梁水源,美国企业强化内部审计工作的主要措施及启示

美国企业强化内部审计工作的主要措施及启示梁水源【摘要】美国内部审计专业机构的《2011年度内部审计能力与需要的调查报告》阐述了美国企业内部审计工作的能力与需要的情况。美国企业强化内部审计工作的主要措施有：进行一次风险评估，然后有针对性地采取措施；及时发现与确认风险的苗头，努力做到防患于未然；将风险因素以发生的概率大小来进行排列顺序；认真贯彻落实《萨班斯法案》；提高各项交易业务检查与检测的频率；以增加公司价值为目的，建立增值管理型内部审计；尽可能实施质量保证复审措施。启示与政策建议有：建立健全法律制度，加大对违规行为的处罚力度；进一步完善内部审计的信息披露机制；正确处理内部审计与外部审计的关系。【关键词】内部审计；风险评估；《萨班斯法案》；质量保证复审；信息披露机制。在美国公众公司会计监督委员会(PCAOB)的直接监督与指导下，美国公众公司认真贯彻落实《萨班斯法案》，最近几年中，美国企业普遍地强化了内部审计工作，各个公众公司也相应地采取了一些行之有效的具体措施。本文根据PCAOB权威发布的内部审计公报以及内部审计专业机构Protiviti在2011年3月出版的《2011年度内部审计能力与需要的调查报告》，同时也参考了美国审计专业期刊发表的最新研究成果，就美国公众公司如何强化企业内部审计工作方面存在的问题、取得的成功经验、所采取的主要措施进行了研究与总结。本文首先简单介绍了《2011年度内部审计能力与需要的调查报告》的内容，其次，提供了十个可操作的具体措施，最后，谈了这些措施对于我们的启示，以供业内人士借鉴与参考。一、《2011年度内部审计能力与需要的调查报告》的内容概述内部审计是一个客观的、公正的评估自己公司的专业活动，意在改善、规范公司的作业与行为，增加公司价值。它有助于优化公司的管理系统与管理方法，全面评价公司管理的效率，有效实施风险管理，控制与监测作业活动与生产程序。内部审计专业机构Protiviti在2011年3月出版的《2011年度内部审计能力与需要的调查报告》中，从五个方面阐述了2011年度美国企业内部审计工作的能力与需要的情况。具体内容：一是风险管理与公司治理方面的知识；二是评估一般专业领域的技术知识，比如，国际财务报告标准的内容；三是评估内部审计程序方面的知识，比如，计算机辅助审计软件（工具）的开发与使用情况；四是审计人员的培训与能力要求；五是研究方法。另外，为了保障内部审计能力与需要的调查报告的合规性与精确性，最后还加了两个附录内容，即（1）有关的技术标准与法律；（2）企业风险管理能力的定量分析模型。在一至四的每个大点下面，都设计了内部审计能力与需要的五个方面的调查要点，即：2011年度问题的发现要点；如何改善的重点与要点；风险管理与公司治理措施的要点；目前必须考虑的问题；内部审计考察要点。以评估一般专业领域的技术知识为例，就设计了61个知识点，其中包括了法律、执业标准、信息技术评估实务标准、专业理论知识等等。从《2011年度内部审计能力与需要的调查报告》的影响力与效果方面来看，它有这样几个方面的作用：（1）充分发挥内审人员的积极性，引导企业实施风险管理；（2）提醒董事会与管理层关注战略风险、战略预期，与时俱进地修正战略规划；（3）关注与评估新法律、新制度、新准则（如，IFRS,Dodd-Frank法案等等）给公司带来的新影响；（4）提供信息技术方面的最新成果与方法，实施精细化管理，降低成本，提高效率；（5）强化内部审计管理，使其全部作业行为都为企业增值服务。这个调查报告的特点是细致、深入、全面、具有前瞻性，如果我们对照这个调查报告，就可以发现我们自己公司在内部审计方面的许多问题与不足。同时，也可以引起我们对于自己公司问题的思考，进一步启发我们应该采取哪些积极的改进措施。梁水源，福建工程学院管理学院，邮政编码：350118，电子邮箱：lsy19570811@126.com二、2011年度美国企业强化内部审计工作的主要措施刚刚过去的2011年度，是美国PCAOB采取强硬措施、加大执法力度的一年，也是美国公众公司在内部审计方面投资最大、成本最大的一年。各个公司千方百计地优化公司治理，强化内部审计工作，极大地改变了内部审计的思路与方式。公众公司不折不扣地贯彻落实双重审计制度（财务报告审计与财务报告内部控制审计），内部审计人员鉴证管理层的评估报告并且及时对外报告，对外公布的年度报告中客观、全面地包括了财务方面内部控制的有效性的内容，等等。所有这些措施都是把一直以来被视为公司最高级别的财务秘密全部暴露在阳光之下，极大地提振了社会公众对于美国资本市场的信心，提高了公众公司的财务报告的公信力。具体的措施如下：（一）进行一次风险评估，然后有针对性地采取措施。随着市场竞争的加剧，企业在经营过程中所面临的风险也在不断增加，这就要求企业内审人员务必要强化风险意识，及时甄别企业所面临的各种风险，以便防患于未然。虽然企业的管理层对于风险评估、内部控制负主要责任，但是，内审人员从审计的角度对于企业风险进行再评估，可以进一步减缓风险发生的概率。从内部审计的角度可以采取如下措施：合理设计内部控制评价标准；合理制定内部控制与内部审计步骤；认真测试和评价内部控制结构的合理性；认真测试和评价内部控制执行的有效性。及时发现问题，及时纠正。（二）及时发现与确认风险的苗头，努力做到防患于未然。内审人员需要仔细、认真、善于思考问题、发现问题、非常留意个别细节与细小的苗头，及时发现并确认已经出现的风险萌芽及其因素。而不仅仅是把握预知的风险，更不应该是等待风险已经演变成实际损失了，才雨后送伞，做事后诸葛亮。内审人员必须熟悉公司的经营管理全过程，收集信息，有效预测与善于识别风险。内审人员需要深入到经营管理的各个部门，从评价各部门的内部控制环节与制度入手，在生产、采购、销售、财务、人力资源管理等各个方面，进行风险预测和识别，提示管理层相应调整经营策略和强化内部控制，并预先甄别出可能出现的风险。（三）将风险因素以发生的概率大小来进行排列顺序。内审人员必须把全公司的风险因素以发生的概率大小、时间先后来进行排列顺序。这个排列顺序并不是一蹴而就的，而是需要进行动态管理，因为各种因素是在不断发展变化的，所以至少每季核查一次，重新排列一次。如果问题比较严重时，就需要每周核查一次，然后，根据新情况、新形势进行重新排列风险因素的顺序。（四）认真贯彻落实《萨班斯法案》。于2002年7月正式获得通过的该法案又名《公众公司会计改革与投资者保护法案》。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者利益及其他目的”。该法案突出强调了上市公司内部审计独立性的法律责任。各上市公司为了完成该法案中所要求的达标任务，支出的人力、物力和时间成本都非常大。根据国际财务执行官组织（FinancialExecutivesInternational，FEI）对217家平均年收入为50亿美元左右的上市公司进行的调查，因为遵循该法案的内控强制规定的平均成本上升了496万美元。按照这个法案的要求，公司需要自查自纠，尤其是上市公司必须严格执行。内审人员需要合理安排资源、认真平衡内部审计的成本、效率、效果等三个方面的关系，以确保财务报告的真实可信，并使得财务与会计业务符合法案要求。（五）准确评估企业的IT技术的安全保密性能与指标。就如同大部分企业风险一样，内部审计人员并不对IT风险负主要责任。但是，最近几年，IT已经成了企业管理的高风险区域了。2006年2月，美国注册会计师协会(AICPA)和加拿大注册会计师协会(CMA-Canada)联合出版了内部审计指导书《信息技术评估实务》，它适用于美国和加拿大的企业应用信息技术的经济效益评估工作，是企业的内审人员如何对企业的IT投资进行价值评估的基本制度和重要依据。因此，内审人员应该关注并且提供独立的安全检测审计措施，所以内审人员要问：谁有可能进入我们的系统？什么时候进入？他们试图得到什么？那些东西对于我们重要吗？