2011年度,是美国PCAOB采取强硬措施、加大执法力度的一年,也是美国公众公司在内部审计方面投资最多、成本最大的一年。各个公司千方百计地优化公司治理,强化内部审计工作,极大地改变了内部审计的思路与方式。公众公司不折不扣地贯彻落实双重审计制度(财务报告审计与财务报告内部控制审计),内部审计人员鉴证管理层的评估报告并且及时对外报告,对外公布的年度报告中客观、全面地包括了财务方面内部控制有效性的内容,等等。所有这些措施都是把一直以来被视为公司最高级别的财务秘密全部暴露在阳光之下,极大地提振了社会公众对于美国资本市场的信心,提高了公众公司的财务报告的公信力。具体措施如下: (一)进行一次风险评估,然后有针对性地采取措施。随着市场竞争的加剧,企业在经营过程中所面临的风险也在不断增加,这就要求企业内审人员务必强化风险意识,及时甄别企业所面临的各种风险,以便防患于未然。虽然企业的管理层对于风险评估、内部控制负主要责任,但是,内审人员从审计的角度对于企业风险进行再评估,可以进一步减缓风险发生的概率。从内部审计的角度可以采取如下措施:合理设计内部控制评价标准;合理制定内部控制与内部审计步骤;认真测试和评价内部控制结构的合理性;认真测试和评价内部控制执行的有效性;及时发现问题,及时纠正。 (二)及时发现与确认风险的苗头,努力做到防患于未然。内审人员需要仔细、认真、善于思考问题、发现问题,留意个别细节与细小的苗头,及时发现并确认已经出现的风险萌芽及其因素。这不仅仅是把握预知的风险,更不应该是等待风险已经演变成实际损失才“雨后送伞”。内审人员必须熟悉公司的经营管理全过程,收集信息,有效预测与善于识别风险。内审人员需要深入到经营管理的各个部门,从评价各部门的内部控制环节与制度入手,在生产、采购、销售、财务、人力资源管理等各个方面进行风险预测和识别,提示管理层相应地调整经营策略和强化内部控制,并预先甄别出可能出现的风险。 (三)将风险因素以发生的概率大小进行排序。内审人员必须把全公司的风险因素根据其发生的概率大小、时间先后来进行排序。这个排序并不是一蹴而就,而需要进行动态管理,因为各种因素是在不断发展变化的,所以至少每季核查一次,重新排列一次。如果问题比较严重,就需要每周核查一次,然后,根据新情况、新形势进行重新排序。 (四)认真贯彻落实《萨班斯法案》。于2002年7月正式获得通过的该法案又名《公众公司会计改革与投资者保护法案》。该法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者利益及其他目的”,突出强调了上市公司内部审计独立性的法律责任。各上市公司为了完成该法案中所要求的达标任务,支出的人力、物力和时间成本都非常大。根据国际财务执行官组织(Financial Executives International,FEI)对217家平均年收入为50亿美元左右的上市公司进行调查,因为遵循该法案内控强制规定的平均成本上升了496万美元。按照这个法案的要求,公司需要自查自纠,尤其是上市公司必须严格执行。内审人员需要合理安排资源,认真平衡内部审计的成本、效率、效果三方面关系,以确保财务报告的真实可信,并使得财务与会计业务符合法案要求。 (五)准确评估企业IT技术的安全保密发能与指标。就如同大部分企业风险一样,内部审计人员并不对IT风险负主要责任。但是,最近几年,IT已经成了企业管理的高风险区域。2006年2月,美国注册会计师协会(AICPA)和加拿大注册会计师协会(CMA-Canada)联合出版了内部审计指导书《信息技术评估实务》,它适用于美国和加拿大的企业应用信息技术的经济效益评估工作,是企业内审人员如何对企业投资进行价值评估的基本制度和重要依据。因此,内审人员应该关注并提供独立的安全检测审计措施,所以内审人员要问:谁有可能进入我们的系统?什么时候进入?他们试图得到什么?那些东西对于我们重要吗?我们知道法律有关公司保密的条款吗?目前还有哪些问题尚待进一步落实与研究? (六)内审人员需要与其他领域的控制人员协同一致,齐抓共管。一个成功的企业必须有几个团结的核心团队在努力工作,内部审计部门作为决策者的参谋部门,内审人员应充分运用三维立体的思维方式、敏感快捷的反应速度、训练有素的业务操作技能在各职能部门之间、在各环节流程之间充分发挥协调作用,促进企业形成团结、协作、高效的团队。内审人员不应单纯地对企业财务收支、会计信息质量和经济责任进行审计,而应不断地拓宽审计范围与领域,站在企业战略发展的高度,从经营者、管理者的角度通过审计分析,为高层决策提供参考,为企业可持续发展服务。我们的内部审计工作做得怎么样?本公司其他部门对于我们的满意程度就是最公正的评价。工作好坏的分水岭是:内审人员是在支持、协助其他部门的工作,还是在有意无意地妨害其他部门的工作?或者是对已经调查、了解的其他部门的问题,是否进行了有效及时地处理、反馈和及时向上级部门反映? (七)提高各项交易业务检查与检测的频率。目前,许多美国企业实施全天候24小时的业务监控,信息交换与信息处理结果及时在各个部门的计算机终端显示。内部审计部门检查检测的重点部门是产品销售与材料采购,测试与抽查高风险交易业务的次数越多,发现问题的机会就越多。如果抽样测试的不仅仅是30笔业务,而是30万笔业务,结果如何呢?量变引起质变,那么内审质量与效果非常好是不言而喻的。 企业为了检查、确认和防止员工的欺诈、误用、错误等行为,一般都要采用那些具有可以进行全面、全天候、可连续监督特点的财务应用软件来建立健全内控机制,比如加特纳集团公司(Gartner Group)开发ERP应用软件就有这个功能。企业必须有一个自动、不干扰财务系统正常运转、全程控制的审计机制来检测员工行为,重点是支付系统的人和事。这样的全程监督具有极大威慑力,它可以帮助内审人员督促管理部门建立起自动纠错机制。实践证明,交易业务的全程监督可以非常有效地确认与防止系统之内的欺诈与错误。