国外内部审计发展趋势
从国际视角看我国内部审计的发展方向
秦荣生
当前国际金融危机还在扩散和蔓延,对全球实体经济的冲击和造成的损失将会进一步扩大,对我国经济发展的影响也会更加明显。风险管理不力、缺乏透明度和无效的公司治理是造成这场金融危机的重要原因之一。内部审计作为受托责任的一种控制机制,以风险管理、控制和治理过程为作用点,以监督、评价和咨询为职能,促进内部控制、公司治理建设,确保内部控制、公司治理持续有效运行,这既是内部审计的职责,更是内部审计发展的方向。
一、内部审计的定义及其发展
公司内部审计的发展,是随着一国经济、文化、法律意识和公司制度的发展而发展的。内部审计的职责也不是一成不变的,是不断发展、变化的。
1947年至1999年间,国际内部审计师协会(IIA)先后7次对内部审计的基本职责进行了新的定义,[1]集中反映了国际组织对内部审计理论内涵认识的不断深入,也反映了社会对内部审计职能和作用的不断深入挖掘。
从表1中我们可以看出,监督和评价始终是内部审计的两大核心职责,但监督和评价的范围在不断拓展,层次在不断提升。内部审计在实践中迅速发展并不断适应组织的需要,逐渐站在管理层甚至整个组织的高度,以为组织增加价值为目的。到20世纪90年代早期,内部审计师已经从事包括财务检查与审计、经营审计、管理审计以及遵纪守法审计在内的综合性审计工作。随着组织内、外部环境的日益复杂和所面临风险的日益增长,传统上对内部审计的职能定位已不能满足组织治理、风险管理和内部控制的要求。1999年6月,国际内部审计师协会理事会通过了内部审计新定义和新
的专业实务框架(PPF),基于风险管理的内部审计被定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。 1999年IIA对内部审计的定义具有深远的历史意义,不但拓展了内部审计的内涵,同时还明确了内部审计发挥职能的着力点,主要表现在: 1.新增了咨询服务功能。强调要通过内部审计的咨询服务职能,“改善”风险管理、控制和治理过程,为组织提供增值服务。 2.明确了内部审计、评价和咨询服务的着力点。抛弃了以前“经营业务”、“组织活动”等模糊的定义语言,明确了内部审计职能有效发挥的着力点是“风险管理、控制和治理”。 3.升华了内部审计的目标。将内部审计目标与组织目标相统一,提出了内部审计“通过应用系
统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
二、内部审计发展的最新趋势
从1999年IIA对内部审计的定义可见,国际内部审计呈现四大发展趋势:一是开拓风险管理新领域;二是深入介入内部控制;三是推动更有效的公司治理;四是更新内部审计师的职责。可以看出,在国际内部审计四大发展趋势中,前三大趋势重视的是加强公司的管理与规范建设;后一趋势对内部审计师的职责在改变,强调的是提高内部审计人员的整体素质以适应其职责的改变。
1.内部审计开拓风险管理新领域
近年来,很多内部审计组织开始介入风险管理,并将其作为内部审计的重要领域。内部审计之所以涉足风险管理领域,主要有以下几个原因:
(1)内部审计顺应加强风险管理的要求
随着社会经济的发展,特别是经济全球化及国际化程度的加深,公司的经营环境日趋复杂,经营风险也大为增加。公司在对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险。而在内部的运营过程中,公司也面临运作效率低下所带来的损失风险等等。公司、行业之间的竞争日益加剧,如何防范风险、加强风险管理,已成为公司经营者面临的重要问题。因此,减少公司面临的风险是组织实现目标的关键,也是公司管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是公司的管理咨询师,因此,内部审计部门和内部审计人员参与公司的风险管理也就顺理成章了。
(2)内部审计组织对拓展新领域的探索
内部审计组织为了自身的发展,为了在公司中担当更重要的角色和发挥更重要的作用,不断探索内部审计的新领域。公司高层管理人员对风险管理的空前重视,为内部审计发展提供了一个良好的机会。内部审计组织对风险管理的介入,使内部审计在公司中成为一个重要的角色,并将其作用推上一个新台阶。国际内部审计师协会推进内部审计由财务审计为主逐步向以风险管理审计为主转变,既是内部审计发展的结果,更是受托责任关系发展变化的体现。1999年国际内部审计师协会通过的内部审计新定义,对内部审计的定位为“评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。
(3)内部审计发展和作用发挥的内在要求
内部审计作为内部控制的重要组成部分,其在风险管理中发挥着不可替代的独特作用,主要有以下几个方面:①内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。②内部审计人员通过对长期风险策略与各种决策的审计、调查,可以调控、指导公司的风险管理策略。③内部审计部门独立于公司高级管理层,其风险评估的意见可以直接上报给董事会,其建议更易引起管理当局的重视。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系。内部审计人员是风险管理专家,通过对风险的把握和评价,实现对风险的控制。
(4)内部审计受外部审计开展风险评估的影响
近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是其主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势。比如:内部审计部门和内部审计人员对公司面临的风险更了解,对防范公司风险、实现公司目标有着更强烈的责任感。既然外部审计可以从事此项
业务,内部审计就更可以从事这一工作。
2.内部审计深入介入内部控制
在20世纪80年代,内部控制是企业管理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理工作,企业面临的风险普遍增大。主要原因是:企业实行多样化经营,进入了众多以前未涉及的领域;实施国际化发展战略,控制链大大延长;信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下,企业开始注重风险管理,内部审计的重点也从制度基础审计转向风险导向审计。
(1)深入介入内部控制的原因
《萨班尼斯—奥克斯莱法案》第404条款[2]——管理层对内部控制的评价:强调公司管理层对建立和维护内部控制系统及相应控制程序充分有效的责任;上市公司管理层在最近财务年度末应对内部控制系统及控制程序的有效性进行评价。国际内部审计深入介入内部控制这一领域,是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用,因此,公司内部控制的运行状况已不仅仅是公司内部关心的对象,而越来越受到外部相关人士的关注。
对于404条款中要求的管理层对内部控制的评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则,上述评价过程不应当作为一项单独的业务。
(2)内部控制自我评估
内部控制自我评估是近年来西方国家内部控制系统评审的一种方法,是公司监督和评估内部控制的主要工具。它将运行和维持内部控制的主要责任赋予管理层,同时,使员工和内部审计师与管理人员合作评估控制程序的有效性,共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营管理目标的实现。简言之,这种方法不再以内审部门实施内部控制评价为主,而是以管理部门的自我评估为主。
通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范,从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥管理人员的积极性,使他们学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,与各管理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱环节的产生。
3.内部审计推动更有效的公司治理
在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行。这也是近年来公司治理越来越受到政府监管部门和社会各界广泛关注的原因。
(1)公司治理的四大“基石”
2002年7月23日,IIA在对美国国会的建议[3]中指出:一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的。这四个主要条件是:审计委员会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下,这四个部分是有效治理赖以存在的基石。审计委员会——确保有效的内部控制系统,确定并监控经营风险和绩效指标;执行管理层——实施风险管理和内部控制,日常计划、组织安排;外部审计师——应保持独立性,审计与咨询业务分开;内部审计师——评价并改善风险管理、控制和治理过程的效果。
