时间:2020-08-14 作者:党济深 作者简介:党济深,中国神华能源股份有限公司审计部副主任,高级审计师。
[大]
[中]
[小]
摘要:
一、引言
近10年来,在财政部、证监会及国资委等有关部门的推动下,越来越多的上市公司和国有企业开展了内部控制评价,企业内部控制评价已经成为内部审计部门或其他专责部门的一项重要职责。
但多数企业的内控评价未能与内部审计工作很好地融合:有的将其当作两项彼此独立的工作,由不同的职能部门并行开展;或者由同一职能部门负责但分别划归不同内设机构分头实施,有的将内控评价职责划归内控风险部门或合规管理部门负责,有的由审计部门负责,但部门内部又进一步将内控评价与内部审计职责细化,由内控处(科)、审计处(科)分头负责。相互脱节,各行其是,虽然职责范围多有交叉重叠,但由于缺乏有效的沟通衔接,二者之间天然的、本质的联系被人为割裂开来,造成的消极影响日益凸显:一是影响各自的工作效率和效果,事倍功半;二是不必要地增加了被评价、被审计单位负担,备受诟病;三是内控评价工作(本文中内控评价、内部控制评价均指内部控制自我评价)虽经过10多年的发展,仍未走出流于形式和走过场的困境,停留于被动地履行有关监管部门规定的强制性义务的处境。造成这种局面有多方面的原因,如内控评价规范建设滞后,有关监管部门未能对内控评价形成...
一、引言
近10年来,在财政部、证监会及国资委等有关部门的推动下,越来越多的上市公司和国有企业开展了内部控制评价,企业内部控制评价已经成为内部审计部门或其他专责部门的一项重要职责。
但多数企业的内控评价未能与内部审计工作很好地融合:有的将其当作两项彼此独立的工作,由不同的职能部门并行开展;或者由同一职能部门负责但分别划归不同内设机构分头实施,有的将内控评价职责划归内控风险部门或合规管理部门负责,有的由审计部门负责,但部门内部又进一步将内控评价与内部审计职责细化,由内控处(科)、审计处(科)分头负责。相互脱节,各行其是,虽然职责范围多有交叉重叠,但由于缺乏有效的沟通衔接,二者之间天然的、本质的联系被人为割裂开来,造成的消极影响日益凸显:一是影响各自的工作效率和效果,事倍功半;二是不必要地增加了被评价、被审计单位负担,备受诟病;三是内控评价工作(本文中内控评价、内部控制评价均指内部控制自我评价)虽经过10多年的发展,仍未走出流于形式和走过场的困境,停留于被动地履行有关监管部门规定的强制性义务的处境。造成这种局面有多方面的原因,如内控评价规范建设滞后,有关监管部门未能对内控评价形成统一的指导监督工作机制,人们对于内控评价与内部审计的关系没有形成清晰的认识,以至于在具体工作中,更多地看到二者在工作依据、工作程序和报告要求这些外在形式的不同,对其本质一致性认识不清,有的甚至认为是性质各异的两项独立工作。
二、内控评价与内部审计的区别主要是外在形式的不同
从目前上市公司和国有企业开展内控评价与内部审计工作的实际情况来看,二者之间的确有很多区别,比如执行业务的主体、业务程序、工作要求以及遵循的业务规范等均有不同,看起来似乎是两项完全不同的、独立的职责。但细究起来,这些不同主要是由于不同的政策推动和不同的发展沿革形成的,主要的不同之处在于政策依据不同、遵循的业务规范和执行程序不同,这些不同之处属于外在形式上的而不是本质上的。
(一)政策依据不同
从上市公司和国有企业开展内控评价的发展沿革考察,推动内控评价的直接动因是有关部门的监管要求。上交所、深交所均于2006年发布了《上市公司内部控制指引》,要求“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见”。2008年5月财政部会同证监会、审计署、银监会、保监会印发了《企业内部控制基本规范》,要求自2009年7月1日起在上市公司范围内施行,并对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。2010年4月财政部、证监会等五部委印发了企业内部控制配套指引,包括18个应用指引以及内控评价指引和内部控制审计指引,要求自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上交所、深交所主板上市公司施行,并要求执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
此外,H股上市公司,根据香港联交所2004年发布的《企业管制守则》之C.2条款,“董事会至少每年检讨一次发行人及其附属公司的内部监控系统是否有效,并在《企业管制报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控以及风险管理功能”。
内部审计工作的主要依据是《审计法》《审计法实施条例》以及《审计署关于内部审计工作的规定》(以下简称《规定》),《审计法》要求“依法属于审计机关审计监督对象的单位,应当按照国家有关规定建立健全内部审计制度”,《审计法实施条例》明确了“依法属于审计机关审计监督对象”的具体范围,《规定》进一步明确了内部审计的职责权限、内容、程序及组织领导、审计结果运用,界定了内部审计机构和人员的责任及责任追究规定等。《规定》还要求,内部审计机构应当按照国家有关规定和本单位的要求,对本单位内部管理的领导人员履行经济责任情况进行审计。《规定》的适用范围是包括国有企业事业单位和国有金融机构在内的“依法属于审计机关审计监督对象的单位”,不属于审计机关审计监督对象的单位内部审计工作,可以参照执行。
(二)遵循的业务规范和执行程序不同
内控评价工作主要遵循《企业内部控制基本规范》及其配套指引,实施的程序通常是由业务部门或单位先进行自我评价,在此基础上内部审计部门(或其他专责部门)进行检查评价、缺陷认定、督促整改并编制自我评价报告,报送和披露依据证监会和证券交易所的监管规定执行;内部审计主要遵循《中国内部审计准则》和《内部审计实务指南》等业务规范,执行的程序包括制定审计计划和审计方案、实施审计程序、编报审计报告等程序。
三、内控评价与内部审计本质的一致性
《企业内部控制评价指引》给出了内控评价的定义,“本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。”财政部会计司在《内部控制评价指引讲解》中对评价的目的作了进一步补充,“内部控制评价的主要任务是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性”。《规定》将内部审计定义为,“对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位完善治理、实现目标的活动”。从上述内控评价和内部审计的定义来看,对诸如两项职责的工作目标、工作性质、职责内容等核心要素有所省略,靠简单地字面意思比对,难以厘清其关系。以下笔者对内控评价与内部审计分别从工作目标、工作性质、监督评价内容与范围、评价标准等四个方面阐述其一致性。
(一)工作目标的一致性
《企业内部控制基本规范》规定,内部控制的目标,是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略等“五目标”。内控评价的中心任务就是通过评价内部控制有效性,促进内部控制“五目标”的实现。关于内部审计的目标,被誉为“现代内部审计之父”的劳伦斯•索耶在《索耶内部审计:现代内部审计实务》(第五版)中作出详尽的说明,“内部审计是内部审计师对组织内不同的运营和控制实施系统、客观评价的活动。其目的是确定是否:(1)财务和运营信息是准确的和可靠的;(2)企业所面临的风险已经被识别和最小化;(3)外部规章制度和可被接受的内部政策和程序已经被遵循;(4)达到了令人满意的运营标准;(5)资源被有效地、经济地加以利用;(6)有效地实现了组织目标。所有这些目的都是为了提供管理咨询和帮助组织的成员能更有效地履行他们的治理责任”。由该定义可见,内部审计所欲促进的这六个目标,除了第(1)(3)(4)等三个目标可以明确地对应内部控制“五目标”中的信息真实、运营合规和经营有效目标外,第(2)(5)(6)等三个目标也足以涵盖内部控制的资产安全目标和战略目标。
(二)工作性质的一致性
在工作性质上,二者都属于内部管理监督。所谓内部管理监督,包括以下三重涵义:首先,二者都具有监督属性。内部审计在其定义中就强调监督属性,在实践中人们也把监督作为内部审计的基本职能,无须赘述。在《企业内部控制基本规范》中,将内控评价纳入内部控制“五要素”之“内部监督”要素,规定“内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。其次,强调监督具有内部属性,即不同于国家审计监督和社会审计监督等外部监督,在履行监督职能的前提下,更加注重减少对本企业的负面影响,如企业负面形象、声誉影响、损失浪费等,更加具有建设性,更加注重面向未来的风险控制,即不仅注重提出问题,更加注重争取整改的时机,纠正错误,减轻和弥补损失,防范未来风险。现行制度规定国家审计机关对内部审计发现且已经纠正的问题不再在审计报告中反映,客观上也起到了鼓励企业抓住一切可能的时机尽快整改的作用。这里有两个容易混淆的概念需要特别说明:在现行监管体系中,所谓内控评价,就是指企业对内部控制的自我评价,这与内部控制审计有着本质的区别,不仅在于监督评价的范围口径不同,更重要的是监督的性质不同,内控评价属于内部监督,而内部控制审计则是以社会审计为主体的独立审计监督,属于外部监督。第三,强调监督具有管理属性,以区别于其他类型内部监督。内部审计和内控评价本质上都具有管理属性,是企业管理的基本职能之一,从法约尔“管理五要素”意义上理解,内部审计和内控评价都属于管理的“控制”要素,法约尔认为,“在一个企业中,控制就是要检查核实各项工作是否都已遵照被采纳的行动计划运行,是否和下达的指示一致,是否和已定的原则相符。控制的目的在于指出工作中的错误和失误,以便人们能及时纠正,避免再次发生”。对于业务规模加大、内部管理复杂而需要专业监督的情形,法约尔进一步指出,“当某些控制行为变得太多、太复杂、太庞大,因而各个部门的一般工作人员难以胜任时,就应该由专业人员来处理,一般将他们称为监督员或检查员”,“这种控制是专门为了帮助各个部门良好地运行而采取的,总体来说就是为了企业的顺利发展”(法约尔,2017)。这就是说,内部审计和内控评价从属于管理、服务于管理,而不是并列,更不是对立。加拿大特许会计师协会(CICA)所属的控制规范委员会(以下简称CoCo)1995年发布的《控制指南》也支持这一观点,CoCo认为内部控制为企业管理目标的实现提供合理的保证,内部控制活动是管理活动的一个不可或缺的组成部分,是典型意义上的“管理活动论”(樊行健和肖光红,2014),而内控评价是内部控制活动中的一个环节,当然属于管理活动。
(三)监督评价内容与范围的一致性
通过对《企业内部控制评价指引》和《规定》等基础性制度规范的考察可以发现,内控评价与内部审计都聚焦于企业经济活动,监督内容包括企业及其所属单位的各类经济业务和事项,监督的边界与经济活动的边界相一致,业务发展到哪里就应监督到哪里,监督的深度同样涉及从决策到执行、从行为到结果的各个管理环节,同样关注能否确保实现全方位、全过程和全员的没有盲区的风险控制,二者并没有本质区别。
(四)评价标准的一致性
监督性质、评价目标、评价内容和评价范围的一致性,决定了评价标准的一致性。无论是内部审计还是内控评价,由于评价的任务都是围绕信息真实与否、行为合规与否、经营活动有效与否等方面进行,评价标准也没有可能不一致。在实务工作中,2014年中央经济责任审计工作部际联席会议成员单位联合印发的《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》,其中第二十一条“审计评价的依据”对企业内部审计来说,就是一个很好的评价标准框架。《企业内部控制基本规范》和《企业内部控制评价指引》要求企业结合实际自行制定本企业的内控评价标准,在实践中,上述《经济责任审计规定实施细则》所提出的审计评价依据,对内控评价中确定评价标准同样具有很好的参考价值。
内控评价与内部审计由于工作目标、工作性质、监督评价内容与范围、评价标准等四个核心要素均一致,为进一步对这两项形式和程序各异的内部监督职责进行统一定义提供了启示。笔者尝试为内控评价和内部审计提出一个统一的定义:内控评价和内部审计都是为了促进企业发展战略和管理目标的实现,由董事会(或类似的企业最高领导机构)领导的、由内部审计机构(或经授权的类似监督机构)负责实施的内部管理监督活动,即通过对企业各项经济活动的过程与结果实施检查、评价、建议、报告并督促整改等一系列规范化程序,旨在合理保证企业信息真实完整、运营合规、资产安全,企业所面临的风险能够被有效识别并尽可能降低。
笔者认为,这个定义符合上述内控评价与内部审计制度规范的精神实质,也符合企业管理实践对内控评价和内部审计的内在需要,与现代内部审计理论的主流观点相一致。将内控评价和内部审计两项职责用一个统一的定义来表述,有助于揭示二者内涵的一致性。至于二者之间的不同,只是内部管理监督活动的形式与程序的不同,是企业内部管理监督活动这一概念的两种不同外延,属于同一属(或大类)之下的不同类(或小类)。内控评价与内部审计本质的一致性,决定了该两项工作融合发展的必要性。
四、内控评价与内部审计融合发展的路径探索——以中国神华为例
中国神华作为A+H股上市公司,按照证监会、上交所及香港联交所的监管要求,从2007年起开展年度内部控制评价工作,对外公开披露自我评价报告,同时由负责财务报告审计的会计师事务所以整合审计方式独立开展内部控制审计,出具内部控制审计报告。在不同时期先后以外包方式和组织内部审计力量自行检查评价的方式开展内部控制评价,但始终未能很好地解决上述内控评价与内部审计脱节问题,内控评价与内部审计融合发展的监督合力未能很好显现。2018年中国神华调整总部运行模式以来,在全面总结过去10多年内控评价经验的基础上,对内控评价与内部审计融合发展具体路径进行了积极探索。
(一)统筹协调内控评价“全面覆盖”与内部审计“重点突出”的互补关系
与内部审计相比,内控评价更强调全面性原则,注重全面覆盖,类似于工程勘察中的“初勘”。而内部审计更强调突出重点,通常是通过审前调查初步确定审计重点,在审计实施中针对性更强,更像是工程勘察中的“详勘”。中国神华内控评价工作按照全面性与重要性相结合的原则,评价范围包括公司本部及所有子分公司,不留死角,对其中8家重点企业(是根据各企业财务报告数据占中国神华合并财务报告数据的比例选择的,只要税后净利润、主营业务收入、资产总额、净资产任何一项超过中国神华合并财务报告相应项目的5%,即纳入重点评价企业。选择8家企业作为重点企业是因为前8家企业上述各项指标合计数均已接近或超过中国神华合并报表相应项目的80%)每年必查,其余28家企业确保3年轮流检查一遍。评价内容涵盖公司及所属企业各项业务和事项,涵盖内部控制的全过程,包括决策、执行和监督,对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面评价。在内控评价体系设计中将公司全部业务划分为36个业务领域,97个一级流程,596个二级流程。2018年以来,中国神华在全面开展内控评价的同时,对发现的重要问题线索和问题易发多发业务流程及时启动专项审计程序,有针对性地进行必要的延伸,既包括审计期间的延伸,即从本评价期向以前年度延伸,也包括审计范围和内容的必要拓展,直到将“超出本评价期”和超出“评价深度要求”的重要问题和事项彻底查清查实为止。在内控评价过程中,及时启动专项审计程序,可为问题的解决和整改赢得时间,有利于对发现的重要风险,及时采取整改措施制止、挽回和补救损失,防止不利后果扩大,并从源头上遏制风险事件的发生或进一步发展。这样的融合,既扩大了监督覆盖面,又保证了监督深度,较好地实现了不牺牲监督深度的“全覆盖”。
(二)内控评价与内部审计通过信息共享和成果共享,减少重复工作,提高效率和针对性
中国神华在实践中探索了以下三种可行的方式:
一是在内部审计中充分利用内控评价成果和信息。内控评价成果和信息揭示了各部门、各单位、各业务领域和业务流程未经有效控制的风险,共享这些成果,可以为制定审计计划、编制审计方案提供一幅“风险地图”,更好地实现风险导向内部审计,节约审前调查工作量,增强审计针对性,提高审计效率,改善审计效果。
二是在内控评价中充分利用内部审计成果,增强评价针对性和有效性。在内部审计项目中发现的问题,虽然通过整改可以很大程度得以解决,但是问题背后的复杂背景和深层次原因很可能使得问题的解决是短期的和肤浅的,这样的问题具有很强的顽固性,难以一劳永逸地解决,容易反复。对于这些问题,需要研究其隐藏的风险机制,作为固有风险在内控评价中长期予以关注。比如工程审计中的造价审减,每一笔审减背后可能都有短期难以消除的管理缺陷,如分工制衡机制、复核机制、审批机制、责任机制的缺失等,整改也远不是“一减了之”,而要在内控评价中长期关注其背后的风险是否从源头上得到有效管控。
三是日常开展内部审计如经济责任审计、工程项目审计和专项审计等项目的同时,兼顾内控评价规范的要求,对审计所涉及业务和事项的内部控制有效性进行评价,在形成审计报告的同时,同步编制审计所及事项的内控评价底稿,作为年度内控评价的组成部分。在总体工作量不增加或很少增加的情况下,可大大避免不必要的交叉重复工作,节约年度内控评价工作量和工作时间。
(三)相互借鉴规范与标准,实现规范共享、标准共享
内部审计在国内经历了30多年的发展,形成了大量的操作规范,包括中国内部审计准则、指南和国际内部审计专业实务框架等,在内控评价中可以充分借鉴内部审计规范的成果,特别是关于审计质量规范、审计证据规范、审计取证方法、审计沟通方法等方面的经验,为内控评价实务提供有益启发。例如借鉴审计质量规范,因为内控评价也同样需要查明事实,包括行为或结果偏差、主观过错、损失浪费或其他不利后果等,需要充分可靠的证据支撑,运用适当评价标准进行评价定性,在此基础上才可能做到事实清楚,证据确凿,定性准确,达到应用的评价质量。
内部控制评价工作也形成了诸如基本规范、应用指引、评价指引以及沪深两交易所的上市公司内部控制指引等系列成果,可供内部审计在制定审计方案、确定审计重点时借鉴。
在内部审计和内控评价实践中,也发展形成了各自的审计评价标准和内控评价标准,常用的评价标准都是以国家法律法规、规章、政策、党内法规、规范性文件、国家标准、公司内部管理规定、“三重一大”决策程序、合同契约、计划、预算、责任状、考核指标以及公认的业务惯例等作为基础依据制定的。内控评价与内部审计的本质一致性,决定了相互学习借鉴彼此的规范、标准等有益成果的必要,通过取长补短,相互借鉴,实现融合发展。
(四)实现审计问题与内控缺陷整改标准的统一,是融合发展的根本途径
无论内控评价还是内部审计,查找问题或缺陷只是工作的切入点,最终目的是推动缺陷和问题的整改。2018年以来,中国神华在内控评价中提出“以风险辨识为先导,以缺陷查找为基础,以缺陷分析为抓手,以缺陷整改为目的”的内控评价新思路,以此为指导形成了以“风险辨识——缺陷查找——缺陷分析——缺陷认定——整改建议——整改落实”为主要路径的内控评价流程。在该流程中,缺陷查找旨在发现初步偏差,即与评价标准相对照的行为偏差或结果偏差,这些初步发现的偏差通常仅能触及问题的外在形式或表象。缺陷分析才是流程中的重中之重,包括行为过错分析、不利后果分析、缺陷敞口分析、缺陷成因分析,还要根据需要进行多向度分类分析等五个方面的分析,实现由现象到本质、由局部到全局的认识深化并抓住主要矛盾,一方面为缺陷认定提供依据,另一方面为从源头上进行整改提供路径指导。
影响缺陷整改质量进而影响到内部审计或内控评价目的能否实现的关键,是确定适当的整改标准并予统一。无论是审计问题的整改还是内控缺陷的整改,都追求标本兼治,治已病,防未病。通常的整改措施不外三类,即补救不利后果、预防风险、追究责任。预防与追责又是辩证统一的关系,追责是为了更好地预防,是指引、教育、预防的统一。通常在内部控制失效、风险事件业已发生、由行为过错引起不利后果的情况下,不仅需要面向未来采取预防措施防范风险,还需要补救损失或其他不利后果,触发追责条件的还要追究违规责任。仅在风险事件尚未发生、未引起不利后果的情况下,才以预防为主要措施。
中国神华的内控评价新思路及相应的内控评价流程,经过在实践中反复检验、修正和完善,较好地指导了内控评价工作,为提升内控评价质量,改进内控评价效果奠定了基础。在此基础上,通过确定适当的、统一的内部审计问题与内控评价缺陷整改标准,初步扭转了内控评价中“重风险预防、轻责任追究”的片面倾向,以及内部审计实务中“重结果整改,轻风险预防”的片面倾向,矫正了认识误区,有助于实现取长补短,融合发展。
责任编辑 刘霁
相关推荐