■/王 凯
内部审计基本上适应了企业的管理需求,内部审计不再停留于传统财务收支审计领域,而是以管理审计、内控审计、经营审计、信息系统审计为主要业务,在推动内部控制机制建设、提高风险管理水平、完善公司治理方面发挥积极作用。无论企业规模有多大,很多事例表明,企业内部审计部门已超越其他管理手段成为为管理层提供关于企业运营效率、效果等方面建议的主要智囊。
以价值增值作为增值型内部审计最终目标。所谓增值,即创造超过的价值自身投入的价值,这是一个持续进行的过程。“增加价值”本身比较抽象,IIA在《标准》中对“增加价值”作出了相应的解释:“机构的设立,是为了其所有者、其他利益关系方、顾客和客户创造价值或谋取利益……内部审计师在收集资料、认识并评价风险的过程中,对经营和改良时机产生了深刻见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以从咨询、建议、书面报告或其他产品形式呈现出来,所有这些都传达给相应的经营管理人员”。以价值增值为目标的增值型内部审计,直接将内部审计的目标定位到和企业目标一致,在实现企业经营目标中将内部审计列入与营销、生产同等重要的一线。企业内部审计总体目标是帮助企业实现自己的目标,但由于企业的存在是为创造价值,服务于投资者的利益。因此,内部审计必须紧密围绕着增值活动的目标价值,作为组织的一部分,企业内部审计将同其他部门一起,增加企业价值。
增值型内部审计模式是对其他类型内部审计模式继承和发展,增值型内部审计仍然具有查错防弊的作用。增值型内部审计与其他类型的内部审计模式相比有许多明显的特点,使之成为内部审计发展的方向,归纳起来主要表现在:
内部审计不只是独立发现问题,而是要促进改革。内部审计以促进企业改革和改善企业运营的具体行动为主要内容,并通过对内部控制、风险管理和公司治理的评价和改进,运用系统的方法来帮助企业实现其目标,其主要特点是提供增值服务。
为了实现增值型审计目标,内部审计必须是所服务领域的专家,提供专门的审计服务,不仅要找出薄弱环节的控制环节,还要设法解决这一薄弱环节的问题,这样才能最大限度地发挥自身作用。抓住并利用各种机会,以强化应当在新老业务中采用的控制、战略或政策,促使内部审计人员尽可能地接近管理层,以独立的风险管理专家和顾问、合作伙伴的身份,参与公司的治理活动,为公司创造更大的价值。
在启动审计时,与被审计单位讨论审计目标、计划、内容和方法,以获得理解和支持。及时与被审计单位领导沟通审计过程中发现的问题,分析改进审计必要性及可行性,并探讨解决问题的方法。以建设性的基调提出审计报告,重点分析问题产生的原因、可能的影响、改进的必要性和解决办法。
COSO报告中指出,内部控制的制定与实施不仅是内部审计部门、管理层、董事会的责任,组织的每个成员都负责内部控制。因此,内部审计为内部控制提供咨询服务不仅应关注“硬措施”的建立,而更应将重点放在“软环境”的建设中。既是为内部控制提供咨询服务的有效手段,又能够对组织成员进行内部控制教育,提高风险管理的责任意识。内部审计不仅是内部控制的重要组成部分,也是对内部控制的再控制,而且评估与完善内部控制是一项重要的责任,也是内部审计对内部控制最突出的贡献。
管理层接受和使用内部审计业务是内部审计创造价值的前提。因此,内部审计应积极采用非正式关系建立、展示真实的审计业绩等方式,向管理层推销各种审计业务,以获得其信任和运用,实现价值增值。
从以上的分析可知,增值型内部审计模式无疑代表着内部审计的发展方向,也给内部审计带来了发展的机遇。
增值型内部审计的目标是增加组织价值,改善组织运营。增值型内部审计模式以信息系统为基础,整合审计资源,优化审计方法,监督评价管理流程,提高组织运营效率,关注风险管理与内部控制两个领域,董事会提供关于风险管理效果的客观确认和咨询,建立、健全内部控制,实施内部控制有效性和适当性审计,保障内部控制有效的运行。内部控制与风险管理的理念贯穿于整个增值型内部审计,也是实现增值型内部审计增值目标的关键。
随着信息经济时代的到来,电子商务在全球经济一体化背景下快速发展,使企业的方方面面都发生较大的变化。企业确认客户订单,控制采购计划,安排生产计划,进行账务处理等都是由系统自动完成,运营管理走向自动化和网络化。传统内部审计模式已不能适应这一变化的要求。为了适应新时期和新环境下企业生存和发展的需要,必须进行变革和创新。大数据环境下,大量的企业经营管理数据和财务数据被存储在联网审计系统中的数据库中,积极运用大数据技术,由现场审计向现场与非现场审计相结合转变,创新远程审计模式。强化审计的事前、事中控制,促使审计关口前移,推动审计工作由局部审计向全覆盖转变,变事后监督审计为事前风险预警与经营风险提示。实现审计方法的积极创新,使用联网审计、云审计、数据挖掘等新型的技术工具和手段,以创新促进审计发展,提升审计规范化、信息化水平,以更好的服务企业价值增值。
伴随企业内部高效率、快速的生产经营格局的形成,各生产经营环节刚性衔接的要求也越来越高,建立与其相适应的科学管理流程已成为企业战略的重要保证。审计的重点逐渐由“查错防弊”转变为组织治理能力的评价和提高,有助于控制环境的持续改善,有助于维护控制的有效性。按照管理流程来规范、约束日常工作及岗位操作,管理流程涉及到的各部门和单位要自觉履行其职责。负责实施管理流程的管理部门要切实承担起主管责任,按管理流程规定积极主动处理、协调存在于运行中问题,提高管理流程的运行效率。一是定期对管理流程进行评价,不断完善、优化管理流程体系。二是对日常监控发现和各部门反馈的管理流程问题,根据企业管理业务需要,及时进行优化调整。内部审计处于相对独立的地位,不参与企业经营活动,对企业的经营管理进行监督和评价,为企业经营管理服务。
内部审计是企业风险管理体系中不可或缺的一部分,被称为企业风险管理独立评估的“首选提供者”。在企业风险管理中,内部审计不是风险管理的设计者和实施者,其职责只是在风险管理的过程进行确认与评价,通过对风险管理的“再管理”,审查评价其有效性并提出改进建议,充当企业风险管理的“第三道防线”。为了更有效地满足风险评估的需要,内部审计要尽量进行“实时”的风险识别与评价活动,包括组织范围的风险评估和具体的内部审计业务中的初步风险评估。一般认为,内部审计不负责企业风险管理,但对组织风险管理改进方面的监督和建议却很重要。作为组织实施风险管理催化剂的内部审计,通过组织风险管理的学习和辅导,启发董事会和高级管理层改进自己工作中的风险语言和风险框架等。风险评估后,内部审计利用风险评估的结果来执行该领域的审计。评估的结果能帮助内部审计人员确定哪些问题应该进行更深入的审查;对于已识别的风险类型,用不同的审计方法会不会更合适;审计工作是不是该推迟或全部取消。内部审计应充分发挥自身优势,为风险管理提供有效的方法与控制措施,帮助企业完善控制体系和风险管理,避免可能在经营过程中发生的风险损失,从而增加企业的价值。
随着经济全球化进程的加快,企业面临的风险与日俱增,加强风险管理与内部控制的要求越来越迫切。作为风险管理重要工具的内部控制,其价值是由帮助组织掌握风险的程度所决定的。为了及时发现内部控制中存在的失效或残缺问题,内部审计人员必须时刻关注控制环境的变化,并定期监测和评估各种控制程序的有效性,根据企业的实际情况,不断探索建立健全企业内部控制体系的途径,促进其持续改善。对于控制环境,帮助企业建立一个“软控制”的环境,在内部控制过程中成为顾问,并建议管理层建立一个健康、积极向上的企业文化,使员工能够自觉把职业道德和认真办事放在首位。对于风险评估,风险评估方法是否科学、合理与否、报告是否准确及时是很有必要的。为推进风险评估、管理和控制能力的提高,以风险为导向,从而进行合理的风险自评,并实施有效控制措施。对于控制活动,内部审计是通过查错纠弊、揭示企业运营中薄弱的环节、揭露较大风险概率的关键控制点来实现内部控制的目的。内部审计应当在企业有关部门的授权下进行,以防止欺诈行为。通过对内部控制制度的评价,提供了查错防弊和完善内部控制。内部审计应特别关注舞弊,及时、准确地检查和报告舞弊行为。在整个控制活动中,应倡导企业全体员工参与,加强企业员工内部控制制度建设意识。对于信息和沟通,要注意信息沟通是否通畅,凭证传递路径是否合理或优化等。对于察觉到的失效或残缺问题,内部审计人员应及时查明其产生的原因,分析其可能产生的影响,随时接受组织的高层管理人员的咨询,或为他们提供具体完善的建议。监督检查内部控制的有效性,内部审计在内部监督检查中发现的缺陷,按照内部审计工作程序报告;并有权直接向董事会、监事会及其审计委员会报告发现的内部控制重大缺陷。
[1]瞿旭.基于价值增值的治理导向型内部审计研究〔M〕.辽宁:大连出版社,2008.
[2]余玉苗,詹俊.论增值型企业内部审计的发展〔J〕.审计研究,2001(05).
[3]方红星,王宏译.COSO制定发布.企业风险管理——整合框架〔M〕.辽宁:东北财经大学出版社,2007.
[4]钟黎明,钟源.基于企业价值增值的内部审计研究〔J〕.价值工程,2008(01).
[5]段小法.大数据环境下企业内部审计风险控制与价值增值与价值增值的路径研究〔J〕.财会研究,2017(12).
[6]胡继荣.基于ERM框架的商业银行内部审计机制研究〔J〕.南开管理评论,2009(02).
[7]黄圆圆.内部审计与企业风险管理的协调和整合〔J〕.审计与经济研究,2005(05).