⑴ 内部审计质量评估办法
内部审计质量评估办法
作为内部审计工作者,我们都知道内部审计质量的评估是内审工作中非常重要的一部分,那么评估内部审计质量的具体办法都有哪些呢?下面是我为大家带来的内部审计质量评估办法的知识,欢迎阅读。
第一条 为规范内部审计质量评估工作,提高内部审计工作质量,推动内部审计的职业化发展,根据《第1101号——内部审计基本准则》,制定本办法。
第二条 本办法所称内部审计质量评估,是指由具备职业胜任能力的人员,以内部审计准则、内部审计人员职业道德规范为标准,同时参考风险管理、内部控制等方面的法律法规,对组织的内部审计工作进行独立检查和客观评价的活动。
第三条 内部审计质量评估的.目标是帮助组织改善内部审计环境,提升内部审计水平,防范内部审计风险,增强内部审计的有效性,促进内部审计的规范化和制度化建设。
第四条 组织应当建立内部审计质量评估制度,定期开展内部审计质量评估工作。
第五条 中国内部审计协会负责指导和管理全国内部审计质量评估工作。
第六条 内部审计质量评估包括内部评估和外部评估两种形式,由组织根据情况选择实施。
第七条 内部评估由组织内部的人员按照外部质量评估的要求实施,可以由内部审计、人力资源、内部控制、风险管理等部门的人员参与。
第八条 外部评估由中国内部审计协会或者其核准的机构实施。
第九条 选择实施外部评估的组织,应当向中国内部审计协会或者其核准的机构提出书面申请,由双方协商评估范围、评估时间、评估人员、评估费用等事宜。
第十条 参与外部评估的人员应当具备良好的审计职业道德和一定的审计工作经历,具有被评估组织所在行业、领域的相关知识或者经验,接受过中国内部审计协会组织的内部审计质量评估培训,具备从事评估工作的专业胜任能力。
第十一条 内部审计质量评估的内容主要包括以下方面:
(一)内部审计准则和内部审计人员职业道德规范的遵循情况;
(二)内部审计组织结构及运行机制的合理性、健全性;
(三)内部审计人员配置及专业胜任能力;
(四)内部审计业务开展及项目管理的规范程度;
(五)各利益相关方对内部审计的认可程度和满意程度;
(六)内部审计增加组织价值、改善组织运营的情况。
第十二条 内部审计质量评估的程序包括前期准备、现场实施和出具评估报告三个阶段。评估可以运用问卷调查、访谈、现场查阅文档等方法。
第十三条 内部审计质量评估的结论分为合格与不合格两类。对评估合格的组织还应进行评级,由高至低依次分为AAA级、AA级和A级。
第十四条 外部评估结果由中国内部审计协会统一公布。经中国内部审计协会核准的机构实施的外部评估的结果,应报送中国内部审计协会备案。
第十五条 内部审计质量评估结果可以作为考核被评估组织内部审计工作质量和做出相关决策的依据。
第十六条 中国内部审计协会制定的《内部审计质量评估手册》是开展质量评估的技术指南,对评估程序、评估方法和评估要求提供具体指引。
第十七条 本办法由中国内部审计协会负责解释。
第十八条 本办法自2014年9月1日起施行。
;⑵ 常见的审计方法有哪些以及内部审计的准则是什么
审计方法有:
顺查法。按照经济活动发生的先后顺序和会计核算程序,依次审核和分析会计凭证、会计帐簿和会计报表。逆查法。按照经济活动进行的相反顺序,先审查会计报表,从中发现错弊和问题,然后有针对性地依次审查和分析报表、帐簿和凭证。抽查法。提供三种抽样方法,包括等距抽样、随机抽样、PPS抽样,从被审单位被审计对象中抽取其中一部分进行审查,根据审查结果,借以推断审计对象总体有无错误和弊端。审阅法。分析法。抽样审计与详细审计结合法。在审计实践中,审计人员确定审计样本是在内控制度与重要性水平评估的基础上进行的,当对某一样本产生怀疑时,审计人员可能会扩大样本的数量或对某一样本的业务流程进行详细审计。效益评价审计法。
中国内部审计准则是中国内部审计工作规范体系的重要组成部分,由内部审计基本准则、内部审计具体准则、内部审计实务指南三个层次组成。(一)内部审计基本准则。内部审计基本准则是内部审计准则的总纲,是内部审计机构和人员进行内部审计时应当遵循的基本规范,是制定内部审计具体准则、内部审计实务指南的基本依据。(二)内部审计具体准则。内部审计具体准则是依据内部审计基本准则制定的,是内部审计机构和人员在进行内部审计时应当遵循的具体规范。(三)内部审计实务指南。内部审计实务指南是依据内部审计基本准则、内部审计具体准则制定的,为内部审计机构和人员进行内部审计提供的具有可操作性的指导意见。
⑶ 内部审计五大流程与方法
内部审计五大流程与方法
内部审计五大流程包括审前准备、审计实施、审计报告、后续审计和成果运用。审计方法不仅仅是取证方法,而且是一个完整的体系。审计人员与被审人员都有各自的心态表现,审计人员应及时掌握被审人员的心态,并适时调整自己的心态,恰当运用审计方法,以便能做好审计工作。下面是我为大家带来的关于内部审计五大流程与方法的知识,欢迎阅读。
一、审前准备工作
(一)整体内容框架
(二)主要工作
1 编制年度审计计划应该关注的因素。
单位组织年度内经济工作的中心问题;单位组织重大政策措施落实情况及存在的问题;经营管理中存在的突出问题和难点问题;群众普遍关注或反映强烈的热点问题;以往审计发现的比较突出、影响较大的问题;具体审计项目先后顺序安排;审计资源(人员数量、审计耗时与审计经费)的合理分配;后续审计的必要安排。
2 项目审计计划的内容。
审计目标;审计范围;重要性;审计风险评估;审计小组构成;审计时间分配;专家与外部审计工作结果的利用等。
3 审计前的调查内容。
经营活动情况;内部控制设计与运行情况;财务会计资料;重要合同、协议及会议记录;上次审计结论、建议及后续审计执行情况;上次外部审计意见等。
4 审计方案的内容。
具体审计目的;具体审计方法和程序;预定执行人及执行日期等。
5 审计通知书的内容。
被审计单位及审计项目名称;审计目的;审计范围;审计时间;被审计单位应提供的具体资料和必要协助;审计小组名单;审计机构及负责人签章和签发日期。(附件包括:被审计单位承诺书、被审计单位提供资料清单、审计文书送达回证。
二、审计实施工作
(一)整体内容框架
(二)主要工作
1 控制测试。
控制测试内容包括内部控制健全性测试与有效性测试。
健全性测试是评价被审计单位各项业务活动是否建立了内部控制制度;各项内部控制制度是否符合内部控制的基本原则(全面、制衡、成本效益、权责利对称);控制环节是否设置齐全;关键控制点是否存在;控制强点与控制弱点。
有效性测试是评价内部控制系统布局是否合理,有无多余和不必要的控制;关键控制点是否发挥作用;内部控制目标是否达到。
控制测试方法有:询问相关人员;检查内部控制生成的文件和记录;观察被审计单位经营活动;重新执行有关内部控制(穿行测试);功能测试。
穿行测试(waIk-through test):检查一项业务从头至尾的处理情况,以确认控制程序是否认真执行。一般采用顺查法。从凭证开始查到登记入账为止。
功能测试:查明制度执行是否发挥了控制作用,还要进行功能分析。注意是否存在多余制度(不经济、无效率、管理混乱)。
2 实质性测试。
实质性测试内容包括业务活动效益性测试和财务收支合法性测试。测试种类有分析性程序、交易测试、余额测试和列报测试。测试方法是:询问、观察、检查、监盘、函证、分析、计算。
实质性测试中关于重要性原则判断的考虑:
(1)绝对数。把某一特定金额作为重要性水平,而不考虑经营规模或业务量的大小。
(2)以错报金额占相关账户金额的百分比来比较判断错报是否重要。
(3)以错报金额占利润的百分比来比较判断错报是否重要。
(4)以错报金额占资产的百分比来比较判断错报是否重要。
(5)错报的性质(违法、舞弊)而不考虑金额大小。
3 审计工作底稿与审计日志。
审计工作底稿是审计业务的具体记录,其内容包括:被审计单位名称;审计事项名称;审计事项期间i审计事项描述与结果记录;审计结论;执行人姓名与执行日期;复核人员姓名、复核日期与复核意见;索引号及页次;审计标识。审计工作底稿应实行多层次复核。
审计日志是审计人员行为的过程记录,其内容包括:审计事项名称;实施的审计步骤与方法;审计查阅的资料名称和数量;审计人员的专业判断和查证结果;其他需要记录的情况。
4 中期审计报告。
中期审计报告是指在审计过程中发现重要问题。及时传达给高层管理者和被审计单位,以便他们迅速采取行动,纠正失误,减少损失。中期报告可以是书面也可以是口头,可以是正式报送也可以是非正式报送,非常灵活。
三、审计报告工作
(一)整体内容框架
(二)主要工作
1 审计报告。
审计报告基本要素包括:标题、收件人、正文、附件、签章和报告日期。正文内容有:审计立项依据、审计目的、审计范围、审计重点、审计标准、审计依据、审计结论、审计决定、审计建议等。附件包括对审计过程和审计发现问题的具体说明、被审计单位反馈意见。审计报告重点说明:披露发现的情况,说明在什么方面出问题;对发现的情况进行描述。说明为什么出问题;提出改进建议。说明应采取什么整改措施;反映被审计单位意见与行动计划。
审计报告基本类型:一是满意(肯定、积极)审计意见;二是大致满意但有例外的审计意见;三是不满意(否定、消极)审计意见。
审计报告修订路径:
审计报告草稿→审计人员修订→审计组长修订→部门经理修订→审计经理修订→被审计单位提出意见→领导审核→正式定稿以待发送。
2 审计交流。
审计交流包括:征求反馈意见、审计建议、审计整改、审计决定等。审计交流对事不对人,围绕问题开展细致、深入的交流。
四、后续审计工作
(一)整体内容框架
(二)主要工作
1 后续审计中的三方职责。
审计人员职责:对被审计单位给予充分尊重,不把具体纠正措施强加给被审计单位;采取合适的方法确定被审计单位对审计发现是否采取了恰当的行动;向高层管理者报告其后续审计中的判断和评价;实施后续审计时尽量避免对被审计单位正常业务的影响。
被审计单位职责:配合、协助审计人员的后续审计工作;对审计报告作出及时、全面的回复并对报告中提到的缺陷采取切实有效而持续的纠正措施:向审计人员和高层管理者汇报纠正行动取得的进展,并提出在纠正方法上的不同意见;选择最恰当的纠正方法。
高级管理层职责:监控后续审计过程,鼓励被审计单位对审计报告作出回复;评审被审计单位的纠正措施。考虑其充分性和有效性;避免干涉内部审计人员的后续审计工作。
2 制定后续审计政策。
后续审计政策的制定必须做到:表明政策中的各项声明均得到企业最高权力层支持并以书面形式载明;政策应发给所有管理层的主管;要求被审计单位在一定时限内对审计人员的发现和建议作出书面回复;要列示审计人员、被审计单位和高级管理在后续审计中的职责。
3 后续审计工作底稿。
后续审计工作底稿包括:被审计单位对审计报告的'书面回复;与被审计单位就回复中提到的纠正措施、存在缺陷进行探讨的回函:报告专递信和讨论有关审计报告事项的信函复印件;后续审计会议、电话备忘录以及文件审查、计算的书面资料;发送给被审计单位的其他信件、备忘录。
4 后续审计报告。
后续审计报告一般包括:审计目的;以前审计报告中的审计发现和建议;纠正措施;审查结果;被审计单位的审计回复;后续审计发现;后续审计评价。
5 扩散审计。
扩散审计是针对被审计单位以外的其他部门是否也存在相同问题开展的审计工作,检查其是否也开展了同步后续审计。
五、成果运用工作
(一)整体内容框架
(二)主要工作
建立完善的审计公告与通报制度。积极争取高级管理层和各个被审计单位的支持。审计结果公告与通报工作必须加强。立项必审,审计必纠,结果必告。责任必纠。建立纠错机制和制度,审计一个项目,完善一项制度,教育一批干部。审计政策建议能够得到适当管理层的肯定、采纳和应用,形成制度和政策,以达到防弊、兴利与增值的目的。
审计成果运用的具体体现:组织内部高层管理者对审计意见和建议的批示;职能部门对审计建议的采纳;相关责任人的移送处理。
审计成果运用=高层批示+部门采纳+移送处理+建立健全政策与制度=防弊、兴利、增值。
六、主要审计方法的运用
传统审计方法往往被认为是审计取证方法,包括检查、监盘、询问、查询、函证、计算、分析性复核等方法。其实这是片面的,审计方法是一个体系,包括书面资料审阅方法、客观实物证实方法、审计调查方法、分析判断方法、审计沟通方法、审计写作方法与制度设方法等。
(一)书面资料审阅方法
1 核对法。核对记账凭证与原始凭证(内容、数量、日期、金额等)、核对凭证与账簿(日期、会计科目、金额、方向等)、核对明细账与总账(期初余额、本期发生额、期末余额)、核对账簿与报表、核对报表与报表。
2 审阅法。审阅会计资料完整、齐全、正确;审阅经济活动真实、合法、合理。
3 复算法。小计、合计、乘积、余额,通过复算发现差错。
4 比较法。实际与计划比较、本期与前期比较。通过比较发现差异。
5 财务分析法。比率分析法、趋势分析法、账户分析法与账龄分析法。
(二)客观实物证实方法
1 盘点法。采取恰当的盘存方式,包括突击式盘点(现金和贵重物品)与预告式盘点(一般物资);选择合适的盘点时间,在营业或工作开始之时与之后;健全有关手续,明确有关责任。
2 调节法。通过调节确认结账日财产实物的实存数。
3 鉴定法。聘请信誉好有影响力的专家,对专业事项进行鉴定。
(三)审计调查方法
1 观察法(账外信息法)。观察法是“跳出”会计资料,从“账外”捕捉信息的审计调查方法。该方法没有固定格式,应处处留心,见机行事。灵活多样。
2 询问法。审计工作要创造相互理解、相互信任的和谐气氛。审计人员要面带微笑,语言甜美。存在的问题大多数是由管理引起的,而管理的缺陷既有决策层和管理层的原因。也有具体实施人员的原因。审计人员最好的办法是引导被审计人自己分析、自己找缺点,避免主观假设、仓促下结论,要充分体会被审计人的意图、目的和困难,客观分析缺陷形成原因,淡化双方的对立情绪,在感情上与被审计人产生共鸣。提问时应注意技巧,善于倾听、耐心倾听。
3 函证法。函证对象的选择主要关注关联方、往来单位、银行、账户余额大小,加强函证过程的控制。
4 审计会议法。参加人员包括高层、中层管理人员,纪检、监察人员,被审计当事人和代表群众。加强审计前、审计中、审计后三维立体的会议沟通。
5 问卷调查法。问卷涉及规定动作与自选动作调查,注重对各部门、各环节风险因素的调查。
6 现场走访。询问+观察=现场走访。了解业务细节。列出访谈提纲。避免录音,创造相互信任的气氛。
(四)审计分析判断方法
审计是一种高智商的工作,经常要运用取证、判断、推理来核定事实,在一定程度上审计与被审计之间是一种智慧的较量。审计判断是审计人员根据专业知识和经验,通过识别和比较,对审计事项和自身行为所做的估计、断定或选择。审计判断具有目标性、主观性、经验性、风险性和连续性。
审计判断的方法主要有:
1 直觉判断法。直接判断法是审计人员运用已有的知识结构对当前需要判断的事项作出分析和推论。是建立在审计人员丰富的实践经验基础之上的。
2 比较判断法。比较判断法是审计人员运用类比的原理,把需要判断的项目与类似的项目进行对比,从而分析其差异的判断方法。
3 归纳判断。归纳判断是从个别特殊事件中推出一般结论的审计判断方法。现代审计中,审计人员通过抽样,从总体中选取一定数量的样本进行测试,并根据样本测试结果推断总体特征。
4 演绎判断。演绎判断是从一般原理出发推演出个别结论的思维方法;从一般法律法规、会计原则和审计准则的要求,针对具体经济业务推断出具体业务是否合法、公允的结论,是从一般到特殊的判断方法。
(五)审计沟通方法
1 按照沟通环节可以分为:
事前沟通包括下发审计通知书、张贴审计告示、座谈会等;事中沟通包括个别谈话、资料交流、意见交流等;事后沟通包括结果沟通、审计报告意见征求、管理建议书、审计决定书、审计通报等。
2 按照沟通方式可以分为:
口头沟通有询问、会谈、调查、讨论、会议、征求意见等;书面沟通有问卷调查、审计通知书、内外审计协调报告、管理建议书、审计报告等。
3 沟通主要类型有:
语言沟通(书面语言和口头语言)、非语言沟通(肢体行为、眼神与动作)、人员沟通(审计人员与相关人员沟通,主要方式是倾听)、组织沟通(审计部门与上、下、左、右、内、外等部门沟通)。
(六)审计写作方法
1 运用主动语态。例如:“审计决定没有被管理当局执行”改为“管理当局没有执行审计决定”。
2 运用通俗语言。例如:“采购部门把业务上的低效率归咎于因预算资金欠缺而造成的人员缺乏。”改为“采购部门认为。由于雇不起采购员,他们完不成采购任务。”
3 语句和段落要短小。例如:“这些金额,即招待费、礼品费用、其他服务成本是可以免除的。”改为“这些金额是可以免除的,包括招待费、礼品费用、其他服务成本。”
4 尽可能使用图表以增强趣味性、可读性和灵活性。
