摘要:引导企业完善内部控制,加强风险管理,是应对各种风险的前提。目前发达国家的风险管理与控制已经日趋完善,但我国的风险管理还存在一些问题。自中美爆发贸易摩擦以来,我国从事贸易出口企业损失惨重,暴露出企业内部控制和风险管理的诸多问题,文章对风险管理和企业内部控制进行了实践性探索,分析了内部控制和风险管理的现状及存在问題,提出了相应的解决措施。下面小编整理了一些《内部审计外包实践性论文 (精选3篇)》的相关内容,希望能给你带来帮助!
经济新常态下施工企业内部审计工作重点
【摘 要】文章通过分析经济新常态下建筑行业的经营状况,从健全内部审计制度、提高内部审计人员的综合素质、重视业务层面的舞弊風险、完善落实责任追究机制、重新定位内部审计部门的角色等角度,浅析内部审计工作的重点。内部审计工作的重点要随经济形势、经济环境、企业战略的变化而调整,只有这样,才能为企业增加价值,提升企业的竞争力。
【关键词】经济新常态;内部审计;工作重点
0 引言
2014年5月,习近平总书记在河南考察时首次提出“新常态”一词。“新”就是“有异于旧质”,“常态”就是固有的状态。新常态就是不同以往的、相对稳定的状态。这是一种趋势性、不可逆的发展状态,意味着中国经济已进入一个与过去三十多年高速增长期不同的新阶段。2016年12月,中央经济工作会议指出,党的十八大以来,我们初步确立了适应经济发展新常态的经济政策框架,做出经济发展进入新常态的重大判断,把认识、把握、引领新常态作为当前和今后一个时期做好经济工作的大逻辑。
1 经济新常态下的建筑行业
我国经济进入了新常态,建筑业发展增速放慢。建筑业依赖国家固定资产投资拉动的高速增长已经成为历史,企业追求规模效益的时代已经结束,产业的供求矛盾将更加突出;二是行业无序竞争的局面正在扭转,市场回归理性,企业将面临诚信与严管新的考验;三是企业在转型中寻求新的经济增长点,商业模式与服务内涵将逐步发生变化;四是建筑人力成本持续增高,高素质的人才和劳务将成为市场上的稀缺资源。
面对经济新常态,会出现很多值得内部审计部门关注的重点,例如员工的职业胜任能力、营改增政策下税收筹划、企业债务风险防控、如何提高和改进监管能力、降低成本、增加效益、企业生产经营的合规性、企业的市场占有份额、产品的顾客满意度、生产经营过程舞弊行为产生的风险等。
2 新常态下内部审计的工作重点
2.1 建立健全内部审计制度
完善审计制度的建设是审计推进的前提,按照国家审计署、国资委及相关部门的要求,推进《中国内部审计准则》体系的实施,明确审计机构的职责及权利范围,确实保障内部审计人员在一个良好的制度环境下从事高质量的内部审计工作,逐步实现内部审计人员的专业化与职业化。强化审计基础工作,规范工作程序、方式方法,防范职务风险。内部审计工作从审计底稿的严肃性与细致性入手,切实做到审计业务的标准化、规范化,做到审计证据扎实、充分、可靠,要眼见为实,评价客观、公正、全面。加强审计档案管理,为跟踪和后续审计提供全面、持续的审计资料。根据建筑业的特色及国有企业的管理制度,面对新常态下国家及企业管理的需求,内部审计工作要积极与其他管理业务部门结合,在企业经营管理过程中发挥更重要的作用。
2.2 提高内部审计人员的综合素质
(1)学习新的财税业务,掌握新的税收政策。从2016年5月1日起,我国将增值税试点范围扩大到建筑业、房地产业、金融业和生活服务业。确保所有行业税负只减不增,并不是所有企业的税负只减不增。这就意味着如果企业的管理水平不提高,极有可能会亏损。
(2)强化生产、经营、法律等知识的学习与实践。企业内部审计逐渐由传统的财务审计转向经营和管理审计。审计工作具有很强的实践性,涉及多个学科、多个部门的众多知识。而且,随着经济环境的快速发展,工作难度进一步提升,这就要求审计人员要树立终生学习的观念,不断学习与训练,在实践中不断探索、训练职业敏感度与观察力,坚持创新工作技术方法。
2.3 加强事前、事中审计,适当弱化事后审计
事中审计是指审计人员在被审计单位的财政财务收支和经济业务进行中所实施的审计。事中审计、事后审计必须用事实与客观数据作为审计工作底稿,支撑审计人员的审计报告。
事前审计是指审计人员在被审计单位的财务收支和经济业务发生之前进行的审计。这种审计主要对单位的计划、方案、预算制定的审查,经济合同批准之前的审查,经营决策及其可行性研究报告的审查。事前审计可以起预防作用,减少失误,防止弊端,有助于实现决策的科学化。
