湘潭钢铁集团有限公司 杨 峥
随着社会经济建设的发展,企业内部控制系统是否有效,在某种程度上决定着企业的生死存亡,内部审计在公司治理过程中发挥的积极作用日益突出,企业开展内部控制审计正是为了适应新形势下的企业管理需要,这一要求在上市公司更显得尤为重要,我国上市公司内部控制的状况,是监管机构和许多投资者较为关注的焦点之一,进入新世纪以来,越来越多的上市企业开始重视内部控制。美国权威机构COSO于1992年发布了《内部控制—整体框架》,使得企业对于内部控制的认识达到了现代企业经营的要求,这是内部控制发展史上具有决定性的一刻。
一、企业内部控制审计定义
企业内部控制是指为了实现经营目标,保护资产的安全、完整,保证会计信息资料的正确、可靠,确保企业经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性,在内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。内部控制审计是对内部控制系统的合法性、健全性和有效性进行测评和监督、检查。企业内部控制审计审查和评价的重点为公司的治理结构、采购和销售、对外投资、购买和出售重要资产、对外担保、关联交易、募集资金使用、信息披露等事项。
二、基于风险管理的内部控制审计在湘钢的开展
内部控制的实质是风险管理,湘钢为了规范公司全面风险管理,落实管理责任,加强内部控制,建立基于风险管理的内部控制体系,提升企业竞争能力,保证公司经营目标的实现,根据国家五部委《企业内部控制基本规范》、省国资委《关于加强企业全面风险管理工作的通知》以及总公司内控管理的要求,结合公司实际制订了《内控与风险管理办法》。近几年来,湘钢基于风险管理开展的内部控制审计工作主要体现在以下几方面:
(一)主业单位内部控制审计测试
根据总公司内部控制自我评价工作安排,为了进一步完善内部控制基础工作,规范内部控制活动,提升公司风险防范及管控能力,湘钢针对主业单位进行了内控内审测试,并制定了《内部控制手册》,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制活动一般包括:资金风险控制、不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
公司抽取相关部门专业人员成立了内控审计测试组,测试流程范围包括:发展战略、组织框架、人力资源、社会责任、企业文化、风险评估、信息沟通、销售业务、采购业务、生产及存货、研究与开发、工程项目、资产管理、业务外包、投资管理、资金活动、全面预算、信息系统、合同管理19个流程。测试采取与流程责任人交流,现场观察、询问、查阅有关文件记录、抽样检查等方式。2014年通过内部控制审计测试,开具未达标项17项,涉及流程有:发展战略、人力资源、社会责任、销售业务、采购业务、生产及存货、研究与开发、业务外包、投资管理、资金活动、信息系统11个流程。
在公司销售业务环节的内控测试中,我们发现公司保兑仓业务风险较高。保兑仓业务是以银行信用为载体,银行承兑汇票为结算工具,由银行控制货权,在商品供方企业与商品需方企业签订购销合同后,由商品需方企业向融资银行缴存一定比例的保证金,融资银行开出收款人为商品供方企业的承兑汇票,商品供方企业在收到银行承兑汇票后,按银行出具的提货单向协议约定的仓库发货,货到仓库后转为仓单质押,若商品需方企业到期无法偿还银行承兑汇票敞口,则商品供方企业负责回购质押货物的一种“厂、商、银”三方合作方式。实施保兑仓融资业务的目的在于协助公司客户拓宽融资渠道、降低融资成本,实现公司产品销售,稳定产品销售渠道和市场。公司保兑仓业务的风险主要表现在:①对保兑仓业务的开展中,未能严格按照已制定的管理办法执行相关审核、调查及担保措施,会造成保兑仓业务开展中因各环节的执行不到位导致失控;②在日常监控及检查过程中发现客户有异常情况,未对其实施严格的风险评估程序及采取特别的风险应对措施,可能发生违约事件,给公司造成损失。
针对在保兑仓业务中发现的以上风险,我们制定了《加强湘钢保兑仓业务管理的有关规定》,并建立了保兑仓融资风险应急处理机制,具体体现为:当销售、财务部门认为协议客户可能出现违约风险时,销售部立即暂停发货,财务部通知融资银行暂停开票,协助银行做好风险防范工作。审计部门作为保兑仓融资风险监控部门,负责对保兑仓融资协议执行过程中的风险进行监控,通过不定期抽审,检查各业务部门对保兑仓融资风险管理的执行情况。
(二)子公司风险识别、评估
按照总公司确立的“战略驱动、问题导向、效率优先、风险受控”总体原则,为了提升公司风险管理水平,搭建从风险识别开始,到风险评估、风险预警和风险应对的整体流程框架,加强重大风险的预警与防控,我们开展了子公司风险识别与评估工作。
公司将风险分为战略风险、财务风险、商业风险和运营风险四大类别,其中战略风险包括:竞争风险、客户偏好转换风险、行业方向转换风险、战略收购合并风险和企业研发新产品风险等;财务风险主要指偿债风险和流动性风险,前者是指企业负债率较高,在经营亏损或者投资失误的情况下,可能发生没有足够的资金按时偿还债务和利息,引起财务危机,甚至导致破产,后者是由于缺乏获取现金或者现金等价物而招致损失的风险;商业风险是指由于市场、法律和经济环境变化而引发的企业风险,主要包括:信用风险、市场风险、信誉风险和法律风险;运营风险是指企业因内部流程、认为错误或外部因素而给企业造成的经济损失的可能性,包括:企业流程风险、人为风险、信息系统风险、业务风险、事件风险。
首先进行风险识别,要求各多元产业单位按以上风险类别根据自身情况开展风险识别工作,以上四大风险评价标准按定量评价、定性描述、财务描述、声誉影响、公司日常运营等影响程度分5个层次进行评分,并按照要求填写《风险数据库表单》;其次,审计部门根据各单位上报情况组织各产业单位和职能部室就风险数据进行分级讨论,并按风险发生可能性与风险发生后影响程度得分之和计算出的风险评估值,来确定重大、重要和一般风险,以及基本应对策略(承担、规避、转移、对冲、补偿、控制),整理形成湘钢集团《风险数据库台账》;再次,根据风险数据台账形成子公司《风险图谱》;最后,审计人员根据各单位风险数据台账和风险图谱中显示的风险范围,按重要性原则确定重点审计范围。
有21家单位参与了此次子公司风险识别、评估工作,最终形成了子公司风险矩阵图谱,从影响程度和发生可能性来看,子公司存在的风险主要集中在商业风险和战略风险两方面,其中信用风险和市场风险为目前子公司的最大风险,故审计人员将销售业务作为子公司2014年内部控制审计的重点。
(三)子公司销售业务内部控制审计
销售业务是指企业出售商品、提供劳务及收取款项等相关活动。企业按照内控规范的要求,关注销售业务流程中的主要风险及其相应的控制措施,有助于促进销售稳定增长,扩大市场份额,实现与生产、资产、资金等方面管理的衔接,确保企业经营目标。销售业务内部控制审计目标,就是保证销售业务内部控制设计和运行的有效性,促使企业预防和控制销售业务风险。
在对子公司的销售业务内控审计中,我们抽取了部分销售业务对外的单位进行审计。具体内部控制审计程序包括以下三个阶段:(1)审计准备:对集团公司下属单位中销售业务对外的单位进行调查了解并确定被审单位,制定内控审计工作方案,并成立审计项目组、下发审计通知;(2)审计实施:对抽取单位的内部控制进行初步评价和风险评估,到各单位进行内部控制有效性测试,审计人员提出内部控制缺陷评价和审计评价,并形成意见;(3)审计报告:起草报告,提出审计建议。
我们选择了德勤公司设计的内部控制测试底稿进行销售业务内部控制审计,具体程序如下:(1)将销售业务分成8个主要流程以及30个控制点,对照各个控制点中的控制目标和标准化控制活动,根据各单位实际情况填写“本地化控制活动”,“本地化控制活动”必须与企业实际控制相符,描述细化、明确控制活动执行的主体,写明执行人、审批人、执行的程序、涉及的文档名称等具体信息,涉及到管理层审批的,明确管理层的层级并写出具体名字。在测试访谈时,选择熟悉销售业务且长期主管此项工作的适当人员进行访谈,观察该单位经营活动,检查收集相关文件制度。(2)根据业务发生频率及全年发生交易量,每个测试底稿按相应的测试程序抽取一定数量的样本,样本量的确定详见下表:
固定发生频率控制活动样本量
控制运行频率控制运行的总次数测试的样本量每年1次11季42月12周55天25020多大于 50次5
非固定发生频率控制活动样本量
预计每年发生的次数测试的样本量1-2次3 627-15次16 52次553 20次20大于5
(3)参照《测试底稿》子流程的测试程序进行测试,通过询问、观察、检查等方法进行逐个控制点的测试,根据抽取的样本填写样本量描述,如:在销售计划管理环节,我们首先询问该子公司是否制定了销售计划以及销售计划的期间,然后抽取了年计划和月计划两份样本,检查销售计划是否经合理审批,是否根据实际销售情况考核销售计划完成情况;在销售定价管理环节,抽取了5份样本,分别检查价目表是否经合理审批,销售合同的条款和价格是否与经审批的价目表一致,销售合同的价格在价目表外的是否经合理审批,销售折扣是否经合理审批等等。(4)对照标准控制活动的要求,判定、填写测试结论(达标、未达标、未发生交易或不适用)及未达标项测试结论说明。(5)根据内部控制测试底稿中开具的未达标项填写“内部控制缺陷整改跟踪表”,包括整改方案、负责部门、负责人、应完成全面整改时间等,审计人员后续跟踪检查其是否按期完成整改。
通过对某子公司销售业务内控测试审计,我们发现存在以下问题:①该子公司每年根据客户上年度的业务量、回款、合同履约、对账情况及经营状况确定当年度客户资信额度,对于实行先货后款的新客户,要求必须授信,且欠款额不超过授信额度。但在实际工作中,未授信的新客户存在先货后款现象,超过信用额度的授信未及时进行变更,未授信和超授信额度的现象普遍存在。②营销管理制度规定各驻外机构的营销价格不应低于厂指导价,特殊情况需先请示营销部长、营销厂长、厂长,同意后再形成合同传厂部由营销合同管理员根据价格审批权限逐级审批签字方可生效。但实际上大部分结算单价低于厂价,且存在部分低于厂价合同未按规定审批的现象。③《发货管理制度》中规定以下情况应停止发货:“未纳入信用额度管理而不能先款后货的;欠款额超出信用额度的。”事实上该项规定未得到严格执行。通过审计发现的以上问题,并非无制度约束,而大部分是因为在实际工作中存在绕制度绕流程现象,审计针对此现象提出了切实可行的改进建议,并督促子公司进行了整改。
三、亟待解决的事项
(1)部分子公司内部控制体系及内部控制制度的执行力较差。一些子公司虽建立了比较完善的内部控制体系及内部控制制度,但由于经营管理者内部控制意识淡薄,不能很好地执行内部控制制度,有的还存在“人治”现象,使内部控制体系及内部控制制度仅仅停留在文字和纸面上,流于形式,没有真正起到内部控制的作用,从而使内部控制审计工作存在较大的阻力。(2)在审计实务中,长期以来不论是财务审计、经济责任审计还是经济效益审计,都把对内部控制健全、有效性作为一项重要审计内容,而不是把内部控制审计作为独立的一种审计类型,内部控制审计还停留在流程制度层面的审计,未深入剖析存在的问题,防范内控风险,使内部控制体系及内部控制制度具备可操作性。(3)内审人员配备不够,且专业知识受限。湘钢内部控制审计仅配备了2名专职审计人员(一名主管一名主办),所学均为会计专业,不仅对内控相关知识掌握不够,也缺乏可以借鉴的经验,由于人员紧张和专业知识缺乏,严重制约了审计工作的开展。内部控制审计的开展,亟待加强专业知识培训,引进专业人才,充实审计队伍。
四、相关思考
总公司早在几年前就已聘请国内专业咨询公司设计了较系统的内控制度,但部分环节与子公司的现实经营情况不相称、不匹配,执行起来有难度,究其原因主要是随着子公司的经营规模扩大及管理细化,原有的内控制度设计时并未能充分考虑相关因素,使原来的内控制度部分条款显得不适用,也有部分制度当初设计时,过于理论化,均致使相关内控制度条款的设计需不断完善。另一方面,需化繁就简,从制度设计高效精干的角度出发,使其最终达到提高公司内控制度执行的效益与效率目标。内控制度执行是一个系统工程,需公司内各部门协同配合,才能达到相关目标。内控制度需要公司内人人执行,事事受控,公司相关部门需上下统一协调,从提高公司内控制度执行出发,权衡企业整体层面,遵循成本效益原则,紧抓关键内控环节,才能取得实质性的效果,使其更符合本公司的现实状况。
五、结束语
整个内控审计过程对参与审计人员的业务能力提出了更高的要求,要求具备公司法、证券法、经济管理、公司战略与风险管理等方面的知识以及了解当前宏观经济形势或信息,并能做到灵活运用,综合分析和判断遇到的相关情况,界定被审计单位存在的一般缺陷、重要缺陷和重大缺陷,以提高被审计单位内部控制水平;另一方面,每位参与内控审计的人员,特别是主管人员,应不断积累和摸索一套行之有效且切实可行的方法和措施,以解决可能遇到的相关问题,不断提高内部控制审计工作的总体水平。
