论文部分内容阅读
[摘 要]随着中国经济的发展,企业无疑在推动地方经济方面发挥着积极的作用。但是近年来由于公司过度关注业务指标的完成,以及利润的增长,往往忽视内部控制的建设,以及相应的内部审计制度的完善。从而导致以2004年朗讯公司丑闻为代表等一系列公司丑闻的出现。从这点我们可以看出,在追求公司高速成长的同时,强有力的内控,以及内部审计机制是必不可少的。
[关键词]内部控制 内部审计 业务流程
[中图分类号]F23[文献标识码]A[文章编号]1007-4309(2014)02-0051-02
如何能使一个公司能长久的持续的发展呢?建立成熟的内控机制,加强对内部控制的审计,应当成为企业的一个重要课题。可以说,内部控制和内部审计是保证企业快速健康发展的保障;也就是说,内部控制和内部审计成为改善公司治理的重要一环,应当引起公司管理者的关注。
一、内部控制框架的主要构成要素
1控制环境是内部控制框架中的第一个组成部分
它设定了公司的基调并影响其员工的控制意识。这是内部控制的所有其他部分的基础。控制环境为内部控制程序提供了基调和组织结构。在此阶段,公司确定其业务目标和总体经营理念。
2风险评估内部控制框架的第二个部分
它用于确认和分析与实现公司的目标相关的风险。每一个公司都面临着来自内部和外部的各种风险,必须评估这些风险。在此阶段,公司应找出各种风险并确定管理风险的基本措施。
3控制活动是内部控制框架的第三部分
它有助于减轻威胁公司目标的风险。控制活动包括账户调节、职责分离、权力下放和使用预先连续编号的单据等。这些活动旨在通过克服公司可能面临的潜在风险而帮助公司达到其业务目标。必须以适当的形式和在适当的时间段内确定、组织并传达有关内部控制的有关信息,以便人们能够在内部控制框架的第四个部分(信息和交流阶段)履行他们的职责。
4沟通与信息是内部控制框架的第四部分
在内控信息的交流与沟通过程中,必须在整个公司内传达公司的业务目标及其控制活动。另外,应建立某种方法以便于员工向管理层反映情况。
5控制活动还需要监控
通过监控,可以评估一段时间内的控制活动以及整个内部控制程序的质量。通过监控,可以确定控制活动的有效性。它可以确定控制活动是否需要扩展,或是否不再需要执行。另外,应在此阶段评估公司业务目标的变化。
二、如何对内部控制进行审计
在审计和评估过程中,我们可以采取以下措施:
(一)与管理层沟通确定目标
过去人们习惯专注于,管理层是否有超越控制的行为存在。虽然我们不能否认这仍是现代内部控制审计的一方面重要内容。但是我认为,在当今的公司大环境下,对于审计而言,管理是实现有效利用资源的过程。一方面,管理层在控制环境中占到了至关重要的地位。管理层的意识形态,直接影响到整个公司流程的制定。只有充分理解管理当局的意图,我们才有可能更好的通过审计来使公司达到改善的内控,完善流程,从而达到改善公司运营的目的。
(二)流程的评估与审计
对流程的审计更多包含的是一种运营审计的概念。一个好的内部控制,必然要有好的流程作为保证。内部控制本身也有着保证其效能的流程,那就是确定目标,评估风险,实施控制行为,保证目标的实现,然后在确定新的目标以适应企业的发展。我认为,内部控制是一个循环往复的步骤,所以对内控的评估与审计,也应该是对这一流程的审计,所以说对内部控制的审计因该是一个循环式的审计。
1选择评审的关键流程
每个组织都会采取一系列的财务和运营流程来保证公司的财务数据真实和运营的健康。内部审计和SOA403条款遵循性小组需要评审组织的各个流程,并选择那些在财务上较为重要的流程。这种关键流程的选择注重于那些使组织产生重大损失和费用的地方,并且这些考虑要囊括组织的所有机构,而不单单是总部的应用程序。在对内部控制的审计过程中,我们因该注意到以下问题:(1)账户是否分析以及定期审核;(2)文件是否完整保存;(3)授权以及批准权限是否符合公司的规定;(4)职责是否合理的分离;(5)资产是否得到有效的保全。
2记录选定的流程交易流
未选定的关键流程编制交易流文本记录。对于以往就按COSO内控框架来评审关键的流程图记录的组织来说,这个步骤很简单。他们只需对现有的记录进行审核,以确定该记录当前的准确性,以及是否需要进行更新。若组织从未记录其流程,或者是其文本记录仅反映过去的自动系统交易流,流程记录就会面临更多的挑战。这也是之所以在前面的部分强调,COSO内控框架的重要,它可以减少公司的许多变更成本。当然,在现今的技术环境下,流程可以以多种载体的形式而存在,但任何文本记录的关键要求就是要保持与之相适应的支持性流程。和现实一样,文本的关于流程的记录也要和现实中的流程一样也需要不断的完善,一份一成不变的文本记录对于将来的价值几乎很小。
