时间:2023-03-30 11:34:42
序论:在您撰写审计案例论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
根据有关要求,不含B股的境内金融类上市公司年报,在经境内会计师事务所审计的同时,还须经境外国际会计师事务所审计。而截止2000年底,在沪深两市中,除含有B股的上市公司外,银行类上市公司只有三家,即民生银行、浦发银行和深圳发展银行。从这三家上市银行已公布的2000年年度审计报告来看,许多报表项目存在较大的境内外审计差异。为了说明问题,笔者从中选取若干报表项目的数据作比较,其差异状况如表一。根据表一的数据,可以将境内外审计差异概括为以下三方面:
1.财务状况方面的差异:(1)资产差异。三家上市银行的期末总资产境内审计数都大于境外审计数,其平均差异率为1.3%;(2)负债差异。除民生银行没有负债差异外,其他两家银行的期末负债境内审计数都大于境外审计数,三家上市银行的平均差异率为0.4%;(3)股东权益差异。三家上市银行的期末股东权益境内审计数都大于境外审计数,其平均差异率为13.5%;(4)每股净资产差异。三家上市银行的期末每股净资产境内审计数都大于境外审计数,其平均差异率为14%。
2.经营成果方面的差异:(1)净利润差异。三家上市银行2000年度净利润境内审计数都大于境外审计数,其平均差异率为33%;(2)每股收益差异。除发展银行没有每股收益差异外,其他两家银行的每股收益境内审计数都大于境外审计数,三家上市银行的平均差异率为29.6%。
3.现金流量方面的差异:(1)现金净流量差异。2000年度,除浦发银行没有现金及现金等价物净流量差异外,其他两家银行都有该方面的差异,且其境内审计数都小于境外审计数,三家上市银行的平均差异率为118.6%;(2)每股经营活动现金净流量差异。2000年度,三家上市银行每股经营活动现金净流量的境内审计数都小于境外审计数,其平均差异率为276%。
不难看出,上述境内外审计差异呈现出两个特征:一是其差异的存在是全方位的,涉及财务状况、经营成果和现金流量各个方面。对于基数较大的指标,其相对差异较小但其绝对差异较大,而对于基数较小的指标,其绝对差异较小但其相对差异较大;二是其差异又都是同向的,不存在同类项目间相互中和或抵消的可能。由此,如果会计信息没有审计比较,上述差异特征就显现不出来,那么,会计信息的单向虚增或虚减就不易被发觉,其危害性不可小视。在这方面,东南亚金融危机的教训是非常深刻的。在1997年东南亚金融危机爆发前,尽管许多东南亚国家的大公司和大银行都聘请了“五大”国际会计公司进行审计,但其审计所遵循的是当地的会计准则和审计准则。具有讽刺意义的是,许多东南亚国家的公司和银行在收到无保留审计意见的审计报告后不久,其持续经营假设就受到严峻的挑战,不是被重组就是被清算。如果当地政府要求国际会计公司在审计过程中,除遵循当地法定审计要求外,再增加按照国际审计准则要求的审计,在审计报告中,增加审计差异的补充资料,则会使审计更加深入。这对于揭示企业或银行潜在的财务危机、保护投资者和债权人的利益、避免金融危机的发生,都具有重要的意义。不过,令人欣慰的是,我国管理当局目前已经充分认识到这方面的重要性,并且也以境内上市金融类公司作为试点。然而,揭示差异并不是目的,其目的是在分析原因的基础上为了更好地缩小或消除差异。
二、差异的主因:会计估计差异
会计信息境内外差异产生的原因主要有二:一是会计准则的设计差异,另一是会计准则的运行差异。对于前者,只有通过会计准则的国际化来消除;对于后者,主要是通过提高会计及审计人员的素质和职业判断或估计水平来缩小。客观地说,上述三家银行都存在着会计准则的设计差异和会计准则的运行差异,可我们的问题是,造成上述三家上市银行的会计信息差异的主要原因是什么?是会计准则设计上的差异,还是会计准则运行差异?经过分析,不难发现:
第一,上市银行财务状况和经营成果的境内外审计差异,主要是由于贷款呆账准备金的期末余额差异和本期计提差异所引起的。而按照财政部《公开发行证券的商业银行有关业务会计处理补充规定》(财会[2000]20号,以下简称“20号文件”)的规定,上市银行的贷款呆账准备的计提、核销和风险认定与国际会计准则没有实质性差异。
“20号文件”中规定,贷款呆账准备应根据实际情况合理计提。合理计提包括两方面内容:一是合理的提取方法,另一是合理的提取比例。对于前者,文件规定采用国际通行的五级分类法。这一规定已经改变了原来按期限法(一逾两呆)提取呆账准备的做法;对于后者,文件规定不再按统一的比例计提。上市银行应当根据贷款对象的财务和经营管理状况,以及贷款的逾期期限等因素,分析其风险程度和回收的可能性,合理确定贷款呆账准备金的提取比例,同时要求上市银行采用追溯调整法来消化不良资产。而所有这些规定与国际惯例完全吻合,有鉴于此,如果说国内银行与国外银行存有差异的话,这只是实务操作中的判断或估计差异,是由于国内外银行会计人员的分类和比例判断标准不同所致,而不属于会计准则设计或本身的问题。由此,注册会计师在审计过程中,对上市银行提取呆账准备的合理性作出判断,是至关重要的。
另外,通过对三家上市银行贷款呆账准备金的境内外审计比较,发现国内外职业判断的差异比较大,无论是期初、本期和期末呆账准备金,其境内审计数都远远小于其境外审计数,其平均差异分别为106.7%、84.9%和103.8%。有关贷款呆账准备金的具体差异见表二。
我们知道,贷款呆账准备金的期初余额和本期计提数直接影响财务报告的利润总额和资产构成。从上表可以看出,民生银行在2000年度提取一般准备金后,呆账准备金金额达到4.70亿元,高于会计人员按信贷资产按五级分类法测算应提取的呆账准备金3.40亿元,因此2000年度不再另行提取呆账准备金;而境外审计师认为:基于稳健原则,应在报告期期初增加计提呆账准备6.05亿元,报告期内增加计提呆账准备3.25亿元。由此造成境外审计的年度利润总额比境内审计的利润总额少3.25亿元。浦发银行也存在类似的情况,境内审计师按五级分类测算后,仅计提3.02亿元呆账准备金,而境外审计师则认为应计提4.92亿元。与民生银行、浦发银行相比,深圳发展银行则足额提取了呆账准备金,境内外审计结果基本相同。但是,由于该项会计政策而产生的追溯调整,境内外审计的差异较大,境外审计师认为年初应增加呆账准备金10.43亿元,构成了境内外审计师对净资产审计数的主要差异。由此可见,尽管民生银行、浦发银行和深圳发展银行都按照国际会计准则的要求采纳了贷款的五级分类法,但是由于银行会计人员判断五级分类的标准,以及按五级分类标准计提的贷款呆账准备的比例不同,导致境内外审计的巨大差异。
第二,上市银行现金净流量境内外审计差异较大,但“现金及现金等价物”在国内会计准则(或会计制度)中的定义与国际会计准则中的定义没有实质差别。
勿庸置疑,现金流量表的核心是现金及现金等价物。对于现金的定义一般不会产生异议;对于现金等价物的定义,国际会计准则委员会(IASC)除赞同一般公认的“期限短、流动性强的投资”外,还认为其应是“易于转换为已知金额现金且价值变动风险小的投资”。我国对现金等价物的定义虽与IASC基本一致,但只对“期限短”作了明确解释,对其他三个条件只是要求根据具体情况进行职业判断,这很可能导致企业或银行主观臆断或无所适从,甚至通过“适当判断”来谋求对自己有利的结果,从而带来新的报表粉饰问题。迄今为止,我们还没有看到对我国银行等金融机构的现金及现金等价物确定标准的权威性规定,目前可以看到的只是三家上市银行年报上对现金及现金等价物构成范围的会计政策披露。深圳发展对现金没有作出明确的规定,但对现金等价物给出了“现金等价物是指期限短、流动性强、易于转换为已知金额现金且价值变动风险很低的投资及存放于中央银行可运作之款项”。浦发银行虽然没有在附注中披露有关现金和现金等价物的会计政策,但以表下注解的方式说明了现金和现金等价物的范围,它包括现金及银行存款、存放于中央银行的备付金。与之相对应,境外审计师则认为,现金及现金等价物包括现金、中央银行存款余额、低于三个月的拆放同业和低于三个月的存放同业组成。不难看出,境内外审计师的职业判断差异,是导致现金净流量审计差异的原因所在。
因此,上市银行境内外审计结果的差异,不是会计准则的设计差异,而是会计准则的运行差异,主要是由于境内和境外审计师对会计准则的具体应用不同造成的,属于会计估计的差异。
三、缩小差异的对策
通过比较分析,上述三家上市银行2000年度审计报告的境内外审计差异是巨大的。不难设想,沪深非银行上市公司的境内外审计差异究竟有多大。面对目前的现状,千万不可小视,更不能听之任之,当务之急是怎样去缩小会计估计的境内外差异。有鉴于此,笔者认为,主要应从以下两方面入手:
(一)初步评价货币资金内部控制情况通过了解A公司货币资金内部控制情况,初步判断A公司的货币资金内部控制健全性一般,合理性一般,主要体现在货币资金内部控制制度方面存在“现有的资金管理制度比较陈旧,和正在执行的资金管理流程相脱节”等缺陷。
(二)测试货币资金内部控制运作通过检查证据、实地考察等程序,结合A公司实际执行的资金管理流程,测试货币资金的内部控制,判断现有的内部控制程序可以信赖,内部控制需要完善,主要存在“部分现金收支无审批流程、网银付款授权额度不合理、POS机管理存在风险、月度资金预算流程需完善”等缺陷。
(三)评价货币资金内部控制水平A公司现有制度规定、实际执行和业务抽查中,发现货币资金内部控制比较健全,但存在一定的薄弱环节,因此确定该公司的货币资金内部控制风险为中等。
(四)货币资金的经济性情况A公司从2012年开始启用山经资金预算系统,2012年资金预算支出总体执行率111.13%,2013年资金预算支出总体执行率104.01%,2012年资金预算偏差较大,公司多次进行资金分析和预算管理,并采取有效措施,2013年预算执行率得到提高,资金支出预算执行率偏差在5%之内。公司根据生产经营实际,及时调整资金预算,提高资金预算执行率。通过资金支出预算执行分析,公司货币资金管理的经济性较好。
(五)货币资金的效率性情况A公司根据行业上级公司统一要求,实行资金收支两条线,资金由行业上级公司统一调度使用,现有资金管理模式比较合理。货币资金内部控制流程中的部分岗位职责存在重复现象,职责不清,且未见岗位激励机制。抽查2012年9月银行支出户的银行未达,发现存在单据传递不及时、部门之间协作待完善的现象。通过职责分工、激励机制和内部部门之间协作方面,确定货币资金管理的效率性为中等。
(六)货币资金的效果性情况A公司2012年度绩效考核评审105.66分,2013年度绩效考核评审110.55分,完成了年度绩效目标,其中涉及资金管理的财务指标均已超额完成。货币资金管理完成了年度预算,达到了货币资金管理的效果性。
(七)货币资金管理潜力分析通过对A公司两年的货币资金内部控制情况和货币资金效益审计,审计组认为以下两个方面有潜力:1.货币资金管理的健全性和合理性,若扣除其他人为因素,公司根据实际情况及时修订制度,优化资金管理流程,货币资金的内部控制情况会有较大的改善。2.货币资金的效率性,通过完善岗位职责,建立岗位激励机制,加强部门之间沟通协作,资金管理效率性会大幅度提高。
二、存在的问题和审计建议
(一)现有货币资金管理制度比较陈旧,和正在执行的货币资金管理流程脱节,建议及时修订制度,完善资金管理流程。
(二)实质性抽查中发现部分现金收支无审批流程、网银付款授权额度不合理、POS机管理存在风险、月度资金预算流程需完善等现象,建议梳理资金管理流程,规范过程控制,加强日常资金收支管理,将内部控制落实到实处。
(三)资金管理部分岗位职责存在重复现象,且由于人员更换和轮岗,原有岗位职责和现有实际职责不一致,建议根据实际情况,结合行业资金管理要求,制定切实可行的岗位职责。
(四)部分单据传递不及时,建议加强资金管理部门和业务部门之间的沟通和协作,互通信息,按时进行账务处理。
三、审计评价
A公司能够按照资金管理规定,制定货币资金管理制度,规范业务流程,加强货币资金的内部控制。通过货币资金支出预算控制,提高货币资金管理的经济性;通过资金收支两条线管理模式、岗位职责分工、加强部门之间协作,提高货币资金管理的效率性;通过完成财务绩效指标从而促进公司绩效考核指标完成,达到了货币资金管理的效果性。通过货币资金内部控制管理,提高了货币资金管理的效益,促进了公司经营指标稳步提升。
第一,企业的经济效益一直是备受关注的焦点,如何对企业展开效益评价,效益审计应运而生。适应形势发展要求,大力开展效益审计可以说是形势所迫,大势所趋。同时是审计工作的创新和发展,更是全体内部审计人员维护和保障企业经济可持续发展应尽的职责。
第二,从实际案例看,货币资金效益审计始终围绕企业效益的主线,效益审计在很大程度上又必须关注货币资金效益审计,两者之间的管理体现为互补。无论是效益审计还是货币资金效益审计都是审计事业长足发展需努力的着力点。因此,开展货币资金效益审计与效益审计相结合是今后所要遵循的作业模式,这样才能更好地突出审计的特点和优势。
论文摘要:审计教学中的案例教学法是一种很有价值、实用性很强的教学方法,已被广泛重视,但在实际运用中也还存在诸多问题,如:教师业务素质、案例选用、考核办法等方面,针对这些不足,本文提出了相应的改善措施。
审计基础课程是建立在许多专业知识之上的一门综合性课程,它具有很强的理论性、实践性和与其它学科的渗透性。传统的审计课堂教学,基本上是“教师讲、学生听;教师考、学生背”的公式化教学模式,重理论,轻实务,不利于培养学生的独立思考能力与分析判断能力,忽视学生在学习上的主动性和积极性,不能激发学生的学习兴趣,难以培养出具有创新精神和实践能力的审计人才,这种传统的“填鸭式”教学模式已不适应审计教学的实际需要。因此,案例教学法作为一种全新的教学方法已被越来越重视和接受。
案例教学法是在学习和掌握了一定相关理论知识的基础上,通过剖析审计案例,让学生把所学的理论知识运用于审计的实践活动中,以提高学生发现、分析和解决实际问题能力的一种审计教学方法,这种教学方法与传统的教学方式相比最突出的特点是:学生在学习中扮演了更为积极主动的角色,让学生积极投入到事先精心设计好的一系列案例讨论中,激发学习兴趣,拓展思维空间,提高审计实践能力。这种方法已在教学实践中取得了良好效果,但是在实际运用过程中,也还存在诸多方面的问题和不足,有待于进一步改进和提高。
一、从审计教师方面看:要参与案例收集与讲解
大多数中青年审计教师都是学校的专业教学骨干,教学经验丰富,但教学任务繁重,工作压力大,平时很少有机会和时间去更新专业理论知识,更少去参与社会实践教学,专业知识较陈旧,教学方法传统单一,他们在审计教学中虽然都或多或少地运用了案例教学法,但都很少参与案例的收集和选编,照用了教材中的现存案例,在案例教学中不能很好地起到组织引导作用,抑制了案例教学法的充分利用,影响了教学效果。
二、从案例选用方面看:审计基础教材中选用的教学案例难以满足教学具体要求和学生具体情况
(一)审计案例是联系审计理论和实践的桥梁,教学中运用的案例应和教学的理论知识密切相关,但教材中所选用的审计案例大多是来自国外的典型案例,很难与我国的教学内容紧密相关,也难把审计案例所反映的审计实务与相应的审计理论联系起来,给教学带来了很大困难。
(二)审计基础教学的对象大多是没有实践经验的学生,他们在接触审计课程之前,对审计的理论和内容一无所知。因此,我们在教学中选择的案例应由易到难,让学生对审计的理论和实务有一个循序渐进,逐渐认识的过程。但一些教材并没有考虑这种情况,给出的往往是一些经典的、综合的、大型的案例,学生刚开始根本无法理出这些案例的头绪,更不用说参与分析讨论了。
三、从考核评价学生方式看:形式单一、简单片面
传统的审计教学考核评价方式是“老师出题,学生背诵”,采取闭卷笔试形式,老师改卷评分来衡量学生学习程度的好坏。这种单一的考核形式不能全面反映学生的学习能力和水平,抑制了学生的学习兴趣和积极性。采用案例教学法后,有的教师仍然沿用这种传统考核办法,没有发挥案例教学法的真正作用。
针对上述存在的问题和不足,笔者认为在审计案例教学过程中,应采取以下几个方面的措施,力求充分利用案例教学法,提高审计教学效果。
(一)进一步提高审计教师的业务素质和实践能力。
1、教师要学习和掌握更为广博的专业理论知识,努力提高自身的专业水平。积极参与专业培训、业务进修、学术研讨等,不断提高科研水平。主动参加审计师和会计师全国考试,成为真正的“双师型”教师。
2、主动参与审计实践,提高自身的实践教学能力。学校应采取积极措施,有计划地安排教师利用寒、暑假到企业进行社会实践,积累实践工作经验;还可聘请有丰富实践经验的注册会计师来校担任兼职教师或开设专题讲座,以提高审计教师的实践教学水平。
3、审计教师还应当亲自参与教学案例的收集和选编,精心设计一些生动的案情和场景供学生参与讨论和分析,这样才有利于组织和引导案例教学,达到案例教学的预期效果。
(二)广泛收集和整理、科学设计和选择适合教学内容和学生具体情况的案例。
案例的设计是进行教学的前提,案例质量的高低直接决定案例教学效果的好坏,好的案例即能融会相关审计理论知识,又能调动学生的学习积极性,培养学生的创造性思维。1、选择的案例要由浅入深,循序渐进。
