一、审计控制概述
1、审计控制内涵。审计控制是指根据预定的审计目标和既定的环境条件,按照一定的依据审查、监督被审计单位的经济运行状态,并调整偏差,排除干扰,使被审计单位的经济活动运行在预定范围内且朝着期望的方向发展,以达到提高经济效益的目的。
2、特点。(1)审计控制的目标是合规性和效益性,通过审计控制使组织中纳入审计控制范围的业务活动提高合规性和效益性水平。(2)审计控制的内容是组织的业务活动,而不仅仅是财务活动;只要这些活动利用组织的资源,而不仅仅是资金、资产。(3)审计控制的方式是过程式的,包括事前事中事后;而不是仅仅是结果式的、事后的。(4)审计控制的范围不仅仅是业务活动的结果,更主要的是结果产生的机制。(5)审计控制的性质是一种重点控制,而不是全面控制。纳入审计控制范围的是组织的重大项目、大额资金、重要资产、资源。审计控制遵循重要性原则。
二、企业内部审计控制存在问题
1、企业内部控制意识薄弱,缺乏科学、统一、有效的审计控制规范。目前,无论是国有企业对内部控制的意识都不够强,据有关方面调查显示不少企业的领导或负责人还不知道什么是内部控制。另外,自20世纪90年代起,我国政府开始加大对企业内部审计控制的推行。但从整体上讲,我国内部审计控制规范建设正处在起步阶段,发展的还很不完善。
2、企业制定了一系列内部控制制度,但执行力度不够。这种情况集中体现在一些处于发展中的民营企业和国有企业身上。民营企业发展到一定阶段,往往会考虑上市,这个时候就需要一套制度来使企业正规化,制定一些内部控制制度,然而很难实施或者很难持续实施。
3、缺乏必要的监督机制。由于内部控制制度缺乏必要的监督机制,企业职能部门、员工甚至企业的高层管理者经常逾越既定的内部控制制度开展业务活动和管理活动,但也没有受到制裁,这就使内部控制丧失了应有的权威性和有效性,导致内部控制的失控。
4、人员素质不高。很多企业对审计岗位不重视,有些审计人员专业知识不扎实,在业务操作的过程中,再加上审计人员自身道德的问题,导致审计信息严重失实。
5、控制基础智能设施建设不够。企业内部审计控制制度的建设应努力适应信息化的要求,但是,控制基础智能设施建设在企业中做的很不够。
6、企业内部审计不到位。内部审计作为内部控制的组成部分之一,它是企业改善经营管理、提高经济效益的自我需要。但是纵观我国企业内部审计的情况,不难发现,企业的内部审计并没能真正履行其应有的职
三、对策
1、提高企业领导对内部审计控制管理的重视程度,并加强规范性。(1)要强化企业领导的审计法规意识,使之自觉遵守法律规定;要建立内部审计控制管理领导责任制,将企业内部审计控制管理的好坏与主要领导的政绩业绩考核结合起来,一级抓一级,层层负责,将内部审计控制管理工作落到实处。(2)加强内部审计控制,需要统一的审计控制规范。统一的审计控制规范既是推动企业内部审计控制建设的法律保障,同时也是为企业加强内部审计控制建设及进行内部审计控制评价提供可资参考的标准,为企业内部审计控制制度建设及评价提供指引。
2、应将完善内部控制规范与企业目标结合起来。企业所有的管理活动都应该围绕着企业目标的实现来进行。建立内部控制制度是企业加强管理的重要措施,其目的同样是实现企业目标,不能离开企业目标来谈建立和完善内部控制制度的问题。目标定位决定着内部控制关键点和控制手段的选择。有些企业内部控制制度的缺陷从表面上看是具体控制措施不健全,但从根本上看是缺乏明确的目标导向。例如,某一企业在销售和收款内部控制制度的构建中,如果只将保障销货款的安全作为内部控制的目标,则内部控制措施的选择就是现款销售;如果将扩大销售也纳入内部控制的目标,则企业就会将客户信用调查作为内部控制的措施。所以从内部审计控制系统来讲,目标的确立能够为内部控制框架的构件提供明确的导向,是评估风险、制定控制措施的依据。
3、建立一套完整的监督体系。(1)加强和改进财务内部监督,实行审计委派制。(2)加强审计监督。重点加强对年度财务报表、任期经济责任和干部离任的审计。(3)加强民主监督。企业财务部门要定期向职工通报财务工作报告,听取意见,征询意见和建议。建立财会人员年度考核,健全民主测评、民主评议和组织生活制度,自觉接受监督。(4)强化公众监督。全面深入推行财务公开,把公开透明化贯穿于各项制度建设和各种权力运行过程,增强决策透明度,落实员工的知情权、参与权、监督权,实行“阳光作业”,建立内部监督。
中图分类号:F239文献标识码:A
一、内部控制审计若干问题
(一)内部控制概述。内部控制是指从控制环境、风险评估、控制活动、信息沟通、监督评价五要素出发,制定并实施一系列具有控制职能的业务操作程序、管理方法与控制措施,以实现企业经营效益性、财务可靠性及合规性三大目标。
(二)内部控制与内部审计的关系。内部审计又称部门审计,是指本部门和本单位内部专职的审计机构和审计人员按照《审计法》的规定,对本部门和本单位进行的审计。它是企业进行管理控制、提高企业经营效率、实现企业目标的重要工具。
1、内部控制是内部审计的评审对象。内部审计在企业内部天然的监督作用使内部审计控制成为企业内部控制的一种形式,也是企业内部经济活动和管理制度是否合规有效的评价机构。内部审计与内部控制中的控制活动相比,内部审计最大的特点是不参与具体的经验管理活动,而是对内部控制进行有效控制。内部控制与内部审计相互依存、相互促进,进行内部审计,通过先了解被审单位的内部控制制度是否健全有效、企业的各项活动是否遵守内部控制制度,把失去控制和控制薄弱的业务系统和控制环节列入审计范围,把失控点和控制弱点以及与此相关的业务资料列入审计重点,有助于确定审计范围和审计重点、确定审计程序,从而提高审计的效率和效果。
2、内部审计促使内部控制系统更完善。审计人员通过对内部控制系统进行审计评价,找出其薄弱环节、可能存在的问题及带来的影响,并将这些信息、审计结论传递给企业管理层,帮助企业完善管理、克服弊端、消除隐患。同时,通过对问题严重或内部控制效率效果不佳的进行公布,可以对企业形成一定的压力,促使其完善企业内部控制。
(三)我国内部控制审计的发展。2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见,制定规范,从而正式确立了我国的内部控制审计制度。2006年7月,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会,许多监管部门、大型企业、行业组织、科研院所的领导和专家学者都积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。我国财政部会计司2000年开始调查研究,制定了一系列控制规范,包括《企业内部控制规范―基本规范》和17项具体规范。这也意味着对财务呈报内部控制有效性进行审计也将成为一种趋势,制定相关的审计准则有助于审计人员提高风险意识,保证财务报告的编报质量。
(四)我国企业内部控制审计现状及问题。目前,我国很多企业尤其是中小型企业,并未意识到内部控制的重要性,甚至对内部控制的概念存在误解。使企业内部控制薄弱或没有内部控制,导致企业一方面经济业务多,而另一方面内部控制审计机制缺乏或有效性低。
从机构设置上看,有些中小型企业没有独立的内部审计部门,而设有内部审计部门的企业,很大一部分其内部审计部门与其他职能部门是平行的,无法保证内部审计工作的独立、客观、真实性。没有准确的审计结果就无法保证内部控制制度的有效性,无法真正达到内部控制的目的,久而久之,内部审计部门就变成了可有可无的部门。
从审计方式看,大部分企业采用的都是事后审计,事后审计只能对发生的问题进行审计,无法做到预防问题的发生。只有综合使用事前评价、事中评价及事后评价才能对企业内部控制进行全过程、全方位的监督和评价。
从审计内容上看,审计人员还是很传统的,主要审计会计报表、账本、凭证等财务相关资料,这导致了管理和经营领域没有得到或没有充分得到审计。
从审计人员看,我国企业的审计人员大多是财务出身,对经营管理相关知识比较欠缺,无法做到对企业内部控制进行全面的审计。
二、内部控制审计的程序和方法
审计的重点是对制度内各个控制环节进行审查,从而找出制度中控制的薄弱环节。审计程序是审计活动赖以有序高效运行的基础,而审计方法则是审计结论准确的保障。只有依赖于合理规范的审计程序,选择合适的审计方法,才能真正做到对企业内部控制进行快速、准确的审计。
(一)内部控制审计的程序。内部控制审计主要是对被审计单位的内部控制制度进行检查和测试,找出制度中的薄弱环节,而对内部控制制度的检查、测试又可细分为:责任控制制度、内部牵制制度、会计控制制度、经营方面各个循环系统的控制制度、财产及凭单管理制度五大方面。
内部控制审计的程序分为:了解并记录企业的内部控制现状、初步评价内部控制的健全性、对内部控制的设计及执行的效果进行符合性测试、评价内部控制的强弱及控制风险以确定内部控制薄弱的领域、制订实质性审计方案五大步骤。审计流程如图1所示。(图1)
1、了解企业内部控制现状。了解企业的内部控制现状是整个审计活动的基础,只有充分了解被审计单位的内部控制制度及执行情况,才能对后续的工作提供依据或借鉴。了解企业内部控制现状后需要及时并准确的做出记录、描述。内部控制现状包括控制环境现状、控制程序现状和会计系统现状。
2、初步评价内部控制的健全性。内部控制的健全性是下一步进行符合性测试的前提,它是指企业的内部控制是否完善、是否能对企业的风险进行控制、是否能达到企业进行内部控制的目标。在第一步了解企业内部控制现状,即对被审计单位内部控制有了一个初步的认识的基础上,对内部控制风险和内部控制的可依赖程度做出初步评价。评价内部控制的健全性包括评价企业的控制环境、控制程序和会计系统。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程。
