1. 引言
随着内部审计制度的不断完善、公司模式的复杂化、财务数据信息化的发展,我国的内部审计也在逐渐向以内部控制为导向的审计进行转型。内部控制是由公司董事会、监事会、管理层和全体员工共同实施的旨在实现控制目标的过程。作为企业管理的“中枢系统”,内部控制牵涉到企业所有经济活动和事项的运行规范性,保障企业资产的安全完整和会计数据等经济信息的正确可靠,是企业可持续健康发展的最重要保障;内部审计是一种独立、客观的确认和咨询活动,旨在增加企业价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。目前,国内企业的内部审计(以下简称“内审”)与内部控制(以下简称“内控”)还是相互独立的两个系统,各自肩负着管理维护和财务监督评价的任务,尚未从职能深度上实现“强强联手”,共同联袂创造企业价值效应。这也是学术界亟待研究的新课题。
2. 文献综述
内部控制与审计关系紧密,这是国际国内公认的事实。Khurram Ashfaq,Zhang Rui (2019)通过对南亚的内部控制披露(ICDISC)实践调查,比较了印度企业实施环境与遵守以及巴基斯坦和孟加拉国内控环境披露的做法。认为通过设立审计的公司其配备充足的审计队伍规模会缓和ICDISC实践,董事会和审计委员会之间存在有效性关系。为此,从巴基斯坦和印度选择了100家非金融公司作为样本分析,认为公司治理离不开控制环境,作为治理层的董事局应盯紧公司管理层的内部控制制定和落实,内部审计委员会需归属董事局领导,定期开展公司内控落实状况及效果披露等的检查监督,并直接对董事长报告工作 [1] 。Shijun Cheng,Robert Felix,Raffi Indjejikian (2019)认为,如果有审计委员会成员属于应披露内控信息的公司董事会中,公司不太可能在某一年内报告如“萨班斯–奥克斯利法案”所规定的内部控制重大缺陷,甚至在过去三年内出现重大内控缺陷的真实报告。同理,财务重视内控信息披露具有类似的溢出效应。只有当董事对披露公司有更多经验并正确领导具有独立性的审计时,才能明显看出内控重大缺陷披露的溢出效应 [2] 。国内在2010年颁布《内部控制基本规范》中规定内部审计是内部控制监督工具,要求企业在会计报告之外单独披露内控报告信息并接受审计评价和鉴证。从此,学术界掀起了内部控制与审计关系的研究热潮。备受关注的是内部控制与审计意见的关系问题研究,代表人物是李炜(2013),他利用厦门大学内控指数课题组(2010)构建的2007~2009年上市公司内部控制指数,检验了内部控制质量与审计师发表审计意见之间的关系。结果发现:内部控制质量越高,审计意见越好。并且,审计师基于内控审计签发审计意见的判断不受客户的政府控制性质和客户所处外部治理环境的影响,说明我国的内部控制建设取得了明显的效果,审计师的审计行为也趋于理性,审计执业判断的独立性明显增强 [3] 。同时,学术界普遍认为内部审计对内部控制具有敦促作用和效能。如郭艳萍(2019)主张企业内部审计应与内部控制融合,以推动公司治理和防范经营风险,促进企业价值增值 [4] ;徐冬梅(2019)认为内部审计是企业评估控制自身风险的行为,它对企业加强内部控制具有不可替代的作用 [5] 。冯梦娜(2019)认为,独立审计质量对内控缺陷信息披露具有重大影响,能够促进公司内控健全和监督其有效运行 [6] 。也有学者强调内部审计要注重内控缺陷披露信息审计风险,如张津(2019)等主张开展以风险控制为导向的内部审计,并注重在施工企业中引用风险导向型内部审计,将全新审计思想导入企业项目的风险预防控制过程中,切实发挥审计对内控的监控效能 [7] 。也有审计业内人士如天健会计师事务所资深注会孙文军(2018)从内控缺陷与审计费用关系角度分析,认为内控缺陷与审计费用正相关,内控缺陷披露质量与审计费用负相关。而我国内部控制信息强制披露制度实施,是审计费用关系研究的重要基础,也为审计与内控融合提供了机遇 [8] 。
3. 内审与内控的关系
3.1. 内审与内控的区别
3.1.1. 主体地位不同
