试论公司治理下的企业价值增值型内部审计

那些寂寞的花朵黑的花朵你是天鹅船唯一的花朵摘要：随着企业管理以及公司治理的发展，企业的内部审计实践也呈现出价值增值的趋势，发生了很大变化。同时，有效的内部审计制度有助于企业完善公司治理，因此从企业角度来说，内部审计如何为企业价值增值服务，如何提升价值创造能力是值得思考的问题。关键词：公司治理 企业价值增值 内部审计一、引言随着全球经济的一体化，我国的企业越来越受到全世界范围内的公司治理变革以及信息技术发展的影响，因此，企业的内部审计就必须适应和应对来自企业外部和内部的风险，以便为企业创造价值。对于内部审计的增值，可以在企业价值链的多个环节发挥作用。比如：采购环节的物资采购比价审计等单个环节的增值作用，可以降低采购成本，并且完善采购环节控制的有效性和合理性。同时，企业的内部审计是创造公司价值的重要载体。一方面，企业的内部审计的存在会对组织内的其他职能部门以及组织部门的经营管理者产生威慑作用，努力改善工作绩效，进而导致了组织价值的增加。另一方面，当内部审计成本小于损失的减少时，公司价值增加，也就是企业的内部审计通过努力帮助组织预防和减少损失。因此，有效发挥内部审计的作用，并且从公司治理的高度认识内部审计的增值功能，是提高公司治理效率的重要途径，具有重要的现实意义。二、企业价值增值型内部审计的现状与存在的主要问题（一）企业内部审计主体存在的问题1.内部审计的服务职能和范围相对单一狭窄。企业外部环境的变幻莫测，导致企业的各种风险不断增多，这就要求内部审计应该在完善公司治理结构以及改进风险管理等方面发挥重要作用，不断加强组织内部重组及公司治理，最终达到为企业增值的目标。但是对财务事项的过多关注，则会影响上述职能的发挥。因此，对于企业的内部审计职能，一般都是从监督到评价再到确认、咨询的变化，这样一个过程也充分体现了内部审计目标由积极兴利再过渡到价值增值的变迁。一般来说，目前许多企业内部审计已开始逐渐涉及投资效益审计、物资采购审计、人力资源审计、战略和经营决策审计、产品推销审计、市场景气状况审计、研究开发审计、生产工艺审计、后勤服务系统效率审计等经营活动的方方面面。2.企业内部审计的设置不合理。首先是当前的企业内部审计限制了报告层次。表现在对于第一层委托代理关系中产生的问题不具有影响力，只是将内部审计的服务范围局限于管理层次，内部审计没有发挥其作用而降低了不少效率，这样的领导模式势必会限制内部审计的自身发展。其次是侵害了内部审计的客观性。当前内部审计在形式上的独立性不够，在组织、经济上依附于企业领导，因此很难保证其提供意见的公正性和客观性。除此之外，双重领导体制下的内部审计在利益权衡中处于两难的境地，它既服务于委托方又服务于受托方，最终仍然难以保持其应有的客观性，导致内部审计偏向与其利益相关的一方。3.企业内部审计与其他部门的关系不协调。一方面，企业内部的被审计部门与内部审计配合不利，在参与审计的过程中采取不合作的态度，这样一来就会在一定程度上阻碍了内部审的执行和实施效果。另一方面，内部审计人员在工作中缺乏良好的沟通，一般都是在不信任审计对象的态度下开展工作。转变这样的格局必须要提倡参与式审计，审计部门必须在开始阶段与被审计部门讨论审计内容、审计目标和计划，并且提出切实可行的措施。（二）内部审计法制体系存在的缺失通过对内部审计法制体系现状的分析，发现问题主要存在于以下几个方面：首先是内部审计机构在本单位权力机构的领导或者主要负责人下开展工作，但是其中对于本单位主要负责人或者权力机构的界定并不明确。这种模糊的界定影响内部审计相关职能的发挥，导致其内部审计的领导体制不合理。其次是在对内部审计职责的阐述上，尽管包含了经济责任审计、资金预算审计、财务收支审计以及风险管理审计等多个方面的内容，但是仍然没有涉及公司战略目标及治理的审计，没有将内部审计提高到公司治理的层次。最后是咨询服务是内部审计为组织增加价值的一个重要途径，但是内部审计一般都是局限在监督和评价上，忽视了咨询服务的提供。（三）内部审计实施过程中存在的问题我国企业内部审计实施过程中存在的问题不利于其增值功能的实现，主要表现以下三个方面：首先从审计模式来看，我国内部审计所采取的模式没有发展到风险导向审计模式，还是以账项基础审计为主。这种审计模式在对内部控制评价的基础上也较少考虑控制环境，实施账项基础审计，使内部审计增值功能的提供受到限制。特别是在实施过程中的详细审计大大增加了审计成本，虽然可以通过对财务资源的保值达到间接增值的目的，但是审计范围受到很大局限，最终使得增值效果并不明显。其次从审计时间来看，由于事后审计则往往具有时滞性，事前和事中审计的目的在于通过对风险的以前预警和实时监控，将可能导致的损失以及风险事件的发生概率控制在最低的水平。但是在实践过程中还有部分单位没有前移到事前审计或事中审计，依然停留在事后审计。最后从审计手段来看，随着企业规模的扩大，繁重的手工检查只能增加内部审计的成本，将内部审计的资源过多地消耗在无谓的事项上。而且伴随着互联网技术的不断成熟和网络经济高速发展，企业面临着越来越多的风险和挑战。因此，当前很多企业以手工审计的方式大大增加了企业的成本支出，不利于内部审计顺应时代发展进行变革，并且损害了内部审计的增值功能。三、公司治理下增强企业内部审计增值功能的策略（一）拓展企业内部审计的服务领域应该说风险贯穿于职能部门和组织整体两个层次，而风险管理审计在审计内容上应包括对风险应对措施的适当性及有效性审查，同时也对风险识别、风险管理机制、风险评估方法进行审查。因此内部审计必须既对职能部门的风险管理进行审查和评价，也对组织整体的风险管理进行审查与评价。具体来说，审计人员应该根据审计委员会的意见，对管理层应对风险的处理方式和产生的预期效果进行后续审计，从而使内部审计从企业价值链的每一个环节为企业规避风险来增加价值。内部审计人员应分析企业的风险类型并评估风险的大小，从企业价值链乃至整个产业价值链的角度，给出合理的处理意见和应对措施并且提出风险管理是否对风险有充分和准确的界定，以便供公司董事会、管理层参考。（二）加强与其他部门的沟通，提高内部审计的地位内部审计的本质目标就是增强公司的控制力和规避经营风险的能力，公司治理是实现公司目标和价值的有效途径，因此只有加强公司管理和提高公司经营效率，才能最终增加企业价值。因此要解决我国企业内部审计在实施过程中存在的问题，必须明确内部审计的性质与定位，并且从观念上进行转变，把内部审计作为改善公司的治理结构的重要内容加以重视。因此，内部审计只有不断提高审计工作的质量和效率，并且站在公司治理的高度，才能更好地发挥其有效作用，最终确立其应有的地位。（三）转变内部审计的职能在职能转变的过程中，内部审计人员应该将服务意识贯穿于整个内部审计工作的全过程，促进企业不断完善自我约束机制，并且充分发挥内部审计在公司管理和公司治理中的作用，以便能够很好地适应市场经济的需要。审计人员应该对内部控制的健全性和有效性进行确认，同时积极保证控制措施在关键位置建立有效的控制点。应通过审计委员会对单位的计划、决策以及方案的可行性，对企业经济活动的效益性进行评价，找出差距、揭示矛盾、研究措施、分析原因并最终提出建议。（四）增强审计质量控制和效率如何更好地增强审计质量控制和效率？很多实施增值型内部审计的公司都在开发自己的内部审计规范，如朗讯公司通过三类指标：内部审计管理部门对有效性的监测、质量的改善情况、客户的满意程度等来衡量内部审计人员的业绩。因此说企业的增值型审计一般都是通内部控制评价手册、控制自我评价手册、审计人员技能矩阵、审计质量保证问卷和讨论指南等。总之，只有加强监控才能有效提高内部审计的质量，才能切实为企业增加价值，而且审计质量贯穿于审计工作的全过程。我国企业的内部审计部门在质量管理方面需要从以下两个方面进行改进：首先，在企业内部建立内部审计责任追究制度。对审计过程中的审计职业道德规范、违反审计工作制度以及包括有重大工作过错，或者牟取不正当利益的审计人员进行责任追究。其次就是建立内部审计质量控制制度。实施企业内部的审计项目负责制，具体规定项目负责人、主审的相关责任来对审计项目创造或增加的价值进行检查和评估。（五）实施治理结果审计治理审计通过对监事会、董事会、经理层以及利益相关者的治理效果及其治理责任的考察，来综合评价公司治理的整体效率和效果。由内部审计开展的针对治理效果的审计，即内部治理审计中的治理结果审计，试图从以下两个方面提出实施意见：一方面通过衡量管理层经营活动的经济性、效率性及效果性，对经理人的管理责任进行审计，从而挖掘潜力，提供咨询意见，找出差距，增加公司价值。另一方面，对董事会的治理责任及其业绩做出保证，并且对董事会风格、董事会结构及其成员、董事会实务以及董事会培训等方面做出评价，从而保障了股东及其他相关者的利益。为了更好地实现价值增值，内部审计人员不但要调动被审计人员参与审计活动的积极性，还要发现公司治理中的问题，寻求解决的途径，在被审计人员的理解和支持中共同分析、解决问题。（六）合理整合内部审计资源内部审计部门对现有资源的利用要考虑到其他职能部门乃至企业整体的资源，而不应只局限于内部审计部门，因为企业内部的所有资源都可以拿来作为一种内部审计服务，从而最终实现资源的充分利用。将企业现有资源充分应用到内部审计活动中，不仅帮助内部审计提出切实可行的建议，提高内部审计的效率和效果，同时也有利于减少企业整体资源的消耗，为企业节约成本。例如，可以在对特定项目实施审计时，为了更好更准确地评估项目风险，并在咨询服务中提出更具有可操作性的意见，应该聘请该部门的专业人员针对内部审计人员不精通的技术问题进行指导，同时也要聘请企业中的网络技术人员帮助内部审计人员解决在计算机审计中遇到的问题。现代内部审计对于资源的利用已经不再局限于部门内部，而是扩展到其他部门、企业整体乃至企业外部，只有将各种可利用的资源进行合理整合，才能充分发挥内部审计的增值功能。如果想在公司治理下通过内部审计来增强价值增值，对内部审计人员来说，要不断创新内部审计手段，并努力提高自身素质，以应对行业发展的要求。对于企业自身来说，则应转变内部审计的职能，并且着眼于提高内部审计的地位，将内部审计的服务领域扩展到公司治理审计、战略审计等多方面，只有这样才能有利于企业的发展。参考文献：1张伟.基于治理层次的内部审计一种价值创造活动J.审计研究，2008（4）.2傅黎瑛.公司治理的重要基石:治理型内部审计J.当代财经，2007（5）.3王光远.内部审计在世界J.财会月刊，2007.4严若森.公司治理成本的构成与公司治理效率的最优化研究J.会计研究，2008（2）.第3章理性认识实践：如何实现组织的价值增值目标理论是对事物本质和规律的认识，它可以而且应该走在实践的前头，指导实践活动的进程。科学理论可以预见未来，端正实践的方向。以正确的认识指导实践，会使实践顺利进行，达到预期的效果。由感性认识飞跃到理性认识，是否可靠，能否转化为现实，理性认识本身无法回答。这是认识过程中的另一个矛盾。要解决这个矛盾，必须实现从理性认识到实践的第二次飞跃。认识世界是为了改造世界，理性认识只有回到实践才能指导实践，才能使认识受到实践的检验而得到修正、补充、丰富和发展。实践是认识的目的。认识活动的目的并不在于认识活动本身，而在于更好地去改造客体，更有效地指导实践。认识指导实践、为实践服务的过程，也就是认识价值的实现过程。本章在内部审计的价值增值功能理论的基础上，着重探讨如何才能将这些理论运用到内部审计的实践中，从而实现为组织增加价值的目标。3.1实现条件我们将是否增加组织价值作为衡量现代内部审计业绩的总指标。