内部审计对上市公司防范风险和提升管理水平、促进资本市场稳定健康发展具有重要作用。近年来,审计内外部环境不断发展变化,特别是2018年1月《审计署关于内部审计工作的规定》(简称《规定》)的发布,标志着我国内部审计工作进入了一个全新的发展阶段。上市公司作为经济社会和资本市场中的重要主体,其内部审计工作也将在新时代有更大更新的发展和作为。
上市公司内部审计方面的规定和实践
(一)上市公司内部审计的定位和作用
《规定》的发布,凸显了内部审计在各类组织完善治理、实现目标中发挥的作用越来越大,其中也包括上市公司。上市公司除了遵守公司法中关于公司的一般性管理规定,还应遵守中国证监会及其他监管部门对上市公司的特定管理规定,以及证券交易所对所在上市公司的具体规定。内部审计作为上市公司治理监督制衡机制的重要组成部分,其作用不可或缺。内部审计机构是公司常设机构,可以连续、实时开展内部监督、评价和建议工作,既发挥着常态化的监督作用,又发挥着在组织架构中的权力制衡功能,是上市公司治理和组织架构的重要基础。而在具体业务方面,内部审计发挥着查错纠弊、改善管理、提高绩效的作用,是组织风险管理的第三道防线。
在上市公司的管理规定中,对上市公司的内部审计有一定的特殊要求,以促进内部审计有效发挥作用。但随着经济社会发展,新时代内部审计范围和职责有了一些新特征,这些新特征尚未体现在上市公司内部审计要求中。
(二)上市公司治理准则、章程指引、上市规则对内部审计的规定
证监会在2016年修订发布了《上市公司章程指引》。按照该指引,内部审计的范围没有“内部控制和风险管理”。
证监会在2018年修订发布了《上市公司治理准则》。按照该准则,内部审计接受董事会审计委员会的监督及评估,但没有明确内部审计在董事会审计委员会的领导下开展工作。
上海证券交易所和深圳证券交易所均制定了股票上市规则。按照两个交易所的规则,《规定》中提出董事会应加强对内部审计工作的领导,在上市公司体现为由其下设的审计委员会具体实施。在具体业务方面,内部审计发挥着查错纠弊、改善管理、提高绩效的作用,是组织风险管理的第三道防线。
(三)企业内部控制规范体系对内部审计的规定和实践
财政部等五部委于2008年印发了《企业内部控制基本规范》,并于2010年印发了《企业内部控制配套指引》(包括《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》),其中多处涉及内部审计工作。
《企业内部控制基本规范》明确审计内容包括对内部控制的监督,但没有明确内部审计其他方面的审计内容,如财政财务收支、经济活动、国家方针政策、企业战略决策、业务计划等内容 ;明确了内部审计机构是企业内部控制的监督机构。
根据《企业内部控制评价指引》,上市公司内部审计部门每年组织开展内控评价、形成评价报告并报董事会审议通过后对外公告。在具体实践中,财政部、证券交易所对内控评价报告内容和形式作了进一步要求,报告内容包括本公司内控缺陷评价标准,但在《企业内部 控制评价指引》和《企业内部控制基本规范》中,对内控缺陷标准方面缺乏规范统一、便于操作、相互可比的规定。《企业内部控制评价指引》中“重大缺陷、重要缺陷和一般缺陷”概念比较笼统,不便于实际操作。
在《企业内部控制审计指引》中,注册会计师执行审计业务、评价被审计企业的内部控制缺陷时,有4 种可能存在重大缺陷的迹象规定,相对《企业内部 控制评价指引》中重大缺陷的规定更加细化,但范围还不够全面、概念还不够明确。在上市公司具体实践中,各公司自行确定的内控评价标准的差异程度较高。从目前上市公司公告的内控评价报告看,各家上市公司的内控缺陷评价标准不统一,对于定量标准的金额或比率、定性标准的具体事件表述都有较大差异,如同样一个事件在某上市公司是重大缺陷,在其他上市公司则是重要缺陷或者一般缺陷。
《企业内部控制应用指引》共18项内容,基本涵盖了内部控制的方方面面,但缺乏内部审计指引。涉及内部环境类的指引有5项,可以对应《企业内部控制基本规范》中内部环境除内部审计这部分内容之外的其他几部分内容,即在《企业内部控制基本规范》中有原则性要求的内部审计,在配套指引中没有对应的应用指引。内部审计工作和其他业务一样,也有需关注的风险和需采取的控制措施,也需将内部审计风险控制在企业可承受范围内。
上市公司内部审计实务开展情况
上市公司内部审计实务一般分为经济责任审计、内控评价、管理绩效审计、专项审计,以经济责任审计、内控评价为主,全面审查公司内部各项业务事项,以管理绩效审计、专项审计为辅,突出对提高经济效益、重点业务事项和高风险领域进行监督评价。
经济责任审计的目的主要是对领导人员履职情况进行监督和评价,审计对象主要是领导人员。有的公司非常重视经济责任审计工作,审计对象不但包括下属单位或机构的主要领导人员,而且包括本单位的副职领导人员、大部分内设机构的负责人、下属单位或机构的副职领导人员。但经济责任审计对象范围过大、频率过高,一定程度上会影响公司正常业务效率,加大审计成本。
内控评价是上市公司内部审计部门按照上市监管规定必须实施的实务工作,而且形成的公司年度内控评价报告须按时对外公告。内控评价涉及公司各项业务和事项,评价程序和方法比较系统、专业。具体实践中,上市公司普遍开展内控评价,但部分上市公司内控评价流于形式,虽然按照交易所规定的时间和格式出具了内控评价报告,但内控评价以评促建、以评促改的作用发挥不够充分。
管理绩效审计是以提高管理水平和经营效益为目的的审计。管理绩效审计要求较高,内部审计人员需熟悉公司业务和市场,才能挖掘影响经营效益的深层次原因。由于该项审计要求高,不同公司对管理绩效审计的重视程度不同,配置的审计力量也不同。
专项审计是对公司某一特定事项开展的审计,主要包括公司战略决策落实情况审计、工程项目审计、举报核查审计及其他专项审计或调查。从目前实践情况来看,公司战略决策落实情况的跟踪审计涉及战略、决策、领导层,层次高、事项敏感,如果没有领导支持,审计将很难实施,目前大部分公司未开展这方面的审计。
审计实务中还有一个难点,即如何把握内部审计的独立性。内部审计的目的是促进公司规范管理、防范风险,为公司实现战略目标服务。实务中,部分上市公司的内部审计独立性偏弱,审计委员会对内部审计的管理较少,管理层的影响较大,部分公司则过度强调内部审计独立性,对管理层的服务和与其他内设机构的协同不够。
完善上市公司内部审计工作的建议
随着国家关于内部审计工作一系列新政策的出台,上市公司内部审计作为公司治理的组成部分,在相关规章制度和实务方面也需相应健全和完善。结合前面分析阐述,笔者提出如下建议。
(一)进一步健全上市公司内部审计工作制度
按照《规定》,结合上市公司的特点,进一步健全上市公司治理准则、章程指引、上市规则中对内部审计工作的规定。具体表现为 :在《上市公司治理准则》中关于审计委员会的主要职责第二条“监督及评估内部审计工作”的表述完善为“领导、监督及评估内部审计工作”;《上市公司章程指引》第八章第二节内部审计第一百五十六条“公司实行内部审计制度,配备专职审计人员,对公司财务收支和经济活动进行内部审计监督”的表述完善为“公司实行内部审计制度,配备专职审计人员,对公司财务收支、经济活动、内部控制、风险管理进行内部审计监督”;第一百五十七条“公司内部审计制度和审计人员的职责,应当经董事会批准后实施。审计负责人向董事会负责并报告工作”的表述完善为“公司内部审计制度和审计人员的职责,应当经董事会审计委员会批准后实施。审计负责人向董事会审计委员会负责并报告工作”。
(二)进一步健全企业内部控制规范体系
一是制定内控缺陷评价标准参考指引。内控缺陷评价标准是内部审计部门开展内控评价、确定内控缺陷类型、评价公司内控是否有效的重要依据,上市公司内部控制评价报告对外披露,是监管部门和投资者的关注重点。
目前对上市公司内控缺陷评价标准没有统一的具体规定,而各上市公司内控缺陷评价标准 差异程度较高,不规范、不统一,公司之间内控缺陷评价缺乏可比性的情况,降低了内控评价报告的使用效果。因此建议制定内控缺陷评价标准参考指引,进一步明确上市公司的内控缺陷评价标准,分类列举财务报告内控缺陷评价标准(定性和定量)和非财务报告内控缺陷评价标准(定性和定量),便于上市公司内控评价实际操作,提高内控评价报告的使用效果。
二是在《企业内部控制应用指引》中增加内部审计指引。内部审计指引可以比照其他内部环境类指引,列出内部审计应该关注的风险,对应风险应采取的控制措施,将内部审计风险控制在企业可承受范围内。
(三)进一步做好上市公司内部审计实务工作
一是进一步深化内部审计范围。目前大部分上市公司内部审计部门都组织开展了经济责任审计、内控评价、管理绩效审计、专项审计工作,但管理绩效审计中的经营效益审计和专项审计中的公司战略决策落实情况跟踪审计开展相对较少,建议上市公司进一步深化内部审计范围,加强对公司发展规划、战略决策、重大措施以及年度业务计划执行情况的审计,加强对亏损业务的经营效益审计,为公司实现战略、落实决策和提质增效发挥更大作用。
二是进一步提高内部审计效率。在经济责任审计方面,确定被审计领导人员范围时,突出主要领导人员的审计 ;在任中审计频率方面,领导人员任中3-5 年开展一次。各项审计实务结合开展,对同一个被审计单位或部门的内部审计(除内控评价)原则上一年不超过 1 次,以提高审计资源效率和减少对被审计单位或部门正常工作的影响。
三是保持内部审计的独立性,上市公司内部审计既要在董事会审计委员会领导下开展工作,又要积极发挥其对内部管理的服务和与其他职能部门的协同作用。(来源:《审计观察》杂志2021年第1期 作者系同方股份有限公司首席审计官 戴敏)
