无论是出于企业自身发展的需要,抑或是为符合外部监管机构的要求,内部审计正日益受到越来越多企业的重视。而如何建立一个行之有效且具有前瞻性的内审体系,亦成为审计委员会和高级管理层(利益相关方)面临的重要课题之一。
根据普华永道的调查发现,当前企业内审部门常见的问题,如没有明确内审战略就匆忙开始实施战术方面的工作,缺乏清晰的内部审计价值期望,缺乏严谨的方法等,这些都导致不必要的延误及成本的增加。因此,普华永道强调,设计内审职能时,必须以战略推动战术。为了帮助企业设计并实施专注于战略的内审职能,在提炼不同规模公司的实践经验的基础之上,普华永道建立了战略性内审职能启动框架(以下简称框架)。
第一步: 明确利益相关方的期望
普华永道研究发现,当内审职能在利益相关方制定的战略框架下运行,并关注整个公司范围的风险和控制问题时,将能更好地实现公司治理和风险管理。一旦该战略框架实施后,公司将能更有效地确定内部审计的使命、组织结构、资源模型、工作方法以及沟通方式。
为了建立有效的内审职能,内审的主要利益相关方必须确定该职能如何实现期望的价值。通过这个过程,利益相关方应该明确这一新职能的具体成果或“价值驱动因素”。具体的价值驱动因素包括:
风险管理和内部控制有效性的保证;
内部控制的效率和效果评估;
法规及公司政策的遵循性的保证;
监管法规所要求的内控有效性检查;
对紧急事件的处理能力;
对内审投资的回报;
提高企业各阶层对风险和控制的意识;
成为业务部门的咨询伙伴,并协助解决复杂问题;
优秀管理人员的来源,并作为员工职业发展的一部分;
通过与外部审计师的合作使审计成本更加有效益。
在内审职能建立后,还应该定期重新评估利益相关方的期望,以确保整个框架与时俱进,符合企业当前的境状。
第二步: 明确内审使命
在明确具体的价值驱动因素的基础上,审计负责人应该与高级管理层和审计委员会一起明确内审的使命,制定正式的“使命声明”或内审章程,提出该职能的目标并提供评估内审表现的基础。
有效的“使命声明”不仅要描述该职能的权力和职责,还应反映高级管理层和审计委员会所关注的优先项目。同时,“使命声明”还必须和主要利益相关方及员工进行沟通,以确保得到他们的理解和认同。在调整“使命声明”时,则必须依据企业实际情况及框架第一步中定义的价值驱动因素进行。现实情况表明,很多企业常常忽略了这一关键的联系,而是简单地采用其他企业或内审部门的使命声明。
尽管不同企业的“使命声明”深度不一,但“使命声明”或内审章程应该明确内审职能在传统的内部控制审计和咨询活动之间的资源分配。一个含糊或没有同利益相关方期望取得一致的“使命声明”价值甚微,甚至可能妨碍战略目标的实现。
值得关注的是,当利益相关方寻求价值保护和内控保证时(如中国《企业内部控制基本规范》,香港《企业管治常规守则》和美国《萨班斯-奥克斯利法案404条款》等方面的要求),内部审计人员应该具备优秀的财务审计和合规审计的能力。随着利益相关方需求的改变,通常要求内部审计更多地通过改进经营管理来创造价值,这亦要求内审人员应具备一系列的技能,包括风险管理和咨询能力等。
需要指出的是,企业对其内审部门功能重点的选择没有是非对错之分,也没有一个“放之四海皆准”的答案。利益相关方选择将职能定位于上述内审连续统一体的任何一个位置时,都直接地反映了他们在内审“使命声明”中的风险偏好和相关审计需求。
第三步: 制定正式的战略计划
战略计划帮助并指导建立内审职能。该计划并不仅仅是某一时点的风险评估,它正式定义了内审新职能的价值主张、服务对象及其将来创造的价值,亦概述了实现关键目标的战术方法和职能上的管理责任。
战略计划同样强调初始阶段的规划以及三到五年的财力和人力资源的需求,通常还包括计划中的关键假设和基准指标与第三方数据的比较。该计划同时可能考虑使用不同方法实现预期结果的成本和收益,具体包括:与其他风险和控制监控职能的优化整合,如法律、合规、信用、市场、安全和舞弊风险管理职能;使用外包服务以提供专业的技术、技能;建立控制自我评估程序。
