随着内部审计职业的发展,内部审计已不局限于开展传统的财务收支审计及合规性审计,它越来越多地渗透到企业的各项业务活动、内部控制和风险管理过程中,并发挥作用,促进组织完善治理、增加价值和实现目标。
据国际内部审计专业实务框架IPPF可知,“内部审计活动必须评估风险管理过程的有效性,并对其改善做出贡献”“内部审计部门必须评估控制的效果和效率,并促进控制持续改进,从而协助组织维持有效的控制”。内部审计应当对财务和运营信息的可靠性和完整性、运营和程序的效率和效果、资产的安全、对法律、法规、政策、程序及合同的遵循情况进行评估。可见,内部审计在企业内部控制中的作用是“评估”,但是如何有效地开展评估工作成为下一个问题。
CSA是组织进行自我评估的一种正式的书面程序,管理层和/或直接参与某项经营职能的工作团队利用它来判断目前所遵循的规范及采用程序的有效性;决定实现某些或所有的经营目标的机会是否得到合理保证。通过它能够使组织的内部控制得到持续完善。内部审计部门应当积极地承担起组织企业开展内部控制自我评估的工作。内部审计部门平时应当在工作过程中关注各项内部控制可能存在的风险漏洞或者效率问题,重大风险及时与相关部门沟通,并向上级报告。重要风险及一般性风险在平时做好记录,包括现行内部控制存在的问题及改进建议,待组织进行内部控制自我评估专题讨论会时与相关管理部门进行讨论。内部审计部门可每年组织开展一次内部控制自我评估。实施程序如下:首先请管理部门评估各自业务及交叉业务中的内部控制情况;其次内部审计部门汇总各部门改善内部控制的意见,并向管理部门反馈汇总的意见;然后内部审计部门邀请相关高级管理人员参加并组织CSA专题讨论会;最后根据讨论意见加上内部审计部门的分析判断,提出完善内部控制的报告。
开展内部控制审计和评价的标准包括财政部等部门发布的《企业内部控制基本规范》《企业内部控制应用指引》等。尽管《企业内部控制评价指引》和内部审计准则《内部控制审计准则》为企业开展内部控制审计和评价工作提供了指引,但是在实践中仍存在操作性的问题。现行内部控制评价指引和准则按照内部控制框架从五要素进行整体评估,发表内部控制设计和运行有效性的结论,侧重于全面的内部控制评价,而全面的内部控制评价涉及的内容非常广泛,仅内部环境要素就包括:组织架构、发展战略、人力资源、组织文化、社会责任等方面,很难逐项建立工作底稿实施评价和审计,发表基于充分审计证据的审计结论。笔者认为比较好的实践是在平常的工作过程中透过常规审计项目实施内部控制审计和开展专项的内部控制审计。3.1在常规审计项目中实施内部控制审计。透过常规审计项目实施的内部控制审计是常规审计项目的一个重要组成部分,将常规项目审计作为一个载体,审计的内容不仅包括财务收支、资产负债和经营状况,更重要的是关注包括导致目前财务和经营状况的内部控制情况。通过对内部控制情况的审计,不仅能够反映审计项目的真实情况,更可能发现导致财务和经营低效的内部控制方面的机制体制性原因,通过对根本原因的提示和解决,使内部审计为企业增加价值。透过常规审计实施内部控制审计比较简单,只需要在审计方案和审计报告中增加与该项目有关的内部控制的内容。因为是项目审计,所以相关的内部控制审计也是专项的,工作量不大,可以建立比较充分的内部控制审计工作底稿,得出有力的业务内部控制结论。3.2开展专项的内部控制审计。专项内部控制审计是在对本组织风险评估的基础上,将风险事项的风险大小从大到小进行排序,选择风险较高的业务领域开展专项内部控制审计。例如实施采购业务内部控制审计、投资项目内部控制审计等专项审计。开展专项内部控制审计要以《企业内部控制基本规范》《企业内部控制应用指引》为依据,在现场审计之前就应在审计方案中明确该项业务主要的风险点和一般的控制措施,现场审计时检查被审计单位对主要风险的识别情况和控制措施的设计和实施情况。专项内部控制审计因为针对性强,所以比透过常规项目实施的内部控制审计能搜集更加充分的审计证据,建立更为充分的审计底稿,同样能够得出有力的专项内部控制审计结论。
[1]张海贤.企业风险控制的研究与实践[J].中外企业家,2018,(07).
[2]莫满军,宋新秀.内部审计与内部控制的融合策略[J].中国内部审计,2018,(04).
[3]王鲁平,杨诗雯,段兴民.内部审计与内部控制的关系研究[J].会计之友,2014,(24).
[4]肖秀丽.内部审计在企业内部控制体系建设中的作用[J].企业改革与管理,2017,(20).
[5]IIA.国际内部审计专业实务框架[M].中国内部审计协会译.北京:中国财政经济出版社,2017.
[6]中国内部审计准则释义编写组.中国内部审计准则释义[M].北京:中国时代经济出版社,2014.