IIA内部审计定义浅探
国际内部审计师协会(IIA)2009年1月修订的《国际内部审计专业实务框架》将内部审计定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。2009年的内部审计定义,指明了国际内部审计业务发展的最新态势,也为我国内部审计的发展方向提供借鉴。因此,有必要对内部审计的最新定义做全面、详细的理解,对于了解国际内部审计发展的最新动态,抓住内部审计的未来发展机遇,保证内部审计人员具备面向未来的职业胜任能力和与时俱进的工作精神,推动我国内部审计的职业化并与国际接轨具有重要意义。
中国论文网 http://www.xzbu.com/3/view-1641194.htm
一、内部审计是组织治理的必备要素
《国际内部审计专业实务框架》(2009)词汇表中将治理定义为:指董事会实施的各种流程和框架的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。2002年7月23日,IIA在对美国国会的建议中指出:一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的,这四个主要条件是:董事会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下,这四个部分是有效治理赖以存在的基石。有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。内部审计的许多活动都可以整合到组织的治理结构中。风险评估与管理、控制确认和遵循工作构成内部审计活动的主要部分,这三个要素一起共同直接勾画出组织治理。
二、独立性与客观性是内部审计的职业需求
独立性是指避免客观性或形式上的客观受到威胁的各种情况。客观性是一种公正、不偏不倚的态度,可使内部审计师开展业务时确信其工作成果、不作任何重大的质量妥协。客观性要求内部审计师对于审计事项的判断不得屈服于他人。客观性和职业道德的三要素(正直、专业胜任能力和保持职业谨慎)是内部审计的增值性确认与咨询服务的共同的充要条件。当内部审计人员以公正的态度考察证据时,说明其是非常客观的;如果不具备正直的品质,那么在面对所获取的证据时,可以选择不恰当地行事;如果内部审计人员不具备专业胜任能力或未保持职业谨慎,可能会以不恰当的方式使用证据,这些都会削弱内部审计的客观性、独立性。在《独立性与客观性:面向内部审计人员的框架》(IIA,2001)中列举了威胁客观性的几种因素,如自我检查、社会压力、经济利益、私人关系、熟悉程度、文化、种族与性别歧视和认知偏差或以上几种威胁因素同时出现。同时也列举了一些能抵消潜在威胁客观性的缓解因素,如组织地位和政策、强有力的公司治理系统、激励、小组工作、监督或同业互查、时间流逝与环境变化、内部咨询等。无论确认与咨询服务是由组织内部的审计人员提供,还是将其外包给外部专家,独立性和客观性对于内部审计部门和内部审计人员都十分重要。
三、内部审计是确认服务与咨询服务的统一体
内部审计是一项旨在增加价值和改善组织运营的独立、客观的确认和咨询活动。《国际内部审计专业实务框架》(2009年)词汇表中将确认服务、咨询服务界定如下:确认服务是为独立评价组织的治理、风险管理和控制过程而对证据进行的客观检查,如财务、绩效、合规性、系统安全和尽职调查等;咨询服务是指咨询及相关的客户服务活动,其性质和范围需要与客户协商确定,目的是在内部审计师不承担管理职责的前提下,为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。
内部审计为组织提供六种基本类型的服务:财务审计、业绩审计、快速反应审计、评估服务、协调服务和补救服务。这六种基本类型的服务构成内部审计确认及咨询服务的统一体。在这个统一体中有三类基本的确认服务:财务审计、业绩审计和快速反应审计。财务审计包括遵循传统鉴证模式的项目(如对分部季度业绩报告的审计)、遵循性鉴证(如对差旅费等进行的审计)、与进行财务报表审计的外部审计人员的合作。业绩审计或业务审计代表着传统的内部审计,现行大多数内部审计部门在选择这种服务时,都是以既定审计资源下风险的最小化为目标,通过风险评估流程来实现。就审计委员会和高级管理层而言,这类项目提供了内部控制的确认,在许多组织中,还就内部控制的适当性发表意见,甚至进行等级评定;就被审计者(管理层)而言,提供了如何纠正错误、提高效率的一系列建议。快速反应审计通常来自高级管理层的特殊需求,这类服务的主要项目是舞弊调查,也包括评价和审慎性调查。
评估服务、协调服务和补救服务属于这个统一体中的咨询服务。评估服务是指审计人员对各种业务的过去、现在或未来的某个方面进行检查或评价,并以此提供信息帮助管理层作出决策,如在系统设计中对控制的评估;对特定的组织再造进行研究和评价,从而形成最经济实用、逻辑性最强的流程组合等业务。协调服务是指审计人员协助管理层检查组织业绩,以促进变革。内部审计在提供这类服务时,审计人员并不对组织业绩进行评价,而是引导管理人员发现组织的优势和改进的机会。这类项目包括控制自我评估、标杆管理、企业流程再造支持、协助制定业绩指标、战略规划支持等。补救服务在一定程度上存在于所有的内部审计活动中,在这类项目中,内部审计人员从客户利益出发,直接发挥预防或补救已知或疑似问题的作用。补救服务可能会涉及到诸如现金管理政策或组织行为守则的起草等。
为增加价值,内部审计为各类客户提供着一系列不同的服务。经营管理层关心内部审计对其经营效率和效果的评价, 更多地关注审计报告或审计过程中所提的建议,这一部分增值更多地与咨询服务相关。审计委员会(董事会)主要关注内部控制是否适当、经营提供的数据是否可靠、法律和法规是否得到遵循、资产是否安全,这一部分增值更多地与确认服务相关。内部审计实现增值,就必须要注意咨询服务与确认服务的平衡。因为提供的咨询服务可能会损害其独立客观地提供确认服务,这是内部审计实现其增值目标所必须要考虑的。
四、内部审计的最终目的是增加价值和改善组织运营
一个机构的设立,应该是为其所有者、其他利益关系方、顾客创造价值或谋取利益,否则就没有设立的必要。内部审计的设立与组织的目标是一致的,通过系统化、规范化的方法收集资料、认识评价风险的过程,对组织的经营活动进行深刻的理解,而这种理解可能会给组织带来诸多利益。通过内部审计活动,这些有价值的信息以书面报告的形式传达给经营管理人员,为组织增加价值和改善组织运营服务。
增加价值和改善组织运营的目标,使内部审计关注的范围提升至组织整体的层面,而不是针对个人或某一部门的活动。关注层次的提升,使内部审计从组织整体价值链来考虑问题和提出解决方案,从全局、长期着眼,促成各个部门各个方面的有效合作。其增值目标的定位将内部审计与组织的核心业务流程和关键成功因素联结起来,也在实质上扩展了内部审计的职能,并要求在内部审计人员的招募、培训、团队构建活动中充分考虑这方面的因素。
五、内部审计是系统化、规范化的过程
《国际内部审计专业实务框架》(2009)2200、2300和2400分别阐明了内部审计业务计划、业务实施和业务结果报告的最基本要求,为内部审计过程的系统化、规范化提供了一个基本框架。(1)2200-业务计划。“内部审计师开展每项业务都必须制定书面计划,其内容包括业务目标、范围、时间安排以及资源分配等。”内部审计师在确定一项确认业务目标时,应识别并初步评估与被检查活动相关的风险,并在业务目标中反映;应详尽考虑出现重大错误、舞弊、违规和其他风险的可能性。遏制舞弊的主要机制是内部控制,内审部门通过检查和评估被检查单位的内部控制及相应的潜在风险程度协助防止舞弊。确定咨询业务的目标必须在客户同意范围内,针对治理、风险管理和控制过程等制定。内部审计部门确定业务范围时,必须确保能够实现业务目标。