内部审计管理体系(6篇)
内部审计管理体系篇1
[关键词]内部审计风险管理关系作用
一、企业内部审计与风险管理概述
企业内部审计主要是为了便于企业进行经济管理,实现其经济效益目标而开展的针对本单位以及附属单位的财政与财务收支、经济活动核实等积极活动的监督与评价。通过对经济效益、财务活动以及经济责任进行内部审计,可以有效的加强管理者对于企业的控制,确保企业的正常运行处于有效的监督与管理之下。风险管理是指企业在经营活动中,通过对各项投资以及经营决策进行风险识别与控制,进而将成本风险降低的企业管理活动。随着市场竞争的不断激烈,企业风险管理已经成为企业管理活动的重要组成部分,风险管理需要企业内部各个部门的协作,而内部审计管理由于其监督以及评价功能,可以作为风险管理的保障体系,促进企业经济效益得以实现。
二、内部审计与风险管理关系研究
1.企业的内部审计与风险管理具有密切的关系。随着市场经济发展,企业发展面临更大的风险环境,企业在进行决策活动中对于风险管理工作也更为看重,已经成为了企业内部审计的重要组成部分。现阶段企业经营内部审计的工作重点已经转移到了关键性经营风险的分析控制以及管理方面。
2.内部审计的发展要求必须对风险管理进行有效地监督控制。内部审计的发展已经延伸到企业的管理过程中,为了有效的优化企业的经营管理,提高企业的经营效益,内部审计已经将风险管理作为企业的重点控制指标。
3.内部审计参与风险管理具有较大的优势。内部审计由于在企业管理过程中具有一定的控制作用,在对企业的控制管理、经营活动以及风险管理都有着全面的认识,因此借助于内部审计参与风险管理,可以起到更好的分析控制效果。
三、内部审计在风险管理中的具体作用分析
1.内部审计可以整体的客观的进行风险管理。在企业经营活动中由于部门较多,风险控制管理产生的根源往往不会在项目开始体现,一般会在项目决策实施的后期体现。因此这就需要在全局进行整体的风险控制管理。而企业的内部审计由于不直接参与企业经营活动中的决策管理,而是独立于业务之外的监督评价部门,这就使得内部审计可以在全局以及企业的战略发展方面,进行企业风险控制。
2.企业内部审计可以有效的优化企业风险策略。由于内部审计在企业内部中的独立以及控制地位,因此内部审计部门可以作为企业经营风险决策的指导协调方,对于企业经营管理活动中的针对风险控制管理矛盾进行仲裁,进而发挥对企业的风险控制进行有效调节的作用,加强企业对于经营活动中风险的管理控制。
3.企业内部审计的指导意见更容易被企业管理部门接受。企业在经营活动中,虽然具有专业的项目风险管理分析部门,但是由于受到管理部门的压力较大,风险分析管理结论有时难以为管理及决策部门接受。而内部审计部门由于不参与决策,在其对项目进行审计分析后,可以将风险报告直接提交决策部门,这样有助于决策层更加重视项目的风险管理。
四、企业内部审计过程风险管理具体措施
1.不断完善企业的内部审计组织结构,优化企业内部审计管理体制。企业的内部审计工作得到有效的实施,必须依赖完善的内部审计的组织结构,使得审计作用的功能得以发挥。同时不断优化管理体制,加强企业内部各部门之间的协调沟通,实现企业经营管理活动的全局控制。
2.内部审计部门应提高审计工作人员的专业水平。内部审计工作人员的专业水平直接关系到内部审计监督评价效果,而且由于内部审计的控制作用要求审计部门在企业管理过程中应该具有较强的独立性,因此内部审计部门员工应具有较强的审计技能,在审计过程中严格遵守工作准则,提高内部审计水平。
3.进一步深化内部审计对于企业风险管理的监督管理。企业风险管理部门在确定了风险管理体系后,各项管理措施能否得到有效的落实需要内部审计的监督管理。因此企业内部审计部门在对财务活动、经济效益以及风险管理控制过程中,应该进一步深化对风险管理的侧重。通过内部严谨的审计控制,保证各项风险管理措施得到有效的实施。
4.构建企业内部审计监督管理新理念。在企业的内部审计管理上,应树立企业审计的全局整体关,将审计监督目标与企业的战略发展联系,在审计过程中重点加强风险管控,实现内部审计监督逐步向风险性的审计监督改变,以及审计监督的预估性,不断地提高内部审计工作的功效。
5.结合企业实际情况建立有效的风险管理审计程序。在对审计程序的优化上,内部审计人员应结合企业的实际状况以及市场环境,重点加强对于企业财务政策、经营效益目标、战略规划以及经营风险的管理控制。在对企业的风险审计上,应重点加强以下几方面的审计:风险与市场环境、会计政策等方面的关系;风险与企业贸易的复杂性的关系;风险分析的真实性;风险涉及的企业经营业务范围等方面。在对审计程序进行构件后,应实际检验企业内部审计体系的运行效果,并及时发现审计程序过程中的不利因素,保证审计程序的有效性。
四、结语
现阶段,我国企业在管理过程中对内部审计与企业管理控制之间关系认识及重视程度不足,内部审计工作对于风险管理的侧重程度不足,这在一定的程度上影响了内部审计的效果以及风险管理效果。因此,在企业管理过程中,应充分认识到内部审计与风险管理之间的关系及其在企业管理活动中的重要性,并不断完善管理体制,优化审计程序,才能将内部审计工作落到实处,实现风险的有效控制。
参考文献:
[1]宋东红,朱秀霞.风险管理视角下的内部审计职能探析[J].经济研究导刊,2009(31)
[2]李兆华,杨晨岚.风险管理视角下的内部审计新视野[J].经济研究导刊,2011(23)
内部审计管理体系篇2
关键词:内部审计;独立性;审计监察部;组织体系
一、引言
随着市场经济的发展和企业改革的深化,企业内部审计愈来愈显得重要。2003年,审计署出台的《内部审计工作规定》是我国内部审计建设更加具有法治性以及流程性特征的里程碑,为我国广泛实行内部审计奠定了法律基础。这部法规重新界定了内部审计的定义,认定内部审计是一种独立、客观的确认和咨询活动,通过对单位的业务活动、内部控制以及风险管理的恰当性与有效性进行监管和评价,达到完善单位治理、增加价值以及实现目标的功能。由于经济环境和审计环境的变化,内部审计的思想、理念也随之改变和创新,国际内部审计师协会重新修订内部审计的定义,将内部审计的确认与咨询两大功能并列起来,强调内部审计在公司治理、内部控制和风险管理中的作用,并着重提出内部审计的增值功能(IIA,2009)。内部审计的“免疫系统”功能、风险管理、内部控制、增加价值和完善治理等新理念日益深入人心,内部审计的职能定位越来越准确,发挥作用的空间和范围越来越广泛。2013年修订后的《中国内部审计准则》对此做出了新的规定和要求:内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。与此同时,中国内部审计协会开展了“公司治理与内部审计”的理论研讨会,并就我国企业的治理现状达成共识:在组织结构方面,董事会机构职责不清,独立性不强,尤其是董事会与管理层成员重合过大;在监控机制方面,“弱所有者,强管理者的内部人控制现象”十分普遍。这也造成我国企业内部审计机构设置不合理,审计范围有限,审计作用不显著,审计人员的构成不专业。事实上,我国企业内部审计应该、也可以发挥重要作用,包括在企业改组改制中发挥维护作用,在企业经营中发挥管理控制作用,在经济责任审计中发挥评价作用,在年度财务报表审计中发挥监督和制约作用等。因此,我们需要借鉴西方发达国家的做法,结合我国企业改革的背景,重构我国公司治理新模式,提升审计委员会的地位,确立审计委员会与内部审计的关系,进而重新定位内部审计的角色,以便激发内部审计在我国企业中的生机与活力。
二、文献综述