(七)制度建设方法(约束与激励)
1 预防性控制制度。
预防性制度是事前控制,把错误与舞弊消灭在萌芽状态。例如:授权批准、职责分离、双重控制、付款前审核、招标投标。
2 检查性控制制度。
检查性制度是事中控制,把已经发生和存在的错误检查出来。例如:实物盘点、实地观察、编制银行存款调节表、相关单据核对、预算执行控制、成本控制。
3 纠正性控制制度。
纠正性制度是事后控制。把由检查性控制揭露出来的问题进行控制。例如:考核与奖惩。
4 补偿性控制制度。
补偿性制度也是事前控制,是针对某些控制环节的不足或缺陷而采取的控制措施。补偿性控制的目的是要排除损失、错误和舞弊。例如:岗位轮换、不定期盘点、突击检查等。
5 指导性控制制度。
预防性制度、检查性制度和纠正性制度是为了预防、检查和纠正不利的结果。指导性控制是为了实现有利结果而采取的控制,主要由管理层进行。
七、被审计人员心态剖析
(一)配合心态(服从心态)
热情接待,积极配合,大力支持,提供资料,全面、真实回答。服从审计结论。
(二)双重心态
表面积极,过度热情,态度和蔼,展示清白,背后设法抵制各种审计。
(三)规避心态(抵触心态、对抗心态)
不主动配合,不理不睬;不提供资料,不配合,不回答问题;避重就轻,百般抵赖;推卸责任,对抗到底。
(四)防范心态
认为审计是挑毛病、专门挑刺的行为,查出问题会影响单位声誉、影响领导个人发展前途,因此对审计人员不信任,心存防范。
(五)应付心态
对待审计既不积极配合,也不阻挠反对。按照规定程序进行,不冷不热,听之任之,任其审计,应付了事。
(六)厌烦心态
被审计单位业务繁忙。疲于应付各种检查和审计,对审计产生厌烦心态,因而不积极配合。
(七)干扰心态
转移、隐藏非法资产;拖延、拒绝执行审计决定;人情沟通、权力介入、利益交换;对审计结论提出不恰当质疑。
(八)从众心态
被审计单位对于审计整改意见持观望态度。“同类型问题,其他部门怎样整改我们也效仿。”
(九)侥幸心态
总认为自己可能不被审计到,即使抽查到了。也不一定就查出问题;即使查出问题,也不一定处理和追究责任。
八、审计人员心态剖析
(一)冲动心态
审计人员对审计项目了如指掌。热切期待,胸有成竹,跃跃欲试,心情激动。
(二)畏难心态
审计人员对审计项目预期艰难,被审计单位阻力大,心理压力大,对自己的审计能力产生怀疑。
(三)拖延心态
鉴于审计对象与审计环境的复杂性,审计人员难以自拔。不知所措。审计人员出于审计责任考虑,往往拖延时间。
(四)速成心态
审计人员对面对熟悉的审计项目急于求成,厌烦急躁,单凭主观判断和经验判断,不注意变化了的新情况。
(五)对抗心态
审计人员在审计实施过程中,主要是在面对重大实质问题和原则问题时,与被审计单位人员形成对立情绪,原则性有余而灵活性不足。
(六)批判心态
对待任何被审计事项,总是以批判眼光看待。总认为不真实、不合法;总认为被审计人员在欺骗,没有提供全部真实资料。
(七)放松心态
审计取证结束,问题已经查清,大功已经告成。不考虑审计结论的沟通,不考虑审计报告的写作和处理意见的提交。万事大吉,彻底放松。
(八)恐惧心态
由于审计项目给审计人员自身带来的人身安全、职位升迁、人际关系等方面的影响而产生恐惧。
(九)忧虑心态
对待查出的问题,能认真分析单位组织存在的风险,忧虑重重,责任心强,先天下之忧,考虑深层次的体制、机制与制度问题。
审计人员应该及时掌握被审计人员的心态,并适时调整自己的心态,运用恰当的审计方法做好审计工作。
;⑷ 内部审计的最全解读(2)
关于内部审计的最全解读
内部审计基本准则
第一章 总则
第一条 为规范内部审计工作,明确内部审计机构和人员的责任,提高内部审计工作的质量,根据《中华人民共和国审计法》、《中华人民共和国内部审计条例》及相关法律法规制定本准则。
第二条 本准则所称内部审计,是在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现。
第三条 本准则适用于各类组织的内部审计机构与人员,及其从事的全部审计活动。
第二章 一般准则
第四条 一般准则是指内部审计机构的设立及其职权、内部审计人员应当具备的基本资格条件和职业的要求。
第五条 内部审计机构设置应考虑组织性质、规模、内部治理结构以及相关法令的规定,并配备一定数量的内部审计人员。
第六条 内部审计机构应在其内部建立严格的质量控制制度,并积极了解、参与组织内部控制制度的建设。
第七条 内部审计人员应具备专门学识及业务能力,熟悉本组织的经营活动和内部控制,并不断通过后续教育来保持这种专业胜任能力。
第八条 内部审计人员应当遵循职业道德规范,并以应有的职业谨慎态度执行审计业务。
第九条 内部审计机构和人员应保持其独立性和客观性,不得参与被审计单位的任何实际经营管理活动。
第十条 内部审计人员应具有人际交往的基本技能,能以恰当的方式与他人进行有效的沟通。
第三章 作业准则
第十一条 作业准则是内部审计机构和人员在审计计划、审计准备和审计实施阶段应遵循的行为规范。
第十二条 内部审计人员在审计过程中,应充分考虑重要性与审计风险。
第十三条 内部审计人员应考虑组织的风险及管理的需要,制定审计计划,对审计工作做出合理安排,并报经主管领导批准后实施。
第十四条 内部审计人员在实施审计前,应向被审计单位送达审计通知书,并做好必要的审计准备工作。
第十五条 内部审计人员应深入调查了解被审单位的情况,对其经营活动及内部控制的真实性、合法性和有效性进行测试。
第十六条 内部审计人员可以运用座谈、检查、抽样和分析性程序等审计方法,获取充分、相关、可靠的审计证据,以支持审计结论和审计建议。
第十七条 内部审计人员在审计过程中应积极利用计算机进行辅助审计。在计算机信息系统下进行审计,不应改变审计计划确定的目标和范围。
第十八条 内部审计人员应将收集和评价的审计证据及形成的审计结论和审计建议,记录于审计工作底稿。
第四章 报告准则
第十九条 报告准则是内部审计人员反映审计结果,出具审计报告,以及内部审计负责人批准和报送审计报告时应遵循的行为规范。
第二十条 内部审计人员应于审计实施结束后,出具审计报告。内部审计报告的编制必须以审计结果为依据,做到客观、准确、清晰、完整且富有建设性。
第二十一条 内部审计报告应说明审计目的、范围、结论和建议,并可以包括被审计单位负责人对审计结论和建议的意见。
第二十二条 内部审计报告应声明系按照中国内部审计准则的规定办理,若有未遵循该准则的情形,审计报告应对其做出解释和说明。
第二十三条 内部审计机构应建立内部审计报告的审核制度。内部审计负责人应审查审计证据是否充分、相关、可靠,审计报告表述是否清晰,审计结论是否合理,审计建议是否可行。
第二十四条 内部审计机构在内部审计报告经主管领导批准后,应向被审单位下达审计意见书或审计决定书。
第二十五条 内部审计机构的审计报告是对被审计单位经营活动及内部控制的真实性、合法性和有效性的相对保证。
第二十六条 内部审计人员应进行后续审计,以确保审计报告所提出的审计结论和建议得到有效实施。
第五章 内部管理准则
第二十七条 内部管理准则是内部审计机构负责人管理内部审计工作,充分利用审计资源,履行内部审计职责,实现审计工作目标的规范。
第二十八条 内部审计机构负责人应确定年度审计工作目标,制定年度审计工作计划,编制人力资源计划和财务预算。
第二十九条 内部审计机构负责人应根据《中华人民共和国内部审计条例》和中国内部审计准则,结合本组织的实际情况,制定审计工作手册,以指导内部审计人员的工作,并作为监督、检查的依据。
第三十条 内部审计机构负责人应建立内部激励制度,对内部审计人员的工作进行监督、考核,评价其工作业绩。
第三十一条 内部审计机构负责人应保持与国家审计机关的联系,依法接受国家审计机关的监督和指导;应保持与民间审计组织的协调,并评价其工作效率。
第六章 附则
第三十二条 本准则由中国内部审计师协会负责解释,审计署颁布。
第三十三条 本准则自****年*月*日起施行。
内部审计职业道德规范
第一条 内部审计人员在履行其职责时,必须严格遵守中国内部审计准则及内部审计师协会制定的其他规定。
第二条 内部审计人员在履行其职责时,必须做到正直、独立、客观和勤勉。
第三条 内部审计人员在履行其职责时,必须保持廉洁,不能收受任何有损自己职业判断的有价值的物品。
第四条 内部审计人员必须保持应有的职业谨慎,只能开展那些在其专业胜任能力范围之内预期能合理完成的工作。
第五条 内部审计人员应诚实地为组织服务,不做任何有违忠诚性原则的事情。
第六条 内部审计人员必须遵循保密性原则,慎重地使用他们在履行职责时所获取的资料。
第七条 内部审计人员不得有意从事损害国家利益、本组织利益和内部审计职业荣誉的活动。
第八条 内部审计人员在审计报告中应真实地披露他们所了解的全部重要事项。
第九条 内部审计人员应不断接受后续教育,努力提高创新素质和创新能力,提高服务质量。
第一批内部审计准则公告
第1号 内部审计报告及其传递
第2号 内部审计工作底稿
第3号 内部审计证据
第4号 后续审计报告
第5号 内部审计计划
第6号 内部审计通知书
第7号 内部审计质量控制
第8号 对舞弊的预防、检查和报告
第9号 报告内部控制
第10号 内部审计与外部审计的协调
审计课程
内部审计标准
管理内部审计职能
内部审计专业实务标准
管理需要——内部审计的工作方法
道德规范
内部审计和公司治理
内部审计和审计委员会
内部部门的组织结构设计
举报方案和行为规则
与外部审计师合作
欺诈发现和预防
建立以风险控制为导向的内部审计流程
管理内部审计活动
内部审计组织与计划
沟通和批准
资源管理
指导和开展内部审计
工作底稿——记录内部审计活动
通过审计抽样搜样证据
审计报告与内部审计沟通
向董事会和高层管理者报告
各阶段过程的常用文书与表格
内审的技术方法与实战技巧
审查书面资料的方法
顺查法与逆查法
详查法与抽查法
客观实物证实方法
盘点、调节、鉴定
发现挪用公款、循环入账、暗炒期货的蛀虫
找到虚增库存价值,调节利润欺骗上级单位的幕后黑手
审计调查方法
观察、询问、函证、调查表
学会倾听的技巧
别被审计对象牵着走
分析性复核方法
内控控制符合性测试
舞弊与疏忽的防范
风险与控制自我评估
数据收集工具和技术
问题解决与决策制定
计算机化审计工具和技术
内部审计工具下趋势
HIPPA与日渐增长的隐私关注
持续性保障审计,XBRL和OLAP
内部审计质量保障与ASQ质量审计
控制自我评估
;⑸ 保险机构内部审计工作规范
保险机构内部审计工作规范2017
你知道什么是保险机构内部审计工作规范吗?你对保险机构内部审计工作规范了解吗?下面是我为大家带来的保险机构内部审计工作规范,欢迎阅读。
第一章 总 则
第一条 为规范保险机构内部审计工作,提高保险机构风险防范能力,根据《中华人民共和国保险法》、《中华人民共和国公司法》、《中华人民共和国审计法》等有关法律法规及行业规范,制定本规范。
第二条 本规范所称保险机构是指在中华人民共和国境内依法设立的保险集团(控股)公司、保险公司、保险资产管理公司、再保险公司及其分支机构等。
经保险监督管理部门批准设立的其他保险机构可参照执行本规范。
保险监督管理部门有IT审计专门规范和要求的,保险机构IT审计工作应从其规范。
第三条 本规范所称的保险机构内部审计是一种独立、客观的确认和咨询活动,它通过运用系统化和规范化的方法,审查、评价并改善保险机构的业务活动、内部控制和风险管理的适当性和有效性,以促进保险机构完善治理、增加价值和实现目标。
第四条 保险机构应健全内部审计体系,按照相关要求开展内部审计工作,及时发现问题,有效防范经营风险,促进公司的稳健发展。
第五条 中国保险监督管理委员会(以下简称“中国保监会”)及其派出机构根据法律、行政法规、监管规定以及本规范的规定,依法对保险机构内部审计工作实施指导、监督和评价。
第二章 一般原则
第六条 保险机构应建立与公司目标、治理结构、管控模式、业务性质和规模相适应,预算管理、人力资源管理、作业管理等相对独立的内部审计体系。
内部审计部门的工作不受其他部门的干预或者影响。内部审计人员不得参与被审计对象业务活动、内部控制和风险管理等有关的决策和执行。
第七条 保险机构内部审计的范围应包括所属保险机构及其直接或间接控制的境内、外保险分支机构和非保险子公司。
第八条 保险机构应逐步建立完善非现场内部审计监测、操作及管理功能在内的内部审计信息系统。鼓励保险机构探索创新内部审计科技手段和技术方法,提升内部审计的信息化水平和审计效率。
第九条 保险机构应建立完善内部审计质量控制制度和程序,系统实施指导、监督、分级复核和内部审计质量评估,定期实施内部审计质量自我评估,并接受内部审计质量外部评估。
第十条 保险机构应建立和实施内部审计人员录用、继续教育、培训、考核评价和激励约束等人力资源管理制度,确保内部审计人员具有与其从事业务相适应的专业胜任能力。
内部审计人员应通过后续教育和职业实践等途径,了解、学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保证和提升专业胜任能力。保险机构应保证内部审计人员平均每年不低于40小时的后续教育时间。
第十一条 内部审计人员应遵守职业道德,保持并提高专业胜任能力,诚信正直地实施内部审计,客观公正地作出审计职业判断,并遵循保密原则,按照规定使用其在履行职责时所获取的信息。
第三章 内部审计机构和人员
第十二条 保险机构应以制度形式明确董事会、审计委员会、审计责任人和内部审计部门及人员职责及权限,并统一制定各级内审机构和人员的管理制度,包括:岗位设置、岗位责任、任职条件、考核办法、薪酬制度、轮岗制度、培训制度等。
第十三条 保险机构董事会对内部审计体系的建立、运行与维护负有最终责任。没有设立董事会的,由保险机构法定代表人或负责人履行有关职责。
第十四条 保险机构应建立独立的内部审计体系,内部审计应垂直管理,鼓励有条件的保险机构实行内部审计集中化管理,进一步强化内部审计体系的独立性。规模较小或实行集中化管理的保险公司省级及以下分支机构,在满足内部审计工作需要的前提下,可不再设置单独的审计部门或岗位。法律法规对上市公司内部审计设置另有规定的,从其规定。
(一)内部审计垂直化管理是指保险机构分级设置独立的内部审计部门,总部对各级内部审计部门进行统一管理和计划安排,各级内部审计部门分级承担内部审计职责并上报审计结果。
(二)内部审计集中化管理是指保险机构设置专门的内部审计机构或部门,统一制定实施预算管理、人力资源管理、作业管理等内部审计管理制度,其他各级机构(含保险子公司及各分支机构)可不再设置内部审计部门和岗位。
(三)实行垂直管理的各保险机构审计部门人员应实施委派制,各级机构审计部门负责人的聘任、考核和薪酬应由上级机构或者总公司统一管理、逐级考核,被审计对象不应参与内部审计部门和内部审计人员的考核。
第十五条 保险机构应在董事会下设立审计委员会。审计委员会成员由不少于3名不在管理层任职的董事组成。已建立独立董事制度的,应由独立董事担任审计委员会主任委员。
审计委员会成员应具备胜任工作职责的专业知识和经验。
第十六条 保险机构董事会审计委员会在内部审计工作中履行的职责,包括但不限于:
(一)审核保险机构内部审计管理制度并向董事会提出建议。
(二)指导保险机构内部审计有效运作,审核保险机构年度内部审计计划、内部审计预算和人力资源计划,并向董事会提出建议,董事会审议通过后负责管理实施。
(三)审阅内部审计工作报告,评估内部审计工作的结果,督促重大问题的整改。
(四)评估审计责任人工作并向董事会提出意见,至少每季度一次听取审计责任人关于审计工作进展情况的报告。
第十七条 保险机构应设立审计责任人职位。审计责任人纳入保险机构高级管理人员任职资格核准范围,对董事会负责,向董事会审计委员会报告工作;同时负责与管理层沟通,并通报审计结果。
审计责任人由董事长或审计委员会提名,报董事会聘任。没有设立董事会的保险公司,审计责任人由管理层聘任。审计责任人不得同时兼任保险机构财务或者业务工作的领导职务。
审计责任人岗位变动要按相关规定事后向中国保监会报告。
第十八条 审计责任人应在任职前取得中国保监会核准的任职资格,符合以下条件:
(一)大学本科以上学历或者学士以上学位。
(二)从事审计、会计或财务工作5年以上或者金融工作8年以上,熟悉金融保险业务。
(三)具有在企事业单位或者国家机关担任领导或者管理职务的任职经历。
(四)中国保监会关于高级管理人员任职资格的其他规定。
第十九条 保险机构审计责任人履行的职责,包括但不限于:
(一)指导编制保险机构年度内部审计计划、内部审计预算和人力资源计划。
