赵 健 合伙人郭松波 副总监德勤北京事务所德勤大连事务所企业风险管理服务
内部审计不仅是现实资产的守护者、财务账表的复核者、会计核算的勾稽者,更是强化管理的促进者、提高效能的推动者、价值增值的促导者。内部审计必须以“强管理、防风险、促发展”为己任,积极探索以“风险为导向、控制为主线、治理为核心、发展为目标”的管理审计和绩效审计,积极探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式。
——刘家义 (国家审计署署长)
细心观察,我们也能发现,当代国际内部审计界自20世纪90年代以来一直在悄然地发生着变化,内部审计向更高阶段转型是整个业界的大势所趋。20世纪90年代以来,企业所面临的经营环境发生了重大变化:经济全球化且竞争日趋激烈,信息技术及其应用迅速发展,跨国间的收购、兼并与战略联盟成为当代企业战略管理的重要内容,并由此促使企业管理不断变革。这些环境变化直接导致企业所面临的不确定性大大提高,风险不断增大。这些环境变化以及相应的种种风险,导致企业对内部审计的期望发生改变,政府监管部门、社会公众、企业的治理层、管理层对内部审计的必要性和重要性有了新的认识。内部审计逐渐成为“聚光灯下的职业”,以风险为导向、以控制为主体、以增值为目标的内部审计新模式正在成为主流。内部审计将从以前消极地以“发现和评价”为主转向积极地“防范风险和推进解决问题”,从单纯强调内部控制转向积极关注、利用各种方法来改善公司的风险管理和经营业绩。
当前,大部分国内企业的审计部门仍以传统的财务审计为主,中国内部审计协会在《国有企业内部审计发展报告》一文中也强调,“目前,国有企业财务审计虽已出现由占主导地位开始逐步弱化的趋势,但财务审计作为内部审计的基础性工作,仍占据主要位置”。但我们注意到这种情况正在发生变化,愈来愈多的企业正在与包括德勤在内的咨询机构频繁接触,探讨中国企业在全球变化的背景下如何实现内审的转型。
我们认为,从全球来看,随着对公司治理、风险管理、内部控制和道德规范的关注度日益提高,内部审计也将受到相应影响。而且整个亚太、大中华地区的法规日益严格,要求企业改进管理体系并增加财务报告的透明度。 机遇与挑战总是并存的,现在正是内部审计人员的最佳时机,内审人员要看到“危”中有“机”,以危机和风险管理为契机,实现内部审计的渐进式转型,与管理层更密切地交流合作,在改善企业成本、提升企业运营效率等方面发挥更大的作用。
一、全球内部审计的发展趋势
由于全球的经济危机和不确定性愈加频繁,内部审计正在企业中发挥着愈来愈重要的作用和影响。企业和各类机构都在积极地探索内部审计的未来发展趋势。目前,国际内部审计师协会已成立专门小组研究内部审计未来的发展趋势。德勤的研究表明,领先的内部审计机构正处在“当前主流”的模式,部分优秀企业已经开始过渡到“未来阶段”。
综合起来,全球内部审计的发展可以总结为以下几点:
从“以控制为导向”到“以风险为导向”。
在过去,控制导向审计是内部审计人员普遍使用的审计方法。内审人员将重点放在企业的合规性上,容易忽略企业的战略目标和愿景。因而,内审在应对企业的风险方面没有起到实质性作用。企业已经认识到这一审计模式带来的许多问题,例如严格的控制阻碍了组织程序的正常运作,沟通变得更加困难等。
有风险才会有控制。不进行风险评估而想得到有效的评价控制是不可能的。最新的控制模型,如美国的COSO报告将风险评估列为控制的核心,以风险评估为基础的风险导向审计使内审人员开始关心企业所面临的风险,将内部审计步骤同企业目前的战略目标和企业环境结合起来。
从“执行者”到“制定者”。
传统的内部审计所制定的内控条例经常与企业实际的运营是脱节的,而在这种情况下的内控制度只能用来监督控制企业运营的合规性,防止舞弊等事情的发生,保证企业按照国家有关法律合理地运作。但是,在形势日新月异的今天,这种僵硬的执行性控制模式无法适应企业快速的节奏,反而会使企业错失发展的机遇。
因此,当今一个优秀的内审部门,将参考业绩的评估和各利益相关方的预期,综合自己内部审计的战略规划,依据审计委员会和企业管理层的需求,来制定并执行审计计划。从而能够保证在内审规范下的企业按照其战略目标发展下去。
从“人工手动”到“系统评估”。
随着企业活动的复杂性的增加,涉及的领域越来越广泛,传统的人工式的内部审计的效率已经无法达到内部控制的要求,而且人工很难发现那些隐藏在深处的舞弊和漏洞。因此,近几年来,计算机辅助审计技术已经被广泛地运用到企业的内部控制审计活动中,以便以最具效率和效能的方式实现以上目标。
二、国内企业内部审计现状
针对国内企业内审情况,德勤曾连续多年对企业内审、内控建设情况进行问卷调查,通过对调查结果的分析,我们可以看到内部审计工作在实际开展中既存在令人欣喜的“亮点”,又有催人深思的“难点”,具体来说,表现为以下两个方面:
亮点1:宏观经济的波动为内审的地位提升和转型提供了良好契机。
内部审计作为企业自我约束机制的重要组成部分,其在企业风险防范的过程中理应发挥重要的作用。国资委《中央企业全面风险管理指引》中对企业的风险管理工作提出三道防线,即“各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线”。
而在现实中,由于我们国家的内审工作起步晚,部分企业对内审在促进企业发展、实现风险防范方面的作用认识不足,管理层“对内部审计职责和功能的认识仍然停留在查错纠弊的层次上,或者将审计工作与纪检监察工作等同起来或相混淆,将其定位在查处违法违纪违规上,有的甚至将企业自主经营与加强内部审计工作对立起来”。自2008年金融危机以来,国际国内宏观经济的大幅度波动,使得企业管理层提高了对风险管理和内部控制的重视程度,而内部审计作为公司风险管控的重要的一环,对其重视程度也相应地提高,现在在审计工作中事前事中审计增多,内审人员更多地参与了流程前端的风险防范工作,这表明金融危机为企业管理层对风险控制以及内部审计的观念转变提供了良好的契机。
亮点2:内部控制审计的基础日趋成熟,正在向纵深发展。
内部控制审计在国内的发展时间不长,在国内整体公司治理不规范,基础管理工作不到位的情况下,其发展受到比较大的影响。因此,内部控制体系的健全与否对开展内控审计工作具有重要的意义。
自2007年起,德勤连续对中国上市公司展开相关调查。连续四年的调查结果表明,上市公司对内部控制的重要性和工作思路的认识持续加深,采取了一系列措施来加强和完善内部控制,不仅为了回应监管要求,越来越多的上市公司开始以合规为契机,寻求管理和运营方式的变革和提升。
2011年数据显示,93%的受访者认为“应设置独立、权威的内部审计机构,对内部控制的执行情况进行监督”。此观点与《企业内部控制基本规范》对内部审计应加强内部控制监管的规定一致。
虽然调查展现出令人欣喜的亮点,但还是存在着一些问题或者说是难点,需要在今后的工作中予以关注,归纳起来,大至有以下两个方面:
难点1:内部控制审计的转型仍然缺乏可执行的标准和依据。