3确认、记录和测试关键的内部控制
运用某种形式的关键分析,就能确定出组织的关键内部财务控制流程,测试合规性并记录结果。这里我们又发现了前面所要求的文本记录的重要性。如果文本记录是与实际相符的,我们可以根据文本记录,清楚的看到我们需要着重进行审查的控制点,并对这些控制点进行监控。例如,如果我们清楚固定资产申请及审批的整个流程的控制点,比如公司管理者所拥有的对固定资产的批准权限,以及不同部门经手固定资产申请的负责人。我们就可以清楚的勾画出从申请到审批的整个流程。从而,我们可以通过统计等的手段对固定资产申请的文本加以分析,来检验整个流程是否存在漏洞,以及各个控制点的人员是否都严格的履行了自己的授权。
4评估选定的流程风险组织一旦定义并记录了其关键的流程
接下来就要评估风险,确定“有问题”的流程。为此,评审小组首先要确定关键流程领域,随后进行记录,直接对“有问题”的流程进行详细的分析。评审人员要对围绕流程的潜在风险提出问题。例如对于应付账款流程,是否有人能登陆系统,然后以未授权支票的法师处理掉这些款项?系统是否非常薄弱,以致对同一个经批准的供应商生成多项付款?这些问题中含有无数的风险。评审小组要仔细检查每个选定的流程,并关注在这种开放式问题的答案中存在的潜在风险,然后关注于期望的支持性控制。
5运用恰当的测试程序来评估控制效果
系统控制若不能有效运行,也就不具什么价值。内部审计人员和其他的评审人员有时会发现控制并不存在,或根本没效果。在这种情况下,就要记录评估结论,并和流程责任人讨论,制定计划,采取措施以改进控制。例如,若是评审人员询问了能生成AP支票的经批准的必要流程,并被有效告知发票审批未经过相应的流程,评审人员就能确定这是一个明显的内部控制薄弱环节,要予以记录,并讨论既定的纠正措施。在大多数情况下,初步评估内部控制时会要求执行测试程序。审计测试是内、外部审计人员开展控制评审的常规程序。对于财务审计,这些审计测试曾经要抽查大量的属性和变量样本交易,并评价抽样结果。属性抽样用于评价内部控制,变量抽样用于估计财务余额。对这些样本的结果进行评价,使审计人员得出财务结果是否公允表达或内部控制是否运行的结论。这种强大的基于统计的审计抽样工具,现今审计效率方面的压力而更为常见。不管运用以统计为基础的抽样与否,SOA流程评审人员实质上总会在测试流程时用到一个或多个交易样本。若是一个复杂但大量以文件为基础的流程要经过很多人批准,SOA评审人员就可以借用传统的内部审计技术并尝试“穿行测试”技术,这是对单一交易而言的,例如在生成AP支票前需要批准供应商的发展,并且在注销AP支票之前要穿行测试每一笔交易的处理步骤。此外,这是一个对流程的内部控制评估所进行的测试。如果测试结果是正面的,流程评审人员就能确定该流程看来在准确的运行,并且内部控制适当。
6完成关于内部控制结构的有效性报告
由于所有的工作无法一次性完成,所以要将它们记录下来以备后续的评审。这里的文本记录过程同财务审计过程很相似,要将工作结果记录在工作底稿中以备后用。
完成对流程的审计后,我们应该对组织现有的组织流程有一个清楚的认识。在下次的审计中,我们所依赖的各种条件与数据,应该以上次的审计结果作为依据。对于流程的审计是一个循环往复地过程,需要我们不断的确定目标、分析问题、加以改善。只有这样,才能使内部控制的改善始终可以跟上公司的发展进程。从而更好的降低公司运营的风险。
[参考文献]
[1]中国注册会计师协会编:《审计》,经济科学出版社2008年版。
[2]董化礼、刘汝焯等:《计算机审计数据采集与分析技术》,清华大学出版社2002年版。
[3]中国注册会计师协会拟订、中华人民共和国财政部发布:《中国注册会计师执业准则2006》,经济科学出版社2006年版。
[4]张庆龙:《内部审计理论与方法》,中国财政经济出版社2005年版。
[5]陈志斌、何忠莲:《内部控制执行机制分析框架构建》,《会计研究》2007年第10期。
[6]林钟高、郑军:《基于契约视角的企业内部控制研究》,《会计研究》2007年第10期。
[7]Scott GreenManager’s Guide to the Sarbanes-Oxley Act:Improving Internal Controls to Prevent FraudEconomic Science Press20071
[8]Robert MoellerBrink’s Modern Internal AuditingJohn Wiley&Sons,Ltd20061
[9]Alvin AArens & Randal JElder&Mark SBeasley Auditing and Assurance service,an integrated approachPearson educationPrentice hall press20063
[关键词]内部控制 内部审计 业务流程
[中图分类号]F23[文献标识码]A[文章编号]1007-4309(2014)02-0051-02
如何能使一个公司能长久的持续的发展呢?建立成熟的内控机制,加强对内部控制的审计,应当成为企业的一个重要课题。可以说,内部控制和内部审计是保证企业快速健康发展的保障;也就是说,内部控制和内部审计成为改善公司治理的重要一环,应当引起公司管理者的关注。
一、内部控制框架的主要构成要素
1控制环境是内部控制框架中的第一个组成部分
它设定了公司的基调并影响其员工的控制意识。这是内部控制的所有其他部分的基础。控制环境为内部控制程序提供了基调和组织结构。在此阶段,公司确定其业务目标和总体经营理念。
2风险评估内部控制框架的第二个部分
它用于确认和分析与实现公司的目标相关的风险。每一个公司都面临着来自内部和外部的各种风险,必须评估这些风险。在此阶段,公司应找出各种风险并确定管理风险的基本措施。
3控制活动是内部控制框架的第三部分
它有助于减轻威胁公司目标的风险。控制活动包括账户调节、职责分离、权力下放和使用预先连续编号的单据等。这些活动旨在通过克服公司可能面临的潜在风险而帮助公司达到其业务目标。必须以适当的形式和在适当的时间段内确定、组织并传达有关内部控制的有关信息,以便人们能够在内部控制框架的第四个部分(信息和交流阶段)履行他们的职责。
4沟通与信息是内部控制框架的第四部分
在内控信息的交流与沟通过程中,必须在整个公司内传达公司的业务目标及其控制活动。另外,应建立某种方法以便于员工向管理层反映情况。
5控制活动还需要监控
通过监控,可以评估一段时间内的控制活动以及整个内部控制程序的质量。通过监控,可以确定控制活动的有效性。它可以确定控制活动是否需要扩展,或是否不再需要执行。另外,应在此阶段评估公司业务目标的变化。
二、如何对内部控制进行审计
在审计和评估过程中,我们可以采取以下措施:
(一)与管理层沟通确定目标
过去人们习惯专注于,管理层是否有超越控制的行为存在。虽然我们不能否认这仍是现代内部控制审计的一方面重要内容。但是我认为,在当今的公司大环境下,对于审计而言,管理是实现有效利用资源的过程。一方面,管理层在控制环境中占到了至关重要的地位。管理层的意识形态,直接影响到整个公司流程的制定。只有充分理解管理当局的意图,我们才有可能更好的通过审计来使公司达到改善的内控,完善流程,从而达到改善公司运营的目的。
(二)流程的评估与审计
对流程的审计更多包含的是一种运营审计的概念。一个好的内部控制,必然要有好的流程作为保证。内部控制本身也有着保证其效能的流程,那就是确定目标,评估风险,实施控制行为,保证目标的实现,然后在确定新的目标以适应企业的发展。我认为,内部控制是一个循环往复的步骤,所以对内控的评估与审计,也应该是对这一流程的审计,所以说对内部控制的审计因该是一个循环式的审计。
1选择评审的关键流程
每个组织都会采取一系列的财务和运营流程来保证公司的财务数据真实和运营的健康。内部审计和SOA403条款遵循性小组需要评审组织的各个流程,并选择那些在财务上较为重要的流程。这种关键流程的选择注重于那些使组织产生重大损失和费用的地方,并且这些考虑要囊括组织的所有机构,而不单单是总部的应用程序。在对内部控制的审计过程中,我们因该注意到以下问题:(1)账户是否分析以及定期审核;(2)文件是否完整保存;(3)授权以及批准权限是否符合公司的规定;(4)职责是否合理的分离;(5)资产是否得到有效的保全。
2记录选定的流程交易流
未选定的关键流程编制交易流文本记录。对于以往就按COSO内控框架来评审关键的流程图记录的组织来说,这个步骤很简单。他们只需对现有的记录进行审核,以确定该记录当前的准确性,以及是否需要进行更新。若组织从未记录其流程,或者是其文本记录仅反映过去的自动系统交易流,流程记录就会面临更多的挑战。这也是之所以在前面的部分强调,COSO内控框架的重要,它可以减少公司的许多变更成本。当然,在现今的技术环境下,流程可以以多种载体的形式而存在,但任何文本记录的关键要求就是要保持与之相适应的支持性流程。和现实一样,文本的关于流程的记录也要和现实中的流程一样也需要不断的完善,一份一成不变的文本记录对于将来的价值几乎很小。
3确认、记录和测试关键的内部控制
运用某种形式的关键分析,就能确定出组织的关键内部财务控制流程,测试合规性并记录结果。这里我们又发现了前面所要求的文本记录的重要性。如果文本记录是与实际相符的,我们可以根据文本记录,清楚的看到我们需要着重进行审查的控制点,并对这些控制点进行监控。例如,如果我们清楚固定资产申请及审批的整个流程的控制点,比如公司管理者所拥有的对固定资产的批准权限,以及不同部门经手固定资产申请的负责人。我们就可以清楚的勾画出从申请到审批的整个流程。从而,我们可以通过统计等的手段对固定资产申请的文本加以分析,来检验整个流程是否存在漏洞,以及各个控制点的人员是否都严格的履行了自己的授权。
4评估选定的流程风险组织一旦定义并记录了其关键的流程
接下来就要评估风险,确定“有问题”的流程。为此,评审小组首先要确定关键流程领域,随后进行记录,直接对“有问题”的流程进行详细的分析。评审人员要对围绕流程的潜在风险提出问题。例如对于应付账款流程,是否有人能登陆系统,然后以未授权支票的法师处理掉这些款项?系统是否非常薄弱,以致对同一个经批准的供应商生成多项付款?这些问题中含有无数的风险。评审小组要仔细检查每个选定的流程,并关注在这种开放式问题的答案中存在的潜在风险,然后关注于期望的支持性控制。
5运用恰当的测试程序来评估控制效果
系统控制若不能有效运行,也就不具什么价值。内部审计人员和其他的评审人员有时会发现控制并不存在,或根本没效果。在这种情况下,就要记录评估结论,并和流程责任人讨论,制定计划,采取措施以改进控制。例如,若是评审人员询问了能生成AP支票的经批准的必要流程,并被有效告知发票审批未经过相应的流程,评审人员就能确定这是一个明显的内部控制薄弱环节,要予以记录,并讨论既定的纠正措施。在大多数情况下,初步评估内部控制时会要求执行测试程序。审计测试是内、外部审计人员开展控制评审的常规程序。对于财务审计,这些审计测试曾经要抽查大量的属性和变量样本交易,并评价抽样结果。属性抽样用于评价内部控制,变量抽样用于估计财务余额。对这些样本的结果进行评价,使审计人员得出财务结果是否公允表达或内部控制是否运行的结论。这种强大的基于统计的审计抽样工具,现今审计效率方面的压力而更为常见。不管运用以统计为基础的抽样与否,SOA流程评审人员实质上总会在测试流程时用到一个或多个交易样本。若是一个复杂但大量以文件为基础的流程要经过很多人批准,SOA评审人员就可以借用传统的内部审计技术并尝试“穿行测试”技术,这是对单一交易而言的,例如在生成AP支票前需要批准供应商的发展,并且在注销AP支票之前要穿行测试每一笔交易的处理步骤。此外,这是一个对流程的内部控制评估所进行的测试。如果测试结果是正面的,流程评审人员就能确定该流程看来在准确的运行,并且内部控制适当。
6完成关于内部控制结构的有效性报告
由于所有的工作无法一次性完成,所以要将它们记录下来以备后续的评审。这里的文本记录过程同财务审计过程很相似,要将工作结果记录在工作底稿中以备后用。
完成对流程的审计后,我们应该对组织现有的组织流程有一个清楚的认识。在下次的审计中,我们所依赖的各种条件与数据,应该以上次的审计结果作为依据。对于流程的审计是一个循环往复地过程,需要我们不断的确定目标、分析问题、加以改善。只有这样,才能使内部控制的改善始终可以跟上公司的发展进程。从而更好的降低公司运营的风险。
[参考文献]
[1]中国注册会计师协会编:《审计》,经济科学出版社2008年版。
[2]董化礼、刘汝焯等:《计算机审计数据采集与分析技术》,清华大学出版社2002年版。
[3]中国注册会计师协会拟订、中华人民共和国财政部发布:《中国注册会计师执业准则2006》,经济科学出版社2006年版。
[4]张庆龙:《内部审计理论与方法》,中国财政经济出版社2005年版。
[5]陈志斌、何忠莲:《内部控制执行机制分析框架构建》,《会计研究》2007年第10期。
[6]林钟高、郑军:《基于契约视角的企业内部控制研究》,《会计研究》2007年第10期。
[7]Scott GreenManager’s Guide to the Sarbanes-Oxley Act:Improving Internal Controls to Prevent FraudEconomic Science Press20071
[8]Robert MoellerBrink’s Modern Internal AuditingJohn Wiley&Sons,Ltd20061
[9]Alvin AArens & Randal JElder&Mark SBeasley Auditing and Assurance service,an integrated approachPearson educationPrentice hall press20063