论文部分内容阅读
[摘 要]本文从内部审计定义入手,着眼于内部审计在内部控制中的作用,分析了在当今经济环境下,内部审计向战略审计和风险控制管理发展的趋势。
[关键词]内部审计;内部控制;战略审计;风险管理
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02
1 内部审计的发展历程
1.1 国际内部审计的发展历程
1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。
国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。
国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。
2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。
1.2 国内内部审计的发展历程
我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。
1985年我国发布了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。
2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。
2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。
通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。
2 内部审计在内部控制中的作用
《萨班斯—奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?
现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。
3 基于内部控制下的内部审计的新发展
3.1 由基础审计向高层次审计的发展
内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。
企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。
战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。
经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。
作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。
在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。
3.2 内部审计职能由监督向风险管理的转变
IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。
根据IIA的定义,基于风险管理的内部审计有两个目标——增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。
基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。
内部审计的职能由监督向风险管理转变,对内部审计人员也提出了新的要求,内部审计人员不仅要具备财务和审计专业知识,还要具备战略管理、风险管理、通信技术和计算机方面的相应知识储备,熟悉企业的业务流程,了解企业所在行业及所处经济环境的特点和变化。这也要求内部审计人员在做好自身工作的同时不断坚持学习,提升自我。
[作者简介]张松(1971—),男,汉族,安徽安庆人,会计本科,项目管理研究生,苏州市职业大学经贸系会计教研室,讲师。
[关键词]内部审计;内部控制;战略审计;风险管理
[中图分类号]F275 [文献标识码]A [文章编号]1005-6432(2010)44-0077-02
1 内部审计的发展历程
1.1 国际内部审计的发展历程
1978年,国际注册内部审计师协会(IIA)正式颁布了《内部审计实务准则》,认为“内部审计是建立在以检查、评价为基础上的独立评价活动,并为组织提供服务”。这个定义强调了内部审计为组织提供服务,并且强调了内部审计的独立性。
国际注册内部审计师协会(IIA)在1993年颁布的《内部审计实务标准》中提出,“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”。这个定义仍然强调了内部审计对组织管理的服务职能。
国际注册内部审计师协会(IIA)在2001年出版的《内部审计实务标准》中规定:“内部审计是一种旨在增加组织价值和改善组织价值及经营状况的客观的保证和咨询活动,它通过引入系统化的方法来评价并改进组织风险管理、控制和治理效率,以帮助组织实现目标。”这个定义引入了“风险管理”一词,内部审计的目标是为组织管理提供服务,但此时它的视角更广了。
2004年,IIA颁布《国际内部审计专业实务标准》,规定“内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营,它通过引入系统化、规范化的方法来评价并改善风险管理、控制和治理过程的效果,帮助组织实现目标。”这个定义在2001年定义的基础上,强调采用系统化的方法,也使得内部审计更加科学,反映了内部审计的发展趋势和客观要求。更重要的是,这个定义强调了内部审计的职能由管理职能向治理职能的转变。此时,内部审计的目标可以分为两类:一是要实现组织价值的增值,改善组织的经营状况;二是要提供与风险管理、内部控制和公司治理程序相关的确认和咨询服务。
1.2 国内内部审计的发展历程
我国于1984年在部门、单位内部成立了审计机构,实行内部审计监督。
1985年我国发布了《审计署关于内部审计工作的若干规定》,提出“内部审计是部门、单位加强财政、财务监督的重要手段,是国家审计体系的组成部分”。这个定义强调了内部审计主要行使监督职能。
2003年,审计署在《审计署关于内部审计工作的规定》中指出:“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的活动”,这个定义增加了内部审计的评价职能。
2003年,中国内部审计协会颁布的《中国内部审计准则》规定:内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。这个定义强调了监督和评价职能并重,而且关注经营活动和内部控制的适当性、合法性和有效性,主要是为组织管理服务。
通过国内外对内部审计定义的比较,可以发现,内部审计的发展大致上经过了三个阶段:第一个阶段,内部审计的主要目标是防止组织内部的舞弊行为和检查组织内部的财务差错,这是一种比较初级的审计;第二个阶段,内部审计的主要目标是加强控制、改善经营,内部审计的职能有所加强;第三个阶段,内部审计的主要目标是风险防范和价值增值。内部控制和风险管理也成为了内部审计关注的重点。
2 内部审计在内部控制中的作用
《萨班斯—奥克斯利法案》规定:每份年度报告的文件中都应该包含一份内部控制报告,同时公司管理层在年度报告之日前对内部控制的有效性进行过评估。2006年7月15日,中国内部控制标准委员会成立,标志着我国企业内部控制正式提上日程。由此可见,随着经济发展水平的不断提高和企业管理思想的不断完善,内部控制也越来越受到企业的利益相关者的关注。那么,内部审计在内部控制中又发挥着什么样的重要作用呢?
