时间:2023-11-06 10:56:37
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇内部审计知识要素范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
木桶效应又称木桶原理或短板理论,是由美国管理学家彼得提出来的,其核心内容为:一只木桶的盛水量取决于最短的那一块木板的长度。木桶效应蕴含以下三个推论:其一,只有桶壁上的所有木板都足够高,木桶才能盛满水;其二,只要桶壁上有一块木板不够高,木桶里的水就不可能是满的;其三,只有木桶的底板、侧板自身有足够的结实度及相互之间有足够的紧密结合度,才能保证木桶盛水功能的完备,不漏水。木桶效应以人们所熟知的生活常识,形象、巧妙地揭示出整体优化面临的共性问题,即最佳结构选择问题:整体的实力和竞争力取决于整体内各部分有机组合而成的结构,结构的变化制约着整体的发展变化,最终导致整体性能的改变。木桶效应的形象生动及其蕴含的深厚哲理使得它被引用的频率越来越高、应用的范围也越来越广。木桶效应中的“木桶”不仅可象征企业或其内审机构等实体性组织;也可象征组织的某项职能,如内部审计职能。内部审计职能着眼于组织整体,较内部审计机构更为宏观,也是本文的立足点。如果将内部审计职能看作一只木桶,影响内部审计职能发挥的目标、组织、行为及管理等四大因素犹如组成木桶的四大板块,任何一个板块成为短板或存在漏洞,都会产生木桶溢出的负效应,制约内部审计职能发挥,因此,需要应用系统管理理论方法将这四大因素科学管理起来,避免短板或漏洞的产生,保障内部审计职能发挥。
二、内部审计的系统管理模式分析
系统管理理论,把管理对象看成是特定的系统,以系统思想为指导,以系统功能最佳为目标,运用系统管理方法,把握住系统的组成要素及要素之间的联系,对各要素进行高效率的计划、组织、指导和控制,及时调整和控制系统的运行,以实现系统全过程的动态优化管理,最终实现系统目标。根据系统管理理论,设计系统管理模式的一般方法是先进行系统的总体设计,然后进行各子系统或具体问题的研究。内部审计系统主要包括目标、组织、行为和管理等要素,各要素之间存在着错综复杂的内在联系,且各要素本身又是由若干子要素组成的子系统,构成一个完整的内部审计系统。
1.内部审计目标系统。
目标系统是内部审计所要达到的最终状态的描述系统。由于内部审计是隶属于企业内部的一项职能,企业的每一项职能都要围绕企业的核心目标而用力,国际及中国内部审计协会对内部审计目标进行了恰当定位,即为了组织增加价值并提高组织的运作效率,帮助组织实现其目标。可见,内部审计根植于企业目标而存在,为最终实现企业目标保驾护航。内部审计目标系统包含系统目标、子目标和可执行目标三个层次,其中系统目标即企业目标;子目标即开展的每一项审计项目的总括性目标,向上与系统目标衔接一致;可执行目标用于确定审计项目的详细构成,向上与项目目标衔接一致,应具有可操作性,便于审计人员具体执行,通过“自上而下”及“自下而上”双向控制,最终达到实现整个内部审计目标的目的。
2.内部审计组织系统。
内部审计组织系统是由参与完成审计工作、实现内部审计目标的个人和机构组成。内部审计组织系统具有开放性,在进行内部审计组织系统设计时,应考虑以下几点:一是把握突出内部审计的独立性和权威性原则;二是内部审计机构与董事会或者最高管理层的关系,根据第2302号内部审计具体准则规定,内部审计机构与董事会或者最高管理层存在组织隶属关系,应当接受董事会或者最高管理层的领导并向其报告,保持良好的关系,积极寻求其对审计工作的理解与支持,增强内部审计的权威性及审计工作开展的便利性;三是内部审计机构及人员相对于同层级管理机构及人员应具有相对的独立性和权威性,便于审计工作开展。
3.内部审计行为系统。
内部审计行为系统是由完成内部审计项目或任务、实现内部审计目标所有必需的内部审计活动构成的,包括审计目标、审计制度、审计计划、审计工作方案制定、审计项目实施以及审计建议落实等。这些活动之间存在各种各样的逻辑联系,构成一个有序的动态系统,设计内部审计的行为系统,应注意以下几点:一是应包括实现内部审计目标系统必需的所有工作,并将它们纳入计划和控制过程中;二是按照内部审计准则及制度实施审计项目,保证审计项目实施程序化、规范化;三是保证内部审计行为系统与企业内其他机构、部门及个人行为之间良好的协调。
4.内部审计管理系统。
内部审计管理系统是指为使内部审计达到应有的效果,对内部审计的目标、组织及行为系统所采取的控制措施总和。为最终确保内部审计目标的实现,内部审计管理系统从总体上应完成如下工作:一是对内部审计的目标系统进行策划、论证和控制,使之与企业目标相统一;二是对内部审计的行为系统进行计划和控制,使之符合内部审计准则及制度的规定,保障审计质量;三是对内部审计的组织系统进行设置、协调和指挥,使之保持相对的独立性和权威性,利于审计工作开展及审计目标实现。
三、结语
在分析风险管理审计准则出台的背景、内容及现阶段开展风险管理审计存在的制约因素基础上,提出了有效开展风险管理审计的一点建议。
关键词:
风险管理;内部审计;风险管理审计
中图分类号:F239文献标识码:A文章编号:16723198(2009)22018102
1 我国风险管理审计准则出台的背景
如今的西方多数大中型企业均已实施了不同程度的风险管理。根据德勤2003 年的调查, 80%以上的世界性金融机构已设立了风险管理师(CRO) 工作职位, CRO 职位比例居首位的为南美洲金融机构, 已达95%, 居末位的为亚洲金融机构, 仅为29%。在目前欧美的部分金融机构中CRO 的职位职能仍然由企业的风险管理委员会行使。普华永道2004 年对全球1 400 位CEO 进行了调查,其中70%的CEO 将发展与提高企业的整体化风险管理能力提高到他们当前工作内容的首位。调查还显示38%CEO 认为, 企业已经建立了行之有效的企业整体化风险管理体系, 另有46%的CEO表示将在1- 3 年内建立与发展企业整体化风险管理体系。
为了适应企业界的这种变化,更好地实现组织价值的增值。国际内部审计师协会(IIA)1999年6月对内部审计进行第五次定义。修订后的定义扩大了内部审计的范围,将它的工作目标延伸到包括风险管理、控制与治理程序,强调了内部审计对组织的重要贡献,标志着内部审计开始进入了风险管理审计阶段。风险管理审计反映了内部审计动态发展的基本趋势和变革倾向。
相比之下,我国企业的风险管理水平还处在初级阶段, 虽然近年来取得了长足的进步, 但就总体而言, 与飞速发展的客观经济形势仍不相适应, 呈滞后状态。近年来国内外上市公司出现的诚信危机, 有力地推动了我国企业风险管理的进程。企业管理当局已经意识到现在的社会也是一个风险全球化的社会。因此迫切需要建立起一套适合我国企业进行风险管理的指导框架。2006年6月国务院国有资产监督管理委员会颁布实施了《中央企业全面风险管理指引》(下称《指引》),该指引的颁行,可以看成是企业风险管理理论在我国大规模本土化的开始。
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号风险管理审计》(下称:风险管理审计准则),该准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
2 我国风险管理审计准则的内容及局限性
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
首先,可以看出该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万(10×50万=500万)。但是中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云波诡秘,而是在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
其次,对风险管理审计的认识依赖于企业进行风险管理实践时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。企业风险管理作为一种全新管理理念或管理框架的最终形成,是由美国发起人组织委员会(Committee of Sponsoring Organizations of the Treadway Commission,下称COSO委员会)在2004年9月提出的《企业风险管理――整合框架》(Enterprise Risk Management Integrated Framework,下称《ERM整合框架》)。这个框架是迄今为至企业风险管理最完善、最成熟的理论概括。国内中央企业在进行风险管理则是在《指引》的指导下并结合自身的实际情况开展的。《指引》对企业风险管理的目标、流程描述,与《ERM整合框架》中的描述大体相同。它将企业风险管理的目标设定为五个方面:一是将风险控制在与总体目标相适应并可承受的范围内;二是确保企业内外部实现真实、可靠的信息沟通;三是遵守法律法规;四是通过企业制度安排降低实现经营目标的不确定性;五是建立针对重大风险发生后的危机处理计划。这五个方面的目标,分别对应着《整合框架》提出的4个目标。它将企业风险管理流程区划为收集初始信息、进行风险评估、制定管理策略、提出实施解决方案和监督改进等5个阶段.分别对应着《整合框架》中的企业风险管理8大基本要素。所以风险管理审计准则中的风险管理概念要采纳《ERM整合框架》中广义的风险管理观点而非其1992年的《内部控制整体框架》中狭义的观点。
3 运用风险管理审计准则存在的制约因素
3.1 有关风险管理审计的法规及准则尚不完善
风险管理审计是从西方国家引入我国的,相关的法规及准则还不够健全和完备。我国内部审计准则正处于跟国际内部审计准则接轨的阶段当中,关于风险管理审计最主要的法规是2005年5月开始实施的风险管理审计准则,只是就风险识别、风险评估、风险应对进行风险管理审计作了原则性的规定,比较抽象,缺乏对风险管理审计操作的具体指导。其他有关风险管理审计的法规也比较缺乏。
3.2 企业管理观念落后,风险意识不足
随着企业外部经营环境的复杂化,领导层风险意识大大增强,认识到进行风险管理的重要性并着手建立自身的风险管理体系,但水平较低;同时尚未意识到内部审计机构开展风险管理审计的重大意义。在这样的风险管理观念里,很难有效进行风险管理,降低和避免风险带来的损失只能成为空谈。
3.3 内部审计在组织中的地位不合理
内部审计在组织中的地位影响其开展风险管理审计的效果。目前由于内审部门组织地位不合理,风险管理审计的开展变得异常艰难。有些企业将内部审计部门只设置在总经理层级之下,与其他职能部门同一级别。但企业总经理和以上的高层的职权高于内部审计部门,与内部审计部门的权力相抵触,这样在开展风险管理审计过程中,一旦高层发生舞弊或者重大决策失误就不易发现和解决,这样的情况下所进行的风险管理审计工作不仅难以保持内审人员的独立性与客观性,还存在着重大的审计风险,无法保证风险管理审计的质量,最终可能导致企业陷入危机。
3.4 内审人员知识结构单一、缺乏综合知识
风险管理工作的复杂性决定了内部审计人员知识的全面性,决定了内部审计人员必须具备复合型人才的素质,不仅要具备会计、审计专业知识,还要熟悉企业经营环境和生产经营过程,具备管理学、金融、计算机技术、工程制造、法律等多方面知识。我国内部审计人员专业结构中,会计、审计专业占绝对统治地位,而其他专业的工作人员在内部审计人员结构中所占的比例相对较小。知识结构单一不能适应风险管理审计对知识综合性的需求,风险管理审计难以开展。
4 有效开展风险管理审计的对策与建议
基于以上分析笔者认为,要实现有效的风险管理审计,要做到如下几点:
4.1 丰富与完善风险管理审计准则的内容
对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会2004年的《ERM整合框架》中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
4.2 加速推进国内企业的风险管理实践
企业风险管理理论和《指引》都是针对企业所面临的各类风险提出的,都只是一个理论框架和方向指引,没有统一具体的模式,在企业风险管理理论本土化的过程中应找到符合国内企业实际的切入点。每一个企业都有其特殊的行业特点,既有体制、历史传承、文化特色和企业员工队伍、管理当局的素质水平等。这决定了不同的企业在实施风险管理时应有不同的切入点或突破口,不能好高骜远,要从各自的实际出发,找准影响各自企业主要经营管理领域的不确定性来源,有针对性地进行企业风险管理实践。
4.3 全面提高审计人员素质
首先,要改变审计人员专业结构的不合理,培养高水平复合型的人才。其次,要加强培训,强化审计人员的逻辑思维和综合分析能力,提高审计人员运用数理统计模型、金融工程等先进方法进行风险管理分析的能力。
参考文献
[1]李瑛,李阳.新环境下的企业风险管理与风险导向内部审计[J].会计之友,2008(3):7071.
[关键词] 内部审计;有效性;上市公司;提升
[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194(2013)12- 0002- 03
内部审计有效性是指内部审计主体为促进组织目标的实现,所发挥其职能作用的程度,国外无论是理论界还是实务界对此的研究都值得我们去借鉴,当前,我国上市公司内部审计正步入规范化和标准化的阶段,因此,在追踪国外前沿研究的基础上,寻求内部审计有效性的提升方法和途径,对促使我国上市公司内部审计的质量的提高无疑具有较大的现实意义。
1 国外内部审计有效性研究综述
2001年,国际内部审计师协会(IIA)将内部审计重新定义为,“是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统化、规范化的方法,评价和改善风险管理、控制和治理过程的效果,帮助组织实现其目标”[1]。同年,IIA研究基金会也指出,客观性是保持一种不偏不倚的精神状态,反映的是内部审计小组和个体的特征。独立性是指环境中不存在任何破坏客观性的利益冲突,反映的是审计小组和个体所处的环境[2]。上述内部审计的新定义及其诠释,彰显现阶段的内部审计有效性必须围绕增加企业价值和改善企业运营目标加以提升,必须将客观性与独立性作为衡量内部审计有效性的基本准绳。
1.1 内部审计有效性的意义
追求内部审计有效性是内部审计的根本要求。Roussey(2000)在强调公司治理重要性的同时,指出内部审计能够改善公司治理过程,可帮助公司管理层采用更为恰当的会计系统和内部控制制度,进而促进公司绩效的提高。Felix(2001)对全球财富1 000强的70家公司的内部审计主管与外部审计合伙人进行问卷调查,结果表明,内部审计的质量对财务报表审计的贡献有显著影响,内部审计质量越高,外部审计费用就越低,同时还发现,内部审计质量、固定风险水平、内外部审计师之间的协调均对内部审计的贡献有显著的影响[3]。James(2003)也通过问卷调查认为,报表使用者认为向审计委员会报告的内部审计部门要比向高层管理者汇报更可能发现和报告财务报表的错误[4]。
1.2 内部审计有效性的基本判断
运用内部控制评价方法对内部审计有效性加以评价已为学界所推崇,内部审计有效性是内部审计工作实现其目标的程度,通过内部审计无效的表现可反观其有效性。一般认为,如果内部审计不存在重大缺陷,即可以认为内部审计有效,而只要内部审计存在一个重大缺陷,就可以认定内部审计无效。普华永道(2005)在其所的一份报告中,指出内部审计无效的典型状况,包括不能独立于管理层、审计范围受到限制、信息技术和资金管理等关键风险领域缺乏技术能力或经验,以及内部审计仅被作为控制职能而非作为对风险进行评估的监督职能等,并进而指出,如果出现上述情形中任何一种,内部审计可被认定为无效[5]。
1.3 内部审计有效性的影响因素
Dittenhofer(2001)认为,传统意义上的内部审计有效性的评价,应当按照内部审计准则的要求,通过内部审计的独立性、专业能力、工作范围、审计工作的业绩以及内审部门管理等若干方面进行评价。应考虑通过评价被审计对象的目标实现情况,如经营活动和控制活动是否运行有效,来评价内部审计有效性[6]。2003年,IIA与澳大利亚墨尔本皇家理工学院(RMIT)联合的《内部审计在公司治理和管理中的作用》的研究报告显示,多数内部审计人员认为内部审计的有效性取决于董事会和管理层成员的才干和人品。Mihret和Yismaw(2007)采用案例研究法对某高校的内部审计部门进行了研究,最后认为,内部审计有效性是内部审计质量、高管层支持、组织设置以及被审单位特征这4个因素相互作用的结果,其中内部审计质量和高管层支持等对内部审计有效性的影响最大[7]。Arena和 Azzone(2009)通过对153家意大利公司调查结果也表明审计队伍的规模、首席审计执行官与国际内部审计师协会的关联程度、内部审计活动采用风险评估技术的水平,以及审计委员会介入内部审计活动中状况,都将影响内部审计的有效性[8]。
2 我国上市公司内部审计有效性探析
2.1 内部审计有效性的影响因素
近年来,中国内部审计协会陆续了内部审计准则与实务指南,我国内部审计工作在法制化、制度化和规范化的研究中成果颇丰。规范研究成果中包括内部审计向治理审计、内部控制审计、业务全程审计、价值增值导向审计转变,内部审计在风险管理、公司治理和内部控制中作用的探讨等内容,而实证研究数据则侧重于内部审计设立动机、组织隶属情况及内部审计制度的执行效果等方面的检验。
2.1.1 内部审计的规模及其设立的隶属情况
刘国常和郭慧(2008)以我国中小企业板块2006年的30家上市公司为研究样本,考察了内部审计的特征因素以及内部审计的实施效果。研究发现,内部审计规模与公司子公司数量显著正相关[9]。刘红梅(2011)对2009年我国主板市场设立内部审计的909家上市公司内部审计的隶属关系进行了统计,发现隶属董事会或审计委员会的有663家,隶属总经理的有119家,隶属监事会的有8家,隶属财务总监的有2家,隶属其他的有34家,未披露的有83家,表明我国上市公司内部审计的组织隶属关系基本上能为充分发挥其独立性和权威性提供前提条件[10]。刘斌和石恒贵(2008)以2007年披露内部审计职能的703家公司作为研究样本进行了实证分析,结果发现审计委员会的有效性是影响内部审计外包程度的主要因素之一,即审计委员会未成立或未有效运作,公司越可能进行内部审计外包[11]。王玉蓉 等(2011)运用2006年到2008年的数据,对我国上市公司审计委员会有效性进行检验。发现审计委员会的设立和审计报告质量成正比,和盈余管理水平成反比,独立董事比例与审计委员会有效性成正比,表明我国上市公司审计委员会的设立对上市公司财务报告质量和盈余管理行为有显著的影响[12]。王玉兰和简燕玲(2012)对沪市2010年870 家上市公司的年报进行分析,以“是否设置内部审计机构进行内部控制监督”为标准加以统计,发现其中合规设置的公司有756家,不合规设置的公司有114 家,从而表明与上市公司未能意识到内部审计对内部控制的作用以及监管不力有关,上市公司内部审计工作涉及传统审计的多,而涉及风险管理、公司治理和内部控制的少[13]。
以上实证研究结果表明,我国上市公司内部审计的有效性主要与内部审计的规模、组织隶属情况以及审计委员会的设立有关,目前我国对上市公司审计机构设立重要性的认识亟待加强。
2.1.2 企业内部控制水平
内部控制水平在一定程度上影响内部审计的具体目标、工作范围和服务内容的拓展,也可能限制审计方法和审计技术的应用。据中国证券报2012年8月6日报道,自2006年到2011年,沪市上市公司内控报告从34份增加到427份,审计报告从34份增加到258份。报告显示绝大多数公司已经建立起符合自身特点的内控制度,体系建设取得显著成效,内控报告的可读性也有所提高。但多数公司存在未披露重大缺陷、重要缺陷和一般缺陷的具体标准,只是机械地照搬了评价指引中关于缺陷认定的原则性规定的问题,所披露的内控报告仍存在较多的“无用”信息,内控报告中关于“缺陷”的披露情况亟待改进。而从内控审计的基本情况来看,上交所427家披露内控报告的公司中,258家公司披露了内控审计报告。另据统计,2011年沪深交易所上市公司中,共有1 844家上市公司披露了内部控制评价报告,占比78.8%,较2010年上升2%。2011年度,共有941家上市公司聘请会计师事务所出具了内部控制审计报告,156家上市公司披露其存在内部控制缺陷。这表明我国上市公司内部控制评价报告披露比例呈逐年上升趋势[14]。总体上看,企业内控规范体系在2011年执行情况良好,但存在对内部控制的认识仍停留在查漏补缺、应对监管的层面,因而在内控建设过程中缺乏动力,导致企业内各层级人员在内控建设中局限于满足“合规”要求,此外,内控专业人才缺乏成为制约企业内控建设的瓶颈。
2.2 我国上市公司内部审计的实施情况
有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。刘国常和郭慧(2008)研究发现,与没有强制要求设立内审部门的深市主板公司相比,已设立内审部门的中小板上市公司在盈利状况、信息披露质量、审计报告意见类型3个方面均明显优于深市主板上市公司[9]。庄莹(2009)选择2007年深沪主板上市公司的数据作为研究对象,通过考察财务报告质量、内部控制有效性、外部监督机制3个方面与内部审计部门的设立及其隶属情况的关系,检验了上市公司内部审计监督职能的有效性,发现内部审计部门的设立及独立性与财务报告质量和内部控制有效性正相关,表明内部审计有效地发挥了监督作用[15]。陈武朝(2010)结合美国《萨班斯—奥克斯利法案》404条款实施初期内部审计无效案例、对内部控制有效性评价的关注点,以及我国《企业内部控制基本规范》的相关规定,指出审计师鉴证内部审计有效性的关注点包括独立性、胜任能力、任务和职责等3大内容[16]。田晓红(2010)根据截至2009年5月所收回的93个有效样本进行分析,发现职业品德要素、专业胜任能力要素与内部审计质量具有强的正相关性,咨询要素、工作分配要素、督导要素及监控要素与内部审计质量间接正相关,而考核与评价要素可能与内部审计质量正相关[17]。
综上,我国上市公司已经初步建立起符合自身特点的内部控制制度,体系建设取得显著成效,但多数公司的内控报告中关于“缺陷”的披露情况亟待改进。内部审计机构的设立及其所发挥的作用虽在逐步加强,但内部审计有效性尚显欠缺,亟待提升。
3 加强我国上市公司内部审计有效性的建议
内部审计有效性具体表现为审计程序、审计证据和审计意见的质量属性,即在执行内部审计程序,搜集内部审计证据与发表内部审计意见之间的内在关联性程度,随着内部审计职能的演进,内部审计有效性的评价呈动态发展的趋势。因此,当前我国上市公司内部审计有效性的提升,首先必须从以下几个方面入手。
3.1 提升内部审计机构的独立性和专业性
要保证内部审计有效性,客观上要求优化审计资源的配置,微观层面上则首先要科学合理地设置内部审计机构,明确内部审计部门的隶属关系。而要加强内部审计组织的独立性和权威性,就必须有效保证内部审计机构和人员在组织上与业务上保持实质性独立,首当其冲的是建立符合我国上市公司实际情况的审计委员会制度体系,对审计委员会的职权及其相关操作加以详细规定,并通过法律予以约束。与此同时,保障审计委员会中每一成员的独立性至关重要,在当前,通过薪酬制度的改进固然可避免审计委员会的“依附”和“傀儡”的不良境况发生,但提升审计委员会成员的专业胜任能力则更能保证该组织的独立性,实践证明,不具备较强的专业知识、业务技能和丰富的职业经验,就难以保证审计委员会的客观性和独立性。此外,作为检验和提高审计委员会有效性的有力手段,审计委员会的工作信息的披露必不可少,借此可以直接反映审计委员会的构成、监管、工作改进等方面的成效。
3.2 加强企业的内部控制
随着我国企业内部控制缺陷的认定标准的出台,内部审计报告的质量可望得以提高。基于内部审计与内部控制这种休戚与共的紧密关系,加强上市公司内部控制的有效性,无疑是其内部审计有效性提升的重要途径与方法。鉴于今后上市公司内部控制与企业风险管理联系日趋密切,尤其应重视将企业风险的防范和管理纳入审计范围。应当看到,尽管我国上市公司内控规范体系在2011年执行情况有了明显的进步,但将内部控制有效性仅停留在查漏补缺、应对监管的层面,对公司内控建设仅局限于满足“合规”要求显然不够,当务之急是提高上市公司内控人员的专业能力,包括对企业风险的防范与识别能力,对企业内部控制重大缺陷、重要缺陷和一般缺陷的判断水平等。
3.3 提高内部审计人员的素质和专业水平
内部审计人员个人的素质和专业水平直接影响内部审计有效性。如何使上市公司内部审计人员从事中、事后的查错防弊的核心理念向增加公司价值的服务理念转变过来,进而立足于公司治理、风险管理和内部控制对公司提供管理和服务,则是当前提高内部审计人员的素质和专业水平的关键之举。选择具备较高学历、具备会计或审计工作背景的人员固然重要,但随着信息化对上市公司各业务领域的全面覆盖,内部审计人员知识更新和知识面扩展迫在眉睫。①应当借鉴国外先进或成功的经验与做法,并结合我国上市公司的实际情况,制订内部审计人员操作的规范体系和业务流程;②快速提升信息化条件下的内部审计能力和操作技术,诸如开发非现场审计系统,掌握信息系统审计、内部控制系统审计和业务循环系统审计的基本流程和方法等;③开展上市公司内部审计人员的在岗培训,组织内部审计人员定期与不定期的业务培训,不断更新他们的专业知识,让他们了解国际内部审计协会等组织的新规则和新技术,通过鼓励他们积极参加国际注册内部审计师(CIA)、国际注册信息系统审计师(CISA)的等考试以提高自己的专业水平。
3.4 加大内部审计工作质量的控制
上市公司内部审计机构为提升其审计有效性,应当通过多种形式对其内部审计质量加以评估和控制。从形式上看,内部审计质量控制包括内部审计督导、内部自我质量控制与外部评价3种。这3种形式相辅相成,缺一不可。但在自我质量控制方面,如何根据公司自身内部审计环境和工作要求,在保证内部审计机构独立、客观的同时,促使内部审计人员遵守职业道德规范,严格按照内部审计准则实行操作规程,评估审计报告的使用效果,则是一个较难把握的问题。而对其中的内部审计项目质量控制,包括指导内部审计人员执行审计计划、监督内部审计过程、复核审计工作底稿等方面的控制,应当更多地借助现场审计软件和远程审计软件辅助加以进行,尽可能运用测试数据法(TD)、基本案例系统评估法(BCSE)、追踪法(Tracing)、综合测试工具(ITF)等持续审计的方法和技术对内部审计工作质量加以控制。
主要参考文献
[1]时现.内部审计学[M].北京:中国时代经济出版社,2009.
[2]Auditing Section Task Force of The American Accounting Association.Independence and Objectivity: A Framework for Internal Auditors[R].Altamonte Springs,FL: The IIA Research Foundation,2001.
[3]W L Felix,Jr,A A Gramling,et al.The Contribution of Internal Audit as a Determinant of External Audit Fees and Factors Influencing this Contribution[J].Journal of Accounting Research,2001,39(3):513-534.
[4]K L James. The Effects of Internal Audit Structure on Perceived Financial Statement Fraud Prevention[J]. Accounting Horizons,2003,17(4):315-327.
[5]PricewaterhouseCoopers.Sarbanes Oxley Section 404: A Summary of the Major Obstacles Facing Foreign Private Issuers(‘FPIs’)in Asia in Achieving S404 Compliance[R].2005.
[6]M Dittenhofer. Internal Auditing Effectiveness: an Expansion of Present Methods [J].Managerial Auditing Journal,2001,16(8):443-450.
[7]D G Mihret,A W Yismaw.Internal Audit Effectiveness:an Ethiopian Public Sector Case Study[J].Managerial Auditing Journal,2007,22(5):470-484.
[8]M Arena,G Azzone. Identifying Organizational Drivers of Internal Audit Effectiveness[J]. International Journal of Auditing,2009,3(1):43-60.
[9]刘国常,郭慧.内部审计特征的影响因素及其效果研究[J].审计研究,2008(2):86-91.
[10]刘红梅.内部审计组织模式的构建[J].商业会计,2011(9):55-57.
[11]刘斌,石恒贵.上市公司内部审计外包决策的影响因素研究[J].审计研究,2008(4):66-73.
[12]王玉蓉,梁邦平,李宗璋.我国上市公司审计委员会有效性检验[J].华南农业大学学报:社会科学版, 2011(4):76-84.
[13]王玉兰,简燕玲.上市公司内部审计机构设置及履行职责情况研究[J].审计研究,2012(1):110-112.
[14]中国内部控制研究中心,迪博企业风险管理技术有限公司.中国上市公司内部控制报告(2012)[R]. 2012.
[15]庄莹.我国上市公司内部审计有效性研究——基于监督职能视角[D].厦门:厦门大学,2009.
