关键词:风向导向高校审计流程优化
一、内部审计的相关定义
在我国,最新的内部审计定义是中国内部审计协会2013年8月颁布的《中国内部审计准则》作出的,“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。高校内部审计作为内部审计的一个分支,有内部审计的内涵本质,也有自身独特的特点。高校内部审计是高校内部审计部门运用系统规范的方法,对高校的内部控制、预算执行和决算、建设项目和领导干部经济责任等方面进行的独立客观的确认和咨询活动,目的是帮助高校完善治理、防范风险、创造效益,实现高校事业目标。
风险导向审计是一种全新的审计模式,该模式下审计人员在对组织的内部控制制度充分了解和评价的基础上,综合考虑组织面临的各类风险以及内外部环境,进行重大错报风险评估,根据风险评估的结果来实施审计,审计过程中运用专业的审计技术方法来协助组织降低组织风险、完善内部控制,实现组织价值增值。
二、高校内部审计流程现状及问题
(一)高校内部审计流程现状。内部审计流程是完成内部审计工作的具体程序和步骤。规范的内部审计流程能提高内部审计的工作效率,并且保证内部审计质量。通过梳理,笔者发现高校都有基本的内部审计流程体系,制定的内部审计流程主要集中在工程审计流程、领导干部经济责任审计流程和财务审计流程等方面。现阶段高校的内部审计流程大致可以分为审计准备、审计实施、审计报告和后续审计四个阶段。这四个阶段的主要流程如下:
1.审计准备阶段的主要流程。年度审计计划的制定和审批;根据审计项目的实际情况成立审计小组,开展审前调查,制定项目审计计划和方案,发出项目的审计通知书,接收被审计单位和被审计人提供的审计所需资料。
2.审计实施阶段的主要流程。对内部控制制度运行有效性进行测试,进行实质性审计程序,运用检查、观察、询问、函证、访谈和分析等审计方法收集审计证据,编制审计工作底稿,进行审计评价等。
3.审计报告阶段的主要流程。审计组汇总分析审计证据,形成审计意见,完成审计报告征求意见稿,征求被审计单位或被审计人意见;审计组对反馈意见进行审查核实,有必要修改审计报告,并报内审部门负责人审核;将审核后的审计报告报分管校领导审核后,送达被审计单位或者被审计人。
4.后续审计阶段的主要流程。被审计单位对内部审计报告中的问题进行整改,并在一定期限内将整改情况书面报告至内审部门,内审部门对整改报告中的情况进行审查、核实,出具后续审计报告,项目归档。
(二)高校内部审计流程的问题分析。高校内部审计工作起步较晚,近年来取得了较大的发展,但是高校的内部审计流程也有诸多不完善的地方,主要表现在以下方面:
1.审计准备阶段。首先,高校内部审计的年度审计计划主要取决于学校的工作安排和省教育厅内部审计部门的部署,立项很被动,缺乏风险意识,而且审计项目多以财务收支审计、建设工程审计等常规审计业务为主,较少涉及内部控制审计、管理审计和绩效审计等较为前沿的审计内容。其次,疲于应付审前调查,未考虑风险因素,项目审计计划和方案没有针对性,造成审计实施过程的盲目性和内部审计报告中审计建议的不具可行性。现阶段,少部分高校将审计工作狭隘地定义为查账,这种账项基础审计已经不能适应高校改革发展的需要。
2.审计实施阶段。首先,经过调研,笔者发现部分高校没有明确的审计流程,这增加了内部审计工作的随意性;此外,有的高校直接套用社会审计机构的审计流程,没有针对性,不适应高校的实际情况。其次,大部分高校在实际审计实施过程中,没有对内部控制制度运行的有效性进行测试,直接进行实质性的检查工作,在现阶段高校内部审计资源匮乏的情况下,这种做法加剧了审计资源和审计任务间的矛盾,降低了内部审计的工作效率。由于高校的内部审计部门不能从内部控制、高校治理等方面出发整体全面地把握内部审计工作,因此内部审计的影响力和发挥作用的层次不高。最后,笔者发现,高校内部审计工作底稿存在简单、应付的情况,不能完整地记录审计工作的开展。
3.审计报告阶段。现阶段,高校的内部审计部门虽然开展了财务收支审计、经济责任审计和建设工程审计等多种内部审计,但是内部审计报告浮于表面,仍局限在对被审计单位的财务信息的真实性和合法性的评价层面上。内部审计部门较少对被审计单位的内部控制制度和管理体制进行分析评价,因此内部审计报告中对被审计单位的风险管理和应对、内部控制制度的健全性和有效性等方面提及的较少,因此就不能对这些方面的问题进行体制和机制上的挖掘。
