内部控制审计主要包括以下几个环节:
计划阶段确定审计目标和范围
明确目标:根据企业的需求、监管要求或其他利益相关者的期望,确定内部控制审计的目标。例如,目标可能是评估企业财务报告内部控制的有效性,或者是检查企业运营流程中特定环节(如采购流程或销售收款流程)内部控制的健全性。
界定范围:明确审计所涵盖的业务单元、部门、流程、系统以及时间跨度等。例如,对于一个跨国企业集团,可能只选择对国内主要业务部门进行审计,或者只针对近一个财务年度的内部控制情况进行审查。
了解企业内部控制环境
治理结构:了解企业的公司治理结构,包括董事会、监事会和高级管理层的职责分工、权力制衡机制等。例如,审查董事会是否有效履行监督职责,是否设立了审计委员会及其职责是否明确。
组织结构与权责分配:研究企业的内部组织结构,确定各部门和岗位的职责、权限以及相互之间的关系。例如,查看是否有清晰的部门职责说明书,是否存在职责不清可能导致的内部控制风险。
企业文化和人力资源政策:分析企业文化的特点,如是否强调诚信和道德价值观,以及人力资源政策对员工行为的影响。例如,了解企业在员工招聘、培训、考核和晋升等环节是否有激励员工遵守内部控制制度的措施。
制定审计计划
确定审计方法:根据审计目标和企业的实际情况,选择合适的审计方法,如访谈法、问卷调查法、流程图法、穿行测试法等。例如,对于复杂的业务流程,可能采用流程图法来清晰地描绘流程中的控制点,然后通过穿行测试来验证这些控制点的有效性。
安排审计资源:根据审计的复杂程度和范围,分配适当的审计人员、时间和预算等资源。例如,对于涉及多个业务领域的大规模审计项目,需要组建专业背景多样化的审计团队,并安排足够的时间进行现场审计和数据分析。
确定审计时间表:制定详细的审计工作时间表,明确各个阶段的起止时间和关键节点,包括审计准备、现场审计、报告撰写和发布等阶段。例如,规定在某个日期之前完成对所有部门的访谈,以及在另一个日期之前完成初步审计报告的撰写。
实施阶段初步评估内部控制设计的合理性
文档审阅:收集和审阅企业内部控制的相关文档,如政策手册、操作流程、管理制度等,以评估内部控制设计是否符合相关法律法规、行业最佳实践以及企业自身的业务特点。例如,检查企业的财务管理制度是否符合会计准则和财务法规的要求。
风险评估矩阵编制:通过分析企业的业务流程和风险状况,编制风险评估矩阵,识别关键风险领域和对应的控制措施。例如,在应收账款管理流程中,识别出坏账风险,并查看企业是否有信用评估、应收账款跟踪和催收等控制措施。
进行内部控制测试
穿行测试:选择若干典型业务交易,追踪其从发生到记录在财务报表中的整个过程,检查相关内部控制的执行情况。例如,在采购业务中,从采购申请、供应商选择、采购合同签订、货物验收一直到付款的全过程进行穿行测试,以验证每个环节的内部控制是否有效执行。
控制测试:采用询问、观察、检查和重新执行等方法,对内部控制的运行有效性进行测试。例如,询问财务人员关于费用报销审批流程的执行情况,观察仓库人员对存货盘点的操作过程,检查授权文件和记录,重新执行银行对账程序等。
收集审计证据
记录测试结果:在测试过程中,详细记录发现的情况,包括内部控制的执行情况、存在的问题、异常情况等,作为审计证据。例如,记录某次采购业务中没有按照规定进行三家以上供应商比价的情况。
获取支持性文件:收集与内部控制相关的各种文件、记录和其他证据,如审批单、合同副本、盘点表、系统日志等,以支持审计结论。例如,获取销售合同来验证销售价格的审批和信用额度的控制情况。
评价阶段评估内部控制有效性
单个控制评价:对每个测试的内部控制点,根据测试结果和收集的证据,按照预先确定的标准(如有效、部分有效、无效)进行评价。例如,对于采购付款的授权审批控制,如果在大部分测试案例中都严格执行了授权审批程序,但有少数例外情况,可能评价为部分有效。
整体有效性评估:综合考虑各个内部控制点的评价结果,结合企业的内部控制目标,对企业内部控制的整体有效性进行评估。例如,如果关键财务报告内部控制点的大部分都有效,且不存在可能导致重大财务错报的控制缺陷,可能得出内部控制整体有效的结论。
识别内部控制缺陷
确定缺陷性质和程度:根据内部控制缺陷对企业财务报告、经营效率和合规性等方面可能产生的影响,将缺陷分为重大缺陷、重要缺陷和一般缺陷。例如,发现财务报表编制过程中缺少关键的审核环节,可能导致重大财务错报,这属于重大缺陷。
分析缺陷原因和影响范围:深入分析缺陷产生的原因,如制度设计不完善、人员培训不足、管理层凌驾于内部控制之上等,并确定缺陷影响的业务领域、部门和流程范围。例如,由于新员工对费用报销政策不熟悉,导致部分费用报销不符合规定,这一缺陷主要影响费用报销流程,原因是培训不足。
#内部控制审计#