若使内部审计以合理的治理结构和特殊的审计资源作为基础，通过不断创新，发掘组织所有员工的创造力，持续改善内部审计的服务质量，同时通过优异的服务增加组织价值，使组织在竞争中立于不败之地，通常需要具备以下条件：3.1.1关注组织价值的增加价值增值目标强调的是一种理念，它强调了内部审计是组织的价值需要。现在直接将内部审计的目标定位到与组织目标相一致，内部审计在组织目标的实现中就不再是局外人，而是重要的直接参与者。要以关注组织最重要事项为核心，即关注对组织目标实现起到决定性作用的业务程序。首先，内审部门应抛弃传统的以查处问题为宗旨的审计理念和居高临下的审计方式，在整个审计过程中努力与被审计人员维持良好的人际关系，强调客户价值最大化。内部审计应为股东、董事会、审计委员会、管理者、外部审计、投资者、债权人、监管者等客户提供服务，形成以内部审计为中心的价值网，内部审计通过保证和咨询服务，为价值网中的各个环节注入新增价值，最终实现组织相关者价值最大化。其次，转变注重执行主体的观念以强调价值增值。只要能实现企业价值增值，内部审计既可以由内部审计师来执行，也可以外包给外部审计师或咨询师，关键看谁的价值增值优势更明显。3.1.2分析客户需求内部审计可以充分利用各部门人员的知识、技能和专业胜任能力对有关信息进行评估，这样比对孤立的信息进行评估能提供更可靠、更相关的信息，也会增进与各部门之间的联系与合作，从而产生更加有效的治理结构。内部审计要实现增值功能，提供有效的服务供给，必须分析其现有以及潜在客户的需求。内部审计部门的多客户群体决定了其增值的形式也是多种多样的。例如，管理层对内部审计增进其经营效率和效果的方法倍感兴趣；外部审计则将内部审计视为对内部控制的再控制，如果这种再控制运行有效，则会缩小外部审计人员对组织财务报表发表意见所需执行的工作范围；供应商和顾客等希望内部审计能对他们与组织相关的系统所生成的信息，提供可靠性与安全性的确认。各种增值建议不仅多种多样，而且在审计资源的分配方面还可能发生冲突。内部审计需要通过自身优势，协调客户之间信息不对称的矛盾，为组织实现增值做好准备。3.1.3提高内部审计人员的能力现代内部审计对内部审计人员的要求更高，主要体现在以下三个方面:（1）要具备广博的知识和多元化的技能。广博的知识和多元化的技能包括对行业、市场、产品竞争、组织内部各职能和流程的全貌的理解。（2）要有面向未来的积极态度及服务理念。内部审计不再是对过去的评价，应该洞察风险、评估风险、寻找机会，成为增值业务的推进器。（3）内部审计人员必须具备处理人际关系的能力和技巧，为此特别强调内部审计人员特定的职业心理及行为特征的培养。现代组织的内审团队需要由具有各种资历的专业人才组成。法律、会计、金融、证券、营销、供应、技术等专门人才给内审组织带来了多专业、多层次的智能和视角。内部审计工作在组织内部具有广泛覆盖性，使他们有条件全面把握组织经营的各个方面和各个层面的运行状况，形成了独特的分析问题的角度和方法。他们经常在比较审计结果中积累和增加新的知识和经验，当完成一个部门的内审工作，转到组织内的其他部门时，就会综合利用业务知识，帮助其他部门提高风险控制的能力，增加所在部门乃至整个企业的价值。因此人力资源的开发和利用是管理中最复杂也最具能动性的因素，如果利用得当，做到“贤者在位，能者在职”，不仅可以使其个体保值增值，协调凝聚起来还可以增加组织的价值。3.1.4创新审计业务、审计手段和审计方法为实现增值目标，内部审计部门需要把所有的分支机构作为一个整体加以重视，然后利用软件抽取高风险分支机构的样本，或让管理部门通过自我评价方案来实施控制。原先标准的审计程序己经发生变化，而更注重灵活性和创新性。（1）将手工查账的传统方法与利用计算机进行审计的先进方法结合起来，对于存储在磁介质上的程序、文件、数据，利用计算机进行审计，建立审计数据库。采用计算机辅助审计方法可以更迅速、更有效地完成审阅、核对、分析、比较等各项审查内容，及时提供审计结果，提高审计效率。（2）利用组织的计算机网络资源，将传统的现场审计与非现场审计结合起来，扩大审计范围。目前大多数组织存在着内审人员数量与组织规模、业务量的非对称性矛盾，客观上要求内审部门加大非现场审计力度。（3）在内审中还可以利用计算机技术进行风险的预测、评估和分析等工作，以保证内审的保证、咨询等职能充分发挥，提高审计效益。3.1.5营销内部审计20世纪80年代末，单一服务的方式受到挑战，组织的每一部分都面临着证实其增值能力的压力，许多内部审计部门纷纷拓展其服务。内部审计要在组织内维持生存并取得发展，就要改变自己的理念，与管理部门建立和保持良好的信任和伙伴关系，以前将其视为“被审计对象”，现在则将他们称为“审计部门的客户”。为了实现价值增值，内部审计部门向管理者营销新开发的审计产品已变得越来越重要。内部审计部门需要充分发挥其资源优势,紧密跟上组织的发展变化,积极参与战略、并购、流程再造等一系列重大变革，充当组织变革的代理人，从而成为组织价值链上熠熠生辉的一环。1986年美国著名市场营销学家菲利浦科特勒教授提出了“6P”市场营销策略，即产品（Product）、定价（Price）、地点（P1ace）、促销（Promotion）权力（Power）和公共关系（Public Relations）。与此同时，内部审计也发展了自身的“6P”营销策略,以提高人们对内部审计贡献的认知。“6P”包括:成员(People)，即注重内审人员的招聘、团队构成、培训、文化建设等；内部审计过程(Process)，即优化流程,将审计资源配置到关键的重大问题上；洞察力(Perspective)，即敏锐识别影响组织的各种内外部问题；价格(Price),即注意成本效益,确保内部审计工作的成效；审查方向(Place)，即了解组织的需要,准确定位工作重心；服务的促销(Promotion),即吸引客户,刺激需求。