特征是一事物不同于其他事物的特质,对于审计风险的特征,大致可归为以下几点:(1)审计风险存在的客观性审计风险的存在是客观的,它不随主观意识的改变而改变。当代审计采用抽样的方法,即从全体资料抽取一部分比较有代表性且能覆盖信息使用者要求的样本,分析审计样本的特点,以样本推断总体特征。但是样本与总体的特征难免存在差异,误差在合理范围内也合情合理。但是以抽样样本的审计结果来推断总体的特征,总是会产生一定程度的差异,同时审计人员要承担一定程度的作出错误审计的风险。若采取详审的方法,由于企业的经营活动错综复杂,审计和管理人员的职业道德等问题,也不能避免审计风险的存在。因此,通过对审计风险的调查研究表明,审计风险不能避免,它客观存在,我们只能采取防控结合的方式避免由于审计风险而导致审计失败的发生。(2)审计风险的隐蔽性由于审计风险客观存在,平时很难发现它具体存在的形式,大多数情况是在风险发生并导致不良后果,才被人们所注意。审计风险是一种不确定性的风险,在实务中,若审计人员作出偏离事实的审计行为,并且没有造成严重后果,也没有引起相应的责任,那么这种风险就不会被人们知道,这就体现了它的隐蔽性。审计人员也可能只是下意识的去防范,它就没有转化为真实的风险。审计过程受到法律环境、执业人员品质和执业水平等诸多因素影响,人们只能在思想上认识它的存在,而不能确切的定性和定量了解。(3)审计风险的偶然性根据审计风险隐蔽性特点可知审计风险隐藏在审计人员没有留意到的地方,并且它的存在是不定时的,它必然存在,但偶然发生。审计人员无意识接受了这种风险,并可能在无意中承担了这种后果,因此,它具有偶然性,不固定性。(4)审计风险的可控性审计风险不能避免,也不能事先定性定量的做好策划,它的偶然性和隐蔽性特征表明审计风险具有可控制性,根据对以往审计经验以及真实案例的分析,审计人员可以总结归纳风险的类型、特点,以此进行控制,用科学的方法把它控制在一定水平之下。
2审计风险研究意义及国内研究现状
审计质量的好坏是审计工作的最终目的和结果,随着经济形式和内容的多样化,审计工作也日渐丰富,审计人员的工作任务和责任不断加大,这就导致审计风险日趋增大。审计风险问题不仅关系审计质量的好坏,也影响独立审计事业的发展,目前,已成为审计业界密切关注的话题之一。审计风险是现代审计工作必须考查的要点之一,加强对审计风险的理论和案例研究,对促进和保证审计质量具有重要意义。20世纪80年代后,随着我国对外改革开放的加深,我国从事类似职业者逐渐对审计工作有了一个模糊的认识,并且随之加深其认识。1981———1986年是我国审计界对审计风险缺乏研究的阶段,不论是政府审计机构还是民间审计组织,都对审计风险没有一个正确全面的理解。因此,在审计实务中,也就忽略了这个问题,导致我国对此研究发展缓慢。从1987———1991年,我国对审计风险有了初步的探索,在这一时期,我国审计体系初具规模,出现了大量的注册会计师和会计师事务所,并对审计理论的研究也开始了初步发展,这是我国审计界对审计风险的研究比较活跃的阶段,主要表现为我国在一些专业出版物上发表了一定数量的对审计风险的研究成果,这就标志着审计风险已成为理论界重要研究课题之一。从1992年到现在,我国审计界对审计风险的研究又进入了新的阶段,大量的研究成果问世。
3审计风险形成的原因
审计风险形成的原因是各种各样的,并且在各个因素的相互影响和作用之下,又形成多种复杂的问题。但是我们可以将审计风险的形成原因大致分为三个方面:客观因素;主体因素;社会环境因素。审计风险的客观因素,即该因素是由被审计单位造成的。主要包含:被审计单位的会计制度是否完整、会计工作人员是否真正遵守会计规范;被审计单位内部控制制度是否健全、经营状况是否稳定。审计人员不直接参与被审计单位的经济活动,且对于被审计单位所提供的会计资料以及相关的其他资料的真实性并不清楚,而是以这些资料为载体进行间接审计。因此,审计结果的质量水平完全依靠这些资料的真实性和可靠性。一些被审计单位为了达到某种经营目的,很有可能虚报财务状况,偏离真实,最常见的就是账账、帐实、帐物不符,这就会导致会计信息失真,审计人员难免会产生错判。另一方面,被审计单位的内部控制制度是审计人员实施审计和监督的基础,若内部控制不完善,就会直接提升风险指数。企业经营状况稳健,内部机构设置明朗,经济活动规范,其审计风险则相应减少。审计风险的主体因素:(1)审计人员的个人理论知识、审计技能和工作经验等是制约和检查审计风险的重要因素。在实务中,对审计事项的判断、审核依赖于审计人员的知识水平和业务经验,业务越熟练,经验越多,对审计程序越了解,就越能发现和规避审计风险。如果审计人员的知识水平和业务经验欠缺,就有可能做出不适当的审计意见,不能揭示被审计单位的会计资料的虚假内容,不能有意识的发现审计风险存在的地方。(2)审计人员的职业道德问题不仅表现了个人道德品质,更代表了审计行业的形象。现代社会有着各种不同的诱惑,特别是金钱诱惑。一个审计人员如果不能坚守职业道德,为了一己之利而营私舞弊,那么只会导致审计失败,失去客户的信任,并对其所在的会计师事务所造成不良影响。(3)审计主体所选择的审计方法有缺陷。目前,审计人员基本采取电算化方式,审计方法也大多采取抽样。由于被审计单位会计资料的复杂化,导致审计人员取证困难,审计工作受到限制。同时,抽样方法也受到审计人员本身的业务水平限制,工作中难免会出现漏洞,这也是审计风险存在的形式之一。审计风险的社会环境因素包括经济、法律、政治等影响。这是几个宏观因素,也是审计存在的前提。在法制上使审计工作更严谨,职责分明;经济发展带来审计电算化的发展,使审计工作进行的方便和准确;随着国际化发展,审计事业也日渐与国际趋同,使审计准则更加规范化。因此,为审计工作提供一个良好的社会环境,对其风险控制也有重要意义。
4审计风险的防控
【关键词】内部控制;高校内部控制审计;博弈论
引言
“理性经济人”假设认为经济决策的主体都是利己的理性个体,目标都是使自己的利益最大化。高校作为组织,其本质是利益相关者的契约集合体,审计人员、单位管理者、上级管理部门、监管者等利益相关者相互博弈的结果推动了内部控制的发展。这也正是内部控制审计更本质和深层次的问题所在,本文拟引入博弈理论对此进行建模分析。
纵观已有的研究成果,关于高校内部控制博弈研究理论很少,仅有的一些研究也只是把内部控制理论简单套用于高校。尽管没有内部控制和内部审计博弈分析的相关文献,但从博弈的角度来看,高校内部审计对内部控制的作用难以得到体现,除了我国缺乏统一的内控评价标准体系等原因外,更深层次的原因可能是高校管理层认识不到位,感觉没有必要审计,或是内控审计收益不高或在短期内难以显现。这些在本文分析中会有所体现,也具有较强的现实意义。本文拟结合教育行业特殊制度背景来研究高校管理层与审计部门之间的博弈关系,为内部控制监管提供对策建议。
一、博弈论及其在内部控制审计分析中的应用
从审计对内部控制的作用来看,《企业内部控制基本规范》中强调内部审计部门及其人员起关键作用,国际内部审计师协会(IIA)也要求内审人员在内部控制的充分性和有效性方面发挥作用。从高校的具体情况来看,其内控失效并不完全是因为缺乏合理的内部控制制度,而是严格的内部控制制度得不到有效执行。高校在建立了内部控制制度后,一般只是在形式上予以公布,对于这些内控制度是否适合本单位的实际情况,是否真正有效执行,则缺乏应有的关注。内部审计监督与评价的职能作用发挥于高校内控制度建设尤为重要,内部控制框架应以内部审计为核心,由内部审计充当内部控制的设计者、维护者和监控者,高校的内部控制框架才会发挥其应有的作用。基于高校内部审计的特殊作用,开展高校内部控制审计的博弈分析具有十分重要的理论和现实意义。
博弈论主要研究的是博弈各方之间发生矛盾冲突时的决策问题,即研究理性个人之间的相互冲突与合作。我国学者张维迎在《博弈论与信息经济学》中对此进行了经典、深刻阐述。从博弈论应用于内部控制审计方面来看,迪安吉洛(DeAngelo.L.1981)最早运用博弈论研究审计定价问题;弗林汉姆等(Fellingham.J.C.andD.P.Newman.1985)研究了审计师和客户在实际业务操作中的博弈战略相互影响问题。国内学者李正龙(2001)建立了政府审计机关和被审计单位之间的博弈模型,此后陈华友(2004)、王性玉(2004)、张莉(2009)、胡于高(2010)等都借助博弈论研究审计问题;邹玮(2011)利用博弈论分析了内部审计对内部控制的有效性评价策略问题;黄业德、杜龙波(2011)从监管的视角进行了探讨,强调了法规制定部门和社会公众评价等博弈局外人的作用对博弈均衡的影响问题。上述研究缺乏对高校这个特殊行业的内部控制审计博弈分析。
二、博弈模型建立
1.在高校内部控制审计博弈模型中,博弈参与主体主要是高校管理层和审计部门。我们假定博弈的参与方博弈的策略和行为是相互影响的,双方决策的根本目标都是实现各自的效用最大化。
2.博弈双方的策略空间。假设内部审计的决策行为策略空间表述为(审计,不审计),管理层的决策行为策略空间表述为(内控得力,内控不力)。假设博弈为非合作博弈,即双方不会“串通”,来实现最大化利益。
3.审计部门经过努力付出一定的成本可以审计出管理层的内控不力行为,但不排除可能经努力仍然审计失败发现不了,即审计内部控制成功与否是一个概率事件。这个假设和其他文献的直接假定审计部门一定能够成功审计不尽相同。这个假设具有较强的现实意义,因为审计部门不可能100%审计出内控的所有问题,即使其经过了很大的努力。
4.博弈模型。根据以上的假设,我们得到以下博弈模型。
博弈参与双方为审计部门和高校管理层。管理层选择内控得力的概率为Pf,选择内控不力的概率为1-Pf,审计部门选择审计内部控制的概率为Pc,选择不审计内部控制的概率为1-Pc,审计部门成功审计出内部控制问题的概率为Ps,不能够审计出内部控制的概率为1-Ps。
假设参与双方正常情况下的收益和损失为0,则博弈策略(内控得力,不审计)的支付函数值可表述为(0,0)。上述模型中的参数含义如下:
审计部门内部控制审计的成本为C1,审计的收益(这些收益可能是提高审计部门的声望、降低审计风险等)为R1,且R1>C1。
管理层有效执行内部控制内控得力的成本为C2,管理层有效执行内部控制所取得的收益(风险降低的预期利益)为R2,且R2>C2。
管理层内控不力而被审计部门有效审计所致的惩罚成本为S1;审计部门不评价内部控制所受到的惩罚成本为eS2,其中e为审计部门不审计,且管理层内控不力被监管部门检查发现并被处罚的概率。
三、博弈求解
(一)高校管理层的策略分析
管理层内控得力的期望收益为:
E11=Pc×Ps×(R2-C2)+Pc×(1-Ps)×(R2-C2)+(1-Pc)×(R2-C2)
=(R2-C2)
管理层内控不力的期望收益为:
由上式可知,管理层选择内控得力策略的倾向性关键在于使得不等式成立,即使得不等式左边越大,或者使得不等式右边越小。因此管理层内控得力主要受下列因素影响:
1.Pc,审计部门审计的概率越大,高校管理层越倾向于内控得力;
2.Ps,审计部门成功审计出内部控制问题的概率越大,高校管理层越倾向于内控得力;
3.C2,高校管理层有效执行内部控制的成本越小,高校管理层越倾向于内控得力;
4.R2,管理层有效执行内部控制所取得的收益(风险降低的预期利益)越大,高校管理层越倾向于内控得力;
5.S1,管理层内控不力被审计部门审计出所伴随的惩罚越大,高校管理层越倾向于内控得力。
(二)审计部门的策略分析
审计部门选择审计的期望收益为:
E21=Ps[Pf(-C1)+(1-Pf)(R1-C1)]+(1-Ps)[Pf(-C1)+(1-Pf)(-C1-eS2)]
=PsR1+PseS2+PfeS2-PsPfR1-PsPfeS2-C1-eS2
审计部门选择不审计的期望收益为:
E22=Pf×0+(1-Pf)×(-eS2)
=PfeS2-eS2
若E21=E22,PsR1+PseS2+PfeS2-PsPfR1-PsPfeS2-C1-
eS2=PfeS2-eS2
整理得:Pf=■
若E21>E22,审计部门倾向于选择审计。
由式(1)可知,审计部门选择审计策略的倾向性关键在于使得不等式成立,即使得不等式左边越大,或者使得不等式右边越小。因此审计部门是否审计内部控制主要受下列因素影响:
1.Pf,管理层内控得力的概率越小,即内部控制越不得力,审计部门越倾向于选择审计;
2.C1,内部控制审计的成本越小,审计部门越倾向于审计;
3.Ps,审计部门成功审计出内部控制问题的概率越大,审计部门越倾向于审计;
4.R1,有效审计收益(提高审计效率、减少审计风险、提升内部审计的声望等)越大,审计部门越倾向于审计;
5.e,内部审计不评价内部控制且管理层不执行内部控制被监管部门查处的概率越大,审计部门越倾向于审计;
6.S2,内部审计不评价内部控制而受到的惩罚越大,审计部门越倾向于审计。
(三)博弈的纳什均衡
根据前述分析,博弈的纳什均衡解为:当(1)式成立时,高校管理层选择内控得力,否则选择内控不力;当(2)式成立时,审计部门选择审计,否则选择不审计。
四、模型应用分析
审计部门在审计高校内部控制时,可能会基于审计成本的考虑,也可能由于专业技术方面的原因经过努力但仍然未能有效审计出内部控制方面的问题,进而会影响审计内部控制的积极性。审计部门如不能有效积极地进行审计监督,高校的内部控制就可能得不到应有的重视,其健全性和有效性就难以得到保证。对高校管理层来说,内控得力与否也要讲究成本效益原则。如内控不力,管理将陷入混乱,发展将得不到切实的保证,这当然是不理想和不希望看到的结果。结合上述分析结果,为促使博弈的结果向“管理层内控得力,审计部门审计”这个理想的均衡结果转换,应采取如下措施:
1.审计部门应加大审计监督的力度。内部审计要与学校发展目标和风险控制相联系,内控审计的主要目标是为高校增加更多的价值。因为博弈双方的行为是相互影响的,审计部门对内部控制审计的重视程度与高校管理层内控力度息息相关,加大审计检查力度,必然会引起管理层足够的重视。实际上自“安然事件”之后,各国纷纷制定政策要求内部审计在内部控制方面发挥作用,高校也应该如此。
2.规范审计操作,提高审计质量,树立内部审计部门威信。应规范审计操作,按照审计准则和高校内部审计指南的相关要求,加强质量控制建设。加强高校内部审计部门和队伍的建设,不断提高审计技术。在合理保证审计职业谨慎的前提下,控制内部控制审计的成本,有效提高审计效率。通过不断发现问题、提出解决问题的审计建议等,不断提升内部审计的地位和威信。
