1、内部审计2012关于“内部审计发展前景和内控导向审计方法逐步退出”的研究报告前言从2005年起,普华永道每年都开展关于“内部审计行业状况”的调查,为审计负责人提供重要的数据信息和参考观点,使其对当前影响到内部审计的各方面因素有所了解。考虑到近些年内部审计发展面临的多方压力,我们认为最好能对这些趋势进行预测和分析,并描绘出2012年内部审计的发展前景。这份报告就是我们这项工作的成果,我们对所有的参与者表示感谢。索引概述内部审计负责人只有引入以风险为导向的审计理念,才能带领团队在风险评估、确认和管理工作中扮演重要角色,发挥重要的作用。1、全球化 102、内部审计角色的转变 193、风险管理的变化
2、254、专业人才和组织架构方面存在的问题 305、科技进步 38内部审计取得成功的必由之路 44此次调查研究采用的方法 49概述内部审计负责人只有引入以风险为导向的审计理念,才能带领团队继续在风险评估、确认和管理工作中扮演重要角色,发挥重要的作用。在未来五年里,内部审计长期以来秉承的以内部控制为导向的审计理念将日渐衰退。因此,为了继续发挥在风险评估、确认和管理方面的重要作用,内部审计负责人必须领导团队进行价值转型,引入以风险为导向的审计理念。这是普华永道在对2012年内部审计发展前景进行研究调查后得出的最核心的结论。研究结果表明,今后五大趋势将影响内部审计的发展全球化、风险管理的变化、科技进步
3、、专业人才和组织架构方面存在的问题、以及内部审计角色的转变。了解和掌握这些发展趋势及其可能带来的影响,将有助于内部审计负责人协助高级管理层识别和管理风险,并提供增值服务。变化中的风险环境根据我们的调查结果,企业已把风险管理和内部控制视作经营发展的基础。这表明风险和控制不再仅仅是内部审计或某些特定岗位的职责。管理层意识到自身是风险的所有者,必须确保防范风险的控制措施得到了有效执行。在调查中,我们看到很多用于识别、管理和控制风险的手段和方法,目前趋向的做法是进一步完善内部控制和加强风险监控。同时,我们发现,企业现在更热衷于评价用于公司治理、风险管理和合规管理(GRC)的特定方法所能够带来的收益。这
4、些新的举措表明企业管理者正力图寻求风险和机会的平衡点、控制风险和合规的成本、增强计划和预算能力。调查同时发现,不断发展的全球化和科技进步已经开始影响企业对其传统经营模式和风险管理方式方法进行重新审视。角色和职能的转变促使企业加强风险管理,吸纳专业的内审人员和搭建更为有效的内部审计组织架构。加速的变化和商业节奏使得风险环境更加复杂,正如财务信息的日渐透明化和全天候发送的媒体消息向消费者和投资者提供了有关各种风险的实时信息。越来越复杂的全球市场经营,包括在陌生的政治环境中拓展业务和置身于不同国家的监管,增加了管理层识别和评估新产生风险的难度。调查结果表明,一些内部审计部门已经开始重新思考其在企业中
5、的地位和价值,从内控导向审计理念转向风险导向审计理念,基于管理层风险管理的有效性对风险和控制进行确认和评估。少数企业已经实现了这样的转变,多数企业内部审计的转型将有待企业风险管理框架和内控流程更为完善后得以实现。20世纪的内部审计模式目前通行的内部审计模式基于滚动和固定审计计划的内部控制确认基于依据风险评估制定的审计计划的内部控制确认未来的风险导向内部审计模式在内部控制确认的同时对风险管理有效性进行确认和评价表1:内部审计模式演变 处于转折点的内部审计:选择新的战略方向在企业考虑引入新技术加强风险管理和内部控制时,我们建议在进行传统的内部控制确认和评价的同时,由内部审计及其他相关职能部门开展对
6、风险的评估。受到萨班斯法案和其他新兴理念的推动,企业在加强内部控制、完善内控监督手段方面采取了很多措施。传统的内控导向审计方法所发挥的作用日渐减弱,而且有可能对内部审计未来履行更多新的职能产生负面影响。当其他风险管理职能部门在相关领域承担了新的职责,比如内部控制(包括在此过程中提升了管理层对其价值的认可),如果仅专注于内部控制确认和评估,内部审计发挥的作用可能被认为是有限的。因此,内部审计目前处于一个重要的转折点,未来面临两个发展方向。一个方向是墨守陈规,存在未来被逐步淘汰的风险。另一个方向是满足现代企业不断变化的需求,以及高级管理层和审计委员会不断提升的预期和要求。这就需要内部审计基于风险和
7、控制重新定位自身的价值理念。新的(更具战略意义)价值定位既包含传统的对内部控制的确认和评估,也包含对风险管理的确认和评价,将使得内部审计在成熟的企业风险管理体系中发挥更大作用。此时,就需要引入当前尚未完全运用于内部审计的:以风险为导向的审计理念。以风险为导向的审计理念意味着内部审计人员利用全面的、成形的方法进行审计、风险评估和风险管理,成功跨越以内部控制为中心的审计理念。在风险导向审计理念的引导下,内部审计应在风险评估和风险管理成为利益相关方的首要关注点时,提升其履行职能所能实现的价值。根据调查结果和访谈反馈,我们认为内部审计潜在价值将取决于两方面因素:一是内部审计关注重点的性质;二是其所在企
8、业风险管理达到的成熟度水平。他们之间的关系如“表2”所示。内部控制导向 风险导向内部控制确认合规当前风险管理状况风险管理确认和评估内部审计价值提升内部审计基本价值体现表2:2012年内部审计价值模型企业风险管理成熟度水平职能化的全面风险管理尚未成体系的风险管理萨班斯法案内部控制风险导向价值的体现企业风险管理水平的提升将经历四个成熟期,如“表2:2012年内部审计价值模型”中横轴所示。内部审计在风险管理方面所能体现的价值很大程度上与企业风险管理体系和架构所处于的成熟期相关。越是成熟的风险管理体系和架构,以风险为导向的内部审计的作用越能得到发挥。第一阶段:内部控制就风险管理的第一个成熟期而言,管理
9、层关注对关键内部控制,特别是高风险领域的审计职能是否得到履行。然而,在这个阶段,企业尚未建立正式的内部控制或者风险管理框架,虽然设计了一些控制措施,但未进行书面记录。当企业处于第一阶段,管理层尚未进行正式的企业全面风险评估。事实上,内部审计可能是机构中唯一进行综合的风险评估的职能部门。在这个阶段,内部审计对内控的测试和监控被认为是站在管理层对立面。同时,内部控制多依赖人工,关于控制活动的正式培训和沟通几乎没有。第二阶段:萨班斯法案2002年萨班斯法案要求企业采纳通用的内部控制标准,比如COSO的发布,并将其内部控制活动进行书面记录。法案同时推动企业制定正式的内部控制管理、监督和测试的方法。起初
10、,很多企业都投入了大量的资源以满足法案要求。随着企业逐步强化合规经营并提高了记录和监督内部控制效果和效率的能力时,这种情况发生了变化。在第二阶段,内部审计的关注点扩大到管理层对内部控制应承担的责任。同时,一些企业开始搭建正式的全面风险评估体系以增强其遵循萨班斯法案的成效。第三阶段:尚未成体系的风险管理在这个阶段,企业建立了全面风险评估体系,并尝试在企业中推行正式的全面风险管理。管理层可能确定了风险偏好、制定了风险管理流程,并且向董事会汇报风险管理情况。企业可能已经对内部控制进行了标准化,并定期进行测试和结果汇报,在风险和内部控制报告方面利用了自动化工具。第四阶段:职能化的全面风险管理在最后这个
11、阶段,管理层制定并执行正式的风险管理流程;采纳了正式的企业全面风险管理标准,比如COSO企业风险管理框架;并进行综合的、全面的企业风险评估。管理层同时确定了企业的风险偏好,对风险管理相关问题发现进行管理和监控,并向董事会提供对企业风险管理流程有效性的评价。在第四阶段,企业可能设置了首席风险官。可能已经具备了对风险和内部控制的实时管理和监控。同时,在内部控制中运用系统自动工具,帮助企业更快速地应对新出现的风险。企业逐步加强风险管理将从“2012年内部审计价值模型”横轴的左端向右端移动。我们不知道多少企业能够建立起健全的、职能化的企业全面风险管理体系,实现最为成熟的风险管理。但是,我们的调查结果和
12、访谈反馈表明,跨越不同行业的大量企业已经着手于增强全面风险管理能力。在这些企业中,审计委员会成员和内部审计都会参与关于风险管理的定期会谈。在风险管理得到高度重视的情况下,内部审计的风险管理举措必须能与之相匹配。这样以来,内部审计就能增强对风险管理的关注程度,沿着“2012年内部审计价值模型”纵轴向上移动。一些积极主动的内部审计部门在风险管理领域占据了主导地位,通过得到管理层认可的内部审计方法协助管理层进一步加强风险管理。就内部审计职能来说,希望能够通过积极主动的方式为企业提供更大价值服务的想法,要求内部审计能够在企业公司治理、风险管理和合规管理(GRC)未能涉及的领域发挥作用。否则,将会影响审
13、计委员会和高级管理层对内部审计工作成效的评价。但是首先,内部审计部门应该明确怎样可以更好地帮助企业提升风险管理能力。在以风险为导向的审计理念引导下,内部审计可能成为催化剂和推动者,与其他风险管理相关职能部门进行合作,确保企业对风险进行了适当的控制和管理。在我们的调查中,优秀的首席审计执行官认为,审计委员会和高级管理层将要求内部审计提升在风险管理方面的作用,以免被风险管理体系中可能发挥更大作用的其他职能部门轻视。当说到这种可能性,一些首席审计执行官说,可以预见到,今后相关职能部门将在内部审计、风险管理、内部控制以及合规方面有更密切的合作。内部审计在这种合作中可能面临哪些冲击我们不得而知,但我们清
14、楚地认识到为了在企业中保持战略性的地位,内部审计价值转型势在必行。首席审计执行官关于加强内部审计价值的建议受访的首席审计执行官认为应该做到以下几点: 保持与企业经营的相关度,避免被认为是多余的 与企业其他风险管理相关职能部门进行合作 作引领者而非追随者 关注内控手段尚不完善、潜藏较高风险的新领域 关注新的审计发现和审计类型,比如post-acquisition review。 考虑通过什么性质的审计活动帮助企业实现目标,确认管理层建立了有效的风险管理流程 利用COSO企业风险管理框架提升内部审计对风险的认识和管理能力 采用更为灵活的方法:不要过度拘泥于年度计划,确保有足够未被分配的资源用于应对
15、新出现的风险内部审计保持和增强生命力的唯一选择就是价值转型发展趋势研究发现,在内部审计持续向以风险为导向演变的过程中,将受到五大发展趋势的影响,这些趋势很可能决定了2012年内部审计的发展前景:1、全球化2、内部审计角色的转变3、风险管理的变化4、专业人才和组织架构方面存在的问题5、科技进步研究结果表明,受访者认为在未来几年里,全球化、专业人才和科技将对内部审计的专业化发展产生尤为重大的影响。五大趋势相互联系:持续发展的全球化和科技进步将直接影响内部审计对专业人才的需求,内部审计角色和职责的转变与企业风险管理的变化也密不可分。优秀的首席审计执行官已经为未来搭建好了战略性平台,关注由全球化、科技
16、进步等带来的风险,并对更为有效的组织架构进行思考。这份研究报告展现了这些优秀首席审计执行官以风险和未来为导向的审计思维,以及我们的经验和长期以来的研究成果。1、全球化调查发现,企业追求业绩增长而积极开拓国际市场,并在全球范围内选择供应商以降低采购成本,将面临一系列与跨国经营相关的问题。主要包括: 巴西、俄罗斯、印度和中国(被称为“金砖四国”)的经济发展改变了国际市场的格局。特别是中国和印度,在2012年将发展成更为强大的经济中心。 资本市场的全球化和会计准则的国际化促使企业重新思考采用美国式的商业发展和财务管理模式。在美国,会计准则的国际化甚至使得基本的会计语言发生了改变。 外包业务的发展和境
17、外经营(包括提供服务、加工制造)的激增使得全球供应链的内在联系更为密切、更易受攻击,以及金融市场更为复杂多变。调查发现,全球化全球化作为一种统称,包括日渐增强的国际交流和融合,经济、社会、科技、文化、政治和生态环境的相互影响和依赖。外包和境外经营是全球化两大重要部分,包括跨境交易,资本转移和金融市场的一体化。趋势将对当前和未来的内部审计产生重大和持续性的影响。当企业的市场和供应链日渐全球化,内部审计将应对更多方面的需求。大部分受访者认为在未来五年里,全球化、外包和境外经营将对内部审计的角色和职责产生重大影响。 近75%的受访者认为全球化将对内部审计的角色和职责产生一般到非常重大的影响,其中43
18、%认为有重大或非常重大的影响,其他认为有一般的影响。 77%的受访者认为大量的业务外包将对内部审计的角色和职责产生一般到非常重大的影响(与外包有关的职能涉及广泛,不仅仅是内部审计),其中40%认为有重大或非常重大的影响,其他认为有一般的影响。 近70%的受访者认为境外经营将对内部审计的角色和职责产生一般到非常重大的影响,其中37%认为有重大或非常重大的影响,其他认为有一般的影响。当被问及在未来五年里,内部审计的职责将在哪些方面有所增加,75%的受访者选择了外包和境外经营,其中15%的受访者认为内部审计的职责将大幅增加,其余认为会一定程度上增加。此外,39%的受访者认为内部审计将投入更多的资源。
19、接受采访的大部分首席审计执行官认同全球化是重要因素,将在未来五年内对内部审计产生更为深远的影响。“全球化意味着速度和流动性”,一位跨国化工企业的审计负责人说,“境外经营(生产流程的迁移)日渐变得容易,合资和合营是惯常做法,而且方式也时常发生变化。面对这些挑战,企业应建立起能够适应变化的公司治理流程。”跨国经营参与者的观点分享当多数人认为全球化扩展了内部审计的职责时,经验丰富的首席审计执行官们指出,寻求全球化市场所带来的风险可能使得内部审计难以对其进行识别和评估。“内部审计还远未做好准备以应对全球化带来的风险”,一位媒体企业的首席审计师说。另外一些首席审计师补充说,缺乏经验的内部审计可能无法协助
20、机构实现其全球化战略。接受访问的审计负责人还提出了以下想法: 他们认为无论是在数量上还是复杂程度上,在合规方面的需求会有所增加。普遍来说,美国境外的监管将会越来越严格。遵守反海外腐败法(FCPA)是一个需要考虑的因素,参与国际市场的企业面临着政治风险和声誉风险。 地区文化是重要的考虑因素,首席审计执行官意识到应该去了解中国、印度和其他主要合作伙伴所在国的人们的思维方式和习惯做法。 一位在全球范围内采购零配件的军工企业首席审计执行官说,供货商的资质和产品标准是所有跨国企业最先考虑的问题。她说,在评估主要风险制定审计计划时,她可以准确地识别装备配件质量潜在的风险。但同时,她认为不容易知晓为确定这些
21、风险在多大程度上得到缓释,需要投入多少审计资源。“全球化并不都是好的”,一位全球化系统集成公司的首席审计执行官说。同样,一位全球化保险公司的首席审计执行官认为,如果跨国公司没有获得预期的投资收益,境外经营和外包业务都可能会减少。一位跨国金融服务公司的首席审计执行官补充说,如果各国的劳动力成本趋于平均,企业进行境外经营的兴趣将会减少。他说,“只有更大的公司才会考虑境外经营。在短期来看,这样具有成本优势,但长远来看,企业会意识到劳动力成本在逐渐趋于平均。”建立适应全球化的内部审计体系当企业进行全球化扩张,内部审计应对职责范围进行明确,是重点关注企业总部,还是关注因为业务经营扩张而在不同地理位置建立
22、的分支机构。受访者普遍认为美国企业的内部审计组织架构仍应着眼于美国境内,即便全球化范围日益扩大。当问及未来五年里可能占主导地位的内部审计组织架构是什么,54%的受访者认为内部审计核心职能应体现在母公司所在国,部分职能体现在境外。其他37%的受访者认为内部审计职能应全部集中在母公司所在国。仅有一小部分,8%的受访者认为应在全球分支机构配置内部审计。受访者表达了在全球范围内的进行人员配置和组织架构设置方面的见解,以及如何在本土之外的地区有效实施审计程序。很多首席审计执行官都谈及在国外设置固定经营场所的重要性以及他们怎么在国外聘用内部审计师。例如,一位全球零售商首席审计执行官表示,由于公司已经在中国
23、建立了重要的分支机构,她正在权衡在中国设置长期固定内部审计岗位的必要性。另一个IT系统集成公司的首席审计执行官说,他所在的公司为全球内部审计设置了一种“hub and spoke”组织方式,在北美建立“hub”,在亚洲、澳大利亚、欧洲和英国建立“Spoke”。为了促进在中国的业务发展,公司最近在新加坡设立了办公室,这里的内审人员掌握英语、国际会计准则、中国文化,还有普通话。随着公司的进一步国际化,内部审计“Spoke”的触角也将继续延伸至其他国家。企业越是国际化,越需要发现和发展潜在的领导者,一个全球化消费品公司的首席审计执行官说。他说,“在理想情况下,内部审计岗位可做为培训机会提供给重要岗位
