2001年安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示,使内部审计的作用得到了政府监管部门和社会公众的肯定,也使企业的决策层、管理层对内部审计的必要性和重要性有了新的认识。内部审计自此在英美制下的公司治理和揭露财务造假中开始扮演举足轻重的角色。
与国际上内部审计地位和作用日益重要的局面形成鲜明对照的是,来自中国内部审计协会公布的统计数据显示,1998年全国共有10万个内部审计机构,这一数字到2004年“萎缩”到8.6万个,近30万内部审计专(兼)职人员,而到了2006年底,进一步缩减为5.7万多个,从业人员减至20.08万人。
有媒体统计,自赖昌星案发以来先后有40多个出逃海外的贪官,其中除了七个来自政府机构外,其他均来自国企。因此有学者表示,这充分表明国有企业“一把手”的监督处于空白,内部审计和监督无法起到应有的作用。
根据普华永道2007年10月12日发布的 “内部审计2012”及“内部审计2012-亚太地区补充篇”等研究报告显示,亚太地区的部分企业都正朝着全球化的目标努力,随之而来的是对内部控制和公司治理形成更高的要求。企业为了提升自己在国际资本市场的竞争力,审计负责人需要对其职能和价值进行重新审视与定位,并采纳以风险管理为中心的审计方式与理念。
对此,国际内部审计师协会理事会理事、中国内部审计协会原副秘书长张玉女士在接受本刊采访时表示,“准确地说,未来公司的审计负责人必须探索以风险为主导、以控制为主体、以增值为目标的内部审计新模式。”
随着本土企业全球化和资本市场的强劲发展,CFO与企业内部审计部门携手,改变过去单纯监督与被监督的关系,共同为企业规避风险发挥作用的趋势将愈加明显。为此,《首席财务官》杂志特别采访了CFO、CAO和业界专家,试图为CFO携手内审部门提高企业风险管理的能力找到可操作的路径。
从“事后控制”到“风险防范”
20世纪80年代以来,内部控制是企业管理的重要内容,检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始,世界许多大公司开始了兼并、重组和公司治理的过程,企业面临的风险普遍增大。其主要原因是实施国际化发展战略使得企业的控制链大大延长;信息技术在经营管理中的广泛应用导致计算机犯罪增加。在这种情况下,企业开始注重风险管理,“内部审计的重点也从以制度为基础审计(英国、澳大利亚等国的提法)或称内部控制评审(美国和加拿大的提法),转向风险导向审计。”张玉介绍说。
到企业兼并重组改革10年后的2001年,许多公司财务丑闻的出现,最终导致《萨班斯-奥克斯利法案》的出台。按照美国PCAOB和美国证券交易委员会(SEC)的法规指引,“上市公司的内部审计职能必须有效,否则至少应被视为有关财务报告的内部控制中的重要缺陷,并且是实质性漏洞存在的明显迹象。”
目前,我国的国有企业股份制改革已进入了攻坚阶段,在国企改制的过程中同样面临着上述在20世纪90年代世界许多大公司兼并、重组和公司治理的过程中遇到的各种风险。而对于正方兴未艾的本土民营企业而言,借助资本的力量进行资产重组和构建更为合理的公司治理结构等都需要内部审计能够对这一系列新的挑战应对裕如。而实际上内部审计机构在企业兼并重组改制的过程中经常成为牺牲品,其主要原因除了内向性服务功能不足外,被访者一致认同的内审缺乏使之发挥能量的环境和合理的公司架构。
对此,赛尔新概念网络有限公司财务总监王萍坦言:“很多情况下还是代理机制不完善导致的,这不是内部审计的问题,而是公司治理的问题。”
非独立,不能审计
《首席财务官》杂志在采访中发现,内部审计在很多情况下不是沦为董事会手中的“大棒”,就是成为内部矛盾集中的地方。因此,许多企业出于规避内部矛盾和成本的考虑通常外包给外部审计机构,而内部审计的部门就形同虚设。
而“萨-奥法案”的重要经验之一正是保证内部审计的必要性和独立性。在“安然案”之前,美国的公司治理结构大多为董事会、高级管理层和外部中介审计机构三位一体的结构。安然、世通等公司财务丑闻充分证明了这个结构的主要缺陷是由高级管理层直接聘请外部审计师和决定审计费用,使会计师事务所自身的利益与公司高级管理层密切相关;内部监督机制不健全,内部审计缺乏相对独立性造成的。
“企业基于规避内部矛盾和成本时会考虑外包。”王萍坦言。
“萨-奥法案”的颁布弥补了美国公司治理结构的缺陷,要求公司董事会的审计委员会发挥更加积极的作用,并要求所有上市公司对其内部审计职能是否得到充分发挥出具有关的证明。该法案规定审计委员会的职责是:(1)从管理层之外的来源获得公司信息;公司内部审计直接向审计委员会报告工作;负责处理内部审计和管理层之间的分歧;建立一定程序,确保进行匿名或保密的投诉。(2)事前批准将由外部审计师提供的服务,包括聘用、解聘、监管和报酬,在外部审计和管理层之间构成隔离带。(3)从外部获得财务咨询,拥有聘用独立财务顾问的权利,在处理疑难问题时,可以不受管理层和外部审计的影响等。
在强化公司治理方面,国际内部审计已逐渐形成三种职能趋势:强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。
对于内审职能的正常发挥,张玉认为,“本土企业的内审部门首先要改变内部审计机构隶属于财会部门或总经理的模式,内审机构隶属于董事会的审计委员会,向审计委员会报告工作。即使这种模式做不到,至少也要实行既向审计委员会报告,也向总经理报告的双重报告机制。”“内部审计和外部审计的双重监督机制才能为内部控制执行的有效性提供制度保障。”张玉特别强调。
有着丰富跨国公司运营经验的金州环境股份有限公司COO郑东生先生曾任公司总审计师,他直言保持内审部门独立性是内审实施的最重要的组织保障。“有了这种制度安排,内审部门领导人和CFO就是平等的合作伙伴,他们虽然分工不同但目标是一致的,从而有了密切合作的基础。”
内审、内控与CFO
内部审计作为企业内部控制效果的检测器,控制环境是内部控制能否生效的最基本要素。在所有影响控制的要素中,公司治理结构不完善,董事会、监事会、经理层之间没有形成相互制约的权力制衡机制,导致少数管理者权力过分集中;管理层缺乏诚信或带头逾越内部控制,或缺乏有效的激励机制等,都会导致内部控制失效。
内部控制的发展经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段。“内部控制与风险管理的关系是一枚钱币的正反两面:控制适当,风险减少;控制过度,效率降低;缺乏控制或控制无效到处都可能出现风险。内控的效率和有效性是决定审计效果的重要因素。在公司内控体系框架设计中,内控部和各职能部门应实行‘裁判员’和‘运动员’的职责分离。”张玉特别强调说。
对此,中国石油管道公司内部控制办公室流程与控制科科长滕洪军认为:“内控的任务是监控业务和财务风险,特别是财务报告目标的可靠性,而内审的职能则是审计内控的有效性,无论是内审还是内控都有许多工作是要和CFO的职责紧密相关的,因此三方之间的携手合作非常重要。”
“因为内部控制的执行主要是各个部门,尤其是财务部门,所以CFO在内部控制中能够起到积极的作用。”来自跨国公司的财务总监王先生就CFO如何促进内审有效性方面的作用时如是说。
而从内审的角度看,郑东生坦承“内部审计和其他管理层的关系相处良好的法宝是在平等合作的基础上,内审部门要多做换位思考,要和各部门建立良好的工作关系,多提改进建议而不是一味的挑毛病,贬低别人抬高自己。既要换位思考,又要站的高看的远。”
咨询师 :内审新定位
我国会计准则已经基本实现了会计审计准则的国际趋同,但内部审计标准与国际内部审计仍然存在较大的差异。
“首先应该明确在企业风险管理过程中CFO 、管理层、董事会和内部审计人员各自的职责分工。”张玉表示。CFO和管理层应对风险管理负责,其职责是制定本企业的风险管理政策和制度,负责实施并使之发挥作用;董事会和审计委员会的职责是判断本企业风险管理政策和制度的适当性,监督风险管理过程中的执行效果;内部审计人员的职责是定期进行检查和评价风险管理过程中的执行效果,发现和分析风险控制缺陷,向CFO、管理层和审计委员会提出改进风险管理的建议。从某种意义上说,这就是风险管理战略伙伴的关系。 内部审计部门需要“自然嵌入”组织结构,建立良好的风险管理文化,共同处理和解决风险管理所要求的相应技术方法。
张玉指出,内部审计人员应注重在财务报告的准确性、风险管理、评价内部控制的有效性、监控外部审计的质量和有效发挥内部审计作用的五个领域帮助审计委员会有效地履行其职责。
对此,郑东生的体会是:“传统的内部审计角色是企业内部的‘经济警察’;而在新形势下,要求内审部门除了继续扮演传统角色外,还要扮演内部咨询师、制度设计师和风险控制专家的多重角色。从而对内部审计师队伍的专业知识、业务技能、战略感知、行业了解等综合技能提出了更高的要求,由此也引发了企业内部审计部门功能的重新定位。”
此外,评价整个组织的道德环境也是内审部门的新职责。公司治理过程的有效性在很大程度上取决于企业文化。内部审计要帮助企业建立遵守法律的合规性文化;出现问题时要“吹哨”警告,内审人员就是组织内部的自行检举者(whistle-blower)。
对这一新的角色定位,在2007年9月北京召开的亚洲内部审计大会上,国际内部审计师协会( Internatinal Internal Audit,IIA)理事会主席盖瑞。考克斯认为,再健全的法规体系也无法完全杜绝舞弊事件的发生,当有多个管理人员共同串通作弊时,设计再好的内控体系也会失效。但是,建立一个长效的能够持续发挥作用的内部控制体系,可以最大限度地降低公司丑闻的发生,减少企业舞弊的可能性。
据张玉介绍,过去英国的内部审计部门与财务部门是监督与被监督的关系,双方矛盾尖锐。现在内部审计部门与本公司各部门加强沟通,在保持相对独立性的情况下,从以往财务部门的对手,转变为合作伙伴,为财务部门加强内部管理和实现经营目标提供更多帮助。被审计单位是客户,内部审计部门要为之服务。每年年终,内部审计部门要向公司董事会报告,花费了多少审计资源,做了哪些工作,通过这些工作为本公司的发展做出了哪些贡献。
在法国,企业内部审计的目标是服务企业,帮助企业发现存在的风险并提出规避风险的建议。内部审计人员从风险分析开始,到对风险领域进行审计,最后与管理层沟通协商,提出了规避风险的建议,并监督其实施所提出的建议。内部审计部门甚至已经成为一个能直接创造价值的部门。例如,2003年法国铁路公司内审部门的投入产出比为1:10.内审部门能切实为企业带来效益。
此外,有效预防和侦破舞弊事件对所有公司来说都是强制性的法律要求。安然、世通等公司舞弊案件的发生,除客观环境因素外,一个重要原因就是过度使用风险导向内部审计方法进行抽查确认,忽视了对舞弊线索的追查。
“内部控制可以防止错误,不能防止舞弊。”王先生坦言。
IIA的相关报告表明,公司舞弊的现状是:公司每年因舞弊造成的损失占经营业绩的4%~6%之间。目前,IIA发动全球内部审计师开发有效预防损失和侦破舞弊的项目,包括编制旨在揭露舞弊的审计计划,要求关注点应从小单位的舞弊行为转向整体的舞弊环境;在完全不同的系统中增加预防舞弊的控制点;增加运营和财务系统以及商务过程的复杂性;寻找可能发生的舞弊迹象并进行审计,运用持续性监控的方法,有效地侦破舞弊阴谋。要求内部审计师应总结和概括典型的舞弊症状与测试方法,通过案例研究,掌握数据分析的技巧,向审计委员会报告控制环境,在内部审计实务中体现舞弊审计的要求。
普华永道的调研报告显示,在亚太地区的许多大企业根本还没有设置内审部门,即使有,其职能也只限于简单的稽核检查。许多亚太地区的公司并不急于设立一个具有完善审计职能的内审部门,但是当这些公司开始向全球化扩张时,他们很快就能体会到拥有一个与公司战略目标和方针一致的、强有力的内部审计部门的价值和好处。基于这一考虑,68%的亚太地区的受访者表示,他们深信未来五年里,首席审计执行官在公司内所扮演的角色及价值将越发重要。而为应对未来的挑战,内部审计人员应具备的最重要的审计技能是:
1. 数据采集;
2. 风险评估;
3. 信息技术;
4. 风险管理;
5. 舞弊侦察。
对上述新定位,目前国内大多企业的状况是“有认识、难做到”,北京新东方学校高级财务经理赵云霞直言不讳。对此,王先生也表示,内部审计既要懂财务也要懂业务,最好还要懂得信息技术,并不容易。
从全球来看,内部审计将受到日益加剧的对公司治理、风险管理、内部控制和道德规范的关注的影响。而且整个亚太地区的法规日益严格,要求企业改进管理体系并增加财务报告的透明度。中国已要求所有的国有企业建立企业风险管理体系“机遇与挑战总是并存的,现在正是内部审计人员的最佳时机,发挥更大的作用,与管理层和董事会更密切地交流合作,成为风险管理的战略伙伴。”普华永道合伙人 Dick Anderson总结道。
鉴于总经理的地位特殊、权力巨大,在企业内部的控制管理中,总经理既是舞弊风险的最大来源,同时也是控制舞弊风险的关键。如果能够有效预防总经理滥用权力,就可以杜绝大部分潜在的舞弊风险。