由此可见,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。
(2)公司治理过程
IIA对“治理过程”的定义是:“组织的投资人代表,如股东等所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。”IIA《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:①制定、传达目标和价值;②监控目标的实现情况;③确保责任制的落实;④维护价值。内部审计师应对经营和管理项目进行评价,以确保经营管理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。”
在强化公司治理方面,国际内部审计已逐渐形成:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。
(3)强化公司治理的重要举措
在安然公司财务丑闻曝光之前,美国的公司治理结构大多为三位一体,即董事会、管理层和外部审计。但是,安然公司、世界通讯等公司的财务丑闻充分证明了三位一体的公司治理结构的主要
缺陷在于:
①由管理层聘请外部审计,使会计师事务所自身的利益与公司管理层密切相关,丧失独立性。
②内部监督机制不健全,内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前,美国的相关法律并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司管理层报告工作,审计的内容、范围和结果报告受到管理层的限制,致使董事会无法全面了解公司经营管理和财务的真实状况。
《萨班尼斯—奥克斯莱法案》要求公司的审计委员会发挥更加积极的作用,监管会计、财务报告程序,领导内部审计和选择聘请外部审计机构。采用审计委员会这种内部监督机制,可以避免由管理层直接聘请会计师事务所和决定审计费用的现象,从而强化对公司管理层的监督功能。在审计委员会领导下的内部审计机构,受公司董事长的直接领导,地位比较超脱,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。
4.内部审计人员职责的更新
(1)内部审计人员从“幕后”逐渐走向“前台”
《萨班尼斯—奥克斯莱法案》第404条款——管理层对内部控制的评价,要求管理层对本组织内部控制状况进行评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的,其执行状况和有效性由管理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对本公司的内部控制状况进行评价,向高级管理层提交内部控制评价报告,高级管理层认可后才能向会计师事务所提交报告。
这样一来,就把内部审计人员从后台推向了“前台”,本组织的内控状况不佳,内部审计人员也有不可推卸的责任。
(2)未来内部审计人员的职责
2007年IIA全球审计信息网络调查结果[4]表明,内部审计人员的职责应该是:调查人员(44.6%);指导顾问(57.%);咨询专家(45.6%);管理层的有益助手(34.7%);其他人士(32.1%)。未来的内部审计师必须具备以下素质:①多面手。拥有大局观,对整个组织的价值具有前瞻性考虑。②置身其中。要参与和了解公司各项业务,发现问题并及时提出解决措施,不搞秋后算账。③精通技术。应用专业技术知识来预防和减少公司的风险,改进治理过程和提高效率。④顾问。提供保证、培训和咨询服务。⑤领导人。在风险控制和改进组织的效果方面发挥领导作用。
三、我国公司内部审计的发展方向
随着市场经济体制的建立和市场机制的不断完善,我国公司的内部审计有了很大发展,绝大多数公司设立了独立的内部审计机构。但总的来说,我国公司的内部审计工作滞后于公司治理,不能很好地满足公司发展的需要。我国公司内部审计的发展,应在借鉴国际内部审计经验的基础上,顺应国际内部审计的发展趋势。
1.推进内部审计参与风险管理
随着我国公司所面临风险的增加,风险管理已成为公司管理的核心,这就需要内部审计的大力协助。目前,我国公司的风险管理水平较低,除了银行、保险公司等金融机构外,其他公司很少专门建立风险管理流程。[5]我国内部审计工作相对国外而言也是发展滞后的。所以,我国公司急需树立风险意识,建立全面风险管理机制,内部审计也应顺应这一发展趋势,积极参与公司的风险管理。
目前,我国内部审计参与风险管理主要有两个方面:协助管理层建立风险管理制度,对风险管理效果进行评价。
一是内部审计应积极向管理层提出建立风险管理的相关建议。内部审计可以通过开展风险管理培训,培育企业风险管理文化,使风险意识贯穿企业的各个层面;可以利用其专业优势开发适合企业特点的自我评估工具,帮助管理层将生产经营与风险管理更好地结合;可以通过咨询服务的方式协助公司建立风险管理系统。内部审计师可以促进、协助风险管理系统的建立,但不负风险管理的责任。
二是对于已经建立风险管理制度的公司,内部审计部门所参与的风险管理主要是在已有风险管理基础上的再监督,是对风险管理过程的效果进行评价并提出改进意见。内部审计应采取科学的标准评价公司以及同行业的发展情况和趋势,确定是否可能存在影响公司发展的风险。检查公司的经营战略,了解企业能接受的风险水平,与相关管理层讨论部门的目标、存在的风险以及管理层采取的降低风险和加强控制的活动,并评价其有效性。
2.组建相对独立的内部审计机构
为防范组织内各部门和员工经营管理不善而产生的欺诈行为,国外公司一般专门成立了独立于其他部门,仅仅对公司最高权力机构负责的内部审计机构。[6]如在许多西方大公司中,董事会是公司最高权力机构,董事会下设的审计委员会负责公司内部审计的领导、组织工作,并负责向董事会汇报公司的财务状况、经营成果和现金流量情况。公司内设立了若干业务审计及内部审计中心,分别负责公司各项业务的审计,以保证内部审计机构的独立性。近年来,西方大公司都把世界各地分支公司的内部审计部门独立出来,不再受各地分支公司管辖,而直接由总公司审计部门领导,此举的目的也在于加强公司内部审计机构的独立性。
我国公司应按照独立性原则来进行内部审计机构的设计。具体实施时,可借鉴国外公司的审计委员会模式来进行。首先应在董事会下设立审计委员会,负责内部审计工作中重大政策的制定和审计工作的组织领导。其次,应在公司内部设立专门的内部审计监督部门,该部门应独立于其他业务部门,直接对董事会负责。再次,总公司的内部审计部门对各分支公司的内部审计部门应实行派驻制,各分支公司的内部审计部门受总公司内部审计部门的直接领导,其主要任务是推动公司内部控制体系的建设,督促各分支公司依法经营,加强风险防范和对公司治理进行检查和评价等。
3.发挥内部审计在公司治理中的作用
公司治理系统由内部监控机制和外部监控机制组成。[7]我国公司法确定“三会四权”制衡机制就是典型的内部监督机制。外部监控机制是指股东、资本市场、经理市场、产品市场、社会舆论和国家法律法规等外部力量对公司管理行为的监督。在一定情况下,内部监控机制是公司治理的主体。它一方面利用公司管理当局披露的会计信息对公司管理者进行约束和激励;另一方面因为内部监控机制的特殊地位,它有义务保证公司的会计系统和审计系统向股东会、董事会、监事会及外界披露系统、及时、准确的会计信息。从西方发达国家的成熟经验看,内部审计是公司治理结构的有机组成部分。内部审计的发展离不开公司治理的推动,公司治理的优化也离不开良好的内部审计作保障。
良好的公司治理可以通过一系列有效运行的相互制约的制度安排,从根本上增强公司内部经营管理水平,从而提高公司治理的能力。因而,公司治理自然也就成为现代内部审计关注的新焦点。同时,内部审计独有的对经营管理的实时关注和评估对公司治理的健全也至关重要。我国的内部审计过去一般由总经理领导,现在逐渐转变为由董事会下的审计委员会领导,其不仅是为了确保实现公司内部良好的监督管理和层级间有效沟通的一项制度安排,而且内审部门还可以为外部审计师就有关公司内部控制和风险状况等一些问题提供必要的帮助。此外,内审部门还积极向公司外部利益相关者提供有关公司经营管理等一些信息,以增强他们对公司治理的信心,协调他们与公司管理当局的关系。可见,我国内部审计的发展、变化与公司治理的完善处于良好的互动循环中。
4.促进内部控制体系的建设和完善
美国《萨班尼斯—奥克斯莱法案》要求内部审计深入介入内部控制的情形,在我国已经显现。我国财政部、审计署、证监会、银监会和保监会等五部门于2008年5月颁发了第一部《企业内部控制基本规范》,[8]以政府监管法规的形式发布实施,标志着我国企业内部控制体系建设走上了法制化、规范化的轨道。该规范要求内部审计对内部控制有效性进行监督与评价,这对推动我国内部审计转型与发展,具有里程碑的意义。
