内部控制相关审计程序和方法问题讨论
(一)内部控制审计程序概述
为了论述方便,首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计,不可能都针对整个内部控制系统进行,更多情况是对其中部分展开。按照涉及内部控制的范围,大致可分为如下三类:1、业务循环内部控制审计,所谓业务循环内部控制是指对某个业务循环实施的控制,这种审计按照经济组织的业务纵向展开,专门审计业务循环内部控制;2、非独立部门内部控制审计,这种审计专门针对某个不独立的部门或机构所涉及的内部控制,所谓不独立,是指财务上不独立,没有独立的财务机构,也不单独核算;3、独立单位内部控制审计,这种审计是对经济组织所属的独立单位的内部控制进行审计,独立单位是指财务上独立的,可以是投资中心或利润中心,也可以是子公司,单独设置财务机构的分公司,它们自己本身可能有一套内部控制,同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点,但在审计程序上,由于独立单位内部控制审计相对较复杂,程序最全面,因此以下即以其为蓝本讨论。
内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处,因为毕竟两者都是以内部控制为焦点而展开,但由于服务的目标不一致,在程序上也有差别。内部控制评价程序一般是:1、了解与记录内部控制;2、初步评价控制风险;3、实施符合性测试;4、评价内部控制的强弱。作为一种单独开展的审计,了解经济组织的基本情况这些准备工作是必须的,因为对内部控制需求越强烈的经济组织,其规模越大,这是必然的;在大规模的组织里,管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件,否则无从下手。同样大规模的组织内既存在针对整个组织的控制,也存在针对某个部分或某个下属机构的控制,内部审计人员也不可能都熟悉,因此了解内部控制也是必须的。在了解内部控制阶段,还必须初步分析所了解信息,以初步确定内部控制的健全性和有效性,规划要实施的符合性测试程序。接下来与内部控制评价程序一样,实施符合性测试,以获得遵循性的评价,同时最终确定健全性和有效性。最后归纳总结审计结果,提出审计报告。
总结上述,本文认为内部控制审计程序为:1、了解基本情况;2、了解内部控制;3、实施符合性测试;4、提出审计报告。下面即以该程序为主线展开讨论,其中提出审计报告在内部审计报告中讨论。
(二)了解基本情况
了解基本情况,是了解所要审计内部控制所涉及单位的基本情况,这些情况是展开审计的必要准备和基本条件,影响着整个审计的过程和结果。这些基本情况包括:1、单位所属的行业和历史沿革(着重于管理沿革);2、单位组织结构、各机构的人员规模和岗位结构;3、单位资产规模、生产经营或专业服务的特点规模;4、主营业务及辅助业务类别、业务量;5、财务会计机构及其工作组织;等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。
基本情况获得后,审计人员就要适当利用自己专业判断,确定以下内容:1、业务循环及其大致内容;2、必须控制的重要或经常发生的业务;3、内部控制应有的严谨程度;4、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程,确定的是审计展开的主线;重要或经常发生的业务是必须控制的,确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的,规模较小的单位内部控制程度就相应较低,衡量标准就不能太高,实际这就是确定衡量标准的问题,提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行,保证审计质量。
下一步工作是制定审计总体计划,其主要内容就是上述基本情况获得后审计人员所确定的内容,主要包括审计的范围,即业务循环及内容,审计的重点,即必须控制的重要或经常发生的业务,审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。
需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001年财政部发布的《内部会计控制基本规范》(征求意见稿)中提出,“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”,其中这些经济业务就是基本的业务循环划分,但目前有多样化的趋势,国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线,了解内部控制和符合性测试都按照它来组织,因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分:1、覆盖单位所有业务及其各个环节;2、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程;3、有利于审计的组织安排。
(三)了解内部控制
了解内部控制的内容
要了解内部控制,首先要解决内部控制的构架问题。1988年美国AICPA提出内部控制结构即控制环境、控制结构和会计系统,我国独立审计准则即采用这种观点。1994年COSO报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展,在内容上进一步完善,在内部环境上更注重员工的素质,增加风险评估强调要实现目标就必须分析相关风险,构成风险管理的基础,将会计系统扩大为信息与沟通,更强调信息的内部传达,增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面,更加接近内部控制的本质认识,而内部控制的建设要以先进理论为指导,与实际情况相结合,因此本文认为,在我们目前的条件下,我们应采用COSO报告的观点,以它的框架为指导,同时鉴于我国目前内部控制落后的情况,应更加注重控制作业和监控,即如何建立起健全有效的控制程序与政策以及它们的实际执行,在控制作业完善的带动下,风险评估和信息与沟通也逐步完善,同时逐步转变管理观念,提高员工素质,建立起合理的法人治理结构和具体组织结构,使控制环境得以改善。
由于内部审计充当监控的主要角色,内部控制审计就是履行监控的职责,因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险,对它进行评估后设置相应的控制作业来控制,而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险,实现控制目标,实际就是风险评估过程,因此风险评估不做了解,而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策,为了理解直观起见,本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统,因此信息与沟通可以合称为信息系统。总结上述,本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。
如上所述,了解内部控制以业务循环为主线展开的,即按业务循环逐个循环了解,这些循环构成单位整体,这是横向的;同时针对每个循环的控制,分别去了解它控制环境、控制程序与程序、信息系统,这是每个循环的控制的纵向构成,是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。
了解控制环境是了解影响内部控制其他要素的因素,提供内部控制构成基础好坏的证据,同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容,按照COSO报告,控制环境包括:1)、员工的诚实性和道德观;2)、员工的胜任能力;3)、董事会或审计委员会;4)、管理哲学和经营方式;5)、组织结构;6)、授权和分配责任的方式;7)、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的,其中第3点是针对整个单位,实际在了解基本情况程序中就已进行。
了解控制程序与政策,就是了解控制目标实现风险所采取的措施,它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业,而每个作业都要设置若干控制程序和政策来控制,我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段,已经取得了业务循环大致内容的了解,在了解控制程序与政策阶段,应进一步了解,去获得足够信息来进一步确定业务循环内的各个作业,然后针对每个作业,去了解所采取的控制程序与政策。
了解信息系统只要是了解单位内外部信息记录载体,以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料,内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。
进行内部控制的了解可采取的方法与内部控制评价程序中的一样,大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。
初步分析健全性和有效性
在对内部控制获得了解后,就可以对其健全性和有效性进行初步分析,以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉,而重要或经常发生的作业则在了解控制程序与政策中已了解,通过了解控制程序与政策能知道它们是否设置控制。
初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标,然后再分析所了解到的控制程序与政策,看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。
初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试:1)对业务循环或关键控制点的控制初步评价为无效;2)在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循;3)在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循;4)虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试:1)相关业务大量发生的业务循环或关键控制点的控制;2)相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制;3)控制程序相对复杂的控制。规划结果应记入审计计划,并对审计计划做相应调整。
