内部审计规避企业法律风险的作用机制研究
2019-03-21吴晓红
●吴晓红
2018年1月,审计署颁布《审计署关于内部审计工作的规定》(审计署令第11号,以下简称“内部审计规定”),明确要对单位的财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位完善治理,实现被审计单位的经营目标。内部审计规定的出台,对我国企业内部审计提出了新目标和新要求,也意味着我国审计监督工作进入了全面覆盖的新时代。2018年5月,中央审计委员会第一次会议指出,要发挥审计监督在党和国家监督体系中的重要作用。作为十九届三中全会后新成立的中央级专门委员会,中央审计委员会除了要加强党对审计工作的领导之外,最重要的是要通过内部审计促进企业持续健康发展。企业内部审计作为企业内部控制、监督治理机制的重要组成部分,能够利用科学的审计方法,对企业的业务流程进行控制,从而实现管理优化,提高企业的经济效益。
作为监督体系的重要组成部分,内部审计在企业治理中的作用至关重要。尽管经过事后审计和评估,财务风险可以通过金融审计手段被有效控制,但因为没有按照严格的规范进行操作,或是对细小失误的容忍,容易导致企业面临更为严重的法律风险。法律框架的搭建与法律文本的审核,只能从法律规范上防控企业可能出现的风险。外部审计对财务信息的数据采集,也只能从财务收支视角防范企业现金流量风险。而内部审计,独立于财务部门,又区别于法务部门,其通过权力制衡,实现财务部门与法务部门的融合,并将其他业务部门的流程规范进行综合考量,从企业运营全局的高度,规避企业法律风险。相对于外部审计来说,内部审计作为企业的组成部门,可以深入企业的各个部门与各种活动,对企业的各种风险及早识别、及早解决,促进企业合规合法经营,提高企业的管理水平,规避企业法律风险。
一、内部审计与企业法律风险作用机理
2017年9月,COSO①发布了最新的《企业风险管理框架》,对企业风险管理进行了详细的阐述,认为企业法律风险的规避可以从三个层面展开,即业务活动、辅助活动和内部审计活动。作为一种监督机制,审计活动历史悠久。但审计的概念却众说纷纭,学界比较公认的审计概念出自 《美国基本审计概念公告》,其指出,审计是指查明和确认有关经济活动、经济现象与其目标是否一致的过程。根据启动审计活动的主体不同,审计分为外部审计与内部审计。早在2003年6月,我国发布的《内部审计准则》指出,“内部审计是组织内部做出的一种独立客观的监督和评价活动,它通过审查和评价经营活动与内部控制的合理性、合法性与有效性来促进组织活动的目标实现。”2011年1月,国际内部审计师协会将内部审计重新定义为,“旨在通过独立、客观的确认和咨询,改善组织的运营和增加组织的价值。”虽然中国内部审计协会与国际内部审计对内部审计的定义存在部分差异,但是两者都共同指出,内部审计能够促进组织的目标实现和价值增加,从这个角度而言,规避法律风险也是组织追求的目标之一。
在企业的日常运营中,很多因素会引发法律风险,而且这些因素贯穿于企业运营的每一个环节。例如,企业股权结构风险、资金来源风险、投融资风险、人力资源风险、产品质量风险、知识产权风险、财务收支风险等。不可否认,以上种种风险都可以通过合同管理进行规避,企业的法务部门对解决以上风险通常具有丰富的实务经验,设置法务岗位或者聘任法律顾问,是企业常用的手段。然而,作为内部控制的重要手段,内部审计通常只会运用在财务收支风险控制上。在业务流程管理上,很多企业甚至将内部审计与法务控制割裂开来。然而,内部审计与法务控制两者应是互相促进的关系。首先,法务工作评价是内部审计的目标。如果一个企业成立了法务岗位或者聘任了法律顾问,那么,法务岗位的工作业绩、法律顾问费用、维权经费和诉讼费用,均可能是内部审计的目标范围,审计工作人员对这些数据的分析可以为法务工作的改进提供相关建议。其次,对法务工作的审计可以提升内部审计的法律素养。