内部控制审计的概念篇1
【关键词】审计视角;广义内部控制;狭义内部控制;内部会计控制;内部控制审计
内部控制的理论渊源可以从两方面考察,即审计与管理。在国外存在着两个比较明显的研究倾向:其一是从管理学的视角研究内部控制问题。其二是从审计学的角度研究内部控制问题。尤其在20世纪70年代从审计学立场研究内部控制者日盛,并且也取得了比较丰硕的研究成果。现有的内部控制理论与实务,基本内容大多是作为独立审计的客观基础而存在的,这正是内部控制迄今为止所以在审计研究领域特别受重视的一大原因。
从审计角度看内部控制面临着许多问题。国家审计署、中国内部控制标准委员会分别关注相关的问题,二oo八年五月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由此引出注册会计师需要对企业内部控制进行评价并出具审计报告,那么对基于审计视角的内部控制的一系列概念进行界定就是非常必要和有意义的,是进行理论研究和实务操作的基石,以防止使用术语的混乱和冲突。希望我们的研究为企业内部控制的各项指引的制定提供理论基础支持。这对改善我国内部控制现状,完善上市公司信息披露制度,保护投资者的合法权益和证券市场的规范运作具有深远意义。
一、内部控制
(一)广义内部控制
人们普遍认为,内部控制概念最早是由审计师提出来的。我国阎金得、陈关亭(1998)认为“内部控制’第一次作为一个专业术语使用,是在1936年美国会计师协会文告中出现的。20世纪90年代,由美国“发起组织委员会(CoSo)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应该是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制(缪艳娟,2007)。我国2008年制定的《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。可见基本采用了美国CoSo中内部控制的定义,我们认为这应是广义的内部控制,为我国内部控制制度建设提供了基本标准。
(二)狭义内部控制
狭义内部控制的定义笔者认为应借鉴美国上市公司监管委员会(pCaoB)的第五号审计准则(aSno.5)《与财务报表审计协同进行的对财务报告内部控制审计》所定义的“财务报告内部控制”。狭义的企业内部控制定义是由企业董事会、监事会、经理层和全体员工实施的,旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。与财务报告相关的内部控制包括下列方面的政策和程序:一是保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况。二是合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权。三是合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置的企业资产。这一狭义内部控制概念的提出主要是为了在注册会计师对企业内部控制进行审计时专门针对财务报告领域的内部控制有效性发表审计意见。
(三)二者关系
狭义内部控制与广义内部控制的定义相比,前者仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率效果的目标,遵循相关法律法规目标中也仅保留了按照会计准则和相关会计制度对财务报告的要求这类与财务报表编制直接相关的法律法规。广义内部控制是对狭义内部控制概念的扩展,明确内部控制不应仅局限于公司治理的财务方面。可以这样理解,广义的内部控制上升到了公司治理的高度,而狭义的内部控制可以和美国pCaoB所提出的“财务报告内部控制”具有相同的涵义,主要用于注册会计师在对企业内部控制进行审计时定义其所涵盖的范围。
二、内部会计控制
(一)内部会计控制
“内部会计控制”最早在美国注册会计师协会审计程序委员会1958年《第29号审计程序公告》提出,1972年的《第54号审计程序公告》将“内部会计控制”定义为:“组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:一是交易经过合理的授权;二是公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;三是资产的使用和处置经过管理层的适当授权;四是在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。”2001年我国财政部颁布实施的《内部会计控制规范》对“内部会计控制”定义为:“是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”内部会计控制的基本目标包括:规范单位会计行为,保证会计资料真实、完整;堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;确保国家有关法律法规和单位内部规章制度的贯彻执行。
(二)狭义内部控制与内部会计控制的关系
“狭义的内部控制”和“内部会计控制”二者的目标都是为了保证财务报告的可靠性以及财务报表的编制与公认会计原则保持一致。在内容上,二者都包含了所有交易和收支活动的会计记录控制和授权批准控制以及对资产的保护。但是,狭义内部控制是从现实生活中投资者需求的角度来关注内部控制,并吸收了CoSo报告及其它内部控制理论的发展,它不是对内部会计控制的简单重复,而是有了巨大的发展和超越。从上面定义可以了解到狭义内部控制包含了控制环境这一非常重要的内部控制组成要素。其成功地吸收了CoSo报告关于控制环境及其重要性的研究,明确了公司的董事长和其他管理层作为控制环境的重要组成部分对财务报告层面的内部控制所承担的责任,这相对于内部会计控制概念而言是一个大的发展。内部会计控制是注册会计师站在会计信息最终结果的角度上进行的分析,是一种专业化的、适用范围具有严格规定的、防护色彩很重的概念。而狭义内部控制强调了控制环境对财务报告可靠性及其过程的作用,不仅仅是关注结果更重要的是过程。也就是说,直接影响财务报告的控制不应该只包括内部会计控制,内部会计控制与公司控制环节的所有其他要素一起构成了防止财务报告出现问题的内部控制。
三、内部控制审计
内部控制与审计理念和审计程序的发展密不可分。内部控制受到关注并得到极大发展,只是因为审计人员发现其可以降低财务报表审计的成本,于是不遗余力地去推动它,以便更好地利用它。
内部控制审计的概念篇2
内部控制是从内部牵制发展而来的,至今为止,大致经历了五个阶段,即内部牵制阶段、内部控制阶段、管理控制和控制阶段、内部控制结构阶段、一体化结构阶段。
(一)内部牵制阶段
L.R.Dicksee最早于1905年提出内部牵制这个概念,他认为,内部牵制由三个要素构成:职责分工、会计记录、人员轮换。
Georgee.Bennett发展了内部牵制这一概念,他于1930年给内部牵制下了一个完整的定义:内部牵制是账户和程序组成的协作系统,这个系统使得员工在从事本身工作时,独立地对其他员工的工作进行连续性的检查,以确定其舞弊的可能性。
(二)内部控制阶段
1947年,aiCpa(美国执业会计师协会)下属审计程序委员会在其《审计准则暂行公告》中第一次提出了内部控制概念。
1949年,aiCpa了一份特别报告,:“内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性。”该报告首次给内部控制以如下定义:内部控制包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性、提高经营效率,保护既定的管理政策得以实施而采取的所有和措施。
(三)管理控制和会计控制阶段
1958年,aiCpa的第29号《审计程序公告》指出:“内部控制,从广义上包括既有会计又有管理特征的控制……”。
1963年,aiCpa的第33号《审计程序公告》指出:“独立审计人员主要关注会计控制……但是,如果独立审计人员认为某些管理控制可能对财务记录可靠性有,他应当考虑评价管理控制。”
1972年,CiCpa下属审计准则委员会的《审计准则公告》第1号给管理控制和会计控制下了一个详细的定义。该定义如下:“管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录。这种授权是与实现组织目标这个责任相联系的管理功能,并且是建立交易的会计控制的起点。”
会计控制是与资产安全、财务记录可靠及下列事项提供合理保证的组织结构、程序及记录:
a.交易的实施是依据管理当局一般授权或特别授权;
b.交易的记录要满足以下需要:
·能按一般公认会计原则或于会计报告的其他标准来编制财务报表;
·保持资产的经管责任。
c.只能根据管理当局的授权才能接近资产。
d.账面数定期与实际数核对,并对差异采取恰当行动。
显然,这个概念将管理控制和目标相联系,但未将会计控制与企业目标相联系。
(四)内部控制结构阶段
1988年,审计准则委员会第55号《审计准则公告》,正式提出“内部控制结构”这一概念,该公告自1990年1月起取代第1号《审计准则公告》中的相关,也就是说,自1990年1月起,由内部控制结构取代内部管理控制和内部会计控制。
第55号《审计准则公告》规定,内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。
(五)一体化结构阶段
八十年代以来,虚假财务报表时有发生。为此,美国成立了“反虚假财务报告委员会”(即treadway委员会)。随后,由美国执业会计师协会(aiCpa)、内部审计协会(iia)、财务经理协会(Fei)、美国会计学会(aaa)、管理会计学会(ima)等多个专业团体共同发起组成“treadway委员会发起委员会”,简称CoSo。CoSo从属于treadway委员会,专门致力于内部控制。CoSo于1992年提出了题为“内部控制——一体化结构”的研究报告,这就是著名的CoSo报告。
鉴于CoSo报告对内部控制的认识和审计准则委员会的第55号《审计准则公告》有较大差距,审计准则委员会于1995年了第78号《审计准则公告》,全面接受了CoSo报告的观点,修改了第55号《审计准则公告》,自1997年1月起生效。
二、内部控制概念
笔者认为,所谓控制就是一定的主体为了实现其既定目标,以信息沟通为基础,采取一定的方法,对影响其目标实现的可控因素所作出的一切努力。这一概念包含了控制的五个要素:
·控制主体,即为实现既定目标的施控者。
·控制客体,即控制主体目标实现的可控因素,也是控制主体控制活动的承担者。
·控制目标,即控制主体的既定目标。
·控制手段,即控制主体所采取的作用于控制客体的。
·信息沟通,即控制主体和控制客体之间的信息沟通。
所以,控制就是控制主体为了实现其控制目标,以信息沟通为基础,采取一定的控制手段,对控制客体所作出的一切努力。
