COSO框架在内部控制审计中的运用
来源:用户上传
作者:
摘要:实施内部控制是为了确保企业能有效实现其目的,《内部控制整合框架》即COSO框架是综合了内部控制理论和实践发展的产物,是现代内部控制极具权威性的框架。内部控制审计是对企业内部控制效果发表评价意见的一种独立的监督活动。结合内部控制审计实践,就COSO框架在内部控制审计中的指导意义、实际运用以及未来发展做初步探讨。
关键词:COSO框架;内部控制;内部控制审计;监督评价
引言
现阶段,我国企业呈现出高质量发展的趋势,企业管理逐步向科学化转型,企业接收的各类信息日益增多,形态各异,为企业管理层的决策带来了考验。建立较为完备的内部控制体系可以通过对信息的提取、分析、整理、筛选,使之成为保障企业健康运行的有效数据。如何对内部控制运转体系做出合理的评价,成为内部控制审计的重要任务之一。
一、COSO框架在内部控制审计中的指导意义
(一)COSO框架的意义及内容
COSO框架最早是由美国反虚假财务报告委员会的建议,由其下属的COSO委员会,在专门研究内控制度的基础上发布的,旨在讨论财务报告中舞弊行为发生的根本原因,并找到解决的方法和途径。美国注册会计师协会全面接受了COSO报告,并以此发布了《审计准则公告第78号》,奠定了COSO报告在内部控制方面的重要地位以及所具有的权威性。经过多年的实施和运作,这套整合框架在业内倍受推崇,在全球得到了广泛的推广和应用。
COSO框架提出了一个多维度立方体模型的概念,即企业的营运目标、财务报告目标以及合规性目标,通过监督、信息和沟通、内控活动、风险评估以及内控环境等“五要素”穿插、贯穿于业务活动中,以此为战略目标的最终落地提供合理保证。
(二)COSO框架对我国内部控制审计的影响
每个企业的内部控制建设依赖于良性的发展环境,企业生存的内外环境发生变化,必然导致内部控制滞后、失效或缺陷的产生,使得管理者需要对内部控制的健全性、适应性进行不间断地评价,及时发现漏洞和问题,便于企业持续改进,这就是内部控制审计具有的价值意义,较为成熟的COSO框架就为内部控制审计工作的思路和方向提供了指引。
(1)理念相符。COSO框架報告认为,企业内部控制是由企业董事会、经理以及其他员工共同实施的。我国的内部控制制度建设是伴随社会经济的发展一同进步的。2008年,财政部、审计署、保监委、银监委、证监委五部委联合下发了《企业内部控制基本规范》,成为建立企业内部控制体系的纲领性文件,提出了内部控制的执行者是企业董事会、监事会、经理层和全体员工,这与COSO框架的理念如出一辙,都认为内部控制是需要公司上下统一认可并共同遵守的规则。
(2)方向一致。COSO框架报告认为内部控制制度的目的是为了实现基本经济目标,保证对外公布的财务报告的可靠以及符合相应法律法规,简单地说,就是体现效益性、可靠性及遵从性。我国内部控制体系目标是保证企业经营管理合法合规、资产的安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现既定的发展战略。这是对COSO框架报告进行了具体的阐述,更符合我国的国情。管理者启动内部控制审计的初衷同样也是为了企业管理的更为顺畅、安全和有序。
(3)提供标准。在执行审计的过程中,审计人员制定审计方案,运用审计技术,对企业内部控制进行审查、分析、测试和评价,可以说,内部控制审计是对原有内部控制,在层次上实现再控制。审计最终的目的是为了改善经营管理,提升企业运营质量,COSO框架就起到很好的借鉴作用,它较为系统的评价体系,逐步成为主要的审计评价标准之一,为审计人员明确了审计方向,在出具内部控制审计的最终报告时提供了参考意见。
二、COSO框架在内部控制审计中的实际运用
我国内部控制审计的执行主体,分为注册会计师(CPA)、内部审计师(IA),两者遵循的审计准则不同,但都是以相应的内部控制规章制度、准则为指导。笔者就以对某一单位实施内部控制审计为例,说明在COSO框架内核理论指导下实施的审计过程。
(一)了解控制环境,制定审计目标
(1)治理架构。股东大会、董事会、监事会和管理层是否明确职责,议事机制、决策机制是否健全,并且运作良好,形成合理的职责分工和制衡机制,是公司规范管理的必然要求。通过从外部管理部门调取相关资质证明材料,查阅公司章程、规章制度以及会议纪要、决议等文件,确定治理架构的合法以及合规性。
(2)管理架构。管理架构是保证公司正常运转的重要因素,机构的设置与划分以及人员的职责权限,直接影响到企业经营目标的实现。通过与被审计单位员工的交流,了解被审计单位内部横向与纵向的业务关系,搜集员工手册、岗位职责表等信息,绘制详细的组织架构图,了解权利与责任的落实情况。同时,从业务的特性考量,搜集了行业内相关单位的管理模式,进行对比分析,评价单位管理模式的优势与薄弱之处。
