优秀论文 内控评价与内部审计融合发展的路径探索:以中国神华为例
发表时间:2024-02-03 09:40:42 来源:生态旅游
中国神华作为A+H股上市公司,按照证监会、上交所及港交所的监督管理要求,从2007年起开展年度内部控制评价工作,对外公开披露自我评价报告,同时由负责财务报告审计的会计师事务所以整合审计方式独立开展内部控制审计,出具内部控制审计报告。在不同时期先后以外包方式和组织内部审计力量自行检查的方式开展内部控制评价,但始终未能很好地解决内控评价与内部审计脱节的问题,未能很好显现内控评价与内部审计融合发展的监督合力。2018年中国神华自调整总部运行模式以来,在全面总结过去十多年内控评价经验的基础上,积极探索内控评价与内部审计融合发展的具体路径。
与内部审计相比,内控评价更强调全面性原则,注重全方面覆盖,类似于工程勘测考察中的“初勘”;而内部审计更强调突出重点,通常是通过审前调查初步确定审计重点,在审计实施中的针对性更强,更像是工程勘测考察中的“详勘”。中国神华内控评价工作按照全面性与重要性相结合的原则,评价范围有公司本部及所有子分公司,不留死角,对其中8家重点企业①每年必查,其余28 家企业确保3年轮流检查一遍。评价内容涵盖公司及所属企业各项业务和事项,涵盖内部控制的全过程,包括决策、执行和监督,对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素做全面评价。在内控评价体系设计中将公司全部业务划分为36个业务领域,97个一级流程,596个二级流程。2018年以来,中国神华在全方面开展内控评价的同时,对于发现的重要问题线索和问题易发多发业务流程及时启动专项审计程序,有明确的目的性地做必要的延伸,既包括审计期间的延伸(即从本评价期向以前年度延伸),也包括审计范围和内容的必要拓展,直到将“超出本评价期”和超出“评价深度要求”的重要问题与事项彻底查清查实为止。在内控评价过程中,及时启动专项审计程序,可为问题的解决和整改赢得时间,有利于针对发现的重要风险及时采取整改措施制止、挽回和补救损失,防止不利后果扩大,并从源头上遏制风险事件的发生或逐步发展。这样的融合,既扩大了监督覆盖面,又保证了监督深度,较好地实现了不牺牲监督深度的“全覆盖”。
2.通过信息共享和成果共享,减少重复工作,提高效率和针对性中国神华在实践中探索了以下三种可行的方式:
一是在内部审计中充分的利用内控评价成果和信息。内控评价成果和信息揭示了各部门、各单位、各业务领域和业务流程未经有效控制的风险,共享这些成果,可以为制订审计计划、编制审计方案提供一幅“风险地图”,更好地实现风险导向内部审计,节约审前调查工作量,增强审计针对性,提高审计效率,改善审计效果。
二是在内控评价中充分的利用内部审计成果,增强评价的针对性和有效性。在内部审计项目中发现的问题,虽然通过整改可以在很大程度上得以解决,但问题背后的复杂背景和深层次原因很可能使得问题的解决是短期的和肤浅的。这样的问题有着非常强的顽固性,难以一劳永逸地解决,容易反复。对这些问题,我们需要研究其隐藏的风险机制,作为固有风险在内控评价中长期予以关注。比如工程审计中的造价审减,每一笔审减背后可能都有短期难以消除的管理缺陷(如分工制衡机制、复核机制、审批机制、责任机制的缺失等),整改也远不是“一减了之”,而是要在内控评价中长期关注其背后的风险是否从源头上得到一定效果管控。
三是日常开展内部审计(如经济责任审计、工程建设项目审计和专项审计等)的同时,兼顾内控评价规范的要求,对审计所涉及业务和事项的内部控制有效性进行评价,在形成审计报告的同时,同步编制审计所涉及事项的内控评价底稿,作为年度内控评价的组成部分。在总体工作量不增加或少量增加的情况下,可大大避免不必要的交叉重复工作,节约年度内控评价工作量和工作时间。
内部审计在国内经历了三十多年的发展,形成了大量的操作规范,包括中国内部审计准则、指南和国际内部审计专业实务框架等,在内控评价中可以充分借鉴内部审计规范的成果,特别是关于审计质量规范、审计证据规范、审计取证方法、审计沟通方法等方面的经验,为内控评价实务提供有益启发。例如借鉴审计质量规范,内控评价同样需要查明事实,包括行为或结果偏差、主观过错、损失浪费或其他不利后果等,需要充分可靠的证据予以支撑,运用适当评价标准做定性评价,在此基础上才可能做到事实清楚、证据确凿、定性准确,达到应有的评价质量。内部控制评价工作也形成了诸如基本规范、应用指引、评价指引以及沪深交易所上市企业内部控制指引等系列成果,可供内部审计在编制审计方案、确定审计重点时借鉴。
内部审计和内控评价实践也发展形成了各自的审计评价标准与内控评价标准,常用的评价标准是以国家法律和法规、规章、政策、党内法规、规范性文件、国家标准、企业内部管理规定、“三重一大”决策程序、合同契约、计划、预算、责任状、考核指标以及公认的业务惯例等为基础依据制定的。内控评价与内部审计的本质一致性,决定两者相互学习借鉴彼此的规范、标准等有益成果的必要性,通过取长补短、相互借鉴,实现融合发展。
无论是内控评价还是内部审计,查找问题或缺陷只是工作的切入点,最终目的是推动缺陷和问题的整改。2018年以来,中国神华在内控评价中提出“以风险辨识为先导,以缺陷查找为基础,以缺陷分析为抓手,以缺陷整改为目的”的内控评价新思路,以此为指导形成以“风险辨识→缺陷查找→缺陷分析→缺陷认定→整改建议→整改落实”为主要路径的内控评价流程。在该流程中,缺陷查找旨在发现初步偏差一与评价标准相对照的行为偏差或结果偏差,这些初步发现的偏差通常仅能触及问题的外在形式或表象。缺陷分析才是流程的重中之重,包括行为过错分析、不利后果分析、缺陷敞口分析、缺陷成因分析,还要根据自身的需求进行多向度分类等方面的分析,实现由现象到本质、由局部到全局的认识深化并抓住主要矛盾,一方面为缺陷认定提供相关依据,另一方面为从源头上进行整改提供路径指导。影响缺陷整改质量进而影响到内部审计或内控评价目的能否实现的关键,是确定适当的整改标准并予以统一。无论是审计问题的整改还是内控缺陷的整改,都追求标本兼治,治已病、防未病。通常的整改措施不外三类,即补救不利后果、预防风险、追究责任。预防与追责又是辩证统一的关系,追责是为了更好地预防,是指引、教育、预防的统一。在内部控制失效、风险事件业已发生、由行为过错引起不利后果的情况下,通常不仅要面向未来采取预防措施以防范风险,还要补救损失或避免其他不利后果,触发追责条件的还要追究违规责任。仅在风险事件还没有发生、未引起不利后果的情况下,才以预防为主要措施。
中国神华的内控评价新思路及相应的内控评价流程,经过在实践中反复检验、修正和完善,较好地指导了内控评价工作,为提升内控评价质量、改进内控评价效果奠定了基础。在此基础上,通过确定适当的、统一的内部审计问题与内控评价缺陷整改标准,中国神华初步扭转了内控评价中“重风险预防,轻责任追究”的片面倾向,以及内部审计实务中“重结果整改,轻风险预防”的片面倾向,矫正了认识误区,有助于实现取长补短、融合发展。
资料来源:党济深,内控评价与内部审计融合发展的路径探索--以中国神华为例,《财务与会计》,2020 年第 11期。