近几年来,美国在内部控制的理论方面有了新的发展,在审计实际工作中,强调依赖内部控制的作用和成果越来越突出。 根据美国反对虚假财务报告全国委员会的赞助组织委员会(COSO,TheCommitteeofSponsoringOrganizationoftheTreadwayCommission)发布的定义,有效的内部控制体系应当包括五个方面,即:控制环境;风险评估;控制活动;会计、信息及传导机制以及自我评估及监控。 控制环境反映董事会及管理部门对内部控制的重视程度,它对内部控制提出了基本要求及框架。控制环境的要素包括: 1员工的正直、职业道德和进取心。 2企业单位的组织结构。 3管理部门的经营理念和风格。 4对企业单位经营实践的各种外部影响。 5董事会及其专门委员会特别是审计委员会和风险评估委员会的关注和要求。 风险评估是对内部和外部风险分析的确认。之所以要对风险进行评估,是因为风险影响企业单位实现其目标或危害其经营。这种评估能帮助确定何处存在风险,怎样进行风险管理以及需要采取何种措施。 在审计实务工作中,风险评估一般按以下步骤进行: 1确认被审计单位可以进行审计的活动。 2确认在可以审计的活动中,存在哪些风险因素。主要有:资产风险,主要考虑资产规模、流动性等;经营活动风险,主要考虑交易额大小、业务的复杂性和变化性,技术、经济和组织结构的改变;内、外部环境风险,主要考虑财务和经济以及竞争条件,控制环境与管理,审计意见的接受程度和改正行动,最近一次的审计结果;信息系统风险,主要考虑信息系统的计算机化程度和可靠性;合法性风险,主要考虑政府法律、法规的要求,上一次审计的时间等。 3选择风险因素。对一个企业单位来说,要从上述风险中挑选出具有较大影响的诸风险,按顺序加以排列。 4确定已选择的各风险因素的权重。它可以用百分比来表示,各风险因素所占百分比之和等于100%。 5确定已选择的风险因素的重要程度。一般分为低、中、高三个等级,可以用数字来表示,如1表示最低,5表示最高。 6计算各风险因素得分。将代表各风险因素重要程度的数值乘以其权重,即为其风险得分。将各风险因素得分从高到低依次排列,以确定高风险区域。 7根据风险评估情况和审计成本,制定审计计划。控制活动包括制定政策和程序并将其付诸实施。控制活动的目的是企业单位的员工贯彻执行董事会和管理部门的要求,并帮助董事会和管理部门采取措施,控制那些妨碍实现目标的风险。控制活动贯穿于整个企业单位,它们包括: 1经营行为的复查。 2业务活动的批准及授权。 3责任的分离以减少人员犯罪和隐瞒犯罪或错误的机会。例如,资产不能由具有批准权和履行会计职能的同一个人管理。 4要求敏感岗上的领导人员和雇员每年有连续两周的离岗。 5设计一些文件和记录以保证各种业务事项得到记载和反映。例如,使用预先编号的文件以利于监控。 6保证对资产及其记录接触和使用的安全。例如,为保证信息处理部门的安全,企业单位必须保护好设备,控制人员接近计算机和档案资料。 7对某些工作的完成情况和某些数据是否准确进行独立的检查。例如,进行对账,计算机项目的控制,从管理的角度对综合财务报告进行检查,从用户的角度对计算机生成报表进行检查。 会计、信息和传导机制以不同形式取得和传递恰当、及时的信息,从而使雇员能够贯彻履行自己的职责。会计系统是确认、汇集、分析、分类、记录和报告企业单位业务事项的方法和载体。信息和传导机制使所有的雇员都懂得自己在控制系统中的作用、会计责任以及与他人的关系。信息系统就经营、财务、合规性提出报告,从而使董事会和管理部门更好地履行职能。传导机制将信息传递到企业单位的内部及外部,包括法律、法规的制定者、检查者、持股者和客户。 自我评估和监控是企业单位内部自身的、自上而下的控制系统的活动。自我评估是由有关人员定期、独立地对一个部门的控制进行评估。事中监控是在经营过程中和责任履行过程中进行的。有些企业单位将事中监控和独立的评估结合起来。内部审计和外部审计可以控制系统的设计及实施在质量和效果等方面进行独立评估。企业单位中的所有人员对自我评估和监控都应负有责任。每一个人都要懂得,自己对破坏控制系统的行为负有报告的职责。 总之,合格的雇员,有效的风险确认和分析,明确的职责分工和职责的适当分离,准确及时的信息流动,自我监控的建立和实施,是典型的、强有力的内部控制的基本要素。