长久以来,企业总是重视事后审计,忽视事前审计、事中审计。强化内部审计的事前审计、事中审计,不仅可以减少审计成本,避免不必要的经济损失,而且可以为决策者提供更高质量的决策信息,提高企业的经营质量。同时,使事前审计、事中审计成为企业内部审计的新常态,既完善了内部审计体系,又能适应企业外部经济的新常态环境。
2.4 重视业务层面的舞弊风险审计
经济下行状态下,市场竞争越来越激烈。经营管理人员面临的困难越多,业绩压力越大,企业的业务层面越容易出现舞弊风险。舞弊风险可能出现在各个业务层面,需要内审人员逐个剖析,各个击破。
《企业内部控制配套指引》为我们提供了很好的业务层面的风险控制点。业务层面的内部控制主要包括资金活动控制、采购业务控制、资产管理控制、销售业务控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制、全面预算控制、合同管理控制、内部信息传递控制、信息系统控制等。笔者认为,经济新常态下,内部审计在舞弊风险方面应当主要关注如下几个方面。
(1)资金活动方面:①投资决策,盲目扩张、投资效益低下、资金链断裂。②筹资决策,资本结构不合理、资金成本高、引发债务危机。③资金管控,发生资金被侵占、挪用。
(2)担保方面:①审批不严,利害关系人未回避,未通过集体决策,出现担保舞弊。②监控不力,出现风险应对不当。
(3)销售业务方面:①客户信用调查不充分,商业信用政策使用不恰当,账款回收不力。②重大业务谈判草率,出现商业贿赂情况。③人为粉饰销售业绩。
(4)内部信息传递方面:①信息传递不通畅、不及时,导致决策失误。②泄露商业机密,削弱了企业的竞争力。
内部审计人员应当全面了解本企业业务流程及所处的市场环境,根据实际情况恰当地调整舞弊风险的防控点。
2.5 充分应用计算机技术,提升审计效率
信息化建设是内部审计提速的利器,加强内部审计的信息化建设,有利于提高国有企业审计工作效率。企业审计信息化工作要依附于企业业务系统的信息化管理流程,在主要工作节点上加强审核,同时采用计算机辅助审计技术(CAAT),以提高审计效率。逐步利用GRC(治理、风险、控制)计算机体系,并将之用于项目管理,实现即时、可持续的审计管理。
2.6 完善落实责任追究机制
建立和完善审计结果应用于推广机制,迅速提高审计发现问题的整改力度和审计结果的应用效果。建筑企业点多面广,管理分散,因此必须建立和完善审计结果的运用机制,强化审计监督,要善于总结、分析问题,抓住重点,抓住并罗列出企业在不同审计阶段发现的问题,以便于经营管理层抓住问题的焦点、难点、热点。对于重点问题,要集中力量重点突破,要有重点、有针对性、有成效、有深度地审透审深,确保审计效果,同时加强审计监督,下大力气狠抓审计发现问题整改情况的监督检查,切实抓好整改落实。把审计结果的整改作为提升企业管理的重要举措,把审计结果的落实作为企业干部任免、奖惩的重要依据,要对企业干部的任免起到决定性作用,在审计工作中发现违法违纪行为的,要及时移送相关部门处理。同时,企业要建立审计报告公开制度,及时公布企业关键信息,确保企业管理的顺利进行。
2.7 重新定位内部审计部门的角色
内部审计作为一种独立、客观的确认和咨询活动,正从“财务合规性审计为主”转向“在财务合规性审计基础上的管理效益审计为主”,为企业、为股东创造了更大的价值。因此,我们必须抓住经济新常态这个千载难逢的机会,通过自身的努力,重新定位内部审计部门在企业经营管理中的角色,使内部审计部门成为一个不可缺少的角色。
(1)转变观念,主动请缨,积极参与企业重大的经济活动。内部审计部门应当把内部审计工作看做是给企业增加价值的工作,是提升企业竞争力的工作,是为与内部审计接触的人带来价值的工作。
(2)跳出“只发现了眼前的问题”這个误区。内部审计的根本目的不是发现眼前的问题,而是对工作的改进提出合理建议,助力企业降低成本,创造价值。只有将内部审计从“发现损失”转变为“风险防范”,才能控制潜在的企业系统风险,使企业在生产经营过程中规避风险、降低风险、转移风险。
3 结束语
随着经济进入新常态,内部审计部门工作的重点必须跟随经济形势、经济环境、企业战略的变化而调整,只有这样,才能给企业增加价值,提升企业竞争力。
参 考 文 献
[1]林毅夫.什么是经济新常态[J].小康,2014(10).
[2]齐建国.中国经济“新常态”的语境解析[J].西部论坛,2015(1).
[3]刘洁予.复合型内审人员的素质提高[J].审计与理财,
2010(2).
[4]
基本规范配套指引[M].北京:立信会计出版社,2010.
[5]
内部审计工作的规定与新编审计技术实用手册[M].北京:中科多媒体电子出版社,2006.
