掃碼下載APP
及時接收最新考試資訊及
備考信息
在討論具體的方法與技術之前,解決基本的認識問題更為重要。按照這種思路,下文首先討論如何轉變觀念和制定內部控制評估戰(zhàn)略,然后介紹如何以風險為導向優(yōu)化評估方法及調整人力資源機制和有效使用信息技術的要點。
(-)重新認識內部控制評估在內部審計工作中的地位與作用
作為組織內部控制系統(tǒng)的一個重要組成部分,內部審計本質上是一種評價職能,通過衡量和評價其他各種控制的有效性來履行其職責。內部審計人員不可能也不需要與該單位從事各種活動的技術專家或經營專家具有同樣知識(更不要說取而代之),但正是通過內部控制這座大門,內部審計得以檢查與評價所在單位的所有活動并增加價值。因此,可以說內部審計工作本身就是內部控制評估,這種評估的側重點可能在財務方面,也可能是在經營管理方面。按照評估范圍的區(qū)別可將審計類型劃分為財務審計與經營審計(或稱之為經濟效益審計)兩大類。無論哪種審計,都牽涉到評估范圍與評估目的、內部控制模式的選用及評估過程中風險分析等問題,內部審計人員對其認真加以研究是必要的。
(二)正確理解內部控制概念并選擇適當?shù)膬炔靠刂茦藴驶蚰J?/STRONG>
正確理解內部控制概念要求內部審計人員牢固樹立以下觀念:(l)過程觀念。內部控制是對企業(yè)的整個經營管理活動進行監(jiān)督與控制的動態(tài)過程,應與企業(yè)的經營管理過程相結合;(2)重視人的作用。不僅僅是管理人員、內部審計或董事會,組織中的每一個人都對內部控制負有責任,在內部控制設計與評估過程中不能忽視人的重要性;(3)注重軟性控制。高級管理階層的管理風格、管理哲學、企業(yè)文化、人員能力、內部控制意識等軟性控制決定其他控制要素能否發(fā)揮作用;(4)風險觀念。風險是內部控制存在與變化的前提與基礎;(5)成本與效益觀念。內部控制受先天條件所限及基于成本與效益原則考慮只能做到“合理”保證,沒有不花錢的內部控制,也不存在完美無缺的內部控制。
在內部控制標準或模式選擇方面,既然目前國內尚無成熟的內部控制標準或模式,適當借鑒國外的先進經驗就不失為一個好的辦法。COSO已獲最廣泛認同,企業(yè)可以其作為主要的參照標準并根據自己的實際情況加以細化與補充。在具體做法上,有條件的企業(yè)可由內審部門牽頭編制內部控制手冊。該手冊并非企業(yè)以往所定規(guī)章制度的簡單匯總,而是按照COSO框架所述的控制環(huán)境、風險評估、控制活動、信息與溝通及監(jiān)督等五個內部控制要素分別展開,明確內部控制責任及各業(yè)務循環(huán)控制要求甚至包括風險分析與評估要點。手冊既可作為全體員工遵循的指南,也可為內審部門及各級管理者提供內部控制與風險管理的參考工具。
(三)合理制定內部審計發(fā)展戰(zhàn)略
內部審計人員可在對審計部門內外部環(huán)境進行戰(zhàn)略分析的基礎上,結合企業(yè)發(fā)展戰(zhàn)略制定其部門3-5年戰(zhàn)略計劃。根據國外一些大企業(yè)的經驗,該戰(zhàn)略計劃的內容至少應包括:(1)內審部門的角色與定位:闡明內審部門如何定位與轉型;(2)明確內審部門在未來數(shù)年可能面臨的各種挑戰(zhàn);(3)未來幾年可審計領域風險分析結果及具體審計資源分配計劃;(4)內審人員的任用、選拔與培訓安排;(5)部門信息化推進計劃;(6)與外部專家進行戰(zhàn)略性合作(如聯(lián)合審計計算機信息系統(tǒng))的安排;(7)與企業(yè)其他部門尤其是監(jiān)督部門的合作關系:如建立資源共享的信息系統(tǒng)及協(xié)調工作等;(8)理論研究及學習行業(yè)最好實踐的計劃安排;(9)工作標準及其他內部控制與風險管理參考指南與手冊編寫計劃。該戰(zhàn)略計劃每年根據情況變化滾動編制。
(四)發(fā)展一個風險導向的內部控制評估方法風險可視為達成組織目標所面臨的不確定性,一個企業(yè)的內部控制系統(tǒng)存在的根本目的在于對威脅其目標達成的風險提供管理,沒有風險也就不需要內部控制。
