目 录 第一章 绪论
第一节 审计不是会计的继续或分支-------------------------3
第二节 国际内部审计师协会----------------------------------5
第二章 内部审计职业实务标准框架
第一节
职业实务标准框架的结构 --------------------------9
第二节 审计准则框架比较-----------------------------------13
第三章 内部审计定义
第一节 2001年以前的定义----------------------------------14 第二节 2001年定义-------------------------------------------17 第三节 从定义看国际内部审计研究的主要问题 ------22
第四章 内部审计的基本概念
第一节 内部审计基本概念体系-----------------------------24
第二节 内部审计是管理工作的组成部分-----------------26
第五章 道德准则
第一节 制定和遵守职业道德准则的意义-----------------28 第二节 道德准则-----------------------------------------------29
第六章 属性标准
第一节 1000宗旨、权力和职责----------------------------32 第二节 1100独立性与客观性-------------------------------37 第三节 1200熟练性与应有的职业审慎-------------------41 第四节 舞弊审计-----------------------------------------------46 第五节 1300质量保证与改进项目-------------------------48
第七章 工作标准
第一节 2000管理内部审计活动----------------------------53
第二节 2100内部审计工作的性质和范围----------------62 第三节 2200审计业务计划----------------------------------79 第四节 2300开展审计业务----------------------------------83 第五节 2400报告审计结果----------------------------------89 第六节 2500、2600监察进程 ------------------------------95
《内部审计实务标准》导读
李学柔 第一章
绪论
本章主要讲两个问题:
1
1、 审计不是会计的继续或分支。把审计与会计区分开来。 2、 介绍国际内部审计师协会的一些基本情况。
第一节 审计不是会计的继续或分支
审计是不是会计的继续或分支,学术界有两种不同的认识。
一种认为审计是会计的继续或分支,甚至够不上一个分支。普华•沃特豪斯公司的高级合伙人,比尔格乐(Biegler)认为:内部审计是会计职业的一部分。而佩林(Perrin)教授则认为:“内部审计本身既不是一个具有内涵和学问的学科,甚至也不是从会计职业那里独立出来并得到广泛承认的职业。”【1】 另一种观点认为把审计当成会计的继续或分支是不对的。安德鲁•D•钱伯斯认为:佩林教授的观点是过时的。【2】我国著名的审计学教授娄尔行指出:“至今仍有一些学者认为,审计乃是会计领域中稽核的一面。特别是财务审计,不过是会计的延伸。我们不能同意审计是会计一个分支的看法。”【3】世界上第一本关于审计理论结构的作者,莫茨和夏拉夫认为:“把审计当作会计的分支是完全错误的”,“审计并不是会计的一部分”。【4】 为什么会把审计看成是会计的继续或分支?这是因为: 1、 先入为主,老师就是这样说的。
2、 审计人员要精通会计,审计师同时也是会计师。
3、 许多审计机构称为会计机构。如美国审计总署称为会计总署。日本国家审计机关称为会计检查院。国际三大审计组织之一——国际会计师联合会,也叫会计组织。民间审计师普遍叫做注册会计师,其组织称注册会计师协会。 4、 最重要的一点是,近代西方财务审计是从财务会计延伸出来的。审计所用的方法、步骤和程序与会计的理论和方法紧密相关。因而很自然地形成审计是会计的继续或分支的概念。
然而随着时代的发展人们的认识已经提高了。这正如现代会计学当年是数学的一部分,后来发展成为一门独立的学科那样,审计学今天也是已发展成为一门独立的学科。有如今天没有人说会计学是数学的继续或分支一样,现在如果再说审计学是会计学的继续或分支也是不适宜的了。有越来越多的人支持审计不是会计的继续或分支的观点,而且可以列出许多原因,其中主要的有两点:
1、起因不同
会计是在社会生产发展到一定阶段,由于管理生产的需要而产生的。审计则否,它是在两权分离的情况下,存在委托和受托责任关系,委托者为了检查受托者是否忠于职守而产生的。两者既无血缘关系,也不是亲兄弟。
2、理论基础不同
会计的理论基础是经济学。它在经济理论的指导下,以货币为主要量度,对企业和单位的资金运动情况进行反映和监督。
审计则注重验证,是证明科学,它的理论基础是逻辑学。因为逻辑学关心的是,如何鉴别事实、结论和推理的有效性。有关这个问题莫茨和夏拉夫在《审计理论结构》一书中作了详细的论述。
然而,会计与审计有着密切的关系。会计运用自己的特殊方法对大量的经济活动进行收集、分类和整理,形成反映经济活动的数据并将其传播出去。审计在此基础上审查会计数据及其传达的适当性。会计制作和传达数据,审计审查和评价数据,两者一个像作者,一个像编辑,两者是一对亲密的伙伴。
注:
【1】和【2】 《内部审计》第二版 安德鲁•D•钱伯斯等,陈华等译,中国审计出版社,1996年第32页。
2
【3】 《审计学概论》 娄尔行主编,上海人民出版社,1987年第23页。
【4】 《审计理论结构》 (美)罗伯特•K•莫茨、(埃及)侯赛因•A•夏拉夫,杨树滋、文硕校,中国商业出版社,1990年第17页。
第二节 国际内部审计师协会 一、 协会的成立和宗旨
国际内部审计师协会(Institute of Internal Auditors,IIA)是由内部审计人员组成的国际性审计职业团体。成立于1941年。其前身是美国内部审计师协会。
1941年以前美国只有个别的内部审计人员、内部审计小组或机构。由于当时企业规模较小,管理水平较低,那时的内部审计一般是在单位内部的会计机构管理和控制之下, 从事一些防护性审查,保护财产,查找弊端的工作。而且人数较少,在单位的地位和作用很低,不构成单位内部一项独立的职能。被视为会计的秘书。
随着公司规模的扩大,管理阶层需要别人的帮助,这种情况为内审的发展提供了机会。1941年春,在公用事业部门有两个组织:爱迪生电力研究所和美国电气化联合会,首先建立了内部审计分委会。4月邀请北美公司内部审计负责人约翰•B.瑟斯顿(John•B•thurstion)作题为《内部审计——管理之必需》的讲演,使会议的参加者受到很大的鼓舞。会后他们在纽约一致认为,在公用事业行业中,内部审计要作为独立的职业从会计行业分离出来。就在这时维克托•Z•布林克(Victor•Z•Brink)出版了《内部审计的性质、作用和程序方法》一书,把内部审计提高到理论的高度,进一步推动了内部审计人员建立内审职业机构的兴趣。于是在1941年9月23日由24名会员成立了创立委员会,由阿瑟•E•霍尔德(Arthur•E•Hald)任主席。10月27日通过了协会章程。1941年12月9日举行了第一次年会,选举约翰•B•瑟斯顿为第一任主席。宣告美国内部审计师协会的成立。它标志着内部审计从此成为一种独立的职业。
协会成立之初只在纽约设有分会,后来发展到底特律、芝加哥、费城、洛衫机和克利夫兰。然而,至此协会也只是美国的协会。1944年协会在加拿大多伦多设立分会,开始跨越国境。随后,1948年又在伦敦设立分会,逐步发展成为国际性组织。
协会面向全球,以“经验分享,共同前进”作为自己的座右铭。进入20世纪90年代以来,协会更把“在全世界范围内提高内部审计的形象”作为战略目标。
二、 协会的会员、机构、刊物和主要成果
国际内部审计师协会由国家分会、各国的一般分会、审计俱乐部和个人会员组成。我国中国内部审计学会在1987年加入该组织。
国际内部审计协会的组织机构主要有理事会、执行委员会、国际委员会和总部。
1、理事会。是协会的最高领导机构。由执行委员会委员、大区组织和地区组织的主任和一般主任组成。他们来自各行各业的内部审计师,作为志愿者为协会无偿服务,任期一年。理事会的主要职责是审批协会工作计划、预算、受理各委员会提出的建议,指导协会的工作。
2、执行委员会。由理事会主席、第一副主席、3位副主席、国际秘书、国际司库、3名近期前任理事会主席组成。负责监督协会日常工作。
3、国际委员会。国际委员会是下列各机构的总称,在组织体系上属于执行委员会领导。各国际委员会的成员全部是由志愿者担任。
(1) 专业实务部。负责发表《内部审计实务标准》。(注:以下简称《标准》。“标准”一词亦译为“准则”。) (2) 高级技术委员会。负责发表《内部审计实务标准公告》。
3
(3) 专业标准委员会。负责发表《内部审计实务标准说明》。(注:中文版没有译出) (4) 专业问题委员会。就一些专业性问题向协会提出建议。
4、总部。总部负责处理协会的日常事务工作,由协会常任主席领导,设在美国佛罗里达州。总部下设与执行委员的各国际委员会对口的机构以为其服务。总部还设有财务部,以处理协会日常财务收支。 国际内部审计师协会出版的主要刊物有:
1、《内部审计师》(The internal Auditor)是一本学术性双月刊; 2、《今日内部审计师协会》(The IIA Today)是一本新闻简讯双月刊;
3、《国际内部审计师协会教育者》(The IIA Educator)是由学术界出版的简讯。
协会每年举行一次年会。围绕各国内部审计师普遍关注的问题和面临的挑战确定主题和分题。 由与会代表各自提交自己的论文,参加分组讨论,互相交流经验,探讨新的理论。大会期间还展示内部审计最新的成果和书刊。 协会成立以来,为在全球范围内推动内部审计事业的发展做了卓有成效的工作。其中最重要的成果是: 1、 1947年制定《内部审计职责说明》,是协会最早颁布的重要文件。对内部审计及其职责下了定义。
2、 1968年首次颁布内部审计人员《职业道德准则》,是协会会员和注册内部审计师必须遵守的行为规范。它的制定和颁布被认为在提高内部审计人员的地位和作用方面一个最大的进步。
3、 协会从1974年起在全球指定地点举行注册内部审计师资格考试,给考试及格者颁发注册内部审计师证书。为
内部审计师取得合法地位,得到更高层次的培训和晋升创造了条件。我国从1998年起在广东开考,现时已发展到12个省市。 4、 协会在1978年制定和颁布了《内部审计实务标准》。它的颁布为内部审计这一特殊职业制定了职业规范和判断标准,对外树立了一定的质量标准和可信性;对内要求内部审计机构和人员承担一定的责任,提高自己的可信性。从而为人们承认它是一种职业创造了条件,因为一种职业没有一套被公认的标准是不能自立的。
第二章 内部审计职业实务标准框架
这一章主要讲述内部审计职业实务标准框架结构。
第一节
一、制定职业实务标准的必要性和目的
内部审计活动处于各种不同的法律和文化环境中,设立在各个目的、范围和结构不同的组织之内,由组织内部或外部的人员来执行。在这千差万别的环境中,要完成内部审计师的职责,要有一个统一的职业实务标准来规范,才能保证内部审计有一致的高质量的内审工作。
制定内部审计实务标准的目的是:
1、指导内部审计工作,向他们说明什么是正确的内部审计实务; 2、尽可能阐明内部审计的基本原理; 3、为内部审计在增加价值活动中提供指导; 4、为考核内部审计工作质量提供准绳; 5、帮助组织改善经营管理;
4
职业实务标准框架的结构
6、向管理人员、董事会、公共团体、外部审计师和有关专业组织宣传内部审计工作的作用和责任,提高对内部审计的认识。
二、新职业实务标准出台过程
国际内部审计实务准则第一次发布于1978年。在实行15年之后,于1993年修订发布。现在实行的准则是2001年修订发布的,这已是第三次发布了。事情是这样的:
1997年国际内部审计师协会为了适应内部审计职业的新形势,成立了一个指南核心工作组,负责研究内部审计准则新框架,以支持内部审计职业跨入21世纪。
小组经过一段时间的研究,认为新框架应从研究内部审计定义入手,并于1998年11月在国际内部审计师协会的年会上提出内部审计新定义,得到年会代表的广泛支持。
小组于1999年6月向协会理事会提交了内部审计职业准则新框架,并得到理事会的批准。 三、职业实务准则框架的结构 新的内部审计职业实务框架包括: 1、 内部审计定义;
2、 职业道德规范(道德准则); 3、 内部审计实务标准。包括:
(1) 属性标准(1000序列); (2) 工作标准(2000序列); (3) 实施标准(nnnn.Xn)。
4、 其他方面的指导。如实务公告和开发与实务援助等。
属性准则是说明内部审计机构和人员的特点,所以又叫特征准则。属性准则只有一套,各行各业通用,共有4条一
般准则。
工作准则是说明内部审计活动的工作性质和评价标准。也是只有一套,各行各业通用,共有7条一般准则。 实施准则是属性准则和工作准则在特殊审计活动中的运用。如在合规性审计、舞弊审计、内控自评中应遵循的属性准则和工作准则。实施准则按约定业务不同有多套准则,各自专用。实施准则又包括保证服务和咨询服务。 保证服务是指对组织的风险管理、控制和治理过程进行独立评价,客观地审查证据的活动。如对组织进行的合规性审计、财务审计、绩效审计、控制系统的充分性和有效性审计等审计活动。保证服务在《标准》中用“A”表示,如1000•A。保证服务共有26条指南。
咨询服务是指按照约定为客户提供建议或忠告一类的活动,以增加价值并提高组织的运作效率。如为客户担任顾问、提供建议、设计程序、协调工作和培训等。咨询服务在《标准》中用“C”表示,如1000•C1。共有20条指南。
实务公告与实务准则不同,它是选择性的,是否遵守由审计师自行决定。
实务公告将1993年版“红皮书”中的一些重要内容收集进去,以取代原红皮书中的指南。
实务公告中有一部分内容是通用的,适用于各行各业和各地区。有一些则是专用的。这样做使实务公告有更多的灵活性。
5
实务公告的目的是:(1)表明协会认为什么是最佳实务;(2)解释实务准则;(3)说明如何在特定环境中应用准则。 由于实务公告抓住当前内审工作中的主要问题,提出指导性意见,深受客户的欢迎。
开发实务援助是实务框架中最大和最多样化的部分,形式多样,内容广泛。有研讨会的议论、有研究报告、有教育成果报导,等等。开发与实务援助由各国知名内部审计师、教授、研究人员来撰写,是一种指导性论坛。
四、《内部审计实务标准》的责任区分 《标准》对内部审计责任划分为四个层次:
1、 组织的责任。如提供良好的工作环境和充足的资源等; 2、 内部审计机构的责任。如管理好内部审计机构的活动; 3、 内部审计执行主管的责任。如保持审计机构的独立性等; 4、 内部审计师的责任。如保持个人的客观性和职业谨慎性等。
第二节
审计准则框架比较
在第一章我们在介绍国际内部审计师协会的贡献中讲到,协会从1947年起依次发布了内部审计的定义、道德准则、实务准则。这个框架为1997年开始的改革奠定了框架基础。
再看看最高审计机关国际组织对准则框架的论述。它在1998年举行的第16届大会发表的《蒙的维利亚宣言》指出:制定审计准则要有一个框架。这个框架的基础是《利马宣言》。在基础之上有一个层次是道德准则。在基础之下的一个层次是审计准则。其他指导性文件则是第四层次。这个框架与国际内部审计师协会的框架如出一辙。其中最突出的一点是十分重视职业道德建设。
这两个国际组织的观点值得其他会计审计组织学习。
第三章
内部审计定义
第一节 2001年以前的定义
国际内部审计师协会自1941年成立至今已经62年了。期间共发表了7个内部审计定义,这些定义的修改和发展,记录了内部审计前进的足迹,从中可以得到新的启示。
一. 1947年笫一次定义 内部审计第一次定义为:“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。”
这个定义说明了以下几点:
1. 内部审计虽然从会计分离出来,成为一个独立的职业了,但它仍然以财务、会计为基础。 2. 它回答了内部审计是做计么的:审查财务会计和其它经营活动。
3. 它反映了形势的要求,内部审计不仅可以处理财务会计问题,而且有时也处理经营管理中的问题。
4.它首次为内部审计定位为:独立评价活动。这种观点坚持了53年,直至2000年第七次修改才作了调整。 5.它初次提出为管理服务的方向。这个观点坚持了22年。虽然它前面加了一个定语:“保护性和建设性”显得有点累赘”。
这个定义提出以后,由于那时内部审计人员水平较低,为管理服务能力不强,内审人员的地位也比较低,只能向低层管理人员报告,因而内审职能的扩展还得有一个过程。
二.1957年第二次定义
6
管理人员和内审人员经过10年的努力,克服了存在的障碍,到1957年协会对定义作了修改。第 二次定义是:“ 内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务,是一种衡量、评价其它控制有效性的管理控制。”
这个定义的特点是: 1. 删掉第一次定义中那些不确定的和累赘的内容,包括:“其它经营活动”、“提供保护性和建设性服务”、“有
时也涉及”这样的词汇,使定义更加简洁、明确、直截了当。
2. 删去处理财务会计问题,有时也涉及经营管理中的问题。因为只要内审是建立在审查财务、会计和其它经
营活动基础上,就必然会去处理这些问题,是无需重复的。
3. 首次提出内部审计“是一种衡量、评价其它控制有效性的管理控制。”从而大大提高了内审的地位。指出
它是一种管理控制,但又反过来衡量、评价其它控制的有效性,体现了审计是较高层次的监督。
三.1971年第三次定义 笫三次定义为:“内部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其它控制有效性的管理控制”。
这条定义最突出的一点是取销了“建立在财务会计基础上”这句话。但保留了“建立在审查经营活动基础上”这一句。这预示着内部审计从财务审计向经营审计的方向发展。但不意味着内部审计从此不审查财务会计,不去处理财务会计问题,而是说审查、处理财务、会计问题是理所当然的,不言而喻的,它已包括在“审查经营活动”这一概念中了。
其次,这个定义还表明,内部审计评价的范围扩展到发生在组织内部的、应由内部审计评价的所有经营活动。现代内部审计已经与组织发生的重要事务联系在一起了。实践表明,在定义修改后审计人员用于财务、会计审计的时间不断减少,而用于经营活动审计的时间越来越多。据美国燃气协会和爱迪生电器协会的统计,内审人员1980年有40%的工作时间用于财务、会计审计,到1989年便下降到19%,更多的时间已用在合同审计和经营审计方面了。同一期间内审主管向董事长报告的比例由39%上升到52%。而向财务主管报告的比例则由10%,降为4%。 四.1978年第四次定义
1978年协会再次对定义作了修改,这次定义为:“内部审计是建立在以检查、评价组织为基础的独立评价活动,并为组织提供服务”。
这条定义最令人注目的是,将为管理服务改为为组织服务。把内部审计服务的范围扩大。然而这不是要排斥为管理服务。正如维克托. 布林克所说:内部审计的主要服务对象依然是管理。所不同的是,为组织服务要求审计人员以整个组织为服务对象,而不是以某一管理部门及其人员为服务对象。要求他们站在整个组织的立场上观察和评价问题,为组织的长远的全局的利益服务。因为组织的长远利益才是组织的根本利益,是解决各种问题的基础。 但为组织服务是为什么服务没有解决。 五.1990年第五次定义 这次定义为:“内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。 这条定义突出的一点是,把内部审计定义为:是建立在一个组织内部的,以与外部审计相区别。这个提法到2000年第七次定义时被修改。至于为组织服务是为谁服务仍未解决。 六. 1993年第六次定义
本次定义除了确认上次定义之外,明确指出:“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。从而解决了为组织服务是为谁服务的问题。
第二节 2001年定义 内部审计职业自50多年前在《内部审计职责说明》作出第一个定义以来情况不断发生变化,在这期间内审人员的工作从评价管理控制的有效性,扩展到帮助组织改进管理,增加价值,实现目标。这种变化使内部审计职业有必要重新研究其基本假设。
7
于是,在1997年国际内部审计师协会成立指南特别小组(GTF)来检查《内部审计实务标准》的适用性,并提出修改建议。 小组在开始研究的时候发现,由于内部审计服务的新类型不断出现,原定义确定的范围已不符合内审计职业的迅速发展。需要用一个更具灵活性、范围更广泛的定义来取代。他们还发现以前的定义只是描述内审人员应当如何工作,并把要做的事情一条条列出来.而没有强调内审能为组织提供多种服务,能为组织创造更多的价值,也没有强调内审人员应与董事会、高级管理层和股东进行沟通,使他们了解内审能为他们提供什么服务,因而不利于内审职业在激烈的市场竟争中发展自己。于是着手拟定新义,以反映内审职业发展的新趋势。 小组于1998年11月在国际内部审计师协会年会上首次推出新定义,征求与会代表的意见。根据反馈的意见,经过反复推敲,1999年6月国际内部审计师协会理事通过下述内部审计新定义:
内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。
这个定义同93 年定义相比,删去了“组织内部”和“评价活动”这两个词。这是因为“组织内部”一词暗示着内部审计工作只局限于组织内部, 不利于外部借助内审工作,也不利于内部审计借助外部的帮助。取销它预示内部审计未来有一个更为广阔的活动空间,而不是要表示内部审计将成为外部审计,也不意味着组织内部的管理活动和决策将委托外部人员来完成。组织内部的事是不能假手外部的人员来完成的。
与此相关取销了“评价活动”一词。独立评价活动一词从1947年第一次定义以来坚持了53年。因为这个词指的是对组织内部活动进行审查和评价, 同样是将内审活动局限在组织内部,它没有反映出内审在组织中日益增加的作用和影响范围的逐步扩大。因而在新定义中用“咨询”一词来取代。
新定义由6组概念组成:1 独立性和客观性。2.保证性和咨询性。3、增加价值。4、系统化和规范化的方法。5、评价和改进风险管理、控制和治理过程的效果。6.组织目标。新定义 既有继承性, 又有新的发展。分述于下:
1、独立性和客观性
从1947年第1个定义开始,国际内部审计师协会一直坚持 内部审计是一种“独立的评价活动”。在实务标准中客观性是置于独立性之下的。但在新定义中独立性和客观性是并列的,不过独立性仍然排在前头。这样的表述表明协会在仍然注重独立性的同时,表示协会倾向于使用客观性一词来表达内部审计的可信性, 并且认为它更加切合市场实际。
这是由于独立性这个概念受很多因素的影响。比如,它会使内审人员误解, 以为内审能否发挥作用,在于它的独立性,而片面地去追求更多的独立性。其实内审之所以能发挥更大的作用,能为组织创造更多的价值,主要在于它进行的分析和提出的建议是实事求是的,客观公正的。
对独立性的涵义仍在探讨,希望能够找出在不改变独立性的基本含义的前提下,准确地予以表述。 2、保证性和咨询性
为组织提供保证性服务是内部审计的一项传统职责。但是随着内审能力的提高,它还可以对内、对外提供咨询性服务和非审计服务。
保证性服务和咨询性服务目标是一致的,都是为了增加组织的价值,它们是相辅相承的,保证性服务常常直接产生咨询性服务,咨询性服务也可能衍生出保证性服务,有时两者可以结合进行。由于内审人员对本组织的情况最为熟悉,对内提供咨询服务有独特的优势。
协会认为开展咨询性服务是对内审职业的机遇和挑战。因为如果内审不能为客户和股东解决面临的问题,他们就会转向外审寻求帮助 ,从而导致内审职业在竞争中失败。 3、增加价值
“增加价值”一词是第一次列入定义的 。组织存在的目的在于为其服务对象:股东、客户和委托人创造价值或利益。价值是从生产和销售过程中产生出来的。内部审计师不从事生产和销售活动,但它可以通过收集生产和销售过程的资料,查明和评估存在的风险,运用自己的远见广识,增加机遇,并将这些有价值的信息,以建议、忠告、报告或其它方式,通报给管理层,或全体人员,为组织带来巨大的利益。比尔.贝克特(Bill Birkett)在《内审职能体系》一书中指出 ∶价值问题将会取代独立性来支配内审工作。对于内审工作来说,一方面,过去为组织增加价值的工作做得不够;另一方面,内审工作能为组织增加价值这一事实往往受到忽视。花出去的每一分钱在帐上有记录,是看
8
得见的。节约下来的钱在帐上没有录,只能通过对比来反映。而且届时还有许多人来邀“功”。所以在新定义中加入“增加价值” 一词给内审职业提出了一个带方向性的指导. 4. 系统化、规范化的方法
这句话在原《内部审计实务标准》中也有,但在实践中做得不够。内审未来的发展关键在提高服务质量,因而在新定义中再次强调内审人员都要运用系统化、规范化的方法,以提高审计质量。 5、风险管理 、控制和治理过程
传统的管理将注意力放在个别控制系统和经营机制上,而现代管理则强调总体管理概念,把总体管理控制系统与组织的长远目标联系起来;把一旦达不到目标,与可能发生的风险联系起来。因此,评价和改进风险管理、控制和治理过程,就必然成为内部审计的一项重要职责。这个问题我们在第七章还要重点讲述。 6.组织目标
在1990年第5次定义中首次提出为组织服务。但是,为组织的什么服务则没有明确。到l993年第6次定义明确为∶为该组织的管理成员有效地履行其职责服务。现在新定义则更进一步提出,内审的职能是为 组织完成其目标服务。这表明新定义把内审的职能提升到组织整体水平上,使其成为组织成功的关键因素之一。使内审与风险管理、控制和治理过程联系在一起,为组织增加价值服务。它要求内审人员必须站在维护组织整体利益的立场上,去考虑问题和解决问题。
以上对新定义的出台及其各个组成部分作了简要的说明。从中可以体会到新定义预示着内审职业正在进一步扩大其职能,应当引起我们的注意。
第三节
从定义看国际内审研究的主要问题
以上我们介绍了内审的7个定义,从这些定义中我们看到国际内审前进的足迹。60年来内部审计从会计的秘书,到一种独立的职业;从审查财务、会计,到评价和改进风险管理、控制和治理过程;从建立在一个组织内部,到对内外开展咨询服务;从为管理服务,到为组织实现其目标服务,这种变化不啻划了一个时代。人们对内部审计的作用和地位的认识和期望,已经发生了深刻的变化,内部审计已经大大地向前发展了。 从定义中我们还可以看到过去60年内审研究的主要问题: 1、 内部审计为谁服务
各行各业都存在为谁服务的问题,内审也不例外。协会在1947年提出为管理服务,在业界受到高度评价。到1978年提出为组织服务的观点,反映了内审的发展。但为组织服务是为谁服务比较抽象。经过一段时间的探讨,到1993年提出为管理成员有效履行职责服务。这个提法有不完善之处,也与同年出版的《内部审计实务标准》有差异。《标准》强调检查组织目标的完成情况,检查和评价管理成员的目标与组织目标是否一致。因为管理成员的目标,虽然一般来讲与组织目标是一致的。但是审计学一直提醒人们注意“圈内人”活动,他们可能与组织目标背道而驰。正所谓“上有政策,下有对策”、“有权不用,过期作废”。因此第7次定义改为为组织实现其目标服务,是很正确的。 2、 如何给内审定位
内部审计究竟是一种什么工作?也是国际协会研究的一个主要问题。对此,1947年定位为一种评价活动。10年后改为衡量、评价其他控制有效性的管理控制。内部审计是管理控制的组成部分,而又反过来评价其它管理控制,这个观点直到现在也是肯定的。
3、 内部审计的工作条件和人员品质
从1947年开始就强调内审是一项独立评价活动,把独立性看得很高,好像是独立性越大,内审成效就越大一样。它长期将客观性置于独立性之下。这个观点到1997年受到质疑,1998年在提交给年会的定义中首次将独立性与客观性并列。值得思考的是,安然事件究竟是独立性不够,还是客观性不够,还是两者兼备?应当如何落实职业道德准则,
9
还有待研究。
4、内部审计的工作范围
这也是一个重要问题。1947年定义认为内审的工作是审查财务、会计和其它经营活动。随着内审能力的提高,1971年扩大为审查组织的经营活动。1978年进一步扩大为检查评价组织活动。这个定义把组织的一切活动都包括进去,似乎有失之过滥之嫌。1999年定为评价和改进风险管理、控制和治理过程的效果,应当说比较切合实际。 国际内审的这些经验,值得我们借鉴。
第四章 第一节
一、 什么是基本概念
内部审计基本概念是指在内部审计众多概念中,起核心作用的那几个概念。 内部审计基本概念有以下特征:
1、它有理论性,能说明内部审计的实质及其运动规律。 2、它有概括性,能指导内审实务。
3、它有时效性,是发展的,环境变化了,它也会变。比如,独立性现在就遇到挑战。 二、建立基本概念的必要性
从众多的概念中理出几个基本概念,有助于说明内部审计工作的性质,也有助于管理人员和董事会支持内部审计工作和评价内部审计工作的适当性。
三、内部审计基本概念体系
内部审计基本概念体系可用下图表示: 管理 管理控制 内部审计
基本目的:帮助组织实现其目标
开展活动的决定因素:相关风险 完成职责的条件:独立性和客观性
(来源:《内部审计原理与技术》第二版上册第8页,并作修改) 这个结构图说明:
1、内部审计是管理和管理控制的组成部分。先有管理、管理控制,后有内部审计。 2、内部审计的基本目的是帮助组织完成其目标,为此要揭露相关的风险,并提出改进建议。
3、为了实现内部审计的基本目的需要具备一定的条件,这就是内部审计机构的独立性和人员的客观性。
第二节 内部审计是管理工作的组成部分
10
内部审计的基本概念 内部审计基本概念体系
一、管理的基本职责
管理工作有三个基本职责:计划、组织、领导。计划主要是制定组织的目标。组织就是要集中人力、物力、财力资源,按照组织的政策和计划分配到各部门和单位。领导就是运用行政职权,采取适当的措施,保证组织按计划运转。这些措施包括:批准进行某项活动,对活动的执行情况进行监控,定期检查任务和目标的完成情况,报告检查结果,以及采取措施纠正存在的问题,以实现组织的目标。
简言之,管理的职责就是制定组织目标,组织人力、物力、财力,运用授予的权力予以实现。 二、管理要有控制
为了实现组织目标必须制定一整套管理制度,否则无论管理人员如何努力都是无法实现的。这套管理制度包括上面所讲的计划、组织、领导,以及各项政策、规章、制度、标准和程序,它们总称为管理控制,或内部控制制度,亦称内部控制系统。
管理控制系统有5个目标: 1、资料要做到可靠和完整。
2、资源得到经济、有效率和效果地使用。 3、资产得到安全保护。
4、政策、法律、法规、制度和合同得到遵守。
5、组织的经营、项目和目标能按计划完成。(在新准则中将第5点升入定义,所以在《标准》2110和2120只列前述4点,但实质没变。) 控制目标是不会自动完成的。管理控制制度制定出来之后要交付执行,在执行过程中要进行检查和监督,控制目标才会得到实现。这就需要内审的帮助。
三、管理控制与内部审计的关系
制定管理控制制度是管理人员的职责。他们还负责贯彻执行制度和检查制度的执行情况。在一些小型企业里,这些工作全都是由管理人员来做的。但在大中型企业里检查工作已交由内部审计去做了。因为自己制定政策又自己去检查政策的执行情况,有如已当运动员又当裁判,易失公正,难于得出正确的结论。而且管理有自已的事要做,也顾又过来。内部审计经过长期的发展已经成为一种专门的职业,它有自己的职责说明,职业道德规范,专门的实务标准,还有被誉为内部控制专家和风险管理专家的专长,得到社会的信任。社会分工的发展已经从管理人员的队伍里分离出一支内部审计人员的队伍。
四、管理与内审的分工
管理部门 内审部门
1、负责制定管理控制制度 1、在制定过程中提出建议、评价系统的设计 2、实施管理控制制度 2、不参与实施
3、以业务主管的身份检查 3、以专职部门的身份独立检查、评价控制制度的执行情况 评 价控制制度的执行情况
4、接受检查和评价 4、负责检查、评价风险管理、控制和治理过程的效果
第五章 道德准则
本章主要讲述制定和遵守内部审计职业道德准则的意义及其基本内容。
11
第一节 制定和遵守道德准则的意义
前文在内部审计实务准则框架一章中,已经讲到道德准则在框架中的地位。
《内部审计实务标准》认为,内部审计职业和内部审计师的形象由六个方面构成:1、遵守职业道德准则;2、具备执行内部审计职责的知识和技能;3、懂得人际关系和沟通;4、接受后续教育;5、在执行职责时保持应有的职业谨慎;6、通过考试成为一名注册内部审计师。在这六方面中,遵守职业道德准则位居其首。
制定内部审计职业道德准则是十分必要的。因为任何一种职业要想成为一种真正的职业就必须为其服务对象(雇主)负责。否则就不能得到社会的承认和信任,就不能自立。
国际内部审计师协会理事会在2000年6月通过的道德准则中指出:“道德准则对于内部审计职业来说是必要的和适当的,因为它是建立信任的基础。这种基础为评价和改进风险管理、控制和治理过程,帮助组织实现其目标,提供了保证。”(这一段译文与红皮书第17页第二段略有不同。其原文如下,供参考。“A code of ethics is necessary and appropriate for the profession of internal auditing, founded as it is on the trust placed in its objective assurance about risk management, control, and governance.”) 这是十分中肯的。“人无信不立”。一个内部审计机构或者一个内部审计师,如果缺乏应有的职业道德,它就不可能取得领导层和被审者的信任,从而他就不可能顺利开展评价工作。
内部审计职业和内部审计师制定并遵守职业道德准则,也是为了在职业界倡导一种道德文化。这种道德文化不仅是内审人员的行为规范,而且也是组织内部可以参照的一种标准。
此外,按照道德准则去招聘员工,可以拥有诚实和有道德的人员,从而使发生欺诈的风险降低到最低的程度。
第二节 道德准则
一、道德准则的基本内容
2000年6月通过的新道德准则包括原则和行为规则两部分。前者有4条原则,在4条原则之下有12条行为规则。分述于下:
(一) 诚实
诚实是内部审计师与他人建立信任,取得他人信赖其判断的基础。这条原则包括四条行为准则:
1、 审计师应诚实、勤奋和有责任感地执行他们的工作。这是审计师个人品质的基础。不诚实就不能将职责和权限委托给他。不勤奋就可能增加错误、疏忽和误解。没有责任感就得不到他人的信任。这样审计师就将失去对组织的价值。
2、 审计师应遵守法律,并依照法律和职业要求进行披露。这一条有两点要求:
(1) 如果审计师了解到一些对组织重要的信息,他依照法律和职业的要求,负有报告该信息的责任。 (2) 反之,如果审计师没有足够的证据来说明他的判断,就不应该作出评价。 这两点都是很重要的。
3、 审计师不应有意参与违法活动,或有损于职业或组织信誉的活动。有意参与舞弊行为当然违反道德准则。如果
不接受后续教育亦认为有损职业信誉,因为这与组织长期利益相违背。
4、 审计师应对组织的规定和道德、目标作出贡献。这就是说审计师应高标准地履行内部审计的职责,遵守道德准
则和实务准则。 (二) 客观
审计师在收集、评价和报告有关信息时,应坚持客观的态度。要依靠相关的事实作出评价并形成判断。当他作出评价和判断时,应不受个人利益或其它方面的影响。客观原则亦有4点要求:
1、 审计师不能参与那种会损害其客观评价的活动或关系。 2、 不能从事与组织目标相冲突的事情。
3、 不能接受会损害其作出职业判断的任何物品。
4、 要披露了解到的重要信息,以免对被查事项产生误解。
(三) 保密
审计师应重视信息的价值和所有权。除非法律允许或有适当的授权,不能泄露获取的信息。这里有两点要求: 1、 审计师应谨慎利用和保护在执行职责中获取的信息。
2、 审计师不得将信息用来谋取任何个人利益,亦不得以任何违法的或损害组织道德的方式利用信息。
12
(四) 胜任
审计师应能胜任工作,具备完成职责所需的知识、技能和经验。这条原则有三点要求: 1、 审计师应努力保持为完成委托所必须的知识、技能和经验。 2、 开展审计服务时应遵守《内部审计实务准则》。 3、 应不断提高专业熟练程度,改进服务质量和效果。 二、适用范围
国际内部审计师协会的道德准则适用于协会的会员,国际注册内部审计师,报考国际注册内部审计师资格的人员和按内部审计实务准则提供内审服务的人员。
凡是违反道德准则者,将依协会的规定予以处理。而且即使在行为准则中没有规定,但这种行为是不能接受的,也要给予处理,违规人员必须接受。比如,考试作弊,行为准则中并无处罚的具体规定,但这是不能接受的,依考试规则的规定以后不得再次参考,这时考生必须接受。应当指出,道德准则并非一纸华丽的空文,而是必须付诸行动的准则。
第六章 属性准则
属性准则包括1000、1100、1200、1300 等四条一般准则。分述于下:
第一节
1000宗旨、权力和职责
宗旨、权力和职责是指内部审计工作的目的和责任,以及为达致目的、完成职责所需的权力和条件。
明确内部审计的宗旨、权力和职责是内部审计工作最重要的问题之一,也是国际内部审计师协会首先解决的一个问题。协会在1947年首先发布了《内部审计工作职责说明》,以简要的方式说明内部审计的目的、职责、权限、工作范围和工作条件---独立性。在1993年修订的《内部审计实务标准》中,以“510宗旨、权力和职责”列示,位置靠后。在2001年修订本中将“宗旨、权力和职责”列为准则的第一条,从而恢复了它的原貌。可以说是对其重要性和在准则内部结构中的地位的再认识。因为整本“红皮书”都是围绕内部审计的宗旨、权力和职责展开的;或者说,《标准》就是用来说明内部审计的宗旨、权力和职责及其实现的。因为内容很多,用一条准则不能尽述,这条准则只提出以下几点要求:
1. 内部审计活动的宗旨、权力和职责应在章程中正式界定,要与《标准》保持一致,并经董事会通过。 2. 章程中应明确内部审计向组织和第三方提供的保证服务的性质。 3. 章程中应对咨询服务的性质加以定义。 下面着重讲述内部审计的章程和实例。
一、内部审计章程
内部审计机构的章程是确定内部审计机构的宗旨、权力和职责的书面文件。有如内部审计工作的“基本法”。 内部审计组织的章程应对下列问题作出明确规定: 1.内部审计工作的目的;
2.内部审计在组织中的地位(独立性);
3.内部审计有权接触和执行与审计工作有关的资料、人员和财物; 4.内部审计活动的范围,包括在风险管理中的责任和对后续审计的授权; 5.有关开展保证服务和咨询服务的规定和原则。
章程一般由内部审计机构起草,起草的章程要与组织目标和《标准》一致,然后报给高级管理层、董事会、审计
13
委员会或其它治理机构批准或通过。
章程一经批准便形成管理当局与内部审计机构双方的协议。内部审计机构可以根据章程的授权不受限制地开展工作。章程同时也是内部审计机构和管理当局评价内部审计工作质量的依据。
内部审计执行主管必须定期评价章程规定的宗旨、权力和职责是否继续适用和有助于内部审计机构完成其任务。评价的结果要报告给原审批机构。
二、内部审计章程实例 内部审计章程
BN公司董事会 致内部审计机构:
我们同意你们呈送的关于内部审计宗旨、权力和职责的说明。我们相信有效的内部审计将为各公司及各部门带来更多的帮助,我们希望各公司和各部门经理,以及其他相关人员能够与内部审计人员合作。
董事会_________________________ 主席CPW_____________________ 总裁:MW_______________________
BN 公司
关于内部审计宗旨、权力和职责的说明
前言
内部审计是组织的一个重要管理工作,同时也是BN公司财务和其它管理系统保持诚实、有效的方法之一。内部审计机构将按照公司的要求开展审计活动。
内部审计主管由公司总裁任命,协助公司董事会下设的审计委员会工作,负责内部审计机构的工作。虽然内部审计机构是公司组织的一个组成部分,但是它独立于公司其他机构和部门来发挥作用。独立性和能接触各种资料是审计工作得以自主和客观地进行的非常重要的条件。内部审计主管应负责向总裁和审计委员会提交年度预算和计划工作日程表,以供审批。年度预算和计划工作日程表的重大变动亦须经过批准。内部审计主管也应负责向总裁和审计委员会提交分期工作报告。
宗旨
内部审计机构的宗旨是:通过开展独立、客观的保证性与咨询性活动,运用系统化和规范化的方法,对风险管理、控制和治理过程进行评价,以增加价值,提高运作效率,帮助组织实现其目标。
在批准的章程范围内,内部审计机构有权审计所有的工作,有权接触所有记录、人员和与实施审计工作有关的部门。在提供保证性和咨询服务中有权与管理层交换意见。有权根据管理层的要求,灵活安排审计项目的范围、深度和时间,对发现的重大风险,有权向高级管理层和审计委员会报告。
职责
14
内部审计机构和人员的职责是:按照《道德准则》和《内部审计实务标准》的要求,通过实施一系列审查和评价活动,向管理层和审计委员会提供分析、评价、建议、忠告和资料,帮助组织改善风险管理、控制和治理过程,为实现组织的目标服务。
对公司的工作进行全面审计是有困难的。因此,内部审计机构在制定审计计划时,应征求总裁、审计委员会和其它管理部门的意见后,根据风险大小确定审计的重点和先后次序。考虑的风险包括: (1)不良的财务或业务形式;
(2)违背公司政策、计划、程序或法律要求的行为; (3)财产损毁; (4)浪费或低效;
(5)未实现事先确立的目标。
内部审计机构在提交审计报告之前,应核对事实,征求被审者的意见,以便包含不同的资料或观点.
