韓洪
[摘要]本文有針對性地提出省級電網企業(yè)內部控制評級數(shù)據(jù)庫的設想,旨在通過創(chuàng)建內部控制數(shù)據(jù)庫,查詢信息系統(tǒng)大數(shù)據(jù),解決審計實踐中時間、人員、成本因素導致的審前調查不細不實問題,提高審計效率和質量。內控評級數(shù)據(jù)庫作為創(chuàng)新型審計工具,未來將在內部審計領域發(fā)揮重要作用。
[關鍵詞]內部控制? ? 內部審計? ? 數(shù)據(jù)庫? ? 獨立監(jiān)督
一、背景
“公司治理四大基石”及“三道防線模型”理論均認為,內部控制在現(xiàn)代企業(yè)管理中處于核心地位,實施與否、效果好壞決定著企業(yè)的生存與發(fā)展。內部控制五要素之一的內部監(jiān)督是企業(yè)內部控制不可或缺的一環(huán),內部監(jiān)督最重要、最有效的手段即內部審計。
內部審計逐步發(fā)展成為以內部控制測評為基礎的抽樣審計,得益于現(xiàn)代管理學內部控制理論及實踐的不斷完善和成熟。內部控制測評是審計工作的基礎,審計人員通過對被審計單位內部控制的健全性、合理性和有效性作出評價,以確定是否依賴內部控制,并確定實質性審查的性質、范圍、時間和重點。由于審計資源有限,審計人員無法對被審計單位所有業(yè)務事項進行詳細審查,在較短時間內難以對被審計單位內部控制的真實情況、可依賴程度作出準確判斷,導致實施實質性審查的性質、范圍、重點與審計目標背離,既增加審計人員工作量,又增加審計成本,致使審計工作效率下降、工作質量無法保證。
由于缺乏有效的技術手段,實務中審計人員只能依據(jù)獲取的資料、憑借工作經驗及專業(yè)素養(yǎng)判斷被審計單位的內部控制水平,容易受到主觀因素制約,不僅工作效率低,對內控評價的結論也存在偏差。隨著科學技術的進步和現(xiàn)代企業(yè)管理的不斷發(fā)展,集團化企業(yè)規(guī)模越來越大,業(yè)務種類越來越多,經營形勢變化越來越快,這對內外部審計的效率和質量勢必提出更高要求。以云南電網公司為例,通過近年來“子改分”改革,已大規(guī)模壓縮管理層級。由于“子改分”后各縣級供電局仍是獨立法人,負責人任期經濟責任審計、工程項目審計等任務依然繁重,如何在保證質量的前提下高效完成大量審計任務是審計人員不得不面對的問題。
二、意義
在信息化條件下,建立內部控制評級體系及數(shù)據(jù)庫是內部審計徹底解決審前調查中內部控制測試環(huán)節(jié)一系列詬病的最佳選擇,對企業(yè)內部控制、內部審計和審計人員自身具有極其重要的意義。
國有企業(yè)通過內部控制評級體系數(shù)據(jù)庫,可為監(jiān)管部門、出資人及各層級管理者決策提供有用的直觀數(shù)據(jù),為企業(yè)的穩(wěn)健經營和可持續(xù)發(fā)展作出積極貢獻。
內部控制評級數(shù)據(jù)庫是內部監(jiān)督不斷深入發(fā)展的必然選擇。評級數(shù)據(jù)庫將企業(yè)的主要業(yè)務以指標形式進行量化,使內部經濟管理行為以分值形式進行統(tǒng)一衡量,內部監(jiān)督變得更加直觀,決策者更容易解讀管理層業(yè)績報告。運用大數(shù)據(jù)的基本思想,集團公司可實現(xiàn)對不同地區(qū)、不同行業(yè)、不同規(guī)模分子公司實施有效的業(yè)績考核和監(jiān)督管理。同時,評級數(shù)據(jù)庫使企業(yè)經濟活動成為一條連貫的業(yè)務鏈,為內部審計從“事后監(jiān)督”向“事前預測”“事中控制”提供了技術支撐。
基于風險理念的內部控制評級和內部審計相輔相成。內部控制是企業(yè)自身治理的過程,內部控制評價則是內部監(jiān)督的核心內容,其實質是降低企業(yè)的內在風險和控制風險。內部控制評價是內部審計的必要程序和前提,其實質是降低審計的檢查風險。建立以風險為導向的內部控制評價機制,與審計風險管理的目標一致,均以風險導向為基礎,對控制活動存在的缺陷進行流程“再造”,使風險下降或消失。
內部控制評級數(shù)據(jù)庫在豐富內部審計手段的同時,夯實了國家審計的基礎。中央企業(yè)內部審計的重心即圍繞企業(yè)內部控制展開,是國家審計在國有企業(yè)的延伸,與國家審計共同組成整個審計體系。
內部控制評級數(shù)據(jù)庫可降低審計從業(yè)人員的職業(yè)風險。評級數(shù)據(jù)庫基于信息化手段,企業(yè)在對內部控制進行評價時輸入數(shù)據(jù),數(shù)據(jù)庫依據(jù)建立的模型、評級標準、規(guī)則、數(shù)理統(tǒng)計方法,將各個業(yè)務流程量化為可視的直觀數(shù)據(jù),利用計算機運算代替人腦計算,降低因審計人員專業(yè)技術、實踐經驗不足產生的檢查風險概率,從而降低審計風險。
內部控制評級數(shù)據(jù)庫可提高審計從業(yè)人員工作效率和工作質量。評級數(shù)據(jù)庫為審計人員在內的使用者提供更加方便、快捷、準確的分析數(shù)據(jù),為審計人員進行科學分析提供精準服務。評級數(shù)據(jù)庫所記錄的數(shù)據(jù)是企業(yè)內部控制評價機構對其經營業(yè)務進行的評價,經過第三方獨立審查后發(fā)布,具有合法性、權威性。審計人員無須花費大量人力、時間、財務資源對其進行全面、細致的內部控制測試,認定為有效的內部控制將減少實質性審查的工作量,而可信賴的內部控制會使審計人員所作的審計結論更能反映被審計單位的真實情況。
三、擬解決的問題
運用內部控制評級數(shù)據(jù)庫的關鍵,主要解決三方面問題:一是內部控制業(yè)務流程信息化問題;二是內部控制評級數(shù)據(jù)庫建設問題;三是審計人員對內部控制評級數(shù)據(jù)庫的信賴程度。
在內部控制流程信息化方面,著重解決內部控制體系各專業(yè)領域流程信息化問題。流程信息化包括兩個維度:一是內控體系22個專業(yè)領域業(yè)務流程日常管理的信息化,二是各專業(yè)領域業(yè)務流程執(zhí)行評價的信息化。
在內部控制評級數(shù)據(jù)庫建設方面,著重解決內部控制體系組織架構中的領導權問題,內部控制體系各職能部門權責分工問題,以及現(xiàn)有信息平臺不符合評級數(shù)據(jù)庫的功能定位問題。
在審計人員對內部控制評級數(shù)據(jù)庫信賴程度方面,著重解決內部控制評級獨立性問題以及內部控制評級數(shù)據(jù)庫的可信賴程度問題。
四、內部控制評級數(shù)據(jù)庫的構建思路
內部控制評級數(shù)據(jù)的構建流程主要實現(xiàn)公司內部控制由人、財、物流向信息流轉變,包含管理和評價兩個維度的信息化。以22個專業(yè)領域業(yè)務流程為基礎,將業(yè)務流程納入內部控制“五要素”,設計內部控制評級標準(指數(shù));構建內部控制評價平臺,將業(yè)務轉化為可量化的數(shù)據(jù)信息;由數(shù)據(jù)的第三方獨立審查;關聯(lián)內部審計業(yè)務。
關聯(lián)內部審計業(yè)務是通過信息平臺的交互對接,使審計人員獲得所需的信息。流程包括:對內部控制評級數(shù)據(jù)庫進行抽樣審查,確定內部控制測試可信賴程度,建立審計作業(yè)系統(tǒng)與內控評級數(shù)據(jù)庫的接口,使內部審計與數(shù)據(jù)庫互聯(lián)。
內部控制評級數(shù)據(jù)庫是被審計單位內部控制測試的基礎,審計人員通過解讀數(shù)據(jù)庫所載信息的含義,或通過對被審計單位進行橫向和縱向對比,直觀了解內部控制情況,為實質性審查奠定堅實的基礎。這一思路以信息技術為基礎,目標是為內部審計工作節(jié)約成本,降低人為因素的干擾,最大化地真實反映被審計單位的內部控制水平,提高審計工作效率和工作質量。
五、省級電網企業(yè)內部控制評級體系及數(shù)據(jù)庫構建
