以上简单介绍了国际内部审计师协会的内部审计实务框架,从中我们可以看到其理念的发展,并得到一些有益的启示。
从独立性到客观性
国际内部审计师协会对内部审计的旧定义体现在其颁布的《关于内部审计责任的声明》(1990修订本)中:“内部审计是一个组织内部为检查和评价其活动和为本组织服务而建立的一种独立评价功能,它要提供有关检查活动的分析、评价、建议、咨询意见和信息,以协助本组织成员有效地履行其职责。”通过新旧定义的比较,我们可以注意到,在新的定义中国际内部审计师协会更强调了客观性。
在传统观念中,“独立”是内部审计的一个重要特征,也被认为是保证内部审计效果的一个重要要求。然而,从本质上说,客观是一个更为根本和广泛的概念。[2]在新定义的草拟过程中,指导任务小组最初并未使用“独立”这一概念,也没打算界定它。他们认为含义更广的“客观”是内部审计职业的显著特点。而“独立”的要求,则对内部审计人员造成了不必要的约束,它限制了由谁来提供服务以及可以提供哪些服务。而且,把“独立”凌驾于其他概念之上,会使内部审计部门在提供服务时相对于外部服务提供者处于竞争的劣势,因为后者往往处于“更独立”的位置上。
内部审计部门能为企业增加价值就是因为他们对改进经营与控制的分析与建议是客观的。独立是为了保证客观,是一种手段,而客观才是最终的目标。试想如果审计活动是独立的,但却由于种种原因没有反映事物的客观面貌,那这种活动就没有效率和效果,甚至造成决策失误,十分有害。反过来,只要保证了客观,就不必要死守独立不放。对于内部审计来说,其形式上的独立性肯定不如外部审计,如果就此认为内部审计不如外部审计,那是十分荒谬的。
长期以来,人们经常混淆了目标和手段的区别。虽然目标和手段应该是统一的,但是将手段作为目标则必然导致目标的异化,导致手段最终失去意义。最明显的例子就是美国财务会计准则委员会原来倡导的以规则为导向的会计准则模式,由于一味以规则(即手段)为重,最终导致不少公司钻规则的空子,发生了安然和世通等等假账丑闻。这种模式至少造成了以下问题:
(1)没有明确清晰的目标,大量的细节掩盖了准则的用意;
(2)过多的例外和界限测试,为财务设计者获得所需要的结果提供了方便;
(3)大量的详细指南,其中包含了大量互相矛盾的处理。
美国证券交易委员会发表了一份研究报告《对美国财务报告采用以原则为基础的会计体系的研究》,[3]认为需要摒弃美国以规则为导向的模式和国际会计准则委员会提倡的以纯原则为导向的模式,而采取以目标为导向的模式。此举鲜明地说明了目标是第一性的,而规则,甚至于原则,都只是一种达到目标的手段。方向错了,则手段再完善也只是在错误的道路上越走越远,甚至于更快速地偏离目标;方向对了,则所有的手段都可以因此而发展起来。比如,从历史上看,独立审计目标的演变,即从查错防弊到验证财务报表的公允性,直到现在的两者皆重,其审计技术和审计方法也随之发生变化,或者说也随之发展。制度基础审计和审计抽样的运用,都是在验证财务报表公允性阶段才发展起来的。没有这个目标,这些方法、程序的确立是很难想像的。
因此,国际内部审计师协会的这些研究成果、成功的经验以及失败的教训,都为我们理解内部审计的本质,进而制定我国自己的内部审计准则,提供了很好的借鉴。
需要说明的是并非说独立性的概念毫无用处了,作为一种手段它应该发挥自己的作用。“独立”是个变量,对它的解释以及其重要程度依赖于一系列因素,如企业的行业类型、地区及国家法律法规,以及相关服务的本质等。遵守独立性有助于达到客观性。在美国会计学会当前的研究中,“独立”被表述为“无阻碍地决定工作范围和无阻碍地完成工作的能力”,指导任务小组最后采用了这一理解,保留了“独立”,认为“内部审计活动应该在决定内部审计范围、开展工作以及汇报成果时不受干涉”。国际内部审计师协会认为,独立是对审计活动而言,客观是对内部审计师个人而言。显然审计活动是以内部审计师为基础的。为了保持客观性,国际内部审计师协会认为内部审计师:
(1)不应该参加任何有可能损害或者假定会损害他们无偏见的评估的活动或关系。包括可能与组织的利益有冲突的活动或关系。
(2)不应该接受任何可能损害或假定会损害他们职业判断的东西。
(3)应该披露所有知道的重要事实,只要如果不披露将会歪曲对所审查的活动的报告。
将视野扩展到组织外部
内部审计,按常人理解,仿佛必须由组织内部的人员和机构进行。然而这是一种误解。在国际内部审计师协会对内部审计的新定义中,“内部”一词被抛弃了。内部审计是组织内部的审计业务,是一种范围性概念,不同于“由内部审计人员从事的审计业务”的主体性概念。虽然有一些人认为“内部”这个概念是内部审计职业最重要的特质,然而在理论上保留这一概念是有缺陷的。这一措辞试图使内部审计职业垄断所有相关的服务,执行所有职能,试图阻止外部人参与内部审计服务的竞争。而且随着服务范围的扩展,在企业内部拥有所有需要的技术变得不经济,这也造成了许多企业从外部购买服务,即所谓的内部审计外部化。“内部”这一概念唯一有价值的地方在于内部审计服务仍应由企业内部进行管理,而不应完全放权给外部。
内部审计业务部分或全部拓展到外部,其明显的优势体现在:
1.获得规模经济。外部审计组织不仅在组织规模上,而且在业务规模上都是经济的。高额的服务成本费用可在大量的客户那里得到补偿或分摊,因此能够实现等效服务下的成本最低,或成本相同下的更高效服务。大部分审计业务是要由人来完成的,但有些部分要用到计算辅助技术和管理分析技术,这些技术中的软硬件成本不是一般单位愿意承担或能够承担的,但一流的会计公司却能够也愿意承担,因为这些固定成本可以分摊到大量的客户中去。
2.降低总成本。组织如果建立一个自己的内部审计部门,需要支付员工的薪金、培训费和管理费用,内部审计外部化则能节省这些费用,而且企业可只在需要时聘用,以保持支出控制的灵活性。即将设立内部审计部门所需的固定成本转换为变动成本,将不可控成本变为管理部门的可控成本。同时,如果由外部审计人员承担内审工作,内部审计的方法和程序可与外审保持高度的一致性,这意味着外审人员能更多地依赖内审工作,企业也可因少支付审计费用而获益。
3.保持适当的组织规模。几乎每个企业都能从内部审计职能中受益,但对中小规模的企业来说,设置一个只有一两个人的内审部门很难招募到顶尖人才,也无法建立足够的专家意见数据库。会计师事务所则可对风险进行有效的分析并提供菜单化的专业服务,以在不同的时间满足客户的不同需求。
4.使管理层关注核心竞争力。内部审计部门的日常审计往往是低效的,还可能会分散管理层的精力。如果实行内部审计外部化,企业就可腾出管理时间和管理资源,使管理层能够关注于核心竞争力领域,集中精力追求更具战略意义的目标,而不是将大量精力耗费在低回报的日常管理中。
5.组织在外购内部审计服务时,占有主动权。组织在决定采取内部审计服务外购时,可按照本企业的具体情况,结合不同会计师事务所的优势进行选择,在很大程度上占有主动权。在接受服务的过程当中,通过董事会和审计委员会对内审工作进行监督,可评估外部审计人员的服务质量,确定合约的完成情况。如果对其服务不满意,由于市场上还有其他可提供内审服务的外部人员,企业可以与聘用者签订长期价格协议或考虑重新引入内审机构。
6.外部审计组织具有先进的审计技术,丰富的审计经验,而且部分一流的会计公司还拥有独特的质量控制与保障制度。
因此,随着内部审计的发展以及外界对内部审计要求的不断提高,内部审计外部化将是一种潮流。我们应该顺应潮流,打破成规,以提升组织的价值、帮助组织达到目标。
内部审计的终极目标是增加组织价值
传统内部审计理论认为,内部审计具有经济监督、经济管理、经济评价、经济鉴证等职能。这种认识也反映在旧的内部审计定义中。而国际内部审计师协会在最新的《内部审计定义》中认为,它是一项独立、客观的鉴证和咨询服务,它的目标在于增加价值并改进组织的经营。这完全不同于传统理论上的“独立评价功能”论。
“增加价值和改进经营”的提出,使得这一职业充满前所未有的活力。在传统概念下,内部审计在很大程度上是为了降低代理成本而设计的,人们不关心它对企业经营的贡献,而且这种贡献往往是无形的。而在如今的高度竞争且成本“过敏”的市场上,各大公司纷纷将其业务流程分为增值过程和非增值过程,然后尽可能地压缩非增值过程,期望公司内每一个人都为其创造价值。归根到底,一个组织只有具有价值才有存在的必要,也才能够存在下去,否则在社会上必无立足之地。因此任何活动,只有为企业创造或者增加价值,才能为组织所重视,才能存在下去。内部审计如果还固守过去的阵地,只能被淘汰出局。新的角色定位要求内部审计积极参与价值创造活动,这样才能为自己的继续存在争得一席之地。内部审计如果不以增加组织价值为目的,则为组织所不容。内部审计在参与价值创造的同时,要向世人昭示其在价值创造过程中的贡献,让公司的管理部门、董事会及其他利害关系人了解其存在的必要性和重要性,这样才能保持和提高职业地位。但需要注意的是,不应把成本降低的幅度或效率增长的幅度等作为衡量内部审计工作绩效的标准,这样做会削弱其工作的客观性。因为内部审计工作对价值创造的贡献往往是间接的。
同时,内部审计关注的活动也因此提升至组织整体的层次,而不再是过去针对个人或某一部门的活动。其目标的核心定位于帮助一个企业达到战略目标,即增加价值,还将内部审计与企业的核心业务流程和关键成功因素联结在一起。关注层次的提升,使得内部审计从一个局部职能的“功能性思维”转向从整体价值链来考虑问题和提出解决方案,从全局、长期着眼,促成各个部门各个方面的有效合作。这也在实质上扩展了内部审计的职能,并要求在内部审计人员的招募、培训、团队构建活动中充分考虑这方面的因素。
将风险管理放到重要位置
在审计领域,“风险”一词仿佛较多地与独立审计相联系。传统的内部审计也着重于内部控制制度和经营机制。[4]然而由于在市场经济条件下企业面临的内外部环境的不确定性,企业的风险也普遍增大,例如内部的有财务和经营信息不足、政策计划和标准贯彻失败、资产流失、资源浪费和无效使用等等,外部的有消费者偏好变化、国家宏观政策调整、国际金融市场动荡等等。因此企业迫切需要内部审计通过一套系统、规范的方法来评价和改进风险管理及控制、治理过程的效果。顺应这种要求,新的定义中也加进了风险管理的内容。企业的总体管理控制机制一般更倾向于把管理控制系统与组织的长远目标,以及不能达到这些目标的风险联系起来。为了帮助企业达到目标,必须重视风险管理。新定义表明控制不再是抽象的、暗含的,而是能实实在在地帮助组织进行风险管理和制定出有效的管理程序,而且对于每一种情形都有多种“正确的”的方法。风险控制体制使内审人员必须随着全球市场和竞争性质的变化、新的资产形式的产生,以及信息获取工具的变革而不断改进控制手段。“一种控制手段适用于各种控制”的说法和通用的控制模式已不再存在。
风险控制系统也决定了鉴证与咨询服务能为组织创造价值。在此方面不乏成功的实例。如某外贸集团公司下属10多家子公司,集团内部审计师对这些子公司2002年下半年业务合同签订与执行情况进行了审核,发现在1000万元以上大金额进口商品合同中仅豆粕一个商品就占16%,涉及金额5亿元。按照国际惯例,购买豆粕须提前半年签订期货合同。各子公司不约而同地进口豆粕,对整个集团来说占压在某个商品上的资金过多,势必会增大经营风险。内部审计师立即向集团管理层提出建议,豆粕进口须做套期保值以避免价格下降造成的经营风险。果然2002年南美洲豆粕大丰收,豆粕国际市场价格一路狂跌。内部审计师的建议使集团避免了近2亿元的损失。
随着国际经济一体化以及我国加入世界贸易组织,企业间的竞争将日趋激烈。而内部审计在帮助企业实现其目标中具有不可替代的优势,因此日益受到管理当局的重视。但是目前我国的内部审计无论在理论上还是实务中均有不少需要改进之处。如何抓住机遇,在提高企业竞争力的同时发展内部审计职业,是每一个内部审计人员面临的重大课题。
