一、当前企业内控评价体系中的现状及所存在的问题
1.无经常性自我报告制度。多数企业没有定期对内部控制的有效性进行自我评价并出具内部控制自我评价报告,这可能导致无法对企业内部控制的风险、控制的适当性及有效性、重大缺陷及问题、业务运作效率等方面进行整体评价,发现其中的问题,更无法对现有内部控制工作提出改进建议。
2.尚未建立风险分析、预警、应对机制。某些企业只有当风险发生时才采取措施加以补救,偏重于事后控制而忽视事前的预防控制,对突发性及临时性事件没有充分的考量,而按照以往的规律经验办事。具体表现在内部控制的相应条款上没有考虑到一些事项的变更情况及相应的处理情况,很可能在未来会因此而受到经济损失。
3.风险评估不及时。风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节。风险评估必须是动态的跟踪评估,有些风险因素是短时的甚至是瞬间的,需要立刻做出化解风险的决策,因此其时效性是至关重要的。目前有些企业仍处于阶段性的定期评估状态,有失对风险的及时主动控制,而滞后控制往往成效甚微。
二、加强风险导向内控评价体系的建立及完善措施
1.建立全面的内控评价体系
企业应定期对整个企业内控有效性进行评价,对内控评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任,管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。通过内控体系要素评分、内控审计并结合持续自我评估和专项评价的结果,对企业内部控制整体有效性进行评价。企业应指导风险管理部门的内控体系整体评价工作,审议内控体系有效性整体评价报告。
2.建立经常性自我报告制度
为了检查企业内部控制和风险管理体系的实施情况和有效性,本文建议企业应对管理和业务流程进行持续监控与分析、评价并汇报管控缺陷,并制定自身适用的内部控制评价办法,分析评价内部控制发现的缺陷,组织调查内部控制缺陷责任,制订内部控制缺陷整改措施并监督落实。
每一年度终了,监察审计部结合对企业内部控制的日常监督和专项监督的检查结果,对该年来内部控制体系的建立与运行的有效性进行全面总结和评价,出具企业内部控制年度评价报告,并上报审计委员会。审计委员会通过进一步的调查了解,形成《内部控制自我评价报告》,提请企业董事会审议批准。董事会和经营管理层针对评价报告中所发现的问题提出完善方案,监察审计部在审计委员会的领导下,对内部控制的完善情况进行跟踪检查。
3.建立风险评估机制
风险评估是及时识别、科学分析和评价影响内部控制目标实现的各种不确定因素,并采取应对策略的过程,是实施内部控制的重要环节,具体包括了目标设定、风险识别和风险应对,应该将风险评估上升到风险管理的高度,将风险作为控制的核心理念,而且以目标位导向能使控制方向更明确,从而控制企业的整体发展。所以风险评估必须是动态的跟踪评估。
并且,控制环境中包括的要素很多,但考虑成本效益原则,并不是所有的要素都有控制的价值。因此需要通对企业主要业务的特点进行分析,结合先前的管理经验,参照同行业先进内部控制管理企业的做法,对那些会影响有关控制目标实现的要素的风险程度进行合理的评估,对那些风险水平较高的可控因素实施控制,按以下流程进行评估:工作目标风险评估控制风险的措施。以工作目标为风险评估的起点,找出控制环境诸要素中可能导致工作目标不能如期实现的关键控制点,通过对其风险程度的评估,并采取科学控制风险的措施,积极有效地加以控制,从而保证其工作目标的实现。
4.健全风险管理机构
【关键词】 COSO报告;内部控制;风险管理
一、COSO背景
COSO委员会是由美国注册会计师协会( AICPA )、美国会计学会( AAA )、财务经理人协会( FEI )、内部审计师协会( IIA )和管理会计师协会( IMA )共同发起并出资组成的民间组织。该组织的宗旨在于通过商业伦理、有效的内部控制和公司治理提高财务报告质量。COSO的研究成果在美国以及全球会计、审计和证券界产生了深远影响,其中的一些概念和原理被写入了教科书,成为研究人员经常引用的经典;而且,随同报告的实务指南也为单位组织建立内部管理架构提供了十分有益的帮助,成为评价单位组织内部控制的标准。(柳木华 . 2006)。迄今为止,COSO委员会共了五部研究报告。
1987年,COSO了《反欺诈性财务报告全国委员会报告》,报告对财务欺诈的研究和分析没有简单地局限于独立审计师的查错作用,而是密切关注企业法律、金融和其他咨询顾问在财务欺诈中的角色,分析了企业经理班子价值观念和会计、内审与审计委员会的作用,触及了政府管制(包括SEC)和大学会计课程设置是否充分有效等问题。报告分别向公众公司、注册会计师、SEC以及其他法律部门、教育部门等提出了约100条建议。1996年,COSO发表了《金融衍生工具使用中的内部控制问题》,该报告模型认为,“风险管理过程需要理解实体的目标和经营活动,识别市场风险和测度承担的风险,然后决定是否使用衍生产品将风险降低到可以承受的水平。只要简单的忽略与衍生产品有关的部分并代之以其他合适的降低风险行为,这个过程就具有普遍性”。报告为衍生工具用户建立、评估和改善内部控制,提供了指导性建议。1999年,COSO利用1987-1997年欺诈性财务报告公司样本,在归纳其公司特征、控制环境特征、欺诈特征的基础上,了《欺诈性财务报告-1987至1997:美国公众公司分析》。报告探讨了三个欺诈高发行业——信息技术、保健和金融服务业的欺诈特点,发现三个行业的欺诈手段存在显著差异,如信息技术业最常见的欺诈手段是收入欺诈,而金融服务业最常见的手段是资产欺诈和资产盗用,并且研究了财务报告欺诈与公司治理之间的关系,发现欺诈样本公司与其所在行业标准相比,具有相当弱的公司治理机制。20 世纪在经历了70年代一连串财务失败和可疑的商业行为相继爆发后,国际社会又出现了更耸人听闻的以金融机构破产为代表的财务失败事件,给纳税人最终带来超过1 500亿美元的成本。为能有效遏制这种愈演愈烈的会计舞弊活动,1992年,COSO在进行了深入研究之后了一份关于内部控制的纲领性文件,即《内部控制——整体框架》,它标志着内部控制理论与实践进入了整体框架的阶段。报告提出了内部控制的五个重要组成要素:控制环境、风险评估、控制活动、信息及沟通与监督,深化了内部控制的理念和应用。COSO报告一经便得到了业界的认可与采纳,并在世界范围内产生了广泛影响。2001年以来,以安然、世通等为代表的一些美国大公司,因财务信息造假等行为而相继倒闭破产,震撼了美国的资本市场,引起了世界的极大反响。在国际社会对改善公司治理与加强风险管理的呼声日益高涨的背景下,2004年9月,COSO委员会结合《萨班斯一奥克斯利法案》的相关要求,颁布了一个概念全新的报告:《企业风险管理——整体框架》(ERM)。框架的出台顺应了各方需求,与1992年的《内部控制——整体框架》相比,在内部控制的内涵、目标、要素以及内部控制责任承担等层面有了全新的突破,对企业风险管理做出了更为详尽的阐述。ERM并没有取代《内部控制——整体框架》,而是基于并将其融入其中,全面推进了内部控制标准的发展。
二、COSO企业风险管理整体框架概要
COSO为企业风险管理确立了一个可普遍接受的概念,为各组织识别风险和实施风险管理提供了理论基础。ERM框架认为:“企业风险管理是一个过程,是由企业的董事会、经理层和其他员工共同参与,应用于企业战略制定和企业内部各个层次和部门的、贯穿整个企业,旨在识别影响组织的潜在事件,为组织目标的实现提供合理的保证”。企业风险管理是由人参与的过程而并非结果,企业必须将风险管理融入在日常的经营管理之中,并涉及企业的每个员工。风险管理能够识别对企业造成影响的潜在风险,能在一定程度上帮助企业实现合理的既定目标。
企业风险管理包含八个相互关联的要素:
(一)内部环境
内部环境是其他风险管理要素的基础,它由《内部控制——整体框架》要素中的“控制环境”演变而来,但包含了更为丰富的内容,如风险文化和风险偏好、管理哲学和经营风险、权力和责任分配、实践操守和价值观等。
(二)目标设定
ERM框架认为,企业的管理层在评估风险之前必须确立目标,并针对不同的目标分析相应的风险,这样管理当局才能识别影响目标实现的潜在事项。企业的目标可以分成四类:1.战略目标。与企业的使命相一致,是较高层次的目标;2.经营目标。与企业经营的效果与效率相关,旨在使企业能够有效地使用资源;3.报告目标。企业组织报告的可靠性,分为对内报告和对外报告,涉及财务和非财务信息;4.遵循目标。即企业经营是否遵循相关的法律法规。
(三)事件识别
指识别影响事件的内外部因素。潜在的事项,对企业可能有正面影响,也可能有负面影响。识别风险旨在于抓住机遇,或者在风险评估和应对阶段弥补风险对企业的影响。
(四)风险评估
是决定如何管理风险的基础,风险得到识别后,就需要对风险进行分析评估,这样,管理层就能根据被识别风险的重要程度来进行规划和组织,使通过风险管理这个过程识别和分析风险,并采取减弱风险影响的行动来管理风险。风险评估可根据不同的风险目标确定相应的风险评估方法,主要为定量分析和定性分析相结合的方法。
(五)风险对策
是在评估了相关的风险之后,所做出的应对、控制、转移、补偿风险的各种策略和措施。通常将风险对策分为规避风险、减少风险、共担风险和接受风险等四类。企业应在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事件发生的可能性和事项对企业的影响,并设计和执行风险应对方案。COSO认为,有效的风险管理是管理者的选择能使企业风险发生的可能性和影响都落在风险的容忍度内。
(六)控制活动
是有助于保证风险应对方案得到执行的相关政策和程序。管理当局应对企业所有系统进行控制,包括对信息系统的控制,通常控制活动和风险评估过程是联系在一起的。
