《内部控制审计的重点内容及审计方法.docx》由会员分享,可在线阅读,更多相关《内部控制审计的重点内容及审计方法.docx(14页珍藏版)》请在优知文库上搜索。
1、内部控制审计的重点内容及审计方法内部控制审计内部控制审计概述内部控制审计是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。内部控制是内部审计的核心内容之一,是受企业董事会、管理层和其他人员影响,为营运的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。内部控制是组织提高经营管理水平和风险防范能力,实现可持续发展的基础。内部审计机构对组织内部控制进行审计监督,是优化内部控制自我监督机制的一项重要制度安排,是健全有效的内部控制的重要组成部分,也是内部审计更好地发挥其在风险管理和公司治理中的作用、实现自身价值的需要。内部控制审计是内部控制的管理活动和审
2、计实践发展到一定阶段后相结合的产物。最初,内部审计关注的是与会计事项相关的内部控制,主要是对财务活动进行日常监督,帮助组织建立健全财务内部控制,也帮助内部和外部审计师在内部控制测评的基础上进行审计抽样,降低审计风险和审计成本。20世纪50年代前后,内部审计实务界开始关注管理,将审计重点从财务账簿转向业务活动和控制,以提高经营管理效率。相应地,内部审计机构对内部控制进行审杳和评价的目标从服务于财务审计扩展到为提高业务活动和控制的效率服务。20世纪70年代以后,内部审计由为管理部门提供帮助扩展到为组织服务,这就要求内部审计站在整个组织的立场上评价和分析问题,对组织内部控制系统进行检查评价。20世纪
3、90年代以后,内部控制整合框架和相关规范的提出,极大地改变了内部控制审计的内外部环境,内部审计要关注与组织目标实现相关的所有风险。因此,内部控制审计发展到以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度,确定审计的范围和重点。内部控制审计的内容组织层面内部审计组织层面内部审计,通常也称从整体层面的审计,应通过审查内部环境、风险评估、控制活动、信息与沟通以及内部监督五个要素,对组织层面内部控制的设计与运行情况进行审查和评价。1 .审查与评价内部环境内部环境是内部控制的基础,代表着组织治理层和高级管理层对内部控制的重视程度,影响着所有层级的员工对内部控制的认识和态度
4、。良好的控制环境是实施有效的内部控制的基础,只有在良好的内部控制环境下,组织才能建立完备的内部控制系统并有效地执行。内部审计人员在开展内部控制环境要素的审计时,应关注组织架构、发展战略、人力资源、组织文化、社会责任等,以进行审查和评价。(1)组织架构组织架构是指组织按照国家有关法律、法规、股东(大)会决议、组织章程,结合本组织实际情况,明确董事会、监事会、经理层和组织内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。组织架构可以分为治理架构和内部机构。内部审计人员应当关注组织架构在设计与运行中的各项风险,并在审查和评价时重点关注:组织架构的设计是否符合国家有关法律法规的规定
5、;组织架构是否形成了重大决策、重大事项、重要人事任免及大额资金支付业务等的集体决策或联签制度;组织架构是否合理设置了内部职能机构,并明确职责体现了不相容职务相互分离的要求;组织架构中是否对其治理结构和内部机构设置进行了梳理,保证其运行的合理性和有效性;组织架构中是否建立了科学的投资管控制度;组织是否定期对组织架构设计及运行的效率和效果进行了评估,对存在的缺陷进行了优化调整。(2)发展战略发展战略是指组织在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。内部审计人员应当关注组织在制定与实施发展战略中的各项风险,并在审查和评价时重点关注:组织是否在制定发展目
6、标时进行了充分的调查研究、科学分析预测和广泛征求意见;是否依据发展目标制定战略规划;董事会是否下设战略委员会或指定相关机构负责发展战略管理工作,其职责和议事原则是否明确;是否根据发展战略制定年度工作计戈Ij,编制全面预算;是否对发展战略的实施情况进行监控和定期分析。(3)人力资源人力资源是指组织组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。内部审计人员应当关注人力资源管理领域的各项风险,并在审查和评价时重点关注:组织是否结合生产经营的实际需要,制定了需求计划并完善引进制度;人力资源选聘程序是否符合职位要求、公开、公平;是否依法与员工签订劳动合同;是否建立了培训
7、等人才培养的长效机制;是否建立了人力资源的激励约束机制和绩效考核制度;是否制定了定期轮岗制度;是否建立健全了员工的退出机制。(4)组织文化组织文化是指组织在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和组织精神,以及在此基础上形成的行为规范。内部审计人员应当关注组织在加强组织文化建设中的各项风险,并在审查和评价时重点关注:组织是否根据其发展战略和实际情况培育了具有自身特色的组织文化;董事、监事、经理和其他高级管理人员是否发挥了主导和模范作用;组织文化是否渗透到组织的生产经营全过程,并使得全员参与其中;是否定期对组织文化进行评估,并对发现的问题采取相应的措施。(5)社会责任
8、社会责任是指组织在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。内部审计人员应当关注组织在履行社会责任反面的各项风险,并在审查和评价时重点关注:是否建立了严格的安全生产管理体系、操作规范和应急预案,强化安全生产责任追究制度;安全生产措施是否到位、责任是否落实;是否建立了严格的产品质量控制、检验制度及售后服务制度;组织是否建立并执行了环境保护和资源节约制度;是否依法保护员工的合法权益。2 .审查与评价风险评估每个组织都会在经营活动中面临来自内部和外部的不同风险。组织的管理层应当确定组织可以承受的风险水平,识别可能
