时间:2023-06-06 09:29:41
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇公司内部审计报告,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、内部控制审计规范工作概述
(一)内部控制审计规范工作的内容
内部控制,即内部控制制度的建立与实施,是为了实现企业的目标,如股东利益最大化、尽可能保护所有利害关系人的权利等。通过内部控制,达到兴利与防弊,特别是提高经营效益的目的。如果企业内部控制失效,提供的会计信息也就无法真实地反映企业财务状况和经营成果。
内部审计不仅仅只是一种保证活动,更多的是一种咨询活动,并且内部审计的目标与组织目标是一致的:都是为了增加组织价值。
(二)我国的内部控制审计规范研究工作现状
在借鉴西方内部控制审计规范的同时,我国的内部控制审计规范研究与实践工作也取得了相应的发展。从2006年起,内部控制审计规范的研究制定工作进入了快车道,我国力求在借鉴SOX法案的基础上形成自己的内部控制规范体系。2008年财政部等五部委出台了《内控基本规范》,这标志着中国版的SOX法案的诞生。由于这一基本规范是原则性的,还需要有进一步的指南性文件以使规范更具操作性,2009年,《内控基本规范》配套指引(征求意见稿)应运而生。2010年4月26日,在征求意见稿的基础上,财政部等五部委联合了《企业内部控制规范》配套指引。至此,我国的内部控制规范体系基本完善,为企业评价内部控制工作、注册会计师执行内控审计工作提供了具体指导。
二、我国审计规范工作存在的问题
(一)我国尚未形成完善的内部控制审计准则
内部控制审计准则制定问题一直是国内外学者密切关注的热点问题之一。调查研究发现,现阶段,国内部分审计师以多种不同的执业准则为依据开展内部控制审计活动。受诸多不稳定性因素的影响,部分执业准则在目标定位方面已严重脱离现行实际状况,无法满足内部控制审计的要求。2010年,我国政府部门出台《内部控制审计指引》,这一政策虽然对审计师能够更好的执行内部控制审计起到借鉴意义,但仍然未明确审计师在执行内部控制审计时所要依据的准则和规范,只是在后附中简单的提到“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”。
一方面,《内部控制审计指引》仅在部分方面对内部控制审计具有指导作用,而未对审计方法的选择、审计计划的审核及审计过程中的评价等方面做到明确指导,可想而知,其指导作用也就没有什么可期待的了。正因如此,使得国内多数事务所只能够依据《中国注册会计师其他鉴证业务准则第3101号》、《内部控制审计指导意见》及《中国注册会计师准则第1211号》等准则执行内部控制审计活动。另一方面,主动将内部控制的测试和评价业务从财务报表审计业务中脱离出来,这一举动打破了传统的一次性业务或面向特定企业的业务,实现了与财务报表审计并列的经常性业务。尤为注意的是在《内部控制审计指引》背景下,财务报告内部控制审计已成为注册会计师的法定业务。
1.内部审计报告中缺乏非财务报告内部控制。内部审计报告由财务报告内部控制和非财务报告内部控制共同构成。研究调查显示,我国大多数上市公司在制定内部审计报告时,过于重视财务报告内部控制,而忽略了非财务报告内部控制的重要性,因此,一定程度上削弱了内部审计报告的高效性。
2.内部审计报告中披露的大都为标准审计意见。目前,我国上市公司内部审计报告中主要具有四种参考格式:标准格式、否定意见格式、带强调事项段的无保留意见格式以及无法表示意见格式。在样本数据中,我国上市公司均采取无保留审计意见格式,究其根本在于上市公司大都不愿意自主披露非标准审计意见的报告,同时,会计师事务所未能够保持独立性,多为附和被审计公司的要求而出具无保留意见,导致我国上市公司内部审计流于形式,无法充分发挥其职能。
(三)我国当前存在准则并非内部控制审计的恰当执业标准
在查阅的内部控制审计师报告中,事务所主要提及了以下执业准则:中国注册会计师协会(以下简称中注协)于2002年2月15日单独的《内部控制审核指导意见》、中注协2006年颁布的《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》、《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》、2010年财政部等部门制定的《企业内部控制审计指引》( 2008―2010年间为《内部控制鉴证指引(征求意见稿)》。
《内部控制审核指导意见》第二条规定:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审核意见。”第二十九条规定:“注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用,被认为是我国内部控制审计制度的雏形。但《指导意见》要求注册会计师对内部控制有效性的认定进行“审核”,“审核”业务在程序、对证据的数量和质量的要求、保证水平方面都不及“审计”业务的要求高。目前,内部控制审计已经从财务报表审计中独立出来,成为一项单独的审计鉴证业务,显然《指导意见》已不适合作为恰当的执业准则。
《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》是为了规范注册会计师执行历史财务信息审计或审阅以外的鉴证业务而制定的准则,内部控制审计属于鉴证业务的一种特定类别,审计师以此为执业准则,具有原则指导性,但针对性明显不足。
《中国注册会计师准则第1211号――了解被审计单位及其环境并评估重大错报风险》是为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险而制定的准则。该准则适用于注册会计师执行财务报表审计业务,注册会计师在编制审计计划时,应当了解被审计单位及其环境(包括被审单位的内部控制),对拟信赖的内部控制进行控制测试,据以确定实质性测试的性质、时间和范围。显然,该准则定位于财务报表审计业务,对内部控制的了解和测试是作为财务报表审计业务的辅助部分展开的,而非为了对内部控制的有效性发表意见而进行的全面指引。显然,该准则也不完全适合于独立的鉴证业务――内部控制审计。
三、我国审计规范存在的问题及相关建议
(一)完善内部控制审计准则
综上所述,目前,我国尚未形成完善的内部控制审计准则,以至于内部控制审计的高效性职能无法充分发挥。针对于这一现状,笔者认为,我国相关部门需吸取发达国家的优秀作法,结合我国的市场特点和需求,在《中国注册会计师执业准则体系鉴证业务准则》中新增更为全面的内部控制审计准则,之后将其与《中国注册会计师审阅准则》、《中国注册会计师审计准则》及《中国注册会计师其他鉴证业务准则》相融合,最终将其确定为《中国注册会计师内部控制审计准则》。除此之外,相关部门可结合实际状况,将《中国注册会计师审计准则》更名为《中国注册师财务报表审计准则》。为满足财务报表内部控制审计和财务报表审计的需求,相关部门也可依据美国的PCAOB AS No.5,结合国内市场现状,制定《财务报告内部控制审计和财务报表审计相整合的审计准则》。与此同时,相关部门可构建中国注册会计师执业准则体系,从而为完善和调整内部控制审计准则提供有力平台。
美国PCAOB AS No.5中对财务报告内部控制审计报告作出了规定,我国相关部门可依据这一规定,结合国内财务报表审计报告的格式,推进内部控制审计准则改革。在内部控制审计准则改革过程中,笔者认为,应将《内部控制审计指引》后附中的“审计师已严格按照《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求执行了内部控制审计”改为“审计师已依据《中国注册会计师内部控制审计准则》执行了内部控制审计”。现阶段,对于跨国的上市公司而言,要求其注册会计师严格依据国际审计准则开展内部控制审计活动;对于在中美同时上市的公司而言,要求其注册会计师严格依据PCAOB AS No.5下的审计准则开展内部控制审计活动,以此才能够确保公司平稳而快速的发展。
(二)完善上市公司内部审计报告
1.增强会计师事务所的独立性。我国会计师事务所对于保持独立性多为附和被审计公司的要求而出具无保留意见,针对其现象,一方面,我国上市公司会计师事务所需进一步加强注册会计师的职业道德和相关专业技能知识培训和再教育,实现注册会计师思想和能力的独立性;另一方面,会计师事务所需定期接受注册会计师协会的监督和管理,保证会计师充分的独立性。
2.转变上市公司对内部控制审计的认识。无论是上市公司还是会计师事务所都应该树立其正确的内部控制审计观,在充分认识到非财务报告内部控制的重要性的条件下,确保上市公司能够立足于非财务报告内部控制和财务报告内部控制的基础之上开展内部审计报告制定工作,从而,全面调动上市公司内部审计报告的高效性。
3.完善上市公司内部控制审计准则。目前,我国上市公司内部审计报告仍存在一定的不足,大大削弱了内部审计报告职能。该环境下,完善上市公司内部控制审计准则不容忽视,即内部控制审计准则的完善需结合上市公司的实际情况,通过不断加大内部审计报告披露力度,推进上市公司内部审计报告名称和格式的统一性。
(三)防范内部控制审计风险措施
1.研究制定获取第三方信息的程序和规范。制定完善的《审计机关获取第三方信息操作规范》须立足于下述方面:首先,应该统一第三方信息的概念及构成要素;其次是制定健全的第三方信息操作步骤和标准;再次是明确第三方信息的使用范围;最后是规范第三方信息风险控制措施。
【关键词】上市公司 内部控制 缺陷 成因 对策
企业良好有序的发展离不开健全有效的内部控制。为了使企业的内部控制体系更加完善,我国正在加紧建立健全相关的法律法规。2008年《企业内部控制基本规范》和2010年《企业内部控制配套指引》的标志着我国基本建成了结合自身特点并具有中国特色的企业内部控制规范体系。尽管近年来我国对内部控制的相关问题有了一定的研究,但是上市公司的内部控制问题有其特殊性。因此,有必要对上市公司的内部控制的相关问题进行有针对性的研究。
一、上市公司内部控制的现状分析
(一)上市公司日益重视内部控制建设
自2008年财政部会同证监会、审计署、银监会、保监会了《企业内部控制基本规范》以来。我国大部分上市公司高度重视内部控制的建立和运用,严格按照基本规范执行相关工作,努力探索和建立健全符合上市公司自身实际的内部控制应用体系。越来越多的上市公司开始重视内部控制,主要表现在更全面地了解实施内部控制的必要性,通过进行公司治理结构和业务流程的梳理,强化领导和管理人员的意识,提高员工的能力和责任意识,以应对风险,促进公司健康发展。
(二)上市公司内部控制评价更加标准化
