浅析内部审计与公司治理

韩秋媛

山东中明会计师事务所有限公司 山东济南 250013

1 内部审计与公司治理

1.1 概念

内部审计之父索耶这样来描述内部审计：内部审计是对组织内不同的运营和控制实施系统进行客观评价的活动，以确定财务和运营信息是否准确可靠，企业所面临的风险是否已经被识别和最小化，外部规章制度和可被接受的内部政策和程序是否已经被遵循，是否已经达到了令人满意的运营标准，资源是否能够被有效地、经济地加以利用，是否有效的实现了组织目标。而这一切的最终目的都是为了提供管理咨询和帮助组织的成员能更有效地履行他们的治理责任。

现有的公司治理概念可以区分为狭义的公司治理和广义的公司治理。狭义的公司治理是公司所有者对经营者的一种监督与制衡机制，以保证公司管理层的行为同股东的利益相一致，实现所有者利益最大化，防止经营者对所有者利益的背离。而广义的公司治理不仅包括了监督和控制公司及其所有者之间的关系，也包括了监督和控制公司与其他广泛的利益相关者的关系，这些利益相关者包括雇员、客户、供应商、债权人，甚至社会公众等[1]。

1.2 二者关系

如上所述，公司治理的目标是实现所有者利益最大化，因此派生了治理机构，治理机构包括股东会、董事会、管理层、监督机构以及其他利益相关方，会计信息系统是所有治理机构沟通的载体，会计信息的真实可靠制约着公司治理的效率，而审计则是对会计信息质量的监督。内部审计和外部审计是相似的，都是为所有者监督企业的管理层，他们都是一种委托代理关系，受企业所有者委托，对管理层经营情况进行审计。因此内部审计是经营管理实行分权制的产物，是在受托经济责任关系下，基于经济监督的需要而产生和发展的。因此，内部审计是捍卫企业内控体系与公司治理结构的重要手段。

2 内部审计之于公司治理的作用

内部审计最初是以会计为导向的专业，主要是对会计信息质量进行监督，而现代内部审计正在转变为以管理为导向的专业，不再局限于核查财务事项的准确性，还包括识别并最小化运营风险，参与公司决策等。越来越多的公司由于自身审计资源不够能力不足而主动委托中介机构对自身进行内部审计，其原因便是认识到了内部审计对于企业的价值，希望通过内部审计发现自身运行管理中的问题，寻到症结所在，以便对症下药，防患于未然。内部审计不仅是现实资产的守护者，财务报表的复核者，会计核算的勾稽者，更是强化管理的促进者、提高效能的推动者、价值增值的促导者。

2.1 监督作用

监督可以说是内部审计的基本职能，公司可以通过内部审计发现公司治理当中出现的问题，并督促各级别、各部门进行纠正，严格遵守公司制度、国家法律法规，维护企业的健康运行，还可以提前发现公司治理当中的潜在问题，为管理者提供建议。安然公司曾是一家位于美国的能源公司，2000年披露的营业额达1010亿美元，公司连续六年被《财富》杂志评选为“美国最具创新精神公司”，然而2001年，被曝出财务造假，虚增盈利近6亿美元，并且经过调查，安然还隐藏了高达130亿美元的巨额债务。安然公司宣告破产，受安然丑闻影响，作为安然公司财务报告的审计者-位列世界第一的会计师事务所安达信最终倒闭。而之前安然公司内部的审计人员对公司的财务状况曾提出自己看法，表示怀疑报表的真实性，这对安然公司舞弊案件的进程起到了推进的作用。安然事件以后，美国推出了塞班斯法案，明确规定加强公司内控审计，之后，我国也出台了《中国内部审计准则及指南》，正式确立了内部审计与董事会、管理层和外部审计并列为现代公司治理的四大基石。内部审计部门作为独立于经营层的部门，在保证独立性又有权力的情况下，可以很好地去监督经营部门，防止经营部门违规，是利益相关方的守门员，然而在安然事件中，内部控制形同虚设，管理层没有去考虑违规的边际成本，内部审计部门亦没有起到监督作用，才会导致如此大的公司毁于一旦[2]。