内部控制作为企业管理的重要工具,其行为主体同时也是实施主体是公司董事会、监事会、经理层和全体员工 [9] 。内控的作用目标亦即其控制对象是公司从领导到员工的各种行为。所以,经理层和全体员工既是内控的实施主体,同时还是其控制的目标与对象。内审主体就是企业自设的独立审计机构及其人员,行政上归属于企业主要负责人直接领导,业务上应遵从上一级主管部门指导,同时还应接受政府审计机关的统一领导。相对而言,内控是内审的重要检查对象,应接受审计的监督和评价,须按照审计意见和建议进行完善和健全,并不断进行实施环节的整改。通过内控建设,可以促进内审的功能健全和地位提升,促进内审不断向企业经济性质和效益水平的确认和咨询活动方向转型,也就是由传统的财政收支审计向现代的经济效益审计转型。
3.1.2. 职能与作用不同
虽然内审概念中对其职能定位是“确认和咨询”,但这只是与国际审计准则的初步接轨。实践中,我国内部审计起步开始就确定其职能是经济监督和评价。即监督企业财务收支和评价企业生产经营及其管理状况、考证企业是否已达到预期目标、揭露企业的经营管理状况、对内部控制系统做出评价并提出建议、监督经济受托责任的履行情况、维护企业财产安全等,其作用是为了保证企业的有效运营,改善企业的经营活动,同时实现企业的保值增值目标 [10] ;而内部控制的主要职能是对企业内部行为实施约束与规范。为此,可称之为是企业内部重要的行为约束制度,旨在对企业经营、财务收支和财产管理实施规划、监督、调节和反馈,有助于企业提高经营绩效和会计信息质量,保护财产安全完整和完善企业内部层级之间的信息沟通,确保财务信息的真实性和会计行为合规性,保障财经法规落实。
3.1.3. 对象与目标不同
内控实质是一个由组织设计制定的作用于企业经营规划、组织体制、经营管理程序、办法的总称,属于规范企业活动、约束企业行为的管理制度体系。内部控制对象是企业内部环境、风险评估、控制活动、信息与沟通和内部监督等五要素的集合;内部审计是对本单位及所属单位财政财务收支、内部控制、风险管理和相关经济责任实施独立客观的监督与评价与建议,以促进企业完善治理、实现目标的活动 [11] 。所以,内审对象是所在单位及其财政财务收支活动,目标是评价财政财务收支合规性、合法性、有效性和相关经济资料的真实性、公允性。
3.1.4. 执行依据和工作方法不同
两者差异还体现在所依据的准则和实施程序方法上。内部控制是根据《企业内部控制基本规范》而建立与实施,内部审计则根据《审计法》并遵照《内部审计准则》来开展工作。内部控制采取的方法主要是通过调查、分析并有针对性地建立实施相应的规章制度,保证不相容职务相分离控制、合理安排企业业务经营活动,保证企业财产得到有效保护并发挥效用;内部审计的常用工作方法是通过规范的程序,采取审核、实质性测试、询问、函证等方法,以获取用于合理性评价的充分有效证据。
3.2. 内审与内控的联系
3.2.1. 工作目标趋同性
内审是评价企业内控质量优劣的一种途径和工具。所以,内控是内审和内控审计的重要对象之一。内控审计的主要职能是评价企业内控系统的有效性;内审可以通过评价内控制度提升内控质量,而优越的内控质量和环境又能够提高审计效率和效果。这就是说,内审质量与内控质量之间相互作用,强有力的内审可以使内控更加完善与合理,企业内控制度的健全也直接影响着企业内审的质量。如果内控有效,内审在审计时就可以减少工作量,更多地依赖内控,由此提升审计的工作效率。如果内控有效,内审就可以有针对性地对企业的薄弱环节进行审计与监督,提出针对性的建议,从而提高企业的内控质量。
3.2.2. 行为方向一致性
定义表明,内控“旨在实现控制目标”,内审则“旨在增加价值和改善组织的运营”。字面看,两者似乎有很大的方向性差异。但深入分析后不难发现,内控要实现的“控制目标”,就是企业内部环境、风险评估、控制活动、信息与沟通和内部监督等五大内控要素,也就是促使企业内部环境不断优化,保障企业经营顺畅运行;帮助企业积极降低经营、财务和资产等各领域风险,保证企业健康发展;强化管理控制功能,努力向管理要效益;加强各个部门与岗位之间的信息与沟通,促进协同作战能力;发挥制度约束和内部审计监督作用,促进企业健康有序发展。最终的目的,就是规范运营秩序,强化管理效能,将各种潜力转化为现实生产力,最大限度地提高经济效益。这恰与内审的增加企业价值和改善企业运营的工作方向相呼应。可见,两者分工不同,工作角度和任务也有差异,但其总方向高度一致。
4. 内审与内控联袂的价值效应
4.1. 内控与内审联袂涵义
当内审开展以内控为目标的专项审计,即通过对内控各环节是否健全完善,执行力是否充足以及执行效果是否显著等的独立审查评价,可以发现内控建设的薄弱或缺失环节和执行过程中存在流于形式或敷衍塞责等问题。从而,使内控全面产生其应有的抑制管理风险效应。也就是说,内控是直接作用于企业管理的“一线操盘手”,内审的评价功能既可以通过内控实现其“幕后推手”,又可以直接通过对经济活动和结果进行评价实现。没有独立内审来促进内控健全有效,内控将徒有虚名,很难实现控制效果。
为此,本文主张内控与内审联袂,即通过独立企业设立的审计机构和人员,依照规定程序并采用专门的审计技术方法,对公司项目和经营各环节的内控实施状况开展检查,以确认其内控落实执行中存在的问题,并调查原因,出具审计意见和建议,为企业经营决策提供可靠参考;同时,企业各相关业务机构、职能部门及其领导要加强与审计密切配合,不仅虚心接受审计、全心全意配合审计和认真落实审计决定,还应主动请求审计帮助其确认问题与风险,主动向审计人员咨询工作障碍和业务难题,确保内控不断健全完善。通过联袂合作,促进企业价值提升,推动内控与内审价值共同增长。
4.2. 内控与内审联袂发挥价值效应的可行性
分析看出,内控与内审之间存在诸多差别。这些差别都是由于各自固有职能差异而接受的社会分工不同所形成的。有分工就应有协作,这也是本文论证内控与内审联袂的思想基础,使双方联袂发挥价值效应提供了前提和可能;同时要注意到,内控与内审的联系十分紧密,重点体现在双方的是内控与内审之间工作目标趋同和行为方向一致等两大方面,这种“殊途同归”的特性,恰为双方发挥“联袂效应”由可能转变为现实,提供了必要条件。
既然双方的工作目标都是为了保证企业规范运营和健康发展,行为方向都是为了企业降低风险和提高经济效益。那么,实践中内审就有责任站在独立高度,以“旁观者清”的中立视角,查证内控执行问题并提出改善建议;企业决策顶层和各相关部门也一定积极接受审计建议并矫正过往操作问题。并且,企业决策领导会高度重视审计对经营管理的完善建议,落实内控的各相关部门也会常态化地主动请求审计部门对其工作开展“诊断”并为之开出解决问题症结的“药方”。可见,内控和内审联袂,将会得到企业领导和横向各部门的共同支持,具有极强的现实可行性。
4.3. 内控与内审联袂方式及其价值效应
4.3.1. 管理联袂的成本控制效应
内审作用于内控,内控作用于管理。所以,两者都是企业管理的宝贵资源。内控的最高领导者是企业董事会和高管层。他们最关注的是机构设置与人力资源配置合理性,核心问题是保证公司正常运营条件下努力降低管理成本。为此,相对独立的审计机构及其人员的“中立”位置可发挥的公正作用应该备受重视。从而,实现内控主导阶层与内审之间以管理成本降低为核心的“管理联袂”。当人力资源部门与审计联袂,双方共同展开人力资源配置调查,内审人员可充分发挥其管理会计思想,深入分析企业现行的成本核算和控制办法是否得当,职责权是否匹配,人员分工和资源分配是否合理,揭示采购与应付款管理、生产管理、营销管理、筹融资管理、资产管理、收入与应收账款管理等制度是否健全,执行是否到位,产生的制度效应是否显著,管理效益是否逐步提高等,并提出切实可行的整改意见。从而,通过审计意见的强制性,敦促企业健全和完善成本控制体系,并降低管理成本,提高管理效益和企业获利能力。
4.3.2. 信息联袂的风险抵御效应
内部控制制定主体具有“不确定性”,即它可委托有关不知如管理咨询公司、会计师事务所等设计制定,也可由企业自行组织制定;企业内部可安排某一个部门设计,也可从多个部门抽调人手联合研究制定。企业的内控建设的核心任务,就是落实执行。所以,《企业内部控制基本规范》中对内部控制定义中着力强调的是“共同实施”。那么,企业现有内控是否真正实施并取得预期效果,衡量的基本标准就是各部门运营是否潜藏可控而却未发现即未采取有效措施及时控制的风险问题。内控与内审联袂的基本要求,就是加强企业横向各部门及各人员之间的工作交流和信息沟通,保证各运营机构、财会等管理部门遇到问题,能够在第一时间获得审计机构及人员的支持和帮助,实现双方的“信息联袂”,共同化解业务风险。目前,内审的出发点是控制企业风险和实现企业价值,而内控是在企业的各个环节建立完善的控制机制,及时地对企业风险进行识别、评估和应对,努力将其控制在企业风险的风险偏好和可承受范围内。可见,两者联袂后,目标就会更加一致,可通过各部门实施控制反馈的问题与困难等风险要素信息,共同甄别风险属性,评估风险水平并协同研究应对风险策略,实现及时发现问题和共同研究解决问题的管理要求,完成对风险的预判和合理把控,将风险控制在尚未发生的萌芽状态,让企业始终在无重要风险干扰的轨道上健康、高速、高效地运行,最大限度地创造企业价值,提升企业的效益和效率,并由此体现内控与内审联袂的职业价值。
4.3.3. 作业联袂的审计增值效应
作为企业管理体系的重要组成内容,内控是一个全程控制、全员控制和全面控制的过程。内控的建立是帮助企业规范企业制度,实现治理目标。但是,内控是否得到有效实施,实施是否正确和到位,这是最关键也是企业顶层最为关注的问题。但由于每个部门和员工都是内控执行者同时也是被内控约束和规范者,很容易陷入“当局者迷”的境地,难于发现内控实施中的问题,特别是细节性和复杂性问题,如企业中的“非正式组织”分布与积极作用发挥问题,采购谈判注重压低价格节约采购资金而忽略索要增值税专用发票最终导致企业少扣进项税反“吃掉”压价节资问题等。联袂后可通过审计人员将这些业务流程、性质、效果、风险等问题分析,以及将企业各项活动与行为对照内控标准评价内控实施有效性进行实质性测试常态化后,就能逐步提高审计人员从事业务经营审计、制度基础审计为核心的管理审计的素养和才能,促使内审由单一的财务审计逐步向效益审计转型,实现我国传统审计向现代审计的成功过渡。
4.3.4. 降低公司舞弊风险
内部控制的致命缺陷,就是当控制对象出现技术性差错和工作疏忽以及实施者相互串通等情况时,内控失灵无效。出现工作疏忽和技术性差错都是控制对象无意间造成的,产生的后果多是造成信息失真,容易导致企业决策失误或税务等外部检查风险;实施者相互串通则属于徇私舞弊,其产生的严重后果将是公司财产和公共利益遭遇侵害,甚至在立项过程中进行上下串通还会给国家资产和税收造成严重侵害。而企业出现舞弊的主要原因就是内控的严重失效和失灵 [12] 。如果内审能够及时地识别企业内控的失效点,并精准地确认所在企业内控可能失效的原因和后果,利用审计权威性对企业核心部门如财务部等各重要岗位人员提出更为严格的职业操守意见,帮助内控建立自己内控体系的权威性和威慑性,便会端正企业各层次、各岗位人员的工作作风,提高其职业道德和操守;同时,针对获取企业盈余管理行为信息和拟建项目信息,为决策层提出所评估确认的中度风险、重度风险可能带来的责任后果,为企业及时发出传统务必的预警信号,从而降低企业领导层和重要岗位人员的串通舞弊行为,起到防微杜渐作用,并以此来实现企业的健康、稳定发展。
5. 结论
分析表明,企业内控与内审的联袂不仅很有必要,而且十分可行。不同联袂方式下,产生的内控实施和内审转型等双向的综合价值效应明显。为此,建议国内设立内审的大中型企业特别是上市公司,应积极促进内控与内审的整合,相互取长补短。对内控而言,双方联袂可共同以风险为导向,完善公司内控制度,促进内控全面有效实施,提升企业相关人员的职业素质,预防企业风险,实现企业价值增长;对内审来说,两者的有效联袂,能丰富内审内容,提高内审的质量和专业素养,有利于推动内审由监督为主向确认与咨询为主转变,加快内审转型步伐,尽快实现向以业务经营审计和管理审计为主导的经济效益审计过渡。从而,实现提升企业管理水平、促进企业可持续发展的共同目的。
基金项目
校级本科生创新训练项目《“互联网+”背景下翻转课堂教学满意度研究》(编号XC2018032)、《北大荒集团发展与纳税筹划研究》(xc2014035)。
NOTES
*通讯作者。