内部控制审计实践
2016-04-27余志坚陆怀华王中强
■余志坚 陆怀华 王中强 韩 翔 王 朔
内部控制审计实践
■余志坚陆怀华王中强韩翔王朔
【摘要】内部控制体系作为支撑企业规范有效运转的基础之一,越来越受到社会关注。本文介绍的是江西洪都航空工业集团开展内部控制审计的一些做法,通过建立分层分类的管理组织,以目标为导向,以标准化控制为对标基础,以风险控制矩阵为工具,经过内部控制管理情况自查、内部控制审计人员抽查、缺陷确认、督促缺陷整改等流程,实现内部控制审计目标。通过内部控制审计,企业的内部控制管理得到进一步改善。
【关键词】内部控制;审计;实践
完备的体系,高效的机制会赋予企业领先业界的强大动力和源源不断的创新活力,内部控制体系作为支撑整个企业高速、安全运转的重要支柱之一,从机构设置、职责分工、制度与流程管理、工作规范多个层面覆盖了企业从战略规划、科研生产、销售管理到客户服务的企业产品全价值链经营管控过程。江西洪都航空工业集团公司自2011年起,主产品从三代机向四代机转换,企业管理全面进入转型升级期,通过2011年管理提升年、2012年质量提升年、2013年科技提升年连续三年的企业变革,企业内控体系已经实现了升级换代,运营管控能力有了长足的进步,但新的管控体系是否存在缺陷和不足,是否适应企业实际,是否能有效保障企业经营目标的实现,需要内部控制审计的有效诊断和科学建议。
一、构建内部控制审计模型
内部控制审计对象可以是整个企业内部控制体系,也可以是对某个业务域内部控制体系。开展内部控制审计对于内部控制更好地发挥其风险防控职能,实现企业战略具有重要的促进作用。考虑内部控制审计的专业性和具体业务的技术性,江西洪都航空工业集团公司构建了以业务域为划分的专业内控管理组,以目标为导向,以标准化控制为对标基础,以风险控制矩阵为工具,通过对内部控制管理情况自查、内部控制审计人员抽查、缺陷确认、缺陷整改等流程,实现内部控制改进目标。
内部控制审计工作模型
二、开展内部控制审计的主要做法
(一)统筹协同,开放共享,分层分类组织推进。
鉴于内部控制审计是对企业经营班子认定的内部控制体系的有效性进行审计并发表意见,公司内控审计明确受董事会所属内审委员会领导,审计部门牵头实施。
内部控制体系全层级覆盖了企业的全价值链各个经营环节,内部审计部门从人员到业务能力难以满足独立开展全体系内控审计工作的要求,因此,公司按照业务域成立专业风险内控管理工作组,实行内部控制分类管理,工作组负责专项风险内控管理的统筹规划和组织实施、检查、完善,组长由主管业务副总经理担任,常务副组长由相关业务主管副总师担任,成员由相关业务单位主管领导担任,各工作组下设该业务域跨部门专家组,在业务牵头单位组织下推进各专项业务的内控审计工作。开展内控审计期间,各专业风险内控管理工作组所属业务团队在根据审计部统一部署开展工作,为审计工作组提供专业支持。
(二)聚焦热点、找准关键,致力提升管控短板。
内部控制审计工作过程是对企业现有的内部控制系统的设计、实施及运行的结果进行调查、测试、分析、评价,进而对其内部控制管理状态作出审计结论的系统性活动;公司开展一次内部控制审计周期一般不超过三周,要在如此短暂的时间通过内部控制审计有效推进企业内部控制管理水平,难度很大;如何确定工作重点,使内部控制审计发挥最大的效益,成为一个需要深入思考,逐步解决的问题。我们的做法是,全面梳理企业核心业务流程,同时围绕组织战略明确中长期工作目标,通过目标牵引,制定中长期整体工作规划;在此基础上,聚焦企业当前热点、难点、焦点问题,分解工作规划,明确阶段性任务重点,以保证工作的重要性、及时性和持续性;通过集中力量解决当期关键业务短板,助推企业管理能力快速提升。为有效评价公司关键业务域内部控制设计与运行的有效性,及时发现内部控制中存在的缺陷并整改,持续提升公司风险防范能力和内部控制水平,保障公司持续健康发展,公司根据企业重点业务特点梳理出重要业务流程133条,重点业务范围包括:组织架构、战略规划、人力资源、股东权益、经营业绩考核与评价、采购业务、工程项目、销售业务、存货管理、财务管理等27项,明确实施内部控制评价要点及内容526处。2014年,公司在全面推进保障财报真实性、完整性内控审计的同时,重点围绕投资企业管理、采购管理业务开展内部控制审计业务,通过后期整改,基本实现了预期效果。