内部控制评价有助于上市公司在内部控制出现问题时,能够迅速反应,立即开展相应工作,查找并分析原因,对公司发展具有重要的作用。越来越多的上市公司通过内部控制评价,出具评价报告,改善了公司的内部控制制度;通过发现问题,及时采取强有力的措施,促进内部控制评价更加规范和标准,提高了上市公司的管理水平。
(三)上市公司内部控制审计的监督作用逐渐显现
为了增强内部控制审计的有效性,上市公司需要聘请会计师事务所进行审计。加强内部控制审计的监督作用,主要体现在注册会计师严格按照规定审核内部控制流程,坚守职业道德,运用专业知识和素养,致力于找出上市公司在财务报告内部控制中的缺陷,同时发现一些可能存在的问题,提出相应的改进措施。根据2016年5月17日,中注协的上市公司2015年年报审计情况快报(第十五期)披露:2016年1月1日~4月30日,40家事务所共为1530家上市公司出具了内部控制审计报告。其中,标准内部控制审计报告1444份,带强调事项段的无保留意见内部控制审计报告70份,否定意见内部控制审计报告16份。相关的上市公司也了相应的内部控制自我评价报告,披露了自身发现的内部控制缺陷及进行的相应的整改具体措施。这也进一步说明了内部控制审计起到了一定的监督作用。
二、上市公司内部控制缺陷的成因分析
本文主要就2015年度我国上市公司披露的内部控制审计报告中所反映的上市公司内部控制的缺陷问题进行相关的分析。上市公司内部控制缺陷的表现形式是多种多样的,但是归纳起来主要有以下几个比较突出的问题值得关注:
(一)违规进行关联交易
为了规范上市公司关联方及其交易行为,防范关联交易损害中小股东利益,确保维护投资者、债权人合法权益,上市公司应根据国家有关法律法规和《企业内部控制基本规范》,制定与关联交易有关的内部控制制度。
公司在规范关联方及其交易行为时,至少应关注涉及关联交易业务的以下风险:一是关联交易及其披露违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失。二是关联交易未经适当审批或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。三是关联方界定不准确,可能导致财务报告信息不真实、不完整。四是关联交易定价不合理,可能导致公司资产损失或中小股东权益受损。五是关联交易执行不当,可能导致公司经营效率低下或资产遭受损失。不恰当的关联交易会给公司带来财务风险,也会损害公司股东的利益。
从2015年度我国上市公司披露的内部控制审计报告中所发现的相关内部控制缺陷问题来看,与关联交易相关的内部控制制度出现问题是比较典型的一种情况。例如:禾嘉股份关联交易管理中对主动识别、获取及确认关联方信息的控制制度未得到有效执行,导致公司控股子公司云南滇中供应链管理有限公司及深圳滇中商业保理有限公司发生关联方交易未被及时识别,未履行相关的审批和披露事宜。长春一汽富维汽车零部件股份有限公司2015年度日常关联交易议案未获股东大会通过,但是该公司仍在未获得股东大会授权的情况下与关联方进行了该议案所涉及的日常关联交易。一汽富维公司董事会认为公司主营业务90%以上来自关联交易,公司无法停止该关联交易。该公司认为该关联交易没有损害公司和股东的利益。但是从内部控制的制度要求来说,关联交易必须获得股东大会的通过方才可行。
(二)不重视审计委员会与内部审计部门对内部控制的监督
关键词:企业治理;内部审计;内部控制;再控制
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)06-0-01
自2012年以来,世界经济呈现下降趋势,国内需求不足,市场萎缩,订单减少,使得国内大中型企业越发的生存困难,很多企业都出现了不盈利、亏损或者是利润率很低的情况。在这样的形势下,我国的企业要想克服困境、继续发展,除了政策扶持等外部环境的促进,还必须建立健全公司治理结构和内部控制、内部审计制度,降低成本,开拓创新。
一、内部控制与内部审计的核心内容
(一)内部控制的核心内容
内部控制指的是企业内部为了保证各项经营活动的有效开展,保护资产安全,预防、发现、纠正企业风险,而在事务决策、财务管理、内部审计等环节制定和实施的制度与程序。根据这个定义,我们可以知道,内部控制的核心内容是“制度与程序”,它存在的意义在于通过各项监督手段的设置来有效地规避企业所面临的各项风险。而这种手段包括的内容主要有风险预防、探究管理漏洞、风险纠正等。因此,内部控制在企业内部管理体系运转中起着举足轻重的作用。鉴于这种制度的重要性,国家以法律的形式将其固定下来,作为企业构成的重要部分。新的《会计法》第二十七条规定:“各单位应当建立、健全本单位内部会计监督制度”。企业自身的监管力量,再加上外部相关部门的监督,保证了企业的“会计安全”。
(二)内部审计的核心内容
内部审计主要指的是指企业内部的一种独立、客观的监督、评价和咨询活动。它通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促使企业降低风险损失,改善运营效率和效果,增加企业价值,实现企业发展目标。财务管理是公司管理中的核心内容,内部审计在很大程度上是据此来进行设置的。这样就决定了内部审计必然是内部控制的关键环节,是它的再控制。但在我国传统企业管理模式的影响下,企业内部审计职能呈弱化趋势。这种弱化主要表现在:一是内部审计的职能、责任不明确;二是内部审计的部门、人员独立性不强;三是审计的内容过于狭窄。这些问题的存在严重影响了内部审计职能的发挥,最终导致企业规避风险能力的降低,给企业的长远发展埋下隐患。
二、内部审计与内部控制是公司治理的核心
内部审计与内部控制不仅是公司治理的内在需求,而且是公司治理的核心内容。公司治理作为现代企业永恒的命题,自始至终是一套相当严密、复杂的系统工程,要求企业生产要素、产权要素以及企业相关利益者的权、责、利得到合理匹配与分工。通过较为完整的制度安排和控制程序,使企业的人流、物流、资金流、信息流都能按照既定的流量、流速、流向在执行中起动、运行、停止。伴随着股份制公司的诞生和发展,所有权与控制权逐渐分离,上至股东,下到普通员工被层层授权成为,成为公司内外部各利益相关者中最为核心的关系。在这种企业利益重新铺排的情况下,为了防范可能发生的委托人与人的利益目标错位甚至背离,规避可能存在的人为自身利益而损害委托人利益.即所谓“道德风险”的发生,在公司治理的理论和实践中,各种对人的经营管理、经营绩效进行有效监督和控制的制度安排和控制机制被设计和制定出来,并逐步形成了“关系框架+制度安排+控制机制”三者合一的公司治理架构。
根据大量实践证明以及相关专家、学者的研究,公司治理既是一个静态的组织架构和控制机制,也是一个动态的螺旋式不断趋向完善的过程。在公司治理初始,治理目标定位在防范“道德风险”,治理手段主要依靠资本市场的作用和社会中介的会计控制。随着全球经济一体化进程的加快和跨国公司的发展,人们把关注的目光从道德风险转移到管理风险、经营风险、被兼并风险上,因为这些风险对企业生存和发展具有生死攸关的意义,公司治理的目标也从股东和公司利益最大化,转变提升为公司价值的最大化。这些都迫切需要在企业内部建立起自我约束、自我控制、自我监督的内部机制,与外部约束、控制和监督形成合力,共同承担起建立科学严密的公司治理机制、完成公司治理任务的重任。
三、内部审计是内部控制中的再控制
内部审计与内部控制关系非常密切,可以说内部审计是企业内部控制的重要环境因素、活动形式,是企业风险评估的主要执行者,是企业信息收集与沟通的重要参与者,还是企业内部控制的重要监督检查力量。总而言之,内部审计是内部控制中的再控制。因此,在企业活动的实践中,为了提高公司内部审计的地位,可以在董事会下设立审计委员会。公司的内部审计,应直接对董事会负责,并向审计委员会直接报告工作,接受审计委员会的业务指导。任何重要的审计决策由审计委员会提出方案,董事会最终批准。这既保证了公司内部审计的相对权威性,又保证了其相对独立性。这样,我们看到公司制企业的审计运行架构是:会计师事务所向现实和潜在的股东提供审计报告,主要监督董事会和经理班子的决策过程;公司内部审计向董事会提供审计报告,主要监督各分支机构执行决策的过程。
由于公司内部审计是内部控制制度的一部分,又着重于执行过程的监督,所以,必须将公司内部审计融入内部控制制度的运行过程,为此要求:一是强化内部控制制度的审计,把完善内部控制制度作为公司内部审计的基本目标;二是在进行内部控制制度的设计时,应尽可能把审计的职能设计与内部控制的各种流程、体系和框架中,使公司内部审计行为过程化,动态化、经常化;三是公司内部审计的主要任务是确保董事会的决策能够真正实现,它应把决策执行的审计作为重要内容之一。
随着市场经济发展的不断深入,企业之间竞争的日益激烈,引进先进的管理理念并结合自身的特点来发展壮大,这已经成为了很多企业必然的选择。内部控制与内部审计在企业治理方面具有极其重要的作用,因此,如何建立并完善内部控制与内部审计制度是我们当前应该考虑的首要大事。我们认为,首先应根据企业自身的实际情况来定,不能“生搬硬套”;其次公司治理是一项系统性工程,企业应该“多管齐下、多措并举”,尽可能地使用综合性的手段。
参考文献:
【关键词】审计; 质量; 控制
在公司内部审计中,内部审计人员及公司管理层关心的是如何确保审计工作质量,提高审计工作水平。这是一个全面而又复杂的问题,是审计工作水平的综合反映和集中体现,因此,提升审计工作水平必须在控制和提高审计质量上下功夫。
提高内部审计质量涉及的因素很多,包括法治环境、管理认识和管理部门水平、审计技术方法、审计人员素质等。从审计项目质量控制的角度来看,有三点必须明确,第一,审计项目质量控制是一个过程,包括计划―实施―报告―复核―整改等各个环节;第二,审计项目质量控制是一个体系,包括审计人员、审计组、审计部门、管理层在内的相关机构和人员;第三,审计质量控制的核心是分清责任,责任明确才能很好地对审计过程和各个层次人员的工作质量进行控制,也便于进行责任追究,具体应从以下方面进行。
一、确定审计项目和制定审计工作计划
这一环节质量控制的目标主要是确定审计项目的重要性,要具有针对性和可行性。所谓重要性,是指立项的项目必须是符合内部管理的需要,如企业内部管理的簿弱环节,或重点的领域、重点部门,重点投资领域,以及事关企业内部职工切身利益或关系企业的改革发展、稳定大局的重大事项。所谓针对性,主要有两层含义:一是必须紧紧围绕企业的发展和重要工作部署,二是审计立项的目的明确。所谓可行性,是指审计立项必须符合内部管理的需要,适合内部审计人力资源的现状。
二、审前调查与编制审计工作方案