从控制的五个要素来看,控制目标、控制手段和信息沟通显然不能作为区别内部控制和外部控制的标准。同样,控制客体也不能作为判断内部控制和外部控制的标准,因为政府机构同样也要采取一定的方法来控制的活动,这显然只能属于外部控制而不能属于内部控制。所以,笔者认为,区分内部控制和外部控制的标准是控制主体,只要控制主体是属于组织内部的,则这种控制就是内部控制。这样,笔者给出内部控制的如下概念:内部控制是组织内部的主体为了实现其既定目标,以信息沟通为基础,采取一定的方法对影响其目标完成的可控因素所作出的一切努力。
三、内部控制的
笔者认为,控制主体既是区分内部控制和外部控制的标志,也是构建内部控制内容体系的基础。这里仅以企业为背景来内部控制内容体系。大家知道,企业由四种经济主体所组成,即股东、经营者、管理者和普通员工,这四种经济主体都有各自的目标,并且都有各自的可控因素,所以,企业内部控制体系也就由以下四个层次组成:
·以股东为主体的内部控制;
·以经营者为主体的内部控制;
·以管理者为主体的内部控制。
我们这里只以内部控制五要素为框架,对各个层次的内部控制作一总体性的勾画。
1.以股东为主体的内部控制
(1)控制主体:股东。
(2)控制客体:经营者及整个企业的业务活动。
(3)控制目标:财富最大化、财产安全、能获得如实报告。
(4)信息沟通:财务报告。
(5)控制手段:建立治理结构、委托Cpa审计、决定政策、抛售股票、对经营者实行承包经营或租赁经营。
2.以经营者为主体的内部控制
(1)控制主体:经营者。
(2)控制客体:管理者及整个企业的业务活动。
(3)控制目标:实现经营目标、财产安全、能获得如实报告。
(4)信息沟通:责任报告。
(5)控制手段:组织控制、预算控制、财务控制、会计控制、政策控制、人事控制、风险控制、内部审计。
3.以管理者为主体的内部控制
(1)控制主体:管理者。
(2)控制客体:普通员工及责任中心的业务活动。
(3)控制目标:完成责任目标、资产安全、获得业务运行的真实报告。
内部控制审计的概念篇3
「关键词企业组织;内部控制审计;组织效率
关于内部控制与审计的历史渊源和逻辑联系的研究,对于梳理二者自身的发展脉络,从而准确地把握内部控制和审计的性质和功能至关重要,也是科学地分析一些现实问题的关键。既有的研究成果大致可以分为两类:一类认为内部控制和审计是各自独立发展的两个范畴,只不过是审计摆脱详细审计(账项基础审计)模式之后,内部控制才被纳入审计之中,作为审计的对象和审计技术的基础,这是比较主流的观点;另一类认为审计本身就是一种经济控制(蔡春,2001),由此以来,内部控制与审计是此控制与彼控制的关系,只不过是运用不同的控制手段作用于不同的控制对象,从而实现不同的控制功能,自然二者会出现交叉乃至互补。应该说,这两类观点出于不同的角度,都有一定的合理性。然而,笔者认为如果没有一个明确的参照体系和核心线索,很难揭示二者本质上的逻辑联系,也很难解释二者互动和交叉发展的深层原因。这也是为什么不同的说法似乎都不能自圆其说的缘由所在。
本文旨在从考察内部控制的产生和演进轨迹人手,探寻内部控制与审计之间的逻辑联系,分析内部控制与审计的互动与耦合,并引人组织效率的概念和简化的组织效率函数,以便在企业组织的框架内定格出内部控制和审计的性质和功能,在此基础上为相关问题的分析和解释提供一条更为科学、合理、开阔的思路。本文的突出特点在于将内部控制和审计置于企业组织这一参照体系中进行研究,并且引人组织效率这一核心概念将二者联结起来。显然,本文的论述并非不能推广到非企业组织,之所以仅限于企业组织,只不过是出于研究的侧重点和方便性的考虑。
一、内部控制的产生和演进轨迹
内部控制必须与一定的组织联系起来理解,即它来自组织内部,针对组织内部,是为促使组织实现其所赋有的全部或者部分使命(目标)而开展的一系列专门的活动。这里有两个要点:第一,组织是相关利益(或非利益,下同)主体的结合体,或者说它是一干相关利益主体及其相互关系的联结,内部控制存在于(来自或者针对)这些相关利益主体之间,其目的在于从特定的角度协调某些关系;第二,内部控制是一系列活动,这些活动可能是有意(自觉)的,也可能是无意(自发)的,它并不依赖于外在的称谓或者被归结出来的概念。理解这两点,有助于我们把组织内部的控制(control in organizations)和对组织的控制(control of organizations)区分开来(桑德,2000),把概念化、程式化的内部控制和实质上的内部控制活动本身区分开来。从而避免陷入混淆和曲解。
由此,我们不难看出,内部控制是伴随着组织的形成而产生的。宽泛而言,自从组织产生之后,伴随着组织追求其目标的努力,就催生了内部控制。企业组织的内部控制是伴随着企业组织的形成而产生的。早期的分工、牵制、授权、汇报、稽查等都是内部控制活动。因而,可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。
内部控制经历了一个不断发展、完善的历史进程。推动其发展的因素主要来自组织的演进和环境(政治、经济、社会、技术)的变化。内部控制的演进主要表现为控制目标、控制对象和控制手段的变化。按照通行的概括,内部控制的演进遵循着“内部牵制(internal check)——内部控制制度(internal control system)——内部控制结构(internal control structure)——内部控制整合框架(internal control integrated framework)”的轨迹。应该说,这一概括大致上勾勒出了内部控制的发展进程。
但是,必须再次强调的是,内部控制的演进决不仅仅是概念的翻新。我们完全可以从“自发性(无意识的)内部控制——自觉性(有主观目的性的)内部控制——他律性(管制、规范要求的)内部控制”(内部控制的属性演变)、“零散的内部控制——专项的内部控制——系统的内部控制——综合的内部控制”(内部控制对象的拓展)、“原始的内部控制——现代手段辅助的内部控制”(内部控制手段的进步)等很多线索去探求内部控制的演进轨迹。而且沿着这些追溯线索也能够找到内部控制与审计渊源关系的一些契合点。本文限于篇幅,只根据通行的线索进行论述。
1.内部牵制阶段。从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本上停留在内部牵制阶段。这一阶段内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制。内部牵制主要通过人员配备和职责划分、业务流程、簿记系统等来完成。其目标主要是防止组织内部的错误和舞弊,通过保护组织财产的安全来保障组织运转的有效性。
2.内部控制制度阶段。20世纪40年代至70年代,内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部会计控制和内部管理控制的划分,主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。
内部控制审计的概念篇4
【关键词】国家审计;审计准则;比较研究
2007年美国审计署颁布了新版《美国政府审计准则》,对2003年版的政府审计准则进行了修改和完善。2010年中国审计署公布了新版《中华人民共和国国家审计准则》,对2000年以后制定的《中华人民共和国国家审计基本准则》和若干通用审计准则、专业审计准则进行了全面修订。中美两国最高审计机关在相隔不到五年的时间,先后各自修订了审计准则,不仅会给本国审计工作带来很大的变化,也将会给世界各国审计工作带来深刻影响。审计准则是审计人员的行为规范,既是指导审计作业的“路线图”,也是防范审计风险的“防护衣”。中美审计准则比较研究是国际比较审计研究的内容之一。对中美两国审计准则进行比较研究,“扬长补短”,将会进一步促进我国审计事业的可持续发展。
一、中美两国审计准则主要差异
(一)准则“冠名”不同
有意思的是,为美国立法机关服务的美国审计机关,其制定的审计准则“冠名”为“政府审计准则”,而为各级政府所隶属的中国审计机关,其制定的审计准则却“冠名”为“国家审计准则”。笔者认为,出现这种情况原因在于对国家和政府含义的不同理解。理论上讲,国家与政府是两个不同的概念,现实中又密不可分。
马克思主义认为,国家是阶级统治的工具;现代政府理论认为,国家是特定社会中享有的政治组织,政府是行使国家的机关。在我国,“国家实行审计监督制度”(审计法规定),因此,审计监督体现的是国家意志,是国家制度建设的“顶级设计”。虽然审计机关隶属本级政府,但政府是“人民政府”,对政府负责从根本上讲是要对人民负责,对国家负责。这样看,我国审计机关名为“政府审计”,实为“国家审计”。中版准则“冠名”为“国家审计准则”也就顺理成章。
政府一词有“广义”和“狭义”之分。广义的政府,是指“国家机构的总体”,包括立法机关、行政机关、司法机关等。狭义的政府就是指行政机关。美国审计机关是为立法机关服务的机构,由于立法机关也是“大”政府的组成部分,美国审计机关也可以称为政府审计,因此,美版准则从广义角度“冠名”为政府审计准则,也就不足为奇了。
(二)编写体例不同
2007年版的《美国政府审计准则》(以下简称美版准则)的编写体例采用的是“块块式”模式,即按照审计工作总的要求、审计的主要类型和职责编写。如,在审计工作总的要求方面,明确了审计准则的适用范围、道德准则规定、一般准则规定;在审计类型方面,明确了财务审计和绩效审计的现场工作准则和报告准则规定;在审计职责方面,突出了财务审计和绩效审计报告准则规定。由于鉴证业务也是美国审计机关的一项工作,因此,美版准则对鉴证业务活动专门制定了相应的准则。此外,为了不增加各章的篇幅而又必须对审计准则的内容做进一步的说明补充,美版准则制定了“附录:补充指南”。
2010年版的中国《国家审计准则》(以下简称中版准则)改变了前两版“基本准则+通用准则+专用准则”的编写体例,采取了总括性的“条条式”模式编写,即将基本准则和通用准则“合二为一”,这样,修订后的中版准则总体上是按照审计作业流程的顺序编写。除第一章、第二章外,从第三章开始到第五章,“不分审计类型”,分别对审计计划(包括年度审计项目计划编制、审计工作方案编制)、审计实施(包括审计实施方案编制、审计证据获取、审计纪录编写等)、审计报告(包括形式、内容、编审、审理、送达)等主要工作程序和相关概念一并作了具体规定。
(三)涵盖范围不同
审计准则既是审计人员行为的依据,也是审计工作开展情况的“写照”。根据本国审计工作的实际,美版准则“适用于审计师和审计组织对政府机构、获得政府资助的单位的审计和鉴证业务”(第一章),从美版准则涉及的内容来看,财务审计(虽然较少占用工作量)、绩效审计是美国审计机关的基本工作任务,因此这些审计活动都被美版准则所覆盖。需要特别指出的是,鉴证业务是美国审计机关的一项特殊职能,因此,在美版准则中专门制定了鉴证业务一般准则、现场工作准则及报告准则。另外,美国审计机关在不损害审计独立性的情况下还可以执行非审计业务,为此,美版准则的一般准则和“附录:补充指南——第三章的附属信息”,对开展非审计业务制定了专门规定。
中版准则的适用范围没有作特别说明,但考虑到我国审计机关1983年恢复建立后,财政财务收支审计是各级审计机关开展的主要审计类型,虽然一部分审计机关率先开展了绩效审计,但大多基层审计机关绩效审计的开展还处于起步阶段,因此,中版准则所覆盖的主要是财政财务收支审计和审计调查,以及基于财政财务收支审计的领导干部经济责任履行情况审计。
(四)内容繁简不同
美版准则突出了对审计职业道德和独立性的要求。美版准则第三章用整章篇幅对审计职业道德进行了详细规定。美国审计机关要求审计师必须遵守“公众利益至上、诚实正直、客观公正、正当使用政府信息、资源和权力、勤勉尽责”的职业道德原则,并对每一个道德原则都作了详尽解释和说明。在第四章一般准则里,着重就审计组织和审计师的“独立性”问题、损害“独立性”的情形(个人损害、外部损害和组织的损害)以及如何保障“独立性”进行了细致规定和描述。另外,美版准则将绩效审计纳入其中,从绩效审计现场工作和报告两个方面作了具体详细的规定。
比较而言,中版准则虽然在第二章也对遵守审计职业道德和保持独立性作出了基本规定,并且规定审计人员执行审计业务时要“严格执行审计纪律”,但“笔墨”更多地放到了对审计程序和审计质量控制的规定和要求。中版准则一共200条,其中有关审计程序内容的占146条,有关审计质量控制内容的占25条。另外,从我国国情出发,由于在一些领域和一些单位重大违法违规行为时有发现,因此,中版准则对专案审计(即重大违法行为检查)也作了专门的具体规定。
(五)概念处理方式不同
美版准则对一些执行审计业务中涉及的重要概念给出了定义或解释性说明,为审计人员理解、把握和执行审计准则提供了依据。如在一般准则中对“专业判断”和“胜任能力”给出了概念解释。在财务审计现场工作准则里,对“滥用行为”给出了解释性说明。在财务审计报告准则中,对“重大缺陷、实质缺陷”的概念作出了解释。在绩效审计现场工作准则中,对“重要性、审计风险、审计目标、内部控制、欺诈”等概念下了定义。
相对而言,中版准则虽然也在使用以上概念,但没有对以上概念作出具体解释,只是对“真实性、合法性、效益性”概念,“审计证据、重大违法行为”等基本概念作了必要的解释性说明。对于如何把握“重要性”等概念,中版准则明确“审计人员可以参照中国注册会计师执业准则的有关规定确定和运用重要性(概念)”。
(六)质量控制路径选择不同
美版准则对质量控制的路径选择的是内外结合方式。即内部质量控制和外部同业复核。美版准则的一般准则规定,“审计组织应该至少每三年接受一次独立于被检查组织的检查者对其审计和鉴证业务进行的外部同业复核”。中版准则对质量控制路径选择的是主要依靠内部监督机制。一是业务部门的复核机制;二是审计机关内设法规审理机构的审理机制;三是上级审计机关对下级审计机关开展审计业务质量检查。
美版准则虽然强调对审计组织质量控制,但没有对审计组织中的成员应当承担的审计责任作出明确规定。中版准则在这方面的规定比较突出。中版准则第174条规定:“审计机关实行审计组成员、审计组主审、审计组组长、审计机关业务部门、审理机构、总审计师和审计机关负责人对审计业务的分级质量控制”,并在其后规定了各个层级的工作职责和应当承担的责任。
二、中美两国审计准则相同之处
(一)审计理念基本相同
美版准则的前言说,公共资源使用中的透明原则和责任原则是国家治理的关键,政府官员及联邦资金的接受者有责任确保公共服务的效率性、经济性、效果性、道德性、公正性,并实现预期项目目标。高质量的审计是政府对公众负责的关键,也是保证相关项目中资源使用透明的关键。政府项目审计对政府决策和项目的责任、绩效及运行成本提供独立、客观、无偏见的评估。政府审计同样对股东及社会公众负责,其提供关键信息、帮助改善项目运行与绩效、降低成本、促进决策、完善激励、识别问题的关键与发展趋势。
中版准则的总则说,审计机关的主要工作目标是通过监督被审计单位财政收支、财务收支以及有关经济活动的真实性、合法性、效益性,维护国家经济安全,推动民主法治,促进廉政建设,保障国家经济和社会健康发展。审计机关在确定审计项目时应当调查了解国家和地区财政收支、财务收支以及经济活动情况、政府工作中心、公众关注的事项等审计需求,评估初选审计项目在国家经济和社会发展中的重要性、政府行政首长和相关领导机关及公众关注程度、资金和资产规模等。
中美两国审计机关以上表述尽管“语境”不同,但审计理念是相通的,即审计机关是国家治理的重要工具,是促进经济社会健康运行的“免疫系统”,审计监督要为国家治理服务,要为社会公众服务。高质量的审计工作有助于实现和保证审计职能和作用的有效发挥。
(二)执业要求基本相同
无论是美版准则还是中版准则,作为规范审计人员行为的“准绳”,都对审计机关和审计人员执业中涉及到的职业道德、独立性保持、胜任能力要求、现场工作流程、审计报告编写和分发等提出了比较一致的要求。如在明确胜任能力方面,美版准则的一般准则规定:从事审计和鉴证业务的人员应该从整体上具备完成任务所需要的足够的执业胜任能力。中版准则第二章规定:审计机关和审计人员执行审计业务,应当具备本准则规定的资格条件(第十三条)和职业要求(第十四条)。在强调审计纪录方面,美版准则的财务审计现场工作准则规定:审计师必须就每一次审计准备审计纪录文件,以便详细、清楚地了解审计工作的执行情况(包括性质、时间选择、范围以及审计程序执行的结果)、审计证据的获取及来源和得出的结论。审计师的审计记录必须让一个有经验但又没有接触过该审计业务的审计师能够看懂下列内容……中版准则也规定:审计人员应当真实、完整地记录实施审计的过程、得出的结论和与审计项目有关的重要管理事项,审计人员的记录应当使未参与该项业务的有经验的其他审计人员能够理解其执行的审计措施、获取的审计证据、作出的职业判断和得出的审计结论。
(三)重视审计发现问题的整改和建议的落实
审计监督并不是“一查了之”。中美两国审计机关都比较重视审计发现问题的整改和建议的落实,并在审计准则中都作了明确规定。美版准则的财务审计和绩效审计现场工作准则规定:在计划审计时,审计师应要求被审计单位的管理层确认以往财务审计绩效审计……是否落实了相关建议。中版准则也规定:审计人员在编制审计实施方案时,可以调查了解被审计单位以往接受审计和监管及其整改情况。中版准则还对审计整改检查工作作了专门规定。
(四)共同强调审计质量控制
美版准则和中版准则都强调了对审计项目质量控制的重要性。美版准则中的一般准则规定,“审计组织应该:建立质量控制系统,向审计组织提供合理保证,保证审计组织及其员工遵循职业准则及可适用的法律、法规”。审计组织的质量控制系统包括审计组织的领导层。此外,美版准则还规定了审计组织内部的质量领导责任,每年至少分析并总结监督程序的结果,以发现需要改进的任何系统问题,并提交补救措施。
中版准则第一章和第六章(审计质量控制和责任)都规定“审计机关应当建立审计质量控制制度”。审计质量控制制度的涉及范围包括:审计质量责任、审计职业道德、审计人力资源、审计业务执行、审计质量监控等。还规定:审计机关应当对其业务部门、派出机构实行审计业务年度考核制度,考核审计质量控制目标的实现情况,及时发现审计质量控制制度及其执行中存在的问题,并采取措施加以纠正或者改进。
三、几点建议
中美之间国情不同、政情不同,审计机关的领导体制也各不相同,分别为立法机关(国会)和行政机关(政府)服务,因此,制定审计准则的大背景不同也就在所难免。但是,毕竟中美审计机关都姓“审”,审计准则之间的差异反而会成为相互学习借鉴的重要途径。学习借鉴是双向的。在这里,笔者结合我国国情仅就如何学习借鉴美版准则规定的一些做法提出几点建议,以进一步完善我国国家审计准则体系。
(一)积极着手制定绩效审计准则(指南)
审计署《“十二五”审计工作发展规划》指出:进一步完善中国特色审计法律规范体系,规范审计行为,推进依法审计。2010年中国审计署公布了新版《中华人民共和国国家审计准则》,就是落实这一规划的具体体现。问题是,这一规划还提出了“全面推进绩效审计”,坚持财政财务收支真实、合法审计与绩效审计相结合的要求。为适应“全面推进绩效审计”的需要,规范各级审计机关绩效审计的行为,有必要在总结我国开展绩效审计经验的基础上,借鉴国外绩效审计的做法,着手研究制定绩效审计规范。鉴于审计署于2010年刚刚公布了新版《中华人民共和国国家审计准则》,短期内不会再做修订的实际,建议审计署考虑从审计指南层次制定我国国家审计绩效审计指南。地方审计机关也可以结合自身的特点,研究制定绩效审计规范性文件,用于指导规范本地区绩效审计活动。
(二)重视重要审计概念的定义和解释说明
如果说审计准则是审计人员的行为准绳,那么,概念体系则是审计准则的支撑。审计准则是由一系列专门的概念体系组成的规范性文件。对重要审计概念下定义或作解释性说明,是正确理解、把握和执行审计准则具体条款的前提和保障。如果欠缺这些重要概念,就为理解上产生歧义和执行中出现偏差埋下了伏笔。其实,2000年制定的《中华人民共和国国家审计基本准则》和若干通用审计准则、专业审计准则对“重要性、审计风险、内部控制”等重要审计概念都有明确定义和解释性说明(是否科学另当别论),因此,建议以后修订审计准则或制定有关审计指南体系时,应该把确定重要审计概念的定义和解释性说明作为一项重要任务,并参照美版准则和其他国家审计准则的规定,形成符合我国国情的审计概念体系,以完善我国国家审计准则的相应概念定义和解释性说明,为审计人员执行审计准则、审计指南提供便利条件。
(三)进一步规范非审计业务
从美版准则中可以看到,美国审计机关除承担审计业务外,还执行一些非审计业务,如“为政府用途或某些特定情形制定准则、方法、审计指南”、“为立法机关或独立外部组织提供援助和专业技能”、“提供培训、演讲和技能展示”等。对开展这些非审计业务,美版准则通过其“附录:补充指南”加以规范,以避免影响审计的独立性。我国审计机关也有“非审计业务”存在,包括参加有关部门组织的各个专项治理活动,配合有关部门查处重大案件,参与有关部门立法立规征求意见活动,为被审计单位提供法律法规培训等。从目前看,这些非审计业务活动尚没有纳入到我国审计准则调整范围内。建议审计署借鉴美国审计机关的做法,对我国审计机关开展的非审计业务通过制定审计指南层次的规范性文件加以指导和规范。
(四)探索建立“外部同业复核”制度
美国审计机关的外部同业复核制度是加强审计质量控制的重要方式。美版准则的一般准则规定:外部同业复核的职责是确定被检查的审计组织的内部质量控制系统是否充分,是否遵循质量控制政策和程序,是否为遵循适用的专业准则提供合理保证。外部同业复核组织必须是独立于被检查的审计组织之外的机构。据美国审计署《质量控制手册》介绍,加拿大审计署曾经作为外部同业复核机构对美国审计署开展过外部同业复核。当然,这与两国国家相邻、价值观相近、语言文化相通等因素有很大关系。由于种种原因目前我国还不太可能邀请国外审计机关来我国开展外部同业复核。我们需要借鉴的是利用审计机关的外部组织机构检查审计质量所起到的独特作用,以作为审计机关内部审计质量控制的重要补充。目前审计机关的审计质量检查主要是在审计机关上下级之间进行的。建议采取由上级审计机关统一组织不同地区同级审计机关的方式(如某省下属两市的审计机关),开展审计质量“互查”活动,通过互查和互比互学,找到影响审计质量的薄弱环节,完善相关制度措施,达到进一步提高审计质量的目的,形成具有中国特色的外部同业复核制度。
【参考文献】
[1]国家审计准则宣传提纲[n].中国审计报,2010-09-10.
[2]美国政府审计准则(2007年修订版)[S].中国法制出版社,2012.
内部控制审计的概念篇5
内容摘要:随着国际资本市场的迅猛发展,财务舞弊案件时有发生。尽管财务舞弊案件的原因是多方面的,但内部控制的缺失或失效是其重要原因。有效的内部控制是防范企业财务舞弊的重要防线。本文分析了企业内部控制理论的演进,探讨了我国企业内部控制存在的问题,并提出相应对策。
关键词:内部控制内部控制报告演进
1企业内部控制理论演进
(一)内部控制的涵义演进
现代内部控制的发展源于两方面的动力:外部审计的飞速发展和企业内部管理的压力。早期使用的术语主要有两个:内部牵制和内部会计控制。内部牵制指致力于分离责任的技巧,而内部会计控制则是先由早期的会计师广泛使用的概念,其完全包含的内容并不清楚,所以当时内部经营控制和内部行政控制也得到了应用,指除内部会计控制之外的一切控制。内部控制的第一个定义见于美国注册会计师协会(aiCpa)的一份研究报告:内部控制——一个协调的系统和它对管理层和独立会计师的重要性:内部控制由组织的计划和组织内部为保障资产、检查会计数据的准确性和可靠性、提高经营效率和鼓励坚持规定的经营政策而采取的所有协调方法和措施组成。
1973年审计程序委员会(CommitteeofCap)的第一期审计标准声明(StatementofauditingStandard,SaS)中,提出了会计控制和行政控制的概念。在1977年《外国贿赂行为法案》(ForeignCorruptpracticesact,以下简称FCpa)中,内部控制借用了SaS1号中会计控制和行政控制的定义。1988年aiCpa下属的审计标准委员会(aSB)废除了会计控制和行政控制的提法,提出了内部控制三要素:控制环境、会计系统和控制程序。
在内部控制的历史变迁过程中,内部控制的具体概念及界限是模糊的。1985年成立的全美反欺骗财务报告委员会,即treadway委员会于1987年提交的报告中指出了内部控制解释和概念多样性的存在,并且指出它所研究的欺骗性财务报告案例中,大约有50%是由于内部控制失效的缘故。为改变此种概念混乱的状况,于是treadway委员会随后成立了CoSo委员会(全国虚假财务报告委员会下属的发起人委员会)来制定内部控制指南,并于1992年了“内部控制—整体框架”。这是内部控制史上的第一次飞跃。CoSo把内部控制定义为:内部控制是一个过程,由企业的董事会、管理层和其他人员完成,其目的是为了给以下类型的目标的完成提供合理的保证:经营的效果和效率;财务报告的可靠性;遵守法律和规章。整体框架下的内部控制包含五个部分:控制环境、风险评估、控制活动、信息和沟通、监督。1996年aiCpa采纳了CoSo的定义,认为内部控制是由企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规。
2003年美国证券交易委员会(SeC)认为内部控制是由公司的Ceo、CFo或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则(Gaap)提高合理保证的控制程序。
(二)内部控制报告的涵义演进
与内部控制概念相比,内部控制报告(managementReportingoninternalControl,简称mRiC)的概念晚出现了几十年,其最初雏形见于审计师责任委员会,即科恩委员会(theCohenCommission)1978年的报告中。该委员会建议管理当局应提供报告确认管理当局对财务报告的责任,并要求管理当局对控制系统进行评估。
treadway委员会在其1987年的研究报告中提出了管理层报告的概念(managementReports)。管理层报告必须承认管理当局对于财务报表和内部控制的责任,讨论他们履行责任的方式以及对公司内部控制有效性的评估意见。
CoSo于1992年对内部控制报告进行了界定。CoSo1992年的报告认为,内部控制报告是管理当局依据内部控制有效性的评价标准,对本企业的内部控制设计和执行的有效性进行评估后将结果提供给外部使用者的报告。
英国的Cadbury报告也提出了管理层报告的概念,建议由企业管理当局定期对本单位内部控制设计的有效性和执行的有效性进行评估,提出评估报告,然后再由注册会计师对其加以审核。
SeC于2003年8月的第33-8238号最终规则,首次对财务报告内部控制(internalControloverFinancialReporting,以下简称iCFR)的涵义进行了明确定义。SeC认为,财务报告内部控制是一个由公司的首席执行官、首席财务官或类似职权的人设计或监管的,并受到公司董事会、管理层和其他人员影响的,为财务报告的可靠性和对外财务报表的编制符合公认会计原则提供合理保证的过程。
迄今为止,我国并没有对内部控制报告进行专门的概念界定。2006年上交所内部控制指引提出了内部控制自我评估报告,但没有对其进行明确定义,只从内部控制自我评估报告的内容方面进行了规定。从实践来看,我国公司也没有专门向外披露完整的内部控制报告。内部控制的信息披露散见于公司年度报告的“董事会报告”、“监事会报告”或者招股说明书的“公司治理”、“风险管理和内部控制”部分。所以,我国一般称为内部控制信息披露而非内部控制报告。
(三)内部控制报告的内容演进
内部控制报告编报框架一般涉及内部控制的内容、内部控制责任主体、内部控制有效性评价标准、注册会计师内控审计等问题。从前面的内容可以看出,对于内部控制报告的这些问题,一直以来都是极具争议性的。美国审计总署(Gao)认为,内部控制报告的内容不应仅限在财务报告内部控制,还应当包括某些营运效率效果控制、法规遵循控制,以便满足公众对于内部控制信息的需要,以便他们做出合理的决策。从范围上讲,完整意义上的内部控制报告内容和CoSo1992年对于内部控制的定义比较一致。但多数反对者认为,这个报告的内容过于广泛,如果强制要求企业披露涵义如此广泛的内部控制,将会极大地增加披露公司的负担,不符合成本效益原则。
而iCFR内部控制报告认为,大多数机构赞同内部控制报告中只报告财务报告内部控制,譬如1977年的FCpa,SeC的旨在执行SoX404条款的最终规则。按照SeC2003年最终规则,财务报告内部控制的内容应涵盖以下四个方面:管理当局维持充分有效财务报告内部控制的责任;管理当局评估内部控制的框架;管理当局对最近一个财务年度财务报告内部控制有效性的评价;注册会计师对管理当局评价的审计报告。SeC采用了iCFR这个狭义术语,没有采用更为广泛的内部控制涵义。treadway委员会于2004年10月修订eRm框架,特别强调董事会在企业风险管理方面的重要角色。
2我国企业内部控制存在的问题
部分企业存在未制定内部会计制度的现象。一是因为我国在长期的计划经济体制下,国家实行按所有制和行业的统一会计管理体制,政府主管部门对企业内部的会计制度都要做出具体规定,企业必须遵照执行,很少有自主选择和制定内部会计制度的余地。二是部分企业直接以企业会计准则和行业的统一会计制度、企业财务通则以上级下发的各种文件作为企业内部会计制度,致使企业日常会计核算工作随意性过强,直接影响到会计信息的质量。三是许多企业的领导者并不懂相关的会计知识,对于内控的制定方面就既没有主观的意念也没有相关的专业技能。
普遍存在内部控制制度不健全、不完善的问题。内部控制制度是企业内部各职能部门、各有关工作人员之间,在处理经济业务过程中相互联系、相互制约的一种管理制度。而目前,很多企业在制定制度时,未能有效地贯彻内部控制制度,就无法确保管理部门制定的方针政策得到有效实施,无法保证各种管理信息的准确可靠和财产的安全完整。
有的企业不执行内部会计控制制度。一般来讲,有制度不执行比没有制度更可怕。没有制度必将引起投资者、监管者的关注,相关各方会督促企业完善内部会计控制制度,并监督执行;而有制度不执行的欺骗性更大,容易给企业发展造成潜在的隐患。
内容设计不全面,账务处理程序欠规范。财政部制定的《会计基础工作规范》明确规定,企业内部会计制度包括账务处理程序制度,其主要内容有:会计科目及其明细科目的设置和使用;会计凭证的格式、审核要求和传递程序;会计核算方法;会计账簿的设置;编制会计报表的种类和要求等。财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》(于2009年7月1日起实施),促使我国的内部控制信息披露走向强制性之路。
3改进我国企业内部控制的对策
(一)执行科学的内部控制标准并加强全面风险管理
上市公司应根据上交所的内控指引或CoSo2004年的《企业风险管理综合框架》,结合自身的实际情况,从内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通以及监督八个互动的方面来合理设计、执行、完善企业的内部控制,加强对企业全面风险的管理。目标设定是全面风险管理的起点,企业要按照企业战略目标的要求设定。在完成目标设定之下,公司应对影响目标设定的风险进行识别,而后相应地开展风险应对,从而设计合理的控制活动、信息和沟通,以及监督,以便贯穿整个风险管理过程。
(二)加强会计人员职业道德建设
控制的目的最终都必然表现在人的行为上。只要人的行为是合规的,对这种合理行为的控制就没有必要;反之,只要人的行为不合规,对不合理行为就必须加以控制。对人的管理在企业中的重要性,也说明了人的素质在企业发展中的重要性。因此,一个企业形成良好的文化氛围,其内部员工的素质也会有较大的提高,并形成良好的职业理想和敬业精神。
(三)强化控制环境意识
按照CoSo的定义,控制环境包括企业的道德观、管理理念和经营风格、董事会和审计委员会、组织结构和权责分配以及人力资源政策等。企业文化的凝聚功能,使员工对企业的价值观、企业精神、企业目标等产生认同感,协调人际关系又使员工产生归属感。控制环境对企业内部控制的影响是巨大的。长期以来,我国企业只注重建设监管当局要求的内部控制,而普遍缺乏强化内部控制环境方面的建设。因此,上市公司,特别是公司的董事会和高管要转变观念,增强内部控制环境建设。
(四)强化内部审计职能以加强期末财务报告的风险控制
由于执行内部控制信息披露,因此内部审计部门的定位非常重要。我国很多上市公司都设有内部审计部门,但由于在董事会层面没有相应的专门负责检查监督的部门,很多公司的内部审计部门是向总经理、财务副总、财务总监汇报。这样的内部审计部门的独立性较差。因此,有必要在董事会下面设置专门的内部审计组织或者由其下的审计委员会负责内部审计事宜。此外,由于期末财务报告编制的流程设计对财务报告的可靠性具有相当重要的影响,上市公司应合理设计期末财务报告的流程,特别应注意一些重要控制弱点的识别和控制,以完善期末财务报告编制的风险控制,增强财务报告的可靠性。
参考文献:
1.吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制—由“亚细亚”失败引发的思考[J].会计研究,2000(9)
内部控制审计的概念篇6
【关键词】审计概念;国际趋同;内部控制
“整合专业知识,形成知识网络,碰撞裂变提升”激励我坚持不懈地完成每月读完一本名著。学习了道格拉斯.R.卡迈克尔、约翰.J.威林翰和卡罗.a.沙勒等美国审计学专家编著的《审计概念与方法》,我加深了对美国审计现行理论与审计实务操作指南,领略了西方发达国家先进的审计理念和审计方法,增强了我在实际财务工作中对审计观念和审计方法的了解,尤其是内部控制、计算机在审计中的运用等更加深了我对审计工作的深刻认识,颇受启发,收获很大。作者在著作中采用案例教学方法,展示了美国审计概念、理论及具体做法,为我们学习西方审计理论提供了一次难得的机会。
一、了解审计理念,掌握审计方法,形成审计知识体系
读了这本审计学专著,学习到以下几个方面的审计学知识:
审计学、审计环境是策划和实施财务报表审计的基础;
审计风险评估是审计计划不可分割的部分,此外还包含了整体计划、会计体系、相关控制的内部控制结构、计划详细审计程序等内容;
计算机的诞生和发展推进了会计电算化进程,审计抽样和计算机效果的专门计划要素是审计计划不可缺少的,例如ppS统计模型,通常采用计算机软件保证抽样审计得以顺利实施,保证审计抽样可容忍误差控制在合理范围之内。审计学与会计电算化系统结下了“不解之缘”。
审计中直接测试、一般测试、以及即将完成的审计相关事项整改措施等审计测试,对于审计工作的有效性是至关重要的。例如对财产和设备进行余额直接测试,一般客户实地盘存的观察这一“一般公认审计程序”重点关注其“存在性、所有权和计价”。
背离保留意见的审计报告与对标准报告附注解释语无保留意见的审计报告这两种审计报告不同于标准审计报告,主要原因在于审计范围受到限制、不符合一般公认会计原则,对标准报告附加解释语、持有拒绝意见、否定意见或保留意见等,为了出据客观公正的审计报告,审计师在特殊情况下,对标准审计报告加以修改是十分必要的。
具有注册会计师资格的审计师,经常会从事非审计服务,例如代编财务表的约定服务,以及对财务报表、预计财务资料、内部控制体系、遵守合同情况等资料的预测和估计,提供保证的鉴定服务。
经营审计有助于一个组织对其组织活动进行业绩评价、确定改进时机以及提出改进措施或未来活动的建议;内部审计师主动承担起经营审计检查财务和经营信息的可靠性,确定是否遵守公司的政策和措施,以及测试资产保存的控制措施的连续性等约定任务;政府审计师则承担起对某一新的计划或活动的执行效果进行经营审计;财务审计与独立审计的本质区别,在于经营审计约定任务,本质上不是连续的约定任务,也没有保证财务报表审计任务将会继续。
通过阅读,较为系统地理解了审计学理念在于独立性、客观性、公正性,掌握了审计学现行方法,初步形成了审计知识体系框架。由于我多年从事国有大型企业会计工作,接触审计机会较多,但从未对审计做法和理论进行过较为系统地学习,通过阅读,增进了对外部审计和内部审计的深刻体会,尤其对企业当前正在进行的SoX法案404条款所要求的美国非本土上市公司内部控制审计,帮助很大,影响颇深。
二、从会计视角向审计师视角转换看,会计电算化对审计影响深刻
上面是我从审计理念和知识体系大的方面阅读审计学专著的认识和感想,下面则是结合工作中内部控制GCC外部审计,对与财务相关的管理信息系统的内部控制有效性外审工作的一点感想和认识。前者是“面”,下面是我感触较为深刻的“点”的问题――会计电算化对审计的影响。
随着技术进步及成本降低,计算机在业务数据处理中的应用得以广泛推广。引发人们在财务报表审计中对内部控制结构的思考。许多审计师发现大部分客户都或多或少使用了会计电算化,计算机对财务报表审计的影响越来越大。审计师有可能使用到计算机专家辅助审计,但采用专家技术的决定,对其工作结果和结论的评价都要由对财务报告审计发表意见的审计师承担。
本专著系统告诉我:电算化系统控制可分为两大类,即使用者控制和电子数据处理(eDp)控制。使用者控制是由应用计算机进行处理的部门制定和维护的控制系统。企业中几乎所有的部门都是电子数据处理的潜在使用者部门。eDp部门之外的信息使用者部门对信息的有效性、完整性和准确性负责。这将意味着使用者要对所有eDp部门之外的原始错误负责。使用者部门还要对信息进行处理而制定和维护的控制系统负责。使用者控制与eDp控制区别在于控制系统所保存的位置。eDp控制是指那些保存在计算机中的控制系统。eDp控制通常分为一般控制和应用控制。使用者控制通常是应用控制。一般控制是指那些与全部或部分电算化会计应用有关的控制,例如应用软件的改变及改进的控制会影响所有的会计应用,并包含在审计师对控制环境的考虑之中。应用控制是指单独的电算化会计应用,如证实客户的账户数额及信用范围。应用控制分为程序控制和手工控制。手工控制是指由人来执行的,而程序控制是指由计算机软件来完成的。在一般控制中,职责分离在电算化系统中,与eDp有关的职责分离有如下几个方面需要考虑:eDp与使用者部门的分离、eDp部门内部不兼容职能的分离。eDp职能分离对eDp使用效率的提高十分重要。eDp部门通常设置如下分离岗位:数据处理管理者、系统分析员、应用程序员、系统程序员、计算机操作员、数据登记员、数据控制员和数据管理员等。理论上讲,上述各岗位均需要分离设置岗位权限。不相容岗位分离原则主要是系统程序员必须有条件接触控制盘以履行职责。系统程序员不得对公司的会计制度或应用程序有详尽了解。
实际工作中,一直对与财务会计相关的“等级――管理信息系统”内部控制体系进行外审中,会计师事务所的注册审计师对管理信息系统权限划分的检查十分严格,不仅对应用系统负责人和相关岗位操作人员进行较为全面的访谈,还十分严格的对系统日志进行逐项检查,重点是不相容岗位权限设置是否分离、系统一般控制与内控流程是否相符,但对系统抽取的样本却远远少于手工控制的内部控制审计抽取的样本量。
读了此书中“计算机对审计的影响”内容,我从理论角度较为深刻地理解了管理信息系统的审计比手工控制工作流程的审计更加严格,存在的风险更加巨大。对管理信息系统的内部控制外部审计的重点在于流程设置、定期检测设置有效性、权限设置的不相容岗位相分离。从抽取样本量上虽然远远少于手工控制审计所抽取的样本量,但实质上,信息系统的内部控制审计发现一项问题将会导致这一类测试的实质性漏洞,问题远比前者严重得多。而且,内部控制外审对系统数据库迁移、新上线系统审计等要求十分严格,需要我们在实际业务中慎之又慎。通过阅读,更加系统地了解了对信息系统审计的要求与控制,对于我迎接内控外部审计工作,具有重要的指导作用。
三、基于会计准则国际趋同,深刻理解审计准则国际趋同的重要意义
王部长在中国会计准则与国际趋同的多轮协调中精辟地总结出中国会计准则国际趋同的四个原则:“趋同是进步,是方向;趋同不等于等同;趋同是一个过程;趋同是一种互动。”国际趋同思想为我们提供了理论基础,指导会计准则体系顺利建立,“坚持原则、积极趋同、参与会计国际交流与合作”,努力建立沟通平台。
基于上述会计准则国际趋同的基本理念和指导原则,通过阅读审计理念和现行审计方法,认识到我国现阶段审计准则国际趋同同样具有重要意义。
改革开放十几年时间,随着我国社会主义市场经济发展,世界经济一体化加速了我国经济融入全球经济大熔炉。这要求我国审计观念、审计方法和审计技术实质性创新,推进我国会计准则的国际趋同。
中国注册会计师协会会长刘仲黎对审计准则体系的给予高度评价,指出我国审计准则体系的,加速了我国与国际趋同,遵循科学、民族、透露、公开的准则制定程序,开展了艰苦而卓有成效的工作,完成了22项审计准则的制定工作和26项审计准则的修订完善工作。我国48项审计准则的,标志着我们已建立起一套适合我国社会主义市场经济发展要求,顺应国际趋同大趋势的中国审计准则体系,顺利完成了审计准则建设的改革攻坚任务,中国审计准则体现了历史性的突破,体现了与国际审计准则的趋同要求,突出了维护公众利益的行业宗旨,增强了审计准则的易理解和可操作性。
国际会计师联合会主席格雷厄姆.沃德称赞我国审计准则,中国决定与国际审计准则趋同,向全世界发出了一个清晰的信号,那就是不仅中国的民众而且中国的会计职业界致力于提高透明度、工作质量和高水准的职业准则,支持这些准则不仅有利于会计职业,而且更重要的是,有利于所有的中国民众和整个中国经济。
建立国际公认的一般公认审计准则是衡量专业活动质量被接受程度的尺度。将审计准则中国国情与国际趋同有机结合具有重要现实作用。从中国现实意义上看,树立了“民本审计观”,把老百姓关心的事情,例如医疗、养老保险等问题,作为审计工作关注的重点。审计工作具体问题具体分析,既敢于说“不”,又善于说“是”,经常设身处地“换位思考”。
通过学习,心与心的交流,思想与思想的碰撞,读书的过程不如说是一次与国际审计学大师的一次吸收消化、一次交流、一次碰撞,我从中领悟出:审计准则国际趋同有利于我国企业实施“走出去”战略,有助于健全内部控制机制、完善企业风险管理,有助于在“走出去”过程中,采用国际一般公认的审计方法,建立国际趋同审计规则平台,支持我国会计行业国际化发展战略。
[参考文献]
内部控制审计的概念篇7
1、财务报表审计基本理论
财务报表审计是指注册会计师接受委托,在实施审阅程序的基础之上,通过执行审计工作,对企业对外提供的财务报告是否按照适用的财务报告编制基础编制,财务报表是否在所有重大方面按照适用的会计准则和相关会计制度的规定编制,真实公允地反映被审计单位的财务状况、经营成果和现金流量发表审计意见的鉴证业务。
财务报表审计最早起源于19世纪以前,目前在世界各国范围内已发展成熟,美国、日本等国家很早就颁布实施了财务报表审计准则,我国也早在1996年就了国家审计基本准则,相关学者对财务报表审计的研究成果不计其数。
2、内部控制审计相关概论
内部控制审计是指注册会计师接受审计委托,对被审计单位特定基准日的财务报告内部控制设计和运行的有效性进行审计,并在此基础上发表审计意见。
在研究美国CoSo的《内部控制整体框架》和我国《企业内部控制基本规范》中有关内部控制概论的基础上,将内部控制进一步细分为:广义内部控制和狭义内部控制,广义内部控制采用CoSo《内部控制整体框架》和我国《企业内部控制基本规范》中内部控制的概念;狭义内部控制概念借鉴美国pCaoB的aS2中的财务报告内部控制概念,是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制审计目标的过程,其目标主要是为了合理保证企业财务报告及其相关信息的真实公允完整。
3、整合审计基本理论
整合审计是指会计师事务所接受审计单位委托,依照相关法律法规,通过利用两次审计工作的相似性来制定实施双向审计的流程,在整合审计的实施过程中,对被审计单位的财务报表和内部控制制度由同一家会计师事务所的同一项目组来执行,实施审计的整合计划,合理运用他人的审计成果,以求实现两种审计共同的审计目标。
财务报表审计和内部控制审计的整合审计研究已经成为国际执业界最新的发展趋势。在近十年的发展过程当中,理论界和实务界一直在孜孜不倦的对整合审计的效率和方案进行探索和研究。
