保存如何发挥内部审计的确认和咨询作用

如何发挥内部审计的确认和咨询作用 不断爆发的经济金融危机，使更多的企业越来越注重组织价 值的增加和风险暴露之间的平衡，也更加注重以增加组织价值为 目标的内部审计业务的发展。2004 年国际内部审计师协会(IIA) 根据风险为导向的内部审计业务的发展趋势重新修订了国际内 部审计专业实务标准（以下简称标准），重新定义了内部审计 活动，把内部审计定义为一种独立、客观的确认和咨询活动，旨 在增加组织价值和改善组织的运营。它通过运用系统的、规范的 方法评价并改善风险管理、控制和治理过程的效果，帮助组织实 现其目标。经过 IIA 的力推，风险导向型的现代内部审计以其贯 穿始终审慎性、评价组织活动的有效性和反馈审计发现的及时性 与建设性获得了广泛的推崇与尊重。本文拟从全面理解内部审计 在治理、风险管理与控制方面的作用阐述如何发挥内部审计的确 认与咨询业务的功能。 。 一、区分确认和咨询业务的关系 确认业务是指内部审计师对程序、系统或其他常规事项进行 客观评价，提出独立的意见和结论，主要包括：舞弊调查、风险和 控制自我评价、财务、绩效、经营和合规性审计业务等。而咨询服 务则是为审计客户提供服务的咨询或相关活动，其业务性质和范 围根据客户的协议确定。确认与咨询业务并不是互相排斥，多数 的审计服务既包含确认，也包含咨询。咨询业务丰富了内部审计 活动的内容。咨询服务通常是由确认服务直接产生的（比如，业 绩评估审计可能演变成咨询业务，即设计完善业绩水平的衡量）， 反之亦然。其区别在于是否存在除内部审计人员、被审计单位 （客户）之外的第三方委托人。存在第三方委托人的就是确认业务。 2 确认业务关系图 委托人 审计客户 审计人员 咨询业务关系图 委托人（客户） 审计人员 这里应该注意的是，开展咨询业务不能损害确认业务的独立 性和客观性。现代内部审计由于同时提供确认和咨询两种服务职 能，容易导致角色上的冲突，即发挥咨询职能时可能会影响或损 害内审人员履行确认职能的独立性。管理层既是确认业务关系中 的客户，又是咨询服务委托代理关系中的委托人。管理层身份的 双重性，容易对内部审计活动构成利益冲突，对内部审计独立性 和客观性成了一种潜在的威胁。但咨询业务并不意味着一定会损 害或削弱确认业务的客观性，如果专业的内部审计师能够识别与 先前的咨询业务相关的后续审计中的威胁客观性的潜在因素，能 够考虑到缓解因素，并采取适当措施减少或化解剩余威胁客观性 的因素，内部审计人员的客观性就能得以最大限度地保持或者至 少不受到严重损害。 3 二、理解并遵从 IIA 的属性标准 IIA 的 内部审计实务专业标准包括属性标准和工作标准两 个部分，其中属性标准主要说明内部审计部门的性质和对审计人 员的要求，是开展审计工作的强制性环境基础，是发挥审计确认 和咨询职能作用的根本保证。 1明确内部审计的宗旨、权利和职责。 这里有三层含义：一是企业或组织内应建立起一套完备的内 部审计章程来明确内部审计活动为什么存在（宗旨）、存在的保证 （相应的权力）及做些什么（职责范围）的审计根本，审计章程必须 经过能保证审计活动的独立性的权力机构批准，比如经过董事会 或审计委员会的批准，理想的应该是经过董事会和高级管理层共 同审核批准，以保证内部审计部门的地位和权力不受管理层政策 变动的影响。越来越多的证据表明没有高级管理层的批准，内部 审计的确认和咨询业务很难顺利开展。二是应使内部审计客户及 组织内每个成员都了解内部审计的宗旨、权利和职责，这样有助 于消除分歧、取得信任合作，并能够加强对内部审计工作的理解 和监督，最大限度发挥内部审计的确认与咨询的功能。三是定期 评价内部审计章程，以确定其是否能继续保证内部审计活动实现 目标，并将评价结果通报高级管理层和董事会获得新的批准。 2增强内部审计的独立性。 发挥确认和咨询作用首先是保证内部审计的独立性，独立性 确认和咨询服务客观性的基础。根据 IIA 的解释独立性是指内部 审计部门在组织中，不受管理层和其他方面干扰，独立地开展内 部审计活动。并享有一定处置审计经费、人事及内部管理等方面 相对独立的权力地位。其核心是组织地位上的独立。