组织架构内部控制审计实务
2018-09-11 10:58 来源:中国会计网
组织架构概念 关于组织架构的概念,《企业内部控制应用指引第1号———组织架构》第二条规定:“本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。”实际上,人们习惯称组织架构为组织结构。关于组织及其组织结构,理论上的定义是多种多样的。组织,是指由一系列交织共存的关系构成的社会系统,是一个分配和安排组织成员之间的工作、权利和资源,以便他们能够达到组织目标的过程。组织结构,是指企业内部各种组织机构的组合程序。 组织架构审计概念 组织架构内部控制审计,就是对被审计单位组织架构内部控制设计与运行的有效性的审查和评价活动,对促使被审计单位加强组织架构内部控制建设、防范组织架构风险具有重要意义。COSO(美国全国虚假财务报告委员会下属的发起人委员会)内部控制整合框架和企业风险管理整合框架认为,一个企业的组织结构提供了计划、执行、控制和监督其活动的框架。组织架构在企业组织系统中起着框架作用,有了它,组织系统中的人流、物流、信息流才能正常流通,使组织目标的实现成为可能。组织架构对企业有效实施内部控制至关重要。 企业应当建立对组织架构内部控制的审计制度,明确审计机构及人员的职责权限,定期或不定期地进行检查。内部审计部门及人员应检查组织架构的设计、是否健全,运行是否有效, 各项规定是否得到有效执行。 审计依据 组织架构内控审计依据除了国家关于组织架构管理方面的法律法规、企业制定的组织架构管理制度及其《企业内部控制手册》有关组织架构部分的内容外,还应包括国家、行业协会、被审计单位有关审计方面的规范及标准等。 审计目标 组织架构内部控制审计目标,就是审计人员通过对组织架构内部控制设计和运行情况的审查评价,确认组织架构内部控制设计和运行的有效性,促使企业持续不断地建立健全和有效实施组织架构内部控制,有效预防和控制组织架构风险,这实际上是组织架构内部控制审计的总体目标。在内部控制审计实践中,更重要的是要确定组织架构关键控制审计的具体目标。由于组织架构的关键控制因企业不同而有所不同,因此,组织架构内部控制审计的具体目标也不可能完全一样。一般来说,以下几个方面是较为重要的。 (一)治理结构内部控制审计目标 1.董事会。通过对董事会内控审计,预防和控制企业因不符合国家监管部门有关董事会的规定,而可能受到处罚;独立董事不能充分发挥其作用,有可能出现损害中小股东利益的情况;非执行董事之间的交流不充分,可能无法充分发挥对管理层的监督职能等方面的风险。 2.监事会。通过对监事会内控审计,预防和控制因不符合国家监管部门有关监事会的规定,可能无法充分和及时地实施对董事、总经理、副总经理和其他高级管理人员的监督等方面的风险。 3.审计委员会。通过对审计委员会内控审计,预防和控制企业因不符合国家监管部门有关审计委员会的规定,而可能受到的处罚;审计委员会的职能不全,无法充分发挥作用,可能无法发现内控机制不完善及财务报告存在不真实陈述等方面的风险。 4.内部审计。通过对内部审计内控审计,预防和控制企业因不符合国家监管部门有关内部审计的规定及内部审计独立性不强,不能充分履行其职能,无法有效协助公司管理层完善经营管理等方面的风险。 (二)组织机构设置内部控制审计目标 1.职责认知。通过对职责认知内控审计,预防和控制企业因高级管理人员及员工对各自职责没有清楚的认知,而造成公司管理的空档,且无法进行责任追究等方面的风险。 2.胜任能力。通过对胜任能力内控审计,预防和控制企业因高级管理人员和其他主要管理人员不具备适当的经验和知识水平,导致决策失误等方面的风险。 3.组织机构调整。通过对内控审计组织机构的调整,预防和控制企业因固守原有的组织架构可能不足以有效应对不断变化的竞争环境;以及因没有一个合理的组织机构调整程序,可能会出现违背法律规定的问题等方面的风险。 (三)权责分配内部控制审计目标 1.岗位职责描述。通过对岗位职责描述内控审计,预防和控制企业因实施控制的职责和权限无法得到充分保证和正确描述,可能造成控制被忽视或被废弃,在现实中失去效力等方面的风险。 2.职责分解。通过对岗位职责分解内控审计,预防和控制企业因职责分解不当,可能导致控制缺失或失效等方面的风险。 3.权责匹配。通过对权责匹配内控审计,预防和控制企业因员工没有得到与其所承担的职责相对应的决策权时,将影响工作完成水平和工作效率等方面的风险。 审计内容 关于组织架构内部控制审计内容,理论界认为主要包括组织内部机构的设置是否能够适应组织经营管理的实际需要和外部环境的变化,是否符合减少管理层级和提高效能的原则,有无机构重叠和效率低下的情况;组织是否根据经营目标、职能划分和管理要求,明确高管人员、职能部门和分支机构及基层作业单位的职责权限,权利与责任是否分解到具体岗位;组织有无通过有效途径和方式使所有员工了解和掌握内部机构设置及权责分配情况,各层级员工是否明确自己的职责和如何履行自己的职责,以及如何正确接受对权责履行的监督;组织有无内部管理制度汇编、员工手册、组织结构图、业务流程图、职务说明书、权限指引等。这些是在组织架构内控审计中必须重点关注的问题,但其仍不具有操作性,组织架构内部控制审计的重点是控制措施的设计和运行的有效性。 《企业内部控制应用指引第1号———组织架构》重点对组织架构的设计、组织架构的运行进行了规范,涉及的控制要点主要是治理结构的确定、三重一大审批、内部机构设置、职能分解、制度制定、全面梳理、子公司管控、组织架构改进等。这些控制是企业组织架构的重要控制,是企业构建和实施组织架构内部控制时必须关注的控制要点,是组织架构内部控制审计的重要内容。 基于配套指引组织架构内部控制要点及审计内容 (一)组织架构 内控要点:组织架构内部控制审计是审查和评价组织架构内部控制设计和运行的有效性两个方面,包括组织架构的设计、组织架构的执行、组织架构的改进等。 