当前国际金融危机还在扩散和蔓延,对全球实体经济的冲击和造成的损失将会进一步扩大,对我国经济发展的影响也会更加明显。风险管理不力、缺乏透明度和无效的公司治理是造成这场金融危机的重要原因之一。内部审计作为受托责任的一种控制机制,以风险管理、控制和治理过程为作用点,以监督、评价和咨询为职能,促进内部控制、公司治理建设,确保内部控制、公司治理持续有效运行,这既是内部审计的职责,更是内部审计发展的方向。
一、内部审计的定义及其发展
公司内部审计的发展,是随着一国经济、文化、法律意识和公司制度的发展而发展的。内部审计的职责也不是一成不变的,是不断发展、变化的。
1947年至1999年间,国际内部审计师协会(IIA)先后7次对内部审计的基本职责进行了新的定义,[1]集中反映了国际组织对内部审计理论内涵认识的不断深入,也反映了社会对内部审计职能和作用的不断深入挖掘。
从表1中我们可以看出,监督和评价始终是内部审计的两大核心职责,但监督和评价的范围在不断拓展,层次在不断提升。内部审计在实践中迅速发展并不断适应组织的需要,逐渐站在管理层甚至整个组织的高度,以为组织增加价值为目的。到20世纪90年代早期,内部审计师已经从事包括财务检查与审计、经营审计、管理审计以及遵纪守法审计在内的综合性审计工作。随着组织内、外部环境的日益复杂和所面临风险的日益增长,传统上对内部审计的职能定位已不能满足组织治理、风险管理和内部控制的要求。1999年6月,国际内部审计师协会理事会通过了内部审计新定义和新的专业实务框架(PPF),基于风险管理的内部审计被定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。
1999年IIA对内部审计的定义具有深远的历史意义,不但拓展了内部审计的内涵,同时还明确了内部审计发挥职能的着力点,主要表现在:
1.新增了咨询服务功能。强调要通过内部审计的咨询服务职能,“改善”风险管理、控制和治理过程,为组织提供增值服务。
2.明确了内部审计、评价和咨询服务的着力点。抛弃了以前“经营业务”、“组织活动”等模糊的定义语言,明确了内部审计职能有效发挥的着力点是“风险管理、控制和治理”。
3.升华了内部审计的目标。将内部审计目标与组织目标相统一,提出了内部审计“通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
二、内部审计发展的最新趋势
从1999年IIA对内部审计的定义可见,国际内部审计呈现四大发展趋势:一是开拓风险管理新领域;二是深入介入内部控制;三是推动更有效的公司治理;四是更新内部审计师的职责。可以看出,在国际内部审计四大发展趋势中,前三大趋势重视的是加强公司的管理与规范建设;后一趋势对内部审计师的职责在改变,强调的是提高内部审计人员的整体素质以适应其职责的改变。
1.内部审计开拓风险管理新领域
近年来,很多内部审计组织开始介入风险管理,并将其作为内部审计的重要领域。内部审计之所以涉足风险管理领域,主要有以下几个原因:
(1)内部审计顺应加强风险管理的要求
随着社会经济的发展,特别是经济全球化及国际化程度的加深,公司的经营环境日趋复杂,经营风险也大为增加。公司在对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险。而在内部的运营过程中,公司也面临运作效率低下所带来的损失风险等等。公司、行业之间的竞争日益加剧,如何防范风险、加强风险管理,已成为公司经营者面临的重要问题。因此,减少公司面临的风险是组织实现目标的关键,也是公司管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是公司的管理咨询师,因此,内部审计部门和内部审计人员参与公司的风险管理也就顺理成章了。
(2)内部审计组织对拓展新领域的探索
内部审计组织为了自身的发展,为了在公司中担当更重要的角色和发挥更重要的作用,不断探索内部审计的新领域。公司高层管理人员对风险管理的空前重视,为内部审计发展提供了一个良好的机会。内部审计组织对风险管理的介入,使内部审计在公司中成为一个重要的角色,并将其作用推上一个新台阶。国际内部审计师协会推进内部审计由财务审计为主逐步向以风险管理审计为主转变,既是内部审计发展的结果,更是受托责任关系发展变化的体现。1999年国际内部审计师协会通过的内部审计新定义,对内部审计的定位为“评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
(3)内部审计发展和作用发挥的内在要求
内部审计作为内部控制的重要组成部分,其在风险管理中发挥着不可替代的独特作用,主要有以下几个方面:①内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。②内部审计人员通过对长期风险策略与各种决策的审计、调查,可以调控、指导公司的风险管理策略。③内部审计部门独立于公司高级管理层,其风险评估的意见可以直接上报给董事会,其建议更易引起管理当局的重视。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系。内部审计人员是风险管理专家,通过对风险的把握和评价,实现对风险的控制。
(4)内部审计受外部审计开展风险评估的影响
近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是其主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势。比如:内部审计部门和内部审计人员对公司面临的风险更了解,对防范公司风险、实现公司目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。
2.内部审计深入介入内部控制
在20世纪80年代,内部控制是企业管理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理工作,企业面临的风险普遍增大。主要原因是:企业实行多样化经营,进入了众多以前未涉及的领域;实施国际化发展战略,控制链大大延长;信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下,企业开始注重风险管理,内部审计的重点也从制度基础审计转向风险导向审计。
(1)深入介入内部控制的原因
《萨班尼斯—奥克斯莱法案》第404条款[2]——管理层对内部控制的评价:强调公司管理层对建立和维护内部控制系统及相应控制程序充分有效的责任;上市公司管理层在最近财务年度末应对内部控制系统及控制程序的有效性进行评价。国际内部审计深入介入内部控制这一领域,是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用,因此,公司内部控制的运行状况已不仅仅是公司内部关心的对象,而越来越受到外部相关人士的关注。
对于404条款中要求的管理层对内部控制的评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则,上述评价过程不应当作为一项单独的业务。
(2)内部控制自我评估
内部控制自我评估是近年来西方国家内部控制系统评审的一种方法,是公司监督和评估内部控制的主要工具。它将运行和维持内部控制的主要责任赋予管理层,同时,使员工和内部审计师与管理人员合作评估控制程序的有效性,共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营管理目标的实现。简言之,这种方法不再以内审部门实施内部控制评价为主,而是以管理部门的自我评估为主。
通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范,从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥管理人员的积极性,使他们学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,与各管理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱环节的产生。
3.内部审计推动更有效的公司治理
在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行。这也是近年来公司治理越来越受到政府监管部门和社会各界广泛关注的原因。
(1)公司治理的四大“基石”
由此可见,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。
(2)公司治理过程