记录内部控制
制度基础审计理论中记录内部控制的方法主要有:文字叙述,调查表,核对表,流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录,一般是文字叙述,按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。
记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用,但以调查表最为常用。在本文中,即讨论调查表改进和特殊运用。
一般,调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的,但对于内部控制审计,本文认为,鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况,调查表应该引入标准内部控制作为导引,以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如2001年财政部发布的《加强货币资金内部控制的若干规定》(征求意见稿),就是标准的内部控制。对于各类型单位共有的业务或作业,如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业,如生产循环、销售及收款等主要针对制造业,则由行业主管部门或行业协会分别制订,供不同行业采用。在调查表中引入标准内部控制,要从权威部门制订的针对各业务或作业的标准内部控制中,按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策,作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制,对单位特殊的控制程序和政策可能就无法调查得到,而那些控制也是很重要的,因此有必要将调查表与文字叙述结合起来,加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行,用来记录单位的特殊做法。
(四)符合性测试
1、符合性测试的实施
符合性测试包括设计测试和执行测试,设计测试即健全性和有效性测试,执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步分析,但由于了解阶段获得的信息可能不彻底,如通过询问得知对投资业务的控制,但是讲述人所述是否真是如此,是否全面,需深入了解,还由于有效性健全性初步分析结果需进一步获得证据确证,如通过分析认为对某控制点设置的控制能达到控制目标,但这个判断是否正确,还需要进一步了解实际情况,因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体,主要是检查内部控制是怎样执行的。
进行内部控制设计测试,主要要做如下工作:1)更深层次地了解单位的内部控制,作出更准确的健全性和有效性评价;2)获得进一步支持健全性和有效性初步评价结果的证据;3)检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试,要特别注意如下事项:1)对业务循环和关键控制点设计的控制是如何具体组织应用于实际的;2)控制是否一贯执行;3)是否由控制规定职务的人来执行,其中后两个是重中之中。
《独立审计准则第5号——内部控制与审计风险》中提供了三种符合性测试方法,即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制,三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主,同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重,而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者,检查控制信息载体就能了解到这两者,在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体,即针对每个业务循环所涉及的单证、报告、合同等控制信息载体,抽取其中部分,检查执行各个控制点下各个控制程序与政策留下的记录,推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行,基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定,样本采用随机选样或系统选样的办法选取。
2、遵循性评价
遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念,遵循与不遵循只是它的两个极端,本文认为对遵循性的评价应采取评级的办法,以更好的反映遵循程度。遵循性级别最好分为四个到六个等级,等级太少难于准确衡量遵循程度,等级太多难于把握等级之间的差别,由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见,如遵循性分为A、B、C、D四个级别,被评为A级的,提出执行较好的意见,B级提出应加强的意见,C级提出应重点加强的意见,D级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果,同时综合考虑通过观察询问得到的控制应用于实际的情况,运用自己的专业判断,评判其遵循性级别。
本文认为,评定级别只是一种手段,重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标,而发现控制具体应用于实际中存在的问题,以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。
3、健全性和有效性评价
通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据,又可能获得确证初步评价结果的证据,因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料,对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。
健全性评价主要针对重要或经常发生的业务或作业,主要应注意三种情况:1、控制文件中没有规定控制,测试程序中也未发现实施了控制;2、控制文件中没有规定控制,经询问相关人员得知设置了控制,但经测试没有实施控制;3、没有控制文件,其他了解方法也不能得知是否设置控制,但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见,后一种应认为实际是健全的,但应提出健全控制文件的建议。
有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况,对采用了标准内部控制的也要做简要分析,因为标准内部控制可能不适于单位,而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标,本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定,如对现金收入的控制程序,根据保证资产的安全完整目标,分析确定其目标为保证现金收入以真实金额真正流入单位,根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录,根据提高运营效率确定目标为提高现金流入单位的速度,根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应,有些系统目标对某些控制点可能不适用,如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关,根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。
对测试过程中发现的重大财产损失、效率低下、违法事件等问题,应特别注意分析其控制健全性和有效性原因,如果是因健全性和有效性导致的,那么这些问题既是健全性有效性初步分析的确证,又是分析评价和提出建设意见的重点。
健全性有效性评价的重点在意见的提出,是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体,分析的过程中意见也就可以有针对地提出,而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程,主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的,都是内部控制建立的方法,因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。
关于内部控制建立的具体方法本文不再详述,只提出一点意见。本文认为,在健全意见和有效性改进意见提出的过程中,应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及,为配合政府推动内部控制建设,对于特定业务或作业,应注意运用相应的标准内部控制,并与自己的实际情况结合起来,以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述2001年我国财政部发布《内部会计控制基本规范》(征求意见稿)中有规定,它们是:1)组织规划控制,包括合理的组织机构设置和不相容职务设置,不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查;2)授权批准控制,包括确立合理的授权批准范围、层次、责任和程序;3)文件记录控制,包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统,或类似的文件,以及这些文件的宣传认知;4)预算控制,包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系;5)财产保全控制,包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险;6)职工素质控制,包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘;7)风险抵御控制,包括筹资风险、投资风险、合同风险、信用风险的评估与控制;8)内部报告控制,包括生产报告、经营报告、财务报告、特殊事件报告,以及报告的处理;9)电子信息系统控制,包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制,输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。
(五)内部审计报告
与其他审计报告一样,内部控制审计报告也是对审计结果的总结。在提出审计报告前,审计人员应重新检查在审计过程中获得的资料,做如下一些分析:1、是否了解研究了单位所有重要控制;2、所作分析判断是否得到了测试的证实或有足够的证据支持;3、是否遗漏了其他需要考虑的影响最终评价的客观事实;4、最后的健全性有效性遵循性评价是否适当,有足够的证据支持;5、出现了那些因内部控制导致的重大问题,哪些人员严重违反内部控制且已致严重后果;等等。审计项目负责人还要复核审计底稿,之后就着手准备撰写审计报告。
内部审计报告应突出重点,一些细节问题只要通知当事人或主管人员就可以,不必在审计报告中反映,还应便于理解,一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下:1、单位基本情况简介;2、内部控制体系介绍;3、内部控制健全性有效性遵循性评价及具体意见;4、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制,运行良好的不必反映。报告格式本文认为无须固定,只要能充分反映出上述内容即可。
审计报告应经过审计组的全体讨论通过方可,而且在定稿前应与所设计执行人或管理者沟通,听取他们对审计建议的意见。这样做主要是为了保证审计意见质量,使其能更好地得到执行。审计报告向内审机构主管报出。报告批准后,对于重大控制问题最高领导层还应组织听证会,组织人员落实审计意见。审计完成后内审机构应及时组织回访,以检查督促审计意见的执行。
内部控制审计在我国还是新事物,在加紧建设内部控制的大环境下,它的许多问题必须加紧讨论,得出统一认识,以促使其尽快更好地发挥出作用。
根据《独立审计具体准则第5号——审计证据》的规定,在审计过程中可以采用检查、监盘、观察、查询及函证、计算、分析性复核等审计程序(或审计方法)来获取审计证据。
检查
检查是注册会计师对会计记录和其他书面文件可靠程度的审阅与复核。
1、审阅
审阅是对会计料及其他资料从形式到内容进行认真的阅读和审核,以判断其真实性和合法性。通常,运用审阅方法获取审计证据应注意以下几个方面:
⑴审阅原始凭证时,应注意其有无涂改或伪造现象;记载的经济业务是否合理合法;是否有业务负责人的签字等。
⑵审阅会计账簿记录时应注意是否符合《企业会计准则》及其他有关财务会计制度的规定。如据以记账的原始凭证是否正确、齐全;记账凭证反映的会计分录编制及账户的运用是否恰当;账簿记录的内容是否与记账凭证和原始凭证记载的内容相一致;货币收支金额是否正常;成本核算及其方法的选用是否符合国家有关财务制度的规定等等。
⑶审阅会计报表时,应注意:会计报表的编制是否按照规定以账簿记录为依据进行的;项目分类是否正确;会计报表附注是否对应予揭示的问题做了充分的披露等等。
2、复核
复核是指对有关会计资料及其他资料所反映的内容,按照其核算程序、计算要求和钩稽关系进行复查、核实。具体包括:
⑴复核各种原始单据所记载的数量、单价、金额及其合计数是否正确。
⑵现金及银行存款日记账上的记录是否与相应的原始凭证记录相一致。
⑶现金及银行存款日记账和记账凭证反映的内容是否与总账及对应的明细账记录相符。
⑷总账的余额是否与其所属明细账的余额合计数相符。
⑸总账账户的借方余额合计数是否等于其贷方余额合计数;总账各账户的借方发生额合计数是否等于贷方发生额的合计数。
⑹会计报表有关项目的金额是否与对应账户的余额或发生额合计数相一致或相联系。
⑺会计报表有关项目的数据计算是否正确,各报表之间的有关项目的数据是否一致。如果与前期数据有关,是否与前期会计报表上的有关数据相符。
⑻外来对账单是否与本单位有关账户的记录相符,如不相符是否按规定调整一致。
3监盘
监盘是注册会计师现场监督被审计单位各种实物资产及现金、有价证券等项目的盘点,并进行适当的抽查。注册会计师对实物资产、现金及有价证券等的监盘应采用适当的方式。对于现金的监盘可以事先规划,准备有关的记录表格或调整表格、实施突击性的监督盘点,而对于那些隐藏可能性小、体积庞大、质量较重的材料和固定资产则可以事先预告被审计单位,甚至要组织被审计单位有关参与人对监盘规划事项进行学习,然后按预定程序进行监盘工作。
由于监盘方法强调的是:盘点工作由被审计单位进行,注册会计师只进行现场监督,但对于那些价值较高的物资,注册会计师应亲自进行抽点,必要时对那些使用较频繁的材料物资也应实施抽点。
监盘所取得的证据是为了证实以下几个方面的认定:①资产的实物形态是否真实存在;②对资产的监盘结果是否与账面金额相一致,如不一致应查明原因并进行调节,其不一致的原因往往包括记录遗漏、短缺、毁损、贪污盗窃等等。运用监盘方法获取的往往是实物证据,它不能证实以下几项认定:被审计单位是否对资产拥有所有权,被盘点资产如何确定其价值,被盘点资产是否完整。因此,注册会计师还应另外实施对实物资产的计价和所有权的审计程序。
