当下,内部控制工作在各类企业中开展得如火如荼。随之而来的内部控制审计问题也日益得到了企业管理层的重视。 全面评价企业风险 “内控审计现阶段面临的最大问题是财务会计信息与企业内部控制整体风险间的不对称。”北京工商大学商学院教授王仲兵解释说。 如《企业内部控制审计指引实施意见》中提到“从财务报表层次初步了解内部控制整体风险”。然而,财务报表列报的信息全面性不足,而财务报表表外披露的信息又呈现出碎片化特征且逻辑性不足。因此,企业需要科学地构建财务报表与内部控制整体风险间的逻辑联系。 “这两者之间不是简单的线性关系。其关系建立在复杂的商业模式基础上。”王仲兵告诉记者,“企业的每项特定业务活动都有自身完整的流程,而企业层面却未必能实现一体化整合控制。” 对此,王仲兵有一个设想:从监管角度看,企业应该为内部控制的有效性评价建立相应的概念框架,并由此衍生出一系列内部控制评价方式。可以将《企业内部控制应用指引》中的内部控制环境具体化为商业模式描述,以此实现企业一体化从而整合内部控制。 但首先需要明确的是,企业整体风险不可能完全清晰地在企业内部与外部间进行标准化分离,内部控制应对的风险与企业外部风险之间具有联动性,而横跨这两种风险的就是公司治理机制。因此,内控审计要基于整合的理念来看待企业风险,而不能简单地囿于业务循环和交易层面的风险评估以及企业部门的控制,更应扩展至交易成本经济学与委托代理理论的控制,即保护出资人利益的控制。 同时,还应正确处理内控制度与全面风险管理的关系。 一般意义上的内控的核心作用是尽最大努力创造制度效应以规避内部风险的泛化,但这不等同于全面风险管理。比如,现实中不少人还是将风险管理局限于特定的具体技术领域,如财务风险、法律风险或客户流失风险等,这表明人们还没有从整体的战略与治理角度将风险观念注入企业活动。 内控审计的标准化与个性化 “内部控制审计应有助于形成一种标准的风险标尺去衡量企业特定领域的风险,最终实现以内部控制与审计的整合视角去一体化评价企业各层次风险。”王仲兵强调说,“这有助于企业管理层从内部和外部的风险角度持续改进内控设计和运行。” 他以企业信誉风险为例。管理层通常较容易注意到可衡量的、有形的风险,而对企业信誉这样的无形风险却缺乏认识。因此,规范企业信誉风险,可以更准确估测企业当前运营能力和利益相关者的信心。 另外,在王仲兵眼中,企业内控体系的个性化同样很关键。 尽管企业内控体系呈现出全球趋同的走向,但各有特色。而趋同与个性间的比例关系决定了内控体系的多样化程度,为此,应正确处理“有形制度”与“无形理念”间的关系。 用业务骨干培养内审精英 企业内部审计要求审计人员对企业管理、业务背景、经济活动等有一定了解,从而可以宏观地把控业务流程中的潜在风险。但在现实中,传统意义上的审计队伍是由审计或会计人员构成的,更偏向于传统的财务报表审计或经济责任审计等,因而难免在内部审计过程中出现片面性的问题。 对此,中央财经大学会计学院教授赵雪媛建议用具备业务背景的人才充实审计队伍,让内审工作更具个性,也更贴合企业实际。 “美国通用电气公司(GE)就提供了一个很好的蓝本。”赵雪媛向记者介绍说,“每年GE从不同部门挑选业务骨干,经审计部门培养锻炼,逐步成长为企业内审的坚实力量。” 如此,不仅专业人才得到了学习和晋升机会,企业更是培养出了熟悉自身运作建设的审计精英。这些专业人才在积极了解企业情况的基础上,可以从不同专业的视角提出想法与方案,经过磨合与协商,全面地帮助被审计单位检验其业务流程的规范性和合理性,帮助被审计部门改善自己的工作。此外,GE的内审工作除了排查和提供解决方案之外,更重视将改进落到实处。每一个项目均须交由专业人员连续跟踪若干年,确保改善方案切实执行。 企业还可以酌情扩充审计队伍的人数。企业制度建设文件中详细列举的内审部门职责面面俱到,但在精力有限的情况下,审计人员并不能完全按照工作细则来执行。其中的一个潜在原因在于工作职责与人员配备不对等。因此,企业可以采取专业内审人才加业务精英审计人才的模式,前者专注于传统的审计职责,后者则专注于业务相关的审计工作。 当然,企业内审工作必须遵循一定的原则,但赵雪媛认为,当下,企业内审工作被赋予了更重要的意义。为了顺应时代,内审工作越发需要凸显出个性化的一面,以更好地适应现代企业管理的需求。每个公司须根据自身特点指导内审工作。如煤矿行业会更加重视安全风险,而科技行业则重视技术创新风险等。 “因此,企业内审建设在制定框架与原则之余,应该根据自身的个性特点自主进行细化。”赵雪媛表示。