美国内部审计特色
去年11月,我有幸参加了由中国内部审计协会举办的赴美国风险评估与管理审计培训和考察。此行启发和收获很大,充分认识到美国与中国内部审计工作的不同,了解了美国的内部审计工作在政府管理中发挥的作用,吸取了发达国家内部审计工作的经验。
一、美国内部审计体制的主要特点
美国审计体系由国家审计、民间审计、内部审计3部分组成。其中,内部审计又分为政府内审、企业内审2大类。美国内部审计历史较短,但近年来发展迅速,特别是安然事件和萨班斯方案颁布后,内部审计在美国审计体系中的地位日益显著。美国内部审计在组织机制、审计理念、人员资质、质量管理等方面具有以下特点:
(一)独立性、权威性较强的组织机制
在美国,内审机构在组织中的地位受法律法规保护,独立性原则在组织结构、报告关系、人员任命等方面得到了较充分的体现。例如,美国法律规定,任何一个企业都必须有内部审计机构,所有企业上市公司必须设立内部审计委员会,由不参加经营、管理的外部人员组成。在实践中,审计委员会通常与高级管理层平行,内审部门受委员会领导并向其报告工作,从而形成了较为独立的工作机制。在政府内部审计方面,内审机构的组织地位和运作方式由联邦法律及各州、各地方政府法律法规加以规范,同时政府内审要落实审计总署的报告。根据法律规定,内审机构的主要负责人必须直接或间接地由公众选出,审计结果要以适当形式向公众公布,这在一定程度上保证了内审工作的公允性和透明度。一些政府机构内部还设立了与企业类似的审计委员会体制,例如本次考察的橙县审计局,要向该县审计管理委员会负责并报告工作,审计管理委员会由县议员3名、财务总长1名、民众选举人员1人组成,具有较高的权威性和公允性。
除机构设置外,内审工作的独立性和权威性还得益于严格的管理制度和良好的沟通机制。在美国,内部审计的宗旨、权利、内外部协作关系等通常在组织的正式书面文件中有着明确规定。例如,制度规定,各部门工作人员必须配合审计工作,凡不予配合的,审计经理可向该部门负责人反映问题,并通过审计负责人向管理负责人(CEO)报告;对审计提出的问题,如被审计单位未在规定时间内采取整改措施或整改不到位的,单位负责人必须向本县审计管理委员会说明情况,如果没有充分理由,该负责人将面临解职、降职等惩戒措施,所以说,审计建议的落实率达99%。
(二)精干、高效的专业队伍。
通过实地考察,我们了解到美国内外审计人员自身素质非常高,懂税法(法律法规)、懂业务(被审计岗位业务)、懂审计专业、懂计算机系统,是一个审计人员必须具备的基本条件。美国内审机构在人员资质管理方面具有以下特点:(1)十分注重审计人员的专业资格。美国与内部审计有关的专业资格认证体系非常发达,设有CPA(注册会计师)、CIA(国际内部审计师)、CISA(注册信息系统审计师)、CFE(注册诈欺审计专家)等多种资格证书考试,且相应的后续教育制度和体系也较为完备。在这种背景下,美国内审机构对审计人员的专业资格有较高的要求,以洛杉矶交通局为例,80%以上的审计人员拥有一种或几种专业证书;(2)注重实际工作经验和表现,对新招聘审计人员设一定时限的试用期;(3)审计队伍由具备不同专长、不同专业背景的人员组成,对信息技术等专业性较强的领域,聘请外部专家(会计师事务所)提供技术支持。同时,为弥补人力资源的不足,美国内审机构则十分重视利用民间审计力量,以外包形式引入会计师事务所协助进行内部审计,并通过招投标、签订合同等方式对专业事务所资质及工作质量进行控制。
(三)以控制风险、改进管理为核心的审计理念。
美国内审的定义认为内部审计是一种独立的客观性保障,提供咨询活动,帮助企业客观评估,其目标是增加组织价值、改进组织管理,通过系统、严格的程序对风险管理、内部控制和监管程序的有效性进行评估,帮助组织为实现其运作目标服务。根据上述理念,内审的目的不仅是为了惩治,更主要的是为了纠正问题,预防风险,促进相关部门加强管理;审计内容也不再限于传统的财务审计,而是向信息系统、经营、合规、欺诈调查、效率效益审计等方面扩展。内部审计逐步由事后审计转为事前、事中全过程审计;由单一的审计部门(人员)参与的审计转为由各部门和各方面共同参与的审计;由以控制为基础的内部审计转为以内部控制、风险管理、部门治理相结合的审计。如下表的新旧模式对比:
| 旧模式下 | 新模式下 | |
| 内审关注重点 | 内部控制 | 业务风险 |
| 内审反应类型 | 反应式的事后审计,对战略规划进行非持续的观测 | 互动式的实时审计,在战略规划中起到持续性监控作用 |
| 风险评估 | 注重风险因素 | 注重风险预案 |
| 内审测试 | 强调重要控制 | 强调重要风险 |
| 内审方法 | 强调细节的执行、内控测试的完整性 | 强调风险覆盖的有效性 |
| 内审建议 | 以内部控制为主,包括:内部控制的强化;成本-效益的改进;效率和效果的提高等 | 以风险管理为主,包括:风险规避/对冲;风险分担/转移;风险控制/接受等 |
| 内审报告 | 围绕功能性控制情况展开 | 围绕程序性风险情况展开 |
| 内审在组织中 的作用 |
承担独立的评价功能 | 参与综合性的风险管理和联合监管 |
(四)内外相结合的质量管理模式
一是内部控制,指内审机构主动采取措施防范、控制审计风险,包括:严格执行审计标准和程序,制订科学的审计计划;根据工作需求组建专业对口、业务精湛的审计团队,要求审计人员对所有事务持合理的怀疑态度,并就独立性作出承诺;对审计证据的可靠性实行分级管理;在机构内部对审计(评估)结果实行多级复核制;建立抽样检查制,由相对独立的部门和人员(如审计负责人的特别助理)定期对审计工作质量,包括审计范围、深度、品质进行特别审核等。
二是外部控制,主要指内审机构要定期接受同业审计质量评估,内容涉及审计人员素质、审计证据、审计报告质量等方面。以洛杉矶交通局为例,该局每三年就要接受一次美国交通审计协会(非盈利组织,由各地交通局审计高层组成)的内审质量检查。
二、风险评估在内部审计中的应用
风险管理不仅对组织运作效率和效果的提高有着直接的作用,对内部审计的工作范围、审计责任、审计方法也产生了深刻影响。
(一)根据风险评估结果确定年度审计计划
内审部门每年都要对本部门各类业务存在的风险进行综合排序(涉及策略、法规、经营及财务等方面,但不包括无法控制的外部风险),根据所掌握资源挑选其中最关键的业务和项目实施审计。
评估过程中,内审人员主要依据两大要素对各类风险进行排序——风险发生的可能性和风险影响程度。依照事先设计的风险打分方法(风险模型),内审人员将各类业务的风险可能性和影响程度划分为不同档次,据此形成风险评估热性图。该图可以直观地反映关键性风险、高风险、中风险和低风险的分布以及不同类业务所处的风险区域,从而为审计重点的确定提供依据。
(二)根据风险评估结果确定单个审计项目的工作计划
内审部门一致认为,对一个审计项目而言,计划是整个审计流程中最重要的环节,而风险评估又是计划过程中最关键的一步,对计划的合理性具有至关重要的影响,审计目标和方案的确定应充分反映风险评估的结果。这类风险评估的主要包括:第一步:了解管理层想法;第二步:收集背景资料;第三步:开展调查;第四步:根据调查结果形成本项业务的风险评估表。
三、管理审计在美国内部审计中的实践
(一)对管理审计的认识
在美国,管理审计的发展十分迅速。目前,在美国审计总署对各政府机构实施的审计中,效率和效益审计已占80%。而在内审领域,由于管理审计与内部审计增加组织价值、改进组织管理、帮助组织实现运营目标的原则相符合,更有利于发挥内审部门的作用、增加内审工作的附加值,代表了今后内部审计发展的方向。