4.后续审计阶段。首先,经笔者调查了解,由于种种原因较大部分高校没有进行后续审计工作,将内部审计报告送达被审计单位和被审计人作为审计项目的结束,导致内审报告中的审计建议和意见没有得到被审计单位的落实,降低了内部审计的价值。其次,高校后续审计未有效地发挥帮助被审计单位完善内控、提高风险管理水平的咨询功能,因此被审计单位对内部审计的理解和认可度不高,不利于提升内部审计在高校治理中的影响力。
三、高校内部审计流程的优化对策――基于风险导向审计
风险导向审计流程要求在审计准备、审计实施、审计报告和后续审计阶段都要考虑风险因素,针对高校内部审计流程中存在的上述问题,基于风险导向审计模式对内部审计流程进行优化。
(一)审计准备阶段。首先,年度审计计划和项目立项以风险导向为基础。高校的年度审计计划的制定要以风险导向为基础,内部审计部门应根据高校的发展战略、内部审计部门的发展规划和内部审计资源的情况选择当年要实施的审计项目。变被动立项为主动立项,根据风险评估结果进行立项,对于高风险领域和内部控制的薄弱环节,优先投入审计资源,进行重点审计。审计立项要有前瞻性,使得审计项目能够解决高校管理中存在的突出问题和内部控制的薄弱环节。其次,高校要做好深入充分的审前调查,并对被审计项目进行风险评估,这样能充分了解被审计单位的业务活动流程和内部控制制度,制定出详细有针对性的项目审计计划和方案。在项目审计计划与方案中,对于有可能发现重大错报风险的地方要重点关注,并重点投入审计资源,这样可以提高审计工作效率,达到事半功倍的效果。
(二)审计实施阶段。首先,在该阶段,审计组要进行控制测试,对被审计单位内部控制制度的运行情况进行检查,评价被审计单位内部控制制度的健全性和有效性。根据控制测试的结果和重大错报风险的评估结果,确定实施实质性程序的范围。如果评估的重大错报风险越高,那么实施实质性程序的范围就应越广。如果内部控制测试结果显示被审计单位的内部控制薄弱、可信赖程度低,审计组就应扩大实质性程序的范围,这样才能收集充分恰当的审计证据,得出合理的审计评价和审计建议。其次,高校要规范审计工作底稿的编制工作。审计工作底稿是内部审计质量控制的重要环节,内部审计部门要制定适合高校特点的规范的内部审计工作底稿模板,并做好审计工作底稿的复核工作。规范的审计工作底稿使得审计工作有理有据,同时为审计检查和审计质量控制提供依据。
(三)审计报告阶段。审计报告阶段是体现内部审计工作成果的核心阶段,因此要基于风险导向审计对该阶段进行优化。首先,内部审计要实现帮助被审计单位完善治理管理、增加价值的功能,就必须在审计报告中就高校相关部门的内部控制的健全性及有效性,风险应对和风险管理情况,管理体制的健全及效率等情况提出有针对性的审计建议和意见。这样被审计单位才能采纳审计建议,优化管理机制。其次,高校内部审计部门在出具内部审计报告的同时,应出具管理建议书。所谓管理建议书,是指内部审计人员对审计过程中发现的、可能导致被审计单位产生重大错报风险的内部控制的重大缺陷提出的书面建议。内部审计部门要站在被审计单位的角度,研究思考管理建议的适用性和可行性,这样提出的建议才能改善被审计单位的业务活动、内部控制和风险管理。
(四)后续审计阶段。后续审计阶段是确认内部审计意见与建议是否得到被审计单位落实的关键阶段,只有经过后续审计阶段,才能形成一个完整的风险导向内部审计系统。高校的内审部门应重视后续审计工作,认识后续审计阶段在高校整个内部审计环节中的重要作用。为了提高后续审计的有效性,高校内部审计部门可以将后续审计列入年度审计计划,这样能引起高校管理层的重视,更加高效有序地开展后续审计工作。实施后续审计应注意时间的选择和审计技术、技巧的运用,提高工作效率。在实施后续审计时,内审人员应帮助被审计单位一起分析查找相关问题的原因,对内审报告中的审计建议进行落实,并推广应用。高校的内部审计人员要充分运用自己的专业能力,对于后续审计中发现的新问题,及时提出有针对性和可操作性的新建议,持续帮助高校完善内控和风险管理,不断提高高校内部审计工作的质量和水平,为高校的健康发展提供服务。
参考文献:
1.张勇,王小林.审计流程优化研究――基于BPI理论的视角[J].会计之友,2011,(27).
2.周庆西,谢伟.风险导向内部审计模式创新[J].中国内部审计,2013,(3).
【关键词】事业单位内部控制建设
一、当前形势下事业单位加强内部控制机制建设的紧迫性
当前,事业单位在内部控制建设中还存在着一些问题,其产生的原因是多方面的。我们不能笼统地认为存在的问题都是某个单位自身原因造成的,而应该看到其在加强内部控制工作后,在强化会计监督职能、加强财政资金管理、提高资金使用效益上取得的成效。当务之急是,我们应该从这些现象中找到问题的症结,提出合理化的建议并运用到实践当中,以便对今后的工作具有示范性和可操作性。
首先,目前财政部等五部委制定的《企业内部控制基本规范》虽然明确指出其适用范围包括行政事业单位,但实际上主要是针对企业制订的。由于考虑事业单位的特点不多,没有体现出事业单位资金管理体制上的特殊性,如没有收支两条线管理、部门预算、政府采购、国库集中支付等要求,因此其对事业单位的适用性不够。
其次,有些事业单位领导的内部控制意识理念不强,执行力度不够。一些单位对经济业务事项没有制定明确的授权审批控制制度,尤其是对重大业务事项,没有实行集体决策审批或者联签制度,单位所有事务都由“一把手”审批,“一把手”说了算,权力过于集中。有的单位虽建有内部控制制度,却流于形式,弱化执行。有的单位领导认为,现在有会计核算中心把关,单位内部控制不再那么重要了,将内部控制看成是财务部门的事。如在对2008年度农业项目资金用款审计中,发现某技术服务部的账面存货出现红字百万余元,仓库连续三年未盘存,2008年发放给乡镇的鼠药经费6万余元未入账,造成账账、账实不附。而该单位三年前领导变更、财务人员更换,没有进行离任审计,“新官不理旧账”,现在仓库出了纰漏,从单位领导到会计谁也说不清问题出在何处。
再次,不少事业单位中,会计人员往往兼任单位内部审计工作,内审机构与会计部门的工作人员是同一班人,造成审计工作权威性和独立性不够;在审计内容上对单位内部执行经济职能的效率评价涉及不多,无法起到监督资金的使用和管理情况。内部控制执行状况的检查往往由单位内部自行完成,造成监督力度不够,影响了内部控制作用的发挥。如有的单位由于没有设置会计凭证复核人,自己制作凭证又自己复核,缺少有效的监督。
最后,事业单位会计工作的重视程度还不够。会计工作往往被简单地认为只是款项的收付工作。会计人员岗位经常变动,身兼数职的情况普遍存在,不能安心本职工作。会计人员业务素质不高,没有会计从业资格证而从事会计工作的现象存在。由于职权受限,会计人员仅仅扮演“收付款”的角色,很少参与单位决策及业务管理活动,或对决策过程不够了解,造成会计监督形同虚设,会计控制作用难以发挥。
二、加强事业单位内控机制建设的建议
在当前加强事业单位内控机制建设的紧迫形势下,事业单位内部应统一思想认识,加强会计内部控制制度建设,提高资金的使用效率,促进管理的合法规范,保障资产的安全完整等。对此,可从以下几个方面做起。
1、内部控制基本规范
建立有效的事业单位内部控制基本规范,应当借鉴COSO框架及我国企业内部控制基本规范的形式设计,其内容应包括如下几个方面:事业单位内部控制的基本目标、基本要素、基本原则和总体要求。事业单位内部控制基本规范是制定具体规范和应用指引的基本依据,在事业单位内部控制标准体系中起统驭作用。
事业单位内部控制基本规范的基本目标可包括:事业单位发展战略,业务活动的效率和效果,财务报告及管理信息的真实、可靠和完整,资产的安全完整及遵循国家法律法规和有关监管要求。
事业单位内部控制基本规范的要素可归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。建立事业单位内部控制基本规范应以价值创造为导向,分别就内部控制“五要素”制定事业单位内部控制基本规范。
建立和实施事业单位内部控制,以法制为推动,以事业单位实施为主体,以政府监管和社会评价为保障,在建立和实施事业单位内部控制过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则等五项基本原则。
2、配套指引
事业单位内部控制配套指引包括三部分,分别是内部控制应用指引、内部控制评价指引和内部控制审计指引。
事业单位内部控制应用指引包括内部环境类指引、控制活动类指引和控制手段类指引。其中,内部环境类指引包括组织架构、发展战略、人力资源、社会责任等应用指引,控制活动类指引包括资金活动、采购业务、资产管理、研究与开发、工程项目、业务外包、财务报告等应用指引,控制手段类指引包括全面预算、内部信息传递、信息系统等应用指引。
从三者关系来看,事业单位内部控制应用指引是事业单位内部控制的前提,在配套指引乃至整个内部控制规范体系中占居主体地位;事业单位内部控制评价指引是事业单位内部控制的内部保证,是管理层根据需要对本事业单位内部控制有效性进行自我评价提供的指引;事业单位内部控制审计指引是事业单位内部控制的外部保证,是注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
内部环境是事业单位实施内部控制的基础,支配着事业单位全体员工的内部控制意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。事业单位在改进和完善其内部环境的同时,还应对其各项具体业务活动实施相应的控制。
事业单位内部控制的控制手段类指引主要指采用的控制“工具”性质或内容,如预算编制、信息系统等,具体包括全面预算、内部信息传递和信息系统等指引。
事业单位内部控制评价指引是指事业单位董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具内部控制评价报告的过程。在事业单位内部控制实务中,内部控制评价是极为重要的一环。
事业单位内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。它是事业单位内部控制规范体系实施中引入的强制性要求,既有利于促进事业单位健全内部控制体系,又能增强事业单位财务报告的可靠性。同时,也为事业单位建立健全内部控制制度、提高资产营运效率、杜绝贪污浪费提供了可能。
3、内控审计
事业单位执行事业单位内控规范体系时,应按阶段对本单位内部控制的有效性进行自我评价,披露阶段性自我评价报告,同时可以聘请审计机关或会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。
审计机关审计人员或注册会计师在内部控制审计过程中发现事业单位非财务报告内部控制重大缺陷,应当提示事业单位法人代表、董事会、债权人和其他利益相关者予以关注。事业单位业务活动不同于企业经营活动,不必像企业那样按年度进行内部控制有效性评价,出具自我评价报告,同时可以聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。具体把握好以下几点。
首先,事业单位资金有限,按照成本效益原则,事业单位可以分期进行有效性评价,出具自我评价报告和审计报告。当前,我国事业单位经费有限,大部分事业单位收入靠财政拨款。分阶段如两年或三年评价内部控制制度并出具审计报告,既可以由审计机关,也可以通过会计师事务所出具审计报告,可以较大限度节约内部控制评价及审计费用。
其次,事业单位人事变动小,组织结构稳定,容易培养单位文化。当前,我国大部分事业单位人员组成比较稳定,事业单位人员流动少,一线专业人员企业职工素质相对较高,加之,治理结构层次人员一般存在聘用期和离任审计等规定,一经建立有效的组织结构,执行起来具有相对稳定性。
最后,内部控制评价报告和内部控制审计报告重在报送而不是在媒体披露。事业单位净资产毕竟不同于企业所有者权益,大众在关注事业单位是否存在违法乱纪、问题的同时,更多关注有关部门是否追究有关人员的各种责任。而内部控制评价报告和内部控制审计报告更多的是将贪污浪费防患于未然,提高资产营运效率和效果。因此,大众对事业单位内部控制评价报告和内部控制审计报告关注程度不同、关注目的不同,进行有效性自我评价,披露自我评价报告和审计报告的时间跨度也不同。
在实施方式上,事业单位内部控制规范及其指引体系的应用可先行试点,然后逐步推广实施。同时,事业单位应优化内部控制环境,强化单位风险意识。
三、结语
事业单位内部控制涵盖其业务活动管理的各个层级、各个方面和各项业务环节。为确保单位各项资金的安全运行,提高资金的使用效率,促进管理的合法规范,保障资产的安全完整,保证财务报告及相关信息真实完整,不同资金来源形式、不同组织形式、不同规模或类型的事业单位都应当十分重视其内部控制制度建设,并可以结合其实际情况,从不同的角度入手,建立健全内控制度,并应向内部控制制度完善的单位或企业借鉴,不断改善其内部控制制度不够完善的地方。
【参考文献】
[1]李焦原:事业单位内部控制存在的问题及解决对策探讨[J].中国外资(上半月),2011(8).
[2]蔡丽兰、镇杨:事业单位内部控制存在的主要问题、成因分析及建议[J].北京工商大学学报(社会科学版),2009(5).
关键词:内部控制;制度建设;国际比较
一、引言
针对安然、世通等财务欺诈事件,美国国会2002年7月颁布了《萨班斯——奥克斯利法案》(简称SOX法案),该法案在内部控制及信息披露方面实施严刑峻法,对财务报告内部控制问题进行了严格规定。该做法得到了许多国家和地区的认同和仿效,开始实施类似的制度或修改相关法规。2008年5月和2010年4月,我国财政部等五部委联合了《企业内部控制基本规范》和《企业内部控制配套指引》。《基本规范》和《配套指引》的,标志着我国企业内部控制制度建设取得了重大进展,必将对促进我国企业及其他单位开展内部控制、防范风险、提高企业经营管理水平发挥积极作用。本文拟通过比较西方主要发达国家企业内部控制建设情况,分析与我国企业内部控制的异同,对我国内部控制建设情况进行总结,为进一步完善我国企业内部控制建设提出合理建议。
二、西方主要发达国家企业内部控制建设情况
1.美国企业内部控制建设情况。20世纪70年代水门事件后,美国国会通过了《反国外贿赂法》,该法案除有反贿赂的条款外,还规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会了《报告、结论与建议》。随后,在1980年、1982年、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国防舞弊财务报告委员会,即tread-way委员会。Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年,COSO提出了《内部控制整体框架》报告(简称COSO报告),并在1994年进行了增补,其整体架构主要是控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成。2004年9月,COSO委员会对《内部控制—整体框架》再次进行了修改和完善,了《企业风险管理整体框架》,又被称为新COSO报告。该报告更加关注企业风险管理,从风险管理角度对内部控制进行了全新的诠释,指出内部控制主要关注如何有效防范和控制企业风险。与原COSO报告相比,它增加了“战略目标”,并将原来的五要素开展为八要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
SOX法案作为近70年来最重要的财务法案,于2002年7月正式生效后,给美国资本市场的监管带来了一次前所未有的变革。在该法案的诸多新规定中,最引人注目的是要求管理层对内部控制系统的适当性和有效性进行报告,并要求外部审计师证实管理层报告的准确性。其中302条款要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字;404条款对公司管理层提出要求,陈述建立和保持适当的内部控制结构和财务报告程序的责任,在财务年度末,要对内部控制结构和财务报告程序的效果进行评估,标志着美国内部控制根本思想从披露向实质性管制转变;103条款对审计师就管理层内部控制报告出具鉴证报告提出了具体要求。
2.英国企业内部控制建设情况。英国关于企业内部控制的要求在法律、法规中都有体现,“普通法”规定董事长负有保护单位资产的责任;“公司法”认为会计记录和财务报告是内部控制的重要方面,董事长要负责披露真是公允的财务信息,并接受外部审计。伦敦股票交易所1998年1月了一部旨在规范公司治理的法律,即“联合准则”,其中三条涉及到公司内部控制。此外,伦敦股票交易所的“上市规则”中对披露内部控制情况作了相关规定。
鉴于上市公司提出应有一个内部控制方面的具体操作性的规定,伦敦股票交易所委托英国特许会计师协会成立了以Turnbull先生为主席,由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会,就如何帮助在英国上市的公司贯彻执行“上市规则”和“联合准则”中的建立健全内部控制的要求进行研究。该委员会1999年完成了一份系统的指导企业建立内部控制的报告,即《内部控制框架指南》。由于这个报告是在Turnbull先生领导下完成的,又称为《Turnbull报告》。《Turnbull》报告一经,便为财务报告理事会、伦敦证交所、上市公司、公司外部审计人员所接受并在各自工作中运用。2005年,《Turnbull报告》在保持基本原则不变的情况下进行了局部的修改,并于2005年10月颁布了修改后的《Turnbull报告》。《Turnbull报告》对分散在英国法律、法规中涉及内部控制的规定进行了归纳和整理,立足英国的法律环境和公司治理特点,建立了具有原则导向性、风险导向性、框架指引性的内部控制指南。
3.日本企业内部控制建设情况。2006年6月7日,日本国会通过了被称之为日本版“萨班斯法案”的《金融商品交易法》,将对企业内部控制评价及审计的要求列入法律。此后,日本审计准则制定机构企业会计审议会于2007年2月15日正式了《财务报告内部控制的管理层评价与审计准则》以及《财务报告内部控制的管理层评价与审计准则实施指引》,该准则从2008年4月1日开始实施,为企业内部控制评价以及公认会计师对内部控制鉴证提供了技术规范和指导。
三、各国内部控制制度与我国《企业内部控制基本规范》的比较
1.内部控制的含义。COSO报告认为,内部控制是由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供合理保证的过程。内部控制作为过程,其本身不是目的,而是实现目标的手段,内部控制的有效性也只是“过程”中某个时点上的一种状态。按照这种认识,内部控制不能再被片面曲解为机械的制度、规定,而是与管理过程融合在一起,是一个不断发现和解决问题的循环往复的动态过程。根据《Turnbull报告》,内部控制是一个旨在防止风险发生或将风险控制在可接受的低水平的系统。该系统包括公司的政策、过程、任务、行为和其他方面。健全的内部控制系统可以减少但不能消除决策中的拙劣判断的可能性、人为错误、雇员或其他人员蓄意绕过控制过程、管理层越过控制以及不可预知情况的发生。因此,健全的内部控制系统可以提供合理但不是绝对的保证。我国《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由此可以看出,各国内部控制制度对内部控制的定义有些差异:COSO报告和我国《企业内部控制基本规范》认为是一个过程,《Turnbull报告》认为是一个系统。尽管定义有些差异,但内部控制本质却是一致,都是为合理保证其控制目标的实现服务的。
2.内部控制的目标。COSO报告指出,内部控制是为实现以下三类目标提供合理保证:经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。第一类目标针对企业的基本业务目标,包括业绩和盈利目标以及资源的安全性;第二类目标关于编制可靠的公开的报表中的财务数据;第三类目标涉及企业对所适用的法规的遵循。新COSO报告又增加了战略目标。《Turnbull报告》认为内部控制要实现以下三类目标:对风险做出适当反应促进经营的效率和效果;提高会计信息质量,防止财务欺诈;遵循法律规章。《金融商品交易法》提出了内部控制的四个目标,除了国际通行的提高业务的有效性和效率性、财务报告的可信度、经营活动的合法性三个目标外,增加了“资产保全”目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标:企业战略;经营的效率和效果;财务报告及管理信息的真实、完整;资产安全;遵循国家法律法规和有关监管要求。由于各国的内部控制评价标准都是借鉴COSO报告的基础上发展而来,《Turnbull报告》的三类目标基本和原COSO报告一致,《金融商品交易法》在保留COSO报告原有三个目标的同时增加了资产保全目标,而我国《企业内部控制基本规范》相比新COSO报告的四个目标增加了资产安全目标。COSO报告的三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展,而发展和战略规划问题是企业所有问题的根本。所以新COSO报告加上企业战略的目标,更有利于企业应对未来外部环境变化带来的风险。
3.内部控制的构成要素。COSO报告认为,为实现内部控制的有效性,需要五个要素的支持:控制环境、风险评估、控制活动、信息和沟通及监督。以上五项要素实际上内容广泛,相互关联。控制环境是其他控制成分的基础;在规划控制活动时,必须对企业可能面临的风险有细致的分析;风险评估和控制活动必须借助信息与沟通;内部控制的设计和执行必须受到有效的监控。新COSO报告包含了八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。关于控制要素,《Turnbull报告》提出了“四要素”论,即控制环境、控制活动、信息与沟通、监督检查四部分。《金融商品交易法》列示了内部控制的六项基本要素,除了控制环境、风险评价、控制活动、信息沟通和监控等大多数国家认可的五项要素外,考虑到由于信息系统反馈与财务报告相关内部控制制度密切相关,加入了“信息技术反馈”这一新的基本要素。我国的《企业内部控制基本规范》在内部控制构成要素上,采用的是五要素,即内部环境、风险评估、控制措施、信息与沟通和监督检查。《Turnbull报告》与COSO报告相比,没有把风险评估列为单独的控制要素,因为其认为风险的评估贯穿内部控制的整个过程和所有层面,在某种意义上,内部控制等同于风险管理。由于COSO报告的五要素框架相对成熟、稳定,因此我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架,但同时进行了充实和丰富,在内容上体现了新COSO报告风险管理的八要素框架的实质,即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。
4.内部控制的责任主体。在COSO报告下,管理层对内部控制负主要责任,不但要向董事会下属的审计委员会报告,还要评估内部控制的有效性并对外内部控制报告。在《Turnbull报告》下,董事会负责审查内部控制的有效性,管理层有责任监督内部控制系统,并向董事会提交评价内部控制有效性的报告;董事会要审查管理层的内部控制报告,对内部控制进行年度评估,并在年度报告中内部控制声明。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定:事会负责内部控制的建立健全和有效实施;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导企业内部控制的日常运行。由上面的分析可以看出,在COSO报告中,内部控制的责任主体主要是管理层。虽然把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。而我国《企业内部控制基本规范》和《Turnbull报告》,都强调了董事会对内部控制的重要责任,并且与《Turnbull报告》相比,《企业内部控制基本规范》更加明确地规定各责任主体对内部控制的责任,使治理层和管理层的责任分工更加明确。
5.内部控制的外部审计。在COSO报告下,审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计,既要评价管理层对内部控制的评价,又要对内部控制的有效性发表意见。而在《Turnbull报告》下,审计师只是对董事会的内部控制声明进行审查,并不需要对公司内部控制系统的有效性出具报告。在我国,执行《企业内部控制基本规范》的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。在内部控制的外部审计的选择上,我国《企业内部控制基本规范》和COSO报告的要求是一致的,都是强制要求对内部控制进行外部审计。在财务报告内部控制审计的主体资格方面,美国规定必须由同一会计师事务所同时进行同一公司的财务报表审计和财务报告内部控制审计,我国《企业内部控制基本规范》及配套指引规定,“注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行”,但没有规定必须由同一会计师事务所同时进行同一公司的财务报表审计和财务报告内部控制审计。在内部控制审计与内部控制咨询的关系问题上,美国规定负责审计财务报表事务所不能同时为同一公司提供与财务报告信息相关的内部控制咨询服务,可提供其他方面的内部控制咨询服务,我国《企业内部控制基本规范》规定,“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务”。
四、对我国企业内部控制建设情况的总结及进一步完善内部控制建设的建议