论文部分内容阅读
【摘要】 文章从内部控制的视角,讨论了现代内部审计发挥免疫功能的治理机制。内部审计的监督控制机制、流程再造机制和价值创造机制是其免疫功能的基础,三者相互支持共同缔造了企业的微观防疫系统。文章还讨论了作为制度防线的内部控制的内在要求,以及内部审计为建立长效和具有自我修复功能的内部控制机制的应对措施,
【关键词】 内部审计;内部控制;免疫功能
根据全球审计信息网络(GAIN)对内部审计职能转变的调查,有57%的被调查者认为内部审计应该承担起建议者的角色,并且63.9%的被调查者认为内部审计应该推进以风险管理制度审计为核心的职能转变。这反映了现代内部审计的角色已经从监督信息真实性的受托责任履行,转变为风险导向型的价值增加活动。2004年9月COSO委员会在《内部控制——整体框架》的基础上,颁布了《企业风险管理——整合框架》,指出企业的风险管理要通过识别和控制可能对企业造成潜在影响的事项,为企业目标的实现提供合理保证。内部审计作为公司治理中风险管理的制度安排,在以风险管理为核心的内部控制中发挥着重要作用。这恰恰体现了审计免疫系统在企业微观层面的功能要求。
一、风险管理框架下内部控制与内部审计的关系
(一)风险管理要求建立内部控制的免疫系统
所有的生产经营都面临不确定性,企业在努力实现经营目标的同时,还必须判断这些不确定性对实现经营目标构成的威胁到底有多大,并采取适当的措施予以限制。企业的风险管理能够有效提高管理当局识别、评估和应对不确定性的能力,有助于经营价值的创造和保持(COSO,2004)。不确定性可能来源于外部宏观环境的变化、内部生产经营的适应性和日常运营管理的失误,并可能出现在企业发展的各个阶段。由于人力和成本的限制企业无法彻底消除不确定性,只能通过风险管理将其限制在适当的范围之内,因此实现经营目标的风险管理措施只能对其起到合理而非绝对的保障。有必要将内部控制纳入到风险管理之中,借助内部控制在融入经营管理的特征,帮助企业建立起自身抵御风险侵蚀的免疫机能。有了自身的免疫力,就不仅能够形成一道防火墙,发挥预警作用,防患于未然,而且当不确定性转变成为现实侵入企业组织内部之时,还能够调动企业自有的应急机制予以识别和消除。
(二)内部控制是内部审计的制度基础
首先,内部审计是内部控制体系的重要组成部分。风险管理要求建立起内部控制的免疫系统,并要求内部审计调查和评估内部控制的适当性和有效性,适时提出改进建议。内部审计本身就是一种管理控制工作,是内部控制的一个环节和重要组成部分。其次,内部控制是有效开展内部审计的重要基础。整个内部审计发展的历史就是内部控制发展的历史。内部控制在其发展的不同阶段,对内部审计提出了不同的要求,从而推动了内部审计在内涵和外延上的扩展。内部审计被誉为“透视公司的窗口”,原因除了内部审计人员掌握多专业技能、内部审计活动涉及经营管理活动的各个领域外,还因为内部控制对内部审计的授权,使其具有了特殊的地位。只有保证内部控制的适当和有效,内部审计的治理作用才能得以凸显。内部审计的完善性直接体现了内部控制的完善性。第三,评价和改进内部控制是内部审计的重要内容。内部审计对内部控制的评价和改进,是企业完善内部控制、保障经营目标得以实现的重要支持。评价活动是检查内部控制的适当性、有效性的重要手段;在评价过程中提出的改进建议,是提高内部控制和经营目标契合度的重要基础。内部审计通过评价活动能够发现影响内部控制效率与效果的重要风险因素,通过改进建议促进内部控制不断改善、帮助企业保持有效控制。
(三)内部审计是建设内部控制免疫系统的重要力量
现代内部审计虽然是内部控制的组成部分,但它的范围涵盖了风险管理和控制系统,其功能远远超过了原有的差错防弊。现代内部审计的重要职责是评价企业风险管理的有效性,并在提出管理建议方面起关键作用。比如国际内部审计师协会就要求企业内部审计的职能要包括评价报告的可靠性、经营的效率和效果以及合法性,并在评价的过程中对企业风险管理的适当性和有效性进行检查、评价、报告和提出改进建议。实际上,在风险管理中,内部审计就是承担起了对防火墙的检查更新和对应急机制的测试调整工作,是建设免疫系统的“清道夫”。