3.加大审计执法力度。针对内部控制审计发现的问题,应该严格要求、严肃处理,加大管理层内控不力的相应成本。同时应加强审计意见的落实和后续审计工作,确保内控不力必有惩罚,并且力度足够使其得到管理层应有的重视。
4.管理层要强化内部控制管理意识,着力提高内部控制的健全完善和有效执行。内控审计的最终目标是为了改进和完善高校内部控制,为了保证这一目标的实现,高校管理层应根据COSO报告三目标五要素的相关要求,提高遵守高校规章制度的自觉性,形成有章可依,有章必依的良好氛围,在降低内部控制执行成本的同时,切实发挥内部控制的作用,使得有效执行内部控制所取得的收益更多,反过来可更进一步推进内部控制制度的建设。
5.强化外部监管力量对内部控制审计部门的监督力度和处罚力度。对于内部控制审计博弈,双方之间的博弈结果和博弈的局外人即外部监管机构也有一定的联系。如模型中内部审计不评价内部控制且管理层不执行内部控制被监管部门查处的力度和概率都会影响博弈的均衡,内部控制规范和内部控制审计规范指引等法律法规对此也有相应的要求。必须进一步完善违纪追究制度,严格按照规章制度进行监管,并加强媒体的舆论监督作用。
总之,本文建立了审计部门和高校管理层关于内部控制问题的博弈模型,对博弈双方的均衡策略进行了探讨,在求得纳什均衡的基础上,提出相应的对策和建议。高校内部控制审计问题是个较新的研究领域,引入博弈论进行分析在学术界尚属首次。本文不同于一般的博弈研究直接假定审计部门一定就能审计出问题,这也更加符合高校内部审计的现实情况。本文虽然进行了一些创新和尝试性的研究,但未来在博弈模型的支付函数、内部控制健全性和有效性等分析方面还有更为广阔的拓展空间。
【参考文献】
[1]黄业德,杜龙波.企业内部控制监管博弈模型构建[J].财会通讯,2011(11).
[2]黄启平.投资者应对上市公司财务报告的博弈分析[J].南通职业大学学报,2005(3).
[3]葛家澍,吕胜光.财务报告规范必要性的理论基础[J].财会通讯,2000(8).
[4]张维迎.博弈论与信息经济学[M].上海三联书店,上海人民出版社,1996.
[5]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2).
[6]李小燕,田也壮.持续改进的企业内部财务控制有效性标准的研究[J].会计研究,2008(5).
健全有效的内部控制可以合理保证企业经营效率与效果、财务报表的可靠性以及对相关法律法规的遵循。但是在二十一世纪初,美国等国家爆发安然、世通等一系列数额惊人的财务舞弊案件,对资本市场产生极大震动,其根本原因之一是内部控制失效导致的。美国为整顿资本市场秩序,重树社会公众对资本市场的信心,于2002年颁布了《萨班斯-奥克斯利法案》,该法案要求管理层对财务报告内部控制的评价报告随定期报告一同对外披露,同时要求公司内部控制必须经注册会计师审计。内部控制审计这一新型业务的开展将会对提高财务报告信息质量产生深远影响,这也正是本文研究内部控制审计问题的价值所在。
一、内部控制审计理论
在美国展开的内部控制审计的制度化,并不是安然、世通等财务舞弊事件所引起的特定国家的问题,而是通过这些偶然事件得以加速公司治理的必然发展。世界各国也同样存在内部控制审计制度化的必然性。美国内部控制审计的发展过程:文件化、测试、经营者评价报告、内部控制报告审计,其宗旨是从财务报告过程的控制以保证财务报告的可靠性,进而达到公司治理的目的。可见,我们有必要研究内部控制审计相关的基本理论。
(一)内部控制审计相关的概念界定
现代审计的主流是以财务报表审计为代表的对信息的检验。但是,随着企业经济活动的不断扩大和经济全球化的不断进展、社会民主意识对政府以及社会团体等机构的信息披露要求不断提高,审计范围越来越广泛,审计的类型越来越多,人们对审计的关心也越来越强。审计是为了确认有关行为是否妥当,或者该行为人所给的信息(陈述、认可)是否可靠,由独立第三者所进行的一种检验。审计对于注册会计师而言,主要是财务报表审计。SOX之后,美国开始实施财务报告内部控制审计,日本、加拿大等也在相继制定相关的审计准则并在适时推出这项制度安排,这说明除了传统的财务报表审计外,还将有一套新的审计制度安排,即内部控制审计。也就是说,需要对内部控制预期的目标实现进行检查和评价,即建立一个内部控制评价和报告体系,来提高内部控制的有效性,加强内部控制信息的透明度。所建立的内部控制评价与报告体系既要求管理层对内部控制的有效性进行评价,也要求中介机构对其进行审计。本文将内部控制审计、财务报表审计以及同时进行这两项审计时的整合审计的概念界定如下:
1.内部控制审计