(二)绩效审计的基本步骤和应用技巧
绩效审计是管理审计的一项重要内容,其基本步骤如下:(1)组建审计团队;(2)下达审计通知书,与被审机构会谈,初步确定审计内容;(3)深入了解组织运作情况,包括每一工作程序的目标、投入、产出、影响以及与其他程序的关联性;(4)在团队内部开会讨论审计目标、审计风险及审计方法;(5)制定审计计划备忘录和审计流程,评估是否需要聘请外部专家;(6)实施现场审计;(7)与被审计对象进行沟通,对审计发现进行确认;(8)针对每一审计发现进行分析,确定问题产生背景、原因、关键因素、主要影响, 提出改进建议;(9)起草审计报告;(10)对审计质量进行复核;(11)向对方提交审计报告,要求被审单位在规定时间内反馈意见;(12)在规定时间内评估被审计单位反馈意见;(13)对审计意见落实情况进行跟踪和监控;(14)实施后续审计;(15)通过后续审计对审计意见落实情况进行评估。
绩效审计的应用技巧包括:(1)发放调查问卷,从反馈信息中发现组织的潜在问题;(2)了解组织整体运作情况,就一些根本性问题进行提问,确认组织管理是否规范;(3)使用头脑风暴法——在审计团队内部集思广益,从而更充分地认识审计风险、制订更完善的审计计划;(4)使用标杆法——参照同业标准考察组织绩效(主要步骤包括:确定采用什么标杆—了解本企业程序—研究最优同业—访问最优同业—分析相关信息—改进实施计划);(5)在现场检查前,优先解决内控设计方面的问题(主要方法包括:与管理层进行充分讨论,确认是否有其他弥补措施,评估对方反馈意见的合理性,确认问题产生背景、原因、影响等);(6)评价、验证组织内考核指标设计和执行情况,包括指标设计是否合理、在工作实践中是否得到了切实应用、指标计算是否准确等。
四、体会
通过学习和思考,感受良多,虽然加强内部控制已成为我国面临的重大课题,但由于中美两国国情不同,国际上权威的“COSO内部控制框架”不是“圣经”,美国的《萨班斯法案》不适应我国国情,但美国内部审计中的一些基本原则和作法,对改进和完善我国的内部审计仍有重要的借鉴意义。
(一)提高内审工作的独立性和权威性
独立性是审计的重要属性。我国内部审计应借鉴美国内审的经验,逐步建立完善的审计管理委员会制和相应的工作体系,规范审计部门与其他管理部门的沟通、交流机制,提高审计工作的透明度,主动接受其他部门的监督,从而提高内部审计工作的独立性和权威性。
(二)加强风险评估在内审领域的应用
在今后的内审实践中,审计人员应进一步加强对风险管理理论的研究和探讨,在年度审计计划确定、审计方案制订等工作中充分应用风险评估工具,并逐步加以改进、完善,提高内审工作的质量和效率。
(三)从传统审计逐步转向管理审计
开展管理审计不仅是组织发展的内在要求,也是内部审计自我发展的需要,代表着今后内审发展的方向。如何将传统审计向管理审计延伸,我国内审人员必须转变观念,立足于“内向服务”,重新对内审职能进行定位,主动参与组织管理,关注管理层的主要兴趣,积极开展业绩评价,帮助管理层更好地履行职责,提高管理工作的效率和效果。
(四)提高内审人员素质,充分利用外部审计资源
内审人员不仅要具备审计方面的专业知识,还要了解、熟悉与企业战略管理、人力资源管理、组织管理、风险管理等有关的理论和实践。因此,内审人员必须注意吸收与上述领域有关的专业知识,学习和借鉴国内外先进的审计理论和技术,提高自身专业修养和业务水平。在内审人员不足的情况下,可以借鉴美国内审的经验,充分利用社会审计力量,通过招投标、签订合同等方式控制其工作质量,解决审计力量不足的矛盾,为内审领域注入新的活力。
Related posts: