从国际视角看我国内部审计的发展方向秦荣生当前国际金融危机还在扩散和蔓延,对全球实体经济的冲击和造成的损失将会进一步扩大,对我国经济发展的影响也会更加明显。风险管理不力、缺乏透明度和无效的公司治理是造成这场金融危机的重要原因之一。内部审计作为受托责任的一种控制机制,以风险管理、控制和治理过程为作用点,以监督、评价和咨询为职能,促进内部控制、公司治理建设,确保内部控制、公司治理持续有效运行,这既是内部审计的职责,更是内部审计发展的方向。一、内部审计的定义及其发展公司内部审计的发展,是随着一国经济、文化、法律意识和公司制度的发展而发展的。内部审计的职责也不是一成不变的,是不断发展、变化的。1947年至1999年间,国际内部审计师协会(IIA)先后7次对内部审计的基本职责进行了新的定义,[1]集中反映了国际组织对内部审计理论内涵认识的不断深入,也反映了社会对内部审计职能和作用的不断深入挖掘。从表1中我们可以看出,监督和评价始终是内部审计的两大核心职责,但监督和评价的范围在不断拓展,层次在不断提升。内部审计在实践中迅速发展并不断适应组织的需要,逐渐站在管理层甚至整个组织的高度,以为组织增加价值为目的。到20世纪90年代早期,内部审计师已经从事包括财务检查与审计、经营审计、管理审计以及遵纪守法审计在内的综合性审计工作。随着组织内、外部环境的日益复杂和所面临风险的日益增长,传统上对内部审计的职能定位已不能满足组织治理、风险管理和内部控制的要求。1999年6月,国际内部审计师协会理事会通过了内部审计新定义和新的专业实务框架(PPF),基于风险管理的内部审计被定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。1999年IIA对内部审计的定义具有深远的历史意义,不但拓展了内部审计的内涵,同时还明确了内部审计发挥职能的着力点,主要表现在:1.新增了咨询服务功能。强调要通过内部审计的咨询服务职能,“改善”风险管理、控制和治理过程,为组织提供增值服务。2.明确了内部审计、评价和咨询服务的着力点。抛弃了以前“经营业务”、“组织活动”等模糊的定义语言,明确了内部审计职能有效发挥的着力点是“风险管理、控制和治理”。3.升华了内部审计的目标。将内部审计目标与组织目标相统一,提出了内部审计“通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。二、内部审计发展的最新趋势从1999年IIA对内部审计的定义可见,国际内部审计呈现四大发展趋势:一是开拓风险管理新领域;二是深入介入内部控制;三是推动更有效的公司治理;四是更新内部审计师的职责。可以看出,在国际内部审计四大发展趋势中,前三大趋势重视的是加强公司的管理与规范建设;后一趋势对内部审计师的职责在改变,强调的是提高内部审计人员的整体素质以适应其职责的改变。1.内部审计开拓风险管理新领域近年来,很多内部审计组织开始介入风险管理,并将其作为内部审计的重要领域。内部审计之所以涉足风险管理领域,主要有以下几个原因:(1)内部审计顺应加强风险管理的要求随着社会经济的发展,特别是经济全球化及国际化程度的加深,公司的经营环境日趋复杂,经营风险也大为增加。公司在对外经营运作过程中,面临各种经营风险,包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险。而在内部的运营过程中,公司也面临运作效率低下所带来的损失风险等等。公司、行业之间的竞争日益加剧,如何防范风险、加强风险管理,已成为公司经营者面临的重要问题。因此,减少公司面临的风险是组织实现目标的关键,也是公司管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营,内部审计人员是公司的管理咨询师,因此,内部审计部门和内部审计人员参与公司的风险管理也就顺理成章了。(2)内部审计组织对拓展新领域的探索内部审计组织为了自身的发展,为了在公司中担当更重要的角色和发挥更重要的作用,不断探索内部审计的新领域。公司高层管理人员对风险管理的空前重视,为内部审计发展提供了一个良好的机会。内部审计组织对风险管理的介入,使内部审计在公司中成为一个重要的角色,并将其作用推上一个新台阶。国际内部审计师协会推进内部审计由财务审计为主逐步向以风险管理审计为主转变,既是内部审计发展的结果,更是受托责任关系发展变化的体现。1999年国际内部审计师协会通过的内部审计新定义,对内部审计的定位为“评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。(3)内部审计发展和作用发挥的内在要求内部审计作为内部控制的重要组成部分,其在风险管理中发挥着不可替代的独特作用,主要有以下几个方面:①内部审计人员从事具体的业务活动,独立于业务管理部门,这使得他们可以从全局出发,从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。②内部审计人员通过对长期风险策略与各种决策的审计、调查,可以调控、指导公司的风险管理策略。③内部审计部门独立于公司高级管理层,其风险评估的意见可以直接上报给董事会,其建议更易引起管理当局的重视。从内部审计发挥的上述职能看,内部审计已经参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系。内部审计人员是风险管理专家,通过对风险的把握和评价,实现对风险的控制。(4)内部审计受外部审计开展风险评估的影响近年来,注册会计师的业务领域不断扩展,在其所扩展的新的保证服务业务中就包括了风险评估,且是其主要业务之一。这不能不对内部审计界产生影响,因为,内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势。比如:内部审计部门和内部审计人员对公司面临的风险更了解,对防范公司风险、实现公司目标有着更强烈的责任感。既然外部审计可以从事此项业务,内部审计就更可以从事这一工作。2.内部审计深入介入内部控制在20世纪80年代,内部控制是企业管理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理工作,企业面临的风险普遍增大。主要原因是:企业实行多样化经营,进入了众多以前未涉及的领域;实施国际化发展战略,控制链大大延长;信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下,企业开始注重风险管理,内部审计的重点也从制度基础审计转向风险导向审计。(1)深入介入内部控制的原因《萨班尼斯—奥克斯莱法案》第404条款[2]——管理层对内部控制的评价:强调公司管理层对建立和维护内部控制系统及相应控制程序充分有效的责任;上市公司管理层在最近财务年度末应对内部控制系统及控制程序的有效性进行评价。国际内部审计深入介入内部控制这一领域,是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用,因此,公司内部控制的运行状况已不仅仅是公司内部关心的对象,而越来越受到外部相关人士的关注。对于404条款中要求的管理层对内部控制的评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则,上述评价过程不应当作为一项单独的业务。(2)内部控制自我评估内部控制自我评估是近年来西方国家内部控制系统评审的一种方法,是公司监督和评估内部控制的主要工具。它将运行和维持内部控制的主要责任赋予管理层,同时,使员工和内部审计师与管理人员合作评估控制程序的有效性,共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证,发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题,由计算机汇总并反馈问题;审计人员转变成外向型人才,广泛接触各部门人员,采用多种技术方法,促进经营管理目标的实现。简言之,这种方法不再以内审部门实施内部控制评价为主,而是以管理部门的自我评估为主。通过内部控制自我评估,使内部审计人员不再仅仅是“独立的问题发现者,而成为推动公司改革的使者”,将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变,从事后发现内部控制薄弱环节转向事前防范,从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外,通过内部控制自我评估,可以发挥管理人员的积极性,使他们学到风险管理、控制的知识,熟悉本部门的控制过程,使风险更易于发现和监控,纠正措施更易于落实,业务目标的实现更有保证。内部审计人员广泛接触各部门人员,与各管理部门建立经营伙伴关系,有利于共同采取措施防止内部控制薄弱环节的产生。3.内部审计推动更有效的公司治理在现代市场经济条件下,公司治理结构完善与否决定了公司能否有序运转,公司效益和持续发展能力能否不断提高,进而关系到整个资本市场能否规范有效运行。这也是近年来公司治理越来越受到政府监管部门和社会各界广泛关注的原因。(1)公司治理的四大“基石”2002年7月23日,IIA在对美国国会的建议[3]中指出:一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的。这四个主要条件是:审计委员会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下,这四个部分是有效治理赖以存在的基石。审计委员会——确保有效的内部控制系统,确定并监控经营风险和绩效指标;执行管理层——实施风险管理和内部控制,日常计划、组织安排;外部审计师——应保持独立性,审计与咨询业务分开;内部审计师——评价并改善风险管理、控制和治理过程的效果。由此可见,有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。(2)公司治理过程IIA对“治理过程”的定义是:“组织的投资人代表,如股东等所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。”IIA《标准》2130规定:“内部审计活动应该评价并改进组织的治理过程,为组织的治理作贡献。公司治理有助于:①制定、传达目标和价值;②监控目标的实现情况;③确保责任制的落实;④维护价值。内部审计师应对经营和管理项目进行评价,以确保经营管理活动与组织的价值保持一致,应该为改进公司的治理过程提出建议,为公司治理做出应有的贡献。”在强化公司治理方面,国际内部审计已逐渐形成:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。(3)强化公司治理的重要举措在安然公司财务丑闻曝光之前,美国的公司治理结构大多为三位一体,即董事会、管理层和外部审计。但是,安然公司、世界通讯等公司的财务丑闻充分证明了三位一体的公司治理结构的主要缺陷在于:①由管理层聘请外部审计,使会计师事务所自身的利益与公司管理层密切相关,丧失独立性。②内部监督机制不健全,内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前,美国的相关法律并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司管理层报告工作,审计的内容、范围和结果报告受到管理层的限制,致使董事会无法全面了解公司经营管理和财务的真实状况。《萨班尼斯—奥克斯莱法案》要求公司的审计委员会发挥更加积极的作用,监管会计、财务报告程序,领导内部审计和选择聘请外部审计机构。采用审计委员会这种内部监督机制,可以避免由管理层直接聘请会计师事务所和决定审计费用的现象,从而强化对公司管理层的监督功能。在审计委员会领导下的内部审计机构,受公司董事长的直接领导,地位比较超脱,有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保审计结果受到足够的重视,进而提高内部审计的效率。4.内部审计人员职责的更新(1)内部审计人员从“幕后”逐渐走向“前台”《萨班尼斯—奥克斯莱法案》第404条款——管理层对内部控制的评价,要求管理层对本组织内部控制状况进行评价,担任年度财务报告审计的会计师事务所应当对其进行测试和评价,并出具内部控制评价报告。因为内部控