构建组织结构的重点在于界定关键领域的权、责以及建立适当的沟通管道。一个良好的组织必须以执行工作计划为使命,并具有清晰的职位设置和沟通协调体系。为了明确和协调内部审计机构与董事会或最高管理层的关系,保证内部审计的独立性,增强内部审计工作的有效性,《内部审计具体准则第23号———内部审计机构与董事会或最高管理层的关系》一般原则规定:内部审计机构应该受董事会或最高管理层的领导,保持董事会或最高管理层的良好关系,协助董事会或最高管理层履行职责,实现董事会、最高管理层与内部审计在组织治理中的协同作用。但是在我国企业的组织体系具体设置时,审计机构实际上应该受董事会还是最高管理层领导存在很大争议。我国企业治理结构还不够完善,很多企业都未在董事会下设立审计委员会。Davide和Angela(2013)认为内部控制有效性与独立董事人数、CEO是否兼任经理、股东的表现没有明显关系,而与董事会的监督呈现正相关关系,表明不管是否设置审计委员会或相关内部控制委员会,将审计机构设在董事会监管下能有效发挥其职能。由于内部审计的特殊性,要保证审计职能的有效履行,内部审计机构的设置必须符合独立性和权威性原则,独立性和权威性的强弱取决于内审机构的隶属关系和领导层次的高低。李明辉(2009)指出,内部审计的独立性是内部审计活动所处环境中不存在可能对内部审计人员的独立判断产生重大影响的事项,内部审计人员因而能够基于其自身的知识、经验和技能自由地开展审计工作,依照相关职业准则搜集充分、适当的审计证据,并依据自己的专业判断做出客观公正、不偏不倚的结论。独立性是权威性的前提,而权威性取决于内审机构所取得的授权及审计结果的效力。因此,内部审计必须是一个独立的、直接隶属于企业法人的机构。此外,很多文献都指出审计委员会作为监督机制的重要性。Kevin(2003)通过对企业外部债务者的调查发现,相对于对高级管理者的报告制度,他们更信任内部审计直接对审计委员会的报告制度下的财务报告。同时,不管是内部审计还是外包审计,两者只要是对审计委员会报告,则没有显著差异。另外,外包审计虽然会提高报表使用者对报表的责任,但是由于外部审计人员对企业运作情况不了解,不能发现企业潜在的重大风险问题,外部审计人员有可能泄露企业的机密。叶陈云等(2013)认为,随着企业规模的发展壮大和组织结构的日益复杂,单纯的财务审计已无法满足公司治理对内部审计的要求,经营审计这一长期被忽视的内部审计职能逐渐开始受到关注。现代内部审计不仅要履行监督职能,还要对企业经营运作、风险管理与控制情况审核,经营审计的对象不是财务活动而是整个经营活动,它关注企业经营的一切环节的经济、效率和效果,包括供应、仓储、生产、营销、客户管理和指挥系统等。与财务审计相比,经营审计关注的范围更大,它探索一项经济行为是否实现了效率最优化。这对现代企业内部审计机构的设置提出了新要求,不仅要能实行监督职能,还要能够完善经营管理职能。
三、企业内部审计的独立性与功能定位
“具有独立执行审计活动的良好组织地位”这个标志表明内部审计的“独立性”属于组织上的独立性。只有内审机构具有独立审计活动的良好组织地位,它才能够确保审计范围的广泛性、审计行为不受限制、审计意见或决定得到实施、审计建议得到适当采纳。它是保障内审机构独立履行其职责的首要条件,是具备开展审计工作的前提。IIA在《内部审计实务标准》中明确指出:内部审计机构是指负责监督机构的审计和控制工作的治理层,内部审计委员会是内部审计工作是否独立的首要屏障,而内部审计委员会的人员构成则是其发挥作用的关键所在。当前,我国内部审计委员会构成层次过于单一,人员之间没有相互制约关系。由于现行管理体制的落后和对内部审计人员的定位缺失,使得内部审计人员在开展工作的过程中缺少完整的独立性。因此,为了方便内部审计机构执行其工作发挥其职能,本文对内部审计机构进行了功能定位,建议在经营管理系统设置审计监察部,作为审计业务向审计委员会负责报告工作,受董事会直接领导,充分发挥内部审计机构作为审计业务部门的监督职能。同时作为经营管理部门,审计监察部要向总经理负责并报告工作,有利于发挥现代内部审计评价、鉴证和建设的发挥,有利于实现内部审计改善经营管理,提高经济效益职能的发挥。这种双向负责、双轨报告,保持双重关系的组织形式,与IIA的《内部审计实务准则》的要求相一致。审计监察部是企业内部控制的一个重要机构,它既是实施内部控制管理的参与者,又是内控执行情况的评价者。审计监察部的设置对提高审计效率,完善公司治理具有重大的意义:
1、成立审计监察部有利于完善公司治理结构
随着企业经营规模的扩大管理层次的增多,内部审计部门作为企业内控的执行部门之一,代表企业对内实行经济监督,强化服务职能,以确保企业经营战略、方针目标、规章制度的贯彻实施。审计监察部的设置提升了内部审计在公司组织框架中的相对独立性,在这种组织模式下,内部审计活动不受其他职能部门或个人的干扰,内部审计负责人向组织中的最高决策层负责并报告工作,可以从较为专业的角度,评估不同岗位或企业成员目标的实现情况,最终确保公司资产的安全完整、会计信息质量的提高和经营管理目标的实现。
2、成立审计监察部有利于实现公司管理标准化工作流程规范化
企业内部审计制度是企业实现自我约束的一项重要机制,审计监察部直属董事会管理,不直接参与企业经营管理且与其他部门关系独立,通过对企业内部其他各项约束机制进行评价和测试,找出可能存在漏洞的环节,形成报告向上级提出改进意见,公司修正制度以改进工作中的不足。在这样一个不断循环的监察—反馈—修正—监察的过程中,公司运行机制逐渐完善。
3、审计监察部可以构建一个统一、高效、开放的信息沟通系统
建立统一、高效、开放的信息沟通系统,可以极大地减少信息不对称带来的负面影响,降低公司的管理成本和交易成本。信息沟通系统是否通畅,决定着公司能否及时收集外部和内部信息;及时掌握营运状况和组织中发生的各种情况;还决定着能否实现信息在各公司各层次之间迅速地传递和交流,把握先机,对可能发生的异常状况做出反映,从而及时报告,防止重大损失的发生。在审计工作中,内审部门会与不同岗位的人员交流,并将这种信息在成员间进行有效的传递,总结管理经验和教训。通过对工作流程、管理缺陷的改进,可以避免明显的或隐藏的资源浪费,改善工作业绩,提高企业价值。
4、成立审计监察部有利于内部审计职能的充分发挥
在这种组织模式下,内部审计机构可以充分发挥监督、评价和服务职能。其利用相应的专业技能和资源优势,了解公司的内部控制,检查和评估公司的财务和经营数据真实性和可靠性,做到事前、事中、事后审计并重,做出客观公正的评价,向公司管理层提出改进和加强管理的措施。
四、企业内部审计组织体系及其构成要素
组织结构是组织内部成员的权利和责任关系,为了实现共同目标、任务或利益,从分工与协作的角度规定公司各成员间的业务关系,把人力、物力和财力等按照一定的形式和结构分配,有序有成效地组织起来而开展活动。企业组织结构按层次分,包括高层组织结构(股东会、董事会)和执行层组织结构(中层、基层组织结构)。企业组织结构建设的好坏直接影响到企业的经营成果及控制效果,内部审计机构是企业组织结构之一,也是是内部控制的重要组成部分。审计组织体系按审计运行条件划分要素,是由审计机构、审计人员和审计规范等相互联系而构成的有机整体;审计体系具有层次性,由上述要素相应而形成的审计机构体系、审计人员体系和审计规范体系。审计机构体系即是一般所称的侠义的审计组织体系。审计组织体系按审计机构设置划分要素,是由国家审计机关、企业内部审计机构和社会审计组织等要素相互联系而构成的一个有机整体,而本文所研究的重点在于企业内部审计组织体系。IIA颁布的《内部审计职责说明书》中指出:“内部审计是一项为了增加价值和改善运营所进行的独立的、客观的确认和咨询活动。它运用系统化、规范化的方法来评价和改善组织的风险管理、控制及公司治理过程的有效性,帮助组织实现其目标”。由此可见,内部审计的职能属于管理控制的范围,内部审计是建立于组织内部、服务于管理部门的一种独立的检查、监督和评价活动,它既可用于对内部牵制制度的充分性和有效性进行检查、监督和评价,又可用于对会计及相关信息的真实、合法、完整,对资产的安全、完整,对企业自身经营业绩、经营合规性进行检查、监督和评价,是为加强管理而进行的一项内部经济监督工作。因此,一个良好的内部组织体系应该满足能保证内部审计各部门机构充分调动各方要素,以更高效地履行内部审计职能实现内部审计目标。要建立起与我国企业的制度建设相匹配的内部审计制度,首先必须充分认识我国企业内部审计的职能定位,以之为目标和衡量标准,才有可能在现实运作中实现内审制度的完善和发展。随着经济的发展和经济组织形式的演变,内部审计职能目前正经历着由“监督导向型”向“服务导向型”的转变。现代内部审计更多侧重于“服务”,即经济评价。内部审计人员除了及时、准确地向管理当局报告有关查错防弊和资产保护信息之外,更重要的任务是针对管理和控制的缺陷,提出建设性意见和改进措施,协助管理人员更有效地管理和控制各项活动,以提高经济效益。但我国企业固有的产权属性决定了其内部审计并不能简单定位为服务职能,而应综合各方面因素,形成包含监督、评价、管理和服务等各方面作用的职能体系。
1、监督职能
在社会主义市场经济条件下,政府和国有企业的关系已由直接行政管理转变为资产委托经营关系,因而国有企业内部审计的监督职能为资产责任监督,即对国有资产保值增值的监督。国有企业法人除了对国有资产负保值增值责任外,还应对企业的债权债务人、经营合伙人等履行相应的经济责任;因此,对国有企业的资产保值增值情况、资产质量、债务债权状况进行有效监督,是国有企业内部审计的重要职责。
