论文部分内容阅读
【摘 要】 内部审计是企业内部控制的重要环境因素,是企业风险评估的主要执行者,是企业内部控制的重要控制活动,是企业信息收集与沟通的重要参与者,还是企业内部控制的重要监督检查力量。
【关键词】 风险; 内部控制; 内部审计
内部审计(internal audit),是指企业内部的一种独立、客观的监督、评价和咨询活动。它通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促使企业降低风险损失,改善运营效率和效果,增加企业价值,实现企业发展目标。
内部控制,是指由企业的治理层、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动。包括:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
内部审计与内部控制关系非常密切,可以说内部审计是企业内部控制的重要环境因素,是企业风险评估的主要执行者,是企业内部控制的重要控制活动方式,是企业信息收集与沟通的重要参与者,还是企业内部控制的重要监督检查力量。
一、内部审计是内部控制的重要环境因素
内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是企业可以自主选择和改变的,是实施内部控制的基础,是内部控制的重要组成部分。内部环境主要包括治理结构、组织机构设置与权责分配、内部审计、人力资源政策、企业文化等。
作为内部控制的环境因素,企业应当保证内部审计机构和内部审计人员的独立性,以便内部审计工作具有充分的客观性。为此,企业应当做到以下几点。
一是内部审计机构应当直接隶属于总经理领导,向总经理负责并报告工作,同时要接受董事会及其所属的审计委员会的监督、指导;二是内部审计机构依照法律规定和企业授权开展审计监督、评价及咨询工作,其工作范围不应受到制度规定之外的人为限制;三是内部审计机构对审计过程中发现的重大问题,可以直接或通过审计委员会向董事会报告;四是内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配的道德操守和专业胜任能力;五是内部审计人员应当避免对自己提供咨询的事项实施监督和评价。
二、内部审计是企业风险评估的主要执行者
风险评估是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并据以采取应对策略的过程。风险评估包括目标设定、风险识别、风险分析、风险应对等环节。
企业为了加强风险管理,应当进行风险自我评估。国际内部审计师协会(IIA)于2002年对北美4 500位来自各类组织的内部审计机构负责人进行调查,其结果显示,风险自我评估被列为“当前内部审计最佳实务”的第二位,在“未来将越来越重要的实务”中排列第一。
风险自我评估包括确认风险、评价风险管理过程、制定和实施用以将风险减低到可接受水平的行动方案、确定实现内部控制目标的可能性。
国际内部审计师协会(IIA)认为,风险自我评估可以采用以下四种不同方式进行。
(一)以目标为基础的评估
这种方法首先确定实现既定控制目标的现有控制活动有哪些;再据以确定经过它们控制后的剩余风险;然后评估现有的控制措施是否得到有效实施,剩余风险能否维持在可接受的水平。即按不同的控制目标来评估剩余风险。
(二)以风险为基础的评估
这种方法先列举出影响控制目标实现的各种风险事项;然后确定能够有效管理关键风险的适当控制活动;最后确定现有控制活动是否适当,能否将剩余风险控制在可接受的水平。即按不同的风险事项来评估剩余风险。
(三)以控制为基础的评估
这种方法首先确定控制主要风险的现有控制活动有哪些;然后评估这些控制活动的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的控制活动来评估剩余风险。
(四)以过程为基础的评估
这种方法通过识别采购、生产、销售等生产经营过程的控制强点与弱点,评估有关控制活动的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的经营过程来评估剩余风险。
