一、金融控股集团内部审计制度框架的基本内容
设计符合我国当前金融控股集团的内部审计制度框架,至少需要解决以下几个问题:(1)内部审计在集团中的定位。内部审计在组织中究竟应该处于什么地位?(2)内部审计机构设置。金融控股集团内部审计体系如何设计,即:母公司、子公司以及分公司之间,如何设计具有逻辑性的内部审计职能部门?(3)内审部门行权制度安排。集团公司的内部审计如何安排行权制度,以使其在职能范围内实行审计?(4)对内部审计机构的监控,即集团应该如何针对内部审计部门本身,审核其工作水平?
(一)内部审计在组织中的定位
如果内部审计部门直接由董事会领导,可以在更大程度上保证内审部门的独立性和权威性。目前,在董事会下设置审计委员会已成为国际上认可的公司治理结构完善的主要代名词之一。蓝带委员会(BlueRibbonCommittee,BRC,1999)把审计委员会描述为“可靠的财务披露和积极的、多方参与的监督”的“各种机制中最为重要的”。在我国,中国证券监督委员会2002年的《上市公司治理准则》以及中国内部审计协会2003年制定的《内部审计基本准则》中,都强调了审计委员会的重要性。审计委员会不局限于内部控制,还通过改善董事会、管理层、外部审计师以及内部审计师的相互作用,以提高内外部监督的有效性。在我国金融控股集团当前的治理机构下,内部审计最优的定位是在董事会,或由其下设的审计委员会直接领导。内部审计在组织结构中具有广泛但非常独特的责任,内审可以从职能上向审计委员会报告,也可以从行政管理角度向高层管理人员报告。这样定位的内部审计具有较高的独立性和权威性,能对董事会决策执行情况进行监督和意见反馈,有利于内部审计功能作用的充分发挥,使起始于所有者与经营者之间的受托经济责任到各权利层次之间受托经济责任链上各方面的监控得到有效的实施。另一方面,内部审计功能的有效发挥,可以促进审计委员会更好地履行自身职责。
(二)内部审计机构设置
明确了内部审计在集团内部的地位和角色后,庞大的金融控股集团要开展审计业务还需要建立在完整的机构设置上。因此,按照金融控股集团的特有特征,合理安排内部审计的组织结构,是影响内审工作能否有效开展的重要因素。金融控股集团之所以为众多金融机构所青睐,在于其具有其他组织机构不具有的特征:(1)集团控股,联合经营。(2)法人分业,规避风险。(3)财务并表,各负盈亏。根据金融控股集团的基本特征,在董事会或其下设的审计委员会的领导模式下,集团内审组织机构主要包括以下三个层次:第一层次:集团母公司设置由独立董事和监事组成的集团审计委员会。第二层次:集团母公司设立审计总部,直接由集团审计委员会管理,并负责分支机构的审计监督及介入子公司的审计监督。第三层次:控股子公司设立审计部,由本公司审计委员会(或董事会)管理,并接受上一级审计部门的指导,向下监督其分支机构。
(三)内审部门行权制度安排
在明确了内部审计在集团中的治理角色和机构设置的前提下,接着要进一步明确的是组织如何授权内审部门开展审计业务,即内审部门行权制度安排问题。按照上述的组织结构设置,内审部门的行权制度安排如下:
1.制定金融控股集团内部审计章程
制定金融控股集团内部审计章程是内审部门与人员开展各项审计工作的基本依据,并且为了保证内部审计工作的独立性和权威性,须在章程中理论化地规定内部审计的目的、职责、内容以及范围等,以使集团内部审计职能、范围以及流程等事项达到制度化和规范化。同时,制定各业务领域的审计监察操作规程,规范业务检查的程序和方法,通过建立良好的激励机制来建立各级管理人员和业务人员的考核办法。特别的,金融控股集团的内部审计章程应注重对垂直化管理体系的建立及对下属单位(包括子公司、分公司等)的监督与管理,同时赋予各下属单位根据单位不同情况具体制定内审章程的权力,以加强内部审计章程的可执行性。
2.建立内部审计报告制度
