基于制度[控制系统]的内部审计方法.doc

基于制度控制系统的内部审计方法 制度基础审计应该是内部审计主要采用的方法。该系列文章旨在对该种内部审计方法进行简述并探讨如何更有效地开展内部审计工作。我们也试图论证内部审计与外部审计在方法和目标上的不同点。近几年风险管理的兴起让许多内部审计师开始考虑开发基于风险的的内部审计方法。然而，风险并非单独存在，而是与组织或制度的目标没有实现关联在一起的。风险自然应包含在制度基础审计方法中。该方法使我们可以在整体制度的框架内考察内部控制的充分性与可靠性。 制度基础审计在开始时是由外部审计师为提高效率而开发的。然而，制度基础审计方法在成为更有效的内审方法前还需要进一步开发和提炼。外部审计是对组织的财务报表发表意见，而内部审计目的则完全不同，他们与各层经理一起工作，不断改善和优化内部控制、风险管理和公司治理。不同的目的导致内部审计不能完全照搬外审的方法，而应该根据自己的特点来开发属于内审自己的方法。分步进行内部审计 通常用分段式的方式描述制度基础审计方法。但也不能按字面意思描述，并不表示每阶段必须在上一阶段完成后才开始。相反，制度基础审计应该看做一个整体。通过应用该整合的方法，审计师的知识将逐步扩大。在审计的每个阶段审计师都应重新考虑方法是否适用，不断回顾对体系的理解，在必要的时候也要把重大事宜通报给经理。制度基础审计分为以下几个方面： 1.审计计划； 2.识别控制系统 3.描述现行控制 4.控制评估 5.测试关键控制 6.形成结论和建议 7.审计报告 在审计计划阶段，要考虑前期的审计结果并了解相关制度。即使审计初步计划已经与被审系统（制度或流程）的负责人达成一致，也要根据新的情况和后续的进展考虑对初步计划进行修改。如果该系统最近经过复核，那么复核记录更有助于了解被审体系。如果被审体系的经理在每次审计前都要从头给审计师介绍这个体系，那简直太遭了。然而，要想对该体系有个清晰全面的理解必须是渐进的过程，直到审计结束后才可能有完整的理解。审计师应像锯条一样增进对业务的了解：先看边缘的和容易理解的部分，然后再进攻比较困难的核心部分。 审计师描述流程的深入程度取决于他对系统的理解。只要审计师发现一些细节就应该记录，但这个阶段不要求审计师给出非常全面的流程描述。审计测试以及审计报告、与被审对象的讨论等都会加深审计师对制度流程的理解。在计划结束时再描述流程图或记录是个好主意。至少也要严格的复核，然后，在审计报告发布时再作必要的修改。 控制评估是每次审计的非常重要的阶段。在内控测试前应该完成控制评估。要注意的是：仅对那些存在且可能降低风险的控制才进行测试。然而，评估仅是测试的一个引导，测试程序要随着对制度流程的更深入理解而不断的修订。如果审计师意识到控制根本不起作用，那就应该立刻停止测试。如果在测试过程中又发现了一些关键控制，那还要开展更深入的测试。 对内部审计来是说，利用测试来说明控制是否有效地保证了制度流程的目标或者控制是否减少了风险。控制本身未见得是好事，所以只要其有效的运行并对体系目标的实现有重大影响就应该不断的测试。因此控制测试实际上反映了制度流程的全面属性、审计师对体系的理解以及不同的控制的相互关系。 形成结论和建议通常是内部审计的最后一个阶段。但也有可能开始时就能形成初步的“结论”，对以前对该制度流程的了解以及与经理人员的会谈都能使有经验的审计人员形成对控制环境和改善方法等的初步观点。观点会随着审计的开展不断深入、升华。. 审计报告，包括书写正式的报告以及与经理的意见交流，是审计人员对制度流程理解、进行弱点分析以及提出改进建议的重要阶段。报告阶段应该客观的复核控制系统的各个方面以及分析整个系统的合理性。写报告使审计师有机会“站在画外看画”。 在分析审计结论并考虑是否还要附加控制来改进时，一定要注意利用对整个系统以及各块控制相互关系的理解为基础来分析。如果需要，还要进行必要的质询和附加测试。 没有经验的审计人员要按制度基础审计的方法逐步实施审计。随着经验的增长，应运用更高级的方法。通过参加项目，审计师的知识和对体系的理解会愈发深入。这些知识应该不断的与审计方法、测试的范围与程度以及审计报告的时间相适应。内审计划 内部审计师希望组织更有效率并提高价值。为了使得审计的价值不过于“虚”，审计师应该确保能充分地计划审计工作并确保有效率的完成工作。审计师应注意是否复核了被审系统体系的所有重大方面以及是否存在有效的控制来管理风险。为此，审计师应该与业务经理合作开展工作。因此可以考虑在审计开始前的几周内把审计工作的概要计划发给业务经理。这样，可以使经理能对审计目的与范围提出意见和建议并预先通知其能够根据审计计划来安排工作。 在每次审计前应该召开启动会，由审计师（包括审计经理和项目经理）和被申单位的经理参加。对审计师来说，目的如下： 1.讨论流程或体系的的目标以及影响目标的重大风险； 2.对该流程或体系的岗位、职责和报告关系有个大概的了解； 3.考虑流程或体系的经理关心的事项或希望在审计过程中关注的事项； 4.初步对审计范围和目标达成一致。 内部审计师应尽可能根据业务情况灵活安排审计时间，最好不要进行进行“突然审计”。大多数经理都很忙，审计师应与经理沟通确定合适的时间。在计划过程中要制定清晰的时间预算，当然，预算应足够灵活。审计项目可能会超过预期时间，但这种情况仅在确实需要加强对所有重大方面的理解的情况下才。此外，可能还需要加些时间用来规划报告并提出大量的建议，这在控制非常薄弱的流程或体系中尤其重要。 然而，人员安排需要严格控制。如果内部审计师在一个项目上拖延了时间，那就要在以后的项目中找回来。一些审计项目不可避免的要延长，另一些项目很可能提前完成。内部审计师在分配给个别项目的时间应该是灵活的。但审计经理是在整体预算中给各个审计师分派任务，所以审计师不能放松对自己的要求，每年计划的审计项目一定要在该年总的时间预算内完成。如果不能完成，内部审计要对审计委员会述职并对遇到的问题和没有按时完成任务的原因给出合理的解释。 审计经理要确保分派任务时考虑审计师的经验与知识、技能。不需要成为每个被审领域的专家，但他们应该有该领域的基本的背景经验，这样他才能识别控制环境并分析出的弱点。对一些审计领域，如信息系统和资本支出合约的审计，专业知识是必须的。 每次审计的督导程度取决于审计师的水平，体系的复杂性以及技术或专业属性。在每次审计前，审计经理都要确保全体审计人员理解审计工作、工作方法以及访谈量和样本量等。此外，每个审计人员都应畅所欲言，把他们在审计中发现的问题和遇到的不确定性说出来与大家讨论。讨论绝对是内审人员的利器，有利于知识和经验在审计团队中的传播。 审计计划对于内部审计师有效的完成审计工作以及更好的与审单位配合开展工作都是非常必要的。计划应主动的复核修订，不应该看做是程序化的步骤。正所谓未雨绸缪才能防止损失。控制目标和关键控制内部审计的核心任务 内部审计人员一定对控制程序感兴趣，然而他们并不单纯地认为控制程序是有帮助的。控制程序通常是为了某一个目标而存在，这个目标确保该系统或程序能达到它的目的。只有在为达到该目标而能将风险控制在可接受的水平时，控制程序才有必要存在。这样，某些环境下内部审计人员可能会建议删除某些控制程序。例如，他们认为该程序无助于降低重要的风险。 基于控制系统的审计方法主要围绕系统的目标来进行，例如，现存的控制系统是否为高级管理者和董事会达到系统的目的提供了足够的保障，现行的内部控制系统是否将犯错误的几率降至可接受的水平。在内部审计人员开始具体的单项审计任务之前，他们首先要清楚相关的组织和管理层的目标。 控制目标 控制目标形成了具体审计任务的主体框架。需要将系统目标的各个方面加以细化。内部审计人员基于上述细化了的特定控制目标来评价整个现行控制系统。控制目标需要被充分的细化以为上述评价提供基础。应当避免笼统的说法，例如“确认支持性服务是充分的”。 