1内部审计案例研究一、西方的内部审计二、我国的内部审计三、内部审计典型案例分析世界通信公司(WorldCom)案例通用电气公司(GE)案例百事(Pepsi)集团案例航天通信公司案例金鹰国际集团公司案例2导入:内部审计是公司治理机制的重要组成部分,具有枢纽地位。它是对内部控制的再控制,能够充当管理者延长的手臂或长在背后的眼睛。同时,它还能为注册会计师审计和国家审计等外部审计监督提供重要基础。尽管内部审计不可或缺,实务运用也在蓬勃发展,但限于企业内部审计的信息披露较少,理论和案例研究相对而言还是有些滞缓。就有限的公开资料来说,世界通信公司、百事集团公司、通用电气公司等内部审计的成功范例,具有很强的现实借鉴意义。3一、西方的内部审计(一)内部审计的系统理论和职业形成1940年以前,内部审计是外部会计公司的一个助手。1941年,美国学者布林克(Victor.Z.Brink)出版了世界上第一部内部审计专著《内部审计:性质、职能和程序方法(InternalAuditing——Nature,FunctionsandMethodsofProcedure)》,阐述了包括内部审计性质和范围在内的内部审计突破性的研究成果,宣告内部审计学的诞生,成为内部审计学科的“开山鼻祖”。布林克指出,内部审计应该作为公司管理层的服务者,而不是作为外部审计的助手。41941年底,约翰.瑟斯顿(JohnB.Thurston在美国倡导成立了世界上第一个内部审计师协会(InstituteofInternalAuditors,IIA),被尊为“内部审计师协会之父”,内部审计开始成为引人注目的职业。5(二)内部审计观念的演变1947年,国际内部审计师协会(IIA)在首次公布的《内部审计师职责说明书(theStatementofResponsibilitiesofInternalAuditor,SRIA)》中,将内部审计第一次定义为:“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题。”从这个定义可以看出,内部审计已经从财务会计分离出来,成为一个独立的职业,但它仍然以财务、会计为基础,还停留在财务审计的阶段。61957年,《内部审计师职责说明书》将内部审计定义修订为:“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务,是一种衡量、评价其它控制有效性的管理控制。”内部审计的内涵得到扩展,首次提出内部审计“衡量、评价其它控制有效性”的作用,标志着内部审计由财务审计向经营审计的迈进。虽然在定义中依然强调财务审计的主要地位,但至少表明经营审计已成为内部审计的重要内容。71971年,《内部审计师职责说明书》对内部审计重新定义为:“内部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其它控制有效性的管理控制”。本次定义最突出的一点,是强调“建立在审查经营活动基础上”,而不是“建立在财务会计基础上”。这表明内部审计已经完成从财务审计到经营审计的成功转型。内部审计目标由查错防弊走向兴利,由防护性走向建设性。81978年,国际内部审计师协会正式批准的《内部审计从业标准》中继续发展内部审计概念:“内部审计是建立在以检查、评价组织为基础的独立评价活动,并为组织提供服务。”这条定义最令人注目的变化,是内部审计从“为管理服务”向“为组织服务”拓展,强调内部审计要站在整个组织的立场上观察和评价问题,为组织的长远的和全局的利益服务。内部审计由从简单、直观的兴利,发展为高层次、综合性的兴利。91990年,《内部审计职责说明书》提出:“内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。”把内部审计定义为“建立在一个组织内部”的服务工作,以此与外部审计相区别。101993年,国际内部审计师协会将内部审计定义发展为:“内部审计是一个组织内部为检查和评价其活动和为本组织服务而建立的一种独立评价活动,它要提供所检查的有关活动的分析、评价、建议、咨询意见和信息,以协助本组织成员有效地履行其责任。”此次定义明确了内部审计为组织服务的具体含义,即“分析、评价、建议、咨询意见和信息,以协助本组织成员有效地履行其责任”。111999年,IIA在《内部审计实务框架》中提出了内部审计的新定义:内部审计是一种独立、客观(特性)的确认和咨询活动(职能),旨在增加价值和改善组织的运营(目标)。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果(对象),帮助组织实现其目标(宗旨和目的)。12“InternalAuditingisanindependent,objectiveassuranceandconsultingactivitydesignedtoaddvalueandimproveanorganization''soperations.Ithelpsanorganizationaccomplishitsobjectivesbybringingasystematic,disciplinedapproachtoevaluateandimprovetheeffectivenessofriskmanagement,control,andgovernanceprocesses.”13(三)内部审计的最新定位⒈特性:从独立性到客观性在传统观念中,“独立”是内部审计的一个重要特征,也被认为是保证内部审计效果的一个重要要求。因此,从1947年第1个定义开始,国际内部审计师协会一直坚持内部审计是一种独立的评价活动。但在最新定位中,国际内部审计师协会更强调了客观性。从本质上说,客观是一个更为根本和广泛的概念,含义更广的“客观”是内部审计职业的显著特点。内部审计部门能为企业增加价值,就是因为他们对改进经营与控制的分析与建议是客观的。14为了保持客观性,国际内部审计师协会要求内部审计师:(1)不应该参加任何有可能损害或者假定会损害他们无偏见的评估的活动或关系,包括可能与组织的利益有冲突的活动或关系;(2)不应该接受任何可能损害或假定会损害他们职业判断的东西;(3)披露所有知道的重要事实,只要如果不披露将会歪曲对所审查的活动的报告。15问题:如何理解独立性的地位?一味“独立”的要求,对内部审计人员造成了不必要的约束,它限制了由谁来提供服务以及可以提供哪些服务。而且,把“独立”凌驾于其他概念之上,会使内部审计部门在提供服务时相对于外部服务提供者处于竞争的劣势,因为后者往往处于“更独立”的位置上。对于内部审计来说,其形式上的独立性肯定不如外部审计,如果就此认为内部审计不如外部审计,那是十分荒谬的。16独立是一种手段,而客观才是最终的目标。试想如果审计活动是独立的,但却由于种种原因没有反映事物的客观面貌,那这种活动就没有效率和效果,甚至造成决策失误,十分有害。反过来,只要保证了客观,就不必要死守独立不放。美国FASB原来倡导以规则为导向的会计准则模式,由于一味以规则(即手段)为重,最终导致不少公司钻规则的空子,发生了安然和世通等等假账丑闻。美国SEC认为,需要摒弃以规则为导向的模式,以及IASB提倡的以纯原则为导向的模式,而采取以目标为导向的模式。此举说明目标是第一性的,而规则乃至原则,都只是一种达到目标的手段。17需要说明的是,独立性的概念并非毫无用处。遵守独立性有助于达到客观性,作为一种手段应该发挥自己的作用。在美国会计学会当前的研究中,“独立”被表述为“无阻碍地决定工作范围和无阻碍地完成工作的能力”。国际内部审计师协会认为,独立是对审计活动而言,客观是对内部审计师个人而言。显然审计活动是以内部审计师为基础的,“内部审计活动应该在决定内部审计范围、开展工作以及汇报成果时不受干涉”。18⒉职能:确认和咨询活动确认:为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查,例如财务、绩效、合规性、系统安全和尽职调查等业务。“确认”而非“保证”,理由如下:(1)“保证”对内部审计的职能定位太高内部审计作用的发挥在很大程度上取决于组织高级管理层的管理基调、企业文化及内部控制意识等因素,因此,内部审计无法全面保证组织的各项经营活动。实际上,内部审计活动是通过检查,对审计的事项予以确认,在此基础上提出评价意见和建议,“确认”职能是内部审计的一项传统职责。19(2)内部审计的“保证”程度不可能高于内部控制内部控制是指为了合理保证公司各项经营活动正常运行,实现特定目标而建立的一系列政策和程序。内部审计是内部控制的要素之一,职能是对其余内部控制要素的再控制。(3)内部审计不能“保证”任何事物IIA内部审计定义中的“assurance”与“保证”(ensure、guarantee、safeguard)的意思无关,它是指管理层制定各项方针政策、制度和业务项目,经过内部审计人员检查,对其制定及执行状况是否有助于实现组织目标予以确认,出具结论性意见,以增强组织实现其目标的自信。20确认性服务和咨询性服务是相辅相承的,确认性服务常常直接产生咨询性服务,咨询性服务也可能衍生出确认性服务。咨询:性质和范围需与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程,如顾问、建议、推动、培训等业务。21“现代内部审计之父”劳伦斯.索耶(LawrenceB.Sawyer)认为:“内部审计师是内部咨询师,而不是内部的冤家对头;是家中的宾客,而不是街上的巡警,他不仅要寻找那些或大或小的错误,而且要为改善业务活动提供指南;他不是处分众人的事后诸葛,而是鞭策人们励精图治的咨询师,他不仅关心事情是否做得恰当,而且关心该做的事是否做了。”22⒊对象:风险管理、控制和治理过程在审计领域,“风险”一词仿佛较多地与独立审计相联系,传统的内部审计着重于内部控制制度和经营机制。市场经济条件下,企业面临着内外部环境的不确定性,企业的风险普遍增大。例如:内部的有财务和经营信息不足、政策计划和标准贯彻失败、资产流失、资源浪费和无效使用等等,外部的有消费者偏好变化、国家宏观政策调整、国际金融市场动荡等。企业迫切需要内部审计通过一套系统、规范的方法,评价和改进风险管理及控制、治理过程的效果。2324内部审计师在企业全面风险管理中的核心作用,是为管理层和董事会就风险管理的有效性提供确认。内部审计在此核心作用之外拓展业务活动时,应当采取一定的安全措施,包括将业务看作是咨询服务并因此适用所有相关的标准,保护其确认服务的独立性和客观性。25来自管理层对全面风险管理的确认是最基本的,而内部审计是客观确认的主要来源,其它来源包括外部审计师和独立的专家检查。内部审计师提供三方面的确认:(1)风险管理过程,包括其设计和运行情况;(2)对“主要”风险进行管理,包括控制的效果和其他应对措施;(3)可靠、适当的风险评估,以及对风险和控制情况的报告。26研究表明,董事会成员和内部审计师均认可内部审计为组织增加价值的两种最重要的方式是:(1)为主要业务风险已得到适当管理提供客观确认;(2)为风险管理和内部控制框架正在有效地运作提供确认。27内部审计师在考虑风险、了解风险和治理之间的联系及推动方面的专长,意味着内部审计部门完全有能力作为企业全面风险管理的推动者,甚至项目的管理者,特别是在引入企业全面风险管理概念的早期。随着组织风险成熟度的增加和风险管理在业务操作中的不断深入,内部审计对企业全面风险管理的推动作用可能会减弱。如果组织雇用了风险管理专家或机构服务,则内部审计更可能通过专注于确认作用来增加价值,而不是通过更多地开展咨询活动。28内部审计师和风险经理的联系:共享某些知识、技能和价值,都了解公司治理的要求,具有项目管理、分析和推进技巧,重视良好的风险平衡而不是极端地承担或者逃避风险。内部审计师和风险经理的区别: