2006年7月15日中國內部控制標準委員會成立,標志著我國企業內部控制正式提上日程,這是繼2006年2月15日新企業會計準則頒布以來國家經濟領域的又一重大決策。作為內部控制專家的內部審計,能否抓住這次職業發展契機實現跨越式發展,直接關系到內部審計職業的未來。本文的研究焦點是內部審計如何發揮在內部控制中的作用。關于內部審計在內部控制中作用,國內外不同學者持有不同觀點,不同準則也有不同規定,對于知識結構相對單一的我國內部審計人員來說,很難依據企業所處的內外部環境來準確定位其在內部控制中的作用。本文在追溯國內外內部審計的發展歷史的基礎上,從理論基礎和現實動因兩方面分析內部審計如何介入內部控制;在系統梳理專家觀點和準則規定的基礎上,總結出內部審計在內部控制中的評價、監督和咨詢作用,并進一步提煉出內部審計在內部控制中發揮作用的理論框架。筆者希望通過本研究,明確內部審計在內部控制中的應有作用,使內部審計人員認識到其在內部控制中作用的不足之處,進而依據內部審計在內部控制中發揮作用的理論框架來準確定位其在內部控制中的作用。
二、文獻綜述
(一)國外文獻 關于內部審計在內部控制中的作用,國外學者Flint(1998)從受托責任觀和評價職能入手研究指出:“凡是有審計的地方,一定存在一種受托責任關系,受托責任關系是審計存在的重要條件,審計是確保受托責任履行的控制機制,是對內部控制的再控制”。現代內部審計之父LawrenceSawyer(2005)從另一個角度指出內部審計在內部控制中的作用,他認為控制評價是內部審計人員的“執業秘訣”,“內部審計人員通過評價內部控制制度和指出需要加強的內部控制的弱點,成為有力的管理工具”;內部審計專家Robert Moeaer(2006)也指出“內部審計人員評價組織機構各專門領域的內部控制的技能是他們滲透到組織中的敲門磚”。顯然,Flint、Lawrence Sawyer和RohertMoeUer的觀點都反映出內部審計在內部控制中的評價職能。Barley(2003)根據內部審計最新發展,在《ResearchOpportunitiesiIIInternalAuditing》中詳細列示了內部審計在內部控制中的作用,包括“測試內部控制的遵循性”、“協助管理層設計綜合評價方法”、“協助管理層編制關于內部控制有效性的報告”、“識別重大控制缺陷”、“推行計算機測試技術和推動控制自我評估”。早在1999和ⅡA頒布的內部審計新定義,就明確提出內部審計在內部控制中的確認和咨詢職能,2004和ⅡA新發布的“國際內部審計專業實務標準2120—控制”中規定:“內部審計活動應通過評價控制的效率與效果、促進其持續改善等工作,幫助組織維持有效的控制系統”,“在開展咨詢服務時,內部審計人員應當了解與此工作相一致的控制事項,并且應警惕是否存在控制薄弱環節”。國外學者通過實證研究發現,內部審計在內部控制中的作用呈現出多方面特點。如Nagy和Cenker(2002)的調查表明,“內部審計職能從傳統的確認職能導向到價值增值和咨詢導向,各個公司存在顯著差異”,所以,不同公司中內部審計在內部控制中作用的側重點也不同。RobertMoeller(2006)也指出,在不同規模的公司中內部審計在內部控制中的作用不同:大型企業中內部審計部門比較強大,內部控制比較健全,內部審計工作的重點是評價內部控制的有效性;而在中小企業中內部審計很難承擔起評價內部控制的重任,在內部控制不健全的公司中內部審計應該將工作中心放在協助管理層建立健全內部控制上。內部審計在內部控制中發揮作用還表現出明顯的法規遵循導向:201)4年澳大利亞內部審計師協會、新西蘭內部審計師協會和安永(澳大利亞)會計公司進行了一項題為“澳大利亞和新西蘭內部審計發展趨勢”的調查,其對象是澳大利亞證券交易所(ASX)的前200位的公司和新西蘭證券交易所(NZSX)前100位的公司,結果顯示,95%的被調查者表示“內部控制確認和對風險管理程序、系統的確認”是內部審計的主要工作(ⅡA-Australia等,2004)。