审计学中内部控制的概念篇1
符合性测试概念可见于我国诸多审计之中,虽然这些文献给出的符合性测试概念不尽相同,但大至可分为二类:一类认为符合性测试是为了确定内部控制制度的设计和执行的有效性;一类则认为符合性测试的不包括对内部控制制度设计的测试,也即符合性测试仅是为了确定内部控制制度的执行的有效性。
第一类观点以注册师全国统一指定辅导教材《审计》为代表,其具体的表述为:“符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试是在了解内部控制的基础上来确定其设计和执行的有效性。”
第二类观点则以《释义》为代表,其具体表述为:“符合性测试是指通过一定的审计方法,测试被审计单位业务活动的运行与相关内部控制的符合程度。通过符合性测试,注册会计师便可对内部控制的有效性作出进一步评价,并根据符合性测试结果确定实质性测试的性质、时间和范围。”
不难看出,上述二类符合性测试概念的矛盾和冲突集中体现在符合性测试的内容(或对象)是否包括内部控制的设计。因此,搞清这个问题就成为解决符合性测试概念矛盾和冲突的关键所在。
如果我们把研究和评价内部控制制度看作一个过程,然后我们再把这一过程按进展程度作一划分并作些,籍此或许能够有助于弄清我们所要讨论的问题。
研究和评价内部控制制度作为一个过程,大体上要经过以下一些步骤:
1、调查了解内部控制制度,并把调查了解的惰况记录下来形成工作底稿。内部控制制度调查记录的方法通常有三种,即调查表(问卷)、文字表述和流程图。
2、进行穿行测试。所谓穿行测试就是指在每一类交易循环中选择一笔或若干笔业务进行测试,以验证工作底稿上描述的内部控制制度信息的客观性和真实性。穿行测试(walk-throughtest)也叫全程测试、了解性测试(testofUnderstanding)、摇篮—一坟墓测试(CradletoGravetests)。实施这种测试的目的在于防止工作底稿中对内部控制的描述出现偏差;
3、初步评价内部控制制度。注册会计师每次审计时,在了解了内部控制之后,应对控制风险作初步评价。由于在这一阶段,注册会计师尚未对内部控制的执行情况进行检查,仅对内部控制作了了解和描述,因此,初步评价只能从内部控制的设计角度进行。初步评价内部控制作为一种审计程序,其实质在于把被审单位内部控制的现有模式与理想模式进行比较,从内部控制的设计方面找出被审单位内部控制的不足,以及这些不足可能对会计系统产生的影响。这里的评价主要集中在企业所设计的内部控制的系统性、有效性、协调性以及内部控制的适用性等方面。“审计实务中,审计人员可以采用‘内部控制问题或调查表’。‘内部控制问题式调查表’是将内部控制的各个要求以问题方式列出的一种表式。因此,‘内部控制问题式调查表’实际上是理想控制模式的一种表示形式,它使理想控制模式具体化,使审计人员易于用理想控制模式对实际存在的内部控制制度进行评价。”初步评价以后,如果注册会计师认为内部控制完全不能依赖,注册会计师或者放弃接受委托或者直接进入实质性测试(一般要评查),如果这样,内部控制的研究。评价到此即告结束。如果注册会计师认为内部控制可以依赖或部分可以依赖(仅从制度的设计角度)且对实际存在的内部控制运行状况的检查符合成本效益原则,注册会计师则要进入下一道程序;
4、对内部控制在受审期间运行的状况进行检查。这里的检查实际上就是查看内部控制在整个受审期间是否按照设计的要求有效地运行,其实际运行的状况与制度设计的要求符合程度有多大。因为,设计再完美的内部控制,如果没按要求运行,内部控制只能形同虚设,注册会计师同样不可对其依赖。注册会计师仅在满足下列条件下才对内部控制的运行情况进行检查:(1)存在可以依赖的内部控制;(2)对内部控制的检查可以减少实质性测试的工作量。这里的检查方法可以按交易测试和机能测试分别进行。所谓交易测试就是对某一交易事项的突个流程或整个程序所采取的一切控制措施进行审查,其目标在于查明内部控制系统中的信息流向,查明信息流经的控制环节是否都在发挥控制功能,其发挥的程度和效能如何。交易测试一般应按交易循环进行,注册会计师从每一交易循环中选择出若干交易事项进行测试,这里的测试既可以顺查也可以逆查。交易测试的实质在于是对内部控制在一个较为狭窄的时间范围内所做的横向检查;所谓机能测试是指对某控制措施(控制点)在整个受审期间是否一贯地有效执行所进行的测试。这种测试要求注册会计师从内部控制中选择出若干关键控制点,并对受审期间内所有经过这些控制点的业务进行控制情况检查(抽查)。所谓关键控制点是指一旦这些控制环节的控制失控,错弊就极易发生,符合这种特性的控制环节,就可称之为关键控制点。机能测试的实质在于是对关键控制点在整个受审期间所做的纵向检查。交易测试结合机能测试可以便注册会计师对内部控制进行较为镇密地、有效地立体检查,这里的检查仍为抽查。注册会计师对内部控制的执行。情况进行检查以后,接着就要进入下一个程序;
5、对内部控制的再评价。通过上述几个程序,注册会计师对内部控制的设计以及运行情况都有了比较全面的了解,在此基础上,注册会计师要对整个内部控制的情况也即控制风险水平进行再评价,看其控制风险是高还是低。将控制风险评价为高水平,意味着内部控制不能及时防止或者发现和纠正某项认定中的重要错报或漏报的可能性很大,如果很多认定或者所有认定的控制风险,都被评价为高水平,那么,注册会计师就应考虑是否对被审计单位会计报表进行审计。对控制风险的评价,是为了确定完成审计工作所需执行实质性测试的性质、时间和范围。评价控制风险的适当与否,直接影响到实质性测试的适当性。至此研究和评价内部控制的一般过程就全部结束。
内部控制制度的与评价肯定不等于符合性测试,但符合性测试却存在于内部控制制度的研究与评价过程之中。因此,在我们对内部控制的研究与评价程序作了划分和后,要想地界定符合性测试的内涵,还有必要对测试概念以及符合性概念作些分析。
何为测试?测试(test)的意思为检查,只不过这里的检查含有抽样检查的意思,用在审计中,则是指通过对审计对象样本的检查,以审计对象样本的特征去推断审计对象总体特征这样一种活动。至于符合性,其含义即为遵循性,符合性测试在中叫Compliancetests。因此,Compliancetests在我国也有人把它翻译成遵循性测试、依从性测试。从这些字义本身来看,内部控制的研究和评价程序中,只有第4步程序才能称之为符合性测试。因为,第4步程序只是对内部控制进行了解、描述和记录,没有测试;第2步程序虽然进行了穿行测试,但目的不是检查“符合性”,而是检查对内部控制描述记录是否有错;第3步程序为初步评价,这里的初步评价只能是从内部控制设计的角度初步评估控制风险,是在对内部控制实际执行情况没有检查情况下对控制风险的初步评估,这里不涉及符合性;至于第5步程序也与符合性测试的内涵不相吻合,符合性测试与内部控制的再评价既有联系又有区别。符合性测试是内部控制再评价的基础,没有符合性测试也就不会出现内部控制的再评价;内部控制再评价是符合性测试的必然要求,否则,符合性测试就没有任何价值,这是二者的联系。但是它们二者的区别也是非常明显的,内部控制的再评价是利用符合性测试得到的证据,对控制风险作出比较全面的分析过程,其本身作为一个相对独立的过程,并不进行任何检查,只是在利用检查所得到的资料。被西方誉为“民间审计圣经”的《蒙哥马利审计学》也认为“审计人员对其计划所依靠的各项控制进行初步评价后,接着便进行符合性测试,——符合性测试的目的是证明内部控制在打算依赖的期间内,是否在令人满意地发挥作用。它包括:检查审计客户的记录和文件,取得证据;观察审计客户职员如何执行控制;由审计人员重复进行职员的工作。”
审计学中内部控制的概念篇2
一、内部控制的概念
内部控制(internal Control)一词,最早出现在1936年美国会计师协会(美国注册会计师协会的前身)的《注册会计师对财务报表的审查》文告中,定义为保护现金和其它资产,检查簿计事务的准确性,而在公司内部的手段和方法。近几十年来,随着内部控制理论以及认识的不断发展,不仅在美国,而且在其它国家和组织,其概念的内涵和外延也都发生了较大的变化,当前,比较典型的概念主要有:
l、1976年,加拿大特许会计师协会在《审计推荐草案》中指出:“内部控制由组织体制的设计和企业管理人员制定的所有协调制度组成,就其实用方面而论,是为取得确定的管理目标,促进企业的业务有秩序和有效率的进行,保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。
2、1986年,最高审计机关国际组织在第十二届国际审计会议上发表的《总声明》,对内部控制作出了权威性解释:“内部控制作为完整的财务和其它控制体系,包括组织结构、方法程序和效果性,保证管理决策的贯彻,维护资产和资源的安全,保证会计记录的准确和完整,并提供及时的、可靠的财务和管理信息”。
3、1988年,美国注册会计师协会的《审计准则文告第55号》指出:“企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。
4、我国权威部门目前还没有对内部控制的统一概念,一般认为内部控制是在内部牵制的基础上。由企业管理人员在经营管理实践中创造,并审计人员理论总结而逐步完善的自我监督和自行调整体系。
从以上的定义可以看出,尽管各个国家和组织对内部控制的定义侧重点有所不同,但均包括两个基本方面:保证会计信息准确可靠、资产安全完整和促进企业经营管理。事实上,这也正是促进企业内部控制理论和实践发展的两大动因:企业内部强化管理的需要和外部审计开展的需要。正如美国会计师协会在其刊物上指出的那样:“(1)企业经营的范围和规模变得非常复杂和广阔,使得管理必须依靠大量的反映经济活动的分析资料和报告;(2)健全的内部控制有助于防止工作人员出现差错,减少发生不合规现象的可能性;(3)审计部门在审计费用的严格限制下,如不依靠客户的内部控制系统,那么对大部分企业进行审计是不可能的”。由此可见,西方国家实行内部控制的原因和所取得的成效,即保护企业财产的安全性,提高可见信息的准确性,强化企业经营管理,以及配合外部审计的开展,也正是我们当前进行现代企业制度改革所迫切需要达到的目标。