内部审计既是公司内部控制体系的一部分,又是内部控制体系有效性的确认者。参与公司内部控制体系建设,确保公司内部控制持续有效运行,既是公司内部审计的法定职责,也是公司内部审计的发展机会。我国公司内部审计应以应对经济危机为契机,以贯彻实施《企业内部控制基本规范》为载体,自觉地将内部审计工作融入企业内部控制体系建设之中,充分发挥内部审计在风险控制中的职能作用。在当前和今后一个时期,公司内部审计应积极参与公司内部控制体系建设,促进公司内部控制体系逐步向全面风险管理体系升级和完善;以构建公司自我约束和自我发展机制为主线,积极开展内部控制有效性监督和评价,不断维持和强化内部控制的有效运行;以组织业务单位、职能部门开展内控自我评估为抓手,使内部控制成为公司全员的自觉行动,推动公司培育和普及内控文化基础建设;以开展公司信息化能力审计评价为手段,推动公司多层次的信息化系统建设,实现内部控制自动化;认真开展内部审计自身有效性评估,不断提高审计质量和水平,为公司内部控制有效性提供机制保障。
5.采用现代科学的审计技术与方法
随着审计对象、目标和内容的发展、变化,美、英等西方国家的内部审计人员越来越注重现代审计技术与方法的运用。目前,国外现代内部审计大多采取以风险导向的审计方法,紧紧围绕风险防范开展内部审计工作,并借助计算机技术来进行风险测定,对重要业务或内部控制系统存在较大
缺陷的机构进行重点、深入的审计。同时,国外公司还非常注重内部审计方式的灵活化。如美国公司内部审计系统以开放式、能动式模式为发展方向,一般不实行突击检查,注重培养各级分子公司及业务部门遵守规章制度,发现风险隐患的主动性和积极性。这项措施有效地加强了业务部门的自我控制意识。
我国的内部审计应采用风险导向的审计技术与方法,审计的范围应涵盖公司生产经营的各个环节。为了保证有限的审计资源得以有效利用,内部审计应根据公司内各领域发生风险的概率大小来确定审计对象、内容和时间。而且,内部审计部门还要对审计项目的风险水平与审计投入产出进行分析,力求在确保控制公司主要风险的前提下,实现内部审计的经济性。同时,我国内部审计应实施集事前、事中、事后审计为一体的全过程审计。在审计前,内部审计人员应通过对各领域进行风险分析,确定重点审计对象,然后对拟审计领域实施具体审计,找出存在问题的薄弱环节,根据审计结果提出改进意见,并将审计报告提交给董事会和被审计部门。
6.提高内部审计人员的素质和技能
西方公司普遍非常重视内部审计工作,内部审计人员人数一般都达到了公司员工总数的5%。尤为重要的是,西方公司非常注重内部审计人员素质和技能的培养,并且将内部审计部门作为培养公司管理人才的基地。2007年公布的一份美国500强公司内部审计人员的抽样调查资料表明:在公司内部审计人员中,有56%的人获得了专业证书,如IIA、CPA等;90%以上的人获得了大学以上的学历;每年计划交流12%~18%的审计专业人员到公司其他重要的部门工作。此外,美国500强公司的内部审计人员每年都要接受较长时间的集中培训,都要完成40小时的后续教育。
针对我国公司内部审计力量薄弱的实际情况,我们应采取有效的措施来提高内部审计人员的专业素质。具体可从以下几个方面来进行:加强职业道德教育,培养良好的内部审计氛围,切实提高内部审计人员的职业操守和诚信意识;将业务能力强、道德素质高的人才配备到内部审计部门工作,
并通过提高内部审计人员待遇、公开招聘等灵活的用人机制将优秀人才吸引到内部审计部门来,充实审计力量;引入科学的激励约束机制,增强内部审计人员的使命感和责任感,发掘和培养内部审计人员的创新思维能力;加强内部审计人员的后续教育和培训,提高内部审计人员对专业及其相关知识的熟悉程度,全面提高内部审计人员的综合业务素质。
国外内部审计发展趋势
本篇文章来源于[中大网校]
二十世纪九十年代以后,为适应全球经济运行模式的变化,西方各国有关机构的内部审计也在积极寻求变革,其主要特征是从以检查、评估为主要内容的符合性审计向以增值和改革机构运行状况为主要内容的增值型审计转变。
(一)以改善和行动为主要内容
国外有关机构内部审计的指导思想和出发点已经发生了根本性的变化。这种变化体现在内部审计不再仅是“独立的问题发现者,而应成为推动改革的使者”,内部审计活动将改善机构运行的状况和推动改革的具体行动作为主要内容。如杜邦公司通过审计作用的四象限图,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前的防范,从单纯强调内部控制转向积极关注利用各种方法来改善公司的运营业绩。
内部审计也在追求回报,如朗讯科技公司在TA&T分离之前,内部审计师有75%的时间用在符合性审计上。尽管符合性审计有一定的价值,但大部分工作对帮助机构经济有效地实现经营目标并无多大作用。所以他们不再将时间花在符合性审计上,将重点转向“强化程序从而使朗讯能够向客
户提供服务并在市场上取得成功”的“经营程序审计”。
(二)和被审计单位建立经营伙伴关系
国外有关机构的内部审计正在用一种积极的态度来建立新的形象,和被审计单位建立起经营伙伴关系。审计部门员工认识到,要实现增值型审计的目的,必须提供专门的审计服务,成为所服务领域的专家,不是仅去发现由于经验不足所导致的控制薄弱环节,而是努力防止这种薄弱环节的产生。如朗讯科技公司利用审计部和公司保卫部合并的机会,改名为“经营保证和风险防范服务部”,从而消除了“审计”一词的痕迹,更加准确地反映了他们所从事业务的性质;他们制定的工作目标之一就是“100%的经营伙伴把我们视为战略伙伴和所服务领域的课题专家”;他们的工作重点“经营程序审计”目标之一是对管理人员“提出程序改进建议”。
JCPenney公司内部审计部门对新上任的商店经理,在最初的90天里,经验丰富的审计师会上门与之讨论支持方案,并定下回访的时间,审计师会提供一份审计指南帮助经理有效地控制商店。
(三)采用双向参与的审计方式
在增值型审计中,一般都采用双向参与的审计方式。双向参与包括审计人员参与管理部门的有关活动,管理部门和审计人员共同制定审计计划;审计人员和管理人员实行轮换。如杜邦公司有20个战略经营机构,分布在全球六个地区,在每个地区,审计部门都有一名小组领导和一名审计师,成为战略经营机构网络成员,这些网络成员的主要任务是与所在地区的战备经营机构管理部门保持联系,这些审计师会被视作管理小组的组成部分,会被邀请参加关键员工会议和研讨会。朗讯科技公司要求审计师成为朗讯经营利润中心财务部门高层领导的各级成员,要求成为公司业务合并和重组小组的成员;朗讯科技公司还实行“客座审计师”的制度,在审计组中大约有20%——30%的成
员来自朗讯的其他部门。
(四)改变轮流审计方式
在传统审计中,审计部门将大部分时间用于以1——5年为一个周期的、针对各种程序的符合性审计,增值型审计大大减少或干脆不做这类回报较低的重复性工作,审计师经常和高层管理人员讨论,确定何处需要审计,并根据具体任务的需要提供审计服务。确定审计领域有三种依据:一是以风险为基础,审计师与管理部门一起识别风险,并关注高风险领域;二是以程序为基础,审计的主要目的是改善程序,使程序更加经济和有效率;三是参与,审计师和管理部门一起制定审计计划,与管理部门一起提出改进建议。
(五)对内部控制以自我评价为主
内部控制评价仍然是增值型内部审计的重点之一,但其方式不再以审计部门的实施为主,而是以管理部门的自我评价为主。杜邦公司一方面对各管理层次的内部控制定期进行评价,同时对管理部门进行内部控制教育,并已经开发出了6种内部控制培训项目。朗讯科技公司的内部审计部门开发了一种基于COSO模式的内部控制自我评价工具,由管理部门进行自我评价,然后外部审计师通过对抽样选出的工厂进行突然访问,来测试自我评价程序。
(六)向管理部门营销审计业务
如果管理部门对内部审计缺乏信任,内部审计就不可能实现增值,为此,内部审计部门应向管理部门营销已经开发了审计产品,以取得管理部门的信任。杜邦公司有一个正式的营销方案,他们开发了8种审计产品,针对不同的部门确定营销目标和战略。JCPenney公司没有正式的营销方案,他们认为最佳的营销方式是建立非正式的关系和真实的业绩,但他们仍然利用各种会议发言去营销
他们的审计项目,并在每个度假季节,审计师们都被鼓励去JCPenney百货商店工作两周,使审计师学会用一线的工作人员的眼光去看待经营,从而大大改变了人们对审计的看法。
(七)不拘泥形式的审计过程
这方面最具典型的是JCPenney公司,JCPenney公司的内部审计部门在提供增值服务方面已经比较成熟,并努力创造一种非正式的、不拘泥形式的审计部门形象。他们已经不再提前几个月就详细制定下一年度的工作计划,而是采用即时的方法制定工作计划;他们不使用计算机化的风险模型来制定制度计划,而是依据对自身业务的了解和与管理部门的密切联系来确定需要予以关注的领域,即从依赖事先确定的、量化的风险因素转向依赖职业判断和与管理部门的伙伴关系。他们在审计时间表上留出充分的时间,以满足客户提出的特殊服务要求。他们采用大量的非正式的方式和管理部门交流,他们注重问题的解决,甚至主张正式的审计报告将趋于淡出。
后安然时代国际内部审计发展趋势综述
2009-10-09 20:43 类型:网摘 来源:启文教育
点击:318 编辑:黄英
后安然时代国际内部审计发展趋势综述
一、前言
2003年9月,国际内部审计师协会总部前执行副主席理查德钱伯斯先生访华,他在北京举办的国际内部审计高级研讨班演讲的专题之一。该框架规定了必不可少的企业风险管理的八个相关组成部分,讨论了关键的企业风险管理原则、概念、效果和局限性等内容,建议用一种企业风险管理的共同语言,为企业风险管理提供方向和指南。明确要求上市公司的年报应包括内部控制的评价部分。
内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用,因此,企业内部控制的运行状况已不再是企业内部关心的对象,而越来越受到外部相关人士的关注。
2002年SOX法案”中关于加强内部控制的条款如下:
第103条款——审计、质量控制和独立性准则及规定。要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围,并在该审计报告或单独的报告中注明。
第302条款——公司的财务报告责任。要求建立、评价和报告关于财务报告披露的内部控制。
第404条款——管理层对内部控制的评价。要求编制的年度报告应包括内部控制报告,该报告应:
1.明确公司管理层建立和保持内部控制制度和财务报告程序充分有效的职责;
2.包括上市公司在最近财政年度末对内部控制制度和财务报告程序有效性的评价。
为上市公司编制或发布审计报告的会计师事务所应按照要求,对管理层所作的内部控制评价进行测试和评价,并出具评价报告。
内部控制
COSO对内部控制提出的新概念是:“内部控制是受企业董事会、管理部门和其他职员的影响,旨在取得经营效果和效率;财务报告的可靠性;遵循适当的法规等目标;而提供合理保证的一种过
程。”
COSO内部控制的五要素是:控制环境、风险评估、控制活动、沟通、监控。
内部控制自我评估
内部控制自我评估是近年来比较流行的一种内部控制制度评审方法,是企业监督和评估内部控制的主要工具,它将运行和维持内部控制的主要责任赋予企业管理层,同时,使企业员工和内部审计师与管理人员合作评估控制程序有效性,共同承担对内部控制评估的责任。这使以往由内部审计机构对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营管理目标的实现。简言之,这种方法不再以内审机构实施内部控制评价为主,而是以管理部门的自我评估为主。
通过内部控制自我评估,内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决问题”的方向转变,从事后发现内部控制薄弱环节转向事前防范;从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥管理人员的积极性,他们可以学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,与各管理部门建立经营伙伴关系,有利于共同采取措施加强内部控制的薄弱环节,防范各种风险的产生。
四、发展趋势之二:推动更有效的公司治理
从历史的角度看,公司治理受到关注首先是在1929—1933年美国空前的经济危机时期。这次经济危机导致了美国股票市场的崩盘,因而也导致了完全放任的自由资本主义的结束,大量有关证券交易和监管证券市场的法规在美国相继出台。1933年,负责监管上市公司向股东报告的美国证券交易委员会成立,开辟了市场经济与政府管制相结合的“混合经济”新时代。
公司治理是现代公司制企业在决策、执行、激励和监督约束方面的一种制度或机制,其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行,甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和社会各界广泛关注的原因。
公司治理四大“基石”
公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟列威特指明了有效的公司治理的重要性,他指出:公司治理是“有效的市场规则必不可少的过程,是公司的管理层、董事会及其财务报告制度之间的联结纽带”。他是从监管当局的立场关注财务报告制度。
狭义的公司治理是指,公司股东直接或间接对公司管理层进行监督和评价其表现行为;广义的公司治理则包括了公司的整个内部控制制度,它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标,以保障包括股东在内的利益相关者的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。
世界经济合作发展组织制定的2130规定:“内部审计活动应该评价公司治理过程并提出改进公司治理的恰当建议,以实现下列目标:在组织内部推广恰当的道德和价值观;保证有效的绩效管理
和责任性;向组织内部有关部门有效传达风险和控制;有效协调董事会、外部审计师及管理层与内部审计师之间的工作和沟通。内部审计师应当对组织内与道德相关的目标、项目以及活动的设计、实施及效果进行评价。”
IIA要求董事会对内部控制系统负责;德国在1998年出台了杂志在“安然事件的教训”一文中指出:“公共会计师不应当为他们的委托人做管理决策。相反,他们应当忠告有关会计问题,并反对管理部门的财务报告缺乏透明性,要提醒资本市场去注意公司活动的内幕”。
2.内部审计的教训
在世通公司破产中查报告中,审查人员描述该公司的内部审计极为糟糕。该公司的内部审计机构成立于1993年,随着公司的发展,其职责、业务规模和范围得到扩张,公司聘用了专职的内部审计人员。在取得的成功经验之外,破产审查者发现的问题是:
内部审计机构缺乏独立性。内部审计对董事会和CFO有双重报告责任,但“从来不是真正意义上的独立部门”,内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年,内部审计政策和程序都是有局限性的。
管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的,对内部审计的支持也是不一致的。“必须有人说服,才能认识到内部审计的价值”。CEO和CFO给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间,内部审计机构专职负责企业资源规划的执行项直到晚上才做审计工作。
局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项是:重点放在收人最大化,减少成本和提高效率;专门关注经营审计;极少甚至从未进行与财务相关的审计。这是
与致其无法在早期发现会计处理不当的主要原因。开于世通这样庞大复杂的公司,把内部审计工作只局限在经营审计方面显然是不恰当的。”
与外部审计师缺乏沟通。内部审计师与外部
审计师极少沟通,二者就象黑夜里行驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。
内部审计资源不足,缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下,审计委员会批准计划流于形式,对内部审计从事非审计项目一无所知在被告知审计师的平均工资只是同类公司内部审计师的一半时,也没有采取任何措施。
内部审计计划的制定有缺陷。由于多种原因,内部审计年度计划过程是低效不足的,没有采用风险评估的定量分析系数来衡量风险,内部审计师对会计电算化系统的接触也是有限的。
世通公司申报破产以来发生的显着变化如下:
1.内部审计机构增加了12—15名审计师;
2.除继续从事经营审计外,还从事财务审计,强调财务控制的重要性;
3.内部审计师与外部审计师密切协作;
4.内部审计改善了风险评估方法,并加强与外部审计师、公司管理层、审计委员会和董事会的沟通,听取他们的意见。
此外,世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险;将先进的审计技术结合到内部审计的范围和过程中;首席审计执行官具有多种职能,如首席风险官、首席道德官等;内部审计外包业务继续存在,但增加了“纯”内部审计服务内容,如财务审计、内部控制评价等。
未来的内部审计师——VITAL
2003年IIA全球审计网络调查结果表明,认为内部审计人员的职责应该是:调查人员;指导顾问;咨询专家;管理层的有益助手;其他人士。未来的内部审计师必须具备以下素质:
1.多面手:拥有大局观,对整个组织的价值具有前瞻性考虑。
2.置身其中:要参与和了解公司各项业务,发现问题及时提出解决措施,不搞秋后算帐。
3.精通技术:应用专业技术知识来预防和减少公司的风险,改进控制和治理过程的效果。
4.顾问:提供确认、培训和咨询服务。
