摘 要
内部审计工作质量在很大程度上取决于审计项目的质量,有效的内部审计项目质量管理和控制是审计工作质量的重要保证。现代信息技术的快速发展,审计环境、审计对象的载体、审计的方式方法都发生了重大变化,审计工作自身的信息也越来越公开透明,审计的风险日益增加。对传统的审计项目质量管理和控制体系带来冲击和挑战,同时也带来了机遇,本文从目前审计项目质量管理和控制存在的主要问题和产生的原因入手,结合审计管理信息化开发和应用的实践经验,研究和探索用信息化解决审计项目质量管理问题的途径。
一、内部审计项目质量管理的涵义
内部审计项目质量控制是指为合理保证审计项目的实施符合内部审计准则的要求而制定的控制程序与方法。具体可理解为审计机构和审计人员根据审计质量标准,使审计项目管理和实施能够按照预定目标和规定程序运作,以达到规定的质量水平,并同时提高效率和效果。审计项目全过程的质量管理主要包括审前控制、审中控制、审后控制三个阶段,审前控制主要包括审计项目选择(审计项目计划)控制、审前调查实施控制和审计方案制定控制等;审中控制主要包括审计证据收集(审计技术方法应用)控制、审计底稿编制和现场复核控制、审计报告的编制和现场复核控制;审后控制主要包括审计项目的独立审理、审计决定和审计建议书执行的控制、审计项目档案控制等。审计工作的各个环节相互联系、相互影响,每一个环节的各种因素都可能导致审计质量失控。要保证内部审计质量,就必须把审计项目全过程中影响质量的所有环节都加以管控,形成全面的系统的质量管理体系,才能保证内部审计质量。
二、内部审计项目质量管理存在的主要问题
1.审计项目选择的方法和手段还不能适应科学立项的需要。
科学的立项是审计项目目标实现的前提,审计项目质量的高低在很大程度上取决于审计项目的确定。近年来,随着内部审计转型工作的不断深入,除制度规定必须开展的项目外,内部审计机构和人员也逐步树立了以风险为导向、围绕中心服务大局选择审计工作重点进行科学立项的意识,但在理念的落实上还存在较大的差距,主要表现在:一是以风险为导向立项还缺乏必要的手段,对企业或集团哪些领域、哪些单位、哪些环节存在什么风险,主要还停留对企业经济活动分析资料、以前年度审计或内部控制评价结果、管理部门各种总结列举的问题或信访举报资料等书面资料和电子文档的简单利用。缺乏可行的风险管理评估模型对生产经营及管理中的风险进行系统分析,往往造成立项的盲区;二是对什么是企业的中心任务,还主要停留在对领导讲话、会议材料的分析,或者到管理部门现场调研访谈,或者对所属企业上报的初步计划进行汇总等形式上,大型企业或企业集团审计立项的整体目标,如何准确、高效落实到具体审计项目、具体审计单位还缺乏有效的手段,审计服务决策层、管理层和经营层的作用难以发挥到位。
2.做足做实审前调查工作与信息不对称的矛盾依然存在。
要高质量高效率地完成一项审计工作,需要在充分了解审计立项意图,制定一个有针对性和可操作性强的审计方案。做实做足审前调查工作是审计方案制定质量控制的前提。对一些新领域、新类型及重点项目,更要做深入细致的调查研究,摸清审计对象的总体情况。而从被审计单位获取信息的方式和时效性又在一定程度上决定着审计项目质量的高低。内部审计机构和人员又多游离于企业生产经营信息之外,对审计信息处于索取的地位,信息的持有部门往往又是被监督的对象,对信息的提供存在博弈。目前多数大型企业纷纷实施了ERP、电子商务、合同管理系统及其他生产营运管理等信息系统,这些系统审计人员很难做到全面了解和应用,即使会用,也受制于用户权限的控制。在此条件下,一方面多数审前调查还是采取访谈、问卷、收集会计报表和一些电子文件的方式,而审计与被审计本身就是博弈的双方,采取上述方式获得的信息会有一定程度弱碱,影响了审前调查信息的质量,另一方面有些审前调查又以现场的全面内控评价方式代替,影响整体审计工作的效率。
3.审计实施方案的制定与审前调查的衔接不到位。
