非独立，不能审计

《首席财务官》杂志在采访中发现，内部审计在很多情况下不是沦为董事会手中的“大棒”，就是成为内部矛盾集中的地方。因此，许多企业出于规避内部矛盾和成本的考虑通常外包给外部审计机构，而内部审计的部门就形同虚设。

而“萨-奥法案”的重要经验之一正是保证内部审计的必要性和独立性。在“安然案”之前，美国的公司治理结构大多为董事会、高级管理层和外部中介审计机构三位一体的结构。安然、世通等公司财务丑闻充分证明了这个结构的主要缺陷是由高级管理层直接聘请外部审计师和决定审计费用，使会计师事务所自身的利益与公司高级管理层密切相关；内部监督机制不健全，内部审计缺乏相对独立性造成的。

“企业基于规避内部矛盾和成本时会考虑外包。”王萍坦言。

“萨-奥法案”的颁布弥补了美国公司治理结构的缺陷，要求公司董事会的审计委员会发挥更加积极的作用，并要求所有上市公司对其内部审计职能是否得到充分发挥出具有关的证明。该法案规定审计委员会的职责是：(1)从管理层之外的来源获得公司信息；公司内部审计直接向审计委员会报告工作；负责处理内部审计和管理层之间的分歧；建立一定程序，确保进行匿名或保密的投诉。(2)事前批准将由外部审计师提供的服务，包括聘用、解聘、监管和报酬，在外部审计和管理层之间构成隔离带。(3)从外部获得财务咨询，拥有聘用独立财务顾问的权利，在处理疑难问题时，可以不受管理层和外部审计的影响等。

在强化公司治理方面，国际内部审计已逐渐形成三种职能趋势：强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。

对于内审职能的正常发挥，张玉认为，“本土企业的内审部门首先要改变内部审计机构隶属于财会部门或总经理的模式，内审机构隶属于董事会的审计委员会，向审计委员会报告工作。即使这种模式做不到，至少也要实行既向审计委员会报告，也向总经理报告的双重报告机制。”“内部审计和外部审计的双重监督机制才能为内部控制执行的有效性提供制度保障。”张玉特别强调。

有着丰富跨国公司运营经验的金州环境股份有限公司O郑东生先生曾任公司总审计师，他直言保持内审部门独立性是内审实施的最重要的组织保障。“有了这种制度安排，内审部门领导人和CFO就是平等的合作伙伴，他们虽然分工不同但目标是一致的，从而有了密切合作的基础。”

内审、内控与CFO

内部审计作为企业内部控制效果的检测器，控制环境是内部控制能否生效的最基本要素。在所有影响控制的要素中，公司治理结构不完善，董事会、监事会、经理层之间没有形成相互制约的权力制衡机制，导致少数管理者权力过分集中；管理层缺乏诚信或带头逾越内部控制，或缺乏有效的激励机制等，都会导致内部控制失效。

内部控制的发展经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段。“内部控制与风险管理的关系是一枚钱币的正反两面：控制适当，风险减少；控制过度，效率降低；缺乏控制或控制无效到处都可能出现风险。内控的效率和有效性是决定审计效果的重要因素。在公司内控体系框架设计中，内控部和各职能部门应实行‘裁判员’和‘运动员’的职责分离。”张玉特别强调说。