审前调查是制定审计工作方案的基础。集团公司内部审计规范对审前调查的内容和编制方法都有详细规定,但是,在实际工作中由于有的内审人员不搞审计调查,总以为是内部单位,比较了解,特别是因为每过两年又审的单位,自以为情况熟悉无须调查;还有就是自以为比较熟悉内部单位,虽搞调查也是蜻蜓点水不深不细,只了解一些基本的人员、机构和核算形式,而具体到如资金的划拔等运转情况了解得不够。由此使审计工作方案简单,重点不突出,针对性差。
三、审计日记和审计底稿
审计日记和审计工作底稿是两个适用于不同范围的内容。审计的主要成果和查出的问题,是需要被审计单位认可并签字画押的;而审计工作过程的记录,主要反映的是审计人员实施审计检查的范围和方法,它是不需要被审计单位签字认可的,这两方面的记录都是十分必要的。前者是编制审计报告、下达审计意见书和整改的依据,后者是检查审计人员工作状况、分清审计责任、防范审计风险所必不可少的。由于审计工作底稿记录两方面的内容,加上对工作过程的记录并没有具体的检查措施,因而在实际工作中,就只注重审计问题的记录而忽视审计工作过程的记录。审计人员不记录工作过程只记录查出的几个问题,不能很好地分清审计责任和防范审计风险,一旦经审计过的单位暴露出新的问题,便无法分清审计时是否检查过这个环节,是通过什么方式检查的,找过哪些人了解情况等等,因此,应该对目前的审计工作底稿进行改进,实行审计日记和审计底稿两种文本,前者记录审计人员工作过程,包括查看了哪些账目、资料和文件,做了哪些取证工作,找哪些人了解过情况等等;后者主要记录审计成果,包括查出的主要问题,审计日记可以一日一记,也可以每一个工作段一记,审计底稿则应一事一记,同一类事项可做一个底稿,后面附上原始材料或取证材料。从审计日记应用情况来看,审计日记应由审计人员填写,审计组长审核签字,交审计组主审,与审计项目资料一起归档。审计底稿由审计人员编制,经审计主审审核后,交被审计单位签字,后由主审附在审计报告后面一并存档备查。
四、审计报告(意见)征求意见稿和审计报告(意见)
审计报告(意见)是审计工作情况和结果的集中反映,它应该起到三个作用:一是内部审计机构向管理层主管领导报告审计项目结果的文件,二是审计机构经主管领导签发后向被审计单位下达审计结论的方式,三是载明审计机构要求被审计单位履行审计意见的作为。审计组实施审计后需起草审计意见书或审计报告初稿,以不同方式向被审计单位以书面方式送达征求意见。目前采用的是以审计机构名义征求意见的方式,比较合理,有利于有效控制审计质量。征求意见后,审计部门应对审计意见书或审计报告再行修改,向管理层或主管领导报告,经把关签发后,向被审计单位出具正式审计报告或审计意见书。内部审计出于管理控制目的,不再像政府审计似的出具审计处理处罚规定,但结果、效果、目的是同样的。所以审计意见书或报告包括对被审计单位审计出问题的处理、整改事项是比较合理的。需要特别指出的是审计报告或审计意见的签发是审计项目质量控制的最后一个也是最重要的环节。审计工作多少年来一直比较突出这个环节,形成了一整套比较规范的做法,为审计质量的提高发挥了应有作用。
关键词:内部控制;审计报告;房地产
中图分类号:F279.23 文献标识码:A
收录日期:2015年9月30日
内部控制审计报告是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计后出具的审计报告。根据中国证监会联合财政部颁布的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》,自2014年起,所有主板上市公司均应披露内部控制审计报告。
一、房地产业上市公司内部控制审计报告总体披露情况
虽然根据我国证监会和财政部的政策要求,2014年所有主板上市公司均应披露内部控制审计报告,但是只有深市较好地执行了这一政策,而沪市的披露比例只有95.65%,中小板由于还未进入强制披露范围,因此披露积极性不高,披露比例只有11.11%。房地产行业上市公司总体披露比例达到了91.67%,相关强制性政策的积极作用较为明显。(表1)
二、非标准审计意见原因解析
内部控制审计意见类型包括标准无保留意见和非标准无保留意见,其中,非标准无保留意见具体有带强调事项段的无保留意见、否定意见和无法表示意见。2014年度被出具了非标准审计意见报告的7家房地产行业上市公司中,3家为否定意见,4家为带强调事项段的无保留意见。(表2)
(一)“否定意见”审计报告原因解析
1、荣丰控股集团股份有限公司。公司存在部分事项未履行董事会审议程序,也未及时履行披露义务。结合内部控制自我评价报告发现,公司于往年存在资产认购协议、对外财务资助、重大合作协议未及时履行披露义务的违规行为,受到深交所通报批评处分。公司内部控制的设计、运行两个层面均存有重大缺陷,缺陷内容集中在控制活动、信息与沟通方面。
2、上海新梅置业股份有限公司。公司内部审计部不能对公司的整体内部控制作出有效的评价和监督;且由于存在股权纠纷,股东大会和董事会的职能部分受到限制,股东大会不能正常召开和通过议程,公司的战略发展规划无法即时的在股东大会和董事会通过并实施,对企业未来的发展目标和收益带来重大影响。公司内部控制的设计、运行两个层面均存有重大缺陷,缺陷内容集中在控制环境、控制活动、内部监督方面。
3、上海多伦实业股份有限公司。公司被出具否定意见的原因为:(1)对外担保未履行审议、披露等程序。未及时确认子公司对外担保事项,未履行授权审批、信息披露等程序,对发生的重大诉讼事项未及时进行披露;对重要子公司疏于管理,对实物资产未定期检查所有权属证书,重要的实物资产权属证书使用、外借手续运行存在缺陷,未严格执行合同管理业务流程及印鉴管理规定;(2)重大资金支付未履行审议、披露等程序。公司及其控股子公司有部分资金支付未按照公司财务管理制度的规定履行审批程序及信息披露等程序,未签署相关与资金支付相对应的合同或协议;(3)重大投资未履行审议、披露等程序。公司设立金融服务公司的投资增加部分未履行正常授权审批以及信息披露等程序。公司内控机制和内控制度在完整性、合理性等方面不存在重大缺陷;但实际执行过程中存在重大偏差,在有效性方面亦存在重大缺陷,缺陷内容集中在风险评估、控制活动、信息与沟通方面。
(二)“带强调事项段的无保留意见”审计报告原因解析
1、深圳大通实业股份有限公司。由于项目工期延误,导致承担延期交房违约责任,出现支付违约金情况。结合《内部控制自我评价报告》的披露信息,该缺陷属于风险评估方面的一般缺陷。
2、海南亚太实业发展股份有限公司。其控股子公司所经营的房地产开发业务活动由同一控制人控制的关联方组织实施和管理,同时公司与该关联方存在经营相同业务的情况,公司控制环境存在重大缺陷。此外,公司没有设置内部审计部门,没有执行内部控制监督制度。该缺陷属于控制环境、内部监督方面的缺陷。
3、天津松江股份有限公司。其三级子公司恒通建设公司出纳利用职权挪用公司银行存款,私自开设基金账户申购基金并将基金转至个人名下,现案件尚处于刑事侦查阶段。该缺陷属于控制活动、内部监督方面的运行有效性一般缺陷。
4、大连大显控股股份有限公司。公司2013年为控股股东大连大显集团有限公司、大连太平洋电子有限公司分别提供1.5亿元和2亿元担保,该行为未履行相关审批、披露程序;公司通过其全资子公司将募集资金3.4亿元从募集资金专用账户转入子公司其他定期存款账户,该行为未履行相关审批、披露程序。上述缺陷属于控制活动、信息与沟通方面的一般缺陷。
三、非标准审计意见中关于内部控制缺陷的分析
(一)设计缺陷与运行缺陷。企业制度和流程的缺失会带来设计有效性缺陷,使得相关风险不能得到有效控制,无法达成控制目标,必然会对企业带来不利影响。设计有效性缺陷重于运行有效性缺陷,它应是企业关注的重点。
运行性缺陷,一方面是由于内部控制的局限性(如联合舞弊、管理层逾权、疏忽大意等)造成的;另一方面是由于缺乏有效的内部监督机制造成的。即使企业不存在设计有效性缺陷,也应建立健全内部监督机制确保企业制度及流程的有效运行,以防运行性缺陷可能导致的重大风险。
就房地产业上市公司2014年度内部控制审计报告披露的信息来看:在被出具否定意见的3家公司中,除了多伦股份明确表明公司设计层面并无重大缺陷,荣丰控股和新梅置业均在设计层面和运行层面存在重大缺陷;被出具带强调事项段意见的4家公司均在其《内部控制自我评价报告》中表示已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制,也不存在非财务报告内部控制重大缺陷,多为运行层面的一般缺陷。
(二)缺陷内容分析。从被出具了非标准内部控制审计报告的房地产业公司的内控缺陷来看,这些缺陷在内部控制五要素中均有涉及,其中控制活动方面的缺陷最多,其次是信息沟通与内部监督方面,较少出现控制环境和风险评估方面的内控缺陷,如表3所示。控制活动方面的内控缺陷具体来说主要是制度建设、授权审批、合同管理、投资控制等一般控制活动方面的缺陷,也有财产安全、关联方控制等关键控制活动方面的缺陷。信息与沟通方面的缺陷主要是信息披露相关缺陷,内部监督方面主要是监督机制和内部审计方面的缺陷。(表3)
此外,通过上述分析,发现已披露的内控缺陷大多为财务报告内部控制,审计意见只针对财务报告内部控制的有效性,非财务报告内部控制只有在存在重大缺陷时才会在审计报告中披露,可以看出现阶段的内部控制审计更加关注企业财务报告内部控制,相关政策可以进一步完善,提高对非财务报告内部控制的关注。
(三)缺陷认定标准。结合企业《内部控制自我评价报告》进行分析,发现不同企业在重大缺陷的认定方面标准各异,根据《企业内部控制配套指引》,会计事务所在对企业内部控制进行审计时,对重大缺陷的认定标准也只有定性描述,而在认定内控重大缺陷时除了定性标准,还有重大错报、重大损失等可以具体量化的标准,企业在自评报告中多是根据公司自身利润额或资产额的一定比例来界定重大错报或重大损失,但随意性较大,企业可以自由操作,导致各公司之间可比性不高。
四、相关建议
对房地产企业来说,由于设计层面的重大缺陷往往导致企业相关内部控制的失效,因此企业应当重视设计层面的内部控制,确保既有的制度和流程是规范的、可执行的,并监督及强化制度执行,尤其要高度关注企业控制活动、信息与沟通、内部监督等方面的内部控制是否有效,对各类控制活动可以有所侧重,但不可有所忽略。
对监管部门来说,建议相关政策进一步完善,提高对非财务报告内部控制的审计要求,使内部控制审计报告对企业内部控制的评价更加全面,从而更好地发挥内部控制审计的积极作用;同时,重大缺陷的评价标准应逐步量化、统一,从而增加不同企业内部控制评价结果的可比性。
主要参考文献:
[1]徐晓情.论施行《内部控制基本规范及配套指引》的积极作用――基于2013年中国上市公司内控审计报告的视角[J].时代金融,2015.2.
[2]何芹.内部控制审计意见、财务报表审计意见及内部控制自评结论――比较分析与数据检验[J].中国注册会计师,2015.2.
[关键词]证券公司;内部审计;问题;措施
经过20余年改革与发展,中国证券公司已取得全球瞩目的成就。据报道,中国证券业2006年上半年收入231亿元,纯利123亿元,中国证券业在近年将会实现盈利,扭转前几年的亏损局面。但中国的证券业还处在非常关键的阶段,资本市场的发展任重而道远。中国证券市场持续低迷,投资者对资本市场缺乏信心,尚未形成完善的、稳定的运营机制。为了维护广大投资者的利益,监管部门应重视对证券公司的审计监管,而证券公司更要加强内部审计,以保证资本市场和市场经济健康与持续地高效运行。
一、加强证券公司内部审计是经济稳健发展的迫切需要
证券公司属于高风险行业。近几年,中国证券公司已出现透支挪用资金、法人投资者以个人名义炒股、编报虚假申报材料、出具虚假证明文件等一些违法、违规行为。2002年以前,我国高风险证券公司被处置还属于个案,2002年8月以后,由于市场低迷,证券公司连续几年出现全行业亏损,多年积累起来的风险集中爆发,因重大违规行为受到处置的证券公司数量急剧上升。到2006年7月,不足4年时间就有34家高风险证券公司被处置,证券公司面临行业建立以来的第一次系统性危机。在证券违法犯罪案件中,证券经营机构的违法、违规行为超过半数,显示在证券公司取得良好经营业绩的同时,自身的内部控制有待优化。在这样的背景下,2008年4月23日,国务院总理签发国务院522、523号令,《证券公司监督管理条例》、《证券公司风险处置条例》。
21世纪国内证券公司正面临前所未有的发展机遇,同时在重新“洗牌”中经受到严峻的挑战。如何防范和化解风险,既是监管机构必须考虑的问题,也是证券公司不能回避的责任。《证券公司内部控制指引》第133条规定,“证券公司应设立监督检查部门或岗位,独立履行合规检查、财务稽核、业务稽核、风险控制等监督检查职能;负责提出内部控制缺陷的改进建议并敦促有关责任单位及时改进。”约束、自律作为证券公司获得良好信誉的前提,也是券商在激烈的市场竞争中稳操胜券的法宝。证券公司内部审计是对公司经营活动全过程进行的监督,目的是防范风险,纠正违规,加强内部控制,保障证券公司健康发展。证券公司的内部审计部门对于公司的规范经营负有重要责任,内部审计职能的发挥程度直接影响证券公司的长期生存与稳健发展。因此加强内部审计工作已成证券公司当务之急。
二、我国证券公司内部审计现状与问题
目前,证券公司普遍设立了内部审计部门,但内部审计工作现状与其重要性并不相适应,内部审计还远没发挥其应有作用,体现在以下几个方面:
(一)审计范围有限,未覆盖到各部门、各环节。证券公司内部审计部门应实施全方位审计,但从目前情况来看,审计范围并没有覆盖各部门、各环节。例如,有的证券公司只注重对营业部和分支机构业务活动的合规性、合法性的监督,而未涉及到对公司总部的重点业务部门和职能部门的审计,如投资部、资产管理部、财务部等。有的证券公司虽然开展了针对这些部门的审计,但在审计实施及出具审计报告时有所顾忌,不能客观反映真实情况。总体来说,内部审计部门代表公司对下属营业部的稽核审计工作比较容易开展,对总部其他同级部门或投资部等重要部门实施审计则有一定难度。
(二)内部审计重视财务、淡化管理。证券公司属于资金密集型行业,在运转过程中极易发生各种风险,近年以来被处置的高风险证券公司数量之多史无前例。而我国证券公司的内部审计大多将主要精力放在财务数据的真实性、合法性的审查及监督上,审计的对象主要是会计报表、账簿、凭证及相关资料,内部审计的职责集中在“查错防弊”上,很少对公司管理做出分析、评价和提出管理建议。事实上,证券公司发生或产生错误与舞弊等问题不限于财务部门,更多的是在经营管理过程中,内部审计部门的职责也并不仅限于“查错防弊”。把审计重点局限于财务数据的真实性上,不利于发挥内部审计部门的作用。
(三)重事后检查,轻事前、事中控制。内部审计部门在事后监督检查,主要是财务数据的检查方面比较到位,而在事前和事中控制方面所起的作用还远远不够。事后检查只能发现已经发生的问题,而如何防微杜渐、亡羊补牢才是问题解决的关键。严格来说,制定、执行制度并不是内部审计部门的主要工作,但内部审计人员由于工作的关系,可以深入基层,掌握第一手的资料,有机会了解内部控制方面的薄弱环节,针对审计中发现的问题,可以在制度的制定和执行方面提出合理的建议。由于各方面的原因,证券公司内部审计重在事后发现问题,忽视了对可能产生的风险或不安全隐患的防范与分析,对于事前、事中控制的关注远远不够。
(四)内部审计技术落后,审计效率不高。综合治理后,证券公司规模不断扩大,业务种类不断增加,证券公司内部审计的工作量也越来越大。而部分证券公司审计手段比较单一,基本上还是采用现场审计方式。证券公司规模扩大后,高素质的内部审计人员数量不足以及财力、物力的限制,使得内部审计的广度和深度都不够,甚至会影响到审计报告的及时性。现有审计手段远不能适应业务活动的节奏和风险控制的要求,审计效率不高,严重制约了内部审计监督评价和提供增值服务的作用。
三、影响证券公司内部审计工作的制约因素
(一)内部审计部门缺少应有的独立性。独立性是内部审计的灵魂,也是内部审计工作的必要条件。内部审计人员只有具备应有的独立性,才能客观地实施审计,才能作出公正的、不偏不倚的评价。国际内部审计师协会在《内部审计职业实务标准》中,对内部审计机构的组织地位作了明确规定,核心内容有3条:内部审计机构应置于组织内部的较高层次,内审机构的独立性和权威性的强弱,主要取决于其隶属关系和领导层次的高低,领导层次越高,独立性和权威性越高;内部审计部门负责人应直接向组织内的最高决策层负责并报告工作,从而保证内部审计活动的实施;内部审计活动不受其他职能部门或个人的干扰。同时,按照规定证券公司内部审计部门应当对董事会负责,独立于证券公司其他部门,对公司所有部门、所有环节实施监督。实际工作中,内部审计部门虽然名义上归董事会领导,与内部其他部门处于基本平级的地位,内部审计人员的绩效考核与晋升等还要受制于公司其他部门。内部审计部门独立性的缺失必然会导致审计范围受到限制。
(二)对于内部审计职能的认识急需深入。国际内部审计师协会重新修订并已于2002年1月1日起正式实施的《内部审计职业实务标准》,将内部审计定义为:一项为了增加价值和改善运营所进行的独立的、客观的确认和咨询活动。它运用系统化、规范化的方法来评价和改善组织的风险管理、控制及公司治理过程的有效性,帮助组织实现其目标。新定义中突出内部审计的“咨询”、“增加组织的价值”和“改善组织的风险管理、控制及公司治理”功能。这种内部审计不同于传统的“监督导向型”内部审计,而被称之为“服务导向型”内部审计。从现实来看,证券公司内部审计人员多是在实践中摸索和成长起来的,内部审计的理论基础并不扎实,对于内部审计职能的认识不够全面。在审计过程中,内部审计部门往往重监督评价,轻控制和服务。主要审计力量集中在财务数据的事后检查方面,对于内部控制的监督评价不够重视。在为公司经营管理提出建议,发挥服务职能方面的作用非常有限。
(三)非现场稽核手段应用不够充分。证券公司目前内部审计手段还比较落后,基本上采用现场稽核方式。综合治理完成后,证券公司数量减少,规模扩大,营业网点不断增加,证券公司内部审计的工作量越来越大,传统审计手段已经不能满足新形势的要求。近年来,证券公司逐渐建立了集中的交易监控系统和集中的财务监控系统,通过将交易监控和财务监控连通运作,实现了交易数据和财务数据的互相核对。环境的改变为非现场稽核审计的实施提供了便利的条件,非现场稽核手段应用不充分影响了内部审计的效率和效果。非现场稽核成为了证券公司在现阶段的一项重要而迫切的研究课题。
(四)内部审计人员素质较低,复合型人才匮乏。目前,我国大部分证券公司还没有建立完善的准入标准和考核机制,内部审计人员的岗位要求不明确,难以保证内部审计队伍的素质。内部审计是一项政策性强、涉及面广的工作,内部审计人员不仅要通晓财会知识、审计理论、法律知识,还必须掌握电脑知识,并具有较强的综合分析能力及文字表达能力。当前相当一部分内部审计工作人员缺乏必要的电脑知识,业务知识面较窄,加上日常工作相当繁忙,缺乏专业培训,专业能力下降,不适应新形势下内部审计工作任务要求的需要。内部审计人员素质不高,缺乏复合型人才,影响了内部审计作用的有效发挥。
四、改进我国证券公司内部审计工作的若干措施
(一)提高内部审计机构的独立性。内部审计机构只有独立于其他职能部门,并在证券公司内部位于比较高的层次,才能确保内部审计意见、结论和建议的公正、客观、权威和有效,真正发挥公司最高决策层的参谋和助手作用。为保证证券公司内部审计的独立性,不仅是名义上,实质上内部审计机构也要置于董事会或监事会领导下,内部审计机构应当直接对董事会或监事会负责并报告工作。内部审计机构负责人任免,内部审计机构和人员的评价与考核,要直接由董事会或监会事决定。内部审计机构的年度审计工作项目计划、人员计划及财务预算要提交最高管理层和董事会备案。内部审计机构每年一次或在必要时多次向最高管理层和董事会提交工作报告。
(二)全面发挥内部审计职能与权威性。内部审计作为证券公司治理结构中监督、反馈系统的核心,客观上要求内部审计为公司提供一种独立、客观的监督、评价和咨询活动,其目的是增加组织的价值和改善组织的经营。如果内部审计仍局限于传统的财务审计,就无法满足这个要求。因此,内部审计的工作重点必须从传统的“查错防弊”转向为公司内部的管理、决策及效益服务。内部审计的职责应从审查和监督向评价与咨询方面拓展,其作业范围不应当局限于财务领域,而应扩展到公司经营管理的各个方面。
(三)充分利用非现场稽核审计手段。限于现场审计的成本、人力等方面的制约,现场审计和检查的频率不可能很高,一般一年一次或者更长,这种频率目前无法满足风险管理的要求。随着证券公司各项业务电子化、网络化程度提高,内部审计部门可以通过采集被审计单位柜台系统、财务系统、日常监控系统以及被审计单位历年审计的历史数据等信息,借助内部网络查询、筛选、记录、分析等,对被审单位实施非现场稽核审计。覆盖全面的公司内部网络,可为有效地利用信息技术手段对证券公司营业部开展非现场稽核审计创造条件。
利用信息系统手段可以在以下几方面进行非现场稽核。首先,可以利用各种监控系统作为现场审计的辅助手段。在实施审计之前,可以利用公司内部网络,对于被审计单位的情况进行事先分析,确定审计重点,这将大大节约现场审计的时间,提高内部审计的效率。其次,可以利用内部网络以及各监控系统进行专项稽核审计,对于业务和财务的一些专项检查,不必亲自到现场审计,通过各内部系统就可以得到所需的数据和资料。另外,根据内部审计需要,一切可以在非现场审计的数据和非数据信息都可以根据需要纳入非现场审计系统。
(四)建设德能兼优的高素质内部审计队伍。首先,要制订内部审计人员任职资格标准。内部审计人员在思想上,要有很强的敬业精神,恪守客观、公正、廉洁的原则;在专业上,要有扎实的基本功,熟悉证券知识和公司开展的各项业务操作流程,掌握金融法规政策及公司内部规章制度,熟练运用电脑的基本技能。在能力上,要有敏锐的观察力、判断力和文字表达能力,同时还要有良好的沟通能力,以便于跟公司各部门及分支机构进行交流与合作。其次,要改善内部审计人员结构。由于内部审计领域的扩展和审计层次的提升,原来单纯的财务人员结构已不能适应内部审计工作的需要。内部审计部门不仅需要财务会计专门人才,也需要具备经济学、管理学知识的专门人才。因此,必须要配备实践经验丰富、业务水平较高的企业管理、经济法律、信息技术等方面的专业技术人员,建立一支知识结构多元化的内部审计队伍。再次,还要加强对内部审计人员的后续培训工作,使内部审计人员及时更新知识,掌握新的技能和方法。重视和加强包括会计、审计在内的各相关专业知识的培训,使内部审计人员具有较为广博、坚实的专业知识基础,其能适应和处理不同类型业务及复杂问题,从而为决策者提供更多更好的意见与建议。为实施非现场稽核以及远程审计的需要,尤其要加强审计人员计算机知识与技能培训,全面提高审计人员计算机审计水平,培养一支具有一定的业务审计水平,又掌握计算机审计等技术的复合型审计人才队伍。
参考文献:
[1]王丽榕,试论我国内部审计独立性的缺失原因及应对措施[J]会计之友,2008,(10)
[2]杨婧,现代内部审计主要方法的运用[J],山西财经大学学报,2008,(11)
[3]李学柔内部审计转型浅析[J],财会通讯,2007,(5)
关键词:内部控制;内部控制审计;财务报告内部控制
中图分类号:F239 文献标识码:A
收录日期:2014年12月23日
安然事件和世通事件爆发后,美国于2002年7月颁布了《萨班斯-奥克斯利法案》。该法案的第404节以及美国证券交易委员会(SEC)的相应实施标准,要求上市公司管理层评估和报告公司最近年度财务报告的内部控制的有效性,第404节还要求上市公司聘请外部审计师对管理层的内部控制评估意见出具“证明”。自此拉开了内部控制鉴证的帷幕。随后,美国公众公司会计监督委员会(PCAOB)分别于2004年3月和2007年6月了其第2号审计准则《与财务报表审计相关的针对财务报告内部控制的审计》和第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》,这两个准则主要对内部控制审计进行了更为具体的要求,并阐述了内部控制审计与财务报表审计之间的关系。在我国,中国注册会计师协会(以下简称中注协)于2008年颁布了《企业内部控制鉴证指引(征求意见稿)》,财政部会同证监会、审计署、银监会、保监会于2010年制定了《企业内部控制应用指引第1号――组织架构》等18项应用指引及配套指引,配套指引包括《企业内部控制评价指引》和《企业内部控制审计指引》明确要求执行该指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。由此可见,内部控制的审计工作及其规范问题已经引起了我国监管部门及学术界的高度关注。但是,目前依然有一些问题存在争议,这些问题关系到内部控制审计这种制度能否达到预期的效率和效果。本文拟对我国内部控制审计中存在的几个问题进行初步的探讨。
一、内部控制审计业务的性质
根据提出意见的对象不同,审计业务可以分为基于责任方认定的业务和直接报告业务。因此,内部控制审计有两种选择:一是针对被审计单位管理层做出的内部控制自我评价报告提出结论,属于基于责任方认定的业务;二是针对被审计单位的内部控制有效性提出结论,属于直接报告业务。由于这两种业务性质的不同,导致注册会计师与管理层的责任划分、审计程序、发表审计意见的依据、审计报告的内容和格式都会有所不同。在基于责任方认定的业务中,注册会计师的责任是对被审计单位管理层做出的内部控制自我评价的再评价,审计对象是内部控制自我评价报告,审计的重点是管理层的自我评价报告是否真实、公允地反映了被审计单位内部控制的情况,而不是内部控制的有效性,尽管内部控制的有效性是注册会计师做出判断的基础。在审计报告中应明确提及管理层的内部控制自我评价报告,如果被审计单位内部控制存在重大缺陷,但是管理层已经在自我评价报告中进行了充分的披露,那么注册会计师依然应当发表无保留意见的审计报告。只有当被审计单位的内部控制存在重大缺陷,而管理层未在自我评价报告中进行披露,或未进行充分披露时,注册会计师才发表非无保留意见的审计报告。而在直接报告业务中,注册会计师直接对被审计单位内部控制的有效性发表审计意见,责任是对内部控制的有效性提供合理保证,重点在于评价内部控制的有效性,在审计报告中无需提及管理层做出的自我评价报告,审计报告的意见类型由内部控制是否有效来决定,而与管理层的自我评价报告的意见类型无关。
在中注协于2002年的《内部控制审核指导意见》中指出“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。”由此可见,《指导意见》将内部控制审计业务划归为基于责任方认定的业务,即对管理层认定的再认定。上海证券交易所(以下简称上交所)2006年6月的《上海证券交易所上市公司内部控制指引》也采用的是基于责任方认定的业务观,其第三十二条指出,“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。”而深圳证券交易所(以下简称深交所)则认为内部控制审计属于直接报告业务,在其分别于2006年9月和2007年12月的《深圳证券交易所上市公司内部控制指引》和《中小企业板上市公司内部审计工作指引》中都指出上市公司在聘请注册会计师对公司进行年度审计的同时,应对公司内部控制的有效性出具鉴证报告。中注协于2008年7月的《企业内部控制鉴证指引(征求意见稿)》以及财政部等五部委于2010年制定的《企业内部控制审计指引》均采用的是直接报告业务观。由此可见,目前我国对于内部控制审计业务性质的界定存在着不同的意见,不同部门制定的规章制度之间存在着矛盾。
笔者认为,无论采用基于责任方认定的业务观还是直接报告业务观,其根本目的是相同的,即促进企业建立健全内部控制,合理保证企业目标的实现。但将内部控制审计界定为直接报告业务更为合理,原因有以下几点:
首先,从审计成本看,无论是将内部控制审计界定为基于责任方认定的业务还是直接报告业务,均需要注册会计师对被审计单位内部控制的有效性进行测试,而注册会计师若要对被审计单位管理层的内部控制自我评价报告发表意见,还要测试自我评价报告与内部控制情况是否相符,审计成本大大增加。
其次,从预期使用者的角度看,无论是获取内部控制自我评价报告还是内部控制审计报告,预期使用者的目的都是了解内部控制的有效性,进而对被审计单位的运营情况作出判断。因此,直接对内部控制的有效性提供保证更符合预期使用者的需要。
最后,从注册会计师的责任上看,管理层出具的内部控制自我评价报告是针对被审计单位所有的内部控制,而注册会计师进行内部控制审计则侧重于对于财务报告有关的内部控制发表意见。若要求注册会计师对内部控制自我评价报告发表审计意见,则需要注册会计师了解和测试所有的内部控制,从而大大增加了注册会计师承担的审计责任。
因此,将内部控制审计界定为直接报告业务是合适的,《企业内部控制审计指引》第二条中也明确指出“本指引所称内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。”很明显,《企业内部控制审计指引》已经将内部控制审计界定为直接报告业务。
二、内部控制审计业务的范围
美国COSO委员会于1992年9月的《内部控制整合框架》(以下简称COSO报告)已经成为美国普遍接受的内部控制规范,其他各国的内部控制规范也大都参考了COSO报告中对内部控制的界定。COSO报告指出,内部控制有三大目标,即财务报告目标、经营目标和合规性目标。为了实现内部控制目标,管理层制定的内部控制活动中有一部分并不直接与财务报告相关,例如人力资源控制、经营业绩分析、组织结构控制等。注册会计师在对内部控制进行审计时,是对内部控制整体发表意见,还是仅对与财务报告有关的内部控制发表意见呢?
我国《企业内部控制基本规范》中要求对企业内部控制的有效性进行审计,并没有明确指出是内部控制整体还是仅针对与财务报告有关的内部控制。《上海证券交易所上市公司内部控制指引》中要求会计师事务所对内部控制自我评估报告发表意见,管理层做出的内部控制自我评价是针对内部控制整体的评价,因此我们可以将该指引理解为要对内部控制整体进行审计。而在《内部控制审核指导意见》、《深圳证券交易所上市公司内部控制指引》以及《中小企业板上市公司内部审计工作指引》中则明确界定了审计对象是与财务报告相关的内部控制。
笔者认为,对内部控制整体进行审计和对与财务报告有关的内部控制审计各有利弊,可从以下几个方面进行分析:
首先,从预期使用者的角度看,预期使用者通过获取财务报表审计报告和内部控制鉴证报告来增强或降低其对财务报告的信赖程度,从而影响其做出的经济决策。因此,预期使用者主要关注的是上市公司财务报告的可靠性,其对内部控制审计的诉求也主要针对与财务报告有关的内部控制。
其次,从管理层的角度看,管理层设计和实施内部控制,除了合理保证财务报告的可靠性之外,还有经营目标和合规性目标。因此,管理层更加希望注册会计师对内部控制整体发表意见,这相当于对上市公司提供了高质量的管理咨询。
最后,从审计成本和注册会计师的责任上看,对内部控制整体进行审计审计成本大大增加,并且注册会计师要合理保证内部控制整体运行的有效性,其承担的法律责任也大大增加。
因此,我们认为将审计对象界定为与财务报告相关的内部控制是合理的,但同时也应当适当的考虑到与经营目标和合规性目标相关的内部控制。《企业内部控制审计指引》第二条指出“本指引中内部控制审计的范围,主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制,可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。”
三、内部控制审计业务的主体
内部控制审计业务和财务报表审计业务是否可以由同一家会计师事务所来承接呢?
《内部控制审核指导意见》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、《中小企业板上市公司内部审计工作指引》均没有明确说明内部控制审计应单独作为一项审计业务与财务报表审计分开承接。《企业内部控制基本规范》也仅要求“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。”
有学者认为,两种审计业务的目标不同、审计对象不同、发表审计意见的方式不同,将两种业务整合在一起,难以保证审计质量,也无益于审计效率的提高。并且,一个会计师事务所同时承接这两项审计业务会提高服务费用,增加事务所对某一客户的依赖程度,从而影响注册会计师的独立性,因此应将内部控制审计作为单独一项业务由其他事务所承接。
笔者认为,了解被审计单位的内部控制并对其进行控制测试本身就是财务报表审计过程中很重要的一项工作,同时这也是内部控制审计的核心工作。注册会计师在对内部控制进行审计的过程中重点关注的是与财务报告相关的内部控制,如果没有审计财务报表,就无法对与财务报告相关的内部控制有效性发表意见。因此,把两种审计业务整合起来,有利于注册会计师对被审计的单位的内部控制进行全面的了解和测试,从而降低审计成本,提高审计质量。《企业内部控制审计指引》第六条中也规定了“注册会计师应当将内部控制审计与财务报表审计整合进行。”
我国内部控制审计制度起步较晚,很多问题依然存在争议,实施过程中也存在一些问题。只有立足国情,借鉴国际惯例,不断探索,才能做出恰当的选择。
主要参考文献:
[1]阚京华.我国内部控制发展的制度性缺陷与完善[J].审计与经济研究,2006.3.
审计成果是指审计人员在审计实践中经过实施审计程序,汇总工作成果而形成的审计结论与建议,是审计机构、审计人员在依法履行职责过程中形成的工作结晶,其主要表现形式为审计报告。但如果审计成果的运用仅仅停留在审计报告发现问题的整改方面未免过于单薄。笔者以某大型国有企业成本中心A公司为例,探讨一下如何利用审计成果开展企业经营风险立体防控。
一、审计成果运用存在的问题
A公司系成本中心,没有业务收入来源,公司实行扁平化管理,管理职能集中在公司本部,会计集中核算,下级单位不单独设置财务部门,公司本部审计部门不独立,与纪检监察部门合署办公,规章制度统一应用省级主管部门通用制度,审计成果运用存在以下问题:
(一)审计成果运用未有相应的企业内部资源支撑
内部审计部门与被监督部门同级。内部审计机构直属领导的层次越高,其独立性越强,权威性越高,工作也就容易开展。A公司内部审计部门处于同级监督状态,审计的独立性和权威性较低。
内部审计部门与纪检监察部门合署办公,人力资源配置受限,两种不同的监督业务混杂,不利用审计成果运用的专项开展。
内部审计部门统一运用上级主管部门的规章制度,与自身实际情况脱节。
(二)审计成果运用流于形式
A公司高层很重视审计报告发现的问题,每次审计报告特别是上级审计报告出炉后,都会及时指示整改,业务部门也兢兢业业开展整改工作,但整改后,类似问题不久就会卷土重来,一再重复发生。经营风险未达到有效控制。
(三)审计成果运用未持续深入
A公司对审计成果的运用停留在问题整改的层面上,未进一步深挖审计成果,除了问题整改,未进一步采取防控措施,使风险点仍然是出血点。
(四)审计成果运用未与员工奖惩挂钩
A公司审计报告发现问题的整改未与员工奖惩机制挂钩,什么人对问题负责不确定,什么时间整改完毕不确定,整改效果如何不确定。
二、利用审计成果开展企业经营风险立体防控
针对前文所述问题,A公司高层管理人员指示审计部人员采取切实有效的措施改变现状,A公司审计人员采取以下方式,充分利用审计成果,构建全方位的经营风险防控系统。
(一)制度审计成果运用规章制度,为风险防控提供立足之本
在A公司本部各部门及下属单位中充分开展调研工作,听取多方意见,结合公司实际情况,对上级部门制定的《审计成果运用实施细则》进行了修订,从运用原则、程序及内容上明确相关部门的权限和职责,对下属单位负责人的绩效考核办法中,明确了被内外部审计发现的问题,如果未按有关规定做好问题整改、检查、督促和落实工作的要进行考核的规定。特别强调了已发现问题的再次发生,将考核相关责任人,从制度上保障审计工作的权威性。
由于A公司无法对内审机构进行增设,职能采取增加审计人员,审计人员与纪检监察人员的工作职责相对独立,以增强审计工作的独立性。
(二)建立督办程序,为风险防控搭建防范大堤
(1)审计人员整理审计报告相关内容,形成审计决定,报公司总经理审批,再将审计决定以整改通知书的形式下发相关整改单位,整改通知书明确整改时限。
(2)整改单位整改完毕后,将整改情况及今后的防控措施形成整改报告报送审计部门。对未整改事项,要专题说明遇到的问题和困难,并明确最终整改期限。
(3)审计部门对整改情况不定期抽查,确定整改事项的真实性和合理性,对不按期整改及弄虚作假行为进行通报,并扣减当期绩效工资。
(三)建立审计分析会制度,为风险防控提供正反馈
在每次审计结束后,审计部门及时召开审计分析会,联合公司各部门、各单位讨论审计报告发现的问题,一方面对审计成果予以通报,另一方面让相关部门参与审计成果运用的讨论,提高了审计整改工作的可行性。
(四)宣贯风险防控手册,将风险防控关口前移
审计部门主动将风险防控的职责前移,加强事前监督的力度,汇总分析公司历次内外部审计发现的共性问题,以业务流程为主线,逐个分析风险点,提出防控措施。将以上成果以手册形式,通过教育培训的方式开展宣贯工作,使业务工作人员对工作中存在的经营风险了然于心。
三、利用审计成果开展经营风险防控的原则
综合A公司案例,我们发现在利用审计成果开展风险防控时,我们应该把握以下原则:
(一)注意防控工作的职责界面
审计部门在风险防控中只是监督和提示部门,不是执行单位,要注意“到位不越位”,不能跳过业务部门开展经营风险防控,更不能替代业务部门开展风险防控工作。
(二)注意防控工作的实效性
防控工作应该与企业的业务工作密切相关,不建空中楼阁,脚踏实地,以内部审计的基础数据为准,有的放矢的开展风险防控工作。
(三)注意防控手段的可行性
【关键词】油田工程;项目审计;审计质量
一、提升油田工程项目审计质量的基本思路
1.坚持科学审计的理念。对石油工程项目进行审计要使用科学的审计方法,并用正确的理念去引导审计工作。审计项目的选择要有一定的代表性,审计的内容要尽可能的详尽,审计的问题要有一定深度,只有做到以上几点才能提升审计的质量。石油系统内部审计部门要做好对自身定位,内部审计部门不仅仅是要做好监督工作,同时还要做好服务工作,为石油系统的高层领导和被审计单位进行服务,找到日常工作中存在的风险点并引导其加以改正,查出问题不是目的,避免风险发生才是内部审计工作的意义所在。在内部审计工作的过程中,不能只是查出问题就算完成任务,更重要的是发现问题成因,看看是经营管理的漏洞还是内控制度的缺失,尽快查缺补漏,帮助被审计单位在日后更好地开展工作。服务型的内部审计工作能够避免被审计公司的抵触情绪,有利于审计工作的开展,也能够更好地解决问题,避免风险的发生。
2.油田领导大力支持工程项目审计工作。石油公司的高层领导们始终注重内部审计部门,把审计部门看作是石油系统内部重要的组成部分,非常支持开展审计项目。石油系统每年都会定期、不定期的举办审计专题会议,讨论审计方向、审计方法、审计技术及审计经营等内容,同时石油系统高层还会向各分公司领导传达重视审计的精神和要求,全系统内都要支持审计部门的工作。审计部门的硬件设施、软件设施以及人员配备在系统内部都是精良的,对于审计部门的合理需求领导们一般都会直接开绿灯,大力支持审计部门工作。在高层领导的支持下,石油公司的内部审计部门每年都会按照计划有序地开展审计工作,正是由于高层领导的重视,内部审计部门更要提高审计报告的质量,对问题的剖析要有一定的深度,能够找出问题产生的根本原因并给出指导建议,同时还要把这些问题进行整理,在系统内部进行交流学习,让其他分公司在日常工作中规避这些风险,做到一劳永逸,提高审计效率。有广度、有深度、有经验、可复制的审计报告才是高质量的审计报告,石油系统内部的审计部门要尽可能地提高审计报告质量。
3.建立完善的项目审计运行机制。石油系统是一个庞大的体系,涉及面非常广也很复杂,这给内部审计工作带来了一定的压力,为了保证内部审计工作的正常运转应该建立完善的内部审计机制。石油审计主要针对两大方面,一是廉政项目审计。二是业务项目审计。这两个项目在做审计时应该独立开展,并且在审计部门内做好检查与监督,确保审计的公正性和完整性。相互制约又相互联系的机制才是成熟的机制。石油系统内部审计可以将审计工作分为几个层次,不同的层次负责不同的工作内容,有监督的、有质检的、有审计项目的,这样才能保证审计工作有序开展。审计每一层级都要对其自身和下一层级的工作负责,审计工作要层层检查,严格把关,保证审计工作的质量和效率。在审计工作中也要有严格的规则和赏罚制度,让审计人员按规则办事,不能徇私舞弊或夸大问题,为审计项目负责。
二、构建审计质量控制节点模式的操作流程
1.划分审计业务节点。首先,构建审计业务流程。可以将审计工作分为三个阶段:一是审计工作准备阶段,组建审计小组,了解审计项目,制订审计方案。二是审计工作实施阶段,进入现场开始审计,收集审计资料,专人访谈,编辑审计工作底稿。三是审计工作完成阶段,向领导汇报工作,撰写审计报告,签发审计结果,整理归档。其次,明确各环节工作内容。将石油公司内部审计工作划分业务节点后要明确各节点的工作内容,做好行事历并明确责任人,这样能够及时完成各节点工作,有利于提高审计工作的效率。梳理各节点的工作内容能够让审计小组按部就班的工作,不会出慌乱或者遗漏情况。最后,明确审计人员工作职责。在项目审计时会成立审计小组,审计组组长应该明确审计小组内每个人的工作内容,这样大家才能各司其职,协同工作。
2.明确审计节点业务内容。提高审计实施质量控制最有效的办法就是明确审计工作中各节点业务内容。将审计工作科学划分节点有利于明确审计工作的所有流程,并保证各节点工作保质保量按时完成。石油项目内部审计工作可以在明确流程和节点后做出具体的分解,分解各节点的审计内容、审计方法、审计目的,明确每个节点的工作人员职责和节点工作完成时间,这样才能更好地控制审计质量。对于审计节点工作的细化有利于集中资源重点审查某一项内容,不仅能够提高内部审计工作的效率还能提高审计工作的准确性。在审计过程中可以参照流程进行追踪,对各个环节加以管控,同时也方便分析及修改。除了明确各环节的工作内容外还要明确负责人,如果有某个环节出现问题就可以直接找到各环节负责人去解决。
3.检查审计质量控制的关键点。在石油项目审计过程中会出现一些不利于审计质量达标的因素,这些因素就成为影响审计质量的关键点,在审计工作开展过程中就是要找到这些不利因素并加以避免。影响审计质量的因素有很多,审计工作人员应该对这些因素加以分析和分类,不同种类的风险因素要使用不同的方法去控制,从而提升审计工作整体质量。审计工作人员可以将风险因素分为高风险。中风险和低风险。对于高风险、中风险因素一定要进行控制,杜绝这些风险因素的发生,把主要精力放在中高风险上。对于那些低风险因素则可以采取观察的办法,不必要过于紧张,只要做好监控工作即可。
根据《中国电信集团广东省电信公司内部审计工作规定》内审人员应具备的基本条件:
(一)热爱审计工作,遵守职业道德,坚持原则,廉洁奉公;
(二)本科(含)以上学历;
(三)具备必要的专业知识和专业技能,熟悉国家有关法律法规和审计制度,熟悉本单位经营活动和内部控制制度,努力钻研,不断提升综合素质和业务能力,适应审计工作需要;
(四)有较强的综合分析、沟通协调和文字表达能力。
从以上规定可以看出内审人员必须具有较强的综合素质,包括职业道德、学识、实务经验、执业技能等,具体如下:
(一)职业道德方面:要求内审人员必须严格遵守中国内部审计准则及中国内部审计协会的相关规定,做到独立、客观、正直、诚实、勤勉、保密。
(二)专业知识和技能方面:
1.内审人员应具备较全面的学识及较强的业务能力并熟悉电信企业的经营活动和内部控制,不仅要有深厚的审计学理论功底,还要具备扎实的会计知识,懂得企业管理、经济法规和审计准则,拥有一定的实务经验,具备较高的职业分析判断能力;
2.内审人员应具有较强的沟通、协调等人际交往能力,妥善处理好与相关机构和人士的关系;
3.内审人员应不断接受后续教育,更新、提高和完善自己的专业知识和技能。
笔者认为,电信企业内审人员应从以下几方面不断提高自身综合素质,提高内审工作质量与效率、效果,进一步提升内审监督与服务价值,为企业健康持续发展提供有力的支撑与保障。
一、加强职业教德修养,恪守独立、客观、正直、勤勉和廉洁的职业道德
《内部审计人员职业道德规范》规定:“内部审计人员在履行职责时,应当做到“独立、客观、正直和勤勉”、“内部审计人员在履行职责时,应当保持廉洁,不得从被审计单位获得任何可能有损职业判断的利益。”内审人员在处理审计业务时,要坚持“客观公正”原则,实事求是,对审计中发现的每一项问题,都要以客观事实为依据,以法规和制度为准绳,不掺杂个人主观意愿,审计结论有理有据,审计评价客观公正,出具的审计报告才能得到认可与接受。内审人员在执行审计公务时,应做到“廉洁奉公”。正人先正己,内审人员自身先廉洁自律才能监督别人,保持良好的形象与声誉,体现审计监督的权威性,获取高质量的审计信息,从而提高审计工作质量。
二、积极参加业务培训和继续教育,注重知识的更新和扩展,不断增强业务能力
电信企业内审涉及的领域非常广泛,内容相当深入。要对被审计事项作出准确合理的客观评价,内审人员必须熟悉相关的管理规定,既要精通会计、审计知识,又要具有经济管理、法律和计算机等专业知识。随着社会的快速发展与进步,国际资本市场对公司治理要求越来越高,国家将不断完善各种法规,电信企业也会不断建立健全各种管理制度,内审人员须积极参加业务培训和继续教育,及时更新和扩展相关知识,才能提高政策理解水平与综合分析能力,在实务中作出正确的职业判断,得出令人信服的审计结论,提出科学的审计建议,收到良好的审计效果。
三、认真学习现代审计技术与方法特别是计算机辅助审计技术,不断提高专业技能
审计技术与方法是审计基础理论的重要组成部分,尤其是信息技术环境中的审计技术与方法,已成为审计理论中最活跃的因素之一,引发审计界越来越多的研究兴趣。利用计算机辅助审计技术、数学和统计学技术以及分析性复核技术,在国际审计界已经成为通用技术。近年来电信企业计算机会计信息系统已经得到了广泛应用和发展,基于内部控制及IT信息技术的各种应用系统也日益增多,它给内审工作提出了许多新问题和新要求,传统的手工审计已不能适应,计算机审计、远程审计等新兴的审计技能要求内审人员要有更高的审计技术和更精通的计算机知识。内审人员要掌握越来越高的审计技术和方法,更应及时引进计算机审计,积极开发和使用电算化审计软件,设计开发计算机辅助审计系统,在企业内部建立一个完善的、高效的审计信息化系统和审计操作平台,对内部财务信息系统和会计工作实施有效的监控和评价,对企业内控执行情况进行密切跟踪,审计技术由手工操作和核查账目为主向以利用计算机和信息网络为主的方向转变。因此内审人员在掌握审计技术与方法的基础上必须加强计算机应用能力的学习与提高,逐步掌握信息系统、网络技术、电子商务等技术的高级应用。
四、全方位开展审计项目,积累审计实务经验
内部审计已从传统财务审计转向管理型审计,并以管理审计为主导,要求内审人员不仅要善于发现问题,更要善于解决问题。目前电信企业的内审部门主要在这些领域开展审计项目:内部控制评估和经营管理、经济责任、工程项目、经济效益等审计。在当前电信企业转型与发展的新形势下,内部审计不仅应继续强化内控、财务、工程等审计,更应将全面风险管理纳入审计工作主要内容,树立风险防范意识,建立风险管控体系,加强对风险的识别、评估与预警,全方位开展各种审计和内控评估项目,在实践工作中不断积累实务经验。电信企业内审人员只有坚持理论结合实践的观念,学以致用,用而促学,才能充分发挥主观能动性,理清内审工作思路,创新审计技术,深入挖掘审计成果,实现自身综合素质的提高,促进审计质量和水平的提升。
五、加强协调和沟通技巧培养,提高处理人际关系的能力
《内部审计基本准则》第九条规定:内部审计人员应具有较强的人际交往技能,能恰当地与他人进行有效的沟通。在审计实务过程中,沟通存在于审计计划、审计实施和审计报告阶段。目前中国电信内审机构实行省公司派驻制,各地市分公司审计业务在省公司统一指导下开展,全省内审人员由省公司统一集中调配,省公司抽调部分地市内审人员开展专项审计或异地交叉审计成为主要的审计方式,各派驻审计室自主开展审计项目为补充方式。内审人员在审计过程中,只有通过主动沟通、协调与被审计单位以及企业管理层和内部各个职能部门保持良好的关系,争取各方面的支持与配合,才能使内部审计工作得到他人的理解和支持,较快掌握审计内容的真实情况,从而提高审计效率,使内部审计报告得到重视,审计工作收到良好效果。因此内审人员要不断加强协调和沟通技巧培养,提高处理人际关系的能力,使内审职能得以充分发挥,内审目标得以实现。
参考文献:
[1]范钦.浅论上市公司内部审计人员综合素质存在的问题及对策.
[2]中国内部审计协会.内部审计人员职业道德规范.
“风险导向型”内部审计不同于传统的审计模式,其审计工作实施更加主动、超前,由事后评价向事前、事中评价转移;审计范围更加广泛,涵盖经营管理活动全过程;与企业的发展目标联系更为密切,审计建议更易被管理层接受;更加切合风险管理、控制与公司治理的要求。具体表现在以下几方面。
第一,在工作方式方面,从事后评价向事前、事中评价转移。运用系统管理和系统分析的方法,笔者认为,证券公司面临着包括市场风险、经营风险、决策风险、操作风险等等在内的各类风险,这些风险都是相互联系并渗透在证券公司的业务活动,如计划、组织、指挥、协调与控制等各环节之中的。作为内部审计,如果不从经营活动的事前、事中获取有效信息,就无法对各项业务活动的风险进行系统分析评估,更无从按照风险度的大小确定审计重点项目。因此,“风险导向型”内部审计要以对本企业风险的高度关注为前提,需要从经营管理活动的事后评价向事中、事前评价转移。只有这样才能将有限的审计资源投入到那些对企业目标影响大的项目中去,确保审计项目的实施和完成。
第二,在审计范围方面,较之于传统审计方式,“风险导向型”内部审计涉及的内容更广,审计面更宽。它关注企业经营和管理的各个环节,在业务审计、合法合规性审计、效益审计、经济责任审计、‘内部控制评价的基础上,随着管理职能的增多,将增加管理流程审计、风险管理审计、合规管理审计等诸多方面。
第三,在审计职能发挥方面,从单纯的审计“确认”向“确认”与“咨询”相结合的方向发展,从检查性控制向预防性控制与指导性控制结合发展。从公司内部控制组织体系和内部控制学来分析,一方面,内部审计独立于公司经营管理层面,具有评价内部控制的职能;另一方面,内部审计在董事会领导下开展工作,是公司治理中的重要组成部分,又处于公司的内部控制之中,是公司内部控制的关键环节。因此,无论是审计评价关注的内容还是实施的目的,“风险导向型”内部审计都要求内部审计在控制方式上从检查性控制向检查性控制与预防性控制、预防性控制与指导性控制相结合的方向发展,从而实现“风险导向型”内部审计由“确认”向“确认”和“咨询”结合发展。
第四,在审计内容方面,从关注“硬性控制”向关注“硬性控制”与“软性控制”结合转移。关注“硬性控制”意味着关注公司的经营管理活动是否都在严格的授权之下,是否严格执行既定的各项内部规章,是否在管理层的掌控之中。关注“软性控制”是指关注公司的企业文化、经营理念、管理者和员工的道德规范、诚信意识等精神层面。随着市场的变化和业务的发展,很难做到所有业务点全都置于明确的制度和严格的控制之下。因此,要逐步克服“硬性控制”的局限性,发挥“软性控制”的补充作用,“风险导向型”内部审计应将视线由“硬性控制”向“硬性控制”与“软性控制”相结合的方向转移,充分认识内部控制意识、风险管理的理念、企业经营文化、员工道德操守、行为规范在公司运营中的重要作用,才能更全面、客观评价公司的风险管理和治理效果,为公司董事会及高层提供有价值的服务。
第五,在审计目标方面,从对经营活动的检查和评价为主向对经营、管理活动的全过程评价转移,甚至向对公司的战略评价转移。“风险导向型”内部审计关注的层面更高,其视角已由对经营活动具体过程的检查、监督、评价,发展到对经营活动、管理活动、企业目标、战略和管理程序的全面审查、评估,更加注重审计活动和企业目标之间的内在联系,更加注重从战略层面上防范和控制风险,实现企业的价值增值。
第六,在审计报告与建议方面,审计报告从发现风险、揭示风险向分析风险成因,加强控制、规避、转移风险转变。“风险导向型”内部审计的审计建议更具前瞻性,它不局限于发现风险事项,而是强调风险控制、风险规避和风险转移。即建议中对风险事项做到提前预知,提早防范,及时化解,全面控制。
二、“风险导向型”内部审计在证券公司中的实践
西部证券股份有限公司引入“风险导向型”内部审计模式,在多年的探索和实践中,得到了董事会、经营班子的重视和支持,从而使稽核审计部门的稽核范围、工作方式、工作手段等都得到了拓展。
在审计职能发挥和审计方式的转变上,内部审计的“确认”、“咨询”职能贯穿在经营管理活动的全过程。稽核部通过对各项业务的定期审计、专项审计以及离任审计发挥审计的“确认”职能;通过审计人员事前参与公司新业务的论证,列席相关会议、对公司业务制度的制定发表建设性的“咨询”意见,发挥审计的“咨询”职能。事中采取对各项业务、风险控制指标开展非现场的实时监控与重点检查,事后开展对业务活动的全面审计,形成对经营管理活动的全过程监控、评价。
公司的稽核部门在董事会领导下,协助风险控制委员会制定风险控制政策、建立风险控制指标体系,定期分析风险指标状况,对公司的风险进行预警、监控、评估,充分发挥指导性控制和预防性控制的作用。
稽核部通过审计、监控、建议、召开会议、培训等方式宣导公司的风险控制理念,提高员工内部控制意识,改善内部控制环境。通过定期对公司风险管理工作进行总结、评估,不断完善内控机制,提升风险管理水平。同时,为更好地防范经营中的各类风险,公司在业务部门、分支机构、营业部设置了风险控制稽核员,风险控制稽核员在稽核部指导下开展现场检查、及时纠错、提出合理化建议等工作。风险控制稽核员的工作已经成为稽核审计工作的有效延伸。
