(2)管理过程制度。如规划计划制度,组织经营制度,领导指挥制度,协调控制制度等。
(3)控制过程制度。如确定目标方案制度,衡量比较制度,评估绩效制度,纠正偏差制度等。
(4)各种功能制度。人管人的制度如责任、考勤、考核制度;人管事的制度如成本、事务控制中心制度;事管人及事管事制度如技术、电算化中心制度等。
如果从综合管理功能和经营过程考虑,内部管理控制主要包括六项内容:一是整体计划控制,包括策划、计划、预算等具体制度;二是人员控制,包括组织机构、协调关系、工作设计、人事控制等制度;三是领导指挥控制,包括领导素质要求、授权管理、激励机制、信息沟通等制度;四是资产存量控制,包括政策计划职责分工、采购作业等制度;五是生产作业控制,包括生产作业控制、质量控制等制度;六是营销作业控制,包括营销标准、营销计划、营销管理等制度。
管理控制的内容和方式,决定了管理审计的主要内容是检查和评价管理控制是否适当,也即是否适当和有效。其主要审计的内容有以下几个方面:
(1)通过对单位各部门相互关系的检查来评价其组织工作;(2)通过审阅组织系统图及有关说明来评价职务分工情况及对职工的监控是否适当;(3)通过信息系统检查,评价领导之间、部门之间、上下级之间、干部与群众之间的信息交流是否畅通;(4)通过对单位方针政策贯彻执行情况检查,评价单位决策及其贯彻,并提示其缺陷。
(三)内部审计控制的测评内容
内部审计控制同样是内部控制的一个重要方面,它是用来检查、评价会计控制、管理控制是否健全、有效的重要手段。内部审计控制是根据系统的控制目标和既定的环境条件,按照一定的依据来审查、调节被审查单位经济活动的一种控制活动。它的主要过程是查明问题、对照标准、找出差距、分析可能、提出措施、监督纠正。内部审计控制是信息反馈控制,它既要反馈给被审计单位或个人,又要反馈给单位主要负责人及有关职能部门。内部审计机构和人员是审计控制的主体,被审计单位或经济业务是审计控制的客体,审计信息系统是审计控制的沟通渠道。
作为国家审计和社会审计来说,也有必要对被审计单位内部审计控制工作进行审计,其审查的主要内容是:
(1)有无健全的内部审计组织,其地位如何,是否开展了正常的内部审计工作;(2)有无明确的内部审计职责和内部审计标准,内部审计其独立程度如何;(3)内部审计是否采取了有效措施及时查明与纠正偏差,其检查资料与报告是否可靠;(4)内部审计与单位管理部门、外部审计组织是否协调等。
二、制度基础审计测评要点
忽略必要的控制,会导致单位目标难以达成;但控制过度,同样会影响营运效率的提高。制度基础审计对内部控制要素测评要点如下。
(一)对控制环境的评估要点
1.操守及价值观评估重点
(1)管理阶层是否订有行为守则或类似规范?如有,该规范是否得到贯彻执行?如无,企业文化是否强调操守的重要性?
(2)管理阶层在与员工、供应商、投资人、债权人、竞争对手及注册会计师等交往时,其行为显示出来的操守与价值观如何?
(3)当员工违反既定政策及程序时,如何补救?如何处罚?
(4)管理阶层对逾越既定控制程序的态度如何?
2.执行能力评估重点
(1)是否制订有职务(或工作)说明书?其清晰程度如何?如无工作说明书,管理阶层如何告诉员工做什么工作、应该怎样做?
(2)管理阶层是否认真分析负责某特定工作的员工需具备哪些知识、技术、能力与素质?是如何进行分析的?
3.董事会及监察人评估重点
(1)董事会及管理阶层期待某些短期目标的达成,以获取报酬的程度如何?
员工是否受到达成某些不切实际短期目标的压力?他们的报酬依附于这些目标达成的程度如何?
(2)董事会与管理阶层间独立性如何?监察人与管理阶层间独立性如何?
向董事会、监察人负责的员工,其任免及俸给如何决定?
(3)董事们与监察人的知识及经验如何?
(4)董事会成员与财务主管、主办会计、内部稽核、外部审计联系的情况如何?提供指导及监督的程度如何?监察人与这些人联系的情况如何?提供指导及监督的程度如何?
(5)董事及监察人获悉的资讯有多少?其中,熟悉性资讯多少?获悉的速度如何?
(6)董事获悉的资讯是否与单位的目标与策略、财务状况、经营成果、现金流量、重大合约条款有关?能否用于监督企业的营运?
4.管理哲学及经营形态评估重点
(1)管理阶层对承接风险的态度如何?
(2)管理阶层与各营业主管间的互动情形如何?
(3)当可供选择的会计政策超过一个时,管理阶层的态度如何?选用的会计政策保守、稳健的程度如何?揭露重要资讯的意愿如何?编造或伪作书面记录的意向如何?
(4)管理阶层是否对外提出内部控制声明书?
5.组织结构评估重点
(1)组织结构是否合适?各重要主管负担的责任如何?他们了解所负责任的程度如何?
(2)各重要主管的知识及经验如何?履行责任的能力如何?
6.权责分派评估重点
(1)单位规模与作业的复杂性如何?权责如何划分,其适切性如何?授给员工的权力与其担负的责任是否相称?员工数量是否足够?
(2)负责资讯处理、财务及会计职能的员工数量是否足够?
7.人力资源的政策与实行评估重点
(1)如何聘雇员工?如何调查员工的背景?如何培养训练员工?
(2)员工升迁及薪资政策如何?员工的留任及晋升与其绩效间的关系如何?如何汇集用以评估员工绩效的资讯?员工的留任及晋升与行为守则间的关系如何?如何积累该方面资讯?
(二)对风险评估的评估要点
1.单位整体目标的制订评估重点
(1)单位制订了哪些整体目标?
(2)如何使员工及董事会了解单位整体目标?他们了解的程度如何?
(3)如何制定策略?策略与整体目标间的关系如何?
(4)如何制定单位计划与预算?它们与整体目标、策略间的关系如何?目标是否合理可行?
2.作业层级目标的制订评估重点
(1)如何制订作业层级目标?层级目标与整体目标、策略间的关系是否明确?层级目标与营业过程间的攸关程度如何?
(2)各作业层级目标是否相一致?
3.风险的分析评估重点
(1)引发单位整体风险的内、外因素有哪些?如何辨识?如何分析每一种因素发生的可能程度及其所引起后果的严重程度?
(2)引发单位层级风险的内、外因素有哪些?如何辨识?如何分析每一种因素发生的可能程度及其所引起后果的严重程度?
4.对改变的管理评估重点
哪些改变会对单位产生重大影响?哪些情况需要高阶层主管加以注意?如何辨认?单位须对哪些改变做出回应?
(三)对控制作业的评估要点
对控制作业的评估重点是:每一项作业的控制政策和程序如何?是否能有效降低已经辨认出来的风险?设计是否有效?控制政策和程序是否已经执行?
执行的效果如何?评估时,不仅要注意各项控制作业的要求,还要与内部控制各组成要素联系;在各项作业活动评估结果的基础上,再汇总整体内部控制制度评估结果。
(四)对资讯和沟通的评估要点
1.资讯评估重点
(1)如何取得内、外部资讯?
(2)如何制订和不断修正资讯系统?
(3)管理阶层支持设置资讯系统的程度如何?投入了多少人力、物力?
2.沟通评估重点
(1)取得的资讯给谁用?什么时候给,详细程度如何?如何将绩效资讯提供给各相关部门?
(2)如何告诉员工应负责的任务、应负责的控制作业,以及员工了解的程度?
(3)如何把员工的不当行为或迹象告诉管理阶层?
(4)管理阶层接纳员工建议的态度与能力如何?
(5)单位内各部门如何进行沟通?资讯完整性如何?资讯传递时间与速度如何?
(6)如何与顾客、供应商及其他外部进行沟通?得到资讯后如何告诉相关人员?管理阶层如何反应?采取何种性质的行动?
(7)外界如何了解本单位的道德标准?了解程度如何?
(五)对监督的评估要点
1.持续性监督评估重点
(1)主管如何监督员工进行营业活动?
(2)是否借外界的资讯判断内部资讯的正确性?如有,如何做?
(3)在哪些情况下,会计记录与实际资产比较?如何比较?多久比较一次?
2.个别评估的评估要点
(1)有无设立独立的内部审计机构或专职的审计人员?其人员能力、经验及资格是否符合要求?内部审计向谁负责?人数是否适当?是否兼有审计以外的任务?
(2)审计人员如何执行其审计任务?评估哪些事项?多长时间评估一次?
评估的对象是什么?如何评估?评估的方法是否合乎逻辑?是否适当?
(3)评估的结果是否做成书面记录?书面记录是否完备?何人及如何使用这些书面记录?
(4)管理阶层对内、外部审计人员所提建议的态度如何?
3.缺失的报告评估重点(1)如何报告已辨认的内部控制缺失?报告内容是否详细?报告是否迅速?向谁报告?
(2)缺失报告之后有无采取后续行动?其有效性如何?
制度基础审计除了对五要素测评以外,还要对单位各项作业进行测评。单位内部的主要活动有与外界的互动、主要作业、基础作业、管理作业和控制作业等。企业与外界个体间的互动为最高的一个层次———环境层次。主要作业由进货、营运、出货、营销及销货、顾客服务五个基本价值链作业构成。价值链作业介于供应商与买主之间。这些主要作业又被四个基础作业所支持。这四个基础作业是管理、人力资源、科技发展和采购,每一项作业均接收商品、服务或资讯,均加以处理,并均依次作业。管理作业,由财务管理、企业活动管理、外部关系管理、提供行政管理服务、资讯科技管理、风险管理、法律事务管理、企划管理所组成。财务管理又可进一步分为控制、资金、税务、稽核,其中控制作业又可以分为应付账款的处理、应收账款的处理、资金的处理、固定资产的处理、分析与调节、退休金、薪资处理、税务事务处理、生产成本处理、提出财务报告及管理报告等。
对每一项作业进行测评时,首先要明确每一项作业控制的目标是什么,属于什么样的性质;其次要分析影响目标实现的各种风险因素;最后是检查和评价所采取措施的恰当性。
(第三节)制度基础审计的程序与方法
一、制度基础审计程序
制度基础审计包括内部控制审计和真实性审计两个部分,而内部控制审计仅仅是对内部控制制度恰当性与有效性的审计。这种审计到底在真实性审计之前进行,还是在真实性审计中间进行,应视具体情况而定。如果与审计项目有关的内部控制制度,过去未作过评价或已作过评价而又发生了重大变化时,这种检查工作应当在制定审计项目计划时进行,这样有利于确定审计的要点及其检查范围和方法;如果与审计项目有关的控制制度,过去已作过系统检查而今又未发生变化或变动不大时,这种检查应在制定审计项目方案时进行;如果要对整个内部控制制度进行系统检查,一般均在实施审计开始时进行。制度基础审计的步骤,一般包括以下四个方面。
(一)适当性测试
适当性测试,主要是对内部控制制度的调查与描述,评价其应有控制环节是否业已规定齐全,有无欠妥之处。其主要步骤如下。
1.确定理想的控制模式
审计人员应通过搜集资料与查阅文件手段,充分了解单位经营管理情况,通过调查了解明确管理风险与控制要点,明确各项控制措施的目标与功能,明确为特定控制目标而需要设计的控制措施与方法,明确如何将内部控制与主要经营环节及业务相互衔接配套,构成有机的系统。总之,根据调查了解的情况,应清楚控制什么,怎样控制?达到设定目标的理想控制模式应该是什么?从而在心目中确定对现行的制度进行评估的标准。
2.描述现行内部制度
当理想的控制模式确定以后,审计人员就应该审查正在行使的内部控制制度。首先,应充分搜集各种成文的制度资料;其次,了解主要业务处理的受控过程、受控成效与存在的薄弱环节;最后,审查鉴别控制方法实施与控制职责实现,是否有效地防止或降低了错误与舞弊的风险。上述审查可通过文字说明、调查表及流程图等形式来描述。
3.将现行制度描述情况与理想模式进行比较并对现行制度的有效性及其控制进行评估
比较时,应注意现行控制程序与理想控制目标是否相联系;现行控制方法是否适合于既定的控制目标,能否满足控制标准的需要;现行制度与理想模式的差距等。进行分析初评时,主要识别出关键的控制以及控制的强点和弱点。所谓关键性控制,是指假如执行这些控制,就会避免错误或弊端的滋生,就会使人们深信这个制度能产生正确的结果。对于内部控制的弱点,应寻找解救性的控制措施。
对内部控制制度进行初评,可通过下列调查表和评价表进行反映。
(二)符合性测试
对内部控制制度的系统、功能及优缺点有了初步了解之后,便可据此确定对内部控制大概可予依赖利用的程度。但是,可予依赖利用的确切程度,还取决于内部控制制度的执行情况与结果,即各项活动及项目的执行是否遵循了合适的法律和规定,是否处于经济性、效率性和效果性的方式之中。因此,审计人员还有必要对单位现行内部控制进行认真的审查或符合性测试,以确定其是否实际存在,其执行情况符合制度规定的程度,是否发挥作用。
根据规定的控制制度对实际生产、技术、经营或是会计、财务活动进行检查,以确定这些控制环节是否确实存在,是否始终相符,有无失控之处等。把这种符合性测试同这些控制的辨认结合起来,就可以确定该制度产生正确结果的可以依赖程度。
符合性测试旨在检查现行制度是否充分有效或能否取得预定结果。由于单位业务繁杂,不可能进行全面检查,只能根据生产经营活动的特点以及不同业务环节,进行抽样检查。抽样检查重点要根据业务性质与控制目的重要性而定。
一般测试步骤如下。
1.业务测试
业务测试是指审计人员按照业务每个类型编号,对单位重要经济业务所作的检查,借以判明内部控制系统中不应缺少的几个控制在业务处理过程中是否确实存在。在进行业务测试时,一般要根据单位的经营环节或重要业务划分成若干类型或子系统。每个类型中的有关业务应具有内在联系,否则没有必要归属为一个子系统;对每一种类型或子系统的业务进行抽样检查,检查其业务有没有按既定的方式处理,如果没有,则说明该控制系统出了故障,凡经该系统处理过的业务都存在误差的可能。
2.功能测试