[责任编辑:高海明]
作者:林家杰
论企业内部控制与风险管理
摘要:引导企业完善内部控制,加强风险管理,是应对各种风险的前提。目前发达国家的风险管理与控制已经日趋完善,但我国的风险管理还存在一些问题。自中美爆发贸易摩擦以来,我国从事贸易出口企业损失惨重,暴露出企业内部控制和风险管理的诸多问题,文章对风险管理和企业内部控制进行了实践性探索,分析了内部控制和风险管理的现状及存在问題,提出了相应的解决措施。
关键词:内部控制;风险管理;研究
一、引言
全球经济一体化进程加快,使企业面临更加激烈的竞争,企业在经营中的风险也逐渐增大。面对2018年中美贸易战以来复杂的国际形势,直接影响着企业生存空间的挤压,给我国一些贸易企业带来严重的影响。反思其影响,是由于我国企业没有健全的内部控制制度和风险管理机制所导致的应对措施不力。从国外的一些研究成果看,国外企业的内控与风险管控远超国内企业。在经济环境发生变化时,势必会显示其漏洞。
二、我国企业内部控制和风险管理的现状及存在的问题
随着市场和科学技术的不断发展,企业面临的风险也在逐渐增加,一招不慎就可能会出现破产等风险。安然、世界通讯、诺基亚等知名企业都发生过此类风险,我国高科技企业中兴、华为也同样面临着风险。分析我国内部控制中存在的问题具有积极地意义,也是当务之急。
(一)风险管理意识淡薄
随着经济全球化的不断发展,我国企业只有走向世界,才能在全球范围内更好地配置资源,提高企业的竞争力。在供给侧和改革开放力度增大的背景下,更多的国外企业进入国内参与竞争,势必导致我国企业将面对更加复杂的外部环境,使得企业风险因素加大。目前我国企业的风险意识还不够强烈,风险管理的观念还比较淡薄,在国际竞争中往往会吃亏,极有可能会发生重大的财务风险,这与经济全球化的发展极不匹配。如前些年,我国一批大型企业在全球范围内进行开拓市场和原材料采购,为了抵销费率、汇率、价格等方面的影响,选择金融衍生工具进行套期保值等业务规避风险,导致了重大损失。
(二)公司治理结构不完善
公司内部控制的科学性是建立在公司治理结构完善的基础上。公司经营管理者作为内部控制的主体,既要保证内部控制的有效性实施,又要完善公司治理结构。按照《公司法》的要求,上市公司要设置股东大会、监事会、董事会、经理层等机构,表面上完善了监督管理和内部控制的要求,实则往往流于形式。如董事会内部董事比重过高,独立董事更是流于形式,根本起不到监督的作用,既是董事会成员又是经理等双重身份等问题突出,致使内部控制制度成为一纸空文,公司治理结构很不完善。
(三)风险管理体系不健全
当今社会进入了信息化时代,信息的传播速度空前加快,企业面临的风险瞬息万变,不确定因素也越来越多,如“京东事件”等。随着信息化程度的不断普及,类似的事件会越来越多,风险事件传播速度将会变得更加不可控制。因此企业建立专门的风险管理部门无比重要,及时对风险识别、预警、评估、并找到应对策略。但是我国的企业并没有这种风险意识,或者说没有把风险意识提高到这个高度,普遍没有实行实质性的风险管理。从实际情况来看,大多数的企业没有健全的风险评估机制和风险预警机制,即使有些企业设立相应的部门,也是形同虚设没有发挥好应有的作用。
(四)内部控制监督机制不健全
企业内部控制不是一蹴而就的,是一个长期的持续的过程,这个过程需要大量的制度跟进保驾护航。企业要想健全内部监督机制,首要是适应外部环境的变化,及时解决新问题,不能只做亡羊补牢事后控制,更重要的是要有预见性,做到事前控制和事中的持续监督,避免更大的损失。比如强化内部审计的独立评价和监督机制,是完善企业内部控制制度的有力保障。
(五)内部控制的核心地位不明确
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报表及相关信息真实完整。在内部控制环境、风险评估、控制活动、信息与沟通、内部监督五要素中没有明确内部控制的核心地位,造成企业对内部控制不重视,控制效果不明显的现状。
三、企业内部控制和风险管理的实施措施
(一)培育风险控制意识
风险管控作为企业内部环境因素之一,是企业管理者对风险管理理念的一种信念及态度,直接影响企业内部控制的实施。企业管理者树立正确的风险管理意识,拥有正确的风险管理态度,会对企业的风险控制起到关键性的作用。同时,管理者还要把这种理念贯彻到企业管理之中,让每一名员工都要接受风险管理的理念,成为企业共同信念及态度,融入企业文化之中。另外,加强道德建设。因为再完美的制度还是需要人去执行,所以公司要建立道德规范和行为准则,以便增强对职工的约束力。内部控制的执行不仅需要管理层的努力,更是要全体职员共同参与。势必要求管理层在各种场合对公司的规范和价值观进行广泛宣传,并制定相应的措施进行考核,提出相应的奖惩措施。
(二)完善公司法人治理结构
近年来,很多知名公司发生的财务丑闻,内部控制存在的问题逐步暴露出来,已经成为社会关注的焦点。从原来审计角度展开内部控制,到现在对公司治理结构的研究,都表明,完善公司治理结构是保障企业内部控制精准实施的前提。在内部控制和公司治理目标不一致时,为了更好防范风险发生,必须要完善法人治理结构。明确管理层对内部控制要素的责任,确定企业风险管理的总目标、风险偏好和风险承受能力。同时,还要增加独立董事的人数,并设立风险管理委员会,对于企业重大决策必须倾听独立董事的意见,当然这还需要选择好独立董事,避免聘用走过场和只拿钱不办事的独立董事。企业高层要树立风险意识,主动学习相关的财税制度。设置风险管理的岗位,负责指导和监督有关职能部门的经营和管理工作,从整体上对企业的风险进行监控,遇到问题必须指出并提出相应的整改意见。
(三)完善风险管理体系
风险管理最重要的是风险识别和预警。这是企业内部控制比较重要的环节也是最困难的环节。风险识别在于准确的识别风险,果断分析出是机会还是风险,避免错失良好的发展机遇。具体的做法就是要对企业的风险进行网格化细分,辨析出不同的风险事项及影响指数。另外,借助大数据平台,采取科學的数理分析方法来分析潜在的风险事项,从风险事项的内外两因素入手,运用政策分析法、问卷调查法、德尔菲法、失误研究法等传统分析法,分析如国际关系、政治影响、自然灾害、技术因素乃至高层管理者丑闻等影响。运用本量利法、标准成本法等定量分析研判风险在销售、生产、研发、人力等方面的影响值域。总之,要建立动态的风险评估机制,对评估出来的风险进行识别和过程控制,评估对企业的影响,对严重威胁企业安全的要尽快找到解决办法,避免遭受重大损失。对于一般的风险,要评估其机会和威胁,避免错失良机。这就要求企业建立自己的风险管控数据库,运用大数据技术适时分析与评估风险等级,及时预警给出防范模型,采取概率统计的方法,或采取风险最大值法,给企业管理层决策提供依据。需要指出的是,企业的风险随着外部环境变化而变化,企业风险管理部门及时跟踪风险事项的发展,在动态中连续不断的进行风险评估与研判风险走势,提出合理的防范措施,便于企业进行科学决策。由此可见,风险评估与研判是企业的日常工作,要形成一项长期坚持的制度,为企业的内部控制提供强有力的支撑。
(四)强化内部监督
强化内部监督的目的是发现企业的舞弊行为,防止错误累加,并起到一定的威慑作用,可以提高企业的效率,避免重大失误的产生。企业内部审计要以风险为导向,对相关部门的风险进行识别、分析、评价、监督和控制,确保企业目标的顺利实现。要求内部审计人员要积极参与风险管理之中,从风险管理的方面帮助管理层提供决策意见,以便消除风险点,把企业有可能遇到的风险降到最低程度。内部审计是否能够发挥好作用,重点还是看审计工作是否具有独立性和权威性,因为独立性才能保证审计的客观公正,权威性才能保证审计不受干扰。如果内部审计不能发挥应有的作用,还可以考虑外部审计,这样能够更好的保持审计工作的权威性和独立性,如外包给会计师事务所等。如果采取内部审计,就要不断提高内部审计人员的基本素质和综合能力,让他们成为风险管理方面的专家,能够熟练掌握内部审计的标准和程序,不但要有娴熟的专业知识还要有一定的沟通能力,能够清楚有效地表达业务目标并提出建议。从目前来看,我国审计人员大多数专业比较单一,多数是来自于财务专业,专业背景比较单一。这就需要对审计人员系统培训,特别是风险管理方面的培训,提高审计人员的基本素质,便于审计工作的顺利展开。
(五)强化外部监督
以政府相关部门和投资者以及外部的审计师等进行的企业监督属于外部监督。外部监督的参与有利于促进企业内部控制职能的完善,并作用于企业的流程重组与成本控制,也是推进企业内部控制正常有效监督的外部保障。强化外部监督,要求外部监管部门做好信息披露工作,保证信息披露的真实性和及时性。信息披露既可以提高企业管理当局的内部控制意识,增强内部控制的主动性,为外部监督提供良好的信息平台,又可真实客观地反映企业的经营状况和企业的社会责任。近年来,有关部门要求企业公布内部控制的评估报告,但从实际的效果上看,企业披露的信息比较空洞,真正需要监管的信息并没有公开披露,信息披露的主体和责任还不够清晰,也没有相应的惩罚措施。由此看来,要引进责任机制,在公司的治理结构中,应指定董事会对所披露的报告签字负责,对于没有如实披露的企业进行相应的惩罚,这样可以进一步完善内部信息的外部控制。
四、结论
本文通过对内部控制和风险理论进行了系统的研究,发现随着信息技术的不断进步,内部控制和风险管理正在深化融合。在此基础上,从实践的角度探索了我国企业内部控制存在的现状及问题,如风险意识淡薄、法人治理结构不完善、风险管理体系不健全、内部监督机制不健全、没有让内部控制处于核心地位等。通过这些问题的分析和研究,提出了要培育管理层的风险意识,可以通过法律法规的形式,让风险控制内化为企业文化,内化到每一名员工的心理。提出了完善公司法人治理结构的一些措施,从所有者、董事会、高级经理人三者组成的结构中进行研究,提出了要完善风险管理体制,对企业可能出现的风险不但要事前预警还要有过程控制,同时还要采取科学的分析方法,形成科学的制度体系。提出强化内部监督,提高内部审计人员的基本素质,并保持独立性和权威性。最后提出要对企业的内部控制进行外部监督,有关部门要制定相关的措施,确保企业披露的信息真实可靠,遇到弄虚作假必须要有相应的惩罚措施。做到这些工作虽然不一定从根本上解除企业的风险,但最大限度的给企业提供了制度保障。
参考文献:
[1]雷蓓.企业内部控制的风险管理机制分析与研究[J].中国总会计师,2018(08).
[2]闫岩.浅谈企业内部控制的风险管理机制[J].纳税,2018(19).
[3]傅羽先.基于风险管理视角的企业内部控制机制研究[J].经贸实践,2018(11).
[4]江业杭.浅析企业内部控制的风险管理机制[J].会计师,2018(11).
[5]王俊杰.论企业内部控制的风险管理机制[J].财经界(学术版),2018(11).
[6]张婵媛.企业内部控制的风险管理机制构建[J].大众投资指南,2018(12).
(作者单位:徐州生物工程职业技术学院)
作者:郑宏伟
企业内部控制自我评价体系构建及应用
一、引言
2008年财政部、证监会、银监会等相关部门联合颁布了《企业内部控制基本规范》,明确规定上市公司应当实施内部控制自我评价并对外披露自我评价报告。2010年《企业内部控制配套指引》的颁布,为我国企业内部控制评价提供了一个共同的标准,完善了企业内部控制的评价体系。但基本规范只是要求企业在自愿的前提下披露内部控制自我评价报告,从而导致其未能在实践中发挥出应有的监督促进作用。根据郑倩及凌邦如对2011年沪市企业内部控制报告披露情况分析发现,在933家企业中,只有427家企业进行了内部控制评价报告披露,其中仅有258家聘请了事务所对其报告进行审计。与国外上升到法律层次的披露要求相比,在自愿层次下,我国企业内部控制自我评价意愿不高,即使对外披露内部控制评价报告,由于未聘请第三方审计进行鉴定,导致其内容的可信度也不高。另一个问题是企业披露的报告其内容和形式基本相似,都为概括性的描述,并未对企业内部流程进行具体的评定,呈现一种形式重于实质的特点。可见,我国多数企业对于内部控制自我评价的重视度不够,实践中,企业只是为了满足外部监督部门的要求,或是为了满足相关规定的要求而进行的形式化的评价披露,从而导致评价结果流于形式,失去了管理的意义。笔者认为,我国企业关于内部控制的评价,应从管理视角出发,提高对内部控制评价的重视,由被动评价转为自愿评价,不只是进行概括性的描述评价,而是能够针对内部流程进行具体的评价,才能满足企业发展管理的需求,实现内部控制的目标。
二、内部控制自我评价研究回顾
内部控制最早起源于西方国家,相对于起步较晚的国内,国外对于内部控制的相关研究也一直处于前沿,对于如何建立合理的内部控制体系研究也早在上世纪六七十年代开始。1987年控制自我评价(control self-assessment,简称CSA)概念的出现,引导国外内部控制评价研究进入一个新的领域。随着相关法律法规的颁布,内部控制自我评价在国外已形成一套比较完善成熟的方法体系,尤其是CSA已经在美国、加拿大、英国等国家得到了广泛应用,发展了20多种方法,形成了一套完善的评价流程体系。而我国内部控制研究起步较晚,对于内部控制自我评价的研究还处于初级阶段,未形成一套符合我国经济市场情况的内部控制自我评价方法体系。
(一)我国内部控制研究现状 目前,我国对于内部控制自我评价的研究,多数是基于传统的内部审计方式角度进行的。朱卫东(2005)通过神经网络量化对内部控制的有效性评价进行了量化,以控制现状为神经网络的输入量,以控制综合评价结果为输出量,构建了内部控制五要素的评价标准体系。于增彪(2007)从内控评价的设计与审计角度对亚新科安徽子公司内控评价体系的构建和运行进行调查研究,发现内部控制评价的内容设计应该从评价主体和评价目标出发。宋亏霞(2009)从公司治理的角度出发,对影响内部控制评价的因素进行了分析,以此来提醒企業内部控制应该关注的因素。池国华(2010)从管理的视角出发,结合业绩评价,建立了一套内部控制评价系统模式,并提出了过程型指标和结果型指标的思想。张兆国(2011)以内部控制目标的实现为导向,建立了依据AHP的内部控制评价标准体系,并利用上市公司所披露的内控信息对其有效性进行了检验。吴秋生(2011)提出通过主体内和主体间的内部控制评价整合,实现对财务报表审计目的、自我完善目的等不同目的内部控制评价整合。韩传模(2012)从管理角度出发,提出引入BSC对内部控制进行自我评价的思想,利用AHP建立了简易的评价体系。也有学者从行业的角度分析内部控制评价,这类研究以商业银行居多,主要是因为我国监管部门对金融业上市公司(银行、证券和保险)的内部控制要求比一般上市公司严格,类似研究有陈自力(2005)、李定安(2007)、陈发奋(2007)、王留根(2010)、虞伟健(2011)等。对于CSA的研究,近几年才逐渐出现,尚处于起步阶段。林朝华、唐予华(2003),杨淑娥、戴耀华、樊明武(2006),王栋(2008)等分别对CSA的理论演进框架、CSA包含的方法、实践需解决的问题等做了理论分析评价。上海市内部审计师协会课题(2009)对上汽集团2008年借助IT系统实践CSA进行了介绍,并且剖析了其实施成功的因素。
