后安然时代国际内部审计发展趋势综述

后安然时代国际内部审计发展趋势综述

2009-10-09 20:43 类型：网摘 来源：启文教育 后安然时代国际内部审计发展趋势综述

点击：318 编辑：黄英

一、前言

2003年9月，国际内部审计师协会总部前执行副主席理查德钱伯斯先生访华，他在北京举办的国际内部审计高级研讨班演讲的专题之一。该框架规定了必不可少的企业风险管理的八个相关组成部分，讨论了关键的企业风险管理原则、概念、效果和局限性等内容，建议用一种企业风险管理的共同语言，为企业风险管理提供方向和指南。明确要求上市公司的年报应包括内部控制的评价部分。内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用，因此，企业内部控制的运行状况已不再是企业内部关心的对象，而越来越受到外部相关人士的关注。

2002年SOX法案”中关于加强内部控制的条款如下：

第103条款——审计、质量控制和独立性准则及规定。要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。

第302条款——公司的财务报告责任。要求建立、评价和报告关于财务报告披露的内部控制。

第404条款——管理层对内部控制的评价。要求编制的年度报告应包括内部控制报告，该报告应：

1．明确公司管理层建立和保持内部控制制度和财务报告程序充分有效的职责； 2．包括上市公司在最近财政年度末对内部控制制度和财务报告程序有效性的评价。 为上市公司编制或发布审计报告的会计师事务所应按照要求，对管理层所作的内部控制评价进行测试和评价，并出具评价报告。

内部控制

COSO对内部控制提出的新概念是：“内部控制是受企业董事会、管理部门和其他职员的影响，旨在取得经营效果和效率；财务报告的可靠性；遵循适当的法规等目标；而提供合理保证的一种过程。”

COSO内部控制的五要素是：控制环境、风险评估、控制活动、沟通、监控。 内部控制自我评估

内部控制自我评估是近年来比较流行的一种内部控制制度评审方法，是企业监督和评估内部控制的主要工具，它将运行和维持内部控制的主要责任赋予企业管理层，同时，使企业员工和内部审计师与管理人员合作评估控制程序有效性，共同承担对内部控制评估的责

任。这使以往由内部审计机构对控制的适当性及有效性进行独立验证，发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题，由计算机汇总并反馈问题；审计人员转变成外向型人才，广泛接触各部门人员，采用多种技术方法，促进经营管理目标的实现。简言之，这种方法不再以内审机构实施内部控制评价为主，而是以管理部门的自我评估为主。

通过内部控制自我评估，内部审计人员不再仅仅是“独立的问题发现者，而成为推动公司改革的使者”，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决问题”的方向转变，从事后发现内部控制薄弱环节转向事前防范；从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外，通过内部控制自我评估，可以发挥管理人员的积极性，他们可以学到风险管理、控制的知识，熟悉本部门的控制过程，使风险更易于发现和监控，纠正措施更易于落实，业务目标的实现更有保证。内部审计人员广泛接触各部门人员，与各管理部门建立经营伙伴关系，有利于共同采取措施加强内部控制的薄弱环节，防范各种风险的产生。

四、发展趋势之二：推动更有效的公司治理

从历史的角度看，公司治理受到关注首先是在1929—1933年美国空前的经济危机时期。这次经济危机导致了美国股票市场的崩盘，因而也导致了完全放任的自由资本主义的结束，大量有关证券交易和监管证券市场的法规在美国相继出台。1933年，负责监管上市公司向股东报告的美国证券交易委员会成立，开辟了市场经济与政府管制相结合的“混合经济”新时代。

公司治理是现代公司制企业在决策、执行、激励和监督约束方面的一种制度或机制，其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下，公司治理结构完善与否决定了公司能否有序运转，公司效益和持续发展能力能否不断提高，进而关系到整个资本市场能否规范有效运行，甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和社会各界广泛关注的原因。

公司治理四大“基石”

公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟列威特指明了有效的公司治理的重要性，他指出：公司治理是“有效的市场规则必不可少的过程，是公司的管理层、董事会及其财务报告制度之间的联结纽带”。他是从监管当局的立场关注财务报告制度。

狭义的公司治理是指，公司股东直接或间接对公司管理层进行监督和评价其表现行为；广义的公司治理则包括了公司的整个内部控制制度，它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标，以保障包括股东在内的利益相关者的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。

世界经济合作发展组织制定的2130规定：“内部审计活动应该评价公司治理过程并提出改进公司治理的恰当建议，以实现下列目标：在组织内部推广恰当的道德和价值观；保证

有效的绩效管理和责任性；向组织内部有关部门有效传达风险和控制；有效协调董事会、外部审计师及管理层与内部审计师之间的工作和沟通。内部审计师应当对组织内与道德相关的目标、项目以及活动的设计、实施及效果进行评价。”

IIA要求董事会对内部控制系统负责；德国在1998年出台了杂志在“安然事件的教训”一文中指出：“公共会计师不应当为他们的委托人做管理决策。相反，他们应当忠告有关会计问题，并反对管理部门的财务报告缺乏透明性，要提醒资本市场去注意公司活动的内幕”。

2．内部审计的教训

在世通公司破产中查报告中，审查人员描述该公司的内部审计极为糟糕。该公司的内部审计机构成立于1993年，随着公司的发展，其职责、业务规模和范围得到扩张，公司聘用了专职的内部审计人员。在取得的成功经验之外，破产审查者发现的问题是：

内部审计机构缺乏独立性。内部审计对董事会和CFO有双重报告责任，但“从来不是真正意义上的独立部门”，内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年，内部审计政策和程序都是有局限性的。

管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的，对内部审计的支持也是不一致的。“必须有人说服，才能认识到内部审计的价值”。CEO和CFO给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间，内部审计机构专职负责企业资源规划的执行项直到晚上才做审计工作。

局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项是：重点放在收人最大化，减少成本和提高效率；专门关注经营审计；极少甚至从未进行与财务相关的审计。这是与致其无法在早期发现会计处理不当的主要原因。开于世通这样庞大复杂的公司，把内部审计工作只局限在经营审计方面显然是不恰当的。”

与外部审计师缺乏沟通。内部审计师与外部

审计师极少沟通，二者就象黑夜里行驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。

内部审计资源不足，缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下，审计委员会批准计划流于形式，对内部审计从事非审计项目一无所知在被告知审计师的平均工资只是同类公司内部审计师的一半时，也没有采取任何措施。

内部审计计划的制定有缺陷。由于多种原因，内部审计年度计划过程是低效不足的，没有采用风险评估的定量分析系数来衡量风险，内部审计师对会计电算化系统的接触也是有限的。

世通公司申报破产以来发生的显着变化如下： 1．内部审计机构增加了12—15名审计师；

2．除继续从事经营审计外，还从事财务审计，强调财务控制的重要性；

3．内部审计师与外部审计师密切协作；

4．内部审计改善了风险评估方法，并加强与外部审计师、公司管理层、审计委员会和董事会的沟通，听取他们的意见。

此外，世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险；将先进的审计技术结合到内部审计的范围和过程中；首席审计执行官具有多种职能，如首席风险官、首席道德官等；内部审计外包业务继续存在，但增加了“纯”内部审计服务内容，如财务审计、内部控制评价等。

未来的内部审计师——VITAL

2003年IIA全球审计网络调查结果表明，认为内部审计人员的职责应该是：调查人员；指导顾问；咨询专家；管理层的有益助手；其他人士。未来的内部审计师必须具备以下素质： 1．多面手：拥有大局观，对整个组织的价值具有前瞻性考虑。

2．置身其中：要参与和了解公司各项业务，发现问题及时提出解决措施，不搞秋后算帐。

3．精通技术：应用专业技术知识来预防和减少公司的风险，改进控制和治理过程的效果。

4．顾问：提供确认、培训和咨询服务。

5．领导人：在风险控制和改进公司治理的效果方面发挥领导作用。 内部审计在风险管理过程中的作用

风险管理是企业管理层的一项主要职责，管理层应当确保本企业有良好的风险管理过程，并使其发挥作用。

董事会和审计委员会负责监督、判断本企业是否有适当的风险管理过程以及是否充分、是否有效执行。

内部审计的职责是运用风险评估方法和控制措施，对风险管理过程的充分性和有效性进行检查和评价，提出改进意见，为管理层和审计委员会提供帮助。内审人员应负责定期评价风险暂理过程。

内部审计人员活动于本企业，不仅熟悉企业的运营状况、财务会计核算，而且了解企业的生产、经营和销售等活动，容易发现问题，并有能力参与评估—企业存在的风险。因此，内部审计人员应树立风险：意识，防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点在推动企业建立风险管理的制度框架中发挥重要作用。