5.领导人:在风险控制和改进公司治理的效果方面发挥领导作用。
内部审计在风险管理过程中的作用
风险管理是企业管理层的一项主要职责,管理层应当确保本企业有良好的风险管理过程,并使其发挥作用。
董事会和审计委员会负责监督、判断本企业是否有适当的风险管理过程以及是否充分、是否有效执行。
内部审计的职责是运用风险评估方法和控制措施,对风险管理过程的充分性和有效性进行检查和评价,提出改进意见,为管理层和审计委员会提供帮助。内审人员应负责定期评价风险暂理过程。
内部审计人员活动于本企业,不仅熟悉企业的运营状况、财务会计核算,而且了解企业的生产、经营和销售等活动,容易发现问题,并有能力参与评估—企业存在的风险。因此,内部审计人员应树立风险:意识,防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点在推动企业建立风险管理的制度框架中发挥重要作用。
西方内部审计十大发展趋势
近年来,内部审计的发展和其作用的发挥在世界各国产生了广泛的影响得到了产业界、政府部门和学术界的充分肯定。然而,要使内部审计专业在新的世纪里更加受到重视。内部审计从业人员必须不断努力,对内部审计的未来发展趋势进行前瞻性的预测。目前,国际内部审计师协会已成立专门小组研究内部审计发展的未来趋势。 从控制到风险
在过去数十年中。控制导向审计是内部审计人员普遍使用的审计方法。它使审计人员容易将审计重点偏向于单位的内部控制系统,而忽视了单位本身的目标。在未检查组织目标和所处风险前直接评估控制程序,其结果意义不大,因为审计人员无法判断哪些是最重着的榜制。那些控制对于风险而言是最重要的,以及缺少哪些控制。这一审计模式已经带来许多问题,如过度控制情况日益严重。多余的控制阻碍了组织程序的正常运作。沟通变得更加困难。许多人员从事于附加价值的工作;固定的、过时的控制限制企业的发展,用以应
付审计的无效率的控制不断增加;同时。由于控制的变更滞后于组织作业的快速改变。使对原有的、与组织目前所面临的风险根本无关的控制的审计变的更无意义。
没有风险就没有控制,控制只为管理风险而存在。不分析风险而想有效的评价控制是不可能的。最新的控制模型如美国的COSO报告、力口拿大的COCO报告、英国的Cadbury报告及南非的 King报告,将风险评估引入了内部控制并将其列为控制的核,心,在风险管理上向前迈进了一步,不仅是管理上重要的里程,也是审计特别是内部审计发展的重要的里程碑。以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险,使审计人员必须根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接起来。 从风险到环境
环境是风险的根源,控制系统就是针对它设计的。组织暴露于周边不断变化的条件和情况所导致的风险中。风险的来源一一对组织产生威胁的危险和创造潜在收益的机遇,必须成为风险分析的焦点。这些条件,情况:危险和机遇就是可能影响组织的环境。
环境包括一组相关内容:(1)通用环境:国际的,经济的,法规的,政治的,环保的,知识的,科技的,社会的;(2)社会环境:社会的,私人的,非盈利性的,公共的,以及宗教的;(3)行业环境:各类不同的私人行业,公共行业,中介行业,以及这些行业的产品,流程,资源和其他市场要素;(4)组织环境:权力、规模、文化、历史、地理、社会学等子环境;(5)内部审计应用环境:经营,财务报告,遵循性,信息系统,质量,环保,安全。
从回顾历史到着眼未来
内部审计人员一般通过对历史的回顾和评价,提出改进以后工作绩效的建议。虽然历史交易和记录可以用以预测未来,内部审计评价和建议也可以对未来具有参考价值和建设性意义为导向。但是,在快速变迁的过程中,以史为鉴只是隔靴搔痒,甚至是南辕北辙,只有着眼于未来才能提高控制和绩效。内部审计人员必须变成本来情况的预期者一一即直接预测环境风险,判断组织是否采取了适当的预防和应对措施,是否具有足够的适应变化的能力,提出相应的改进建议。这对现有内部审计的开展方式提出了挑战,并对内部审计人员的胜任能力提出了更高的要求。 从评价到预测
评价一直是内部审计的基本功能,是内剖审计履行其职责和发挥作用的重要手段。这是以经验管理假设为基础的。在工业经济时代,影响企业经营的外部环境因素和内部因素基本上是稳定的,或虽有变化,但变化具有连续性的特征,从而基本可以从过去推断求来。但在知识经济正在到来的今天,经营管理的上述背景正在或应发生变化:影响企业经营的环境不仅日益复杂,而且愈来愈不稳定,其变化更加迅速和彻底;多样化的顾客需求和频繁变化的市场要求企业活动的内容与方式及时调整。在这样的背景中,未来的变化和现状截然不同,二者之间没有任何继承性,这些应对环境变化的适时调整是难以在过去累积的历史经验中找到现成答案的。批评过去没有任何价值,管理层面对着未来的挑战。因此“评价”一词应停止使用,而代以零起点的预测,内部审计必须更多地参与面向未来的规划与决策工作,对未来风险发生的可能性时时关注。
从关注未来事项到多角度并行
在审计过程中,内部审计人员对每一审计事项的现状进行了解,独立地分析,提出审计发现和审计建议。内部将注意力集中于当前事项是有用的,它能使审计人员从审计的视角,对组织的各个部分逐一地理解和思考。但是,这些项目之间互相割裂,缺乏全局观和整体感,而且审计人员站在局外人的立场所提出的建议可能脱离实际资源条件,或超出组织和相关责任人的能力范围。相比而言,多角度的关注更有意义,即在同一时间,同一地点,假设自己作为职能经理和员工,对此事项会作何反应,有哪些要求和顾虑。只有全面考虑各相关人员的局限和所受影响,内审人员才能提出切实可行的建议,促进自身作用的发挥和组织价值的增加。 从强调独立到注重价值
在国际内部审计师协会颁布的《内部审计实务标准》中,独立性的要求居于首位。一般认为,独立性是内部审计工作的必要条件,内部审计的独立性是指内部审计人员独立于他们所审查的活动之外,即内审人员不能承但担营责任。要做到这一点,内审人员必须置身于从设计、执行到记录的全部管理职能之外,不能参与组织的业务经营活动。但果真如此的话,内部审计就无法深刻全面地理解组织的生产经营和内部关系,无法提出切合组织需要的建议。虽然内审职能的独立是一个有用的属性,但如果独立妨碍了参与,马上就会有反效果、这是因为客观性只是内部审计的鉴证服务中必要的特征之一,但是,判断内部审计是否成功最重要的标准是其服务给组织提供的价值。因此,如果对独立性的强调损害了内部审计的价值的增加、应当优先考虑后者。
从审计知识到经营知识
内审人员一直把控制当作是金钥匙一一对任何组织、任何功能都普偏适用的切入点,认为通过对控制进行测试,可以了解所有的业务并提出建议,因而审计人员不需要关于生产经营的过细的知识。只要具备一些基本了解并掌握审计工具就足够了;这是控制导向审计思维模式的产物,但这一点不再正确。内部审计应以帮助实现组织目标,增加价值为己任,目标及风险是内部审计的出发点和归宿。对经营活动的深刻了解是对症下药的前提,因而内审人员需要关于当前经营的真实的知识,而不仅仅是虚拟的流程。以提供有效的服务。这会改变提供内部审计服务的人,要求他们提供与程序、技术。产品和服务等有关的知识。 从经营审计到战略审计
内部审计从财务审计发展到经营审计已经经历了很长时间,一些组织的内审至今还没有实观这一转变。但是新的变化已经发生,即对组织战略一一那些关系到组织未来的关键的长远计划,优先全安排,投资和决策等进行审计。对组织来说,这些确实是重要事项,影响到组织的生死存亡,需要进行有效的控制。如果没有正确的战略方针,经营的改善只是使企业在错误的道路上越走越远,加速组织的灭亡。因此对组织战略的审计是内部审计应该最关注的根本环节,也是内审发展的方向。战略决策和战略管理是管理职能中最重要和最高的层次,内审要提升自身地位和价值,应参与到高层次的管理活动中来。 从强迫接受到自愿主动进行
长期以来,内部审计是以“警察”的形象出现,其身份是监督者,对被审部门的业务和管
理进行评价,发表意见,因此是组织中不受欢迎的人。所以应该将此种情况尽量避免,让他们自己来发现审计问题,自己认识到事件的严重性,从而从根本上来解决这种问题。 后萨班斯时代国际内部控制的发展趋势
一、前言
2003年9月,国际内部审计师协会(简称IIA)总部前执行副主席理查德·钱伯斯先生(Richard F. Chambers)访华,他在北京举办的国际内部审计高级研讨班演讲的专题之一《国际内部审计的 发展 趋势》中提到的三大发展趋势:一是重新介入内部控制;二是推动更有效的公司治理;三是对内部审计师的期望在改变。2004年6月,时任IIA理事会主席的鲍伯 麦克唐纳先生(Bob McDonald)访华,他为 中国 内部审计师演讲的 内容 中再次提到了国际内部审计发展的上述三大趋势。
这引发了两个 问题 :第一,这两位IIA的高级官员都提到这三大发展趋势,证实这种提法不是某个人的 研究 成果,而是IIA认可的对外宣传的统一提法;第二,为什么国际内部审计发展趋势中未列入当前最时髦的风险治理、风险评价或风险评审的内容?
2004年12月,IIA发布了美国反欺诈性财务报告委员会的主办机构委员会(简称COSO)的《 企业 风险治理-一体化框架》。该框架规定了必不可少的企业风险治理的八个相关组成部分,讨论了要害的企业风险治理原则、概念、效果和局限性等内容,建议用一种企业风险治理的共同语言,为企业风险治理提供方向和指南。《企业风险治理-一体化框架》重要意义在于:它改变了人们对 “风险是指可能对实现组织目标产生负面 影响 的事情或活动”的片面熟悉。风险既是挑战,也是机遇,“治理层所面临的最严重挑战是决定本企业预备接受多大的风险,因为风险可以经过奋斗而创造价值。”“ 当治理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡,并在追求本企业目标的过程中有效地调度资源时,能实现企业价值的最大化。”
综上所述,可以看出,国际内部审计三大发展趋势中,前两大趋势-重新介入内部控制和推动更有效的公司治理,重视的是加强企业的制度建设;后一趋势:对内部审计师的期望在改变,强调的是提高内部审计人员的整体素质。制度建设加强了,治理漏洞堵塞了,人的素质又相应提高了, 自然 企业所面临的风险会大大减少,即使出现风险也会采取措施加以防范或控制,使之转化为新的发展机遇。这就是IIA提出的国际内部审计三大发展趋势的高明之处。
二、背景
2001年11月,安然公司财务丑闻曝光,6个月后,世界通讯公司再度爆发丑闻,由此引发的多米诺骨牌效应,造成了这一期间美国有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日,美国紧急出台了公司改革法案《萨班尼斯-奥克斯莱法案》(Sarbanes- Oxley Act),又成立了一个新的监管机构来监管 会计 职业界和公司董事会。该法案是1930年以来美国证券立法中最具影响的法案,它加重了公司主要治理者的 法律 责任;加强了对公司高级治理层的收入监管;对公司内部的审计委员会作出法律规范;强化了对公司外部审计的监管;加强了信息披露制度和其他有关公司监管的规定。
随着安然、世通申请破产保护、安达信退出审计业,美国朝野人士分别从四条战线同时出击:个体股民的诉讼、证券交易委员会的稽查、司法部的刑事起诉和国会的调查。痛定思痛,美国各界人士的舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源-一些企业的商业道德沦丧,良心泯灭上。在营造企业树立诚信的商业道德和维护“企业良心”的外部环境上,美国的法律不可谓不多;美国对企业的监管体制不可谓不严;美国拥有“五大”在内的众多超巨型国际会计师事务所,其审计技术和手段不可谓不先进,在此情况下,仍出现那么多财务丑闻和欺诈行为,人们不得不把关注的焦点从企业的外部环境转向企业内部控制机制上。由于内部审计在企业经营治理中处于极其重要的地位,它既是企业内部控制机制的重要组成部分,又是监督与评价内部控制的主要手段,因此,人们把内部审计当作 “企业良心”,当作维护企业道德文化的最后一道防线。
安然和世通财务丑闻发生后,国际内部审计师协会(IIA)提出公司治理的方向是:加强对治理层职业道德的劝说,落实会计制度改革对财务报表透明化的要求,设立外部独立董事职位,强化内部控制机制,要求内部和外部审计人员自律。下面分别介绍国际内部审计的三大发展趋势。
三、发展趋势之一:再次介入内部控制
在20世纪80年代,内部控制是企业治理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理的过程,企业面临的风险普遍增大。主要原因是:企业实行多样化经营,进入了众多以前未涉及的领域;实施国际化发展战略,控制链大大延长;信息技术在经营治理中广泛 应用 导致 计算 机犯罪增加。在这种情况下,企业开始注重风险治理,内部审计的重点也从以制度为基础审计(英国、澳大利亚等国的提法)或称内部控制评审(美国和加拿大的提法)转向以风险为基础审计,或称风险导向审计。到2001年(企业兼并重组改革10年后),许多公司财务丑闻的出现,如美国的安然、世通和意大利的帕玛拉特等公司财务丑闻,使各公司面临了一些灾难性问题。同时,也影响了注册会计师事务所的信誉和形象,各大会计师事务所都修改了审计制度方面的要求。例如,会计师事务所不能同时做审计和咨询业务。
在此情况下,公司的内部审计职能得到了加强,内部审计人员正面临着前所未有的挑战。由于安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示,使内部审计的作用得到了公众和监管部门的肯定。辛西亚。库珀(内部审计主任)在世通案件中的突出表现不仅使全世界的内部审计工作者熟悉到内部审计工作责任的重大,也使决策层、治理层对内部审计的必要性和重要性有了新的熟悉。
(一)再次介入内部控制的原因
《萨班尼斯-奥克斯莱法案》明确要求上市公司的年报应包括内部控制的评价部分。国际内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经熟悉到内部控制在组织目标实现过程中所起的要害作用,因此,企业内部控制的运行状况已不在是企业内部关心的对象,而越来越受到外部相关人士的关注。
2002年《萨班尼斯-奥克斯莱法案》中关于加强内部控制的条款如下:
第103条款-审计、质量控制和独立性准则及规定,要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围,并在该审计报告或单独的报告中注明。
第302条款-公司对财务报告的责任,要求建立、评价和报告关于财务报告披露的内部控制;
第404条款-治理层对内部控制的评价
(1)内部控制方面的要求-证券交易委员会(SEC)应当制定规定,要求按《1934年证券交易法》第13条(a)或第15条(d)编制年度报告 包括内部控制报告,其内容包括:
强调公司治理层建立和维护内部控制制度及相应控制程序充分有效的责任;
上市公司治理层最近财政年度末对内部控制制度及控制程序有效性的评价。
(2)内部控制评价报告
对于本条款(1)中要求的治理层对内部控制的评价,担任年度财务报告审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。
(二)内部控制
内部控制是指为了合理保证公司各项经营活动正常运行,实现特定目标而建立的一系列政策和程序构成的有关总体。
美国反欺诈性财务报告委员会(简称COSO )对内部控制提出的新概念是:“内部控制是受企业董事会、治理部门和其他职员的影响,旨在取得(1)经营效果和效率;(2)财务报告的可靠性;(3)遵循适当的法规等目标而提供合理保证的一种过程。”
COSO内控五要素是:控制环境,风险评估,控制活动,信息沟通、监控。
(三)内部控制自我评估
内部控制自我评估(Control Self-assessment)是近年来西方国家内部控制制度评审的一种 方法 ,是企业监督和评估内部控制的主要工具,它将运行和维持内部控制的主要责任赋予企业治理层,同时,使企业员工和内部审计师与治理人员合作评估控制程序有效性,共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对治理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营治理目标的实现。简言之,这种方法不再以内审部门实施内部控制评价为主,而是以治理部门的自我评估为主。
通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范;从单纯强调内部控制转向
积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥治理人员的积极性,他们可以学到风险治理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,和各治理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱环节的产生。
四、发展趋势之二:推动更有效的公司治理
从 历史 的角度看,公司治理受到关注首先是在1929-1933年美国空前的 经济 危机时期。这次经济危机导致了美国股票市场的崩盘,因而也导致了完全放任的自由资本主义的结束,大量有关证券交易和监管证券市场的法规在美国相继出台。1933年,负责监管公司向股东报告信息的美国证劵交易委员会(SEC)成立,开辟了市场经济与政府管制相结合的“混合经济”新 时代 。
公司(或法人)治理(Corporate Governance)是 现代 公司制企业在决策、执行、激励和监督约束方面的一种制度或机制,其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行,甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和 社会 各界广泛关注的原因。
(一)公司治理四大“基石”
公司治理是被治理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟、列威特(Arthur Levitt)指明了有效的公司治理的重要性,他指出:公司治理是“有效的市场规则必不可少”过程,是公司的治理层、董事及其财务报告制度之间的联结纽带“(1999年)。他是从监管当局的立场关注财务报告制度。
狭义的公司治理是指,公司股东直接或间接(通过董事会)对公司治理层进行监督和评价其表现行为;广义的公司治理则包括了公司的整个内部控制系统,它通过自上而下地分配和行使责权、监督、评价和激励董事会、治理层以及员工实现公司目标,以保障包括股东在内的利益关系人的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。
世界经济合作发展组织(OECD)制定的《公司治理结构原则》指出:一个良好的公司治理结构应当:实现组织既定的目标,维护股东的权益;确保利益相关者的合法权益,并且鼓励公司和利益相关者积极进行合作,保证及时准确地披露与公司有关的任何重大问题,包括财务状况、经营状况、所有权状况和公司治理状况的信息;确保董事会对公司的战略性指导和对治理人的有效监督,并确保董事会对公司和股东负责。因此,完善的公司治理应该:保持良好的内部控制系统;不断检查内部控制的有效性;对外如实披露内部控制现状;保持强有力的内部审计。
2002年7月23日,IIA在对美国国会的建议中指出:一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的,这主要四个条件是:董事会、执行治理层、外部审计和内部审计。在司法机构和治理机构的监管下,这四个部分是有效治理赖以存在的基石。
公司治理的四大基石(要害要素)是:
董事会-确保有效的内部控制系统,确定并监控经营风险和绩效指标;
高级治理层-实施风险治理和内部控制,日常计划、组织安排;
外部审计师-应保持独立性,审计与咨询业务分开;
审计委员会(内部审计师)-增强报告关系上的独立性。
由此可见,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。
(二)公司治理过程
IIA对“治理过程”的定义是:“组织的投资人代表,如股东等所遵循的程序,旨在对治理层执行的风险和控制过程加以监督。”
IIA《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:(1)制定、传达目标和价值;(2)监控目标的实现情况;(3)确保责任制的落实;(4)维护价值。内部审计师应对经营和治理项目进行评价,以确保经营治理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。”
IIA《实务公告》2130-1《内部审计部门和内部审计师在组织道德文化中的作用》指出:治理过程是指组织履行下述四种责任的行为方式:
遵守法律和规章;
遵守公认的业务规范、道德观念,并满足社会期望;
为社会提供总体福利,并增强利益关系方的长期和短期利益;
全面地向业主、执法人员、其他利害关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。
近几年来,在公司治理方面,全球有27个国家颁布了有关的法令、准则、最佳实务或成立相关
的委员会来推动更有效的公司治理。例如,英国颁布了《合并条例》要求董事会对内部控制系统负责;德国在1998年出台了《控制和信息透明法》;加拿大2001年成立了公司治理联合委员会;新加坡2002年8月成立了公司披露与治理委员会;日本修改了《商务法》,答应独立审计和赔偿委员会这类的实务;菲律宾2002年出台了公司治理的政券交易委员会公告;法国 2003年8月颁布了《财务安全法》;澳大利亚出台了治理准则;泰国出台了公司治理最佳实务;比利时也发布了公司治理委员会报告;欧盟15个成员国的13 个国家颁布了35项法规,其中有25项法规是在1997年以后颁布的。内部审计师必须遵守或对这些法律法规作出解释。
在强化公司治理方面,国际内部审计已逐渐形成三种职能趋势:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。
(三)强化公司治理的重要举措
在推动更有效的公司治理方面,最重要的举措是加强审计委员会的职责。
在安然公司财务丑闻曝光之前,美国的公司治理结构大多为三位一体,即董事会、高级治理层和外部审计( 会计 事务所)。但是,安然公司、世界通讯等公司的财务丑闻充分证实了三位一体公司治理结构的主要缺陷在于:
1、由高级治理层聘请中介机构的外部审计,使会计事务所自身的利益与公司高级治理层密切相关。例如,原国际五大之一的安达信会计公司在安然公司精心策划的财务丑闻中,既是受害者又是作恶者,当财务丑闻曝光后,他们还销毁了1000多份审计文件,因而也就直接导致了这家“百年老店”会计公司的破产。
2、内部监督机制不健全,内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之
前,美国的相关 法律 并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司高级治理层报告工作,审计的 内容 、范围和结果报告受到治理部门的限制,致使董事会无法全面了解公司经营治理和财务的真实状况。
《萨班尼斯-奥克斯莱法案》的颁布弥补了美国上述公司治理结构的缺陷。该法案要求公司的审计委员会发挥更加积极的作用,要求所有的上市公司对其内部审计职能是否得到充分发挥出具有关的证实。显然,该法案的规定有助于完善四位一体的公司治理结构。
实践证实,审计委员会在完善公司治理结构方面具有以下不可替代的作用:
第一,审计委员会的作用弥补公司三位一体治理结构的缺陷,强化了公司治理机制。《萨班尼斯-奥克斯莱法案》对审计委员会做出的具体规定是:(1)审计委员是独立的成员;(2)监管会计、财务报告程序,进行审计;(3)至少要有一位财务专家;(4)建立通畅的能够让员工反馈 问题 的沟通渠道-“热线电话”;(5)拥有聘用独立顾问的权利;(6)事前批准将由外部审计师提供的服务。
第二,采用审计委员会这种内部监督机制,可以避免由高级治理层直接聘请会计师事务所和决定审计费用的现象,从而强化对公司治理层的监督功能。
第三,在审计委员会领导下的内部审计机构,受公司董事长的直接领导,地位比较超脱,有较强的独立性和权威性,其工作范围不受治理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。
第四,审计委员会可以充分利用内部审计机构的资源优势,更好地履行其应有的职责。
(四) 企业 文化
文化是一个国家的综合国力和国际竞争力的深层支持,文化交流侵蚀主流意识形态。20世纪80年代以前,企业文化的概念不被重视。20世纪80年代以后,企业文化及人员的治理成为西方治理 理论 和实践中一个非常重要的课题。非凡是在20世纪90年代以后,全球许多公司的股票价值与该公司是否有好的商誉有关,企业开始重视商誉,逐渐关注企业文化建设。
公司治理实务是一个公司独特文化的反映,因此,治理过程的有效性在很大程度上取决于企业文化。公司的行为模式、目标和战略的制定,业绩的衡量和报告,对履行 社会 责任的态度,都受“企业文化”的 影响 。
什么是企业文化?比较通行的说法是:企业文化是企业职工在长期生产经营实践中所形成的价值观和行为准则。具体地说,它是指企业里人们的思想、行为以及道德观念,包括概念、习俗、习惯、经验、惯例以及团队精神。搞好企业文化就是要注重建立企业的精神气质,价值体系和治理理念。
