基于COSO框架的增值型审计初探_于伯新
基于COSO框架的增值型审计初探
◆ 于伯新 肖远文 李洁
[摘要] 从增值型内部审计的定义和COSO框架的基本内容入手,分析利用COSO框架构建增值型内部审计体系的可能性,在此基础上初步探讨构建COSO框架基础上的增值型内部审计模式。
[关键词] COSO框架 内部审计 增值
2013年中国内部审计协会发布的《中国内部审计准则第1101号——内部审计基本准则》中将内部审计定义为:“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。”这与《国际内部审计专业实务框架》有关内部审计的定义已完全趋同,这既是建立现代企业的需要,也为内部审计转型提供了一个契机。内部审计增加价值主要表现在两个方面:一是直接价值。内部审计通过确认活动,帮助企业减少或者避免损失,如财务审计发现的不合理的支出、未入账的收入,工程审计的审减额。二是间接价值。通过前移审计关口,提供咨询服务,实现事前、事中的控制,为管理层、综合部门提供建议、风险预警等,间接为企业增加价值。
一、COSO框架概述
COSO内部控制整合框架(以下简称COSO框架)是在美国反虚假财务报告委员会的号召下,由COSO委员会于1992年9月提出并实施的,
2013年5月经过多次修订后,发布了
新的框架内容。按照2013版COSO
框架对内部控制的定义,内部控制
主要是为组织提供合理保证,使其
实现运营、报告和遵循目标的一套
体系。其中运营目标是组织运营的
效果和效率,资产安全不受损失。报
告目标是组织内外部财务和非财务
报告的可靠性、及时性、透明度等。
遵循目标是遵守法律法规和相关制
度规范。2013版的COSO框架提出
了基于内部控制五要素的17项总原
则,其中,控制环境方面主要包括,
组织对正直和道德等价值观做出承
诺、董事会对内部控制的推进与成
效进行监督、管理层围绕战略目标
建立健全组织架构、授权机制、人才
管理等。风险评估方面主要包括,组
织目标设定、风险识别和分析、风险
应对等。 控制活动方面主要包括,通
过控制活动将风险对目标实现的影
响降到可接受水平,并通过合理的
政策制度保证流程程序。信息与沟
通方面主要包括,确保内外部信息
沟通有效,使各执行主体能及时取
得公司经营过程中所需的信息。监
督方面主要包括,实施持续或独立
评估以确认内部控制的有效性、评
价内部控制的缺陷并及时反馈。
二、利用COSO框架构建增值型
内部审计体系的可能性和必要性
(一)构建增值型内部审计体系
的必要性
1.实现大型企业内部审计转型
的必然要求。内部审计经过30多年
的发展,已成为国内大型企业不可
或缺的力量,在查错纠弊、促进管理
等方面做了大量卓有成效的工作,
但大部分审计工作还重在查处问题,
不能满足高层次的管理需要,亟须
向增值型审计转型。
2.与国际接轨和现代审计发展
的需要。要做到国内一流、国际知名
的企业,必须要与国际接轨。国际上
COSO框架的许多理念已经应用到
了企业监管的法规和内部审计规范
中,国内大型企业要走向世界、与国
际接轨,必须要探索建立以COSO框
架为基础的内部审计方式方法。
3. 公司发展和监控的需要。实
施COSO框架既是上市公司监管的
需要,也是国资委对国有大中型企业风险管理的需要,企业要实现健康发展、安全发展和稳定发展,内部控制执行是否有效,是一个关键环节,内部审计作为风险管理的第四道防线,是公司治理和内部控制的主要部门,是保证公司战略目标实现和价值增值的关键部门,构建增值型内部审计体系既是COSO框架的要求,也是公司发展的必然选择。(二)构建增值型内部审计体系的可能性
1.两者工作目标一致。COSO框架和增值型内部审计的工作目标都是为公司运营效率的提高和价值增值服务,这就为依托COSO框架建立增值型内部审计打下了内部控制
整合基础。2.两者工作内容总体一致。COSO框架和增值型内部审计的工作内容都是为公司治理、风险管理和内部控制服务,这就为依托COSO框架建立增值型内部审计打下了工作基础。
3.两者服务对象一致。COSO框架和增值型内部审计都强调既要面向企业外部投资者、债权人和监
管机构,确保符合监管的要求,又要面向企业内部的董事会和管理阶层,
满足企业经营管理决策的需要。这就为依托COSO框架建立增值型内
部审计打下了服务基础。
4.两者报告关注范围一致。COSO框架和增值型内部审计都关注财务报告、市场调查报告、资产使用报告、人力资源分析报告等企业经营管理各方面。这就为依托COSO框架建立增值型内部审计打下了范围基础。
5.两者强化风险管理理念一致。COSO框架和增值型内部审计都
将关注重点放在风险管理方面,都关注公司面临的财务和经营风险,都要结合风险进行评估和报告。这就为依托COSO框架建立增值型内部审计打下了风险管理基础。
三、基于COSO框架的增值型内部审计体系(如图1所示)
(一)控制环境——构建良好的实施增值型内部审计的环境
控制环境是实现增值型内部审计的基础。构建良好的企业文化氛围、完善的治理结构、优秀的内部审计人才队伍,有利于增值型内部审计的实施,为企业增加价值。1.培育“增值型内部审计”理念的企业文化。通过宣传、培训增值
型审计理念,转变公司领导及全体
员工对内部审计的认识,使其认识到:增值型内部审计已从过去着重查处问题,向解决问题、总结经验、推广经验转变;从过去的事后审计向事前审计转变;从过去单一关注财务审计,向关注流程和风险管理审计转变;从过去与被审计单位的检查关系向共赢关系转变。
2.完善治理机构,提高审计工
作的有效性。总部层面,审计要对审
计委员会和管理层双重负责;分公司层面,审计要对集团审计部和地
区公司总经理负责,以保证内部审计的客观性和独立性。
3.提高内部审计人员素质,打好审计增值的人力资源基础。一是大力弘扬审计人员职业操守和道德规范,形成良好的审计文化和审计氛围;二是通过培训、自学等形式,丰富内部审计人员的知识和技能;三是适当引入懂生产运营、法律和信息技术等专业的人才;四是在组织审计组时,抽调生产和管理专家,以缓解审计人员专业能力不强的问题。
(二)风险评估——分阶段评估增值型内部审计风险
评估增值型内部审计风险,是有效实施增值型内部审计的起点。按照审计阶段划分,内部审计风险主要包括审计项目立项风险、审计项目实施风险、审计成果转化风险以及审计日常咨询服务质量风险。
1.评估审计项目立项风险。增值型审计关注项目立项是否围绕着公司经营目标,以风险为指导,为公司经营目标服务。
2.评估审计项目实施风险。增图1
控制环境
值型审计关注项目实施过程中是否做到了降低审计风险、提高审计质量、节约审计成本。
3.评估审计成果转化风险。增值型审计项目关注审计成果是否得到有效转化,能否为公司增值。
4.评估审计日常咨询服务质量风险。增值型审计关注是否能够在日常工作中为各个管理层级提供有价值的建议。
(三)控制活动——制定有效实施增值型内部审计的程序和措施
1.建立以风险为导向的审计项目立项机制。年度内部审计计划应与公司决策风险、公司经营风险联系在一起。国资委要求国内大型企业每年都要编制风险管理年报。在风险管理年报编制的过程中,需要以公司的战略目标、KPI指标等为依据,评估公司第二年面临的重要风险。在内部审计项目立项时,可以结合风险管理年报中评估的重要风险领域,来确定年度审计工作重点。对存在重大经营风险的环节,有针对性地安排专项审计项目,以揭示风险并加以控制和防范。
2.制定审计工作程序和具体流程来贯彻执行统一的标准。各个公司可以制定适合本公司的内部审计工作程序,强调审计工作各关键点的风险及控制措施。如制定统一的审计方案实施模板,可以将审计项目进行分类,对不同类型的项目,制定具体的审计重点和审计方法,提示审计中可能出现的风险。
3.建立审计成果转化机制。适时对审计发现的问题和日常审计咨询时积累的疑点进行风险分析,并向公司各个层级提示风险;对重复发现的审计问题进行综合数据分析,从制度设计上、制度执行上查找问题产生的原因,并形成专题报告和
管理建议书,使审计成果有效转化。
4.建立审计问责和激励机制。
对审计中发现的问题和好的做法进
行分析,对问题责任人进行追责,对
审计中发现的好的做法,进行经验
推广,并纳入业绩考核。
5.建立审计日常咨询服务通
道。与公司管理层决策、各个业务部
门实际操作相结合,从审计的视角
提出日常工作中切实可行的建议,
为公司各个层级服务。
6.适时开展风险预警。事前、事
中要对风险进行持续监控,及时提
示风险,为公司风险应对提供参考,
使审计关口前移,提前控制和规避
风险,促进公司价值最大化和持续
发展。
(四)信息与沟通——建立良好
的信息收集、沟通渠道
信息与沟通是指公司经营管理
所需信息被识别、获取并以一定的
形式及时传递,以便很好地提供审
计咨询意见,提高审计工作效率,节
约审计成本,是有效实施增值型内
部审计的保障。
1.建立完善的信息获得渠道,
包括外部信息和内部信息。一是审
计人员及时、持续不断地获取所需
信息,全面了解公司经营状况及公
司的经营环境,提出有价值的审计
建议。二是及时对收集到的信息归
类,对信息质量持续跟踪,并建立重
要事项台账以记录疑点。
2.建立三个层级良好的审计沟
通机制,将信息有效传递到各执行
主体。一是审计团队之间,建立“日
沟通、周汇报”的沟通机制。审计组
在实施过程中,每天沟通审计过程
中遇到的问题及审计进展;每周对
审计情况进行总结,以便组长掌握
整个审计项目的进度,使项目能按
照计划进行,如遇特殊问题,及时调
整审计方案。二是与被审计单位之
间建立“审计前、审计中、审计后”
的三阶段沟通机制。审计前与被审
计单位沟通,让他们了解审计的职
能、目的和审计过程;审计中及时与
被审计单位沟通审计进展情况,以
便被审计单位及时安排配合人员,
并及时与被审计单位沟通审计意见
和建议,以保证审计结果的客观性
和审计建议的可操作性;审计后建
立“审计结果通报”、“审计整改情况
通报”机制,对被审计单位予以表扬
与督促。三是与公司管理层之间,建
立“审计报告专报”机制。通过“审
计专报”将审计发现及时传递到公
司管理层,为及时有效整改提供组
织保证,为公司管理层提供决策支
持服务。
(五)监督——确保增值型内部
审计实施效果
监督是内部审计增值效果的再
控制,包括以下三方面内容。
1.监控日常风险。内部审计人
员在日常工作中要分析环境和风险
的变化,时时关注风险,检查审计咨
询意见和建议能否得到落实,是否
能控制新的风险,是否需要提出新
的咨询意见和建议。
2.开展审计项目实施过程中的
审计质量监督。派出专家审计组,对
重大审计项目审计过程的执行情况
进行督查。
3.实施审计整改遗留事项的后
续跟踪。在下达审计意见后,审计人
员要对审计问题整改情况进行复查,
看其是否执行审计意见,采纳审计
建议,是否采取合适的纠正行为;对
于整改时间超过半年的事项,建立
审计整改遗留事项的台账,定期跟
基于企业能力的内部控制研究
——本质、目标与方式
◆ 石恒涛
[摘要] 企业的核心竞争力从本质上讲来源于企业所具备的能力,不同企业在经营绩效上存在的差异也是由企业能力的强弱所决定的。本文从企业能力视角对内部控制的本质、目标与方式进行研究,在一定程度上丰富了内部控制理论。
[关键词] 企业能力理论 内部控制 本质
一、问题的缘起与研究切入点
企业内部控制理论产生于20世纪40年代的美国,经过近80年的演化与发展,在理论研究上已经取得诸多成就,并有力地指导了企业内部控制实践。随着内部控制实践的发展,学者们对不同企业内部控制的效率问题进行了考察。企业能力理论认为,企业的核心竞争力从本质上讲来源于企业所具备的能力,而不同企业在销售额、净利润、成本利润率等经营绩效上所存在的差异也是由企业能力的强弱决定的。按照相关规定,上市公司、国有企业均建立了内部控制体系,但许多企业却并未取得预期的效果。由于内部控制体系未能发挥应有的作用,我国企业还普遍存在着严重的
个人独断现象,董事会成了大股东
或董事长的“一言堂”,而企业的命
运也由决策者个人的能力所决定。
上述情况的存在充分说明了企业能
力要素对于企业内部控制效率的独
特意义。因而,要提高企业内部控
制效率,就必须将能力要素作为研
究的重点。那么企业能力视角下内
部控制的本质与目标是什么,基于
企业能力视角的内部控制方式又有
什么不同?本文将对上述问题进行
探讨。
二、基于企业能力的内部控制
本质
所谓本质,是指某一具体事物
的根本属性。讨论某一事物的本质,
即确定该事物“是什么”的问题。从
企业能力的视角来审视,企业性质
将决定内部控制的本质。这是由于
内部控制本身就是一项服务于企业
生产活动的管理规则与内部交易的
治理规则。因此,要明确内部控制的
性质,首先要对企业性质有准确的
把握。以企业能力观点对企业的性
质进行理解,企业就是一个资源与
能力的集合体,而一个企业得以产
生与发展在于它能够创造具有市场
竞争优势的产品或服务。所以,一个
企业是否具有核心竞争优势就在于
该企业能否比市场更有效地组织本
企业的人力资源,充分利用所拥有
的物力资源、财力资源进行更有效
踪审计遗留事项的整改情况。
4.开展后续审计。在遵循重要性和成本效益原则的前提下,适时立项开展后续审计。在后续审计时要特别关注被审计单位审计意见和建议的落实情况,对于普遍性的并且改进效果好的审计建议,将分析
结果和建议提供给管理层以便将审
计建议上升到制度层面,用制度固
化。对于因环境的变化,原有的审计
意见和建议无法整改的,将分析结
果和建议提供给管理层以便改进控
制措施。
(作者单位:中国石油审计服务
中心、中石油北京天然气管道有限
公司、中石油北京天然气管道有限
公司,邮政编码:100028,电子邮箱:
ybxqh@petrochina.com.cn)