- 相关推荐
内部审计在企业内部控制评价中的应用研究
一、内部审计与内部控制的关系
企业内部控制是指企业内部为实现经营目标,保证资产完整以及对国家法律、法规的遵循,提高组织运营效率和效果而采取的各种政策和程序。企业内部控制不是一个简单概念,而是一个有着丰富内容的管理信息系统,是为了满足管理者内部管理,控制、化解各种风险,防止管理失效、失控甚至失败的综合治理工程。我国现行《企业内部控制基本规范》将企业内部控制分为控制环境、风险评估、控制活动、信息与沟通、监督五个要素,五个要素相互制约、相辅相成(见图1),其中监督是保证,起关键作用,包含内部审计。内部审计与内部控制的关系表现为:(1)具有同一性。内部审计的主要作用和工作内容之一是审查和评价内部控制及其控制系统设计和内部控制制度的健全性以及监督内部控制运行的有效性,并反作用于内部控制系统,促进内部控制目标的实现。同时,内部审计工作和完善的内部审计机制是内部控制的组成部分和重要手段。(2)完善的内部控制是内部审计有效发挥作用的基础。内部审计是在对内部控制了解的基础上制订审计计划,然后通过对内部控制测试确定审计重点以及实质性测试的范围、时间和程序,进一步调整和修正审计计划。只有建立在完善的内部控制基础上的内部审计,才是有效的内部审计。因此,内部审计与内部控制两者在产生渊源、作用和目的、理论基础与假设、发展历程上存在千丝万缕的联系,研究企业内部控制理论、做好企业内部控制评价,离不开内部审计。
二 内部审计在企业内部控制评价中的作用的调查及分析
为全面了解内部审计在企业内部控制评价中的现状与作用,课题组对广西壮族自治区部分企业进行了实地调研。调研涉及工业、商业、金融业等产业,既有上市公司也有非上市公司。调研主要采取与典型样本(企业)内部审计人员座谈和发放调查问卷等方式,并选取比较有代表性和相关性的典型样本数据进行总结、分析、比较。
1、现状描述。通过对调查样本的分析,得出如下初步认识:(1)关于内部控制评价指标体系健全性,调查样本中,72.72% 企业认为内部控制评价指标及标准部分健全,18.18%企业认为内部控制评价指标及标准比较健全,9.09%企业认为内部控制评价指标及标准不够健全。(2)关于内部控制评价必要性,调查样本中,63.64%企业认为实施内部控制评价主要是满足法规及企业内部管理的双重需要,27.27%企业认为实施内部控制评价主要是为了满足企业内外监管要求,9.09% 业认为实施内部控制评价只是出于企业内部管理的需要。(3)关于内部控制评价法律依据,调查样本中,45.46%企业认为内部控制评价适用的法规主要是((企业内部控制基本规范》,27.27%企业认为内部控制评价适用的法规主要是财政部内部会计控制规范、上海证券交易所的《上市公司内部控制指引》;9.09%企业认为内部控制评价适用的法规是财政部内部会计控制规范、SOX法案404条款,9.09%企业认为内部控制评价适用的法规是上海证券交易所的《上市公司内部控制指引》,9.09%企业认为内部控制评价适用的法规是SOX法案404条款。(4)关于内部控制评价指标及标准的可操作性,调查样本中,9.09%企业认为很强,63.64%企业认为比较强,27.27% 企业认为一般。(5)关于企业内部控制评价效果性,调查样本中,72.73%企业认为比较好,18.18%企业认为一般,9.09%企业认为很好。
2、存在问题。调查结果反映,内部审计在内部控制评价实践中主要存在以下问题:(1)推动力不足,企业管理层对内部控制评价工作重视不够,内部审计在企业内部控制评价中尚未起到导向作用。(2)在内部控制评价系统的建立、执行及维系中,问题比较突出的是,绝大部分企业没有完整的内部控制评价体系;没有专职部门与人员负责内部控制评价;没有建立动态的内部控制评价指标体系,内部控制评价指标体系不能随着企业经营业务变化和企业发展而不断修正与完善;企业内部组织结构或业务更新变化较快,内部控制流程调整和评价相对滞后;没有建立内部控制评价报告制度,未能发挥评价结果的预警作用。(3)人员素质有待提升,企业全员参与不足,员工积极性不高,未形成独具特色的合规企业文化;员工素质参差不齐,对问题的识别和评判不同,形成不同衡量尺度,影响内部控制评价效果;部门利益的冲突使内部控制出现评价风险等。(4)内部控制评价的监督、考核机制不到位,缺乏监督部门,制度实施不到位和未开展定期评价等。(5)内部控制评价手段落后,企业利用信息技术实施内部控制评价还刚刚起步,在许多技术方面仍存在问题。
三、企业内部控制评价指标体系的构建
(一)构建原则
1、服务于企业战略目标的原则。内部控制评价作为内部控制监督的主要内容,是内部控制五要素中不可缺少的部分,是内部控制设计合理性和执行有效性的“最后一道防线”,也是合理保证内部控制有效性、促进内部控制不断改进的重要手段。因此,企业应通过实施内部控制评价程序,发现内部控制缺陷,评价内部控制设计的合理性和执行的有效性,提出改进建议并跟踪建议的实施,增强内部控制的活力,实现内部控制良性循环,从而更好地服务于企业战略目标。
2、“自律”和“他律”相结合的原则。内部控制评价作为内部控制设计合理性和执行有效性的重要保证,具有评价的全面性、全员性、全过程性等特点,因此,建立内部控制评价体系应以“自律”为主、“他律”为辅,“自律”和“他律”相结合,两者相互促进,共同实现内部控制评价总目标。
3、评价形式多样性原则。(1)日常评价和专项评价。Et常评价是对内部控制的建立与实施情况进行常规、持续的评价检查;专项评价是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一方面或者某些方面进行有针对性的评价。(2)定期评价和不定期评价。定期评价是根据内部控制的设计和执行情况,按一定间隔期对内部控制进行的独立评价,并出具评价报告。不定期评价一般是在企业战略、经营业务、组织结构、业务流程等发生重大变化的情况下,或在暴露风险因素、内部控制缺陷的情况下,对内部控制设计的合理性和执行的有效性进行的评价,并出具评价报告。(3)事前评价、事中评价和事后评价。事前评价是在内部控制设计完成但尚未正式运行阶段实施的、着重于对内部控制设计的合理性进行的评价,经过事前评价的内部控制将成为事中评价和事后评价的标准。事中评价是在内部控制运行过程中实施的、着重于对内部控制设计的合理性与执行的有效性进行的评价,其目的是及时发现运行中存在的问题并予以纠正,把问题控制在萌芽阶段。事后评价是在业务执行完毕后对内部控制设计的合理性与执行的有效性进行评价,其目的是通过分析、总结,完善内部控制制度设计和提高执行的有效性。
4、层层把关原则。包插控制执行部门的自我评价关;内部审计部门的独立评价关;企业外部部门的外部评价关。通过控制执行部门的自我评价,促进控制执行部门及其人员明确自身的责任,加强对内部控制的理解,有利于内部控制的有效执孑=亍;通过内部审计的独立评价,客观、公允地提出内部控制设计和执行中的缺陷,有利于改进内部控制制度设计的合理性,提高内部控制执行的有效性,同时,还对控制执行部门自我评价进行再把关;通过外部部门如会计师事务所的外部评价,对内部控制制度建设的状况进行鉴证,同时,发挥着对前两道关口再把关的第三道关作用,具体如图2所示。
5、成本效益原则。建立内部控制评价体系应遵循成本效益原则,不能为了评价而评价。在明确评价目标、达到评价效果的前提下,应根据企业经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定评价方式、范围、程序和频率,降低评价成本,提高评价效益。
(二)评价主体及评价内容《企业内部控制评价指引》第七条指出,企业可以授权内部审计部门负责组织和实施内部控制评价工作。企业可以依据该指引选择内部审计作为评价主体。同时,内部审计部门相对独立,并且熟悉企业风险管理程序和经营情况,具有不可取代的优势。在评价过程中,内部审计可以依据中国内部审计协会发布的《内部审计具体准则第5号—— 内部控制审计》的有关内容获取充分、有效的评价证据,形成评价工作底稿,支撑评价结果,保证评价结果的公允性和合法性。评价内容主要包括内部控制设计有效性和运行有效性两个方面。设计有效性是指为实现企业战略目标所必需的内部控制要素都存在且设计恰当;运行有效性是指现有内部控制制度是否按照规定程序得到正确执行。
(三)内部控制评价指标体系内部控制评价指标体系由企业内部控制评价范畴内有关事项相互联系、相互制约而形成的一个内涵与外延相统一的有机系统,既能反映理论的前瞻性,又具有指导评价实践的可操作性,符合内部控制评价原则和要求。内部控制评价指标体系应符合完整性、合理性和有效性的要求,有效性以完整性与合理性为基础,完整性与合理性以有效性为目的。现采取综合评分法和层次分析法,运用模糊综合评价模型设计内部控制评价指标体系,包括总体评价指标和具体评价指标两部分内容。假设内部控制评价为N,内部环境为F,风险评估为P,控制活动为K,信息与沟通为x,内部监督为J,则内部控制评价的数学表达式如下:
首先,建立内部控制评价因素集取德斐尔法,即根据各指标在评价中的作用大小赋值,具体见图3。最后,计算得出评价结果,分为有效、基本有效、无效三个档次。有效是指评价指标值≥8O分,且只允许一个指标分值稍低,并不能低于该项分值的80%,二者缺一则降一个等级;基本有效是指评价指标值为6o分≤指标值<80分,说明在重要业务领域,均制定了相应的内部控制制度,并且基本适应企业业务发展和风险防范的需要,但部分内部控制设计的操作性不强或内部控制运行有效但个别业务领域和管理环节内部控制缺失;无效是指评价指标值<60分,说明内部控制设计存在严重缺陷,重要业务领域或操作环节缺乏相应的内部控制,潜在风险已影响企业的生存与发展。
(四)评价程序与方法
1、制订评价方案。内部审计应当负责制定评价方案并在制订评价方案中充分考虑评价人员知识结构和能力水平、评价原则是否遵循风险导向和自上而下原则、评价范围是否包括企业分支机构、重要业务单元、重点业务领域和业务环节或流程、评价指标和评价标准的可行性及获取评价证据方式等内容。
2、实施评价工作。内部审计应当根据评价方案实施评价工作,在评价工作中通过个别访谈、调查问卷、比较分析、标杆企业、穿行测试、抽样和实地查验等方法收集、确认、分析相关评价信息,以获取充分、相关、可靠的评价证据,对内部控制有效性进行评价并作出书面记录,形成评价工作底稿。
3、出具评价报告。内部审计应当针对内部控制具体情况,结合评价过程中发现的内部控制重大缺陷、重要缺陷或设计缺陷和运行缺陷,出具内部控制评价报告。报告内容主要包括评价主体、评价内容、评价标准和缺陷类型及解决措施等,并向企业董事会、监事会和管理层报告。
(五)评价应用的检验选取有代表性的企业进行内部控制评价检验。为了便于分析,将检验样本分为上市公司和非上市公司两类,评价结果采取算术平均数确定,具体如表1所示。
上市公司内部控制评价一级指标中,控制环境为28分,风险评估为I9分,控制活动为l8分,信息与沟通为I1分,监督为7分,总得分为83分,说明企业内部控制设计与执行有效,重要业务领域均制定了相应的控制制度且操行性强,能够适应企业业务发展和风险防范的需要;非上市公司内部控制评价一级指标中,控制环境为8.5分,风险评估为16分,控制活动为13分,信息与沟通为10分,监督为6分,总得分为53.5分,说明企业内部控制设计与执行有效性不足,内部控制设计存在严重缺陷,重要业务领域或操作环节缺乏相应控制,潜在风险已影响企业的生存与发展。可见,上市公司与非上市公司比较,上市公司的内部控制设计及运行较非上市公司更为有效,两者最大的差距在于控制环境、风险评估和控制活动,特别是控制环境,具体如所示。
四、强化企业内部控制评价的建议
1,加强政策引导。虽然 企业内部控制基本规范》已经发布实施,《企业内部控制评价指引》(征求意见稿)也已经出台,但由于企业普遍存在风险意识淡薄问题,因此,相关方面及管理部门应加大宣传力度,引导企业规范内部控制,树立风险管理意识,积极推动《企业内部控制基本规范》在上市公司以外的更多企业实施。
2、改善内部控制环境。从检测结果看,非上市公司较上市公司最大的差距在于内部控制环境,因此,企业应加强治理结构的建设,建立合理的职责分工和制衡机制,成立具备专业素质和独立性的内部控制组织和内部审计机构,努力培育健康向上的企业文化,加强法制教育,制定并实施有利于企业可持续发展的人力资源政策,切实提高员工素质。
3、重构内部审计体系。可以按照现代企业制度要求,参考图5搭建内部审计组织构架。同时,将公司治理、内部控制和内部审计结合起来,形成完整的内部审计监督与评价机制,将提高企业经济效益作为内部审计追求的目标,将管理作为内部审计的切入点,积极发挥其在内部控制中的监督职能作用和通过评价内部控制有效性为董事会、经营层提供决策依据和建议,以提高内部控制制度运行的效果和效率。此外,应修改完善企业内部控制制度,内部审计应按照《企业内部控制基本规范 主要内容,参照《企业内部控制评价指引 (征求意见稿)并结合企业内部控制现状,制定内部控制评价细则,并付诸实施,不断完善评价指标体系,形成适应本企业的内部控制评价指标体系。通过实施内部控制评价程序,发现内部控制缺陷,评价内部控制设计的合理性和执行的有效性,提出改进建议并跟踪建议的实施,增强企业内部控制的活力,实现内部控制良性循环,从而更好地服务于企业战略目标。
中国硕士论文网提供大量免费工商管理硕士论文,如有业务需求请咨询网站客服人员!
【内部审计在企业内部控制评价中的应用研究】相关文章:
内部控制审计评价初探06-03
企业内部控制失控的表现03-29
企业内部控制不可或缺06-02
企业内部控制失控的原因分析08-09
建立内部控制审计与组织效率06-03
电网企业内部审计文化构建05-02
浅谈内部审计风险控制(精选7篇)04-26
构建电网企业内部审计文化探索08-27
浅谈企业内部管理审计的论文08-27
民营企业内部审计问题分析08-02