浅议内部审计在加强企业内部控制的重要性

杨轶坤

前言

美国国会于二零零二年七月三十日通过了《萨班斯-奥克斯利法案》,强化了对上市公司的监管。该法案素以条款严苛而著称,其中的404条款要求所有在美国上市的企业,公司管理层每年需就财务报告内部控制出具评估报告,并要求独立外部审计师对管理层的报告发表声明,其内容包括建立和维护有效内部控制的责任声明、内部控制评估标准、管理层评估结论和外部审计师意见等,是此法案中最难操作、最复杂、耗费成本最高的一项条款。

2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委在北京联合召开企业内部控制基本规范发布会暨首届企业内部控制高层论坛,会议发布了《企业内部控制基本规范》。这份具有标志意义的被称为“中国的萨班斯法案”文件的正式发布,意味着从2009年7月开始,国内千余家上市企业都将遵循《企业内部控制基本规范》的要求,接受国家监管部门的审查,不能通过审查的企业将在公司价值、融资成本等方面蒙受重大损失,甚至遭到资本市场无情的淘汰。从2006到2008的两年间,中国财政部,国资委、证监会、银监会、保监会等监管组织的一系列政策法规紧锣密鼓的出台,标志着中国上市企业全面进入内控监察阶段。

广深铁路股份有限公司是中国铁路唯一于美国、香港和上海三地同时上市的公司,为满足境内外监管对公司内部控制的要求,自2006年以来,广深铁路股份有限公司全面建立、完善了公司的内部控制体系,并对其有效运行进行持续监督。作为广深铁路股份公司的内部审计的审计部不论是在内控体系建立之初,还是在内控完善之后的控制测评,随着角色的转变,充分发挥了内部审计举足轻重的作用。现将我们公司内部审计在加强企业内部控制方面的实践经验与大家分享。

随着经济全球化进程的加快,我国越来越多的企业加入激烈竞争的国际市场,企业面临的各种风险不断扩大,企业管理的各方面越来越关注环境变化所带来的风险,加强风险管理和内部控制的要求越来越迫切。特别在美国上市的一些中国企业,预先感受到建立内控体系的紧迫。面对萨班斯法案404条款对企业内部控制的苛刻要求以及我国《企业内部控制基本规范》的出台,越来越多的企业要展开内部控制的建设,加强风险管理,确保企业的可持续发展。如何运用一个标准尺度打造适合企业自身实际的内部控制体系,又采取何种手段来有效监控内控制度的有效运行……。通过对一部分率先完善内控的企业案例的分析,可以充分证明内部审计在内控建设过程中扮演了举足轻重的作用,是实现内控目标的有效手段。

一、内部控制与内部审计的关系

(一)内部控制

在现代市场经济,内部控制被普遍认为是企业自身的免疫系统和修复系统,是保证企业正常经营、规避和化解风险、提高经营管理水平、实现企业战略目标的重要措施和保障,其重要性不言而喻,所以只有深刻领会内部控制的实质,我们才能有的放矢的建立和完善。去年五部委联合发文《企业内部控制基本规范》,其中对内部控制进行了明确的定义,即“内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”内部控制内涵已从过去狭义的内部控制逐步发展为当今广义内部控制。狭义内部控制仅限与会计有关的部分,主要用以保证财务报告的可靠性,例如会计人员关注的内部会计监督制度,审计人员所关注的内部会计控制制度等。而如今广义内部控制除以上内容外,还包括与保证经营活动效率有关的部分,即组织管理当局所关注的内部控制,如董事会的设立、管理者的素质、企业文化、风险评估、信息沟通等等。

(二)内部审计

内部审计是指由部门、单位内部审计机构和人员进行的审计,是在单位内部建立的一种独立的评价监督部门,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其做出评价,以促进企业管理效率的提高。内部审计虽然存在着独立性不够充分的局限性,但它具有对本单位的情况比较熟悉,取证比较容易的优点,因而,容易收到审计效果。

(三)内部审计与内部控制的关系

1、内部控制为内部审计的工作指引了方向。从去年出台的《企业内部控制基本规范》来看,内部控制的范围已由传统的会计控制逐步扩展到管理控制、经营控制、风险控制,直到几乎不能细分的诸多业务流程控制,林林总总涉及到公司经营活动的各个方面。内部审计的重点由传统的以查错纠弊为主的财务审计转向管理审计、效益审计和风险审计,审计职能已由传统的监督评价拓展为监督评价与咨询,由“监督导向型”向“服务导向型”转变,内部审计目标也由监督内部控制的设置转变为改进内部控制系统。两者之间存在着明显的互动共进关系,内部控制的方向就是内部审计的方向,内部控制的内容就是内部审计的内容,内部控制的关键控制点就是内部审计的重点。内部控制重点的转移,客观推动了内部审计重点的随动和转移。控制比较健全有效,审计范围就可以适当缩小,抽取的样本就可以适当缩小,审计风险就得到控制,反之,审计就需要适当扩大范围,扩大审计样本,以规避审计风险。

2、内部审计是内部控制实现的重要手段。 所谓内部控制评估是指审计人员从研究和分析内部控制制度入手,通过符合性测试,对被审计资料所反映的有关经济活动的真实性、正确性、有效性以及可靠程度做出评价,再通过实质性测试评估内部控制在执行过程是否有效。近年来,内部审计强调 “内部审计要以事前、事中审计为主”。内部审计方式要从以结果为审计对象转化为以过程和结果为审计对象,既注意对结果的审计,更注重对过程的审计;要从以对某一时间点的静态情况审计转化为对全过程的动态情况审计,既注意静态下的内控水平的审计,更注重过程有效性的审计。参与内部控制评估过程正是将这一理念得以实施。内部控制效果的优劣,评估的标准和手段主要通过内部审计测试来完成,内部审计始终充当着发现内部控制制度缺点的重要角色,充当着内部控制制度的测试者、监督者和信息反馈者。

