于国梅 刘小芳 张冉
[摘要]当前,企业发展面临全新挑战,通过创新内控评价体制机制、培养内控评价力量、开发内控信息系统和强化评价结果运用四个方面,探索内控评价体系创新,成为企业应对风险的有效路径。本文通过总结港口集团内控评价工作中取得的经验与教训,为更好地发挥内控评价对企业风险识别及应对作用提供参考。
[关键词]风险识别与管控 内控评价 审计创新
一、引言
内控评价是对企业内部控制设计和实施有效性进行全面评价的过程,覆盖范围较为全面,内控评价和内部审计从工作目标、工作性质、监督评价内容与范围、评价标准等方面都具有一致性。为节约审计资源,审计部门依托内控评价体系,更好发挥内部控制体系作用,深度实施审计模式创新,帮助企业有效识别风险、防范和化解风险、提升管理水平,是内部审计发挥增值作用的重要课题。
二、内控评价工作中常见的主要问题
(一)风险管理未充分向事前事中延伸
很多企业的评价部门开展内控评价主要集中在事后,通过对控制活动的执行情况进行复核,发现内控执行的缺陷和问题,未充分研究企业隐藏的风险机制,并利用内控评价深入基层的优势,从源头进行有效管控。
(二)评价领域的深度广度有待拓展
内控评价主要形式为年末内控集中评价,审计评价范围主要集中于上市公司范围内,且内控评价主要关注控制活动的科学性和有效性,对内部控制环境、风险评估等环节的研究有待进一步深入。
(三)内控评价队伍力量薄弱
专职内控评价人员较少,主要依赖于兼职内控评价员,兼职内控评价人员中多为财务、法务人员,内控评价人员流动性较大,缺少内控基础知识和实践经验积累,在统筹单位内控建设和评价、结合实际研究分析单位的风险和控制措施方面能力有待提高。
(四)评价结果运用不充分
对于内控评价发现的控制缺陷,内控评价人员定期跟踪调度不够,对缺陷整改情况的考核力度不够,评价结果不能得到充分运用。
三、问题产生的原因分析
(一)思想认识不到位
一是部分被评价单位管理层未充分识别企业存在的风险,对内控评价结果重视程度不高。二是部分公司员工不具备相应的风险防范意识,评价人员权威性不够,被评价部门人员对相关工作配合度低,阻碍了评价结果运用。
(二)内控评价体系建设不完善
依据以往评价工作经验和对被评价单位生产经营的了解,一些单位的内控评价部门选取评价范围和评价样本,评价部门根据被评价单位提供的资料进行测试评价和缺陷认定。这样的内控评价过于依赖公司主管部门,基层单位参与度不高,未形成闭环。
四、内控评价创新实践与探索
港口集团内部审计部门作为内控评价的主管部门,充分发挥专业优势,将内部审计工作经验同内控评价工作要求相结合,资源共享、信息互通,探索出一条优质、高效、实用的新路径。
(一)创新内控评价体制机制建设
1.建立完善的内控评价制度体系。
坚持将揭示问题与完善制度相结合,把内控评价工作作为“治已病、防未病”的重要举措,不断强化制度建设。公司在制定《内部控制手册》基础上,结合实际梳理形成《风险管理手册》,两本手册为开展内控评价工作指明方向。依据《企业内部控制评价指引》等相关规定,结合中国内部审计准则等业务规范,制定《内部控制评价实施细则》,明确相关要求,细化管控标准,提升内控制度的先进性和有效性。
2.创新建设内控评价体系。
以风险为导向,建立公司集中评价、基层单位自我评价、重点内控流程专项评价三个层面的内控评价体系,点面结合,形成全面覆盖与重点突出并重的监督评价体系。
(1)公司集中评价。评价方式由远程抽样审核为主转变为现场抽样测试为主。通过大量的现场访谈、控制测试等方式,内控评价部门充分了解评价单位最新经营管理情况,找准风险点,针对风险精准抽样,重点检查,工作重心更加明确,工作效率有效提高。
(2)基层单位层面自我评价。该评价方式由年内一次性集中实施转变为常态化开展。每年年初由公司审计部制定下发基层单位内控自评工作指导方案,各单位根据实际情况修订自评价计划,公司审计部对各单位评价计划进行审核指导,并对各单位评价过程及结果进行检查复核。上下联动,有效调动基层单位内控管理积极性,深化内部控制影响力,从源头防范风险、堵塞漏洞,规范日常管理。