战略计划也十分强调沟通问题,这是内审职能成功的关键。计划的沟通部分可针对如下问题:
由企业的审计委员会及高级管理层向内部进行初步沟通,
对内审职责和权力的通告,
企业期望对内审使命的支持,
企业期望对解决内部审计发现的控制缺陷和问题的决心。
最终,战略计划应制定将来如何考核内审工作成果的标准。我们建议企业每年应重新审阅和修订战略计划,并得到利益相关方的批准。
第四步: 风险评估并制定审计计划
风险是可能影响公司实现公司目标的任何事件。风险评估使内审人员考虑潜在事件如何影响公司目标的实现。
为了帮助企业提升价值,内审应以风险为导向进行审计工作。对内审而言,制定系统的方法分析风险至关重要。风险评估程序开始于界定审计的领域。审计领域包括公司的所有单位、流程和活动。然后,内审人员从行业角度考虑公司的商业模型和其主要商业目标。通过与利益相关方的沟通,内审应该确认其对审计领域、主要商业目标及实现这些目标中的固有风险的理解。
根据对公司及其目标和固有风险的理解,内审人员应考虑各风险因素对公司实现目标的影响及其发生的可能性,并通过考虑这两点,编制企业的风险概况。
企业风险概况的一种常见形式是风险热度图,以不同的颜色区别企业高、中、低风险领域。在风险评估中被识别为高风险的公司单位、流程及活动,应成为审计的重点和优先点。风险评估的结果能协助企业编制相关的内审计划来防范、应对公司的各种风险。
有效审计计划提供系统的方法,将风险分为高、中、低类别。在评估风险后,审计负责人还应该同审计委员会和高级管理层一起将风险进行优先排序,并决定在内审职能中所需的能力和技能组合,以专注于优先考虑的高风险领域和主要利益相关方的需求。
在内审启动的第一年,公司通常没有控制活动有效性评估的正式标准。这样,初步的风险评估及审计计划的制定主要从固有风险出发。固有风险包括内、外两方面。外部风险指全球、国内及经济形势的变化,技术、法律及政治的变化;内部因素则包括操作系统的变化,发行新的产品,进入新的市场,管理层和组织的变化以及海外业务的扩张。
随着逐步了解内部控制有效性的标准,定期的风险评估可考虑这些控制的可靠性和有效性与规避相关风险的重要性及/或发生的可能性。基于这些知识,可根据对内控制度的了解将风险重新分类。然而,即使在认为控制有效的领域,内审也必须定期对关键控制进行测试,以保证这些关键控制可以继续规避重大风险。
为了达到最佳的效果,内审风险评估及风险结果概况应该与内审战略计划及审计委员会所需的保证水平相连接。
在建立了内审战略框架后,工作的重点将转移到战术执行上。如图1所示,通过实施第5~10步的职能和活动,内审工作将立见成效,并取得长期的成功。
第五步:编制当前和长期的预算
完成框架的第1-4步后,可得到足够的信息去建立当前和长期的预算。预算必须为内审提供足够的资源,以执行第4步制定的基于风险的审计计划,并应有适当灵活度以应对业务改变的需要。
预算应在风险评估结果和审计计划的基础上准备,并根据国际内审协会或其他第三方制定的内审标准,与本行业的类似内审部门比较,建立预算基准。像在框架第3步制定正式的战略计划中讨论的,预算应该跨越3~5年的时间段。
内审预算必须有灵活性,使内审能够应对突发事件。我们建议使用“灵活支出账户”,在应对变化的同时,编制高质量的审计计划,“灵活支出账户”运行如下:
在风险评估和内审计划结果的基础上建立核心内审预算。核心预算提供足够的资源,以使内审计划有效地执行。
同时建立单独的“灵活支出账户”。账户基于核心内审预算的百分比或其他估计设立。
根据识别出的具体项目或需求,确定必要的资源和技术组合以支持核心内审计划。
“灵活支出账户”满足突发的或企业内部一次性项目的需求。
“灵活支出账户”中的未使用资金为内控预算的盈余差异。与年度内审风险评估流程和计划的制订流程相一致,每年估计一次。