(七)信息与沟通
信息是沟通的基础,沟通必须满足不同团体和个人的期望。企业内部和外部的信息必须以一定的方式进行确认和传递,以保证员工各自职责的执行和企业风险管理的有效运行。
(八)监督
COSO将监督作为评估企业风险管理质量过程的一个部分,即评估风险管理要素的内容和运行,以及评价某一时期执行质量的一个过程。该过程包括持续监督、个别评估或者两者的结合。
企业风险管理的八个要素是一个有机整体。风险管理不只是一个直线的过程,而是一个多元化的相互作用的过程。 各要素之间的关系是:内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;企业目标的制定,是风险管理的起点,是其他步骤的躯动力量;在企业目标已定的前提下,企业需要对影响目标的风险进行事件识别,进而对识别事件进行风险评估,风险评估驭动风险反应,影响控制活动;信息与沟通和监督贯穿于企业风险管理的全过程,并且可对其他各个组成要素进行修正(吴永澎 . 2006)。 三、COSO企业风险管理框架对内部控制标准的发展
(一)丰富了内部控制的内涵
COSO在《内部控制——整体框架》中将内部控制定义为一个受董事会、经理层和其他人员影响的过程,提出内部控制是为了实现三个目标,即:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。该定义明确了以下要点:内部控制是一个过程;内部控制是一个受人影响的过程;内部控制为了实现三个目标;内部控制过程的设计是为了提供实现内部控制目标的合理保证。这个定义比较宽泛,从某些角度来说,也存在一些片面性。而新的ERM框架则更加明确了对风险管理和保护资产概念的运用,并将纠正错误的管理行为明确地列为控制活动之一。ERM框架在原《内部控制——整体框架》所明确的要点基础上,进一步明确了以下内容:即,内部控制应用于战略制定;内部控制贯穿整个企业的所有层级和单位;内部控制旨在识别影响组织的事件并在组织的风险偏好范围内管理风险。由于ERM框架提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体,同时又涵盖了内部控制所有合理的内容。
(二)发展了内部控制的目标
针对《内部控制——整体框架》对企业战略管理方面关注不够的缺陷,ERM在目标中增加了一个新的目标——“战略目标”。使企业在追求短期利益的同时,从战略高度关注企业的长远目标和可持续发展。该目标的层次比其他三个目标更高。风险管理既应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。特定的战略目标虽然可以通过不同的战略来实现,然而不同的战略目标会给企业带来不同的风险。战略制定和风险偏好存在直接关系,在考虑达到战略目标的具体目标时,管理当局要鉴别与战略选择相关的风险,并且要考虑对这些风险的应对措施的运用(吴永澎. 2006)。此外,ERM整体框架还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告将财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中摘出的数据,如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
(三)拓展了内部控制的要素
COSO在《内部控制——整体框架》中提出了五个要素:即控制环境、风险评估、控制活动、信息和沟通、监督。ERM框架对这五个要素进行了深化和拓展,将其演变为八个要素。引入了风险偏好、风险容忍度和风险文化等概念,将原有的“控制环境”扩展为“内部环境”。这一修改使企业关注的范围不再局限于控制方面,而是从更宽阔的视野,以及更综合、更直接的角度考虑各种因素对风险的影响。并且将原有的“风险评估”要素发展为“事件识别”、“风险评估”和“风险反应”。这不只是对原“风险评估”进行的简单细化,而是意味着企业风险意识的增强和主动地管理风险。也就是企业风险管理综合框架强调应对所有事件,包括正面事件和负面事件进行综合识别,并且应将其以适当的组合方式加以看侍,并通过对固有风险和剩余风险的综合评价做出适当的风险应对措施,以减少经营偏差的发生及相关成本和损失,有利于企业抓住机会,及时调整策略,避免资源浪费,实现经营获利目标。
(四)明确了内部控制的责任关系
ERM框架认为,组织的每个成员都应对企业风险管理承担责任,并进一步划分了责任主体的等级:董事会在风险管理中扮演更加重要的角色——负总体责任,并被要求变得更加谨慎。企业风险管理的成功与否主要依赖于董事会,因为董事会需要批准组织的风险偏好;在企业风险管理中,CEO负有首要责任,并应对所有权负责,其他经理人员则起支持作用;风险部门管理者,财务部门管理者和内部审计人员等负有关键性责任;其他的企业人员负有按确定的指示和协议执行企业风险管理的责任。另外,企业外部利益相关者如客户、卖主、商业伙伴、外部审计师、监督者和财务分析师经常提供影响企业风险管理的有用信息。虽然他们并不为企业风险管理负责,但却是企业实施风险管理必须考虑的因素。
(五)创新了内部控制的风险观念
ERM 框架指出,企业风险管理的基本假设是,每一主体存在的目的是为其所有者创造价值。所有主体都面临不确定性,管理层的挑战就是确定在其为所有者创造价值的过程中,须在多大程度上接受不确定性。ERM把事件区分为风险和机会,事件可能有消极的影响、积极的影响或两者兼有。消极影响事件意味着风险,它妨碍价值创造或削弱现存价值;积极影响事件可以抵销消极影响或意味着机会。机会是一种可能性,即事件将会发生并积极影响目标实现、支持价值创造或价值保持。一个组织必须识别影响其目标实现的内、外部事件,区分哪些是风险、哪些是机会。管理当局要密切注意各层级的风险,并采取积极的管理措施。内部控制的目的不应是消极控制或防范风险,而是要主动管理风险。风险管理能使管理层有效地处理不确定性及与之相关的风险和机会,增进创造价值的能力,并在追求主体目标的过程中有效地配置资源,实现价值最大化。
【参考文献】
[1] 贾国军,李阳,杨秀玲. “从美国COSO报告的发展,看我国内部控制体系的完善”. 财会研究,2006.11.
[2] 宋怡萱,张翩. “COSO企业风险管理整体框架解析”.财会通讯,2006.3.
[3] 陈秧秧. “COSO《企业风险管理综合框架》简介”. 财会通讯,2005.2.
[4] 金小英,唐予华. “COSO风险管理报告内外部关系的解读与启示”. 财会通讯,2006.6.
一、控制自我评估的相关理论
1、定义。控制自我评估(CSA,ControlSelf-Assessment)也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估,国际内部审计师协会(I-IA)认为,控制自我评估是检查和评价内部控制的效率和效果的流程,其目的是为实现企业的目标提供一定程序的合理保证。国际内部审计师协会在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效、由管理部门和职员共同进行、用结构化的方法开展自我评估。中国内部审计协会2006年7月1日实施的《内部审计具体准则第21号———内部审计的控制自我评估法》(以下简称“具体准则第21号”),将控制自我评估定义为:是指由对内部控制的制定与执行负有责任的组织相关管理人员对内部控制进行评价的过程。2、控制自我评价的内容和方法。根据具体准则第21号,内部审计人员可以根据内部控制审计的目的与范围,确定控制自我评估的内容。控制自我评估主要包括以下内容:(1)确定组织整体或职能部门的目标,识别其主要风险;(2)评估组织内部控制的适当性、合法性及有效性;(3)确认内部控制重大缺陷或存在严重风险的业务环节;(4)评估组织非正式的控制及其有效性;(5)评估组织的业务流程及其运作效率;(6)对控制自我评估中发现的问题提出改进建议。同时,准则中提到“对公司控制自我评估的主要方法包括:专题讨论会、问卷调查法和管理分析法”,这也是目前西方国家通过20多年实践总结后普遍采用的三种基本形式。
二、控制自我评估与境外资产管理
根据业内的研究,已经总结出CSA为内控评价带来5方面的变革:(1)有效进行软控制的评价;(2)提升控制环境;(3)尽快找到并解决问题;(4)预测并控制风险;(5)使内审更具效率与效果。因此笔者认为:CSA这5方面的好处,结合石油行业境外资产的现状,适合推行应用于境外资产的运营管理中。本文将讨论重点放在境外全资子公司、境外联营/合营公司、境外油田非作业者三种投资或资产运营管理主体形式,先行阐述其管理特点和对应采取的主要审计形式,为接下来讨论不同投资形式下需建立不同的控制自我评价体系做好铺垫。1、境外资产运营管理形式。(1)境外子公司。境外子公司,顾名思义为境外注册成立的全资子公司,和境内子公司一样,拥有自己所有的财产,自己的公司名称、章程和董事会,以自己的名义开展经营活动、从事各类民事活动,独立承担公司行为所带来的一切后果和责任,涉及公司利益的重大决策或重大人事安排,仍要由母公司决定。主要被实施的审计类型为内部控制审计、经济责任审计等,且审计重点内容基本一致。(2)境外联营/合营公司。首先,联营企业不同于合营企业。联营企业是指投资者对其有重大影响,但不是投资者的子公司或合营企业的企业。当某一企业或个人拥有另一企业20%或以上至50%表决权资本时,通常被认为投资者对被投资企业具有重大影响,则该被投资企业可视为投资者的联营企业。投资者对联营企业只具有重大影响,即对被投资企业的经营决策和财务决策只具有参与决策的权利,而不具有控制权;而合营者对投资企业的经营决策和财务决策具有控制权,虽然这种控制权是共同控制。