國際內部審計師協會(IIA)2009年1月修訂的《國際內部審計專業實務框架》將內部審計定義為:內部審計是一種獨立、客觀的確認和咨詢活動,旨在增加價值和改善組織的運營。通過應用系統化、規范化的方法,評價并改善風險管理、控制和治理過程的效果,幫助組織實現其目標。2009年的內部審計定義,指明了國際內部審計業務發展的最新態勢,也為我國內部審計的發展方向提供借鑒。因此,有必要對內部審計的最新定義做全面、詳細的理解,對于了解國際內部審計發展的最新動態,抓住內部審計的未來發展機遇,保證內部審計人員具備面向未來的職業勝任能力和與時俱進的工作精神,推動我國內部審計的職業化并與國際接軌具有重要意義。
一、內部審計是組織治理的必備要素
《國際內部審計專業實務框架》(2009)詞匯表中將治理定義為:指董事會實施的各種流程和框架的組合,用以告知、指導、管理和監督組織的活動,以實現組織目標。2002年7月23日,IIA在對美國國會的建議中指出:一個健全的治理結構是建立在有效治理體系的四個主要條件的協同之上的,這四個主要條件是:董事會、執行管理層、外部審計和內部審計。在司法機構和管理機構的監管下,這四個部分是有效治理賴以存在的基石。有效的內部審計是公司治理結構中形成權力制衡機制并促使其有效運行的重要手段,是公司治理過程中不可缺少的組成部分。內部審計的許多活動都可以整合到組織的治理結構中。風險評估與管理、控制確認和遵循工作構成內部審計活動的主要部分,這三個要素一起共同直接勾畫出組織治理。
二、獨立性與客觀性是內部審計的職業需求
獨立性是指避免客觀性或形式上的客觀受到威脅的各種情況。客觀性是一種公正、不偏不倚的態度,可使內部審計師開展業務時確信其工作成果、不作任何重大的質量妥協。客觀性要求內部審計師對于審計事項的判斷不得屈服于他人。客觀性和職業道德的三要素(正直、專業勝任能力和保持職業謹慎)是內部審計的增值性確認與咨詢服務的共同的充要條件。當內部審計人員以公正的態度考察證據時,說明其是非常客觀的;如果不具備正直的品質,那么在面對所獲取的證據時,可以選擇不恰當地行事;如果內部審計人員不具備專業勝任能力或未保持職業謹慎,可能會以不恰當的方式使用證據,這些都會削弱內部審計的客觀性、獨立性。在《獨立性與客觀性:面向內部審計人員的框架》(IIA,2001)中列舉了威脅客觀性的幾種因素,如自我檢查、社會壓力、經濟利益、私人關系、熟悉程度、文化、種族與性別歧視和認知偏差或以上幾種威脅因素同時出現。同時也列舉了一些能抵消潛在威脅客觀性的緩解因素,如組織地位和政策、強有力的公司治理系統、激勵、小組工作、監督或同業互查、時間流逝與環境變化、內部咨詢等。無論確認與咨詢服務是由組織內部的審計人員提供,還是將其外包給外部專家,獨立性和客觀性對于內部審計部門和內部審計人員都十分重要。
三、內部審計是確認服務與咨詢服務的統一體
內部審計是一項旨在增加價值和改善組織運營的獨立、客觀的確認和咨詢活動。《國際內部審計專業實務框架》(2009年)詞匯表中將確認服務、咨詢服務界定如下:確認服務是為獨立評價組織的治理、風險管理和控制過程而對證據進行的客觀檢查,如財務、績效、合規性、系統安全和盡職調查等;咨詢服務是指咨詢及相關的客戶服務活動,其性質和范圍需要與客戶協商確定,目的是在內部審計師不承擔管理職責的前提下,為組織增加價值并改進組織的治理、風險管理和控制過程。顧問、建議、推動、培訓等均屬于咨詢服務。
內部審計為組織提供六種基本類型的服務:財務審計、業績審計、快速反應審計、評估服務、協調服務和補救服務。這六種基本類型的服務構成內部審計確認及咨詢服務的統一體。在這個統一體中有三類基本的確認服務:財務審計、業績審計和快速反應審計。財務審計包括遵循傳統鑒證模式的項目(如對分部季度業績報告的審計)、遵循性鑒證(如對差旅費等進行的審計)、與進行財務報表審計的外部審計人員的合作。業績審計或業務審計代表著傳統的內部審計,現行大多數內部審計部門在選擇這種服務時,都是以既定審計資源下風險的最小化為目標,通過風險評估流程來實現。就審計委員會和高級管理層而言,這類項目提供了內部控制的確認,在許多組織中,還就內部控制的適當性發表意見,甚至進行等級評定;就被審計者(管理層)而言,提供了如何糾正錯誤、提高效率的一系列建議。快速反應審計通常來自高級管理層的特殊需求,這類服務的主要項目是舞弊調查,也包括評價和審慎性調查。
評估服務、協調服務和補救服務屬于這個統一體中的咨詢服務。評估服務是指審計人員對各種業務的過去、現在或未來的某個方面進行檢查或評價,并以此提供信息幫助管理層作出決策,如在系統設計中對控制的評估;對特定的組織再造進行研究和評價,從而形成最經濟實用、邏輯性最強的流程組合等業務。協調服務是指審計人員協助管理層檢查組織業績,以促進變革。內部審計在提供這類服務時,審計人員并不對組織業績進行評價,而是引導管理人員發現組織的優勢和改進的機會。這類項目包括控制自我評估、標桿管理、企業流程再造支持、協助制定業績指標、戰略規劃支持等。補救服務在一定程度上存在于所有的內部審計活動中,在這類項目中,內部審計人員從客戶利益出發,直接發揮預防或補救已知或疑似問題的作用。補救服務可能會涉及到諸如現金管理政策或組織行為守則的起草等。
為增加價值,內部審計為各類客戶提供著一系列不同的服務。經營管理層關心內部審計對其經營效率和效果的評價, 更多地關注審計報告或審計過程中所提的建議,這一部分增值更多地與咨詢服務相關。審計委員會(董事會)主要關注內部控制是否適當、經營提供的數據是否可靠、法律和法規是否得到遵循、資產是否安全,這一部分增值更多地與確認服務相關。內部審計實現增值,就必須要注意咨詢服務與確認服務的平衡。因為提供的咨詢服務可能會損害其獨立客觀地提供確認服務,這是內部審計實現其增值目標所必須要考慮的。
四、內部審計的最終目的是增加價值和改善組織運營
一個機構的設立,應該是為其所有者、其他利益關系方、顧客創造價值或謀取利益,否則就沒有設立的必要。內部審計的設立與組織的目標是一致的,通過系統化、規范化的方法收集資料、認識評價風險的過程,對組織的經營活動進行深刻的理解,而這種理解可能會給組織帶來諸多利益。通過內部審計活動,這些有價值的信息以書面報告的形式傳達給經營管理人員,為組織增加價值和改善組織運營服務。
增加價值和改善組織運營的目標,使內部審計關注的范圍提升至組織整體的層面,而不是針對個人或某一部門的活動。關注層次的提升,使內部審計從組織整體價值鏈來考慮問題和提出解決方案,從全局、長期著眼,促成各個部門各個方面的有效合作。其增值目標的定位將內部審計與組織的核心業務流程和關鍵成功因素聯結起來,也在實質上擴展了內部審計的職能,并要求在內部審計人員的招募、培訓、團隊構建活動中充分考慮這方面的因素。
五、內部審計是系統化、規范化的過程
《國際內部審計專業實務框架》(2009)2200、2300和2400分別闡明了內部審計業務計劃、業務實施和業務結果報告的最基本要求,為內部審計過程的系統化、規范化提供了一個基本框架。(1)2200-業務計劃。“內部審計師開展每項業務都必須制定書面計劃,其內容包括業務目標、范圍、時間安排以及資源分配等。”內部審計師在確定一項確認業務目標時,應識別并初步評估與被檢查活動相關的風險,并在業務目標中反映;應詳盡考慮出現重大錯誤、舞弊、違規和其他風險的可能性。遏制舞弊的主要機制是內部控制,內審部門通過檢查和評估被檢查單位的內部控制及相應的潛在風險程度協助防止舞弊。確定咨詢業務的目標必須在客戶同意范圍內,針對治理、風險管理和控制過程等制定。內部審計部門確定業務范圍時,必須確保能夠實現業務目標。確認項目的業務范圍應包括相關的制度、記錄、人員和實物財產。咨詢項目的業務范圍必須確保足以實現與客戶協商確定的目標,如果任務范圍不充分,內部審計師必須與客戶協商決定是否繼續此項業務。內審人員必須根據每項業務的性質、復雜程度、時間限制及可用資源的評估,確定實現業務目標所需要的人員配備。內審人員必須制定書面工作方案,以實現業務目標。確認項目的工作方案必須包括識別、分析、評估和記錄信息的程序。工作方案的實施必須得到批準,實施后的任何調整都必須及時報批。咨詢項目的工作方案隨業務性質的變化而變化。(2)2300-業務的實施。“內部審計師必須識別、分析、評價并記錄充分的信息,從而實現業務目標。”內部審計師必須確定信息是充分、可靠、相關和有用的,以實現業務目標。識別和檢查信息的主要方法一是分析性程序, 另一個是數據挖掘,即“從大量明顯隨機的數據中識別模式”,調查者用該模式檢驗在某項活動中是否存在異常。內部審計師的結論和項目結果應建立在適當的分析和評價基礎上。分析性程序與標桿法能為審計人員的分析工作提供幫助。內審人員應記錄相關信息以支持結論和項目結果。首席審計執行官必須制定政策,以規范確認項目和咨詢項目的信息記錄的保管、接觸、存檔和對內外提供等。這些政策必須符合組織規定及相關法規或其他要求。首席審計執行官及有經驗的內審人員應對其他缺乏經驗的內審人員的工作進行復核。(3)2400-結果的報告。“內部審計師必須及時報告業務結果。”報告應符合特定的標準,包括業務目標、范圍、適用的結論、建議和行動計劃。報告必須準確、客觀、清晰、簡潔、富有建設性、完整和及時。如果最終報告存在重大錯誤或遺漏,首席審計執行官必須將更正后的信息傳達給所有的原報告接收者。如果內審部門在某一特定業務中沒有遵循《職業道德規范》、行為規則或標準,應在報告中披露未遵循的原因及影響。首席審計執行官必須向適當對象通報結果。內部審計過程的系統化規范化,體現著內部審計人員的專業素養,在保證內審人員的工作質量、提升內審人員在組織中的地位、受到組織關鍵利益相關者質疑時自我辯護等方面都具有重要的意義。
六、內部審計的新興領域是風險評估與風險管理審計
在一個瞬息萬變、全球性競爭、各種新組織形式及先進的信息技術不斷涌現的環境中,對組織現行狀況的計量和評價已顯得不再重要,而對即將發生、甚至是較遠未來發生的有關事項的信息及其計量變得更加重要。內部審計已從“數豆子”轉變為關注某些威脅因素,這些因素會影響整個業務和組織目標的戰略與過程。COSO委員會(2002)將企業風險管理定義為:受組織的董事會、管理層及其他員工影響,包括內部控制并應用于戰略以及整個企業,用以合理保證以下目標實現的過程:經營的效率及效果;財務報告的可靠性;適當的法律法規的遵循。企業風險管理涵蓋了傳統的交易事項、資產及營運的內部控制。2004年9月COSO正式發布的企業風險管理框架包括八大要素:內部環境、目標設定、事件識別、風險評估、風險反應、控制活動、信息與溝通、監控。內部審計在以下方面通過風險管理,促進組織有效治理:內部審計能協助識別風險因素,分析結果,確定風險管理和控制系統的輕重緩急;內部審計可以針對風險管理程序在實際中是否如預想的那樣發揮作用提供確認;通過咨詢服務,內部審計可以從改善風險管理和控制流程,進一步幫助管理層和董事會,向管理層和董事會提供關于風險管理和內部控制制度運行情況的分析和建議。風險管理審計作為一個新興的審計領域,是內部審計的重要組成部分,對組織的風險管理活動進行獨立的、綜合的、建設性的、面向未來的檢查和評價,目的是幫助管理當局改進決策,避免和降低風險, 增加價值和改善組織運營。
