2010年4月,财政部、证监会等五部门出台了《企业内部控制配套指引》(18个应用指引,1个评价指引和1个
审计指引),连同2008年6月发布的《企业内部控制基本规范》,我国的内部控制规范体系已经建成。内部审计既是企业内部控制机制的重要组成部分,又是监督与评价内部控制的主要手段。笔者认为,在内控规范体系出台后,内部审计已由幕后走向前台,内部审计理念将发生以下四个转变:即从财务审计向财务报告内部控制审计转变;从经营层业务导向审计向战略层治理导向审计转变;从事后审计向全程审计转变;从查错防弊导向审计向价值增值导向审计转变。 一、从财务审计向财务报告内部控制审计转变 传统的财务审计强调的是结果理性,而忽视了对生成
财务报表的内部控制系统的过程理性的审计。近几年,公司倒闭大多与公司内部控制失效、无法提供必要的和可靠的财务信息有关。笔者认为,要解决公司财务信息不真实、财务报告误报的灾难性问题,关键在于建立有效的内部控制机制和发挥作用的内部审计。《萨班斯—奥克斯利法案》(下称萨班斯法案)404条款要求经营层在会计师事务所对财务报告内部控制审计之前对本组织内部控制状况进行自我评价,并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的,其执行状况和有效性由管理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对本公司的内部控制状况进行评价,向高级经理层提交内部控制评价报告,高级经理层认可后才能向会计师事务所提交。这样一来,就把内部审计人员从“后台”推向了“前台”,本组织的内控状况不佳,内部审计人员也有不可推卸的责任。《企业内部基本规范》第十五条明确指出,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。《企业内部控制评价指引》和《企业内部控制审计指引》也明确指出,内部审计部门对内部控制的设计和运行具有不可推卸的评价和监督职责。这就为内部审计向财务报告内部审计转变提供了法理依据,内部审计由结果理性的财务审计向程序理性的财务报告内部控制审计转变是势所必然。 二、从经营层业务导向审计向战略层治理导向审计转变长期以来,我国内部审计一直处于经营层业务导向审计的范畴,许多企业的内部审计机构是在总经理或副总经理的经营层领导之下,甚至有一部分是由负责财务的总会计师或者负责财务的副总经理主管。这种把内部审计的地位限制在总经理或负责财务的副总经理的经营层级以下,实质就是经营层业务导向审计,而战略决策层相关的审计成为内部审计的盲区。同时由于我国企业的组织架构中,审计委员会制度不健全或形同虚设,阻塞了内部审计由经营层业务导向审计向战略层治理导向审计的上升路径。 我国内部控制规范体系的出台,为内部审计由经营层业务导向审计向战略层治理导向审计转变提供了
法规和制度保障。首先,《企业内部控制基本规范》明确要求企业应当在董事会下设立审计委员会,构建内部审计参与公司治理的桥梁和通道。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。同时,《企业内部控制评价指引》明确指出,内部审计部门负有对内部控制的再控制和评价之责,有权直接向董事会及其审计委员会报告,内部审计部门必须接受审计委员会的职能监督,并通过审计委员会不受限制地接触董事会。在隶属关系上,内部审计部门不再由经营层领导,而是由董事会下设的审计委员会领导,直接对董事会负责,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。其次,《企业内部控制基本规范》体现了内部审计部门向董事会(审计委员会)和经营层(总经理)双轨报告、双重负责的模式。职能性审计报告向审计委员会报告,而行政性审计报告向经营层报告。这种转变体现了内部审计的服务范围和内容从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。 三、从事后审计向全程审计转变 《企业内部控制基本规范》指出,企业建立和实施内部控制制度应遵循“全面性”原则,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。内部控制强调全过程控制,包括事前控制、事中控制、事后控制,那么作为对内部控制负有监督、控制之责的内部审计,也必将变为全过程审计,由传统的事后审计变为事前审计、事中审计与事后审计相结合。 (一)事后审计的内部控制功能与作用 事后审计是我国传统内部审计的方式,主要侧重于事后的监督和评价,对内部控制进行查缺补漏。事后审计是对内部控制制度进行内省反思的过程,其侧重点包括战略的正确性、财产的安全性、法规的遵循性、财务报告的可靠性及经营的效率效果性,企业对在监督检查过程中发现的内部控制缺陷,应当采取适当的形式及时进行报告。当经济活动结束后,内部审计人员应对计划、决策的完成情况作出全面、综合的审查、分析和评价,总结经验教训,并提出改进意见。企业应当分析内部控制缺陷产生的原因,并有针对性地提出和实施改进方案,不断健全和完善企业内部控制。对于监督检查中发现的重大缺陷或者重大风险,应当及时向董事会、审计委员会和经理汇报。 (二)事中审计的内部控制功能与作用 事中审计侧重于审计的实时性,对内部控制制度的建立和执行过程进行实时跟踪,借助于网络技术、信息技术和软件技术,实时审计和远程审计都将成为可能。内审人员要进行跟踪审计调查,对计划的实施、方案的落实和决策的执行、经济效益和工作效果进行分析。实时审计能够及时纠正内控制度制定过程中对既定战略目标的偏离倾向和执行过程中发生的偏差,实现对生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的实时监控,不断提高内部控制的效率与效果。在实施事中审计过程中,内审人员应重点关注以下领域和环节:在财务报告和信息披露方面弄虚作假;未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产;在开展业务活动中非法使用企业资产牟取不当利益;企业高级管理人员舞弊给企业内部控制和经营管理可能造成的重大影响;员工单独或者串通舞弊给企业造成损失。对在监督检查中发现的违反内部控制制度的行为,应及时通报情况和反馈信息,并严格追究相关人员的责任,维护内部控制制度的严肃性和权威性。 (三)事前审计的内部控制功能与作用 事前审计是一种积极防御性审计方式,审计关口前移,体现了“要我审计”到“我要审计”的理念的转变;体现了审计的"免疫系统"功能的转变。事前审计的控制功能与作用突出体现在对事前控制标准的制定和控制环境的改善等方面。内审人员要对企业的计划、决策进行审计,审查决策方法的科学性,审查决策所依据的资料、数据的可靠性,审查决策有关保证措施的可行性和执行情况与结果。在企业经营决策过程中,内审机构应积极参与项目可行性研究,对各方面进行经济技术分析和论证,提出自己的意见,作为企业的决策参考。事前审计实质上是对内控体系进行风险评估和识别的过程,防患于未然,最大限度地保证企业战略目标的实现和财产的安全完整。事前审计强调在内控制度建立和执行之前就对风险进行评估,及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。内审人员应当根据风险分析的结果,依据风险的重要性水平,运用专业判断,按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序,确定应当重点关注的重要风险。内审人员应当充分关注包括经营层凌驾、串通舞弊、人为错误或者疏漏、制度滞后等内部控制的局限给企业带来的风险,并采取适当的措施将可能发生的风险控制在合理的范围之内。内审人员应当根据风险分析情况,结合风险成因、企业整体风险承受能力和具体业务层次上的可接受风险水平,确定风险应对策略。风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。事前审计是一种积极预防性审计方式,是内部审计未来发展的方向。 四、从查错防弊导向审计向价值增值导向审计转变传统内部审计侧重于查错防弊和对经营业务层的监督控制,甚至和作为被审对象的经营业务层形成了对立面,使内部审计工作阻力重重,内部审计的监督职能效果大打折扣。实际上,内部审计和作为被审对象的管理层目标应是一致的,都在于实现组织目标和增加股东价值。在防风险、重控制、强监管的时代背景下,内部审计必须要转变目标理念,应由过去的查错防弊等一般防护性目标,发展到预测决策、献计献策等高层次的增加组织价值的目标导向上来。正如国际内部
审计师协会颁布的《内部审计实务标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。内部审计师应对经营和管理项目进行评价,以确保经营管理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。” 内部审计创造价值的途径是提供有价值的信息,其增值功能的实现是一个间接的过程。恰当的内部审计,还会起到优化企业内部价值链的每个连接和降低连接间的协调成本的作用。内部审计创造的价值表现为显性价值和隐性价值:内部审计通过自己的努力帮助组织预防和减少损失,提高组织运行效率,当内部审计成本小于损失的减少时,企业的价值就增加了,这是内部审计创造的直接价值,也是显性价值。除此之外,由于内部审计天然的监督职能,还会产生“威慑价值”,即无论内部审计是否发现了问题,由于在公司治理架构中有其存在,客观上会对组织内的包括总经理在内的各级管理者产生震慑作用,使其尽忠勤勉职责,避免偷懒和机会主义行为,并努力改善他们的工作绩效,以应对内部审计的监督和检查。当然,这种被动的“自控”行为客观上导致了组织价值的增加,这种“威慑价值”的实质也是潜在价值、隐性价值。(栏目:
财务审计报告/)