针对没有任何从业经验的学生,我们要选择由简单到复杂,再到综合的案例,给学生一个逐步适应的过程,使学生通过案例模拟进一步加深对审计理论知识的理解和运用,逐步提高分析和解决实践问题的能力。
2、选择的案例要有系统性、引导性
在不同的教学阶段选择不同类型的案例,充分发挥案例教学的作用,尽量做到案例的系统性。
(1)在课前选几个短小的、趣味性强的案例,启发学生思考,引发学生学习兴趣和求知欲望,案例不需特别典型,但要和即将讲解的内容密切相联。
(2)在课中选一些实用性强的案例,结合刚刚讲授的理论知识和方法,选用一些与之相关的有代表性的案例激发学生在课堂进行激烈的讨论。使学生通过对案例的分析和讨论,加深对所学专业知识的理解,并利用所学理论解决实践问题,真正做到融会贯通。这样的案例不要求综合典型,但要注重知识的运用,实用性强。
3、在课后运用一些大型的、典型综合的案例,作为学生阅读的详细资料。这类案例可以不分国界,只要是在会计执业界产生深远影响的综合性强的案例都可选用。学生讨论分析这类案例,可以拓展视野,培养综合分析能力和创新能力。同时,还可加深生生之间、师生之间的交流合作。
(三)改革单一的考核办法,实行多样化考核评价方式
1、理论测试。对所学的理论知识部分,仍通过开卷或闭卷笔试考试,老师出题,包括填空、选择、判断、问答等题型来考核学生掌握理论知识的程度。
2、课堂讨论。每一次进行课堂讨论前,都要求学生事前预习某一案例,根据所要讨论的问题写一份书面的讨论提纲,以促使学生课前预习,并避免学生在讨论中随心所欲、信口开河,达不到讨论的目的和效果。在分组讨论过程中,由小组组长记录每位成员的基本观点、讨论的要点、发言的内容等,教师则在讨论中起着主持、组织的作用。讨论结束,每位成员就自己讨论的问题及得到的启发或结论写一份简单的总结报告。课堂讨论成绩由事前的准备、事中的发言踊跃与否和事后所写的报告三者综合确定。
3、撰写一份审计报告。课程学习结束,教师准备一个较典型的审计案例,要求学生就案例中给出的材料结合所学的理论知识进行思考分析,按照审计报告所固有的写作格式,写出一份审计报告,但必须在规定的时间内独立完成。撰写审计报告是审计案例教学的最后一个环节,可以检验和锻炼学生书面表达能力、综合分析能力、创新思维能力,也是考核评价学生的重要依据。
四、结语
审计案例教学法是一种很有价值的非常有效的方法,但也有其局限性,它不能代替课堂讲授的理论教学,不能代替社会实践教学
因此,案例教学必须是在学生掌握了审计基本原理和基本方法等理论知识之后进行,这样才能真正发挥它应有的作用。
参考文献:
按照内部审计转型要求,在合规性审计的基础上,探索实施绩效审计。
(一)节能减排工作的合规性
审计内容主要包括:是否成立节能减排工作领导小组及办公室并明确其职责,是否设立专人负责的能源管理岗位并建立节能减排工作责任制;是否制定明确的能源节约目标和具体的年度量化指标,是否对能源消耗和节约潜力进行分析;是否加强节能减排制度建设,能源消耗分项计量和统计管理、能耗设备节能审查等制度是否健全;是否及时开展各项节能减排工作;是否按规定实施了能源消耗分项计量并提供消耗计量数据;能否定期对重点用能设备、设施进行维护和保养;新建项目是否开展节能减排评审、原材料及设备设施是否满足节能减排要求,既有建筑节能减排改造是否加强对中央空调、供暖和用电等高耗能设施、设备的测试、诊断;公用车辆管理是否严格。
(二)节能减排措施的创新性
审计内容主要包括:采暖和空调是否满足国标对空调系统经济运行的要求;办公区域节能减排灯具使用率是否达到规定比例,照明功率密度是否满足相关标准;是否明确合同能源管理方式、程序和要求,是否委托专业节能减排服务机构提供节能减排诊断、设计、融资、改造、管理服务;是否探索建立能源消耗定额标准体系。
(三)节能减排活动的绩效性
主要审计内容包括:节能减排的效果性,重点审计辖内各支行是否完成节能减排目标以及在上级行专项检查或地方性部门验收中的评价情况;节能减排的经济性,重点审计在新建项目节能减排资金投入以及既有建筑节能改造中人、财、物等资源投入的经济性。
二、评价标准和指标
坚持“以国家节能减排政策规定为指引、以总分行有关专业考核办法为标准、以上级行专业考核结果及群众评议结果为参考”的评价原则,围绕“节电、节水、节油、办公资源消耗控制”四个重点,对节能减排工作的合规性、措施的创新性、活动的绩效性,设计“三性”评价标准及指标体系,涵盖14个评价项目、35项评价指标。主要包括:
(一)工作合规性评价指标
重点围绕领导组织是否健全、制度建设是否完善、工作开展是否到位设定指标,涉及领导组织、制度建设等4项内容12项指标。
(二)过程创新性评价指标
重点围绕创新措施的可行性及创新工作取得的成果设定评价指标,涉及绿色照明、能源合同管理等5项内容11项指标。
(三)结果绩效性评价指标
重点围绕节能减排的效果“好不好”、资源利用“经济不经济”设定指标,涉及既有建筑改造、水电油及办公资源消耗等4项内容12项指标。
三、审计组织和实施
坚持“三个突出”,为提高审计效率和项目质量夯实基础。
(一)突出审计培训,提升能力素质
精心选择培训内容,普及节能减排知识,拓宽审计视野,提高审计能力。一是聘请节能减排专业人员讲解节能知识。二是邀请专业人员讲解人民银行系统节能工程实施方案、节能减排工作考核标准(暂行)等专业性规定。三是由主审人讲解节能减排绩效审计方案,明确审计相关规定。
(二)突出审计创新,改进方式方法
一是改进审计方式。针对审计对象多、路途远这一现实,确定采用报送审计与现场审计相结合的审计方式,有效解决问题。报送审计即要求有关单位和部门依据调阅清单收集资料送内部审计部门;现场审计则结合报送审计发现,有针对性地到被审计单位进行座谈、问卷调查和现场核查,提高审计效率。二是改进审计方法。根据节能减排工作特点,灵活运用新型审计方法,以审核法、观察法为主,以调查问卷、座谈为辅,佐以因素分析法、功能分析法等先进的分析方法,增强审计评价的客观性、全面性。如采用实地观察法,察看节能减排工作取得效果;利用功能分析法,对既有建筑节能改造设施的功能进行分析,讨论节能改造目标是否实现等。
(三)突出咨询服务,强化审计职能
改进单一的内部审计查处、确认职能,通过向有关单位和部门通报问题、剖析成因、提出改进建议,提供咨询服务,促进增加组织价值。审计结束后,不仅通过内部审计结论和处理决定。责令被审计单位及有关部门对症下药,认真整改,有效解决节能减排欠规范问题;而且通过对既有建筑设备设施节能潜力分析,明确节能减排改造空间,提出继续加强设施改造,实现技术节能;还针对部分单位管理不细致,提出进一步加强内部控制,实现管理节能。上述措施,有力地促进了节能减排工作水平的提升。
四、审计结论和评价
(一)审计结论
根据绩效评价标准,对中心支行机关和辖内多个县(市)支行的节能减排工作进行绩效评价,评价结果均为B级,为节能减排蓝色达标单位。
(二)审计评价
1.组织管理体系基本健全,并积极履行职责。
一是建立了节能组织管理体系。成立了由行长任组长的节能减排工作领导小组,领导小组下设办公室,指定了专人负责节能减排工作。二是制定了节能减排工作制度。均制订了创建节约型机关实施方案、年度节能减排工作计划,多数支行结合节能减排工作要求,修订了固定资产管理、办公用品使用等制度,将节能渗透到管理的各个环节。三是实施了能耗分项计量和统计分析。制订了能源资源消耗统计实施方案,从电耗、水耗、煤耗以及天然气、公车用油等方面采集、上报数据;建立了能源分项计量统计台账,实行了能源消费分户、分类、分项计量。
2.工作措施得力,突出过程管理。
一是加强节能宣传。各支行通过召开节能减排动员大会、张贴节能温馨提示资料、发出节能倡议书等形式加强宣传,强化全员节能意识。二是加强用电管理。倡导文明节能办公,加强八小时以外用电控制,严格执行冬、夏两季空调定温标准底线,有效控制电耗。三是加强用水管理。重视用水设备日常维护管理,对出现跑、冒、滴、漏现象的供水设备及时维修更换。四是加强车辆管理。实行派车登记及定点加油、定点维修、定点保险,车辆安装GPS定位系统,实现规范管理。五是加强办公资源消耗控制。推行电子政务,加强材料采购和领用环节管理;杜绝使用一次性办公用品等,减少资源浪费。
3.工作绩效突出,效果性和经济性已经显现。
(1)效果性明显。