二、财务报表审计和内部控制审计的区别、联系
企业的内部控制审计和财务报表审计的最终目标相同,整合趋势明显,但是财务报表审计和内部控制审计是两种不同的审计模式,二者在实施审计程序的过程中也有着明显的区别,笔者通过下表分析二者的区别和联系:
1、审计业务范围
财务报表审计和内部控制审计都需要了解企业内部控制的设计和运行的有效性,必要时进行内部控制测试,但是二者在审计范围方面有着本质区别,财务报表审计的审计对象主要是对某一时点的或某一会计期间的财务报表、内部控制测试的必要性、并在必要时测试内部控制有效性,在非财务报告内部控制方面,除了了解与财务报表审计有关的非财务报告内部控制外,对于其他内部控制不需要进行了解和评价,内部控制审计主要是对特定基准日的内部控制制度进行审计,对于内部控制必须要进行测试,对注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
2、审计目标
财务报表审计和内部控制审计的具体目标不一致,但是二者的最终目标是一致的,共同目标都是向财务报表外部的信息使用者提供决策有用的高质量的财务信息,并对提供的财务信息的真实公允性提供合理保证;但是,财务报表审计的具体目标主要是对财务报表是否在所有重大方面都进行了真实公允反映,按照适用的财务报告编制基础编制发表审计意见,并在此基础上对财务报表是否不存在重大错报提供合理保证。而内部控制审计的具体目标:对内部控制设计和运行的有效性发表审计意见,并对企业财务报告内部控制是否不存在重大错报提供合理保证。
3、审计程序和承接业务范围
财务报表审计和内部控制审计审计程序都必须制定具体审计策略和总体审计方案,注册会计师在业务承接前都需要就审计工作事项与被审计单位进行商议,达成一致的审计意见。但是,财务报表审计的具体审计计划包括风险评估、实质性分析程序和控制测试等,在审计收费:“审计收费”不是财务报表审计必然要求,对财务报表进行审计时,注册会计师应该充分进行职业判断,只有在注册会计师认为需要时,才需要和被审计单位进行“审计收费”方面的商议,将审计收费事项登记在业务约定书上;财务报表审计的审计报告是在适用的财务报告编制基础上编制的,并且要求真实公允反映,并设计、执行必要的内部控制测试;在审计工作计划方面:内部控制审计的具体审计计划主要包括:内部控制设计有效性和运行有效性测试的具体程序,了解企业的内部控制的有效性,内部控制审计要求在和被审计单位的审计业务约定书约定“审计收费”事项;内部控制审计的审计报告编制的基础:按照适用的内部控制制度和准则,建立健全内部控制制度,对内部控制运行的有效性进行评价并在此基础之上编制内部控制评价报告。
三、财务报表审计和内部控制审计的整合趋势分析
1、整合审计的理论基础
(1)受托经济责任理论。企业经营者的受托经济责任,是指按照相关公司章程的要求或原则,受托者向外部信息使用者报告其受托管理企业财务状况和经营状况的义务,财务报表审计业务由此产生。在受托经济责任理论的下,内部控制审计与财务报表审计具有共同的委托方即投资者、债权人等利益相关者和相同的受托方即企业管理层,两种审计业务中有共同的受托经济责任关系,这是整合审计的理论前提。
(2)协同效应理论。将两种审计工作双向整合进行,产生的协同效体现为:内部控制审计与财务报表审计都强调对企业内部控制执行情况的关注,内部控制是指由公司的管理层和其他人员设计和执行的程序和政策。
(3)内部控制理论。内部控制审计即注册会计师对被审计单位内部控制的运行有效性进行评价的鉴证业务,审计对象是与企业财务报表有关的内部控制情况。无论是内部控制审计还是财务报表审计都是对企业内部控制执行情况的关注,为企业的整合审计研究提供了基本理论基础。
2、整合审计实施的流程
3、整合审计的必要性和可行性分析
内部控制审计的概念篇8
关键词:coso报告 内部控制 探讨
随着我国经济的迅速发展,内部控制在现代经济生活中的重要性越来越突出,但严峻的现实却告诉我们有关内部控制失效的种种表现:诚信缺失、会计信息造假、企业舞弊案件频发等等,表明内部控制如在设计上有缺陷,在作用上有缺失,往往会给国家和企业带来严重的经济损失,并造成恶劣的社会影响。为提高内部控制的有效性,笔者就我国内部控制存在的问题作些分析,并提出一些对策以供商榷。
一、内部控制理论的发展简史
1934年美国《证券交易法》首先提出“内部会计控制”概念。1949年美国审计程序委员会(cap)下属的内部控制专门委员会,发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”1988年4月,美国注册会计师协会《审计准则公告第55号》(sasno.55),规定从1990年1月起以该文告取代1972年的《审计准则公告第1号》(sasno.1)。该文告首次以“内部控制结构(internalcontrolstructure)”的提法替代了“内部控制”的提法,正式将内部控制环境纳入内部控制范畴,并不再区分会计控制和管理。该公告可视为内部控制理论研究的一个突破性成果。1985年6月,美国注册会计师协会、美国会计学会、内部审计师协会、财务执行官协会和管理会计师协会共同成立了国家反舞弊性财务报告委员会,又称treadway委员会。该委员会所属的内部控制专门研究委员会发起机构委员会(committeeofsponsoringorganizationsofthetreadwaycommission),简称coso委员会。1992年,coso委员会报告,即《内部控制———整体框架(internalcontrol-integratedframework)》,也称coso报告。不久美国注册会计师协会全面接受了coso报告的内容,于1995年据以了《审计准则公告第78号》(sasno.78),并自1997年1月起取代了《审计准则公告第55号》(sasno.55)。
coso报告定义内部控制是由企业董事会、经理阶层和其他员工制定和实施的,为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标而提供合理保证的过程。它认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监控五大要素构成。这“三个目标”和“五大要素”各自含有丰富的内容,又相辅相成,共同构成了coso报告内部控制的整体框架说,统一了人们对内部控制的认识,并为评价内部控制系统提供了一套完整的评价标准,成为迄今为止最具权威的内部控制概念。
二、理解coso报告的内部控制概念之切入点
coso报告已成为人们解释和使用“内部控制”等概念的标准和依据,而追溯其源头,我们会发现对内部控制的研究其实早在二十世纪初法国法约尔创立的一般管理理论中就开始了。
被誉为“现代经营管理之父”的法约尔(henrifayol1841-1925)是位法国工业家,他于1916年根据自己50多年的管理实践,发表代表作《工业管理和一般管理》。该书第一次完整地阐述了适用于一切组织管理的五大职能,即计划、组织、指挥、协调和控制。继法约尔之后,随着管理理论的不断发展,到20世纪70年代以后,管理学家们通常把管理职能概括为计划、组织、领导和控制四大职能。管理的四大职能之间是相互作用的,管理的过程就是通过计划、组织、领导和控制这四个基本过程来展开和实施的,是一个不断循环的过程。控制职能是四大管理职能之一,是保证组织目标能按计划实现所必不可少的,任何组织为了保证有效地实现目标,都要对组织成员和组织活动加以控制。
控制职能具体包括确立控制标准、衡量实际业绩、进行差异分析、采取纠偏措施等活动。管理是一个大系统,内部控制则是内置于管理过程中的一个子系统,它在管理过程中发挥着相对独立的作用,同时又与管理的计划、组织和领导职能交织融合在一起共同发挥作用。它是管理的有机组成部分,控制失效,管理就不会有有效的保证,组织的目标也不可能实现。
现有的内部控制理论和实践只是将管理的控制职能作了专题研究和运用。细究之下,组织的管理目标与coso报告中所述内部控制的三个目标在本质上是一致的,因此,我们对内部控制的研究和运用,应从管理的角度进行整体把握,内部控制与管理过程中的每一个细节都有关,内部控制的有效与否直接关系到管理的有效与否,也直接关系到组织目标的实现。另外,内部控制目标的实现从属于管理目标的实现,而管理目标的实现从属于组织目标的实现,内部控制目标最终是为实现组织目标服务的。只有确立了这样的视角,才有助于我们更好地理解coso报告中内部控制概念的内涵和外延,从而找到促使内部控制有效的途径。
三、我国内部控制存在问题之探析
目前,我国对内部控制理论的研究和实践与国外相比,无论在广度还是在深度上都有较大差距,最主要的问题在于还没有形成一套系统的理论,无法对实践提供系统、规范的指导。我国内部控制主要存在以下问题:
1.没有统一的、权威性的内部控制定义,无法确立以企业为主体的系统性内部控制理论,导致内部控制基础薄弱。
我国至今尚未形成一个比较权威的内部控制定义,企业界、司法界、会计界等不同行业与部门对内部控制的理解不一,因此在有关的法律法规中对内部控制的提法很不统一。财政部在的《内部会计控制规范———基本规范(试行)》,只是定义了什么是内部会计控制,至于什么是内部控制,其具体定义、构成及内容等都未予以明确说明。而中国注册会计师协会的《独立审计具体准则第9号———内部控制与审计风险》,则将内部控制定义为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”虽然也偏于以内部会计控制为主,但与财政部规定的内部会计控制概念也不完全一致。《会计法》中有会计监督的内容,但它们被归入单位内部会计监督制度的范畴。此外,证监会、国家审计署、中组部、中纪委等部门以及各类组织的相关文件中所提到的内部控制概念虽然在内容上有所交叉,但都只侧重于内部控制的某一个方面,无论在字面上,还是在意义上都缺乏一致性,没有形成如coso报告内容比较完整统一的内部控制概念,不可避免地带来认识上和实践上的混乱。我国理论界对内部控制的认识更多的是还停留在内部牵制、内部会计控制或内部控制结构阶段,还没有能从管理的角度对内部控制进行整体把握,因而对内部控制的理解带有片面性。由于理论研究的滞后,导致内部控制实践的落后。我国企业的内部控制水平良莠不齐,不少企业对内部控制知之甚少,有的企业甚至根本没有内部控制意识,内部控制基础十分薄弱。
2.现有的内部控制目标未能体现企业各个利益相关者的要求,内部控制目标单一,缺乏多元性。
我国长期以来,内部控制一般是作为企业的内部事务,由企业管理当局来制定和实施。管理当局自然更多考虑本企业的利益,对财务报告的可靠性和国家法律法规的遵循性关注相对较少。企业作为国民经济的一个细胞,往往有众多的利益相关者,主要有所有者、经营者、政府部门、材料供应商等,它们对内部控制都会提出保障自身利益的要求。从这个角度讲,内部控制不仅是企业自身发展的需要,也是企业的一种社会责任和义务。在我国,企业内部控制更多是为了满足自身追逐利益的要求,而常常忽略自己那份应尽的社会责任。
3.对内部控制的执行缺乏有效的监管,导致我国内部控制脆弱不堪,甚至形同虚设。
内部控制是一套自行检查、制约和调整内部业务活动的自律系统,因此,对自律系统的监督是必不可少的。监督分内部监督和外部监督。内部监督一般由内部审计部门担任,但由于内部审计部门独立性较差,影响了它对这一职能的发挥。外部监督具体包括司法监督、社会监督(主要是注册会计师的外部审计监督)和媒体舆论监督。但由于外部监督资源稀缺,监管不力,致使企业失去执行内部控制所需的外在公平性,直接遏制了企业执行内部控制的积极性。遵纪守法、保证会计资料的真实、完整等相关的内部控制反而会给企业带来不利的影响,因此,许多企业无视国家的法律法规,甚至弃基本的内部控制制度于不顾,对内部控制内容进行利益选择,形成内部控制成为“内部人的控制”的现象。
4.对内部控制固有的局限性还未引起足够的重视。
企业倒闭、破产或不能正常经营,外界常把原因归结于内部控制设计上的缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性如果没有得到较好的控制,也会直接导致内部控制的失效。
coso报告指出,内部控制决不是包治百病的灵丹妙药,再完善的内部控制也不能解决企业存在的所有问题和困难,具体包括以下四大问题:(1)不能解决管理阶层人员素质问题;(2)不能左右政府政策或经营环境;(3)不能绝对保证企业完成经营目标;(4)不能绝对保证企业决策中不出现失误。其中局限性之一,即内部控制不能解决管理阶层人员素质问题在现阶段尤为突出。企业管理当局,特别是单位主要负责人的道德品行素质几乎决定了一个企业的命运。
四、促使我国内部控制设计合理、执行有效的对策
1.由有关专业团体组成一个委员会对内部控制进行专门研究,并形成一个统一的内部控制定义。
就目前来说,我国各部门对内部控制的重视不能说不够,问题还在于各部门更多地是从本部门工作的角度出发,定义内部控制,并独立发文,使内部控制概念不统一,缺乏应有的权威性,还造成认识上的混乱,不利于内部控制水平的提高。
coso报告堪称是内部控制理论发展史上的里程碑,其中所蕴含的理念和思想,值得我国理论界借鉴。此外coso报告产生过程也值得我们借鉴。coso报告是由多个专业团体组成一个专门研究内部控制的委员会研究出来的,它的内部控制概念兼顾了企业各个利益层面的要求,符合企业发展的客观规律,因此它具有全面、统一、权威的属性,这些特点也正是它之所以在现有的内部控制理论中拥有最高地位的原因。因此,我国可以利用这一成功的模式,组成一个专业委员会来专门研究内部控制,形成一个权威性较高的内部控制概念,据此统一各部门对内部控制的认识,从而提高内部控制理论在实践中的可操作性。现阶段我国理论界与实务界偏于将内部控制理解为内部会计控制,从管理学及内部控制理论发展的角度观察,我国内部控制的内容是不完整的。总之,我国应在现实的内部控制基础上抓紧这一领域的深化研究。
2.政府应着力推动内部控制的完善,在全社会提高内部控制意识,加强对内部控制的外部监督,使企业真正成为自主执行内部控制的主体。
企业作为内部控制设计与执行的主体,不但肩负着建立健全内部控制的责任,更主要的是能发挥内部控制的作用,既能满足企业众利益相关者的要求,又能有效提高企业经营的效率和效益。从内部控制的责任看,促进内部控制的完善不仅是企业的责任,也是国家及其它有关各界的责任。从内部控制的内容来看,归根结底是由基本要素组成。这些要素及其构成方式的组合,决定了内部控制的内容与形式,其过程是相当复杂的。因此,企业在内部控制的设计与执行上,都会遇到许多实际困难,单凭企业的力量会力不从心。
企业在内部控制的设计与执行过程中,离不开政府及有关部门的着力推动,主要需要两方面的支持系统:(1)需要有关内部控制的技术支持系统。任何一种内部控制理论,只是提供了一种思路和方法,在实践中的具体化,还需要结合企业的特点,诸如行业性质、经营规模、业务特点、管理基础等,因此企业的内部控制设计具有个性化的特点,需要企业在实践中不断探索。同时,不同企业之间的内部控制又具有某些共性,如果对这些共性做出较高层次的统一规定,对切实提高内部控制水平是直接有效的。我国在这方面也有卓有成效的经验。如财政部于2001年起陆续了一系列《内部会计控制规范》作为《会计法》的配套措施。《内部会计控制规范》系列已经涵盖了《基本规范》中开列的内部会计控制的主要内容。虽然这些规定主要还是限于内部会计控制的概念,但随着我国内部控制概念的逐步完善,对共性的规定也会越来越完整,企业可将更多的精力投入到内部控制个性化的设计上去。(2)需要国家的法律支持系统。coso报告阐述的内部控制四大局限中的两大局限,即一不能解决管理阶层人员素质问题,二不能左右政府政策或经营环境,虽然企业在这两方面无能为力,但国家却是大有作为的。由于内部控制的重要性,国家应从国家管理的高度加以重视。政府及有关部门应从内部控制的视角制定有关法律法规,条款越详细越好,并注意不同法律法规条款之间的衔接性,以提高实务的可操作性。通过国家立法的手段,加强内部控制的外部监管力量,在全社会提高内部控制意识,有效防范管理阶层人员的道德风险,为企业创造执行内部控制的公平环境,使企业能够保持较高的动力水平不断完善内部控制设计,并有效发挥内部控制的作用。
3.企业自身在内部控制设计与执行过程中应转变思路,加强沟通,让内部控制真正为企业所用。
为促使内部控制的有效,企业在内部控制设计与执行过程中应特别注意以下两点:(1)加强内部审计是直接提高内部控制水平的重要途径。从内部控制的起源研判,内部控制的产生其实是源于企业发自内心的真切需要。如在早期的业主组织中,业主是出于保护自身资产、防范错误和舞弊的需要。随着组织规模的扩大与组织形式的复杂,出现了内审机构,并不断赋于内审机构在内部控制方面新的职责。内部审计的职责是协助组织管理成员和监督管理层成员履行他们的职责,特别是以合理的成本促进有效的控制。内部审计在内部控制中的地位和作用日益显现,但现阶段由于我国内审机构的独立性和权威性因种种原因相对弱化,以及长期以来对内审人员素质培训相对滞后,客观上影响了内部审计作用的发挥。相对外部审计而言,内部审计处在一个组织内部,更了解组织情况,有外部审计无法替代的相对优势。高层管理者应充分认识到这一点,提高内审机构的地位及权威性,充分利用内部审计资源,最终实现与外部审计的互动,防范各种弊端的滋生。(2)明确内部控制的责任,增强全员管理意识。在我国,涉及内部控制的设计与执行往往成为中高层管理者专属的事务,这种官本位的立场,使内部控制成为管制和考核员工的手段,容易引起员工的不满,形成管理层与员工对立的局面。coso报告第一次明确了承担内部控制责任的不仅仅是组织中的中高层管理者,而是包括了组织中的每一位员工。管理层要树立全员管理意识,即“听民声,纳民意”,尊重员工,使企业员工参与制定与执行内部控制,从而使其积极主动地维护和改善内部控制,而不是被动地执行或与管理层对立。只有这样,内部控制才会具有不断自我修复的机能并真正发挥作用。
综上所述,我们不能孤立地看待内部控制,内部控制的完善也不可能由企业独自完成。它的重要性和复杂性决定了它的完善和有效执行不仅仅是企业的责任,它需要方方面面资源的匹配,特别是国家层面的重视和支持。基于我国现有的内部控制水平,它必将经历一个较长的完善过程。我们借鉴coso报告,逐步构建我国的内部控制框架,使我国企业能在内部控制的保护之下获得持续的健康发展。
参考文献:
1.孙广平。coso报告及其对我们的借鉴意义。教育财会研究,2003(5)。
2.赵玲珍。浅谈如何加强内部审计。财务与会计,2003(8)。
内部控制审计的概念篇9
一、内部控制牵制阶段(20世纪40年代前)
这一时期的内部牵制本质上是出于现实的需要而自发产生的,无论从概念和方法上都比较单一,可称为单要素内部控制。这一时期又可分为两个不同的发展阶段:一是内部牵制的萌芽。在20世纪40年代前,内部控制的发展基本停留在内部牵制阶段。内部牵制是以纠错防弊为主要目的,以职务分离和账目核对为手段,以钱财和会计事项为控制对象的一种管理手段。早在五千多年前,就出现了内部控制思想的萌芽。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及谷物和银子入库时的职务分离、古罗马帝国宫廷库房的“双人记账”、我国周朝留下的记录“一毫财赋之出入,数人之耳目通焉”,均反映了内部牵制的基本原理。内部牵制的实践可追溯到公元前3600年的美索不达米亚文化时期,当时经手钱财的人用各种标志来记录财物的生产和使用情况;15世纪,随着资本主义的发展和会计体系的成熟,以意大利复式簿记的出现为标志,内部牵制发展为以账目间的相互核对为主要内容并实施一定程度的岗位分离;1905年,L.R.Dicksee提出了内部牵制的三个要素:职责分工、会计记录、人员轮换;1912年蒙可马利出版的《审计——理论与实践》表达了内部牵制思想的理念;1930年,Georgee.Bennett将内部牵制定义为:内部牵制是账户和程序组成的协作系统,这个系统使得员工在从事本身工作时,独立地对其他员工的工作进行连续性检查,以确定其舞弊的可能性。二是内部会计控制。1934年美国颁布《证券交易法》,第一次使用“内部会计控制”的术语,作为根除“大危机”中虚假会计信息泛滥的根本措施之一。1936年美国会计师协会的《注册会计师对财务报表的审查》中第一次提出了内部控制的概念,将其定义为:为保护现金和其他资产,检查账簿记录准确性而在公司内部采用的各种手段和方法。1939年美国会计师协会在其公布的《审计程序文告第1号》中第一次增加了内部控制审查的内容。但是,审计界、会计界和管理界真正将注意力转移到内部控制制度的研究与应用上是在20世纪40年代后期,此后内部控制的内容逐渐丰富。
二、内部控制制度阶段(20世纪40年代宋至70年代)
这一时期的内部控制发展突破了原有的仅在会计领域的控制,延伸到管理领域,此时的内部控制可称为两要素内部控制。1947年,美国注册会计师协会(aiCpa)所属的审计程序委员会(Cpa)在其《审计准则暂行公告》中又明确了内部控制的概念,这对于原先的内部会计控制从理念上来说是一大进步。1949年,美国注册会计师协会(aiCpa)所属的审计程序委员会(Cpa)发表了《内部控制:系统协调的要素及其对管理部门和独立会计师的重要性》的专题报告,将内部控制界定为:一个企业为保护资产完整、保护会计资料的准确和可靠、提高经营效率、贯彻管理部门制定的各项政策,所制订的政策、程序、方法和措施。从该概念可以看出,该定义对内部控制提出了三个目标:合法性、合规性、完整性。按照该定义,内部控制已开始突破与财务会计直接关的控制局限,包括了成本控制、预算控制、定期报告经营情况、相统计分析并保证管理部门所制定政策方针的贯彻执行等内容。1958年,美国注册会计师协会(aiCpa)所属的审计程序委员会(Cpa)的《审计程序公告第29号》中指出:内部控制,从广义上既包括会计控制又包括管理特征的控制。因此,该公告将内部控制区分为会计控制和管理控制两个部分,前者涉及与财务安全和会计记录的准确性、可靠性有直接联系的方法和程序,后者则是与贯彻管理方针和提高经营效率有关的方法和程序,这就是内部控制“制度二分法”的由来。1963年,美国注册会计师协会(aiCpa)的《审计程序公告第33号》指出:独立审计人员主要关注会计控制,但如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响,则应当考虑评价管理控制,这是从审计视角将内部控制从会计领域延伸到管理领域,扩大了独立审计师的审计范围。1972年,美国注册会计师协会(aiCpa)下属的审计准则委员会将以往的《审计程序公告》进行汇编,以《审计准则公告第1号》(SaSno.1)重新公布,并给会计控制和管理控制下了一个详细的定义。该定义指出:会计控制是与资产安全、财务记录可靠及下列事项提供合理保证的组织结构、程序及记录:(1)交易的实施是依据管理当局一般授权或特别授权;(2)交易的记录满足能按一般公认会计原则或应用于会计报告的其他标准来编制财务报表和保持资产的经管责任的需要;(3)只能根据管理当局的授权才能接近资产;(4)账面数定期与实际数核对,并对差异采取恰当行动。管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录,这种授权是与实现组织目标相联系的管理功能,并且是会计控制的起点。1986年最高审计机关国际组织指出:内部控制作为完整的财务和其它控制体系,包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整,并提供及时、可靠的财务和管理信息。
三、内部控制结构阶段(20世纪80年代至90年代)
这一时期是内部控制发展进入相对繁荣期,出现了专门的机构具体研究内部控制问题,并进行了富有成果的研究。该时期的内部控制称为三要素内部控制。1985年由美国注册会计师协会(aiCpa)、美国会计协会(aaa)、国际财务经理协会(Fei)、内部审计师协会(iia)、管理会计师协会(ima)联合发起,成立了反欺诈财务报告全国委员会(nationalCommissiononFraudulentFinancialReproting),即treadway委员会(treadwayCommission),而目前CoSo就是treadway委员会的发起组织委员会(theCommitteeofSponsodngorganizationsofthetreadayCommission)的简称。当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”最初负责研究导致财务报告舞弊的因素,并寻找解决之道,对公众公司、会计师事务所、证监会及其他监督机构提出建议,之后专门研究内部控制问题。1988年美国注册会计师协会(aiCpa)《审计准则公告第55号》(SaSno.55),并从1990年起取代1972年的《审计准则公告第1号》(SaSno.1)。该公告第一次以“内部控制结构”概念替代“内部控制制度”,将内部控制定义为:内部控制是由管理者建立的,旨在以一种有序的和有效的方式进行公司的业务,确保其与管理政策和规章的一致,保护资产,确保记录的完整和正确性的一个整体系统。该公告第一次将控制环境纳入审计人员应考虑的范围,认为控制环境、会计制度和控制程序共同构成内部控制结构的三个要素。其中控制环境是实现内部控制目标的环境保证,会计制度是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。这一概念突破了“制度二分法”的局限,特别强调了管理者对内部制度的态度、认识和行为等控制环境因素的重要作用,且不再区分内部会计控制和内部管理控制。从此,内部控制从“制度二分法”阶段步入“结构三分法”。
四、内部控制整合框架阶段(20世纪90年代以后)
随着内部控制发展的成熟,人们对其认识的深化,内部控制的外涵和内延都得到了空前的发展。这一时期的内部控制称为五要素内部控制。1992年,CoSo委员会了《内部控制—整体框架》(简称iC-iF),1994年,其又对报告进行了修改和增补,这就是著名的CoSo报告。该报告将内部控制定义为:内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程,同时提出了内部控制的三大控制目标:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规。并提出内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。从这一定义可以看出,此时的内部控制发展已经进入了成熟期,尤其是从原先的“方法程序观”向“过程观”的转变、从“静态”向“动态”的转变,这是内部控制发展的根本性变革。因此,该概念一经公布就得到了理论界和实务界的认可,这也是目前关于内部控制公认的最具权威性的概念。1996年,美国注册会计师协会(aiCpa)会计标准部公布了《审计准则第78号》(SaSno.78),于1997年1月起生效,用于取代1988年的《审计准则公告第55号》(SaSno.55)。在该准则中CoSo报告的基本原则被全面接受并得以体现,并认为CoSo报告将成为美国企业建立合理的内部控制结构所需要的,预测将会有更多企业承认并采纳该报告。1998年9月巴塞尔银行监管委员会在吸收1994年CoSo报告研究成果基础上了《银行组织内部控制系统框架》,将CoSo报告提出的内部控制制度的整体框架成功地应用于银行业,并系统地提出评价商业银行内部控制体系的十三条指导原则。《框架》指出:有效的内部控制制度是银行管理的一个关键组成部分,是银行安全、高效运营的基础。有效的内部控制可以帮助银行实现长期盈利、提供可靠的财务与管理报告、遵守法律、法规、政策、计划、内部管理规定与程序、减少意外损失或声誉损害等目标。同时提出五个相互关联的要素:管理层监督与控制文化、风险识别与评估、控制活动与岗位分离、信息与沟通、监督活动与错误纠正。这是内部控制理论首次在银行业的实践,由此商业银行内部控制研究取得历史性突破。
五、企业风险管理整合框架
内部控制审计的概念篇10
关键词:信息系统审计信息技术现状
国内外学者对于信息系统审计及其相关概念缺乏统一的认识,因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验,对信息系统审计研究的文献极其有限,且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比,信息系统审计在审计目标、审计内容等方面存在着不同之处。
一、信息系统审计
信息系统审计(informationSystemaudit,iSa)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、eDp审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和it审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(electronicDataprocessing,eDp)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuousaudit,Ca)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同Cam(Computer-aidedmanufacturing,计算机辅助制造)、CaD(Computer-aidedDesign,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
通过以上的分析,笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容,信息系统审计是计算机审计的组成内容之一。
二、国外信息系统审计研究现状
随着信息技术与审计理论的发展,国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。
20世纪80年代,计算机犯罪率急剧上升,信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求,美国eDp审计师协会1981年举办了首次注册信息系统审计师(CiSa)资格认证考试,1984年的《eDp控制的目标》提出了信息系统的系列控制标准,1987年了《信息系统审计的基本准则》(GeneralStandardsforinformationSystemsauditing);日本通产省在1982年设立了“计算机安全研究会”,而后发表了《有关计算机安全对策》,1985年发表了《it审计标准》,提出了“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点,并在日本的软件水平考试中增添“系统审计师”考试,培养从事信息系统审计的专业队伍。上述审计理论与实务表明,国外信息系统审计发展已经进入成熟期,并走上了正规化和专业化的轨道。
进入20世纪90年代以后,国外信息系统审计研究进入普及期。1994年,eDpaa正式更名为信息系统审计与控制协会(iSaCa),iSaCa成立后主要致立于信息系统审计准则体系的制定工作。iSaCa的信息系统审计规范类似于Cpa审计准则体系,它由基本准则、审计指南和作业程序构成,其显着特点就是以CoBit为基本工具,并借以与itGi的指南相联系,以弥补iSaCa规范在审计细节方面关注的不足。截止到2010年12月,iSaCa已经了16项基
本准则,41项审计指南和11项作业程序,为信息系统审计人员开展审计活动提供了指引。
三、国内信息系统审计的研究现状
随着我国信息化进程的推进,国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论,但20号审计准则却是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在政府或相关机构颁布信息系统审计准则的同时,国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题,应加快行业准则与实务指南的制定。可以借鉴iSaCa的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展。
参考文献:
[1]中华人民共和国审计署,《审计机关计算机辅助审计办法》,1997,第二条.