时间:2022-05-16 22:08:38
序论:在您撰写内部控制审计时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
目前,国内相当一部分企业尚未意识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。一般企业中的内部审计,从内容上讲主要是围绕信息的可靠性与完整性,政策、计划、程序、法律和规定的遵循,保护资本的安全,资源的节约和有效使用,经营目标的完成等方面来展开的。内部审计从机构的设置、工作重点、审计内容的深度和广度、审计方式和规范管理等方面,还远未发挥出应有的支持内部管理的作用,更无法适应现代企业建立健全内部控制制度的要求。主要表现在以下几方面:
(1)从机构设置看,目前企业大部分的内部审计部门,基本上与其他职能部门平行,有些中小企业甚至还没有独立的内部审计部门,这种状况使内部审计机构及人员往往受利益因素制约、人际关系影响,无法独立、客观、真实、公正、深入地开展工作,做出的审计处理也往往因管理体制的制约得不到有效贯彻落实,久而久之就失去了内部审计的权威性,成了企业可有可无的部门,难以在内部控制监督、评价中取得满意的效果。
(2)从审计内容看,目前,一般企业的内部审计人员往往将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上,其主要职能是查错防弊而不是对企业管理作出分析、评价和作出管理建议,审计的对象主要是会计报表、帐本、凭证及其相关资料,工作都集中在财务领域而未深入到管理和经营领域。
(3)从审计方式看,目前,一般企业的内部审计都是事后审计,只将内部控制评价作为审计的一种手段而不是独立的审计内容,无法做到对企业内部控制进行全过程、全方位的监督和评价,实现事前预防和事中控制,及时发现各个环节存在的问题,把企业的风险降到最低程度。
(4)从审计人员构成看,目前,内部审计正由财务领域向经营、管理领域的拓展,但一般企业审计机构在人员的构成上仍是单一化的,大多为财务出身,缺乏精通企业各相关业务的专门人才,使内部审计在企业内部控制制度中难以发挥更大的作用。
2.内部控制审计的内容
2.1审查与评价控制环境
控制环境的优劣直接决定着企业的各项控制措施能否执行及执行的效果。如果控制环境不好,一方面很难建立完备的内部控制;另一方面即使建立了完备的内部控制制度,也不会取得好的效果,也照样出问题。控制环境内容包括:经济性质和经营类型;管理层的经营理念;管理层倡导的组织文化;法人治理结构;各项职责的分工及相应人员的胜任能力;人力资源政策及其执行。重点审查经营活动的复杂程度;管理行为守则的健全性和有效性;管理层对逾越既定控制程序的态度;组织文化的内容及组织成员对此的理解与认同;法人治理结构的健全性和有效性;组织各阶层人员的知识与技能;组织结构和职责划分的合理性;重要岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训制度;管理权限的集中程度;员工业绩考核与激励机制。
2.2审查与评价风险管理
在现代市场经济条件下,企业,特别是许多大型企业,其失败更多不是其产品或劳务市场的消亡或萎缩,而是其没有很好地控制住风险。风险管理内容包括:识别影响组织目标实现的各类风险;建立风险管理机制,分析各类风险。重点审查被审单位抗风险的能力;是否建立风险应急应对机制;是否定期组织对高风险项目、重要管理岗位和资金流通环节等可能发生灾害性事故的防范和应对演练。
2.3审查与评价控制活动
控制活动是内部控制成败的关键所在,内部控制的环境再好,风险意识再强,如果没有严密的控制活动,那么也起不到内部控制应有的作用。控制活动内容包括:所有经营活动应有适当的授权;不兼容职务应当分离;有效控制凭证和记录的真实性;资产和记录的接近限制;独立的业务审核。重点审查控制活动建立的适当性;控制活动对组织目标实现的作用;控制活动执行的有效性;控制活动对风险的识别和规避。
2.4审查与评价信息与沟通
信息与沟通是企业应对情况改变、保证控制有效的“神经系统”,关键是保证信息真实与沟通及时。信息与沟通内容包括:及时、准确、完整地记录所有信息;保证管理信息系统的有序运行;保证管理信息系统的安全可靠。重点审查获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
3.开展内部控制审计的要求
3.1内部审计开展内部控制评价的范畴不应局限于内部会计控制
长期以来,人们对内部控制评价的定位,一直站在制度基础审计的角度,集中于会计控制。会计控制是企业内部控制系统最基础的控制平台,是企业内部控制的主要内容,但绝不是惟一内容。以目前我国许多上市公司为例,有些公司虽然会计制度比较健全,但由于忽略控制环境问题,使管理环节存在诸多缺陷,导致会计控制失效的事例频频发生。红光、琼民源、郑百文、深华源、银广夏等业已暴露的违规事件几乎都与内部控制环境弱化有着千丝万缕的联系。从目前运用最广泛的内部控制理论一美国“反虚假财务报告委员会”COSO报告看,内部控制中的控制环境被置于很高的地位,而控制环境中的大部分内容显然超出了会计控制的范畴。尤其在我国,企业的发展有着特殊的背景,控制环境包含的内容更丰富,需要解决和完善的问题更多。因此,内部审计应加强对内部控制理论的研究和学习,对企业内部控制的评价,不应局限于内部会计控制范畴,应涵盖内部控制每个层面以及每一个重要控制,尤其对控制环境中企业法人治理结构和文化建设等方面要素要给予足够的关注和建议,更好地促进我国企业内部控制的日臻完善。
3.2运用风险导向内部控制评价模式
在内部审计领域,人们对风险导向审计方法有着与外部审计不同的理解,更多地将风险导向中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险。内部审计领域运用风险导向内部控制评价模式,要求内审人员改变过去那种以检查历史业务一记录和内部控制系统历史运营情况而提出建议和意见的传统评价模式,把审计的起点和重点放在关注企业未来发展所面临的风险以及企业为降低风险所进行的管理活动上,结合企业目标,评价企业现有控制措施能否将其存在的风险降低至可接受水平,以风险评估的结果来主导内部控制评价重点,根据风险的性质、影响程度、可接受水平,评价内部控制的恰当性和有效性,根据风险管理的需要决定所需要的控制,寻找所有可能降低风险的途径,提出管理、控制风险的建议和方法,将审计结果直接与企业经营目标和风险控制联系在一起,为企业增加更多的价值。
4.加强企业内部控制审计的途径
(1)参与企业内部控制制定,改变内部控制在制定阶段主要交由相关业务部门完成的传统做法,使内部控制在建立之时就交由内部审计进行评价。内部审计师应站在企业内部控制全局的高度,统筹考虑并提出自己的建议,最大限度地克服内部控制建立时可能就有的天然缺陷。
(2)在日常审计项目中,不仅通过内部控制评价,确定审计重点和审计风险,用以指导审计工作,而且还要对该项业务涉及到的内部控制的健全性、适当性、执行的有效性进行评价,评价其关键控制和程序能否保证内控目标的实现,能否有效抵御和控制企业各种风险,发现控制弱点和控制缺陷,及时报告管理层。此外,日常审计项目中发现的问题和企业发生的“非正常事件”,往往暴露出企业内部控制的薄弱环节,内部审计师应及时对相关的内部控制进行更为详细的评价步骤,提出改进、完善内部控制的建议。
(一)内部审计被认为是内部控制中的组成部分
内部控制在五个要素条件下共同组成整体框架,在这其中的控制环境要素指的是位于企业中的一些核心人员加之这些人的个别属性和他们所处的工作环境,其中包括审计会以及审计委员会、个人能力以及诚心价值观、组织结构、内部审计、管理者的理念与风格以及人力资源政策以及程序等。那么显而易见的是,控制环境中将内部审计包含了在内,然而因为环境控制又是内部控制要素里的一个,所以说内部审计也就能被看做是内部控制的一部分。然而内部审计不单单是内部控制中的一部分,还被视为监控内部控制时的一个十分重要的途径。这个监控就是指在经营活动的整个过程中向内部控制作出全方面的监督与评价,在相关程度上是有着特殊独立性的,一般来说都是由那些独立的职能部门实施内部审计的开展以及实施,此外还可以是向内部控制作出的自我评估。在进行内部审计之后,能够向除了控制环境以外的那些控制要素实施再次的控制,对内部控制进行监督,保证其有效的运行,在对其进行不断的评价与改进的过程中,使内部控制目标的实现得以促进。