此外,还有一种以部门为基础的风险自我评估方式:即通过分析每一个部门在整个企业中的地位,包括职责、权限和功能,确定影响该部门功效发挥和目标实现的各种影响因素,评估与该部门相关内部控制的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的部门来评估剩余风险。
风险自我评估可以采用组织研讨会、进行问卷调查等方法进行。内部审计人员应当详细记录研讨会与会者的发言,或系统整理问卷调查的结果,以此作为风险自我评估的工作底稿,据以编制评估报告。风险自我评估报告的内容一般包括三个方面:评估的范围和过程说明;评估的结果及其描述,可以用红黄蓝绿等来表示风险级别;改进内部控制活动,降低风险水平的行动方案。
风险自我评估对于增强风险管理的针对性,提高风险管理的预见性,降低剩余风险水平,提高风险管理效率,都有很大的作用。
三、内部审计是内部控制的重要活动方式
内部控制活动,是指企业根据风险评估结果和风险应对策略的要求设计和实施的,以合理保证将剩余风险控制在可接受水平之内的各种控制政策和程序,即合理保证内部控制各项目标得以实现的各种控制政策和程序。作为内部控制的重要控制活动方式,内部审计机构和审计人员应当在企业最高权力机构的授权下开展内部审计工作,防范舞弊行为。
(一)内部审计机构和人员应当经常开展的审计工作
1.遵循性审计。对经营过程中遵守相关法规、政策、流程、计划、预算、程序、合同协议等遵循性标准的情况作出评价。
2.风险审计。对企业生产经营中的风险管理状况进行审查和评价。
3.效益审计。对本单位及所属单位经济管理效率和效果情况进行审计。
4.任期经济责任审计。对本单位内设机构及所属单位领导人员的任期经济责任履行情况进行审计。
5.其他审计。包括建设项目审计、物资采购审计等专门审计以及法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项。
(二)内部审计机构和人员应当对舞弊特别关注
内部审计机构和人员应当保持应有的职业谨慎,合理关注企业内部可能发生的舞弊行为,以协助企业管理层预防、检查和报告舞弊行为。为此,内部审计机构和人员应当做到:
1.具有预防、识别、检查舞弊的基本知识和技能,在执行审计项目时警惕相关方面可能存在的舞弊风险。
2.根据被审计事项的重要性、复杂性以及审计的成本效益性,合理关注和检查可能存在的舞弊行为。
3.运用适当的审计职业判断,确定审计范围和审计程序,以发现、检查和报告舞弊行为。
4.在发现舞弊迹象时,应及时向适当的管理层报告,提出进一步检查的建议。
(三)内部审计机构和人员应当协助企业预防舞弊
内部审计人员在审查和评价内部控制时,应当关注下列主要内容,以协助企业预防舞弊。
1.组织目标的可行性。
2.控制意识和态度的科学性。
3.员工行为规范的合理性和有效性。
4.经营活动授权制度的适当性。
5.风险管理机制的有效性。
6.信息系统的有效性。
(四)内部审计人员进行舞弊检查的要求
舞弊的检查通常由内部审计人员、专业的舞弊调查人员、法律顾问及其他专家实施。内部审计人员应按照下列要求进行舞弊检查。
1.评估舞弊涉及的范围及复杂程度,避免对可能涉及舞弊的人员提供信息或被其所提供的信息误导。
2.对参与舞弊检查人员的资格、技能和独立性进行评估。
3.设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因。
4.在舞弊检查过程中应当与适当的管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通。
5.保持应有的职业谨慎,以避免损害相关组织或人员的合法权益。
(五)内部审计人员对舞弊的报告要求
在舞弊检查过程中,出现下列情况时,内部审计人员应及时向适当的企业高管人员汇报。
1.可以合理确信舞弊已经发生,并需深入调查。
2.舞弊行为已导致对外披露的财务报表严重失实。
3.发现犯罪线索,并获得应当移送司法机关处理的证据。
四、内部审计是企业重要的信息收集与沟通者
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。这里的信息是指有利于加强企业内部控制的各种信息。这里的信息沟通是指在对企业内部控制负有责任的有关机构和人员之间进行信息交流。信息与沟通就是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程。信息与沟通是有效实施内部控制的重要条件。因为有关岗位、人员和部门之间相互联系、相互制约是有效实施内部控制的基本要求,而相互联系、相互制约的前提条件是有关岗位、人员和部门之间具有有效的信息收集与沟通机制。信息对称或透明是有效实施内部控制的基本条件。
内部审计的审查、调查过程实际上是对企业内外部有关信息的收集过程。内部审计人员在审查、调查过程中可以通过检查有关书面记录和文件、检查有形资产、观察经营环境、观察经营活动过程、观察内部控制执行、询问有关人员等方法获取更为真实的信息。
内部审计向最高管理者和治理层提交各种审计报告、内部控制评价等咨询报告,向外部审计提供有关信息,实际上也是信息沟通过程。内部审计人员提交的报告是向上进行信息沟通的重要方式,而企业治理层和最高管理者批复、下达的内部审计人员提交的报告是向下进行信息沟通的重要方式。
五、内部审计是内部控制重要的检查监督力量
监督检查是企业对其内部控制的健全性、合理性和有效性进行检查与评价,形成书面报告并作出相应处理,督促企业自我完善内部控制的过程,是有效实施内部控制的重要保证。
监督检查的方式主要包括嵌入式监督检查和独立式监督检查等。嵌入式监督检查是指嵌入在企业各种业务处理过程中随业务处理而持续进行的及时性监督检查,它具有连续、及时的特点,如财会部门内部设置的稽核检查。独立式监督检查是指由独立的部门对企业内部控制建立与实施情况进行的外部监督检查。它可以是全面的,也可以是局部的;可以是定期的,也可以是不定期的。企业内部审计部门是进行内部控制独立监督检查的主要力量。
作为内部控制的重要监督检查主体,内部审计机构及其审计人员是内部控制独立式监督检查的主要执行者。企业内部审计机构和人员应当定期组织对企业内部控制进行全面评价。此外,还应当在企业发生意外、突发重大事件时,对于重大事件相关的内部控制健全、有效性进行评估。对于监督检查中发现的内部控制的重大缺陷或者重大风险,应当分析内部控制缺陷产生的原因,有针对性地提出和实施改进方案,并及时向总经理、董事长、审计委员会汇报。●
【参考文献】
[1] 杨瑞平.企业内部控制探索[M].中国市场出版社,2009.
[2] 吴秋生.当前内部审计亟待更新的观念[J].中国审计,2008(9).
[3] 李心合.企业内部控制基本规范导读[M].大连出版社,2008.
【关键词】 风险; 内部控制; 内部审计
内部审计(internal audit),是指企业内部的一种独立、客观的监督、评价和咨询活动。它通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促使企业降低风险损失,改善运营效率和效果,增加企业价值,实现企业发展目标。
内部控制,是指由企业的治理层、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动。包括:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求。
内部审计与内部控制关系非常密切,可以说内部审计是企业内部控制的重要环境因素,是企业风险评估的主要执行者,是企业内部控制的重要控制活动方式,是企业信息收集与沟通的重要参与者,还是企业内部控制的重要监督检查力量。
一、内部审计是内部控制的重要环境因素
内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是企业可以自主选择和改变的,是实施内部控制的基础,是内部控制的重要组成部分。内部环境主要包括治理结构、组织机构设置与权责分配、内部审计、人力资源政策、企业文化等。
作为内部控制的环境因素,企业应当保证内部审计机构和内部审计人员的独立性,以便内部审计工作具有充分的客观性。为此,企业应当做到以下几点。
一是内部审计机构应当直接隶属于总经理领导,向总经理负责并报告工作,同时要接受董事会及其所属的审计委员会的监督、指导;二是内部审计机构依照法律规定和企业授权开展审计监督、评价及咨询工作,其工作范围不应受到制度规定之外的人为限制;三是内部审计机构对审计过程中发现的重大问题,可以直接或通过审计委员会向董事会报告;四是内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配的道德操守和专业胜任能力;五是内部审计人员应当避免对自己提供咨询的事项实施监督和评价。
二、内部审计是企业风险评估的主要执行者
风险评估是指及时识别、科学分析影响企业内部控制目标实现的各种不确定因素并据以采取应对策略的过程。风险评估包括目标设定、风险识别、风险分析、风险应对等环节。
企业为了加强风险管理,应当进行风险自我评估。国际内部审计师协会(IIA)于2002年对北美4 500位来自各类组织的内部审计机构负责人进行调查,其结果显示,风险自我评估被列为“当前内部审计最佳实务”的第二位,在“未来将越来越重要的实务”中排列第一。
风险自我评估包括确认风险、评价风险管理过程、制定和实施用以将风险减低到可接受水平的行动方案、确定实现内部控制目标的可能性。
国际内部审计师协会(IIA)认为,风险自我评估可以采用以下四种不同方式进行。
(一)以目标为基础的评估
这种方法首先确定实现既定控制目标的现有控制活动有哪些;再据以确定经过它们控制后的剩余风险;然后评估现有的控制措施是否得到有效实施,剩余风险能否维持在可接受的水平。即按不同的控制目标来评估剩余风险。
(二)以风险为基础的评估
这种方法先列举出影响控制目标实现的各种风险事项;然后确定能够有效管理关键风险的适当控制活动;最后确定现有控制活动是否适当,能否将剩余风险控制在可接受的水平。即按不同的风险事项来评估剩余风险。
(三)以控制为基础的评估
这种方法首先确定控制主要风险的现有控制活动有哪些;然后评估这些控制活动的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的控制活动来评估剩余风险。
(四)以过程为基础的评估
这种方法通过识别采购、生产、销售等生产经营过程的控制强点与弱点,评估有关控制活动的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的经营过程来评估剩余风险。
此外,还有一种以部门为基础的风险自我评估方式:即通过分析每一个部门在整个企业中的地位,包括职责、权限和功能,确定影响该部门功效发挥和目标实现的各种影响因素,评估与该部门相关内部控制的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的部门来评估剩余风险。
风险自我评估可以采用组织研讨会、进行问卷调查等方法进行。内部审计人员应当详细记录研讨会与会者的发言,或系统整理问卷调查的结果,以此作为风险自我评估的工作底稿,据以编制评估报告。风险自我评估报告的内容一般包括三个方面:评估的范围和过程说明;评估的结果及其描述,可以用红黄蓝绿等来表示风险级别;改进内部控制活动,降低风险水平的行动方案。
风险自我评估对于增强风险管理的针对性,提高风险管理的预见性,降低剩余风险水平,提高风险管理效率,都有很大的作用。
三、内部审计是内部控制的重要活动方式
内部控制活动,是指企业根据风险评估结果和风险应对策略的要求设计和实施的,以合理保证将剩余风险控制在可接受水平之内的各种控制政策和程序,即合理保证内部控制各项目标得以实现的各种控制政策和程序。作为内部控制的重要控制活动方式,内部审计机构和审计人员应当在企业最高权力机构的授权下开展内部审计工作,防范舞弊行为。
(一)内部审计机构和人员应当经常开展的审计工作
1.遵循性审计。对经营过程中遵守相关法规、政策、流程、计划、预算、程序、合同协议等遵循性标准的情况作出评价。
2.风险审计。对企业生产经营中的风险管理状况进行审查和评价。
3.效益审计。对本单位及所属单位经济管理效率和效果情况进行审计。
4.任期经济责任审计。对本单位内设机构及所属单位领导人员的任期经济责任履行情况进行审计。
5.其他审计。包括建设项目审计、物资采购审计等专门审计以及法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项。
(二)内部审计机构和人员应当对舞弊特别关注
内部审计机构和人员应当保持应有的职业谨慎,合理关注企业内部可能发生的舞弊行为,以协助企业管理层预防、检查和报告舞弊行为。为此,内部审计机构和人员应当做到:
1.具有预防、识别、检查舞弊的基本知识和技能,在执行审计项目时警惕相关方面可能存在的舞弊风险。
2.根据被审计事项的重要性、复杂性以及审计的成本效益性,合理关注和检查可能存在的舞弊行为。
3.运用适当的审计职业判断,确定审计范围和审计程序,以发现、检查和报告舞弊行为。
4.在发现舞弊迹象时,应及时向适当的管理层报告,提出进一步检查的建议。
(三)内部审计机构和人员应当协助企业预防舞弊
内部审计人员在审查和评价内部控制时,应当关注下列主要内容,以协助企业预防舞弊。
1.组织目标的可行性。
2.控制意识和态度的科学性。
3.员工行为规范的合理性和有效性。
4.经营活动授权制度的适当性。
5.风险管理机制的有效性。
6.信息系统的有效性。
(四)内部审计人员进行舞弊检查的要求
舞弊的检查通常由内部审计人员、专业的舞弊调查人员、法律顾问及其他专家实施。内部审计人员应按照下列要求进行舞弊检查。
1.评估舞弊涉及的范围及复杂程度,避免对可能涉及舞弊的人员提供信息或被其所提供的信息误导。
2.对参与舞弊检查人员的资格、技能和独立性进行评估。
3.设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因。
4.在舞弊检查过程中应当与适当的管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通。
5.保持应有的职业谨慎,以避免损害相关组织或人员的合法权益。
(五)内部审计人员对舞弊的报告要求
在舞弊检查过程中,出现下列情况时,内部审计人员应及时向适当的企业高管人员汇报。
1.可以合理确信舞弊已经发生,并需深入调查。
2.舞弊行为已导致对外披露的财务报表严重失实。
3.发现犯罪线索,并获得应当移送司法机关处理的证据。
四、内部审计是企业重要的信息收集与沟通者
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。这里的信息是指有利于加强企业内部控制的各种信息。这里的信息沟通是指在对企业内部控制负有责任的有关机构和人员之间进行信息交流。信息与沟通就是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程。信息与沟通是有效实施内部控制的重要条件。因为有关岗位、人员和部门之间相互联系、相互制约是有效实施内部控制的基本要求,而相互联系、相互制约的前提条件是有关岗位、人员和部门之间具有有效的信息收集与沟通机制。信息对称或透明是有效实施内部控制的基本条件。
内部审计的审查、调查过程实际上是对企业内外部有关信息的收集过程。内部审计人员在审查、调查过程中可以通过检查有关书面记录和文件、检查有形资产、观察经营环境、观察经营活动过程、观察内部控制执行、询问有关人员等方法获取更为真实的信息。
内部审计向最高管理者和治理层提交各种审计报告、内部控制评价等咨询报告,向外部审计提供有关信息,实际上也是信息沟通过程。内部审计人员提交的报告是向上进行信息沟通的重要方式,而企业治理层和最高管理者批复、下达的内部审计人员提交的报告是向下进行信息沟通的重要方式。
五、内部审计是内部控制重要的检查监督力量
监督检查是企业对其内部控制的健全性、合理性和有效性进行检查与评价,形成书面报告并作出相应处理,督促企业自我完善内部控制的过程,是有效实施内部控制的重要保证。
监督检查的方式主要包括嵌入式监督检查和独立式监督检查等。嵌入式监督检查是指嵌入在企业各种业务处理过程中随业务处理而持续进行的及时性监督检查,它具有连续、及时的特点,如财会部门内部设置的稽核检查。独立式监督检查是指由独立的部门对企业内部控制建立与实施情况进行的外部监督检查。它可以是全面的,也可以是局部的;可以是定期的,也可以是不定期的。企业内部审计部门是进行内部控制独立监督检查的主要力量。
作为内部控制的重要监督检查主体,内部审计机构及其审计人员是内部控制独立式监督检查的主要执行者。企业内部审计机构和人员应当定期组织对企业内部控制进行全面评价。此外,还应当在企业发生意外、突发重大事件时,对于重大事件相关的内部控制健全、有效性进行评估。对于监督检查中发现的内部控制的重大缺陷或者重大风险,应当分析内部控制缺陷产生的原因,有针对性地提出和实施改进方案,并及时向总经理、董事长、审计委员会汇报。●
【参考文献】
[1] 杨瑞平.企业内部控制探索[M].中国市场出版社,2009.
[2] 吴秋生.当前内部审计亟待更新的观念[J].中国审计,2008(9).
[3] 李心合.企业内部控制基本规范导读[M].大连出版社,2008.