企业的内部审计人员,通常储备了充足的会计、审计专业知识,在对法务工作进行内部审计时,要求审计人员掌握基本的法律常识,对特殊领域还需要了解与企业主营业务密切相关的法律知识,方能够评价和监督法务工作,进而有效评估法律风险;再次,内部审计自身法律风险的规避是内部控制价值提升的重要途径。企业运营过程中法律风险无处不在,内部审计自身也可能会导致法律风险。企业在确立审计目标和制定审计计划时,可能会联合法律工作人员共同组成审计小组,对企业重要的业务领域、关键的财务收支环节进行指导,有效规避法律风险,使内部审计更具针对性和时效性,从而有效提升内部控制的价值。由此可见,企业在运营的过程中,无论是对外的经营还是对内的管理,每一个环节都受到法律的约束与限制。但是,在企业运营过程中存在的法律风险,是完全可以通过内部审计识别、预测和防范的。同时,内部审计在企业的运营过程中,也是多角度、全方位地其贯穿于的所有业务流程,从企业成立、材料采购、产品生产、销售、结算到投融资甚至企业退出市场。在这过程之中,对每一环节的内部审计均可以对企业的法律风险进行检测与监控。
二、内部审计规避企业法律风险的作用阶段
(一)事前审计对企业法律风险的规避
从企业运营角度而言,“事前”包括广义与侠义两个方面。广义“事前”指的是企业从成立到退出的每一个阶段的前期准备工作,包括资金的筹措、供应商选择、合作伙伴的确立、客户维护、产品售后等;狭义“事前”指的是企业经营过程中某一具体事务开展前的准备工作,如会议安排、行程确定、合同草拟等。在事前,内部审计根据审计的内容不同影响企业法律风险。
1、内部审计对企业法律风险具有预防作用。内部审计的一个重要方面是对公司内部控制的监督和控制,进而提高公司的内部控制质量。内部审计提倡全员和全过程参与,而且能够较为全面地考核整体流程,与法律风险的广泛性相一致,可以全面识别潜在风险。另一方面,尽管项目审计也可以在经营活动中发现法律风险,但内部审计却能在事前发现可能产生法律风险的制度漏洞。内部审计是对内部控制的再监督,公司内部控制质量的提高能够降低经营风险,保证企业法律风险管理机制的有效实施,从根本上排除可能发生的法律风险,从而起到防范的作用。
事前审计是指在被审计单位经济业务发生之前所进行的审计,是一种预防性审计,对预防错弊的发生起着积极的作用。同时,其具有前瞻性的特点,即对未发生经济事项前期行为的评价和提示。例如,在开展一个具体项目时,要审查该项目采取何种方式立项,如果需要进入招投标程序,需要审核招投标的流程等是否合规;在选择供应商时,需要内部审计组对供应商的信用记录、业绩情况、关联关系、违法乱纪行为进行尽职调查,该项目是否与之前的项目和正在开展的项目存在利益冲突,都可能是事前审计的范畴。在这个阶段,有少数企业会通过法务部门进行指标筛选,鲜有企业会在这个阶段进行事前内部审计,但往往是这个阶段的细小疏忽,已经在源头上使企业处于法律风险的边缘,即使后期经过协调处理或者法律补救,也已经让企业产生财务收支风险。因此,将内部审计时点前移便可以有效规避企业法律风险,实现事半功倍的效果。
2、内部审计对企业法律风险具有“震慑”作用。内部审计结果虽然不是法律,对企业部门并不具有法律约束力。但是,内部审计结果可能与企业内部资源分配、绩效管理相关联,其通过这种间接方式,在企业内部控制中树立不敢为、不该为的理念,形成一种精神上的软性监督与约束,在企业内部具有威慑作用。
内部审计虽然不直接参与企业的业务活动,但是通过稽核、审计和监察等手段,对企业的各项业务活动、辅助活动中可能存在的风险进行识别和控制,包括对企业内部控制度进行查漏补缺,对企业主要业务流程的合规性、合理性和风险可控性进行审计,对经营管理者进行经济责任审计,对企业信息系统有效性进行审计,对企业财务报表进行审计等。从程序上来说,以上手段形式上是业务活动和辅助活动的事后监督管理,但是其职能却是对后续业务活动与辅助活动的警示和提醒,也就是对广义“事前”的内部审计。在这个过程中,企业主要业务流程的合规性、经营管理者的经济责任等内容,都会通过事前内部审计呈现出来。因此,内部审计对企业主营业务的前端活动进行管理约束,使其不仅限于完成活动自身的目标,而是要将该活动与企业的整体业务流程进行通盘考量,否则内部审计部门将会对其不合规行为进行监督和检查,并将这些不合规行为反馈给管理部门和决策层,从而在精神层面达到“震慑”作用,最终为企业有效规避法律风险。
(二)事中审计对企业法律风险的规避
相比于事前内部审计结果的预测性,事中内部审计结果更加准确可靠,更加贴近于经济业务的实质,管理部门不需要进行风险评估与预测。因此,在经济业务发生的过程中,内部审计对企业规避法律风险具有预警作用。在企业发生法律风险之前,通过内部审计活动,向企业管理层报告风险情况,以避免法律风险在不知情或准备不足的情况下发生,从而最大程度地减轻风险可能会带来的损失。例如,某企业一销售合同的履行过程中,审计部门正在展开事中内部审计,发现产品的特性会导致尾款难以收回,这个特性属于产品技术指标范围,是法务工作人员难以甄别的,此时,审计工作人员及时将这一情况向管理部门反馈,管理部门可以会同仓储部门、法务部门、财务部门集中商议,通过延缓产品转移、修订合同条款和商议支付条件等方式,防止以后可能发生的财务风险。
事中内部审计,及时识别风险,及时反馈问题,给予管理层预警并快速作出决策。它具有的三个特征决定了其在规避企业法律风险时能起到预警作用。
南通蓝印花布图像纹样图像数据库,如查找、搜索等方面仍然采用传统的文字描述方式不仅会因为文字描述准确性差而导致查找效率低下,而且还会丢失多个其他方面属性,从而造成不必要的损失。因此,利用蓝印花布纹样与参照纹样比对产生的数值来区分两个不同纹样,同时,针对南通蓝印花布纹样与时代特征相关联的特点,将时间与传统二叉树相结合,先以时间参数为主索引,构造出一个二叉树结构;随后再在各个时间块内,利用蓝印花布识别比对值,构造出一个基于蓝印花布纹样识别比对值的链表结构,从而在整体上构造一种空间二叉树,达到高效检索南通蓝印花布纹样的目的。
第一,客观性。在企业经营过程中,审计人员获得的数据是真实的,对予以审查的特定事项也是真实的。因此,事中内部审计,可以及时发现存在的问题,调整在执行过程中发生的与预期的偏差,及时进行纠正和处理,以保证经济活动合法、合理和有效。与此同时,也可以根据对数据、事实、实务的梳理、分析、调查,准确地识别正在运营的业务活动中是否存在可能产生法律风险的因素。
第二,独立性。独立性是审计的生命力,内部审计与外部审计一样,要保证独立性。内部审计需要对企业各业务流程、各相关部门的工作进行监督、检查,难免会受到各种因素的干扰,独立性是保证内部审计质量高低与公正与否的关键点。内部审计机构可以直接向董事会或最高管理层报告,舍去中间环节和其他流程,以便更加及时和快速地将审计过程中发现的法律风险汇报给管理者,同时也有助于管理层及时、高效做出应对决策,使法律风险降低。同时,作为管理层与业务活动部门的第三方,其目的就是实现企业良好的运营,减少管理风险,避免不必要的损失。因此,内部审计部门的独立性,会较为真实地反映法律风险可能发生的业务环节和责任人,从而对规避企业法律风险起到很好的预警作用。
第三,全局性。与其他业务部门和职能部门各司其职不同,内部审计的职责范围贯穿企业整个业务流程,审计时还会跨越多个不同业务和职能部门,即使只是针对某一具体业务的过程审计,其工作范围至少涉及两个或两个以上的流程和部门。此外,内部审计还会深入到某一具体业务的内涵与外延。因此,事中审计将整个项目的来龙去脉梳理出来,评价其法律法规遵循度和合理性,以便准确地识别法律风险的类型、法律风险出现的环节、法律风险产生的部门、风险承担责任人等,在出具内部审计报告时,会更为详尽,充分做到对可能出现的法律风险进行预警。
(三)事后审计对企业法律风险的规避
“事后”与“事前”是相对应的概念,也有广义与侠义之分。广义“事后”是指企业退出市场、经营转型、生产线调整等环节;狭义“事后”专指,在某项业务或某个项目目标实现,财务结算完成。大部分企业的内部审计均在事后开展。因而,事后审计也是最为广泛实施的一种检查方式。无论内部审计还是外部审计,在事后进行更多地是为了走完一个完整流程,此时的审计在形式上是一种“标配”。但是,从规避法律风险的角度而言,事后内部审计能够发现问题、找出差距、分析原因、总结经验,事后内部审计若能早于事后外部审计,还具有“亡羊补牢”的作用。
首先,事后内部审计相对于事中内部审计更为全面。此时的内部审计对象,是一个完整的业务、一个具体的项目,与该业务、项目相关的流程、人、财、物,都完整地呈现在内部审计工作人员面前。对比事中内部审计结果,事后内部审计可以从不同维度、不同指标,对产生的新问题进行具体分析,可以鉴别哪些问题可能会导致法律风险,哪些问题可以内部整改,哪些问题需要客户配合;此外,根据以往项目经验,如果某一环节或是某一个流程存在法律风险常发情况,那么,事后内部可以着重审计这一部分内容,给出对策,有利于完善业务流程,改善内部管理制度,以减少以后出现引发法律风险的因素。
其次,事后审计既可以是定期的年度、季度、月度审计,也可以是对某项完成的或有问题的经济活动进行的不定期的审计。内部定期审计可以作为企业的常规审计活动,对企业的业务活动、财务收支定期进行复核和监督,及早发现问题及风险,如企业的各项业务活动是否符合国家财经法规,是否符合会计准则,企业财务管理制度是否需要更新,财务报告是否已经依法披露,合同签署是否完整合规,会计账簿是否有舞弊行为等,据此可以定期对企业的经营情况做整体管控,并在外部审计实施前发现存在的法律风险,进行整改与纠正,避免导致更为严重的错误和损失。另外,根据事后审计结果,企业决策层能够及时调整经营战略与投资决策,管理层则可以协调项目安排与人员调动,从人、事、物多方面避免财务收支发生法律风险。不定期审计倾向于对某一特定事件进行检查与监督,如专项业务、巨大金额合同、特定经济事项等,对其完成过程进行合法、合规性审计。通过对整个事项的了解和梳理,识别出影响项目进展的法律风险因素,通过审计报告的形式告知管理者存在的风险,使管理层准确判断,及早作出正确决策,从而规避风险带来的损失。
三、规避企业法律风险的内部审计优化
如前述及,不同阶段的内部审计,对规避企业法律风险具有不同程度的作用。但相对于内部审计,外部审计更为广泛,也更容易被企业职能部门所接纳。导致这一现象的原因,除了企业管理中约定俗成的观念之外,内部审计缺乏独立性、内部审计人员素养参差不齐也是重要原因之一。因此,要从根本上规避法律风险,要从内部控制入手,而在内部控制层面,内部审计是最有效的规避企业法律风险的方式。企业可以从以下几个方面对内部审计进行优化。
(一)确立内部审计的正确理念
在实际经营过程中,很多企业的内部审计部门形同虚设,只有在主管机关进行专项检查,或者外部审计工作组入驻后,内部审计部门方启动工作模式,工作内容也大多为配合财务部门进行相关工作,甚至有的企业根本没有设置内部审计部门,仅在外部审计活动发生时,由财务部门被动地进行业务对接,再加上大多企业的法务部门与财务部门分设,因而,两个部门对外部审计结果的态度差异巨大,法务部门认为外部审计结果就是一堆数字,即使要解决问题那也属于财务部门的分内事,而财务部门却把外部审计结果当做重要指标,优则喜、次则悲。
内部审计完成的效率与效果与企业对内部审计的重视程度有很大的关联性。企业的决策层如果对内部审计毫不关心,那么,企业管理岗位可能不会设置内部审计部门,即使设立了,也是形同虚设、毫无作为,仅仅完成形式化的审计工作,在协调其他部门和人员了解情况、索要资料时自然也不会认真配合,审计结果也就只是流于形式,最终形成恶性循环,甚至导致企业在面临法律风险时手足无措。因此,企业决策层要重视内部审计的作用,并且将这以理念推广至企业的内部管理流程,甚至每一个员工。内部审计报告的使用者貌似是企业管理层或决策层,但内部审计报告涉及的问题可能来自于各个部门和流程,实质上也是来自于企业内部的每一个人。只有企业内部从上到下高度重视才能高度配合,内部审计的周期也会相应缩短,审计报告的质量也将大幅度提升,法律风险也能够得到及时的识别和控制。