(三)开放视角,贴合实际,合理选用内控审计方法。
编制内控审计工作方案要合理选用内控审计工作推进方式。我们认为,当前内控审计常用推进方式一般有按业务过程检查评价审计、按部门检查评价审计两种。按业务过程检查评价审计,一般按业务域分工,依托业务流程逐步推进,全价值链排查,可有效避免部门间业务流内部控制的重叠和空白,但这个过程往往会涉及多个部门,组织不好容易出现多个审计工作组重复到同一部门开展工作的现象;以部门为中心的检查评价审计,工作效率相对较高,但由于一个部门往往涉及多个业务的多个过程,如果准备不充分、掌握不细致,容易发生重复或疏漏现象,这要求在审计工作组织阶段充分考虑到过程间的相关性,对内控审计各小组的内部沟通和配合提出较高的要求。
另外,内控审计还可按业务方向采取顺向追踪、逆向追溯工作方式。顺向追踪是按照内控体系过程的实施运行顺序进行审计的方式,从控制文件的内容查到实施情况,可以系统地了解业务控制设计的有效性,这种方式可以系统地了解内控体系的整个过程,查证跨部门接口及其协调性,但耗时较长;逆向追溯通过反方向审计内部控制设计和实施过程存在的问题,这种方式针对性强,工作效率高,容易发现当前业务核心矛盾,但可能导致审计评价结果不够全面。
公司开展内部控制审计业务期间,根据具体审计业务规模、周期要求等特点、结合对该业务了解程度,合理选用审计工作,科学编制内控审计工作方案;公司内控审计围绕业务链循序开展,通过工作组内部协调,避免对同一部门的长期进驻;在开展全面内控审计期间,对重点业务域采取顺向追踪审计,全面排查;对非重点业务域以顺向追踪抽查为主,同时围绕未完成KPI值及上年度发生相关风险事件实施逆向追溯审计,保证审计工作“性价比”最优。
(四)目标牵引,多维考量,科学判定内控缺陷标准。
评判内控缺陷标准设定是否合理是内部控制审计的重要工作之一,公司依托中航工业内控缺陷评价标准模板,围绕企业战略目标、经营目标的实现,结合公司实际,多维考量,努力推动内控缺陷标准设置最优化。
根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,尤其是当前航空城建设及企业制造能力转型升级期特点,研究确定了适用于本公司的内部控制缺陷具体认定标准,公司确定的内部控制缺陷认定标准:
财务报告内部控制缺陷认定标准
a.公司确定的财务报告内部控制缺陷评价的定量标准如下:
缺陷级次 资产总额 营业收入总额 税前利润重大缺陷 错报≥资产总额的0.5% 错报≥营业收入总额的1% 错报≥利润总额的5%重要缺陷 资产总额的0.3%≤错报<资产总额的0.5%利润总额的3%≤错报<利润总额的5%一般缺陷 错报<资产总额的0.3% 错报<营业收入总额的0.5% 错报<利润总额的3%营业收入总额的0.5%≤错报<营业收入总额的1%
注:采取孰低原则作为缺陷的判断标准
b.公司确定的财务报告内部控制缺陷评价的定性标准如下:
缺陷等级 定性标准重大缺陷1.公司董事、监事和高级管理人员舞弊。2.公司更正已发布的财务报告。3.注册会计师发现的当前财务报告存在重大错报,而内部控制运行过程中未能发现该错误。4.公司审计委员会和内部审计机构对内部控制的监督无效。重要缺陷1,未建立反舞弊程序和控制措施。2.未按照公认会计准则选择和应用会计政策。3.对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。4.注册会计师发现的当前财务报告存在重要错报,而内部控制在运行过程中未能发现该错误。一般缺陷 不构成重大缺陷和重要缺陷的内部控制缺陷。
非财务报告内部控制缺陷认定标准
a.公司确定的非财务报告内部控制缺陷评价的定量标准如下:
缺陷级次 资产总额 营业收入总额 税前利润重大缺陷 错报≥资产总额的0.5% 错报≥营业收入总额的1% 错报≥利润总额的5%重要缺陷 资产总额的0.3%≤错报<资产总额的0.5%利润总额的3%≤错报<利润总额的5%一般缺陷 错报<资产总额的0.3% 错报<营业收入总额的0.5% 错报<利润总额的3%营业收入总额的0.5%≤错报<营业收入总额的1%
注:采取孰低原则作为缺陷的判断标准
b.公司确定的非财务报告内部控制缺陷评价的定性标准如下:
缺陷等级 定性标准重大缺陷1.缺乏民主决策。2.决策程序导致重大失误。3.违反国家法律法规,并可能由此影响公司可持续经营的。4.中高级管理人员和高级技术人员流失严重。5.媒体频现负面新闻,涉及面广。6.重要业务缺乏制度控制或制度体系失效。7.内部控制评价发现的重大缺陷未能得到整改。重要缺陷1.民主决策程序存在但不够完善。2.决策程序导致出现一些失误。3.违反企业内部规章,形成损失。4.关键岗位业务人员流失严重。5.媒体出现负面新闻,波及局部区域。一般缺陷1.决策程序效率不高。2.违反内部规章,但未形成损失。3.一般岗位业务人员流失严重。4.媒体出现负面新闻,但影响不大。5.一般业务制度或系统存在缺陷。6.一般缺陷未达到整改。7.存在其他缺陷。
(五)对标梳理,多方验证,正确做出内控审计结论。
公司对标上级集团公司及行业内标杆企业参考国际内控控制相关准则,制定了相对完善的内控控制工作规范,开展内部控制审计期间,以风险管理为导向,对标工作规范,以制度、流程梳理为抓手,以重大风险应对、关键点控制为审计重点,逐级排查内部控制缺陷。由于在内控审计结论确认方面,基于财报的可量化缺陷相对容易得到认可,但基于非财报的内控缺陷中,对非财报内控设计有效性缺陷的认定,被审计方往往会东一条、西一点的从各个制度、流程、工作规范中抽取一些材料,以图支撑其内控有效的论点;同时由于难以量化,被审计方往往对内控缺陷等级认定也存在不同的理解,给内控审计结论的确定带来困难,为解决该工作难点,公司审计部一是借助各业务域专家组力量,弥补审计团队专业知识不足的缺陷,通过多角度充分论证大幅提升审计结论质量;二是强化审计人员客观意识,避免因脱离企业实际,忽视实际控制效果,过度强调内部控制系统化整合要求。
(六)循序整改,跟踪归零,保障实现内控审计目标。
积极落实内控缺陷审计整改,确保整改到位。公司对上一年度内控审计中发现的内控缺陷,制定整改计划,明确整改目标,布置整改任务及里程碑节点,落实责任人,跟踪整改进度,报告整改结果。并按期检查内控审计缺陷整改工作,对未完成重大重要缺陷整改工作的,逐级上报,说明原因,由审计部门组织考核打分,考核结果列入公司组织绩效考核体系一并奖惩。
(七)多方培养,双向交流,积极打造内控管理团队。
为了更好地开展内控审计工作,公司加强内审培训、内部研讨与交流,注重审计文化宣传,陶冶审计人员情操,加强内控审计工作机构和队伍建设。内控审计机构和人员是内控审计工作的基础,是审计主体责任的重要体现。公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力;鼓励风控岗位和业务岗位的双向交流,优化队伍结构,保障全面风险管理和内部控制工作的有效推进。同时在公司内控管理办公室的高度重视下,采取洪都大学堂、多媒体宣传、知识竞赛等多种形式,进行公司一级、二级培训,为各专业风险内控管理工作组、各业务单位培养风险内控管理专业人才;同时加大检查力度,对于发生重大风险事件的单位,反查其工作机构和队伍建设是否到位,落实相关领导责任,进而推动内控审计队伍建设,发挥相关业务人员工作效能。
(八)集成功能,健全系统,积极探索信息化审计工具。
公司自2013年起,研究建设风险内控(IC-ERM)信息系统,部分功能已逐步投入使用。IC-ERM信息系统在业务上遵循《企业内部控制评价指引》,在技术上基于流程引擎、表单引擎、文档引擎三大基础引擎,围绕“内控评价-缺陷分析-缺陷整改”评价过程,提供了对内控体系进行工作底稿自我测试、管理层测试、缺陷分析、缺陷跟踪等业务的全面监督,从不同角度自动产生统计和分析报告,并在系统初始化的业务规则基础上,提供了对签署流程、表单模板、表单底稿、文档模板进行灵活再定义的功能,在评价过程中不同签署环节,可借助业务建模、项目管理、访谈工具、缺陷识别等工具开展和落实评价工作,最终达到对企业内部控制和风险管理的有效监督。
2014年,公司主要运用该系统进行了固定资产投资业务域部分的内部控制审计,从工作结果看,借助IC-ERM信息系统不仅为内控审计工作提供了多样化的选择工具,由于IC-ERM信息系统实现了“零散信息集中化,概念信息具体化,时效信息控制化”的目标,大幅缩短了内控审计周期,提高了审计效率。当前,公司还正在为内控审计工作与信息化更加广泛的结合开展积极探索,不仅包括风险内控信息IC-ERM系统,还充分考虑和其他信息系统在内控审计的功能对接,如:公司流程管理信息系统(ARIS)是专门针对“流程设计”的梳理、展示平台,在内控审计管理工作中可以有效检验其设计是否有效;公司流程落地信息系统的开发是针对固定资产投资业务域全链条的线上执行,这种无纸化的线上运行可以充分检验业务执行是否有效。类似以上两个信息系统在公司内控审计中的应用还有很多,信息化不仅为日常办公提供了便利,更为审计部门在内控审计工作中检查业务的设计和执行有效性时提供了可靠的依据。
三、内部控制审计工作取得的成效
(一)企业管理水平和抗风险能力进一步提升。
近年来,通过内控审计推动,公司持续从战略绩效管理、财务管理、生产管理、人力资源管理等多方面强化管理,提升管理水平。在战略绩效管理方面,2014年,公司修改完善了177个绩效指标,2015年又新增绩效指标248个;在财务管理方面,公司全年节约费用8 000余万元;在生产管理方面,公司持续强化指令性计划管理,全年零件指令性计划完成率达99.61 %;在管理创新方面,AOS生产制造模块试点工作稳步推进,精益改善项目取得积极成效;在2014年,公司内控审计共发现缺陷XX项,现均已整改完成,内部控制水平的提升无疑为各项管理成果的实现提供了保障。
(二)企业阶段性经营目标顺利实现,经济效益显著。
公司紧紧抓住经营目标,统筹做好科研生产经营各项工作,圆满完成了年度经营目标。营业收入同比增长14.8%,工业总产值同比增长54.31 %,工业增加值同比增长13.31 %,利润总额同比增加1 589万元。内部控制审计是企业目标实现的助推器,为企业战略目标的实现保驾护航。
(三)助推培养了一批管理人才,促进营造良好风险内控文化氛围。
近年来,公司高度重视内审机构建设和专业人才配备工作,不断提升内审人员的胜任能力。公司举办了多次风险内控知识培训,发表多篇风险内控文化宣传报导,从思想上、知识结构上培养一批风险意识强、业务缺陷辨别能力高的人才队伍,以风险内控方法查找内部控制中存在的问题,强化内控缺陷整改,达到提升内控管理水平的目的。
结语
根据国资委对中央企业开展内部控制评价工作的要求,江西洪都航空工业集团公司不断探索内部控制评价与内部控制审计工作,在实践中探索出内部控制自评价与对重点业务域开展内控审计相结合的工作模式,并建立和完善了内控审计的工作模版和评价标准等。通过几年实践,逐渐形成了通过内控审计,查找内控缺陷,开展缺陷整改,实现管理提升的管理模式,为企业发展提供了基础保障。
参考文献
[1]郝振平.coso委员会新版《内部控制整合框架》的主要内容和实施策略[J].Theory理论,2014.
[2]杨书怀.全面风险管理框架与内部控制整体框架的比较分析[J].财会通讯(学术版),2005,(11):13-15.
[3]吴水澎.萨班斯法案、COSO风险管理综合框架及其启示[J].学术问题研究(综合版),2006,(2):36-45.
[4]李连华.我国内部控制理论研究及其研究路线[J].财经论丛,2007,(6):63-69.
[5]财政部会计司.企业内控控制规范讲解[M].经济科学出版社,2010.
(作者单位:江西洪都航空工业集团有限责任公司)