内部审计机构有责任在执行审计过程中保持应有的职业谨慎。下列各项要求体现了对职业化水平的要求,它也是审计机构对其成员所作的期望。 (1)适当的教育、学历证明及资历; (2)职业观念和工作能力; (3)诚实;
(4)服务态度良好,职业礼貌,替他人着想; (5)工作尽心、及时、高质量。
BN公司
BNC文件编号: 4032 19XX. 5. 16
(来源:«内部审计原理与技术»第二版第452页,并作修改)
第二节
一、独立性 ㈠独立性的概念
1. 独立性的必要性。独立性是内部审计活动的必要条件。内部审计活动只有具备应有的独立性,才能作出公正的、不偏不倚的鉴定和评价。
2. 独立性的定义。独立性对于内部审计来说,是指内部审计活 动独立于他们所审查的活动之外。这一点是与外部审计不相同的。
3. 独立性的标准。如果内部审计活动在确定审计范围,实施审计计划、及报告审计结果时不受干扰,那么他是独立的。
4. 独立性的条件。内部审计的独立性取决于客观和主观两个条件。在客观上,内部审计部门要有一个良好的工作环境。在主观上,内部审计师应当保持独立的精神状态。因此,《标准》在下文分别用1110机构独立性和1120个人的客观性两条来分别加以说明。
15
1100独立性与客观性
㈠机构的独立性
为保持内部审计机构的独立性,使它能够圆满地完成审计职责,要有一定的条件,这些条件一方面要由内部审计机构去创造,另一方面要有组织的支持。
公告1110-1指出:“内部审计师必须取得高级管理层和董事会的支持,这样他们才能得到被审计者的合作,并不受干扰地进行工作。”“必须取得”这个词表明能否创造一个良好的工作环境内审机构和领导层双方都有责任。而一旦取得良好的工作环境,内部审计师就可以顺利地开展工作。
良好的工作条件包括:
1. 内部审计机构应对组织中的一个具有足够权力的领导人负责。理想的情况是,审计主管对审计委员会、董事会或相关的治理机构报告工作,向组织的首席执行官报告行政工作,以促进内审机构的独立性、保证广泛的审计范围、重视审计报告和建议,并采取适当的行动。
2. 内审部门机构有权出席、参加由高层或董事会举行的,与内部审计机构职责有关的会议。诸如:有关审计、财务报告、管理控制系统等会议。使董事会能与内审机构主管有直接交流的机会。以便请示、汇报、交换意见和商量问题。
3. 内部审计主管由董事会任免。以加强其独立性。 二、审计师个人的客观性
审计师的个人客观性是指内部审计师在工作中应当保持的一种独立的精神状态。具体来说,内部审计师在工作中要保持一种公正的、不偏不倚的态度,对审计事项的判断不能服从于他人的意向,对审计结果不能作重要的质量妥协。
为了保持审计师的个人客观性有几个具体的要求:
1.分派任务时应避免利益冲突和偏见,如有这种情况,应另派他人。 2.在条件允许的情况下,应实行轮换制。
3.内部审计师不承担经营责任。如果根据高层领导的批示做了,应明确那不是执行审计职能。
4.不能参与内部控制系统的设计、设置和操作,也不能参与系统程序的拟订,但可以在控制系统实施前进行审查和建议。
5.在报告审计结果时要考虑损害客观性的各种情况。在提交审计报告之前,要对报告进行审查,以保证此项审计工作的客观性。
6.审计师应当高标准履行《道德准则》。接受公司雇员、客户、顾客、供应商或有工作关系的人的酬金或礼物都是不道德的行为。审计工作所处的地位不能作为接受酬金或礼物的理由。如果有人提供数目很大的酬金或礼品时,内部审计师应立即向领导报告。上述要求不包括接受一般公众都能得到的或价值极小的,不影响内部审计师的专业判断的小礼物,如钢笔、日历等。 三、对独立性或客观性的损害
准则1130规定,当独立性和客观性受到损害时,应将损害的具体情况向有关方面披露,下列各种事项被认为会对独立性和客观性造成损害。
1.内部审计主管评价自己负责的工作。这种评价应由独立于内审活动之外的人员来做。如果内审主管去评价自己负责的工作,就是对独立性和客观性的损害。
2.内部审计师和借调或临时聘到内审机构工作的人员,在离开原岗位不到一年,就去评价自己原来负责的工作,
16
就是对独立性和客观性的损害。但是,审计师可以为自己过去负责的运营工作提供咨询服务。
3.内部审计主管委派的工作存在利益冲突和偏见。在这种情况下,审计师应向审计主管报告,另行委派其它审计师。否则就是对独立性和客观性的损害。
4.审计范围受到限制使独立性和客观性受到损害:
⑴来自内部审计章程的限制。因为章程没有此项授权,而审计师只能在章程授权的范围内去开展工作。比如在章程中规定了内部审计工作可以接触的范围,一旦审计工作需要超过这个范围,就可能受到限制。
⑵来自批准的审计工作项目计划的限制。超出批准的计划审计师就无权去查,使得要进一步查明的事项受到限制。 ⑶来自必须实施的审计程序的限制。这不是说必要的审计程序可以不实施,也不是说必要的审计程序损害了审计的独立性和客观性。而是说做完了这些程序之后,就没有充裕的时间和必需的预算去扩大审计程序了,从而限制了独立性和客观性的发挥。
(4)来自批准的人员配置和财务预算限制。因为人力、财力资源有限,限制了独立性和客观性的充分发挥。 在独立性和客观性受到损害的情况下,审计主管应报告董事会、审计委员会和高级管理层,说明这些是非保证性审计活动,不能得出与审计有关的结论。如果是提供咨询服务则应在开始工作前,向客户说明独立性和客观性受到损害的情况。
第三节 1200熟练性与应有职业审慎
《内部审计实务标准》指出,内部审计师应以应有的熟练性和职业审慎性开展工作。
一、专业熟练性
㈠内部审计师的专业熟练性
内部审计师的专业熟练性主要是指两个方面:一是内部审计师的职业道德,二是内部审计师的专业知识水平。内部审计职业一向重视内部审计师的职业道德,在安然事件发生之后,业界更加予以重视。
在职业道德方面,内部审计师必须高标准地遵守职业道德规范,做到诚实、客观、勤奋和忠诚。 在专业知识方面,内部审计师必须具备履行职责所必须的知识、技能和能力。
内部审计师应能熟练地应用内部审计实务标准、程序和技术,了解和熟悉管理原则,懂得相关学科的基本知识。但是,应当十分明确的是,专业熟练性不仅要求内部审计师具备这些书本知识,而更重要的是,要求内部审计师有运用这些知识去识别问题、研究问题、处理问题、确定下一步行动,以及决定是否需要外援的能力。这个要求也反映在注册内部审计师资格考试题中。
内部审计师应懂得人际关系,与被审者保持满意的关系。因为审计与被审计是一对矛盾,内部审计师要处好这种关系。
内部审计师应有口头和书面交流的技能,以清楚地传达审计的目的、评价、结论和建议。 内部审计师应接受后续教育,以保持专业技术的适应性。 ㈡内部审计机构的专业熟练性。
内部审计机构作为一个集体,要有各种专业人才,包括:会计、经济、财务、统计、电子数据处理、工程、税务、法律等等。
内部审计执行主管要为各个层次的人员,按其职位、责任和工作范围确定其所需的学历和资历标准。在分派工作
17
时,应保证参与审计的人员都具备完成任务所需的知识、技能和能力。
二、利用外部专家的服务
1.为什么要利用外部专家。
内部审计机构应拥有各种专业人员,但由于受到编制、预算、审计成本的限制,不能是无所不包的、万能的。在缺乏开展全部或部分审计业务所需的知识、技能或其它能力的情况下,执行主管可以利用外部专家的服务,以获得相关的建议和协助。最常见的是聘请外部专家寻求对法律、技术和各种规定要求的解释,对已完和未完工程量的计算,对土地价值的评估,对信息技术的需求,对舞弊的侦查,以及公司合并和购买等等。
外部专家是指独立于本组织的个人或公司的、持有合格证书的组织内部和外部人员。外部专家可以由董事会、高级管理层或内审机构执行主管来聘任。内审执行主管应对外聘专家的能力、独立性和客观性进行评估,评估的结果应汇报给高级管理层。
2.对外聘专家的能力、独立性和客观性的评估。
对外聘专家能力的评估包括:是否持有专业证书和执照,是否有相关学科的学历和资历,职业道德和声誉是否良好。
内审执行主管应评估外聘专家与组织和内审机构的关系,以保证外聘专家在审计过程中的独立性和客观性。评估的内容包括:外部专家在组织有无经济利益关系,与董事会成员和高级管理层有无私人关系或专业关系,与被审活动有无关系,他是否正在为组织提供其他方面的服务,以及他是否本组织的外部审计师,有没有赔偿条款或优惠条件。 如果外聘专家是本组织的外部审计师,那么应注意维护外部审计师的独立性。当聘用服务的性质超出外部审计师服务的范围(即属于延伸审计服务)时,外部审计师的独立性就受到损害。如果外部审计师以本组织雇员,或类似雇员的身份开展工作时,外部审计师的独立性就会受到损害。这时应当考虑是否聘请他为外聘专家了。 3与外聘专家的协调。
协调的目的是获取外聘专家工作的信息,以实现内部审计工作的目标。协调的方法可以采取签订业务约定书或签订审计合同的方式进行。协调的内容包括:提供服务的目的和内容,提供服务的具体覆盖面,可以接触的记录、人员和财物,服务工作应用的假设和程序,审计业务工作底稿的所有权和监护权,审计过程获取信息的保密,以及外聘专家应遵守《内部审计实务标准》等等。
内审执行主管应评价外聘专家工作的恰当性,确认外聘专家工作是否取得充分的资料,以为其取得审计发现提出重要审计结论和建议提供合理依据。
如果内部审计主管在审计报告中要使用外聘专家服务所取得的成果,应事先取得外聘专家的同意,并在审计报告中说明。
三、职业审慎性
职业审慎是内部审计师应当具备的素质,作为一个内部审计师应保持应有的职业审慎。所谓职业审慎是指审计师在复杂的环境下,能运用自己的专业熟练性和技巧,识别出损害组织利益的行为,对故意做错、疏忽和差错、低效、浪费、无效、利益冲突和不正当行为保持警惕。对不恰当的控制系统提出改进建议。但职业审慎性不要求做到天衣无缝,把一切不法行为都查出来,也不绝对保证是否存在不法行为。
所谓不正当行为是指,故意错报、漏报重要信息,伪造、篡改记录及其支持性文件,提交虚假财务报告,故意误用会计原则,盗用资产等。
职业审慎要求内部审计师能根据审计目标确定审计范围,拟定审计程序;对需要提供保证性服务事项的复杂性、
18
重大性和重要性有充分的认识;对风险管理、控制和治理过程的充分性和有效性作出判断和建议;对不正当行为保持警惕;对所采取措施的成本效益作出评定。
职业审慎还要求内部审计师评价现行的经营准则是否健全,并被遵照执行,对不完善之处提出改进建议。
第四节 舞弊审计
职业审慎性要求内部审计师识别出各种损害组织利益的行为,因而准则第1210·A2指出:“内部审计人员应拥有充分的知识,发现舞弊迹象。”但是审计人员毕竟不是反贪局的专业人员,他不可能拥有以发现和调查舞弊为主要职责的人员所具有的专业技术知识。
一、舞弊的定义。舞弊是有意制造的不正当和不合法的欺骗行为。舞弊与错误不同,舞弊是有意的,错误是无意的。舞弊的结果是损人利己。“损人”包括本组织和其它组织,“利己”包括为本组织谋利和为自己谋利。 二、舞弊的手段。舞弊有各种各样的手法,诸如:买空卖空、造假帐、支付政治捐款、行贿受贿、支付或收受回扣、低价出售或转让、给关系人利益、故意泄漏重要机密、从事非法活动、贪污、截留收入,等等,不胜枚举。 三、防止舞弊的职责。专业熟练性要求内部审计师协助防止舞弊。所谓防止舞弊是指阻止舞弊行为的发生,以及在发生时,最大限度地予以揭露。
防止舞弊最有效的办法是保持一个有效的内部控制系统。建立有效的控制系统主要是管理层的责任。但内部审计师有责任通过评价内部控制系统的有效性揭露业务经营部门存在的风险,来协助防止舞弊。内部审计师可以通过了解企业是否重视内部控制;是否有切实可行的组织目标,是否有书面的办事规章制度,是否有恰当的授权制度,是否有保护资产安全的制度,是否有适当的渠道让管理层及时了解情况,等等,并提出改进建议。
四、怎样发现舞弊。内部审计师接受委托进行舞弊审计时,他必须有能力识别舞弊的特征和手法,以及被审计事项惯用的舞弊伎俩,要警惕那些可能隐藏舞弊的征兆,如控制弱点。一旦发现控制重点不健全,就应检查相关的方面是否存在不正常现象,如:未经批准的业务,越权的行为,价格不合理,大额报损,等等。如果同一事项发现两个疑点,那么出现舞弊行为的可能性就较大。这时审计师就应判断是否已经出现了舞弊,是否要提出采取进一步调查的建议。如果认为必要,就应向有关权力机构报告,建议进行必要的调查。
五、怎样进行舞弊审计。内部审计师进行舞弊审计应: 1、 扩大审计程序,确定舞弊是否已经发生。
2、 评估涉及舞弊行为的人员和层次,以免向他们泄露秘密。
3、 参加舞弊审计的员要具备足够的舞弊审计知识和技能。与被审计活动和人员没有任何关系。 4、 设计适当的审计程序,弄清是谁、为何进行舞弊。 5、 要与有关的管理层和法律顾问和其它专家协调行动。 6、 避免侵犯犯罪嫌疑人的权利,以及避免损害组织本身的信誉。
六、舞弊审计报告。在舞弊审计过程中要及时报告调查情况和审计结果。报告有口头报告和书面报告,有中期报告和最终报告。报告必须说明发现了什么问题,有没有足够的资料来证实调查结论,以便为作出决定提供依据。
舞弊调查结果报告除应遵守《标准》第2400的规定外还应:
1. 在重大舞弊行为基本肯定之后,应立即报告高级管理层和董事会。
2. 如果调查发现以前年度财务报告反映的财务状况和经营情况不实,必须向高级管理层和董事会报告。
19
3. 在调查结束后要提交书面报告,说明发现的所有问题、结论、建议以及应采取的改进措施。 4. 报告草案要请法律顾问审查,以免发生调查人自已犯法。
调查结束之后,审计师应总结经验,建议完善控制系统,改进审计方法,提高技术水平,增强识别舞弊的能力,提高专业熟练程度。
第五节 1300质量保证与改进项目
质量保证与改进项目,亦译为质量保证与改进程序。
准则1300指出:“审计执行主管应制定并坚持开展质量保证与改进项目,该项目应涵盖内部审计活动的各个方面,并不断监督内部审计活动的效果。设计该项目要有助于内部审计活动增加价值,改善组织的经营状况,并确保内部审计活动遵循《标准》和《职业道德规范》。”说明于下: 一.什么是质量保证与改进程序
质量保证与改进程序是内部审计机构主管,用以评价和改进审计机构工作,而制定的工作程序。简言之,质量保证和改进程序是评价和改进内部审计机构工作的程序。 二.制定质量保证与改进程序的目的
准则指出,制定质量保证与改进程序的目的是:
1. 确保内部审计活动有助于增加价值、改善组织的经营。
2. 为使审计工作符合《内部审计实务标准》和《职业道德规范》提供适当的保证。这里所讲的适当的质量保证,是使高级管理层、外部审计师、董事会和其它管理机构有理由依赖内部审计机构的工作。
所以,制定质量保证和改进程序的目的,简单来讲,是通过评价内审工作,取得他人的信赖。因此,准则要求内审主管必须制定一个这样的程序,并坚持执行。 三.衡量内审工作质量的标准 衡量内部审计工作质量的重要标准是:
1.《内部审计实务标准》和《职业道德规范》.
