湘潭鋼鐵集團有限公司 楊 崢
隨著社會經濟建設的發展,企業內部控制系統是否有效,在某種程度上決定著企業的生死存亡,內部審計在公司治理過程中發揮的積極作用日益突出,企業開展內部控制審計正是為了適應新形勢下的企業管理需要,這一要求在上市公司更顯得尤為重要,我國上市公司內部控制的狀況,是監管機構和許多投資者較為關注的焦點之一,進入新世紀以來,越來越多的上市企業開始重視內部控制。美國權威機構COSO于1992年發布了《內部控制—整體框架》,使得企業對于內部控制的認識達到了現代企業經營的要求,這是內部控制發展史上具有決定性的一刻。
一、企業內部控制審計定義
企業內部控制是指為了實現經營目標,保護資產的安全、完整,保證會計信息資料的正確、可靠,確保企業經營方針的貫徹執行,保證經營活動的經濟性、效率性和效果性,在內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。內部控制審計是對內部控制系統的合法性、健全性和有效性進行測評和監督、檢查。企業內部控制審計審查和評價的重點為公司的治理結構、采購和銷售、對外投資、購買和出售重要資產、對外擔保、關聯交易、募集資金使用、信息披露等事項。
二、基于風險管理的內部控制審計在湘鋼的開展
內部控制的實質是風險管理,湘鋼為了規范公司全面風險管理,落實管理責任,加強內部控制,建立基于風險管理的內部控制體系,提升企業競爭能力,保證公司經營目標的實現,根據國家五部委《企業內部控制基本規范》、省國資委《關于加強企業全面風險管理工作的通知》以及總公司內控管理的要求,結合公司實際制訂了《內控與風險管理辦法》。近幾年來,湘鋼基于風險管理開展的內部控制審計工作主要體現在以下幾方面:
(一)主業單位內部控制審計測試
根據總公司內部控制自我評價工作安排,為了進一步完善內部控制基礎工作,規范內部控制活動,提升公司風險防范及管控能力,湘鋼針對主業單位進行了內控內審測試,并制定了《內部控制手冊》,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內。控制活動一般包括:資金風險控制、不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。
公司抽取相關部門專業人員成立了內控審計測試組,測試流程范圍包括:發展戰略、組織框架、人力資源、社會責任、企業文化、風險評估、信息溝通、銷售業務、采購業務、生產及存貨、研究與開發、工程項目、資產管理、業務外包、投資管理、資金活動、全面預算、信息系統、合同管理19個流程。測試采取與流程責任人交流,現場觀察、詢問、查閱有關文件記錄、抽樣檢查等方式。2014年通過內部控制審計測試,開具未達標項17項,涉及流程有:發展戰略、人力資源、社會責任、銷售業務、采購業務、生產及存貨、研究與開發、業務外包、投資管理、資金活動、信息系統11個流程。
在公司銷售業務環節的內控測試中,我們發現公司保兌倉業務風險較高。保兌倉業務是以銀行信用為載體,銀行承兌匯票為結算工具,由銀行控制貨權,在商品供方企業與商品需方企業簽訂購銷合同后,由商品需方企業向融資銀行繳存一定比例的保證金,融資銀行開出收款人為商品供方企業的承兌匯票,商品供方企業在收到銀行承兌匯票后,按銀行出具的提貨單向協議約定的倉庫發貨,貨到倉庫后轉為倉單質押,若商品需方企業到期無法償還銀行承兌匯票敞口,則商品供方企業負責回購質押貨物的一種“廠、商、銀”三方合作方式。實施保兌倉融資業務的目的在于協助公司客戶拓寬融資渠道、降低融資成本,實現公司產品銷售,穩定產品銷售渠道和市場。公司保兌倉業務的風險主要表現在:①對保兌倉業務的開展中,未能嚴格按照已制定的管理辦法執行相關審核、調查及擔保措施,會造成保兌倉業務開展中因各環節的執行不到位導致失控;②在日常監控及檢查過程中發現客戶有異常情況,未對其實施嚴格的風險評估程序及采取特別的風險應對措施,可能發生違約事件,給公司造成損失。
針對在保兌倉業務中發現的以上風險,我們制定了《加強湘鋼保兌倉業務管理的有關規定》,并建立了保兌倉融資風險應急處理機制,具體體現為:當銷售、財務部門認為協議客戶可能出現違約風險時,銷售部立即暫停發貨,財務部通知融資銀行暫停開票,協助銀行做好風險防范工作。審計部門作為保兌倉融資風險監控部門,負責對保兌倉融資協議執行過程中的風險進行監控,通過不定期抽審,檢查各業務部門對保兌倉融資風險管理的執行情況。
(二)子公司風險識別、評估
按照總公司確立的“戰略驅動、問題導向、效率優先、風險受控”總體原則,為了提升公司風險管理水平,搭建從風險識別開始,到風險評估、風險預警和風險應對的整體流程框架,加強重大風險的預警與防控,我們開展了子公司風險識別與評估工作。
公司將風險分為戰略風險、財務風險、商業風險和運營風險四大類別,其中戰略風險包括:競爭風險、客戶偏好轉換風險、行業方向轉換風險、戰略收購合并風險和企業研發新產品風險等;財務風險主要指償債風險和流動性風險,前者是指企業負債率較高,在經營虧損或者投資失誤的情況下,可能發生沒有足夠的資金按時償還債務和利息,引起財務危機,甚至導致破產,后者是由于缺乏獲取現金或者現金等價物而招致損失的風險;商業風險是指由于市場、法律和經濟環境變化而引發的企業風險,主要包括:信用風險、市場風險、信譽風險和法律風險;運營風險是指企業因內部流程、認為錯誤或外部因素而給企業造成的經濟損失的可能性,包括:企業流程風險、人為風險、信息系統風險、業務風險、事件風險。
首先進行風險識別,要求各多元產業單位按以上風險類別根據自身情況開展風險識別工作,以上四大風險評價標準按定量評價、定性描述、財務描述、聲譽影響、公司日常運營等影響程度分5個層次進行評分,并按照要求填寫《風險數據庫表單》;其次,審計部門根據各單位上報情況組織各產業單位和職能部室就風險數據進行分級討論,并按風險發生可能性與風險發生后影響程度得分之和計算出的風險評估值,來確定重大、重要和一般風險,以及基本應對策略(承擔、規避、轉移、對沖、補償、控制),整理形成湘鋼集團《風險數據庫臺賬》;再次,根據風險數據臺賬形成子公司《風險圖譜》;最后,審計人員根據各單位風險數據臺賬和風險圖譜中顯示的風險范圍,按重要性原則確定重點審計范圍。
有21家單位參與了此次子公司風險識別、評估工作,最終形成了子公司風險矩陣圖譜,從影響程度和發生可能性來看,子公司存在的風險主要集中在商業風險和戰略風險兩方面,其中信用風險和市場風險為目前子公司的最大風險,故審計人員將銷售業務作為子公司2014年內部控制審計的重點。
(三)子公司銷售業務內部控制審計
銷售業務是指企業出售商品、提供勞務及收取款項等相關活動。企業按照內控規范的要求,關注銷售業務流程中的主要風險及其相應的控制措施,有助于促進銷售穩定增長,擴大市場份額,實現與生產、資產、資金等方面管理的銜接,確保企業經營目標。銷售業務內部控制審計目標,就是保證銷售業務內部控制設計和運行的有效性,促使企業預防和控制銷售業務風險。
在對子公司的銷售業務內控審計中,我們抽取了部分銷售業務對外的單位進行審計。具體內部控制審計程序包括以下三個階段:(1)審計準備:對集團公司下屬單位中銷售業務對外的單位進行調查了解并確定被審單位,制定內控審計工作方案,并成立審計項目組、下發審計通知;(2)審計實施:對抽取單位的內部控制進行初步評價和風險評估,到各單位進行內部控制有效性測試,審計人員提出內部控制缺陷評價和審計評價,并形成意見;(3)審計報告:起草報告,提出審計建議。
我們選擇了德勤公司設計的內部控制測試底稿進行銷售業務內部控制審計,具體程序如下:(1)將銷售業務分成8個主要流程以及30個控制點,對照各個控制點中的控制目標和標準化控制活動,根據各單位實際情況填寫“本地化控制活動”,“本地化控制活動”必須與企業實際控制相符,描述細化、明確控制活動執行的主體,寫明執行人、審批人、執行的程序、涉及的文檔名稱等具體信息,涉及到管理層審批的,明確管理層的層級并寫出具體名字。在測試訪談時,選擇熟悉銷售業務且長期主管此項工作的適當人員進行訪談,觀察該單位經營活動,檢查收集相關文件制度。(2)根據業務發生頻率及全年發生交易量,每個測試底稿按相應的測試程序抽取一定數量的樣本,樣本量的確定詳見下表:
固定發生頻率控制活動樣本量
控制運行頻率控制運行的總次數測試的樣本量每年1次11季42月12周55天25020多大于 50次5
非固定發生頻率控制活動樣本量
預計每年發生的次數測試的樣本量1-2次3 627-15次16 52次553 20次20大于5
(3)參照《測試底稿》子流程的測試程序進行測試,通過詢問、觀察、檢查等方法進行逐個控制點的測試,根據抽取的樣本填寫樣本量描述,如:在銷售計劃管理環節,我們首先詢問該子公司是否制定了銷售計劃以及銷售計劃的期間,然后抽取了年計劃和月計劃兩份樣本,檢查銷售計劃是否經合理審批,是否根據實際銷售情況考核銷售計劃完成情況;在銷售定價管理環節,抽取了5份樣本,分別檢查價目表是否經合理審批,銷售合同的條款和價格是否與經審批的價目表一致,銷售合同的價格在價目表外的是否經合理審批,銷售折扣是否經合理審批等等。(4)對照標準控制活動的要求,判定、填寫測試結論(達標、未達標、未發生交易或不適用)及未達標項測試結論說明。(5)根據內部控制測試底稿中開具的未達標項填寫“內部控制缺陷整改跟蹤表”,包括整改方案、負責部門、負責人、應完成全面整改時間等,審計人員后續跟蹤檢查其是否按期完成整改。
通過對某子公司銷售業務內控測試審計,我們發現存在以下問題:①該子公司每年根據客戶上年度的業務量、回款、合同履約、對賬情況及經營狀況確定當年度客戶資信額度,對于實行先貨后款的新客戶,要求必須授信,且欠款額不超過授信額度。但在實際工作中,未授信的新客戶存在先貨后款現象,超過信用額度的授信未及時進行變更,未授信和超授信額度的現象普遍存在。②營銷管理制度規定各駐外機構的營銷價格不應低于廠指導價,特殊情況需先請示營銷部長、營銷廠長、廠長,同意后再形成合同傳廠部由營銷合同管理員根據價格審批權限逐級審批簽字方可生效。但實際上大部分結算單價低于廠價,且存在部分低于廠價合同未按規定審批的現象。③《發貨管理制度》中規定以下情況應停止發貨:“未納入信用額度管理而不能先款后貨的;欠款額超出信用額度的。”事實上該項規定未得到嚴格執行。通過審計發現的以上問題,并非無制度約束,而大部分是因為在實際工作中存在繞制度繞流程現象,審計針對此現象提出了切實可行的改進建議,并督促子公司進行了整改。
三、亟待解決的事項
(1)部分子公司內部控制體系及內部控制制度的執行力較差。一些子公司雖建立了比較完善的內部控制體系及內部控制制度,但由于經營管理者內部控制意識淡薄,不能很好地執行內部控制制度,有的還存在“人治”現象,使內部控制體系及內部控制制度僅僅停留在文字和紙面上,流于形式,沒有真正起到內部控制的作用,從而使內部控制審計工作存在較大的阻力。(2)在審計實務中,長期以來不論是財務審計、經濟責任審計還是經濟效益審計,都把對內部控制健全、有效性作為一項重要審計內容,而不是把內部控制審計作為獨立的一種審計類型,內部控制審計還停留在流程制度層面的審計,未深入剖析存在的問題,防范內控風險,使內部控制體系及內部控制制度具備可操作性。(3)內審人員配備不夠,且專業知識受限。湘鋼內部控制審計僅配備了2名專職審計人員(一名主管一名主辦),所學均為會計專業,不僅對內控相關知識掌握不夠,也缺乏可以借鑒的經驗,由于人員緊張和專業知識缺乏,嚴重制約了審計工作的開展。內部控制審計的開展,亟待加強專業知識培訓,引進專業人才,充實審計隊伍。
四、相關思考
總公司早在幾年前就已聘請國內專業咨詢公司設計了較系統的內控制度,但部分環節與子公司的現實經營情況不相稱、不匹配,執行起來有難度,究其原因主要是隨著子公司的經營規模擴大及管理細化,原有的內控制度設計時并未能充分考慮相關因素,使原來的內控制度部分條款顯得不適用,也有部分制度當初設計時,過于理論化,均致使相關內控制度條款的設計需不斷完善。另一方面,需化繁就簡,從制度設計高效精干的角度出發,使其最終達到提高公司內控制度執行的效益與效率目標。內控制度執行是一個系統工程,需公司內各部門協同配合,才能達到相關目標。內控制度需要公司內人人執行,事事受控,公司相關部門需上下統一協調,從提高公司內控制度執行出發,權衡企業整體層面,遵循成本效益原則,緊抓關鍵內控環節,才能取得實質性的效果,使其更符合本公司的現實狀況。
五、結束語
整個內控審計過程對參與審計人員的業務能力提出了更高的要求,要求具備公司法、證券法、經濟管理、公司戰略與風險管理等方面的知識以及了解當前宏觀經濟形勢或信息,并能做到靈活運用,綜合分析和判斷遇到的相關情況,界定被審計單位存在的一般缺陷、重要缺陷和重大缺陷,以提高被審計單位內部控制水平;另一方面,每位參與內控審計的人員,特別是主管人員,應不斷積累和摸索一套行之有效且切實可行的方法和措施,以解決可能遇到的相關問題,不斷提高內部控制審計工作的總體水平。
