基于内部控制的公司内部审计研究

来源: 高顿 2017-06-08
  一、引言
  2007年,企业内部控制标准委员会发布了《企业内部控制规范――基本规范》和17项具体规范(征求意见稿),意味着中国企业内部控制规范建设取得重大进展。2008年财政部与中国证监会等五部委又联合发布了《企业内部控制基本规范》,为我国未来内部控制制度建设提供了基本框架,标志着我国在企业内部控制加强和规范上又向前迈出一大步。我国内部审计最早出现于1983年。经过多年的发展,取得了令人瞩目的成绩。目前我国内部审计已形成了以《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、中国内部审计协会发布的《内部审计基本准则》、《内部审计人员职业道德规范》和若干具体准则组成的内部审计法规体系,对确保内部审计人员依法行使职权,规范内部审计行为,提供了有力的法制保障。上述这一系列法规准则的颁布,都说明我国在内部控制和内部审计方面取得了较大的成绩,但是我国上市公司名目繁多的关联方交易、“掏空”等案件的相继曝光,又说明目前我国公司内部控制及内部审计仍有较大欠缺;另一方面,我国内部审计起步较晚,内部控制发展较为缓慢,与西方发达国家相比仍有一定差距。本文从中航油的案例入手,引出内部控制和基于内部控制的内部审计的重要性,再阐述内部控制和内部审计的内涵,分析中国公司现状,汲取国外精华,最后就如何进一步完善基于公司内部控制的内部审计进行探索。
  二、内部控制与内部审计的含义及其关系分析
  (一)内部控制含义、目标和构成要素内部控制制度是指一个公司的各级治理部门,为了保护经济资源的安全完整,确保经济信息的正确可靠,协调经济行为,控制经济活动,利用公司内部因分工而产生的相互制约、相互联系的关系,形成一系列具有控制职能的方法、措施和程序,并予以规范化、系统化,使之组成一个严密的、较为完整的体系。这是对于内部控制制度的一般认识,每个公司都应确立一套适合公司环境的内部控制制度。内部控制的目的包括以下方面:组织运行的效果与效率。效果是指公司实现组织目标的程度;效率是指一定资源的投入所带来的产出量;财务报告的可靠性和完整性。财务报告是综合反映公司经营效果和效率的文件,同时也是公司控制风险的重要依据。财务报告的不真实、不完整往往是公司的重要风险之源;符合相关的法律法规和合同。违反法律法规和合同,既可能给组织带来较高的违法或违约成本,更可能隐含着对组织资产或股东利益更严重的危害。内部控制包括五个相互关联的构成要素。它们源自管理层经营企业的方式,并与管理过程融为一体。这些构成要素基本适用于所有的主体,尽管它们在中小型公司的实施可能与大型公司有所不同。(1)控制环境。控制环境设定了一个组织的基调,影响其员工的控制意识。它是内部控制的其他所有构成要素的基础,为其提供了秩序和结构。(2)风险评估。风险评估就是识别和分析与实现目标相关的风险,从而为确定应该如何管理风险奠定基础。由于经济、行业、监管和经营条件将会持续变化,因此需要有识别和应对这些变化有关的特殊风险的机制。(3)控制活动。控制活动是指那些有助于保证管理层的指令得到贯彻执行的政策和程序。控制活动发生在整个组织中,遍及所有的层级和所有的职能。(4)信息与沟通。必须以适当的方式在一定的时间范围内识别、获取和沟通有关的信息,以便员工能够履行其职责。(5)监控。可以通过持续监控活动、个别评价或两者的结合来实现。持续监控发生在经营过程中,它包括日常的管理和监控活动,以及员工在履行其职责过程中所采取的其他活动。个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效性。这些要素之间存在着协同和联系,从而形成一个整合的体系,针对变化的环境做出动态的反应。三类目标与构成要素之间也有着直接的关系,目标是主体努力要实现的东西,而构成要素则代表着要实现这些目标所需要的东西。
