蔡潮汛

內(nèi)部控制體系是現(xiàn)代企業(yè)制度的基礎，也是提升企業(yè)競爭力的基礎；而內(nèi)部控制審計是企業(yè)內(nèi)部控制體系的重要組成部分，它在防范企業(yè)風險，提高企業(yè)競爭力、促進企業(yè)健康發(fā)展方面發(fā)揮著重要的作用。本文將簡述內(nèi)部控制審計的內(nèi)涵，回顧電信企業(yè)十年內(nèi)部控制審計歷程，闡述內(nèi)部控制審計在電信企業(yè)中的實務應用，總結取得的成效與經(jīng)驗，分析在當前形勢下內(nèi)部控制審計增加組織價值的方向和空間，并對未來內(nèi)部控制審計工作的發(fā)展方向進行展望。

電信企業(yè)

內(nèi)部控制審計 研究與實踐

內(nèi)部控制體系是現(xiàn)代企業(yè)制度的基礎，也是提升企業(yè)競爭力的基礎；而內(nèi)部控制審計是企業(yè)內(nèi)部控制體系的重要組成部分，它在防范企業(yè)風險、提高企業(yè)競爭力、促進企業(yè)健康發(fā)展方面發(fā)揮著重要的作用。當前電信企業(yè)正處于全面深化改革的關鍵時期，迫切需要企業(yè)建立適應移動互聯(lián)網(wǎng)時代發(fā)展要求的新型運營模式、市場化經(jīng)營機制與開放合作體系，因此更加凸顯內(nèi)部控制的重要性。如何在原來行之有效的工作方法和經(jīng)驗的基礎上揚長避短，進一步加強企業(yè)內(nèi)部控制并持續(xù)改進，分析在當前形勢下內(nèi)部控制審計增加組織價值的方向和空間，是擺放在管理者和內(nèi)部審計人員面前的一個重要課題。

內(nèi)部控制及內(nèi)部控制審計的內(nèi)涵

根據(jù)COS0報告《內(nèi)部控制一整合框架》，內(nèi)部控制是由公司董事會、管理層和其他員工實施的，為實現(xiàn)經(jīng)營的效果性和效率性、財務報告的可靠性以及適用法律法規(guī)的遵循性等目標提供合理保證的一個過程。我國五部委聯(lián)合印發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》則定義內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制審計是通過對被審計單位的內(nèi)部制度的審查、分析測試、評價，確定其可信程度，從而對內(nèi)部控制是否有效做出鑒定的一種現(xiàn)代審計方法。內(nèi)部控制審計是內(nèi)部控制的再控制，它是企業(yè)改善經(jīng)營管理、提高經(jīng)濟效益的自我需要，目標是檢查并評價內(nèi)部控制的合法性、充分性、有效性及適宜性，檢查并評價內(nèi)部控制能否合理保證資產(chǎn)、資金的安全。

電信企業(yè)內(nèi)部控制審計體系

（1）電信企業(yè)內(nèi)部控制審計的主要種類

1.內(nèi)部控制自我評價。內(nèi)部控制自我評價是公司相關機構和人員定期或不定期地對各自負責的內(nèi)部控制進行自我檢查，分析和評價其設計和執(zhí)行的有效性，發(fā)現(xiàn)并不斷改進內(nèi)部控制缺陷。

2.內(nèi)部控制獨立評價。內(nèi)部控制獨立評價是由內(nèi)部審計機構和人員對內(nèi)部控制所進行的一種獨立客觀的審查和評價活動，通過審查測試被評價單位內(nèi)部控制的設計和執(zhí)行，對被評價單位內(nèi)部控制的有效性做出評價。

3.內(nèi)部控制外部審計。內(nèi)部控制外部審計是由會計師事務所接受委托，對特定基準日企業(yè)內(nèi)部控制設計與運行有效性進行審計，是一種專業(yè)的審計檢查。

（2）電信企業(yè)內(nèi)部控制審計的主要內(nèi)容

內(nèi)部控制評價包括對內(nèi)部控制設計有效性和執(zhí)行有效性的評價。設計有效性是指為實現(xiàn)控制目標所必須的控制措施都存在并且設計恰當。執(zhí)行有效性是指已有的內(nèi)部控制按規(guī)定程序得到了正確執(zhí)行。

