內部審計在企業開展內部控制評價的實踐

樊　帆

【摘要】 內部審計作為企業內部一種獨立、客觀的監督、評價活動,是企業內部控制系統的重要組成部分,在企業內部控制系統中發揮著重要的作用。分析了內部審計在內部控制評價實踐中存在主要問題,提出了改進內部審計的措施。

【關鍵詞】 內部審計;COSO內部控制框架;風險評估;定量化

自從現代公司制度形成以來,公司治理就成為企業成功的關鍵,其中治理控制更是公司治理的主要核心內容。由于治理控制實現方式不同,可以把公司治理模式分為外部市場控制治理模式和內部控制治理模式。外部市場控制的治理模式由于公司和外部市場的信息不對稱,使得這種治理模式的效果大打折扣。尤其進入21世紀以來,美國最大的能源公司——安然公司突然申請破產保護,此后公司丑聞不斷;2002年6月的世界通信會計丑聞事件,徹底打擊了美國投資者對資本市場的信心,由此產生的信任危機對公司和資本市場的發展產生了極為不利的影響。同時,我國的“鄭百文”、“麥科特”、“東方電子”、“銀廣夏”、“藍天股份”、“中航油”等上市公司會計造假案,日益成為人們的關注焦點。

一、內部控制評價與內部審計

(一)內部控制及其評價

1.內部控制的內涵——COSO內部控制框架

為防止和杜絕安然、世通等類似事件出現,美國國會和政府加速通過了《薩班斯法案》,同時美國證券交易委員會(SEC)也制定了相應的實施標準,要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性,從側面承認了COSO(Committee of Sponsoring Organization)1992年公布的《內部控制—綜合框架》(也稱“COSO內部控制框架”)。COSO框架正式成為美國上市公司內部控制框架的參照性標準。

COSO報告提出內部控制是用以促進效率,減少資產損失風險,幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標:經營的效率和效果(基本經濟目標,包括績效、利潤目標和資源、安全),財務報告的可靠性(與對外公布的財務報表編制相關的,包括中期報告、合并財務報表中選取的數據的可靠性)和符合相應的法律法規。COSO內部控制框架有五部分組成:控制環境;風險評估;控制活動;信息與溝通;監督。

2.內部控制評價的內容及范圍

(1)企業控制環境。以《上市公司內部控制指引》為依據,對企業進行測評。主要有:企業治理結構是否完善;董事會、監事會和股東大會等管理架構是否合法運作和科學決策;是否建立有效的激勵約束機制和樹立風險防范意識;企業管理層及業務環節是否開展內控培訓,讓內部風險防范成為高管的共識;是否培育良好的企業精神和內部控制文化,創造全體職工充分了解并履行職責的環境。

(2)企業風險。在對企業風險防范作測評時,應重點關注企業是否建立完整的風險評估體系;是否建立審計委員和風險管理部門;是否對經營風險、財務風險、市場風險、政策法規風險和道德風險等進行持續監控;是否對已發現的企業風險有控制措施。

(3)企業控制活動。企業管理層為確保風險對策有效執行和落實所采取的措施和程序,主要包括批準、授權、驗證、協調、復核、定期盤點、記錄核對、財產的保護、職責的分離、績效考核等內容。

(4)企業信息與溝通。在對企業信息活動測試時,重點審核公司是否已制定公司內部信息和外部信息的管理政策,確保信息能夠準確傳遞;確保董事會、監事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況;確保各類風險隱患和內部控制缺陷得到妥善處理;公司的日常業務包括資產、財務管理等是否實行流程表單化管理和建立ERP系統。

(5)企業檢查與監督。在對企業該項活動測試時,要重點審核公司是否已制定了內部控制檢查監督辦法,該項工作是否在董事會或審計委員會直接領導下,有風險管理部門或審計部門具體負責實施。

(二)內部控制評價的主要途徑——內部審計

內部審計作為企業內部一種獨立、客觀的監督、評價活動,是企業內部控制系統的重要組成部分,在企業內部控制系統中發揮著重要的作用。內部審計的評價職能:一方面可以對企業及各部門的經營活動及其績效對照各種可參照的標準進行分析和判斷,從而促進企業不斷改進經營管理水平,提高獲利能力,增強競爭力;另一方面可以對企業內部控制的健全性及有效性對照各種適用、先進和理想的標準進行評價,促進控制系統的不斷更新與優化。

因此,內部控制評價可以通過內部審計來進行,主要表現在4個方面:(1)通過內部審計評價企業的內部控制環境;(2)通過內部審計評價企業風險(3)通過內部審計評價企業內部控制活動;(4)通過內部審計評價企業內部控制的信息系統與溝通。

二、內部審計在開展內部控制評價實踐中存在的主要問題

(一)內部審計的組織地位無法保證評價工作的獨立性

在2008年出臺的《企業內部基本規范》第十三條明確規定,企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制,監督內部控制的有效實施和內部控制自我評價情況,協調內部控制審計及其他相關事宜等。目前上市公司中大多采用第一種模式(其治理結構圖如圖1所示)。

該模式中的審計委員會等都是為公司董事會服務的職能機構,從實際意義上講都不是監督公司董事會的職能機構,這種模式已越來越不適應現代企業制度建設的需要,其不足主要體現在以下幾方面:

(1)內部審計職能定位不高。長期以來我國上市公司的內部審計工作一直以財務審計為主導,內部審計職能定位不高,把被審計對象當作“對立面”,不利于企業內部工作的協調運轉及企業的長遠發展。同時該內部審計只對董事會負責,成為了董事會的一個服務機構,而忽視了對股東及各利益相關者乃至全社會應承擔的責任。

(2)從獨立性上說,沒有建立獨立監事制度。我國公司中的監事會成員都是由內部監事組成,沒有建立獨立監事制度。大多數監事會成員兼任公司中的其他內部職務,容易受到公司內部各種利益關系的制約與限制,監督獨立性和客觀性差。

(3)從股權結構上說,一股獨大使監事會形同虛設。我國絕大多數的上市公司都是由國有企業改制而成,國有股和法人股往往居于控股地位,形成人們所說的“一股獨大”現象。一股獨大使的大股東可以憑借其控制權,控制股東大會,進而控制董事會和監事會,甚至向公司指派總經理等高層管理人員,形成對公司的絕對控制,使得監事會形同虛設。

(4)從結果上說,董事會和監事會之間權力失衡。董事會和監事會的權力制衡機制難以形成,董事會權力過重而監事會形同虛設,無法行使其應有的職責。這種機制下的內部審計是低效甚至失效的,內部審計機構也形同虛設,無法行使其應有的職責。

(二)內部審計的評價標準過度傾向于定性標準,對內部控制的現狀反映不夠充分

內部控制體系評價也是企業內部控制體系的重要組成部分,建立一個完善的評價機制是完善內部控制體系、評價控制體系效果的重要內容。而評價機制實際上也是一種反饋機制,通過對內部控制體系的健全性、有效性及經濟性進行準確評價,以實現對內部控制體系的“再控制”。

我國雖然以COSO內部控制框架為核心的內部控制系統已經建立,現有的法律法規和行政規范中也多項涉及到內部控制評價的內容,要求對內部控制的完整性、合理性及有效性進行評價,但在內部控制標準的建設上,沒有對管理層進行內部控制制度有效性評價提供實質性指導,從而造成不同公司的管理層在進行內部控制的有效性評價時沒有一個統一的標準。大多數企業也沒有建立起統一的規范,而且多數停留在定性標準的層面上。而定性評價活動受評價人員的主觀判斷影響很大,因此很難準確、明晰地反映內部控制體系的現狀,嚴重影響了內部控制評價作用的發揮,使得“再控制”的實施效果大打折扣。

三、問題分析及改進措施

(一)提高內部審計委員會的職能地位

由于傳統組織模式不利于獨立、客觀的進行,所以必須將內部審計委員會設置在局外,讓其可以獨立的進行,而監事會是最佳的管理機構(這種模式如圖2所示).

這種審計模式的權威性和獨立性都很強,有效地防止了“一股坐大”的發生,兼顧大小股東的利益。監事會作為監督,它不參與日常經營管理,而是代表所有股東監督董事會、管理人員的工作和單位整體經營目標的實現情況。為此,它也需要有一個獨立的部門和一批專門人員對整個單位的生產經營活動進行客觀公正的檢查和評價,并將評價結果直接向它報告。另外,內部審計人員應回避自己曾參與過的管理活動的審計,內部審計人員作為獨立部門成員不能參與本單位的生產經營管理活動,只承擔對其進行評價和建議的審計責任。這種審計模式的權威性和獨立性都很強,能夠建立起內部審計部門和董事會的直接信息交流。但在實際工作中,可能會存在內部審計人員被臨時抽調擔任一些非審計工作任務,以一個管理人員的身份參與執行管理工作,或出現臨時調入、調出內部審計人員情況。此時,則不應委派這些人員參與審查自己曾負責的經營管理活動,以保證審計人員的獨立性。

(二)將定性評價指標定量化

對于內部控制的評價一般主要利用審閱、詢問、觀察、調查表、文字說明等方式,具有很大的主觀性和不精確性,在多變的環境下,更需要選擇一套能給企業帶來最大經濟效益的內部控制制度。因此,在結合傳統評價方法上,應該進一步對其進行經濟數量分析,精確掌握其可行性。

我國很多學者對美國COSO報告進行了全面介紹和研究,并運用COSO報告的標準與評價方法,從控制環境、風險評估、控制活動、信息與溝通、監督五個面對我國一些企業內部控制失敗案例進行系統分析,建議在COSO報告的基礎上建立一套內涵與外延統一、可操作性強的內部控制標準體系。該體系的基本特征在于它的關聯性、全面性、整體性。因此,可以將內部控制評價標準體系定義為:屬于內部控制評價標準范疇的有關事物相互聯系相互制約而構成的一個內涵與外延相互統一的一個整體。將內部控制的一般標準和具體標準結合(其評價標準框架圖如圖3)。

然后將各子系統的評分(百分制)列入下表(表1),最后進行綜合,根據評價結果進而改進企業內部控制系統。

參考文獻

[1]財政部.企業內部控制基本規范[s].2008(5)

[2]閻達五,楊有紅.內部控制框架的構建[J].會計研究.2001(2):9～14

[3]上海證券交易所.上海證券交易所上市公司內部控制指引.2006(6)

[4]財政部.內部會計控制規范——基本規范(試行)[S].2001

[5]趙鐵石.對內部審計本質、原則和規范的思考[J].經濟師.2007

[6]周遠平.談如何做好內部審計[J].寶鋼科技