内部控制自我评价的运用.doc

内部控制自我评价在宝钢的运用 简介：内部控制自我评价是新兴的审计技术和方法,在西方发达国家公司内部控制管理领域被广泛运用。本文以中国航油(新加坡)的暴仓事件为反面案例,对内部控制自我评价的理论背景和基本特征进行介绍,并着重介绍了这一方法在上海宝钢国际经济贸易有限公司的实施,以及笔者在具体实施后的一些思考。 2004年12月,中国航油集团唯一的海外公司中国航油(新加坡)股份有限公司发布了一个令世界震惊的消息:这家新加坡上市公司因石油衍生产品交易,总计亏损5.5亿美元。净资产不过1.45亿美元的中航油(新加坡)因之严重资不抵债,已向新加坡最高法院申请破产保护。无论是中航油(新加坡)还是其母公司中国航油集团都处在舆论聚焦之中。如今,全球投资人和公众对国有大型企业的内部控制管理能力深感忧虑,也对现有的监控体系产生怀疑。很多人怀疑中航油(新加坡)内部根本就没有风险控制体系。其实,中航油(新加坡)的内部控制体系在形式上一直存在。其风险管理手册是由安永会计师事务所制定,与其他国际石油公司操作规定基本一致。中航油(新加坡)内部设有风险管理委员会。每名交易员亏损20万美元时必须向风险管理委员会汇报;亏损37.5万美元时,向CEO汇报;亏损50万美元时,必须斩仓。关键在于,公司缺乏对其内部控制状况定期进行有效的评价。因此,对企业自身的内部控制状况开展评价并完善其内部控制无疑是关系到企业生死存亡的大事。一、内部控制自我评价的理论背景和特征CSA是一种新兴的审计技术和方法,最早是由加拿大的海湾资源公司在上世纪八十年代开始运用的内部控制自我评价系统,多年来总结了一套系统的技术和方法,并大大推动了该公司内部控制的发展和完善。目前这种方法在美国、加拿大及欧洲得到广泛运用,是西方发达国家公司内部控制的一个新趋势。内部控制自我评价,简单来说就是公司不定期或定期地对自己及所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标。其普遍的方法是内部审计人员与被评价单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评价,然后根据评价和集体讨论来改进建议出具报告,由管理者实施。通常,内部审计部门会在年初制定一份名单以确定哪几个部门和业务单元需在当年实施CSA。在正式实施前,内部审计人员与被评价单位管理人员组成一个小组,并对公司高级管理层进行访谈以确定本次内部控制评价的范围和重点。之后,小组成员运用调查问卷和对关键岗位员工以访谈的方式了解经营状况、业务流程,经必要的穿行测试和分析性复核后初步确定中、高风险区,作为研讨会的讨论重点。CSA是一种自发的自我评估运营程序,它把传统的只由内部审计人员从事的内控评价转由公司各部门参与作业的人员亲自评估,帮助他们认识到内部控制不只是内部审计工作的责任,也不仅仅是高级管理层应关心的问题,相反,应该把它看作是组织所有成员的事。内部控制自我评价是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部控制自我评价的目的是使人们了解哪里存在缺陷以及可能导致的后果,然后让他们自己采取行动改进这种状况,而不是等内部审计人员站出来指出问题。研究表明,实施内部控制自我评价的方法对于一个公司加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。加拿大的海湾资源公司实施内部控制自我评价仅10年,它的理念受到了国际内部审计协会等理论界和实务界的赞许和推广,其工作方法被广泛采用,企业的管理者对内部控制自我评价的兴趣越来越浓。其产生与发展的社会背景自上世纪八十年代以来,跨国公司大量涌现,企业的组织结构较多采取地区事业部和产品事业部制。一方面,随着贸易一体化、经济全球化、决策低层化及竞争多元化的趋势日益明显,企业的经营风险比以往任何时候都大;另一方面,内部审计人员由于对复杂多变的业务不尽熟悉,受人力资本和工作时间、工作地域的限制,完全依赖个别审计人员实施完整有效的审计监督的年代已一去不复返。