在初步评价过程中若发现企业内部控制失效或者难以对内部控制的有效性做出评价,则应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平,并不拟进行下一步符合性测试;若发现相关内部控制可能防止或发现和纠正重大错弊,则不应评价其控制风险处于高水平并拟进行下一步符合性测试。
3、对内部控制的设计及执行效果进行符合性测试。符合性测试是为了确定内部控制制度的设计和执行是否有效。其基本对象包括内部控制设计测试和内部控制执行测试。设计测试是测试被审计单位控制政策和程序是否合理,是否能防止或发现和纠正特定会计报表认定的重大错报或漏报。执行测试是测试被审计单位的控制政策是否发挥了作用。设计和执行同等重要,没有好的设计,执行将不起作用、甚至起到相反的作用,设计再好,没有认真执行,则设计也无法真正发挥作用。
通过初步评价内部控制的健全性就可以基本确定被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。审计人员并非对所有的内部控制进行符合性测试,只对那些准备信赖的内部控制执行符合性测试,并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时,符合性测试才是必要的且经济的。
4、评价内部控制的强弱及控制风险,确定内部控制薄弱的环节。只有完成了内部控制符合性测试,审计人员才会发现被审计单位内部控制制度是否建立、健全,哪些内部控制制度得到了有效执行,哪些内部控制虽然建立但没有执行或执行不力,哪些内部控制是有效的,哪些内部控制是无效,哪些是内部控制的薄弱环节。同时,利用专业判断来调整和综合评价被审计单位的内部控制估计风险的水平。审计人员对在审计中发现的内部控制问题进行汇总、整理,分析问题产生的原因和可能带来的后果,提出有效的改进措施,以管理建议书的方式,反映给被审计单位管理部门。
5、制订实质性审计方案。利用上一步的综合评价结果可制订出实质性的审计方案。实质性审计方案的实施为完善企业内部控制提供了依据及标准。
(二)内部控制审计方法。在内部控制的审计流程中,各步骤都有相应的审计方法。在进行审计时,审计人员应充分考虑被审计单位的经营规模、业务复杂程度、数据处理系统类型、审计重要性、相关内部控制类型、相关内部控制记录方式、固有风险的评估结果等因素。主要审计方法:
1、分析以往的审计报告、审计工作底稿、企业的内部控制相关文件及资料、内部控制生成的文件和记录。
2、对被审计单位相关人员进行问卷调查或访谈,以了解内部控制现状、企业各项业务操作是否符合控制要求、业务执行情况等。
3、观察被审计单位的业务活动和内部控制的运行情况。审计人员可亲临现场,实地观察相关人员的工作情况,以确定既定控制程序是否得到严格执行。
4、对具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审计情况,可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进。
5、对账表、凭证等书面证据等进行抽检以判断是否存在内部控制制度,制度是否得到有效贯彻执行。
6、重复执行法。审计人员就某项内部控制制度按照被审计单位的业务程序全部或部分重做一次,以验证既定的控制措施是否被贯彻执行。
7、综合评价。进行综合评价时,若内部控制有效实施了,则评价控制风险为低,仅对各项账户余额和交易进行有限的实质性测试。重新调整内部控制的可依赖程度,制订出实质性审计方案;若审计人员在经过内部控制测试后,发现部分内部控制没有得到有效执行,就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围;针对内部控制的缺陷,确定实质性测试的时间、范围和程序。通过符合性测试,审计人员根据所掌握的具体缺陷和不足,制订下一步实质性审计方案,其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容;然后,就内部控制缺陷,向被审计单位管理当局提出改进建议。
(作者单位:中国矿业大学(北京)管理学院)
主要参考文献:
[1]张世体.审计基础与实务.立信会计出版社,2006.
一、内部审计部门对企业内部控制制度的审计与评价
内部审计,是指企业内部独立于财会部门以外的专职审计部门所进行的审计监督。内部审计对企业的经济监督范围相当广泛,不只局限于财务收支审计、经济效益审计、工程项目审计、任期经济责任审计,而且还包括对企业内部控制制度、法规政策遵循、企业发展战略、企业风险管理等各方面的经济活动进行监督检查。可见,内部控制制审计是内部审计部门的主要任务之一。
进行内部控制审计,要了解企业的经营活动、业务流程,取得企业的各项规章制度文件,以此确认企业已建立了哪些内部控制度。其次要对企业的内部控制制度进行详细描述,根据具体情况采用文字说明法、调查表法或流程图描述法。在此基础上,通过询问适当人员、观察经营活动、检查相关文件、模拟业务重新执行、进行穿行测试,审核企业的内部控制制度是否实际执行。最后对企业的内部控制度进行评价,提出审计建议。
以下从内部控制要素角度分类阐述审计时应关注的风险:
1.内部环境
内部环境是企业实施内部控制的基础,一般包括企业文化、组织架构、发展战略、人力资源政策、社会责任等。
(1)企业文化
企业文化是一个企业在其生存和发展过程中形成的用于指导和规范该企业自身及员工行为的独特的价值取向或文化观念。它包括:经营哲学、价值观念、企业精神、企业道德、团队意识等。
企业文化方面内部控制审计应关注的风险主要有:
①缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,使企业缺乏凝聚力和竞争力。缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现,影响企业可持续发展。
②缺乏诚实守信的经营理念,可能导致舞弊事件的发生,造成企业损失,影响企业信誉。
③忽视企业间的文化差异和理念冲突,可能导致企业并购重组失败。
(2)组织架构
组织架构,是指企业根据有关法律法规、股东大会(股东会)决议和企业章程,结合企业实际,明确股东大会(股东会)、董事会、监事会、经理层和企业内部各级组织机构的设置、职责权限、人员编制、工作程序和相关要求的制度安排。组织架构包括治理结构、机构设置及权责分配,它不仅规定了公司各机构人员的责任和权利分布,而且明确了决策公司事务时所应遵循的规则和程序。
组织架构方面内部控制审计应关注的风险主要有:
①治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。例如:企业的重大决策、重大事项、重要人事任免及大额资金支付业务(即“三重一大“)是否按照规定的权限和程序实行集体决策审批或者联签制度,且任何人不得擅自改变集体决策。
②内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。例如:对员工是否进行业务授权;是否将不相容职务进行分离,一项业务的授权审批、经办执行、会计记录、财产保管、审核监督等均应由不同的人员来完成。
(3)发展战略
发展战略,是指企业综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竟争对手状况、可利用资源水平、自身优势劣势等因素,制定并实施的企业长远发展目标和战略规划。发展战略的成功制定与合理实施可使企业走向辉煌,仅靠拍脑袋想问题或过分投机可使企业一败涂地。
发展战略方面内部控制审计应关注的风险主要有:
①缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
②发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。
③发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和可持续发展。
(4)人力资源政策
人力资源政策是指企业根据发展战略,预测人力资源需求,通过招聘、培训、绩效考核、薪酬管理、劳资关系、员工沟通、退出管理等活动,实现人力资源的合理配置。一个企业如果能有忠诚、能干的员工,那么很多控制上的缺陷都能够得以弥补;如果企业员工不够诚实或者能力不足,则再好的内部控制制度也无法发挥作用。
人力资源方面内部控制审计应关注的风险主要有:
①人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。
②人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下,关键技术、商业秘密、国家机密泄露。
③人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。
(5)社会责任
社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括:安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等。如果企业缺乏社会责任,将存大较大的经营风险。
社会责任方面应关注的风险主要有:
①安全生产措施不到位,责任不落实,可能导致企业发生安全事故。
②产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。
③环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。
④促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
