4 国外内部审计的发展及启示
4.1 国外内部审计的发展历程
西方内部审计的产生和发展,是经历了一个漫长的历史过程,主要经历了古代、近代和现代三个历史阶段。
4.1.1 古代历史的内部审计
内部审计的历史久远,其最远的渊源可以追溯到远古时代末期。大约在美索布达尼亚文化时期,一个记录官编制的经济事项汇总表要由独立的其他人来复核和求证;古代埃及和希腊也有类似的历史记载;在古代罗马时期,大家采用“听证贱目”的方式来检查负责财务事项官员是否存在欺骗和舞弊行为。
发展至中世纪,西欧的“寺院审计”及“行会审计”、英国的“庄园审计”发展起来,促进了内部审计的进一步发展。它们的主要特征是由于私有财产较多的所有者,往往委托给代理人进行管理,并委派自己信任的人以第三者的身份证对代理人的会计账簿进行检查,主要目的是了解和检查受托人的诚实性。
4.1.2 近代历史的内部审计
18世纪60年代至19世纪的30. 40年代的英国工业革命、19年世纪后半期美国铁路网络的形成,分别带动了内部审计的进一步前进。但这时期,内部审计呈现出活动带有很大局限性、地位不高、程序和方法不规范等特性。
进入20世纪,特别是第一次世界大战之后,随着企业组织规模的进一步扩大、管理层次和经营业务日益增多和复杂,一些资本相对集中、规模较大的集团公司开始设立专门的内部审计机构,来了解管理当局关注的诸多问题,如各级管理人员所做的各种形式的汇报是否真实可靠等等。
到20世纪40年代初,在美国,内部审计制度开始初步形成,主要目的是查找错误、防止舞弊,并逐步往经营管理领域延伸。
4.1.3 现代发展的内部审计
内部审计的系统理论,形成于20世纪40年代,其带有标志性的事件有:内部审计专着《内部审计的原理与技术》由John·B·Thurston在1941年完成;内部审计师协会诞生。
1941年以后,尤其是第二次世界大战结束后的20年里,伴随着经营地点的分散、业务日益多元化和复杂化,企业管理当局要求内部审计机构把主要精力放在经营管理领域,要满足内部组织的各种服务要求,当然,内部审计机构也慢慢发现和抓住了这次事件机遇,由传统的财务审计向经营审计进行了过渡。
20世纪60、70年代以来,随着人们越来越关注生态环境、企业内部治理,促使了美国内部审计出来了环境审计、内部控制审计等新形势,带动了内部审计工作向纵深发展,从而促进了世界范围内的内部审计理论和实务工作的全面发展。
4.2 内部审计的国际经验
众多优秀公司在内部审计工作积累了丰富的经验,展现出了与公司目标相符的审计做法。本节分别选取了美国的VISA公司、日本的索尼公司,介绍它们内部审计的优秀做法,期待从中得到启发。
4.2.1 Visa国际组织的协作精神,助内部审计团队稳跟风险评估最前线
Visa国际组织是一家跨国零售支付技术公司,令消费者、企业、金融机构和政府得以使用电子货币代替现金和支票。Visa国际组织不单为金融机构客户处理业务,也提供多种例如借记卡等的支付选择,并且是Visa品牌的所有者和管理者。遍布全球超过200个国家和地区的数千万名商家和190万部自动柜员机都接受以Visa进行交易。
Visa拥有全球最大的零售电子支付网络,在截至2012年12月31日的自然年度所处理的Visa支付和现金支出交易高达6. 4万亿美元。Visa在经营近50年后于2008年上市,成为美国历史上规模最大的IPO。公司公布的2012年财政年度营业收入超过100亿美元。Visa的总部位于美国加州的福斯特市,全球员工人数约8,500人。
截至2012年9月30日,Visa的内部审计机构现有47人从事内部审计工作,内部审计年度运营成本/预算为600 - 1,000万美元。乔治·杜利于2012年8月加入Visa担任首席审计执行官,系公司近期招募的新成员之一。杜利加入Visa前在盖普公司(Gap Inc.)任职首席财务官,负责监管该服装零售商之全球供应链。在这之前他曾经出任盖普公司的副总裁和首席内部审计师。在Visa,杜利直接向公司董事会的审计与风险委员会汇报。杜利在行政上向Visa首席风险官汇报,同样需向首席风险官汇报的还包括合规、企业风险和业务流程设计等部门。
“我认为内部审计团队与首席风险官的报告关系对Visa来说是一大飞跃,因为这让我能够与合规和企业风险部门的同事有十分紧密的合作”他说,“但是,我发觉其实早在我加入公司之前,内部审计职能与合规、企业风险和信息技术团队已经建立了非常稳固的协作关系。”
Visa的内部审计部门现有47名审计师。大部分内部审计师都在公司的福斯特市总部上班,驻新加坡办事处的其余9名团队成员负责领导本土审计,并由美国的审计人员提供适当协助。Visa的内部审计部门也与一家第三方供应商建立了分包合作关系,按需由其为团队提供“法定审计和专门审计技能”,杜利说道。
一是,重点关注信息技术风险。杜利在其职业生涯中亦曾经担任过IT领导,这些经验在他Visa的工作中大派用场。“Visa整体上是一家技术公司,其主要企业战略之一是让全球的用户转而使用电子支付方法”杜利说,“我清楚明白IT与组织其他核心部分相配合是很重要的,对Visa来说更是如此,因为技术是其整个商业模式的基础”杜利表示,协助管理层评估和管理rr风险是内部审计部门的主要目标之一。“我们的工作范围涵盖所有风险类别:财务、运营和IT,而且我们会根据不同风险来制定和执行审计计划。我们在Visa也有一支实力雄厚的法务审计团队。由于技术是我们商业模式的核心要素,因此我们与领导层和董事会建立了稳固的合作关系,以便识别和管理IT风险。我们的审计部门将大部分资源投入于IT,而且我们有不少专长于不同FT领域的专家。我们也致力帮助审计与风险委员会就Visa的IT安全成熟度与领导层达成共识。我们与高级管理层和n领导层紧密合作,共同使用rr安全成熟度模型作为评估和沟通IT状况的框架。”
随着Visa的业务迈向国际并利用新兴技术创建薪新服务一包括移动支付及全新的Visa电子钱包服务V. me等--杜利称,期望内部审计部门能够稳跟最前线,帮助公司识别和管理n相关风险。为确保内部审计团队就n风险与组织保持有效沟通,杜利表示内部审计团队一直与外部供应商和IT领导层共同制定框架,旨在利用该框架“从业务角度讨论IT问题,并避免使用别人看不懂的缩略词”。他补充说,“我们在沟通方式上取得很大的进步,我们也期望这个框架能够加强彼此的协调,为战略目标的实现铺平道路。”
二是,协作是Visa的首要原则。内部审计职能每年在Visa按其风险域执行一次风险评估。同时,还会每月执行企业风险评估并每季度与董事会进行检讨。“组织内有很多风险评估正在进行,”杜利说,“其实Visa的各个风险评估流程都会被记录存档,以便我们设法精简和更有效利用这些流程。”
杜利表示他到Visa履职后寄望于自己的其中一项挑战,是改善内部审计计划与企业风险流程的整合,他特别指明两者之间的协作对于目标的实现至关重要。“最近我们邀请了企业风险团队主管参与我们的会议,会议目的是要确定审计域,”杜利说,“我们花了整整一天时间,将我们的风险域与企业风险团队的战略和运营风险进行比对,然后设法实现更佳的整合。最后我们拟定了新的联合审计域,目前即将要对其执行验证流程。”
杜利表示,这种主动积极的协作方式在Visa内比比皆是,而且层面更广。Visa最近在整个组织推行了核心价值组合,而协作正是六大关键要素之一。“现在协作已成为Visa的目标制定流程的一部分,并且已被纳入员工绩效计划,”他解释说,“协作是我们始终坚守的首要原则。”
