分类:参考文献 更新时间:04-18 来源:网络
主要从内部审计风险的识别方法入手,再结合上述的风险成因,从制度、人员两方面介绍内部审计风险的控制方法,再单独针对信息化审计风险的成因提出相应的对策。
(一)内部审计风险的识别方法
针对上述分析,风险控制是在内部审计过程中必不可少的一部分,如何正确的规避风险,找到自己的风险偏好方向以及承受能力成为了企业保持合理经营的关键。进行内部审计风险控制的第一步就是内部审计师结合被审计单位的情况,找到自身的风险,一般将主要风险划分为以下六种(如图 3.2 所示)
为了识别上述的六大类风险,内部审计师一般采用以下几种方法:
最常用针对环境风险的就是政策分析法,全面宏观的分析政府制定的政策的影响性和对企业造成的后果进行详细分析,识别其危害的来源;第二种,制式表格法,利用专门的保险机构和相关专业风险评估机构所制作的表格如上图所示的内容清单来一项项进行核对,一般可以针对企业的特性和以往的审计经验和教训单独制作表格;第三种,流程图分析法,也一般作流程分析法,在有条件的情况下,审计师可以跟着企业日常的流程活动走一遍,试图发现其中的错误或者管控不足的地方;最后一种,是实地检查法,通过询问的方式,一般的询问对象不再是管理层或者治理层,而是实际操作人员、产线工人等,从他们的日常活动中去找寻风险状况,和实地勘察企业资产状况。以上几种方法可以在实际运用的过程中相互结合,充分利用各种手段,检查企业所面临的风险。
(二)内部审计风险的一般控制方法
在经历一系列方法和流程识别出内部审计风险之后,我们要针对审计风险采取相应的内部审计风险管理的措施,将从两方面去阐述内部审计风险的控制:
从制度层面上进行控制: 1) 在国家和社会层面建立和健全相关的法律制度建设
修改相关的《审计法》,以法律的形式将内部审计制度确立下来,而不是仅仅以准则的形式给予告知。并且中国内部审计协会也应该出具相应的内部审计的具体准则,让内部审计师有相应的程序可以查询,建立一个科学、规范、完善的标准。
2)企业应该明确内部审计的作用,确认内审的组织形式、地位、职责和权限
从治理层和管理层开始对内部审计的重要性引起足够的重视,从单位的最高层级领导对审计予以支持和理解,并且建立审计责任追究制度和相关的审计后续建议执行的追踪制度,以确保内审工作的顺利开展。
3)确保内部审计机构的独立性
如同第一章中所述的,内部审计机构的架设有很多种,其中审计委员会最常于上市公司也目前最有效的组织方式(可以督促企业往绩效审计的方向的发展),也要注意,内部审计委员会只能对董事会负责,要凌驾于或者独立于管理层,这样才能保证内审的独立性。
从企业员工的角度进行控制:
1)提高内部审计师的综合素养和素质
审计单位要注意对审计人员业务水平的配套,根据自己业务规模的大小去配备相应的初、中、高级审计人才,并且多渠道、多专业的挖掘审计人员,不再局限于财务一块,内审的特殊性要求内审人员的专业素养极高也知识面庞杂。一般来说,一个大型综合性企业的内审人员的组成要尽量包括:会计师、经济师、工程师和律师这四种基本人员。
2)强化内部审计人员的后续教育
针对目前业务庞杂,并且涉及面和难度日益增加的情况,适当的开展后续教育,以提高他们对政策的理解,国外案例的研究和自身职业素养的拓展,同时也可以采取相应的奖励措施以激励员工自行参与相关资格证的考试中,以接受系统化的培训。
3)提高企业员工对内部审计职能和作用的认同
作为一项需要企业全体员工参与的审计工作,如何更好的提高企业员工对内部审计的重要性和必要性的认可成为确保审计工作顺利开展和审计建议顺利实施的关键。建议企业领导层对企业员工开展相关的培训和指导,普及内部审计的基础概念,并且采取措施奖励积极配合内部审计工作的员工,调动员工参与和配合的积极性。
(三)内部审计信息化风险的控制
除了上述的一般控制以外,针对企业现在面临的由于企业业务信息化带来的新的审计风险也有相应的控制措施:
1)针对信息化环境之下的内部审计制度的完善
要根据现在时代的特点和现代化企业的特征,对于传统的内部审计流程予以改进,加入特别针对信息化部分的内部审计流程,对信息化作业的真实性、可靠性、合规性等进行单独审计,并且定期对系统的维护情况和安全性进行评估。
2)针对新的审计重点-电子数据进行详细审计
由于业务的无纸化和交易的电子化,审计重点不再停留于原先的账表、账账、表表上,计算机软件代替了大部分的原来手工作业的查账程序,大大的减轻人工,所以可以从原先的审计抽样审查,转变为现在详细审计,但是同时要注意对审计证据的获取,因为数据量和电脑风险等问题,要直接从数据库中取证,并且尽早及时取证。
3)针对信息化审计的趋势,要求内部审计人员有更高的职业技能
现在的内审师仅仅拥有相关的审计技能已经不能满足企业的需求,对计算机和相应企业系统的熟练掌握,才是现在进行审计的基础要求。因此,企业不仅要对相应的系统操作人员进行培训检查和升级,相关的审计人员也要参与进去。同时,最好派遣相关的审计人员去其它企业学习交流,以了解日常的信息化风险和相关的应对措施,和参加相应的例如CISA、CISSP、CISM 等国际化证书的学习。