A实施内部审计业务.docx
《A实施内部审计业务.docx》由会员分享,可在线阅读,更多相关《A实施内部审计业务.docx(45页珍藏版)》请在冰豆网上搜索。
A实施内部审计业务
1.研究和采用适当的标准
1.1.IIA职业实务框架(如《道德规范》、《标准》、《实务公告》)
不同的国家有不同的法律和不同的习惯,不同的组织拥有不同的文化、不同的组织结构以及不同的规模。
这些差异对在不同环境下实施审计业务的内部审计师都会产生一定的影响,因此,要实现内部审计师的职责,有必要制定一些统一标准,供内部审计师遵守。
这些标准包括:
¡《内部审计实务标准》
¡《实务公告》
¡《职业道德规范》
¡其他相关标准
IIA职业实务框架是IIA为审计业务人员提供内部审计操作指南的职业规划,以应对不断扩大的对高质量内部审计服务的市场需求,具体包括《内部审计实务标准》(以下简称《标准》)、《实务公告》、《职业道德规范》。
《标准》与《职业道德规范》共同构成了职业实务框架的基础。
制定《标准》的目的是:
¡说明实施内部审计业务所应遵循的基本原则;
¡为实施各种增值型内部审计服务及扩大增值型内部审计服务范围提供基础;
¡建立衡量内部审计业绩的标准和依据;
¡促进组织经营与工作的改善。
《标准》由属性标准、工作标准和实施标准三部分构成。
¡属性标准主要说明实施内部审计活动的组织等有关方面的特点,重点内容包括内部审计章程、独立性和客观性;
¡工作标准阐述了内部审计工作的性质,并规定了评价内部审计活动的质量标准;
¡实施标准适用于各种特殊类型的业务,是为实施上述两类标准而制定的强制性操作指南。
IIA努力为每一种主要内部审计活动(包括保证业务和咨询业务)都制定一系列实施标准。
《标准》正在得到逐步完善。
IIA的内部审计标准委员会,作为具体负责《标准》颁布和发行的机构,依据全世界权威专家的建议来制定每项新标准。
职业实务框架在方方面面都将这样的理念融入其中,即内部审计真正是全球化的职业领域。
许多内部审计机构都将《标准》纳入其章程中。
《职业道德规范》是阐述内部审计师预期行为规范的行为准则,目的是促进内部审计职业领域的道德文化建设,适用于实施内部审计业务的所有个体及组织。
IIA根据以下四种基本职业准则来制定《职业道德规范》:
¡正直。
要求内部审计师建立信任感,作为他人依赖其职业判断的基础。
具体来说,内部审计师应该诚实、勤奋、有责任地工作;应该遵守法律并且揭示出法律和同业所期望公开的事项,不应该有意成为任何非法活动的参与者,或者参与有损内部审计职业声誉或组织利益的活动;应该重视并帮助实现组织建立的目标(这些目标符合法律及道德规范)。
¡客观。
在收集、评估和沟通有关被检查活动或程序的信息资料过程中,内部审计师要体现出高水平的职业客观性。
当作出职业判断时,内部审计师不要受到有关利益方或其他人的过多影响。
具体来说,内部审计师不应该参与可能影响或被推断影响其作出公正评价的任何活动,并牵涉到这类包括那些与组织利益有冲突的活动或关系当中;不应该接受可能影响或被推断影响其职业判断的任何事物;应该揭示他们所了解的所有重要事项(这些事项如果不被披露,会影响对检查活动的报告内容)。
¡保密。
内部审计师要充分考虑他们所收集信息的价值和所有权,除非法律或职业职责要求,否则不要XX就披露这些信息。
具体来说,内部审计师在履行职责过程中应该审慎地使用和保护信息资料;不应该为了个人利益使用这些信息,或者采用违背法律或有损组织合法目标的方法来使用这些信息。
¡能力。
内部审计师要具备提供内部审计服务所必要的知识、技能和经验。
具体来说,内部审计师应该只参与那些他们具备必要知识、技能和经验的服务活动;在实施内部审计活动时,应该遵守《标准》;应该不断提高他们的服务质量、服务效果和业务精通度。
《实务公告》是对《标准》的进一步阐述,是在具体审计业务环境中,为满足特定行业、特定审计活动的需要而对《标准》进行的详细说明,是国际内部审计协会认可的“最好实务活动”。
内部审计师协会提倡但不强制内部审计师在工作实践中必须实施《实务公告》。
1.2.其他职业的、法律的和法规的标准
除了《标准》、《实务公告》、《职业道德规范》,内部审计师还有责任了解和在工作中应用其他相关的法律和规定,包括:
¡RacketeerInfluencedandCorruptPracticesActof1970
¡1977年的《国外贿赂法案》
¡2002年的《萨班斯一奥克斯利法案》
¡COSO出版的《综合框架》
¡美国政府为政府审计制定的“黄皮书”
¡《中华人民共和国审计法》
¡中国《国家审计准则》,等等
1.2.1.SOX
¡法案名称:
SOX(Sarbanes-Oxley),又称《公众公司会计改革与投资者保护法案》
¡法案作用:
遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的
¡隶属机构:
美国国会众议院金融服务委员会
¡形成时间:
2002年7月30日,美国总统布什颁发
SOX法案目的在于促进企业责任感(302条款),完善内部控制(404条款),加强信息向公众的披露(409条款),提高财务报告和审计的质量及透明度,并对违反证券法律和其它法规的行为加大惩罚力度及加重其刑事责任(906条款)。
302条款主要是要求企业的高管签署对企业重要事情不存在遗留。
404条款要求企业管理层对企业必须建立一个有效的内控体系,并且对这个内控体系要进行评估。
1.2.2.COSO(TheCommitteeofSponsoringOrganizationoftheTreadwayCommission)
¡标准名称:
《内部控制-整体框架》
¡标准组织:
发起组织委员会COSO
¡隶属机构:
美国国会的反对虚假财务报告委员会(NCFR)
¡标准作用:
研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师,为SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议
¡形成时间:
形成于1985年,报告1992年发布
¡COSO报告:
1992年COSO委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(InternalControl-IntegratedFramework)报告,即通称的COSO报告。
COSO报告提出内部控制由五部分组成:
¡第一,控制环境。
它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。
控制环境影响员工的管理意识,是其他部分的基础。
¡第二,风险评估。
是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。
它随经济、行业、监管和经营条件而不断变化,需建立一套机来辨认和处理相应的风险制。
¡第三,控制活动。
是帮助执行管理指令的政策和程序。
它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
¡第四,信息和交流。
系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。
处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件活动状况的信息外部报告。
所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
¡第五,监控。
监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。
不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。
对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