杜利说,在组织内加强协作带来的效益之一就是速度。“Visa是一家规模很大而且节奏很快的公司,发展动向多不胜数。我们绝不希望在任何发展的路上偏离太远,然后沿路折返。如果每个人都专心致志,并且我们在前进的路上取得一切所需,就能够加快产品上市的速度,这对Visa这样的创新公司来说实在至关重要。”
杜利表示,协作的另一个重要效益是能够集思广益。“当我们在会议上收集到更多意见,我们就能更有把握预测前方会遇到的阻碍,”他说,“我认为这有利于我们制定更完善的流程来将薪新的商业模式强势推出市场。要不然,我们只能在市场上反复试验,承受失误的风险。”
三是,持续参与但保持独立。杜利认为内部审计部门“在咨询和审计工作上做到了本分”,团队十分重视协作,并且团队中包括杜利在内的高级成员都活跃于多个治理委员会。“我们在这些委员会中没有表决权,因为这会损害我们的独立性,”
他说,“但我们会给予意见和忠告,并且在控制和重大风险事宜上尽量发挥我们的专业技能。这样一来,我们就能够参与到管理层的风险管理流程。我们认为从开始就参与其中会有很大帮助。”
内部审计部门密切掌握和监察内部审计团队成员各自在不同治理委员会中的参与情况。“即便当我们担任咨询的角色,我们也必须小心处理咨询团队的人选问题,以及考虑到日后会由谁人执行审计,”杜利说,“在Visa,我们十分明确表明我们是独立的团队。”
然而,即便Visa的内部审计团队曾经希望成为仅单纯执行账目审计的职能,这种运营模式在节奏急速的Visa及其所在行业都是不管用的。杜利说,“我的确不认为我们部门当时会成功。我们需要根据当时的变更来因时制宜,凭借我们的专业知识,打造一个以控制为核心基础的稳健全球环境,帮助Visa实现目标。”
杜利说他视“协作”为“信任”的同义词,并表示对内部审计职能在Visa中逐渐建立的信誉感到自豪,他也在这成就上继往幵来。“内部审计职能在Visa被视为领导层和董事会的合作伙伴,这是毋庸置疑的,”他说,“我们决不妥协、有发言权,而且信誉可靠。引述我们收到的反馈就是:‘公平稳定’。我可能会把它印在名片上。”
4.2.2 索尼集团提高内部审计效能和效率之路:协作、沟通和适应
索尼集团的母公司,即索尼株式会社,是一家于1946年创立的日本跨国综合集团,从事电信和测量设备的研宄和制造。集团创办人盛田昭夫和井深大使用了拉丁文“ sonus ” (声音)和英文“sonny” (小孩)组成“Sony” (索尼)这个公司名字。索尼逐渐发展为全球领先的电子产品制造商,业务分布各个消费者和专业市场。索尼在全球聘有超过14万名员工,子公司超过1,300家。在2013年3月31日结束的财政年度,2012年公司销售收入为68,009亿日元(约723亿美元),实现了430亿日元净利润。
索尼集团由三大业务组成:电子、娱乐及金融服务。在电子业务方面,索尼积极幵发、制造和销售各种电子设备,服务于消费者、专业和工业市场,并推出游戏主机和软件,例如广受欢迎的索尼PlayStation游戏机。索尼的主要制造设备位于日本等亚洲地区,此外也会使用第三方合约制造商。公司的产品经由各销售子公司和独立分销商以及通过网上直销而惠及全球。索尼的娱乐产业包括电影、家居娱乐和音像录制。此外,索尼亦从事多种金融服务业务,包括由多家日本保险子公司提供人寿和非人寿保险,及由一家日本子公司提供网上银行服务。
截至2013年3月31日,索尼集团拥有超过100人的内部审计人数,首席审计执行官的报告对象为总法律顾问。安德鲁·马克比是索尼集团全球内部审计主管。由于索尼集团是一家规模很大的动态组织,因此内部审计部门所接触到的人员多且广。