“6P”的建设不仅有利于营销内部审计的服务,而且对于提升内部审计整体水平、进一步提高组织变革方面的影响力都有着深远意义。正如Break Spear(1988)所说:“我们必须学会营销自己,以及营销我们的技能和产品。如果能进行成功的营销,我们将会为组织增加价值,拓展我们的业务,并将分享其中的快乐。”因此内部审计面临的严峻挑战就是如何营销自己。20世纪90年代末，信息技术和知识经济迅猛发展，消费者的生活节奏越来越快，市场竞争空前激烈，人们开始认识到建立组织与顾客之间的战略协作关系十分重要。于是，整合传播营销理论的创始人美国学者唐舒尔茨提出了“4R”营销新理论，即关联(Relativity)、反应(Reaction)、关系(Relation)和回报(Retribution)。“4R”理论以关系营销为核心，重在建立顾客忠诚。面对相互渗透、相互影响的新市场形式，内部审计部门强调与客户建立长久互动的关系，赢得长期而稳定的市场；其次，面对迅速变化的顾客需求，内部审计应学会倾听顾客的意见，及时寻找、发现和挖掘顾客的渴望与不满及其可能发生的演变，同时建立快速反应机制以对市场变化快速做出反应，为客户和组织增加价值。内部审计应着眼于与客户的互动与双赢，不仅积极地适应顾客的需求，而且主动地创造需求，通过关联、关系、反应等形式与客户形成独特的关系，形成竞争优势。在研究客户的感受和需要的同时，还要考虑外部审计的作用，以竞争为导向为组织创造价值。3.2实现形式内部审计是一项为组织增加价值、改善组织运营的独立、客观的保证和咨询活动。保证和咨询两类职能的确立，是内部审计对组织和环境要求的主动响应，咨询职能的独立尝试为内部审计人员创造一个新的顾问或参谋角色。3.2.1保证内部审计职业实务准则词汇表中将保证项目界定为：客观检查相关证据以向组织提供有关风险管理、内部控制和治理程序等方面的独立评价，包括：财务审计、业绩审计、遵循性审计、系统安全审计以及审慎性调查审计。保证服务是专门针对决策制定者改善信息质量或信息内涵的独立的专业服务，没有特定的报告形式，是针对不同客户提供不同方面的服务。保证服务主要是以发表内部控制是否恰当的意见，或通过披露重大控制问题来发表对控制是否恰当的意见而实现的。3.2.2咨询内部审计职业实务准则词汇表中将咨询项目界定为：提供建议及相关的客户服务活动，其业务与范围通过与客户协商确定，目的是增加组织价值并提高组织的运作效率，包括建议、便利化、流程设计及培训等。内部审计的咨询服务必须在组织的审计章程中明确规定，并使组织内部的客户明确了解，同时也包括接受正式咨询服务的标准。现在很多的大型组织中非常流行的CSA研讨会和内部控制的讨论会的主要内容就是内部审计的咨询业务。3.2.3保证和咨询的联系与区别（1）保证服务包括将结果传递给相关使用者、除审计人员或者被审核过程与领域中人员以外的第三方；咨询服务仅涉及审计人员和业务管理者两个主体，不涉及第三方。（2）保证服务增加的价值取决于第三方，即审计和保证的客户；咨询项目所增加的价值取决于该项目对业务管理活动的价值。（3）保证项目需要对结果发表意见；咨询项目如果确实需要正式报告，也只是提出建议。（4）保证服务具有强制性，除非被认为是高风险的项目或者对所选定的初步风险评估被证明是错误的，内部审计部门才可以选择放弃；咨询项目不具备强制性，缺乏相关技能或计划问题都可能成为被拒绝的理由。3.2.4保证和咨询的矛盾与调和现代内部审计两大职能的内在矛盾是指内部审计在发挥咨询性功能的同时是否影响了内部审计人员在履行保证职能的独立性。20世纪90年代以前，研究学者更广泛地强调传统的保证职能的实现。当时内部审计在组织中的主要作用依次为：一般财务性和非财务性审查的执行、对组织合法化发展的贡献、个人职业的发展和参与外部审计。20世纪90年代以后，内部审计的范围逐渐倾向包括咨询性活动的内容。内部审计师与客户之间对内审差别的认识导致了内部审计职能的扩展，内部审计职业要在管理咨询和独立的职业审查间取得平衡。面对二者的固有矛盾，内部审计人员应该将咨询建议有所控制，避免盲目扩大导致矛盾深化。提供咨询服务的出发点应该站在独立性的基础上，避免偏袒委托方或被审计方的任何一方，尽量保持超然独立的态度。王光远等译的内部审计思想一书中从价值增值出发，分析多客户的各种不同需求，指出传统单一内部审计服务的缺陷，并给出一个保证与咨询服务类型的连续统一体：涵盖了财务审计、业绩审计、快速反应审计、评估服务、协调服务及补救服务。作者还针对保证服务，分析了保证服务的等级、审计证据与保证服务的类型及等级的关系、向外部提供保证服务、舞弊调查等问题；针对保证服务，考察了混合项目、保证与咨询服务的平衡、咨询服务的限制因素、咨询服务的风险与收益等问题。3.3实现途径3.3.1通过参与内部控制实现价值增值（1）内部控制溯源及衍生内部控制是一个历史悠久的概念，它伴随着人类管理活动应运而生。在其漫长的产生和发展过程中，大体经历了四个阶段。现代内部审计之父劳伦斯索耶指出:“基础广泛的内部审计将内部审计师推到一个陌生的领域。在他们必须进行宏观评价的领域里，如广告、农业、关税、工程、外贸、退休金、质量保证、安全、运输、福利，以及其他大量公共的和私人的事务中，他们不可能都成为专家。但是，胜任的内部审计师有一个芝麻开门的秘诀，这一秘诀给了他们在所有这些事务中做出有效贡献的机会。运用这一秘诀，他们能打开通常只有技术专家才能进入的大门，运用这一秘诀，他们能帮助解决这些大门背后的许多问题。这一芝麻开门的钥匙便是控制。”内部牵制阶段（20世纪40年代之前）在人类社会发展的过程中，上溯至我国西周时期就存在着内部控制的雏形内部牵制。主要是统治者为防止掌管财务的官吏贪污、盗窃或者弄虚作假，对其实行严密的分工牵制和交互考核。这一阶段的内部牵制，主要以差错防弊为目的，以职务分离和交互核对为手法，以钱、帐、物等会计事项为主要控制对象。内部控制制度（20世纪40年代至70年代）20世纪40年代以后，随着大型跨国公司不断涌现，竞争日趋激烈，审计理论界及实务界开始关注内部牵制对审计人员的重要性，进而对其进行研究，扩大了对内部控制的认识。1936年，AICPA颁布独立公共会计师对财务报表的审查，首次定义了内部牵制与控制制度:“内部牵制与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，内部牵制已扩大到了内部牵制与控制。1949年，美国会计师协会的审计程序委员会首次对内部控制做出了权威性的定义:“内部控制制度包括组织内部采用的机构计划和所有有关的调整方法和措施，其目的在于保护组织的财产，检查其会计资料是否正确可靠，以及提高业务效率，促进经营方针、组织计划的贯彻和组织内部所有调查方法的实施。”这个定义涵盖的范围已经超越了与财务和会计职能有直接关系的内容，而涉及经营管理等多方面。1958年，出于审计人员测试与财务报表有关的内部控制的需要，AICPA将内部控制制度区分为内部会计控制制度和内部管理控制制度，指出审计人员测试的主要责任在于前者。1973年对这两类内部控制制度作了解释:“内部会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施，目的在于保护组织资产、检查会计数据的准确性和可靠性。内部管理控制制度包括但不仅仅局限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录，目的在于提高经营效率、促使有关人员遵守既定的管理方针。”内部控制结构（20世纪80年代至90年代）将内部控制区分为内部会计控制与内部管理控制之后，审计人员发现有些控制无法确切归属到前者或后者中，另外后者其实对前者有很大影响，无法在审计时完全忽略。于是，1988年AICPA发布第55号审计准则公告财务报表审计中内部控制结构的考虑，较大幅度改变了内部控制的定义，以“内部控制结构”的概念取代了“内部控制制度”。从“制度二分法”走向了“结构分析法”，这是内部控制发展史上的一次重要改变。内部控制结构是为提供取得组织既定目标的合理保证而建立的各种政策和程序，包括三个组成要素:控制环境、会计制度和控制程序。内部控制整体框架及其发展第一，形成：COSO内部控制框架进入20世纪90年代以后，对于内部控制的研究进入一个新阶段。1992年，美国的“反对虚假财务报告委员会”（COSO委员会）经过多年对内部控制实务的调查研究，发布了“内部控制整体框架”，对内部控制提出了新定义:“内部控制是受组织的董事会、管理当局及其他人员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”内部控制整体架构包括控制环境、风险评估、控制活动、监督、信息与沟通五个要素。其中控制环境位于五个要素的首位，对其他几个要素起着保护和制约的决定作用。这一定义强调内部控制是一个整合的架构(Integrated Framework)，它也是世界上最早发布的权威性内部控制框架，获得了许多组织和职业团体的赞同。安然和世通事件的发生直接导致了2002年7月30日2002年萨班斯奥克利法案的出台。其中的第404条款要求上市公司管理层需要建立和维持充分的与财务报告相关的内部控制，并评估公司与财务报告相关的内部控制的有效性。第二，衍生：COSO风险管理框架自美国COSO委员会发布内部控制框架以来，受到了前所未有的青睐，与此同时理论界和实务界也纷纷对内部控制框架提出了一些改进建议，强调内部控制的框架应与组织的风险管理相结合。在这种背景下，COSO经过了两年多的研究，在2004年发布了企业风险管理框架（ERM）。COSO委员会是这样描述ERM与内部控制整体架构的关系的：内部控制整体架构是包含在ERM中的一部分，ERM扩大了内部控制整体架构的范围，以建立一个对风险更加关注的更强大的概念体系。因此，内部控制与风险管理之间的融合己是一种必然趋势，这种融合说明了风险管理框架中已经包含了内部控制。风险是指某种行动的结果具有不确定性，它可能代表机遇，也可能代表损失。风险管理是对风险的识别、衡量和控制。在竞争激烈的市场环境中，所有组织都面临着不确定性的挑战，管理当局将面临机会和风险的选择，只有有效的进行风险管理才能更好地增加企业的价值。企业风险管理框架是一个帮助企业管理者有效处理不确定性和减少风险，进而提高企业创造价值能力的框架。2004年9月，COSO正式发布了企业风险管理框架，将其定义为:“企业风险管理框架是一个在战略决策以及在整个企业中贯穿实施的过程，用于识别影响企业的潜在事件并将风险控制在企业风险偏好的范围内，并为企业目标的实现提供合理的保证。上述过程受到企业的董事会、管理层及其他人员的影响。”其中包括了内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、监督及信息与沟通8个基本要素，这些要素共同作用，构成了风险管理机制。风险环境（Environment）是其他要素的基础，为其提供规则和结构。董事会和管理者是企业风险的重要组成部分，决定了组织的目标、达到组织目标的战略、商业过程以及商业模式。事件识别（Event identification）是管理者对于不确定性的存在进行识别。这个识别步骤是关键的，因为可能的风险没有被识别出来，就不会被列入反应和接受风险的计划中，这样组织就有可能遇到计划外的风险。风险评估(Risk assessment)是让管理者确定潜在风险项目如何影响企业目标的实现。组织往往对其固有风险和残存风险进行评估。风险可以用二维的方法来进行评估，即可能性和产生的影响。有些风险是具体的，有些风险是以一系列的可能的概率结果出现的。