现代内部审计的是大理念

现代内部审计十大理念王光远【摘要】全球公司治理、风险管理、内部控制领域曾经显现的问题和仍然面临的挑战,使内部审计日益受到关注。学术界和实务界都希望能通过内部审计职能的优化来促进整个组织的改善,内部审计理论与实务也因此发生了巨大的变革。这是受托责任发展的结果。在此背景下,我们提出并倡导根植于受托责任和内部控制的“现代内部审计的基本理念”,以期更新认识,开启内部审计理论研究和实务拓展的新时代。【关键词】受托责任内部审计理念世纪之交,全球内部审计经历了一场重大变革。外包的空前盛行、各利益团体对管辖权的激烈争夺,给内部审计带来巨大冲击。安然、世通事件中尽显内部审计在组织中不可或缺的地位,内部审计在组织治理中所扮演的角色受到关注。进入新世纪,中国内部审计的飞速发展令世界瞩目。中国内部审计协会,鼎力推动中国内部审计在规范基础上的全面转型,相继颁布了一系列内部审计准则。2006 年,国资委、银监会、保监会发布的部门规章和指引中,都将内部审计视为企业风险管理的重要防线。为了解世界内部审计发展趋势、促进我国内审实务水平的进步、提升内审人员专业素养及公众的认识,我们提出并倡导现代内部审计的十大理念。一、内部审计的本质在于受托责任,内部审计是确保受托责任履行的控制机制Frink 和Klimo ski (2004) 认为,“受托责任是将各种社会系统联系起来的粘合剂”。他们认为,现代组织已经建立了各种促使受托人履行受托责任的正式机制:正式的报告关系、业绩评价、雇佣契约、行为监控、报酬制度、规范程序、管理层领导能力训练、员工手册等等。此外,还有众多非正式机制:群体规范、公司文化规范、对上级及同事的忠诚、强调对客户的尊重等等。显然,内部审计和外部审计都属确保受托责任有效履行的机制之列,在维持社会系统的正常运行方面扮演重要角色。一直以来,会计审计界受托责任理论学者认为,控制存在的根源是受托责任的需要,控制是对受托责任的控制,没有受托责任就无所谓控制。杨时展先生(1997) 指出,受托责任是“一切审计工作的出发点”“, 审计之所以必要,也还是为了监督和验证受托责任贯彻的结果和贯彻的过程”。因此,从受托责任、审计与控制的基本关系来说,“审计是确保受托责任有效履行的手段,在受托责任的委托、执行及解除过程中发挥着一种控制机制的作用”( Flint ,1988 ;Sherer 和Kent ,1988) 。作为审计分支之一的内部审计,从诞生的那刻起就天然地与受托责任联系在一起,并成为一种确保受托责任履行的控制机制。从奴隶制工坊到复杂的现代组织,内部审计的性质一直随着组织内部受托责任的内容、结构和表现形式的发展而变迁。其核心是在受托责任关系中,只要委托人无法亲自了解资源或权力的使用情况,就必然需要受托人向委托人解释、说明和报告其使用资源与权力活动过程和结果(Laughlin ,1990) ,进而必然产生对内部审计的需求。现代企业组织中,管理层级制度的存在和日益复杂导致了现代受托责任的复杂性:一是内部层级复杂化使得各层次的受托责任关系日趋繁复;二是内部契约功能的复杂化使得受托责任内容的复杂化。这种复杂化的过程不仅推动着受托财务责任向受托管理责任的发展,而且更推动着内部审计从单一的财务领域向企业组织活动的各个领域渗透。不管内部审计在组织哪一层级、哪些领域发挥作用,内部审计作为确保受托责任履行的一种控制机制得到了充分发展。二、内部审计与内部控制是受托责任的孪生兄弟,控制评价是内部审计的执业秘诀内部审计人员必须理解的、最重要的基本概念就是内部控制。著名内部审计学者布林克说,自有人类历史以来就有内部审计,因为自有人类历史以来就有内部控制。组织内部受托责任的产生,导致内部控制产生,而内部审计作为保证受托责任履行的一种控制机制,首先需要保证和评价的就是内部控制的有效性。因此,内部审计与内部控制是受托责任的孪生兄弟,他们的发展历史是一部互为见证的历史。早在1905 年,Dicksee 就认识到内部控制对于内部审计的重要性,整个20 世纪,内部审计性质的演变一直与人们对内部控制概念认识的发展交织在一起。