后安然时代国际内部审计发展趋势综述

2003年9月，国际内部审计师协会（简称IIA）总部前执行副主席理查德 钱伯斯先生（Richard F. Chambers）访华，他在北京举办的国际内部审计高级研讨班演讲的专题之一《国际内部审计的 发展 趋势》中提到的三大发展趋势：一是重新介入内部控制；二是推动更有效的公司治理；三是对内部审计师的期望在改变。2004年6月，时任IIA理事会主席的鲍伯 麦克唐纳先生（Bob McDonald）访华，他为 中国 内部审计师演讲的 内容 中再次提到了国际内部审计发展的上述三大趋势。

这引发了两个 问题 ：第一，这两位IIA的高级官员都提到这三大发展趋势，证明这种提法不是某个人的 研究 成果，而是IIA认可的对外宣传的统一提法；第二，为什么国际内部审计发展趋势中未列入当前最时髦的风险管理、风险评价或风险评审的内容？

2004年12月，IIA发布了美国反欺诈性财务报告委员会的主办机构委员会（简称COSO）的《 企业 风险管理-一体化框架》。该框架规定了必不可少的企业风险管理的八个相关组成部分，讨论了关键的企业风险管理原则、概念、效果和局限性等内容，建议用一种企业风险管理的共同语言，为企业风险管理提供方向和指南。《企业风险管理-一体化框架》重要意义在于：它改变了人们对 “风险是指可能对实现组织目标产生负面 影响 的事情或活动”的片面认识。风险既是挑战，也是机遇，“管理层所面临的最严峻挑战是决定本企业准备接受多大的风险，因为风险可以经过奋斗而创造价值。”“ 当管理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡，并在追求本企业目标的过程中有效地调度资源时，能实现企业价值的最大化。”

综上所述，可以看出，国际内部审计三大发展趋势中，前两大趋势-重新介入内部控制和推动更有效的公司治理，重视的是加强企业的制度建设；后一趋势：对内部审计师的期望在改变，强调的是提高内部审计人员的整体素质。制度建设加强了，管理漏洞堵塞了，人的素质又相应提高了， 自然 企业所面临的风险会大大减少，即使出现风险也会采取措施加以防范或控制，使之转化为新的发展机遇。这就是IIA提出的国际内部审计三大发展趋势的高明之处。

二、背景

随着安然、世通申请破产保护、安达信退出审计业，美国朝野人士分别从四条战线同时出击：个体股民的诉讼、证券交易委员会的稽查、司法部的刑事起诉和国会的调查。痛定思痛，美国各界人士的舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源-一些企业的商业道德沦丧，良心泯灭上。在营造企业树立诚信的商业道德和维护“企业良心”的外部环境上，美国的法律不可谓不多；美国对企业的监管体制不可谓不严；美国拥有“五大”在内的众多超巨型国际会计师事务所，其审计技术和手段不可谓不先进，在此情况下，仍出现那么多财务丑闻和欺诈行为，人们不得不把关注的焦点从企业的外部环境转向企业内部控制机制上。由于内部审计在企业经营管理中处于极其重要的地位，它既是企业内部控制机制的重要组成部分，又是监督与评价内部控制的主要手段，因此，人们把内部审计当作 “企业良心”，当作维护企业道德文化的最后一道防线。

安然和世通财务丑闻发生后，国际内部审计师协会（IIA）提出公司治理的方向是：加强对管理层职业道德的劝说，落实会计制度改革对财务报表透明化的要求，设立外部独立董事职位，强化内部控制机制，要求内部和外部审计人员自律。下面分别介绍国际内部审计的三大发展趋势。

三、发展趋势之一：再次介入内部控制

在此情况下，公司的内部审计职能得到了加强，内部审计人员正面临着前所未有的挑战。由于安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示，使内部审计的作用得到了公众和监管部门的肯定。辛西亚。库珀（内部审计主任）在世通案件中的突出表现不仅使全世界的内部审计工作者认识到内部审计工作责任的重大，也使决策层、管理层对内部审计的必要性和重要性有了新的认识。