近几年,随着全球一些大公司破产,财务处于崩溃状态,内部审计师也面临困境。公司倒闭大多与公司内部控制失效,无法提供必要的和可靠的财务信息有关。要解决公司财务信息不真实,财务报告误报的灾难性问题,要害在于建立有效的公司治理结构、内部控制机制和发挥作用的内部审计。这也是这几年公司治理、风险治理和内部控制等问题成为大家关注的焦点的原因,但这些问题的最终解决都与企业文化有关,要使公司能够有效治理必须有好的企业文化。各国的法律已经提供了可做事情的框架,自律的企业文化则保证企业自觉地去做可做之事。
IIA要求内部审计在加强组织道德文化方面的作用是:
在支持道德文化方面发挥积极作用;内部审计师应具备:高水准的信任度和老实度;
具有倡导道德行为的技能;
有能力呼吁领导者、治理者和员工遵守法律、道德和社会责任。
2004年6月,IIA悉尼国际大会的亮点之一就是全球内部审计师在建立企业文化方面取得了共识:即遵守法律的企业文化是促进企业成功,防止企业失败的重要基石。内部审计要帮助企业建立遵守法律的合规性文化,要 教育 企业高管人员懂得守法的重要性,做法律答应的事;出现问题时,要“吹哨”警告,内审人员就是吹哨者。
法律与企业道德文化的关系是:法律是硬性的,而道德文化是柔性的。企业的规章制度要真正让员工遵守,光靠硬性规定还不够,还应有柔性治理。需要保持一种灵活的方式,制定的规章制度要能够适时对变化的环境做出反应和进行调整。
与企业文化密切相关的是企业如何衡量自己的业绩。过去,企业好的业绩都与利润指标有关,现在衡量的指标不仅仅是利润。一些上市公司制定的治理与会计制度目标是,为股东提供令人满足的回报;一些公司制定的财务目标是,保持良好的财务会计记录和报告制度,最终目标是保持企业良好的商誉。企业不可能无限扩张,资源也是有限的,因此,要制定合乎逻辑的增长趋势,对业绩成果应考虑其合理性。
五、 发展 趋势之三:对内部审计师的期望在改变
从传统意义上说,内部审计师在绝大多数的公司里都保持一种“低姿态”或“低调”,处在幕后的位置;公司治理的丑闻并没有伤害到内部审计师的声誉。《萨班尼斯-奥克斯莱法案》的出台,使内部审计人员从后台走到“前台”。
(一)内部审计师从“幕后”逐渐走向“前台”
《萨班尼斯-奥克斯莱法案》要求:“内部审计师凭借他们在组织机构中的独立性和风险控制方面的专业知识,在帮助组织符合这一具有挑战性的(404)条款和萨班尼斯-奥克斯莱法案严格的最终期限方面起重要作用。”
对于第404条款-治理层对内部控制的评价,要求治理层对本组织内部控制状况进行评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具内部控制评价报告。因为内部控制制度及其程序是治理部门建立的,其执行状况和有效性由治理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对本公司的内部控制状况进行评价,向高级治理层提交内部控制评价报告,高级治理层认可后才能向会计师事务所提交报告。这样一来,就把内部审计人员从后台推向了“前台”,本组织的内控状况不佳,内部审计人员也有不可推卸的责任。
(二)安然和世通公司审计失败的教训与启示
1、外部审计的教训
20世纪末,美国已有了各种监管证券市场的法规,建立了监管机构-证券交易委员会,并且既有外部审计,也有内部审计。就在这样似乎相当严格的监管条件下,监督者和被监督者竟串通一气作假。在安然事件中,安达信会计公司涉及的是审计缺乏独立性,如既提供审计服务又提供非审计咨询服务,许多前雇员成为安然公司的主管,以及在觉察安然的会计问题后,不仅未采取必要的纠正措施,甚至销毁审计工作底稿。这些都背离了注册会计师应有的职业道德。美国《会计了望》杂志在“安然事件的教训”一文中指出:“公共会计师不应当为他们的委托人做治理决策。相反,他们应当忠告有关会计问题,并反对治理部门的财务报告缺乏透明性,要提醒资本市场去注重公司活动的内幕”。
2、内部审计的教训
在世通公司破产审查报告中,审查人员描述该公司的内部审计极为糟糕。该公司的内部审计成立于1993年,随着公司的发展,其职责、规模和范围得到扩张,公司聘用了专职的内部审计人员。在取得的成功经验之外,破产审查者发现的问题是:
内部审计机构缺乏独立性。内部审计对董事会和首席财务官有双重报告责任,但“从来不是真正意义上的独立部门”,内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年内部审计政策和程序都是有局限性的。
治理层对内部审计的实施、范围和结果报告施加了太多的影响。高级治理人员对内部审计的接受程度是有限的,对内部审计的支持也是不一致的。“必须有人说服,才能熟悉到内部审计的价值”。首席执行官与首席财务官给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间,内部审计机构专职负责企业资源规划(ERP)的执行项目,直到晚上才做审计工作。
局限于增值服务而将财务控制排除在外。内部审计得到治理层批准的工作事项:重点放在收入最大化,减少成本和提高效率;专门关注经营审计;极少甚至从未进行与财务相关的审计。这是导致其无法在早期发现会计处理不当的主要原因。对于世通这样庞大复杂的公司,把内部审计工作只局限在经营审计方面显然是不恰当的。“
与外部审计师缺乏沟通。内部审计师与外部审计师(安达信会计公司)极少沟通,二者就象黑夜里驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。
内部审计资源不足,缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下,审计委员会批准计划流于形式,对内部审计从事非审计项目一无所知,在被告知审计师的平均工资只是同类公司内部审计师的一半时,也没有采取任何措施。
内部审计计划的制定有缺陷。由于多种的原因,内部审计年度计划过程是低效不足的,没有采用风险评估的定量 分析 系数来衡量风险,内部审计师对会计电算化系统的接触也是有限的。
世通公司申报破产以来发生的显着变化如下:
1、 内部审计机构增加了12-15名审计师;
2、 除继续从事经营审计外,还从事财务审计,强调财务专业知识的重要性;
3、 内部审计师与外部审计师(毕马威会计公司)密切协作;
4、 内部审计改善了风险评价 方法 ,并加强与外部审计师、公司治理层、审计委员会和董事会的沟通,听取他们的意见。
此外,世通公司的内部审计机构充分熟悉到来自咨询和非审计服务的风险;将先进的审计技术结合到内部审计的范围和过程中;首席审计执行官具有多种职能,如首席风险官、首席道德官等;内部审计外包业务继续存在,但增加了“纯”内部审计服务内容,如财务审计、内部控制评价等。
(三)未来的内部审计师―――――VITAL(极其重要)
2003年IIA全球审计信息 网络 调查结果表明,认为内部审计人员的职责应该是:调查人员(44.6%);指导顾问(57.%);咨询专家(45.6%);治理层的有益助手(34.7%);其他人士(32.1%)。未来的内部审计师必须具备以下素质:
1、 多面手(Versatile):拥有大局观,对整个组织的价值具有前瞻性考虑。
2、 置身其中(Involvement):要参与和了解公司各项业务,发现问题及时提出解决措施,不搞秋后算帐。
3、 精通技术(Technology): 应用 专业技术知识来预防和减少公司的风险,改进治理过程和提高效率。
4、 顾问(Advisor):提供保证、培训和咨询服务。
5、 领导人(Leader):在风险控制和改进组织的效果方面发挥领导作用。
(四)内部审计在风险治理过程中的作用
风险治理是企业治理层的一项主要职责,治理层应当确保本企业有良好的风险治理过程,并使其发挥作用。
董事会和审计委员会负责监督、判定本企业是否有适当的风险治理过程以及是否充分、是否有效执行。
内部审计的职责是运用风险治理方法和控制措施,对风险治理过程的充分性和有效性进行检查和评价,提出改进意见,为治理层和审计委员会提供帮助。内审人员应负责定期评价风险治理过程。
内部审计人员活动于本企业,不仅熟悉企业的财务运作、会计核算,而且了解企业的生产、经营治理等活动,轻易发现问题,并有能力参与评估企业存在的风险。因此,内部审计人员应树立风险意识,防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点,在推动企业建立风险治理的理念中发挥重要作用。
因篇幅问题不能全部显示,请点此查看更多更全内容