(3)人力资源政策。切实可行的人力资源政策,体现公平、公正、激励的薪酬体系会为企业的发展注入新鲜血液,极大地激发企业整体的活力和创新力。笔者在审计过程中,查阅员工的薪酬、考核、晋升以及奖惩等制度,评价被审计单位的人力政策是否具有可持续性。人员的素质是内部控制执行的决定因素,在审计过程中,对于人员招聘环节进行了重点关注,尤其是一些关键部门人员的录用,在笔试面试的基础上,是否进行了诚信调查,从而有效地甄别应聘者,防止雇佣不合格人员。
(二)实施风险评估,明确审计范围
完善的风险管理体系,可以有效地认识、规避和防范风险,并针对风险的程序,制定风险管理策略,提出风险解决方案,从而增强单位风险管理理念。
(1)构筑框架。风险是未来目标实现与否的一种假设和预测,因此对风险进行评估就是通过科学的方法,对风险产生的可能性、导致的后果进行的一种量化。在审计实践中,笔者借鉴COSO框架的立体模型,设定目标,在充分评估单位组织、机制、制度等方面的信息后,梳理业务流程,紧扣业务环节,建立初步的风险控制模型,识别风险。 (2)信息收集。信息的收集包括内部控制工作的组织情况、建设情况、关键岗位管理情况以及财务信息的编制上报情况。根据审计单位的实际业务,重点搜集了资产、负债、收支、预算等方面的管理情况,以便评估会计信息质量是否做到真实、全面、完整、公允。
(3)风险分析。风险是伴随着经营过程产生而不断变化的,是无法消除的,但可以通过分析,进行合理防范。笔者采用多种评价方法相结合的方式,分析被审计单位风险。调查分析每一阶段、每一业务环节时,使用流程图分析法,发现潜在风险,找出引起风险发生的关键点,明确单位的风险状况。针对重要事项,运用事件树分析法,按顺序演化业务的过程,从逻辑上分析产生结果的原因和主要节点。根据风险评价结果结合风险级别,测评影响程序,突出审计重点,划定审计范围和样本量。
(三)检查控制活动,分析相关程序
控制活动能否落到实处,使制度发挥应有的效应,达到控制目标的手段是检验企业管理能力的主要标准。控制是一系列过程的总和,不是单一和独立的,而是立体和交织的。笔者主要围绕被审计单位以下五方面的业务实施了审计。
(1)不相容职务分离控制。识别被审计单位的不相容职务,不同职务之间的职责与权限是否得到合理界定,职务之间是否存在相互牵制、相互制约。确认被审计单位是否实施必要的保障措施和回避制度,以保证在单位内部充分体现权利与责任彼此制衡的效果。
(2)授权审计批程序控制。建立从上而下的授权审批的理念对组建授权审批体系具有十分重要的意义。在确定审批组织机构后,以审计的全面性和重要性为基础,对审批事项进行梳理,确定重点和关鍵事项,统筹分析。
(3)会计系统控制。对被审计单位所发生的能以货币计量的经济业务进行确认、记录、计算和报告,以保证会计信息的真实和完整性。审计内容涉及会计的机构、岗位的设置,从业人员的配备,胜任业务的能力以及管理制度和工作程序等多个方面。
(4)财产物资的保管控制。审计日常管理制度和定期清查制度的建立情况,采用查看资产记录、实地盘点、核对账实,审查处置、外借资产的相关文件,复核工作流程等方式,以评价财产保管工作的质量和安全情况。
(5)预算和绩效控制。通过审查被审计单位全面预算管理制度的编制、审定、下达和执行情况,指出单位在管理能力、运营效率、发展趋势以及绩效考评体系中的利弊,提供符合被审计单位业务实际的审计意见和建议。
(四)测试信息沟通,获取处理能力
内部信息的收集、处理和传递程序,涵盖了内部控制的整个过程,是内部控制各个结点连接的桥梁和纽带。现代企业管理的信息化控制程度越来越强,正潜移默化地改变着企业传统的管理模式。因此,在内部控制审计中,审计人员应主动适应环境的变化,转变审计理念,创新审计方法。笔者从以下三方面实施了审计。
(1)厘清岗位界限。了解被审计单位的各类软件系统,分清各系统的管理职责,尤其是手工操作中不易合并的岗位,在信息管理中出现的合并现象。
(2)注重痕迹管理。手工管理会留存较多的纸质信息,而数据化管理的方向是无纸化。万一出现问题,追溯就会出现一定的难度。笔者所审计的单位,会计核算实现了电算化,其余业务尚未全面实现数据化管理,纸质留痕相对完整,但也反映出,处理效率不高、信息共享度较低的问题。
