内部审计人员应坚持的10条核心原则

内部审计人员应坚持的10条核心原则“聪明人有计划；智者自有原则。”一拉赫利•法鲁克(RaheelFarooq)在21世纪，内部审计的世界可能令人振奋、让人满意，也可能使人伤透脑筋、充满刺激，有时甚至是让人感到非常可怕。当今组织所面临的挑战，使得提供独立确认以提高组织价值活动变得毫无意义。往事不堪回首，当我还是佐治亚州信托公司(TrustCompanyofGeorgia)的一名初级审计师的时候，我简直不敢想象我们这个行业在这40多年来会发生这么巨大的变化。今天的初级审计师利用新技术在几分钟内可以检查大量的数据，而这在40多年前需要几天甚至几周的时间。今天的内部审计人员，可以深入理解和评估组织文化，并处理有关数据伦理、数据隐私和数据保护等严肃问题。站在今天的时间节点上，展望未来的40年，等待着内部审计人员的，将会是哪些翻天覆地的变化呢，我无法预测，只能说变化一定会发生。让我们够驾驭未来变化的基础，是《国际内部审计专业实务框架》，特别是内部审计专业实务的核心原则。无论哪些变化会影响我们这个行业，我们都必须坚持这些原则。最近出版的HA实务指南《展示内部审计专业实务的核心原则》，为我们在职业生涯的各个方面拥抱和展示这些核心原则提供了很好的指导。此外，该指南还为首席审计执行官们(CAEs)针对其审计团队是否满足这些核心原则量身定做了驱动因素和关键指标。虽然我这篇博文无法更深更细地展示这一实务指南，但我尽可能地说明这些核心原则是如何驱动我们的工作的。本文介绍1-5条核心原则，后续文章中我还将介绍6-10条。《实务指南》指出，诚信是HA《职业道德规范》中其他原则的基础，我经常说，职业道德是伟大的内部审计师的重要标准。指南也很好地说明了这一点：“正直意味着做正确的事情，提供诚实、客观的确认和咨询服务，即使这样做会让人感到不舒服，但这样可能更容易避免问题。”毕竟，正如著名作家阿德赫什・辛格(AwdheshSingh)所说的，“原则的意义不在于平常时期，而在于困难时期。”核心原则2：彰显胜任能力和应有的职业审慎。内部审计在组织中的作用不断提升，工作范围已远远超出了最初的对财务报告的简单评估。但我们必须坚持这一原则，即要求我们以自己胜任的能力和应有的职业审慎来提供服务。有两种方法可以达成这个原则。简单的方法是把这看作是一项任务，即永远不要偏离我们所拥有的、能够胜任并有效提供服务所需的知识、技能和经验的领域。另一种方法是，我们不断地挑战自己，把这看作是我们扩展知识、技能和经验的授权，使我们的知识、技能和经验能与组织的需求相适应，同时确信自己在不具备专门知识的领域里有寻求建议和援助的能力。核心原则3：保持客观，并且免受不当影响(独立)。时刻提醒自己，客观性和独立性各有所指无法替代。实务指南提供了一个良好的定义：“客观性是一个不偏不倚的心态，要求内部审计师对审计事项做出判断时不屈从于其他因素，独立性是指内部审计部门公正地履行职责时免受任何威胁其履职能力的情况影响。”这一原则适用于实务工作者的许多日常工作，从我们在行政上向谁报告，再到我们如何披露重要事实，我们什么时候提交审计报告等。我们与董事会、审计委员会、首席执行官、首席财务官、首席信息官以及其他人员建立的关系也会影响我们提供独立确认的能力。CAE必须确保内部审计的工作是客观和独立的，包括内部审计所依赖的来自外部服务提供商的所有工作。核心原则4：适应组织的战略、目标和风险状况。这一原则对于显示内部审计如何为组织增加价值至关重要。很明显，内部审计的工作应该与对组织影响最大的风险保持一致。的确，提供“以风险为基础，提供客观的确认、建议和洞见”是HA内部审计使命的一部分。核心原则5：定位适当且资源配置充分。针对这一原则，内部审计往往只关注其中的一半。许多CAEs都擅长证明他们是否有足够的资源来执行审计计划。然而，他们往往接受报告方面的现状和可能限制内部审计职能有效性的其他因素。CAEs应定期与审计委员会或全体董事会一起审查内部审计章程，并确定是否需要更改审计部门的工作范围或报告路径，以执行组织的风险管理战略。