由此可见内 部审计的独立性是相对的，因此正确解决内部审计的独立性问题， 4 是发挥内部审计确认与咨询服务功能的合理保证，虽然各国对内 部审计的独立性准确定义存有争议，但人们普遍认为独立性与确 认或咨询服务所处的环境状态有关，向组织内何种领导层报告工 作能够反映其独立性状态。目前，内部审计基本上有二种报告关 系：一是所有的工作向董事会或者审计委员会报告；二是建立了 双重报告关系，即向董事会审计委员会报告业务工作，向高级管 理层（总裁）报告行政工作。事实证明建立双重的报告关系是具有 良好的公司治理环境的表现，高级管理层和董事会的支持可以帮 助内部审计部门获得业务客户的协作并在不受干扰的情况下工 作。绕开高级管理层的独立性表现往往使内部审计活动难以顺利 的开展。 现在我国审计理论界对内部审计独立性含义的界定以及对 机构独立性理解上有“ 绝对独立” 的倾向，即 将内部审计置于审计 委员会的领导之下，直接向股东大会报告工作，或者由选举的独 立董事领导，在组织内形成“三足鼎立” 。事 实上这样做容易产生 与组织高层的冲突，而无法取得董事会和高级管理层的信任和支 持，内部审计部门无异于“无本之木” ，很 难继续生存。美国安然 公司的倒闭就是很好的实证，17 名董事会成员有 15 名是独立董 事，内部审计处于无序的领导状态，审计委员会有名无实，内部 审计人员可以随意披露公司的财务状况从而引发信任危机造成 无可挽回的局面。 现代内部审计关注的是上下的沟通与协调，特别是无障碍式 的直接交流，以获取足够多的信息发挥内部审计确认与咨询职能 来说是至关重要的。近年来，内部审计越来越注重与高级管理层 的沟通和交流，新的理念表明，仅向董事会审计委员会报告工作 还是不够的，增强独立性还要体现高级管理层的“声音” ，即要在 5 组织内部建立双重的报告关系以增强独立性。增强内部审计组织 独立性还表现在以下方面：内部审计部门的设置经董事会、审计 委员会和高级管理层批准或认可，并在内部审计章程中明确；内 部审计机构能够充分地、不受限制的与董事会、审计委员会、公 司高级管理层进行沟通和交流；内部审计机构负责人的任免，理 想的情况是董事会或审计委员会等其他治理机构一致同意后确 定；可以定期参加有关审计、财务报告、机构治理和控制系统的 监督职责会议，以获取更多公司治理方面的信息。可见，内部审 计组织独立地位是公司董事会和其他治理机构共同赋予和保证 的，是相对的独立，是被信任和支持的独立，也只有这样的独立 能够保证内部审计确认和咨询职能的客观性。 3熟练掌握专业技能和运用应有的职业审慎 标准要求内部审计师必须具备不必寻求广泛的技术研究 和帮助就能将审计标准和程序熟练地应用于特定审计工作的能 力，即内部审计师的专业技能。包括：熟练应用内部审计实务标 准、程序和技术；了解组织所在的行业，理解组织管理原则和改 善财务和运营方面涉及的知识技能；深入领会审计相关科目的知 识和技术。比如要充分了解关键信息技术风险和控制及获得可利 用技术的审计方法，以开展工作，但不期望所有内部审计师均掌 握专门从事信息技术审计所具备专门技能；拥有良好的口头和书 面表达能力以及人际交流技能，以便清楚有效地表达审计目的、 审计评价工作、审计结论和建议，改善与被审计单位关系。 内部审计师运用专业技能开展审计活动过程中，要始终保持 应有的职业审慎，这是从事审计专业必备的工作态度。它表现在： 一旦接受并实施一项内部审计委托业务，内部审计师在实施计划 阶段就应考虑舞弊的存在可能性，对通过分析性审计发现的意外 6 结果要采取适当的步骤彻底调查，对舞弊发生的警惕性要贯穿审 计活动的始终；内部审计师应通过检查和评价内部控制系统的适 当性和有效性，来确定这些系统与组织中各部门内存在的潜在风 险范围是否相适应，能否阻止舞弊的发生；内部审计师应充分考 虑与潜在效益相对的确认、咨询业务成本。没有任何组织能够完 全回避舞弊风险，建立控制制度只能将舞弊风险降低到一个合理 的最低水平。比如建立需要耗费巨资的控制程序仅仅是为了减少 铅笔的丢失是不符合成本效益原则的；内部审计师还应当充分考 虑审计风险，只从事他们具备必要的知识和经验的服务活动，收 集记录足够以实现审计目标的信息，在必要时应向专业人士寻求 充分的建议和帮助；内部审计师必须通过持续的职业教育来增加 专业技能储备，以提高履职水平。 