我们知道法律有关公司保密的条款吗？目前仍然有哪些问题尚待进一步落实与研究？（六）内审人员需要与其他领域的控制人员协同一致，齐抓共管。一个成功的企业必须有几个团结的核心团队在努力工作，内部审计部门作为决策者的参谋部门，内审人员应充分运用三维立体的思维方式、敏感快捷的反映速度、训练有素的业务操作技能在各职能部门之间、在各环节流程之间充分发挥协调作用，促进企业形成团结、协作、高效的团队。内审人员不应单纯地对企业财务收支、会计信息质量和经济责任进行审计，而应不断地拓宽审计范围与领域，站在企业战略发展的高度，从经营者、管理者的角度进行审计分析，为高层决策提供参考，为企业可持续发展服务。我们的内部审计工作做得怎么样？本公司其他部门对于我们的满意程度就是最公正的评价。工作好坏的分水岭是：内审人员是在支持、协助其他部门的工作，还是在有意与无意地妨害其他部门的工作？或者是已经调查、了解了其他部门的问题，是否进行了有效及时地处理、反馈与及时向上级部门反映？（七）提高各项交易业务检查与检测的频率。现在，许多美国企业实施全天候24小时的业务监控，信息交换与信息处理结果及时在各个部门的计算机终端显示。内部审计部门检查检测的重点部门是产品销售与材料采购，你测试与抽查高风险交易业务的次数越多，你发现问题的机会就越多。如果你抽样测试了不仅仅是30笔业务，而是30万笔业务，结果如何呢？量变大了就会引起质变。那么你的内审质量与效果非常好是不言而喻的。企业为了检查、确认和防止员工的欺诈、误用、错误等行为，一般都要采用那些具有可以进行全面的、全天候的、可连续的监督特点的财务应用软件来建立健全内控机制，比如加特纳集团公司(GartnerGroup)开发ERP应用软件就有这个功能。企业必须有一个自动的、不干扰财务系统正常运转的、全程控制的审计机制来检测员工的行为，重点是支付系统的人和事。这样的全程监督具有极大的威慑力，它可以帮助内审人员督促管理部门建立起自动纠错机制。实践证明，交易业务的全程监督可以非常有效地确认与防止系统之内的欺诈与错误。（八）以增加公司价值为目的，建立增值管理型内部审计。国际内部审计师协会（IIA）对于内部审计的定义是：“内部审计具有独立、客观的地位，履行确认和咨询职责，工作范围涉及评价并改善风险管理、控制和治理过程的效果，最终目标是增加组织价值和改善组织的运营，帮助组织实现其目标。”这个定义非常明确地提出了“增加组织价值”的理念。欧债危机以来，由于各国企业竞争加剧，获利空间减少，企业的任何作业行为都会非常敏感地影响到盈亏，内部审计工作是增加成本还是增加价值？现在已经变成了一个生死攸关的问题。我们最新的认识是：内部审计具有增加公司价值的功能。因此，现阶段内部审计面临的主要任务是：提高内部审计的服务职能，千方百计地增加公司价值，不断提高内部审计的地位。针对当前的主要任务，今后审计工作转型的方向主要是增值管理型审计、风险导向型审计、内部控制评价型审计。落实在具体工作中，就是严防贪污腐败，坚决堵塞漏洞；生产作业进一步规范化、合理化、科学化；降低成本，增加利润。（九）尽可能实施质量保证复审（QAR）措施。国际内部审计师协会（IIA）颁布的《国际内部审计专业实务框架》公告第2050-1条指出，首席审计执行官应当与其他的相关确认和咨询服务的内外部提供方（者）共享信息、相互协调，以确保有足够大的工作覆盖面，并尽可能减少重复工作。同时，IIA也向美国国会提议，所有上市公司都应建立一个直接向美国国家审计委员会报告的企业内部审计机构；明确指出：一个健全的治理结构应包括董事会、管理层、外部审计（民间审计）和内部审计四个机构，由其共同发挥作用是有效治理企业的基础；并强调指出，要发挥内部审计师在保证有效的内部控制和健全的财务报告两个方面必须起关键作用。据此，美国PCAOB制订的内部控制与内部审计新准则要求，内部审计人员的审计结果，在有条件的情况下，必须进行一次(外部的)质量保证复审（QAR），即将内部审计结果送给外部的注册会计师事务所进行结果复审与核查；一般应该