时间:2023-11-24 10:42:08
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇内部控制审计案例范例。如需获取更多原创内容,可随时联系我们的客服老师。
中图分类号:F239.45 文献标识码:A 文章编号:1674-098X(2015)12(b)-0214-02
1 审计背景情况
根据某地勘局开展关于管理提升,内部控制、风险防范的工作要求,某地勘局组成审计组于2015年8月12~13日对所属某地勘队进行了内部控制审计。该次审计以促进被审计单位加强内部控制体系建设,强化管理,控制风险,以规范内部控制流程,提升内部控制管理为目的的审计。
2 审计初步沟通、审计范围及方法运用
2.1 通过沟通、搜集资料
审计组与被审计单位管理层进行初步沟通,了解被审计单位内部控制制定和运行的基本情况,拟定内部控制审计实施方案,明确审计目的、重点审计内容、制定审计程序、审计组人员具体分工,召开审计进点会,向被审计单位传达审计实施方案及内容。
2.2 审计时段及范围
审计时段:2014年1月1日至2014年12月31日。审计内容包括:货币资金管理、债权债务管理、固定资产管理、物资管理。评价业务流程包括:财务部门人员岗位职责、资金管理流程、财务管理流程、债权管理流程、固定资产管理流程、物资管理流程、会计核算及制度执行流程等方面。
2.3 审计方法运用
被审计单位某地勘队已对其提供资料的真实性、完整性做出了书面承诺。在地勘队领导和有关部门的支持和配合下,审计组采用了必要的审计程序及方法,重点从单位管理环节及财务资料入手,通过查看、现场访谈、证据检查、抽样、穿行测试、分析性复核等方法实施了审计。
3 被审计单位简介
某地勘队成立于1974年9月,隶属于某地勘局,属于三级单位,地质勘查行业,具有独立事业法人资格。主要经营范围:主要从事区域地球物理调查、矿产异常查证、水文地质地球物理勘查、地球物理勘查及综合测绘资料收集分析处理、地球物理勘查技术研究开发、地质测绘仪器应用研究、地形测量、地籍测量、地理信息系统应用、卫星全球定位系统测量、地下管线探测、水文地质工程地质环境地质调查、地质钻探,工程测量及相关工程勘察。
某地勘队机关机构设置:行政办公室、党委办公室、企管部、市场部、财务部、劳动人事部、生产技术部及三标办公室、技术部、武装保卫部、工会。
某地勘队现有职工总人数425人,其中:在职199人(在岗155人);离退休(含内退)226人。
4 内部控制审计情况及评价
4.1 财务情况
2014年末某地勘队:资产6 380.43万元,负债4 748.27万元,所有者权益1 632.16万元。
4.2 资产状况
2014年末某地勘队:资产总额6 380.43万元,流动资产5 454.57万元,非流动资产925.86万元。其中:
(1)2014年期末应收账款账面情况。
应收账款余额3 949.43万元,应计提坏账准备77.55万元,实际计提坏账准备77.55万元,应收账款净额为3 871.88万元。应收账款周转率为2.55次,周转天数为143 d,占流动资产比重70.98%。
(2)2014年期末存货415.93万元。
(3)2014年期末固定资产净值925.86万元,记录反映了现有固定资产状况。
4.3 审计评价
该次审计主要是内部控制审计,审计组认为,某地勘队建立了较为完善的内控管理制度,制定了如《资金管理暂行办法》《应收账款管理办法》《设备管理办法》《资产损失责任追究办法》《项目部(经营实体)管理办法》等内部控制管理制度,资产管理基本能够按照相关规章制度执行,能够及时对资产进行核算和报告;能够不定期进行现金抽查盘点,确保现金账实相符;应收票据的审核、保管、贴现、背书转让处理流程清晰;财务印章管理合规,财务核算比较规范。
5 审计发现的问题及缺陷
依据管理提升和全面风险管理内部控制工作底稿进行评价后,认为在以下方面应当引起管理层关注。
5.1 货币资金管理
(1)个别大额资金的支付管理流程中制度落实不到位,没有严格按照文件相关规定执行。如,被审计单位制定的《某地勘队项目部(经营实体)财会管理补充规定》(某地勘队发【2013】13号)文件中第六条:对于土地、青苗及房屋赔偿等支付较大金额现金(1 000元以上)业务往来,做到“三人知、两人办”。在处理此项业务时,审计没有看到相关人员的审核、监督记录。见凭证:2014.4.23转26#,摘要:办寺河项目青苗赔偿118.13万元,只有经办人签字,没有其他人员签字的记录。
(2)日常项目和钻机人员备用金借款打入银行卡,银行卡存在公私混用,项目结束后没有对银行卡进行明细核对和利息结算的流程。
(3)备用金没有严格执行限额管理制度,日常一次支付金额较大,备用金清理、核对、报销不及时,年末个别人员备用金余额较大;多年遗留备用金贷方余额没有清理;备用金使用范围不够规范,用于日常各种代扣款如保险、个人所得税等。
(4)对于野外项目施工费的核算不规范,雇佣民工放线的劳务费用,通过发放临时工工资的核算方式。
5.2 债权管理
(1)应收账款增速较快,2014年期末数比上年期末增加较大,占总资产比例60.68%;2014年应收账款回收率较低,营运资金紧张。
(2)审计发现,应收账款确认手续不规范,年末个别项目确认应收账款和工程结算为单位自制结算单,没有项目双方的工程结算单。
(3)审计核实应收账款函证,应收账款函证不全。
5.3 固定资产管理
(1)审计人员经过审查,认为有较健全的设备管理制度,能够按规定办理设备购置手续,年终有固定资产盘点表,但没有形成书面报告。
(2)审计人员现场盘点固定资产发现,部分设备存放杂乱,管理人员不能准确说出设备存放地点,对设备的管理业务不熟悉。
(3)固定资产建立了台账,但登记台账不及时,不能准确及时掌握固定资产的增减变动情况,没有资产变动手续办理的流程。
5.4 物资管理
(1)没有专门物资管理部门和专职物资管理人员,物资保管人员与设备管理员为同一人,材料会计由财务人员兼任,物资管理没有严格执行验收、保管、发放的流程。
(2)物资的核算不规范,有时不验收直接计入成本,物资分配不能按月归集分配,物资分配表编制为财务人员,岗位职责和权限不规范。
6 提出审计建议
6.1 资金管理审计建议
(1)资金管理严格按照《资金管理暂行办法》和被审计单位制定的《某地勘队项目部财会管理补充规定》文件执行,规范现金支出业务。
(2)规范备用金使用范围,加强备用金日常的核对、清理、盘点及限额管理的内控程序,重视资金的关键控制。
(3)完善项目外部施工费用的核算,合理控制税务和其他资金风险。
(4)完善日常资金计划的编制流程,形成纸质材料,明确资金计划审批权限,便于资金使用的审核、监督、控制。
6.2 债权管理审计建议
(1)严格执行《应收账款暂行管理办法》,加强应收账款管理,建立应收账款台账,完善日常管理流程,做好应收账款清收、函证、核对工作。
(2)在目前经济下行的情况下,实行应收账款全过程控制,高度重视催收工作,落实责任,确保实现的收入及时足额流入企业,避免营运资金风险。
(3)针对单位发展中存在的应收账款回收率低,项目储备不足的短板问题,采取积极有效措施,使薄弱环节有针对性地弥补和提高。
6.3 固定资产、物资管理审计建议
(1)严格执行《设备管理制度实施细则》,加强固定资产采购、验收、维护、保养、报废处置等制度运行流程的检查和监督,完善固定资产卡片、台账的登记,明确固定资产管理部门及人员的职责、权限,建立岗位权力制衡制度,提高人员业务水平。
(2)定期组织设备科、财务科、审计科等职能部门进行固定资产、物资清查盘点,形成盘点报告,对于固定资产、物资的盘亏、盘盈、毁损程度、报废及积压等情况,及时查明原因、落实责任,上报主管领导审批处理,盘活资产,确保资产、物资的真实可靠和安全完整。
经过这一内部控制审计案例发现,该地勘队虽然制定了内部控制制度,但在内部控制制度的健全和运行方面还存在缺陷,健全性还需完善,制度执行还不到位,对执行内部控制制度的职能部门和人员缺乏奖惩和追责措施,审计结束后与被审计单位地勘队管理层进行细致沟通,内部控制审计评价及建议得到认可,管理层及时制定了具体的整改计划,审计组整理汇总审计资料,出具了审计报告,同时内部审计安排跟踪被审计单位的整改完善工作。
基于风险导向内部控制审计不但能够有效发现缺陷和漏洞,发现和减少舞弊行为,还能实现内部控制目标,提高内部控制评价结果,提供更相关、符合管理层需要的确证信息,确保地勘单位经营目标的实现,提高对内部控制的促进作用。
以上仅是地勘单位内部审计部门实务操作的一个案例,如有不当之处,敬请批评指正。
参考文献
[1]程安林,梁芬莲.舞弊风险导向的内部控制行为模式的转换[J].中国内部审计,2013(11):47-52.
笔者在对下属公司开展的一次财务收支审计过程中发现了一桩经办人假冒公司领导签字,骗取报销费用款的案件。笔者在抽查凭证时,发现费用报销单上的公司分管领导和总经理的签字均为仿冒,而该公司已经建成了较为完善的财务信息管理系统,根据该公司当时的费用报销纸质流程与电子流程同时审批的规定,这种事件似乎是不可能发生的,那么这个经办人是如何通过电子流程审批的呢?
进一步抽查该笔费用报销的电子审批流程,发现经办人在本来应该说明经济用途的备注栏,备注了“纸质流程已审批,请领导签字!”字样,骗得了领导电子流程审批。笔者认真对比该公司纸制审批流程与电子审批流程,发现二者之间存在差异,该公司纸制流程是经办人填写费用报销单、部门主任审核、会计审核、分管领导审批、总经理审批、会计编制凭证、出纳付款;电子流程则将会计审核调整到总经理审批之后,会计审核是记账前的最后一道环节。该经办人正是利用这点差异,采用欺骗性语言骗得电子流程审批后,再填制纸制费用报销单,找费用审核会计审核,然后仿冒的部门主任、公司领导笔迹在费用报销单上签字,骗得报销款。
通过该事件,至少说明:一是该公司电子流程审批流于形式。对不符合要求的“纸质流程已审批,请领导签字!”备注,各环节审批人及财务审核人,均未提出异议,电子流程审批仅仅为了应付会计编制而设置,信息管理系统没有发挥应有的监控作用。二是财务审核把关不严,财务部内部管理各环节的监督审核,形同虚设。一项支出的最终支付,必须经过财务审核、会计制单、出纳付款,而且在记账前,凭证必须经过审核。而根据相关法规及岗位职责,后向岗位的人员均负有对前向人员工作进行审核的职责,即凭证编制人员要对费用报销单的签字情况、电子流程审核情况、原始单据进行再审核,出纳付款前,也应检查纸制单据的签字手续的真实性、完备性。记账前的凭证审核,除检查前面的内容外,还应对会计科目运用的准确性进行检查。而该凭证上,制证、审核、出纳、记账以及会计主管等各岗位人员签章齐全,但半年多来,这一违规违纪问题一直没有发现,可见财务管理内部相互制约相互监督的机制,并未有效发挥作用。
二、内部审计在企业内部控制建设中的作用
内部审计作为企业自我约束机制的重要组成部分,在企业经营管理中处于极其重要的地位,它既是内部控制机制的重要分支系统,又是监督与评价内部控制主要手段。内部审计通常站在公司高层管理者的角度,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,是对内部控制的控制。内部审计在企业内部控制建设中的作用,主要体现在以下几个方面:
(一)通过业务审计,促进企业内部各层级,尤其是高层管理层理念转变,变“要我控制”,转变为“我要控制”
所谓内部控制,是组织为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。因此,内部控制应该是企业自发的行为。但是,实际上,我国企业的内部控制建设却是来自外部的,由国家监管部门同过制定一系列的企业内部控制规范以及配套指引,给企业传递了一种内部控制建设是外部监管要求、上级规定的信号,以至企业内控建设缺乏主动性,在制定内部控制制度时,不与企业实际情况相结合,管理制度和业务流程不匹配,管理制度不支持流程系统,缺乏可操作性。而内部审计通过关注内部控制制度中的薄弱点和失控点,及时发现管理中存在的漏洞,提出改善的建议,促进管理者清楚认识到企业内部控制状况,认识到健全适当的内部控制对防范风险、堵塞漏洞的重要性,从而转变理念,从“要我控制”,转变为“我要控制”。上面的案例,通过后续跟踪,该公司管理层已经转变认识,建立了自我约束的理念,抽调个业务领域的专家,对公司各项管理制度及流程进行了梳理,建立了简洁、高效的对内部控制流程。
(二)通过对内部控制的定期评价,推动内部控制体系的健全
根据财政部颁布的《企业内部控制基本规范》及《企业内部控制配套指引》要求,每年应当对内部控制的有效性极其实施的效率、效果进行自我评价,以期更好地实现内部控制的目标。内部审计,在公司内部具有相对独立的地位,熟悉公司组织架构、业务和管理流程,可以全面获取公司内部各控制环节的相关制度,深入了解公司生产经营的具体情况,因此内部审计部门在内部控制自我评价过程中,承担了组织和协调的重要作用。在自我评估过程中,内部审计人员利用自身内部审计的专业背景优势,站在客观的立场上,在对各项内部流程进行实质性测试的基础上,对内部控制制度中的薄弱点和失控点进行评估,并对评估过程中发现的管理漏洞提出整改建议,推动内部控制体系的健全。
【关键词】 内部控制判断一致性; 内部控制评估绩效; 内部控制缺陷认定; 实验研究法; 权变因素
一、引言
1938年美国爆发麦克森·罗宾斯公司破产事件,该事件暴露了制定审计程序的必要性。1939年10月,美国注册会计师协会(AICPA)第一号《审计程序公告》,在这个公告中,首次提出在财务报表审计中进行内部控制评价。1991年,美国国会颁布《联邦储蓄保险公司改善法》,要求资产总额在5亿美元以上的大银行必须评估并报告其内部控制有效性。同时,要求注册会计师对管理层有关内部控制的声明进行验证。1993年,为了规范注册会计师执行内部控制审核业务,AICPA了SSAE No.2《财务报告内部控制的审核》,内部控制评估成为独立的审核业务。2002年,美国国会通过《萨班斯——奥克斯利法案》,美国公众公司会计监督委员会(PCAOB)于2004年3月审计准则第2号《与财务报表审计结合进行的财务报告内部控制审计》(2007年由第5号准则取代第2号准则),内部控制评估成为独立的审计业务。内部控制评估从财务报表审计的一部分,进而成为独立的审核业务,最后发展到独立的审计业务,这是包括美国在内的大多数国家内部控制评估的发展历程。
在内部控制的这个发展过程中,内部控制评估的地位、保证水平甚至评估技术都发生了深刻的变化。然而,职业判断在内部控制评估中的重要地位并没有改变。正如Mautz&Mini(1966)所指出,由于内部控制评估的复杂性,想对这个过程进行标准化是不可能的,但是,提出一些原则性的指导意见是可以的。
正是由于内部控制评估过程中的职业判断成分很多,针对内部控制评估形成了大量的研究文献,这些文献大致分为四个研究主题:内部控制判断的一致性;内部控制评估绩效影响因素;内部控制缺陷认定影响因素;内部控制评估技术。本文对上述文献进行综述,并在此基础上,提出内部控制评估的未来研究方向。
二、内部控制判断的一致性
同样的内部控制状况,不同的评估人员对于其可信赖程度是否会做出一致的判断呢?针对这个问题有不少研究文献。从研究方法来看,基本上都是实验方法;从研究内容来看,有些研究不考虑权变因素,而有些研究则考虑权变因素的影响;从研究结论来看,有两类不同的结论,有些研究的结论是内部控制判断具有一致性,而另外一些研究的结论则是内部控制判断不具有一致性。
(一)不考虑权变因素的影响
不考虑权变因素的影响,这些研究文献有两类不同的结论,有些研究的结论是内部控制判断具有一致性,而另外一些研究的结论则是内部控制判断不具有一致性。
Ashton(1974)用实验方法检验内部控制判断的一致性,这里的一致性包括两个方面:一是不同审计人员对同一内部控制评估结论的一致性;二是同一审计人员在不同时期对同一内部控制评估结论的一致性。实验人员是四个会计师事务所的56名审计人员,评估的内部控制系统是工资支付,评估案例32个。Ashton针对每个案例提出六个问题,并要求根据这六个问题,对每个企业的工资系统内部控制可靠性做出评价。为了检验同一审计人员在不同时期对同一内部控制评估的一致性,Ashton将实验做了两次,相隔时间是6至13周。研究结论是,不同审计人员对同一案例的评估和同一审计人员在不同时期对同一案例的评估具有高度的一致性。后来,一些研究得出的结论是内部控制判断不具有一致性(Joyce,1976;Weber,1978))。为此,Ashton&Brown(1980)对Ashton(1974)的实验研究进行扩展:针对内部控制提出的问题由原来的六个增加到八个,并且改变这些问题的排列顺序;参加实验的审计人员来自于事务所,分布更具有广泛性;案例增加到128个。在这些扩展的基础上,Ashton&Brown的结论仍然是:不同审计人员对同一案例的评估和同一审计人员在不同时期对同一案例的评估具有高度的一致性。
Gaumnitz et al(1982)采用实验方法,以应收账款为对象,从两个角度来研究内部控制判断的一致性,一是审计人员对内部控制的可靠性判断是否具有一致性,二是对完成后续审计所需要的时间决策是否具有一致性。实验人员是35个审计人员,20个案例。要求实验人员对应收账款内部控制可信赖程度做出评估,并对后续实质性测试所需要的时间做出决策。研究结论是,审计人员对内部控制可信赖程度及实质性测试所需要的时间都具有高度的一致性,并且,对内部控制可信赖程度评价越高,决策所需要的实质性测试时间越少。
Tabor(1983)认为,为了与现实相一致,对审计人员内部控制判断一致性的研究要与随后的决策结果一致性联系起来,不能只考虑内部控制判断,一致性的内部控制判断并不能一致性的随后决策。Tabor研究的一致性包括四个方面:内部控制设计可靠性判断,符合性测试样本量选择,在获知符合性测试结果后对内部控制可靠性的判断,实质性测试样本的选择。实验人员共109人,来自大型事务所,对四个企业的案例进行决策。研究结论是,审计人员对内部控制的判断具有高度的一致性,但是对样本量的选择不具有一致性。
高层管理者培训与发展中心(EDP)需要设计一些内部控制措施,Hardy&Reeve(2000)研究管理信息系统(MIS)管理人员和审计人员对不同EDP内部控制措施的重要性认识是否存在差异。他们将EDP内部控制分为组织控制、应用控制、鉴证控制、安全控制和第三方控制五种类型,每种类型下再提出了一些具体措施。以这个内部控制结构为基础,Hardy和Reeve进行问卷调查。结果显示,除对第三方控制的重要性评定具有显著性差异外,其他类型的评定都没有显著性差异,这说明他们的评定具有较高的一致性。
以上研究得出的结论是内部控制判断具有一致性。然而,也有一些研究得出不同的结论(Joyce,1976;Weber,1978;Mock,Turner,1981;Mayper,1982)。例如,Weber(1978)采用实验方法,以存货系统为对象,检验评估人员对内部控制判断的一致性,实验人员是40个审计人员。这里的一致性包括两个方面:一是存货内部控制系统可能的错误金额分布的估计;二是存货错误金额分布对存货内部控制缺陷的敏感性估计。研究结论是评估人员对错误金额分布及其对内部控制缺陷的敏感性估计都不存在一致性。又如,Mayper(1982)根据实验数据分析发现,审计人员判断内部控制缺陷重要程度时考虑的因素及对缺陷的等级评价都表现为中等程度的一致性。
上述这些研究发现,审计人员对同一内部控制的判断结论不同。为什么会不一致呢?Biggs&Mock(1983)希望从审计人员的决策程序方面来寻找原因。他们采用实验方法,让四位高级审计对内部控制和审计抽样做出决策。实验结果发现,四位审计人员的决策模型可以分成三种,这三种模型差别可能解释他们的结论差别。Trotman&Wood(1991)采用事后分析法,利用这些研究项目的资料,重新检验实验人员的评价是否具有一致性。他们检验的结论是,实验人员对内部控制的评价具有高度的一致性。以前的研究之所以得出不同的结论,主要是样本问题。
(二)考虑权变因素的影响
正是由于内部控制判断一致性的研究具有不同的结论,一些研究认为,可能是一些权变的情景因素影响了实验人员的内部控制判断。
Hamilton&Wright(1982)将评估人员本身的工作经验与内部控制判断的一致性结合起来研究评估人员对内部控制判断的一致性,他们认为,随着工作经验的增加,评估内部控制判断的一致性会增加。实验人员是88位审计人员,3年以下和3年以上工作经验的人员各50%,案例是32个工资系统,实验人员对五个内部控制点的可靠性做出判断,并对内部控制整体可靠性做出判断。研究结论是,3年以下审计人员对五个内部控制点的可靠性判断及内部控制整体可靠性判断的一致性要高于3年以上审计人员同类判断的一致性,这个结论与Hamilton&Wright的预期恰恰相反。
Trotmna,Yetton&Zimmer(1983)认为,在实际工作中,审计人员对内部控制的评价一般是2~3人完成,而不是由一个人独立完成,所以,研究审计人员对内部控制判断的一致性不能看单个审计人员判断的一致性,而要看审计小组之间判断的一致性,他们预期,审计小组之间对内部控制判断的一致性要高于单个审计人员判断的一致性。实验人员是105个高级审计课程的学员,实验资料是32个企业的工资系统案例。实验分两步进行,第一步是由审计人员单独工作,第二步是将学员分组。研究结论是,审计小组之间对内部控制整体判断及各个问题权重确定的一致性要显著高于单个审计人员的上述判断。
Meixner&Welker(1988)用实验方法研究发现,随着审计人员在同一小组时间的增长,随着审计人员与其主管共处时间的增长,都会增加审计人员对内部控制判断的一致性。
Libby&Libby(1989)提出,内部控制可靠性决策有两种模型,一是审计人员职业判断;二是审计人员职业判断与统计分析相结合。他们预期,审计人员职业判断与统计分析相结合这种模式的决策质量比审计人员职业判断模式要高,体现在审计人员决策意见的一致性方面,前者要高于后者。参加实验的审计人员分成两个组,一组采用职业判断模式,另一组采用职业判断与统计分析相结合模式,两组采用相同的案例。研究结论是,采用职业判断与统计分析相结合模式的审计人员对内部控制评价的一致性要显著高于采用职业判断模式的审计人员。
Wu(2011)将内部控制评估方式区分为分解方式和非分解方式,评估人员区分为经验较多的和经验较少的人员,根据上述组合进行实验。研究结论是,与非分解方式相比,分解方式下,不同评估人员之间的评估差异较少;当评估人员经验较多时,不同评估人员的评估差异较少。
关于内部控制判断的一致性研究,考虑权变因素应该是一个进步。但是,也存在研究结论不同的问题,例如,Hamilton&Wright(1982)发现,工作经验少的审计人员,其内部控制判断一致性程度高,而Wu(2011)的研究则发现,当评估人员经验较多时,不同评估人员的评估差异较少。
三、内部控制评估绩效影响因素
内部控制评估绩效是评估人员工作的效率和效果。现有文献主要是采用实验方法(个别文献采用档案法),从权变视角研究影响内部控制评估绩效的因素。概括起来,这些权变因素包括:个人特征、评估工作底稿记录方式、认知模式、评估反馈、知识组织方式、知识结构、独立性、评估模式。
(一)个人特征
Nanni(1984)采用实验方法研究内部控制评估人员的个人特征对内部控制评估的影响。实验任务是对15个内部控制案例中所描述的内部控制进行可靠性评价。研究结论是,职位、工作年限、内部控制评估经验对内部控制评估结果都有显著影响。同时还发现,评估人员所属的事务所不同,对内部控制评估结果也有显著影响。
(二)评估工作底稿记录方式
Purvis(1989)指出,内部控制评价包括三个主要步骤:一是信息收集,二是将信息记录于审计工作底稿,三是内部控制评估。信息收集和信息记录是相关的两个步骤,一般是同步完成,主要的方式有问卷式、流程图式和文字叙述式。Purvis用实验方法研究上述三种方式的效果是否有区别。由于现实审计中一般是由低层级的审计人员完成内部控制信息收集和记录工作,所以,Purvis还研究审计人员的经验是否影响信息收集和信息记录的绩效。研究结论是,问卷使用者收集到的信息多于文字叙述方法使用者,而文字叙述方法使用者收集的信息又多于流程图方法使用者;不同记录格式的使用者将只收集该种记录方式倡导的数据;审计人员经验越多,收集的数据越多。
Agoglia,Beaudoin&Tsakumis(2009)研究内部控制评价工作底稿记录方式对内部控制环境评估绩效的影响。他们将工作底稿记录方法区分为三种:一是支持文档式,也就是他们记录支持其内部控制评估的证据;二是平衡式,也就是同时记录关于内部控制正面或负面的证据;三是要素式,也就是记录关于内部控制要素的正面或负面的证据。研究结论是,要素式记录下,控制环境评估质量低于其他两种方式;与特定内部控制相关的经验会调和记录格式对内部控制绩效的影响。
(三)认知模式和评估反馈
Bryant,Murthy&Wheeler(2009)指出,控制环境评估一般使用结构性调查问卷,多数情形下是由经验不多的审计人员完成。他们研究审计人员的认知模式和后续反馈对审计人员评估绩效的影响。关于认知模式,根据实验参与人员对认知模式问卷的回答,这些人员区分为感知型(Sensor)和直觉型(Intuitive)。关于后续反馈,实验分为两个阶段,第一阶段完成之后,一个小组有反馈,另外一个小组没有反馈。研究结论是,认知模式对评估绩效没有显著影响;但是认知模式和反馈联合起来,对评估绩效有显著影响。
(四)知识组织方式、知识结构和独立性
Kopp&O’Donnell(2005)研究内部控制评估知识的不同组织方式对内部控制评估绩效的影响。内部控制评估知识的组织方式有两种,一是按业务流程来组织,二是按控制目标来组织。实验中以不同的方式对新来人员进行内部控制知识培训,然后由这些人员进行内部控制评估。他们发现,采用流程方式组织内部控制知识的人员,对内部控制评估的业绩要好。
Borthick,Curtis&Sriram(2006)采用实验研究评估人员的知识结构是否影响内部控制评估绩效。实验人员是高年级学生,分成两组,一组是接受内部控制相关知识培训,包括业务流程和控制目标;另外一组没有接受这些培训。根据实验数据分析发现,具有内部控制相关知识结构的人员,内部控制评估绩效显著好于未经过相关知识培训的人员。
Bedard&Graham(2011)根据几个大型会计公司的档案材料研究发现,对于同一公司来说,3/4的缺陷是实施内部控制审计的外部审计人员发现的,公司内部控制评估只发现缺陷的1/4,这表明,具有独立性和内部控制相关知识较多的外部审计人员更能发现内部控制缺陷。
(五)评估模式
Morrill,Morrill&Kopp(2012)用实验方法研究内部控制评估模式对内部控制评估绩效的影响。他们将评估模式区分为风险优先和控制优先,根据实验数据分析发现,风险优先模式的评估绩效好于控制优先。他们用输出干扰理论解释了上述结果。
关于内部控制评估绩效影响因素的相关研究并不多,并没有针对同一主题形成不同的研究文献,所以也没有出现矛盾性的结论。
四、内部控制缺陷认定影响因素
内部控制缺陷认定,就是对内部控制缺陷做出分级。同样的内部控制缺陷,不同的评估人员是否会做出同样的缺陷等级认定呢?如果不是,哪些因素会影响其缺陷等级认定呢?针对这些问题,有一定数量的研究文献。从研究方法来说,基本上都是实验研究方法,只有个别的研究采用档案法。从影响因素来看,包括:内部控制流程性质、评估构架和评估证据评级、管理层因素、独立性等。
(一)内部控制流程性质
Libby,Artman和Willingham(1985)用实验方法研究内部控制流程对错弊的敏感程度是否影响审计人员对内部控制可依赖程度的评估。敏感程度是指没有控制措施的情况下,错弊发生的风险。他们选择采购与收款循环中的两个流程,一是根据购货发票,手工编制采购入库表,称为手工入库表流程;二是通过计算机程序更新应付账款文件,并编制采购清单,称为计算机采购清单流程。显然,这两个流程的敏感程度不同,手工入库表流程高于计算机采购清单流程。在此基础上,他们分别为每个流程设计了控制设计强度高和低及控制测试程度高和低两种情况。实验人员是14名高级审计人员,要求他们确定不同情形下内部控制的可信赖程度。研究结论是,与敏感程度较低的流程相比,敏感程度较高的流程中增加控制风险时,相同的控制风险增加会带来较多的控制信赖程度的降低;与敏感程度较低的流程相比,敏感程度较高的流程中控制设计强度降低时,相同的控制设计强度降低会带来较多的控制信赖程度的降低;与敏感程度较低的流程相比,敏感程度较高的流程中控制测试程度降低时,相同控制测试程度降低会带来较多的控制信赖程度的降低。
(二)评估构架和评估证据评级
Emby&Finley(1997)用实验方法研究评估构架和评估证据评级对内部控制判断的影响。实验任务是根据存货内部控制相关材料,确定存货审计所需要的实质性测试水平。他们将评估架构区分为两种情形,一是评估存货控制风险;二是评估存货控制强度。同时,为了验证评估证据的影响,他们还设计了两种不同的情形,一是要求首先对存货内部控制相关材料中的内部控制相关证据进行评级,然后再确定存货审计所需要的实质性测试水平;二是不需要对存货内部控制相关材料中的内部控制相关证据进行评级,而是直接确定存货审计所需要的实质性测试水平。研究结论是,在没有证据评级的情形下,评估构架对确定的实质性测试水平有显著影响,风险架构下所需要的实质性测试水平显著高于控制架构下所需要的实质性测试水平;而当要先对证据进行等级评定然后再确定所需要的实质性测试水平时,两种架构下所需要的实质性测试水平无显著差异。Emby&Finley认为,这是证据评级使得审计人员的注意力集中到证据本身,冲淡了评估构架的影响。
(三)管理层因素
一般来说,外部审计人员进行内部控制审计的公司,其管理层都自己首先进行内部控制评价。在这个评价中,对内部控制缺陷会确定其严重程度。Eariey,Hoffman&Joe(2008)采用实验方法,研究管理层提供的这些内部控制缺陷评定信息是否会影响外部审计人员对内部控制缺陷的评定。研究结论是,管理层对内部缺陷的认定会显著影响外部审计人员对内部控制缺陷的评定。
审计人员根据发现的内部控制偏差来判断内部控制缺陷,在做出这种判断之前,一般会与被审计单位适当的管理层进行沟通。此时,管理层的沟通策略可能会影响内部控制人员最终对内部控制缺陷的判断。Wolfe,Mauldin&Diaz(2009)将管理层沟通策略区分为承认策略和抵赖策略,分别研究这两种策略是否影响审计人员对信息控制偏差和人工控制偏差所形成的内部控制缺陷的判断。研究结论是,在信息化控制偏差下,管理层采用承认策略时会降低审计人员对内部控制缺陷评价的严重性并提高对管理层解释的接受程度;在人工控制偏差下,管理层无论是采用承认策略还是抵赖策略,审计人员对内部控制缺陷评价的严重性及对管理层解释的接受程度无显著差异。
(四)独立性
Bedard&Graham(2011)根据几个大型会计公司的档案材料研究发现,公司内部控制评估对缺陷的等级评价要低于外部审计人员,也就是说,同样的缺陷,外部审计人员认定的缺陷等级更严重。他们还发现,客户的一些特征及内部控制缺陷本身的一些特征会影响外部审计人员对缺陷的等级评定。
关于内部控制缺陷认定影响因素的相关研究并不多,研究方法也较为单一,并没有针对同一主题形成不同的研究文献,所以,也没有出现矛盾性的结论。
五、内部控制评估技术
虽然内部控制评估是一个充满职业判断的过程,然而,也需要依赖一定的具体技术,职业判断和评估技术相结合,是内部控制评估的未来发展方向。研究内部控制评估技术的文献,从涉及的主题来看,主要包括:数学方法、统计抽样方法、记录方法、风险模型及监视设备的应用等。
(一)数学方法与内部控制评估
Hamlen(1980)将内部控制设计和评估看成一个优化过程,用优化模型(线性规划和非线性规划)来描述内部过程。他认为,内部控制设计和评估,应该是满足一定错弊查出率条件下的总成本最低的数学规划问题,为此,他以内部控制总成本为目标函数,以各种错弊查出率为约束条件,对内部控制进行描述,得到规划模型。他认为,利用这个规划模型,选择不同的内部控制程序,如果将控制对象的最初错弊情况输入,则能知道各个控制程序输出结果的错弊率,这就是该程序的可靠性,从而可以用于审计程序设计。
Nichols(1987)利用多元统计的两组判别分析方法来建立内部控制评估的预测模型,Nichols从一个大型会计师事务所收集了该事务所对79个公司的应收账款内部控制调查和评价资料,该事务所针对应收账款的内部控制调查表中列示了五个问题,这五个问题也就是针对应收账款的五个措施。根据这些调查表,Nichols将五个措施作为独立变量,将应收账款内部控制的可信赖性作为依存变量,建立判别函数:Z=c+b1x1+b2x2+b3x3+b4x4+b5x5,x表示内部控制措施,b是判别系数,表示该控制措施在整个控制系统中的作用大小,Z是判别值,表示该内部控制系统总体是否可以依赖。Nichols以该事务所对79个公司的应收账款内部控制调查记录为依据,计算出了判别函数中的系数,然后使用该函数对79个公司的应收账款内部控制的可依赖性进行判别,并将判别结果与该事务所实际评估结果相比,相符率为79.75%。
(二)内部控制评估中的统计抽样方法
内部控制评估中的抽样方法包括金额单位抽样和实物单位抽样。支持实物单位抽样的认为,内部控制是中性的,也就是说,不会因为交易金额大小而呈现不同的缺陷情形。Ham, Loesll&Smieliauska(2010)用某大型会计公司的档案材料,分析其中的存货和应收账款错误分布,错误频度和错误率不呈现中性。根据这个发现,他们认为,控制测试中的抽样应该采用金额单位抽样。
(三)内部控制评估记录方法
审计准则要求审计人员在审计业务中了解及记录审计对象的内部控制,但是,对于如何记录内部控制并没有规定。Bierstaker,Janvrin&Lowe(2008)对会计公司的调查表明:审计人员偏好文字描述式,其次是问卷调查式;当使用多种格式时,一般也会偏好某种格式;事务所规模、客户IT程度及审计人员IT技能会影响审计人员记录内部控制的方式。
(四)内部控制评估风险模型
Akresh(2010)认为,内部控制审计是审计财务报告的生成过程,而财务审计是审计内部控制过程的产出,所以,二者应该有不同的风险模型。他们认为,内部控制审计风险是内部控制中有重大缺陷而审计人员未能发现,这一风险可以分解为固有风险、控制设计和执行风险、控制运行效果风险。
(五)监视设备的应用
美国反舞弊性财务报告委员会发起组织(The Committee of Sponsoring Organizations of the Treadway Commission,COSO),认为,内部控制监视能提高内部控制效果,Masli et al(2010)研究采用了内部控制监视设备的公司能否提高内部控制效果。根据139个使用内部控制监视设备的公司及配对企业的数据分析发现,内部控制监视设备采用后,对内部控制缺陷的减少、审计费用的降低及审计报告的及时性都有显著正面作用。
六、未来研究方向
(一)关于内部控制判断的一致性
关于内部控制判断的一致性,无论是考虑权变因素,还是不考虑权变因素,多数研究结论认为内部控制判断具有较高程度的一致性,也有一些研究结论与之相反。总体来说,关于这个方向的研究,一是需要进一步考虑权变因素,二是需要采用多种研究方法。从权变因素来说,现有研究主要考虑工作经验、评估小组、评估人员相处时间、决策模型和评估方式这些权变因素,还有其他很多权变因素可能会影响内部控制判断的一致性。一般来说,内部控制评估的权变因素如图1所示。
图1中,监管因素是指是否有相关机构对内部控制评估进行监管,包括是否要求对外披露内部控制评估结果及相应的法律责任;主体因素指内部控制评估主体相关的因素,包括评估机构的组织因素和评估实施者的个体因素;客体因素指评估对象的相关因素,包括评估客体的组织因素和特定内部控制的相关因素;关系因素指评估主体和客体的沟通及相互依赖程度;技术因素指评估模式和具体的技术方法等因素;文化因素指评估主体、评估客体及监管者的一些文化价值观、习惯、惯例、风俗等对内部控制评估可能形成的影响。上述这些权变因素都可能会影响内部控制评估时的职业判断。
内部控制判断一致性的主要研究方法是实验方法。这种样方法当然有其天然的优点,在实验人员随机分布的情形下,可以控制其他一些变量的影响,减少噪音。但也有其天然的弊端,内部控制评估现实生活中的许多权变因素可能无法在实验中考虑,可能正是这些在实验中没有考虑的权变因素,对内部控制评估产生了重要影响。所以,内部控制评估不能只是局限在实验中研究,要深入现实生活,从内部控制评估的现实生活中寻找因素。可以大量采用问卷调查、档案研究和案例研究的方法来研究内部控制评估中的权变因素。
(二)关于内部控制评估绩效影响因素
内部控制评估绩效是评估人员工作的效率和效果。现有文献发现了一些权变因素对内部控制评估绩效的影响。关于未来的研究方向,从研究方法来说,实验法当然继续会是重要的研究方法,但是,由于权变因素本身的变化性,问卷调查、档案研究和案例研究可能是重要的发展方向。从研究内容来说,现有研究主要是考虑技术因素,图1中的各种权变因素都可能会影响内部控制评估绩效,所以都可以纳入内部控制评估绩效影响因素的权变研究架构。
(三)关于内部控制缺陷认定影响因素
内部控制缺陷认定,就是对内部控制缺陷做出分级。哪些因素会影响其缺陷等级认定呢?现有文献发现了一些权变因素对内部控制评估缺陷认定的影响。关于未来的研究方向,从研究方法来说,实验法当然继续会是重要的研究方法,但是,由于权变因素本身的复杂性,问卷调查、档案研究和案例研究可能是重要的发展方向。由于重大缺陷还有公开信息,所以,还可以考虑采用公开数据来研究缺陷认定。从研究内容来说,现有研究涉及的权变因素很少,图1中的各种权变因素都可能会影响内部控制评估缺陷认定,所以,都可以纳入内部控制缺陷认定影响因素来研究。
总体来说,关于内部控制评估研究的上述三个主题,在方法和内容方面都需要扩展,从研究方法来看,在继续采用实验法的同时,需要大力发展问卷调查、档案研究和案例研究;从研究内容来说,需要扩展权变因素的范围,特别是其中的文化因素,基本上还是空白。
(四)关于内部控制评估技术
内部控制评估过分信赖职业判断是内部控制评估发展水平不高的表现。虽然内部控制评估离不开职业判断,但是,内部控制评估技术的发展,可一定程度减少职业判断。所以,发展内部控制评估技术是提高内部控制评估客观性和绩效的重要路径,也是未来的重要研究方向。从研究方法来看,应该是多种多样,实验方法可能不是主要选择;从研究内容来看,智能数学方法、统计抽样方法、风险模型应该是主要方向。
【主要参考文献】
[1] Ashton,R.H.An experimental study of internal control judgments[J]. Journal of Accounting Research,1974,12(1):143-157.
