前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇内部审计管理范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
近年来对组织冲突的研究日益增多,但涉及内部审计冲突的研究还很少,仅偶有涉及内部审计沟通、内部审计关系协调等方面。笔者将结合组织冲突理论、内部审计标准与内部审计工作实际,对此进行粗浅的探讨。
二、组织冲突与管理
组织冲突是组织中由于利益、地位、认知、情感等方面差异造成抵触或对立。组织冲突的目的包括潜在利益的追求和情感发泄的需要。组织冲突在组织中是客观存在的,适当程度的冲突可以使组织中存在的问题得到暴露,激发组织进行调整,进一步合理化,成为组织发展的动力,具有积极作用,但是过低或过高的冲突水平会对组织产生负面影响。
组织冲突管理就是在冲突出现后有效地处理冲突,而在冲突太少时,采取一些办法激发冲突,增加组织活力,促进组织目标实现的过程。
三、内部审计冲突与管理
内部审计冲突是内部审计活动中产生的,内部审计部门(人员)与被审计单位(人员)之间的组织冲突。内部审计冲突产生的最根本原因是组织内部治理机制的安排,即监督与被监督的关系。具体来说,内部审计冲突是由于内部审计部门(人员)与被审计单位或部门(人员)利益、地位、认知、情感等方面的差异而产生的。
由于内部审计保证业务的性质决定了内部审计冲突不会在低水平,除将内部审计完全定位为咨询业务,因此,内部审计冲突管理主要是对某些内部审计冲突发生后实施有效管理,在发生前采取有效手段遏制某些内部审计冲突,将内部审计冲突保持在一定水平的过程。
四、内部审计冲突产生原因
1.利益
(1)内部审计部门相对独立和客观地审查评价被审计单位的内部控制、治理机制、风险管理、经济责任等方面。基于这些内部审计职能、审计内容以及审计意见(报告),会对被审计单位或部门治理、控制、风险管理和经济责任等方面做出评价,一般会对业绩认可程度和薪酬水平有直接影响。
(2)内部审计结果会披露被审计单位在以下方面存在的问题:①内部控制有效性和适当性,即,资产保护、财务会计信息、法律法规遵循情况,以及运营效率和效果;②治理机制的适当性和有效性;③风险管理机制的充分性有效性。
(3)对被投资单位进行股东联合审计时,本方内部审计小组(人员)与对方股东内部审计小组(人员)在被投资单位是否侵害了全体股东利益等方面存在利益共同点。但是不同股东的内部审计小组(人员)代表不同股东的利益,也有不同需求,如某股东方内部审计小组(人员)会特别关注本方投资目的是否得以实现,本方权益在被投资单位是否受到侵害,其他股东是否获得超额利益,本方的投资目的可能与其他股东的投资目的不一致等。
2.地位
(1)在企业中,内部审计部门一般向指定的管理人员(管理层)汇报工作,可能是董事会、总经理、主管副总经理、财务部门负责人等,如果该管理人员(管理层)的级别不够高,会直接影响内部审计部门在企业中的地位,影响被审计单位对内部审计的重视和配合程度,最终将影响内部审计为组织增值的目标的实现。
(2)研发、生产、销售等部门,以及重要业务分部或子公司等部门和单位,相对于内部审计部门,对组织目标的贡献更为直接,也很容易产生中心效应。如果内部审计部门的监督和评价的权威性得不到保障,很难与之抗衡,更不容易实现为组织增加价值的目标了。
3.认知
(1)内部审计期望差距客观存在。内部审计报告对象往往对内部审计抱有较高的期望,希望能够发现所有重要的问题,但是内部审计受审计程序本身的局限性、审计人员判断的准确性、抽样审计技术固有风险性、审计资源的相对稀缺性等多种因素影响,审计成果往往与内部审计报告对象的需求有一定差距。特别是内部审计未能发现某些重要问题时,或者内部审计期望的差距长时间存在时,他们对内部审计的信赖和认同程度就会大打折扣。
(2)对内部审计职能的认同感不够。内部审计已由原来的财务报表检查、内部稽核,发展到现在的以内部控制为主,关注经营管理的审计,有的企业甚至开展了风险管理审计。职能上也由保证职能延伸到咨询服务职能。审计对象也从财务信息,拓展到控制、治理和风险管理,延伸到信息系统领域。被审计单位对内部审计发展、内部审计职能和审计对象认识不够,甚至认为,内部审计只是“审计财务”的非常片面的印象。
(3)对内部审计有效性认同不够。一些单位的内部审计提供增值服务比较少,管理层对审计意见和建议的重视和落实也不够,造成对内部审计不够认同。
(4)内部审计沟通冲突产生原因主要有:内部审计部门对审计目标、内容和范围、报告等审计信息的传达未能做到简明、清晰、扼要;没能适当考虑信息接收者,也就是被审计部门或单位对这些信息的接收能力;内部审计部门参与沟通协调人员与被审计单位对应人员存在地位差异。
(5)内部审计评价标准的尺度把握上内部审计部门倾向于从严执行,而被审计单位或部门倾向于从轻解释。另外,内部审计部门倾向于采用最稳妥的标准,以减少审计评价标准引用不当的风险,而被审计单位和部门倾向采用更合理的标准,貌似稳妥的标准和更合理的标准往往有差异。如某些例外事项的产生有其原因和背景,虽然形式上违反公司规章制度,但实际是基于公司利益的恰当考虑,这时候内部审计部门和被审计单位或部门的信息不对称就会产生内部审计冲突。
4.情感
(1)由于内部审计活动中的检查与被检查,评价与被评价的关系,被审计人员心理上会很自然认为审计人员对自己或自己工作的不信任、不满意,容易产生抵触对立情绪。特别是被审计人员或其工作被发现存在问题时,除了上文提及的利害冲突外,也会存在抵触、不服气、害怕、难为情等情感反应。
(2)被审计人员比较自然地认为在自己的专业领域比审计人员要优秀,这种优越感有时会影响被审计人员与审计人员之间的平等沟通,特别是这些优越感被审计发现的问题所摧毁后,造成心服口不服,有时甚至会激化被审计人员对审计人员的冲突。
(3)被审计单位和部门一般对自身在企业内部的位置和管理水平有自我评价,也就是有一个心理定位和承受限度。将内部审计部门对其评价与其他单位和部门进行比较时,如果超出其其心理底线时,就会讨价还价,力争对评价意见实施影响。
(4)国家各级审计部门、税务部门、企业内部审计、安全、环保、会计师事务所等相关部门和机构,会对被审计单位,特别是国有企业单位进行各种审计和检查,如果内部审计部门的工作范围和重点与这些审计活动协调不够,被检查单位在经多次检查、反复配合疲劳后,很容易产生抵触心态。
五、内部审计冲突管理的对策
IIA(国际内部审计协会)认为:内部审计评价并帮助改进机构的风险管理、控制和治理体系,为组织增加价值,服务于组织目标。同时,内部审计工作的顺利开展,发挥应有作用,实现内部审计活动目标,需要良好的审计环境。冲突管理理论也告诉我们,将内部审计冲突保持在一定水平,将有利于审计环境建设,有利于内部审计工作的开展,提高内部审计工作的有效性。另外,内部审计冲突管理的过程本身就是内部审计部门和被审计单位或部门互动、协调的过程,也是内部审计增值功能的体现,有利于公司整体目标的实现。因此,管理内部审计冲突十分必要,可以采取以下对策:
1.协作、
(1)内部审计部门与被审计单位的评价与被评价、监督与被监督关系是企业内部治理机制的安排,这是内部审计的职责之一,永远无法协调。但是内部审计部门为被审计单位或部门发现问题,改进管理提供建议时,或在开展咨询服务时,两者的利益是基本一致的,都致力于公司整体目标的实现。
(2)同样道理,对被投资单位进行股东联合审计时,也应强化本方内部审计小组(人员)与对方股东内部审计小组(人员)及被投资单位三者之间的共同利益,争取协作,以相对减弱各自不同利益的冲突。
2.客观、公正
客观、公正是内部审计的属性,只要内部审计部门的评价和意见是基于客观事实,审计人员保持了应有职业审慎,审计意见不应被视为与被审计单位讨价还价的结果,也不应将被审计单位不恰当的审计意见反馈纳入审计结论的考虑范围。从中长期来讲,客观、公正是解决这些冲突的最好办法。
3.培训
对企业的管理层和被审计单位管理层进行必要的内部审计知识培训,如:内部审计目标;内部审计活动属性,如独立、客观、公正、应有职业谨慎;内部审计职能,如监督、评价、服务;审计对象、内容及报告;内部审计发展状况等内部审计知识。这些知识和信息的有效传达,将有助于各级管理层建立内部审计观念,正确认识内部审计,减少不切实际的内部审计期望差距,减少冲突。
4.折衷、解决问题
一般而言,内部审计评价标准及其尺度的把握,很难做到双方满意。评价标准沟通和尺度把握,只要是基于客观、公正,必要时一定程度上的折衷是双方都能接受的解决冲突问题的方式,也是建立良好工作关系的必要。
5.回避、情感关怀
由于内部审计活动中的检查与被检查,评价与被评价的关系,被审计单位和部门产生的抵触、不服气、害怕、难为情等情感反应。内部审计人员应认识到这是人之常情,尽量给予回避,避免激化没必要的冲突。必要时也可以采取倾听、换位思考、保持谦虚、低调、认同其工作等方式,给予情感关怀。
内审外包主要采用以下四种形式:
1.补充式外包,即将部分的内部审计职能赋予第三方。例如,在一些关键性的内部审计项目中聘请外界专业人士提供帮助。又如,在审计外地的分公司时,聘请懂当地语言或熟悉当地习俗的审计人员提供帮助。另外,在审计特殊领域(如电子数据处理系统)时,企业也可聘请这方面的专家参与审计。
2.审计管理咨询,主要是指请咨询机构帮助企业确定企业内部审计机构设置、人员数量及配备情况,并有可能促进内部审计计划的形成和改进。审计管理咨询服务还包括对内部审计人员的招聘工作,帮助管理层定义主要的审计风险领域等等。
3.内审职能全部外包。在这种外包形式下,企业不设内部审计部门,但是为了进行合理的经营性审计,就将内部审计职能全部外包给会计师事务所或咨询机构。
4.内外成员结合审计,亦可称合作内审。这种外包形式下,内部审计工作由一个统一的项目和审计工作组来完成,成员包括内部审计师和外部审计师,但内部审计师和外部审计师对这种结合审计分别承担不同的责任。
以上各种内审外包形式各具特色,因企业规模及行业不同,在是否实行内部审计外包及实现的方式上可能都有所不同。
一、内部审计外部化的优劣分析
内部审计究竟能否外部化?以何种方式实现?笔者认为,关键是要实现内部审计功能和社会资源利用的最大化,并使企业能够与急剧变化的外部环境相适应;这需要从经济学的角度来进行分析、权衡和选择。
(一)内部审计外部化的优势
1.提高审计的独立性。经济学认为,当企业的所有权和经营权分离时,内部审计是必须的。作为公司治理的重要内容,内部审计能监督经营者如何更好地行使受托经营权,而内部审计的成本也构成了企业一项重要的管理成本。虽然内部审计部门代表所有者履行监督职能,具有权威性和独立性,但是,实际工作和管理层总有着千丝万缕的联系。一方面,管理层以直接或间接的方式干预内部审计;另一方面,内部审计部门为了能顺利地完成自己的工作,必须主动同管理层协调好关系。在这种利益牵制下,内部审计可能会失去独立性,甚至与管理者共谋来欺骗所有者。而外部审计师独立于企业的所有者和经营者,站在一个客观公正的立场上对企业委托事项进行审计,其工作只对委托人负责,因此能够客观地报告审计结果。
2.节约企业成本。随着市场环境的变化和企业间竞争的日益激烈,内部审计的传统职能已不能满足企业增加价值的需求,因此,内部审计为适应企业经营管理的需要而不断扩充其职能,逐渐向风险管理和管理咨询拓展。风险管理和管理咨询业务的开展需要金融、会计、人事、市场、工程、计算机等方面的专业人士来共同完成。此时,企业将面临高额的成本。将内审职能部分或全部外包后,部分或全部的审计成本就变成了可变成本,从而降低成本。通常表现为:(1)节约招募、培训费用和维持成本。内部审计外部化可以避免内部审计人员的招聘费用,为更新和扩充知识而发生的培训费用以及支付专业人员的高额薪金。(2)节约开发软件和新方法的成本。为适应网络环境下的审计,企业必须不断开发新的审计软件以及对新出现的问题寻找解决方案,这会给企业带来高额的开发费用。如果内部审计外部化,咨询机构的这些开发费用就可以分摊给多个客户。(3)降低雇佣成本。外部咨询机构之间的竞争可能导致在相同的价格下,企业可以选择更为优质的服务。
3.优化社会资源配置,提高内审工作质量。内部审计外部化能够使社会人力资源得到充分有效的利用,外部咨询机构由各方面的专家组成,他们通过了专业技术资格认证,并且在对不同类型企业提供咨询服务的过程中积累了丰富的经验,熟悉不同的经营理念和管理方式,能够根据自身经验及被审计单位的经营过程、风险控制和管理等活动进行客观的评价并提出切合管理者需要的建议,这一点是仅仅服务于单个企业的内部审计师所不能及的。内部审计外部化能充分利用信息资源,将一些企业的先进经验介绍给其他的企业;内部审计外部化还可以充分利用地理资源优势,对于跨国公司而言,聘请当地的咨询机构或是熟悉该地区业务的外部审计人员可以帮助企业很快融人该地区文化,避免过长的适应期所带来的额外开支。
此外,企业还能够集中精力搞好主业。按照经济学的观点,企业的存在就是因为其专业性,衡量企业规模的最佳方式就是其管理成本小于产品的交易成本。现代市场经济的发展就是专业化分工的发展,因此管理层关注的焦点应该是组织的关键性业务,企业应该将其有限的资源投入到核心业务上,提高企业的核心竞争能力。同时,会计师事务所、律师事务所等专业服务公司的服务水平也越来越高,企业完全可以将其次要业务(如内部审计等)交给相应的专业服务结构去做,从而提高组织的竞争能力。
(二)内部审计外包的劣势
这个问题,首先应认识内部审计的发展和外部咨询机构的性质。内部审计是现代企业公司治理结构的有机组成部分。从近年来的发展趋势看,其职能已由传统的监督、评价,拓展为监督、评价与咨询,逐渐由“监督导向型”向“服务导向型”转变;内部审计的重点由单纯的财务审计转向经营效益审计和风险审计;内部审计在企业经营管理活动中发挥着日益重要的监督和参谋作用。这使得内部审计作为一个专业职能已越来越多地和经营管理相融合,内部审计的经济性在不断增强。同时,外部咨询机构作为市场中的一员,他们的服务也是有成本的,他们的选择也是理性的,即在一定条件下会出现寻租现象。而且,由于内部审计要求的多样性,外包服务的价格发现机制主要靠谈判来确定。在信息不对称的情况下,却往往会增加企业的成本。
1.破坏内部审计职能的整体性。内部审计的评价、监督、咨询的职能是相互支持、互为基础的一个整体,能为企业增加价值的咨询活动是建立在对内部控制的监督和评价的基础之上的,而咨询意见的采纳和顺利实施需要对审计过程进行监督,并且对绩效和风险进行评价,保证其按预期的方向发展。因此,将任何一项职能外部化都不利于内部审计发挥其整体功能。
2.导致管理当局对内部控制缺乏责任感。内部审计在内部控制中具有重要作用。内部审计本身就是企业内部控制的一个组成部分,它是独立于具体操作和管理之外的控制层。内部审计部门直接对独立的审计委员会、董事会或最高决策层负责,对具体的操作和管理部门内部控制的充分性和潜在的风险进行评价,并提出审计建议,以降低内部控制无效而产生的风险。与此同时,内部审计还帮助企业进行“软控制”环境的营造,是内部控制过程设计的顾问。可见,内部审计在帮助管理当局改善内部控制中发挥着积极的主观和客观作用,将其外部化不利于对内部控制环境的优化,同样也不利于内部控制方法的改进。
3.可能降低企业的竞争优势。一方面,因为内部审计和相应的管理咨询工作由外部机构来做,企业缺乏积累知识和创造价值的动力,无法充分发展内部审计所需的知识和人才;另一方面,要想获得真正有价值的咨询服务,势必会泄露企业部分的核心机密,这可能会影响企业的竞争优势。
4.放弃了内部审计自身的资源优势。首先,内部审计人员熟悉本公司的管理政策、业务程序、经营活动和人事状况,了解企业的组织文化、业务过程和风险控制方面的特点,能更好地提供符合管理层长期战略的咨询服务。而外部咨询机构只能通过一些公开的资料以及通过询问和观察来确定服务的重点。往往由于保密的需要,企业不可能向他们提供完整的资料,这势必影响到外部咨询机构对企业深入的了解和正确的判断,从而影响咨询服务的质量。其次,内部审计人员作为企业的内部人,其工作成果和个人的经济目标联系更密切,在主观上会更投入。再次,内部审计人员对企业的战略管理、组织操作程序和企业文化的了解程度是外部审计人员所不能及的。最后,如果内部审计部门的消失将会使企业越来越受制于外部审计人员,他们可能索要越来越高的佣金,因此企业必须权衡成本、效益问题。
5.内部审计外包的工作质量不一定令人满意。内部审计外包后,由于契约的不完备性,外部审计人员一般只在约定的范围内消极地进行审计,尽量削减审计计划,减少工作量,而不愿意积极主动地去帮助管理层发现问题,提出建议。审计可能会变成一种程序性的工作,外部审计人员不会像内部审计人员那样全心全意为企业考虑。外部审计人员只与企业有短期的合约关系,企业最终的经营成果与他们没有直接联系。而且,外部审计人员毕竟不熟悉企业的实际情况,而内部审计人员,特别是那些在企业里工作了很长时间的内部审计师,更了解企业的发展战略、经营管理手段、企业文化、部门间的利益关系等因素。这种背景知识的差异可能影响到审计计划的深度和审计程序的执行,并可能会对内部审计工作的效率和效果产生重大的影响。
二、我国内部审计外包的可行性
1.从独立性角度分析。内部审计独立性的实质不在于是由内部审计人员还是由外部审计人员来执行内部审计工作,而在于企业内部控制制度的完善程度。内部审计机构在企业中处于什么样的地位,是由管理层领导还是由董事会来领导,内部审计机构与业务部门及其他各职能部门之间存在着怎样的制衡关系等因素,将最终决定内部审计工作的独立性程度。内部审计工作不独立,很大原因在于内部审计人员在经济上的不独立,不在于是由谁来执行内部审计工作,而在于我们的内部制度还不够科学、不尽完善。因此,可以通过完善公司治理结构,健全各项内部控制制度来提高内部审计工作的独立性。
可见,提高内部审计独立性的根本不在于是否将内部审计外部化,而在于完善企业的内部治理结构及各项内部控制制度。独立性不影响企业内部审计外包的选择。
2、从经济效率角度分析。效率通常指消耗的劳动量与所获得的劳动效果的比较,是个投入与产出的比率问题。在内部审计外部化问题上,较流行的观点是它有利于提高内部审计的效率,其理由主要在于它能够在很大程度上减少内部审计人员的招聘成本、维持成本、培训成本等。也就是说,企业可以通过较小的成本来达到相似或者更好的审计效果。但是,该观点至少没有充分考虑下列影响因素:
(1)从投入来看,企业在将内部审计外部化时,已经隐性地支付了审计人员的选拔成本、培训成本等,而外部审计人员的素质是不尽相同的,甚至差别很大。如何选择高素质的外部审计人员来执行企业的内部审计工作是企业在将内部审计外部化时所必须考虑的。实际工作中,企业往往根据外部审计人员及其所在单位的声望、信誉等进行选择。通常,声望越高、信誉越好的外部审计人员,其在执行内部审计工作时所索取的服务费也越高而这就会造成经济学上说的资源投入冗余。
(2)从产出的角度来看,内部审计由“检查与评价组织活动和为本组织服务”转变为“增加组织价值和改善组织经营,帮助组织实现其目标”。实践证明,通过开展内部审计工作,审计人员可以更加深刻地理解企业的各项业务以及经营管理的各个环节,增强协调和处理各种复杂关系及观察与分析问题等能力。如IBM、GE等很多跨国公司,内部审计部门已经成为经营主管和财务主管的集训地。也就是说,由内部审计人员开展内部审计工作,企业所获得的远不止内部审计工作成果的本身,而这是内部审计外部化所无法实现的。由此看来,认为内部审计外部化一定会提高内部审计工作效率的观点是片面的。
三、具体情况还需具体分析
从经济学的观点看,企业采取内部审计外部有一定的合理性和经济性。至于外包的方式和范围需要结合企业自身的具体情况来分析。但是,在审计外包的工作中,应注意以下两点:
1.加强内部审计服务的监管和规范。制定内部审计指导性规范,使内审服务沿着正确的方向发展。同时,政府应该完善相应的法规,就会计师事务所提供内审服务所导致的独立性等相关问题作出明确的规定。
关键词:ERP 系统风险 内部审计 影响及对策
作为信息化管理的重要手段之―,ERP管理已成为当今社会先进的现代企业管理模式的主流管理手段。ERP为企业实现了管理水平的提高,竟争力的改善;但同时也有很多企业实施ERP管理,却没有达到应有的预期,甚至是惨痛的教训。ERP系统的实施使企业管理方式发生重大改变,同时也增加了企业的管理风险,给内部审计带来很大的影响。
1.ERP系统管理的内涵和主要特点
1.1ERP系统管理的内涵
ERP是Enterprise Resource Planning的简称,中文意思企业资源计划,是20世纪90年代美国著名的计算机技术咨询和评估公司加特纳(GartnerGroupInc)提出的概念。他预测在今后信息时代企业管理信息系统的发展趋势和即将发生变革。 ERP是针对物资资源管理、人力资源管理、财务资源管理、信息资源管理集成一体化的企业管理软件。
ERP是指建立在信息技术基础上,以系统化的管理思想,为企业决策层及员工提供决策运行手段的管理平台。ERP系统集中信息技术与先进的管理思想於一身,成为现代企业的运行模式。ERP的应用涉及到企业的各个部门,从最高的领导层到最底层的操作人员。其主要目的是使企业的资源得到合理配置和优化管理,从而提高经营管理绩效。
1.2ERP系统的主要特点
1.2.1系统集成性
ERP系统是个完整的集成化管理信息系统,包括财务、供应链、生产、HR、CRM(销售)、BI(领导决策)、PDM(产品数据管理)、质量控制、售后服务等子系统,其最大特点是信息集成,实行财务与业务、财务与供应链、销售链的一体化管理。
1.2.2可定制性
ERP要通过“定制”,才能形成适应特定企业业务处理所需要的管理信息系统。所谓“定制”,就是在系统中设置很多控制系统运行的参数和一些关键数据,如企业结构、计划策略、财务科目表等。一个标准 ERP 实施完成后,它将变成“量身定制”的适应特定企业当前业务处理需求的专用系统。
1.2.3开放性
ERP一般都要开放和其他系统的接口,同时也要提供二次开发的必要条件。一般商品化ERP产品源代码是全部开放的,因为这样才能使客户充分理解和掌握 ERP 系统,给客户提供二次开发的充分支持。ERP作为企业核心信息处理系统,通常要和工程设计,办公自动化,自动控制设备,质量检测设备等连接,所以ERP系统通常要提供标准接口。
1.2.4灵活性
ERP面对企业经常发生的业务改变,唯一不变是以灵活的定制手段辅之以二次开发,满足各类单位管理业务不断变化的需要。一个企业的结构难免要随着业务发展和经营环境变化而进行改组,一旦改组,处理业务的ERP管理信息系统也跟着修改和调整。因此,ERP 系统只有具有巨大的灵活性,才能适应企业的实际需要。
1.2.5普遍适用性
ERP的适用性,建立在系统功能的高度可“定制”性上。而这种可“定制”性,又是建立在对社会上广泛的企业和业务内在规律的理论认识基础上。ERP的设计思想抓住了企事业等大量组织实体的业务处理任务的共性,辅之以定制手段,就可以普遍适用于大量不同类型的企业和非企业组织机构。使他们能够利用ERP系统协助他们完成特定的业务信息处理任务。
2.ERP应用现状、原因及系统实施风险
ERP在我国发展已有20余年,在目前拥有的15000多家大中型企业和1000多万家中小型企业中,多数已实行了信息化管理。但据统计数据表明,ERP成功实施的也仅占10%―20%,约有30%―40%的企业只是实现了系统的部分集成。在ERP实施过程中,企业自行开发系统实施的占4.33%,企业委托开发自己实施的占23.16%,企业找软件开发商实施的占35.25%,通过管理顾问制定实施的占37.26%。企业选择自行开发或委托开发,主要是成本相对低廉,但同时也带来了诸如系统局限性、升级困难、程序人员变动空缺等系列问题,不能适应标准化管理要求。后期较多企业选择软件供应商实施也遇到了难题:如何选择软件企业,什么样的系统是适合的等问题。
据赛迪顾问调查报告显示:在部份ERP应用不成功的案例中,因软件选择失败的占67%,因管理协调不够而失败的占13%,因实施步骤过急而失败的占9%,因人才流失而失败的占8%,因软件厂商服务支持不够而失败的占3%。从中看出,选择软件是ERP成功实施的关键因素。但是信息技术复杂,企业适用各异,单凭企业自身或者软件厂商都是无法做到的。除此而外,还有部分企业由于内部管理失控导致ERP系统失败。这些对ERP的实施产生重大风险和隐患。
2.1技术风险
ERP系统的用户无论在企业的哪个角落都能因其高度集成的功能获得访问和控制或改变重要业务参数。ERP高度集成的功能模块使得任何一点出现问题都会影响到其他模块的正常运行。同时传统ERP系统所采用客户端/服务器架构使系统管理的难度增大,系统更容易遭受攻击。基于WEB的B/S技术的ERP系统支持异地登录和访问,由于通过因特网登录,任何不正当的用户授权都能导致对系统的非法访问。ERP系统使用单一数据库形式,这有利于ERP系统数据的一致性和信息共享,但如果对不合适的访问权限,缺乏有效控制,那么系统中的一些机密数据将有导致企业重大损失的可能。
2.2管理和项目规划风险
ERP实行流程化管理,导致组织结构改变,甚至是对业务流程的重新设计,因此必然对企业的整体运营产生影响。ERP系统的使用会改变员工的职权,这种工作角色的转变和适应过程因其外部环境的适应程度具有不确定性。流程化的管理密切了部门之间的关系,系统用户必须对自己的业务行为负责,因为它直接影响到其他部门的业务能否顺利进行以及整个企业运作的秩序。在ERP系统的规划实施过程中,企业往往重视流程和技术因素,而忽视对人的重视,最终导致令人失望的实施结果。
2.3组织变革管理和培训风险
组织变革管理和相应的培训在ERP项目初期的预算制定和业务特征定义阶段,往往被忽视。由于ERP的实施会给企业或组织带来相当程度的变革,而在变革管理和培训方面缺乏足够的投入是项目失败的主要原因之一。ERP项目的实施需要改变员工的工作方式和岗位职责,所以员工在参与ERP项目实施方面缺乏积极性。另外,员工需要接收大量的培训去熟悉新的业务流程,并且通过对系统的熟悉来获得使用技能,而这些是整个企业或组织适应新流程和新系统的关键。
2.4BPR(业务流程重组)对业务运作的风险
BPR在优化流程、提高流程效率的同时,也带来了岗位变动的潜在风险。这是由于许多ERP系统实施商通常用业务流程重组(BPR)来描述ERP实施的第一阶段。流程化的管理确实需要对岗位做出一定的调整,但这种调整更多的是对原有岗位特征的重新描述或者调整。对于习惯过去的组织结构和岗位要求的人来说,新的岗位角色可能会造成很多的不适应,其特点就是在ERP系统使用前期某些业务职能不能很好地实施。
3.ERP系统实施对内部审计的影响及对策
3.1ERP系统实施对内部审计的影响
ERP管理与传统企业管理有着本质的不同。其通过流程重组,实现了企业管理变革的同时,也给企业的内部审计带来了巨大的影响。
3.1.1内部审计风险增大
企业的生产经营业务通过统一的ERP系统平台进行处理后,传统的审计线索从内容到形式都发生了变化,企业及员工的工作习惯、思维方式、信息载体、控制手段和管理模式等都发生了根本变化。舞弊和失误均由原来的手工操作变成了机器和系统程序操作,不留任何纸面痕迹;远程联算的应用致使某些原始凭证不在本地存放,记账凭证与原始凭证不在一起存放等。ERP使企业经营风险层次提高、隐蔽更深,风险识别、评估的难度更大。
3.1.2内部审计重点发生了转移
传统审计主要重点是在财会部门,业务的发生都由财会部门来记录;而当企业实施了ERP之后,业务的发生则是由生产部门开始与采购、生产、销售、库存等环节是紧密相连的。所以ERP软件的其他功能模块,对于核实企业资产负债的真实性、交易过程的合法性,检查企业内部控制的执行情况,都有重要的参考作用。传统单纯的财务审计需要向财务审计和业务审计相结合。
3.1.3内部控制环境发生变化
在ERP环境下,企业所有的工作流程都按照面向客户、面向信息网络、面向软件应用的要求进行了重组,原有明确职责分工的作用被削弱,相关部分的内部控制点已建立于系统的应用程序中,由计算机自动执行各种检验、核对、判断、监督以及对系统各功能的权限控制等。企业的内部控制已转变成以整个业务流程实时控制与决策为核心的全方位综合性控制,内部管理权限的严密性以及关键风险点的设置成为ERP环境下内部控制的重点。
3.1.4内部审计技术发生改变
在ERP环境下,由于内部审计环境、内部审计线索、安全控制和内部审计内容的改变,决定了计算机辅助内部审计技术是必不可少的。利用计算机可以更快速、更有效地对电子化的经济信息进行抽样、检查、核对、分析、比较和计算,能有效地提高内部审计效率、扩大审查范围、提高内部审计质量。
3.1.5审计线索隐蔽化
在ERP信息系统中很多纸质信息转换成只有计算机才能识别的编码,数据的输入、输出及存储趋于磁介质化。很多单据、凭证、报表等都可在ERP系统自动生成,经济业务隐性化和数字化。不同于传统的涂改方法,舞弊者一旦非法通过对计算机系统程序的篡改,不仅可以对数据资料进行修改、复制或销毁,还可以消除行动轨迹,不会留下操作痕迹,传统的审计线索就会中断甚至消失。这在一定程度上增加了内部审计调查取证的难度。
3.2ERP环境下的审计对策及建议
ERP实施实现了业务流程的整合,对内部控制产生重大影响,对企业风险管理提出了新的要求:对ERP环境下业务流程进行分析,对内部控制进行测试,重新确定审计切入点。
3.2.1对业务流程的审计
ERP系统是建立在对业务流程进行优化重组的基础之上的,它打破了原有的权力分配模式,系统实施后能否按既定的模式运行以及运行效果如何,关系到系统运行的成败。业务流程会因实施后运行环境的变化而有进一步优化的必要,这样才能使业务始终运行于相对较优的流程环境中。对业务流程的风险管理审计大体包括以下方面:应该在系统中运行的业务是否全部通过系统运行;信息是否及时录入系统;录入的信息是否真实、准确;系统运行是否正确;流程是否通畅,有无缺陷或舞弊的可能;识别、评价和应对流程风险的效果如何等。
3.2.2 对关键控制点的审计
ERP系统是由采购、生产、销售、财务、人力资源等多个模块高度集成起来的,每一模块都有相应的关键控制点,对企业的经营起着至关重要作用。如销售模块中的信用控制点,是根据用户的信用程度控制发货的关键点,如控制不严,有可能使公司财产遭受巨大损失;销售结算中的定价控制点,是根据发货时间来自动划价的,若销售价格调整,而发货时间控制不严,公司的效益损失将非常巨大。因此,对关键控制点的风险管理审计要关注以下问题:是否对关键控制点进行了识别及建立风险评价体系;是否建立了关键控制点的预警机制和应对机制及其适应性和有效性如何。
3.2.3对系统监控的内部审计
ERP系统的优点之一就是对业务和绩效能够进行动态监控。就关键控制点来说,如果随时进行了动态监控,其风险将大大降低,即使偶有异常,也会因及时的动态监控而发现问题并采取相应的措施以减少损失。因此,我们有必要对系统监控功能进行内部审计,审查和评价企业是否利用ERP系统进行了业务和绩效的动态监控、监控点及其风险如何识别和评价、监控的效果如何、发现问题的处理方式以及应对风险的效果如何、有无监控盲区或监控不力的区域、监控结果的利用情况如何等。
3.2.4建立健全、高效的审计信息化系统及操作平台
在ERP系统环境下审计软件应具备智能化、集成化、网络化、通用性的特点,这就要求审计软件应具有直接取数的功能、财务分析及测试功能、计算处理功能、报表及附注合并功能、自动生成部分审计底稿的功能、网络访问功能和审计项目参数设置功能等工具功能;同时,还应具有包含被审计单位资料管理功能、人事管理功能等管理功能。在开发和编制软件过程中,内审人员应积极参与进来;在投入使用后要注意对软件不断进行优化。审计信息系统要能与ERP系统有效链接,实现资源共享。通过审计信息化系统和审计操作平台的建立和完善,帮助企业发现薄弱环节和存在的问题,完善内部控制,提高内审部门在信息化条件下实施审计监督与评价的能力。
参考文献:
[1]张瑞君编著.e时代财务管理[第三版][M].中国人民大学出版社,2009.
[2]赛迪顾问专题报告.ERP应用现状分析[R/OL].百度文库,2011,10.
[3]陆培炜.ERP系统实施和应用的风险管理[EB/OL].中国会计视野,2003.05.
关键词:SARS;企业内部审计;危机管理;措施
1 危机和危机管理的概念
危机具有不确定性和潜在的负面,一旦发生,可能会造成严重的后果和巨大的损害。危机的爆发往往是突如其来的,2003年的SARS危机证明了这一点,其后人们高频率地使用“危机管理”一词,说明要处理好危机,需要危机管理和。
美国管理专家史蒂文·芬克认为:危机管理是指组织对所有危机发生因素的预测、、化解、防范等而采取的行动。在管上,危机管理划分为危机预防、危机处理、危机后的重建3个层次。危机预防是事前管理;危机处理是事中反应;危机后的重建是事后恢复。危机管理从根本目标上讲,是要把危机转化为成功的机会,把不利因素转化为有利因素。
危机管理是企业管理制度的重要组成部分。没有或缺少危机管理的企业,企业管理制度是不完备的。
危机管理的主角,可以是国家、企业,也可以是企业的组织机构。危机时时处处都在,企业要持续经营,就时刻需要危机管理。企业组织机构建立危机管理机制,能够分解、消纳、 释放企业整体的危机。
2 企业内部审计活动
企业内部审计是对企业资产、负债、损益的真实性、合法性、效益性进行审计,促进企业增加收入、减少成本、提高资产效率。
2.1内部审计定义
内部审计的定义为:是一项为了增加组织的价值和改善组织的运营所进行的独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改进组织的风险管理、控制及治理过程的有效性,帮助组织实现其目标。
2.2内部审计活动的评估
内部审计活动应评价与组织的治理、经营、信息系统有关的风险,在此基础上,内部审计活动应评估围绕组织的治理、经营、信息系统的控制的适当性和有效性。这种风险因素和控制活动的内容包括:财务和经营信息的可靠性及完整性;经营的效果和效率;资产的安全防护,、法规及合同的遵守情况。
2.3内部审计活动的风险
在企业内部审计流程中,每一道程序都潜伏着风险。审计计划不周密,对风险评估及重要性认识不足,内部控制评价失误,对实质性测试—分析性复核不重视,审计证据不可靠,审计档案复核不认真,审计报告不准确,审计督导制度不落实,后续审计跟不上,与外部审计协调不好,以及审计人员不严格遵守职业道德规范,不具备专业判断和职业谨慎,与政府审计和注册师审计存在鸿沟,不能娴熟运用财经法规,不依法审计,不重视审计质量,不能充分满足企业经营管理高层的价值需求指向,凡此种种,都是审计风险。如果不能及时排除、克服这些审计风险,最终会造成企业内部审计业务危机,进而危及企业内部审计信用危机,而企业内部审计出现信用危机,则企业内部审计的“话语权”就会受到严重侵害,企业内部审计职能价值就会大打折扣。
2.4内部审计活动危机的形成
由于企业内部审计流程、审计工作管理存在的弊端和审计人员职业素质存在的问题,以下几个方面都可能形成企业内部审计危机。
(1)在审计(尤其是责任)中,因审计证据不具备充分性、相关性和可靠性,审计定性不准,审计评价偏离,审计报告没有做到实事求是、不偏不倚,以致引起被审计单位或被审计人员要求审计复议的后果。
(2)在内部控制审计中,对控制环境、风险管理、控制活动、信息与沟通、监督等5个要素没有实施必须的、适当的审查程序,以致能够发现和揭示的被审计单位的信息失真、资产流失、资源浪费、经营效率不高等问题没有发现和揭示出来。
(3)在舞弊的预防、检查与报告中,内部审计机构和人员没有保持应有的职业谨慎,运用适当的审计职业判断,合理关注被审计单位内部可能发生的舞弊行为,如收受贿赂或回扣,贪污、挪用、盗窃资财,私设“小金库”,虚假交易,隐瞒应对外披露的重要信息,从事违法违纪的经营活动,偷逃税款等。以致于能够确定、确信的舞弊行为已经发生而没有检查与报告出来。
(4)在财务收支审计中,没有充分考虑重要性与审计风险,以致于被审计单位存在的严重转移资金、少计营业收入、成本费用损失浪费等没有检查出来。
(5)在与外部审计协调上,如果内部审计不能与师事务所、国家审计机构在审计工作中做好沟通与合作,就不能维护企业利益,而维护组织利益是企业内部审计的具体职责。
3 企业审计危机管理的关键
3.1增强审计危机管理意识
在企业内部的审计中,危机管理意识薄弱甚至不知有危机管理是普遍情况。危机管理不是孤立的,它与日常的风险管理是联系在一起的,风险管理包括危机管理,危机管理是风险管理的特殊表现形式。日常的风险管理做好了,就可以避免启动危机管理程序。其实,企业内部审计始终存在风险,如果不能及时排除审计风险,积累起来,很可能酿成审计危机。类似于水利堤坝的“管涌”现象。
3.2审计危机管理的关键事项
企业审计危机管理是企业管理、企业审计管理的一个重要内容,是企业审计成熟度的一个标志。构建企业审计危机管理机制并成功地管理审计危机,有以下几个关键事项。
(1)制度创新。企业审计危机管理的构建,必须辅之以制度创新。建议内部审计协会组织专家及早制定《企业审计危机管理指南》。作为此项工作的范本,以指导企业审计危机管理行为。
(2)训练。初期应对审计工作者进行必要的企业审计危机管理教育和训练,使人们掌握危机管理的与,成为良好的人力资源储备。这一背景链接对企业审计危机管理是至关重要的。
(3)计划安排。企业审计危机管理要制度化、系统化,制定危机管理计划,进行“全危机管理”,将审计危机管理贯穿于审计流程的全过程中,把日常的审计风险管理与特殊期的审计危机管理结合起来,越是薄弱的环节越要施以强力的监督与控制。
(4)管理超前。危机管理的重点应放在危机发生前的预防,而非危机发生后的处理。为此,前期需要建立一套危机管理预警系统。主要内容包括:①危机监测,即对可能引起危机的各种因素和危机的表象进行严密的监测,搜集有关危机发生的信息,及时掌握危机变化的第一手材料。②危机预测,即对监测得到的信息进行鉴别、分类和,对未来可能发生的危机类型及其危害程度做出估计,并在必要时发出危机警报。③危机预控,即针对引发危机的可能性因素,采取应对措施和制定各种危机预案,以有效地避免危机的发生或尽量使损失减到最小。
