改进企业内控评估工作思考.docVIP

改进企业内控评估工作的思考在讨论具体的方法与技术之前，解决基本的认识问题更为重要。按照这种思路，下文首先讨论如何转变观念和制定内部控制评估战略，然后介绍如何以风险为导向优化评估方法及调整人力资源机制和有效使用信息技术的要点。 （－）重新认识内部控制评估在内部审计工作中的地位与作用 作为组织内部控制系统的一个重要组成部分，内部审计本质上是一种评价职能，通过衡量和评价其他各种控制的有效性来履行其职责。内部审计人员不可能也不需要与该单位从事各种活动的技术专家或经营专家具有同样知识（更不要说取而代之），但正是通过内部控制这座大门，内部审计得以检查与评价所在单位的所有活动并增加价值。因此，可以说内部审计工作本身就是内部控制评估，这种评估的侧重点可能在财务方面，也可能是在经营管理方面。按照评估范围的区别可将审计类型划分为财务审计与经营审计（或称之为经济效益审计）两大类。无论哪种审计，都牵涉到评估范围与评估目的、内部控制模式的选用及评估过程中风险分析等问题，内部审计人员对其认真加以研究是必要的。 （二）正确理解内部控制概念并选择适当的内部控制标准或模式 正确理解内部控制概念要求内部审计人员牢固树立以下观念：（l）过程观念。内部控制是对企业的整个经营管理活动进行监督与控制的动态过程，应与企业的经营管理过程相结合；（2）重视人的作用。不仅仅是管理人员、内部审计或董事会，组织中的每一个人都对内部控制负有责任，在内部控制设计与评估过程中不能忽视人的重要性；（3）注重软性控制。高级管理阶层的管理风格、管理哲学、企业文化、人员能力、内部控制意识等软性控制决定其他控制要素能否发挥作用；（4）风险观念。风险是内部控制存在与变化的前提与基础；（5）成本与效益观念。内部控制受先天条件所限及基于成本与效益原则考虑只能做到“合理”保证，没有不花钱的内部控制，也不存在完美无缺的内部控制。 在内部控制标准或模式选择方面，既然目前国内尚无成熟的内部控制标准或模式，适当借鉴国外的先进经验就不失为一个好的办法。COSO已获最广泛认同，企业可以其作为主要的参照标准并根据自己的实际情况加以细化与补充。在具体做法上，有条件的企业可由内审部门牵头编制内部控制手册。该手册并非企业以往所定规章制度的简单汇总，而是按照COSO框架所述的控制环境、风险评估、控制活动、信息与沟通及监督等五个内部控制要素分别展开，明确内部控制责任及各业务循环控制要求甚至包括风险分析与评估要点。手册既可作为全体员工遵循的指南，也可为内审部门及各级管理者提供内部控制与风险管理的参考工具。 （三）合理制定内部审计发展战略 内部审计人员可在对审计部门内外部环境进行战略分析的基础上，结合企业发展战略制定其部门3－5年战略计划。根据国外一些大企业的经验，该战略计划的内容至少应包括：（1）内审部门的角色与定位：阐明内审部门如何定位与转型；（2）明确内审部门在未来数年可能面临的各种挑战；（3）未来几年可审计领域风险分析结果及具体审计资源分配计划；（4）内审人员的任用、选拔与培训安排；（5）部门信息化推进计划；（6）与外部专家进行战略性合作（如联合审计计算机信息系统）的安排；（7）与企业其他部门尤其是监督部门的合作关系：如建立资源共享的信息系统及协调工作等；（8）理论研究及学习行业最好实践的计划安排；（9）工作标准及其他内部控制与风险管理参考指南与手册编写计划。 该战略计划每年根据情况变化滚动编制。 （四）发展一个风险导向的内部控制评估方法风险可视为达成组织目标所面临的不确定性，一个企业的内部控制系统存在的根本目的在于对威胁其目标达成的风险提供管理，没有风险也就不需要内部控制。 目标、风险与控制之间的上述逻辑关系是确立内部控制评估方法与思路的基础。以风险为导向意味着战略及目标分析和业务过程评估先于具体工作。内部审计人员必须首先对组织所在的行业特点、经营目标及战略与相应的风险管理活动执行战略分析。了解诸如组织在其经营的行业和市场环境中的目标与战略是什么，政府法规或其他力量对组织本来转变有什么影响，什么是影响公司战略的最根本风险等问题。 下一步，内部审计人员将分析组织目标、战略和重要经营风险之间的相互关系。并且将注意力集中在那些容易招致经营风险和能够产生额外机会的经营领域；决定哪些经营过程是最重要的，进而评估与这些过程相联系的内部控制活动的效率与效果。 作为上述过程核心部分的风险评估既可采用定量分析方法，也可定性分析。除参考IIA考试教材提供的风险评估办法（选择风险因于并衡量仅重）外，实践中我们还可对每一个业务过程可能发生的风险进行分类，建立所谓的风险识别图或风险资料库。审计人员通过设置方便衡量的关键变数或指标并监测其变化来实施预防控制，以预警机制及时发现问题并适时发挥监控功能。