笔者对本文的内部控制审计定义,在借鉴美国AS5“财务报告内部控制审计”概念的基础上,结合我国的具体情况,定义为:内部控制审计是指会计师事务所接受委托,对特定日期(通常与企业内部控制自我评价基准日一致)企业内部控制的有效性进行审计,并发表审计意见。为了形成审计意见的基础,审计人员必须计划和执行审计程序,获得合理保证,确定公司与财务报告有关的内部控制是否在管理当局评估的特定日期存在重大缺陷。这里内部控制审计的对象,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,即“狭义的内部控制”。我们在文中的主题“内部控制审计”即指这里的狭义内部控制审计。
2.财务报表审计
财务报表审计属于鉴证业务,是指注册会计师按照审计准则的规定,通过计划和执行审计工作,对财务报表的下列方面发表审计意见:(1)财务报表是否按照适用的会计准则和相关会计制度的规定编制;(2)财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。注册会计师的审计意见旨在提高财务报表的可信赖程度。
3.整合审计
本文所研究的整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计,注册会计师通过整合计划和实施审计工作,以同时实现二者的目标:①获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;②获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
二、内部控制审计的业务特性
1.基于责任方认定的信息审计业务
审计有两大系列。其一是需要对审计客体的陈述或声明发表意见的审计,称之为信息审计;其二是需要对审计客体的行为、过程以及系统发表意见的审计,称之为非信息审计。财务报表审计,实质上是对经营者所作会计声明的审计,是一种典型的信息审计。信息审计和非信息审计并不是同一审计行为的两种表现类型,而是审计人基于不同审计主题采取了不同认识行为所形成的两大审计系列。根据审计的主题是已经用语言表现的声明还是未经语言表现的非声明事项,审计的认识对象可以分为两大范畴:其一,已经用语言表现的声明――责任方认定,是责任方对其责任范围内的业务活动及其结果进行评价或计量后形成和给出的认定。即在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。责任方认定是责任方将适当标准应用至鉴证对象的结果。比如,经营者(责任方)对财务状况、经营成果和现金流量(业务活动及其结果)进行确认、计量和列报(评价或计量)而形成的财务报表即为责任方的认定,该财务报表可为预期报表使用者获取,注册会计师针对财务报表出具审计报告注册会计师或者针对责任方认定提出结论,或者直接针对鉴证对象提出结论,无论采取何种方式提出结论,预期使用者都可以获取责任方认定;其二,未经语言表现的非声明事项――直接报告业务,是责任方没有给出认定,需要审计人员直接对审计对象进行评价或计量,形成审计结论的业务。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。简而言之,直接报告业务是注册会计师直接应用适当的标准对鉴证对象进行评价并提出结论,预期使用者无法获取责任方认定。我们定义以责任方认定为主题的审计为信息审计,以直接报告业务的对象为主题的审计为非信息审计。信息审计是指通过获取与责任方认定的内容及依据有关的证据,验证责任方认定是否按照既定的标准恰当地反映了责任方所认定的企业等经济主体的活动及其结果,并对责任方认定是否可靠发表意见为目的的审计。比如,财务报表审计,内部控制审计等。非信息审计则是通过调查有关行为主体的行为内容行为过程和行为程序等,验证该行为妥当与否,法律等各种规范的遵守情况如何,效率如何等等,并对该行为、过程和程序给出调查结论为目的的审计。比如,舞弊审计等。
2.合理保证的鉴证业务
国际审计与鉴证准则委员会(IAASB)将注册会计师的服务分为鉴证业务(AssuranceEngagements)和非鉴证业务(Non-assurance,或者RelatedServices,相关服务)。
关键词:集团公司;内部控制;审计
1对集团公司开展内部控制审计的意义
1.1贯彻法律法规的要求
2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度,第一次对内部控制提出了法律要求。证监会2001年1制作月了《证券公司内部控制指引》,要求所有证券公司从内部控制机制和内部控制制度两方面建立和完善公司的内部控制。财政部于2001年颁布的《内部会计控制规范》等一系列规范,要求企业从会计信息、资金管理、对外投资、资产处置等方面建立起一套内部控制机制。2006年新修订实施的《审计法》要求企业建立起内部控制制度。这需要企业的内部审计机构肩负起监督的职责,检查和评价内部控制的建设情况和执行情况。
