您好,欢迎访问三七文档
当前位置:首页 > 金融/证券 > 股票经典资料 > 内部审计在上市公司内部控制中的职能
内部审计在上市公司内部控制中的职能关键词:内部控制内部审计内部控制自我评估保证活动咨询活动一、什么是内部控制一经提到内部控制,大部分人都会有一个模糊的概念,好像知道那是在说什么,但是又没办法用语言清晰地表达出它的确切定义,这从侧面反映出内部控制与我们的工作是息息相关的。1992年美国反舞弊性财务报告委员会(COSO)发布了《企业内部控制整合框架》,在国际范围内第一次正式提出了内部控制的定义,并形成了有关内部控制的理论体系。目前我国的《企业内部控制基本规范》也正是基于COSO的相关理论提出的,这里就引用该“规范”对内部控制的定义:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制的这一定义向我们揭示了两个核心理念:1.内部控制是全员参与的。也就是说内部控制不仅仅是董事会和监事会的事情,同时还关系到公司的经理层和一般员工,不同层级的人员、机构在企业的内部控制中承担着各自的职责;2.内部控制是一个过程,确切地说应该是一个动态的过程。或许有部分人会把“内部控制”简单理解成“制度”,其实这是两个不同性质的概念,一般对制度的定义是“约束人的行为的政策与程序”,它并不是一个过程的概念。为了帮助更好地理解内部控制与制度之间的关系,我们可以做这样的类比:“内部控制”与“制度”的关系就好比“操作”与“操作手册”的关系,操作是一个过程,《操作手册》则是规范这一个过程的制度。内部控制由内部环境、风险评估、控制活动、信息与沟通、内部监督五大基本要素构成,是一个包含搭建内部控制环境、建立风险评估机制、制定并实施各项控制措施、收集和传递与内部控制相关的信息、对内部控制的建立和实施情况进行监督检查的循环运作的过程。我们可以认为制度是内部控制各项要素的载体,内部控制的各项要素应该在最大程度上以制度的形式予以明确。二、监管机构对企业内部控制的要求我们还是先来看看美国的监管要求,之前已经提到,1992年美国的COSO委员会发布了一个《企业内部控制整合框架》,实际上这只不过是一份非官方的指导性标准,并不具备法律效力。真正把对企业的内部控制要求上升到法律层面的是,2002年美国国会出台的《2002年公众公司会计改革和投资者保护法案》,也就是我们所熟知的萨班斯法案。该法案404条款要求:上市公司在年度报告中包含管理层对内部控制的评价,担任公司年报审计的会计公司应该对其进行测试和评价,并出具评价报告。现在我们再回过头来看看我国的监管要求,2008年6月28日“财政部证监会审计署银监会保监会关于印发《企业内部控制基本规范》的通知”(财会[2008]7号)要求:《企业内部控制基本规范》自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行;执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。实际上,该“通知”应该是美国萨班斯法案404条款和COSO《企业内部控制整合框架》的结合体,总体来说,我国的监管机构对企业的内部控制有以下两点要求:1.根据《企业内部控制基本规范》搭建内部控制框架,以持续保证内部控制设计的有效性和执行的有效性;2.在公司年报披露的同时,披露内部控制自我评估报告。三、企业如何开展内部控制建设工作内部控制建设是一项系统的、持续性的工作,内部控制建设的过程同时也是制度建设的过程,内部控制建设就是以制度建设为载体,完善内部控制各项要素的过程。对于企业来说,内部控制建设最核心的问题是如何持续保证内部控制设计的有效性和执行的有效性,以实现组织的目标。我们首先必须明确一种认识,那就是任何一家企业都是存在内部控制的,问题的核心是内部控制是否有效,即企业的内部控制在设计和执行上是否能够符合一般要求。《企业内部控制基本规范》对内部控制的各个基本要素做了详尽的描述,企业应当从内部控制的五大基本要素着手,完善内部控制。为贯彻落实《企业内部控制基本规范》,企业至少应该实施以下几项工作:1.