（一）再次介入内部控制的原因

《萨班尼斯-奥克斯莱法案》明确要求上市公司的年报应包括内部控制的评价部分。国际内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用，因此，企业内部控制的运行状况已不在是企业内部关心的对象，而越来越受到外部相关人士的关注。

2002年《萨班尼斯-奥克斯莱法案》中关于加强内部控制的条款如下：

第103条款-审计、质量控制和独立性准则及规定，要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。

第302条款-公司对财务报告的责任，要求建立、评价和报告关于财务报告披露的内部控制；

第404条款-管理层对内部控制的评价

（1）内部控制方面的要求-证券交易委员会（SEC）应当制定规定，要求按《1934年证券交易法》第13条（a）或第15条（d）编制年度报告 包括内部控制报告，其内容包括：

强调公司管理层建立和维护内部控制制度及相应控制程序充分有效的责任；

上市公司管理层最近财政年度末对内部控制制度及控制程序有效性的评价。

（2）内部控制评价报告

对于本条款（1）中要求的管理层对内部控制的评价，担任年度财务报告审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。

（二）内部控制

内部控制是指为了合理保证公司各项经营活动正常运行，实现特定目标而建立的一系列政策和程序构成的有关总体。

COSO内控五要素是：控制环境，风险评估，控制活动，信息沟通、监控。

（三）内部控制自我评估

内部控制自我评估（Control Self-assessment）是近年来西方国家内部控制制度评审的一种 方法 ，是企业监督和评估内部控制的主要工具，它将运行和维持内部控制的主要责任赋予企业管理层，同时，使企业员工和内部审计师与管理人员合作评估控制程序有效性，共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证，发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题，由计算机汇总并反馈问题；审计人员转变成外向型人才，广泛接触各部门人员，采用多种技术方法，促进经营管理目标的实现。简言之，这种方法不再以内审部门实施内部控制评价为主，而是以管理部门的自我评估为主。

通过内部控制自我评估，使内部审计人员不再仅仅是“独立的问题发现者，而成为推动公司改革的使者”，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决方案”的内部审计活动转变，从事后发现内部控制薄弱环节转向事前防范；从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外，通过内部控制自我评估，可以发挥管理人员的积极性，他们可以学到风险管理、控制的知识，熟悉本部门的控制过程，使风险更易于发现和监控，纠正措施更易于落实，业务目标的实现更有保证。内部审计人员广泛接触各部门人员，和各管理部门建立经营伙伴关系，有利于共同采取措施防止内部控制薄弱环节的产生。

四、发展趋势之二：推动更有效的公司治理

公司（或法人）治理（Corporate Governance）是 现代 公司制企业在决策、执行、激励和监督约束方面的一种制度或机制，其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下，公司治理结构完善与否决定了公司能否有序运转，公司效益和持续发展能力能否不断提高，进而关系到整个资本市场能否规范有效运行，甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和 社会 各界广泛关注的原因。

（一）公司治理四大“基石”

公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟、列威特（Arthur Levitt）指明了有效的公司治理的重要性，他指出：公司治理是“有效的市场规则必不可少”过程，是公司的管理层、董事及其财务报告制度之间的联结纽带“（1999年）。他是从监管当局的立场关注财务报告制度。

狭义的公司治理是指，公司股东直接或间接（通过董事会）对公司管理层进行监督和评价其表现行为；广义的公司治理则包括了公司的整个内部控制系统，它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标，以保障包括股东在内的利益关系人的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。

世界经济合作发展组织（OECD）制定的《公司治理结构原则》指出：一个良好的公司治理结构应当：实现组织既定的目标，维护股东的权益；确保利益相关者的合法权益，并且鼓励公司和利益相关者积极进行合作，保证及时准确地披露与公司有关的任何重大问题，包括财务状况、经营状况、所有权状况和公司治理状况的信息；确保董事会对公司的战略性指导和对管理人的有效监督，并确保董事会对公司和股东负责。因此，完善的公司治理应该：保持良好的内部控制系统；不断检查内部控制的有效性；对外如实披露内部控制现状；保持强有力的内部审计。

2002年7月23日，IIA在对美国国会的建议中指出：一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的，这主要四个条件是：董事会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下，这四个部分是有效治理赖以存在的基石。

公司治理的四大基石（关键要素）是：

董事会-确保有效的内部控制系统，确定并监控经营风险和绩效指标；

高级管理层-实施风险管理和内部控制，日常计划、组织安排；

外部审计师-应保持独立性，审计与咨询业务分开；

审计委员会（内部审计师）-增强报告关系上的独立性。

由此可见，有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段，是公司治理过程中不可缺少的组成部分。

（二）公司治理过程

IIA对“治理过程”的定义是：“组织的投资人代表，如股东等所遵循的程序，旨在对管理层执行的风险和控制过程加以监督。”

IIA《实务公告》2130-1《内部审计部门和内部审计师在组织道德文化中的作用》指出：治理过程是指组织履行下述四种责任的行为方式：

遵守法律和规章；

遵守公认的业务规范、道德观念，并满足社会期望；

为社会提供总体福利，并增强利益关系方的长期和短期利益；

全面地向业主、执法人员、其他利害关系方和一般公众报告，保证对其决定、行为、行动和业绩负责。

在强化公司治理方面，国际内部审计已逐渐形成三种职能趋势：强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。

（三）强化公司治理的重要举措

在推动更有效的公司治理方面，最重要的举措是加强审计委员会的职责。

在安然公司财务丑闻曝光之前，美国的公司治理结构大多为三位一体，即董事会、高级管理层和外部审计（会计事务所）。但是，安然公司、世界通讯等公司的财务丑闻充分证明了三位一体公司治理结构的主要缺陷在于：

1、由高级管理层聘请中介机构的外部审计，使 会计 事务所自身的利益与公司高级管理层密切相关。例如，原国际五大之一的安达信会计公司在安然公司精心策划的财务丑闻中，既是受害者又是作恶者，当财务丑闻曝光后，他们还销毁了1000多份审计文件，因而也就直接导致了这家“百年老店”会计公司的破产。

2、内部监督机制不健全，内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前，美国的相关 法律 并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司高级管理层报告工作，审计的 内容 、范围和结果报告受到管理部门的限制，致使董事会无法全面了解公司经营管理和财务的真实状况。

《萨班尼斯—奥克斯莱法案》的颁布弥补了美国上述公司治理结构的缺陷。该法案要求公司的审计委员会发挥更加积极的作用，要求所有的上市公司对其内部审计职能是否得到充分发挥出具有关的证明。显然，该法案的规定有助于完善四位一体的公司治理结构。

实践证明，审计委员会在完善公司治理结构方面具有以下不可替代的作用：

第二，采用审计委员会这种内部监督机制，可以避免由高级管理层直接聘请会计师事务所和决定审计费用的现象，从而强化对公司管理层的监督功能。

第三，在审计委员会领导下的内部审计机构，受公司董事长的直接领导，地位比较超脱，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够的重视，进而提高内部审计的效率。

第四，审计委员会可以充分利用内部审计机构的资源优势，更好地履行其应有的职责。

（四） 企业 文化

文化是一个国家的综合国力和国际竞争力的深层支持，文化交流侵蚀主流意识形态。20世纪80年代以前，企业文化的概念不被重视。20世纪80年代以后，企业文化及人员的管理成为西方管理 理论 和实践中一个非常重要的课题。特别是在20世纪90年代以后，全球许多公司的股票价值与该公司是否有好的商誉有关，企业开始重视商誉，逐渐关注企业文化建设。

公司治理实务是一个公司独特文化的反映，因此，治理过程的有效性在很大程度上取决于企业文化。公司的行为模式、目标和战略的制定，业绩的衡量和报告，对履行 社会 责任的态度，都受“企业文化”的 影响 。

什么是企业文化？比较通行的说法是：企业文化是企业职工在长期生产经营实践中所形成的价值观和行为准则。具体地说，它是指企业里人们的思想、行为以及道德观念，包括概念、习俗、习惯、经验、惯例以及团队精神。搞好企业文化就是要注重建立企业的精神气质，价值体系和管理理念。

近几年，随着全球一些大公司破产，财务处于崩溃状态，内部审计师也面临困境。公司倒闭大多与公司内部控制失效，无法提供必要的和可靠的财务信息有关。要解决公司财务信息不真实，财务报告误报的灾难性问题，关键在于建立有效的公司治理结构、内部控制机制和发挥作用的内部审计。这也是这几年公司治理、风险管理和内部控制等问题成为大家关注的焦点的原因，但这些问题的最终解决都与企业文化有关，要使公司能够有效治理必须有好的企业文化。各国的法律已经提供了可做事情的框架，自律的企业文化则保证企业自觉地去做可做之事。

IIA要求内部审计在加强组织道德文化方面的作用是：

在支持道德文化方面发挥积极作用；内部审计师应具备：高水准的信任度和诚实度；

具有倡导道德行为的技能；

有能力呼吁领导者、管理者和员工遵守法律、道德和社会责任。

2004年6月，IIA悉尼国际大会的亮点之一就是全球内部审计师在建立企业文化方面取得了共识：即遵守法律的企业文化是促进企业成功，防止企业失败的重要基石。内部审计要帮助企业建立遵守法律的合规性文化，要 教育 企业高管人员懂得守法的重要性，做法律允许的事；出现问题时，要“吹哨”警告，内审人员就是吹哨者。

法律与企业道德文化的关系是：法律是硬性的，而道德文化是柔性的。企业的规章制度要真正让员工遵守，光靠硬性规定还不够，还应有柔性管理。需要保持一种灵活的方式，制定的规章制度要能够适时对变化的环境做出反应和进行调整。

与企业文化密切相关的是企业如何衡量自己的业绩。过去，企业好的业绩都与利润指标有关，现在衡量的指标不仅仅是利润。一些上市公司制定的管理与会计制度目标是，为股东提供令人满意的回报；一些公司制定的财务目标是，保持良好的财务会计记录和报告制度，最终目标是保持企业良好的商誉。企业不可能无限扩张，资源也是有限的，因此，要制定合乎逻辑的增长趋势，对业绩成果应考虑其合理性。

五、 发展 趋势之三：对内部审计师的期望在改变

从传统意义上说，内部审计师在绝大多数的公司里都保持一种“低姿态”或“低调”，处在幕后的位置；公司治理的丑闻并没有伤害到内部审计师的声誉。《萨班尼斯—奥克斯莱法案》的出台，使内部审计人员从后台走到“前台”。

（一）内部审计师从“幕后”逐渐走向“前台”

《萨班尼斯—奥克斯莱法案》要求：“内部审计师凭借他们在组织机构中的独立性和风险控制方面的专业知识，在帮助组织符合这一具有挑战性的（404）条款和萨班尼斯-奥克斯莱法案严格的最终期限方面起重要作用。”

对于第404条款-管理层对内部控制的评价，要求管理层对本组织内部控制状况进行评价，担任年度财务报告审计的会计师事务所应当对其进行测试和评价，并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的，其执行状况和有效性由管理部门自己评价有失公允，所以，在会计师事务所审计之前，内部审计人员要对本公司的内部控制状况进行评价，向高级管理层提交内部控制评价报告，高级管理层认可后才能向会计师事务所提交报告。这样一来，就把内部审计人员从后台推向了“前台”，本组织的内控状况不佳，内部审计人员也有不可推卸的责任。

（二）安然和世通公司审计失败的教训与启示

1、外部审计的教训

20世纪末，美国已有了各种监管证券市场的法规，建立了监管机构-证券交易委员会，并且既有外部审计，也有内部审计。就在这样似乎相当严格的监管条件下，监督者和被监督者竟串通一气作假。在安然事件中，安达信会计公司涉及的是审计缺乏独立性，如既提供审计服务又提供非审计咨询服务，许多前雇员成为安然公司的主管，以及在觉察安然的会计问题后，不仅未采取必要的纠正措施，甚至销毁审计工作底稿。这些都背离了注册会计师应有的职业道德。美国《会计瞭望》杂志在“安然事件的教训”一文中指出：“公共会计师不应当为他们的委托人做管理决策。相反，他们应当忠告有关会计问题，并反对管理部门的财务报告缺乏透明性，要提醒资本市场去注意公司活动的内幕”。

2、内部审计的教训

在世通公司破产审查报告中，审查人员描述该公司的内部审计极为糟糕。该公司的内部审计成立于1993年，随着公司的发展，其职责、规模和范围得到扩张，公司聘用了专职的内部审计人员。在取得的成功经验之外，破产审查者发现的问题是：

内部审计机构缺乏独立性。内部审计对董事会和首席财务官有双重报告责任，但“从来不是真正意义上的独立部门”，内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年内部审计政策和程序都是有局限性的。

管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的，对内部审计的支持也是不一致的。“必须有人说服，才能认识到内部审计的价值”。首席执行官与首席财务官给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间，内部审计机构专职负责企业资源规划（ERP）的执行项目，直到晚上才做审计工作。

局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项：重点放在收入最大化，减少成本和提高效率；专门关注经营审计；极少甚至从未进行与财务相关的审计。这是导致其无法在早期发现会计处理不当的主要原因。对于世通这样庞大复杂的公司，把内部审计工作只局限在经营审计方面显然是不恰当的。“

与外部审计师缺乏沟通。内部审计师与外部审计师（安达信会计公司）极少沟通，二者就象黑夜里驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。

内部审计资源不足，缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下，审计委员会批准计划流于形式，对内部审计从事非审计项目一无所知，在被告知审计师的平均工资只是同类公司内部审计师的一半时，也没有采取任何措施。

内部审计计划的制定有缺陷。由于多种的原因，内部审计年度计划过程是低效不足的，没有采用风险评估的定量 分析 系数来衡量风险，内部审计师对会计电算化系统的接触也是有限的。

世通公司申报破产以来发生的显著变化如下：

2、 除继续从事经营审计外，还从事财务审计，强调财务专业知识的重要性；

3、 内部审计师与外部审计师（毕马威会计公司）密切协作；

4、 内部审计改善了风险评价 方法 ，并加强与外部审计师、公司管理层、审计委员会和董事会的沟通，听取他们的意见。

此外，世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险；将先进的审计技术结合到内部审计的范围和过程中；首席审计执行官具有多种职能，如首席风险官、首席道德官等；内部审计外包业务继续存在，但增加了“纯”内部审计服务内容，如财务审计、内部控制评价等。

（三）未来的内部审计师―――――VITAL（极其重要）

2003年IIA全球审计信息 网络 调查结果表明，认为内部审计人员的职责应该是：调查人员（44.6%）；指导顾问（57.%）；咨询专家（45.6%）；管理层的有益助手（34.7%）；其他人士（32.1%）。未来的内部审计师必须具备以下素质：

1、 多面手（Versatile）：拥有大局观，对整个组织的价值具有前瞻性考虑。

2、 置身其中（Involvement）：要参与和了解公司各项业务，发现问题及时提出解决措施，不搞秋后算帐。

3、 精通技术（Technology）： 应用 专业技术知识来预防和减少公司的风险，改进治理过程和提高效率。

4、 顾问（Advisor）：提供保证、培训和咨询服务。

5、 领导人（Leader）：在风险控制和改进组织的效果方面发挥领导作用。

（四）内部审计在风险管理过程中的作用

风险管理是企业管理层的一项主要职责，管理层应当确保本企业有良好的风险管理过程，并使其发挥作用。

董事会和审计委员会负责监督、判断本企业是否有适当的风险管理过程以及是否充分、是否有效执行。

内部审计的职责是运用风险管理方法和控制措施，对风险管理过程的充分性和有效性进行检查和评价，提出改进意见，为管理层和审计委员会提供帮助。内审人员应负责定期评价风险管理过程。

内部审计人员活动于本企业，不仅熟悉企业的财务运作、会计核算，而且了解企业的生产、经营管理等活动，容易发现问题，并有能力参与评估企业存在的风险。因此，内部审计人员应树立风险意识，防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点，在推动企业建立风险管理的理念中发挥重要作用。