怎样发挥内部审计确认和咨询的作用

　　2004年国际内部审计师协会(IIA) 根据风险为导向的内部审计业务的发展趋势重新修订了《国际内部审计专业实务标准》（以下简称《标准》），重新定义了内部审计活动，把内部审计定义为一种独立、客观的确认和咨询活动，旨在增加组织价值和改善组织的运营。现在和旭会计审计咨询专家为你详细介绍

　　一、区分确认和咨询业务的关系

　　确认业务是指内部审计师对程序、系统或其他常规事项进行客观评价，提出独立的意见和结论，主要包括：舞弊调查、风险和控制自我评价、财务、绩效、经营和合规性审计业务等。而咨询服务则是为审计客户提供服务的咨询或相关活动，其业务性质和范围根据客户的协议确定。确认与咨询业务并不是互相排斥，多数的审计服务既包含确认，也包含咨询。咨询业务丰富了内部审计活动的内容。咨询服务通常是由确认服务直接产生的（比如，业绩评估审计可能演变成咨询业务，即设计完善业绩水平的衡量），反之亦然。其区别在于是否存在除内部审计人员、被审计单位（客户）之外的第三方委托人。存在第三方委托人的就是确认业务。

　　开展咨询业务不能损害确认业务的独立性和客观性。现代内部审计由于同时提供确认和咨询两种服务职能，容易导致角色上的冲突，即发挥咨询职能时可能会影响或损害内审人员履行确认职能的独立性。管理层既是确认业务关系中的客户，又是咨询服务委托代理关系中的委托人。管理层身份的双重性，容易对内部审计活动构成利益冲突，对内部审计独立性和客观性成了一种潜在的威胁。但咨询业务并不意味着一定会损害或削弱确认业务的客观性，如果专业的内部审计师能够识别与先前的咨询业务相关的后续审计中的威胁客观性的潜在因素，能够考虑到缓解因素，并采取适当措施减少或化解剩余威胁客观性的因素，内部审计人员的客观性就能得以最大限度地保持或者至少不受到严重损害。

　　二、理解并遵从IIA的属性标准

　　IIA的《内部审计实务专业标准》包括属性标准和工作标准两个部分，其中属性标准主要说明内部审计部门的性质和对审计人员的要求，是开展审计工作的强制性环境基础，是发挥审计确认和咨询职能作用的根本保证。
　　1．明确内部审计的宗旨、权利和职责。

　　这里有三层含义：一是企业或组织内应建立起一套完备的内部审计章程来明确内部审计活动为什么存在（宗旨）、存在的保证（相应的权力）及做些什么（职责范围）的审计根本，审计章程必须经过能保证审计活动的独立性的权力机构批准，比如经过董事会或审计委员会的批准，理想的应该是经过董事会和高级管理层共同审核批准，以保证内部审计部门的地位和权力不受管理层政策变动的影响。越来越多的证据表明没有高级管理层的批准，内部审计的确认和咨询业务很难顺利开展。二是应使内部审计客户及组织内每个成员都了解内部审计的宗旨、权利和职责，这样有助于消除分歧、取得信任合作，并能够加强对内部审计工作的理解和监督，最大限度发挥内部审计的确认与咨询的功能。三是定期评价内部审计章程，以确定其是否能继续保证内部审计活动实现目标，并将评价结果通报高级管理层和董事会获得新的批准。

　　2．增强内部审计的独立性。

　　发挥确认和咨询作用首先是保证内部审计的独立性，独立性确认和咨询服务客观性的基础。根据IIA的解释独立性是指内部审计部门在组织中，不受管理层和其他方面干扰，独立地开展内部审计活动。并享有一定处置审计经费、人事及内部管理等方面相对独立的权力地位。其核心是组织地位上的独立。由此可见内部审计的独立性是相对的，因此正确解决内部审计的独立性问题，是发挥内部审计确认与咨询服务功能的合理保证，虽然各国对内部审计的独立性准确定义存有争议，但人们普遍认为独立性与确认或咨询服务所处的环境状态有关，向组织内何种领导层报告工作能够反映其独立性状态。目前，内部审计基本上有二种报告关系：一是所有的工作向董事会或者审计委员会报告；二是建立了双重报告关系，即向董事会审计委员会报告业务工作，向高级管理层（总裁）报告行政工作。事实证明建立双重的报告关系是具有良好的公司治理环境的表现，高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下工作。绕开高级管理层的独立性表现往往使内部审计活动难以顺利的开展。

