。通过对三家样本单位的调研发现,他们在内部审计的三性即独立性、操作性、权威性不是很明确。因为内部审计与外部审计不同,内部审计的独立是相对独立,是相对经营管理层而言的,而不是独立于企业系统之外的,因此独立性不是很明确;就操作性而言,它没有利益关系,不好操作;在权威性方面需要领导的认可而不是工作绩效做出来的。
三、lt环境下广西医内企业内部控控制建设的建议
从广西区内企业应用it技术进行企业内部控制建设的过程来看,信息技术的应用使得企业内部控制产生了新的变化,给提高企业内部控制效率、增强内部控制效果带来了新的机会。企业为了适应大环境、大市场的需要,把信息作为控制的资源,利用信息技术来构建与完善内部控制系统是现代我区企业lt环境下的一个实际的、及时的控制观点。随着计算机、网络等信息技术在会计信息系统中的广泛应用,一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代。任何先进的手段都是被人所指挥、所掌握的,一些传统的企业内部会计控制制度如职务分离控制、业务程序控制等仍有自身生存和发展的土壤。仍将有效地发挥自己的积极作用。各企业在采用新型的内部控制手段时,要结合传统有效的内部控制方式。不能只求新、不求实。各企业要真正地应用好it技术,帮助企业更加有效地利用信息。进行真正的变革与创新。现就在lt环境下针对广西区内企业在内部控制建设中出现的一些问题提出几点建议以供参考。
(一)在队伍建设及职能划分上,将业务结构单一的、知识老化的内审人员进行调配,补充新生力量――懂业务、知识结构全面的、信息技术水平高的复合型人才:对原有的内审职能部门进行重新调整,为适应lt环境下会计信息系统中不同形态的数据控制,可按业务数据的不同形态进行划分:如划分为数据收集输入、数据处理和会计信息分析等不同的职能部门。
(二)发挥团队效应,在进行内部审计时可进行项目组织,明确责任,将利益切断,进行交叉审计。签订责任状,制订汇审制,工作底稿出来一两天内进行汇审,避免个人责任,以团队负责,工作报告出来到企业最高层审计办进行汇审交换意见,这样充分发挥了团队效应,调动了内审人员的工作积极性。
(三)提高企业的内控技术,充分发挥非现场审计的作用。实现非现场审计协同作业及资源共享,将非现场审计网络尽快延伸到审计的前沿――基层内部审计机构。基层内部审计机构直接掌握着大量的现场审计成果,对于辖区内部的内部控制状况也有着较为全面系统的认识,且能及时地获知审计对象的重大事件或变动。建立分析模型,将科学的分析技术和优秀审计人员的宝贵经验固化到系统中,使之在全系统范围内共享,可有效统一作业标准,切实保证非现场审计质量。
(四)标准统一。一是要将同企业内的同工不同酬现象进行消除;二是要将数据接口标准统一,可以通过找会计信息系统软件供应商对本单位的会计信息系统软件进行升级,将会计信息系统软件的数据接口标准统一到国家于2005年1月1日起实行的GB/t19581-2004会计核算软件数据接口标准,同时在引进或自行开发审计软件时要注意与此标准统一。如,格式定义文件为FoRmat.tnt,数据文件要按照如下标准执行:数据文件采用文本方式保存;每一条记录在文件中是一行;行与行之间通过回车换行分隔;每一行中包括格式文件中定义的所有有关字段;字段之间用制表符(aSCii码为9)分隔;一个数据文件中每一行的宇段数必须相同;若字段为空,制表分隔符不能省略。
(五)注重内部审计信息载体的建设,如可开办内部审计专报;及时进行审计风险、风险信息提示;及时对企业内部审计情况进行通报等。
内部控制与审计的区别篇7
关键词:中国上市公司;内部控制缺陷;四大会计师事务所;国内会计师事务所
中图分类号:F23文献标识码:a文章编号:1001-828X(2013)06-0-01
一、研究背景
2010年我国政府决定自2011年起逐步在上市公司推行内部控制评价与审计。尤其是自2011年开始,中国证监会和财政部等五部门已经要求上市公司分批进行内控的评价和审计,并对外揭示,其中核心的内容就是内控缺陷的评价与审计。那么,在中国的审计市场,四大国际所是否考虑其声誉效应,显著回避内部控制存在严重缺陷的公司,而国内所则由于缺乏市场竞争优势,接受了较多的高风险公司,是一个值得认真研究的问题。本文利用2009-2010年中国上市公司的数据,通过实证研究方法来考察中国上市公司的内部控制缺陷与审计师特征之间存在怎样的传导效应。
二、实证研究模型
1.实证模型
在以上模型中,因变量为上市公司聘请的会计师事务所特征(四大国际所设为0,国内所设为1),主要解释变量为上市公司内部控制缺陷,控制变量为企业规模,财务特征和行业及地区等变量。
基于四大国际所在国内审计市场具有强势的地位,我们预测四大所选择的上市公司通常内部控制运行较好或者内控缺陷很少,而国内所审计的上市公司内部控制普遍较四大所审计的公司严重。最终将根据回归分析后所得的β系数的符号和显著性程度,来检验我们的假设。
2.主要解释变量
上市公司内部控制缺陷按照财政部等五部委联合的18项《企业内部控制配套指引》可分为18种内部控制缺陷。
3.主要控制变量
模型中主要控制变量有如下17项:企业上市年份、企业Ceo是否兼任董事长、董事长任职年限、企业当年是否亏损、企业规模、交叉上市、控股股东特征、控股股东持股比例、东部地区、中部地区、西部地区、金融行业、公共事业、房地产业、综合业务业、工业、商业。
三、描述性统计及其分析
通过描述性统计可得以下结论:
1.在2009年691个总体样本和2010年676个总体样本中,内部控制缺陷超过100个以上的样本的缺陷类型主要是组织结构缺陷(organization_stru_d),人力资源缺陷(human_resource_d),资金活动缺陷(fund_activ_d),财务报告缺陷(fi_report_d)。
2.2009年数据显示有2.7%的公司高层有舞弊事件被披露;有11%的公司更正过报表;9.7%的公司内部控制无效;25%的公司近3年发生过并购;17%的公司09年有亏损;90%的中国上市公司都没有聘请四大会计师事务所的审计师进行审计,59%的上市公司都实行了信息化管理。
2010年数据显示2.3%的公司高层有舞弊事件被披露;有10%的公司更正过报表;8%的公司内部控制无效;26%的公司近3年发生过并购;15%的公司10年有亏损;90%的中国上市公司都没有聘请四大会计师事务所的审计师进行审计,55%的上市公司都实行了信息化管理。
3.按照地区分类,2009年和2010年数据都表示注册地在东部地区的上市公司占了绝大多数,西部和中部地区的数量都相差无几。
四、关于实证模型的回归分析
因为因变量均为0和1变量,即存在缺陷设为1,否则为0,故回归模型采取的是logistic回归,我们利用SaS统计软件进行分析。
通过对2009和2010年回归结果的比较可得:1.公司上市年份连续2年与国内所审计显著正相关,表明上市时间越早的企业,由于历史问题较多,更可能聘请国内所进行审计。
2.企业营业规模连续2年与国内所审计显著负相关,表明规模越大的企业,越可能聘请国外所进行审计。
3.公司是否在境内外交叉上市连续2年与国内所审计显著正相关,表明同时在境内外上市公司更可能聘请四大所进行审计,而仅在国内上市企业更可能聘请国内所进行审计。
(4)房地产业、综合业务、工业和商业企业连续2年与国内所审计显著正相关,表明这些行业企业与金融企业相比,更可能聘请国内所审计。
五、结论
本文通过采集中国上市公司2009和2010年报信息,对上市公司内部控制缺陷与外部会计师事务所特征之间的关系进行了较深入的实证分析,得到以下结论:
1.从2009年的数据看,排在前5位的内部控制缺陷样本主要是组织结构缺陷、人力资源缺陷、财务报告缺陷、资金活动缺陷和资产管理缺陷,所占比例分别是35%、21%、20%、19%和15%。
从2010年的数据看,排在前5位的内部控制缺陷样本主要是组织结构缺陷、人力资源缺陷、财务报告缺陷、资金活动缺陷和社会责任缺陷,各自所占的比例分别为22%、20%、18%、17%、14%。
从两年的比较来看,企业组织结构内控缺陷、人力资源内控缺陷、财务报告内控缺陷所占比例有减少趋势,尤其是组织结构内控缺陷降低13%。
2.2009年在691家企业样本中,有628家企业聘请了国内所审计,占91%。2010年有609家企业聘请了国内事务所审计,占总体样本的90%。
3.公司上市年份越早的企业,由于历史问题较多,更可能聘请国内所进行审计。
4.企业营业规模越大的企业,越可能聘请国外所进行审计。
5.同时在境内外上市的公司更可能聘请四大所进行审计,而仅在国内上市企业更可能聘请国内所进行审计。
六、启示
1.企业上市时间越长的企业,由于可能存在较多历史问题,大多由国内所审计,而规模大的企业和在境内外同时上市企业大多由四大国际所审计,表明四大国际所仍然垄断了我国高端审计市场。
内部控制与审计的区别篇8
【关键词】煤炭集团;内部控制;风险评估
要建立适合煤炭企业持续健康发展的内部控制体系,必须用辩证的观点,认识内部控制,从国际、国内内部控制的发展现状及煤炭集团发展的需要,认识内部控制的重要性;必须用发展的眼光,寻找集团在认识误区、素质误区、文化误区、管理误区、监督误区和环境误区方面的问题,以便合理对待和科学分析内部控制;必须用科学的态度构建内控体系。建立内部控制的依据是美国CoSo委员会的《企业风险管理——整合框架》和我国财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》及《内部控制配套指引》,目的是在坚持全面性、重要性、制衡性、适应性和成本效益原则的基础上,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五大内控要素建立自己的内控机制,实现内部控制目标。
一、用辩证的观点认识内部控制
所谓内部控制是指企业为了实现其经营目标,保护资产的安全完整,保证会计资料的准确可靠,确保经营方针的贯彻执行,保证活动的经济性、效率性和效果性而在单位内部实行的调整、约束、规划、评价和控制的一系列方法、手段、程序和措施的总和。它是企业管理的重要内容。企业只有加强内部控制,才能减少经营风险,避免经营损失,确保资产安全,保证经营目标实现。因此,必须用辩证的观点,从国际、国内内部控制的发展现状及煤炭集团发展的需要,认识内部控制的重要性。
(一)从国际上看,企业内部控制无论在理论上,还是在实践上,以风险为导向的内部控制逐步建立、完善和成熟
早先的内部控制源于内部牵制,主要是会计控制。进入20世纪40年代,内部控制的概念进一步明确,并将内部控制划分为内部会计控制和内部管理控制。20世纪70年代,美国在《反国外贿赂法》中规定了与会计及内部控制有关的条款,内部控制的内容进一步深化,控制环境纳入内部控制的范畴。1988年美国的《审计准则公告第55号》首次以“内部控制结构”一词取代原有的“内部控制”一词,该公告反映了内部控制实务操作和理论研究的一个新动向。美国的CoSo委员会1992年9月《内部控制整合框架》,该框架建立了全员的控制环境、风险评估、控制活动、信息和沟通及监控内部控制五大要素,成为现代内部控制最具有权威性的框架。2004年CoSo委员会在《内部控制整合框架》的基础上,提出最新研究成果——《企业风险管理——整合框架》,将内部控制的要素扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督八个要素,风险控制理论体系最终形成。
(二)在国内,以会计控制和管理控制为主的内部控制规范体系已初步建立并在上市公司范围内实施,以风险为导向的内部控制理论正在研究并逐步在实践中执行
我国内部控制制度源于20世纪90年代,主要由政府、证券监督管理机构和行业监督机构推动。2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,并于2010年4月26日再次联合《内部控制配套指引》,标志着中国企业内部控制规范体系基本建成并开始在上市公司实施。该规范树立了全面、全员、全程控制的理念,确立了内部环境、风险评估、控制活动、信息和沟通、内部监督的五要素内部控制框架,建立了以企业为主体,以政府为促进,以中介为监督的内部控制实施机制。
从煤炭集团的发展状况来看,公司规模越大越需要强化内部控制,这是企业做强做大的需要,是企业现代化管理的需要,是企业实现战略目标的需要。
我们应该清醒地认识到:我国的内部控制尚未成熟并全面推广运用,以风险为主导的内控环境没有形成,尽快建立内部控制体系刻不容缓。
二、当前内部控制制度建设存在的误区
内部控制建设的发展,与国家性质有关,与市场体系有关,与经济发展有关,与行业状况有关,与企业实际有关。作为社会主义国有煤炭企业内部控制建设必须认真查找问题、逐一分析研究、制定有效措施,建立特色的有效的内部控制体系,但目前企业对内部控制建设存在以下误区。
(一)企业认识误区
发展史比较长的国有企业从表面上看,已步入市场经济,建立现代企业管理制度,但实际上还没有摆脱计划经济的影响,在企业中保留落后的管理模式。同时,对新型的管理体制一知半解或者根本就没有理解,机械地照搬现代化的管理机制,使企业管理不伦不类带病运行。更为可怕的是对世界经济一体化中的风险和挑战、机遇和困难没有清醒的认识及管理应对之策,对信息技术带来的飞速发展没有及时跟进。这些认识上的误区最终使企业盲目、机械、带病运行。
(二)企业素质误区
企业在市场经济的带动下飞速向前,可是企业的人员结构却没有多大变化,人员的素质也没有根本提高,尤其是知识不断更新的今天,不重视员工的素质工程建设,没有培养与现代企业管理相匹配的人才。据统计,我国的职工教育经费不到1%的企业占80%,同时由于企业严重超员,新的力量无法进入,无法消除因素质问题带来的消极、落后的严重影响。
(三)企业文化误区
企业文化是一个企业在其生存和发展过程中形成的用于指导和规范该企业自身和员工行为的独特价值或文化观念,它应该随客观环境的变化进行必要调整。一些成立多年的企业长期形成了相对封闭、落后、排外的独特文化,不仅严重制约了企业的发展速度,而且拒绝外来文化的进入,这种不平衡、不同步的企业文化导致企业无法转型跨越。
(四)企业管理误区
企业管理过程中,涉及组织机构、资源配置、管理制度、管理程序、管理手段、风险防控、监督机制等许多内容,如果这些内容或环节出现问题或者不和谐,整个企业健康便会出现问题,甚至影响到企业的生存和发展。如许多企业有董事会、监事会,也有党委会、职代会、党政联席会等,这些机构职权、职责、业务及分工和联系是什么不明确、不清楚,有些部门的设置不科学、职责模糊;在资源配置上,没有统一科学的论证,专业不对口,设备、资金不能发挥最大作用;有些企业的管理制度没有统一管理,各单位、部门各行其是,随意性很大,使得管理制度混乱、交叉,甚至违反法律规定;在管理程序上,没有全面理顺,上下不协调,你说一套,他说一套,使企业工作互相扯皮,毫无效率可言,各种损失很大;在管理手段上,仍然延续传统的做法,什么事都等领导安排,不主动、不积极开展工作,决策和执行严重脱节;对企业风险没有概念,没有认真评估,即使有某些风险防范制度、方案也只是停留在纸上;在监督机制上,大型国有企业都不缺制度,条目特别多,但执行得怎么样,可想而知,监督机制没有完全形成。大多数企业都有审计机构,可审计机构在干什么?有财务审计、专项审计、责任审计,真实的管理审计并没有做。
这些认识、素质、文化和管理误区都是内部控制不当造成的,企业要发展,还需要深挖,才能对症治疗,辩证施治,才能收到明显效果。
三、用科学的态度构建内控体系
内部控制的好坏,是企业管理的核心内容,决定着企业的健康持续发展。认识到内部控制的发展程度,了解到与国外的差距,找到自己企业的软肋,才能科学、合理设计好内部控制的蓝图。内部控制体系是一项综合性工程,包括价值观、管理理念、管理风格、企业文化、员工信念、道德观念、公司结构、资源配置、内部监督、责权分配、管理制度等;包括目标设定、风险识别和评估、风险应对和识别、传达会计制度及变化;包括职务分离、权限划分、授权审批、财产保护、预算控制、运营分析、绩效考评、会计系统等及其关联活动;包括信息沟通和监督等。主要分以下五大要素:
(一)建立内部控制环境
内部环境是企业实施内部控制的重要基础,是对建立、加强或削弱内部控制系统产生影响的各种因素,包括价值观、管理理念、管理风格、企业文化、员工信念、道德观念、公司结构、资源配置、内部监督、责权分配、管理制度等能够为内部控制建设提供保障的因素。环境要素是推动企业发展的引擎,也是其他一切要素的核心。企业要把以风险为导向的内部控制渗透到企业管理的各个环节,使内部控制成为企业管理的文化,成为企业管理的中心内容。
(二)建立风险评估机制
在复杂的市场竞争中,风险无处不在,增强企业自身抵御风险的能力十分必要。风险评估是企业实施内部控制的重要环节,是发现和分析对达到目标有影响的过程,风险评估流程包括目标设定、风险识别和评估、风险应对和识别、传达会计制度及变化四要素。由于市场变化、世界经济波动、政策变化、监管和经营条件的不确定性,因而还要对风险进行适时调整。
(三)进行严格控制活动
控制活动是企业实施内部控制的重要手段,是在风险评估的基础上保证管理层的指令得到贯彻执行的政策和程序,遍及企业所有层级、环节和地点,是一个动态执行的过程。主要有职务分离、权限划分、授权审批、财产保护、预算控制、运营分析、绩效考评、会计系统等及其关联活动。企业必须制定控制的政策及程序并予以执行,以帮助管理阶层保证其控制目标的实现。
(四)畅通信息沟通渠道
信息和沟通是企业实施内部控制的重要条件,是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部进行有效沟通和交换,信息越准确,沟通越及时,决策层越能够有效控制风险,维护企业持续发展的局面。
(五)建立有效的内部监督
内部监督是企业实施内部控制的重要保证,是企业内部控制能否正确执行及执行质量好坏的一项监管活动。通过持续性监督和定期性评估,可以发现内部控制缺陷,改善内部控制体系,促进企业内部控制的完善并趋于合理,提高企业内部控制执行的效率及效果。
总之,企业必须在资源整合的同时,着手进行内部控制研究,建立完善的内部控制体系,以预防整合风险、管理风险、控制风险,降低成本,增强企业竞争力,实现企业的战略目标、经营目标、财务报告目标、合规性目标和社会责任目标。
【参考文献】
[1]企业内部控制编审委员会.企业内部控制主要风险点、关键控制点与案例解析[m].立信会计出版社,2012.
[2]罗勇,李厚喜.企业内部控制手册[m].立信会计出版社,2009.
[3]邱少林.试论我国企业内部控制[J].湖南财经高等专科学校学报,2005(6).
[4]刘辉.国有煤炭企业内部控制现状及对策[J].煤炭经济研究,2009(8).
[5]裴旺.浅议煤炭企业内部控制[J].山西科技,2009(1).
[6]张敏敏,李翕然.煤炭企业内部控制研究[J].煤炭经济研究,2008(2).
[7]陈玉英,王玉香.煤炭企业内部控制实施的重要性[J].中国矿业,2009(12).
内部控制与审计的区别篇9
近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(theSarbanes-oxleyactof2002,简称SoX法案)的影响。尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。可以说,SoX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SoX法案的相对完善性,研究SoX法案对中国公司也有很强的借鉴意义。尤其SoX法案对信息化的要求严格,从公司治理和it治理的高度提出it内部控制的要求。
对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的it控制水平?又应该如何治理it以保证财务报告内部控制的有效性?来看一个实际的案例,a公司是一家财富500强企业,全球五大制药公司之一。该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。随着SoX法案第404条款的实施,一家会计师事务所将对其it内部控制进行审计。因此,该公司计划在全球信息服务(iS)部门推行合规项目。项目分为以下几个步骤,如图1所示。
精通SoX
SoX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
所有人都清楚it在现代企业中扮演着重要的角色。在很多公司内部,财务报告流程是由it系统驱动的。无论是eRp还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,it是保证财务报告内部控制的有效性的基础,it控制至关重要。
从it控制的范围来说,it控制通常包括it控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。it控制有一个治理框架,即CoBit框架。CoBit的全称是信息及相关技术的控制目标(Controlobjectivesforinformationandrelatedtechnology)。CoBit将it流程、it资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
制定项目计划
项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同,以中国区分公司为例,项目团队以中国区Ceo、iS部门总监、iS经理和外部咨询顾问组成。对于SoX合规项目,可以采用“差距分析”方法来进行。
风险控制矩阵(RiskandControlmatrices,RCm)是差距分析和审计过程中的一个关键文档。RCm为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCm可以从以下三点来考虑。首先,是否已识别出了所有风险?其次,已识别的风险是否都与财务交易相关?最后,对于每一个风险,有什么对应的控制?
差距通常可以分为人员差距、流程差距和技术差距。例如,系统日志可以记录系统运维状态,但是如果加上适当的过滤工具,就可以保证对关键的突发事件及时的响应,相关人员不在现场也不会造成不能及时响应。
开展控制评估
第一步,要确定评估的控制范围,可以分为四个步骤:首先,确定财务报告流程中的核心要
素;其次,识别关键的业务流程;再次,确定it系统范围;最后,确定地理位置的范围。该公司中国区项目组根据财务交易活动,确定了关键的业务流程、支持系统和所在的位置。
第二步,在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。
第三步,识别主要控制。对于公司和it系统来说,存在三种控制:公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”(toneatthetop)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于it系统所支持的业务流程,以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵(RCm)。
该公司识别出来的风险涉及领域主要有:制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、it灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。
进行控制设计
为了减少这些风险,中国区分公司进行了控制的优化与设计。在公司级控制方面,创建或优化各个制度,包括iS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。
在应用、流程及通用控制方面,创建和优化了流程,为重要的流程和应用系统设计了一系列文档,设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。
进行内部审计
在控制文档设计完毕后,需要先进行一次内部审计,沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制,需要纠正缺陷、完善控制的设计与运维,以确保其有效性。
报告管理层
在内部审计通过后,管理层形成正式的书面内部控制结论,迎接外部审计。
在此案例中,需要重点关注的是公司有哪些重要的流程和控制,有哪些相关的风险和需要哪些相关的控制,以及如何设计与评估控制。通常来说,SoX合规项目会非常费时,成本也较高。不过,可以通过外部咨询公司帮助企业做一个快速诊断,以寻找从哪些地方入手做关键改进。
对于大多数公司来说,要达到SoX法案的要求,需要从文化上去改变。从历史事件来看,内部控制有重大缺陷会对整个公司造成灾难,因此主动地去提升内部控制,显得至关重要。
链接:中国企业it内审的难点
1.企业在观念上对it内审的重视程度不够;
2.企业it内审的组织架构不清晰,因为it内审既涉及it,又包含审计的内容,很多企业不知道该由哪个部门来推动;
内部控制与审计的区别篇10
审计整合模式对传统的财务报表审计有着巨大的影响,其对使用企业财务信息的各方以及注册会计师等个方面都有着重要的意义,具体如下:
(一)转变企业管理理念,建设内部控制制度。内部控制审计与财务报表审计的整合在给企业带来挑战的同时,也产生了积极的意义,加强了企业的内部管理控制,推进了企业管理的发展,具体有以下几个方面:①降低企业内部风险:在内部控制过程中会涉及到许多的审批制度以及业务流程,两种类型的审计整合加强了企业的内部控制,使得管理层更加了解企业具体的经营发展情况,减少了内部舞弊现象,从而降低了企业的内部风险;②内部控制能够让企业内部之间既保持联系又相互制约,促进了企业日常业务开展的规范性。
(二)促进会计师的发展。内部控制审计的提出能够拓展会计师的业务范围,当前内部控制审计与财务报表审计整合虽然还没有明确的规定,但众多企业及公司已经着手加强二者的整合,可见两种审计类型的整合是未来企业审计的重要趋势,整合审计也在为越来越多的会计师事务所接受,这就给会计师行业带来了新的动力,为促进会计师的发展起着重要的推动作用,但需要明确的是,在提供发展机遇的同时,注册会计师在审计经验、专业人员等方面也面临着重要的挑战。
(三)提升审计效率。内部控制审计与财务报表审计的性质不同,但二者存在着一定的共性和联系,这就使得二者的审计结果可以相互利用、相互提供数据基础,这就大大降低了审计的成本,从而提升了审计效率。具体来说,两种审计方式都需要对企业的内部情况进行评估测试,以此来确定审计方向,而二者获得的审计资源能够实现共享,减少了审计资源及信息的人力、物力及时间,而如果由一家会计师事务所进行审计整合,还减少了两种审计关于资料的沟通成本,这些都会提升审计效率。
(四)降低审计风险。单一的财务报表审计需要对企业的内部情况进行评估分析,并作出内部控制评价,这种分析和评价并没有内部控制审计准确,内部控制审计与财务报表审计的整合能够提供正确的内部控制信息,从而为降低财务报表风险提供了数据基础。如果在财务报表审计中出现错误,也可以通过内部控制审计进行正确性验证,这就大大降低了审计风险,提升了审计质量。
二、内部控制审计与财务报表审计整合的可行性分析
(一)二者终极目标一致。内部控制审计的主要目标有:保证财务信息的真实可靠、保证资产的完整和安全、合理的利用资源、提升企业经营效率等等,从内部控制审计目标中可以看出,其主要是为了提升财务报告的质量。财务报表审计要符合会计准则以及相关会计制度,反映出企业的财务状况与经营成果,以此可以看出财务报表审计的主要目标是为了让企业的管理层以及相关信息的使用者得到真实的财务信息。
综上所述,虽然财务报表审计与内部控制审计在审计流程等方面有所不同,但其有着共同的提升财务报告真实度和质量的目标。由此可见,将这两种类型的审计整合是可行的。
(二)二者审计模式相同。财务报表审计采用的是以现代风险为导向的自上而下的审计模式,主要以企业的风险评估为基础,并对影响风险的因素进行分析,最后确定审计范围及重点,实施审计程序。内部控制审计中主要通过对财务报告内部控制整体风险的了解,来得出测试控制的思路,之后在进行相关审计流程。由此可见,从审计模式上来说,内部控制审计与财务报表审计都是自上而下的现代风险导向的审计模式,因此,二者的整合是可行的。
(三)二者审计程序相关。财务报表审计与内部控制审计的结果能够被相互利用,在财务报表审计中能够对企业内部控制形成初步了解,这就给内部控制审计提供了帮助,同时注册会计师能够通过审计程序发现企业的重大错误,这就能够将相应控制点的控制缺陷体现出来,从而对内部控制审计确定方向和范围。注册会计师对企业内部控制点的审查,同样能够指出相应的账户是否存在问题,从而为财务报表审计提供帮助。
三、内部控制审计与财务报表审计整合的策略研究
(一)同时实现两类审计目标。首先要对内部控制设计与运行的有效性进行分析测试,以此来获取充分的证据,证明内部控制审计能够对内部控制有效性提供意见。同时,通过内部控制审计能够帮助财务报表审计在实现更加合理的内部风险控制。
两种审计类型虽然有着一定的相似性和关联性,但具体的审计范围以及样本量还存在着明显的区别,因此,要想实现两类审计的目标,就需要对财务报表审计策略进行相应的改进,使之能够适应内部控制审计,以此来同时实现两类审计目标。同时,为了加强二者的整合,还可以适当的通过财务报表审计中的测试成本节约来抵消内部控制审计中所增加的成本。只有实现以上几个方面的综合性整合方案,才能够同时实现两类审计目标,才能够实现内部控制审计与财务报表审计的整合。
(二)审计结果的相互利用。①内部控制审计中,注册会计师在形成内部控制有效性结论的同时要考虑到财务报表审计对于控制运行的有效性测试;在财务报表审计中,在评估风险时要考虑到内部控制审计中对控制和运行的测试结果。如果在任何一个审计流程中发现控制错误,要及时对该项错误造成的财务报表审计在实践、范围、性质等方面的影响进行分析;②会计师应当根据财务报表审计结果来进行内部控制审计有效性的评价和分析,例如相关程序的风险评估、舞弊相关风险评估,违规操作和行为问题以及实质性程序中的问题等。
(三)统一审计队伍。我国对财务报告进行内部控制审计的公司中,会计师事务所通常会安排两个审计小组分别负责财务报告内部审计工作和财务报表审计工作。