正如我前面提到的，我将在我的下一篇博文中探索剩下的五个原则一一彰显质量和持续改进；有效沟通；提供以风险为基础的确认；富有见解、积极主动，并富有前瞻性；促进组织改善。与此同时，我热烈欢迎大家反复学习新出版的实务指南，并真诚地检查自己是如何在工作中展示这些基本信念和原则的。在我上一篇博文中，我探讨了HA最近发布的《展示内部审计专业实务的核心原则》中的“内部审计实务的核心原则”的前五条。在这篇博文中，我将研究剩下的五项原则。在介绍执行原则之前，我还要重申一下我的真诚信念：展示我们对核心原则的坚持，是我们专业走向成功未来的必由之路。《国际内部审计专业实务框架》中的其他部分（如《专业实务标准》等）为执业人员提供了具体的规则和方向，但核心原则是我们的基础。正如美国总统罗斯福曾经说过的，“规则不一定是神圣的，原则才是。”正是出于对原则的这种尊重，下面我谈谈我对第6至10条核心原则的看法。核心原则6：彰显质量和持续改进。这一核心原则表明，内部审计人员需要不断寻求提高自己的技能，提升自己为组织提供的服务水平。1300系列标准要求首席审计执行官(CAEs)建立和维护质量保证与改进程序(QAIP)。我特别强调QAIP标准中有关质量改进方面的要求，因为这为我们对这一原则的承诺提供了可衡量的证明。持续监督内部审计业绩、定期进行自我评估或由合格人士进行外部评估，以及每五年进行一次正式的外部质量评估，都是评估我们工作表现的选择。正如我在前一篇文章中提到的第二条核心原则”彰显胜任能力和应有的职业审慎”所指出的，我们应该挑战自我，扩展我们的知识、技能和经验，以适应我们组织的需求。我们不断地挑战自己，使我们的知识、技能和经验能与组织的需求相适应。核心原则7：有效沟通。《专业实务标准》中有很多与沟通有关的标准。比如1300系列，该系列要求CAEs将定期质量保证评估的结果传达给利益相关者。其他标准还要求CAEs在审计业务计划、现场实施、审计报告等方面进行沟通。当然，CAEs必须沟通对风险的接受的信息。实务指南指出，CAEs应“积极提升内部审计的使命、作用、价值和有效性。”我必须强调的是，沟通不是一个多项选择练习，而是一项经过多年磨练的技能。一个人可以向利益相关者报告信息、行动和建议，但有效的沟通是双向的。要进行有效的沟通，就必须交换知识、目标、期望、困难和共同目标。实现这种沟通需要与利益相关者之间建立起相互尊重和信任的关系。新的实务指南指出，这一核心原则体现了内部审计使命的本质，即“以风险为基础，提供客观的确认、建议和洞见，增强和保护组织价值。”从评估组织的治理、风险管理和控制过程，到评估文化环境和组织成熟度，几乎CAE角色的每个方面都表明了对这一核心原则的坚持。核心原则4：“适应组织的战略、目标和风险状况”一也有助于提供基于风险的确认。这个核心原则的最大挑战是，虽然内部审计部门和CAE的角色在各方面都显示对这一原则的遵循，但真正实现有效的基于风险的确认，仍然是一个重大的挑战，需要与我们的利益相关者合作，需要我们深刻理解组织的战略、文化、和目标。核心原则9：富有见解、积极主动，并具有前瞻性。我在博文中经常说，内部审计要从提供简单的后见之见，过渡到提供洞察力和远见之见。这一核心原则体现到了这一要求。有洞察力的内部审计部门，应该让利益相关者了解控制失败的影响和根本原因，应该将新出现的风险知识纳入组织的风险策略，并应用这些见解和其他见解来加强整个组织的风险管理。内部审计作为教育工作者的角色可以证明它是面向未来的。例如，内部审计可以提醒组织注意新兴的技术趋势，如5G,这将影响组织并帮助组织为其到来做好准备。核心原则10：促进组织改善。根据新的实务指南，“……内部审计工作的本质是评价并改善风险管理、控制和治理过程的效果。“这只是内部审计本质的一部分。核心原则要求的不仅仅是对组织改进的贡献。内部审计必须在促进组织改进方面发挥作用。这意味着，作为内部审计的领导者，既要展示内部审计部门的改进，又要提供必要的评价和洞见来促进整个组织的改进。对这10条核心原则的探索，发现许多原则之间存在