COSO框架對中小企業(yè)內部審計的啟示
——以Y企業(yè)為例

朱羽佳

(上海市臨床檢驗中心，上海 200126)

1 背景

1.1 COSO委員會

1985年，為追根溯源企業(yè)發(fā)生舞弊的主要原因，并尋找解決防范方法的目的，美國注冊會計師協(xié)會(AICPA)、美國審計總署(AAA)、內部審計師協(xié)會(IIA)等組織機構牽頭建立了反舞弊性財務報告委員會(Treadway Commission)。并下設COSO委員會(The Committee of Sponsoring Organizations of the Treadway Commission，COSO委員會)專門研究內部控制問題，其發(fā)布的《內部控制——整合框架》(-，COSO框架)，成為業(yè)界最具代表和權威性的框架，被全球多國借鑒采用，中國2008年發(fā)布的《企業(yè)內部控制基本規(guī)范》，就是以此為藍本起草建立的。

1.2 內部控制的理論發(fā)展

內部控制的理論概念可以追溯到1912年《審計理論與實踐》()，書中首次提出“內部牽制”，對內部牽制進行了系統(tǒng)定義。隨后，內部控制理論體系進入發(fā)展成熟階段(見表1)。

1992年發(fā)布的COSO框架于2013年進行了修訂，就是目前廣泛使用的COSO框架(2013 COSO-IC)，2004年COSO委員會在COSO框架基礎上，根據《薩班斯法案》(-，SOX法案)相關要求發(fā)布了《企業(yè)風險管理整合框架》(，2004-)。2017年最新發(fā)布了《企業(yè)風險管理——與戰(zhàn)略和業(yè)績結合》(-)是在2013 COSO-IC和2004 COSO-ERM基礎上進行更新，徹底打破了原先控制框架的模式，與企業(yè)運營、治理、績效、文化等充分融合，形成了更完善、更科學的管理框架。

表1 內部控制理論發(fā)展重要節(jié)點

1.3 內部審計是完善內部控制體系的重要手段

“安然事件”“世通舞弊事件”等財務丑聞體現(xiàn)出內部審計的重要性。“安然事件”中，是內部審計人員最早發(fā)現(xiàn)并報告了賬外負債，推動了整個案件的進程；“世通舞弊事件”也是由內部審計人員揭示出的38.5億美元違規(guī)列支。

上述丑聞推動了內部控制體系和風險管理相關政策的發(fā)展，也推動了內部審計的職能和價值定位的轉型。2002年，國際內部審計協(xié)會在對美國國會關于SOX法案的意見陳述書中提到：董事會、執(zhí)行管理層、外部審計和內部審計，這四個部分是有效治理賴以存在的基石。改革的真正有效前提是充分考慮公司治理中這四個群體的作用，其中包括內部審計師在保證有效的內部控制和健全的財務報告方面的關鍵作用。2004 COSO-ERM提出：內部審計可以通過審查內部控制、風險管理過程以及為建立完善內部控制系統(tǒng)和風險分散戰(zhàn)略提供建議來實現(xiàn)企業(yè)的增值。同時，我國在1987年成立中國內部審計學會，并加入國際內部審計協(xié)會，2008年頒布的《企業(yè)內部控制基本規(guī)范》提出：內部審計機構應當結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查。至此，內部審計的獨立性和客觀性被視為建立企業(yè)內部控制是否完善的必要評估條件之一。2017年財政部發(fā)布《小企業(yè)內部控制規(guī)范(試行)》，對小企業(yè)內部控制提出了規(guī)范引導。

2 小企業(yè)管理現(xiàn)狀

2.1 中國中小企業(yè)的界定

我國對中小企業(yè)的界定主要以《關于印發(fā)中小企業(yè)劃型標準規(guī)定的通知》(工信部聯(lián)企業(yè)〔2011〕300號)為依據：“中小企業(yè)劃分為中型、小型、微型三種類型，具體標準根據企業(yè)從業(yè)人員、營業(yè)收入、資產總額等指標，結合行業(yè)特點制定。”即先進行行業(yè)分類，再根據行業(yè)特征，依據營業(yè)收入、從業(yè)人員、資產總額等指標或其他替代指標進一步將企業(yè)劃分為大型、中型、小型、微型四種類型。

2.2 中國中小企業(yè)的市場影響

中國人民大學發(fā)布的《中小微企業(yè)創(chuàng)新發(fā)展報告》顯示，截至2020年中國市場主體總數達到1.4億戶，中小企業(yè)戶數占比95.68%，營業(yè)收入占比62.98%，利潤總額占比53.46%。該報告指出：2020年，科技型中小企業(yè)、高新技術企業(yè)的數量突破20萬家，全年高新技術制造業(yè)增加值增長7.1%，高于全部規(guī)模以上工業(yè)4.3個百分點。我國中小企業(yè)發(fā)展強勁，對促進國民經濟和社會發(fā)展、增加就業(yè)、科技創(chuàng)新等方面都具有重要的戰(zhàn)略意義。

2.3 中國中小企業(yè)的管理現(xiàn)狀

2.3.1 中小企業(yè)的壽命短

中小企業(yè)雖然在市場上整體表現(xiàn)活躍、顯示出極強的發(fā)展?jié)摿Γ嬖诘钠骄鶋勖⒉婚L。中國企業(yè)聯(lián)合會研究部研究員劉興國在2016年經濟日報發(fā)表過抽樣調查結果：中國中小企業(yè)平均壽命只有2.5年，而美國中小企業(yè)的平均壽命為8.2年，日本中小企業(yè)的平均壽命為12.5年，中國中小企業(yè)平均壽命與美日相差228%～400%。

2.3.2 中小企業(yè)在某些領域的舞弊風險更高

中小企業(yè)在采購、付款等關鍵環(huán)節(jié)的舞弊風險比大型企業(yè)高，這是美國注冊舞弊審查師協(xié)會(Association of Certified Fraud Examiners，ACFE)《2020年舞弊防范與調查報告》(以下簡稱《報告》)的調查結果。從內部環(huán)境方面說明了中小企業(yè)為何難以持續(xù)健康生存發(fā)展的原因，相對外部市場的激烈競爭，疏于自身的內部控制管理是更重要的癥結所在，這些隱患給中小企業(yè)持續(xù)發(fā)展帶來很大障礙。《報告》顯示，在采購、工資、付款等高風險環(huán)節(jié)，中小企業(yè)發(fā)生舞弊的概率是大型企業(yè)的2～4倍。而采購、付款則是內部控制最為關注的環(huán)節(jié)。如Y企業(yè)作為典型生產型小企業(yè)，由于對銷售人員工資管理沒有建立合理可控的考核機制，導致大量的賒銷壞賬，賬齡大多在3年及以上，很多銷售人員已經離職無法追溯，不僅造成大量的資產損失，同時虛增收入造成財務報表數據不真實，甚至可能會對管理層戰(zhàn)略決策造成影響和誤導。

2.3.3 中小企業(yè)更需要通過內部審計完善內部控制

中國證券監(jiān)督管理委員會等明令要求上市企業(yè)必須建立內控手冊和獨立的內部審計，雖然還存在內部控制形式化、內部審計不夠獨立等問題，但至少上市企業(yè)已經建立了較為完善的內控體系和防御機制，并得到了管理層的高度重視。但中小企業(yè)卻成了內部控制的“漏網之魚”，政府層面對中小企業(yè)以抽查年度財務報告為主要措施，但財務報告審計更多是走流程，會計師事務所基本不會就重要事項進行披露，也難以深入核實相關數據的準確性。目前我國對未上市的中小企業(yè)并沒有明確建立內部控制的政策規(guī)定。

《報告》關于反舞弊控制措施的比較分析顯示(見圖1)：設置內部審計部門可以降低舞弊損失68%，發(fā)現(xiàn)問題速度加快33%。在5項措施(設置內部審計部門、財務報表的外部審計、輪崗/強制休假、舞弊風險評估、舉報獎勵)中，內部審計在綜合能力和持續(xù)性上都更具有優(yōu)勢。

圖1 《2020年舞弊防范與調查報告》：控制措施與降低損失、發(fā)現(xiàn)問題速度的關系

3 中小企業(yè)內部審計的難點

3.1 行業(yè)體系與管理要求缺少統(tǒng)一標準，影響內部控制效果

內部控制與行業(yè)標準不協(xié)同。目前的行業(yè)準則僅針對行業(yè)專業(yè)領域提供政策指引，并不涵蓋行政管理需要的內部控制規(guī)定。如醫(yī)療制造行業(yè)標準僅針對醫(yī)療物資、技術工藝方面，如倉庫管理制度，行業(yè)制定標準的目標是確保物資質量和安全，但內部控制的目標則是確保物資的完整真實、流程合理合規(guī)、成本核算的準確等。如Y企業(yè)原材料入庫需要填寫2份內容幾乎重復的“入庫單”，一份根據生產體系標準填寫，一份根據內控要求填寫。這樣重復作業(yè)是由于生產體系要求按物料采購批號填寫，而內部控制要求按實際到貨數。為此只能根據不同標準分別填寫，無形增加了入庫手續(xù)的工作量，也無法體現(xiàn)內控的高效科學。

3.2 中小企業(yè)缺少正確的崗位認識，影響內部審計定位

對內部審計的定位依然停留在財務、紀檢。盡管現(xiàn)代內部審計已有70多年的歷史，但對于很多中國企業(yè)，尤其是大部分中小企業(yè)管理層對內部審計的認識依然停留在早期的財務復核，與財務職能相似；或者與外部審計混淆認為是審賬，僅對財務部門進行審計監(jiān)督；或者認為內部審計是高層針對舞弊設置的紀檢部門，錯誤認知內部審計的職責和作用，在最初對該部門職責的決定和定位上已經存在宏觀上的誤解，談何后續(xù)正確定位積極發(fā)揮增值作用，幫助企業(yè)提升內部控制和風險管理。根據近10年的內部審計工作經驗，對比中央管理企業(yè)、中美合資企業(yè)、事業(yè)單位以及中小型國有企業(yè)等對內部審計的職能定位，中小型企業(yè)對內部審計的認知存在偏差最大，依然停留在“財務審計”層面。

3.3 內部審計人員缺少綜合能力，影響專業(yè)職能發(fā)揮

無法有效結合實際業(yè)務的內部審計難以有效發(fā)揮職能作用。限制于人員規(guī)模或者資金成本，中小企業(yè)首先在崗位設置和硬件設施上與內部控制和風險管理的原則存在沖突。

此外，在對制度的解讀和執(zhí)行中，也是對內部審計綜合能力的挑戰(zhàn)和考驗。如內部控制的重要措施：不相容崗位有效分離，顯然在中小企業(yè)中無法刻板地照搬大型企業(yè)通過梳理組織架構、增設人員、借助系統(tǒng)平臺等措施實現(xiàn)人員崗位的監(jiān)督，更多時候需要結合實際情況提供可行有效的內部審計建議。

如Y企業(yè)的行政部門經理，同時兼任采購經理、原材料倉庫負責人以及原材料倉庫的實物系統(tǒng)出入庫記賬。即該行政經理一人負責供應商篩選、評審管理、采購下單、實物系統(tǒng)記賬、接收發(fā)票等環(huán)節(jié)。倉庫配有的倉管人員負責物料的請購和實物驗收，但由于該人員歸屬該行政經理管理，其實際很難形成有效的“互相牽制與監(jiān)督”，其潛在風險可參考近期曝光的舞弊案件：生產型小企業(yè)東風本田汽車零部件有限公司的采購人員在2015—2019年間通過與公司內部財務人員和供應商勾結騙取資金2500余萬元，就是利用了采購環(huán)節(jié)一人多崗、供應商評估不到位、未實施有效的對賬、盤點機制造成的。類似的內部控制缺陷很多，往往不容易引起重視，但會在企業(yè)發(fā)展中逐漸暴露，甚至造成重大經濟損失。

