《企业内部控制基本规范》及配套指引自2011年1月1日起分别在境内外同时上市的公司、沪深两地主板上市公司以及中小板创业板上市公司依次分步推进执行,根据《企业内部控制基本规范》及配套指引的要求,年终这些已执行的上市公司,必须对外披露年度企业内部控制评价报告和注册会计师提供的内部控制审计报告。
内部控制是一种持续的管理活动,贯彻于决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制。为了检查监督内部控制的建立和有效运行,强化企业监督、防范企业风险,仅仅进行内部控制评价和注册会计师内部控制审计远远不能满足企业管理的现实需求,企业自身还要动态、不定期、有针对性和突击性地开展内部控制审计,以便向最高管理当局及时提供内部控制建立、运行的实际状况,查找内部控制缺陷和风险隐患,发现管理的薄弱环节,提出整改建议,促进企业持续、稳定、健康发展。
但是,《企业内部控制基本规范》及配套指引只是从外部监管的角度规范企业内部控制评价和注册会计师内部控制审计,对企业自身开展的内部控制审计并没有作具体规范,企业究竟是遵守《企业内部控制基本规范》及配套指引还是遵守《企业内部审计准则》,目前没有一个明确的说法。因此,企业自身到底如何开展内部控制审计,笔者认为可以从以下方面着手。
1 企业要根据《企业内部审计准则》的要求开展内部控制审计
企业自身开展的内部控制审计,是指由企业内部审计部门对企业内部控制设计和运行的有效性进行审计,是内部审计的一种业务类型,也是一种持续的过程审计,具有前瞻性、时效性、预防性和突击性的特点,是对内部控制的再控制。因此,既然是内部审计,就应该遵守《企业内部审计准则》,并根据《企业内部审计准则》的规定来计划和实施审计工作,出具审计报告。
2 企业要从深入业务的角度开展内部控制审计
业务活动是企业规章制度的有效载体,没有业务活动的支撑,任何规章制度都只是无本之木,都是一纸空文,《企业内部控制基本规范》及配套指引的有效实施,也应该深深扎根于企业的业务活动。而企业自身开展内部控制审计,是出于企业内部管理的需要,是为加强动态监管和管理层决策服务的,监管和决策的效果最终是通过业务活动来体现,因此,企业开展内部控制审计必须深入到业务,通过对业务活动的审查来评价内部控制设计和运行的有效性,用业务数据来说明内部控制运行情况,是一种非常有说服力的审计证据。
3 企业开展内部控制审计应该和内部控制评价有机结合
虽然企业内部控制审计和内部控制评价目的不同、责任和实施主体以及报送要求均不同,但是两者在许多方面还是有许多共同点,企业内部控制审计应该在以下方面和内部控制评价有机结合起来:
1)企业内部控制审计应该和内部控制评价一样关注企业层面和业务层面的内部控制,企业层面和业务层面是企业的两个方面,是企业的有机结合,无论是企业对内部控制审计还是进行内部控制评价,缺少其中任何一方面的内容其结果都是不完整的,都是不合要求和充满风险的。
2)企业应该结合运用审核、观察、询问、函证及分析性复核等内部审计方法和个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样及比较分析等内部控制评价方法,来获取充分、相关、可靠的审计证据,以支持审计结论和建议。
3)企业内部控制审计应该使用和内部控制自我评价相一致的缺陷认定标准。
4 企业内部控制审计可借鉴的程序和方法
虽然企业内部控制审计和注册会计师内部控制审计目的和关注的方向不同、要求也不同,企业内部控制审计还是可以借鉴注册会计师内部控制审计的部分程序和方法,比如重要性水平确定的方法、审计测试的方法和风险评估的方法等等。
综上所述,笔者认为,企业内部审计部门进行的内部控制审计,既不同于董事会组织实施的内部控制自我评价,也不同于注册会计师定期进行的内部控制审计,而是企业出于防范风险和管理需要进行的动态、不定期和有针对性的内部审计活动,其审计的目的、程序、方法和内容是《企业内部审计准则》、《企业内部控制基本规范》及应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》的有机结合,从而形成由内部控制评价、注册会计师内部控制审计和企业内部控制审计组成的对企业内部控制内外结合、互相补充的立体监督检查体系,并最终促进实现企业战略。
