内部审计价值变迁的结果：风险导向内部审计

万寿义 崔晓钟

摘 要:波特的价值链理论将企业的价值活动分为五种基本活动和四种辅助活动,作为辅助活动的内部审计通过整个价值链而不是单个活动起辅助作用。本文运用价值链相关理论分析了内部审计在企业价值链上的定位以及内部审计价值的发展变迁,内部审计的价值决定了内部审计的地位和发展,企业内部审计的发展史也是内部审计价值的发展史,风险导向内部审计是内部审计价值发展变迁的结果。同时还运用价值链理论探讨了风险导向内部审计在公司治理和风险管理中的作用。

关键词:价值链;风险导向内部审计;公司治理;风险管理

中图分类号:F239.45 文献标识码:A

文章编号:1000-176X(2009)11-0088-07

2001年IIA颁布的内部审计实务框架,认为内部审计在本质上应是一种“增值活动”。波特的价值链理论是以顾客为出发点,以价值增值为目标,以横向一体化为战略的一整套管理方式。它提供了一种全新的管理理念。凡是不能给企业带来价值增值的活动,不能作为价值活动在企业内存续。本文力图从价值链的视角研究内部审计发展循环的历史,从价值链的视角重新审视风险导向内部审计在公司治理和风险管理中的作用,期望从中得到一些有益启示。

一、内部审计在价值链上的定位

1.价值链相关理论

价值链理论是由迈克尔•波特首先提出的,波特认为价值链是由一系列价值增值活动构成。价值链理论认为企业的价值增值过程,按照经济和技术的相对独立性,可以分为既相互独立又相互联系的多个价值活动,这些价值活动形成一个独特的价值链。企业的价值活动可以分为九种,它们的关系见图1所示。

九种活动又可分为两类:基本活动和辅助活动。基本活动,主要包括内部后勤、生产经营、外部后勤、市场营销和服务。辅助活动主要包括采购、技术开发、人力资源管理和企业基础设施。它通过整个价值链起作用。比较特殊的辅助活动是企业基础设施。它包括总体管理、计划、财务、会计、法律、政府实务和质量管理。

后来,Peter Hines将价值链重新定义为“集成物料价值的运输线”[1],把原材料和顾客纳入他的价值链, 这意味着任何产品价值链的每一个成员在不同的阶段包含不同的公司, 这不同于波特的分析, 波特的价值链只包含那些与生产行为直接相关或直接影响生产行为。John J.Sviokla 于1995 年提出了开发虚拟价值链的观点,到20 世纪70 年代中期, 价值增值已经可以通过提供服务得以实现。服务环节很大程度上依赖于信息技术的先进性。信息时代, 价值越来越多地建立在信息和知识上。艾德里┌•斯莱沃茨基在《利润区》中首次使用价值网一词。价值链理论诞生以后,Microsoft、Coca-Cola、Disney和Intel等著名企业将其运用于企业管理获得了成功,形成了价值链管理的概念。价值链管理是利用价值链分析工具,优化业务流程,提升核心竞争力,获取竞争优势的过程。它不仅可用于企业,也可以用于行业,还可以运用于某一价值活动的再分析。

综合起来,价值链和价值链管理主要观点是:竞争优势来源于企业为客户创造的超过其成本的价值。竞争优势有两种基本形式:成本领先和标歧立异,简称成本优势和歧异优势。成本优势是指在从事价值活动的过程中取得低于竞争者的累计成本。歧异优势是指为买方提供不仅仅价格低廉而且具有独特效用的产品和服务。价值链是分析成本优势和歧异优势的基本工具。核心竞争力是指以比竞争者更低的成本和更快的速度提供出人预料产品的能力。核心竞争力是竞争优势的源泉。业务流程再造是一种改进的过程,它的目标是通过重新设计组织经营的流程,以使这些流程的增值内容最大化,其他方面的内容最小化,从而获得绩效改善的跃进,激发增进企业的竞争力。这种做法既适用于单独一个流程,也适用于整个组织。这里的经营流程相当于价值链。业务流程再造和价值链都强调活动和活动之间衔接的增值。竞争优势、流程再造、核心竞争力之间的关系可以通过图2表示。

2.内部审计在价值链上的定位

根据波特的价值活动分类,内部审计属于辅助活动中的基础设施,内部审计在价值链上位置如图3所示。

内部审计通过整个价值链而不是单个活动起辅助作用,是企业竞争优势的重要来源。国际内部审计师协会(IIA)颁布的《内部审计准则2100——工作性质(nature of work)》规定[2]:内部审计活动运用系统化、规范化的方法来评价并致力于风险管理、控制和治理过程的改进。依此规定可以将内部审计价值活动分解为内部审计在公司治理中的价值活动和内部审计在风险管理中的价值活动(按照COSO颁布企业风险管理整合框架,风险管理包括内部控制)。

二、 风险导向内部审计是内部审计价值变迁的结果

一般而言内部审计按照技术程序、方法又可以划分为:账表导向内部审计、业务导向内部审计、管理导向内部审计和风险导向内部审计(20世纪90年代末开始)。内部审计从一个阶段发展到下一阶段,其中包含着内部审计价值的变迁。因为内部审计的价值决定了内部审计的地位,按照价值链理论,一项业务一旦不能为企业带来足够的价值,要么被撤销要么被外包,内部审计经历内置—外包—内置的发展循环。风险导向内部审计的产生与兴起使得内部审计重新回归内置,内部审计的价值得到很大的提高。

1.内部审计的内置阶段(20世纪初到20世纪80年代末)

内部审计源于企业内部受托管理责任层次的增加。公司内部受托责任层次急剧增加,管理人员不能亲自观察责任范围内的所有活动,没有充分的机会去接触直接和间接向他们报告的人。管理者需要内部审计来协助其间接控制和管理。于是专门检查、报告正在发生的事情,并对其原因进行深入的调查的内部审计得以产生、兴起并形成内置定位。主要表现为:

(1)西方设立内部审计部门的企业以及内审人员占企业职工人数的比重大幅增加。

在美国1 000人以上的企业普遍建立起内部审计部门;在英国,1985年英国内部审计师协会抽样调查发现,营业额在3 500万英镑以上的私营企业,设立审计部门的占52%,IIA 1975年调查316家企业平均配备18名以上的内部审计人员,1979年调查473家企业,平均配备16.7名[3]。

(2)内部审计人员在企业中地位日益提高。

1979年IIA调查发现内部审计部门直接归董事会或总经理领导的占32%,日本内部审计协会调查发现:日本公司有49.8%内部审计部门归最高领导层领导[4]。

(3)IIA会员人数大幅上升。

内部审计师协会的成员人数由1941年初建时的24人,上升至1947年的1 322人;至1991年已有18个国家分会和2个国际分会。

内部审计兴起并内置的原因分析:首先,内部审计的价值定位于为管理层服务,并调整自身价值来满足管理层不断变化的需求。这种价值定位随着管理层需求而演变的过程,突出体现在内部审计职责说明书对于内部审计定义的变化中。其次,相对于外部的注册会计师,内部审计人员具有歧异优势和成本优势,对管理者而言,相对价值较高。内部审计人员的歧异优势具体表现为精于本企业流程分析,对本企业的忠诚性高,更关心本企业的前途,同时擅长对财务控制、经营控制、遵循性控制和信息系统控制进行测试,知晓会计报表粉饰的手段。内部审计人员的歧异优势导致了成本优势,由于他们比注册会计师更了解企业,在执行审计过程中花费的时间和人力成本都较低,因此具有成本优势。

2.内部审计外包阶段(20世纪90年代初到21世纪初)[5]

内部审计外包在20世纪90年代得到迅速发展。Pelfrey & Peacock的调查显示,16%的公司涉足了内部审计外包。1997年,Kusel 等发布的调查报告显示,21%的美国公司和31%的加拿大公司都至少外包了部分内部审计职能,另外未推行外包的公司中,有32.4 %的美国公司和36 %的加拿大公司表示有意在未来外包内部审计职能。Petravick对美国金融机构管理层的调查表明:将内部审计外包的公司占到1/3,未将内部审计外包者也占到1/3,另外1/3的公司要么是尚未设立内审部门,要么内部审计职能由母公司履行。内部审计外包在大规模公司更为流行,像财富100 强公司有50%以上外包了相当部分的内部审计职能。

这一阶段内部审计外包原因主要是基于以下几方面:

(1)CPA审计模式变化导致内审原有歧异优势丧失

20世纪90年代以后,CPA的审计模式开始由制度基础审计向风险导向审计转变,风险导向的审计模式要求CPA更多地关注企业的整体经营状况,更加熟悉企业的业务流程。经过这种审计模式的转变,CPA和内部审计人员一样具有了解企业经营特点的优势,内部审计人员熟悉企业流程的相对优势丧失。CPA在多年的发展中,逐渐与某些企业形成长期的客户关系,使得CPA对于企业的发展和前途也非常关心,内部审计人员的忠诚性优势也随之消失。

(2)注册会计师的外部独立法人地位还让其获得了岐异优势

审计咨询服务一旦出现问题,管理者通过法律途径可以从CPA事务所获得经济补偿,即CPA服务具有责任分摊的功效,相对内部审计而言这是一种歧异优势。

(3)资讯的发达使CPA具有成本优势

CPA在审计业务中获得的相关资讯使其了解了企业的流程,其提供咨询服务时的成本下降,同时CPA从事对同一行业的多家客户服务,使其对行业状况更加熟悉,更容易获得成本优势。

3.内部审计重新回归到内置——风险导向内部审计兴起

2006年IIA下设的一个专门从事内部审计研究工作的“知识共同体”组织(CBOK)面向全球发放了针对内部审计现况的调查问卷,并在问卷分析的基础上编写了题为“全球内部审计活动状况”(2007)的调查报告。CBOK的调查数据显示,大约有90%的内部审计工作由组织内部的审计人员(专职)完成,最多者达到了95.4%。尽管现在可以请外援或内外协作审计,但大多数组织仍然还是选择用内部审计人员来开展内部审计工作。有33%的首席审计执行官表示在未来3年他们将会增加内外协作审计或聘请外援的预算费用[6]。

这些调查数据表明内部审计由外包重新回归内置。内部审计重新回归内置的原因主要是风险导向内部审计的产生与兴起。从上面内部审计外包的原因分析中得知,内部审计之所以外包是因为,内部审计在同CPA竞争的过程中失去了歧异优势和成本优势,进而失去了竞争优势,难以为企业提供有价值的服务,不再是企业的核心业务,因而被外包。内部审计要想重新获得竞争优势,必须进行业务流程再造。从90年代后半期开始,麦克宁等学者开始致力于研究风险导向内部审计的新范式并提出了许多新的观点。1999年6月,IIA经过几年的调研之后,通过了基于风险导向的内部审计新定义和内部审计职业实务标准框架的内容,并于2001年正式实施。内部审计的新定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。从新定义中可以看出国际内部审计已发展到风险导向内部审计阶段,评价和改进风险管理、控制和治理过程,必然成为内部审计的一项重要职责。可以说风险导向内部审计是内部审计进行业务流程改造的结果,目的就是重获竞争优势,为企业提供更为有价值的服务。风险导向内部审计主要从以下几方面实现帮助企业增值的目标:

(1)风险导向内部审计更注重与企业目标的直接关联,提升了内部审计的价值

内部审计经过业务流程改造以后,内部审计的目标与企业的目标直接相关联。这一点从内部审计的新定义中可以清楚地看出。麦克宁关于内部审计新旧范式路线图反映了风险导向内部审计目标与企业目标的契合,如图4所示。传统内部审计通常采用从右到左的路线,即直接测试内部控制,考虑内部控制是否充分有效,而风险的大小仅用于表明控制的薄弱与健全环节,从而实现防弊或兴利的目标。这种范式使内部审计被埋葬于反映过去的细节之中,结果是不断加强、补充、完善控制,在一层控制基础上再叠上一层控制,长期下来会拖累企业前进的步伐。尽管有着防弊与兴利的审计目标,但是无法与企业目标相关联导致内部审计无法证明其价值所在。风险导向内部审计采取的路线是从左到右,首先确认企业目标或某项交易的目标,然后分析对这些目标产生影响的风险以及人员关注的并非控制的充分性和遵循性,而是风险是否得到适当管理和控制。这样,内部审计人员通过风险与企业目标的实现直接联系起来,其服务对公司治理层及管理层而言非常有价值。

(2)风险导向内部审计满足了顾客的需求,实现价值增值

现代企业的经营走势是以顾客为中心,判断企业内部各种流程和职能是否属于价值链上的环节是以顾客需求的满足及价值的增加为出发点的。内部审计的顾客就是其服务的对象,内部审计是否能实现增值的目标,首先就要考虑其服务对象的需求。IIA对内部审计的新定义将内部审计在组织中的地位提升到公司治理的层次,同时也扩大了内部审计的服务对象。包括传统的经理人、董事会,也包括股东、外部监管者、外部审计人员、债权人、供应商甚至全体社会。21世纪一系列财务舞弊案的发生,舞弊导致利益相关者蒙受了巨大损失,各利益相关者增加了对揭露舞弊的需求。由于内部审计人员比外部审计人员更加熟悉企业的高层领导者的状况,比外部审计人员更容易发现绕过内控的高层人员的舞弊。使得内部审计防止舞弊的价值重现。在世界通信财务舞弊案中,揭露舞弊案的是三位内部审计人员——辛西亚•库珀(世界通信内部审计部副总经理)、哲恩•摩斯(擅长电脑技术的内部审计师)和格林•史密斯(内审部高级经理,辛西亚的助理)。相反的本该发挥作用的CPA却无所作为,财务丑闻的频频爆发让其失去信誉。这促使证券监管部门、政府、国会在出台相关法律、规定将内部审计人员推向防范舞弊的前线。

(3)风险导向内部审计使得内部审计重获成本优势

2002年颁布的SOA法案404条规定:企业年度报告中必须包含内部控制报告,报告必须声明管理者负有建立并保持充分的,与财务报告有关的内部控制结构和程序的责任。同时还要对最近年度的,该内部控制结构和程序的有效性作出评价。内部控制制度及其程序是管理部门建立的,其执行状况和有效性由管理部门自己评价有失公允,所以,在会计师事务所审计之前,内部审计人员要对公司的内部控制状况进行评价,向高级管理层提交内部控制评价报告,高级管理层认可后才能向会计师事务所提交报告。由于SOA法案规定执行审计业务的会计师事务所不能为同一客户提供内部审计外包业务,这样执行内部审计外包任务的CPA就失去了歧异优势,聘请CPA进行内部控制评价的成本仍将远远高于内部审计师做出同样评价的成本。CPA原有的成本优势已经不复存在,管理者必然回过头寻求成本较低的内部审计来协助执行SOA法案404条款。相应地企业的内部审计人员获得了歧异优势和成本优势。

三、 风险导向内部审计在公司治理中作用

按照价值链理论,只有能为企业带来价值增值的部门才有存在的必要,否则就会成为企业的冗余业务,要么被外包,要么被撤销。一项活动是否能为企业带来价值增值,关键是看它是否满足其服务对象的要求。如前所述,新的内部审计实务框架将内部审计的视野延伸到公司治理高度后,其服务对象由单一的管理层转变为董事会、审计委员会、高级管理层、监管人员等,甚至包括社会公众。不同的服务对象的需求是不一样的,经营管理层对内部审计增进其经营效率和效果的方法倍感兴趣;外部审计人员则将内部审计视为一种特别的内部控制,如这种内部控制运行有效,则会缩小外部审计人员对组织财务报表发表意见所需执行的工作范围;供应商和顾客希望内部审计能对他们与组织相关的系统所生成的信息,提供可靠与安全的确认;作为被审单位的一线管理人员则希望内部审计能给他们带来创新和最佳实务。针对不同客户的需求,内部审计职能应该从传统的监督、评价向确证、咨询嬗变。切曼及安德森(Chapman和Anderson)认为,将风险导向内部审计目标定位为增值能够开启咨询、风险管理以及治理程序等新领域,为组织做出贡献提供新机会。

确证职能是一种专门针对董事会及其审计委员会和高级管理层,改善其所需信息质量或内涵的独立服务。现代企业的发展趋势是以顾客为中心,顾客需求的满足及价值的增加是判断企业内部各种流程和职能是否属于价值链上一环的出发点。内部审计要成为企业价值链上的一个必要环节、实现增值目标,首先要考虑其服务对象的需求。董事会及其审计委员会和高级管理层对内部审计的需求是不同的:董事会及其审计委员会需要内部审计提供高级管理层受托责任的履行情况;高级管理层需要内部审计提供各层次管理层受托责任的履行情况。确证职能针对不同的服务对象提供不同方面的专业服务,没有特定的报告形式。

咨询职能是一种专门针对高级管理层和各层次管理层,改善其自身状况的专业服务。现代企业正面临复杂多变的环境、变幻莫测的经营风险以及日趋激烈的市场竞争,这些导致企业高级管理层和各层次管理层迫切地需要有人以“顾问”、“参谋”的身份,对其制定的目标、决策、计划以及在经营过程中出现的差异、漏洞和薄弱环节提出改进建议,帮助其更好地履行受托责任。由于内部审计人员地位相对超脱、熟悉企业情况,加上审计又是一个独特的视角,这些使内部审计人员具有提出较全面、客观、可行建议的有利条件。因此,内部审计人员承担了高级管理层和各层次管理层的“顾问”、“参谋”,为其提供专业的咨询服务。咨询职能的实现,实际上就是内部审计人员发挥能动性,通过以往审计过程中问题的总结,对将来审计过程中可能出现问题的预判,提前堵住漏洞。

四、 风险导向内部审计在企业风险管理中的作用

20世纪末的东南亚金融危机、本世纪初的安然、世通财务丑闻以及近期发生的由美国次级贷引发的全球金融风暴,使投资者、公司员工和其他利益相关者遭受了巨大的损失,也彻底拉开了风险管理年代的序幕,规避风险及视风险管理为核心策略的企业需要己渐趋成熟。作为公司治理“四大基石”的内部审计在加强企业的风险管理方面发挥着不可替代的作用。内部审计发挥的作用不只是以积极的方式指出存在的风险,而且还要指出如何管理和控制风险;另外,在风险发生之前采取预防措施将事半功倍。由于价值链在企业风险管理中有着独特的作用,因此可以从价值链的角度如何运用内部审计参与企业风险管理。任何一个企业的管理活动都可以分为三个层面:战略管理、管理控制和作业任务活动,相应内部审计的内容也可以分为战略管理审计、内部控制审计和作业审计三个不同层次。

1.战略管理审计在企业风险管理中的应用

经济全球化的趋势产生了新的市场、新的竞争者、新的产品、新的技术,戏剧性地加快商业发展的速度,并且加大了市场的不稳定性。企业面临的风险领域不断变化和市场竞争的加剧,迅速变化的买方市场, 环境的变化,对企业参与竞争的能力提出了更高的要求。竞争优势是竞争性市场中企业成败的关键,因此,判断企业的核心竞争力便成为企业战略管理的核心内容。企业战略管理审计是以被审计单位的战略管理活动为对象,通过综合、系统、独立和定期的核查,确定问题所在,制订行动计划,改进企业战略管理的活动。战略管理审计的主要工作是对企业经营战略进行审查,是企业战略管理的关键工作。它的目的是确保企业战略的有效性、合理性和经济性,帮助实现企业目标。战略管理审计是内部审计发展的高级层级。战略管理审计评价的重点便是最高管理当局所关心的企业在现有环境中面临的各种战略风险和企业竞争力问题。战略管理审计是通过对企业经营环境和相关风险的分析,了解企业竞争地位和企业价值链上整体成本结构。它是一种基于整体面的审计,更注重企业长期和整体因素的评估。就风险管理而言,战略审计着重于对组织目标实现有重大影响的领域进行风险评估,通常关注的风险有:政策、计划、程序、法律和标准贯彻失误;资产流失;资源浪费和无效使用等。内部审计师要从企业整体价值链, 乃至整个产业价值链的角度,分析企业的风险类型并评估风险的大小,进而提出相应的风险处理意见, 供企业最高管理当局参考。

2.内部控制审计在企业风险管理中的应用

在风险管理中,内部控制审计就是评价组织控制的效果和效率,促进控制的持续改进,以帮助组织保持有效的控制。企业价值链由九种价值活动构成,企业的内部控制就是对企业的价值链进行控制,即内部控制的对象就是价值链即价值活动及增值过程,其具体表现为构成价值链与价值链经济活动相关的各种要素, 比如工艺、质量、产品、作业、人员、组织、财务、信息、绩效、资金等等。由于价值链可以看成是从供应商到用户的作业流、物流、信息流和资金流的整合, 其一切活动的核心是价值, 所以价值链内部控制的具体对象主要为作业流、财务、信息、组织和人员几方面。内部审计就是对价值链上各个价值活动的控制和管理状况进行审查和评价,并就企业价值链上各个价值活动的控制和管理提供咨询,从价值链角度研究和应用内部控制审计优点就是既保留了原有各内部控制系统的独立、完整, 又增强了各内部控制系统之间的价值链联系,因为企业价值链是一整套上下互动、前后连续、层级递进、螺旋式增值和良性循环的价值运营机制,其中任何一个层面、一个环节发生“事故”,都将导致整套价值链的“断裂”。

3.作业审计在风险管理中的应用

作业审计注重对特定作业任务效益与效率性进行审计, 显示出具体性与短期性的特征。传统作业管理是基于部门的, 而现代作业管理却是基于作业流的。对流程作业审计不同于对部门作业审计, 业务流程再造强调流程协调性、畅通性, 而部门设计强调职位分工性和职能划分明确性;流程作业审计目标是客户价值最大化,而部门作业审计目标是组织成本最小化。价值链的九种价值活动的组合形成七个基本作业(以制造业为例)[7]:

第一,研究与开发设计作业,包括思维和创新、业务流程以及服务的开发。

第二,采购作业,主要表现为以资金换取物料和资产。

第三,生产作业,主要是指从依据生产计划领用原材料,实施加工与制造,直到形成完工产品。

第四,市场营销和销售作业,是指在将信息提供给潜在的消费者以及使消费者能够获取公司中所提供的产品或服务。

第五,人力资源作业,人力资源作业是企业的支持活动,主要包括企业家、员工的选聘与培养。