关键词:内部审计;风险;成因;防范
中图分类号:F239 文献标识码:A
一、内部审计风险定义
组织内部审计风险是指组织内部审计部门或人员在对经营活动审计发表不恰当的审计结论,如对存在重大的错误或漏报的会计报表以及违法乱纪行为未能正确披露,造成审计对象和与之相关方面遭受损失或损害,并由此引起审计主体承担这种责任的风险。构成内部审计风险的要素主要有四种,即固有风险、控制风险、检查风险和独立性风险。四个要素是紧密联系的,固有风险和控制风险的综合水平决定着审计人员可接受的检查风险水平,而审计人员的独立性风险又影响着检查风险。
二、内部审计风险的成因
由于企业所处的外部环境以及企业自身内部管理具有复杂性和不确定性,企业内部审计风险的成因种类可分为客观成因和主观成因两种。客观成因包括:企业内部控制制度薄弱、内部审计机构缺乏独立性、相关法律法规的不完善、审计对象的复杂性和审计内容的拓展等。主观成因包括:内审人员业务素质参差不齐、内部审计人员选用审计程序和方法的影响、内审人员的风险意识不强等。从这种分类可以看出,客观成因是内审人员自身以外的因素,主观成因则与内审人员自身有关。
(一)企业内部审计风险形成的客观原因
1、企业内部控制制度薄弱。企业的内部控制制度是内部审计所处的直接外部环境,内部控制制度的健全及被执行程度决定了内部审计风险的大小。健全有效的内部控制制度是及时发现和控制企业经济活动中发生的各种差错和舞弊的第一道制度保证,反之,就会增加差错和舞弊的可能性。因此,在不健全的内部控制制度下审计人员就会难以发现经济活动中存在的差错和舞弊,从而形成审计风险。
2、内部审计机构缺乏独立性。20世纪九十年代以前,由于我国大部分企业是国有企业,还带有很强的政府性质,因此只有在有关政府部门的行政干预下我国大部分企业才建立了内部审计机构,这带有很大的强制性,使内部审计工作很难正常开展,从而引发审计风险。九十年代之后,大部分企业形成了受董事会领导的内部审计制度或受监事会领导的内部审计制度,这两种内部审计制度具有一定的独立性,但与企业其他部门的地位平行,其独立性、客观性及权威性还是难以得到应有的保证,很难正常开展工作,从而容易引发审计风险。
3、相关法律法规不完善。目前,在我国不通层面的审计有不同的法律可依据。在国家审计层面,有《审计法》作为法律依据;在社会审计层面,有中注协颁布的《注册会计师法》可依据;而在内部审计层面目前只有审计署颁布的《关于内部审计工作的规定》和各部委颁布的相关规定可依据,法律级次明显偏低,法律强制力稍差,以这些规定来指导现代企业内部的审计工作明显存在着法律制度约束的不足。而且,当关于内部审计的规定与其他法规发生冲突时,明显处于弱势。显然,内部审计法律依据不充分、不健全,使得内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上影响了审计结论的权威性和正确性,缺少法律保障,因而增大了审计风险。
4、审计对象的复杂性和审计内容的拓展。随着经济的发展,现代企业组织的经营规模不断扩大,经营业务也日趋复杂,这使得内部审计的对象和内容日益复杂。一方面有些内部审计对象逐步发展为企业集团和大型的股份公司。被审计单位的会计信息资料也随着这些大型集团采用信息化管理变得越来越复杂,差错和虚假的会计资料掺杂其中,审计人员失察的可能性也随之增大,为内部审计带来了更多困难,审计风险随之增加;另一方面内部审计的范围从传统的财务审计拓展为效益、管理、经济责任审计、经营决策审计、经营风险审计、投资审计等。内部审计内容的拓展对内审人员的人员结构和知识结构提出了更高的要求,使得审计风险增加。
(二)企业内部审计风险形成的主观原因
1、内部审计人员业务素质参差不齐。审计人员的素质包括思想政治素质、职业道德素质、业务技能素质、工作态度及心理素质,审计人员素质的高低是决定审计风险大小的最重要的主观因素。只有内部审计人员具有相当的知识、技能和审计判断水平时,他才能出色地完成审计任务,这同时还需要这个审计人员有着良好的职业道德和责任心。但是,从目前我国内审人员的专业构成上看,大部分内审人员都只具有财务专业背景,他们对现代科学管理知识和其他相关的行业专业知识掌握的较少。从他们的思维方式上看,相当一部分审计人员改革创新意识比较弱,审计理念还停留在传统审计上,大局意识和风险意识不强,这些都会导致审计风险的出现。
2、内部审计人员选用审计程序和方法的影响。现代审计信息的数量随着企业信息化管理程度的加强而越来越多,内容越来越复杂,因此内审人员所采取的审计程序和方法是否科学、适用就会直接影响到审计质量,形成审计风险。由于被审计单位的实际情况各不相同,审计目的不同,采用哪些审计程序和选用哪些审计方法才能有效果,只能根据主观经验去判断,难以保证方法是否恰当。如果审计程序和方法选择不当,会遗漏一些重要的审计内容,也可能对一些审计内容进行误判,使审计结论与实际不符。就目前我国内部审计采用的制度基础审计方法来说,主要审计目的是“查错防弊”,较少运用新的以风险导向为核心的审计方法来防范和化解风险。这种审计方法弊端日渐突出,已不能适应当今复杂的经营环境,因为它过分依赖被审计单位内部控制制度的测试,本身就蕴藏着巨大风险。
3、内审人员的风险意识。许多企业的内部审计人员由于风险意识的薄弱在审计过程中缺少对审计风险的合理估计,在进行审计时对所发现的问题和疑点没有采取严谨的工作态度和合理的方法,没有完全遵守专业标准和职业道德要求,并且认为自身提交的审计报告不具有法律效力。在这些主观动因的基础上,内审人员就容易采取不恰当的审计程序和方法,或者错误地估计和判断审计事项,忽略重大错误或舞弊现象,导致发表与事实不符、甚至相反的审计报告,从而产生内部审计风险。
三、防范内部审计风险的措施
(一)加强内部审计法制建设。当前,世界上许多国家对内部审计都有专门的法律规范,国际内部审计师协会也制定了有关内部审计的实务标准。因此,完善和健全我国审计法规体系是防范企业内部审计风险的当务之急。国家应借鉴国外的先进经验抓紧制定、颁布适应现代内部审计不断发展要求的内部审计法规和内部审计业务准则,加强审计工作法制化、规范化建设,尽量减少审计工作的盲目性和随意性。
(二)保持内部审计的独立性。保持内部审计的独立性可以使内部审计师提出公正的和不偏不倚的专业判断,这对审计工作的恰当开展是必不可少的。如果内部审计部门隶属于监事会相对于隶属董事会或管理层而言可以充分保证其独立性。监事会由股东大会选举产生,代表股东大会对董事和经理的财务活动进行监督,并对股东大会负责。从组织结构看,监事会与董事会处于同一层次上。
【关键词】 内部审计; IT环境; 信息化
一、IT环境下的内部审计
(一)内部审计的含义
国际内部审计师协会(IIA)在内部审计职业实务框架(IPPF)中对内部审计的定义为:内部审计是一种独立、客观的确认工作和咨询活动,它的目的是为组织增加价值,并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,帮助组织实现其目标。
在IT环境下,企业要不断提高内部审计的战略高度,既要加强IT风险管理,又要顺应科技进步的潮流,加强计算机审计程序的开发与应用。因此,IIA在2009年更新的IPPF中新增了包括信息系统合规治理、信息系统审计风险评估在内的6项内部审计专业实务标准。除此之外,企业的管理者也应该加强对内部审计的重视程度,充分利用各种计算机辅助审计工具与技术,防范IT风险,加强公司治理。
(二)内部审计在企业治理中的作用
IIA倡导:现代企业内部审计通过介入企业的风险管理、治理和控制领域,以促进公司治理结构的完善,并提升企业的管理水平,完善业务流程控制,促进企业价值增加。可见,内部审计在公司治理、控制与风险管理中都发挥着重要作用。
1.内部审计是完善公司治理机制的重要内容,是创造公司价值的重要载体
同董事会、管理层、外部审计一样,内部审计也被认为是公司不可或缺的治理主体。一方面内部审计努力识别并预防风险,降低企业损失;另一方面在企业价值链的多个环节发挥作用,增加企业的经济附加值。
2.内部审计是完善内部控制的关键要素,对企业的风险管理具有重要意义
内部审计要检查企业内部控制的完整性和有效性,以便发挥内部控制的最大效用。同时,内部审计机构要加强与企业管理部门的合作,促进企业风险管理工作高效进行。
二、IT环境下内部审计的SWOT分析
(一)优势(Strengths)分析
1.制度优势
国内外许多法律法规都为IT环境下内部审计的发展提供了制度保障。《国际审计准则15——电子数据处理环境下的审计》,《国际审计准则16——计算机辅助审计技术》在审计人员的工作规范、技术能力,软件应用、效果效率等方面做了具体规定,进而对内部审计工作的开展具有重要的借鉴意义。在国内,《内部审计具体准则第5号——内部控制审计》明确规定了内部控制要素包括信息与沟通,要保证管理信息系统的安全可靠,并将其作为审查程序的重点。随着审计领域相关法律法规的不断完善,内部审计的发展具有明显的制度优势。
2.现实优势
IT引起的变革浪潮为企业内部职能的发展带来了革命性变化。信息技术在信息存储、分析数据等方面的优势,促进了审计软件与审计方法的更新与优化,实时审计成为可能。另一方面,信息技术的支撑推动了内部审计由传统的单一财务审计逐渐渗透到企业管理的各个领域,内部审计职能不断强化,在加强企业管理和提高企业经济效益方面发挥着积极作用,因而内部审计的探索发展也具备了现实优势。
(二)劣势(Weaknesses)分析
1.信息缺失
在信息时代,信息资源发挥着日益重要的作用,然而其也成为内部审计发展的制约因素。在企业的信息管理中,财务部门出于内部资源的安全性考虑,在一定程度上对内部审计部门获取财物信息具有排斥性,造成内审部门不能及时全面地获取相关财务信息,阻碍了审计实施,降低了审计效率,使审计效果大打折扣。因此,在IT环境下,要加大企业部门间的资源共享,不要让信息缺失影响内部审计职能的发挥。
2.人力资源不足
早期内部审计部门的主要职能是查错纠弊,财务会计专业背景的审计人员占了较大比重。随着内部审计职能的拓展,内审人员缺乏相关的计算机技能和经营管理知识,只依靠原有的知识技能是无法胜任IT环境下的审计工作的。虽然企业也在不断加大内审人员的职业后续教育,但仍与新环境下信息技术对内审人员职业素质的要求存在较大差距。
(三)机遇(Opportunities)分析
1.审计职能的拓展
内部审计产生初期,其主要职能是对企业内部财务资料进行审计,为企业查错纠弊提供合理化建议。审计职能并非一成不变,随着经济生活日趋复杂,科技迅速发展,内部审计逐步延伸到企业管理与公司治理的各个环节,不断拓展其影响的广度与深度。另一方面,信息技术的发展为内部审计业务拓展了新的领域,传统的财务审计业务逐步扩展到IT治理、IT控制、信息系统的设计与开发等领域,为内部审计职能的发挥提供了广阔空间。
2.审计质量的提高
信息技术的发展推动了审计软件在内部审计中的广泛应用,审计人员利用信息化的优势和先进的审计方式所带来的数据支持,大大提高了审计质量和管理水平。同时,现代计算机技术为审计工作实施适时监控提供了可能,充分利用审计软件的操作权限控制功能,对审计质量进行跟踪检查,大大提高了审计工作的质量与效果。
(四)挑战(Threats)分析
医院内部审计机构设置不完善,审计人员配置不足,人员专业素质不高,难以适应内部控制审计工作量大、专业性强的需求。据调查统计,2016年重庆市二级以上公立医院设置了独立审计机构者仅占65.1%,配备有专职审计人员者占56.6%,审计人员有大专以上学历者占54.2%,认为审计人员数量能基本满足工作需求的医院仅占12.0%[2]。内部控制审计工作量大,占用审计资源多。医院内部控制审计涉及的部门、岗位人员和业务环节多,审计的范围广,时间长。从理论上讲,对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多[2]。因此,审计人员实施内部控制审计需要涵盖较长的期间才能获取足够的证据。内部控制审计专业性强,对审计人员的综合素质要求高。审计人员除具备审计专业知识与技能外,还需了解与内部控制业务层面相关的国家法律、规章和制度等,要熟悉医院各部门的规章制度、职责权限和医院的信息管理软件等,同时,还需要具备管理、协调与沟通能力。医院内部审计机构开展内部控制审计者不足50.0%,且审计质量不高。据统计,2016年重庆市二级以上公立医院内部审计机构开展了内部控制审计的单位占43.0%[3],主要存在以下困难:(1)缺乏内部控制审计实施指引。中国内部审计协会至今没有制定有关内部控制审计的实务指南,原卫生部规划财务司编印的《卫生系统内部审计操作指南》第3章只对内部控制的部分项目审计要点进行了阐述,却没有对审计方法和审计流程做出引导。(2)审计人员缺乏内部控制审计的实践经验。审计人员在开展内部控制审计时普遍存在审不明、审不深、审不服的情况[4]。表现为审计范围不全面,审计依据不充分,对内控缺陷认识不足,分不清设计缺陷与运行缺陷,审计结论只触及表面现象,缺乏对问题背后风险控制和内部管理等方面原因的分析与挖掘[5]。存在委托中介机构代替内部审计机构开展内部控制审计的误区。不少医院认为内部审计部门没有能力开展内部控制审计,就委托会计师事务所实施。但内部审计机构和中介机构对内部控制的审计职责是有区别的,相互不能替代。《企业内部控制审计指引》明确要求“注册会计师完成审计工作后,应当取得经企业签署的书面声明”。声明企业已对内部控制的有效性做出自我评价,并说明评价时采用的标准以及得出的结论;企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告[3]。因此,医院在委托中介开展内部控制审计前必须先由内部审计机构对内部控制的有效性进行审计。
2医院内部审计机构开展内部控制审计的必要性
内部控制审计是内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动(第2201号内部审计具体准则-内部控制审计)。医院内部审计机构开展内部控制审计是职责所在,同时,也是医院实施内部控制必不可少的控制要素。
2.1内部审计是内部控制的重要组成部分