二、发展与原因
内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。该时期的内部牵制,它基本是以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。这是内部控制理论发展的初期阶段——内部牵制时期。
1934年美国的《证券交易法》首先提出了“内部会计控制”的概念,要求证券发行人应设计并维护一套能为投资人提供合理保证的会计信息的内部会计控制系统。1953年10月,美国审计程序委员会又了《审计程序公告第19号》,对内部控制作了如下划分:“广义地说,内部控制按其热点可以划分为会计控制和管理控制;l)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度,记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。1972年,《审计准则公告》的制定者美国准则委员会,根据对《证券交易法》研究和讨论,在第1号公告中,提出立管理控制和会计控制概念,这是内部控制的发展期,既内部会计控制与内部管理控制时期。
审计学中内部控制的概念篇3
[关键词]审计风险;特殊考虑;风险要素
随着审计责任的加大,审计风险的问题越来越受到人们的极大关注,职业界普遍认为有效控制与规避审计风险是目前亟待解决的问题。但笔者认为解决实际问题首先应理论联系实际,因此笔者将对审计风险的概念、风险基础审计模式的要素及计量、控制环境在审计风险要素中的定位以及审计风险评价与期望审计风险确定等问题结合实际做一些特殊的考虑,以期望能对审计实际工作有所指导。
一、关于审计风险概念的特殊考虑
研究风险基础审计,必须先明白审计风险的涵义。对审计风险的涵义,国内外有许多学者作了积极探索,不同的人由于站的角度不同,结论也并非完全一致。美国注册会计师协会(aiCpa)、加拿大特许会计师协会(CiCa)、国际审计实务委员会(iaFC)以及著名审计学家阿伦斯等都对审计风险涵义表达了自己的看法。这些有关审计风险的概念,有一个共同的特点,认为审计风险是指财务报表没有公允地揭示的风险。但笔者认为,这种定义方法只是为了给实务中的具体操作提供可行的指南,而不是从一般的理论意义上探讨,因而只能说明审计风险的表面现象,而未触及审计风险最本质的东西。笔者认为,将审计风险概括地表示为能觉察出重大错误的风险,只是最狭义的审计风险,而审计风险本身具有更广泛的含义,可从最狭义、狭义和广义三个层次上来说明。从最狭义的角度来理解,审计风险是审计人员错误地估计和判断了审计事项,乃至发表了与事实相悖的审计报告,使重大错误或舞弊行为未能揭示出来,而受到有关关系人指控并遭受某种损失的可能性。
一般来说,审计人员对审计风险理解就是如此,包括国际审计准则在内的大多数的国家的审计准则也是这样理解的。原因在于审计实践中大量产生的是这一类审计风险,因而成为人们研究的重点。这为审计人员分析和寻找审计活动所可能招致的风险及其直接因素开辟了途径,在实务中使审计人员容易寻找到对付的办法。但是,上述关于审计风险的定义并没有完全表达审计活动的风险,仅是针对把错误的判断为正确,即财务报表存在重大差错而发表了无保留意见的报告。因而,当我们对审计活动结果的可能性进行考察时,其结果不仅存在把错误判断为正确的情况,还存在把正确判断为错误的情况,因而审计风险的含义应有更广泛的内容。
从狭义的角度理解,审计风险还应当包括财务报表没有公允揭示而审计人员却认为已公允揭示的风险,以及财务报表总体上已公允揭示而审计人员却认为未公允揭示的风险。审计风险应是“主观”与“客观”的一种偏离,有可能从两个方向发生偏离:一是把客观上是正确的东西判断为错误的,给予否定,也就是α风险;二是把客观上是错误的东西判断为正确的,加以肯定,也就是β风险。由于在审计实践过程中,对公允揭示的财务报表发表一个有保留或相反的意见,一般是不可能发生的,因而α风险发生的情况很少,而大量的是β风险,即对严重失实的财务报表发表无保留的审计意见的风险。但α风险很少发生并不等于说不是客观存在的。一旦发生这种情况,通常会延长研究和调查时间,影响审计人员的效率和信誉,也会导致损失(效率低下的损失和名义上的损失)。因而,从理论的探讨来说,α风险也是审计风险的内容之一。
美国学者海尼丝在论述风险时,认为风险是损失的可能性,这是从最广泛意义理解风险。推而广之,审计风险也可以理解为审计主体损失的可能性。主要有“狭义的审计风险”和“社会营业风险”。社会营业风险是指虽然为某一客户提供的审计报告正确无误,但审计人员(或承担审计的会计师事务所)却由于一种客户关系而受到伤害的风险,这就是通常所说的“深口袋”责任概念。上述因素,即使不是审计过程中发生的失误行为,也对审计构成了风险。因而必须把社会营业风险列入审计风险的范畴,并扩大审计人员的审计范围。这是审计风险模型要加入考虑该风险要素的主要理由之一,也是会计师执业面临诉讼爆炸的重要原因。
综上所述,审计风险是审计与风险两个概念的组合。审计风险概念是风险的属概念,具有风险的基本特征。将风险概念引入审计学,是审计理论与实务发展史上具有重要意义的一个里程碑,它使审计人员对审计风险的认识由被动变为主动,对审计风险的控制变被动控制为主动控制。对审计风险的解释有三个层次,不同的层次适用条件不一样。完善的审计风险概念,应从广义上解释,即不仅包括审计过程的缺漏导致审计结果与实际不相符而产生损失或责任的风险,而且包括营业失败可能导致公司无力偿债或倒闭所可能对审计人员或审计组织产生伤害的社会营业风险。
二、关于审计风险要素与计量模式的特殊考虑
根据当代审计理论,传统的审计风险要素为:企业职工素质(包括管理人员能力品质)、企业经营环境与经营项目及其内部形成的特有的文化氛围的因素决定的企业财务信息质量水平的固有风险要素;企业制度的控制内所不能察觉并修正财务信息质量的控制风险要素;审计人员未能通过实质性测试对财务信息、质量水平的状态给予恰当评价的检查风险要素。而且审计界认为审计风险是由固有风险、控制风险和检查风险构成。它们之间的关系为:审计风险=固有风险×控制风险×检查风险。一般来说,固有风险、控制风险是独立于审计而存在的,审计人员无法改变其实际水平。检查风险可以由审计人员实施控制。固有风险、控制风险与检查风险成反比,与预计的证据数量成正比。故在审计过程中,审计人员的责任就是预先确定一个可以接受的审计风险水平,以此作为风险管理的目标,而后在具体的以制度为基础的符合性测试中尽力把审计风险降低到期望水平。在实质性测试中,审计人员所作的只能是利用各种方法收集有关证据,通过控制检查风险来实现预定水平。但是作为一种方法模式并非是一成不变的,在运用中要考虑我国当前特定的环境。
审计风险与三种风险要素之间为什么会表现出这种长期的关系呢?主要是因为控制措施能减少固有风险对财务信息质量水平可能造成的不良影响,而审计人员的检查行为又能检查出固有风
险与控制风险的综合作用对财务信息质量造成的瑕疵。例如,假设某企业财务信息的固有风险为30%,控制风险为30%,则固有风险与控制风险的综合风险效果是9%.也就是说由于企业的职工因素造成(或决定)财务信息会出现30%瑕疵,在对企业财务信息的加工过程施加控制之后,使财务信息的质量只有出现9%的瑕疵的可能。在这里内控自动发挥的作用是化解了21%固有风险。以上提到的审计要素是与狭义审计风险相适应。关于风险要素,笔者认为根据前述审计风险广义定义也可以在我国考虑增加“社会营业风险”要素。由于审计只限于抽样,审计并不能发现财务报表中的全部错误项目,某种隐蔽较好的欺诈极难侦破,所以,存在一定的审计不能发现的重大错报项目的风险。在审计未能发现重大错报,并提出错误的审计意见时,因审计人员过失而受损失的人,可望从会计事务所处取得赔偿。由于审计的复杂性,在实践中很难确定审计人员是否做到应有的谨慎。由于司法传统(指美国)也很难决定谁有权期望获得审计利益,因而当某一公司破产或无力偿还债务时,报表使用者通常会指责审计失误。遭受损失的人由于对其经济利益的关注而对审计人员提出过高要求,一旦受损就希望得到补偿,而不问错在何方。如在美国,由于“厄特马斯主义”的法律背景及“深口袋理论”的人文背景的影响,审计人员承受法律责任的范围扩大,程度加深了。这种在范围和程度上扩大并加深了的审计人员法律责任,便是社会营业风险要素一定计量的对象。所以,传统的审计风险模型变为:审计风险=固有风险×控制风险×检查风险+社会营业风险。而狭义的审计风险可称为“意见风险”,所以审计风险还可以表示为:审计风险=意见风险+社会营业风险。在这里,因为“社会营业风险”对“意见风险”几乎没有影响,因此它们之间只能表达为“和”的关系而不能是“积”的关系。
审计风险是审计人员从以下几方面出发所作出的一种判断,首先是审计主体对风险的承受能力,若审计主体有强的风险承受能力,则在对风险与收益进行权衡之后,可以选择较高的风险水平;其次,通过对被审计单位固有风险与控制风险的考察分析,审计人员认为被审计单位这两种风险的综合风险很低,即被审单位出现重大的错报与漏报可能性不大,这种情况下审计人员也可以设定较高的审计风险,进而降低审计成本。下面通过例子来说明审计风险的计量。在前面的审计风险模型中,其中“意见风险”为“发表不恰当审计意见给审计主体带来损失”的概率。假定审计人员在一百次审计中有六次发表不恰当审计意见,这六次中又有两次给审计主体造成损失,则:意见风险=(6/100)×(2/6)=2/100,由于发表不恰当意见并造成损失的可能性(2/100)=固有风险×控制风险×检查风险。若审计人员对固有风险×控制风险的评价为20%,经计算:检查风险=2/100÷20/100=2/100×100/20=10%.审计人员将依据计算出的检查风险的大小来确定相应审计范围的大小及应收集的审计证据的多少。若通过对有关法律及人文环境的评价,审计人员判断社会营业风险为1%,那么审计人员所承受的审计风险为3%.