二、内部审计在内部控制过程中发挥的重要作用

(一)内部审计在组织内控体系建设中的作用

国内多数企业在建立内控体系之初,均采取引进社会审计的会计师事务所作为其技术外援,开展内控建设,汲取发达国家的经验,将风险管理的理念、技术、方法和手段,应用于企业的发展战略、投融资决策、业务流程管控、财务会计管理诸多方面。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业风险管理的经验,也有设计企业内部控制系统的实力,但随着内控工作的逐步展开,我们明显的感觉到,他们毕竟对企业情况不是十分熟悉,通过短时间的调查和了解、难以掌握企业控制全貌,只能依赖以凭证、账薄和财务报告为载体的会计系统以及可以找到管理痕迹的书面上的控制程序,是不可能建立起完全符合企业实际,且可操作性强的内控体系,对评估企业自身风险方面的经验远不如内部审计人员,不能提出完全适合企业自身实际情况的合理化建议来促进企业内部控制的健全和完善。而从事内部审计的内审人员,长期立足于本企业的审计,比较熟悉企业的业务并能够随时深入到企业经营的全过程去了解掌握具体情况;同时,内审人员熟悉企业的各项治理制度和管理模式,可以在企业的各个领域(不限于财务)查找管理漏洞,识别并防范风险,分析其合理性。内审人员置身于企业内部控制环境中,对企业内部控制最熟悉,因而也最有能力对内控体系建设提出最容易被接受的合理化建议。

企业在建立内部控制体系时应充分发挥内部审计的优势。首先,在完善制度方面,内部审计独立于企业内部其它各职能管理部门,其在整个管理体系中的特殊地位决定了他能客观的针对内部控制制度中固有的局限性客观地发表改进意见;并且内审部门置身管理体系,能及时、全面的掌握各项制度在实际运行中存在的问题,故在制度完善修订过程中,为管理层提供专业服务,为风险管理出谋划策,提出可行性意见。使内部审计成为企业内部战略的计划者。其次,在业务流程梳理方面,全面提升技术外援与内部审计的工作契合度,充分借鉴技术外援的先进、科学的工作方法,发挥内部审计对各级业务操作流程熟悉的优势,全面、系统、规范地描述出业务流程,有效理顺工作关系,明晰职责权限。再次,在信息沟通方面,内部审计的沟通桥梁作用是不容忽视的。在海外上市特别是美国上市的国内企业,因为萨班斯法案的强制要求,在组织结构上已经明确了内部审计部门在董事会领导下向审计委员会报告工作、同时为管理层服务的机制。内审报告帮助董事会评价考核管理层。其地位的提升,更有利于在内控体系建设过程中将企业亟待解决的问题高效的反应给管理层,同时让管理层的管理理念快速得以实施,加快了内控建设的进展。最后,在推动内控体系建设项目方面,众所周知,目前内控体系建设采用了被国际社会广泛认可的COSO框架,其标准为美国《萨班斯—奥克斯利法案》所接受;包括控制环境、风险评估、控制活动、信息与沟通、监督等要素,涵盖了公司的各个层次,涉及到管理的各个方面,贯穿于经营活动的全过程,所以体系的建设是一项系统工程,必须进行科学的项目管理,企业在项目运行过程需要有,也必须有专门的机构积极主动地做好协调工作,有效地加强项目管理,保证项目顺利实施,达到项目建设的预期目的。由于内审部门是独立于其它部门同时又有权对各部门进行审计,是极少可纵观企业全局的部门,比其他部门掌握的信息都更为全面,故具备承担内控体系建设项目的管理能力。

(二)内部审计在内控评估过程的作用

《萨班斯法案》颁布之后,公司内部控制的评价内容成为在美上市的公司年报的强制披露义务;对于国内的部分上市公司,根据上交所发出的《关于做好上市公司2008年履行社会责任的报告及内部控制自我评估报告披露工作的通知》要求,同样要求对企业内部控制的有效性进行评估,此举进一步推动上市公司建立健全内部控制制度,强制企业为遵从相关法案及规定,必须执行必要的内控评估的工作,以确认内控执行的有效性。故企业内部应建立以内部审计为主线的监控机制,对内控执行的各个环节实现不同程度与方式的监控措施,将内部审计监督行进行扩展,建立由内审部门牵头并结合其他相关部门来定期执行对内部控制度执行情况的检查和测评工作。在实际操作中,内审人员可以针对已建立的内部控制体系,制定相应的测试策略,分步骤、有计划地对企业整体控制环境及各个业务流程的控制过程进行全面综合的测试和评价风险,衡量企业抵御风险能力,寻找内部控制薄弱环节,提出强化内控建设的措施,防范和化解企业各种经营风险,提高企业管理水平。内审人员通过对企业的内部控制加以系统的检查和评价,可以适时向企业管理领导层提交审计报告、管理建议,以协助企业管理部门有效地履行其职责。另外,内部控制的健全、有效是一个动态的过程,随着经营环境在变化,自身在不断的发展,内部控制制度应适应这种变化并相应进行调整。内审部门在评估过程中,不仅可以及时发现管理中是否存在的错弊,而且可以督促相关部门及时更新、完善内控制度,防止制度流于形式,尽早发现存在的缺陷,进而提出改善的建议。企业管理层应大胆地放手内审人员,依靠科学的审计方法,将企业经营活动的整个过程实行全免疫系统跟踪,这样不仅可以大大降低需聘请技术外援所耗费的中介成本,而且可以充分锻炼企业内部审计团队,提高企业综合竞争力,为企业健康发展保驾护航。