内部审计既是内部控制环境要素的组成,也是内部控制的监督要素,开展内部控制审计是运用内部审计的方式来改善医院内部控制效果[6]。
2.2审计机构是独立于内部控制管理机构的监督机构
按照《审计署关于内部审计工作的规定》的要求,内部审计机构需对本单位及所属单位内部控制及风险管理情况进行审计。通过审计能对单位内部控制管理水平有着一个直观的认识。与此同时,审计信息在一定程度上能对单位不同项目的经济价值与管理形式进行反馈,管理人员通过信息可以对财务活动的专业性与合法性进行确认[7]。
2.3内部审计机构开展内部控制审计是促进单位内部控制建设的必要手段
(1)在内部控制体系的设计与建设过程中提出审计建议。内部审计对医院管理机制和经济活动有充分的了解,在医院内部控制体系建设的过程中能协助内控管理部门开展风险评估,完善医院内部控制的制度、岗位职责和流程的设计。(2)在内部控制体系运行过程中开展日常审计,及时发现控制缺陷,提出整改建议。医院的经济活动较复杂,特别是大型医院内部机构和人员岗位多,业务范围广,风险点多,控制难度大。内部审计人员能随时深入到各部门和各业务单元了解内部控制的执行情况。当医院控制环境和经济业务变动时或重要岗位人员对制度与职责疏于执行,内部审计机构能够通过定期测试,及时发现这些变动对内部控制体系的影响,提出整改建议。(3)内部审计能平衡医院的管理成本与效益的关系,提出切实可行的建议。在内部控制建设中的重要性原则是平衡管理成本与效益的原则。内部审计能深入了解医院的资源的配置与战略目标的关系,在审计过程中既要保障对组织效率具有促进作用,还要控制审计工作带来的组织资源的消耗[8],可以提出与目标实施进程匹配,兼顾管理成本与效益的建议。
3医院内部审计机构开展内部控制审计的可行性
医院开展内部控制审计面临的最大的困难是内部审计资源匮乏。但通过科学合理的策划与布局,将内部审计机构具备的优势转化为有效的审计资源,实现与内部控制全过程、全领域、全时段的融合[9],不仅能弥补审计资源不足的缺陷,还能使内部控制审计工作取得显著的成效。
3.1目标协同,相互支撑
医院审计工作的目标与内部控制的目标均是以医院的战略目标为基础的。开展内部控制审计时将审计目标与内部控制目标结合可形成相互支撑、相互促进的有机统一体,共同为医院完善治理、增加价值与实现目标服务。
3.2主动参与,把握先机
审计人员参与内部控制体系的设计与修订,能充分了解内部控制框架中相关制度、职责、内部控制流程图和内控信息化功能与权限设置,既可为开展内部控制审计获取相关信息,又能及时提出审计建议,取得事前审计的成效。
3.3部门协作,资源共享
内部审计在不违背独立性的前提下与其他部门协作开展工作,可充分了解其他部门的工作方式,共享专业人员的知识与技能、缩短工作时间。如开展设备效益审计时可与设备科、财务科共同拟定设备效益分析的方案,选定分析指标与评价标准,然后各司其职,为审计工作提供分析证据与分析结论;开展风险评估时审计部门可协同内部控制管理部门、各业务部门共同实施,通过交叉评价,能理深入地识别风险。
3.4动态检测,持续追踪
审计部门可常态化对被审计单位业务运营进行持续监测,定期进行风险评估和专项分析[10],在内部控制运行过程中追踪控制的有效性,及时提出审计意见与建议,促进内部控制持续有效地发挥作用。
3.5点面结合,合理布局
内部控制审计可以实行日常的审计业务、专项调查与专项审计等业务的整合[11]。日常审计应突出重要性与时效性,通过监测内部控制重点环节的运行情况,及时发现控制缺陷,搜集审计证据;专项审计需全面覆盖,对内部控制各个层面进行系统的、全面的评价。利用日常审计与专项调查搜集的证据,可减少专项审计实施的工作量,既弥补了日常审计分散的缺陷,又实现了资源的合理利用。
4医院内部审计机构开展内部控制审计的实践经验
本院是一所市属三级专科医院,审计科只有2名专职审计人员。为有效利用审计资源,本院不断探索开展内部控制审计的方法与实施途径,借鉴行业内的先进经验,通过不断修改完善内部控制审计制度,调整审计方案,创新审计模式,实现了内部控制审计的规范化、系统化、常态化,提高了审计的质量与效率。
4.1明确审计目标,规范审计流程
内部控制审计的目标是对医院内部控制体系设计的合规性和运行的有效性进行评价。审计范围包括内部控制单位层面和业务层面所有的控制要素:(1)围绕内部控制审计的目标与范围,从审计计划的编制、审计项目方案的制定入手,明确年度工作总目标和阶段性工作的具体化,突出审计工作重点,增强计划的科学性[12]。(2)修改完善内部控制审计工作制度,规范内部控制审计的工作方式与工作流程。采取灵活多样的审计工作方式,如日常审计(事前或事中审计)、局部内部控制的专项审计(事中或事后审计)、全面的内部控制专项审计(事后审计)等。为确保审计工作质量,根据审计法规的要求,结合本单位的实际情况,针对不同的审计方式,制定了相应的工作流程与审计工作记录表单与审计意见反馈单。
4.2延展审计时间,扩大审计范围
针对内部控制运行的特点,采取日常审计与专项审计相结合的方式,于经济活动的事前、事中、事后合理布局内部控制审计工作,按重要性原则,分别确定日常审计与专项审计的重点,将审计工作深入到内部控制业务层面的重要控制环节,及时发现问题,提出审计建议,合理保证了医院内部控制有效运行。
4.2.1预算业务控制审计
预算控制包括预算的编制、审批下达、调整、执行、分析与考核、绩效评价等。日常审计的重点为参与预算编制与调整的审查,定期抽查预算的执行。专项审计的重点为预算编制与调整的依据与说明,预算批复与分解下达指标的执行情况、预算分析、预算考核与绩效评价等内容。
4.2.2收支业务控制审计
收支控制包括收入的记账、结算、缴款、欠费管理、收据管理,重大经济事项报批、支出授权审批流程、报销支付依据等;日常审计的重点为定期抽查收费人员缴款、收据稽核、应收账款的清理、重大经济事项的事前报批与支付审批流程;专项审计的重点为收入、支出等管理制度的执行情况,重大收支项目的执行过程与效果,收入与支出核算账目与核算依据等。
4.2.3合同控制审计
合同相关业务占到医院经济业务的80.0%以上,是内部控制审计的重点。合同控制包括对签约事项的立项审批、对合约方的确定方式(采购或指定等)、合同洽谈与审批、合同执行与归口管理等内容。日常审计的重点包括合约项目的立项审批、预算、采购、审核、合同条款的合法合规性等;专项审计的重点为合同的归口管理、合同签审流程、合同执行、变更、补充与纠纷处理、质保与后续服务等。
4.2.4政府采购业务审计
政府采购控制包含了采购预算、采购计划与实施过程等。日常审计重点包括各采购项目的预算与采购计划、采购文件、采购方式与采购过程等。专项审计重点为年度的采购预算与计划的制定与执行情况、采购制度的实施情况、采购档案的保管等内容。
4.2.5资产控制审计