1.2.3.COBIT(ControlObjectivesforInformationandrelatedTechnology)
¡标准名称:
《信息及相关技术的控制目标》
¡隶属机构:
美国IT治理研究院(ITGovernanceInstitute)开发与推广
¡标准作用:
信息、IT以及相关风险控制方面的国际公认标准,COBIT还被作为一种遵从SOX(Sarbanes-Oxley)法案的工具而广泛采用
¡最新版本:
《COBIT4.1》,COBIT第一版于1994年推出
COBIT的IT框架由四个部分组成:
¡规划和组织
¡获得和实施
¡交付和支持
¡监控和评估
在具体内部审计业务中,内部审计师有责任确定管理当局是否建立了适当的标准以衡量和评价组织目标(目的)的完成情况。
如果这些标准是适当的,内部审计师应该在评价过程中使用这些标准,并确定这些标准是否得到了贯彻执行。
如果这些标准是模糊不清的,是不适当的,内部审计师应该同管理当局一道制定一个合适的评价标准。
当内部审计师被要求去解释或选择一套经营评价标准时,应该努力与管理部门就这些标准达成一致意见。
内部审计师可以寻求或采用的标准包括:
工作指南、组织指示、预算、产品说明、行业惯例、内部控制的最低标准、公认会计准则、合同和著名的商业实务、以前年度制定的标准,等等。
如果内部审计师决定采用以前年度制定的标准,则需要对标准的适当性和适用性进行评估。
因为以前年度制定的标准,尽管可能曾经是令人满意和完善的绩效标准,但是随着环境的变化和时间的推移,很可能已经不适用于当前的组织目标。
2.在实施审计业务时,要保持防范潜在舞弊的意识
根据国际内部审计师协会的界定,舞弊是包含一系列以蓄意欺骗为特征的违规或违法行为,是由组织内部和外部人员为直接或间接谋取个人利益而实施的犯罪行为。
注意:
舞弊是有意识的;错误则是无意的。
2.1.舞弊审计的动因
¡一些非常规性交易和记录遗漏所发出的警告信号。
¡管理层期望通过实施内部审计能减少雇员舞弊的风险。
2.2.设计适当的审计业务步骤以应对重大的舞弊风险
根据《标准》,“内部审计师有责任通过审查和评价控制系统是否健全和有效,来揭露组织内各经营业务部门可能存在的风险和舞弊”。
阻止舞弊的措施包括预防舞弊的发生和在舞弊发生后将影响降低到最低,而内部控制制度是预防舞弊发生的第一道防线,也是发现舞弊的首要手段,因此,内部审计师在尽量减少舞弊对组织的影响方面发挥着重要的作用。
但应该注意,建立控制制度以及维护制度有效性的首要责任应该属于管理层。
内部审计师发现舞弊的责任包括:
(1)确认有关舞弊已经发生的征兆或迹象;
(2)确认允许舞弊发生的控制弱点;(3)评估舞弊征兆或迹象的充分性以决定是否实施舞弊调查。
2.3.采用审计测试以发现舞弊
为了发现舞弊,内部审计师需要具备充分的知识以关注和了解舞弊发生的信号或征兆,并且能够辨别各种舞弊类型以及评估舞弊发生的风险水平。
例如:
¡了解《标准》、《实务公告》及其他权威性法律资料中有关对舞弊的定义;
¡了解舞弊的征兆或信号(“红旗标志”);
2.3.1.红旗标志
2.3.1.1.什么是红旗标志法
“红旗”标志法,也称舞弊风险因素法,是寻找和分析舞弊信号的很重要的的方法。
该方法是以一整套文字表达的方式,指出在这种条件下舞弊发生率会比较高,而标志是在总结以往舞弊的基础上得出的。
管理舞弊方面的主要“红旗”
员工舞弊方面的主要“红旗”
¡被审计单位管理人员遭受异常压力或期望业绩;
¡资金短缺,影响营运周转;
¡未加解释的会计政策变更;
¡管理层的薪酬与经营成果挂钩;
¡会计人员或信息技术人员等变动频繁,或不具备胜任能力;
¡存在异常交易或大量的调账项目;
¡审计人员难以获取充分、适当的审计证据等。
¡主要有不法前科记录;
¡员工有大额负债或具有吸毒、赌博等不良嗜好;
¡由某人处理某项重要交易的全部业务;
¡会计信息系统失效或内部控制设计不合理等。
¡制造错误法。
