卷毛咕咕
一、公司治理与风险导向内部审计紧密相连
(一) 良好的治理环境激发对内审的需求
20世纪90年代后,亚洲金融危机爆发,随后一系列舞弊案件陆续发生,直至安然、世通的重大舞弊事件,进一步凸显了公司治理的重要性。风险成为企业在治理过程中制定战略、科学决策时务必考虑的重要因素。公司治理研究的热点逐步演变为治理机制的质量问题。良好的治理环境需要有效的内部控制和风险监控。如果一个组织内部控制失败,就会大大影响组织目标的实现,影响组织价值增值。而组织中利益相关者无法亲自监督企业运营,激发了对受托责任的需求。治理的相关利益者寻求把内部审计作为受托责任的有效主体,履行对企业内部控制和风险的监督作用。内部审计被提升到公司治理的高度,为董事会和管理层的管理活动提供服务。
(二)公司治理与风险导向内审的融合
不断增加的风险因素成为连结公司治理与内部审计的桥梁。20 世纪末,在公司治理的广义概念中,风险成为公司治理必须考虑的重要因素。在风险力量的推动下,SOA发布后,董事会、高级管理层、内部审计和外部审计四者密切相关,成为治理的四大基础。其中内部审计在协调发展其他三个主体关系中发挥着重要的作用。2004 年COSO委员会正式发布了企业风险管理框架ERM。内部审计在ERM框架下,发展到风险导向阶段,提升到参与企业战略管理的分析评价。它与公司治理通过内部控制、风险、道德遵循等一致因素形成有机整合。内部审计成为利益相关者极具价值的资源,促进改善公司治理以实现组织目标。
二、风险导向内部审计的治理功能
(一) 确保受托责任履行
内部审计随着受托责任的延伸,得到了不断的发展变化。SOA明确要求上市公司应当成立内部审计机构,同时建立内部审计制度,以寻求将内部审计与公司治理相结合。IIA则要求董事会的公开报告中必须提交公司治理和内部控制情况。
(二) 风险评估与控制确认
公司治理的核心工作在于风险管理。风险导向内部审计通过评价被审计领域的现有风险,向管理层和审计委员会报告评估结果;制定整个组织风险的计划,领导风险管理活动;利用风险自我评估技术推进风险评价;评价与IT发展状况相联系的风险,如果风险超出可接受水平就终止该项目,协助管理层推行贯穿整个组织的风险模型。控制确认要求在职能范围内测试控制的遵循性,向管理层和审计委员会报告结果;协助管理层设计综合的评价方法;协助编制内部控制有效性的报告;识别重大控制缺陷,并向审计委员会报告;推行计算机测试技术;通过控制自我评估技术帮助理解和发展职责领域的控制。
(三) 遵循性与咨询服务
内部审计部门对企业经营者各项责任的履行情况、是否按照规定从事生产经营活动、有无违法乱纪行为以及会计报表是否真实进行评价和鉴定。咨询职能将事后的反馈职能扩展到事前、事中的控制与促进,通过咨询服务,可以从改善风险管理和控制流程中,向董事会提供关于风险管理和内部控制制度运行情况的分析和确认,保证受托责任的履行,最终帮助增加组织价值。
(四) 增加组织价值
现代内部审计就是以风险为导向,通过提供“确认——咨询”服务,改善公司治理、增加组织价值。确认与咨询活动共同构成风险导向内部审计的主要工作。内部审计通过确认活动,评价公司财务会计责任、评价财务报表的真实性、公司资产的完整性以及股东权益的'保障性,从而确认受托人的财务责任。咨询活动则是评价管理层经营责任,通过审查与评价经营管理活动,衡量经济性、效率性及效果性,向公司治理层提出咨询建议和改进意见。
三、我国公司治理中的风险导向内部审计
我国企业的内部审计是在行政干预下建立起来的。随着企业治理模式的变更,经济型治理模式逐步发展,内部审计的职能作用也在不断转变。实践表明,随着治理的发展和公司规模扩大,市场竞争愈加激烈,风险随之增加,公司就越需要来自内部的监督力量,内部审计机构的重要性则愈显突出。内部审计机构设置和人员配备也将愈加规范完善,以满足治理需求。当财务舞弊案件频发的时候,就会引发我们对内部审计监督成效的质疑,那就是在风险导向下,我国内部审计如何实现对治理的有效服务。
(一) 发展现状分析
1.风险导向内部审计还未能真正深入公司治理层面