(二)组织实施内部审计项目,确保内部审计质量。
(三)向审计委员会报告,与管理层沟通,报告内部审计工作进展情况。
(四)及时向审计委员会或管理层报告内部审计发现的重大问题和重大风险隐患。
(五)协调处理内部审计部门与其他机构和部门的关系。
第二十条 保险机构内部审计部门履行的职责,包括但不限于:
(一)拟定保险机构内部审计制度。
(二)编制年度内部审计计划、内部审计预算和人力资源计划。
(三)实施年度内部审计计划,跟踪整改情况,开展后续审计。
(四)法律、法规、监管规定和保险机构确定的其他内部审计职责。
第二十一条 保险机构应配备足够数量的内部审计人员。专职内部审计人员数量原则上应不低于保险机构员工人数的5‰,且配备专职内部审计人员不少于三名。
其中持有注册内部审计师、注册会计师等证书或具有与会计、审计、信息技术、投资等内审工作相关的中级以上专业技术资格的人员应不低于专职内部审计人员的35%。
第二十二条 内部审计人员应具备相应的专业从业资格:
(一)专业水平。内部审计人员应具备大学本科及以上学历,掌握与保险机构内部审计相关的专业知识,熟悉金融保险相关法律法规及内部控制制度。
(二)道德准则。内部审计人员应具有正直、客观、廉洁、公正的职业操守,且无不良记录。
第二十三条 保险机构总经理应确保内部审计部门的独立性及履职所需资源与权限。内部审计部门和内部审计人员履职所需的资源,包括经审计委员会批准的内部审计预算和人力资源计划,以及必要的办公场地、系统、设备等。内部审计部门和内部审计人员履行职责时享有下列权限:
(一)实时查阅与被审计对象经营活动有关的文件、资料等,包括电子数据。
(二)参加或者列席保险机构经营管理的重要会议,参加相关业务培训。
(三)有权进行现场实物勘查,或者就与审计事项有关的问题对有关机构和个人进行调查、质询和取证。
(四)对可能被转移、隐匿、篡改、毁弃的相关资料、资产,有权采取相应的保全措施。
(五)对内部审计发现的违反法律、法规、监管规定或者内部管理制度的行为予以制止,对相关机构和人员提出责任追究或者处罚建议。
(六)向董事会或者管理层提出改进管理、提高效益的.意见或建议。
第二十四条 保险机构监事会可以对内部审计工作进行指导和监督。
第二十五条 对于认真履职并发现重大案件、揭示重大风险的内部审计人员,经审计委员会批准后,保险机构可给予特别嘉奖。
第二十六条 实行内部审计集中化管理的保险集团(控股)公司,其控股的保险子公司审计责任人应由母公司派驻。其他实行内部审计集中化管理的保险机构,可按照独立法人主体分别设置审计责任人。
实行内部审计集中化管理的保险机构,通过应用审计信息化平台、提升内部审计人员专业胜任能力、聘请中介机构承担内部审计项目等方式,基本满足内部审计业务需要的,专职内部审计人员数量可适当放宽至不低于保险机构员工人数的4‰。
第四章 内部审计作业管理
第二十七条 内部审计部门和内部审计人员应全面关注保险机构的风险,以风险为导向组织实施内部审计。
第二十八条 内部审计人员应充分运用重要性原则,考虑差异或者缺陷的性质、数量等因素,合理确定重要性水平。
第二十九条 内部审计部门应根据法律法规,结合公司发展战略,在风险评估的基础上,编制年度内部审计计划,审计重点、审计频率和频度应与保险机构业务性质、复杂程度、风险状况和管理水平相适应。
年度内部审计计划应包括监管制度要求的审计内容。
第三十条 内部审计部门和内部审计人员应严格按照规范的审计流程和适当的审计方法实施审计:
(一)根据年度内审计划,编制项目审计方案,做好审计项目实施前的准备工作。
(二)依照公司制度,在实施审计前一定时间向被审计单位或者被审计人员下发审计通知书。特殊情况下,审计通知书可以在实施审计时送达。
(三)按照项目审计方案,运用审核、观察、监盘、访谈、调查、函证、计算和分析程序等方法,获取相关、可靠和充分的审计证据,并在审计工作底稿中记录审计程序执行过程、审计证据与结论。实施内部审计的人员不得少于2人。
(四)按照审计质量控制制度和程序,及时编制、复核、报送审计报告。
第三十一条 内部审计部门应在实施必要的审计程序后,及时出具审计报告。审计报告应当符合以下要求:
(一)客观、完整、清晰、简洁,具有建设性并体现重要性原则。
(二)包括审计概况、审计范围、审计内容、审计方法、审计依据、审计发现、审计结论、审计意见或审计建议。
(三)不得有虚假记载、误导性陈述和重大遗漏。
第三十二条 内部审计部门应建立健全审计报告分级复核制度,明确规定各级复核人员的要求和责任。
第三十三条 内部审计部门应建立健全审计质量控制制度和程序,将审计结果形成审计报告,征求被审计对象的意见后,报送审计责任人或其授权人员签发,并发送至被审计对象和适当管理层,审计责任人对审计报告负有最终责任。
第三十四条 内部审计部门应建立健全内部审计档案管理制度,整理、立卷、定期交档案管理部门或者档案工作人员集中妥善保管内部审计档案资料,自审计报告之日起计算,不得少于五年。
第三十五条 内部审计部门应建立健全内部审计项目外包管理制度。根据工作需要,经董事会或管理层批准后,内部审计部门可以聘请外部机构承担内部审计项目。所聘请的外部机构应具备足够的独立性、客观性和专业胜任能力,并遵守本规范中有关审计作业管理的规定。董事会或管理层应当对外部审计机构的独立性出具书面意见。委托外部机构开展内部审计的,应向保监会报告。
第三十六条 鼓励内部审计人员在不承担管理职责的前提下,充分发挥独立、客观、专业的优势,通过提供建议、培训、增值服务等咨询活动,改善保险机构的业务活动、内部控制和风险管理。
第五章 内部审计结果运用
第三十七条 保险机构董事会和管理层应采取有效措施,确保内部审计结果得以充分利用。
内部审计结果包括审计结论、审计意见或审计建议、咨询活动结果等。
内部审计结果可作为中国保监会及其派出机构日常监管的参考依据。
第三十八条 保险机构应对审计发现问题及时组织整改,并按规定严格追究相关责任人的责任。
对审计发现问题未按照要求及时进行整改处理的,保险机构应对有关负责人问责。
第三十九条 保险机构在考核经济目标、任免所属单位负责人之前,应将内部审计结果作为重要依据。保险机构任命分公司及以上主要负责人之前,应听取审计责任人的意见。
第四十条 被审计单位应承担未及时纠正审计发现问题所产生的责任和风险。内部审计人员应履行法律法规赋予的职责和权力,通过后续审计跟踪评价被审计单位管理层所采取的纠正措施是否及时、合理、有效,并可将后续审计作为下次审计工作的一部分。
第六章 内部审计监督
第四十一条 中国保监会及其派出机构依法对保险机构内部审计工作实施指导、检查和评价:
(一)实行内部审计集中化管理的保险机构,由中国保监会统一指导、检查。
(二)实行内部审计垂直化管理的保险机构,由中国保监会协同派出机构实施对口指导、检查。
(三)中国保监会根据本规范,组织开展对保险机构内部审计工作的评价。
第四十二条 保险机构应按照以下要求向中国保监会报告:
(一)每年5月15日前向中国保监会提交上一年度的内部审计工作报告,报告中应包括公司年度审计工作计划和内部审计工作总结。
(二)及时向中国保监会报告审计中发现的重大风险问题。
(三)内部审计机构对省级分公司及其分支机构的审计报告,由省级分公司在报告完成后10个工作日内报送当地保监局。
(四)保险机构对内部审计中发现的重大问题未予有效整改处理的,审计责任人应直接向中国保监会报告相关情况。
(五)中国保监会要求的其他事项。
第七章 内部审计责任追究
第四十三条 保险机构董事和高级管理人员在组织实施内部审计工作中有如下情形的,中国保监会将依照相关规定追究责任:
(一)保险机构董事会未按照本规范第十三条有效履行职责的,中国保监会将追究保险机构董事会相关人员责任。
(二)保险机构审计委员会未按照本规范第十六条有效履行职责的,中国保监会将追究审计委员会成员的责任。
(三)保险机构审计责任人未按照本规范第十九条有效履行职责的,中国保监会将追究其责任。
(四)保险机构总经理未按照本规范第二十三条有效履行职责的,中国保监会将追究其责任。
(五)保险机构未及时按照本规范第三十八条的规定对审计发现问题问责的,中国保监会将追究管理层及相关董事的责任。
第四十四条 审计人员有下列情形之一的,保险机构应进行处理:
(一)对于保险机构发生须追究责任的案件,根据中国保监会有关规定,保险机构在追究直接责任人和间接责任人的责任之外,如存在内部审计人员因严重过失未能揭示相关风险的情况,应对相关人员予以追究责任,但有证据表明其已经履行了岗位职责的除外。
(二)对于滥用权力、徇私作弊、隐瞒问题、玩忽职守、泄漏秘密的内部审计人员,保险机构应依照国家和保险机构有关规定进行处理;涉嫌犯罪的,依法移交司法机关。
第四十五条 被审计对象有下列情形之一的,保险机构应及时制止,严肃处理有关单位和人员,并追究相关人员管理责任和间接责任:
(一)拒绝或者不配合内部审计工作。
(二)拒绝、拖延提供与内部审计事项有关的资料,或者提供资料不真实、不完整的。
(三)打击报复或陷害审计人员。涉嫌犯罪的,依法移交司法机关。
第八章 附 则
第四十六条 除另有说明,本规范所称“以上”“以下”含本数。
第四十七条 保险机构应依照本规范制定实施细则。
第四十八条 本规范由中国保监会负责解释。
第四十九条 本规范自发布之日起施行,中国保监会2007年4月9日发布的《保险公司内部审计指引(试行)》(保监发〔2007〕26号)同时废止。本规范颁布之前有关保险机构内部审计工作的规范性文件与本规范不符的,以本规范为准。
;⑹ 企业内部审计方式和方法有哪些
内部控制相关审计程序和方法问题讨论
(一)内部控制审计程序概述
为了论述方便,首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计,不可能都针对整个内部控制系统进行,更多情况是对其中部分展开。按照涉及内部控制的范围,大致可分为如下三类:1、业务循环内部控制审计,所谓业务循环内部控制是指对某个业务循环实施的控制,这种审计按照经济组织的业务纵向展开,专门审计业务循环内部控制;2、非独立部门内部控制审计,这种审计专门针对某个不独立的部门或机构所涉及的内部控制,所谓不独立,是指财务上不独立,没有独立的财务机构,也不单独核算;3、独立单位内部控制审计,这种审计是对经济组织所属的独立单位的内部控制进行审计,独立单位是指财务上独立的,可以是投资中心或利润中心,也可以是子公司,单独设置财务机构的分公司,它们自己本身可能有一套内部控制,同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点,但在审计程序上,由于独立单位内部控制审计相对较复杂,程序最全面,因此以下即以其为蓝本讨论。
内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处,因为毕竟两者都是以内部控制为焦点而展开,但由于服务的目标不一致,在程序上也有差别。内部控制评价程序一般是:1、了解与记录内部控制;2、初步评价控制风险;3、实施符合性测试;4、评价内部控制的强弱。作为一种单独开展的审计,了解经济组织的基本情况这些准备工作是必须的,因为对内部控制需求越强烈的经济组织,其规模越大,这是必然的;在大规模的组织里,管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件,否则无从下手。同样大规模的组织内既存在针对整个组织的控制,也存在针对某个部分或某个下属机构的控制,内部审计人员也不可能都熟悉,因此了解内部控制也是必须的。在了解内部控制阶段,还必须初步分析所了解信息,以初步确定内部控制的健全性和有效性,规划要实施的符合性测试程序。接下来与内部控制评价程序一样,实施符合性测试,以获得遵循性的评价,同时最终确定健全性和有效性。最后归纳总结审计结果,提出审计报告。
总结上述,本文认为内部控制审计程序为:1、了解基本情况;2、了解内部控制;3、实施符合性测试;4、提出审计报告。下面即以该程序为主线展开讨论,其中提出审计报告在内部审计报告中讨论。
(二)了解基本情况
了解基本情况,是了解所要审计内部控制所涉及单位的基本情况,这些情况是展开审计的必要准备和基本条件,影响着整个审计的过程和结果。这些基本情况包括:1、单位所属的行业和历史沿革(着重于管理沿革);2、单位组织结构、各机构的人员规模和岗位结构;3、单位资产规模、生产经营或专业服务的特点规模;4、主营业务及辅助业务类别、业务量;5、财务会计机构及其工作组织;等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。
基本情况获得后,审计人员就要适当利用自己专业判断,确定以下内容:1、业务循环及其大致内容;2、必须控制的重要或经常发生的业务;3、内部控制应有的严谨程度;4、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程,确定的是审计展开的主线;重要或经常发生的业务是必须控制的,确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的,规模较小的单位内部控制程度就相应较低,衡量标准就不能太高,实际这就是确定衡量标准的问题,提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行,保证审计质量。
下一步工作是制定审计总体计划,其主要内容就是上述基本情况获得后审计人员所确定的内容,主要包括审计的范围,即业务循环及内容,审计的重点,即必须控制的重要或经常发生的业务,审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。
需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001年财政部发布的《内部会计控制基本规范》(征求意见稿)中提出,“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”,其中这些经济业务就是基本的业务循环划分,但目前有多样化的趋势,国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线,了解内部控制和符合性测试都按照它来组织,因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分:1、覆盖单位所有业务及其各个环节;2、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程;3、有利于审计的组织安排。
(三)了解内部控制
了解内部控制的内容
要了解内部控制,首先要解决内部控制的构架问题。1988年美国AICPA提出内部控制结构即控制环境、控制结构和会计系统,我国独立审计准则即采用这种观点。1994年COSO报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展,在内容上进一步完善,在内部环境上更注重员工的素质,增加风险评估强调要实现目标就必须分析相关风险,构成风险管理的基础,将会计系统扩大为信息与沟通,更强调信息的内部传达,增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面,更加接近内部控制的本质认识,而内部控制的建设要以先进理论为指导,与实际情况相结合,因此本文认为,在我们目前的条件下,我们应采用COSO报告的观点,以它的框架为指导,同时鉴于我国目前内部控制落后的情况,应更加注重控制作业和监控,即如何建立起健全有效的控制程序与政策以及它们的实际执行,在控制作业完善的带动下,风险评估和信息与沟通也逐步完善,同时逐步转变管理观念,提高员工素质,建立起合理的法人治理结构和具体组织结构,使控制环境得以改善。
由于内部审计充当监控的主要角色,内部控制审计就是履行监控的职责,因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险,对它进行评估后设置相应的控制作业来控制,而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险,实现控制目标,实际就是风险评估过程,因此风险评估不做了解,而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策,为了理解直观起见,本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统,因此信息与沟通可以合称为信息系统。总结上述,本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。
如上所述,了解内部控制以业务循环为主线展开的,即按业务循环逐个循环了解,这些循环构成单位整体,这是横向的;同时针对每个循环的控制,分别去了解它控制环境、控制程序与程序、信息系统,这是每个循环的控制的纵向构成,是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。
了解控制环境是了解影响内部控制其他要素的因素,提供内部控制构成基础好坏的证据,同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容,按照COSO报告,控制环境包括:1)、员工的诚实性和道德观;2)、员工的胜任能力;3)、董事会或审计委员会;4)、管理哲学和经营方式;5)、组织结构;6)、授权和分配责任的方式;7)、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的,其中第3点是针对整个单位,实际在了解基本情况程序中就已进行。
了解控制程序与政策,就是了解控制目标实现风险所采取的措施,它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业,而每个作业都要设置若干控制程序和政策来控制,我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段,已经取得了业务循环大致内容的了解,在了解控制程序与政策阶段,应进一步了解,去获得足够信息来进一步确定业务循环内的各个作业,然后针对每个作业,去了解所采取的控制程序与政策。
了解信息系统只要是了解单位内外部信息记录载体,以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料,内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。
进行内部控制的了解可采取的方法与内部控制评价程序中的一样,大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。
初步分析健全性和有效性
在对内部控制获得了解后,就可以对其健全性和有效性进行初步分析,以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉,而重要或经常发生的作业则在了解控制程序与政策中已了解,通过了解控制程序与政策能知道它们是否设置控制。
初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标,然后再分析所了解到的控制程序与政策,看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。
初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试:1)对业务循环或关键控制点的控制初步评价为无效;2)在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循;3)在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循;4)虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试:1)相关业务大量发生的业务循环或关键控制点的控制;2)相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制;3)控制程序相对复杂的控制。规划结果应记入审计计划,并对审计计划做相应调整。
记录内部控制
制度基础审计理论中记录内部控制的方法主要有:文字叙述,调查表,核对表,流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录,一般是文字叙述,按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。
记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用,但以调查表最为常用。在本文中,即讨论调查表改进和特殊运用。
一般,调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的,但对于内部控制审计,本文认为,鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况,调查表应该引入标准内部控制作为导引,以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如2001年财政部发布的《加强货币资金内部控制的若干规定》(征求意见稿),就是标准的内部控制。对于各类型单位共有的业务或作业,如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业,如生产循环、销售及收款等主要针对制造业,则由行业主管部门或行业协会分别制订,供不同行业采用。在调查表中引入标准内部控制,要从权威部门制订的针对各业务或作业的标准内部控制中,按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策,作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制,对单位特殊的控制程序和政策可能就无法调查得到,而那些控制也是很重要的,因此有必要将调查表与文字叙述结合起来,加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行,用来记录单位的特殊做法。
(四)符合性测试
1、符合性测试的实施
符合性测试包括设计测试和执行测试,设计测试即健全性和有效性测试,执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步分析,但由于了解阶段获得的信息可能不彻底,如通过询问得知对投资业务的控制,但是讲述人所述是否真是如此,是否全面,需深入了解,还由于有效性健全性初步分析结果需进一步获得证据确证,如通过分析认为对某控制点设置的控制能达到控制目标,但这个判断是否正确,还需要进一步了解实际情况,因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体,主要是检查内部控制是怎样执行的。
进行内部控制设计测试,主要要做如下工作:1)更深层次地了解单位的内部控制,作出更准确的健全性和有效性评价;2)获得进一步支持健全性和有效性初步评价结果的证据;3)检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试,要特别注意如下事项:1)对业务循环和关键控制点设计的控制是如何具体组织应用于实际的;2)控制是否一贯执行;3)是否由控制规定职务的人来执行,其中后两个是重中之中。
《独立审计准则第5号——内部控制与审计风险》中提供了三种符合性测试方法,即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制,三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主,同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重,而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者,检查控制信息载体就能了解到这两者,在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体,即针对每个业务循环所涉及的单证、报告、合同等控制信息载体,抽取其中部分,检查执行各个控制点下各个控制程序与政策留下的记录,推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行,基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定,样本采用随机选样或系统选样的办法选取。
