在理论上要求完全保持内部审计的独立性是一回事,但在实际安排和处理内部审计业务过程中要保持内部审计的完全独立则又是另一回事。
从事内控内部审计和内部控制管理的朋友都知道,无论是国际内部审计师协会(IIA)还是中国政府审计总署都在其发布的审计准则中将保持内部审计的独立性放在了有效开展内部审计工作各项原则的首位。企业必须厘清独立性的概念才能为独立性找到方向。
非独立,不能客观
《国际内部审计标准》规定,“内部审计的独立性,即内部审计人员(机构)需独立于他们所需要审计的活动,以便不受约束,客观地开展工作。”当前在内部审计界普遍将保持内部审计的独立性具体归纳为以下三方面:
机构隶属关系的独立性
内审机构的设置不能隶属于或平行于企业财务部门和其他职能部门,而应隶属于企业最高管理层,或者直接隶属于公司董事会下属的审计委员会或公司的监事会。这样才会使最高领导或者董事会能够直接、及时获得内部审计部门所提供的情报和咨询。
人员的独立性
内部审计必须有专职的审计人员,不能由其他业务部门,特别是会计部门的人员兼任。只有这样才能在规定的权限内,独立行使职权,完成规定的任务。同时,内审人员在执行任务时,必须站在客观公正的立场去分析问题,独立观察、判断各种问题,并且要坚持原则,敢于斗争,忠于职守,以自己的工作态度和工作质量,取得单位和他人的信任,提高内部审计的权威性。
业务的独立性
内部审计机构和人员,不负责制订内审工作以外的计划方案,不办理经济业务,不编制会计报表,不直接参与企业各部门的生产经营活动,而应以独立第三者的身份去检查、监督、分析、评价企业的各项经济工作。
二、内审实践中存在的问题
也有人将表现内部审计的独立性解释为:内部审计机构的独立性、控制审查过程的独立性和审计结论的独立性。对于保持内部审计的独立性原则,在理论表述上笔者并无异议。但是,在具体处理日常审计检查业务中,如何把握内部审计的独立性原则则有一些新的体会。事实上,在理论上要求完全保持内部审计的独立性是一回事,但在实际安排和处理内部审计业务过程中要保持内部审计的完全独立则又是另一回事。
事后审计
在企业工作的朋友们也许都看到过这样的情况。一些企业的内部审计部,内部审计人员确实不介入企业的日常经营活动。他们除了编制审计计划并按审计计划对企业相关部门进行审计外,基本不过问企业的各种日常业务,许多重大决策信息都是来自企业领导的事后通知。简单说,就是“该你知道的我自然会告诉你,不该知道的就别打听,更不要随便插手干预”。事后审计是这类内部审计的基本特点。许多重大问题都是在暴光之后才根据上级指示进行审计调查和处理的,问题和损失已经形成。这样的内部审计独立性是完全做到了,但预防管理风险的目的却大打折扣。内部审计基本上是单位领导的摆设,有时甚至沦为一些单位领导随意调整权力的工具。
“非独立”审计
还有一类企业,单位领导对内部审计可谓极端“重视”。为了预防发生各种风险,企业的所有决策甚至一些日常业务都必须得到内部审计部门的审查批准后才能办理。领导们只“相信”内部审计人员,似乎其他业务人员都是“犯罪嫌疑人”。结果是内部审计部或内控部成了企业的业务处理部。内部审计人员在实施内部审计时,自然就不会“发现”什么潜在的风险问题了,如果万一发生了问题,自然也很少会提出责任追究。自己做或参加做的事自然是不会错的,如果发生问题也是可以原谅的。
这样的内部审计已经完全失去了独立性原则,当然也失去了业务监督的能力,最后成为一个处理日常业务的综合管理部门。个别领导甚至拿内部审计作为发生问题后解脱推卸自己责任的挡箭牌:“是啊,为了防止出现风险,我这里所有这些事都是内部审计把关处理的,现在出现风险问题了,我有什么办法?”当然,一些企业管理层对内部审计人员的工作安排也可能是或左或右,完全凭当时实际需要来随机决定的。
三、案例分析
面对以上这些情况,一个企业管理层究竟应该怎样把握和维护内部审计的独立性原则呢?怎样才能真正发挥审计监督和预防管理风险的作用呢?怎样才能使内部审计人员达到审计工作“到位但不越位”的境界呢?以下笔者将举四个真实的企业案例对如何把握内部审计的独立性原则进行说明。
案例1
恰当介入业务对内控审计的帮助
某下属企业因扩大业务发展需要,其管理层计划在本厂外再选择一个交通等各方面条件都比较好的地区投资建立一家全新的工厂,其中可以选择的地区包括:安徽、江苏和上海的一些成熟工业开发区。作为企业的一项重大战略性投资决策,该公司管理层十分慎重,在开始进行立项调查前咨询了总部各个业务主管部门负责人。
为了有效控制投资风险,该公司管理层又特别咨询了总部内控部(负责内部审计事务)有关项目风险预防的意见。总部内控人员利用自己在相关企业长期审计检查所获得的信息资源,会同其他业务主管部门就如何向公司董事会提交项目立项申请报告,如何控制投资风险等向该公司管理层提出了管理建议。
最后,该公司管理层干脆直接邀请内控部人员会同其他负责投资管理的业务部门组成考察小组,共同参加对拟设厂的相关开发区进行现场考察访问。由于考察小组包括了内控审计人员,这一方面向当地政府、银行和建筑承包商展示了该公司对项目的严谨态度和投资诚意(通常企业在开发项目期间很少有内部审计人员参加,但在这里我们称之为“内控先行”),为该项目争取获得当地政府最优惠的条件提供了有力的支持。另一方面由于内部审计人员通过早期介入项目,提出了各种预防风险的意见和建议,从而有效提高了项目实施中抵抗各种风险的能力。后来该项目以极其优惠的条件在安徽的一个开发区获得了成功。整个投资项目在操作过程中没有发生任何重大意外事件,更没有发生一般投资项目中容易出现的舞弊活动。此后,内控部在审计该公司的投资项目过程中,由于掌握的信息非常全面,所以审计效率极高。
本案的关键是要说明,在实际进行内部审计工作中,审计人员在恰当时候以恰当的方式介入被审计对象的具体工作,并不会对保持审计独立性原则构成冲击。恰恰相反,这样做却能更好地实现内部审计的目标。
案例2
不恰当介入业务活动对内控审计的危害
某企业内部审计人员曾经因为工作积极努力,充分发挥审计监督功能主动在预防企业各种经营管理风险,特别是采购风险方面作出了重大成绩,为此获得了公司管理层和总经理的高度评价和肯定,总经理对内审人员信任有加。为了进一步强化采购管理,预防采购风险,该公司管理层决定发挥内审人员的作用,改变过去内审人员重点监督抽查采购合同的做法。特别规定,所有公司的采购业务在获得总经理的最后批准前都必须得到内控人员的审查批准。简单地说就是企业的所有采购合同或采购申请单,在采购总监批准后,还要送内审人员审核批准。这样做的后果就是内审人员变成了采购业务的主管。对于这样的安排,该公司在征求总部意见时,总部内控部曾明确表示不妥。但该公司管理层还是出于预防采购风险的考虑坚持要求内审人员进行逐单审核把关。
总部在此后对该公司采购和内控工作进行现场审计时,再次向公司管理层指出了这种安排对审计独立性原则的侵害以及可能对审计人员本身造成的伤害。管理层虽然口头答应将尽快调整这一安排,但实际并没有落实。自该政策实施后,负面影响开始显现。主要问题有:
1.该公司采购总监对采购审批程序提出看法,作为采购总监,其直接工作汇报对象是总经理,但作为平级的内审人员现在实际上处于管理采购部的上级地位。全体采购人员也对所有采购合同和采购定单都要通过内审人员的审核(批准)表示异议。内审人员既非财务审批者、也非法律顾问,在企业正常运营期间额外增加这样一道把关控制部门,实际上大大降低了采购工作的效率。采购部人员开始采用各种消极方法抵抗内审人员的审批,从而导致内审人员和采购部人员发生严重的工作对立。
2.内审人员无暇顾及其他业务领域的风险预防。由于直接参加日常所有采购合同和采购定单的审核,为保证价格、供应商渠道、质量交货等符合公司程序的要求,内审人员被迫花费大量时间和精力用于相关业务的具体调查和了解,甚至为了保证提高合同的成功率,采购业务人员干脆要求内审人员参加所有采购合同的谈判。内审人员完全陷入采购部业务,长期执行的结果就是内审人员根本没有时间再去审核检查其他重要部门的风险预防工作。
3.出现采购责任问题无法确定责任人。由于内审人员陷入了日常采购业务的具体审核批准,结果在生产部门发现采购物品出现质量、价格、交货等问题后,需要追究责任者时,内审人员从过去的单一裁判者变成了既是裁判者又是责任承担者。一些采购责任问题也无法确定责任人,内审部门也无法对相关人员提出处罚意见。
4.内审人员成为各方攻击者。由于内审人员介入了日常采购业务,成为了事实上的采购人员本身就违反了专业化管理的原则。这自然会引起采购部业务人员的不满,于是乎内审人员和采购人员就经常为一些工作细节问题发生无谓的争吵,甚至成为各方的攻击目标。该公司内审人员参加日常采购业务管理的情况虽然后来得到了纠正,但内审部门在企业中的权威性和内审人员所受到的伤害已经无法弥补。
本案例说明了一个事实,内审人员如果不恰当地介入企业的日常业务工作,不仅会对业务人员本身造成伤害,而且还可能会引发产生新的管理风险。最后就是破坏了内部审计的独立性原则。
案例3
管理咨询服务是内审介入业务的主要切入点
某集团总部财务部找到内控部(内部审计部)咨询一个下属公司提出的要求。该下属公司财务部提出要求变更总部统一规定的银行账户管理办法。理由是该公司在前面过去的节假日期间突然发生需要向某一重要进口商开具购买设备信用证的情况。但根据公司事先和银行签订的账户管理协议书,凡是下属公司要动用的资金在超过某一数额后,就必须报告总部并获得董事长批准后才能办理。由于适逢国际大假,总公司财务部负责人和董事长等都不在总部上班,最后导致该信用证无法开出。虽然此事经过努力后没有对供应商按时交货造成影响,但下属公司管理层却对此非常有意见,强烈要求总部改变这一政策。对于下属公司提出的这一要求,总部财务主管也表示非常为难,希望内控部能提出一个意见。
内控部在经过和下属企业有关负责人沟通交流后认为,该控制银行账户的管理办法不能变更!因为设置这样的控制办法就是为了预防下属企业越权动用大额资金从而给公司的资金安全造成损害风险。如果因为一件事情就要调整管控规定,其日后潜在风险巨大。一家企业要求这么办,那么其他企业如果也纷纷提出同样要求的话,就没法处理了。最后内控部(审计部)的建议是:总部财务部应该建立节假日重大用款业务的事先申请机制和紧急业务处理机制。今后凡是面临重大节假日前,总部应当要求各下属企业提前申请大额资金使用计划,并提前安排资金使用批准手续。如果由于没有预见到此类需求而发生紧急事件,则应当采用紧急用款批准程序,从提高为下属企业服务的角度解决此类问题。
事后各方对此均感到满意。本案说明,审计人员通过提供管理咨询的方法参加企业日常管理活动是其切入业务的主要方法。
案例4
丝毫不介入业务的内部审计,其独立性原则并不能得到真正的维护
某公司管理层为执行上级规定,在企业内部成立了内部审计部,并按照国家颁发的内部审计准则为审计部门规定了具体的职责。但在实际日常工作决策中,片面理解维护内部审计独立性原则,限制审计人员介入日常企业管理活动。安排到审计部的人员也基本上都是一些在财务部门表现不佳或业务能力不强、面临退休的财会人员。
简言之,内审部门在这个企业里就是一个聋子耳朵——摆设而已。公司管理层通过费用控制、人员安排以及散布内审无用论等各种手段限制内审人员的工作。久而久之,全公司的其他部门和业务人员谁都不将内部审计放在眼里,甚至连内审人员自己也认为自己在公司里就是一个闲差。企业的各种重要管理信息基本对内审人员屏蔽,审计监督只是一句空话。内审人员的工作就是象征性的编制一个审计计划,日常审计也基本上是走过场。由于信息缺乏,工作能力有限,要么发现不了问题,要么发现问题后也不敢揭示。一切按单位主管的意见办理。有时甚至成为单位领导之间相互争权夺利和打击报复的工具。在这样的企业里,发生潜在的管理和舞弊风险也就毫无悬念了。
这种案例在过去的许多企业里并不罕见,这里的内部审计虽然在表面上做到了审计独立,但实际上却完全违背了设立内部审计的宗旨。
以上所列举的四个案例从几个方面介绍了企业应当如何把握内部审计独立性原则。敬请读者朋友指正。