注册会计师与内部审计业务
2010年第5期 作者:刘万椿 阅读(6717)
【来源:《上海注册会计师》 查看本期目录】
我国内部审计基本准则规定,内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
按照国际注册内部审计师协会(IIA)的规定,内部审计师是一种独立、客观的保证工作与咨询活动,它的目的是为组织增加价值并提高组织的运作效率。 它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现组织目标。
注册会计师的实务工作中,在年报审计中需要利用内部审计的工作成果,还可能受托执行企业外包(outsourcing)的内部审计业务。随着我国对企业内部控制的越来越重视,作为企业内部控制重要组成部分之一的内部审计亦显得越来越重要;并且在当前国家大力倡导会计师事务所拓展新型业务之际,内部审计业务对于注册会计师而言,将会形成一个大有潜力的业务领域。
注册会计师与内部审计的联系,至少有以下几个方面:
1.注册会计师受托在执行组织(包括企业、事业单位、政府部门等)外部审计时,可以通过了解与评价被审计单位的内部审计工作,利用经评价可予信赖的内部审计工作相关部分的成果,以提高自身的审计工作效率。
2.注册会计师可以接受某些组织的委托,对组织本身或其下属单位(如集团属下的子公司、分部、分公司、异地营业部等等)按组织的规章制度和管理要求实施内部审计,并将结果向组织报告。
3.注册会计师可以接受委托,按照我国内部审计具体准则的有关规定,对委托方及其下属单位的内部审计机构的审计质量进行考核和评价,对发现的问题提出改进措施或方案。
4.组织内部审计机构可以依据我国内部审计具体准则的有关规定,评价受托执行外部审计的注册会计师的审计工作,包括评价其独立性、专业胜任能力、审计程序及方法的适当性等等,为组织今后续聘或改聘外部审计向组织提供决策信息,等等。
因此,注册会计师需要了解和熟悉内部审计及其业务,包括内部审计的主要目标和组织架构,内部审计的工作程序和工作内容,注册会计师与内部审计人员如何进行工作配合等。笔者试分述之,以供同仁参考。
一、 内部审计的职能范围和组织架构
(一) 内部审计的职能范围
内部审计作为组织内部的一种独立客观的监督和评价活动,其工作目标和职能范围主要应包括以下方面:
1. 促进和监督组织内部控制的合理设置和有效运行;
2. 协助完善公司治理结构和职能实施;
3. 评价组织经营活动的效率和效果,以期改善经营状况和经济效益;
4. 强化组织的风险管理和合法循规经营,检查经营与财务信息的合法性和真实性;
5. 审查组织及其下属单位管理层的经济责任的履行情况;
6. 帮助组织价值最大化目标的实现。
(二) 内部审计的组织机构和人员设置
内部审计是由组织内部设置的专门机构和人员实施的审计,其机构的设置和人员的配备应与组织的性质、规模、内部治理机构及国家、行业或上级单位的相关规定相适应。
目前,我国内部审计部门的设置因领导关系的不同而大体分为三种类型:
1. 受本组织总会计师或主管财务的副总经理领导
2. 受本组织总经理领导
3. 受本组织董事会或其属下的审计委员会领导
从审计的独立性、权威性来讲,领导层次越高,越有保障。我国目前的内部审计部门一般由本部门、本单位的主要负责人领导,业务上接受当地政府审计机构或上一级主管部门审计机构的指导。
就审计对象的空间而言,内部审计主要负责以下两方面的审计监督:
1. 对本组织(包括企业集团、公司、政府行政部门或事业单位等)内部各部门实施内部审计;
2. 对本组织旗下的各下属单位(包括子公司、分公司、分支机构等)实施内部审计。
内部审计机构可以称为“内部审计部”、“审计监察部”、“内审室”等,内部审计机构的负责人可称为“审计经理”、“内审主任”等,规模大的企业可设立总审计师(在国外,被称为首席审计执行官,CAE, Chief Audit Executive)。
对于规模较小、审计业务较少的单位,可以设置专职内部审计人员。
内部审计机构和专职人员在本组织主要负责人的直接领导下,独立行使内部审计监督权,对本组织领导负责并报告工作。
二、 内部审计与外部审计的联系与区别
审计按主体的不同分为政府审计、内部审计和注册会计师审计三种,并相应地形成三类审计组织机构,共同构成审计监督体系。其中,政府审计和注册会计师审计均为组织外部的机构和人员对组织实施的审计,均为外部审计。
政府审计是由政府审计机关(审计署、审计局等)代表政府依法进行的审计。
注册会计师审计是由注册会计师组成的会计师事务所受委托人的委托进行的审计。
内部审计与外部审计在许多方面存在着区别:
1. 在审计目标上,内部审计主要是对内部控制的有效性,经营活动的效果和法律规章的遵循情况的一种评价活动;政府审计是一种法定的外部监督活动,而注册会计师审计主要是对财务报表的合法性和公允性进行鉴证。
2. 就独立性而言,内部审计受本组织负责人领导,独立性较弱;而外部审计分离于被审计单位,独立性较强。
3. 就审计标准来讲,内部审计遵循的是内部审计准则;而外部审计应遵循国家审计准则或注册会计师审计准则。
4. 从审计的取证权限而言,内部审计往往较易取得审计所需资料;政府审计具有权威,被审计单位必须提供,而注册会计师审计则更多地依赖于被审计单位的配合和协助,取证权限较弱。
5. 在发现问题的处理方式上,内部审计主要是提供加强管理和改正问题的审计意见或建议,交组织负责人决定是否执行;注册会计师审计的方式是提请被审计单位调整或披露;而政府审计则可在法定职权范围内作出审计处理决定,具有行政强制力。
内部审计与外部审计尽管有上述诸多不同之处,但在审计方法、风险的评估与应付、审计证据的收集和利用、审计抽样技术的应用等许多方面可相互借鉴,共同配合。
三、 内部审计的方法与过程
(一) 基本审计过程
由于内部审计系由组织内部设置的专门机构和人员实施,因此,与注册会计师审计相比,其审计过程有所不同,主要应包括以下步骤:
1. 根据本组织具体情况,拟订审计计划,报经组织负责人批准。
审计计划包括三个层次:
(1) 年度审计计划
年度审计计划的内容主要包括:内部审计年度工作目标;需要执行的具体审计项目及其先后顺序;各审计项目所分配的审计资源;后续审计的必要安排等。
(2) 项目审计计划
项目审计计划的内容主要包括:审计目的和审计范围;重要性和审计风险的评估;审计小组构成和审计时间的分配;对专家和外部审计工作结果的利用等。
(3) 审计方案
审计方案的内容主要包括:具体审计目的;具体审计方法和程序;预定的执行人及执行日期等。
2. 实施审计前,下达内部审计通知书
内部审计通知书包括以下基本内容:被审计单位及审计项目名称;审计目的及审计范围;审计时间;被审计单位应提供的具体资料和其他必要的协助;审计小组名单;内部审计机构及其负责人的签章和签发日期等。
3. 根据审计目的和计划实施各项审计程序。其步骤有:
(1) 评估审计风险;
(2) 确定审计重要性水平;
(3) 进行审计抽样或详细审计,获取审计证据;
(4) 将工作结果记录于审计工作底稿,形成审计初步结论。
4. 审计终结,提出审计报告或管理建议书
(1) 由审计项目负责人撰写报告初稿;
(2) 征求被审计单位的意见;
(3) 报送本组织负责人审批。
5. 将经批准的审计意见书和审计决定送达被审计单位
(1) 根据确定的审计报告或管理建议书,向被审计单位送达审计意见书和审计决定;
(2) 审计决定具有权威性,被审计单位必须执行;
(3) 对审计中发现的某些问题,可随时向有关单位和人员提出改进的建议。
6. 对主要项目进行后续审计,检查采纳审计意见和执行审计决定的情况。
7. 被审计单位对审计意见书和审计决定如有异议,可以向内部审计机构所在单位负责人提出,该负责人应当及时处理。
(二) 获取审计证据的审计程序
审计的过程实际上也可以说成是审计人员收集审计证据,并判断其充分性和适当性、以最终确定审计意见的过程。
内部审计在审计过程中为获取审计证据而实施的审计程序(或称审计方法)与注册会计师的审计程序是相似的,也包括:审核(检查记录和文件)、观察、监盘、询问、函证、计算、分析性程序等。
(三)审计证据的类型及其可靠性
审计证据的类型按其形式,可分为书面证据、实物证据、视听电子证据、口头证据、环境证据等;按其获取途径,又可分为:
(1) 外部证据,是指审计人员从被审单位以外的独立来源获取的审计证据,如银行借款的询证函回函、审计人员依据公开资料自己编制的用于对比分析的行业经济数据表等。由于外部证据未经被审单位人员之手,从而减少了被篡改的可能性,因而其可靠性最高。
(2) 外-内证据,是指由被审单位以外的人员制作生成,但由被审单位人员递交给审计人员的审计证据,如材料购货发票、银行存款对账单等。由于外-内证据系由外部人员制作生成,其可靠性要高于内部证据;但又由于其由被审单位人员提供,显然其可靠性又低于外部证据。
(3) 内-外证据,是指由被审单位人员制作生成和递交、但经过外部人员合署或证明的审计证据,如产品销售合同、被审单位人员编制的本单位与同行业产品质量对比报表,其中同行业资料已经外部专家复核并签章,等等。内-外证据的可靠性也介于外部证据与内部证据之间。
(4) 内部证据,是指由被审单位人员制作生成并递交给审计人员的审计证据,如商品销售发票记账联、未审财务报表等。相对前三类审计证据,内部证据的可靠性最低,审计人员应保持职业谨慎,对获取的内部证据的可靠性严加职业判断,并在必要时实施更多的审计程序。
四、 内部审计的主要工作内容
如前所述,内部审计的目标和职能不同于外部审计,故其工作内容也有别于外部审计,主要包括以下几个方面。
(一)内部控制设置与运行的监督
组织的内部控制要素由控制环境、风险管理、控制活动、信息与沟通以及监督五项组成。内部审计人员可从以下方面实施测试、评价和监督:
1. 对控制环境的内部审计重点内容:
(1) 法人治理结构的健全性和有效性;经营活动的复杂程度;
(2) 组织文化的内容及组织成员对此的理解与认同;
(3) 管理行为守则的健全性和有效性;
(4) 管理权限的集中程度和管理层对逾越既定控制程序的态度;
(5) 组织各阶层人员的知识与技能;
(6) 组织结构和职责划分的合理性;
(7) 重要岗位人员的权责相称程度及其胜任能力;
(8) 员工聘用程序、培训制度和业绩考核与激励机制。
2.对风险管理的内部审计重点内容:
(1) 可能引发风险的内外因素;
(2) 风险发生的可能性和预计带来的后果;
(3) 对抗风险的能力;
(4) 风险管理的具体方法及效果。
内部审计人员应审查被审计单位的风险应对措施是否完善,评估这些措施执行后是否 达到预期的效果。
3.对控制活动的内部审计重点内容:
(1) 控制活动建立的适当性;
(2) 控制活动对风险的识别和规避;
(3) 控制活动对组织目标实现的作用;
(4) 控制活动执行的有效性。
4.对信息与沟通的内部审计重点内容:
(1) 获取财务信息、非财务信息的能力;
(2) 信息处理的及时性和适当性;
(3) 信息传递渠道的便捷与畅通;
(4) 管理信息系统的安全可靠性。
5.对监督的内部审计重点内容:
(1) 内部审计人员可以采用文字叙述、调查问卷、流程图等方法对内部控制进行描述和评价,并记录于审计工作底稿中。
(2) 内部审计人员应向组织的适当管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议;并应包括被审计单位的反馈意见。
(二) 经营活动效果和效率的评价
内部审计人员对组织经营活动的效果和效率实施审计的目的,实际上是在组织负责人的领导下,通过检查组织经营活动的过程,利用专业指标的计算与考核,评价组织的经济效益是否达到或超出预算或行业指标,促使组织进一步提高企业价值。
1. 经营活动效果和效率评价的步骤
对组织经营活动效果和效率进行检查和评价,主要采用分析性程序,即通过对经营及财务实绩信息与预算、计划、前期或同行业可比信息等的比较,以此来评价组织经营活动的效果和效率。
执行分析性程序的具体步骤为:
(1) 确定评价的对象
例如,组织的盈利能力、综合财务状况、劳动生产率、设备利用率等等。
(2) 选择比较的基准
例如,上年同期数、预算或计划数、行业平均先进数等等。
(3) 确定分析方法
例如,简易比较法、趋势分析法、结构分析法、比率分析法、因素分析法、杜邦体系分析法等等。
(4) 执行计算并比较
即按确定的分析方法对实际数据进行计算,并与比较基准比较,计算两者差异。
(5) 分析差异的性质和产生原因
(6) 将分析结果写成内部审计报告,呈交组织负责人
2. 主要的经营指标和财务指标
(1) 经营活动指标,如:劳动生产率、设备台时产量、设备完好率、材料利用率等。
(2) 财务状况指标,如:流动比率、速动比率、资产负债率、产权比率、权益乘数等。
(3) 资产管理指标,如:应收账款周转率、存货周转率、营运资本周转次数、总资产周转率等。
(4) 盈利能力指标,如:销售利润率、资产净利率、权益净利率、市盈率等。
(三) 舞弊的预防与审查
舞弊是指组织内、外人员采用欺骗等违法违规手段,损害或谋取组织经济利益,同时可能为个人带来不正当利益的行为。组织管理层应对舞弊行为的发生承担责任。建立、健全并有效实施内部控制,预防、发现及纠正舞弊行为是组织管理层的主要责任。
内部审计机构和人员应当保持应有的职业谨慎,合理关注组织内部可能发生的舞弊行为,以协助组织管理层预防、检查和报告舞弊行为。
1. 舞弊的表现形式
舞弊有两种表现形式:损害组织经济利益的舞弊和谋取组织经济利益的舞弊。前者是指组织内外人员为谋取自身利益,采用欺骗等违法违规手段使组织经济利益遭受损害的不正当行为。包括收受贿赂或回扣;将正常情况下可以使组织获利的交易事项转移给他人;贪污、挪用、盗窃组织资财;使组织为虚假的交易事项支付款项;故意隐瞒、错报交易事项;泄露组织的商业秘密等。
后者是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益,采用欺骗等违法违规手段,损害国家和其他组织或个人利益的不正当行为。包括支付贿赂或回扣;出售不存在或不真实的资产;故意错报交易事项、记录虚假的交易事项,使财务报表使用者误解而作出不适当的投融资决策;隐瞒或删除应对外披露的重要信息;从事违法违规的经营活动;偷逃税款等。
2. 舞弊的预防
(1) 建立、健全组织的内部控制并使之得以有效实施是预防舞弊的主要途径。内部审计人员应考虑内部控制的缺失或失效、管理人员品质不佳、管理人员遭受异常压力、经营活动中存在异常交易事项、组织内部个人利益、局部利益和整体利益存在较大冲突等可能会导致舞弊发生的情况。
内部审计人员应根据审查和评价内部控制时发现的舞弊迹象或从其他来源获取的信息,考虑可能发生的舞弊行为的性质,向组织适当管理层报告,同时就需要实施的舞弊检查提出建议。
3. 舞弊的检查
舞弊的检查通常由内部审计人员、专业的舞弊调查人员、法律顾问及其他专家实施。
内部审计人员应按照以下要求进行舞弊检查:
(1) 评估舞弊涉及的范围及复杂程度,避免对可能涉及舞弊的人员提供信息或被其所提供的信息误导;
(2) 对参与舞弊检查人员的资格、技能和独立性进行评估;
(3) 设计适当的舞弊检查程序,以确定舞弊者、舞弊程度、舞弊手段及舞弊原因;
(4) 在舞弊检查过程中与组织适当管理层、专业舞弊调查人员、法律顾问及其他专家保持必要的沟通;