现代内部审计之父Lawrence Sawyer(2005)认为,控制评价是内部审计人员的“执业秘诀”,内部审计人员要通过评价内部控制制度和指出需要加强的内部控制的弱点,成为有力的管理工具。这反映出了内部审计在内部控制中的评价职能,而且,是内部控制评估的主力。王光远教授(2005)指出内部审计准则的最核心概念有两个,即内部控制和风险。内部审计与内部控制之间是相互依存的,内部审计是内部控制的要素之一,而内部控制又是内部审计的直接对象。内部审计在内部控制中的职能包括:评价内部控制;参与重大控制程序的制度与修订;监督内部控制的运行;提供管理咨询等。
3 基于内部控制下的内部审计的新发展
3.1 由基础审计向高层次审计的发展
内部控制强调全过程控制,同样,内部审计也应该是“全过程审计”。按照内部审计进行的时间,又可以把审计分为事前审计、事中审计和事后审计。事后审计是我国传统内部审计的方式,侧重于事后的监督和评价,起到一个查漏补缺的作用;事中审计实时跟踪审计内部控制制度建立的执行情况;事前审计是一种“防范于未然”的审计方式,它强调在内部控制制度建立和执行前就进行风险评估。这样的内部审计贯穿于战略审计、经营审计和作业审计的全过程。
企业内部控制从控制主体可以分为三个层次:一是以董事会等高层管理者为主体的战略控制;二是以经营者为主体的经营控制;三是以员工为主体的作业控制。这三个层次对应的内部审计分别为战略审计、经营审计和作业审计,它们的审计流程、重点与评价内容不同,但三者是紧密相关,相互作用的有机整体。
战略审计是企业内部审计部门对各层次的战略管理活动及战略管理的全过程所作的分析、评价和监督。战略审计是公司制定战略前必须完成的工作,主要包括:企业内外部经营环境分析、对已实施的战略效果进行评估、对现行战略的适当性和战略执行的有效性进行评价,这些是事前审计;此外,还要对战略的执行过程进行监督,监督有关责任人认真履行与战略管理有关的受托责任,这些属于事中审计;最后,要对企业的管理绩效进行评估、对战略的执行结果进行总结评估和反思,这就属于事后审计。
经营审计是内审部门对经营循环的全过程,包括投入、运作、产出、分配等各个环节的效率和效果进行评价、确认和监督。经营审计主要审查经营者是否努力改善和充分利用了企业的物质条件和技术条件,审查利用生产力各要素的具体方式方法的有效性。如审查经营决策的科学性是事前审计;而对决策的落实和执行情况进行审查是事中审计;最后,对决策执行所带来的结果进行评估总结,形成书面报告则是事后审计。
作业审计是内审部门对内部控制的业务层面和工作环节进行监督检查,并提交相应的检查报告、提出有针对性的改进措施。作业审计主要包括对作业控制的评价、确认和监督。在作业审计中,如评估具体业务层次上的可接受风险水平、评价员工的专业胜任能力、为管理层提供实行风险回避还是风险分担的咨询建议等这些就属于事前审计;而监督员工在开展业务活动中没有非法使用企业资产牟取不当利益、监督员工没有单独或者串通舞弊给企业造成损失,则属于事中审计;对各部门和员工当期业绩进行考核和评价等属于事后审计。
在我国,目前大多数企业的内部审计仍然停留在作业审计和经营审计的阶段,内部审计也往往只是在事后进行,这样的内部审计工作往往难以发挥应有的作用。内部审计由基础审计向高层次审计发展,由作业审计和经营审计向战略审计发展,由事后审计向全过程的审计发展,是内部审计的必然趋势,也是企业加强经营管理的内在要求。
3.2 内部审计职能由监督向风险管理的转变
IIA在1999年对内部审计的重新定义也提到了,内部审计是用来增加企业组织价值和改善组织运营的独立、客观的保证和咨询活动,它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。企业开始注重风险管理,同样,内部审计的重心也应向风险审计转移,是企业进行风险管理的重要组成部分,前文所提到的事前审计也正是出于对企业进行风险管理的需要。
根据IIA的定义,基于风险管理的内部审计有两个目标——增加组织的价值和改善组织的营运状况。内部审计人员要根据对企业风险管理过程的审查,评价其适当性和有效性,提出建设性的意见和建议,不断完善企业的风险管理,最终才能实现两个基本目标。
基于风险管理的内部审计的内容既包括企业风险管理的设计,也包括企业风险管理的实施。首先,内部审计部门要根据企业的行业特征、生产经营的性质、企业规模、企业管理水平和企业文化特征设计出适合企业的规范化风险管理的组织体系。通过风险管理的制度建设,让企业的每个部门和员工明确风险管理中的权责关系,使企业的风险管理既分工明确,又是一个有机整体。其次,内部审计部门要明确企业的战略和目标,并且保证其具有合理性。企业的战略可以分为公司战略、业务单位战略和职能战略,内部审计部门要审查企业的各个层次的战略是否明确并且合理。只有在明确而合理的战略指导下,企业的风险管理才能行之有效。最后,内部审计部门要在风险管理的过程中,全面跟踪审计,做到事前预测风险,事中控制风险,事后对风险管理的过程进行总结,提出更好的改进方案。
内部审计的职能由监督向风险管理转变,对内部审计人员也提出了新的要求,内部审计人员不仅要具备财务和审计专业知识,还要具备战略管理、风险管理、通信技术和计算机方面的相应知识储备,熟悉企业的业务流程,了解企业所在行业及所处经济环境的特点和变化。这也要求内部审计人员在做好自身工作的同时不断坚持学习,提升自我。
[作者简介]张松(1971—),男,汉族,安徽安庆人,会计本科,项目管理研究生,苏州市职业大学经贸系会计教研室,讲师。