关于内控审核的风险运作评价探索
摘 要:文章探讨了审计工作内部控制的内涵与环境、代写审计论文内部控制与风险管理的评价与操作标准,阐述了提高审计工作效率和审计业务质量的见解。
关键词:内控审计 评价标准 内涵 风险运作
内控审计制度在经济生活中的作用愈益凸现。笔者结合工作实践,对内控审计的内涵、环境与风险运作等问题作了一些粗浅的探讨,#p#分页标题#e#以期对规范企业内控审计标准有所助益。
一、 内部控制的内涵
管理是管理者为企业确立发展战略,确定明确目标(包括全局整体性目标和各项业务活动的具体目标),据此制定各种计划,并组织实施的整个过程。管理涵盖了比内控更为广泛的内容,一些很重要的管理责任,如设定目标、具体决策等都不是内控。因此,我们认为,内控只是管理中的重要内容之一,许多非内控性的管理活动也是十分重要的。然而,要把握内控,问题的关键并不在于研究它的局部性#p#分页标题#e#,而在于研究内控如何成为管理中至关重要的部分。
为使投资者获得应得的回报,管理者有责任控制局面,并解决和纠正经营管理活动中的问题和错误。因此,管理者需要以一定的组织形式为依托,以一定的规章制度为依据,采取各种方法去实现既定的目标。可以说,管理的关键就在于抓住管理活动中的那些对实现目标至关重要的部分,这也恰恰是内控值得探讨之处。
1986年财政部发布《会计基础工作规范》;1997年财政部发布由中国注册会计师协会制定的《独立审计具体准则第9号———内部控制与审计风险》#p#分页标题#e#;1997年国家审计署发布《中华人民共和国国家审计基本准则》;1999年全国人大通过新《会计法》;2000年11月证监会发布《公开发行证券公司信息披露年报规则》,要求公开发行证券公司应建立健全内部控制制度,在招股说明书正文中专设一部分,用来说明其内控制度的完整性、合理性和有效性;2001年6月始,财政部发布一系列《内部会计控制基本规范》。在这些文件中,对内部控制的定义和要求都不太一致。相比较而言,定义比较清晰、要求比较明确的有:《独立审计准则第9#p#分页标题#e#号———内部控制与审计风险》和中国证监会发布的《内部控制指引》。前者指出:“内部控制是指在一个单位内部,为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序”;后者认为:“公司内部控制包括内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结构及其相互之间的运行制约关系;内部控制制度是指公司为防范风险,保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。”
我国内控法规建设虽已具有一定的规模#p#分页标题#e#,但仍存在一些问题:第一,国家有关部门以及各类组织的相关文件中所谓的内控制度在概念上不统一;第二,没有形成内部控制的整体框架(结构、内容和联系);第三,在内控制度结构设计上存在着各政府主管部门、各行业主管部门各自为政、就事论事的倾向。
通过排除上述文件的各种定义和要求中对内部控制理解的侧重角度,可以看出我国对内控的共识在于:内部控制是一个组织所设计并实施的程序,旨在为实现组织的某种目标而提供合理保障。内部控制可从三个方面提供合理保障,并有助于组织某种目标的实现#p#分页标题#e#:一是保证经营活动的有效进行,并保护资产的安全和完整;二是对外提供真实、完整的财务报告;三是防止、发现、纠正错误与舞弊,合法经营。
美国可谓是内控制度最严密的国家之一,美国注册会计师协会AICPA于1995年以《审计准则公告第78号》的形式确认了COSO委员会《内部控制———整体框架》中对内部控制的定义,美国会计总署也于2001年重新修订了内部控制准则,全面接受了这个定义#p#分页标题#e#,即由“三个目标”和“五个要素”组成的内部控制的整体框架。三个目标是:可靠的信息(包括真实、完整、合法的财务报告和管理信息)、经营活动的效率(包括决策的经济性、贯彻的及时性等)与效果(包括资产、资源的安全性、保值增值等)、相关法律法规的遵循。五个要素是控制环境、风险评估、控制活动、信息与沟通、监控。
将中美内部控制概念进行比较,可以看到,境外上市公司与国有企业的内控概念相比,有很多不同,主要表现为#p#分页标题#e#:内部控制的目标多元化;内部控制的重心前移。因此,我们既不能简单地将内控认为仅仅是一种内部监督、一系列制度,又不能照搬国外理论,而应参考国外的先进经验,将诸如企业风险评估、信息与沟通等内控要素结合进来,成为企业内部控制的重要组成部分,这不仅可以解决当前企业内部管理的问题,而且也是适应公司上市的客观需要。
二、 内部控制环境
内控环境可划分为主体环境和客观环境,其中客观环境又可划分为硬环境和软环境。硬环境是内控建立、运行的基础。最重要的硬环境是企业的组织结构。组织结构是为经营活动提供计划、执行、控制职能的整体框架。组织结构的合适性#p#分页标题#e#,环境改变时组织结构改变的难易程度等都直接关系内控的建立与运行。软环境是指左右或影响内控效率、效果的因素。最重要的软环境是企业文化。那么是否需要先建立企业文化,然后再建立内控呢?应该不是,毕竟只是影响内控的因素而已。笔者认为,先建立文化,以之来改变企业行为,从而改变企业运作,可能会事倍功半。而首先改革运作方式,在运作模式稳定后形成行为模式,行为模式自然成为行为规范,在这样的氛围中的行为模式、行为规范经过提炼,逐渐发展成为占统治地位的企业文化,它又反作用于运作方式#p#分页标题#e#,继续巩固内控改革的成果,并形成新的创新。
实质上,无论客观环境如何,无论内控基础如何,设计、执行、影响内控最重要的是主体,因此,组织中最核心的问题仍然是人。环境、物质等都只是人利用的条件。这里的人可以理解为广义上的人,包括股东、客户、监管者、竞争者、管理者、员工等,其中最直接作用于内控的是组织内的员工。
做好内部控制,仅靠高明的总经理是有很大难度的。如果部门领导都重视内部控制,内控的成效就明显#p#分页标题#e#;如果每个员工都希望做得更好,不仅满足于被动接受管理,更乐意成为自己工作环节的控制者和改进者,众志成城产生的合力是难以估量的。然而,有时因为大家努力的目标不明确而使合力的方向产生偏差,那么,即使每个人的智商都是120,他们共同的团队智商也可能会降至60。因此,内控需要重视每一个人,改进内控的人不必有CEO般的权力,可以仅仅只是个实习生,内控的重要性应为每个人所认识#p#分页标题#e#,内控也应该保持其在组织中的这种重要地位。
创造内控的主体环境,需要重视以下三个问题:(1)人员数量应精简。精干容易紧凑,臃肿必然缓慢,并导致忙碌而又低效率的恶性循环;(2)人员素质应不断提高。应建立严格的招聘程序,保证应聘人员达到一定的素质;(3)不断创造企业价值观与个人价值观一致的氛围,使人的忠诚、向心力、创造力成为企业兴旺发达的活力和强大推动力。建立与改进内控相适应的绩效考核机制,以充分调动人的积极性、主动性、创造性,挖掘人的潜能。一方面,绩效考评的目标是为企业发展服务。我们可以把企业发展对绩效考评的要求看成正向作用力#p#分页标题#e#,同时也决不能忽视反向作用力,因为反向作用力并不会小于正向作用力。也就是说,企业发展的要求决定了绩效考核的指导方向,而绩效考核的具体实施也同样地对企业的发展举足轻重。两种力量相互促进而非抵消的条件是绩效考评符合组织发展的方向。例如,对创新的胜利者奖励一百元而对失败者罚之以压力,那么就等同于鼓舞大家墨守成规。因此,管理运作、内部控制的理念必须贯彻到考评指标中。如不仅考核做多少事,还考核控制效率提高多少等。另一方面,尽可能用科学管理的认证标准来量化、确定每个环节的工作效率,并用流程管理制度来记录、考核、评估工作质量,由点及面,促进员工提高内部控制的效率。
#p#分页标题#e#三、 内部控制与风险管理
风险,通常的理解是对实现企业目标可能发生的不利条件或事件。风险的概念在许多经营管理著作中被扩大化,甚至涵盖了管理中绝大部分的问题和困难;而内控的概念也常常被扩大而接近管理的概念,特别是内控中广泛地运用着风险管理中的一些概念,如风险评估、风险控制点等。这样就容易给人造成一种错觉:风险管理可以通过内部控制实现,内部控制也是在进行风险管理。那么,是否应该将两者合并考虑?笔者认为,这是十分有害的。诚然,风险和内控应该结合,#p#分页标题#e#但应主要是分析方法的相互借鉴和具体措施的部分重合。如果只讲结合,不进行原则上的划分,就变成了混淆。混淆的后果一方面是不能真正体现内控和风险的本质,从而模糊了两者的目标,难以明确各自的解决途径,给管理的效率、效果和决策的正确性带来困难;二是内控既没有解决所有风险的不利后果,风险管理又难以真正落实到某一具体业务或管理部门,成为它的责任。于是,企业不能有效地对需要风险管理的风险进行专门的研究和管理。
从风险的概念上,很难将其与内控的内容进行划分,那么#p#分页标题#e#,我们可以从风险的性质上将其与内控的内容进行划分,也就是将所有妨碍目标实现的内部、外部的困难、问题,按照其发生的确定性划分为:常规性的、非常规性的和混合性的三类,即确定条件下发生的、不确定条件下发生的、混合条件下发生的三类。
针对不同类型我们应进行不同的管理。一是将常规性事件纳入内控;二是对非常规事件,在内控范围内,只需要设计针对非常规性事件的处理原则,在一定程度上降低风险带来的影响。例如,在企业中可能发生财务危机、意外事故、危害公众事件等,为此我们需要设计非常规事件或危机处理原则,如主要责任部门应在得到报告后几小时之内提出解决方案#p#分页标题#e#,处理需要由哪个部门统一对外口径等。对此类不确定性事件,就需要风险管理,应对危机,以弥补内部控制的不足;三是对企业经营活动中大量存在的既不是常规又不是非常规的混合性事件,应尽可能将其完全或在一定程度上转化为常规事件,从而纳入内部控制。这就需要凭知识和经验,在内控中充分考虑预防、制约混合性事件发生,以及解决混合性事件后果的措施。其中最重要的是预防条款,以防危机于未然。
因此,风险的不确定性既预示着机遇,又可能影响竞争能力、融资能力、外部形象等。而内控预示着稳定、有效的运行#p#分页标题#e#,强调的是评估经营管理活动中突出的、相对稳定的风险,将其转化为控制点,并实施必要的控制活动。
划分内部控制和风险管理,对加强经营管理的针对性及提高经营管理的效率是很有帮助的。我们可以把内控的实质理解为对相对稳定的经营过程的管理,它侧重于通过控制实现管理目标;把风险管理的实质理解为对相对特定的事件、业务领域的不确定性作出的决策,它侧重于评估和决策,并可以进一步量化,以使收益最大化。我们通过把经营中具有一定持续性、稳定性的内部、外部困难和问题纳入内控系统,将相对重要、不确定性强一些的问题作为关键的控制点,以点面结合的方式控制经营始终为管理目标服务#p#分页标题#e#;通过把经营中具有突发性、不确定性的内部、外部困难和问题纳入风险管理系统,用风险分析、评估和特定业务领域的特定方法,支持决策始终为管理目标服务。
我们如何利用内控系统来规避风险?其基本原则就是运用风险评估方法,认识和分析企业整体目标和各层次目标,以及影响这些目标实现的内在和外在因素、发生的概率及可能的后果,并采取相应的控制措施,实现企业目标。具体分析如下:
规避风险首先要研究风险包括哪些具体内容。通常风险主要分为三类:一是战争、自然灾害、经济衰退、通货膨胀、高利率等,是不可分散的市场风险#p#分页标题#e#;二是市场需求、成本过高、技术发展、竞争、信誉、法规政令、信息系统中断、外部环境变化等经营管理风险;三是筹资、投资等财务风险。
按照上述风险的性质分类,比较有利于辨识和分析风险的过程,但要尽可能将风险纳入内控系统内化解,还需要将可能产生这些风险的主观行为和客观条件内化为企业内部的受控行为和受控环节,然后通过风险预警、风险识别、风险评估、风险报告等措施,对风险进行全面防范和控制。例如,对存在市场需求、技术发展、竞争等经营管理风险,影响经营目标实现的重大项目,建立一套完整的市场调研、测试评估、竞争应对机制,就能凭借内控规避风险#p#分页标题#e#,或保证风险决策的正确性。当然,这种方法主要对财务风险和部分经营风险比较有效,因为它们不是对全部企业都产生影响的宏观风险,而是可以通过企业微观经营加以规避、降低的风险。
日常经营中需要受控的风险行为很多,例如:引起财务风险的筹资、投资活动;引起信用风险的客户信用授信、跟踪、限制活动;引起法律风险的合同行为等。对风险防范控制应作为内控中的一项基础性、经常性工作,一方面应对实施带有风险性质行为的部门或岗位,专门做好风险的识别、规避和控制;另一方面直接对这些行为进行控制,如事先可研究或评估、事中权限限制或实时跟踪、事后考核和监督#p#分页标题#e#,以及出现负面后果时的应对措施和预案。
日常经营中需要受控的风险环节也很多,内部控制更应该把风险较大的关键控制点设定在以下位置:(1)资金点。包括企业的筹资、投资活动,资金调度、使用、分配活动等;(2)成本费用支出点;(3)权力使用点。
因此,建立内控就是充分考虑风险后设定一种管理的标准,进行风险管理就是对偏离标准的管理。内控制度设计得越符合实际,企业风险就越小。内控常作为衡量组织风险的基础。
但是,合理而有效的内部控制系统#p#分页标题#e#,最理想也只是实现了科学而全面的管理。它仍然只能为实现经营目标提供合理的保证,而不是绝对的保证。例如,对于重要信息的异地备份,既是内部控制中信息安全性的要求,也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利,正是严格遵循了这一基本要求,其虽置身于世贸大厦88层之高,但在“9·11”事件中,其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是,上述内部控制措施只能防范日常经营中可能的风险,#p#分页标题#e#风险发生后的一切措施和决策则是风险管理的重要内容。
因此,内部控制不等于风险管理,两者不能完全替代。前者是针对日常经营的管理,是实现经营目标的系统保障,只能一定程度上防范风险;后者是针对风险发生的管理,是实现经营目标的特殊程序,可以承担、分散、转嫁、化解风险。
综上所述,无论是企业、事业单位或国家行政机关,都应建立健全内控审计制度。内控审计虽不能完全规避那些不确定性很强的风险,仍需要专门进行风险管理决策。但是#p#分页标题#e#,我们至少可以在决策的基础上建立内部执行、监督、反馈控制和确保决策的安全实施,并把决策风险降到最低程度。清晰了内部控制和风险管理的关系,内部审计就可以根据不同的目标,采用不同的程序,运用不同的方法,两线并行开展工作,将针对内部控制的内控审计和针对风险管理的专项审计同时进行。
