基于内部审计视角的内部控制问题研究
吴江龙刘兴锋
[摘要]财政部等五部委制定的《内部控制规范》将于2009年7月1日起在上市公司实施,内部控制是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,并由企业董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。内部审计作为连接企业“董、监、高、员”关系和“游戏”规则检查的自我约束机制,是企业集团建立实施内部控制规范的关键因素。
[关键词]内部控制实施成效内部审计实施关键
在贯穿于企业集团全过程的内部控制体系中,应该充分发挥内部审计职能,合理评价企业内部环境、风险、控制措施、信息与沟通、组织实施效果,只有如此,才能保证企业集团各个层面、各个环节经济活动的有效运营,最终达到企业集团实现其战略目标的目的。
一、内部审计是实现控制活动成因的关键
1、内部审计是内部控制的重要组成部分
1986年,最高审计机关国际组织(international Organization of Supreme Audit Institutions,简称INTOSAI)在第十二届大会上对内部控制作了权威性解释:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计”。该解释将内部审计作为内部控制的一个重要组成部分。1992年COSO委员会《内部控制——整体框架》一书认为内部控制中的“监督”因素也包括内部审计。《企业内部控制基本规范》亦把内部审计作为“控制环境”、“控制方法”和“监督检查”等方面的主要内容。厦门大学教授、博士生导师王光远教授指出“内部控制与内部审计与生俱来”。可见,内部审计是内部控制的重要组成部分。
2、内部审计是完善内部控制的重要机制
安然、世通丑闻的出现使美国各界人士在痛定思痛之后,舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源—一些企业的商业道德沦丧,良心泯灭上。在营造企业树立诚信的商业道德和维护“企业良心”的外部环境上,美国的法律不可谓不多;美国对企业的监管体制不可谓不严;美国拥有“五大”在内的众多超巨型国际会计师事务所,其审计技术和手段不可谓不先进,在此情况下,仍出现那么多财务丑闻和欺诈行为,人们不得不把关注的焦点从企业的外部环境转向企业内部控制机制上。由于内部审计在企业经营管理中处于极其重要的地位,它既是企业内部控制机制的重
要组成部分,又是监督与评价内部控制的主要手段,因此,人们把内部审计当作“企业良心”,当作维护企业道德文化的最后一道防线。《萨班斯—奥克斯利法案》使内部审计“再次介入”内部控制。根据风险导向内部审计的发展趋势,内部审计同时也是以内部控制作为生存与发展的基础。
3、内部审计是维系内部控制和公司治理的重要纽带
内部控制和公司治理是紧密相联的,内部审计能够更好地将两者结合起来。斯坦福大学钱颖一教授(1995)曾具体地提出:公司治理结构是用以处理不同利益相关者即股东、贷款人、管理人员和职工之间关系以实现经济目标地一整套制度安排。王光远教授指出:内部审计是“透视公司的窗口”,是公司治理的“守门员”,是组织极具价值的资源。2001年,震惊世界的“世通”丑闻在暴露了企业原治理结构模式的缺陷的同时凸显了内部审计的重要性。之后不久,美国迅速通过了《萨班斯—奥克斯利法案》法案,明确规定了内部审计在公司治理中的重要作用。内部审计和董事会、高级管理层、外部审计一起共同构成公司治理的“四大基石”。内部审计成为公司治理结构的重要组成部分。
二、建立与内控规范相适应的内部审计体系
1、加强企业内部审计机构建设:按照精干、高效,即要切合实际,又要有利于审计工作的开展,通常,在集团公司董事会下设审计委员会,在行政系统——经营管理系统设置审计部门,集团各分、子公司分别设立内审机构或配备专、兼职内审人员。各单位内审人员或机构在行政上接受所在单位负责人或分管内部审计负责人的领导;在业务上接受集团审计部门的指导并开展工作。
