前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的外部审计和内部审计的区别主题范文,仅供参考,欢迎阅读并收藏。
【关键词】计算机审计;内部审计;外部审计;协调与分工
一、何为计算机审计
计算机审计的出现是随着信息时代的浪潮一块到来的。在审计工作中,对于数据的处理采取电算化的方式是计算机审计最早的应用。它有两方面的意义,一是计算机是辅助的审计工具;二是审计的系统由人工审计系统改变为了计算机辅助的审计系统,这实质上是一种自动化的系统审计的过程。是对存储有财务会计信息等数据载体进行的可靠性分析。在目前来看,计算机审计主要有这几种:内部控制审计,系统控制审计,外部控制的审计,以及对于数据信息的审计等。计算机审计技术在方法技术上与人工审计的方法有所不同,但是就本质意义上来讲,它们两者在审计的目的和性质上并没有发生多少改变,因此我们说计算机审计和人工审计在本质上并没有区别。现在有人会猜测,按照这样的趋势发展,最终计算机审计会从我们传统意义上的财务审计管理中分割开,形成一个独立的分支。从审计的范围来看,计算机审计的内容与范围正在发生改变。依照这样的趋势,计算机审计极有可能会独立于传统的财务审计之外。但是,从大的范围上来讲,计算机审计在审计主体上,还只是审计的一种辅助的手段,其不可能独立于内部审计和外部审计而自己独立运作。从另一方面来看,信息技术具有很强的融合性,很难真正把计算机审计和人工审计真正意义上剥离开来,这种工具往往和自身被审计的业务进行结合,很难单纯来讲属于哪一种具体的审计业务。这样来讲,计算机审计必然也会存在内部审计与外部审计的分工与协作的问题。在信息技术越来越发达的今天,审计人员应该更加重视这类课题的研究。
二、计算机审计中的内部审计和外部审计分工进行协作的原则
计算机审计在审计范围上比人工审计要大的多。这种系统最后输出的正确性其实取决于人与机器的协调配合。因此,进行审计时还要特别对审计所用计算机的各种系统和审计程序与文件进行详细的审查,并且还要对计算机使用人员的配置进行审查。由于计算机审计的特殊性,前期犯的小错误会在审计的后期被放大,因此利用计算机进行辅助审计时必须要进行事前的审计。无论采取什么样的审计方法建立信息管理模式,都必须要事前审计与事中审计进行有效的结合,坚特规范性审计和效益型审计同等重要的原则。
三、计算机审计中内部审计与外部审计进行协作的内容
一般意义上来说,由系统进行的审计主要由内部审计进行承担。这种审计模式一般是由全生命周期模式组成的。审计中的每一个阶段都要进行技术上和管理上的检查。这种检查主要是为了降低进行审计的成本。内部审计人员主要是从项目的成本和进度进行审查,内部审计人员在审计时要对系统的有效性进行相关的检验,也要对被审计对象文件的规范性进行审计。这种情形下就要求企业内部的审计人员具备复合型的知识,既要懂得财务知识,又要对计算机在审计工作的作用了解的比较透彻。这符合当代社会对于人才的复合型的要求。但是内部控制系统的审计就必须要内部审计与外部审计相结合才能进行。内部审计是为了加强和完善企业对于内部流程的控制。例如对于系统安全性地审计,内部控制人员一般关注是否有登陆限制措施,或者是否能够应对突发的数据大量丢失的情形,有没有相关的特别的补救计划等等。内部审计还要对计算机是否配置相关的人员进行检查。与内部审计侧重点不同的是,外部审计主要是对计算机进行控制的审计,它从数据的采集处理与分析每个环节都要确保最后的输出结果是符合实际情况的。对于被审计企业的内部控制措施的审计应该有专门的软件在审计小组来完成。内部进行的审计一般是通过对系统进行实质性的测试来完成。外部审计一般对审计系统的符合性进行审查。这项工作不是由外部审计人员来完成的,而是由专业的软件小组来完成的。根据不同的构建方法,软件小组一般可以分为独立进行的小组和合作型的小组来完成最终的审计工作。审计对象是数据类型的文件时,一般来说都是由外部审计来进行承担的。审计数据型文件的目的有两个:一种是对数据文件进行相关的实质性内容的测试,主要测试数据文件的规范性。另外一种是对于软件输出的数据是否符合法律条件和行业标准进行审计,也要检查数据在系统的维护和运行下最后是否合法进行审查。从整体来看,在不同的计算机信息系统下,内部审计和外部审计以及软件小组审计有不同的工作准则。系统开发的审计并不等同于会计审计。系统开发的审计是对会计信息系统构建的过程。软件评审小组的主要工作内容是应用软件包法、资源外包法和最终用户开发法。内部审计主要承担的职责是系统开发的审计。内部控制系统的审计侧重其中一般控制系统的审计。与软件的审计小组和外部的审计人员一起在软件验收时对软件的应用程序进行相关的验收。软件的使用过程中的内部审计侧重于一般的控制系统的审计。外部审计工作主要是数据文件的审计,其中侧重的是应用系统的审计。主要是对内部审计软件的质量和应用程序进行审计。如果对审计的结果持有怀疑的态度,就可以委托软件评审小组对软件和其中的应用程序的内部控制措施进行测试。
四、总结
计算机审计离不开外部审计与内部审计相结合的特点。根据计算机审计在时间和空间上的特点,计算机审计中的内部审计与外部审计既要分工明确,又要在合作时共同协调进行审计,这样才能将审计工作扎实推进。
参考文献
[1]徐龙华.内审标准又添新内容[N].中国财经报(财会世界周刊),2003-2-19(5).
[2]张金城.21世纪中国计算机审计的发展方向[J].审计理论与实践,2000,(11):7-8.
关键词:内部审计;组织模式;内部控制
一、内部审计与外部审计异同
长久以来,许多人认为内部审计就是指企业内部审计,并将其与国家审计、注册会计师审计并称为根据审计主体划分的3种不同审计类型。事实上,内部审计并非企业专利,它起源于古代官厅,目前也在非营利机构大有发展。正确理解内部审计,应将其看作是与外部审计相对的综合性概念。它泛指设立在组织内部的审计机构开展的审计活动,包括企业内部审计和非企业组织内部审计。任何组织和机构都可以根据需要建立内部审计机构。国家审计和注册会计师审计是根据审计主体划分的审计类型,内部审计和外部审计是根据审计机构与组织之间是否存在隶属关系划分的审计类型,它们的划分标准不同,外延难免相互交叉,因此不能将它们混为一谈。
内部审计与外部审计是一组相对概念,它们常常共存并相互转化。以集团公司为例,集团公司是一个内部审计与外部审计并存的典型。我们习惯将隶属于集团公司的审计机构开展的审计活动称之为是内部审计,但从被审计单位角度看这些审计活动又都来源于单位外部,也可以将其称之为外部审计。同一个审计部门开展的审计活动有时可能是内部审计,有时可能是外部审计;同一项审计活动也可能站在这个角度看是内部审计,换一个角度看就变成外部审计了。那么究竟什么是内部审计?
有人认为内部审计产生的动因在于外部审计无法满足所有者监督管理者履行受托经济责任的需求;也有人认为外部审计产生的动因在于内部审计作为所有者监督管理者履行受托经济责任的重要手段独立性不够。这个问题说到底其实是关于内部审计和外部审计两者谁先产生的问题。之所以提出这两种观点,目的在于:无论这两种观点哪种是正确的,它都说明一个重要事实,即内部审计与外部审计各有所长,它们都在各自的领域发挥着重要作用,二者互为补充,不能相互替代。事实上,内部审计和外部审计最初的划分就是以审计机构与组织之间是否存在隶属关系为标准的。如果审计机构设置在组织内部,与组织之间存在隶属关系,那么该机构开展的审计活动就是内部审计;反之,则为外部审计。但是随着社会经济的发展,一方面组织规模不断扩大,结构越来越复杂;另一方面内部审计外包现象的出现打破了内部审计与外部审计的传统差别,这些都使得原有的划分标准不足以再将二者区分开来。这同时也说明审计机构与组织之间是否存在隶属关系虽然是划分内部审计和外部审计的重要标准,但不是唯一标准。我们不能仅以审计机构与组织之间的关系为标准来对内部审计和外部审计进行简单地划分。它们之间还存在着其他更为深刻的差别。
内部审计与外部审计在本质上都是确保委托关系恰当履行的重要制度安排。所不同的是,外部审计侧重于从组织外部审查整个组织履行受托经济责任的结果,目的是验证整个组织的受托经济责任是否已得到恰当履行,并就验证结果发表审计意见。外部审计其主要职能是监督和鉴证,它的落脚点是审计结论或审计意见,表现为一种鉴证型审计。其优点在于独立性和整体性更强,审计意见更权威;缺点在于成本较高,及时性不足;内部审计侧重于审查受托经济责任的履行过程,审计对象不是组织整体,而是组织内部的某一个部门、某一种制度或某一项具体的经济业务或活动(如采购业务、投资活动等),目的在于查找组织内部各部门履行受托经济责任过程中存在的漏洞和不足,提供相应的改进建议,促进受托经济责任得到更加恰当地履行,增加组织价值,主要职能为确认和咨询,落脚点是审计建议,体现为一种管理型和建设型审计。其优点在于更详细、更及时、更具有建设性,缺点在于整体性和全面性不足。
二、内部审计组织模式选择
目前国内外现存的内部审计组织模式主要有董事会领导模式、监事会领导模式、总经理领导模式和财务总监或财会部门领导模式。有学者认为,内部审计服务的权力阶层越高,独立性越高,越能更好地开展审计工作。笔者不同意此观点。除了财务总监或财务部门领导模式难以保证内部审计的独立性应予淘汰之外,其他模式各有所长。组织在选择内部审计模式时,应重点考虑自身的需求。如果所有者需要内部审计为所有者服务,用以监督管理者受托经济责任的履行状况,那么内部审计机构自然应置于董事会或监事会领导之下为所有者服务;如果所有者和管理者都认为内部审计为管理者服务更重要、更有利于增加组织价值,那么就应将内部审计置于管理者领导之下。总之,虽然审计起源于委托关系,但这并不意味着审计只能为所有者服务。内部审计的组织模式和地位与其承担的职责相匹配,是建立良好的内部审计组织模式的最重要的原则,审计机构配置的过高或者过低都会影响内部审计职能、作用的发挥。
事实上,如果我们认真分析一个组织委托关系的构成状况,就会发现管理者领导模式将是促进组织价值快速增加的最佳选择。任何一个组织的委托关系一般都由所有者与管理者的委托关系(债权人与管理者之间也有委托关系,但由于债权人对组织内部审计模式的选择并不起决定性作用,因此在文中未予讨论。)、管理者上层与管理者下层的委托关系以及管理者与一般员工的委托关系等几部分组成。在这几部分当中,管理者是十分重要的环节。以前我们过于强调所有者与管理者之间的利益冲突,忽视了两者之间也有共同利益。所有者的最大利益是实现财产的保值增值,但他们实现自身利益最大化的愿望能否实现还取决于管理者管理组织的状况。管理者在本质上也希望实现组织价值最大化,因为管理者自身的价值在很大程度上是由组织的价值来体现的。所有者需要监督管理者是否恰当地履行受托经济责任是一方面,但相比之下,所有者也会认为如何帮助管理者管好组织、增加组织价值更为重要。在外部审计足以满足所有者监督管理者履行受托经济责任状况的条件下,将内部审计机构置于管理者领导之下用于帮助管理者更好地管理组织、增加组织价值无疑是一个明智之举。
三、内部审计与内部控制异同
内部审计与内部控制的关系问题一直是理论界争执的问题。一般可归纳为以下两种论点:一种论点认为,内部审计与内部控制是并存的,不存在谁包括谁的问题;另一种观点认为内部审计本身就是内部控制的一个组成部分,二者是包含与被包含的关系。笔者认为,内部审计与内部控制两者相互渗透、相互促进、相互需要,内部审计是内部控制的重要组成部分,是内部控制的再控制。
首先,1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,对内部控制进行了权威性解释:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。它是由管理当局根据总体目标而建立的,目的在于帮助企业的经营活动合法化,具有经济性、效率性和效果性,保证管理决策的贯彻,维护资产和资源的安全,保证会计记录的准确和完整,并提供及时的、可靠的财务和管理信息”。该解释将内部审计作为内部控制的一个重要组成部分。1992年COSO委员会《内部控制——整体框架》一书认为内部控制中的“监督”因素也包括内部审计。新晨
拓宽内部审计范围
近年来,金雅拓公司的内部审计团队经历了一系列重大变革。自2006年至今,其专业审计人员由2名增加到8名,期间经历了当年的合并,以及随之而来的内审部门重组。
内审团队由2人增加到8人时,内审章程便根据IIA的标准进行了重新编写,将反舞弊和财务报告内部控制纳入其中。而且内审团队不再仅仅关注内部审计事宜,内部控制也成为他们工作的一部分。且自2008年4月以来,就将财务报告内部控制正式确立为持续工作重点。
金雅拓的内部审计指导委员会每三个月召开一次会议,负责监督控制的各个环节,反舞弊委员会则每两个月召开一次会议。内部审计指导委员会的成员包括:首席财务官、首席审计官、集团总监、负责某业务单元(为金雅拓三业务单元之一)下一家分支机构的高级副总裁、一位高级人力资源代表、法律顾问以及内部审计总监皮埃尔安努•克勒松。金雅拓的反舞弊委员会则由人力资源部、法务部、安全部、信息技术部和内部审计部的负责人组成。
增加审计部门的规模、提高审计师的技能和知识、从更高的战略层面来选择审计任务、执行企业风险评估,以及对反舞弊活动的关注,这一切都令金雅拓内部审计团队的范围和效能发生了巨大改变,仅用一年时间就大幅削减了外部审计师费用。
运用以风险为基础的内部审计方法论
内部审计团队运用的主要审计方法论,是采取以风险为基础的方法来界定审计计划范围。在执行审计项目时,针对某一特定业务领域编制一个固有风险清单,并与非常了解业务单位具体情况的责任人沟通,以确定他们所关心的首要工作。根据风险的不同,降低其重要性水平,这意味着需要从更低的层面进行审计。而这也正是外部审计公司所采用的方法。
内部审计还负责公司的一项风险测绘工作,名为企业风险评估。具体工作是为金雅拓所面临的每一种风险以及管理有关风险的所有相关措施创建一个资料库。有关信息将用于制定年度审计计划。大型经营场所需要每三年审计一次,后续审计工作一般是一年以后。如果有些风险较高的领域需要审计,比如存货陈旧或者资金问题,审计工作一般是按需进行。有关信息会呈报给外部审计师和审计委员会。
金雅拓审计团队区别于其他审计团队的一个重要特点是,他们会对资产负债表进行系统地审核。不仅审计流程,也会分析资产负债表(对资产负债表进行评级,A代表最高级别,然后依次降至B、C和D),这才构成一个完整的审计循环。
关键词:风险管理基础审计 风险基础审计 流程基础审计控制基础审计
审计模式(Auditing Approach),又称审计方式模式、审计取证模式,是指为了实现特定的审计目标所采取的审计策略、方式和方法的总称,它规定了审计取证工作的切入点,规定了审计人员在实施审计工作时,从何处人手、如何人手、何时人手等问题。审计模式的发展与审计目标的变化是相适应的。企业内部审计的审计目标相继在制度遵循、流程规范、风险控制、风险管理之间变化,审计模式亦相应地经历了控制基础审计(Control-based Auditing,简称CBA)、流程基础审计(Process-based Auditing,简称PBA)、风险基础审计(Risk-based Auditing,简称RBA)风险管理基础审计(Risk Management-based Auditing,简称RMBA)等审计模式。这些审计模式分别在什么背景下产生及其特征如何,模式演进的动因有哪些,这些都是我们需要回答的问题。本文以美国内部审计发展为例,探寻这些问题的答案,期望通过对美国内部审计模式的发展革沿,把握各种审计模式的特征,从而助于探寻我国内部审计模式跨越式发展之路。
一、控制基础审计
(一)控制基础审计产生背景 首届美国国会在1789年通过了审计署长任命法案,建立起国家审计制度,但由于殖民时期的美国几乎没有大规模的工业,内部审计并不很需要,导致美国内部审计滞后其他国家审计近百年。实际上,美国内部审计的源头只能追溯到19世纪,当时的美国铁路公司通常被认为是最早雇佣首批内部审计人员的公司。由于此阶段相应的法律并没有明确规定公司管理层在公司违规时需要承担怎样的责任,外部审计也还没有法定,故此阶段内部审计模式还没有显现。真正意义上的内部审计直到20世纪上半叶才随着大规模商业公司而出现,其后一系列法案的出台,使得内部审计工作日益为管理层所注重,控制基础审计在这一过程中完善起来。其主要有:一是《所得税法》的系列修订使内部审计需求趋大。美国国会于20世纪初对《所得税法》进行了系列修订,1913年通过了《所得税法》的第16次修订,法案条款要求所有公司保持充分的会计记录。由此,管理层开始重视对会计师以及内部审计师的需求。二是《版权法案》中有关管理层法律责任的规定对控制基础审计的作用不可或缺。1976年开始制定的一系列与知识产权有关的版权法案,其中对公司管理层即使并不知道公司的任何违法行为,也需要承担法律责任的规定,使公司管理层意识到减轻法律责任的办法唯有从源头上寻求内部控制制度的帮助。三是《外国贿赂行为法案》使控制基础审计渐臻完善。1977年的《外国贿赂行为法案》(Foreign Corrupt Practices act,简称FCPA),要求在SEC登记的公司必须建立和保持充分的账簿、记录和会计,并必须保持一个能合理保证组织目标得以实现的内部控制系统。《FCPA》包含以下规则:当公司由于进行非法支付而被控有罪时,公司管理层不可通过声明不知情而逃脱责罚;若其试图这样做,又会因既有的内部控制系统没有发现非法支付而获罪。因为《FCPA》规定,内部控制系统未能合理保证组织目标达成也同样会被认定为未遵守联邦法律。由此,内部审计需要对内部控制遵循情况加以审计,从而控制基础审计最终确立并渐臻完善。
(二)控制基础审计的特征 控制基础审计的特征可从其审计目标、审计重心、审计方式、审计所用测试方法以及审计最终形成的建议等方面把握:以各项潜在的法律法规是否得到了遵循,即合规性,作为审计目标;以找出企业中法律法规未得到遵循,或错误遵循情形作为其审计重点;以了解法律法规的遵循情况作为主要的审计方式;审计测试集中于把法律法规的规定与本企业对规定遵循情况的比较;最终形成的审计建议则集中于企业如何就存在的法律法规未遵循方面或错误遵循等情形加以改善。由此可以看出,内部审计的控制基础审计与CPA的制度基础审计有着本质的区别。CPA的制度基础审计虽有时也被称作为控制基础审计,其审计目标是发表审计意见,其以评价内部控制系统为导向,从检查被审计单位内部控制系统人手,通过对被审计单位内部控制的全面了解、研究和评价,以形成对被审计控制风险的评估,在此基础上确定实质性测试的性质、时间和范围,然后,根据实质性测试收集的审计证据,形成相应的审计意见。而内部审计的控制基础审计却并不以发表审计意见作为自己的终极目标。
二、流程基础审计
流程基础审计,于上世纪80年代盛行,其以业务流程作为切入点,以最佳业务流程作为流程评价的标杆(Benchmark),对组织内关键业务流程的设计、效果和效益性进行评价,是控制基础审计的有效补充。
(一)流程基础审计产生的背景 首先是迅速发展的内部控制建设运动。法律法规对管理当局责任强调使得企业内部控制建设迅速发展。在这一过程中,管理当局需要确信组织效率没有因业务控制点的设置而降低,从而产生了需要内部审计师对提出对业务流程关键控制点设置情况给予评价的要求。从而内部审计师要以流程作为取证切入点,把流程作为其主要的评价对象。其次是计算机的技术发展。微型计算机在20世纪70年代出现后,企业不断在传统的生产与经营流程中引入这一新技术以对流程加以再造。由于对企业流程再造思想没有系统地总结,众多企业只能是在实践中摸索,新技术的开发与企业在生产经营流程引入使用几乎是同步的。在引领潮流企业的努力下,物料管理系统、项目管理系统、产品数据管理、管理信息系统成功推出,专家系统、决策支持系统、集体决策支持系统等方面也取得了突破。在新技术革命的诱惑与挑战下,众多的企业转向了对关键职能部门以及关键业务流程的梳理与优化过程中。寻求在其他业务领域拓展以为组织提供更多增值服务是内部审计部门一直以来的目标,充分利用在组织中所处相对独立地位以及审计工作中所积累的对企业流程的了解,适应管理阶层流程梳理与优化的需要,开展流程基础审计是其必然选择。
(二)流程基础审计的特征 流程基础审计特征:以业务流程规范,具有效果与效率,即流程的效果性与效率性,作为审计目标;找出当前流程与最佳实务之间的差距作为其审计重点;比较当前流程与最佳实务作为审计方式;审计测试着重于差距的询问;最终形成的审计建议则集中于如何缩短当前流程与最佳实务之间差距、如何改进流程等方面。流程基础审计的特征使其允许内部审计师发挥更多的创造力并为组织提供增值服务,但也决定了其只能是控制基础审计的有效补充,而不可取代控制基础审计成为当时的主流审计模式。一方面,流程基础审计是从当前流程与最佳流程的差距处人手,希望通过企业组织流程的重组与再造来优化流程以
为企业提供增值,流程基础审计的这一特点决定了其“治病救人”的非常规特征,而不能作为一个配置常规审计资源的方式。另一方面,流程基础审计是在传统审计领域之外的拓展,在控制遵循审计之外,开展流程改善为目标的审计,决定了其不会以全新的方式来配置企业的审计资源,这也是其不被认为是独立审计模式的主要原因之一。
三、风险基础审计
风险基础审计得以确立是上世纪90年代初期,其以审计项目所含风险作为切入点,在决定应开展哪一审计项目以及应以什么方式开展时,以项目所含风险作为决策依据和衡量标准,从而将审计资源分配到对财务报告和内部控制产生影响的重要风险领域。内部审计风险基础审计与CPA风险基础审计形相似但质不同。
(一)风险基础审计产生背景 企业对风险的关注达到新高。20世纪80年代,科学技术的进步使得国际经济金融一体化进程加快,市场竞争也日益激烈,企业面临的风险也日益增大,金融衍生产品交易的迅速发展更是推波助澜。英国巴林银行的倒闭、日本住友银行期货铜交易巨额经营亏损案,以及此起彼伏的金融危机风险,使企业管理当局意识到衍生产品投资与交易带来巨大利益同时也蕴含着巨大风险。同时,企业还面临着其他对生存造成影响的风险,企业管理当局需要内部审计控制这些风险,确保其保持在司接受水平不至于对企业的生存造成威胁。外部审计向内部审计业务的拓展。内部审计的风险基础审计,是在外部审计倡导风险基础审计并向内部审计业务转移的背景下得以确立。20世纪90年代,国际五大会计师公司(毕马威、德勤、安永、普华永道以及安达信等)比以往更加热衷于提供管理咨询服务,在他们的游说下,许多公司将内部审计业务外包,2001年美国安然公司是典型转移例案,其大量的内部审计工作被为其从事外部审计的安达信会计公司所承包,内部审计行业遭遇巨大生存压力。在外部审计的巨大竞争压力下,内部审计部门相应改变了工作方式,对于哪一审计项目应开展和以何方式开展的决策依据需要改变为项目所含风险。这一工作方式的改变,立刻就显现其生命力,行为方式的这一改变有助于公司领导部门确信公司审计资源已经得到很好运用。因此,控制基础审计项目、流程基础审计项目可能仍会开展,但在规划与执行时,则依据项目暗含的经营风险而定。使内部审计部门的工作成效显著,对组织的增值贡献立现,并取代了传统内部审计模式成为主导审计模式。
(二)风险基础审计的特征风险基础审计与控制基础、流程基础的区别可以从审计目标、审计重点、审计方式、测试方法、审计建议等方面:其以企业用以降低关键风险的控制与程序是否有效,即控制与程序的有效性,作为审计目标;审计重点能否查找出关键风险;能否识别出有效降低关键风险的控制与程序作为审计方式;查找失效的控制与不规范的程序,不单纯依赖于控制测试,还应结合以推测等方法;审计后形成的审计建议则集中于识别出关键风险以及对用于降低这些风险的控制与程序的评价。
内部审计的风险基础审计与CPA的风险基础审计有着本质区别。内部审计风险基础审计,是内部审计行业在遭受外部审计巨大竞争压力的情况下被动适应,其目的是发现企业关键业务流程、关键控制所包含的风险以便采取措施,降低组织面临的风险,是从组织、管理当局的视角看风险。内部审计师虽也会考虑需要将审计风险降低到可容忍范围之内,且这种考虑是可以服从于管理当局对某一领域的风险容忍度的,将CPA的风险基础审计,通过对审计风险的系统分析与评价以提高审计效率与效果,从而使审计过程成为一个不断克服和降低审计风险的过程,其最终目的是有效控制审计风险,弥合审计期望差距,减轻审计人员的责任,是以外部审计人员的视角来阐释风险。虽然也会考虑管理当局对某――领域的风险容忍度,但这一考虑是服从于审计人员对审计风险的整体。
四、风险管理基础审计
(一)风险管理基础审计的产生背景一是企业风险管理活动的盛行。风险管理在20世纪70年展起来,到90年代随着经济的快速发展和社会的不断进步,对风险的认识发生了很大的变化,对风险管理概念的理解也超越了传统,认为风险管理不再是针对使企业遭受损失的负面事项管理,而是有助于企业在更广阔领域里进行决策的工具。综合了财务风险管理、业务风险管理、流程风险管理、以及战略风险管理等在内的整体风险管理体系开始为一些企业所探索。至上世纪90年代后期,整体风险管理体系作为通盘管理企业所面临风险的一种方式,逐步为更多的企业所采用。在这一过程中,内部审计部门为配合管理当局需要,主动调整自己的工作方式,开展风险管理基础审计,即对风险管理情况的审计。风险管理基础审计最初的出现是零星的,主要是一些金融企业或从事衍生金融新产品交易企业的内部审计部门在应用。风险管理基础审计除了具有风险基础审计的许多特征,更以在组织战略目标、管理层风险容忍度、关键风险度量、业绩指标以及风险管理能力等方面予以更大关注为特色。二是COSO委员会《企业风险管理整体框架》的出台。在风险管理活动盛行情形下,实施风险管理的企业需要一个健全的框架有效地识别、评估并管理风险。美国的COSO委员会于2001年启动开发《企业风险管理整体框架》项目,并于2004年完成。考虑到《ER_M整体框架》制定者的背景,不妨参考一下《内部控制整体框架》,使其成为企业风险管理的指导与准则,势必会为更多企业在更广、更深领域里所应用。在《ERM框架》中,董事会在企业风险管理方面扮演更加重要的角色,即对企业风险管理负总体责任,并且变得更加警惕。由此,内部审计人员在监督和评价成果方面承担重要任务。他们必须协助管理层和董事会监督、评价、检查、报告和改革EKM,内部审计风险管理基础审计的基本形成。某种审计模式的零星出现与基本形成有着应用的深度、广度、效度、以及领导层的支持力度等方面的区别。
(二)风险管理基础审计的特征 风险管理基础审计在保留其他审计模式优点的基础上,更加关注于组织的战略目标、管理层对风险的容忍度、关键风险度量或表现指针等方面。在风险基础审计模式下,内部审计部门运用所确定的关键风险审计项目,与管理层在ERM过程中所关注的关键风险有所相同,但正RM还有许多其他方面的特征,却并不为风险基础审计所涵盖。其特征:以组织目标的达成、缓解风险和最优化企业风险管理,亦即组织风险管理活动的有效性作为其审计目标;审计重点在于识别当前风险管理有效性与期望有效性之间的差距;审计方式则是由理解目标、识别与影响目标达成的风险、理解容忍度、识别绩效与风险衡量方法、以及评估风险管理的有效性组成的一个总体体系;测试方法,聚焦于关键目标及与其相关的风险,结合推测与遵循性控制测试;审计后形成的审计建议主要是就风险管理有效性的差距与潜在风险和关键商业目标之间给以建议。
