现代内部控制理论认为企业内部控制室一个由多目标、多层次、多要素、多个子系统组成的有机整体。中石油公司建立了以《COSO内部控制整体框架》为理论基础的现代内部控制体系,为全面开展内部控制体系审计和评价提供了较好的环境基础,使内部审计能够以较宽的视野,对企业内部控制进行全面的、系统的分析和评价。 一、内部控制审计目标要以企业目标为出发点 对一个单位内部控制体系进行全面审计,首先要从分析企业目标着手,考虑监管环境等因素对企业目标的影响以及审计资源的限制等情况,根据重要性原则,对企业目标进行分类、排序,最终确定审计目标。审计目标尽可能与企业目标保持一致,以帮助和促进企业目标的实现。 中石油现行内控体系建设是按照境外上市地法律要求,以实现财务报告可靠性为主要目标。因此,中石油开展的企业内部控制审计,将财务报告内部控制有效性作为内部控制体系评价的首要目标。同时,考虑到企业内部控制是由多个目标组成,内部审计适当兼顾内控的效率、效果、法律遵循性等长期发展目标,体现为企业服务的职能。 二、按照“目标导向——风险分析——关键控制”的基本原则和总体思路,确定审计范围,突出对重点单位和关键控制的审计 中石油贯彻“目标导向——风险分析——关键控制”基本原则和思路,审计项目以企业目标为出发点,通过对公司层面和业务层面、信息层面控制风险的分析,确定关键控制,审计时将注意力集中在影响企业目标的重要风险和关键控制上。这种思路贯穿于审计项目的始终,体现在以下几个方面: (1)目标分析。 从企业总体目标出发,细分不同的子目标,识别与目标对应的风险,剔除与企业目标实现无关的风险,确定公司层面控制风险; (2)公司层面风险分析 在较大范围和较高的层面识别具有全局性的、统领性的重要风险,以确定影响公司目标实现的重要管理领域,再考虑与重要管理领域的关联性等风险因素,分析确定与重要领域相对应的重要业务单位(基层单位),确定审计范围。若重要管理领域不涉及基层单位的,人力资源政策等由公司层面直接管理和控制,则分析这些仅涉及公司层面的风险控制,确定公司层面关键控制。 (3)业务层面风险分析。 对确定的重要业务单位中的重要业务流程,进一步进行风险分析,确定本业务流程中的重要风险,最终确定业务流程中的关键控制。 (4)信息层面风险分析。 针对重要财务系统中容易出现财务风险的关键权限,以及关键岗位通过相应的手段进行审计,以确定其业务流程中的关键控制。 三、审计内容按照COSO内控五要素作为评价基础 审计项目前期,对被审计单位进行纵向分析,确定重要管理领域、重要业务单位、重点审计内容,即关键控制;审计过程中,则将关键控制在横向上落脚于COSO内控五要素,即通过对控制环境、风险评估、控制活动、信息与沟通以及监督等内容的审查和测试,确保内部控制审计全面覆盖企业内控体系。从内容上既包含了控制环境等软要素控制,又包含了具体业务流程的控制;从控制层面上,涉及企业战略层在内的所有控制层级,覆盖全部重要业务单位和重要业务活动。通过风险分析等理论的应用,体现了风险管理的实质,使内部控制审计在理论和实践上都站在一个较高的起点上,推进其向风险管理审计发展。 四、推行相对固定的审计程序和管理模式,全面规范内部控制审计操作 大中型企业的内控审计项目,经常要分成多个审计小组,负责不同的基层单位或不同的管理领域,并分阶段完成。中石油通过细化审计方案,采用相对固定的审计程序模式,使不同的审计人员和审计小组完成的审计工作能够统一规范。如审前调查阶段和现场审计的初期,集中审计组的骨干力量集中完成目标、风险、控制分析,提前制作各种调查问卷、调查表、评价、打分标准等,对于具体审计内容,事先编写出相对固定的审计工作表,详细列明审计内容、审计方式、方法和步骤,现场审计时,再根据具体情况进行适当修改,以后同类或类似的审计项目,均可以借鉴使用。 五、综合运用各种审计技术和方法 内部控制审计一般方法包括询问、观察、检查和再执行以及由这些方法演变的方法,实际工作中往往是多种方法综合使用。 (一)公司层面内部控制审计常用的方法 公司层面涉及高管基调、人力政策、权责分配、人员机构等软要素控制较多,审计时常要与不同控制层面的人员进行访谈、发放调查问卷和调查表或知识技能考试等,了解公司的政策程序、管理基调和氛围,以便对控制基础环境做出趋势性判断,或为业务层面审计指出重点等。审计中按不同的控制层面和人员,区别使用以下方法(见表1): 表1:
(二)业务层面内部控制审计常用方法 1.设计层面内控审计较实用的方法为“跟单测试法”。该方法是对一项业务由始至终进行穿行测试,可以帮助审计人员尽快熟悉、理解业务流程,验证重要风险和设计的关键控制的完整性、合理性和有效性,查看业务流程中存在的重要风险是否被识别,相应的关键控制是否被确认并准确记录,是否制定了与控制实施相关制度以及控制是否被准确执行等。