四川职业技术学院 瞿慧芹

上市公司增值型内部审计体系构建

四川职业技术学院 瞿慧芹

如何将先进的增值审计理念运用到内部审计实践中以及如何构建增值型内部审计体系是内部审计实务界遇到的一大难题。本文从增值型内部审计的含义和特点出发，对神州泰岳公司内部审计目前的现状及形成原因进行分析，指出其内部审计存在的问题，并对公司如何构建增值型内部审计体系提出对策和建议。本文重点对增值型内部审计的构建和业务开展进行深入剖析，对内部审计增值作用的充分发挥具有一定的现实意义。

上市公司 增值型内部审计 审计体系

随着我国资本市场的发展，上市公司作为资本市场的主体，风险管理的压力越来越大。2006年上海和深圳证券交易所分别颁布了《上市公司内部控制指引》，规定上市公司必须设立内部审计机构。传统的内部审计充当查错防弊的角色，侧重于财务信息的真实性和准确性，但由于上市公司日常接受证监会、交易所以及外部审计师的监督检查，财务信息的质量得到了有力的保障，内部审计的鉴证功能大大消弱。而内部审计作为辅助部门，如何摆脱资源消耗的行业定位，实现创新发展，超越传统的功能，大力发展服务和咨询功能，实现增值作用，是增值型内部审计新阶段的最大挑战。现代内部审计的认识和价值判断标准的核心思想是增加与战略的适应度，根据公司的战略选择审计方向、配置审计资源，内部审计与企业战略高度相关，与战略规划的匹配度是衡量内部审计的增值和工作绩效程度的重要标准，但是如何构建与公司战略高度匹配的增值型内部审计体系却是理论和实务界均颇感困惑的一大难题。本文通过对A上市公司内部审计的现状分析，提出构建增值型内部审计体系的结构框架，对促进内部审计的进一步发展，强化上市公司内部审计增值功能的发挥具有重要的借鉴意义。

一、增值型内部审计的含义及特点

根据国际内部审计师协会（IIA）2011年1月修订的《国际内部审计专业实务框架》中对内部审计的定义，“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，其通过系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”相比于1999年首次提出内部审计的增值目标，IIA仍然坚持了内部审计的目标是改善运营、增加企业价值。在内部审计发展到价值主张的新阶段后，对内部审计的要求也提高到价值增加的高度，崭新的增值型内部审计理念也随之提出，相对传统内部审计，审计方法也开始规范化、系统化，审计目标提升到帮助企业增加价值，这对于传统内部审计是既有继承又有发展和创新。随着社会环境的变化，内部审计已经不再停留在防弊和兴利的阶段，进入了价值增值阶段，即增值型内部审计。增值型内部审计与传统内部审计相比，在审计职能、审计领域、审计重点、审计目标、审计方法上均发生了较大的变化。

（一）从审计职能上分析传统内部审计职能是评价和监督，通过事后的检查来发现问题，跟踪督促问题的解决，更多的是强调评价功能。增值型内部审计的主要目标是为组织增值，要求以整体利益为重，主要工作前移，变事后反馈为事先，事中积极参与，不仅发现问题还要解决问题，增值型内部审计更注重咨询和服务的职能。

（二）审计领域及审计重点分析传统内部审计领域主要集中在财务收支上，重点是查找错误、防止舞弊。而增值型内部审计更加突出综合性，把风险管理、公司治理、内部控制等要素集于一体，不再是单纯的资源消耗者，而是可以价值创造，审计内容涉及到企业的各个经营管理活动，比如财务收支、风险管理、人力资源管理、企业战略管理、信息系统等。增值型内部审计的范围更广，审计重点也不仅仅局限于差错防弊，更重要的是规避风险，改善运营，提高经济效益，从而增加企业价值。

（三）审计目标分析传统内部审计的目标是评价管理者履行职责是否达到组织要求，是一种事后评价管理者履行职责的合法性、合规性的行为。而增值型内部审计的目标是增值，以企业价值最大化为最终目标，内部审计的目标和企业目标保持了一致性，这是相比于传统内部审计的最大区别。

（四）审计方法分析传统内部审计通过查阅会计记录、财务资料来查找问题，通常是事后的检查和评价。而增值型内部审计主要依靠科学高效的计算机技术，结合最新的内部审计理念，来达到内部审计的增值目标。从IIA的最新定义可知，要求内部审计采用系统、规范的审计方法，不能局限于会计资料、财务数据，更多的参与到企业管理中来，洞悉数据背后的管理现状，以跟上企业日渐提高的现代化管理水平。

二、神州泰岳内部审计体系现状与存在的问题

（一）公司简介北京神州泰岳软件股份有限公司是一家成立于2001年，于2010年在深圳证券交易所创业板挂牌的上市公司，属于软件类企业，享受中关村高科技企业待遇，经营范围是船舶电气和海洋防务信息。公司除了自主产品的生产，也为远洋商船、渔船、公务船、海工船等所有类型的船舶提供系统集成服务。

（二）神州泰岳公司内部审计现状

（1）内部审计组织模式。神州泰岳的公司组织架构如图1所示，内部审计部门由审计委员会领导，并向审计委员会汇报。神州泰岳内部审计部门的设置，组织形式上符合《上市公司规范运作指引》的要求，但也仅仅是按照监管机构的要求设置的，没有与其经营管理和长远发展紧密结合，没有认识到内部审计能够为公司增加价值，且在公司内部充斥着审计无价值论的普遍观点。在这样的组织环境中，内部审计得不到应有的重视，内部审计任务随意调整，内部审计人员随意调动，内部审计工作难以深入，工作绩效不佳。

图1 神州泰岳组织结构图

（2）内部审计工作内容。神州泰岳制定了内部审计制度，并公开进行了披露，根据制度的规定开展审计工作。在审计委员会的领导下，审计部撰写年度审计计划、制订内部审计程序、实施内部审计工作、向审计委员会汇报工作、监督整改落实情况。公司内部审计模式主要是账项审计和制度审计，审计项目和内容主要是货币资金审计、募集资金审计、专项费用审计、经济责任审计、制度遵循性审计、财务报告审计等等，主要集中在与财务相关的领域。内部审计的功能主要是通过评价和监督，检查发现的问题并督促整改，审计侧重于财务收支和财务相关的内部控制制度，发现错误，防止欺诈，保证财务信息的准确性和真实性，审计的目标是制度的遵循性及管理的合法合规性，审计方法是通过查阅会计资料、账簿记录来发现问题，没有更多的运用先进的计算机技术。从以上的分析可知，公司实施的是典型的传统型内部审计，没有发挥其自身优势，开展咨询服务业务，也就不能为企业带来增值的作用，其发展空间也变得愈加狭窄。

（3）内部审计工作流程。神州泰岳的内部审计工作任务主要来源于董事会和管理层，内部审计部门在收到审计任务了解情况后开始立项，制定审计计划、审计程序，然后开展现场审计工作，审计完成后与被审计单位进行沟通后出具审计报告，召开审计沟通会就审计中发现的问题向董事会和管理层汇报，督促落实已发现问题的整改，直到整改完成后，本次审计工作完全结束。具体流程如图2所示：

图2 神州泰岳公司内部审计工作流程

（4）内部审计工作绩效。公司每年年初与每个部门签订管理目标责任书，并把任务分解到每个季度。内部审计部门的考核重点为关键任务的完成情况和费用预算的控制情况，关键任务包括与财务报告相关的年报、季报等审计、各类与内部控制相关的专项审计等，并把年度关键任务分解到季度，在每个季度结束后依据公司组织绩效考核相关机制、评价标准进行考核，先由部门自行评分，然后由主管领导和公司领导分别评分，最后根据事先确定的权重计算最终分数。由于内部审计的考核指标是完成审计任务、出具审计报告、并严格按照程序和流程持续推进责任部门进行整改，考核指标都是难以量化的，而审计效果具有滞后性，难以当期见到效益，故在评价时只能主观判断。公司内部审计部门的组织绩效考核分数一直偏低，虽然按时完成了关键任务，其考核结果也不尽人意，有时甚至低于最低考核分数而业绩不达标、绩效奖金被扣。从考核分数分析内部审计工作绩效成果不佳，不能达到公司管理层要求。

（三）神州泰岳公司内部审计存在的问题及原因

（1）组织体系不完善。在执行审计工作中，只有受到最高层领导的认可和支持，其他部门的积极配合和尊重，内部审计的工作才能有效的开展，充分发挥作用，实现增值目标。神州泰岳虽然按照监管机构要求设立了内部审计机构，但在具体实施过程中，其独立性不强和权威性不高，首先是由于公司所有者对内部审计的认识不足，认为内部审计不能为增加价值起到促进作用，内部审计机构由于得不到最高层的支持而形同虚设，内部审计机构不独立。其次，内部审计机构人员作为个体，其薪酬福利及升职均受到企业内部相关负责人的影响，使其在执行监督和评价等职能过程中顾虑重重、难以保证独立客观，影响了正常职能的发挥，更不用说增值功能，内部审计人员不独立。最后，由于内部审计经费来自于公司内部，容易受到管理层的制约，管理层可能为了自身利益的考虑而降低内部审计经费，从而度内部审计的效果产生间接影响，也使得内部审计的增值功能难以发挥。

（2）内部审计业务单一。神州泰岳内部审计部门处于目前的困境，是由于其运用传统的审计方法开展审计业务，并未拓展在能够凸显增值作用的内部控制、风险管理、公司治理方面的咨询和服务业务，故不能体现其增值作用，不能被管理层所重视，而深刻认识到在这三个业务方面的不足是开展增值型审计业务的基础。

（3）内部审计工作缺乏主动性。从神州泰岳公司内部审计工作的任务来源上分析，主要是来自董事会和管理层的要求，在接到审计任务后按照流程开始审计工作，比较被动，没有采取系统的方法分析公司目前可能存在的风险，并且有针对性的开展工作；从工作内容上分析，内部审计工作完全是事后的评价，审计完成后针对发现的问题督促整改，从而改进内部控制制度，但事后审计发现问题属于亡羊补牢，而没有采用灵活的参与管理方式，在制度的设计时就发表意见，对可能出现问题的环节事先做出规定，避免制度已经实施后才进行评价而造成运营效率的降低，在事前和事中即对可能的风险进行事先的预警和防范，将风险发生的概率和可能造成的损失控制在可接受范围内。

（4）审计工作绩效难以评价。由于绩效考核工作的局限性，神州泰岳公司内部审计工作也存在价值难以评估的问题。在日常审计过程中，内部审计部门提出了一系列的整改建议，管理层通过采纳建议优化制度和流程产生显性价值，但即使是这样的显性价值也难以用货币计量，故不论是显性价值还是隐形价值，都比较抽象，都很难用货币或具体数字来衡量。由于内部审计价值难以有效衡量，也影响到内部审计增值作用的发挥，不能让管理层更清晰的认识到内部审计的工作成果，这样内部审计在企业中的位置将比较尴尬，打击了内部审计人员工作的积极性，对内部审计价值的发挥和内部审计职业的发展产生了一定的负面影响。

三、神州泰岳增值型内部审计体系构建

（一）增值型内部审计体系的构建基础增值型内部审计的构建基础是基于风险管理的思维模式，一切从风险出发，以服务于企业战略目标的实现为目标，审计方法也更突出了风险与战略目标的匹配度，并通过控制方法来管理风险。风险导向内部审计方法如图3所示：

