《L9基于COSO整合框架构建增值型内部审计探讨(合著)》由会员分享,可在线阅读,更多相关《L9基于COSO整合框架构建增值型内部审计探讨(合著)(12页珍藏版)》请在金锄头文库上搜索。
1、基于COSO整合框架基础上的增值型审计初探于伯新 【摘要】随着审计理念的不断更新,增值型内部审计越来越成为主流的审计模式,本文从增值型内部审计的定义和COSO内控体系框架的基本内容入手,分析利用COSO整体框架构建增值型内部审计体系的可能性,在此基础上初步探讨了构建COSO内控体系-整合框架基础之上的增值型内部审计模式。【关键词】 COSO整合框架 内部审计 增值一、增值型内部审计含义2013年中国内部审计协会发布的中国内部审计准则第1101号-内部审计基本准则中将内部审计定义为:“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管
2、理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。”,这与国际内审实务框架有关内部审计的定义已完全趋同,这即是建立现代企业的需要, 也为内部审计转型提供了一个契机,我们要发挥好内部审计在完善公司治理、风险管理和内部控制中的作用, 为公司运营和价值增值服务,促进公司战略目标的实现。内部审计价值主要表现在两个方面:一是直接价值。内部审计通过确认活动,帮助企业减少或者避免损失,如财务收支审计、工程审计的审减额;二是间接价值。内部审计通过将内部审计关口前移,提供咨询服务,实现事前、事中的控制,为管理层、综合部门提供建议、风险预警等,间接为企业增加价值。二、COSO整体框架概述COSO内部控制
3、-整合框架是在美国反虚假财务报告委员会的号召下,由COSO委员会于1992年9月提出的并实施的, 2013年5月经过多次修订后,发布了新的框架内容。按照2013版COSO内部控制-整合框架对内部控制的定义,内部控制主要组织提供合理保证,使其实现运营、报告和遵循目标的一套体系。其中运营目标是组织运营的效果和效率,包括运营和财务绩效目标,资产安全不受损失。报告目标是组织内、外部的财务和非财务报告的可靠性、及时性、透明度等。遵循目标是遵守对组织适用的法律法规。2013版的COSO框架提出了基于内部控制五要素的17项总原则,具体是指:1、控制环境控制环境是一套标准、流程和结构,能够为内部控制的实施提供
4、基础。主要是组织对正直和道德等价值观做出承诺、董事会对内部控制的推进与成效进行监督、管理层围绕战略目标建立健全组织架构、授权机制、人才管理等。控制环境是内部控制体系的基石。2、风险评估每个组织都面临着来自内外部的各类风险。风险是潜在事件发生并对组织实现其目标产生负面影响的可能性。主要是目标设定、风险识别和分析、风险应对等。3、控制活动控制活动是通过制度和流程所确立的行动,旨在降低影响组织目标实现的风险。主要是通过控制活动将风险对目标实现的影响降到可接受水平、控制信息系统风险、通过合理的政策制度保证流程程序。4、信息与沟通信息不仅包括内部产生的信息,还包括与公司经营决策相关的外部信息。畅通的沟通
5、渠道和机制使各执行主体能及时取得他们在执行、管理和控制公司经营过程中所需的信息,确保信息内外部有效沟通。5、监督活动监督主要是实施持续(或)独立的评估以确认内部控制的有效性、评价内部控制的缺陷并及时反馈。三、利用COSO整体框架构建增值型内部审计体系的可能性必要性(一)构建增值型内部审计体系的可能性1、两者工作目标一致COSO内部控制整合框架和增值型内部审计的工作目标都是为公司运营效率的提高和价值增值服务,这就为依托COSO框架建立增值型内部审计打下了目标基础。2、两者工作内容总体一致COSO内部控制整合框架和增值型内部审计的工作内容都是为公司治理、风险管理和内部控制服务,这就为依托COSO框
6、架建立增值型内部审计打下了工作基础。3、两者服务对象一致COSO内部控制整合框架和增值型内部审计都强调既要面向外部的投资者、债权人和监管机构,确保符合监管的要求,又要面向内部的董事会和管理阶层,满足企业经营管理决策的需要。这就为依托COSO框架建立增值型内部审计打下了服务基础。4、两者报告关注范围一致COSO内部控制整合框架和增值型内部审计都关注财务报告、市场调查报告、资产使用报告、人力资源分析报告等企业经营管理的方方面面。这就为依托COSO框架建立增值型内部审计打下了范围基础。5、两者都强化风险管理理念COSO内部控制整合框架和增值型内部审计都将关注重点放在风险管理方面,都关注企公司面临的财
7、务和经营风险,都要结风险进行评估和报告。这就为依托COSO框架建立增值型内部审计打下了风险管理基础。(二)构建增值型内部审计体系的必要性1、是实现中石油内部审计转型的必然要求中石油审计经过经三十年的发展,内部审计已成为公司不可或缺的力量,在查错纠弊、促进管理等方面作了大量的、卓有成效的工作,审计工作水平也一直处在中国内部审计的前列,但与国际综合性能源公司相比,还有一定的差距,审计工作还重在查处问题,还不能满足高层次上管理的需要,亟需向增值型审计转型。2、是与国际接轨和现代审计发展的需要要做到国内一流、国际知名,必须要与国际接轨,当代最著名的内审著作-布林克内部审计-第五版,已将COSO控制的许
8、多理念应用到了内部审计中,中石油要建成综合性的国际大型能源公司,必须要与国际接轨,必须要探索建立以COSO框架基础上内部审计的方式方法。3、是公司发展和监控的需要实施COSO控制框架既是上市公司监管的需要,也是国资委对国有大中型企业风险管理的需要,中石油要实现健康发展、安全发展和稳定发展,其内部控制执行是否有效,是一个关键性的执行环节,内部审计作为风险管理的第四道防线,是公司治理和内部控制的一个主要部门,是保证公司战略目标实现和价值增值的一个关键部门,即是COSO控制框架的要求,也是公司发展的必然选择。四、基于COSO整体框架的增值型内部审计体系控制环境1、控制环境建立内审有效的控制环境控制环
9、境是实现增值型内部审计的基础,直接影响增值型内部审计的实施。(1)改变对内部审计的认识,树立增值型内部审计理念。从领导层面上讲,要重视审计,支持和定期听取审计部门的意见,畅通审计沟通渠道。从内部审计本身来讲,要转变观念,从过去重查处问题,向解决问题转变,从过去事后审计向事前审计转变,从过去单一的关注财务审计,向关注流程和风险管理审计转变,从过去与被审计单位的检查关系向共赢关系转变,努力为公司价值增值服务。(2)完善治理机构,提高审计工作的有效性。既总部层面审计要对审计委员会和管理双重负责,地区公司审计层面要对集团审计部和地区公司最高管理者负责,以保证内部审计的客观性和独立性。(3)提高内审人员
10、素质,打好审计增值的人力资源基础。一是大力弘扬审计人员职业操守和道德规范,营造良好的审计文化,形成一个和谐的审计氛围;二是通过培训、自学等形式,丰富内部审计人员的知识和技能。三是适当引入懂生产运行、法律和信息技术等方面的人才。四是在组织审计组时,抽调相关领导管理专家,实施联合审计,以解决短期内审计人员专业能力不强的问题。2、风险评估评估影响增值型内部审计实施效果的风险评估影响增值型内部审计实施效果的风险,是有效实施增值型内部审计的起点。影响其实施效果的风险可能表现在四个方面:审计项目立项风险、审计项目实施风险、审计成果转化风险、审计日常咨询服务质量风险。(1)审计项目立项风险。增值型审计关注项
11、目立项是否围绕着公司经营目标,以风险为指导,为公司经营目标服务。(2)审计项目实施风险。增值型审计关注项目实施时是否降低了审计风险,是否提高了审计质量,是否节约了审计成本。(3)审计成果转化风险。增值型审计项目关注审计成果是否得到有效转化,是否为企业增值。(4)审计日常咨询服务质量风险。增值型审计关注是否能够在日常工作中为公司各个管理层级提供有价值的服务建议。3、控制活动制定有效实施增值型内部审计的程序和措施根据风险评估结果,制定相应的程序和措施,是有效实施增值型内部审计的核心。(1)建立以风险为导向的审计项目立项机制。年度内部审计计划应与公司决策风险、公司经营风险联系在一起。目前集团公司和地
