内部审计作为企业内部治理结构的重要组成部分,特别是在“中国式现代化”“高质量发展”理念的引领下,其重要性在现代企业管理中日益凸显。理论上,内部审计通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。实践中,不同行业的企业根据自身特点,采取了多样化的内部审计策略。例如,上市公司更注重财务审计以提升会计信息质量,防止财务差错和损失;金融行业则专注内部控制的合规检查,落实全面风险管理;国有企业更多的是结合领导干部经济责任审计,服务于组织人事管理;制造型及服务型企业多倾向于开展经营管理咨询,提升运行效率、降低成本;而房地产行业和互联网行业则聚焦反舞弊审计,以应对高风险领域。这些多样化的内部审计实践,彰显了内部审计在不同行业中发挥的价值增值作用。
然而,在实际工作中,内部审计人员,尤其是民营企业的内部审计人员,时常面临诸多困惑和挑战。审计人员精心调研核查后出具的审计报告和建议,却往往得不到领导的应有重视;审计揭示的问题,尽管证据扎实充分,但业务部门总有辩解的理由,公司管理层有时也态度模糊,导致整改落实效果大打折扣。这种在认同上存在的问题,有时让审计人员感到气馁,审计工作难以深入,缺乏成就感。要解决这些问题,审计工作就必须重新审视自身定位,聚焦企业真正的、实质性的高风险领域,以切实促进企业高质量发展。
国际内部审计师协会(IIA)前任首席执行官钱伯斯指出“心存疑问时要追随风险”,现代内部审计已突破传统合规检查的局限,转向与企业战略目标深度融合的风险管理。这一转变要求内部审计人员不仅要关注合规性问题,更要关注可能影响企业战略目标和可持续发展的实质性风险。但风险并非静止的,而是一个不断变化发展的动态过程,并且风险具有高低层级、优先层次,而企业的资源是有限的,因此,优化配置应对风险的资源和准确识别审计关注重点就显得尤为重要。
内部审计部门作为企业的一种内部资源,其配置应围绕企业的核心竞争力和战略目标进行,以最大化资源的使用效益。内部审计部门在资源有限的情况下,应优先考虑那些对组织目标实现有重大影响的审计任务。在实际工作中,企业内部审计部门在人员配备、专业特长、时间精力等方面都存在限制,因此,审计人员不可能对所有风险都一视同仁,对所有问题都进行深入研究,而是需要将有限的资源用在“刀刃”上,集中精力发现企业不同发展阶段的突出风险,特别是对企业战略目标造成威胁的实质性高风险。
企业治理层的精力同样有限,他们更关注那些能够对企业战略目标和运营效果产生重大影响的问题和建议,若内部审计部门常提原则正确却无实质影响的问题和建议,此类报告将难以获得真正关注,反而让真正有价值的问题和建议淹没在大量低水平的重复报告中,稀释了应有的关注,导致内部审计工作失去企业治理层的信赖。因此,内部审计聚焦真正有价值的风险问题,才能言之有物、掷地有声,赢得治理层的信任和支持。
随着现代企业治理机制的完善,特别是在数字化、智能化浪潮的推动下,业务与财务的融合趋势加快,一、二线职能在风险管理中的作用日益健全强化。比如,由于企业信息系统、数据资产和人工智能技术进一步整合,一、二线职能自身已经能够实现全面性的业务数据分析,发现有价值的问题,而不再完全依赖于内部审计部门。内部审计人员必须提供真正实质性高风险的洞见,才能在组织中保持地位和价值。
企业的生存和发展受到各方利益相关者如股东、员工、客户、供应商、政府和社会公众等的影响。内部审计作为企业内部治理的重要机制之一,其工作成果应充分考虑各利益相关者的利益和诉求,以形成共识和合力。组织内部不同层级、不同职能部门的利益是复杂交织的。只有触及实质性的高风险,才能真正引起最高层重视,取得各利益相关方共识,从而推动自上而下的整改落实。否则,内部审计工作将难以取得实质性的进展和成效。
企业在不同的发展阶段面临着不同的风险和挑战。通过对企业风险各维度的分析,审计团队可以切实把握当前企业面临的最重要的风险,集中资源进行有针对性的工作,可以事半功倍、最大化提升审计成果的价值。
1.初创期。初创阶段的企业还在探索业务模式,主要任务是打开市场、生存下去,因此战略风险和市场风险是这一阶段最重要的风险领域。此阶段,新业务拓展需巨额投资,涵盖设备、人力、市场推广等,而财务误差、营销采购中的舞弊及浪费虽频发,却相对公司战略而言,仅属次要风险。确认决策的基础信息是否正确,确认战略执行中信息反馈系统是否正常,是否会导致战略误判,才是这一阶段内部审计的重点所在。
比如,某集团投资开拓电商业务,内部审计团队发现了一些侵占公司营销费用、内外勾结骗取补贴、收受采购回扣等问题,然而,这些问题相对于公司战略而言只是次要风险。公司战略成功最重要的指标——用户和交易数量的增长及盈利能力的实现,应成为审计团队最关心的问题。在这个问题中,最大的舞弊,是业务数据增长的弄虚作假。如果用户和交易数据增长和盈利模型的真实性有问题,那么基于此的企业战略必将失败。最大的风险,就是虚假数据导致错误的决策,使公司在错误方向上投入巨资,造成亏损。审计团队应紧紧把握用户和交易数据真实性以及盈利质量这个关键的风险,揭示出公司战略决策的基础信息和战略执行的反馈系统的重大漏洞,并且始终关注盈利预算假设的真实性和合理性。由于审计团队盯紧这一重大风险问题,协助决策层及时掌握公司初创业务线上交易的真实情况,对其市场前景进行了科学研判,最终公司果断做出战略决策,及时关停了这一初创业务,避免损失进一步扩大。
2.迅速发展期。随着公司规模扩大,内部控制问题开始出现,跑冒滴漏现象增多。公司在快速发展中,追求规模扩大,考核指标也以发展指标为主,往往伴随着较多的企业并购活动。企业在扩张过程中面临着多种风险和挑战,如并购风险、融资风险、市场风险等。内部审计部门应重点关注这些风险领域,确保企业在扩张过程中能够稳健前行。
比如,某集团董事会决定实施扩张战略进行多元化并购时,内部审计部门不应把精力过多浪费在精细化成本管控、业务合规等一般性风险上,而应重点关注公司并购及投后管理的高风险领域。审计部门在查出原股东继续控制和掏空公司,而派驻财务总监被架空、信息严重不对称等重要问题后,帮助董事会认识到这类并购公司治理存在的天然缺陷,集团实施有效管理的成本非常高,而且未必能为集团带来预期的战略协同,最终董事会决定放弃该并购业务及时止损。如果不揭示这个实质性风险,而只是揭示财务错误风险、业务合规风险、采购风险等一般性风险,内部审计将无法发挥其应有的价值。
3.成熟期。处于发展成熟阶段的企业盈利模式已经得到验证,市场份额稳定,经营风险较低,但此阶段的企业中,管理层和股东之间的利益冲突可能加剧,导致管理层出现道德风险和逆向选择等问题。内部审计部门应加强对管理层的监督和约束,确保企业的健康稳定发展。各级管理层对公司管理流程和控制漏洞都已熟悉,可能会产生利用公司的优势地位设租寻租、吃拿卡要等不良行为,成为威胁企业健康发展的重要风险。因此,内部审计团队应集中精力对这类贪腐问题和舞弊风险进行监督揭示,不断完善制度。对于处于成熟阶段的企业而言,企业风险控制机制相对成熟,对于一般风险的承受能力和纠偏能力较强,内部审计应更关注游离于正常管控之外、绕开管控、使得正常内控机制失效的风险事项。
4.衰退期。当企业出现技术淘汰、市场萎缩、效率下降、盈利困难等问题时,发展前景黯淡,此时审计最重要的工作,可能不再是查舞弊、降成本、提效率,而是关注企业战略转型的重大风险,保障制度变革创新、推动企业战略转型。对于处于衰退期的企业而言,应有相应的战略规划,是被动自然退出、主动战略转型,还是兼并重组,内部审计需根据企业的具体战略部署,细致分析各自的风险特点,并针对当前战略面临的重大风险,制订相应的工作计划。
当然,不同行业差异很大,业务模式、市场环境、企业性质、行业地位和风险特点各不相同,具体企业层面的问题也千差万别,所以内部审计应关注的风险问题不可能一概而论。只有精准把握企业各个生命周期的经营状况和风险情况,才能确定当前内部审计需要聚焦着力的重点,避免四处出击、降低效能。
企业风险多来源于业务活动,而业务活动的实际情况往往隐藏在企业经营一线。内部审计要发挥实效,就必须深入一线,了解真实情况,挖掘潜在风险。通过拓宽信息来源、重视投诉举报渠道建设、加强技术创新和赋能以及风险责任到人等措施,更准确地理解和评估风险,找到企业面临的最重要的问题,从而制订有效的审计工作计划。
1.到企业经营一线广交朋友。随着人工智能技术的普及,出现了很多风险分析工具,但挖掘数据背后的原因还需要对业务深入了解。内部审计人员要真正感知企业经营风险,还是必须深入一线。读万卷书,不如行万里路;行万里路,不如阅人无数。审计不可闭门造车,一定要走出去,与各行业、公司内部各业务条线、各部门广交朋友,掌握特定行业的“潜规则”和基层的第一手的真实情况。只有这样,审计对风险的理解才不会滞后、扭曲或浮于表面。
2.重视投诉举报渠道建设。企业应加强投诉热线、微信公众号、电子邮件等举报投诉渠道的宣传推广,把廉洁协议和审计监督写进合同,鼓励基层员工、客户、供应商等各方积极提供风险线索,对有价值的风险线索提供者给予奖励,畅通审计获知风险信息的渠道。
3.加强技术创新和赋能。利用现代信息技术手段提高内部审计的效率和准确性是现代企业内部审计的重要趋势。打通集团所属各公司、各部门数据,建立审计大数据平台,通过全面数据挖掘,并利用人工智能技术,不断完善风险分析模型,对各公司各业务条线的风险情况进行动态扫描,对达到风险阈值的异常行为进行预警,并研究决定是否开展专项调查。
4.风险责任到人。明确风险责任主体可以确保风险管理的有效实施和持续改进。在审计团队建立业务分区制度,给每名审计人员明确划分自己的风险责任区域,通过定期的风险评估和考核,确保审计人员能够切实履行自己的职责,盯紧所负责的业务领域,成为该业务领域的风险专家。
舞弊行为不仅会给企业带来财务损失,还会对团队文化、企业声誉形象乃至公司战略造成巨大破坏。因此,反舞弊审计是企业内部审计的重要组成部分。中国企业现代内部审计从最初的反舞弊审计,发展到以内控和风险为导向的审计、效益审计,再到21世纪初流行的战略管理审计,近年来又重视起反舞弊审计。其中原因,除了固有的委托—代理问题导致各行业的舞弊行为长期存在外,有些企业在进入新兴行业、开发创新业务时,对业务流程中的反舞弊控制措施相对滞后。众多企业在处理员工舞弊问题时,一般是开除处理,很少主动移送司法。在收益与风险的权衡中,不少舞弊人员选择铤而走险,这种行为给企业带来了巨大的经济损失。
随着现代企业运营环境的网络化,舞弊行为变得更加隐蔽高效,相应地,对内部审计的能力要求和挑战也就更高。因此,内部审计人员必须不断提高自身的专业能力和技术水平,运用先进的分析工具和方法揭示舞弊行为,不断拓展审计视野和领域,关注新型舞弊形式的风险点和特征,还应注重与其他部门的协作与配合。通过与法务、合规、人力资源等部门的紧密合作,共同构建企业的反舞弊防线。
随着现代社会的发展,环境、社会和治理(ESG)问题日益受到企业界和社会公众的关注,而履行社会责任成为企业高质量发展的应有之义。相应地,内部审计作为企业内部治理的重要机制之一,也应关注企业在环境、社会和治理方面的风险和问题,推动企业实现可持续发展。
有的学者甚至认为,内部审计除了受股东、董事会委托之外,还可能承担一定的社会期待和隐形的外部责任。如内部审计在企业合规风险检查中,关注商业贿赂、环境污染、偷税漏税、产品安全等风险,也对社会治理起到积极的作用。随着现代社会信息化、网络化的日益发达,企业的社会属性也在不断加强,企业社会责任履行情况可能会直接影响到企业在消费者心目中的形象与口碑传播,对企业发展具有重要意义。因此,内部审计不应忽视此类风险。
随着社会公众对内部审计的期待不断提高,内部审计不再仅仅是企业内部的治理机制,也越来越具有一定的社会影响。随着中国式现代化的发展,民营企业和外资企业的政策意识也在逐渐加强,涉及国家安全、国家政策、社会责任在企业层面的落实,也应成为内部审计关注的重点风险。
文章摘自《中国内部审计》杂志2025年第4期
作者:方栗双
单位:大连万达集团审计中心
编辑:孙哲