时间:2023-10-12 16:11:25
导语:在审计的基本流程的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】 政府审计; 审计载体; 审计取证; 审计取证模式; 审计主题
中图分类号:F239.44 文献标识码:A 文章编号:1004-5937(2015)22-0121-06
一、引言
获取审计证据是审计最核心的内容之一。审计取证模式是获取审计证据的思路,它决定审计结论的可靠程度,是审计效率效果的基础。每个国家的审计准则,都是以一定的审计取证模式为基础的,审计取证模式是审计准则的灵魂和主线。
关于审计取证模式有两个基本问题,一是审计取证模式的种类,二是审计取证模式的影响因素。对于上述两个基本问题都有一些相关研究。关于审计取证模式的种类,一般认为,有账项基础审计、制度基础审计、风险导向审计。事实上,这些审计取证模式主要是针对财务信息审计而言的,如果审计主题不是财务信息,则审计取证模式并非如此。关于审计取证模式的影响因素,一些文献认为,审计环境影响审计取证模式,但是,审计环境的内容太多,这种分析过于原则;另外一些文献认为,审计效率和审计风险影响审计取证模式,然相对而言,审计载体、审计主题对审计取证模式可能有更加基础性的影响。总体来说,现有文献对审计取证模式的两个基本问题还缺乏系统的研究,政府审计取证模式更是如此。
本文以审计载体、审计主题为基础,研究审计取证模式的类型及影响因素,构建审计取证模式的理论框架,并用我国政府审计取证模式来验证上述理论框架。
二、文献综述
根据本文的主题,相关的文献综合包括两部分内容,一是审计取证模式的种类,二是审计取证模式的影响因素。
关于审计取证模式的种类,莫茨、夏拉夫(1990)将获取审计证据具体的思维概括为五种主义:权威主义(以他人证言为基础获取证据),神秘主义(以灵感为基础获取证据),理性主义(以计算为基础获取证据),经验主义(以经验为基础获取证据),实用主义(以正确事实为基础获取证据)。不少文献认为,审计取证模式包括账项基础审计、制度基础审计、风险导向审计,有些文献将风险导向审计再区分为传统风险导向审计和现代风险导向审计(胡春元,2001;陈毓圭,2004;谢荣、吴建友,2004)。刘兵、王雅(2004)提出分析基础审计模式,认为账项基础审计、制度基础审计和风险导向审计是从“部分整体”收集证据的模式,分析基础模式是“整体部分整体”的取证模式,既可以提高审计工作效率,也能较好地保证审计质量。在政府审计领域,石爱中、孙俭(2005),董伯坤(2007)区分了手工背景下和信息化背景下的审计模式,认为手工背景下的审计模式包括账项基础审计和制度基础审计,信息化背景下的审计模式包括账套式审计和数据式审计。陈太辉、杨明月(2011)将审计的思维路径提炼为五个步骤:合理怀疑,发现问题,证实问题,力求达成共识和解决问题。
关于审计取证模式的影响因素,信息化背景和手工背景下的审计取证模式存在重大差异(王智玉,2011),正是由于审计客体的信息化水平不同,审计取证模式才区分为多种模式(石爱中、孙俭,2005;董伯坤,2007)。还有一些文献认为,审计效率和审计风险也是影响审计取证模式的重要因素,审计取证模式从账项基础审计发展到制度基础审计,进而发展到风险导向审计,是审计效率和审计风险共同作用的结果(谢志华,1997;胡春元,2001;赵保卿、任晨煜,2003;陈毓圭,2004;谢荣、吴建友,2004;谢志华,2008)。
上述文献对于我们理解政府审计取证模式有较大的启发。然而,审计取证模式还是缺乏一个清晰的分类框架,涉及的审计取证模式影响因素也未包括一些重要因素,所以,总体来说,关于政府审计取证模式还是缺乏系统的理论框架。
三、理论框架
(一)审计取证模式的总体框架
从技术逻辑来说,审计取证是通过系统的方法获取证据,以搞清楚审计事项的真实情况,而审计事项的真实情况本身是存在的,并不需要审计人进行再生产,所以,审计取证事实上是一个验证过程,即通过一定的方法对客观存在的事项进行验证,并记录验证的结果。审计取证既然是一个验证过程,则验证事项本身的信息存储方式就是验证方式选择的基础性因素,验证方式要依据信息存储方式来选择,信息存储方式不同,验证模式也不同。
一般来说,验证事项本身的信息存储方式首先可以区分为电子数据和非电子数据,很显然,这两种数据的验证方式存在差异。在此基础上,无论是电子数据,还是非电子数据,都区分为有支撑载体和无支撑载体两种情形。有支撑载体是指信息本身形成一个链,可以从高层级信息追踪到次层级信息,次层级信息可以支持高层级信息,通过次层级信息可以验证高层级信息。无支撑载体是指没有形成信息链,一些高层级信息缺乏次层级信息支持,无法通过次层级信息来验证高层级信息。很显然,这些差异会影响审计取证方式。
在有支撑载体的情形下,有些支撑载体有实物对应,可以通过测量实物来验证信息;而有些支撑载体则没有实物对应,无法通过测量实物来验证信息。很显然,这会影响审计取证方式。在无支撑载体的情形下,有些存在持续可靠的信息生产流程,如果流程可靠,则信息可靠也就有了相当的基础;有些并不存在持续可靠的信息生产流程,流程本身无法为信息质量提供保障。很显然,上述差异会影响审计取证方式。
此外,审计主题还会影响审计取证方式。审计主题是审计人员发表审计意见的特定事项,一般分为财务信息、非财务信息、特定行为、制度这四类,不同的审计主题在审计载体方面可能存在较大的差异,这些差异会影响审计取证模式。需要注意的是,无论何种审计主题,都会表现为一些信息,即使是特定行为和制度也会表现为一些信息,但是,对于这些主题的审计,其目的不是对这些信息本身是否真实发表意见,而是对这些信息反映的行为、制度是否合规合理发表意见,因此,不属于信息主题。所以,所有审计主题都有信息载体,审计主题是通过影响审计载体,进而影响审计取证方式,从根本上来说,需要以审计载体为依据来选择审计取证模式。
综合上述分析,总体来说,审计载体有四种情形:非实物载体、实物载体、有持续可靠流程、无持续可靠流程,不同审计载体情形下的审计取证模式分别命名为命题论证模式、专业测量模式、数据流程模式、数据分析模式,审计取证模式的逻辑框架如表1所示。
(二)命题论证模式
如果存在非实物支撑载体,审计事项相关的信息形成一个完整的链,通过次级信息可以验证高层级信息。在这种情形下,审计取证就如同命题证明。这些命题是有逻辑结构的,从总命题分解为次层级命题,次层级命题再分解为更次级的命题,围绕最基础的命题收集证据。如果这些基础性的命题得到证明,则其支撑的上层级命题就得到证明,每个层级都是如此,最终使总命题得到证明。这些总命题也就是审计目标,而这些次级命题也就是不同层级的具体审计目标。
命题论证的基本思路有两个逻辑步骤:一是从上到下的命题分解,也就是从审计目标开始,确定具体审计事项的具体审计目标;二是从下到上的命题证明,也就是围绕具体审计事项的具体审计目标收集证据。一般来说,从上到下的命题分解具有相对稳定性,而从下到上的命题证明则受到一些权变因素的影响,从而命题论证模式呈现多样化。
首先,具体审计事项是否要区分重点。如果不区分重点,则所有审计事项都同等对待;如果要区分审计重点,则需要有一定的方法来区分。很显然,区分重点会提高审计效率,但是可能会对一些审计事项投入的审计资源减少,或者是找错了审计重点,这些都可能增加审计风险。历史上的账项基础审计、制度基础审计、风险导向审计,都属于命题论证模式,其区别就是是否区分审计重点。账项基础审计对于所有的审计事项同等对待,不区分审计重点,制度基础审计以制度评估为基础来寻找审计重点,风险导向审计以风险评估为基础来寻找审计重点。
其次,是详细审计还是抽样审计。在命题论证模式下,每个具体审计事项都有具体审计目标,而每个具体审计事项都有若干个体,这些个体的集合形成该具体审计事项的总体。就该总体作出结论,有两种选择:一是对该总体的全部个体进行审计,这就是详细审计;二是从该总体中抽取样本,对样本实施审计,根据样本审计结果推断总体结论。很显然,抽样审计效率较高,但是,如果样本不能代表总体,则可能产生审计风险。所以,对详细审计和抽样审计的信赖程度不同,审计效率和审计风险也不同,账项基础审计基本上不信赖抽样审计,而制度基础审计、风险导向审计信赖抽样审计,只是二者的抽样方法存在差异。
最后,数据载体是电子数据还是非电子数据,会影响具体审计事项的命题论证。将具体审计事项区分重点的一个很重要原因是为了提高审计效率。然而,在电子数据下,计算机的数据处理能力使得信息查找和计算成为很容易实现的功能,所以,区分审计重点,对非重点审计事项减少审计资源投入的意义大为降低。同时,从详细审计发展到抽样审计的重要原因之一也是提高审计效率,但是,在电子数据下,由计算机实施详细审计并不是很麻烦的事,也不会给审计效率带来较大的负面影响。正是由于数据载体的上述影响,在电子数据下,全面审计、详细审计并不会影响审计效率,同时,有利于审计风险控制。所以,以全面审计、详细审计为特征的电子数据审计就形成了相对独立的审计取证模式。这种审计取证模式的逻辑步骤如下:一是从上到下的命题分解,也就是从审计目标开始,确定具体审计事项的具体审计目标;二是根据具体审计事项的具体审计目标构建审计分析模型,并用这些分析模型对数据进行分析,确定数据疑点;三是追踪疑点,确认疑点是否存在。很显然,上述步骤与手工背景下命题论证模式有重大区别,但是,还是命题论证取证模式。本文将手工背景下的命题论证模式称为命题论证模式(A),将信息化背景下的命题论证模式称为命题论证模式(B)。
根据上述分析,关于命题论证模式有如下结论:命题论证取证模式适用于有非实物支撑载体的情形,其基本思路有两个逻辑步骤,一是从上到下的命题分解,二是从下到上的命题证明。数据载体、审计效率、审计风险会影响从下到上的命题证明过程,从而使得这种证明过程呈现多样化,进而使得命题论证模式多样化。
(三)专业测量模式
如果存在实物支撑载体,审计事项相关的信息形成一个完整的链,基础层级的信息有实物对应,可通过测试实物来验证基础性信息,并通过基础性信息进而验证其支撑的高层级信息。其基本思路是实物测量,通过对实物进行测试来重新生产信息,通过重新生产的信息来验证原来的信息。由于提高审计效率和防范审计风险的考虑,专业测量模式也有两种类型,一是自行测量,二是委托测量。当审计机构具有某方面的专长时,可以自行测量,否则,要委托专业机构来完成,审计机构只是对这个过程进行适当的监督和确认。当然,任何测量专长都是可以建立的,例如,一些审计机关为了进行环境审计,建立了自己的环境监测机构,如果有足够的投入,这些机构完全可能具有较高的专业水平。现在的问题是,审计取证模式并不只是满足获取高质量审计证据的需要,而是要同时考虑提高审计效率、降低审计成本,只有二者兼得的审计取证模式才是好的审计取证模式。当然,对于审计机构来说,何种专业测试要外包、何种专业测量要自制,需要根据专业测量的业务量多少和资产专用性来考虑。如果专业测量业务量较多并且资产专用性程度高,则适宜采用自制测量模式,而其他情形下,一般要考虑外包测量模式。同时专业测量是测量实物,所以,一般来说,电子数据和非电子数据的不同,对专业测量模式并无显著影响。
根据上述分析,关于专业测量模式有如下结论:专业测量取证模式适用于有实物支撑载体的情形,其基本思路是通过对实物进行测试来重新生产信息,通过重新生产的信息来验证原来的信息,审计效率、审计风险导致自制测量模式、外包测量模式的出现。
(四)数据流程模式
当不存在支撑载体时,无法通过次级信息来验证高层级信息,此时,如果信息生产过程可靠,可以通过评估信息生产流程是否持续可靠来判断信息质量,数据流程模式就产生了。其基本思路是验证数据流程的持续可靠性,通过数据流程的持续可靠性来判断信息质量。由于手工生产的数据流程和信息化背景下的数据生产流程具有很大的差异,所以,验证电子数据生产流程和非电子数据生产流程的方法也存在很大的差异。
在手工数据生产流程下,审计取证过程一般包括风险评估和流程测试两个逻辑步骤。这里的风险是流程风险,也就是流程不能保障数据质量的可能性,一般可以分解为固有风险、控制设计和执行风险、控制运行效果风险(雷英和吴建友,2011)。流程测试是以风险评估为基础,对每个风险点的持续可靠性之测试。本文将手工背景下的这种模式称为数据流程模式(A)。在信息化数据生产流程下,既可以采用面向系统的方法,例如测试数据法、集成测试法、平行模拟法、程序跟踪法等,也可以采用信息系统评估技术,例如控制矩阵、风险矩阵、层次分析法等(陈伟、张金城,2008;刘汝焯,2008)。信息化背景下,究竟是采用面向系统的方法,还是采用信息系统评估技术,主要还是基于不同模式的风险和效率之考虑。本文将信息化背景下的各种模式称为数据流程模式(B)。
根据上述分析,关于数据流程模式有如下结论:数据流程模式通过评估信息生产流程是否持续可靠来判断信息质量,由于手工生产的数据流程和信息化背景下的数据生产流程具有很大的差异,数据载体、审计效率、审计风险导致数据流程模式的多样化。
(五)数据分析模式
当不存在支撑载体,并且信息生产流程本身无法保证信息质量时,取证思路就改为从数据之间的逻辑关系来判断数据质量,这就是数据分析模式。数据分析模式的逻辑步骤包括两个阶段:一是数据分析找疑点,主要是通过将审计目标确定到具体审计事项,根据具体审计目标构建数据分析模式,并根据数据分析模式来寻找疑点;二是核实疑点,也就是针对疑点使用各种审计取证程序来核实疑点是否真的就是对审计标准的偏离。
一般来说,判断数据之间逻辑关系的分析方法有多种,主要的方法包括:重新计算、数据质量评估、数据关联等多维数据分析、数据挖掘、探索性因子分析、文本挖掘等,这些方法从不同的角度来判断信息是否存在逻辑矛盾。一方面,数据本身的特征会影响数据分析方法的选择,例如,定性数据和定量数据的分析方法可能不同;另一方面,电子数据和非电子数据的分析方法也可能存在较大差异,非电子数据可能限制了许多数据分析方法的采用。本文将非电子数据下的数据分析模式称为数据分析模式(A),电子数据下的数据分析模式称为数据分析模式(B)。当然,不同的数据分析方法会有不同的效率,也会有不同的成本。
根据上述分析,关于数据分析模式有如下结论:数据分析模式通过数据之间的逻辑关系来判断数据质量,逻辑步骤包括数据分析找疑点和核实疑点两个步骤,数据载体、审计效率、审计风险导致数据分析模式的多样化。
(六)几个相关问题
1.审计取证模式的交叉适用
根据本文前面的分析,命题论证模式、专业测量模式、数据流程模式、数据分析模式是四种不同的审计取证模式。命题论证模式适用于信息存在纸质或电子数据载体;专业测量模式适用于信息存在实物支撑载体;当不存在支撑载体时,如果信息生产过程持续可靠,则采用数据流程模式;当不存在支撑载体,并且信息生产流程本身无法保证信息质量时,则采用数据分析模式。这四种模式之间是否真的存在不可跨越的界限呢?显然不是。不存在支撑载体的两种取证模式,显然也可以用于存在纸质或电子数据载体时的审计取证。当存在纸质或电子数据载体时,数据流程模式和数据分析模式都可以采用。由于数据流程不一定持续可靠,所以,其应用范围受到一定的限制,而数据分析模式几乎没有应用条件,在任何情形下都可以采用,只是由于审计效率、审计成本、审计风险的影响,使得不同的审计取证模式具有不同的适用性。不同审计载体的审计取证模式如表2所示。
2.数据分析模式的适用范围
表2显示,数据分析模式具有广泛的适用性。然而,这是未考虑审计意见类型,如果考虑审计意见类型,则这些审计取证模式的适用范围会缩小,其原因是不同取证模式获取的审计证据有不同的充分性。审计证据的充分性是对审计证据数量的衡量,指审计证据在数量上足够多,如果是抽样审计,则样本量已经足够代表总体。在命题论证模式、专业测量模式、数据流程模式下,要么对全部个体实施详细审计,要么对能代表总体的样本实施审计,根据样本推断总体状况。在这些情形下,审计证据具有充分性,能够对总体发表审计意见,所以,这些取证模式下,能够发表合理保证审计意见。数据分析模式则不同,通过数据分析找疑点,如果找到的疑点所组成的样本并不能代表总体(一般情形下都是如此),则无法通过已经核实的疑点对总体发表意见,只能就已经核实的疑点发表审计意见,这就是有限保证审计意见,相当于只能就已经发现的事实发表意见,这种取证模式也称为事实发现型取证模式。所以,虽然数据分析模式具有广泛的适用性,但是,这种取证模式获取的审计证据只能支持有限保证审计意见,如果需要发表合理保证审计意见,则不宜采用这种取证模式(郑石桥,2015)。
3.审计主题对审计取证模式的影响
一般来说,所有审计主题都有信息载体,审计主题通过影响审计载体进而影响审计取证方式。然而,不同的审计主题,其审计载体具有某种规律性,从而使得审计主题与审计取证模式之间形成规律性的联系。一般来说,财务信息具有非实物载体,并且要求发表合理保证审计意见,所以,命题论证是主流取证模式;非财务信息的情形较为复杂,审计载体可能出现各种类型,而审计意见类型也可能包括合理保证和有限保证两种情形,所以,四种取证模式都可能采用;特定行为一般难以形成非实物载体的系统信息载体,多数情形下是无持续可靠流程这种类型,所以,数据分析模式采用较多,当然,也难以发表合理保证审计意见;制度的相关信息可能类似于非财务信息,四种取证模式都可能采用。审计主题和审计取证模式之间的关联,归纳起来如表3所示。
四、我国政府审计取证模式分析
以上分析了审计取证模式的类型及影响因素,在具体内容中并没有区分不同审计主体,然而,从现实生活来说,民间审计主要是从事财务信息主题和制度主题审计,只有政府审计的审计业务类型才可能包括财务信息、非财务信息、特定行为、制度这四种类型,所以,从这个意义上来说,本文所讨论的审计取证模式是以政府审计为主的。下面用前文提出的审计取证模式理论框架来分析我国政府审计取证模式,以一定程度上验证这个框架。
根据《中国审计年鉴》“全国审计机关分行业审计(调查)情况表”,我国政府审计的主要业务类型包括预算执行审计、财政决算审计、专项资金审计、固定资产投资审计、金融审计、企业审计、经济责任审计,本文分别分析各类审计的取证模式。
预算执行审计主要关注预算行为是否合规合理,并且以预算违规行为为切入点,关注相关预算制度所存在的缺陷,所以,从审计主题来说,预算执行审计是以特定行为为主,一定程度上涉及预算制度。在这种审计主题选题下,如果相关的审计载体不清晰,数据分析模式就会成为主流的审计取证模式。也正是因为采用这种事实发现型取证模式,无法对预算执行行为发表合理保证审计意见,只能就已经发现的事实来发表有限保证审计意见。
财政决算审计应该主要关注财政决算是否真实,其审计主题是财务信息,并且存在非实物载体组成的信息链,可以采用命题论证模式,发表合理保证审计意见。但是,由于我国的财政决算审计主要是上级审下级,一般情形下,上级很少对下级的财政决算进行全面审计,主要是关注上下级之间的财政往来和清算事项,所以,这种局部的审计也不支持对决算报表整体发表意见,其审计取证也不一定采用命题论证模式。
专项资金审计主要关注专项资金收支行为是否合规合理,并且以违规行为为切入点,关注相关专项资金制度所存在的缺陷,所以,从审计主题来说,专项资金审计是特定行为为主,一定程度上涉及专项资金制度。在这种审计主题选题下,如果相关的审计载体不清晰,数据分析模式就会成为主流的审计取证模式。也正是因为采用这种事实发现型取证模式,无法对专项资金收支行为整体发表合理保证审计意见,只能就已经发现的事实来发表有限保证审计意见。
固定资产投资审计与其他类型审计一个重要区别是关注工程预决数据的真实性,并且,由于工程实体可以测量,所以,专业测量模式得到广泛的应用。
金融审计主要关注金融机构的行为是否合规合理,并且以违规行为为切入点,关注相关金融制度所存在的缺陷,所以,从审计主题来说,金融审计是特定行为为主,一定程度上涉及金融制度。在这种审计主题选题下,如果相关的审计载体不清晰,数据分析模式就会成为主流的审计取证模式。也正是因为采用这种事实发现型取证模式,无法对金融机构的行为整体发表合理保证审计意见,只能就已经发现的事实来发表有限保证审计意见。企业审计与金融审计类似。
从理论上来说,要全面鉴证、评价领导干部的经济责任,经济责任审计应该关注财务信息、非财务信息、特定行为和制度,但是,从现实来看,不少审计机关并不鉴证财务信息、非财务信息的真实性,主要关注领导干部及其领导的单位在行为方面是否合规合理,并一定程度上关注相关的制度。所以,经济责任审计实施的主题主要是特定行为,兼有一定的制度。在这种审计主题选题下,如果相关的审计载体不清晰,数据分析模式就会成为主流的审计取证模式。
五、结论和启示
审计取证模式是获取审计证据的思路,关于审计取证模式有两个基本问题,一是审计取证模式的种类,二是审计取证模式的影响因素。本文以审计载体、审计主题为基础,研究审计取证模式的类型及影响因素,构建审计取证模式的理论框架。
审计载体是影响审计取证模式的基础性因素,在此基础上,审计效率、审计风险影响审计取证模式。总体来说,审计取证模式有四种:命题论证模式、专业测量模式、数据流程模式、数据分析模式。命题论证取证模式适用于有非支撑载体的情形,其基本思路有两个逻辑步骤,一是从上到下的命题分解,二是从下到上的命题证明。数据载体、审计效率、审计风险会影响从下到上的命题证明过程,从而使得这种证明过程多样化,进而使得命题论证模式多样化。专业测量取证模式适用于有实物支撑载体的情形,其基本思路是通过对实物进行测试来重新生产信息,通过重新生产的信息来验证原来的信息,审计效率、审计风险导致自制测量模式、外包测量模式的出现。数据流程模式通过评估信息生产流程是否持续可靠来判断信息质量,由于手工生产的数据流程和信息化背景下的数据生产流程具有很大的差异,数据载体、审计效率、审计风险导致数据流程模式的多样化。数据分析模式通过数据之间的逻辑关系来判断数据质量,逻辑步骤包括数据分析找疑点和核实疑点两个步骤,数据载体、审计效率、审计风险导致数据分析模式的多样化。
虽然不同审计取证模式各有其适用范围,但是,一些取证模式之间有一定的交叉适用。不存在支撑载体的两种取证模式,显然也可以用于存在纸质或电子数据载体时的审计取证。数据分析模式在任何情形下都可以采用。当然,审计意见类型会限制数据分析模式的适用范围,如果需要发表合理保证审计意见,则不宜采用这种取证模式。
审计主题会影响审计载体,进而影响审计取证方式。不同的审计主题,其审计载体具有某种规律性,从而使得审计主题与审计取证模式之间形成规律性的联系。
本文的结论告诉我们,审计取证模式并不是随意选择,必须信赖一定的前提来决策审计取证模式。审计载体是基础性条件,而审计意见类型是约束性条件,不能满足审计意见类型要求的取证模式是失败的模式,在此基础上,考虑审计效率和审计风险的要求。目前,我们的政府审计事业还处于发展之中,审计业务类型需要进一步清晰,审计主题需要进一步清晰,审计意见类型需要进一步清晰,满足这些条件后,审计取证模式才能清晰。而只有确定了清晰的审计取证模式,审计准则才有了灵魂和主线。
【参考文献】
[1] 罗伯特・K.莫茨,侯赛因・A.夏拉夫.审计理论结构[M].中国商业出版社,1990.
[2] 胡春元.风险基础审计[M].东北财经大学出版社,2001.
[3] 陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004(2):58-63.
[4] 谢荣,吴建友.现代风险导向审计理论研究与实务发展[J].会计研究,2004(4):47-51.
[5] 刘兵,王雅.分析基础审计取证模式的探讨[J].山东经济,2004(9):116-118.
[6] 石爱中,孙俭.初释数据式审计模式[J].审计研究,2005(4):3-6.
[7] 董伯坤.预算执行的数据式审计模式探索[J].审计研究,2007(6):16-20.
[8] 陈太辉,杨明月.审计取证的思维流程与思维要素研究[J].审计研究,2011(6):9-15.
[9] 王智玉.审计信息化与审计组织方式[J].审计研究,2011(4):39-42.
[10] 谢志华.论审计方法体系[J].审计研究,1997(5):9-13.
[11] 赵保卿,任晨煜.审计方法的历史演进及其动因[J].北京工商大学学报(社会科学版),2003(2):30-33.
[12] 谢志华.审计变迁的趋势:目标、主体和方法[J].审计研究,2008(5):21-24.
[13] 雷英,吴建友.内部控制审计风险模型研究[J].审计研究,2011(1):79-83.
[14] 陈伟,张金城.计算机辅助审计原理及应用[M].清华大学出版社,2008.
关键词:内部审计;商业银行
中图分类号:F239 文献识别码:A 文章编号:1001-828X(2017)013-0-01
一、通过规范组织架构、报告路线、内部审计章程保证审计的独立性
独立性是审计履职的核心要求。指引首次明确提出内部审计的独立性,并作为一项重要原则写入总则中。
1.规范了组织架构。内部审计基于受托责任,垂直管理体制的根本目的是为了保证审计组织上的独立性,只有组织上独立了,审计人员才可能做到职业精神和职业行为上的独立。指引在第二章“组织架构”中用单独的一条,强调了商业银行应建立独立垂直的内部审计体系,并对组织架构提出更高要求。
2.调整了审计报告路线。目前各家银行基本都成立了独立的内部审计部门,但存在多种报告路线。除部分大型银行内审部门向董事会负责并报告外,一些大型银行和多数股份制银行由行长或副行长分管内部审计部门,一定程度上影响了内部审计独立性的充分发挥。指引调整了报告路线,明确规定总审计师定期向董事会及其审计委员会和监事会报告工作,并通报高级管理层;内部审计部门向总审计师负责并报告工作,突显指引对内部审计工作独立性的重视。
3.明确要求制定内部审计章程。内部审计章程是公司治理文件,是明确内部审计关系的纲领性文件,是其他审计规范制定的依据和基础。制定内部审计章程,主要是解决内部审计最基本的问题,如审计目标、审计范围、审计的地位、职责、权限和报告路径等内容。以前各商业银行多是以管理办法等形式规定内部审计工作,尚未将内部审计章程提升到公司治理文件的层面。新指引明确规定商业银行应制定内部审计章程,且得到董事会的批准,并规定了内部审计章程应包括的内容。通过内部审计章程对内部审计事项进行明确授权,充分强调章程作为基础制度的地位和作用。
4.强调内部审计人员的专业能力和职业操守。独立性不仅体现在组织架构和报告路线上,更要成为审计人员的基本意识,体现为审计人员的工作态度和职业精神,并贯穿于审计工作的各个方面。审计人员要始终保持独立的精神状态,客观公正,不受干扰,独立地作出判断、表达意见。审计部门要为审计人员保持独立性,提供精神上的支持和组织上的保障,鼓励审计人员尽责尽能,履行好工作职责。
二、通过规范审计工作流程提升审计工作质量
审计质量是审计工作的生命线。规范的审计工作流程和胜任的审计人员是审计工作质量的根本保证。指引规范了审计项目流程、审计工作流程、审计人员的胜任标准等内容,对提升银行内部审计工作质量起到了重要的引导和约束作用。
1.明确了审计项目流程。审计工作主要以审计项目的形式开展,审计项目质量直接决定了审计工作的质量。指引明确商业银行的审计项目流程包括审计计划、审计方案、审计实施、审计报告、后续审计等环节,在每个环节,还提出了关键控制环节和一些质量控制的措施。
值得一提的是,本次修订将原“复议制度”修改为“异议解决机制”。内部审计部门与审计对象之间的异议,是暂时的分歧,由于二者的最终目标都是实现银行的战略目标,因此异议通过充分沟通是可以解决的。另外,由于内部审计部门出具的审计意见没有强制执行力,审计对象可以结合自身实际情况,按照成本效益原则决定是否采纳审计建议,因此并不存在复议的问题。这一修改,更加体现出监管机构充分考虑了内部审计部门不同于国家审计的内部特性,内部审计具有的是一种建议权,而非处罚权。
2.明确了审计工作流程。审计工作流程除涉及审计项目流程外,还涉及到内部审计章程授权、中长期审计规划和年度审计计划、结果后评价、考核与问责及质量评估等环节。指引通过明确工作流程,清晰界定了内部审计各相关方的职责。
3.明确了审计人员的胜任标准。指引规定,内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验,掌握银行业务的最新发展,并通过后续教育和职业实践等途径,学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。为审计人员及准备加入审计条线的人员,明确了努力方向和标准。
三、通过与国际接轨、差别化管理提升监管的科学性
指引通过充分借鉴国际前沿的内审理论、参考国际同业的实践经验,并充分考虑机构特点的差异性,对审计目标、审计职责、处罚建议权等进行了调整,并在计频率、审计人员的准入等方面,不作刚性规定,以避免因监管政策“一刀切”而脱离实际,提高规范的可操作性和实际执行效果,切实提升了监管的科学性。
1.调整了审计职责,纠正了审计履职定位偏差。在实际操作过程中,银行内审部门往往局限于财务、合规和分支机构负责人离任审计,对于公司治理、内部控制、风险管理及业务流程有效性等重大事项的审计职能发挥不够充分。这种现象在大中小各类银行均较为普遍。因此,指引中,从内部审计的定义、审计目标,到内部审计章程的内容,再到审计事项,都强调对公司治理、内部控制、风险管理及业务流程有效性的审计职责。
【关键词】 战略导向;内部审计;绩效评价
随着经济全球化和一体化趋势的加强,企业经营环境迅速发生变化,企业经营面临着极大的不确定性,企业管理进入了以战略管理为主的时代。内部审计作为确保受托责任有效履行的内部控制机制,在组织中扮演着越来越重要的角色,企业管理重心的演变对其提出了新的要求和使命。基于内部审计传统角色而建立的内部审计绩效评价体系已经不能体现战略管理时代内部审计新的使命和角色,从而不能有效地引导内部审计部门的工作与组织的整体战略一致化。
一、战略审计对绩效评价的挑战
内部审计从产生初期的财务审计阶段到现代战略审计阶段,经历了缓慢的发展历程。但是无论处于什么样的阶段,确保受托责任有效履行是内部审计工作永恒的主题。内部审计是确保内部受托责任有效履行的一种内部控制机制,它的不同发展阶段体现了企业管理重心的变化和管理者对企业中不同受托责任的关注。反之,企业管理重心的演变也决定了企业管理者对内部审计要求的改变。战略管理是现代企业管理的主流方式,战略是企业一切活动的行动指南,是企业长期稳定发展的核心轨迹,因此企业各方利益相关者主要关心企业战略管理过程中一系列受托责任是否得到了充分地履行,受托人是否站在企业战略的高度为委托人谋求利益。这些变化对内部审计提出了新的要求。内部审计必须立足于企业战略,对战略管理的各个环节受托责任的履行进行管理控制。因而内部审计的职能范围不断拓展,以站在整个企业战略的角度,对薄弱环节提出改进建议,并运用自身的优势,结合企业经营环境改进现有的程序,为实现企业战略目标和价值增值提供服务。
IIA在其1999年对内部审计的定义中指出:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构运作效率。它采取系统化、规范化的方法来对风险管理、内部控制及治理程序进行评估和改善,从而帮助机构实现目标。这一定义将内部审计的对象由内部控制扩大到风险管理和公司治理领域,是内部审计职业界对企业管理重心转移作出的及时反应,内部审计被推向了企业战略管理的前沿和更高层次。外界因素的使然和内部条件的成熟,使内部审计逐渐进入了战略审计阶段。
根据Stanley Alan Farmer (2004)的观点,内部审计绩效评价体系必须符合以下三点:一是确保内部审计遵守职业准则;二是证明内部审计的价值;三是适应全球环境的变化。现有的基于内部审计传统角色和使命而建立的内部审计绩效评价体系已经不能体现新的使命和角色,不能有效评价和引导内部审计部门的工作,促进其战略与企业整体战略的统一。一方面,对于自身角色所发生的根本性改革和深远的变化,内部审计部门需要有一个衡量自身绩效的框架来引导努力的方向,以将有限的审计资源投入到最有价值的领域。另一方面,面对外部环境的重大变化,管理当局开始审视传统的组织管理模式,推动了流程再造等管理创新。在流程重组的过程中,许多低附加值、对企业核心能力和竞争优势的形成没有贡献,不创造价值增值的业务流程纷纷被取消。在流程再造的过程中内部审计是否得以生存和发展,取决于管理当局对内部审计价值贡献的判断。因此,在战略审计阶段,为了规范内部审计部门的工作,统一内部审计部门战略与企业整体战略,合理分配内部审计资源,完善内部审计激励机制,证明内部审计的价值,必须构建以企业战略为导向的内部审计绩效评价模型。
二、战略导向的内部审计绩效评价方法的比较与选择
选择适合现代内部审计部门的特征,能够体现内部审计对组织的价值贡献,并且能够有效提高内部审计人员积极性的绩效评价方法,必须遵循战略性原则、体现内部审计特征的原则、可操作性原则和成本效益原则。目标管理、关键绩效指标(KPI)和平衡记分卡是当前管理理论和实践中最为重要的三种绩效评价方法。它们在应用于以战略为基础的内部审计绩效评价时,各有其优劣之处。
目标管理是一种将企业的目标分解为员工目标的方法,作为一种先进的绩效管理方法,它有很多优点,但是在评价现代内部审计部门的绩效方面则有所欠缺,主要表现在:第一,目标管理在期初将组织目标分解为具体的个体目标,缺乏应变性。现代市场经济环境日趋复杂且多变,企业经营所面临的风险不断加大,因此,企业必须根据环境变化适时调整战略,内部审计也要基于企业的战略适时调整自身的目标;第二,目标管理注重结果,而忽略了过程;第三,目标管理注重短期目标。内部审计的工作所产生的业绩具有长期性,给企业带来的贡献是长远的。短期目标容易约束内部审计工作,非但不能发挥内部审计的作用,而且还会扭曲内部审计的职能。
关键绩效指标是一个系统化的绩效评价指标体系,它根据企业的内外部环境,提炼对企业战略目标有核心影响力的关键指标,再通过这些关键绩效指标的分解,形成部门核心战略目标和个体目标,有效传递了企业的价值导向,使部门和员工不仅知其然,而且知其所以然,从而实现部门的战略目标驱动企业整体战略目标的动态过程。关键绩效指标体系提供了一种管理的思路,但是在建立具体的绩效指标体系过程当中,并没有阐明具体的操作方法,以及如何分解企业的整体战略。特别是对内部审计这样特殊的部门,从哪些维度来分解企业的战略,指标如何设定等问题,具有很大的挑战性。
平衡计分卡为企业战略绩效指标体系的构建提供了切实可行的评价模型,并且克服了以往绩效评价的缺点,操作性强。它把企业战略的实施分解为四个方面来考核,即财务方面,客户方面,内部业务流程方面,学习和创新方面。平衡计分卡的四个方面从不同的侧重点综合了驱动企业战略目标实现的因素。平衡计分卡的优势还在于,它可以应用于业务单元和部门,使业务单元和部门的战略与组织整体战略保持一致,并且促进业务单元之间、部门之间的战略目标的充分协调。平衡计分卡作为有效的战略性绩效管理工具,已经被许多组织和部门广泛运用,但是在具体的操作过程中还存在一些实际的问题。其原因除了组织本身的因素以外,平衡计分卡也有不足之处:首先,平衡计分卡基本模型中的财务维度是对组织或部门的成本和收益的衡量,在应用于非盈利组织或部门绩效的衡量时存在一定的难度;其次,平衡计分卡提供了组织或部门绩效评价的基本模型,但是并没有详细阐述如何制定各个维度的指标体系;第三,平衡记分卡的战略分解是一种自上而下的过程,忽视了员工对绩效管理的参与作用,不能激发员工提高其绩效的积极性。
根据以上的分析,三种绩效评价方法都存在各自的优势以及不足。本文认为,根据新时期内部审计特征和每种绩效评价方法的特点,应以平衡计分卡模型为依据建立基于企业战略的内部审计绩效评价模型结构,以关键绩效指标(KPI)和目标管理为基本指导思想设计模型结构中每个维度的关键评价指标,从而建立基于企业战略的内部审计绩效评价指标体系。
三、内部审计绩效评价模型的建立与修正
平衡计分卡是一种聚焦战略的绩效管理方法,它包括源自组织使命和战略的财务和非财务绩效指标。它从四个方面来反映组织或部门的战略轨迹:财务方面,客户方面,内部业务过程方面,学习和创新方面。综合这四个方面的绩效指标能够有效的驱动组织或部门的战略。在现有的研究中,已经有人将平衡计分卡基本模型引入了内部审计部门的绩效评价,从内部审计部门的财务、客户、内部审计流程、内部审计学习和创新四个维度分别设计各个维度的绩效评价指标。内部审计平衡计分卡基本模型如图1所示。
平衡计分卡是战略性绩效评价的方法,是将企业或部门的战略规划化为战略行动的工具。但是Kaplan 和Norton 发明的平衡计分卡并不能完全适用于任何一个部门绩效评价。将平衡计分卡引入内部审计部门,必须结合内部审计部门的特征,才能真正的发挥平衡计分卡的作用。本文认为,内部审计部门财务维度指标并不能合理反映内部审计部门的绩效,因为:首先内部审计部门实质上是一个服务于其它部门的独立评价和咨询部门,它对企业产生的效益是通过其他多个部门的努力和配合而得以实现的,是间接的增值;第二,内部审计部门基于企业的战略,关心的不仅仅是企业当期的业绩,更关注企业的长远利益,因此,内部审计部门产生的效益具有长远性。财务指标反映的是直接、短期的业绩,不符合内部审计部门的特征;第三,内部审计很多时候扮演的是监督的角色,对受托者产生一定的威慑作用,这个威慑作用可以减少成本费用,提高生产率等,但是这些都是对企业隐性的价值增值,无法准确的度量;最后,内部审计贯穿于企业战略管理过程的始终,企业经营管理的每一个环节都留下了内部审计的足迹,如果计量内部审计在每一个环节所产生的绩效,这样不符合成本效益原则。所以,在将平衡计分卡模型引入内部审计部门时,必须对其加以修正。
内部审计提供的产品是服务,所以接受内部审计服务的客户是评价内部审计绩效的重要维度。内部审计在企业内部的报告对象,即服务的客户主要有审计委员会和高级管理层,外部的服务客户主要有外部审计师。所以本文把内部审计的客户维度分解为董事会/审计委员会,高级管理层和外部审计师,去除内部审计绩效评价的财务维度,保留内部审计流程以及学习与创新维度,建立了修正的内部审计平衡计分卡模型,如图2所示。
四、内部审计平衡计分卡绩效评价模型阐释
内部审计平衡计分卡模型为内部审计绩效评价体系的构建提供了基本框架,它以内部审计部门特征为依据,是对内部审计部门战略的分解,并告诉人们应该从哪些方面来考虑内部审计部门的绩效。
(一)董事会/审计委员会
战略审计阶段,内部审计在公司治理过程中扮演着重要的角色,对降低股东、董事会、高级管理层之间的信息不对称发挥着重要的作用。代表着股东利益的董事会及其下属审计委员会是内部审计的主要客户之一,他们需要内部审计提供关于高级管理层职责履行情况的信息。内部审计服务于董事会/审计委员会是完全站在股东利益立场上的,因此,内部审计在这一维度的目标是“我们如何贡献于股东?”
(二)高级管理层/被审计者
高级管理层既是内部审计的审计对象又是内部审计的服务对象。当内部审计受托于董事会/审计委员会的时候,高级管理层就是被审计者,当内部审计受托于高级管理层而对各个业务或职能部门进行监督并提出建设性意见的时候,高级管理层就是内部审计的委托人。这个维度是内部审计贡献于企业战略的重要方面,内部审计面临着如何在高级管理层面前扮演好这两个完全不同的角色,如何协调不同客户之间关系的问题。因此,这一维度内部审计的目标是:“为了实现企业价值增值的目的,我们在管理层/被审计者面前应当如何表现?”
(三)外部审计师
随着内部审计职能范围的不断拓展,层次不断提升,来自内部和外部的综合评价必将成为内部审计绩效评价的一个主要趋势。而选择外部审计作为内部审计绩效的外部评价者具有多方面的优势。首先他们有共同的理论基础。本文选择外部审计师作为外部评价者,因为外部审计是确保企业外部受托责任有效履行的基础,是构建良好公司治理框架的重要保障,而战略审计阶段内部审计的职能已经上升到公司治理的层次,对受托责任监督已经从企业内部延伸至企业外部。内部审计与外部审计有了共同的目标和新的合作领域,利用外部审计评价内部审计绩效更加合理和专业。其次,对上市公司而言,外部审计为了节省时间和费用,希望能够最大限度的利用内部审计的工作成果,通过对内部审计工作的评价来定夺对内部审计工作成果的利用程度;第三,外部审计师与内部审计师没有根本的利益冲突,所以外部审计师对内部审计的绩效评价更为客观、专业。在这个维度内部审计的目标是:“如何与外部审计师合作?
(四)内部审计流程
内部审计流程是内部审计服务质量的重要支撑,是内部审计绩效的“硬件”影响因素。如果没有先进的内部审计流程,内部审计的地位再高,独立性再强也不可能产生高的绩效。所以内部审计流程是内部审计绩效的基础,这个维度内部审计需要考虑的问题是:“我们必须怎么做才能贡献于企业的战略?”
(五)学习与创新
内部审计贡献于企业的战略管理,必须不断的学习和创新。企业所生存的环境千变万化,因此企业的战略也要随着环境的变化而不断调整,对内部审计的流程不断提出新的挑战。内部审计流程的革新离不开学习与创新。因此,学习与创新是内部审计绩效的深层驱动因素,是基础,没有创新和学习,就不能有先进的内部审计流程,没有先进的内部审计流程,就不能提供令人满意的内部审计服务,最终就不能促进企业的价值增值。所以,内部审计要贡献于企业动态的战略变化,就要考虑“如何持续提高竞争力并创造价值?”
【主要参考文献】
[1] 王光远. 受托管理责任与管理审计. 北京:中国时代经济出版社,2004.
[2] 赵红英. 对现代内部审计业绩评价模式的探讨. 经济研究导刊, 2006,(4).
[3] 韩晓梅. 江苏省内部审计实况调查与标杆比较. 审计研究. 2005,(3).
以“制度建设、队伍建设、知识库建设及环境创造”为主要内容的“三建一创”机制是我公司审计信息化深化应用的核心内容,该机制从人员、约束机制及软硬件资源方面进行建设,将信息化深化应用工作真正落到应用层面。制度建设把深化应用工作固定化、常态化;队伍建设及知识库建设使深化应用工作有了基本的资源;软、硬件环境创造则使审计信息化深化应用工作现实可行。
二、“三建一创”的主要做法
(一)专业管理工作的流程图(二)主要流程说明1.制度建设制度建设是“三建一创”机制的基础,制度是把推动深化应用工作的流程、做法进行固化处理,使工作更加标准化、常态化。(1)在ERP业务审计系统推广实施过程中制定了《ERP业务审计系统项目建设管理办法》,该办法对系统建设目标、组织保障体系、人员管理、工作现场管理、进度计划管理、沟通协调、风险管理、质量管理、文档管理、数据信息安全等十个方面进行了规定,通过对建设过程的标准化和管理,不仅保证项目高质量的部署实施,同时也规范了整个建设过程,确保系统成功上线。(2)印发的《ERP业务审计系统运行维护管理办法》对运维职责、工作规范及流程、安全管理、数据备份和应急管理等方面进行了规定,该办法规定了运行维护流程,提高了系统运行维护服务质量,确保审计系统有效满足安徽公司业务应用的需要。(3)印发的《审计工作考核评比办法(修订)》对应用ERP业务审计系统的应用进行考核,要求审计系统在审计项目中应用覆盖率100%。2.队伍建设队伍建设是深化应用的核心,审计人员是系统应用的主体,我们通过三个渠道提高审计人员熟练应用系统的水平。(1)建用并举让审计人员参与到系统建设过程,是熟悉系统的最好方法。在ERP业务审计系统研究开发过程中,公司选派了两名业务骨干参加了上级单位ERP业务审计系统研发全过程,既能把审计人员的业务需求充分体现到审计系统中,也有助充分熟悉了解审计系统。公司在ERP业务审计系统推广实施时,为充分应用这一机制,在公司系统抽调了十七位审计业务骨干作为关键用户参与到推广过程中,这些业务骨干是审计人员的代表,在系统建设过程中发挥了重要的作用,这部分关键用户经过两个多月的推广实施工作,都锻炼成了ERP业务审计的专家,他们不仅精通审计业务,同时也精通ERP专业知识。十七位关键用户来自十七个市公司,覆盖了全部市级公司,他们回到各自公司以后,起到了“传帮带”的作用,提高了所有审计人员的应用水平,推动了ERP业务审计的深化应用。(2)分层次培训针对不同对象,公司设计了不同的培训方案。先后进行了关键用户、最终用户和运维用户等多层次培训,形成了系统培训管理特色。对关键用户培训除EP系统基本知识外,同时辅以更多的SAP等知识培训,既让他们熟悉审计系统,同时也熟悉SAP系统。对关键用户的培训目标是“做两次学生,当一次老师”。在最终用户培训时,由关键用户进行讲解,因此对他们的要求更高。经过培训,关键用户已成为ERP业务审计系统深化应用人才核心支撑力量。对最终用户培训,属于普及性培训,培训目的就是使用审计系统实施审计目标,因此更注重提高审计人员的熟练操作水平。培训教材由实施顾问与关键用户共同编写,授课过程中充分结合了审计业务的特点,并加入了审计案例,使培训更切合实际,培训效果更好。培训结束进行了考试,考试合格率100%。对运维人员培训侧重于技术层面,由实施顾问负责授课,通过培训使运维人员掌握系统日常维护的基本流程及解决运行问题的能力。
三、知识库建设库
知识库建设库是系统深化应用的后备源泉,在系统建设及应用中不断总结经验、积累经验,是普及推广审计系统的主要方法。安徽公司通过实践,逐步建立起实用的知识库,为系统的广泛应用提供了一手直接资料,包括三个方面。(一)编制用户手册我们的ERP业务审计系统在全国各省公司没有规范、统一的操作手册,并且由于各单位在部署系统时存在不少差异,因此在操作上也存在一定差异,在系统上线后,我们立即组织实施顾问和关键用户,集中编写用户手册,用户手册不仅按业务流程对操作步骤详细注解,同时还把关键用户的经验及审计技巧也一并编入,该套手册随着审计系统应用不断深化,审计人员技术水平不断提高及软件版本的不断升级,将组织人员进行升级,将审计经验、技巧进行更新,不断融合实践经验。(二)开展示范项目,总结审计经验为更好的总结经验,提高审计人员实战能力,普及审计系统知识,通过开展ERP业务审计系统示范项目,组织全体关键用户参加审计项目,不断总结经验,提高审计人员实战能力。(三)建设查询模板通过示范项目及日常使用,我们将常用的ERP业务审计方法进行了模板处理,将查询方法、查询技巧编制成模板,模板简单明了,方便实用。
四、创造环境环境创造硬件环境
长期以来,在应用信息技术(IT)过程中,人们总是过多关注其中的技术(T),而缺少对其中的信息(I)给予足够的重视,然而,当人们欣喜地看到IT使会计信息的相关性得以加强之际,又更应当为会计信息的可靠性所受到的威胁深感担忧。为此,COSO的风险管理框架、SOX法案、CIBIT等一系列IT控制规范相继出台,而国际信息系统审计与控制协会(ISACA)的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18――信息系统》等规范文件的,强调信息化环境下的会计信息的安全性与可靠性,随后,财政部于2009年的《关于全面推进我国会计信息化工作的指导意见》中,提出未来5~10年会计信息化首要的工作目标,是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现,充分说明在构建会计信息化标准化体系之中,当务之急是建立会计信息的生产与传递严密的控制与审计标准体系,为此,笔者在梳理国内外信息审计基本理论的基础上,分析信息审计在会计系统中应用的必要性,进而提出会计系统应用信息审计的若干思考,以求这一工具与方法在我国会计系统中早日得以应用。
二、信息审计研究概述
对信息审计的研究,主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。
(一)信息审计的基本概念 目前,信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis(1993)首次将信息审计定义为:“审查已有的信息管理系统,找出问题,提供解决问题的备选方案”(任玉珍,2009),试图将信息审计与信息系统审计合二而一,以求寻找解决问题的方案。布彻南(Buchanan,1998)和吉伯(Gibb)则将信息审计界定为:“对组织信息资源和信息流进行发现、控制和评估,以实施、维护或改进组织的信息管理的过程”,这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那(Orna,2004)则将信息审计的对象拓展为人、文档和信息,并认为,信息审计是通过对一个组织中的人、文档等的查证,系统地检查信息产生、利用和流动的情况,进而确定其支持目标。英国信息管理协会(Aslib)拓展了信息审计的内容,指出它是参考组织的人员和已有文献,对组织的信息资源、信息流和信息需求等方面进行的系统检查,以确定其对组织目标的贡献程度。我国学者娄策勤和高策(2009)则结合当前新的信息环境和信息理论,将信息审计看作是一种管理工具,认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西(2005)也指出,信息审计是为了充分开发信息价值,通过对组织的信息流和信息资源的调查、评估,从而识别组织的信息需求,确定组织的信息环境,并制定相应政策的过程。
必须强调的是,信息审计中的“信息”是一个广义信息的概念,包括严格意义上的信息和数据两类。笔者认为,处于IT广泛应用的今天,信息与数据的细分必不可少,它对人们研究信息审计的对象、内容和范围至关重要,因此,笔者将对应于数据审计的信息审计称为狭义信息审计,以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。
(二)信息审计的基本目标 美国学者查菲(Chaffey)和伍德(Wood,2008)指出,信息审计是用来评价当前信息质量和管理行为的水平,即“是什么”的问题。它也可作为一种状态分析的工具,用以协助构建信息政策和评价信息战略的目标是否已经实现,将信息审计看成是信息质量与管理不可或缺的工具。赖茂生(2005)认为,信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发,指出用以记录网络上各计算机行为的信息审计,其目标有两个:一是可定期对各种网络行为进行采集、统计和分析等,发现存在的漏洞并及时修补;二是在发生安全事故后可以进行信息分析,找到事故原因,进而采取相应的措施。可见,信息审计的根本目标,主要在于提升信息质量,由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献,故而在当前情况下,信息审计所面对的必然是企业的IT系统(如ERP系统),基于IT视角可使人们进一步明确信息审计目标,并为企业IT环境确定信息审计的内容与范围。
(三)信息审计的主要内容 随着IT应用的深入,众多学者认为,不应把信息审计看成是一种选择,而是达到确定信息资源的价值、功能和用途,以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容,但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性,有些学者认为信息流审计不应归属于信息审计范畴之内(高策,2009)。笔者认为,处于IT应用的初始阶段,将信息流纳入信息审计的主要内容,对于企业的系统信息流程的标准化与规范化建设具有重要的意义。这是因为,信息流与企业组织流、业务流密切相关,面对网络环境,企业流程再造的本质就是实施三者的同步发展。而从企业ERP系统应用层面来看,信息资源、信息流与信息需求三者不能单独割裂开来,只有将信息流与信息需求、信息资源同步考察,才能对企业的信息管理水平加以客观地评价,并提出相应的改进意见。
信息审计对象应当涵盖信息图谱中的数据、信息和知识三个部分,但对我国企业而言,当前的数据审计与信息审计(狭义)首当其冲,只有这二者真正得以成功实施,并取得一定实效之后,知识审计才可望顺利进行,为此,笔者重点分析数据审计与信息审计(狭义)的具体内容。
从企业经营的业务内容看,信息审计的对象可细分为采购、生产、销售、会计等各子系统的数据审计与信息审计(狭义),这样才能根据各子系统的数据特点与具体内容,对各类信息资源、信息流和信息的使用提出针对性的信息管理评价意见。不难想象,那种既想获取企业信息审计的客观公正的评价意见,又不涉足各业务内容深入考察的做法,将难以实现审计目标。
三、信息审计在会计系统中的地位与作用
会计的价值并非来自于技术,而是取决于会计信息的质量,会计信息的增值首先是通过信息流的改善以降低资源的需求量,通过高质量信息的共享对决策提供支持。为此,采用信息审计以保证会计信息的高质量,也就使会计系统信息管理与控制新增了一道坚实的屏障。
(一)会计系统信息审计与财务报表审计并行不悖 财务报表审计的目标是对财务报表是否按照适用的会计准则和相关会计制度的规定编制,是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量两大方面发表审计意见,以提高财务报表的可信赖程度。而对会计系统而言,作为IT时代的必然产物的信息审计,其审计对象首先是以财务为主的信息资源,以确保该信息资源的价值、功能和用途,进而实施、维护或改进组织的信息管理的过程。虽然两者都有保证信息高质量的目标,但审计内容与审计方法却大相径庭。而从两种审计的审计对象看,虽然都是针对企业的信息资源,但信息审计的范围要宽泛得多,它不仅包括企业的货币、财务等定量信息,而且还包含企业的非货币、非财务等定性信息。财务报表审计必须对被审单位财务报表的会计准则和制度的遵行性,对财务状况、经营成果和现金流量的公允性发表审计意见。而信息审计则是从对企业信息资源、信息流程和信息需求等内容的价值、功能和用途加以评价,发表审计意见。前者注重企业核心信息的合规性,后者则注重企业信息管理质量的提升。从时空上来看,前者注重对所产生财务信息的结果进行评价,而后者则是对信息管理过程进行评价。尽管信息审计之初衷在于整个企业,但在我国首先在会计系统中加以施行,则是纲举目张之举。
(二)会计系统信息审计与信息系统审计异曲同工 企业信息化的实践证明,那种认为只要企业应用信息系统或相应的信息技术就能实现信息化、提高企业信息管理水平的认识有失偏颇,企业信息化建设中的根本因素是信息资源建设问题。目前普遍存在的企业信息资源存量绝对值不足、信息需求匹配度不高、信息资源利用率低、信息资源成本高收益低等弊端。因此,信息审计的当务之急,是要对企业财务信息资源进行控制和评估,以实施、维护或改进企业信息管理的水平。
尽管有学者将信息审计对象界定为信息管理系统,但近20年来信息审计的实践及诸多研究成果表明,审计信息管理系统的任务非信息系统审计莫属,信息审计尽管与信息系统审计有着千丝万缕的联系,但两者的审计目标、对象、范围、内容却有许多不同。Ron.Weber(1999)指出,信息系统审计的目标在于判断被审的信息系统是否能够保证信息资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程,它主要通过获取和评价所收集的证据来保证这一判断的客观公允性。信息系统是其审计对象,获取和评价所收集的证据是其手段与方法。而信息审计的审计对象是数据与信息(狭义),评价产生信息的被审系统则是其手段与方法。两者相辅相成、优势互补的同步,可以从不同途径保证会计系统和信息的高效与高质。
(三)会计系统信息审计与IT环境共生互动 自20世纪90年代初期以来,越来越多的企业流程已经将大型信息系统纳入其中。由于这一技术转变,数据和信息相对于产品的重要性正在凸显。目前很大一部分企业价值已经不在资产负债表之内,在使用大量知识和信息的领域,差异越发明显,以至于越来越多的人想抛弃已经接受的簿记原则(杰普.布勒姆等,2008)。可见,会计系统的信息资源与信息需求面临着重新确认等问题,而亨茨尔(Henczel,2001)所提出的,信息审计是通过识别组织的信息需求,从而有效地确定组织当前信息环境的过程,这一将识别信息需求作为信息审计的主要内容的观点,对重新认识会计系统的信息需求具有十分重要的意义。会计的发展取决于两个因素,一是环境的影响;二是用户对会计的信息需求,信息技术的飞速发展,促使会计系统与这一技术环境的共生和互动关系日趋明显,而经济全球化的竞争态势又驱使会计信息不能局限于眼前以财务为主的经济信息的支持。因此,会计系统面临着信息资源与信息需求的信息审计。
会计信息要力求增值,无疑应当对其数据与信息的采集、处理与生成的基本流程逐一进行分析和提炼,以便求得各流程、工序的精益求精。同时,由于目前大中型企业纷纷使用ERP系统,因而使会计子系统与其他子系统的数据联系越来越密切,而其会计子系统中的管理会计、内部审计等子系统与财务会计子系统的无缝连接越发凸显,为此,针对数以万计存储于企业数据仓库之中的信息资源文件重新进行梳理与管理势在必行。而从审计的角度看,IT环境需要IT治理和IT控制,这是因为这一环境所带来的系统、流程、技术等错综复杂的高风险局面,许多大公司由于难以应对这一高风险局面而陷入信息危机与信息犯罪的旋涡之中。作为信息安全保证的必备工具与方法手段,信息审计在当前会计系统的安全控制不足的状况下尤为必要。
四、信息审计在会计系统中应用的若干思考
尽管会计系统相对于企业其他子系统具有较为严格的信息生产程序、流程和规范,但面对与ERP系统诸多子系统的日益交融局面,会计子系统的数据与信息的管理产生许多问题,如缺少对信息的集中化管理,致使某些有用信息过于分散而难以被决策者获取与使用,又如信息过载使得信息用户难以腾出足够的时间从纷繁复杂的信息中选择其所需要的信息等。诚如信息审计专家H. Botha和J.A.Boon所指出的,需要对信息审计进行更多的研究,在实践中测试更多的方法,使信息专家能够开发出可以放心使用的可靠信息审计方法。笔者认为,当务之急是在对信息审计的必要性取得共识的基础上,探讨会计系统信息审计的主体与内容、审计方法、审计频率与审计重点等问题,以使信息审计在我国早日应用。
(一)会计系统信息审计的主体与内容 本质上说,企业信息审计是企业内部审计的一个有机组成部分,其规划、实施、完善的组织协调工作主要应由企业的内部审计机构为主体加以实施,在聘请外部专家参与信息审计的基础上,辅以企业内外部的相关审计人员来完善审计工作。但由于当前企业信息审计力量不足、缺乏专业胜任能力的人员,故应形成由企业内部审计人员与信息主管人员为主的专业团队。
如前所述,会计系统的信息审计包含会计数据审计与会计信息审计(狭义),从实务上看,前者的审计重点是会计数据的保护、采集、存储、记录和处理规范的管理,而后者的审计重点则是对会计系统所产出的财务报告和提供决策支持信息的管理。从理论研究内容上看,会计数据的审计应当研究会计数据的来源,数据的检索与分析,以及基于信息需求而对会计凭证和账簿等数据的采集、整理及记录规则等方面的管理。而会计信息审计的研究重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及与会计信息需求的目标相适应的信息体系的构建等。
(二)信息审计的审计方法 作为人造系统,会计这一应用系统的信息审计应以信息技术为手段,围绕企业各应用子系统的应用过程与应用结果,以及系统安全的合理性、过程行为的合法性、结果数据的真实性,进行客观、适时的监测与审核,将各种违规、可疑事件及时发出警报,并提交改进信息管理的审计报告。
信息审计与信息系统审计同为内部审计的组成部分,但其各自的审计方法不尽相同,亨茨尔(Henczel,2001)强调信息审计是一个循环的过程,包括计划、数据收集、数据分析、数据评价、建议交流以及实施这样一个定期重复的过程。目前比较成熟的信息审计方法有信息地图法、集成审计法、信息流法和亨茨尔(Henczel)法等多种(娄策勤、高策,2009),针对会计系统的特点,笔者认为选用信息流法和亨茨尔(Henczel)法为宜。信息流法既重视信息资源的识别,又能同时对企业信息流进行分析,这正是目前我国会计系统信息审计起步伊始所必须的。而亨茨尔法则是在分析信息流法和集成审计法的基础上,提出了较为科学的信息审计7大步骤,即计划筹备审计计划和准备,通过案例分析取得高层支持;数据收集通过调研建立组织信息资源数据库;数据分析对收集到的数据进行标准化分析;数据评估进行数据判读,提出建议;建议交流报告信息审计结果,交流意见;实施建议开展信息审计建议改革项目;二次审计使信息审计经常化、规律化。对会计系统而言,信息流中的电子凭证审核、记账凭证形成、账簿登录、银行对账和报表编制等沿用手工会计流程的做法,能否符合信息管理与用户信息需求,十分有必要在信息审计过程中进行重新审视与评价。
由于当前尚未形成标准化的信息审计方法体系,因此在实际中,许多信息审计项目多采用了传统的财务审计方法,如成本/效益方法等,这给信息审计实践造成了很大的困惑和混乱,有的学者主张应将财务审计人员的经验与信息审计实践相融合,尽早开发出一套适用于信息审计方法体系(任玉珍,2009)。笔者认为,借鉴财务审计的基本方法与经验,固然是信息审计的实现途径之一,但信息审计方法不能落入财务报表审计方法之中,否则将有可能影响到信息审计任务的完成,两者的审计目标相去甚远,因而其审计方法也必然有很大的不同。鉴于信息系统审计与信息审计所具备的诸多共性,借鉴日益成熟的信息系统审计中的信息流程审计与数据审计的方法不失为一种事半功倍的做法。
(三)会计系统信息审计的频率与重点会计系统的信息审计,首先要明确信息用户对会计信息需求,其次是要对目前可使用信息与信息用户所需要的信息进行信息资源差异对比分析,进而根据当前状况提出消除上述差异解决方案,并制定信息提供与信息流程再造的行动计划。从以上的审计过程看,会计系统信息审计的频率与该系统的使用状况相联系,即信息审计频率与系统使用时间相对应,会计系统一旦受到升级或改进,信息审计就应当紧随其后加以进行。然而,应当注意的是,在信息资源、信息流和信息需求三大信息审计内容中,与系统升级或改进联系最紧的当属信息流。因此,信息审计的频率可以因审计内容而定,一旦会计系统的信息流受到改变,就必须对其实施审计,而信息资源与信息需求则可采用定期审计的方法,根据企业经营决策与竞争的需求,定期实施会计系统的数据审计与信息审计(狭义)。
信息审计包括数据审计与信息审计(狭义),对会计系统而言,数据审计应用研究的重点是会计数据的保护、采集、存储、记录和处理规范等方面,而其理论研究的重点则是会计数据的来源、会计数据的检索与分析、会计凭证和账簿等数据的作用,以及这些数据处理过程中的规范要求。而信息审计(狭义)应用研究的重点是会计系统所产出的财务报告和提供决策支持的信息,其理论研究的重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及会计信息需求的目标等相关。
五、结论
疾速形成的网络化与无纸化等信息化环境,促使会计系统的信息审计成为必然,而作为信息化助推器的信息审计,其审计目标、审计内容和审计方法等又确立了其在会计系统中数据与信息安全保障体系中的重要地位。伴随着我国信息审计理论研究的开展,信息审计的成功应用可望水到渠成。届时,信息审计与信息系统审计的并驾齐驱,必然为我国会计系统信息的可靠与相关、信息管理的高质与高效提供强有力的支持。
[本文系福建省教育厅2008年度人文社科项目“我国财务会计信息化发展方向研究”(JA08003S)阶段性研究成果]
参考文献:
[1]任玉珍:《信息审计的内容框架分析》,《农业网络信息》2009年第7期。
[2]娄策勤、高策:《信息审计方法比较研究》,《图书情报工作》2009年第1期。
[3]黄亦西:《信息审计与知识审计的比较研究》,《情报杂志》2005年第10期。
[4]赖茂生:《信息资源管理的技术方法》,irm.impku.edu.en/ownload/e07.pdf,2005-12-17。
[5]胡善勤:《网络信息审计的设计与实现》,吉林大学2008年工学硕士论文。
[6]高策:《企业信息审计研究》,华中师范大学2009年硕士学位论文。
[7]戴维.查菲、史蒂夫.伍德著,赵苹、陈守龙译:《企业信息管理:用信息系统改进绩效》,中国人民大学出版社2008年版。
[8][荷]杰普.布勒姆、梅农.范多恩、皮亚士.米托尔著,程治刚、张翎、张劲译:《SOX环境下的IT治理》,东北财经大学出版社2008年版。
[9]Buchanan,S. and Gibb,F. The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower,2004.
关键词: 审计学教学模式研究实践案例
依据课程教学要求,结合授课对象特点,选取适当的教学方法和手段可以有效提高课程的教学质量。《审计学》课程作为经济管理学科一门重要的专业必修课,一般为相关专业三、四年级本科生开设,届时学生已学习过专业基础必修课程,具备较扎实的专业基础知识,并具一定的分析综合能力,这为笔者开展基于《审计学》课程的多样化教学模式提供保障。鉴于《审计学》教材涵盖审计理论与实务的内容设置,结合《审计学》课程教学特点,笔者尝试采用多样化教学模式开展相关章节的教学实践,即研究型教学模式、实践型教学模式、案例型教学模式,取得了较好的教学效果。
一、《审计学》课程的研究型教学模式
1、研究型教学的基本流程
研究型教学的基本流程包括:(1)确定教学目标,即教师根据教学目标, 筛选与教学内容密切相关的素材,构造特定情境, 向学生提出待研究范围, 引导学生发现并提出需探讨的问题;(2)设计研究过程,它是研究型教学中一项基本任务,借助目标分析掌握学生对给定研究主题能够做什么,以及达到何种程度;(3)学习成果展示与评价,即在上述研究完成后,要求学生以课堂讨论或其他形式交流研究成果, 并对不同意见进行探讨,在该过程中学生可以感受到观点冲突等, 并作深入细致地思考。
2、《审计学》课程研究型教学实践
《审计学》课程开篇几章,理论性较强,仅只依靠教师讲授一种方式,难免会使学生有《审计学》课内容枯燥之感,不能激发学生对课程的学习兴趣,不利于教学目标的实现。笔者对《审计学》课程第三章审计规范体系这章开展研究型教学模式实践,研究主题的设计思路如下:
2.1确定研究性学习主题和学习目标――审计规范体系的构成;
2.2设计教学活动过程。具体安排各环节应完成的研究任务和内容, 包括小组内分工、制定计划、搜集信息、形成结论、撰写报告、制作多媒体课件、展示研究成果――我国审计规范体系构成和美国审计规范体系构成对比;
2.3提供支持服务。介绍本章需要的学习材料, 包括硬软件技术、文字材料、网络资源及其他资源。
2.4确定评价的指导思想,设计和制定评价表。通过评价标准和评价指标, 规范、控制研究性学习的各个环节, 以实现研究性学习的目标和教师预期的教学设计目的。
此外,授课过程中, 教师根据授课内容和学术界的热点、难点问题适当布置写作小论文。论文需要学生花一定时间去阅读和查询资料, 然后对资料进行整理, 再把自己的想法结合所查的资料写成论文。这种方法有利于学生锻炼阅读和写作能力,巩固所学知识。
二、《审计学》课程的实践型教学模式
1、实践型教学的界定
对于实践型教学,一方面指学科问题的生活化、情景化及社会化,另一方面指学生亲自动手操作,积极参与社会实践、生活实践。知识来源于实践,应用于实践,实践认识再实践是人类认识的两次大飞跃,要发展学生思维,实践在其中有着决定性的意义。《审计学》课程设置应将本学科与学生的学习实践、生活实践、社会实践紧密结合,按照学生的实践整合课程体系,同时让学生积极参与知识的形成过程,在实践中发展,只有这样,我们所培养的人才是实践性人才。
2、《审计学》课程实践型教学实践
为了给学生提供一个有效的课堂实践平台,加深他们对会计专业知识的理解,提高他们的实际操作能力,在教学中应尽可能地做到以下几点:
2.1构建课堂实践环境。课堂实践环境应主要在实验室进行,实验室的建设应仿照实际的工作环境、按照真实的工作过程需要来设计,要配备足够的设备及实践材料。会计实验室应具备电算会计应具备的软硬件环境,以及与会计、审计工作相关的其他物资环境。
2.2课堂实践教学方式。在多媒体教学中, 教师在演示和讲解基本理论的同时, 可以扫描大量的会计凭证、账簿和报表, 比较真实地再现审计实务过程,这就既避免了单一讲授理论的枯燥无味, 同时又满足了学生急于实践的心理。在安排学生观看了演示资料之后,教师应给学生创造条件进行实践操练。比如,在讲授审计工作底稿时,教材中介绍了工作底稿的种类及所包括的各项内容,我在讲课中展示了几种不同类型的真实的审计工作底稿,告诉学生在什么情况下填制,怎么填制,然后让他们动手填制,这样做学生就会感到直观实际,教学效果明显提高。
2.3重视审计程序,重视实践环节。模拟操作主要是培养学生的实践能力,例如,模拟编写审计计划、审计报告,模拟会计报表审计等。这样的训练有利于提高学生的动手能力,有利于理论联系实际。
三、《审计学》课程的案例型教学模式
1、案例型教学的基本流程
案例型教学的基本流程包括:(1)教师准备案例。审计案例选择的难点主要在于如何选择那些既符合审计教学目标,又适合学生的有一定代表性的案例。教师还可以选取与教材配套的审计案例录像带,使得案例教学更加栩栩如生,学生的学习兴趣更浓;(2)学生准备案例。学生首先要仔细阅读案例,然后进行分析,还应进一步阅读和查找相关资料来支持自己的分析,并做分析笔记;(3)教师组织课堂讨论。先请一位同学说明案例,分析问题并提出解决问题的方法,然后请其他同学从不同角度分析同一案例,阐述自己的看法。学生可以分别从自身角度来剖析同一案例,阐述自己的看法,形成热烈的探讨问题的气氛。教师则努力把握和指导好案例讨论,要让学生成为案例讨论的主角,并注意掌握案例讨论的方向,使学生紧紧围绕着案例的主题;(4)分析评价。教师引导学生对各种见解进行评析,学生在充分讨论后,应根据自己的观点写出案例分析报告,对以前的分析与讨论作以总结,加深理解。
2、《审计学》课程案例型教学实践
案例教学应充分突出学生的主体地位,因此要求教师要提高课堂时间的利用率, 并充分利用学生的课余时间。学生可以自由组合, 也可由教师指定小组对案例展开讨论, 以激发学生的探求欲望, 培养其职业判断能力、处理问题能力、团体协作能力等。
笔者在教学过程中,利用习题课等时间,专门进行审计案例的讲解,通过一些案例的讨论,侧重解决审计理论与实践结合问题。如教学中引入“安达信对世界通信的审计失败”案例,“安然事件”等,让学生分组进行讨论,然后总结分析审计失败的原因。通过对案例的讨论分析,轻松自由的讨论氛围中对审计独立性、审计风险、审计证据等重点、难点问题有较深的理解。
总之, 发展学生的审计实务技能、增加他们的审计实践经验, 弥补学生实践经验的缺乏,这是对传统审计教学进行改革的方向。
参考文献:
[1]高校会计课程研究性课堂教学模式探析[J].中国地质教育, 2006 (1),117
关键词:消防部队 物资采购 建设 审计 风险
近年来,随着消防部队的不断发展,基本建设及物资采购逐年增加,由于相关审计机制、制度及审计质量和风险控制体系等还在不断完善,基本建设和物资采购经常会遇到各种困难和问题。客观、全面分析审计风险,制定合理对策和举措,对于加强和改进审计工作,提高审计质量和审计效益具有重要意义。
一、基本建设及物资采购审计风险分析
(一)独立性风险
一是审计机构和人员独立性不强。消防部队审计机构及人员隶属于本单位编制之下,对同级基建和采购工作进行监督过程中,很难完全独立的开展审计工作。二是基本建设及物资采购审计业务开展存在被动性。目前消防部队内部基本建设和物资采购审计工作基本上是采用“送审制”和“邀请制”,由于审计部门无法提前预知各业务部门业务开展情况,对未报送和未邀请的项目或环节存在应监督而未监督的情况。三是借助外部审计力量开展审计业务存在一定的风险。在基本建设审计工作中,由于部队内部审计人员不具备出具法律认可的审计结果的资质,无法独立开展审计监督,对工程预决算和工程施工过程的审计多采用委托外部审计机构的方式开展,外部审计机构受其自身资质和与施工单位的关系等因素影响,其审计结果的可靠性存在一定风险。
(二)机制性风险
一是基本建设及物资采购审计机制制约力弱。部分支队级审计部门由于受机构、人员及领导重视程度等多种因素的限制,对本级基本建设和物资采购的审计参与程度和监督力度较弱,甚至一些单位相关监督工作由基建部门和物资采购部门自行组织,审计部门未参与其中,审计风险较大。二是审计风险分析与防控机制不健全。在基本建设与物资采购审计工作中,多数审计部门依靠审计工作传统作法和审计经验处理具体业务,并未建立风险分析与防控机制,对不同类型的基建和采购业务具体的风险点缺乏全面的分析,在实际工作中存在监督疏漏和盲点。三是审计工作指导机制不完善。目前,由于总队机审计机关将主要精力放在自身业务工作上,在对下业务指导上,缺乏长效机制和有效办法,有的单位甚至忽视了对下工作指导,导致支队基本建设和物资采购审计工作发展缓慢,审计质量不高。
(三)业务性风险
一是审计人员业务素质风险。目前,消防部队内部审计人员多数是财务人员岗位调整至审计岗位,对财经管理及财务工作较为熟悉,但对基建和采购审计工作的把握主要依靠实践经验积累和自发性学习,存在经验不足、政策把握不准、审计效果不佳等问题。二是审计质量控制风险。由于基本建设与物资采购审计工作起步晚于常规经济责任及财务收支审计,在审计质量控制上还存在控制方法及措施简单、管理程序不严谨等问题,制约了审计工作质量的提升。三是审计管理风险。在实际工作中,因审计业务本身尚处在发展完善阶段,对基本建设和物资采购相关的管理工作相对滞后,如何加强对诸如委托审计单位、审计实施过程等相关事项的管理还没有较权威的统一性规范,各总队基本建设及物资采购审计业务开展千差万别。
二、基本建设及物资采购审计风险对策
要进一步降低在基本建设和物资采购工作中潜在的审计风险,应当采取一定的措施,通过加强审计队伍建设,借鉴成熟的经验方法出台制度规范,开展审计工作试点等,以点带面,逐步对二项审计工作进行全面加强和规范。
(一)加强审计队伍建设
一是要落实编制,理顺关系,提升审计独立性。结合新编制的落实,进一步理顺审计部门的隶属和管理关系,使审计机构和审计人员与具体业务管理部门脱离出来。对支队级单位,应着力解决审计人员兼职其他业务工作及“既是运动员又是裁判员”的问题,推进支队级审计机构或人员能够相对独立的开展审计工作。二是探索审计岗位细分,走专业化审计的道路。总队以上单位可逐步探索建立不同审计工作岗位,促进审计工作向专业化发展。如分别建立基本建设及物资审计工作岗位审计岗位,使各类业务审计人员相对固定,提升审计工作专业化程度。对于支队级单位,应加强综合性人才培养,使审计人员能够适应审计工作需要。三是开展职业化教育,提升审计人员业务素质。结合审计工作岗位,积极开展岗位资格考试,逐步完善和推行审计职业化教育及审计岗位后续教育。利用网络资源建立内部审计网校,共享审计培训资源,推行审计各专业岗位上岗资格,岗位考级等制度,促进审计队伍起专业化。
(二)加强审计工作机制建设
一是进一步建立和完善基本建设及物资采购审计机制。通过各种渠道加强宣传,提高各级党委对审计工作重要性的认识,将基建及采购业务纳入审计部门的监督范围,解决“不让审”和“不愿审”的问题。同时,应探索建立审计与业务部门的联动机制,赋予审计部门及时掌握业务部门工作开展状况的权限,视情开展审计监督,变“被动审计”为“主动审计”。二是建立审计风险分析与防控机制。要结合审计工作实际,建立审计风险分析与防控机制,详细制定基建工程及各类型采购业务的风险分析内容和风险分析流程,在审计工作开展前全面分析审计业务风险点,制定相关措施和应对办法,提高审计效益。三是建立和完善审计工作管理与指导机制。在基本建设审计工作中要制定对预结算审计、跟踪审计委托审计单位的相关管理措施,防止委托审计单位审计工作中出现违规操作或与施工单位串通等问题;在物资采购审计工作中要协调相关业务部门制定涉及采购项目论证、采购计划制定、采购市场调查、采购方式审批、采购工作组织、采购过程监督等方面的管理办法,切实防止采购过程中出现不合规行为。在对下业务指导上,可借助审计信息化软件的推广,指定专人负责定时掌握下级单位审计工作开展状况和工作质量,采取通报、督导、考评等方式,切实推进基层单位审计工作开展,促进基层部队审计工作不断规范。
(三)加强审计业务建设
一是进一步完善基本建设及物资采购标准化工作模板。要在原有的工作规范和流程基础上,对审计事项的相关环节进行全面分析,针对每一个审计节点制定标准化工作模板。如,在基本建设审计工作中,对项目立项论证、项目预算计划、项目服务单位招标、项目实施过程跟踪及项目结算和峻工决算等环节,就审计部门如何参与,出具什么格式内容的资料都进行统一和规范,全面提高审计工作的规范性,防止出现漏审和缺审等问题。二是建立审计案例、程序和审计方法资源库。建议对部队内部基本建设和物资采购审工作中具体业务案例、重点环节审计方法步骤及相关法规依据进行收集,建立审计案例及审计方法库。使各级审计人员通过查询对应案例及问题快速找到问题解决办法及法规依据,提高审计工作效率。三是加强计算机审计标准化建设。目前公安消防部队逐步研发了相关的计算机审计系统,利用计算机审计软件开展审计业务。在利用计算机审计软件开展基本建设和物资采购审计业务时应加强审计软件的标准化建设,将审计工作流程、相关模板、统计报表等文档和标准模板内置到软件中,促进审计人员规范操作。同时,应制定相关的操作规程和质量控制措施,标准化审计程序,提高审计工作质量,防范审计风险。四是组建审计业务研究机构。建议在建立审计专家库的基础上,抽取全国各类型审计业务专家组成部队审计业务研究机构,每年根据审计工作计划和要点制定相应研究课题,收集和借鉴部队内外先进审计工作方法、经验,探索部队内部审计工作发展方向,研究形成审计工作业务理论,开展审计业务工作试点,全面提高部队审计业务理论及实践水平。
参考文献:
一、国际货币基金组织(IMF)内部审计的机构、定位、职责
1、机构。IMF审计局现有16名职员,包括审计师、经济学家、人力资源方面的专家和工作流程检查设计方面的专家。这些职员都拥有专业资格的认证,其中注册内部审计师7名;注册信息审计师3名;注册会计师4名。每个审计师平均审计的IMF财产约为180亿美元。
2、定位。IMF审计局的审计工作定位与国际内部审计师协会的内审准则相一致。其审计定位为:“是为增加价值和提高组织机构运作水平,独立的、客观的保证活动和顾问咨询活动。它采用系统的、专业的方法进行评估、改进风险管理控制和管理过程的有效性,从而帮助组织机构完成其目标。”
3、职责。IMF审计局职责主要分为三方面:一是独立检查和评估IMF业务运行的控制过程和运作的效果和效率,为决策者进一步改进工作提供分析和建议;二是帮助确认IMF的工作流程以有效和高效的方式构建和运作,能够很好地完成IMF的目标;三是帮助董事会和管理层对项目建议、运转、执行等情况进行评估,确保该项目按照董事会的意志进行。
二、IMF内审主要业务
1、业务审计。业务审计是评估组织机构在管理控制下业务运作的效果、效率和经济性,并将评估结果和改进建议提交给适合对象的系统化过程。业务审计目标:一是进行评估,二是提出改进建议。业务审计是现代审计中具有代表性的3E(Effectiveness有效性、效果;Efficiency效率;Economy经济性)审计。
业务审计着重于管理计划和控制系统,要求衡量实际的工作和标准之间是否达成一致,达到一致的程度;对管理计划和控制系统的充足性以及既定政策和程序的遵循情况进行评估。
IMF审计局的业务审计主要涵盖以下八方面:人力资源;安全;技术支持;信息管理;基建;服务体系;差旅预算过程;退休计划投资管理。
IMF审计局进行的业务审计具有四个特征:一是审计目标导向的未来性。业务审计关心的是提高未来的工作绩效,着眼于管理政策、计划和控制系统以及决策形成过程,通过对管理系统的各个方面加以确认,提出改进的建议,帮助各个层次的管理者改进计划和控制;二是审计方面的系统性。包括对审计环境的深刻理解、建立目标、决定哪些事实来满足这些目标、收集和评估事实、作出结论、向管理层汇报、审计报告、后续审计等一系列的方法和步骤;三是审计标准的主客观双重性。业务审计标准开始通常是管理层建立的工作标准或一些外部类似机构的标准,但主观判断不能绝对避免;四是审计报告和建议的创造性。成功的业务审计不仅在于确切地发现问题,找出原因,而且更在于针对问题提出有效的建议。
2、信息技术审计。信息技术审计是对计算机化的系统进行的审计,它不仅包括现有信息系统的控制和程序,而且包括对系统建立过程、计算机设备管理的控制、安全等方面。信息技术审计要求信息技术审计师能够在信息系统仍然安全运行的时候,发现信息系统中潜在的风险。
3、工作流程检查设计。工作流程检查设计是从根本上重新思考和重新设计业务流程以期在成本、质量、服务、速度等方面采用当代的工作方法,取得根本性的改进。工作流程检查设计,是一个新兴起的、管理咨询范畴内的工作。工作流程检查设计已经被国际内部审计师协会接受、吸收,成为不少大型组织机构内部审计的一项工作,具有管理咨询的性质。
流程设计围绕四个基本问题进行:做什么;为什么做;能否做得更有效率;能否做得更有效。流程检查设计主要包括四个方面的核心内容:一是“现在的流程”;二是“设计的流程”;三是“效益分析”;四是“怎么实行”。涉及到:流程、人员、技术、组织体系等四方面的资源。IMF认为,流程检查设计就是要使:合适的人用合适的工具,在合适的地点,合适的时间做合适的工作。
4、风险导向的审计。审计师要对风险进行评估,以便在审计过程中,将审计资源最大限度地用在最重要的领域。审计不仅对组织机构内部的业务进行风险分类,而且在每一个具体的审计项目中,同样要进行风险评估。
审计局结合IMF的具体情况,对风险因素进行综合考虑,设立了标准,对IMF涉及业务的风险进行衡量和排序。将业务分为高风险业务、中风险业务和低风险业务。对于处于高、中风险的业务流程或项目,进一步划分为更具体的业务流程或业务活动,进一步采取附加的标准,找出风险点,将其包含进审计计划中,作为审计重点。
审计局参考风险评估的结果,制定长期审计计划和年度审计计划。IMF审计局的长期审计计划是3年一个周期,每3年基本对所有的业务领域和风险因素进行一次彻底的审计。年度审计计
划是长期审计计划的一个组成部分,代表当年审计局的资源在特定的目标、特定的审计意向、审计项目上的分配。年度审计计划确保80%的工作根据对审计领域的风险评估来确定。
三、借鉴IMF审计经验,加强审计监督
1、管理层高度重视审计工作,审计工作为管理服务。IMF审计局的工作受到管理层的高度重视,审计局是总裁直管的三个部门之一(其他两个为:投资办公室,职员退休计划、预算和计划办公室)。IMF审计局的职能现经历了三次大的调整,职能逐步加强。IMF管理层制定的目标是否达到,IMF如何管理组织,效率如何,员工是否满意,管理层必须透过审计来了解。审计是管理层特别是最高管理者了解IMF运行情况的“窗口”。
2、IMF审计工作有一部分具有管理咨询的性质。这一点在业务审计中和工作流程检查设计方面体现更多。如:对IMF人事管理的审计,总的来看,并不是一个检查,更类似于一个调研、分析。再如:对IMF欧洲部、非洲部的审计,包括:管理和组织、员工情况、工作负担、管理等方面的情况,是对一个部门全面的审计,在取得事实、资料的基础上进行分析、对比、评估。IMF审计开展此项业务,对IMF加强管理、提高工作效率、节约资源起到了积极的作用。
3、审计工作高度专业化。IMF审计没有自己独立的审计标准,审计标准与国际内部审计师协会的界定完全接轨,内审业务全部遵循国际内部审计师协会的内审操作规程,因此IMF审计工作及结果能够得到外部的认可。IMF的审计师既高度专业化,又一专多能。每个审计师都有自己最擅长和主要从事的审计业务,有的侧重财务审计,有的侧重业务审计,有的是人事管理方面的专家。但每个审计师同时还具备其他技能,可以从事其他方面的审计。这使得审计局容易进行业务安排,审计师的业务能力也可以得到全面发展,并减少审计师工作的枯燥性。
4、审计计划建立在风险评估的基础上,有效、周密。IMF审计局有建立在风险评估基础上的内部审计的长期计划和年度审计计划。在对每一项业务进行审计时,审计师首先要对业务环节进行审计,争取最大限度上合理分配审计资源,提高审计资源的使用效率。并使审计切实起到加强内部控制,防范风险的作用。
关键词:内部审计 现状 思考和借鉴
通信服务公司坚持稳健经营,有效规避高风险领域和事项,内部审计得到了高度重视,在2015年荣获了“最佳风险管控公司”的称号。公司制定了内部控制指引以满足国内外资本市场对上市公司内部控制方面的监管要求,并据此制定了详细的内部控制实施细则作为设计、执行、评价及验证内部控制的依据。特别是在对外投融资管理,对投资立项、审批、日常管理等规定严格的政策和程序,规范投融资行为,控制风险,提高效益;公司还对资本性支出实行预算管理和项目审批,要求年度有预算,项目有审批,同时公司通过编制可行性研究报告,以及对可研报告进行严格评审以规避投资经营风险。公司内部开始建立了比较系统、规范的方法体系,用以评价并改善风险管理、控制及治理过程的效果,对帮助组织实现其目标起到了积极的作用。
一、通信服务公司内部审计的现状
公司在内部审计机构的设置和汇报关系上,已经按照IIA强烈推荐的方式,设置了专门的内部审计部门,授予了首席审计官向董事会进行报告的职能,比如,提请董事会审批内部审计章程,审批以风险为基础编制的内部审计计划,审批内部审计预算和所需的资源等等,这些机构设置及职责授予已经与国际惯例较好的接轨,在内部审计机构的设置上,体现了独立性和权威性。其具体的职责范围也已经拓展至检查和评价企业的业务流程和业务系统、重大项目及合同的合规审计、促进流程优化、尽职调查、资产安全管理、投资决策等领域。
公司已经建立了一套覆盖比较全面的内部控制实施细则,公司内部审计部门,担当了内部控制有效性评价的重要工作。公司内部审计部门通过对公司层面基本情况及各业务层面主要业务流程的风险进行识别后,开展实施及测试内部控制设计和运行有效性的工作。在对公司层面基本情况的风险识别方面,内部审计部门主要是通过了解经营业务范围、企业文化、发展战略、组织结构、人力资源、等内部环境及内部控制内容中的五个要素的的运作情况。在对业务层面主要流程的风险识别方面,内部审计部门主要通过对主要业务流程例如资金管理流程、销售流程和采购流程等的文档记录资料进行全面复核,确认流程图文档与实际是否相符、流程图是否清晰标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表达的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动,确认审批权限文档中关于各部门及岗位的描述是否准确、权限的划分和设置是否合理。
公司内部控制活动包括全面的规章制度和相应的执行程序,这些规章制度和程序有助于确保管理层意图和指示的正确执行,即有助于确保公司在实现各种目标过程中用以管理风险的那些至关重要的方案和措施得以正确实施。公司设计内部控制流程和规范的根本宗旨是对于公司的每一种行为都必须存在适当的政策和程序进行规范。公司结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制活动,将风险控制在可承受范围之内。
公司建立了全面风险管理的三道防线,这三道防线提供了一个简单、清晰、有效的框架来帮助区分各风险管理及内控职能的职责,并实现相关职责的有效沟通和协作。各职能部门和业务单位是全面风险管理的第一道防线,对风险以及风险管理承担直接责任,同时也是负责执行流程及内控问题的纠正措施。公司风险管理部门是全面风险管理的第二道防线,依托风险管理工作团队承担全面风险管理的具体工作,是整个风险管理和内控体系中的关键部分。公司审计部门和监察部门是公司全面风险管理的第三道防线,内部审计部门对公司治理、风险管理、内部控制的有效性提供独立的确认。
就公司内部审计机制而言,对属于内部审计职责范围内的各种情况变化,如资产重组、改制、管理方式的改变、人动、重要工程建设等,公司管理层首先评估其带来的风险,然后授权内部审计部门根据相关制度规定进行调查和审计。
然而,目前国内依然存在相当多的公司把内部审计机构工作的重点过多的局限于财务审计与经济责任审计职责范围与知识技能,内部审计机构与其他部门的关系仍然过多的局限于监督与被监督的关系,而且现实中的内部审计人员大多出身于会计,许多人误认为内部审计就是在重复外部审计的工作,走流程,走过场。许多人还认为内部审计是风险规避者,当业务部门努力创造业绩时,内部审计人员希望加强风险管理,一味的增加控制程序。另一个误解是,内部审计人员经常被指定作为优秀的内部控制系统的设计者。其实,内部审计人员已经充当了“裁判员”与“运动员”的不相容角色,为未来的内部控制评价埋下了“定时炸弹”。成为胜任的内部审计人员仅仅拥有知识技能是远远不够的,还必须注意运用有效的职业化行为与思维方式。
二、关于内部审计发展的思考
(一)在内部审计机构的设置方面
合理设置内部审计机构并强化其独立性,授予首席审计执行官向组织内部能够确保内部审计部门履行职责的层级报告的权限,在职能上和行政上分别向董事会和首席执行官汇报工作,或者至少首席审计执行官应向组织内拥有充分权力、能够促进独立性并保证广泛的审计范围、能充分考虑审计报告并依据审计意见采取适当行动的人进行报告,这样可以增强组织的独立性,这也是IIA强烈推荐的做法。在小企业中,内部审计师可能还是一些承担运营责任的高级职员兼任的,为了保持独立性,可以采取让负责审核特定职能部门的员工独立于该职能部门之外的方式。
(二)在内部审计机构的人力资源配备方面
内部审计工作开展的效果,很大程度上受到内部审计人员能力素质的影响。比较普遍的是较多企业内部审计从业人员总体素质上表现为年轻化、高学历、经验少,财务、会计及一些管理学科专业背景的从业人员较多,从业人员持有的专业资格证书集中在会计师和经济师两个类型上。该上市通信服务公司比较早就在内部审计部门倡导国际注册内部审计师CIA的系统培训及考试认证工作,内部审计人员较多的取得了CIA及CCSA的资格,并注意吸纳一些业务领取的专家加入到内部审计工作中来。在人力资源的专业配备方面体现了前瞻性。
(三)在信息处理方面
沟通是必要的环节和关键的要素,沟通要确保信息有效传递,促进内部控制有效运行,因此需要保证公司具有识别、取得和汇报营运、财务及法规遵守相关信息的有效程序及系统。员工切实履行职责是公司内控工作开展的重要基础,公司应当确保具有适当的程序使员工的职责和控制责任得到充分有效地沟通,公司可以通过岗位说明书等制度形式和适当举办各种培训使员工了解其在日常工作中的职责。
(四)在公司治理环境方面
良好的治理环境,是内部审计作用真正发挥的重要保障;同时,内部审计又能在公司治理过程中起到促进作用。内部审计与公司治理形成的互动机制,是组织目标实现的有益保障。公司治理监督机制是公司治理环境中尤其关键的,公司内部的监督可以成为有效掌握信息的重要途径,公司应确保有畅通的渠道以便员工反映其发现的舞弊行为以及与内部控制有关的可疑情况。公司应在内部控制的相关制度中提出开展内部监督工作的基本要求,对内部监督体系中的有关职责、程序、方法等进行规定。内部审计是公司进行日常监督与改进的有效工具,公司应该重视内部审计师的控制改善建议。公司内部审计部门对发现的重大内部控制缺陷可以直接向公司管理层进行书面汇报,对于发现的内部控制缺陷,公司应有针对性地采取进一步改善措施。