资产控制包括资产的取得、使用、保管、处置等业务环节。日常审计的重点包括每季度抽查现金的收付与盘点、银行存款清理对账,抽查药品、材料物资的入库、领用、盘点与对账等工作的开展情况和信息系统的操作记录,检查应收账款的清理、对账等工作,监督资产处置流程;专项审计的重点包括资产管理制度与岗位人员职责的执行情况,资产的增减变动,贵重资产的取得与处置项目的论证、审批、实施过程,货币资金、固定资产与无形资产的使用效益与管理状况,应收账款的收回周期与坏账损失,固定资产的清查盘点等。
4.2.6建设项目审计
建设项目控制包括基本建设与维修的立项审批、概算、实施过程与竣工结算等。日常审计的重点包括项目的采购、合同签审与执行、设计变更、计价与结算、工程进度、跟踪审计与工程管理等;专项审计的重点包括对基建项目的立项审批、设计、概算、合同执行进度、付款进度、项目竣工决算、建设档案管理等。
4.3创新工作模式,提高审计效率
为有效利用审计资源,借鉴行业先进经验,结合医院的实际情况,设计了灵活多样的审计工作模式。
4.3.1多维度交叉审计
当审计对象涉及内部控制单位层面与业务层面的多个控制要素时采用多维度的综合测试,可获得多项控制业务中不同层面的审计证据,取得事半功倍的效果。如审计设备购置合同时涉及单位层面的要素包括决策机制、监督机制,涉及业务层面包括预算控制、采购控制、合同控制、资产控制等。
4.3.2业务链延伸审计
抽查某业务环节上的内部控制时对其上下业务链进行延伸审计,可获取多个业务环节的证据。如抽查库存物资时可延伸抽查采购申请、采购计划、采购方式、合同执行、验收入库、领用出库、库房盘点清查、库存积压、报废物品的处置等业务流程。
4.3.3点面结合审计
开展内部控制专项审计时根据审计目标,将审计对象按照审计作业面进行分类,然后梳理各个作业面的风险点及其内部控制要素,确定审计的重点与审计方法,进行取证确认;将日常审计和专项审计中分散的审计证据进行归类总结,提炼出与审计作业面相关的信息,形成审计要点的证据链,支撑审计作业层面的审计意见。
4.3.4风险导向审计
医疗卫生机构处于高技术、高风险、高难度的行业,任何活动均会带来相应的风险,且种类复杂、专业化程度较深[13],按《行政事业单位内部控制规范(试行)》的规定,医院至少每年组织一次风险评估。本院审计科与内部控制管理办公室及相关职能科室协作开展风险评估。对内部控制单位层面和业务层面的风险进行识别,对风险的影响程度进行评估,形成风险评估报告。根据风险评估的结果确定内部控制审计的重点,识别风险控制的缺陷,提出改进建议。
1、内部审计机构设置不合理,隶属关系不清。传统模式下的内部审计不适应新形式的发展,而新的内部审计准则、标准、工作流程等规范尚未建立或不完善,这些都导致了内部审计工作质量缺乏评价标准。我国企业的内审机构独立性差,甚至有的企业的财务部门的负责人兼任内审部门的领导,其监督制度形同虚设,导致隶属关系不清,监督不力。
2、内审的独立性和客观性受到限制。从我国现状来看,企业内部审计机构大多设置于管理层之下,在高层管理人员的授权范围内开展工作,为管理经营者服务,其内部审计的独立性和客观性不强,从而影响到企业内部审计的作用。
3、内审的工作范围过于狭窄。直到目前,我国企业的内部审计还仅限于财务领域,重点在检查财务数据的真实性和合法性的查错防弊上,很少触及经营管理的其他领域。
4、内审机构和人员设置不合理。我国企业集团内部审计人员大都是财会人员出身,其中不少没有接受系统的专业训练,缺乏足够的经营管理方面的知识与经验,因此使内审的重要作用无法充分发挥。
5、审计机关对内部审计发展推动作用的有限性。国家审计机关有权审计、管理和约束的是那些必须按国家有关规定建立健全内部审计制度的属于法定审计范围的各级政府及部门、国有的金融机构和企事业单位,而对上市公司及其他不属于国家审计法定范围的单位,特别是中小型民营企业而言,内部审计工作要不要开展以及如何开展则取决于其他有关政府部门和单位的内部管理需要。
二、内部审计的本质与职能
1、内部审计的本质。新的《关于内部审计工作的规定》(以下简称《规定》)指出:内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为,以促进加强经济管理和实现经济目标。定义中包含了内部审计的目标、职能、内容、本质等要素,而这几项要素是构建审计理论结构不可或缺的部分。
2、内部审计的职能。具体来说,现代内部审计具有监督、管理控制、评价鉴证、服务等四项职能。
(1)监督职能。企业内部审计的监督有两层含义:一是代表企业股东及董事会等决策层对本企业的会计机构及其他职能部门的经济活动进行监督,看其是否正确执行企业的经营方针政策,是否完成任务,不仅在于查错防弊,重要的是检查评价;二是业务上受当地政府审计厅局的业务领导,代表国家对企业的经济活动进行监督。
(2)管理控制职能。内部审计部门通过审计活动,对企业经营管理、生产、技术等各部门进行彻底的检查、取证、分析和评价,客观公正地做出结论,提出改进工作的意见和建议;协助领导进行科学的决策,强化内部控制,堵塞管理漏洞,提高经济效益。
(3)评价鉴证职能。内部审计的评价是内部审计人员依据一定的审计标准对经营活动及其绩效进行合理的分析和判断。评价过程的实质是针对审核、检查中发现的问题和缺陷进行评议,从而肯定成绩,指出不足的过程。评价是内部审计的核心职能。鉴证是对企业的财务管理及其经济活动的鉴证和证明,据以做出审计结论。
(4)服务职能。企业内部审计的服务职能有两层含义:一是要为本企业服务,对最高层负责,完成其指派的任务;二是为国家审计机关及企业上级行业主管部门服务,完成他们交办的工作。
三、建立和完善我国内部审计制度的对策
1、应加强内部审计的法律法规建设。从目前看,虽然《审计法》提出“要建立健全内部审计制度”,但《审计法》中的内部审计侧重于国家审计与内部审计指导与被指导关系,如何健全内部审计则“无法可依”。我们应该根据我国国情,借鉴国外的经验,制定出一系列切实可行的有中国特色的内部审计法规和条例,从法律层面上增强内部审计制度的健全。
2、确保内部审计的独立性和权威性。企业在设置内审组织机构时,应坚持独立性和权威性两条原则。独立性原则是内部审计区别于企业内部其他职能部门的重要标志。无论内部审计还是外部审计,离开独立性,审计结果将毫无意义。内审机构应由企业第一负责人直接领导,对其负责并报告工作;应独立于各职能部门,并对其进行监督;内部审计人员应与被监督对象无利益关系。这样,才能保证审计结果的真实、客观、公正,才能有效发挥审计作用。权威性原则体现在内部审计机构在地位和设置层次上的高低,地位和设置层次越高,权威性就越大,内部审计的作用就发挥得越充分。
3、进一步提高内部审计人员素质。企业经营环境的日益复杂和竞争的更加激烈,对内部审计人员的素质提出了更高的要求。因此,我们必须加强对内部审计人员素质的要求,内部审计人员不仅需要精通财务会计,还需要适当了解其他业务领域,掌握相关知识与技能,以便更好地实施审计并为企业管理服务。
主要参考文献:
[1]杨忠智.论企业内部控制制度的设计[J].改革与战略,2008.9.
[2]毛敏.美国财务报告内部控制审计的最新发展及启示[J].财会通讯(学术版),2006.1.
[3]董美霞.财务报告内部控制报告内涵及对我国的启示[J].财会通讯(综合版),2008.8.