内部审计与内部控制关系研究
2011-08-15中山大学审计处钱华
中山大学审计处 钱华
内部审计与内部控制关系研究
中山大学审计处 钱华
一、引言
2007年以来美国次贷危机、全球性金融风暴乃至经济危机的蔓延,让人们深刻地认识到内部控制的重要性。而2008年发生的金融业最大的职务舞弊案例——法国兴业银行舞弊案,其主要原因是兴业银行内部监控机制“严重缺失”。而纵观我国,近年来,我国上市公司内部控制的问题也是层出不穷,远的有银广夏、琼民源、红光实业、ST猴王、大庆联谊、东方锅炉、黎明股份、郑百文、东方电子,近的有亿安科技、春都、“德隆航母”、三鹿集团、中航油等,还有众多的“高管失踪”事件。这些问题的出现,除了我国资本市场的不规范因素外,更深层次的原因就是上市公司内部控制制度存在严重缺陷。内部控制已成为时下内部审计师、企业管理层、各国政府,以及相关监管部门瞩目的焦点。
自从1875年德国Friedrich Krupp公司设立了较为完整的内部审计制度以来,大型股份公司普遍建立了内部审计系统,监督、评价、防护和反馈成为其四个重要职能。安然、世通事件在全球范围内引起了人们对内部审计的重视。2002年8月,美国纽约证券交易所要求所有上市公司必须建立内部审计机构。在中国,内部审计受到重视。早在1985年,国家审计署就要求大中型国有单位设立内部审计机构;2002年,中国证券监管机构建议上市公司建立内部审计制度。2003年5月实施的《审计署关于内部审计工作的规定》明确指出国家机关、金融机构、企事业组织、社会团体以及其他单位,应当按照国家有关规定建立健全内部审计制度。内部审计是公司治理机制的重要组成部分,具有枢纽地位。本文从内部审计和内部控制的关系出发,界定内部审计在内部控制中的重要作用,并为内部审计发挥对内部控制的作用提出一些建议。
二、内部审计与内部控制的关系
(一)内部审计与内部控制的涵义从内部审计的定义可以看出其在内部控制方面的作用。2003年国际内审协会修订的《内部审计实务标准》提出,内部审计应帮助组织评价重要的风险因素、帮助改进风险管理与控制体系;评价控制的效率与效果、促进控制的不断改善,以此来帮助组织保持有效的控制;评价并改进机构的治理程序,为组织的治理作贡献。1992年美国反财务欺诈委员会下属内部控制专门研究委员会COSO对内部控制的界定在目前世界范围内认可度很高,它认为内部控制包括五个要素:控制环境、风险评估、控制活动、信息与沟通、监督,其中监督是内部审计的正常工作和固有职责。英国的Cadbury报告、加拿大的COCO报告、日本的《企业内部控制大纲》、南非的King报告、法国的Vienot报告和我国的《独立审计具体准则第9号》、《内部审计具体准则第5号》等都从不同角度对内部控制进行了诠释。从内部审计与内部控制的含义来看,内部审计与内部控制是相互渗透的,内部审计性质的演变一直与人们对内部控制概念认识的发展交织在一起。
(二)内部审计是内部控制的重要要素之一自从1986年最高审计机关国际组织发布的第12届大会声明明确内部控制制度包括组织结构、方法程序和内部审计,内部审计就开始被视为是内部控制框架中的重要要素之一。国外的研究,如Carcello,Hermanson和Raghunandan(2005)认为美国证监会(SEC)近年来的指引和强制性动作都反映出这样一种倾向:内部审计是公司治理和公司内部控制程序的有机组成部分。国内近期关于这方面的议论也很多,如汪国银、林钟高(2005)认为,公司治理是企业运作的基础,提供了企业内部各项管理活动的环境,内部审计作为企业内部控制活动的一部分受到公司治理的制约;陈艳利、刘英明(2004)认为内部审计作为实现内部控制的关键因素,是公司治理结构的有机组成部分。
(三)内部审计是对内部控制的控制内部审计是内部控制的特殊方式,其在内部控制框架中具有独特身份,即内部审计既是内部控制的组成部分,又具有不同于其他内部控制要素的相对独立的身份,肩负对其他内部控制要素进行再控制的职责。建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分(Cadbury报告,1992)。内部审计对内部控制的控制主要体现在内部审计利用自身的独立性和对本企业情况的了解,以及在长期审计工作中积累的经验,通过监督业务活动和管理活动是否符合内部控制结构的要求,评价内部控制的健全性、遵循性和有效性,针对内部控制中的薄弱环节及时提出相应改进建议,促使组织以合理的成本促进有效控制,达到改善组织内部管理状况的目的。内部审计人员以其专业知识能够保证内部控制测试的顺利进行,美国IMA的调查报告中就指出,内部审计部门对于测试内部控制起关键作用。自上世纪90年代起,内部审计就开始大量做内部控制自我评估工作。在这种工作方式下,内部审计作为主导,其它相关部门同时参加,共同完成对内部控制健全性和有效性的检查。这种工作方式最能说明内部审计的之内加之外的独特身份。后萨班斯时代内部审计的控制功能日益凸现,因为内部审计不仅可以作为控制直接作用于被控制对象,也可以通过对控制的再控制间接作用于被控制对象。
(四)内部控制对内部审计的促进从内部控股要素的发展历史来看,早期的单要素内部牵制关心的只是资产及其记录的安全,两要素的内部控制将关心资产及其记录安全之外的内部管理控制纳入了控制视野,随后,控制环境又得到关注。两要素和三要素的内部控制已经不仅关注资产及其记录的安全问题,而且还要关注组织的经营管理问题,这就大大拓宽了内部控制的范围。五要素和八要素内部控制的提出,又将控制重心进一步转移到组织的风险管理。内部控制重心的变化,引发了内部审计内容的变化,同时也造成了内部审计工作重心的转移。美国内部审计学者布林克在回顾IIA的历史时指出,内部审计最该关注的就是“内部控制”,内部审计的理论构建应以内部控制概念为中心。内部审计需要内部控制,内部控制比任何其他因素更能决定内部审计的形式。一个良好的内部控制,有助于内部审计工作的开展,有助于提高审计效率,降低审计风险,提高审计质量,更有助于扩大审计领域,加速现代审计方法的变革。没有健全的内部控制制度作基础,内部审计就无法开展;没有良好的内部控制,会计、财务信息失真,管理人员责任不明确,管理出现混乱等,不仅会加重内部审计工作量,而且会加大内部审计的风险,从而制约内部审计的发展。有调查表明,大型组织的内部审计,大多已经将风险管理、经营管理、经营效益和效率等内容作为自己的重要工作内容。随之内部审计大类型也日益丰富,出现了风险管理导向审计、管理导向审计、经营导向审计和业务导向审计,甚至出现了业绩导向审计。
三、内部审计在内部控制中的作用
(一)评价职能:特殊优势随着风险管理和治理结构的完善,内部控制被提高到公司战略的高度,与企业的经营管理完全融合在一起,内部控制的充分性和有效性直接关系到财务与运营信息的可靠性与完整性、运营的效率与效果。由于内部控制具有内在和外在的局限性,如内部控制的设计考虑到成本效益原则、内部控制的设计可能不涉及临时性或未预计到的业务等导致内部控制不能发挥效应等,都会影响到内部控制的效果,所以需要第三方对内部控制的充分性和有效性进行独立评价。内部审计机构在组织、人员、工作和经费等方面独立于被审计单位,不直接参与企业的经营管理,因此在评价企业内部控制时具有较强的客观性、公正性和权威性;内部审计机构一般受企业审计委员会或CEO直接领导,内部控制评审中发现的问题和提出的建议更容易受到高层领导的关注,从而得到有效执行;虽然内部审计具有同体监督的特点,其独立性是相对的,但正是其具有的这种相对的独立性,使其既有别于内部控制体系中的其他部门,又不同于社会审计,在对内部控制评价中具有特殊地位和优势。
(二)监督职能:常规工作从内部控制的构成来看,企业内部控制是由一系列控制政策、制度与程序组成的系统。根据系统论的观点,系统的有效运转和持续改进离不开监督,所以COSO框架和ERM框架都将监督作为内部控制组成要素之一,并且置于框架的最顶端。企业内部审计是监督内部控制是否执行以及执行是否有效的重要过程。从要素来看,内部审计是内部控制不可缺少的重要组成部分,是实施内部控制环境的基础环节。从职能来看,内部审计处于相对独立的地位,在企业中不直接参与相关的经济活动,又贯穿于企业的各项管理活动中,了解和熟悉企业的内部结构及各项业务的运营过程,在内部控制的构成要素中实行内部监督最为合适。有效的内部控制将合理保证企业的经营管理活动。内部审计对内部控制履行监督职能的直接目标是确保内部控制的有效运行,以使内部控制的目标能够实现。
(三)咨询职能:努力方向随着内部审计范围向风险管理和公司治理领域的拓展,内部控制评价的重要地位并没有被削弱,而是得到了加强。而且,内部审计战略地位的变化要求内部审计不应再以一个检查者的立场对被审计者的风险和控制进行评价,而是要以一个咨询顾问的身份,促进并组织审计客户对自身业务的风险和控制进行自我评价,使风险的防范和控制成为所有管理层共同承担的责任。
四、内部审计与内部控制关系的启示
(一)独立性与客观性的保证IIA2001年颁布的内部审计实务标准框架,提出了内部审计的新定义,在定义中用“独立、客观”取代了此前60年所有定义中都没有改变的“独立”。在属性标准中对独立性和客观性进行了区分:前者指内部审计机构的独立性,后者指内部审计人员的客观性。独立性是和内部审计服务发生的环境有关的,反映的是审计小组和个人所处的环境,其价值在于它创造了使内部审计人员保持最大客观性的环境,它是保证审计人员客观、公正、或免除偏见地从事审计活动的先决条件,是审计工作的基础。客观性是与评估、判断及决策质量有关的,保持一种不偏不倚的精神状态,反映的是内部审计小组和个人的特征,客观性可以帮助内部审计人员及小组更容易处理与被审计单位之间的关系。在公司组织结构中,内部审计部门属于公司行政系统的一部分,在日常活动中要服从于公司管理当局的指挥。虽然这有助于结合公司经营管理的需要对内部控制进行审计,但同时也形成了评价者(内部审计)与被评价者(管理当局及其所实施的内部控制与财务呈报)角色混同的矛盾现象,不利于内部审计功能的有效发挥。调查数据显示,我国国有企业内部审计机构归属副总经理和总经理领导的比例最高,体现了“高管层”主导的基本特征,尚未达到IIA在《内部审计专业实务标准》要求的归属“董事会与高管层”双重管理的标准。因此,公司在建立内部控制体系时,应当根据相关法律要求建立并发挥好审计委员会的职能;内部审计部门应当隶属于审计委员会和企业最高管理当局,实行双向负责制,在特殊情况下可以越过管理当局直接向审计委员会报告,这样就可以提高内部审计的地位和独立性,维护必要的内部审计权威,从而充分发挥内部审计在内部控制中的重要作用。而为了保持客观性,国际内部审计师协会也对内部审计人员提出了几点要求:(1)不应该参加任何有可能损害或者假定会损害它们无偏见的评估的活动或关系;(2)不应该接受任何可能损害或假定会损害他们职业判断的东西;(3)应该披露所有知道的重要事实,只要如果不披露将会歪曲对所审查的活动的报告。
(二)内部审计人员胜任能力的保证内部审计对内部控制作用的发挥还有赖于内部审计人员专业胜任能力的保证。根据贺颖奇等(2006)的调查资料,我国内部审计人员对财务会计、财务审计、会计法与会计准则、审计法、税法、审计准则等领域的知识比较熟悉;对公司治理、战略管理、管理会计与管理审计、组织行为/管理沟通、风险管理、信息系统及其审计等领域的知识不熟悉。其他学者的研究发现我国内部审计的现状是审计人员的知识结构不合理、知识老化、复合型人才少;内部审计人力资源管理上,审计人力资源利用不尽合理,人员管理机制简单化。根据调查问卷资料显示,占75%的单位的内部审计人员均以本科及以下学历组成;内部审计部门只有会计知识人员组成的占25%(陈丹萍,2007)。可见单一的知识结构影响了内部审计的工作范围和深度,同时制约了内部审计作用的进一步发挥。因此,应该科学合理地配备内部审计人员,尤其要努力使内部审计人员的专业构成合理,同时强化职业道德意识,加强职业培训。使内部审计在企业内部控制中发挥更大的作用。
(三)积极开展内部控制自我评估传统的内部审计理念下,内部审计主要功能是帮助企业高管层确认经营活动中是否存在问题。因此,财务审计、经营审计和内部控制审计是查错纠弊的典型代表。IIA在1999年第七次修改内部审计定义时,第一次提出了组织内部审计的目标是帮助组织增加价值并提高组织的运作效率。与传统内部审计相比较,增加价值要求审计内容向决策层面延伸,审计方式从事后走向事中和事前,审计职能定位从确认走向咨询。因此,内部审计为现代内部控制提供保证与咨询服务可以开展控制自我评估(Control Self-Assessment,简称CSA)。内部控制自我评估是在内部审计机构的推动下公司不定期或定期的对自己及所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标。自20世纪90年代中期起,CSA已成为许多企业内部审计实务的一部分。IIA2002年对北美4500位来自各种组织的内部审计负责人进行了内部审计增值实务方面的调查,其结果显示CSA被列作“当前内部审计最佳实务”的第二位,而在“未来将越来越重要的实务”中排名第一(Roth J.,2003)。内部审计机构对下级部门和其他人员进行评价,主要了解下级部门和其他人员的知识结构、组织纪律性、对企业是否有归属感、对内部控制制度能否积极接受并加以执行。评价时应抓住主要问题,即给内部控制的设计和执行的有效性带来风险的关键人员的败德行为,一般根据其背景资料、日常出勤情况、有无违纪记录等作出评价。英国特恩布尔报告(Turnbull Report,1999)认为,在对内部控制进行自我评估时,应特别考虑以下几个问题:(1)自上次评估以来,重要风险的性质和程度所发生的变化,以及公司对这些商业风险和外部环境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量,以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率,以便在公司内建立起累计评估体系,对内部控制状况及风险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点,及其所导致或可能导致的不可遇见的结果及或有事项的程度,以及对公司财务状况和业绩产生的重大影响。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点,董事会应决定这种失败或弱点是如何产生的,并对内部控制系统的有效性进行重新评估。
[1]刘华:《审计案例研究》,上海财经大学出版社2009年版。
[2]王光远:《现代内部审计十大理念》,《审计研究》2007年第2期。
[3]何玉:《职务舞弊与内部控制、内部审计——兼评法国兴业银行职务舞弊案例》,《审计研究》2009年第2期。
[4]程新生、张宜:《中国制造业上市公司内部审计模式实证研究》,《审计研究》2005年第1期。
[5]石爱中:《从内部控制历史看内部控制发展——内部控制信息化改造》,《审计研究》2006年第6期。
[6]陈艳利、刘英明:《基于公司治理的内部审计问题研究》,《审计研究》2004年第5期。
[7]时现、毛勇、易仁萍:《国内外企业内部审计发展状况之比较——基于调查问卷分析》,《审计研究》2008年第6期。
[8]贺颖奇、陈俊佳:《当代国际内部审计的变化与中国内部审计的发展机会》,《审计研究》2006年第4期。
[9]陈丹萍:《我国内部审计管理现状与对策》,《审计研究》2007年第6期。
[10]董美霞:《增强企业内部控制评价效果的思考——基于<企业内部控制评价指引(征求意见稿)>》,《审计与经济研究》2010年第1期。
[11]汪国银、林钟高:《公司治理框架下的内部审计研究》,《财会通讯(学术版)》2005年第2期。
[12]Roth J.2003,How do Internal Auditors Add value,The Internal Auditor,(2).
(编辑 熊年春)