改进企业内控评估工作的思考
在讨论具体的方法与技术之前,解决基本的认识问题更为重要。按照这种思路,下文首先讨论如何转变观念和制定内部控制评估战略,然后介绍如何以风险为导向优化评估方法及调整人力资源机制和有效使用信息技术的要点。
(-)重新认识内部控制评估在内部审计工作中的地位与作用
作为组织内部控制系统的一个重要组成部分,内部审计本质上是一种评价职能,通过衡量和评价其他各种控制的有效性来履行其职责。内部审计人员不可能也不需要与该单位从事各种活动的技术专家或经营专家具有同样知识(更不要说取而代之),但正是通过内部控制这座大门,内部审计得以检查与评价所在单位的所有活动并增加价值。因此,可以说内部审计工作本身就是内部控制评估,这种评估的侧重点可能在财务方面,也可能是在经营管理方面。按照评估范围的区别可将审计类型划分为财务审计与经营审计(或称之为经济效益审计)两大类。无论哪种审计,都牵涉到评估范围与评估目的、内部控制模式的选用及评估过程中风险分析等问题,内部审计人员对其认真加以研究是必要的。
(二)正确理解内部控制概念并选择适当的内部控制标准或模式
正确理解内部控制概念要求内部审计人员牢固树立以下观念:(l)过程观念。内部控制是对企业的整个经营管理活动进行监督与控制的动态过程,应与企业的经营管理过程相结合;(2)重视人的作用。不仅仅是管理人员、内部审计或董事会,组织中的每一个人都对内部控制负有责任,在内部控制设计与评估过程中不能忽视人的重要性;(3)注重软性控制。高级管理阶层的管理风格、管理哲学、企业文化、人员能力、内部控制意识等软性控制决定其他控制要素能否发挥作用;(4)风险观念。风险是内部控制存在与变化的前提与基础;(5)成本与效益观念。内部控制受先天条件所限及基于成本与效益原则考虑只能做到“合理”保证,没有不花钱的内部控制,也不存在完美无缺的内部控制。
在内部控制标准或模式选择方面,既然目前国内尚无成熟的内部控制标准或模式,适当借鉴国外的先进经验就不失为一个好的办法。COSO已获最广泛认同,企业可以其作为主要的参照标准并根据自己的实际情况加以细化与补充。在具体做法上,有条件的企业可由内审部门牵头编制内部控制手册。该手册并非企业以往所定规章制度的简单汇总,而是按照COSO框架所述的控制环境、风险评估、控制活动、信息与沟通及监督等五个内部控制要素分别展开,明确内部控制责任及各业务循环控制要求甚至包括风险分析与评估要点。手册既可作为全体员工遵循的指南,也可为内审部门及各级管理者提供内部控制与风险管理的参考工具。
(三)合理制定内部审计发展战略
内部审计人员可在对审计部门内外部环境进行战略分析的基础上,结合企业发展战略制定其部门3-5年战略计划。根据国外一些大企业的经验,该战略计划的内容至少应包括:(1)内审部门的角色与定位:阐明内审部门如何定位与转型;(2)明确内审部门在未来数年可能面临的各种挑战;(3)未来几年可审计领域风险分析结果及具体审计资源分配计划;(4)内审人员的任用、选拔与培训安排;(5)部门信息化推进计划;(6)与外部专家进行战略性合作(如联合审计计算机信息系统)的安排;(7)与企业其他部门尤其是监督部门的合作关系:如建立资源共享的信息系统及协调工作等;(8)理论研究及学习行业最好实践的计划安排;(9)工作标准及其他内部控制与风险管理参考指南与手册编写计划。该战略计划每年根据情况变化滚动编制。
(四)发展一个风险导向的内部控制评估方法风险可视为达成组织目标所面临的不确定性,一个企业的内部控制系统存在的根本目的在于对威胁其目标达成的风险提供管理,没有风险也就不需要内部控制。
目标、风险与控制之间的上述逻辑关系是确立内部控制评估方法与思路的基础。以风险为导向意味着战略及目标分析和业务过程评估先于具体工作。内部审计人员必须首先对组织所在的行业特点、经营目标及战略与相应的风险管理活动执行战略分析。了解诸如组织在其经营的行业和市场环境中的目标与战略是什么,政府法规或其他力量对组织本来转变有什么影响,什么是影响公司战略的最根本风险等问题。
下一步,内部审计人员将分析组织目标、战略和重要经营风险之间的相互关系。并且将注意力集中在那些容易招致经营风险和能够产生额外机会的经营领域;决定哪些经营过程是最重要的,进而评估与这些过程相联系的内部控制活动的效率与效果。
作为上述过程核心部分的风险评估既可采用定量分析方法,也可定性分析。除参考IIA考试教材提供的风险评估办法(选择风险因于并衡量仅重)外,实践中我们还可对每一个业务过程可能发生的风险进行分类,建立所谓的风险识别图或风险资料库。审计人员通过设置方便衡量的关键变数或指标并监测其变化来实施预防控制,以预警机制及时发现问题并适时发挥监控功能。
此外,有效运用内部控制自评(CSA)也能大大改进内部控制评估过程的效率与效果。CSA不是将评估工作完全交与被审单位,而是采取合作的方式但不失内审人员独立的立场。使用CSA能达到教育经营单位,让其了解内部控制的重要性,明白控制与风险管理的最终责任在于其自身之目的。与此同时,内部审计人员也能收集在传统的审计程序中无法取得的有关软性控制的宝贵资料。
CSA并非不合国情,我国内审人员只要周详地计划及与传统的内部控制评估过程相结合,由简而繁,循序渐进地开展,相信将会取得满意的效果。
(五)善加利用信息技术
面对企业普遍信息化和日趋复杂的业务环境带来的挑战,内审人员应善加利用计算机技术与工具以提高审计效能。根据国内企业信息化的现状,我们可以从以下方面入手:(1)如前所述,为每一个被审计单位的每一个关键业务过程建立资料库,设置预警指标以实施实时控制,出现例外情况及时审计与调查;(2)建立无纸化的快速工作底稿系统,整个审计过程从计划到审计后跟踪都可以利用计算机加以支持。就主要审计发现可通过计算机网络随时与被审计单位沟通,审计外勤工作结束之日即可签发审计报告;(3)通过单位内部网发放及收集内部控制及风险评估调查表;(4)通过单位内部网收集审计线索(如舞弊线索)和开展审计用户满意度调查;(5)对全体员工开展在线风险管理及内部控制教育;(6)获取审计参考资料。一些国际会计公司及政府审计机构经常在互联网上发布有用的参考资料,对于我们开展内部控制评估颇有价值(据我们目前了解到的情况,互联网上以内部控制或风险管理为专题且可免费下载的指南有近百个)。利用这些资料建成的“网上图书馆”,可以很方便地为全体审计人员所共享。
(六)调整人力资源机制
对于任何内审部门来讲,无论是转变观念还是实施革新的战略与方法,都需要良好的人力资源机制的支持。为解决内审人员的专业素质不高的问题,我们认为可有以下补充办法:一是适当增加管理及计算机等非财会专业人员的数量与比重;二是以某种正式安排吸收企业其他部门优秀人员到审计部门短期工作(2-3年),通过内部合理的人员流动补充审计部门人力资源缺口并可传播风险及控制观念;三是就某些复杂性较高的项目与企业内外部专家开展专项合作。