中小企业内部审计工作经历了几个阶段,一直立足制度化、规范化和管理化,随着经济的迅猛发展,企业从完善风险管理和内部控制出发,对内部审计提出了新的更高的要求。企业应在实践中不断创新管理,更大地实现内部审计的内在价值。
内部审计从产生到现在,已经历了财务收支审计、经济效益审计、内部控制审计和企业风险审计四个阶段。在每一发展阶段,内部审计都要立足制度化、规范化和管理化。本文从满足管理需要出发,结合中小企业经营情况,阐述了中小企业内部审计机构的设置、工作模块的设计和风险管理的创新。
一、 定义
1999年6月,国际内部审计师协会理事会投票通过了内部审计新定义和新的专业实务框架。基于风险管理的内部审计全新定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法、评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。从以上定义可以看出,内部审计既是企业内部控制的一部分,又是企业内部控制有效性的鉴证者,参与企业内部控制体系建设,确保企业内部控制持续有效运行,既是企业内部审计的法定职责,也是企业内部审计的发展契机。
二、我国中小企业内部审计的现状及形成原因
我国企业的内部审计是由各部门、各单位内部设置的审计部门进行的审计,是内部监督的重要形式。
1、审计独立性受到制约。很多企业的内部审计机构由主管财务工作的副总经理同时分管,内部审计的独立性受到制约。
2、审计范围受到限制。目前,大部分企业设置内部审计人员,主要目的是为了保证企业财务数据的真实性、合法性,工作也只是集中到财务领域而未深入到管理和经营领域,审计范围受到一定的限制。
3、审计方法、手段落后。传统的审计方法以账户基础审计、手工审计为主,不利于审计效率和效果的提高。
4、审计人员业务能力有待提高。企业现有内部审计人员大部分都是从财务人员中调配,业务水平未提高到管理的全方位。
三、中小企业内部审计管理创新
1、审计理念的更新化管理
内部审计的范围、职能随着市场环境的不断变化,从最初的查错防弊(财务收支审计),到现在的内部控制审计以及企业风险审计,在实践中已经得到了验证,中小企业开展内部审计工作首先应该重视这些审计理念,并运用到实践工作中去,才能真正发挥内部审计工作的价值。
首先就是内部审计的定位问题:内部审计是内部控制的组成部分,也是评价内部控制的手段。要知道,内部控制系统是实现企业价值的重要保障,而内部审计又是企业内部控制有效性得以实现的重要桥梁。只有基于内部控制基础上的内部审计才能更好地为企业价值增值服务。
二是内部审计的审计范围:从财务审计转向管理审计。早在1993年国际内部审计师协会就明确指出:“内部审计的目的是协助组织的管理成员有效地履行他们的职责”。它表明了内部审计是管理的延伸,是管理活动的重要组成部分。内部审计的范围从经营审计扩大到了管理审计,内部审计不仅包含财务审计、经营审计,更重要的是一项包含内部控制审计、管理审计在内的综合性审计工作。
三是内部审计的审计职能:从监督职能转向服务职能。上海财经大学徐政旦教授在其《审计研究前沿》(2002 年版)一书认为:“内部审计的基本职能是监督、公证、评价和建设。”内部审计在监督职能之外提供评价职能的合理比例,形成科学的职能组合,是审计职能拓展的正确方式。现代企业制度下我国内部审计工作的重点必须从单纯的“查错防弊”转向为公司内部的管理、决策和效益服务,把传统的监督检查职能拓展到为经营管理服务上来,将工作范围从内部检查和监督向为企业提供增值性的服务职能扩展,使内部审计成为一种渗透到整个生产经营管理领域中的经济监督、评价和管理活动。因此中小企业要不断通过增强服务意识,引导内部审计职能向服务职能转化。
四是内部审计的审计范畴:从经营层业务导向审计转向战略层治理导向审计。长期以来,我国内部审计一直处于经营层业务导向审计的范畴,许多企业的内部审计机构隶属经营层(总经理)领导,这样内部审计的地位便限制在经营层业务导向审计上,而战略决策层相关的审计成为了内部审计的盲区。要彻底改变以上现状,就必须按照前述图1所示(内部审计机构的设置示意图),建立内部审计部门向董事会(审计委员会)和经营层(总经理)双轨报告、双重负责的管理模式,提高内部审计的独立性和权威性。从而使内部审计的范畴从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。
2、审计制度的规范化管理
制度是基础,规范是保障。任何企业只有将制度规范化,才能更好保障机制的有效运行。
首先要建立健全内部控制制度,保障切实可行。2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》(18个应用指引,1个评价指引和1个审计指引),连同2008年6月发布的《企业内部控制基本规范》,标志着我国内部控制规范体系基本建成。《企业内部控制配套指引》的出台,对我国企业内部控制水平具有重要指导意义,企业应该抓住机遇,认真学习基本规范及配套指引,结合企业实际,做好内部控制的建立和完善工作。
二是建立上下一体的内部审计体系,实现内部审计的服务职能。内部审计需要在工作实践中不断发现问题、并针对问题提出切实可行的解决方案,因此了解和沟通是必不可少的。内部审计应通过自身努力,做好各部门之间的沟通工作,并让管理层和各部门了解并重视内部审计,继而营造出良好的审计环境,更好地为企业服务。
三是建立员工培训长效机制,提高内部审计人员素质。责任过硬、服务水平过硬、服务意识过硬这是新形势下对内部审计人员提出的要求。内部审计人员不仅要具备财务知识,更重要的是要全面了解和掌握法律、工程、基建等专业知识。企业首先应高度重视内部审计人员的队伍建设,同时建立员工教育培训长效机制,为内部审计人员提供有效的培训服务,通过各种形式的培训活动,提高内部审计人员业务能力。
3、审计系统的信息化管理
充分利用现代信息技术,是企业推进内部审计信息化进程的重要手段,也是提高内部管理信息化水平的重要保证。根据《财政部关于全面推进我国会计信息化工作指导意见》之要求,企业应从以下几方面着手,全面推进内部审计信息化管理。
一是审计方法的精细化管理。传统的账户基础审计、手工审计,虽然曾经带来一定的审计成效,但随着办公自动化、信息化的引进,原有的审计方法已无法适应新的形势。企业应适时引进计算机辅助审计、风险导向审计等现代化审计方法,提高审计质量和效率,促进审计方法的精细化管理。
二是审计流程的信息化管理。根据信息化管理的要求,企业可以在整个审计过程中,从审计计划的制定到审计业务的开展,从内部控制的测试到实质性审计程序,从审计证据的搜集到分析复核,从审计工作底稿的编制到审计报告的形成等各个环节都运用计算机辅助软件形成标准的审计程序,将现有手工执行的审计测试、分析等工作自动化,提高审计效果。
4、审计模式的风险化管理
20世纪90年代,随着经济的快速发展,企业对风险的认识发生了很大的变化。美国COSO委员会《企业风险管理整体框架》的出台,标志着内部审计风险管理基础审计的基本形成。
美国前投资银行巨头雷曼兄弟事件相信大家并不陌生,雷曼兄弟长期以来依靠名叫“回购105交易”的金融衍生品来粉饰财务报表。为其提供审计服务的安永会计师事务所在风险导向审计中迷失了方向,对重要性项目未给予足够重视也未履行适当的审计程序,从而导致了审计失败。从雷曼事件中可以看出,企业积极探索财务风险管理、业务风险管理、流程风险管理、以及战略风险管理等整体风险管理体系,有着重要的意义。
内部审计是企业风险的监督者,也是企业价值的增值服务者。《企业内部控制基本规范》第二十六条规定:企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。因此内部审计不仅要关注局部风险,更重要的是关注整体风险。
5、审计工作的过程化
管理一是内部审计要加强合同管理。企业所有的经济活动都是以经济合同为起点,内部审计要积极参与合同的谈判、签订、执行等全过程。
二是内部审计要关注审计全过程。内部审计要贯穿整个业务的事前、事中、事后。首先要评价公司治理结构,测试内部控制的有效性,强调事前的预测;其次要了解整个业务流程,掌握业务关健控制点,着重事中的监督;最后要重视后续审计,实现审计事后的反馈。在实践工作中要加强内部管理,做到事前、事中、事后审计相结合,并有所侧重:事前审计的重点是对投资决策、可行性论证以及资金来源等方面;事中审计侧重于对项目的管理特别是责任成本管理,并对项目阶段性效益进行认定;事后审计主要是对整个项目的考核与评价,以便及时发现经济活动中存在的问题和不足。
三是内部审计要重视审计整改。下达审计结论,最终目的是为了审计整改,如果仅仅停留在审计结论上,而不从根本上重视审计整改,那么可以肯定地说内部审计没有发挥有效的监督作用。
综上所述,内部审计从审查财务收支,到评价和改进风险管理;从监督职能到为管理服务,内部审计的职能和范围已经大大拓展。