一是支行机关超额完成“十一五”期间各项节能目标。以2005年为基数,至2010年末,中心支行实现节电36.5%,节水52.5%,人均节电、节水分别为26.68%、45.28%,单位建筑节电、节水分别为33.8%、50.06%。二是辖内多家支行通过抓节能、促管理,电耗、水耗、单位建筑电耗、单位建筑水耗四项指标均实现“十一五”节能20%的目标。三是油料及办公资源消耗控制效果令人满意。与2005年相比,支行机关2010年车辆用油总量减少了1.62万升、下降了17个百分点;辖内多家支行2010年交通费减少17万元、下降了27个百分点。另外,支行机关办公行政成本节约120多万元;辖内各支行办公费支出减少7万余元、下降了20个百分点,电子设备运转费支出减少了11万余元、下降了35个百分点。
(2)经济性突出。
一是支行机关对高能耗设备设施分批进行了技术改造。2007年对热水供给设备进行改造,投入资金1.2万元,将原来的电热水器改造为太阳能,仅此一项每年可节电8000度,两年收回投资成本。2008年对中央空调进行节能改造,投入资金15万元,引入合同能源管理理念,聘请专业管理公司对中央空调进行节能诊断、分析、设计和改造施工;改造后,当年节电40.71%。按照系统设计使用寿命15年推算,可节约电费21.75万元。2009年推行绿色照明新技术,投入资金3万元,对办公楼走廊、步行楼梯、卫生间公共区域更换红外感应及声光控灯具169个,每年可节约用电量2万度,减少电费支出近2万元。2010年对计算机机房进行改造。将机房空调全部更换为变频节能空调,对机房照明、综合布线、ups电池均进行高标准更新改造。在上述改造项目中,均严格按照集中采购和招投标操作程序进行,共节约资金60余万元。二是部分支行更换耗能设备、设施时注重经济性。辖内多个支行在办公楼维修改造中,将维修改造工程纳入集中采购范畴,牢固树立环保、经济理念,更换空调设备时,把节能、节约作为主要指标,选择性价比高、能耗低的产品,均购置了无氟变频空调。
五、发现问题和不足
(一)专业考核标准方面
节能减排目标考核标准不完善。上级行节能减排工作主要目标只设定指标的降幅,未将能源消耗水平纳入考核范畴,节能减排目标不够全面。
(二)基础性工作方面
1.节能减排岗位设置不够规范。
主要表现在未设置节能减排或能源管理岗位,或未明确相关岗位职责及工作标准。
2.节能减排基础性制度不够健全。
主要表现在未建立能源消耗定额制度、单车油耗考核奖惩制度、能耗设备节能审查和提高能源利用效率制度。
3.节能减排奖惩机制不够完善。
主要表现在未将节能减排工作纳入对支行目标管理综合考核范围,未建立节能减排奖惩办法。
4.节能减排监督指导力度不够。
一是部分时段节能减排推进、指导不力,辖内各支行相关时段节能减排工作资料零散,甚至缺失。二是对辖内各支行节能减排工作的日常监督、检查力度不够,无法确保节能减排分项计量统计口径准确、数据真实完整。
5.节能减排制度执行不到位。
一是个别制度执行不力。如2008年下发的《关于报送有关节能降耗报表的通知》,从辖内各支行提供的资料看并未得到落实。二是相关工作记录缺失。通过座谈及问卷调查,部分支行节能减排工作已开展,却没有相关记录。三是中心支行机关及支行节能潜力分析还须加强,质量有待提高。
(三)绩效性工作方面
1.个别指标未完成,影响节能减排总体效果。
辖内有的支行未完成人均能耗指标及单位建筑电耗节能指标。
2.未明确年度节能减排目标,不利于节能减排工作部署。
部分支行未结合实际,对“十一五”期间“节电20%、节水20%、人均节能和单位建筑节能20%”的总目标进行量化分解,年度节能目标不明确,不利于节能减排工作的安排部署,可能影响节能减排总目标的实现。
3.能源消耗水平偏高,节能减排管理效率不高。
以2010年为例,辖内各支行人均能耗、单位建筑能耗水平差别较大。以位居能耗高点的两支行为例,人均电耗值高出平均值25个、8个百分点;人均水耗值高出平均值47个、66个百分点;单位建筑电耗值高出平均值79个、61个百分点;单位建筑水耗值高出平均值115个、155个百分点。
4.节能减排措施创新力度不够,影响节能减排效果。
辖区未探索建立能源消耗定额制度或能源消耗定额标准体系,未明确合同能源管理的方式、程序,太阳能等新能源、雨水收集系统等新节水设备未得到推广运用等。
5.设备、设施陈旧,长期运行能耗高且不经济。
有的支行未进行办公楼维修改造,部分高能耗设备、设施未进行更换,节能减排效果仍有较大改进空间。
六、审计意见和建议
针对审计发现,围绕“能不能更好”这一主旨,从三个层面提出审计建议。
(一)地方机构
建议市政府节能办结合辖区能耗实际,在确定节能减排各项指标下降百分比的同时,制定公共机构能源消耗定额或能源消耗标准,明确人均电耗、人均水耗、单位建筑电耗、单位建筑水耗以及公务用车油耗定额,为辖区公共机构提供节能减排横向比较的量化依据。
(二)主管部门
1.建议上级行完善节能减排考核标准。
审计发现,按照上级行要求,仅对节能减排相关指标降幅进行考核,而不考虑具体能耗值,可能导致考核结果不合情也不合理。因此,建议上级行进一步完善节能减排考核指标,将节能减排降幅、能源消耗水平同时纳入考核范畴,使考核标准更加全面、科学。
2.建议上级行适当安排节能改造专项资金。
技改资金不足是影响节能减排效果的瓶颈因素。虽然分行按照“综合考虑、统筹安排”原则,每年核批专项预算指标,用于县支行办公房维修改造,但受资金限制,辖内仍有支行尚未进行办公楼维修,部分支行楼内设备、设施尚未进行技术改造或淘汰更换。建议上级行进一步安排专项资金,使上述问题得到改观。
(三)审计对象
建议被审计单位及有关部门采取有效措施,进一步提高节能减排工作水平。
1.认真整改,有效解决节能减排欠规范问题。
一是进一步加强组织制度建设。合理设置节能管理岗位,健全单车油耗考核制度、能耗设备节能审查等制度,加强设施检测、设备维护和车辆管理统计分析工作,健全相关工作档案资料。二是进一步加强节能减排队伍建设。针对基层行后勤部门懂技术、会管理人才缺乏的现状,建议加大节能知识培训力度,提高相关人员的综合素质。三是后勤部门要发挥职能作用,加大对县支行的监督指导力度,使各支行节能基础性工作以及创新工作都有明显提升。
2.强化措施,进一步提高节能减排工作绩效。
一是进一步加大宣传引导,提高全员节能意识。通过教育、控制、考核等措施,强化员工节能意识、掌握节能技巧、培养节能习惯。二是找准新的突破点,继续加强技术改造。要探索合同能源管理方式、程序,对中央空调用户端进行设计、融资、改造和管理服务,实现中央空调用户端温度自动化控制,进一步提高节电效果。三是继续强化节能管理措施。各支行应加强对用电、用水、车辆油耗的管理控制,重点在制度的有效执行、严格考核奖惩上下工夫,达到节能效果。
3.加强考核,促进节能减排工作向纵深开展。
建议将节能减排工作纳入目标管理综合考核范围,做到奖惩结合,促进提高节能减排工作的重视度。
4.统筹安排,分批次解决节能改造项目。
要求有办公楼改造计划的支行,在设计修缮方案时,必须考虑节能改造,支行相关部门验收时也要作为重点予以检查把关。要积极探索合同能源管理方式,通过节能减排服务机构提供融资方式解决资金不足困境,消除节能改造的资金障碍,推动节能创新。
七、审计成效
审计收到四方面成效:一是岗位设置更加合理。市县两级行均增设节能管理岗位,配备专职节能管理员,专门负责能源管理工作。二是管理制度更加健全。统一制定了辖区能源管理方案、单车油耗考核等管理制度。三是内部管理水平进一步提升。如改革办公电话管理方式,实行话费包月制,年节约话费10万余元。通过加强内部管理,支行机关2012年度水、电、油消耗量较上年度下降了11.5、3.3、10.4个百分点,以管理促节能已见成效。四是节能意识更加增强。建立、实施节能减排季度量化考核办法,考核与季度绩效奖惩挂钩。通过审计,辖区银行内部管理更加严密,职工满意度进一步提升,和谐机关建设得到加强。
八、案例启示
