赵 健 合伙人
郭松波 副总监
德勤北京事务所
德勤大连事务所
企业风险管理服务
内部审计不仅是现实资产的守护者、财务账表的复核者、会计核算的勾稽者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者。内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。
——刘家义(国家审计署署长)
细心观察,我们也能发现,当代国际内部审计界自20世纪90年代以来一直在悄然地发生着变化,内部审计向更高阶段转型是整个业界的大势所趋。20世纪90年代以来,企业所面临的经营环境发生了重大变化:经济全球化且竞争日趋激烈,信息技术及其应用迅速发展,跨国间的收购、兼并与战略联盟成为当代企业战略管理的重要内容,并由此促使企业管理不断变革。这些环境变化直接导致企业所面临的不确定性大大提高,风险不断增大。这些环境变化以及相应的种种风险,导致企业对内部审计的期望发生改变,政府监管部门、社会公众、企业的治理层、管理层对内部审计的必要性和重要性有了新的认识。内部审计逐渐成为“聚光灯下的职业”,以风险为导向、以控制为主体、以增值为目标的内部审计新模式正在成为主流。内部审计将从以前消极地以“发现和评价”为主转向积极地“防范风险和推进解决问题”,从单纯强调内部控制转向积极关注、利用各种方法来改善公司的风险管理和经营业绩。
当前,大部分国内企业的审计部门仍以传统的财务审计为主,中国内部审计协会在《国有企业内部审计发展报告》一文中也强调,“目前,国有企业财务审计虽已出现由占主导地位开始逐步弱化的趋势,但财务审计作为内部审计的基础性工作,仍占据主要位置”。但我们注意到这种情况正在发生变化,愈来愈多的企业正在与包括德勤在内的咨询机构频繁接触,探讨中国企业在全球变化的背景下如何实现内审的转型。
我们认为,从全球来看,随着对公司治理、风险管理、内部控制和道德规范的关注度日益提高,内部审计也将受到相应影响。而且整个亚太、大中华地区的法规日益严格,要求企业改进管理体系并增加财务报告的透明度。机遇与挑战总是并存的,现在正是内部审计人员的最佳时机,内审人员要看到“危”中有“机”,以危机和风险管理为契机,实现内部审计的渐进式转型,与管理层更密切地交流合作,在改善企业成本、提升企业运营效率等方面发挥更大的作用。
由于全球的经济危机和不确定性愈加频繁,内部审计正在企业中发挥着愈来愈重要的作用和影响。企业和各类机构都在积极地探索内部审计的未来发展趋势。目前,国际内部审计师协会已成立专门小组研究内部审计未来的发展趋势。德勤的研究表明(如表1所示),领先的内部审计机构正处在“当前主流”的模式,部分优秀企业已经开始过渡到“未来阶段”。
综合起来,全球内部审计的发展可以总结为以下几点:
从“以控制为导向”到“以风险为导向”。
在过去,控制导向审计是内部审计人员普遍使用的审计方法。内审人员将重点放在企业的合规性上,容易忽略企业的战略目标和愿景。因而,内审在应对企业的风险方面没有起到实质性作用。企业已经认识到这一审计模式带来的许多问题,例如严格的控制阻碍了组织程序的正常运作,沟通变得更加困难等。
有风险才会有控制。不进行风险评估而想得到有效的评价控制是不可能的。最新的控制模型,如美国的COSO报告将风险评估列为控制的核心,以风险评估为基础的风险导向审计使内审人员开始关心企业所面临的风险,将内部审计步骤同企业目前的战略目标和企业环境结合起来。
表1 内部审计的发展趋势
从“执行者”到“制定者”。
传统的内部审计所制定的内控条例经常与企业实际的运营是脱节的,而在这种情况下的内控制度只能用来监督控制企业运营的合规性,防止舞弊等事情的发生,保证企业按照国家有关法律合理地运作。但是,在形势日新月异的今天,这种僵硬的执行性控制模式无法适应企业快速的节奏,反而会使企业错失发展的机遇。因此,当今一个优秀的内审部门,将参考业绩的评估和各利益相关方的预期,综合自己内部审计的战略规划,依据审计委员会和企业管理层的需求,来制定并执行审计计划。从而能够保证在内审规范下的企业按照其战略目标发展下去。
从“人工手动”到“系统评估”。
随着企业活动的复杂性的增加,涉及的领域越来越广泛,传统的人工式的内部审计的效率已经无法达到内部控制的要求,而且人工很难发现那些隐藏在深处的舞弊和漏洞。因此,近几年来,计算机辅助审计技术已经被广泛地运用到企业的内部控制审计活动中,以便以最具效率和效能的方式实现以上目标。
针对国内企业内审情况,德勤曾连续多年对企业内审、内控建设情况进行问卷调查,通过对调查结果的分析,我们可以看到内部审计工作在实际开展中既存在令人欣喜的“亮点”,又有催人深思的“难点”,具体来说,表现为以下两个方面:
亮点1:宏观经济的波动为内审的地位提升和转型提供了良好契机。
内部审计作为企业自我约束机制的重要组成部分,其在企业风险防范的过程中理应发挥重要的作用。国资委《中央企业全面风险管理指引》中对企业的风险管理工作提出三道防线,即“各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线”。
而在现实中,由于我们国家的内审工作起步晚,部分企业对内审在促进企业发展、实现风险防范方面的作用认识不足,管理层“对内部审计职责和功能的认识仍然停留在查错纠弊的层次上,或者将审计工作与纪检监察工作等同起来或相混淆,将其定位在查处违法违纪违规上,有的甚至将企业自主经营与加强内部审计工作对立起来”。自2008年金融危机以来,国际国内宏观经济的大幅度波动,使得企业管理层提高了对风险管理和内部控制的重视程度,而内部审计作为公司风险管控的重要的一环,对其重视程度也相应地提高,现在在审计工作中事前事中审计增多,内审人员更多地参与了流程前端的风险防范工作,这表明金融危机为企业管理层对风险控制以及内部审计的观念转变提供了良好的契机。
亮点2:内部控制审计的基础日趋成熟,正在向纵深发展。
内部控制审计在国内的发展时间不长,在国内整体公司治理不规范,基础管理工作不到位的情况下,其发展受到比较大的影响。因此,内部控制体系的健全与否对开展内控审计工作具有重要的意义。
自2007年起,德勤连续对中国上市公司展开相关调查。连续四年的调查结果表明,上市公司对内部控制的重要性和工作思路的认识持续加深,采取了一系列措施来加强和完善内部控制,不仅为了回应监管要求,越来越多的上市公司开始以合规为契机,寻求管理和运营方式的变革和提升。
2011年数据显示,93%的受访者认为“应设置独立、权威的内部审计机构,对内部控制的执行情况进行监督”。此观点与《企业内部控制基本规范》对内部审计应加强内部控制监管的规定一致。
虽然调查展现出令人欣喜的亮点,但还是存在着一些问题或者说是难点,需要在今后的工作中予以关注,归纳起来,大至有以下两个方面:
难点1:内部控制审计的转型仍然缺乏可执行的标准和依据。
虽然绝大多数企业从管理层面上已经认识到了内控审计的重要性,但从操作层面上看还是过于笼统。此外,由于内控审计本身在国内还处于一个发展阶段,在实施的技术以及机制等方面还有很多工作需要完善。公司董事会、高管层对于内部审计性质、目标、职能等基本问题的认识还不是特别充分,使得财务审计、合规性审计仍占据了内审人员大部分的工作时间,运营审计、风险管理审计、内部控制审计等增值型审计的开展仍不够全面和深入。
难点2:风险分析技术的运用以及风险管理审计工作的开展仍停留在理念阶段。
风险管理审计与传统的内审工作相比,在技术工具的使用上有较大的差别,特别是在风险识别和风险评估方面。而根据我们的调查,仅有21%的受访者认为本企业的内审人员在上述方面已具备了足够的能力。具体到内审部门对公司总体以及各业务活动的风险偏好/风险承受度等的了解,仅有37%的受访者认为,他们比较清楚地了解,其他人员则表示不清楚或不确定。这表明,快速提升内审人员自身在风险管理方面的知识和能力是未来推动风险管理审计工作的重要的一步。
另一方面,公司风险管理体系的建立相对滞后也对风险管理审计产生重要影响。风险管理审计作为企业风险管控体系的重要一部分,其发展成长是与企业整体的风险管理体系的发展密切相关的。但由于企业风险管理体系还处于初步阶段,如17%的受访者表示公司已经系统、全面地识别并评估了公司各项流程中的风险,37%的受访者认为企业已经建立了面对重大风险的风险预警及报告机制,以上数据表明,还有大量的企业未能建立完整的风险管理体系,因此也制约了风险管理审计技术的发展及应用。
除此之外,我国企业的内控审计还存在着内审人员专业素质不足,对于计算机辅助审计程序等运用不熟悉;企业对于内部审计部门的定位还不甚清晰;内部审计部门的独立性不高,导致内审报告的质量受到影响;企业对于具体的风险分析技术的运用以及风险管理审计工作的开展仍停留在理念阶段等限制。
内审转型不意味着取消传统的审计业务,而在于兼收并蓄、整合提升,一方面稳固并强化传统的财务收支审计,另一方面逐步将财务收支审计与内部控制审计、风险管理审计融合、互动发展,同时要充分考虑国际内审发展的一些新趋势,将其与现有内审技术融合。国内内部审计的发展与转型应充分考虑国际内审发展的一些新的动向,这些新动向重点体现为以下几个方面:
未来五年影响内部审计发展的重大趋势:
· 风险管理
· 信息技术
· 公司治理
· 新法规、道德和合规要求
· 全球化
未来五年愈加重要的内审职责:
· 持续监控/持续审计
· 风险管理审计
· 舞弊预防与侦测
· 信息技术审计
· 公司员工教育和培训
未来五年最重要的内审技能:
· 风险导向的年度审计计划的编制
· 风险评估与分析技术
· 信息技术
· 风险管理协调
· 舞弊侦测
企业内审转型是一个渐进的过程,既要考虑到转型的大方向,又要结合企业的实际情况,走自己的路;企业要建立风险导向型的内部审计,需要在现有审计体系中重点关注以下五个要素,即战略和价值定位、组织架构、工作流程、人力资源、技术手段(如图1所示)。
图1 风险导向型内部审计
就中国企业而言,由于内审水平参差不齐,内审转型不是一促而蹴,德勤基于对国内企业转型的研究,总结出中国企业转型的一般模式(如图2所示)。
我们将内部审计转型大体分为四个阶段,即内部审计传统业务的规范化阶段、传统审计业务提升与扩展阶段、内部控制审计全面化、常规化阶段,最后过渡到成熟的风险管理审计阶段,后一个阶段是对前一个阶段的“扬弃”和兼收并蓄。每个阶段对风险的关注程度(成熟度)逐步提升。
在明确了未来的内审转型方向后,我们认为,国内企业近期可结合监管机构要求,通过以下工作逐步推进内审转型。
重点工作一:以财政部等五部委的《企业内部控制基本规范》的实施为契机,进一步深入研究内部控制审计的工作模式和方法,加大内部控制审计在内部审计工作中的比重,并将传统审计业务与内部控制审计有效融合,促进公司内控体系建设,具体包括:
· 结合公司业务目标和风险以及《企业内部控制基本规范》,制定或完善内部控制审计标准,包括明确内部控制测试的方法、工具以及工作模板等;
· 明确内部控制审计范围,不仅应覆盖具体的产供销及人财物等业务流程,而且要对公司的战略、组织结构、企业文化、社会责任、公司治理等“软控制”进行评估和审计;将内部控制审计与传统财务收支审计、经营绩效审计以及经济责任审计等有机结合,互为补充,逐步进行融合;
· 着力培养IT控制审计人才、探索IT控制的审计方法。
图2 内部审计的发展路线图
资料来源:德勤内部审计研究 2006。
重点工作二:在内部控制审计的基础上,尽快探索风险管理审计的工作模式并在审计的全过程逐步运用风险管理技术,逐步将内部控制审计与风险管理审计更好地融合起来,具体包括:
· 优先推行风险评估基础上的年度审计计划,并在常规审计过程中,提升风险识别、分析、评估的技术方法和手段,研究专项领域的风险应对策略和控制方案,逐步推进风险管理审计的开展;
· 正确定位内部审计在企业风险管理中的角色,将内部控制审计作为风险管理审计的一个重要的组成部分,从以下角度尝试开展风险管理审计,例如:
· 协助组织系统地识别、分析和评估风险;
· 确定组织是否恰当考虑了风险的相互影响 ;
· 协助组织确定日常风险管理是否与其风险承受能力相匹配 ;
· 通过内部控制审计推进风险控制措施的改善与落实;
· 提供主要风险领域(如并购、海外拓展以及舞弊等)的专业知识和意见,研究消除风险管理低效的手段 ;
· 为公司员工提供风险管理技术培训。
· 对于已经开展企业风险管理体系建设的公司,内审应该考虑对企业风险管理的全流程进行定期审计。
图3所示是一家国内大型企业集团内部审计的转型经验,我们看到,向风险管理审计转型,对于中国企业来讲需要一个渐进的过程,既要考虑到转型的大方向,又要结合企业的实际情况,走自己的路。
图3 内部审计的转型经验
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。