内部审计提高风险管理的可操作路径

       2001年安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示，使内部审计的作用得到了政府监管部门和社会公众的肯定，也使企业的决策层、管理层对内部审计的必要性和重要性有了新的认识。内部审计自此在英美制下的公司治理和揭露财务造假中开始扮演举足轻重的角色。
      有媒体统计，自赖昌星案发以来先后有40多个出逃海外的贪官，其中除了七个来自政府机构外，其他均来自国企。因此有学者表示，这充分表明国有企业“一把手”的监督处于空白，内部审计和监督无法起到应有的作用。
        内审部门提高企业风险管理的能力具体可操作的路径如下：

一、从“事后控制”到“风险防范”
     20世纪80年代以来，内部控制是企业管理的重要内容，检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。其主要原因是实施国际化发展战略使得企业的控制链大大延长；信息技术在经营管理中的广泛应用导致计算机犯罪增加。在这种情况下，企业开始注重风险管理，内部审计的重点也从以制度为基础审计（英国、澳大利亚等国的提法）或称内部控制评审（美国和加拿大的提法），转向风险导向计。

    目前，我国的国有企业股份制改革已进入了攻坚阶段，在国企改制的过程中同样面临着上述在20世纪90年代世界许多大公司兼并、重组和公司治理的过程中遇到的各种风险。而对于正方兴未艾的本土民营企业而言，借助资本的力量进行资产重组和构建更为合理的公司治理结构等都需要内部审计能够对这一系列新的挑战应对裕如。而实际上内部审计机构在企业兼并重组改制的过程中经常成为牺牲品，其主要原因除了内向性服务功能不足外，被访者一致认同的内审缺乏使之发挥能量的环境和合理的公司架构。
    二、非独立，不能审计
    内部审计在很多情况下不是论为董事会手中的“大棒”，就是成为内部矛盾集中的地方。因此，许多企业出于规避内部矛盾和成本的考虑通常外包给外部审计机构，而内部审计的部门就形同虚设。
    “萨-奥法案”的颁布弥补了美国公司治理结构的缺陷，要求公司董事会的审计委员会发挥更加积极的作用，并要求所有上市公司对其内部审计职能是否得到充分发挥出具有关的证明。该法案规定审计委员会的职责是：（1）从管理层之外的来源获得公司信息；公司内部审计直接向审计委员会报告工作；负责处理内部审计和管理层之间的分歧；建立一定程序，确保进行匿名或保密的投诉。（2）事前批准将由外部审计师提供的服务，包括聘用、解聘、监管和报酬，在外部审计和管理层之间构成隔离带。（3）从外部获得财务咨询，拥有聘用独立财务顾问的权利，在处理疑难问题时，可以不受管理层和外部审计的影响等。
   三、 内审、内控与CFO
    内部审计作为企业内部控制效果的检测器，控制环境是内部控制能否生效的最基本要素。在所有影响控制的要素中，公司治理结构不完善，董事会、监事会、经理层之间没有形成相互制约的权力制衡机制，导致少数管理者权力过分集中；管理层缺乏诚信或带头逾越内部控制，或缺乏有效的激励机制等，都会导致内部控制失效。
    内部控制的发展经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段。内部控制与风险管理的关系是一枚钱币的正反两面：控制适当，风险减少；控制过度，效率降低；缺乏控制或控制无效到处都可能出现风险。内控的效率和有效性是决定审计效果的重要因素。在公司内控体系框架设计中，内控部和各职能部门应实行‘裁判员’和‘运动员’的职责分离。

  对此，中国石油管道公司内部控制办公室流程与控制科科长滕洪军认为：“内控的任务是监控业务和财务风险，特别是财务报告目标的可靠性，而内审的职能则是审计内控的有效性，无论是内审还是内控都有许多工作是要和CFO的职责紧密相关的，因此三方之间的携手合作非常重要。”