(一)内部控制环境建设有薄弱点1.对内部控制的认识不足。在审计期该县支行领导对内部控制环境建设重视不够,导致全行员工内部控制基础知识欠缺,从内部制调查问卷结果显示:一是对内部控制基础知识的掌握不够。内部控制基础理论题,支行领导答案正确率为60%,中层干部答案正确率为38%,一般干部答案正确率为32%。二是不能全面正确的识别风险和进行风险评价及应对,反映在对风险应对策略支行领导答案正确率为33%,中层干部答案正确率为0%。三是有33%的员工认为现有的激励机制的效果不明显。2.业务管理制度欠完善。一是未建立业务违规行为责任追究制度及处罚办法和房屋出租管理制度。二是个别内控制度存在缺陷,部分事项欠缺制度约束。例如:《重大事项决策制度》虽明确了支行党组及成员工作职责、支行重大事项集体决策主要内容、工作要求及方法,但对反映集体决策过程的相关原始记录未作要求;《行务公开制度》虽然明确规定了行务公开的组织机构、公开范围及事项、公开的主要形式、公开的要求等内容,但未明确行务公开的程序,同时对每半年公开一次的财务费用和每月公开一次的劳动考勤情况未明确公开的方式。3.业务流程未健全。一是未建立行政许可流程图、行政处罚业务流程图、行政复议业务流程图、法律事务审核流程图。二是对业务管理工作操作流程修订不及时,造成人事秘书股现行的47项业务工作操作流程未实行风险点管理,已达不到管理的要求。4.人员岗位配备与管理有缺陷。一是行领导和职能部门负责人的内部控制责任,在其岗位职责中未明确。二是审计期人事秘书股设立了25个岗,但有《信息员岗位职责》、《工会联络员岗位职责》、《科技人员岗位责任职责》、《后勤岗位职责》、《综合安保岗位职责》、《计划生育岗位职责》六项工作岗位职责,其任务虽已落实到人,但在《人事秘书股岗位分工表》上无记载。三是审计期内,除对一名国库业务人员实行了强制休假外,其余的人员包括会计主管和会计部门负责人、会计记账员、复核员在内的会计人员未实施强制休假。
(二)风险识别与评估不到位对常规业务和管理活动的风险评估,缺乏行之有效的方法体系。体现在该县支行现行的制度和操作规程,虽然明确了业务运行和管理活动的特点、目标、要求、处理程序,但从总体上来看:业务操作流程未涵盖制度规程对各个环节、各岗位风险控制的具体要求,也没有对或不完全对业务管理关键控制环节的风险进行识别标注,特别是未对重要空白凭证、会计国库对账、库房门禁管理等高风险事项的风险隐患进行识别和应对。
(三)内部控制活动存在缺失1.对账管理确认控制不落实。一是2013年9月份国家金库龙山县支库省(市)级预算收入、中央级预算收入、地市级预算收入、区县级预算收入月报表的对账回单打印日期为2013年10月1日,而对账部门龙山县地方税务局签署的对账日期为2013年9月30日。二是2013年12月份国家金库龙山县支库省(市)级预算收入月报表的对账回单上,龙山县地方税务局漏签署对账结果及加盖对账印鉴。2.未严格执行守库值班制度。抽查2014年3月16日5时-6时和2014年4月1日3时-6时保卫部门值班守库电视监控录像资料,保卫值班岗位上无人;鉴于这种情况,审计组下延抽查了2014年4月1日1:12分-1:20分保卫部门值班守库电视监控录像资料,保卫值班人员在保卫值班岗上打瞌睡。3.财务管理控制活动有缺失。一是机关工会财务管理活动有缺陷。该县支行机关工会未在银行开立预算单位专用存款账户,所有收支业务均使用现金结算。二是库存现金管理控制缺失。在现场审计中发现,机关财务室存有行政经费业务备用库存现金75245.21元;机关工会经费结余库存现金为20699.30元,违反了与中华人民共和国《现金管理条例》的规定要求。且机关财务室未安装防盗门窗,存在资金安全隐患,4.未严格执行日常业务运行控制管理要求。2013年3月20日刘××、2014年4月11日向××查询本人信用报告,无本人身份证复印件,造成征信查询资料不齐全,手续欠完善。
(四)实物保护控制不到位1.对个人身份数字证书(CA证书)管理控制不严格。现场审计发现,该县支行专职管库员王××在日常业务处理中,使用专职管库员张××CA证书进行操作业务,原因是:专职管库员王××的CA证书,在2012年12月7日到期后上交中支发行科办理更换手续,至今未办妥更换手续,违反了《中国人民银行货币金银管理信息系统管理规定》。2.××发行库门禁控制不合规。一是发行库主门未按要求变更密码。2013年6月6日,管库员(王××、张××)变更发行库主门(1号锁、3号锁)密码,但上次变更时间为2012年11月6日,与《中国人民银行发行库门组合锁使用管理办法(暂行)》第十条规定要求不符。二是发行库备用门密码不能变更。现场查库发现发行库备用门已贴封条。查阅《组合锁使用管理登记簿》,2011年6月3日至检查日止,发行库备用门密码没有变更记录。经询问该县支行库管库员关于备用门管理情况为:备用门可以启动使用,但琐具由于使用年限太长,厂家已不能维修,密码已不能变更,与《中国人民银行发行库门组合锁使用管理办法(暂行)》第十六条规定要求不符。
二、案例分析
以上问题产生有客观因素和主观的原因。
(一)从客观上看1、县支行人员紧张矛盾突出。该县支行设有发行库,现有正式员工21人,不能满足落实制度(按照现行内部控制要求初步匡算,县支行仅会计、国库、发行、保卫四个部门最少需要20人。)的最低需求。人员配备存在人少岗多、跨专业兼岗的情况,且人员老龄化趋势明显,四十岁以上中、老年同志占82%。可能会因为人员紧张,造成强制休假、守库值班制度难以执行到位的现象。2、安全设施的物防、技防未跟上。部分设备老化,因资金紧张,没有及时更新。
(二)从主观上看1.对内部控制认识不到位。由于对内部控制理论和方法学习不够,部分员工对内部控制五个相互独立、相互联系又相互制约的要素(控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监督)缺乏了解,没有把内部控制看着是一种贯穿于决策、执行和监督过程中环环相扣的、平衡制约的动态机制,不能正确地识别人民银行分支机构面临的基本风险。而把内部控制简单地理解为规章制度的制定与制度的执行,甚至极个别人把制度当成应付检查的“档箭牌”和挂在墙上的“摆设”,内控管理理念陈旧。2.风险管理文化缺失。该县支行领导虽然注重制度建设和基础业务管理,但满足于工作任务完成和业务管理不出大问题,对平时业务中发生的不规范问题,放松了必要的风险警觉;部门少数业务人员则认为做基础工作难免会出现一些差错,放松对差错风险的警惕。表现为内部控制责任不落实,制度意识淡薄,用人情、信任代替制度;操作主观随意,存在侥幸心理和麻痹思想,导致制度执行“走捷径”、“打折扣”,凭经验或想象处理业务。这次审计发现的未严格执行国库对账和守库值班制度,对个人身份数字证书(CA证书)管理控制不严格,财务管理控制活动有缺失,发行库门禁控制不合规等问题,都是因为制度被简单化、递减式、抵触性、表面化、选择性、被动式或应付式执行所造成,有的问题离案件与重大责任事故可谓只一步之遥,内部控制软约束。3.内控机制建设滞后。现行的部分制度和操作规程未及时跟进业务管理要求,有的是沿用以前或照搬照抄上级行或借鉴其他单位现成的规章改头换面来的,制度和操作规程设计没有综合考虑在本行现有条件下是否切实可行,特别是忽视规章制度执行的有效性及其风险危害评估工作,导致内控管理制度和操作规程设计有先天缺陷。表现一:制度规程未覆盖所有业务运行和管理活动,导致个别管理制度规程缺失。例如:激励机制不足,约束处罚机制短缺;行政事务管理操作流程未实现风险点,未进行风险识别、风险应对控制措施不明确,制度规程的规范保障作用被打折扣。表现二:部分制度未涵盖业务活动的全过程或方方面面,原则性条款多,控制措施针对性欠强;出现部分事项欠缺约束。表现三:对于业务和管理活动的风险评估缺乏行之有效的方法体系,一些高风险事项未得到及时识别和应对。4.内部管理监督不到位。一是不能正确处理检查监督与争先创优的关系。怕“家丑外扬”,为了本单位或个人的名利,对检查问题进行“筛选”,检查上报问题要么轻描淡写,要么避重就轻。无形中助长了违规行为。二是是对逾越内控行为的查处手软。在“出现问题一解决问题一再出现问题—再解决问题”的循环过程中被动管理。对违规行为责任追究也只是口头上的空话,导致违规违章、屡查屡犯。
三、案例启示和建议
(一)进一步优化内部控制环境建设。龙山县支行领导应进一步提高对内部控制重要性的认识,将加强内部控制环境建设作为健全内部控制体系的首要任务。一是支行领导和部门负责人要切实履行内部控制管理职责。二是深入开展央行内控文化建设。利用各种形式进行内控教育、思想政治教育、职业道德教育以及法制教育,不断深化和丰富央行内控文化建设内涵。引导员工树立“遵守内控制度为荣,违反内控制度为耻”的荣辱观,增强制度观念、法纪观念;切实提高员工职业道德素质,用“规范、进取、创新”的文化理念的引领员工增强团队精神,激发员工的工作热情和责任心,为内控管理提供了强有力的精神支撑。三是加强教育培训强化干部职工业务培训,使每个岗位人员了解内控制度,熟知业务操作,掌握岗位要求,实现业务素质和责任意识的整体提高。