  (二)公司的内部审计含义、特征和作用2003年中国内部审计协会发布的《内部审计基本准则》中第二条是对内部审计的定义:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”内部审计和外部审计相比,有如下特点:服务的内向性――内部审计是作为企事业单位内部加强管理和控制的重要手段而存在的,是为本单位加强管理和控制,更好地实现本单位目标而服务的;审查和评价的及时性和广泛性――内部审计机构可以根据经营和管理的需要,选择在事前、事中、事后进行审查和评价,可以在整个单位范围内自主灵活地选择审计的内容和审计的时间,以便及时地提供本单位经营和管理所需要的信息;与本单位的目标密切相关――企事业单位内部所有与实现本单位目标相关的活动都是内部审计的对象,内部审计的出发点是为实现本单位目标提供帮助。内部审计的作用是随着内部审计目标的变化而变化的。传统的内部审计注重对财务报表进行审查,随着现在内部审计领域的扩大,内部审计的建设作用――促进改善管理和控制的作用开始突显出来,公司内部审计的具体作用包括:监控作用――促进公司内部各管理层行为的合法性、合规性,并对执行中存在的问题进行揭示和查处;咨询作用――由于内部审计对公司的程序、风险及战略有全面的了解,其工作具有综合性强和接触面广的特点,这样,内部审计开展有关咨询活动具有独特的优势;风险预警作用――上市公司的内部审计应更多地参与面向未来的规划决策工作,对企业经营风险发生的可能性随时关注。这些风险包括公司经营现状带来的风险和计划规划、发展战略所带来的未来将发生的潜在的风险;信息鉴证作用――在我国目前的上市公司管理中,下属部门或公司往往报喜不报忧,夸大成绩、掩饰缺点,内部审计机构就是要揭示经营管理中存在的问题以及经济效益的真实情况和风险,提供经过鉴证的可靠的信息和依据。
  (三)内部控制和内部审计的关系内部审计是实施内部控制环境的基础环节,是内部控制不可缺少的重要组成部分,同时内部控制是内部审计的审计内容,没有内部审计的评价、监督,就不能形成良好的企业内部控制制度,两者之间存在着一种相互依赖、相互促进的内在联系。内部控制是对组织目标实现的相对保证,但由于人为错误、串通舞弊、超越制度、环境变化及成本效益等因素的影响,内部控制可能无法发挥其应有作用,这就需要内部审计来监察,使得公司目标能得到实现。基于内部控制的内部审计即对构成内部控制的五个要素进行分别审查,并向组织的适当管理层报告内部控制的审计结果。随着现代企业的发展,内部审计体制不断壮大,已经超越了传统的审查内控漏洞的职能,现代内部审计还可以帮助公司坚持成本效益原则。合理地鉴别公司内部控制的适宜
  度。一个内部控制系统如果控制成本高于控制收益,则不是恰当的内控系统。
  三、基于内部控制的公司内部审计现状分析
  (一)内部审计模式我国《公司法》对公司治理结构制度的安排采用双层制,既要依法设置董事会。又要依法设置监事会,与公司治理机制相对应,内部审计一般有三种模式:(1)经营者领导下的内部审计模式。这种模式下更多的是关注经理层本身的能力与自律,一方面,总经理可以凭借其经营管理的有力地位,及时准确地指示内部审计工作的重点部位和重点事项,使内部审计接近经营管理层,直接为经营决策服务,同时也有利于协调内部审计部门与其他业务部门之间的关系,从而将审计工作与日常控制相结合,改善、提高公司经营管理水平,提高经济效益;但另一方面,内部审计工作会受经理人的制约,不利于内审机构对经理人的责任、业绩等进行考核,无法保持独立性以及监督和检查的客观性。(2)董事会领导下的内部审计模式。内部审计机构隶属于董事会,向董事会负责,有利于保持内部审计的独立性和权威性,使得内部审计机构及时有效的监督企业高级管理层,同时也使内部审计变得灵活,不仅为委托人提供公正客观的审计报告,还为公司经营管理层改善经营管理提供意见和建议;但另~方面,由于审计机构直接对董事会负责,这将影响内部审计部门获取公司真实的信息,不能满足经理层对内部审计的需求,而且董事会是集体决策,实行集体讨论制,凡事都要通过董事会集体讨论决定,不利于平常审计工作的开展和对企业内部控制制度的监督检查。(3)监事会领导下的内部审计模式。将内部审计设在监事会,使内部审计完全以监督者的身份出现从而与管理层脱钩,有助于增强审计机构的独立性,公正审计,不受行政干预,从而有利于对公司财务的检查和对公司管理人的监控;但是由于法律对监事会赋予的权力不能覆盖内部审计的范围和职能,不能直接服务于经营决策,不利于促进公司改善经营管理,提高经济效益。从内部审计的地位来看,内部审计隶属于不同的组织机构领导其效果是不一样的,下表对三种内部审计模式进行了比较,公司可以从公司性质、公司治理体系和公司管理水平等方面考虑,选择一种适合自己公司的审计模式。
  (二)内部审计缺陷目前我国公司的内部控制及基于此的内部审计正处在成长阶段,还存在较多问题及改进空间,首先,很多企业对内部控制的认识还不够,存在一些误解,如认为内部控制就是惩罚制度,或者对内部审计的重视程度不够,认为只是形式主义的东西。其次,即使建立起来较完善的内部控制内部审计制度,也并没有很好地遵循,如中航油的案例,最终还是导致企业的巨大损失。下面就目前公司基于内部控制的内部审计存在的问题进行分析:(1)内部审计的建立缺乏内在动因。从西方内部审计的产生和发展过程来看,内部审计是随企业内部管理层的增多和控制范围的扩大以及内部管理与监督的需要,发展成为公司治理的重要部分;而我国的内部审计是在政府的要求下。在国家审计的羽翼下建立和发展,内部审计的建立缺乏内在需求。我国许多国有大中型企业内部审计机构都是仓促设立,大部分内部审计机构的设簧是政府干预的直接结果,定位出现了偏差。根据我国《审计法》和《审计署关于内部审计工作的规定》的要求,内部审计要接受国家审计机关的业务指导和监督。这种内部审计建制上的政府行为,可以说是将内部审计置于企业的对立面,这使得不少公司的领导片面地认为内部审计就是检查内部经济问题,把内部审计当成是给自己找麻烦的机构,从心理上和行为上不愿意也不敢配备精通业务的人员。(2)公司内部审计职能定位存在偏差。目前,我国内部审计人员将大部分精力投入到财务数据的真实性、合法性的查证,其主要职能是查错防弊,而不是对企业管理作出分析、评价和建议。审计的对象主要是会计报表、账本、凭证及相关资料,其工作主要集中在财务领域而未深入到管理和经营领域。很多公司将内部审计定位为监督职能和鉴证职能,使得内部审计的职能定位不能够反映内部审计的真正目的,这种职能定位在一定程度上限制了内部审计作用的发挥。(3)内部审计机构的独立性不强。一方面内部审计机构本身就是企业整体中的―个部分,作为企业中的―个职能部门,其人员配置、职务升迁、工作地位等都由本企业领导决定。导致内部审计在组织、工作、经济等方面都不独立,在审计过程中,不可避免地受本单位的利益限制,鉴于此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公正、合理合法的评价。特别是当面对领导参与或法人违纪时,内部审计往往无能为力。另一方面企业的内部审计部门,存在着与其他职能部门平行或隶属于财务部门的状况,缺乏独立性和权威性,无法保证内部审计的质量。(4)重审中监督,轻审后监督。在审计方案中,审前调查,审中实施方法、程序等―般都有详细的表述,而对审后监督除了有―个“后续审计”外,没有其它内容。在实施过程中,审后监督更薄弱。少数被审计单位在审计过程中表现得比较认真,能积极听取审计意见,但审计一结束,就把审计建议抛入九宵云外。(5)公司内部审计人员结构单一目质量良差异大。随着内部审计领域和职能的拓展和转变,审计机构在人员的构成上也应是多元化的,现在绝大多数内审机构只有会计师,没有工程师、律师等,使得审计部门只能从凭证到帐面查找问题,难以从实际操作中发现问题,因而提出的建议或为决策者提供的决策依据往往缺乏现实性。另外,公司内部审计组织中,有正规学历并经过相应工作实践的人较少,大多数是会计业务出身,在旧的财会制度下通过多年的会计工作实践,通过职称岗位培训出来的,虽然具有会计的实践经验,但是由于缺乏管理会计、控制理论、风险管理、经济预警等知识,所以知识结构与企业发展的需要相距甚远。
  四、内部审计完善的措施与建议
  (一)借鉴美国萨班斯法案,强化内部控制2002年,美国国会通过了《2002年萨班斯――奥克斯利法案》,该《法案》经美国总统签署后,正式成为法律并生效。法案中要求管理层报告公司对财务报告的内部控制,并要求外部审计师证实管理层报告的准确性。使内部控制再次成为人们关注的焦点。《法案》中的最大举措是设立公众公司会计监督委员会(PCAOB)。2004年,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于2004年经美国证券交易委员会(SEC)批准。该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务报告的内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程;评价内部控制设计和运转的效果;形成对财务报告的内部控制是否有效的意见。2006年,PCAOB发布了新的内部控制审计准则征求意见稿,对第2号审计准则进行了修改和完善,并与2007年正式公布第5号审计准则,替代了第2号审计准则。内部审计是内部控制的―个重要的部分,内部审计是检验内部控制是否有效执行以及其设计是否合理的重要手段,两者互相影响,只有同时增强内部控制