同时,我们看到CSA提倡的研讨会方式让全体员工(特别是基层员工)参与内部控制的建设。这符合国际上流行的管理理念,即重视员工价值,强调人本管理和能本管理。因为CSA的推进过程同时也是普及内部控制相关知识的过程,是一个人力资源培训过程。2002年,美国在安然事件后颁布的萨班斯一奥克斯利法案要求上市公司在年报中必须包括公司内部控制状况的陈述并要求公司管理层对公司的内部控制和诚信负责。同时,海外的许多证券市场也都要求上市公司高级管理层对公司的内控状况做出承诺,并要求会计师事务所对其内部控制开展全面调查。以在美国上市的国内企业为例,中海油和中石油都在按照萨班斯奥克斯里法案的要求梳理、完善内部控制制度,并完成一系列的记录、归档工作以备检查。正是在这样的环境下使得内部控制评价在全球又掀起一股推广的浪潮。内部控制自我评价的基本特征是:关注业务流程和控制成效;由职能部门和业务部门共同进行;从内部审计人员到业务流程具体执行人员全体参与;用系统化的方法开展评价活动。完整的内部控制自我评价结构包括以下几个方面:1.管理者的支持。内部控制自我评价开始于内部审计部门和其他管理部门间良好的合作关系和相互的理解。内部审计人员应清楚地理解单位的文化、政治和环境,这些知识将有助于确立最适当的评价框架。管理者还要根据需要建立工作小组并了解小组及其成员。2.研讨会。召开研讨会有助于对选题进行交流和探讨。研讨会的基调是双向发现问题和共同分享信息。参加研讨会的对象应尽可能多,与讨论的业务流程相关的人员,特别是风险薄弱环节的工作人员必须到场参加讨论。现场讨论应做到人尽其言,所有的观点都应记录在案。3.自我评估报告。报告主要有三个部分:本次评价的内部控制范围和评价过程中的特殊情况;内部控制各个环节的风险程度,可用热力图来表示(风险最高的是红色,较高的是黄色,其次是深绿色,再次是浅蓝色,风险最低的为白色);对标红色和黄色的高风险环节进行具体称述,说明其状况、影响,并提出改进方案和方案的完成时间、责任人。如果对该高风险管理层决定不采取措施,而是承受这一风险,应有管理层的书面承诺。4.行动计划。行动计划是实施内部控制自我评价的必然结果。内部控制自我评价帮助被评价单位建立一个大家共同认同的目标,所有的问题虽不会立即解决,但能有效地控制风险,使被审计单位向预定目标前进。在制定行动计划时应特别关注控制点和相应的控制措施。不同的控制点,有着不同的业务内容和控制目标,因此需要采取不同的控制措施,才能预防和发现各种错弊。不同行业、公司为实现控制目标所采取的控制措施也可能相去甚远,不能穷尽,需要审计师根据具体情况,运用职业判断能力进行确认。二、2004年宝钢国际内部控制自我评价试点1.试点背景上海宝钢国际经济贸易有限公司(简称宝钢国际)是上海宝钢集团公司的全资子公司,原名为宝钢集团国际经济贸易总公司,1993年成立,注册资本14.5亿元人民币。2001年公司更名为上海宝钢国际经济贸易有限公司,并于2002年、2003年先后两次增资,现注册资本为22.49亿元人民币。宝钢国际作为宝钢集团的三大产业支柱之一,负责宝钢股份和集团内其他公司的购销、进出口业务,是钢铁产业链中重要的一环。公司现已建立了覆盖全国和全球十多个国家和地区的营销网络,并利用自身及宝钢集团的技术、产品、服务和大规模国际采购与销售的优势,与客户建立了长期、广泛的经营合作关系及战略伙伴关系。是一家集矿业、钢材贸易、加工配送、金属资源业、设备工程业、钢制品业、物流业、电子商务业和汽车贸易于一体的综合性贸易公司,公司员工2200人。宝钢国际管理层在对CSA进行深入研讨后认为:提高管理水平,完善内部控制制度是公司发展和治理的需要。而且,完善的内部控制是ERP实施和业务流程优化的保证。宝钢国际自成立以来一直在推进ERP的实施和完善,提出“所有的权力在系统中实现,所有的交易在系统中运行,所有的资源在系统中受控”。公司的业务流程优化也备受关注,作为一个既有内贸、又有外贸,拥有40余家子公司的大型贸易公司,业务流程的优化是一项持续的工作。而内部控制可作为ERP和流程优化的保证。