浅析企业内部控制及其内部审计

浅析企业内部控制及其内部审计摘要近年来，随着社会消费力的开展和科学技术的进步，全球经济一体化进程加速，企业之间的竞争加剧，重大会计信息失真的情况也越演越烈。2002年7月，美国总统布什签署了?萨班斯-奥克斯利法案?，对于上市公司建立并保持有效的内部控制作出了明确、详细的规定。本文通过浅析信息失真的原因，提出企业内部控制应抓好的几个环节，并且说明内部审计在内部控制中发挥的作用，以期与内控建立及内审人员讨论之。一、企业应加强内部控制建立近年来，我国证券市场会计信息失真的情况层出不穷，从“琼民源〞到“银广夏〞，从“郑百文〞到“蓝田股份〞，造假案件越来越多，中国股市和中小投资者的信心遭受了沉重打击，近期内陆股指已滑落至8年来的最低点。究其原因，笔者认为有如下重要几点：〔1〕我国未把建立和强化内部控制作为企业的一项法律责任。?萨班斯-奥克斯利法案?规定对于上市公司及其高级管理人员出现的提供虚假财务信息的行为要给予严厉的刑事及经济处分。这样就使得那些蠢蠢欲动者的造假本钱增加，相应减少造假几率。而目前在我国从法律角度缺乏对企业内部控制方面的法制建立、内部审计和独立审计等相关方面的行为准那么的本质性约束。〔2〕市场对于虚假信息有需求才会有上市公司的供应。目前上市公司中绝大多数为国有大中型企业，而这些企业在1998年以前总体效益低下，要上市就需要包装，过度包装就会有虚假会计信息的存在。在这一过程中，中国证监会及注册会计师事务所从一开始就没有形成完全回绝虚假会计信息的机制，甚至出现了“深天勤〞帮助“银广夏〞造假的丑闻，这在一定程度上削弱了企业的控制意识。〔3〕大多数上市公司内控制度有名无实，权利集中、缺乏制衡、财务信息不对称、控制环境薄弱、企业短期行为严重等，都造成了企业内部控制的失效。从上述分析中可以看出，要形成一个良好的投资环境，国家与企业需要做的努力都非常大。尤其对于企业而言，其自身内部控制建立尤为关键，笔者借COSO框架为根底，认为应该抓好以下几个重要环节：1、建立健全内部控制体系框架根据?萨班斯-奥克斯利法案?要求，在美国上市的国内一些大型公司目前已经或正在建立符合上市地和中国法律要求，结合企业自身特点和需求，以COSO框架为根底的内部控制体系，并且按照其要求标准化运做。这是一个好的迹象。笔者认为，要想真正改善中国内陆地区的投资环境、树立中国企业在国际资本市场上良好、诚信的形象，就必须在内陆上市公司中大力推行内部控制体系建立：国家相关机构应从立法角度加强企业内部控制的法律法规等强迫性约束和准那么标准；上市公司应该在2-3年内逐步建立起内部控制体系，形式可以以COSO框架为根底并结合企业自身实际来设计、运行。另外，还要加重对于制造虚假会计信息的处分力度，增加制造虚假会计信息的本钱；同时加强对会计师事务所的管理，使得注册会计师保持其执业的标准性和独立性，从而在整个社会形成一种回绝虚假会计信息的机制。2、强化企业内部控制环境建立，建立真正意义上的法人治理构造控制环境是整个内部控制的根底，是其他一切要素的核心，它的好坏直接影响到企业内部控制的贯彻执行和企业经营目的、整体战略目的的实现。〔1〕要大力提倡和营造一种“控制文化〞。一方面董事会和管理层负责促进在道德和完好性方面的高标准并在机构中建立一种文化，向各级人员强调和说明内控的重要性；另一方面，企业所有员工都必须认可理解他们在内控程序中的作用，并在程序中发挥作用。〔2〕完善公司治理构造的核心是实现剩余索取权和剩余控制权由集中对称分布走向分散对称分布。以国有控股上市公司为例，由于国有股一股独大和终极所有者缺位，目前的治理构造表现出“行政干预——经营者控制〞的根本特征。为了实现治理构造的效率改进，国有企业改革必须由行政干预下的股东主权形式转变为企业主权形式，可以以转让部分国有股权的方式使公司的股权构造多元化、合理化，公众或机构投资者参与公司治理，从而使公司目的是为了追求所有利益相关者的整体收益最大化，而不仅仅是效劳于股东利益最大化，真正实现治理构造的效率改进，为内部控制有效运行营造一个良好的制度环境。3、建立相应的鼓励约束机制，把核心人员及其员工的短期行为长期化股票期权制度在理论上是可以解决这个问题，重要的是在详细化操作的过程中要掌握好鼓励和约束的度，一定要使鼓励和约束相适应，这需要各个公司根据其自身的特点和需要设计出合理的期权额度和行权价格等详细施行细节，并且要建立良好的人力资源管理机制，进步公司有关雇佣、训练、待遇、业绩考评及晋升等政策和程序的合理程度。通过这种鼓励和约束，使公司核心人员更关注公司长远的开展，从根源上消除制造虚假会计信息的动机。4、建立和完善ERP建立，完善内部控制信息披露机制通过信息化手段整合企业资源可以进步内部控制效率和优化内部控制流程。国外大多数先进企业都已选择了适宜自己的ERP软件，利用ERP系统进展有效的判断、决策和控制。目前我们中石油在内控建立中也在逐步整合信息系统，但原来我们的各类系统纷杂繁多，彼此之间互相联络不太严密，这些都造成了今后内控测试工作的不便。因此笔者建议，应该尽早关注并施行企业资源方案〔ERP〕。ERP可以把企业全部业务涉及到的资源整合起来，企业每一个员工都被明确地赋予在内部控制中所应承担的职责，并且通过信息和沟通系统，使每一个人都能顺畅、快捷地获取他们在执行、控制经营过程中所需要的信息，并交换这些信息。企业运作层面的供应、消费、销售交易资料，只要是与财务有关的，都会在财务系统中自动生成，实现财务分析和业务运作的同步进展，使得内部控制动态化，也在很大程度上减轻了对于信息系统内部测试的工作量。?萨班斯-奥克斯利法案?404条款中明确要求上市公司在年度报告中，必须说明公司管理层建立和维持良好内部控制并建立相应的制度和机制来保证公司内部有合理的控制构造和控制措施。以往人们更关注财务会计信息，而实际信息的真实可靠来源于企业内部控制，内部控制越好，其信息越可靠，审计本质性测试就可相应减少。因此为了进步企业内控意识，进步其信息质量，企业必须建立起内部信息披露制度，在进展内部控制自我评估后，向社会公开披露其内部信息。5、建立风险评估体系及内部控制制度评价体系随着我国进入WTO，国内企业将会面临更大的环境变化和生存风险。每个企业都应该认真分析并识别出自身存在的风险，建立一个风险数据库，要分析风险的重要性程度、评估风险发生的可能性或频率、并且找出企业应该如何应对管理风险的方法。我们可以将控制的重点转到那些重要业务流程和重要会计科目中去，建立风险评估制度，并且在制度中要明确评估风险的方法，并且应该根据企业环境的变化不断更新风险。对企业而言，建立健全内部控制制度是一个渐进的过程，我们应当建立起内部控制评价表达来，随时应该关注：现有流程中的控制措施是否全面涵盖了风险，这些控制措施设计是否合理，是否形成了充分的控制证据，这些控制措施是否在相关规章制度中予以表达。我们应该根据情况的变化和出现的问题对相应的内部控制制度作出及时修正或建立新的内控制度。只有不断进展自我评估和改进，才能建立起行之有效的内控体系。除上所述，另外，按照COSO框架要求，内部审计在内部控制体系中扮演着重要的角色，下面我们一并来讨论一下：二、内部审计在内部控制中的作用1、内部控制与内部审计的关系内部控制与内部审计之间存在一种互相依赖、互相促进的内在联络。〔1〕内部审计是内部控制的一个不可或缺的组成部分。内部审计是为加强内部经济监视和经营管理的需要而逐渐开展起来的，是企业内部一种独立的评核工作，通过检查会计、财务及其他业务，为管理当局提供咨询、建议等效劳。在COSO框架中内部审计作为监视的一个重要角色置于整个内控的较高层。〔2〕内部审计又是对内部控制的控制。内部审计又是全面审查、监视内控制度的专门组织，它立于会计控制之外，具有其他任何部门和控制所无法代替的重要作用。目前，内部审计范围已从传统的财务收支审计扩展到经营管理的各方面，另外根据国际惯例，内部审计通常代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进展评价，所以它又是对内部控制的控制。2、内部审计在内部控制中的作用〔1〕内部审计的角色由监视者逐步转变为控制者内部审计曾一度被定位于“监视者〞的角色。英国著名的特恩布尔报告认为，内部审计师的主要作用是“确证和建议〞，而不再是以往的“监视和复核〞。这一转变赋予了内部审计更多的内涵，也将内部审计定位成增值性审计。目前，内部审计职能已逐渐开展为“保证和咨询效劳〞，内部审计正在充分发挥其评价职能的作用，增加组织价值和改善经营管理，进步有关数据和信息的相关性和可靠性；通过咨询活动，为管理当局提供专业效劳，为风险管理出谋划策，降低企业风险，从而在本质上促进财务报告内容确实定性和质量的进步。内部审计师也应该成为企业内部战略的方案者。〔2〕风险导向内部审计是内部审计的开展方向随着风险导向内部控制时代的降临，内部审计的工作重点也发生变化，由“控制〞转向“风险〞。在风险导向内部审计观念下，年度审计方案与公司最高层的风险战略连接在一起，内部审计人员通过对当前的风险分析确保其审计方案与经营方案相一致，使用风险管理原那么改变审核过程。当前我国企业内部审计主要将大部分精力用于财务数据的真实性、合法性的查证和消费经营的监视，管理审计尚未得到广泛的开展。因此，笔者认为要顺应内部审计科学开展的客观规律，在理论中有意识地推动内向型管理审计的开展。从强调确认和测试控制完好性，逐步转向强调确认和测试风险是否得到有效管理。审计建议应不再仅是强化控制、进步控制效率和效果，而应该是躲避风险、转移风险和控制风险，通过风险管理的有效化，进步整体管理效率和效果。〔3〕促进公司治理构造的完善和有效性，进步会计信息的质量国外把必须设置内部审计机构作为一个公司假设要上市的必备条件之一，以显示其内部治理构造的完好性。在COSO框架中更是将内部审计的作用作为要素之一进展了描绘和要求。?萨班斯-奥克斯利法案?404条款明确了管理层必须对企业内控运行情况进展有效性评估，这一被称之为“管理层测试〞的过程通常由内部审计部门代表管理层来进展，内部审计部门通过对日常活动的监视和控制，从而减少风险，保证财务信息数据的加工、传递和披露的可靠性。笔者认为，今后可以通过持续的内部控制测试将审计范围延伸到企业消费经营的方方面面，而且在很大程度上可以替代例如常规财务审计、制度审计、合同审计等审计，并且其审计成果也可被其他专项审计所利用，从而将审计工作的重心转移到咨询和建议上来。〔4〕内部审计作用的充分发挥有赖于其地位的进一步进步要加强内部审计工作，首先要进步内部审计的地位。内部审计应该具有独立性和权威性，它代表企业董事会和管理当局对其他部门开展的业务活动及其成果、内部控制执行情况进展监视。在国外，内部审计部门是直接对董事会中的审计委员会负责，具有较强的相对独立性，内审部门的许多人也最终进入了企业高级管理层。但在我国，由于种种原因，内部审计独立性实际被大大削弱了，甚至有些企业将内部审计与纪检、监察部门合并在一起，极大影响了内部审计的独立性。笔者建议，上市公司在建立内控体系之时，应当根据相关法律要求建立并发挥好审计委员会的职能，对于内部审计部门的设置应当高于其他职能部门，应该设立如总审计师等职位专门负责本企业的内部审计工作及与其他部门的协调工作；内部审计部门应当隶属于审计委员会和企业最高管理当局，实行双向负责制，在特殊情况下可以越过管理当局直接向审计委员会报告，这样就可以进步内部审计的地位和独立性，维护必要的内部审计权威，从而充分发挥内部审计在内部控制中的重要作用。〔5〕内部审计作为监视要素中的最高层次，在内控体系中发挥着重要作用根据COSO框架中“监视〞要素的要求，企业的监视可以分为持续性监视活动和内部审计定期的、相对独立的评估两部分。这样一来，可以将整个内控体系划分为三个相对独立的控制层次：第一个层次是经济业务发生部门严格按照企业内部设计的程序、互相牵制的制度开展业务活动，建立起第一道监控防线。有关人员在处理业务时，必须明确业务处理的权限和应承担的责任，严格按照控制步骤流程办理。第二个层次，经济业务最终的流向都是反映到财务报表中去，因此财务部门就要在事后建立起第二道监控防线。要对原始的数据、凭证、票据进展日常性、标准化的检查稽核，要及时把监视的过程和信息反响给财务负责人。第三个层次，内部审计部门要建立起以“查〞为主的监视防线，通过内部控制测试来发现管理流程中的缺乏和风险，提出改进措施，促进内控体系建立趋于完善。总之，加强企业内部控制，建立健全内部控制体系，是企业自身的需求，也是企业面对市场风险与挑战的需要。内部审计部门更应该发挥好作用，认真总结和探究新方法、新思路，促使企业以合理本钱促进有效控制，从而从根本上确保企业持续、稳