  和内部审计才能取得良好的完善效果。通过借鉴美国萨班斯法案,并结合中国公司现状,下面是笔者对完善内部控制的些许建议:(1)发挥政府在建立内部会计方面的作用。中国政府近年来非常重视企业内部会计制度的建设,在《公司法》、《会计法》、《审计法》、《企业会计准则》、《企业财务通则》等法律法规中都有涉及企业内部会计控制的内容。最近,财政部为促进企业内部会计控制建设。发布了《内部会计控制规范――基本规范(试行)》、《内部会计控制规范――货币规范(试行)》。在管理者内部会计控制观念普遍淡薄的情况下,笔者认为应该依靠政府通过自身的权威性,按照有关法规来规范企业建立和健全内部会计控制并且有效实施。(2)职务分离,岗位轮换。不相容职务互相分离要求公司按照不相容职务相分离的原则,合理设置会计及相关工作岗位,明确职位权限,形成相互制衡机制。不相容职务主要包括授权批准与业务经办分离,业务经办与会计记录分离,会计记录与财产保管分离,业务经办与业务审核分离,授权批准与监督检查分离等。对职工实行休假和轮岗制度,当其他人员接替原工作人员工作时,以往日常工作中的差错和不轨行为容易暴露,轮岗可以清除有些人蓄谋侵占盗用的念头。(3)加强内部监督。企业内部控制是一个过程,为了确保其被切实执行、效果良好,内部控制必须被监督,企业应设置内部审计机构来加强对本企业内部会计控制的监督和评估,及时发现内部控制中的漏洞,并针对出现的问题及内部控制执行中的薄弱环节,及时修正或改进控制政策,做到有章可循,违章必究,提高会计信息质量,以期更好地完成内部控制目标。(4)加强对计算机会计信息系统的控制。公司应利用计算机的强大功能,设计出―个能使违反内部会计控制制度和流程的操作失败的系统,确保会计信息的可靠性和准确性。同时利用计算机及时、全面、正确地提供企业的运营信息,并在有关部门和人员之间进行沟通,这样即节省时间,提高工作效率,又减少了人为因素对内部控制效果的影响。(5)提高人员素质。一是要提高管理者的素质,管理者的素质在企业经营管理中起着至关重要的作用。管理者的素质既包括专业知识和技能,又包括道德观、价值观和世界观等各个方面;二是要提高会计人员和相关责任人员的综合素质。
  (二)内部控制的公司内部审计机制的建议内部审计是企业管理过程中不可或缺的部分,特别是针对国内的大多数公司的管理模式。内部审计不仅能非常有效地弥补公司在运营和管理中的风险控制缺失,还能帮助企业更新管理观念和管理制度,真正做到与时俱进。笔者认为,改善基于内部控制的内部审计应从以下方面做起:(1)修改和完善内部审计法规。内部审计基本准则和内部审计具体准则是规范和指导内部审计工作的权威性标准,其内容的科学和完善直接决定了内部审计工作的方法和导向。针对加强风险管理的需要,传统的内部审计已向风险导向型内部审计靠拢,严格来讲,风险导向应该贯穿于内部审计基本准则和内部审计具体准则中,而我国内部审计准则还没有系统修订,仅在个别具体准则中指明实施风险导向审计即仅在《内部审计具体准则第16号-风险管理审计》中有所体现,在《内部审计准则-审计证据》、《内部审计准则-审计计划》以及《内部审计准则-审计报告》中均没有指明实施风险导向审计。因此需要迫切修改和完善内部审计准则等相关法规,为内部审计人员实施风险导向内部审计提供法律上的支持。(2)转变观念提高认识,重视内部审计工作。发挥内部审计的作用,不能单靠法律和行政命令,而要充分认识内部审计的重要性,转变观念。首先,公司管理层和内部审计人员都要认识到内部审计工作是公司必不可少的一部分。公司高层领导应从管理的角度充分认识到内部审计在现代公司管理中的重要性,并为内部审计配置适宜的人力、技术、经济资源,充分调动内部审计人员的工作热情。审计人员也应按照高级管理层和董事会所确定的政策认真履行其职责,正确处理好企业内部有关部门的关系,力争将内部审计部门的宗旨、权限和职责以书面的形式形成章程得到高级管理层的批准和董事会的认可。其次,企业各个层次管理层的思想要实现由被动接受审计到主动邀请审计人员参与本部门审计工作的转变,把内部审计工作视为是提高本部门(公司)经济效益不可缺少的阶段。再次,企业内部也应广泛宣传内部审计的重要性,达成加强内部审计的共识,提高内部审计机构和内部审计人员的地位,使其充分发挥为公司改革服务的作用。(3)合理设置内部审计机构,确保审计独立性和权威性。有效的内部审计机构是内部审计工作的基础,是内部审计发挥作用的前提。合理设置内部审计机构应遵循两条原则:一是独立性原则。内部审计机构在组织人员、工作和经费等方面应独立于被审计单位,独立行使审计职权。二是权威性原则。这体现在内部审计机构的地位和设置层次上,机构设置层次越高,权威性相对就越大。从内部审计机构设置的模式上看,以董事会领导下、监事会领导下的内部审计机构,机构设置层次高,地位超脱,相对来讲有较强的独立性和权威性,为公司内审计较为理想的机构模式。要保证内审机构的权威性,需要审计人员自身的努力和公司管理当局的支持,同时,对审计人员也提出了更高的要求。(4)拓展内部审计的作业领域。随着我国现代企业制度的建立,企业内部的管理以市场经济为导向,向管理现代化和科学化方向发展,内部审计作为企业管理的组成部分,只有不断拓展审计视野,增强宏观意识,扩大审计范围,增加审计内容,才能适应企业的管理与发展。有条件的企业在有效开展财务审计的基础上,重点向下列领域拓展其作业:一是内部控制审计;二是管理(经营)审计;三是经济责任审计;四是合同(合约)审计;五是工程项目审计;六是环境内部审计;七是质量控制审计;八是风险管理审计;九是战略管理审计;十是管理舞弊审计。(5)改进内部审计技术和方式。改进内部审计技术可以结合审计领域的扩展从两方面着手实行:内部审计应转移到事前、事中审计上来。企业的采购计划、生产计划、销售计划、资金计划、投资计划及费用预算等均应做到事前审核、事中控制。并且将事前审计与事后审计结合,保护性和建设性并举,财务审计与效益审计及制度审计并重。内部审计应向内部审计和外部审计相结合的方向发展。内部审计工作中对财务数据真实性、合法性的审计可以外部化,将工作重点放在对企业经营管理及公司业务过程上的分析和评价,并对全过程进行监督。这种结合,既有利于缓解内部审计人员少而任务重的矛盾,又有助于提高内部审计工作质量,促进公司治理结构的改善。与此同时,审计方式也应作出相应调整。应推广采用参与式的审计方式,即在整个审计过程中努力与被审计对象维持良好的人际关系,搞好配合与协作,让被审计者认识到彼此的利益相同,目标一致,通过充分沟通共同分析错误和问题的潜在影响,一起探讨改进的可行性和应采取的措施,从而充当经营管理人员的参谋和助手。随着网络建设与会计电算化的普及,如果公司有条件,具有内部控制核心作用的账簿系统及财务报告系统应由计算机来实现控制功能。相应的,传统的对财务收支活动和会计资料的审计手段已越来越不能满足现代内部审计的需要,取而代之的应为计算机审计、对内部控制制度的审计。(6)提高内部审计人员的素质。内部审计人员业务素质,是决定内部审计工作质量和内部审计职业化进程的一个关键因素。为适应新形势对我国内部审计工作的要求,内部审计应该注重培养和造就一支政治素质过硬、业务技术精、工作作风好、综合素质高的复合型的内部审计人员队伍。首先,提高审计人员自身道德素养。提高审计人员自身的道德素养是将审计风险控制在最低限度的最根本保障。必须对内审人员进行职业道德教育,提高其道德修养和政策水平,牢固掌握国家财经法纪和企业规章制度。才能对企业财务收支和经营管理活动进行有效审计和客观、公正的评价,为企业经营管理者提供生产经营决策的科学依据。内审机关可编写职业道德专门教材,精选职业道德案例,树立典型,供同行学习。其次,提高内部审计人员业务能力。内审人员必须熟悉会计、审计、法律、税务、外贸、金融、基建、企业管理等方面的知识,需要具有全面的财务管理知识、系统的组织管理知识、物资采购和管理知识、必要的法律知识和公共关系知识,同时有较高的学习能力、综合分析和逻辑推理能力等。再次,加强内部审计人员的业务培训等后续教育工作。伴随着“知识爆炸”时代,内部审计理论和实务方法都在不断地发展。因此,内审人员应不断为自己“充电”,确保自身的专业胜任能力。审计机关也可举办培训班,组织内审人员集中学习法律、法规及有关业务知识,通过培训使内审人员及时掌握财务会计工作领域的最新动态以及可能出现的问题和审计的重点,有利于企业内部审计工作的开展。最后,强化内部审计人员的风险意识。随着市场竞争加剧,企业在经营过程中面临的风险也在不断增强,这就要求企业内部审计人员务必要强化风险意识,及时甄别企业所面临的风险,以便防患于未然。

严选名师 全流程服务

高顿教育 > 财务培训资讯 > 财务人员专题