2.风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标(经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、实现发展战略)相关的风险,并合理确定风险应对策略。每个企业都面临来自内部和外部的不同风险,这此风险都需加以评估。风险评估流程包括:风险控制目标设定、风险识别、风险分析、风险应对。
风险评估方面应关注的风险主要有:
(1)企业是否设定战略目标、经营目标、资产安全目标、财务及非财务信息报告目标、遵守法律法规目标等,以通过管理与控制措施来保证内部控制目标的实现。
(2)企业是否存在风险识别机制,对内部与外部风险因素进行预期与识别。
(3)企业是否将风险评估过程完整记录,并建立风险评估反馈与信息沟通机制。
(4)企业是否建立风险应对政策与程序,对已识别并经评估的各类风险采取风险规避、风险转移、风险控制、风险接受等风险应对措施。
3.控制活动
控制活动是企业根据风险评估的结果,采用相应的控制措施,将风险控制在可承受范围之内。控制活动是有助于实现企业目标,确保管理层的风险反应被执行的一系列方针政策和程序。控制活动的基本方法包括:不相容职责分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。
控制活动贯穿于企业内部各个阶层和职能部门。控制活动存在于企业各类生活经营活动中,如:采购与付款、存货与生产、销售与收款、资产管理、资金活动、担保业务、研究与开发、工程项目、业务外包、全面预算、合同管理等。
二、社会审计组织对企业内部控制制度的审计
社会审计,也称注册会计师审计,是指由会计师事务所的注册会计师执行的独立审计。注册会计师对企业的内部控制由最初的制度基础审计下的了解、初步评价、符合性测试、进而确定实质性测试的性质、时间、范围,发展到对企业内部控制制度进行专项审核,发展到现阶段的接受委托对企业特定基准日内部控制设计与运行的有效性进行审计,出具内部控制审计报告。
注册会计师对企业内部控制制度的审计与内部审计部门对企业内部控制制度的审计评价有着不同的特点。在我国,注册会计师内部控制审计针对的是特定基准日(12月31日)被审计单位内部控制的有效性发表意见;而内部审计部门的审计可能是对企业生产经营的任何期间。注册会计师内部控制审计主要针对财务报告内部控制方面发表审计意见,对关注到的其他非财务报告内部控制的重大缺陷予以披露;而内部审计部门的审计要对企业的全部内部控制制度进行审计、评价与监督,不仅限于财务报告内部控制方面。
注册会计师对企业内部控制审计的主要方法步骤是:
1.了解被审计单位的基本情况,如:企业的组织结构、经营特点、行业状况、企业经营活动过程中面临的各类风险、企业内部控制制度的建立完善情况,企业所适用的法律法规等。对被审计单位的内部控制制度进行初步评价。
2.签订内部控制审计约定书,或与财务报务审计一起出具整合审计业务约定书。明确被审计单位管理层的责任是:建立健全和有效实施内部控制,评价内部控制的有效性。注册会计师的责任是:在实施审计工作的基础上对被审计单位内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。如果发现被审计单位存大重大舞弊行为或管理层凌驾于内部控制之上,注册会计师应拒绝接受委托。
3.配备具有专业胜任能力的注册会计师组成审计项目组,在风险评估的基础上制订内部控制制度审计计划。注册会计师执行审计业务时所的风险评估不同于企业内部控制要素中的风险评估。
4.确定重要性水平,识别可能包含重大错报的重大会计账户、重大列报和相关认定、重大业务流程。内部控制审计确定的重要性水平与财务报表审计确定的重要性水平相同,通常以可能影响财务报表使用者所作的经济决策为出发点,按某一财务指标的一定比例确定。
5.内部控制审计工作的具体实施。《企业内部控制审计指引》要求注册会计师应当按照至上而下的方法实施审计工作。首先从财务报表层次初步了解内部控制整体风险,然后结合企业整体情况识别重大会计账户,识别财务报表中的重大列报和相关认定,并识别和了解重大业务流程。
6.对审计中发现的内部控制缺陷进行评价。内部控制缺陷分为:重大缺陷、重要缺陷、一般缺陷。重大缺陷,是指一个内部控制缺陷或多个内部控制缺陷的组合,可能导致企业严重偏离内部控制目标。
7.取得经被审计单位管理层签署的书面声明,明确被审计单位管理层对内部控制的责任。如果被审计单位管理层拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
(1)目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计报表相关的内部控制的基础上,评估其控制风险,在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表审计意见。
(2)范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与财务报表有关的内部控制,范围要小。
(3)对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见,因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据,评价精度比前者要低。
随着内部控制重要性的提高,实践中人们已经越来越多将其作为独立的专项审计目标单独开展,尤其对于公司,专项内部审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。
二、内部控制审计的涵义
所谓内部控制,是指被审计单位为了维护资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。
内部控制审计是运用文字描述,调查表及流程图等手段与方法对内部控制系统实施健全性评价,检查和评价企业内部控制系统是否健全,内部控制制度是否被遵循及内部控制机制运行是否有效。
企业内部控制审计是公司运作管理的重要组成部分,是确保企业健康发展的重要管理环节。企业内部控制审计是公司高层决策者监控公司工作、校正决策与规范管理,提升公司价值必不可少的手段,它是最高层管理者耳目的延伸,也是经营风险管理的报警器。。
三、企业开展内部控制审计的重要性
1、是贯彻法律、法规的要求。
2000年7月实施的《会计法》明确各单位应当建立、健全本单位内部会计监督制度,第一次对内部控制提出了法律要求。财政部于2001年颁布的《内部会计控制规范》等一系列规范,要求企业从会计信息、资金管理、对外投资、资产处置等方面建立起一套内部控制机制、2006年新修订的《审计法》要求企业建立起内部控制制度。2008年6月,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》,并于2009年7月1日起在上市公司范围内施行,同时鼓励非上市公司的大中型企业执行。这一规范的实施将为我国企业防范经营风险构筑一道坚实的“防火墙”,同时,成为建立健全企业内部控制制度的契机。这需要企业的内部审计机构肩负起监督的职责,检查和评价内部控制的建设情况和执行情况。
2、是审计方法发展的要求。
随着社会生产力的发展、企业规模日益壮大、经营业务日趋繁复,传统的详细审查方法受到挑战,于是出现了抽样审查的方法,通过抽样结果来推断财务报表的可靠程度。但是,如果单凭审计人员主观或任意判断进行抽样,那么抽样的结果难免以偏概全,影响审计结论。内部控制是管理现代化的必然产物,它的产生和发展,促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。制度基础审计就是以对内部控制的测评为基础,运用抽样方法得到审计结论的一种审计取证模式。它可以在提高审计效率的同时,确保审计结论达到所要求的质量水平。这种以内部控制为基础的审计方法在保证审计质量的前提下减少时间、节约成本,受到审计人员和企业的普遍欢迎。
3、是加强内部管理的需要。
随着经济的发展,市场竞争越来越激烈,企业面临着经营地点分散、控制跨度增加、控制权利层次增多等难题,商业欺诈、资金周转不力等经营风险与财务风险越来越大,管理任务更加艰巨,需要企业内部协调一致,加强监督和控制,防止工作差错和舞弊,提高经营效率,提高企业的竞争能力。因此企业无论在客观还是主观上都要建立起具有自我控制和自我调节功能的管理机制。
4、是提高企业社会认知度的需要。
当然,企业内部控制的外部化并非以外部控制代替所有的内部控制,这也是由社会分工专业化的理论所决定的。社会分工的发展历史已经证明,绝对的专业化并未带来绝对高的生产效率。如果把外部控制视为内部控制复杂化后所剥离产生的业务,外部控制和内部控制一样也需要占用一定数量的资源,企业单纯采用外部控制是不符合成本效益原则的。例如现代外部审计就是建立在对企业内部控制符合性测试基础上的抽样审计。这样的审计模式是外部控制与内部控制的很好的结合,它充分利用了内部控制的效率,避免了复杂的全面审计,节约了审计的成本。同样,当企业只存在内部控制时,由于企业的经营业绩、财务报告等信息缺乏中立性的独立验证,投资者特别是潜在投资者对其缺乏信任,企业在资本市场中难以取得低成本的资金来源;当企业完全依靠外部控制时,由于缺乏自我监督约束机制,企业中往往普遍存在舞弊行为或出现低效率现象,而又不能得到及时准确的控制,最终企业会产生较大的管理成本。所以只有将内部控制与外部控制相结合,才能使企业最有效的利用有限的管理资源完成高效率的控制任务。总之,社会分工的专业化和对高管理效率的追求促使企业主动放弃了一部分内部控制程序,转而采用了外部控制,这就在一定程度上促进了内部控制的外部化。
2政府经济管理职能的履行推动了内部控制的外部化。由内部控制的定义可知,保证企业高效、合规的生产经营是内部控制的重要的目标。而这一目标恰好与政府宏观经济管理的职能不谋而合,所以内部控制体系的完善不可能仅是企业自身的事务,它必然会映射出政府管理职能对其产生的影响。政府为了履行经济管理职能,更好地运用宏观手段管理企业经营,会不断的出台宏观政策加以指导,其中不乏关于内部控制的规定。纵观各国内部控制的发展,政府对内部控制外部化的促进作用集中体现在对内部控制制度的制定上。绝大多数国家都针对内部控制问题由政府机关或其他机构制定相关的原则性规定,内部控制的实施必须严格以此为纲领。例如,美国政府为了完善内部控制制度先后多次将民间机构制定的有关规定纳入法律条文,或者通过其他形式进行加强。这种由政府或其他机构制定内部控制原则的行为本身就是一种内部控制的外部化表现。
另外,很多制定内部控制制度的机构和人员本身就是外部控制活动的执行者,由他们制定的内部控制制度必然会充分的反映出外部化的要求。当前,许多规定都强调了外部控制对内部控制的约束性和验证性。例如,我国1996年12月的《独立审计具体准则第9号———内部控制和审计风险》中要求注册会计师必须审查企业内部控制的情况;在2000年的《公开发行证券公司信息披露编报规则》中也明确提到注册会计师必须对内部控制制度及风险管理系统的完整性、合规性和有效性进行评价,提出改进建议,并以内部控制评价报告的形式加以披露。在政府的强烈影响之下,企业必然会在某些内部控制过程或环节上加大外部控制的应用范围。例如有些企业内部审计部门及人员与外部审计机构相互配合共同对企业实施控制;有的则直接与会计师事务所签订协议,由其参与企业的内部审计。这在客观上促进了内部控制的外部化发展。
3内部控制的缺陷需要通过外部化加以弥补。内部控制的性质是内向型服务,是企业自我约束的重要机制。正是由于其内向服务的属性决定其在独立性方面存在缺陷,这较为突出的表现在内部控制的机构设置、领导形式等的定位问题上。正是由于企业可自主决定内部控制机构的设立、人员配置、工作的中心和范围等重要内容,所以其独立性必然会受到影响。关于企业内部审计的定位问题,当前主要有以下几种情况:一、由监事会领导;二、由董事会领导;三、有高级管理层领导。从理论上讲,由于监事会向股东大会负责,其控制权限较大受到的阻力相对较小,由其领导的内部审计具有较高的独立性;由董事会或者高级管理层领导的内部审计则独立性相对较弱。但是,在现实中大多数规模不大、业务活动简单的企业都采用了后两种形式的内部审计,因而其内部控制的监督很大程度上只是董事会或高级管理者对中、下层职能管理部门的监督控制,而高层管理者自身缺乏约束,这样的内部控制就是不完整的,缺乏独立性。即便由监事会作为内部审计的领导机构,也难以保证其人员在实质与精神上的独立性,因而内部控制的独立性和审计结论的可靠性往往受到怀疑。另外,内部控制人员并非专业的审计或管理人员,即使其中立性得到保证,其专业能力仍会受到怀疑。
当前,企业投资者和资本市场都相对独立于企业经营管理之外,他们在很大程度上只能依靠企业的控制机制对企业经营决策加以监督。而他们所希望的控制不仅是针对企业一般管理者的行为,而且也能对高层管理者甚至是董事会的管理、决策行为加以有效的控制。而这种要求对于独立性较差、人员专业能力有限的内部控制而言是很难胜任的。与内部控制相反,外部控制则具有独力性强、人员专业能力有保障的优点,并且有相当专业化的资源配置,因而外部控制承担某些环节上的控制职能更为合适,可以有效的弥补内部控制的缺陷。总之,内部控制自身的缺陷也需要外部控制的参与,以对其不足之处加以弥补。
其实,内部控制的外部化还受到许多因素的共同影响。内部控制与外部控制之间存在着极为密切的关系,在许多领域中内部控制是与外部控制相结合共同参与企业的监督约束,甚至在部分领域外部控制取代了内部控制。由上面的分析,笔者认为,内部控制的外部化是社会经济发展的必然选择,也是现代企业制度完善的必然要求,恰当的处理将有利于企业的健康发展。二、关于如何处理内部控制外部化的思考。
1关于内部控制外部化的重点在于对企业高层管理者的控制。按照理论的观点,现代企业是以契约形式组成的多层次委托———关系的集合体。所有权和经营权的分离是现代企业的重要特征,股东的大众化使得股东放弃了经营权,而以委托的方式将资产托付于高层管理者经营。在此二者之间形成了第一层委托关系。企业规模的大型化和业务的多元化、复杂化又使得高层管理者不得不再次通过授权委托中、下层管理者对部分业务和职能部门加以管理,各管理层之间又形成了第二层、第三层的委托关系。一般而言,在各种企业单位中,第一层委托关系最具有共性,也就是说,所有者与高层管理者之间的委托关系是最一般化的,仅是所有权与经营权之间的委托,它受行业、企业特征的影响较小。相反,高层管理者与中、下层管理者之间的委托关系则更具有企业的特色。不同的组织结构、企业文化、管理方式以及企业类型和规模都会影响到管理层之间的委托关系。
从公司治理的角度看,“公司治理机制辐射两方面内容:一是企业与股东及其他利益相关者之间的责权利分配,在这一层中,股东要授权给管理当局管理企业、采取措施保证管理当局从股东利益出发管理企业、能够获取足够的信息判断股东期望是否能真正得到实现,并在管理当局损害股东权益时有权采取必要行动;二是企业董事会及高级管理层为履行对股东的承诺,承担自己应有职责所形成的责权利在内部各部门及有关人员之间的责权利分配。”公司与股东之间的关系具有一般化的属性,而企业内部各管理层间的关系往往缺乏共性。所以笔者认为,内部控制的重点应当是企业内各层管理者之间的监督、约束、协调等工作。因为不同企业各具特点,只有企业自己的管理者和员工才能做到真正了解其实际情况,对比较复杂的内部管理工作采用内部控制就更具针对性和适应性,便于查找深层弊端,及时进行反馈。而且企业高层管理者与中、下层管理者之间的利益冲突相对较少,高级管理者对下属的控制也相对简单,同时这种管理的信息属于企业内部信息,不需要向外部披露,因而可以内部控制为主不必过于严格追求其独立性。
与此相对,内部控制外部化的重点则应放在对高级管理者的控制上。首先,股东与高层管理者之间存在较大的利益冲突,单纯依靠监事会等内部控制程序难以保证其控制结果。其次,高层管理者具有相对多的权利,其获取不正当利益或做出其他不合规行为的渠道和手段更为丰富和隐蔽,这对控制的要求较高,因而需要具有相当专业能力的外部控制程序对其加以约束。再次,股东对经营者的控制信息往往是需要对外公布的信息,这就要求控制必须具有较高的中立性。最后,由于股东与高层管理者之间的关系具有共性,适应于外部控制的实施。
2内部控制外部化的内容主要是对经营管理合规性的控制。根据COSO的定义,内部控制的目标有二:一是保证财务报告的可靠性,企业运行遵守法律规定,即合规性;二是提高企业经营效果和效率,即效益性。内部控制的各项职责和内容亦应据此确定。例如企业往往设置内部审计、会计监督等机构,利用岗位分工、授权复核、预算控制等方法,对企业经营加以控制来保证其合规性;同时也会利用业绩考核、成本核算、风险效益分析、职工培训、奖惩等多种方法提高企业的效益。
对于内部控制外部化而言,其内容主要是对企业合规性进行控制。首先,从外部控制的历史来看,对合规性的控制,如CPA审计、财税检查等产生较早,形成了较为完善的理论和实践方法体系。对企业合规性的审核工作采用外部控制,则更具专业化和效率,其结果也更容易得到社会的认可。由于外部控制在合规性审查方面的优势决定了内部控制在此内容上的作用相对较弱,从而形成了外部化为主的局面。关于效益性的外部控制产生发展则较晚,对其控制的手段方法较为有限。并且由于企业性质特点不同,造成企业效益低下的原因可能多种多样,外部控制程序往往难以及时、准确的完成控制任务。当然也应当看到,现代企业管理咨询、经营策划等服务行业正在快速发展,这将有助于促进对企业效益性问题的控制和管理。但就目前来看,外部控制参与企业内部控制仍是以合规性控制为主要内容。
综上所述,企业内部控制的外部化发展是由社会分工专业化、企业对经济效益的追求以及内部控制自身缺陷等原因共同决定的,它是内部控制发展的合理趋势。对此笔者认为,将企业中适合于外部控制的环节及部分内容转由外部控制来完成,一方面可以提高企业管理的专业化程度和管理效率,促进内部控制质量的提高;另一方面也为外部控制提供了更多的业务空间,这必然有助于外部控制的发展壮大。所以内部控制的外部化是一条有益于提高企业控制水平的重要途径。
参考文献
1科斯论生产的制度结构上海三联书店,1994
2李健公司治理论北京:经济科学出版社,1999
3阎达五杨有红内部控制框架的构架会计研究,2001;2
4朱荣恩建立和完善内部控制的思考会计研究,2001;1
美国审计权威机构COSO(1994)的定义是:内部控制是一个受某单位不同层次的人影响的过程。具体包括:
1、内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;
2、内部控制是用来取得一种或多种互相区分而又紧密联系的目标;
3、内部控制受人的影响,而不只是政策、守则或表格;
4、只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
国内学者大多认为内部控制是指由企业董事会、管理者和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目的而提供合理保证程序或过程。
二、內部控制的内容
内部控制涉及企业生产经营的控制环境、风险评估、监督决策、信息与交流以及自我监督等方面,从总体上透视了企业生产的各个环节。其有效实施会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和规范化。
(1)控制环境:控制环境是推动控制工作的发动机,是所有其他内部控制组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内部控制的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内部控制的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
(2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估原则强调有效的内部控制系统,需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司所面对的全部风险(如企业要面对财务风险、经营风险、市场风险、法律风险和声誉风险)。需要不时调整内部控制,以便恰当地处理任何新的或过去不加控制的风险。
(3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。
(4)信息与交流:存在于所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
(5)监督评审:是经营管理部门对内部控制的管理监督和内审监察部门对内部控制的再监督与再评价活动的总称。
监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整等等。
三、內部控制的目的:
内部控制目的论的发展经过了下述阶段:
1、“三目的论”认为:内部控制是为了保护单位的财产,会计记录的准确可靠和及时提供可靠的财务信息。
2、“四目的论”认为:内部控制除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率。巴塞尔委员会把内部控制的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
国内学者归纳起来认为:内部控制的目的是指内部控制想要达到的目标,大致包括:
①保护企业资产的安全、完整及对其的有效使用。
②保证会计信息及其他各种管理信息的存在、可靠和及时提供。
③保证企业制定的各项管理方针、制度和措施的贯彻执行。
④尽量压缩、控制成本、费用,减少不必要的成本、费用,以求企业达到更大的盈利目标。
⑤预防和控制且尽早尽快查明各种错误和弊端,以及及时、准确地制定和采取纠正措施。
⑥保证企业各项生产和经营活动有秩序有效地进行。
建立有效的内部控制制度对于防止、及时发现和纠正生产、经营运行过程中的各种错弊现象及不法行为有其特殊作用,对涉及投资、生产、经营、财务等各个方面和各个环节进行全方位、全过程的管理控制,对完善现代企业制度,依法治企,满足监管要求,控制风险,加强基础工作、提高管理水平,促进各项生产经营活动进一步规范、有序运行,保证整体经营目标的实现等,都有极其重要的意义。
四、内部控制存在的问题:
近年来,在强调建立现代企业制度,完善法人治理结构的同时,理论和实务界不约而同地把治理的重点瞄向加强企业内部控制,强化企业自身的“免疫”和“抗干扰”能力上。然而,还有相当一部分企业未意
识到内部控制的重要性,对内部控制存在许多误解,甚至概念模糊,治理结构先天不足,再加上内部控制固有的局限性,使企业内部控制薄弱,经济业务随意性大,缺乏有效的内部控制审计机制。主要表现在:
1、内部控制制度不健全:
目前,多数企业的内部控制制度不够全面,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使中小企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账簿、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据,设置“小金库”,乱摊成本,隐瞒收入,虚报利润,恶意逃避税收等。所有这些,都与企业内部控制制度不健全密切相关。2、内部控制审计缺失:
内部控制审计是企业内部控制制度的一个重要组成部分。据调查,为数不少的企业没有设置内部审计机构,更谈不上内部控制审计。即使具有内审机构的企业,其内部控制审计也往往会被忽略。
五、解决问题的方法:
1、建立健全内部控制体系
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏,直接影响到企业内部控制的遵循和执行,以及企业经营目标、整体战略目标的实现。加强和完善企业内部控制,应注意企业内部控制环境的建设,包括经营管理的理念、方式和风格,组织机构,授权和分配责任的方法,管理控制方法,人力资源管理政策和实务,外部环境的影响等。只有建立良好的内部控制环境,才能保证制度的真正落实,才能真正达到内部控制的目的。
(1)建立组织规划控制机制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。
(2)业务经办职务与审核监督职务分离。
(3)业务经办职务与会计记录职务分离。
(4)财产保管职务与会计记录职务分离。
(5)业务经办职务与财产保管职务相分离。
要建立健全组织规划控制,目前必须解决两个问题:
(1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。
(2)推行职务不兼容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免关键管理人员重叠等等。
2、建立会计系统控制
会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规,制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统。会计系统控制主要包括:
(1)建立健全内部会计管理规范和监督制度,且要充分体现权责明确、相互制约以及及时进行内部审计的要求。
(2)统一会计政策,尽管国家制定了统一的会计制度,但其中某些会计政策是可选的。因此,从企业内部管理要求出发,必须统一执行所确定的会计政策,以便统一核算汇总分析和考核,企业会计政策可以专门文件的方式予以颁布。
(3)统一会计科目,在实行国家统一一级会计科目的基础上,企业应根据经营管理需要,统一设定明细科目,特别是集团性公司更有必要统一下级公司的会计明细科目,以便统一口径,统一核算。
(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法,遵循会计制度规定的各条核算原则,使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。
3、授权批准、财产保全控制
授权批准是指企业在处理经济业务时,必须经过授权批准以便进行控制,授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定,一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定,一般其时效性较短。不论采用哪一种授权批准方式,企业必须建立授权批准体系,其中包括:
(1)授权批准的范围,通常企业的所有经营活动都应纳入其范围。
(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各管理层有权亦有责。
(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免责任不清,一旦出现问题又难咎其责的情况发生。
(4)授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审批,以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权,经办人员也必须在授权范围内办理经济业务。
财产保全控制包括:
(1)限制直接接触,限制直接接触主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。
(2)定期盘点,建立资产定期盘点制度,并保证盘点时资产的安全性。通常可采用先盘点实物,再核对账册来防止盘盈资产流失的可能性,对盘点中出现的差异应进行调查,对盘亏资产应分析原因、查明责任、完善相关制度。
(3)记录保护,应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管,避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录,以便在遭受意外损失或毁坏时重新恢复,这在当前计算机处理条件下尤为重要。
(4)财产保险,通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会,从而保护实物的安全。
(5)财产记录监控,对
企业要建立资产个体档案,资产增减变动应及时全面予以记录。加强财产所有权证的管理,改革现有低值易耗品等核销模式,减少备查簿的形式,使其价值纳入财务报表体系内,从而保证账实的一致性。4、完善内部控制审计机制
内部审计控制是内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,在某种意义上讲是对其他内部控制的再控制。审计作为企业客观、公正的管理部门,在建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经济效益等方面发挥着重要作用。企业内部控制的建立,为审计人员提供了新的审计任务,即如何对企业内部控制进行审计呢?
(1)确定审计重点,编制内部控制审计计划
a、审计部门根据本企业的工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度、半年内部控制审计计划,并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。
b、根据上级部门和有关领导直接布置的专项工作制定专项内部控制审计计划。
(2)组建内部控制审计工作组。
根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计工作组,任命工作组组长,并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
(3)编制内部控制审计方案。
a、内部控制审计工作组组长负责编制内部控制审计方案。
b、内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。其中审计的内容包括:合规性审计、全面性与系统性审计、内部牵制及不相容审计、权责和奖惩审计、成本效益审计、可操作性审计等等。
c、内部控制审计方案要保证能够使审计工作达到预期效果。
(4)下达审计通知
内部控制审计工作组于实施现场审计前2-3日向被审计单位下达内部控制审计通知书,通知书中明确被审计单位需要准备的资料、参加审计人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
(5)进行现场审计
内部控制审计工作组进驻现场后,要召开审计进点会,向被审计单位说明审计的任务,提出具体要求,并听取有关情况汇报。审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工,采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法,根据现场确定的审计重点,对照内部控制规定的业务流程步骤、控制点和监督检查方法,抽取一定的经济业务对被审计单位或部门的内部控制进行测试,检查内部控制是否执行以及执行的程度。
审计人员将测试情况(包括存在的问题和被检查单位或部门已有的改正措施)记录于工作底稿,被审计单位和部门负责人或当事人在工作底稿上签字确认。此外,内部控制审计组组长还应指定专人复核工作底稿,提出复核意见,必要时重新进行测试。
最后,审计组组长负责召集小组成员对审计情况进行讨论和总结,以测试记录为依据,按照内部控制评价方法,从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面,对所检查的控制点和流程进行评价,分析被审计单位内部控制制度存在的缺陷和漏洞,评价该单位内部控制的成效,初步形成审计意见和建议,并将评价结论记录于工作底稿,审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人,并与其充分讨论沟通,交换意见,被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认,对存在的问题限期整改。
(6)撰写审计报告
内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理,完善审计意见,撰写审计报告,审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。
通过上述实施内部控制审计过程,可以为完善内部控制审计机制提供帮助。
六实施内部控制过程中须注意的几个问题
为适应现代社会经济环境的发展,内部控制必须由“维持现状”向“改善现状”转变,由重“纠偏”向重“引导”转变。因此,在内部控制实施过程中,有以下几个问题需要关注:
1.控制对象与内容的可控性。控制的核心问题是控制对象与内容可控,进而才能通过调整行为标准来改善现状。从理论上讲,控制的对象既包括正在使用或发生的资源与活动,也包括已经使用或发生的资源与活动,还有未来将要使用或发生的资源与活动。
2.控制环节的相互影响。组织中的每个成员分布在流程中相互连接的不同环节,各个控制点正在进行的活动不是孤立的,其控制效果既受以往完成的活动状况的影响,也对将来状态及效果产生影响。如果控制过程过分追求责任控制,使每个组织成员只关心自己行为的直接后果而无视处于流程中的下一控制环节所带来的连带效应,必然导致组织内部不协调,增加不必要的管理损耗。因此,现代内部控制在立足未来、改善现状的同时,必须考虑整体效果并树立系统观念。
3.业绩衡量的操作性。业绩是控制的结果体现,对业绩的正确衡量有利于判断控制的效果以及指明未来改善的方向。判断所设定指标对特定主体是否可控,美国管理会计学界曾提出三条标准,即指标可衡量性、主体可知性和可影响性。但实践中,即使设定了符合需要的指标,也很难对业绩进行准确恰当的衡量。主要有三个方面的原因:首先,在执行组织目标、预算的过程中存在着各种不确定性;其次,对于规模庞大、结构复杂的组织来说,很难明确区分单个部门或个人对业绩的贡献程度;另外,控制环节的相互影响也使某一环节对组织目标实现的影响程度很难界定。可以说,组织中难以自上而下形成强有力的自我控制意识与业绩衡量的模糊性有着相当大的关系。所以,恰当解决业绩衡量的模糊性问题是促进组织控制文化形成的关键。
内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现,目的是为机构增加价值并提高机构的运作效率。
二、内部审计和内部控制相互促进、相互渗透
(一)在过渡阶段内部审计机构可履行内部控制部门职责
根据财政部对企业内部控制规范体系实施中相关问题解释,一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作,对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。笔者认为在过渡阶段将该职能划归内部审计部门较为适宜。
从内部控制部门的职责来看内部控制部门的职责包括制定内部控制手册并组织落实、确定各职能部门在内部控制中的权利和义务、指导内部控制与其他经营计划和管理活动的整合等等。内部审计对企业生产经营活动的各个重要环节较为了解,容易发现缺陷和舞弊行为,并能有针对性的提出具体的改进意见和建议,有利于内部控制手册的制定。
内部审计机构为了保持其独立性和客观性,一般不直接参与企业的生产经营,但有权参与企业有关经营和财务管理决策会议、研究制定有关的规章制度等,因此内部审计机构对企业的业务流程、部门职责等有较为全面客观的认识,所以在过渡阶段如果由内部审计机构履行内部控制部门职责,内部审计机构可凭借其对企业全面客观的认识组织落实、确定各职能部门在内部控制中的权利和义务、指导内部控制与其他经营计划和管理活动的整合,同时有利于降低内部控制建立的成本,避免重复劳动。
(二)内部审计的设立是内部控制建设的必然要求
根据美国C0S0的《内部控制整体框架》,内部控制包括五要素,分别是内部环境、风险评估、控制活动、信息与沟通、内部监督。
内部审计是内部环境的构成要素之一
1.内部环境包括治理环境、内部审计、企业文化等等,因此企业进行内部控制的建设必须根据法律法规规定设立独立的或兼职的内部审计部门、配备内部审计人员。
2.内部审计涉及风险评估的全过程。
企业在进行风险评估的过程中可听取内部审计人员依据专业知识和独立地位提出专业的意见和建议,以选择合理风险应对策略减少企业运营中的风险。且内部审计人员在进行内部控制的审计时需要对企业的风险管理机制的健全性和有效性进行审查和评价。
3.内部审计促进了控制活动的有效执行。
企业采取各项控制活动将风险控制在可承受范围之内,而这些控制活动正是内部审计的重点之一。内部审计通过物资采购审计、建设项目内部审计等对各项控制措施的有效性进行审查,为内部控制的有效执行保驾护航。
4.内部审计的结果是信息与沟通的重要内容。
内部审计机构进行的内部控制审计、风险管理审计、舞弊的检查与报告等审计结果是与企业内部控制相关的内部信息,需要在企业内部进行有效沟通,同时信息系统本身也是内部审计的内容之一。
5.由内部审计机构进行的内部控制的自我评价即是内部监督。
内部控制审计包括由企业内部审计机构进行的内部控制审计和由企业外部的注册会计师进行的内部控制审计,由内部审计机构进行的内部控制审计即是内部监督。
内部审计机构通过实施适当的审计程序对内部控制的建立健全和有效实施进行评价,并将评价结果向企业的有关管理层报告。
(三)内部审计为注册会计师进行的内部控制审计提供了可选择的基础资料
由注册会计师进行的内部控制审计和由内部审计机构进行的内部控制审计在审计主体、审计目标、审计结论等方面存在不同。注册会计师在进行内部控制审计时可判断是否在内部控制审计工作中利用企业内部审计人员的工作以及可利用的程度。当然,注册会计师利用内部审计人员的工作并不影响其对审计结果独立性的承担。
(四)内部控制为内部审计创造了良好的企业环境
1.内部控制为内部审计提供了良好的审计环境。
内部控制贯穿了企业经营活动的全过程,独立监督和评价企业行为的内部审计也在其中。有效的内部控制有利于保障企业生产经营的正常进行、提高企业的经营管理水平,为内部审计创造良好的审计环境。
2.内部控制丰富了内部审计的内容。
内部控制要求企业建立的“三重一大”事项集体审批制正是内部审计机构进行企业内部经济责任审计的审计重点。内部控制中关于资金活动的控制、采购业务的控制、工程项目的控制等内容也是企业内部审计机构在进行经济性审计等审计工作时的审计重点。且内部控制本身也是内部审计的重要内容。
3.内部控制保障了内部审计结果的有效利用。
内部审计是通过审计行为检查发现企业经营活动中的风险,促使企业管理层重视并制定相关整改措施降低风险。内部审计的结果需在企业内部进行沟通,并通过完善内部控制的相关内容落实整改措施。
三、现代企业内部控制和内部审计存在的问题及改进措施
(一)企业内部控制存在的问题及改进措施
1.企业内部控制体系建设滞后,员工对内部控制的重要性认识不够。
从内部审计的内涵角度分析,它指的是企业进行的一种可以提高管理能力的活动。它运用科学系统的审计方法进行分析企业内部出现的各种风险问题、评估或是控制企业资源,让企业资源得到更好的利用,让企业得到更好的发展与进步。
1.2内部控制的内涵
从内部控制的内涵角度分析,通俗来说就是指企业包括投资者、管理人员、工作人员等所有人为了保证其会计信息的准确性、真实性、完整性与资产安全、经营有效运作,防止内部人员进行暗箱操作等行为所实施的一种有效的方式。
内部审计是内部控制的组成部分,内部审计与内部控制相互依存、相互促进,二者的最终目标一致。[1]目前,我国企业发展的前景良好。能够在经济市场上占据地位,企业必须具备各自的优势。每个成功的管理者必须思考的问题是如何提高自身的竞争能力。内部控制的优劣成为评价一家企业经营成败的关键之一。对于管理者而言,在内部控制中能够将内部审计的优势更好地发挥是必要的。
2.分析内部审计在企业内部控制的作用
企业要发展就必须向‘前辈’取经。内外兼顾,就是所有企业成功的法宝。内即内部控制,外即宣传销售等。据了解,内部审计在企业内部控制中发挥的作用是非常重要的。
2.1 有利于科学评价和评估企业内部控制
管理者要对企业进行有效的内部控制,必须采用科学的方法。内部控制实施的正确性需要内部审计进行评价与评估。控制性测试、实质性测试等是对企业内部控制进行的一种科学手段。审计人员可以通过检查、询问、函证等各种有效的审计方法来收集一定的企业资料,对企业内部出现的问题做出应有的建议与对策。审计人员按照法律流程与企业制度的要求对企业的资产进行监管与控制,对资产的错误增减作出相应的调查与分析,制定正确的审计报告,为管理层提供书面的证明也能够在一定程度上杜绝腐败的滋生。只有这样,企业的所有资源才能够得到合理的分配与利用,实现企业利润最大化。
2.2 有利于加强对企业日常经营活动的管理
很多企业打着实施内部控制的旗号,实际上对内部的管理却缺乏相关的监督。我们会从电视上看到某经理卷走公款潜逃或是某企业老总因私吞公款被抓的新闻。被‘盗’的不是几百上千,而是上万以上的巨款,企业居然是事后才知情。这就是企业缺乏强有力监督的证据之一。当然了,有的企业不是不想实施而是不懂如何实施内部控制。由于监督不力,企业内部管理就会存在着各种问题。会计信息失真、挪用公款、暗箱操作等违反国家法律的行为得不到应有的控制,犯法的人更是无法无天。所以,设立审计人员,建立审计部门是对企业进行内部控制的必要前提。
2.3 有利于为内部控制创造良好环境
基于经济全球化发展与社会经济市场拓展的情境,企业要立足于经济市场并在其中占据优势,必须建立完善的内部控制。企业实施有效的内部控制的前提是可以保证其控制环境的良好性。良好的环境因素可以为内部控制的实施创造有利的条件。
表1内控基本规范五大要素实施前后比较的数据分析显示,企业在建立了有效的内部控制制度后,在内控环境、风险识别、控制活动、信息交流与沟通、监督与反馈五大要素上有了很大的改善,充分体现了建立内部控制的重要意义,内部审计可以在内部控制实施的过程中寻找问题,并且对目前状况进行评价,总结报告,最后给出相应的建议与对策,使得企业内部控制制度更为完善。通过统计,中国企业的内部控制在不断加强,其内部审计的作用不可忽视。
中图分类号:F239.4 文献标识码:A 文章编号:1001-828X(2012)07-0-01
一、内部审计与内部控制的关系
内部审计是企业管理当局进行管理控制,提高企业经营效率,实现企业目标的重要工具。内部审计在企业内部天然的监督作用使内部审计控制成为企业内部控制的一种特殊形式,它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构,与其他控制活动相比,内部审计的最大特点是不参与具体的经营管理活动。因此,内部审计对经营管理活动所实施的监控,并不是对其它控制活动的简单重复,而是对其它控制活动的再控制。内部控制与内部审计是互相依存、互相促进的。企业进行内部审计,要了解被审企业的内部控制是否健全、有效,企业在经营活动中是否遵守内部控制制度等。通过内部审计所揭示企业管理工作中所存在的问题和作出的建议,又可反过来促进完善内部控制。因此内部审计与内部控制是相辅相成的,其存在着一种相互依赖、相互促进的内在联系。内部审计的作用就是保证内部控制能有效发挥其作用,而对内部控制的系统评审则是内部审计完成其使命的有效途径。
二、内部审计在企业内部控制中的作用
(一)评价内部控制,参与重大控制程序的制定与修订
企业的内部控制与管理完全融合在一起,内部控制的运行过程即为企业的经营管理过程。内部审计在评价内部控制时主要围绕内部控制的目标,即保证会计信息的真实、实现守法经营和效益发展等,考察企业的控制环境、会计制度,以及交易授权、机构设置等在内的控制程序方面的内容,审视在具体管理中内部控制实施情况,评价内部控制是否健全与有效。内部审计师应在充分考虑内部控制本身固有的限制后,比如内部控制设计和运行受制于成本与效益原则等,及时向企业管理当局提出改进建议报告。因此,评价内部控制,参与重大控制程序的制定与修订,这是内部审计要发挥的主要作用。
(二)监督内部控制的运行
财政部的《内部会计控制规范—基本规范(试行)》第二十七条“单位应当重视内部会计控制的监督检查工作,由专门机构或者专门人员具体负责内部会计控制执行情况的监督检查,确保内部会计控制的贯彻实施。”尽管没有明确提出由谁来实施监督检查,但不管是从理论还是实践来看,由内审部门和内部审计师担任此责是最合适的。内部审计履行监督职能,其直接目标是确保内部控制的有效运行,以使内部控制的目标能够实现。
(三)提供管理咨询
由于内部审计师在内部控制中所起的重要作用,使其对内部控制极为熟悉,为企业的相关部门、组织或员工提供管理咨询便成为内部审计师的一项自然“服务”。内部审计师在提供咨询时,应当申明自己的责任只是提供服务,建立内部控制以及内部控制是否有效的责任应由管理当局来负责。
三、内部审计在企业内部控制中扮演重要角色的必然性
(一)评价企业内部控制是内部审计最重要的职责
内部审计是组织内部为检查和评价其经济活动和为本组织服务而建立的一种独立评价活动。目前,政府审计的重要发展之一是对内部控制观念的确认以及创建内部审计单位,并把它作为内部控制系统的关键部分。内部审计通过对一个单位的内部控制加以系统的检查和评价,提交审计报告,其中包括对各种经营活动无偏见的、公正的、实事求是的分析和经过证实以后而应采取改进行动的合理建议,以协助各级管理部门有效地履行其职责。显而易见,内部审计不仅是企业内部控制的重要组成部分,是企业内部控制的特殊方式,更能起到评价与改善企业内部控制的作用。
(二)内部审计开展内部控制评价具备得天独厚的条件
内部控制涵盖范围很广,涉及企业管理活动各个方面。对企业内部控制进行系统地检查和评价,不仅需要执业人员有相应的专业知识和较高的执业胜任能力,还需要执业人员对企业情况有详尽地了解和掌握。近年来,代表我国审计水平前沿的注册会计师审计,尽管在形式上出现了内部控制专项鉴证业务,执业规范中对此也提出了要求,但在审计实践中,直到目前仍很少开展这方面的工作,即使是作为报表审计步骤之一的内控制度基础审计方法,在实际工作中,也往往流于形式,其原因固然有企业内部控制不规范、不完善、无法依赖等客观因素,但注册会计师对企业不熟悉、不了解、缺乏相应的专业判断能力等主观因素也难辞其咎。不能掌握企业控制全貌,只能依赖以凭证、账薄和财务报告为载体的会计系统以及可以找到管理痕迹的书面上的控制程序,无法实施对内部控制的公允评价,更谈不上合理建议及促进企业内部控制的健全和完善。
开展内部控制审计是企业内部审计工作的重要内容,同时也是与国际先进内部审计接轨的必然要求。目的是要使企业的生产经营活动能够按照预定的目标和方式,在有效的控制下规范运作。通过内部控制审计,监督、检查、纠正和处理执行过程中出现的偏差和错误,使内部控制更趋于完善。
(三)介入内部控制是国际内部审计的发展趋势
国际内部审计师协会总部前执行副主席访华时曾提到国际内部审计的三大发展趋势:一是重新介入内部控制;二是推动更有效的公司治理;三是对内部审计师的期望在改变。其实,在这国际内部审计三大发展趋势中,前两大趋势重新介入内部控制和推动更有效的公司治理,重视的是加强企业的制度建设;后一趋势对内部审计师的期望在改变,强调的是提高内部审计人员的整体素质。制度建设加强了,管理漏洞堵塞了,人的素质又相应提高了,自然企业所面临的风险会大大减少,即使出现风险也会采取措施加以防范或控制,使之转化为新的发展机遇。
参考文献:
[1]王鲁泉.论信息化条件下审计项目质量控制[J].商场现代化,2008.
所谓内部控制是指企业各级管理人员和有关部门的工作人员,在处理生产经营业务活动时相互联系、相互制约的一种管理体制。内部控制是社会经济发展到一定阶段的产物,内部控制是由企业的董事会、管理层和员工共同设计并实施的,旨在为财务报告的可靠性,经营的效果和效率以及相关法律法规的遵循等提供合理保证的过程。内部控制又是衡量现代企业管理的重要标志,通过实践得出的结论是:得控则强、失控则弱、无控则乱。
1.2内部审计
企业的内部审计是为了加强企业内部管理和提高经济效益,对企业内部的一切经济活动进行监督和评价,其目的是揭露和反映企业资产、负债和盈亏的真实情况,查处企业财务收支中各种违法违规问题,维护国家所有者权益,促进廉政建设,防止国有资产流失,为政府加强宏观调控服务。
1.3内部控制与内部审计的关系
内部审计与内部控制之间存在相互制约的关系。内部审计是内部控制的一个组成部分,是对其他内部控制的再控制。
2.我国企业内部控制与内部审计的现状
2.1内部控制体系不完善缺乏执行力
目前内部控制问题在多数企业中表现出的状况主要是: 企业对建立内部控制制度不够重视, 内部控制制度残缺不全或有关内容不够合理;有章不循,将已订立的企业内部控制制度“写在纸上、贴在墙上”,以应付有关部门的检查、审计,遇到具体问题多强调灵活性,使内部控制制度流于形式,名存实亡,失去了应有的刚性和严肃性,缺乏执行力。
2.2内部会计控制失控现象比较普遍
内部会计控制制度是内控制度的核心,但我国的会计信息的质量较差,上市公司财务会计的可信度不高,这反映出企业内控运行机制的脆弱,如单位账户印鉴分别保管制度,重要发票、收据保管使用制度及会计人员之间相互牵制原则等得不到真正的落实;会计凭证的填制缺乏合理有效的原始凭证支持;人为捏造会计事实、篡改会计数据、设置账外账、乱挤乱摊成本、隐瞒或虚报收入和利润;资产不清、债务不实等等,这说明内部控制运行机制存在重大缺陷。
2.3内部审计不完善导致内部监督失灵
内部控制的执行不力很大程度上是由于内部监督失灵引起的。在企业的日常活动中,财产物资内控管理薄弱,物资购销制度松弛等,造成国有资产大量流失。正是由于以上问题的存在,使企业遭受了很大损失,同时也为会计寻租提供了空间,使得弊端丛生,企业要想在竞争日趋激烈的今天赢得主动,必须建立和完善企业内部控制运行机制。
2.4缺乏风险意识,内部审计不能充分发挥作用
我国企业的风险管理应该是全面风险管理。面对加入世界贸易组织的形势,越来越需要我国企业运用现代的管理技术,贯彻全面风险管理思想,构筑企业内部的风险控制体系。然而现阶段我国许多企业风险意识淡薄,缺乏有效的风险管理机制,使企业处于高风险运营状态。
3.完善我国企业内部控制与内部审计的举措
3.1完善公司治理的内部控制环境,提高审计实效性
任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏,直接影响到企业内部控制的遵循和执行,以及企业经营目标、整体战略目标的实现。所谓控制环境,是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。影响控制环境的因素是多方面的:一个合理的组织机构主要包括股东会、董事会、经理班子和监事会,股东会从资产所有者的角度做出重大决策,监督经营者的经营,有效地防止资产流失。同时,所有权与经营权分离,有利于经营管理岗位人员的选拔并自主地进行经营管理;董事会和经营管理机构的分设,有利于企业的科学化的管理和经营。
3.2规范内部审计,建立有效的会计系统
加强内部控制要不断建立健全内部审计规范体系,以规范的审计制度约束审计行为,控制审计质量,健全审计理论。加强对内审人员的职业道德教育,敦促他们自觉遵守国家审计准则,严格按照国家制定的39 项审计规范办事,提高内审工作程序的规范性。建立内部控制标准体系必须要建立一个有效的会计系统, 实施会计控制是内部控制制度的关键。企业以会计准则为指导,自行设计会计制度日渐成为国家对企业会计管理体制建立的要求。会计制度的设计不仅包括规定会计账户、账簿、会计报表等内容的编制说明,还包括发生在企业各部门间各类经营管理活动中,所以建立一个有效的会计系统,确保会计信息真实可靠首先从会计凭证抓起,促进内部控制标准体系的建立。
3.3结合风险评估加强企业内部监督
每个企业都面临着来自各个方面的风险,正确认识风险,就要对这些风险进行评估。风险评估受制于企业的经济环境、规章制度、经营环境等因素,必须与企业的经营目标、生产、销售、财务等指标结合起来,以使错误和不合法行为的发生降低到最低水平。进行风险评估的基础上,为确保内部控制制度被切实地执行且执行的效果良好,内部控制过程就必须被施以恰当的监督。内部审计既是企业内部控制的一个部分,也是监督内部控制其他环节的主要力量。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。要合理定位内审机构,企业应在股东大会、董事会和总经理之下分别设立监事会、审计委员会和审计部,审计部的地位应高于其他职能部门,在业务上对审计委员会负责并向其报告工作。二要切实转变内审职能。随着内部管理水平的稳步提高,内审职能应从传统的查错防弊型转向现代的评价、服务和监控型。三要努力改进内审方式。内审方式应由事后审计为主转向以事中审计和事前审计为主,以切实加强对企业生产经营和管理的全过程进行全方位的监督和评价。进一步完善公司治理结构,促进我国社会主义市场经济的健康发展。
3.4加强内部审计独立性,提升内部审计的价值