一、问题的提出 内部审计作为企业的“免疫系统”,是现代企业制度下公司治理的四大基石(董事会、高管层、监事会和内部审计)之一,对健全公司治理,促进公司稳健发展具有重要意义。 企业集团与一般企业相比,产业链条长、层级多、经营规模大、业务复杂,其经营与管控的特殊性,对内部审计提出了更高的要求,也为内部审计发挥“免疫系统”职能提供了广阔的舞台。在企业集团治理中,为了确保各经营主体获得对称、真实、公允的经营信息,调整和落实公司的实际控制权,必须有效开展内部审计管理。内部审计部门作为内部控制和风险管理牵头部门,只有通过其风险管理等各项增值服务,才能真正体现该机构在组织中的存在价值(王斌,2009)。随着风险管理过程的不断延伸,内部审计参与战略决策,对战略执行过程进行动态监督和控制,及时反馈战略执行效果,协助完善集团战略规划,已成为企业集团内部审计发展的趋势。 本文拟在分析企业集团内部审计管理特点的基础上,以价值和风险为考量,划分企业集团的内部审计运行主体,明确各层级内部审计的定位和工作内容,再造企业集团内部审计的运行机制,促进内部审计各层级更好地发挥增值功能。 二、企业集团内部审计管理特点 1.目标战略性。企业之所以会产生舞弊,最根本的原因是未实现其战略目标以致经营业绩不佳(池国华,2009)。伴随公司环境的变化,内部控制需要从财务报告导向向价值创造导向转型(李心合,2007)。由于集团公司经营范围广、业务层面内容复杂,公司的风险导向审计不能仅仅针对具体审计项目开展,而应是一个战略型的管理过程,应该更加注重其价值增值功能,更加注重与企业目标的契合(马剑华,2012)。 2.组织层次性。企业集团是多级法人结构的复合体,与一般企业相比,其特点主要表现为治理结构横向的完整性和纵向的层次性(雷新途,2005)。母公司作为财产的所有者需要了解各子、孙公司是否切实履行了受托经济责任,就必须拥有直接隶属于自己并对各子、孙公司的经营管理活动进行监控的专门审计监控机构和专职监控人员。伴随着企业集团规模的扩张,集团子公司的层级结构表现为“二级为主、三级为辅、多级并存的模式”(罗乾宜,2012)。内部审计机构通常采用“逐级双重管理”和“垂直管理”两种管理方式(郭旭,2012),从分工与协作的角度规定公司内部各成员间的业务关系,包括高层组织结构和执行层组织结构(程新生,2004)。 3.功能多元化。现代内部审计的基本职能是鉴证和咨询,这就意味着它不再仅仅是以前的监督和复核,也就是说将内部审计定位为一种价值创造活动,它的最终目的就是帮助实现组织目标——为股东和其他利益相关者创造价值(张伟,2004)。企业集团的内部审计将随着企业集团受托经济责任的发展,审计重点由财务审计向管理审计发展,内部审计应将目标定位转向管理审计,以提高企业经济效益为核心,将监督融入加强企业风险管理、完善企业集团治理和为实现企业经营目标提供价值服务之中(任志宏,2005)。 三、企业集团内部审计的鉴证、咨询职能——以价值和风险为运行主体 (一)价值考量 按照国际内部审计师协会(ⅡA)对内部审计的最新定义:内部审计是一种独立、客观的鉴证和咨询活动,目的在于增加组织价值、提高组织运作效率。企业集团以追求总体价值最大化为根本目标,从市场价值的视角看,企业集团总体价值由当前营运价值和未来成长价值构成。 为提高运作效率,维系当期营运价值,防止价值减损,内部审计部门需要履行最基本的鉴证和咨询职能,对组织的风险管理、内部控制、治理过程的有效性进行绩效评估,提供富有建设性价值的咨询服务。随着内部审计在公司治理领域发挥“免疫系统”功能不断延伸,内部审计越来越多地实施战略审计。战略是治理和管理的交叉,内部审计人员关注战略制定和执行中的重大问题、重大风险、各战略要素间的矛盾、对组织及其股东的影响,不仅有利于内部审计扮演好“治理变革促进者”这一角色,而且最终有益于组织营运的改善(王光远,2007)。在企业集团管控体系中,与集团战略决策相关的职能通常由集团总部统一行使。集团总部的内部审计组织参与集团战略决策,是内部审计控制关口向战略决策前移的必然要求,是内部审计服务于未来成长价值的具体体现。 (二)风险考量 现代风险导向审计,以防御组织目标实现的风险为依据确定审计项目,以组织进行的所有降低风险的活动为测试重点,评价降低风险措施的充分性和有效性(陈震晗,2009)。基于风险导向的内部审计,关注整个企业的风险,内部审计随着风险管理内容的延伸,从战略规划的风险控制一直扩展并细化至作业风险管理的各个流程,形成一条囊括风险管理全过程的内部审计链条。以风险防控链条为主线的内部审计,必须从源头上认识控制审计风险的重要性,将审计风险逐步由原来的事后控制转向事中直至事前控制。 就一般企业来说,完整的风险导向内部审计活动,应涵盖整个风险控制链条的所有内容。而对于企业集团特别是当今公司连锁一体化、集约化管控强化和跨国经营趋势日益显现的大型企业集团而言,本文认为,为保障内部审计资源与风险点相互匹配,最大限度地提高内部审计效率,集团总部与下属公司的内部审计活动,应根据风险控制点各有侧重。 (三)双层级主体——战略层与执行层 作为国家审计体系分支之一的内部审计,从诞生的那刻起就天然地与受托责任联系在一起,并成为一种确保受托责任履行的控制机制(王光远,2007)。随着组织内部受托责任层级和内容的变化,内部审计的运作不仅应能够将内部审计职能渗透至各种复杂层级的责任关系之中,而且应该满足各经营层级对受托责任履行的控制需求。