2、遵循性评价
遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念,遵循与不遵循只是它的两个极端,本文认为对遵循性的评价应采取评级的办法,以更好的反映遵循程度。遵循性级别最好分为四个到六个等级,等级太少难于准确衡量遵循程度,等级太多难于把握等级之间的差别,由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见,如遵循性分为A、B、C、D四个级别,被评为A级的,提出执行较好的意见,B级提出应加强的意见,C级提出应重点加强的意见,D级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果,同时综合考虑通过观察询问得到的控制应用于实际的情况,运用自己的专业判断,评判其遵循性级别。
本文认为,评定级别只是一种手段,重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标,而发现控制具体应用于实际中存在的问题,以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。
3、健全性和有效性评价
通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据,又可能获得确证初步评价结果的证据,因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料,对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。
健全性评价主要针对重要或经常发生的业务或作业,主要应注意三种情况:1、控制文件中没有规定控制,测试程序中也未发现实施了控制;2、控制文件中没有规定控制,经询问相关人员得知设置了控制,但经测试没有实施控制;3、没有控制文件,其他了解方法也不能得知是否设置控制,但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见,后一种应认为实际是健全的,但应提出健全控制文件的建议。
有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况,对采用了标准内部控制的也要做简要分析,因为标准内部控制可能不适于单位,而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标,本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定,如对现金收入的控制程序,根据保证资产的安全完整目标,分析确定其目标为保证现金收入以真实金额真正流入单位,根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录,根据提高运营效率确定目标为提高现金流入单位的速度,根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应,有些系统目标对某些控制点可能不适用,如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关,根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。
对测试过程中发现的重大财产损失、效率低下、违法事件等问题,应特别注意分析其控制健全性和有效性原因,如果是因健全性和有效性导致的,那么这些问题既是健全性有效性初步分析的确证,又是分析评价和提出建设意见的重点。
健全性有效性评价的重点在意见的提出,是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体,分析的过程中意见也就可以有针对地提出,而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程,主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的,都是内部控制建立的方法,因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。
关于内部控制建立的具体方法本文不再详述,只提出一点意见。本文认为,在健全意见和有效性改进意见提出的过程中,应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及,为配合政府推动内部控制建设,对于特定业务或作业,应注意运用相应的标准内部控制,并与自己的实际情况结合起来,以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述2001年我国财政部发布《内部会计控制基本规范》(征求意见稿)中有规定,它们是:1)组织规划控制,包括合理的组织机构设置和不相容职务设置,不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查;2)授权批准控制,包括确立合理的授权批准范围、层次、责任和程序;3)文件记录控制,包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统,或类似的文件,以及这些文件的宣传认知;4)预算控制,包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系;5)财产保全控制,包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险;6)职工素质控制,包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘;7)风险抵御控制,包括筹资风险、投资风险、合同风险、信用风险的评估与控制;8)内部报告控制,包括生产报告、经营报告、财务报告、特殊事件报告,以及报告的处理;9)电子信息系统控制,包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制,输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。
(五) 内部审计报告
与其他审计报告一样,内部控制审计报告也是对审计结果的总结。在提出审计报告前,审计人员应重新检查在审计过程中获得的资料,做如下一些分析:1、是否了解研究了单位所有重要控制;2、所作分析判断是否得到了测试的证实或有足够的证据支持;3、是否遗漏了其他需要考虑的影响最终评价的客观事实;4、最后的健全性有效性遵循性评价是否适当,有足够的证据支持;5、出现了那些因内部控制导致的重大问题,哪些人员严重违反内部控制且已致严重后果;等等。审计项目负责人还要复核审计底稿,之后就着手准备撰写审计报告。
内部审计报告应突出重点,一些细节问题只要通知当事人或主管人员就可以,不必在审计报告中反映,还应便于理解,一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下:1、单位基本情况简介;2、内部控制体系介绍;3、内部控制健全性有效性遵循性评价及具体意见;4、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制,运行良好的不必反映。报告格式本文认为无须固定,只要能充分反映出上述内容即可。
审计报告应经过审计组的全体讨论通过方可,而且在定稿前应与所设计执行人或管理者沟通,听取他们对审计建议的意见。这样做主要是为了保证审计意见质量,使其能更好地得到执行。审计报告向内审机构主管报出。报告批准后,对于重大控制问题最高领导层还应组织听证会,组织人员落实审计意见。审计完成后内审机构应及时组织回访,以检查督促审计意见的执行。
内部控制审计在我国还是新事物,在加紧建设内部控制的大环境下,它的许多问题必须加紧讨论,得出统一认识,以促使其尽快更好地发挥出作用。