(二)加快建立长效内部控制机制。认真贯彻执行《中国人民银行分支机构内部控制指引》精神。一是进一步完善内控制度和操作规程。对内控机制进行全面、彻底的梳理,针对目前内控制度操作规程方面存在的问题和缺陷,进行查漏补缺,建立业务违规行为责任追究制度及处罚办法、房屋出租管理制度、行政许可流程图、行政处罚业务流程图、行政复议业务流程图、法律事务审核流程图,完善层次分明、风险明示、措施针对的内控制度和业务操作流程;建立权责清晰的运行机制,使每个人各司其职,各负其责,奖惩公平。消除内部控制机制上的盲点和漏洞,实现风险控制全方位、全过程、全员参与,构筑内部风险防范的重要屏障。二是注重建立内控人力资源保障机制。通过员工考核机制、激励机制、员工培训机制、违规责任追究机制等人力资源管理手段,从而促进人员素质不断提高,确保每位员工、特别是重要岗位员工胜任本职工作,形成长效机制,促进持续发展。三是尽快建立对常规业务和管理活动的风险评估的方法体系。
(三)强化内控制度执行力。行领导、部门负责人以及部门业务人员要认真履行内控管理职责,加强业务运行和管理工作的过程控制。一是严格落实会计国库对账制度。强化对账管理确认控制,坚决堵住资金安全风险。二是严格执行守库值班制度,消除库房库款安全隐患。三是严格对个人身份数字证书(CA证书)管理控制,强化业务授权、工作分责控制,明晰工作责任。四是严格发行库门禁管理控制。对发行库备用门密码不能变更的问题,建议支行积极向上级行汇报,争取得到尽快解决,消除发行库门禁管理可能产生的安全风险。五是严格会计岗位人员强制休假制度和征信查询管理制度的执行。六是严格财务管理制度执行。尽快在银行开立支行机关工会经费专用存款账户;严格加强财务管理,严格库存现金限额管理控制;尽快安装机关财务室的防盗门窗,消除安全隐患。
20世纪60年代,随着计算机技术开始运用于企业的信息收集和整理中,会计信息处理逐渐无纸化,促使审计人员在执行传统审计业务时,必须关注以电子数据为载体的电子数据处理审计。20世纪70年代中期至80年代,电子数据处理和管理系统等在企业中逐渐普及,同时,计算机犯罪和计算机系统失效的事件频频发生,使得信息系统审计日益得到重视并迅速发展。美国、日本先后成立了IT审计方面的协会组织,从事对IT审计规则的制定和实施指导。20世纪90年代,信息和信息系统已成为企业的重要资产,企业和社会对信息系统控制和审计的需求愈发强烈。发达国家的信息系统审计进入普及期,许多国家的审计机关、学者和组织对计算机环境下的信息系统审计进行了有益的探索。同时,东南亚各国也逐渐认识到信息系统审计的重要性,开始着手研究信息系统审计理论和实务。
目前,我国信息系统审计仅有十几年的历史,尚处于探索阶段,既缺乏开展信息系统审计业务的人才队伍,也没有形成专业规范体系,所进行的一些计算机审计方面的探索和尝试以及计算机审计软件的开发和应用还大都停留在对被审计单位电子数据进行处理的阶段。存在的主要问题有:信息系统审计观念落后;信息系统审计相关的准则、标准和规范尚不完善;信息系统审计专业人才匮乏;信息系统审计软件开发工作滞后。1997年,广州地铁开始公司“信息化”建设。最初,广州地铁经营审计采用“绕过计算机审计”的方法,即对导出数据进行审计。审计过程中,其逐渐意识到了运用这种“黑箱原理”审计方法的风险。因此,2006年公司组建了专门的IT审计模块,探索“如何利用计算机审计”和“通过计算机审计”。其后,广州地铁信息系统审计发展经历了借力、助力和自立三个阶段。一是借力期:IT审计模块成立初期,公司与外部顾问共同开展IT审计项目,通过外部专业人员向审计人员传输IT审计技能,同时制定《IT审计实施细则》,在人员技能储备和制度上为IT审计模块的发展奠定了基础。二是助力期:审计人员参照审计手册,利用从外部顾问处学习到的审计技能,逐步开展信息系统审计工作,将IT审计工作模式调整为以自身力量为主,外部咨询服务为辅的模式。三是自立期:2009年,广州地铁IT审计已基本实现自主化,且IT审计模块逐步走向成熟,同时其还建立了具有自身特色的信息系统审计框架。目前,IT审计已经发展成为广州地铁内部审计的一根“支柱”,连同“内控审计”,作为基本的审计手段贯穿于各类专业审计工作中,支持审计体系的巩固与发展。
二、信息系统审计内容
1、国内外关于信息系统审计内容的研究
开展信息系统审计首先要明确审计内容。国际信息系统审计协会规定,信息系统审计的主要内容包括信息系统程序审计、信息技术(IT)治理、系统生命周期管理、IT服务的交付与支持、信息资产的保护、灾难恢复和业务连续性计划。近十几年来,国内的学者和组织也对信息系统审计的内容进行了探索和研究。审计署在2012年颁布的《信息系统审计指南———计算机审计实务公告第34号》中明确提出了:信息系统审计包括对应用控制、一般控制和项目管理的审计。其中,应用控制包括信息系统业务流程,数据输入、处理和输出的控制,信息共享和业务协同;一般控制包括信息系统总体控制、信息安全技术控制、信息安全管理控制;项目管理包括信息系统建设的经济性、信息系统建设管理、信息系统绩效。上述具有代表性的规定和研究成果对信息系统审计内容的划分,均是以对信息系统逻辑结构的分析为基础。全面分析信息系统的逻辑结构,可从信息系统的构成要素、信息系统生命周期和信息系统管理三个维度进行描述:从构成要素来看,信息系统由人员、应用(包括软件平台和应用系统)、所采用的技术、硬件设备、数据文件运行规则组成;信息系统生命周期可划分为信息系统的规划阶段、开发阶段、运行维护阶段和更新阶段;从信息系统管理的维度来看,对系统的管理与控制活动贯穿于信息系统生命周期的始终,主要是通过有效执行一系列健全有效的规章制度和管理规程来实现。
2、广州地铁信息系统审计实施框架
结合广州地铁信息化项目多、系统更新快、数据集成度高、系统控制与手工控制并重等特点,围绕信息系统构成要素、信息系统生命周期和信息系统管理三个维度,广州地铁将信息系统审计的内容划分为整体计算机控制审计、应用控制审计和系统建设效能评价三个方面。其中,整体计算机控制审计是对信息系统运行中的控制活动进行审计,目的是合理保证由信息系统支持的业务流程控制是可靠的、生成的数据和报告是可信的。应用系统控制审计是对业务流程中的自动化控制活动进行审计,以合理保证交易的有效性、经适当授权和记录、完成的完整性、准确性和及时性。项目及系统绩效审计是对信息化项目的过程及成果对企业和业务产生的效益进行审计,用来合理保证信息化项目的投资/产出比例符合建设的目标,以及信息系统对企业战略起到的预期的支撑作用。围绕上述三个方面,广州地铁内部审计确立了以下的实施框架。
(1)确立整体计算机控制安全、操作、变更的三个评价维度,围绕“信息系统全生命周期”,明确整体计算机控制十个流程。
广州地铁通过学习和借鉴国际信息系统技术管理和控制标准COBIT,建立起了一套自己的整体计算机控制审计框架。框架可按流程和控制类型两种方式进行划分,两种划分方式在本质上是一致的。在按流程划分出的每个子流程中,信息系统审计人员需要从变更、安全、操作的角度去确认和评估具体的控制点;在按控制职能所作的划分中,审计人员需要围绕信息系统的策略与计划、信息系统操作、与外部供应商关系、业务可持续计划、应用系统开发、数据库、软件支持、网络、硬件等十个子流程进行审计。围绕安全、变更、操作三个角度及十个子流程,广州地铁共梳理出有关整体计算机控制的41项审计内容,并针对每一项内容明确了控制目标和风险,建立起了一套完整的整体计算机控制矩阵。例如,信息系统策略和计划子流程中,广州地铁明确了整体计算机控制的三大目标———信息系统战略、规划和预算应与实际业务和战略目标保持一致,计算机处理环境应得到具有适当技能和经验的人员的充分支持和保证,以及计算机处理环境中的人员应接受适当的培训,审计人员在此基础上针对各控制目标,识别并归纳出广州地铁现行的9个控制活动。在具体开展信息系统整体计算机控制审计时,信息系统审计人员根据审计项目的特点和要求,选择需要评价的子流程,再对照子流程的控制活动进行评估及测试即可。
(2)从内部控制目标出发,将信息系统应用控制划分为访问控制、完整性控制及数据质量控制三大方面。
广州地铁将信息系统的应用控制划分为应用系统访问控制、流程和系统完整性控制以及数据质量控制三大类,并针对各类控制分别设计了不同的审计内容。一是应用系统授权访问控制审计包括对系统的认证方式、授权机制、权限的分配管理以及不相容职责分离在系统中的实现情况的审计,目的在于保证经过允许的人才能访问和操作系统。二是流程和系统完整性控制审计是对系统输入、处理、输出以及接口等各种系统运行规则的审计,用以保证所有经允许处理的数据均转换到介质上并被处理,且处理的结果可通过适当的方式加以输出,所有输入、转换、处理和输出均在正常的时间内准确地进行。三是数据质量控制审计则是指对信息系统中的数据的完整性、规范性和有效性所进行的审计,旨在保证所有系统的输出均反映为经批准的有效的经济业务,所有经过系统的数据真实、有效,且能满足企业各项业务的使用要求。
(3)围绕“信息化项目”和“信息系统”,综合评价信息化建设的效益。
在开展整体计算机控制审计和应用控制审计的基础上,广州地铁从企业经营和投资效益的视角出发,在信息系统审计中引入了3E审计的概念,尝试对信息系统建设项目的成效、建成后系统的应用效能以及信息化对战略的支撑效果进行审计。为了全面评价项目,广州地铁通常将对单个信息系统建设项目的合规性审计与项目效能审计结合在一起开展。一是信息系统建设成效审计旨在通过对系统建设全过程的审计,促进信息系统的建设规范性,提高信息系统建设的质量。二是信息系统应用效能审计包括对业务需求的实现情况、建成功能的使用情况的审计分析,以及对系统应用对业务管理规范化、标准化和精细化提升作用的综合评价,目的在于促进系统使用价值的最大化,减少系统建设的投资浪费。三是战略支撑效果审计是从支持战略实现的角度,评价信息系统的建设效益,保证信息化建设在符合业务管理要求的同时,符合公司战略的需要,支持公司战略的实现。
三、信息系统审计实施步骤
信息系统审计步骤(或流程),是审计工作从开始到结束的整个过程。信息系统审计流程一般可划分为四个阶段:计划阶段、实施阶段、报告阶段和后续阶段。计划阶段是信息系统审计流程的起点,此阶段的主要工作包括了解被审计系统的基本情况,初步评价被审计单位信息系统的内部控制和外部控制,识别重要性和编制审计计划。实施阶段是根据计划阶段确定的审计范围、重点、步骤和方法进行有针对性的取证、评价,并形成审计结论的过程。实施阶段是信息系统审计工作的核心,主要由符合性测试和实质性测试两个部分构成。在报告阶段,信息系统审计人员需运用专业判断,整理、评价收集到的审计证据,以经过核实的审计证据为依据,形成审计意见,出具审计报告。审计报告的出具并不意味着信息系统审计工作的终结。根据国际信息系统审计标准,信息系统审计人员对于系统中发现的重大问题和漏洞,需要对被审计单位所采取的纠正措施及其效果进行后续审计。审计人员需要将后续审计纳入计划,并安排必要的人员和时间进行后续审计。广州地铁IT审计模块成立之初,即明确了IT审计“对公司的系统流程与控制、项目进行审计”和“提供有益于增加公司价值的咨询服务”两项核心职责,并围绕公司战略,以“风险导向”、“服务战略”理念为指导,从信息系统审计战略规划和具体项目执行两个层面分别制定信息系统审计的流程。
1、以公司战略为导向,制定信息系统审计的战略规划
一直以来,广州地铁奉行“源于战略、服务于战略”的现代审计理念。这一理念主要体现在两个方面:一是在制定内审工作计划时,从公司战略出发,制定各个内审业务及各专业审计模块的战略,并以业务战略为指导,开展具体的审计工作;二是在开展审计项目的过程中,始终从保障公司战略执行的角度去发现问题、评价问题,提出整改意见和落实整改。信息系统审计的战略规划来源于公司的战略,以及以公司战略指导制定的公司信息系统战略规划和内部审计业务战略规划;同时还须结合公司信息化现状和IT审计模块定位,明确广州地铁IT审计发展战略目标。
2、通过风险评估,确定各信息系统风险等级,制定层次分明、重点突出的信息系统循环审计计划
为利用有限的审计资源掌握公司主要信息系统的建设、运营情况,保障信息资源的有效利用,降低公司信息系统的整体风险,广州地铁建立了一套“根据信息系统风险评级制定差异化的审计策略”。
(1)梳理信息系统脉络,全面掌握信息系统现状。
广州地铁结合信息系统规划、建设和运营的情况及系统分类梳理出被审计信息系统清单,并从系统构成要素的角度收集系统相关的信息。这些信息包括系统名称、功能模块、采用产品等基本信息,以及项目的建设信息、系统的使用状况和运维的基本情况。这些信息是风险评分的依据,也为后续开展具体审计工作时确定审计方案提供了指引。
(2)开展信息系统风险评级,制定风险导向型审计计划。
内审人员从通用风险、业务风险、项目风险、系统风险、数据风险和人员风险六大风险类别出发,全面识别信息系统各类构成要素中存在的风险;对信息系统进行风险评价,根据风险得分将信息系统按优先级分别划分为高、中、低三类。结合公司IT审计资源的情况,对优先等级高的系统采用三年一审策略,中等级系统5—6年一个审计周期,风险等级低的系统则根据需要安排审计。在此审计策略的基础上,再综合考虑公司业务的十大风险、领导关注事项、上一年度内控评价结果和审计项目成果、公司新一年的工作重点、公司信息系统的变动情况,并制定出本年度的信息系统审计计划。
3、以风险为导向,开展信息系统审计
在项目实施阶段,审计人员必须从公司整体信息系统控制环境和被审计系统的状况、流程与内部控制两个方面进一步收集被审计系统的相关资料,了解和确认被审计单位已建立的内部控制措施,并对这些控制措施的设计是否达到控制目标进行评估。
(1)以“轮流循环+以点带面”的方式开展整体计算机控制审计。
公司的信息化业务采用统一集中管理的模式,整体计算机控制对各个系统具有一定的通用性。因此,在实务操作中,广州地铁采用“以点带面”的策略,以单个信息系统整体计算机控制为切入点对整体计算机控制进行审计,评价整体信息系统的安全性;同时,考虑到信息系统在一定时间内相对稳定,因此在实施整体计算机控制审计时可采取轮流测试的方式,即每年从十个子流程中选取几个进行测试,经过一定周期后,完成对整体计算机控制的全面审计。例如,在2011年开展的信息安全审计项目中,审计人员就围绕信息安全这个审计主题,从十个子流程中选取了与信息安全直接相关的信息系统操作、信息系统安全、业务可持续计划、应用系统开发与实施、数据库开发与实施和系统软件支持等六个流程进行审计。分步、循环开展整体计算机审计,在审计风险可控的情况下,大大节省了审计资源,也使得审计人员能够更加深入地挖掘和分析整体计算机控制方面所存在问题以及问题的成因,提出更为切实可行、同时又符合公司信息化业务发展现状和要求的整改措施。
(2)以风险为着眼点,确定应用控制审计重点。
应用控制是各个信息系统内部所建立的控制机制,应用控制审计必须针对某个具体信息系统开展。在开展应用控制审计的过程中,审计人员应紧紧围绕“风险”这个着眼点,通过对原有业务成熟度和系统建设过程中风险的评估,选择不同的审计侧重点开展应用控制审计。例如,在合同管理系统审计项目中,由于合同管理系统是全新开发的系统,审计人员经分析,判定系统在应用系统访问控制方面的风险较高。而在进行控制评估和测试后,审计人员发现业务人员在创建系统权限设置机制时完全套用了公司办公自动化系统的权限机制,而未针对合同业务流程中不同于公司组织架构下的角色设立相应的用户组,导致系统无法实现合同经办人与审批人职责的分离,存在重大的内控风险。
四、信息系统审计方法
在信息系统审计中,可因地制宜,综合运用多种学科的技术方法,包括:传统审计中内部控制测评的基本方法和审计取证的基本方法(包括审阅、核对、监盘、观察、查询、函证、计算、分析性复核);计算机科学的技术方法,如数据测试法、程序编码审查法、受控处理法、受控再处理法、整体测试法、平行模拟法、程序比较法、漏洞扫描、入侵检测、嵌入审计程序法等等;行为科学的技术方法,如运用组织发展的理论与方法、个体行为一般规律的理论和方法。这些方法与技术并不是孤立的,而是互相联系的。目前,广州地铁在信息系统审计中所运用的方法仍主要集中在传统的内控审计方法和信息系统管理的技术方法两个领域,具体包括询问、观察、文件复核、抽样、重新执行、使用计算机辅助软件等。在部分项目中,也采用了一些计算机科学的技术方法。受限于审计资源不足,广州地铁较少采用程序比较法、平行模拟法、程序编码审查法等高成本的审计方法,而倾向于选用一些较为高效的测试方法。但这些高效方法的运用不能完全消除审计风险,这就需要审计人员根据自身的经验尽量避免。
1、传统审计方法的运用
广州地铁在开展信息系统审计过程中较多运用传统审计的方法。例如,在对信息系统整体计算机控制进行审计时,通过对系统使用人员的访谈、调研和对系统各项操作的观察,梳理出整体计算机控制相关的各种控制活动。在没有测试环境的情况下对生产在用信息系统的人机交互界面和功能进行调查和确认时,审计人员大量运用了观察的方法。在对固定资产信息系统模块进行审计中,审计人员通过观察物资采购人员、资产管理人员、会计核算人员在系统中的操作界面、系统实现效果以及业务操作流程来了解系统功能的构造。发现采购中的供应商信息在跨系统流程过程中丢失,导致财务系统和实物管理的MAXIMO系统的资产台账中均缺少供应商信息,致使日后采购同类物资时,采购人员无法获取历史采购信息作为参考,增加了市场调研成本。除内控矩阵和访谈、观察等方法之外,编制流程图、数据流图和报表流图也是信息系统审计经常使用的方法。
2、计算机科学技术方法的运用