(一)理順內部控制組織架構
基于現(xiàn)代企業(yè)管理分權理論,公司治理最基本的特征是所有權和經營權分離,即董事會與高級管理層職權分離。董事會作為組織最高決策機構,是內部控制體系建設的領導者。董事會成立內部控制體系建設委員會,分設內部控制監(jiān)督與評價委員會、內部控制管理委員會。監(jiān)事會履行監(jiān)督評價職責,高級管理層負責實施內部控制管理。管理委員會與監(jiān)督評價委員會各設工作組,如圖1所示。
通過調整優(yōu)化內部控制體系組織結構,樹立董事會在內部控制體系建設中的絕對領導權,重新提升內部控制在組織中的核心地位,明確高級管理層對組織內部控制應負的責任。內部控制管理委員會工作組由戰(zhàn)略管理部門或企業(yè)管理部門牽頭,各業(yè)務領域專家組成;內部控制監(jiān)督與評價委員會工作組由審計部門或監(jiān)察部門牽頭,各業(yè)務領域專家組成。
(二)設計內部控制評級指數(shù)
內部控制評級指數(shù)的設計步驟如下:
步驟一:將公司內部控制體系22個專業(yè)領域業(yè)務活動及其流程納入內部控制“五要素”的整體邏輯框架?;趦炔靠刂苹顒拥膶崿F(xiàn)程度來設計基礎指標,如圖2所示。內控控制評級指數(shù)框架以“五要素”為基礎,指數(shù)框架包含5個一級指標,即內部控制“五要素”;23個二級指標;72個三級指標。在實踐中,要結合“評價手冊”,根據(jù)23個二級指標所列控制活動索引及要素展開評測。評測結果根據(jù)要素的重要性水平、風險水平賦予一定分值,分值范圍從1分至15分,總分值不超過1000分。評測分值匯總到一級指標,由此得到公司22個專業(yè)領域業(yè)務活動的總體評價結果,構成整個內部控制評級數(shù)據(jù)庫的基礎。
步驟二:選擇適當?shù)膬炔靠刂颇繕俗兞?。評測得出內部控制基礎指標的分值后,以目標為導向對控制活動進行效益評價。目標變量是對內部控制基礎指標的修正,反映各要素對企業(yè)目標的貢獻程度。主要設立戰(zhàn)略管理目標、財務報告目標、經營效率效果目標、資產安全目標、合法合規(guī)目標,如圖3所示。由于內部控制涉及指標眾多,人為賦值難度較大且包含過多主觀因素,本文采用標準離差率(變異系數(shù))來計算目標變量的權重。具體方法是:假定內部控制評級指數(shù)框架中每一項三級指標的期望值E(三級指標為滿分制,期望值按該項指標滿分×80%計算;三級指標個數(shù)為表示實際數(shù)值;一級指標以三級指標樣本的中位數(shù)計算)固定不變,計算其標準離差率:
首先計算平均數(shù)
計算方差
計算標準差
標準離差率
步驟三:綜合指標變量與基礎指標評測結果,進行量化處理,最終形成內部控制評級指數(shù)。假設內部控制基礎指標為α(的加權平均數(shù)),內部控制目標變量為β(三級指標標準離差率的加權平均數(shù))。一級指標控制環(huán)境表示為α1,風險評估表示為α2,控制活動表示為α3,信息與溝通表示為α4,內部監(jiān)督表示為α5。戰(zhàn)略管理目標變量為β1,財務報告目標變量為β2,經營效率效果目標變量為β3,資產安全目標變量為β4,合法合規(guī)目標變量為β5。控制環(huán)境對戰(zhàn)略管理目標的影響表示為α1·β1,對財務報告目標的影響表示為α1·β2,對經營效率效果目標的影響表示為α1·β3,對資產安全目標的影響表示為α1·β4,對合法合規(guī)目標的影響表示為α1·β5。以此類推,組合基礎指標及目標變量,建立內部控制評級指數(shù)模型如圖4所示。
步驟四:形成省級電網內部控制評級體系。假定省級電網公司分子公司總數(shù)為M,分子公司內部控制指數(shù)分別為m1,m2,m3,m4,…,mi,m1至mi的內部控制評級指數(shù)計算如下:
m1=β1(α1+α2+α3+α4+α5)+β2(α1+α2+α3+α4+α5)+…β5(α1+α2+α3+α4+α5)
...
mi=β1(α1+α2+α3+α4+α5)+β2(α1+α2+α3+α4+α5)+…β5(α1+α2+α3+α4+α5)
步驟五:省級電網內部控制評級結果的獨立審查。各分子公司內部控制指數(shù)的計算過程以及信息來源,需經過獨立第三方中介機構的審查并簽署意見,以保證評價結果公平、公正,同時確保內部審計所采用的評價結果真實、完整、可靠,避免信息錯誤帶來重大錯報風險。
(三)內部控制評級指數(shù)量化處理與分級評定
內部控制評級指數(shù)的量化處理,包括對各分子公司評級指數(shù)的量化、集團公司評級指數(shù)的量化、各要素評級指數(shù)的量化、各目標評級指數(shù)的量化。本文僅對分子公司評級指數(shù)量化進行闡述。
對各分子公司評級指數(shù)的量化是運用內部控制評級指數(shù)模型對省級電網下屬分子公司進行單一測評,再對所有被測評對象進行分類或排序,根據(jù)內部控制指數(shù)得分,從高到低評定為A、B、C、D、E五個等級,每個等級代表被評測單位的內部控制水平,具體釋義如圖5所示。內部控制評級指數(shù)的量化按年度更新,由主管部門報集團董事會審議,通過后方可在系統(tǒng)內發(fā)布。分子公司在結果公布后可自行查詢結果,生成評級報告并制訂整改提升計劃。
(四)搭建可視化、信息化評價平臺
一是以企業(yè)管理信息系統(tǒng)(CSGII V2.1)框架為基礎?,F(xiàn)有的內部控制信息系統(tǒng)基于財務信息系統(tǒng)框架內的內控管理模塊,使用范圍較小,僅限于財務領域,未包含企業(yè)所有業(yè)務流程,需進一步在財務領域基礎上增加對其他21個專業(yè)領域內控指標的評價內容。
二是內置符合內部控制評價標準的流程及組件,并賦予相應的分值。指定內部控制評價的輸入、輸出程序及規(guī)范;為評級內容賦值,在評測中人工評分;所有評價結果可穿透至底稿,實現(xiàn)指標要素、評價表單、評價結果的交互。
三是評級平臺以評級指數(shù)模型為基礎,匯總生成評測結果。系統(tǒng)能夠按照內部控制評級指數(shù)模型自動生成測評分值,并自動進行評級認定;多維度進行橫向、縱向、歷史數(shù)據(jù)的查詢分析、生成分析結果;人性化界面,簡潔高效,實現(xiàn)與其他模塊的交互對接。
四是嚴格執(zhí)行保密規(guī)定,確保信息安全。嚴格審批使用人的系統(tǒng)權限,設置指標要素評價的操作權限,合理分配訪問者數(shù)量;內部控制評級數(shù)據(jù)禁止復制,確保信息安全。
六、關聯(lián)內部審計作業(yè)系統(tǒng)
(一)內部審計應用內部控制評級結果的原則
成本效益原則。內部控制評級體系是在現(xiàn)有資源基礎上的提升及改良,要充分利用現(xiàn)有內部控制體系建設成果及信息系統(tǒng)資源,做到效益最大化。
謹慎性原則。充分征求下屬分子公司意見,做實項目可行性研究分析,科學論證,提高內部控制評級的可操作性、合理性、適用性。
風險導向與目標導向原則。實施過程要始終堅持風險導向和目標導向有機結合,內部控制管理以風險控制為核心,內部控制評級以目標為要務。
審計目標與內控目標一致原則。內部審計作為企業(yè)內部控制的重要組成部分,二者的目標都是保障企業(yè)利益,促進企業(yè)健康穩(wěn)定發(fā)展。
內部控制評級結果不能替代實質性審查原則。企業(yè)面臨的內、外部環(huán)境處于永續(xù)變化中,內部控制的人為因素無法預判和完全避免,控制風險始終大于零,內部控制評級結果只能作為內部審計程序選擇的參考。
(二)內部審計作業(yè)系統(tǒng)與內部控制評級數(shù)據(jù)庫的物理構建