(二)提升内部审计人员的职业素养
内部审计部门是综合职能部门,其工作人员需要不同学科背景。这要求专业审计人员了解并掌握全方面、多学科的知识,而不仅仅局限于审计专业与财务专业的知识。审计是全过程、全方位的监督检查工作,既要充分明白企业所属领域的专业知识,还要掌握业务流程的制度、行业规范,更需要及时学习新的法律法规。如公司法、劳动合同法、经济法与财税法等。只有这样,才能在审计过程中具有敏锐的观察力与灵敏的风险感知力。在错综复杂的经济活动中识别法律风险,没有深厚的理论基础与丰富的时间经验,只能察觉事件的表面问题,很难挖掘背后的本质与深层次原因。
提升内部审计人员的素养,对内可以安排审计工作人员轮岗学习,丰富不同岗位的工作经验;对外,可以定期为员工安排专业知识学习,参加行业培训。同时,录用具有专业资格证书的员工到企业工作,聘任行业内具有相关专业技术资格的优秀人才,参与专项审计。
(三)完善内部审计信息化系统
信息化工具的使用,是企业高效管理的重要手段。企业管理过程中所遵循的法律法规,会随着外部经济环境而变化,企业除了及时提升内部审计工作人员的职业素养之外,仍需要借助一定的信息化系统。企业可以采购普适的信息软件,也可以定制适合自身业务特点的软件系统,此外,还应该建立内部审计数据库,方便内部审计工作人员进行数据分析,形成大数据报告。还可以将内部审计报告录入系统,通过算法与模型进行匹配,分析出可能存在法律风险,或是将企业的ERP系统,如OA、SAP等既有财务核算功能又有流程审批功能的系统,嵌入到该数据库,形成功能更为强大的管理信息系统。
完善的管理信息系统,通过自动识别风险,在业务活动开展与制度修订时,及时发出警示,能够减少人力成本,节约内部审计时间,在提高效率的同时也使内部审计结果更为准确与细致。
(四)重构内部审计流程
现如今很多企业都建立了审计制度,如国有企业,政府审计与注册会计师审计是国有企业例行的审计业务。部分民营企业,在特殊领域或者运营特殊项目时,也会采购注册会计师审计服务。但是,政府审计与注册会计师审计,严格来说属于外部审计,而且审计范围仅限于财务信息审计,缺乏对业务流程与操作规范的审计。因此,很多企业仍然沿袭传统的审计制度确立审计流程。
随着社会的发展、经济环境的变化,外部审计的审计对象发生了各种变化,外部审计应该与内部审计互相衔接。首先,内部审计已经不仅仅担任的是对财务部门审计的职责,而是要统揽全局,监督检查企业的内部控制、业务活动、风险管理等多方面的内容。因此,企业需要不断完善审计制度,设计严格的内部审计体系,遵循内部审计准则。此外,针对法律风险方面,管理制度既要包含所有可能出现风险点的行为,在决策、执行、监督的全过程中,有明确的制约、权衡的方法,又要能准确计算和评估风险,未雨绸缪。其次,虽然审计是独立于业务部门的职能部门,但是却没有相关的制度约束他们的行为,因此要完善审计制度,使审计人员的行为有所限制,避免利益相关方与其勾结,给企业带来不必要法律风险。■
注释:
①COSO是The Committee of Sponsoring Organizations of the Tread way Commission的英文缩写。1985年,美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会。1997年,反虚假财务报告委员会开始专门研究内部控制问题,1992年,开始发布《内部控制整合框架》,2003年,完成《企业风险管理框架》(草案)并向业界征求意见,后经常予以修订。COSO风险管理框架,把风险管理的要素分为八个:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。