通过考虑下列控制的方面，综合性的控制目标可以应用于任何系统中 1.系统是否进行充分的计划？ 2.是否恰当的监督和控制实际操作？ 3.是否定期复核控制系统？ 4.能否产生恰当的管理信息 内部审计人员需要同被审计系统的负责人就系统的目标和审计人员指明的控制目标取得一致意见。在最初的会议上，应当就这些问题取得一致意见。同时，系统的负责人应当被要求签字确认审计任务的范围和目标 关键控制 在控制目标达成共识以后，内部审计人员需要明确他们认为能为目标的达成提供保障的控制程序。这些控制程序被称为关键控制。如果足够幸运的话，可以借鉴相关的系统已经有的控制程序表，表格中需要书面记录该系统的标准控制目标和随之产生的预计的关键控制。 期望的关键控制表的目的是为了在审计过程中辅助评价实际存在的控制程序。有必要对期望的控制程序进行仔细地复核，以确保其恰当性。标准的期望存在的控制并非总是与实际相关，有必要时应当根据被审核系统的特殊情况加以调整。 如果审计人员未能确认关键的预计控制，就可能存在仅仅关注实际的控制程序而忽视了本应有的控制程序的危险。在确认关键的控制程序之后，那么通过关注被审查系统重要的控制方面，审计时间就能够得到有效的使用。在众多的控制程序中，关键控制是最重要的，也是最基本的控制程序，它能够保障每一项控制目标均能达成以及所有重要的风险都得到控制。审计人员应当关注于关键控制的恰当性和可靠性的评价。确认和记录现存的控制程序 制度基础审计应当严格评价现行的控制程序是否能够完成系统的控制目标，因此，明确现行的控制程序是制度基础审计的一个核心任务。在对现行的控制程序有着清楚且完整的认识之前，内部审计人员无法对现行的内部控制程序进行评价和测试，甚至提出改进意见。书面记录现行的控制程序可以帮助审计人员了解这些控制程序，并建立评价的基础，进而设计下一步的测试战略。 信息来源 对内部审计人员来说，了解现行的系统可以从各个方面获得信息，包括： 1.同职员和经理进行面谈 2.复核现行的文件 3.观察实际的工作情况 4.参考以前的审计报告面谈是重要的 在系统中工作的职员是最重要的信息来源，他们了解系统是如何操作的，并对如何进行改进有着合理的建议。因此对于审计人员来说，面谈的技巧是很重要的。他们应当能够理解一个复杂的系统，并能够严格的评价系统的每一个阶段，例如，为什么这样操作，这样操作能够变得更加有效？ 系统中的职员往往知道他们是怎样做的，但并不一定了解为什么这样做。他们可能会试图从最好的角度来进行解释。因此，内部审计人员应当有能力是所有面谈的职员坦诚布公，谈论他们实际作了什么（而不是他们认为应该做什么），并且提出他们认为能够改进的地方。了解为什么这样做可能是比较困难的，职员可能会说我们一贯是这样做的，甚至会说是审计人员告诉我们这样做的。 有经验的审计人员能够同面谈的职员轻松地进行讨论，并使其毫不掩盖的描述系统，了解实际发生的情况，并确信改进措施是否可能有是操作性。 其他需要关注的地方 审计人员可以检查公司的书面文件，例如章程、函件、委员会报告、岗位描述、组织架构图、方针和程序指南以及财务规章等。这些文件记录了系统是如何要求的，但并不一定反映了真正的工作状态。内部审计人员可以根据这些文件内部控制的适当性，或者至少能够了解管理层对内部控制的态度。 内部审计人员可以通过对实地环境和工作方法的观察来进一步获得关于实际操作程序的证据。 在没有其他的实地证据可以证明该事件可能发生的情况下，实地观察法是一个非常好的方法。然而，内部审计人员应当意识到，他们的出现会使受观察的职员的行为和操作受到影响。 以前的由其他内部审计人员、外部审计人员和其他检察机构出具的检查报告也是十分有用的信息来源。然而，对于这些报告应当谨慎对待。内部审计人员应当充分考虑到，上述报告的作者是否完全了解系统，报告是否涵盖了系统的所有方面，是否有含糊其辞的现象。