企业内部控制评价

内部审计应在内部控制活动中发挥积极的作用 发布日期：2009-12-22 字号： 大 中 小 内部控制是人类社会生产力发展到一定阶段的产物，也是管理现代化的必然产物。内 部控制在国外经历了几十年的发展，逐渐形成了以保障经营效果与效率、会计报告准确、 经营合规合法为主要目标的一套相对完整的体系。内部控制引入我国后，由于我国企业所 有制的差异，以及文化背景、管理方式的不同，形成不同区域、 不同行业、不同规模的企 业处在不同的发展阶段，尤其是当前大中型企业不断向现代企业制度推进，企业处在深刻 变革之中，企业经营的市场环境、法律环境也在不断变化和成熟，针对这一历史阶段的特 性，我国企业应该建立怎样的内部控制体系，内部控制如何更加有效地发挥作用，财政部 证监会 审计署 银监会 保监会五部委于 2008 年 5 月 22 日联合颁发了企业内部控制基本 规范 ，自 2009 年 7 月 1 日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执 行。在此推动下，越来越多的企业重视内部控制系统，并逐步建立了自己的内部控制体系， 促使企业的管理水平不断提高。内部控制的范围也已由传统的会计控制逐步扩展到管理控 制、经营控制和风险控制。不仅优化了企业的管理和增强了企业竞争实力，而且保障了资 本安全、维护资本市场稳定。但从总体上看，我国企业的内部控制建设还处于起步阶段， 许多企业仍未建立完善的内部控制机制，内部控制的效果还难以发挥，内部控制评价制度 依然缺失。去年以来，爆发的世界金融危机，使我国很多出口导向型企业蒙受了很大损失， 企业是否需要更加完善内部控制和风险管理，直观地看，这其中有些企业已按照 COSO 框 架，建立了内部控制和风险管理，但一些政策和流程没有紧密结合企业的实际，没有有效 地去执行内控。要使内部控制有效，就要充分发挥企业内部审计的作用，因为内部审计是 企业内部控制体系的重要组成部份，内部审计隶属于法人或董事会管理，地位相对超脱。 内部审计已从传统的以查错纠弊为主的财务审计转向管理审计、效益审计、风险审计和内 控审计，审计的职能从传统的监督评价拓展到咨询与服务。内部审计与内部控制，两者之 间存在着互动共进的关系，内部控制方向就是内部审计方向，内部控制的内容也就是内部 审计的内容，内部控制的关键部位也就是内部审计的重点。内部控制成为内部审计的“定 位器”内部审计既是内部控制系统中的一个重要系统，同时又是控制系统的再监督再控制， 在控制系统中具有不可替代、举足轻重的地位。 内部审计已成为企业内部控制不断完善、不断提高的“测试仪”与“助动器” 。针对当 前企业内部控制建设与运营情况，内部审计应在内部控制的以下几方面发挥更加积极的作 用。 一、优化控制流程，提高运营效率和效果 内部控制是一种科学、规范的制度，从机制上强调控制的成分大于效率的成分。内部 控制的基本载体是流程，内部控制越严谨，流程相对就越长，效率也就相对下降。通常意 义上的内部控制，是通过在企业运作链条上增加环节点来实现的，这就使得企业的各业务 和财务的流程过长。增加了控制环节，延长了流程，经营的安全性也就有了相应的保障， 但是长流程带来的直接后果就是，冗繁的流程降低了企业的效率，影响企业的经营成果。 这里内部审计要注意的是，作为规范制度一旦确立，容易僵化地执行，对外部和内部的变 化,反应迟钝，因而造成较大的效率损失。当前国家与国家的竞争基本体现在企业与企业的 竞争上，我国企业尤其是国有大型企业肩负着国家经济发展、经济立国及与跨国公司竞争 的重任，正处于高速发展、震荡整合期。这个阶段的企业速度、效率、规模是第一位的， 企业的内部控制应该充分释放经营效率上。此时，内部审计应从大局考虑，综合分析，可 将内部控制建设的首要目标确定在效率与效果的保障上，经营合规性、报告可靠和资产安 全作为基本目标处理，并通过大监督系统来实现，具体可从风险控制，优化流程上考虑。 如某集团公司，是我国生产交通运输设备的大型企业，在当前金融危机形势下，国家 投入 4 万亿元用以拉动内需，其中就有该企业向运输部门提供大功率高速度，性能可靠的 运输设备 1000 台，分三年完成。要求 2009 年当年立项，当年生产交付 250 台，如果不能 完成，国家将调整政策，全部进口。该企业内审部门获知这一信息，立即组织事前调查， 发现：制约该项目实施的关键是引进配套的加工设备，从工艺分析开始到形成生产能力， 有 15 道主流程，要经过 35 个签字，耗时三个月，加上国外企业生产周期四个月，怎么也 不可能当年投产交付 250 台。此时，时间就是金钱，效率就是生命，时不我待，内审部门 立即提出了缩短控制流程，去除非关键节点，采取多个部门集中分析、讨论、汇签，董事 会集中讨论决策，将项目审批时间压缩到 25 天，国外企业生产设备压缩时间实行奖励等审 计建议，通过审计委员会直接向董事会提出，立刻被企业采纳，并迅速组织实施。至 5 月 底，已形成生产能力，已生产并交付 15 台设备，150 台设备正在投料制作中，预计今年能 提前完成。就该项目预计今年给该企业新增销售收入 40 亿元，新增利润 2.5 亿元。使该企 业一举挤入该行业世界一流亚洲第一的强势企业。国家主管部门看到该企业如此快地引进、 吸收、消化先进技术，如此高效的内部控制机制，正在酝酿将另一型先进设备的试制生产 任务交该企业。实践证明，内审在企业内部控制中发挥积极作用，为企业赢得了商机，提 高了经营的效率与效果。 此例提示内部审计，在考虑缩短流程，裁减掉无效的流程和非关键点上的冗余流程时， 要注意两点：一是要能够识别企业运营中的关键风险点、关键控制点和关键流程，并围绕 关键风险点建设流程；二是较好的控制环境和基础管理体系无疑是支撑流程短但又不失控 的重要保障。 二、加强信息沟通，完善内部控制体系 信息沟通是及时、准确地收集、加工、传递与内部控制相关的信息，确保信息在企业 内部、企业与外部之间顺畅流动，达到有效沟通的目的。在内部控制五要素中，信息沟通 的过程就像链条连接的过程，对企业内部和外部与经营活动相关的各种信息进行的识别、 采集、储存、加工和运用。企业信息与沟通系统直接影响着内部控制系统的运行效率。良 好的信息沟通系统，可以使管理者及时掌握企业的运营状况，能够促进内部控制系统有效 运营。我们知道，在内部控制体系中，首先是建设了内部环境，然后适时评估企业的风险， 根据风险采取相应的控制流程。在流程的设计中，要明确每一个流程需要的信息。内部审 计要注意，很多企业重视流程，而流程中信息的完整性、及时性、相关性和可靠性往往不 够重视，容易造成内部控制失效。所以，评价企业的内部控制时，不能光看是不是经过了 规定程序，更要看经过这些程序时，是否有足够的信息与之配套，信息沟通是否有效，信 息是否真实。我们以采购与付款内部控制流程为例，分析怎样配套相关信息，以使内部控 制发挥更好的作用。 （一） 、采购与付款的基本流程： 1、采购申请（由生产需要、仓库补充和定量外需要） ，采购部门批准，经资金预算负 责人同意签字；2、编制采购计划；3、组织招标与比价；4、编制采购订单；5、签定合同， 组织采购；6、检查验收；7、入库储存；8、记录负债，在取得采购的各项审核必要的凭证 后，记录应付账款；9、付款。 基本流程的审计主要是对构成流程的各节点的岗位设置，是否按不相容职务分开，有 无相互替代，一人兼多岗，或串岗等现象。 （二） 、与流程对应的信息载体 1、用料申请表；2、物资采购计划表；3、招投标文件、比价资料、供应商目录；4、 物资采购订单；5、合同文本；6、质量检验记录单、物资数量清点记录单；7、材料明细台 账；8、财务部门会计，记录应付账款，填写“应付账款明细表” ；9、根据付款通知单，出 纳填制“付款凭证”付款。 这一按流程配置的信息，从采购申请开始到付款结束，信息在各节点的表、台账、凭 证中存在，信息在各流程节点之间流动，这种信息沟通是内部审计的重要内容，信息配置 是否完整，有无缺失，信息是否按流程有序流动，各节点执行效果怎样，都是内部控制的 重点。 有的企业将“用料申请表”的内容在 BOM 表中反映，对 BOM 表的审计，主要是看 图纸，复核各种材料、配件的规格型号，工艺余量、下料余量是否合理等。而有的企业将 物资采购计划、物资采购订单、供应商目录、合同文本、产品目录等信息通过 ERP 系统平 台来控制，物资采购名称、规格型号、数量、价格等关键参数通过计算机软件自动控制， 中间经过多个环节，任何人不得更改，直至付款，这种控制安全而低成本，内部审计不必 拘泥于信息传递过程中数据的安全性问题，而是要抓主要的采购订单节点的事前审计，控 制这道环节 就控制了合同的主要内容。采用招标与比价采购的，不少企业应用了“电子采 购系统”软件，运用网上竞价采购，代替传统的招标采购，不用评标，不用到现场，效果 更为理想。但电子竞价的商务参数是关键信息，操作者容易在此舞弊，内部审计要在此节 点设置对电子竞价开始前的事前审计，审计结果直接交与系统操作人员，立即进入操作系 统，并实行审计在线监控，这样才能保证竞价的公平、合理、有效。开展招标与比价采购 价格审计的企业，需要建立审计标准，建立价格信息查询系统，可以按照网络查询系统、 电话查询系统、资料查询系统建立适应本单位审计的价格查询平台，及时、迅速、有效地 找出合理价位与送审价格核对，判断其合理性、公允性。有不少企业开发了采购价格审计 的系统软件，这就更能有效发挥内部审计在内部控制中的作用。 三、开展风险评估，将风险源纳入内部控制管理 企业的内部控制是为了达到某些目的而进行的一种动态的过程，这些过程是通过纳入 管理的大量制度及活动实现的。这些目的一般包括提高经营效率和效果，遵守国家有关法 律法规和企业内部规章制度，保证信息的真实、可靠和资产的安全、完整，从而实现企业 的战略目标。而风险管理是围绕特定目标，通过各种手段对风险进行管理，为实现目标提 供合理保证的过程和方法。两者的相同点均是合理保证目标实现的过程，两者的差别主要 是：风险管理更偏向这一过程的前端，更偏向于对影响目标实现的因素的分析、评估与应 对，相对于内部控制，风险管理更是一个更为独立的过程。而内部控制更加重视实施，嵌 入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常 运营过程中自发地防止错误，提高效率，从而合理保证目标的实现。如当前，一些国有企 业正处于上能力，上规模的扩充时期，大量的基本建设投资和设备采购，需要在较短的时 间内完成，以达到企业发展目标。而基本建设工程项目遇到的风险是工程项目的工程量不 实，材料价格偏高，施工达不到要求，从而影响到企业目标的实现。通常出现这些问题的 原因是：1、工程项目变更管理不善，造成工程数量不实；2、基建工程用的材料价格偏高， 控制不严；3、工程数量高估冒算。内部审计人员仔细评估风险，分析产生风险的原因后， 可采取措施，具体落实到内部控制制度中加以管理。可以规定：a、基建工程结算必须审计 后，付余款（工程结束时须留 40至 30的工程款） 、b、工程量变更签证，实行授权制， 部门主管签认、分管副总签字、设计部门同意、C、招投标项目，内审人员全过程参与： （1） 、参与标前会，仔细了解甲方对编制标底的具体要求；（2） 、投标文件发出前，检查 对工程项目的要求和内容是否一致；（3） 、招标过程是否符合要求；（4） 、检查投标文件 是否响应主要条款，资质是否符合要求，报价是否合理等；（5） 、审查签订的合同条款是 否与投标文件相符。 只有这样，内审才能有效地在企业内部控制中发挥保证资产的安全与完整作用。 四、定期检查内控，促进内部控制体系有效运行 现阶段，我国企业内部控制的基本发展情况来看，很多企业基本上都建立了自己的内 部控制制度，可以说内部控制制度较多，但效果如何，对企业正常的生产经营影响程度怎 样，往往又反映不出来，缺乏对企业内部控制执行效果的检查与监督。对制度的执行人来 讲，往往安于现状，求稳怕烦，变通性很强，注重人际关系，这些给内部控制制度的运行 会带来很多负面影响。如东方机械厂，是一个有百年历史，近万人的大型企业，经过多年 改革，建立了配套完整，门类齐全的内部控制体系，并一直在正常运营。有一天，该企业 监察部门接到举报电话，：“钢结构车间的材料员，押运一汽车钢材出厂，出现在市区的 西北方向”经查，是偷盗钢材，案情重大，当地检察院介入，联合调查。针对这一情况， 审计部门进行了内部控制执行情况的检查，经对采购付款循环系统检查，没发现异常情况， 仓库收、发、存正常。对生产存货循环系统检查也未发现异常情况，车间领用材料手续齐 全，也正常。那么被偷盗的钢材是那来的呢？审计人员仔细分析，钢材被盗，必有富余钢 材产生，从两个内控系统中未发现问题，说明手续符合要求，但并不能说明领用数量符合 要求，要进一步调查车间生产的产品品种所需用的钢材品种和数量，经查发现，有不需用 的 2mm 冷簿板 45 吨，15 吨超领的中板不知去向，价值 30 多万元， （破案后交代，完全相 符） 。从这一案例可以看出，不需用的和超领用钢材，都是不允许采购的，在采购计划批准 节点，未核对定额规定，而采购入库后，由于库存资金控制，就通知车间一次性领料，车 间材料员利用制度空隙从事职务犯罪，内部控制的执行人未能履行职责是主要原因。这一 案例告诉我们，一是内部控制建成后企业应该通过内审程序、内部控制评价体系等定期对 内部控制进行检查，发现不适应的流程及时调整，使之适合企业的状态，达到不断完善的 目的；二是提高员工的素质，使员工意识到内部控制的重要性，产生强烈的使命感、责任 感，自觉地履行职责，使内部控制有效地运营。 五、 实行责任追究，保证内部控制运营效果 企业的生存与发展，迫切需要创新和完善内部控制制度，有些企业制定了很多内部控 制制度，也规定了相应的岗位责任，但却忽视了对制度执行者的约束。没有责任追究制度 的组织结构控制模式是一个华而不实的，完整而不完善的内部控制系统。由于没有责任追 究制度，一旦组织结构某个环节出现问题，便难以落实责任，由于责任不落实，致使互相 推诿、越权控制的现象比比皆是，最终导致整个控制系统失灵、失效。如长虹机械制造有 限公司，是一家上市公司，按照企业内部控制要求，先后制定了：销售与收款、采购与付 款、生产与存货、工资与薪金、货币资金、筹资与投资、固定资产与在建工程、财务报告 编制与披露等内部控制制度，考虑详细而又周到，覆盖面是疏而不漏。一天，该企业内审 部门通过 ERP 数据在线观察，发现铸造分厂的生产数据波动，经查，是投资一千多万的三 条造型流水线出现故障，已影响了生产的正常进行。生产现场砂尘弥漫，只要一开机，输 砂管道到处喷砂，管道已破，流水线运转不灵，而设备却已通过了竣工验收，在保质期内， 货款全部付清，供货商不肯免费服务，要使生产流水线恢复，需再投入 100 多万，原来可 以在保质期内供货商免费服务的，影响生产可以索赔的，却无法追究，造成了损失。经内 部控制制度执行情况检查，招标采购，没按制度要求执行，评标人员未有详细记录，无法 追究评委的责任，竣工验收是由某领导指示的，却无批示，形成该追究的责任无法追究， 企业却蒙受了损失。责任追究是内部控制的重要手段。目前，很多企业正在建立和完善内 部控制制度，但仍存在制度虚设、执行不严、权力分散、责任不明等弊端。这不仅影响了 企业整体管理水平的提高，还给企业带来了不应有的损失，使内部控制制度流于形式，监 督失去了作用。企业管理层要使政策和程序得到有效的执行，必须了解执行效果。为此， 一方面要实行监督，另一方面要建立责任追究制度。责任追究制度在整个控制系统的运营 中有着重要作用，企业必须重视。责任追究制度不能独立存在，必须依存于内部控制系统 中，依托于恰当的组织机构和管理模式。 内部审计可以从如下方面考虑加以改进： 1、明确岗位责任，切断出现问题互相推诿的后路。根据公司组织结构，按企业内部控 制制度的总体按排，先划定各部门的职责，再将节点控制责任落实操作人员； 2、根据内部控制执行不力造成资产损失的性质划定责任追究范围。考核是否履行或正 确履行职责为基本出发点，对未履行或未正确履行职责而造成损失的，都应纳入责任追究 范围； 3、应当与现行法律法规相衔接，对于违反法律法规造成的损失，除追究责任和处罚外， 还应当依法承担法律责任； 4、根据资产损失情况确定责任追究范围。对资产损失数额较大或影响面较大的，应组 织专门查处，认真落实责任追究工作。 现阶段，我国企业正处在现代企业制度建设的过程中，对企业内部控制规范理解， COSO 框架的认识以及如何建立适合自己的内部控制机制方面还有待提高，在此阶段，企 业的内部控制机制建设，在充分学习借鉴国外内部控制经验与成果的同时，必须与当前我 国高速发展与变革的经济形势相适应，与企业自身的管理传统与管理特点相适应，满足企 业有效配置资源、保障资产安全的需