内部审计外包(Outsourcing the Internal Audit Function)是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。它有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。内部审计外包在给企业带来诸多好处的同时,也带来了风险。企业在实际操作内部审计外包时,应当把握好风险评估、外包商选择、外包合同审查和事后监督控制等主要环节。
一、评估风险
企业董事会和高级管理层应当负责了解与内部审计外包相关的风险,并确保有效的风险管理程序能充分到位。作为董事会职责的一部分,董事会应当就内部审计外包对企业战略目标和计划的支持情况、与外包商的关系管理情况进行评估。没有一个有效的风险评估阶段,内部审计外包就可能与企业的战略计划不一致,或带来不可预见的风险。
评估内部审计外包风险,一方面要通过感性认识和历史经验来判断,另一方面要通过对各种客观的统计、计划、总结等历史资料,以及本企业或其他企业的风险事故的记录进行分析、归纳和整理,并在必要时向专家咨询,从而发现外包可能出现的风险,为后期的风险控制提供对象。同时也要注意内部审计外包风险的评估是一项连续性和系统性的工作,随着企业内外各种环境和条件的变化,企业所面临的内部审计外包风险的大小和种类也有所不同,这就需要企业持续不断地去评估风险。
内部审计外包的风险评估应当考虑下列情形:企业的战略目的、目标和经营需要;评价和监督外包商的能力;内部审计业务对企业的重要性和外包的风险程度;对内部审计业务外包的明确要求;必要的控制和报告程序;外包商的义务;内部审计外包的应急计划;对内部审计外包协议的持续评估,以评价是否与企业战略目标一致;外包商的工作业绩是否符合监管要求和有关准则等。
二、选择外包商
选择好的外包商是内部审计外包成功实施的关键。如果企业对外包商的选择出现失误,将会对企业产生不同程度的负面影响。因此,企业一定要谨慎选择外包商。一个良好的外包商必须是内部控制完备、具备专业胜任能力和财务状况良好的公司。一般来说,企业在选择外包商时可以从以下几个方面考虑:
a. 质量承诺。质量承诺是否达到企业的预期要求,是否能有效解决企业的问题,是选择外包商的首要因素。
b. 收费标准。企业进行内部审计外包的一个主要原因是降低成本。内部审计外包是否一定会节约成本,因企业的具体情况而论,不能轻易做出主观判断。所以将内部审计业务进行外包前,进行综合性的成本分析是保证决策正确的客观要求,而外包商的收费标准就是其中的一个重要因素。
c. 外包商的专业知识和技能。企业外包的一般是不占优势的内部审计工作,是为了弥补内部审计的缺陷而采取的行动。为达到这一目标应首选行业中居于领先地位的服务商,这也是质量承诺得以实现的基础。在外包商的专业知识和技能方面,企业应当考虑:评估外包商提供内部审计服务的经验和能力;评价外包商在未来预期的运作环境下提供内部审计服务的经验知识;必要的话,要进行现场督察,以更好地了解外包商是如何开展内部审计服务的。
d. 外包商的市场地位及市场成熟度。考虑外包商在内部审计行业中的执业期限有多长、市场份额有多大,这关系到外包商提供服务被监管部门认可的程度,也可用以评价外包商承接内部审计业务的资质。
三、审查外包合同
选择好外包商之后,企业应该与外包商就有关事项签订外包合同。外包合同作为双方的主要约束条件,对外包合作的顺利开展有着至关重要的作用。一个有效的合同可以帮助企业甄别高效承包商,并在一定程度上避免道德风险问题,促使承包商努力完成外包业务。
内部审计外包合同应当考虑企业经营需求和在风险评估、选择外包商阶段被识别出的重要风险因素。合同应当采用书面形式,内容应当包括内部审计的服务范围、业绩标准、安全保密、控制措施、审计条款、报告制度、审计收费、争议解决。
a. 服务范围:合同应当明确规定有关各方的权利和义务,包括外包商的任务和职责;外包商实施的风险分析和制定的计划必须事先得到企业高级管理层的批准。
b. 业绩标准:业绩标准规定了外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。企业应当定期审查外包商的业绩标准,确保其内部审计服务与企业战略目标相一致。
c. 安全保密:合同应当规定外包商保守执行业务过程中获知的商业秘密,以防止其泄露企业的商业机密而影响企业的竞争优势。
d. 控制措施:企业应当考虑外包商的内部控制措施;遵循监管要求的合规性;外包商保持的有关记录;高级管理层及其代表、外部审计人员和监管当局有权在任何时候接触与外包商任务有关的记录,包括审计工作计划和工作报告。
e. 审计条款:合同应当注明外包商提供的内部审计报告类型(如财务、内部控制和安全评估)。合同也应当注明内部审计次数、有关审计成本和企业获取内部审计结果的权利。
f. 报告制度:合同条款应当规定企业收到的内部审计报告的时间、类型和次数。
g. 审计收费:合同应当明确内部审计服务收费的计费依据、计费标准及付款方式与时间。
h. 争议解决:企业应当在合同中订立一个争议解决规定,以解决未来可能出现的问题。
环境的变化会给企业的内部审计业务带来新的问题,企业管理当局在签订外包合同时应考虑合同是否具备足够的灵活性,所以企业与外包商之间也应当订立可以改变合同条款的协议,尤其是会预料到可能出现重大问题而需要扩大审计工作的时候。在签字之前,双方应当聘请法律顾问进行审查。
四、控制和监督
内部审计外包后,企业面对的不再是企业内部的审计人员,而是承包商,这样就增加了企业的运作风险。因此,对整个外包活动的控制和监督就显得额外重要,它直接关系到整个外包工作的成败,是整个外包工作的关键所在。对于外包过程的风险,如果企业不能很好地甄别并加以控制,那么企业不仅不能从外包中获益,还有可能面临难以估量的损失。特别是当企业将一项重要的内部审计业务外包出去的时候,就更需要对这些风险进行控制和监督。
企业可以不参与外包审计,但不能不控制审计过程。企业的内部审计工作无论是否外包,企业的董事会和最高管理层都应对确保内部控制体系、内部审计工作的适当性和有效性负最终的责任。部分外包内部审计业务的企业,应当考虑维持一支少量精干的内部审计队伍,并让具备资深和经验丰富的审计人员担任内部审计部门负责人。外包商协助内部审计人员确定要审查的风险,提出建议,实施经内部审计经理批准的审计程序,并与内部审计人员共同向董事会或其审计委员会报告其发现的问题。全部外包内部审计业务的企业,应保留一名内部审计部门负责人,对内部审计日程进行适当的安排和控制。
对外包过程的监督,主要是监督承包商的行为及结果,企业可以从以下几个方面着手:
a. 监督外包商的运作状况审查审计报告和获取的监管检查报告,评价外包商控制措施的完备性;跟踪检查审计报告所指明的任何缺陷;定期审查外包商与内部控制有关的政策;监督外包商在内部审计方面的人事变动;实施现场监督检查等。
b. 评估外包商提供的内部审计服务质量企业应当定期审查有关外包商业绩的报告,确定这些报告是否准确;及时追查内部审计发现的问题,评估外包商加强内部审计工作水准的计划;评价外包商支持和增强企业战略导向的能力等。
c. 监督合同遵守情况企业应当定期审查合同条款是否得到遵守,是否有必要根据企业需要对某些条款进行修改;保留与合同遵守、修改和争议解决相关的档案记录。
如果外包合同出现突然终止的情况,企业要有应急措施。假如在内部审计领域还有许多可待选择的外包商,应急措施应当对某个候选外包商进行详细的调查。假如新外包商需要过一段时间才能开展工作,企业就必须考虑临时增加其自身的内部审计能力。
内部审计外包合同完成后,企业要对本轮外包进行评估和总结,及时地解决本轮外包中遗留的各种问题,如解决合同争议、进行事后的补救工作等,为下一轮外包的开展做好准备工作。