根据美国《SOX法案》的要求,作为在美上市公司,中国石油以COSO内控控制框架为标准,对原有内部控制体系进行了梳理和完善,建立了一套全面、系统、科学、规范的内部控制测试体系,为内部控制测试规范、有序地进行,顺利通过内外部测试奠定了坚实的基础。笔者有幸参加了中石油组织的管理层测试工作,对内部控制理念和测试方法有了一定的了解和认识,并在常规审计项目中加以借鉴尝试。以下即是笔者在常规审计项目中的运用体会。 一、运用风险评估理论,评估控制设计的有效性 风险评估是COSO内控框架的重要组成部分,其核心思想就是围绕企业既定目标,识别影响目标实现的因素即风险,针对识别的风险设计相应的控制措施来控制和减少风险,以确保目标的实现。风险评估理论上为我们评价控制设计是否有效提供了一个标准,即控制能否防范或减小风险,确保目标的实现。使用这个标准评价控制设计的有效性不仅便于理解、更具灵活性,而且评价结果更切合实际,便于相关人员接受。如,在物资管理的零星急用资金审计过程中,通过查阅某公司物资管理采购办法了解到,零星急用资金主要是解决生产经营中的物资应急需求,其资金使用审批程序相对简单。为了确保应急资金完全用于生产急需,防范和减少资金被移作他用的风险,设置的控制措施主要是:“零星急用资金由物资采购管理部门进行归口管理,零星急用物资采购单次采购金额在2万元以下的由物资管理部主任审批,2万元以上的由公司主管领导审批”。但在审计中发现,虽然物资管理部门严格执行了上述审批规定,但各单位在零星急用资金实际使用中并没有完全用于生产应急采购,而是用于办公用品、劳保用品、计算机耗材等,而且数量较大。如,某单位通过零星急用资金渠道采购GPS卫星定位仪11台,已经远远超出了生产应急需要的范围。对于存在的问题,我们并没有简单地将责任归咎于物资管理部门,而是从管理目标实现和相关风险控制角度分析,发现问题产生的根本原因是上述控制在设计上还存在一定缺陷:一是该控制没有明确和细化零星急用资金的使用范围;二是缺乏对控制执行情况的检查。对此我们提出了明确的零星急用资金的使用范围,加强对控制执行情况进行检查的建议,得到了业务部门的认可。 二、运用跟单作业方法,了解业务流程的设计及运行 跟单作业是选取一笔或一笔以上的业务,从业务发生开始,一直追踪到财务记账,以核实实际执行情况与流程描述是否一致的整个过程。在实际工作中,审计人员对于一些缺乏了解或不熟悉的流程运用跟单作业,通过询问相关人员、现场观察、检查控制实施证据等方法,不仅了解了业务处理的详细过程,而且发现了控制设计和执行方面的问题。如,在对某单位化学药剂的管理审计中,我们采用跟单作业的方法了解到每月根据加药计划化工厂将清防蜡剂送到加药现场,并负责将药剂加入。通过实地观察,发现由我方一名工作人员负责验收、监督注入过程,并记录实际加药量。审计认为在加药过程中,验收与使用的记录工作为同一人,不符合牵制原则,缺少监督控制,存在一定的舞弊风险。 三、抓住关键控制,提高审计工作效率 关键控制是流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少的和无法替代的。内控测试在测试控制运行的有效性时采用的是关键控制抽样测试,即只对业务活动的关键控制进行测试,并且在测试时根据控制频率仅抽取适当数量的样本,以样本代表总体,通过检查样本判断关键控制总体执行情况。只针对关键控制而不是全部控制,体现了现代管理善于抓重点、注重工作效率和效果有机结合的管理理念。因此,在审计工作中我们借鉴关键控制测试方式的经验,紧紧围绕关键控制开展审计,不仅取得了很好的效果,而且提高了审计工作效率。如,对某单位车辆修理费的审计中,审计人员经访谈了解到修理车辆要填报《设备修理审批单》,经所属单位审批后到财务资产部审批,持车辆修理派工单进厂修理,修理出厂后由司机本人签字确认,并将修理单返回本单位,单位主管车辆修理的领导和统计员核对实际修理内容是否与审批的内容一致后,才能进行账务处理。审计认为“核对”控制这一过程比较关键,对“核对”控制进行了抽样审查,发现有的司机没有将修理单返回本单位,财务仅凭修理厂提供的结算单据进行了财务处理,因此确认该控制并未有效执行。 四、重视访谈技术的运用,通过访谈发现审计线索 访谈就是通过口头或书面的方式对执行控制的相关人员提出问题,根据被访谈人的回答确定控制是否存在以及控制执行人对控制的理解程度。访谈是内控测试的基本方法之一,也是我们常用的审计方法之一,但是由于访谈所提供证据的确信水平较弱,所以我们以往对访谈重视不够。内控测试对访谈工作非常重视,访谈工作量很大,而且通过访谈发现大量内控存在问题的线索。因此,在审计工作中我们积极借鉴内控测试访谈技巧,加大访谈工作量,注意通过访谈发现审计线索。