内部审计与内部控制的区别(6篇)
内部审计与内部控制的区别篇1
【关键词】内部审计外包;外部审计;区别
内部审计和外部审计都是审计监督体系的组成部分,它们相互制约、相互监督、互为补充。两者的主要目标是一致的,都是对被审单位的财政、财务收支活动和经营管理活动的正确性、合法性、合理性和有效性进行审查和监督。内部审计是外部审计的重要基础,外部审计的深度和广度在很大程度上取决于内部审计的工作质量,内部审计做的好,外部审计就有了保证。实践证明,内部审计和外部审计在实施过程中,各有所长、各有所短,两者的有效结合是完善审计监督体系、全面开展审计工作、提高审计质量和审计效率的有效途径。
内部审计外包(OutsourcingtheInternalAuditFunction)又称内部审计外部化或内部审计,它是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。与传统的内部审计相比,内部审计外包的显著特征就是内部审计主体的变化,从事内部审计业务的审计主体开放了,它既可以是组织内部的审计人员,也可以是独立于该组织的外部审计机构或人员。内部审计外包有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。
企业外包内部审计业务后,内部审计会被外部审计(主要是社会审计,下同)替代吗?我们的回答是否定的。因为外包后的内部审计仅仅是改变了内部审计的主体,它在许多方面和外部审计仍然存在着区别,主要表现在:
一是审计的内容和目的不同。内部审计的内容主要是依据企业经营战略目标、单位内部的定额、计划指标及内部管理制度等,检查企业各项内部控制的执行情况、经济活动取得的经济效益等,提出各项改善措施,评价企业内部受托经济责任的履行情况等。内部审计的种类,包括财务审计、经济效益审计、经营业务审计和管理审计等。而外部审计则是依据《独立审计准则》,主要审查企业经济活动的真实性和合法性等方面,对被审单位会计报表的合法性和公允性发表审计意见,并未较多触及经济效益审计和管理审计等方面。因此,内部审计在深度和广度方面要比外部审计要求高。
二是审计的服务对象不同。内部审计人员在处理企业生产经营管理活动的问题中,充当企业管理当局的参谋和助手,并帮助各级管理人员有效地履行他们的职责,其主要的、直接的服务对象就是包括企业管理当局和董事会在内的组织内部的各级管理人员。通常,外部审计人员是受托对企业的财务会计报表进行年度审计,其服务对象是与企业利益相关的社会各界,包括股东、银行、债权人、政府和潜在的投资者等。当然,这不排除他们的意见被企业管理当局和董事会采用的情况,但这是次要的,不是其主要的使命和目的。
三是审计作用的范围不同。内部审计所发挥的作用一般仅局限于组织内部,只有当正确的审计结论和建议被采纳并及时采取改进行动时,才会产生具有建设性的实际效果。内部审计人员对生产经营管理所持的观点和看法一般不向外界透露,具有一定的保密性。而外部审计人员对财务会计报表所表述的审计意见和结论要公布于众,客观上起到了社会公正的作用,其作用的覆盖面比内部审计要广阔的多。
四是与内部控制的关系程度不同。外部审计人员的兴趣主要集中在内部会计控制,以及对会计信息的真实性和完整性有实质性影响的相关控制,而内部审计人员则对整个内部控制系统,包括内部会计控制都给予了极大的关注。而且,两者的出发点不同,外部审计人员之所以关心内部控制,是因为它们影响其设计的审计程序性质和进行实质性测试的范围,这与他们对财务会计报表发表独立意见相比是次要的。内部审计人员关心内部控制的目的在于检查和评价内部控制系统的适当性和有效性,并针对控制的缺陷提出强化控制的意见和措施。
五是审计的范围和时间不同。内部审计的范围涉及企业生产经营管理的各个领域,它既可以借助于正式的记录和文件,又可以依据非正式的记录和文件;内部审计通常对单位组织内部采用定期或不定期的审计,时间安排比较灵活。而外部审计通常是定期审计,每年对被审单位的会计报表审计一次,其审计范围主要局限于财务会计领域及其相关的内部控制系统,重点在于那些对财务会计报表的合法性和公允性有实质性影响的重大事项,它只能依赖正式的记录和文件。所以,内部审计在审计的对象范围上比外部审计要广泛,在审计时间上也更为灵活。
六是审计程序不同。内部审计的工作程序通常按照部门或经营地点来设计,会计记录和报表的审查只是其工作的一小部分,大部分时间和精力都集中在内部控制系统和工作质量的检查和评价上;而外部审计的程序一般针对财务会计报表所列项目来设计,绝大部分时间花费在核实和验证报表各项目的余额是否真实、准确、可靠,以及确认所采用的会计原则和政策是否公允。
从上面的分析可以看出,内部审计有外部审计许多无法比拟之处,因此它不会被外部审计所替代。同时,由于存在上述差别,所以外部审计机构在承接内部审计业务时,应对承担内部审计任务的外部审计人员定期进行适当的培训,使之同时具备内部审计人员应有的素质,具体培训方式可以采用讲座、案例讨论以及课程学习等多种方式。否则,优秀的外部审计人员也难以完全胜任内部审计工作。外部审计人员在受托从事企业内部审计服务时,不能完全按照从事外部审计服务的范围、程序和方法进行,必须认真研究内部审计工作的特点和要求,这样才能提供高质量的内部审计服务。
【参考文献】
[1]周为利.国外内部审计外包及启示[J].审计与经济研究,2002(5).
内部审计与内部控制的区别篇2
美、澳、中三国内部控制审核报告的结构与内容
1.美国。根据《美国鉴证准则400:与单位财务报告相关的内部控制的报告》第45段的规定,执业人员的报告应当包括:
(1)包括“独立的”一词的标题(一般用“独立会计师报告”)。
(2)说明管理当局关于该单位在某一特定日期与财务报告相关的内部控制有效性的认定(当管理当局的认定没有后附于执业人员的报告时,报告的第一段也应当包含管理当局的认定的说明)。
(3)说明认定是管理当局的责任。
(4)说明执业人员的责任是根据其审核,对“该单位的内部控制有效性或管理当局的认定”发表意见。
(5)说明审核是根据美国注册会计师协会制定的鉴证准则执行的,相应地,包括了解与财务报告相关的内部控制,测试和评价内部控制设计和执行的有效性,以及实施执业人员根据实际情况认为必要的其他程序。
(6)说明执业人员相信,审核为其发表意见提供了合理基础。
(7)应加一段说明,由于任何内部控制中均存在固有局限,因此,由于错误或舞弊引起的错报可能已经发生且未被发现(此外,本段也应当说明,根据内部控制评价结果推测未来存在一定的风险,因为未来情况的变化可能导致现行内部控制变得不再适当,或者降低了内部控制政策或程序的遵循程度)。
(8)执业人员的意见是:①根据控制标准,该单位在某一特定日期是否在所有重大方面保持了与会计报表相关的有效的内部控制。②根据控制标准,管理当局关于该单位在某一特定日期与会计报表相关的内部控制有效性的认定是否在所有重大方面是公允表述的。
(9)如果认定是根据管理机构制定的特定标准编制的或者是根据由认定者与特定方商定的特定标准编制的,也应当包含执业人员的报告;应说明因为旨在单一地为特定方使用,所以报告的使用具有局限性;当存在既定标准时,应说明如果认定是根据“指出既定标准”来表述的,该认定就不是专门根据该标准来表述的结果。
(10)执业人员事务所的手书或印刷签名。
(11)审核报告的日期。
2.澳大利亚。根据《澳大利亚审计准则810:关于控制程序有效性的特殊目的报告》第67段的规定,审计师关于控制程序有效性的报告应当包括:
(1)标题(如果对控制程序有效性的认定提供高程度的保证水平,则标题为“独立审计报告”)。
(2)收件人。
(3)审计范围的描述,包括:活动范围的说明或描述,说明保持对活动范围有效的内部控制结构,包括控制程序,是管理当局的责任。
(4)当业务是鉴证业务时,说明管理当局关于控制程序有效性的声明的指定来源。
(5)说明审计师已经实施了该业务,以便对控制程序有效性发表意见。
(6)指出审计师编制报告的目的及有权利利用报告的人,并指出审计师对其他任何目的或其他任何人员利用本报告不承担责任。
(7)标准的描述或标准来源的披露。
(8)说明审计是根据澳大利亚审计准则实施的。
(9)在罕见及例外情况下,当偏离基本原则或基本程序可能是必要的,正如在“其他综合职业说明SPS1.1:遵循审计准则”中的(H)段所要求的说明,对于已偏离的特殊基本原则或基本程序连同偏离的正当理由,应当提供详细的说明。
(10)进一步详细说明影响所提供保证的变化因素及其他认为适当的信息。
(11)以“固有局限”为标题,在该段落部分中陈述:①由于在任何内部控制结构中均存在固有局限,因此,错误或违规可能已经发生且未被发现是可能的,并且在已审计的控制程序之内的内部控制结构执行未经审计,因而不对其有效性发表意见;②审计不被设计用于发现控制程序中的所有薄弱环节,因此没有在整个期间内持续地实施审计,且所实施的测试是建立在样本基础之上的;③根据控制程序评价结果推测未来期间存在一定的风险,因为未来情况的变化可能导致控制程序变得不再适当,或者可能降低控制程序的遵循程度。
(12)当审计师的意见是保留的,则应有以"限制情况"为标题的一部分,清楚地说明该保留意见的原因。
(13)对在所有重大方面和根据指定的控制标准,与活动范围有关的控制程序的设计和执行是否有效发表意见。
(14)审计师的签名。
(15)审计师的地址。
(16)审计师报告的日期。
3.中国。根据中国注册会计师协会的《内部控制审核指导意见》第五章第三十条至第三十九条的规定,内部控制审核报告应当包括以下基本内容:
(1)标题。统一规范为“内部控制审核报告”。
(2)收件人。应当为审核业务的委托人,并应当载明收件人的全称,可用“XX股份有限公司”。
(3)引言段。应当说明以下内容:①被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定;②被审核单位管理当局的责任;③注册会计师的责任。
(4)范围段。应当说明以下内容:①审核依据,即《内部控制审核指导意见》;②审核程序;③实施的审核程序为注册会计师发表审核意见提供合理的基础;
(5)固有限制段。应当说明以下内容:①内部控制的固有限制;②根据内部控制评价结果推测未来内部控制有效性的风险。
(6)说明段。如果注册会计师发表的是非标准无保留意见,则应增加说明段,说明内部控制存在的重大缺陷及其对实现内部控制目标的影响。
(7)意见段。应当说明被审核单位于特定日期在所有重大方面是否保持了与会计报表相关的有效的内部控制。
(8)签章和会计师事务所地址。应当由注册会计师签名并盖章,加盖会计师事务所公章,标明会计师事务所地址。
(9)报告日期。是指注册会计师完成外勤审核工作的日期。
三国内部控制审核报告的比较
(一)内容与结构
1.标题。美国将其统一称为“独立会计师报告”,突出了注册会计师实施业务的独立性特征,将注册会计师的报告与其他专业人员的报告区别开来。但美国注册会计师就其他业务签发的报告也有称为“独立会计师报告”的。如注册会计师签发的中期财务报告审阅报告就称为“独立会计师报告”,年度财务报表审计报告也可称为“独立会计师报告”。此外,这种标题没有反映出业务对象与业务性质,不能将内部控制审核业务报告与注册会计师实施的其他业务报告相区别。澳大利亚将标题统一称为“独立审计报告”,也突出了注册会计师实施业务的独立性特征。但也存在几个问题:一是未将注册会计师内部控制审核业务报告与会计报表审计报告相区别;二是内部控制审核业务性质定性不太恰当,没有严格区分审计(audit)与审核(examination,也译为“审查”)业务。一般地,将对财务信息提供高程度保证服务的业务称为审计,而将对其他非财务信息提供高程度保证服务的业务称为审核。在澳大利亚,注册会计师还可以对内部控制实施审阅(review)业务和商定程序业务(agreed-uponprocedures)。中国将标题统一称为“内部控制审核报告”,突出了注册会计师所完成业务的对象是内部控制,实施业务的性质是审核业务,言简意赅,一目了然。但没有将注册会计师所签发的审核报告与其他专业人员所签发的审核报告区别开来。
2.收件人。美国的内部控制审核报告没有要求注明收件人,而澳大利亚的内部控制报告要求注明收件人。在中国,收件人为审核业务委托人,一般直接用“XX股份有限公司”。在收件人方面,中国与澳大利亚在实质上是相同的。
3.正文整体结构。美国的标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成。在正式报告中,每一自然段均没有小标题。如果是非标准无保留意见审核报告,则在意见段之前增加说明段。在澳大利亚,标准无保留意见内部控制审核报告的正文整体结构由范围段、固有限制段、意见段构成。范围段又包括五个自然段,固有限制段包括四个自然段,只有意见段只包括一个自然段。每一自然段均有相应小标题,分别是范围、固有局限、审计意见。实际上,其范围段包括了美国的引言段与范围段的内容。如果是非标准无保留意见审核报告,则在意见段之前增加说明段,说明段的小标题为“发现的情况”或其他适当的小标题。在中国,标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成,每一自然段均没有小标题。如果是非标准无保留意见审核报告,则在意见段之前增加说明段。可见,在正文的整体结构上,中国的与美国的相同,而澳大利亚的则较为复杂。
4.引言段。美国的引言段只有一自然段,主要说明审核的范围,即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。澳大利亚没有专门的引言段,但在范围段中,包括了美国审核报告中引言段中的相应内容,只是分散在不同的自然段中而已。在中国,引言段也只有一自然段,主要说明审核的范围,即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。可见,中国与美国的审核报告中,引言段中的内容是相同的。
5.范围段。美国的范围段只有一自然段,包括的主要内容有三个方面:一是说明实施审核程序所依据的职业准则;二是说明已实施的审核程序;三是说明已实施的审核程序为执业人员发表审核意见提供了合理基础。澳大利亚的范围段共有五个自然段,包括的内容比较复杂:第一自然段主要说明已审计内部控制的范围与审计目的(或者说是注册会计师的责任);第二自然段主要说明确定审计范围的依据和使用的评价标准;第三自然段主要说明被审计单位管理当局的责任、包含该认定的报告、已经对控制程序实施了独立审计及审计的目的;第四自然段主要说明实施审计程序所依据的审计准则、已实施的审计程序、实施审计程序的目的;第五自然段主要说明审计师编制报告的目的、有权利使用报告的人、强制审计师对其他任何目的或其他人员使用本报告不承担责任。在中国,范围段也只有一自然段,主要说明审核依据、审核程序、实施的审核程序为注册会计师发表审核意见提供了合理的基础三方面的内容。可见,在范围段中,中国的与美国的相同,而澳大利亚的则较复杂。
6.固有局限段。在美国,固有限制段只有一自然段,主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。在澳大利亚,固有限制段分四个自然段来表述,第一自然段说明内部控制本身存在的局限与审计范围的局限;第二自然段说明审计程序设计的局限;第三自然段说明根据评价结果推测未来存在的风险;第四自然段说明审计意见形成的基础。在中国,固有限制段也只有一自然段,主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。可见,在固有局限段中,中国的与美国的完全相同,澳大利亚的不但结构复杂,所包括的内容也较多,特别强调审计范围与审计程序方面存在的局限。
7.意见段。三国审核报告的意见段均只有一自然段。如美国注册会计师可以直接针对被审核单位是否保持了与财务报告相关的有效的内部控制发表审核意见,也可以针对管理当局关于内部控制有效性的认定发表审核意见。在澳大利亚,注册会计师可以直接针对控制程序本身的有效性发表意见,也可以针对管理当局关于控制程序有效性的认定发表意见。在中国,规定了注册会计师对被审核单位是否保持了与会计报表相关的有效的内部控制发表审核意见,没有规定注册会计师是否可以对管理当局关于内部控制有效性的认定发表审核意见。可见,美国与澳大利亚发表审核意见的对象相同,可以针对内部控制本身的有效性发表意见,也可针对管理当局关于内部控制有效性的认定发表意见。而在中国,只规定注册会计师直接对内部控制本身的有效性发表审核意见。
8.说明段。在美国,说明段主要说明三项内容:一是说明注册会计师在审核中发现了情况,并认为是内部控制设计或执行中存在的重大缺陷;二是说明存在的重大控制缺陷对实现控制目标的影响;三是解释重大控制缺陷,即不能为单位内部控制及时预防或发现财务报表中存在的重大错报提供合理保证的情况。在澳大利亚,则称为“发现的情况”,主要说明内部控制存在的重大缺陷及对实现控制目标的影响。必要时,还可以对其他适当信息进行详细说明,但没有解释什么是“内部控制的重大缺陷”。在中国,说明段除描述内部控制的重大缺陷及其对实现内部控制目标的影响外,还强调“有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证,而上述重大控制缺陷使贵公司内部控制失去这一功能。“该强调实质上是对“内部控制的重大缺陷”进行解释。可见,三国在说明段中的主要内容是一致的。
9.报告签名与报告日期。三国在报告签名与报告日期方面是相同的。
10.主要意见类型。三国在内部控制审核意见类型方面也是相同的,均分为无保留意见、保留意见、否定意见、无法发表意见。我国用的是“拒绝表示意见”。笔者认为,“拒绝”含有注册会计师不愿意之意,其感情色彩与注册会计师因受范围限制无法、不能形成意见不符,笔者倾向于使用“无法发表意见”。
11.其他。在美国和澳大利亚,在报告正文的开头,均提及被审核单位对内部控制有效性作出认定所依据的控制标准。而中国的报告中没有提及管理当局作出认定所依据的控制标准。
总之,中美两国注册会计师内部控制审核报告大同小异,差异甚微。而澳大利亚的审核报告则包括了中美报告的全部内容,但在报告中的排放位置不同,且还有其独特内容,既向使用者传达了更多信息,但也增加了报告的复性。
(二)质量要素
内部审计与内部控制的区别篇3
在具体的内部审计实践中,可以综合运用制度控制方法、质量复核方法、区域控制方法、自查互查质量方法、内部审计公示方法等五种方法,加强审计质量的过程控制,建立内部审计项目质量控制制度体系。笔者结合多年的内部审计工作实践经验,对在审计工作中如何运用这些方法提高内部审计质量谈一些粗浅的看法。
一、运用制度控制方法提高内部审计质量
制度控制方法,是指内部审计部门通过建立健全各种质量控制制度,以监督、约束和规范内部审计行为,提高审计质量的方法。对于内部审计部门而言,一方面应通过制度控制来规范内部审计行为;另一方面还必须通过一定的制度控制来明确内部审计的责任。在内部审计业务中实施制度控制,可以严格审计质量,控制审计流程,使内部审计行为做到规范化、标准化,从而建立控制内部审计质量的长效机制。
如何建立健全审计质量控制制度?借鉴全面质量管理理论中PDCA工作循环法的原理,在实施审计过程中,我们可将审计项目质量控制过程分为四个步骤进行:第一步骤是“计划(Plan)”。针对某一具体审计项目进行分析,制定具体审计质量控制计划和措施;第二步骤是“实施(Do)”。认真执行计划并严格落实各项质量控制措施;第三步骤是“检查(Check)”。对计划实施情况进行检查和考核,找出存在的问题与差距;第四步骤是“处理(Action)”。总结审计经验,以便在今后的审计工作中推行。如果检查的结果与审计之前预定的计划不一致的话,则一定要查明原因,采取措施加以解决。只要我们认真执行以上四个步骤,周而复始,建立有效的审计质量控制循环机制和制度,就一定能够切实保障和提高审计项目质量。
在国家审计署所制订的《审计机关审计项目质量控制办法(试行)》([2004]审计署令第6号)中,明确规定了国家审计机关实施审计项目时,对编制审计方案、收集审计证据、编写审计日记和审计工作底稿、出具审计报告、归集审计档案等全过程实行质量控制。该办法对国家审计机关如何进行质量控制作出了详尽和严密地规定。内部审计机构在制订本单位的内部审计项目质量控制制度时,可以参照国家审计署所制订的《审计机关审计项目质量控制办法(试行)》,结合本单位的具体实际情况,制订出切合实际的内部审计项目质量控制制度,为运用制度控制方法提高内部审计质量做好基础工作。
二、运用质量复核方法提高内部审计质量
质量复核方法,是指在项目审计过程中,通过一定的程序,结合实际情况建立严格的审计质量复核制度。在审计项目实施过程中,进行多层次的复核十分必要。
怎样进行审计质量复核?首先,在内部审计制度中,应明文规定要对审计质量进行复核,质量复核包括审中复核和审后复核。要对复核人级别、复核程序与要点、复核人职责等作出规定。其次,要结合项目审计的特点,扩展审计质量复核层次,建立由内部审计小组、内部审计机构、内部审计分管领导所组成的三级复核制度,分别履行详细复核、一般复核、重点复核的职责。内部审计小组侧重于审中的详细复核,应指定专人或复核小组对审计过程中已完成的业务跟踪进行质量复核。在审计完成阶段,内部审计机构、内部审计分管领导进行审后复核,在作出正式的审计结论前,对审计组已经完成的全部审计业务进行审计质量把关。
三、运用区域控制方法提高内部审计质量
区域控制方法,是指在审计过程中,内部审计人员将整个审计对象划分为重点审计区域和非重点审计区域,然后对两个区域分别实施详尽程度、繁简程度不同的审计和审计质量控制,做到全面监督和重点检查相结合,提高审计质量。
如何运用区域控制方法进行审计?第一,在审计计划阶段,关键工作是确定重点审计区域和非重点审计区域,在审计方案中应明确将重点审计区域列入工作重点;第二,在审计实施阶段,分别重点区域和非重点区域,按照不同的审计方法和策略进行审计。对重点区域实施重点审计和详细审计,尽可能做到全面监督和重点检查相结合,确保审计质量。
四、运用自查互查质量方法提高内部审计质量
自查互查质量法主要适用于内部审计小组,它是质量复核方法在内部审计小组中的具体运用。自查法,就是审计人员分别根据自己所担负的审计任务,对自己所进行的审计工作进行追溯性检查,以检验审计结果质量的方法;互查法,是指由审计组中担负不同审计任务的审计人员相互之间对审计业务过程进行追溯性检查,以检验审计结果质量的方法。
在实际审计工作中,应努力避免使自查互查审计质量的行为流于形式。特别需注意的是,在自查中审计人员对自己的工作进行复查,受习惯性思维和惯性的影响可能使自查流于形式。互查法虽有助于克服上述局限,但也可能存在审计人员碍于情面,使复查难以深入;或因审计人员不熟悉情况,影响工作效率等弊端。因而,在各单位的内部审计制度中应严格规定内部审计人员的自查责任和互查责任,对违规审计人员要进行处理。
五、运用内部审计公示方法提高内部审计质量
内部审计公示方法,就是内部审计机构对重要内部审计事项的内容、审计程序、过程、结果、举报方式等,采用适当方式向内部被审单位进行公开的制度。内部审计公示的范围包括:一是对内部被审计单位公开,主要是对审计目的、内容、处理结果、审计举报及监督电话进行公开。二是对有关内部主管部门公开,公开的目的是一方面取得有关内部主管部门的支持、配合和监督,另一方面让有关内部主管部门了解被审计单位的审计情况和内部审计机构的审计建议,从而使被审计单位更好地改进自身的工作。:
如何进行内部审计公示?首先,在审前阶段,在审计项目正式实施以前,内部审计机构要就审计项目名称、审计的目标、审计的范围、内容和重点、审计组成人员、审计地点及联系电话、审计实施期间审计工作纪律、审计人员廉政纪律及内部审计机构监督举报电话,在被审计单位进行公示。审计公示采取书面形式,根据实际需要,可以一份亦可以多份,张贴于被审计单位显要位置,欢迎被审计单位广大干部职工反映情况和问题,监督审计人员执行工作纪律、廉政纪律情况。其次,在审中和审后阶段,内部审计机构可以在单位职工大会或被审计单位的中层以上干部及职工代表中公布审计中发现的问题和审计报告。
内部审计与内部控制的区别篇4
内部审计产生于上世纪初的经济危机中,每次经济危机和重大事件都给内部审计带来机遇和挑战,使内部审计理念和工作方式产生重大变化。20世纪60年代,内部审计关注的焦点是财务报告;70年代关注的是内部控制;80年代关注的是运营导向;90年代关注的是商业伦理;进入21世纪,随着“安然”、“世通”等财务舞弊事件以及美国“次贷危机”的爆发,引起了内部审计对风险管理的全面关注。
1999年,国际内部审计师协会(IIA)对内部审计的定义进行了革新,在新的定义中将以独立性为基础的“鉴证(或确认)”活动和以决策有用性为基础的“咨询”活动并列起来,提高了内部审计的地位,扩大了内部审计的责任和范围,将内部审计进一步提升至风险管理和公司治理的高度。
内部审计介入风险管理是一个全新的事物,对内部审计如何在风险管理中发挥作用是一个值得内部审计部门和内部审计人员进一步深入探讨的课题。
二、相关标准释义
国际标准化组织的风险管理标准(ISO31000)中将风险定义为“目标的不确定性影响”,并将“前后事件的因果联系”和“发生的可能性”作为一种广为使用的风险表达方式。该标准进一步指出,风险产生的影响是对预期目标的背离—积极的或是消极的。正因为如此,越来越多的组织对识别风险因素和将风险控制在可接受范围之内感兴趣。为了确保组织运转的效率和效果,必须找到一种应对众多风险的办法。于是IIA将风险管理定义为:“识别、评估、管理和控制潜在事件或情况的过程,目的是为实现组织的既定目标提供合理保证”。风险管理认识到风险存在这一现实,因此,风险管理最大的挑战就是将风险控制在组织风险偏好的范围内。
2004年,COSO了《企业风险管理整合框架(ERM-IF)》,其中将风险管理定义为:“企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。”在该框架中,将风险管理描述为8个要素:即内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通以及监督。
关于内部审计在风险管理中的作用,IIA在其2120号标准中指出,内部审计活动必须评估企业风险管理的有效性,并为改善风险管理流程做出贡献。进一步地,IIA在其《国际专业实务框架(IPPF)》中了“内部审计在风险管理中作用”的立场文件,在该文件中指出,内部审计在涉及风险管理事务中的角色,是向董事会提供组织风险管理有效性的客观确认,以保证关键的商业风险得到恰当管理以及内部控制系统被有效执行。为合理设定内部审计在风险管理中作用的边界,该文件还对内部审计在风险管理中的活动进行了分类。一是核心角色活动,代表内部审计的“鉴证”职能,包括:对风险管理流程提供确认;对风险是否适当评估提供确认,评估风险管理程序,评估主要风险的报告,检查关键风险的管理等。二是与保障相关的合法角色活动,代表内部审计的“咨询”职能,包括:促进风险识别和评估,培训风险反应能力,整合风险管理活动,强化风险报告,维护和发展风险管理框架,提供可供决策的风险管理策略等。三是不可以涉足的角色活动,包括:设定风险管理偏好,执行风险管理程序,提供风险应对决策,代表管理层执行风险应对措施,以及承担风险管理责任等。
三、捷蓝(Jet-Blue)航空公司的案例分析
捷蓝(Jet-Blue)航空公司是美国一家廉价航空公司,2002年首次公开募股并于纳斯达克上市,主要营运美国内陆航线和来往加勒比海、巴哈马和百慕大的国际航线。捷蓝航空是少数几家能在911事件之后维持盈利的美国航空公司之一,并成为有史以来最受欢迎的航空股份,现今市值已经达到数十亿美元。捷蓝航空的财务状况一直十分稳健,它的成功使它超越了老牌的低价航空公司—西南航空公司,获得很多证券分析员和新闻记者的赞赏。2010年6月,美国最为知名的市场调研机构J.D.PowerandAssociates公布了《2009年北美航空公司满意度调查》的调查报告,数据显示,捷蓝航空以810点(共1000点)的总满意度指数连续三年总体排名第一,并继2008年后再次获得低票价航空公司最高的客户满意度。
捷蓝航空公司于2000年成立了内部审计部门,面对航空业激烈的市场竞争和各种商业风险,捷蓝航空公司的内部审计部门积极参与公司的风险管理,并发挥了十分重要的作用。其主要作法是:
(一)辨识主要风险
内部审计部门必须首先要识别出哪些因素可能会妨碍企业达到其战略目标。
捷蓝航空公司的愿景是致力于创建一种新的航空公司类别:一家提供价值、服务和品位的航空公司。公司的战略目标是成为领先的、为顾客提供差异化产品和高质量顾客服务的廉价客运航空公司。公司未来5年将继续在低票价的情况下扩大盈利。
内部审计部门采用定性分析的方法,参考和借鉴美国航空管理委员会的风险评价标准以及国际航空业的风险分类和列表,根据风险与公司价值链管理的相关性,总结归纳曾发生的风险事件,初步确定51项风险长名单。以此为基础,通过对公司内外部环境的研究分析、内部大量访谈和专家评估,初步确定22项主要风险。概括而言,这22项主要风险中(1)战略风险包括:兼并收购风险,运能规划风险;(2)外部风险包括:监管政策风险,石油市场风险,客户偏好风险,合同风险,自然灾害风险;(3)财务风险包括:资金管理风险、成本控制风险,分公司管控风险,融资结构风险;(4)合规性风险包括:信息披露风险,航线审批风险,关联交易风险;(4)运营风险包括:一体化调度风险,价格风险,物资采购风险,人力资源风险,安全风险,航班准时风险,技术创新风险,新市场开发风险。
(二)确定风险评估的标准
在确定风险评估的标准时,主要考虑风险发生可能性标准,风险影响程度标准。内部审计部门制定的风险评估标准如表1所示。
(三)评估初始风险和管控有效性
内部审计部门综合运用穿行测试、个别访谈、问卷调查、专题研讨等方法进行风险评估。结合IIA红皮书(《国际专业实务框架(IPPF)》)的有关原则,内部审计部门确定的评估公式如下:
初始风险(或剩余风险)=风险发生可能性(概率值)×风险影响程度(评分值)
管控有效性=初始风险-剩余风险
其中,初始风险指未采取控制活动之前的风险;剩余风险指采取相应的控制活动之后的风险;管控有效性指目前风险应对策略的效果,管控有效性越高,剩余风险就越低。
评估结果如表2所示。
(四)绘制和分析风险坐标图
以初始风险为纵轴,以管控有效性为横轴,22种主要风险的风险坐标图如图1所示。
在图1中,A区域的初始风险较高,管控有效性也较高,属于持续关注的风险领域。B区域的初始风险较高,管控有效性较低,属于重点关注的风险领域。C区域的初始风险较低,管控有效性较高,属于一般关注的风险领域。D区域的初始风风险较低,管控有效性也较低,属于加强关注的风险领域。
针对图1中的不同风险领域,内部审计部门提出了包括风险规避、风险降低、风险转移、风险共享、风险承担等多种风险应对策略。例如,对于区域B的兼并收购风险,为避免公司的业务增长过快,收购其他航空公司可能会危及公司的财务稳定,内部审计部门提出并购尽职调查、可行性研究、董事会决议等风险降低的控制措施,并完善了相应的风险管控流程。
(五)进一步完善风险管控流程
在对风险适当分类的基础上,组织和督促相关负责部门进一步完善风险管控流程,每一项风险管控流程都包括:风险描述、风险控制点、控制活动和方法、自我评估方法、负责单位、参与单位等。
内部审计部门定期组织不同频次(从一年2次到三年1次不等)内部控制自我评估,对风险管理流程和管控措施进行测试和完善。
四、主要启示
2006年6月6日,国资委了《中央企业全面风险管理指引》,作为我国当前企业风险管理的重要制度性规范,在文件中强调了具备条件的企业可建立风险管理三道防线:即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。这表明,内部审计在企业风险管理中应发挥积极的、建设性的作用。
捷蓝航空公司的案例具有一定的代表性,内部审计在风险管理中的作用既没有弱化也没有泛化,而是得到了适当的强化,对我国内部审计参与企业风险管理也具有一定的借鉴价值。
第一,在案例中,内部审计部门通过其鉴证职能,利用各种方式协助企业全面风险管理的实现。内部审计师提供的鉴证服务包括:一是风险管理过程,包括其设计和运行情况;二是对“主要”风险进行管理,包括控制的效果和应对措施;三是可靠、适当的风险评估及对风险和控制情况的报告。其中,内部审计为组织增加价值的两种最重要的方式是:为主要业务风险已得到适当管理提供客观鉴证;为风险管理和内部控制框架正在有效地运作提供鉴证。
第二,内部审计部门也承担了必要的咨询职能。包括:一是将内部审计分析风险和控制所用的工具与技术提供给管理层,作为将企业全面风险管理引入组织的倡导者,充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势;二是提供建议,推动专题讨论会,指导组织风险和控制,促进共同语言、框架和理解的建立;三是作为协调、监督和报告风险的中心,协助管理者确定降低风险的最佳方式。
第三,内部审计部门在风险管理中没有仅仅就风险而论风险,而是将目标、风险、控制有机地结合在一起系统地解决问题。始终围绕什么是企业的战略目标,哪些因素(风险)会影响企业实现战略目标,风险发生的可能性及潜在的影响如何,哪些是重大风险和主要风险,现有的内部控制(管控活动)是否有效、是否执行等,在此基础上,对有效执行的管控活动持续监控,对未有效执行的管控活动制定改进计划,实施风险管理方案。
内部审计与内部控制的区别篇5
关键词:区域央行;价值创造;内部审计机制
中图分类号:F830.31
文献标识码:A
文章编号:1003-9031(2007)06-0075-03
中央银行内部审计机制是由内审主体、授权人、内审客体诸要素相互作用有机结合,具有一定结构和功能的有机系统。[1]构建辖区央行价值创造型的内审机制,关键是建立起有效链接内审主体、授权人、内审客体这三者的系统内部各子系统的合理的运行机制,并能够达到“二次增值”:一是被审计部门增值,将审计成果迅速转化为生产力,并带动其他管理同步发展,提高各项业务的工作效率,实现全面提升被审计部门的管理价值,最终提升辖区央行履行执行货币政策,维护金融稳定,提供金融服务等各项职能的能力;二是审计自身增值,在实现全面提升被审计部门价值过程中,审计人员自身价值得以实现。内部审计成为一种创造价值的知识产业,其影响力也得以提升,不断吸引内审人员以更强的使命感投身内部审计事业。[2]
本文根据辖区央行存在制约内审部门有效发挥价值创造作用的内部审计机制问题,对如何构建区域央行内部审计价值创造机制进行探讨,以期让内部审计更好地服务于央行中心工作的大局,逐步从事后审计向事前和事中审计发展,发挥内部审计的价值创造作用。
一、辖区央行构建价值创造型内部审计机制的内涵
2001年,IIA(国际内部审计协会)在其制定并修改的《内部审计实务标准》及《职责说明》中认定:“内部审计是一项客观独立的保证和咨询活动,其目的是为实现价值增加并提高组织的经营效率,采取系统规范的方法对风险管理、控制以及治理程序进行评价,改进其有效程度,从而帮助组织实现其目标。”[3]可见,现代内部审计职能是保证和咨询,强调了内审工作要主动为管理层提供解决管理难题的咨询信息,内审工作责任不再仅仅是以前的监督和复核。而是增加了“增加价值”概念,这就使内审工作带来一个方向性的转变,即内部审计工作要由过去的监督向构建价值创造型内部审计机制转变。通过对IIA新定义分析,笔者认为区域央行构建的价值创造型内部审计机制应具备以下特征。
(一)明确服务内向性
目前,央行先横后直的内审管理模式,导致内审部门陷入“服务于二主”(Servingtwomasters)的困境,既服务于行长,又服务于上级内审部门。对此,部分内审人员纷纷谋求在组织体系上保证内部审计部门的超然独立地位。其实,内审人员的独立性不仅仅受限于管理层面,在实务中,反而更应该强调客观性。首先,IIA新定义强调独立性和客观性是并列的,表明IIA在淡化独立性的同时,提升了内部审计的客观性,倾向于使用客观性一词来表达内部审计的可信度。其次,内审工作具有服务上的内向性决定了它为谁服务,为谁负责。即内审部门做的任何一件工作,首先就要考虑审计结论是否对本行的中心工作有利。
(二)注重咨询
目前,央行内部审计职能的定位主要还体现在监督职能。这种监督可分为两个不同的层次:第一个层次是代表上级行内审部门对本级行各职能部门是否履行其应负的责任进行监督,如授权审计;第二个层次是代表本行行长对各职能部门、下级行和行属企事业单位的合规、内控和风险管理的情况进行审计监督,如同级监督、履职及离任审计等。IIA新定义明确内部审计随着内审能力的提高可以对内、对外提供咨询。事实上,国外内部审计的角色正向风险警察逐渐转变,扩大内部咨询活动,增加公司及内部审计部门的价值。另外,央行内部审计对本单位的工作流程、风险点有全面的了解,其工作具有综合性强和接触面广的特点。因此,央行内部审计有能力和必要为组织提供咨询和建议,丰富内部审计的内容,为组织创造价值。
(三)注重整体价值
在IIA颁布的《内部审计实务标准》中,独立性的要求居于首位。一般认为,独立性是内部审计工作的必要条件。但把“独立”凌驾于其他概念之上,会使内部审计部门在提供服务时相对于外部服务提供者处于竞争的劣势。比尔・贝克特(BillBirkett)指出:价值问题将会取代独立性来支配内部审计工作。[4]因此,如果对独立性的强调损害了内部审计所提供服务的价值,应当优先考虑价值,从整体价值链来考虑问题和提出解决方案,从全局、长期着眼、促成各部门各个方面的有效合作。这就提供一个判断内部审计是否成功最重要的标准,即内审人员对改进经营和控制的分析与建议是否增加组织价值。
二、目前区域央行在构建价值创造型审计机制中存在的制约因素
(一)存在的制度性问题
1.报告制度存在缺陷,影响管理层决策的有效性。央行审计项目的报告(包括上级行安排的审计项目)均需经本级行领导审阅后,再向上级行报告。然而,向上报告的审计项目结果部分存在按领导的意见有选择地报告。这种内审报告制度,导致内部审计部门的审计权和报告权不相统一。当然,筛选的问题一般是本级行的特有问题,但如果内审人员对“筛选”掉的深层次问题没有继续分析及监督整改,则该问题的风险隐患长期存在,发生之时不仅有损内审的有效性,甚至对整个辖区的形象造成极大影响。
2.内审定位缺失,影响内审价值创造的前瞻性。2005年人民银行制定的《中国人民银行内审工作制度》拓展了内审监督的范围,增加对各职能部门、分支机构和行属企事业单位内部控制和风险管理的情况进行审计监督,强调加强履职审计,期望以此提高内审的地位。然而,内审部门目前由于受人员素质、项目管理等因素制约,仍定位于查错纠弊、堵塞漏洞,导致内审工作没有体现出应有的预防价值,不能发挥内审价值创造的前瞻性作用;加之履查履犯现象的存在,内审没能发挥分析问题及解决问题的作用。同时,内审的职责和作用被随意扩大,在众多管理决策中均需要内审部门参与,这背离了内审的根本宗旨。
(二)存在着期望差距问题
一是在舞弊审计方面,管理层要求内审人员承担更多的检查、发现和报告舞弊的责任,而由于舞弊的特殊性所决定,内审人员在常规审计中难以做到这一点。二是在保证范围方面,被审计对象要求内审人员能发现所有问题,并能够解决,而内审人员只能做到“没有重大错弊”,不能保证“没有任何错弊”。
(三)存在的规范化问题
1.审计管理随意性强。一是计划管理不强。计划制定欠考虑整体情况,一般于年初制定计划工作,没有考虑隐含高风险的业务领域,缺乏中长期规划及内审部门任务重人员少的矛盾没有得到缓解。二是现场管理欠规范。规范的现场审计要经过进点会谈、现场检查、事实确认、意见反馈等过程,而有时因时间短、任务紧,人为地缩短现场审计时间。审计工作的随意性强,造成审计质量难以保证,最终不能提供具有附加价值的建议。
2.内审整体组织乏力。对内审工作的组织方面存在管理力度不够,重查下级,轻指导下级工作。一是机关内审部门主动性不够,不能有效统筹辖区内审工作。机关内审部门往往觉得辖区县市支行大多只单设内审岗,力量薄弱,无法自主组织内审项目,因此对辖区县市支行内审工作关注不够。二是安排项目过少,往往只有上级行内审部门或领导层需要调查了解某情况时,才对辖区内审指定工作任务,但未制定对辖区开展审计任务的指导方案。三是辖区县市支行的内审工作一般是各自为战,而自主安排的审计项目虽然有时重点突出,但往往也是基于应付考核所需。
(四)存在的成果转化问题
大多数内审人员来自财务工作岗位,而内部审计工作的发展要求内部审计人员不仅娴熟会计、审计专业技术,而且要求具备战略思考能力、相当的管理知识和经验、计算机和网络技能。此外,内审人员普遍缺乏“价值”意识,一个审计项目结束后,习惯总结发现了多少问题,提出多少建议,而对建议采用率多少,节省了多少资金,整改多少问题没有重视并统计,而这恰恰是为组织增加价值的重要考核指标。
三、促进区域央行价值创造型内部审计机制建立的政策建议
(一)识别推动内部审计创造价值的内在因素
内部审计的价值推动力主要体现在两个方面:一是享有利益者的要求。内部审计的存在源于相关利益者的需求,它的价值在于保证享有利益者享受他应有的利益。因此,辖区央行内审部门应针对上级行内审部门、各级管理层等不同的“享有利益者”,确定利益相关者的需求和期望,相应转变工作重点,研究并提出对本行各职能部门各项业务的审计需求,并对审计项目质量负责。二是风险管理。即辖区央行内部审计关注的重点要从单纯的财务管理向整体风险管理转变。利用自身优势,对本行的风险进行深入细致的评估,明确主要业务的风险点,针对每一风险环节、风险点,明确其内控要点,并设计风险评估指标,制定统一规范的内控评价量化指标和评价标准。
(二)整合内审资源,创造和谐的内部审计环境
在价值鉴定的基础上,价值创造型的内部审计向利益相关者提供防范性的审计产品,向其提供解决方案,内部审计不再将自己视为“局外人”,而是成为组织增加价值、提供效率的一员,为实现组织的目标提供保障和咨询。一是明确为行长服务,提高行长的支持度,保持与行长畅通的沟通渠道,以取得工作的主动权和积极性。明确对行长负责,不仅可以很好地保障内部审计部门的独立性和权威性,而且从制度上确保了内部良好监督管理和层级间有效沟通。二是明确内审工作是为组织增加价值,站在这样的高度,要求内审人员在遵循质量的基础上,通过与各部门保持良好的人际关系,建立畅通的沟通渠道和信任关系,开展专项调研、问题研讨、案例分析等,发挥内部审计在风险管理、内部控制和组织管理等方面的潜在作用,增加附加值。三是整合内审资源,保证内审人员具备传统和非传统审计背景。内审团队应由各种资历的专业人才组成。如法律、行政管理、金融等专业人才能给内审组织带来了特殊的才能和视角。四是实施轮换制度,内审人员按制度规定定期或不定期轮换到组织的其他部门,利用他们业务风险和控制的知识增加所在部门的价值。
(三)抓好审计项目工作,为相关利益者创造价值
央行内部审计的主要工作应是以风险为导向,以创造价值为目的而开展的内部审计活动。一是运用风险导向审计,识别和监测出单位最大的风险领域,建立风险事件分类矩阵,筛选尚未有效管理的风险事件,以集中整合使用审计资源。二是运用内部控制评估,评价操作过程和内部控制的充分性。三是运用绩效审计,对辖区央行在履行职责时利用资源的经济性、效率性和有效性进行的综合考核和评价,提高各项业务的工作效益和效率。四是运用后续审计,对内部控制的缺陷及审计发现问题进行纠正,进而确保管理层及时有效的予以执行。
(四)实施辖区内审工作分类管理和指导,强调风险点控制
结合辖区内审资源实际,按内设机构、业务职能和人员规模等标准将辖区县市支行划分为三类,实行分类管理和指导。一是督促辖区县市支行按照央行内控建设指引,全行总动员,全面排查风险点,制定《风险点控制措施一览表》。二是对三类支行的《风险点控制措施一览表》进行差异性分析,明确业务差异,建立分类考核标准。三是指导辖区县市支行建立内控评估具体实施制度,按季度抽调非被检查股室人员对计划检查股室防范业务风险点的工作进行检查,强调风险点的控制,并对发现的问题进行督促整改。四是制定评估标准对支行检查效果进行评估,评估结果作为支行行长、检查组及相关经办人等的重要考核依据。
(五)建立内部审计自身的价值评估机制
建立价值评估机制,检讨内部审计的策略和程序的有效性及是否与价值推动力保持一致,并根据检讨的结果及时采取措施加以改善,完善内审价值创造的相关流程,同时寻找新的价值创造机会,从而有效发挥内审价值创造的作用。
参考文献:
[1]周发森,符夫之.系统性内审监督模式的探讨[J].海南金融,2003,(9).
[2]武汉钢铁(集团)公司.增值型内部审计[J].企业管理,2005,(10).
内部审计与内部控制的区别篇6
关键词:内部控制财务报表审计整合
2008年7月,财政部等五部委联合的《企业内部控制基本规范》规定,执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。
一、风险评估程序:财务报表审计以内部控制审计为依据
(一)财务报表审计风险评估程序
风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序,注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面;了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准,如果达到了这一标准,注册会计师即可开始设计和实施下一步的审计程序;了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行,但其中不包括对内部控制是否得到一贯执行的确定;了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量,以及用来支持财务报告的审计意见类型。
(二)内部控制审计风险评估程序
内部控制审计中的风险评估程序,注册会计师的目的是为了对内部控制本身的有效性发表审计意见,其范围涉及到企业整体的内部控制,内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面,并且还需确定内部控制是否得到一贯执行。
(三)两种审计在风险评估程序的整合要点
内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计,在审计实务中,可以将两者在此程序需要完成的工作整合进行,即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息,并从中取得进行下一步审计程序的充分依据,这样可以大大降低工作量,避免重复劳动,进而提高了审计效率,降低了审计成本。
二、控制测试程序:内部控制审计为财务报表审计提供结论
(一)控制测试程序并非财务报表审计的必需程序
财务报表审计中,注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的,或者设计是合理的,但没有得到执行,注册会计师则不必实施控制测试,而是直接实施实质性测试;如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报,即认为内部控制是有效的,注册会计师应当实施控制测试。这样,就进入了两种审计的第二个共同程序,即控制测试程序。
(二)两种审计控制测试程序的区别
在控制测试程序中,内部控制审计与财务报表审计有三点区别:第一,内部控制审计要对被审计单位内部控制的有效性发表审计意见,而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同,内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二,在内部控制审计中,注册会计师需要获取能够证明内部控制有效的高度相关的证据,对控制测试可靠性的要求较高,样本量较大且选择弹性较小;财务报表审计对控制测试可靠性的要求相对较低,测试的样本量相对较小且存在一定弹性。第三,两者对内部控制缺陷的评价要求也不同。财务报表审计中,注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷;而在内部控制审计中,注册会计师需要对识别出的内部控制缺陷进行严格评定,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷,重大缺陷会影响到审计意见类型。
(三)两种审计在控制测试程序的整合要点
注册会计师为了对内部控制有效性发表恰当的审计意见,需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此,内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论,财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用,将使审计效率得到进一步提高。
三、财务报表审计实质性测试与内部控制审计控制测试:相互利用、相互支持
(一)财务报表审计实质性测试程序对内部控制审计控制测试程序的影响
经过控制测试,财务报表审计进入实质性测试程序。在这一程序中,注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报,这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报,就意味着在错报相应的控制点上可能存在内部控制缺陷,这将为注册会计师进一步审查内部控制缺陷提供重要线索。
(二)内部控制审计控制测试程序对财务报表审计实质性测试程序的影响
在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明了方向,因为如果发现内部控制存在某项重大缺陷,则财务报表在相应的账户就可能存在重大错报,就会影响财务报表审计中实质性测试的时间、性质和范围,审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。
(三)财务报表审计实质性测试与内部控制审计控制测试的整合要点
对于两种审计的整合来说,财务报表审计的实质性测试与内部控制审计的控制测试是相互利用、相互支持的,将两种审计在这两个程序所取得的审计证据及得出的审计结论相互利用、相互支持能提高审计效率,降低审计风险,最大限度地保证审计质量。
四、审计计划的综合制定
内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的,因此在分析了两种审计的审计程序整合要点之后,具体阐述如何根据整合要点综合制定审计计划。
(一)两种审计方式审计计划制定的重点
为达到充分整合内部控制审计和财务报表审计的目的,内部控制审计和财务报表审计应尽量由同一组审计人员实施,两种审计的审计计划也应共同制定。结合以上对审计程序的分析,对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成,在内部控制审计计划中应详细制定这两项审计程序的计划,在财务报表审计计划中可以对这两项审计程序的计划简化表述,但应重点对实质性测试程序的计划详细编制。
(二)审计计划的持续修订是审计质量的重要保证
随着审计工作的推进,注册会计师要根据审计发现的新情况、新问题,适时对总体和具体的审计计划做出调整和修正。具体来讲,如果审计人员在内部控制审计计划实施过程中发现内部控制存在重要缺陷,审计人员应及时修正财务报表审计的实质性测试计划。同样,如果在财务报表实质性测试中发现财务报表存在重大错报,也应该考虑该重大错报对内部控制审计计划的影响,考虑是否增加内部控制审计的具体程序,扩大审计范围,以保证审计发现内部控制设计及运行中的重大缺陷。需要特别指出的是,对审计计划的调整和修正应贯穿于整个审计业务的始终,以保证审计计划能够对两种审计的整合进行起到重要的规划和指导作用,有效地提高审计质量,最大限度地降低审计风险。
参考文献:
①中华人民共和国财政部等.企业内部控制基本规范[M].北京:中国财政经济出版社,2008:1—5
②中华人民共和国财政部等.企业内部控制审计指引.财会〔2010〕11号
③谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9):88—94
④王美英,郑小荣.对内部控制审计与财务报表审计整合的思考[J].财务与会计,2010(7):66—67
