企业在不断的探索内控审计工作,虽然已经取得一定的成绩,但是也遭遇到了很多的困难,还要从实践中不断的完善,下面是小编带来的浅析新形势下内部控制审计的作用发挥,有兴趣的可以看一看。
一、电信企业开展内部控制审计的背景及业务种类
1.电信企业开展内部控制审计的背景
首先,国有资产出资人的要求。作为大型中央企业的中国电信必须遵循国资委的《中央企业全面风险管理指引》和财政部等五部委制定的《企业内部控制基本规范》。
其次,资本市场监管机构的要求。为保证上市公司财务报告的真实性,美国制定了《萨班斯—奥克斯利法案》。该法律对在美国上市企业的内控制度建设尤其是与财务报告相关的流程和信息披露提出了要求,明确规定上市公司管理层做内控评估时应坚持风险导向。
最后,企业内部经营管理的需要。中国电信作为电信运营业的“百年老店”、电信改革的“母体”、全球最大的固定通信网络运营商,在面对市场的发展、技术的进步和利益的驱动下,摸索着从传统固网运营商到现代综合智能信息服务提供商的转型之路。随着企业战略转型的不断深入,公司面对的风险也将越来越多。为此企业围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素建立内部控制并进行实施,但这些制度是否已经规避了主要风险,能否适应企业发展和环境变化的需要,制度之间是否配套,是否有效执行,迫切需要对内部控制有效性进行全面评价。
2.电信企业内部控制审计的主要种类
笔者所在电信企业为确保顺利通过《萨班斯法案》404条款,实现有效内部控制评价,设置了三道关口,一是由各相关部门对内部控制流程的自我评价,二是由内部审计部门对内部控制制度的独立评价,三是外部审计的内部控制评价。本文笔者主要侧重于阐述由企业内部开展的前两种类型的内部控制审计。只有这三道关同时通过,才能说明当年的内部控制制度是健全有效的。因此电信企业内部控制审计根据实施主体的不同主要有如下三类:
(1)内部控制自我评估:由公司相关机构和人员对所负责内部控制有效性进行的自我审视和评价活动。即公司相关机构和人员定期或不定期地对各自负责的内部控制进行自我检查,分析和评价其设计和执行的有效性,发现并不断改进内部控制缺陷,以更好地实现控制目标。
(2)内部控制独立评估:由内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部审计机构和人员通过审查测试被评价单位内部控制的设计和执行,对被评价单位内部控制的有效性做出评价,并针对独立评价中发现的内部控制缺陷提出改进建议。
(3)内部控制外部审计:由会计师事务所接受委托,对特定基准日企业内部控制设计与运行有效性进行审计,是一种专业的检查审计。会计师事务所借其独立性,可以更加公正客观地评价内部控制的执行情况,鉴证内部控制设计及执行的有效性。
二、以风险为导向开展内部控制审计工作的必要性
从内部审计职业产生以来,审计模式已经从账项基础审计、制度基础审计发展到现在的风险导向审计。虽然制度导向审计模式在现代审计工作中的广泛运用中确实展现了其高效准确的优点,但也存在显现出一定的缺失,因此,在企业的内控审计领域必需引入风险导向的审计模式。
1.环境的需求是风险导向审计引入的根本原因
随着经济全球化和科学技术的影响日益加深,国内外上市企业公司发生一系列震惊资本市场的案件,内部审计引起了广泛关注。环境的迅速变化使审计人员逐渐认识到被审计单位并非孤立的主体,如果将其隔离于所处的经济网络,审计人员就不能有效地理解被审计单位的交易及其整体经济效益和财务状况。正是管理层舞弊的层出不穷,国际上已经全面进入现代风险导向审计时代,要求被审计单位置于宏观经济背景下,分析其生存能力和经营风险,进而评估其重大错报的风险,最终达到降低审计风险的目的。
2.传统制度审计方法不能有效聚焦高风险领域
首先,随着内控体系的不断完善和修订,在业务流程方面涉及到控制点数目繁多,以福建电信2016年版的实施细则下册为例,业务流程包含45个流程一千多个控制点,如果不对内部控制库进行风险梳理,就难于聚焦高风险领域,可能会造成审计人员疲于奔命又效果不佳;其次评估范围存在局限性,目前针对企业的内控评估工作主要集中在业务流程层面和IT一般控制层面,对控制环境的评估主要采用调查问卷方式,因此对控制环境中涉及的风险没能很好的体现。
3.风险导向内控审计能聚焦重大风险提升审计效用与质量
风险导向的内控评估,要求审计部门紧密跟踪运营管理机制和业务流程调整,及时响应企业管理需求,围绕重点转型业务、新业务流程、管理薄弱环节加大审计力度,积极帮助公司管理层和专业部门查找运营管理中的主要风险、分析影响经营效益和管理效率的主要原因、研究解决重点、难点问题的对策,有效支撑企业的高效运营和精确管理,较好地发挥了“免疫系统”预防、发现和抵御风险的作用。
4.利用有限的内部审计资源提高内部审计效率
由于风险导向内部审计模式是根据风险的大小进行审计计划的安排,制定审计方案主要关注高风险领域,在对低风险的领域较少关注。一般来说,低风险的领域占各项管理活动的比例较高,因此,可以集中有限的内部审计资源,用于高风险的领域,减少效率较低的细节测试工作,大大提高审计效率,实现“提升价值、防范风险”的目标。
5.弥补制度审计的缺陷降低审计执业风险
在制度基础审计的模式下,审计人员主要关注内部控制系统即控制风险,强调内部控制与实施的程序之间的关系,往往忽略了其他风险因素。因此,一旦公司内部的管理人员串通舞弊,实现“一条龙造假”,就可以绕过内部控制系统,使得之后的一系列审计程序的实施都是无效的,导致审计失败。内部风险导向模式强调以了解被审计单位及其环境为起点进行审计,包括了解被审计单位的性质、状况、监管环境、目标战略、经营风险、内部控制等方面。风险导向的运用将审计人员执行各项审计业务的切入点提高到一个宏观的、全局的层面,使其可以更有效地选择重点审计领域,实施进一步的审计程序,在降低被审计单位各种风险的同时,较好地控制了审计风险。
三、风险导向内控审计的实践探索
近几年从集团公司到各省分公司和本地网分公司都在积极探索以风险导向审计模式开展内控审计工作,以提升内控评估的质量,在实践中已取得了一定的成效,但也遇到一些困难和问题,需要进一步加强和推进。
1
梳理和编制涉主要业务层面的“内控审计风险事件库”
中国电信集团公司通过对当前影响公司业务发展的主要问题及潜在风险的梳理和分析,整理并汇编而成“内控审计风险库”。该风险库从“案例”的角度提示企业应关注经营过程中的主要风险,它包括“收入保障风险”、“成本费用风险”、“资金资产管理风险”、“工程管理风险”、“采购合作风险”、“业务发展风险”、“经营管控风险”、“系统控制风险”、“企业管理”等九大领域,共二百四十五个风险控制要点。风险库的出台,有效地指导各省分公司和本地网开展内控评估工作,同时在实践中不断完善和补充风险事项。
2
充实 “内控风险库”动态管理风险事件
因企业内外部环境和企业风险不断变化,且各省和地区的具体情况不同,风险库框架及内容不能一成不变,需结合每年《中国电信全面风险管理分类目录》的梳理和审计发现问题,定期组织修订完善“审计风险库”。一方面,注意收集日常内控独立评估、财务收支审计、经济责任审计、专项审计调查、工程审计等审计工作中发现的主要风险,分门别类加以整理、归纳,充实和完善“内控风险库”;另一方面,有意识的把“内控风险库”的这些风险传递到相关业务部门,让流程执笔人、执行人针对性的提出整改措施并加以落实,提高评估工作的成效。
3
风险导向开展内控自我评估提高评估质量
尝试新的评估方法,改变以往按流程为评估线条的方法,而将内控评估的重点向生产经营前端和后台信息支撑双向延伸,加强对全过程的整体评估。这些跨部门和跨流程的问题和风险的提示,是以往传统自我评估过程中所不能提示的问题。以笔者所在的省为例,2016年开展的自评工作,以突出风险和问题导向的原则开展。通过全面自评、专题自评和自评检查等方式开展,涉及具体问题和风险点126个,涵盖:财务、法律、采购、投资管理、业务管理和信息安全方面等方面;专题自评通过省公司专业部门梳理当前风险选取相关议题开展,包括市场部“天翼**卡发展效益”、政企客户部“政企客户**租机”、网络运营部 “网络安全风险”和创新业务部“**业务合作”等议题。
4
风险导向内控独立评估成果得到被审计单位的认同
围绕公司经营和管理重点开展专面的内控评估,站在解决问题的立场提出完善的建议,得到领导的重视和被审计单位的配合,有效缓解审计部门和被审单位的对立关系,一些突出问题得到及时纠正和有效整改,专业部门根据审计结果进行专业检查、完善管理制度的情况明显增多。与此同时,各级审计部门通过梳理通报典型案例、总结提炼关键风险库、定期提交基于审计发现的综合风险提示报告等方式,发挥了内部审计举一反三、以点带面的风险警示作用。以笔者所在单位为例:2016年对业务合作评估发现的问题,省公司对问题举一反三,在全省范围内实施整改并完善相关的系统支撑。
5
利用IT支撑实现风险事项的审计全过程管理
中国电信集团通过几年的风险库梳理和实践应用,认识到利用电信企业自身的IT管理和资料优势,将风险管理固化在“审计管理系统”中进行审计全过程管理的必要性。2016年,集团公司将风险库引入和运用于审计全过程,包含非现场审计测试记录编制和疑点确定、审计方案制定引用固化风险事项、现场审计参考对照系统中检查方法、系统生成审计报告初稿时引用“审计报告问题梳理表”等方面,促进内控评估工作标准化、问题定性规范化。
四、落实审计成果应用为企业增加价值
如何将审计发现的问题做实做细做到位,从而推动审计发现问题整改,以达到为提升企业价值服务,对审计整改工作提出更高的要求笔者所在的电信企业近几年在落实“审计发现问题销号制度”方面做了大量的工作,建立长效机制、形成闭环管理,体现审计工作提质降本防风险堵漏洞的作用。
1
审计发现问题销号坚持三不放过原则
通过制定《关于加强审计发现问题整改工作办法》,完善审计整改反馈跟踪流程、推行整改销号制度。以笔者所在单位为例,这几年在提升审计成果运用中,审计部门坚持“制度未完善的不放过、资金未追回的不放过、责任未落实的不放过”的“三不放过”原则,持续推动审计发现问题整改工作。举措主要包含如下三方面:
一是对以往年度发现问题尚未完成的整改事项持续跟踪;二是密切关注当年各项整改工作进展,对于重点、难点问题与业务部门共同研究问题产生的原因,讨论解决方案和具体措施;三是开展审计发现问题整改情况专项审计,对部分重要整改事项是否到位、反弹等行为进行审计,切实提高整改质量。
2
被审计单位珍惜审计发现问题共同推动整改
(1)提高认识齐抓共管:为更有效地落实审计成果应用,加强发现问题的整改。自上而下都要重视问题整改,重视流程优化,重视制度落实,以遵规守纪之心,为企业健康而计,为持续发展而计!暴躁问题的部门和单位应从更高的高度、更宽的视野认识审计发现问题整改的紧迫性,珍惜审计发现问题,问题涉及部门和业务主管部门更应齐抓共管,以更严的要求、更实的作风抓紧审计发现问题的整改,解决问题。
(2)进一步明确审计整改职责分工:由原来的问题整改责任部门直接负责制,改为三类整改责任部门,即:整改牵头部门、发现问题整改部门、整改配合部门。这一举措,关键在于有效发挥“整改牵头部门”的主导作用,作为专业主管部门,涉及到审计发现问题的业务主管、业务管理办法的制定和落实责任,对风险的防范起到主导作用。
(3)变被动为主动落实到位:要求各部门应主动把审计发现问题抓紧整改,落实好,并加强制度建设,夯实基础管理。从更高的高度、更宽的视野认识审计发现问题整改的紧迫性,珍惜审计发现问题,变主动为被动;以更严的要求、更实的作风抓紧审计发现问题的整改,解决问题。越早完成整改,问责越轻,越往后执纪越严、问责越重。
3
分清存在问题可能的四种形态
问题可能的四种形态:常态、大多数、少数、极少数。要分析问题产生的原因是无心之过还是明知故犯;是政策掌握不到、个人能力没有达到、学习不足,还是主观意图上的有意为之,满足个人、小团体利益。各整改事项牵头部门针对问题,有的放矢分类整改:一是对制度不完善的管理问题,加强制度建设,夯实基础管理;二是对有章不循流程意识弱的问题,各专业部门牵头组织对流程和规定进行重申,并加大专业线条的日常监督力度,防止出现前清后乱的反弹现象;三是对于重点、难点问题,各专业部门有针对性地开展专项清理工作,同时加强支撑减少差错。
4
建立问题管理长效机制巩固审计成果
为巩固审计发现问题整改结果,杜绝反复出现、屡审屡犯的重点难点问题,建立执行部门自查、管理部门检查、审计部门监督的考核问责的管理机制;为加大审计发现问题的整改力度,将审计发现问题整改结果纳入年度绩效考核。坚持“越早完成整改,问责越轻,越往后执纪越严、问责越重”的绩效考核挂钩原则。问责和考核事项主要包含如下:
对审计发现的问题,未按期开展整改、整改不到位或拒绝拖延整改且无正当理由的;提供虚假资料报告已整改但实际未整改,或采取欺骗手段报告整改情况时整改、事后又恢复原状等故意违规行为;被审计部门通报审计发现问题整改情况较差、未落实自查、监督检查制度或落实不到位,需落实考核和问责的事项;专业主管部门提出应考核的事项等各种影响审计整改成效的行为。
综上所述,在全面深化改革的新形势下,企业内外环境发生较大变化,作为公司风险管理、控制及治理重要环节的内部审计,在内部控制审计领域获得新的发展机遇。以风险为导向的内部控制审计的产生与运用迎合了内部审计新环境、新领域、新发展的需要,它能有效提高审计效率、降低审计风险。内部审计部门应把握时机,在以风险为导向内部控制审计的起步、建立、完善、成熟的发展过程中,通过检查、监督、评价、咨询职能的发挥,促进企业合理规避风险、有效控制风险、增加企业价值,确保企业可持续发展。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。