1.控制環(huán)境評價：重點關注企業(yè)的誠信和道德價值觀、董事會的參與程度、管理層的經(jīng)營理念和風格、組織結構、權責分配、人力資源控制等要素。

2.風險評估評價：包括對日常經(jīng)營管理過程中的目標設定、風險識別、風險分析、應對策略等進行認定和評價。

3.控制活動評價：關注政策制定、業(yè)務流程設置的合理性，檢查與業(yè)績評價、授權與職責分離、信息處理、實物資產(chǎn)控制等相關活動。

4.信息與溝通評價：對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、信息系統(tǒng)的安全性等進行認定和評價。

5.內(nèi)部監(jiān)督評價：重點關注監(jiān)事會、審計委員會、內(nèi)部審計機構等是否在內(nèi)部控制設計和運行中有效發(fā)揮監(jiān)督作用。

（3）電信企業(yè)內(nèi)部控制審計的評價標準及結果判定

內(nèi)部控制評價的標準包括總體標準和具體標準?？傮w標準為：內(nèi)部控制應能為實現(xiàn)控制目標提供合理保證，能夠有效防范和發(fā)現(xiàn)風險；具體標準為：公司與財務報告相關的內(nèi)部控制手冊及其實施細則，以及相應的制度辦法。內(nèi)部控制缺陷包括一般性內(nèi)控缺陷、顯著缺陷、實質(zhì)性漏洞。內(nèi)部控制缺陷的嚴重程度取決于兩個因素：即控制缺陷或控制缺陷的集合造成科目余額或信息披露錯漏的可能性、重要性。目前電信企業(yè)財務報表錯漏重要程度以百分比和絕對值兩個定量標準確定。

電信企業(yè)十年內(nèi)部控制審計歷程回顧與經(jīng)驗總結

自2005年中國電信在國內(nèi)率先開展內(nèi)部控制有效性評價，至今十余年來構建了扎實、健全的內(nèi)部控制基礎，取得了很好的效果。截至2017年，中國電信福建公司共開展內(nèi)控審計306項，這些內(nèi)控審計項目為企業(yè)改革發(fā)展、風險防范發(fā)揮了重要作用，獲得外部審計和各項工作檢查的高度評價。

（1）初期啟動階段（2005年-2007年），保證審計覆蓋面、提升審計隊伍能力。

一是加強內(nèi)控自我評估理念的全員宣貫，采用各種培訓方式，進行員工能力的積累，認真學習《薩班斯法案》和《內(nèi)部控制評估辦法》等內(nèi)部控制有關知識。二是開展“試評估”鍛煉隊伍，通過“以審代訓”的方式，盡快讓審計人員掌握內(nèi)控審計的知識和技能。三是保證內(nèi)控審計覆蓋面，省公司本部及對全省財務報告有重大影響的所屬單位均納入內(nèi)控審計范圍。

（2）價值提升階段（2008年-2012年），加強內(nèi)部控制審計質(zhì)量、注重內(nèi)部控制審計價值提升。

一是建立內(nèi)控自我評估工作IT支撐體系。在IT支撐系統(tǒng)中將流程、控制點、評估程序、評估辦法、支撐表格、調(diào)查問卷等固化，提高內(nèi)控自我評估工作效率與效果。二是建立“內(nèi)控審計風險庫”，為有重點的開展風險防范和內(nèi)控審計工作提供支撐?！皟?nèi)控審計風險庫”包括收入、成本、資金、資產(chǎn)等十三大領域、54個類別、228個風險控制要點。

（3）關注結果應用階段（2013年-2017年），以解決問題為導向，重視內(nèi)控審計成果運用。

一是堅持以風險為導向開展內(nèi)部控制審計，突出重點，加大對關鍵風險點和關鍵環(huán)節(jié)的審計，對可能出現(xiàn)重大內(nèi)控問題的領域進行重點關注。二是對于內(nèi)控審計中發(fā)現(xiàn)的共性問題進行通報，要求其他單位舉一反三開展自查，以內(nèi)控審計為平臺，有效促進公司經(jīng)營管理水平提高。三是開展上一年度內(nèi)控審計發(fā)現(xiàn)缺陷整改情況后續(xù)審計，對未按要求完成整改工作的單位進行考核，發(fā)現(xiàn)缺陷未整改的應限期整改外，確保內(nèi)控審計整改落到實處。

中國電信福建公司內(nèi)部控制審計的創(chuàng)新與對策

（1）關注新興業(yè)務領域，開展新業(yè)務單元內(nèi)部控制審計。

當前全國上下正在全面推進深化改革，筆者所在企業(yè)集團也在加快市場化運作、開放合作、新興業(yè)務領域改革發(fā)展等步伐。新興業(yè)務單元有商業(yè)模式多、靈活性較強、無財務機構等特點，在收入成本、資金資產(chǎn)、合同采購等方面比傳統(tǒng)業(yè)務領域存在更大管控風險。因此應進一步創(chuàng)新理念方法，研究審計支撐公司深化改革的方式和路徑，結合傳統(tǒng)業(yè)務與新興業(yè)務在公司體制、運營機制、業(yè)務內(nèi)容、資源配置、考核激勵等方面的不同特點，差異化開展審計監(jiān)督和服務。中國電信福建公司將關注新業(yè)務單元內(nèi)控制度建設和執(zhí)行規(guī)范性作為近年內(nèi)部控制審計工作重點，以實際行動支撐服務公司深化改革，重點推動其完善公司治理結構，健全內(nèi)部制衡機制，促進董事會、監(jiān)事會有效履職，推動新業(yè)務單元依據(jù)市場化機制合理決策、配置資源和有效激勵。

（2）內(nèi)部控制審計與審計風險系統(tǒng)相結合，為企業(yè)增加價值。

1.審計風險框架暨風險庫是審計風險體系的基礎。具體包含：風險全景視圖和風險列表、重要及活躍程度標識、方法指引、判斷標準、檢查方法、問題歸類、影響程度、統(tǒng)計分析、成果利用等。

2.風險識別與管控即風險掃描與預警。在建立審計數(shù)據(jù)集市的基礎上，利用信息化手段實時監(jiān)控風險指標變動情況，對超過閥值的指標及時告警并跟蹤消除情況；風險掃描亦可作為內(nèi)部控制審計及其他類型審計的支撐，通過預警、掃描、項目現(xiàn)場檢查達到統(tǒng)計分析前N大風險點、高風險區(qū)域、高風險領域、個性化風險分析結果等。

3.風險處置即風險應對。制定并實施控制風險的計劃，確定降低風險發(fā)生的可能性并減少其不良影響進行風險處置。對告警及異常波動的事項進行派單詢問，進行風險處置；并建立風險處置跟蹤臺帳實施動態(tài)跟蹤。

（3）創(chuàng)新審計組織方式，融合開展內(nèi)部控制審計

1.將內(nèi)控自評與專業(yè)部門的日常檢查相結合。在全省范圍內(nèi)推行“五個共同”，與業(yè)務部門共同確定自評選題、共同細化評價方案、共同開展監(jiān)督檢查、共同討論整改措施、共同促進缺陷整改，將自評工作融人專業(yè)部門的檢查工作中，有效調(diào)動專業(yè)部門的積極性，讓傳統(tǒng)模式下的“我審你”變成能被業(yè)務部門接受的“我?guī)湍恪保鰪妼徲嫴块T與業(yè)務部門的聯(lián)動，將內(nèi)控自評工作落到實處。

2.將內(nèi)控獨評與其他審計項目相結合。如省公司及市分公司嘗試結合經(jīng)濟責任審計、專項審計等項目融合開展內(nèi)控獨評，提升內(nèi)控評價與其他審計項目結合度，實現(xiàn)“從內(nèi)控中來，到內(nèi)控中去”。既要把各類審計項目發(fā)現(xiàn)問題向內(nèi)控環(huán)節(jié)延伸，查找問題根源；又及時評估內(nèi)控自評、獨評發(fā)現(xiàn)缺陷的影響程度，鎖定企業(yè)重點風險領域和區(qū)域，為其他審計項目提供風險指引。