24、员工,比如商业管理、风险管理、系统控制等,然后再让他们回到原来的岗位。视角:应对政治风险我们的研究报告和经验都表明,全球市场的政治风险已引起内部审计、审计委员会和高级管理层的密切关注。当以风险为基础的内部审计成为商业循环(business circle)的推动力,政治风险是企业在进行全球经营时必须纳入内部审计风险评估的重要部分。当其成为全球化投资的重要影响因素,政治风险的重要性不亚于其他经济因素。所有促使新兴市场充满吸引力的因素,包括开放对外贸易、投资和文化交流的国家暂未得到满足的市场需求,都依赖于这些市场稳定的经济环境。企业在陌生的政治环境中经营将面对新的风险和复杂情况,这些将威胁到经营业绩
25、表现并掩盖新的市场机会。这些风险和复杂情况包括监管要求、合规要求的变化,其降低了市场准入的门槛,以及触犯反海外腐败法(FCPA)的商业行为。如果企业在国外市场设有经营场所,或者考虑主要投资于国外的基础建设和实业,那么对政治风险及时、准确、客观的评价是必须的。单纯的经济学分析此时已不足够,尤其是在市场基础数据难以取得或出于政治目的被人为调整的情况下。仅仅依靠经济学分析而不考虑政治风险所做出的全球化商业决定是有风险的。面对这些挑战,全球化企业的管理层需要从以下几方面思考政治风险:最佳的评估方法、如何将其应用于投资决策,以及如何利用所获得的信息提升全球化经营业绩。随着企业对全球扩张面临的风险越来越了
26、解,政治风险应成为企业全面风险管理中的重要部分,并使用更为正式的方式进行评估。首席审计执行官应发挥怎样的作用呢?首席审计执行官和内部审计团队应该充分掌握政治风险对公司治理、如何应对监管合规要求以及经营业绩和营业底线收入的影响,通过对政治风险的监控,促进企业加强风险管理。政治风险管理需要搭建系统性的框架,用以评估单个风险因素对企业稳定发展的影响,以及确保在企业进行决策时可参考足够的政治风险相关信息。内部审计应制定正式的工作程序去评估和监控经营流程中的政治风险,包括收集、翻译和评估从多种渠道取得的政治环境相关信息。如果管理层目前的全面风险管理包括了政治风险,内部审计应该考虑相关风险评估结果对审计计
27、划的影响。如果没有,内部审计应该考虑将其纳入审计和风险评估的范围。一些方法如下: 在风险评估过程中,内部审计应该收集有关政治风险的客观信息,作为以风险为导向审计计划的分析因素,并及时就发现的问题向审计委员会和管理层汇报。 无论对于企业新的或现存的投资和实业,以及国际市场销售链和供应链,对快速的经济增长,经济不稳定或经济衰退,外部投资增长水平,以及政界的重要人士变动等情况进行监控都是明智的做法。 识别潜在的监管要求和贸易协议变化,以及可能预示着社会动荡或者其他潜在不安全事件的迹象。另一个技术,即称之为政治风险分析(PRA)的程序,能够帮助企业实现: 更好、更及时地做出决策,包括在国际化经营、对现
28、有国际化投资的保护、提升经营业绩和不稳定的市场等方面。 在识别政治发生变化和不稳定所带来的机会和风险的同时,对可能产生的经营风险进行预测。 通过对国际经营状况进行动态的风险评估,使评估结果更为合理。 从风险和机会两方面对全球性投资决策进行综合的分析。 采取措施缓释风险,比如在知识产权未得到完全保护的地区通过聘用当地管理人员或者减少研发活动以缓释风险。底线:只有企业管理活动包括了政治风险分析(PRA),内部审计才能评估这些政治风险分析活动的整体有效性。在全球化运营模式下,对企业的年度风险评估应该将政治风险纳入其中。视角:聚焦反海外腐败法(Foreign Corrupt Practices Act
29、)毋庸置疑,潜在的腐败带来严重的风险,内部审计部门和企业其他监督部门必须以一种激进的和有体系的方式来进行监控。尽管反海外腐败法早在1977年就已生效,但直到近几年,对美国公司违反该法案的追究案例才大幅上升。其背后的原因包括全球化,揭发行为的增加,国际反腐败监管合作的加强,以及对于新兴市场监控力度的巨大提升。美国公司除了受到反海外腐败法的约束,还须受制于联合国反腐败公约(United Nations Convention Against Corruption),该公约是第一个全球遵循的反腐败协议。包括美国在内的缔约方同意追究腐败行为的刑事责任,积极防止腐败发生,加强国际执法合作,并采取措施配合实
30、施跨国财产保全。美国于2006年采纳了联合国的该项措施,并积极推动该公约成为地区多边反腐败活动的行动原则。反海外腐败法和联合国反腐败公约要求打击可疑的商业行为,这迫使很多企业不得不采取复杂的规避措施,制定更加严格的内部制度,以及展开成本高昂的国外业务调查。有时候,很多跨国企业不得不应对一个或多个涉嫌违反反海外腐败法的指控,以及配合进行违法调查。一些大型跨国企业的高级内审人员不得不经常花费大量时间来处理反海外腐败法的违法调查。对于企业管理层和内部审计来说,评估违反反海外腐败法风险的核心挑战在于,如何发现那些收受可疑钱款的工作人员,以及这些钱款是通过什么途径进行支付的。如前所述,政治风险分析能够帮
31、助内部审计发现个人和政府控制的企业如何与一个特定主体联系在一起。高风险的领域包括:政府定价的决策,报销或费用核销,以及与第三方代理人的合同。政治分析师能够画出“权力图”,描述政府官员和私营企业的关系,以及用于款项支付通道的附属关系。如何加强反海外腐败法合规:十步计划1、评估1977年反海外腐败法和联合国反腐败公约。了解两个法律是否对企业适用。例如,很多企业与国外政府没有合同关系,所以它们就不在反海外腐败法的约束范围之内。此外,有些企业只有部分附属机构与国外政府发生关系。2、确保企业规章制度中包含了反海外腐败法的合规内容,并且制定最低合规门槛。企业必须及时更新关于反贿赂和反腐败行为、内部控制、向
32、政府关于支付钱款等有关事宜的文件、政策和信函。制定一个正式的信息交流和认证计划,包含网络登陆许可,在线培训和高管声明。3、评估企业的规章制度,确保其覆盖了高风险领域。制定一套全球标准和基本要求,来约束涉及高风险业务领域的行为,特别是账簿和记录要求。4、提供反海外腐败法合规的管理培训。向当地管理人员讲授反海外腐败法和联合国反腐败公约的主要精神、监管动态、关于揭发行为的法律和企业规章制度,以及当地监管机构的调查行动。5、评估反海外腐败法的合规程度,书面制定特定或较高风险附属机构的合规流程和控制措施。须提供Leverage Transparency International Corruption
33、Index指数等其它信息。评估附属机构风险,针对每个高风险业务行为编写详细流程图,以及提出整改意见。6、制定在全球实施反海外腐败法的方案。制定一些能在当地实施的正式的标准化的流程、政策和步骤。编制关于监控措施和内部报告的工作手册。7、实施附属机构合规试点项目。测试并调整第6个步骤的实施结果。8、支持全球反海外腐败法合规方案的推出,进行全球范围的反海外腐败法、公司规定、合规方案和工作手册的培训。通过网络视频,有针对性的进行实时会议,来对地区的管理层进行反海外腐败法合规培训,告诉它们企业对反海外腐败法合规有何期望,合规的必要工具等。9、实施反海外腐败法全球合规项目。为各个分支机构实施反海外腐败法合
34、规方案确立目标日期。10、有针对性的进行实施情况审计(重点关注那些没有接受到实施协助的分支机构),来评估反海外腐败法合规项目的实施情况。对每个分支机构出具实施情况审计报告,包括提供建议。2、内部审计角色的改变在2012年,具有战略意义的内部审计将紧随企业风险管理和内部控制的发展并发挥重要作用,在进行内控审计的同时对风险进行确认和评价。在资源更为有限但需优先考虑的事项不断增多的情况下,内部审计师将在风险管理、反舞弊、内部控制和流程梳理中投入更多的关注。科技将对内部审计产生重大影响商业发展趋势中,对当前至2012年期间内部审计角色、职责和职能影响很大的因素包括科技、新的监管要求、风险管理、公司治理
35、、和职业道德及合规。这其中,科技带来最大的影响。表3反映了认为在未来五年内各个发展趋势将对内部审计角色和职责产生“大或者很大”或者“一般”影响的受访者占全部的百分比。表3:各个发展趋势对内部审计角色、职责和职能的影响发展趋势对角色和职责的影响(大或者很大)()对职能的影响(一般)()合计:对角色、职责和职能的影响(从一般到很大)()科技603595新的监管要求513788风险管理582987公司治理582684职业道德及合规562177科技、企业风险管理、反舞弊以及全球化扩展了内部审计的职责调查发现,从现在到2012年,科技、风险管理、反舞弊和全球化将极大扩展内部审计的职责。持续的审计和监控是
36、首要因素,90%的受访者认为在未来五年其将增加内部审计的职责。其中,37认为有大幅度的增加,53认为有一定程度增加。企业全面风险管理(ERM)审计是第二大因素,77的受访者认为ERM相关的活动会大大增加。与认为全球化将快速发展的受访者数量相当,75的受访者认为外包业务和境外经营将赋予内部审计更多的职责。舞弊发现、舞弊风险评估以及舞弊事件调查反舞弊流程的三个重要方面也被认为扩展了内部审计的职责。其他因素包括IT安全审计、管理层信息披露审计、经营效果和效率审计、法律法规遵从性审计,以及为管理层和员工提供培训。表4显示了影响内部审计职责的主要因素,以及认为其影响为“很多”或者“一般”的受访者比例。表
37、4:增加内部审计职责的因素因素增加很多的职责()增加一般多的职责()合计:一般多到很多()持续审计和监控375390企业全面风险审计156277外包业务及境外经营审计156075舞弊发现135366舞弊风险评估85866管理层信息披露审计115465经营效果和效率审计65864IT安全审计114455法律法规遵从性审计64652舞弊调查73744萨班斯法案对企业的影响将保持平稳或趋于下降受访者认为未来五年里,与萨班斯法案相关的内部审计职责将保持不变或者趋于减少。合规性评价关于对企业是否全面遵循法案的评价,18%的受访者认为和目前相比内部审计将承担更多的职责,61的受访者认为变化不大,21认为将
38、承担更少的职责。总体而言,多数受访者认为会保持现状,越来越多人认为将有所下降。对404条款的测试关于针对404条款实施的测试,我们同样看见一个稳定并趋于下降的趋势。7%的受访者认为未来会投入更多时间,47认为和目前水平相当,46认为将减少。404条款相关项目管理受访者认为与404条款相关的项目管理所带来的审计职责将保持不变或减少。7%的受访者认为会投入更多时间,56%认为保持不变,37%认为投入的时间将减少。内部审计负责人关于内部审计角色和价值的理念分享审计委员会和高级管理层给予内部审计更多的压力,期望其能够提供更具有战略意义的工作成果。一位科技系统公司的审计负责人这样说。他建议可以通过采用以
39、风险为导向的审计策略,在对风险进行持续评估的基础上实施审计。“首席审计执行官的角色是向审计委员会和高级管理层客观、清晰地报告审计发现”,一位全球性金融服务机构的首席审计执行官说。其他受访者表示了同样的想法,其中一位受访者认为内部审计应该首先向审计委员会报告。一位金融服务机构的首席审计执行官提示说,如果各利益相关方认为内部审计除了对内控进行测试之外无所作为,可能会导致地位的降低和资源的减少。首席审计执行官对内部审计角色转变的建议包括以下几点: 对风险管理进行确认和评估:很多审计负责人认为内部审计从内控确认转向对风险管理进行确认和评估的时机已经成熟了。一位大型航空公司的首席审计执行官说,审计委员会
40、已经要求内部审计部门对全面风险管理的有效性进行评估,以协助审计委员会履行相关职责。另一位审计负责人说,“未来内部审计可能被要求在对风险进行监控的同时,对负责风险管理部门的履职情况进行评价。” 集成化的IT审计:很多受访者都提到了将IT审计纳入传统审计的想法。一位娱乐传媒公司的首席审计执行官说他希望未来五年里IT审计和非IT审计的界限会越来越模糊,应利用IT技术来提高审计工作的质量和效率。另一位首席审计执行官说他们向全球范围内的内审人员提供了IT培训。 与风险及内控有关职能部门进行合作:受访者认为,在新的风险管理环境下,内部审计应该与相关职能部门进行合作。一位首席审计执行官说,“内部审计应该知道
41、如何与风险和内控相关职能部门进行高效合作。”视角:以风险为导向的审计理念近几年,很多企业的内部审计部门已经发展到了前所未有的高度,有成效并且得到尊重。尽管企业对内部审计的需求非常多,但内部审计获得的回报却没有增加。当管理部门不断扩充与风险和控制相关的职能时,对于内部审计来说,仅仅对经营和财务的有效性以及法律法规的遵从性进行评估是不足够的。内部审计不能希望通过这些有限的作为在风险管理中发挥关键作用。如果还没有这样的想法,那么现在是时候建立起牢固的、以风险为导向的审计理念,并重新定义内部审计的角色和价值;将内部审计的关注点从内部控制扩大到风险管理;去思考如何利用数据分析提高审计的质量和效果,并降低
42、审计成本。当我们到达战略性的转折点,内审人员应该采取以下行动: 将风险评估做为首要目标 将评估的范围扩大到管理边缘区域的风险 识别新的趋势并使各利益相关方知晓 加强对信息科技和舞弊风险,以及传统内部审计较少涉及领域的关注 与其他相关职能部门合作确保风险得到了有效的控制和管理执法和监管营造的反欺诈环境尽管反欺诈角色在商业领域表现形式不尽相同,但通常反欺诈是高级管理层的责任,审计委员会负责监督反欺诈措施实施,内部审计作为一道关键的防线,来抵御欺诈的威胁,重点关注风险监控,预防和识别欺诈行为。理想情况下,风险评估和舞弊审计是内部审计风险监控工作的一部分。以下反映了一系列法律、监管、标准制定的行为,这
43、些行为拓展了欺诈的定义,延伸了反欺诈的责任,并对预防和识别措施给予了更大的重视。萨班斯法案以及相关的监管政策变化增加了高级管理层和董事会的责任,他们必须视欺诈和违规为广泛性的威胁,并且更加深度的介入反欺诈问题的解决。萨班斯法案要求管理层每年对内控有效性进行测试并在财务报表中进行披露,其中包含反欺诈活动。美国证监会采纳了萨班斯法案404条款,明确要求建立预防、发现和识别欺诈的控制措施。这些法规要求企业管理层每年评估和测试反欺诈控制措施设计和执行的有效性。美国证监会2007年7月批准的审计标准5号(见页下标注),使得管理层能够使用自上而下,以风险为基础的模型来评估内控措施。该标准强调了高风险领域,
44、例如财务报告审计和防范管理层欺诈控制的双重重要性。同时,该标准为内部审计提供了一系列工具来处理较低风险领域的问题。就大部分实践而言,反欺诈程序和控制措施都必须涵盖COSO的五个要素:控制环境、风险评估、控制活动、信息沟通、以及监督。这样才能防止内控措施存在明显的弱点,或者甚至导致控制体系的实质性缺陷。美国大部分公司和审计师都使用COSO来确认和检查内控措施的有效性。标注: 2007年 5月24日,公共企业会计监督委员会(Public Company Accounting Oversight Board)投票决定实施审计标准5号,即与财务报表审计一体化的财务报表内控措施的审计标准,该标准替代了以
45、前的内控审计标准,即审计标准2号。5号标准于2007年7月25日被美国证监会批准,适用于所有被要求审计内控制度的公司。美国证监会称,他们希望5号标准能够使萨班斯法案404条款和管理层的评估更加以风险为基础,并且与企业的规模和机构复杂程度相适应。3、风险管理的变化根据我们的调查,在未来五年里,内部审计将更为关注持续审计和评估的理念,完善审计程序并提高效率。由于风险评估和监控需要实时进行,实施审计的时点也更为灵活。内部审计将根据各方面的需求开展工作,更多是基于企业风险组合的变化,而非传统审计模式中事先设定好的计划和安排。为了不断提高工作质量和效率,内部审计应将科技手段与专业分析技能结合运用,准确地
46、找出关键风险指标(KRIs),从而更有效地监控风险。内部审计应在企业风险组合发生变化导致内控弱化之前已经对变化有所识别,并且在当KRIs的分析结果与预期存在较大差异时对低风险单元实施审计。对此,我们的专家发出提示:非常重要的是,内部审计应牢记这样的观念,即应为企业提供及时的风险和内控确认和评价,并保证审计资源用于风险最高和风险上升最快的领域。风险评估重要性的提升超过一半(51)的受访者认为与现在相比,在2012年,基于年度风险评估制定审计计划的作用将变得更为重要。其中,15%认为会非常重要,36认为比较重要。当我们问到受访者他们期望在2012年内部审计如何制定审计计划时,我们得到这样的答案: 将近一半(47%)的受访者希望能够通过对风险持续评估,在一年内对年度审计计划进行动态的调整和更新。 14的受访者希望基于一次综合的年度风险评估确定年度审计计划。 13的受访者希望企业根据审计计划开展持续性的全面风险评估。 另外13%的受访者希望在正式的年度审计计划之外,采用特定的方法论进行持续审计和风险评估。 11的受访者认为在编制滚动审计计划时进行一次综合的年度风险评估。形形色色的风险根据受访者所言,首席审计师面临着应对形形色色的风险,比如萨班斯法案合规风险和信息