摘要:在企业审计中,对企业内部控制进行测试和评价是审计的基本步骤之一,基于内部控制测评的结果,决定审计实质性测试的范围和重点。中央企业审计数据规划中针对企业内部控制设计了14张测评表,涉及企业内部控制环境、信息系统、主要业务循环的内部控制测评。本文针对这14张测评表,提出了一种Excel文档搜索分析工具自动分析方法,筛选出审计人员判断存在风险的内部控制项,辅助审计人员综合分析测评内容,做出是否进行实质性测试的判断。
一、内部控制测评在企业审计中的作用
所谓内部控制,是指被审计单位为了维护资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。内部控制是管理现代化的必然产物,它的产生和发展,促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。
内部控制测评,是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
审计人员进行内部控制测评分为下列四个步骤:审计人员通过查阅有关制度、询问相关人员、观察内部控制的实际运行情况,调查了解并记录内部控制,并做出相应记录;对内部控制进行初步评价,评估控制风险;如果决定依赖内部控制,实施内部控制测试,否则选择内容、重点和范围进行实质性测试;对内部控制进行再评价。
在测试和评价被审计单位内部控制的基础上,审计人员可以根据在内部控制测评中发现的失控环节和控制薄弱环节,提出改进内部控制的建议。
二、企业内部控制测评分析目的和分析内容
(一) 企业内部控制测评数据分析目的。
审计人员通过对被审计单位部门、公司规章制度以及内控测评数据等非结构化数据的分析,对内部控制的健全性、合理性、有效性作出评价,以决定是否依赖内部控制,评估控制风险水平,并确定实质性测试的性质、范围、时间和重点。
一是通过被审计单位控制环境的分析,评价管理部门对内部控制和内部控制重要性的态度,以及与之相关的各种控制制度、控制政策和控制程序的存在性和有效性。
二是通过对被审计单位主要业务循环的控制数据进行分析,评估被审计单位的业务控制薄弱点、在经营活动中可能会遇到的风险。
三是通过对被审计单位信息系统的分析,评价被审计单位是否建立完整有效的信息系统,为适当的人员提供有用信息,并通过通畅的内部和外部沟通渠道,实现各部门间的信息共享,使员工能够知悉单位整体目标和计划的实现形式。
四是通过综合分析上述分析结果,界定对被审计单位内部控制的依赖程度,合理评估被审计单位控制风险水平,确定实质性测试的重点业务领域及重点方法。
(二) 企业内部控制测评数据分析内容。
中央企业审计数据规划中针对企业内部控制设计了14张测评表,根据测评主要涉及的内容,可以把这14张表分成三类:
内部控制环境分析所需数据: 对被审计单位内部控制环境的分析。
AFA21/0001_企业会计政策调查表
AFA21/0002_控制环境调查表
AFA21/0003_会计系统调查表
主要业务循环内控测评数据: 企业主要业务包括采购业务、存货业务、固定资产业务、投资业务、筹资业务、货币资金业务、销售业务、人事薪酬业务等;对企业主要业务循环的风险进行调查,判断关键业务控制是否存在、是否有效,从而为审计人员判断提供依据。
AFA21/0005_采购业务循环内部控制调查表
AFA21/0006_存货业务循环内部控制调查表
AFA21/0007_固定资产业务循环内部控制调查表
AFA21/0008_投资业务循环内部控制调查表
AFA21/0009_筹资业务循环内部控制调查表
AFA21/0010_货币资金业务循环内部控制调查表
AFA21/0011_销售业务循环内部控制调查表
AFA21/0012_人事薪酬业务循环内部控制调查表
信息系统内部控制环境分析所需数据: 信息系统内部控制调查主要通过对信息系统运行管理、信息系统环境安全控制、会计电算化系统的调查,判断被审计单位的信息系统是否存在必要的物理、软件内部控制,信息系统是否安全可靠。
信息系统运行管理调查表
信息系统环境安全性控制表
AFA21/0004_会计电算化系统调查表
各测评表具体内容可参考中央企业审计数据规划。
三、利用Excel文档搜索分析工具对内部控制测评表自动分析的思路
(一)数据格式。
当前主要的内部测评表主要是word格式,为了进行自动分析,在保持中央企业审计数据规划测评内容的基础上对测评表格式做部分修改:在原来的Word格式的基础上,把测评表改变为Excel格式;并修改信息系统部分的调查表内容,保持格式统一。主要有两个目的:其一, 完成相关的内部控制调查;其二,提供中央企业审计数据规划中测评数据的部分数据内容接口。格式见表1 AFA21/0001_企业会计政策调查表:
表1 AFA21/0001_企业会计政策调查表(略表)
|
序号 |
项目 |
项目标识 |
一贯政策 |
当期变化情况 |
审计人员评价及签名 |
|
1 |
执行何种财务制度 |
X |
|
|
|
|
2 |
各种适用税率 |
X |
|
|
|
|
3 |
合并报表编制范围 |
X |
|
|
|
|
4 |
具体会计政策 |
X |
|
|
|
|
…… |
|||||
|
31 |
审计日期: |
Q |
|
|
|
|
32 |
复核人员: |
Q |
|
|
|
|
33 |
复核日期: |
Q |
|
|
|
项目标识:表明调查内容是具体项目(X)或者是审计人员签字项(Q),如果项目标识为Q,则只需由审计人员填写“审计人员评价及签名”的内容;如果项目标识为X,则由审计人员填写“审计人员评价及签名”的内容,被审计单位填写其余列;
调查反馈:由被审计单位填写“是”、“否”或“不适用”;
佐证材料:由被审计单位填写调查与项目相关的规章制度、管理措施名称;
关键字:由被审计单位提供其佐证材料中的主要关键字;
审计人员评价及签名:由审计人员根据辅助材料填写对内部控制调查项目的评价:“充分有效”、“高风险”、“部分风险”;或者填写审计人员姓名、日期等相关信息。
(二) Excel文档搜索分析工具主要思路和步骤
根据被审计单位填写的内部控制调查表,审计人员设置条件分别筛选内部控制环境、主要业务循环、信息系统内部控制环境的风险点和内部控制措施,判断主要风险点和相关控制措施是否存在并有效。综合对被审计单位内部控制的调查分析结果,界定对被审计单位内部控制的依赖程度,合理评估被审计单位固有风险、控制风险水平,确定实质性测试的重点业务领域及重点方法,利用Excel文档搜索分析工具形成被审计单位“内部控制综合分析表”。
|
方法步骤:被审计单位填写调查表;利用关键字搜索被审计单位提供的佐证材料中相关段落,以供审计人员判断材料的充分有效性;审计人员根据专业判断,得出相关调查项目的结论;对于单一业务循环,寻找关键控制点缺失项目:选择关键控制点记录,判断关键控制是否存在,如果关键控制缺失,那么审计人员评价该为“高风险”;审计人员综合调查项目,对被审计单位做回答“是”,但审计人员评价为“高风险”、“部分风险”的调查事项以及会计政策调查表中有当期变化的调查事项重点关注,汇总出“控制环境调查重点注意事项表”、“业务循环内部控制调查重点注意事项表”、“信息系统内部控制调查重点注意事项表”,处理逻辑为“项目标识”=“X”并且“审计人员评价且签名”等于“高风险”或“部分风险”;或者企业会计政策调查表中“当期变化情况”非空;
形成内部控制综合分析表。
步骤如图1所示:
四、Excel文档搜索分析工具技术实现
针对Excel文档搜索分析的内容和方法,采用Java及JavaScript语言进行开发实验,基于TOMCAT6实现,采用B/S方式,基本实现了以上功能。
Excel文档搜索分析的步骤:
查询准备:接收到用户的查询请求后,按给定的搜索条件进行搜索分析,包括查询关键字的分词、分析涉及到的索引文件及原始文件;
查询处理:根据“查询准备”阶段的处理结果,进行相关内容的定位、数据统计等任务;
生成结果:根据要求将结果保存到Excel文件中,并将结果直接返回给用户界面。
Excel抽取器的功能:负责Excel文档的解析及抽取任务,以列为处理单位。相关的抽取规则由用户定义。
由若干张Excel表按指定的条件合并得到新表;
对于选择的每一张表,可以对其中任意2列设置搜索条件,每一个搜索条件若有多个关键字,则以空格分开,关键字之间是“或”关系;
“连接符”表示两个列搜索条件的关系:and(且),or(或);
对选择的表设置完成后,点击“增加”按钮,生成搜索任务;
可以设置生成若干个搜索任务,并可以选中某一任务,然后通过“删除”按钮删除;
搜索任务完成后,点击“开始”进行搜索,返回结果以表格的形式展现给用户,并保存为新表。
五、实例
某单位控制环境调查表、采购业务循环内部控制调查表、信息系统环境安全控制表部分内容分别如表2、表3、表4所示:
表2 控制环境调查表
|
序号 |
调查项目 |
项目标识 |
调查反馈 |
佐证材料 |
关键字 |
审计人员评价及签名 |
|
1 |
1、管理哲学和经营方式 |
X |
|
|
|
|
|
…… |
|
|
|
|
|
|
|
12 |
(1)是否定期召开会议并及时编写会议记录? |
X |
是 |
会议记录 |
|
充分有效 |
|
13 |
(2)是否设置审计委员会? |
X |
否 |
|
|
高风险 |
|
14 |
…… |
|
|
|
|
|
|
28 |
(1)员工是否具备必要的知识、业务技能和工作经验? |
X |
是 |
新进员工占1/3 |
|
部分风险 |
|
…… |
|
|
|
|
|
|
|
32 |
审计人员对控制风险评价 |
Q |
|
|
|
中 |
|
33 |
是否进行内部控制测试 |
Q |
|
|
|
否 |
|
34 |
审计人员: |
Q |
|
|
|
李信 |
|
35 |
审计日期: |
Q |
|
|
|
|
|
36 |
复核人员: |
Q |
|
|
|
高茜 |
|
37 |
复核日期: |
Q |
|
|
|
|
表3 采购业务循环内部控制调查表
|
序号 |
调查项目 |
项目标识 |
调查反馈 |
佐证材料 |
关键字 |
审计人员评价及签名 |
|
1 |
申请采购 |
|
|
|
|
|
|
2 |
(1)订货单是否依采购计划或生产计划制发? |
X |
|
|
|
|
|
3 |
(2)采购计划是否经主管负责人核准?* |
X |
否 |
|
|
高风险 |
|
4 |
(3)对大宗、主要原材料的采购是否均有合同? |
X |
|
|
|
|
|
5 |
(4)对主要原材料及其他金额较大物资采购的重大事项,是否由厂长、经理和其他相关部门(业务和财务部门)负责人通过会议或其他形式集体决策?* |
X |
是 |
|
|
充分有效 |
|
6 |
(5)采购是否与请购、批准、运送、验收的职责相分离?* |
X |
否 |
|
|
高风险 |
|
…… |
|
|
|
|
|
|
|
30 |
审计人员对控制风险评价 |
Q |
|
|
|
|
|
31 |
是否进行内部控制测试 |
Q |
|
|
|
|
|
32 |
审计人员: |
Q |
|
|
|
李信 |
|
33 |
审计日期: |
Q |
|
|
|
|
|
34 |
复核人员: |
Q |
|
|
|
高茜 |
|
35 |
复核日期: |
Q |
|
|
|
|
|
序号 |
调查内容 |
项目标识 |
调查反馈 |
佐证材料 |
关键字 |
审计人员评价及签名 |
|
1 |
计算机房或数据存放中心是否远离加油站、储气站、蓄水池等危险地点? |
X |
是 |
|
|
充分有效 |
|
…… |
|
|
|
|
|
|
|
19 |
备份的数据是否异地存放? |
X |
否 |
|
|
部分风险 |
|
…… |
|
|
|
|
|
|
|
30 |
是否对系统的操作人员实施密码控制,防止无关人员使用系统? |
X |
否 |
|
|
高风险 |
|
…… |
|
|
|
|
|
|
|
39 |
审计人员控制风险评价 |
Q |
|
|
|
高 |
|
40 |
是否进行内部控制测试 |
Q |
|
|
|
否 |
|
41 |
审计人员: |
Q |
|
|
|
李信 |
|
42 |
审计日期: |
Q |
|
|
|
|
|
43 |
复核人员: |
Q |
|
|
|
高茜 |
|
44 |
复核日期: |
Q |
|
|
|
|
参考文献:
[1] 陈旭,文本挖掘中若干关键问题研究,中国科学技术大学出版社,2008;
[2] 毛国君,段丽娟等,数据挖掘原理与算法(第二版),清华大学出版社,2007;
[3] 李尚初, Oracle的全文检索技术,哈尔滨师范大学自然科学学报,Vol. 25, No. 4 2009;
[4] 赵晓静, Web 文本挖掘综述, 电脑学习,2008年10月,第5期;
[5] 赵辉等, 一种基于关键字检索的方法在非结构化审计数据分析中的运用, 中国内部审计,2010年10月,第10期。
| 【关闭】 【打印】 |