“有些时候,特别是我们对运营领域进行评估时,我们团队的工作范围会横跨广泛的知识领域和多个场所,”马克比解释道,“我们根据行业基准来评估我们的整体规模和能力,我们也依循各种的行业准则,而且各个团队也配置了很多出色的人员。”
一是,带领内部审计部门过渡“局势变动”。马克比表示,他的团队必须与业务运营管理人员保持非常密切的沟通,以确保内部审计部门能够配合管理层的战略目标。他们一直以来都很重视这一点,特别是在全球市场经济持续不确定的时期。
此外,他亦说到因近年监管收紧导致“局势变动”,所以更重要的是在此时与公司高级管理层保持沟通。像很多跨国企业一样,索尼集团成立了多个团队来应对具体的监管风险和要求,确保公司遵守相关的监管规定,这也是企业风险管理框架的其中一环。马克比表示,“这对内部审计职能而言是有力的辅助,但同时也增加了我们与负责遵守具体监管要求的团队有效协调的难度。这样的协调让内部审计职能可以准确地评估剩余风险,避免重复工作及确保资源运用得宜。另一方面,我们的团队亦必须充分发挥协作精神,例如就若干重要领域的合规向管理层提供积极保证,以及就潜在弱点提出视角。”
索尼的审计报告起初仅提供消极保证,后来间或同时提供积极和消极保证。马克比认为审计报告方式的这一重大转变,能够刺激内部审计部门以更具批判性的角度思考某些审计项目背后的意义,以及如何有效地向管理层传达问题。此外,这也推动内部审计职能执行更多审计工作来应对跨越多个领域的风险,而且全面地汇报这些风险的来龙去脉也对公司更有裨益。“我们会检查公司的某个领域,可能是一个新的领域,然后尝试寻找改进机会,但避免将注意力分散于旁枝末节上,”他解释说,“我们的着眼点是从整体全面的角度检视治理情况。而且我们不可忘记的是,不论法规数量多少,内部控制环境在本质上只有一个,管理层需要一幅完整的治理图画来支持他们从上而下做出决策。”
二是,业务发展加强了内部审计部门在索尼的着眼点。像很多跨国企业一样,索尼将制造、物流和信息技术等活动外包,与第三方外包商的往来亦越来越频繁。“这也是内部审计团队必须灵活调整审计计划的另一原因,”马克比说,“我们必须有能力对第三方合同执行审计,向管理层指出当中的不妥之处,然后出具审计报告,让索尼管理层能够以此为据,与第三方外包商就如何修补这些不妥之处进行协商。”
由于审计工作会牵涉到内部审计职能内外的利益相关者,任何一项审计工作都可能对索尼集团多个方面(包括员工)产生影响,马克比说他的团队对此不敢掉以轻心。“我们告诉我们的内部审计人员,他们常常能够就某人的工作表现提出更加详细具体和发人深省的意见,甚至可能胜于当事人的同事或直属主管,”他说,“但经常遇到的难题是要正确判断需要对某一特定情况或审计对象执行什么形式的审计。这再一次反映了有效的沟通和协作(特别是与管理层)的重要性:沟通和协作是建立巩固关系的核心所在。”
马克比认为与索尼管理层的密切协作关系并不会损害内部审计职能的客观性或独立性。事实上,这让审计师更能放胆自信地表达自己的真正想法。“你需要与管理层有很好的关系才能够直率地表达意见和指出问题所在。这种相互关系和协作令内部审计职能的发言变得更有力和更具份量。”他解释说。
协作气氛亦有助留住内部审计人才。马克比说,“直接与管理层交流并得到管理层的反馈是获得认同的关键。这是很大的推动力。我坚信‘有动力的人会以积极的态度沟通’。推动力不足的审计团队不会有良好的沟通。而且如果管理层并不了解审计工作的目标是什么,审计工作最终只会变成陈词滥调。”
三是,连结全球组织。马克比表示,索尼集团内部审计职能强调沟通和协作,按需要在组织内推动积极变革。“内部审计职能有权涉足于组织的不同领域,其身份优势使其能够将组织的不同部分连结起来,就具体的前线执行领域提供详细视角。在一家全球组织,业务压力有时可能会导致各个部门或内部政策聚焦于自己的目标,而没有与组织的整体战略目标保持联系。内部审计职能可以对这种压力起到积极的抗衡力量。”
他补充说,“作为一个部门,内部审计部门也可能会出现这种情况,导致部门变得孤立,而不是独立。而通过有力的沟通、与管理层的协作,并适应不时变更的工作重点,我们就能够更准确聚焦于与业务关系密切的事宜。”
在马克比看来,“审计报告只是变革流程的开始而非终结,”他解释道,“当我们向管理层汇报审计结果时,必须说明我们是如何制定审计计划的;为何要执行这项工作,其重要性何在;我们使用了哪些方法等,目的是使审计人员和审计对象对审计流程有一致的理解。当我们更清楚地了解到彼此的意向后,我们就能够着眼于真正的问题,并且让人认同我们的增值作用,我期望如是。”
马克比认为,对任何内部审计部门而言,要全面发挥作用,审计流程中的“从人因素”绝不能忽视。“内部审计部门提供给组织的就是信息,”他说,“信息的质量及传达方式,在很大程度上取决于内部审计部门员工。大多数跨国组织的信息经常都是零碎分散的。而内部审计部门可以深入到组织之中,将所有相关信息汇聚起来,然后用以对不同业务板块和地区进行标杆评估。如果能够做到这一点,我认为我们就可以真正为公司创造积极变革。”
4.3 国外内部审计的经验启示
自改革开放以来,在外部监管越来越严的情况,特别是国外先进内部审计理念的冲击下,民营企业的内部审计取得了令人瞩目的成绩,但也要注意到,民营企业的内部审计在实际幵展中,仍存在着一些问题,例如:模糊的职责定位;独立性差;审计方法未跟着企业发展潮流;人员结构不合理等。通过对比优秀企业的内部审计工作,特别是上述企业的内部审计做法,我们应得出如下启示。
4.3.1 独立于首席财务官的汇报体系
内部审计机构若向首席财务官报告工作,主要是对日常经营等系列活动进行审计,而不能直接服务于经营决策者。但优秀企业的内部审计,一般不直接隶属于财务体系,如索尼的内部审计机构汇总对象为总法律顾问;有些建立双线的汇总体系,如VISA公司的内部审计够直接向公司董事会的审计与风险委员会汇报。杜利在行政上向Visa首席风险官汇报,同样需向首席风险官汇报的还包括合规、企业风险和业务流程设计等部门。
独立于首席财务官的汇报体系,有利于有效监督经营层各项经营公司的活动,有利于约束管理层的行为,同时有利于扩大内部审计机构的审计范围和领域,保证了审计的独立性、权威性,确保充分发挥审计职能。
4.3.2 注重审计过程的沟通
沟通产生价值。有效地沟通,可以降低信息的传播成本,增进社会成员之间的情感交流。审计沟通,贯穿于整个审计过程,是非常重要的一项工作。
在渠道通畅的情况下,带有积极主动意义的审计沟通,不但可以与被审计单位交流、共享与审计相关的信息,更极大地满足了被审计对象与审计者的人际关系交流需求,利于审计工作的深入幵展。
4.3.3 利用技术进行审计,并关注技术本身的风险
伴随当今的组织机构日趋成熟复杂,利用信息技术来拓展工作范围和提高工作效率已经成为内审人员最为关注的领域之一。利用技术进行审计,即指利用审计软件技术和数据分析等手段来帮助内部审计人员提高审计效率,也包括使用一些工具来帮助内审人员缩减样本量、分析全部数据,以及更有效地执行审计计划。在IT在企业内部运用越来越普遍的同时,审计机构开始评估IT的风险,以求降低风险概率。
4.3.4 加强协作
全球众多企业都正陆续转向协作的工作方式,纷纷消除文化上、运营上和技术上的种种屏障,以便能够提高工作成效、更有效使用资源、把握新兴市场机遇及提升创新能力。这一趋势亦延伸至一直以来都独立运作的内部审计职能。虽然仍然重视客观的报告,有时更要刻意避嫌不插手战略决策环节,但内部审计团队开始企业内部团队定期开展协作,特别是在监管环境和合规要求日益严格的当下。