4建立并维护涵盖内部审计活动所有方面的质量保证和改 进程序 质量保证与改进程序旨在对内部审计活动是否遵循“内部审 计定义”和 标准以及内部 审计师是否遵守 职业道德规范进行 评估， 还可以用来评价内部审计活动的效率和效果，并识别改进 的机会。内部审计质量控制是组织全面质量管理的内在要求。全 面质量管理是根据组织向顾客提供最优产品或服务的原则制定 的长期战略性措施，是通过诸如质量策划、质量控制、质量保证 和质量改进而实施的全部管理活动。它的主要原则是追求顾客的 完全满意、不断地改进产品或服务的质量和全员全过程地参与。 内部审计的顾客就是它的服务对象。最优服务就是从质量即利润 的观念出发，以最小的成本帮助组织实现最大利润。它要求内部 审计师充分利用审计资源，以高质量的确认和咨询服务对组织内 部控制的充分性和有效性进行评价，揭示风险因素，提出改进建 7 议，跟踪纠正措施的落实，从而使组织得到最大利润，最终实现 组织目标。 三、以风险为基础制定计划，确定内部审计活动的优先次序 风险是指发生对组织目标的实现可能产生影响事件的不确 定性。风险的衡量标准是后果与可能性，即要考虑到风险暴露， 又要考虑发生的概率。这里的风险既包括正面的风险，即机会； 也包括负面的风险，即可以货币化衡量的损失。所谓风险导向内 部审计是指要以风险为基础制定计划，根据量化的分析水平排定 审计项目优先次序，确定与组织目标相一致内部审计活动重点。 1建立应用组织风险评估的框架 制定内部审计计划时，应服从组织风险战略偏好，考虑应用 成熟的 COSO 企业风险 管理整体框架（统称为八要素风险评估模 型），它为内部审计职能提供了一整套系统的方式去评估识别内 外部风险因素，以发现潜在审计区域和范围，减少在实现组织目 标过程中可能出现的负面影响。尚未建立风险管理框架的组织， 内部审计师可以与高级管理层和董事会磋商后，自行作出风险判 断。 2风险分析与评估 内部审计师进行风险评估之前首先要根据组织战略计划进 行内外环境的分析，包括对管理层和员工 “人” 的因素分析活 动，对组织内外可能发生与正在发生的情况作出判断，以充分挖 掘和识别潜在的审计业务来源。一旦审计业务来源确定，就需要 内部审计师运用专业的方法评估、排序能够对组织目标产生影响 的风险和机会，通常应对高风险的活动优先考虑实施审计。 3确保充分的审计资源履行审计职能 内部审计部门应当充分考虑履行确认与咨询服务职能所需 8 要的人员、资金及开展工作所需要专业能力方面的需求。并根据 业务复杂程度、审计资源受到的限制及限制的影响程度等情况同 董事会和高级管理层开展讨论，获得对审计计划和审计资源要求 的批准。即便资源有限的情况下，也不需要消减预定的程序，内 部审计师应当考虑相应的替代措施。在协调和广泛沟通基础上， 有效的利用的审计资源，包括借助外部审计师的力量和成果、与 内外审计师充分协调等，以获得最大审计覆盖面和最小程度的冗 余。 四、理解控制和选择可运用的内部控制框架 控制的定义可以理解为：强制及施加强制的方法。管理者运 用控制确保组织目得以实现，组织内每一种控制都在两个层次上 发挥作用，并分处于两个系统内。一种是被设计用来完成规定目 标，即运营系统，比如产品生产目标。另一种则是覆盖在运营系 统之上，用来确保运营系统目标得以实现的程序、规章和指令等， 即为控制系统。而内部审计师的任务就是在风险评估的基础上， 评价和改善后一种系统的充分性和有效性。但越来越广泛的审计 使内部审计师过多的涉及自己不熟悉的领域（比如新的运营系统） ，他们 不可能立即成为这许多方面的专家，而这些新领域却要求 内部审计师必须做出客观和系统的评价。怎么办? 解开这一难题的“钥匙 ”就是内部控制，内部 审计师可能无法 理解处于技术层面运营系统，而且即使能够理解，他们也难以客 观的评价它（评价它就可能违职业审慎性要求），但内部审计师可 以通过专业的方法从控制角度去客观地评价其运营的效果，以达 到改善组织运营的目标。因此理解和熟练运用内部控制手段对发 挥确认和咨询职能作用至关重要。 1内部控制建立的基础 9 内部控制是一个过程，是实现组织目标的手段，而不是结果 本身。组织目标是组织宗旨决定的，它包括具体的目标和实现目 标的效率。制定和发布组织程序、规章和指令都是为了防止那些 可能影响组织目标有效率实现的风险因素造成的损失。而单纯的 规章制度只是一种机械的控制措施，建立良好内部控制环境必须 考虑组织内各层次人员的影响，无伦设计的多么完美，也只能为 组织目标的实现提供合理的保证，而不是绝对的保证。固有的局 限性往往让两个人的合谋，也会导致控制失效，管理层更是有逾 越内部控制系统的能力。因此，内部控制必须建立在充分的沟通 基础上，充分考虑人的因素，人是具有个人目标、个人感情的能 动性个体，他们可以在很大程度上影响规章制度的实施效果和效 率。充分的沟通可以最大限度的减少利益驱使，消除误解，增加 合作。 2内部控制的目标 通常的情况，内部控制目标是保证实现以下组织目标：第一 类是组织运行的效果与效率。所谓效果与效率是指实现组织目标 程度及一定的资源投入获得的产出量的高低，反映企业业绩表现、 盈利性和资源保护等具体情况；第二类是财务报告的可靠性和完 整性。是指综合反映组织经营效果和效率的文件，同时也是组织 风险控制的重要依据；第三类是法律法规的遵循性。法律法规的 执行情况可以从多个方面反映组织风险，一方面违反法律法规， 可能带来较高的违法违规成本；一方面违法的行为可能隐含着更 严重的组织伤害，比如转移组织资产和破坏组织信誉等。第四类 是资产的安全。资产安全目标通常被看作第一类目标的具体反映。 前三类目标既相互独立又相互联系，分别代表了不同的需求。 3选择建立适当的评估内部控制框架 10 对特定的组织而言，必须建立与之相适应的内部控制系统 （框架），包括具体政策和程序，这些具体政策和程序的融合，就 构成了组织内部控制要素，内外环境的不同对组织的内部控制要 素产生影响，也制约了内部控制的执行效果，因此，不同的组织 要根据实际情况选择不同的内部控制框架。 现国际通行的、有代表性的内部控制框架是 COSO 五要素 控制模型。它包括控制环境、风险评估、控制活动、信息和沟通和 监督五个既相互对立又相互联系的要素，形成一个有机统一体， 对不断变化的环境自动作出反应。其中控制活动要素是与经营效 果和效率直接相关，其他四项要素是对控制功能的补充。五项要 素代表着实现上述内部控制目标所需元素，所有要素都与每一类 目标相联系。为实现每一类目标都需要五项要素共同发挥作用， 以说明经营的内部控制是有效的。 五、强调沟通的作用 在公司治理结构中，内部审计既是管理控制的组成部分，又 是评价其他控制的手段。其基本目的是帮助组织完成目标，为此 要进行与揭露风险相关的一系列“吹毛求疵 ”的检查活动，容易造 成与各管理层摩擦和冲突，损害内部审计的独立性和客观性。因 此要解决冲突，寻求合作，内部审计必须建立良好的沟通机制， 取得董事会与其他治理机构的理解和支持，以保证内部审计部门 的地位和活动不受限制。沟通的结果不仅是改善与被审计单位的 关系，更重要的是要解决组织面临的风险和问题。内部审计部门 应该在多个方面为取得支持进行沟通。 1审计业务计划 内部审计部门的年度工作业务计划报请高级管理层的批准， 并向董事会备案。报告包括充分的信息，以便他们能够确定内部 11 审计部门的目标和计划是否有助于实现组织目标；审计业务计划 在中期发生重要变化时，也应该及时进行沟通；在执行审计业务 计划过程中，如果内部审计资源不足和审计范围，应及时向高级 管理层和董事会报告，报告内容包括资源不足和范围限制可能带 来的后果。 2重大审计事项 经内部审计部门的判断，可能对组织产生重大不利影响的情 况，如违法、重大的浪费、无效的控制、利益冲突等，在向董事会 报告之前应与高级管理层进行讨论，将高级管理层对重大风险的 态度（包括接受和不接受风险）通知董事会。此外，董事会和高级 管理层或其他方面发生变动，内部审计部门最好将原先报告的事 项再次向董事会报告。 3重大风险领域 管理层承担风险管理的职责，如果内部审计师判断管理层在 重要的风险领域接受的风险水平与组织风险管理战略和政策不 符，或该水平不能被组织接受，应就此与高级管理层开展讨论。 若仍然不能解决，应及时报告董事会解决。内部审计师负责评价 管理层应对重大风险