很顯然,這是遵循《薩班斯一奧克斯利法案》(TheSarbanes-OxleyAct,SOX)的必然結果。因為SOX法案規定:每份年度報告的文件中都應該包含一份內部控制報告,該報告應該聲明建立并實施適當的內部控制是公司管理層的責任,同時公司管理層在年度報告日之前對內部控制的有效性進行過評估。內部審計作為對管理層極具價值的資源,必然成為內部控制評估的主力,內部審計的工作重心轉向對內部控制的獨立評價。所以,外部監管法規會影響內部審計在內部控制中作用。
(二)國內文獻 我國學者在學習和借鑒國外學者觀點和國際內部審計準則規定的基礎上,對內部審計在內部控制中的作用進行了許多前瞻性研究。王光遠教授(2005)認為內部審計準則的最核心概念有兩個:內部控制與風險。內部審計與內部控制之間是相互依存的:內部審計是內部控制的要素之一,其職能是對其余內部控制要素的再控制;內部控制又是內部審計的直接對象。通過內部審計的檢查、評價能不斷促進內部控制的健全完善,內部審計對內部控制的關注遠遠超過了政府審計與獨立審計。曹偉、桂友泉(2002)認為內部審計在內部控制中可以發揮下列作用:評價內部控制;參與重大控制程序的制定與修訂;監督內部控制的運行;提供管理咨詢等。王樺、莊江波、陳漢文(2003)提出了內部審計職業化的一種營銷戰略觀,分別從宏觀和微觀層次對內部審計的環境進行分析,認為內部審計要在企業中尋找發展之機,就要在企業內部控制、風險管理中發揮作用,提供更多能體現其價值的咨詢建議,樹立“咨詢專家”的公眾形象,同時還要增進職業內部對這種形象的認識,積極推廣這種職業形象,獲得社會認可。張先治、孫文剛(2003)認為內部審計在內部控制中的作用有兩方面:首先是內部審計要對內部控制的有效性進行評價,從而促進整個控制系統高效運營;其次,內部審計人員通過與各部門、各層次管理者的會晤,了解經營中的實際情況,幫助解決各種問題,從而提高控制系統的管理效果。卜淑珍(2006)認為內部審計在內部控制中的作用主要體現在三方面:培養全員控制意識,加強“軟控制”,主要體現在內部審計作為控制專家宣傳與培訓內部控制;協助建立有效的信息溝通網絡;推動內部控制自我評價(CAS)。但2003年中國內部審計協會 頒布的《內部審計基本準則》中;將內部審計定義為:組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。雖然定義中將內部控制作為內部審計的對象,但對于內部審計在內部控制中的作用僅提到了“審查和評價”,而未涉及到咨詢作用,這是充分考慮我國內部審計實務水平的權宜之計(王光遠,2005)。顯然在規范研究領域,國內外學者已經認識到內部審計在內部控制中不僅有確認職能還應發揮咨詢職能,但在具體職能的表述上非常凌亂,側重點也不盡相同。在理論研究方面,雖然國外學者很早就提出過一般審計理論框架,如莫茨和夏拉夫(1961)提出以哲學為建基點的五要素組成的審計理論框架,安德森(1977)提出以審計目標為起點的七要素審計理論框架,尚德爾(1978)提出以假設為起點的五要素框架等,但尚未有學者提出內部審計在內部控制中作用的理論框架。而在我國,鮮有學者對內部審計在內部控制中的作用進行實證研究。筆者認為這是因為長期以來內部審計在內部控制中的作用僅限于單一的監督,我國也沒有類似SOX的法案,所以沒有研究的必要性。但隨著內部控制建設提上日程,內部審計在內部控制中的作用也將豐富多彩起來,對此進行實證研究,特別是研究影響和制約內部審計在內部控制中發揮作用的因素必將是非常有意義的事情。