编者按:
在2006年的1、2月号合刊内,本文作者麻蔚冰先生在“内部控制”专题内撰写了一篇题为《内控体系建设线路图》的文章,文中介绍了以集团化方式运营的企业建设内控体系的推进过程。文章刊出后在读者中引发了热烈反响。由此可见,随着合规运作逐渐成为未来企业发展的主流,企业规范治理和内部控制体系建设已经成为公司治理和财务管理领域的热门话题,自然也成为CFO或财务总监等财务高管们日常关注的焦点。
本期开始,《首席财务官》运营版块将开辟“内部控制”专栏,希望能够提供一个开放的交流平台与读者朋友们分享有关公司治理中内部控制涉及的方方面面的问题,并依不同主题逐一与大家展开交流。希望有更多关注于此的企业管理实践者、专家、学者和读者积极参与我们的讨论,共同打造一个有识之士交流管理经验和拓宽视野的自由沙龙。
本期与大家分享的是作者在长期管理实践中摸索出的企业内部评分设计方案。
我们在这里倡导的是“企业治理级的”内控理念,只有在整个企业内建立了完整的内部控制体系才能使内部控制确实地发挥提升企业治理的作用。
笔者在《内控体系建设线路图》中简要介绍了以集团化方式运营的企业对下属企业开展内部评分审计问题。内部审计是所有专业内部审计人员日常工作的主要内容。但在开始的实际工作中,笔者发现使用常用的内部审计方法对下属企业进行审计时存在这么几个问题。
首先,当完成对各下属企业的年度审计后,常常“就事论事”,无法对各企业的内控管理好坏情况进行合理的横向和纵向比较,并为董事会和审计委员会(包括企业管理层)提供总体科学的情况报告;其次,无法对审计结果进行量化分析,无法建立数据库;第三,无法有机的将内部控制五要素与审计管理软件相结合;第四,内部审计与外部审计相互脱节,不能有效的促进解决外部审计师提出的管理薄弱问题;第五,无法实施标准化管理,审计人员水平高低对审计结果会产生重大差异;第六,不能有效跟踪下属被审计单位解决审计时发现的问题;第七,无法对各下属企业内控人员(内部审计师)的工作质量进行客观评价;最后,也是笔者一直在关注的一个问题,审计结果难以成为公共审计师横向评价各个企业内部控制的重要依据。为此,我们基于传统的内部审计方案,针对解决以上存在的问题,设计制作了一套标准化的企业内部评分审计方案。从2002年开始,我们正式使用该评分方案对下属企业进行年度内部审计。从实际结果来看,效果不错。以下是评分审计方案的具体介绍。
评分结构设计
企业设计评分结构时应该根据本企业的实际情况确定。通常需要考虑:
1. 评分内容。通常包括三个部分,基本审计、以前内控审计发现问题的更改情况以及外部审计师提出的管理建议落实情况。基本审计是指本年度对企业全部管理事项的全面审计。基本审计构成了年度审计的主体;为保证被审计单位持续改进其内控薄弱问题,我们将被审计单位改进落实以前年度内控审计发现的管理薄弱环节和改进建议情况列入了评分考核范围。同样,为保证被审计单位持续改进其管理薄弱问题,我们也要求被审计单位重视解决落实外部审计师完成年度审计后提出的管理建议。
2. 分值确定。以满分100分计,基本审计部分作为年度审计的最主要部分,一般占总分值的70%;以前内控审计发现问题的改进情况占20%;外部审计师提出的管理建议落实情况占10%.企业在具体确定分值时可以根据实际需要做相应的调整,或者增加新的评分项目。例如可以增加外部审计师管理建议落实情况的分值,或者增加质量问题更改情况作为新的评分项目。但汇总后的最高得分不能超过100分。
3. 具体计算公式:
(1)基本项目=∑(项目权重×评分值)/∑(项目权重)×∑(业务分值)×70%
(2)以前审计问题更改情况=∑(已经完成更改问题(高、中、低风险)/∑(上年审计师提出问题(高、中、低风险)×20%
(3)落实外部审计师管理建议=∑(已经完成更改问题数(高、中、低风险)/∑(上年外部审计师提出问题数(高、中、低风险)×10%
基本审计项目的评分设计原则和具体方法
如前所述,基本审计项目构成了企业年度内控审计的主体。基本审计也可以称为审计指导或审计清单。审计人员将依据该清单内容对被审计企业进行审计检查。为此,总部审计部门在对各下属企业进行审计前通常应当对具体的审计方案进行设计规划。总部审计部门每年还应根据管理风险的变化和新的管理需要对其进行调整。其基本原则有:
1. 与内控五要素相结合。所有审计项目按照内控五要素的观点来看,可以根据实际审计内容将其归类。如审计项目“保卫人员定期对厂区进行巡逻” 就可以划入内控五要素的“控制活动”中。审计项目“公司已根据总部要求建立了销售管理程序”可以划入“控制环境”之中。
2. 统一标准。为了尽可能保证给各下属企业提供公正的评价。审计项目的设计者应该采用统一的标准对所有下属企业进行审计。
3. 审计范围的确定。审计范围应当按照企业各项业务循环进行分类。如采购与应付账款、销售与应收账款、现金管理循环等等。通常我们可以设计成13个业务循环,如表1. 4. 按重要性设计业务循环的评分值。为便于日后的分析,所有业务循环汇总后的最高分值一般按照100分来设计。由于企业经营过程中的各个业务循环的风险程度和重要性有所不同。因此,设计每个业务循环的分值应当根据企业风险评估后的实际结果确定。例如,上市公司对于财务报告的真实性要求较高,所以在审计财务报告流程时,其分值可以高于其他业务循环;销售与应收帐款循环可以定为10分,资金循环可以定为10分等(参见以上审计范围和分值表)。
5. 按风险程度确定每个具体审计项目的得分权重。确定了业务循环的分值后,针对每个循环中的具体审计项目还应当根据该项目的风险程度、高低程度确定其权重。通常我们将每个具体审计项目的风险程度按照高(H)、中(M)、低(L)三个等级确定。如果该审计项目处于高风险(H)等级,则权重为5分;中度风险(M),定为3分;低度风险(L)为1分。
6. 审计项目的编码。为便于现场审计记录、日后分析评估和建立审计数据库,所有审计项目都应当进行编码。通常按照5位数设计。如,01-1-01.第一组两位数代表审计项目所处的业务循环。01表示“综合控制”;02表示“环保与职工安全健康”;按照表1依次类推从01 ~13, 共计13项。第二组一位数表示该审计项目在五要素中的归属。我们将“控制环境”设为 1:“风险评估”设为2;依次类推,5 就是“监督检查”。如前述审计项目,“公司已根据总部要求建立了销售管理程序”可以划入“控制环境”中,其编码就是1;第三组两位数表示该审计项目序号。有了这个编码,我们首先可以事先对基本审计项目的设计情况进行评估。
一般情况下,按照内控五要素和企业实际需要来看,控制环境类的审计项目总分值应当占到全部审计项目的30%左右;风险评估类的项目占到全部审计项目的10%左右;控制活动通常也占到了30%左右;信息交流和监督检查各占15%左右。当然,企业也可以根据自身的实际需要对分值比例进行适当的调整。其次,有了这个编码,审计师在完成评分审计后就可以进行量化分析了。比如,我们可以将所有被审计单位的审计得分分布情况画出图表,直观反映出各个下属企业和整个下属企业的内控管理情况,通过表格研究各个下属企业的内控管理薄弱环节以及主要问题是哪些等。为撰写审计报告提供依据。第三,可以建立数据库,对每年的审计结果进行连续观察和分析,预测新的管理风险变化情况,为风险预警提供重要依据。
7. 确定审计方法。根据内部审计专业的审计方法通常有观察测试、复核测算、穿行测试等。但是,作为具体实施审计情况来看,我们一般在审计方案设计时采取三种审计方法:即观察询问、检查测试、复核计算。一般性审计项目可以采用观察询问;一些具体的需要按照程序操作的业务通常采用检查测试;对于财务数据审计通常需要进行复核计算。
8. 评估值的确定。在完成上述业务循环定值和具体审计项目权重设定后,就可以对基本审计项目进行具体的评估了。为了给审计人员提供相同标准化的、客观的评价工具,我们可以在评估被审计单位处理每个具体的审计项目的情况下(或状态),事先确定评估值。评估值一般可以分为五个等级。以百分比显示,具体如下:
* 100% 表示被审计单位在处理某个具体审计项目时,能够全部完成(或作到)。业务程序完善并完全按照程序规定处理业务。相关业务人员有极强的风险意识。
* 75% 表示被审计单位在处理某个具体审计项目时,基本完成(或基本做到)。业务程序比较完整但存在一定的缺陷。相关业务人员有较强的风险意识。
* 50% 完成(或做到一部分)。有一定的程序但很不完善,存在重大缺陷。有一定的风险意识。
* 25% 基本没有完成(或做到)。有极少的书面程序;处理业务主要按照习惯或上级指示。相关业务人员基本没有风险意识。
* 0% 完全没做。没有任何书面业务程序。所有相关业务人员完全凭个人习惯和判断处理业务。没有任何风险意识。
落实以前内控审计发现问题的改进情况
这部分审计评分比较简单,审计人员只需要调出以前内控审计发现和管理建议,逐一对照被审计单位的实际落实情况就可以确定。为了关注高风险项目的整改情况,这里也可以对其进行权重设计。对于解决了高风险问题多的企业,权重就大,反之亦然。
外部审计师提出的管理建议落实情况
这部分审计评分和上面第三项情况相似,企业也可以根据外部审计师的审计发现所确定的风险程度来确定权重。
内部控制情况等级评定
当审计人员逐一完成以上全部企业三项审计(基本审计、更改以前内控审计发现情况和更改外部审计师管理建议情况)评分后,就可以得出一个审计总分。这个审计总分可以比较客观地反映被审计单位的实际内部控制情况,以及其管理风险的大小程度。我们可以按照各个分段确定其等级,通常采取从高到低五级评定。
第一级:91分 以上
优秀 (内部控制非常完善)
第二级: 81分~90分
优(内部控制完善)
第三级: 71分~80分
良好 (内部控制比较完善)
第四级:61分~70分
合格但不足(内部控制合格但有缺陷)
第五级:60分以下
差或极差(没有或只有少量的内部控制)
各企业在设计以上等级评定时完全可以根据本企业实际状况对等级进行调整。例如对60分以下的情况进行细分。
编制评分审计手册
在完成以上评分审计方案设计后,我们就可以将有关审计要求和具体说明等装订成手册发给内控审计人员使用。
例如,ABC公司内控审计评分表(基本审计项目)—— 样本
说明:
1、 作为示例,本表只能针对每个业务循环抽出一个检查项目,无法对以上基本审计项目具体展开。具体审计项目的数量,各企业应当根据实际情况设置,当企业发现某些检查项目不适合特定被审计单位时,审计人员可以将该项目权重取消并在备注中说明不适合。
2、 审计人员可以根据事先分工对所审范围内的项目进行评估打分,然后由审计小组负责人负责汇总。
小结以上介绍的内部评分审计方案只是我们在这些年的审计实践中摸索总结出来的一种做法,其中必然存在许多不足和缺陷,也不完全适合所有企业。欢迎广大读者朋友提出批评指正。最后,我希望着重说明我们在这里倡导的是“企业治理级的”内控理念,而非通常理解的财务控制和审计控制等狭义的控制理念。因为只有在整个企业内建立了完整的内部控制体系才能使内部控制确实地发挥提升企业治理的作用。
(作者为亚新科工业技术有限公司内控部总监)