2、建立、完善企业内部审计制度:完善的内部审计制度不仅有利于内部审计工作的开展,而且有利于内部审计工作的规范化、制度化,从而提高内部审计工作的效率和质量。如科学进行审计岗位设置与考核、制订规范的内部审计工作手册、进一步完善内部审计流程、审计项目实施和审计质量控制制度等,形成有企业特色的较为完备的审计规章制度体系。
3、建立一支具有现代知识素养和职业道德水准的内部审计队伍:创建学习型团队,培养一批对本系统、本行业、本企业的法规政策了解,对企业的生产流程、经营业务熟悉的复合型人才。内部审计人员的素质要求至少应包括下面几个方面:(1)很高的道德修养;(2)丰富的知识;(3)很强的相关技能;(4)不断学习,勇于创新的精神;(5)熟悉法律、法规制度。
三、以内部审计为关键因素,全面推动内部控制实施
在新的历史时期,内部审计应以企业集团的战略发展目标为出发点,以为企业实现价值增值为最终目的,围绕内部控制规范的“五要素”,全员全过程地渗入内部审计。
(一)内部审计与“控制环境”
1、推动公司治理机构的健全有效
在宏观上政府要为企业创造一个良好的治理环境,在微观上,企业必须完善公司治理结构,建立起现代企业制度。从决策、执行、监督三权分立的公司基本治理原理来看,内部审计的作用越来越引人注目。一方面,内部审计是公司治理结构中必不可少的一环,另一方面,内部审计职能的充分发挥又依赖于公司治理环境的完善。公司治理不能局限于权力制衡,不仅要建立完备有效的公司治理结构,更需要建立行之有效的公司治理机制。内部审计要通过对企业现代企业制度是否建立、治理结构是否健全完善、治理机制是否科学合理、信息沟通是否畅通及时等方面的监督评价来推动公司治理机构的健全有效。
2、倡导良好的企业文化
公司治理实务是一个公司独特文化的反映,因此,治理过程的有效性在很大程度上取决于企业文化。公司的行为模式、目标和战略的制定,业绩的衡量和报告,对履行社会责任的态度,都受“企业文化”的影响。内部审计人员应以身作则,倡导良好的企业文化,并使之与企业的流程对接,从而使企业文化落地生根进而不断优化企业的内部控制环境。国际内部审计师协会(简称IIA)要求内部审计在加强企业道德文化方面的作用是:在支持道德文化方面发挥积极作用;内部审计师应具备高水准的诚信度;具有倡导良好道德行为的技巧;有能力呼吁领导者、管理者和员工遵守法律、道德和社会责任。同时,内部审计要帮助企业建立遵守法律的合规性文化;出现问题时,要“吹哨”警告。
(二)内部审计与“风险评估”
1、进行风险评估,提供风险报告
根据COSO内部控制整体框架,内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标,识别上述目标相关的风险,评估识别出风险的后果和可能性,针对风险评估的结果,考虑适当的控制活动。从上述过程可以看出,只有评估了风险点,才能设计有针对性的控制程序。全面的风险评估对于一个企业的成功已越来越重要。外部审计人员尽管具有专业的“审计”能力和丰富的企业流程设计经验,但“他们对评估未来风险方面的经验不如内部审计人员,美国的研究结果表明了这一点”。内部审计人员通过检查、评价、报告企业内部控制和风险管理的充分性、有效性,提出风险管理方法,帮助管理层加强风险管理,以进一步加强和完善企业的内部控制,达到有效控制风险、提高企业整体效率和效果的目标。
2、参与内部控制设计,真正发挥“专家”力量
内部审计身处企业当中,对企业的各个方面都比较熟悉,又直接面对各种缺陷与舞弊,另一方
面,内审人员具有突出的专业技能和丰富的工作经验,是企业“重要的资源”。因此企业在设计内部控制时,内部审计人员作为主要参与人员,可以起到事半功倍的效果。2001年,IIA 将内部审计定义为一种独立、客观的保证和咨询活动,正是希望发挥内部审计人员在“咨询”方面的特长,以提高企业的效率,增加企业的价值。
(三) 内部审计与“控制活动”
1、作为一种控制活动直接对经营活动进行监督
内部审计的本质是确保受托责任履行的管理控制机制,现代内部审计之父——劳伦斯?索耶说过:“内部审计是管理层的耳目。”从产生来看,内部审计是两权分离和企业管理层次增多基于企业单位内部经济监督之需而产生的,内部审计可以通过自己的监督工作,发现并纠正存在的问题,督促企业各级管理人员及各位员工遵纪守法,严格执行制度规定,其主要内容是评价会计记录与财务状况。随着经济的发展,内部审计逐步向管理方面延伸,即审核和评价各种经营与控制系统,用以确定企业的政策是否得到贯彻,建立的标准是否得到遵循,资源的利用是否节约而有效,单位的目标是否实现,并对企业管理工作提出建议等。因此内部审计本身就是一种行之有效的内部监控系统。
2、通过对“控制活动”的再控制进行监督管理
《企业内部控制基本规范》指出:企业应当结合风险评估结果,运用相应的控制措施,将风险控制在可承受度之内。并指出控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。这些控制措施的执行效果需要内部审计来监督和评价。也就是说,作为一种管控工具,内部审计不仅可以通过直接对经济活动进行监督和评价,而且可以通过对其他管控工具的再管理、再控制而对企业的经济运行发生间接的保障作用。因此,内部审计是对企业管理的再管理,是对企业控制的再控制。通过内部审计可以有效地反映企业控制活动的效率和效果。
(四) 内部审计与“信息与沟通”
1、参与流程优化,促进企业信息化建设
信息技术是企业财务工程体系的支撑,业务流程是企业财务工程体系的基础,企业内部控制的建立与实施必须要借助信息技术,实现业务流程的“落地生根”。由于内部审计置身于企业当中,熟悉企业的业务流程和薄弱环节,因此,内部审计的参与,有利于企业提高流程优化的效率,并为企业信息化建设提供合理建议。企业集团应该借助企业资源计划系统(Enterprise Resource Planning,简称ERP),全面整合和规范财务、业务流程,对企业物流、资金流、信息流进行一体化的管理和集成运作,实现“纵向管控、横向集成”,从而确保内部控制的有效实施。
2、通过审计评价,改善“信息与沟通”
《企业内部控制评价指引(征求意见稿)》指出,应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。《内部审计具体准则第5号——内部控制审计》规定,评价组织获取及处理信息的能力,其审查重点为:获取财务信息和非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全与可靠。内部审计的审查和评价可以有效改善内部控制的“信息与沟通”。
(五) 内部审计与“监督检查”
1、监督和评价内部控制的有效运行
2002 年7月,美国国会通过了《萨班斯—奥克斯利法案》。法案302条款要求管理层评价内部控制在签署报告前90日的有效性,而404条款则要求审计该公司财务报表的审计人员审计财务报告内部控制或者审计管理层有关内部控制有效性的结论。我国即将实施的《企业内部控制基本规范》第四十四条、《企业内部控制评价指引(征求意见稿)》第二条、第七条等均明确指出,内部审计在内部控制评价方面的地位和作用。因此,内部审计通过对控制环境、风险评估、控制活动、信息与沟通和内部监督等内部控制要素全方位的监督、评价,可以及时发现内控执行中的问题,改善企业运行的效率效果从而实现企业的发展目标。
2、为外部审计打下良好的基础
外部审计是对企业监督的一支重要外部力量,内部审计不仅与外部审计共同构成公司治理的“四大基石”,而且内部审计的良好运行可以为外部审计打下良好的基础,降低外部审计的审计风险,从而有利于注册会计师对企业的财务报告出具正确的审计报告或有助于注册会计师对企业的内部控制出具专门的评价意见,从而使社会公众包括政府监管部门对企业的经营活动和内部控制有一个正确的认识和评价。
〔参考文献〕
[1]汪丛梅.关于健全国有企业内部审计制度的思考.经济纵横.2008 年第9 期
[2]吴江龙.基于经济循环条件下大型集团企业财务工程之设计与应用研究[J].中国总会计
师.2008(4).
[3]范桂英.关于企业内部控制有效性评价的思考.审计与理财.2008.02.
[4]赵丹萍.我国内部审计管理现状与对策.审计研究.2007.06.