我國也自1986年就開始了內部審計相關理論的研究,如閻金鍔(1996)構造了審計本質—審計目標—審計假設—審計原則—審計準則的五要素框架,蔡春教授(1994)提出了以本質為起點的審計本質—審計假設—審計目標—審計規劃—審計信息—審計控制手段和方式的六因素框架,王若山和張建軍(1996)構建了以審計目標為起點的內部審計理論,劉明輝構建了以審計環境和審計報告使用者為起點的審計理論。但尚沒有學者提出內部審計在內部控制中發揮作用的理論框架。筆者認為,雖然內部審計在內部控制中發揮作用的理論具備審計理論和內部審計理論的普遍屬性,但也有其特殊性,所以不能以審計或內部審計理論框架來代替內部審計在內部控制中發揮作用的理論框架。
三、內部審計介入內部控制的理論基礎
(一)受托責任理論 生產力的發展和財富的剩余帶來了分權,分權帶來了互相牽制,隨之產生了受托責任,由于信息不對稱,需要有人來監督承擔不同職權的人的工作,內部審計作為委托人的監督機制而產生。委托人為了監督受托人認真履行內部控制受托責任,確保受托人的報告是真實的,需要獨立于受托人的內部審計人員對受托人的經濟活動進行監督,對其報告進行鑒證;受托人為了證實自己的報告與業績,解除受托責任,取得自己應得的利益,需要接受內部審計。內部審計的存在符合代理關系中委托人與受托人的共同需求。受托責任按照層次不同可分為外部受托責任和內部受托責任見(圖1);按內容不同可分為受托財務責任和受托管理責任,這里的受托管理責任采用王光遠的觀點,指的是狹義的管理責任,主要包括經營和計劃責任。內部審計介入內部控制的歷史體現了受托責任的發展過程:萌芽狀態下的內部審計,其職責是協助管理層確保內部財務控制方面的受托責任有效履行,是對內部受托財務責任的一種控制方式;近代股份公司和家族企業集團的發展,股份制度的形成更凸顯了受托責任的重要性;20世紀40年代,原材料和勞動力的短缺使管理層更加關注生產安排以及對規則的遵守,內部審計從關注內部受托財務責任轉向內部受托管理責任,協助管理層對企業內部控制特別是內部管理控制進行監督成為內部審計的日常工作;企業經營活動的范圍不斷擴大,各國政府對社會經濟活動的干預有所增強,外部環境對企業影響日益加大。內部審計也逐步將外部受托責任作為其關注點,在內部控制中表現為:協助董事會及其審計委員會對內部控制的有效性和充分性進行獨立評價,從而幫助高級管理層履行內部控制方面的外部受托責任;20世紀90年代起,人類社會邁入信息時代,環境的多樣化和多變性使風險管理成為受托責任的核心,公司治理和內部控制積極引入風險理念,一旦風險得不到適當的管理。組織目標的實現將受到威脅。于是內部審計開始關注風險,研究如何識別風險和協助管理層建立適當的內部控制來規避或控制風險。
(二)價值鏈理論 1985年波特在《競爭優勢》中首先提出價值鏈理論,認為企業的各項活動都可以描述為價值鏈中的基本活動和輔助活動,通過價值鏈分解可以得到更細微的價值活動,也可以在分解過程中合并得到新價值活動。這種分解能幫助企業考查每個價值活動的成本優勢,并分析每個價值活動產生歧異優勢的可能性。即價值鏈分析可以幫助企業確定某項價值活動是否具有價值,從而決定將該活動內置、外包還是流程再造。內部審計作為企業的業務活動,也可以用價值鏈理論進行分析。首先,內部審計活動是有價值的,體現為對買方即內部審計服務的利益集團的效用。其次,根據波特對價值活動的分類和基本的價值鏈圖,內部審計屬于輔助活動中的企業基礎設施活動,它通過整個價值鏈而不是單個活動起輔助作用,是企業競爭優勢的重要來源,見(圖2)。最后,根據價值鏈分解的方法,內部審計活動還可以細分為若干價值活動,結合內部審計師責任說明書(SRIA)中關于內部審計職責的規定,可將內部審計價值鏈描述為(圖3)。內部審計在內部控制中職能的拓展體現了價值鏈分析方法在內部審計職業發展中的應用。1981年SRIANO.5頒布之前,內部審計服務的買方是所有管理者,內部審計服務對于買方的效用集中在協助管理者加強企業管理控制;1981年之后。內部審計服務的買方擴展到整個組織,對于組織來說效用更多地體現在決策的科學性和效果方面,所以內部審計注重對內部控制的充分性和有效性進行獨立評價;隨著信息化時代的來臨,組織更加看重內部審計在識別和規避風險方面的效用,內部審計對其價值進行反思后提出了以風險為導向、以增加企業價值為目標、更加注重在內部控制中的咨詢職能的新思路。由此可見,買方和買方效用在內部審計介入內部控制的過程中起了重要作用。
(三)管理進化論 1776年亞當·斯密(Adam Smith)在著名的《國民財富的性質和原因的研究》(也稱《國富論》)中提出了系統分工理論。分工思想經過幾個世紀逐漸發展成熟,并導致了工業革命的爆發與股份公司制度的建立。在工業革命和股份公司制度的相互促進下,企業的管理活動日益復雜并產生了內部多層次受托責任。這一切都為內部審計制度的建立與完善提供了有利條件,內部審計作為一種天然的控制手段介入到對受托責任的控制中。20世紀初弗雷德里克·泰勒提出了科學管理理論,使管理學成為一門獨立的學科,亨利·法約爾創立了一般管理理論,從組織管理的角度來改進管理,提高企業效率。這些理論的提出使內部審計擺脫了財務的限制。進入了更為廣闊的業務領域,由財務導向審計過渡到業務導向審計階段,協助高級管理層對內部控制進行監督成為內部審計業務之一;20世紀70年代之后,出于對企業外部環境的關注,管理大師彼得·德魯克的目標管理理論和其他現代管理理論的提出,使注重高層管理活動成為管理理論的主流,同時,公司治理 問題逐漸凸出,內部審計將關注點轉向高層的管理目標、方針及決策,所以協助董事會及其審計委員會對高級管理層設計和實施的內部控制進行獨立評價成為內部審計在內部控制中的工作重點。90年代以來以邁克爾·波特為代表的戰略管理理論以及以邁克爾-哈默及詹姆斯·錢皮的企業再造理論為代表的新管理理論,對內部審計的發展產生了一定影響,同時,公司治理問題的研究也逐步走向成熟,促使內部審計從積極興利的管理審計轉向價值增值的戰略審計階段,為規避風險實現增值目標,內部審計的關口前移,更加注重在內部控制中的咨詢職能,充分發揮最高的客觀陸和熟悉企業情況的特點協助管理層建立和健全內部控制。
四、基于內部控制的內部審計理念轉變
(一)事后審計向全程審計轉變 《內部控制基本規范》第六條指出,企業建立和實施內部控制應遵循“全面性”原則,在流程上應當滲透到決策、執行、監督、反饋等各個環節,避免內部控制出現空白和漏洞。由此可見,內部控制強調全過程控制,包括事前控制、事中控制、事后控制,那么作為對內部控制負有監督、控制之責的內部審計,也必將變為全過程審計,由傳統的事后審計變為事前審計、事中審計與事后審計相結合。(1)事后審計的內控功能與作用。事后審計是我國傳統內部審計的方式,主要側重于事后的監督和評價,對內部控制進行查缺補漏。內審人員對內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面檢查報告并作出相應處理。事后審計是對內部控制制度進行內省反思的過程,其側重點包括戰略的正確性、財產的安全性、法規的遵循性、財務報告的可靠性及經營的效率效果性,企業對在監督檢查過程中發現的內部控制缺陷,應當采取適當的形式及時進行報告。當經濟活動結束后,內部審計人員應對計劃、決策的完成情況作全面、綜合的審查、分析和評價,總結經驗教訓,并提出改進意見。企業應當分析內部控制缺陷產生的原因,并有針對性地提出和實施改進方案,不斷健全和完善企業內部控制。對于監督檢查中發現的重大缺陷或者重大風險,應當及時向董事長、審計委員會和經理匯報。(2)事中審計的內控功能與作用。事中審計側重于審計的實時性,對內部控制制度的建立和執行過程進行實時跟蹤,借助于網絡技術、信息技術和軟件技術,實時審計和遠程審計都將成為可能。內審人員要進行跟蹤審計調查,對計劃的實施、方案的落實和決策的執行、經濟效益和工作效果進行分析。實時審計能夠及時糾正內控制定過程中對既定戰略目標的偏離傾向和內控執行過程中發生的偏差,實現對生產管理系統、營銷管理系統、預算管理系統、財務會計管理系統等的實時監控,不斷提高內部控制的效率與效果。在實施事中審計過程中,內審人員應重點關注以下領域和環節:在財務報告和信息披露方面弄虛作假;未經授權、濫用職權或者采取其他不法方式侵占、挪用企業資產;在開展業務活動中非法使用企業資產牟取不當利益;企業高級管理人員舞弊給企業內部控制和經營管理可能造成的重大影響;員工單獨或者串通舞弊給企業造成損失。對在監督檢查中發現的違反內部控制規定的行為,及時通報情況和反饋信息,并嚴格追究相關責任人的責任,維護內部控制的嚴肅性和權威性。(3)事前審計的內控功能與作用。事前審計是一種積極防御性審計方式,審計關口前移,體現了“要我審計”到“我要審計”的理念的轉變。內審人員要對企業的計劃、決策進行審計,審查決策方法的科學性,審查決策所依據的資料、數據的可靠性,審查決策有關保證措施的可行性和執行情況與結果。在企業經營決策過程中,內審機構應積極參與項目可行性研究,對各方面進行經濟技術分析和論證,提出自己的意見,作為企業的決策參考。事前審計實質上是對內控體系進行風險評估和識別的過程,防患于未然,扼殺風險于萌芽狀態,最大限度地保證企業戰略目標的實現和財產的安全完整。事前審計強調在內控制度建立和執行之前就對風險進行評估,及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。內審人員應當根據風險分析的結果,依據風險的重要性水平,運用專業判斷,按照風險發生的可能性大小及其對企業影響的嚴重程度進行風險排序,確定應當重點關注的重要風險。內審人員應當充分關注包括管理層凌駕、串通舞弊、人為錯誤或者疏漏、制度滯后等內部控制的局限給企業帶來的風險,并采取適當的措施將可能發生的風險控制在合理的范圍之內。內審人員應當根據風險分析情況,結合風險成因、企業接體風險承受能力和具體業務層次上的可接受風險水平,確定風險應對策略。風險應對策略一般包括風險回避、風險承擔、風險降低和風險分擔等。事前審計是一種積極預防性審計方式,是內部審計未來發展的方向。
(二)財務審計向管理審計轉變 內部控制強調會計控制與管理控制的結合。內部會計控制的目標是會計信息的相關性與可靠性。內部會計控制這一目標既包括保證會計信息的相關性與可靠性兩方面,又包括保證財務會計信息質量和管理會計信息質量兩方面。因此,會計控制不僅是通常所理解的財務會計控制,實際上應包括財務會計控制和管理會計控制。財務審計主要關注的是會計控制的內容,對會計控制制度的執行情況進行確認、評價和監督。傳統的內部審計即是以賬項為基礎的財務審計,主要關注財務事項,專業的審計人員遵照有關法律法規測試檢查會計資料、會計程序及會計控制,以評價財務報表是否真實,保證財務報告的可靠性和透明度,企業資產是否完整,組織權益是否得到維護與保障,進而確認、解脫受托人的財務責任,體現了內部審計查錯防弊的傳統目標。隨著經濟的發展,組織的變革,企業經營管理的內在需求,基于會計控制的的傳統財務審計將向基于管理控制的管理審計方向發展,這是內部審計發展的基本趨勢。內部審計的評價、確認、監督的領域不再局限于會計控制,而是轉向更為廣闊的管理控制的各個環節,包括計劃、組織、執行、領導、人事、溝通、激勵、協調等諸多管理環節。從國際內部審計實務上講,1947年ⅡA的“內部審計責任說明書”將會計和財務事項作為內部審計的首要對象,在之后若干次的修改中,內部審計的責權已逐步走向管理審計。內部管理控制的目標是經營活動的有效性。有效性包括經營活動的效率和效果兩方面。效率是經濟學的核心,也是經營活動的基本目標,效果或績效是管理學的核心,也是經營管理的基本目標。內部管理控制將效率與效果作為目標,它是內部控制的主導和關鍵,也是組織內部控制的核心與目標。新興的管理審計是以評價管理經營責任為主要的業務內容,通過對經營管理活動進行審查與評價,并采用一定的標準來衡量其經濟性、效率性及效果性從而找出差距,挖掘潛力,提高效益,或證實效益優劣,評價管理績效,提供咨詢意見,增加公司價值。
