效益审计中如何审查内部控制

作 者:

作者简介:

原文出处:
审计月刊

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2007 年 08 期

关 键 词:

字号:

      内部控制是效益审计必须关注和评价的要素之一。其重要性表现为,第一,内部控制中的成本控制、风险控制、程序效率和效果控制对被审计项目的经济性、效率性和效果性有直接重大影响。第二,内部控制是被审计单位管理制度的核心内容之一,而效益审计最终目标是促进被审计单位改进管理、提高效益,所以评价内部控制与发挥效益审计的增值效果密切相关。第三,责任机制是被审计单位接受审计建议,采取改进措施的着力点,而评价内部控制是落实责任机制的必要途径。所以,效益审计必须对被审计单位内部控制进行检查和评价。鉴于效益审计的特点,效益审计中对内部控制的审查与传统财务审计中的内容与方式有所不同。在效益审计中,分别在审前调查阶段初步检查内部控制,在审计实施阶段审查内部控制,在审计报告阶段评价内部控制。

      一、审前调查阶段初步检查内部控制

      在审前调查阶段,审计人员需要对被审计单位内部控制进行初步检查,为确定中计重点和评估审计风险提供依据。

      初步检查内部控制时,首先要充分了解内部控制。通常可以实施以下基本程序进行检查和了解内部控制:1、询问被审计单位管理层、工作人员和相关人员以及专家的意见,查阅相关内部控制文件。审计人员通过询问被审计单位相关人员,查阅内部控制政策、程序手册、原始凭证和会计记录等,了解内部控制的设计和运行记录情况。2、检查内部控制生成的文件和记录,实地观察内部控制的运行情况,了解内部控制的实际状况。3、选择若干具有代表性的业务进行穿行测试,按照其业务轨迹来追查业务的处理过程,确认有关的控制程序及其执行情况。

      在了解内部控制时,可以采用问卷调查、记述和流程图相结合的方法。审计人员首先进行问卷调查,将要调查的问题事先制成调查表,向有关人员询问填表;然后将调查所得的结果记录下来并用文字加以叙述;最后根据了解的情况,制出内部控制作业流程图,直观清晰地反映内部控制的设计和运行情况。通过以上方法,审计人员了解内部控制的设计、组成和运行情况,对其主要控制环节和控制要素形成系统和形象的认识。

      二、审计实施阶段审查内部控制

      内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。效益审计中,审计人员应从经济性、效率性和效果性三个方面对内部控制的五个要素进行审查。

      (一)审查控制环境

      控制环境包括被审计项目运营活动的业务特征和复杂程度、管理层经营理念和方式、被审计单位的组织文化、项目组织内部结构和项目运营流程、职责划分和人员的胜任能力等。审计人员主要审查和测试被审计项目运行活动是否为管理层所控制;管理层的管理观念是否强调对资源的节约和对效率的提高,管理层是否关心项目的产出和其使用效果;被审计单位的组织文化对项目效益目标是否认可;业务流程设计和管理流程设计是否合理,是否存在无序或无效设置、重复浪费或重大疏漏,计算机和网络技术的应用水平是否达到要求;组织内部的资源(人力资源、资金、财产、信息、技术等)配置是否合理,对资源的管理和利用是否有效;权责划分是否科学合理,是否有利于节约成本和提高效率;人员是否达到应有的知识和技术水平,是否具有相关的效益意识等。

      (二)审查风险管理水平

      风险管理指对影响项目效益目标实现的风险的识别和应对的机制。审计人员应调查被审计单位是否建立健全了有效的风险管理机制,是否将风险管理运用于战略制定方面。检查和测试风险管理水平主要是针对风险识别和风险应对两方面。

      在风险识别方面,检查和测试被审计单位是否能及时准确地识别影响被审计项目效益的外部因素和内部因素。外部因素主要包括政治、经济、自然、社会、技术等五个因素;内部因素包括组织结构、人员、流程和技术等四个因素。被审计单位能否对逐步上升的风险促发因素进行分析、对促发因素进行分类、分析不同促发因素之间的相互作用、跟踪估计促发因素可能带来的损失和影响,能否确定哪些事项会对项目效益实现产生不利影响。

      在风险应对方面,检查和测试被审计单位是否进行风险评估,评估风险的概率和产生的影响,是否采取有效的措施进行风险反应。风险反应有规避风险、降低风险、分担风险和接受风险四种类型。规避风险是指采取措施退出带来风险的活动。降低风险指通过设计、实施一些事前的措施和程序来降低和最小化风险。分担风险指通过恰当的转嫁或者与他人共担风险的方式减少风险的可能性或影响。接受风险指把一些风险作为业务活动带来的无法规避的结果来接受,这些风险发生的概率和所产生的影响额都相对较小。审计人员应检查被审计单位对每一项重要的风险是否及时出具有效的风险反应方案,将风险控制在可容忍水平。

      (三)审查控制活动

      控制活动指所有业务活动应有适当的授权、不相容职务应当分离、有效控制业务记录的真实性和相关性、资产和记录接近的限制、独立的业务审核。审计人员主要审查是否有未经授权的业务活动,是否引起资源的浪费;不相容职务是否分离,是否能够预防和发现舞弊和浪费行为;是否有一定的安全控制,是否保证资产和记录的接触受到相应的限制,是否保证业务记录的真实、相关和完整,是否将每一项资产的监管责任分配到具体的人员;是否有独立的业务审核程序,并且得到有效的执行。

      (四)审查信息与沟通

      信息与沟通包括及时、准确、完整地传达与记录所有信息、内外信息沟通的流畅、管理信息系统的有序运行和安全可靠。有效的信息沟通既包括被审计单位内部纵向和横向的沟通,又包括被审计单位与外部相关者之间及时地交换和交流信息。主要审查被审计单位能否及时、准确、完整地传达和记录所有信息,并将之处理,提炼出指导行动的信息,以满足各部门和员工的要求;管理层是否能实时得到真实完整的成本和效益信息,是否能将成本、效率和效果的信息反馈到相关部门和个人;组织内部是否能及时有效地排除信息沟通中的障碍;是否拥有比较流畅的外部沟通渠道,项目的外部信息和运行效果能及时反馈到管理层和相关部门与个人;管理信息系统是否安全可靠,并且能有序运行。

相关文章: