内部控制
内部控制与注册会计师审计的关系
内部控制及审计在实际操作中存在的问题
针对内部控制现状的思考和改进建议
内 容 摘 要
内部控制的好坏对于企业很好的完成经营活动,实现既定的各种目标有着非常重要的作用,审计的内容及重点也随着内部控制的发展而变化,风险导向内部控制时代的来临,内部审计的重要也由“控制”转向为“风险”。
内 部 控 制 与 审 计
内部控制
处在市场经济环境下的企业,要想取得成功,都有必要制定一套政策和程序,来对企业的经营活动施加控制,帮助企业实现既定的各种目标。一个企业的内部控制是指企业的内部管理控制系统,包括为保证企业正常经营采取的一系列必要的管理措施。内部控制的职能不仅包括企业最高管理当局用来授权与指挥进行购货、销售、生产等经营活动的各种方式、方法,也包括核算、审核、分析各种信息资料及报告的程序与步骤,还包括对企业经济活动进行综合计划、控制和评价而制定或设置的各项规章制度。因此,内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。
内部控制与注册会计师审计的关系
(一)注册会计师审计所关注的内部控制
注册会计师审计的目的是对被审计单位的会计报表的合法性、公允性发表审计意见。现代审计是以评价被审计单位内部控制为基础的抽样审计。基于此,注册会计师审计所关注的内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
(二)内部控制对注册会计师审计发展的影响
内部控制是管理现代化的必然产物,而内部控制的产生和发展,促使审计工作从详细审计发展成为以测试内部控制为基础的抽样审计。注册会计师在进行审计时,首先要研究与评价被审计单位的内部控制,这是现代审计的重要特征。因此,现代会计报表审计与内部控制之间存在密切的联系。我国《独立审计具体准则第9号――内部控制与审计风险》指出:“注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制。注册会计师应当对拟信赖的内部控制进行符合性测试,据此确定对实质性测试的性质、时间和范围的影响。
(三)注册会计师审计对内部控制的利用
1.审计风险模型:
审计风险=固有风险×控制风险×检查风险
即:AR=IR×CR×DR
审计风险
在即定的审计风险下:检查风险=
固有风险×控制风险
AR
即:DR=
IR×CR
审计风险(Audit Risk):指已审会计报表与事实发生重大背离的可能性。
固有风险(Inherent Risk):假设有关审计项目的内部管理完全不存在的情况下,该项目发生差错的可能性。
控制风险(Control Risk):某项目发生差错的情况下,未被相关内部控制制度发现的可能性。
检查风险(Detection Risk):差错在未被内部控制制度发现并予以纠正的情况下,又未被审计人员发现的可能性。
2.内部控制的固有限制
内部控制的设计和运行受制与成本与效益原则。
内部控制一般仅针对常规业务活动而设计。
即使是设计完整的内部控制,也可能因执行人员的担心、精力分散、判断失误以及对指令的误解而失效。
内部控制可能因有关人员的相互勾结、内外串通而失效。
内部控制可能因执行人员滥用职权或屈从于外部压力而失效。
内部控制可能因经营环境、业务性质的改变而消弱或失效。
3.推证小结
由于公司建立的内部控制只能为会计报表的公允性提供合理保证并非绝对保证,并存在上述固有限制,因此,会计报表审计总存在一定的控制风险,即审计风险模型中的控制风险始终应大于零。
内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具也是注册会计师用以确定审计程序的重要依据。在注册会计师审计发展过程中,对内部控制的重视与信赖,加速了现代审计方法的变革,节约了审计时间和审计费用,同时也扩大了审计范围,完善了审计的职能。
首先,注册会计师在执行会计报表业务时,不论被审计单位规模大小,都要对相关的内部控制进行充分的了解。
其次,注册会计师根据对被审计单位内部控制的了解,确定进行符合性测试以及将要执行的符合性测试的性质、时间和范围。
最后,对被审计单位内部控制的了解和符合性测试并非会计报表审计工作的全部内容。内部控制良好的单位,注册会计师可能评估其控制风险较低而减少实质性测试程序,但绝不可能完全取消实质性测试。
内部控制及审计在实际操作中存在的问题
(一)、理论研究现状
长期以来,我国内部控制理论研究主要集中于会计审计领域,侧重从会计和审计的角度研究内部控制,其研究成果也主要服务于审计方法的应用,审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法,通过对内部控制的测试,确定审计的重点和风险,进一步修改审计计划,而内部审计师则将内部控制控制监督或评价的重点目标。