2.2 风险管理

二十世纪九十年代以来，企业所面临的经营环境不断发生着变化，经济全球化且竞争日趋激烈，信息技术的快速发展及应用，战略联盟及收购兼并成为企业战略的主线，促使企业不断地进行管理变革，由此带来的企业的不确定性越来越大，变化成为不变的真理，因此企业风险越来越大，这使得企业重新审视内部审计职能的重要性，以风险为导向，控制为主体，增值为目标的内部审计新模式正在形成，内部审计从以前的发现问题和评价为主转向防范风险和解决问题。

2019年，美国最大的征信机构Equifax将支付约7亿美元，就2017年一起大规模数据泄露事件与美国联邦贸易委员会（FTC）达成和解。在这起事件中，总部位于亚特兰大的Equifax在超过六周时间里没有觉察到黑客攻击，大约1.43亿位消费者的社会保险号码、出生日期、地址、驾照号码和信用卡号码等被泄露，该和解协议，部分目的是为了解决内部审计、董事会和管理层监督方面的缺失；2018年，美国第三大银行—富国银行与美国两大监管机构达成和解，为该公司在汽车保险和按揭业务中的不当行为支付10亿美元，这是美国联邦监管银行的机构以及消费者金融保护局所处以的最高罚款，该银行曾于2016年承认设立350万个虚假账户，因而受到严格监管，2018年又为数千名不需要汽车保险的客户办理汽车保险并收取费用，造成客户违约，并最终导致客户汽车被收回，该行还承认，为了锁定按揭贷款利率，不合理地收取客户费用，该和解协议，促使该银行同意改变其风险和合规做法，其中包括为其董事会制定一项详细计划，以强化其合规和风险管理部门。富国银行、Equifax等等的丑闻，极大地提高了人们的风险意识，促使人们去重新认识内部审计的重要性，内部审计就是公司的免疫系统，他可以去识别风险，分析风险，评估风险，没有风险评估就不会有有效的控制，两者相辅相成，保证了企业的健康运行。

2.3 资源优化配置，增加企业价值

内部审计就像企业的医生，通过为企业把脉问诊，开处方治疗，使企业恢复健康，以此为企业增加价值，价值可能是有形的也可能是无形的。比如内部审计发现企业多缴税，或者企业成本增加，通过退税或者向管理者提供节约成本的建议，使企业减少损失是为企业增加价值；再比如某企业产品大量退回，表面原因是出厂时没有检查好，是质检的问题，通过审计调查，发现质量监督部门已经向生产部门提出了建议，而生产部门为了生产进度，没有接纳质检部门的建议，从而造成产品多次退回。通过协调，该问题得以解决，也是内审部门为企业增加的价值，而这个价值是通过发现根本性的原因来永久的解决问题，无形中改进了企业的管理，从而为企业增加了价值。再拿前面所举案例来说，如果内部审计真正发挥了监督作用，内部控制得到有效执行，风险在初期便得到控制，安然公司不会破产，Equifax和富国银行将分别省下7亿美元和10亿美元，这更是一笔巨大的财富价值[3]。

3 企业内部审计现状

在当前社会，内部审计的发展有好的一面也有难点，好的一面是国家的重视与倡导，国资委《中央企业全面风险管理指引》中对企业的风险管理工作提出三道防线“各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线”，除了政府部门，许多大中型企业、国有企业也都设立审计部门，除了自有的审计资源，他们还会聘请第三方为他们做一部分专项审计，比如离任审计、经济责任审计、清算审计、绩效评价审计，等等；另一方面，内部审计原来以事后审计财务审计为主，现在越来越多偏向于事前事中审计，比如绩效评价审计，说明内部审计已经在经济形势的推动下开始由内部控制审计转向风险管理审计。但是我们不得不看到另一面，即我们国家内部审计起步比较晚，发展相对较慢，在一些中小企业，他们对于内部审计工作在促进企业管理变革、防范企业风险方面认识不足，普遍没有设立单独的审计部门，即便设立审计部门也是走走形式，审计人员由亲信或者缺少专业知识的人员担任，以至于审计人员缺少独立性和专业性。另外还应当看到我们国家风险管理审计更多还是停留在理论阶段，风险管理所需信息技术还未得到很大的提升和普及，很多审计人员缺少综合知识，缺少相应的IT技术，缺少内部控制审计与风险管理审计的专业指导。因此我们国家的内部审计还需要实质性的进一步的发展，才能尽快与国际接轨。

4 加强企业内部审计，促进企业内部审计转型

如前所述，我们国家内部审计还需加强，更多的审计人员还停留在财务审计阶段，更多的时间被财务会计的合规性以及查错纠弊所占用。由财务审计到内控审计再到风险审计的转型还需要更多的时间，需要更多的审计人员的努力，内部审计转型也并非舍弃财务审计，而是将财务审计、内部控制审计与风险管理审计相结合，兼收并蓄，整合提升。将传统的财务审计进行强化稳固，在财务审计的基础上，发现内部控制的问题，发现企业的经营风险，进而解决问题，提升管理水平。

4.1 强化内部控制审计

内部控制审计在我国发展时间也不长，写入审计教材也是近几年的事情，很多审计人员对于内部控制审计的概念都是模模糊糊，不知道内部控制审计都要审什么。强化内部控制审计应当明确内部控制审计范围，不仅仅包括公司的生产、采购、销售、人力资源、现金银行、固定资产、无形资产等的管理及业务流程，还应当针对公司的战略、组织架构、企业文化、发展目标等等进行评价，将内部控制审计与财务审计有机结合，互相补充，强化内部控制审计。

4.2 明确风险管理审计的审计模式

目前我国的风险管理审计大部分还停留在理论方面，少有实战经验，因此研究出一套行之有效的审计模式也是当务之急。风险管理审计应当与财务审计、内部控制审计相结合，尤其是内部控制审计，在内部控制审计的基础上，利用风险管理的技术方法和手段，识别、分析、评估企业风险，并研究企业风险的应对策略和方案，逐步推进风险管理审计。

4.3 加强信息技术审计

说到风险审计不得不说的就是信息技术，风险管理要用到大量的信息技术手段，这正是我们国内审计人员所缺乏的，不仅是风险审计所必需，在内控审计及财务审计上，也应当加强信息技术的培养及学习，更多的去利用现代信息技术提高审计效率。

4.4 提高审计人员素质

提高人员素质既包括专业技能的提升也包括职业道德的修养。提高企业审计人员的专业素质，可以通过引进培训，鼓励学习考证等来实现，提高职业道德修养需要企业及员工一起努力，首先是保证审计人员的独立性，一些企业内部审计只是形式，审计人员没有自己的主见，违背管理层意见等于跟钱包过不去，这导致审计部门形同虚设；审计人员应当敢于承担责任，看到什么就说什么而不是怕这怕那，失去职能的意义，还应当把所有者的利益放在第一位，学会与所有者进行沟通，而不是一刀切，两败俱伤。另外，新的技术风险要求我们保持敏捷和创新。同样的，大量的技术也为我们提供了新的工具，从机器人过程自动化到人工智能，这些都需要我们去快速学习并获得新的技能。

5 结语

综上，内部审计是企业治理的得力工具，只有把这个工具用顺手了，企业的运行才能健康有序，才能实现利益最大化。因此充分利用内部审计职能，提高内部审计人员素养，促使内部审计在本企业尽快推行与完善，是每一家处于全球化竞争中企业的当务之急。