云南省图书馆机构用户,欢迎您!
上述模型中的“五个要素”就是COSO框架中的五个要素。所谓“两个层面”就是指内部控制自上而下分企业层面和业务层面。“八个节点”是指识别、评估、应对、措施、设计、运行、评价和改进。所谓“两大机制”:一是“识别→评估→应对→措施”的风险控制机制;二是“设计→运行→评价→改进”的自我完善机制。 这个分析模型对内部控制审计较为实用,至少可以为注册会计师内控审计实战提供以下支持:一是内控五要素在企业实现目标过程中所处的位置和作用;二是五要素之间的内在联系;三是内控审计的整体思路和切入点;四是内控各组节点及其内在的逻辑关系;五是为对内控做出有效或无效判断提供证据;六是寻找内控无效的原因;七是缺陷发生的节点及产生缺陷的原因;八是更好地为企业提供内控审计增值服务;九是合理利用审计资源提高审计效率。 (一)自我完善机制:设计→运行→评价→改进 过程方法应当是“设计→运行→评价→改进”的持续循环,系统在不断循环中得到自我完善。系统的自我完善机制比完善的系统更重要。 设计——在对实现目标过程中存在的不确定性进行评估的基础上,制定行动“计划”; 运行——按照计划开始“行动”,内部控制设计后,执行就成为关键环节; 评价——在执行中还应对设计和执行本身进行不断的“评价”,及时发现存在的不足,见微知著,总结经验教训; 改进——根据测试的结果,对系统进行持续“改进”,不断自我完善。 (二)风险控制机制:识别→评估→应对→措施 系统在实现目标过程中充满着不确定性,“识别→评估→反应→措施”是系统实现目标过程中的一种控制风险的方法和机制。 识别——既要“识别”风险,还要发现机会; 评估——“评估”风险大小,事件对目标实现的影响程度; 应对——根据风险大小做出适当的“反应”,包括:回避、预防、接受、转移等应对策略; 措施——有针对性地设计并执行适当的“控制活动”去对冲风险。 二、自上而下审计方法的解读 《企业内部控制审计指引》(以下简称“审计指引”)要求注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。笔者认为,自上而下的审计方法要求将企业内部控制系统作为一个有机的整体来对待,先看整体,再看部分;先看宏观,再看微观;先看全过程,再看某一个阶段。从系统与环境、系统与相关系统、系统内部结构的相互依赖、相互制约中,去揭示企业内部控制系统的特征和运行状况。 对业务层面控制的研究必须放在企业层面控制的整体中,从它和整体的各个部分的联系、制约中去加以研究。“审计指引”要求注册会计师在实施审计过程中将企业层面控制和业务层面控制的测试结合进行。注册会计师对一个企业内部控制系统的正确认识来自于从整体到部分,再从部分到整体的反复过程。 如何判断内部控制的有效性,是注册会计师实施内部控制审计的关键环节。“审计指引”将企业内部控制的有效性分为设计与运行的有效性。笔者认为,企业内部控制有效性审计可以通过综合分析该系统与环境、系统与相关系统、系统内部结构三个层面的关系,来判断系统设计和运行的有效性。有效的内部控制系统应当在这三个层面上达到有效性的统一。注册会计师在实施企业内部控制审计时要树立以下三个系统理念: 一是与时俱化——内控系统随环境变化而变化。内控是企业内部环境中的系统。环境始终对系统起主导性作用,内控系统总是主动适应环境的变化,系统需要为适应企业内部环境而不断调整其内部结构。运营风险源自于企业与环境的信息不对称。注册会计师不但要“了解你的客户”,还应“了解客户所在的环境”。内控系统要与企业的经营规模、业务范围、行业特点等相适应,内控活动要与可能的风险保持对称,其内部结构随企业内部环境的变化而变化。有效的内控系统应当与企业战略目标保持一致,在企业实现战略目标过程中发挥积极作用。 二是整体有效——企业内控的有效性应当是整体有效。内控的内在结构决定着系统整体的功能和有效性。内控的各部分有效,整体不一定就有效,结构合理才是一个有效的内控系统。内控系统的有效性不是其组成部分的简单相加,而应当是1+1>2,即整体大于部分之和。有效的内控系统应当具有合理、有序、简洁和高效的内部结构。各内控子系统缺陷的组合所导致偏离控制目标的程度,是判别内控整体有效性的重要标准。