2、评价职能
随着经济的发展和竞争的激化,决定企业兴衰成败的关键性因素在很多情况下不是资金的多少,而是产品的竞争力,这又取决于企业的技术实力和推动技术进步的能力。而技术进步和经济效益在短期内常存在矛盾,这就需要内部审计部门独立地、客观地进行评价,使引进先进的生产技术与保持良好的经济效益相协调。企业内部审计人员在掌握企业实际运行情况的基础上,客观地评价企业的运行效果、找出存在的缺陷和不足,并综合评价技术、资金、效益状况和发展,从而为企业管理者决策提供依据。
3、管理职能
随着企业自的不断扩大,企业经营的风险也不断加大,这就要求企业内部审计对企业的经营活动全过程进行监督和评价,及时发现问题,找出企业管理的薄弱环节,提出改进措施和意见,从而提高其经济效益。尽管内部审计人员并不具有实施具体管理的权限,但其相对独立的地位和对企业经营状况的了解,使其具备了从企业长远、全局发展高度检查、分析、考虑问题的能力;通过其对管理活动的具体评价,又使其具备了及时、有效纠正企业经营过程中的错误和弊端的能力。
4、服务职能
国有企业内部审计的服务职能是通过对被检查的经济活动的分析、评价,向企业领导者提出改进工作的建议和提供咨询等服务,从而帮助管理人员有效履行职责,提高工作质量的功能。内部审计的服务导向性转型已成为目前的大势所趋。
五、企业内部审计组织体系的重构与设想
内部审计组织作为现代企业制度下“三权分立”中监督权的补充,是经营者为完成自身职责而设立的一个补充管理系统,内部审计部门通过对同级其他部门或下一层次单位的管理和绩效活动进行单独的评价,为董事会或管理层行使监督职能和管理职能。由于企业运行中设立了各种管理单元,企业内部各部门之间可能存在着信息屏障和内部资源浪费,利益冲突部门可能会造成信息失真,进而导致管理层决策错误。这时需要一个独立的内部审计部门,站在企业的角度评价一项经济活动是否符合企业的整体目标,使企业各单位之间能互相补充构成一个完整的管理系统。从以有文献来看,最科学的内部审计组织体系应该是在董事会下设置审计委员会,内部审计机构直接对审计委员会负责。在经营管理部门设置内部审计机构,独立于经营管理其他部门,直接向审计委员会负责。这样的结构使内部审计机构既能满足独立性和权威性原则,完善监督职能,同时又能够调动各方力量,通过管理层和全体员工的共同实施,向管理层提出改善经营管理绩效的建议,保证企业实现战略目标。具体而言,审计监察部作为新型内部审计机构,可以完善公司组织机构设置、加强企业自我约束,实现企业管理标准化、工作流程规范化。审计监察部是适应我国现代企业制度的内部审计机构,审计监察部的主要职责有:公司经营管理活动的审计监督,对合作公司的项目、工程、财务、经营等审计、监督和监察工作;对二级公司进行经济责任审计;对控股、参控股企业定期进行内部审计;负责制订公司《内部审计制度》和实施细则;负责与外部审计机构及有关部门进行业务沟通和协调。在界定了审计监察部应有的权责后,审计监察部通过定期向董事会、审计委员会、监事会和高级管理层递交工作报告,汇报内部审计活动的目标、职权、责任、审计计划开展的情况,以及审计中的重要问题,包括重大风险披露、重大控制缺陷与改进事项、发现的舞弊情况以及董事会及审计委员会、监事会和高级管理层需要或要求的其他事项,保证了信息沟通的实时性。另外,从垂直管理体制来看,审计监察部实行项目负责制,集团总部设置审计监察部,对下属单位的经济活动分配项目小组进行内部审计,可以有效减少内部审计的多级构架。因为集团企业内部组织架构相对复杂,组织层次较多,不同层次的审计机构有不同的工作重点,若实行分级管理制度,各审计组织既要向本级管理层报告,又要向上层审计机构报告,这种双重领导模式极大地降低了审计组织的工作效率。所以内部审计组织体系可以采取集中管理的模式,整合系统审计资源,建立总部统一管理、各级企业有序联动的组织体系。审计监察部下根据企业经营性质,分设经营审计部、财务审计部、经济责任审计部、工程审计部、综合审计部,以项目组的形式分派到下属子公司开展审计工作。
六、结论与启示
内部审计管理体系篇3
【关键词】内部控制;风险管理;内部审计;外部审计
风险是一个事项将会发生并给目标实现带来负面影响的可能性(COSO,方红星等译,2005),它实质上是指损失的不确定性。企业风险可以描述为企业目标不能得以实现的可能性(孟焰、潘秀丽,2006)。风险是影响企业经营管理决策的重要因素。如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。伴随着企业风险意识的不断加强,以及相关理论研究的持续深入,内部控制、风险管理与审计之间的联系逐渐引起理论界与实务界的重视,风险导向成为内部控制和审计的主流思想。鉴于此,本文在梳理内部控制、风险管理与审计之间关系的基础上,试图构建由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。
一、内部控制的本质:风险控制机制
内部控制是指企业为了实现控制目标,由董事会、监事会、经理层和全体员工实施的一系列政策和程序,它是企业加强经营管理的有效工具和手段。内部控制本质上是组织的内部风险控制机制(丁友刚、胡兴国,2007),它是有助于降低企业风险的一种控制机制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。在内部控制的演进过程中,内部控制的目标从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。内部控制就是控制风险,控制风险就是风险管理(谢志华,2007)。在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。
二、内部控制、风险管理与内部审计
国际内部审计师协会(IIA)在《内部审计实务标准》中将内部审计定义为:“是一种独立、客观的确认和咨询活动,旨在增加组织的价值和改善组织的运营。它通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”;《企业内部控制应用指引》(征求意见稿)将内部审计定义为:“是指企业内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善企业运行的效率效果、实现企业发展目标”。从其定义可以看出,内部审计具有评价、监督和服务等职能。内部控制、风险管理与内部审计之间的联系日趋紧密,内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域。
(一)内部审计是内部控制体系的组成部分
1986年4月,最高审计机关国际组织在第十二届大会上发表的《总声明》,把组织结构、方法程序和内部审计作为内部控制的要素,内部审计成为内部控制的重要组成部分。内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一,同时又是对内部控制执行情况的一种监督形式,是对内部控制的控制(曹伟、桂友泉,2002)。内部审计是内部监督的主要形式,《企业内部控制基本规范》把内部监督作为内部控制的一个要素。根据《企业内部控制基本规范》的要求,企业应当制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。由此可见,内部审计是内部控制体系的组成部分。
(二)风险管理是内部审计的重要领域
企业风险管理的有效性在一定程度上取决于企业对风险管理工作的监督和评价(孟焰、潘秀丽,2006),对组织的风险管理过程进行检查、评价和报告是内部审计人员的重要工作。IIA实务公告2110-1规定:“内部审计师应通过检查、评价、报告与建议改进有关风险管理过程的适当性和有效性,来协助管理层和审计委员会。内部审计师在充当咨询角色时,可以协助组织确认、评价风险并执行风险管理方法和控制来解决这些风险”。我国《内部审计具体准则第16号――风险管理审计》第七条规定:“内部审计人员应当实施必要的审计程序,对风险识别过程进行审查与评价,重点关注组织面临的内、外部风险是否已得到充分、适当的确认。”以上规定充分体现了风险管理是内部审计的重要领域,内部审计在企业风险管理过程中起到监督、评价和咨询等作用。
内审部门作为内部控制和风险管理的牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009),内部审计既是企业内部控制和风险管理的监督者,又是完善企业内部控制和风险管理的重要推动力量。
三、内部控制、风险管理与外部审计
(一)外部审计依赖于内部控制
内部控制是公司内部治理机制的基石,有效的内部控制,能够保证公司的正常运作和发展;外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果(方红星,2002)。现代审计依赖于内部控制。审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者(张宜霞,2007)。
审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注(施先旺,2008)。风险导向审计是审计模式发展的最新阶段,根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,通过对被审计单位的战略及经营风险进行识别和评估,来确定高风险的审计领域,以便进行重点审计,从而有利于提高审计效率,减低审计风险。在现代风险导向审计方法实施过程中,仍然需要用到制度基础审计方法甚至详细审计方法的一些程序,但它已不局限于对传统企业内部控制的分析,而将分析对象扩大到整个企业的风险管理范围(审计理论研究课题组,2009)。但是,应当明确一点,在风险导向审计模式下,审计对内部控制的依赖不是减弱了,而是得到了进一步加强,只是分析范围扩大到整个企业的风险管理领域。
(二)外部审计是一种风险监督机制
理论是解释审计需求的主流理论,它是在Jensen和Meckling(1976)所倡导的委托理论的基础上发展起来的。在企业的委托关系中,委托人和人的目标往往是不一致的,人为了追求自身利益的最大化,可能会损害委托人的利益。为了使人与委托人的利益保持一致,委托人通常会选择适当的激励机制与监督机制,来减少委托人与人之间的信息不对称,而外部审计就是一种有效的监督机制。
外部审计作为一种外部监督机制,对于缓解冲突,促进资源的优化配置具有重要的作用。由于股东收益因关系存在而可能受到损害,因此股东的风险控制愿望一直表现得非常强烈(王斌,2009)。外部审计是所有者(股东)检验经营者经营管理效率和效果的一种方式,它是所有者对经营者实施的一种监督机制。外部审计师需要实施风险评估程序,来了解被审计单位的目标、战略以及相关经营风险。因此,所有者可以从外部审计师那里获得较多的关于企业的风险信息,这样就可以有效地降低所有者和经营者之间的信息不对称,进而所有者可以通过影响经营者的经营管理决策,来降低企业风险。
经济监督是审计的基本职能。审计的经济监督职能,主要是指通过审计、监察和督促被审计单位的经济活动在规定的范围内、在正常的轨道上进行;监察和督促有关经济责任者忠实地履行经济责任,同时借以揭露违法违纪、稽查损失浪费,查明错误弊端,判断管理缺陷和追究经济责任等(李凤鸣,2006)。根据我国《独立审计具体准则第24号――与管理当局的沟通》的要求,注册会计师应当对已发现的重大错误、舞弊或可能性,与管理当局进行沟通。《企业风险管理――整合框架》也指出,在进行财务报表审计时,审计师可以向管理当局提供有关风险管理方面的信息,以便管理当局更好地履行其风险管理职责,这些信息主要包括审计师所注意到的风险管理和控制所存在的缺陷,以及改进的建议。与管理当局进行沟通,有利于管理当局及时发现经营管理中的漏洞,以便采取整改措施,防止风险的扩大。
由此可见,无论是从所有者角度来看,还是从经营者角度来看,外部审计都是一种风险监督机制。
四、企业风险综合治理体系的构建
本文论述了内部控制、风险管理与审计之间的联系,它们在各自的职能领域发挥着风险控制或者风险监督的作用。内部控制的本质是一种风险控制机制,风险管理包含内部控制,内部控制是风险管理不可分割的一部分,风险控制是内部控制和风险管理的根本目标;内部审计是内部控制体系的组成部分,风险管理是内部审计的重要领域;外部审计依赖于内部控制,对所有者和经营者来说,外部审计是一种风险监督机制。基于内部控制、风险管理和审计之间的密切联系,笔者构建了由经营者、所有者、内部审计师和外部审计师组成的企业风险综合治理体系,以期达到降低企业风险、增加企业价值的效用。图1为企业风险综合治理体系示意图:
(一)经营者是企业风险治理的实施者
本文所指的经营者是指企业的经营管理决策人员,主要包括董事会、监事会和经理层等。董事会应当确保风险管理过程的适当性、有效性,并最终对企业的风险管理过程负责;监事会对董事会建立与实施的风险管理政策进行监督;经理层应当树立风险导向的经营管理理念,制定合理的风险管理政策,并且确保其能够发挥应有的作用。企业应当根据不同的管理级层赋予相应的风险责任和职能,并且成立专门机构(如风险委员会)或者指定适当的机构(如审计委员会)来负责组织与协调企业风险治理机制的建立实施以及日常工作。同时,经营者还应当考虑向内部审计师和外部审计师征求风险治理意见,以便能够扩大视野,提高风险治理水平。
(二)所有者是企业风险治理的需求者
所有者(股东)是企业风险的最终承担者,经营者的不当行为所造成的损失要由股东来“买单”。因此,所有者具有强烈的风险控制愿望,他们往往会采取一些措施来控制企业风险。例如,股东大会对企业的经营方针、筹资、投资、利润分配等重大事项享有表决权,所有者可以通过否决潜在风险较大的投资项目、撤换不称职的经营者等方式来规避风险。另外,王斌(2009)提出,要使股东有能力保持对公司风险的持续监控,股东要做的事应当是:追加购买审计师的额外服务,即要求审计师在向股东提供年度审计报告的同时,追加提供“风险提示意见”这项服务功能,并将其与审计报告一起对外披露。笔者认为,股东追加购买审计师的额外服务,并不会增加审计师的负担。因为外部审计师必须对被审计单位的风险进行评估,它只是外部审计师提供年度审计报告业务的“副产品”,并且能够在一定程度上满足股东风险控制的期望。尽管目前尚处于理论探索阶段,但股东向外部审计师购买“风险提示意见”这项额外服务,将具有广阔的发展前景。
(三)内部审计师是企业风险治理的监督者
内部审计机构是企业内部控制和风险管理的监督部门,内部审计师理应成为企业风险治理的监督者。内部审计师通过对企业风险管理的恰当性和有效性进行检查、评价、报告和提出改进建议,能够使董事会和经理层全面、系统地了解企业的风险治理状况,从而有助于董事会和经理层提高风险治理水平,实现对企业风险的有效控制。
(四)外部审计师是企业风险治理的咨询者
现代风险导向审计是以被审计单位的战略风险为导向,审计师需要了解被审计单位及其环境,重点关注被审计单位的目标、战略以及相应的经营风险,根据风险评估的结果来实施进一步的审计程序。注册会计师具有较强的职业判断能力,能够对被审计单位的风险治理状况作出合理的评估。因此,被审计单位的董事会和经理层有必要与外部审计师进行沟通,征求外部审计师的风险治理意见。同时,外部审计师要与内部审计师加强交流与沟通,尤其要针对内部审计师咨询企业在内部控制和风险管理方面所存在的问题,利用内部审计资源,充分识别风险较高的领域,进而提高审计效率。
【主要参考文献】
[1]财政部会计司赴美国考察团.美国会计国际趋同、注册会计师监管和内部控制考察报告[J].会计研究,2007(8):3-8.
[2]曹伟,桂友泉.内部审计与内部控制[J].审计研究,2002(1):27-30.
[3]丁友刚,胡兴国.内部控制、风险控制与风险管理――基于组织目标的概念解说与思想演进[J].会计研究,2007(12):51-54.
[4]方红星.内部控制、审计与组织效率[J].会计研究,2002(7):41-44.
[5]COSO.企业风险管理――整合框架[M].方红星,王宏等译.大连:东北财经大学出版社,2005.
[6]贺密柱.内部控制理论演进的中外比较及其思考[J].财会通讯(学术版),2008(2):101-103.
[7]李凤鸣,韩晓梅.内部控制理论的历史演进与未来展望[J].审计与经济研究,2001(7):61-63.
[8]李凤鸣.审计学原理(第三版)[M].上海:复旦大学出版社,2006.
[9]孟焰,潘秀丽.企业风险管理审计研究[J].审计研究,2006(3):61-63.
[10]施先旺.内部控制理论的变迁及其启示[J].审计研究,2008(6):79-83.
[11]审计理论研究课题组.审计基本理论比较:前后一贯的理论结构[M].上海:立信会计出版社,2009.
[12]王斌.股东期望、全面风险管理与审计价值[J].会计研究,2009(5):87-93.
[13]吴水澎,陈汉文,邵贤弟.内部控制理论的发展与启示[J].会计研究,2000(4):2-8.
[14]谢志华.内部控制、公司治理与风险管理:关系与整合[J].会计研究,2007(10):37-45.
内部审计管理体系篇4
随着我国市场经济的迅猛发展,经济主体的组织结构发生了显著变化,经济运行格局突破了原有模式,给内部审计带来了新的课题,要求内部审计不仅是发现问题,更重要的是预防问题发生。内部审计要立足为管理服务、在促进组织目标实现方面发挥积极作用。发展和完善企业内部审计新模式是大势所趋,需要我们积极借鉴国外成熟的理论和方法,促进内部审计管理与国际惯例的接轨,在发展中提高审计效能。
组织目标即是审计目标,审计目标即是审计质量控制的目标,这一新战略、新定位对开展内部审计工作提出了更高要求,同时也为实施内部审计质量控制明确了方向。显然,内部审计组织要是仅局限于开展传统查错防弊”的审计,已经不能适应新形势的需要。因此,内部审计质量控制必须转变审计理念,加快转型发展与国际先进内部审计理念和方法的接轨,只有与组织的目标和经营战略相结合,切实把工作重点放在服务组织目标和促进经济增长上,真正关注管理和效益,才能为改善组织运营、防范组织风险、促进提高组织效益发挥应有作用,才能从战略高度上解决审计质量控制问题。
在多年的内审工作实践中,我们始终坚持围绕组织目标开展内审工作,同时采取监督与服务并举的工作方法,取得了良好的效果,特别是在审计服务上,我们一方面积极投入到单位各项建设性工作当中,积极参加多项制度的审查工作,为制度建设献计献策;另一方面,利用在内控、工程和财务管理等方面的专业知识优势,热情为基层单位提供业务咨询服务,通过对各类具体工作问题的探讨与交流,分析风险因素,提出控制措施,解决了建设和管理工作中的难题。内审人员服务意识不断增强、服务水平和质量不断提高,丰富了内审人员工作经验,提高了内审人员的地位,为顺利开展内审工作创造了良好的工作氛围。更重要的是实现了内部审计工作从传统监督型向服务监督型的顺利转型,实现了内部审计服务组织目标的战略要求。
二、健全内审制度,规范操作规程
具体准则19号第二条对内部审计质量控制的概念是这样描述的:内部审计质量控制,是指内部审计组织为确保其审计质量符合内部审计准则的要求而制定和执行的政策和程序”。这一概念明确了内部审计质量控制在实际操作层面上要有强有力的制度保障,要建立一套机制完善、运转良好的内部审计工作制度。建立健全内部审计制度,是提高内部审计质量的根本保证,也是内部审计质量控制的核心内容,以制度约束审计行为,这也是审计加强人法技”建设的重点内容。
在实际工作中,我们严格按照准则指引,做好制定机构质量控制政策和程序,保证审计质量控制。一方面参照国家有关法律法规和上级部门出台的各项内部审计工作规定办法,结合单位行业特点、工作重点和实际需要,不断建立健全内部审计工作的制度办法,形成了以《内部审计工作管理办法》为总纲,以《内部审计工作规范》为标准,以《内部控制审计办法》、《工程竣工决算审计办法》、《经济合同审计办法》和《领导人员经济责任审计办法》及《精细化管理手册》为实务规范的内审工作制度框架体系,为规范、有序地开展内审工作提供了制度保障。另一方面,我们收集、整理了行业管理相关政策法规和单位的有关规章制度,印制了《内部审计常用政策、法律法规文件汇编》,并下发到每一位内审工作人员手中,规范了单位内部审计业务工作程序与标准,为开展内部审计工作提供了很好的指导工具。特别是面对新时期经济管理工作对风险审计的新定位、新要求,我们积极探索内审工作新方法,开展了建设项目风险导向审计研究”,设计了以项目建设管理风险控制为导向的内部审计制度构架,开发了适应于项目建设管理的风险控制操作指南,为提高内部审计及管理人员的风险识别和管控能力提供了指导手册。
三、严格制度运行,防范审计风险
具体准则17号第七条指出内部审计人员应当对审计风险进行评估,制定并实施相应的审计程序,以便将审计风险降低到可接受的水平”。因此,通过严格制度运行,规范审计工作行为是降低审计风险、保证审计质量的重要路径。
具体准则19号指出内部审计质量控制在总体上包括内部审计督导、内部自我质量控制与外部评价三个方面,横向上包括审计准备、审计实施和审计终结三个阶段,纵向上包括内部审计组织的质量控制和审计项目的质量控制两个层次。因此内部审计质量控制、审计风险防范是一项全方位、全过程的系统控制工程。而审计项目质量控制又是这一系统工程中最基本的内容。按照内审准则的要求,我们在审计项目质量控制方面重点把握三个环节:
一是在审计计划阶段,重点把握审计年度计划和审计方案制定两个控制点。在年度计划阶段,要根据上级审计组织和行业协会对内审工作的新要求和新动向,围绕集团年度中心工作,拟定年度审计计划,确保了审计计划方向正确,重点突出;在审计方案阶段,通过充分的审前调查,摸清被审对象总体情况,合理确定审计目标、审计范围、审计内容、审计重点、人员分工、时间安排和方案调整等,确保制定的审计方案全面具体、细化到位、便于操作,完整体现审计的全过程要求。
二是在审计实施阶段,我们将审计工作记录和审计工作底稿作为质量控制的重点。审计工作记录反映的是内审人员实施审计检查的范围、方法和内容,按日记录或按工作段落记录,有助于检查内审人员工作状况,分清审计责任,防范审计风险,需要被审计单位签字认可;而审计工作底稿记录审计查出的问题和审计总体评价,登记审计工作成果,按事记录,后附原始材料或取证材料,是编制审计报告、提出审计意见和建议的依据,不需要被审计单位签字认可。
三是在整改阶段,我们将跟踪审计作为强化内审实效的重要手段。一方面将审计结果整改落实情况纳入被审计单位目标考核内容,另一方面采取了半年一跟踪”的工作措施。通过跟踪审计极大的增强了被审计单位整改的自觉性和严肃性,同时也为内审部门与被审计单位的再交流提供了机会,进一步了解被审计单位在整改过程中存在的困难和疑惑,帮助他们正确理解审计结论,督促审计结果有效运用,有效地巩固了审计成果,检验了审计质量。
四、遵循职业标准,坚持以人为本
具体准则19号第十二条阐明内审人员的素质与专业结构是内审质量控制的重要内容之一,也可以说,人”对内部审计质量控制起着决定性作用。作为内部审计组织,如何培育和提升审计人力资源的水平,是实现可持续性审计项目质量控制的长远战略问题,如何运用有限的审计人力资源则是做好审计质量控制的现实问题。因此,在实际工作中,我们倡导以人为本,通过优化人力资源配置,提高人员综合素质,为内部审计质量控制提供内在的动力保障。例如,审计小组的组成,既要考虑人员胜任能力,又要考虑对被审计单位的熟悉程度和审计经验的丰富程度,使审计小组有足够的能力和经验胜任审计项目工作。另外根据某些审计项目的特殊性,还借用一些相关专业的非专职内审人员参与,提升审计小组的专业能力和整体水平。
五、注重考评实效,促进持续改进
具体准则19号第十八条明确指出内部审计机构应通过持续和定期的检查,对内部审计质量进行考核和评价”,科学考核和评价内部审计工作效果是进行内部审计质量控制的重要内容,也是审计质量自我控制的重要手段之一。健全完善有效的质量考评机制,对内部审计组织而言,是一种控制措施,使审计工作按计划有序进行,形成按标准办事的风气;对内部审计人员而言,是一种控制手段,使内审人员牢记工作职责,养成按照规章制度工作的自觉性,全方位的促进审计质量提高。因此,我们在思想上重视审计质量考评,将内审工作考评作为促进内审工作质量持续改进的重要手段,工作中也采取了一系列的考评措施:
一是目标考核与审计计划相结合。如果说标准化的作业流程是审计质量控制的核心,那么完善科学的审计计划就是审计质量控制的前提。所以我们将年度审计计划分解到每月,并在月末对计划完成情况进行考核通报,通过对审计计划执行的严格考核,从总体上控制审计质量。
二是自我评价与三级复核相融合。自我评价是准则明确的内审质量考评的另一个重要方法,因此,我们立足全过程控制审计质量,在现行的审计组长、内审部门负责人和内审主管领导三级复核制度的基础上,融入了自我评价的内容,包括:内审工作与内审准则、执业规范、单位的政策规定的符合程度;审计目标是否达到、审计证据是否充分、审计依据是否可靠;已完成内审工作的质量和改进意见等。
内部审计管理体系篇5
论文关键词:信息化;审计;风险;内部控制
1引言
在宁夏电力公司系统全面学习和贯彻落实科学发展观的大背景下,审计工作如何结合本专业特点,坚持以人为本,树立全面、协调、可持续的发展观,以科学的精神,建立科学的审计管理体系,是实现电网企业审计工作再上新台阶的迫切需要,而审计信息化建设,无疑为实现电网企业审计质量的提高提供了有效的途径。
前国家审计署审计长李金华曾高瞻远瞩的指出,“审计信息化是一场革命,能不能在这场革命中掌握主动权,直接关系今后审计事业的发展”。国网公司的审计工作“十一五”规划中也将审计信息化工作作为今后—个时期审计工作的重点之一。可见公司系统审计信息系统的建设迫在眉睫,也至关重要。笔者就宁夏电力公司审计信息化建设的现状谈谈对审计信息化建设的—点浅见。
2宁夏电力公司系统审计信息化建设现状
目前公司系统审计信息化建设依托于国网sg186工程项目,由中电普华公司开发的一体化审计综合管理系统及用于现场审计工作的审计作业工具两大平台。一体化审计综合管理系统是国网公司总部审计管理横向集成、纵向贯通到网省公司、到地市公司的信息高速公路,主要管理国网公司系统审计决策、重点、计划、统计、日常事务等事项。在制度的约束下,大量审计工作在平台上运行,起到信息共享,规范审计流程,提高审计质量和效率,提高审计现代化水平的作用。审计作业工具通过对多种财务数据的采集,实现对财务数据多角度、全方位的分析,达到快速锁定审计方向、把握审计重点并形成完整审计项目资料(记录底稿、审计报告)的作用。通过系统的应用,审计部门领导可以通过软件,科学地进行审计计划的编制,评估审计项目;审计人员可以在统一的计算机系统内,利用软件的各项特定功能,建立一个关联的整体,满足了公司审计业务管理要求。软件通过不同审计项目搜集、分析、加工、筛选后得到的企业信息,按企业名称分类存放到审计软件的中心数据库中,审计人员可以方便地查询并获得被审单位各方面的详细资料,以提高工作效率。内部审计是企业控制制度的再控制,内部审计部门内控制度的完善与否,工作质量的好坏,直接影响到整个企业的管理成效。使用软件进行内部审计作业和管理,加强了企业对内审部门的工作规范化控制。审计管理者可以充分利用软件系统提供的功能权限的控制,对不同职能岗位上的人员的操作功能加以限制。结合目前的实际运行情况来看,系统运行情况良好,基本满足宁夏电力公司审计业务的信息化应用要求。审计作业工具基本达到100%的使用频次,但审计综合管理系统的登录频次偏低,对相关数据的分析和处理能力偏弱。这些都暴露出审计综合管理系统还有进一步改进和完善的地方。在督促厂家完善的同时,相关配套制度的建设和考核的实施,也是审计信息系统使用效果的有效保障。
3erp实施对审计信息化建设的影响
宁夏电力公司erp系统的全面上线,对审计信息化工作提出了更高的要求。erp系统可以让审计人员快捷、深入地了解业务流程与控制体系,并在业务抽样、正确性复核等方面提高效率。如何有效的利用erp数据、信息的高度集成,实现多样化的分析,审计穿透快速方便以及信息实时,在线监控能够实现等特点,与审计工作实现有效地对接,无疑是现阶段公司审计信息化建设的方向。笔者有幸对上海电力公司和浙江省电力公司的审计信息化建设情况进行了调研。浙江公司和上海公司的审计信息化建设成效显著。浙江公司审计部2002年起,分阶段、分模块地开发了审计信息系统,经过近4年的不断改进,在2006年就已经建立起了较完备的审计综合管理系统和集财务、工程、用电营销各种数据源接口软件为一体的审计信息系统。2008年浙江省电力公司用于审计信息系统建设的资金达到200万元。上海电力公司结合sap系统实时在线业务审批和监控功能以及权限的设置和记录,为强化上海电力的内部控制提供了有效的手段,帮助上海电力规避内部营运风险,并且为内部审计提供了详实的数据和依据。这些好的经验无疑为公司审计信息系统的建设提供了学习和借鉴的榜样。
4信息化对企业内部控制的影响及其对策
在国网公司系统全面倡导内部审计转型的大背景下,积极开展以监督和评价内部控制体系运行的有效性为导向的管理审计成为内部审计工作的趋势。通过评价和改进财务会计控制、经营管理控制和信息系统控制的有效性,促进提高内部控制能力和水平,帮助组织实现目标。良好的内部控制体系是以完善的公司治理结构和先进的内部控制为基础,以准确的风险识别和完备监测评估体系为前提,以健全的内部控制制度和严密的控制措施为核心,以严格的审计监督和客观的评价体系为保障,以强大的信息系统和畅通的沟通渠道为支撑的诸多要素构成的一个有机整体。这就要求我们对内部控制实施审计的时候,不能仅仅局限于对各个个功能要素进行孤立的审计,而要站在全局和系统的高度,对各个要素之间的关联活动和相互作用的效果进行审计,要从总体上对内控能力进行动态、系统的审计评价。这样,只有依托信息化条件,审计人员才可以利用计算机决速、准确的特点,积极开展事前审计、事中审计和效益审计,扩大审计面,提高审计质量和效率,使得内控审计成为可能。因此,实现内部审计全面转型与发展,审计手段必须从手工操作向信息化、自动化转变。这是内部审计工作发展的内在需要,也是内部审计实现现代化的重要标志。
5内部审计技术发展与审计项目管理
5.1审计信息技术的发展阶段
信息化环境下,内部审计技术有了新的突破。笔者认为审计技术的发展分为三个阶段,从原来的手工对帐审计到现在的计算机辅助审计,最后应该发展到以审计项目管理信息化为核心的系统解决方案。
5.2审计项目管理的信息化建设
审计的信息化,也对审计管理提出了新的要求。信息化条件下的审计管理主要是利用审计项目管理软件,完成对审计项目的管理、对审计成果的管理、对审计人员绩效考核的管理等功能。从审计项目的立项到审计项目的实施再到审计项目的终结和归档,审计管理系统都可以进行全程跟踪,实时监控。对于审计成果,审计管理系统能够方便的进行存储、检索和维护。审计管理系统还可以对审计人员的工作量、审计项目完成的情况等进行考核。
5.3内部审计信息系统的作用
内部审计管理系统应当包括综合管理系统、作业辅助系统、决策分析系统、力公门户系统,各系统的怍用如下:
5.3.1综合管理系统
通过审计综合管理系统实现整个企业年度审计计划的申报与审批、审计文书档案的管理、业务台帐的统计汇总和基础报表的自动生成,并完成人力资源综合管理、审计任务的资源调配、审计人员履行职责的考评等。通过资源管理(法律法规库、审计专家库、审计案例库、审计对象库)基础数据资料支撑,为整个审计应用系统提供完整、有效的审计-基础佶息支持。在公司目前审计信息系统的建设中,现有的审计综合管理系统基本能满足以e需求。
5.3.2作业辅助系统
通过审计作业系统辅助一线审计人员完成审计项目,实施电子财务数据、业务数据的采集转换,运用丰富的各类审计工具完成审计抽样和数据分析,提高审计工作效率。标准化的审计程序引导与控制规范了审计作业过程,降低审计风险。层层归集的基础信息及统计台帐通过系统接口与审计综合管理信息系统无缝集成并实现现场审计作业数据与远程公司审计部之间的数据交互和共享。目前,在实际应用中,公司系统的审计现场作业仅限于对财务数据的转换和查询,与浙江、上海公司拥有的财务、工程、用电营销等较为完备的审计作业工具系统相比还有较大的差距。这也是公司系统审计信息化建设亟需解决的问题和发展的方向。
5.3.3决策分析系统
通过决策分析系统辅助领导全面掌握审计项目进展情况,监控审计项目的工作进度。提取审计管言息系统、审计作业系统的相关数据,提供有价值的汇总缬:计信息,为领导宏观决策分晚基础。以公司目前审计信息化建设现状必须要结合公司系统erp上线,财务管控系统的实施,充分利用这些系统中的数据库资源,与审计信息系统有效地对接实现业务流程追踪、数据采集分析、系统配置审核等诸多功能,才能使公司目前的审计信息化进程得到质的飞跃。
5.3.4办公门户系统
通过审计办公门户平台系统,将公司内部管理的内容,向下属各分公司及直属机构有选择的进行公开实现信息实时共享。
内部审计管理体系篇6
关键词:企业管理内部审计风险管理
2004年COSOH布了《企业风险管理――整合框架》,该框架将风险管理和内部审计进行了整合,扩大了内部审计的范围和领域,使内部审计真正参与到企业管理中来。在研究企业管理与内部审计的关系时发现,企业管理与内部审计通过共同参与风险管理,使内部审计将其工作范围扩大到了企业管理的全部领域和过程,巩固和提高了其在组织中的地位和发展。而管理层则通过设定战略和目标有效地应对了不确定性及与之相随的的风险,并在增长收益目标和相关风险之间取得最佳平衡,增强了企业风险应对决策,使企业高效率地配置资源,减少营运意外,降低损失。最终增强企业创造价值的能力并帮助企业实现绩效目标和盈利目标,使企业价值达到最大化。
一、企业管理与内部审计的研究现状
(一)企业管理研究现状(1)企业管理现状。在企业经营管理过程中,各个企业都面临不确定性,管理层的挑战在于努力增加利益相关人价值的同时要确定应承受多大的不确定性。这个不确定性即为风险。风险在一定环境和限期内客观存在,它能导致费用损失和损害产生。它具有客观性、普遍性、必然性、可识别性、可控性等特点。近年来,随着社会经济的发展,特别是经济全球化及国际化程度的加深,企业经营环境变得日趋复杂,企业经营风险也大大增加。知识经济的到来,更使企业的风险雪上加霜。因此,减少企业面临的风险成为组织实现目标的关键,也成为企业的管理人员十分关心的问题。这些年来,一系列财务失败事件的发生以及对企业风险的关注,使人们越来越清楚地认识到需要一个强有力的管理框架来有效地识别、评估和控制风险。普华在最近的一份报告中提出了一个GRC(Governance,Risk,Compliance)模型。该报告认为,组织可以把GRC战略性地整合进它们的经营中,以形成一个可以对企业进行管理的道德和经营框架。这个框架包括治理(Governance)、企业风险管理(EnterpriseRiskManagement)和遵守(Comphanee)三个组成部分。在这个框架中,风险管理活动包括识别和评价那些可能会影响目标实现能力的风险,应用风险管理来获得竞争优势和确定风险应对策略和控制活动。在这个框架中我们看出风险管理可以帮助企业管理层实现组织的绩效目标和盈利目标,防止资源损失;有助于保证有效的信息报告及更好地遵循法律法规,从而避免组织受损及其他相关后果。(2)企业管理中的风险管理。2003年颁布了《内部审计实务准则》,该准则指出风险管理是管理层的主要职责。管理人员应该保证机构拥有健全的风险管理过程并使其发挥作用。2004年9月,COSO了《企业风险管理一整合框架》,COSO在界定风险管理时,明确指出企业风险管理是企业管理过程的一个组成部分。所谓风险管理,是对影响公司目标实现的各种不确定事件进行识别和评估,并采取应对措施将其影响控制在可接受范围内的过程,风险管理旨在为公司目标的实现提供合理保证。风险管理活动已经成为国际性大公司管理活动的重点,一些国家和组织也在致力于研究如何防范企业风险。风险管理理念是一套共享的观念和态度,它标志着企业考虑风险时的特征,反映了企业的价值观,影响着企业的文化和经营方式。企业风险管理包括八个相互关联的构成要素,它们源自管理当局的经营方式,并与管理过程整合在一起。其分别是:内部环境,管理当局确立关于风险的理念,并确定风险容量。所有企业的核心都是人(他们的个人品性。包括诚信、道德价值观和胜任能力)以及经营所处的环境,内部环境为主体中的人们如何看待风险和着手控制风险确立了基础;目标设定,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,并保证选定的目标支持主体的使命并与其相衔接,以及与它的风险容量相适应;事项识别,必须识别可能对主体产生影响的潜在事?它包括表示风险的事项和表示机会的事项,以及可能二者兼有的事项。机会被追溯到管理当局的战略或目标制定过程;风险评估,要对识别的风险进行分析,以便确定管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响;风险应对,员工识别和评价可能的风险应对措施,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相适应;控制活动,制定和实施政策与程序以确保管理当局所选择的风险应对策略得以有效实施;信息与沟通,主体的各个层级都需要借助信息来识别、评估和应对风险。广泛意义的有效沟通包括信息在主体中向下、平行和向上流动;监控,整个企业风险管理处于监控之下,必要时还会进行修正。这种方式能够动态地反应风险管理状况,并使之根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
(二)内部审计研究现状(1)企业内部审计的现状。衍生于授权管理需要的企业内部审计,根植于传统企业环境,经过几十年的发展,已经基本形成了固有的模式和完整的体系格局。但当传统企业演变为现代企业时,原有的内部审计理论和实务发生了碰撞。许多既定的内部审计内容和方法,显得难以适应新的企业环境。内部审计的本质和基本功能是对经济活动的监督和控制。20世纪40年代,随着企业规模扩张、管理层次的增多和管理人员经济责任的加重,现代内部审计应运而生。内部审计产生的理论基础源于两权分离下的受托经济责任理论。内部审计最初在财务领域开展,主要是监督、鉴证受托财务责任,审计目的是查错防弊;20世纪60年代至80年代,由于市场竞争加剧和大型跨国公司兴起,企业管理者对于降低成本、提高经济效益的要求更加迫切,迅速发展起经营审计和经济效益审计,以实现帮助组织提高经营效率和经营效果的兴利目标;随着内部审计范围向管理领域的延伸,1993年版的IIA内部审计实务准则将内部审计职能定义为监督和评价;而2001年根据最新版的《内部审计实务标准》规定,内部审计是用来增加组织价值和改善组织运营的独立、客观的保证与咨询活动,它以系统化、专业化的方法对风险管理、控制及治理过程的有效性进行评估和改善,帮助组织实现目标。根据这一定义,现代内部审计的范围已从传统上的财务收支审计扩大到风险管理和公司治理层次上来,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的焦点。内部控制与风险是我国《内部审计准则》的两个核心概念,内部审计不仅是内部控制的重要组成部分同时也是风险管理的重要组成部分,它与风险管理的联系日趋紧密。风险管理作为管理层的一项关键责任,企业管理层对其负有不可推卸的责任。内部审计部门则有职责定期评价并协助企业管理层进行风险管理,
在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理,从而为企业增加价值。(2)内部审计注入风险管理的内容。现代企业风险管理贯穿在企业生产经营的全过程,渗透到企业的各个部门各个环节。内部审计作为现代企业的重要管理部门之一,对企业的风险管理也承担着重要的责任。国家审计署在2003年5月修订生效的《审计署关于内部审计工作的规定》中对内部审计的基本职责作出明确规定,其中就包括“对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审”。国际内部审计师协会也在关于内部审计的新定义中明确:“内部审计是一种旨在增值和改善机构运营状况的独立的、客观的保证和咨询活动。它通过引入系统化、严谨方法来评价和改善风险管理、控制和治理程序,帮助所在机构实现其目标。”从这些规定和定义及内部审计的职责和监督服务的基本功能可以看出,内部审计注入了企业风险管理的内容。一是在企业风险管理中担负监督、评价责任。监督、评价是内部审计的一项基本职责,也是内部审计传统的看家本领。企业风险管理过程也存在监督、评价职责,而且监督、评价是风险管理的起始和基础。要管理风险,必先识别风险。企业的风险在哪里,形成风险的相关因素有哪些?内部审计在履行风险管理监督责任时,首先要学会分析判断企业风险所在,在准确识别风险的基础上,要坚持原则,勇于发现反映企业存在的风险,切实体现监督责任,因为许多企业的风险是同各级管理人员甚至领导人员的工作缺陷分不开的。企业风险管理中的监督和风险管理中的各项处置与承受也需要在不同的职能部门间分开,才能使风险得到充分的反映。因此内部审计往往成为体现企业风险管理监督责任的主要部门。企业风险在识别的基础上需要进一步评价。内部审计应当掌握企业风险评价的系统方法,对企业风险形成因素、影响后果、发生频率、损失程度等等作出分析,根据不同的指标对企业的风险级次进行排序,为进一步的风险处置提供决策基础。这里值得强调的是,内部审计要承担好风险评价责任,必须具备专业的系统化严谨评价方法,而不是简单的主观经验判断。无疑这对许多内部审计机构来讲仍然是一个薄弱的环节,需要相应的专业人才配备和学习培训,才能担负起风险评价的责任。二是在企业风险管理中担负咨询服务责任。咨询服务是现代企业内部审计体现创新和大力发展的新的功能,也是现代新型内部审计的重要责任。企业风险管理最终的目的是要对风险的相关因素采取措施,规避风险,化解和转移风险,或权衡利弊分担和降低风险损失的影响。内部审计应当对企业风险管理需要采取的措施提出建议,尤其是对需要通过改进内部管理、健全内控制度来进行风险管理的内容提出建设性的意见。咨询服务是企业环境变化给内部审计带来增加价值的极好机会,是内部审计提升地位和作用的崭新平台,而风险管理正是提供咨询服务最多机会的重要管理活动。内部审计应抓住这个机遇,作到急企业所急,想企业所想,积极主动地在风险管理中开展帮助、促进健全管理活动,才能履行好咨询服务责任。内部审计要在企业风险管理中尽其责任,是必须通过内部审计的具体工作来体现的,通过涉及风险管理的有关审计活动发挥其作用。在企业风险管理中,内部审计的本质特征并不发生改变。为了保证其独立性和客观性,内部审计并不对建立企业风险管理体系承担主要责任,风险管理责任应由管理层承担。内部审计可以对企业风险管理提供建议、咨询和支持,但不能设定风险容忍度、强制施行风险管理流程、对风险提供管理保证、对风险问题进行决策和对风险实施管理职责的行动,内部审计对于企业风险管理的责任应当在审计章程中写明并经审计委员会批准。
二、企业管理和内部审计及其与风险管理的关系
(一)企业管理与内部审计的交叉点――风险管理风险管理是企业管理的一项职能,更是一种管理理念,它贯穿于企业管理的各个方面。在一个大型企业内,不同部门面临的风险表现和种类存在显著差别。这些来自企业内部的风险常常是由于内部控制系统有缺陷或虽有良好的管理控制系统却未得到认真的贯彻执行而产生。在企业内部,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门隶属于管理部门,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。(1)企业管理与风险管理的联系。2004年,COSO在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,COSO在界定企业风险管理时,明确了所属关系:企业风险管理是企业管理过程的一个组成部分。企业风险管理框架的要素都是管理层经营一个企业所做的事情。但是,并非管理层做的事情都是企业风险管理的组成部分。在管理层的决策与相关管理行为中应用的许多判断,尽管是管理过程的组成部分,但不是企业风险管理的组成部分。例如,确保有一个适当的目标设定过程是企业风险管理的一个关键组成要素,而管理层选择的特定目标不是企业风险管理的组成部分;在适当风险评估的基础上对风险做出反应是企业风险管理的组成部分,而所选择的特定风险应对策略和相关的资源配置不是企业风险管理的组成部分;确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是企业风险管理的组成部分,而所选择的特定控制活动不是企业风险管理的组成部分。(2)内部审计与风险管理的联系。从上述企业管理与内部审计的研究中我们发现风险管理是企业管理的一种管理方法,它渗透到管理的各个环节,而内部审计也参与企业风险管理。二者都和风险管理相关,风险管理就是二者的交叉点。在市场经济条件下,风险是普遍存在的,风险是企业的一种特殊资源,可以给企业带来巨大市场商机,也可以给企业带来巨大灾难,关键是企业如何识别风险、评估风险、应对和规避风险(回避风险、防范风险、分散风险和转移风险),从而实现企业目标。为了实现企业目标,需要制定发展战略、人才战略、营销策略、改革措施等等,同时需要建立内部控制制度,加强企业风险管理。在企业风险管理中,企业管理层负责确定可接受的风险范围,建立健全风险管理机制并使之有效运行。企业管理层对待风险的态度将直接决定企业风险管理的程度,什么情况下采用激进的冒险策略,什么情况下采用稳健的避险策略,是企业管理层的责任。尽管风险管理是全员的,但是风险管理的责任主体是企业管理层。现在风险管理已成为内部审计的重要领域。内部审计涉足风险管理领域是社会发展的客观必然。在风险管理中,内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。但这绝不意味着内部审计部门不能作为直接的风险管理人,在必要的情况下,它可以直接进行
风险管理。内部审计介入风险管理是一个崭新的事物,对内部审计如何在风险管理中发挥作用是一个需要进一步深入探讨的课题。
(二)风险管理对企业管理和内部审计的影响(1)风险管理对企业管理的影响。全面风险管理对现有的企业管理起到的是提升、整合、强化的作用。现有的管理体系基本是对业务流程的管理,而所有的业务流程的管理中都应当有风险管理的内容。也就是说,全面风险管理为现有管理体系提供了基础和操作平台。从全面风险管理的角度审视现有的各种管理体系,可以看到许多应当改进的地方。因此,全面风险管理对现有的各种管理体系有提升的作用。现有的企业中的管理体系往往是互相重叠的、关系不清的。而全面风险管理体系的系统性强,覆盖了企业管理的各个方面,表现了现代企业管理的核心内容。所以,实施全面风险管理能够将现存的管理功能联系起来,协调相互不一致、不连贯的地方,将其去粗取精。因此,在企业现有的管理体系中进行风险管理有利于提高企业的管理水平。在企业中,现有的管理体系中风险管理功能欠缺及整个企业层面上控制风险功能欠缺,我们通过实施全面风险管理来强化企业管理的功能,弥补现有管理体系的缺陷和不足。(2)风险管理对内部审计的影响。内部审计参与企业风险管理,是由企业经营管理环境变化和对内部审计的需求变化决定的。对内部审计而言,选择积极参与企业风险管理,也是内部审计自身发展的需要,这一选择对内部审计带来了深远的影响。一是参与风险管理,对拓展内部审计工作范围的影响。内部审计参与企业风险管理必然会突破传统的财务审计范围,向企业管理的各个重要风险存在领域实施审计检查,审计的对象会发生很大变化,会超越财务会计范畴,更多涉及生产经营业务的操作管理。这为内部审计向更高层次、更大范围的发展提供了广阔的舞台。发达国家的企业内部审计已较早涉足企业的风险管理。内部审计参与企业风险管理涉足的宽广范围,使内部审计人员开阔了视野,丰富了知识,对提升内部审计的综合性管理层次具有重要意义。二是参与风险管理对提升内部审计工作价值的影响。为企业提供增值服务是现代内部审计发展的重要方向之一,而参与企业风险管理就为内部审计实现增值服务创造更多机会。对于一些可以量化的风险,通过审计准确的检查评价,揭示具体的风险并使企业及时采取措施,避免了风险和损失的发生,就可以直接为企业增加价值。对于制度、管理活动中的缺陷可能造成的风险,审计也应发挥建设性作用,帮助改善企业的内控管理系统,这也是一种间接的或难以量化的增值服务。内部审计切实在参与风险管理中为企业提供有效的帮助,它不仅会受到企业高层管理的重视,而且会得到广大被审计单位的欢迎和支持,内部审计的价值就会得到进一步提升和体现。三是参与风险管理对防范内部审计工作风险的影响。风险导向审计方法在现代独立审计业界普遍流行和得到重视,正是因为这种方法可以有效控制审计风险。它以审计风险评估为中心,哪里可能产生较大的审计风险,就在哪里投入较多的审计资源,进行详细的审计检查,使审计结果减少虚假错漏的风险。内部审计参与风险管理也有助于审计在反映问题的方向和准确性方面防范审计风险。因为企业的风险是客观存在的,通过审计如不能准确地反映企业的风险,事后企业的风险暴露造成损失,内部审计也会因失查而承担一定责任,这也是审计的风险所在。再此,企业的风险和审计的风险是密切相关的,关注和化解了企业风险也就减少了审计的风险。现代企业管理是一种系统性社会行为。它必然是一个以领导行为为主导,领导、经营、管理、治理相互交叉、相互统一的行为过程;也一定是一个以绩效为导向,结果、过程和目标相互交叉、相互统一的行为过程;是―个把内部审计作为有机组成部分的大管理系统行为。风险管理是企业管理的重要内容,内部审计参与风险管理是新形势下企业生存与发展的客观需要,也是企业管理层的内在需要。而企业内部审计是企业管理的子系统,企业内部审计的所有活动都要以改善管理绩效和增加企业价值为目标。
参考文献:
[1]张健刚等:《论现代内部审计与风险管理的协调整合》,《山东财政学院学报》2007年第1期。
