内部审计与持续监督
本站原创 摘要:内部审计自诞生以来,其目标已从最初的查错防弊发展至通过独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。特别是内部审计已成为组织内部控制制度有效性的持续监督主体,如何发挥其作用,提升持续监督的效率和效果是本文论述的中心问题。
关键词:内部审计;监督要素;持续监督
会计史学家Richard Brown曾这样描述:“审计的产生可以追溯到比会计产生稍晚的时期……当社会文明发展到某个人被其他人托付财产具有必要性时,那么对前者忠诚进行某种检查的合理性就显而易见了。”交易复杂性和交易数量的不断增长,企业主/委托人远离交易的源头,对报告主体(人)的潜在偏见,需要外部和内部审计采用独立验证的一些方法,以减少企业及非企业组织内账务记录错误、资产盗用与期诈行为。
内部审计是整个审计组织体系的基础。我国审计组织体系包括国家审计、内部审计和民间审计三部分。不同的审计主体,其基本职能也不一样。国家审计是国家机关对受托管理者的经济责任进行监督,由审计机关对被审计单位财政财务收支的真实合法性和效益依法进行审计监督;民间审计是接受委托实施的企业财务报告审计、资本验证及法律规定的其他鉴证业务;内部审计作为一种服务于管理当局的面向未来的检查和评价,以监督职能为基本职能,同时结合以评价、确认和咨询为主要内容的服务职能。
IIA(国际内审协会)初期公布的《内部审计职业实务准则》将内部审计的定义和目标表述如下:“内部审计是在组织内部设立并服务于组织的一种独立的评价活动。它是一种控制,通过检查和评价其他控制的适当性和有效性来发挥作用。内部审计的目标是协助组织成员有效地履行其受托责任。为此,内部审计提供与所审查活动相关的分析、评价、建议、咨询和信息。审计目标包括以合理的成本促进有效的控制。”
然而IIA成立后的最初几年,内部审计仍被视为与外部审计人员工作紧密相关的扩展。人们认为内部审计人员仅在组织内发挥着一般的作用。
由于管理和执行之间的距离不断扩大,有必要发展一系列控制行为,使企业得以有效地管理。内部审计人员通过每种形式的控制进行现场评估,来完善和完成每一个执行活动。内部审计的职能由最初的单纯的监督发展到监督与评价职能的结合。内部审计的活动范围,已扩展到诸多管理咨询服务,如:检查和评估会计、财务以及业务控制的合理性、适当性和适用性;确定所制定的方针、计划和程序的遵循程度;确定为避免各种损失对公司资产报告和保护的程度;确定组织内部所产生的会计数据及其他数据的可靠程度;评估履行职责的工作质量。
企业环境经历迅速的、革命性的变化,对全世界的组织产生了深远影响。管理层在面对全球激烈竞争时作出反应,主动提高质量,管理风险、结构以及流程,需要为决策提供更及时、可靠、相关的信息,在这种趋势下,内部审计被视为帮助改善治理,支持关键治理程序的最合格的职业团体。“内部审计的范围包括检查和评价组织内部控制系统的适当性和有效性,及履行职责的工作质量”。另一方面,一系列诸如“安然”、“世通”舞弊案的发生,促使《萨班斯—奥克利斯法案》出台,与此前赞助委员会(COSO)发布的报告相结合,明确内部审计部门在评价和维护内部控制有效性方面具有重要的作用,是公司持续监督内部控制的主要部门。从而使内部审计成为继高级管理层、董事会、外部审计师之后现代公司治理的第四大基石。IIA将内部审计重新定义为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”
监督程序的实施包括持续监督和单项评估,前者为管理层提供关于控制有效性的日常信念,后者提供定期的确认。持续监督程序植入企业日常的、反复发生的经营活动中。由于持续监督程序被常规性地执行,常常是在实时的基础上,最早识别和纠正控制缺陷。持续监督有效性越高,对单独评估的需要程度就越低,在进行单独评估时也可充分利用在持续监督中所获得的信息。我国企业对内部控制监督制度的建设主要强调单独评估,对持续监督重视不够,未将监督纳入企业日常的控制活动中,降低了监督的效果和效率。内部审计作为内部人审计,它所接触的信息是及时可靠的,可以随时根据单位主要负责人或权力机构的要求行使审计职能,具有经常性和广泛性的特点。内部审计既是内部控制的组成部分,又要反过来对内部控制的有效性进行评价,自然应该承担持续监督组织内部控制有效性的职能。