(二)内部审计是对内部控制进行监控与评价的主要手段
当前,经济责任、经济效益、财务收支审计以及对特殊目的进行的专项审计是内部审计业务的主要内容。国际内部审计师协会对内部审计工作制定的新定义指出,我国内部审计在未来将以价值增值型审计、风险评估与风险管理审计作为发展的新趋势。不管是何种形式的内部审计工作,都需要对内部控制的建立以及执行的情况进行审查与评价,以此将审计的重要与审计的范围确定出来。所以说内部审计能够监督内部控制的简历以及执行的情况,是对内部控制的再控制。
(三)内部审计同内部控制之间能够相互融合与促进
内部控制由内部审计组成,在内部控制里是控制环境中的一个要素,也是企业和单位进行自我评价的一种评价活动,对于内部审计的本身来说也是一种控制。内部审计生成的一个主要产品与对象就是内部控制,内部审计能够通过审查与评价内部控制政策以及程序的有效性与健全性,能够促进建立出一个良好的控制环境。内部审计能够通过审查与评价内部控制,将组织在内部控制过程中隐含的风险点作出分析,对产生问题的原因以及引发出的一些不良影响作出评估,使内部控制能够更加的健全与有效。内部控制能够使内部审计的发展得以促进。如果内部控制能够进行良好的设计与运行,就会使审计工作得到更加顺利的开展,能够将审计工作的工作质量与工作效率提升,并且将审计的风险降低,还会帮助审计领域的扩大,令现代审计方法能够加快变革。
二、加强内部审计、完善内部控制的措施
(一)单独立项审查组织内部控制
当前,我国仍然存在很多组织内部的审计工作只是对财务数据的合法性与真实性进行查证,并没有进深到经营领域与风险管理上,一般都是在查账的过程对内部控制进行顺带的审查,不能使内部审计应当在内部控制中具有的作用实时发挥出来。对此,内部审计需要将重要的工作内容置于监督与评价内部控制过程中,应当对其进行单独立项,针对组织内部控制存在的地域风险能力并健全的有效程度加以衡量,将组织面临的各种类型的风险进行防范与化解,将组织的管理水平与运营能力提升。
(二)为内部控制提供管理咨询服务
根据相关法律规定,公司经理需要对公司的基本管理制度进行拟定。通常来说相关业务部门负责内部控制的制定阶段,业务部门往往会以自身的角度与利益为出发点对内部控制的方案进行制定,但是在这种情况下制定出的方案并没有对组织从全局上进行思考,其设计出的方案必定有很大的缺陷存在,甚至还有可能存在一些控制盲点。由于内部控制中内部审计的重要性以及内审人员了解组织内控情况,使得内部审计工作中涵盖了管理咨询服务这部分的内容。在对相关公司起草和构建基本管理制度时应当立即向内审部门提出咨询,拥有丰富经验的内审人员会以统筹考虑组织全局发展的角度给出自己的建议,在由总经理进行审阅、由董事会做出最终的决定,以此来将内部控制的缺陷在构建阶段得到最大限度的控制,使程序与制度的完善性得到了保证,进而发挥出极大的效果。
(三)合理设置并且准确定位内审机构
组织应当同国内外形势的变化相适应,进而建立出更加高效合理的现代化内部审计机构,使审计环境能够更加的良好,使内部审计能够将其在内部控制中的作用得到充分的发挥。关于审计理念需要从财务收支审计转变为对财务报告进行内部控制审计、从事后审计转变为全程审计、从查错防弊导向审计转变为价值增值导向审计、从对经营层的业务导向审计转变为战略层的治理导向审计。将服务作为立足点,将内部审计的预控功能发挥到实处,进而使组织的价值服务得以增强。
(四)对内部审计队伍加强建设
关键词:内部审计 价值增值 公司治理
一、引言
2002年7月,美国国会通过了《萨班斯――奥克斯利法案》,该法案的实施及其影响力的扩大,使得内部审计在企业价值链中所扮演的角色及发挥的作用也在不断扩大。2013年8月20日,我国内部审计协会以公告的形式了新修订的《中国内部审计准则》,并于2014年1月1日起施行。近年来,企业所面临的内部环境发生了重大改变,在“新常态”下,企业更应积极主动地完善公司的治理,提高防范风险意识,而内部审计作为公司的一个重要职能部门,其对企业价值增值显得尤为重要。
二、内部审计的概念及其价值功效
2004年,国际内部审计师协会在《国际内部审计专业实务标准》中对内部审计进行了定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。我国新修订的准则中指出“内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。显而易见,内审的目标已从查错防弊转变成了为组织增加价值,增值型内部审计通过以风险管理为中心,可分为显性价值与隐性价值两个部分。
(一)显性价值表现
内部审计创造的显性价值为内审人员通过审计技术对各个部门进行监督与评价,向决策者提示风险,预防与减少企业风险,提高企业效率,从而达到增加企业价值的最终目的。按照现代财务管理的理论,在一定条件下,收益水平相同的公司,风险越小的企业价值越高;占用的资源越少,即效率高者价值高。内审就是通过分析、监督和评价企业管理系统的各个环节,以找出企业的风险点与低效率点,从而防御风险和提高效率。
(二)隐性价值表现
内部审计隐性的价值主要体现在随着内审的发展,在以后的会计期间实现的,但又难以用货币计量的价值。那么增加价值成为内部审计的一项新的重要职能和作用。因此,如何使内部审计发挥更大的价值,以便更好地为组织机构价值增值,这不仅仅是高层管理者须考虑的问题,还是当前内计工作人员和内审的理论研究者困惑的关键点。
三、价值增值途径分析
(一)转变内审观念认识,提升内审人员地位
我国内审水平较低的一个主要原因是由于内部审计观念落后。因此,一方面,政府应积极推进内审法律法规发展进程,从而明确内审在企业经营管理中的地位,促进内审法规体系的健全。另一方面,上市公司治理是依据产权关系建立起的一种权力制衡结构。只有董事会、管理层、监事会三权分立,且权力相互制衡,才能对公司起到良好的治理效果。将内审部门设置在监事会下属的审计委员会之下,不仅可以划清监督权与执行权、决策权之间的界线,还能形成与董事会、高管的制衡,充分发挥内审人员的监督与审查职责。
(二)加强内审队伍建设,提高内审人员素质
内审涉及企业内部管理的方方面面,内审人员不仅需要从财务的合法性角度去看待信息,更要结合实际工作情况,从有效性和合理性的角度去看待问题,深挖隐藏在其中的问题和弊端。这就要求内部审计人员需要具有多元化的知识结构,而不是仅仅具备财务方面的专业知识。
(三)增强内审质量控制,贯彻全程审计模式
在当今迅速发展的互联网时代,除了内审观念的革新,更应该注重内部审计的质量与运行模式。
企业应建立健全责任控制制度,主要是确定项目负责人、主审以及一般审计人员的相关责任,并检查各部门和经办人员的职责是否经过恰当授权,达到相互牵制的目的。再者,须建立一个既完善又高效的审计信息化管理系统,有效监控财务信息及会计工作,全程跟踪监控企业的各项经营管理活动。同时,企业应充分发挥审计的评价和鉴证作用。通过对各部门的绩效进行评价,为奖惩兑现提供合理依据,从而被动地提高各部门的绩效,以增加企业的价值。
(四)完善绩效评价体系,保持内审的独立性
内审绩效评价体系最终是为了增加企业价值,评价和改进公司的治理。评价不是最终的目的,关键是为了提高内审的工作质量,因此要合理地使用评价体系,防止盲目死板地套用。若企业过分追求指标,则不利于内审工作的长期发展。同时,内审部门应对企业内部控制的设计与执行情况展开独立评价,指出其在设计中存在的缺陷和执行中存在的偏差,并分析原因,从中找出薄弱环节和失控点,发现管理中存在的漏洞,从而提出改进意见,并督促落实完善,防范经营风险,减少损失。企业需对评价体系的运行情况进行不断地跟踪改进,查验评价结果的真实性,评价体系的合理性、可行性及经济性,并根据评价结果不断改进。
四、总结
在这高科技与互联网飞速发展的“新常态”时代,企业生存和发展的需要对内部审计提出了进一步的高要求,故而巧妙利用管理,探求企业增值刻不容缓。企业首先要转变对内部审计的传统观念,提升内部审计在公司治理中的地位,加强对内部审计队伍的建设,增强内审质量控制,全程监控并完善绩效评价体系,保持内审的独立性。同时,作为内审人员,应不断完善自我,并针对性地提出建设性意见,为企业价值增值做贡献。参考文献:
[1]谭丽华.基于价值增值视角的内部审计实现途径探讨[J].中外企业家,2014(19).
(一)内部控制鉴证与内部控制审计政策变迁
中国相关政策变迁中国内部控制审计鉴证政策变迁与美国较为相似,由最初的财务报表审计中的内部控制评价发展到财务报告内部控制审核,再发展到财务报告内部控制审计。具体如表3所示。从表3可以看出,财政部等部委制定的内部控制规范主要针对主板上市公司,目前并没有强制要求中小板和创业板遵循,而是择机实施。但是深交所的《中小板指引》和《创业板指引》则对中小板和创业板内部控制审计鉴证作出了强制要求,三个板块《运作指引》的具体要求如表4。
(二)文献回顾
以SOX法案的颁布实施为分界点,美国内部控制相关研究可以分为2002年之前和2002年之后两个阶段。2002年之前,相关文献主要集中于财务报表审计中内部控制评价和财务报告内部控制审核的研究,只有少数研究关注内部控制审计,主要研究结论认为内部控制审计将提高审计的成本却无助于财务报告可靠性的提高(Hermanson,2000);2002年以后,随着SOX法案的实施,更多的研究开始关注内部控制审计,出现了大量的实证研究,其研究内容主要基于内部控制缺陷,具体包括内部控制缺陷发现和报告(Ashbaugh等,2007;Rice和David,2012)、内部控制缺陷对审计成本的影响(Raghunandan和Rama,2006)及对信息质量的影响等(AshBaugh-Skaifeetal.,2008)。中国内部控制的研究则可以分为2006年之前和2006年之后两个阶段。2006年以前,由于中国监管部门对内部控制审计鉴证尚无强制性规定,大量研究集中于内部控制信息披露,专门研究内部控制审计鉴证报告的文献较少,但是很多文献都提出上市公司内部控制审计或审核的必要性(陈关亭和张少华,2003;张立民等,2003)。2006年以后,随着上交所和深交所《上市公司内部控制指引》的颁布,尤其是2008年《基本规范》的颁布,大量研究开始关注内部控制审计报告,且均发现上市公司内部控制审计报告存在较多的问题,如审计意见表述方式不一致、审核依据不统一等(袁敏,2008;何芹,2012)。与国外研究相似,实证研究方面主要关注内部控制缺陷对审计成本及其信息质量的影响等(张宜霞,2011;田高良等,2011)。同时较多的研究开始关注内部控制鉴证的理论问题,内容包括鉴证目标、鉴证范围、鉴证标准等诸多方面(刘明辉,2010;李明辉和张艳,2010)。但是这些研究都是将内部控制鉴证报告与内部控制审计报告同等看待,并没有考虑二者之间存在的差异,未就内部控制审计与内部控制鉴证实施情况进行实证分析。
(三)比较分析
由此可见,美中内部控制审计鉴证政策的发展具有较强的相似性,都经历了内部控制评价、审核和审计等不同阶段,但是在具体执行过程中,又存在较多的差异,美国仅要求大型公司和中型公司实施内部控制审计,而对小型公司则没有内部控制审计的要求,也没有要求实施内部控制鉴证或评价。然而,中国对主板和中小板上市公司的要求是实施内部控制审计,而对创业板的要求则是内部控制鉴证。那么,内部控制审计与内部控制鉴证的差异是什么?内部控制审计与内部控制鉴证执行情况又是如何呢?这些问题还有待进一步探讨。同时,通过国内外文献回顾可以发现,虽然大量研究关注内部控制审计及其鉴证,但是均将内部控制鉴证报告与内部控制审计报告同等看待,二者之间的差异还有待进一步考察,且有关内部控制鉴证与内部控制审计实施现状的研究较少。因此,本文将在比较内部控制鉴证与内部控制审计政策要求差异的基础上,对内部控制审计与内部控制鉴证的实施现状进行实证分析。
二、内部控制鉴证与内部控制审计政策要求之比较分析
(一)内部控制鉴证与内部控制
审计概念范畴的比较根据《中国注册会计师鉴证业务基本准则》中的规定,鉴证业务是指注册会计师对鉴证对象信息提出结论,以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。鉴证业务包括审计业务、审阅业务和其他鉴证业务。具体到内部控制审计与内部控制鉴证业务,根据中国《企业内部控制审计指引》的规定,内部控制审计是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。因此,内部控制审计属于审计业务的范畴。然而,根据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》(下文简称《其他鉴证业务准则》),注册会计师执行历史财务信息审计或审阅以外的鉴证业务属于其它鉴证业务,因此,内部控制鉴证属于其他鉴证业务范畴。具体关系可以通过图1予以说明。
(二)内部控制鉴证与内部控制
审计所适用行为规范的比较从所适用的行为规范来看,内部控制鉴证和内部控制审计应该遵循的行为规范既有相同之处,也存在差异。从图1可以看出,内部控制鉴证和内部控制审计都属于鉴证业务,因此二者都应当遵循《中国注册会计师鉴证业务基本准则》。同时,注册会计师在执行鉴证业务时,还应当遵守中国注册会计师职业道德规范和会计师事务所质量控制准则,因此,内部控制审计和内部控制鉴证应当共同遵循的准则是《中国注册会计师鉴证业务基本准则》、《中国注册会计师职业道德规范》和《质量控制准则第5101号——会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》(下文简称《质量控制准则》)。但是,与内部控制鉴证业务不同的是,内部控制审计业务还必须遵循《企业内部控制审计指引》(下文简称《审计指引》)的规定,而内部控制鉴证业务则遵循《其他鉴证业务准则》的规定,并参照《指导意见》的规定执行,同时根据《基本规范》和《配套指引》的要求,可以选择性遵循《审计指引》的要求执行。内部控制审计与内部控制鉴证所适用的行为规范如表5所示。
(三)内部控制鉴证与内部控制
审计主体及对象的比较首先,从内部控制鉴证与内部控制审计主体上看,二者主体相同。与《配套指引》鼓励上市公司实施财务报表与内部控制整合审计的要求相一致,三个板块《运作指引》中也均要求上市公司聘请会计师事务所在进行年度审计的同时,要求会计师事务所对上市公司内部控制实施审计或者鉴证,并出具内部控制审计报告或鉴证报告。可以看出,无论是内部控制审计还是内部控制鉴证,均鼓励上市公司聘请与财务报表审计相同的会计师事务所实施内部控制鉴证与审计。然而,从内部控制鉴证与内部控制审计对象上看,二者存在差异。根据《中国注册会计师鉴证业务基本准则》的规定,鉴证业务分为基于责任方认定的业务和直接报告业务。在基于责任方认定的业务中,责任方对鉴证对象进行评价或计量,鉴证对象信息以责任方认定的形式为预期使用者获取。在直接报告业务中,注册会计师直接对鉴证对象进行评价或计量,或者从责任方获取对鉴证对象评价或计量的认定,而该认定无法为预期使用者获取,预期使用者只能通过阅读鉴证报告获取鉴证对象信息。具体到内部控制鉴证和内部控制审计业务中,从理论上来说,内部控制鉴证和内部控制审计可以是基于责任方认定的鉴证或审计业务,也可以是直接报告业务。在实务中,内部控制鉴证业务按照《其他鉴证业务准则》执行的同时,参照《指导意见》的规定执行。根据《指导意见》的规定,在内部控制鉴证业务中,注册会计师应当就企业管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。因此,从政策要求及注册会计师实务来看,内部控制鉴证是对管理层有关内部控制有效性的认定发表意见,而内部控制审计是直接对内部控制设计和运行的有效性进行审计并发表意见。但是从最终目的上看,都是对内部控制的有效性发表意见。同时,与《配套指引》一致,《主板指引》和《中小板指引》均要求注册会计师对财务报告内部控制有效性发表审计意见,并披露注意到的非财务报告内部控制重大缺陷,但是《创业板指引》只要求注册会计师对财务报告内部控制有效性发表鉴证意见,并没有提及对非财务报告内部控制的关注。内部控制鉴证与内部控制审计主体及对象的比较如表6所示。
(四)内部控制鉴证与内部控制审计保证程度和风险的比较
鉴证业务的保证程度分为合理保证和有限保证。合理保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的低水平,以此作为以积极方式提出结论的基础。有限保证鉴证业务的目标是注册会计师将鉴证业务风险降至该业务环境下可接受的水平,以此作为以消极方式提出结论的基础。根据《审计指引》的规定,内部控制审计业务属于合理保证的鉴证业务,要求注册会计师将审计风险降至可接受的低水平,对内部控制提供高水平保证,在审计报告中对内部控制采用积极方式提出结论。根据《其他鉴证业务准则》的规定,内部控制鉴证业务的保证程度根据具体情况确定,可能是有限保证也可能是合理保证。在有限保证的内部控制鉴证业务中,要求注册会计师将鉴证风险降至该业务环境下可接受的水平,对鉴证后的内部控制提供低于高水平的保证,在鉴证报告中对内部控制采用消极方式提出结论。而进一步根据《指导意见》第四条的规定“注册会计师应当保持应有的职业谨慎,关注内部控制的固有限制,获取充分、适当的证据,将审核风险降低至可接受的水平”,从这里看,内部控制鉴证要求提供有限保证,业务风险较低。内部控制审计与内部控制鉴证保证程度及风险的比较如表7所示。
(五)内部控制鉴证与内部控制
审计实施频率和报告的比较首先,从内部控制鉴证与内部控制审计目前政策规定的实施频率上看,《主板指引》对上市公司的要求与配套指引一致,上市公司每年都要聘请会计师事务所对内部控制有效性实施审计;《中小板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次审计;《创业板指引》的规定是上市公司至少每两年要求会计师事务所对内部控制有效性进行一次鉴证。其次,从内部控制鉴证与内部控制审计报告的内容上看,其差异主要体现在以下几个方面:首先,报告标题不同。根据《审计指引》的要求,内部控制审计报告的标题是“内部控制审计报告”,根据《指导意见》的要求,审核报告的标题应当统一规范为“内部控制审核报告”,而再根据《创业板指引》的要求,内部控制鉴证报告的标题是“内部控制鉴证报告”。其次,报告意见存在差异。从意见类型上看,《审计指引》指出内部控制审计意见包括无保留意见、带强调事项段意见、否定意见和无法表示意见;《指导意见》则指出内部控制鉴证意见包括无保留意见、保留意见、否定意见和无法表示意见。同时,报告段落不同。在内部控制审计业务中,如果审计师在审计过程中注意到被审计单位非财务报告内部控制重大缺陷,还需要对其注意到的非财务报告内部控制重大缺陷进行说明;而内部控制鉴证业务则无此要求。内部控制鉴证与内部控制审计实施频率与报告的比较如表8所示。
(六)其他方面的比较
由于内部控制鉴证与内部控制审计概念范畴、适用行为规范等方面的差异,尤其是因为内部控制鉴证保证程度与风险低于内部控制审计风险,内部控制鉴证与内部控制审计还存在其他方面的差异:(1)证据收集程序要求不同。由于鉴证业务对业务风险降低的要求比审计业务低,因此,与审计业务相比,鉴证业务在证据收集程序的性质、时间、范围等方面是有意识地加以限制的。(2)证据数量要求不同。审计业务所需证据的数量较多,鉴证业务所需证据的数量较少。(3)审计师的责任不同。内部控制审计业务中,审计师所需承担的责任也更高。(4)业务收费不同。根据《会计师事务所服务收费管理办法》(2010)的规定,会计师事务所主要是根据业务性质、风险大小、繁简程度等确定服务收费高低,因此审计业务收费比鉴证业务收费更高。
三、内部控制鉴证与内部控制审计的实施现状
(一)主板上市公司强制内部控制审计具体分析
1.2012年和2013年内部控制审计报告的披露状况2012年主板上市公司中911家披露了内部控制审计报告,披露比例为64.38%;2013年主板上市公司中1090家披露了内部控制审计报告,披露比例为75.91%。2013年主板公司内部控制审计的比例明显高于2012年。如表9所示。可以看出,大部分公司能够满足一年出具一次内部控制审计报告的要求,且2013年相比2012年有较大幅度的提高,但是仍然有一定比例的公司难以满足“每年都要聘请会计师事务所对内部控制有效性实施审计”的规定。2.内部控制审计报告规范性分析2006年以后,有关内部控制审计报告规范性的研究大量涌现,并且发现内部控制审计报告规范性存在的问题包括审计依据不统一、审计报告名称不一致、业务类型有差别等方面(袁敏,2008);随着《基本规范》和《配套指引》的实施和完善,上市公司内部控制报告也在不断规范(何芹,2012)。我们对2012年至2013年度内部控制审计报告进行分析发现,这两年的内部控制审计报告规范性较好,但是仍然有个别公司内部控制审计报告规范性存在问题,包括报告名称、审核依据及语言表述等,如表10所示。
(二)创业板上市公司内部控制
鉴证具体分析1.2012年至2013年内部控制鉴证概况根据《创业板指引》的要求,创业板上市公司应当至少两年实施一次内部控制鉴证,至2012年12月31日,上市的创业板公司共355家,82家公司2012年和2013年连续两年披露内部控制鉴证报告,占比23.10%;328家公司能满足两年披露1次内部控制审计报告的要求,占比92.39%;27家公司连续两年均未披露内部控制鉴证报告,占比7.61%。可以看出,创业板公司披露内部控制鉴证报告大多数能够为了满足两年实施一次内部控制鉴证的监管需要,但是自愿每年实施内部控制鉴证的公司并不多,而且即使在监管层要求内部控制鉴证的背景下,仍有少数公司不能按照要求披露甚至不披露内部控制鉴证报告。2012年与2013年创业板公司内部控制鉴证概况如表11所示。2.内部控制鉴证报告信息规范性与主板公司相比较,创业板公司内部控制鉴证报告信息规范性较差,还存在较多的问题,具体如下:(1)鉴证依据。与内部控制审计归属审计业务不同,内部控制鉴证业务属于其它鉴证业务,其鉴证依据是《其他鉴证业务准则》,在实务中同时参照《指导意见》的规定执行。但是从创业板内部控制鉴证报告看,鉴证依据却存在非常大的差异,除了《其他鉴证业务准则》以外,还主要有:《企业内部控制鉴证指引》、《企业内部控制审计指引》、《中国注册会计师审计准则》。(2)鉴证报告名称。根据《其他鉴证业务准则》及《创业板指引》的要求,创业板上市公司内部控制鉴证报告的名称应统一为“内部控制鉴证报告”,但是从2009年至2013年创业板公司披露的内部控制鉴证报告看,大多数公司都符合规范的要求,但也存在其他的一些报告名称,具体有:内部控制审计报告、内部控制审核报告、内部控制专项报告、内部控制专项鉴证报告、内部控制制度报告。(3)鉴证业务类型。根据《其他鉴证业务准则》和《指导意见》的规定,内部控制鉴证业务是基于责任方认定的业务,但从实际情况看,创业板内部控制鉴证报告的引言段中既有将内部控制鉴证业务作为直接报告业务,又有将其作为基于责任方认定的业务;但是鉴证报告意见段又主要是针对内部控制发表鉴证意见,即将内部控制鉴证业务作为直接报告业务对待,但是具体范围却存在不同的界定,既有针对所有内部控制发表意见,又有仅针对财务报告内部控制发表意见。(4)鉴证保证程度。根据《指导意见》的规定,内部控制鉴证业务合理保证的要求并未明确,但是从实际情况看,创业板内部控制鉴证则主要提供的是合理保证。内部控制鉴证报告信息披露规范性归纳如表12所示。
(三)进一步分析
通过对主板公司内部控制审计和创业板公司内部控制鉴证实施现状的比较,我们可以发现,从内部控制审计与内部控制鉴证的实施意愿上看,大部分主板公司能够满足一年出具一次内部控制审计报告的要求,但是仍然有一定比例的公司难以满足每年审计一次内部控制的规定;虽然大部分创业板公司能够满足两年出具一次内部控制鉴证报告的要求,但是总体来说内部控制鉴证的意愿相对较低。同时,从内部控制审计报告和内部控制鉴证报告的规范性来看,内部控制审计报告较为规范,个别公司内部控制审计报告规范性存在问题;而内部控制鉴证报告存在的问题则明显较多,具体体现在鉴证依据、鉴证报告名称、鉴证业务类型及鉴证保证程度等方面。
四、研究结论与对策建议
什么是内部控制?不同部门的人从不同的角度对内部控制会有不同的看法。
美国审计权威机构COSO(1994)的定义是:内部控制是一个受某单位不同层次的人影响的过程。具体包括:
1、内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;
2、内部控制是用来取得一种或多种互相区分而又紧密联系的目标;
3、内部控制受人的影响,而不只是政策、守则或表格;
4、只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
国内学者大多认为内部控制是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证程序或过程。
二、內部控制的内容
内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与交流以及自我监督等方面,从总体上透视了企业生产的各个环节。其有效实施会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和规范化。
(1)控制环境:控制环境是推动控制工作的发动机,是所有其他内部控制组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内部控制的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内部控制的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
