企业的内部控制体系是由若干围绕具体业务流程的内部控制体系有机构成的,每个业务流程的内部控制体系建设和持续改进才是最具体的和有效的,因此,企业内部控制体系审计哪些内容,实质就是每个业务流程的内部控制体系的内容。
企业需要围绕具体业务所建立的现存内部控制体系在覆盖业务循环活动全过程与目标,满足内部控制预期要求的程度进行审计,以证实和评价其内部控制体系建设的充分性
怎样来证明企业所建立的针对某具体业务的内部控制体系是充分的还是不充分的,是否存在真空,这就需要对一些条件和要求进行测试,看其是否符合企业内控制度的政策、流程、方法与责任,就是我们所要讲的企业内部控制体系审计哪些内容。
《企业内部控制规范》就是一个用来指导企业的内部控制完善性程度的一个基本标准,它也是企业内部控制体系建立完善的权威指南。包括:内部控制环境;风险评估;控制活动;信息与沟通。评估与监控。
同时按照风险管理理论的观点,企业组织应对组织活动所面临的显性和隐性的风险尽可能的进行识别,并对其进行管理。从内控风险出发,对于任何一项具体业务对象,我们给出企业内部控制体系审计需要测试的通用内容,包括五个方面:
1、内部控制环境;
2、内部控制风险识别,评估与防范;
3、内部控制措施与控制活动情况;
4、内部信息识别与管理;
5、内部控制监督、评审、纠偏与改进情况。
审计的对象是企业组织为某业务活动和结果所建立的内部控制体系全部内容。测试的结果为有制定和没有制定两种情况。
一、内部控制环境
内部控制环境指企业组织内的某类经营管理活动过程其内部控制赖以存在的基础,包括诚信观,道德观,胜任能力,目标设定,内部治理,审计、监督、决策层作用,管理风格,管理哲学,内部控制认识,组织结构,权利与责任的分配,人力资源政策及实施情况,行为要求,规模,跨度,管理链情况等。
1、权力制衡情况:决策层、监督层、执行层的设置与职责分布;
2、三个层面岗位的设置情况与岗位职责,特别是关键岗位的设置与岗位职责;
3、内部控制目标设定情况如经济指标、参数等;
4、人力资源政策、培训制度、岗位能力要求等制定情况;
5、管理层内部控制认识、管理风格;
6、岗位配置人员的素质情况;
7、员工道德要求与行为规范。
二、内部控制风险识别、评估与防范
1、内部控制潜在风险识别情况;
2、内部控制潜在风险程度评估情况;
3、内外环境变化时,内部控制潜在风险再识别与再评估及时性情况;
4、内部控制潜在风险防范措施。
三、内部控制措施与控制活动情况
1、为保证内部控制目标实现而制定的政策、制度、规定、业务流程等;
2、授权与分权情况;
3、经济活动运行的报告、统计情况;
4、复核情况;
5、业务检查与监督情况;
6、非相容岗位的分离设置情况
7、关键过程或环节的控制情况。
四、内部信息识别与管理
1、内部控制信息体系的建立与保持情况;
2、内部控制信息的识别、处理、沟通与反馈;
3、内部控制制度的管理;
4、内部控制记录的管理,特别是关键内部控制记录的管理。
五、内部控制监督、评审、纠偏与改进情况
1、内部控制活动的监督情况;
2、内部控制体系的评审情况;
3、自身效能监察情况;
4、对违规、违纪等偏离情况的整改处置、纠正与预防措施;
5、内部控制体系的持续改进情况。