时间:2022-07-30 11:15:17
【摘 要】集团公司围绕大公司,依托技术或业务关系,实施集权与均权相结合的管理体制,规模庞大、多角化经营,具有鲜明的特点,集团公司的内部审计工作面临更多的挑战,本文从集团公司内部审计管理的特点入手,分析集团公司内部审计面临的风险,并给出了解决方案。
【关键词】集团公司;内部审计;风险;防范措施
一、集团公司内部审计风险概述
内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。集团公司内部审计风险是集团公司内部审计机构及人员在对集团公司会计报表及重大经营管理活动进行审计后发表不恰当的审计结论,对审计报告使用者的决策造成误导,并由此给集团公司造成损失或伤害的风险。内部审计风险具有如下特点:
内部审计风险的客观性。由于集团公司业务的复杂程度,以及审计人员经验和能力的局限,内部审计风险是客观存在的,是不可能消灭,只能通过一定手段将其降低到可接受的水平。
内部审计风险的全面性。内部审计风险遍布集团公司各个业务板块、每项业务的各个环节,以及每个审计项目的各个流程节点中。
内部审计风险的持续性。内部审计风险不仅在审计的准备阶段、实施阶段、报告阶段产生影响,在审计项目终结后仍然延续其影响。未被有效控制的审计风险存在于审计结果中,对之后的使用者造成影响。
内部审计风险的潜伏性。只有在审计结论对集团公司造成的不良影响成为现实,集团公司因此承担损失时,内部审计风险才会表现为实在性。
内部审计风险的可控性。内部审计人员可以通过制度测试、分析性复核等程序,运用专业技能和丰富经验,采取风险导向审计,将内部审计风险控制在可接受范围内。
集团公司业务复杂、层级多,内部审计工作量和难度都很大,加强内部审计风险防范工作,有助于合理分配审计资源,更好地规范内部审计工作,从而保证审计质量。现代信息社会日益复杂,通过审计人员对信息的审计和评价,还可以将信息风险转化为审计风险,再通过审计风险的防范工作,使集团公司管理层得到真实可靠的信息,有助于集团公司正确决策和提高效益。
二、集团公司内部审计风险的类型及其产生的原因
集团公司内部审计风险从不同角度可以有多种分类方法,根据其形成的原因可以分成以下几类。
1.汇报层级较低引发的风险。审计是社会经济发展到一定历史阶段的产物,是财产所有权与经营管理权分离后所形成的受托经济责任关系下,基于经济监督的客观需要而产生、发展和不断完善的一种社会约束机制。很多集团公司(尤其是国有集团公司)对内部审计的定位不合理或不清晰,有的规定内部审计向财务副总汇报,有的规定内部审计向总经理汇报,有的虽然规定内部审计向董事长汇报,但董事长一年内只参加两次集团工作会,基本无暇管理集团包括内部审计等具体工作,实质上仍是向总经理汇报。这种角色定位与职能初衷的错乱影响了内审作用的正常发挥。
另一方面,在机构设置上内部审计部门常常与被监督部门处于平行关系,地位不高、独立性不强、权威性不足。审计工作的推动和审计结果的实现极易受到各种外来因素的干扰,无法充分发挥风险管理的作用。
2.审计程序引发的风险。我国很多企业集团内部审计的工作程序还不够成熟,往往只是从财务角度对经营指标进行分析,做的是一种结果层面的程序,缺乏从业务、内控方面对事前预防和事中监督所做的程序。这种情况下无法为管理者提供有价值的风险防范和决策信息,不能充分发挥内部审计增值的作用。同时出于人员经验和与公司契合度考虑,往往集团公司更倾向于从财务部门调动人员补充内审机构,大量财务专业出身的内部审计人员,习惯于从报表到账面,再到凭证,查找问题,提出的建议与业务实际脱钩,难以付诸实践,造成了审计问题整改率偏低。其缺点突出:一是在账、表、凭证上浪费大量时间,收获有限,不符合成本效益原则;二是审计视角囿于财务资料,失去了通过对业务过程的管控、以增加价值并改进组织经营的机会。
3.内控制度引发的风险。进入21世纪,安然、世通等公司财务丑闻的曝光,使内部控制俨然成为管理者最先进的管理手段。2008 年6 月,国家财政部、证监会、审计署、保监会、银监会等五部委颁布的《企业内部控制基本规范》,将中国企业的内部控制建设推向了高潮。业界的推崇和监管部门的要求,使我国的集团公司管理者十分热衷于搞内部控制建设,但现实情况是很多管理者未理解内部控制的精髓,追求大而全,忽视调研、沟通工作,注重纸面工作,把内部控制建设最终变成了制度手册的编写。由于制度编写过程中未充分与业务实际相结合,最后连管理者都觉得很多方面降低了效率,甚至带头违反内部控制制度,给内部控制造成严重的伤害,也给内部审计带来了巨大的风险。
4.人员引发的风险。大部分集团公司的内部审计人员是从集团内部产生的,常见的是从财务部门调动过来。在一些集团由于内审部门不受重视,甚至被视为是一个老员工养老、等待退休的地方,是一间“大象的坟场”;所以经常被塞入一些财务部门不要的、别的部门淘汰的、不得志的、准备退休的人员。财务部门转岗的内审人员缺乏企业业务知识和经验,相对较低的部审计专业理论。合格的审计人员的知识一般包括三个方面:信息系统方面的知识,主要是计算机的软件和操作运用;二是经营管理和工程技术方面的知识;三是法律方面的知识。;此外,作为内部审计人员,除了是某方面的专家外,还需要经过专门的审计技术培训,才能从事审计工作。不合格的内部审计人员很难做出让管理者满意的审计结果。
另外,在很多集团公司中内部审计机构地位较低,被认为不能创造效益,是一个成本中心。相应地审计人员的待遇和晋升较差,很难吸引和留住优秀人才,造成内部审计工作连续性差,审计工作质量难以稳定和改善。
5.信息沟通引发的风险。一方面集团公司的层级性使得集团内会有很多层面的独立法人公司,每个层面的公司直接对下一层面进行管理,如集团总部去三级公司审计,会因为中间隔着二级公司,造成信息传递不流畅;另一方面审计双方因为位置不同,出发点不同,必然造成信息不对称。内审部门对被审计单位的业务特点、经济环境、监管法规、行业情况等了解显然是不如被审计单位的,被审计单位经常是被动地应付审计的检查,审计人员问到什么就讲什么,甚至因为怕麻烦而回避一些情况,完全置身事外,不认为审计是改善自己工作的过程,把审计完全当成别人的事情。对审计结果也是被动地整改,造成一些问题进入犯了就改、改了再犯的恶性循环。
三、集团公司内部审计风险的防范措施
1.优化内部审计治理结构。内部审计机构直属领导的层次越高,其独立性越强,发挥作用越大。由董事会领导,董事会直接向股东负责,这样会使内部审计具有较高的独立性、权威性,并在开展审计工作时面临较少障碍,可以在监督与服务之间取得较好的平衡。对于集团公司,由董事会下属的审计委员会直接领导内部审计机构是目前最优的选择,具体实施中下属具有法人资格的子、孙公司审计委员会受上一层级审计委员会领导,非法人成员单位的审计工作直接由集团审计委员会领导,各审计委员会下设审计部具体开展审计工作,形成有层次的内部审计组织体系。
2.进行差异化的内部审计。在实际运作中,集团公司的内部审计应根据成员单位所属行业、所处地域、规模大小、贡献度、风险度、控制度的不同,同时结合成员单位在集团中肩负的战略使命,进行有差别的审计。对不同行业的成员单位要注意区分周期性风险、成长性风险、产业关联度风险、市场集中度风险、行业壁垒风险、宏观政策风险等,采取不同的审计策略;对处在不同区域的成员单位要注意当地政府的监管重点、市场风险、环境风险,采取针对的审计程序;根据成员单位的规模大小、对集团的贡献大小、风险度高低来分配审计资源;对控制度高的成员单位要深入业务经营管理审计,对控制度低的成员单位偏重投资管理型审计。
3.建设高素质的内部审计队伍,建设审计人员职业发展通道。首先设立内审部门进入的标准(门槛),从源头上控制内审人员质量;其次,从德才兼备角度加强内部审计人员培训,全面提高内部审计人员从事审计业务的能力和态度;最后,结合内部审计人员有机会接触到集团各个层面管理和业务的先天优势,借鉴加拿大皇家银行经验,将内部审计部门建设成集团未来领导的“培训基地”,打破内审人员职业发展的“天花板”,吸引更多优秀人才加入内部审计队伍。
4.改进内部审计技术方法。
从方式上,可以采取“走出去,引进来”,内部审计人员走出去交流、培训。引进来外审,将现有知识储备难以胜任的新项目外包,借助“外脑”开发新项目,通过内部审计人员参与审计项目小组,学习外部咨询机构先进的技术、方法,以及项目经验,迅速扩充知识储备,逐渐达到独立开展新项目的水平。
从内容上,应结合集团公司特点,探索与实践新的内部审计工作方式。对同一行业的不同成员单位,可以考虑抽调人员交叉审计;对专业程度高的成员单位的审计,可以考虑吸收被审计单位的内审人员和专业人士参加审计小组,进行协同审计;对信息化水平高的成员单位,可以更多地采取非现场审计;还可以在集团范围内构建审计网络系统,进行远程联网审计。另外还要充分利用审计软件。
5.加强与各相关方的联系,保持信息沟通。
加强内部信息沟通。集团公司各个职能部门在其职能领域通过业务条线的垂直化管控对集团内成员单位实施专业管理,这在某种程度上与集团公司内部审计对成员单位的监控管理目标存在重合之处,如果能有效地与各职能部门沟通协调,互相利用工作成果、共享信息,甚至联合工作,取长补短,会起到意想不到的效果。与业务部门协调合作,可以补强内部审计部门的短板,取得审计所需的专业知识、数据、信息,专业人士的顾问帮助,以及职能权力的配合。
加强对外信息沟通。与国资委、审计署、会计师事务所的协调、沟通,一方面可以更充分地理解审计提出的问题,促进集团公司的工作改善;另一方面可以透过审计提出问题反省内部审计工作,改善内部审计工作的方式方法。与其他集团公司同行的交流学习,更是能起到“他山之石可以攻玉”的效果。
摘要:内部审计作为企业监督及防范风险的控制机构,对集团公司的风险管理控制意义重大,因此外部监管机构、内部管理层都对内部审计寄予了殷切的期望,也提出了更高的要求,希望内部审计能够承担起公司的更多职能与责任,进而推进企业在激烈的市场竞争中生存与发展。本文站在集团公司角度,首先详细的介绍了内部审计的意义和原则,并对集团公司内部审计现状问题及产生原因进行了重点分析,最后针对问题提出集团公司内部审计风险的防范措施。
关键词:内部审计;集团公司;风险管理
集团公司组织目标的实现以及在合同管理、资金管理、基建项目管理和投资决策等方面与内部审计都息息相关,都需要内部审计的服务、支持。集团公司运用合法、有效的内部控制,通过审查、评价经营活动来促使组织目标得以实现。但是,就我国目前现状而言,风险的重要性往往在集团公司内部审计过程中被忽略掉,这与我国集团公司特殊的形成过程有着不可分割的联系。
一、 集团公司内部审计概述
(一)集团公司内部审计的意义
1.确保集团公司经济活动的有序开展。集团公司规模庞大,经营权与所有权相分离,形成了多层次管理经营,为确保企业的经营管理能够有效有序进行,实现企业效益最大化的目标,就需要对每个环节的生产和管理进行审查评价。内部审计部门的设立,为企业实施审查评价提供了平台,内审部门每次审查评价的过程,就是确保集团公司各组成部分按计划和要求执行任务的过程,促进了部门之间的有机配合,有效保证了集团公司经济活动的有序开展。
2.助力集团公司实现经济价值增值。内部审计作为企业的一种战略,通过对集团公司各组成部门进行审查、评价,从集团高度来判断是否按照成本效益原则执行各项经济活动,通过查找经济活动出现错误的原因,提出相应整改意见,反馈给集团公司管理层,为管理层提出针对性和建设性的决策建议提供基础,通过节约成本、改善管理,助力集团公司实现经济价值增值。
(二)集团公司内部审计的原则
1.独立性和客观性原则。为了充分发挥内部审计的作用,体现其科学性,内审机构一般不应参与经营管理,主要行使监督职能。内部审计机构需独立于集团公司经营决策过程,不受被审计单位管理,若内审人员参与公司某项经营决策,在审计相关工作过程中,此人需回避,不能参与其中。这既是集团公司内部审计的独立性和客观性原则。
2.目标增值性原则。目标增值性原则是指集团公司应当将内审创造企业价值作为目标,而不应当将成本降低幅度、效率增值幅度等作为衡量内审工作绩效的唯一标准。企业目标得以实现需要企业内部审计的协助,在目标实现过程中,内部审计提供咨询、确认服务,这也是企业内部审计的主要职能之一。
3.合规性原则。审计本身需要获得授权才能执行工作,在立项授权范围内,审计工作人员可以向相关人员取证。如若涉及到部门内部数据,且公司已经就某些数据的提供设定了相应权限,不能私下获取,应当按照相关规定流程获取数据。
二、集团公司内部审计风险及其原因分析
(一)内审实施力度不足
企业内部审计机构权威性以及企业内部审计职能的发挥受其负责高管职位特点影响,目前,很多国有企业集团公司的内审实施力度不足,这主要是因为集团公司的内部审计不归属董事会领导。相对来说,企业内部审计机构在公司整体组织架构中地位越低,其独立性越差,相反,其地位越高,独立性就越强。但是,目前我国很多集团公司内部审计地位很低,一些公司甚至将内部审计附属于财务机构,实施力度不足也就不足为怪了。
(二)审计问题处理速度和程度不高
集团公司内部审计部门的独立性由强到弱的顺序为:向董事会报告,向总经理报告,向副总经理报告,直接报告的对象与审计部门独立性有着极其紧密的联系。向总经理报告有利于审计问题的整改,向董事会报告最有利于监督管理层工作,利于维护所有者权益。因而集团公司应当建立子公司内部审计部门向母公司报告的途径,若是只向高级管理层进行行政性报告,很有可能会造成重大审计问题
的掩盖。
(三)内审的独立性和客观性较弱
目前我国的集团公司内部审计机构地位不超脱,不够独立,内审职能常与纪检监察职能、法律只能、财务职能等统一赋予一个部门,或是直接隶属于高管层,内审经费、内审人员均由管理层决定,这就导致了审计方与被审计方均处于同一利益链条上,内审工作容易受到其他工作的牵制,内审人员的执业不容乐观。
(四)内审作用发]不彻底
内部审计机构的管理方式不当,直接弱化了内部审计作用的发挥。若是集团公司属于强控制型企业,内审机构却被母子公司分级管理,缺少垂直型内部审计机构,则可能会造成内部审计资源的分散,有项目时临时集中人员,影响审计工作的效率和效果;若是集团公司属于中控制型企业,则应当选择内部审计机构双重管理方式,子公司内审机构如只受子公司领导会导致整个集团公司的内审监督体系不完整,信息沟通不顺畅,子公司内审机构如只受母公司领导则会导致内部审计机构存在的受托经济关系消失,内审类似与外审,若子公司完全没有内审机构,则会导致集团公司内部审计机构缺乏子公司的日常审计资料,不能对其经营管理情况全面、准确了解。
(五)内审质量不高
内审质量不高主要是由于集团公司的内部审计制度和机制不够健全引起的,知情权、参与权有限,影响了内审机构所需信息的获取;内审活动质量控制机制、内审部门及人员绩效考核机制落后,持续审计、后续审计缺乏,导致了内部审计质量不高。
三、 集团公司防范内部审计风险的建议与对策
(一)设立内部审计机构
要保持内部审计的独立性,集团公司必须设立健全的内部审计机构,仅在必要时借助外部技术支持。在内部审计机构内设置以董事会为主的职能领导,以总经理为主的行政领导,还需要设置一个总审计师岗位,此职位应当由公司党组成员或者内部审计专家来担任,母公司董事会应当作为集团公司内部审计最高领导,子公司或者分公司审计机构及人员设置应仿照母公司设立。对于审计部门来说,指导下级公司业务,负责企业内部审计管理是其主要工作,内部审计机构应当致力于不断优化公司治理审计、风险管理审计、内部控制审计,充分发挥其监督评价和服务咨询职能。另外,在内部审计人员的选聘及培养方面,要提升内部审计人员的素质,招聘经验丰富、素质较高的人员。集团公司还应当为内审人员设计明确的职业发展通道,给员工增加学习、发展机会。
(二)加强内部审计沟通与协调
内部审计应当确保集团公司的高级管理层、审计委员会、内审人员、外审人员之间的沟通与协调,为了促进审计问题整改,为了获得更多人的配合和支持,需要得到更多重要信息,这就需要企业内部信息沟通顺畅,加强内部审计机构与其他部门之间的沟通,可以设专人来负责处理部门之间的冲突,不断促进协调。在此基础上,在外部利益与企业内部审计机构之间建立有效沟通,充分发挥各种机制促进协调作用的发挥。
(三)应用先进内部审计工具
集团公司应对经营、管理数据进行实时监控、审计,为此应当构建非现场审计系统,嵌入公司ERP系统之中,结合企业实际情况,将内部审计转为全数据审计,以建设和应用内部审计信息系统为目标。
(四)实现以风险为导向的内部审计
集团公司内部审计工作内容范围广,为了提高审计效率,应当进行综合审计,即风险导向型内部审计,将内部控制、公司治理和风险管理三者进行有机融合。具体方法为:在制定年度审计和中长期审计计划过程中,结合自身专业判断,充分利用全面风险管理成果;在制订项目审计实施方案时,根据风险评估结果优化内部审计资源配置;在应用审计结果时,将发现的问题、事项区分为“违规问题”、“风险提示”、“管理问题”等,并采取相应应对措施。
(五)健全审计质量控制体系
审计质量控制体系应当能够覆盖整个内部审计流程,包括审计计划的制定、审计前的调查与制定方案、审计的现场实施阶段、报告阶段、整改追踪阶段等,都需要建立审计业务质量标准、审计管理质量标准和职业道德规范标准,确保审计质量的提高。
(作者单位:石家庄物产集团有限公司)
摘要:内部审计作为一种内部制度,针对不同的行业和领域表现出特定的审计内容,集团公司内部审计对于防范风险具有重要的作用。目前,很多集团公司的内部审计的现状不容乐观,集团公司内部审计还存在着诸多亟待解决的问题,控制集团公司内部审计风险是当前迫切需要解决的问题。本文在分析集团公司内部审计风险类型的基础上,重点探讨了控制集团公司内部审计风险的策略,以期为集团公司内部审计风险防范提供参考。
关键词:集团公司;内部审计;审计风险;风险控制
内部审计风险是指财务报告存在重大错报、漏报或企业经营管理上存在弊端和漏洞。集团公司内部审计风险是不可避免的,为了保障审计目标的实现,充分发挥内部审计在企业风险管理中的重要作用,有必要对集团公司内部审计的风险进行控制。如何防范集团公司内部审计风险是当前集团公司关注的焦点。因此,研究集团公司内部审计风险及其控制具有十分重要的现实意义。鉴于此,笔者对集团公司内部审计风险及其控制进行了初步探讨。
一、集团公司内部审计风险类型分析
内部审计作为集团公司内部的一个独立的监督部门,集团公司内部审计风险主要包括三个方面的风险,即固有风险、控制风险和检查风险,其具体内容如下:
1.固有风险。内部审计是审计监督体系的有机组成部分,集团公司内部审计固有风险由业务本身的特点所决定的, 不同的经济业务其固有风险的大小亦不相同,固有风险具有发生重要错误或弊端的可能性,不是企业内部可以控制的,也是难以定量的,如涉及实物财产的业务、不确定性高的业务所具有的风险相对要大一些。固有风险在集团公司内部审计中,集团公司内部业务本身十分复杂,容易出错,很难控制。
2.控制风险。控制风险是指因失控而发生的风险。控制风险可以通过内部控制进行预防、及时发现和纠正。在集团公司内部审计中,控制风险主要包括两个方面的内容,一方面,控制风险与企业内部的控制直接相关。由被审计单位内部控制薄弱带来的风险。审计部在每年的内部审计报告中都会向董事会报告对公司内部控制状况的评价意见,针对风险较大的环节提出纠正建议。另一方面,内部人员的舞弊行为,也会造成控制风险的发生。受审计的人员的舞弊行为一般是十分隐蔽的, 难以被发现。
3.检查风险。审计风险是客观存在的、不可完全避免的,在集团公司内部审计风险中,检查风险是审计人员唯一可以控制的风险。检查风险的高低是审计人员所能调节和控制的。审计风险主要是由于审计主体自身的原因造成的,集团公司内部审计人员在审计过程中没有执行审计标准,或是审计人员的经验不足、方法不当、资源所限等引起的风险。检查风险又可以分为以下两种,一是抽样风险(误受风险、误拒风险)。也就是审计发出了与实际情况不符的审计报告。二是非抽样风险。抽样风险以外的风险都是非抽样风险。
二、控制集团公司内部审计风险的策略
控制集团公司内部审计风险的策略,可以从积极转变内部审计职能、尝试推行增值内部审计、充分整合各类审计资源和适时引入外部审计机制四个方面入手,下文将逐一进行分析。
1.积极转变内部审计职能。随着传统内部审计向现代内部审计的转变,控制集团公司内部审计风险的策略,积极转变内部审计职能是关键。内部审计部门有着监督与服务的双重职能, 服务导向型审计与审计环境的变化是相匹配的。集团公司内部审计在服务导向型审计活动中,审计活动的理念、职能、方式、手段与内容都会发生深刻转变,加强对内部审计工作的指导、监督和管理, 积极转变内部审计职能,例如审计手段由手工操作向利用计算机、网络信息技术的转变,可以促进建立和完善内部审计工作体系。
2.尝试推行增值内部审计。尝试推行增值内部审计,也是控制集团公司内部审计风险的有效途径之一。所谓增值型内部审计,是从实现增值需要满足的条件出发,以提高组织运作效率和增加组织价值为目的内部审计。集团公司增值型内部审计作为一种新型内部审计方式,利用内部审计的特殊地位、资源与方法不断实现增值,是一种有益的尝试。
3.充分整合各类审计资源。为有效控制集团公司内部审计风险,充分整合各类审计资源,可以在一定程度上减少集团公司内部审计的风险。集团公司内部审计风险控制,在充分整合各类审计资源方面,应从现有的内部审计管理模式入手,结合集团公司内部审计情况,将集团公司的内部审计制度模式、内部审计资源组织方式以及内部审计自身的特点与规律等加以充分整合,发挥集团公司内部审计的职能作用。
4.适时引入外部审计机制。合理的风险控制系统可充分保证内部控制作用。适时引入外部审计机制,对控制集团公司内部审计风险也具有重要的作用。从目前来看,集团公司要想建立起完善的金融监管体制,适时引入外部审计机制势在必行。就集团公司内部审计风险控制而言,可从外部审计机制的引进入手,适时引入外部审计机制,通过外部审计的专业化、规范化来健全和完善自身的内部审计体系,从而达到防范集团公司内部审计风险的目的。
总之,集团公司内部审计风险及其控制具有长期性和复杂性。为进一步提高控制集团公司内部审计风险,应积极转变内部审计职能、尝试推行增值内部审计、充分整合各类审计资源,适时引入外部审计机制,不断探索控制集团公司内部审计风险的策略。只有这样,才能有效防范集团公司内部审计风险,促进集团公司又好又快地发展。