缺少了内部控制,这两项工作将成为空中楼阁。所以,对内部控制状况展开全面、系统地评价就成为当务之急。还有,宝钢国际作为市场化运作的企业,面临各类经营风险,必须对风险进行管理和控制。内部控制的评价工作的内容之一是对风险的识别和管理,这为公司在经营领域开展全面风险管理作了前期工作,可视为风险管理工作的序曲。同时,从宝钢国际的组织发展来看,其实施CSA有一定的必然性。原因是:一方面,宝钢国际拥有六个事业部,经营的业务涵盖钢铁、矿石、汽车、成套设备贸易,废钢加工回收业务,招标,电子商务及物流服务等。这正如CSA在西方国家诞生时的组织背景。由于业务复杂多变,受人力资本和工作时间的限制,完全依赖少量的审计人员实施完整有效的审计监督十分困难,宝钢国际目前的经营风险比以往任何时候都大。另一方面,由于宝钢国际采取事业部制,使得在此组织机构下职能部门和业务单元的冲突无法避免,而以监督和检查为天职的内部审计部门首当其冲。为了创造和谐,更是为了深入业务,在监督的同时做好指导、服务工作。CSA作为一种很好的双向沟通机制,从其在美洲国家出现的那天,就受到企业中审计部门和业务单位的一致好评。可望借助CSA这一平台让各部门减少摩擦,创造和谐。2.实施过程在对CSA进行前期了解后,宝钢国际决定进行CSA项目试点,实施主体是设备工程事业部下的三个业务单元(物资贸易部、备件贸易部和设备工程贸易部)。由审计部人员与被评估业务单元的管理人员共同组成CSA项目评价小组,在外部咨询顾问德勤会计师事务所的指导下,协同事业部管理部,从内部控制特别是控制环境和业务流程人手关注岗位设置有无牵制、业务模式有无缺陷、执行者是否了解遵循制度、有没有超越授权范围、有没有不在会计报告和公开的业务台帐上反映的违规违法业务等高风险环节,帮助各业务单元自发提出切实可行的改善建议,并明确责任人和改善时间。宝钢国际是按以下步骤实施内部控制自我评价的:(1)前期计划工作。在取得管理层的支持后,公司选择了德勤会计师事务所的风险管理部作为合作方,由其在工作方法和智库方面提供帮助。组织了评价小组,并对事业部中高级管理者和评价小组成员做了讲解和培训。(2)风险初步确定。通过访谈和穿行测试,确定了内部控制评价范围,设计并发放调查问卷。通过反馈的问卷,分析内部控制的薄弱环节,列入研讨会讨论重点。(3)研讨会的组织与召开。确定参加人员和会议时间,提前通知参加人员并提供讨论大纲。使用独立的会议室,使用电子投票设备或其他匿名投票方式以最大限度保证与会人员的意见不受他人影响。每次研讨会,评价小组都指定一位会议主席,主持研讨会,并安排书记员及时记录。所提的问题和讨论应紧紧围绕高风险的内部控制的薄弱环节。会议主席应激发所有与会人员充分发表意见,独立思考,并针对内部控制的缺失提出建设性的改善建议。会议主席还应控制会议进程,避免跑题和陷入互相指责、争吵的混乱局面。(4)出具内部控制自我评估报告。评价小组把讨论的问题归类整理,认真分析,并适当做出中肯的评论。我们运用热力图的方式表达各个具体评价对象的风险程度。如在采购环节中“采购价格”是5分(风险最高,用红色表示),“供应商资信”是4分(风险较高,用黄色表示),而“票据结算”是1分(风险最低,用白色表示)。更重要的是在每个高风险点后都应有集体讨论后提出的内部控制完善措施和责任人、完成时间。对此,我们运用了风险控制矩阵(Risk Control Matrix,简称RCM)。RCM是一个矩阵式的表单,包括流程环节、控制点、控制措施、风险程度、改善措施、责任人、完成时间。经过持续完善后的RCM可作为公司内部管理手册和风险控制的模板。(5)落实整改措施。落实整改是内部控制持续完善的关键一步,也是开展内部控制评价的最终目的。审计部在业务人员实施整改后安排后续追踪。同时,还运用调查问卷的方法了解员工对CSA的认知度,以及对本次内控评价的看法和建议,以便于在下次评价活动中进一步完善工作方法。项目小组充分利用内部审计人员的专长,设计了内部控制评价的专用工作手册。同时,保留了CSA的核心理念,研讨会是其集中体现。研讨会是本次CSA项目中最主要、最具特色的一种开展方式,集中体现了CSA的核心理念,研讨会的特色集中体现在以下三个方面:首先,研讨会的讨论内容以风险为导向(特别是控制环境和控制活动中的软控制)。研讨会召开之前,评价小组通过前期的访谈和问卷调查就控制环境和业务流程中影响公司目标实现的风险达成一致,并决定研讨会的特定议程和问题。研讨会上,主持人引导与会者就目前的业务操作严格围绕所列问题积极讨论其所涉及的风险、风险发生原因和可能造成的后果,并归纳整理出相应的控制措施。其次,研讨会是一个发现问题、分析问题、解决问题和共同分享信息的双向沟通过程。研讨会上,一方面通过主持人的提问引出适合会议目标的业务、数据和改善方案,另一方面每一个与会者能看到其他人员所关注的问题,这样就把信息和思想在与会者之间进行传递沟通,帮助达成统一共识,使研讨会达到和谐并取得最佳预期效果。这种过程不仅有助于管理人员进一步发现经营过程中那些容易发生错弊而需要加以控制的关键环节,也有利于管理层推行改进后统一的管理方法最后,对于所有与会者来说,研讨会也是一次很好的跨专业领域的学习机会。对业务部门员工来说,研讨会加深了他们内部控制和风险防范的意识,帮助他们在今后的业务操作过程中自发地进行规范化操作和风险的事前、事中控制,也便于他们接受研讨会后以管理文件、公司制度形式落实下来的管理规范。此外,通过研讨会的前期准备和举办,审计部人员深入到业务部门,了解部门职能、人员职责和业务流程,为今后客座审计等工作的开展奠定基础。当然,在具体实施中,评价小组还遵循了国际内部审计师协会及COSO委员会的要求,在评价的第一层次内部控制要素评价标准借鉴美国COSO报告的研究成果,把内部控制组成要素分为控制环境、风险评价、控制活动、信息与沟通、监督。在评价中涉及的问题见下表:表1评价中涉及的问题 要素问题我的上司/公司高级管理层在工作展现了高度的职业操守。我的上司/公司高级管理层在工作严格遵循国家法律和公司规章。我的绩效目标/公司的绩效目标是实际的,而且可达成。我的同事或下属具有专门的知识技能来完成他们的工作。我的同事或下属具有从错误中学习、改进的能力。控制诚信是公司经营政策优先考虑的。环境我和我的同事被一视同仁的对待,大家都有职业发展机会。我的上司或公司高级管理层在工作严格遵循国家法律和公司规章。我的绩效目标/公司的绩效目标是实际的,而且可达成。我的同事或下属具有专门的知识技能来完成他们的工作。我的同事或下属具有从错误中学习、改进的能力。诚信是公司经营政策优先考虑的。公司现行的管理制度和作业流程能让我有效的完成工作。控制活动员工的舞弊行为将被公司发现。员工违反国家法规、公司规章将被收到严厉的处罚。 表1评价中涉及的问题(续)要素问题我能自主制定我的工作目标。我有充足的资源来实现我的工作目标,公司一定会风险支持我。评估在我的部门,工作流程的重大改变都被适当地管理。在制定计划时,我们充分考虑影响计划实现的因素。公司的信息系统能定期向不同的管理层提供详略得当的信息。我与我的上司以及公司高级管理层能对大部分管理信息事项达成共识。沟通跨部门之间的横向沟通是有效的。我的上司或公司的高级管理层了解我的实际业绩。我们有足够的信息来监督供应商的合同执行情况。我们有足够的信息来了解用户对我们的满意度。监督我或我部门的绩效可以明确的衡量。我和同事们对绩效实现的差异能进行分析并提出改进措施。我的上司和我会定期审查工作成果。第二层次是内部控制作业层级评价标准遵循传统审计的方法,按照业务流程划分为采购、存储、生产和销售。这部分关注的内部控制的关键点,在许多国内审计和内部控制的书籍都有介绍,不再赘述。CSA项目通过在宝钢国际设备工程事业部若干业务单元的尝试,取得了预期的效果,三个业务单元分别在采购询价和比价、规范合同文本、供应商的选择和信息维护等方面针对各自的业务特点总结出了相应的风险热力图、关键流程风险认定和改进建议并落实了具体的责任人和改善时间。三、宝钢国际在实施CSA之后的思考笔者认为,内部控制自我评价在国内大型企业,特别是跨行业的集团公司有着广阔的发展空间。内部控制自我评估作为一种管理工具,在实践中得到不断完善和个性化改进。今后,内部控制自我评价在实践中还可以和其他管理工作结合开展。1.与风险评估工具结合风险评估工具是西方广为采用的审计工具,它适用于柔性与硬性控制,促使组织内部审计工作由整体到个别贯彻风险评估的思考过程,并能弥补传统问卷记录控制方法的不足。原来风险评估工具较多运用在项目投资和合同评审中,但现在更多运用在企业的战略目标、营销政策中。可以说在内部控制的几大子系统,如采购循环、销售循环、融资循环和投资循环等都可运用这一工具。公司可考虑成立风险评价委员会,同薪酬委员会一样作为公司的一个高级专业委员会。委员会负责对公司及所属子公司的风险进行评价、建立预警机制。委员会可吸收部分从事过内部控制自我评价的专业人士作为成员,内控评价手册和风险控制矩阵也有利于风险进行评价和预警机制的建立。在开展评价过程中可同时采用两重分析的方法。研讨会的风险分析逻辑有两种。一种是顺时针法,即由目标风险评估控制流程,重点保证内部控制制度的完整性。另一种是逆时针法,即由流程控制风险评估目标,重点保证内部控制制度的适当和有效性。笔者在实践中发现研讨会可考虑两种方法结合运用,这样就能保证控制目标分析的完整性,又有利于发现冗余的流程和过度的控制。在此,笔者介绍一种毕马威会计师事务所已经设计并使用的以风险为基础的战略系统审计方法,(Business Measurement Process,简称BMP)。BMP审计方法以严密的组织管理整体性以及业务风险为导向;它为审计人员在掌握审计知识的重点、宽度和深度上提供了指导方向;也为审计财务报表信息所需要的综合业务知识提供了指导。它把源自交易风险方面的风险评估提升至一个整体的战略客户商业风险高度。在BMP的框架下,战略分析始于整个风险评估之首。重点关注那些在已经实施的战略框架,企业的持续竞争优势,还有危及到战略成功实施的商业风险。归结来说,它有如下五个步骤:战略分析(Strategic Analysis),业务流程分析(Business Process Analysis),风险评估(Risk Assessment),业绩衡量(Business Measurement)和持续促进(Continuous Improvement)。2.与信息化管理结合随着互联网和电子商务的兴起,对信息系统的审计业务已经超出了为财务报表审计提供服务的范围,与信息安全相关的防火墙检测、安全诊断、信息技术认证以及ERP相关的审计技术不断涌现。同时,管理信息系统作为企业内部控制和管理的重要子系统,也在评价范围之内。把内部控制审计和信息系统审计结合能为企业提供更多的增值服务,也是内部审计的发展方向。我们应看到,对信息系统的安全性评价只是内部控制评价的一个方面,CSA与信息化管理结合的内容远不止于此。内部审计人员可考虑利用信息系统和计算机网络的建设,在系统中加入自动控制点和各种自动评价机制,可以是定期的,也可以是在特殊情况出现时。3.与兼并收购业务中的公司重组结合企业在兼并收购业务中,需对被收购的公司进行重组,包括清查债权、债务,盘点存货。这些是显性的,但是更要关注和重整其内部控制、企业文化、业务流程和公司制度,因为它们更深地影响了公司的经营安全、盈利能力。如国内的海尔,在兼并战中向被兼并方输出的主要是管理者,是增强其企业文化的认同,内控制度的完善,而不是资金和市场。所以,在被收购的公司开展CSA尤为重要,且有实际意义。现在,国内并购中较多的是对被兼并的企业进行财务尽职调查。今后可与CSA结合实施,以取得对被兼并企业的全面评价。4.招募客座审计师客座审计师可以是业务单元的资深业务员,也可以是职能部门的管理人员。通常,客座审计师按项目需要临时参加评价小组或接受提问,提供意见。审计人员自业务客座审计师处获得专家意见,而客座审计师也获得对内部控制很好的理解和掌握。可见,实行客座审计师制是双赢的。为了保证工作质量,客座审计师的人事关系可不变化,但其作为客座审计师的业绩状况由审计部评价并和其年度绩效挂钩。通过客座审计师制交换不同地区的审计师和财务、业务骨干,有利于建设专家智库,使审计团队共享审计最佳实务,在知识管理中强化细化管