其次,境外联营/合营公司的审计权利与投资地位有密切关系,公司章程或伙伴协议中往往对审计的权利、范围等有详细规定,而且目前合作的伙伴往往也有其自身成熟的内部控制及评价体系,在此不多赘述。(3)境外油田项目非作业者。国际油气联合作业的合作方式中,除了投资者设立法人型合资企业(JV,JointVenture)作为联合作业公司负责油田作业外,更常见的是投资者以签署联合作业的方式,指定其中一方投资者担任作业者(operator),负责油气作业的日常工作,其他各方投资者作为非作业者(non-operator)。投资者各方指定代表组成作业委员会,决定油气作业的重大事项,作业者在遵循油气行业惯例和相关法律的前提下,按照作业委员会的决定及指示开展作业。目前针对这种联合作业的方式,已采取的审计方式是联合账簿审计,对象是作业者,内容主要基于联合账簿本身。但考虑到投资金额大、盈利依赖程度高,非作业者在作业委员会中被赋予的决策权力大,有必要追加控制自我评估,以对管理水平摸底。2、境外投资主要风险及中方角色参与控制风险的能力。业界已基本对石油行业境外投资的风险分析形成了共识,主要包括东道国政治风险、经济风险、技术风险、法律风险,这些风险主要来源于组织外部;但风险分析时,往往没有结合投资形式或境外资产管理的实施主体形式,对应分析其管理风险的能力。同时笔者认为,组织机构内部控制是否有效,将对外部风险的管理产生正面或负面的效果加倍放大。不同境外投资管理主体,中方投资方对风险的参与管理程度是有限的,三种形式比较下非作业者能力最弱,境外全资子公司最强。
三、不同投资形式如何开展控制自我评估
对于从未开展过控制内部评估的公司,建议基于成本、效益原则循序渐进地开展,摸索经验再举一反三。笔者根据一般大型企业现行的管理架构,建议如下步骤开展控制内部评估及设计模式。首先,按层级区分控制内部评估的范围。原因有三:一是单独为管理层和职能部门开展控制自我评估,能够提高其重视程度,加强参与感,并帮助内审人员快速地了解公司整体内控环境;二是不同地域海外投资主体面临风险不同,经营目标不同,内控体系也不完全相同,每个个体应具备单独实施控制自我评估的能力,设计独立的评估方案,反而更有利于了解其真实的管理情况;三是考虑到联合作业中非作业者的管理模式特点,其组织机构往往更“无形”,那么关键人员的技术能力和专业素质,尤其是对于石油合同和联合作业协议的内容和执行,往往是较“组织内控流程”这种形式更重要的,那么,控制自我评估的对象在这里就不是组织,而可直接设计为针对关键人员。层级展示如下:其次,确定了评估层级后,确定控制自我评估的开展顺序。笔者在此倾向于同时开展,开展初步方案为:最后,便是对所有控制自我评估报告的汇总分析,并形成控制自我评估报告。汇总分析过程中,由于三个层次的评估均使用问卷调查的方式,调查中应对公司关键风险点重复出题,从不同层面了解各层管理者对该问题的认知程度,如有必要,也可以进一步组织专题讨论,面对面沟通更有助于内审人员和管理层的信息交换与交流。三个层级各自形成独立控制自我评估报告,同时出具对公司整体内控实施情况的评价报告,形成后报母公司高管。
四、如何利用控制自我评估报告开展境外资产审计
内部审计人员应根据高管对三个层级各自控制自我评估报告的意见及评估结果,从开展内部审计业务的角度解读分析报告,笔者推测对内部审计人员至少应采取以下行动:第一,层级一的评估报告结果,将移交风险管理和内控制度建设的相关管理人员,重新进行管理风险方面的评级,并相应加强和完善相关内控制度建设。内部审计人员有必要对关键业务进行穿行测试的复核工作,排除评估参与人员主观因素的影响。第二,目前针对海外公司已开展内控审计,但现实情况是,以往开展内控审计时,内部审计人员不了解海外资产管理的相关复杂性,无法确定审计重点,往往采用通常的审计手段开展工作,审计结论也许会流于表面,不能实现审计目标,管理层阅读审计报告也无法获取其关注的信息。那么,基于此,层级二的评估报告结果,基于其真实反映了海外公司的管理情况,那么这份报告既可用于帮助内部审计人员有针对性地制定审计实施方案,同时,也是管理层管理决策的重要依据。第三,针对非作业者项目,中方实施的是联合账簿审计,审计的对象是作业者外国石油公司和其联合账簿,并未覆盖到联合作业委员会中的中方人员尽职情况。层级三的控制自我评估报告,期望达到的目的是至少了解这些关键人员对中方在该联合作业中掌握的权利是否熟知进而尽职的实施,以保障我中方的合法权益得到保障。当然,报告的结果也可帮助联合账簿审计师确定中方控制薄弱的方面,进而在向作业者实施审计时,重点、深入地开展测试、复核。
五、小结
“审计”现在是热门的名词,本文的目的除了从业务层面,探讨实施控制内部评估将大大助益内部审计工作的开展,同时,更是为了强调,审计或者内部审计,已经是企业风险管理的第三道防线。我们除了研究审计技巧、审计手段等,眼光仍应前置,从最有利于避免企业内控失效的方法开始,将内部审计放在次要或辅助的地位,这样意识形态下的组织,才更具有活力和持续发展潜力。
作者:周彤 单位:中国海洋石油国际有限公司
参考文献
[1]企业内部控制基本规范[S].财会[2008]7号.
[2]企业内部控制配套指引[S].财会[2010]11号.
[3]内部审计具体准则第21号———内部审计的控制自我评估法[S].中国内审协会,2006(7).
[4]李娜:企业内部控制自我评价体系研究[D].天津财经大学,2009.
[5]韵学飞:中国石油企业对外投资的风险分析[D].中央民族大学,2013.
企业体检同样有一套流程,那就是风险管理流程:首先,收集风险管理的各项初始信息,然后进行风险评估;其次,根据风险评估结果,确定出具体的风险管理策略;再次,根据风险管理策略,制定风险解决方案;最后,做好风险管理的监督与改进。
根据企业风险报告要求,企业体检主要包括以下内容:
第一,报告企业当前面临的各项重大风险。
企业体检报告既要反映纯粹风险,也要反映机会风险。所谓机会风险,指既可能会带来损失,也可能会带来收益的风险。对于企业而言,机会风险可能就是企业新的赢利点,把握机会风险的能力可能就是企业的竞争力。
第二,报告企业的重大风险管理基本流程执行情况。
企业不仅要“做”出体检报告,还要报告是如何执行重大风险管理基本流程的。第一步,收集风险管理初始信息。第二步,风险评估。第三步,确定重大风险的管理策略。第四步,制定重大风险的解决方案。第五步,重大风险的监督与改进。
第三,报告企业的全面风险管理计划。
企业风险报告要求,企业要说明董事会或经理办公会议对本企业全面风险管理工作提出的要求;企业建立健全全面风险管理体系的工作思路、工作目标和工作重点或全面风险管理的总体规划及相关工作计划情况。另外,企业还要说明本企业全面风险管理体系建设、风险管理文化建设以及风险管理考核等方面的有关情况等。
企业编报风险报告可能会有以下几种方式:
一是按照《中央企业全面风险管理指引》的要求,扎实推进风险管理工作。企业风险报告是工作的归纳和结果。
二是组织有关部门人员,按照企业风险报告的有关要求,进行工作梳理。企业风险报告是梳理的归纳和结果。
三是组织几个“秀才”或外部专家,关起门来“编写”报告。企业风险报告是编写的归纳和结果。
[关键字]合理规划 内部控制 绩效评价
内部控制绩效评价是企业发现内部控制设计的运行缺陷,抵抗风险能力的有效评估方式。企业管理层通过绩效评价提高企业内部控制建设中的主动性和约束性,将企业引入正规,加大监管力度。就投资者而言,企业绩效评估的内部控制状况是判断企业是否规范,评估投资风险的重要依据。企业内部控制的规范,在一定程度上可以指导企业的战略目标及未来前景。
一 构建企业内部控制缋效评价体系的指导思想
目前,在我国企业内部构建绩效评价系统还处于起步阶段。根据发达国家构建绩效评价的先进经验,对我国现代化企业制度的完善有很好的借鉴作用。企业内部绩效评价的理论主要有两个模式:第一种模式是在保证财务报告的可靠性的同时,根据财务编报制定符合会计原则的控制程序,其设计的总体规划由高层管理者决定和执行。管理层通过内部审计系统对外部公开评价报告,并对管理当局的有效性评价发表见证意见。第二种模式是企业董事会构建的企业内部控制下的绩效评估体系。董事会成员对内部控制进行定期的绩效评价并作出相应报告。报告中必须指出内部控制系统存在的风险,并提出防范意见。董事会制度下的内部控制绩效评价不需要对内部控制的有效性进行说明。注册会计师只需对董事会的绩效评估系统进行审查,不需要出具有效性报告。
基于以上两种绩效评估系统,笔者根据我国企业内部控制的现状。借鉴两种模式的成功经验,提出了构建我国内部控制绩效系统的指导思想,即立足国内外市场环境,通过制定强制性规范,以全面内部控制评价为基础,明确风险意识,以董事会内部评价责任为主要考核方式,依据导向性、成本效益,要充分体现风险意识,制定具有前瞻性、科学性及公正性的内部控制绩效评估系统。
二 构建企业内部控制绩效评价原则
1.以企业内部控制规范作为内部控制绩效体系的制定依据。我国企业内部控制规范是以企业董事会、监理会、经理层及全体员工为主题,以实现控制目标为目的的企业内部控制行为规范。它规定了企业内部控制的意义和内涵,是广泛意义上的内部控制。依据此原则,我国企业在制定内部控制绩效评价体系时首先要体现企业内部从高层管理到员工的参与过程控制,其次要提高标准合理的保证企业管理者的合法合规、财务报告数据真实可靠、企业内部的资产安全,促进企业实现既定的发展战略,确保评估系统的实用性、科学性和前瞻性。所以,企业在制定企业内部控制绩效评价系统时都应与企业内部控制规范相一致,将绩效评价涵盖所有环节及部门,充分体现公平性,而不仅仅是简单的财务内部控制。
