一、引言 “在银行和金融服务业初涉内部审计外包之后,零售和其他行业也纷纷效仿,一发而不可收。1997年,财富500强公司中50%都外包了内部审计的重要组成部分。”Eric2002年也提到“许多财富500强公司,包括麦当劳、惠普、时代华纳和PNC银行等都采取了外包内部审计业务的整合方法。在一些案例中这种形式在节省成本提高效益方面取得了成功。” 内部审计外包的兴起,引来了喋喋不休的争论。内审外包作为内部审计功能实现的方式,是否能够达到企业的目标呢?普遍接受的观点认为,内部审计的功能是内部控制框架的一个组成部分,旨在保证内部控制的政策和程序能够得到切实的执行,从而保证具体的各种内部控制目标的实现。这些目标包括:企业经营的效率与效果,相关报告的真实与可靠,法律法规得到有效的遵守等。如果内部审计外包有助于这些目标的实现,或者说对于合理保证这些目标的实现是有益的,至少不比传统的模式差,那么我们就可以说这样的做法是可取的。 基于以上的框架,支持内部审计外包的人认为内部审计外包显然是有益的。他们认为:(1)内部审计外包可以让管理层专注于核心竞争力的发展,可以提高企业的经营效率和效果。(2)有利于企业与先进的实务保持同步,无论对哪个目标都是有益的。(3)规模经济的实现,使同样审计成本的内部审计服务质量提高或同样内部审计质量的审计成本降低。(4)可以解决国际间文化差异带来的问题,达到更好的控制效果。 持反对观点的有关人士则不这么认为,他们认为:(1)假以时日,外包业务供应商有可能对内部审计服务索要溢价,甚至漫天要价,短时的效益可能带来长久的损失。(2)外部人员无法像企业内部人员一样熟悉公司的业务,经营效率的提高可能如空中楼阁。(3)内部审计部门作为公司内部中高层管理人员的培训基地的作用将不复存在,为小利而失大局。(4)内部审计的外包将会使员工的士气受到严重影响。 作为内部审计的权威组织,IIA的观点是逐渐转变的,这在其一系列的文件中得到了明确的表述。2002年11月21日,在一篇官方的文件中,IIA表示:“尽管IIA相信,内部审计功能由公司的内部部门执行是最有效的,我们也认识到在某些条件下,公司从第三方获取内部审计服务也是合适的。”2003年1月13日,在给美国SEC的文件中,IIA明确表示:“由于对独立性的损害,内部审计服务不能由审计公司财务报告的同一家会计师事务所提供。”2004年IIA再次表示,内部审计业务可由多个不同的主体提供,但仍强调了即使法律允许,考虑到其对独立性的损害,内部审计服务不能由审计公司财务报告的同一家会计师事务所提供。 2005年6月20日,IIA在一份官方文件中写道:“……内部审计多样化,给一些组织提出了这样一个问题,即如何在公司内部和外部审计资源之间寻求一种最优的均衡。”在同一份文件中,IIA提出,促进内部审计业务在协助组织达到战略目标时发挥全面积极的效用是其当前主要关注的问题。IIA还强调,只要内部审计业务由胜任的专业人士遵循国际内部审计实务准则进行,就会取得很好的效果。然而,不管内部审计的资源来自何方,对内部审计业务的监督和责任不能转移。充足的资源和具备专业胜任能力的内部审计执业人员与企业组织的整合就可以出色地完成内部审计业务。考虑到内部审计业务对于公司治理流程的重要意义,任何关于全部内部审计业务的委外提议应该得到审计委员会的同意,并要向董事会和其他治理团体报告。在这段文字的最后,IIA意味深长的写道:“不管是作为暂时的补缺还是作为长期的方案,外包可能都是为获取及时、专业内部审计服务和胜任的内部审计人员所不可或缺的方式。” 二、内部审计内涵的界定 有争论,就意味着有问题。有支持,说明内部审计外包确实有它的益处;有反对,也道出内部审计外包存在缺陷。但是无论怎样,内部审计外包现象的出现和愈演愈烈,已是不能回避的现实。形式之争,可以看做是内部审计业务不断完善和发展其职能的过程,也是不断加深和拓展我们对内部审计业务理解的过程。 传统的内部审计,是一种促进以财务报告真实、公允反映为核心的内部控制运行的有效工具,是内部控制的组成部分。由于对控制的理解局限于与财务报告相关的部分,忽视了风险管理、公司治理等重要内容,内部审计的传统观点难免狭隘。随着COSO报告对内部控制框架的构建,以及IASB(内部审计准则委员会)对控制概念的拓展,突破传统的经典管理理论中对控制的理解,把控制概念贯穿于公司业务的各个组成部分,内部审计获得重新定义。1999年,IIA的内部审计定义正是在这样的背景下给出的——“内部审计是一种独立、客观的鉴证和咨询活动,其目的是增加组织的价值和改善组织的经营。它通过系统、规范的方法评价和改善组织的风险管理、控制和治理过程的有效性,帮助组织实现其目标。” 从这个定义中,我们不难理解的是:(1)作为一种鉴证和咨询活动,内部审计已不再简单的依据其执行主体与外部审计进行概念上的界定,内部审计内涵的界定越来越侧重于其功能特性而言。(2)内部审计功能在公司治理机制中是必不可少的一个组成部分,正成为董事会、独立董事、审计委员会等公司治理团队获取必要信息的重要途径,更多地体现在了信息沟通之中。(3)内部审计的核心功能不是“查核”,而是公司的价值增值。内部审计在风险管理、公司经营效率提高、完成绩效评估和激励等多个方面,起着至关重要的作用,切实增加了公司的价值。正如时现指出的那样,内部审计具有“显性价值”和“隐形价值”。(4)内部审计作为一种制度安排,作用的充分发挥有赖于公司内外部的条件,有赖于其他相配套的制度安排,比如公司的股权结构、法律法规要求、文化理念等等都对内部审计造成影响。