内审三岔口

来源:用户上传      作者: 何国铨

　　企业内部审计专题 案例三
　　
　　从我国现状来看，企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应，内部审计还未能充分发挥其评价和改进单位风险管理，提高控制管理效率，从而为实现企业的经营管理目标服务的职能作用。因此，我国的内部审计仍处在转型的三岔口。
　　
　　踏入21世纪，安然及世通事件的相继爆发，导致了美国“萨班斯法案”、纽约证券交易所的新上市准则等涉及公司治理改革措施的纷纷出台，我国证监会亦于2002年1月发布了《上市公司治理准则》，规范中国上市公司的公司治理建设，2006年6月上海证券交易所出台了《上市公司内部控制指引》，强制要求上市公司在年度报告发布的同时披露年度内部控制自我评估报告，公众开始前所未有地关注公司治理，同时更加关注作为公司治理必备要素的内部审计在公司治理质量的提升方面所起到的积极作用。
　　虽然内部审计越来越引起企业管理者的重视，但是从我国现状来看，企业的内部审计部门和人员的建设与现代企业制度的要求还不相适应，内部审计还未能充分发挥其评价和改进单位风险管理，提高控制管理效率，从而为实现企业的经营管理目标服务的职能作用。因此在这种创业知识、信息提供与创新能力快速发展、提高的背景下，内部审计也应从观念上和方法上进行更新。本文拟结合案例并从内审观念的变化与更新、内部审计人员的新角色、内部审计职能的转变以及IT时代的内部审计等四个方面对此问题进行阐述。
　　
　　一、 内审观念的变化与更新
　　
　　在公众日益关注公司治理的新形势下，我们的内部审计在概念、范畴和方法上已经发生了很大变化，内部审计的目的已经由过去的对公认会计准则遵守情况的检查督促转变为一种独立、客观的确认和咨询活动，其目的是增加组织价值和改善组织的运营，通过应用系统、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标（国际内部审计师协会关于内部审计的定义）。
　　这就要求企业内部人员包括内部审计人员和非内审人员均需要在内审观念上实现质的转变，非内审人员应充分认识到一个有效的公司治理机制是由股东会、董事会、管理层、外部审计和内部审计组成的，并以内部控制、风险管理机制以及信息披露制度为基础的有机结合体，而内部审计在其中更是起到最后把关以及确保各组成员有效地履行其职责的重要作用，从而真正意识和感受到内部审计是公司内部管理的切实需要和必要组成部分。
　　而内部审计人员则应该根据国际内部审计师协会对内部审计的定义以及本企业的实际情况，制订适应本企业发展，能够为决策层提供咨询服务以及为提高本企业经济效益的内部审计目标。如果企业内部人员包括内审人员和非内审人员均能转变内审的观念，意识到内部审计在内部经营管理服务方面所起到的作用，而且在这种理念转变的驱动下，内部审计人员能够做到少些简单性披露不足，深入分析问题原因所在，采用建议性语气报告；非内审人员能够做到与内部审计人员就审计中发现的问题进行分析讨论，共同探讨改进的可行性措施，那么困扰我们的内部审计环境太差的难题将迎刃而解。
　　
　　二、内部审计人员的新角色和新要求
　　
　　内部审计人员在上述内审观念转变的同时，其角色也在相应的作出变化，国际内部审计师协会（IIA）通过的内部审计新定义，不再过于强调内部审计人员的内部监督者身份，而是强调内部审计人员参与内部控制评价和风险管理，帮助企业实现目标，将内部审计人员定位为企业咨询顾问和风险管理专家。
　　例如内部审计人员可以通过内部控制的健全性评价以及控制测试来确定内控缺陷，并就内控缺陷提出流程再造的建议；内部审计人员亦可以通过风险识别和评估的方法揭示企业所面临的各种风险，从而提出有效的回避及减少风险的建议。无疑这种定位的提出同时也对内部审计人员提出了更高标准的要求。内部审计人员要想成为这样的咨询顾问和风险管理专家，不仅要掌握会计、审计及相关法律法规，还必须具备以下素质：
　　①要有组织系统的大局观，并确立风险在企业无处不在的意识，把风险管理放在整个内部审计过程最核心的部分，通过风险识别和评估，辨别出影响本企业整个经营活动的各类风险。
　　②系统和创新的思维方法，不要让现有的内部审计标准和技术限制了我们的创新思维，而是要更多地站在不断改善企业经营机制的高度上去分析问题和提出建议。
　　③要有良好的沟通技巧，内部审计人员只有充分地与内部管理层进行沟通，取得他们的理解和合作，共同探讨问题的原因，才能提出能够为内部管理机制提供服务的有效建议和措施，内审的工作才能为内部管理层所接受和理解，所以良好的沟通和表达能力是内部审计人员所必备的。
　　
　　三、内部审计职能由经济监督职能为主转向管理职能为主
　　
　　由于企业的内部审计不再是传统的以财务报表为中心的财务收支审计，而是以评估高风险流程、评估公司重大决策是否异常、确认管理层在财务报告与公司透明度方面是否勤勉尽职等为代表，融合了风险管理审计、内部控制审计和公司治理审计的综合审计。
　　内部审计职能已经由过去的以经济监督职能为主转向更多地以提供内部管理机制咨询服务的管理职能上，因此内部审计的模式亦相应地由传统的被动式的控制导向审计转向新的主动式的风险导向审计，审计的重点不再是简单的确认错误和测试控制的有效性，而是强调确认风险并测试这些风险是否得到有效管理。
　　例如内部审计在对公司作金融投资方面的审计时，不仅需要对金融投资的整个内控流程是否健全和有效进行评价，而且更应着重分析风险是否已经被有效识别和评估，现有的风险控制措施是否能够保证风险得到有效控制，同时向管理层提出内部控制以及风险管理改进计划。
　　四、IT对传统内部审计的冲击
　　IT环境下的会计系统相比传统的簿记手工会计系统在以下几个方面发生了重大变化：会计数据的存储介质、数据计算和生成的变化、交易轨迹的缺失、数据库建设安全性以及网络的应用，均给内部审计人员带来非常大的冲击。内部审计人员需要对计算机操作系统、应用程序和操作环境，以及各种计算机管理技术的控制措施是否能够确保信息的完整性、安全性和可用性，以及信息系统风险管理措施是否能够保证风险能够被识别和控制进行评估，这就要求我们的内部审计人员必须具备更高的计算机专业知识，如果所在企业的会计系统高度依赖于计算机以及其他管理技术，那么内部审计的审计范围就需要扩充到对信息系统的项目立项、设计、开发、测试、运行和维护上，以及系统安全、配置管理、数据库管理、操作管理、备份管理、管理层监控和问题应急措施等涉及计算机系统控制措施的健全和有效性进行评估，这时候内部审计人员结构就需要作些变化，计算机信息审计师的加入可能是必要的。
　　
　　案例分析
　　下面是一家保险公司在新形势下内部审计建设方面的一些做法，具有代表性，可作为借鉴。
　　
　　公司概况
　　该保险公司为中型的中外合资保险公司，外方股东为一家著名的跨国保险公司，年保费收入达到10亿元人民币，主要从事个人和团体寿险业务，在全国有10个分支机构。
　　
　　明确的内部审计目标
　　公司内部审计融合风险管理、内控和合规性审计，以向管理层报告确认结果和风险所在、评价并改善风险管理、控制和治理过程的效果，帮助组织实现价值目标为目的。
　　
　　一个专业的团队建设
　　内部审计部门直属于公司董事会下设的审计及风险委员会，由10个具有专业技术能力背景和良好沟通能力的综合素质人才组成，负责除新产品设计、计算机系统以外的各项内控运作、风险管理和管治运作的审计工作，而保险新产品设计以及计算机系统的评价则限于本部门缺乏熟悉该方面的审计成员，因此该流程的评价由公司的外方股东派出此方面的专家，包括精算师和信息系统审计师参与工作。
　　
　　内部审计的模式和流程
　　内部审计部门采用风险导向审计模式，让有限的审计资源重点投放到高风险领域。内部审计部门在制订总体审计计划之前，会先向管理层成员和各分公司负责人派发一份包含各类风险因素的风险评估调查问卷，通过与管理层及各分公司和各部门负责人讨论和实施初步测试，确定各审计区域的风险值并进行排序，从而确定高风险审计区域，确保每年的内部审计均能够覆盖到这部分高风险区域。对分公司的审计，则根据分公司的风险评估结果，对风险较高的分公司每两年实施一次全面审计，对风险较低的每三年实施一次全面审计。
　　
　　内部审计部门向管理层以及审计和风险管理委员会汇报内容
　　内部审计部门向管理层汇报的审计报告包括现状报告和咨询服务报告两类，其中现状报告就包括内控缺陷报告、工作效率和表现分析报告、遵循性以及合规性报告和风险管理评价报告。咨询报告则包括内控整改建议和行动计划、公司治理重组建议以及风险管理改进建议和行动计划。
　　（作者为广东正中珠江会计师事务所 高级经理）

转载注明来源:https://www.xzbu.com/3/view-1345206.htm