2.通过强制规范制定绩效评价系统。借鉴国外内部控制绩效评价系统的制定。我们可以看出内部绩效评价规范具有一定的强制性。我国的经济环境正处于转轨时期,企业的投资环境不稳定,市场机制不够健全,企业内部控制环境不尽相同,抵御市场风险的体质参差不齐。所以,大部分企业实行内部控制绩效评估没有主动性,构建和运行评价上没有创新性。绩效评价系统指导规范的强制性是实行的可靠保障。强制性的规范可以保证系统体制的约束力,减少执行时的成本,且能够确保企业增强内部控制意识,有效的减少风险成本,提高企业的战略的实施价值。
3.构建风险意识下的企业内部绩效评价。企业的内部控制绩效评价根本目的是减少经营风险。内部控制的风险管理是绩效评价的重要内容,它包含在系统中,并贯穿始终。在制定企业内部控制绩效评价时要将风险意识应用到战略的高度,识别可能的潜在意识,使内部控制游刃有余的驾驭风险,为企业战略目标的实现提供。企业内部在构建时,要通过风险导向的内部绩效评价确定重点领域的关键问题,在提高控制评价的基础上,最大程度的结余内部控制度的评价成本。
4.构建具有科学性、前瞻性的内部控制评价体系。内部控制的绩效评价是企业行为的技术方法,在内容上具有科学性和前瞻性。企业在制定内部控制评价系统时要随市场的变化及自身的缺陷随时变化,实时更新,保持与时俱进的现实指导意义。企业内部控制评价系统的设计、执行控制及评价都是在一定的环境下完成的,从制定的准则上,定期对颁布的报告进行效果评估,及时补充或更换条款,一方面可以让公司管理层进行风险评估,另一方面防止过时的条款的阻碍。所以科学性和前瞻性在制定内部控制绩效评价系统中具有相当的指导意义。
三 根据内部控制目标的实现评估内部控制有效性
关键词:企业管理 COSO内控框架 启示
2013年5月14日美国虚假财务报告委员会下属的发起组织委员会(COSO委员会)正式了最新版本的《内部控制――整合框架》(Internal Control-Integrated Framework,以下简称“COSO新框架”)。COSO委员会同时设定了为期一年半的过渡期(2013年5月14日至2014年12月15日),要求使用者在过渡期内应当尽快地转换自己的应用流程和相关文件,以适应COSO新框架。COSO新框架所替代的原COSO框架随着萨班斯法案404条款的强制推行,目前仍是全球应用最为广泛的内部控制指导框架。在此背景下,为什么要COSO新框架?COSO新框架有哪些重要的更新?对于在美上市以及其他中国企业有什么启示?本文一一探讨。
一、为什么要COSO新框架
COSO委员会于1992年《内部控制――整合框架》(以下简称“COSO旧框架”),获得普遍认可和广泛应用,特别是为在美上市的公司提供了一个主要的使用框架,协助其依据《萨班斯・奥克斯利法案》第404条款的规定,提交有关财务报告内部控制有效性的报告。时至今日,这一经历时间考验的框架仍然被视为内部控制的设计和评估领域的前沿文件。
COSO委员会COSO新框架主要是基于持续优化的精神,考虑到过去二十多年来商业环境已变得大为不同。例如:对公司治理监督期望的提升;对风险以及基于风险的方法的更多关注;市场和运营全球化成为大势所趋;企业以及组织结构的复杂性不断提高,包括外包和战略供应商;科学技术的巨大进步;法律规范以及各种标准的要求和复杂程度也都大幅提升等。
此外,更重要的是大规模的治理和内部控制失效事件所带来的破坏性影响,如上世纪90年代金融衍生产品的彻底崩盘、美国长期资本管理公司事件、安然丑闻以及较近期的全球金融危机。这些失败案例进一步提示出内部控制需要关注的重点:管理层逾越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理不能统一协调、董事会监督无效,以及导致职能失调或渎职行为的薪酬结构失衡等。
虽然没有哪个内部控制框架能够应对上述所有问题,但毫无疑问,自COSO1992年版框架以来,已发生了太多改变。因此,鉴于这些变化,对旧版COSO框架进行更新,也是情理之中的事。此外,企业各层面对内部控制框架作用的预期越来越高,对其能防范和监测舞弊的要求不断提升,所有这些因素都推动了COSO委员会对已颁布二十年之久的框架做出更新。
二、新旧COSO框架的对比分析
新COSO框架文档主要包括两个方面:一是《COSO内部控制――综合框架(2013版)》,包括三部分内容:内容摘要、新的框架及多份附录以及提供解释性工具的应用指南。上述内容主要明确了内部控制的定义、企业内部控制目标、内部控制的基本要素及原则、内控有效性的相关要求等。二是《财务报告内部控制:方法和案例汇编》,主要就如何在财务报告编制工作中运用内部控制基本原则进行举例说明,对20年来商业和运营环境变化进行讨论分析,并提供了各类企业案例,如上市公司、私营公司、非营利组织、政府机构以及其他类型组织。对比2013版和1992版新旧两份COSO框架内容与思路,可归结为“三变,三不变”。
(一)COSO框架内容与思路的“三不变”
1.内部控制的核心定义基本保持不变。COSO新框架对内部控制的定义仍为:内部控制是一套由企业的董事会、管理层及其他人员实施的程序,以合理确保有关运营、报告以及合规的目标得以实现。虽然更新后的定义反映了报告目标的扩展(详见下文讨论),但整体结构与旧框架保持了高度的一致,仍是强调了内部控制的全员性、程序性以及对控制目标的合理保障性。
2.内部控制五要素基本保持不变。COSO新框架保持了控制环境、风险评估、控制活动、信息与沟通以及监控活动等五大要素。COSO新框架保持了:企业目标(即企业要力求实现的);内部控制要素(即企业实现目标所需要的条件);以及业务单元、法务单元以及企业内部的企业结构单元(即内部控制要素运行的各企业层面)等三者之间的直接关系的描述,仍然强调了每个内部控制要素都跨越和适用于所有三类目标。
3.评估内控有效性的原则与方法基本保持不变。在内部控制定义、立方体结构以及各个维度与COSO旧框架基本一致的基础上,评估内控有效性的原则与方法也基本维持不变。对于内部控制有效性的评估仍然是基于原则的方法,根据内部控制的五要素来进行评估。一个有效的、能够确保控制目标实现的内部控制系统,必须保证五个要素全部存在、发挥效用,并且共同运行。
此外,COSO旧框架下提出的自上而下,基于风险的评价原则、流程及控制的识别方式、风险及控制矩阵、包括穿行测试、控制测试在内的评估手段、控制缺陷识别、评价及汇总模式以及缺陷、重大缺陷和实质性漏洞的相关评估标准都保持不变。
综上所述,新旧二版COSO内控框架有许多相似之处,新框架在所有重大方面都与旧版本保持了本质上的一致性。
(二)COSO新框架内容与思路的“变化”
1.内部控制目标进一步扩展。与旧框架相比,COSO新框架扩大了报告目标范围,将原有的财务报告目标扩展到非财务报告目标。扩展后,报告目标总共涉及四类报告――内部财务、内部非财务、外部财务以及外部非财务报告(如内部控制报告、企业遵循ISO9001的情况报告、可持续性报告等)。除了外部财务报告外,其他三类报告均是新框架下增加的报告目标范围。这些变化一方面体现了近年来,投资者要求上市公司在提交财务报告的基础上提供更多非财务信息,以更好掌握企业发展状况与前景的需求;另一方面也反映出企业内部期望通过多类型的管理报告提升管控与预判能力的需求。
2.内部控制框架体系进一步完善。COSO新框架最重大的变化,就是明确列出了17项原则。所有原则均适用于运营、报告及合规三类控制目标,从而使新框架更加以原则为导向。为更精确地理解每项原则,新框架还提供了79个关注点。具体举例说明如下:控制环境要素的第一个原则是:“企业显示出对诚信和道德价值观的承诺。”新框架为该原则提供了四个关注点:(1)确立“高层态度”。董事会和企业各个层级的管理人员都需通过他们的指示、行动和行为证明诚信和道德价值的重要性,从而支持内部控制系统发挥作用。(2)建立行为准则。董事会和高级管理层与诚信和道德价值相关的预期都在企业的行为准则中进行定义,并得到企业所有层级人员以及外部服务供应商和业务合作伙伴的理解。(3)评价对行为准则的遵守情况、实施有关流程。根据企业的行为准则来评估个人和团队的表现。(4)及时处理变差情况。及时识别偏离企业行为准则的情况并予以统一整改。通过上述“17项原则+79个关注点”的模式,COSO新框架进一步充实了内部控制体系的内容,为企业实施新框架提供了更多的支持与指导。
3.内部控制框架进一步体现了时代感。一是新框架反映了科技日益深入所带来的变化。信息技术已经从用于处理批量交易的庞大的独立主机环境,发展为高度复杂、分散且移动的应用程序,其中不仅涉及诸多实时活动,并且横跨众多系统、组织和流程。日益先进的技术会影响所有内部控制要素的实施方式。二是新框架更深入地讨论了有关治理的概念。这些概念主要涉及董事会以及董事会的下属委员会,如审计委员会、薪酬委员会和治理委员会,从而进一步强调了董事会监督对有效的内部控制的至关重要性。三是新框架加强了对反舞弊预期的分析。新框架关于舞弊的论述明显增多,并且将舞弊单独作为内部控制的一项原则,并就此进行进一步的分析。
三、应对举措与借鉴
COSO新框架的实施对于国内企业会有哪些影响呢?总体来讲,分为两个层面:一是在美上市公司需要采取相应措施,完成新框架的转换工作;二是其他企业可吸收、借鉴新框架的核心原则要求,进一步完善以风险为导向的内控体系。
(一)在美上市企业应对举措建议
在美上市企业需要遵循《萨班斯・奥克斯利法案》404条款的要求出具内控评估报告。该评估报告需要列示企业所依据的内部控制框架。COSO旧框架将在过渡期(2014年12月15日)后废止,SEC的相关人士指出:“上市企业持续沿用1992年的内控框架,可能招致SEC就上市企业使用内控框架是否符合恰当的、公认的框架要求的质询。”因此,对于在美上市的近百家中国企业来讲,2014年需要完成由旧框架向新框架的转换工作。
转换过程中,企业应注重开展以下工作:一是评估COSO新框架的主要变化,以及这些变化对于公司内部控制体系建设及评估的影响。一般而言,这项工作开展的主要形式是对标,即将公司现有的控制手册中的流程或控制与新框架下的“17项原则+79个关注点”进行对比,分析公司控制手册是否已经满足新框架的要求。对标发现的差异可以通过以下两种方式进行处理:对于公司实际已经存在但尚未纳入内控手册的控制,需要在与相关职能部门沟通的基础上,识别对应的控制并纳入到控制手册中;对于公司实际缺失的控制,相关职能部门需要设计具体的控制并执行。二是更新公司的内控自我评估方法和流程,确保涵盖新框架中的目标、控制要素和17项原则。在美上市公司需要对2014年内控自我评估的方案进行自我审视,分析评估的内容与范围是否涵盖了新框架的主要部分。特别是对于前述对标发现的差异内容,需要补充到2014年内控自我评估的范围进行评价。三是根据更新的内控自我评估方法和流程对公司内控要素及17项原则进行整体评估。新框架并未就现行的控制测试、穿行测试、访谈等测试方式提出新的要求或调整,因此,企业在实施新框架下的内控自我评估时,主要的调整应集中在评估的内容上,以及对于一项特定的评估内容由原有的穿行测试调整为控制测试等。四是编制并保留相应的文档资料,形成管理层转换采用新框架的支持性资料,并就方法、流程中的重大变化与审计委员会进行必要的沟通。一般而言,保留的文档资料应包括管理层对新框架的差异分析、对标工作方案、对标工作底稿、内控自我评估调整说明、内控自我评估评价底稿,以及向审计委员会进行汇报的材料。
由于外部审计师也需要依据新框架开展2014年内控审计工作,因此,企业在开展上述工作的同时,需要做好与外部审计师的沟通与协同,了解审计师在执行新框架下的主要变更,对于企业做好自身的新框架遵循工作能够起到事半功倍的效果。此外,企业需要向外部审计师提供相应的新框架转换文档,以证实公司切实开展了有效的内部控制框架转换工作。
(二)其他企业应对举措建议
从2011年国内企业逐步全面推行企业内控规范体系以来,企业的内外部环境也发生了较大的变化。一方面随着企业内控规范体系的实施,企业内部的风控意识逐步增强,一些程序性不合规的操作大大降低。另一方面企业普遍面临转型发展挑战,开源节流,从内部控制中要效益已经成为企业管理层对内部控制的更高期望。因此,构建适合本企业的、以风险为导向、重点突出的内控体系日益重要。
COSO新框架根据全球经济发展的现状提出了一些关注重点,可以作为企业强化管控的重点。如,新框架强调了对外包业务的管控。当前,专业化经营是许多企业获取规模效益的主要手段之一。而外包业务也因此应运而生直至蓬勃发展。许多企业在享受外包业务带来的快捷、便利的同时,往往忽略了外包业务的风险。将企业的一项业务操作委托他方处理,如何保证受托方的工作质量符合本企业的要求,如何保证委托方不出现重大风险从而导致本企业受到波及,这里以委托投资为例进行简要说明。当企业运营产生较多剩余资金时,很常见的一种操作就是进行资本投资。由于资本投资本身具有较高专业性,很多企业会选择基金公司作为投资管理人代为进行资本运作。在选择投资管理人时,固然投资收益与产品报价是关注的重点,但是投资管理人的风控能力也需得到高度的关注。在美国、英国、澳洲、卢森堡、日本、中国香港等地的发达资本市场,投资管理人内控鉴证报告被广泛地纳入到需求方案说明书之中,成为各投资管理人参与发达市场竞争的基本准入门槛之一。该类报告为投资管理人根据具体鉴证准则,聘请第三方鉴证机构就投资管理人的内部控制设计,或内控设计及执行的有效性发表意见的报告,其目的是供委托人了解和评估投资管理人的风控情况,目前国际上较为常见的有ISAE 3402报告。企业作为委托方取得一份投资管理人的内控鉴证报告无疑会为企业委托投资资金的安全系上“安全带”。目前国内投资管理人出具内控鉴证报告的较少,也在一定程度上反映出企业对于外包业务风险的忽视。
此外,COSO新框架提出的17项原则,为企业持续优化自身的内控体系提供了借鉴。如:控制环境要素的第五个原则是:“企业对于目标实现过程中负责内部控制的个人实施问责。”该项原则强调了内部控制体系中“人”这一要素的重要性。企业在构建内控体系的过程中需要明确重点管控环节的控制责任具体在哪些部门、岗位。否则就会出现“事前无人评估风险、事中推诿转嫁工作、事后无法追究责任”的尴尬情景。
再如,风险评估要素的第三个原则是:“组织在整个实体层面识别可能威胁组织目标实现的风险,以便判断如何对这些风险进行管理。”该原则强调了企业在运行过程中会面临很多固有风险,对于这些风险有目的的收集、确认、分析,才能有针对性地应对这些风险。而在现实过程中,企业往往没有对风险进行系统性的分析,在进行经营决策时,对于风险的判断、分析甚至应对,更多依赖具体管理人员的既往经验或盲目执行。
控制活动要素的第三个原则是“组织通过制定政策(以明确控制期望)和具体流程(将控制期望转换为具体行为)来贯彻控制活动。”该项原则明确了内部控制的主要载体,即政策和流程。也就是说,只有将控制以政策、流程的方式固化下来,才能在一定程度上保证控制的落实与执行。由此我们可以得到的启示是,企业已经识别的控制措施是否都已经涵盖在具体制度、实务中。对于那些没有制度依托,靠口传心授、约定俗成传递下来的控制,是否需要加强评估与检查来确保控制的执行力。Z
参考文献:
(一)国内外重大财务舞弊案挑战公司的内部控制
1.国外安然公司事件
2001年12月2日,作为美国500强公司排名第七的美国能源业巨头安然公司正式向纽约联邦地方法院申请破产。安然事件引发了全世界一系列深层次、广泛的讨论。从表面上看安然公司的破产失败与其财务舞弊有着直接的关系,但从深层分析,与公司治理结构的不合理和内部控制实施中的缺陷和问题更有直接关系。安然公司正是利用了公司治理结构最薄弱的环节和内部控制上的缺陷,而且走得太远,才导致破产的。除了公司发生的重大财务造假问题外,许多专家学者都普遍认为,正是由于安然公司内部控制上的缺陷,诱发了财务舞弊,进而加剧导致了安然的破产。
国际上大量事实已证明,舞弊案件的出现与公司内部控制未能发挥应有的作用存在直接关系,这使人们不得不把关注的焦点从企业外部环境转向企业的内部控制机制方面,认为外部环境是外因,有效的内部控制机制是内因。因此,在全球范围内要求加强对公司内部控制的监管呼声日盛,人们逐渐地认识到,会计监管的第一要务是对内部控制的监管。
2. 国内公司财务造假事件
我国股市中虚假财务报告也时有发生,琼民源、郑百文、黎明股份、红光实业、银广夏等一系列会计造假案无不折射出内部控制问题。银广夏案件的天津广夏公司,就是由李有强一人担任董事长兼总经理,大大削弱了内部控制中的公司治理制度的相互制衡机制。高层管理人员交叉任职,董事会和总经理班子人员重叠,这种交叉任职的后果是董事会与总经理班子之间权责不清,制衡力度锐减。李有强大权独揽,常常集控制权、执行权和监督权于一身,并有较大的任意性,使内部控制中的公司治理制度难以奏效。
德隆系崩盘不仅牵连上市公司20余家,且市值超过200亿。江苏琼花事件同样造成新生中小板流通市值损失一度超过5.42亿,在一定程度上也是因为这些企业的内部控制形同虚设。
郑州亚细亚内部控制失败案例也使我们记忆犹新,该商场1989年5 月开业,1990年收入达1.86亿,1995年收入达4.8亿,引来当时全国30 个省市的200多家企业领导参观,、朱?基、李岚清等国家领导甚至也都参观过。但是由于在经营中控制环境失效,风险意识差,没有适当的控制活动,内部监督不力,信息沟通不畅,该公司于1998年8月15日关门。
(二)内部控制与财务造假
对于一个企业而言,要解决的管理上的基本问题可归纳为两个,一是激励问题,二是约束问题。这两个问题都与控制有着密切的联系。在管理活动中只有计划、组织和领导是远远不够的。人是容易犯错误的,即使大多数的人都具有良好的动机和意图,而少数别有用心的人更难免弄虚作假的行为。所以,要保证实现经营目标,就要检验进行的或已完成的工作是否同所拟定的计划、发出的指示和确定的原则相符合。旨在发现、纠正和防止错误,这就是控制。内部控制是公司的管理层建立的,为了保证财产的安全完整、信息披露的准确性和可靠性、提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法、程序和措施。内部控制是公司治理结构的有机组成部分,是完善公司治理结构的可靠保证。
有史以来的财务造假案的具体目的复杂多样,但归纳起来可形成两个主要的驱动,一是个人贪欲的驱动,二是粉饰公司业绩的驱动。在我国的企事业单位中,个人贪污犯罪的方式和手段各有不同。但是,所有的犯罪事实中有一个共同点是他们通过会计造假来实施犯罪,而会计造假的环境支持是单位内部控制的漏洞或失效。他们利用单位内部控制的漏洞和缺陷,大肆贪污、挪用公款,给国家和企业造成了重大经济损失。
国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析:
1.采取违反财务报告的内部会计控制的做法进行会计造假,虚构财务数据,达到粉饰公司业绩的目的。公司财务报告的内部会计控制的漏洞为会计造假的成功提供了可乘之机。世通公司就是利用公司财务报告的内部会计控制的漏洞进行会计造假,虚构了近100亿美元的利润。公司在2001年前三个季度对外披露的资本支出中,有20亿美元既未纳入2001年度的资本支出预算,也未获得任何授权批准,严重违反了内部控制。公司内部审计人员还查出了一笔既没有原始凭证支持,也没有授权签字的5亿美元的电脑费用。可见,公司财务报告的内部会计控制上的漏洞和失效,是许多公司财务舞弊频频得手的重要因素。
2.公司忽视风险管理与控制,一旦遭受风险时,便萌生了通过财务造假来维系公司业绩的动机。大量的研究已经表明,当公司业绩不佳或下滑的时候,公司更容易滋生会计造假的邪念。而大多数公司业绩不佳或下滑的主要原因是不重视内部控制中的风险评估与管理。国内外发生财务造假案的许多公司董事会和管理层都缺乏对公司风险管理活动的控制和评价,当风险来临时会措手不及、无力抵御,难以用真实的业绩来支撑高位的股价,因此铤而走险选择会计造假。在内部控制中的风险管理与财务造假的关系中,呈现出一种特殊的形式:公司忽视风险管理-风险来临时业绩下滑-进行会计造假粉饰业绩-造假行为被查出、曝光-遭到法律诉讼-破产解散。
上述分析表明,无论会计造假的目的如何,会计造假与内部控制都产生了一种必然的联系,因此,强化对公司财务报告的内部会计控制和风险评估与管理的监管势在必行。
二、安然事件前后美国对公司内部控制的监管
安然事件发生之前的较长一段时间内,从上世纪70年代末以来,美国各界就一直在争论公司在年度报告中是否必须提供内部控制报告以及独立审计师是否需要对内部控制报告进行评价和鉴证。由于存在一系列的争论,因此在《萨班斯——奥克斯莱法案》出台之前,虽然美国的个别法律对小部分金融机构要求提供内部控制报告,并经独立审计师的审计,但对大多数公司没有要求对财务报告的内部控制有效性单独披露和报告。在现有的独立审计的一般公认审计准则中,要求审计师通过执行审计程序,了解与财务报表审计有关的内部控制,以便计划审计工作。审计师除了通过内部控制的测试来获得有效性的证据并使用这些证据来调查个别金融机构外,很少单独提供内部控制有效性的报告。
安然事件发生后,包括注册会计师在内的会计监管问题引起了美国各方面的空前关注,其中最引人注目的就是2002年7月25日美国国会通过的《萨班斯——奥克斯莱法案》(以下简称《法案》)。该《法案》提出了很多加强监管方面的要求,本文只关注与公司内部控制有关的监管内容。在《法案》的404条款内部控制的管理评估中,要求上市公司在报告年度向证券交易委员会提交关于财务报告的内部控制报告,同时必须附有管理当局声明,说明管理层负有建立和维护财务报告的内部控制结构和程序充分有效的责任,并提供管理当局对公司财务报告的内部控制有效性的评估。上市公司的审计师必须对管理层的内部控制评估报告进行测试和评价,并出具评价报告和鉴证。《法案》404条款的这些要求实际上给以往的争论划上了一个句号,对美国现有的上市公司财务报告和注册会计师的审计报告内容产生了重要影响。
为配合《法案》规定的上市公司提交关于财务报告的内部控制报告以及审计师必须对管理层的内部控制评估报告进行审计的要求,美国证券交易委员会(sec)在规则中,对上市公司财务报告的内部控制报告的内容进行了具体的规定。包括:①管理当局建立和维护适当企业财务呈报内部控制的责任报告;②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告;③管理当局对到最近财政年末为止的企业财务呈报内部控制的有效性的评价;④一个声明,即会计师事务所已经对管理当局的财务呈报内部控制有效性评价意见的鉴证报告(陈汉文等,2005)。2004年美国上市公司会计监管委员会(pcaob)也了第2号审计准则,以满足404条款的要求。在第2号审计准则中,pcaob就有关财务报告的内部控制审计的目标,审计的程序、方法和具体步骤,审计证据的搜集,审计判断,审计意见的发表和财务报告的内部控制审计与财务报表审计的关系等,作出了具体的规定。
安然、世通等重大财务舞弊案件的曝光,引起了人们对内部控制中风险管理与评估的关注。2004年,coso提出了内部控制新的概念体系,即《企业风险管理框架》。这一框架中包括了风险管理的定义;企业风险管理的8个构成要素,即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督;4个风险管理目标,即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为,也有利于促进上市公司的持续发展,促进资本市场健康发展。
三、我国实施内部控制监管的问题和对策
对公司的会计监管涉及到很多方面,但从以上的分析中可以看出,无论是财务造假还是公司衰败,无不导因于内部控制的缺陷和失效。内部控制是实现公司的管理目标和经营目标的一整套支持系统。如果系统紊乱或不起作用,目标无从谈起。因此内部控制的监管是公司会计监管的核心和基础,是公司会计监管之本。
在我国,上世纪90年代起,政府才开始加大对企业内部控制的推动作用。1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1996 年12月财政部《独立审计具体准则第9号-内部控制和审计风险》,提出审查内部控制的规定。中国证监会2000年11月的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性作出说明。1999年10月颁布的《会计法》,明确提出各单位应当建立、健全本单位内部会计监督制度,这是我国第一部体现内部控制要求的法律。2001年6月财政部了《内部会计控制规范—基本规范(试行)》和《内部会计控制规范—货币资金(试行)》,随后又了采购付款、销售收款、在建过程、对外投资和担保等多项内部会计控制规范,对内部会计控制作出了专门的具体的规定。2001年中国证监会还颁布实施了《证券公司内部控制指引》。上述我国对企业内部控制监管的法规、制度相当不完善,主要表现在:一是对内部控制规范的要求明确,但缺乏对企业的内部控制评价、监督和检查等监管方面的具体措施;二是对内部控制监管的企业范围还比较窄,如证监会的规定只涉及到公开发行证券的金融机构。这种状况致使相当一部分企业的内部控制不存在或形同虚设。因此,必须有效实施对企业内部控制的监管,借鉴国际经验,故提出以下对策:
(一)企业内部监管
笔者认为,在内部控制监管实践中,来自企业内部的监管举足轻重,是重中之重。因为,第一,客观存在的外部人士与内部人士的信息不对称,会导致监管效果和监管质量的差异;第二,外部监管由于环境和条件所限,其监管行为往往发生在事后,而内部监管可以在事中进行监管;第三,内部监管实质上是一种自我监管,整个的监管都是建立在自我监管的基础之上的,没有一个有效的自我监管机制,整个监管无从谈起。众所周知的美国世通公司的100多亿利润的会计造假案,既不是注册会计师,也不是政府监管部门,而是公司的内部审计人员发现和揭露的,内部监管的重要性可见一斑。国内外对企业内部控制实施内部监管的具体执行机构都是内部审计部门。
我国企业的内部审计现状存在很多问题,比较突出的主要问题是:
1.内部审计机构设置不健全或形同虚设的现象比较普遍存在。长沙内部审计协会的一份调查显示:该市已开展内部审计工作的单位中,仅有32%的单位设立了健全的内部审计机构,还有不少单位没有设立内部审计机构,根本没有开展内部审计工作,甚至包括一些上市公司。
2.内部审计的独立性和权威性较弱,内部审计的作用大打折扣。多年来内部审计较弱的独立性和较低的权威性问题一直是阻碍内部审计产生良好效应的根本障碍。我国企业内部审计机构的设置基本上延用的是行政模式,内部审计部门与财务部门及其他职能部门平级,甚至隶属于财务部门,也有的由分管财务的副总经理或总会计师直接领导。由于内部审计的地位低下,使内部审计的独立性、内部审计职能的充分履行和内部审计目标的实现都受到了严重影响。常常是内部审计人员提出的合理的审计建议,不能被采纳或应用,甚至得不到审计回复。
3.内部审计各项职能的履行存在偏失。内部审计的职能应该包括监督、评价和服务。但长期以来,我国内部审计部门对各项职能的协调不够,在强调和偏重于某项职能时,会忽略其他的内部审计职能。近年来,不少企业偏重于服务职能而忽略了内部控制的监督和评价,对企业风险管理的评估在许多企业的内部审计中几乎是空白。
针对上述问题,为了加强企业内部审计工作,解决企业内部控制的自我监管问题,建议采取以下必要的措施:
1. 应强制要求所有企业必须建立内部审计机构或设置专职的内部审计人员。美国新的纽约股票交易规则要求,所有纳斯达克上市的公司必须有内部审计部门。我国应在有关的法律和法规中作出相应规定。
2.内部审计机构必须由审计委员会直接领导,并向董事会和审计委员会报告工作。审计委员会决定内部审计主管的聘用和解聘,以增强内部审计的独立性和权威性。
3.内部审计部门应加强对企业内部控制的评审。国家审计署在2003年3月的《审计署关于内部审计工作的规定》中,明确规定了内部审计的职责之一是对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。内部审计在履行其职能时,应加强对企业内部控制的评审,定期对内部控制设计和实施的有效性进行评估,并提出评估报告。
4.内部审计部门应有效开展对内部控制中的风险评估的评审
风险评估,是指组织管理层对影响组织目标实现的不确定性事件的评估。风险评估是组织内部控制的要素之一,也是组织风险管理过程的组成内容。建立、健全风险评估机制并使之有效运行是组织管理层的责任。内部审计机构和人员应当充分了解组织的风险评估工作,审查和评价其充分性和有效性,以协助组织管理层进行有效的风险管理活动。在完成风险评估过程的评价之后,内部审计应当对组织管理层是否根据风险评估结果采取适当的风险应对措施进行进一步的评价。内部审计人员应向组织适当管理层报告对风险评估的审查和评价结果。对风险评估的审查和评价结果一般包括在内部控制审计报告中。
5.强化公司审计委员会制度,改变目前对建立审计委员会的非强制性要求,将建立审计委员会的要求写进公司法。
(二)企业外部监管
1.政府监管
我国政府对企业的会计监管主要是国家证券管理部门和国家财政部门。中国证监会和证券交易所的监管对象是上市公司,监管范围是公司治理和信息披露。我国现行的公司治理准则和信息披露制度中,有关对内部控制的监管要求所见无几。现实中很多上市公司的定期报告中都很少提及内部控制实施和公司风险管理的评估情况。虽然在定期报告中增加了“管理层讨论与分析部分”,只是要求公司管理层对报告期内发生和将要发生的重大事项对公司经营成果和财务状况的影响进行讨论与分析。但是,没有对所有上市公司就其内部控制实施情况提出集中、明确和普遍的评价要求。为加强财务报告的内部控制,从机制上遏制财务舞弊,应修订上市公司年度报告披露准则,要求上市公司在年度报告中增加公司内部控制报告,并要求注册会计师提供公司内部控制评审报告。公司内部控制报告应不仅限于财务报告方面的控制,也应包括风险管理与评估的控制。
财政部的监管对象是所有企业,监管范围是会计核算与会计监督。虽然目前的《会计法》明确要求企业要建立、健全内部会计监督制度,并且财政部已经了一系列内部会计控制规范,但对内部控制监管并无具体措施和要求。在国务院的《企业财务会计报告条例》中,对企业的半年和年度财务报告要求提供会计报表附注和财务情况说明书,但其中都没有涉及到企业内部控制情况的说明。可见我国目前在财务报告体系中对企业内部控制的监管措施仍然是苍白无力。应在财务报告的构成内容上要求企业在年度财务报告中增加内部控制报告,尤其是关于财务报告的内部控制报告,并要求凡是企业财务报告须经注册会计师审计的,同时要求注册会计师对企业内部控制报告进行审计。
2.社会监管
(一)美国COSO的《内部控制——整体框架》 1992年COSO 委员会的《内部控制——整体框架》专题报告首次提出内部控制整体框架概念,构建了以三个目标为指导,五个要素为条件的内部控制框架结构。(1)内部控制框架的三个目标。内部控制的目标可以概括为经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性三个方面。经营效率和效果是企业董事会和高级管理层的利益要求。财务报告的可靠性是内部管理者、投资者及其他利益相关者的利益要求。法律法规的遵循性主要指内部控制要符合立法及监督机构制定的相关法律法规的要求。(2)内部控制框架的组成要素。控制环境、风险评估、控制活动、信息和沟通、监督构成了COSO内部控制框架的基本要素。控制环境是内部控制运行的基础;风险评估包括风险识别和风险分析两个方面,是管理层识别、分析、应对经营管理活动中各种内外部风险的活动;控制活动包括控制制度的制定与控制制度的落实;信息和沟通是组织内部以及组织与外部的信息传递与交流活动;监督是为保证内部控制有效运行而进行的管理活动和监督活动。(3)内部控制框架评价标准。控制环境方面包括诚信与伦理价值观、董事会或审计委员会的设置运行情况、公司权力分配与制衡、人力资源政策与实务等内容。风险评估包括设置恰当的风险目标、建立有效的风险预警系统和准确的风险评估体系、及时有效的风险应对体系。控制活动评价包括公司内部规章制度是否覆盖主要业务领域、是否符合相关法律的规定、是否存在漏洞以至于违规活动有可乘之机等。信息与沟通主要从信息传递的及时性、准确性,以及沟通的无障碍三个方面进行评价。监督评价包括全面参与控制、及时发现问题和持续改进等方面。
(二)加拿大CoCo的《评估控制指南》 隶属于加拿大特许会计师协会的控制标准委员会(Criteria of Control Board,简称CoCo)在1995年了《控制指南》,系统阐述了内部控制的定义、要素、参与主体、原则等内容,对主体控制系统的设计、评估和报告提供了指导,1999年的《评估控制指南》进一步补充了内部控制评估报告的程序和标准,由此形成一个由“行动”联接的以“四大基本要素”为框架的体系。(1)CoCo《控制指南》的目标。CoCo在《控制指南》中界定了“控制”的三类目标,分别是经营的效率和效果、内部和外部报告的可靠性、遵守适用的法律、规章及内部政策。(2) CoCo《控制指南》的要素。CoCo《控制指南》将控制要素分为目的、承诺、能力、监督与学习四个方面。控制的目的是确定企业发展方向,明确可能存在的风险与机遇,具体包括公司使命、愿景、发展战略等;控制承诺是对企业员工价值观和行为的统一;控制能力是对员工完成控制活动所需知识、资源、技术等方面的要求;控制监督与学习是企业持续监督与改进的要求。(3)CoCo《控制指南》的评价标准。CoCo在内部控制整体框架的基础上提出了内部控制的基本原则,成为联结内部控制框架理论体系与内部控制实务操作的纽带,为内部控制评价标准的确立提供了依据,《评估控制指南》确定的评价标准见表1。
(三)英国的Turnbull指南 Turnbull指南于1999年并于2005年进行了修改,建立了以“风险”为导向的内部控制指南。(1)Turnbull指南的目标。一是通过内部控制识别、分析公司经营过程中的经营风险、财务风险和其他影响公司目标实现的风险,及时做出适当反应以保证目标的实现。二是持续、可靠的获取组织内外产生的信息,及时可靠的记录和处理以提升内部报告和外部报告的质量。三是促使员工遵守组织内部政策、商业道德,遵守外部相关法律、规章制度。(2)Turnbull指南的要素。英国Turnbull指南组成要素与美国COSO的“整体框架”构成要素基本一致,其内部控制框架分为四个要素:风险评估、控制环境和控制活动、信息与沟通过程、监督。(3)Turnbull指南的评价标准。一是董事会负有审查内部控制有效性的责任;二是审查内部控制有效性的过程;三是董事会应就以下事项发表声明:风险识别、评价与管理的程序、制度,在年度报告中就程序、制度的有效性进行评价;确保董事会有关内部控制的声明有完整的文档记录、真实反映董事会内部控制系统过程,但不需要出具内部控制有效性的审计报告。
(四)日本的《金融商品交易法》 (1)《金融商品交易法》的目标。一是确保公司业务活动的有效性和效率性;二是确保对财务报表及对公司决策具有重大影响的信息的准确、可靠;三是确保公司业务活动在法律、法规范围内进行;四是资产安全性,确保资产取得、使用、处置按照规定进行。(2)《金融商品交易法》的组成要素。一是控制环境,控制环境是影响组织内成员控制意识并对其他要素产生影响的因素的综合。二是风险的评估与应对,风险评估指识别妨碍组织目标实现的因素确认为风险,并对风险性质、程度做出评价,以为风险应对提供依据。风险应对指在确定风险程度、风险性质的基础上选择规避、降低、转移或接受等措施并实施对应的程序。三是控制活动,旨在保证管理层命令和指示得以执行的政策、章程、流程、管理办法等。四是信息与沟通,甄别、筛选及处理信息,确保有用信息在组织内部、外部及利益相关方间准确传递。五是监控,连续性的评价内部控制的有效性,以对内部控制运行中存在的问题进行纠正。六是信息技术的应对,应用信息技术以提高内部控制,以及制定合理的政策、程序应对业务活动过程中组织内外对信息技术的要求。(3)《金融商品交易法》有关内部控制评价标准。一是内部控制审计的目的。准则要求注册会计师要对财务报告中管理层编制的内部控制报告进行审查,审查的内容包括公司当前内部控制评价的范围是否恰当,需要说明确定内部控制范围的合理依据,要对管理层报告自我有效性评价、以及内部控制重大缺陷报告发表意见。二是内部控制的范围是对企业内部控制整体进行评价,并根据评估结果确定与财务报告质量相关的重大事项,包括虚假信息、关键风险因素等,并对与这些因素相关的内部控制进行评价。三是强调内部控制审计与财务报表审计的协同,即要求内部控制审计由公司财务报表审计单位的统一审计人员负责,内部控制审计取得的证据和财务报表审计过程中取得的证据可以通用。四是可合并内部控制审计报告和财务报表审计报告。注册会计师要对公司管理层内部控制评价报告发表审计意见并在原则上可以和公司财务报表审计报告合并编写。
二、内部控制评价标准的国际比较
(一)内部控制的界定 COSO认为内部控制是为保证组织目标实现实施的一系列管理活动的总和,内部控制有效性就是保持内部控制的过程在每个时点上都处于正常的状态,是一种过程管理。CoCo《控制指南》认为“控制”比“内部控制”更合适,是主体要素的集合体,这些要素包括资源、文化、任务等。英国Trunbull指南认为内部控制是一个将组织风险控制在可接受水平的系统。日本《金融商品交易法》认为内部控制内含于业务活动之中,是保证组织经营目标实现的系统。各国对内部控制的定义存在一些差异,COSO是从管理过程的角度来进行界定,而CoCo认为“控制”没有“内部”与“外部”之分,是组织各种“控制”要素的集合。Turnbull 指南和《金融商品交易法》认为内部控制是组织的一个系统,在范围上要大于过程。
(二)内部控制目标的比较 COSO报告中的内部控制目标综合考虑了不同利益主体的要求,划分了三类内部控制目标,体现了维持企业经营的基本要求,但缺少对企业战略的规划,降低了组织应对内外部环境变化的能力,为此,COSO在此后的《企业风险管理——整合框架》(简称ERM 框架)中增加了企业战略这一目标。CoCo《控制指南》中内部控制三类目标与COSO基本一致,但其目标体系的内容更广泛,在报告服务对象上既要服务于外部债权人、投资者、政府等,还要服务于公司管理层,使得“控制”更有利于组织主体要素更好的发挥作用。CoCo内部控制目标不仅要求公司遵循各种外部法律法规,还要求公司内部规章、政策得以落实,以上两点都表明CoCo比COSO更加关注企业管理的需要。Turnbull 的内部控制指南从风险的视角来认识内部控制系统,认为内部控制旨在将风险控制在一个可以接受的水平内,风险可以识别、控制,但不能消除。相比于COSO框架,虽然内部控制在分类上相似,但它们的立足点有所不同,COSO框架强调通过一系列的“过程”来满足不同利益群体的目标以维持企业的生产经营,而Turnbull指南则强调控制风险来保证公司资产安全和投资者利益。日本《金融商品交易法》借鉴COSO以及其他国际通行的内部控制目标,结合本国国情增加了“资产保全”。