当内部控制从仅关注内部会计控制,到区分会计控制与管理控制的时候,内部审计则从单纯的财务审计发展到财务审计与管理审计并行。从1977 年美国反国外贪污行贿法产生到2004 年新COSO 框架的出台,是内部控制整合风险管理与组织治理,形成现代内部控制观念的重要阶段。与之相伴生,内部控制审计的范围也延伸至风险管理、治理程序。在当代组织受托责任系统的内外部环境下,内部审计与内部控制的最终目的具有高度一致性,即都是管理风险、提升治理、实现组织目标。内部审计是内部控制系统的一部分,又是控制的确认者。历史地看,内部审计在确保受托人按委托人利益行事、有效解释和报告自己行为方面发挥着重要作用,是受托责任系统中的内部控制机制。同时,内部审计又是控制的确认者,监督、评价和改善内部控制是内部审计的基本职责。内部审计“作为组织的控制职能,来考核、评价组织的其他控制”,“内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖”(Moeller ,2006) 。控制评价是内部审计人员的“执行秘诀”(Sawyer ,2005) ,无论学者之言,或是实务之鉴,内部审计职业的“根”都在于内部控制审计。本质上讲,无论财务审计还是管理审计,无论经济责任审计、工程项目审计,还是合同审计、采购审计,都只不过是内部控制这块土地上长出的新苗。布林克在回顾IIA 的历史时指出,内部审计最该关注的就是“内部控制”;内部审计的理论构建应以内部控制概念为中心(Cham2ber s ,1995) 。即使今天,被人们普遍追崇的风险导向内部审计范式,实质上也只是对内部控制进行更为彻底的检查而已( Thornhill ,1990) 。当前,一个突出的问题是如何认识内部控制。许多机构,如COSO、CoCo 、IIA 等,都给出了不同的内部控制定义或框架。“从概念的观点看内部控制可能是不变的, 但对它的理解是不断发展的”(Root ,2004) 。就内部审计人员而言,一是应深知其关注的内部控制并非仅仅是内部会计控制,管理层和内部审计人员所关心的是广义控制。二是对内部控制的理解应与特定的社会及组织文化相联系。三是层出不穷的内部控制评价技术并不等于内部控制本身,譬如控制自我评估就是其代表之一。总之,内部控制系统日益复杂,现代内部审计对控制的确认需要更充分的信息、更多的参与。三、风险管理是内部控制的延伸,内部审计是风险管理的确认者、是对风险管理的再管理内部审计人员是风险管理潜在的重要利益相关人和参与者。我们认为,风险管理是内部控制的延伸,内部审计是风险管理的确认者,是对风险管理的再管理。全球范围内经营风险不断加剧,内部审计和风险管理在这种加剧中共同发展。风险管理日益成为组织治理和管理的重要组成部分,新的内部审计范式风险导向内部审计应运而生,对内部审计实务产生持续性影响(McNamee 和Selim ,1998) 。这种新范式的特征是:内部审计关注整个企业的风险;内部审计的回应是协同的、实时的、持续性的监控,并成为战略规划的参与者;内部审计在组织中还要发挥整合风险管理和公司治理的作用。随着现代企业风险管理与作业管理日益融合,风险管理细化至组织的各个流程中,促使内审人员在审计时必须以过程为导向,采用过程导向审计法,内审人员应厘清组织的价值链、价值网,提高内外部客户的满意度。风险管理对内部审计过程也产生了深刻影响。“在单项审计层面,风险影响审计计划、审计测试及审计结果的报告”,“年度审计计划也要考虑最高层的战略风险,首席审计官对当前的风险进行分析,以使其审计计划与企业的经营计划一致。内部审计人员运用风险管理的原则来改进制定审计计划和报告审计结果的方式”(McNamee 和Selim ,1998) 。经验研究也表明“, ERM 使内部审计对组织风险有了更好的理解随着内部审计部门在ERM 方面的经验越来越丰富,ERM 对内部审计的积极影响将得到更多的体现”( Beasley 等,2005) 。需要明确的是,内部审计不是风险管理的设计者和实施者。管理层负责ERM 的设计,所有员工协助贯彻实施,董事会监督管理层对ERM 的设计与实施,内部审计部门通过检查、评价、报告企业风险管理过程的适当性和有效性,并提出改进建议来协助管理层、董事会或审计委员会,而不是履行风险管理的受托责任(Bailey 等,2006) 。因此内部审计只是对风险管理过程进行确认和评价,其职责实际上是对风险管理的再管理。即使时下已颇为流行的所谓内部审计评价充当风险管理的“第三道防线”之说,其职责仍是评价其有效性和提出改进建议。 四、内部审计是透视公司的窗口,是公司治理的守门员,是组织治理主体可依赖的、极具价值的资源IIA 的新定义大大拓宽了内部审计的范围,借助控制这扇门,内部审计可以检查和评价组织的所有活动,为组织提供最大化的服务。内部审计也因此逐渐显现出其与众不同的特性:有利的组织地位,使内部审计既可了解组织其他部门的情况,又独立于其他部门;广泛的职能领域,使内部审计能够提供不同种类的确认和咨询服务;内部审计部门人员构成多样化,多学科背景的审计团队使内部审计能满足不同客户的需求。是什么铸就了内部审计在组织中的独特地位? 仍然是受托责任的发展。组织是由多层次受托责任关系所构成的受托责任系统,而这一系统中,内部审计职能渗透至各层次的受托责任关系中。我们可以从两个方面来理解受托责任对内部审计地位的影响:一是受托责任参与者的复杂化使得内部审计的服务对象多样化,董事会、高管层、各经营管理层、外部审计师、供应商、客户、监管机构等,都对内部审计有不同层次的期望或需求;二是受托财务责任向受托管理责任的发展,使得内部审计服务的内容多样化,内部审计从集中在防止资产的损失,发展成为高管层的“左臂右膀”、“公司治理的组成部分”,成为“透视公司的窗口”。那么,内部审计如何在治理中发挥作用呢? IIA(2002) 认为,董事会、管理层、外部审计、内部审计是组织治理体系的四大“基本主体”,有效的治理建立在四者的协同之上。内部审计是治理的一个必要组成部分“, 是确保受托责任履行的一种内部治理机制,是董事会及其所属审计委员会、管理层及外部审计一种极具价值的资源”(王光远、瞿曲,2006) 。在IIA(2006) 颁布的指引中,内部审计在公司治理中发挥两方面的作用:一是独立、客观地评价组织治理结构的适当性及具体治理活动运行的有效性;二是充当变革的促导者,提出或倡导改进措施,以改善组织治理结构及治理实务。值得一提的是,内部审计愈来愈多地涉足战略审计。战略是治理和管理的交叉( Tricker ,1984) ,内审人员关注战略制定和执行中的重大问题、重大风险、各战略要素间的矛盾、对组织及其股东的影响,不仅有利于内部审计扮演好“治理变革促导者”这一角色,而且最终有益于组织营运的改善。五、确认和咨询是内部审计的两大服务领域IIA 将内部审计的职能分为“确认”与“咨询”两类,是1999 年新定义的一大特征。确认和咨询两类职能的确立,是内部审计对组织和环境要求的主动响应,而咨询职能的独立尝试为内部审计人员创造一个新的顾问或参谋角色。与此相适应,内审人员需在主观的顾问角色和客观的鉴证角色之间寻得平衡。需要明确的是,确认服务和咨询服务存在差异,确认服务具备传统审计的完备要素,而咨询服务由确认服务衍生而出,它冲击了原有的内部审计概念体系及实务过程。确认服务仍是对受托责任履行的评价,依然需要独立于委托人和受托人,共同构成审计过程中的三方关系人。虽然咨询服务仍是确保受托责任的有效履行,但破坏了原有的委托人、审计人员和被审计人的三方关系,仅剩下审计人员和客户两方主体。这种参与主体的差别对于理解确认服务和咨询服务间的潜在非兼容性至关重要(Bailey 等,2006) 。Nagy 和Cenker (2002) 的调查表明,一些内审主管“不愿被贴上咨询的标签”,并认为传统的鉴证职能仍是内部审计的“根基”。此外,引入咨询服务还需要重新考虑独立性、审计证据等基本概念,而且产生自我威胁、利益冲突等一系列值得关注的现实问题。Nagy 和Cenker (2002) 的调查表明,“内部审计职能从传统的确认职能导向到价值增值和咨询导向,各个公司存在显著差异”。在欧洲,尽管咨询活动在内部审计活动中的比例不高,但相当多的内审部门表示,今后两年咨询活动的比例将会大幅提高(Allegrini 等,2006) 。IIA (2006) 在组织治理: 内部审计人员指南中同样强调了内部审计在治理中的确认和咨询两种职能,至于哪种职能占据主导地位则“很大程度上取决于组织治理程序和结构的成熟水平、内部审计在组织中的角色定位及内审人员的资质”。可见,内部审计的服务比例组合应由组织根据实际情况做出选择。IIA 将“确认”和“咨询”界定为内部审计的两大职能,仍然给我们留下了许多困扰理论界和实务界的难题,与确认服务相关的问题包括:确认服务的等级、证据与确认类型和确认等级的关系、向组织外部提供确认服务、确认服务在舞弊调查中的性质等问题;与咨询服务相关的问题包括:混合项目、确认服务和咨询服务的平衡、内部审计从事咨询服务的限制、咨询服务的风险和回报等。这些必然成为进一步研究内部审计职能的努力方向。六、积极营销内部审计,努力扮演企业变革代理人角色传统上,内部审计被认为是高管层或董事会的耳目,是组织里的内部警察,是爱挑毛病、找麻烦和管闲事的另类人,这种总体上的负面形象导致组织内各单位的排斥与反弹。然而,现代内部审计不仅应视被审单位为服务客户,更应认识到二者同呼吸、共生存于一个生命共同体中,彼此应成为促进组织发展的亲密合作伙伴。这就需要内部审计全面了解组织自身发展的需要,充分发挥咨询职能,充当企业变革的催化剂和代理人。内部审计如何扮演变革代理人角色? 在2005年IIA 召开的内部审计国际会议上,美国通用汽车公司审计部主管Chin 在其引起广泛关注的演讲中指出,内审人员应成为组织变革中“团队合作的主持者、拥护者、促导者、参与者和决策成员”。这是内部审计发展的必然。内部审计若要成为组织价值链上不会被遗弃的一环,就应紧密跟踪组织的发展变化,积极参与企业战略、并购、流程再造等一系列重大变革。客观上,内审人员通过在组织内部的长期工作,利用建立起来的独立的知识信息体系,即可为企业提供具有竞争优势的管理服务,再加之内部审计的职能性质决定了其对组织的忠诚和守密,因而,内部审计开始逐步扮演起组织变革的代理人。值得注意的是,在积极扮演企业变革代理人过程中,内部审计所发挥的作用与各利益相关者的期望之间,还存在巨大差距。Rot h (2003) 分析认为,虽然内部审计在过去数十年中已有长足的发展,但各利益相关者普遍对内部审计的认识仍停留在最基础、最传统的审计活动上。形成这一期望差距的重要原因之一就是人们对内部审计作为“变革代理人”这一角色的作用没有充分认识。因此,内部审计面临的一个严竣挑战就是如何营销自己,正如Break2spear (1988) 所说:“我们必须学会营销自己,以及营销我们的技能和产品”“, 如果能进行成功的营销,我们将会为组织增加价值,拓展我们的业务,并将分享其中的快乐”,他强调“这一战略对内部审计而言可谓生死攸关”。传统上,内部审计是一种典型的生产型的工作,审计人员自己制定审计计划、编制审计方案,自己收集审计证据、编制工作底稿,自己撰写审计报告、完成后续审计,内审人员本能上非常熟悉生产的理念和技术, 而不太熟悉营销的理念和技术。Ewert(1997) 在十年前就开始呼吁:“内审人员要使自己成为管理层的伙伴,就必须有效地营销其职能和潜力”。为此,他介绍了“6P”的营销策略,以提高人们对内部审计贡献的认知。“6P”即内部审计人员应当注意的六个方面:成员(people) ,即注重内审人员的招聘、团队构成、培训、文化建设等;内部审计过程(process) ,即优化流程,将审计资源配置到关键的重大问题上;洞察力(per spective) ,即敏锐识别影响组织的各种内、外部问题;价格(price) ,即注意成本效益,确保内部审计工作的成效;审查方向(place) ,即了解组织的需要,准确定位工作重心;服务的促销(promotion) ,即吸引客户,刺激需求。“6P”的建设,不仅有利于营销内部审计的服务,对于提升内部审计整体水平、进一步发挥在促导组织变革方面的影响力都有着深远意义。七、坚守独立性和客观性, 高度重视客观性管理审计所应具备的独立、客观特质,是其在受托责任关系中充当控制机制的基本前提之一。独立性和客观性构成了内部审计职业道德规范的基本要素,是内部审计职业化进程的奠基石。对于内部审计而言,独立性一直是个难题(Mautz 和Sharaf ,1961) 。因内部审计与组织之间天然的利益关系,独立性一度为外包热衷者频繁指责和炒作,成为内审职业界难以言说的痛处。更为重要的是,人们认识到,对于内部审计而言,客观性更为重要。在内部审计思想文集中,Mutcher 给出的定义是:客观性是审计人员的一种精神状态,在此种精神状态下,可能妨碍公允判断的个人偏见或倾向,不会不恰当地影响其对客体的评价、判断和决策;独立性则是指不存在威胁客观性的重大利益冲突。她认为,客观性是审计人员或部门所必需的品质,独立性是对审计人员或部门提供服务时所处环境特征的要求。显然,独立性是依附于客观性的,我们更应关注识别和管理威胁客观性的各种因素。组织内外部环境日益复杂,产生了对内部审计更多服务项目的需求,进而形成了诸多威胁独立性和客观性的新因素。IIA (2001) 在独立性与客观性:面向内部审计人员框架研究报告中列举了自我检查、社会压力、经济利益、私人关系、熟悉程度、文化、种族与性别歧视、认知偏差等威胁因素。结合中国实际,当前亟须制定有关独立性和客观性的内部审计准则,促使组织吸纳最新理念、采取有效措施,识别和管理威胁客观性的因素。而诸如客观性与独立性到底如何定义、对于不同职业是否有不同的涵义、内部审计外包对客观性和独立性有何影响、同时提供咨询与确认服务对客观性和独立性会产生怎样的影响等等理论问题,仍然需要内部审计理论学者的长期关注和思考。八、建立健全以控制和风险为导向的内部审计准则体系,执业人员要恪守准则、超越准则准则作为联系理论与实务的桥梁,是一国内部审计理论与实务发展水平最全面、具体的体现,也往往成为职业界沟通的语言、衡量服务质量的基准(Moeller ,2006) 。没有高水准的内部审计准则,就不可能有高水准的内部审计服务。在准则的建设中,我们应牢牢把握控制和风险两个核心概念。控制不仅是内部审计职业的传统服务领域,也是受托责任关系永恒的主题。控制的定义林林总总,控制的框架千姿百态,但是在理解控制这一核心概念时,我们应注意: (1) 概念上已无区分内部控制和外部控制的必要; (2) 控制行为总是与一定的治理或管理目标联系在一起; (3) 控制有时间维度。考虑风险这个核心概念,意味着不仅要考虑审计风险,更重要的是考虑整个组织的风险。把握控制和风险两个核心概念,目的是要使准则成为逻辑一致的体系,但它们并不制约准则所应涵盖领域的广阔性和前瞻性。准则制定应体现现代内部审计包括风险评估、控制确认及遵循性审计,诠释现代内部审计是融合财务审计和管理审计的综合审计。准则的制定不单单是一个专业技术问题,它更是一定阶段多方利益均衡的产物。现行准则只是确保审计质量的最低要求,只涵盖了内部审计人员必须具备的基本知识要求,因而依然需要内部审计人员在遵守准则的同时,结合实务,创造性地开展工作。近年来,我们一直致力于内审准则的建构,我们认为,迫切需要对实务给予指引的课题包括:研究不同内部审计需求与不同证据充分性、相关性、可靠性的关系;研究何种内部审计服务可以满足公司治理的要求;研究认定关键风险的指标并建立连续不断地识别风险并做出决策的信息系统;研究实施咨询活动时如何保持内部审计人员的客观性;研究如何确保审计信息及管理信息的安全;研究如何评估内部审计与外部审计相关联的确认性服务;研究内部审计与企业再造的关系;研究内部审计服务价值的评估问题;研究如何评估企业行为规范的价值;研究提高审计效能的技术与方法等等。九、以企业管理的理念管理内部审计部门,致力于把内审部门建成一个利润中心或投资中心作为一项资源,内部审计同样需要合理配置,外包、内部设置、合作内审都是可选的配置方式,内审部门如不加强管理,就始终难逃被裁撤、外包的命运(王光远、瞿曲,2005) 。客户、产品、资源和竞争对手一应俱全的内部审计,完全可借鉴企业管理的理念来经营自己的业务管理,就是要设计并保持一种良好的环境,使人在群体里高效率地完成既定的目标,包括计划、组织、人事、领导、控制等职能,管理人员的共同目标是创造盈余( Koontz ,1998) ; 管理者所要做的就是确定目标、进行组织、动员和沟通、通过建立标准尺度来进行计量、培养人(Drucker ,1954) 。借鉴管理的基本理念,我们首先要做的便是优化内审部门的计划、组织、人事、领导及控制职能。优化管理职能的目的仍是提高管理的有效性,实现内审部门的内部协调、外部协调,调动人的积极性。就内部协调而言,内审部门的定位和业绩考核两个问题显得尤为突出。内部审计部门不是一个成本中心,而是一个利润中心或投资中心,因为内部审计部门同样能创造盈余、增加价值。传统上,内审部门一直被视为“资源的消耗者”,这很大程度上源于内部审计业绩考核的困难。内部审计既能带来“硬货币”收益(如发现应付账款的多付) ,也能带来“软货币”收益(如审计建议、风险的降低等) 。要确认“隐性”的收益,就迫切需要借助现代管理工具与方法,建立科学的内部审计业绩评价体系,如标杆管理、平衡计分卡、投入产出模型等。就外部协调而言,我们强调三个方面。首先要认识到竞争的现实性。内部审计部门应直面外部服务提供者的竞争,接受市场检验。确认和咨询服务的提供从来都不是内审部门的专利,组织内部并不是避风的港湾,内部审计人员不应总是在襁褓中寻求保护,而应勇于在竞争中显现自己的优势,获得市场和客户的认可。第二要认识到沟通的重要性。内审部门与董事会、高管层的有效沟通是建立客户关系的基础,它有助于改善治理,也有助于部门内部、内审部门与其他部门的持续互动,及时接受和反馈信息。第三要认识到多元化客户的复杂性。多元化的客户期求机动性的内部审计作业模式。内部审计人员应坚守持续调整、持续改善的理念,以确保内部审计的任务与战略重点、技术与核心程序同利益相关者的期望及风险管理和内部控制的优先性同步成长。最后,有效的管理要为人的发展提供机会,重视内审部门的人力资源管理和知识管理。内审部门应确定与组织相适应的人力资源战略,并根据外部环境变化和自身发展做出调整,通过严格的招聘和培训、合理的人员组合,打造富有竞争力和吸引力的合作团队。内审部门不仅是内审人员发展的舞台,也应成为组织培养高级管理人才的摇篮。广泛接触组织的特殊地位、管理知识与经验的不断集聚、极具挑战性的工作方式,都理所当然地使内审部门成为组织培养高级管理人才的基地,这已经在许多世界级大公司的实践中得到了验证。十、融合风险管理审计、内部控制审计和公司治理审计,实现内部审计的价值增值内部审计发展的历史表明:受托责任的发展主导着内部审计性质的变迁,其他不同学科的知识也一直充实和重塑着内部审计的理论与实务,今天的内部审计,融合风险管理审计、内部控制审计和公司治理审计,只是这条演化道路的延续。内部控制一直是内部审计的传统领域。而今天,风险不仅是组织受托责任环境的一部分,影响与日俱增;而且贯穿受托责任的整个履行过程,风险管理也成为受托责任内容的一部分;作为制度安排的公司治理实质上是受托责任系统中的控制机制,但治理程序、治理机制又构成了受托责任的新内容。这些都必然要求内部审计能够客观、独立评价和改善受托责任的履行过程。内部审计涉足这些领域,本质上还是为了确保受托责任的有效履行,只是风险管理、公司治理理论和方法的不断完善,为内部审计发挥作用提供了进一步保障。风险管理、内部控制与公司治理的融合也体现在具体内部审计工作中。不少学者认为,内部审计是通过评价风险管理和内部控制发挥其在治理中的作用,如Bookal (2002) 指出,“内部审计人员对风险和控制独一无二的全程关注,对于良好的治理程序和财务报告至关重要”,“统计表明,公司越大、越复杂,外