三、关于控制环境要素对审计风险影响的特殊考虑
首先,风险基础审计的一个显著特点就是引进了“内部控制结构”理论,强调控制环境在审计风险评价中的作用。控制环境的优劣不同,隐含的审计风险也会不同,那么控制环境中包含的审计风险究竟属于固有风险的范畴还是属于控制风险的范畴,《独立审计具体准则第九号——内部控制与审计风险》将控制风险表述为“第一账户或交易类别单独或连同其他账户或交易类别产生错报和漏报,而未能被内部控制防止、发现和纠正的可能性”,根据该定义,控制环境应当属于控制风险的范畴,但是该准则同时又认为“固有风险是指假定不存在相关内控时某一账户或交易类别单独或连同其他账户,交易类别产生错报或漏报的可能性”,审计人员应当合理应用专业判断,考虑管理人员的品行与能力、管理人员特别是财会人员的变动情况、管理人员遭受的异常压力、业务的性质、影响被审单位所在行业的环境因素等若干情况,以评估固有风险,这样似乎控制环境更接近于固有风险的范畴。很显然,根据这些描述,若将控制环境归入控制风险范畴易使人困惑,因其外延大部分落入固有风险的范畴,若将其归为固有风险的范畴,又与固有风险的内涵不符,因为控制环境属于内控制度的一个组成部分,这种两难的选择不仅使得风险基础审计缺乏内在的逻辑一致性,而且使得控制环境要素在审计风险评价模型中难以定位。其实,控制环境可能归纳为制度或程序因素及非制度和程序因素。显然前者形成的风险属于控制风险,后者形成的风险属于固有风险,所以准则中对固有风险和控制风险的定义欠妥,笔者建议对相应准则进行修订。
其次,如果企业内部行使控制职能的管理人员,蓄意营私舞弊,那么即使具有设计良好的内控制度也不会发挥其应有的效能。内控制度作为企业管理的一个组成部分,它理所当然地要按照企业管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内控制度也就失去了应有的控制效能。在目前情况下,笔者认为应当充分考虑外部环境对管理者的约束。例如,经营管理的好坏对管理者升迁的影响,控制公司对企业管理层的监督与约束等等。但值得注意的是即使经过我们的评价,控制环境不存在重大的风险,我们也应当考虑内部控制结构失效这一因素,适当提高我们的风险评估水平。
四、关于审计风险评估与期望审计风险确定的特殊考虑
风险基础审计属于开放式审计,将目标和手段有机地结合在了一起。审计风险的评价贯穿整个审计过程的始终,而审计风险水平的确定,必须研究谁使用报告,用途是什么,审计信息使用者的希望和需求是什么,也就是审计所要达到的目标是什么。然而由于所有者主体的不到位以及中小投资者的分散性及专业知识的限制,使得审计高质量的要求大打折扣,又由于需求群体的不成熟,使得国家只有从审计的供给方进行约束,通过制定高质量审计准则来指导审计需求和提高供给方的质量。很显然,我们的审计准则超前于我们当前的审计实际需求。这就使得审计人员在评价审计风险时,不仅要考虑审计的实际需求,还必须考虑独立审计准则所确定的审计质量水平。从已有的案例可以看出,很少有由股东或潜在的投资者诉诸法律,审计师面临的主要在于国家监管部门的惩处,个中原因恐怕也就在于此。当然,我们也应当注意的是,随着审计需求的不断发展变化,审计风险的评价也会不断发生变化。另外,评价审计风险的目的在于与期望审计风险进行比较来确定出具体审计报告的类型。期望审计风险的大小反映了审计人员愿意承担风险的多少,其确定取决于审计人员的主观判断。国内大多数会计事务所将期望审计风险水平确定为5%,aiCpa颁布的SaS47提出的指导性审计风险水平也为5%,基于此,有人建议我国的事务所期望审计风险水平为5%,但笔者以为,目前对我国大多数会计事务所来说,难以承担此风险。所以应具体考虑事务所本身的规模大小及风险承担能力,对于中等规模的审计机构期望审计风险应为1%至3%为宜。
[参考文献]
[1]独立审计具体准则第9号——内部控制与审计风险[S].北京:中国财经出版社,1998.
[2]秦荣生,卢舂泉。审计学(第三版)[m].北京:中国人民大学出版社,1998.
[3]2000年度注册会计师全国统一考试指定辅导教材。审计[m].大连:东北财经大学出版社,1999.
[4]彭红漫。浅议审计风险防范措施[J].湖北审计,2000,(8)。
[5]吕博。论审计风险[J].宁夏审计,2000,(2)。
[6]张龙平,陈建明。独立审计准则导论[m].北京:经济科学出版社,1997.
审计学中内部控制的概念篇4
「关键词企业组织;内部控制审计;组织效率
关于内部控制与审计的渊源和逻辑联系的,对于梳理二者自身的脉络,从而准确地把握内部控制和审计的性质和功能至关重要,也是科学地分析一些现实问题的关键。既有的研究成果大致可以分为两类:一类认为内部控制和审计是各自独立发展的两个范畴,只不过是审计摆脱详细审计(账项基础审计)模式之后,内部控制才被纳入审计之中,作为审计的对象和审计技术的基础,这是比较主流的观点;另一类认为审计本身就是一种控制(蔡春,2001),由此以来,内部控制与审计是此控制与彼控制的关系,只不过是运用不同的控制手段作用于不同的控制对象,从而实现不同的控制功能,二者会出现交叉乃至互补。应该说,这两类观点出于不同的角度,都有一定的合理性。然而,笔者认为如果没有一个明确的参照体系和核心线索,很难揭示二者本质上的逻辑联系,也很难解释二者互动和交叉发展的深层原因。这也是为什么不同的说法似乎都不能自圆其说的缘由所在。
本文旨在从考察内部控制的产生和演进轨迹人手,探寻内部控制与审计之间的逻辑联系,分析内部控制与审计的互动与耦合,并引人组织效率的概念和简化的组织效率函数,以便在企业组织的框架内定格出内部控制和审计的性质和功能,在此基础上为相关问题的分析和解释提供一条更为科学、合理、开阔的思路。本文的突出特点在于将内部控制和审计置于企业组织这一参照体系中进行研究,并且引人组织效率这一核心概念将二者联结起来。显然,本文的论述并非不能推广到非企业组织,之所以仅限于企业组织,只不过是出于研究的侧重点和方便性的考虑。
一、内部控制的产生和演进轨迹
内部控制必须与一定的组织联系起来理解,即它来自组织内部,针对组织内部,是为促使组织实现其所赋有的全部或者部分使命(目标)而开展的一系列专门的活动。这里有两个要点:第一,组织是相关利益(或非利益,下同)主体的结合体,或者说它是一干相关利益主体及其相互关系的联结,内部控制存在于(来自或者针对)这些相关利益主体之间,其目的在于从特定的角度协调某些关系;第二,内部控制是一系列活动,这些活动可能是有意(自觉)的,也可能是无意(自发)的,它并不依赖于外在的称谓或者被归结出来的概念。理解这两点,有助于我们把组织内部的控制(controlinorganizations)和对组织的控制(controloforganizations)区分开来(桑德,2000),把概念化、程式化的内部控制和实质上的内部控制活动本身区分开来。从而避免陷入混淆和曲解。
由此,我们不难看出,内部控制是伴随着组织的形成而产生的。宽泛而言,自从组织产生之后,伴随着组织追求其目标的努力,就催生了内部控制。企业组织的内部控制是伴随着企业组织的形成而产生的。早期的分工、牵制、授权、汇报、稽查等都是内部控制活动。因而,可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。
内部控制经历了一个不断发展、完善的历史进程。推动其发展的因素主要来自组织的演进和环境(、经济、、技术)的变化。内部控制的演进主要表现为控制目标、控制对象和控制手段的变化。按照通行的概括,内部控制的演进遵循着“内部牵制(internalcheck)——内部控制制度(internalcontrolsystem)——内部控制结构(internalcontrolstructure)——内部控制整合框架(internalcontrolintegratedframework)”的轨迹。应该说,这一概括大致上勾勒出了内部控制的发展进程。
但是,必须再次强调的是,内部控制的演进决不仅仅是概念的翻新。我们完全可以从“自发性(无意识的)内部控制——自觉性(有主观目的性的)内部控制——他律性(管制、规范要求的)内部控制”(内部控制的属性演变)、“零散的内部控制——专项的内部控制——系统的内部控制——综合的内部控制”(内部控制对象的拓展)、“原始的内部控制——手段辅助的内部控制”(内部控制手段的进步)等很多线索去探求内部控制的演进轨迹。而且沿着这些追溯线索也能够找到内部控制与审计渊源关系的一些契合点。本文限于篇幅,只根据通行的线索进行论述。
1.内部牵制阶段。从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本上停留在内部牵制阶段。这一阶段内部控制的着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制。内部牵制主要通过人员配备和职责划分、业务流程、簿记系统等来完成。其目标主要是防止组织内部的错误和舞弊,通过保护组织财产的安全来保障组织运转的有效性。
2.内部控制制度阶段。20世纪40年代至70年代,内部控制的发展进入内部控制制度阶段。这一阶段内部控制开始有了内部控制和内部管理控制的划分,主要通过形成和推行一整套内部控制制度(和程序)来实施控制。内部控制的目标除了保护组织财产的安全之外,还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。
3.内部控制结构阶段。20世纪80年代至90年代初,内部控制的发展进入内部控制结构阶段。这一阶段开始把控制环境作为一项重要与会计制度、控制程序一起纳入内部控制结构之中,并且不再区分会计控制和管理控制。控制环境反映组织的各个利益关系主体(管理当局、所有者和其他利益关系主体)对内部控制的态度、看法和行为;会计制度规定各项经济业务的确认、分析、归类、记录和报告方法,旨在明确各项资产、负债的经营管理责任;控制程序是管理当局所确定的方针和程序,以保证达到一定的目标。
4.内部控制整合框架阶段。1992年9月,美国反虚假财务报告委员会(通常以其首任主席的名字命名为treadway委员会)的主办组织委员会(C0So)了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着内部控制进入一个新的发展阶段。内部控制的目标包括合理地确保(reasonablyassure):经营的效率和有效性;财务报告的可靠性;对适用法规的遵循。内部控制要素包括:(1)控制环境,包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,管理当局确立权威性和责任、组织和开发员工的方法等;(2)风险评估,即为了达成组织目标而对相关的风险所进行的辨别与分析;(3)控制活动,是为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业绩的复核、资产的安全性等;(4)信息与沟通,是为了保证员工履行职责而必须识别、获取的信息及其沟通,信息系统中包括会计信息系统;(5)监控,即对内部控制实施质量的评价,主要包括经营过程中的持续监控(日常管理和监督,员工履行职责的行动等)、个别评价或者两者的结合(C0So,1992)。
二、审计模式的变革及其与内部控制的历史渊源和逻辑联系
尽管关于审计的属性有信息论、代、保险论等不同的诠释,但不可否认的是,审计是一项独立的验证活动。相对于被审计的组织(或者,针对内部审计而言,为组织中的某一个局部)而言,审计是一种外来的验证。如果审计可以理解为经济控制的话,它应该是对组织(或局部)的控制。审计的起源可以追溯到很早,但为了简便起见,本文的讨论仅限于现代意义上的审计,即19世纪中叶以后的审计。
审计模式是对审计技术和方法的内在结构尤其是主导因素进行概括和的产物。审计模式也处在动态的变革之中。从全面(详细)审计发展到非全面(抽样)审计是审计模式变革的总体脉络;根据审计样本选取原则的进步,非全面审计也在不断演进。总的看来,审计模式的变革大致上已经、正在或者将要经历的轨迹为:账项基础审计(transactionsbasedauditing)——制度基础审计(systembasedauditing)——风险导向审计(riskbasedauditing)——业务基础整合审计(businessbasedintegratedauditing)。
账项基础审计实质上是直接针对会计账目和数据所进行的详细审计,它于19世纪中叶起源于英国。制度基础审计是通过对内部控制制度的评价来确定实质性测试的范围和程度的审计模式,它大致形成于20世纪40年代。风险导向审计立足于对审计风险进行系统的分析和评价,并据此对审计进行规划,它发轫于20世纪80年代。业务基础整合审计尚在萌芽之中,其核心是根据以经营业务为基础的风险/控制评价来分配审计资源,也有人认为它是对风险导向审计的发展或改进(胡春元,2001)。
应该说,审计模式的每一次变革,都是一次不小的进步。从账项基础审计到制度基础审计完成了审计发展史上的一次飞跃,即由全面审计讲变为非全面审计,大大节省了审计成本。但是,制度基础审计和账项基础审计一样,都属于程序驱动审计(proceduresdrivenauditing),即规划审计时主要考虑的是遵循制度和形成账项的程序及其结果,是一种后验式的方法论导向。风险导向审计考虑了审计环境,以分析和评价审计风险为核心来规划审计,可以促使审计资源在不同风险水平的审计领域之上的合理配置。然而,制度基础审计和风险导向审计都是审计理论导向(auditingtheoryoriented)的,由于审计理论都是以一系列假设为前提的,很难与现实完全吻合,因而需要以经营业务为导向,针对主要经营业务进行风险/控制评价,据此分配审计资源。从这个意义上说,从风险导向审计向业务基础整合审计的转变指导思想上是一个不小的转变。