对风险的评估可以由定量和定性两种方法。风险反应(Response)是组织对重要的风险进行风险受益的权衡从而采取规避风险、减少风险、共担风险以及接受风险的不同态度。控制活动(Control activities)是旨在对风险减轻的反应措施的实施进行合理保证的一系列程序。主要包括批准、授权、取消、确认、观察、查证以及协调经营业绩的评价、有形资产的监管、职责分离等。信息和交流(Information and communications)是风险识别、评估、反应、和控制活动可以给各个层次的主体提供必要的风险信息，它必须以一定的格式和时间间隔进行确认、捕捉和传递。监控(Monitoring)是运用内部风险控制，组织通过日常的控制和独立评价活动对风险管理的运行以及一段时期的执行质量进行监控。它主要包括持续监控和个别评估两种方式。第三，比较：企业风险管理框架和内部控制框架在内部控制框架的基础上，企业风险管理框架着重强调了以风险组合的观念看待风险，对其进行识别并采取措施使组织所承担的风险控制在风险偏好（组织在实现其目标的过程中愿意接受风险的数量）的范围内。即使组织内部的每个部门所承担的风险落在其可接受的风险容忍度（在目标实现过程中对于出现差异的可容忍限度）之内，组织的总体风险仍可能超过其风险偏好。因此我们应站在组织的战略层面上，以组织总体风险组合的观点看待风险。从概念的观点出发，内部控制可能是不变的,但对它的理解是不断发展的。在未来,或许还会有新的框架出现,但其所体现的仍是控制的涵义,仍是某一阶段人们对它的理解和认识。（2）内部控制与内部审计的关系：本是同根生著名内部审计学家布林克说：“自有人类历史以来就有内部审计，因为自有人类历史以来就有内部控制。”组织内部受托责任的产生，导致内部控制产生，而内部审计作为保证受托责任履行的一种控制机制，首先需要保证和评价的就是内部控制的有效性。因此，内部控制与内部审计与生俱来，内部审计发展的历史就是内部控制的发展历史。实际上，内部控制评价是内部审计的执业秘诀，是内部审计工作渗透到业务审计、管理审计领域的敲门砖，是控制重要与否的代言人。内部审计是否高效关键在于内部控制。内部审计是内部控制系统的一部分，又是控制的确认者。历史地看，内部审计在确保受托人按委托人利益行事，有效解释和报告自己行为方面发挥着重要作用，是受托责任系统中的内部控制机制。同时，内部审计又是控制的确认者，监督、评价和改善内部控制是内部审计的基本职责。内部审计作为组织的控制职能来考核、评价组织的其他控制，内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖(Moeller，2006)。布林克在回顾IIA的历史时指出，内部审计最该关注的就是内部控制；内部审计的理论构建应以内部控制概念为中心。我们要透彻研究内部控制理论发展的历史，尤其要关注当前的新变化。学术界关于风险管理与内部控制隶属关系之争愈演愈烈。从本质上来说，风险管理就是内部控制。风险管理是内部控制的延伸，内部审计是风险管理的确认者，是对风险管理的再管理。先是从内部会计质量控制到整体内部控制，而后延续到整合风险管理与公司治理的现代内部控制，内部审计与内部控制的最终目的都是管理风险、提升治理、实现组织目标。(3)内部审计通过参与内部控制实现价值增值的途径1.风险管理保证与咨询风险管理是识别和评估可能会影响组织实现其目标的风险并决定采取适当的纠正措施。第一，风险管理保证。内部审计主要从两个方面检查、评价风险管理过程的充分性和有效性，一是评价风险管理过程主要目标的完成情况；二是评价管理层选择的风险管理方式的适当性。由于内部审计具有独立性、综合性、经常性和及时性等特点，因此内部审计在完成上述任务的过程中具有独特的优势，通过了解组织的各项业务和流程，对企业风险管理体系的健全性、有效性进行监督和评价，对风险管理过程的及时性、科学性进行评估，找出企业风险管理体系的薄弱环节，帮助企业发现并评价重要的风险因素，指出其控制缺陷，并提出改进意见，提供风险管理的有效方法和控制措施，帮助企业改进风险管理与控制体系，规避经营过程中可能出现的风险损失，从而为企业增加价值。有观点认为，企业的治理过程是公司的利益相关主体的代表让管理层发现风险并对其进行控制的过程，对公司风险的监控及适当地规避那些风险等措施，对实现公司目标和保存公司价值都有直接的贡献。内部审计参与风险管理的实质就是协助公司的高层管理人员做好以下工作：系统的鉴别组织所面临的风险；评估这些风险对组织的潜在影响；制定控制风险的策略；评价风险管理的过程；就风险应对措施的合理性、风险监控的及时性、恰当性、有效性等信息进行有效地交流和沟通。COSO的ERM报告针对其中的每个要素分别说明了内部审计在风险管理过程中所起的作用。第二，风险管理咨询。风险管理是管理层的责任，但是内部审计师可以通过为管理部门设计一些风险管理程序、规则、技术和方法，为管理层提高风险管理的效率和效果。他们利用其所具有的专业优势，通过提供更多的咨询增值服务，指导管理层鉴别组织前进的方向，为编制战略规划提供支持。风险管理的咨询工作通常包括9个步骤：设计和引进风险评估的概念；确定目标；讨论重大问题和计划；确认影响实现目标能力的风险；确定需要解决的风险；考虑解决重大风险的当前安排；确定为确保正确管理风险而需要在现有风险战略中添加的内容；评估新措施在多大程度上能够促进组织实现目标；以一种有意义的方式报告结果和行动计划。内部审计在风险管理领域的增值产品主要有：作为风险管理顾问、提供风险管理培训、支持风险管理自我评估等。2.内部控制保证和咨询第一，内部控制保证组织的内部控制建立在一定的控制环境中，其目标是合理地确保组织经营的效率和有效性、财务报告的可靠性、法律法规的遵循等。于是对内部审计人员提出了对现有内部控制的健全有效性进行不断评价的要求，以发现其中存在的问题并日臻完善。第二，内部控制咨询增值型内部审计在内部控制领域可以开展的咨询服务有：在对企业风险管理进行评价的基础上，衡量内部控制体系的建立情况和有效性，寻找内部控制的薄弱环节，向企业管理层提出强化内部控制建设的建议并组织内部控制培训。内部控制培训是增值型内部审计为组织增加价值的最宝贵工具之一。比如内部审计师可以将在企业采购过程的控制、成本管理控制、存货控制、订单履行控制中发现的问题及解决办法向员工进行培训、开展内部控制的自我评价。内部控制自我评估是公司管理人员和内部审计师合作评价内部控制有效性的一种方法，是组织监督和评估内部控制的主要工具。它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工、内部审计师与管理层共同承担对内部控制评估的责任。这使以往由内部审计师对控制的充足性及有效性进行独立验证发展到一个全新阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。（4）内部审计通过参与内部控制实现价值增值的度量对于内部审计价值增值的度量问题，是内部审计实务准则出台和执行后专家们着力倡导研究的问题。一般来讲，对增加价值的度量可以采用定量和定性的方法。定量是从内部审计工作本身节省多少成本和费用、减少多少资产的损失；增加多少收入、控制和降低多少风险而使企业整体价值上升多少等的量化指标来衡量。然而，有些增值审计产品绩效无法通过定量的方法直接衡量，可考虑通过基于可靠信息用科学估计的方法进行间接衡量，比如可以运用调查的方法，获得客户对审计部门的评价。内部审计通过参与内部控制带来的增值额很难用数量来确定，从而衡量业绩有一定的难度，况且仅仅从数量上表述内部审计业绩也难以评价审计质量。内部审计部门可以构建一个评估内部控制的框架，用来度量该内部控制系统为组织实现的价值增值。内部控制是对组织活动的规范调整，它的目的是使职责履行的要素指标保持在可接受的范围之内。度量内部审计通过参与内部控制实现的价值增值可以参考审计客户对上述评估框架的认可程度，或者说审计客户的满意度。除此之外，内部控制的价值增值还可以通过控制自我评估（CSA）展开。CSA是一个用以检查和评估内部控制有效性的过程，其目的是为组织达到一定的经营目标提供合理的保证。CSA的主要方法包括：协调小组会议、问卷调查以及管理者进行的分析报告。通过CSA检查，内部审计和负责经营的员工进行合作来对组织的运营进行评估。与内部审计师在相对较短的时间内取得对流程的了解相比，参与CSA的员工对组织的流程会有更透彻的了解，信息质量因此得以提高。通过获取信息数量的增加和质量的提高，这种协同作用能够使内部审计更好地帮助管理层履行其监控职能。3.3.2通过参与公司治理实现价值增值（1）公司治理的定义及其分类公司治理（Corporate governance）也被称为公司治理机制或者公司治理结构，它是运用权力指导公司的方向，监督管理人员的行动，担负起应尽的职责和按照公司所在国的法律、法规来约束公司。它的本质是一种相互制衡关系，即以股东为核心的利益相关者之间的相互制衡关系的泛称，其核心是在法律、法规和惯例的框架下，保证以股东为主的利益相关者利益为前提的一整套公司权力安排、责任分工和约束机制。主要包括以下几种类别：制度安排层面上的公司治理。奥沙利文（OSullivan,2000）认为公司治理关心的是制度安排如何影响公司资源和回报的分配。检查和控制层面上的公司治理。（OECD，1999）公司治理是一种指导和控制公司的体系，明确了公司的不同参与者之间权利和义务的分配。受托责任层面上的公司治理。公司治理是一套制度安排,它是受托责任系统中的一种控制机制,其最终目的是确保受托责任系统的有效运行。所有权和经营权的分离,形成了所有者和经营者之间的委托受托关系,公司治理正是确保这种受托责任关系有效运行的控制机制；其他外部利益相关者与组织之间同样存在受托责任关系,公司治理也是维护利益相关者之间利益平衡的控制机制。IIA的内部审计实务标准将公司治理定义为：“组织的投资人代表，如股东等所遵循的程序，旨在对管理层执行的风险和控制过程加以监督。”由此我们可以得出，公司治理是对管理层控制活动和风险管理行为的再监督。在前文中论述的内部审计在内部控制与风险管理中的作用，实际上就是内部审计在公司治理中发挥作用的两个重要部分。（2）公司治理的主要相关主体内部相关主体董事会作为一个组织内部特殊的相关主体，主要负责制定总体战略方向和监督经营活动。作为股东利益代表者的形象，董事会由多种不同的组织职能支持，如风险管理、组织遵循性、组织控制和组织安全，旨在促进适当并有效地治理。董事会通常根据其成员的特殊知识和专长划分为几个二级委员会，例如题名委员会、薪酬委员会和审计委员会。蓝带委员会（1999）指出审计委员会充当着外部审计和内部审计以及其他职能之间的协调者。管理层是公司治理的主要推动者，管理层的中心地位被视为组织治理的主要动因之一，指导和控制是管理层履行责任的主要工具。外部相关主体组织会面对各种各样的外部相关主体，包括：股东、金融市场、顾客、供应商、监管者、政府以及公众等。他们不参与组织的经营活动，但却与组织的利益密切相关。在公司治理结构中，管理层执行风险和控制的措施，并向董事会报告其工作状况，董事会为了证实管理层报告的真实性，授权审计委员会对其进行鉴证，审计委员会利用内部审计和外部审计职能对管理层的风险、控制的管理与执行情况进行检查和证实，内部审计和外部审计将检查、证实的情况向审计委员会报告。这样形成了一个有效的公司治理。一个有效的公司治理可以对风险管理系统和控制系统进行充分的监控，对它们的监控直接有助于组织达成其目标。（3）内部审计与公司治理：投我以桃，报之以李2002年8月1日，NYSE（纽约证券交易所）宣布根据公司治理建议修改新上市标准，同时接受IIA在2002年7月19日的建议，规定所有上市公司必须设置内部审计机构以改善上市公司治理。21世纪美国公众公司治理原则指出：完善的公司治理必须由董事会、管理层、外部审计师以及内部审计师四方面有效地共同发挥作用。内部审计是公司治理必要且重要的组成部分，是确保受托责任有效履行的内部治理机制，是董事会及其所属审计委员会、管理层以及外部审计可以充分利用的一种极具价值的资源。在公司治理这个管理和控制系统中，内部审计对于公司目标的设定、实现和监控承担着重要角色，它整合其他管理和控制因素，以超然独立的身份来确保公司治理的充分性和有效性。IIA在2006年颁布的指引中，指出内部审计在公司治理中发挥两方面的作用：其一是独立、客观地评价组织治理结构的适当性及具体治理活动运行的有效性；其二是充当变革的促导者，提出或倡导改进措施，以改善组织治理结构及治理实务。 疏导信息不对称的传递渠道，适当缓解代理问题由内部审计人员对财务报告进行相对独立的审计，可以约束管理层的会计信息编报权力，也可监督其是否对信息进行充分披露，缓解管理层和投资者之间的信息不对称问题。与此同时还可以对代理人形成间接地约束，以期减少代理人的“逆向选择”和“道德风险”的影响。弥补外部审计不足，完善公司治理机制21世纪初的安然、世通等财务舞弊案例的发生使人们意识到外部审计的独立性难以保证，外部监督体系尚不完善。IIA对公司治理采取了更多的措施，不断强化内部审计治理。完善的内部审计可以使股东深入了解公司的经营状况，防范决策风险；可以协助外部审计评估公司的内部控制机制，以降低审计风险和监管风险等。面对客观形势，内部审计应该努力提高公司治理的能力，更好地应对新形势下的挑战。(4)内部审计通过参与公司治理实现价值增值的途径经过不断地实践与探索，公司治理的目标应是维护所有利益相关者的利益，帮助其增加价值。内部审计在公司治理中的独特背景也就体现在其通常服务于参与治理过程的相关各方，同时也为治理对象提供服务与增加价值。健全的公司治理促使内部审计有效运行，为管理层监督以及内部控制的有效执行提供保证，为管理的科学性和经营目标的实现打下基础。内部审计在公司治理领域的增值服务主要包括：评价公司的治理环境。好的治理环境为公司治理提供好的文化、结构和政策基础，直接关系到治理的效率。内部审计通过评价公司总体治理结构和政策、评价治理环境和道德、评价审计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施，以达到优化公司治理环境的目的。评价公司治理过程的有效性。治理过程是支持治理环境的具体活动。内部审计参与公司治理的具体措施是评价舞弊控制和沟通过程、评价薪酬政策和相关过程、评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩的计量。评价公司治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践。它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。与此同时内部审计还可以开展公司治理领域的咨询服务，可以从改善风险管理和控制流程的角度，向董事会提供关于风险管理和内部控制制度运行情况的分析和确认，进一步帮助管理层和董事会。（5）内部审计通过参与公司治理实现价值增值的度量内部审计部门能够增加价值并改善组织运营的一个关键途径，是成功履行其在管理层和董事会下界定的职责。内部审计部门通常采取一定的方法，追踪其实现职责所确立目的和目标的过程。例如确认服务的定量业绩评价效果显著，因此一些内部审计部门已经开始推行平衡计分卡，尝试捕捉和计量内部审计成功的关键动因。平衡计分卡是1992年由哈佛商学院的罗伯特.卡普兰和复兴全球战略集团的创始人兼总裁戴维.诺顿对由毕马威会计事务所资助的一项名为“未来的组织绩效评价”的研究而开发出来的。平衡计分卡是一个将传统的财务指标与非财务指标结合在一起的综合管理控制系统，这个系统可以帮助管理者关注关键的绩效指标，并将它们清晰地传递给整个组织。平衡计分卡把组织绩效评价分解为四个方面来考核，即财务、客户、内部经营过程和学习和成长。财务：业绩指标包括审计成本降低额和价值增加额，后者有降低成本或费用带来的增值、改进公司流程带来的增值、改进公司风险管理带来的增值等；客户：业绩指标主要包括客户满意度与客户获利能力，衡量内部审计工作对客户带来的价值贡献等；内部经营过程：业绩指标包括审计报告提出的时间、有价值审计建议次数等；学习和成长：业绩指标包括内审人员满意度、培训次数等等。在公司治理中，董事会和审计委员会是股东利益的代表，从这个角度来设定指标，反映了内部审计部门对股东的价值贡献，主要从以下五个方面来评价：审计委员会关于内部审计角色的观点、审计委员会满意度调查的结果、审计委员会对风险的关注、内部审计主管与审计委员会会谈的情况、内部审计主管的业务报告关系。高级管理层既是内部审计的对象，又是内部审计的客户，这一维度的指标反映了内部审计对高级管理层的贡献。主要包括：管理层对内部审计的期望、审计建议得到执行的比例、审计客户的满意度调查、对审计部门投诉的数量以及审计客户对于内部审计角色的看法。外部审计和内部审计在促进公司治理方面有着共同的目标。外部审计师对内部审计的评价不会受到任何利益冲突的影响，他们希望能够利用内部审计部门的工作成果和获得其协调帮助，以缩短审计时间，减少审计费用。所以从外部审计师维度评价内部审计参与公司治理的绩效显得非常必要。评价指标主要包括：对内部审计部门提供的内部控制情况的满意度、与外部审计师交流的情况、对内部审计工作底稿的利用程度以及由于内部审计的协调而减少的外部审计时间等。3.3.3通过参与GRC的整合实现价值增值公司治理、风险管