原創 孟元 陳巖 審計觀察
自熊彼特提出交易成本理論到COSO發布內部控制(以下簡稱「內控」)整體框架,通過長期的理論與實踐研究,逐步揭示內控體系的規範、嚴謹、有效與組織的經營管理效率和效果具有正相關性。
證券公司作為基於信任合作關係進行專業化運營的組織形式,為有效地降低制度性交易成本、控制風險、提高產品服務質量,必須通過建立健全內部控制減少組織內部制度性摩擦、降低交易成本,從而加強利益相關方的信任及消除運營管理的不確定,提升經營管理的效率和效果。
可以說,良好的內部控制具有蓄勢蓄能的基本特點,在公司發展順境時因勢利導,提升效率,促進協作;在組織發展逆境時,保駕護航,防控風險,促進信任。
一、內部審計與內部控制彼此耦合
內部審計(以下簡稱「內審」)作為內部控制體系中的監督要素, 是對內控的再控制。內審對內控的評價與監督是全方位的,它不僅關注以憑證、帳簿和財務報告為載體的財會系統以及可以找到管理痕跡的控制程序等, 而且逐步深入到更為重要的經營管理效率和效果等組織核心價值。
從結果上看,內控與內審殊途同歸,其作用機理辯證統一,發展路徑相似,彼此耦合,「你中有我,我中有你」,各部分關聯的複雜性、交互的方式以及彼此的信息傳輸高度契合。
一方面內控的完善離不開持續的內審監督,發現問題,解決問題,提升內控效率;另一方面有效的內控又反哺內審職能建設,強化監督效率和效果,為內審提供檢查依據和評價標準,將內審視作公司內控有效性得以持續保障的生命補給線。內控與內審相互作用,相互依託,其目標一致、標準一致,內涵一致。
(一)兩者目標一致,監督內控的運行是內審的日常性工作
健全現代企業管理制度,形成科學的決策機制、執行機制和監督機制,確保經營目標的實現,是證券公司內控所要達到的基本目標之一。在公司內部建設獨立的內審機構,完善的內審制度是達到上述內控目標的重要途徑。
消弭缺陷、減少隱患,防止並及時發現和糾正各種欺詐、舞弊行為,保護公司財產完整是內審履行監督職能, 其直接目標是確保內控的有效運行, 以使內控的目標能夠實現。有效的內控將合理保證經營的效果和效率、財會報告的可靠性及內部制度的合法合規。內審對公司內部組織與個人違反政策、程序事件及時作出糾正或處理, 以相對獨立的身份向高級管理層提出報告,這既是內控所要達到的基本目標,同時這也是內審機構的基本職能。
(二)兩者標準一致,評價和提升內控有效性是內審發揮的主要作用
證券公司的內部控制與運營管理完全融合在一起,內控的運行過程即為公司的經營管理過程,這就要求公司在持續運作過程中,不斷補充和完善內控程序的標準和執行要求。內部審計作為經營管理評價監督部門,清楚各項業務活動的關鍵控制點,結合職能獨立性,依託組織管理風格、企業文化、會計核算、控制程序等各方面的偏好和標準持續開展審計工作,充分賦予了內審評價及確認內控有效性的能力。
內審在評價內控時,需要站在公司內控全局的高度,圍繞內控設計標準,考察公司包括管理理念、組織文化在內的控制環境、風險識別、控制活動、信息溝通及監督五要素,審視具體內控執行是否有不利於實現控制目標的因素,評價內控設計是否合規與健全,評價內控流程是否達到既定效率和效果,最後再反饋到公司內控要素設計標準的有效性及持續改善。內控設計標準與內審評價標準相互作用、周而復始,形成完整的控制閉環。
(三)兩者內涵一致,內控與內審工作原理及方法相通相融
財政部的《企業內部控制基本規範》(以下簡稱《內控規範》)和證監會的《證券公司內部控制指引》(以下簡稱《內控指引》)與內審準則、制度及工作原理具有相融性,存在許多共通之處。《內控規範》和《內控指引》中的許多控制節點、內容與方法,對於內審人員來說可謂「似曾相識燕歸來」。
1. 遵循原則相通
全面性原則:《內控規範》規定,要「貫穿決策、執行和監督全過程,覆蓋企業及其所屬單位的各種業務和事項」;《內控指引》則要求,內控應當「覆蓋證券公司的所有業務、部門和人員,滲透到決策、執行、監督、反饋等各個環節」的要求,確保不存在內控的空白或漏洞。這就要求內審部門應當在一定期限內實現內審全覆蓋,不留死角,審計意見落實率要達到100%。
重要性原則:《內控規範》規定,「應當關注重要業務事項和高風險領域」;《內控指引》從經紀業務、投行業務、受託投資管理業務、研究諮詢業務、業務創新、分支機構、財務管理等層面對需重點關注事項進行了明確。內審部門應當本著重要項目優先原則編列年度內審計劃,經綜合評估,將資金和交易規模大,潛在風險易發、多發的內控流程列入年度審計計劃。
制衡性原則:《內控規範》規定,「內控應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督」;《內控指引》提出「證券公司部門和崗位的設置應當權責分明、相互牽制;前臺業務運作與後臺管理支持適當分離」。內審強調不相容崗位不得由同一人擔任,形成相互牽制機制,以減少舞弊發生,這是內審人員的重要關注點之一,二者的原理與目的如出一轍。
適應性原則:《內控規範》規定,「內控應當與企業經營規模、業務範圍、競爭狀況和風險水平等相適應,並隨著情況的變化及時加以調整」;《內控指引》要求內控應當「與證券公司經營規模、業務範圍、風險狀況及證券公司所處的環境相適應,以合理的成本實現內部控制目標」。上述原則同樣適用於內審。公司內審制度、規範、審計手段、方法也是隨著公司的建設、運營大環境的變化和綜合管理水平的提高而不斷修改、健全與完善的。
2. 領導機構相通
《內控規範》第十三條:「企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制,監督內部控制的有效實施和內部控制自我評價情況,協調內部控制審計及其他相關事宜等」;第十五條:「內部審計機構應當結合內部審計監督,對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷,應當按照企業內部審計工作程序進行報告;對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告」。內部控制與內部審計都是在公司最高管理層的領導下開展工作。
3. 運行機理相通
《內控指引》第一百四十條:「證券公司應當建立健全內控缺陷的糾正與處理機制,應根據內部控制的檢查情況和評價結果,提出整改意見和糾正措施,督促業務主管部門和分支機構落實,並對落實情況進行跟蹤檢查。」反觀內審工作,項目實施前要確定審計目標,形成審計方案並按方案執行審計,以審計報告的形式反映與評價審計對象的完成情況;上報管理層後,根據審計發現問題性質,對被審計單位下達審計決定或審計建議書;在規定期限內,內審部門開展後續審計,評價被審單位依據審計決定或建議所採取的整改措施,以及整改效果如何。從確定審計目標、對標檢查情況、提出審計發現到糾正內控缺陷,內部審計運行機制與內控缺陷的糾正和處理機制高度重疊,效果一致。
4. 覆蓋內容相通
《內控規範》第四章中的控制內容全部包含於財務收支審計、預算執行審計、專項審計的審計要點範圍內,兩者關注點不期而遇;而《內控指引》第三章的內容也全部包含於證券公司各職能專項審計活動的關注範圍內。《內控規範》第四章和《內控指引》第三章的內容從結構上看可以說是各專項審計方案的翻版。
二、內部審計與內部控制相互作用——路徑探索
內控與內審機理相當,原理相通,目標相同,證券公司內審要真正發揮內控確認、評價及優化作用, 需要一個良好的內部控制環境。
(一)內部控制體系建設
證券公司應當首先建立內控體系(見圖一)。參考國資委101號文《關於加強中央公司內控體系建設與監督工作的實施意見》建設思路,充分考慮公司內控基本規範的要求,形成PDCA螺旋上升的管理閉環,形成《公司內控矩陣》,收集、匯總、梳理風險、控制、崗位及評價要素,勾稽融匯,統一公司內控標準、話術與語言,將董事會、高級管理層對內控高度關注並將管理偏好滲透到組織之中;三道防線體系覆蓋各級機構和業務條線,風險關口前移;統一內控缺陷認定標準,識別控制缺陷;組織多層級全覆蓋內控培訓;確保內控手冊到人,操作到崗,實現對業務操作持續、全面的規範。