推动审计模式变革的因素很多,其中最为主要的是审计目标定位的变化,而后者直接受到了所谓“期望沟距”(expectationgap,即公众对审计的期望与审计所实际达到的效果或者执行审计的人员自己的期望之间的差距)、物质技术(例如抽样技术、信息技术等)、责任(尤其是诉讼和判例)和审计技术自身等多重因素的。随着社会的发展,社会公众对审计的期望越来越高,一系列法律责任事件加大了其紧迫性,物质技术的发展也为更高的要求提供了可能性,审计职业界自身也积极参与和推动审计技术的发展和规范,这样,审计目标定位经历了查错揭弊、验证财务报告的真实性和公允性、验证财务报告与查错揭弊并重,最终转变为降低信息(财务和非财务信息)风险。显然,审计目标定位的变化几乎可以直接与审计模式的变革对应起来。
从表面上看,内部控制与审计的渊源始于20世纪初早期审计著作中对内部牵制的描述。1936年,美国审计职业组织美国师协会(aia)首次提出内部控制的概念(阎金锷等,1998);直至40年代,以评价内部控制制度为核心,开发了制度基础审计。此后,内部控制与审计的发展交织在一起,在审计目标定位这个大前提下,不断地互动、耦合。1949年,美国注册会计师协会(aiCpa)所属审计程序委员会发表了一份专题报告,首次阐述了内部控制的定义(刘明辉,2001)。该定义十分宽泛,招来了审计职业界的非议。于是,审计程序委员会1953年颁布了第19号《审计程序说明》,区分了会计控制和管理控制;并在此后的第33号《审计程序说明》中明确指出注册会计师应主要检查会计控制。这种审计目标定位的窄化招致了社会公众的不满,于是1988年,美国注册会计师协会审计准则委员会了第55号《审计准则公告》,首次以内部控制结构取代了内部控制,取消了对会计控制和管理控制的划分,并且第一次把审计的目光引到审计环境上来,孕育了风险导向审计。此后,1992年,C0So提出了内部控制整合框架。1996年,审计准则委员会了第78号《审计准则公告》,以内部控制整合框架替代了内部控制结构。此后,开发业务基础整合审计模式开始被一些领先的审计职业机构提上日程。
由此可见,内部控制虽然是内生的,但其自20世纪40年代进入审计的视野之后,在审计目标定位的主导下,其发展十分迅猛,并且同审计模式的变革形成了密切的互动关系,乃至基本耦合,从而呈现出外力促动发展的趋势。
三、引入“组织效率”概念的分析与解读
显然,前面的分析是建立在对零散事件的追溯和因果关系的推理上的,主观色彩比较浓厚,而且得出的是表面化的结论。为了找到一条更为、合理的思路,提高理论的科学性和解释力,需要跳出内部控制和/或审计本身,从一个新的视角找出参照体系。为此,我们不妨引入“组织效率”的概念。
在本文中,组织效率是指组织目标的达成情况。由于组织是许多主体契约的联结,因而组织的目标实际上是一组目标所构成的目标体系,可以概括为“利益相关主体的利益最大化”,它是一个典型的多目标最优化模型。另外,组织的目标本身也是动态的,随着环境的变化和组织自身的演进,其目标也会不断演变。就主流的看法而言,企业组织的基本目标向量可以解释为组织价值(或经营成果)的最大化、财务报告与会计披露的真实性和公允性、财产和债务的安全性、持续经营和长期实现价值增值的能力等。对于一个组织而言,追求其目标、实现其使命的过程便是提高组织效率的过程。
从内部控制的三项目标看,显然它是提高组织效率的重要手段之一,是组织效率的重要内生变量。而且,它主要属于管理当局——实际对组织的财产及其经营行使控制权的的利益关系主体——的职权范围之内。我们不妨假设其他一切不变,将组织效率(oe)与内部控制(iC)的函数关系描述如下:
oe=f(iC)-g(iC)
其中,f(iC)表示内部控制效益(由于内部控制所导致的组织效率的提高),g(iC)表示内部控制成本(由于内部控制而耗费的组织资源的机会成本,以及内部控制对组织效率的牺牲)。显然,f(iC)和g(iC)都是随着内部控制的增加(深度、广度、精度等)而递增的。这样,就会得出一个最佳内部控制点的,即内部控制并不是多多益善,而有一个合理的度。这与经济学上大多数成本效益权衡(trade-off)模型并无二致。
审计也是为了提高组织效率服务的,但外部审计和内部审计稍有不同。外部审计实际上是由独立的一方对组织效率水平和状况做出评价和签证,以便起到促进(直接提高组织效率,或者指引出更有效的组织资源配置)作用,因而它是组织效率的一个外生变量。至于内部审计,我们既可以从组织中的科层的角度去理解,也可以干脆把它看作是内部控制的一部分。我们姑且仅考虑外部审计(ea),也对组织效率函数做出单因素的简化,可以得出:
oe=h(ea)-k(ea)
其中,h(ea)表示审计效益(由于审计所促进的组织效率的提高或者避免的组织效率损失),k(ea)表示审计成本(由于审计而耗费的组织资源的机会成本)。同样可以知道h(ea)和k(ea)都是ea的单调递增函数,因而整个组织效率函数也变成了一个此消彼长的模型。这样,审计也存在最佳边界的问题。
如果假设其他因素中立,引入内部控制和审计的双因素模型,可以得出新的组织效率函数:
oe=f(iC)-g(iC)+h(ea)-k(ea)
从理论上讲,尽管iC和ea一个是内生变量,一个是外生变量,但是它们之间也存在着一个带有性的函数关系:对内部控制投入的组织资源越多,内部控制就越健全,所能增进组织效率的空间越大,从而审计的风险越小,审计的资源投入就可以越小,相应地,审计所能增进组织效率的空间也越小。从数学上叙述,就是iC与ea呈负相关,从而导致f(iC)与h(ea)、g(iC)与k(ea)呈负相关,这就意味着构成oe的4个消长变量之间实际上存在着相互依赖、此消彼长的函数关系。而这正是内部控制与审计之间互动与耦合的逻辑关系的数学表述。
如果我们把审计也看作是一种控制的话,组织效率的双因素模型就可以用来说明控制(内部控制和作为外部控制的审计)与组织效率的关系,由此也可以探讨最佳控制水平的问题。
审计学中内部控制的概念篇5
[关键词]内部控制目标要素
一、引言
内部控制的概念由来已久。在古代埃及的税收行政部门中,就存在着双头管理(dualadministration)的现象,即一部分工作人员负责税收的征收,而另外一部分人负责监督。(张砚,2005)认为内部控制具有两项功能:权力制衡和目标引导。《史记•殷本纪》中记载了伊尹放逐太甲于桐的典故;《汉书•霍光传》亦有关于霍光废昌邑王立汉宣王的故事,并有“臣宁负王,不敢负社稷”的记载。可见,无论是作为权力制衡还是目标引导,有关内部控制朴素的思想在人类历史上是早已存在的。
以所有权和控制权分离为特征的现代公司制度的确立,可以被视为是包括了股东和管理者在内的众多利益相关者的契约的结合。内部控制在协调这些利益相关者实现共同的目标以及制衡彼此的权利方面,发挥着巨大的作用(张砚,2005)。什么是内部控制?内部控制这一概念的演进脉络如何?
二、内部控制演进分析
本研究从内部牵制阶段、内部控制制度阶段、内部控制结构阶段和内部控制整合框架阶段对内部控制的内涵进行了总结和对比。
1.内部牵制阶段
一般认为,上世纪40年代以前是内部牵制阶段。那时仅仅是有一些内部牵制的实践活动和制度的产生,其目的在于提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。这一阶段并未出现关于内部控制理论性的内容。
2.内部控制制度阶段
20世纪40年代至70年代,被称为内部控制制度阶段。在这一阶段,逐渐产生了内部控制制度概念。经济的发展、规模的扩大,使得企业对完善、有效的管理控制方法的需求更紧迫、强烈。此外,各界也纷纷要求进一步加强内部控制的制约作用,以更好地保护投资者和债权人的经济利益。1949年美国注册会计师协会(aiCpa)的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》报告中第一次对内部控制进行了定义:“内部控制是企业为了保证财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”这里的内部控制是指企业制订的政策,处理经济业务事项的程序、方法和措施。这一概念已突破了与财务会计部门直接有关的控制的局限,使内部控制扩大到企业内部各个领域。1958年美国注册会计师协会下属的审计程序委员会在第29号《审计程序公告》中,又将内部控制的定义作了进一步的说明,并将内部控制划分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序,后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。在29号公告中,美国注册会计师协会将内部控制概括为企业为达到一定目的而建立的组织规划、程序和记录。
3.内部控制结构阶段
20世纪70年代以后,进入内部控制结构阶段。在这一阶段,内部控制从一般涵义向具体内容深化,学者们认为内部会计控制和管理控制是不可分割的,是相互联系的。同时,控制环境逐步被纳入内部控制范畴。1988年,美国注册会计师协会在其的《审计准则公告》第55号中明确提出了“内部控制结构”概念。1996年,财政部颁布了《会计基础工作规范》明确提出了内部监督和内部会计管理制度规定了会计人员对本单位经济活动享有监督的权利,其中内部会计管理制度的相关内容体现了岗位责任制度的建立和权利制衡的思想并明确规定各单位必须建立稽核制度。1997年1月1日,财政部了《独立审计具体准则第9号――内部控制和审计风险》,在该准则中,内部控制被界定为:被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制的三要素一说被首次提出,即控制环境、会计系统和控制程序。
4.内部控制整合框架阶段
安然事件引起了利益相关者对内部控制的关注,内部控制进入了一个新的阶段――内部控制整合框架阶段。美国公众公司会计监督委员会(pCaoB)的《第五号审计准则》认为内部控制的主要目标是合理保证财务报告的可靠性以及编制对外报表时遵循了公认会计准则(Gaap)。2002年,美国政府通过了《萨班斯-奥克斯利法案》(简称《法案》),其404条款要求审计师必须对上市公司针对财务报告的内部控制有效性发表鉴证意见。《法案》界定的内部控制概念的内涵严格参照了《第五号审计准则》的定义。而CoSo委员会的《内部控制―整合框架》(简称《整合框架》)将内部控制的内涵进行了扩展,将其界定为能够帮助组织实现特定目标的过程,该过程是由组织结构、组织工作和权力分配、人员以及管理信息系统一起生效的。在组织层面,内部控制的主要目标是确保财务报告的可靠性、运营的有效性以及合规性。CoSo将内部控制分为五要素:控制环境、风险评估、信息系统和沟通、控制活动以及监督。CoSo报告是目前国内外最为权威的内部控制理论,其内涵和外延比以往任何一个内部控制概念都要深刻和宽泛。
2008年6月,我国财政部等五部委借鉴《整合框架》了《企业内部控制基本规范》(简称《基本规范》)。《基本规范》中对于内部控制的定义完全参照了CoSo三目标以及五要素的这一体系,并要求管理层对上市公司的内部控制进行自我评价,并可聘请具有相应资格的审计师对内部控制的有效性发表鉴证意见。而《中国注册会计师审计准则1211号―了解被审计单位及其环境并评估重大错报风险》(简称《1211号准则》)中对内部控制的定义与《基本规范》完全相同,但是第二节第五十条规定:“注册会计师应当考虑一项控制单独或连同其他控制是否与评估重大错报风险以及,针对评估的风险设计和实施进一步审计程序有关”,可以看出在实际业务当中,注册会计师所应该重视的还是和审计相关的内部控制(1211号准则第四十五条)。
三、结论
在西方内部控制概念的演变路径中,我国资本市场监管者在很大程度上借鉴并跟随了这一嬗变的过程,对内部控制的认识经历了最初的内部牵制到现如今三目标五要素的体系。这一广义的内部控制概念界定对后续研究带来了一定的挑战。然而,无论是《第五号审计准则》还是《法案》相关条款的要求,在美国资本市场上,审计师出具鉴证意见的对象只能是针对财务报告的内部控制。在我国,《基本规范》没有明确规定注册会计师在上市公司的内部控制自我评价报告中具体的鉴证对象,但是从《1211号准则》的相关规定以及,注册会计师执业的过程可以合理推断:在我国要求注册会计师对广义的内部控制发表鉴证意见缺乏法律依据;此外,由于广义内部控制概念中一些概念的无法验证性(如控制环境),又使得注册会计师评价广义内部控制变得并不可行。因此,后续相关研究应当将内部控制的概念限定为《第五号审计准则》和《法案》404条款所提及的狭义内部控制。
参考文献:
[1]张砚:内部控制历史发展的组织演化研究[J].会计研究,2005,2:75-81
[2]周勤业王啸:美国内部控制信息披露的发展及其借鉴[J].会计研究,2005,(2):24-31
审计学中内部控制的概念篇6
关键词:控制 创新 风险 影响
内部控制的发展经历了一个从低级到高级、从局部到整体的过程。内部控制是受企业董事会、管理层和其他员工的影响,旨在取得经营的效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。内部控制不仅对企业本身的经营效率和效果的提高有着直接的作用,而且也影响到企业内部审计人员的工作范围和注册会计师审计范围及审计责任。1992年coso报告将内部控制的要素从三要素重新划分为五要素,使人们对内部控制的认识实现了一次历史性的飞跃。2004年反虚假财务报告委员会针对诸多企业发生的管理层舞弊事件,并结合《萨班斯—奥克斯利法案》的相关要求提出企业内部控制应当与企业风险管理相结合,同时提出了企业风险管理的基本要素。可以说,这个报告的提出使人们对内部控制的认识上升到前所未有的高度。使人们对内部控制的认识从局部转为整体、从微观转为宏观、从具体转为战略、从重视与会计相关的内部控制转为以风险管理为核心的高度。本文试图解析内部控制的这些变化以及对注册会计师审计工作的影响。
一、内部控制的创新主要体现在以下几个方面
1.内容的丰富。1992年coso报告(committeeofsponsoringorganization)将内部控制划分为控制环境、风险评估、控制活动、信息与沟通、监控等五个要素,而2004年coso报告将企业风险管理框架的基本要素确定为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八大要素。较之以往相比,内部控制的内容得到了极大的丰富。对与内部控制的相关要素的划分更加清晰,使企业对风险的控制能够落到实处,从而增强了控制的可操作性。风险管理的外延要比内部控制广阔得多。该报告强调内部控制框架的建立应与企业风险管理相结合,内部控制应该作为企业风险管理的有机组成部分,新的报告不再使用内部控制框架概念,而是使用风险管理框架的概念。内容的丰富必然会促使认识的深化,必然会促使企业管理层在建立和实施内部控制时考虑的更周全,更具战略性和前瞻性。
2.目标的拓展。1992年的coso报告将内部控制定义为“内部控制是一个受到董事会、经理层和其他人员的影响,旨在取得:经营效率和效果、财务报告的可靠性和遵循适当的法规等目标而提供合理保证的一种过程。”从该定义中可以看出内部控制能实现三个目标。这三个目标没有触及到企业战略,是战术层次的目标。在2004年的coso报告《企业风险管理—总体框架》即erm框架在对内部控制的定义中细化和拓展了相关目标。erm框架(enterpriseriskmanagement)指出:内部控制是一个过程、被人影响、应用于战略制定、贯穿于企业各个层级、旨在识别影响组织的事件并在组织的风险偏好范围内管理风险、合理保证、为了实现各种目标。由于在1992年的报告中没有明确提出内部控制对资产的安全和完整目标,实际上,对很多企业特别是中小企业而言,内部控制制度设立和执行的主要目标可能就是保护资产的安全和完整。而在2004年的报告中明确提出了“保护资产”或“保护资源”的概念。并在内部控制的定义中明确指出内部控制可以实现各类目标,各类目标不仅包括以前所提到的三个目标,而且还应当实现企业的战略目标。战略目标是企业最高层次的目标,是指导和制约战术目标的,企业所有的活动应该围绕着战略目标的实现而进行,内部控制的建立和实施也不例外,如果企业在战略制定方面出现了真空,企业的战术就会迷失方向,企业的损失会更大,巴林银行的倒闭和中航油巨亏事件就是很好的例证,它们并不是没有完善的内部控制,而是在战略制定之时出现了权力真空。因此新的coso报告提出了一个新的目标———战略目标,不仅强调企业内部控制应当与企业本身的战略制定和实施紧密地联系在一起,而且强调了内部控制就是首先针对企业战略的。
3.风险认识的深化。尽管在1992年coso报告中也将风险评估纳入到内部控制一体化框架作为其要素之一,但是对风险的认识还很有限,认识的程度还仅仅限于风险识别和风险分析。风险识别包括对外部因素如技术发展、竞争、经济变化以及内部因素如员工素质、公司活动性质、信息处理系统的特点进行检查;风险分析涉及到估计风险的重大程度,评估风险发生的可能性。在coso新的报告中,对风险的分析更透彻。新的报告增加了三个风险管理要素:目标设定、事项识别和风险反应。现代企业竞争日趋激烈,不仅要面临国内市场的竞争,还要面临国际市场的竞争;不仅要面临产品市场的竞争,还要面临经理人市场的竞争,企业的风险比以往任何时候都大,如何规避这些风险是企业的头等大事,说企业管理应当以风险管理也丝毫不为过。风险实际上指明了内部控制存在和必要的理由,如果企业没有这些风险也就不需要内部控制。对企业风险问题认识的肤浅必然会使内部控制的建立和实施误入歧途。因此新的报告在第二个要素中明确提出了风险管理应进行目标设定,目标的设定指明了内部控制的实施方向,使内部控制的设立更具针对性,和企业的战略更加吻合,以更好地实现企业的战略目标,使内部控制产生应有的效果。接着该报告就深入阐述了事项识别。企业的风险在各个管理级次和各个部门都有可能出现,企业风险管理框架深入探讨了潜在事项的概念,认为潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇,而存在潜在负面影响的事项则称为风险。企业关键是要识别和控制存在潜在负面影响的事项。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行度量。并在风险度量中提出了风险偏好和风险容忍度的概念。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。新的报告对风险的考虑更加全面和透彻,有利于管理层内部控制制度的建立和实施,使企业能够站在更高的层次、更宽阔的视野来认识内部控制,使人们对风险的认识从单纯的风险分析和风险识别扩大到目标设定—事项识别—风险计量—风险反应—风险评估,可以将风险管理落到实处。
4.关注整体比关注控制细节更有效。新的报告名称之所以改为《企业风险管理—总体框架》,就是强调整体的效果而非注重微观细节上的控制。风险本身是一个系统,其形成原因和构成要素很多也很复杂,如果面面俱到、事无巨细地都进行涉及是不可能的也是不值得的,因为风险的管理是有成本的,也要遵循成本—效益原则。目前我国企业特别是国有企业在具体项目上的控制制度应有尽有,他们往往忽视了企业的重大风险,导致企业出现重大损失。要强调整体上的效果就必须遵循抓大放小的原则,因此,erm框架强调董事会与管理层应该将精力放在可能产生重大风险环节上,而不是所有细小环节上。只有当企业总体而言出现偏离风险容忍度的重大风险时,管理层才需要采取一定的控制活动。
5.扩大了控制环境的内涵。在2004年新的报告erm框架中将首要要素改为内部环境,而在内部控制结构观念和1992年的coso报告中均是以控制环境的名称出现的,这一变更并不是简单的名称变更,而是范围的变更、理念的变更。体现了风险管理范围的扩大。在传统的控制环境要素中认为控制环境包括:经营哲学、组织结构等方面的内容,erm框架中强调了内部控制环境包含了一个组织的气氛,形成一个组织和人员识别与看待风险的基础。它确立了企业的风险文化,既要认可预期发生的事项,也要认可未预期发生的事项,因而丰富了控制环境的内涵。
二、对注册会计师审计工作的影响
1.扩大了注册会计师的审计范围,加大了注册会计师的审计责任。随着人们对内部控制认识的逐步深入,内部控制的外延在不断扩大,比如注册会计师在评估风险时必须考虑内部环境,内部环境所涉及的范围就比内部控制结构中的控制环境所涉及到的内容广阔得多。根据最新的注册会计师审计准则的要求,注册会计师在确定进一步审计程序的性质、时间和范围时仍然要以控制测试的结论为基础,所以注册会计师在进行控制测试时要想取得充分、适当的证据,除了关心和收集财务领域的证据之外,还必须关注与之相关的非财务领域,这些非财务领域的资料或状况与所证实的认定的关联程度究竟有多大,需要注册会计师进行科学的专业判断,这样无形中就会加大注册会计师的责任。另外,《萨班斯法案》第103款要求,注册会计师在审计报告中描述对内部控制结构和程序进行测试的范围,并在审计报告中或者单独出具一份报告陈述有关内部控制情况。如果是在审计报告中陈述内部控制情况,无疑会加大注册会计师的审计范围,加大了注册会计师的审计成本和相应的责任。随着我国《独立审计准则—审计风险》的出台,注册会计师在评估审计风险时不能只考虑与会计相关的内部控制,而应当考虑与实现“四大目标”相关风险的所有方面,从这个意义上来说,注册会计师的审计领域比以往更大,审计风险要素中的检查风险随之增大。
2.促使审计业务流程的转变。随着人们对内部控制认识的深化,审计业务流程也发生了根本性的转变。每一个阶段的审计业务流程和该阶段对内部控制的认识是分不开的。传统的审计业务流程是以强调微观的内部控制制度作为基础的,这从传统的审计风险模型就可以看出:审计风险=固有风险×控制风险×检查风险。注册会计师在执行会计报表审计业务时,先要单独评估固有风险和控制风险,进而确定检查风险的可接受水平。该模型没有将审计风险作为一个整体进行评价。为此,国际审计准则以及中国独立审计准则都强调摒弃原来的审计业务流程,遵循全新的审计风险模型以设计相应的审计程序。审计风险=重大错报风险×检查风险。这里的重大错报风险是指财务报表在审计前存在重大错报的可能性,模型的转变是人们对内部控制认识深化的结果,实际上是要求审计人员在评价有关被审计单位的风险时应当将其作为一个整体。
参考文献:
审计学中内部控制的概念篇7
关键词:信息系统审计信息技术现状
国内外学者对于信息系统审计及其相关概念缺乏统一的认识,因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验,对信息系统审计研究的文献极其有限,且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比,信息系统审计在审计目标、审计内容等方面存在着不同之处。
一、信息系统审计
信息系统审计(informationSystemaudit,iSa)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、eDp审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和it审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(electronicDataprocessing,eDp)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuousaudit,Ca)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同Cam(Computer-aidedmanufacturing,计算机辅助制造)、CaD(Computer-aidedDesign,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
通过以上的分析,笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容,信息系统审计是计算机审计的组成内容之一。
二、国外信息系统审计研究现状
随着信息技术与审计理论的发展,国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。
20世纪80年代,计算机犯罪率急剧上升,信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求,美国eDp审计师协会1981年举办了首次注册信息系统审计师(CiSa)资格认证考试,1984年的《eDp控制的目标》提出了信息系统的系列控制标准,1987年了《信息系统审计的基本准则》(GeneralStandardsforinformationSystemsauditing);日本通产省在1982年设立了“计算机安全研究会”,而后发表了《有关计算机安全对策》,1985年发表了《it审计标准》,提出了“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点,并在日本的软件水平考试中增添“系统审计师”考试,培养从事信息系统审计的专业队伍。上述审计理论与实务表明,国外信息系统审计发展已经进入成熟期,并走上了正规化和专业化的轨道。
进入20世纪90年代以后,国外信息系统审计研究进入普及期。1994年,eDpaa正式更名为信息系统审计与控制协会(iSaCa),iSaCa成立后主要致立于信息系统审计准则体系的制定工作。iSaCa的信息系统审计规范类似于Cpa审计准则体系,它由基本准则、审计指南和作业程序构成,其显着特点就是以CoBit为基本工具,并借以与itGi的指南相联系,以弥补iSaCa规范在审计细节方面关注的不足。截止到2010年12月,iSaCa已经了16项基
本准则,41项审计指南和11项作业程序,为信息系统审计人员开展审计活动提供了指引。
三、国内信息系统审计的研究现状
随着我国信息化进程的推进,国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论,但20号审计准则却是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在政府或相关机构颁布信息系统审计准则的同时,国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题,应加快行业准则与实务指南的制定。可以借鉴iSaCa的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展。
参考文献:
[1]中华人民共和国审计署,《审计机关计算机辅助审计办法》,1997,第二条.
