试论审计现场管理与控制
审计现场;管理;控制;风险评估
从系统论的角度看,审计质量控制应该是一个由各项控制机制组成的完整的质量控制体系,它涵盖审计的全过程,其核心就是对提供合格审计产品的过程进行控制。其中,审计现场的组织管理与控制是一个非常重要的子系统,管理者或组织者对审计现场的驾驭不仅体现管理水平,而且是优质审计项目的保障。
一、审计现场管理与控制的目标
审计现场的组织管理与控制是审计机关为实现规范审计现场作业、提高现场审计效率、防范审计风险、保障审计质量的目的而形成的一项内部控制措施。因此,我们可以借鉴企业内部控制的一些基本原理作为审计现场管理与控制的基本思路。
1992年美国反虚假财务报告委员会COSO(Commit teeofSponsoringOrganizationsoftheTreadwayCommission)发布了《内部控制统一框架》(InternalControl IntegratedFramework)。在这个框架中,COSO首先强调的是内部控制目标,因为COSO认为,没有预定的目标,谈控制就没有任何意义。COSO在《内部控制统一框架》中指出,企业的内部控制有三项目标,一是经营的效果和效率,二是财务报告的可靠性,三是合规性。
同样地,我们在研究审计现场管理与控制的时候,也首先需要确定控制目标。因为没有目标,管理就失去方向,控制也无从下手。虽然管理和控制两者是有区别的,但在最终的目标上它们是趋向一致的。参照COSO对企业内部控制目标确定的方式,我们认为,对审计现场作业的管理与控制可以设定以下三项目标:一是审计作业的效果和效率,二是审计结果的可靠性,三是审计过程的合法和合规性。
(一)审计作业的效果和效率
虽然国家审计机关并不像社会审计那么注重经济效益,但是效果和效率仍然应该是首要的管理与控制的目标。这个目标不仅应当体现在审计工作的总体指导思想上,而且在审计现场的管理与控制中显得更为突出。
在日常审计中,人们常常会以查出违规问题的多少来衡量效果的好坏,以审计时间的长短来衡量效率的高低。然而这样的理解是片面的。
固然,违规问题的查出是审计效果的一个方面,但作为现场审计管理与控制的目标则主要关注是否有效降低了审计风险,并且把审计风险控制在可以接受的水平。查出违规问题的多少并不取决于控制本身。
审计风险的控制不能单从被审计单位的状况出发,因为现实中,来自审计部门内部的控制缺失(如审计现场的复核形同虚设)或失效(如审计人员不按规定程序操作)也可能导致审计风险的产生。因此,审计现场管理与控制的首要任务是防止来自审计部门内部的审计风险, 控制的效果体现在这种来自内部的风险降到了最低。
人们通常认为,效率高的表现是节省时间,而效率低往往表现为拖延时间,从而人们把注意力集中在如何安排和利用时间上。但是如果我们深入地去考察一个效率很高的审计项目,就会发现,时间的运用只是提高效率的一个方面。审计现场有效的组织协调、明确的任务分工、科学的规划、团队中审计人员的良好协作、畅通的信息反馈与沟通、审计组长正确的战略决策等都可能成为提高现场审计效率的重要因素。站在管理者的角度,就更会感到审计效率的提高绝非仅仅是节约审计时间所能包容的。
(二)审计结果的可靠性
作为审计过程结束时的最终产品,审计报告的可靠性可能是审计部门领导或外界决策者最为关注的。而体现在审计报告中的审计结果主要来源于审计人员的现场作业。审计现场控制的目标瞄准的是审计的直接产品———审计结果,而不是经过整理加工的最终产品———审计报告。