信息化或成企业内控实施“终端”
中国会计报
与北京香山上盛放的枫叶一样,与内控评价软件有关的话题也“红”了。
“下周我们公司准备试用一套内控评价软件”、“我们黄总也想上一套信息化软件”,这是记者在一次企业内审人员的大型聚会上听到的讨论声。是什么原因让内审部门人员突然间对内控评价软件这么感兴趣?
内控考核在即
内控评价软件热的根本原因还是内控建设的年度考核即将开始。
2010年4月,财政部、证监会、审计署、银监会、保监会等五部委联合颁布《企业内部控制配套指引》,要求自2011年1月1日起首先在境内外同时上市的公司,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行配套指引;在中小板和创业板上市公司择机施行;同时,鼓励非上市大中型企业提前执行。所有实施配套指引的企业,必须提交内部控制评价报告,并由会计师事务所实施内部控制审计并出具内部控制审计报告。
配套指引的实施,标志着内部控制评价成为一种强制性要求。而对于大多数企业来说,内部控制评价还是一项新业务,评什么、如何评、评价报告如何写,这是许多企业内部控制评价人员亟待解决的现实问题。
“第一年开展内控评价工作,大家都没有什么经验,加上评价工作通常都是时间紧、任务重,要高质量完成评价工作,对于承担评价工作的部门来说是一个巨大考验和挑战。”中国证监会首席会计师贾文勤直言不讳地说。
与美国的《萨班斯法案》要求首席执行官和首席财务官在自我评价报告上签字不同,我国内部控制规范体系把内部控制自我评价的责任赋予了公司的治理层及董事会,而不是管理层。因此,企业开展内部控制自我评价工作,要非常清楚评价的主体是公司的董事会而不是管理层,更不是具体实施评价工作的某个部门如内审部。
董事会承担内部控制自我评价的责任,并不是说所有的评价工作都要由董事会亲自来完成,董事会可以根据情况授权管理层以及指定的部门来协助开展自我评价。
“从企业的实践来看,相当一部分企业的内审部门成为内部控制自我评价工作的执行部门。”贾文勤表示。客观来讲,内审部门承担内部控制自我评价的具体工作具有一定的优势和好处。内部审计本来就是企业内部控制的重要一环,内审的日常工作就包括了对内部控制有效性的评价和监督,因此内部审计部门承担自我评价的组织实施,可以在很大程度上提高评价工作的效率,降低评价工作的成本,同时内审人员对于风险控制的理解以及独立客观的职业素养也有利于评价工作的有效开展。
很显然,随着2011年度即将结束,企业内审部门编写一份满足监管和投资者需求的内控自我评价报告成为企业当前的重头工作。
信息化成不二选择
而要找出一个快速编写内控自我评价报告的方式,那非信息化莫属。
“内部审计部门利用信息化手段开展内部控制评价既是现实的要求,也是未来发展的趋势。”中国内部审计协会副会长兼秘书长鲍国明认为,运用信息化手段在一定程度上可以使内部审计部门及时、充分地获取被审计对象的海量数据,进行自动运算和系统分析,运用先进的数据模型和评价方法进行定量分析,更大程度地保证评价结果的客观性。“这样既大大提高了效率和效果,同时也降低了审计风险。”“由于目前大多数企业并没有完成内控系统设计工作,因而大多数内控评价人员,无论是内控主管部门还是其他部门人员,都面临着三个难题,即:内控评价到底应当评价什么;内控评价到底如何评;内控报告如何编写。”北京智远天恒信息技术有限公司董事长徐荣才表示。
徐荣才试用了目前市场中已有的几款内控评价软件后认为,这些评价软件对于内审部门人员来说,评价软件过于复杂,学习和操作困难,而且只是把内控评价流程软件化,没有解决评价人员普通关心的现实困难。
为此,徐荣才建议,企业在内控评价信息化过程中要遵守三大原则:标准先行原则,即信息系统必须提供内控标准,从而为内控评价奠定基础;以评促建原则,即以评价促进内控体系建设的原则,内控评价必须与缺陷整改、内控考核挂钩;简明实用原则,根据内控评价人员对信息化普遍不是很精通的特点,要求内控评价软件必须易学易用,不能过于复杂。
“内控评价信息系统的核心内容应当由三部分构成,即评价作业、评价报告和缺陷追踪。”徐荣才进一步解释说,评价作业应当包括任务的构建、评价测试和评价汇总三个部分。其中,任务构建主要是明确评什么、如何分工、何时完成等,评价测试关注对评价点如何进行测试、评分,评价汇总关注评价结果如何进行汇总;评价报告主要解决如何起草内部控制评价报告;缺陷追踪关注对于发现的内控缺陷如何进行分析、评价,如何安排整改计划,如何检查整改落实情况等。