4 中小企業(yè)加強內部審計的措施和對策

4.1 從頂層監(jiān)管督促中小企業(yè)內部控制建設

COSO框架變遷過程中美國取消了2006年出臺的《財務報告內部控制——小規(guī)模上市公司指南(2006)》，之后美國如何監(jiān)管推動中小企業(yè)內部控制呢？根據美國審計署官方公布的《審計報告》統(tǒng)計，美國審計署就小企業(yè)公共政策執(zhí)行效果實施的評估審計項目數呈持續(xù)上升趨勢，2016—2020年的項目數對比上一周期增長60%(見圖2)。

圖2 美國審計署就小企業(yè)公共政策執(zhí)行效果實施的審計項目數

報告重點對執(zhí)行公共政策的內部控制進行評估審計，而公共政策的執(zhí)行效果實際看內部控制制度執(zhí)行情況。近幾年我國政府出臺多項政策和措施扶持鼓勵中小企業(yè)發(fā)展，更應該“放管相促”重視從頂層監(jiān)管督促中小企業(yè)內部控制建設，適時開展中小企業(yè)公共政策執(zhí)行情況的評估審計。

頂層監(jiān)管是內部控制審計的原動力，通過政府監(jiān)督可以促進中小企業(yè)意識到內部控制的意義和重要性，以此提升內部審計在內部控制建設中的積極作用。

4.2 從風險管理角度建立中小企業(yè)內部控制體系

無論是從推動內部控制體系的自身發(fā)展需要，還是從幫助企業(yè)在復雜的競爭環(huán)境中生存下來的角度，都需要考慮將風險導向審計模式應用于內部控制中。風險導向審計使內審人員關注組織所面臨的風險，并根據風險評估的思路開展對內部控制的評估。

對中小企業(yè)而言，通過內部審計建立風險管理意識是目前較為可行必要的手段。如對Y企業(yè)進行內部控制審計時發(fā)現(xiàn)，企業(yè)不清楚各種政策、規(guī)章、制度的必要性，僅對標國家或行業(yè)政策，很多規(guī)則并不適用于企業(yè)自身，部分實際操作與制度脫離。

風險管理就是幫助企業(yè)建立全面的風險地圖，幫助管理層對現(xiàn)有及潛在風險進行全面梳理，通過風險評估工具識別不同風險等級, 根據風險大小執(zhí)行對應措施、完善相關制度；通過全面的制度梳理，完成各運營環(huán)節(jié)的流程圖示，在控制風險的前提下簡化工作流程提升運行效率，這樣才能真正體現(xiàn)內部審計對企業(yè)管理價值提升的意義。

4.3 從咨詢服務角度加強內部審計人員綜合能力

現(xiàn)代企業(yè)內部審計的發(fā)展態(tài)勢是從傳統(tǒng)的“監(jiān)督、評價”拓展至“建議、咨詢”，形成全覆蓋的管理咨詢內部審計體系。這需要內部審計人員保持持續(xù)學習的工作狀態(tài)，以“內部審計的使命——增加和保護組織價值”為出發(fā)點和目標，滿足企業(yè)管理層和利益相關者的期望。

國際內部審計師協(xié)會前任秘書長兼首席執(zhí)行官理查德·錢伯斯在擔任田納西河流域管理局(tennessee valley authority，“TVA”)監(jiān)察長期間，就對電力專業(yè)進行了課程進修，雖然對于他當時的職務而言并不需要電力相關的專業(yè)知識，但是作為一名內部審計人員應具備的職業(yè)素質，他覺得自己有必要了解TVA的主要業(yè)務、工作方式以及其中的核心流程。

尤其對于中小企業(yè)的內部審計，可能會在工作中遇到更多的阻礙和不理解，在缺少相關國家政策支持的環(huán)境下，只有得到企業(yè)各層級人員真正的認同才能保證內部審計工作的有效開展。

“真正的認同”就需要內部審計人員從企業(yè)的行業(yè)、人員的專業(yè)、實際的運營進行全面通透的了解認識，能一針見血提出問題、風險和措施建議，這不是內部審計專業(yè)知識可以滿足的，保持好奇心和求知欲是內部審計人員的終身課題，是提升內部審計增值服務的必備素質。