查看正文
一、后安然时代内部审计理论与实践的创新
Monks和Minow(2001)认为,董事会是“连接股东和管理者的纽带,这意味着,董事会是一小部分管理公司的权力实体和一大部分分散的、相对无权力的…仅想知道公司经营良好的团体的交叉处……,公司治理面临的主要挑战是如何向管理者授予公司经营的巨大的、不受限制的权力,而又能使其对权力的使用负责”,Monks和Minow的观点成功地识别出对责任方面立法的巨大需求,这样的呼声对内审地位的提高起到了一定的作用。
2002年4月8日IIA(Institute of Internal Auditors)在对美国国会关于《萨班斯—奥克利斯法案》的意见陈述书中表述:内部审计、外部审计、董事会以及高层管理人员被称为是有效公司治理的四大基石。IIA建议:要求上市公司建立内部审计机构,内部审计师的作用是监控、评估和分析组织的风险,审查信息及公司对法律、法规的遵守情况,向董事会、审计委员会以及高层管理人员提供保证——风险已被分散、公司治理是有效的。2003年11月,SEC最终通过了NYSE和NASDAQ对其上市标准的调整:所有的上市公司必须拥有内部审计机构。Chapman & Anderson(2002)认为,内部审计以消费者为中心,聚焦于控制、风险管理等关键问题,通过帮助组织管理风险和提高管理效率,来增加组织的价值和改善公司的经营。在美国会计学会2003年的年会上,内部审计的研究机会被作为一项重要的议题,并由多名知名学者撰写了长达377页的专论《Research Opportunities in Internal Auditing》,分别从内部审计的历史演变、内部审计与公司治理、保证与咨询服务、风险评估与风险管理、内部审计的独立性与客观性、内审人员的配备等角度提出了内部审计值得关注和研究的问题,IIA对与此相关的研究课题优先给予资助。
2002年,就世界范围来看,比利时的内部审计已将审计的重点转向风险管理和公司治理,并向审计委员会报告内部控制的质量;法国的IIA对首席审计官、高层内部审计人员和风险管理者就企业风险管理(ERM)进行了培训;日本的IIA将ERM看作是内部审计工作中必须考虑的最重要的因素;菲律宾的IIA举办了题为“内部审计师风险评价”的研讨会;南非的IIA通过大量的文章来探讨风险管理的技巧;英国的IIA在相关网站上提供了《风险管理的标准》、《关于内部审计在风险管理中的角色的职务说明书》、《风险基础审计》等重要文献。
以上有关内部审计的理论和实务创新,一方面拓展了内部审计的服务空间,改变了内部审计的侧重点,同时也为内部审计的理论研究提供了明确的研究方向。
二、内部审计服务对象的界定
关于内部审计服务对象的界定,理论上和实务中有若干种见解,在20世纪70年代末60年代初,内部审计被认为是“管理者的耳目”(Larry Sawyer 1973);1999年,IIA第61届年会对内部审计做出全新的定义,提升了内部审计在组织中的地位,也扩展了内部审计的服务对象。IIA认为,内部审计是一项旨在增值和改进组织运营状况的独立的、客观的保证和咨询活动,它通过系统化和规范化的方法,评价和改进风险管理、内部控制和治理过程的效果,帮助组织实现其目标。此定义清晰的表明了内部审计的重要客户包括企业的高级管理人员、经营管理人员、审计委员会和董事会。
在实务中,由前安达信和法国的IIA就世界内部审计状况所做的调查表明,76%的企业将内部审计视作企业的管理顾问,其中,34%的企业认为内部审计工作具有管理和管理咨询的职能;内部审计的重点以与财务有关的业务事项的审计为主,按重要程度排列的业务顺序依次是:财务管理、采购管理、信息系统、市场营销、不正当行为的发现、人事管理、生产管理、质量管理、环境保护等。从这个意义上讲,内部审计的客户包括企业内部所有被审计者、高层管理者、审计委员会、财务管理人员、供应商、顾客、投资者、CPA以及企业外部的管制者。
三、内部审计的客户需求分析
内部审计要实现增值功能,提供有效的服务供给,必须分析其客户的需求(见表1)。
从表1分析可看出,内部审计为整个组织成员以及组织以外的所有利益相关主体服务,内部审计客户的需求依其所处的位置、环境及所掌握信息的不同而不同。总体来讲,处于信息劣势的客户希望内部审计为其提供保证服务,处于信息优势的客户则更希望内部审计为其提供咨询服务。其中,保证服务是指为了对风险管理、内部控制或公司的治理过程提供一个独立的评价而对证物进行的客观的检验;咨询服务是咨询性的以及与委托人服务相关的活动,其性质和范围是与委托人达成一致的意见,目的是增加价值和改进组织的经营。
四、内部审计增值目标的实现途径分析
内部审计通过为企业提供独立、客观的保证与咨询服务,通过系统地、规范地评价和改进组织的风险管理、内部控制和治理过程,为组织实现目标提供有价值的信息和建议。
(一)积极参与企业的风险管理
有观点认为,企业的治理过程是公司的利益相关主体的代表让管理层发现风险并对其进行控制的过程,对公司风险的监控及适当地规避那些风险等措施,对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做好以下工作:系统的鉴别组织所面临的风险;评估这些风险对组织的潜在影响;制定控制风险的策略;评价风险管理的过程;就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效的交流和沟通。
(二)评价内部控制的效率,向企业的管理者、审计委员会提供相关的咨询和保证
内部控制是由公司董事会、经理阶层和其他员工按照相互制约、相互联系的原则,为经营效率的提高、财务报告的可靠性、资产的安全和完整、相关法律的遵循性等目标的实现提供合理保证的程序、方法和措施。管理者和股东之间日益扩大的鸿沟使得采取一系列能提高管理效率的控制措施成为必要。SEC要求公司的年度报告中包含内部控制报告,并且,此报告应对管理者的责任和内部控制的有效性的评估加以陈述。审计委员会是董事会和审计者之间的桥梁,为履行对股东和对整个社会公众的职责,审计委员会对内部审计的内容和问题比较感兴趣;管理者开始注意利用内部控制和有效审计来保护自己,他们对审计人员的建议和审计委员会的信息需求是极为敏感的。因此,内部审计是支持管理者和审计委员会满足SEC要求的最恰当的企业资源:第一,在对企业风险管理进行评价的基础上,衡量内部控制体系的建立情况和有效性,寻找内部控制的薄弱环节,向企业管理层提出强化内部控制建设的建议;第二,将重大的控制缺陷向审计委员会报告;第三,协助管理者编制公司对外披露的内部控制报告。
(三)提供更多的咨询增值服务
作为公司的一员,内部审计人员在公司所有的经营业务中都有重要的利益关系,他们对促成那些尽可能使公司盈利的经营活动具有较高的兴趣。内部审计师利用其所具有的专业优势,通过提供更多的咨询增值服务,指导管理者鉴别公司前进的方向、实力和机会,为编制战略规划提供支持。
内部审计的成功,很大程度上依赖于内部审计执行官的领导能力,并取决于内审人员自身的素质。因此,内部审计工作的领导者必须具备较高的领导和沟通能力并能运用恰当的领导方式;内审人员至少要具备以下几方面的能力:分析和评论各种观点的能力;获得任何一个被审计对象的充分理解的有效的方法;对被审计对象所面临的风险和机会的敏感和了解;为任何一项审计计划设计总体的和具体的目标;以各种格式向所有收件人报告审计结果。另外,企业还应找到恰当的部门以恰当的方式对内部审计机构和内宙人员的业绩进行客观的衡量和评价。
表1 内部审计关于客户的需求分析表
客户类别 客户的需求 内部审计应提供的服务
企业内部被审计者 利用内部审计来有效地改进其效率, 咨询服务
更好地履行其职责
供应者、顾客和投资者 内部审计就形成他们与组织之间分 保证服务
界面的信息的可靠性和安全性提供
保证
外部审计师 将内部审计看作是对内部控制的再 保证服务
控制,减少CPA为对公司财务报告发
表意见而必须执行的工作程序看重
风险管理和内部控制,即对企业风
险和内部控制的
审计委员会 评价、对管理者提供信息的可靠性 保证服务
、资产是否安全以及相关的法律法
规是否得到了遵守的评价。
外部管制者 关心相关的法律法规是否得到了遵守 保证服务
关心其经营目标如何实现(如何鉴别
经营机会、如何提
高层管理者 高经营效率、如何节约其内在成本等) 保证服务
和可能对其收益产生影响的活动 咨询服务
转载此文件
