内部审计治理功能之实现路径:基于客户需求观的分析
—— 兼及金融控股公司内部审计的发展对策
【摘要】 近年来国内外资本市场上陆续上演的企业管控失败案,凸现了内部审计之于企业改善治理和加强管控的极端重要性。基于内部审计客户需求观视角,本文首先剖析了内部审计在现代企业管控体系中所扮演的客观治理角色与地位,进而着力构建了一个帮助内部审计实现治理功能的基本路径框架,即是以客户需求为导向、以内部控制评估为基础、以关键风险点为主轴、兼及评估战略管理和治理流程的风险基础内部审计运作模式,并详细勾勒了内部审计在内部控制、风险管理、战略管理、治理流程等四大领域的评估与改进之具体操作流程。籍此,通过借鉴治理基础内部审计之核心理念,审视我国金融控股公司内部审计的运行现状与不足,提出了一些促进其治理作用能够有效发挥的初步发展对策。
【关键词】内部审计;治理功能;客户需求;实现路径;发展对策
目 录
内部审计治理功能之实现路径:基于客户需求观的分析
—— 兼及金融控股公司内部审计发展对策
我们(
进一步,作为一个内嵌于公司管控系统的治理机制,究竟可以通过何种路径来实现它的治理功能呢?这是在认可内部审计治理角色基础上所应作出的更深层次探讨。从既有研究成果看,尽管已有不少文献探讨过内部审计在公司风险管理等特定领域的作用,但是从公司治理层面就内部审计如何发挥治理效用的系统研究尚不多见,尤其为内部审计设计和执行治理功能的整体路径及详细操作流程的研究,更是微乎其微,而这恰恰是当前内部审计发展中需要解决的重大迫切课题。为此,本文将承袭治理基础内部审计模式(吴清华,2008)研究基础上,着重探讨内部审计的治理功能实现路径问题。
本文后续内容安排如下:第二部分是关于内部审计在现代企业管控体系中治理角色的探讨;第三部分设计了一个内部审计实现治理功能的基本路径框架;第四至第七部分分别就内部审计在内部控制、风险管理、治理流程和战略管理等领域如何发挥作用展开详细讨论;第八部分是针对我国金融控股公司内部审计发展现状作出的未来改进分析;{zh1}是本文的结论部分。
本部分首先分别阐释内部审计与公司管理和公司治理的关系,进而将内部审计置于公司整个管控体系中进行考察,以厘清内部审计的客观治理角色与地位。
一般而言,管理工作有三个基本职责:计划、组织、领导。计划主要是制定组织的目标;组织就是要集中人力、物力、财力资源,按照组织的政策和计划分配到各部门和单位;领导就是运用行政职权,采取适当的措施,保证组织按计划运转。为了实现组织目标,必须制定一整套管理制度,既包括上述的计划、组织、领导,也包括各项政策、规章、制度、标准和程序,统称为管理或内部控制制度(系统)。当然,控制目标不会自动完成,在管理控制制度制定出来之后要交付执行,在执行过程中要进行检查和监督,控制目标才会得到实现。在此过程中,无疑需要内部审计的协助,因为内部审计的基本目的是帮助组织完成其目标,揭露相关的风险,并提出改进建议。因此,内部审计是现代公司管理的组成部分。具体而言,内部审计作为内部控制中的一个重要组成部分和要素而存在,同时也是伴随企业风险管理需要而存在,并最终成为整个企业管理的重要元素之一。
公司治理有狭义与广义之分。狭义的公司治理,是指所有者(主要是股东)对经营者的一种监督与制衡机制,即通过一种制度安排,来合理配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的{zd0}化,防止经营者对所有者利益的背离。其主要特点是通过股东会、董事会、监事会及管理层所构成的公司治理结构的内部治理。广义的公司治理则不限于股东对经营者的制衡,而是涉及广泛的利害相关者,包括股东、债权人、供应商、雇员、政府和社区等与公司有利害关系的集团。公司治理是通过一套包括正式或非正式的制度来协调公司与所有利害相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方面的利益。
无论是狭义还是广义的治理概念,公司治理都是伴随着现代企业的出现而产生和发展的,是基于企业所有权与经营权相分离后而引发的委托代理关系及“内部人控制”等问题而产生的一系列制度安排。按照是否来自公司出资者所有权与《公司法》直接赋予,公司治理可分为内部治理和外部治理:前者通常是指按照《公司法》所确定的法人治理结构对公司进行的治理,即是主要由股东会、董事会(包括经理)、监事会等构成;后者主要是指控制权市场(经理人市场)、政府监管(监管机构与地方政府)、中介机构(独立审计等)、以及债权人(供应商)等利害相关者构成的治理。
无疑,出于解决现代企业代理关系与代理问题的需要,内部审计必然要介入公司治理层面。因为,公司治理因代理关系和代理冲突而产生,内部审计也因代理关系而维系,这就决定了现代企业治理框架下,内部审计作为一种监督机制,必须立足表征公司代理关系的治理层级,才能切实发挥应有的帮助降低信息不对称和代理问题的作用。实际上,国际资本市场对内部审计在公司治理中地位更加明确,即认为内部审计、董事会、管理层和外部(独立)审计等共同构成了公司治理的四大主体。
既然内部审计分别是现代公司管理和治理的重要组成部分,那么就有必要澄清公司管理和公司治理的联系,进而明确内部审计在公司整个管控体系中的角色与地位。
关于公司管理与公司治理的关系,Tricker(1984)曾明确指出:公司管理就是运营公司,而公司治理则是确保这种运营处于正确的轨道之上。Dayton(1990)则将公司治理和公司管理的关系形象的比喻为一个硬币的两面,即:公司治理是董事会监督管理层的过程、结构和联系,公司管理则是管理人员确定目标以及实现目标所采取的行动。由此,可以认为,公司治理规定了企业运作的整个基本网络框架,而公司管理则是在这个框架下驾驶企业奔向目标。进言之,公司治理机制构成企业各利益相关主体之间的权责利划分,以及采取什么样的手段实现相互制衡,这是企业创造财富的基础和保障;公司管理是在既定的治理机制下企业为实现企业的目标而采取的行动,这是财富创造的源泉和动力。
由此,不难理解,内部审计本质上是现代企业管控体系中一个不可或缺的内部治理机制。正是为维系企业整个合作网络框架的有序运行,或者说为保证代理人更好地履行受托经济责任,内部审计才得以产生,并应受托责任(本质是代理关系)的发展而发展。图1展示了内部审计在现代公司管控体系中的这一客观治理角色。
根据国际内部审计师协会(IIA,2009){zx1}修订的《内部审计职业实务框架》,内部审计可以通过认证和咨询服务两种形式,在内部控制、风险管理和治理流程三个领域发挥作用。因此,内部审计的价值在于提供相关认证和咨询信息,以为利益相关方进行分析和决策提供支持,也即满足不同客户的审计需求。不但如此,作为公司规划公司整体发展远景的战略层面的管理,即战略管理也应当成为内部审计重点xx的领域和程序。也就是,在治理型内部审计观念下,其不再仅仅是从经济活动的末端就其合规和遵循性进行审核和发表意见,而是立足公司的战略层面,以内部控制的有效性评估为基础,以关键风险环节为切入点,就公司治理流程、风险管理和战略管理等进行系统的评估,在对代理人受托责任履行过程和结果进行评价的同时,通过提供有价值的审计信息和建议,帮助改进和提升公司治理和管控的效率(吴清华,2008)。具体的路径框架如图2所示。
由此,内部审计实现治理功能的基本路径是,在风险基础审计模式下,以内部审计的客户需求为导向,以内部控制制度建立及有效性的评价为基础,通过认证和咨询服务两种方式,分别就战略管理、风险管理和治理流程方面的相关信息、管理、决策等可能涉及的关键内容,发表恰当的审计意见或改良措施,提供有价值的审计信息与建议。
以下先就内部审计的客户需求与服务方式展开分析,后文将进一步分别四大重要审计领域加以探讨。
如前所述,内部审计的价值在于提供相关认证和咨询信息,以供利益相关方进行分析和决策,为此,一切可能对内部审计信息产生需求的主体都可视作是内部审计服务的对象,即内部审计客户。根据内部审计在公司管控体系中的角色以及利益相关方对内部审计的信息需求,内部审计客户可以大致分为两类:一是来自公司内部各层面的需求主体,如管理层、董事会、其他职能部门及员工等;二是来自公司外部的利益相关者,如股东、债权人、监管机构、中介机构、公司客户等。这实际上与公司治理所涉及的利益相关者(即公司内外部治理机制所对应的治理主体或市场参与者)范围基本相一致。
内部审计客户需求决定了内部审计工作的方向和目标,因此,在设计合适内部审计方案之前,还需明确内部审计客户的具体需求及可以提供服务的性质和方式。
对于公司内部客户而言,管理层主要xx的是公司经营目标能否或如何实现及对下属部门的监督,为此需要内部审计为其提供相关的认证或咨询服务,董事会则主要xx经理人履行受托责任的状况,公司其他部门或普通员工主要xx如何改进自身工作效率。对于外部客户而言,投资人(股东)主要xx公司资产的安全性和流动性,债权人主要xx公司的债务清偿能力,监管者主要xx公司是否能够依法合规经营和有效履行社会责任,外部审计主要xx公司内部控制的有效性,供应商等则主要xx公司的信息真实性和保障其交易安全,因此,这些客户大多需要的是内部审计为其提供认证服务。表1详细列示了内部审计的客户需求与其可提供的服务。
表1 内部审计客户需求与可提供的服务
|
|
客户类型 |
客户需求 |
内部审计提供的服务 |
|
公 司 内 部 |
管理层 |
经营目标的实现; 下属部门的工作监督 |
认证服务 咨询服务 |
|
董事会 |
经理人受托责任的履行 |
认证服务 | |
|
其他职能部门 |
改进工作效率 |
咨询服务 | |
|
普通雇员 |
了解公司状况; 改进工作效率 |
认证服务 咨询服务 | |
|
公 司 外 部 |
股东 |
资产的安全性和流动性 |
认证服务 |
|
债权人 |
真实的偿债能力信息 |
认证服务 | |
|
外部监管者 |
相关法律法规的遵循; 社会责任的履行 |
认证服务 | |
|
外部审计 |
内部控制的报告 |
认证服务 | |
|
顾客、供应商等其他利益相关者 |
真实的信息,保障安全 |
认证服务 |
在新的审计环境下,内部审计服务的对象不断扩大,服务的领域也不再局限于财务领域,可以从实施遵循(合规)性审计、财务审计、绩效审计、系统安全和审慎性调查审计扩展到参与修订组织的行为准则、为新进管理人员提供有关内部控制的课程培训等各种服务。