对现有制度进行全面梳理并持续改进,确保内部控制设计的有效性。之所以要求企业对现有制度进行一次全面梳理主要是基于以下两方面的考虑:一、内部控制的设置必须根据企业内外部环境的变化而不断完善,但是由于长期缺乏有效的内部控制自我评估机制和监督检查机制,我国企业可能普遍存在现有内部控制设置与管理要求不相符的现象;二、《企业内部控制基本规范》引入了崭新的国际先进的内部控制理念,企业有必要根据新的理念对原有的内部控制设置进行重新梳理。但是一次的全面梳理并不意味着内控建设工作的终结,企业还应当结合下面将要谈到的内部控制自我评估机制和监督检查机制,不断地发现内部控制设计和执行上的缺陷,并持续完善。为了保证内部控制建设工作的顺利开展,企业应当首先构建内部控制建设的组织体系,明确相关人员/机构在内部控制建设中的职责,特别是应当成立专门的机构或者指定恰当的机构具体负责组织协调内部控制的建立实施及日常工作。1.建立上至董事会下至一般员工的内部控制自我评估机制。“财政部证监会审计署银监会保监会关于印发《企业内部控制基本规范》的通知”要求:执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。在《企业内部控制基本规范》出台后不久,2008年底上海证券交易所在上市公司年报工作通知中要求:在本所上市的“公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司,应在2008年年报披露的同时披露董事会对内部控制的自我评估报告。由此可见,监管机构是要求企业的董事会定期对本公司的内部控制进行自我评估并公开披露,其初衷是为了强调董事会对企业内部控制的社会责任。但是对企业来说,除了满足这一外部要求外,还应当考虑在公司范围内全面推行这种自我评估机制,由同样对内部控制的制定与执行负有责任的经理层和一般员工定期对相关内部控制进行自我评估,一方面为董事会的自我评估提供事实依据,另一方面定期的自我评估将有利于持续保证内部控制设计的有效性和执行的有效性。企业应当根据行业特性、组织文化、管理风格、员工素质等灵活选用适当的方法。控制自我评估的主要方法包括:专题讨论会、问卷调查法和管理分析法。这里重点介绍专题讨论会,即召集组织相关管理人员就内部控制的特定方面或过程进行讨论及评估的一种方法。专题讨论会一般采用以下主要形式:(一)以目标为基础的形式,是指围绕实现目标的最佳方式展开讨论,并评价现有内部控制是否能促进组织目标的实现;(二)以风险为基础的形式,是强调对影响目标实现的各种风险进行识别,并确定现有风险管理过程是否适当、有效;(三)以控制为基础的形式,是对现有内部控制的运行情况进行讨论,评估其有效性;(四)以过程为基础的形式,是对组织业务流程的各个环节进行讨论和分析,以提出改善或简化流程的建议。2.建立内部控制监督检查机制。为了持续保证内部控制设计的有效性和执行的有效性,企业还应当指定专门的部门负责对内部控制建立和实施情况进行监督检查,并规范监督检查的程序、方法和要求。内部控制的监督检查应当做到日常监督和专项监督相结合,一方面应当定期开展对内部控制的常规检查工作,如定期对业务部门开展的内部控制自我评估活动进行监督检查等;另一方面应当不定期地对内部控制的某一或者某些方面进行有针对性的监督检查,如对公司某一关键业务循环安排专项检查等。以上是为贯彻落实《企业内部控制基本规范》,企业至少应该实施的三项具体工作。此外,建立与实施内部控制企业还必须重点把握适应性和成本效益原则。也就是说内部控制建设应当与企业经营规模、业务性质等相适应,权衡实施成本与预期效益,以恰当的成本实现有效的控制。内部控制的成本通常包括:培训费、咨询费、审计费、人工成本(包括因执行具体控制活动而新增的人工成本、实施内部控制自我评估引发的人工成本、开展内部控制监督检查引发的人工成本以及组织/协调内部控制建设引发的人工成本等)、信息系统支出、其他成本(如新增检测设备、监控设备、考评设备等)。四、内部审计职责以上主要讨论了内部控制的定义、内部控制的外部监管要求以及企业如何搭建内部控制框架,接下来将重点探讨内部审计在企业内部控制中的角色和作用。内部审计是一种独立客观的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率,采取系统化、规范化的方法来对风险管理、内部控制及治理程序进行评估和改善,以帮助机构实现目标。这是国际内部审计协会对内部审计的定义,在内部审计的这一定义中提到了内部控制,由此可见,在企业的内部控制中内部审计扮演着重要的角色,文章开头在解释内部控制定义时,就提到过内部控制是全员参与的,而内部审计作为企业中的一员理应在内部控制中履行相应的职责。为方便讨论内部审计在企业内部控制中的角色和作用,我们有必要先来看看内部审计为履行职责通常要开展哪些活动。国际内部审计准则将内部审计活动被分成了两大类,一类是保证活动,一类是咨询活动。所谓保证活动,是指在客观地审查证据的基础上,对公司的某一程序、制度以及其他事项发表独立意见的行为,一般包括遵循性审计、经济性审计以及效果性审计等等。咨询活动是指提供建议以及相关的服务活动,一般包括顾问服务、建议、协调、流程设计与优化、培训等。所以内部审计在企业内部控制中的作用应该是通过咨询活动和保证活动为贯彻落实《企业内部控制基本规范》,持续保证企业内部控制设计的有效性和执行的有效性提供帮助。五、内部审计在企业内部控制中的职能上面已经讲到,为贯彻落实《企业内部控制基本规范》,企业至少应该实施三项具体工作,一是对现有制度进行全面梳理并持续改进,二是建立内部控制自我评估机制,三是建立内部控制监督检查机制。所以研究内部审计在企业内部控制中的角色和作用,也就是探讨内部审计应当在制度的全面梳理和持续完善过程中做什么?在内部控制自我评估机制中扮演什么角色?在内部控制监督检查机制中的职责是什么?1.制度梳理和持续完善过程中的内部审计职能“由谁来总体负责制度梳理和持续完善?内部审计是否可以胜任?是否会损害独立性和客观性?”这些应该是目前大部分内部审计人员比较关心的几个问题。由于理解尚未统一,所以目前各上市公司的处理也不尽相同,有的成立了专门的内部控制部门具体负责组织协调内部控制的建立实施及日常工作,有的是由审计室负责,有的是由一个临时机构负责(如内控工作小组等),还有的是由总经理办公室或类似的机构负责。个人认为在制度梳理和持续完善过程中,内部审计可以适当提供咨询服务,原则上不能损害独立性和客观性。具体活动包括:(一)、参与制度梳理项目小组,负责提供建议并监督项目的进度和方向。一般认为,如果内部审计师的角色被严格限制在监督项目进程、及时协调沟通项目的阶段性结果、及时监控当前工作和预定时间表的一致性,那么客观性将不大可能受到妨害;然而,如果内部审计师参与决定工作成果是否可以接受、项目的阶段性完成是否可以通过、项目组内的资源如何分配、或者其他类似的管理活动,则内部审计的客观性将会受到妨害。(二)、提供风险和控制知识的培训。之所以考虑由内部审计来提供培训,主要是由于专业的相关性,内部审计相对于其他业务部门会更易于消化、吸收内部控制理论。1.内部控制自我评估机制中的内部审计职能内部控制自我评估,是指由对内部控制的制定与执行负有责任的组织相关管理人员对内部控制进行评价的过程。一样的问题,“由谁来负责组织、协调内部控制自我评估工作?内部审计是否可以胜任?是否会损害独立性和客观性?”在内部控制自我评估机制中,内部审计可以充当发起者和组织者的角色,适当开展相关咨询活动,这将对内部控制自我评估有相当的促进。但是在这一过程中,内部审计师只应当是提供信息、培训或促进一项控制自我评估,否则客观性将会受到妨害。2.内部控制监督检查机制中的内部审计职能内部审计在企业内部控制监督检查机制中将扮演重要的角色,应当负责对内部控制的建立和实施情况进行监督检查,开展相关的保证活动。在新的内部控制指导框架下,内部控制的监督检查工作应当满足以下两方面要求:一、日常监督和专项监督相结合,以确保监督检查工作的有序开展;二、定期
本文标题:内部审计在上市公司内部控制中的职能
链接地址:https://www.777doc.com/doc-1125596 .html