(5) 保持应有的职业谨慎,以避免损害相关组织或人员的合法权益。
4. 舞弊的报告
在舞弊检查过程中,出现下列情况时,内部审计人员应及时向适当管理层报告(可以书面或口头等方式):
(1) 可以合理确信舞弊已经发生,并需深入调查;
(2) 舞弊行为已导致对外披露的财务报表严重失实;
(3) 发现犯罪线索,并获得应当移送司法机关处理的证据。
内部审计报告的内容应包括:舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议及纠正措施等。
(四) 法律法规、标准、合同等的遵循性审计
遵循性审计,是指内部审计机构和人员审查组织在经营过程中遵守相关法规、政策、计划、预算、程序、合同等遵循性标准的情况并作出相应评价的审计活动。
组织管理层负责确定、制定并执行遵循性标准。为保障遵循性标准的执行,组织管理层应建立适当、合法、有效的内部控制。内部审计机构和人员负责审查、评价组织执行有关遵循性标准的情况。
内部审计人员应着重在以下方面实施遵循性审计:
1. 国家相关法规的遵循情况;
2. 行业、部门政策的遵循情况;
3. 组织经营计划和财务计划的遵循情况;
4. 组织经营预算和财务预算的遵循情况;
5. 财会部门执行企业会计准则、会计制度的遵循情况;
6. 组织各项财务制度的遵循情况;
7. 组织所定各种程序标准的遵循情况;
8. 组织签定的各类合同的遵循情况;
9. 其它标准的遵循情况。
内部审计人员实施遵循性审计还应充分关注以下情况:
1. 受到政府有关部门的调查或处罚;
2. 重要的法律诉讼;
3. 异常的交易或事项;
4. 计划、预算执行结果严重偏离标准;
5. 信息严重失真或资料不完整;
6. 缺乏相关的内部控制或相关内部控制无效;
7. 其他可能导致违反遵循性标准的情况。
当有证据表明组织可能存在严重违反遵循性标准的事项,或严重违反遵循性标准的事项发生时,内部审计机构和人员应及时将有关事实告知适当管理层。
五、内部审计的质量控制和注册会计师的外部评价
内部审计质量控制一般包括内部审计督导、内部自我质量控制与外部评价三个方面。
(一) 审计工作的督导与内部自我质量控制
1. 督导。督导是内部审计机构负责人和审计项目负责人对实施审计工作的审计人员所进行的监督和指导。
2. 内部自我质量控制。内部自我质量控制是内部审计机构负责人和审计项目负责人通过适当的手段对内部审计质量所实施的控制。内部自我质量控制包括内部审计机构质量控制与内部审计项目质量控制两个层次。
(1) 内部审计机构质量控制主要包括:遵守职业道德规范;保持并不断提升内部审计人员的专业胜任能力;合理分派内部审计业务;依据内部审计准则制定操作规程;适当运用咨询手段;进行审计质量的内部考核与评价;评估审计报告的使用效果;监控内部审计机构质量控制政策与程序的执行。
(2) 内部审计项目质量控制主要包括:指导内部审计人员执行审计计划;监督内部审计过程;复核审计工作底稿及审计报告。
(二) 注册会计师对内部审计的外部评价
外部评价是由内部审计机构以外的其他机构和人员对内部审计质量所进行的考核与评价。内部审计机构可以从会计师事务所、管理咨询公司、内部审计协会、其他组织的内部审计机构选择外部评价机构和人员。
1. 如蒙委托,会计师事务所应从以下方面对内部审计的工作质量作出评价:
(1) 内部审计机构组织结构的合理程度;
(2) 内部审计人员履行内部审计准则的情况
(3) 内部审计人员的专业胜任能力;
(4) 内部审计目标的实现程度;
(5) 内部自我质量控制的适当性及有效性等。
2. 注册会计师的外部评价报告应包括以下主要内容:
(1) 对内部审计活动是否遵循内部审计准则发表意见;
(2) 内部审计工作存在的主要问题;
(3) 对提高内部审计质量的建议;
(4) 内部审计机构的反馈意见。
六、内部审计报告的内容与分发
内部审计人员的最终审计结果是其编写呈交的审计报告。内部审计报告与注册会计师出具的审计报告相比,无论其正文结构和内容,还是其编写复核及分发程序,均有所不同。
(一) 内部审计报告的正文内容
1. 审计概况
说明审计立项依据、审计目的和范围、审计重点和审计标准等内容。
2. 审计依据
应声明内部审计是按照内部审计准则的规定实施,若存在未遵循该准则的情形,应对其做出解释和说明。
3. 审计结论
根据已查明的事实,对被审计单位经营活动和内部控制所作的评价。
4. 审计决定
针对审计发现的主要问题提出的处理、处罚意见。
5. 审计建议
针对审计发现的主要问题提出的改善经营活动和内部控制的建议。
(二) 内部审计报告的编制、复核与分发
1. 审计项目负责人应在实施必要的审计程序后,编制审计报告,并向被审计单位征求反馈意见。
2. 被审计单位对审计报告持有异议的,审计项目负责人及相关人员应进行研究、核实,必要时应修改审计报告。
3. 审计报告经过必要的修改后,应连同被审计单位的反馈意见及时送内部审计机构负责人复核。
4. 内部审计机构应将审计报告提交被审计单位和组织适当管理层,并要求被审计单位在规定的期限内落实纠正措施。
七、内部审计与外部审计的沟通与协调
(一)与外部审计的协调
内部审计与外部审计的协调,是指内部审计机构与会计师事务所、国家审计机构在审计工作中的沟通与合作,双方的协调可以通过定期会议、不定期会面或其他沟通方式进行。
1. 内部审计与外部审计协调可以达到以下目的:
(1) 确保充分的审计范围;
(2) 减少重复审计,提高审计效率;
(3) 共享审计成果,降低审计成本;
(4) 提高内部审计人员素质,改进内部审计机构工作;
(5) 维护组织利益。
2. 协调的内容
(1)在审计范围上进行协调。在制定审计计划时,应考虑双方的工作,以确保充分的审计范围,最大限度减少重复性工作。
(2)在必要的范围内互相交流相关审计工作底稿,以便在审阅后相互评价工作质量,利用对方的工作成果。
(3)相互交流审计报告和管理建议书。
(4)在具体审计程序和方法上相互沟通,达成共识,以促进双方的合作。
(二)评价外部审计工作质量
内部审计机构在需要利用外部审计工作成果,以减少重复工作、提高审计效率时,按内部审计准则的规定,应对外部审计工作质量进行评价。
另一方面,有时内部审计机构受组织控制方(如上级领导、公司股东等)的指令,可能对执行年报审计的会计师事务所的审计工作质量进行评价,以便为组织续聘或改聘会计师事务所提供参考意见。
内部审计机构评价外部审计工作质量,通常按评价准备、评价实施和评价报告三个阶段进行。
1.评价准备
(1)编制适当的评价方案,包括:评价目的;评价工作的时间安排;评价的主要内容与步骤;评价的依据;评价工作的主要方法;评价人员的分工等。
(2)取得反映外部审计工作质量的审计报告及其它相关资料。
(3)详细了解外部审计所采用的审计准则及其在执业过程中与组织之间协调的情况。
(4)如果有必要,内部审计机构可以与外部审计机构就评价事项进行适当的沟通。
2. 评价实施
(1)内部审计机构对外部审计工作质量的评价应重点关注外部审计的:审计机构及人员的独立性;审计人员的专业胜任能力;审计人员的职业谨慎性;审计机构的信誉;审计所用审计程序及方法的适当性;审计所用审计依据的有效性;审计范围和内容与内部审计机构要求的一致性。
(2)内部审计机构在评价外部审计工作质量时,可以采用审核、观察、询问等一般方法以及与有关方面沟通、协调的特殊方法。
3 . 评价报告
(1)在形成外部审计工作质量的评价结论之前,内部审计机构应征求组织内部有关部门与相关人员的意见。
(2)评价外部审计工作质量应编制评价报告,包括以下主要内容:评价报告的名称;被评价外部审计组织的名称;评价目的;评价的主要内容;评价结果;评价报告编制的时间。
作者单位:上海众华沪银会计师事务所
