内部审计在企业开展内部控制评价的实践

2009-09-02樊帆

企业导报 2009年6期

樊　帆

【摘要】内部审计作为企业内部一种独立、客观的监督、评价活动,是企业内部控制系统的重要组成部分,在企业内部控制系统中发挥着重要的作用。分析了内部审计在内部控制评价实践中存在主要问题,提出了改进内部审计的措施。

【关键词】内部审计;COSO内部控制框架;风险评估;定量化

自从现代公司制度形成以来,公司治理就成为企业成功的关键,其中治理控制更是公司治理的主要核心内容。由于治理控制实现方式不同,可以把公司治理模式分为外部市场控制治理模式和内部控制治理模式。外部市场控制的治理模式由于公司和外部市场的信息不对称,使得这种治理模式的效果大打折扣。尤其进入21世纪以来,美国最大的能源公司——安然公司突然申请破产保护,此后公司丑闻不断;2002年6月的世界通信会计丑闻事件,彻底打击了美国投资者对资本市场的信心,由此产生的信任危机对公司和资本市场的发展产生了极为不利的影响。同时,我国的“郑百文”、“麦科特”、“东方电子”、“银广夏”、“蓝天股份”、“中航油”等上市公司会计造假案,日益成为人们的关注焦点。

一、内部控制评价与内部审计

(一)内部控制及其评价

1.内部控制的内涵——COSO内部控制框架

为防止和杜绝安然、世通等类似事件出现,美国国会和政府加速通过了《萨班斯法案》,同时美国证券交易委员会(SEC)也制定了相应的实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性,从侧面承认了COSO(Committee of Sponsoring Organization)1992年公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。COSO框架正式成为美国上市公司内部控制框架的参照性标准。

COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。COSO内部控制框架有五部分组成:控制环境;风险评估;控制活动;信息与沟通;监督。

2.内部控制评价的内容及范围

(1)企业控制环境。以《上市公司内部控制指引》为依据,对企业进行测评。主要有:企业治理结构是否完善;董事会、监事会和股东大会等管理架构是否合法运作和科学决策;是否建立有效的激励约束机制和树立风险防范意识;企业管理层及业务环节是否开展内控培训,让内部风险防范成为高管的共识;是否培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境。

(2)企业风险。在对企业风险防范作测评时,应重点关注企业是否建立完整的风险评估体系;是否建立审计委员和风险管理部门;是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控;是否对已发现的企业风险有控制措施。

(3)企业控制活动。企业管理层为确保风险对策有效执行和落实所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。

(4)企业信息与沟通。在对企业信息活动测试时,重点审核公司是否已制定公司内部信息和外部信息的管理政策,确保信息能够准确传递;确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况;确保各类风险隐患和内部控制缺陷得到妥善处理;公司的日常业务包括资产、财务管理等是否实行流程表单化管理和建立ERP系统。

(5)企业检查与监督。在对企业该项活动测试时,要重点审核公司是否已制定了内部控制检查监督办法,该项工作是否在董事会或审计委员会直接领导下,有风险管理部门或审计部门具体负责实施。

(二)内部控制评价的主要途径——内部审计

内部审计作为企业内部一种独立、客观的监督、评价活动,是企业内部控制系统的重要组成部分,在企业内部控制系统中发挥着重要的作用。内部审计的评价职能:一方面可以对企业及各部门的经营活动及其绩效对照各种可参照的标准进行分析和判断,从而促进企业不断改进经营管理水平,提高获利能力,增强竞争力;另一方面可以对企业内部控制的健全性及有效性对照各种适用、先进和理想的标准进行评价,促进控制系统的不断更新与优化。

因此,内部控制评价可以通过内部审计来进行,主要表现在4个方面:(1)通过内部审计评价企业的内部控制环境;(2)通过内部审计评价企业风险(3)通过内部审计评价企业内部控制活动;(4)通过内部审计评价企业内部控制的信息系统与沟通。

二、内部审计在开展内部控制评价实践中存在的主要问题

(一)内部审计的组织地位无法保证评价工作的独立性

在2008年出台的《企业内部基本规范》第十三条明确规定,企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。目前上市公司中大多采用第一种模式(其治理结构图如图1所示)。

该模式中的审计委员会等都是为公司董事会服务的职能机构,从实际意义上讲都不是监督公司董事会的职能机构,这种模式已越来越不适应现代企业制度建设的需要,其不足主要体现在以下几方面:

(1)内部审计职能定位不高。长期以来我国上市公司的内部审计工作一直以财务审计为主导,内部审计职能定位不高,把被审计对象当作“对立面”,不利于企业内部工作的协调运转及企业的长远发展。同时该内部审计只对董事会负责,成为了董事会的一个服务机构,而忽视了对股东及各利益相关者乃至全社会应承担的责任。

(2)从独立性上说,没有建立独立监事制度。我国公司中的监事会成员都是由内部监事组成,没有建立独立监事制度。大多数监事会成员兼任公司中的其他内部职务,容易受到公司内部各种利益关系的制约与限制,监督独立性和客观性差。

(3)从股权结构上说,一股独大使监事会形同虚设。我国绝大多数的上市公司都是由国有企业改制而成,国有股和法人股往往居于控股地位,形成人们所说的“一股独大”现象。一股独大使的大股东可以凭借其控制权,控制股东大会,进而控制董事会和监事会,甚至向公司指派总经理等高层管理人员,形成对公司的绝对控制,使得监事会形同虚设。

(4)从结果上说,董事会和监事会之间权力失衡。董事会和监事会的权力制衡机制难以形成,董事会权力过重而监事会形同虚设,无法行使其应有的职责。这种机制下的内部审计是低效甚至失效的,内部审计机构也形同虚设,无法行使其应有的职责。

(二)内部审计的评价标准过度倾向于定性标准,对内部控制的现状反映不够充分

内部控制体系评价也是企业内部控制体系的重要组成部分,建立一个完善的评价机制是完善内部控制体系、评价控制体系效果的重要内容。而评价机制实际上也是一种反馈机制,通过对内部控制体系的健全性、有效性及经济性进行准确评价,以实现对内部控制体系的“再控制”。

我国虽然以COSO内部控制框架为核心的内部控制系统已经建立,现有的法律法规和行政规范中也多项涉及到内部控制评价的内容,要求对内部控制的完整性、合理性及有效性进行评价,但在内部控制标准的建设上,没有对管理层进行内部控制制度有效性评价提供实质性指导,从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。大多数企业也没有建立起统一的规范,而且多数停留在定性标准的层面上。而定性评价活动受评价人员的主观判断影响很大,因此很难准确、明晰地反映内部控制体系的现状,严重影响了内部控制评价作用的发挥,使得“再控制”的实施效果大打折扣。

三、问题分析及改进措施

(一)提高内部审计委员会的职能地位

由于传统组织模式不利于独立、客观的进行,所以必须将内部审计委员会设置在局外,让其可以独立的进行,而监事会是最佳的管理机构(这种模式如图2所示).

这种审计模式的权威性和独立性都很强,有效地防止了“一股坐大”的发生,兼顾大小股东的利益。监事会作为监督,它不参与日常经营管理,而是代表所有股东监督董事会、管理人员的工作和单位整体经营目标的实现情况。为此,它也需要有一个独立的部门和一批专门人员对整个单位的生产经营活动进行客观公正的检查和评价,并将评价结果直接向它报告。另外,内部审计人员应回避自己曾参与过的管理活动的审计,内部审计人员作为独立部门成员不能参与本单位的生产经营管理活动,只承担对其进行评价和建议的审计责任。这种审计模式的权威性和独立性都很强,能够建立起内部审计部门和董事会的直接信息交流。但在实际工作中,可能会存在内部审计人员被临时抽调担任一些非审计工作任务,以一个管理人员的身份参与执行管理工作,或出现临时调入、调出内部审计人员情况。此时,则不应委派这些人员参与审查自己曾负责的经营管理活动,以保证审计人员的独立性。

(二)将定性评价指标定量化

对于内部控制的评价一般主要利用审阅、询问、观察、调查表、文字说明等方式,具有很大的主观性和不精确性,在多变的环境下,更需要选择一套能给企业带来最大经济效益的内部控制制度。因此,在结合传统评价方法上,应该进一步对其进行经济数量分析,精确掌握其可行性。

我国很多学者对美国COSO报告进行了全面介绍和研究,并运用COSO报告的标准与评价方法,从控制环境、风险评估、控制活动、信息与沟通、监督五个面对我国一些企业内部控制失败案例进行系统分析,建议在COSO报告的基础上建立一套内涵与外延统一、可操作性强的内部控制标准体系。该体系的基本特征在于它的关联性、全面性、整体性。因此,可以将内部控制评价标准体系定义为:属于内部控制评价标准范畴的有关事物相互联系相互制约而构成的一个内涵与外延相互统一的一个整体。将内部控制的一般标准和具体标准结合(其评价标准框架图如图3)。