二、内部审计构建免疫系统的作用机制
国际内部审计师协会指出,内部审计是一种旨在增加组织价值和改善组织营运的、独立客观的确认和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标(IIA,1999)。风险导向下的内部审计追踪企业经营目标的调整,通过监督控制、流程再造和价值创造来实现建设企业微观免疫系统的目标。
(一)监督控制是内部审计免疫机能的防火墙
早在19世纪中叶,美国新兴的大型企业就开始利用内部审计进行监督控制。这些企业成立了由股东或股东代表组成的审计委员会,监督审查责任人在经营管理中是否存在失职和资产滥用的行为(Watts和Zimmerman,1983)。在现代股份公司中,利用内部审计进行监督控制一直是督促遵守法律法规、防止利益侵夺、保护投资者权益的重要手段。一方面,内部审计通过检查会计、财务以及其他业务,及时地揭露了违反法律法规、利用舞弊等手段侵夺利益的行为,维护了投资者的权益;另一方面,内部审计机构在授权和专业能力上的优势,保障了它具有足够的威慑力,能够有效地遏制权力滥用行为。因此,通过监督控制活动,内部审计执行了构建免疫系统的防火墙的职责,起到了良好的风险防范作用。
(二)流程再造是内部审计免疫机能的自我更新机制
科技进步和激烈竞争形成了复杂的经济环境,增加了企业营运的不确定性。随着时间的推移,原先内部控制的有效性将由于资源、环境的变化逐渐减弱,有可能无法及时应对新的风险。要确保内部控制持续有效的运行,对内部控制体系的评价和调整就必不可少。内部审计在对内部控制的适当性和有效性进行评价的过程中要提出建议,目的就是要改进持续监控活动的途径,在新环境下对监督控制进行流程再造,从而将内部审计嵌入到控制活动之中。流程再造保证了免疫系统的自我更新,使得内部控制能够实时动态地响应变化环境的要求。这既是风险管理的核心要求,也是内部审计职责的重要转变。
(三)价值创造是内部审计免疫机能的最终目标
伴随着流程再造的实践,内部审计也在对内部控制的评价、建议中帮助企业实现价值增值。当免疫机能有效地提高了企业应对风险的能力时,也增进了企业创造价值的能力。内部审计以系统化、规范化的方法实施风险管理,及时发现和纠正经营管理中存在的问题从而避免可能的损失。同时,经过多次审计完善的内部控制流程,不仅能够实现风险防范,也能够提高业务流程的效率,从而提高内部控制和治理程序的效果,改善经营业绩和提高整体价值。IIA在1999 年所通过的内部审计的新定义,就肯定了内部审计的确认和咨询活动能够改善经营并增加价值。
监督控制是内部审计的重要手段,流程再造是内部审计的核心职责,价值创造是内部审计的最终目的,三者共同缔造了企业的微观防疫系统,形成了三星拱月并相互支持的局面。彼此关系如图1所示。
三、内部审计是建设免疫系统的内在要求与具体措施
在建设企业免疫系统的要求下,内部审计以内部控制为制度基础,内部控制以内部审计为安全卫士发挥屏障作用,保障企业经营环境的健康并提高运营活动的效果。构建免疫系统对内部审计的内在要求包括,第一,内部审计工作要以风险防范为主导。审计工作要转变过去“病后治理”的观念,主动积极地以风险防范为主导,促进企业内部业务管理与风险管理的融合,重视对道德风险的评估。通过监控风险管理来优化组织流程、改进组织营运。第二,内部审计工作要以合法安全为核心。“免疫系统”理论将审计提升到了维护安全的角度,作为子系统的内部控制要充分发挥内部审计在揭示问题、抵御侵害方面的优势,以保证资产安全和运营的合法为核心,来提升公司价值创造活动的成效。第三,内部审计活动要以制度建设为保障。通过检查、核对企业经营管理的各项记录,从风险管理的角度,对各种管理制度和控制措施的完善性和有效性进行评价;从流程再造和价值创造的角度,对现有的内部控制缺陷提出改进建议。第四,内部审计还要注重对自身工作的评价与调整。内部审计作为内部控制体系中的重要环节,其职责范围还应包括对自身工作的评价。同时,内部审计工作应该根据企业战略目标的变化调整内容,内部审计人员也要不断补充其它领域的知识,尤其是风险管理和流程再造方面的知识,熟悉企业的经营背景和各项业务活动。