只从会计和审计的角度研究内部控制,必然导致视角过于狭窄,2001年财政部颁布的《内部会计规范---基本规范(试行)》是目前我国内部控制领域内最具权威的标准,也是上市公司进行内部控制实践所依据的标准,但该《规范》仍局限在内部会计控制领域。会计师审计的目标和发表审计报告的对象,决定了其对内部控制关注的侧重点只限于内部会计控制。
(二)、我国企业内部控制存在的现实问题
1、对内部控制不够重视,或者认识上有偏差。有些企业以为内部控制就是俗称的内部监督,这种认识与现代企业的要求格格不入。管理者自身素质还无法满足现代企业管理的需求,经营管理水平还有待提高。
2、管理机制的不完善。许多企业形式上建立了董事会、监事会,实行了总经理负责制,但在实际工作中,真正的法人治理结构并没有建立。董事会的监控作用严重弱化,没有全面行使其应有的职权,履行其应有的职责,无法真正起到约束经营者日常行为、保护股东利益的作用。
3、内部控制制度不健全。多数企业的内部控制不全面,没有覆盖到企业所有的部门和人员,没有渗透到企业的各个业务领域和各个操作环节。这种现象在中小企业尤为突出,主要是中小企业管理者对内部控制制度的理解和重视程度不够。
四、针对内部控制现状的思考和改进建议
以安然和世通为代表的舞弊丑闻,促使美国国会痛下决心,于2002年7月颁布了旨在打击公司犯罪的萨班斯-奥克斯利法案,该法案要求在美上市公司发布的财务报告必须由注册会计师对其内部控制制度进行测试并作出评价。中石化股份作为一家境外上市的公司,对此非常重视,专门聘请专家对企业的内控制度进行了完善和严格的测试。而扬子石化有限公司作为中石化的子公司,同样需要建立科学完善的内控制度。这迫使我们思考这样几个问题:企业内部控制制度建设与信息化建设之间有没有内在联系?在信息化环境下企业应该如何构建自己的内部控制制度?
1.突破旧思维 树立新理念
传统的内部控制理论虽然几经发展,但都是基于以人工生产为主的传统经济模式构建的,关注的是企业的组织机构、岗位和职能。而企业信息化以后,几乎所有的作业都在计算机或网络上完成,传统的内控方法已难以适应新的环境和要求。要想在信息化环境下科学有效地进行内部控制,就必须突破旧思维,对立新理念,重视流程规范和作业重组与管理。所以,我们提出内部控制制度建设要想适应企业信息化环境,设计理念必须由原来的以职能为导向转变到以流程为导向,关注对流程和作业的控制。
2.走内控制度建设寓于企业信息化系统之路
考察分析已经实施ERP的企业,我们发现一个共性问题:如果这个企业在实施ERP之前或在实施过程中通过内部控制建设,认真细致地重整业务流程,使再造后的流程不但符合经济环境的实际情况,而且使企业的业务流程、管理流程和控制流程三流统一,则不仅会使企业的内部控制制度有效,也使企业ERP系统的良好运行有了保障;否则就容易出现这样或那样的问题。所以,我们在构建企业内控制度过程中注意一方面使我们建设内部控制制度有效,另一方面为信息化奠定基础,并使企业的内控制度与信息化系统兼容。具体有以下实施步骤:
第一步,规范流程。在内控制度建设过程中,我们首先花大力气规范企业的三个主要流程,即业务流程、管理流程和控制流程。业务流程是企业经济活动的基本流程,我们把它细分为资金流、实物流和成本费用流,其他流程都围绕这些业务流展开。管理流程是对业务流进行管理控制的流程,包括预测、决策、分析、评价等一系列环节。控制流程是针对业务流程和管理流程中容易出现问题的环节,在信息管理系统中设置相应的关键控制点而组成的流程。在信息化的条件下,内部控制的主要职能大都是在信息系统上完成的,企业内部控制制度的有效实施有赖于流程的规范。
第二步,重组企业。美国管理专家约翰A•米勒指出,流程和作业是以作业为基础的组织中的中枢神经系统,并且是为客户和股东创造价值的核心。竞争以产品和服务的市场表现为基础,并为生产、制造和提供产品及流程层面进行竞争,产品和服务代表了组织流程和作业的产出。事实上,在与竞争者相比较时,很多组织都可以获得相同的原材料、资本、技术、设备、卖主和供应商、劳动力以及客户,在这种情况下,竞争的主要差别应在于作业绩效和流程两个方面。所以,我们第二步的重点就是对流程中各个关键控制点的现有作业进行分析,去除无效作业和冗余作业,加强关键作业和增值作业。实行作业管理还要求严格解析企业现行作业体系形成的背景及合理性,据以重组作业、流程和经营管理,实现资源重组。
第三步,设计相应的内控制度。在规范流程和重组作业的基础上,我们建立相应的内部控制制度,将落脚点放在作业上,做到作业之间互相制衡,通过规范的流程实现企业的全面内部控制,为我们下一步实施信息化奠定坚实的基础。企业经营管理的信息化要求企业的信息流包含管理流和内控流,业务流程与企业的管理流程一致,所以,在设计内控制度时我们力争做到信息流、业务流、管理流和控制流四流合一,保证企业信息化功效的有效发挥。
第四步,实施企业信息化,建设ERP系统。企业实施信息化管理是大势所趋,而信息化的关键是先进理念和价值观指导下的业务流程和作业。对此,我们将通过内控制度的运行和协调加以完善,并在此基础上建设ERP系统及相应的决策分析与决策支持系统等。
3、建立科学的内部控制,完善公司法人治理结构是关键。在现代企业制度下,企业法人治理结构是企业管理体制的核心,法人治理结构的优劣主要取决于董事会能否充分发挥作用。
4、重视内部控制,发展风险导向审计
英国特恩布尔报告认为公司经营目标、内部控制组织和环境处于不断变化之中,作为结果,其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。
因为利润本身部分地作为企业成功冒险的回报,内部控制的目的就是帮助正确地管理和管制风险。即风险导向内部控制。随着风险导向内部控制时代的来临,审计的工作重点也发生变化,由“控制”转向“风险”。现代审计除了关注传统的内部控制之外,更关注有效的风险管理机制和健全的公司治理结构(王光远,2002)。在风险导向审计观念下,年度审计计划与公司最高层的风险战略连接在一起,审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中关键流程,促使审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法,在风险导向的审计中,控制仍然重要,但分析、确认、提示关键性的经营风险,才是审计的焦点。从强调和测试控制完整性,逐步转向强调确认和测试风险是否得到有效管理,从传统的强调关注风险因素,逐步转向关注情景规划,内向型管理审计的建议应不再仅是强化控制、提高控制效率和效果,而应该是规避风险、转移风险和控制风险,通过风险管理的有效化,提高整体管理效率和效果。
以施工企业为例;
为了做到对具体项目的风险评估尽可能合理,使以后的风险排序有较高的可靠性,审计人员在要注意收集资料,除了掌握公司的经营战略和管理上的变动信息外,还应及时掌握财务、预算、合同等其他文件资料。此外,还应利用各种机会及时与公司领导层、其他职能部门以及项目施工人员进行交流,以全方位获取相关工程信息。
要实现对风险因素排序,应必须借助于一定的标准或模型来确定风险值。
1.风险测量法。这是从风险的定义出发推导得出的一个数学方程式:
R=Σpr(E)
上式中,R代表风险,pr代表由于控制系统的无效性而导致损失或减少收益的可能性,E则代表风险所暴露的金额。如某工程因质量控制而造成返工的潜在损失金额是100万元,损失的可能性经评估为50%,则其风险金额为50万元;经过测算在安全方面一旦出现事故的金额约为200万元,可能性为15%,则其风险金额为30万元,以此类推,最后加权得到项目总体风险。
2.打分法。即对风险因素进行打分排序,也就是列举出不同项目的风险点,把企业确定的重要风险因素分为1-5分或更详细的标准,风险水平较高的分值较大。分别测量出项目的不同风险点以及众多工程的总体风险。
需要说明的是,由于施工企业承接工程的不确定性,并且随着条件的变化,已评估的风险可能会偏离预期,因此风险评估排序应是一种动态的,要随着具体情况的变化不断调整。
以上的风险测量结果,为审计人员制定审计计划奠定了基础。一般说来应审计风险暴露金额大,损失可能性大的项目,但在实际工作中,还有一些其他因素会对审计人员的选择产生影响。为了制定切实可行的审计计划,审计人员在风险评估的基础上还应考虑:①管理层和其他职能部门的意见以及被审单位的要求。有时,管理层会出于一些特定考虑而要求审计部门立即对某项目进行专项或全面审讯;而其他职能部门发现本部门所关注的项目出现重大问题,也会要求审计人员安排审计;有的项目会因突发事件主动要求审计部门实施突击审计。②经营方案、项目负责人或其他重要岗位人员变动的先审。③如果及早介入会获得较大审计效益的,应优先安排审计。
需要注意的是,审计计划制定后应定期进行评估,如果风险因素发生了重大变化,应作适当调整。
参考资料
1、《审计学》 经济科学出版社 李若山、刘大贤主编
2、《审计》 经济科学出版社 财政部注会考试委员会办公室编
3、《中国注册会计师》 2003年第2期
4、《财务与会计》 2003年第12期
