保存如何发挥内部审计的确认和咨询作用

1、如何发挥内部审计的确认和咨询作用不断爆发的经济金融危机，使更多的企业越来越注重组织价值的增加和风险暴露之间的平衡， 也更加注重以增加组织价值为目标的内部审计业务的发展。20042004 年国际内部审计师协会（IIAIIA）根据风险为导向的内部审计业务的发展趋势重新修订了国际内部审计专业实务标准（以下简称标准），重新定义了内部审计活动，把内部审计定义为一种独立、客观的确认和咨询活动，旨在增加组织价值和改善组织的运营。它通过运用系统的、规范的方法评价并改善风险管理、 控制和治理过程的效果， 帮助组织实现其目标。 经过 IIAIIA 的力推， 风险导向型的现代内部审计以其贯穿始终审慎性、 评价组织活

2、动的有效性和反馈审计发现的及时性与建设性获得了广泛的推崇与尊重。 本文拟从全面理解内部审计在治理、 风险管理与控制方面的作用阐述如何发挥内部审计的确认与咨询业务的功能。一、区分确认和咨询业务的关系确认业务是指内部审计师对程序、系统或其他常规事项进行客观评价，提出独立的意见和结论，主要包括：舞弊调查、风险和控制自我评价、财务、绩效、经营和合规性审计业务等。而咨询服务则是为审计客户提供服务的咨询或相关活动，其业务性质和范围根据客户的协议确定。 确认与咨询业务并不是互相排斥， 多数的审计服务既包含确认， 也包含咨询。 咨询业务丰富了内部审计活动的内容。咨询服务通常是由确认服务直接产生的（比如，业绩评

3、估审计可能演变成咨询业务，即设计完善业绩水平的衡量），反之亦然。其区别在于是否存在除内部审计人员、 被审计单位 （客户） 之外的第三方委托人。存在第三方委托人的就是确认业务。确认业务关系图这里应该注意的是，开展咨询业务不能损害确认业务的独立性和客观性。 现代内部审计由于同时提供确认和咨询两种服务职能， 容易导致角色上的冲突， 即发挥咨询职能时可能会影响或损害内审人员履行确认职能的独立性。 管理层既是确认业务关系中的客户， 又是咨询服务委托代理关系中的委托人。管理层身份的双重性，容易对内部审计活动构成利益冲突，对内部审计独立性和客观性成了一种潜在的威胁。 但咨询业务弁不意味着一定会损害或削弱确认

4、业务的客观性， 如果专业的内部审计师能够识别与先前的咨询业务相关的后续审计中的威胁客观性的潜在因素，能够考虑到缓解因素，弁采取适当措施减少或化解剩余威胁客观性的因素， 内部审计人员的客观性就能得以最大限度地保持或者至少不受到严重损害。二、理解并遵从 IIAIIA 的属性标准IIAIIA 的 内部审计实务专业标准 包括属性标准和工作标准两个部分，其中属性标准主要说明内部审计部门的性质和对审计人员的要求，是开展审计工作的强制性环境基础，是发挥审计确认和咨询职能作用的根本保证。1 1 . .明确内部审计的宗旨、权利和职责。这里有三层含义：一是企业或组织内应建立起一套完备的内部审计章程来明确内部审计活

5、动为什么存在（宗旨）、存在的保证（相应的权力）及做些什么（职责范围）的审计根本，审计章程必须经过能保证审计活动的独立性的权力机构批准，比如经过董事会或审计委员会的批准， 理想的应该是经过董事会和高级管理层共同审核批准， 以保证内部审计部门的地位和权力不受管理层政策变动的影响。 越来越多的证据表明没有高级管理层的批准， 内部审计的确认和咨询业务很难顺利开展。二是应使内部审计客户及组织内每个成员都了解内部审计的宗旨、 权利和职责， 这样有助于消除分歧、 取得信任合作， 并能够加强对内部审计工作的理解和监督，最大限度发挥内部审计的确认与咨询的功能。三是定期评价内部审计章程， 以确定其是否能继续保证内

6、部审计活动实现目标，并将评价结果通报高级管理层和董事会获得新的批准。2 2 .增强内部审计的独立性。发挥确认和咨询作用首先是保证内部审计的独立性，独立性确认和咨询服务客观性的基础。 根据 IIAIIA 的解释独立性是指内部审计部门在组织中，不受管理层和其他方面干扰，独立地开展内部审计活动。并享有一定处路审计经费、 人事及内部管理等方面相对独立的权力地位o o 其核心是组织地位上的独立。由此可见内部审计的独立性是相对的， 因此正确解决内部审计的独立性问题， 是发挥内部审计确认与咨询服务功能的合理保证，虽然各国对内部审计的独立性准确定义存有争议， 但人们普遍认为独立性与确认或咨询服务所处的环境状态