(二)我国内部控制研究的不足 (1)对于内部控制评价体系的构建,指标体系不够详细,降低了研究成果的实践性。对于内部控制评价体系的构建,多数研究只是笼统的提出从控制环境、风险评估、控制活动、信息与沟通、监督五方面,结合风险管理来对内部控制进行评价,并未给出详细具体的指标,未能给企业的实践应用提供一个可供参考的模板,使得研究成果不能很好的应用到实践中。虽然韩传模提出从管理角度出发,引入BSC的体系构建,但在指标设计上还是未给出具体的指标;另外,维度的划分也有待斟酌。(2)目前的体系只关注对制度设计和执行有效性的评价,而忽略了对执行结果的评价。内部控制执行结果,可以反映其目标的实现程度,而现有的体系基本忽略了其对评价的作用,导致评价体系不够完善,无法及时发现薄弱环节的存在。(3)现有的内部控制自我评价体系,基本上是基于传统的内部审计方式下的内部控制自我评价。
鉴于此,笔者在以往文献的基础上引入BSC的思想,同时构建结果型指标体系,对CSA的实施框架进行构建说明。
三、基于BSC的结果型指标体系设计
内部控制和公司治理是不可分割的两部分,企业在经营过程中,应该将内部控制作为企业管理的一个有效手段,对于内部控制的评价应该视同于企业管理绩效的评价,只不过评价的对象是内部控制的有效性。笔者引入BSC,从管理的角度出发,对内部控制进行评价。尝试建立基于BSC模式下的结果型评价指标体系,完善内部控制评价体系。根据BSC的基本框架和控制自我评价需要,将整个体系划分为财务维度、内部流程维度、学习和成长维度以及外部利益相关者维度。
(一)财务维度 该维度各个评价项目指标的选取如下:(1)资金管理需要注意的风险包括筹资决策不当可能引起的负债危机或导致企业筹资资本过高、投资决策不当导致资金利用效率低、资金管理调度不合理导致运营不畅。所以,可以选取的指标有:资产负债率、流动比率、筹资计划完成率、筹资成本控制率、投资利润率(静态)、货币资金管理的账实相符度。(2)资产管理需要注意的风险包括存货积压与存货短缺带来的损失、固定资产管理更新不善带来的损失、无形资产核心技术落后或所属权不清等问题带来的损失。所以,选取相关的指标有:净资产收益率、流动资产周转率、总资产周转率、净资产增长率、存货周转率(次数)、设备故障率。(3)全面预算需要注意的风险包括预算编制不健全导致盲目经营、预算不合理导致难以实现或资源浪费、考核不严导致管理流于形式,可以用费用降低率來定量衡量是否造成资源浪费,如:管理费用率下降率、销售费用率、综合成本费用率。(4)财务报告需要注意的风险包括违反国家统一准则带来企业声誉受损、出具虚假报告、报告利用不合理。可以用出具标准审计意见的次数来定量评价财务报告的真实性。
(二)内部流程维度 该维度指标选取如下:(1)采购业务需要注意的风险包括采购不当造成的库存积压及存货短缺所导致的损失、供应商管理不当导致采购价格过高、验收环节不当导致的损失。可以用购入不合格率、材料采购成本降低率、库存短货率、库存积压率来定量评价。(2)工程项目需要注意的风险包括立项可行性研究不当导致的损失、工程物资造价过高带来的损失、竣工验收不严带来的损失等。可以从竣工准时率、施工事故发生次数、工程返工次数、全员劳动生产率、项目成本控制度等方面来定量评价。(3)担保业务需要注意的风险包括对担保申请人的资质调查不足带来的损失、对被担保人经营监控不善带来的损失、舞弊带来的损失。所以,用担保牵连次数,即因担保被牵连入诉讼等的次数来定量评价。(4)内部信息传递与沟通需要注意的风险包括内部信息传递不当带来的损失、信息系统开发维护不当带来的损失。可用出错率来评估内部信息传递与沟通,如信息内容出错率、信息系统事故次数、信息系统维护频率、信息系统的先进性。(5)销售业务需要注意的风险包括销售政策和决策不当带来的损失、客户信用评价不当导致货款回收不力等带来的损失。可以用市场占有率、销售回款率、销售收入增长率、销售计划完成率等指标来评价。(6)合同管理需要注意的风险包括合同订立不当造成的损失、合同履行或监控不当带来的损失、合同纠纷处理不当带来的损失。所以用企业牵涉入合同纠纷的次数来衡量合同管理。(7)外包业务需要注意的风险包括承包商选择不当带来的损失、业务外包监控不严造成的损失、可能存在舞弊导致相关人员涉案的风险。可以选取外包环节(如研发、资信调查、可行性研究、委托加工等)出错率来衡量,如外包环节出错率、承包商违约率。
(三)学习与成长维度 该维度指标选取如下:(1)人力资源需要关注的风险包括人力资源结构不合理带来的损失、激励约束等机制不合理导致人才流失带来的损失等。可以选取的指标有:关键人才流失率、关键人才增长率、员工自然流动率、安全生产教育培训投入、员工获取资质率。(2)社会责任需要关注的风险包括安全投入不够导致安全事故带来的损失、环境保护不够带来的环境污染、员工权益保护不足带来的损失等。可以选取的相关指标有:安全投入率、环保投入率、公益投入率、员工辞退率、生产安全事故损失率、客户投诉率。(3)发展战略主要风险是战略制定不够合理导致企业经营脱离轨道,造成经营困难。可以选取费用和利润目标完成度来衡量其合理性。(4)组织结构主要风险是结构不合理导致企业运行效率低,甚至经营失败。可以用事务处理效率来衡量结构是否合理。(5)企业文化主要风险是缺少积极向上的文化,不能够团结员工,导致企业经营困难。所以,用员工出席、舞弊事件发生率等衡量企业文化环境。
(四)外部利益相关者维度 外部利益相关者维度是通过对企业与其利益相关者之间的交易活动进行评价,从结果上侧面反映企业在该方面的内部控制是否有效。所以,该维度评议指标可以从对各个利益相关者的评价指标中选取。具体而言,供应商指标包括供应商交货延迟率、供应商产品次品率、供应商一次交检合格率,零售商指标如货款准时回收率,顾客指标如退货率、投诉率、客户保有率,投资者指标如投资新增率,分包商指标如竣工准时率、施工事故率。
四、基于BSC的内部控制自我评价应用
内部控制自我评价目前主要有两种方式:传统的内部审计方式和CSA。CSA在西方国家已经发展较为成熟完善,形成了20多种方法,而在国内,多数企业对于内部控制的评价还是传统的内部审计方式。CSA相对于传统的内部审计方式来说,是一种全员参与的更加全面的评价,可以提高所有员工的内部控制意识,有助于所有员工更好的理解和承担对有效的内部控制和风险管理的责任和义务。另一方面,由于是全员参与的评价,将评价范围扩大,有助于及时发现风险,进行改善,从而提高整个企业的内部控制自觉性,改善企业的控制环境,更好地保障企业内部控制有效运行,为企业经营发展提供可靠保障。与传统内部审计方式相比,CSA是一种更加有效的有利于企业管理的内部控制评价方式,为CSA的实施建立一个应用框架。
(一)明确评价目标 无论是传统的内部审计方法,还是CSA,内部控制自我评价的最终目标都是评价内部控制的有效性,包括:(1)制度设计的有效性。内部控制制度设计的有效性是内部控制执行有效性的前提,是实现内部控制有效性的必要条件。内部控制的建设是从制度的设计开始的,制度的设计是执行的前提条件,设计有效的内部控制制度能够为执行的有效奠定良好的基础,一个健全有效的内部控制必须建立在制度设计有效的基础之上,否则,无论执行再有效也是徒劳。(2)执行的有效性。在制度设计有效的前提下,执行的有效性是保证企业内部控制有效性的另一个必要条件。执行的有效性评价贯穿企业整个营运期间,并不是静止于某一点的有效性,是一个动态的有效性目标。(3)考虑成本效益原则。企业在保证内部控制有效的前提下,要尽可能降低内部控制的运行成本并做到简单易行,内部控制的设计要与企业自身的规模、所处行业性质等相符,不能单纯地为实现某一项目标而特意增加很多岗位,只要在有限岗位下能够实现控制目标即可,不必拘泥于形式。
(二)明确评价主体 传统的内部审计,评价主体主要是内部审计人员,CSA作为一项全员参与的评价方法,评价主体自然转换为企业全部员工,包括管理层和其他员工。在内部审计的引导下,由管理层及员工评估风险,由各部门分析控制架构,进行自评,提出意见,最后由评价小组提出最终的评价报告。
(三)明确评价标准 随着我国内部控制的发展,2008年颁布的《企业内部控制基本规范》和2010年颁布的《企业内部控制配套指引》,尤其是配套指引中的《企业内部控制评价指引》,是我国企业进行内部控制评价的基本准绳和最佳标准。在实际中,企业可以结合自身的控制目标、内部控制的风险点和控制措施等,明确具体的评价标准。
(四)组建评价小组 在CSA中,评价小组主要作用是引导全体员工参与并进行内部控制的评价。在对内部审计人员和各部門管理人员深入了解的基础上,选取适当的人员组成评价小组。评价小组应确保内部审计人员和各个部门相关人员都包含在内。
(五)实施评价 虽然CSA现有方法有20多种,但总体上可分为专题讨论会法、问卷调查法和管理层分析法。各种方法并不是相互独立的,企业可以根据需要,将几种方法结合使用。本文将选取专题讨论会和问卷调查法,对如何利用所构建的指标体系进行评价做出简略说明。以专题讨论会法为例,其实施评价的过程一般如下:(1)针对企业的控制环境、风险评估、控制活动、信息与沟通、监督,结合每个部门的具体业务,设计调查问卷,由各个部门的所有员工,包括一般人员和管理人员,对其进行评价打分。(2)由评价小组根据企业评价期内的实际情况,对结果型指标体系中的各项指标值进行计算。根据计算结果,以及由评价小组协议商定的得分标准,给出每一项的得分。(3)选取适当的方法,对评分结果进行处理,找出风险存在点。目前对于各个指标评价结果的数学处理方法较常见的是AHP,管理熵的提出也为内部控制评价提供了一个新的思路。当然,企业可以根据自身实际情况,选择适合自身的评价方法进行评价。(4)根据发现的风险薄弱项目,召开专题讨论会。根据出现风险薄弱环节的项目,在评价小组的引导下,召集相关部门的员工进行专题研讨,收集征询改善方案等。需要注意的是出现薄弱环节的部门,参与的员工应尽量包含各个层次的员工,而不仅仅是管理层。(5)评价小组根据征集的意见,制定初步的修改意见表,并在薄弱环节部门公示,征询意见,进行最后的完善,形成最终的改善意见。
(六)出具报告 根据评价和讨论的结果,评价小组出具内部控制自我评价报告,报告基本内容应包括此次评价的范围、评价过程中发现的问题、评价结果、对评价结果的说明以及对改善意见的说明等。企业可以根据自身具体情况以及管理层要求,增加相应的说明项目。
(七)改善计划 改善计划是内部控制自我评价的必然结果,针对提出的改善建议,管理层需要采取相应的措施去解决出现的问题,何时采用什么样的措施去改进是改善计划需要做出的说明。只有改善计划付诸实现,此次的内部控制才算真正意义上的结束。
五、结论
内部控制自我评价体系一旦在企业形成,企业可以针对自身的控制自我评价形式设计成相应的信息系统,来完成整个评价过程。如,通过设置权限,可以使相关部门只对于自身部门相关的项目进行评估,最后评分结果也是由程序通过设计好的算法计算得出。所以,一旦形成固定的信息程序系统,控制自我评价过程只需通过企业内部信息网络便可完成,从而节约时间和人力。设计成固定系统后,企业可以实现对于内部控制的实时监控,从而及时发现内部控制的薄弱环节进行改进,保证企业的健康有效运营。随着我国内部控制的发展,从管理视角出发的控制自我评价将逐渐被多数企业所接受,如何设计适合我国经济市场环境的CSA框架,提高内部控制评价结果的客观性将是未来研究的方向之一。
[本文系中央高校基本科研业务费专项资金资助项目(编号:N120406004)阶段性研究成果]
参考文献:
[1]吴秋生、杨瑞平:《内部控制评价整合研究》,《会计研究》2011年第9期。
[2]池国华:《基于管理视角的企业内部控制评价系统模式》,《会计研究》2010年第10期。
[3]于增彪、王竞达、瞿卫菁:《企业内部控制评价体系的构建》,《审计研究》2007年第3期。
[4]上海市内部审计师协会课题组:《企业内部控制自我评估研究——基于上汽集团借助IT系统平台的CSA实践》,《审计研究》2009年第6期。
[5]张兆国、张旺峰、杨清香:《目标导向下的内部控制评价体系构建及实证检验》,《南开管理评论》2011年第1期。
[6]郑倩:《沪市2011年内部控制自我评价报告信息披露分析》,《中国证券期货》2013年第1期。
[7]虞伟健:《基于定量数学模型的商业银行内部控制评价研究》,《财会通讯》(综合·中)2011年第1期。
[8]宋亏霞:《公司治理视角下内部控制评价标准体系的构建》,《财会通讯》(学术)2009年第10期。
[9]王留根:《商业银行内部控制评价标准体系构建》,《财会通讯》(理财)2009年第7期。
[10]凌邦如、杨倩萍:《上市公司2011 年内部控制评价报告分析》,《时代金融》2013年第1期。
[11]朱卫东、李永志、何秀余:《基于BP神经网络的企业内部控制体系评价研究》,《运筹与管理》2005年第4期。
[12]陈自力、李尊卫:《离差最大法在商业银行内部控制评价中的应用》,《重庆大学学报》2005年第10期。
[13]李定安、周娜:《商业银行内部控制状况的模糊综合评价方法》,《金融论坛》2007年第1期。
[14]陈发奋:《浅议商业银行的内部控制评价》,《上海金融》2007年第6期。
[15]林朝华、唐予华:《CSA:内部控制系统评价的新观念与新方法》,《上海会计》2003年第1期。
[16]杨淑娥、戴耀华、樊明武:《CSA:一个内部控制发展的前沿》,《当代财经》2006年第6期。
[17]王栋:《内部控制评估新方法CSA——在我国的应用分析》,《价值工程》2008年第5期。
(编辑 熊年春)
作者:李丽君 王蕾
推荐阅读:
内部审计外包研究论文04-12
内部审计外包论文(推荐5篇)03-22
中小企业内部审计外包研究05-10
大学内部审计外包管理与质量控制05-12
中小企业内部审计外包案例分析10-14
中小企业内部审计外包服务问题研究09-13
国家审计与内部审计整改的协同实践研究05-11
论企业内部审计的实践问题09-11
报业集团内部审计的实践与展望05-11
报业集团内部审计实践及优化路径05-10