21世纪的公司治理和风险导向审计都进入了高速发展的新时代。关于风险导向审计和阐述内部审计治理功能的文献大量涌现。2004年,COSO委员会在COSO报告的基础上,正式发布了企业风险管理框架COSO-ERM,标志着风险成为公司治理、内部控制及内部审计重点关注的内容,ERM已将风险评价、风险反应等八大要素深入到企业战略目标层面,风险贯穿风险导向内部审计在治理控制的全过程。在我国实务中,上市公司是被公认关注治理的,《上市公司治理准则》也对设置审计委员会及其职责有明确规定。但其他企业有的内部审计尚未达到风险导向阶段,有的即使开展了风险导向审计工作,却尚未能有效地将风险控制应用到公司治理的全过程。可见在我国实务中,风险导向审计为公司治理提供多元化增值服务的能力还有待加强,风险控制的效率效果也有待进一步提高。
2.公司治理模式对风险导向内部审计的影响
内部审计隶属模式直接影响内部审计的独立客观性,影响到对公司治理发挥作用的效率效果性。实践表明,内部审计隶属在总裁、董事会( 审计委员会) 的公司治理绩效优于隶属模式在监事会和财务部的公司。在这里必须要讲到审计委员会,它因强化内部审计独立客观性,加强财务报告真实可靠性,成为公司治理的一项重要制度。但由于我国公司治理结构的缺陷,审计委员会在我国发展还很不成熟。虽然近年来已经陆续有较多上市公司加入到设置审计委员会的行列,但其在我国上市公司的设置与运行的有效性令人堪忧。审计委员会在我国尚未形成完整的理论体系与规范方法。必须进一步加强公司治理模式的改革,有效提升审计委员会的地位和作用,才能提升内部审计的治理绩效。
(二) 完善内部审计,提升治理水平
1.全面提高治理水平
良好的治理机制是内部审计发挥作用的基本保证,单纯依赖治理环境进行风险导向审计发现问题是不现实的。较差治理环境下的内部审计失败的可能性较大,特别是风险导向下,若董事会、股东机制不健全,内部审计独立性、权威性不足,信息披露不透明,就会影响到对风险评价和控制的效果。全面提升公司治理水平,董事会和利益相关者权益起了决定性作用。一方面,必须加强董事会在治理和内部审计上的功效; 另一方面,公司的信息披露机制和激励机制亟待进一步加强,以解决近年来审计失败和诉讼事件增加的根本矛盾。因此在完善内部审计机制的同时,不断提升治理水平势在必行。
2.推进风险导向内部审计理念
2012年开始执行的新审计准则全面体现了风险导向审计的理念。我们应在内部审计实务工作中不断引入和实践风险导向审计理念,完善风险导向内部审计准则建设,充分认识到风险评价系统的重要性和必要性。有效识别、评估和应对经营风险和审计风险,进一步增强审计师识别和应对舞弊风险的能力,从而提高审计的效率和效果,最终达到控制风险的目的。
3.完善审计委员会
审计委员会是独立于管理层的一个监督机构。其和监事会、内部审计部门相互协调合作才能有效提升公司治理效率。SOA法案把审计委员会提升为公司必须设立的法定审计监管机构。同时所有上市公司必须出具有关证明,证明其内部审计职能是否得到充分发挥。从图2看出,在完善的内部审计组织结构及报告模式中,审计委员会起着越来越重要的桥梁作用,主要职能表现在监督、复核、沟通和报告。
4.建立内部审计的双重报告制度
内部审计部门具有较高的独立性,使得它能以超然的态度,作为治理层面一种良好的监控手段,站在企业全局的高度对风险进行监控与管理。同时,由于内部审计所处的特殊地位,可以直接向董事会报告,也能加强企业风险管理的有效性。因此,当首席审计执行官直接向总裁和董事会( 审计委员会)进行双重报告时,就能形成较好的治理机制。内部审计的这种双重报告模式,能充分体现受托责任,能有效提升治理效果。中国证监会和深交所就要求上市公司设立内部审计机构,直接对董事会负责。
5.拓展风险导向内部审计参与公司治理的内容
在经济环境日益复杂的今日,企业竞争日趋激烈,经营管理也愈发艰难,内部审计迫切需要进入高风险领域,对财务及非财务领域的相关信息、对影响管理水平的风险因素进行深入分析,从而进行评价和控制,防止重大舞弊和资产流失。从战略层面进行有效的风险防控,可以在战略层面向管理者提供内部控制和风险管理的建议,实现审计工作的事前服务职能。从内部审计的发展转变历程来看,它从财务审计、经营审计,发展到现代治理型内部审计模式,即伴之以内控评审、风险管理审计、战略审计、3E审计、舞弊审计等内容并存的模式,这种多元化的发展模式必将成为我国风险导向内部审计未来的发展模式。良好的治理要求强而有力的监督环境。此需求推动了内部审计向风险导向阶段发展,并且逐步丰富其内涵。然而,组织的最终目的是增加价值,如此强有力的监督是否影响企业的激励机制,是否导致管理者循规蹈矩而削弱其改革创新的能力,内部审计在工作中也面临如何权衡严肃监督机制和促进企业增值两者间的关系。如何在合法、合理的情况下平衡企业经营活动的“3E”性( 即经济性、效率性和效果性) ,有待进一步地探索研究。
偶是九九
很多人都会认为,在审计过程中审计人员与被审计单位财务人员会彼此对立、相互抵触、关系紧张,现实中真是这样的吗,如何处理好这种微妙的关系呢?审计方与被审计单位绝对不是对立关系,甚至应该和谐配合,互相促进。在大部分被审计单位财务人员眼中,一说到审计,就觉得是来找事儿的,打一开始就抱着一种抵触情绪展开非抵抗不合作运动.面对审计单位提出要求,大部分答复都是消极的。反过来,审计人员在遇到这种抵触的时候,又会想:“看你们遮遮掩掩的样子,问题肯定很多,这也不让看,那也说没有,行啊,你们不是不合作吗,那我就仔仔细细,认认真真的查,不弄个底儿朝天,决不罢休。”这样一来,双方就变成了一种对立的关系,对谁都没好处。审计单位由于被要求的时间紧张,工作量大,同时又不能得到被审计单位的配合,只能加班加点搜集各种信息以便取得足够的审计证据做出正确的审计结论。对于被审计单位来说,本想采用拖延手段,让审计人员知难而退,不了了之,凑合着出个报告就行了,谁知审计人员反而增加了审计程序,延长了审计时间,要求提供更多的公司资料。整个过程更加苦不堪言。那么究竟如何处理双方的关系,才能做到更和谐、更高效呢?本人总结了几点,跟大家分享:1、首先:彼此尊重;(1)尊重对方的时间:审计人员每个项目时间要求都很紧,一般几千万到一个亿左右的中型企业,现场审计时间都在一周左右甚至更短;但是,被审计单位财务人员除了配合审计,也都有自己的岗位工作,并非专职配合审计。因此,审计人员要把握恰当的沟通时机,比如尽量避开月末结账、或者在早上处理杂务时;要把握恰当的沟通技巧和方式,简明扼要,易于操作,不要让对方帮忙做一些低级的汇总工作;作为被审计单位财务人员,也尽量不要浪费时间,已有的资料尽快提供,需要突击补充的资料也需要加班补上,快速而专业的水准会让对方觉得你就是整理出来的资料而并非“补”的。(2)尊重对方的专业水准:企业财务人员大部分可能确实不如注册会计师那么紧跟会计审计动态,对准则的把握也不一定那么到位,但是对于自己公司的情况确实非常熟悉,对自己这个行业也非常了解,同时也能灵活的将准则、法规运用于自身财务管理方面。因此,审计人员与企业财务人员各有特点,在广度和深度方面各有优势,审计人员无需咄咄逼人,财务人员也不用觉得对方班门弄斧。
小小桐桐
内审、内控与公司之间的关系
内审、内控、公司之间有什么关系你知道吗?下面是我为大家带来的关于内审、内控、公司之间的关系的知识,欢迎阅读。
一、问题的提出
改革开放以来,国有企业以现代企业制度为载体的产权制度改革和创新已经取得世人瞩目的成果,中国银行、中石化、中石油等特大型国有企业纷纷进行了股份制改造,开始登陆国内和国际资本市场。当前,外部监管不得力、内部治理不到位,不仅是国有企业在现代企业制度建立过程中的基本国情,也是国际资本市场发展中面临的最大挑战;一些会计舞弊、粉饰报表等欺骗投资者的行为,不仅损害了投资者的利益,也严重动摇了投资者的信心和资本市场的公信力基础。因此,公司治理从来没有像现在这样受到广泛的关注和重视,人们认识到只有建立一套完整的治理系统,才能彻底解决舞弊、腐朽和管理不当的问题。在这一系统中,内部审计与内部控制是必不可少的组成部分。
二、内部审计、内部控制、公司治理三者释义
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务,目的是协助组织的管理成员有效地履行他们的职责,控制成本费用,达到服务于企业管理,最大限度地提高经济效益。顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。”这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
财政部、证监会、审计署、银监会、保监会于2008年7月联合发布了《企业内部控制基本规范》(征求意见稿)。该规范将于2009年7月1日起首先在上市公司范围内实施,并鼓励非上市的其他大中型企业执行。根据该规范,内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。内部控制的目标包括:企业战略,经营的效率和结果,财务报告及管理信息的真实、可靠和完整,资产的安全完整,遵循国家法律法规和有关监管要求。
公司治理,从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。从主要功能上来说,公司治理的范围可以包括:股东、董事会(决策者);管理阶层(执行者);审计人员(包括内部审计人员及外部审计人员等监督者);其他利益关系人(如顾客、供应商、债权人及员工等影响者)。从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此,会计信息系统本身是公司治理结构的组成部分,而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件,而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深入,在范围上更为广泛。
三、如何辩证看待内部审计、内部控制、公司治理三者的关系
第一,内部控制和内部审计是公司治理的内在需求。公司治理是现代企业制度的永恒命题。公司治理是相当严密和复杂的系统工程,要求企业生产要素、产权要素以及企业相关利益者的权、责、利得到合理匹配与分工,要求权利制衡、激励和监督机制的严格和周密的控制运行,通过完整系统的制度安排和控制程序,使企业的人流、物流、资金流、信息流都能按照既定的流量、流速、流向在执行中起动、运行、停止。所有权与控制权的分离是现代企业制度最显著的特征之一,伴随着股份制公司的诞生和发展,从股东到公司员工的层层授权和代理,就成为公司内外部各利益相关者最为核心的关系。为了防范可能发生的委托人与代理人的利益目标错位甚至背离,规避可能存在的代理人为自身利益而损害委托人利益,即所谓“道德风险”的发生,在公司治理的理论和实践中,各种对代理人的经营管理、经营绩效进行有效监督和控制的制度安排和控制机制被设计和制定出来,并逐步形成了“关系框架+制度安排+控制机制”三者合一的公司治理架构。
第二,内部审计是内部控制的重要手段。事实证明,股份制公司挂牌上市了,并不等于现代企业制度就已经建立了,如果没有公司治理,或者公司治理不到位,就不是真正意义上的现代企业制度。前审计长李金华在总结我国内部审计工作的优势和不足的时候,针对目前内部审计存在的“重监督轻服务、重结果轻过程、重财务轻业务、重合规轻效益、重单项轻系统、重当期轻长远、重查处轻建议、重独立轻互动”等问题,多次强调“内部审计机构很重要的一点,就是为你所在的单位、部门在加强管理、提高效益、建立良好的秩序方面发挥作用,这就是内部审计的主要目标”,提出了要“把内部审计作为一个控制系统,而不是一个检查系统”、“内部审计要以效益审计和管理审计为主”、“内部审计要以事前、事中审计为主”、“内部审计要以体现中国特色为主”等全新的内部审计理念,为内部控制、内部审计在公司治理中的地位和作用指明了方向。
第三,内部控制是公司治理的核心内容。公司治理既是一个静态的组织架构和控制机制,也是一个动态的螺旋式不断趋向完善的过程。在公司治理初始,治理目标定位在防范“道德风险”,治理手段主要依靠资本市场的作用和社会中介的会计控制。随着全球经济一体化进程的加快和跨国公司的发展,人们把关注的目光从道德风险转移到管理风险、经营风险、被兼并风险上,因为这些风险对企业生存和发展具有生死攸关的意义,公司治理的目标也从股东和公司利益最大化,转变提升为公司价值的最大化。这些都迫切需要在企业内部建立起自我约束、自我控制、自我监督的内部机制,与外部约束、控制和监督形成合力,共同承担起建立科学严密的公司治理机制、完成公司治理任务的重任。
从中石化集团公司2006年审计工作会议披露的情况来看,目前中石化经营管理中出现了部分单位执行国家法律法规和集团公司各项规章制度不严格,私设“小金库”账外账、乱拆借、乱担保;违反总部物资采购管理规定,加大采购成本,收受回扣;违规动用企业资金和补充养老保险资金进行股票炒作和委托理财,形成较大的资金风险等等问题。这些问题产生的原因虽然是多方面的,但内部控制不严、内部审计不力、内部监管不到位是不容忽视的重要因素。由此看出,内部审计、内部控制、公司治理三者辩证关系的重要性。
四、内部审计、内部控制、公司治理三者的目标:风险管理
风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:一是能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此,对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。二是控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的.风险管理策略。三是内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
公司治理的核心是风险管理。公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;公司治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及代理理论中提及的代理问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(CEO)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。
显然,与外部审计相比,内部审计在健全公司治理机制特别是强化内部管理和控制方面具有得天独厚的优势。与时俱进的内部审计,应该围绕公司治理机制的健全完善,以风险控制为导向,以监督检查内部控制活动有效性为主线,以促进提高风险控制能力为目标,坚持跟着风险走,哪里有风险,内部审计就跟到哪里,在公司治理中发挥出更大的作用。
五、结语
风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理过程中去,公司治理方见成效。而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。目前,我国内部审计基本上未与公司治理相结合,成为公司治理的有机部分,对风险管理也不够关注。为此,要逐步完善企业法人治理结构,明确企业外部和内部的委托代理关系,培养管理者的竞争意识和风险意识,形成内部审计的需求市场,为内部审计的发展创造良好的环境。同时,要顺应内部审计科学发展的客观规律,在实践中有意识地推动风险导向内部审计的发展。从强调确认和测试控制的完整性,逐步转向强调确认和测试风险是否得到有效管理;从传统的强调关注风险因素,逐步转向关注前景规划。内部审计的建议应不再仅是强化控制、提高控制效率和效果,而应该通过风险管理的有效化,评价并改进组织的治理程序,提高公司整体的管理效率和效果,做到内部审计、内部控制与公司治理的有机融合,进一步完善公司治理结构,规避公司风险,实现公司价值最大化。
优质审计师问答知识库
