内部审计：双维视角下的重新审视

  摘要：笔者引用美国证券交易委员会（SEC）提出上市公司治理新规则：其中一条就是所有上市公司必须设立内部审计职能岗位。
  新旧世纪交接的几年中，内部审计这个相对年轻的管理学科分支，在变化着的公司治理结构环境下面对来自两个维度的严重挑战：一是源自“公司治理”的拓展度挑战，使得内部审计功能不仅限于对企业管理层负责，同时承担了对股东和利益相关者、以至外部社会的受托责任；二是源自“内部控制”的纵深度挑战，使得内部审计对象不仅限于“钱财”方面，而是向更多的管理领域延伸和深入。

1、内部审计和审计委员会
  就普遍事实而言，我国上市公司的内部审计，其实还谈不上工作到位不到位。很多上市公司的审计委员会并没有实质性运转，内部审计机构只是停留于公司文件中的组织机构图纸，而没有专门的机构设置和人员配备，更谈不上目标和功能。即使设置了内部审计机构、配备了内部审计人员，本质上还是从属于管理当局的职能机构，远远不是治理结构意义上的内部监管机构。
  面对双维挑战的两难处境具体体现在：在现代公司制企业制度下，内部审计系统的许多基本特征正在发生着根本变化（举凡内部审计的定位、职能、目的、目标、要素、审计业务、审计相关业务、审计假设、审计原则、审计规范、审计质量管理、审计模式、内外部关系等），从而对企业内部审计基本理论提出了新课题，有待于我们从新的视角进行考察，从管理学、经济学等多个角度研究企业内部审计的一系列基本理论问题，验证、补充、甚至修正现有理论。首先面对的问题是，内部审计实现公司内部控制中的角色和功能、审计委员会在公司治理机制中的实际位置和功能。换句话说，当前更现实的话题应该是内部审计和审计委员会的“名实一致”。从公司治理结构图看（见下图示意）：可以认为，各种治理结构组成要素在我国的公司制企业已经齐备。

疑问在于图中的四个问号所指，即执行监管职能的审计系统（包括内部审计和外部审计）究竟向谁负责？按照传统审计理论，内部审计对企业管理层负责，外部审计对企业所有者负责。但是中外商业社会的无数事实告诉人们，在旧的公司治理结构下，内部审计和外部审计都可能被“内部人”所控制。最为突出的案例就是美国的“安然”和“安达信”、以及中国的“银广厦”和“中天勤”。也因此，引致专业界以至全社会对目前公司治理结构的质疑。
  从道理上说，不论内部审计还是外部审计，独立性是审计职能正常发挥的必要前提，所以不应该对公司管理当局负责；审计委员会是公司治理机制中具有特殊性的重要组成要素，在公司治理结构网络中位于关键位置；审计委员会的功能是否能够真正发挥，同样取决于其是否真正具有独立性。
企业内外部环境的变化，导致企业内部受托管理责任关系复杂化和领域、内容、重点的变化，使得对管理控制的需求日益强化，包括董事会对高层管理当局、高层管理当局对各管理层责任中心、管理当局履行受托管理责任和实施有效控制，等等。因此，内部审计作为董事会及其审计委员会和最高层管理当局实施控制的手段，在企业管理尤其是风险管理、内部控制以及公司治理有关方面、组织运营中的地位与作用日趋突出，成为关系企业兴衰成败的重要因素。这也是我国目前现代企业制度建设中的艰难环节。

2、内部审计与企业增值
  国际内部审计师协会董事会在1993年内部审计定义的基础上，1999年6月通过了对内部审计的新定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现目标。将内部审计的新旧定义加以对比，最为突出的一点就是，旧定义强调内部审计的检查和评价职能，新定义则更为重视内部审计的“增值”功效。这预示着内部审计有了更为广阔的活动空间和更为广阔的发展前景。

新定义：1、独立的、客观的。2、旨在增值和改进机构运作效率。3、保证和咨询活动。4、帮助机构实现目标。5、系统化、规范化的严谨方法。6、评价和改进风险管理、控制和治理过程的有效性。
旧定义：1、独立的。2、 检查和评估机构业务作为向所在机构提供的一种服务。3、评估职能。4、帮助机构成员有效履行责任。5、对有关信息进行分析、评价、建议和讨论。6、以合理成本促进控制工作的有效开展。
变化的意义：1、内部审计的属性特征更为明确 。2、内部审计功效更为广阔 。3、内部审计职能的扩展和多元化。4、内部审计的服务层次具有战略性。5、内部审计方法的创新和严谨。6、内部审计重心由事后评价控制转向事前风险管理和过程中控制 。

一个显然的疑问是，内部审计和内部控制并非生产经营系统，强调的是管理制度建设、执行、以及风险防范，具有增值功效吗？
从欧美发达国家许多大公司的实践经验看，内部审计确实具有其增值功效。主要实现途径有：第一，通过介入经营风险管理，包括对内部控制状况进行独立评估、在员工中普及内部控制和内部审计的专业教育、确立风险防范方法和工具、开展尽职调查；第二，通过促动经营效率改进，包括诊断并减少经营管理缺陷、建立知识库、分享模范实务；第三，通过经营效果改善，包括参与经营程序改进、增进信息技术资源、培训潜在领导者。
  显然，要实现内部审计的增值功效，对内部审计自身的传统特点必须进行合理的扬弃。我认为应当明确达成几点共识：第一，内部审计的核心功能不是“查核”，而是公司价值的“增值”
；第二，内部审计是专业性管理控制活动，而不仅仅是传统意义上以财务收支为主要内容的‘审计’；第三，由于公司的内部控制不可能自动运转，而内部审计有专门机构，所以内部审计机构是内部控制功能的主要执行人，审计委员会则是内部控制功能的执行枢纽；第四，内部审计核心功能的正常发挥取决与内部和外部条件，但不能等到所有条件都具备，才开始注重。
  值得注意的一个事实是，2003年11月4日，美国证券交易委员会（SEC）宣布批准纽约证券交易所和纳斯达克证券市场（美国两家最大的证券交易市场）提出的上市公司治理新规则。其中有一条就是，所有上市公司必须设立内部审计职能岗位。