企业内部审计外包审计质量控制研究
来源:用户上传
作者: 王利强
企业内部审计外包(outsourcing the internal audit function)指企业将本企业的内部审计职能全部或部分地委托给会计师事务所或其他专业人员实施。内部审计外包通常可划分为四种形式:全部外包、专项外包、合作审计和结构性外包。一是内部审计全部外包,是指企业内部不设置内部审计部门,但保留内部审计职能,并将内部审计工作完全委托给会计师事务等外包服务的提供者来完成;二是专项外包,是指当企业的内部审计人员不能胜任某个或某些内部审计项目时,需要寻求外部审计人员的协助完成审计任务或者将这些内部审计任务全部外包;三是内外成员结合审计,亦可称合作内审,这种外包形式下,内部审计工作由一个统一的项目和审计工作组来完成,成员包括内部审计师和外部审计师,但内部审计师和外部审计师对这种结合审计分别承担不同的责任;四是结构性外包,即将内部审计的部分职能外包,主要指内部审计部门将内审职能范围内的部分审计业务切块外包给外部中介,如将工程审计、财务审计整体外包给会计师事务所。
一、内部审计外包质量控制的必要性
内部审计质量控制是由内部审计组织的审计人员实施的,是全体内部审计组织和审计人员都必须参加的自律行为。内部审计质量是内部审计工作的生命线,是审计委托者关注的焦点,其直接目的是增强审计工作的可靠性、准确性、合理性、效益性和效率性,更好地服务和实现审计目的。
内部审计外包质量控制具有极其重要的现实意义,内部审计外包质量控制是内部审计工作质量保证的重要内容,是防范审计风险、减少审计成本的需要,是内部审计职能机构自我完善和发展的需要,它直接影响到内部审计监督、服务作用的发挥水平,强化内部审计外包服务质量控制是提高内部审计质量的保证,贯穿于每个外包审计项目的全过程,对外包审计项目质量控制的好坏,成为衡量企业内部审计工作优劣的标准之一。
二、企业内部审计外包审计质量控制现状
目前企业对内部审计质量控制从总体上看,还处在一个相对较低的阶段,落后于内部审计实际工作的需要。企业的内部审计外包质量控制受内部审计环境、内部审计法规、审计队伍等多方面的影响,主要表现在如下几个方面。
1、审计质量管理体系不完善,内部审计外包质量控制缺乏明确的标准。在企业的内部审计规范体系建设上,相对偏重于内部审计的法律规范和内部审计业务规范建设,相对忽视内部审计外包质量控制标准等内部审计管理规范的建设,造成的结果是内部审计外包质量控制标准建设滞后,内部审计外包质量控制无章可循。缺乏对外包审计的过程、成果进行有效执法的行为准绳。
2、目前内部审计外包成果普遍存在“两重两轻”现象。即质量现状体现为“重审计实施、轻审计准备”,实务中有时发现审计方案重复拷贝不走样。审计方案换换企业名称即可,审计实施与审计方案“两张皮”,审计目标不明确,重点不突出,影响内部审计质量;“重审计委托、轻审计过程监督”,内部审计项目初次外包之前,外部审计服务供应商选择相对谨慎,至少程序上比较规范,一旦内部审计项目发包以后,有时会造成内部审计过程走过场,内部审计监督作用不能充分发挥,审计的监督效能就大打折扣。
3、内部审计人员素质不高。内部审计人员业务素质整体水平不高,对法律法规不熟悉,缺乏应有的专业知识、谨慎态度和判断能力。内部审计人员在审计外包的过程中。表现得缺乏审计专业素养。如对审计项目准备不充分,审计计划缺乏可行性,审计外包手续不完备;外包审计责任不明确,审计人员质量风险意识淡薄等等。
4、工作底稿及审计档案的存档问题。在实务工作当中。由于内部审计业务进行了外包,外部中介实施审计的工作底稿常常由其自行保管,造成委托单位审计底稿保留不完整甚至没有保留内审工作中形成的审计工作底稿。有的单位审计工作底稿即使保留,其后续的分类、归档工作也不及时,造成后续外包审计项目质量失控的风险。
5、内部审计服务合格供应商的选择问题。在企业的外部审计外包当中,通常由于对内部审计的地位、认识问题,有很多来自审计职能部门自身不能左右的力量影响高质量的审计服务供应商的选择,如成本预算约束、公司利益相关方的影响。造成这种情况的主要原因是内部审计环境有待改善,不是由企业专业职能部门主要决定内部审计服务提供商。
6、外包审计人员执业素质相对不高。鉴于内部审计的审计风险较小,且内部审计的风险与外部审计的风险、责任完全不一样,会计师事务所在安排项目人员调度时,往往将能力相对较弱的从业人员安排到内审业务当中,内部审计服务项目往往成为外部审计机构“练兵”的场所。尤其在事务所业务紧张的时候,人员安排捉襟见肘的情况更是严重。
三、内部审计外包审计质量控制的内容
内部审计外包的质量控制应该遵循如下原则:依法审计、客观公正原则;审计活动能够增加价值和改进组织的经营效率和效果的原则;成本―效益原则。实践当中,主要做好以下几个方面的控制情况。
1、外包单位承诺履行情况。内部审计外包承接机构是否按照承诺派出符合相应资质和经验要求的人员参与内部审计,审计人员调整事先征得内部审计委托方同意;是否按照审计业务约定书规定的时限完成内部审计工作并提交审计报告;是否严格履行保密义务。不对外泄露委托方和被审计单位资料与信息。
2、审计项目质量控制。是否按照内部审计机构委托方要求实施审计,取得充分的审计证据;审计测试记录和审计工作底稿的编制及复核是否符合内部审计机构委托方的要求;是否对被审计单位的反馈意见进行了核实;报送内部审计机构委托方的审计工作文档是否完整、规范。
3、审计工作效果。内部审计报告和管理建议要客观、准确、清楚、扼要;对委托方和被审计单位的经营管理及审计工作是否提出了建设性意见。
4、执业素质与职业道德。内部审计外包承接机构是否审计力量较强,整体素质较高,业务能力较强,熟悉委托方业务;审计人员工作态度与作风较好,认真负责,严谨细致;审计人员能严格遵守审计纪律;遵循客观性要求,向委托审计的内部审计机构如实报告所有重要审计事项。
四、内部审计外包审计质量控制的手段
1、建立健全内部审计外包质量评价体系。要借鉴先进公司内部审计质量控制得的成功经验,建立公司统一的内部审计质量控制的执业规范、准则和评价标准,对于促进内审工作质量管理无疑具有十分重要的作用。目前内部审计的审计评价普遍存在只重视定性分析,而轻视定量分析的状况,而定性分析有时又难以准确把握,存在着主观随意性。因此,建立详细可操作的内部审计质量评价体系,有利于区分责任和绩效考核,为体现激励机制和惩罚机制,为内部审计质量提高提供保障。制定的审计质量评价体系,既要具备较强的操作性,又要便于前后期对比和经验总结,避免在制度规范中出现过多的文辞费解和
不易操作等缺陷。
2、因地制宜的选择合适的外包形式。内部审计外包是一个系统的工程,首先要结合企业的发展需求对内部审计外包进行决策分析,考虑哪些项目需要外包以及外包什么程度,然后根据资源状况选择适当的外包形式。在具体操作过程中,可以参照先进企业的成功经验,根据企业的需要及成本效益作出外包决策。如对于计算机信息系统等专业领域,可以采用“专项外包”的形式,借助信息系统会计师完成依靠内部力量无法完成的工作;而对那些内部审计业务很少的中小型企业,难以聘到高水平的审计师,如单独设置内部审计部门并配备专业的内部审计人员可能不符合成本效益原则,此时“内部审计职能全部外包”则可能是企业的最佳选择。
无论企业选择哪种方式,都应结合企业自身的管理需要和成本效益来决定。但是成本不是企业管理层决定外包的唯―依据,审计服务的有效性,即能否在相同的成本条件或更低的成本支出下,提供更高质量的服务,才是最重要的参考依据。
3、注重对委托项目“两端”的内部审计质量控制。对于内部审计项目质量控制的整个过程,从委托―计划―实施―报告―复核―公告―整改等各个环节,一般来讲都要进行必要的管理与控制,就像企业生产中的全面质量管理,这样才能把质量控制落到实处。具体地说,加强内部审计质量控制措施,按作业顺序来,可以分为审前控制、审中控制和后续审计。审计前的控制主要是有关审计项目立项和编制计划、内审监督协调员选派的控制;审计过程中的控制主要是健全审计日记和审计工作底稿体系,在保证审计取证和复核时的充分性和适当性,则既要有结论,又要有详细的记录,做到“知其然,也知其所然”,以及监督撰写高水平的审计报告;后续审计主要是对内审审计报告发出后新发现的问题进行纠正,目的是为了总结经验,吸取教训,保证审计质量和审计水平的提高。
但是,既然将内部审计外包给会计师事务所等外部服务供应商,作为内部审计职能机构或对应企业职能机构来说,就要扬长避短,利用企业有限的资源,重点抓好内部审计项目质量控制的两端,即审计委托项目的选择、内审方案的审核和内部审计报告的出具,让会计师事务所发挥其长处,加强对审计项目过程中的审计质量控制,重在发现审计问题,实现审计目标。
内部审计外包的“前端”的审计质量控制。审计项目选择要考虑:一是管理层关注与公司当前主要中心工作相关的项目;二是企业资金投入大、建设周期长的项目;三是内审力所能及、能够获得被审计单位接受、支持配合的项目;四是连续多年审计发现问题难以彻底整改的项目;五是选择审计数据和资料来源有保障的项目。
审计方案制定控制:首先,应要求外部审计师进行充分的审前调查,在摸清被审对象总体情况的前提下,明确无误、科学、合理地指导外部审计师确定审计范围、审计内容、审计重点、审计目标、内审人员分工安排和审计时间等。并明确内部审计师对外部审计师的监督和指导责任;其次,应使所制定的审计方案全面具体、细化到位、便于操作,完整体现审计的全过程要求;最后,应明确规定审计方案调整的情况和审批要求。减少审计方案调整的随意性。
内部审计外包的“后端”的审计质量控制主要是审计报告编制复核。审计报告是会计师事务所向企业报告审计项目结果的文件,是企业内审机构向被审单位下达审计结论的依据,是审计工作的最终成果,是审计质量的综合体现,企业应对提交的内部审计报告在允许的条件下实施三级复核。即重点复核:一是审计事实是否清楚;二是审计程序是否合适,是否实现审计目标;三是审计证据是否具有客观性、相关性、充分性和合法性,审计依据是否正确,四是审计评价意见是否恰当;五是审计建议是否利于改善组织的风险管理和增加组织价值;六是审计报告的结构是否完整、层次分明,用语是否规范。
4、建立内部审计质量的责任追究制度。在企业内部,在内部审计组织和内部审计人员自查的基础上,审计职能机构对内审结果的监督检查,主要措施是分级督导和内部互查,但是督导具体职责不明确,对内部审计质量的提高所起的作用会不甚明显,因此要将审计责任追究制贯穿于审计的全过程,明确内部审计的审计质量责任,特别是重要审计项目的审计质量控制要确定专人负责检查与督促,发现问题及时纠正,将影响质量的要素解决于萌芽之中。在外部检查与监督方面,内部审计委托部门应成立专门的业务监督和考核部门,制定明确的业务监督和考核程序和方法,有重点、有选择地对重要的审计项目进行检查,帮助和督促被内部审计加速审计整改步伐。内部检查与外部检查是相辅相成的,应以内部检查为主,外部检查为辅,外邮检查仅帮助和指导内部审计建设与发展,而内部检查是自我完善和提高的校正性过程,后者更具有针对性、及时性和效果性。
对于内部审计的结果,应建立健全责任追究制度。要建立健全明确、清晰的指标、标准,来判别从主审人员到审计组长。再到复核部门、主管领导,对内部审计结果应该承担的质量控制责任。健全的追究责任制度是内部审计质量的有力保证。内部审计项目质量控制的核心是建立完善督导和质量责任追究制度。加强审计质量控制制度建设,要以审计责任追究为核心,建立和完善以审计复核、审计考核和完善以审计复核、审计考核、审计督导和审计责任追究为主体的审计质量控制制度体系。
对于监督内部审计外包质量控制不称职的员工,首次责任认定后应予以劝诫,帮助其提高质量控制的认识意识和业务水平;屡次认定责任失职后,对不能满足内部审计质量控制要求的人员应予以进行内部岗位轮换,甚至建议调出内部审计职能部门,以示审计质量控制的严肃性。
对于内部审计外包质量控制考核不合格的供应商,应按照合同条款予以扣减审计费用并同时降低该供应商下一年的内部审计服务单价;对于审计质量持续2年考核不合格的供应商,应该列入“黑名单”,永远不得进入企业的审计外包服务候选供应商行列。
五、内部审计外包审计质量控制注意的问题
不可否认,外包会计师事务所等供应商整体而言具有相对较高的专业化水平,拥有丰富的经验和广阔的见识,但不能因此就断定内部审计外部化后的内部审计质量就一定高,而完全依赖外包审计解决企业发展中应由内部审计解决的问题。现实中,内部审计外包本身有一些固有的风险,尚需注意其对内部审计质量的影响。
第一,内部审计外部化后,企业委托代理关系的链条加长,同样会因为信息不对称而加大逆向选择和道德风险的可能。
第二,审计面对的内控环境,不能仅仅依靠雇员道德来遵守,在强大的利益驱策下,道德的力量有时候会变得很微弱。另外,这些约束真正发挥效力的时候是在事后,往往以某种处罚的形式表现出来,其在事中的约束效力如何很难得知,所以根本无法保证审计过程中各个环节的审计质量。事实上,要想从根本上保证审计质量恰恰就得从每个审计项目的各个环节做起,实施全面的质量控制。再次,外部审计的视角上的缺陷和审计范围可能受到的限制都会影响审计质量。外聘会计师事务所的知识结构往往是通用有余,专用不足,处理具体问题时可能只见树木,不见森林,对企业缺乏深入地了解,未必能很好地契合企业实际,从而也很难保证审计质量。
第三,外部审计服务供应商不如内部审计人员熟悉企业的实际情况、了解管理层所需,不能积极主动地围绕企业目标而展开审计工作,进而影响审计质量。
第四,存在不同的忠诚度。企业内部员工忠诚于企业,而外包审计服务供应商等承包者忠实于承接外包的会计师事务所等中介机构。这意味着,外部审计服务供应商不用承担最终结果,但内部审计发包方必须承担相应的审计责任,即内部审计外包不能免除内部审计职能机构应该承担的审计责任,审计职能机构应对最终的审计结果承担管理责任。
第五,审计结果无法保密。内部审计外包的过程,外部审计师可能接触公司大量的内部经营数据,触及到企业经营管理的方方面面,尤其是制度层面的一些机密,因而存在泄漏企业成功的经营实务、竞争优势及其他商业秘密的风险。
总之,内部审计外包后的质量控制问题是一个系统工程,只有从组织、人员、手段和过程等方面实施全面控制,才能产生实质性的控制效果,才能真正实现内部审计机构增加组织价值并提高组织机构的运作效率的目的。
(责任编辑:胡冬梅)
转载注明来源:https://www.xzbu.com/2/view-441308.htm