(2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估原则强调有效的内部控制系统,需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司所面对的全部风险(如企业要面对财务风险、经营风险、市场风险、法律风险和声誉风险)。需要不时调整内部控制,以便恰当地处理任何新的或过去不加控制的风险。
(3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。
(4)信息与交流:存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
(5)监督评审:是经营管理部门对内部控制的管理监督和内审监察部门对内部控制的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整等等。
三、內部控制的目的:
内部控制目的论的发展经过了下述阶段:
1、“三目的论”认为:内部控制是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。
2、“四目的论”认为:内部控制除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。巴塞尔委员会把内部控制的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
国内学者归纳起来认为:内部控制的目的是指内部控制想要达到的目标,大致包括:
①保护企业资产的安全、完整及对其的有效使用。
②保证会计信息及其他各种管理信息的存在、可靠和及时提供。
③保证企业制定的各项管理方针、制度和措施的贯彻执行。
④尽量压缩、控制成本、费用,减少不必要的成本、费用,以求企业达到更大的盈利目标。
⑤预防和控制且尽早尽快查明各种错误和弊端,以及及时、准确地制定和采取纠正措施。
⑥保证企业各项生产和经营活动有秩序有效地进行。
建立有效的内部控制制度对于防止、及时发现和纠正生产、经营运行过程中的各种错弊现象及不法行为有其特殊作用,对涉及投资、生产、经营、财务等各个方面和各个环节进行全方位、全过程的管理控制,对完善现代企业制度,依法治企,满足监管要求,控制风险,加强基础工作、提高管理水平,促进各项生产经营活动进一步规范、有序运行,保证整体经营目标的实现等,都有极其重要的意义。
四、内部控制存在的问题:
近年来,在强调建立现代企业制度,完善法人治理结构的同时,理论和实务界不约而同地把治理的重点瞄向加强企业内部控制,强化企业自身的“免疫”和“抗干扰”能力上。然而,还有相当一部分企业未意
识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。主要表现在:
1、内部控制制度不健全:
目前,多数企业的内部控制制度不够全面,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使中小企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账簿、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据,设置“小金库”,乱摊成本,隐瞒收入,虚报利润,恶意逃避税收等。所有这些,都与企业内部控制制度不健全密切相关。2、内部控制审计缺失:
内部控制审计是企业内部控制制度的一个重要组成部分。据调查,为数不少的企业没有设置内部审计机构,更谈不上内部控制审计。即使具有内审机构的企业,其内部控制审计也往往会被忽略。
五、解决问题的方法:
1、建立健全内部控制体系
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏,直接影响到企业内部控制的遵循和执行,以及企业经营目标、整体战略目标的实现。加强和完善企业内部控制,应注意企业内部控制环境的建设,包括经营管理的理念、方式和风格,组织机构,授权和分配责任的方法,管理控制方法,人力资源管理政策和实务,外部环境的影响等。只有建立良好的内部控制环境,才能保证制度的真正落实,才能真正达到内部控制的目的。
(1)建立组织规划控制机制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。
(2)业务经办职务与审核监督职务分离。
(3)业务经办职务与会计记录职务分离。
(4)财产保管职务与会计记录职务分离。
(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制,目前必须解决两个问题:
(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。
(2)推行职务不兼容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免关键管理人员重叠等等。
2、建立会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规,制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。会计系统控制主要包括:
(1)建立健全内部会计管理规范和监督制度,且要充分体现权责明确、相互制约以及及时进行内部审计的要求。
(2)统一会计政策,尽管国家制定了统一的会计制度,但其中某些会计政策是可选的。因此,从企业内部管理要求出发,必须统一执行所确定的会计政策,以便统一核算汇总分析和考核,企业会计政策可以专门文件的方式予以颁布。
(3)统一会计科目,在实行国家统一一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集团性公司更有必要统一下级公司的会计明细科目,以便统一口径,统一核算。
(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法,遵循会计制度规定的各条核算原则,使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
3、授权批准、财产保全控制
授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定,一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定,一般其时效性较短。不论采用哪一种授权批准方式,企业必须建立授权批准体系,其中包括:
(1)授权批准的范围,通常企业的所有经营活动都应纳入其范围。
(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各管理层有权亦有责。
(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免责任不清,一旦出现问题又难咎其责的情况发生。
(4)授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审批,以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。
财产保全控制包括:
(1)限制直接接触,限制直接接触主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。
(2)定期盘点,建立资产定期盘点制度,并保证盘点时资产的安全性。通常可采用先盘点实物,再核对账册来防止盘盈资产流失的可能性,对盘点中出现的差异应进行调查,对盘亏资产应分析原因、查明责任、完善相关制度。
(3)记录保护,应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管,避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这在当前计算机处理条件下尤为重要。
(4)财产保险,通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会,从而保护实物的安全。
(5)财产记录监控,对
企业要建立资产个体档案,资产增减变动应及时全面予以记录。加强财产所有权证的管理,改革现有低值易耗品等核销模式,减少备查簿的形式,使其价值纳入财务报表体系内,从而保证账实的一致性。4、完善内部控制审计机制
内部审计控制是内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。审计作为企业客观、公正的管理部门,在建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经济效益等方面发挥着重要作用。企业内部控制的建立,为审计人员提供了新的审计任务,即如何对企业内部控制进行审计呢?
(1)确定审计重点,编制内部控制审计计划
a、审计部门根据本企业的工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度、半年内部控制审计计划,并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。
b、根据上级部门和有关领导直接布置的专项工作制定专项内部控制审计计划。
(2)组建内部控制审计工作组。
根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
(3)编制内部控制审计方案。
a、内部控制审计工作组组长负责编制内部控制审计方案。
b、内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。其中审计的内容包括:合规性审计、全面性与系统性审计、内部牵制及不相容审计、权责和奖惩审计、成本效益审计、可操作性审计等等。
c、内部控制审计方案要保证能够使审计工作达到预期效果。
(4)下达审计通知
内部控制审计工作组于实施现场审计前2-3日向被审计单位下达内部控制审计通知书,通知书中明确被审计单位需要准备的资料、参加审计人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
(5)进行现场审计
内部控制审计工作组进驻现场后,要召开审计进点会,向被审计单位说明审计的任务,提出具体要求,并听取有关情况汇报。审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。
审计人员将测试情况(包括存在的问题和被检查单位或部门已有的改正措施)记录于工作底稿,被审计单位和部门负责人或当事人在工作底稿上签字确认。此外,内部控制审计组组长还应指定专人复核工作底稿,提出复核意见,必要时重新进行测试。
最后,审计组组长负责召集小组成员对审计情况进行讨论和总结,以测试记录为依据,按照内部控制评价方法,从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面,对所检查的控制点和流程进行评价,分析被审计单位内部控制制度存在的缺陷和漏洞,评价该单位内部控制的成效,初步形成审计意见和建议,并将评价结论记录于工作底稿,审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人,并与其充分讨论沟通,交换意见,被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认,对存在的问题限期整改。
(6)撰写审计报告
内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理,完善审计意见,撰写审计报告,审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。
通过上述实施内部控制审计过程,可以为完善内部控制审计机制提供帮助。
六实施内部控制过程中须注意的几个问题
为适应现代社会经济环境的发展,内部控制必须由“维持现状”向“改善现状”转变,由重“纠偏”向重“引导”转变。因此,在内部控制实施过程中,有以下几个问题需要关注:
1.控制对象与内容的可控性。控制的核心问题是控制对象与内容可控,进而才能通过调整行为标准来改善现状。从理论上讲,控制的对象既包括正在使用或发生的资源与活动,也包括已经使用或发生的资源与活动,还有未来将要使用或发生的资源与活动。
2.控制环节的相互影响。组织中的每个成员分布在流程中相互连接的不同环节,各个控制点正在进行的活动不是孤立的,其控制效果既受以往完成的活动状况的影响,也对将来状态及效果产生影响。如果控制过程过分追求责任控制,使每个组织成员只关心自己行为的直接后果而无视处于流程中的下一控制环节所带来的连带效应,必然导致组织内部不协调,增加不必要的管理损耗。因此,现代内部控制在立足未来、改善现状的同时,必须考虑整体效果并树立系统观念。
3.业绩衡量的操作性。业绩是控制的结果体现,对业绩的正确衡量有利于判断控制的效果以及指明未来改善的方向。判断所设定指标对特定主体是否可控,美国管理会计学界曾提出三条标准,即指标可衡量性、主体可知性和可影响性。但实践中,即使设定了符合需要的指标,也很难对业绩进行准确恰当的衡量。主要有三个方面的原因:首先,在执行组织目标、预算的过程中存在着各种不确定性;其次,对于规模庞大、结构复杂的组织来说,很难明确区分单个部门或个人对业绩的贡献程度;另外,控制环节的相互影响也使某一环节对组织目标实现的影响程度很难界定。可以说,组织中难以自上而下形成强有力的自我控制意识与业绩衡量的模糊性有着相当大的关系。所以,恰当解决业绩衡量的模糊性问题是促进组织控制文化形成的关键。
4.信息系统建设。传统的内部控制系统强调权力的制衡,而忽视信息系统的建设。但正如COSO报告《内部控制整体框架》(1992)中指出的,信息与沟通是内部控制要素的重要组成部分,相当于组织内部控制有效运行的神经中枢系统。管理基于信息,控制也要基于信息。信息的集成、传递的滞后会导致事前因实际后果未知而无法控制;事中因无法获得实时信息而无力控制;事后缺少反馈信息而无可控制。
关键词:内部控制;内部审计;措施
随着全球经济一体化进程的加快,企业面临的各种风险不断增多,建立内部控制体系,加强风险和危机管理,保障企业健康、可持续发展,逐步成为企业普遍关注的焦点。内部审计既是企业内部控制体系的一部分,又是内部控制体系有效性的确认者, 内部审计参与企业内部控制体系建设,确保企业内部控制持续有效运行,既是企业内部审计的法定职责,也是企业内部审计的发展机遇。因此,对内部控制与内部审计的关系进行研究是我们当前值得深入探讨的问题。
一、内部控制和内部审计的内容
(一)内部控制。内部控制是指企业为了保证业务活动的有效进行和资产的安全完整,防止、发现和纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策、措施和程序。我国现行《企业内部控制基本规范》将企业内部控制分为控制环境、风险评估、控制活动、信息与沟通和监控五个要素。其中监督(通常就是内部审计)位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。一个有效的内部控制制度应该满足以下条件:能够保证业务活动按照恰当的授权进行;能够使所有交易和事项以正确的金额,在适当的会计期间及时进行记录,保证会计资料的真实、完整;有利于贯彻既定的管理方针,提高经营管理效率;有利于通过检查有关数据的正确性和可靠性、确保内部控制制度的有效实施。内部控制作为现代管理制度的重要组成部分,是现代企业管理的重要手段。
(二)内部审计。根据《内部审计实务标准》对内部审计的定义:内部审计是一种独立、客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善,从而帮助机构实现其目标。内部审计是在单位内部建立的一种独立的评价监督部门,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其做出评价,以促进企业管理效率的提高。它主要是对内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果所开展的一种评价活动,并实施内部监督,为企业内部管理服务。它既是企业内控体系的一个重要组成部分,又是企业内部的经济监督机构。现代企业内部审计工作主要涵盖以下内容:
1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明。
2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任审计和年度经济责任审计。
3、经济效益审计。审计重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果做出判断和评价。
4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。
5、开展明晰产权的审计。审计明晰其产权归属,避免造成国有资产、集体资产流失或其他有损企业利益的行为。
6、其他审计。结合企业自身行业特点,开展对经营、管理等方面的审计工作。
二、内部控制与内部审计的关系
1、内部控制与内部审计两者在产生渊源、作用和目的、理论基础与假设、发展历程上存在千丝万缕的联系,研究企业内部控制理论、做好企业内部控制评价,离不开内部审计。
2、内部审计是内部控制的重要组成部分。内部审计在内部控制中属于环境控制要素范围,是单位自我独立评价的一种活动,内部审计本身就是一种控制,它按照内部控制要求,通过内部控制制度为其制定的审计程序和方法及要完成的任务、达到的目标,协助单位最高管理者监督内部控制政策和程序的有效性,来促成好的控制环境的建立,并为改进内部控制提供建设性意见。内部审计在风险管理中发挥不可替代的独特作用,没有内部审计的评价、监督,就不能形成良好的企业内部控制制度。
3、内部审计是对内部控制的控制。内部审计独立于会计控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制,通过分析问题产生的原因和影响,协助企业上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。
4、二者相辅相成,缺一不可。内部审计需要内部控制,没有健全的内部控制制度作基础,审计就无法开展;没有良好的内部控制,会计、财务信息会出现失真,管理人员责任会不明确,管理会出现混乱现象等,不仅会加重内部审计工作量,而且会加大内部审计的风险,从而制约了内部审计的发展。同理,内部控制需要内部审计,没有内部审计对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议,内部控制也只能原地踏步,造成与现实不符,效果不佳,甚至形同虚设,或因内部控制的局限性,给不法之徒以可乘之机,造成内部控制失控。
5、内部审计的角色由监督者逐步转变为控制者。原国家审计署审计长李金华曾讲过,要把内部审计定位为 “管理+效益”,将内部审计作为一个控制系统而不仅是一个检查系统。内部审计的主要作用是“确认和建议”,而不再是以往的“监督和复核”。 内部审计通过提供专业“服务”,为风险管理出谋划策,降低企业风险,从而在实质上促进财务报告内容的确定性和质量的提高。
三、内部控制与内部审计相结合的实践运用
1、内部审计是企业内部控制的重要组成部分。
1992年美国COSO报告提出:内部控制包括控制环境、控制活动、信息和沟通及监督五个要素。其中“监督”因素也包括内部审计。
2009年我国颁布实施了《企业内部控制基本规范》,其中内部环境包括了内部审计。
国内一些大型企业的内部审计,在开展内部控制审计和评价方面也做了很多有益的探索和实践。中石化股份公司(以下简称:中石化)2000年境外上市,为适应境外上市监管要求和企业自身发展需要,于2005年正式颁布《内部控制手册》,在公司各部门和下属分(子)公司全面正式实施。公司审计部门提出了“以风险为导向,以内控为主线”的服务内向型审计理念,审计工作立足公司经营战略和目标,“围绕中心,服务大局”,紧紧抓住管理层关注的问题,内部控制评审成为审计部门一项主要工作。
2、内部审计推动企业内部控制体系建设
内部审计对企业生产经营活动各个重要环节较为了解,容易发现缺陷和舞弊行为,并能有针对性地提出具体的改进意见和建议。中石化自2005年正式实施《内部控制手册》以来,审计部门积极参与内部控制设计、修改、补充和完善。2007年中石化审计体制改革以来,审计部门每年对股份公司下属分(子)公司独立进行内部控制评审。审计部门依据《内部控制手册》、《内部控制检查评价与考核办法》,对股份公司下属分(子)公司进行评审、考核,独立评审单位占被评审单位数量的47%。审计部门出具的审计报告成为公司修改、补充和完善《内部控制手册》的重要依据,截至2009年初公司已对《内部控制手册》进行了4次修订。通过独立评审,发挥了内部审计的“建设性”作用。
四、加强内部审计完善内部控制的措施
1、内部审计机构要合理设置和准确定位。内审机构应适用国际、国内形势的变化,根据企业管理实际,建立内部审计组织架构。内部审计要改变单一的财务收支和舞弊审计模式,向风险管理和内部控制为主的现代审计转变。立足服务,做好监督,充分发挥内部审计的“免疫功能”和预防性作用,紧紧围绕企业经营战略和目标,为增加企业价值服务。
2、内部审计要参与企业内部控制制定。内部审计应站在企业内部控制全局的高度,统筹考虑并提出自己的建议,最大限度地克服内部控制建立时可能就有的天然缺陷。改变内部控制在制定阶段主要交由相关业务部门完成的传统做法,使内部控制在建立之时就交由内部审计进行评价。
3、内部审计要对企业内部控制单独立项,专门评价。当前我国企业中对内部控制单独立项,专门评价的还是少数,多数企业内部审计仍将主要精力投入到财务数据真实性、合法性的查证而未深入到管理和经营领域,只是在查账过程中去发现一些内部控制存在的问题,未能充分发挥内部审计在内部控制中的作用。内部审计应将内部控制的监督、评价作为重要的工作内容,单独立项,衡量企业内部控制建立健全程度和抵御风险能力,寻找内部控制薄弱环节,提出强化内控建设的措施,以防范和化解企业各种经营风险,提高企业管理水平。
4、内部审计要向风险导向内部控制评价模式转变。这就要求内审人员改变过去那种以检查历史业务记录和内部控制系统历史运营情况而提出建议和意见的传统评价模式,把审计的起点和重点放在关注企业未来发展所面临的风险以及企业为降低风险所进行的管理活动上,结合企业目标,评价企业现有控制措施能否将其存在的风险降低至可接受水平,以风险评估的结果来主导内部控制评价重点,根据风险的性质、影响程度、可接受水平,评价内部控制的恰当性和有效性,根据风险管理的需要决定所需要的控制,寻找所有可能降低风险的途径,提出管理、控制风险的建议和方法,将审计结果直接与企业经营目标和风险控制联系在一起,为企业增加更多的价值。
5、内部审计要配备高素质的复合型人才。随着全球经济一体化进程的加快, 国内企业要与国际化大公司同台竞争,将面临各种风险和挑战,因此,内审人员结构应是多元化的,人员构成既要有财会人员,还要有工程技术人员、律师、IT专家、人力资源管理和企业管理专家等,知识结构也要多元化,除具备财会知识外,还要掌握经营管理、工程技术等多方面知识,形成复合型人才结构。
加强企业内部控制,建立健全内部控制体系,是企业不断发展和保持竞争力的需求,也是企业面对市场风险与挑战的需要。要建立健全内部控制体系并使之运行有效,就必须加强内部审计工作的监督力度,使之规范化和制度化,才能有效促进企业控制目标的实现。
参考文献:
[1]关萍.健全内控制度 强化内部审计[J].冶金财会,2007,(7):40-41.
[2]王桂云.浅谈企业内部审计存在的问题及对策[J].财会研究,2007,(3):102-103.