建立內部控制評級數(shù)據(jù)庫應用服務器。服務器與ERP信息系統(tǒng)各子系統(tǒng)通過域間數(shù)據(jù)傳輸進行對接,內部審計作業(yè)系統(tǒng)與內部控制評級數(shù)據(jù)庫分屬不同的域,二者之間通過信任關系(證書)實現(xiàn)不同域之間的相互訪問。
建立用戶、計算機與服務器之間的橋接關系。通過網絡橋接器,建立訪問域策略(訪問協(xié)議),審計人員作為用戶,在獲得證書許可后,利用計算機實現(xiàn)對內部控制評級數(shù)據(jù)庫的訪問,如圖6所示。
內部控制評級數(shù)據(jù)庫的數(shù)據(jù)傳輸介質。信息化平臺以數(shù)據(jù)中心形式運轉,內部控制評級數(shù)據(jù)庫獨立運維,數(shù)據(jù)的輸入、輸出可通過多種介質,但任何一種介質進行輸入、輸出的權限唯一且需經過嚴格審批。
(三)內部審計人員運用內部控制評級數(shù)據(jù)庫
進點后,審計人員使用分配的證書許可,由內部審計作業(yè)系統(tǒng)中內部控制數(shù)據(jù)庫登錄接口進入內部控制評級數(shù)據(jù)庫,開始執(zhí)行對被審計單位的內部控制測試。重點執(zhí)行以下步驟:
步驟一:進入內部控制評級數(shù)據(jù)庫。獲取被審計單位審計期間內部控制評級數(shù)據(jù)、各數(shù)據(jù)指標的縱向對比分析報告以及內控評級結果的第三方審查意見,如圖7所示。
步驟二:對獲取的資料進行記錄。通過訪談、觀察、檢查、追蹤某一單項業(yè)務等程序,復核內部控制評級結果的準確性、真實性。計算機主導的內部控制測試綜合運用了數(shù)理統(tǒng)計、概率論等數(shù)學原理,取代人工復雜、煩瑣的統(tǒng)計,但內部審計人員仍需對其進行復核。
步驟三:綜合分析復核結果。內部審計人員得到被審計單位健全性、合理性的初步結論,評估其內部控制風險等級,決定是否依賴被審計單位的內部控制評級數(shù)據(jù)庫,并對獨立第三方出具的審查意見作出判斷,確定數(shù)據(jù)庫所載信息是否成為內部控制測試的結論。
步驟四:對內部控制再評價。根據(jù)數(shù)據(jù)庫評級、風險水平,對被審計單位控制風險等級進行再次評價,做好審計底稿記錄,形成內部控制測試報告。
步驟五:確定實質性審查的性質、范圍、重點和方法。內部控制評級數(shù)據(jù)庫為審計人員提供了直觀、量化的數(shù)據(jù)信息,審計人員可根據(jù)數(shù)據(jù)庫所載的每一單項業(yè)務內部控制缺陷進行審查,目標精準、針對性強。
七、結束語
在審計實踐中,通過關聯(lián)內部控制評級數(shù)據(jù)庫,降低因內部控制局限性帶來的檢查風險,企業(yè)內部審計將采用全新的思維和技術手段來規(guī)避風險,建立內部控制評級體系、內部控制評級數(shù)據(jù)庫將成為極富價值的選擇。在提升企業(yè)法人治理水平的同時,滿足了內部審計工作的需要,企業(yè)以最小化成本取得最大化效益。內部審計人員不再因工作經驗、技能水平限制作出不恰當?shù)膬炔靠刂茰y試結論,檢查風險將大大降低。借助內部控制評級數(shù)據(jù)庫的幫助,內部審計人員能夠精確判斷被審計單位的內部控制可信賴程度,以便確定實質性審查的范圍、程序、方法和樣本量等關鍵因素,提高內部審計工作的效率和質量。
(作者單位:云南電網河口瑤族自治縣供電有限責任公司,郵政編碼:661300,電子郵箱:bluesea-58@163.com)
主要參考文獻
莫滿軍,宋新秀.內部審計與內部控制的融合策略[J].中國內部審計, 2018(4)
邱國峰,繆穎霞.內部審計質量評價體系的建構[J].中國內部審計, 2018(2)
田雨.電網企業(yè)內部審計智能庫的構想與探索[J].中國內部審計, 2018(5)