1、认证服务
认证服务是指客观检查相关证据以向组织提供有关风险管理、内部控制和治理程序等方面的独立评价行为(IIA,2003)。也就是说,认证服务是对原来独立评价职能的发展,但它不再局限于内部控制和业务范围,而拓展到了风险管理和治理程序等领域。在现代内部审计中,认证服务主要包括财务审计、经营审计、遵循性审计、系统安全、审慎性调查等业务类型。
认证服务需要具备如下几个要素:(1)认证项目包括客观获取和评价证据的系统过程;(2)这些项目需要有事先确立的标准;(3)项目涉及到将结果传递给相关使用者、除服务提供者或者被审核过程与领域中人员以外的第三方。其中,“第三方”主要是指公司股东及其他利益相关者,如债权人、潜在的投资者、客户和供应商等,是认证服务的最终客户,是认证服务是否有价值的最终决定者。由于认证服务主要是为了维护“第三方”的利益,因此要求较高的独立性,要求审计人员自主地根据客户需要决定审计范围,而不是由管理者来决定,并且要出具正式的报告。内部审计认证服务涉及的审计关系如图3所示。
2、咨询服务
咨询服务是指内部审计提供建议以及相关的客户服务活动,其性质和范围通过与客户协商确定,目的是增加组织价值并提高组织的运作效率(IIA,2003)。咨询服务是内部审计职业为了适应环境的需要、特别是参与到企业的价值创造活动之中而逐渐产生的。实际中常见的咨询服务工作有:内部控制培训、顾问服务、为管理层提供建议、起草相关政策、参与质量管理等。
从图3与图4分别描述的内部审计认证与咨询服务涉及的不同审计关系可以发现,咨询服务与认证服务{zd0}的区别在于:咨询服务仅涉及两个主体,即审计人员和管理者。咨询服务的价值取决于该咨询对于业务管理活动的价值,例如提高效率或者降低成本。咨询服务不需过分强调独立性,也不需要出具正式的报告,只要提出建议即可。
3、认证服务与咨询服务的均衡
如前所述,内部审计在公司管控系统中所扮演的治理角色,要求其既是所有者为实现公司价值{zd0}化而对管理者履行经济责任的一种再监督,同时又是管理者履行经济责任必不可少的控制环节。由此,内部审计不仅要服务于股东等利益相关者,又要服务于管理层,或者说,内部审计不仅要向董事会(或下属的审计委员会)报告,还要向管理层报告,即同时满足“双元控制主体”的不同需求和目的。
显然,由于“双元控制主体”各自xx的重点有所不同,决定了内部审计为其提供服务和创造价值的方式也就不尽一致。譬如,管理层xx的多是如何改进组织流程、降低经营成本、及提高经营的效率和效果,从而希望内部审计人员能够更多地xx这些领域和提供相关建议,而不是将精力放在对管理工作的监督和评价上。这更多的体现了内部审计的咨询服务功能。相比之下,董事会(审计委员会)对于提高经营效率和效果的建议可能不如管理层所xx,他们更注重内部控制的适当性、报表数据的真实性、法律和法规是否得到合理遵循、资产是否安全等。这更多的体现了内部审计的认证服务功能。图5展示了内部审计面对不同服务主体的侧重服务领域和方式。
图5的上半部分列示出了内部审计的几种基本服务类型,最左边是传统的合规认证业务,最右边是纯粹的咨询业务,中间业务则是从认证向咨询过渡的业务,体现了在实际工作中内部审计具体服务类型是认证与咨询业务的交互统一。图5的下半部分体现了董事会(审计委员会)和管理层对内部审计的不同需求,董事会(审计委员会)偏重认证业务,而管理层更青睐咨询业务。因此,在有限的资源条件下,内部审计欲实现治理和增值功能,必须注意把握好咨询服务与认证服务之间的平衡,应当根据组织的实际情况,在各个服务领域中科学地分配和整合审计资源,合理地安排审计项目,以达到增值{zd0}化。
认证服务 董事会(审计委员会) l 法律法规的遵循 l 资产的安全性 l 数据的可靠性 l 舞弊分析和特殊调查
对内部控制的检查和评价,一直以来都是内部审计工作的重要组成部分。尤其在现代企业日益发展和复杂的背景下,内部控制在公司治理中更加重要,致使内部审计在内部控制领域中的作用得到进一步提升。而且,在治理基础内部审计框架下,对内部控制的评估与改进,是整个审计工作体系的基础(吴清华,2004)。以下就内部控制概念框架及评估方法进行分析。
1、内部控制理论模型的演进
历史地看,内部控制理论与管理理论之间的xx血缘关系及其演进发展过程中呈现出的历史对称性,表明管理理论既诱导着内部控制理论的变迁且管理控制应是内部控制不可或缺的关键职能之一(何燎原、吴清华,2005)。内部控制的历史源远流长,大致经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架等发展阶段(裘宗舜、吴清华,2003)。其主要演进过程如图6所示。
在内部控制演进过程中,控制范围由小到大,目标层次由低到高,内部控制的架构也从最初的一维扁平结构发展到三维立体结构,内部控制要素也从模糊走向清晰。
2、内部控制要素
COSO于1994年发布的《内部控制整体框架》,已成为现今各国组织建立有效内部控制的公认框架或准则。该报告将内部控制定义为“内部控制是一个过程,受企业董事会、管理层以及其他员工的影响,旨在合理保证财务报告的可靠性、经营的效果和效率以及现行法律、法规的遵循”。该整体框架是一个包括内部控制目标、要素和业务范围的有机耦合体。
图7清晰地展现了内部控制整体框架的三个维度:(1)由具体作业活动、业务流程和机构等不同层次构成的“业务维”;(2)内部控制运行的主要目的在于合理保证财务报告的可靠性、经营的效率和效果、法律和法规的遵循,由此构成内部控制整体框架的“目标维”;(3)一个完整的内部控制体系由控制环境、风险评估、控制活动、信息与沟通、监督等五个有机部分组成,即为“要素维”。以下就该框架的五个要素分别进行说明:
(1) 控制环境
内部控制环境是任何一个组织内部控制结构建立的基础,具体包括以下几个方面:诚信原则和道德价值观、胜任能力承诺、董事会和审计委员会、管理理念和经营风格、组织结构、权责划分、人力资源政策和实施等。
(2)风险评估
风险评估是整体框架中的重要要素。风险主要包括:来自外部的风险,如技术发展、客户需求、金融环境等;来自内部的风险,如人力资源的流失、组织流程的变化等特殊活动层面的风险,如营销、信息系统等关键活动的风险。
(3)控制活动
控制活动,也就是对第二层次认证的风险采取适当的措施,以保证目标得以实现的政策和程序。控制活动存在于组织的各个层面,诸如:高层检查、直接的职能管理或活动管理、信息处理、实物控制、绩效指标、职务分离。
(4)信息与沟通
为了实现组织的目标,信息与沟通非常重要,一定要建立好“双层次、双向的”沟通渠道。首先,要做好内部沟通,一方面管理层要了解员工职责履行情况、经营情况等;另一方面员工也能自由地向上报告各种事件,从而避免“报喜不报忧”的情形。其次,还应建立与股东、客户、供应商、银行等其他利益相关者之间的沟通渠道,一方面能使各个利益相关者了解到组织的真实情况和面临的挑战,另一方面也可以从利益相关者中得到对组织真实的评价和建议。
(5)监控
整体框架中的“监控”不仅仅指内部审计部门,而是包括了组织中更广泛的监控视角。例如,持续的监控经营管理的活动,来自外部当事方的沟通,组织结构和监督活动,实务盘点和资产核对等。当然在监控过程中,对于发现的问题一定要进行有效的报告和调查才能达到监控的最终目的。
为便于理解我国《企业内部控制基本规范》对内部控制定义和要素等的规定,我们持其同国际标准的内部控制框架,即COSO报告及ERM框架,进行对比分析(见表2)。从中可以看出,我国内部控制标准体系建设在理念和方法上与国际发展趋势基本趋同。具体地说,《企业内部控制基本规范》首先通过科学地界定内部控制内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念;在此基础上,准确定位了内部控制的目标,要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略;进而构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
表2 《企业内部控制基本规范》与COSO报告、ERM框架比较
|
比较 项目 |
《企业内部控制基本规范》 |
COSO报告 |
ERM框架 |
|
定义 |
由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 |
内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证。 |
(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。 |
|
目标 |
l 合理保证企业经营管理合法合规 l 资产安全 l 财务报告及相关信息真实完整 l 提高经营效率和效果 l 促进企业实现发展战略 |
l 经营的效果和效率 l 财务报告的可靠性 l 法律法规的遵循性 |
l 战略目标、经营目标、报告目标和遵循性目标 l 将报告目标扩展为企业所有对内和对外的报告 l ERM的{zj2}目标为增加利益相关者的价值 |
|
要素 |
l 内部环境 l 风险评估 l 控制活动 l 信息与沟通 l 内部监督 |
l 控制环境 l 风险评估 l 控制活动 l 信息和沟通 l 监督 |
l 内部环境 l 目标制定 l 事项识别 l 风险评估 l 风险反应 l 控制活动 l 信息与沟通 l 监控 |
不仅如此,《企业内部控制基本规范》还明确了内部控制的执行机制。即是建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,披露年度自我评价报告,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这体现了《企业内部控制基本规范》试图通过各种监督与激励机制,以保证合理实施。
审计人员执行内部控制评估(测评),需要采用一定的技术和方法,对被审计单位内部控制的设置和执行情况进行调查了解和测试,并对内部控制的健全性和有效性作出评价,以确定审计范围和审计重点。
一般而言,为对被审计单位的内部控制进行审计,可以主要执行如下测试程序:一是收集与内部控制有关的文件资料。根据内部控制原理,尽可能地收集齐全被审单位涉及内部控制的所有文件资料,特别是比较重要的控制环节和控制因素(见表3)。二是搜集、查找与被审计单位及审计目标有关的外部法律法规、政策制度等规定。三是编制内部控制测试审计工作底稿。通过对被审计单位的内控管理制度规定情况和搜集的资料进行研究、分类、归纳和整理,编制成能进行具体测试的审计工作底稿。四是测试、修正和补充审计工作底稿。在进行具体测试时,对于遇到与实际状况不太一致或不相符合、不适用的情况,需要对原测试内容进行调整、修正和补充。五是评价与改进。根据测试结果得出对内部控制的评估,并为下一步要进行的其他测试(如实质性测试)和内部控制改进指明了方向。
表3 内部控制薄弱环节评价中涉及的问题
|
要素 |
问题 |
讨论结果 |
|
控制环境 |
我的上司/高级管理层在工作中展现了崇高的职业操守 |
|
|
我的上司/高级管理层在工作中严格遵守国家法律和公司规章 |
| |
|
我/公司的绩效目标是实际的,且可达成 |
| |
|
我的同事/下属具有专门的知识技能来完成其工作 |
| |
|
我的同事/下属具有从错误中学习、改进的能力 |
| |
|
诚信是公司经营政策优先考虑的 |
| |
|
我和我同事都被一视同仁地对待,大家都有业务发展机会 |
| |
|
风险评估 |
我能自主制定我的工作目标 |
|
|
我有充足的资源来实现我的工作目标,公司一定会支持我 |
| |
|
在我的部门,工作流程的重大改变都将被适当的管理 |
| |
|
在制定计划时,我们一定考虑影响计划实现的因素 |
| |
|
控制活动 |
公司现行的管理制度和工作流程能使我有效地完成工作 |
|
|
员工的舞弊行为将会被发现 |
| |
|
员工违反国家法规、公司规章将被严厉处罚 |
| |
|
信息与沟通 |
公司的信息系统能定期向不同管理层提供及时、恰当的信息 |
|
|
我与我的上司以及高级管理层对大部分管理事项能达成共识 |
| |
|
跨部门之间的横向沟通是有效的 |
| |
|
我的上司或公司高级管理层了解我的实际业绩 |
| |
|
监控 |
我们有足够的信息来监督客户合同执行情况 |
|
|
我们有足够的信息了解客户对我们的满意度 |
| |
|
我或我部门的业绩可以明确的衡量 |
| |
|
我和同事对绩效实现的差异能够进行分析并提出改进措施 |
| |
|
我的上司和我会定期审查工作成果 |
|
内部控制自我评估(Control Self-Assessment,简称CSA)是被用来评价企业关键经营目标、围绕该目标实现的风险和为管理该风险而设计的内部控制等的一套新兴的审计技术方法体系。一些CSA的倡导者将其定义扩展为组织的SWOT(优势与局限、机会与威胁)分析和确保组织目标实现的制度的总体效果性评价。尽管不同组织中CSA的方法和形式存在差异,但从本质上看,CSA是一个动态的有机过程,它能够帮助公司重要股东探测到他们所面临的风险,适时监测处理风险的内部控制制度,以及评估内部控制制度的适当性。
1、CSA主要方法
CSA通常是由管理者和员工对自己的内部控制进行评估,内部审计通常只作一些程序设计和规划方面的工作,将设计好的程序交给管理层和员工,由他们按照设计好的程序对内部控制进行自我打分和评估。至于程序运行中出现的问题,则由内部审计进行疏导。
CSA方法主要包括研讨会法、问卷调查法和管理层分析法等三种。首先,研讨会法是一种从代表组织不同层次尤其是风险薄弱环节的工作组中收集内部控制信息,召集尽可能多的业务人员共同分享信息、讨论问题的方法。现场讨论应做到人尽其言,所有观点都应记录在案。研讨会的主持人(facilitators)应接受过有关内部控制制度设计和一般的简约化技能(facilitation techniques)的训练。其次,问卷调查法是一种用于只需简单回答为“是/否”或者“有/无”的调查工具。业务流程的具体操作者使用调查结果去评估他们的控制结构。再次,管理层分析法是任何不使用上述两种方法的方法。通过该方法,管理层可生成一种业务流程的全员研究。CSA专家(可能是内部审计师)将研究结果与其他经理和关键人物收集的信息结合起来。通过综合这些素材,CSA专家开发出一种业务流程的具体操作者在其CSA中可以运用的分析框架。
2、CSA研讨会的具体形式
一项IIA基金资助的研究表明,大部分组织会选择研讨会法执行CSA。CSA研讨会又主要有基于控制、流程、风险和目标等四种基本形式:
其一,基于控制的研讨会形式重点xx内部控制的实际运行状况。该形式可做出场外控制设计的决策。CSA专家从高级管理层的视角决定内部控制的目标和技术。该形式可生成一种有关内部控制制度实际运行情况和管理层意欲希望内部控制制度应该如何运行之间差异的分析。此外,该形式对控制环境,如管理层正直、道德规范等“软”控制的检测非常有效。
其二,基于流程的研讨会形式重点检查所选择过程内的执行活动情况。该研讨会的意图是评价、更新或改进选择过程。除确定评估目标外,专家也决定哪些流程能在研讨会召开之前很好地满足关键经营目标实现的需要。该研讨会形式具有比基于控制的研讨会形式更加宽广的分析幅度,能够使流程再造的努力或团队积极的质量行动更加有效。
其三,基于风险的研讨会形式重点xx风险识别和风险管理。该形式检测内部控制活动以确保它们在管理关键业务风险方面是足够的。该形式容易为正确行动识别出显著的剩余风险(residual risk),也较其他方法更易做出全面的自我评估。
其四,基于目标的研讨会形式重点xx完成目标的{zy}途径的选择。目标是否由专家决定不得而知,但来自工作团队的显著投入却是最主要的。研讨会的目的是确定是否选择了{zj0}的内部控制技术,以及是否在可接受的剩余风险水平下得到有效的运行。
实践中,上述四种研讨会形式均能够起到加强组织内部控制制度与结构的作用,每一个组织应该履行一个外部SWOT分析,以决定哪种形式最适合;而且,为了更好地满足控制的需要,大多数CSA使用者在研讨会上同时使用一种以上的形式组合。
3、执行CSA的主要优势与必要性
与传统的内部控制评估方法相比,CSA不但因采用研讨会形式获得的证据而更加可靠,而且,在对沟通的有效性、管理理念、信息质量、管理层的道德与诚信等“软”控制评估方面显得更具优越性。表4归纳了COSO(1992)报告所包含的五个内部控制要素。其中,“软”控制因素主要集中于控制环境和风险评价部分。正是对“软”控制的重视,CSA使得直接参与内部控制评估和改进的相关员工和管理层充分认识到内部控制是企业每个成员的义务,控制的存在是为了实现经营目标,并激励员工持续改进系统和促进全员对企业控制环境的全面理解,从而大大加强和巩固了作为内部控制基础的控制环境。
表4 内部控制构成及软硬控制因素分布
|
软或硬控制 |
内部控制 |
包含在内部控制中的因素 |
|
最软 |
控制环境 |
l 管理层的诚信和道德价值 l 管理层对员工工作胜任能力(技能、知识)的要求 l 董事会的参与和审计委员会(独立性、经验) l 管理层的理念和处事风格(风险偏好、保守) l 组织结构(活动框架、授权、报告) l 权力和责任的分配方式 l 人力资源政策和实务 |
|
最软 |
风险评价 |
l 经营环境的改变所形成的竞争压力 l 新募员工可能对内控制度的不理解 l 新的或重组的业务流程系统 l 对现存内控制度造成影响的过快增长 l 影响业务流程的新技术 l 新产品线或作业 l 影响业务流程的企业重组 l 具有相应风险的国外新业务 l 影响财务报表的新会计公告 |
|
最硬 |
控制活动 |
l 将结果与预期(预算、方差)进行对比的业绩评价 l 计算机环境下的信息流程控制(总的、具体的) l 限制资产存取、记录、数据文件、计算机程序和定期将账面价值与实物资产进行对比的实物控制 l 不相容职务的分离(防止舞弊) |
|
最硬 |
信息与沟通 |
l 正确记录、加工、总结和报告资产、负债和权益的信息系统 l 公开沟通方式以解释个人内控制度的作用与责任,并确保期望得到报告 |
|
软硬相同 |
监督 |
l 定期的管理和监控活动 l 由内部审计师实施业绩评价 l 来自外部的信息(客户、执法机构、审计师) |
更为深层的意义还在于,CSA的引入还引发了内部审计理念的变革。一个完整的内部控制自评估程序主要包括前期准备、确定实施的业务单元、估计风险点、召开研讨会、出具评估报告、整改落实等步骤。通过内部控制自评估,内部审计不仅可以揭露和制约各种违规行为,发现内部控制薄弱环节,防止各种不良后果的发生,而且更重要的是,针对管理和控制中的不足和弊端提出改进建议,以不断完善管理过程,提高管理效率和效果。由此,内部审计由“独立的问题发现者”变成“推动公司改革的发起者”,从消极的以“发现和评价”为主要工作内容转向积极地“防范和解决问题”,从事后发现内部控制薄弱环节转为事前防范,从单纯强调完善内部控制转向积极xx、利用各种方法来改善公司的经营业绩。进言之,通过CSA的应用,内部审计不仅发挥了传统的内部控制认证职能,而且更重要的是发挥了内部审计的咨询功能,为组织增加价值。
正是CSA对企业内部控制建设和完善的独特作用,不但被一些组织制定相关规则(如IPO、公司治理、内部控制等)所吸纳,而且作为预示着内部控制演进的新趋向而日益受到xx和推崇(吴清华、王平心,2008)。
治理基础内部审计要求对被审计对象风险与风险管理水平的有效评估,这是整个审计工作的核心与主轴,也是风险(管理)基础审计的基本理念之所在。通过实施风险管理基础审计,可以避免传统风险导向审计只注重账户余额和交易层次风险,难以对公司的固有风险做出准确评估的缺陷,将内部审计与企业风险管理相契合,从整体上了解企业及环境,既提高了审计效率,又切合了企业风险管理实现综合化的理念需求。
按照ERM框架给出的定义,企业风险管理是指一个受企业的董事会、管理层以及其他人员影响的过程,它可以运用于战略设定并贯穿于企业当中,设计企业风险管理旨在认证影响企业的潜在事件、并在风险偏好内管理风险,为企业目标的实现提供合理的保证。一个完整的企业风险管理框架是由一个包含四个目标、四个层次、八个要素整合而成。首先,“合规性目标、报告目标、运营目标和战略目标”四个目标说明,不论是对于经营目标还是战略目标的实现,风险管理都是非常重要的。其次,“下属组织层面,业务单元层面,部门层面和组织层面”四个层面,反映了风险管理不仅涉及业务层次,还涉及公司治理层次。再次,“环境、目标设定、事件识别、风险评估、风险反映、控制活动、信息与沟通和监控”八个要素,构成了一个完整的风险管理基本过程。
无疑,ERM提出的“四个目标、四个层次、八个要素”框架成为全球建立与评估企业风险管理的重要参照。通过该构架,反映了企业风险管理在高度上应渗透到组织的各个层次,在广度上应渗透到各个方面,并展示了风险管理的基本过程(见图8)。为更好地执行该框架,还应明确风险管理中组织各层次的职责定位:董事会负责制定战略目标的制定;高级管理层赋予风险所有权;执行层接纳剩余风险;运营层负责持续识别、评估、减轻和监督活动;审计机构负责定期评价并协助其他部门进行风险管理。
ERM框架下的八个要素分别介绍如下:
1、战略目标
设定战略层次的目标,为经营、报告和合规目标奠定了基础。每一个公司都面临来自外部和内部的一系列风险,确定目标是有效的事项识别、风险评估和风险应对的前提。目标与公司的风险容量相协调,后者决定了公司的风险容限水平。
2、内部环境
内部环境包含组织的基调,它影响组织中人员的风险意识,是公司风险管理所有其它构成要素的基础,为其它要素提供约束和结构。内部环境包括公司的风险管理理念、它的风险容量、董事会的监督,以及管理当局分配权力和职责、组织和开发其它员工的方式。
3、风险识别
管理当局识别可能会对公司产生影响的潜在事项,并确定其是否代表机会,以及是否会对公司成功的实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对;带来正面影响的事项代表机会,管理当局可以将其反馈到战略和目标设定过程之中。在对事项进行识别时,管理当局要在组织的全部范围内考虑一系列可能带来风险和机会的内外部因素。
4、风险评估
风险评估使公司能够考虑潜在事项影响目标实现的程度。管理当局从两个角度——可能性和影响——对事项进行评估,并且通常采用定性和定量相结合的方法。应该个别或分类考察整个公司中潜在事项的正面和负面影响。基于固有风险和剩余风险来进行风险评估。
5、风险反应
在评估了相对的风险之后,管理当局就要确定如何应对。应对包括风险回避减低、分担和承受。在考虑应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。管理当局识别所有可能存在的机会,从公司范围或组合的角度去认识风险,以确定总体剩余风险是否在公司的风险容量之内。
6、控制活动
控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调解、经营业绩审核、资产安全以及职责分离。
7、监控
对公司风险管理进行监控——随时对其构成要素的存在和运行进行评估。这些是通过持续的监控活动、个别评价或者两者相结合来完成的。持续监控发生在管理活动的正常进行中。个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效性。
8、信息与沟通
有关的信息已保证人们能履行其职责的形式和实际予以识别、获取和沟通。信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险的决策提供信息。有效的沟通会出现在组织中向下、平行和向上的流动。全部员工从高层管理当局那里收到一个清楚的信息:必须认真担负起公司风险管理的责任。
根据企业风险管理框架与流程,内部审计对企业风险管理的认证服务主要包括三个方面:一是评估风险管理系统预知和识别风险的能力;二是评价风险管理系统对已确认风险所提出的防范和控制措施的适当性;三是评价风险控制程序的有效性。以ERM系统为例,内部审计认证业务基本上贯穿于其整个过程之中。如表5所示。
表5 内部审计在风险管理中的认证服务
|
ERM要素 |
风险申明 |
内部审计认证 |
|
内部环境 |
风险管理观念和偏好,道德价值和经营环境,组织氛围。 |
评价ERM前的固有风险和ERM后的剩余风险。 |
|
目标设定 |
目标、战略和计划是合理的,并与风险偏好相一致。 |
将战略嵌入现行环境中,分析评价目标及战略是否与风险偏好相一致。 |
|
风险识别 |
在战略目标指导下,所有风险都得到识别,风险识别具有完整性。 |
独立追溯所有风险的重要风险源。 |
|
风险评估 |
在风险识别的基础上,风险得到了有效量化。 |
分析评价事先假定标准、风险计算方法、风险间的相互作用关系。 |
|
风险反应 |
在环境、风险识别和评估的基础上,对风险事件做出了合理的反应。 |
分析评价风险和收益,权衡反应的合理性,评价竞争对手的风险以便进行风险分散、风险转移、风险减轻。 |
|
控制活动 |
风险控制活动符合成本效益原则。 |
通过分析性程序测试风险控制活动的有效性,评价风险控制活动的效果、以及风险反应活动后达到的风险控制水平。 |
|
信息与沟通 |
风险信息及时、有效地传递给适当的人。 |
评价风险报告系统,测试员工对风险报告的理解,以及测试对例外事件的风险预警。 |
|
监控 |
员工持续、正确地执行风险监控措施。 |
观察、特别调查、分解计划、合适记录的可靠性。 |
内部审计在风险管理中的咨询作用就是除对企业的风险管理体系、管理制度及运作过程进行评价和有效监督外,进一步协助企业改进风险管理的控制措施和管理,达到提高运作效率和增加价值的目的。具体提供的服务可以归纳为以下四个方面:
其一,在企业建立风险管理系统时,内部审计可以通过在风险管理审计方面的理解和经验,提供有关的帮助和建议。
其二,在对企业风险管理系统进行评估的过程中,审计人员通过找出风险管理体系的薄弱环节,指出存在的风险因素,提出改进建议和措施,在适当情况下,并与管理层、董事会、审计委员会讨论,以帮助企业改进和完善系统,规避可能出现的风险和减少损失。
其三,作为专业人士,审计人员在企业日常运行中,可以开展有关风险管理知识的培训和研讨,增进对企业风险环境和风险状况的认识,提高全员的风险管理意识。
其四,在风险管理部门进行自我评估时,内部审计利用其掌握的信息和知识,可以进行实地观察、直接测试,并提供相关有效的业务协助与支持。
内部审计欲发挥治理功效必然要介入公司的治理系统,并表现为对治理流程的认证与咨询服务。所谓治理流程,是指企业的所有者(或其受托人)对管理者执行的风险管理和控制过程的监督程序,以确保企业目标的实现和维护企业的价值。具体地讲,治理流程是指组织履行四种责任的行为方式:(1)遵守法律和规章;(2)遵守公认的业务规范、道德观念,并满足社会期望;(3)为社会提供总体福利,并加强有具体利益关系方的长期和短期利益;(4)全面地向业主、执法人员、其它利害关系方和一般公众报告,保证对其决定、行为、行动和业绩负责。也就是,治理过程既要监督、敦促管理者和员工忠于职守、遵守法律、道德规范和社会责任,在企业中建立起一种道德文化,又要督促企业守法经营、诚信经营,反对弄虚作假,对国家、社会、投资者、客户和员工负责。
在公司治理流程中,内部审计的责任是对公司治理流程进行监督和评价,帮助实现治理流程的良性循环。内部审计可以通过评价公司管理者所遵循的旨在对管理层执行的风险和控制过程加以监督的治理程序,如确定目标与战略、监控目标实现、衡量业绩并定义为“责任机制”和维护价值等,对治理程序的完整性、有效性、合法性等做出结论,并提请企业负责人、管理人员和全体员工遵守法律、法规、道德和社会责任,推进企业依法管理经营,帮助企业完成各项治理目标,从而实现治理功效。同时,内部审计还通过评价公司的道德气候及其战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性,披露公司内部违反道德规范、政策和其他不正当行为的嫌疑,规避道德和法律风险,等等。
一个企业的治理流程主要包括如下四个方面:制定和传达公司目标的程序;监控目标实现情况的程序;确保责任机制的程序;维护企业价值观的程序。对内部审计评价(认证)而言,可以将其归纳为两点:一是围绕组织价值观的相关内容;二是在实现组织目标过程中公司治理各方参与人的责任履行情况。因此,内部审计在公司治理流程中的认证职能,主要体现在对公司治理各方参与人的代理责任履行情况进行监督和评价上,如对企业商业(道德)氛围的评价、对企业授权和报告制度的评价、对董事会进行绩效评价等。
1、企业道德氛围评估
治理流程是否有效很大程度上取决于企业的文化,如董事会的道德氛围。内部审计有责任定期评估整个企业,包括董事会的道德氛围,提请领导层、管理人员和员工遵守法律、道德规范和社会责任,以协助企业治理的良好运作。
2、公司授权流程评估
通过对授权的评价,可以解决公司治理中的“权力制衡问题”。构建公司治理的关键是在企业内部形成一个相互制衡的组织框架,以避免经营者出现逆向选择和道德风险。如果公司的授权不合理,如CEO的权限过大,会导致CEO的权力膨胀,董事会被架空;如果部门设置不合理,或对部门的授权不得当,将会影响公司控制水平,发生舞弊事件。因此,内部审计人员通过对公司内部的授权流程进行评估,如依据董事会文件审核对CEO的授权是否得当,依据公司内部的管理文件审核对职能部门的授权是否适度、合理,可以帮助公司能够恰当地解决权力制衡问题,从而保护投资者的利益。
3、企业报告制度评估
内部报告制度是保障企业有效运行的重要治理流程之一。如前分析,董事会有责任建立并维护组织的治理程序,并获取关于风险管理和控制过程有效性的保证,而管理层则受董事会的委托,监督风险管理和控制系统的建立、管理和评价,因此有必要和责任向董事会报告工作。因此,内部审计可以通过对相关的报告机制进行系统检查和评估,形成有关企业报告制度合理性方面的意见。
4、企业激励机制评估
如何对经理人员建立有效的激励机制,是企业治理结构中的一个关健问题。内部审计通过制定一套合理的业绩评测系统,包括衡量标准和测评程序,如将经理人的显性及隐性收入汇总后,与普通员工的收入进行纵向比较,并与国际国内同行业的经理人士进行横向比较,评价其收入构成的合理性及对经理人可能产生的影响,从而提出对其合理性的评价建议,以促进企业建立有效的激励机制。
在对企业治理流程有效认证和评价基础上,内部审计可以进一步发挥在公司治理流程中的咨询价值,诸如:(1)内部审计在对企业治理流程进行科学评估基础上,提出改进企业治理流程的相应措施,为提高企业的核心竞争力和增加价值做贡献。(2)内部审计在确保实现组织目标和维护组织道德观和价值观的基础上,要帮助企业树立风险管理与控制观念。为此,结合风险管理审计服务,内部审计可以提供有关风险管理领域的咨询服务,如协助和支持董事会开展全公司的风险评估等。(3)在企业组织治理过程中,对董事会、管理层、外部审计之间关系的协调。譬如,在聘请独立审计师过程中,内部审计利用自身所掌握的信息,如外部审计师或其家庭成员与本组织的投资关系、雇用关系及外部审计师提供本组织的非审计业务开展情况等,可以协助董事会评估外部审计师的独立性。
由于战略对企业具有整体性和长期性的影响,为提高决策的准确性,必须在现有的治理流程中建立一种正式的机制,积极行使对战略的监督和服务职能,即战略管理审计。实施战略管理审计,能够提高战略决策和战略执行的效率、有助于改善公司治理,这与治理基础内部审计的理念是一致的。事实上,美国金融危机的原因之一就是公司战略控制失败,如商业银行、投资银行等金融机构均采用了高杠杆经营模式,即资产规模远高于自有资本规模,出现过度交易问题。然而,华尔街的经理人做出开发次贷这样风险巨大的金融产品的战略决策时,却没有受到董事会的质疑,反衬出对公司战略进行监督和评估的重要性。
战略管理审计是对影响企业整体经营状况的关键因素的评价活动,是正式的战略评价过程,它同时对董事会和管理层施加约束,也是董事会参与战略管理过程的主要方式。
在企业战略管理中,管理者负责将战略规划转换成具有可操作性的实践,即制订战略并将其付诸实施,董事会则是保证股东利益在公司战略中得到反映,并对战略的合理性和可操作性提出质询。由此,公司可将战略审查的领导权集中在董事,尤其是独立董事手中,由他们确定战略审计的路径和方法。具体地说,战略管理审计应当采取由董事会主导的审计模式,且可供选择的审计途径有:董事会直接领导内部审计部门开展战略管理审计,设立专职审计委员会开展战略管理审计、聘请独立审计师等。
在战略管理的各个流程中,内部审计利用其所掌握的信息和知识,可以为决策提供可靠的信息和建议,以支持决策的有效性。一方面,内部审计在日常业务审计工作过程中对企业的真实经营状况以及存在的问题等有较深入的了解,应将这些信息及时反馈给董事会,以作为战略制定和执行的参考;另一方面,由于内部审计在日常工作中对组织的接触较多,渗透面较广,在战略制定和执行过程中,内部审计人员可以以顾问的身份参与,直接对公司战略提出建议,以增加战略的可行性和有效性,从而事前预防出现重大错误,避免遭受重大损失。因此,在战略管理审计,内部审计一方面要发挥认证职能,监督企业战略的制定与实施情况,防止偏离战略目标;另一方面要发挥咨询服务功能,xx市场风险,对战略的实时调整做出建议。从而共同帮助战略目标的最终实现,为企业增加价值。
从战略管理流程看,一个完整的战略管理审计应当包括对企业战略制定与执行过程中事前、事中和事后的全面评估。事前审计是对制订战略的基础、程序进行审查;事中审计是在不断变化的环境中,对战略实施情况进行实时监控,考虑原定战略的适当性;事后审计则是对战略实施情况进行总体评价,为以后的战略制订和实施提供参考。具体而言,战略管理审计主要可以通过以下几个方面的认证或咨询服务为企业增加价值:
1、战略制订基础的评估
对战略制定基础的评估可以从以下几个方面进行:一是评估公司战略是否是在对公司目标、市场、环境、竞争者和内部资源等内外部环境全面认识的基础上制订。外部环境分析,如顾客分析、供应者分析、竞争对手分析、同盟者分析、行业环境分析、地理位置分析、政治环境分析、技术环境分析、文化环境分析、产业政策分析和国际环境分析。在进行内部实力分析时,要对公司在经营中已具备的和可利用资源的数量和质量,包括人、财、物等有形资源和信息、企业文化、企业品牌等无形资源进行实力评估,尤其要对公司现有的管理水平做出客观评价。二是审查战略目标是否符合国家宏观经济状况、反映市场的需求、与环境变化趋势保持协调、及与公司内部资源的应变能力保持平衡。三是审查战略制订的程序是否适当,战略一般由公司{zg}决策层做出,但战略目标一旦确定后,应让内部各层次都了解自己在战略目标中的地位。四是审查战略目标的前瞻性和实现的现实可能性。
2、战略类型选择的评估
审查公司采取何种类型战略,其依据何在,客观条件是否具备。战略类型大致可分为增长战略、利润战略、集中战略、转移战略和退出战略。{dy},审查战略目标是否既有盈利目标,又有市场目标,即战略目标的内容至少应能够包括:所要实现的市场地位和竞争地位,长短期利润指标,主要财务经营成果及评估战略成败的其他实绩指标。第二,审查增长战略是否发生在公司产品或市场发展的成长阶段,公司是否设法获取市场资源、努力融通资金、为对付更加激烈的竞争采取更有效的竞争手段。第三,审查利润战略是否发生在公司产品或市场发展的成熟阶段,公司是否将经营重心从市场开发和筹集资金转向市场细分与资产利用。第四,审查集中战略是否发生在公司产品或市场发展成熟阶段及开始衰退阶段,公司是否开始稳妥地压缩经营规模、减少投资把战略重点集中于具有{zd0}优势的细分市场上。第五,审查转变战略是否发生在公司产品和市场的衰退时期,公司是否考虑改善原战略的执行方法,或考虑重新制订新战略方案。第六,审查退出战略是否发生在公司万不得已时,公司是否削减费用、减少资金投放、削减产品、进行清理。
3、战略实施评估
主要评估战略实施过程是否沿着制订战略总目标、分解出战略具体目标、评价和选择战略方案、制订年度目标和财务策略、配置资源、度量和评价业绩的方向进行,评估战略实施的规划、方法、组织保证及控制和报告系统是否健全并实施。
4、战略实施效果评估
评估公司是否实现既定战略的目标。一是评估增长战略是否带来公司市场份额的增加,是否增强或提高了公司在行业或市场上的地位。二是评估利润战略是否带来公司现有资源和经济效益的增长,使利润{zd0}化。三是评估集中战略是否带来公司重新安排生产经营规模和财务力量,以提高短期盈利和长期效益。四是评估转变战略是否尽快控制或扭转了公司的衰退局面。五是评估退出战略是否使公司谨慎退出市场并{zd0}限度地收回投资。
5、现任CE0及其继任者的战略管理能力评估
CE0在战略管理中责任重大,他与董事会共同制订战略目标,并负责将战略目标转化为公司行动。对CEO及其继任者战略管理能力的评价是战略管理审计中不可缺少的内容。
如何构造和选择客观、合理的评价标准(指标体系)对企业战略目标进行评价,并引导战略有效实施,是战略管理审计面临的核心问题(戚振东、
1、财务评价指标
尽管财务指标不足以全面反映企业的经营效率与价值,但是,财务评价指标应当成为公司战略管理审计的主导评价标准。这是因为,战略审计最终是要评价既定战略对股东的投资的影响,指标数据将有助于董事决定公司既定战略给股东投资带来的长期回报率是否会超过同样风险的其他投资项目,标准的财务指标不但能够解释这一结果,而且便于各方理解。可作为战略管理审计评价标准的财务评价指标主要有:
(1)xxxx率(ROI)
ROI=利润/投资额=利润/销售收入×销售收入/总资产×总资产/投资额
该指标优点在于,数据来源被股东和董事所熟悉,尤其是当其被分解成上述三项的乘积时,是销售利润率、资产周转率和每股账面资产等指标的综合。缺点是,受会计处理方法变动的影响,使用者必须对原始数据做适当调整;也就不便于与外部进行比较。
(2)投资的现金回报率(CFROI)
CFROI=投资的净现值/投资额
该指标强调现金流量而非会计上报告的收益,因而可与其他公司或市场上的回报率比较。用该指标做评价标准可使公司xx投资的现金流量。
(3)年度经济增加值(EVA)
EVA=股东投资收益-投资成本
该指标包含与CFROI相同的基本变量,但它是以动态方式描述。它强调xx公司经营带来经济增加值的创造或削减的期间。
(4)全部股东xxxx(TSR)
TSR=(股利+资本利得)/公司的年初市场价值
该指标的优点是反映了股东手中的收益而非预期的收益。但是,短期波动较大,并夸大了市价变动的影响,而市价变动不xx是管理者的责任,因此,过分看重此指标容易产生短期行为,{zh0}是作为其他指标的补充。
2、非财务评价指标
无疑,过分强调财务指标的应用必然会带来一些不足,如经营管理人员为实现短期利润目标而发生一些短期行为、公司内部各部门只在意各自的预算目标和利益而导致企业难以实现总体目标等。与之相比,由于非财务评价标准直接计量企业在创造股东财富活动中的业绩,能更好地完成业绩计量的诊断职能和更好地预测未来现金流量的方向,因此,战略审计也应选择一些非财务评价标准。诸如:
(1)顾客类绩效指标
顾客类绩效指标的确认与计量要与企业的市场营销策略有机结合,真正体现和反映以顾客为中心的企业的市场状况,指标可设计为包括衡量客户满意程度、市场占有率、产品交送货率、产品退货率、产品保修天数、企业在其目标市场吸引并保持客户份额的价值目标。
(2)内部经营指标
内部经营指标有产品制造周期、产品设计水平、工艺改造能力、生产能力利用率、安全生产率、存货周转率等。每一指标都反映企业创造价值活动的能力以及对财务结果可能的影响。
(3)学习和成长指标
学习和成长方面可由以下指标来衡量,如员工满意程度、员工活动率、员工知识水平、员工培训次数、培训费比率、新产品开发能力、研究开发费增长率、信息系统更新程度等。
总之,在战略管理审计评价指标选择中,内部审计人员应当考虑企业自身发展水平、所处行业状况及主要竞争对手情况,来确定各比率的标准值,并将公司的实际值与之比较,找出差异及成因;同时,因具体战略重点和目标不同,公司也可能为强调其他方面而提炼出相应的评价指标。
本部分从治理基础内部审计角度,简要分析我国金融控股公司内部审计的发展现状与不足之处,进而提出相应的促进内部审计发展的基本对策。
金融控股公司是现代金融体制由分业向混业演进的必然产物,是指在同一控制权下,xx或主要在银行、证券、保险业中至少两个不同的金融行业大规模地提供服务的金融集团公司。其主要特点是“集团混业、经营分业”。按照母公司是否参与经营活动标准,金融控股公司可分为纯粹性控股公司和经营性控股公司两种类型。纯粹控股公司主要从事股权投资收益活动,它掌握子公司的股份,但很少直接参与其子公司的日常经营管理;经营性控股公司既从事股权控制,又介入实际业务经营,故也被称为混合型控股公司。
在我国金融业实行分业经营、分业监管的制度框架下,尽管法律上尚未明确金融控股公司的地位,但现实中控股形式的金融机构日益已成为我国金融业的新兴主体。根据其成因,我国现存的金融控股公司主要有以下几种形态:
1、非银行金融机构控股模式
由于历史原因,以金融机构身份同时控制着银行、证券、保险、信托等机构的金融集团,如中信、光大、平安等。其主要特征是: 集团的控股公司为非银行金融机构,全资拥有或控股一些包括银行、证券、保险、金融服务公司以及非金融性实体等附属机构或子公司,这些具有独立法人资格的附属机构或子公司独立对外开展相关的业务和承担相应的民事责任;集团公司董事会有权决定或影响其子公司{zg}管理层的任免决定及重大决策。
2、产业资本控股模式
该类金融控股公司形成于金融机构增资扩股,产业资本控股银行、证券等多类金融机构的企业集团。这类金融控股公司的母公司不是金融机构,而是一个非金融机构的经济实体,通过全资或控股拥有包括银行、证券公司、保险公司、其他金融服务公司以及非金融性实体在内的附属公司或子公司,这些具有独立法人资格和独立营业执照的子公司,独立对外开展相关的业务并承担相应的民事责任;这些子公司的{zg}决策层及其重大决策都直接或间接地受制于集团公司的董事会。
3、商业银行控股模式
该类金融控股公司主要形成于国有商业银行,通过在境外设立独资或合资投资银行而向金融控股集团转变过程。其特征是:集团的控股公司为商业银行,全资拥有或控股一些包括银行、证券、保险、金融服务公司以及非金融性实体等附属机构或子公司,这些具有独立法人资格的附属机构或子公司独立对外开展相关的业务和承担相应的民事责任;集团公司董事会有权决定或影响其子公司{zg}管理层的任免决定及重大决策。
4、地方性金融控股公司
该类金融控股公司主要是一些地方政府通过对控股的地方城市商业银行、信托公司、证券公司进行重组组建而成。他是由一家地方性商业银行或非银行金融机构为主体,设立一家非金融企业的金融控股公司,以此为平台,重新整合地方金融机构。长期以来,许多地方性金融机构都普遍存在资产质量不高的问题,如何化解地方金融机构不良资产的存量,已成为地方金融机构以及地方政府的沉重负担。为此,一方面,通过构建地方金融控股公司,利用其协同效应,化解不良资产,可以改善区域内经济金融环境;另一方面,在组建金融控股公司的过程中,将区域内的银行、证券、保险、信托、财务、担保等机构重新整合,并作为一个整体,与区域外的金融机构以及外资金融机构展开竞争,甚至包装上市再融资。
随着我国内部审计制度建设的不断完善,如中国内部审计准则委员会制定的内部审计准则体系、审计署修订的《关于内部审计工作规定》、中国银行业监督管理委员会制定的《银行业金融机构内部审计指引》等,我国多数的金融控股公司都设立了内部审计部门,按照相关准则和制度的规定,对经营管理活动的合规性、有效性等进行xxx的监督检查,对内部控制的缺陷和适当性提出改进意见和建议,发挥了一定的监督和咨询服务功能。
但是,在我国金融体制演进过程中,由于金融控股公司的形成有其特殊的制度和社会背景,在许多方面,特别是在公司治理和集团管控层面,与发达国家成熟的金融控股公司相比尚存在差距和不足,由此一定程度上影响了对内部审计角色的定位与认识,同时也制约了内部审计职能的有效发挥。具体原因分析如下:
1、弱化的内部审计基础:从公司治理谈起
我国金融控股公司大多脱胎于原国有企业,相当程度上承袭了原有的企业经营管理体制和机制。虽然金融控股公司的治理结构发生了很大的变化,但与真正市场化的现代金融企业相去甚远。从公司治理的本质——控制权安排与行使——角度看,如同其他非金融集团公司一样,目前多数金融控股公司的{zj2}控制权性质为政府,且“一股独大”(即超强控制),而政府控股就难免承担了一些社会负担,即包含了非企业价值{zd0}化的多元化目标,由此衍生出代理关系与代理问题的复杂性(吴清华、田高良,2008)。具体表现为公司控制权的分配与行使、激励与约束、管制与监督等,都与成熟市场化背景下的金融控股公司存在显著地差异。正是控制权的这一特性,导致我国金融控股公司的治理结构存在着一些缺陷,如董事会建设表现上的xx与实质上的治理功能弱化相背离、甚至独立董事制度也未能发挥像西方国家那样理想的治理效应(裘宗舜、吴清华,2005;
无疑,在缺乏完善的公司治理系统支撑下,内部审计也就失去了良好运行的环境基础(
2、内部控制制度和风险管理体系建设不够完善,一定程度上抑制了内部审计作用发挥的空间
如果说公司治理系统是内部审计运作的整个基础平台,那么,健全的内部控制制度和风险管理系统则是内部审计得以发挥价值的重要服务领域和方向。如前所述,内部控制和风险管理分别是内部审计提供服务的基础和核心,其对内部审计的作用不言而喻。显然,一个企业的管理层若没有意识去建立合理的内部控制和风险管理系统,试图指望内部审计来行使这一职能是不切实际的,而且,原本可以在这些领域发挥作用的内部审计也就成了无米之炊。现今我国一些金融控股公司由于其形成时间较短,不可避免地在内部控制系统、风险管理理念、评估技术等方面,仍显得比较薄弱。比如说,一些公司的高层管理人员缺乏全面正确的风险管理观念,表现为在计划体制下的xx漠视到现在强化风险管理和责任下的对风险采取过度规避;又比如说,不少公司由于技术人才的缺乏,在风险评估中仍主要依靠定性、人为控制的直接管理方法,而未使用以模型等定量影响为主的间接管理方法,如国际上广泛使用的VAR技术和Credit Meterics方法,从而无法对风险做出准确的识别和影响,更遑论建立起科学的风险管理体系了。
不但如此,我们认为,仅是设立了表象上xx的内部控制和风险管理制度,若没有在内部审计等对其进行监督和有效执行的情形下,其效用也必然是要大打折扣的。以法国兴业银行为例,在案发之前,欧洲期货期权交易所早已向法国兴业银行警示凯维埃尔的交易头寸,法国兴业银行对证券或期货交易员实行交易的资金额度也作了严格限制,也即存在严格的内部控制制度,但再严密的内部控制规章制度,都可能由于存在漏洞、死角而失效。因此,对于金融控股公司的内部控制制度,不能只求其形式上的xx,更要注重其实际运行情况。类似的案例在国内也是屡见不鲜。
因此,在关键的内部控制和风险管理服务领域,一方面,由于我国不少金融控股公司尚没有按照相关准则或规范建立有效的内部控制制度和风险管理系统,客观上就难以有内部审计介入的空间;另一方面,由于对内部审计职能界定不当或者不是十分清晰,又进一步抑制了其在这两个关键领域的认证和咨询作用。
3、内部审计自身不能xx适应公司治理的需要,尚没有形成良好的治理基础内部审计观念
尽管从理论角度认识到内部审计职能已经发生转变,但在实务中,真正能够贯彻内部审计新理念、新方法的实例尚不多见,因而还未能发展到xx适应公司治理的需要。譬如,在审计方案设计中依然没有突破传统的范式和流程,致使执行审计过程中仍习惯于停留在查错防弊上,采用的仍是传统的账项基础审计、制度基础审计模式,即将重心置于账务资料和内部控制层面,更多地体现为对公司经营管理的xx,而不是从公司治理层面出发,深入治理流程和风险管理,开展风险(管理)基础审计,以促进公司治理系统的完善和提升,或者,一些金融控股公司虽已要求内部审计开展一些新的业务,如对内部控制进行自评估、对风险管理流程进行全面评估等,但充其量只是处于探索阶段,真正成功的案例尚不多见。
更为关键的是,内部审计自身还不能从客户需求角度合理设计服务方案和目的,甚至还难以突破传统观念,对于一些敏感但又极具价值挖掘的服务领域,如战略规划合理性、激励机制设计适当性等,可能会拘泥于以往观念,不太会主动去提供相关服务,从而限制了价值增值功能。一言以蔽之,对于多数金融控股公司而言,内部审计尚不能xx适应公司治理的需要和形成良好的治理观念。
4、审计方式单一,限制了服务的范围领域和价值贡献,进而抑制了治理效用的发挥
无庸讳言,我国现有金融控股公司的一些内部审计人员,因其受知识结构或专业技术等的限制,如对现代企业的风险管理模型、公司治理、战略规划、集团管控、金融创新等方面的了解不是很深入,尤其包括ERP等在内的先进管理信息系统的运用不够熟练,导致其开展这些领域的审计认证或咨询服务存在一些限制。在实践中,一些人员仍沿袭了旧的审计方法,将审计主要局限于专项审计和突出检查,即审计方式单一,只注重事后稽查而忽视事前防范、事中控制。
因此,正是内部审计方式的不够全面,导致无论是在审计服务的空间与时间上,都大大地受到限制,从而抑制了内部审计治理效用的发挥。
5、对审计成果的价值挖掘不够充分,一定程度上也抑制了内部审计治理效用的发挥
对审计结果的有效利用,是有效发挥审计价值的重要环节之一。在国际上,多数的金融控股公司,尤其一些规模庞大、组织复杂的跨国集团公司,都非常注重对审计成果的利用。一种常见的做法,就是将审计结果与年度考核相挂钩。如汇丰集团内部审计部门在向上呈报的审计报告中,将对被审计部门审计评级分为“好”、“满意”、“不达标”和“不满意”四个等级,这一评级结果被通知到被审计单位的主管部门,该公司的内部审计评级结果与年终奖金挂钩,审计评级直接影响到公司的年度考核结果。但是,由于我国审计执业界普遍存在着对审计结果运用不够充分的倾向,特别是在制度建设方面,如归档制度、报告制度、奖惩制度等,亟须完善和补充,这是拓展和提升内部审计效能的重要途径之一。
根据上述分析,为使我国金融控股公司内部审计能够有效发挥治理效能,提出如下发展建议与对策:
1、进一步改进和完善公司治理系统,夯实内部审计的执业基础和环境
如前所述,在产权制度还未彻底完成转型前提下,多数由原国有企业改制而来的金融控股公司,在治理系统方面没有达到成熟金融控股公司的规范程度。为此,对于一个内嵌于公司治理系统的内部控制机制,内部审计的执业基础和环境也就需要进一步的改进和完善。
首先,应从解决委托代理问题的本原出发,按照市场化原则重新构造完善的治理架构,如建立“新三会”(股东大会、董事会、监事会),并合理匹配其相应的职权,尤其要强化董事会的职能,使得公司控制权安排与行使能够达到一种合理状态。
其次,应从内部审计的治理角色出发,明确其在公司管控系统中的地位,并置于公司董事会(或审计委员会)领导之下。实践证明,与其他模式相比,董事会(或审计委员会)领导的审计模式,无论在xx性和独立性等方面都具有优越性(张春如等,2008)。而且,更为重要的是,为适应公司治理需求,即需要解决两个层面的委托人与代理人的代理问题,内部审计惟有接受董事会(或审计委员会)的领导,才能有效地介入公司治理层面。
再次,建立内部审计行使权力的相关制度。在董事会领导模式下,董事会应当赋予内部审计相应的职权,以确保其拥有合理的行权范围和方式。比如,最为重要的应当明确内部审计可以提供的服务领域和方式、以及报告制度,从客观上为内部审计介入公司治理系统和帮助公司实现目标创造基础。
2、建立健全内部控制制度和风险管理体系,既为内部审计的介入创造条件,又可促进相互之间的有效契合
为使内部审计能够在内部控制和风险管理两大重要领域发挥作用,并形成有效的互动和契合,必须进一步建立健全金融控股公司的内部控制制度和风险管理系统。
在前文的分析中指出,作为整合了COSO报告和ERM框架的中国《企业内部控制基本规范》,被视作是我国企业内部控制制度建设的蓝本。不但如此,我们认为,由于《企业内部控制基本规范》有效地整合了公司治理结构、内部控制与风险管理的关系,并将三者最终归结为风险控制,因而同时也是中国企业风险管理体系建设中值得参照的重要标准。具体地说,《企业内部控制基本规范》同时考虑了公司战略导向和风险导向的管理要求,企业的控制标准主要是通过战略和预算、风险承受等体现出来,执行与成效衡量可具体化为控制活动、信息与沟通、绩效评价与激励三项要素,内部监督可视为纠正偏差所采取的行动之一。此时的内部控制,则是以企业价值创造为主要目的、以可接受的风险水平为出发点、以管理信息系统为平台、体现控制全过程的一个开放型系统。
在实践当中,因在美国上市而遵循SOX法案的需要,中国人寿提供了良好的成功经验。在整个内部控制体系建设过程中,主要经历了如下四个阶段:(1)执行项目准备阶段。用时两年多,主要是宣传控制理念和方法,在公司总部、省以及地市三级公司,仅是开展SOX法案404条款的专项培训就有数千次。(2)执行项目阶段。一年内全面梳理了与财务报告相关的内部控制与流程,形成了各类控制文档近11万篇。(3)日常化管理阶段。形成《404条款遵循工作日常化管理办法》和《404条款遵循工作考核办法》文件。(4)推动缺陷整改阶段。形成《404条款遵循工作缺陷整改管理办法》,要求全面整改落实。独立审计师对中国人寿的内部控制出具了无保留意见的审核报告。
总之,参照中国人寿的基本经验,在《企业内部控制基本规范》及相关实务指南的指引下,利用三至五年的时间,在金融控股公司的全系统内建立健全内部控制制度和风险管理体系。在此过程中,内部审计可以提供良好的咨询服务,并在体系建立后,对其执行进行有效监督,形成良好的互动效应。
3、以治理基础内部审计为指引,切实转换内部审计观念和职能,拓展审计视野,完善服务方式,全面提升内部审计梯次
(1)转换内部审计观念和职能
治理基础内部审计强调审计职能的转换和观念的更新,为此,应当从传统的财务审计和经营审计实行根本转换,形成以风险为导向的治理(增值)型审计新观念,充分认识到内部审计是一个涵盖监督、评价、咨询和服务等多领域的综合管控系统,在完善公司治理中发挥着重要作用。如前所述,内部审计若仍主要采用账项基础审计、制度基础审计模式,则难以在公司治理层面发挥功效。按照治理基础审计理念,要求内部审计在实践中应当努力推行风险基础审计,开展对公司战略、治理流程等领域的风险及风险管理进行认证和评估。从强调认证和测试控制的完整性,逐步转向强调认证和测试风险是否得到有效管理;从强调xx风险因素,逐步转向xx战略规划;从强调建议强化控制、提高控制效率和效果,到建议完善内部控制、控制风险,改进公司治理流程,提高公司整体的治理效率和效果。
在内部审计职能从监督和评价转向认证和咨询服务过程中,内部审计人员应通过董事会(审计委员会)对公司的决策、计划、方案的可行性,经济活动的效益性进行评价,揭示矛盾、找出差距、分析原因、研究措施并提出改进建议。这就要求将服务意识贯穿于内部审计工作的全过程,充分发挥治理效用,以促进公司价值增值。
(2)拓展审计视野
当审计观念和职能实现转变后,审计范围范围不仅涉及企业的经营业绩、资本经营、财务状况等,而且还融入到了经营管理和治理层面。因此,拓展内部审计视野成为必然。必须突破传统的财务审计视角,拓展到涵盖内部控制、风险管理、战略管理、治理流程等多个方面领域的各种审计服务。
以风险管理审计为例,内部审计主要是对公司风险管理流程的设计和运行的有效性、关键风险控制的充分性、风险评估和报告数据的准确性等进行认证和咨询工作。这就要求,风险管理审计在制定审计计划时,要与企业的战略、目标相结合,既对公司整体的风险管理进行评估,也对职能部门和具体业务流程的风险管理进行评估。
对于公司整体风险管理的审计,应从公司价值链乃至整个产业价值链的角度,结合企业的具体风险管理框架和流程,分析企业的风险类型并评估风险的大小,进而提出风险管理是否对风险有充分和准确的界定,给出合理的处理意见和应对措施,供公司董事会、管理层参考。将董事会设定的风险容忍度作为审计判断标准之一,充分考虑所有者和外部利益相关者对风险的承受能力和要求。根据风险点和风险度来确定审计的范围与重点,并采取适当的审计程序和矩阵排列等具体方法,以提高内部审计与公司治理的效率和质量,从而为公司治理的各参与主体增加价值。
应当强调,在金融控股集团框架下,由于集团内部审计服务于董事会,或者说帮助董事会管理和控制好集团的风险,使得内部审计在对子公司的风险分析和揭示中,必须重点xx那些对整个集团有着重要影响的系统性、全局性风险,如对集团公司的声誉和财务可能造成重要影响,而不是个别子公司产品或业务的风险。
对于具体业务项目的风险管理审计,应当从项目的立项、项目执行和后续管理等各环节的各种风险(如信用、流动性、市场和操作风险)进行系统地分析、评估,并提出合理化的建议。在立项过程中,应当审核项目人员是否对项目的产业政策、市场环境、行业特点进行充分了解和研究,对项目涉及的企业进行充分调查和分析,对项目的风险和收益分析与测算是否客观等;在项目执行中,应当重点评估实施项目方案中是否采用了可操作的风险控制措施并严格落实,项目实施的结果是否达到预期的效益等;在项目后续管理中,应重点xx项目人员是否采用了后续跟踪措施以维持项目的正常推进,有无采用持续的风险检测、预警、及降低等风险控制措施。
(3)完善审计服务方式
内部审计职能的转变本质上要求将审计工作重心从传统的事后审计前置到事前预防、事中监控上来,从而建立起一整套事前预防、事中监控和事后审计相结合的全程监控的内部审计模式(
譬如,对于公司的管理层而言,内部审计的价值主要通过咨询方式体现出来,因此,不妨可以重点推广参与式审计策略。即:在整个审计过程中努力与被审计人员维持良好的人际关系,共同分析错误和问题的影响,一起探讨应采取的措施和改进方案的可行性,从而充当经营管理人员加强内部控制、改善风险管理和治理流程、实现企业战略目标的热心顾问和有力助手。
总之,在新的审计环境下,金融控股公司内部审计机构应当以治理基础内部审计为指引,切实转换内部审计观念,拓展审计视野,完善服务方式,从而全面提升服务的价值和梯次。
4、建立健全双向审计问责机制,加大审计成果的应用,以进一步发挥内部审计的治理效能
内部审计治理效应的发挥最终离不开对内部审计成果和价值的有效发掘,即是取决于被审计单位对内部审计部门所作的审计决定、审计意见和审计建议的执行、落实和整改情况。然而,如前所述,现实中由于制度、观念等因素,对审计成果的转化和利用是审计工作面临的一大难题。我们认为,为解决这一难题,不妨可以引入从审计主体和审计客体两方面建立双向问责制度。
(1)建立健全审计质量问责制度
审计质量问责制度是对审计人员在实施审计过程中,由于未能有效遵循规范的审计工作程序,使审计工作底稿、审计证据等材料的证明力及可靠性存在不确定性和风险性,从而追究审计人员相应责任的制度。建立健全审计质量问责制度,首先应当从完善审计人员从业考核责任制入手,以审计准则、审计项目质量控制办法等为考核办法,建立健全审计质量检查、考评制度,对审计流程各环节制定详细的考核细则;其次,利用审计信息系统,建立审计计划、审计方案、审计调查、审计证据和审计工作底稿、审计报告初稿和审计信息披露的质量控制流程;再次,对考核制度的落实应有专人管理,将考核权限分别授予审计组长、主审、审计部门负责人,把考核工作落到实处。
(2)建立健全审计问题问责制度
审计问题问责制度是对审计发现的被审单位经营管理人员违法乱纪、未履行或未正确履行职责造成企业管理混乱和财产损失、以及审计整改不力的,从而追究被审单位人员相应责任的制度。根据目前的实际情况,可以从四个方面着手问责:一是审计部门建议问责,对直接责任人和其他责任人依规应当问责的,审计部门应当建议问责;二是监察部门依规问责,对审计部门移交过来构成党纪政纪处分的,监察部门应当依规问责;三是职代会民意问责,对于那些尚未构成党纪处分的,职代会可以民意问责;四是媒体舆论问责,对一些典型案例在企业报刊、网站等媒介上进行报道,公开问责。
此外,为使审计成果的有效利用,还应建立一些常态运行机制。诸如:(1)推进审计结果公告制度,提高审计工作的透明度和影响力。(2)完善审计整改落实制度,重点解决审计意见落实不及时、重视程度不够的问题。(3)积极开展后续审计工作。对审计发现的重大问题和缺陷纠正和整改,必须回访。(4)加强经济责任审计结果的利用,任期经济责任审计结果应作为领导干部年薪考核、干部任免等事项的重要依倨。总之,各级审计部门应定期将审计成果运用过程中所出现的问题进行分析和研究,总结经验,完善制度,以全面提升公司的管控水平。
5、打造创新型审计人才队伍,提升审计人员的专业胜任能力
现代金融企业的核心竞争力离不开金融创新能力的培育与发展,对于一个正处转型发展的金融控股公司而言,还要以创新xx各项工作,具体应当从思想观念、体制机制、组织架构、管理模式、市场化运作方式、业务产品开发以及人才队伍等方面加大创新力度,使公司在理念、思路、方法、制度等方面不断创新,以强化公司整体效能(赖小民,
无疑,现代金融企业的创新发展对内部审计人员素质提出更高要求,而且,内部审计治理功能的实现,必然离不开一支职业道德高尚、知识面广博、专业技术精湛的高素质审计人才队伍。为培育审计人才队伍,一是要加强对审计机构、人员配置、体制管理和激励机制等方面的制度建设,把内部审计提升到帮助公司董事会建立和完善公司治理系统的高度;二是要吸纳各方面的专业人员,使审计队伍涵盖各方面专家,并促进相互间学习和提升素质;三是开展多种形式的教育培训活动,提高胜任本职工作的专业素质和能力。譬如,对于重点开展的创新业务审计,不妨可以根据业务关联度,将公司系统内的所有创新业务划分成若干模块,分配专人研究和攻克,特别是接受业内xx培训,以提升对实际业务流程的了解和认识,最终打造成一支拥有各自专长领域的创新型审计人员队伍,以更好地胜任新的审计工作需要。
本文基于内部审计客户需求观视角,首先剖析了内部审计在现代企业管控体系中所扮演的客观治理角色与地位,进而着力构建了一个帮助内部审计实现治理功能的基本路径框架,并详细勾勒了内部审计在内部控制、风险管理、战略管理、治理流程等四大领域的操作流程。在此基础上,结合治理基础内部审计,简要分析了我国金融控股公司内部审计运行的一些不足,并提出了一些初步发展对策。研究结论主要有:
1、内部审计本质上是现代企业管控体系中一个不可或缺的内部治理机制。正是为维系企业整个合作网络框架的有序运行,或者说为保证代理人更好地履行受托经济责任,内部审计才得以产生,并应受托责任(本质是代理关系)的发展而发展。
2、根据治理基础内部审计理念,本文提出一种实现内部审计治理功能的基本路径,即:在风险基础审计模式下,以内部审计的客户需求为导向,以内部控制制度建立及有效性的评价为基础,通过认证和咨询服务两种方式,分别就战略管理、风险管理和治理流程方面的相关信息、管理、决策等可能涉及的关键内容,发表恰当的审计意见或改良措施,提供有价值的审计信息与建议。
3、为适应公司治理需要,内部审计可以对金融控股公司内部控制、风险管理、战略管理、治理流程等领域进行认证和评估工作,以评价和监督相关流程、要素的设置是否合理以及是否有效运行,并充当各个系统建设和完善过程中的咨询和顾问角色。特别是,在金融控股集团框架下,内部审计对子公司的风险分析和揭示,必须重点xx那些对整个集团有着重要影响(如声誉和财务)的系统性、全局性风险,而不是个别子公司产品或业务的风险。
4、针对我国金融控股公司内部审计现状,提出一些未来发展对策:(1)进一步改进和完善公司治理系统,夯实内部审计的执业基础和环境;(2)建立健全内部控制制度和风险管理体系,既为内部审计的介入创造条件,又可促进相互之间的有效契合;(3)以治理基础内部审计为指引,切实转换内部审计观念和职能,拓展审计视野,完善服务方式,全面提升内部审计梯次;(4)建立健全双向审计问责机制,加大审计成果的应用,以进一步发挥内部审计的治理效能;(5)打造创新型审计人才队伍,提升审计人员的专业胜任能力。
主要参考文献
1. 赖小民,认清形势 开拓创新 积极稳步扎实推进公司各项工作科学发展---在公司2009年党委书记、总经理工作会议上的讲话,中国华融资产管理公司,
2. 赖小民,在公司深入学习实践科学发展观活动总结大会上的讲话,中国华融资产管理公司,2009b
3. 李若山,审计失败与COSO报告——谈企业创新与内部控制变化,审计与经济研究,2005,3
4. 何燎原、吴清华,内部控制之理论框架——基于业务流程观下的重新审视,中央财经大学学报,2005,2
5. 戚振东、段兴民、吴清华,国外人力资源审计发展现状及启示,外国经济与管理,2007,2
6. 戚振东、吴清华,政府绩效审计:国际演进及启示,会计研究,2008,2
7. 裘宗舜、吴清华,——货币单位抽样,审计研究,2003,2
8. 裘宗舜、吴清华、丁菊敏,独立董事制度的治理绩效:理论分析与实证证据——基于强制性制度变迁背景下的考察,会计论坛,2005,1
9. 吴清华,作业与作业链绩效:经济效益审计新思维——兼及内部审计职能的嬗变,审计研究,2004,3
10. 吴清华、王平心、冯均科,审计委员会之治理效率:实证文献述评与未来研究方向,审计研究,2006,4
11. 吴清华、王平心、王颖,审计委员会的财务监督效率:制度成因与改革路,西安交通大学学报(社会科学版), 2006,3
12. 吴清华、王平心、殷俊明,审计委员会、董事会特征与财务报告质量——一项基于中国上市公司的实证研究,管理评论,2006,7
13. 吴清华、王平心,上市公司盈余质量:董事会微观治理绩效之考察——来自我国独立董事制度强制性变迁背景下的经验证据,数理统计与管理,2007,1
14. 吴清华,{zj2}产权、控制方式与审计委员会治理绩效,第二届公司治理青年论坛(香港中文大学),2007
15. 吴清华、王平心,审计委员会治理:防范校企合作创新中逆向选择风险的作用,管理工程学报,2008,1
16. 吴清华、田高良,{zj2}产权、控制方式与审计委员会治理需求,管理世界,2008,9
17. 吴清华,治理基础内部审计:一个制度分析框架,研发参考,2008,4
18.
19. 殷俊明、王平心、吴清华,平衡计分卡研究综述,经济管理,2005,2
20. 张春如、顾剑飞、吴清华,公司治理环境下内部审计运作模式研究,中国华融资产管理公司调研汇编,2008
21. Andrew C., The board’s black hole – filling their assurance vacuum: can internal audit rise to the challenge? [J], Measuring Business Excellence,2008,12,1, 47-63
22. Arena, M. and Azzone, G. Internal audit in large Italian companies: adoption, development and evolution, paper presented at the Fourth European Academic Conference on Internal Audit and Corporate Governance. 2006
23. Cattrysse, Jan. Reflection on the corporate governance and the role of internal auditor.http://papers.ssrn.com,2002.
24. George M., and
25. Gramling, AA., Mario JM.,
26. Hermanson, DR. The growing stature of internal auditing. Internal Auditing, 2002, 17, 6, 43-44.
27. Philomena Leung, Barry J. Cooper, Peter Robertson. The Role of Intern l Audit in Corporate Governance and Management [EB/OL]. http: //www. theiia. org/newsletter/ index. cfm? news_id = 1438,
28. Sarens, G. and De Beelde,
29. Sharmain S. What is the role of the internal audit function in establishing and ensuring effective coordination among the audit committee of the board of directors, executive management, the internal auditors, and the external auditors?. IIA Research Foundation, 2005.
30. Sobel P. J. Auditor’s Risk Management Guide, The IIA Research Foundation, 2005
31. Spira, LF., and Michael P. Risk management: the reinvention of internal control and the changing role of internal audit [J], Accounting, Auditing and Accountability Journal ,2003, 16,4,640-661.
32. The Institute of Internal Auditor (IIA), Internal Audit’s Role in Corporate Governance: Sarbanes-Oxley Compliance, http://www.theiia.org,2003.
33. Tian Gaoliang, Wu Qinghua,Wang Fangjun,2008,Ultimate property right, exertion methods of control right and governance demand of audit committee —— An empirical research based on Chinese listed companies,2008 AAA Annual Conference, Anaheim, CA, August, 2008
34. Walker L. Paul, William G. Shenkir, Thomas L. Barton.
35. Wu Qinghua, Wang Pingxin, Yin Junming, Audit committee, Board Characteristic and Financial Reporting Quality——A Research Based on the Security Market[J], Frontiers of Business Research in China, 2006, 3:385-400
36. Wu Qinghua, Wang Pingxin, The Effect of audit opinions and earnings surprises on the Timeliness of Financial Reporting: Empirical Evidence from
