效益审计中如何审查内部控制,本文主要内容关键词为:内部控制论文,效益论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
内部控制是效益审计必须关注和评价的要素之一。其重要性表现为,第一,内部控制中的成本控制、风险控制、程序效率和效果控制对被审计项目的经济性、效率性和效果性有直接重大影响。第二,内部控制是被审计单位管理制度的核心内容之一,而效益审计最终目标是促进被审计单位改进管理、提高效益,所以评价内部控制与发挥效益审计的增值效果密切相关。第三,责任机制是被审计单位接受审计建议,采取改进措施的着力点,而评价内部控制是落实责任机制的必要途径。所以,效益审计必须对被审计单位内部控制进行检查和评价。鉴于效益审计的特点,效益审计中对内部控制的审查与传统财务审计中的内容与方式有所不同。在效益审计中,分别在审前调查阶段初步检查内部控制,在审计实施阶段审查内部控制,在审计报告阶段评价内部控制。
一、审前调查阶段初步检查内部控制
在审前调查阶段,审计人员需要对被审计单位内部控制进行初步检查,为确定中计重点和评估审计风险提供依据。
初步检查内部控制时,首先要充分了解内部控制。通常可以实施以下基本程序进行检查和了解内部控制:1、询问被审计单位管理层、工作人员和相关人员以及专家的意见,查阅相关内部控制文件。审计人员通过询问被审计单位相关人员,查阅内部控制政策、程序手册、原始凭证和会计记录等,了解内部控制的设计和运行记录情况。2、检查内部控制生成的文件和记录,实地观察内部控制的运行情况,了解内部控制的实际状况。3、选择若干具有代表性的业务进行穿行测试,按照其业务轨迹来追查业务的处理过程,确认有关的控制程序及其执行情况。
在了解内部控制时,可以采用问卷调查、记述和流程图相结合的方法。审计人员首先进行问卷调查,将要调查的问题事先制成调查表,向有关人员询问填表;然后将调查所得的结果记录下来并用文字加以叙述;最后根据了解的情况,制出内部控制作业流程图,直观清晰地反映内部控制的设计和运行情况。通过以上方法,审计人员了解内部控制的设计、组成和运行情况,对其主要控制环节和控制要素形成系统和形象的认识。
二、审计实施阶段审查内部控制
内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。效益审计中,审计人员应从经济性、效率性和效果性三个方面对内部控制的五个要素进行审查。
(一)审查控制环境
控制环境包括被审计项目运营活动的业务特征和复杂程度、管理层经营理念和方式、被审计单位的组织文化、项目组织内部结构和项目运营流程、职责划分和人员的胜任能力等。审计人员主要审查和测试被审计项目运行活动是否为管理层所控制;管理层的管理观念是否强调对资源的节约和对效率的提高,管理层是否关心项目的产出和其使用效果;被审计单位的组织文化对项目效益目标是否认可;业务流程设计和管理流程设计是否合理,是否存在无序或无效设置、重复浪费或重大疏漏,计算机和网络技术的应用水平是否达到要求;组织内部的资源(人力资源、资金、财产、信息、技术等)配置是否合理,对资源的管理和利用是否有效;权责划分是否科学合理,是否有利于节约成本和提高效率;人员是否达到应有的知识和技术水平,是否具有相关的效益意识等。
(二)审查风险管理水平
风险管理指对影响项目效益目标实现的风险的识别和应对的机制。审计人员应调查被审计单位是否建立健全了有效的风险管理机制,是否将风险管理运用于战略制定方面。检查和测试风险管理水平主要是针对风险识别和风险应对两方面。
在风险识别方面,检查和测试被审计单位是否能及时准确地识别影响被审计项目效益的外部因素和内部因素。外部因素主要包括政治、经济、自然、社会、技术等五个因素;内部因素包括组织结构、人员、流程和技术等四个因素。被审计单位能否对逐步上升的风险促发因素进行分析、对促发因素进行分类、分析不同促发因素之间的相互作用、跟踪估计促发因素可能带来的损失和影响,能否确定哪些事项会对项目效益实现产生不利影响。
在风险应对方面,检查和测试被审计单位是否进行风险评估,评估风险的概率和产生的影响,是否采取有效的措施进行风险反应。风险反应有规避风险、降低风险、分担风险和接受风险四种类型。规避风险是指采取措施退出带来风险的活动。降低风险指通过设计、实施一些事前的措施和程序来降低和最小化风险。分担风险指通过恰当的转嫁或者与他人共担风险的方式减少风险的可能性或影响。接受风险指把一些风险作为业务活动带来的无法规避的结果来接受,这些风险发生的概率和所产生的影响额都相对较小。审计人员应检查被审计单位对每一项重要的风险是否及时出具有效的风险反应方案,将风险控制在可容忍水平。
(三)审查控制活动
控制活动指所有业务活动应有适当的授权、不相容职务应当分离、有效控制业务记录的真实性和相关性、资产和记录接近的限制、独立的业务审核。审计人员主要审查是否有未经授权的业务活动,是否引起资源的浪费;不相容职务是否分离,是否能够预防和发现舞弊和浪费行为;是否有一定的安全控制,是否保证资产和记录的接触受到相应的限制,是否保证业务记录的真实、相关和完整,是否将每一项资产的监管责任分配到具体的人员;是否有独立的业务审核程序,并且得到有效的执行。
(四)审查信息与沟通
信息与沟通包括及时、准确、完整地传达与记录所有信息、内外信息沟通的流畅、管理信息系统的有序运行和安全可靠。有效的信息沟通既包括被审计单位内部纵向和横向的沟通,又包括被审计单位与外部相关者之间及时地交换和交流信息。主要审查被审计单位能否及时、准确、完整地传达和记录所有信息,并将之处理,提炼出指导行动的信息,以满足各部门和员工的要求;管理层是否能实时得到真实完整的成本和效益信息,是否能将成本、效率和效果的信息反馈到相关部门和个人;组织内部是否能及时有效地排除信息沟通中的障碍;是否拥有比较流畅的外部沟通渠道,项目的外部信息和运行效果能及时反馈到管理层和相关部门与个人;管理信息系统是否安全可靠,并且能有序运行。
(五)审查监督
监督主要包括管理层对内部控制的实时监控和外部机构对内部控制的独立监督。审计人员主要审查管理层能否对内部控制进行有效的监控,是否有独立内部审计或其他机构对项目的内部控制的绩效实行监督,是否有独立的外部机构对内部控制进行监督和检查。
三、审计报告阶段评价内部控制
在审计报告中,根据审计实施阶段对内部控制的检查结果,对被审计单位内部控制的评价,主要体现在以下五个方面。
(一)内部控制的完整性评价
内部控制的完整性是经济性、效率性和效果性的保证。内部控制的完整性评价包括设计的完整性和运行的完整性两方面。设计的完整性评价是指评价内部控制设计是否完全覆盖被审计项目经济、业务活动的全部范围,是否在每个关键点上有相应完整的内部控制。运行的完整性评价是指评价内部控制是否按设计完整地运作,是否存在运作的交叉重复、相互抵触或相互脱节。内部控制的完整性评价是效益审计报告评价内部控制的基础。
(二)内部控制的经济性和效率性评价
内部控制的经济性评价,是评价内部控制对被审计项目投入与成本的影响关系,是指在保证投入数量和质量的前提下,评价内部控制各个环节资源配置和运行是否合理,各个环节的具体作业是否存在浪费,管理机制和业务流程是否以低成本运营,是否在保证投入数量和质量的情况下成本有压缩空间。内部控制的效率性评价,是评价内部控制对被审计项目成本与产出的影响关系,主要体现为内部控制本身运作的程序效率和为支持被审计项目完成所从事活动的运营效率。
(三)内部控制的风险性评价
评价内部控制对政治、经济、自然、社会等外部因素,以及组织结构、人员、流程和技术等内部因素风险识别和风险应对能力,评价是否会存在由于人为因素的压力或客观环境的改变等原因而运作失效等风险,内部控制是否存在应对风险的有效调整机制和应对机制,是否在风险因素影响下能保障被审计项目按预定的政策、法规、预算、程序和合同运行,达到预期的效益水平。
(四)内部控制的责任性评价
评价内部控制是否有相应的责任机制,将内部控制的运作和监控责任落实在相应的单位或人员上。审计发现内部控制的缺陷或漏洞,是否有相关单位或人员承担弥补和改进的责任。责任性评价是落实审计建议,达到效益审计目标和进行后续审计的前提和保证。
(五)内部控制的增值性评价
主要是指在对内部控制的完整性、经济性、效率性和责任性评价基础上,评价内部控制的增值水平,是否在现行基础上有改进空间,提高运作效率和管理水平,促使被审计项目提高效益。增值性评价除了参考现行法规或同类水平的评价标准外,还可以选择标杆管理法中的“标杆”,从更好的角度,为被审计项目的内部控制效率挖掘潜力和寻找途径。
标签:内部控制论文; 风险评价论文; 项目风险论文; 审计质量论文; 内部控制缺陷论文; 会计与审计论文; 审计方法论文; 审计流程论文; 审计目标论文;