(3)确保信息安全。信息的储存安全是内部控制的新课题,信息的损坏、删除、篡改带来的损失往往是巨大的,不可逆转的。笔者依据被审计单位的信息安全管理和信息技术的情况,重点审计了数据的输入与输出、文件存储与保管、网络安全管理、存储信息的介质和环境等方面的控制情况,发现该单位的备份机制不完善、计算机机房人员进出不登记等问题,显示出单位在信息安全管理制度上的欠缺。
(五)评价内部监督,衡量执行质量
内部监督是对内部控制制度的执行情况进行的复核和检查,是企业内部的自我免疫系统,这是一项持久性的工作,既是从现象发现问题的过程,更是从本质解决问题的过程,它从另一个视角,服务于经营管理。
(1)内部审计。内部审计部门是内部控制健全和有效的合理保证。笔者所审计的单位设置了独立于财务的内审部门,并配备了相应的专职内审人员。内审部门制定的全年审计计划经决策层审批,对每项审计业务都出具了审计报告,发现问题,提出审计建议。综合反映出,内部审计部门能够较独立地、客观地行使职权,对企业的内部控制具有积极作用。
(2)自我完善。企业管理层对于环境的变化,是否能有相应的应对机制,不断完善和优化。笔者在审计中发现,被审计单位每年都会出台下发新的规章制度,涉及多个业务版块和管理内容。一些外部检查反映出的问题,能及时处理,按时上报整改情况。表明该单位管理层主观上较为重视内部控制建设,并且有持续改进的行为。
三、COSO框架在内部控制审计中的未来发展
COSO自颁布以来,致力于研究内部控制体系,为财务信息、公司治理、法律环境提供了服务和帮助,其普遍性、通用性和全面性逐步被世界各国所接受。现代企业的管理的复杂性越来越高,科学技术日新月异,在这一大环境下,COSO也在逐步地更新和完善,适时地推出新的框架,扩展和延伸应用,相应的要求表述也更为清晰。COSO框架的新改变,将为内部控制审计带来全新的内容、标准和目标,使内部控制审计的覆盖更全面,审计报告更具时代特点。
(一)有助于提供审计思路
新兴市场的出现,交易类型的多样化,技术条件的新进展,寓意着风险管理是今后一段时期的发展趋势,推动着内部控制的转型和升级。面对这一形势,COSO出台的新框架,新增加了风险管理框架,并重申了内部控制是风险管理的一部分。风险管理审计应运而生,它是企业风险管理的一个重要监督和评价手段。内部控制审计则是风险管理审计的重要组成部分。笔者从审计实践出发认为,风险管理理念引领着内部控制的发展,为内部控制审计提出了新的要求,加入了新的元素,特别是在对管理过程和经营系统审计评价时,两者必然会相互交叉、融合,形成合力,推动企业内部控制和风险管理变得更加有效和完整。
(二)有助于构建监督体系
COSO框架通过引进风险管理,把内部控制与风险紧密联系起来,使得企业的监督体系不仅局限于内部和微观,还包括主动监测外部和宏观,这样才能保证内部控制系统是动态的、持续的。传统的内部控制审计主要是偏重于企业内部的管理评价,往往忽视外部可能对企业有重大影响的各类要素的监督。因此,内部控制审计除了关注数据的准确性、计量的合规性、流程的规范性以外,今后,对企业“软实力”的评估也需要强化,如企业文化、团队管理、品牌价值等在企业内部管理中的作用,企业对市场、法律、利率等变化的敏感度和监控力度的强弱等都应作为评价体系中的一部分,从而促使企业构筑起全方位的监督体系。
(三)有助于实现战略目标
经济发展的不同时期,企业的发展目标是不同的。我国已经进入了中国特色社会主义新时代,高质量发展是我国企业的发展定位,各项经济工作都应围绕这一中心。COSO框架虽然在某些方面仍然有不足,但是它的架构体系是全局性、拓展性的,并不局限于当前的具体的目标,具有一定的战略性。这些与我国未来企业发展的总体布局在本质上是一致的。在内部控制审计过程中合理运用COSO框架,形成统一的内部控制概念,审计目标和审计效率会得到提高,也可为企业长远发展提供驱动力。
结语
总之,COSO框架在内部控制审计中的运用具有重要的意义,在具体的应用过程中还需要结合组织的发展实际需要以及COSO框架的具体应用要求等加强实践探索与创新,这样才能更好地提升应用效果。
参考文献
[1]美国管理会计师协会(IMA)主编.财务规划、绩效与控制[M].舒新国,程秋芬译.北京:经济科学出版社,2012.8:56–60.
[2]李敏.会计控制与风险管理[M].上海:上海财经大学出版社,2015.(9):121–124.
[3]袁小勇.内部审计:怎样才能有所作为[M].北京:经济科学出版社,2014.(3):140–143.
[4]叶超云.公司内部审计[M].北京:机械工业出版社,2013.3(2016.7重印):58–62.
转载注明来源:https://www.xzbu.com/3/view-15312691.htm
