早在世纪交替之际,公司治理、风险管理以及内部控制就成为管理理论界及实务界的热点问题。国际上关于这三方面的研究成果层出不穷,涌现出一些具有国际影响力的专业性研究报告及标准,如COSO委员会的《企业整体风险管理框架》、《较小型公司财务报告的内部控制》、银行金融业的《新巴塞尔资本协议》等。在国际环境的影响之下,我国在公司治理、风险管理及内部控制方面的研究也取得了重大突破,相关政府机构及监管部门制定了一系列规范、标准以及指引,成为组织行为规范和监管行为规范不可或缺的指南针。
(一)银行业颁布的有关指引中国银行业监督管理委员会自2006年起陆续颁布了《国有商业银行公司治理及相关监管指引》、《银行业金融机构内部审计指引》、《商业银行合规风险管理指引》、《银行业金融机构信息系统风险管理指引》、《信托公司治理指引》、《商业银行操作风险管理指引》等一系列有关治理、内部审计、风险管理的指引。特别是《银行业金融机构内部审计指引》明确规定:(1)银行业金融机构内部审计应履行监督、评价和咨询之责,审查评价经营活动、风险状况、内部控制和公司治理效果;(2)应建立董事会领导下的、垂直管理的内部审计部门,配置具有高级管理人员任职资格的首席审计执行官;(3)应按照员工总数1%的比例配备具有专业胜任能力的内部审计人员;(4)内部审计部门应建立完善非现场内部审计监测体系和内部审计操作系统、信息管理系统;(5)经董事会批准,内部审计项目可部分外包,实行合作内审制;(6)首席审计执行官和内部审计部门应建立紧密的与内部客户(如董事会、高管层)及外部客户(如银监会)的沟通报告制度;(7)加强内部审计部门与合规管理部门、风险管理部门之间的协作,内部审计部门要定期独立评估合规及风险管理职能的履行情况。
(二)保险业制定的相关规范 中国保险监督管理委员会为保险业构建良好的治理、风险管理以及内部控制制定了规范。继2006年元月颁布《关于规范保险公司治理结构的指导意见(试行)》后,又陆续颁布了《保险公司内部审计指引》、《保险公司风险管理指引》等配套法规。值得关注的是,《保险公司内部审计指引》明确要求:(1)保险公司应当建立与其治理结构、管控模式、业务性质和规模相适应的相对独立的内部审计体系;(2)应当设立对董事会和高管层双重负责的审计责任人职位,审计责任人的聘解应当向保监会报告;(3)专职内部审计人员原则上应不低于公司员工总数的5‰;(4)内审部门每年应对内部控制的健全性、合理性和有效性进行全面评估,出具内部控制评估报告;(5)保险公司应向保监会提交内部审计工作报告、内部控制评估报告、审计发现的重大风险事项以及未有效整改的审计发现。
(三)国资委颁布的相关指引 国务院国有资产监督管理委员会在2005年《关于加强中央企业内部审计工作的通知》的基础上,于2006年6月颁布了《中央企业全面风险管理指引》,以指导央企开展全面风险管理工作,促进国有资产保值增值和企业持续、健康、稳定发展。该指引强化了内部审计在企业风险管理中的作用,明确规定:(1)有条件的企业可建立风险管理的三道防线,即各有关职能部门和业务单位为第一道防线,风险管理职能部门和董事会下设的风险管理委员会为第二道防线,内部审计部门和董事会下设的审计委员会为第三道防线;(2)企业应建立内部控制审计检查制度,要结合内控的有关要求、方法、标准与流程,确定审计检查的对象、内容、方式和负责审计检查的部门;(3)企业应建立重要岗位权力制衡制度,并将主要岗位作为内部审计的重点;(4)内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位的风险管理工作合规性和有效性进行监督评价,审计报告应直报董事会或董事会下设的风险管理委员会和审计委员会;(5)内部审计应积极参与风险管理培训工作,以培养风险管理人才,培育风险管理文化;(6)内部审计部门是风险管理组织体系的重要组成部分,其职责履行应符合《中央企业内部审计管理暂行办法》的有关规定。
(四)财政部、证监会及审计署出台的相关规定财政部高度关注《萨奥法案》对内部控制建设的影响,采取了切实有效的行动。2006年2月,新修订的《审计法》规定:依法属于审计机关监督对象的单位,应按照国家有关规定,建立健全内部审计制度,其内部审计工作应当接受审计机关的指导和监督。随后审计署于2007年首次就《中外内部审计准则比较研究》等五项内部审计课题公开立项,组织学术界和实务界专家展开研究。2006年7月,财政部、证监会、审计署、银监会、保监会等五部委联合成立了“企业内部控制标准委员会”,共同研究制定我国企业内部控制规范。2007年3月,委员会发布了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿。随后,企业内部控制规范体系建设取得重大突破,《企业内部控制基本规范》在2008年6月颁发。该规范明确指出:内部审计作为“内部监督”要素的核心力量,应对企业内部控制的有效性进行独立评估,对已发现的重大内部控制缺陷有权直接向董事会及其审计委员会、监事会报告;同时,“企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作上的独立性”,这是改善企业控制环境的重要措施。这一基本规范以及后续具体规范的出台为我国企业加强内部控制和内部审计建设提供了基础性、权威性指引,必将有利于提高企业的控制能力和风险防范能力,有利于改善企业的运营状况和治理机制,有利于资本市场的持续健康发展。
这些规范的颁布,说明内部审计的建立与完善不仅是各组织提高管理水平、加强风险防控能力、促进组织目标实现的必要保障,更成为监管部门以及行业主管机构作出的强制性要求。在这一大背景下,中国内部审计协会顺势而为,于2006年提出内部审计应全面转向以控制和风险为导向的现代管理审计;同年协会设立卫生内部审计分会、与IIA签署《内部审计质量评估协议》;连续举办内部审计外部质量评估师资培训班,并于2007年6月在中国壳牌石油化工有限公司、中广核工程有限公司顺利实施并通过了IIA质量评估组所进行的外部评估;积极指导地方协会推动人大或政府出台有关内部审计的条例或规定;积极支持发改委、公安部、税务总局等设立内部审计司(局),支持大学及医院等非盈利组织加强内部审计工作;积极动员和宣传CIA考试。作为内部审计发展最好证明的是,三年来涌现了一大批先进的内部审计单位,不仅有先进的审计理念、审计技术,更有显著的价值增值。强调要树立“未病先防”、“小病早治”、“大病防变”、“病后防复”的理念,积极开展控制和风险导向审计;要全面应用信息技术,建立“问题查找模型”,揭示重要的结果偏差和控制偏差;要持续进行全面的内控与风险管理缺陷诊断和缺陷治疗,以发挥内审在评估、协调、补救等方面的咨询功能;要以和谐增值为目标,以数字化审计为手段,以差异化的沟通、报告为方法,将内部审计打造成管理改进的牵引器、良好文化的催化剂。基于此,准则委员会于2006~2008年,在已定三批准则的基础上,又研究制定了十项内部审计具体准则和实务指南,并分三批颁发。