西部证券在稽核队伍的组建方面,立求做到人员知识结构多元化、专业化。公司要求稽核人员不仅要熟悉业务,还要了解国际上先进的风险管理经验,掌握审计实务标准,鼓励员工积极取得国际内部审计师资格(CIA),促使员工拓展视野,提高业务素质。
开展“风险导向型”内部审计促进了公司风险管理组织体系、制度体系的完善,保证了公司稳健发展,已成为公司董事会、高级管理层的共识,并在公司治理和内部控制中具有不可替代的重要作用。多年来,西部证券面对证券市场风险的不断出现,经受住了各类风险的考验,并在稳健发展中不断壮大。
三、做好“风险导向型”内部审计应注意的问题
在我国,进一步完善公司治理结构,健全内部控制机制,加强风险管理是现代企业所面临的重要课题,“风险导向型”内部审计尚处于起步阶段,其在企业风险管理中的作用还有待不断加强。在证券公司治理中,内部审计作用的发挥受到多方面因素影响,如法规体系的健全性、企业内外部环境、人员结构与素质、审计手段与审计方式等等。其中,以下几方面因素具有很强的代表性。
(一)地位决定作用
内部审计部门在企业中定位越高,其作用的范围就越广、职能也就越大,开展“风险导向型”内部审计工作也就越有效。按照《国际内部审计专业实务标准》,国际内部审计师协会认为,保持内部审计独立性、客观性与权威性的理想情况是使内部审计机构应对董事会负责,首席审计执行官应该向董事会报告工作。
从国内外的上市公司、证券金融机构的内部组织构架,以及内部控制失效的案例可以看出,内部审计部门在董事会或董事会审计委员会领导下,不仅能够降低“内部人控制”的风险,还能协助董事会或风险控制委员会制定公司的风险控制政策,完善风险管理体系,为组织增加价值并改善组织的营运发挥更充分的作用。
(二)领导的重视与支持程度
公司领导对内部审计的重视是“风险导向型”内部审计效能发挥的前提。这首先取决于公司领导对风险管理的认识。高层管理者重视风险管理,对内部审计的支持度就高,可调配的审计资源大,审计手段、审计方式就灵活,审计建议易被重视,审计工作发挥的作用就大。反之,亦然。
(三)内部审计人员结构与素质
“风险导向型”内部审计的业务范围广、管理职能宽,因此内部审计队伍知识结构应专业化、多元化。审计团队应由学习能力强、业务素质高、精通财会、审计、经济管理、金融、统计、工程技术、法律、信息和计算机等方面的复合型人才构成。另外,还要不断通过后续教育,培养审计人员的专业胜任能力和良好的沟通、协调能力。
(四)沟通渠道的通畅和多样化
加强审计沟通与交流是发挥“风险导向型”审计作用的有效途径。内部审计人员通过提高处理人际关系的能力和技巧,与被审计部门保持良好的关系,才能使内部审计工作得到他人的理解和配合,审计职能得以发挥,审计报告得到重视,审计目标得以实现。
[关键词]上市公司;审计
[中图分类号]F239.45 [文献标识码] A
一、 上市公司内部审计现状
由于上市公司筹资的广泛性和特殊性,内部自我控制和评价成为上市公司的一项重要任务,通过公司的内审机构对公司的经营者进行内部监督,并对企业的内部控制体系进行评审,对经营活动进行管理,对企业财务制度进行审核和监督。
由于一些上市公司资产的经营者和所有者对内部审计缺乏主观要求,从而对内审的认识不足,在一定程度上阻碍了其发展。同时,因我国内部审计起步较晚, 虽已取得了很大的成绩,给上市公司带来了可观的经济效益。但是,仍存在一些问题和不足。首先由于上市公司不同于一般的股份公司,由股东承担所有权、经营权,是在董事会和监事会管理监督下运营的。审计委员会与监事会、内部审计共同组成我国上市公司的内部监控体系。目前我国相关法律、法规对监事会、审计委员会与内部审计之间的关系协调问题均未做出明确规定,仅有针对单个监督部门的职能规定散见于不同的法规中。所以很多企业的监事会、审计委员会与内部审计部门职责规定存在相似甚至重叠,而且,监督机构的具体职能与其组织地位不相匹配,明显不利于其行使监督职责。同时,有些企业在内部人控制严重的情况下,很难保证外部审计的独立性。其次,企业内部审计工作的性质在于独立行使监督职能,是在国家审计的指导和监督下进行。而有些企业中的部门对内审工作不给予配合,反而认为是阻碍了各部门的正常工作,其结果导致内部审计工作开展难度加大或是内部审计部门形同虚设。
二、 上市公司内部审计存在的问题分析
(一)内部审计独立性差
1.内部审计机构缺乏独立性
我国上市企业内审机构不具备独立性,依托于财务审计,将内部审计机构定位为内部财务审计,使审计范围受到局限。这种定位将内部审计机构归属财会部门,由财会部门领导负责并报告内部审计计划、审计报告等。这虽然能使内审机构充分发挥财务审计的职能,但内部审计机构的设置却不具备独立性,使许多内部审计职能流于形式,难以提高内审的质量,不利于给管理层提供真实、可靠的决策信息。
2.审计人员缺少完整的独立性
内部审计机构缺乏独立性必然会导致内审工作人员的地位不明确,定位不清晰。企业的内部审计应该是由企业内部专职的机构或者人员所组成的,依据国家的法规和公司的有关规章制度,客观地监督评价企业内部的成员工作活动及相关经济活动的真实性与合法性,更是对企业内部控制制度效益的一种评估。而目前,我国大部分上市企业过度注重财务审计,且内审人员一般都是由财务人员或一些管理人员担任,这对内审工作具有一定的限制性,在制定审计计划,实施审计程序的时候,往往会受到各方面利益个体的牵制,直接受企业领导的影响和制约,与内审工作的职能背道而驰,从而不能形成完整的独立性,对内审工作不利。
3.在经济上缺乏完整的独立性
任何企业工作的开展都离不开经济的支持,内审工作也如此。但是企业的内审工作地位和执行效果取决于企业的管理层,有些领导片面地认为对内审工作的投入不能换来同等的经济效益,不能为企业带来丰厚的利润,所以对内审部门的经费有所限制,因此影响内审工作的顺利开展,使得很多内审计划无法实施,难以发挥其职能作用。
(二)内部审计人员整体素质不高
目前企业大部分从事内部审计人员学历层次整体偏低,无形中降低了企业内审工作的效率。而且许多企业的内部审计人员来自于本企业的财会部门,对审计知识缺乏了解,实际的审计经验和审计技巧有限,只能对会计与财务方面进行审计,而忽略了对企业生产活动、经营、管理等方面的审计,而内部审计人员业务水平偏低导致其不能全面履行内审职能,严重制约了我国内部审计事业的发展,同时也加大了内部审计成本,助长了某些单位非法经营行为的滋生,影响了社会经济秩序稳定。
(三)缺乏健全的内部审计质量保证体系
目前我国的一些上市公司内部审计工作缺少完整有效的章程,没有既定的评价标准,工作无章可循,监督过程缺乏依据,导致相当部分上市公司的内部审计方式较为被动,企业的其他部门或多或少抵触这种审计行为,使得内审部门监督不力,阻碍工作的正常进行。
(四)内部审计工作不规范
审计工作应该是一种规范性很强的工作,但是多数的上市企业内审工作人员都未能按照规范性的审计程序开展业务工作,主要表现在:1.没有按照规定制定审计计划;或者制定审计计划流于形式,不切合企业实际。2.审计工作的编制不完整、过于主观,不能如实记录并反映应执行的程序及所发现的全部问题。3.内部审计的工作报告缺乏权威性的指导,且存在与审计证据不一致,报告建设性意见少,缺乏实用价值,没有后续审计等问题。
(五)内部审计重点与成效不突出
目前,我国大部分企业的内部审计工作重点是监督企业成员财务状况和经济活动,未能很好地对企业内部制度的效益性进行有效评估,这种传统的审计方式缺乏力度、广度和深度,没有在内部控制评审及管理审计方面作出重点突破,不但不能促进企业的经济效益,反而会限制上市企业的进一步发展。同时,在审计方法上也缺少风险管理。企业内部审计机构应通过对公司内部的调查分析,对企业内部控制机制提出可行性建议、不断促进企业进一步发展。但是,现在的内审工作多是事后确认风险或损失形成时才去报告,不是所有内部审计工作都能做到对企业做出客观的分析,任何企业的经营都会面临各种不可预知的风险,所以提早调查分析并预防对完善企业的经营管理有着很重要的作用。
三、 完善内部审计工作的对策建议
(一)建立独立性较强的内部审计机构
健全、完善、有效的内部审计是现代企业管理的重要方法和内在需要。它既是企业内部控制的一个重要组成部分,也是监督其他环节的主要手段。要想完善企业的内审机制,就必须健全企业内部审计体制,建立独立性较强的内部审计机构,配置高素质、专业性的人才。要使企业内部审计机构在专业人员的带领下独立行使审计职权,不受其他部门的干预、从而使内部审计工作客观进行,同时也能保证内审工作的公正性和有效性。
(二)清晰定位内部审计工作职能
在我国上市企业中,内审机构的设置趋向于董事会主管。事实上在内部审计机构的设置上应明确企业文化和具体情况,按照其服务对象和功能作用制定相应的内控制度,由总经理主管,它可以使内部审计更接近经营管理层,并直接为总经理日常经营服务,可以发挥内部审计在公司经营管理过程中的作用。在公司内部控制体系中发挥监督、评价、咨询和控制职能,使内部审计的职能和范围有了较大的拓展,有利于实现内部审计为提高公司经营管理水平、提高经济效益服务的目的。
(三)注重内部审计的实效性
在财务审计基础上,同时开拓责任审计、绩效审计及经济效益审计等领域,并做好相应增值管理咨询服务工作。内部审计是对公司的发展运行过程进行全面的监督,对公司的经营管理及经济效益做出及时性的评价并提出有效的建议,为公司增加价值服务。内部审计人员应及时与管理者交流自己的审计结论,并与管理者的目标及股东目标一致,同领导团队一起追求企业价值增值,帮助公司实现生产经营及管理各个阶段的目标,协助经营者改善经营效益。
(四)建立内部审计风险管理机制
增强内部审计服务导向职能。内审的职能是监督和评价。企业的内审工作要做到对企业进行最客观的分析,并及时、准确地向公司董事会或股东大会报告企业现状,更重要的是针对企业管理和控制中的薄弱环节,提早调查分析并提出建设性意见和建议。要建立有效的内部审计风险管理机制,才能帮助企业增加效益,促进资源的合理配置。
(五)提高内审人员的综合素质
优化审计人员结构,提高审计人员素质。实行严格的审计责任制,以进一步明确审计人员的责任,规范审计人员的审计行为。其次,加强内审人员的培训和考核,只有这样才能让内审人员不断提高自身综合素质和职业判断能力,同时企业要注意培养和吸收优秀的内部审计人员,组成具有较高素质和较强职业能力的内部审计团队。
[参考文献]
[1]玉.强化我国上市公司内部审计职能的思考[J].湖南社会科学,2008(6).
[2]吴晓求.中国上市公司:资本结构与公司治理[M]. 中国人民大学出版社,2003.