9、面临的风险、评估其严重程度并采取相应的措施。(1)组织战略和目标的沟通制定目标是风险评估的先决条件,只有确立了既定的战略和目标,才能实施有效的控制。组织的风险评估就是对组织战略目标实现过程中出现的风唆进行评估,而组织战略和目标的沟通保证了风险评估在组织内部的贯彻。内部审计人员在审查和评价组织战略和目标的沟通时应当重点关注:组织目标是否恰当,是否与组织的战略、环境相适应,总目标能否传达到相关层次;具体策略和业务流程层面的目标与整体目标是否相互协调;是否明确影响整体战略实施的关键因素;各级管理人员是否能够参与目标制定,并明确相关责任。(2)风险评估过程风险评估过程是组织对风险进行评估的实施过程,包
10、括风险识别、对风险重大性的评估、对风险发生可能性的评估以及应对措施的确定。内部审计人员在审查和评价风险评估过程时应当重点关注:组织是否建立了完备的风险识别机制;是否建立了有效的评估风险方法;是否通过正式的分析程序来进行风险分析。(3)对风险的管理内部审计人员在审查和评价风险评估过程时应当重点关注:是否建立了某种机制,识别和应对可能对企业产生重大且普遍影响的变化;企业风险管理部门是否建立了某种流程,以识别经营环境发生的重大变化;企业财务部门是否建立了流程,以适应会计准则的重大变化,当企业业务操作发生变化并影响交易记录流程时是否及时通知财务部门。3 .审查与评价控制活动控制活动是组织通过政策和程序
11、所采取的行动的总称,包括授权审批控制、不相容职务分离控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制以及合同管理控制等。4 .审查与评价信息和沟通在高速发展的信息时代,准确的信息和及时的沟通对组织运营具有至关重要的影响。在不断变化的环境中,良好的信息与沟通系统可以让组织应对运营中遇到的各类风险。对信息与沟通要素进行审查和评价时,内部审计人员应当分别考虑信息与沟通两个方面的内容。信息分为内部信息和外部信息。内部信息包括管理层建立的记录及报告经营业务与事项,维护资产、负债和所有者权益的办法与记录;外部信息包括市场占有率、法律法规和顾客反馈等信息。沟通应当使员工了解其职责,并能
12、保持其对财务报告的控制。它包括使员工了解其在会计系统中的工作,如何与他人联系,如何向上级报告例外情况。沟通的方式主要有组织规章制度、财务制度、备查簿以及口头交流和管理示例等。内部审计人员应根据各项指引中有关内部信息传递、信息系统、财务报告等规定为依据,对信息处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内部控制的有效性进行审杳和评价。(1)内部信息传递在审查和评价内部信息传递时应当重点关注:内部报告系统是否功能健全、内容完整;向适当人员提供的信息是否充分、具体和及时,使之能够有效履行其职责;是否明确内部信息传递的内容、保密要求及密级分类、传递方式
13、、传递范围以及各管理层级的职责权限等;对不恰当事项和行为是否建立了沟通渠道。(2)财务报告在审查和评价财务报告时应当重点关注:组织是否按照国家统一的会计准则制度规定进行会计记录和财务报告的编制;财务报告是否内容完整、数字真实、计算准确、没有漏报;是否定期进行收入、费用、成本、资产、负债、现金流量等的财务分析,并传达给有关的管理层。(3)信息系统在审查和评价信息系统时应重点关注:信息系统的开发及变更是否与企业战略计划相适应;管理层是否提供适当的人力和财力以开发必需的信息系统;是否建立了严格的用户管理制度;是否建立了系统数据定期备份制度;是否对信息系统进行了安全策略的保护。5 .审查与评价内部监督
14、监督是对内部控制运行质量不断进行评估的过程,是在内部控制实施过程中必不可少的环节。通过定期地评估,对内部控制进行监督,可以及时发现内部控制过程中存在的问题,并进行改正,以确保内部控制系统可以持续有效地进行。内部审计人员在审查和评价组织的内部监督时应当重点关注:组织对经营业绩是否进行持续的监督;组织是否对内部控制进行定期的评价;组织管理层是否会采纳监督人员的建议,及时纠正控制运行中的偏差;组织是否建立协助管理层进行监督的机构(如监事会、审计委员会和内部审计机构等)。业务层面内部审计企业内部控制的政策和程序,更多、更具体地体现在其日常经营的业务活动中。要想做到对内部控制设计的合理健全性和运行的有效
15、性进行全面的测试和评价,还应对业务层面内部控制的设计和运行情况进行审查和评价。内部审计人员应当根据管理需求和业务活动的特点,针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等方面进行审查和评价。(1)资金活动至少应关注以下方面风险的控制:筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机;投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余;资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。(2)采购至少
16、应关注以下方面风险的控制:采购计划安排不合理,市场变化趋势预测不准,造成库存短缺或积压,可能导致企业生产停滞或资源浪费:供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈;采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。(3)资产管理至少应关注以下方面风险的控制:存货积压或短缺,可能导致流动资金占用过量、存货价值贬损或生产中断;固定资产更新改造不够,使用效能低下、维护不当、产能过剩,可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费;无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患,可能导致企业法律纠纷、缺乏可持续发展能力。(4)销售业务至少应关注以下方面风险的控制:销售政策和策略不当、市场预测不准确、销售
免费区 