审计学中内部控制的概念篇8
一、内部控制评价与内部控制审计
内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。不可否认,对内部控制的有效性发表审计意见,本质上就是对内部控制做出的评价,属于“广义的”内部控制评价的范畴。
由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同,所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价,由企业自己完成,董事会对内控有效性所做评价负责;内部控制审计作为特定的外部评价形式,由会计师事务所完成,注册会计师对内控有效性发表的意见承担责任。笔者认为,在内部控制规范体系实施时间较短的情况下,如果从字面意思理解,把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈,很容易将内部控制评价和内部控制审计混淆。
二、内部控制评价与内部监督
开展内部控制评价需要“对内部控制的有效性进行全面评价”,而《企业内部控制基本规范》要求,企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中,内部监督“是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。所以,进行内部控制评价,必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念,发现两者的核心内容都是“评价内部控制的有效性”,如何理解二者之间的关系、有没有重复劳动?
笔者认为,企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一,两者都是自我评价,两个定义没有强调彼此差异;第二,在企业实施内部控制过程中,内部监督是贯穿始终的一个要素,基本规范第六章还详细列出了日常监督、专项监督等内容,可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说,而且,内部控制评价的内容还包括对“内部监督”的评价,如果套用内部监督的概念,内部控制评价是对“评价内部控制的有效性”的评价,这个表达确实不好理解。第三,在基本规范中,内部控制自我评价报告的内容出现在第五章“内部监督”部分,又让人感觉内部控制评价是内部监督的一个部分;但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”,明确表达了对包括内部监督在内的五个要素进行评价的思想,似乎不宜将内部控制评价视为内部监督的一部分。
虽然内部控制规范体系对内部监督和内部控制评价的规定,无论是条文安排方面还是概念的逻辑关系方面,都有可进一步探讨之处,但是规范体系对企业做的事情表述得很清楚:企业实施内部控制过程中,必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督;同时,还要根据基本规范和评价指引的要求,对包括内部监督在内的五要素进行自我评价。
三、内部监督与内部审计
内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会的《中国内部审计准则第1101号―内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。给人的感觉是,内部审计的一部分内容是“审查和评价内部控制的有效性”,与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”,而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里,内部监督、内部审计就像一对双胞胎,难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。
另外,内部控制基本规范规定,企业应“制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。显然,内部控制基本规范认为企业内部监督的主体主要就是内部审计机构(或经授权的其他监督机构)。也就是说,在实务工作中,内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分,因此有的人干脆把两者合二为一、不分彼此,统称“内部审计监督”。
但是,两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定,“内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明,内部审计机构和人员不得负责该单位内部控制的决策与执行,是独立于内部控制系统之外的一项审查评价活动。因此,内部审计当然也独立于内部监督之外,完全不是一回事更加不能相互替代。企业家们的困惑由此产生:内部控制规范体系要求企业建立与实施内部控制,而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员”,而且,后者规定两个系统必须相对独立,未必企业必须、且确有必要同时搞两套功能近似的内部管理系统?
笔者认为,内部审计、内部控制(包括内部监督)都属于企业内部管理的范畴,整体上属于企业内部事务,由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位,国家可能通过法规(规章和规范性文件)对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看,《中国内部审计准则》由民间机构中国内部审计协会,不具有法律约束力;企业内部控制规范由国家五部委联合,对相关企业具有强制力。因此,某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作,应视行业管理部门和企业主管机关的要求而定;如果没有这方面的要求,企业可以根据内部管理的需要,自主决定开展或者不开展内部审计和内部控制工作。
四、分属内部审计和外部审计的“内部控制审计”
企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述,企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念,指的是会计师事务所依照有关法规制度和审计指引的要求,对企业内部控制进行的审计;另一个是《中国内部审计准则第2201号内部审计具体准则―内部控制审计》第二条提出的,“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计,但是两者的差别还是比较明显:前者是企业内部控制规范体系的要求,本质上是内部控制的外部审计评价;后者是企业内部审计工作的一部分,本质上是企业自身对内部控制进行的内部审计评价。为便于表达,笔者将前者称为企业内部控制的外部审计,将后者称为企业内部控制的内部审计。
企业家们由此产生的又一个问题:内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价,应如何看待两者关系并组织实施?笔者认为,从制度规范的角度来看,内部控制评价和内部控制内部审计之间的关系,实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作,然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过,由于两者都是企业对内部控制进行的自我评价,评价主体、对象、采用的方法、评价的用途大同小异,在技术上可以相互借鉴。
五、内部控制、内部审计的组织实施
内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施,归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作,既是企业面临的现实问题,也是无法回避的理论问题。
文献对于内部控制与内部审计的关系有不同看法:第一种观点是,认为两者是相互交织、相辅相成共同构成的一个系统,而且不存在谁主谁次、谁包含谁的问题。如,田彦霞在《对内部控制与内部审计关系的探讨》中提出,内部审计是内部控制的重要组成部分,内部审计又是对内部控制的控制,二者相辅相成,缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出,内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是,内部审计是内部控制的一部分。如,胡以亮在《构建以内部审计为核心的内部控制框架体系》中,用北京市燃气集团构建的以内部审计为核心的内部控制框架为例,论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中,将整个内部控制体系划分为三个相对独立的控制层次,第一个层次是经济业务发生部门严格按照企业内部设计的程序,相互牵制开展业务活动;第二个层次是财务部门在事后建立起第二道监控防线;第三个层次是内部审计部门要建立起以查为主的监督防线,也是监督要素中的最高层次。第三种观点是,内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出,内部控制是内部审计的主要产品和对象,主要依据是,国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是,内部控制和内部审计是具有内在联系的两个独立体系。如,王华在《试论内部审计与内部控制体系的关系》中提出,两者之间既相互联系、又相互区别,既相互作用、又各自独立存在。
笔者认为,上述四种观点都有其合理性,实际工作中也都存在这四种做法。但是,应该注意到,内部控制、内部审计都是一个动态的、发展的、开放的概念;内部控制和内部审计的发展历史表明,两者无论是理论和实践中,还是内容和形式上,都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述,两者都将促进企业(组织)目标的实现作为自己的目标(或者目标之一),对于组织而言,这就是终极目标和最高追求;两者采用的方法并不存在绝对的边界和特殊范畴,而是都处于不断借鉴、吸纳、丰富和完善过程中。因此,从目前的情况看,企业在内部控制和内部审计的过程中,工作组织非常接近,两者发挥的作用也基本同质,如果已经实施了内部审计,也许稍加改造就能符合内部控制规范的要求;反之,如果有效实施了内部控制规范,很可能只要略微调整,也就达到内部审计工作的效果。
在实际工作中,企业可以在已经开展的内部监督、审计或者其他控制活动的基础上,根据有关方面或者自身需要做出适当完善,就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统,也能够承受相关成本,那么也可以设置两个相互独立的机构,分别开展内部审计和内部控制。换一个粗浅的说法,如果实施有效,内部控制和内部审计无需改头换面就能做到对方能做的事。
审计学中内部控制的概念篇9
关键词:CoSo报告内部控制探讨
随着我国经济的迅速发展,内部控制在现代经济生活中的重要性越来越突出,但严峻的现实却告诉我们有关内部控制失效的种种表现:诚信缺失、会计信息造假、企业舞弊案件频发等等,表明内部控制如在设计上有缺陷,在作用上有缺失,往往会给国家和企业带来严重的经济损失,并造成恶劣的社会影响。为提高内部控制的有效性,笔者就我国内部控制存在的问题作些分析,并提出一些对策以供商榷。
一、内部控制理论的发展简史
1934年美国《证券交易法》首先提出“内部会计控制”概念。1949年美国审计程序委员会(Cap)下属的内部控制专门委员会,发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”1988年4月,美国注册会计师协会《审计准则公告第55号》(SaSno.55),规定从1990年1月起以该文告取代1972年的《审计准则公告第1号》(SaSno.1)。该文告首次以“内部控制结构(internalControlStructure)”的提法替代了“内部控制”的提法,正式将内部控制环境纳入内部控制范畴,并不再区分会计控制和管理。该公告可视为内部控制理论研究的一个突破性成果。1985年6月,美国注册会计师协会、美国会计学会、内部审计师协会、财务执行官协会和管理会计师协会共同成立了国家反舞弊性财务报告委员会,又称treadway委员会。该委员会所属的内部控制专门研究委员会发起机构委员会(CommitteeofSponsoringorganizationsofthetreadwayCommission),简称CoSo委员会。1992年,CoSo委员会报告,即《内部控制———整体框架(internalControl-integratedFramework)》,也称CoSo报告。不久美国注册会计师协会全面接受了CoSo报告的内容,于1995年据以了《审计准则公告第78号》(SaSno.78),并自1997年1月起取代了《审计准则公告第55号》(SaSno.55)。
CoSo报告定义内部控制是由企业董事会、经理阶层和其他员工制定和实施的,为达到经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等三个目标而提供合理保证的过程。它认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监控五大要素构成。这“三个目标”和“五大要素”各自含有丰富的内容,又相辅相成,共同构成了CoSo报告内部控制的整体框架说,统一了人们对内部控制的认识,并为评价内部控制系统提供了一套完整的评价标准,成为迄今为止最具权威的内部控制概念。
二、理解CoSo报告的内部控制概念之切入点
CoSo报告已成为人们解释和使用“内部控制”等概念的标准和依据,而追溯其源头,我们会发现对内部控制的研究其实早在二十世纪初法国法约尔创立的一般管理理论中就开始了。
被誉为“现代经营管理之父”的法约尔(HenriFayol1841-1925)是位法国工业家,他于1916年根据自己50多年的管理实践,发表代表作《工业管理和一般管理》。该书第一次完整地阐述了适用于一切组织管理的五大职能,即计划、组织、指挥、协调和控制。继法约尔之后,随着管理理论的不断发展,到20世纪70年代以后,管理学家们通常把管理职能概括为计划、组织、领导和控制四大职能。管理的四大职能之间是相互作用的,管理的过程就是通过计划、组织、领导和控制这四个基本过程来展开和实施的,是一个不断循环的过程。控制职能是四大管理职能之一,是保证组织目标能按计划实现所必不可少的,任何组织为了保证有效地实现目标,都要对组织成员和组织活动加以控制。
控制职能具体包括确立控制标准、衡量实际业绩、进行差异分析、采取纠偏措施等活动。管理是一个大系统,内部控制则是内置于管理过程中的一个子系统,它在管理过程中发挥着相对独立的作用,同时又与管理的计划、组织和领导职能交织融合在一起共同发挥作用。它是管理的有机组成部分,控制失效,管理就不会有有效的保证,组织的目标也不可能实现。
现有的内部控制理论和实践只是将管理的控制职能作了专题研究和运用。细究之下,组织的管理目标与CoSo报告中所述内部控制的三个目标在本质上是一致的,因此,我们对内部控制的研究和运用,应从管理的角度进行整体把握,内部控制与管理过程中的每一个细节都有关,内部控制的有效与否直接关系到管理的有效与否,也直接关系到组织目标的实现。另外,内部控制目标的实现从属于管理目标的实现,而管理目标的实现从属于组织目标的实现,内部控制目标最终是为实现组织目标服务的。只有确立了这样的视角,才有助于我们更好地理解CoSo报告中内部控制概念的内涵和外延,从而找到促使内部控制有效的途径。
三、我国内部控制存在问题之探析
目前,我国对内部控制理论的研究和实践与国外相比,无论在广度还是在深度上都有较大差距,最主要的问题在于还没有形成一套系统的理论,无法对实践提供系统、规范的指导。我国内部控制主要存在以下问题:
1.没有统一的、权威性的内部控制定义,无法确立以企业为主体的系统性内部控制理论,导致内部控制基础薄弱。
我国至今尚未形成一个比较权威的内部控制定义,企业界、司法界、会计界等不同行业与部门对内部控制的理解不一,因此在有关的法律法规中对内部控制的提法很不统一。财政部在的《内部会计控制规范———基本规范(试行)》,只是定义了什么是内部会计控制,至于什么是内部控制,其具体定义、构成及内容等都未予以明确说明。而中国注册会计师协会的《独立审计具体准则第9号———内部控制与审计风险》,则将内部控制定义为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”虽然也偏于以内部会计控制为主,但与财政部规定的内部会计控制概念也不完全一致。《会计法》中有会计监督的内容,但它们被归入单位内部会计监督制度的范畴。此外,证监会、国家审计署、中组部、中纪委等部门以及各类组织的相关文件中所提到的内部控制概念虽然在内容上有所交叉,但都只侧重于内部控制的某一个方面,无论在字面上,还是在意义上都缺乏一致性,没有形成如CoSo报告内容比较完整统一的内部控制概念,不可避免地带来认识上和实践上的混乱。我国理论界对内部控制的认识更多的是还停留在内部牵制、内部会计控制或内部控制结构阶段,还没有能从管理的角度对内部控制进行整体把握,因而对内部控制的理解带有片面性。由于理论研究的滞后,导致内部控制实践的落后。我国企业的内部控制水平良莠不齐,不少企业对内部控制知之甚少,有的企业甚至根本没有内部控制意识,内部控制基础十分薄弱。
2.现有的内部控制目标未能体现企业各个利益相关者的要求,内部控制目标单一,缺乏多元性。
我国长期以来,内部控制一般是作为企业的内部事务,由企业管理当局来制定和实施。管理当局自然更多考虑本企业的利益,对财务报告的可靠性和国家法律法规的遵循性关注相对较少。企业作为国民经济的一个细胞,往往有众多的利益相关者,主要有所有者、经营者、政府部门、材料供应商等,它们对内部控制都会提出保障自身利益的要求。从这个角度讲,内部控制不仅是企业自身发展的需要,也是企业的一种社会责任和义务。在我国,企业内部控制更多是为了满足自身追逐利益的要求,而常常忽略自己那份应尽的社会责任。
3.对内部控制的执行缺乏有效的监管,导致我国内部控制脆弱不堪,甚至形同虚设。
内部控制是一套自行检查、制约和调整内部业务活动的自律系统,因此,对自律系统的监督是必不可少的。监督分内部监督和外部监督。内部监督一般由内部审计部门担任,但由于内部审计部门独立性较差,影响了它对这一职能的发挥。外部监督具体包括司法监督、社会监督(主要是注册会计师的外部审计监督)和媒体舆论监督。但由于外部监督资源稀缺,监管不力,致使企业失去执行内部控制所需的外在公平性,直接遏制了企业执行内部控制的积极性。遵纪守法、保证会计资料的真实、完整等相关的内部控制反而会给企业带来不利的影响,因此,许多企业无视国家的法律法规,甚至弃基本的内部控制制度于不顾,对内部控制内容进行利益选择,形成内部控制成为“内部人的控制”的现象。
4.对内部控制固有的局限性还未引起足够的重视。
企业倒闭、破产或不能正常经营,外界常把原因归结于内部控制设计上的缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性如果没有得到较好的控制,也会直接导致内部控制的失效。
CoSo报告指出,内部控制决不是包治百病的灵丹妙药,再完善的内部控制也不能解决企业存在的所有问题和困难,具体包括以下四大问题:(1)不能解决管理阶层人员素质问题;(2)不能左右政府政策或经营环境;(3)不能绝对保证企业完成经营目标;(4)不能绝对保证企业决策中不出现失误。其中局限性之一,即内部控制不能解决管理阶层人员素质问题在现阶段尤为突出。企业管理当局,特别是单位主要负责人的道德品行素质几乎决定了一个企业的命运。
四、促使我国内部控制设计合理、执行有效的对策
1.由有关专业团体组成一个委员会对内部控制进行专门研究,并形成一个统一的内部控制定义。
就目前来说,我国各部门对内部控制的重视不能说不够,问题还在于各部门更多地是从本部门工作的角度出发,定义内部控制,并独立发文,使内部控制概念不统一,缺乏应有的权威性,还造成认识上的混乱,不利于内部控制水平的提高。
CoSo报告堪称是内部控制理论发展史上的里程碑,其中所蕴含的理念和思想,值得我国理论界借鉴。此外CoSo报告产生过程也值得我们借鉴。CoSo报告是由多个专业团体组成一个专门研究内部控制的委员会研究出来的,它的内部控制概念兼顾了企业各个利益层面的要求,符合企业发展的客观规律,因此它具有全面、统一、权威的属性,这些特点也正是它之所以在现有的内部控制理论中拥有最高地位的原因。因此,我国可以利用这一成功的模式,组成一个专业委员会来专门研究内部控制,形成一个权威性较高的内部控制概念,据此统一各部门对内部控制的认识,从而提高内部控制理论在实践中的可操作性。现阶段我国理论界与实务界偏于将内部控制理解为内部会计控制,从管理学及内部控制理论发展的角度观察,我国内部控制的内容是不完整的。总之,我国应在现实的内部控制基础上抓紧这一领域的深化研究。
2.政府应着力推动内部控制的完善,在全社会提高内部控制意识,加强对内部控制的外部监督,使企业真正成为自主执行内部控制的主体。
企业作为内部控制设计与执行的主体,不但肩负着建立健全内部控制的责任,更主要的是能发挥内部控制的作用,既能满足企业众利益相关者的要求,又能有效提高企业经营的效率和效益。从内部控制的责任看,促进内部控制的完善不仅是企业的责任,也是国家及其它有关各界的责任。从内部控制的内容来看,归根结底是由基本要素组成。这些要素及其构成方式的组合,决定了内部控制的内容与形式,其过程是相当复杂的。因此,企业在内部控制的设计与执行上,都会遇到许多实际困难,单凭企业的力量会力不从心。
企业在内部控制的设计与执行过程中,离不开政府及有关部门的着力推动,主要需要两方面的支持系统:(1)需要有关内部控制的技术支持系统。任何一种内部控制理论,只是提供了一种思路和方法,在实践中的具体化,还需要结合企业的特点,诸如行业性质、经营规模、业务特点、管理基础等,因此企业的内部控制设计具有个性化的特点,需要企业在实践中不断探索。同时,不同企业之间的内部控制又具有某些共性,如果对这些共性做出较高层次的统一规定,对切实提高内部控制水平是直接有效的。我国在这方面也有卓有成效的经验。如财政部于2001年起陆续了一系列《内部会计控制规范》作为《会计法》的配套措施。《内部会计控制规范》系列已经涵盖了《基本规范》中开列的内部会计控制的主要内容。虽然这些规定主要还是限于内部会计控制的概念,但随着我国内部控制概念的逐步完善,对共性的规定也会越来越完整,企业可将更多的精力投入到内部控制个性化的设计上去。(2)需要国家的法律支持系统。CoSo报告阐述的内部控制四大局限中的两大局限,即一不能解决管理阶层人员素质问题,二不能左右政府政策或经营环境,虽然企业在这两方面无能为力,但国家却是大有作为的。由于内部控制的重要性,国家应从国家管理的高度加以重视。政府及有关部门应从内部控制的视角制定有关法律法规,条款越详细越好,并注意不同法律法规条款之间的衔接性,以提高实务的可操作性。通过国家立法的手段,加强内部控制的外部监管力量,在全社会提高内部控制意识,有效防范管理阶层人员的道德风险,为企业创造执行内部控制的公平环境,使企业能够保持较高的动力水平不断完善内部控制设计,并有效发挥内部控制的作用。
3.企业自身在内部控制设计与执行过程中应转变思路,加强沟通,让内部控制真正为企业所用。
为促使内部控制的有效,企业在内部控制设计与执行过程中应特别注意以下两点:(1)加强内部审计是直接提高内部控制水平的重要途径。从内部控制的起源研判,内部控制的产生其实是源于企业发自内心的真切需要。如在早期的业主组织中,业主是出于保护自身资产、防范错误和舞弊的需要。随着组织规模的扩大与组织形式的复杂,出现了内审机构,并不断赋于内审机构在内部控制方面新的职责。内部审计的职责是协助组织管理成员和监督管理层成员履行他们的职责,特别是以合理的成本促进有效的控制。内部审计在内部控制中的地位和作用日益显现,但现阶段由于我国内审机构的独立性和权威性因种种原因相对弱化,以及长期以来对内审人员素质培训相对滞后,客观上影响了内部审计作用的发挥。相对外部审计而言,内部审计处在一个组织内部,更了解组织情况,有外部审计无法替代的相对优势。高层管理者应充分认识到这一点,提高内审机构的地位及权威性,充分利用内部审计资源,最终实现与外部审计的互动,防范各种弊端的滋生。(2)明确内部控制的责任,增强全员管理意识。在我国,涉及内部控制的设计与执行往往成为中高层管理者专属的事务,这种官本位的立场,使内部控制成为管制和考核员工的手段,容易引起员工的不满,形成管理层与员工对立的局面。CoSo报告第一次明确了承担内部控制责任的不仅仅是组织中的中高层管理者,而是包括了组织中的每一位员工。管理层要树立全员管理意识,即“听民声,纳民意”,尊重员工,使企业员工参与制定与执行内部控制,从而使其积极主动地维护和改善内部控制,而不是被动地执行或与管理层对立。只有这样,内部控制才会具有不断自我修复的机能并真正发挥作用。
综上所述,我们不能孤立地看待内部控制,内部控制的完善也不可能由企业独自完成。它的重要性和复杂性决定了它的完善和有效执行不仅仅是企业的责任,它需要方方面面资源的匹配,特别是国家层面的重视和支持。基于我国现有的内部控制水平,它必将经历一个较长的完善过程。我们借鉴CoSo报告,逐步构建我国的内部控制框架,使我国企业能在内部控制的保护之下获得持续的健康发展。
参考文献:
1.孙广平。CoSo报告及其对我们的借鉴意义。教育财会研究,2003(5)。
2.赵玲珍。浅谈如何加强内部审计。财务与会计,2003(8)。
审计学中内部控制的概念篇10
关键词:公立医院;财务审计;必要性;创新对策
中图分类号:F239文献标志码:a文章编号:1673-291X(2017)03-0100-02
近年来,深化医疗体制改革,强化医院经营管理,财务审计在完善医疗行业内部控制体系实践中发挥了积极作用。但纵观当前公立医院内部审计工作现状,一方面促进了医疗机构对财务收支、经济活动真实性、合法性、效益性评价,但另一方面,在构建医疗机构内部审计制度体系中,还存在一些问题,如审计人员职业素质、审计工作方法单一、审计机制不健全等。为此,立足公立医院财务审计工作,从内部审计视角来探应该如何推进财务审计?应当做些什么?并就未来财务审计的发展提出几点建议。
一、内部审计概念及问题的提出
依据《审计署关于内部审计工作的规定》要求,内部审计从概念上定义为:“对本单位及所属的财政收支、财务收支、经济活动的真实、合法、效益性进行监督与评价的行为,以提升单位经济管理水平,确保经济目标的实现。”[1]2014年1月1日颁布实施的《中国内部审计准则》,再次明确了内部审计的独立性、客观性,并与国际注册内部审计师协会(iia)所定义的“内部审计”概念基本一致,其内容主要表现在三点。一是强调内部审计的职能与地位,突出风险控制管理与控制;二是强调内部审计的咨询服务概念,尤其是在改善风险管理,优化医院治理上提升医院管理水平;三是深化内部审计的工作任务和战略目标,突出内部审计对医院组织架构的积极贡献,特别是通过内部审查、评价方法,来规范医院财务会计活动,降低管理风险,实现降本增效目标。
作为国家投资的公立医院,其公共财产及资源更应该突显其非营利性,尤其是在承担医疗服务、医学教育、重大疾病预防、突发性医疗事件救援等工作中,要承担其自身的服务社会的功能。2006年新修订的《卫生系统内部审计工作规定》中,对年收入超3000万元或拥有300张病床的医疗机构,明确规定要设置独立的内部审计机构,配置相应的专职审计人员。尽管公立医院开展财务审计工作较早,但在审计实务中,就审计组织结构、审计职能地位、审计职责等问题,一直未切实履行,尤其是在内部审计与风险管控理念下,公立医院就如何确保自身财务审计工作的合法、合规、真实、可靠,必然需要从财务审计创新实践中来完成。
二、内部审计的产生及发展导向
内部审计与政府审计、社会审计共同构成我国审计监督体系。从内部审计的产生来看,依照受托责任学理论,内部审计是对受托责任的履行过程及结果进行认定、计量和报告,并通过对会计信息的重认定、重计量、重报告,是实现经济监督需要的重要体现,也是通过财务评价来改善受托责任的控制机制。随着内部审计方式的不断发展,主要归纳为三大导向。
1.财务导向下的内部审计。从英国《股份公司注册法》(1845年)中对内部审计概念的解释,即由一名或多名股东代表,通过对单位财务信息进行审查,来考察董事财务状况的合法性,并通过审计结论让其他股东了解单位的经营、管理实际情况,从而满足对董事经营管理行为的影响。由此可见,对于股东代表的检查单位账务,并对单位董事及职员进行询证的行为即为审计过程。其后,随着内部审计制度的不断发展,对于内部审计人员,可以是股东代表,也可以是受聘的技术娴熟的会计师,从而将审计工作实现了外部化。可见,对于财务导向内部审计,主要专注于对单位财务状况、会计信息的审查,其目标在于帮助管理层做出科学、正确的经济管理决策,在于提升单位经济效益。
2.管理导向下的内部审计。所谓管理导向下的内部审计,主要是基于受托责任的划分,即受托财务责任、受托管理责任。从审计学理论到审计实践,既有财务审计,也有管理审计。也就是说,对于内部审计人员,当发现财务管理工作良好,但工作效率不高,影响经济效益时,将会提出完善管理的改进对策。另外,从会计师事务所所有制方式来看,一般为合伙制或独资制,而对于会计师需要承担无限责任,由此带来的审计责任,可能会影响内部审计的效能。完善企业治理结构,强化会计责任,突出外部监管,将推进内部审计向管理审计的转变。
3.风险导向下的内部审计。新修订的《国际内部审计专业实务标准》中,就内部审计的工作职责及工作范围进行了界定,提出内部审计是“评价和改进风险管理,控制和治理过程的效果”。国际内部审计师协会(iia)在《内部审计原理与技术》中,将内部审计的职能明确为:“围绕风险来展开审计,风险是审计工作的决定因素。”[2]可见,近年来在强化公司治理,提升企业内部控制水平上,风险管理成为内部审计的关注焦点,风险控制成为内部审计转型的主要发展方向。
三、创新公立医院财务审计的必要性
公立医院在提供社会公共医疗服务过程中,还需要从履行财务审计工作职责,做好单位财政收支、财务收支、经济活动的合法性、合规性、效益性监督与评价。依照《中华人民共和国审计法》等相关法律规定,以及审计署制定的公立医院内部审计公立制度要求,加强对公立医院自身及所属单位财务经济活动的独立监督与审查,围绕公立医院内部控制公立体系,将财务审计评价作为构建公立医院财务信息真实性、完整性、效率性的重要内容。为此,内部审计工作的开展,将成为公立医院内部控制制度建设的重要措施。从内部审计工作内容及审计对象来看,财务报告既是公立医院内部控制的主要对象,也是内部审计的基础会计信息。但在内部审计实务中,一些医院审计机构不仅关注财务部门的相关业务,还在拓宽对非财务活动的审计。劳伦斯・索耶(1989)曾提出:“内部审计部门尽管已经涉足单位组织中的与财务部门无关的审计活动,但对于这些审计不能走得过远,不能偏离单位财务记录及单位内部相关经济业务的审计。”[3]可见,针对内部审计工作的重点及方向,更应该以财务审计为主体,并从财务审计权限延伸上来关注单位财务审计。另外,在内部审计功能定位上,决不能仅仅满足“查错纠弊”,而是要立足财务审计实践,从解决财务审计工作中的问题中,创新审计方法,特别是在财务审计实践中,要将事前审计、事中审计作为常规审计手段,将基于过程的审计作为日常财务审计的突破口,以公立医院风险管理导向为内部审计发展方向,拓宽财务审计的覆盖范围,融入财务绩效评价与内控评价机制,增强财务审计的真实性、合规性、有效性、科学性。
四、内审视角下公立医院财务审计创新对策
从内部审计视角来创新公立医院财务审计,主要从以下方面来着手。
1.注重审计时间节点前移。从审计理论来看,内部审计所依据的财务信息多为事后审计,不利于对财务审计工作的有效监督[4]。为此,在创新财务审计思路上,通过审计时间节点前移方式,及时发现财务信息失实并给予整改。借助于审计时间节点前移,通过对医院财务计划、财务预算工作进行审计,强调对原始性财务凭证,以及大额经济业务收支的审查,来优化财务审计重点,体现提前介入的时间特征,推进医院财务决策科学性。
2.注重对财务内部风险的评估。财务审计工作与医院内部控制目标具有一致性,内控制度本身从制度、措施、流程等方面,强调了各类经济业务活动的防范风险。因此,财务内审部门在实施审计工作时,可以引入内控风险评估手段,对医院各项经济业务中的重点预算项目、主要收支状况、药品采购情况、资产管理现状、工程建设项目进度,以及医院合同执行情况进行风险评价,来观察国家、医院各项法律法规及制度,维护医院资产的安全c完整,防范差错、舞弊的发生。
3.注重财务信息预警机制。随着医院管理信息化建设的发展,对于财务报表信息、医疗管理信息资源进行检测评估过程中,迫切需要从完善医院财务信息披露机制上,来构建真实、完整的财务信息预警机制。如对医院药品、药材采购信息进行实时管控,对医院物质库存数量、价格进行实时管控,对医院会计报表及财务分析报告进行实时管控。因此,利用内部审计财务信息预警机制,来细化医院财务收支指标,并从建立相应异动指标对比分析上提升医院财务信息化水平。
4.强调资产安全及使用率。医院资产门类较多,资产管理是财务审计工作的重点。如医疗设备、卫生材料采购等。通过对医院资产完整性、安全性评估,从降低和减少资产损失上,关注医院资产的合理化利用,特别是对于大型医疗设备、大额投资设施的绩效评价,来提升医院资产利用率,实现资产保值增效目标。
五、结论
从内部审计视角来完善医院财务审计机制,需要从审计理念转变上,明确财务审计的重点,不断拓宽财务审计工作范围,强调财务核算准确性,维护好医院财务收支的合法、合规、效益目标。另外,针对当前医院管理信息化建设实际,内部审计工作要充分发挥信息化技术优势,推进医院财务审计与计算机系统的融合,提升财务审计信息化水平。加强内审机构人员队伍建设,特别是在确保内审活动客观、公正性上,加强相关审计法律、法规、制度学习,强化审计人员职业素质及道德培养,真正促进医院财务审计目标的实现。
参考文献:
[1]张京英,金俊娇,徐伟锋.医院工作的创新和转型[J].中医药管理杂志,2015,(21):47-49.
[2]张丽英,杨俊峰.我国内部审计模式导向转变及路径分析[J].河北经贸大学学报,2015,(2):81-83.