合规型内部审计:精准发现违规行为,实时化解合规风险
上QQ阅读APP看书,第一时间看更新

1.1 国外合规型内部审计

审计是社会经济发展到一定历史阶段的产物,是在财产所有权与经营管理权分离后所形成的受托经济责任关系下,基于经济监督的客观需要而产生、发展和不断完善的一种社会约束机制。审计有多种划分标准,其中,按照审计内容来划分,可以将其分为财务报表审计、经营审计和合规性审计三种形式。合规性审计(compliance audit)是依据既定标准对经济活动是否符合规范进行的对照性检查。显而易见,合规型内部审计(compliant internal audit)是由内部审计机构所实施的合规性审计[1]。发达国家较早开展合规性审计,取得了明显成效,其经验值得我们借鉴。

美国

1.经典教科书关于合规性审计的定义

虽然美国审计活动的历史较为短暂,但由于美国资本主义的出现和快速发展,审计作为一种控制机制,在美国得到发展并走向成熟。从美国经典的审计学教科书中,可以看到关于合规性审计的众多描述。

北京国家会计学院、毕马威会计师事务所组织翻译的《蒙哥马利审计学(第12版)》指出,合规性审计目的在于确定某个经济主体是否遵循了特定的政策、程序、法律、规章,或者影响经营或报告的合同的要求。合规性审计即检查是否合规。“规”指的是政策、程序、法律、规章和合同。例如,税务机关工作人员对纳税申报单以及财务报表的相关内容进行检查,以确定其是否遵循了某个债务契约;审计某个政府基金项目的研究支出以确定是否符合基金条款的要求;审计某经济主体的雇佣政策以确定是否与《平等就业机会法案》相一致。

既定标准(如法律或规章中的规定)是开展合规性审计的前提。

美国加州大学里克·海斯和德勤公司的罗杰·达森等人撰写的《审计学——基于国际审计准则的视角(第2版)》将合规性审计定义为对组织的运作过程进行审查,以确定组织是否遵循了由更高级权威机构制定的既定程序、规则或法律。该教科书偏向于认为,合规性审计与政府审计联系密切。一个明显的例子就是,税收监管部门、政府机构、银行监管部门对银行进行审计,以评判银行资本充足率是否符合规定等;还有美国的国家税务局(Internal Revenue Service,IRS)对纳税人是否遵守税收法律进行审计,以判断所得税退税金额是否正确。

阿尔文·阿伦斯、兰德尔·埃尔德和马克·比斯利等人出版的《审计学——一种整合方法(第14版)》主要从注册会计师的视角界定合规性审计,认为合规性审计的目标是确定被审计者是否遵循了由上级主管制定的特定程序、规则或规范。这一界定与《审计学——基于国际审计准则的视角》的定义相类似。一般而言,非上市公司的合规性审计主要包括:确定会计人员是否遵守公司工作程序;审核工资率是否符合相关法律的规定;审核与银行等借款人签订的贷款协议,以确保公司遵循相关法律规定。注册会计师受托开展合规性审计,向被审计单位管理层报告审计结果。

上述几本美国经典审计教科书从不同视角对合规性审计进行了界定。其中,《蒙哥马利审计学(第12版)》中的定义最为宽泛,体现在合规性审计内容涵盖了三种审计主体所开展的合规性审计。《审计学——基于国际审计准则的视角(第2版)》立足国际视角,侧重于合规性审计体现国际通行的规则,该定义具有广泛的适用性。《审计学——一种整合方法(第14版)》中的定义最为狭窄,认为合规性审计的审计主体为注册会计师,审计标准为公司制度或者合同约定。

2.合规性审计与其他审计具有融合发展的趋势

事实上,政府审计师、独立的注册会计师和内部审计师都有可能从事合规性审计,当然,他们的目的不同,依据标准也存在一定的差异。需要关注的是,随着信息化技术的发展,财务报表审计、经营审计和合规性审计正趋向一体化。如果某个政策、合同、法律或规章对财务报表产生直接和重大影响,对相关规则的遵守程度就是财务报表审计的组成部分。最为明显的例证便是,注册会计师最初以查错纠弊为主要审计目标,实质上就是在执行合规性审计。

久负盛名的《蒙哥马利审计学》,在1912年、1916年和1934年的版本中都将查错纠弊作为审计的主要目标,这意味着当时注册会计师的职责就是揭露差错和舞弊。

合规性审计不仅具有多个实施主体,而且,在审计内容上,合规性审计往往与真实性检查以及绩效评价交织在一起。例如,美国审计总署(Government Accountability Office,GAO)所实施的绩效审计,就是建立在对联邦政府是否依法依规使用公共资金的审查基础之上的。离开了合规性审计,绩效审计便失去了实质性意义。

3.合规性审计是内部审计的重要内容

19世纪末20世纪初,资本主义进入垄断阶段,垄断企业开始成为资本主义经济的重要特征。工商企业和其他各种组织的活动范围变得越来越大,其活动变得越来越复杂。这些变化的到来,致使对控制和经营效率的管理更加困难,管理人员再也不能亲自观察责任范围内的所有活动,甚至不再有充分的机会接触直接或间接向自己报告的人。在此背景下,内部审计活动应运而生。例如,19世纪中叶,美国内部审计人员积极地协助外部审计人员调查纽约和New Haven 铁路公司的内部舞弊。而防止欺诈、现金和其他资产损失的合规性审计,正是早期内部审计的重要内容。

随后,出于应对公司治理和风险管理的需要,出现了增值型内部审计。内部审计重点已经从早期的“为管理而审计”发展到“对管理进行审计”的阶段。今天,合规性审计仍然是内部审计的重要内容。

英国

1.合规性审计产生的动因

英国内部审计最早可以追溯到中世纪时期,合规性审计发展历史较为久远。当时,审计人员受庄园主委托,主要职责是听取庄园管家对账簿记录的报告,并对账簿进行检查,以评判管家责任履行情况。18世纪60年代,随着英国工业革命的兴起,通过大量社会融资成立的铁路公司急速发展,对英国早期的内部审计产生了重要影响。这一时期,铁路公司普遍存在欺诈和投机行为,股东对公司日常支出和分红决策的控制感到力不从心。审计学家汤姆·李认为,“社会经济结构的变化引发了对审计需求的增加。具体来说,工业化进程创造了融资需求,引发了合并浪潮,这些最终导致社会对‘财务报告审计’的需求增加”。一方面,铁路公司需要建立和完善一套内部控制系统;另一方面,需要引入独立的审计机构,监督管理者的行为。这就产生了内在的审计需求。内在需求和外在压力,是内部审计机构开展合规性审计的驱动因素。

2.早期民间审计重心便是合规性审计

英国是近代民间审计的发源地。1720年,以会计师身份负责审查南海公司破产案中有关账目的查尔斯·斯内尔成为世界上第一位注册会计师,催生了民间审计职业。这也宣告了注册会计师从出现的那一刻,就将检查、揭示蓄意修改会计数据的财务舞弊行为作为自己神圣的使命。相应的,以查错纠弊为重心的合规性审计也是早期民间审计的主要目标。例如,1905年出版的《迪克西审计学》指出,审计目标就是查找舞弊和欺诈,找寻技术性错误和原理性错误等。该审计学著作的主要内容就是如何防止和发现舞弊及差错。外部审计介入,很大程度上源于众多投资者所施加的压力。然而,早期公司会计记账体系极不规范,不仅同一公司的各年度会计记录缺乏可比性,而且不同公司之间也无可比性。

英国《泰晤士报》在1850年刊登过一篇略带夸张的报道,苏格兰铁路公司的会计记录是财务人员“酒后在梦中完成的”。这代表,注册会计师除了检查铁路公司账簿记录是否规范,还代为行使会计记账的职能。这就造成了审计职能的重大偏离,严重影响了审计独立性。

3.合规性审计是内部审计机构的重要职责

股东选举代表对公司进行审计的制度得以出现,受审计委员会监督的内部审计机构开始受到重视,并被建立起来。

斯派赛和佩格勒编写的审计学教材提及,内部审计是“内部检查的终极形式”。内部审计是公司自身聘请的全职审计人员对公司账簿和其他系统运行状况进行监督,是一种自我检查系统。德里克·马修斯认为,最先实行内部审计的公司应该是公用事业公司。铁路公司最晚在19世纪80年代就设立了内部审计机构。据记载,1900年,帝国大陆天然气集团已建立了完整的内部审计系统,由几位账户检查专员负责检查所属公司账簿。银行也较早拥有内部审计,对会计账簿的准确性实施检查。这种审查很大程度上是出于确保公司遵守既定规则、评价会计账簿是否存在失真,检查的性质是合规性审计。

4.立法推动了合规型内部审计的发展

英国议会在立法层面极大地推动了合规型内部审计的发展。例如,1844年英国的《公司法》规定,公司应当设立由董事以外的人员出任的“监事”职务,并从中推选出会计师,负责审查公司的财务报表,并向股东大会提出关于资产负债表与账务处理的合理性和准确性的报告,这便是独特的监事内部审计制度。

英国早期监事内部审计制度未对从事审计的监事提出专业要求,导致很多不熟悉会计业务、没有财会专业知识的监事难以履行审计监督的职责。1948年英国的《公司法》将监事审计的资格限定在特许会计师范围,结束了外行审计的历史。从立法上规定内部审计的职能职责,使得英国内部审计较早具有法定审计的典型特征,这种法定的要求不外乎是注重发挥内部审计的合规性审计的作用,杜绝财务舞弊行为,保护股东利益。

5.合规型内部审计完善公司治理和管控

英国内部审计主要是基于自身经营管理需要而产生的。公司有权决定是否设立内部审计部门,不受法律的强制性约束。来自1975年的一项调查显示,当时有56%的私营企业设立内部审计部门。而在20世纪80年代,在只有大企业才设立内部审计部门的情况下,设立内部审计部门的公司数量呈现显著增加趋势。随着发展,内部审计机构受审计委员会领导,对董事会报告,具有较强的独立性。此外,英国内部审计不受政府领导或管辖,而是由英国内部审计师协会管理,在性质上属于行业自律。英国内部审计师协会于1948年在伦敦成立,是国际内部审计师协会的分会。

英国内部审计重点在内部控制系统上,主要检查和评价内部控制系统以提高企业的经营效率,在检查财务报表和信息披露方面也注重对报告控制制度的检查和评价。审计内容主要是管理审计、财务安全性审计和经营审计,表明内部审计更加侧重于提高公司运转效率和完善管理制度。例如,英国商业银行实行总分行二级制的大监管体系,内部控制体系总体而言较为完善,在源头上较好地解决了合规性问题,审计重点为对整个内部控制体系进行评价。因此,合规型内部审计在英国较早得到实施,在建立健全内部控制体系、完善公司治理方面,发挥了积极的作用。

法国

1.合规性审计是审计法院的工作重心

法国早在拿破仑一世执政期间,于1807年建立了具有司法性质的审计法院。审计法院地位仅次于最高法院,依据国家预算,有权审查一切会计账目,对经济案件所作出的判决为终审性判决,财政经济部必须服从。审计法院具有明显的司法审计的特征,其重心为合规性审计。为提高独立性和权威性,审计法院职务实行终身制。审计法院成立初期,广泛开展合规性审计,利用其对政府官员、财政官员和会计官员的贪污、盗窃行为享有的终审判决权力,对经济领域的违法犯罪行为起到极大的威慑力。

2.合规性审计的开展

审计法院的合规性审计制度日臻完善。除开展的财务收支合法性、合规性审计,审计内容还扩展到企业的经济效益审计,包括信息系统、经营管理和投资决策方面的审计。合规性审计模式主要是事后审计监督,所有公共行政企业、事业单位的会计账簿,年度终了必须送交审计法院封存。根据被审计单位规模大小和所掌握的有关线索,审计法院组织各审计法庭事先制订计划,有重点地进行合规性审计,重点企业、事业单位一般2~3年检查一次,最迟5年对每一个单位检查一遍。在合规性审计过程中,若遇到问题,通知会计人员到庭说明情况或提供相关资料。如果需要,还会由审计法官牵头组织审计组,到现场进行调查。

3.合规性审计发现问题的处理

对于主管领导人员的失职和管理绩效差的问题,审计法院除了运用司法权以外,还运用多种较为完备的干预手段。例如,根据合规性审计发现问题的严重性程度,分别向单位负责人、主管部长、总理甚至总统写信,揭示问题并提出建议;建立财政预算纪律法庭,对违反财政预算纪律的国家官员实行司法制裁;向新闻界公布合规性审计意见,利用社会舆论,对责任人员和单位形成一定的压力;由财政经济部的行动处理委员会督促检查审计结论的落实情况。除加强财政财务收支合规性审计外,审计法院还对经济活动进行合理性、有效性审计。自1981年起,法国审计法院在各省陆续建立审计分院,到1985年,法国成立了24个地方审计法院,以加强对地方各级公共企业、事业单位等所有自治单位经济活动的合规性审计监督。

目前,审计法院除对公共资金进行监督外,还负责审查政府官员工作效率以及国有企业资金使用情况,并检查行政人员的管理质量。

4.合规性审计是内部审计的重要内容

法国内部审计机构拥有200多年的历史。虽然法国法律未强制性规定设立内部审计机构,但包括公共企事业单位在内的单位普遍建立了内部审计部门。内部审计机构受董事会或总经理领导,具有独立性和权威性,独立行使审计监督权。1984年9月,由审计署于明涛审计长带队的中国审计代表团,全面考察了法国审计工作。内部审计方面,访问了法国布尔计算机公司。当时,该公司职工26 000人,国家资本占70%,属混合经济、竞争性企业。公司内部设有财务检查处,有22名审计人员,负责内部审计工作。审计内容涉及以下四个方面:

①合规性审计,保护公司资产,防止贪污舞弊;

②合法性审计,监督所属单位严格执行财务规章制度,防止违反财务规定;

③财务报表审计,审查会计账目的真实性;

④经营管理审计,检查经营管理质量,提出合理化建议。

不难看出,20世纪80年代,合规性审计是内部审计的重要内容。

5.对外交流与合作

法国内部审计师协会(Institut Framcais Auditeurs Consultants Internes,IFACI)在推动内部审计职业发展方面发挥了重要的作用。IFACI于1965年成立,此后,法国的内部审计快速发展,于1979年加入国际内部审计师协会(Institute of Internal Auditors,IIA)。1987年,IFACI决定把内部审计命名为“顾问者”,标志着内部审计不仅与会计控制相关,还要向管理层提供有价值的意见和建议。IFACI主要在以下几个方面促进了内部审计活动的开展:

①融入IIA,与IIA一起推动内部审计的发展。与IIA加强交流,努力使IIA成为由世界各地职业团体组成的真正的国际联合会,并促使IIA考虑法国的利益与需要。

②促进法语国家的内部审计的交流与合作。1987年,IFACI携手一些法语国家(比利时、加拿大、摩洛哥、突尼斯和瑞典),创立了“内部审计法语国家联合会”。

③向内部审计人员提供教育和培训,定期举行会议,出版专刊和专业书籍。

2003年,中国内部审计协会组织的考察团赴英国、法国进行了为期两周的内部审计考察学习。中国内部审计协会的调查表明,法国从事内部审计工作的人员中,工作时间在5—10年的占48%;来自经营业务领域的占34%;由财务部门转入的占28%。内部审计人员任职条件包括深厚的专业知识和良好的人际沟通能力,熟练掌握1—2门外语和计算机技术,具备良好的职业道德品质,掌握财务、管理和法律知识等。安然事件以后,内部审计界意识到将检查与咨询业务分开的必要性,要以负责任的精神认真履职尽责。同时,为了提升服务能力,强化合规性审计检查,企业需要加强风险管理并建立一套长效机制。

国际审计组织

1.现代合规型内部审计

20世纪40年代以后,资本主义企业的内部结构和外部环境复杂程度加剧,尤其是跨国公司的迅速崛起,使管理层级和范围持续增加和扩大,而且,企业之间竞争日益激烈,企业管理者更加迫切要求降低成本、提高经济效益。与此同时,合规型内部审计的内涵和外延在不断延伸,现代合规型内部审计不仅对事后的财务会计领域进行审查,揭露各种欺诈和舞弊,而且对企业内部控制(可简称为内控)系统进行评价,帮助企业管理层进行决策和改善经营管理。一些大企业的内部审计人员希望通过和同行的交流来提高自己的执业水平。一些有识之士敏锐地意识到,需要制定通用审计准则对内部审计活动加以规范和引导,需要发展内部审计职业以应对组织所面临的层出不穷的问题,需要为内部审计人员提供包括交流、教育、技能培训和就业信息等在内的各种服务。

2.内部审计师协会的建立

1941年11月17日,约翰·瑟斯顿(John B.Thurston)、罗伯特·米尔恩(Robert B.Milne)和维克托·布林克(Victor Z.Brink)等40多位内部审计人员发起并正式宣布在纽约成立内部审计师协会。当年12月9日,协会在纽约召开第一届年会,瑟斯顿担任第一任主席,协会成立后又在密执安、芝加哥、加拿大的多伦多和蒙特利尔设立了分会。1974年,协会在英国伦敦召开年会,标志着内部审计师协会已发展成为国际性组织。截至2019年4月,共有170多个国家和地区加入该组织,会员人数超过20万人。协会出版《内部审计师》和《今日内部审计师协会》月刊以及《国际内部审计师协会教育者》简讯,1973年协会正式进行注册,完成注册的人称为国际注册内部审计师(Certified Internal Auditor,CIA)。

内部审计产生于内外部需求。国际内部审计师协会创立委员会主席、来自联合爱迪生电力研究所的阿瑟·E.霍尔德(Arthur E.Hald)认为:“需要(necessity)产生了内部审计,并使之成为现代企业中一个必要的组成部分。任何大企业都不能够回避它。如果它们现在还没有设置内部审计,迟早都会设立,而且,如果按目前的状况继续发展下去,它们将不得不很快建立起来。”

3.国际内部审计师协会成立初期的合规性审计

国际内部审计师协会成立初期,合规型内部审计受到重视,在职能上偏向于审查内部运营,旨在防范欺诈、防止资产损失。不久,合规型内部审计范围扩大到对几乎所有财务事项的验证。正如前文的分析,这一时期的合规型内部审计借助财务报表审计的形式,但检查的重点是经营的合法性、合规性。内部审计实质上是行财务报表审计之名,而做合规性审计之实,这不难从协会创始人之一米尔恩1945年发表的观点中看出:“协会是基于内部审计人员的立场和以下信念的产物……尽管它(内部审计)源于注册会计师行业,但它的主要目的是管理控制领域。它包括公司业务的财务和业务审核。”

国际内部审计师协会从成立的一开始,内部审计就沿着与社会审计不同的思维和路径发展。1958年,布林克和库欣提出了基于业务审计导向的内部审计定义:“内部审计源自会计广阔领域中的一个特殊的分支,公共会计师和内部审计师采用相同的审计基本技术和方法,经常使人们产生一个错误假定,即两者在工作或最终目的上并无区别。虽然内部审计师注重任何审计人员都关注的陈述真实性调查,但内部审计师所关注的范围更广,并且包括很多和会计账目没有关联的问题。此外,内部审计师作为公司内部员工,更有兴趣关注公司业务以产生更多效益。为管理服务的理念在很大程度上影响了内部审计师的思维和方法。”内部审计要与公司业务相融合,以及要服务于公司管理,这些理念对于内部审计活动的引导和内部审计职业的发展起到重要的指导作用。就内部审计开展的合规性审计而言,需要根植于公司业务,将对业务的审查、服务与评价贯穿合规性审计的全过程,以为管理层决策提供最佳服务。

4.合规型内部审计的内容

在制定职业准则和界定职业责任方面,国际内部审计师协会做了大量的工作。1947年,国际内部审计师协会发布《内部审计师责任说明书》,该说明书仍将内部审计业务范围界定在主要处理会计和财务事务方面。到 1957年,《内部审计师责任说明书》的范围从以合规性审计为侧重点,扩展到包含许多管理咨询服务,内容涉及:

①检查和评估会计、财务以及业务控制是否合理、适当和适用;

②确定所编制的方针、计划和程序是否被遵循;

③确定为避免各种损失对公司资产报告和保护的程度是否适当;

④确定组织内部所产生的会计及其他数据是否可靠;

⑤确定履行职责的工作质量是否符合既定标准。

从所列示的五方面的内容来看,内部审计需要解释的受托经济责任围绕合规展开,以评判是否与既定规定和标准相一致。此后,《内部审计师责任说明书》经过多次修订,到1993年,内部审计范围从偏重于合规性审计逐步扩大到经营审计。

5.合规性审计环境的变化

20世纪80年代以来,为推进全球化进程,提升公司国际化形象,很多国家颁布重大监管方面的法律法规,对公司内部控制和反舞弊行为做出一系列强制规定,内部审计实施的合规性审计环境发生重要变化。例如,1977年,美国《反海外腐败法》(the Foreign Corrupt Practices Act,FCPA)禁止美国公司与外国交易时的不道德行为,规定公司保持充分的内部会计控制。1992年,美国反虚假财务报告委员会赞助机构COSO委员会发布《内部控制整合框架》,将内部控制的目标确定为保证企业经营的效果与效率、保障财务报告的可靠性以及对法律法规的遵循等三方面。同年,英国卡德伯利委员会颁布《卡德伯利报告》,提出强化公司治理和财务控制内控框架;1995年,加拿大特许会计师协会负责的控制标准委员会发布CoCo模型,该模型以COSO模型为基础,发布了一个20条的“控制标准”,作为对控制进行判断的框架。

全球企业面临着革命性变革,管理层所承担的受托经济责任的内涵也在发生着深刻变化,作为管理者参谋和助手的内部审计师,有责任和义务为改善公司治理、完善以风险管理为核心的内部控制做出不懈的努力。为顺应这种变化,1999年6月,国际内部审计师协会在《国际内部审计专业实务框架》中重新规定:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。新定义提出增值型审计理念,将内部审计职能界定为公司治理、风险管理和内部控制三个方面。通过新定义,可以明确以下几点:内部审计开展合规性审计的目标是增加组织价值;合规性审计侧重评价组织在公司治理、风险管理和内部控制等方面是否符合规定;合规性审计属于确认业务范畴;合规性审计范围取决于违法行为所带来的风险程度。