邱伟文
内部审计并非诞生于20世纪初,它是企业发展规模逐渐扩大,为适应管理需求多样化、复杂化的产物。随着世界经济繁荣和萧条的几番更替,无论在发达国家还是在发展中国家,也不论企业的规模大小、产业和类型,为何内部审计都受到广泛的重视?内部审计在国外的发展历程如何?未来将呈现怎样的发展趋势?文章将作出详细解答。
在2001年11月的美国安然公司财务舞弊事件中,唯一获判无罪的高层管理人员就是安然的首席内审员。2002年5月,世界通讯公司再度爆发财务丑闻,其虚构的近100亿美元利润创下了财务舞弊的世界记录。与安然事件类似,世通的财务舞弊也是由三位内审人员在执行内审工作过程中发现的。他们不计个人安危、忠于职守、排除种种困扰、承受巨大的压力,毅然将世通的舞弊行为昭示于天下。
在上述各案中,尽管内审人员都恪尽职守,但为何仍阻挡不了此类弊案的发生?是企业的外部环境发生了变化?是企业对绩效的追逐已超过对高层主管道德价值和企业良心的关注?还是影响企业有效运作的基础框架已年久失修、不堪重负呢?这对处于内审领先地位,向来对企业执行严格监管的美国及其相关监管单位,不啻于巨大的耻辱和一个当头棒喝;而全球企业也都开始重新思考内审在企业中所扮演的角色、应起到的作用,并且审视包含公司层面在内的内部控制制度是否完善,应如何完善。《萨班斯-奥克斯法案》也在此背景下应运而生。在此期间,内审和审计委员会,似乎被企业和多数企业利益相关团体视为维护企业道德文化的最后一道防线。
国外内审产生的背景
19世纪末、20世纪初,托拉斯和康采恩等组织快速发展和扩张,逐渐在主要资本主义国家中占据了垄断地位。例如,1901年,美国钢铁公司垄断了全国钢产量的65%。这些经营规模庞大的企业,经营地点分散,经营业务复杂,高层管理人员无法像以前那样在所有的经营活动上亲历亲为,由此,分权管理和多级控制逐渐成为大型企业的管理方式之一。然而这种营运模式要想运作有效,势必需要建立适当的制度和程序以规范员工在日常营运作业中的合规合理性。
除此之外,也需要有一个独立的专职部门去审查、评价和报告这些作业执行的结果,并做出适时的反馈。一个与业务控制并列但相对独立的控制机制———内部审计便由此诞生。1875年,德国最大的军火制造商蒂森克虏伯公司开始设置内审部门,美国则在铁路行业最先配备内审人员。
国外内审的发展
随着资本主义经济的发展,大型企业的迅速崛起,企业对内部经营管理、控制和监督的需要也逐步提高。20世纪初,内审在美国问世,并随即在英国和日本快速发展。数十年来,其职能也从以查找错误为导向,单纯的监督、控制以及保护企业财产的“警察”角色,发展至今日以企业风险管理为导向,协助企业达成目标、提供咨询,并成为CEO和CFO不可或缺的企业伙伴。下面,我们将对内审发展的四个主要阶段进行探讨。
以“控制”为导向的内审阶段 20世纪40至60年代,在内审制度产生的初期,企业只在总公司一级设立内审机构,实行自上而下的巡回式审计,一般由会计部门领导,实质上履行的是会计监督职能。为了独立和及时开展审计工作,第二次世界大战后,许多西方企业纷纷建立了专门且独立的内审部门,并成为公司控制系统中的核心环节,主要从财会资料和财务收支出发,关注对交易事项记录的核实、比对以及合规的检查,这是一种事后的控制机制。
以“流程”为导向的内审阶段 不同于上一阶段,内审职能到了20世纪70至80年代,变成以业务流程为关注点,对组织内关键业务流程的设计、效果和效益进行评价。此变化主要是因为这个时期的法律法规更为强调企业管理当局的责任,要求企业的内控制度必须随着企业发展而完善,并且组织的效率没有因业务控制点的设置而降低,从而产生了需要内审对业务流程的控制点设置给予评价的机制,强调业务流程的梳理与优化,关注当前流程与最佳流程之间的差异。
以“风险基础”为导向的内审阶段 演进至20世纪80到90年代,随着国际金融一体化进程加快,打破国际藩篱的市场竞争日益激烈,衍生性金融商品的自由交易,信息技术和电子交易的广泛应用,计算机犯罪机会的增加等因素使企业所面临的风险日益增高。英国巴林银行的倒闭,日本住友银行期货铜交易巨额亏损案等金融风暴,都迫使企业管理当局不得不深思如何透过内审功能来控制这些风险,以“风险基础”为导向的内审应时而出,主要关注对企业关键业务流程以及关键控制的风险的辨识,从而采取措施,降低组织面临的风险。
以“企业风险管理”为导向的内审阶段 到了上世纪90年代后期,企业对风险的认识产生了较大的转变———认为企业所面临的是包含了财务管理、业务经营、流程管理以及战略管理等多方面的风险,是企业的整体风险,而不是局限于某一部分、某一功能或某一区域。这种关注企业整体风险管理的观念,逐渐为更多企业所接纳和采用。在这过程中,内审部门为配合管理当局需要,主动调整自己的工作方向,更加关注组织战略目标的实践、管理层的风险容忍度、关键风险度量、业绩指标以及风险管理能力。在此发展趋势下,COSO委员会因应企业需求所制定的《企业风险管理整体框架》逐步成型并出台。
目前,COSO模型是最为广泛认可和普遍使用的内控框架,主要包含的要素从以往的五大方面发展至2004年9月份所强调的自上而下的八大方面(图):内部控制环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监督。
国外内审的发展趋势
内审目标的转变 国际内部审计师协会(International Internal Audit, IIA)对内审的最新定义为:“内部审计是一种独立管理的保证与咨询活动,目的是为机构增加价值并提高机构的运作效率。”内审设立的初衷应该与企业组织的目标一致,也就是要通过有系统的方式收集、辨识、评价、管理以及监督风险,协助企业达到其所设定的目标。因此,企业管理层、董事会以及企业相关利益者对内审人员的要求,如今已提升至对企业战略、目标和计划制定的参与或了解,知道企业经营的管理模式以及熟悉经营流程等各个层面的能力。
信息技术演变 信息技术日新月异的发展,对内审功能有其一剑双刃的影响:一方面,新兴的信息技术为企业带来管理上的便利,增加营运的效率,同时也要求审计方式和技能的跟进;另一方面,内审工作可以通过先进的信息技术,将庞大的审计测试工作降至最低,使审计工作在成本和效益之间取得平衡。然而,伴随着信息系统的快速升级、更新和变化,内审的审查对象———经营活动与内部控制渐趋自动化,信息系统横跨许多部门,运用系统审计并佐以关键控制的人工审计的技能,将是不可阻挡的趋势。
企业风险管理知识和运用技能的要求“企业风险管理是由企业的董事会、管理层和其他人员实施的,从战略层面开始并贯穿整个企业的一个过程”(参阅COSO对“企业风险管理”的定义)。此过程的设计目的,在于协助企业对阻碍或影响企业达成目标的风险进行事前的预估、辨识、管理以及持续监督,以确保企业目标的实现。而今天内审职能设置的宗旨与企业的目标也是一致的,因此内审人员除了应清楚明了在企业中所扮演的角色和独立的职能之外,也应熟悉风险管理的观念,并对此模型或架构的运用驾轻就熟,以协助企业从公司层面开展,使风险管理的机制得以发挥。因此,以“企业风险管理”为导向的内审职能的发展,以及对审计人员在风险管理知识和技能的要求,已是不言自明的未来趋势。
对内审人员的要求 随着企业对内审功能的重视程度日益加强,内审人员的职能,从以前的合规检查逐步转型为协助企业提升绩效,提供增值咨询以达成企业目标。随着跨部门、向上向下、对外对内的沟通、协调机会大量增加,口头和书面的沟通能力、人际关系处理能力和技巧以及整合与协调能力,已成为执行内审工作时不可或缺的重要技能之一。此外,由于内审人员被赋予了更多的责任和期望,所以在内审知识之外,对于与经营企业相关的知识和专业技术的涉猎也是至关重要的课题之一,必须立即付诸于行动。
在2007年9月北京召开的亚洲内部审计大会上,国际内部审计师协会理事会主席盖瑞·考克斯认为:再健全的法规体系也无法完全杜绝舞弊事件的发生,当有多个管理人员共同串通作弊时,设计再好的内控体系也会失效。但是,建立一个长效的、能够持续发挥作用的内控体系,却可以最大限度降低公司丑闻的发生,减少企业舞弊的可能性,而这也正是内审功能被寄予厚望之处。
在本次亚洲内部审计大会上,甫瀚咨询公司内审服务全球主管Bob Hirth引用电影《蜘蛛侠》的一句台词来总结内部审计师的职责———“更大的能力,更多的职责”(“With Great Power Comes Great Responsibility”)。无可置疑,内部审计师的角色已从“经济警察”逐步转变为协助企业整合治理、风险管理、合规及改进绩效等多重目标的“咨询顾问”和“业务伙伴”。最后,需要强调的是,在发展内审功能的同时,不可忽视高级管理层、董事会及其它委员会的职责分工。在全球内控法规日益完善和严格的今天,内部治理结构的平衡和外部合规要求的遵循,将有助于增加企业管理的透明度和质量,并在竞争与风险挑战的环境下赢得更多成功的机会。(作者为甫瀚大中华区内审业务主管)
摘自:中国审计新闻网
