何谓内部审计?中国内部审计师协会对其有清楚的定义:“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理的效果,帮助组织实现其目标”。从其定义不难了解,内部审计需要通过“独立”的活动,来协助企业改善运营和增加价值。 那么,中国内部审计是如何发展?其独立性又是如何呢?随着中国内部审计历史的演进,我们将与您分享中国内部审计浮浮沉沉的发展过程,并通过“独立性”这一窗口,透视中国内部审计的昨天、今天和明天。 追溯内审发展历程 国家审计阶段(1983年以前) 从新中国成立至1983年8月的34年间,我国一直没有独立的政府审计机关,因此国家财政收支的监督工作,主要由财政部门内部的监察机构负责。在这样的背景下,内部审计职能是透过国家的监察机制得以实施;此外,当时的国营企业也几乎没有内审部门的设置。换言之,在1983年之前,不论在政府机构或国营企业,皆没有内部审计职能可发挥的舞台,因此,对此年代的内部审计的“独立性”就无从也无需着墨了。 内审建立阶段(1983年-1994年) 1983年9月,审计署成立后,国家即针对国营企业和行政事业单位制定了一系列的法规,基本确立了我国内部审计制度。至此,内部审计得以“名正言顺”的发展。与此同时,与内部审计相关的机构也在我国萌芽,中国内部审计学会的成立是我国内部审计发展的重要里程碑之一。同年12月,中国内部审计学会加入国际内部审计师协会(IIA),成为其国家分会员。在这一阶段,内部审计功能虽然已在我国建立并逐渐发展,但尚没有相应法律来确立其地位。就企业而言,大多数的精力还是致力于业务的开拓和发展,所以,有些企业的内审部门仍依附于财务部门之下,或直接由财务部门执行此职能,甚至许多企业根本没有内审功能的设置,因而,内部审计的独立性仍十分薄弱。 内审确立阶段(1994年-2002年) 直到1994年《中华人民共和国审计法》的颁布,中国内部审计的法律地位才得以确立。1995年7月,审计署发布了《审计署关于内部审计工作的规定》,对内部审计的定义、机构的设置、职责、权限、审计任务、工作程序以及职业道德等作了全面具体的规定。紧接着,会计法、中国人民银行法、上市公司章程指引、上市公司治理准则、信托投资公司管理办法、国有重点金融机构监事会条例以及企业国有资产监督管理暂行条例等相关法律法规也都对“内部审计工作”做了相应的规定。至此,企业开始重视内部审计的角色和职能,基于内部审计的独立性要求,许多企业的内部审计功能不再依附于财务部门,也不再由其代为行使。 后安然时期(2003年至今) 随着美国安然公司、世界通讯公司财务舞弊事件的曝光,美国和其他相关地区的投资人信心受到重挫。美国于2002年7月30日出台了由美国总统签署的《萨班斯—奥克斯莱法案》(Sarbanes-Oxley Act),它强调公司治理对企业的重要性,其中包含对审计委员会和内部审计职能设置和其他相关的要求,也再次唤醒企业、投资大众和企业相关利益团体等对内部审计功能的重视以及对其定位的深思。 中国内部审计也直接或间接地受其影响,开始快速发展。截至2005年底,中国内部审计协会陆续颁布了中国内部审计基本准则、二十项具体准则和两个内部审计实务指南,对中国内部审计的基本概念、内部审计活动的目标、宗旨、范围、性质与功能等皆有所指导,也为中国内部审计活动和工作的有效开展提供了一套完整、科学、权威的准则。大多数企业也认识到内部审计是企业中不可或缺的一个重要环节。另据不完全统计,截至2006年,中国企业建立内部审计职能的已达7.3万多个,而内部审计人员的人数更高达20多万人,此外,内部审计的独立性也不断被相关监管机关、学术机构以及企业所重视。 2008年5月,财政部等五部委共同制定了被称为中国的“萨班斯法案”的《企业内部控制基本规范》。规范第十五条明确规定:企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。此规范的颁布,是中国内部审计发展的另一个重要里程碑,至此,内部审计的独立性和客观性,已被视为建立企业内部控制是否完善的必要评估条件之一。 展望未来发展趋势 当美国企业的内部审计工作已逐渐从专注于“萨班斯法案”的合规工作,回归到传统的内部审计工作之际,展望我国内部审计的未来,会呈现怎样的趋势呢? 着重成本与经济效益平衡以及风险管理的审计。 随着经济全球化的发展,企业所面临的经营风险越来越大,风险控制成本也逐步增加,然而企业的资源是有限的,如何以最低或合理的成本有效地管理风险,成为内部审计工作的重要课题,同时也是对内部审计人员能力和专业技能的一大挑战。此外,如何执行风险评估?多久执行一次?如何确认企业该关注的风险都已被关注?风险容忍度是否合理?如何确保风险评估结论的关键风险正是企业应关注的关键所在?所辨识的关键风险应该以怎样的方式处理(如消除、转嫁、降低或者直接承受),才能协助企业达成其目标?一连串让人应接不暇的问题,却是未来内部审计工作中所必须面对的,并且必须以实实在在和稳扎稳打的态度来谨慎应对。国外审计实践清楚说明,风险治理已经越来越多地纳入到内部审计的工作范围内;而国际内部审计师协会对内部审计的最新定义也进一步明确了此项内容。