12、区公司每年都要编制风险管理年报,在风险管理年报编制的过程中,需要与公司的战略目标、公司KPI指标等为依据,评估公司第二年面临的重要风险。在内部审计项目的立项时,可以结合风险管理年报中评估的重要风险领域,来确定年度审计工作重点。对存在重大经营风险的环节,有针对性的安排专项审计项目,以揭示风险并加以控制和防范。(2)制定审计工作程序和具体流程来贯彻执行统一的标准,如将审计项目进行分类,针对不同类型的项目,识别各类风险,制定统一的审计方案实施模板,有效提升审计效率和质量,以降低审计风险。(3)建立审计成果转化机制。对重复发现的审计问题进行综合数据分析,从制度设计上、制度执行上查找问题产生的原因,并形
13、成专题报告和管理建议书,使审计成果有效转化。(4)建立审计问责和激励机制。对审计中发现的问题和好的做法进行分析,建立健全审计问责机制,对问题责任人进行追责;对审计中好的经验和做法进行推广,并纳入业绩考核。(5)建立审计日常咨询服务通道。与公司管理层决策、各个业务部门实际操作相结合,以审计的视角,提出日常工作中切实可行的建议,为公司各个层级服务。(6)适时开展风险预警,事前、事中要对风险进行持续监控,及时提示风险,为公司风险应对提供参考,使审计关口前移,提前控制和规避风险,促进公司价值最大化。4、信息与沟通建立良好的信息收集、沟通渠道信息与沟通是指公司经营管理所需信息被识别、获得并以一定形式及时
14、传递,以便很好地提供审计意见和建议,提高审计工作效率,节约审计成本。(1)建立健全信息收集渠道,包括外部信息和内部信息。一是审计人员要及时、持续不断地获取所需信息,全面了解公司经营状况以及公司的经营环境,以提出有价值的审计建议;二是及时对收集到的信息归类,对信息质量持续跟踪,并建立重要事项台账,记录疑点。(2)建立三个层级良好的审计沟通机制,将信息有效传递到各执行主体,以支持增值型审计发挥功能。一是审计团队之间建立畅通的沟通渠道。审计组成员对审计目标、审计任务有清晰的了解,审计组在实施过程中,建立“日沟通、周汇报”的机制,以便审计组长及时掌握整个审计项目的进度,使得项目能按照计划进行。二是与被
15、审计单位之间建立畅通的沟通渠道。要与被审计单位沟通,让他们了解审计的职能、目的和审计过程。要将审计情况及时与被审计单位沟通,以保证审计结果的客观性和审计建议的可操作性。要将审计意见和建议及时传递到被审单位,以减少风险,增加价值。建立“审计结果通报”、“审计整改情况通报”机制,促进被审计单位整改。三是与公司管理层之间建立畅通的沟通渠道。建立审计报告专报机制,将重大审计发现及时传递到公司管理层,为公司管理层提供决策支持服务;运用定性和定量相结合的分析方法,定期对审计发现问题进行总结分析,并以“风险提示”的形式提供给管理层。5、监督风险监控、审计整改跟踪和后续审计监督是对内部审计增值效果进行评估的持
16、续过程,包括如下三方面内容。(1)日常风险监控。内部审计人员在日常工作中要分析环境和风险的变化,时时关注风险,检查审计咨询意见和建议能否得到落实,是否能控制新的风险,是否需要提出新的咨询意见和建议。(2)实施审计整改遗留事项的后续跟踪。在下达审计意见后,审计人员要对审计问题整改情况进行复查,看其是否执行审计意见,采纳审计建议,是否采取合适的纠正行为;对于整改时间超过半年的事项,要建立审计整改遗留事项的台账,定期跟踪审计遗留事项的整改情况。(3)开展后续审计。在遵循重要性和成本效益原则的前提下,适时立项开展后续审计。在后续审计时要特别关注被审计单位审计意见和建议的落实情况,对于普遍性的并且改进效果好的审计建议,将分析结果和建议提供