圖一:公司內控建設路徑
(二)內部審計計劃制定
內審部門圍繞證券公司各主要條線內控體系制定年度審計計劃。內審項目類型包括但不限於職能部門內控有效性評價,業務單元專項審計,內控自評估及缺陷認定等工作,根據管理層偏好和內外部風險事件預先評估審計必要性和資源投入,確保三年內公司內控審計全覆蓋。評估和審計的方式包括但不限於:
1. 部門層面。要突出全面性,按照業務流程、控制節點、執行痕跡,採取順查或逆查法評價內控制度和流程的執行過程和結果。重點關注業務流程的執行是否符合規定要求;計量採購外包項目交付質量和單價是否真實正確;原始憑證流程及填制、審核、籤批是否合乎內控要求;合同的登記、審核、授權、訂立程序是否完整,是否符合規範文本要求;有無兼任不相容職務和越權審批、超範圍辦理的情況等。
2. 業務層面。運用專項審計法,梳理內控流程閉環,識別控制活動設計缺陷,提出優化設計建議並督促整改,重視自動化控制的設計和利用,加強流程效率性和有效性檢討;持續評價內控設計標準在具體業務中的執行落實情況,識別全流程閉環中存在的執行缺陷,督導相關崗位強化崗位勝任力、規範執行控制標準。
圖二:內控審計和評估示例
(三)持續審計工作開展
內審部門應在公司審計制度中明確規定,凡屬於公司內控體系評估與審計的項目,必須在規定時間內開展缺陷跟蹤或後續審計,以促進:
1. 整改落實。督促被審計單位整改落實,提高審計問題整改率。近幾年行業內存在諸多屢查屢犯現象,很大程度是由於後續審計這一環節缺失與脫節。
2. 時間檢驗。基於內控的內審除了審視內控體系的健全性、有效性外,還要著眼於風險識別,評估控制活動的適用性和成本性,保障成本效益原則。內審部門提出完善內控制度的建議是否恰當,需經過一定的運轉時間來檢驗,檢驗手段就是堅持開展持續審計;並以持續審計結論為基礎,以新增問題為導向,指導對內控體系的再修正,促使內控體系日臻完善、契合實際、與時俱進,形成動態循環管理機制。從而避免成為應付檢查、徒具形式的擺設。
(四)加強內控違規成本
對於審計發現的重大問題,應依規嚴肅追責,形成震懾作用,決不可姑息遷就。增加違規成本,有利於促使潛在舞弊者望而卻步,猛然警醒,不敢越雷池一步。此外,在組織內部還應力戒遇事「繞道走」、「走捷徑」及其他庸懶散習氣,將重要經營及管理事項嚴格置於內控的框架約束之下,才能提高制度的權威性和執行力,有效促進內控系統的安全、有序、健康和可持續發展。
(五)提升審計資源保障
內審人員要承擔起以上的責任,不僅需要有紮實的組織內控基礎知識和技能, 還需要了解本單位業務特點、經營管理、法律合規、信息技術等相關知識,具備良好的文字表述能力以及人際溝通能力。這一方面需要現有的內審人員發奮學習, 努力改變自身的知識結構,提升自身能力的深度和廣度,以適應組織管理的需要;另一方面需要組織管理層改變觀念, 認為內審崗位只要能稽核查帳就行了, 為內審機構配置高素質的人員,並匹配足夠的內審外包資源,豐富內審的手段和工具,保障內審工作的有效性和全面性。
三、結語
證券公司本質上是經營和管理風險的組織機構,其內控的建立旨在加強信任,提升效率,防控風險,促進經營目標實現。2020年後,證券行業進一步提出向以客戶為中心轉型,圍繞核心客戶、核心資產實現業務協同、高質量服務。這就要求公司著眼於內控蓄勢蓄能的基本特性,持續評價內部控制有效性,不斷提升內控效率和效果;這就要求公司重視內控與內審之間的耦合性和一致性,在平衡收益和成本之間,把握創新和風險之間,逐層逐級梳理內控體系、制度、流程和標準;要求公司重視內審工作,將內審職能建設作為維護內控體系有效性的重要基礎,防患風險與未然,為公司戰略發展保駕護航,助力業務騰飛積聚能量,制勝未來。
喜歡此內容的人還喜歡
原標題:《證券公司內部審計與內部控制的關係思考》
閱讀原文