[2] Ashton,R.H.,Brown,P.R.Descritive modeling of auditor internal control judgments:replication and extension[J].Journal of Accounting Research,1980,18(1):269-277.
[3] Agoglia,C.P.,Beaudoin,C.,Tsakumis,G.T.,The Effect of Documentation Structure and Task-Specific Experience on Auditors’Ability to Identify Control Weaknesses[J]. Behavioral Research on Accounting,2009,21(1):1-17.
[4] Akresh,A.D.,A Risk Model to Opine on Internal Control[J].Accounting Horizons, 2010,24(1):65-78.
[5] Biggs,S.F.,Mock,T.J.An investigation of auditor decision process in the evaluation of internal control and audit scope decision[J]. Journal of Accounting Research,1983,21(1):234-255.
[6] Bierstaker,J., Janvrin,D.,Lowe,D.J.,An examination of factors associated with the type and number of internal control documentation formats[J]. Advances in Accounting,2008(23):31-48.
[7] Bryant,S.,Murthy,U.,Wheeler,P., The Effects of Cognitive Style and Feedback Type on Performance in an Internal Control Task[J]. Behavioral Research on Accounting, 2009,21(1):37-58.
[8] Bedard,J.C.,Graham,L..Detection and Severity Classifi cations of Sarbanes-Oxley Section 404 Internal Control Deiciencies [J]. Accounting Review, 2011,86(3):25-855.
[9] Eariey,C.E.,Hoffman,V.B.,Joe,J.R.,Reducing Management's Influence on Auditors' Judgments: An Experimental Investigation of SOX 404 Assessments[J].Accounting Review,2008,83(6):1461-1485.
[10] Gaumnitz,B.R.,et al.Auditor consensus in internal control evaluation and audit program planning[J]. Journal of Accounting Research,1982(2):745-755.
[11] Hamlen,S.S.A chance-constrained mixed integer programming model for internal control design[J].The Accounting Review,1980,55(4):578-593.
[12] Hardy,C.,Reeve,R.A study of the internal control structure for electronic data interchange system using the analytic hierarchy process[J].Accounting and Finance,2000(40):191-210.
[13] Kopp,L.S.,O’Donnell,E.The influence of a business-process focus on category knowledge and internal control evaluation[J]. Accounting, Organization,and Society,2005(30):423-434.
[14] Mautz,R.K.,Mini,D.L.Internal control evaluation and audit program modification[J],The Accounting Review,1966,41(2):283-291.
[15] Mock,T.J.,J.L.Turner,Internal accounting control evaluation and auditor judgment[M].Audit Research Monograph,no.3.New York:AICPA,1981.
[16] Morrill.J.B.,Morrill.C.K.J.,Kopp.L.S.,Internal control assessment and interference effects[J].Behavioral Research on Accounting,1984,9(2):73-90.
[17] Nichols,D.R.A model of auditors preliminary evaluation of internal control from audit data[J].The Accounting Review,1987,62(1):183-190.
[18] Purvis,S.E.C.The effect of audit documentation format on data collection[J].Accounting Organizations and Society,1989,14(5,6):551-563.
[19] Trotmna,K.T.,Yetton,P.W.,Zimmer,I..R.Individual and group judgment of internal control[J]. Journal of Accounting Research,1983(1):286-292.
关键词:企业内部控制提升实际效果
从现代企业制度建设的角度进行分析,企业的内部控制工作涉及到企业经营与管理活动的方方面面,也是保证企业短期与长期战略发展目标实现的先决条件。在新的社会经济形势下,对于现代企业内部控制问题的研究与探索具有重要的意义,而且是为企业创造良好发展环境的基础。为了进一步约束现代企业的内部控制,我国财政部、审计署、保监会、证监会、银监会等部门联合制定了《企业内部控制基本规范》,随着其逐步推进与落实,有效促进了我国企业内部控制体系的规范化建设。
本文选取国内企业内部控制工作的典型案例,简要探讨了现代企业内部控制中普遍存在的弊端或问题,对于如何提升企业内部控制的实际效果提出了切实可行的对应策略。
一、案例介绍
本文选取国内某大型国有企业的内部控制工作为例,列举了其在内部控制中存在的某些现实问题。某企业以生产日用化工品为主,现已构建了集团化的管理模式,在集团内部设置专业的财务公司或分支机构。在企业的北京财务分公司中,每个月的业务资金流量达到近千万元,其资金的安全性直接关系企业的整体运作。但是在2010年,北京财务分公司出现严重的资金挪用问题,造成了企业重大的经济损失,其根本原因与企业内部控制的失效有着密切的联系。
2010年4月,北京财务分公司的财务总管人员冯某未经总经理张某授权批准,擅自将公司在某商业银行中的1500万活期存款,通过银行转账的方式转变为定期存款。在资金转存的过程中,分公司财务部门审计人员刘某在未经总经理许可的情况下,以公司的名义为冯某出具了《大额资金转存许可证明》。在同年的6月份,冯某又凭借银行出具的《定期存款单据》,将1500资金转入公司的活期存款账户,银行同时为冯某开出了定期存单利率为零的证明,而导致公司的活期存款利息损失了近10万元。
在事后调查中,当地检察机关查明:冯某为了协助银行工作的朋友完成业务指标,而私自挪用公司大额资金,正在等候法院的最终判决结果。北京财务分公司的总经理张某,财务审计人员刘某也因存在工作失职问题,也受到企业内部的严厉处罚。
二、问题分析
这个案例从表面来看,只是企业内部人员私自挪用公款,而造成企业经济损失的事例,但是从国内各类型企业的总体状况而言,此类问题时有发生,其根本原因在于企业内部控制的实际效果不理想,并未起到预期的作用。通过该企业北京财务分公司的内部控制工作进行分析,这是一个典型的内部控制失败案例,其引发的问题主要在以下几个方面:
(一)内部控制制度不完善
在该企业的北京财务分公司中,总经理、财务主管、审计人员之间缺乏严格的职权划分,对于重大资金的挪用并未引起总经理的高度重视,这是由于内部控制制度不完善所造成的。同时,在北京财务分公司出现财务问题时,总部财务部门未能及时进行调查,而仅是让分公司财政部门提交情况说明,在分公司出现严重资金链条断节问题时,才着手进行深入的调查,但是对企业造成的经济损失却是不可避免的。由此可见,在现代企业必须构建完善的内部控制制度,从而才能提升各项工作的实际效果。
(二)人员素质相对较低
在企业的内部控制工作中,财务人员的素质是至关重要的,也是影响其实际效果的关键因素。在本案例中,北京财务分公司的财务主管冯某未能经受“人情关”和经济利益的诱惑,而采取利用手中权力为他人提供便利的方式,在损失公司利益的前提下,为个人赢得非法收入。北京财务分公司总经理张某则为认识到自身职责的重要性,在企业出现严重资金管理问题时,并未及时上报总部,从而导致问题的危害性扩大。作为分公司财务审计人员的刘某则在未经分公司主管领导签字确认的情况下,为冯某办理银行转帐提供了相关资料和文件,甚至在事后为了规避自身责任,而对有关原始资料进行销毁。由此可见,北京财务分公司出现严重的内部控制问题,与人员素质相对较低有着必然的联系。
(三)内部审计力度不足
在企业的内部控制中,内部审计是企业对各项经营与管理活动进行独立评价的必要途径,也是企业及时发现各类问题,制定解决措施的主要依据。在北京财务分公司的内部控制中,内部审计制度基本形同虚设,对于重大资金的挪动并未进行常规的审计,而总部财政部门也未能及时发现分公司出现的内部审计问题,从而造成企业不可挽回的经济损失。
(四)缺乏风险控制机制
在本案例中,财务主管冯某身兼财务、会计、审计等多个不相容的职务,同时企业内部未建立有效的风险评估机制,从而导致企业的内部控制缺乏必要的监督与复核。当北京财务分公司的1500万资金被转存后,分公司的正常运行受到严重的影响,在企业周期性的风险控制中,此问题并未引起总经理张某的足够重视。
三、启示
在本案例的分析中,我们不难发现企业内部控制的实际效果与企业的生存与发展息息相关,如果企业出现内部控制方面的弊端与问题,将严重制约企业的发展前景。针对案例中北京财务分公司存在的内部控制问题,笔者提出如下提升其实际效果的措施:
(一)强化企业内部控制环境的建设
(1)逐步完善企业的治理结构,并且构建科学、合理、有效的权利制衡机制。在现代企业的组织模式中,尤其是大型企业或上市公司必须加强董事会与监事会制度的建设,从而进一步提升对企业内部控制工作的监督力度。
(2)在企业的内部控制工作中,应注重提高层管理者、财务人员的综合素质。企业内部控制人员的素质高低,将对工作的实际效果产生一定的影响,所以为了增强企业的内部控制能力,必须加强相关人员的专业素质与职业素养培训。
(3)为了进一步提升企业的内部控制实际效果,适时引入问责机制是十分必要的。在本案例中,北京财务分公司在出现内部控制问题的前期,相关责任人并未受到相应的处罚,而导致问题的不断深化,最终造成企业经济效益的重大损失。所以,国内企业应引以为鉴,在企业内部建立行之有效的内部控制问责机制,对于企业的各项管理活动进行严格的监督,并根据考核结果对工作人员进行相应的奖励与处罚,从而营造良好的企业内部控制环境。
(二)健立风险评估机制,加强风险管理
在本案例中,分公司财务主管冯某擅自将1500万元企业资金转为定期存款,必将导致企业的资金链条出现断节的现象。如果企业此时需要进行大型项目的投资,而事前并未了解此项资金的变动情况,将影响企业决策的可行性。因此,在企业内部控制实际效果的考核中,企业风险管理能力的提升是不容忽视的。为了避免企业经营与管理中出现重大风险问题,必须建立长期、科学的风险评估机制,不但有利于减少企业管理活动的风险,而且有效控制了企业内部的违法乱纪现象。
(三)建立和完善相关法律、法规
在我国现代企业的内部控制中,相关法律、法规仍然相对较少,当企业内部出现内部控制问题时,多是按照企业内部的相关规章、制度进行管理,而缺乏更为准确的法律依据,从而对内部控制的实际效果产生一定的影响。在我国社会主义市场经济高速发展的背景下,国家立法机关、经济管理部门和各级财政机构应逐步建立和完善相关的法律和法规,以加强对企业内部控制的严格约束。对于现行的法律、法规,应组织各行业、各领域的专业人员进行研讨,并且对细节内容进行有针对性的修改与细化,在保障相关法律、法规可靠性、可性性的基础上,进一步促进企业内部控制工作的规范化发展,最终实现其实际效果的不断提升。
总之,在现代企业的经营与管理活动中,内部控制具有重要的作用。为了进一步提升企业内部控制的实际效果,必须结合企业的发展现状与前景,逐步制定科学、合理、有效的内部控制制度,并且加强内部监督力度,从而为企业的内部控制提供良好的环境。另外,在竞争日趋激烈的市场环境中,企业要对外界环境及相关政策的影响做出准确的预估,及时调整企业的现行内部控制制度,以实现企业预期的经济效益和社会效益目标。
参考文献:
[1]阎达五,杨有红.内部控制的框架构建[J].会计研究,2001,(15):155-156
[2]刘志远,刘沽.信息技术条件下的企业内部控制[J].会计研究,2007,(12):29-30
[3]田志刚,刘秋生.现代管理型会计信息系统的内部控制研究[J].会计研究,2003,(4):69-70
[4]朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003,(8):37
[5]杨雄胜.打造企业免疫系统[J].新理财,2008,(12):55-56
[6]刘亚莉,杨兴全,财务报告内部控制:提高资本市场信息质量的新理念――兼析财务报告内部控制与内部会计控制的差异[J].审计研究,2004,(2):39-41
[7]程新生.公司治理、内部控制、组织结构互动关系研究[J].会计研究,2002,(4):83
一、企业内部控制审计评价体系构建原则
企业内部控制内涵丰富,是一个具有多层次、结构复杂和诸多影响因素的动态系统。因此,对企业内部控制进行审计评价,应该从多个层面和角度设计评价体系,才能准确反映企业内部控制设计及其有效性状况。为此,构建企业内部控制审计评价体系需遵循以下原则:
(一)科学性原则 企业内部控制审计评价体系的构建及指标选择,应当按照我国企业的实际情况与要求,结合我国企业的制度背景特点,做到客观可信、符合实际和科学合理。
(二)系统性原则 企业内部控制审计评价体系的构建及指标选择,应当全面考虑企业内部控制影响因素,系统地反映企业内部控制的本质特征和目标要求,使审计评价结论客观公正地反映企业内部控制的质量和水平。
(三)层次性原则 企业内部控制审计评价体系的构建及指标选择,应当按既定标准划分若干个层次,每个层次设置若干个具体评价指标,使评价体系层次清晰、简明易懂,能够从不同的层面反映企业内部控制状况。
(四)制衡性原则 构建企业内部控制审计评价体系,应当在治理结构、机构设置及权责分配、营运范围及业务流程等方面,形成既相互联系和相互补充,又相互制约和相互监督,同时兼顾内控运作效率。
(五)可操作性原则 构建企业内部控制审计评价体系,应当考虑实践操作性,评价指标数量力求少而精和简易可行,在人力、财力、物力和信息运用方面,易为人们所接受和掌握,采用的评价方法亦当具有可操作性。
二、企业内部控制审计评价体系的结构设计
企业内部控制审计评价体系,应从企业内部控制的构成要素着手,多层次、多角度地对企业内部控制审计评价指标进行设计。
(一)评价体系设计思路构建企业内部控制审计评价体系,其设计思路主要有两种:一种是按内部控制的要素,另一种是按内部控制的目标。两种思路的根本性区别在于评价主体(或评价角度)和评价指标的选取不同。根据《企业内部控制审计指引》中所称“企业内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计”的规定,明确了企业内部控制审计必须是对企业内部控制的设计与运行有效性情况进行审查和评价。基于此,本文以企业内部控制的构成要素为基本思路,即参照《企业内部控制基本规范》中规定的企业内部控制构成要素(内部环境、风险评估、控制活动、信息与沟通、内部监督),构建企业内部控制审计评价体系。
(二)评价体系结构设计根据上述构建原则和设计思路,本文以企业内部控制为评价目标,分内部环境、风险评估、控制活动、信息与沟通、内部监督5个主评价要素,构建一套由16个次评价要素、41个具体评价指标组成的企业内部控制审计评价体系。其评价体系结构如图1所示。
不难发现,该评价体系主要具有以下显著特点:第一,评价体系针对企业内部控制各构成要素,并充分考虑各构成要素的影响因素,具有全面系统性;第二,各具体评价指标的选取,切合我国企业实际情况,简洁明了、通俗易懂,体现较强的现实可操作性;第三,评价体系是针对一般企业设计的,在我国企业领域可以普遍适用,具有通用性。但由于该评价体系中大量定性指标的存在,要求在企业内部控制审计实践中配备与之相适应的专家参与,这对审计评价结论的客观性难免产生一定程度的负面效应。
三、企业内部控制审计评价模型建立
鉴于企业内部控制审计评价体系的非定量性和多层次性,以及评价主体对评价对象(客体)认识的主观模糊性,本文根据模糊数学原理,建立企业内部控制模糊综合评判模型。
(一)建立因素集 因素集即评价指标的集合。根据企业内部控制审计评价体系多层性的特点,将其指标层设为:
X:目标层,即内部控制,其中,X=(X1,X2,…Xi…Xm);
Xi:一级指标层,其中,Xi =(Xi1,Xi2… Xij… Xin);
Xij:二级指标层,其中,Xij=(Xij1,Xij2,… Xijk… Xijp);
Xijk:三级指标层,即具体评价指标。
(二)建立评语集 评语是对评价对象优劣的定性描述。评语集对各层次指标都是一致的,通常分为5个层次,Y=(强,较强,一般,较弱,弱)=(Y1,Y2,Y3,Y4,Y5)。式中:Y1∈[90,100],Y2∈[80,90],Y3∈[70,80],Y4∈[60,70],Y5∈[0,59]。
(三)建立权重集 权重用以描述各指标对于评价目的的相对重要程度,权重值可用客观赋权法(如层次分析法、主成分分析法等),也可采用主观赋权法(如德尔菲法等)求得。设X1,X2,…Xm对目标层X影响的权重分别为A1,A2,…Ai…Am,权重集A=(A1,A2,…Ai…Am),■Ai=1。同样,可以建立其他各指标层的权重集如下:
Ai=(Ai1,Ai2,…Aij,…Ain), ■Aij=1
Aij=(Aij1, Aij2,… Aijp),■Aijk=1
(四)确立模糊评价矩阵建立从因素集X到评语集Y的模糊评价矩阵:
R=R1R2…Rm=r11 r12 …r1s r21 r22 …r2s …… ……rm1 rm2 …rms
它表示专家对各评价指标所属等级综合考察的结果(根据评价分值来确定)。可通过层次分析法或专家评估得出。R式中,rij=Kij/N,表示对于第i个评价指标,专家认为其属于第j个等级判断的可能性程度;N为参加评估的专家总数;Kij表示有K个专家认为第i个底层评价指标属于第j个等级。
(五)进行多级模糊综合评判 由于企业内部控制审计评价体系设置的是多级指标(评价目标、一级指标、二级指标和三级指标),因此,最终评价结果需由多级模糊矩阵运算进行综合评判,从最底层指标开始,逐步上移而得出。模糊评价矩阵运算一般采用加权平均算法,得出综合评价集B,即:B=A・R=(b1,b2,…,bi,…bs),其中:bi=■ai・bij(i=1,2,…,n);■ai=1,“s”为评语集中元素的个数,即评价等级数,在本文中“s=5”。
其具体步骤是:首先,从最底层指标开始,按照上述公式计算,得出二级指标模糊评价矩阵;其次,按照上述公式计算,得出一级指标模糊评价矩阵;再次,按照上述公式计算,得出评价目标模糊评价矩阵;最后,根据Y=A・B计算,得出最终评价集。
(六)归一化处理 若■Yi≠1,可采取归一化处理,即令Yi=yi/ ■Yi,并根据最大隶属度原则,最终得出评价结论。
四、企业内部控制审计评价案例应用
运用上述评价模型,对某企业内部控制的设计及其有效性进行实证分析。首先,按照上述评价指标体系设计调查问卷,然后,通过调查问卷方式获取内部控制基本情况资料。为了在选择调查样本和进行抽样时具有代表性,调查问卷对象为企业各层次各类管理人员,如财务总监、财务主管及会计人员,购产销业务经理及业务员等。
(一)确定指标权重 指标权重是表示各评价指标在评价目标中所起不同作用程度的系数。首先,采用层次分析法(AHP法),邀请有关专家对企业内部控制各指标进行评估,构造出判断比较矩阵,然后,用方根法求出矩阵的特征值及其特征向量,并进行一致性检验,通过检验判断矩阵对应的特征向量各分量,即为各指标对上层的权重。得出的具体结果如下:
一级指标对目标层权重(1个):A=(0.3,0.1,0.3,0.1,0.2)。
二级指标对一级指标权重(5个):A1=(0.3,0.2,0.3,0.2);A2=(0.4,0.3,0.3,);A3=(0.3,0.4,0.3); A4=(0.3,0.4,0.3,); A5=(0.3,0.3,
0.4,)。
三级指标对二级指标权重(16个):A11=(0.3,0.4,0.3);A12=(0.5,0.5);……A52=(0.4,0.6);A53=(0.6,0.4)。
(二)确定评价矩阵 用德尔菲法确定评价矩阵,得到专家对企业内部控制各指标的评价结果,并根据这一结果,求出每一结论所占的比例,此即为评价矩阵,建立底层(三级指标)各指标模糊评价矩阵Rij(共16个):
R11=0 0.1 0.3 0.40.20 0.2 0.3 0.40.10.10.2 0.3 0.30.1
R12=00.2 0.3 0.40.100.1 0.3 0.50.1
…… ……
R52=0.20.3 0.3 0.200.10.2 0.4 0.30
R53=0.2 0.3 0.4 0.100.1 0.2 0.4 0.30
(三)进行多级模糊综合评判利用各评价指标层相应权重,按照模糊矩阵运算规则,从最底层逐级往上一层进行模糊综合评判。根据前述计算公式:B=A・R,进行第一次模糊矩阵运算,得出二级指标的模糊矩阵Bi(共5个);再经第二次模糊矩阵运算,得出一级指标的模糊矩阵B(1个);最后,再作一次模糊矩阵运算,得出所需要的最终评价集。计算过程简述如下:
第一次模糊矩阵运算后,得出二级指标的模糊矩阵Bi:
B1=0.03 0.17 0.30 0.370.1300.15 0.30 0.450.1000.13 0.20 0.440.230.100.330.30 0.170.10
B2=0.140.26 0.30 0.30 00.040.30 0.30 0.30 0.060 0.30 0.36 0.34 0
B3=0 0.200.250.300.250 0.140.320.380.160 0.140.300.400.16
B4=0.06 0.24 0.30 0.360.040.04 0.23 0.33 0.270.130.05 0.20 0.30 0.350.10
B5=0.20 0.360.30 0.1400.14 0.240.36 0.2600.16 0.260.40 0.180
第二次模糊矩阵运算后,得出一级指标的模糊矩阵B:
B=0.049 0.1860.270 0.3670.1280.068 0.2840.318 0.3120.01800.1580.293 0.3620.1870.049 0.2240.312 0.3210.0940.166 0.2840.358 0.1920
作最后一次模糊矩阵运算,得到最终的综合评价集Y=(0.0596,0.2108,0.3035,0.3204,0.1057)。
由于0.0596+0.2108+0.3035+0.3204+0.1057=1,无需作归一化处理,即得综合评价集Y=(0.0596,0.2108,0.3035,0.3204,0.1057)。因此,审计可以认为分别有:5.96%的把握说该企业内部控制“强”,21.08%的把握说该企业内部控制“较强”,30.35%的把握说该企业内部控制“一般”,32.04%的把握说该企业内部控制“较弱”,10.57%的把握说该企业内部控制“弱”。
根据最大隶属度原则,对该企业内部控制的设计及其有效性,审计可以作出“较弱”的评价结论。
五、企业内部控制审计评价案例启示
(一)实施内部控制审计,既为企业“把脉”,又为企业“治病” 在上述案例中,企业通过实施内部控制审计,既能发现企业内控制度层面上的一些问题,又能诊断式地挖掘出由于制度缺陷而引发较深层次的诸多问题,这种“把脉”,是为该企业内部控制状况做了一次“全身体检”。该企业在制度层面上存在的一些问题,如业务控制、人事控制和组织控制等方面均很薄弱,甚至存在制度缺失(评价值相当低甚至为零);员工素质低下(如审计发现存在监守自盗现象及员工业务技能低等);岗位设置不科学、权利与责任分配不合理等问题显而易见。该企业经审计被诊断出诸多较深层次问题,如销售与收款业务循环不畅通、筹资与投资业务停滞不前,生产成本核算与控制力弱化,以及在组织结构、公司治理、信息沟通、管理协调与制度执行力等诸多方面不同程度存在的问题也得以揭示。内部控制审计是一种建设性审计,为企业“把脉”(发现问题)是审计手段,给企业“治病”(解决问题)是审计目的。在上述案例中,审计通过对所发现的有关问题提出纠正措施和改进意见,实现企业完善内部控制和增强制度执行力这一审计目的。
(二)实施内部控制审计,是企业提升制度化管理水平的重要路径 内控制度对于单位而言其重要性不言而喻,而且制度化管理本身具有客观性、公平性、规范性和高效性等优点。因此,建立健全内控制度,强化制度管理,对任何企业都显得至关重要。企业内部控制审计,是以内部控制为审计对象,专门针对企业内部控制状况实施并作出审计评价,无疑是企业健全内控制度、改善和加强制度化管理的重要路径。在上述案例中,通过实施内部控制审计,能及时发现和揭示企业在内控制度方面存在的制度缺失、制度管理弱化以及制度执行不力等诸多问题,并针对问题,提出审计整改意见,改进企业内控制度建设,强化制度管理,加大制度执行力度,切实提升企业制度化管理水平。
(三)实施内部控制审计,应注意做好“四个结合” 在内部控制审计实施过程中,审计人员须加强与被审计单位和有关领导及人员的沟通,赢得支持,创建良好、顺畅的审计环境。同时,应注意做好“四个结合”,即:一是内部控制审计与内控制度评审相结合。审计以评审企业内部控制作为切入点,全面了解企业内控制度建立、执行情况。二是内部控制审计与其他有关项目审计相结合。审计要充分运用其他有关项目审计成果,分析审计中所发现的问题是否与某内控制度有关,如是,则直接实施内控制度审计程序和取证,以利于提高审计效率。三是内部控制审计与帮助企业整改相结合。审计在找出问题以后,不是摆出问题,而是要针对问题,提出纠正意见和改进措施,帮助企业整改,增强企业发展后劲。四是内部控制审计与提高企业利润相结合。内部控制审计应服务于企业提高盈利能力,因此,审计要着力找准并结合与企业盈利密切相关的关键环节或盈利增长点,有效实施内部控制审计,促进企业提高盈利能力。
参考文献:
[1]秦荣生:《内部控制与审计》,中信出版社2008年版。
[2]张先治、戴文涛:《中国企业内部控制评价系统研究》,《审计研究》2011年第1期。
[3]卿文洁、邱高松:《企业内部控制审计评价指标体系研究》,《衡阳师范学院学报》2010年第1期。
[4]辛金国、赖丽娜、郑明娜:《浙江省家族企业内部控制模糊综合评价探索》,《杭州电子科技大学学报》2006年第6期。
中国行业信息化标杆企业奖
行业信息化领军人物奖
■获奖点评
迪博首创性地推出以“IT+咨询+知识开发”交互驱动的创新业务新型模式,IT、咨询和知识开发三驾马车并驾齐驱,既相互支持又独立运营,塑造了极具迪博特色的运营模式和企业文化,开创了内部控制与全面风险管理领域的先河。IT系统运用计算机技术和通信技术为咨询服务和知识开发提供技术支持并将其成果固化,为提高咨询服务的质量和知识开发的效率搭建专业性极强、信息量极大的技术软件平台;咨询服务为IT系统提供系统设计的框架的同时也为知识开发部积累实践经验;知识开发为IT系统提供基础数据和方法论支撑,为咨询服务提供理论支持,成为咨询服务和IT系统间的桥梁。
深圳市迪博企业风险管理技术有限公司(下文简称迪博)成立于2001年,是中国本土成立的第一家内部控制与全面风险管理解决方案提供商,现已在深圳、北京、武汉、上海四地设立办公室,主要致力于为上市公司及大中型企业提供内部控制与全面风险管理的软件、咨询和行业风险数据库等高端产品及服务。
高瞻远引领内控的发展
在大多数人对“内部控制”这个名词还很陌生,不知实施内部控制体系的价值何在时,迪博董事长胡为却已前瞻性地预料到内部控制对企业的可持续发展以及资本市场规范运作的重要性,率先跨入了内部控制与全面风险管理领域的研发与创新工作之中,带领迪搏团队成为该领域的领军者。
胡为民毕业于中欧国际工商学院,现任中山大学管理学院兼职导师、深圳证券交易所创业培训中心讲师、2010年财政部高级会计师命题组专家成员,曾参与财政部、证监会、审计署、银监会和保监会五部委的《企业内部控制基本规范》和《企业内部控制配套指引》的起草与审定;主持及参与了多项关于内部控制与全面风险管理的专项的课题,包括:财政部全国重点会计科研课题“中国上市公司内部控制指数研究”、国家自然科学基金课题“上市公司内部控制与投资者保护”、财政部课题“信息技术内部控制指引及典型案例研究”、“关联交易内部控制指引及典型案例研究”和“企业并购以及对子公司内部控制指引与典型案例研究”;主持研究2008、2009、2010、2011年中国上市公司内部控制白皮书,并著有《内部控制与企业风险管理――实务操作指南》、《内部控制与企业风险管理――观案例与评析》、《上市公司内部控制实务》、《中国上市公司内部控制指数研究》等书。
创新内控解决方案模式
十年如一日,迪博公司专注于内部控制与全面风险管理领域的研究与创新,并在2009年获得“双软”(软件企业和软件产品)的认证,2011年获得国家高新技术企业认证。
公司的“IT+咨询+知识开发”既可以为企业客户提供全方位、多功能的整体解决方案,也可以依据企业客户的需求提供针对性高、实效性强的独立产品与服务。到目前为止,技术开发部已成功搭建IC-ERM内部控制与全面风险管理平台,其中包括IC-ERM构建系统、IC-ERM系统、IC-ERM评价系统、IC-ERM审计系统、IC-ERM优化系统、IC-ERM预警系统和PD建模软件。对此平台,客户赞誉有加,该平台被广泛使用。
咨询事业部为客户提供了风险管理、内部控制、内部审计、合规咨询、流程建设、流程优化、尽职调查、专项报告、业务持续性管理、系统安全和系统审计等专业服务,现已帮助逾百家上市公司和大中型企业优化了内部结构,完善了公司治理,增强了企业核心竞争力,其专业的业务技能与良好的职业素养得到客户的高度评价。口口相传下,美誉度不断增加,与客户的合作项目都得到了很好的延续性发展。
知识开发部的团队由多个领域的资深专家组成,现已研发出国内外的行业风险数据库,连续四年了中国上市公司内部控制白皮书,并首次公布了反映我国所有上市公司内部控制水平与风险管理能力的迪博・中国上市公司内部控制指数,该指数的不仅弥补了国内关于内部控制定量评价研究的空白,在国际上也属首创,由此标志我国内部控制步入量化时代。
目前,迪博已为高端制造、建筑、能源、军工、矿业、地产、交通运输、电力、金融等多个行业提供内部控制与全面风险管理解决方案,服务企业近百家。已提供服务的客户中约10%为世界500强企业,约50%为中国500强,其中包括高端制造行业、综合建筑行业、能源行业中等。
IC-ERM内控信息化落地
迪博现已完成的DIB IC-ERM内部控制与全面风险管理系统(简称:IC-ERM))是致力为中国上市公司和大中型企业提供内部控制与全面风险管理信息化建设的管理软件。它基于《中央企业全面风险管理指引》、《企业内部控制基本规范》及《企业内部控制配套指引》等框架体系,总结大量领域专家实践经验,采用先进的SOA体系架构和Java EE技术架构,实现了涵盖内部控制与全面风险管理体系的构建、、评价、审计、优化、预警六大核心业务系统,同时提供一系列工具软件和知识类插件应用,为企业提供一体化内部控制与全面风险管理的IT解决方案。
针对目前我国企业风险管理中内容和流程不完善、不规范,风险决策分析构建系统缺乏科学技术方法,造成风险管理和内部控制管理混乱,IC-ERM提供了内控控制与风险管理体系的构建、、评价、审计、优化、预警一体化解决方案。
系统是对企业内部控制和风险管理过程中各个阶段(比如构建、评价、预警、优化、审计)建设成果展现的业务系统。评价系统是对企业设计与运行的有效性进行全面监督,跟踪缺陷整改,形成结论,出具评价报告的业务系统。审计系统是第三方审计机构对企业设计与运行的有效性进行审计,提供所需证据,出具管理声明,披露审计报告的业务系统。
论文提要:本文在分析内部控制整合框架与企业风险管理整合框架关系的基础上,分析现行风险管理审计准则的局限性,并提出开展风险管理审计的建议。
一、我国风险管理审计准则的内容及局限性
随着经济形势发展及我国内部审计自身发展的需要,我国内审也开始重视风险管理内部审计。2005年中国内部审计协会颁布了《内部审计具体准则第16号—风险管理审计》(以下简称风险管理审计准则)并要求于2005年5月1日起实施,该具体准则的出台为我国内部审计人员对组织内部风险管理状况进行审查和评价提供了规范指导。
风险管理审计准则第2条对风险管理做了如下定义:是对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证;第6条则描述了风险管理包括的主要阶段:风险识别、风险评估以及风险应对;在该准则的第4条中,还特别强调:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。
可以看出,该准则所称的“风险管理”是从狭义上理解的风险管理,即风险管理活动的具体实施过程:风险识别、评估及应对。而广义的风险管理不仅包括上述的具体实施过程,还包括其他起辅助作用的要素:内部环境、控制活动以及监督。按目前狭义前提下制定的准则去执行,风险管理审计就会忽略这些起辅助作用的要素,以至于发现不了组织风险管理活动中可能存在的潜在问题。中航油案例就是一个很好的例证。
中国航油(新加坡)股份有限公司(下称中航油新加坡公司)曾聘请国际著名的安永会计师事务所为其编制《风险管理手册》,设有专门的风险管理委员会及软件监测系统,实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,按照《风险管理手册》的规定,任何导致50万美元以上损失的交易将自动平仓。中航油新加坡公司共有10位交易员,损失的最大限额应是500万美元(10×50万=500万)。但是,中航油新加坡公司的衍生品交易最终亏损额高达5.5亿美元,以至申请破产保护。中航油事件的核心问题并不在于市场云谲波诡,而在于该公司从表面上看似乎已实施了风险管理的流程:风险识别、风险评估、风险应对;但缺少对风险管理系统中的其他辅助要素的合理关注,最终导致企业整体风险管理失败。这一案例也再次说明:风险管理不仅仅只包括风险识别、评估及应对,更包括内部环境、控制活动、信息和沟通以及监控;风险管理系统的有效运转依赖于各要素的通力协作,对风险管理不应停留于狭义上的理解;风险管理审计准则应指导内部审计人员从广义上理解风险管理的涵义,全盘考虑风险管理的构成要素及其运作方式,及时有效地发现企业风险管理实践中存在的短板。
二、重新认识内部控制与风险管理的关系
对风险管理审计的认识依赖于企业进行风险管理时所采取的企业风险管理框架或风险模型(用来反映风险管理过程和内容的程序图)。截至目前,已经有如下风险管理模型:1995年澳大利亚-新西兰联合委员会的AS/NZE4360;1998年的加拿大标准委员会模型;1997年全国虚假财务报告委员会下属的发起人委员会(下称COSO委员会)内部控制-整合框架的“目标—风险—控制”模型;2004年COSO委员会的企业风险管理-整合框架(简称ERM框架)模型。风险管理审计准则中出现的问题根源就在于准则中的“风险管理”概念采纳了COSO委员会1997年的内部控制-整合框架中的观点。然而,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的风险管理相结合。COSO委员会2004年的ERM框架就是在1997年的内部控制-整合框架的基础上,结合《萨班斯——奥克斯利法案》的相关要求扩展得到的。相比内部控制框架,ERM框架在多个方面都有所发展和深化,具体表现在以下几个方面:
1、企业风险管理涵盖了内部控制。增加了新的要素或赋予原有要素新的含义,对内部控制框架下的风险管理要素进行细化,按风险管理的流程划分为:目标设定、事件识别、风险评估、风险反应四个要素。同时,在环境要素中增加了“风险管理哲学”以及风险“偏好”。对比二者的构成要素,可以发现风险管理框架中的目标制定、事项识别、风险评估、风险应对四个要素实质上就是风险管理的流程,也可以理解为狭义上的风险管理。这样看来,内部控制框架与风险管理框架中的要素完全一致。但是系统论认为,系统的性质不仅取决于组成系统的各要素,更依赖于组成系统的各要素的排列方式。在内部控制三个目标的基础上增加了战略目标,并扩大了报告目标的范围,将“财务报告的可靠性”发展为“报告的可靠性”。
2、企业风险管理更加强调管理风险。ERM框架强调在“组合”的基础上考虑风险,考虑风险的集合和风险的交互作用,并在此基础上考虑企业应采取的风险控制措施。在强调风险管理的环境下,ERM框架显然不同于内部控制框架。
总之,ERM框架扩展并详细地阐述了与企业风险管理相关的那些内部控制要素。从企业风险管理要求和实施来看,内部控制是ERM的主要构成部分,但绝对不能等于ERM范畴,ERM的理论和实务都要比内部控制宽泛得多,ERM更适合企业战略风险管理的要求。因此,不能说风险管理审计是内部控制审计的一部分。
三、建议
基于以上分析,要实现真正意义上的风险管理审计,对风险管理审计准则中的风险管理概念的理解就必须建立在广义的基础之上,即采纳COSO委员会(2004)ERM框架中的广义风险管理概念。鉴于内部控制与风险管理二者密不可分的联系,在现行的准则体系下可以协调内部控制审计准则与风险管理审计准则之间的关系,以使风险管理审计准则能得以更有效的实施。
主要参考文献
[1]中国内部审计协会.内部审计具体准则第16号——风险管理审计.2005.
关键词:内部控制审计 上海家化 投资者保护
2014年3月13日,上海家化公布其被出具否定意见的内部控制审计报告。这是2014年我国公布的第一份否定意见内控审计报告,也是继新华制药、北大荒、天津磁卡、贵糖股份、海联讯之后我国出现的第6份否定意见内控审计报告。上海家化为何被出具否定意见内部控制审计报告?否定意见内控审计报告对投资者利益有何影响?如何完善内部控制审计以保护投资者利益?本文将对这些问题进行阐述。
一、内部控制审计与投资者保护简述
(一)完善企业内部控制审计的必要性
1.内部控制审计是保证内控审计质量的必然要求。我国内部控制规范体系建立的时间并不长,仍处于初步建立阶段,相关法律法规还不健全,且内部控制审计信息的强制披露只针对主板上市公司,众多中小板和创业板上市公司以及广大非上市企业当前仍处于自愿披露阶段。这使得内部控制审计报告缺乏统一性和规范性,审计质量得不到保证。有些公司出于自身利益考虑,披露的内控审计报告流于形式,对内控缺陷避重就轻、避而不谈,甚至会拉拢事务所帮其遮掩。只有完善内部控制审计,使之走向规范化,才能保证内控审计质量,避免当前存在的种种内控审计乱象。
2. 内部控制审计是揭示内部控制缺陷、提高公司质量的要求。内部控制审计作为内部控制的再控制,对揭示企业内部控制缺陷、提高公司质量有重要作用。通过有效的内部控制审计,能及时发现内部控制中存在的重大缺陷和薄弱环节,督促管理层采取有效的整改措施,从而使企业日常经营活动更加规范有效,提高公司整理质量。王美英(2013)通过对2007-2009年沪市A股上市公司自愿披露的内部控制审计报告的描述性分析,发现披露公司的财务状况、公司治理、会计信息质量都显著好于未披露公司,表明建立完善的内部控制,实施内部控制审计能够促进上市公司提高公司质量。
(二)内部控制审计与投资者保护的关系
内部控制审计是保护投资者利益的重要手段。内部控制审计报告是投资者了解被投资单位内部控制状况的重要途径,其审计质量的高低直接影响信息的可靠性,从而影响投资者决策的科学性并决定资金的选择与流向。冉筱奇和刘阳(2014)通过对2011-2012年深、沪两市A股上市公司股票的日异常收益率(AR)和累计异常收益率(CAR)的研究,验证了企业内部控制审计报告的披露引起了股权投资者的关注并显著影响着股权投资者的决策,使其投资更加趋于理性,具有决策有用性。高质量的内部控制审计能提高投资者决策的科学性,从而有效地保护投资者利益;而内部控制审计质量低下,报告披露得不充分、不及时,则会对投资者的决策起误导作用,导致决策失效,从而损害投资者利益。所以,内部控制审计对投资者利益的保护起到至关重要的作用。
二、上海家化案例分析
(一)案例回顾
2014年3月13日,上海家化联合股份有限公司(简称“上海家化”)的2013年年度报告显示,普华永道中天会计师事务所(特殊普通合伙)对其公司内部控制出具了否定意见的审计报告。报告认定上海家化存在三项财务报告内部控制重大缺陷,分别涉及关联交易、销售返利和运输费用核算、财务人员培训领域。这是2014年我国公布的第一份否定意见内控审计报告,也是继新华制药、北大荒、天津磁卡、贵糖股份、海联讯之后我国出现的第6份否定意见内控审计报告。
(二)出具否定意见内控审计报告的原因分析
上海家化此次被出具否定意见内控审计报告,最主要的原因是其涉及关联交易问题。
关联交易是企业关联方之间的交易,是公司运作中经常出现的而又易于发生不公平结果的交易。根据财政部2006年颁布的《企业会计准则第36号――关联方披露》的规定,在企业财务和经营决策中,如果一方控制、共同控制另一方或对另一方施加重大影响,以及两方或两方以上同受一方控制、共同控制或重大影响的,构成关联方。
自2013年5月上海家化原董事长葛文耀与公司大股东平安信托内斗牵出的“小金库”问题后,上海家化与吴江市黎里沪江日用化学品厂(简称“沪江日化”)之间是否存在关联关系,一直是争论的焦点。12月17日上海家化发表整改报告,正式承认沪江日化为其关联公司,并详细披露了此前证监会责令其披露的与沪江日化的关联交易情况,这些交易之前从未经过审计和披露。上海家化与沪江日化的关联交易主要涉及三方面:
1.未在年度报告中对关联交易进行披露。整改报告显示,不但是上海家化,上海家化集团也入股了沪江日化。上海家化集团与沪江日化的关联关系始于2008年3月。当时,上海家化集团退休职工管理委员会(以下简称“集团退管会”)和上海家化退休职工管理委员会(以下简称“上海家化退管会”)双双出资沪江日化,前者持股10%,后者持股15%。2009年2月,集团退管会在沪江日化的持股比例增加至15%,上海家化退管会的持股比例增至30%。2012年1月,上海家化退管会的持股比例增加至33%。2013年5月,集团退管会15%的股份全部退出,上海家化退管会持股比例减少至30%。7月,上海家化退管会30%的股份全部退出,沪江日化管理委员会解散。图1显示了上海家化及集团与沪江日化之间的股权关系。
2.未对采购销售关联交易进行审议并在临时公告中披露。《上海证券交易所股票上市规则(2012年修订)》(以下简称《上市规则》)中明确规定,上市公司与关联法人发生的交易金额在300万元以上,且占公司最近一期经审计净资产绝对值0.5%以上的关联交易(上市公司提供担保除外),应当及时披露。上市公司与关联人发生的交易(上市公司提供担保、受赠现金资产、单纯减免上市公司义务的债务除外)金额在3 000万元以上,且占上市公司最近一期经审计净资产绝对值5%以上的关联交易,除应当及时披露外,还应当提供具有执行证券、期货相关业务资格的证券服务机构对交易标的出具的审计或者评估报告,并将该交易提交股东大会审议。
上海家化与沪江日化的关联交易,涉及金额为24.12亿元,其中,向沪江日化累计采购金额为14.33亿元,累计销售金额为9.79亿元。各年份采购和销售情况见表1。
由表1可知,2008年4月至2013年7月期间,除2008年销售金额外,各期采购、销售项金额均逾1亿元,远远超过《上市规则》中规定的300万元、3 000万元上限;从采购、销售金额各自占净资产的比重来看,各期发生的采购、销售金额均超过当期净资产的5%,其中2011年比重达到最高值,分别为21.41%、14.71%。如此巨大金额的关联交易,之前竟从未经过审计和披露,严重违反了《上市规则》的相关规定。
自从入股沪江日化以来,上海家化的采购金额逐年增加。资料显示,上海家化入股后的2008年9个月采购金额为1.35亿元,2012年采购金额上升至3.2亿元。而上海家化当年年报显示,公司从前5名供应商采购的金额合计为7.02亿元,这意味着仅沪江日化一家就占到前5名总金额的一半以上。由此可见,与沪江日化的关联交易在上海家化日常经营活动中分量之重。该关联交易未披露,严重影响了报告的真实性、可靠性。
3.未对资金拆借关联交易进行临时公告披露。2008年沪江日化因车间改造出现资金周转困难,申请向公司借款,2008年12 月20日公司与沪江日化签订借款协议,协议中规定公司向沪江日化提供有偿借款,金额为2 000万元,利息参照人民银行一年期贷款基准利率,下浮20%计算收取,2009年1月4日公司支付沪江日化2 000万元借款。2009年,沪江日化因厂房改造规模较原先预期扩大,又向公司申请借款1 000万元,2009年9月1日公司与沪江日化签订借款协议,协议中规定公司向沪江日化提供有偿借款,金额为1 000万元,利息参照人民银行一年期贷款基准利率,下浮20%计算收取,2009年9月14日公司支付沪江日化1 000万元借款。2010年12月22日,沪江日化按协议规定归还 3 000万元借款,沪江日化按年支付公司利息。截至2011年5月11日,沪江日化支付完毕相应利息,共计224.64万元。
《企业会计准则第36号――关联方披露》规定,企业与关联方发生关联交易的,应当在附注中披露该关联方关系的性质、关联交易类型及交易要素。而上海家化与沪江日化发生的累计 3 000万元资金拆借关联交易在之前从未披露过,违背了《企业会计准则》。
中国证券监督管理委员会、国务院国有资产监督管理委员会的《关于规范上市公司与关联方资金往来及上市公司对外担保若干问题的通知》(以下简称“《通知》”)规定,控股股东及其他关联方与上市公司发生的经营性资金往来中,应当严格限制占用上市公司资金,上市公司不得以有偿或无偿地拆借公司的资金给控股股东及其他关联方使用的方式将资金直接或间接地提供给控股股东及其他关联方使用。而上海家化将如此巨大数额的资金拆借给关联方沪江日化,也违背了《通知》中的规定。
(三)否定意见内控审计报告对投资者利益的影响
信息披露对公司股价的波动有重要影响,而股价与投资者的利益密切相关。通过观察否定意见内控审计报告公布当天对应公司股票的涨跌情况,可以从一个侧面反映出否定意见内控审计报告对投资者利益的影响。表2是我国出现的6份否定意见内控审计报告公布当天各自股票涨跌情况。
1.对投资者利益的负面影响。由表2可知,大多数公司在否定意见内控审计报告公布当天的股价均有不同程度的下跌,这反映出否定意见内控审计报告的公布对投资者利益有一定的负面影响。公司被出具否定意见的内控审计报告,表明该公司的内部控制存在重大缺陷。被投资单位存在内部控制缺陷对投资者而言是不利消息,刘焱等(2013)证明了公司在披露内部控制缺陷之后对股价大体上会产生负面的市场反应,投资者会对此产生厌恶情绪,致使股价下降;而股价下降则会导致相关投资者利益的流出。因此,否定意见内控审计报告的公布,对投资者利益有一定的负面影响。
2.对投资者利益的正面影响。表2中,虽然多数公司股价在公布当天下跌,但上海家化却逆向而行,当天股价非但不降,反而大幅上涨,使相关投资者获利。这一反常现象的原因是多方面的,本文认为其中最主要的原因是审计报告传达出的正面信号。
当一家公司被出具否定意见内控审计报告时,是否意味其财务状况就较差呢?答案是否定的。虽然审计机构提出了企业内部控制部分失效,但企业若能提出整改措施及时修正以保证财务报表有效,这样的结果是可以被投资者所接受的。上海家化对前期对应数据进行了追溯调整,编制年报时也避免了可能存在的差错,使其年报得到与否定意见内控审计报告截然不同的结果:标准无保留意见的2013年年报。年报显示:2013年上海家化实现营业收入44.69亿元,归属于上市公司股东净利润为8亿元,分别同比增长11.74%、28.76%。这也使投资者理性地认识到:虽然上海家化内控出了问题,但其财务状况还是良好的。投资者不会因为上海家化的否定意见内控报告而对其全盘否定,反而对其良好的财务状况给出了积极的反应。
同时,在内部控制审计还不完善的现阶段,上海家化并没有像部分企业那样为自己找“遮羞布”,而是接受了普华永道作为外部审计师为其提出的意见,普华永道在审计过程中也保持了自己的审计独立性,这都是非常值得肯定和学习的地方。由此可见,否定意见内控审计报告的公布对投资者利益的影响并非都是负面的,随着投资者对内控审计报告的理性认识不断深入,否定意见内控审计报告的公布也能为投资者带来利益流入。
三、完善内部控制审计以保护投资者利益的建议
鉴于当前我国内部控制审计仍存在诸多不完善之处,为更好地保护投资者利益,本文提出以下对策:
(一)实行统一规范的内控审计披露制度
当前我国内部控制审计信息的强制披露只针对主板上市公司,众多中小板和创业板上市公司以及广大非上市企业当前仍处于自愿披露阶段。而实事求是的披露内控缺陷并不会给企业带来利益流入,在非强制的政策下,多数企业会“报喜不报忧”,粉饰性披露或干脆不披露。将强制披露制度覆盖到所有上市公司,则可避免企业因“自愿原则”造成的利己行为。而统一规范是强制性披露的必要条件,对披露的时间和具体内容实行统一规范的制度规定,能有效避免信息披露不及时、不充分的弊病。
(二)建立健全惩戒监督机制
规章制度的完善并不能保证实践环节的有效运行,这就需要政府加强监督和惩戒力度,以经济处罚为主,辅之以必要的行政处罚。分清责任方,对不同程度的未披露内控缺陷分等级实行经济和行政处罚,为实践环节的有效运行提供强有力的保障。
(三)上市公司应加强内控、积极配合审计工作
上市公司应完善自身内部控制的设计和执行,及时发现和纠正存在的重大缺陷。应遵守诚实守信原则,积极配合内控审计人员的工作,为其合理要求提供人员、资金和环境支持;虚心接受审计方提出的建议,不得以辞审、扣费等方式对会计师事务所和审计人员进行威胁。
(四)审计人员应提升执业能力、保持独立性
应坚持实事求是原则,对被审计单位内控存在的缺陷应如实指出并披露;审计过程中要保持自己的审计独立性,对被审计单位的不合理要求应予以坚决拒绝。同时,应加强对内部控制审计人员的培训和考核,让实施内控审计的从业人员能全面把握内部控制规范体系的内容,并在实践中提升执业能力。
(五)投资者应提高判断力,加强对信息的关注理解
作为内部控制审计信息的主要需求者和使用者,投资者对审计信息的关注度和理解,会反过来影响内部控制审计质量的高低,从而影响审计对被投资单位内部控制的再控制力度。投资者对内部控制审计信息的重视与监督,可以避免注册会计师的内部控制审计工作走过场,促进上市公司通过内部控制审计真正发现存在的控制缺陷,减少财务报表重大错报。应加强对内部控制审计信息的重视和理解,把握实时动态,密切关注相关信息的披露与进展;同时应拓展相关知识,提高对信息的鉴别判断力,使投资决策更加科学合理。X
参考文献:
1.李兆华,史春蕾.内部控制有效性与投资者保护实现路径[J].现代审计与会计,2014,(2).
2.刘焱,姚海鑫.内部控制重大缺陷和重要缺陷的披露现状研究――基于2011年上市公司的数据分析[J].中国注册会计师,2013,(4).
3.陈留平,胡悦.上市公司内部控制信息披露研究――基于2012年沪市数据[J].财务与会计导刊,2014,1(下).
4.孙伟.集团关联公司之间资金拆借管理浅析[J].会计师,2010,(11).
5.向佳.内部控制审计案例分析――新华制药被出具否定意见[J].企业导报,2012,(11).
6.余建耀.对企业内部控制审计的探讨[J].会计师,2013,10(上).
7.孔萍,张佩璐.我国财务报告内部控制审计探析[J].国际税收,2013,(10).
【关键词】内部审计 内部控制 内部环境
企业盈利还是亏损是经营者最为关心的问题,经营管理一家企业,追求盈利无疑是头等大事。但在这里,我想说的是非经营管理、非市场因素所“引发”的亏损,导致亏损的根本原因不做过多论述,仅以一名企业内部审计人员的身份,从一次审计工作中所发现和了解的事项来说明这一问题,进而希望可以引起共鸣与反思。
事情源自一次资产管理审计,作为集团审计项目,对下属一家企业实物资产进行盘点清查,从而希望提升其资产管理现状,同时对下属企业摸一次家底。当审计人员按审计方案开始工作以后,一切按部就班并未发现异常,对有关资产管理、盘点程序、账本资料、盘点记录、盘点报告等进行检查时,都很齐全和完整。审计人员对原材料、产成品、生产成本各项明细进行分析时,开始只是觉得其成本核算方法、科目明细设置有些不妥,但当核对具体数据时,疑惑开始加重,因为该企业没有设置“在产品”科目,通过“生产成本―原材料―xx车间”来核算,而该科目明细一直有很大的余额和结转数,与企业本身生产情况分析来看却并不相配比。在询问财务人员的时候,解释是多年积压的半成品过多所致。此时,现场盘点成为最终解释的方法。于是审计人员要求选择停产检修时间,全面盘点,重点针对所谓生产线上各车间的半成品部分。当审计人员与现场工作人员进场后,前面所听到的解释马上没有了声音,因为车间现场除了生产线上少量在制半成品外,现场几乎没有存放上百万半成品的可能。在事实面前,这一现象终于还原了其真实。事实上,由于每半年一次的盘点重点是针对购入原材料、固定资产、产成品,由于半成品直接在生产成本余额中体现,盘点过程从开始就一直忽略,正因如此,财务人员在核算时,多年延续,每年有很大部分未全额结转和分配,相当一部分成本出现所谓“高留低转”,成本不能真实得到体现,而部分工作人员却对此并不清楚,似乎都在正常轨道上。终于,这一切都被揭开了,通过一年一年的追溯检查,形成来源居然开始于四年以前,现在新任的会计只能是萧规曹随,步步延续了。
在进行了充分的审计论证后,被审计单位进行了账务处理,去除其他因素,该下属企业当年首次出现账面亏损。由于相关人员擅自主张,成本任意结转分摊,人为调节各年成本数据,这一现象得以延续了四年,通过这样一次审计清查,才得以揭开庐山真面目,虚假的盈利也自然而然的化为乌有。鉴于此,集团内部审计人员及时与管理层沟通,并召集全体财务负责人对此进行研讨。一次资产盘点审计就此掀起了轩然大波。
如果仅仅是说到这里,我想只是对于一次审计过程的回放,不论其意义如何,对于内部审计的根本职责而言,都太肤浅了。如何回归到企业加强管理与内部控制上,我想这才是内部审计之根本。所以,从理论上来讲,该被审计单位有关内部控制的程序规定都是比较齐全的,但我们绝对不能断章取义,仅仅是做这样的表面文章。企业更应该首先关注解决“内部环境”、“操守和价值观”、以及控制活动的实效与方式运用。单纯的照搬一些监控程序,理论上讲较为完善了,所谓的关键控制点都有相应的控制手段和程序了,但实际情况却远非这么简单。改善企业内部环境才是第一要务,将集团公司一些“精美”的管理控制程序制度照搬于每一个下属公司,并非万能。
因为企业是在一定的环境中存在和发展的系统组织,不论是战略制定还是日常管理,企业都需要对内外部环境进行细致、深入的分析,内部环境是内部控制体系的基础,决定了主体中人如何认识、识别、评估风险并采取行动。从近几年国外上市公司频频出事就不难看出,经历市场经济体制洗礼多年的美国大公司,无不有着一套完整的、规范的管理制度以及各种各样的审批流程、操作规范和监控制度,然而,事实证明,仅着力于企业内部控制方法和措施,而不关注控制方法实施所依存的内部环境,必定无法取得理想的成效。正如前面所述说的审计事例,集团公司在接管这一下属企业时,一直强调将集团公司的一套制度拿到那里,派驻几个管理人员去落实就可以了,并未从根本上去关注它的原有文化、内部环境等等更为复杂的因素,所以监管不到位也就在所难免了。
从2003年起,财政部陆续颁布《内部会计控制规范——基本规范》和17项具体会计控制规范,形成了完整的内部会计控制规范体系。2008年6月28日财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,要求2009年7月1日起先在上市公司范围内施行。在企业管理实务中,有关内部控制的实践活动也成为企业的焦点和热点。从世界范围来看,内部控制也受到前所未有的重视,并且得到蓬勃发展。但我们必须看到,无论是coso委员会的报告,还是我国的企业内部控制规范,都只是基础性的框架,如何结合企业自身实际付诸实践才是内部控制发挥其作用之关键。作为国内企业,在实践内部控制的大潮中,必须务实,抓好基础,而不是单一的追求控制方法政策的完美。在实践过程中,首先致力于内部环境的研究和改善,内部环境虽然只是内部控制要素之一,但却是影响、制约企业内部控制建立与执行的各种内部因素的总合,是实施内部控制的基础,它决定了企业决策层、管理层以及执行者对待经营过程中风险的态度,而对于风险的态度又进一步决定企业将采取何种控制策略和控制策略的有效性。因此,内部环境是企业风险管理体系的基础,它影响、制约着企业内部控制的建立与执行,只有改善内部环境,制定和应用与企业内部环境相匹配的控制制度和方法,相关的内部控制活动才能发挥其应有的功能,前面所述案例中的情况也才不会长时间被掩盖,我们所为之努力的内部控制也才能最终建立和发挥其重要作用。
