价值链管理理论是美国管理学家迈克尔·波特提出的,20世纪以来风靡全球,成为一种研究确定企业竞争优势,寻找竞争方法以增强企业实力的基本工具。企业活动的根本目的是追求企业价值增值,即企业价值的最大化。企业的各项基本职能活动可以看作是价值增值活动,按照价值链理论设计企业组织,只有能为企业带来价值增值的部门才有存在的必要。内部审计作为企业组织管理的控制环节,也必须适应这种要求,为企业价值增值服务。
内部审计在企业的价值链上是一项间接、辅助活动,它对于企业的价值增值作用主要体现在两个方面:一方面是内部审计创造的直接价值,即内部审计可以通过自己的努力帮助企业预防和减少损失,当内部审计成本小于挽回的损失(或创造的效益) 时,企业价值就相应增加。另一方面是内部审计创造的间接价值,它包括“威慑价值”,即无论内部审计是否发现了问题,但因在公司治理结构设计中有内部审计的存在,客观上会对企业内的经营管理者和其他职能部门产生潜在的威慑作用,使他们知道因为要不断地接受内部审计的监督与检查,不得不维持良好的控制系统和工作秩序,并努力改善他们的工作绩效①;同时内部审计还可以通过信息沟通、协调管理,优化价值链为组织创造“潜在价值”。直接价值易于计量,而间接价值却难以衡量。在现代社会中,管理制度越来越成熟,内部控制越来越完善,内部审计价值将如何凸现成为内部审计人员十分关注的问题。
国际内部审计师协会(IIA)在最新的内部审计定义中指出:“内部审计是一种独立客观的确认和咨询活动,旨在增加价值和改进组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。”可以看出,内部审计要帮助组织完成组织目标实现价值增值,要从风险管理、内部控制和公司治理的角度出发,发挥内部审计的确认与咨询作用。我们认为内部审计的价值增值作用主要有如下几个途径。
一、内部审计帮助组织改善治理实现价值增值
公司治理按照美国经济学家威廉姆森的权威定义是指:“限制针对事后产生的准租金分配的种种约束方式的总和,包括:所有权的配置、企业的资本结构、对管理者的激励机制,公司接管,董事会制度,来自机构投资者的压力,产品市场的竞争,劳动力市场的竞争,组织结构等等”。1997年,哈佛大学的经济学家Shleifer 和Vishny进一步把公司治理定义为“是要研究如何保证公司的出资人可以获得他们投资所带来的收益,研究出资人怎样可以使经理将资本收益的一部分作为红利返还给他们,研究怎样可以保证经理不吞掉他们所提供的资金、不将资金投资于坏项目。一句话,公司治理就是要解决出资者应该怎样控制经理、以使他们为自己的利益服务”②。
可见,内部审计参与公司治理,也就是内部审计要站在出资者的角度,帮助出资者控制管理当局。具体来说,审计人员可以通过对企业的经营目标、决策程序、管理程序、投资过程和投资结果等进行监督评价,检查公司治理的过程是否科学、有效,结果是否达到预期目标,还存在哪些需要改进的地方等等,以推进企业依法经营管理,帮助企业完成各项治理目标,保证企业出资人能尽可能多地获得投资收益,实现内部审计的直接价值。同时,也因为在公司的治理框架中设计了内部审计,使得内部审计可以发挥确认与咨询作用,在服务于治理主体——董事会的同时也可以服务于治理对象——管理层,使得内部审计成为“透视公司的窗口”③,发挥着传递信息协调企业的组织管理的职能,从而间接地为企业增加价值。
2002年4 月, IIA 在提交给美国国会的《改善公司治理的建议》中特别指出,健全的公司治理结构是建立在董事会、执行管理层、外部审计和内部审计四个“基本主体”的协同之上。因此,内部审计参与公司治理本身就是完善的公司治理结构的一个内在要求。按照这种模式建立起来的内部审计部门应具有较高的独立性,美国三大证券交易所都要求上市公司建立隶属于董事会的审计委员会以此来负责内部审计部门的工作。这种模式应该说是最能发挥内部审计参与公司治理的组织形式。世通的案例就充分说明了这种内部审计组织模式的有效性。世通公司的造假行为被内部审计人员——辛西娅·库伯女士发现,她向首席财务官报告而首席财务官就是参与欺诈的人士之一,他让库伯停止审计,但库伯最终向审计委员会报告了此事。审计委员会扩大调查,发现了超过30亿美元以上的造假。
二、内部审计帮助组织完善内部控制实现价值增值
1992年,美国反虚假财务报告委员会下属的COSO委员会发布了《内部控制——整体框架》的报告,提出了内部控制的三项目标和五大要素。内部控制的目标是:合理地确保经营的效率和有效性、财务报告的可靠性、对适用法规的遵循。内部控制的要素包括:控制环境、控制活动、风险评估、信息与沟通及监督。
内部审计本身是内部控制的一个环节,是企业内部监督的重要组成部分,同时它又是内部控制的再控制。可以对企业的内部控制情况进行测试评价,指出企业内部控制制度上的缺陷、制度执行过程中存在的偏差。内部审计人员通过查清其产生的原因,分析其可能造成的影响从而找出企业内部控制的薄弱环节,提出改进的意见和建议。报告给企业管理当局,督促有关部门落实,促使企业健全内部控制,防范和化解经营风险,从而帮助企业预防和减少损失,为企业增加价值。在其间接价值方面,内部审计会对企业内的经营管理者和其他职能部门产生潜在的威慑作用,会促使他们严格管理,落实控制措施,从而预防风险,减少损失。
银广夏事件可以说是公司内部控制不严,最终导致企业破产的典型。银广夏造假手法十分简单,主要是在财务报告中虚构收入、虚列资产,其中在1999年的财务报告中共虚增利润17778.66万元。这个事件中,表面上有关会计凭证审核、批准等控制“完美无缺”,背地里却是一个不折不扣的造假链,监督机构形同虚设,应该说只要公司内部审计机构发挥应有的职能,这样简单的造假行为根本是行不通的。
随着经济全球化和知识经济时代的来临,市场竞争日益激烈,企业面临的经营风险也越来越大。风险通常和企业可获得的潜在收益联系在一起,因此企业管理者对其关注程度也非常高。而风险又和控制系统直接相关,风险越大,对管理控制的需求就越大。因此,以内部控制和风险评估为内部审计工作的重点将成为一种必然趋势,对内部控制系统的评价将成为内部审计最有价值的工作。
三、内部审计帮助组织改进风险管理实现价值增值
在市场经济条件下,企业面临着内外部环境的不确定性,使企业的风险普遍增大。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。对于任何企业来说,风险管理都是其经营过程中的核心内容,企业想要获得的收益越高,所承担的风险就越大,对风险管理的要求就越高。风险管理是企业管理层及相关人员的一项主要职责。
内部审计具有独立性、综合性以及经常性和及时性等特点,在风险管理方面内部审计具有独特的优势。内部审计应当充分发挥自身的优势,通过对企业风险管理体系的健全性、有效性进行监督和评估,对风险管理过程的及时性、科学性进行评估,找出企业风险管理体系的薄弱环节,帮助企业发现并评价重要的风险因素,指出其控制缺陷,并提出改进意见,提供风险管理的有效方法和控制措施,帮助企业改进风险管理与控制体系,规避经营过程中可能出现的风险损失,从而为企业增加价值。
中航油新加坡公司按ERM框架构建了现代的风险管理委员会,也建立了完善的风险管理制度。如损失超过500万美元,必须报告董事会。但是,中航油新加坡公司直至亏损达5.54亿美元才引起国内重视,集团公司对其没有实质的制衡措施是其亏损扩大的直接原因。如果内部审计人员按ERM框架帮助组织落实其风险管理的措施,防范经营风险,这样巨额的亏损本可以避免的。
内部审计的价值体现还有其他的方式,但是对于现代内部审计,加强对公司治理、内部控制、风险管理的确认和咨询服务为组织完成目标,创造直接价值与间接价值,优化组织内部价值链的每一个链节,降低链节间的协调成本,是大势所趋,也是现代审计的发展方向。
内部审计发展的初期是以监督为主的查错揭弊财务审计,然而在当今时代,高科技和网络为基础的新经济大行其道,现代企业制度的不断完善,外部制约机制的不断加强,内部管理水平不断提高,会计电算化的不断普及,账务表面的错弊会越来越少。所有这些都要求内部审计职业界必须改革传统的审计模式,发展新的审计理论,以更好的审计模式服务于企业的目标。内部审计应依赖自身对企业管理控制深入了解的优势,在企业管理控制协调方面发挥其重大作用。因此,内部审计的职能也将从传统的监督检查转向为内部管理服务,内部审计的重点也将从内部检查和监督向内部分析和评价方面转变,为企业增加价值。