内部控制
发展战略内部控制审计实务(下)
来源:财会信报 添加日期:2014年06月18日
(一)调查了解
调查了解,就是调查了解组织架构内部控制设计和运行的基本情况,这是对组织架构内部控制审计实施阶段的首要环节。组织架构调查工作是在内部控制审计总体工作的准备阶段的基础上进行的,涉及的具体内容很多,因单位的不同而不同。对组织架构内部控制调查了解的方法主要有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,经常综合运用。实际审计工作中,为提高组织架构内部控制审计效率,调查了解工作应同组织架构现场测试工作一并进行,不宜为满足调查而流于形式。
这里需要特别说明的是,在具体进行组织架构内部控制审计时,对企业组织架构业务管理情况调查了解是必要的,但还需要对企业组织架构内部控制设计和运行的过程和结果的有效性进行适当的调查了解。调查了解的内容主要应包括组织架构设计内部控制情况、组织架构执行内部控制情况和组织架构改进内部控制情况。
了解组织结构设计内部控制情况应调查的内容包括:(1)企业是否根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序。(2)企业是否确保决策、执行和监督相互分离,形成制衡。(3)董事会是否对股东会负责,依法行使企业的经营决策权。(4)是否按照股东会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序。(5)监事会是否对股东会负责,监督企业董事、经理和其他高级管理人员依法履行职责。(6)经理层是否对董事会负责,主持企业的生产经营管理工作。(7)经理和其他高级管理人员的职责分工是否明确。(8)董事会、监事会和经理层的产生程序是否合法合规。(9)董事会、监事会和经理层的人员构成、知识结构、能力素质是否满足履行职责的要求。(10)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,是否按照规定的权限和程序实行集体决策审批或者联签制度。(11)任何个人是否单独进行决策或者擅自改变集体决策意见。(12)重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准是否由企业自行确定。(13)企业是否按照科学、精简、高效、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构。(14)企业是否明确各机构的职责权限,避免业务重复或职能交叉、缺少或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。(15)企业是否对各机构的职能进行科学合理的分解。(16)企业是否确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。(17)企业在确定职权和岗位分工过程中,是否体现不相容职务相互分离的要求。(18)不相容职务是否包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。(19)企业是否制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件。
了解组织结构执行内部控制情况应调查的内容包括:(1)企业是否根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理。(2)企业是否确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。(3)企业梳理治理结构,是否重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,是否关注董事会、监事会和经理层的运行效果。(4)治理结构存在问题的,是否采取有效措施加以改进。(5)企业梳理内部机构设置,是否重点关注内部机构设置的合理性和运行的高效性等。(6)内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,是否及时解决。(7)企业拥有子公司的,是否建立科学的投资管控制度,是否通过合法有效的形式履行出资人职责、维护出资人权益。(8)企业是否重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
了解组织架构改进内部控制情况应调查的内容包括:(1)企业是否定期对组织架构设计与运行的效率和效果进行全面评估。(2)企业发现组织架构设计与运行中存在缺陷的,是否进行优化调整。(3)企业组织架构调整是否充分听取董事、监事、高级管理人员和其他员工的意见。(4)企业组织架构调整是否按照规定的权限和程序进行决策审批。
(二)初步评价
对组织架构内部控制初步评价,就是通过问题调查表和初步评价表对组织架构内部控制进行初步评价,可以结合调查了解程序一起进行,也可独立进行初步程序。
(三)风险评估
按照风险导向审计理论,审计人员进行组织架构内部控制审计应当以风险评估为基础,选择拟测试的控制,确定测试所需要收集的证据。组织架构风险评估,就是识别、分析、评价组织架构方面的风险。组织架构风险评估是项非常专业的工作,审计人员可以对被审计单位组织架构进行风险评估,但工作量巨大,现实的做法是用统计抽样的方法抽查组织架构风险评估结果的有效性。这里需要说明的是,审计人员进行的风险评估与内部控制构建和实施过程中进行风险评估目的不同,审计人员进行风险评估主要是为了确定审计重点范围。
从实践工作中来看,组织架构风险应识别和描述: (1)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。(2)内部机构设计不科学 ,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
(四)控制测试
一般认为,控制测试主要是对控制运行的测试,审计程序包括运行有效性汇总、运行有效性评价(和设计评价表要求不一致)、关键控制点测试。笔者认为,对内部控制设计的测试也是必要的,可结合运行的测试一并进行。
组织架构内部控制测试,就是审计人员现场测试组织架构内部控制设计和运行的有效性。对组织架构内部控制设计有效性测试时,审计人员应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。对组织架构内部控制运行有效性测试,审计人员应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行控制等程序。对组织架构内部控制控制测试,要重点关注设计合理的控制措施是否得到执行,内部控制运行是否有效。事实上,审计实践中,审计人员对组织架构内部控制设计有效性和运行有效性是一并进行测试的,测试重点是组织架构关键控制。
(五)评价缺陷
评价组织架构控制缺陷,就是对组织架构内部控制存在的设计和执行有效性方面的缺陷进行分析和评价。对已发现的组织架构内部控制重大缺陷,审计人员应当及时以书面形式与被审计单位进行沟通,核对测试结果和数据,确认组织架构内部控制缺陷事实,并在缺陷认定底稿上签章。
对认定的缺陷进行整改十分重要,组织架构审计机构要提出具体整改建议,并编制组织架构内部控制缺陷整改建议表。要求被审计单位根据组织架构整改情况编制整改建议反馈表也是必要的。
(六)审计评价
组织架构内部控制审计评价是组织架构内部控制审计工作的一个重要环节。组织架构内部控制审计评价的方法很多,其中评分法比较常用。组织架构内部控制审计评价一定要以审计的结果为事实,进行客观公正的评价。评价标准应以组织架构配套指引的规范为基本标准,结合企业实际情况确定。对具体控制点的分值和权重很少有明确的规定,只能根据审计人员的专业判断确定。不论是组织架构内部控制审计的评价标准,还是组织架构内部控制点的分值、权重,一定要在审计实施方案中确定,至少在一个企业内部要统一。如果是个集团公司,至少在整个集团内部要统一审计评价标准。这样会增加审计评价结果的可比性和有用性。
(七)形成意见
组织架构内部控制审计意见,就是对组织架构内部控制有效性的审计结论,是被审计单位内部控制审计意见的一部分。这项工作是在前面组织架构内部控制审计工作基础上进行的。
(完)