基于内部控制的内部审计理念转变


2010年4月,财政部、证监会等五部门出台了《企业内部控制配套指引》（18个应用指引，1个评价指引和1个审计指引），连同2008年6月发布的《企业内部控制基本规范》，我国的内部控制规范体系已经建成。内部审计既是企业内部控制机制的重要组成部分，又是监督与评价内部控制的主要手段。笔者认为，在内控规范体系出台后，内部审计已由幕后走向前台，内部审计理念将发生以下四个转变:即从财务审计向财务报告内部控制审计转变；从经营层业务导向审计向战略层治理导向审计转变；从事后审计向全程审计转变；从查错防弊导向审计向价值增值导向审计转变。
一、从财务审计向财务报告内部控制审计转变
传统的财务审计强调的是结果理性，而忽视了对生成财务报表的内部控制系统的过程理性的审计。近几年，公司倒闭大多与公司内部控制失效、无法提供必要的和可靠的财务信息有关。笔者认为，要解决公司财务信息不真实、财务报告误报的灾难性问题，关键在于建立有效的内部控制机制和发挥作用的内部审计。《萨班斯—奥克斯利法案》（下称萨班斯法案）404条款要求经营层在会计师事务所对财务报告内部控制审计之前对本组织内部控制状况进行自我评价，并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的，其执行状况和有效性由管理部门自己评价有失公允，所以，在会计师事务所审计之前，内部审计人员要对本公司的内部控制状况进行评价，向高级经理层提交内部控制评价报告，高级经理层认可后才能向会计师事务所提交。这样一来，就把内部审计人员从“后台”推向了“前台”，本组织的内控状况不佳，内部审计人员也有不可推卸的责任。《企业内部基本规范》第十五条明确指出，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。《企业内部控制评价指引》和《企业内部控制审计指引》也明确指出，内部审计部门对内部控制的设计和运行具有不可推卸的评价和监督职责。这就为内部审计向财务报告内部审计转变提供了法理依据，内部审计由结果理性的财务审计向程序理性的财务报告内部控制审计转变是势所必然。
二、从经营层业务导向审计向战略层治理导向审计转变长期以来，我国内部审计一直处于经营层业务导向审计的范畴，许多企业的内部审计机构是在总经理或副总经理的经营层领导之下，甚至有一部分是由负责财务的总会计师或者负责财务的副总经理主管。这种把内部审计的地位限制在总经理或负责财务的副总经理的经营层级以下，实质就是经营层业务导向审计，而战略决策层相关的审计成为内部审计的盲区。同时由于我国企业的组织架构中，审计委员会制度不健全或形同虚设，阻塞了内部审计由经营层业务导向审计向战略层治理导向审计的上升路径。
我国内部控制规范体系的出台，为内部审计由经营层业务导向审计向战略层治理导向审计转变提供了法规和制度保障。首先，《企业内部控制基本规范》明确要求企业应当在董事会下设立审计委员会，构建内部审计参与公司治理的桥梁和通道。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。同时，《企业内部控制评价指引》明确指出，内部审计部门负有对内部控制的再控制和评价之责，有权直接向董事会及其审计委员会报告，内部审计部门必须接受审计委员会的职能监督，并通过审计委员会不受限制地接触董事会。在隶属关系上，内部审计部门不再由经营层领导，而是由董事会下设的审计委员会领导，直接对董事会负责，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够的重视，进而提高内部审计的效率。其次，《企业内部控制基本规范》体现了内部审计部门向董事会（审计委员会）和经营层（总经理）双轨报告、双重负责的模式。职能性审计报告向审计委员会报告，而行政性审计报告向经营层报告。这种转变体现了内部审计的服务范围和内容从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。
三、从事后审计向全程审计转变
《企业内部控制基本规范》指出，企业建立和实施内部控制制度应遵循“全面性”原则，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。内部控制强调全过程控制，包括事前控制、事中控制、事后控制，那么作为对内部控制负有监督、控制之责的内部审计，也必将变为全过程审计，由传统的事后审计变为事前审计、事中审计与事后审计相结合。
（一）事后审计的内部控制功能与作用
事后审计是我国传统内部审计的方式，主要侧重于事后的监督和评价，