(三)基層審計向高層審計轉變 企業內部控制從控制主體角度可分為三個層級:一是以董事會為主體的戰略控制;二是以經營者為主體的經營控制;三是以員工為主體的任務控制或作業控制。三種主體的戰略控制、經營控制及作業控制是緊密相關、相互作用、相互影響的,內部控制必須要搞好三者的有機結合。(1)作業控制與作業審計。以員工為主體的內部控制,稱作業控制或任務控制,其主要任務是有效地執行特殊任務的過程。執行這些任務的規則可被描述為經營管理控制過程的一部分。對作業控制的評價、確認和監督即是作業審計的主要內容。作業審計是對內部控制的業務層面和工作環節進行監督檢查,以及提交相應的檢查報告、提出有針對性的改進措施等。作業審計重點關注如下環節:評價員工專業勝任能力;員工在開展業務活動中是否非法使用企業資產牟取不當利益員工是否單獨或者串通舞弊給企業造成損失;評估具體業務層次上的可接受風險水平,建議管理當局應當實行風險回避、風險承擔還是風險分擔,合理保證將具體業務與事項的剩余風險控制在可接受水平之內;評價不相容職務是否分離及員工崗位責任制的履行情況;評估財會等關鍵崗位員工是否建立規范的崗位輪換制度和必要的強制休假制度;評價各崗位員工的預算執行情況。對各部門和員工當期業績進行考核和評價,強化對各部門和員工的激勵與約束。(2)經營控制與經營審計。以經營者為主體的內部控制其主要任務是經營控制,包括資源投入控制、經營過程控制、產出成果控制、利益分配控制。資源投人控制、經營運作控制、產出成果控制和利益分配控制四種控制類型由于經營循環的聯系,它們之間相互聯系與包容,后者通常包容前者,即經營運作控制要以資源投入控制為基礎。產出結果控制要以經營運作和資源投人控制為基礎,利益分配控制則要以前三種控制為基礎。經營審計主要審查經營者是否努力改善和充分利用企業的物質條件和技術條件,審查利用生產力各要素的具體方式和手段的有效性,諸如是否厲行節約,是否改進了生產工藝,不斷更新了設備等。經營審計就是對經營循環的全過程,包括投入、運作、產出、分配各個環節的效率和效果進行評價、確認、監督。(3)戰略控制與戰略審計。以董事會為主體的內部控制是基于公司治理的戰略控制,包括企業目標確定、公司經理人員的責任與權利、公司監督機制建立、企業戰略選擇、戰略規劃和戰略計劃全過程的控制。從內部控制角度看戰略控制,主要是戰略制定,即決定組織目標和達到這些目標的戰略的過程。戰略是大的和重要的計劃,它反映了高級管理者對其組織的發展定向。組織目標有財務目標和非財務目標;在戰略制定過程中,組織目標通常看作已知,但有時戰略制定也強調目標本身。—個組織可選擇許多方法以實現其目標。不同組織的戰略制定采用不同的方法。戰略審計是由董事會下設的審計委員會對各層次的戰略管理活動以及戰略管理的全過程所進行的分析、評價與監督。戰略審計是公司制定戰略之前必須實施的準備工作,包括對于企業內外環境的分析、過去戰略實施效果的評估;評價現行戰略的適當性和戰略執行的有效性;同時還要對戰略的執行過程進行監督,監督有關的責任人認真履行與戰略管理有關的受托責任;評估公司的管理績效。戰略審計是正式的戰略考察過程,它同時對董事會和管理層施加約束。縱觀內部審計發展的歷程,先后經歷了以任務(賬項)為導向的作業審討、以制度為導向的經營管理審計、以風險為導向的戰略審計,體現了一個由基層審計向高層審計發展的趨勢。由經營審計向戰略審計轉變,是西方內部審計發展的十大趨勢之一(韓曉梅,2002),面向21世紀的內部審計應以戰略審計為重點(于玉林,2000)。
(四)督查審計向風險審計轉變 沒有風險就沒有控制,控制只為管理風險而存在,控制與風險如影隨形,不分析風險而想有效的評價控制是不可能的。COSO于2004年頒布了《企業風險管理——整體框架》,其中指出:“內部控制是企業風險管理的有機組成部分,企業風險管理包含內部控制,并形成一個(比內部控制)更為廣泛的管理概念和工具”。從COSO的報告可看出,風險管理與內部控制是包含與被包含的關系。內部控制的最終目的就是為了控制風險,內部控制就是控制風險,控制風險就是風險管理,或者可以說內部控制和風險管理是控制風險的兩種不同角度的表達。隨著經濟全球化、市場化、信息化。企業的控制鏈大大延長以及計算機舞弊的增加,使企業面臨的風險普遍增大。在這種情況下,企業開始注重風險管理,內部審計的重點也從以制度為基礎的審計(英國、澳大利亞等國的提法)或稱內部控制評審(美國和加拿大的提法)轉向以風險為基礎的審計,或稱風險導向審計。企業內部控制強調風險控制,內部控制與風險管理的聯系日益緊密。而內部審計作為內部控制的重要組成部分,必然對風險管理的整個流程進行評估和監控,增強內部控制過程的有效性。COSO報告將風險評估引入了內部控制并將其列為控制的核心,在風險管理上向前邁進了一步,不僅是管理上重要的里程碑,也是審計特別是內部審計發展的重要的里程碑。以風險評估為基礎的風險導向審計使審計人員開始關心組織所面臨的風險,使審計人員必須根據風險評估的思路開展對內部控制的評估,使審計報告將目前的控制與策略計劃和風險評估連接起來。在企業開始注重風險管理的情況下,內部審計的重點也從內部控制評審轉向風險導向審計。IIA在1999年對內部審計重新定義,即內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統的、專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。這一新定義將內部審計的范圍延伸到風險管理和公司治理,認為內部審計是針對風險管理、控制及治理過程的有效性進行評價和改善所必需的。兩者的融合正是企業提高經營管理效率的客觀需要和追求自身發展的必然結果。風險導向審計的本質是以風險管理為核心,確保受托責任履行的控制機制。其目標在于提高審計的效率和效果,增加企業價值,實現企業目標。HA所述風險導向內部審計的對象包括三個:風險管理、控制以及治理程序,由此可見,風險導向內部審計的對象已經擴展為公司治理和COSO報告中的風險管理框架下的內部控制。風險導向內部審計階段的主要方式是融風險管理、公司治理和內部控制于一體的綜合審計。這種綜合審計更強調關注公司治理框架中風險發現與風險管理,關注管理者及其經營管理行為可能出現的風險,關注組織在整個治理過程中的決策風險與經營風險。風險作為一種核心理念,貫穿在整個內部審計過程中。管理以及治理程序等新領域,為組織做出貢獻提供新機會。風險導向階段,內部審計職能有了很大的發展空間,從傳統的監督、評價發展為確證(Assurance)及咨詢(Consulting),這兩項職能都是緊密結合內部審計的增值目標發展而來的。
五、結論與建議
由于內部審計在企業經營管理中處于極其重要的地位,它既是企業內部控制機制的重要組成部分這一點在《內部控制基本規范》第五條有明確陳述,內控環境的構成要素之一就是“內部審計機構設置”;同時,內部審計又是監督與評價內部控制的主要手段,正如《內部控制基本規范》第二十六條所述“健全內部審計機構、加強內部審計監督是營造守法、公平、正直的內部環境的重要保證。內部審計擔當了內部控制的“守夜人”的角色,參與內部控制的設計和風險評估;監督內部控制的運行;評價內部控制的有效性(效率和效果)。內部審計的最終目標是增加企業的價值。
