内部控制与审计的区别(6篇)
内部控制与审计的区别篇1
在具体的内部审计实践中,可以综合运用制度控制方法、质量复核方法、区域控制方法、自查互查质量方法、内部审计公示方法等五种方法,加强审计质量的过程控制,建立内部审计项目质量控制制度体系。笔者结合多年的内部审计工作实践经验,对在审计工作中如何运用这些方法提高内部审计质量谈一些粗浅的看法。
一、运用制度控制方法提高内部审计质量
制度控制方法,是指内部审计部门通过建立健全各种质量控制制度,以监督、约束和规范内部审计行为,提高审计质量的方法。对于内部审计部门而言,一方面应通过制度控制来规范内部审计行为;另一方面还必须通过一定的制度控制来明确内部审计的责任。在内部审计业务中实施制度控制,可以严格审计质量,控制审计流程,使内部审计行为做到规范化、标准化,从而建立控制内部审计质量的长效机制。
如何建立健全审计质量控制制度?借鉴全面质量管理理论中PDCA工作循环法的原理,在实施审计过程中,我们可将审计项目质量控制过程分为四个步骤进行:第一步骤是“计划(Plan)”。针对某一具体审计项目进行分析,制定具体审计质量控制计划和措施;第二步骤是“实施(Do)”。认真执行计划并严格落实各项质量控制措施;第三步骤是“检查(Check)”。对计划实施情况进行检查和考核,找出存在的问题与差距;第四步骤是“处理(Action)”。总结审计经验,以便在今后的审计工作中推行。如果检查的结果与审计之前预定的计划不一致的话,则一定要查明原因,采取措施加以解决。只要我们认真执行以上四个步骤,周而复始,建立有效的审计质量控制循环机制和制度,就一定能够切实保障和提高审计项目质量。
在国家审计署所制订的《审计机关审计项目质量控制办法(试行)》([2004]审计署令第6号)中,明确规定了国家审计机关实施审计项目时,对编制审计方案、收集审计证据、编写审计日记和审计工作底稿、出具审计报告、归集审计档案等全过程实行质量控制。该办法对国家审计机关如何进行质量控制作出了详尽和严密地规定。内部审计机构在制订本单位的内部审计项目质量控制制度时,可以参照国家审计署所制订的《审计机关审计项目质量控制办法(试行)》,结合本单位的具体实际情况,制订出切合实际的内部审计项目质量控制制度,为运用制度控制方法提高内部审计质量做好基础工作。
二、运用质量复核方法提高内部审计质量
质量复核方法,是指在项目审计过程中,通过一定的程序,结合实际情况建立严格的审计质量复核制度。在审计项目实施过程中,进行多层次的复核十分必要。
怎样进行审计质量复核?首先,在内部审计制度中,应明文规定要对审计质量进行复核,质量复核包括审中复核和审后复核。要对复核人级别、复核程序与要点、复核人职责等作出规定。其次,要结合项目审计的特点,扩展审计质量复核层次,建立由内部审计小组、内部审计机构、内部审计分管领导所组成的三级复核制度,分别履行详细复核、一般复核、重点复核的职责。内部审计小组侧重于审中的详细复核,应指定专人或复核小组对审计过程中已完成的业务跟踪进行质量复核。在审计完成阶段,内部审计机构、内部审计分管领导进行审后复核,在作出正式的审计结论前,对审计组已经完成的全部审计业务进行审计质量把关。
三、运用区域控制方法提高内部审计质量
区域控制方法,是指在审计过程中,内部审计人员将整个审计对象划分为重点审计区域和非重点审计区域,然后对两个区域分别实施详尽程度、繁简程度不同的审计和审计质量控制,做到全面监督和重点检查相结合,提高审计质量。
如何运用区域控制方法进行审计?第一,在审计计划阶段,关键工作是确定重点审计区域和非重点审计区域,在审计方案中应明确将重点审计区域列入工作重点;第二,在审计实施阶段,分别重点区域和非重点区域,按照不同的审计方法和策略进行审计。对重点区域实施重点审计和详细审计,尽可能做到全面监督和重点检查相结合,确保审计质量。
四、运用自查互查质量方法提高内部审计质量
自查互查质量法主要适用于内部审计小组,它是质量复核方法在内部审计小组中的具体运用。自查法,就是审计人员分别根据自己所担负的审计任务,对自己所进行的审计工作进行追溯性检查,以检验审计结果质量的方法;互查法,是指由审计组中担负不同审计任务的审计人员相互之间对审计业务过程进行追溯性检查,以检验审计结果质量的方法。
在实际审计工作中,应努力避免使自查互查审计质量的行为流于形式。特别需注意的是,在自查中审计人员对自己的工作进行复查,受习惯性思维和惯性的影响可能使自查流于形式。互查法虽有助于克服上述局限,但也可能存在审计人员碍于情面,使复查难以深入;或因审计人员不熟悉情况,影响工作效率等弊端。因而,在各单位的内部审计制度中应严格规定内部审计人员的自查责任和互查责任,对违规审计人员要进行处理。
五、运用内部审计公示方法提高内部审计质量
内部审计公示方法,就是内部审计机构对重要内部审计事项的内容、审计程序、过程、结果、举报方式等,采用适当方式向内部被审单位进行公开的制度。内部审计公示的范围包括:一是对内部被审计单位公开,主要是对审计目的、内容、处理结果、审计举报及监督电话进行公开。二是对有关内部主管部门公开,公开的目的是一方面取得有关内部主管部门的支持、配合和监督,另一方面让有关内部主管部门了解被审计单位的审计情况和内部审计机构的审计建议,从而使被审计单位更好地改进自身的工作。:
如何进行内部审计公示?首先,在审前阶段,在审计项目正式实施以前,内部审计机构要就审计项目名称、审计的目标、审计的范围、内容和重点、审计组成人员、审计地点及联系电话、审计实施期间审计工作纪律、审计人员廉政纪律及内部审计机构监督举报电话,在被审计单位进行公示。审计公示采取书面形式,根据实际需要,可以一份亦可以多份,张贴于被审计单位显要位置,欢迎被审计单位广大干部职工反映情况和问题,监督审计人员执行工作纪律、廉政纪律情况。其次,在审中和审后阶段,内部审计机构可以在单位职工大会或被审计单位的中层以上干部及职工代表中公布审计中发现的问题和审计报告。
内部控制与审计的区别篇2
关键词:中国上市公司;内部控制缺陷;四大会计师事务所;国内会计师事务所
中图分类号:F23文献标识码:A文章编号:1001-828X(2013)06-0-01
一、研究背景
2010年我国政府决定自2011年起逐步在上市公司推行内部控制评价与审计。尤其是自2011年开始,中国证监会和财政部等五部门已经要求上市公司分批进行内控的评价和审计,并对外揭示,其中核心的内容就是内控缺陷的评价与审计。那么,在中国的审计市场,四大国际所是否考虑其声誉效应,显著回避内部控制存在严重缺陷的公司,而国内所则由于缺乏市场竞争优势,接受了较多的高风险公司,是一个值得认真研究的问题。本文利用2009-2010年中国上市公司的数据,通过实证研究方法来考察中国上市公司的内部控制缺陷与审计师特征之间存在怎样的传导效应。
二、实证研究模型
1.实证模型
在以上模型中,因变量为上市公司聘请的会计师事务所特征(四大国际所设为0,国内所设为1),主要解释变量为上市公司内部控制缺陷,控制变量为企业规模,财务特征和行业及地区等变量。
基于四大国际所在国内审计市场具有强势的地位,我们预测四大所选择的上市公司通常内部控制运行较好或者内控缺陷很少,而国内所审计的上市公司内部控制普遍较四大所审计的公司严重。最终将根据回归分析后所得的β系数的符号和显著性程度,来检验我们的假设。
2.主要解释变量
上市公司内部控制缺陷按照财政部等五部委联合的18项《企业内部控制配套指引》可分为18种内部控制缺陷。
3.主要控制变量
模型中主要控制变量有如下17项:企业上市年份、企业CEO是否兼任董事长、董事长任职年限、企业当年是否亏损、企业规模、交叉上市、控股股东特征、控股股东持股比例、东部地区、中部地区、西部地区、金融行业、公共事业、房地产业、综合业务业、工业、商业。
三、描述性统计及其分析
通过描述性统计可得以下结论:
1.在2009年691个总体样本和2010年676个总体样本中,内部控制缺陷超过100个以上的样本的缺陷类型主要是组织结构缺陷(organization_stru_d),人力资源缺陷(human_resource_d),资金活动缺陷(fund_activ_d),财务报告缺陷(fi_report_d)。
2.2009年数据显示有2.7%的公司高层有舞弊事件被披露;有11%的公司更正过报表;9.7%的公司内部控制无效;25%的公司近3年发生过并购;17%的公司09年有亏损;90%的中国上市公司都没有聘请四大会计师事务所的审计师进行审计,59%的上市公司都实行了信息化管理。
2010年数据显示2.3%的公司高层有舞弊事件被披露;有10%的公司更正过报表;8%的公司内部控制无效;26%的公司近3年发生过并购;15%的公司10年有亏损;90%的中国上市公司都没有聘请四大会计师事务所的审计师进行审计,55%的上市公司都实行了信息化管理。
3.按照地区分类,2009年和2010年数据都表示注册地在东部地区的上市公司占了绝大多数,西部和中部地区的数量都相差无几。
四、关于实证模型的回归分析
因为因变量均为0和1变量,即存在缺陷设为1,否则为0,故回归模型采取的是logistic回归,我们利用SAS统计软件进行分析。
通过对2009和2010年回归结果的比较可得:1.公司上市年份连续2年与国内所审计显著正相关,表明上市时间越早的企业,由于历史问题较多,更可能聘请国内所进行审计。
2.企业营业规模连续2年与国内所审计显著负相关,表明规模越大的企业,越可能聘请国外所进行审计。
3.公司是否在境内外交叉上市连续2年与国内所审计显著正相关,表明同时在境内外上市公司更可能聘请四大所进行审计,而仅在国内上市企业更可能聘请国内所进行审计。
(4)房地产业、综合业务、工业和商业企业连续2年与国内所审计显著正相关,表明这些行业企业与金融企业相比,更可能聘请国内所审计。
五、结论
本文通过采集中国上市公司2009和2010年报信息,对上市公司内部控制缺陷与外部会计师事务所特征之间的关系进行了较深入的实证分析,得到以下结论:
1.从2009年的数据看,排在前5位的内部控制缺陷样本主要是组织结构缺陷、人力资源缺陷、财务报告缺陷、资金活动缺陷和资产管理缺陷,所占比例分别是35%、21%、20%、19%和15%。
从2010年的数据看,排在前5位的内部控制缺陷样本主要是组织结构缺陷、人力资源缺陷、财务报告缺陷、资金活动缺陷和社会责任缺陷,各自所占的比例分别为22%、20%、18%、17%、14%。
从两年的比较来看,企业组织结构内控缺陷、人力资源内控缺陷、财务报告内控缺陷所占比例有减少趋势,尤其是组织结构内控缺陷降低13%。
2.2009年在691家企业样本中,有628家企业聘请了国内所审计,占91%。2010年有609家企业聘请了国内事务所审计,占总体样本的90%。
3.公司上市年份越早的企业,由于历史问题较多,更可能聘请国内所进行审计。
4.企业营业规模越大的企业,越可能聘请国外所进行审计。
5.同时在境内外上市的公司更可能聘请四大所进行审计,而仅在国内上市企业更可能聘请国内所进行审计。
六、启示
1.企业上市时间越长的企业,由于可能存在较多历史问题,大多由国内所审计,而规模大的企业和在境内外同时上市企业大多由四大国际所审计,表明四大国际所仍然垄断了我国高端审计市场。
内部控制与审计的区别篇3
一、工作方向
首先,加强了对重点地区的监控。上收湖北审计职能后,鉴于湖北省公司多年来在经营上形成的问题较多,根据总公司相关要求,加大了对湖北分公司的监控力度,每年选择湖北省分公司的二个市公司、四个县支公司作为常年监控的单位,中心各业务处在制定年度工作计划时,将湖北省分公司列为重点对象,并有针对性的制定在开展审计工作的实施方案。
其次,创新审计工作方法。审计职能上收后中心的工作量显著增加,如何在现有的条件下保质保量的完成工作任务是中心亟待解决的问题。中心领导班子积极创新思维方式,加强各处之间的相互配合、资源共享,积极探索非现场审计模式,把前期非现场准备工作作为重要环节来抓,加强了对总公司开发的审计业务辅助软件和财务辅助软件的应用和推广,为现场审计提高效率,有效节约了人力物力和财力。
二、工作目标
加大工作力度,完成两个确保的审计目标:一是及时梳理审计发现问题,确保问题浮出水面。2009年以来,中心多次组织各处对开展的各类审计项目发现问题进行认真梳理,通过梳理,全面掌握各级分公司在经营中存在的主要违规违章的情况,有利于针对性地督促辖区分公司开展整改工作,真正发挥公司第四道防火墙的作用。二是督促对发现问题的整改落实。确保问题得到整治。辖区分公司审计职能上收后,为保证审计监督连续不留真空,成都区域审计中心高度重视审计过程中对问题的整改落实。及时根据审计发现的问题向被审计单位下发《审计意见书》,并要求被审计单位在30天内上报审计发现问题整改落实报告,中心根据具体情况,对部分整改落实情况开展了后续审计,确保了整个监督过程的连续性、有效性和完整性。
三、工作措施及建议
(一)、调整审计工作职责,因时制宜
目前,区域审计中心下设4个专业处室,其中3个处室负责按照审计项目类别对辖区各级分公司开展审计工作,现行工作模式下,各处室仅就自己的工作职责,对辖区分公司的部分分支机构或某一领域开展审计、审计调查或远程监控,从一段时期的运行情况看,这种机构设置和职能划存在一定不足。鉴于此,建议总公司进一步深化审计改革,保持现有处室设置数量,调整处室工作职责,采取“分片监督,组合审计”方式,即3个业务处室,每个处室负责辖区2家分公司的非现场监控、专项审计、机动审计、经济责任审计等全部审计工作。这样,一方面可以逐步打造出专业化的区域审计中心;另一方面在中心内部形成良性竞争,促进区域审计中心内部监督与服务的水平不断提高。
(二)、配备培训精兵强将,增强素质
精心选拔特约审计人员,打造审计精兵强将。中心筹建以来,审计力量来自辖区各个公司,随着审计职能逐步上收,中心的直接审计面迅速扩大,为确保审计计划的全面完成,本着在整个辖区内强化审计工作的重要性,按照总公司的要求,成都区域审计中心着手建立了特约主审和特约审计员队伍,有效缓解了审计力量不足的现状。上海区域审计中心是第一家完成辖区审计职能上收的中心,从目前实际运作情况来看,中心存在的主要不足,一是人员数量、素质不能完全满足审计任务需要;二是审计工作质量有待进一步提高;三是审计成果、审计价值有待进一步体现。针对这些不足,中心总经理室高度重视,曾多次召开工作例会、专题研讨会,就审计职能上收后,如何有效开展各项工作进行探讨。有关思路或建议报告如下:通过业务培训抓专业队伍建设,夯实审计工作基础。审计职能上收后,中心如何全面履行审计职能关键还在人员素质的提高。中心成立已两年有余,审计队伍建设不断加强,人员素质不断提高。但就目前而言,还是存在人员素质不高,专业技能不强等问题。中心目前项目的开展,主审还依赖于辖区各分公司的特约审计人员,但随着公司经营体制改革的进一步深入,各分公司定岗定编后,能抽调的骨干将越来越少,最终还是要靠中心自己。为此,中心开展了一系列的技能培训工作。中心综合部对全体员工开展了公文写作的培训,并拿出实际工作的案例进行讲解,效果不错;非现场处开展辅助系统应用和日常监控问题分析,通过考核使处室人员提高非现场监控能力;经济责任审计处不定期将审计报告做了案例进行分析,大家取长补短,并就如何有效开展县支公司审计开展讨论;专项处每次项目开展前,都对方案进行培训,做足功课,在人少的情况下,提高审计工作效率和效果,通过内容丰富、形式各异的培训,上海区域审计中心的审计人员的整体素质有了很大的提高,员工的求知欲都很强,形成你追我赶,积极要求上进良好氛围。
(三)、把握风险防范重点,抓住要害
公司改革过程中,风险防范的重点在哪个层次、哪个部位、哪一环节,是我们需要考虑的问题。随着辖区各分公司审计职能全部上收,中心的审计工作方式完全由“统分结合”向“中心独立履行职能,独立开展审计业务”转变。在探索中国人寿特色审计模式过程中,应该重点发挥审计中心在审计体系中的作用,尤其要根据中心工作实际探索完善以下几个方面:1、完善审计项目开展模式,进一步明确审计项目立项、审计项目实施过程中,审计部与审计中心的职责分工,特别是探索发挥中心贴近一线、贴近风险的优点;2、探索新型经营管理体系下的审计项目体系,根据新型经营管理体系下的风险点来组织开展审计项目,特别是考虑如何更好地开展各级公司经责审计和专项审计;3、探索完善非现场审计模式,完善非现场审计的工作方式和工作模式等,特别是非现场审计专业人才队伍;4、进一步完善与辖区分公司的沟通协调机制,一方面,考虑如何进一步提高审计服务的质量与效果,更好服务于辖区公司发展,另一方面,如何更好地满足辖区分公司的个性化审计需求。;5、探索专业化审计队伍培养模式,考虑如何进一步提高审计队伍的专业化、职业化水平,以及研究审计人员的技术序列等问题;6、探索完善后援服务模式,提高后援共享支持效率,更好地满足中心工作的发展需要。
(四)、找准审计贯穿三点,全面准确
在审计工作中药找准三个点,即审计关注点、工作切入点和工作落脚点。
1、审计关注点———持续开展非现场日常监控与重点监控。一方面是根据总公司要求结合辖区内各分公司具体情况,持续开展非现场日常监控与重点监控,针对经营管理数据监控与分析,对发现的疑点问题进行现场与非现场核实,并开展机动审计。及时将监控情况向总公司汇报,并向分公司发出审计警示与审计意见书,对监控发现问题进行持续的跟进、核实、报告。另一方面要不断加强各经济责任审计、常规审计、专项审计等项目的非现场审计阶段工作,提高各项审计工作效率与质量。
2、工作切入点———加强系统数据核查工作,提高系统运行质量。一方面对分公司报送的数据加强核对审查工作,以及业务辅助审计系统的数据核查工作,加强监控与分析质量,降低审计风险。另一方面结合监控工作需求,总结积累审计系统开发与完善需求,为总公司不断提升审计系统功能、提高审计效率做好基础工作。
3、工作落脚点———.加强非现场审计监控资料库建设、提高非现场监控结果利用程度。要积极探索建立非现场监控资料库,将日常监控和重点监控内容以及核实结果进行归档,形成持续、连贯的监控档案,保持对辖区分公司经营管理情况的持续关注,为今后开展非现场监控提供历史数据,为计划开展的审计项目提供对照分析资料。
(五)、建立长效监控机制,源头治理
首先,要进一步落实审计整改报告制度,全面引入警示谈话机制。整改报告要突出重点,一是审计查出的违纪违规是否整改到位;二是审计意见和建议是否落实到位;三是移交纪检监察及有关部门处理的违纪违规事项、人员及资金是否处理到位、纠正到位。全面引入警示谈话机制,完善了审计的整改方式,推动了公司问责制度的建设,能够起到明显的警示和惩戒作用,有助于构建惩防腐败体系和反腐倡廉长效机制。
内部控制与审计的区别篇4
【关键词】内部审计外包;外部审计;区别
内部审计和外部审计都是审计监督体系的组成部分,它们相互制约、相互监督、互为补充。两者的主要目标是一致的,都是对被审单位的财政、财务收支活动和经营管理活动的正确性、合法性、合理性和有效性进行审查和监督。内部审计是外部审计的重要基础,外部审计的深度和广度在很大程度上取决于内部审计的工作质量,内部审计做的好,外部审计就有了保证。实践证明,内部审计和外部审计在实施过程中,各有所长、各有所短,两者的有效结合是完善审计监督体系、全面开展审计工作、提高审计质量和审计效率的有效途径。
内部审计外包(outsourcingtheinternalauditfunction)又称内部审计外部化或内部审计,它是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。与传统的内部审计相比,内部审计外包的显著特征就是内部审计主体的变化,从事内部审计业务的审计主体开放了,它既可以是组织内部的审计人员,也可以是独立于该组织的外部审计机构或人员。内部审计外包有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。
企业外包内部审计业务后,内部审计会被外部审计(主要是社会审计,下同)替代吗?我们的回答是否定的。因为外包后的内部审计仅仅是改变了内部审计的主体,它在许多方面和外部审计仍然存在着区别,主要表现在:
一是审计的内容和目的不同。内部审计的内容主要是依据企业经营战略目标、单位内部的定额、计划指标及内部管理制度等,检查企业各项内部控制的执行情况、经济活动取得的经济效益等,提出各项改善措施,评价企业内部受托经济责任的履行情况等。内部审计的种类,包括财务审计、经济效益审计、经营业务审计和管理审计等。而外部审计则是依据《独立审计准则》,主要审查企业经济活动的真实性和合法性等方面,对被审单位会计报表的合法性和公允性发表审计意见,并未较多触及经济效益审计和管理审计等方面。因此,内部审计在深度和广度方面要比外部审计要求高。
二是审计的服务对象不同。内部审计人员在处理企业生产经营管理活动的问题中,充当企业管理当局的参谋和助手,并帮助各级管理人员有效地履行他们的职责,其主要的、直接的服务对象就是包括企业管理当局和董事会在内的组织内部的各级管理人员。通常,外部审计人员是受托对企业的财务会计报表进行年度审计,其服务对象是与企业利益相关的社会各界,包括股东、银行、债权人、政府和潜在的投资者等。当然,这不排除他们的意见被企业管理当局和董事会采用的情况,但这是次要的,不是其主要的使命和目的。
三是审计作用的范围不同。内部审计所发挥的作用一般仅局限于组织内部,只有当正确的审计结论和建议被采纳并及时采取改进行动时,才会产生具有建设性的实际效果。内部审计人员对生产经营管理所持的观点和看法一般不向外界透露,具有一定的保密性。而外部审计人员对财务会计报表所表述的审计意见和结论要公布于众,客观上起到了社会公正的作用,其作用的覆盖面比内部审计要广阔的多。
四是与内部控制的关系程度不同。外部审计人员的兴趣主要集中在内部会计控制,以及对会计信息的真实性和完整性有实质性影响的相关控制,而内部审计人员则对整个内部控制系统,包括内部会计控制都给予了极大的关注。而且,两者的出发点不同,外部审计人员之所以关心内部控制,是因为它们影响其设计的审计程序性质和进行实质性测试的范围,这与他们对财务会计报表发表独立意见相比是次要的。内部审计人员关心内部控制的目的在于检查和评价内部控制系统的适当性和有效性,并针对控制的缺陷提出强化控制的意见和措施。
五是审计的范围和时间不同。内部审计的范围涉及企业生产经营管理的各个领域,它既可以借助于正式的记录和文件,又可以依据非正式的记录和文件;内部审计通常对单位组织内部采用定期或不定期的审计,时间安排比较灵活。而外部审计通常是定期审计,每年对被审单位的会计报表审计一次,其审计范围主要局限于财务会计领域及其相关的内部控制系统,重点在于那些对财务会计报表的合法性和公允性有实质性影响的重大事项,它只能依赖正式的记录和文件。所以,内部审计在审计的对象范围上比外部审计要广泛,在审计时间上也更为灵活。
六是审计程序不同。内部审计的工作程序通常按照部门或经营地点来设计,会计记录和报表的审查只是其工作的一小部分,大部分时间和精力都集中在内部控制系统和工作质量的检查和评价上;而外部审计的程序一般针对财务会计报表所列项目来设计,绝大部分时间花费在核实和验证报表各项目的余额是否真实、准确、可靠,以及确认所采用的会计原则和政策是否公允。
从上面的分析可以看出,内部审计有外部审计许多无法比拟之处,因此它不会被外部审计所替代。同时,由于存在上述差别,所以外部审计机构在承接内部审计业务时,应对承担内部审计任务的外部审计人员定期进行适当的培训,使之同时具备内部审计人员应有的素质,具体培训方式可以采用讲座、案例讨论以及课程学习等多种方式。否则,优秀的外部审计人员也难以完全胜任内部审计工作。外部审计人员在受托从事企业内部审计服务时,不能完全按照从事外部审计服务的范围、程序和方法进行,必须认真研究内部审计工作的特点和要求,这样才能提供高质量的内部审计服务。
【参考文献】
[1]周为利.国外内部审计外包及启示[j].审计与经济研究,2002(5).
内部控制与审计的区别篇5
关键词:IT环境;内部控制;建设
一、引言
内部控制关系到企业财产物资的安全完整、关系到会计信息系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必须建立起一整套内部控制制度,以保证企业有序、健康地发展。企业在lT环境下建立了会计信息系统后,企业会计核算和会计管理的环境发生了很大的变化。由于使用了计算机,会计数据处理的速度加快了,会计核算的准确性和可靠性得到了极大的提高。减少了因疏忽大意及计算失误造成的差错。但是,也为企业的内部控制带来了许多前所未有的新问题,对企业内部控制制度造成了极大的冲击。由于处在lT环境下的会计信息系统的特殊性,建立一整套适合lT环境下的会计信息系统的内部控制制度就显得尤为重要。而我区――广西壮族自治区,地处祖国的西南,与东盟各国为邻,与东部发达省市及南部沿海城市不能同日而语,但在近几年与东盟对话的环境下促使企业信息化的发展有了一定的起色,企业会计信息系统的初级阶段基本上得到了普及。由此而及的内部控制也有了一定的变化,笔者于2007年7月、8月在广西壮族自治区南宁市内的一些企业进行了走访,现就这些企业的内部控制在lT环境下的现状并针对其出现的一些问题提出了几点建议,以健全广西区内企业在IT环境下的内部控制建设。
二、lT环境下广西区内企业内部控制的现状
笔者将广西区内企业分成三大类别:金融机构、企业和事业单位,每一类别抽出一个样本单位,对其在IT环境下的内部控制情况进行归纳分析发现,这些企业在IT环境的影响下与传统的内控相比有一定的特色,但也存在一些问题。
(一)IT环境下广西区内企业内控的特点
内部控制是处理会计业务时所形成的自我调节和自我约束的有机体,包括了一系列既相互联系又相互制约的制度和手续。它是会计活动健康有序运行的重要保证,也是开展审计工作的基本条件和重要内容。《中华人民共和国会计法》规定各单位必须建立健全内部会计控制制度。《会计法》关于内部控制制度的主要内容包括:职责明确、相互制约、严格程序、如实记录、定期检查等。经过多年的研讨、时间、积累,手工会计系统的内部控制已形成了一整套行之有效的方法和制度。然而,随着现代信息技术在财会领域的广泛应用,使得原有的会计内部控制制度和方法在各方面都受到了挑战。在IT环境下的会计信息系统对我国大多数企业来说还是一个比较新的东西,其许多控制方法与手工记账方式不同,没有手工记账凭证,所有过账、核算和报表都由计算机自动完成,原有的复核牵制机制失效,产生了一套新型的lT环境下的会计信息系统的内部控制。就我区内企业来看。在IT环境下的内控主要特点有:
1内部控制的措施和方法发生了变化。从三家样本单位的调查数据来看,主要体现在原手工会计系统下的一些内部控制措施在实施信息化后发生了转移。例如:制作科目汇总表、凭证汇总表,试算平衡的操作以及总账、明细账核对等由原来的手工核对转移到由会计信息系统自动完成。由于会计信息系统中的主要组成部分――会计软件,设计者在设计软件时就已经将以上控制措施固化到会计软件中,并且计算机在进行自动计算汇总时一般不会出错,除非在计算机病毒的影响、非法操作和数据受掼等情况下才会出现试算不平衡等现象。因此以上措施在手工控制时没有必要再重复进行。再如,记账凭证中金额的借贷平衡、各账户发生额的平衡、账户的余额平衡检查等,也由会计信息系统软件设计中的内含功能来完成,不需要手工将打印出来的凭证、账簿再次进行平衡校对。
2内部控制制度有了新的内容。由于计算机技术、网络技术等现代信息技术的引入,使会计工作的形式发生了变化。也给会计工作增加了一些新的信息化元素,同时使内部会计控制的范围更广,包含了手工会计系统所没有的一些内部控制。例如:中国农业银行广西区分行就针对会计信息系统专门制订了计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章;计算机病毒防治、计算机系统内及磁盘内会计信息的安全保护、网络系统的安全控制规章:计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。
3强调内部控制框架中的“软控制”与人的重要性。内部控制由人来进行并受人的因素影响,保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践是内部控制有效的关键因素之一。实践表明,基于环境现状构建内部控制机制是一种被动性的做法,因此,要重视将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容,更加强调“软控制”的作用。在IT环境下,企业尤其应该注重培养组织中人员的信息观念,理解企业信息化建设和管理改革、内部控制创新之间的关系,并重视和实现这个改革。如这三家样本单位均对本单位的内审人员通过各种渠道进行信息化技术、工作能力、职能素养等方面的培训,以提高企业内审人员的工作水平、诚信度及道德水平。如:定期参加审计协会主办的培训;聘请外部审计专家专门指导培训;单位内审人员本身以检代训(下到各基层去检查前先培训,检查后遇到问题再培训再检查)。
信息时代同样是知识经济时代,企业发展将主要依靠科技、知识与人才。“人本主义”作为构建内部控制机制的信条已经越来越多地被企业接受,企业管理者应当重视对人员的选择、使用和培养,这不再单纯只是内部控制的环境因素,也日益成为内部控制结构的有机组成部分。
4内部控制的技术信息化。企业内审人员的技术力量越来越雄厚,能够自行开发出内部审计软件,并通过此软件直接从业务数据库取数(一般是按报表的时间段定期取数),做到事中、事后监督及预警。如广西区内某家金融机构。现已经成功开发出内审软件的第一期,并已投入运行该软件能在报告期内从前台业务数据库中取数。
(二)IT环境下广西区内企业内控存在的问题
广西区内的一些企业在进行IT环境下构建企业的内部控制制度时,虽然取得了一些成绩,但由于受地域及历史
原因(如经济发展起步较晚)的影响也存在不少问题,主要有:
1队伍建设。一是内部审计人员编制太少,不能满足工作的需要。如银监会规定金融机构的内部审计人员按员工人数比例不能低于1%,可广西区内有些金融机构不能达到此比例人数,这样就导致了许多工作无法开展或者周期延长等问题的出现。二是人员编制与职能定位不相吻合,岗位设置过于牵强,有些岗位形同虚设,而有些岗位却相当于几个岗位的工作范围。三是进出的渠道不够通畅,即有能力胜任内审工作的人想要进内审部门不能进,有能力提升时却又受到排挤,不能正常提升,这样内审队伍建设的稳定性就受到了制约。
2标准协调。指两个标准的协调:一是会计信息系统的数据接口标准与内部审计软件的数据接口标准的协调。在广西区内的企业已实行会计信息化的,所采用的会计信息系统软件均是购买的商品化软件,其中所占比例较大的有两家,即“用友”与“金蝶”,且在国家标准《信息技术会计核算软件数据接口》(GB/T19581-2004)之前均已实施了,当时没有统一的数据接口标准,各自为政,而审核软件的开发是近两年才开始推行的,这样就导致了会计业务数据的导出与内审数据的导入之间要经过复杂的数据转换工作,对内审工作造成了一定的困扰。二是企业内部审计人员的工资标准协调问题。在企业内部各级内部审计人员的工资待遇是属地管理还是统一管理?因为在广西,不同行政地区的工资水平相差很远,如果是采取属地管理则导致了同工不同酬。基层单位的内审人员工作积极性不高。
3内部审计的三性不明确。通过对三家样本单位的调研发现,他们在内部审计的三性即独立性、操作性、权威性不是很明确。因为内部审计与外部审计不同,内部审计的独立是相对独立,是相对经营管理层而言的,而不是独立于企业系统之外的,因此独立性不是很明确;就操作性而言,它没有利益关系,不好操作;在权威性方面需要领导的认可而不是工作绩效做出来的。
三、lT环境下广西医内企业内部控控制建设的建议
从广西区内企业应用IT技术进行企业内部控制建设的过程来看,信息技术的应用使得企业内部控制产生了新的变化,给提高企业内部控制效率、增强内部控制效果带来了新的机会。企业为了适应大环境、大市场的需要,把信息作为控制的资源,利用信息技术来构建与完善内部控制系统是现代我区企业lT环境下的一个实际的、及时的控制观点。随着计算机、网络等信息技术在会计信息系统中的广泛应用,一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代。任何先进的手段都是被人所指挥、所掌握的,一些传统的企业内部会计控制制度如职务分离控制、业务程序控制等仍有自身生存和发展的土壤。仍将有效地发挥自己的积极作用。各企业在采用新型的内部控制手段时,要结合传统有效的内部控制方式。不能只求新、不求实。各企业要真正地应用好IT技术,帮助企业更加有效地利用信息。进行真正的变革与创新。现就在lT环境下针对广西区内企业在内部控制建设中出现的一些问题提出几点建议以供参考。
(一)在队伍建设及职能划分上,将业务结构单一的、知识老化的内审人员进行调配,补充新生力量――懂业务、知识结构全面的、信息技术水平高的复合型人才:对原有的内审职能部门进行重新调整,为适应lT环境下会计信息系统中不同形态的数据控制,可按业务数据的不同形态进行划分:如划分为数据收集输入、数据处理和会计信息分析等不同的职能部门。
(二)发挥团队效应,在进行内部审计时可进行项目组织,明确责任,将利益切断,进行交叉审计。签订责任状,制订汇审制,工作底稿出来一两天内进行汇审,避免个人责任,以团队负责,工作报告出来到企业最高层审计办进行汇审交换意见,这样充分发挥了团队效应,调动了内审人员的工作积极性。
(三)提高企业的内控技术,充分发挥非现场审计的作用。实现非现场审计协同作业及资源共享,将非现场审计网络尽快延伸到审计的前沿――基层内部审计机构。基层内部审计机构直接掌握着大量的现场审计成果,对于辖区内部的内部控制状况也有着较为全面系统的认识,且能及时地获知审计对象的重大事件或变动。建立分析模型,将科学的分析技术和优秀审计人员的宝贵经验固化到系统中,使之在全系统范围内共享,可有效统一作业标准,切实保证非现场审计质量。
(四)标准统一。一是要将同企业内的同工不同酬现象进行消除;二是要将数据接口标准统一,可以通过找会计信息系统软件供应商对本单位的会计信息系统软件进行升级,将会计信息系统软件的数据接口标准统一到国家于2005年1月1日起实行的GB/T19581-2004会计核算软件数据接口标准,同时在引进或自行开发审计软件时要注意与此标准统一。如,格式定义文件为FORMAT.TNT,数据文件要按照如下标准执行:数据文件采用文本方式保存;每一条记录在文件中是一行;行与行之间通过回车换行分隔;每一行中包括格式文件中定义的所有有关字段;字段之间用制表符(ASCII码为9)分隔;一个数据文件中每一行的宇段数必须相同;若字段为空,制表分隔符不能省略。
(五)注重内部审计信息载体的建设,如可开办内部审计专报;及时进行审计风险、风险信息提示;及时对企业内部审计情况进行通报等。
内部控制与审计的区别篇6
近年来,在美国上市的公司正受到萨班斯-奥克斯利法案(theSarbanes-OxleyActof2002,简称SOX法案)的影响。尤其随着其第404条款的逐渐实施,该法案的影响正在席卷全球,包括美国上市公司的中国分公司。可以说,SOX法案对全球的影响力直逼上世纪的“千年虫”事件,由于SOX法案的相对完善性,研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格,从公司治理和IT治理的高度提出IT内部控制的要求。
对于上市公司或者希望借鉴上市公司经验的公司来说,应该如何改进自身的IT控制水平?又应该如何治理IT以保证财务报告内部控制的有效性?来看一个实际的案例,A公司是一家财富500强企业,全球五大制药公司之一。该公司在全球拥有58000余名员工,年销售收入超过180亿美元,年利润超过40亿美元。随着SOX法案第404条款的实施,一家会计师事务所将对其IT内部控制进行审计。因此,该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤,如图1所示。
精通SOX
SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求,要求公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。
所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP还是其他系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说,IT是保证财务报告内部控制的有效性的基础,IT控制至关重要。
从IT控制的范围来说,IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架,即COBIT框架。COBIT的全称是信息及相关技术的控制目标(ControlObjectivesforInformationandrelatedTechnology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。
制定项目计划
项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同,以中国区分公司为例,项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目,可以采用“差距分析”方法来进行。
风险控制矩阵(RiskandControlMatrices,RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先,是否已识别出了所有风险?其次,已识别的风险是否都与财务交易相关?最后,对于每一个风险,有什么对应的控制?
差距通常可以分为人员差距、流程差距和技术差距。例如,系统日志可以记录系统运维状态,但是如果加上适当的过滤工具,就可以保证对关键的突发事件及时的响应,相关人员不在现场也不会造成不能及时响应。
开展控制评估
第一步,要确定评估的控制范围,可以分为四个步骤:首先,确定财务报告流程中的核心要
素;其次,识别关键的业务流程;再次,确定IT系统范围;最后,确定地理位置的范围。该公司中国区项目组根据财务交易活动,确定了关键的业务流程、支持系统和所在的位置。
第二步,在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。
第三步,识别主要控制。对于公司和IT系统来说,存在三种控制:公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Toneatthetop)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程,以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统,保证安全连续的运作。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵(RCM)。
该公司识别出来的风险涉及领域主要有:制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。
进行控制设计
为了减少这些风险,中国区分公司进行了控制的优化与设计。在公司级控制方面,创建或优化各个制度,包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。
在应用、流程及通用控制方面,创建和优化了流程,为重要的流程和应用系统设计了一系列文档,设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。
进行内部审计
在控制文档设计完毕后,需要先进行一次内部审计,沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制,需要纠正缺陷、完善控制的设计与运维,以确保其有效性。
报告管理层
在内部审计通过后,管理层形成正式的书面内部控制结论,迎接外部审计。
在此案例中,需要重点关注的是公司有哪些重要的流程和控制,有哪些相关的风险和需要哪些相关的控制,以及如何设计与评估控制。通常来说,SOX合规项目会非常费时,成本也较高。不过,可以通过外部咨询公司帮助企业做一个快速诊断,以寻找从哪些地方入手做关键改进。
对于大多数公司来说,要达到SOX法案的要求,需要从文化上去改变。从历史事件来看,内部控制有重大缺陷会对整个公司造成灾难,因此主动地去提升内部控制,显得至关重要。
链接:中国企业IT内审的难点
1.企业在观念上对IT内审的重视程度不够;
2.企业IT内审的组织架构不清晰,因为IT内审既涉及IT,又包含审计的内容,很多企业不知道该由哪个部门来推动;