四、咨询师 ：内审新定位

我国会计准则已经基本实现了会计审计准则的国际趋同，但内部审计标准与国际内部审计仍然存在较大的差异。
       首先应该明确在企业风险管理过程中CFO、管理层、董事会和内部审计人员各自的职责分工。CFO和管理层应对风险管理负责，其职责是制定本企业的风险管理政策和制度，负责实施并使之发挥作用；董事会和审计委员会的职责是判断本企业风险管理政策和制度的适当性，监督风险管理过程中的执行效果；内部审计人员的职责是定期进行检查和评价风险管理过程中的执行效果，发现和分析风险控制缺陷，向CFO、管理层和审计委员会提出改进风险管理的建议。从某种意义上说，这就是风险管理战略伙伴的关系。内部审计部门需要“自然嵌入”组织结构，建立良好的风险管理文化，共同处理和解决风险管理所要求的相应技术方法。
       传统的内部审计角色是企业内部的‘经济警察’；而在新形势下，要求内审部门除了继续扮演传统角色外，还要扮演内部咨询师、制度设计师和风险控制专家的多重角色。从而对内部审计师队伍的专业知识、业务技能、战略感知、行业了解等综合技能提出了更高的要求，由此也引发了企业内部审计部门功能的重新定位。此外，评价整个组织的道德环境也是内审部门的新职责。公司治理过程的有效性在很大程度上取决于企业文化。内部审计要帮助企业建立遵守法律的合规性文化；出现问题时要“吹哨”警告，内审人员就是组织内部的自行检举者。
      对这一新的角色定位，在2007年9月北京召开的亚洲内部审计大会上，国际内部审计师协理事会主席盖瑞·考克斯认为，再健全的法规体系也无法完全杜绝舞弊事件的发生，当有多个管理人员共同串通作弊时，设计再好的内控体系也会失效。但是，建立一个长效的能够持续发挥作用的内部控制体系，可以最大限度地降低公司丑闻的发生，减少企业舞弊的可能性。
       在法国，企业内部审计的目标是服务企业，帮助企业发现存在的风险并提出规避风险的建议。内部审计人员从风险分析开始，到对风险领域进行审计，最后与管理层沟通协商，提出了规避风险的建议，并监督其实施所提出的建议。内部审计部门甚至已经成为一个能直接创造价值的部门。例如，2003年法国铁路公司内审部门的投入产出比为1:10。内审部门能切实为企业带来效益。
      此外，有效预防和侦破舞弊事件对所有公司来说都是强制性的法律要求。安然、世通等公司舞弊案件的发生，除客观环境因素外，一个重要原因就是过度使用风险导向内部审计方法进行抽查确认，忽视了对舞弊线索的追查。
       IIA的相关报告表明，公司舞弊的现状是：公司每年因舞弊造成的损失占经营业绩的4%~6%之间。目前，IIA发动全球内部审计师开发有效预防损失和侦破舞弊的项目，包括编制旨在揭露舞弊的审计计划，要求关注点应从小单位的舞弊行为转向整体的舞弊环境；在完全不同的系统中增加预防舞弊的控制点；增加运营和财务系统以及商务过程的复杂性；寻找可能发生的舞弊迹象并进行审计，运用持续性监控的方法，有效地侦破舞弊阴谋。要求内部审计师应总结和概括典型的舞弊症状与测试方法，通过案例研究，掌握数据分析的技巧，向审计委员会报告控制环境，在内部审计实务中体现舞弊审计的要求。
      普华永道的调研报告显示，在亚太地区的许多大企业根本还没有设置内审部门，即使有，其职能也只限于简单的稽核检查。许多亚太地区的公司并不急于设立一个具有完善审计职能的内审部门，但是当这些公司开始向全球化扩张时，他们很快就能体会到拥有一个与公司战略目标和方针一致的、强有力的内部审计部门的价值和好处。基于这一考虑，68%的亚太地区的受访者表示，他们深信未来五年里，首席审计执行官在公司内所扮演的角色及价值将越发重要。而为应对未来的挑战，内部审计人员应具备的最重要的审计技能是：   1.数据采集；      2.风险评估；    3.信息技术；    4.风险管理    5.舞弊侦察。

从全球来看，内部审计将受到日益加剧的对公司治理、风险管理、内部控制和道德规范的关注的影响。而且整个亚太地区的法规日益严格，要求企业改进管理体系并增加财务报告的透明度。中国已要求所有的国有企业建立企业风险管理体系“机遇与挑战总是并存的，现在正是内部审计人员的最佳时机，发挥更大的作用，与管理层和董事会更密切地交流合作，成为风险管理的战略伙伴。”普华永道合伙人Dick Anderson总结道。