内部审计工作的结果应采取垂直向上汇报的形式,以适应于金融控股集团垂直化的内部审计体系。各层次公司的审计结果报告报送方式如下:母公司审计部门日常审计工作形成的报告应定期向董事会(或其下设的审计委员会)进行汇报,而紧急情况报告或就发现的违规违纪问题专门报告应及时向董事会反映。子公司内审部门应向本单位董事会汇报工作情况,即按照我国《公司法》的规定,定期向本公司的股东报送日常审计报告以及审计发现。同时,若有重大审计发现,应及时通过董事会向母公司进行报告。各分支机构审计部门日常审计报告报送母公司审计机构裁定,并由首席审计执行官(CAE)定期向集团董事会、监事会、管理层等管理决策机构反映情况,集团管理决策机构根据其反映的具体问题和风险,提出整改和治理意见。
(四)对内部审计组织的监控
设置科学合理的内部审计组织结构后,要使内审部门充分发挥其应有的功能,还应对内部审计组织进行有效的监督。对内部审计的控制和监督不仅是内审人员和内审管理人员的责任,也是接受内部审计工作汇报的管理部门的责任,主要包括以下几种方式:
1.由集团内其他内部审计部门进行检查
这种监督方式可以是集团母公司的内部审计总部对下级单位内审部门进行的检查;集团同级子公司或分公司之间开展的审计互查等。这种“上审下,同级互审”的方式符合整个集团协调管理的需要。
2.由集团内审部门以外人员进行的外部检查
即将监督权交给集团内部的其他人员,由其他部门对审计部门进行检查,也可由审计委员会展开检查。但是这种监督方式不足之处是检查缺乏充分的独立性,其他部门人员也可能缺乏足够的能力以对内审人员进行检查。
3.由会计师事务所审计人员进行的外部检查
管理当局可以借助外部审计师(如:会计师事务所的注册会计师)来评估内部审计的有效性,包括内部审计服务的范围和质量。但需要注意的是,事务所要采用内部审计专业标准而非事务所的标准对内部审计工作进行评价。
4.内部审计协会进行的行业评估检查
由内部审计协会等专业协会的资深内审专家执行检查。这种监督方式也是外部检查,但由于相对于其他外部检查可能涉及集团更多的经营信息,管理部门不希望别人分享自己的保密性消息,因此需要取得高层管理者的理解。
二、当前内审工作中存在的主要问题及相应风险
作为集多种金融业务于一体的复杂金融机构,金融控股集团不仅要面对各种专业性的金融业务所要面对的一般风险,如商业银行所重视的市场风险、资本风险、信用风险、操作风险、法律风险和环境风险等,还可能由于集团内部的业务整合,各子公司之间建立紧密的联系,增加资金和信息的流通等,衍生出现新的、整体性的特殊风险。同时,金融控股集团还要面临由于网络技术的应用可能产生的新的金融风险(唐湘晖,2009)。结合上述的内部审计制度框架以及当前我国金融控股集团的发展状况,内部审计制度框架中主要存在以下问题及相应风险:
(一)集团运营风险———集团内关联交易、资本金高估与风险传递
金融控股集团通过关联交易,有利于各种协同效应的发挥,实现集团资源的最优配置,但是由于金融控股集团的法人治理结构、管理架构以及内部交易构造复杂,关联交易的诸多操作手段使得集团内各成员财务报表的真实性可能存在问题。同时,集团可能由于同一笔资金被作为母公司、子公司多次出资的资本金,导致集团整体账面价值大于实际偿付能力而造成资本金高估。关联交易和资本金高估使得相关风险在集团内转移,一旦集团内某一企业经营困难或产生危机都可能造成连锁反应,风险的传递可能在集团甚至整个金融业造成“多米诺骨牌”效应。
(二)制度设计缺陷———审计工作缺乏有效的质量控制标准
虽然当前各审计机关出台了审计基本准则、通用准则、专业准则、操作准则等一系列审计质量控制,但是制度执行不力、流于形式的现象很严重。审计控制仅限于查案件、追责任,而忽略了事前、事中的审计,这可能会诱发审计风险的产生。同时,金融控股集团内部审计部门还未建立健全一套科学有效的自身内审质量监督和检查的评价体系,这就无法保证审计活动各个环节准确无误及审计质量的高标准。
