[提要]现阶段,企业长期稳定的发展离不开内部控制审计的支持,对财务风险水平的控制也离不开内部控制审计的实施。内部控制审计不仅能够推动企业工作优化,还能够完善企业流程管理,维护资产安全完整,推进企业经济高效运行。然而,在内部控制审计实施过程中仍然存在一定的问题。本文就内部控制审计的重要意义及存在问题做出说明,并提出相关建议。
关键词:内部控制审计;内部控制;整合审计
一、内部控制审计现状
我国的内部控制审计是以企业为主、政府监管为辅,中介机构审计的实施机制。由财政部、审计署、证监会、银监会、保监会制定的《企业内部控制基本规范》是内部控制审计的重要依据。
(一)内部控制审计概述。内部控制审计就是确认、评价企业内部控制有效性的过程,包括确认和评价企业控制设计和控制运行缺陷和缺陷等级,分析缺陷形成原因,提出改进内部控制建议。从企业角度来看,内部控制审计是对内部控制的再控制,是企业增进效益、改善管理、快速发展的有效工具。从事务所角度来看,执行内部控制审计工作是为了对内部控制是否有效作出鉴定,利用审计程序对被审计单位进行审查,对存在的缺陷与风险进行分析,而后对整体做出评价并给予完善内控工作的合理化建议。
(二)内部控制审计方式。根据《企业内部控制审计指引》的规定,单独进行内部控制审计或将内部控制审计与财务报表审计整合进行是内部控制审计可以选择的两种方式。尽管这项规定为如何进行内部控制审计提供了选择,但将二者进行整合是未来审计的大势所趋。据统计,在所有上市公司提供内部控制审计报告的形式中,选择将内部控制审计和财务报表审计一起进行的占绝大多数,这也说明整合审计在实际操作中更能被企业和会计师事务所共同接受。事实上,整合审计确实也具备得天独厚的优势,因为财务报表依据的审计准则是以风险为导向的;同样,内部控制审计依据的内控规范体系也要求做风险评估,这方面二者是趋于一致的。利用整合审计可以达到在内部控制审计工作中检验财务报表审计、在财务报表审计中检验内部控制审计的目的,在二者分别执行的审计工作中获得的充分适当的审计证据均可以作为对方结论的支撑,加强风险评估结果和提高内部控制有效性意见评价的可信度。
(三)内部控制审计与财务报表审计的联系与区别。内部控制审计是对内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露;财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。内部控制审计和财务报表审计有很多相通之处,比如在重要性水平确定方面、确定重要账户及列报方面以及设计内控测试程序等方面二者可以相互借鉴与共享。但二者迥异之处在于财务报表审计的审计目标注重“结果”,针对的是财务报表;而内部控制审计针对内部控制有效性,更注重“过程”;具体表现为二者对于内部控制的期间要求、进行了解和测试的目的、对测试内控运行有效性的范围要求以及对控制缺陷的评价和沟通要求存在差异。
(四)对财务报表审计质量的影响。内部控制审计的质量好坏与财务报表的审计质量直接相关。一般而言,如若某上市公司高度重视内部控制审计工作,同时内部控制制度的贯穿执行也到位,财务报表审计质量就不会太差。而整合审计也有利于降低审计风险,提高审计质量。在审计执行中,审计人员可以借助财务报表审计与内部控制审计的相似和重合之处处理审计工作,二者相互补充,共同作用,不仅可以降低事务所工作量而且也可以降低企业财务风险。假如审计人员在财务报表审计过程中发现了错报,但在内控审计时却没有发现该错报的情况下,财务报表审计就为内部控制审计担当了质检员的责任,在有效降低审计风险的同时还能提高审计质量。
(五)加强内部控制审计的意义。内部控制审计的提出是审计业务发展过程中的重要变革,企业发展和社会进步均离不开内部控制审计的高质量推行。1、内部控制审计可以助力企业加强管理、完善治理。通过国有企业资产剥离或者改制上市是我国很多上市公司的手段,这也直接导致了公司结构中存在股权配置不合理和董事会、监事会监督监管不到位的情况。然而,行之有效的内控审计是在对被审计单位内部控制有效性的评价基础上,对企业内部控制的设计以及具体的运行情况进行全面的了解及测度,这在客观程度上为企业加强治理提供了良好的机会。2、内部控制审计是企业加强内部建设的需求。众所周知,事务所审计具备比内部审计更强的独立性,因此将专业审计机构出具的审计评价报告作为重要依据,用以建设企业内部控制体系,在很大程度上是可以满足管理层需要和企业发展的。3、内部控制审计能够进一步满足信息使用者的诉求。提供给信息使用者被审计单位真实的内部控制相关信息、帮助使用者更全面地了解企业的发展和运行状况是内部控制审计报告的主要作用之一。由于审计机构出具的内部控制审计报告具有更强的独立性和客观性,并且在作出评价之后能切实根据企业的实际运营情况,为企业提出合理的改进建议,制订整治方案,所以可以为信息使用者后期作出决策提供有力的依据。4、加强内部控制审计是顺应国际资本市场监管变革的方向。由于内部控制审计在公司运作及经营管理过程中的不可或缺性,国际资本市场对内部控制审计也有更高的要求和标准。毫无疑问,上市公司对外公开披露的审计报告对投资人的决策有重大的参考意义;同时为确保审计报告内容的真实性和准确性,国际市场要求注册会计师执业者对审计报告的有效性做出保证。例如,英、美等发达国家就在这方面的会计法律文件中对注册会计师的相关责任作出了严格的规定。
二、内部控制审计中存在的问题
(一)企业层面。1、风险评估不健全。公司在注册成立阶段通常需要向监管部门提供报送其运营所需的内部控制管理制度,这就造成企业内控制度的雏形与实际业务开展脱节,最终导致风险评估的过于概括而不能产生实际指导。内控制度的完善必然贯穿于业务开展的各个环节,需要多维度的验证和经验的积累,但是由已有风险案例或过往失误总结的风险模型并不一定适用于所有的业务开展情形,特定情况下对某些重大风险点的忽视也会带来新的差错。2、内部审计工作不到位。内部审计服务于公司整体运营及管理,为各部门内部以及部门之间的配合与自查提供指导,提高资源配置效率。而不少公司甚至在公司章程中对内部审计没有明确的规定或根本没有设置专门的内部审计部门,审计地位没有得到应有的重视。也有一些企业设置了内审机构,但内部审计工作流于形式,并不能为企业带来实质性的优化效果。3、管理者内控审计意识淡薄。企业某些管理层对内部控制审计缺乏正确的认识,疏忽内部控制审计对企业发展的重要性;加之内部审计部门权力有限,可能受到某些方面的制约,内部审计的效力微乎其微,内审部门名存实亡。这导致事务所难以顺利执行审计程序,更无法得出较为准确的审计结论。
(二)事务所层面。1、内控审计设计和执行不到位。从对审计机构评价企业内部控制有效性的整体分析来看,事务所在制定审计程序和实施过程中存在诸多不合理行为。例如,部分项目中未能将核查穿透至底层资产、对真实交易情况了解有限;仅对项目风险做出评估而忽视了公司整体的风险指标把控;部分项目的样本选取过于偏颇,未能涵盖采样整体的特征;部分项目过于关注理论层面的可行性分析而未照顾到实际操作的难度;等等。2、与被审计单位串通舞弊。执行内部控制审计的事务所可能出于经济利益关系或其他利益链条的考虑,铤而走险选择与被审计单位互相串通,隐瞒其内部控制中存在的缺陷,出具违背真实意思表示的内控审计报告,导致审计质量降低,内部控制审计评价失效。3、审计人员能力素质不高。事务所在执行审计过程中,可能由于参与审计工作的项目组成员能力不高,无法准确识别和判断有意隐瞒存在缺陷部分的公司内部控制制度及舞弊行为,致使审计程序失效,被审计单位逃之夭夭。
三、有效开展内部控制审计的建议
(一)企业层面。1、规范企业内部控制,提升内控制度设计水平。良好的内控体系应当对业务人员的合规操作做出规定,尽量减小人为因素对结果的影响,同时要做到权责明确,避免权力交叉。企业可适当引进先进的信息化、电子化技术,建立与业务开展及运营管理相匹配的电子系统,通过系统的方式对内部控制的制式流程形成统一的标准。基于实际业务的全过程开展、公司审批流程的全环节梳理,制定相应的风险缓释措施和风险应对策略,不断完善内控管理制度。通过有效的内控流程安排和内控环节设计,引导公司资源在部门之间合理流转,促进部门的权责分配及明确分工。完善的内部控制体系能降低各方获取信息不对称的风险,为企业带来更多潜在利益。2、完善内部审计管理体制,有效推行内部审计。作为企业内部的监督机制,内部审计首先要在审计程序设计方面保证环环相扣,使得审计前后事项连接有序、规范可靠;而后在审计实际执行过程中检验该设计是否有效,对问题进行整改并对审计设计查漏补缺;最终做到以完善规范的审计制度指导审计行为,控制审计质量,优化内部审计管理体系。3、加强内控和内审人才队伍建设。在实际工作中,内控管理和内部审计作为企业的核心部门,需要对企业的经营业务十分了解,对业务流程了如指掌,才可能在内控管理中发现问题,发现风险,并以规避风险为导向,以企业流程管理为手段,设计出适合企业自身发展的内控管理制度。同样的,内审人员也必须精通企业经营管理、内控审计和相关法律知识,并对企业发生的各项经济业务进行跟踪管理。如果审计人员对审计认知不足、对财务政策理解不深、对内部控制政策的制定不甚了解,就无法找出问题的根本性原因,只能生搬硬套、滥竽充数,不能满足公司各部门和外部审计机构以及监管部门的要求。所以,作为内控管理部门和内部审计部门,引入高素质人才是提高公司经济效益的必要之法。
(二)事务所层面。1、系统明确地定位内部控制审计工作。合理设置内部控制审计关键点,除把基本的整体层面即内部控制整体框架及其要素作为主要内容之外,也要重点关注业务层面,深入内部控制审计工作。2、加强内部控制审计工作的设计和执行。审计评估机构执业中应严格贯彻风险导向审计理念,加强风险点管控审计,对于高风险领域应保持持续关注和高度职业怀疑。对业务行进过程中的所有环节有针对性地确定重要部分、设计执行程序,在尽职调查、风险考量、环节评估、底稿记录等各方面做到有据可依,使得程式和内容上的合规与合理有充足的支撑,形成一个完整恰当的内控体系。3、合理优化协调整合审计安排。整合审计就是对审计的全过程、全环节进行统一的安排部署,将审计的时间进度、过程实现、建议整合纳入到统一的管理当中。这就要求审计机构综合系统地开展审计工作,提交审计信息,同时要有全局观念,做到科学整合审计资源、项目资源和技术资源,合理配置人力资源,进而提高审计质量及水平。在时间线上把财务报表审计和内控审计进行有机的穿插与整合,也是优化整合审计的较好选择。内控审计项目组先行对企业整体经营及风险管理状况做出初步了解,在有整体把握的基础上对财务报表的审计重点形成引导,从庞杂的审计范围中有针对性地选择评估;另外,从财务报告审计的程序执行、时间安排、测试范围、重要性水平评估等角度也可以对内控审计形成补充和完善。4、提升审计人员能力与素养。审计人员能力的高低对内部控制审计质量和财务报表审计质量有很直接的影响。因此,审计人员应当强化持续学习的理念,保持专业学习能力,加强高层次学历教育,强化职业道德,保有审计人员的高度谨慎,打造一支高素质、高水平、坚守原则的审计队伍,从而更好地为审计工作服务。此外,注册会计师在执业过程中对整合审计模式的运用,反之也会促进其自身专业能力的提升。整合审计模式的推广也会给会计及审计从业人员的全局思维带来积极影响,对公司整体规划能力、内控管理水平也能形成长远的推力。
四、结语
企业内部控制制度的建设对企业的长足发展有着重大意义,而内部控制审计工作及整合审计工作有条不紊地进行也是对内控制度建设的重要部分。如果公司有引进战略投资者或者更为长远的战略规划,那么有效的内控审计流程是必不可少的,这将对公司的信息披露、自我宣传、资本市场形象提升等方面发挥积极的影响。建立以企业为主体、以会计师事务所审计为重要组成部分的内部控制实施机制,进一步加强和规范企业内部控制,不仅可以提高企业内部控制质量,也有利于良好声誉的形成,为企业带来经济效益。内部控制审计对于企业的发展来说具有先进性,是在了解企业情况的基础之上综合分析企业的发展现状及市场的发展前景,指出企业当前存在的隐患,并提出相应的优化建议的审计行为。为了保证内部控制审计工作的有效实施,企业的领导人员和审计机构都应当加大重视程度,支持和保证企业内部控制审计工作的顺利完成,随着内部控制审计工作的有效开展,企业必定会实现快速健康发展。
作者:孙嘉莉 单位:山西财经大学