7、有关， 向组织内何种领导层报告工作能够反映其独立性状态。目前，内部审计基本上有二种报告关系：一是所有的工作向董事会或者审计委员会报告；二是建立了双重报告关系，即向董事会审计委员会报告业务工作，向高级管理层（总裁）报告行政工作。事实证明建立双重的报告关系是具有良好的公司治理环境的表现，高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下工作。绕开高级管理层的独立性表现往往使内部审计活动难以顺利的开展。现在我国审计理论界对内部审计独立性含义的界定以及对机构独立性理解上有“绝对独立”的倾向， 即将内部审计路于审计委员会的领导之下，直接向股东大会报告工作，或者由选举的独立

8、董事领导，在组织内形成“三足鼎立”o o 事实上这样做容易产生与组织高层的冲突，而无法取得董事会和高级管理层的信任和支持，内部审计部门无异于“无本之木”，很难继续生存。美国安然公司的倒闭就是很好的实证，1717 名董事会成员有 1515 名是独立董事，内部审计处于无序的领导状态，审计委员会有名无实，内部审计人员可以随意披露公司的财务状况从而引发信任危机造成无可挽回的局面。现代内部审计关注的是上下的沟通与协调，特别是无障碍式的直接交流， 以获取足够多的信息发挥内部审计确认与咨询职能来说是至关重要的。 近年来， 内部审计越来越注重与高级管理层的沟通和交流，新的理念表明，仅向董事会审计委员会报告工作

9、还是不够的，增强独立性还要体现高级管理层的“声音”，即要在组织内部建立双重的报告关系以增强独立性。增强内部审计组织独立性还表现在以下方面： 内部审计部门的设路经董事会、 审计委员会和高级管理层批准或认可， 并在内部审计章程中明确； 内部审计机构能够充分地、不受限制的与董事会、审计委员会、公司高级管理层进行沟通和交流； 内部审计机构负责人的任免， 理想的情况是董事会或审计委员会等其他治理机构一致同意后确定； 可以定期参加有关审计、 财务报告、 机构治理和控制系统的监督职责会议， 以获取更多公司治理方面的信息。 可见， 内部审计组织独立地位是公司董事会和其他治理机构共同赋予和保证的，是相对的独立，

10、是被信任和支持的独立，也只有这样的独立能够保证内部审计确认和咨询职能的客观性。3 3 . .熟练掌握专业技能和运用应有的职业审慎标准要求内部审计师必须具备不必寻求广泛的技术研究和帮助就能将审计标准和程序熟练地应用于特定审计工作的能力， 即内部审计师的专业技能。包括：熟练应用内部审计实务标准、程序和技术；了解组织所在的行业， 理解组织管理原则和改善财务和运营方面涉及的知识技能； 深入领会审计相关科目的知识和技术。 比如要充分了解关键信息技术风险和控制及获得可利用技术的审计方法， 以开展工作， 但不期望所有内部审计师均掌握专门从事信息技术审计所具备专门技能； 拥有良好的口头和书面表达能力以及人际交

11、流技能， 以便清楚有效地表达审计目的、审计评价工作、审计结论和建议，改善与被审计单位关系。内部审计师运用专业技能开展审计活动过程中，要始终保持应有的职业审慎，这是从事审计专业必备的工作态度。它表现在：一旦接受并实施一项内部审计委托业务，内部审计师在实施计划阶段就应考虑舞弊的存在可能性， 对通过分析性审计发现的意外结果要采取适当的步骤彻底调查，对舞弊发生的警惕性要贯穿审计活动的始终； 内部审计师应通过检查和评价内部控制系统的适当性和有效性， 来确定这些系统与组织中各部门内存在的潜在风险范围是否相适应， 能否阻止舞弊的发生； 内部审计师应充分考虑与潜在效益相对的确认、 咨询业务成本。 没有任何组织

12、能够完全回避舞弊风险， 建立控制制度只能将舞弊风险降低到一个合理的最低水平 O O 比如建立需要耗费巨资的控制程序仅仅是为了减少铅笔的丢失是不符合成本效益原则的； 内部审计师还应当充分考虑审计风险， 只从事他们具备必要的知识和经验的服务活动，收集记录足够以实现审计目标的信息， 在必要时应向专业人士寻求充分的建议和帮助；内部审计师必须通过持续的职业教育来增加专业技能储备，以提高履职水平。4 4 . .建立并维护涵盖内部审计活动所有方面的质量保证和改进程序质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和标准以及内部审计师是否遵守职业道德规范进行评估，还可以用来评价内部审计活动的效率和

13、效果，并识别改进的机会。 内部审计质量控制是组织全面质量管理的内在要求。 全面质量管理是根据组织向顾客提供最优产品或服务的原则制定的长期战略性措施，是通过诸如质量策划、质量控制、质量保证和质量改进而实施的全部管理活动。它的主要原则是追求顾客的完全满意、 不断地改进产品或服务的质量和全员全过程地参与。 内部审计的顾客就是它的服务对象。最优服务就是从质量即利润的观念出发， 以最小的成本帮助组织实现最大利润。 它要求内部审计师充分利用审计资源，以高质量的确认和咨询服务对组织内部控制的充分性和有效性进行评价，揭示风险因素，提出改进建议，跟踪纠正措施的落实，从而使组织得到最大利润，最终实现组织目标。三、

14、以风险为基础制定计划，确定内部审计活动的优先次序风险是指发生对组织目标的实现可能产生影响事件的不确定性。风险的衡量标准是后果与可能性， 即要考虑到风险暴露， 又要考虑发生的概率。这里的风险既包括正面的风险，即机会；也包括负面的风险，即可以货币化衡量的损失。 所谓风险导向内部审计是指要以风险为基础制定计划， 根据量化的分析水平排定审计项目优先次序， 确定与组织目标相一致内部审计活动重点。1 1 . .建立应用组织风险评估的框架制定内部审计计划时，应服从组织风险战略偏好，考虑应用成熟的 COSOrCOSOr 业风险管理整体框架（统称为八要素风险评估模型），它为内部审计职能提供了一整套系统的方式去评

15、估识别内外部风险因素， 以发现潜在审计区域和范围， 减少在实现组织目标过程中可能出现的负面影响。 尚未建立风险管理框架的组织， 内部审计师可以与高级管理层和董事会磋商后，自行作出风险判断。2 2 . .风险分析与评估内部审计师进行风险评估之前首先要根据组织战略计划进行内外环境的分析，包括对管理层和员工一“人”的因素分析活动，对组织内外可能发生与正在发生的情况作出判断，以充分挖掘和识别潜在的审计业务来源。 一旦审计业务来源确定， 就需要内部审计师运用专业的方法评估、 排序能够对组织目标产生影响的风险和机会，通常应对高风险的活动优先考虑实施审计。3 3 . .确保充分的审计资源履行审计职能内部审计

16、部门应当充分考虑履行确认与咨询服务职能所需要的人员、资金及开展工作所需要专业能力方面的需求。并根据业务复杂程度、 审计资源受到的限制及限制的影响程度等情况同董事会和高级管理层开展讨论， 获得对审计计划和审计资源要求的批准。 即便资源有限的情况下， 也不需要消减预定的程序， 内部审计师应当考虑相应的替代措施。在协调和广泛沟通基础上，有效的利用的审计资源，包括借助外部审计师的力量和成果、 与内外审计师充分协调等， 以获得最大审计覆盖面和最小程度的冗余。四、理解控制和选择可运用的内部控制框架控制的定义可以理解为：强制及施加强制的方法。管理者运用控制确保组织目得以实现，组织内每一种控制都在两个层次上发

17、挥作用，并分处于两个系统内。一种是被设计用来完成规定目标，即运营系统，比如产品生产目标。 另一种则是覆盖在运营系统之上， 用来确保运营系统目标得以实现的程序、规章和指令等，即为控制系统。而内部审计师的任务就是在风险评估的基础上， 评价和改善后一种系统的充分性和有效性。 但越来越广泛的审计使内部审计师过多的涉及自己不熟悉的领域（比如新的运营系统），他们不可能立即成为这许多方面的专家，而这些新领域却要求内部审计师必须做出客观和系统的评价。怎么办？解开这一难题的“钥匙”就是内部控制，内部审计师可能无法理解处于技术层面运营系统， 而且即使能够理解， 他们也难以客观的评价它（评价它就可能违职业审慎性要求

18、），但内部审计师可以通过专业的方法从控制角度去客观地评价其运营的效果， 以达到改善组织运营的目标。 因此理解和熟练运用内部控制手段对发挥确认和咨询职能作用至关重要。1 1 . .内部控制建立的基础内部控制是一个过程，是实现组织目标的手段，而不是结果本身。组织目标是组织宗旨决定的，它包括具体的目标和实现目标的效率。 制定和发布组织程序、 规章和指令都是为了防止那些可能影响组织目标有效率实现的风险因素造成的损失。而单纯的规章制度只是一种机械的控制措施， 建立良好内部控制环境必须考虑组织内各层次人员的影响， 无伦设计的多么完美， 也只能为组织目标的实现提供合理的保证，而不是绝对的保证。固有的局限性往

19、往让两个人的合谋， 也会导致控制失效， 管理层更是有逾越内部控制系统的能力。因此，内部控制必须建立在充分的沟通基础上，充分考虑人的因素，人是具有个人目标、个人感情的能动性个体，他们可以在很大程度上影响规章制度的实施效果和效率。 充分的沟通可以最大限度的减少利益驱使，消除误解，增加合作。2 2 . .内部控制的目标通常的情况，内部控制目标是保证实现以下组织目标：第一类是组织运行的效果与效率。 所谓效果与效率是指实现组织目标程度及一定的资源投入获得的产出量的高低， 反映企业业绩表现、 盈利性和资源保护等具体情况； 第二类是财务报告的可靠性和完整性。 是指综合反映组织经营效果和效率的文件，同时也是组

20、织风险控制的重要依据； 第三类是法律法规的遵循性。 法律法规的执行情况可以从多个方面反映组织风险，一方面违反法律法规， 可能带来较高的违法违规成本； 一方面违法的行为可能隐含着更严重的组织伤害， 比如转移组织资产和破坏组织信誉等。 第四类是资产的安全。 资产安全目标通常被看作第一类目标的具体反映。 前三类目标既相互独立又相互联系，分别代表了不同的需求。3 3 . .选择建立适当的评估内部控制框架对特定的组织而言， 必须建立与之相适应的内部控制系统 （框架） ，包括具体政策和程序， 这些具体政策和程序的融合， 就构成了组织内部控制要素， 内外环境的不同对组织的内部控制要素产生影响， 也制约了内部

21、控制的执行效果， 因此， 不同的组织要根据实际情况选择不同的内部控制框架。现国际通行的、有代表性的内部控制框架是 COSCECOSCE 要素控制模型。它包括控制环境、风险评估、控制活动、信息和沟通和监督五个既相互对立又相互联系的要素， 形成一个有机统一体， 对不断变化的环境自动作出反应。其中控制活动要素是与经营效果和效率直接相关，其他四项要素是对控制功能的补充。 五项要素代表着实现上述内部控制目标所需元素，所有要素都与每一类目标相联系。 为实现每一类目标都需要五项要素共同发挥作用， 以说明经营的内部控制是有效的。五、强调沟通的作用在公司治理结构中，内部审计既是管理控制的组成部分，又是评价其他控

22、制的手段。其基本目的是帮助组织完成目标，为此要进行与揭露风险相关的一系列“吹毛求疵”的检查活动， 容易造成与各管理层摩擦和冲突， 损害内部审计的独立性和客观性。 因此要解决冲突，寻求合作，内部审计必须建立良好的沟通机制，取得董事会与其他治理机构的理解和支持，以保证内部审计部门的地位和活动不受限制。沟通的结果不仅是改善与被审计单位的关系，更重要的是要解决组织面临的风险和问题。内部审计部门应该在多个方面为取得支持进行沟通。1 1 . .审计业务计划内部审计部门的年度工作业务计划报请高级管理层的批准，并向董事会备案。 报告包括充分的信息， 以便他们能够确定内部审计部门的目标和计划是否有助于实现组织目

23、标；审计业务计划在中期发生重要变化时， 也应该及时进行沟通； 在执行审计业务计划过程中，如果内部审计资源不足和审计范围，应及时向高级管理层和董事会报告， 报告内容包括资源不足和范围限制可能带来的后果。2 2 . .重大审计事项经内部审计部门的判断，可能对组织产生重大不利影响的情况，如违法、重大的浪费、无效的控制、利益冲突等，在向董事会报告之前应与高级管理层进行讨论， 将高级管理层对重大风险的态度 （包括接受和不接受风险）通知董事会。止匕外，董事会和高级管理层或其他方面发生变动，内部审计部门最好将原先报告的事项再次向董事会报告。3 3 . .重大风险领域管理层承担风险管理的职责，如果内部审计师判断管理层在重要的风险领域接受的风险水平与组织风险管理战略和政策不符， 或该水平不能被组织接受，应就此与高级管理层开展讨论。若仍然不能解决，应及时报告董事会解决。内部审计师负责评价管理层应对重大风险的行动