（4）規(guī)范內(nèi)控審計工作標準與程序，構建質(zhì)量保障機制

通過制定內(nèi)控審計標準化建設來規(guī)范內(nèi)控審計工作，提高審計工作的質(zhì)量和效率，比如2015年將組織審計骨干開展內(nèi)控審計標準化建設，統(tǒng)一內(nèi)控審計文書模板和審計方案，制定內(nèi)控審計標準化操作手冊，進一步提高內(nèi)控審計工作效率和質(zhì)量，降低審計風險。

中國電信福建公司內(nèi)部控制審計的未來展望

（1）構建以風險管控為導向的內(nèi)部控制審計評價體系。

筆者所在企業(yè)集團目前已著手構建審計風險體系。我們可以在審計風險體系的基礎上，通過風險庫建立、風險識別與管理、風險處置等三個模塊，構建以風險管控為導向的內(nèi)部控制審計評價體系，為內(nèi)部控制審計及其他類型審計流程標準化和實施內(nèi)容規(guī)范化的實現(xiàn)提供支撐。通過該體系對審計作業(yè)流程、步驟、審計覆蓋面、審計范圍、審計方法、審計質(zhì)量、審計文書等進行標準化和規(guī)范化，并實施審計信息化。該體系涵蓋自審計立項、方案制定、審前調(diào)查、非現(xiàn)場審計、審前輔導、現(xiàn)場實施、審計報告至后續(xù)整改跟蹤、全面評價等環(huán)節(jié)，實施全過程閉環(huán)管理。

（2）積極探索信息系統(tǒng)審計，有效管理企業(yè)信息化風險。

信息系統(tǒng)審計是對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向被審計單位的最高管理當局，提出問題與建議的一系列活動。信息系統(tǒng)審計綜合運用IT技術與審計理論和方法為信息系統(tǒng)的使用者提供合理的保證。當前信息系統(tǒng)審計在我國尚處于探索階段，如何規(guī)范化、程序化開展信息系統(tǒng)審計，需要審計人員在實際工作中不斷地思考總結，摸索出規(guī)律，但是我們可以預言未來審計技術發(fā)展的動力來自于信息系統(tǒng)審計的發(fā)展，這種趨勢將導致更多增值服務的出現(xiàn)，信息系統(tǒng)審計將為內(nèi)部審計人員提供十分廣闊的職業(yè)發(fā)展空間。

綜上所述，電信企業(yè)內(nèi)部控制審計應直面挑戰(zhàn)，應對企業(yè)內(nèi)外環(huán)境的變化，通過拓展內(nèi)部控制審計領域、創(chuàng)新組織方式、完善方式方法、強化成果應用，構建以風險管控為導向的內(nèi)部控制審計評價體系、逐步探索與開展信息系統(tǒng)審計、培養(yǎng)復合型審計人才等，為企業(yè)健康有序運營保駕護航，為企業(yè)增加價值。

[1]王曉霞，2007：《企業(yè)風險審計》[M]，中國時代經(jīng)濟出版社。

[2]胡為民，2009：《內(nèi)部控制與企業(yè)風險管理一實務操作指南》，電子工業(yè)出版社。

[3]高雅青、李三喜，2007：《3C框架一全面風險管理標準》，中國市場出版社。

[4]董月超，2009：《從COSO框架報告看內(nèi)部控制與風險管理的異同》，《審計研究》2009年第4期

[5]宋媛，2007：《<薩班斯奧克斯利法案》對我國企業(yè)內(nèi)部控制的影響及啟示》，西南財經(jīng)大學。

[6]沈征，2012：《內(nèi)部審計為組織增加價值一基于量化標準的研究》[M]，經(jīng)濟科學出版社。

[7]張慶龍，2006：《內(nèi)部審計價值》（第2版）[M]，中國時代經(jīng)濟出版社。

[8]貝利、格拉姆林、拉姆蒂（美）著，王光遠等譯，2006：《內(nèi)部審計思想》[M]，中國時代經(jīng)濟出版社。