(3)重点内控流程专项评价。针对公司识别的主要风险、集中评价和基层单位内控自评发现的问题,由内控评价部门选取重点内控流程开展专项评价。内控评价部门组织审计人员和业务骨干形成专项工作小组,有针对性地开展深度评价,对评价期间、范围和内容进行必要的延伸,挖掘风险源头,预防风险事件发生。
3.建立第三方内控审计成果运用机制。
内部审计部门全程协同参与、全力支持配合第三方中介机构开展内控审计,将第三方内控审计发现问题纳入内控风险管理范畴,制定有效控制措施,合理规避风险。充分汲取第三方中介机构内控审计经验及做法,内外部结合对公司内控执行情况实施双保险“体检”。
4.构建评价、审计、巡察联动的内部监督体系。
一是将部分审计巡察发现问题作为内控评价重点关注事项,利用穿行测试、抽样、调查问卷等手段落实评价,同时将内控评价识别的重大风险作为内部审计巡察的重点内容,推动风险管控常态化,提高内控缺陷整改时效性,避免出现监督盲点;二是将内部审计、巡察发现的问题从内控角度分析其产生的深层次原因,坚持从体制机制层面提出整改建议,完善各项内控流程措施,切实推动源头治理。
(二)培养内控评价骨干力量
一是落实以干代训,实现兼职内部控制评价人员由资料收集、信息沟通、内部协调等联络员职能,向制订计划、组织实施、识别风险、督促整改等兼职审计人员过渡,更好发挥兼职评价人员力量;二是加大对基层单位的培訓指导力度,培训范围不仅包含各单位兼职评价人员,还包含内控工作主管部门负责人和分管领导,针对业务特点和岗位职责量身定制培训课程,开展多层次线上、线下内控培训,提升内控队伍责任意识和专业素质。
(三)创新内控评价信息系统的开发与应用
创新内控评价工具,以“数字化”思维搭建内控管理平台,将内控矩阵模式下的所有业务流程、风险控制点、测试步骤和方法等嵌入信息化平台,利用系统增强管理刚性、提高管理效率,实现内控评价计划下发、样本反馈、测试执行、缺陷认定、缺陷整改、报告编制等所有关键环节的线上闭环管控。通過信息化系统的应用,进一步推动内控评价实现标准化、信息化、实时化、协作化。
(四)强化内控评价结果运用
严格缺陷整改要求,逐项明确缺陷整改牵头领导、责任部门、整改措施和整改时限,指导帮助被评价单位抓好审计整改工作;充分运用信息化手段,建立整改督查平台,定期督促调度整改进度,建立台账销号管理,将缺陷整改工作纳入月度绩效考核,确保所有缺陷按期整改到位。对发现的问题分析存在原因,制定长效管控措施,避免问题重复发生。
五、实践效果
(一)有效促进风险识别
内控评价部门通过创新内控评价体系,强化重点流程评价监督,在揭示风险的同时,追根溯源,有效推动了公司业务部门风险排查工作的落实。2022年,内控评价部门共识别出公司安全生产、疫情防控等突发应急风险、战略决策风险、舆情管控风险、采购管理风险、工程建设领域风险、投资管理风险等十一大风险。根据排查结果,内控评价部门制定并印发了公司《重点风险及内控措施》及重点风险控制矩阵(见表1),明确了101项内控措施的责任岗位,从根源上、制度上防范风险,提升风险管控能力。
(二)有效推动发现问题整改落实
通过内部控制缺陷整改,强化纠错止损,公司共修订完善《固定资产管理办法》等制度24项,理顺优化采购管理、费收管理等重点业务流程22项,补充完善收入确认、工程项目结算等60余项控制措施,进一步规范授权审批、资金支付、外包业务等控制活动执行。
(三)有效夯实基层队伍建设
通过创新内控评价体系,公司内控网络不断壮大,内控评价专兼职人员风险意识、专业能力明显提升,内控效率不断提高,内控效果持续增强,助推公司战略目标稳步实现。
(作者单位:青岛港国际股份有限公司,邮政编码:266599,电子邮箱:bgs.sjb@qdport.com)
主要参考文献
[1]陈力.浅谈内控评价促进企业管理价值提升[J].财经界, 2021(3):169-170
[2]陈伟通.试论“十四五”时期如何加强国有集团企业内部审计[J].中国内部审计, 2021(8):26-29
[3]党济深.内控评价与内部审计融合发展的思考与实践[J].财会通讯, 2021(13):133-137
[4]李锐.论新形势下如何开展企业内控评价[J].企业与经济, 2022(3):129-131
[5]徐欣然.浅谈企业的内部控制及内控审计[J].审计与理财, 2020(6):46-48