我国也采用设置审计委员会的做法,但其实际适用范围有限,目前主要是在我国的上市公司得到较严格的执行,落实情况并不理想。很多组织的内部审计部门由单位主要负责人直接领导,似有一定的独立性,但内部审计的工作没有形成常规的经常的活动,而是受命于单位负责人,审与不审,审哪里这样的问题完全成为一种个人行为,内部审计的随意性很大,根本不能满足持续监督的要求。内部审计部门应该对组织负责,鉴于此,在组织内部设置一个内部审计委员会,其成员应由单位负责人、各职能部门负责人和单位内部的参与经营管理常规工作的业务代表组成,内部审计部门应由内部审计委员会领导,对其负责。
要改变上述状况,首先,内部审计的宗旨、权力和责任都应在组织正式的书面文件中做出规定,该书面文件的内容应当包括:明确内部审计部门在本组织的地位;列席董事会、经理会议及类似权力机构会议;有权接触与审计范围有关的记录、人员和实物资产;明确内部审计活动的范围。机构设置上的高层性,并不能完全保证其工作的有效性。要保持内部审计工作的活力与动力,还应建立健全行之有效的激励机制和严格的责任约束机制。
其次,内部审计活动的展开应有一个长远的规划,使其成为一项长期而稳定开展的工作,将规划以组织最高层次的文件形式下发到各职能部门,明确管理层对内部审计的一贯重视程度,使组织内各个成员普遍地重视与遵循。
最后,内部审计的职能要求其保持与其他职能部门的独立性,不能承担任何具体的管理责任,为获得内部审计评价,确认所需的各种信息,避免信息的不对称,内部审计部门应扭转以前被动工作的局面,主动与其他职能部门加强沟通。由于内部审计往往被视为领导的灭火器,其他职能部门总是对内部审计部门敬而远之,因此,开始时,应制定内部审计定期沟通会议制度,内部审计工作部门不要以监督者自居,而应真诚地为组织各管理层服务,树立为管理服务的宗旨,采用提供咨询、建言献策的工作方法,帮助其他职能部门加深对内部控制制度的理解,主动遵循和执行内部控制制度,只有当管理层切实认识到建立健全内部控制制度的好处,得到执行内部控制制度的实惠之后,管理层自然会主动联系内部审计部门。这种不以监督为目的的工作形式反而形成对各管理层的事前的、持续的监督。
主要参考文献
[1]王光远。内部审计思想[M]。北京:中国时代经济出版社,2006.
[2]韩洪灵,郭燕敏,陈汉文。内部控制监督要素之应用性发展[J]。会计研究,2009(8)。
关键词:内部审计;监督要素;持续监督
会计史学家Richard Brown曾这样描述:“审计的产生可以追溯到比会计产生稍晚的时期……当社会文明发展到某个人被其他人托付财产具有必要性时,那么对前者忠诚进行某种检查的合理性就显而易见了。”交易复杂性和交易数量的不断增长,企业主/委托人远离交易的源头,对报告主体(人)的潜在偏见,需要外部和内部审计采用独立验证的一些方法,以减少企业及非企业组织内账务记录错误、资产盗用与期诈行为。
内部审计是整个审计组织体系的基础。我国审计组织体系包括国家审计、内部审计和民间审计三部分。不同的审计主体,其基本职能也不一样。国家审计是国家机关对受托管理者的经济责任进行监督,由审计机关对被审计单位财政财务收支的真实合法性和效益依法进行审计监督;民间审计是接受委托实施的企业财务报告审计、资本验证及法律规定的其他鉴证业务;内部审计作为一种服务于管理当局的面向未来的检查和评价,以监督职能为基本职能,同时结合以评价、确认和咨询为主要内容的服务职能。
一、内部审计目标的发展
刚开始,内部审计作为内部经营职能主要集中在防止工资欺诈、和其他资产的损失方面;很快地,内部审计范围扩展到对几乎所有财务事项的验证;随后,其重点逐步从“为管理而审计”发展到“对管理进行审计”上。IIA(国际内审协会)初期公布的《内部审计职业实务准则》将内部审计的定义和目标表述如下:“内部审计是在组织内部设立并服务于组织的一种独立的评价活动。它是一种控制,通过检查和评价其他控制的适当性和有效性来发挥作用。内部审计的目标是协助组织成员有效地履行其受托责任。为此,内部审计提供与所审查活动相关的分析、评价、建议、咨询和信息。审计目标包括以合理的成本促进有效的控制。”
然而IIA成立后的最初几年,内部审计仍被视为与外部审计人员工作紧密相关的扩展。人们认为内部审计人员仅在组织内发挥着一般的作用。
由于管理和执行之间的距离不断扩大,有必要发展一系列控制行为,使企业得以有效地管理。内部审计人员通过每种形式的控制进行现场评估,来完善和完成每一个执行活动。内部审计的职能由最初的单纯的监督发展到监督与评价职能的结合。内部审计的活动范围,已扩展到诸多管理咨询服务,如:检查和评估会计、财务以及业务控制的合理性、适当性和适用性;确定所制定的方针、计划和程序的遵循程度;确定为避免各种损失对公司资产报告和保护的程度;确定组织内部所产生的会计数据及其他数据的可靠程度;评估履行职责的工作质量。
企业环境经历迅速的、革命性的变化,对全世界的组织产生了深远影响。管理层在面对全球激烈竞争时作出反应,主动提高质量,管理风险、结构以及流程,需要为决策提供更及时、可靠、相关的信息,在这种趋势下,内部审计被视为帮助改善治理,支持关键治理程序的最合格的职业团体。“内部审计的范围包括检查和评价组织内部控制系统的适当性和有效性,及履行职责的工作质量”。另一方面,一系列诸如“安然”、“世通”舞弊案的发生,促使《萨班斯—奥克利斯法案》出台,与此前赞助委员会(COSO)发布的报告相结合,明确内部审计部门在评价和维护内部控制有效性方面具有重要的作用,是公司持续监督内部控制的主要部门。从而使内部审计成为继高级管理层、董事会、外部审计师之后现代公司治理的第四大基石。IIA将内部审计重新定义为:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营,它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”
二、关于持续监督
1992年COSO委员会发布了内部控制五要素报告,指出监督是内部控制系统的五要素之一,是对内部控制系统在一定时期内的运行质量进行评估的过程,企业可以通过持续性的监督活动、单独评估或两者并用来实现这个过程。2004年,COSO委员会结合《萨班斯—奥克利斯法案》发布了ERM(风险管理)框架, 对内部控制的内涵进行了扩展,监督作为风险管理的八要素之一,是对企业风险管理进行监控以确定企业风险管理的运行是否有效的过程,监督对象在目标、方法和内容等方面进行了扩展,但仍坚持持续监督和单独评估方法的使用。随着2008年全球金融危机的爆发及蔓延,雷曼兄弟公司破产、美国AIG深陷次贷泥潭和我国中信泰富等公司衍生产品投资巨亏事件纷至沓来,不断暴露出公司内部控制系统有效性存在缺陷,反映了许多企业未能充分利用持续监督程序以支持内部控制有效性。COSO委员会于2009年发布了监督内部控制系统的指南,以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败并提高决策所需信息的可靠性。监督程序的实施包括持续监督和单项评估,前者为管理层提供关于控制有效性的日常信念,后者提供定期的确认。持续监督程序植入企业日常的、反复发生的经营活动中。由于持续监督程序被常规性地执行,常常是在实时的基础上,最早识别和纠正控制缺陷。持续监督有效性越高,对单独评估的需要程度就越低,在进行单独评估时也可充分利用在持续监督中所获得的信息。我国企业对内部控制监督制度的建设主要强调单独评估,对持续监督重视不够,未将监督纳入企业日常的控制活动中,降低了监督的效果和效率。内部审计作为内部人审计,它所接触的信息是及时可靠的,可以随时根据单位主要负责人或权力机构的要求行使审计职能,具有经常性和广泛性的特点。内部审计既是内部控制的组成部分,又要反过来对内部控制的有效性进行评价,自然应该承担持续监督组织内部控制有效性的职能。
三、内部审计如何发挥持续监督的作用
(一)内部审计部门设置
内部审计在组织中的位置虽然极其特殊,但它仍然是组织内的一个职能部门,独立性问题对内部审计总是一个难题。为使内部审计有效运行,对内部控制有效性的持续监督的授权应该由足够高的组织层次授予。对于内部审计而言,为提升它在组织内的地位,与“那些负责组织治理的人员建立牢固的关系,并且直接与审计委员会进行沟通是十分重要的”。在西方,许多组织的内部审计机构隶属于董事会下设的审计委员会,但由于内部控制制度往往由董事会制定,而董事会却凌驾于控制制度之上,因此应将审计委员会设置为一个与董事会平行,向股东会负责的独立机构,内部审计机构直接向审计委员会报告工作,较好地实现其独立性。我国也采用设置审计委员会的做法,但其实际适用范围有限,目前主要是在我国的上市公司得到较严格的执行,落实情况并不理想。很多组织的内部审计部门由单位主要负责人直接领导,似有一定的独立性,但内部审计的工作没有形成常规的经常的活动,而是受命于单位负责人,审与不审,审哪里这样的问题完全成为一种个人行为,内部审计的随意性很大,根本不能满足持续监督的要求。内部审计部门应该对组织负责,鉴于此,在组织内部设置一个内部审计委员会,其成员应由单位负责人、各职能部门负责人和单位内部的参与经营管理常规工作的业务代表组成,内部审计部门应由内部审计委员会领导,对其负责。
(二)在组织内提升内部审计的地位
内部审计的职能是由内部审计自身的条件和所处的外部环境所决定的。调查显示,目前我国内部审计人员开展的审计业务主要有:财务审计、风险审计、内部控制审计和合规性审计等项审计业务。但是,企业管理当局对于内部审计的职能作用没有准确的认识,他们往往在问题发生之后才要求内部审计进行审计,以发现舞弊问题的性质和严重程度,在一定范围内如何解决,内部审计部门仅仅是在事后进行审计,起到灭火器的作用。由此看来,其对组织内部控制有效性的监督总是滞后的,更谈不上对内部控制进行持续的监督。要改变上述状况,首先,内部审计的宗旨、权力和责任都应在组织正式的书面文件中做出规定,该书面文件的内容应当包括:明确内部审计部门在本组织的地位;列席董事会、经理会议及类似权力机构会议;有权接触与审计范围有关的记录、人员和实物资产;明确内部审计活动的范围。机构设置上的高层性,并不能完全保证其工作的有效性。要保持内部审计工作的活力与动力,还应建立健全行之有效的激励机制和严格的责任约束机制。
其次,内部审计活动的展开应有一个长远的规划,使其成为一项长期而稳定开展的工作,将规划以组织最高层次的文件形式下发到各职能部门,明确管理层对内部审计的一贯重视程度,使组织内各个成员普遍地重视与遵循。
最后,内部审计的职能要求其保持与其他职能部门的独立性,不能承担任何具体的管理责任,为获得内部审计评价,确认所需的各种信息,避免信息的不对称,内部审计部门应扭转以前被动工作的局面,主动与其他职能部门加强沟通。由于内部审计往往被视为领导的灭火器,其他职能部门总是对内部审计部门敬而远之,因此,开始时,应制定内部审计定期沟通会议制度,内部审计工作部门不要以监督者自居,而应真诚地为组织各管理层服务,树立为管理服务的宗旨,采用提供咨询、建言献策的工作方法,帮助其他职能部门加深对内部控制制度的理解,主动遵循和执行内部控制制度,只有当管理层切实认识到建立健全内部控制制度的好处,得到执行内部控制制度的实惠之后,管理层自然会主动联系内部审计部门。这种不以监督为目的的工作形式反而形成对各管理层的事前的、持续的监督。
(三)加强内部审计意见的落实
内部审计机构不可避免地受到管理部门的制约,内部审计能不能发挥为管理服务的职能,一方面取决于内部审计部门的工作质量,另一方面取决于组织的最高管理层能否接受和采纳内部审计的建议。内部审计建议应及时向前述的审计委员会或内部审计委员会报告,由其监督管理层对审计建议的落实情况。另一方面,应考虑将内部审计报告在组织内部公开化,加强员工的集体监督,进一步增加组织价值。主要参考文献
[1]王光远。内部审计思想[M]。北京:中国时代经济出版社,2006.
[2]韩洪灵,郭燕敏,陈汉文。内部控制监督要素之应用性发展[J]。会计研究,2009(8)。