集团公司内部审计风险及其防范分析
内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。集团公司内部审计风险是集团公司内部审计机构及人员在对集团公司会计报表及重大经营管理活动进行审计后发表不恰当的审计结论,对审计报告使用者的决策造成误导,并由此给集团公司造成损失或伤害的风险。内部审计风险具有如下特点:
内部审计风险的客观性。由于集团公司业务的复杂程度,以及审计人员经验和能力的局限,内部审计风险是客观存在的,是不可能消灭,只能通过一定手段将其降低到可接受的水平。
内部审计风险的全面性。内部审计风险遍布集团公司各个业务板块、每项业务的各个环节,以及每个审计项目的各个流程节点中。
内部审计风险的持续性。内部审计风险不仅在审计的准备阶段、实施阶段、报告阶段产生影响,在审计项目终结后仍然延续其影响。未被有效控制的审计风险存在于审计结果中,对之后的使用者造成影响。
内部审计风险的潜伏性。只有在审计结论对集团公司造成的不良影响成为现实,集团公司因此承担损失时,内部审计风险才会表现为实在性。
内部审计风险的可控性。内部审计人员可以通过制度测试、分析性复核等程序,运用专业技能和丰富经验,采取风险导向审计,将内部审计风险控制在可接受范围内。
集团公司业务复杂、层级多,内部审计工作量和难度都很大,加强内部审计风险防范工作,有助于合理分配审计资源,更好地规范内部审计工作,从而保证审计质量。现代信息社会日益复杂,通过审计人员对信息的审计和评价,还可以将信息风险转化为审计风险,再通过审计风险的防范工作,使集团公司管理层得到真实可靠的信息,有助于集团公司正确决策和提高效益。
二、集团公司内部审计风险的类型及其产生的原因
集团公司内部审计风险从不同角度可以有多种分类方法,根据其形成的原因可以分成以下几类。
1.汇报层级较低引发的风险。审计是社会经济发展到一定历史阶段的产物,是财产所有权与经营管理权分离后所形成的受托经济责任关系下,基于经济监督的客观需要而产生、发展和不断完善的一种社会约束机制。很多集团公司(尤其是国有集团公司)对内部审计的定位不合理或不清晰,有的规定内部审计向财务副总汇报,有的规定内部审计向总经理汇报,有的虽然规定内部审计向董事长汇报,但董事长一年内只参加两次集团工作会,基本无暇管理集团包括内部审计等具体工作,实质上仍是向总经理汇报。这种角色定位与职能初衷的错乱影响了内审作用的正常发挥。
另一方面,在机构设置上内部审计部门常常与被监督部门处于平行关系,地位不高、独立性不强、权威性不足。审计工作的推动和审计结果的实现极易受到各种外来因素的干扰,无法充分发挥风险管理的作用。
2.审计程序引发的风险。我国很多企业集团内部审计的工作程序还不够成熟,往往只是从财务角度对经营指标进行分析,做的是一种结果层面的程序,缺乏从业务、内控方面对事前预防和事中监督所做的程序。这种情况下无法为管理者提供有价值的风险防范和决策信息,不能充分发挥内部审计增值的作用。同时出于人员经验和与公司契合度考虑,往往集团公司更倾向于从财务部门调动人员补充内审机构,大量财务专业出身的内部审计人员,习惯于从报表到账面,再到凭证,查找问题,提出的建议与业务实际脱钩,难以付诸实践,造成了审计问题整改率偏低。其缺点突出:一是在账、表、凭证上浪费大量时间,收获有限,不符合成本效益原则;二是审计视角囿于财务资料,失去了通过对业务过程的管控、以增加价值并改进组织经营的机会。
3.内控制度引发的风险。进入21世纪,安然、世通等公司财务丑闻的曝光,使内部控制俨然成为管理者最先进的管理手段。2008 年6 月,国家财政部、证监会、审计署、保监会、银监会等五部委颁布的《企业内部控制基本规范》,将中国企业的内部控制建设推向了高潮。业界的推崇和监管部门的要求,使我国的集团公司管理者十分热衷于搞内部控制建设,但现实情况是很多管理者未理解内部控制的精髓,追求大而全,忽视调研、沟通工作,注重纸面工作,把内部控制建设最终变成了制度手册的编写。由于制度编写过程中未充分与业务实际相结合,最后连管理者都觉得很多方面降低了效率,甚至带头违反内部控制制度,给内部控制造成严重的伤害,也给内部审计带来了巨大的风险。
4.人员引发的风险。大部分集团公司的内部审计人员是从集团内部产生的,常见的是从财务部门调动过来。在一些集团由于内审部门不受重视,甚至被视为是一个老员工养老、等待退休的地方,是一间“大象的坟场”;所以经常被塞入一些财务部门不要的、别的部门淘汰的、不得志的、准备退休的人员。财务部门转岗的内审人员缺乏企业业务知识和经验,相对较低的部审计专业理论。合格的审计人员的知识一般包括三个方面:信息系统方面的知识,主要是计算机的软件和操作运用;二是经营管理和工程技术方面的知识;三是法律方面的知识。;此外,作为内部审计人员,除了是某方面的专家外,还需要经过专门的审计技术培训,才能从事审计工作。不合格的内部审计人员很难做出让管理者满意的审计结果。
另外,在很多集团公司中内部审计机构地位较低,被认为不能创造效益,是一个成本中心。相应地审计人员的待遇和晋升较差,很难吸引和留住优秀人才,造成内部审计工作连续性差,审计工作质量难以稳定和改善。 5.信息沟通引发的风险。一方面集团公司的层级性使得集团内会有很多层面的独立法人公司,每个层面的公司直接对下一层面进行管理,如集团总部去三级公司审计,会因为中间隔着二级公司,造成信息传递不流畅;另一方面审计双方因为位置不同,出发点不同,必然造成信息不对称。内审部门对被审计单位的业务特点、经济环境、监管法规、行业情况等了解显然是不如被审计单位的,被审计单位经常是被动地应付审计的检查,审计人员问到什么就讲什么,甚至因为怕麻烦而回避一些情况,完全置身事外,不认为审计是改善自己工作的过程,把审计完全当成别人的事情。对审计结果也是被动地整改,造成一些问题进入犯了就改、改了再犯的恶性循环。
三、集团公司内部审计风险的防范措施
1.优化内部审计治理结构。内部审计机构直属领导的层次越高,其独立性越强,发挥作用越大。由董事会领导,董事会直接向股东负责,这样会使内部审计具有较高的独立性、权威性,并在开展审计工作时面临较少障碍,可以在监督与服务之间取得较好的平衡。对于集团公司,由董事会下属的审计委员会直接领导内部审计机构是目前最优的选择,具体实施中下属具有法人资格的子、孙公司审计委员会受上一层级审计委员会领导,非法人成员单位的审计工作直接由集团审计委员会领导,各审计委员会下设审计部具体开展审计工作,形成有层次的内部审计组织体系。
2.进行差异化的内部审计。在实际运作中,集团公司的内部审计应根据成员单位所属行业、所处地域、规模大小、贡献度、风险度、控制度的不同,同时结合成员单位在集团中肩负的战略使命,进行有差别的审计。对不同行业的成员单位要注意区分周期性风险、成长性风险、产业关联度风险、市场集中度风险、行业壁垒风险、宏观政策风险等,采取不同的审计策略;对处在不同区域的成员单位要注意当地政府的监管重点、市场风险、环境风险,采取针对的审计程序;根据成员单位的规模大小、对集团的贡献大小、风险度高低来分配审计资源;对控制度高的成员单位要深入业务经营管理审计,对控制度低的成员单位偏重投资管理型审计。
3.建设高素质的内部审计队伍,建设审计人员职业发展通道。首先设立内审部门进入的标准(门槛),从源头上控制内审人员质量;其次,从德才兼备角度加强内部审计人员培训,全面提高内部审计人员从事审计业务的能力和态度;最后,结合内部审计人员有机会接触到集团各个层面管理和业务的先天优势,借鉴加拿大皇家银行经验,将内部审计部门建设成集团未来领导的“培训基地”,打破内审人员职业发展的“天花板”,吸引更多优秀人才加入内部审计队伍。
4.改进内部审计技术方法。
从方式上,可以采取“走出去,引进来”,内部审计人员走出去交流、培训。引进来外审,将现有知识储备难以胜任的新项目外包,借助“外脑”开发新项目,通过内部审计人员参与审计项目小组,学习外部咨询机构先进的技术、方法,以及项目经验,迅速扩充知识储备,逐渐达到独立开展新项目的水平。
从内容上,应结合集团公司特点,探索与实践新的内部审计工作方式。对同一行业的不同成员单位,可以考虑抽调人员交叉审计;对专业程度高的成员单位的审计,可以考虑吸收被审计单位的内审人员和专业人士参加审计小组,进行协同审计;对信息化水平高的成员单位,可以更多地采取非现场审计;还可以在集团范围内构建审计网络系统,进行远程联网审计。另外还要充分利用审计软件。
5.加强与各相关方的联系,保持信息沟通。
加强内部信息沟通。集团公司各个职能部门在其职能领域通过业务条线的垂直化管控对集团内成员单位实施专业管理,这在某种程度上与集团公司内部审计对成员单位的监控管理目标存在重合之处,如果能有效地与各职能部门沟通协调,互相利用工作成果、共享信息,甚至联合工作,取长补短,会起到意想不到的效果。与业务部门协调合作,可以补强内部审计部门的短板,取得审计所需的专业知识、数据、信息,专业人士的顾问帮助,以及职能权力的配合。
加强对外信息沟通。与国资委、审计署、会计师事务所的协调、沟通,一方面可以更充分地理解审计提出的问题,促进集团公司的工作改善;另一方面可以透过审计提出问题反省内部审计工作,改善内部审计工作的方式方法。与其他集团公司同行的交流学习,更是能起到“他山之石可以攻玉”的效果。
