基于认识论对现代内部审计基本职能的分析与思考
作者:鲍圣婴
中国内部审计 2015年06期
2013年中国内部审计协会在其发布的《第1101号-内部审计基本准则》中修订了内部审计的定义,新的定义是:“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。”该定义借鉴了被公认为最具权威性的国际内部审计师协会(IIA)的定义,同时充分考虑了我国内部审计发展的实际。定义中明确了内部审计的两大基本职能——确认和咨询,体现了我国与国际内部审计职业界对内部审计职能认识的趋同。
从历史唯物论的角度看,这种对于内部审计职能认识的趋同反映了人们对内部审计本质属性的认识逐渐清晰的过程。无论是国内的内部审计还是国外的内部审计,古代的内部审计还是现代的内部审计,其根源都是受托责任关系,是财产所有者基于受托责任关系为确保财产所有权、收益权而采取的一种管理措施。从认识论的角度看,这种认识的趋同反映了随着内部审计实践的发展人们对其认识不断深化的过程,也反映了我国内部审计实践与西方发达国家内部审计实践的逐步接轨。本文试图从辩证法和认识论的角度对内部审计职能进行分析,以期进一步深化对内部审计职能本质的认识,促进更好地发挥内部审计职能作用。
一、历史地看:内部审计职能的演化基于受托责任关系
内部审计的渊源可以追溯到远古时代。自人类社会出现私有制,人类的生产活动都是在一定的经济责任关系制约下进行的。奴隶社会私有制的出现,奴隶主将私有财产委托给代理人去管理,从而产生了受托责任关系。代理人是否诚实地履行职责,奴隶主会委派他认为可以信赖的第三者去审查,这些第三者接受了奴隶主的委托,对管理者(代理人)进行监督检查,并把他们的意见向奴隶主报告,这可以认为是内部审计的萌芽。尽管这种监督检查工作处于非常简单的状况,但已显现了内部审计工作的基本性质。之后,欧洲中世纪出现的寺院审计、城市审计、行会审计、庄园审计,其审计职能主要是查错防弊,向财产所有者(庄园主、封建领主等)报告受托管理人是否忠实地履行管理责任。19世纪末20世纪初,近代内部审计随着大中型企业管理层次的增多和管理人员经济责任的加重,基于企业内部经济监督和管理之需而产生。此时企业内部多重受托责任关系的形成,拓展了内部审计的职能,从简单的查错防弊发展到对企业管理控制和经营效率进行审查。而现代内部审计是在20世纪40年代以后,随着公司制股份制成为企业的基本形态,公众公司成为企业的主流,企业内部结构和外部环境进一步复杂化,使企业权力,包括治理权、管理权等不断分化,企业内部形成更为复杂和多层次的受托责任关系,由此产生了对受托治理责任和内部各层级的受托管理责任的审计需求,内部审计通过其系统、专业的审计手段向企业各利益相关者(董事会、管理层)提供确认和咨询服务,减少委托人和代理人之间的信息不对称,解决信息不对称所带来的道德风险和逆向选择问题,评价和改善受托责任系统,以此减少组织风险,降低组织成本,提升组织整体价值。
综上所述,从内部审计的发展历程来看,无论是古代的、中世纪的,还是近代、现代的内部审计,都是立足于受托责任关系,受托责任关系的出现是内部审计产生的原因,受托责任关系的发展变化也指引和支配了内部审计职能的演化。现代内部审计的职能发展为确认和咨询,是不依人的主观意识而转移的,是受托责任关系发展的历史必然。可以说,组织内在的需要是内部审计产生的根本原因,内部审计的确认和咨询职能是其本身固有功能发展到当前历史阶段的产物,是内部审计适应组织需要所具备的能力,是其内在的客观属性。
二、辩证地看:内部审计职能在不断发展变化
IIA在《国际内部审计专业实务标准》词汇表中,对确认与咨询进行了表述,确认是“对组织的风险管理、内部控制和治理程序提供独立的评价,这包括财务、经营业绩、遵循性、系统安全、审慎性调查等业务”;咨询是“在内部审计师不承担管理职责前提下,为组织增加价值,并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务”。中国内部审计协会在《内部审计准则准则释义》中阐述,内部审计职能“确认”与“咨询”标志着内部审计除了要对组织的业务活动、内部控制和风险管理进行监督检查,出具评价意见外,还要针对审计发现的问题分析原因,从体制、机制和制度层面提出意见,帮助组织改善管理、健全制度、提高效益,以促进组织完善治理、增加价值和实现目标。以上国内外对内部审计确认和咨询职能的认识,是基于内部审计实践经验的总结。实践是认识的基础、认识的来源。内部审计实践是一个不断发展的过程,人们对它的认识也是一个不断深化的过程。
IIA自1941年成立以来,先后多次对内部审计定义进行修订。IIA在二十世纪四十年代指出,内部审计主要处理会计和业务问题,也要适当处理经营方面的问题。五十年代指出,内部审计是在组织内部对会计、财务和其他经营活动的独立性评价活动。七十年代初期指出,内部审计是在组织内部对经营业务的独立性评价活动,为管理服务。七十年代末期指出,内部审计是在单位内部设置的`履行独立检查职能的部门,其任务是检查和评价单位的活动,内部审计的目的,是协助该单位的人员有效地履行其职责。为了达到这一目的,内部审计对其所检查过的活动要提出分析、评价、建议、咨询和信息。八十年代指出,内部审计工作是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行检查和评价。内部审计的目的是协助该组织的领导成员有效地履行其职责。为达此目的,内部审计工作为他们提供所审查的活动有关的分析、评价、建议、忠告和资料。1999年指出,内部审计是一项独立、客观的确认和咨询活动,其目的在于增加价值和改进组织的经营。它通过系统化的方法,评价和改进风险管理、控制和管理过程的效果,帮助组织实现其目标。
这一变化历程向我们揭示了内部审计活动的发展。早期内部审计更加侧重对一般财务收支的监督检查,随之发展到对广泛的业务活动进行监督检查,明确了内部审计为管理服务的目的,进而把内部审计的落脚点放在协助单位管理人员有效履行职责上。到20世纪末,IIA明确了“内部审计是一种独立、客观的确认与咨询活动”。这一定位不仅明确了内部审计具有独立和客观的基本性质,内部审计的基本职能是确认与咨询,而且明确了内部审计是一种利用专业化、系统化、规范化的方法去评价和改进组织的风险管理、控制和管理过程的效果的过程,其最终目标是促进组织增加价值和改进组织运营,帮助组织实现目标。这一定义更加准确地描述了内部审计职业的广阔领域和在组织中的重要地位。
半个多世纪来现代内部审计定义的变化,完全反映了内部审计实践的发展过程,也反映了人们对内部审计的认识随着实践的发展逐渐深入的过程。而随着经济社会的发展,组织治理环境的变化,内部审计的职能必将进一步向前发展。辩证唯物主义认识论认为,人的认识是一个不断深化的、能动的辩证发展过程,人的认识来源于实践,但往往人的认识是有限的,或者说人对事物的认识不是一次完成的,是多次反复不断深化的过程。因此,我们对内部审计的认识也是一个循环往复、不断发展的过程。正如内部审计如何促进组织增加价值,将可以有无限广阔的认识空间,有待于人们去思考、去研究、去发现。
三、对充分发挥内部审计职能作用的思考
人的认识来源于实践,认识与实践结合的目的在于指导实践。今天我们研究内部审计的职能,目的在于总结内部审计实践,使内部审计能够充分发挥其职能作用,更好地服务于组织。中国内部审计协会与IIA在内部审计定义方面的趋同,都明确了一个重要问题,即内部审计的目标是为组织增加价值。这一目标向我们传达了一个信息,内部审计的使命是要服务于组织的需要。目标决定职能定位,内部审计如何为组织增加价值,IIA实务框架词汇表3中表述“内部审计通过确认和咨询服务增加组织实现既定目标的机会,确认运营的改进,并/或降低风险暴露的程度,从而为组织创造价值。”内部审计通过履行确认和咨询职能,提供组织需要的产品和服务,帮助组织实现增值。上个世纪90年代以后,世界经济形势发生了深刻变化,特别是美国世通、安然事件的爆发以及随后美国颁发的《萨班斯——奥克斯利法案》让人们再次认识到,一个组织治理失败所产生的巨大影响,内部审计要在组织治理中更好发挥确认咨询职能。
(一)更好地理解组织目标是充分发挥内部审计职能的前提
内部审计应从组织的总体去思考问题、研究问题,更好地理解组织战略规划和具体目标是什么,措施是什么,管理层关注的重点是什么。这是充分发挥内部审计职能的前提条件。
内部审计应参与到组织战略管理过程中,发挥内部审计优势,深入调查分析,为优化组织战略,保障组织战略的有效执行发挥作用。内部审计人员要有更广阔的视野,关注组织的发展,明确自身在组织中的地位与作用,不断拓宽工作领域,服务于组织发展的需要。中国内部审计基本准则第十条规定,内部审计机构和内部审计人员应当全面关注组织的风险,以风险为基础组织实施内部审计业务。这一规定意味着内部审计在确定审计战略,制定工作计划时,都要充分考虑组织的风险,特别是充分理解管理层的风险偏好水平,使得内部审计工作的总体安排、目标方向与组织的目标一致,服务于组织实现目标的需要。
(二)提供高质量的财务、风险控制和绩效审计服务是充分发挥内部审计职能的基本途径
内部审计开展财务、风险控制和绩效方面的审计应该是实现确认与咨询服务的基本方式。从远古时代到21世纪,开展财务审计对组织业务活动的真实性,合法、合规性提供确认,一直是内部审计的基本职能。内部审计人员可以对组织的各类业务活动,包括各类业务活动的内部控制情况进行审计,检查这些业务活动的风险识别、风险评估工作和所采取的应对措施的落实情况,检查业务活动的合法、合规性以及与之相关记录的真实性,发现业务活动中存在的问题,提出确认意见,帮助组织及早发现问题,保障组织各项业务活动合法合规开展,确保组织目标的实现。随着近年来一些组织发生的重大舞弊案件,使舞弊以及舞弊审计也被看做是加强风险管理的重要内容。内部审计被普遍认为在开展舞弊审计方面,较之外部审计有更大的优势。
绩效审计的出现使得内部审计在促进组织改善管理,更好地利用组织资源,增加组织价值方面发挥了更加积极的作用。内部审计在进入上个世纪40年代之后,随着世界经济的迅速发展,市场竞争的日益加剧,加之内部审计对组织经营管理活动的环境与过程的深入了解,其审计范围开始超越财务领域,扩展到经营管理方面。研究美国审计署制定的《政府审计准则》中关于绩效审计的定义和中国内部审计协会《第2202号内部审计具体准则——绩效审计》都清楚地说明,绩效审计关注组织经营管理活动的经济性、效率性和效果性。首先要对其进行检查取证,以实现对组织项目活动和功能独立评价,包括对组织内部控制适当性、有效性的评价。通过绩效审计在帮助管理层实现发展战略、有效履行管理职能、达到预期目标方面更近了一步。
(三)加强信息系统安全性审计是充分发挥内部审计职能的保障
信息技术的飞速发展,大数据时代的悄然而至已经极大地改变了企业组织的经营管理方式。在这一背景下,信息系统风险是最大的风险,组织运营的风险更加复杂,组织既定目标实现的机会增加了大量变量。目前,组织业务处理过度依赖信息系统,对信息系统安全存在重视不够的情况,信息系统技术漏洞和人为舞弊等问题已成为社会关注的焦点,如何确保信息系统的安全已变得越来越重要。内部审计发挥确认与咨询职能,为组织增加价值的风险也将与日俱增。因而,必须加强信息系统的安全性审计,以保障有效发挥内部审计职能。
近些年来,内部审计从探索利用计算机审计、关注系统数据处理,发展到对信息系统安全性的审查和评价。在当今越来越多的利用信息系统集中化处理业务的情况下,内部审计人员首先要关注信息系统的安全性与可靠性,只有系统是安全可靠的,才可以保障系统处理的数据及其方法的真实完整。对于信息系统安全的定义有很多,但实质大体相同,主要是指防止组织的信息被违背授权的人进入、使用、披露、更改、复制等。信息系统安全不仅指虚拟世界的数据安全,也包括数据信息物理实物上的安全。而信息系统安全审计就是一种建立在组织信息系统安全上的审计。信息系统审计的范畴很广泛,方法和目标也因不同的组织需要而有所不同,但核心内容主要是对组织信息系统的技术、实物安全和管理层面的控制点进行审计。同时,信息系统安全审计也不仅仅是建立在对虚拟数据库的审计上,也包括对诸如数据中心这种实物的安全性上的审计。这就要求内部审计人员要更加深入地了解信息系统的开发、程序设计及信息处理的具体过程,并采用专业的审计程序对系统进行测试。将保障信息系统的安全性作为内部审计的目标,按照中国内部审计协会《第2203号内部审计具体准则一信息系统审计》的要求,对组织信息系统的安全性、承载业务的有效性以及系统建设的经济性加以审计,为管理层提供有价值的意见和建议,在保障系统安全,防范风险,实现组织目标方面提供确认和咨询服务,发挥重要作用。
机遇与挑战永远并存。在这样一个信息化时代,内部审计在组织中的重要性与职责必将显著增强。
作者介绍:鲍圣婴,甫瀚咨询公司
【基于认识论对现代内部审计基本职能的分析与思考】相关文章:
内部审计的职能论文10-06
《论现代企业制度下内部审计的职能》01-20
论现代企业制度下内部审计的职能论文01-20
关于高校内部审计转型的思考07-21
价值链视角下内部审计职能定位的论文10-04
现代企业制度下的内部审计刍议01-20
会计基本职能07-22
内部审计增加组织价值分析的论文10-04