【小二郎学内审】2-2 内部审计的“关联方”
引言
相信不少内审人遇到过这样的尴尬,有人询问你的职业是内部审计的时候,可能对方会一愣,好像没有听过这个词一样,接下来可能就会问你们内部审计是做什么的?和会计师事务所一样吗?是不是和审计局性质似的?
或许你会和他们解释半天,会计师事务所是中介,审计局是政府的,内部审计是企业内部的。然后可能又会有人接着问,内部审计那你们和企业的风险内控又有什么关系(看来内控风险的认知程度比内部审计高啊,汗)?
那么,我们就来共同探讨一下内部审计与政府审计、社会审计之间的关系,以及内部审计与内部控制、内控控制与风险管理等之间的关系。
一、内部审计与政府审计、社会审计的关系
通俗的讲,内部审计与国家(政府)审计、社会审计之间的关系,实质上就是企业中的内部审计机构与政府审计机关及会计师事务所(外部审计)之间的关系。
1、三者的区别
之所以有三者的存在,是因为各自承担的角色有所不同。
(1)设置的法律依据不同
审计机关是根据宪法设置的,会计师事务所是依法批准组织成立的,内部审计机构是根据法律(审计法)及企业公司制度设置的。
(2)所属管理体制不同
政府审计机关是各级政府的组成部分;会计师事务所是具有独立法人资格的集体性质的单位;内部审计机构是企业(单位)中的一个部门。
(3)作用范围及效力不同
内部审计机构主要对企业内的利益相关者负责,其审计结论和决定具有一定的阅读范围,且一般情况下不能对外,除非用作特殊的场合,比如公检法的取证等,相关的惩处措施必须依从已报批的内部惩处条例;审计机关则具有对外的法律效力,其工作报告具有明确的公证证明作用,审计机关一般不对非公经济机构进行审计,在法律层面仅代表政府;会计师事务所,则对审计业务的委托方负责,在业务约定范围内完成相应工作,同时必须将其出具的审计报告报送审计机关审定。
(4)工作(业务)内容不同
政府审计是由政府审计机关代表政府依法进行的审计,主要对国务院各部和地方各级政府的财政收支及财政金融机构、企事业单位和其他应当接受审计的财务收支的真实性、合法性和效益性进行审计监督;会计师事务所的业务,是向社会承办审计查证和咨询服务;内部审计机构的工作内容,是对所属企业或单位的经济活动进行检查和评价,并在此基础上提供有效的管理意见,以促使企业(单位)达成目标并实现增值。
2、三者的联系
政府审计、社会审计、内部审计处了相互有区别之外,它们之间也有着一定的联系。
(1)三者之间在行政上的联系
政府审计、社会审计及内部审计共同构成我国的审计体系,三者的相互联系主要体现在其机构之间的关系上,如下图:
(2)三者在审计内容上的联系
a、政府审计可将审计范围内的部分审计事项委托会计事务所审计,或利用内部审计机构或会计事务所的审计力量资源和成果资源。政府审计在审计资源不足的情况下,可通过招标等方式,将一般常规性审计项目委托会计事务所进行审计,由政府支付一定的审计费用;而有的在对国资背景的企业领导人进行经济责任审计中,则可以利用经核实确认后的内审和CPA审计的审计结果,有重点地开展审计,既减轻了企业负担,又节省了审计成本。
b、政府审计、社会审计以及内部审计之间的成果资源可相互借鉴和利用,以减少重复审计,节约审计成本。这个主要还是体现在国资背景的审计项目中,比如政府审计强调对企业经济活动的真实、合法和效益三个方面的审计,而CPA审计主要是对财务报表的真实性进行审计,这样真实性方面就重复了,因此政府审计的重点就可以放在合法性和效益性的审计上,真实性则可以依托CPA审计的结果。
c、内部审计和社会审计组织可以借助国家审计机关的权威来提高自身的工作质量,减少审计风险。会计事务所在受托审计中的首要负责对象是委托方,内部审计机构由于从属于企业内部管理,因此两者在某些敏感性事项的审计中,独立性也容易受到干涉;而政府审计机关层次高、权威性大、也带有强制性,其独立性很强,因此在审计机关的统一组织、监督和指导下,会计事务所和内部审计机构就可按照政府审计的要求实施审计,可以充分发挥自己的专业和人员优势,深查细挖,敢于大胆的披露问题,规避审计风险。同时国家审计也可以利用会计事务所和内部审计的成果分析被审计单位内部控制存在的薄弱环节。
二、内部审计与内部控制的关系
(一)内部审计是内部控制的重要组成部分
内部审计在内部控制中,是属于环境控制要素的范围,是企业(单位)自我独立评价的一种活动,即内部审计本身就是内部控制系统中的一个重要组成部分,以协助企业(单位)最高管理者监督内部控制政策和程序的有效性,来促成好的控制环境的建立,并为改进内部控制提供建设性意见,因此没有内部审计的评价、监督,就不能形成良好的企业内部控制制度。
(二)内部审计是对内部控制的控制
内部审计独立于内部控制之外,代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价,目前内部审计范围已从传统的财务收支审计扩展到企业发展过程中的各方面。内部审计通过对问题产生的原因和影响进行分析来协助企业(单位)上层管理者完善内部控制。
由上可见,内部审计与内部控制是相辅相成、缺一不可的。没有健全、良好的内部控制作基础,企业内部信息会出现失真,管理人员责任会不明确,管理会出现混乱现象等,内部审计就无法开展。同理,内部控制需要内部审计来实现独立客观的评价,并进一步完善内控体系的建立。
在以上已经讨论了内部审计与内部控制的关系基础上,我们再来看看与之相关的内部控制、公司治理、风险管理之间的关系。
关于内部控制与公司治理:有人说“内部控制是公司治理的基础,因为没有系统且有效的内部控制,公司治理将无所作为”;也有人说“公司治理是内部控制的基础,因为公司治理属于控制环境的一方面,而控制环境是内部控制的五要素之一”。
关于内部控制与风险管理:有人说“风险管理包含了内部控制,因为SO的风险管理八要素中,内部控制是其要素之一”;也有人说“内部控制就是风险管理,因为内部控制的目标就是实现对风险的管理”;还有人说“内部控制和风险管理是相互重叠且相互补充的,因为内部控制系统无法对非传统的风险进行管理,比如政治风险、技术风险、法律风险等企业管理系统外的风险因素。”
其实,关于内部控制、公司治理和风险管理三者之间的关系,理论界和实务界至今没有形成一个非常统一和明确的意见。不过大部分人认同内部控制属于风险管理的范畴,这也是基于ERM风险管理框架的理解。
此处我们也不想针对这个问题进行过多深度分析和探讨并形成一个结论。我们可以明确的一点是:但无论怎样的争论,我们均无可否认内部控制、公司治理及风险管理都是基于企业战略目标实施过程中的控制与管理,控制或管理的对象各有侧重,几个方面所追求的最终目标实际是一致的。
小结
我们从内部审计与政府审计、社会审计之间的关系说起,厘清了相互之间的区别与联系,同时又对内部审计与内部控制、风险管理等方面做了探讨。
总而言之,内部审计作为一个较为特殊的职能范畴,它虽有着自己独特的一面,但这个独特面的展示也是离不开其他关系支持的,认清相互之间的关系,能从这个关系中找到更好的工作切入点,更加有利于内部审计的价值体现。