该方法是指内部审计在实施舞弊审计时,制造真正的错误以观察其能否通过控制系统,据以评估控制系统的弱点和易受舞弊破坏的环节。
¡追溯复核法。
该方法主要是指复核会计估计以发现导致重大错报的舞弊偏差。
¡实施计算机舞弊审计法。
事前审计计算机系统;加强对信息系统内部控制的审计测试;聘请专家,开发辅助审计软件。
2.3.1.2.红旗标志法的评价
红旗标志法的实质是组织内的管理层在总结以往舞弊情况发生的基础上,整理归纳一整套舞弊发生的可能性最高的相关经验,并用文字将之展示出来,以警示他人注意舞弊发生的可能性以及发生的特征和基本情况。
当然,这种警示内容表现为组织内部控制系统薄弱的一些主要环节,它的完整性和准确性受“红旗”标志制作者的经验、专业知识,工作深度和广度等相关因素的影响,因而,“红旗”标志法在舞弊审计工作中的使用具有一定的局限性。
能够确认审计委托单位最可能发生的舞弊类型,同时能够评估该委托单位存在的舞弊风险。
2.3.2.《实务公告》1210.A2—1认定通常存在两种舞弊行为:
为组织谋利的舞弊行为,例如为了人为提升股票价格而编制虚假财务报告的行为;在损失组织利益的前提下,为组织内部或外部的个人谋利的舞弊行为,例如盗用公款。
员工舞弊的征兆
组织舞弊的征兆
¡超支采购或奢侈的生活方式;
¡无法解释的情绪波动或复杂行为;
¡承受压力过大;
¡具有使他们的盗窃行为合理化的能力;
¡能够利用内部控制的弱项以掩盖自己的舞弊行为;
¡不愿意请假或离开岗位;
¡在工作中,长期士气低下;
¡与卖主之间存在不正常的亲密关系或突然换掉一个长期卖主;
¡沉重的个人债务迹象。
¡分批采购;
¡遗失或破坏记录和文件;
¡太多的“取消”或“退款”现象;
¡财务经理和执行官频繁变动;
¡现金流失;
¡销售量和收入减少;
¡应付和应收账款增加;
¡不正常或重复的票据背书;
¡存货和销售成本增加;
¡经常对收入和支出重新分类;
¡没有完全解决暂记事项或解决不及时;
¡没有任何说明就注销暂记事项;
¡坏账增多;
¡账目在年底作重大调整;
¡长期未兑现支票;
¡大量的顾客投诉;
¡缺少附件的支出;
¡错误或不正确的会计记录;
¡以劣质货物作为替代品;
¡没有及时完成银行调节表;
¡有关利益冲突的谣言;
¡使用单方取得的合同;
¡不现实的业绩预测;
¡员工士气长期低下。
2.3.3.内部审计师应该能够辨别出催生舞弊发生的各种因素。
一般来说,容许或助长舞弊发生的因素包括:
¡无效的或松散的内部控制,例如:
缺乏适当的职责分离;对资产的接触缺少限制;由于缺少人手或人员不具备资格而无法实行既定的控制制度;缺少账实核对程序;未经适当授权履行交易合同;具有利用应用程序绕过控制的能力;使用未经测试的非正规供货商提供的软件,等等;
¡糟糕的管理理念;
¡糟糕的财务状况;
¡低水平的雇员行为准则;
¡道德规范的缺失;
¡新雇员背景调查的缺乏;
¡雇员后续支持性教育的缺乏;
¡其他因素,例如:
雇员流动频率很高,即将进行的公司合并,对主要雇员的过分信任,等等。
此外,内部审计师需要注意职员之间相互串通,流动资产的存在(例如现金、具有高流通性的商品等)也会助长舞弊的发生。
2.3.4.通常认为有三种情况可能会增加舞弊发生的可能性,它们是机会、动机和合理化。
2.3.4.1.机会:
¡制度是为适应特定情况而制定的。
但是,还是会存在出现错误的机会或者出现导致控制失败的情况。
¡无效控制制度或缺乏控制制度是增加舞弊发生机会的诱因。
例如,制定一套系统来保护资产,但是该系统缺少一项重要的控制环节。
任何了解这一缺陷的人都可以不费力气就可以得到他们想要的东西。
¡任何处于一定权力位置的人都会拥有规避已存在控制制度的机会;因为下属或较弱的控制可以帮助他们绕过这些规定。
2.3.4.2.动机(也被称为激励或压力):
¡当人们可以使其行为合理化时,就需要有一种动机促使他们这样做。
¡权威是最强烈的动机。
权威能够使人轻松获得家人或同伴的尊重。
例如,很多计算机迷实施计算机舞弊就是要显示其能力而不是有意要造成损失。
¡另外一种动机是要满足某种愿望,例如贪婪或成瘾。
¡第三种动机是压力,既可能来自于自身压力,又可能来自于外部压力。
2.3.4.3.合理化:
¡很多人自认为是个好人,即使他们偶然也会做坏事。
为了使自己确信自己依旧是个好人,他们往往努力使行为合理化或否认自己曾经做过的事。
¡有些人会做一些事情,这些事情是组织所不能接受的,然而符合其自身的文化要求或者是其以前雇主所接受的。
结果,这些人就不能遵守那些对他们来说不合理的规定。
¡有些人在生活中会遇到经济拮据,会沉迷于耗费很大的嗜好,或者面对其他压力。
所以,他们会自我安慰地想象:
他们只是借钱而已,当生活改善后,会返还这些钱的。
¡另外一些人会觉得偷窃公司的财物不是一件坏事,从而不会带有个人感情来看待这样的行为。
虽然内部审计师不可能了解导致舞弊发生的具体动机,但他们应该充分了解内部控制制度以辨别发生舞弊的机会有多大。
内部审计师还应该了解舞弊技巧和舞弊概要,能够意识到预示舞弊发生的征兆并且知道如何去阻止这些征兆的发生。
2.4.确定是否应对任何可疑的舞弊进行调查
内部审计师在实施审计过程中,应保持应有的职业审慎性。
即:
只要内部审计师接受并实施一项内部审计委托业务,就应考虑发生实质性违规或不守法行为的可能性。
因此,在计划实施审计阶段,内部审计师应该依据客户的经营宗旨、市场、文化、运营、职员和管理来确定最可能发生的舞弊风险。
在辨别出最可能发生的舞弊类型后,内部审计师要制定适当的业务步骤来确定控制制度是否适当、是否发挥作用阻止舞弊的发生、认定的舞弊行为是否正在发生。
为有效确认对某一特定客户来说的具体舞弊风险,要求内部审计师像犯罪分子一样地思考,即自我提问“如果我管理公司或在公司中工作,我会为了公司利益或者为了损害公司利益(为了个人)而努力实施什么样的舞弊行为?
如果我决定实施那样的舞弊行为,我将如何尽力保证获得最大的成功?
”
根据《实务公告》1210.A2,内部审计师要具有足够的能识别舞弊迹象发生的知识,但不应该期望内部审计师拥有的舞弊知识与专职负责发现和调查舞弊的人员所具备的知识一样丰富和娴熟。
同时,审计程序本身,即使是遵循了应有的职业审慎性,也不能保证一定会发现存在的舞弊问题。
内部审计师应该充分考虑成本与效益因素。
没有任何组织能够完全摆脱舞弊风险。
建立控制制度只是将舞弊风险降低到一个合理的最低水平。
在控制制度的建立成本与其产生的效果之间应该取得平衡。
例如,建立需要耗费100万资金的程序仅仅是为了减少铅笔丢失的风险是不符合成本效益原则的。
内部审计师通过检查和评估内部控制系统的适当性和有效性,来确定这些系统与组织中各个部门内存在的潜在风险范围是否相适应,能否阻止舞弊的发生。
为完成这一重要责任,内部审计师应该确定:
¡组织环境能否促进控制意识的增强;
¡组织是否建立了切实可行的目标;
¡是否制定了书面政策,对明令禁止的活动以及发现违法现象后所要采取的措施进行了说明;
¡是否建立和维护了适当的交易授权政策;
¡是否制定了有关政策、程序,编制了报告以及采取了其他手段来监督各种活动,保护资产,尤其是高风险区域的活动和资产;
¡沟通交流渠道能否为管理层提供充分可靠的信息来源;
¡是否需要提出有关建立和强化控制制度(符合成本效益原则)的建议。
如果内部审计师注意到某些舞弊已经发生的征兆或注意到控制弱点之后,应决定是否需要采取进一步的行动,例如扩展审计程序,扩大审计范围,或提出进行调查的建议,以确定是否有理由怀疑发生了舞弊,这些征兆可能来源于管理层已建立的控制系统的实施结果,也可能来源于内部审计师所实施的检查结果;既可能来源于组织内部,也可能来源于组织外部。
《实务公告》2100—6“电子商务活动的控制和审计实施”中列举了内部审计师在审计电子商务运营情况时应该关注的活动:
¡XX的资金往来;
¡重复支付资金;
¡拒绝签发或接收订单,拒绝接收货物或支付货款;
¡例外报告或程序,以及后续活动的有效性;
¡数字式签名:
是否用于所有交易事项?
谁授权的签名?
谁可以接触到这些签名?
¡病毒和黑客袭击防护(例如历史文件、工具的使用);
¡接触权:
是否定期进行检查?
在职员变动后是否及时修改?
¡XX的人员介入交易的历史记录。
如果内部审计师已经具有足够的证据怀疑存在舞弊行为,这时要通知组织内适当的权力机构。
内部审计师可以建议实施在此环境下被认为是必要的任何舞弊调查程序。
此后,内部审计师还应采取后续程序来检查内部审计职责是否得到履行。
《标准》不仅要求内部审计师在实施审计业务时,精通业务,保持职业审慎性,而且还明确管理层也要承担责任。
管理层不仅要负责在组织内部建立一种良好的道德氛围,制定适当的控制制度,而且还要授予审计师某些权限,否则审计师无法承担发现舞弊征兆的责任。
具体来说,内部审计师必须得到授权去:
¡检查和评论年度报告;
¡审计所有咨询合同(合同方面尤其容易出现多支付款项问题。
合同中应该包括审计权力的条款);
¡分析组织程序;
¡检查经理批准的交易事项;
¡获得接近董事活动委员会的权利;
¡检查与分支机构和关联组织的交易;
¡测试支持财务报告的文件;
¡监督组织文件保存政策的遵守情况;
¡询问管理层有关非法政治捐款的事;
¡检查费用账户;
内部审计师实施舞弊调查时,应该采用一些审计测试技术及方法,收集与被发现舞弊征兆相关的足够证据和材料。
一般来说,内部审计师通常采用分析性程序来发现舞弊征兆,包括趋势分析、比率分析和检查交易事项.
在得出审计调查结论后,要及时报告发现的问题、结论、建议和所应采取的纠正措施。
3.收集资料
内部审计工作包括以下四个步骤:
(1)计划审计业务;
(2)确认、分析、评价和记录审计信息;(3)沟通审计结果:
(4)根据IIA《实务公告》以及需要遵守的其他职业、法律或法规标准来监督整个审计过程。
因此,在具体审计业务中,内部审计师应该收集、分析、评价和记录足够的证据,以实现审计业务目标。
可以说,整个内部审计过程就是不断收集审计证据、鉴定审计证据、最终作出审计判断的过程。
收集审计证据来支持审计判断是内部审计工作的一个重要组成部分,是内部审计的核心工作。
审计证据是指内部审计师在审计过程中收集的,为审计结论和审计建议提供支持的信息。
按照来源和接触人,审计证据可以被分为内部证据、外部证据、内——外证据和外——内证据;按照特征,审计证据可以被分为实物证据、证明证据、文件证据和分析证据;按照说服力,审计证据可以被分为可充分信任证据、可部分信任证据和不可信任证据;按照法律概念,审计证据可以被分为直接证据、旁证、最优证据或首要证据、次要证据、意见证据、附属证据、确证证据和佐证证据。
3.1.按证据来源分类
¡内部证据:
由被审计单位产生、处理及保存的一些信息资料。
一般来说,其证明力要低于那些在形成或处理过程中有外部单位参与的证据。
现金日记账就是典型的内部证据,因为它首先由被审计单位记录而成,后又由被审计单位处理和保存。
¡内——外证据:
形成于被审计单位,但是经历了外部单位的经营活动过程并由这些单位进行处理后的一些信息资料。
一般来说,内——外证据的可靠性被认为要大于内部证据,但是,两者都始于被审计单位,所以都会受到被审计单位的制约。
典型的内——外证据是经银行核销的支票。
¡外——内证据:
形成于外部单位,然后由被审计单位处理或保存的一些信息资料。
这类证据因为是外部单位编制的,因而增强了证明力。
但是,由于它们有可能被被审计单位篡改或错误地使用,从
升级会员 