2.内部审计章程。这是衡量内部审计工作的一个关键性文件,它规定内部审计工作的宗旨、目标和范围、职责和权限,以及内审工作的独立性。
3.其它衡量标准。包括:内部审计机构制定的审计手册、组织内部适用于内审机构的政策和程序,政府的法律和法规,行业的准则,适用的审计方法,组织和内审机构的发展计划,等等。 四.质量保证与改进程序的内容。
质量保证与改进程序包括三个组成部分:
1、 日常监督; 2、 定期评价; 3、 外部评价。
前两项是内部评价。分述如下:
20
㈠日常监督
对内部审计工作的日常监督是保证审计质量的基础,也是进行内部评价和外部评价的基础。
内部审计主管应对所有内部审计活动负完全责任。对每一项审计委托要从制定计划,到出具最终报告的全过程进行持续的监督,以保证审计活动能够符合《标准》和《职业道德规范》的要求。至于监督的内容将在2300开展审计业务一节中讲述。 ㈡定期评价
定期评价是内部审计主管为了检查内部审计工作的质量,而定期进行的一种自我评价活动。所以检查的结果主要是为内审主管的需要服务的,但也可以为高级管理层和董事会评价内审机构工作提供资料,还可以为外部评价作准备。 检查工作通常由内审主管指定的小组来执行。小组成员应具备一定的资格,并有真正的独立性。检查之后应明确指出,审计人员的工作与《标准》的符合程度,审计工作的有效性,以及审计工作与组织和部门的政策、准则的符合程度。检查之后应提出改进审计工作的建议。
定期检查还可以采用以下评价方法作为正式评价的补充:
1.抽样检查。即由内审主管、审计经理或内审管理人员,对由其它内审管理人员指导进行的审计业务进行抽查。这种方法可以在内审机构内部持续进行。
2.听取被审单位的反馈。就是在一项审计工作结束后,或者定期挑选一些审计业务,向被审单位进行问卷调查,听取他们的意见。这样做既可以了解被审单位对内审机构的看法,还可以了解管理层的建议和需求。 ㈢外部评价
外部检查的目的是评价内审机构遵守《内部审计实务标准》的情况。 参与外部检查的人员应符合三个条件:
1.独立于被查单位。即不从属于被检查的内部审计机构,也不受其控制。
2.参加的人员应是合格的。即熟悉被查活动的技术,并有适当的学历,如其它组织的内部审计师或外部审计人员。 3.参加的人员与被审者没有真正的或明显的利益冲突。
内部审计机构主管可与管理层和董事会讨论外部检查的性质,并参与选择外部检查人员。
检查之后检查组应提出一个正式的,说明该内审机构遵守《内部审计实务标准》和章程的情况,并提出改进建议。 内审主管应根据检查报告制定改进计划,并适当安排后续审计。
外部检查至少三年一次。遇有特殊情况可以变通,如:①董事会认为需要进行检查时;②外部审计师或其它人员认为需要深入检查时;③或者内审章程、组织、人员、审计范围有变动时。
由于条件限制不能进行外部检查时,内审主管应当加强日常监督和定期检查,或者利用合格的内部小组来进行检查,如请前任内审主管、分支机构的内审经理或管理层的顾问人员来进行。不过这样做的效果远不如外部检查。 准则1330指出,内部审计机构的工作质量经过评价确认其遵守了《内部审计实务标准》之后,鼓励内审机构可在工作报告中声明:本内审机构的工作遵守了《内部审计实务标准》。 如果经过评价认为内部审计活动没有完全遵守《标准》,当不合规行为影响到全局或内部审计活动的开展时,应向高级管理层和董事会报告不合规行为造成的影响。
21
第七章 工作标准
本章包括2000—2600七条一般准则,42个公告。
第一节 2000管理内部审计活动
本节有六条具体准则,10个公告。
内部审计机构主管应有效地管理内部审计机构,以便完成内审机构的宗旨和职责,充分利用内审机构的资源,使内审活动符合《内部审计实务标准》的要求,为组织增加价值。
管理内部审计活动的主要依据是,由高层管理批准、董事会认可的内部审计章程,在那里规定了内审机构的宗旨和职责。
内部审计活动的管理包括从计划到报告的整个过程。 一 制定内部审计机构工作计划
内部审计机构的工作计划,要与内部审计章程和组织的目标一致。工作计划包括: 1、 确定内部审计机构的目标; 2、 制定审计工作日程表; 3、 拟定人员计划和财务预算; 4、 计划的报告和审批。 分述于下:
(一)内部审计机构的目标
内部审计机构工作的目标是按时、按质、按量、按预算完成经营计划。在制定机构工作目标时,应附有检查标准和完成任务的日期,以便检查目标的完成情况。
(二) 制定审计工作日程表
制定审计工作日程表是工作计划的主要内容。在工作日程表中有多项内容。但主要内容有三项:被审者(被审单位或活动)、计划审计日期、预计需要的审计工时。其中最主要的是确定被审者。 在一个组织里潜在的被审者可能很多,而审计资源有限,在计划期内审哪一些单位,谁先谁后,取决于它们的相关风险,因此首先要讨论风险问题。
1、 什么是风险
风险是指会对实现组织目标产生负面影响的事情,可以说凡是可能对实现组织目标产生负面影响的事情或活动都是风险。风险要由它造成的后果和可能性来衡量。下列事情可能给组织带来风险:
(1)因使用不正确、不及时、不完整、不可靠的资料而导致决策错误。
(2)记录有错误、会计核算资料不真实、不完整、财务报告有欺骗性行为,以及发生财务损失。 (3)资产保护不当。
(4)顾客不满意,组织信誉受损。
(5)执行组织决策、计划、程序不力,或有违法违规行为。
22
(6)不经济地获取或无效地利用资源。 (7)没有完成组织的任务和目标。
以上七点除了第4点其余都是内部控制的5个内容。所以风险也就是管理失控的风险。 2、怎样评估风险
风险评估是挑选被审者并确定其先后秩序的重要手段。风险评估可分三个阶段进行: (1) 哪些事项应列入审计对象;
(2) 列入审计对象的事项哪些会给组织带来风险; (3) 哪些风险要先审。
第一阶段:确定可审事项并进行分类 《标准》指出有10类被审事项: (1) 政策、程序和惯例。
(2) 成本中心、利润中心和投资中心。 (3) 总帐余额。
(4) 信息系统(手工的或电算化的)。 (5) 主要合同或方案。 (6) 企业组织的产品或服务。
(7) 职能部门,如电子数据处理、采购、营销、生产、财务、会计和人力资源。
(8) 业务活动系统,如销售、收款、采购、付款、存货和成本核算、生产、现金、工资和资本性资产。 (9) 财务报表。
(10) 法律和规定的遵守情况。 第二阶段:确定相关风险因素
即在10类被审事项中,要确定哪些事项会给组织带来风险。在制定计划时风险因素不宜列得太多,以致失去重点;也不宜列得太少,以保证风险评估的全面性。在《标准》中列举的风险因素有14种:
(1) 管理层对完成目标的道德观念和紧迫感。 (2) 人员的胜任能力、恰当性和完整性。 (3) 资产的规模、流动性或经济业务的数额。 (4) 财务和经济状况。 (5) 竞争条件。
(6) 经营业务的复杂性和易变性。 (7) 顾客、供应商和政府法规的变动。
23
(8) 信息系统电算化程度和变化。 (9) 经营活动的地理分布。
(10) 内部控制系统的恰当性和有效性。 (11) 组织、经营、技术或经济变化。 (12) 管理层的判断和会计预测。
(13) 对审计结果的认可和采取的纠正行动。 (14) 上次审计的日期和结果。 第三阶段:对被审者进行排序
就是在第二阶段的基础上,进一步确定先审谁,后审谁,在工作日程表上排个先后顺序。《标准》提出比较相关风险的7项标准:
(1)上次审计日期及结果。上次审计间隔期长的,问题多的,应当先审。 (2)财务暴露的问题。涉及的金额大的先审。
(3)可能出现的损失和风险。可能出现的损失和风险大的先审。 (4)管理层的要求。管理层有要求的先审。
(5)经营、方案、制度和控制系统有重大变动的先审。
(6)获得经营效益的机会。能使审计机构获得较大审计效益的先审。
(7)审计人员的变动及工作能力。第1—6点是讲客观需要,此处则讲主观条件。看内审机构有没有能力来完成这么多任务。有就多安排,没有就少安排。在制定计划时要留有余地。
内审部门在制定工作日程表时应广泛听取各方面的意见。包括:董事会及各种管理人员的意见;外部审计师的意见;法律、法规的要求;对财务和经营情况的分析;审计前掌握的资料以及行业或经济发展的趋势。在此基础上对工作日程表作恰当的调整。
工作日程表制定出来之后,应定期进行评估,如果风险因素发生了重大变化,应作适当调整。 风险评估通常每年进行一次,根据情况变化,重新排列优先审计顺序。 (三)人员计划和财务预算
内部审计执行主管应确保审计工作有适当的、充分的资源,并有效利用,以完成审计工作计划。
人员和财务预算应根据审计工作日程表、内审机构管理活动、人员的教育和培训、以及审计研究和开发工作的要求来制定。
人员计划包括人数和人员的素质、知识、技巧和能力。
内审主管要为每一个岗位制定职责说明,按照岗位职责选择合格的人员,为他们的发展提出建议,为他们的后续教育提供机会,对他们的工作至少每年要进行一次鉴定。
(四)计划的报告和审批
内部审计机构的工作计划应报高级管理层审批,并报董事会备案。使他们能够确定内审机构的目标和计划,能否
24
有助于实现组织的目标和计划。工作计划在中期发生重要变化时,亦应如此,以便及时调整。如果内部审计资源不足,内审主管应向高级管理层和董事会报告资源不足可能带来的后果。
二 制定内部管理的政策和程序
大的内部审计机构应制定一本适合本单位的内部审计手册,以指导审计人员遵守《标准》。至于一些小的内审机构,则可以通过日常的工作指导和备忘录来指导。
三 内审人员和外审人员的协调
对内部审计工作与外部审计工作的协调与监督,是董事会的责任。内部审计主管在董事会的支持下负责实际的协调工作。在与外部审计人员协调时内部审计人员必须在遵守《标准》的原则下进行。
内外协调的目的是,确保双方有充分的审计范围,而又最大限度地避免重复劳动,以提高内部审计工作效率。 协调的内容包括:
1、 协助外部审计师进行财务报表审计。
2、 评估双方的审计职责,包括审计总体效率和效果。
3、 根据董事会的指示,评价双方的工作协调情况,并汇报评价的结果。
4、 评价外部审计师的业绩。包括专业知识和经验、对组织所在行业的了解、独立性、外部审计服务的可获得性、外部审计师对本组织的需求的回应、主要审计师的延聘、双方的工作关系、业务约定书的执行情况、为本组织增加价值所作的贡献等。
5、 就特定事项与外部审计师交流,包括:影响外部审计师独立性的事项、重大的控制薄弱环节、错误和违规事项、违法行为、管理层的判断和会计估计、外部审计师开展工作时遇到的困难。
6、 定期商讨双方关心的事项,包括:协调双方的审计范围,以便最大限度的减少重复、讨论互相接触对方的工作底稿、互相交换审计报告和管理建议书、互相理解对方使用的审计技术、方法和术语,以便于交流。
四 内审在聘任内部和外部专家过程中的作用 (一)为什么要聘任内部或外部专家
除了财务报表按规定要聘请注册会计师审计以外,还有一些事情要请内部或外部专家来帮忙。因为内审机构编制有限,专业知识也可能不足,需要聘请他人来协助。比如税务服务、咨询服务、各种非审计服务、证券服务、法律服务、招聘、精算服务等。
(二)内审在聘任过程中的作用
准则要求内审主管与提供保证或咨询服务的内部或外部专家协调行动和分享信息。
然而,内部审计师在组织聘任内部或外部专家过程中的参与程度,取决于高级管理层和董事会的意愿。可能是不参与、提供建议和协助、参与管理、乃至审计聘任的全过程。
组织内部已经设有审计机构,现在又去聘用内部或外部审计人员,甚至不让内审机构参与这个过程,必然会引起内部审计人员的疑虑,认为这是对自己工作不满的表现。因此,董事会和审计委员会要对聘任内部或外部审计人员制定一项政策,说明这是一项定期的需要,是组织的正常业务活动,以消除疑虑。如果没有这样一项政策,内审主管应当促成这项政策。
在制定聘用政策时要考虑董事会和审计委员会的政策:什么事情、为什么要聘用内部或外部人员、谁来参加选择和评价小组、评价的标准是什么、合同期限和服务费用、行业管理和国家管理有什么规定,等等。
25
(三)参与聘任过程的具体操作
内部审计师参与聘任内部或外部专家时,可以采取以下程序: 1、 由管理层召开会议,说明需要提供的服务和条件。 2、 与候选人举行现场会议。
3、 要求候选人提供背景信息和其他信息,如公司的历史、规模、现有资源、管理理念、专长、行业经验、参与本
项目的人员简历、审计方法。 4、 筛选候选人。
5、 签订书面协议,明确权责。
所有有关内部或外部专家的聘任、留任、去任都应有书面记录。 五 定期向董事会和高级管理层报告
内部审计主管应定期向董事会和高级管理层报告工作,报告至少每年进行一次。报告的内容包括:重要的审计发现和建议,审计工作计划、人员计划和财务预算在执行中出现的重要偏差及其原因。
第二节
2100内部审计工作的性质和范围
准则2100有3条具体准则,有10个公告。这10个公告占了全部公告的22.8%的篇幅,其内容包括风险管理、控制和治理过程等新增加的内容,是辅导的一个重点。由于内容较多,下文分别用2.1—2.4四个标题来讲述。
2.1 内部审计工作的性质和范围 一、 内部审计工作的性质
内部审计工作的性质是指内部审计工作是干什么的。
内部审计工作的性质受内部审计定义的规范。内部审计定义指出:内部审计要通过系统化、规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。
根据这个定义,公告2100—1指出:内部审计工作的性质是要应用系统化、规范化的方法,来评价和改进风险管理、控制和治理过程的充分性、有效性和履行职责的质量,以达到合理保证这些程序按计划进行,改善组织的经营状况,以实现组织的目标。
充分性是指管理层已经设置了风险管理、控制和治理程序,能够为实现组织目标提供合理的保证。 有效性是指设置的风险管理、控制和治理程序能够准确、及时和经济地实现组织目标。
经济性是指根据风险程度,以最低的成本,降低风险,并把预期的风险限制在一个可容忍的水平。 二、 内部审计的工作范围
26
内部审计的工作范围是指,内部审计人员在执行审计任务时应做哪些审计工作。它受内部审计工作性质所规范。 从内部审计工作性质可知,内部审计的工作范围主要包括两项: 1、 检查、评价风险管理、控制和治理过程的充分性和有效性。 2、 检查、评价完成指派职责的质量。
内部审计工作范围还包括审计评价管理控制目标的实现: (1) 审查财务和经营信息的可靠性和完整性; (2) 审查运营的效率和效果; (3) 审查财产的保护情况;
(4) 审查法律、法规和合同的遵守情况。
总之,内部审计的工作范围包括评价整个管理过程。 2.2 对风险管理过程的检查和评价 一、 内部审计在风险管理过程中的作用
风险管理是管理层的一项主要职责,它应当确保组织中有良好的风险管理过程,并使其发挥作用。 董事会和审计委员会负责监督、判断组织是否有适当的风险管理过程,以及是否充分、有效。
内部审计师的职责是,运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见,为管理层和审计委员会提供帮助。
风险管理是一个复杂的系统工程,在一个组织内部应当有职责分工各司其职。董事会负责制定战略目标。高层领导各负责一个方面的风险管理责任。其它管理人员由管理层分配给一部分工作。操作人员负责日常的监控。而内审人员则负责定期评价和保证工作。
然而,内部审计机构参与风险管理可能会有一个发展过程。一开始可能不起作用,后来作为审计计划的一部分进行审计,之后发展到积极持续地参与风险管理过程,最后进到对风险管理过程进行管理和协调。至于究竟起多大作用要由高级管理层和审计委员会决定。但不论责任多大,应当在章程中加以规定。
另外,还有一些组织尚未建立风险管理过程,在这种情况下内审主管应提请管理层注意,并提出建议。如果管理层提出建立风险管理系统的要求,内审可以协助,但不能超出正常的保证和咨询范围,以免损害独立性。内部审计师可以促进、协助风险管理过程的建立,但不负风险管理的责任。管理层要求内审在风险管理过程中承担的责任,要在章
27
程中规定。
二、检查、评价风险管理过程的充分性和有效性
内部审计主要从两个方面评估风险过程的充分性和有效性。 (一)评价风险管理主要目标的完成情况
在不同的组织里风险管理的方法不尽相同,但在风险管理的目标方面是一致的。这些目标是: 1、 查明影响经营战略与业务活动的风险,并按风险大小进行排序。 2、 了解管理层和审计委员会确定的、能够接受的风险水平。 3、 制定并实施降低风险计划,把风险降到可以接受的水平上。 4、 定期对风险和控制进行评估,以降低管理风险。 5、 定期向董事会和管理层报告风险管理过程的结果。
内部审计师必须从这5个目标的完成情况去评价风险管理的充分性和有效性。评价的内容包括以下9点: 1、 评价组织和行业的发展情况和趋势,确定是否可能存在影响组织的风险。 2、 检查组织的经营战略,确定组织对风险的接受。
3、 检查管理层、内部和外部审计师,以及有关方面以前发表过的风险评估报告。
4、 与相关管理层讨论部门的目标,存在的风险,以及管理层采取的降低风险和加强监控的活动,并评价其有效性。 5、 评价风险监控报告制度是否恰当。
6、 评价风险管理结果报告的充分性和及时性。
7、 评价管理层对风险的分析是否全面,为防止风险而采取的措施是否完善,建议是否有效。
8、 对管理层的自我评估进行实地观察、直接测试,检查自我评估所依据的信息是否准确,以及其他审计技术。 9、 评估与风险管理有关的管理薄弱环节,并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与组
织风险管理战略不一致,应按《标准》2600“管理层对风险的接受”进行报告。 (二)评价管理层选择的风险管理方式的适当性
由于各个组织的文化、管理风格和工作目标不同,风险管理的实施也有很大差别。各个组织应当根据自身活动的性
28
质来设计风险管理过程。风险管理过程可以有以下三种方式:
1、 正式的方式和非正式的方式; 2、 定量的方式和主观的方式; 3、 分散管理的方式和集中管理的方式。
一般说来,规模大的、在市场集资的公司必须用定量的风险管理方法。规模小的、业务不大复杂的,则可以设置非正式的风险管理委员会定期开展评价活动。审计师的职责是评价组织风险管理方式,与组织活动的性质是否适当。
2.3 对控制过程的检查和评价 一、检查评价内部控制系统的充分性
检查、评价内部控制系统的充分性,就是要确定现行控制系统能否适当地保证组织的任务和目标经济有效地完成。 任务。任务是拟定目标地依据。先提出任务,后拟定目标,即所谓“任务的制定先于目标的选择”的意思。 目标。目标是预期要取得的成果。或预期要达到的目的。拟定的目标应当是可以衡量、可以检查和可以达到,并与任务相一致。拟定目标时还应考虑到一旦完不成会有什么后果(风险)。
控制系统的充分性。一个系统设计得是否充分,应视乎它在执行中是否能够为完成任务和目标提供适当得保证,即按照它去做能否达到预期的结果。
适当的保证。即不要求内部控制系统设计得天衣无缝,不出任何偏差,而只要求它做到把偏差限制在一定的标准内,或者在偏差发生时,能由雇员通过互相控制,自动地揭露出来,并加以纠正。
经济有效。“有效”意即经济地执行。设计和执行一个控制系统必须考虑其成本与效益问题。要做到以最少的费用,或者说,以与风险相适应的成本,正确、及时、有效地完成任务和目标。亦即《内部审计工作职责说明》所说的:“以合理的费用促进有效的控制系统”的意思。
二、检查和评价内部控制系统的有效性
检查、评价控制系统的有效性就是要确定现行控制系统是否能取得预期的效果。所谓预期的效果就是能为组织完成任务和目标提供适当的保证。
一个控制系统要达到预期的效果,必须有一套与之相配合的制度,包括批准和监控制度,定期检查、比较、分析制度,以及健全的记录制度。
29
批准(授权),是指所进行的活动要经过授权,以保证将要发生的业务符合既定的政策和计划。
监控(监督、监视、检测),就是在完成任务和目标的过程中,不断检查、核实所进行的活动是否符合原定的政策、计划,防止出现偏差,并提出报告。
比较,就是定期将实际与计划比较,检查计划的完成情况,并分析差异产生的原因。然后,将监控和比较、分析的结果,写成报告,提出建议,协助领导完成任务和目标。
三、对管理控制目标的检查和评价
(一) 检查评价信息的可靠性、完整性和安全性
财务和经营信息是决策、控制和外部信息使用者所需的资料,内部审计师应当审查其可靠性和完整性。审查的内容包括:
1、 资料的正确性、可靠性、及时性和完整性;
2、 整理、分类、汇总、报告这些资料所使用的方法是否正确; 3、 资料的保管和报告控制系统是否恰当、有效。
近年来高科技迅速发展,信息安全问题引起各方的关注,国际内部审计师协会专门为此发布了《2100-2:信息安全》公告,指出保证信息安全是一种管理责任。内部审计师在评价信息安全性时,应当:
1、 确定内部审计是否有足够的资源来对信息安全及其相关风险进行评价。即自身有没有这种能力。 2、 管理层是否保证一旦受到损害立即告知内审机构。这是客观条件。
3、 在主客观条件具备的情况下,内部审计师应当评价过去发生的侵害行为。评价组织对可能发生的侵害行为所采取的预防、发现、减缓措施的有效性。核实治理机构获知侵害行为造成的威胁、侵害行为的具体情况、受攻击的薄弱环节,以及纠正措施。
内部审计师应当定期对信息安全性进行评价,评价的结果应报告治理机构。评价工作可以单独进行,也可以结合在其他审计计划进行。
(二)检查评价运营的效果与效率
也就是审查资源利用的经济性和有效性,审查的内容包括:
1、 管理层有没有制定衡量资源使用的经济性和有效性的标准,作为检查的依据;
30
2、 制定的标准是否为员工所接受和遵守;
3、 查明实际与标准的差异及其原因,并向负责人报告; 4、 对存在的差距是否采取了纠正措施;
5、 检查设备是否充分利用,非生产性活动是否过多,费用是否失控,人员是否过剩或不足。 (三)检查评价资产的安全保护 审查的内容包括:
1、 保护财产安全使其免遭损失的方法是否有效; 2、 采取一定的程序检查财产的实有数。 (四)检查评价法律、法规、合同的遵守情况
这是合规性审计。审查组织的各项活动是否合法、合规。审查的内容包括: 1、 管理层有没有建立监督执法系统; 2、 评估这些系统是否恰当、有效;
3、 检查在业务活动中是否遵守了有关政策、计划、程序、法律和规定。 四、单项评价和总体评价
管理职责可以分为三个层次:战略性的、战术性的和运营性的。对负责运营性的管理者,用单项评价来确定其完成职责的质量。对战略性管理人员则要通过总体评价来确定其受托责任的完成情况。至于战术性管理人员则介乎两者之间。由于单项评价和总体评价的性质如此,所以本题讲述的内容实际上是检查评价完成指派职责的质量(即前述主要审计范围的第二项)。
单项评价与总体评价的关系是,单项评价是总体评价的基础,总体评价是单项评价的总括和深化。它们的关系可用下图表示:
评价单项控制系统 评价总体控制系统
(1)评价个别管理人员的工作任务 (4)评价组织的任务和
和目标完成情况 目标的的完成情况
31
(2)评价局部工作任务和 (3)评价管理层、高级管理层的工
目标的完成情况 作任务和目标的完成情况
所以,总体评价从范围来讲就是评价组织内部各种控制系统和所有的活动。从目的来讲就是要评价控制系统能否适当保证组织目标的完成。
在总体评价之后审计师应当考虑三个关键问题: 1、 是否发现了漏洞或薄弱环节; 2、 发现之后是否进行了改进;
3、 是否可以得出组织存在无法接受的普遍的风险。然而这个结论是不能轻下的。
无论是单项评价或总体评价都要有标准。如果本组织制定的标准适用,应予采用。如果本组织没有制定标准,或者不适用,应向管理层报告,建议采用行业标准、专业组织标准、协会标准、法律和政府标准。如果管理目标和标准模糊,审计师应寻求权威性解释。衡量业绩的标准应与被审单位达成一致意见。
五、对控制过程评价的报告
审计主管每年应向高级管理层和审计委员会提交一份控制过程状况的报告。着重说明控制系统在实现组织目标方面所起的作用,以及形成总体评价意见的重要依据。
报告根据发现的风险水平和对组织目标的影响,用三种形式发表审计意见: 1、 否定式。经过审计没有发现控制系统存在普遍的严重薄弱环节时用。 2、 保留意见或反面意见形式。经过审计发现控制系统有漏洞或薄弱环节时用。
年度报告报给高层执行官和审计委员会委员。报告要做到简明易懂、信息量大、有建设性意见,以增加对读者的价值。
六、控制自评
(一)控制自评的意义和作用
控制自评是管理人员和内部审计师合作评价控制程序有效性的一种方法,又称为控制风险自我评价。
内部审计传统的方法是,通过审计测试发现问题与管理人员交换意见,然后提出审计报告,指出存在的问题和改进的建议。管理人员根据审计报告采取相应的措施,克服工作中存在的缺点和错弊。这种做法的缺点是管理人员没有参与,把监控工作完全委托给了审计人员,因而不能及时发现问题,揭示风险所在,缺乏应有的效率和效果。随着内部
32
审计的发展有必要用新的方法来改进。这种方法就是与管理人员结合,进行内控自评。
通过控制自评可以发挥管理人员的积极性,他们可以学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,使纠正措施更易于落实,使业务目标的实现更有保证。
内部审计师通过控制自评可以更好地了解控制程序的运作,以及剩余风险的严重程度。可以减少控制程序信息的收集,并取消某些测试工作。可以提高对控制过程评价和报告的质量。 (二)内控自评的目标和组织形式 内控自评有四个目标:
1、 确认风险。找出存在的风险。
2、 评价为减少风险而设置的风险管理和控制措施的有效性。 3、 制定把风险减少到可以接受程度的计划。 4、 确定实现业务目标的可能性。
为了实现内控自评的目标,可以采取三种组织形式: 1、 举办协调小组研讨班; 2、 开展调查;
3、 举行管理人员分析会。 通常这三种形式是综合运用的。 1、协调小组研讨班
研讨班由各业务部门或职能部门不同层次的人员参加,组成工作小组去收集信息。研讨班有四种组织方式: (1) 以业务目标为基础的方式。这是一种实现业务目标的最佳方式。具体做法是,从检查为实现业务目标而制定的控制措施开始,评价控制措施是否有效,确定剩余风险是否可以控制在可以接受的水平上。
(2) 以风险为基础的方式。这种方式按照目标、风险、控制过程的顺序开展工作。首先列示阻碍目标实现的各种风险,然后检查控制措施是否能对关键风险进行管理,最后确定剩余风险的严重性。
(3) 以控制为基础的方式。这种方式在开始运作之前已确认了关键的风险和控制,所以一开始便对减少风险的控制程序进行评价,分析其目前运作情况与管理人员的期望值之间的差距。
33
(4) 以过程为基础的方式。过程是指某一事项从开始到结束的全过程。这种方式要评价覆盖全过程的目标和各个中间步骤。目的是评价、更新、证明、改善和简化整个过程及其各组成活动的内容。它比以控制为基础的方式分析面更广,覆盖面更宽,为管理工作提供更多的支持。 2、调查形式
一般使用问卷调查形式。这种形式在人数多、地区分散不宜集中举办研讨班,或者文化环境不便于公开坦诚的讨论,以及管理人员为了节省时间和成本的情况下比较可取。
3、管理人员分析会的形式
由了解情况的人员或辅助人员组成小组,提出有关业务过程、风险管理活动和控制程序的问题进行分析,做出知情人的判断意见。
控制自评的报告大多在研讨班中产生。报告记录小组的一致意见。在提交最终报告之前,小组要对报告进行审议。在意见不一致的情况下应进行无记名投票,以反映各种观点。
以上介绍了控制自评的各种组织形式。由于控制自评是一种新的审计方法,以及各个组织所处的环境不同,在运用时要从实际出发,与时俱进,开拓创新,灵活运用各种方式和方法。
(三)内部审计机构在控制自评中的作用 内部审计机构在控制自评中可以发挥以下作用:
1、 对某些自评项目进行投资。包括赞助、设计、培训、承办自评项目、安排管理人员和工作小组参加有关项目等。 2、 为工作小组配备协调员和专家,给予人力支持。 3、 担任自评项目顾问,对小组评价报告担任最终核实人。 4、 通过自评协助管理人员建立和完善风险管理和控制系统。
为了保持内部审计机构的独立性和审计人员的客观性,内审主管在参与控制自评的过程中,要监测审计人员的客观性,以保证评价结果的客观性。
2.4 对治理过程的检查和评价 一、 什么是治理过程
《标准》在词汇表中对“治理过程”定义为:“组织的投资人代表,如股东等,所遵循的程序,旨在对管理层执行
34
的风险和控制过程加以监督”。
《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:(1)制定、传达目标和价值;(2)监控目标的实现情况;(3)确保责任制;(4)维护价值。内部审计师应对运营和项目进行评价,以确保与组织的价值保持一致。”
《公告》2130—1指出:治理过程是指组织履行下述四种责任的行为方式: 1、 遵守法律和规章;
2、 遵守公认的业务规范、道德观念,并满足社会期望;
3、 为社会提供总体福利,并加强有具体利益关系方的长期和短期利益;
4、 全面地向业主、执法人员、其它利害关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。 从上述可知:
1、 治理过程是所有者及其代表对管理者执行的风险管理和控制过程的监督活动。
2、 治理过程的一个方面是要监督、敦促管理者和员工忠于职守、遵守法律、道德规范和社会责任。在组织中建立起一种道德文化。
3、 治理过程要求组织守法经营、诚信经营,反对弄虚作假,对国家、对社会、对投资者、对客户和员工负责。 4、 治理过程的宗旨是确保组织目标的实现和维护组织的价值。这一点不要有误解。
由于风险管理和控制过程上文已经讲过了,所以公告2130—1着重讲在组织中建立道德文化,以及内部审计师的作用。
二、组织道德文化的特点与内部审计师的作用
组织治理实务是一个组织独特文化的反映。有如一个人的行为,是其世界观的反映一样。组织的行为模式、目标和战略的制定,业绩的衡量和报告,对履行社会责任的态度,无不受其影响。因此治理过程的有效性在很大程度上取决于组织的文化。正因为如此,在一个组织中每一个人都应对组织的道德文化负责,每一个人都应成为良好道德文化的倡导者和执行者。现时有越来越多的组织任命道德主管担任行政人员、管理人员和顾问。
内部审计机构和内部审计师由于在组织中得到高度的信任,有良好的道德操守和技能,有能力提请领导层、管理人员和员工遵守法律、道德规范和社会责任,应当支持组织在道德文化建设中发挥积极作用。 良好的道德文化具有以下特征,内部审计机构和内部审计师应当定期评价这些特征是否有效: 1、 有清晰易懂的道德规范及相关的说明;
35
2、 由有影响力的领导经常宣传鼓励员工成为良好道德文化的执行者; 3、 有支持并加强道德文化的具体措施; 4、 有保护检举人的举报制度;
5、 有要求雇员、供应商和顾客定期声明遵守组织道德规范的制度; 6、 设有接受举报的机构,以保证检举得到评价;
7、 有道德文化宣传教育机制,使员工都能成为良好道德文化的倡导者; 8、 定期对雇员、供应商和顾客的道德状况进行调查; 9、 定期检查组织道德文化可能受到的损害;
10、 把背景调查和诚信测试作为招聘员工的一个内容。
第三节 2200审计业务计划
这里讲的是审计业务计划,与本章第一节讲的内部审计机构工作计划不同。
准则从2200开始到结束讲的是审计工作的执行。包括:审计业务计划的制定、审计业务计划的实施、审计结果的报告、后续审计和管理层接受剩余风险时的处理。可以说这是一个大单元。 准则2200审计业务计划有4条具体准则:2210—2240,有6个公告。 制定内部审计业务计划要遵循8个步骤,分述如下: 一、 确定审计目标和范围
审计目标是内部审计师开展的审计业务希望达到的目的所作的简要说明。
为了完成审计目标,要采取一定的审计程序。所谓审计程序就是为实现审计目标而进行的收集、分析、解释和记录审计资料的作业。审计目标不同,审计的程序和方法亦不相同。比如现金审计和销售审计其程序和方法是不相同的。审计目标和审计程序决定审计的范围,审计的目标和程序不同,审计的范围也就不同,内部审计的范围已在本章第二节作了详细的说明了,内部审计师在开展咨询业务时,应确保审计范围的充分性,如果对审计范围有保留,应与客户讨论,决定是否继续工作。
在制定审计业务计划时要抓住审计的重点。重点就是被审活动的风险。所谓风险就是可能影响组织目标实现的事项。因此在制定业务计划时要评估被审活动的风险管理和控制的充分性和有效性,并将评价结果反映在审计目标上,以便经过审计采取措施把风险控制在可接受的水平上。
内部审计师接受咨询业务时,应就审计目标和范围,以及各自的责任与客户达成书面协议。
在制定审计业务计划时还要考虑审计所需的时间,预计完成的日期,以及最终报告的形式,以便编写最终审计报告。
36
二、收集被审事项的背景资料
在制定审计业务计划过程中评价风险时,内部审计师应获取被审活动的背景资料,检查这些背景资料,以确定其对审计业务的影响。要收集的资料包括:
1、 组织的基本情况。包括:组织的任务、目标和生产经营计划、人员及其分工,组织的规章、制度,最新的动态,组织的经济状况,预算和财务资料。
2、 以前的审计资料、以前的工作底稿、重要问题的审计档案、注册会计师的审计报告,以及适用于被审活动的权威性和技术性文件。
3、 适用的法律、法规、规章、制度等。 三、配备审计人员
为了实现审计目标,要根据审计业务的性质和复杂性,时间限制和可以获得的资源来配备审计人员。计划时要考虑: 1、 所需的审计人员数量、经验和水平;
2、 根据审计任务、性质和复杂程度,挑选相适应的人员; 3、 根据不断发展的需求,考虑人员的培训; 4、 考虑是否需要聘请外部专家。 四、召开见面会
与被审活动的管理人员举行见面会,会上介绍本次审计的审计组长和组员,彼此相互认识。说明本次审计的目的和范围,审计时间安排,以及关注的问题。请管理当局介绍近期的经营活动和组织情况,以及管理层要求关注的问题。确定审计期间相互沟通的时间、方式和人员,确定报告程序和后续审计。 对会上讨论的问题,双方发表的意见,取得的一致认识,要写入工作底稿。 五、现场调查
现场调查是一般性调查,不需要很详细,其目的在于熟悉被审活动和控制系统的一般情况,摸索并确定审计重点,听取被审者的意见和建议。
现场调查的范围取决于审计的水平,对被审单位的了解,审计的类型,以及是经常性审计还是后续审计。调查的重点取决于被审事项的性质,不能千篇一律。调查所需时间取决于调查的范围、重点、地理因素和交通条件。 现场调查应采取以下程序:与被审者座谈,访问知情人,实地考察,阅读管理人员的工作报告,分析取得的资料、编制流程图,进行初步的遵循性测试,记录重要的控制程序。然后,撰写现场调查总结。
调查总结的内容包括:收集到什么资料。根据收集到的资料审计师认为审计的重点是什么。拟定审计的目的、程序和方法。根据控制的重点和存在的问题,还要收集什么资料和时间要求。拟定撰写审计报告的日期和提交日期。如果
37
经过调查认为不继续进行审计的话,要说明理由。 六、编制审计方案
审计方案也叫审计程序表,是审计师把用于收集、分析、解释和记录资料的程序列成的一份清单。
审计方案的内容包括:审计的事项、审计的目标、审计的范围和深度、需要收集的证据,以及检查的技术和方法,如测试和抽样等。
审计方案要在审计实施前编写出来并报经批准。在执行过程中可根据需要进行调整,但任何调整亦需报经批准。 七、报告审计结果
内部审计机构应在审计计划中确定,以何种方式、何时、向谁报告审计结果。其后如果有变动,影响报告的时间,亦应向管理层报告。
八、取得对审计业务计划的批准
审计业务计划必须在审计工作开始前由内行主管,或其指定人书面批准。在执行过程中如需调整亦需得到书面批准。在某些情况下来不及获得书面批准,可先取得口头批准。
第四节
2300开展审计业务
准则2300有4条具体准则,6个公告。下面分几个问题来讲述。
一、收集审计资料
准则指出,内部审计师应收集充分、可靠、相关和有用的信息,以实现审计目标。 凡是与审计目标和范围有关的资料都应收集,收集资料时应当做到:
1、收集的资料应当是真实的、恰当的、有说服力的。任何一个有业务知识的、正常的人根据这些资料都可以得出相同的结论的。
2、收集的资料应当是有法律效力的。即收集的资料是可靠的,只要使用适当的审计技术就可以得到的。 3、收集的资料应当是相关的。即收集的资料是符合审计目标的,能够为审计结果和建议提供依据的。 4、收集的资料应当是有用的。即收集的资料应有助于组织完成其目标的。 收集资料可以采用分析性审计程序。 二、分析和评价资料
审计师应当在分析和评价资料的基础上得出审计结论和审计结果。收集、分析和评价资料应采用分析性审计程序。 分析性审计程序(又称分析法、分析性审计)是分析资料的有效方法。分析性审计程序是通过对比来评价财务资料的一种方法。比如,将本期资料与前期比,本期资料与预算或预测资料比,将财务资料与非财务资料比,资料要素之间相比,本组织的资料与其他组织资料比,本组织的资料与同行的资料比,也可以与审计师确定的期望值对比。 比较可以用货币指标、实物指标和比率指标来对比,也可以对分析事项作趋势分析和回归分析,等等。
分析性审计程序无论在制定计划阶段,还是实施审计阶段和审计报告阶段都可以采用。在审计过程中出现意外差异时,没有出 现预期情况时,存在潜在差错、不正当行为或非法行为时,以及出现不正常或非常交易时,均可以使用分
38
析性审计程序。
在使用分析性审计程序时应考虑:审查领域的重要性,内部控制系统的适当性,使用的资料的可靠性和可比性,分析结果的正确性,以及其他审计程序得出的结果。然后考虑是否还要采取其他审计程序来达到审计的目的。 三、解释资料
当采用分析性审计程序得出非预期的结果时,审计师应检查和评价这种结果或其相关的问题。他应向管理层查询,或采取其它审计程序,直至得到满意的解释为止。如果还是得不到满意的解释,那么,就可能预示着存在潜在的差错,不正当行为或非法行为。这时应向管理层报告,并建议采取适当的措施。
最后,应当指出,不论采用何种审计程序,都是事先选定的,但必要时可以变动或扩展。 四、记录信息
内部审计师应记录有关的信息,以支持审计结论和审计结果。
信息是记录在审计工作底稿上的。举凡收集的审计资料,作出的审计分析,得出的审计发现和提出的审计建议,都应计入审计工作底稿。审计工作底稿可以是纸质的,也可以是非纸质的。
(一) 审计工作底稿的作用 审计工作底稿有以下作用: 1、 为编制审计报告提供依据。
2、 为制定审计计划、执行计划和检查计划提供资料。 3、 说明审计目标的完成情况。 4、 便于第三者审查。 5、 为评价审计质量提供依据。
6、 为保险索赔、舞弊案件和诉讼提供支持。 7、 便于提高审计人员的水平。 8、 证明内审人员遵守了《标准》。 (二) 工作底稿记录的内容 下列资料应记入工作底稿: 1、 审计计划和审计方案。
2、 对内部控制系统所作的检查和评价。 3、 执行的审计程序、取得的资料、得出的结果。 4、 内审主管对工作底稿的审查意见。 5、 提交的审计报告。 6、 进行的后续审计。 (三) 工作底稿记录的资料
39
1、 内控调查表、流程图、核对清单和记事。 2、 调查记录和备忘录。 3、 组织系统图和工作程序图。 4、 重要合同、协议的复印件。 5、 有关经营和财务政策的资料。 6、 对内部控制系统的评价意见。 7、 确认和陈述的信件,如应收款函证。 8、 有争议的交易事项及其处理意见。 9、 对帐户余额的检查、分析。 10、 实施的分析性审计程序。 11、 审计报告及管理层的意见。 12、 审计结论及其反馈意见。
(四) 工作底稿的编制技术
每张工作底稿都有一个“标头”,用以记录被审事项的名称、内容和目的,审计的日期或时期。审计师要在工作底稿上签名,并注明日期。工作底稿应有目录或索引,使用的符号应有注释。工作底稿上记录的数据应注明来源。财务报告资料要注明与记录是否一致。
(五) 工作底稿的审校和管理
内部审计主管对工作底稿负完全责任,他负责制定工作底稿的各项政策。包括格式、内容、记录方法、归档保管制度等。他应亲自或者指定有较高水平的审计师代为审核工作底稿上的记录,以保证审计报告有合适的依据和经过必要的审计程序。
审核人应在审核过的工作底稿上签字,并注明日期。在审核中发现的问题应写成审核记录。过后还要审查审核记录发现的问题是否已经解决。已经解决的审核记录可以保留也可以销毁。
工作底稿应归档,保管在内部审计机构。工作底稿的所有权属于本组织。调用工作底稿应经内审主管的批准。对外公开工作底稿之前,应经高级管理层或法律顾问的批准。
五、对审计业务的监督
内部审计主管应保证对内部审计工作进行适当的监督。监督是一个持续的过程,从制定审计计划开始,贯穿于检查、评价、报告和后续审计的各个阶段。而不管该项审计工作是否由内部审计机构来实施,都要由内审主管负责,以确保实现审计目标,保证审计质量,提高审计人员的素质。
监督的内容包括:
1、 确保指派的审计师具有必要的知识和技能。
2、 在制定计划和批准审计方案时,作出适当的指示。 3、 检查审计方案的执行和批准审计方案的修改。
4、 保证审计工作底稿能充分支持审计发现、审计结论和审计建议。 5、 保证审计报告准确、客观、清晰、简明、及时和富有建设性。 6、 保证审计目标的实现。
7、 为发展和提高内部审计师的知识和技能提供机会。
内部审计执行主管对内部审计工作的监督应制定适当的措施,实施监督的程度取决于内部审计师的熟练程度和经验,以及被审项目的复杂性。所有监督都要作成记录,记入工作底稿。监督工作也可以委托有经验的审计师审查其他
40
审计师。
当审计主管与内部审计师对重大专业问题判断不一致时,应对事实进行讨论和进一步调查研究。如果仍不一致可将不同观点记入工作底稿。如果在职业道德问题上发生专业判断不一致,应向本组织有关道德事务的负责人请示。
第五节 2400报告审计结果
2400有4条具体准则,6个公告。主要讲述审计报告的编制及其发布。 一. 审计报告的种类
内部审计师应报告审计工作的结果。内部审计报告可分为:
1、 中期报告
中期报告是审计过程中的报告,主要用于通报那些要立即引起注意的问题;审计范围的变动;以及由于审计延续期较长,需要向管理层通报进展的问题。
中期报告可以用书面形式,也可以用口头形式。可以正式报送,也可以非正式报送。 2、 总结报告
总结报告主要是通报某个问题的审计结果,使被审单位的上级可以及时了解情况。总结报告可以单独报送,也可以与最终报告一起报送。 3、最终报告
最终报告是审计工作结束时的报告,也是最重要的报告。 4、修正报告
在最终报告中有差错时,审计主管要发布修正报告给所有接到最初报告的人员。“差错”是指非故意性的错误说明,或重要信息的遗漏。
由于最终审计报告最为重要,详述于下。 二. 最终审计报告
(一) 对最终报告的要求
审计报告必须客观、清楚、简明、富有建设性,而且及时。
客观。是指报告应是实事求是的、公正的、没有歪曲事实和偏见的。报告不能有差错。如果报告有差错,内审主管就要签发修正报告,送给所有报告收件人。
清楚。是指报告易于理解并具有逻辑性。为此应少用专业术语,多提供证据。 简明。是指报告应用简练的语言把问题说清楚。
富有建设性。是指报告应能帮助被审者和组织改进工作。 及时。是指及时发送,促使被审者和组织及时采取有效措施。 (二)最终报告的内容
最终报告必须包括以下内容:
1、审计的目的。说明为什么要进行审计,要达到的目标。
2、 审计范围。说明审计了什么,未审计什么,审计的期限,以及审计的性质。 3、 审计的结果。说明审计发现、结论(意见)和建议。
4、 被审者对审计结果的意见。如果双方意见不一致,应说明原因,被审者的书面意见可作为报告的附件,也可以在报告中说明,或在封面的书信中说明。
最终报告还可以包括:被审单位的背景资料,在中期报告和总结报告中报告过的问题,审计日程和所要求答复的问题,以及上次审计以来被审单位取得的成绩。
(三)关于审计发现 1、什么是审计发现
审计发现是对查出的问题相关事实的说明。在最终报告中应包括重要的审计发现。所谓重要审计发现是指,可能发
41
生对组织不利的情况,包括:违章、违法、差错、效能差、浪费、低效、利益冲突和控制系统的薄弱环节。在报告重要审计发现时应提出解决问题的建议,那怕建议还不成熟。至于不大重要的审计发现,可在非正式交流中或用口头方式来送报。
2、怎样取得审计发现
审计发现是通过对比来取得的。即某个事情应该怎么样,实际怎么样,经过对比来得出,因此探求审计发现要这样进行:
(1)确立评价标准。即应该怎么样。标准可以是准则、措施或期望值。 (2)查明事实。即事实是什么,取得事实的证据。 (3)确定事实与标准的差异。
(4)判断差异会给被审者和组织带来什么风险或暴露,及其在财务报告上的反映。 审计发现不一定都是写负面的。也可以写被审单位的成绩。 (四)关于审计结论(意见) 1、 什么是审计结论
审计结论是对审计发现所作的评价,是在审计之后的得出的最后意见。所以结论又叫意见。 2、 结论包括的内容
结论包括但不限于下述内容:
(1) 被查事项的任务和目标与组织的任务和目标是否一致。 (2) 组织的任务和目标是否完成。 (3) 被查事项是否达到预期的目的。
结论可以包括全部审计范围,也可以只针对某一方面。 (五)关于审计建议
审计建议是给管理层的一种工作指导,要求它采取纠正措施,或加强现在的工作,以完成预定的任务和目标。审计建议要以审计发现和结论为依据。建议可以是概括的,也可以是具体的,提出一套具体措施,要求执行。
审计建议也可以是对上一次审计以来被审者工作成绩的肯定。 (六)对违反«标准»的审计披露
如果审计约定未能完全遵守«标准»规定时,应在最终审计报告中披露没有遵守的条文和原因以及造成的影响。 (七)最终审计报告的发送 1、征求被审者的意见
最终报告发出前应先征求被审单位管理层对审计发现、审计结论(意见)和审计建议的意见,以保证陈述的事实正确无误,消除误解和误释。阅读征求意见稿的人通常是对业务详细了解的人,或有权采取纠正措施的人。
征求意见也可以在退场前与被审者讨论报告中的问题,或者请他们审阅报告草稿。 2、批准审计报告
发送前要由内部审计机构主管,或其指定人批准或签发。“签发”是指在报告上用手签字,或者在报告封面的书信中签字。
3、 发送
报告应分发给能考虑审计结果的成员和被审单位的管理层。组织的其他高层领导可以只送总结报告。报告还可以送给外部审计师和董事。
报告不能送给会泄密的人,与非法行为有关的人。报告涉及高级管理层时,应送给董事会。 如果有些信息不宜向所有报告接收人披露,可在单独的报告中披露。 三、对外发布审计报告
审计执行主管对外发布审计报告应保持应有的职业谨慎。 (一)在发布之前应了解组织的有关规定 1、 有关授权的规定。 2、 有关批准的规定。
42
4、 有关信息发布范围的规定。哪些可以发布,哪些不可以发布。 5、 经过批准的外部接收人可以接收信息种类的规定。 6、 有关隐私权的规定。
(二)在发布信息时应该考虑: 1、 要不要与接收人签订协议;
2、 信息从何而来、由谁对外提供、报告由谁签字、谁来接收信息、发布的信息涉及哪些人;
3、 如果要求获取的是已有的信息,审计师应检查这些信息是否适合对外发布;是否可以修改之后发布;是否可以修改成一份新的报告发布。
4、 如果要求获取的信息会在原有报告的基础上产生新的信息,则要考虑适用信息的目标、范围和程序,并遵守《标准》的有关规定。如果产生的新信息适用于管理层,应向有关人员报告;
5、 提供信息的形式:审计报告、审计意见、审计建议、是否还要提供被拒绝发表的意见; 6、 对信息发布的限制:版权、引用权、扩散权等。
第六节 2500、2600监察进程 这一节包括2500和2600两条准则。这两条准则有3个公告。主要讲的是后续审计和管理层对审计结果不采取纠正
措施时的处理。 一、 后续审计
(一) 为什么要进行后续审计
内部审计师在报告发出之后,要检查被审者对审计发现是否采取了纠正措施,因此要进行后续审计。所以后续审计是审计师确认被审者对审计报告中提出的审计结果,是否采取了适当的、有效的、及时的改正措施的一个审计过程。后续审计的职责应在章程中明确,以便得到授权。
(二) 后续审计的工作程序
1、 在审计报告发出之后,要求被审单位管理层在规定时间内,对审计结果作出答复; 2、 收集其他组织的反映;
3、 评价管理层的答复和其他组织的反映;
4、 核实管理层的答复是否有理有据。如果管理层已经采取了有效的行动,那么后续审计可以作为正常审计计划的一部分,而不单独进行;
5、 如果存在不能令人满意的情况,应决定进行后续审计,并将情况报告适当的管理层; 6、 安排后续审计,并列入审计计划。 (三) 决定进行后续审计时应考虑的因素 1、 审计报告中所列审计结果的重要性; 2、 纠正措施的难度(复杂性); 3、 采取纠正措施所需的时间;
4、 审计报告提出的纠正措施的成本效益; 5、 不采取纠正措施将会产生的损失。 二、 对不采取纠正行动的处理
43
根据审计报告采取改进措施是管理层的职责。如果管理层由于各种原因决定不采取改进措施,并表明将承担由此产生的责任;而内部审计主管认为这些风险对组织来说是不可接受的,这时应与高级管理层讨论。如果问题仍不得解决,审计执行主管应与管理层将此事报告董事会。
如果董事会也决定不采取改进措施,并承担风险时,审计主管应将原先的报告向董事会再报告一次,这一点在组织、董事会和高级管理层有变动时,更应如此。
44
因篇幅问题不能全部显示,请点此查看更多更全内容