计算机科学技术方法是信息系统审计特有的方法,来源于IT行业的信息技术的转换应用,主要包括基于数据分析的方法和基于程序分析的方法,这些方法的综合使用使得对信息系统的审计更加有效。具体方法的选用需视被审计系统的实际情况而定。在一个审计项目中,广州地铁审计人员经常将多种方法结合使用。例如,在票务收入系统审计项目中,审计人员首先采用数据测试法,使用正常及非正常的测试地铁票搭乘地铁,在系统中跟踪测试票的处理情况,以验证系统处理与控制功能是否均有效;在对系统中后期内部开发的车站单程票售卖功能进行审计时,审计人员采用了程序编码审查法,对系统的源程序编码进行审查,审查后发现单程票售卖金额统计报表在进行数据处理时省略了小数点后的尾数,导致报表金额存在偏差;在对票务系统的清分报表进行验证时,审计人员又采用了平行模拟法,抽取系统中一段时间内的正式交易记录,在系统外模拟系统的处理规则对交易记录进行处理,并将处理结果与系统的报表数据进行核对,结果发现系统在数据传递和处理过程中,由于系统对于异常数据的审核过于严格,导致部分正常数据被当作垃圾数据丢进异常库,给公司造成票务损失。
3、计算机辅助审计软件的应用
计算机辅助审计软件的应用是信息系统审计的一个显著特点,也是审计人员准备阶段需要重点关注的问题之一。目前,广州地铁对计算机辅助审计软件的应用主要体现在以下两个方面。
(1)对系统中数据的准确性、完整性和一致性的检查。
例如,在合同管理系统审计项目中,为核对系统接口程序的可靠性,审计人员利用审计辅助软件快速完成了对合同系统和财务系统数据一致性的核对,迅速查找出两个系统中不一致的数据。经过深入分析,审计人员发现由于财务核算人员在财务系统中复核合同支付数据时发现错误,将支付申请退回给合同系统再由合同经办人重新填报时,合同系统未对已生成的支付信息进行更新,导致上述问题的出现。针对海量数据处理系统,数据验证是审计的重点,计算机辅助软件是“不可或缺”的审计工具。在地铁票务收入保障审计项目中,审计人需要通过数据验证的方式对业务处理的核心系统———自动售检票(AFC)系统中的系统传输和处理机制进行验证。为此,审计人员共设计了8大类29子类47个数据验证主题。审计时,审计人员运用计算机辅助审计技术,在两个月内完成了对AFC系统中10天总计超过3亿条运营数据的验证工作。
(2)利用计算机辅助软件进行对比测试。
即审计人员从信息系统中抽取某部门样本数据,将样本数据输入到与计算机辅助软件中进行处理,把审计软件输出的结果与业务系统产生的结果进行对比分析,以判定业务系统的可靠性与准确性。广州地铁在已开展的运营票务收入保障审计项目中大量地使用了此种方式。审计人员将各车站站务人员在票务系统中录入的售票数据导入到计算机辅助软件中,按照业务规则对数据进行处理,将处理结果和系统输出的结果进行对比。经对比,审计人员发现票务系统在处理异常数据时过于严格,导致部分非异常数据被系统当作异常数据丢入异常库中,给公司造成票务损失。
4、信息系统审计与业务内控审计相结合
近几年来,上市公司财务报告舞弊案不断冲击着我国的证券市场,给广大投资者带来了巨大损失,也引起了社会对财务报告舞弊审计的极大关注。如何对舞弊进行审计,已成为审计界的一个不断思考和探索的问题。
舞弊审计最初是20世纪90年代中期在以美国和加拿大为首的西方国家异军突起,并完成从传统审计查错纠弊的职能到一个独立的审计类别的转变。我国“独立审计具体准则第8号——错误与舞弊”指出,舞弊“是指导致会计报表产生不实反映的故意行为”。主要包括:(一)伪造、编造记录或凭证;(二)侵占资产;(三)隐瞒或删除交易或事项;(四)记录虚假的交易或事项;(五)蓄意使用不当的会计政策。可以看到,我国独立审计准则对舞弊的定义与美国会计界对职业舞弊的定义是基本相同的。挪用财产和都是侵占资产的具体方式,“虚假会计报表”的编制过程实际上就是采用我国“独立审计具体准则第8号——错误与舞弊”中所指出的(一)、(三)、(四)以及(五)这四种方式。
我们知道,舞弊审计是为防止、识别和用文件证明贪污、盗窃、欺诈、腐败这类舞弊行为而进行的审计活动,与财务审计关注各种财务报表和会计数据不同,舞弊审计需要更多的思维形式而不是常规的技术方法,它重点放在研究和分析例外、古怪的事,以及会计违规事项和行为结构上,而不是放在对会计报表的错误和遗漏上。舞弊审计人员的知识主要是从经验中,而不是从审计教科书或上年的工作底稿中学到的。因此,对于舞弊进行审计就要采取与传统的财务审计不同的方法,很多在财务审计中适用的方法在舞弊审计中却不适用。
舞弊审计就是要创造一种环境,激励审计人员有意识地去查询和预防经济活动中的舞弊行为,要想成为一名合格地舞弊审计人员,就要了解舞弊人员的思维方式,舞弊审计人员头脑里最重要的问题不是检查会计系统和内部控制是否遵循会计标准和审计准则,而是要思考“在企业会计控制制度的各个环节中,哪个是最薄弱环节,哪些人会利用这些环节,哪个环节最容易诱发舞弊行为等。
在具体审计过程中,审计人员要充分关注那些容易引发舞弊的会计“信号”,比如一些非常交易事项,像非主营业务占公司业绩主导地位的事项、非货币易、关联交易、复杂股权控制关系等事项。另外某些会计变更、资产重组涉及诉讼纠纷等重要会计事项以及经营出现危急的事项也是舞弊行为经常发生的地方,应引起审计人员的关注。
在舞弊审计中,审计人员必须始终保持正确的心态:怀疑、谨慎。在关注每一个审计环节时都要假定它是有问题的,存在着舞弊行为。然后要搜集容易产生舞弊风险的信息。比如,询问公司管理当局、内部审计部门,以及关键管理人员;有效运用分析性程序识别、评估造成舞弊风险的因素等。
1、加强注册会计师的职业怀疑精神,并将其贯穿于审计过程的始终。“职业怀疑主义”观点是由美国SAS第99号提出的,它为注册会计师如何履行职业谨慎这一概念提供了具体的指导。第99号首先假设不同层次上管理层舞弊的可能性,包括共谋、违反内部控制的规定等,并要求在整个审计过程中保持这种精神状态。它要求审计舞弊必须先了解舞弊环境及特征,强调计划阶段审计小组就应集中讨论和思考舞弊可能会怎样发生及会在哪发生,促使其对潜在的舞弊保持更高的警觉,以共享审计经验,共同提高发现舞弊的意识和能力。还要求注册会计师在审计的全过程保持职业谨慎,获取必要信息,识别和评估舞弊风险,并据此作出适当反应。因此,注册会计师在审计每个项目时都要保持高度的职业怀疑精神,应首先思考是否有舞弊的嫌疑,不能推测管理层是诚实可信的。
我国目前上市公司造假成风。大部分的上市公司业绩都不可信,都存在粉饰报表嫌疑。因此,对我国上市公司的审计必须要有足够的专业怀疑精神,如果注册会计师不能搜集充分、适当的审计证据证明被审计单位的报表是公允的,就应认为其不能公允反映企业情况,存在舞弊嫌疑。
审计人员不仅应了解会计审计问题,对于客户的营业性质与风险及交易的经济实质,也必须彻底了解。作为一个优秀的审计人员,必须要有好奇心及敏锐的观察力,对于看似无关的问题或线索,能锲而不舍。
2、充分关注审计风险点,并借助新的舞弊风险评价模式进行评价。审计风险点对注册会计师起着提示和导向作用,因此,精心设计并有效制定审计风险点,对审计人员发现舞弊起着重要的作用。审计风险点包括控制环境、控制活动、风险评估、信息与沟通和监控等方面的因素,还包括宏观政策、法律限制等方面的因素。在审计过程中,注册会计师通过了解上市公司的经营状况和分析性程序的运用,应能识别企业存在的重大风险信号。新的舞弊风险评价模式,将重点放在舞弊产生的根源上,而非舞弊产生的表面结果。该准则建议注册会计师将足够的注意力放在舞弊产生的主要条件上,这些条件可以归纳为:压力、机会和借口。当三个条件同时成立时,就意味着出现舞弊的可能性很大,注册会计师必须给予足够的关注,采取有效的审计程序以控制风险。
3、加强对企业内部控制的审查和评价。内部控制是企业的一项很重要的工作,建立完善的内部管理控制制度和内部财务控制制度对企业既有防错防弊,又有促进经营管理效果的作用;能起到事前预防、事中、事后及时发现工作漏洞。因此,从某种意义上说,可以从对内部控制的审查和评价来发现舞弊的存在。
从审计角度分析,舞弊的存在与发生,说明被审单位组织管理上有漏洞,内部控制存在薄弱环节。因此,实施舞弊审计时,需考虑并注意对内部控制的审查,评价内部控制系统是否健全、有效,以及相应地检查和评价经营业务的各个部门可能暴露的风险,来发现舞弊。为此,审计人员应确定被审单位是否建立了现实的企业目标,是否有书面政策以说明具体的规则及在发现违规行为时应采取的行动,是否建立和保持了恰当的授权政策,是否已制定了用以控制一些活动和保护资产的政策与程序及其机制,是否具有为管理层提供足够、可靠信息的通讯渠道,是否具备能够保证控制的控制环境,是否需要提出一些协助防止舞弊的建议等。