众所周知,内部审计被誉为“整个公司的窗口”和“管理层的耳目”,被视为“企业良心”,是维护企业道德文化的最后一道防线。然而,就在本世纪初,随着以美国能源巨头安然公司为代表,瘟疫般的财务舞弊事件蔓延至世界各地,由此引发的社会问责声此起彼伏:企业内部审计是否形同虚设?为组织增加价值是否体现其应有之义?内部审计未来之路又在何方?……企业内部控制的失效及对其负监控责任的内部审计的失败直接催生了《萨班斯法案》,肩负企业警察与经济顾问于一身的内部审计一度成为实务界与理论界关注的焦点。 近年来,全球性经济危机又一次警惕了企业高管层风险管理的重要性,内部审计师不得再次重新审视内部审计在风险管理中的重要地位和深刻影响。面对企业内部审计事业迅速发展等新形势下诸多因素的挑战,2008年5月,我国财政部、审计署、证监会、银监会和保监会等五部委联合颁布了《企业内部控制基本规范》以规范内部控制来改善、提升企业内部审计,促使二者相互牵制。之后,2010年4月又发布了《企业内部控制审计指引》(以下简称《指引》),尽管该《指引》强调利用外部审计的力量加强企业内部控制,但内部审计也难逃己任。从长远来看,内部审计仍是企业内部控制得以发挥价值创造效用的强有力保障。因此,无论从公司发展的角度,还是从内部审计存在的价值立场上看,后安然时代的内部审计亟须进行一场新的变革,即观念上必须从传统的防弊兴利、价值保值转变为价值增值。价值增值型内部审计无疑为内部审计的健康成长注入了新鲜的“血液”。本文力求通过解读内部审计发展新模式,分析内部审计实现价值增值的路径。 一、价值增值型内部审计概述 国际内部审计师协会(IIA)是目前世界上唯一致力于推动内部审计和内部审计师向前发展的国际组织,自1941年成立以来,期间共发表了8个内部审计的定义,这些定义的修改和发展记录了内部审计前进的足迹。回顾国际内部审计师协会(IIA)2001年对内部审计的定义:“内部审计是一种独立、客观的保证与咨询活动,目的是为了机构增加价值并提高机构的运行效率。它采用系统化、规范化的方法对风险管理、控制与治理程序进行评估与改善,从而帮助机构实现它的目标”。由此定义不难看出,内部审计职能向价值增值拓展已经有了理论先导。如今,内部审计工作的目标、定位仍在继续发生变化:根据2011年1月份发布的新版《国际内部审计专业实务框架》,IIA再次强调内部审计的目的“旨在增加价值和改善组织的运营”,而所谓“增加价值”是指“内部审计通过确认和咨询服务,增加组织实现既定目标的机会,确认运营的改进,并/或降低风险暴露的程度,从而为组织创造价值”。现代内部审计职能随赋予其新的目标内涵逐步向价值增值演化。与传统的内部审计相比,价值增值型内部审计已不再局限于防弊兴利,而是将重点转移到如何实现价值增值。 增值型内部审计在我国的总体发展速度比较缓慢,水平比较低下且实践落后于西方国家。但进入二十一世纪后,国内学者对此课题的研究取得了可喜的成绩,对增值型内部审计有了较为深刻的认识。概括起来,可归纳为以下几点:(1)基于受托责任关系,内部审计本质上是一种公司治理活动。内部审计通过评估并反馈代理人的受托责任履行情况,以此缓解“代理问题”,净化公司内部运作环境,从而更有效地达到公司治理的目的。(2)内部审计以增加组织价值为目标,为实现这一目标,内部审计应当通过评价和改善组织的风险管理,内部控制和管理过程的有效性,帮助组织改善经营管理,实现价值最大化。(3)内部审计服务价值增加与公司经营管理目标是吻合的,即价值创造的过程伴随着经营目标的实现,最终意味着公司市场价值的提升。 综上所述,可以看出,增值型内部审计对于改善公司治理、完善内部控制等方面起到越来越重要的作用。一方面,内部审计在发挥公司自身免疫系统功能基础上,促进公司新陈代谢,为公司的发展注入新的“营养”。对公司内部审计理论的研究,促进内部审计的发展提供了理论上的指导。另一方面,由于内部审计在企业经营管理中处于极其重要的地位,既是企业内部控制机制的重要组成部分,又是监督与评价内部控制的重要手段,因此,探索内部审计的增值有用性对于内部审计职业的健康发展亦有着十分重要的实践意义。 二、价值增值型内部审计未来方向选择 国内外研究学者普遍认为内部审计增值功能的发挥途径主要是完善内部控制、加强风险管理、促进公司治理流程改进和综合性增值四个方面。根据内部审计的最新定义,内部审计通过采取一种系统化、规范化的方法,来评价企业的风险管理、控制和治理过程,从而实现价值增值目标。由此可见,内部审计的增值途径是多种多样的,并不局限于某一固定模式。文章主要立足于内部风险导向和战略管理来阐释内部审计实现价值增值的未来发展趋势。值得注意的是,本文所及内部风险导向是指现代内部风险导向审计。 (一)风险导向内部审计。风险导向内部审计,顾名思义,就是要以组织内部风险为中心,制定审计计划及实施审计程序以此来开展内部审计工作。尽管内部审计引入风险导向模式已有一段时间,以20世纪90年代为分水岭,风险导向审计模式又进入了另一个新时代,与此相对应的便是传统风向导向内部审计。就审计流程而言,传统的风险导向内部审计以企业内部控制为测试起点,分析内控存在的薄弱环节,测试其是否能够足以防止、发现并纠正组织面临的风险。就此而言,传统的风险导向内部审计并没有真正实现以“风险”为中心,目标与风险之间并不一定呈现对应关系,原有内控只是具有普适性,缺乏针对性,难免会出现内控失控的尴尬局面,仍然是以查错防弊为主。因此,价值增值难以实现。现代风险导向内部审计则完全持相反的审计思路,即首先根据企业身处的市场、法律环境明确组织制定的目标是否合理,然后分析目标实现过程中的各种潜在风险,以风险的发现、防范及应对为工作重心,有针对性地制定科学有效的内部控制措施,以确保组织目标的实现。与传统的风险导向内部审计相比,现代风险导向内部审计不仅测试流程发生了截然相反的变化,更重要的是审计思路发生了新的变革与创新,体现了现代内部审计与传统内部审计的本质差别。毫无疑问,处于公司监控与管理第一线的内部审计部门就要有高度的职业责任感和敏锐性,将审计目标与组织目标相统一,紧紧围绕公司经营风险的识别、评估和防范,计划和实施审计工作以应对各种不利因素,使组织面临的风险转化为潜在的利益,既而实现组织价值增值的目的。