目標、風險與控制之間的上述邏輯關系是確立內部控制評估方法與思路的基礎。以風險為導向意味著戰(zhàn)略及目標分析和業(yè)務過程評估先于具體工作。內部審計人員必須首先對組織所在的行業(yè)特點、經營目標及戰(zhàn)略與相應的風險管理活動執(zhí)行戰(zhàn)略分析。了解諸如組織在其經營的行業(yè)和市場環(huán)境中的目標與戰(zhàn)略是什么,政府法規(guī)或其他力量對組織本來轉變有什么影響,什么是影響公司戰(zhàn)略的最根本風險等問題。
下一步,內部審計人員將分析組織目標、戰(zhàn)略和重要經營風險之間的相互關系。并且將注意力集中在那些容易招致經營風險和能夠產生額外機會的經營領域;決定哪些經營過程是最重要的,進而評估與這些過程相聯(lián)系的內部控制活動的效率與效果。
作為上述過程核心部分的風險評估既可采用定量分析方法,也可定性分析。除參考IIA考試教材提供的風險評估辦法(選擇風險因于并衡量僅重)外,實踐中我們還可對每一個業(yè)務過程可能發(fā)生的風險進行分類,建立所謂的風險識別圖或風險資料庫。審計人員通過設置方便衡量的關鍵變數(shù)或指標并監(jiān)測其變化來實施預防控制,以預警機制及時發(fā)現(xiàn)問題并適時發(fā)揮監(jiān)控功能。
此外,有效運用內部控制自評(CSA)也能大大改進內部控制評估過程的效率與效果。CSA不是將評估工作完全交與被審單位,而是采取合作的方式但不失內審人員獨立的立場。使用CSA能達到教育經營單位,讓其了解內部控制的重要性,明白控制與風險管理的最終責任在于其自身之目的。與此同時,內部審計人員也能收集在傳統(tǒng)的審計程序中無法取得的有關軟性控制的寶貴資料。
CSA并非不合國情,我國內審人員只要周詳?shù)赜媱澕芭c傳統(tǒng)的內部控制評估過程相結合,由簡而繁,循序漸進地開展,相信將會取得滿意的效果。
(五)善加利用信息技術
面對企業(yè)普遍信息化和日趨復雜的業(yè)務環(huán)境帶來的挑戰(zhàn),內審人員應善加利用計算機技術與工具以提高審計效能。根據國內企業(yè)信息化的現(xiàn)狀,我們可以從以下方面入手:(1)如前所述,為每一個被審計單位的每一個關鍵業(yè)務過程建立資料庫,設置預警指標以實施實時控制,出現(xiàn)例外情況及時審計與調查;(2)建立無紙化的快速工作底稿系統(tǒng),整個審計過程從計劃到審計后跟蹤都可以利用計算機加以支持。就主要審計發(fā)現(xiàn)可通過計算機網絡隨時與被審計單位溝通,審計外勤工作結束之日即可簽發(fā)審計報告;(3)通過單位內部網發(fā)放及收集內部控制及風險評估調查表;(4)通過單位內部網收集審計線索(如舞弊線索)和開展審計用戶滿意度調查;(5)對全體員工開展在線風險管理及內部控制教育;(6)獲取審計參考資料。一些國際會計公司及政府審計機構經常在互聯(lián)網上發(fā)布有用的參考資料,對于我們開展內部控制評估頗有價值(據我們目前了解到的情況,互聯(lián)網上以內部控制或風險管理為專題且可免費下載的指南有近百個)。利用這些資料建成的“網上圖書館”,可以很方便地為全體審計人員所共享。
?。┱{整人力資源機制
對于任何內審部門來講,無論是轉變觀念還是實施革新的戰(zhàn)略與方法,都需要良好的人力資源機制的支持。為解決內審人員的專業(yè)素質不高的問題,我們認為可有以下補充辦法:一是適當增加管理及計算機等非財會專業(yè)人員的數(shù)量與比重;二是以某種正式安排吸收企業(yè)其他部門優(yōu)秀人員到審計部門短期工作(2-3年),通過內部合理的人員流動補充審計部門人力資源缺口并可傳播風險及控制觀念;三是就某些復雜性較高的項目與企業(yè)內外部專家開展專項合作。
上一篇:風險管理與內部稽核人員的角色扮演
下一篇:試論注冊會計師驗資準則的主要變化
Copyright © 2000 - odtgfuq.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網安備 11010802044457號