4观察
观察是注册会计师实地察看被审计单位的经营场所、实物资产、有关业务活动及其内部控制的执行情况等,以获取审计证据的方法。采用观察方法可以获取环境证据。它只能帮助注册会计师对被审事项整体合理性进行评价,而对具体的各项认定不能提供最直接的证据。同时,注册会计师对于观察中所发现的问题应进一步实施审计。
5查询及函证
查询是注册会计师对有关人员就被审事项进行书面或口头询问以获取审计证据的方法。查询方法往往更多地获得口头证据,注册会计师应注意的是需就同一事项对不同人员进行查询,以确定各种口头证据能否相互印证。函证是指注册会计师为印证被审计单位会计记录所载事项而向被审计单位以外的第三者发函询证的一种取证方法。对于被函证事项应由被审计单位签名确认,然后由注册会计师亲自投递函件并收悉回函。如果没有回函或者回函结果不满意,注册会计师应当实施必要的替代程序,以获取相应的审计证据。
6计算
计算是注册会计师对被审计单位的原始凭证及会计记录中的数据所进行的验算或另行计算。在会计报表审计中,注册会计师需大量地运用计算方法来获取必要的审计证据。
注册会计师进行计算的目的是在于验证被审计单位的凭证、账簿和报表中的数字是否正确。注册会计师运用计算方法取证时,应采用与被审计单位确定的政策和选定的方法相一致,但在计算形式和顺序上可以按注册会计师认为最有利于提高效率的方式进行,不一定要遵循被审计单位的原定方式和方法。
7分析性复核
分析性复核是指注册会计师通过分析被审计单位重要的比率或趋势,包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异而获取审计证据的方法。分析性复核方法可以获得有关项目存在异常变动的证据。对于异常变动项目,注册会计师应重新考虑所采用审计方法的适当性,必要时应追加审计程序,以获取更为可靠的审计证据。在实施分析性复核程序时,注册会计师可以使用简易比较、比率分析、结构百分比分析和趋势比率分析方法,同时应考虑数据之间是否存在某种预期关系,如果不存在预期关系,不应运用分析性复核。
8关系分类
1审计程序的分类
为了获取审计证据,注册会计师可以在会计报表审计全过程中运用检查、监盘、观察、查询及函证、计算、分析性复核等审计程序。这些审计程序也称为审计方法。适用于审计过程中的任何环节(当然,应根据需要),不受审计阶段性的限制。实际上,根据现代会计报表审计的要求,由于在不同审计阶段的目的不同,审计程序可以分为以下三类:
⑴对被审计单位内部控制制度取得了解的程序。根据审计准则要求,注册会计师每次进行会计报表审计时都必须执行对被审计单位内部控制制度取得了解的程序,以了解内部控制制度如何设计、运作方式,以便充分合理地计划审计工作。
⑵符合性测试程序。它是为了获取审计证据,以证实被审计单位内部控制政策和程序设计的适当性及其运行的有效性。在符合性测试中,注册会计师可以大量运用观察方法和审阅方法,即审阅被审计单位有关内控制度的各种手册、文件,观察某一项制度的执行情况,当然还可以运用询问内控制度执行情况,或是注册会计师重新去执行某项控制程序。由于符合性测试的范围和控制风险估计水平有关,如果控制风险水平为很高时,注册会计师可以执行很少的甚至可以忽略符合性测试程序。
⑶实质性测试程序。它包括注册会计师实施对交易和余额的详细测试以及对财务数据和非财务数据应用情况进行的分析性测试。实施这类程序可取得证实管理当局会计报表认定是否公允的证据。在对交易和余额的详细测试中可以运用检查、监盘、观察、查询及函证和计算等单个的程序,详细测试和分析性测试各有其独特作用,二者不可相互替代。在每次会计报表审计中必须执行实质性测试程序。
由此不难看出,取得对内部控制制度了解的程序、符合性测试程序、实质性测试程序这三类程序的实施有着不同的目的和要求,它们也分别体现了审计工作的进程。检查、监盘、观察、查询及函证、计算和分析性复核根据需要可分别在不同审计过程中予以实施,是一种单项的审计程序。
2审计程序与审计证据和认定的关系
单项审计程序的实施可以获得多种认定有关的审计证据,同时,如果要获得用于证实同一认定的审计证据,也可以选用多种审计程序。例如:对应收账款函证的结果,可以证明应收账款存在的认定,也可以证明应收账款计价的认定;为了取得证实应收账款存在认定的证据,可以实施函证获取,也可以通过检查会计记录、核对有关资料来获取。
1是按照预定的重要性水平要确定金额的,如果评估的重大错报风险低,那么重要性水平就可低一点。金额就可以高一点。这是需要根据职业判断的
2。内控的审计手段有检查凭证、观察内控运行、询问内控人员、如果觉得上诉三种方法也不太可靠就须执行穿行测试,也就是把一项内部控制从运行开始至结束都测试一遍。首先,在风险评估过程中就需要对内部控制进行初步了解,也还是看看企业的内控设计的是否合理,且是否得到执行,如果决定信任其内控的话就需要进行控制测试,确定其有效性。在控制测试中,如果企业的内控未发生大的变化,高管未变动等,评估的重大错报风险低的话,则只需要的查看以前的审计工作底稿,并且对本年的内控进行少量测试即可,反之就需要进行控制测试,并且至少每隔三年就需要重新进行一次控制测试
3首先是接受委托前的初步了解工作,其次接受委托之后就需要制定总体审计策略和具体审计计划,具体审计计划就包括风险评估程序、进一步审计程序和其他审计程序,进行风险评估程序(这是必须进行的程序)也就是了解下企业的外部环境,内部环境等等,其中就包括了解内控,然后根据了解的情况识别确定重大错报风险领域,再针对这些领域制定进一步审计程序,包括综合方案和实质性方案,综合方案包括控制测试与实质性程序,实质性方案仅指实质性程序,控制测试不是必须进行的,是看了解内控时是否决定信任内控,若不打算信任则不需做控制测试,再执行实质性程序,在完成审计工作时再进行复核、质量控制,最后出审计报告
1、内部控制是指被审计单位为保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。广义的内部控制是指被审计单位的内部管理控制系统。
2、内部控制的产生和发展,促使审计工作从详细审计发展成为测试内部控制为基础的抽样审计。注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制,注册会计师应当对拟信赖的内部控制进行符合性测试,据以测试确定对实质性测试的性质、时间和范围的影响。
3、内部控制的目标:
(1)保证业务活动按照适当的授权进行;
(2)保证所有的交易和事项以正确的金额,在恰当的会计期间及时记录与适当的帐户,是会计报表的编制符合会计准则的相关要求:
(3)保证对资产和记录的接触、处理均经过适当的授权;
(4)保证帐面资产与实存资产定期核对相符。
4、建立和维护内部控制,并监督其有效执行是管理当局的责任,公司管理当局应当在综合考虑内部控制的成本效益的基础上建立能为公司会计报表的公允表达提供合理(但不是绝对的)保证的内部控制;
5、内部控制的固有限制:
(1)内部控制的设计与运行受成本与效益原则的限制;
(2)内部控制一般仅针对常规业务活动而设计;
(3)即使是设计完整的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效;
(4)内部控制可能因内部有关人员相互勾结、内外串通而失败;
(5)内部控制可能会因执行人员滥用职权或屈服于外部压力而失效;
(6)内部控制可能因经营环境、业务性质的改变而削弱或失效。
6、注册会计师在执行会计报表审计业务时,不论被审计单位规模的大小,都应当对相关的内部控制进行充分的了解;注册会计师应当根据对被审计单位内部控制的了解,确定是否进行符合性测试以及将要执行的符合性测试的性质、时间和范围。内部控制良好的企业,可能减少实质性测试程序,但绝不能完全取消实质性测试程序。
7、内部控制要素:
(一)、控制环境。包括的内容有
(1)经营管理的观念、方式和风格;
(2)组织结构;
(3)董事会;
(4)授权和分配责任的方式;
(5)管理控制方法;
(6)内部审计;
(7)人事政策和实务;
(8)外部影响。
(二)会计系统。
(三)控制程序。包括
(1)交易授权;
(2)职责划分;
(3)凭证与记录控制;
(4)资产的接触与记录的使用;
(5)独立稽核。
1、业务循环及其分类
注册会计师研究和评价企业内部控制分为三个步骤:
第一,了解企业的内部控制情况,并做出相应的记录;
第二,实施符合性测试程序,证实有关内部控制的设计和执行的效果;
第三,评价内部控制的强弱。
因此,了解内部控制是注册会计师检查内部控制的首要步骤。
所谓业务循环法也称切块审计法,它是将密切相关的交易种类或账户余额划为同一块,作为一个业务循环来组织安排审计工作的方法。
不同类型的企业,其业务循环的划分也有所不同。现以制造业为例,说明业务循环及其分类。
制造业业务的内部控制,可以按下列四类业务循环划分进行研究和评价。
(1)销售与收款循环。
(2)采购与付款循环。
(3)生产循环。
(4)筹资与投资循环。
应该指出的是,如何划分业务循环,应视企业的业务性质和规模而定。同时,不同的审计人员在检查内部控制中,也可以按照自己的判断去划分特定的业务循环。但不论如何划分,审计人员在检查中,应将主要精力集中在那些影响会计报表反映的内部控制环节上。
2、了解内部控制的程序
(1)询问被审计单位有关人员,并查阅相关内部控制文件;
(2)检查内部控制生成的文件和记录;
(3)观察被审计单位的业务活动和内部控制的运行情况;
(4)选择若干具有代表性的交易和事项进行“穿行测试”。
注册会计师了解内部控制所执行的程序的性质、时间和范围,主要取决于以下因素:
(1)被审计单位经营规模及业务复杂程度;
(2)被审计单位数据处理系统类型及复杂程度;
(3)审计重要性;
(4)相关内部控制类型;
(5)相关内部控制的记录方式;
(6)固有风险的评估结果
3、考虑是否利用内部审计人员的工作结果时,应考虑的因素有:
(1)内部审计人员的独立性;
(2)内部审计人员的经验和能力;
(3)内部审计程序的性质、时间和范围;
(4)内部审计人员所获得审计证据的充分性和适当性
(5)管理当局对内部审计工作的重视程度。
4、内部控制调查记录的方法通常有:调查表(问卷)、文字表述、流程图、核对表。
1、符合性测试的种类:
(1)同步符合性测试:是注册会计师在取得对内部控制的了解时,同时执行的测试。“同步符合性测试”既可能是取得了解时的“副产品”,也可能是注册会计师事先计划安排的。“同步符合性测试”取得的证据,只能使注册会计师评价控制风险的估计水平处于略低于高水平的中等水平范围之内。
(2)追加符合性测试:这种测试是在外勤工作中执行的。在主要证实法下,执行“追加符合性测试”是为了进一步降低控制风险的评估水平。
(3)计划符合性测试:也是在外勤工作中执行,在选用较低的控制风险估计水平法下必须执行这种测试。
2、注册会计师可选用的符合性测试程序有:
(1)检查交易和事项的凭证;
(2)询问并实地观察未留下审计轨迹的内部控制的运行情况;
(3)重新执行相关的内部控制程序。
3、可不进行符合性测试的情况有:
(1)相关的内部控制不存在;
(2)相关的内部控制虽存在,但注册会计师通过了解发现其并未有效运行;
(3)符合性测试的工作量可能大于进行符合性测试所能减少的实质性测试的工作量。
4、注册会计师在评价以前年度审计获得的这些证据对本年度审计的恰当性时,应考虑以下四个方面的问题:
(1)这些证据所涉及的认定的重要性;
(2)以前年度审计中所评价的特定内部控制;
(3)所评价的政策和程序被适当设计和有效执行的程度;
(4)用来作这些评价的符合性测试的结果。
5、注册会计师要求内审人员直接提供帮助时,应注意做好以下工作:
(1)考虑内审人员的胜任能力和客观性,并监督、复核、评价和测试他们所执行的工作;
(2)明确告诉内审人员他们所负的责任和执行有关程序的目标,以及其他可能影响测试的性质、时间和范围的事项;
(3)明确告诉内审人员,应将他们工作中发现的所有重大会计和审计问题,提请注册会计师注意。
6、双重目的测试:注册会计师在期中执行一些符合性测试的同时,也可能执行有关交易的某些详细实质性测试,以查出会计报表中的重要错报和漏报。
控制风险的评价
一、控制风险的初步评估。控制风险的评价是为认定而进行的,而不是为了个别控制要素或个别政策和程序而进行的。控制风险评价为高水平的情况:(1)控制政策和控制程序与认定不相关;(2)控制政策和程序无效;(3)取得证据来评价控制政策和程序显得不经济。控制风险评价为低水平的情况(1)控制政策与程序与认定有关;(2)通过符合性测试已获得证据证明控制有效。
二、符合性测试与控制风险的进一步评估。注册会计师如拟信赖内部控制,应当实施符合性测试程序,以评估控制风险。初步评估的控制风险水平越低,所需获得内部控制设计合理、运行有效的证据越多。如果进一步评估结果与初步评估结果存在偏差,应当修正对控制风险的评估,并修正实质性测试程序的性质、时间和范围。
三、在审计终结前,注册会计、注册会计师应当根据实质性测试程序的结果和其他审计证据,对控制风险进行最终评估。如果最终评价的控制风险高于初步评估水平,注册会计师应当考虑是否要追加相应的审计程序。
1、现行审计准则要求,注册会计师对审计过程中注意到的内部控制的重大缺陷,应当告知被审计单位的管理当局,必要时可以出具管理建议书。
2、管理建议书与审计意见的不同:(1)对象不同:管理建议书是针对内部控制提出;而审计意见是针对会计报表提出。(2)责任不同:管理建议书不是一种法定业务,没有法定责任,审计意见是法定的业务,具有法定的责任。(3)作用和影响的程度不同。管理建议书仅提供给被审计单位管理当局,供内部参考不对外报送,对外不起鉴证作用;审计意见是审计报告的核心内容,要向外报送,对外起鉴证作用,作用与影响很大。
追问:
这个是有点具体,做简答回答就可以了,不用这么,我会采纳你的答案的。你简答简答
1.内部控制的目标是合理保证:(1)财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。之所以是合理保证而不是绝对保证,参见本准则第四章第五节对内部控制局限性的说明。
2.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
3.实现内部控制目标的手段是设计和执行控制政策和程序。内部控制包括下列要素:(1)控制环境;(2)风险评估过程;(3)信息系统与沟通;(4)控制活动。(5)对控制的监督。内部控制包括上述的五项要素;控制包括上述的一项或多项要素,或要素表现出的各个方面。
1、两者的区别(1)程序所属的类型不同:了解内部控制属于风险评估程序,控制测试属于进一步审计程序。(2)目的不同:了解的目的是评价控制的设计、确定控制是否执行,控制测试的目的是评价控制的执行效果。(3)程序有所不同:了解内部控制一般采用穿行测试,而控制测试一般需要重新执行。(4)必要性不同:了解内部控制是必要程序,而控制测试是有条件程序,不是必要程序。(5)程序的范围不同:在了解控制是否得到执行时,只需抽取少量交易检查或观察某几个时点。测试控制运行的有效性时,需要抽取足够数量的交易检查或对多个不同时点观察。2、两者的联系(1)虽然控制测试与了解内部控制的目的不同,但两者采用审计程序的类型通常相同,一般包括询问、观察、检查和重新执行等。(2)如果存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解可以替代测试控制运行的有效性(如果是人工控制的话就不能替代)。
以上就是关于企业内部审计方式和方法有哪些全部的内容,包括:企业内部审计方式和方法有哪些、获得审计证据的“八大具体程序”分别是指什么、审计抽凭内控审计程序等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)