(三)内部控制要素的比较 COSO的内部控制五要素虽然内容广泛,但彼此之间具有密切的联系,内部控制不再仅仅是制度、措施,更重要的是意识、环境、价值观等软控制,这是对以往内部控制研究的重大突破。CoCo《控制指南》按照员工执行任务过程中的关键环节划分控制要素,这是因为CoCo《控制指南》认为员工必须理解企业目的才能朝着正确的方向努力,而员工能力则是其努力的基础,员工承诺是员工为企业持续、积极努力的保证。监控与必要的改进措施是员工调整自身行为以适应环境要求的必然措施,尽管表述与划分形式不同,CoCo《控制指南》基本包含了COSO的内部控制要素。Turnbull 指南与COSO 报告的不同在于Turnbull 指南认为风险是内部控制活动的“线”,将整个内部控制活动贯穿于企业整个业务活动过程中,而COSO 报告则将风险作为内部控制活动的一个“点”。日本《金融商品交易法》在国际通用的五要素之外加入了“信息技术的应对”这一要素,以体现信息技术对组织内部控制的影响,以及借助新技术强化内部控制效果的趋势。
(四)内部控制主体的比较 COSO报告作为内部控制体系发展进程中的里程碑,其突出贡献就是将“人”作为内部控制体系的核心,明确了内部控制过程中的责任主体问题,在COSO 报告中,管理层要对内部控制的有效性负责,并对对外的内控有效性评价报告负责。CoCo《控制指南》下整个组织的控制活动都是围绕“员工”行为进行的,更加准确的反映了员工作为组织行为主体的组织和运行方式。Turnbull 指南与COSO的不同在于将董事会作为内部控制的责任主体,管理层则通过落实监督责任来保证内部控制的有效性并对内部控制有效性提交报告。董事会要对管理层提交的内部控制报告进行审查并在年度报告中内部控制有效性的声明,这与COSO报告将内部控制主体限定在CEO以下的做法有较大的不同。日本《金融商品交易法》也以管理层作为内部控制的主体,但其更强调组织内的所有人员,而COSO则更注重公司的实际管理人员。
(五)内部控制外部审计的比较 COSO要求审计师对公司的财务报表和财务报告中的内部控制同时进行审计,而Turnbull指南只要求对董事会的内部控制声明进行审查但不需要对公司内部控制有效性出具审计报告,其原因是Turnbull指南更强调为公司设计、评估、报告内部控制以及公司治理服务而不是达到有关内部控制的最低法定要求。日本在《财务报告内部控制的管理层评价与审计准则》规定内部审计是审计人员对管理层有关内部控制有效性的评价结论表明审计人员的意见,而不直接对内部控制构建与运行状况进行验证。
三、我国内部控制评价标准的建立
(一)控制环境 内部控制运行的条件和基础,主要包括企业管理理念、人力资源政策、业绩考核体系等与企业目标和风险管理有着密切联系的因素,组织成员的知识技能、胜任能力以及职责权限划分的合理性,法人治理结构、公司组织结构的健全有效性。
(二)风险评估 风险评估的全面性,即组织业务活动的相关信息是否能够及时传达给风险管理部门及人员。组织识别、评估组织持续经营过程中存在的经营、财务及其他风险的能力,决定这一能力的因素包括风险管理人员的胜任能力、有效的正式或非正式程序。
(三)控制活动 从资产保全、内部牵制、授权审批、预算管理、信息化、内部报告、成本费用、业务、风险控制等方面制度建设、流程安排等评价控制活动的全面性,考虑内部控制活动的灵活性以评价是否能够适应风险、经营的不确定性。
(四)信息与沟通 企业信息系统的完整性和信息处理的及时性、准确性,企业是否存在正式与非正式的沟通渠道,保证信息在内部传递的及时、准确,保证企业与客户、供应商等存在沟通机制与追踪程序。
(五)监管 董事会对于内部控制活动的安排,内部审计对内部控制活动的监管,有关内部控制活动的改进建议是否得以落实。
参考文献:
[1]王惠芳:《内部控制缺陷认定:现状、困境及基本框重构》,《会计研究》2011年第8期。
[2]周爱慧:《内部会计控制评价指标体系及其评价》,《审计研究》2011第2期。
[3]董美霞:《增强企业内部控制评价效果的思考——基于〈企业内部控制指引(征求意见稿)〉》,《审计与经济研究》2010年第1期。
[4]张龙平、陈作习、宋浩:《美国内部控制审计的制度变迁及其启示》,《会计研究》2009年第2期。
[5]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
[6]杨雄胜:《内部控制理论研究新视野》,《会计研究》2005年第7期。
[7]李心合:《内部控制:从财务报告导向到价值创造导向》,《会计研究》2007年第4期。
关键词:风险导向审计 内部控制 内部控制评审
一、内部控制与审计模式的演进
(一)内部控制的内涵
内部控制的形成经历了历史的发展过程,主要分为六个阶段:内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段和风险管理框架阶段。
在内部控制制度阶段,美国在1992年反欺诈性财务报告委员会(COSO)《内部控制――整体框架》,这是内部控制整合框架阶段的最重要文件之一。2004年COSO委员会《企业风险管理――整合框架》充分反映风险管理框架阶段的特点。
(二)审计发展的三种模式
审计模式是为了实现特定的审计目标所采取的审计策略、方式和方法的总称。审计模式经历了账项基础审计、制度导向审计和风险导向审计三个阶段。
账项基础审计运用于早期的审(20世纪初以前),当时企业的组织结构简单,业务性质单一,审计主要以审查账目有无舞弊为目标。
制度导向审计形成于20世纪40年代,随着企业规模扩大和业务量的复杂程度加深,抽样审计的准确性无法得到可靠的保证,因此评估结果显示内部控制有效,可缩小检查范围或简化其审计程序。
风险导向审计发轫于20世纪80年代,它是一种理论驱动的审计模式,可表示为:审计风险=重大错报风险×检查风险。在审计实务中,通过评估风险以确定重大错报风险。
(三)内部控制与审计发展的内在联系
内部控制的演进和审计理论的发展是密切相关的。对内部控制的深化认识是社会经济发展的需要;而内部控制理论的发展,对审计又有重大影响,特别在审计模式的变化上,内部控制的引入推动了帐项基础审计模式向制度基础审计模式发展。
二、现代风险导向审计的内涵、特点及在实施中的障碍
(一)现代风险导向审计内涵
现代风险导向审计模式遵循的思路是“企业战略分析――经验环节分析――财务报表剩余分析”。它反映了现代风险导向的审计内涵。风险导向审计程序包括制定审计计划、实施审计程序和编制审计报告。
制定审计计划,通过对企业的了解,识别和评估重大错报风险,将制定的审计计划风险降低到可接受的水平。实施审计程序,选择恰当的审计方法,实施有针对性的审计。编制审计报告,包括终结审计报告和后续审计报告的编写。终结审计报告是对审计结果的总结,主要披露风险和提出建议。但终结审计报告并不意味着审计的结束,还应执行后续审计,对于控制目标未实现而产生的风险和影响进行再评估。
(二)实施风险导向审计的制约因素
当前,我国企业内控制度还比较薄弱,风险导向审计的实际运用存在难度,主要有以下几方面:法律法规不完善,监管力度有待加强。内控制度不完善,不能充分支持风险导向审计的实施。审计软件不能完全满足审计需求,行业数据库有待建设。
三、风险导向审计与内部控制评审结合的必要性
(一)内部控制评审基本含义
内部控制评审是指“对内部控制进行评价与审计的动态过程,包括调查、测试、审查、评价等”。通过了解、测试与会计报表相关的内容控制来评价风险,修订审计计划和实质性测试的性质、时间和范围。
通过以上分析可看出,内部控制制度状况与风险导向审计状况,两者都存在不足之处,因此,将两者结合起来应用,有着理论和现实上的必要性。
(二)风险导向审计与内部控制评审结合的理论基础
首先,内部控制是实施风险导向审计的基础,审计人员对被审计单位的内部控制制度进行评价,根据其有效性设计相应的审计程序。
再者,现代风险导向审计,注重审计过程中内部控制的评价。这给风险导向审计和内部控制评审的结合提供理论的可能。
(三)风险导向审计与内部控制评审结合的现实需要
首先,风险导向审计有助于改善内部控制失效的状况。风险导向审计分析被审计单位的风险评估过程、控制活动和内部监督等,能够改善内部控制失效的现象。其次,风险导向审计有助于控制事前风险。内部控制对偶尔发生业务或异常现象只能进行事后反馈,而风险导向审计可将内部控制评估的关口前移,最后,有效的内部控制能提高风险导向审计的效率。审计单位内部控制的评估其效果直接决定了审计程序采用的方案及审计的效率。
四、风险导向审计与内部控制评审结合方法探析
(一)风险导向审计与内部控制评审结合方法思路
风险导向审计应与内部控制相结合的思路,就是从评估内部控制的目标出发,分析企业的具体状况,确定企业面临的各种风险并按大小进行排序,筛选出风险较大的项目和部门,然后设计相应的审计程序进行评估,最后评价实际控制措施是否有效。下面是具体的过程:
从宏观环境到微观项目。风险导向审计只有全面了解、分析企业所处的内部和外部环境,才能确定企业面临的风险,找出存在重大错报风险的项目。
对重点项目实施有针对性审计。经风险分析,确定审计项目,设计相应的程序进行重点审计。
(二)风险导向审计与内部控制评审结合的支持
通过对风险导向审计与内部控制评审相结合思路的分析,两者的结合是可行的,但在现实的审计实务工作中,除认识两者的关系外,还需以下两方面的支持:
对审计人员进行培训,提高综合能力。除培训财务会计和审计知识,还包括法律、企业管理、工程管理等相关知识。
进行信息化建设,建立数据库系统。这可减少审计人员收集信息的时间,审计软件也能帮助快速的识别和评估重大风险。
参考文献:
[1] 《企业内部控制基本规范》,2008年
购物车(0)