编好审计实施方案是做好审计项目的关键。审计实施方案是开展审计项目和质量检查的标准。比较可行的方案至少应该让审计人员知道审什么、怎么审,管理者可以判断审计人员审了什么、怎么审的、结果怎样等。但是在内部审计项目实践中,普遍存在对审计实施方案编制不重视,审计实施方案针对性和操作性不强等问题。主要表现为:一是审计项目实施方案编制者对审计立项的意图没有深入了解和研究,造成审计目标不明确;二是由于对审前调查取得的资料没有进行认真分析或分析方法不当,不知道被审计对象风险所在,也不知那些经营管理内容更重要,因此造成审计内容不明晰,审计重点不突出;三是由于审计调查阶段对被审计对象经营管理和会计核算的模式、方法、手段了解和调查不清,也造成审计实施方案制定的方法、工作程序、步骤往往千篇一律,没有可操作性,让审计人员无从下手;四是由于审计目标不明、审计重点不清、审计方法不当,造成审计人员分工不合理,有限的审计资源难以发挥更大的作用,影响审计项目的效率和效果,同时分工不清也带来责任分担不清,影响了审计项目质量的考核。在审计实施阶段,当审计面临的实际情况与审计实施方案设计的目标偏离时,审计实施方案制定人往往不对其进行恰当的调整和记录,即便调整了也因没有快速协调反馈的信息渠道,造成审计结果与审计目标不一致。
4.重视审计底稿和报告格式的规范,忽视审计证据取得方法手段的标准化建设。
审计报告和审计底稿是审计成果的表现形式。在审计项目实施阶段,审计人员应按照审计方案确定的具体审计事项和工作要求,采取相应的方式方法,查找问题线索,有针对性地收集审计证据,确保审计证据的客观性、充分性和合法性,在此基础上经过分析审核形成审计底稿,并加工成审计报告。近些年来,国内审计组织注重对审计底稿、审计报告格式及审计项目实施程序的规范化建设,制定了一系列制度和规定,对内部审计项目质量控制起到了很大作用。但从企业内部审计项目开展实践来看,还普遍缺乏标准化的、操作性强的审计查证手段和方法,往往凭借师傅带徒弟的经验型做法或通过简单的计算机辅助手段查找问题。在信息化条件下,审计的环境、审计对象、审计载体都发生了根本变化,实施ERP的企业,其主要生产、经营、管理、核算等业务都集中集成在系统中,海量的信息,使得审计人员查找问题、收集证据犹如大海捞针,且企业经营管理风险的表现形式也发生了变化,单凭审计经验、再加之审计资源的有限,往往会造成企业重大风险缺陷、重大问题的遗漏。传统经验型审计方法,审计的过程难以复盘,审计的结论也会由于审计人员经验水平高低差异出现不同的定性,这就要求内部审计组织,不仅仅要重视审计底稿、审计报告格式及审计程序的规范化建设,更要重视审计查证问题的方法手段和审计问题定性的标准化建设。
5.重视对审计结果的质量把控和考核,忽视对审计过程的把关。
目前内部审计机构都比较重视对审计底稿、报告的复核,以避免重大问题事实描述和定性不清,规避审计风险,提高审计信息的价值。一部分大型企业集团还建立了多级复核和审理制度,除项目组的主审和组长复核外,还由上级审理机构进行审理把关;在审计项目考核体系中,对审计底稿和审计报告的考核也占有很大比重。但是普遍存在对审计底稿和审计报告的编制,特别是审计证据取得的过程控制重视不够的问题。虽然审计组在现场审计时,小组长、主审、组长都会对审计底稿进行复核,但往往注重在审计底稿和报告完成后对审计查出的问题事实描述是否清楚、定性是否准确、定性的法规依据是否合适等进行审理复核和考核。很少对审前调查是否针对审计目标,审计方案是否和审前调查的结论衔接,审计现场是否按照审计方案的分工和确定的方法检查重点内容,审计证据取得的方法是否科学,是否实施了必要的程序证明审计底稿的结论,审计结果是否实现了审计的目标。由于缺乏对审计过程的约束制度或没有手段和方法更好地去控制,往往造成审计人员只重视审计底稿和审计报告的编制质量,只能保证查到的问题写得清、讲的明、定性准,往往造成重大违规违纪问题的遗漏,或者其他重要审计目标不能很好实现,势必影响审计项目整体的质量。
二、解决审计项目质量问题的主要途径探究
面对上述审计项目实施全过程存在的质量问题,为了更好控制审计项目质量,内部审计组织也纷纷从制度上、方法上、手段上研究解决问题的途径和措施,也初步取得了一些成效。笔者认为,在审计质量控制中,审计信息化工作发挥着越来越重要的支撑和保障作用。构建信息化条件下的审计质量控制体系显得日趋重要,应逐步尝试建立从审计计划立项,到审计实施方案,到审计报告,直至审计后续整改的审计项目全业务流程的数字化管控平台,以及审计业务实时跟踪、动态管理指导、在线复核审理、考评的管理平台,用现代信息技术和方法提高审计项目质量。
1.以风险为导向,构建审计立项的协同共享信息平台。
除制度规定必须开展的审计项目外,其他项目的立项,首先要以风险为导向,在预警预报上下功夫。审计工作很重要的一个任务就是要善于发现苗头性、倾向性问题,早一点发现,早一点预防,就能避免更大的损失。笔者认为,在信息化程度相对较高的大型企业或集团,应该建立审计预警预报系统或重点业务风险评估模型,对高风险领域、重点企业、重点部门、重点业务的关键数据和指标进行实时的监控和对比分析,发现风险所在,确定风险因素出现的概率、重要性及影响程度,进而帮助审计项目的科学立项。其次,围绕中心,服务大局,就是要了解决策层、管理层关注什么,员工关心什么,就需要审计计划立项者收集和掌握大量的信息,如何全面了解这些信息,笔者认为,应该对已有的生产、经营、管理相关信息系统实现自动集成集中,实现信息的协同共享,从而辅助管理类审计项目的立项。
2.建立自动关联的数字化审前调查和审计实施方案模型。
审前调查就是要根据审计立项的意图摸清审计对象的总体,为制定审计方案打好基础。笔者认为,审计对象的总体应包括组织机构、经营业务范围规模、各种生产经营管理的政策规定等基本情况,资产、负债、损益、收入、成本、利润等重大变化以及各项内控制度的建立及执行情况的了解等,在建立上述调查所需信息模型的基础上,要求被审计单位开通相关信息系统用户或建立数据接口直接在线获取审计数据;对于已实施ERP或其他财务信息系统的企业和单位,可利用趋势分析、结构分析等方法获取重大财务信息变化情况,也可利用审计项目历史档案,分析企业带有普遍性、规律性的问题作为确定审计范围和审计重点的依据;同时可利用审计预警预报系统,发现被审计单位的具体风险点,也可以开发一些内控符合性测试软件,通过符合性测试找出内控管理的薄弱环节和薄弱点。建立审计方案的数字模型,包括审计项目的目标,审计依据、审计范围和重点、审计方法、审计分工和审计时间安排等内容。在审前调查完成后,可以将审计需要的法规、政策和领导讲话等自动关联到审计依据。重大变化事项、符合性测试了解的内控薄弱环节等自动关联到审计方案的审计范围和审计重点,在此基础上,通过对审前调查取得的资料进行分析研究,确定可行的审计方法,测算工作量,进行人员的合理分工和审计时间的分配,然后形成数字化的审计实施方案。
3.实现审计结果载体模板化和信息化数字化审计方法的结合。
审计项目应按照审计实施方案的要求组织实施,审计底稿既要反映审计问题的结果,更要反映审计项目的工作过程,审计项目工作过程记录和反映的是审计人员实施检查的范围和审计方法,是编制审计底稿,汇总审计报告的前提。防范和控制审计风险的关键是运用现代信息技术和方法。笔者认为,在应用常规审计方法的同时,在审计项目作业平台中嵌入审计模型,同时通过系统工作日志反映和记录审计过程的痕迹,明确审计人员的责任,提高审计项目的效率和审计证据的质量;在建立审计底稿和审计报告格式、内容模板电子化基础上,应组织力量对内部审计常见的问题,包括违规违纪问题及管理上的问题进行归类和定义,在审计作业平台上建立审计问题定性模板,实现常见审计问题定性与依据模板库条款自动关联,也可与本单位法规信息库或公共法规建立索引链接,以保证审计定性的准确性和审计定性依据的规范性,确保审计结果的质量。
4.实施审计项目全过程的在线管理、审理和考核,保证审计目标实现的质量。
要实现审计全过程的质量控制,内部审计机构应首先合理制定审计项目业务流程,并实现审计业务流程的信息化,审计人员必须按照规定的标准流程在线操作。管理层可以实现对审计项目全流程、各环节的管理和监控,实时掌握每个项目的进展情况,及时发现问题,加强了对审计项目的动态管理;在系统中建立在线实时审理平台和审理档案,对审前调查、审计方案、审计组织、审计方法及审计结论和审计决定建议是否符合审计目标进行复核审理,及时进行纠偏;在线作业平台对每个审计项目业务环节明确责任,审核环节全部留有系统在线痕迹,有权限的人员可以随时查看和了解审计项目全流程的完成时间和审核痕迹,每名审计人员均会主动关注项目动态和关键控制点完成时间和完成的质量,促进责任意识的提高;从项目立项开始到归档,实施方案、工作底稿、报告、决定等整个项目文档及审核过程均体现在作业平台中,管理层可以根据需要随时查询分析审计项目信息,同时,系统还应自动汇总每位审计人员在审计项目中的角色及工作成果,可以追溯查询到审计发现问题的具体情况、审计报告内容等,方便管理层对各级审计机构及人员的工作信息查询及业绩考核,提高考核效率和准确性。审计在线作业平台,可以更好地解决原来由于手段和技术的限制,往往只对审计结果的审核和考核问题,真正实现对审计项目全流程的质量管理和控制。