1、公司治理的概念。公司治理,从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。
从主要功能上来说,公司治理的范围可以包括:股东、董事会——决策者;管理阶层——执行者;审计人员(包括内部审计人员及外部审计人员)——监督者;其他利益关系人(例如:顾客、供应商、债权人及员工等)——影响者等。从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。因为沟通公司治理各功能主体的重要工具就是会计信息系统。因此,会计信息系统本身是公司治理结构的组成部分,而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件,而有效的审计监督制度是确保这一前提条件实现的关键。外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深入,在范围上更为广泛。
2、公司治理的核心是风险管理。在上述公司治理定义中,我们可以看到,公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及理论中提及的问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。公司治理是组织应对风险的战略反应,其职责核心就是确保有效的风险管理方案的适当性,因此公司治理中包含一些战略性的风险管理的因素。例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(CEO)在经营风格、理念、管理哲学中包含的风险态度等。这些战略性风险管理因素就是公司治理与风险管理的交汇点。因此,风险管理是公司治理的核心。
二、风险管理的概念
风险管理是指识别风险并设计控制风险的方法,其核心是将没有预计到的未来事项的影响控制在最低程度。对风险管理,首先,要求在组织中发现那些高风险暴露的领域,对高风险暴露点的识别要通过对组织的分析进行,这种分析既包括审计人员客观的测试,也包括主观的判断。其次,将分析的结果与认为可接受的风险水平相比较。最后,实施必要的变革,使组织的风险暴露水平与其所设定的目标相一致。风险管理所涉及的范围是十分广泛的,包括投资风险管理、外汇风险管理、利率风险管理、商品价格风险管理等。
三、内部审计作为内部控制的重要部分,与风险管理密不可分
1、内部控制与风险管理的联系日趋紧密。在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险管理问题进行深入思考。比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2、内部审计理论的新发展。顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。”
这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。
3、风险管理是内部审计的主要职责。随着风险管理导向内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的风险管理机制和健全的公司治理结构。在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:(1)能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。(2)控制、指导企业的风险策略。由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。(3)内部审计部门的建议更易引起重视。内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
四、在风险管理目标下,公司治理与内部审计的整合
美国一个专门研究内部控制的发起人企业委员会(COSO)于2001年起着手进行企业风险管理研究,并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架,其在为企业风险管理研究项目制定的目标中明确指出:风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理过程中去。而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。在COSO报告的内部控制定义中,特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”,由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证,同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约,减轻信息不对称的影响,并对人形成一定的控制约束,因此从一定程度上说,内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计,也不可避免地在风险管理的基础上,与公司治理的目标交汇。
在新的内部审计范式下,内部审计参与到公司治理与风险管理中,帮助组织发现并评价重要的风险因素,促进组织改进风险管理体系;评价并改进组织的治理程序,为组织的治理做贡献;同时继续原有的对控制效率和效果的评价作用,帮助组织保持有效的控制。此时的内部审计人员是风险专家,通过对风险的把握来评价公司治理及内部控制,并促进公司治理和内部控制的改善,从而实现对风险的掌握与驾驭。在风险管理这一统一的核心下,公司治理与内部控制实现了一定程度的整合,为组织增加了价值;同样,在风险管理这一统一的核心下,内部审计与公司治理实现了整合。在公司治理中,内部审计发挥着越来越重要的作用。
鉴于内部审计在确保公司内部控制制度有效运转及管理和控制风险等方面的独特作用,