【关键词】 内部审计;内部控制;免疫功能
根据全球审计信息网络(GAIN)对内部审计职能转变的调查,有57%的被调查者认为内部审计应该承担起建议者的角色,并且63.9%的被调查者认为内部审计应该推进以风险管理制度审计为核心的职能转变。这反映了现代内部审计的角色已经从监督信息真实性的受托责任履行,转变为风险导向型的价值增加活动。2004年9月COSO委员会在《内部控制——整体框架》的基础上,颁布了《企业风险管理——整合框架》,指出企业的风险管理要通过识别和控制可能对企业造成潜在影响的事项,为企业目标的实现提供合理保证。内部审计作为公司治理中风险管理的制度安排,在以风险管理为核心的内部控制中发挥着重要作用。这恰恰体现了审计免疫系统在企业微观层面的功能要求。
一、风险管理框架下内部控制与内部审计的关系
(一)风险管理要求建立内部控制的免疫系统
所有的生产经营都面临不确定性,企业在努力实现经营目标的同时,还必须判断这些不确定性对实现经营目标构成的威胁到底有多大,并采取适当的措施予以限制。企业的风险管理能够有效提高管理当局识别、评估和应对不确定性的能力,有助于经营价值的创造和保持(COSO,2004)。不确定性可能来源于外部宏观环境的变化、内部生产经营的适应性和日常运营管理的失误,并可能出现在企业发展的各个阶段。由于人力和成本的限制企业无法彻底消除不确定性,只能通过风险管理将其限制在适当的范围之内,因此实现经营目标的风险管理措施只能对其起到合理而非绝对的保障。有必要将内部控制纳入到风险管理之中,借助内部控制在融入经营管理的特征,帮助企业建立起自身抵御风险侵蚀的免疫机能。有了自身的免疫力,就不仅能够形成一道防火墙,发挥预警作用,防患于未然,而且当不确定性转变成为现实侵入企业组织内部之时,还能够调动企业自有的应急机制予以识别和消除。
(二)内部控制是内部审计的制度基础
首先,内部审计是内部控制体系的重要组成部分。风险管理要求建立起内部控制的免疫系统,并要求内部审计调查和评估内部控制的适当性和有效性,适时提出改进建议。内部审计本身就是一种管理控制工作,是内部控制的一个环节和重要组成部分。其次,内部控制是有效开展内部审计的重要基础。整个内部审计发展的历史就是内部控制发展的历史。内部控制在其发展的不同阶段,对内部审计提出了不同的要求,从而推动了内部审计在内涵和外延上的扩展。内部审计被誉为“透视公司的窗口”,原因除了内部审计人员掌握多专业技能、内部审计活动涉及经营管理活动的各个领域外,还因为内部控制对内部审计的授权,使其具有了特殊的地位。只有保证内部控制的适当和有效,内部审计的治理作用才能得以凸显。内部审计的完善性直接体现了内部控制的完善性。第三,评价和改进内部控制是内部审计的重要内容。内部审计对内部控制的评价和改进,是企业完善内部控制、保障经营目标得以实现的重要支持。评价活动是检查内部控制的适当性、有效性的重要手段;在评价过程中提出的改进建议,是提高内部控制和经营目标契合度的重要基础。内部审计通过评价活动能够发现影响内部控制效率与效果的重要风险因素,通过改进建议促进内部控制不断改善、帮助企业保持有效控制。
(三)内部审计是建设内部控制免疫系统的重要力量
现代内部审计虽然是内部控制的组成部分,但它的范围涵盖了风险管理和控制系统,其功能远远超过了原有的差错防弊。现代内部审计的重要职责是评价企业风险管理的有效性,并在提出管理建议方面起关键作用。比如国际内部审计师协会就要求企业内部审计的职能要包括评价报告的可靠性、经营的效率和效果以及合法性,并在评价的过程中对企业风险管理的适当性和有效性进行检查、评价、报告和提出改进建议。实际上,在风险管理中,内部审计就是承担起了对防火墙的检查更新和对应急机制的测试调整工作,是建设免疫系统的“清道夫”。
二、内部审计构建免疫系统的作用机制
国际内部审计师协会指出,内部审计是一种旨在增加组织价值和改善组织营运的、独立客观的确认和咨询活动,它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效果,以帮助实现组织目标(IIA,1999)。风险导向下的内部审计追踪企业经营目标的调整,通过监督控制、流程再造和价值创造来实现建设企业微观免疫系统的目标。
(一)监督控制是内部审计免疫机能的防火墙
早在19世纪中叶,美国新兴的大型企业就开始利用内部审计进行监督控制。这些企业成立了由股东或股东代表组成的审计委员会,监督审查责任人在经营管理中是否存在失职和资产滥用的行为(Watts和Zimmerman,1983)。在现代股份公司中,利用内部审计进行监督控制一直是督促遵守法律法规、防止利益侵夺、保护投资者权益的重要手段。一方面,内部审计通过检查会计、财务以及其他业务,及时地揭露了违反法律法规、利用舞弊等手段侵夺利益的行为,维护了投资者的权益;另一方面,内部审计机构在授权和专业能力上的优势,保障了它具有足够的威慑力,能够有效地遏制权力滥用行为。因此,通过监督控制活动,内部审计执行了构建免疫系统的防火墙的职责,起到了良好的风险防范作用。
(二)流程再造是内部审计免疫机能的自我更新机制
科技进步和激烈竞争形成了复杂的经济环境,增加了企业营运的不确定性。随着时间的推移,原先内部控制的有效性将由于资源、环境的变化逐渐减弱,有可能无法及时应对新的风险。要确保内部控制持续有效的运行,对内部控制体系的评价和调整就必不可少。内部审计在对内部控制的适当性和有效性进行评价的过程中要提出建议,目的就是要改进持续监控活动的途径,在新环境下对监督控制进行流程再造,从而将内部审计嵌入到控制活动之中。流程再造保证了免疫系统的自我更新,使得内部控制能够实时动态地响应变化环境的要求。这既是风险管理的核心要求,也是内部审计职责的重要转变。
(三)价值创造是内部审计免疫机能的最终目标
伴随着流程再造的实践,内部审计也在对内部控制的评价、建议中帮助企业实现价值增值。当免疫机能有效地提高了企业应对风险的能力时,也增进了企业创造价值的能力。内部审计以系统化、规范化的方法实施风险管理,及时发现和纠正经营管理中存在的问题从而避免可能的损失。同时,经过多次审计完善的内部控制流程,不仅能够实现风险防范,也能够提高业务流程的效率,从而提高内部控制和治理程序的效果,改善经营业绩和提高整体价值。IIA在1999 年所通过的内部审计的新定义,就肯定了内部审计的确认和咨询活动能够改善经营并增加价值。
监督控制是内部审计的重要手段,流程再造是内部审计的核心职责,价值创造是内部审计的最终目的,三者共同缔造了企业的微观防疫系统,形成了三星拱月并相互支持的局面。彼此关系如图1所示。
三、内部审计是建设免疫系统的内在要求与具体措施
在建设企业免疫系统的要求下,内部审计以内部控制为制度基础,内部控制以内部审计为安全卫士发挥屏障作用,保障企业经营环境的健康并提高运营活动的效果。构建免疫系统对内部审计的内在要求包括,第一,内部审计工作要以风险防范为主导。审计工作要转变过去“病后治理”的观念,主动积极地以风险防范为主导,促进企业内部业务管理与风险管理的融合,重视对道德风险的评估。通过监控风险管理来优化组织流程、改进组织营运。第二,内部审计工作要以合法安全为核心。“免疫系统”理论将审计提升到了维护安全的角度,作为子系统的内部控制要充分发挥内部审计在揭示问题、抵御侵害方面的优势,以保证资产安全和运营的合法为核心,来提升公司价值创造活动的成效。第三,内部审计活动要以制度建设为保障。通过检查、核对企业经营管理的各项记录,从风险管理的角度,对各种管理制度和控制措施的完善性和有效性进行评价;从流程再造和价值创造的角度,对现有的内部控制缺陷提出改进建议。第四,内部审计还要注重对自身工作的评价与调整。内部审计作为内部控制体系中的重要环节,其职责范围还应包括对自身工作的评价。同时,内部审计工作应该根据企业战略目标的变化调整内容,内部审计人员也要不断补充其它领域的知识,尤其是风险管理和流程再造方面的知识,熟悉企业的经营背景和各项业务活动。