1.2集团公司内部管理的要求
随着经济的发展,市场竞争越来越激烈,集团公司面临着经营地点分散、控制跨度增加、控制权利层次增多等难题,商业欺诈、资金周转不力等经营风险与财务风险越来越大,管理任务更加艰巨,需要集团内部协调一致,加强监督和控制,防止工作差错和舞弊,提高经营效率,提高企业的竞争能力。因此集团公司无论在客观还是主管上都要求建立起具有自我控制和自我调节功能的管理机制。
1.3提高集团公司形象的需要
当今世界,企业的形象很重要,直接影响到客户对企业和产品的信任感,影响企业的生存和发展。企业形象不仅取决于当前的资金实力和赢利能力,更主要取决于人们对企业未来的预期。企业一旦发生欺诈行为、管理不善或违反法规,就会引起社会的广泛关注,造成不良的社会影响,使企业的价值大大下降。内部控制有助于预防此类问题的发生,并及时提出妥善的补救措施。集团公司面无论利用内部审计机构还是聘请外部审计师对内部控制进行检查和评价,肯定的评价结果都能提升企业的形象。
1.4审计方法发展的要求
在18世纪下半叶,由于社会生产力的发展、企业规模日益壮大、经营业务日趋繁复,使传统的详细审查方法受到挑战,于是出现了抽样审查的方法,通过抽样结果来推断财务报表的可靠程度。但是,如果单凭审计人员主观或任意判断进行抽样,那么抽样的结果难免以偏概全,影响审计结论。1936年美国注册会计师协会(AICPA)在《独立注册会计师对财务报表审计》的文告中首次指出:“审计师在制定审计程序时,应考虑一个重要的因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越好,财务报表需要测试的范围越小”,这对西方审计实务产生很大影响,于是出现了“制度基础审计”的方法。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本,受到审计人员和企业的普遍欢迎。
2内部控制审计的两种形式
进行内部控制审计有两种形式,一是专项内部控制审计,一是辅助财务报表审计的内部控制评价。两种方式既有联系又有区别。两者的理论范围、基本程序和方法都基本相通,两者的结论也可以互相利用。但两者有区别:
(1)目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。
(2)范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与财务报表有关的内部控制,范围要小。
(3)对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见,因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据,评价精度比前者要低。
随着内部控制重要性的提高,实践中人们已经越来越多将其作为独立的专项审计目标单独开展,尤其对于集团公司,专项内部控制审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。
3内部控制审计的前提条件
集团公司开展内部控制审计的前提是制度和组织保障。
(1)是制度保障,内部控制审计首先是针对已经建立的内部控制制度的单位而言,如果企业完全没有建立内部控制机制或者内部控制仅仅是摆设,则根本不需要进行内部控制审计。
(2)取得高层领导的支持很重要,最好由高层某一主管领导担当组长或顾问,因为内部控制审计是总部对对属下所有的子公司和分部门的内部控制、风险管理、公司治理程序等进行的独立、客观的评价活动,需要站在一个较高的角度来统筹规划,潜在的利益冲突会给审计工作带来一定的阻力,需要高层领导来协调方方面面的关系。审计所提出整改落实意见也需要高层领导来提供支持。
(3)成立工作组,挑选合适的人选来装备队伍。内部控制审计站在较高的角度,对集团公司整个控制流程进行检查和评价,找出漏洞所在。①对工作人员提出更高的要求,如果审计组成员不胜任此项工作,直接影响了工作的开展和工作质量。因此要求除了具备专业知识,还要掌握管理知识,熟悉企业的生产经营流程。除了内部审计机构配备的人员外,还可以从下属单位抽调合适人才补充需要,这是节约成本的较好方法;②聘请外部专家,如果遇到超出审计人员的业务水平需要专家判断的问题,最好取得外部专家的协助,这样能够有效降低审计风险;③进行有关的业务培训,为现场审计打好基础。
4内部控制审计的工作要点
做好集团公司的内部控制审计工作,还需要把握几个重点:
(1)要充分了解被审计单位或部门的情况,做好准备工作。审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解,唯有充分了解,才能制订出可行的审计实施方案,设计好调查问卷。审计了解的内容不但包括被审计单位的基本情况和总体控制环境,还要了解单位经营业务以及业务流程中关键控制点。在了解的基础上,才能设计有针对性的调查问卷。在控制审计中使用调查问卷可起到两个方面的作用,一是测试集团公司是否建立健全有效的控制制度,一是了解员工对相关业务流程内部控制制度的熟悉和掌握情况。所以要根据行业的性质、经营的特点、该单位的具体情况来设计。设计调查问卷的过程,也是了解内部控制流程的过程。
(2)执行测试时以企业的战略目标及其业务流程为起点。传统的观念认为控制审计的起点是企业的财务资料和内部控制制度,对已经建立的控制体系进行测试,起点不高,不利于全面的评价和深入分析。内部控制制度是围绕着企业的战略目标和业务流程而建立,为实现战略和经营目标服务,是管理的手段之一。执行测试时以企业的战略系统及其业务流程为审计起点,综合评估经营控制风险,进而评价控制制度,这样分析的据点较高,可以根据战略目标和业务流程深入挖掘内部控制的薄弱环节,而且将审计的重心前移到风险评估,有利于充分识别和评估会计报表重大错报的风险。全面掌握被审计单位可能存在的风险,有利于节省审计成本,克服因缺乏全面性观点而导致的审计风险。
(一)、全面性原则。内部控制评价必须遵循全面性原则,即评价其内部控制程序利措施是否覆盖到各个业务环节、所有部门和岗位,不留死角和空白点,并真正做到相互制约,相互牵制。
(二)、审慎性原则。内部控制的目的是有效防范各种经营风险,对内部控制进行评价,就是测试内部控制体系能否起到有效地防范、控制和化解风险的作用,能否将业务过程中各个环节存在的风险、造成或可能造成的损失控制在最小的范围之内。评价内部控制的机制完善性与否是评价银行是否遵循以防范风险、审慎经营为出发点是非常必要的。
(三)、有效性原则。商业银行各项经营活动必须在符合国家金融方针政策的前提下,在完善的内部控制制度监督下
具体实施和运作。测度内部控制制度能否得到银行内部各部门和所有员工的遵守,针对各项业务乃至各项业务的每个环节制定的内部控制措施是否被严格执行并真正充分发挥作用,内部控制制度是否具有权威和有效性,是评价银行内部控制制度的重要原则。
(四)、及时性原则。新设立的金融机构或开办新业务种类,要评价是否及时建章建制及其健全程度,是否预先制定了有效的风险控制措施,单位负责人是否具有“内控优先”的思想。
(五)、独立性原则。即对内部控制的检查、评价应独立于内部控制制度的制定部门。
立与完善内部控制审计评价机制
根据中国人民银行颁发的《商业银行内部控制指引》和《中国建设银行内部审计章程》、《中国建设银行内部审计准则》及商业银行对内部控制评价的客观要求,笔者认为建立健全商业银行内部控制审计评价机制主要应做好以下几项工作:
1.建立评价标准。对商业银行的内部控制系统进行评价,必须有一个评价依据和标准,将评价依据与实际存在的内部控制制度相对照,才能恰当地评价它的健全性、完善性、有效性和适应性,而这个评价标准就是要建立健全一套适应商业银行的完善的内部控制体系,包括建行内部组织结构的控制、资金交易的风险控制、衍生工具的控制、信贷资金风险的控制、财务与会计系统的风险控制、授权授信的控制、计算机信息系统的控制等一系列控制系统。只有建立这样的评价标准,才能全面体现一个健全完善的内部控制系统所具备的控制环节和控制措施,为内部审计人员客观公正地评价内
部控制提供一个标准,一个尺度。在建立内部控制评价标准的同时,也应抓好内部审计人员业务素质的提高,要深入开展对商业银行内部控制制度执行情况的调查研究,充分掌握银行经济活动的规律,积极探索商业银行科学的业务处理程序和工作方法,设计和制定一套完整的内部控制评价制度,并在进行试点的基础上加以改进和完善,并逐步加以推广和运用,为开展好商业银行内部控制审计评价奠定基础。
2.健全评价体系。健全商业银行内部控制评价体系主要包括两个方面,一方面要建立银行业务部门内部控制的自我评价,例如财会、信贷、中间业务、个人银行等部门的内部控制自我评价,这种评价要以岗位职责和业务操作规程为中心来自我调节利白我完善,是内部控制评价的基础;另一方面要健全商业银行内部审计部门的监管评价,这种评价要以整个银行内部控制系统为评价对象,实施对内部控制的再控制,监管评价是银行内部控制评价的关键和重点。
3.加强监管评价。内部审计部门是商业银行业务综合管理和评价内部控制的职能部门,健全有效的内部审计制度和审计体系是商业银行加强内部控制、防范经营风险的关键所在。首先要改革内部审计体制及监管体制,适应统一法人体制的需要。在目前商业银行统一法人体制尚未健全、全融体系有待完善的情况下,中央银行考虑金融机构现状,及早成立专门的银行业监管委员会和内审体制改革领导小组,由各家商业银行总行参加,负责制定全国性的金融机构监管方针政策,为各商业银行强化内部控制创造良好的宏观环境。与此同时,2003年3月4日中华人民共和国审计署令第4号的内部审计工作规定中已明确“设立内部审计机构的单位,可以根据需要设立审计委员会,配备总审计师”,各商
业银行总行和—级分行也要结合本行工作需要利实际情况成立审讣委员会,同时配备总审计师,研究制定针对本行经营风险的防范措施和内部控制目标等重大事项。商业银行应对所属机构按“下审一级”的要求,对内审机构进行体制改革,逐步推行金融机构在所辖区域内,根据业务量的大小跨区域设立审讣办事处。1999年7月中国建设银行根据国家关于深化金融体制改革、整顿金融秩序、防范金融风险的精神和总行党委对全行内部审计体制改革的要求,吸收国内外商业银行的成功经验,结合实际,推出了内部审计体制改革,其核心内容是建立总行、一级分行分级监管,向上一级负责,上收各基层支行审计人员和审计权限的相对垂直管理的内部审计体制。其次,要抓好商业银行加强内部控制机制建设的工作。第二,小国人民银行下发的《商业银行内部控制指引》对银行内部控制的日标和原则、内部控制的主要内容做了比较全面的规定,并对建立健全内部控制制度提出了具体要求。因此,商业银行的内部审计部门要按照这一内部控制指引的要求,制定具体措施认真贯彻落实。第三,要树立内部控制监管评价的权威性。各级行领导要进一步提高对内部控制监管评价工作的认识和重视程度,为这项工作的开展打好基础;同时,作为评价主体的内部审计部门,应以围绕本行防范和化解金融风险、保障银行体系安全稳健运行、提高经济效益为小心积极开展工作,不断提高监督水平和审计人员的业务素质,以工作实绩树立起商业银行内部控制监督评价的权威性。4.应具备的评价程序。为使内部控制评价与客观实际能够有机结合,以提高评价效果,确保评价质量,内部控制评价程序应按以下四个步骤操作:一是环境评价。银行内部控
制只有在适当的环境下才有可能存在并发挥作用。对银行的内、外部环境进行评价,目的就在于了解被评价行管理层的思想和经营作风,今后发展目标及方向,是否坚持安全性、流动性、效益性相统一的经营原则。二是健全评价。主要通过银行的信贷、授信、财务、会计、存款、柜台、计算机、国际业务等在各项规章制度中规定的关键控制点进行检查,以此来衡量该行的各业务系统的控制程度和过程以及针对各业务环节设置的各项控制措施是否健全、完整、有效,并做出准确公正的判断和评价,以促进控制目标的实现。三是符合计价。即采用——定的方法,测试“健全评价”控制点在实际业务活动山的发生性和实用性。符合评价是确定内部控制系统是否充分发挥作用,其目的在于向进行评价的审计人员提供关于内部控制制度是否充分发挥作用以及这些控制方法是否得以遵循等方面的依据。符合评价是内部控制评价过程中最核心的部分。四是功能评价。在完成对银行内部关键控制点所作的各种测试后,评价其是否发挥了应有的控制作用或是取得了应有的控制效果。
5.完善评价内容。结合实际,概括起来有以下儿个方面:(1)组织保障控制评价。通过对银行内部组织控制系统进行评价,即主要是对授权、职责分离和岗位职责以及人员素质的计价,来保证银行内部形成相互联系、相互制约的组织体系。(2)业务程序控制评价。对各项业务处理过程的评价,必须具备环节、经历、顺序,即对授权、主办、核准、记录和复核等环节的评价,以保证银行的各项业务活动按规定的秩序有效地运行。(3)信息质量控制计价。通过对银行的信息系统健全性和科学性的评分,达到确保银行信息的全面性、及时性、可靠性利准确性。(4)内部控制审计评价。内
部审计控制是内部控制制度的特殊组成部分,是商业银行内部控制系统中对其他各项控制的再控制,通过检查评价一家银行内部控制制度是否健全、有效,可对其监管职能作用发挥的大小做出判断和评价。
6.改进评价方法。在对银行内部控制进行评价的过程中,为了快速和高效地了解被评价行的内部控制状况,做出客观公正的评价,评价人员必须转变或改进落后以及不适应现代审计工作的方式方法,掌握和运用适合现代商业银行业务发展的专用技术方法。具体有:
(1)文字描述法。就是通过现场询问、观察等手段将了解到的内部控制情况用文字形式描述下来的方法,表述其组成控制情况的内容,再由审计人员对这个系统的控制情况进行判断分析,看对控制点的控制措施是否完整,以确定其健全性。
(2)凋查法。内部控制调查表一般是审计人员针对各项具体的控制措施事先拟定一系列问题,并列于设计好的表格中,然后通过一定的方式填制问卷,请被审计对象的有关人员回答,从中检查和分析某项控制措施是否存在,并以此作为评价内部控制制度是否健全的依据。内部控制调查表法好处有利于提高审计工作效率,可有审计人员分头进行,也可节省审计时间,加大审计工作深度和力度。
(3)流程图法。这种方法只要把被审计对象的经济业务处理程序以流程图的形式绘制出来,就可以反映出被审计对象内部控制系统情况。流程图用特定语言符号表示被评价行内部控制系统运行状况,直观地反映各项业务流程,表明该行职责分离、权责划分的状况,突出控制点尤其是关键控制点,是审计人员据以分析、研究被评价行内部控制系统的有