内部审计在上市公司内部控制制度建设中的作用和实践
开篇:润墨网以专业的文秘视角,为您筛选了一篇内部审计在上市公司内部控制制度建设中的作用和实践范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:文章通过对现代企业内部控制框架介绍,对内部控制制度建设、内部审计与内部控制的关系、内部审计在内控制度建设的实践的阐述。论述了内部审计在现代企业内控体系建设中进行内控测试。内控评审的重大作用,以及内控审计的重要意义和实践应用。
关键词:内部审计内部控制作用实践
中图分类号:F239.45
文献标识码:A
文章编号:1004-4914(2011)03-178-02
内部控制制度作为现代企业内部管理制度的一个重要组成部分。是适应企业经营管理的需要而产生的,也是市场经济发展到一定阶段的产物。内部控制的目标是确保企业经营活动的效率性和效果性、资产的安全性、经济信息和财务报告的可靠性。加强和完善企业内部控制制度。对于改善企业内部控制、提高财务信息质量、保证投资者的合法权益、保护资本市场的有效运行有着非常重要的意义。
根据《萨班斯法案》第404条所制定的《最终条例》(Final Rule)明确表明COSO内部控制框架可以作为评估企业内部控制的标准;同时COSO内控框架也被美国证监会确认为是完整、全面和不偏不依的内控框架。《企业内部控制基本规范》(财会[2008]7号)也是以COSO内部控制框架五要素为基础制定。所以内部控制制度建设应以COSO内部控制框架为基础,并实现以下目标:满足美国萨宾斯法案(Sarbanes-OxleyAct)对内部控制要求;作为统一公司的制度和流程的基础;开始建立与现代企业制度相适应的公司治理结构和控制环境。
一、COSO内部控制框架介绍
1.控制环境。控制环境是企业的核心,也是企业的人以及他所处的环境.是推动企业的引擎,也是其他控制要素的基础。是一个组织的控制意识;它是人们执行经营活动并完成其控制责任的环境,控制环境的组成要素:管理哲学和经营风格;组织结构;董事会及其委员会职能;职责分配和授权;人事政策。
一个有效的控制环境存在于职员明确他们的责任、权利并承诺合理地执行。管理层对一个组织的控制环境的影响是通过建立执行标准和有效地沟通已制定的原则程序,道德标准,和行为标准来体现的。
2.风险评估。企业必须了解它所面临的风险,并加以控制。即设立可辨识、分析和管理相关风险的机制。风险评估就是分析和辨识为实现企业目标所可能发生的风险。
风险评估重点关注:目标、风险、控制行为、控制活动;并在环境变化后及时进行评估和更新。
3.控制活动。企业必须基于风险评估的结果订立控制风险的政策及程序,并予以执行。控制活动是帮助企业及时有效地控制风险的政策和程序。通常可以按业务分别进行制定:现金管理、营销和销售、人事和薪金、资本性采购、采购和付款、存货管理。控制活动应该深入到经营过程中并且把风险控制在合理的水平。控制活动的三个主要功能:预防、识别和纠正。
控制活动的类型如下表所示:
一些重要的内控方法:职责分离控制;授权批准控制;内部报告控制;电子信息技术控制。
4.信息与沟通。信息与沟通必须贯穿在风险评估和控制活动过程中。信息与沟通系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯.并交换这些资讯。沟通是使员工知悉其在业务经营、财务报告及法律遵循方面的责任。信息系统分为内部和外部两部分,信息与沟通要求了解、捕捉相关的外部和内部信息.并使得这些信息能在组织中及时地处理和传递。信息的质量和完整性是进行商业决策必不可少的保障,内部控制系统提供合理的保证,使信息可靠、及时、准确并易于理解。管理层责任是使职员明白自己的职责、信息在组织中的传递应该是上下流动,平行传递的和保持一个开放的与客户、供应商及其他外部关系联系的沟通渠道。
5.监督。监督必须满足以下三方面:(1)整个内部控制的执行过程必须被监督;(2)确保内部控制制度随情况的改变而作出动态的反应;(3)应建立检查和报告体制。所以管理层应对内控执行情况进行持续监督;另外,内部审计部门应进行定期、不定期的个别评估,对管理层组织的内部控制进行监督,以协助管理层有效地履行他们的职责。
内部控制的定义(注:来自《企业内部控制基本规范》的定义)是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
1.上市公司内部控制制度和体系的建立如图1所示。
2.上市公司内控制度体系建设。上市公司内控体系建设程序一般分为三阶段,一是内控制度启动和建设阶段,二是为内控制度实施和测试阶段,三是为内控测试和完善。实施内部控制制度,一是要逐项复核内控是否存在于现有流程中,是否有效;二是要进一步制定具体政策和管理报告;三是要考虑成本效益原则;四是要强化对内控的监督与评估。同时,还要认识内部控制具有固有的局限性:一是人为因素(对控制责任的误解、执行时的大意、疲劳、舞弊)使内控失效;二是随着时间推移使控制措施逐渐失效;三是其它影响内控实施效果的因素(管理层违规、形式主义、利益的冲突、法律法规的意外变化、竞争对手的行动、经济环境变化等)。
内部控制实施步骤:(1)整合优化各专业业务流程,形成统一内控规范流程和内控模版。(2)编写《内部控制标准手册》,印发内控规范试行稿。(3)开展内控制度的培训和宣讲工作,全公司推广培训:组织对总部相关专业部门、分公司以及其他子公司人员进行培训。(4)内控规范上市公司实体全面推广实施。
三、内部审计和内部控制的关系
内部审计的定义是:内部审计是一种独立、客观的保证和咨询活动。目的是为组织增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制和治理程序进行评估和改善,从而帮助组织实现自身的目标。
传统的内部审计功能主要定位在财务、固定资产投资、经济责任、舞弊调查以及特殊项目审计工作。然而,2002年萨班斯一奥克斯利(以下简称SOX)法案的颁布。大大地改变了上市公司的商业环境。萨班斯法案对公司治理和内部控制的强制性关注,改变了公司内部各个层面的程序和责任。特别是法案的404条款要求上市公司确认财务报告风险、识别或建立相关的控制、评估控制有效性、确认差异,然后重新测试、重新制定相应的规章制度。受SOX法案404条款影响最为深重的组织部门中,内部审计首当其冲,由于内审人员在业务流程分析、财务、企业运营、合规性以及信息系统控制测试、COSO内部控制框架,以及有争议的会计政策等方面所有的专业技能,在公司内部控制制度建设和实施中有着先天优势,对内控体系的建设和完善是一种重要的成功因索。因此内部审计在公司治理、风险管理和内部控制中的作用越来越重要。
内部审计和内部控制的关系如图2所示。
从内部控制理论的发展进程看,经历了内部牵制、内部控制制度、内部控制结构及内部控制整体框架四个阶段,现正向内部控制与风险管理相结合的新阶段迈进。由图二可看出.内部审计与内部控制是同步发展的.经历了账项基础审计、制度基础审计、风险为本的审计和内控自我评价审计四个阶段。但随着内部控制的发展,给内部审计带来的既是机遇,也是一种挑战。内部审计从机构设置和审计人员构成都提出了新的要求,从传统的审计业务向以内部控制为核心开展的审计业务,需要与之相应的审计机构设置和人员配置。内部审计功能和董事会审计委员成为坚实的控制框架中不可缺少的组成部分,内部审计功能是能够合理确保业务在期望的状态下运作的必要条件。因此内部审计必须加强独立性,并具备与董事会进行直接沟通的渠道;董事会须确保内部审计中合理的人员任命、资源配置和计划制定。
内部审计目标提高到了更高层面,审计工作的开展要以内部控制为中心,紧紧围绕企业生产经营过程中、业务发展过程中出现的管理层关心的问题和约束企业发展的问题,帮助公司实现效益和规范之间的平衡。
内部审计关注点南事项审计转为动态过程审计,把审计的作用产生在审计过程中。把事后检查转为事前和事中控制,不要等事情发生了再秋后算账,加强与被审计单位的业务联系和信息沟通,以减少与被审计单位的对立情绪,使被审计单位由被动应付审计向主动要求审计转变,以开放的心态接受内控测试和审计。
内部审计人员面临着迅速转型的需要,首先内控意识的培养,内部审计人员不仅是控制及其执行方面的专家,而且应该把如何进行内部控制和风险管理的观念传授给组织内部的其他人员。所以。审计人员自己要建立稳固的内控意识,并在内控测试和评审中对业务流程执行层面人员进行灌输。使其达到:在日常工作中自觉遵守内部控制的各项要求;在业务流程重组和设计中充分考虑控制目标和控制活动的各项要求。
四、内部审计与内部控制的契合一内控评审(内控测试)
满足萨班斯法案的要求,是企业内部控制体系的重要组成部分。但仅仅满足萨班斯法案的要求而忽视其他方面的内部控制要求(如:经营的效果性和效率性),可能无法满足管理层的全部管理需要的。随着企业的发展,内部和外部环境会随着时间的推移发生变化,原有的内部控制体系需要定期进行复核和评估,并进行相应当更新以适应公司管理的需要。即:公司需要建立持续有效的“目标一风险―控制”的评估过程。
上市公司内控要求内部审计部门被要求对企业内部控制系统的充分性和有效性进行独立的检查和评价,相对于外部独立审计,公司内部审计人员的知识结构和业务素质水平较好地满足了内控测试需要,内控测试的任务理所当然地落到了内部审计部门。因此随着公司治理的深入推进和外部监管的严格要求,内控评审(内控测试)就成为公司管理层对公司内部控制有效性进行评价的主要方式。内控评审工作是公司管理层披露内控评价报告、发表内控有效性声明的唯一的重要依据。
内控评审(内控测试)是为满足资本市场监管需要,促进公司内部有效发展的一项长期而必要的工作。同时按照我国财政部等五部委联合的《企业内部控制基本规范》要求,2009年7月1日起上市公司对其内部控制的有效陛需进行自我评价,并披露年度内控自我评价报告;并且按照资本市场萨班斯法案的要求,上市公司以保障财务信息的真实性、生产经营的效益性和法律法规的遵循性为目标,持续开展内控建设,积极组织内控评审。
推动建立风险管理长效机制的任务已潜移默化地落到内部审计上,内部审计要以内控审计为契机,通过查找、分析和解决问题,帮助公司提升管理和效益水平.增强公司竞争力,实现内部审计的增值功能。通过内控评审。促进公司内部精细化管理和提升经营效益,增强资本市场投资者信心和保护投资者利益。特别是面对竞争更加激烈的新环境,在重点关注经营发展效益的同时还要高举管理效益这面旗帜。只有不断落实精细管理,努力挖潜增效,向管理要效益,以管理促效益,更快更好地提升经营效益水平。内控评审能够深入公司生产经营流程,发现和揭示影响公司效益提升的风险问题,如从市场前端关注投资决策、经营决策的规范性、科学性和可行性,通过检查验证促进各级公司决策的有效性;关注营销政策实施过程中实际的赢利能力,通过持续跟踪检查促进营销活动的效益性。内部审计要站在全局角度剖析问题产生的原因.提出有价值的建议,通过持续开展内控评审,推动公司在生产经营过程中有效规避、防范和控制风险,促进效益的增长,从而提高企业的核心竞争力和生命力。