內(nèi)審三岔口

　　企業(yè)內(nèi)部審計專題 案例三

　　從我國現(xiàn)狀來看，企業(yè)的內(nèi)部審計部門和人員的建設(shè)與現(xiàn)代企業(yè)制度的要求還不相適應，內(nèi)部審計還未能充分發(fā)揮其評價和改進單位風險管理，提高控制管理效率，從而為實現(xiàn)企業(yè)的經(jīng)營管理目標服務的職能作用。因此，我國的內(nèi)部審計仍處在轉(zhuǎn)型的三岔口。

　　踏入21世紀，安然及世通事件的相繼爆發(fā)，導致了美國“薩班斯法案”、紐約證券交易所的新上市準則等涉及公司治理改革措施的紛紛出臺，我國證監(jiān)會亦于2002年1月發(fā)布了《上市公司治理準則》，規(guī)范中國上市公司的公司治理建設(shè)，2006年6月上海證券交易所出臺了《上市公司內(nèi)部控制指引》，強制要求上市公司在年度報告發(fā)布的同時披露年度內(nèi)部控制自我評估報告，公眾開始前所未有地關(guān)注公司治理，同時更加關(guān)注作為公司治理必備要素的內(nèi)部審計在公司治理質(zhì)量的提升方面所起到的積極作用。

　　雖然內(nèi)部審計越來越引起企業(yè)管理者的重視，但是從我國現(xiàn)狀來看，企業(yè)的內(nèi)部審計部門和人員的建設(shè)與現(xiàn)代企業(yè)制度的要求還不相適應，內(nèi)部審計還未能充分發(fā)揮其評價和改進單位風險管理，提高控制管理效率，從而為實現(xiàn)企業(yè)的經(jīng)營管理目標服務的職能作用。因此在這種創(chuàng)業(yè)知識、信息提供與創(chuàng)新能力快速發(fā)展、提高的背景下，內(nèi)部審計也應從觀念上和方法上進行更新。本文擬結(jié)合案例并從內(nèi)審觀念的變化與更新、內(nèi)部審計人員的新角色、內(nèi)部審計職能的轉(zhuǎn)變以及IT時代的內(nèi)部審計等四個方面對此問題進行闡述。

　　一、 內(nèi)審觀念的變化與更新

　　在公眾日益關(guān)注公司治理的新形勢下，我們的內(nèi)部審計在概念、范疇和方法上已經(jīng)發(fā)生了很大變化，內(nèi)部審計的目的已經(jīng)由過去的對公認會計準則遵守情況的檢查督促轉(zhuǎn)變?yōu)橐环N獨立、客觀的確認和咨詢活動，其目的是增加組織價值和改善組織的運營，通過應用系統(tǒng)、規(guī)范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現(xiàn)其目標（國際內(nèi)部審計師協(xié)會關(guān)于內(nèi)部審計的定義）。

　　這就要求企業(yè)內(nèi)部人員包括內(nèi)部審計人員和非內(nèi)審人員均需要在內(nèi)審觀念上實現(xiàn)質(zhì)的轉(zhuǎn)變，非內(nèi)審人員應充分認識到一個有效的公司治理機制是由股東會、董事會、管理層、外部審計和內(nèi)部審計組成的，并以內(nèi)部控制、風險管理機制以及信息披露制度為基礎(chǔ)的有機結(jié)合體，而內(nèi)部審計在其中更是起到最后把關(guān)以及確保各組成員有效地履行其職責的重要作用，從而真正意識和感受到內(nèi)部審計是公司內(nèi)部管理的切實需要和必要組成部分。

　　而內(nèi)部審計人員則應該根據(jù)國際內(nèi)部審計師協(xié)會對內(nèi)部審計的定義以及本企業(yè)的實際情況，制訂適應本企業(yè)發(fā)展，能夠為決策層提供咨詢服務以及為提高本企業(yè)經(jīng)濟效益的內(nèi)部審計目標。如果企業(yè)內(nèi)部人員包括內(nèi)審人員和非內(nèi)審人員均能轉(zhuǎn)變內(nèi)審的觀念，意識到內(nèi)部審計在內(nèi)部經(jīng)營管理服務方面所起到的作用，而且在這種理念轉(zhuǎn)變的驅(qū)動下，內(nèi)部審計人員能夠做到少些簡單性披露不足，深入分析問題原因所在，采用建議性語氣報告；非內(nèi)審人員能夠做到與內(nèi)部審計人員就審計中發(fā)現(xiàn)的問題進行分析討論，共同探討改進的可行性措施，那么困擾我們的內(nèi)部審計環(huán)境太差的難題將迎刃而解。

　　二、內(nèi)部審計人員的新角色和新要求

　　內(nèi)部審計人員在上述內(nèi)審觀念轉(zhuǎn)變的同時，其角色也在相應的作出變化，國際內(nèi)部審計師協(xié)會（IIA）通過的內(nèi)部審計新定義，不再過于強調(diào)內(nèi)部審計人員的內(nèi)部監(jiān)督者身份，而是強調(diào)內(nèi)部審計人員參與內(nèi)部控制評價和風險管理，幫助企業(yè)實現(xiàn)目標，將內(nèi)部審計人員定位為企業(yè)咨詢顧問和風險管理專家。

　　例如內(nèi)部審計人員可以通過內(nèi)部控制的健全性評價以及控制測試來確定內(nèi)控缺陷，并就內(nèi)控缺陷提出流程再造的建議；內(nèi)部審計人員亦可以通過風險識別和評估的方法揭示企業(yè)所面臨的各種風險，從而提出有效的回避及減少風險的建議。無疑這種定位的提出同時也對內(nèi)部審計人員提出了更高標準的要求。內(nèi)部審計人員要想成為這樣的咨詢顧問和風險管理專家，不僅要掌握會計、審計及相關(guān)法律法規(guī)，還必須具備以下素質(zhì)：

　　①要有組織系統(tǒng)的大局觀，并確立風險在企業(yè)無處不在的意識，把風險管理放在整個內(nèi)部審計過程最核心的部分，通過風險識別和評估，辨別出影響本企業(yè)整個經(jīng)營活動的各類風險。

　�、谙到y(tǒng)和創(chuàng)新的思維方法，不要讓現(xiàn)有的內(nèi)部審計標準和技術(shù)限制了我們的創(chuàng)新思維，而是要更多地站在不斷改善企業(yè)經(jīng)營機制的高度上去分析問題和提出建議。

　　③要有良好的溝通技巧，內(nèi)部審計人員只有充分地與內(nèi)部管理層進行溝通，取得他們的理解和合作，共同探討問題的原因，才能提出能夠為內(nèi)部管理機制提供服務的有效建議和措施，內(nèi)審的工作才能為內(nèi)部管理層所接受和理解，所以良好的溝通和表達能力是內(nèi)部審計人員所必備的。

　　三、內(nèi)部審計職能由經(jīng)濟監(jiān)督職能為主轉(zhuǎn)向管理職能為主

　　由于企業(yè)的內(nèi)部審計不再是傳統(tǒng)的以財務報表為中心的財務收支審計，而是以評估高風險流程、評估公司重大決策是否異常、確認管理層在財務報告與公司透明度方面是否勤勉盡職等為代表，融合了風險管理審計、內(nèi)部控制審計和公司治理審計的綜合審計。

　　內(nèi)部審計職能已經(jīng)由過去的以經(jīng)濟監(jiān)督職能為主轉(zhuǎn)向更多地以提供內(nèi)部管理機制咨詢服務的管理職能上，因此內(nèi)部審計的模式亦相應地由傳統(tǒng)的被動式的控制導向?qū)徲嬣D(zhuǎn)向新的主動式的風險導向?qū)徲�，審計的重點不再是簡單的確認錯誤和測試控制的有效性，而是強調(diào)確認風險并測試這些風險是否得到有效管理。

　　例如內(nèi)部審計在對公司作金融投資方面的審計時，不僅需要對金融投資的整個內(nèi)控流程是否健全和有效進行評價，而且更應著重分析風險是否已經(jīng)被有效識別和評估，現(xiàn)有的風險控制措施是否能夠保證風險得到有效控制，同時向管理層提出內(nèi)部控制以及風險管理改進計劃。

　　四、IT對傳統(tǒng)內(nèi)部審計的沖擊

　　IT環(huán)境下的會計系統(tǒng)相比傳統(tǒng)的簿記手工會計系統(tǒng)在以下幾個方面發(fā)生了重大變化：會計數(shù)據(jù)的存儲介質(zhì)、數(shù)據(jù)計算和生成的變化、交易軌跡的缺失、數(shù)據(jù)庫建設(shè)安全性以及網(wǎng)絡(luò)的應用，均給內(nèi)部審計人員帶來非常大的沖擊。內(nèi)部審計人員需要對計算機操作系統(tǒng)、應用程序和操作環(huán)境，以及各種計算機管理技術(shù)的控制措施是否能夠確保信息的完整性、安全性和可用性，以及信息系統(tǒng)風險管理措施是否能夠保證風險能夠被識別和控制進行評估，這就要求我們的內(nèi)部審計人員必須具備更高的計算機專業(yè)知識，如果所在企業(yè)的會計系統(tǒng)高度依賴于計算機以及其他管理技術(shù)，那么內(nèi)部審計的審計范圍就需要擴充到對信息系統(tǒng)的項目立項、設(shè)計、開發(fā)、測試、運行和維護上，以及系統(tǒng)安全、配置管理、數(shù)據(jù)庫管理、操作管理、備份管理、管理層監(jiān)控和問題應急措施等涉及計算機系統(tǒng)控制措施的健全和有效性進行評估，這時候內(nèi)部審計人員結(jié)構(gòu)就需要作些變化，計算機信息審計師的加入可能是必要的。

　　案例分析

　　下面是一家保險公司在新形勢下內(nèi)部審計建設(shè)方面的一些做法，具有代表性，可作為借鑒。

　　公司概況

　　該保險公司為中型的中外合資保險公司，外方股東為一家著名的跨國保險公司，年保費收入達到10億元人民幣，主要從事個人和團體壽險業(yè)務，在全國有10個分支機構(gòu)。

　　明確的內(nèi)部審計目標

　　公司內(nèi)部審計融合風險管理、內(nèi)控和合規(guī)性審計，以向管理層報告確認結(jié)果和風險所在、評價并改善風險管理、控制和治理過程的效果，幫助組織實現(xiàn)價值目標為目的。

　　一個專業(yè)的團隊建設(shè)

　　內(nèi)部審計部門直屬于公司董事會下設(shè)的審計及風險委員會，由10個具有專業(yè)技術(shù)能力背景和良好溝通能力的綜合素質(zhì)人才組成，負責除新產(chǎn)品設(shè)計、計算機系統(tǒng)以外的各項內(nèi)控運作、風險管理和管治運作的審計工作，而保險新產(chǎn)品設(shè)計以及計算機系統(tǒng)的評價則限于本部門缺乏熟悉該方面的審計成員，因此該流程的評價由公司的外方股東派出此方面的專家，包括精算師和信息系統(tǒng)審計師參與工作。

　　內(nèi)部審計的模式和流程

　　內(nèi)部審計部門采用風險導向?qū)徲嬆Ｊ剑�讓有限的審計資源重點投放到高風險領(lǐng)域。內(nèi)部審計部門在制訂總體審計計劃之前，會先向管理層成員和各分公司負責人派發(fā)一份包含各類風險因素的風險評估調(diào)查問卷，通過與管理層及各分公司和各部門負責人討論和實施初步測試，確定各審計區(qū)域的風險值并進行排序，從而確定高風險審計區(qū)域，確保每年的內(nèi)部審計均能夠覆蓋到這部分高風險區(qū)域。對分公司的審計，則根據(jù)分公司的風險評估結(jié)果，對風險較高的分公司每兩年實施一次全面審計，對風險較低的每三年實施一次全面審計。

　　內(nèi)部審計部門向管理層以及審計和風險管理委員會匯報內(nèi)容

　　內(nèi)部審計部門向管理層匯報的審計報告包括現(xiàn)狀報告和咨詢服務報告兩類，其中現(xiàn)狀報告就包括內(nèi)控缺陷報告、工作效率和表現(xiàn)分析報告、遵循性以及合規(guī)性報告和風險管理評價報告。咨詢報告則包括內(nèi)控整改建議和行動計劃、公司治理重組建議以及風險管理改進建議和行動計劃。

　�。ㄗ髡邽閺V東正中珠江會計師事務所 高級經(jīng)理）