审计内容:已经设计完成的组织架构内部控制及其相关的管理制度是否有效执行,是否有效控制了组织架构风险;已经设计有效的组织架构各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否根据业务、环境等的变化持续改进组织架构内部控制等。 1.组织架构的设计 (1)治理结构确定:企业是否根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序;企业是否确保决策、执行和监督相互分离,形成制衡;董事会是否对股东(大)会负责,依法行使企业的经营决策权;是否按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序;监事会是否对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责;经理层是否对董事会负责,主持企业的生产经营管理工作;经理和其他高级管理人员的职责分工是否明确;董事会、监事会和经理层的产生程序是否合法合规;董事会、监事会和经理层的人员构成、知识结构、能力素质是否满足履行职责的要求。 (2)三重一大审批:企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,是否按照规定的权限和程序实行集体决策审批或者联签制度;个人是否能单独进行决策或者擅自改变集体决策意见;重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准是否由企业自行确定。 (3)内部机构设置:企业是否按照科学、精简、高效、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构;企业是否明确各机构的职责权限,避免业务重复或职能交叉、缺少或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。 (4)职能分解:企业是否对各机构的职能进行科学合理的分解;企业是否确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系;企业在确定职权和岗位分工过程中,是否体现不相容职务相互分离的要求;不相容职务是否包括:可行性研究与决策审批、决策审批与执行、执行与监督检查等。 (5)制度制定:企业是否制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件;企业是否使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。 2.组织架构的执行 (1)全面梳理:企业是否根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理;是否确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求;企业治理结构,是否重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果;治理结构存在问题的,是否采取有效措施加以改进;企业梳理内部机构设置,是否重点关注内部机构设置的合理性和运行的高效性等;内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,是否及时解决。 (2)子公司管控:企业拥有子公司的,是否建立科学的投资管控制度;是否通过合法有效的形式履行出资人职责、维护出资人权益;是否重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。 3.组织架构的改进 (1)组织架构评估:企业是否定期对组织架构设计与运行的效率和效果进行全面评估。 (2)组织架构优化:企业发现组织架构设计与运行中存在缺陷的,是否进行优化调整。 (3)组织架构调整:企业组织架构调整是否充分听取董事、监事、高级管理人员和其他员工的意见;企业组织架构调整是否按照规定的权限和程序进行决策审批。 上述审计要点,无疑是我国企业组织架构内部控制审计的基本内容,但组织架构内部控制构建与实施因企业的不同而有所不同,因此,组织架构内部控制审计的内容,也因被审计单位的不同而不同,不能固定化、模式化。事实上,组织架构内部控制审计内容因其审计方式的不同也略有不同。一般来说,采用传统的全面审计方式,组织架构内部控制审计是审查和评价组织架构内部控制设计的有效性和运行的有效性两个方面,范围包括组织架构的设计、组织架构的执行等业务。采用以风险为导向审计方式,审计人员应以组织架构风险为导向,审计已经设计完成的组织架构内部控制及其相关的管理制度是否有效执行,是否有效地控制了组织架构风险;已经设计有效的组织架构各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否根据业务、环境等的变化持续改进组织架构内部控制等。从长期从事组织架构内部控制审计的实践看,组织架构审计的要点与方法主要包括:治理结构内部控制审计、组织机构设置内部控制审计、权责分配内部控制审计等主要内容。 审计程序 组织架构内部控制审计程序一般包括组织架构内部控制有效性的调查了解、初步评价、风险评估、控制测试、评价缺陷、审计评价、形成意见等。 (一)调查了解 调查了解,就是调查了解组织架构内部控制设计和运行的基本情况,是对组织架构内部控制审计实施阶段的首要环节。组织架构调查工作是在内部控制审计总体工作的准备阶段的基础上进行的,涉及的具体内容很多,因单位的不同而不同。对组织架构内部控制调查了解的方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,应该综合运用。实际审计工作中,为提高组织架构内部控制审计效率,调查了解工作应同组织架构现场测试工作一并进行,不应为满足调查而走形式。这里需要特别说明的是,在具体进行组织架构内部控制审计时,对企业组织架构业务管理情况调查了解是必要的,但还需要对企业组织架构内部控制设计和运行的过程和结果的有效性进行适当的调查了解。