图3 风险导向内部审计方法

（二）增值型内部审计体系构建的主要内容

（1）组织体系。要进一步完善内部审计组织体系，就要改进内部审计组织模式，创建内部审计环境，整合内部审计资源，以强化内部审计功能。

第一，完善组织结构。神州泰岳原有的组织模式是内部审计部门向董事会下的审计委员会汇报工作，汇报层级比较高，但可能会造成与实际脱节的现象，因其工作内容与运营管理部门紧密的结合在一起，内部审计工作对公司实际经营的作用微乎其微，也就无法体现内部审计的价值。为了更好的发挥内审的作用，应该建立“董事会+总裁”的双管制管理模式，这种由企业的董事会或审计委员会和高级管理委员会双重领导的组织模式，使内部审计部门可以管理理念与经营管理相结合，在实际工作中，还将向董事会报告，既保证了独立和客观，也能在事前和事中参与到管理过程中，发挥咨询功能，也形成了由董事会、管理层和内部审计部门组成的治理制衡机制。这种双重报告模式有利于内部双重制约，进一步增强内部审计机构的独立性、客观性、权威性，更有利于处理好董事会或审计委员会、管理层和内部审计机构之间的关系，实现完善治理及改善运营的共同目的。完善后的组织结构如图4所示：

图4 神州泰岳完善后的组织结构图

第二，改善内部审计环境。首先，公司管理层要改变对内部审计可有可无的认识，带动全员重新定位内部审计，从被动接受审计变为主动要求审计。一方面，最高管理层要对内部审计机构给予有力的支持，尽可能的消除内部相关负责人对内部审计人员薪酬福利及升职的影响，消除内审人员的顾虑，增强其独立性和权威性。另一方面，加强对公司中高层以上管理人员对审计知识的培训，提高管理人员对内部审计工作重要性的认识，使其充分认识到内审对企业持续健康发展中的重要作用，投入人、财、物力改善优秀内部审计人员成长环境。其次，进一步改变内部审计人员的职能定位，从单纯的监督者变为积极的参与者，从监督职能转变为更强调咨询和服务职能，内部审计人员通过提供服务来体现自身在组织中的价值。内部审计部门通过实施风险导向内部审计，主动发现风险、管理风险，并在过程中提高服务意识。

（2）工作流程。风险导向内部审计的工作流程如图5所示，其咨询服务的功能渗透于每个环节，然后对内部控制的实施活动进行评价，根据评价结果对影响目标实现的风险再次进行控制，故风险导向内部审计工作是个不断循环发展的螺旋式过程，在这一动态的过程中，不断促使企业目标的实现。

（3）业绩评价。绩效棱柱法从利益相关者的满意程度、贡献程度、战略、流程和能力五个维度来对内部审计业绩进行评价，同时使用定性和定量指标，对每个维度进行细化，设计出适合内部审计工作情况的评价指标，对内部审计的工作进行全面的评价。神州泰岳在运用绩效棱柱法设计考核方案时，应充分考虑内部审计工作的特点，采用综合评价和项目评价相结合的方式，进行全方位的综合考评，以合理评估内部审计的工作业绩，评价其为企业价值创造过程中所发挥的作用。

图5 风险导向内部审计工作流程

（三）增值型内部审计体系实施方法神州泰岳开展风险导向内部审计是基于对风险的识别和评估，通过实施内部控制活动来管理风险，从而实现企业的各类目标。在风险管理过程中，内部审计通过分析、评估，提出改进和加强风险管理的意见或建议，并根据风险评估程序确定的重点风险领域，事先参与风险应对措施的分析和相关控制活动的设计，提供咨询服务，保证制度设计的合理性，并在控制活动执行的过程中进行监督，检查制度执行的有效性，出具审计报告，提出整改建议，根据整改时间表监督整改落实情况，并同时上报给审计委员会和高级管理层。风险导向内部审计业务开展流程是先设定目标，然后进行风险识别，对识别出来的风险进行评估，形成风险清单，对发生可能性高、影响大和固有风险评级重要的领域重点进行事先的参与和控制，并在后期重点进行监控。

（1）风险管理目标。风险管理的目标就是企业经营要实现的目标，一般包括战略目标、经营目标、报告目标和合规目标。其中战略目标的制定是企业经营活动的基础，也是经营目标、报告目标和合规目标的基础。神州泰岳是上市公司，为了维护广大投资者及股民的利益，必须按照证券管理机构的要求披露相关信息，这就要求公司对重大信息要及时披露，定期披露财务信息及预测性信息，对战略规划、资产状况、经营成果和合规性遵循性进行详细披露，这就对这四大目标的实现提出了更高的要求。

（2）风险清单。神州泰岳在实现目标的过程中，可能遇到的风险有战略风险、财务风险、市场风险、运营风险和合规风险。其中战略风险影响企业的发展和威胁企业的生存，如果企业的战略偏离了方向，其他风险控制得再好，也注定了企业的失败，因此内部审计部门将重点识别与评估战略风险。而财务风险、市场风险、运营风险和合规风险是战略执行过程中可能遇到的风险，是需要通过内部控制政策和程序重点规避的对象。在了解实现目标过程中可能存在的风险之后，就要从风险管理的角度识别风险，预测危机从而控制风险。在风险识别过程中，内部审计人员可以采用财务数据分析、流程图、实地调研相结合的方法，对可能发生的风险进行识别，以风险清单的方式予以列示，并对已经识别的风险从发生的可能性、对企业的影响程度等方面进行评估，并据以评估其固有风险，把固有风险按等级分为重要、一般，内部审计部门重点对固有风险等级为重要的风险领域进行管理和控制。内部审计部门在对风险进行评估时，主要考虑固有风险，而“固有风险是管理层没有采取任何措施来改变风险的可能性或影响的情况下所面临的风险，剩余风险是在管理层的风险应对之后所残余的风险。”笔者以风险清单的方法建立神州泰岳的风险识别和评估模型，如表1所示：

表1 神州泰岳公司风险清单

（3）控制活动。内部审计机构根据风险清单确定了重点风险领域后，就要根据公司生产经营的特点对业务流程进行分析，寻找每个业务环节的关键控制点，并对照现有不相容职务分离、授权审批、预算等控制政策和程序，检查是否满足内部控制要求，记录控制政策不合理或是失效的关键点，评价现有控制政策是否设计合理，并将评价结果反映给管理层，对现有内部控制制度提供建议和意见，并与管理层一起分析建议的可操作性，完善内部控制政策和程序，保证内部控制制度设计的合理性。内部审计机构与管理层在这样的互动后，有利于内部审计人员对内部控制知识的运用与公司管理实际的有效结合，把咨询和服务的职能事先发挥出来，而不是通过事后的检查进行反馈，这样在提高了管理效率的同时也拓展了内部审计的咨询服务职能。

（4）监控。监控是非常重要的环节，是对控制活动效果的反馈，是对重点风险领域的再次控制，内部审计部门作为监控主体，筑起了风险防范的最后一道防线。神州泰岳内部审计部门在对重大风险领域的控制政策和程序进行完善后，就要对其执行效果进行检测，检查内部控制执行的有效性。在检查过程中，根据业务情况的变化对关键控制点进行检测，是否满足业务变化的需要，控制政策和程序是否能够覆盖关键控制点，内部控制制度执行的是否有效。通过检查内部控制执行情况来发现未识别出来的风险和控制过程中的缺陷，将发现的缺陷汇报给管理层并提供完善建议，使内部控制活动能够把风险控制在可接受范围。这时内部审计主要执行的是监督和评价的功能，同时在监督检查过程中也会发挥服务和咨询的功能，对检查过程中发现的问题及时与主管领导和当事人交流，提出更优的解决方案，重点是解决问题而不是向管理层汇报问题，这样内部审计的增值功能也能得到体现。

四、结论

本文的总体结论是要构建增值型内部审计体系，需要从组织体系、人才体系、工作流程、业绩评价等方面入手，这是体系构建的主要内容，这就需要公司高层要重视内部审计部门，提供相对适宜的组织环境，给其配备综合能力较高的专业人才并不断的进行培养，同时完善业绩评价体系。同时，内部审计部门要苦练内功，转变传统思维，开展风险导向的管理审计，由监督型向服务型转变，由协助管理向增加价值转变，要创新审计思维，开发增值型的服务产品，拓宽增值途径。

［1］贾云洁：《从战略角度谈内部审计价值增值策略》，《审计与经济研究》2009年第3期。

［2］房燕：《基于公司治理的增值型内部审计研究》，《价值工程》2009年第2期。

（编辑 周谦）