(三)工作方式落后———审计工作开展时间、方法与及时性
内部审计工作经常缺乏短期与长期的内部审计计划,并且内部审计机构没有足够的资源,审计过程中可能存在其他更为优先的审计任务,导致开展审计工作随意、效率低下,无法保证对集团内所有高风险领域进行及时跟踪审计,一些重要审计任务可能被拖延。同时,面对金融控股集团庞大的数据,传统审计方法已经不能适应社会信息化的发展需求,虽然当前已经开展计算机审计,但是对计算机的应用进展较慢,影响了审计的效率。
(四)人员素质问题———内部审计人员胜任能力不足
金融控股集团由于其专业性,需要较高的胜任能力。目前,大部分从业人员虽然具有长期从事金融审计工作的经验,但是可能并不具备金融专业知识、任职资格及技术职称,并且他们在实际审计工作过程中,虽然可以发现问题并解决问题,但是对问题产生的剖析能力不足,对金融市场与宏观经济中形成风险和造成危害的判断能力不够。此外,还有一大部分是年轻人,他们有学历,却缺乏金融审计工作经历,他们还需要实践和经验积累的过程。
三、金融控股集团内部审计制度实现路径
根据上文中设计的金融控股集团内部审计制度框架及其可能存在的问题或风险,要很好地实现该制度框架,还需要作出以下的改进,即该内部审计制度的实现路径:
(一)加强集团内部控制制度建设,提高内审工作质量控制
内部控制作为企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制,COSO的企业风险管理框架(ERM)标志着内部控制两大转型:内部控制重心的转变———逐渐转向风险管理;内部控制地位的转变———风险管理的组成部分。金融控股集团应注重内部控制的建立,并在建设过程中完善风险的评估与应对方法。同时,内审人员在为管理当局的服务中扮演着特殊的角色,他们审核各个部门的内部控制措施,并提出改进建议,当前却缺乏对内审人员的监督与质量控制。金融控股集团应重视对内部审计部门与人员展开审计质量复核,制定相应的质量控制标准,以提高内部审计质量和工作效率。
(二)明确内部审计的内容和重点,实现审计监督计算机化
随着外部环境和自身发展的变化,金融控股集团内部审计也在不断改革、创新,但是内部审计人员应明确审计的内容,并在审计重点上要突出对集团经营状况的动态监控,加强跟踪审计,将工作重心放在高风险、低管控的领域中,即“小问题不纠缠、大问题不放过”,以提高审计工作的效率。此外,由于随着信息化技术的进步,多数文本都已实现无纸化,要提高审计效率,就要全面实现审计监督电子化。例如:审计人员进行监督时,可通过“计算机辅助审计技术(CAAT)”来测试与分析计算机文档中的数据,并从CAAT结果中得出审计结论,这样可以极大地缩减人工成本。
(三)加强内审队伍的专业化建设,提高内审人员综合素质
为了适应现代审计不断发展的要求,内部审计队伍成员应具有良好的综合素质,即要有合理的知识结构以及相关的能力结构。由于金融控股集团的专业性,内审人员除了要具备会计、审计等知识,还应掌握与集团相关的金融行业的理论和实务知识,并加强政策、法规和业务的学习,掌握现代审计的方法和技术,以此来加强内审人员的专业化建设。同时,他们还应具备一定的分析和解决问题的能力,具备口头、书面表达和沟通等重要的社会能力,并接受良好的审计职业道德教育,以达到在金融控股集团胜任的程度。
四、结束语
由于金融控股集团的业务存在多样性的特点,专业性强、涉及面广,同时金融产品和金融工具也在不断创新,这些都加大了外部审计人员发现集团中潜在问题的难度,因此,迫切需要内部审计来监督相关业务的合规性、合法性和有效性,而要在金融控股集团内构建内部审计制度框架是一项复杂而又艰巨的任务,内审制度的有效实施不但要有外部环境的支持,更重要的是需要集团内部的完善条件和不断驱动力,还需要集团内部文化的认同以及集团管理层的高度重视和不懈的努力。
作者:周金荣 刘威 单位:国网英大国际控股集团有限公司 财政部财政科学研究所
