内部审计在管理中的使命
我们通用技术公司(GENERTEC)是中国通用技术(集团)控股有限责任公司的简称,成立于1998年3月,是政府对外经贸企业实施战略性改组的产物,现有中国技术进出口总公司、中国机械进出口(集团)有限公司、中国仪器进出口总公司、中国海外经济合作总公司、中国医药保健品进出口总公司等12家子公司。公司的发展战略是:以外经贸业务为基础,综合经营,贸易、金融、实业三大业务支柱相互促进、协调发展,实行母子公司体制的跨国企业集团。
一、公司内部审计体制及内部审计制度建设
公司实行董事会领导下的内部审计体制。在公司各职能部门中,唯有审计部隶属于董事会。审计部作为董事会的下设机构,在董事会的直接领导下独立履行内部审计职责,向董事会负责并报告工作;同时,可以接受总经理的授权办理专项审计事项。
除了公司总部设审计部外,另有7家子公司设有独立的内部审计部门。两级审计部门按照“分级负责”的原则明确了工作分工:公司审计部负责审计公司总部和各子公司;子公司审计部门负责审计本公司和下属三级经营机构。此外,公司审计部对子公司内部审计工作负有指导和监督的职责。
在内部审计制度建设方面,首先,我们依据《审计法》和公司章程制定了《内部审计基本制度》,明确了公司审计部的基本职责是对董事会经营管理决策的执行情况进行审计;其次,我们结合控股公司的管理特点建立了经济责任审计制度、专项审计制度和审计意见落实制度等工作制度。
二、内部审计在管理中的使命
在多年的内部审计实践中我们体会到:随着公司内部改革和管理创新工作的深入以及内部审计作用的日益显现,公司决策层对内部审计的要求正在从传统的“纠错防弊”向整体上促进公司提高管理水平和风险防范能力方面转变。面对新的形势,内部审计部门必须突破传统的职能定位和工作思路,重新审视自己在公司管理中的地位及所肩负的使命,在实践中勇于探索内部审计使命的实现途径,才能为公司决策层服好务,为公司价值的增值发挥更大作用。
与其他公司不同的是,通用技术公司是在没有核心企业的情况下,由6家具有近50年经营历史的大型外经贸企业强强联合,组建起来的企业集团。这就先天性地决定了公司在管理上必须大胆创新。
首先,公司依据自身特点,在决策权与经营权分离的基础上确立了董事会主导型的法人治理结构,即董事会在公司的经营管理中居主导地位,公司重大事项的决策权集中在董事会。其次,公司在内部管理方面
实行“五个统一”(即经营计划与经营决策的统一、人事管理与人事制度的统一、财务管理与财务制度的统一、分配原则与分配政策的统一、内部机制和规章制度的统一),同时推行全面预算管理和财务负责人的逐级委派制度等。
第三,公司在实践中逐步理顺与各子公司的关系,明确提出公司总部在管理上要实现“四个转变”,即从常规的一般管理向战略管理转变、从通常意义的业务管理向资产管理转变、从关注常规的商品经营向更加注重资本经营转变、从对子公司经营管理活动的直接管理向间接管理转变。
第四,在内部审计方面,公司实行董事会领导下的内部审计体制,明确审计部的基本职责是对董事会经营管理决策的执行情况进行审计,为内部审计的独立性和权威性提供组织上的保障,扩大了内部审计不受限制的范围。具体地说:审计部要围绕董事会经营管理决策的执行对公司各个层面的经营管理活动的全过程实施有效的监控,并且在履行审计职责的过程中将不会受到来自任何个人和单位的干扰。
内部审计人员在公司的管理创新过程中,深切地感受到巨大的责任和压力,对自身所肩负的使命也有了更为深刻的理解。我们认为,要使公司一切经营管理活动的全过程处于有效的监控状态,仅仅依靠审计部门的“事必躬亲”是不现实的,必须依靠健全、有效的内部控制。而内部审计在管理中的使命正是保障公司内部控制的健全和有效,这也是内部审计的再控制特点所决定的。
我们知道,内部审计是内部控制的重要组成部分,与其他控制活动相比,内部审计的最大特点是不参与具体的经营管理活动。因此,内部审计对经营管理活动所实施的监控,决不是对其它控制活动的简单重复,而恰恰是对其它控制活动的再控制,否则,内部审计就失去了其存在的价值。
另外,从内部审计实施监控的技术方法看,内部审计如何才能实现对经营管理活动的全方位、全过程监控呢?仅仅依靠增强审计力量显然是不够的,更应立足于调动和促进其它控制活动的作用。即对其它控制职能实施再控制,通过其他控制职能的充分发挥,来实现对企业经营管理活动的有效控制。
如果把公司的内部控制比喻成一张打鱼的网,那么内部审计就是网结,处在“牵一发而动全身”的位置。内部审计的使命就是保证整张网完好无缺井有效发挥捕鱼功能。而对内部控制的系统评审则是内部审计完成其使命的有效途径。
三、内部控制评审的实践与展望
公司成立以来,我们围绕公司不同阶段的管理重点,本着“先易后难、先简单后复杂”的指导思想,分三个阶段逐步拓展内部控制评审工作。
(一)公司内部审计的三个阶段
第一阶段(公司成立两年内):以财务收支审计为主,侧重于合规性的检查和内部会计控制的评审。这一阶段,正是公司成立之初,各子公司管理水平参差不齐,个别子公司的管理基础工作比较差,对公司“五统一”尤其是财务制度统一的执行情况很不平衡。为此,我们把审计工作的重点放在财务收支活动方面。第二阶段(现在):以经济责任审计为主,在关注财务收支合规性检查的同时,加强对业务控制和管理控制的评审。这一阶段,公司基本完成了财务工作的整顿,建立健全了母子公司管理体制,加强了对子公司经营者的责任约束和业务风险管理。为此,我们把经济责任审计作为主要审计形式,审计范围由财务收支延伸到经营领域。
第三阶段(将来):以保障内部控制的健全有效为目标,通过对内部控制的系统评价,追求内部审计的管理价值。这一阶段,内部审计的主要任务是对内部控制进行系统性评审,而不仅仅是局部的评审。
(二)内部控制评审的实践
1、作为内部审计,由于我们对公司内部情况比较了解,因此,在内部控制评审的程序方面,我们不追求形式上的全面,而是根据被审计单位的具体情况和业务特点突出重点。下面我只是简单介绍内部控制评审的三个步骤及其主要工作内容:
(1)内部控制调查:收集与组织分工、岗位责任及业务程序等相关的制度;访问会计人员、业务人员及高级管理人员;找出关键控制点,以流程图的形式描述内部控制状况。
(2)内部控制健全性的评价:完整性评价。即各项内部控制的程序是否完整,尤其是关键控制点的设置是否达到要求。严密性评价,即各项内部控制之间的衔接是否紧密,有无相互矛盾或控制盲点的现象。合法性评价,是否存在与相关法律、法规相抵触或矛盾的地方。
(3)内部控制有效性的测评:
确定测试样本的范围和规模;审阅相关的凭证、账簿及其它文件资料;根据测试结果,评价内部控制的有效性。
通过内部控制评审,不仅为审计工作重点的确定提供依据,更为重要的是通过提出内部控制改善建议,从源头上促进了管理工作的规范和管理水平的提高。
2、银行账户控制评审案例
(第一阶段)。公司成立初期,某子公司的财务管理比较混乱,并且依靠内部力量长时间得不到有效解决。为此,审计部决定对这家公司进行财务审计。审计过程中,我们从银行账户入手,对银行账户的内部控制进行了测评。
首先,我们对照有关法规和公司财务制度的规定,编制了银行账户内部控制流程图;然后,我们依据流程图检查了被审计单位的相关制度,并询问了财务部经理、会计和出纳,初步的印象是该公司的银行账户控制制度基本健全。在此基础上,我们收集整理了公司近三年的银行账户清单,并选定某一年度,对单笔10万元以上的收付款进行了抽查,结果发现了多个公司银行账户清单中没有列示的公司账户。审计人员就此顺藤摸瓜,总共查出未在账面反映的银行帐户10多个,涉及金额1亿多元,彻底查清了该公司多年来通过截留收入、虚计成本费用等方式私设“小金库”滥发奖金、账外投资和购置住房等严重违规问题。审计部把审计结果向公司常务董事会进行了专题报告,并建议公司对被审计单位的有关责任人员进行了处理。
展望将来,内部审计要实现在管理中的使命,首先是要建立有助于公司发展战略实现的内部控制体系。这一点,在公司决策层已形成共识。
公司董事长佟常印先生在公司改革和发展报告会上明确提出了内部监控体系建设的目标:按照现代企业制度的要求和公司管理战略,在对公司内部监控机制进行整体规划设计的基础上,进一步完善各项内部监控并进行系统整合,建立一种具有组织和制度保障、各种内部监控既相互独立又有机联系、使内部监控覆盖集团经营管理活动的各个层面并贯穿其全部过程的规范、完整的内部监控体系。
根据董事会的决定,公司成立了由审计部牵头的专门班子负责内部监控体系建设工作。经过半年多的努力,现已初步构建了公司内部监控体系框架和运行模式。公司的内部监控体系包括在线监控系统、不在线监控系统和监控保障系统三个部分,其中:在线监控是公司内部监控的基础,不在线监控是对在线监控的再监控,监控保障系统则为在线监控和不在线监控的有效运行提供组织和制度的保障。
在线监控包括目标监控和风险监控,其主要任务是:确保管理控制过程和业务操作流程有序进行,及时发现其中的错弊,并依据相应职责采取恰当的纠正行动。
不在线监控包括内部审计和监察等,其主要任务是:通过对管理控制过程和业务操作流程的定期不定期检查,揭示存在的错弊,并对在线监控系统的健全性和有效性进行评价。其中,对内部审计,我们提出了明确的发展目标,即在继续做好经济责任审计的同时,要着重加强对目标监控和风险监控的健全性和有效性的评审,逐步实现从传统财务审计向现代管理审计的转变。
监控保障系统包括以监控委员会为代表的组织保障和以目标经营责任制度、岗位责任制度以及责任追究制度为主的制度保障,其主要任务是促进和保障在线和不在线监控系统的有效运行和不断完善。其中的监控委员会,作为董事会下属专门负责内部监控体系建设工作的机构,主要职责是:第一,组织相关规章制度的制定;第二,组织、指导、协调全系统有关监控部门的工作,检查相关制度的贯彻落实情况;第三,负责公司风险防范。依法经营和宣传教育工作;第四,对公司重大监控事项进行指导和协调。
依据内部监控体系总体框架,在内部控制评审方面,我们将建立健全以内部审计为主导。横向各级公司内部和纵向母子公司相结合的工作体制。
在各级公司内部,由内部审计对目标控制和风险控制进行评审。
在母子公司之间,我们坚持分级评审、分工负责、综合协调的内部控制评审原则。分级评审上指集团公司负责评审子公司,子公司负责评审三级公司;分工负责是指公司相关部门根据职责和专业归口对子公司的相关内部控制进行评审;综合协调是指在公司相关部门之间建立内部控制评审的协调机制,防止不必要的重复评审或出现盲点;此外,监控委员会对公司相关部门的内部控制评审工作进行检查,审计部作为监控委员会的日常办事机构,承担具体的检查工作。
下一步,我们将围绕上述内部控制评审工作体制,从完善监控委员会的工作规则着手,逐级理顺工作关系,建立健全内部控制评审工作制度和程序,推进相应的信息体系和信息手段现代化建设工作,同时要抓紧调整。改善内部审计人员知识结构,建立适应系统评审内部控制需要的人力资源支持系统。