确认项目的业务范围应包括相关的制度、记录、人员和实物财产。咨询项目的业务范围必须确保足以实现与客户协商确定的目标,如果任务范围不充分,内部审计师必须与客户协商决定是否继续此项业务。内审人员必须根据每项业务的性质、复杂程度、时间限制及可用资源的评估,确定实现业务目标所需要的人员配备。内审人员必须制定书面工作方案,以实现业务目标。确认项目的工作方案必须包括识别、分析、评估和记录信息的程序。工作方案的实施必须得到批准,实施后的任何调整都必须及时报批。咨询项目的工作方案随业务性质的变化而变化。(2)2300-业务的实施。“内部审计师必须识别、分析、评价并记录充分的信息,从而实现业务目标。”内部审计师必须确定信息是充分、可靠、相关和有用的,以实现业务目标。识别和检查信息的主要方法一是分析性程序, 另一个是数据挖掘,即“从大量明显随机的数据中识别模式”,调查者用该模式检验在某项活动中是否存在异常。内部审计师的结论和项目结果应建立在适当的分析和评价基础上。分析性程序与标杆法能为审计人员的分析工作提供帮助。内审人员应记录相关信息以支持结论和项目结果。首席审计执行官必须制定政策,以规范确认项目和咨询项目的信息记录的保管、接触、存档和对内外提供等。这些政策必须符合组织规定及相关法规或其他要求。首席审计执行官及有经验的内审人员应对其他缺乏经验的内审人员的工作进行复核。(3)2400-结果的报告。“内部审计师必须及时报告业务结果。”报告应符合特定的标准,包括业务目标、范围、适用的结论、建议和行动计划。报告必须准确、客观、清晰、简洁、富有建设性、完整和及时。如果最终报告存在重大错误或遗漏,首席审计执行官必须将更正后的信息传达给所有的原报告接收者。如果内审部门在某一特定业务中没有遵循《职业道德规范》、行为规则或标准,应在报告中披露未遵循的原因及影响。首席审计执行官必须向适当对象通报结果。内部审计过程的系统化规范化,体现着内部审计人员的专业素养,在保证内审人员的工作质量、提升内审人员在组织中的地位、受到组织关键利益相关者质疑时自我辩护等方面都具有重要的意义。
六、内部审计的新兴领域是风险评估与风险管理审计
在一个瞬息万变、全球性竞争、各种新组织形式及先进的信息技术不断涌现的环境中,对组织现行状况的计量和评价已显得不再重要,而对即将发生、甚至是较远未来发生的有关事项的信息及其计量变得更加重要。内部审计已从“数豆子”转变为关注某些威胁因素,这些因素会影响整个业务和组织目标的战略与过程。COSO委员会(2002)将企业风险管理定义为:受组织的董事会、管理层及其他员工影响,包括内部控制并应用于战略以及整个企业,用以合理保证以下目标实现的过程:经营的效率及效果;财务报告的可靠性;适当的法律法规的遵循。企业风险管理涵盖了传统的交易事项、资产及营运的内部控制。2004年9月COSO正式发布的企业风险管理框架包括八大要素:内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。内部审计在以下方面通过风险管理,促进组织有效治理:内部审计能协助识别风险因素,分析结果,确定风险管理和控制系统的轻重缓急;内部审计可以针对风险管理程序在实际中是否如预想的那样发挥作用提供确认;通过咨询服务,内部审计可以从改善风险管理和控制流程,进一步帮助管理层和董事会,向管理层和董事会提供关于风险管理和内部控制制度运行情况的分析和建议。风险管理审计作为一个新兴的审计领域,是内部审计的重要组成部分,对组织的风险管理活动进行独立的、综合的、建设性的、面向未来的检查和评价,目的是帮助管理当局改进决策,避免和降低风险, 增加价值和改善组织运营。
参考文献:
[1](美)贝利、格拉姆林、拉姆蒂,王光远译:《内部审计思想》,中国时代经济出版社2006年版。
[2]国际内部审计师协会,中国内部审计协会译著:《国际内部审计专业实务框架》,中国财政经济出版社2009年版。
(编辑 余俊娟)