这种思考可以使内部审计人员提高自己的报告的水平和质量，例如，他们的报告是否会使其他使用者迅速地把握住系统和内部控制的重要方面？ 内部控制 审计人员需要了解系统的工作方法和关键程序的操作规则，但实质上，他们仅对内部控制感兴趣。内部控制有很多不同的方法，最重要的内部控制方法可以被归纳为 SOAPMAPS： 1.职责分离：交易的授权、记录和相应资产的保管应当由不同的人员来实施（Segregation of duties） 2.适当的组织：应当有清楚的组织架构，所有的职员应当有及时更新的岗位职责明确各自的责任（Organisation） 3.授权和批准：所有的交易和决定都应当由有权限的人员予以正式授权（Authorisation） 4.实地控制：对于进入办公室、接触资产及受控制的办公用具和计算机系统等行为都有适当的实地控制（Physical） 5）管理层：提供适当的财务和管理的信息；利用例外报告管理；对于危机的复核和质询管理（Management） 6）核算和会计：检查/复核别人的工作；记录订单、发票、工资单等；编制银行调节表；控制账户的设立等（Arithmetical and accounting: checking） 7）人事：职员的雇用需要经适当的控制；所有的职员在上岗前应当受到适当的培训，并受到定期的评价（Personnel） 8）监督：应当由了解操作程序并能及时发现问题的人员对所有的职员和行为进行充分的监督（Supervision） 记录内部控制 这个阶段，所有的内部审计工作应当被书面记录下来，并且能够充分地支持关于内部控制是否恰当和可靠的结论。在重要风险方面的主要程序和关键控制应当清楚、准确地记录。审计工作底稿应当包括： 1.系统说明，可以以文字和/或图表的形式 2.面谈和会议的记录 3.现行关键控制及其可靠性的记录 4.现行的内部控制能够保证预定的控制目标得以实现的程度 5.审计抽样和测试控制的证据 关于程序和控制的记录方法有很多种，例如，流程图、关键控制表、内部控制问卷及相关说明等等。无论采用哪一种方法，都应当持续使用，这会有助于以后的检查中很快地了解程序。系统的书面记录应当：清楚易懂；提供标准化的方法；强调风险点和关键控制 这些书面记录的目的： 1.帮助内部审计人员能够检查收到的信息，并且组织他们的思路和学识，从而使其能够系统地评估和测试； 2.详细地记录所遇到的问题、所做工作的证据和由此得出的结论，也为今后做审计计划提供参考； 3.证明审计工作得到适当的计划、控制、实施和报告 内部审计人员了解现行的内部控制程序并且记录以后，他们可以进一步评价这些内部控制是否恰当。但是，审计人员应当注意，内部审计并不是简单地按部就班地来进行。当审计人员对已确定的控制程序实施测试的时候，他们可能会发现进一步的控制程序，或者预想的控制程序被没有得到实施。这时候审计人员需要修改关于系统的记录，从而确保与实际操作中的控制相一致。 这个系列的第三部分，也就是最后一部分将在 ACCA 学生杂志 2002 年 6-7 月份中登出。现行内部控制程序的评估 对每个系统的审计来说，重点应当集中于对内部控制的充分性和可靠性的评价，这些内部控制应当能够保证既定目标的实现。上述评价工作形成了审计工作的核心。然而，例如控制环境、系统的效率和最佳方案的采纳程度等重要方面也需要被复核。 每一个现行内部控制的评价需要两个步骤。只有实现了下列两个方面才被认为是可靠的： 1.审计评价需要证明理论上控制程序设计是充分的，并能保证既定控制目标的实现（健全性）；2.要有充分的审计证据证明上述控制程序得到了连续的、可靠的执行（遵循性） 如果内部审计人员经过最初的评价认为控制程序不充分或者认为无必要取得相应的控制目标，则无需测试控制程序。 将实际的与期望的控制程序相比较 当实际的控制程序被确认后，需要将其记录成文并与期望的控制相比较，可采用下列方法之一：1.实际控制与期望控制相等 2.期望控制不存在，但存在充分的替代程序 3.期望程序不存在