内部审计的风险管理基础审计具有CPA风险基础审计不可比拟的优势。新的审计模式的确立却立刻就显现了其在风险管理、内部控制等方面对组织的增值贡献是外部审计所无法比拟的优势。CPA风险基础审计是以审计人员对审计风险的容忍度为关注点时,而内部审计的风险基础审计则是以企业、以管理层对风险的容忍度为关注点,这有助于让管理层确信内部审计资源已被有效地配置,且集中于那些真正与组织价值相关的领域。而这也是研究内部审计模式与注册会计师审计模式差异时特别要注意的。在内部审计风险管理基础审计模式的形成过程中,美国国会通过了《Sarbanes--Oxley法案》,在其302节、404节等部分体现了强化管理当局责任、加强信息披露质量的治理精神。尤其是404节对上市公司管理当局提出评估和报告公司最近年度的财务报告的内部控制的有效性要求。内部审计作为公司内部控制重要组成一部分的,其重要性再次得到强调,这为内部审计在新的审计模式下开展工作,提供了更强有力的法律支持。
关键词:国有煤炭企业 风险管理 内部审计 责任 作用
在我国,煤炭工业是高风险产业。随着我国社会主义市场经济体制的建立与日趋完善,煤炭产业的市场化改革也取得了实质性进展,由市场经济带来的各种风险在煤炭企业同样存在,风险也由传统的安全生产风险、财务风险向战略风险、运营风险,法律风险等多领域发展。煤炭工业在国民经济中的重要战略地位,使国家进一步加大了对其宏观调控,以建设大型煤炭基地、培育大型煤炭企业和企业集团转型发展、跨越发展成为主线,既给煤炭企业带来了前所未有的良好发展机遇,也带来了众多的经营风险。加强煤炭企业风险管理既是企业实现战略目标的迫切需要,也是企业实现转型跨越发展,建设国际化特大型企业,促进企业持续、健康、稳定发展的必然选择。
企业风险的管理关键是识别风险和科学应对。由于现代内部审计向以风险为导向的内部控制审计转型,风险与控制是紧密关联的,内部审计也要进行风险管理研究工作。煤炭企业面临着市场、政策、资源、环境等外部风险,也面临着决策失误、流程实施、安全质量、人力资源等内部风险。1997年亚洲金融危机煤炭产业受到很大冲击,非煤产业起到缓解作用,由此给出煤炭产业单一是企业重要风险的信息。2008年世界金融危机煤炭产业受到的冲击比预期小的多,而非煤产业受到很大冲击,给出煤炭产业链越多企业风险源越多的信息。煤炭产业的特殊性决定了其风险源和应对措施的复杂性,需从煤炭企业实际出发进行深入的研究工作。
1.关注企业管理风险,评估、报告风险是内部审计的重要职责
现代内部审计是以风险为导向的审计,它的特征是关注整个企业的风险。现代煤炭企业的发展正逐步呈现出公司规模扩大化、管理层次多级化、经营区域广泛化、经营领域多元化、交易形式复杂化、公司管理软性化等特点,这些新特征的出现使企业面临的各种风险因素增加,风险发生的几率增大。现代内部审计目前正经历以财务审计为主向风险管理审计、内控审计为主的全面转型。内部审计实现转型与发展是客观实际发展的选择。实际工作要求内部审计的重点工作从传统的财务领域扩展到风险管理和内部控制领域;审计的方式从事后确认向事前、事中监控转移;审计的目标从查错纠弊向测试、分析、确认、揭示和防范关键性的经营风险,对企业内部控制和风险进行评价、评估转变。国际内部审计师协会(IIA)在向美国国会提交的关于SOX法案的意见陈述书中表明“内部审计、外部审计、董事会和高层管理人员是有效公司治理的四大基石。内部审计师的作用是监控、评估和分析公司的风险,向董事会、审计委员会以及高层管理人员提供风险已被分散、公司治理有效的保证。”。开展以风险管理为重点的审计,既是内部审计满足受托责任变化的需要,也是内部审计承担参与风险管理实践的需要,更是内部审计实现转型与发展的需要。因此,关注企业管理风险,评估和报告风险是内部审计的一项重要责任。
2.加快内部审计业务整合,拓展风险管理审计是现代内部审计的职责
内部审计的核心概念有两个:内部控制和风险管理。由于企业规模的发展壮大,企业分公司和分支机构的设立,原先属于企业管理者监管的工作出现了分离。随着竞争日益激烈,企业管理者出于成本效益和企业长久发展的考虑,内部控制成为内部审计的重点。现阶段风险管理在企业管理中的影响与日俱增,成为内部审计新的关注点。作为制度安排的公司治理实质上是内部控制、风险管理、内部审计的控制机制,但公司治理本身又产生新的风险。因此,在现代企业管理活动中,内部审计是融风险管理审计、内部控制审计和公司治理于一体的全面的内部审计。在继续开展财务、会计、内部控制工作发挥既有优势前提下,整合内部控制、风险管理和公司治理,评估风险、重视人际关系,加强全面沟通,为企业创造更大的价值。
3.正确认识内部审计与煤炭企业风险管理的关系,促进此项工作的深入有序开展
内部审计之所以要涉足风险管理的领域主要有四个方面的原因:一是企业面临的风险日益增大。二是现代内部审计发展的需要。内部审计为了适应企业发展的需要,总是不断寻找新的对企业发展有利因素。由于企业风险因素的增多,日益构成影响企业正常发展的要素,必将引起各方管理层的高度重视,成为防范的焦点,这成为内部审计进一步发展的好机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个重要角色,并将其在企业管理中推向一个新水平。正因如此,内部审计师的职业组织——国际内部审计师协才会不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义中。三是内部审计能够在风险管理中发挥独特的作用,即能够客观、从全局的角度管理风险。内部审计部门不直接从事具体业务活动,独立于业务部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险;控制、指导企业的风险策略;内部审计的建议和意见更易引起重视。四是外部审计的影响。近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是主要业务之一。这对内部审计界产生了影响。由于内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势,比如,内部审计的内生性决定了内部审计人员和内部审计部门对防范企业风险,实现企业目标有着更强烈的责任感和使命感。既然外部审计可以从事此业务,内部审计就更可以从事这一工作。
另外,与一般的风险管理部门进行的风险管理相比,内部审计所进行的风险管理既与其有紧密的联系,又有区别。他们的联系表现在两者的目的是相同的,都是为了降低企业的风险;两者的区别在于他们在风险管理中的角色不同。内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督,其风险管理过程应包括三个方面:①评估风险识别的充分性;②评价已有风险衡量的恰当性;③评估风险防范的充分性,并提出改进措施。
4.内部审计在国有煤炭企业风险管理中发挥着积极作用
国际内部审计师协会颁布的《内部审计实务标准》规定,内部审计在风险管理中的责任是对管理层提供帮助,就管理层的风险管理过程的充分性和有效性进行检查、评估、报告并提出改进意见,以保证管理系统的有效运行、财务信息的准确、投资决策的正确和经济活动的合法,实现它是一种对风险管理的再管理过程。
内部审计通过履行其在风险管理中的职责,最终达到对风险管理进行再管理的作用。这就是内部审计部门要从全局出发,从客观的角度对风险进行识别和评估。通过这一工作,找出并确定企业正在或将要面临的哪些风险,所面临的风险是否已经全部识别,并找出未被识别的主要风险。同时,内部审计部门要对企业经营管理中遇到的各种风险进行综合分析和计量,采取定性和定量的方法对风险予以确定。特别是要能够及时反馈、预警风险。内部审计在企业管理控制系统中发挥的作用主要是在检查内部控制程序的合理性以及执行情况和控制效果上予以体现。特别在关注高风险领域和内控不健全区域的潜在威胁时,一方面,通过与相关部门进行风险管理沟通,对风险管理过程的充分性、有效性进行检查、评价,对重大的审计发现按清晰传递的路线报告,传递给内部相关人员和其他有关方面,以便及时采取相应措施,同时对监督检查结果的落实情况跟踪报告。
虽然如此,如何才能加强内部审计,促进风险管理,更好地发挥内部审计的作用呢?笔者认为应做好以下几方面的工作:
(1)要树立正确的风险审计理念。当今社会企业的内部审计已成为企业风险管理的一个重要环节,存在风险的领域就是内部审计的重点,风险评估已成为内部审计的主要内容。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”。
(2)要将风险管理融入内部审计的全过程。首先,在编制审计计划时,应在对可能影响机构风险的进行评估的基础上,按风险评估结果确定优先顺序,制定内部审计计划,确定审计目标。其次,确定审计范围和编制方案时,通过对风险因素分析来确定审计业务的范围,在选择技术与方法时,应能反应出风险的重大性和发生的可能性。再次,在编写审计报告时,应对风险状况进行评价,指出其中的不足,提出改进的建议。
(3)要利用网络信息开展动态管理评价模式。随着网络信息时代的发展,新的审计环境要求审计人员在风险导向审计中,要充分利用网络信息收集风险数据开展动态评估的评价模式,为企业提供更有价值的服务。
(4)要提高内部审计人员的风险管理业务技能,为更好发挥内部审计在国有企业中的作用提供人才保证。内部审计师的职责是运用风险管理方法和控制措施,对风险管理过程的充分性和有效性进行检查、评价和报告,提出改进意见和建议,为管理决策层提供帮助。内部审计人员除了具备扎实的专业技能外,更应有丰富的专业风险管理知识和技能,精通风险管理技术、现代管理信息技术和先进的管理技术手段。通过卓有成效的工作,为企业预防和减少风险做出积极贡献。
参考文献:
[1]中国内部审计协会,内部审计理论与实务[M].中国石化出版社,2004
增值即为增加价值。增加价值:“组织的存在,是为其所有者、其他利益关系方、客户和顾客创造价值或谋取利益”。增值型内部审计,即能为组织增加价值的内部审计。增值型内部审计并不是新生的一种审计类型,它是内部审计发展的一个新阶段。它和以前的内部审计没有严格的分水岭。
增值型阶段是现代内部审计的一个革新性阶段,它是内部审计的一次重大变革。在这个发展阶段上,审计理念发生了根本性的变化,审计人员不仅要善于发现问题,而且更要善于解决问题,并积极向管理当局推销自己的内部审计产品;在这个发展阶段,审计策略发生了重大的改变,广泛采取“参与性”的审计策略,被审计人员参与到内部审计中来,强调与被审计人员建立良好的伙伴关系,在这个发展阶段,审计目标与组织的目标相一致,帮助组织实现其目标就是内部审计的目标;在这个发展阶段,内部审计关注的焦点就是组织的风险,识别、防范、降低组织风险就是它自始自终的使命;在这个发展阶段,内部审计的目的就为组织增加价值,为组织增加价值就是内部审计自身存在的价值。那么增值型内部审计和传统内部审计在价值增值有什么区别呢?增值型内部审计和传统内部审计在价值增值不同的是:
(1)过去传统的内部审计不注重为组织增加价值,它开展的许多活动相对于增值型内部审计来讲是不增值,或者虽然增值,但由于所耗费的资源和成本大于增值所带来的价值,所以从整体上来说是不增值的。而增值型内部审计全面转变审计观念,不增值的审计业务尽量少做,能增值的传统审计业务尽量提高工作效率减少资源耗费和成本,重点在大力拓展高增值的审计业务。
(2)传统的内部审计部门是一个资源消耗者,是一个费用中心,它不直接给组织增加价值。而增值型内部审计是一个价值增值者,是一个利润中心。它在消耗资源的同时,通过给组织提供有价值的建议直接给组织增加价值。
(3)过去传统的内部审计为组织间接增加价值的事实往往受到忽视。人们的计量记录只有内部审计花出去的钱,由于其只是一个费用中心,不计量收入。而增值型内部审计有所不同,由于其是一个利润,成本的耗费有记录,为组织增加的价值也因该有衡量和记录。
2商业银行内部审计增值性的分析
银行管理的基本目的是使银行的资本市场价值增加达到最优化水平。但是银行报表所报告的统计数据却是按照所谓账面价值计算的。因此,充分与准确地估计银行的市场价值是客观评价银行管理的依据。如果某家银行的股票在有效运行的股票市场上市,并且交易非常活跃,就可以准确地计算市场价值。就账面价值而言,银行的账面资产等于银行的账面负债()与银行的账面价值()之和:.就银行市场价值而言,银行的市场资产加上银行的无形资产等于市场净值与银行的市场负债之和.银行的的无形资产包括存款保险的价值,银行与客户的关系,银行的注册价值以及其他的非账面资产。因此以市场价值计算的银行价值为:
这一公式可以解释为什么有的银行在账面上其净值为负数,但以市场市场价值计算,其净值为正数;或者说,银行的无形资产往往可以抵消银行净值的账面价值。
在很多情况下,银行资产的账面价值与市场价值之间存在很大的差距,当银行账面()与市场价值(差距时,该银行存在所谓的隐藏资本或未入账资本,银行隐藏资本由两个来源:银行账面资产和市场资产的差距,银行资产负债表外项目。这就时1990年凯恩和尤兰尔使用了一个简便的计量公式来测量银行的隐藏资本,这一公式被称为统计学的市场价值核算模式()。即:市场价值()银行账面(=隐藏资本。
公司的价值最大化实际就是隐藏资本的最大化,而隐藏资本包括无形资产和未入账资本,提高隐藏资本的价值就要提高商业银行在公众心目的价值和对未入账资本的风险管理。未入账资本主要是表外业务,所以商业银行应加强表外业务的监管。
提高隐藏资本价值的途径之一就是通过内部审计活动的开展,促进商业银行加强公司治理、健全内部控制制度和防范风险。良好的公司治理、健全的风险管理系统和完善的内部控制体系有利于提高商业银行的公众心目中形象和减少商业银行经营过程中的风险,从而增加收益。这和增值型内部审计的定义关于内部审计的增值作用是一致的。
3内部审计在商业银行公司治理领域的增值途径
商业银行公司治理的主题主要是两个方面,即控制的有效性和风险管理的有效性。内部审计在公司治理中的作用可以归纳以下几方面为:评估控制环境,对控制的有效性进行测试;评价管理层执行控制过程的有效性;对风险控制系统的充分性和有效性进行评价;对管理层的风险管理过程进行评价;执行审计委员会的欺诈分析和特别调查;对高层基调进行独立评价。可以看出,商业银行内部审计的公司治理作用除内部控制和风险控制这些“硬控制”之外,还涉及到组织的“软控制”,也就是组织的“高层基调”。在这里着重讨论内部审计如何评价商业银行公司治理中的“软控制”。
3.1内部审计与公司治理结构
在商业银行公司治理结构中,管理层执行风险和控制的措施,并向董事会报告其工作状况,董事会为了证实管理层报告的真实性,授权审计委员会对其进行验证,审计委员会利用内部审计和外部审计职能对管理层的风险、控制的管理与执行情况进行检查和证实,内部审计和外部审计将检查、证实的情况向审计委员会报告。这样形成了一个有效的公司治理。一个有效的公司治理可以对风险管理系统和控制系统进行充分的监控,对它们的监控直接有助于组织达成其目标。
3.2内部审计与审计委员会
近年来,针对改善商业银行公司治理的立法和建议提高了审计委员会的地位,巴林银行倒闭后,对审计委员会的重视将会继续加重,同时对审计委员会的期望也会日益上升。正如美国国家公司董事联合会指出,审计委员会是公司治理的重要角色,审计委员会是确保财务报告和控制信息质量以及风险管理和识别的重要因素。内部审计是审计委员会进行公司治理直接工具。
3.3内部审计与管理层
管理层是公司治理的主要力量,管理层设定高层基调处理组织的日常经营事务,管理层对公司治理的作用是巨大的。内部审计为管理层提供各种验证和咨询服务,同时又作为审计委员会的治理工具,对被治理的对象管理层的控制与风险管理业绩进行验证。这使得管理层也很需要内部审计对自身内部控制和风险管理方面的业绩进行验证,使之以内部审计的验证报告为依据对信息真实性提供个人保证。内部审计的验证服务直接关系到高级管理层就上述责任承担的风险大小,所以内部审计在商业银行公司治理中的验证服务与管理层的利益是一致的。验证服务是管理层与审计委员会共同需要的,而且,内部审计师为管理层提供许多增值服务,它只不过是作为顾问和咨询者的身份,并没有参与决策,决策仍然由管理层来执行。
3.4内部审计与外部审计合作
商业银行内部审计师和外部审计师的合作对提高验证信息的质量具有重大意义,内部审计师可以通过有关商业过程和活动,以及对组织面临风险的深入了解,来帮助外部审计师有效地进行财务报告的鉴证,而且内部审计师和外部审计师共享风险分析的信息。
4商银行内部审计增值功能的具体措施
4.1在商业银行公司治理中提供增值服务
(1)评价治理环境。好的治理环境为商业银行的公司治理提供了文化、结构和政策基础,直接关系到治理的效率。内部审计通过评价总体治理结构和政策、评价治理道德、评价审计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施,以达到优化公司治理环境的目的。
(2)评价治理过程。治理过程是支持治理环境的具体活动,内部审计参与公司治理的具体措施是:评价舞弊控制和沟通过程、评价薪酬政策及其相关过程。评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩盼计量。
(3)评价治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践,它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。
4.2在商业银行风险管理中提供增值服务
国外最新研究认为,内部审计在风险管理中的作用是商业银行内部审计增值功能的新内容。在商业银行的风险管理中,内部审计可通过提供鉴证和咨询服务来增加组织的价值,主要体现在两个方面:一方面,内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风险的管理等措施,就公司风险管理活动的效率向董事会提供客观的建议,促使关键的经营风险得到恰当的管理,确保企的内部控制系统得以有效运行;另一方面,内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险管理措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合银行的企业风险管理框架、协调制定有待董事会批准的风险管理战略措施等,更好地为风险管理提供咨询服务。
近年来,美国通用汽车公司也以“参与风险管理,提供独立评价和建议”为内部审计重新定位,并写进了公司内部审计章程。我国商业银行内部审计部门可以借鉴国外经验,将其参与风险管理明确写入内部审计章程,以有利于在风险管理过程中提供独立的评价和建议,有效发挥内部审计划于风险的控制作用,提高风险管理的效率和效果。但是,为确保内部审计的独立性和客观性不受损害,内部审计师要注意不能设置风险偏好和对风险管理过程施加影响,不能代为决定风险应对措施,也不能按管理者的意图执行风险应对措施和承担风险管理的责任。
4.3在商业银行遵循管理方面提供增值服务
关键词:IIA内部审计定义演进 启示
一、引言
随着内部审计实践业务的不断发展,国际内部审计师协会(IIA)就内部审计定义几经修改。内部审计职能也由最初的财务审计、经营审计发展到管理审计,直至现在的风险导向审计。2003年中国内部审计协会的《内部审计准则》中将内部审计定义为“在组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”此定义与IIA2004年的定义相比主要有以下区别:我国内部审计的职能是监督和评价,而IIA内部审计的职能是确认和咨询服务;我国内部审计的主要业务是监督和评价内部控制和经济活动,而IIA内部审计的主要业务是评价并改善风险管理、控制和治理过程的效果;我国内部审计目的是促进组织目标的实现,而IIA内部审计的目的是增加价值和改善组织的运营;国际内部审计允许外部化,我国则没有做出明确规定。我国内部审计的定位适应了我国内部审计的发展现状,但从长远看,可能会阻碍内部审计业务的拓展。在理论研究和实践探索上我们应紧随国际内部审计的发展趋势,抓住内部审计的未来发展机遇,保证内部审计人员具备面向未来的职业胜任能力和与时俱进的工作精神,推动我国内部审计的职业化并与国际接轨,促进我国内部审计的发展。
二、IIA内部审计定义的演进
( 一 )财务审计阶段 1947年国际内部审计师协会将内部审计定义为:“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。”该定义明确了内部审计的工作内容是审查财务会计和其它经营活动,不仅处理财务会计问题,也处理经营管理中的问题。首次将内部审计定位为“独立评价活动”,初次提出为管理服务的方向。但由于当时内部审计人员业务素质和地位较低,致使内部审计停留在财务审计阶段。
( 二 )经营审计阶段 随着经济活动的发展,内部审计职能逐步从财务审计过渡到经营审计,1957年IIA对定义修改为:“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。为管理提供服务,是一种衡量、评价其它控制有效性的管理控制。”这一新定义极大地提高了内部审计的地位。该定义虽然仍强调会计与财务审计的主导地位,经营审计也成为内部审计的重要内容,标志着内部审计由会计与财务审计向经营审计的过渡。
( 三 )管理审计阶段 (1)1971年定义。1971 年定义:“内部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其它控制有效性的管理控制”。定义取消了“建立在财务会计基础上”,保留了“建立在审查经营活动基础上”,这标明内部审计从财务审计向经营审计的方向发展。定义还明确指出,内部审计是一种管理控制。这说明内部审计从财务审计到经营审计再到管理审计的范围拓展得到确认。内部审计评价的范围已扩展到组织内部、应由内部审计评价的所有经营活动,已经与组织的重要事务紧密相连。当时的经营实践证明,在定义修改后审计人员用于财务、会计审计的时间不断减少,而用于经营活动审计的时间越来越多。内部审计正在由经营审计向管理审计方向发展。(2)1978 年的定义。1978年定义:“内部审计是建立在以检查、评价组织为基础的独立评价活动,并为组织提供服务。”该定义最重要的变化是将内部审计为管理服务改为为组织服务,为组织服务要求审计人员以整个组织为服务对象,而不是以某一管理部门或其一管理人员为服务对象。内部审计要站在整个组织的立场上观察和评价问题,为组织的长远的和全局的利益服务。次定义扩大了内部审计服务的范围,但是内部审计为组织服务的具体内涵尚未明确。(3)1990 年的定义。1990年定义:“内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。”该定义把内部审计定义为“组织内部的”服务工作,以与外部审计相区别。但为组织服务的具体内涵仍未明确。(4)1993 年的定义。1993年定义“内部审计是在组织内部建立的一种独立的评价职能,目的是作为该组织的一种服务工作,对其活动进行审查和评价,以合理成本促进控制工作的有效开展,以帮助组织成员有效地履行责任。”该定义首次解决了为组织服务的具体含义。本阶段的四次定义修订表明内部审计是管理的延伸,是组织管理活动的重要组成部分,内部审计的职能由经营审计扩大到管理审计阶段;并将管理服务改为为组织服务,使内部审计站在整个组织的立场上观察和评价问题,为组织的长远的和全局的利益服务,扩大了内部审计服务的范围,
( 四 )风险导向审计阶段 1999年定义“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率,它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。“这个定义同1993年定义相比,删除了“组织内部”。“组织内部”一词暗示着内部审计工作只能局限于组织内部,不利于外部借助内审工作,也不利于。这一删除预示着内部审计未来的活动空间更为广阔;内部审计可以借助外部力量,但组织内部的事不可能完全依赖外部力量来完成。随着内审在组织中的作用日益增强和影响范围的逐步扩大,用“咨询”取代“评价活动”,“评价和改进风险管理、控制和治理过程的效果”,预示着内部审计的发展进入了更高的层次和阶段,实现了由管理审计向风险评测估转变,由被动查出问题向主动提出解决问题的建议转变,使内部审计更具前瞻性、咨询性。2004年定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”该定义与1999年定义相比,服务的对象范围更加广泛,不仅为增加本组织价值提供服务,还为组织的所有利害关系人(如政府、股东、债权人、客户和委托人创造价值或利益)服务。2004年的内部审计定义从以下几个重要方面描绘了这一职业形象:(1)作为一项客观活动,并非必须在组织内部设立,可以通过外包来获得。(2)强调内部审计范围包括确认和咨询活动,内部审计是确认服务与咨询服务的统一体,突出内部审计要积极主动、以客户为中心,并关注内部控制、风险管理和治理过程的关键问题。(3)明确内部审计的目的是增加价值和改善组织运营,强调内部审计对各种组织的重要贡献。(4)新定义认为,控制的唯一目的是为了帮助组织管理风险、促进有效治理。这一观点大大拓宽了内部审计的范围,将其工作领域扩展到包括风险管理、内部控制和治理过程。(5)通过考虑整个组织,内部审计的使命更加广泛,使内部审计承担帮助组织实现整体目标的责任。在此定义中,内部审计关注组织治理,而组织治理也由以往的静态命令控制模式转变为与不断变化的经营风险相适应。传统的管理将注意力放在个别控制系统和经营机制上,而现代管理则强调总体管理理念,把总体管理控制系统与组织的长远目标联系起来,把目标的达成与可能发生的风险联系起来。因此,评价和改进风险管理、控制和治理过程,就必然成为内部审计的一项重要内容,将变化的风险管理模式融入内部审计程序,使内部审计更加关注风险管理,注重组织经营的未来风险。风险分析的方法和风险管理的原则,改变了内部审计计划和报告的方式。其实,风险导向审计也属于管理审计的范畴,只是其更强调关注组织治理框架中风险发现与风险管理,关注管理者及其管理经营行为可能出现的风险,关注组织在整个治理过程中的决策风险与经营风险。以上IIA内部审计定义的演变,体现了60 年来内部审计从会计的秘书,到一种独立的职业;从审查财务、会计,到评价和改进风险管理、控制和治理过程;从建立在组织内部,到对内外开展咨询服务;从为管理服务,到为组织实现其目标服务的转变。人们对内部审计的作用和地位的认识和期望,已经发生了深刻的变化,内部审计的职能己大大拓展。
三、IIA内部审计定义演进对我国内部审计发展的启示
( 一 )审计职能由监督评价向确认和咨询服务转变 随着我国市场经济的进一步发展,内部审计由监督型向服务型转变并与国际接轨是其发展的重要方向。确认服务是为独立评价组织的治理、风险管理和控制过程而对证据进行的客观检查,如财务、绩效、合规性、系统安全和尽职调查等;咨询服务是指咨询及相关的客户服务活动,其性质和范围需要与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。确认服务是在独立评价职能基础上发展而来,咨询服务是内部审计职业为了适应环境的需要而提出的。IIA2004年的内部审计定义强调内部审计的终极目标是增加组织价值。新的内审角色定位要求内部审计积极参与价值创造活动,只有不断创造价值才有在组织中存在的必要。内部审计部门有不同的服务群体,其增值形式也不同。经营管理层对内部审计增进其经营效率和效果的方法有兴趣,他们认为审计应通过识别改善经营的机会来增值,他们关心审计报告或审计过程中所提的建议,这更多的体现了定义中的咨询服务。审计委员会(董事会)相对内部控制的适当性、经营数据的可靠程度、法律和法规是否得到遵循、资产是否安全更感兴趣,这一部分增值更多地与确认服务相关。内部审计实现增值,就必须要注意咨询服务与确认服务的平衡。因为提供的咨询服务是否会损害其独立客观地提供确认服务,这是内部审计实现其增值目标所必须要考虑的。
( 二 )审计目标由查错防弊向增加价值和改善组织运营转变 传统的内部审计侧重查错防弊和对经营业务层的监督控制,使内部审计工作面临很大阻力,内部审计的监督效果大打折扣。实际上,内部审计和被审计对象的目标应是一致的,都是增加价值和改善组织的运营。在防风险、重控制、强监管的背景下,内部审计必须要转变目标理念,应由过去的查错防弊等一般防护性目标,转变到预测决策、献计献策等高层次的增加组织价值的目标导向上来。IIA颁布的《内部审计实务标准》规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。内部审计师应对运营和项目进行评价,以确保与组织的价值保持一致。”
( 三 )审计范围由财务收支领域向经营管理领域转变 内部审计的审计重点应从财务收支领域向经营管理领域延伸,重视风险管理。这些领域既要包括供、产、销等主要经营环节的各种具体业务,又要涵盖人、财、物的管理效率和管理水平。主要包括:(1)风险管理活动。根据COSO委员会(2002)企业风险管理的定义,企业风险管理涵盖了传统的交易事项、资产及营运的内部控制。2004年9月COSO正式的企业风险管理框架包括要素:内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。在瞬息万变、全球性竞争、各种新组织形式及先进的信息技术不断涌现的背景下,企业的经营环境日趋复杂,企业面临的风险大大增加。内部审计部门通过收集生产和销售过程中的资料,查明和评估企业存在的风险,将这些有价值的信息,以建议、忠告、报告或其它方式,通报给管理层,或全体人员,使组织增值。内部审计部门要有高度的职业责任感和敏锐性,努力扩充自己的相关专业知识,紧紧围绕企业风险管理的要素,计划和实施审计工作,促进并协助企业改进整个内部控制系统,避免遭受严重损失。(2)业务活动。通过审查企业材料采购、产品生产、销售等主要经营环节的具体业务活动,评价企业各项决策的正确性和各项管理规章制度的实际执行情况,考察专项业务活动是否达到预定目标,是否做到了高效率、高效益,为进一步提高专项业务活动的开展能力服务。(3)管理活动。通过审查评价各项管理措施是否有效、管理职能是否有效发挥,为改善企业的管理水平服务。(4)通过审查,考核企业领导干部任期经济责任的履行情况以及内部各单位、各责任中心经济责任的履行情况。
( 四 )审计时间由事后审计向全程审计、着眼未来转变 IIA内部审计定义指出内部审计的主要业务范围是“评价并改善风险管理、控制和治理过程的效果”,强调内部审计是对组织风险管理、内部控制和治理活动全过程的效果的评价与改善。我国《企业内部控制基本规范》也指出,“企业建立与实施内部控制应遵循全面性原则。内部控制应当贯穿决策、执行和监督全过程。”内部控制强调全过程控制,对内部控制负有监督、控制之责的内部审计,也将变为全过程审计即由传统的事后审计变为事前审计、事中审计与事后审计相结合。(1)事前审计。对组织的各项计划、预算和决策方案进行审计,以查明其制定的方法是否科学,所依据资料是否翔实,有关保证措施是否可行,并进行经济技术分析和论证,提出建议,作为组织编制各项计划和预算以及进行决策的参考。(2)事中审计。在计划、预算和决策方案的执行过程中,对计划实施、预算落实和决策方案执行情况进行审计,通过审计结果对实际的经济效益和工作业绩进行评价,以便及时纠正实施过程中存在的问题。(3)事后审计。定期对计划、预算和决策方案的完成情况进行全面综合的事后审查,评价实际执行情况,总结经验教训并提出改进意见。(4)预测。内部审计必须对组织面临的潜在风险进行预测,判断组织是否采取了适当的预防和应对措施,是否具有足够的抵御风险的能力。内部审计通过事前、事中和事后审计相结合,把审计工作贯穿生产经营管理全过程,并着眼未来预测,有助于降低组织运营风险、改进控制和治理、提高绩效,实现增值和改善组织运营的目标。
( 五 )审计机构由双重领导向审计委员会模式转变 随着现代企业制度的建立和公司治理结构的完善,越来越多的企业内部审计机构转向对董事会直接负责或对董事会下设的审计委员会负责,这种形式能减少股东和经营者之间的信息不对称,使股东利益得到有效保护,符合现代企业制度和完善的公司治理结构的要求,使内部审计机构既能作为企业自我约束的机构又能代表包括政府在内的所有投资者和债权人的利益。
( 六 )审计模式由经营层业务导向审计向战略层治理导向审计转变 IIA1999年以来的内部审计定义拓宽了内部审计的范围,将其工作领域扩展到包括风险管理、内部控制和治理过程。IIA颁布的《内部审计实务标准》2130 规定 :“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。”IIA内部审计定义为我国内部审计由经营层业务导向审计向战略层治理导向审计转变提供了国际借鉴。我国内部控制规范体系的出台,为内部审计由经营层业务导向审计向战略层治理导向审计转变提供了法规和制度保障。《企业内部控制基本规范》明确要求企业应当在董事会下设立审计委员会,构建了内部审计参与公司治理的桥梁和通道。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。《企业内部控制评价指引》指出,内部审计部门对内部控制有再控制和评价之责,有权直接向董事会及其审计委员会报告,内部审计部门必须接受审计委员会的职能监督,并通过审计委员会不受限制地接触董事会。在隶属关系上,内部审计部门不再由经营层领导,而是由董事会下设的审计委员会领导,直接对董事会负责,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够重视,进而提高内部审计的效率。这种转变体现了内部审计的服务范围和内容从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。
( 七 )内部审计外包将成为组织内部审计的新动向 1999年内部审计定义:审计主体既可以是组织内部的职能部门,也可以不是组织内部的职能部门,即内部审计主体可以向外发包,可以由第三方对内部审计工作进行投标,以获得对组织的内部进行内部审计的权利。但不能因此否认内部审计的存在和内部审计的重要性。由与组织的管理层为一体、充分了解组织情况并具有职业胜任能力的内部审计人员,履行内部审计职能是最佳的选择,但也不排除没有内部审计机构或人员的中、小规模组织,由外部审计机构或咨询组织来提供内部审计服务,即便是内部审计部门健全的大型组织中,很多情况下,仍需要具有特殊技能的外部审计人员协助其完成工作。在美国、加拿大等发达国家,内部审计已经开始由外部审计机构或咨询组织来代替,即内部审计外部化。组织选择“内部审计外包”重要标准是成本因素和质量因素。民间审计组织积极扩展服务领域,向组织提供内部审计服务;内部审计外部化,能够克服组织内部审计机构设置上的缺陷, 提供更具独立性和客观性的评价报告,同时降低组织雇佣成本, 实现价值最大化。以上两点是我国内部审计外部化的实现基础。通过合作内审实现内部审计外部化,其主要优势有:合作内审能实现对组织战略目标和组织经营情况的实时控制并保持内审的灵活性;合作内审可以使内部审计过程和结果符合组织的特定情况,使审计的工作结果更加符合组织的特定情况,使之更具针对性。
参考文献:
[1]边琪:《从内部审计定义的演变看内部审计职能的发展》,《商业经济》2006年第3期。
[2]〔美〕贝利、格拉姆林、 拉姆蒂著,王光远等译:《内部审计思想》,中国时代经济出版社2006年版。
一、内部控制评价与内部控制审计
内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。不可否认,对内部控制的有效性发表审计意见,本质上就是对内部控制做出的评价,属于“广义的”内部控制评价的范畴。
由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同,所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价,由企业自己完成,董事会对内控有效性所做评价负责;内部控制审计作为特定的外部评价形式,由会计师事务所完成,注册会计师对内控有效性发表的意见承担责任。笔者认为,在内部控制规范体系实施时间较短的情况下,如果从字面意思理解,把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈,很容易将内部控制评价和内部控制审计混淆。
二、内部控制评价与内部监督
开展内部控制评价需要“对内部控制的有效性进行全面评价”,而《企业内部控制基本规范》要求,企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中,内部监督“是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。所以,进行内部控制评价,必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念,发现两者的核心内容都是“评价内部控制的有效性”,如何理解二者之间的关系、有没有重复劳动?
笔者认为,企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一,两者都是自我评价,两个定义没有强调彼此差异;第二,在企业实施内部控制过程中,内部监督是贯穿始终的一个要素,基本规范第六章还详细列出了日常监督、专项监督等内容,可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说,而且,内部控制评价的内容还包括对“内部监督”的评价,如果套用内部监督的概念,内部控制评价是对“评价内部控制的有效性”的评价,这个表达确实不好理解。第三,在基本规范中,内部控制自我评价报告的内容出现在第五章“内部监督”部分,又让人感觉内部控制评价是内部监督的一个部分;但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”,明确表达了对包括内部监督在内的五个要素进行评价的思想,似乎不宜将内部控制评价视为内部监督的一部分。
虽然内部控制规范体系对内部监督和内部控制评价的规定,无论是条文安排方面还是概念的逻辑关系方面,都有可进一步探讨之处,但是规范体系对企业做的事情表述得很清楚:企业实施内部控制过程中,必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督;同时,还要根据基本规范和评价指引的要求,对包括内部监督在内的五要素进行自我评价。
三、内部监督与内部审计
内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会的《中国内部审计准则第1101号―内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。给人的感觉是,内部审计的一部分内容是“审查和评价内部控制的有效性”,与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”,而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里,内部监督、内部审计就像一对双胞胎,难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。
另外,内部控制基本规范规定,企业应“制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。显然,内部控制基本规范认为企业内部监督的主体主要就是内部审计机构(或经授权的其他监督机构)。也就是说,在实务工作中,内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分,因此有的人干脆把两者合二为一、不分彼此,统称“内部审计监督”。
但是,两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定,“内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明,内部审计机构和人员不得负责该单位内部控制的决策与执行,是独立于内部控制系统之外的一项审查评价活动。因此,内部审计当然也独立于内部监督之外,完全不是一回事更加不能相互替代。企业家们的困惑由此产生:内部控制规范体系要求企业建立与实施内部控制,而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员”,而且,后者规定两个系统必须相对独立,未必企业必须、且确有必要同时搞两套功能近似的内部管理系统?
笔者认为,内部审计、内部控制(包括内部监督)都属于企业内部管理的范畴,整体上属于企业内部事务,由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位,国家可能通过法规(规章和规范性文件)对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看,《中国内部审计准则》由民间机构中国内部审计协会,不具有法律约束力;企业内部控制规范由国家五部委联合,对相关企业具有强制力。因此,某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作,应视行业管理部门和企业主管机关的要求而定;如果没有这方面的要求,企业可以根据内部管理的需要,自主决定开展或者不开展内部审计和内部控制工作。
四、分属内部审计和外部审计的“内部控制审计”
企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述,企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念,指的是会计师事务所依照有关法规制度和审计指引的要求,对企业内部控制进行的审计;另一个是《中国内部审计准则第2201号内部审计具体准则―内部控制审计》第二条提出的,“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计,但是两者的差别还是比较明显:前者是企业内部控制规范体系的要求,本质上是内部控制的外部审计评价;后者是企业内部审计工作的一部分,本质上是企业自身对内部控制进行的内部审计评价。为便于表达,笔者将前者称为企业内部控制的外部审计,将后者称为企业内部控制的内部审计。
企业家们由此产生的又一个问题:内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价,应如何看待两者关系并组织实施?笔者认为,从制度规范的角度来看,内部控制评价和内部控制内部审计之间的关系,实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作,然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过,由于两者都是企业对内部控制进行的自我评价,评价主体、对象、采用的方法、评价的用途大同小异,在技术上可以相互借鉴。
五、内部控制、内部审计的组织实施
内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施,归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作,既是企业面临的现实问题,也是无法回避的理论问题。
文献对于内部控制与内部审计的关系有不同看法:第一种观点是,认为两者是相互交织、相辅相成共同构成的一个系统,而且不存在谁主谁次、谁包含谁的问题。如,田彦霞在《对内部控制与内部审计关系的探讨》中提出,内部审计是内部控制的重要组成部分,内部审计又是对内部控制的控制,二者相辅相成,缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出,内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是,内部审计是内部控制的一部分。如,胡以亮在《构建以内部审计为核心的内部控制框架体系》中,用北京市燃气集团构建的以内部审计为核心的内部控制框架为例,论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中,将整个内部控制体系划分为三个相对独立的控制层次,第一个层次是经济业务发生部门严格按照企业内部设计的程序,相互牵制开展业务活动;第二个层次是财务部门在事后建立起第二道监控防线;第三个层次是内部审计部门要建立起以查为主的监督防线,也是监督要素中的最高层次。第三种观点是,内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出,内部控制是内部审计的主要产品和对象,主要依据是,国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是,内部控制和内部审计是具有内在联系的两个独立体系。如,王华在《试论内部审计与内部控制体系的关系》中提出,两者之间既相互联系、又相互区别,既相互作用、又各自独立存在。
笔者认为,上述四种观点都有其合理性,实际工作中也都存在这四种做法。但是,应该注意到,内部控制、内部审计都是一个动态的、发展的、开放的概念;内部控制和内部审计的发展历史表明,两者无论是理论和实践中,还是内容和形式上,都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述,两者都将促进企业(组织)目标的实现作为自己的目标(或者目标之一),对于组织而言,这就是终极目标和最高追求;两者采用的方法并不存在绝对的边界和特殊范畴,而是都处于不断借鉴、吸纳、丰富和完善过程中。因此,从目前的情况看,企业在内部控制和内部审计的过程中,工作组织非常接近,两者发挥的作用也基本同质,如果已经实施了内部审计,也许稍加改造就能符合内部控制规范的要求;反之,如果有效实施了内部控制规范,很可能只要略微调整,也就达到内部审计工作的效果。
在实际工作中,企业可以在已经开展的内部监督、审计或者其他控制活动的基础上,根据有关方面或者自身需要做出适当完善,就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统,也能够承受相关成本,那么也可以设置两个相互独立的机构,分别开展内部审计和内部控制。换一个粗浅的说法,如果实施有效,内部控制和内部审计无需改头换面就能做到对方能做的事。
关键词:商业银行;绩效审计
中图分类号:F239.6 文献标识码:A 文章编号:1001-828X(2014)08-0242-01
“绩效审计”最早见于《内部审计人员》杂志的“经营审计”一文。最早关于绩效审计的论著在上世纪70年代就开始投入实践了。到了70年代末期,美国审计中绩效审计工作量占了整个工作量的80%,由此取得了理论与实践的双丰收。因此国际内部审计师协会认为有必要把这种方式推广到全球,于是《内部审计标准》的出版带来了全世界推行的,并且使在审计实践基础上的绩效审计不断丰富拓展开来。
绩效审计的目的在于促进和提高绩效责任,并在广泛的区域中得以更好的履行。要做到哪里有经济活动,哪里就一定有绩效审计。它具有的广泛的适用性,也使得传统的财务审计得以延伸,在选择审计目标,标准,方法上面跟传统的审计相比显出更加灵活与广泛的特性,因此绩效审计是审计发展的一个延伸。
一、绩效审计在商业银行中发展的历程
政府绩效审计工作的发展带来了商业银行绩效审计的发展。由1983国家审计署成立,到1998年在全国推行,再到2003年《审计署2003-2007年审计工作发展规划》的提出,我国的商业银行也在逐步的改进,建立起了绩效考核机制,在2003年绩效审计成为国家审计发展的同时,商业银行审计的重点开始向绩效审计转移。一直到2005年,当审计署将金融审计列入绩效审计的范畴时,绩效审计在商业银行也逐渐提上日程。在市场的发展中,商业银行通过构建科学的公司获得了上市资格,商业银行开始完善内部控制制度来满足监督要求,逐渐的把绩效审计列入到重点审计范围。
二、绩效审计对商业银行的意义
(一)对于商业银行制定和实施发展战略有利
商业银行依靠发展战略来使得银行保持持续经营,所以发展战略也是银行的一个重要管理活动之一,更是在实现引导企业潜力,实现经营目标,更好的应对日益故障的不断变化的外部环境的必然选择。绩效审计的开展,能够在战略管理过程中及时发现优点和不足,可以透视银行的战略是否适应经济社会的快速发展,是否与市场对接,以及员工对战略是否有一个全面的了解。这些都是对实现商业银行的战略目标起到了一个推动作用。
(二)对降低银行风险有利
每一个人都处在社会的大背景中,社会的活动导致每个人,每一个行业每天都要面对不同的风险,商业银行也是一样的,所以商业银行也要做好风险的管理。在这个管理的过程中,管理层通过绩效审计可以帮助管理层实现业绩和盈利的目标,方式资源流失的功能为面对风险的决策起到一个屏障作用。
(三)有助于银行内部控制制度的完善
绩效审计可以对商业银行内部进行深度检查,由此可见银行内控制度是否健全,是否得到了―个有效的控制,然后及时的发现和解决问题。
(四)对内部审计功能发挥有利
商业银行成为上市公司后,要求每家商业银行都要聘请外部会计师向社会公布财务报表。因为内部审计依旧具有发挥作用的空间,所以在一些审计的工作中,通过绩效审计对主要的一些经济活动进行系统的分析,提出建设性的建议。
三、商业银行绩效审计的具体过程
(一)聘用外部审计人员的审计流程
商业银行与聘请会计师在绩效审计方面的流程相似,唯一的区别就在于商业银行作为一个审计单位可以主动地参与到审计过程当中去。具体的流程如下:
1.业务约定书的签订。银行方面可以参与,目的是建立一个科学的考核体系。
2.审计方案的确定。包活了审计的一系列工作的进度与安排。
(二)使用内部审计人员的审计流程
内部审计作为银行内部部门可以对银行各项经济活动进行全面检查,有关极小问题进行分析,为银行提供经济管理信息,帮助银行实现绩效管理目标。内部与外部审计工作安排的根本不同在于,内部审计是银行内生的,因此内部审计渗透进了银行管理的全过程,可以帮助管理者充分认识到银行风险管理,风险控制的不足,利于银行实现绩效管理目标。
四、完善商业银行绩效审计的相关对策
(一)逐步完善商业银行绩效评价标准
商业银行以盈利为目的的,可以利用企业的绩效评论为借鉴,总结并设计出与自身发展相契合的管理绩效体系。完善前瞻性,科学性,可持续性的指标。在蓝本中,对于财务的指标相对来说比较看重,但是银行在设计指标的时候,不仅仅要关注财务指标,还要关注其他的指标。
(二)充分发挥内部审计的职能
内部审计的根本母的在于增加价值和改进组织的管理,以此来帮助组织实现战略目标,从这个目标来看,内部审计是一个变化范围在扩大的活动,它的范围从早期的防弊纠错向管理,绩效审计方面拓展。除了是原来的“卫士”更是当今的谋士。因此银行需要建立一套可行的制度,来保障审计内部人员有效地开展绩效审计工作。避免好的建议被置之不顾的局面出现。
(三)加强绩效理念的宣传
商业银行实施的审计大多是合规性审计,导致很多人认为不违规就行了,至于损失无关紧要,这种观点与银行的发展背道而驰,使银行绩效审计工作难以开展。因此商业银行要在不同场合宣传绩效观念,让员工奋进,创造价值。
(四)完善绩效审计所需的技术手段
在绩效审计中,传统的审计模式是无法与rr审计模式相比拟的。要利用好IT审计模式,需要工作人员的学习,在面对商业银行分公司多,每天要处理的业务量比较大,管理活动也比较复杂,这些都需要一个大容量,高效率,可操作性强的审计信息系统来帮助商业银行管理重要的环节,对商业银行进行有效的监督和绩效考核。通过这种方式,审计人员及时的收集,分析,处理各种信息。对经营的具有经济型,效率性,效果性特点的事物做出合理的判断,把银行的绩效审计工作提升到一个全新的台阶。促进商业银行的新发展。
参考文献: