内部控制审计目标程序与方法.doc
《内部控制审计目标程序与方法.doc》由会员分享,可在线阅读,更多相关《内部控制审计目标程序与方法.doc(34页珍藏版)》请在冰豆网上搜索。
内部控制审计:
目标、程序与方法
一、问题与培训目标
在开讲之前先做一个调查:
在座各位从事审计10年以上的请举手;从事审计5年以上的请举手;从事审计3年以上的请举手。
在准备这次培训讲稿时,我准备了一份审计技能状态评估表,请大家对照这张表评估一下自己的审计技能状态。
审计技能状态评估表
测试问题
技能状态
我是否有与我的从业年限相称的审计经验?
本问题是否定回答,表明你有审计经历却缺乏审计经验。
我是否有意识地建立了自己的审计经验库?
本问题是否定回答,表明你缺乏审计经验储备。
我是否对审计及其方法有一些独特的理解和心得?
本问题是否定回答,表明你缺乏审计思考。
我是否发现过一些引起关注的问题或提出过一些引起关注的建议?
本问题是否定回答,表明你缺乏实战审计能力。
我的工作底稿或审计报告是否经常获得肯定?
本问题是否定回答,你可能在文字表达能力和综合分析能力上有欠缺。
五个问题都肯定回答,表明你的审计技能较强
在做这次调查前,我预计在我们行的稽核系统,审计从业时间在在3年以上的人员不在少数,但我们的审计技能是否都很强了呢?
很难下肯定断论。
我以前从事过外部审计,现在从事内部审计,根据我的观察,不论是外部审计,还是内部审计,以下现象普遍存在:
一是很多人从事审计工作十数年、甚至数十年,却未必知道如何审计。
最突出的表现是分配给他的审计项目,其不知道从何着手。
比如检查授信业务的内控,给他一户客户资料,其翻阅一半天,却不知道看些什么。
这类人虽然从业时间较长,却很少揭示过什么风险问题,也很少提出过有价值的建议。
为什么出现这种情况呢?
我分析,一个重要原因是没有掌握审计基本方法。
审计教科书通常注重讲概念性的内容,对审计方法一般讲得较少,也讲得比较浅,审计的实战技能往往来自于审计实践。
但很多审计从业人员不太注意总结经验、归纳经验。
在现场稽核检查时,他看见别人在翻资料,也跟着翻资料。
但他很少思考这样的问题:
为什么翻资料?
如何翻资料?
这些问题他昨天没思考过,今天没思考过,将来也不准备思考。
结果从事了一辈子审计,自以为是资深审计人士了,甚至都带徒弟了,却还没弄清楚如何着手检查。
最后,徒弟发现这个师傅是个水货,是混日子混过来的。
我把这种人称为有从业经历却没有从业经验的人。
他们不注重积累经验,没有为自己建立审计经验库,更不注重总结经验,没有建立自己的审计工具库或方法库。
二是有一类审计人员很敏锐,能够发现问题线索,却查不清楚问题。
我们审阅一些审计人员的底稿经常发现这样的现象:
审计人员在工作底稿上揭示了一个问题,检查的切入点找得很准,反映出他具有敏锐的洞察力。
但是你同时又会发现,他反映的这个问题要么要素不全,要么还存在许多疑问,需要进一步追踪。
如果把要素都补全,你还可能发现他原来在底稿上反映的问题与实际情况相比,出入较大,甚至存在重大错误。
比如,本来是骗贷,他在底稿上可能反映的是他项权利证书出借不规范。
我把这类人称为会发现问题不会查问题的人。
他们知道如何找方向之门,但进了门就迷路,不知道如何进一步深入。
究其原因,还是审计方法掌握不到位,导致问题查不清、查不透。
三是有一类审计人员会查不会写。
他发现了问题,也查清了问题,但他说不清楚或写不清楚问题。
很典型的现象是他在审计底稿或审计报告中反映问题,东扯一句,西扯一句。
根据他的描述很难把问题的实质面貌呈现出来。
出现这种情况,一方面与这些人的文字功底、表达能力不足有关,另一方面也与他们的认识偏见有关。
不论是外部审计,还是内部审计,我都经常碰到这样一种认识:
问题查清楚就行了,没有必要那么讲究文字。
在目前我们的工作中,还有一种类似情况,有些审计人员对审核人员说:
我们就负责检查,报告你们负责就行了。
在这些审计人员的潜意识中,问题查出来,自己的任务就算完成了,报告就是文字活,很简单。
这些同志其实不明白文字活的重要性:
问题揭示出来不是供自己欣赏的,而是要交给我们的服务对象看的,我们发现的问题是如何呈现给别人的呢?
靠的就是文字。
文字表达不清楚,读者所看到的是问题不清楚或者思路不清楚。
审计报告是审计检查的一部分,报告清楚了,才能说我们查清楚了。
不会写审计报告的审计人员,充其量只能算是一名初、中级审计人员。
从审计人员自我发展这个角度看,放弃报告,实质上放弃了自我提升的机会。
上述三种典型现象的存在,表明一些审计人员在认识上还有不足,在审计方法方面还需要提高。
今天,我们将“审计目标、程序与方法”列为讨论课题,目的就是共同交流经验,纠正我们在审计认识上的偏差,弥补在审计技能上的不足,进一步提高审计工作的成效。
二、方法论与主要内容
凡事都要先讲方法,再开始行动。
我们今天探讨“审计目标、程序与方法”这个课题,也有个方法论问题。
我采用的基本方法主要是:
从审计目标分析、审计对象特性分析出发,分析有哪些基本审计方法、如何运用这些方法。
为什么采用这种方法呢?
大家知道,一项审计活动包括审计主体、审计对象、审计目标、审计工具等四个基本要素。
审计就是审计人员依据一定的目标,采用一定的审计工具,检查、评价审计对象的活动。
在这四个要素中,审计人员是主体,审计对象是客体,审计目标是审计方向和归宿。
审计工具包括硬工具和软工具。
硬工具是计算机、纸张等器具;软工具则主要是指审计思路、程序与方法。
审计中使用什么样的工具与方法,主要决定于审计目标、审计对象和审计主体。
首先,工具必须与目标相适应。
俗话说,“杀鸡不用牛刀”、“莫用大炮打蚊子”,讲的就是“目标”与“工具”的匹配问题。
审计也一样。
要证明一笔贷款的抵押品是否真实存在,审计人员坐在办公室里翻阅贷款档案资料是证明不了的,因为他使用的方法不当。
其次,工具必须与对象的特性相适应。
本来是商务谈判,工作对象是合作伙伴,你带着一把冲锋枪上谈判桌恐怕就不合适;反之,本来是战场杀敌,工作对象是敌人,你带着商务谈判资料,准备凭巧舌取胜也不行。
审计也一样,比如查会计内控,一般不需要检查客户的财务状况,查授信内控,则经常要检查客户的财务实力,由于检查对象不同,所以选用的检查方法也不同。
最后,审计主体的能力和偏好也与工具相关。
审计人员不会用计算机,让他使用ACL进行检查就不太现实;审计人员不懂得穿行测试,他在检查中就不可能去使用穿行测试这种方法。
正是因为审计目标、审计对象和审计主体对审计工具与方法有决定性影响,所以,从目标、对象、主体出发,才能把握审计方法的本源和精髓。
不过,由于审计主体对审计工具的要求属于其自身的主观选择问题,而审计目标、审计对象对审计工具的要求是外在于审计人员的,因此我们今天主要从目标分析出发、从对象特性分析出发,来探讨审计方法。
按上述方法论,今天我们按次序探讨以下三项内容:
第一,内部控制审计具体目标与程序;第二,内部控制审计基本方法;第三,内部控制审计记录与报告。
做任何事情,有“三要”:
要有方向,即目标;要有迈向目标的路径,即程序或步骤;要有完成每一程序或步骤的手段,即方法。
很明显,我们今天探讨的内容就是围绕这“三要”来展开的。
在探讨这些问题时,我都会先提出问题,然后解答问题。
在我提出问题时,大家可以先初略思考一下,给这些问题一个简要答案。
等我讲完了,大家再做个对比,看看我的理解与你的理解有什么不同。
三、内部控制审计的具体目标与程序
内部控制审计的具体目标是什么?
我相信很多人的回答接近这样一个答案:
检查并评价内部控制的合法性、充分性、有效性和适宜性,以完善内部控制。
这个答案是教科书告诉我们的,没有错,是正确答案。
那么,在审计实践中,究竟采用什么样的尺度,来检查并评价内部控制的合法性、充分性、有效性及适宜性呢?
也就是内部控制审计的具体目标是什么呢?
在讨论方法论时,我们提出了一个观点:
了解审计,必须了解它的对象。
同理,探讨内部控制审计的目标,需要探讨内部控制的目标。
(一)内部控制的具体目标
内部控制的目标是什么?
熟悉内部控制一般知识及《商业银行内部控制指引》的人都知道,内部控制的目标主要有三个方面:
遵循性目标,即确保外部法令、内部规章得到遵循;营运性目标,即保证经营方针及目标的实现;可靠性目标,即信息真实、完整与及时。
我把这三个目标归结为一个目标:
防范和控制风险。
什么是风险?
风险是资产、资金遭受损失的可能性。
这就是说,内部控制是与企业的资产、资金相联系的,其具体目标是保障资产、资金(包括表内外资产、资金)的安全,免受损失。
[静的安全与动的安全特征]。
资产、资金的安全可分为静的安全和动的安全。
静的安全是指存量资产、资金处于持有状态时没有损失发生;动的安全是指资产、资金处于交易流转过程中时没有损失发生。
资产、资金处于“静的安全”状态,具备以下四个基本特征:
一是存在性——即其是客观存在的,既不会无中生有,也不会被人巧取豪夺;二是完整性——即其是完好的,没有遗漏、破损或技术性贬损;三是归属性——即从权利归属上看,其是属于资产、资金持有人的,“为我所有”;四是计价正确性,即资产、资金的金额是计算正确的。
资产、资金的“动的安全”,具备一个基本特征:
就是增值性或收益性,即资产、资金在流转过程中保值、增值。
[静的安全与动的安全的相对性]。
依据物理学及辨证法的观点,动与静是相对的。
我们将钞票放在金库里,他们处在静的状态,但外汇市场变化了,钞票可能贬值;把一批计算机放在仓库里,他们也处在静的状态,但技术进步了或者仓库进水了,计算机可能技术贬损或毁坏。
也就是说,相对外界变化,这些“静的”资产也是处在相对运动状态的。
因此,资产、资金的静的安全与动的安全,并没有绝对的界限。
我们只需从总体上把握一点:
资产、资金的安全特征主要有五个,即存在性、完整性、归属性、计价正确性和增值性。
内部控制的具体目标是什么呢?
是保障资产、资金的安全,具体而言,就是保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。
(二)内部控制目标与内部控制措施
我进入银行业后发现,金融业的内部控制体系是十分复杂的,控制措施很多。
根据我的观察与归纳,这些内部控制措施基本上都可归结为三类行为:
一是限制;二是牵制;三是管制。
[限制]。
限制是对主体资格、主体行为的约束,具体主要包括两个方面:
一是主体资格限制。
比如授信业务内控中,对借款人资格的限制(如财务状况要良好),对担保人资格的限制(不接受政府、公益组织的担保)。
又比如在会计业务内控中,要求会计从业人员必须符合一定资格条件。
二是行为限制,即规定行为主体能够做什么,不能做什么;应该怎样做,不应该怎样做。
比如规定不能办理代客理财业务、不能直接投资实体等。
又比如规定不得出租出借帐户,不得私自代客户保管重要单证,未经许可不得提前释放抵押物,非业务相关人员不得进入会计柜台等。
[牵制]。
牵制是一项业务或活动由两个或两个以上的人完成。
具体有两类情况:
一是不相容岗位分离。
这种情况下是通过前手与后手来制约经办人的行为,属于线性流程牵制;二是“四眼原则”,即完成一项活动要两个或两个以上的人同时在场,互相制约,属于并行作业牵制,比如金库钥匙不能由一人保管、双人入库等。
[管制]。
管制是指通过管理制约业务经办行为。
具体包括两种情况:
一是授权。
这种情况下,受权人可以办理某些事项,但有授权人进行制约;二是督查,即监督与检查。
比如,会计业务后督,专业部门检查,以及稽核监督等措施。
[内部控制目标与内部控制措施]。
不论是限制类内控措施,还是牵制类内控措施、管制类内控措施,都必须始终围绕一个核心,那就是内部控制目标。
所有这些内控措施的功用都在于保障资产、资金的存在性、完整性、归属性、计价正确性和增值性。
内部控制措施必须对应内部控制目标,否则就是冗余的。
比如,“金库钥匙双人保管”、“金库的墙壁不能直接临街”,其主要目标是保证资产的存在性(不容易被偷窃、被抢劫)。
我们可以将这种对应关系用例示如下。
内部控制措施
内部控制目标
存在性
完整性
归属性
计价正确性
增值性
1.金库钥匙双人保管
●
2.会计从业人员资格限制
●
●
●
●
●
3.不得由政府提供贷款担保
○
升级会员 