2018年1月,审计署颁布《审计署关于内部审计工作的规定》(审计署令第11号,以下简称“内部审计规定”),明确要对单位的财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位完善治理,实现被审计单位的经营目标。内部审计规定的出台,对我国企业内部审计提出了新目标和新要求,也意味着我国审计监督工作进入了全面覆盖的新时代。2018年5月,中央审计委员会第一次会议指出,要发挥审计监督在党和国家监督体系中的重要作用。作为十九届三中全会后新成立的中央级专门委员会,中央审计委员会除了要加强党对审计工作的领导之外,最重要的是要通过内部审计促进企业持续健康发展。企业内部审计作为企业内部控制、监督治理机制的重要组成部分,能够利用科学的审计方法,对企业的业务流程进行控制,从而实现管理优化,提高企业的经济效益。 作为监督体系的重要组成部分,内部审计在企业治理中的作用至关重要。尽管经过事后审计和评估,财务风险可以通过金融审计手段被有效控制,但因为没有按照严格的规范进行操作,或是对细小失误的容忍,容易导致企业面临更为严重的法律风险。法律框架的搭建与法律文本的审核,只能从法律规范上防控企业可能出现的风险。外部审计对财务信息的数据采集,也只能从财务收支视角防范企业现金流量风险。而内部审计,独立于财务部门,又区别于法务部门,其通过权力制衡,实现财务部门与法务部门的融合,并将其他业务部门的流程规范进行综合考量,从企业运营全局的高度,规避企业法律风险。相对于外部审计来说,内部审计作为企业的组成部门,可以深入企业的各个部门与各种活动,对企业的各种风险及早识别、及早解决,促进企业合规合法经营,提高企业的管理水平,规避企业法律风险。 一、内部审计与企业法律风险作用机理 2017年9月,COSO①发布了最新的《企业风险管理框架》,对企业风险管理进行了详细的阐述,认为企业法律风险的规避可以从三个层面展开,即业务活动、辅助活动和内部审计活动。作为一种监督机制,审计活动历史悠久。但审计的概念却众说纷纭,学界比较公认的审计概念出自《美国基本审计概念公告》,其指出,审计是指查明和确认有关经济活动、经济现象与其目标是否一致的过程。根据启动审计活动的主体不同,审计分为外部审计与内部审计。早在2003年6月,我国发布的《内部审计准则》指出,“内部审计是组织内部做出的一种独立客观的监督和评价活动,它通过审查和评价经营活动与内部控制的合理性、合法性与有效性来促进组织活动的目标实现。”2011年1月,国际内部审计师协会将内部审计重新定义为,“旨在通过独立、客观的确认和咨询,改善组织的运营和增加组织的价值。”虽然中国内部审计协会与国际内部审计对内部审计的定义存在部分差异,但是两者都共同指出,内部审计能够促进组织的目标实现和价值增加,从这个角度而言,规避法律风险也是组织追求的目标之一。 在企业的日常运营中,很多因素会引发法律风险,而且这些因素贯穿于企业运营的每一个环节。例如,企业股权结构风险、资金来源风险、投融资风险、人力资源风险、产品质量风险、知识产权风险、财务收支风险等。不可否认,以上种种风险都可以通过合同管理进行规避,企业的法务部门对解决以上风险通常具有丰富的实务经验,设置法务岗位或者聘任法律顾问,是企业常用的手段。然而,作为内部控制的重要手段,内部审计通常只会运用在财务收支风险控制上。在业务流程管理上,很多企业甚至将内部审计与法务控制割裂开来。然而,内部审计与法务控制两者应是互相促进的关系。首先,法务工作评价是内部审计的目标。如果一个企业成立了法务岗位或者聘任了法律顾问,那么,法务岗位的工作业绩、法律顾问费用、维权经费和诉讼费用,均可能是内部审计的目标范围,审计工作人员对这些数据的分析可以为法务工作的改进提供相关建议。其次,对法务工作的审计可以提升内部审计的法律素养。企业的内部审计人员,通常储备了充足的会计、审计专业知识,在对法务工作进行内部审计时,要求审计人员掌握基本的法律常识,对特殊领域还需要了解与企业主营业务密切相关的法律知识,方能够评价和监督法务工作,进而有效评估法律风险;再次,内部审计自身法律风险的规避是内部控制价值提升的重要途径。企业运营过程中法律风险无处不在,内部审计自身也可能会导致法律风险。企业在确立审计目标和制定审计计划时,可能会联合法律工作人员共同组成审计小组,对企业重要的业务领域、关键的财务收支环节进行指导,有效规避法律风险,使内部审计更具针对性和时效性,从而有效提升内部控制的价值。由此可见,企业在运营的过程中,无论是对外的经营还是对内的管理,每一个环节都受到法律的约束与限制。但是,在企业运营过程中存在的法律风险,是完全可以通过内部审计识别、预测和防范的。同时,内部审计在企业的运营过程中,也是多角度、全方位地其贯穿于的所有业务流程,从企业成立、材料采购、产品生产、销售、结算到投融资甚至企业退出市场。在这过程之中,对每一环节的内部审计均可以对企业的法律风险进行检测与监控。 二、内部审计规避企业法律风险的作用阶段 按审计实施的时间阶段划分,企业内部审计可以分为事前审计、事中审计与事后审计。内部审计对企业法律风险的规避,也贯穿于企业运营的不同阶段,可以从事前、事中与事后三个时间点结合内部审计对企业法律风险进行规避。 (一)事前审计对企业法律风险的规避