一、内部控制与内部审计概述
1.内部控制。
内部控制是一种自律的机制,它是指组织的内在的控制,是由公司的最高管理层进行设计,并且实施人是由董事会、监事会、经理层和全体员工进行的、目的是在于有效地控制目标所进行的全过程。内部控制的责任主体为公司的管理层和投资者,内部控制的主要目的是对企业经营管理是否合法合规,企业资产的安全和完整,以及财务报告及其相关的信息的完整和真实的信息进行十分合理的保证;并且能够有效地提高自身公司的经营的效率与经营的效果;有效促进其实现自身的发展战略目标;防止、发现和纠正错误和舞弊。内部控制制度在现代企业的经济管理是非常重要的,内部控制是根据企业的实际的发展的情况而进行编制的,随着市场环境的变化而变化、经济的发展而改变。
2.内部审计。
内部审计组织内部设立的用以检查和评价各种行为的服务措施,是一种独立的评价活动。内部审计是内部控制的一个重要组成部分,它的存在在一定程度上反映了高层管理层对内部控制的态度,因此,内部审计部门的存在对外部审计人员评价控制风险有一定的影响。内部审计的目的在于通过分析、评价、建议、劝说,以及对各种行为的审查后提供特定的信息来辅助组织中的成员有效地行驶他们的职责。在竞争激烈的市场经济中,内部审计在对提高企业的竞争力和实现企业的目标上有着非常重要的意义。
二、内部审计与内部控制的关系
1.内部控制对内部审计所起到的作用。
当今社会经济体制在不断的发展,那么不可避免的内部审计也会进行发展,在内部控制中内部审计将其评价职能充分发挥出来,促使了公司内部各部门能够进行有效的参考与对比,使组织价值获得提升,并进行分析与判断,对工作中的不足能够正确对待,提高公司内部的经营管理水平,可以不断地改善企业的经营管理模式,使得所获取的数据信息的相关性与可靠性得到提高,增强公司在行业内的竞争能力,使公司取得更大的利益。内部审计的咨询职能可以使企业的风险管理能够良好的进行,从而使企业的财务报告在内容的准确性与质量上得到实质性的提高。另外,为了能够实现公司预期的目标,能够更加顺利的开展进行业务活动、管理活动及各项控制,能够非常及时的探讨和总结其出现的各种各样的问题,使内部控制系统得到应有的完善,内部控制的作用得到充分的发挥,内部各个部门能够严格依照相关要求和规定来进行经济活动,内部审计在开展的过程中对各项业务活动进行了监督。内部控制注重的是会计控制与管理控制相结合,传统的内部审计主要是在账项的基础上进行财务审计,需要充分关注企业的财务事项,同时为了使受托人的财务责任得到确认,还需要对企业组织权益的保障情况进行查看。为了保障财务报表的准确性与可靠性,使财务报表得到真实性评价,审计人员需按照有关的规定制度对其控制情况、程序,以及资料进行测试和检查,充分的体现内部审计的目标。是什么使得建立在会计控制的基础上的财务的审计的发展至建立在管理的控制的基础上的管理审计不断发生变革呢?最重要的原因是,由于当今的市场经济发展迅速,而且企业的组织结构也不断地进行更新与替换。加强内部控制的制度能够得到完善的修订,并能够有效地对内部控制进行精准的评价是内部审计的重要作用,而整体性是内部控制一个很重要的特点,其中包括很多的内容,例如:文化、程序与制度等。对于这些问题我们要根据系统论的相关和有效的观点,来达到监督与系统的持续的改革和进步,以及其运转的效率,因此监督是风险管理框架中的重要内容,处于重要的位置。当企业的内部控制与管理活动相融合时,企业的内部控制运行过程就相当于于企业的经营管理过程,为了更好地评价内部控制,内部审计人员需将内部控制原有的限制充分地考虑进来,同时为了对企业的、机构的设置、授权其交易、环境的控制,以及会计先关制度的内部控制的内容进行完善的考察,还需要充分围绕内部控制的目标,审查内部控制执行的状况表现在:对内部控制的健全性进行评价、深入了解内部控制的有效性及合法性,并且能够提高制度的严谨以达到提升会计信息的可信度。内部审计就是对内部控制的再控制,内部审计对内部控制虽然非常的熟悉,但其并未参与企业内部中任何经营管理活动,因此内部审计发挥着内部控制中的监督作用。
2.内部审计是内部控制的重要组成部分。
因为内部审计可以对公司发展目标的完成情况进行监督,还可以对内部各项经济活动进行监督,所以内部控制的系统中的重要的组成的部分是其具有监督职能,执行监督评价活动,能够促进其形成良好的控制的环境,属于环境控制要素。对于某一方面来说,控制是包括内部审计的,内部控制制度的要求是我们未来开展工作可以拿来比对的要素之一,进而为公司的内部控制的工作的制定的合理的控制目标、方法和程序,并对控制的成果进行评价。而内部控制工作能否得到有效的运行,内部审计工作在其中发挥着重要的作用。内部审计是一种对内部控制的控制,它发挥其他任何部门和控制所无法代替的重要作用。内部审计不仅能促进经营管理效率的提升,还有助于经营管理目标的达成。是因为内部审计在一定程度上代表了公司的管理层对整个企业的内部控制的制度的健全性、有效性及其遵循的情况等而进行的评价,
3.内部审计与内部控制是相辅相成的。
内部审计与内部控制之间是不可分割的,他们之间存在的联系是相互促进和影响,相互依赖的内在联系,从内部审计工作的属性方面来看,内部控制是开展内部审计工作的前提与基础。要想内部审计工作能够顺利的进行,那么就要以健全的内部控制作为保障。要想企业运行管理工作不会出现混乱的局面,那么一定不能缺少有效的内部控制,因为一定程度的因果关系的主要体现一个经济实体所提供的会计信息和其他经济信息的真实、完整与否,与该实体规范的内部控制制度是否有效执行。增加内部审计风险,一定程度上会制约内部审计工作的继续进展。公司顺利实施内部管理制度和维持日常经营运转的主要载体是内部审计工作,内部审计工作与其他内部控制活动相比最大的不同之处在于间接参与企业的一切经营管理活动,所以,内部审计绝不是简单重复其他控制活动,而是进一步有效的再次控制其他内部控制工作,所以由此我们可以得出一个结论,内部审计依存于内部控制,并且二者共同促进。
三、加强内部控制与内部审计的重要性
在经济全球化的趋势下,公司所面临的经营风险在不断增加,而内部控制制度与企业的发展是非常相关的,企业要想实现自身制定的战略目标,那就一定离不开其内部控制制度。所以目前广大公司普遍关注的重点是完善内部控制体系,提高各类风险的管理应对水平。完善企业内部控制制度的目标是能够有利于企业的可持续发展,提高公司的长久价值,还可以提升管理水平。要想准确而及时的对采购财产物资等环节进行有效地监督,避免财产和资源的损失浪费,就要建立完善的企业内部控制制度。而内部审计工作不仅是内部控制体系的重要组成部分,同时内部审计工作也决定了内部控制体系是否有效。如果我们想要找出资产管理过程中出现的问题,并对这些问题采取针对性的措施进行解决,就要通过审计企业的各类资产管理。对于单位来说,内部控制不仅可以使得单位管理层做出更好的决策,还可以有效帮助单位管理层获取真实可靠的信息,而且可以让管理层监督运营活动。同时,在这基础上我们还能有效的维护企业的美好形象。所以,建立并执行完善的内部控制制度来寻求企业的发展是必须的。内部审计能够确保获取的会计信息真实可靠,真实地反映企业生产经营的活动状况,及时找出并解决其中的问题。内部审计可以对评估企业运营过程中遇到的风险,并且能够及时预知企业运营过程中的风险并很好地将其避免,进而将经营环节中的薄弱部分更好的控制在自己手中。当今社会企业管理制度的不断完善与进步,公司强化经营管理、推进战略目标实现、确保财产安全的重要方法是实行内部控制,通过内部审计,以报告的形式将处理措施向领导反馈,企业的领导层能根据反馈制定企业目标,这样有助于企业的各项发展目标能够顺利实现。如今企业在经营管理中还存在许多的问题,因为凭证和手续的欠缺,使得会计资料的真实性无法保证,易出现弄虚作假的问题,这个问题使得无法独立开展内部审计工作,有效的监督和检查无法在内部控制上面体现,因此就会造成无法控制企业发展目标的实现过程。如果在整个监督机制中企业领导者对内部控制与内部审计有着高度的重视,内部控制部门有着较大的权威,就可以使内部控制工作得到有效实施。通过内部审计对内部控制进行的客观评价,保障内部控制的有效运行,使得内部控制的流程得到完善。企业的内部控制制度要想得到完善,那么重中之重是制定会计和各部门的制度,以及相关的信息和资料,这样做的好处是可以使生产等部门和企业财务之间的联系得到完善的加强,并且能够合理地促进工作上的配合,进而充分发挥出各部门的作用,帮助企业稳定的发展。所以企业管理的重要手段是内部控制与内部审计,二者相互配合,从而提高集团公司的管理效率。内部控制与内部审计这两项工作的设计与执行情况在很大程度上决定了公司治理制度能否充分发挥作用。