IIA对“治理过程”的定义是:“组织的投资人代表,如股东等所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。”IIA《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:①制定、传达目标和价值;②监控目标的实现情况;③确保责任制的落实;④维护价值。内部审计师应对经营和管理项目进行评价,以确保经营管理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。”
在强化公司治理方面,国际内部审计已逐渐形成:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。
(3)强化公司治理的重要举措
在安然公司财务丑闻曝光之前,美国的公司治理结构大多为三位一体,即董事会、管理层和外部审计。但是,安然公司、世界通讯等公司的财务丑闻充分证明了三位一体的公司治理结构的主要缺陷在于:
①由管理层聘请外部审计,使会计师事务所自身的利益与公司管理层密切相关,丧失独立性。
②内部监督机制不健全,内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前,美国的相关法律并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司管理层报告工作,审计的内容、范围和结果报告受到管理层的限制,致使董事会无法全面了解公司经营管理和财务的真实状况。
《萨班尼斯—奥克斯莱法案》要求公司的审计委员会发挥更加积极的作用,监管会计、财务报告程序,领导内部审计和选择聘请外部审计机构。采用审计委员会这种内部监督机制,可以避免由管理层直接聘请会计师事务所和决定审计费用的现象,从而强化对公司管理层的监督功能。在审计委员会领导下的内部审计机构,受公司董事长的直接领导,地位比较超脱,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。
4.内部审计人员职责的更新
(1)内部审计人员从“幕后”逐渐走向“前台”
《萨班尼斯—奥克斯莱法案》第404条款——管理层对内部控制的评价,要求管理层对本组织内部控制状况进行评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的,其执行状况和有效性由管理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对本公司的内部控制状况进行评价,向高级管理层提交内部控制评价报告,高级管理层认可后才能向会计师事务所提交报告。这样一来,就把内部审计人员从后台推向了“前台”,本组织的内控状况不佳,内部审计人员也有不可推卸的责任。
(2)未来内部审计人员的职责
2007年IIA全球审计信息网络调查结果[4]表明,内部审计人员的职责应该是:调查人员(44.6%);指导顾问(57.%);咨询专家(45.6%);管理层的有益助手(34.7%);其他人士(32.1%)。未来的内部审计师必须具备以下素质:①多面手。拥有大局观,对整个组织的价值具有前瞻性考虑。②置身其中。要参与和了解公司各项业务,发现问题并及时提出解决措施,不搞秋后算账。③精通技术。应用专业技术知识来预防和减少公司的风险,改进治理过程和提高效率。④顾问。提供保证、培训和咨询服务。⑤领导人。在风险控制和改进组织的效果方面发挥领导作用。
三、我国公司内部审计的发展方向
随着市场经济体制的建立和市场机制的不断完善,我国公司的内部审计有了很大发展,绝大多数公司设立了独立的内部审计机构。但总的来说,我国公司的内部审计工作滞后于公司治理,不能很好地满足公司发展的需要。我国公司内部审计的发展,应在借鉴国际内部审计经验的基础上,顺应国际内部审计的发展趋势。
1.推进内部审计参与风险管理
随着我国公司所面临风险的增加,风险管理已成为公司管理的核心,这就需要内部审计的大力协助。目前,我国公司的风险管理水平较低,除了银行、保险公司等金融机构外,其他公司很少专门建立风险管理流程。[5]我国内部审计工作相对国外而言也是发展滞后的。所以,我国公司急需树立风险意识,建立全面风险管理机制,内部审计也应顺应这一发展趋势,积极参与公司的风险管理。目前,我国内部审计参与风险管理主要有两个方面:协助管理层建立风险管理制度,对风险管理效果进行评价。
一是内部审计应积极向管理层提出建立风险管理的相关建议。内部审计可以通过开展风险管理培训,培育企业风险管理文化,使风险意识贯穿企业的各个层面;可以利用其专业优势开发适合企业特点的自我评估工具,帮助管理层将生产经营与风险管理更好地结合;可以通过咨询服务的方式协助公司建立风险管理系统。内部审计师可以促进、协助风险管理系统的建立,但不负风险管理的责任。
二是对于已经建立风险管理制度的公司,内部审计部门所参与的风险管理主要是在已有风险管理基础上的再监督,是对风险管理过程的效果进行评价并提出改进意见。内部审计应采取科学的标准评价公司以及同行业的发展情况和趋势,确定是否可能存在影响公司发展的风险。检查公司的经营战略,了解企业能接受的风险水平,与相关管理层讨论部门的目标、存在的风险以及管理层采取的降低风险和加强控制的活动,并评价其有效性。
2.组建相对独立的内部审计机构
为防范组织内各部门和员工经营管理不善而产生的欺诈行为,国外公司一般专门成立了独立于其他部门,仅仅对公司最高权力机构负责的内部审计机构。[6]如在许多西方大公司中,董事会是公司最高权力机构,董事会下设的审计委员会负责公司内部审计的领导、组织工作,并负责向董事会汇报公司的财务状况、经营成果和现金流量情况。公司内设立了若干业务审计及内部审计中心,分别负责公司各项业务的审计,以保证内部审计机构的独立性。近年来,西方大公司都把世界各地分支公司的内部审计部门独立出来,不再受各地分支公司管辖,而直接由总公司审计部门领导,此举的目的也在于加强公司内部审计机构的独立性。
我国公司应按照独立性原则来进行内部审计机构的设计。具体实施时,可借鉴国外公司的审计委员会模式来进行。首先应在董事会下设立审计委员会,负责内部审计工作中重大政策的制定和审计工作的组织领导。其次,应在公司内部设立专门的内部审计监督部门,该部门应独立于其他业务部门,直接对董事会负责。再次,总公司的内部审计部门对各分支公司的内部审计部门应实行派驻制,各分支公司的内部审计部门受总公司内部审计部门的直接领导,其主要任务是推动公司内部控制体系的建设,督促各分支公司依法经营,加强风险防范和对公司治理进行检查和评价等。
3.发挥内部审计在公司治理中的作用
公司治理系统由内部监控机制和外部监控机制组成。[7]我国公司法确定“三会四权”制衡机制就是典型的内部监督机制。外部监控机制是指股东、资本市场、经理市场、产品市场、社会舆论和国家法律法规等外部力量对公司管理行为的监督。在一定情况下,内部监控机制是公司治理的主体。它一方面利用公司管理当局披露的会计信息对公司管理者进行约束和激励;另一方面因为内部监控机制的特殊地位,它有义务保证公司的会计系统和审计系统向股东会、董事会、监事会及外界披露系统、及时、准确的会计信息。从西方发达国家的成熟经验看,内部审计是公司治理结构的有机组成部分。内部审计的发展离不开公司治理的推动,公司治理的优化也离不开良好的内部审计作保障。
良好的公司治理可以通过一系列有效运行的相互制约的制度安排,从根本上增强公司内部经营管理水平,从而提高公司治理的能力。因而,公司治理自然也就成为现代内部审计关注的新焦点。同时,内部审计独有的对经营管理的实时关注和评估对公司治理的健全也至关重要。我国的内部审计过去一般由总经理领导,现在逐渐转变为由董事会下的审计委员会领导,其不仅是为了确保实现公司内部良好的监督管理和层级间有效沟通的一项制度安排,而且内审部门还可以为外部审计师就有关公司内部控制和风险状况等一些问题提供必要的帮助。此外,内审部门还积极向公司外部利益相关者提供有关公司经营管理等一些信息,以增强他们对公司治理的信心,协调他们与公司管理当局的关系。可见,我国内部审计的发展、变化与公司治理的完善处于良好的互动循环中。
4.促进内部控制体系的建设和完善
美国《萨班尼斯—奥克斯莱法案》要求内部审计深入介入内部控制的情形,在我国已经显现。我国财政部、审计署、证监会、银监会和保监会等五部门于2008年5月颁发了第一部《企业内部控制基本规范》,[8]以政府监管法规的形式发布实施,标志着我国企业内部控制体系建设走上了法制化、规范化的轨道。该规范要求内部审计对内部控制有效性进行监督与评价,这对推动我国内部审计转型与发展,具有里程碑的意义。
内部审计既是公司内部控制体系的一部分,又是内部控制体系有效性的确认者。参与公司内部控制体系建设,确保公司内部控制持续有效运行,既是公司内部审计的法定职责,也是公司内部审计的发展机会。我国公司内部审计应以应对经济危机为契机,以贯彻实施《企业内部控制基本规范》为载体,自觉地将内部审计工作融入企业内部控制体系建设之中,充分发挥内部审计在风险控制中的职能作用。在当前和今后一个时期,公司内部审计应积极参与公司内部控制体系建设,促进公司内部控制体系逐步向全面风险管理体系升级和完善;以构建公司自我约束和自我发展机制为主线,积极开展内部控制有效性监督和评价,不断维持和强化内部控制的有效运行;以组织业务单位、职能部门开展内控自我评估为抓手,使内部控制成为公司全员的自觉行动,推动公司培育和普及内控文化基础建设;以开展公司信息化能力审计评价为手段,推动公司多层次的信息化系统建设,实现内部控制自动化;认真开展内部审计自身有效性评估,不断提高审计质量和水平,为公司内部控制有效性提供机制保障。
5.采用现代科学的审计技术与方法
随着审计对象、目标和内容的发展、变化,美、英等西方国家的内部审计人员越来越注重现代审计技术与方法的运用。目前,国外现代内部审计大多采取以风险导向的审计方法,紧紧围绕风险防范开展内部审计工作,并借助计算机技术来进行风险测定,对重要业务或内部控制系统存在较大缺陷的机构进行重点、深入的审计。同时,国外公司还非常注重内部审计方式的灵活化。如美国公司内部审计系统以开放式、能动式模式为发展方向,一般不实行突击检查,注重培养各级分子公司及业务部门遵守规章制度,发现风险隐患的主动性和积极性。这项措施有效地加强了业务部门的自我控制意识。
我国的内部审计应采用风险导向的审计技术与方法,审计的范围应涵盖公司生产经营的各个环节。为了保证有限的审计资源得以有效利用,内部审计应根据公司内各领域发生风险的概率大小来确定审计对象、内容和时间。而且,内部审计部门还要对审计项目的风险水平与审计投入产出进行分析,力求在确保控制公司主要风险的前提下,实现内部审计的经济性。同时,我国内部审计应实施集事前、事中、事后审计为一体的全过程审计。在审计前,内部审计人员应通过对各领域进行风险分析,确定重点审计对象,然后对拟审计领域实施具体审计,找出存在问题的薄弱环节,根据审计结果提出改进意见,并将审计报告提交给董事会和被审计部门。
6.提高内部审计人员的素质和技能
西方公司普遍非常重视内部审计工作,内部审计人员人数一般都达到了公司员工总数的5%。尤为重要的是,西方公司非常注重内部审计人员素质和技能的培养,并且将内部审计部门作为培养公司管理人才的基地。2007年公布的一份美国500强公司内部审计人员的抽样调查资料表明:在公司内部审计人员中,有56%的人获得了专业证书,如IIA、CPA等;90%以上的人获得了大学以上的学历;每年计划交流12%~18%的审计专业人员到公司其他重要的部门工作。此外,美国500强公司的内部审计人员每年都要接受较长时间的集中培训,都要完成40小时的后续教育。
针对我国公司内部审计力量薄弱的实际情况,我们应采取有效的措施来提高内部审计人员的专业素质。具体可从以下几个方面来进行:加强职业道德教育,培养良好的内部审计氛围,切实提高内部审计人员的职业操守和诚信意识;将业务能力强、道德素质高的人才配备到内部审计部门工作,并通过提高内部审计人员待遇、公开招聘等灵活的用人机制将优秀人才吸引到内部审计部门来,充实审计力量;引入科学的激励约束机制,增强内部审计人员的使命感和责任感,发掘和培养内部审计人员的创新思维能力;加强内部审计人员的后续教育和培训,提高内部审计人员对专业及其相关知识的熟悉程度,全面提高内部审计人员的综合业务素质。
【参考文献】
[1]Steven Sessions.Internal Auditors Continuing Professional Development[J].Internal Auditor,2009,(1).
[2]Recent News.The Institute of Internal Auditors[EB/OL].2002.
[3]Connie Lyons.Opens Door for Internal Auditors[J].Internal Auditor,2008,(10).
[4]秦荣生.公司治理与内部审计的职责[J].会计之友,2009,(3).
[5]
[6]张玉.后安然时代国际内部审计发展趋势综述[J].上海审计,2005,(5).
[7]王光远.回顾历史,展望内部审计研究的未来[EB/OL].中国内部审计网站,2007-05.
[8]朱露林.论内部审计的发展趋势[J].现代商业,2008,(21).^
【原文出处】《当代财经》(南昌)2009年10期第110~115页
【作者简介】秦荣生,北京国家会计学院党委书记,教授,博士生导师,北京 101312。