使用“灵活支出账户” 的好处包括:可以使内审预算流程与内审利益相关方的“价值驱动因素”紧密相连;同时,鼓励内审与其利益相关方直接对话,帮助内审清楚地识别需要特殊技能的领域,并投入适当的资源与资金,以及在特别需要的时候才配备特殊的资源。
总括来说,本步强调内审应先根据战略制定预算,然后再考虑战术。
第六步:尽早开展现场工作
内审部门往往希望在结构设立完毕、员工全部到位后才开始内部审计工作,这是非常不现实的想法。公司的主要利益相关方没有耐心去等待,他们希望马上看到进展,而不是在审计职能成立后的下一年或更远时期。企业不能期望在取得所有的资源之后才开展现场工作。
为了立刻体现价值,内审部门应该在成立几周之内开始现场工作。比较理想的是,在内审部门宣布成立起的100天内对3~5个已知的高风险领域展开审计工作。这些初步的审计通常应该关注某些特定的领域,例如:采购流程和销售渠道的有效性,信息系统总体控制和其他已知的存在内控问题的业务领域等。
使用正式的快速启动程序是保证尽快取得成果的有效方法。快速启动程序是一种项目管理技术,它对在最初100~120天内将要完成的不同审计和初步工作进行规划。快速启动程序包括具体的战略及战术,也包括可能需要同时开展审计的领域。计划包括预定的完成日期和用来衡量进度、识别问题和进行调整的里程碑。使用快速启动程序还可以防止启动程序的拖延以保证现场工作尽快开始。
当然,这样的快速启动程序需要有足够的资源来实施现场工作。通常,内审资源需要“加速提升”以满足执行完整审计程序的需要。为了达到快速启动,许多公司首先选择借用外部中介机构。这样做的优点是除了能在项目开展过程中获得专业建议和咨询服务,能获得完成特定高风险审计所需的资源、工具和技术,还能随着职能由内审人员独立执行或共同完成项目实现知识的转移。
第七步:评估所需的技能
内审部门应结合在内审启动阶段对利益相关方的价值驱动因素和“使命声明”的认定,对所需的技能进行评估。一个常见的误区是管理层过于注重内审人员的数量,而忽略了高风险和主要价值驱动因素所需的技能。实现前述的“内审连续统一体”通常要求一整套的技能,包括技术以及所处行业的专业知识。然而,吸引具有领导才能、技能及经验的高素质专业人士可能是一个耗时和漫长的过程。为了防止延误内审工作,内审部门可以考虑使用第三方中介机构来取得过渡期间所需的资源。通过外包专业服务的方法,管理层及审计委员会在取得内审工作成果的同时更可以关注聘用合适的人员。当聘用到了合适的人员,外包专业服务的形式可以调整为内外共同完成项目或彻底取消。
在考虑长期人员需求时,请记住内审是一个动态的、不断变化的领域,不只是“寻找能干活的人”的简单要求。在过去的十年中,许多国际性的公司开始通过内外部共同完成项目的方法取得工作灵活性,取得那些从内部无法获得的技能。
为了满足这一需求,普华永道开发了“资源的车轮模型”。资源的车轮模型假设某些核心内审资源和能力在公司内可以保持不变。车轮的“轴心”是企业内审的领导力、持续力及经验等在公司内保持不变的核心内审资源。车轮模型中的“辐条”代表可以与中介机构或企业的专业部门合作的内容。在图2的示例中,核心小组依靠合作伙伴的技能,来取得满足独特、复杂或特定领域审计所需的资源,如信息安全、ERP系统控制和安全、相关法规的合规性遵循、舞弊调查以及企业持续经营计划等。
“辐条”并不限于特定领域。如果在不同的地域需要核心内审资源,或者需要核心内审资源加入现有的某个审计队伍,轴心和辐条模型能在消除或控制审计成本的前提下,保证审计的质量和及时性、一致性。
与之前讨论的“灵活支出账户”相结合起来,资源的车轮模型能帮助内部审计按需取得必要的审计技能。随着内审重点的变化,轴心轮辐资源模型以及“灵活支出账户”可以保证内审职能中的“风险导向审计”的灵活性。
中兴
万科
加多宝
苏宁云商
锤子科技
华为
