一、内部审计与内部控制的关系 企业内部控制是指企业内部为实现经营目标,保证资产完整以及对国家法律、法规的遵循,提高组织运营效率和效果而采取的各种政策和程序。企业内部控制不是一个简单概念,而是一个有着丰富内容的管理信息系统,是为了满足管理者内部管理,控制、化解各种风险,防止管理失效、失控甚至失败的综合治理工程。我国现行《企业内部控制基本规范》将企业内部控制分为控制环境、风险评估、控制活动、信息与沟通、监督五个要素,五个要素相互制约、相辅相成(见图1),其中监督是保证,起关键作用,包含内部审计。内部审计与内部控制的关系表现为:(1)具有同一性。内部审计的主要作用和工作内容之一是审查和评价内部控制及其控制系统设计和内部控制制度的健全性以及监督内部控制运行的有效性,并反作用于内部控制系统,促进内部控制目标的实现;同时,内部审计工作和完善的内部审计机制是内部控制的组成部分和重要手段。(2)完善的内部控制是内部审计有效发挥作用的基础。内部审计是在对内部控制了解的基础上制订审计计划,然后通过对内部控制测试确定审计重点以及实质性测试的范围、时间和程序,进一步调整和修正审计计划。只有建立在完善的内部控制基础上的内部审计,才是有效的内部审计。因此,内部审计与内部控制两者在产生渊源、作用和目的、理论基础与假设、发展历程上存在千丝万缕的联系,研究企业内部控制理论、做好企业内部控制评价,离不开内部审计。 图一 企业内部控制五要素关系
二、内部审计在企业内部控制评价中的作用的调查及分析 为全面了解内部审计在企业内部控制评价中的现状与作用,课题组对广西壮族自治区部分企业进行了实地调研。调研涉及工业、商业、金融业等产业,既有上市公司也有非上市公司。调研主要采取与典型样本(企业)内部审计人员座谈和发放调查问卷等方式,并选取比较有代表性和相关性的典型样本数据进行总结、分析、比较。 1、现状描述。通过对调查样本的分析,得出如下初步认识:(1)关于内部控制评价指标体系健全性,调查样本中,72.72%企业认为内部控制评价指标及标准部分健全,18.18%企业认为内部控制评价指标及标准比较健全,9.09%企业认为内部控制评价指标及标准不够健全。(2)关于内部控制评价必要性,调查样本中,63.64%企业认为实施内部控制评价主要是满足法规及企业内部管理的双重需要,27.27%企业认为实施内部控制评价主要是为了满足企业内外监管要求,9.09%企业认为实施内部控制评价只是出于企业内部管理的需要。(3)关于内部控制评价法律依据,调查样本中,45.46%企业认为内部控制评价适用的法规主要是《企业内部控制基本规范》,27.27%企业认为内部控制评价适用的法规主要是财政部内部会计控制规范、上海证券交易所的《上市公司内部控制指引》;9.09%企业认为内部控制评价适用的法规是财政部内部会计控制规范、SOX法案404条款,9.09%企业认为内部控制评价适用的法规是上海证券交易所的《上市公司内部控制指引》,9.09%企业认为内部控制评价适用的法规是SOX法案404条款。(4)关于内部控制评价指标及标准的可操作性,调查样本中,9.09%企业认为很强,63.64%企业认为比较强,27.27%企业认为一般。(5)关于企业内部控制评价效果性,调查样本中,72.73%企业认为比较好,18.18%企业认为一般,9.09%企业认为很好。 2、存在问题。调查结果反映,内部审计在内部控制评价实践中主要存在以下问题:(1)推动力不足,企业管理层对内部控制评价工作重视不够,内部审计在企业内部控制评价中尚未起到导向作用。(2)在内部控制评价系统的建立、执行及维系中,问题比较突出的是,绝大部分企业没有完整的内部控制评价体系;没有专职部门与人员负责内部控制评价;没有建立动态的内部控制评价指标体系,内部控制评价指标体系不能随着企业经营业务变化和企业发展而不断修正与完善;企业内部组织结构或业务更新变化较快,内部控制流程调整和评价相对滞后;没有建立内部控制评价报告制度,未能发挥评价结果的预警作用。(3)人员素质有待提升,企业全员参与不足,员工积极性不高,未形成独具特色的合规企业文化;员工素质参差不齐,对问题的识别和评判不同,形成不同衡量尺度,影响内部控制评价效果;部门利益的冲突使内部控制出现评价风险等。(4)内部控制评价的监督、考核机制不到位,缺乏监督部门,制度实施不到位和未开展定期评价等。(5)内部控制评价手段落后,企业利用信息技术实施内部控制评价还刚刚起步,在许多技术方面仍存在问题。 三、企业内部控制评价指标体系的构建 (一)构建原则 1、服务于企业战略目标的原则。内部控制评价作为内部控制监督的主要内容,是内部控制五要素中不可缺少的部分,是内部控制设计合理性和执行有效性的“最后一道防线”,也是合理保证内部控制有效性、促进内部控制不断改进的重要手段。因此,企业应通过实施内部控制评价程序,发现内部控制缺陷,评价内部控制设计的合理性和执行的有效性,提出改进建议并跟踪建议的实施,增强内部控制的活力,实现内部控制良性循环,从而更好地服务于企业战略目标。 2、“自律”和“他律”相结合的原则。内部控制评价作为内部控制设计合理性和执行有效性的重要保证,具有评价的全面性、全员性、全过程性等特点,因此,建立内部控制评价体系应以“自律”为主、“他律”为辅,“自律”和“他律”相结合,两者相互促进,共同实现内部控制评价总目标。 3、评价形式多样性原则。(1)日常评价和专项评价。日常评价是对内部控制的建立与实施情况进行常规、持续的评价检查;专项评价是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一方面或者某些方面进行有针对性的评价。(2)定期评价和不定期评价。定期评价是根据内部控制的设计和执行情况,按一定间隔期对内部控制进行的独立评价,并出具评价报告。不定期评价一般是在企业战略、经营业务、组织结构、业务流程等发生重大变化的情况下,或在暴露风险因素、内部控制缺陷的情况下,对内部控制设计的合理性和执行的有效性进行的评价,并出具评价报告。(3)事前评价、事中评价和事后评价。事前评价是在内部控制设计完成但尚未正式运行阶段实施的、着重于对内部控制设计的合理性进行的评价,经过事前评价的内部控制将成为事中评价和事后评价的标准。事中评价是在内部控制运行过程中实施的、着重于对内部控制设计的合理性与执行的有效性进行的评价,其目的是及时发现运行中存在的问题并予以纠正,把问题控制在萌芽阶段。事后评价是在业务执行完毕后对内部控制设计的合理性与执行的有效性进行评价,其目的是通过分析、总结,完善内部控制制度设计和提高执行的有效性。