　　3．熟练掌握专业技能和运用应有的职业审慎

　　《标准》要求内部审计师必须具备不必寻求广泛的技术研究和帮助就能将审计标准和程序熟练地应用于特定审计工作的能力，即内部审计师的专业技能。包括：熟练应用内部审计实务标准、程序和技术；了解组织所在的行业，理解组织管理原则和改善财务和运营方面涉及的知识技能；深入领会审计相关科目的知识和技术。比如要充分了解关键信息技术风险和控制及获得可利用技术的审计方法，以开展工作，但不期望所有内部审计师均掌握专门从事信息技术审计所具备专门技能；拥有良好的口头和书面表达能力以及人际交流技能，以便清楚有效地表达审计目的、审计评价工作、审计结论和建议，改善与被审计单位关系。

　　内部审计师运用专业技能开展审计活动过程中，要始终保持应有的职业审慎，这是从事审计专业必备的工作态度。它表现在：一旦接受并实施一项内部审计委托业务，内部审计师在实施计划阶段就应考虑舞弊的存在可能性，对通过分析性审计发现的意外结果要采取适当的步骤彻底调查，对舞弊发生的警惕性要贯穿审计活动的始终；内部审计师应通过检查和评价内部控制系统的适当性和有效性，来确定这些系统与组织中各部门内存在的潜在风险范围是否相适应，能否阻止舞弊的发生；内部审计师应充分考虑与潜在效益相对的确认、咨询业务成本。没有任何组织能够完全回避舞弊风险，建立控制制度只能将舞弊风险降低到一个合理的最低水平。

　　4．建立并维护涵盖内部审计活动所有方面的质量保证和改进程序

　　质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和《标准》以及内部审计师是否遵守《职业道德规范》进行评估，还可以用来评价内部审计活动的效率和效果，并识别改进的机会。内部审计质量控制是组织全面质量管理的内在要求。全面质量管理是根据组织向顾客提供最优产品或服务的原则制定的长期战略性措施，是通过诸如质量策划、质量控制、质量保证和质量改进而实施的全部管理活动。它的主要原则是追求顾客的完全满意、不断地改进产品或服务的质量和全员全过程地参与。内部审计的顾客就是它的服务对象。最优服务就是从质量即利润的观念出发，以最小的成本帮助组织实现最大利润。它要求内部审计师充分利用审计资源，以高质量的确认和咨询服务对组织内部控制的充分性和有效性进行评价，揭示风险因素，提出改进建议，跟踪纠正措施的落实，从而使组织得到最大利润，最终实现组织目标。

　　三、以风险为基础制定计划，确定内部审计活动的优先次序

　　风险是指发生对组织目标的实现可能产生影响事件的不确定性。风险的衡量标准是后果与可能性，即要考虑到风险暴露，又要考虑发生的概率。这里的风险既包括正面的风险，即机会；也包括负面的风险，即可以货币化衡量的损失。所谓风险导向内部审计是指要以风险为基础制定计划，根据量化的分析水平排定审计项目优先次序，确定与组织目标相一致内部审计活动重点。

　　1．建立应用组织风险评估的框架

　　制定内部审计计划时，应服从组织风险战略偏好，考虑应用成熟的COSO企业风险管理整体框架（统称为八要素风险评估模型），它为内部审计职能提供了一整套系统的方式去评估识别内外部风险因素，以发现潜在审计区域和范围，减少在实现组织目标过程中可能出现的负面影响。尚未建立风险管理框架的组织，内部审计师可以与高级管理层和董事会磋商后，自行作出风险判断。

　　2．风险分析与评估

　　内部审计师进行风险评估之前首先要根据组织战略计划进行内外环境的分析，包括对管理层和员工— “人”的因素分析活动，对组织内外可能发生与正在发生的情况作出判断，以充分挖掘和识别潜在的审计业务来源。一旦审计业务来源确定，就需要内部审计师运用专业的方法评估、排序能够对组织目标产生影响的风险和机会，通常应对高风险的活动优先考虑实施审计。

　　3．确保充分的审计资源履行审计职能

　　内部审计部门应当充分考虑履行确认与咨询服务职能所需要的人员、资金及开展工作所需要专业能力方面的需求。并根据业务复杂程度、审计资源受到的限制及限制的影响程度等情况同董事会和高级管理层开展讨论，获得对审计计划和审计资源要求的批准。即便资源有限的情况下，也不需要消减预定的程序，内部审计师应当考虑相应的替代措施。在协调和广泛沟通基础上，有效的利用的审计资源，包括借助外部审计师的力量和成果、与内外审计师充分协调等，以获得最大审计覆盖面和最小程度的冗余。

　　四、理解控制和选择可运用的内部控制框架

　　控制的定义可以理解为：强制及施加强制的方法。管理者运用控制确保组织目得以实现，组织内每一种控制都在两个层次上发挥作用，并分处于两个系统内。一种是被设计用来完成规定目标，即运营系统，比如产品生产目标。另一种则是覆盖在运营系统之上，用来确保运营系统目标得以实现的程序、规章和指令等，即为控制系统。而内部审计师的任务就是在风险评估的基础上，评价和改善后一种系统的充分性和有效性。但越来越广泛的审计使内部审计师过多的涉及自己不熟悉的领域（比如新的运营系统），他们不可能立即成为这许多方面的专家，而这些新领域却要求内部审计师必须做出客观和系统的评价。

　　解开这一难题的“钥匙”就是内部控制，内部审计师可能无法理解处于技术层面运营系统，而且即使能够理解，他们也难以客观的评价它（评价它就可能违职业审慎性要求），但内部审计师可以通过专业的方法从控制角度去客观地评价其运营的效果，以达到改善组织运营的目标。因此理解和熟练运用内部控制手段对发挥确认和咨询职能作用至关重要。

　　1．内部控制建立的基础

　　内部控制是一个过程，是实现组织目标的手段，而不是结果本身。组织目标是组织宗旨决定的，它包括具体的目标和实现目标的效率。制定和发布组织程序、规章和指令都是为了防止那些可能影响组织目标有效率实现的风险因素造成的损失。而单纯的规章制度只是一种机械的控制措施，建立良好内部控制环境必须考虑组织内各层次人员的影响，无伦设计的多么完美，也只能为组织目标的实现提供合理的保证，而不是绝对的保证。固有的局限性往往让两个人的合谋，也会导致控制失效，管理层更是有逾越内部控制系统的能力。因此，内部控制必须建立在充分的沟通基础上，充分考虑人的因素，人是具有个人目标、个人感情的能动性个体，他们可以在很大程度上影响规章制度的实施效果和效率。充分的沟通可以最大限度的减少利益驱使，消除误解，增加合作。

　　2．内部控制的目标

　　通常的情况，内部控制目标是保证实现以下组织目标：第一类是组织运行的效果与效率。所谓效果与效率是指实现组织目标程度及一定的资源投入获得的产出量的高低，反映企业业绩表现、盈利性和资源保护等具体情况；第二类是财务报告的可靠性和完整性。是指综合反映组织经营效果和效率的文件，同时也是组织风险控制的重要依据；第三类是法律法规的遵循性。法律法规的执行情况可以从多个方面反映组织风险，一方面违反法律法规，可能带来较高的违法违规成本；一方面违法的行为可能隐含着更严重的组织伤害，比如转移组织资产和破坏组织信誉等。第四类是资产的安全。资产安全目标通常被看作第一类目标的具体反映。前三类目标既相互独立又相互联系，分别代表了不同的需求。

　　3．选择建立适当的评估内部控制框架

　　对特定的组织而言，必须建立与之相适应的内部控制系统（框架），包括具体政策和程序，这些具体政策和程序的融合，就构成了组织内部控制要素，内外环境的不同对组织的内部控制要素产生影响，也制约了内部控制的执行效果，因此，不同的组织要根据实际情况选择不同的内部控制框架。

　　五、强调沟通的作用

　　在公司治理结构中，内部审计既是管理控制的组成部分，又是评价其他控制的手段。其基本目的是帮助组织完成目标，为此要进行与揭露风险相关的一系列“吹毛求疵”的检查活动，容易造成与各管理层摩擦和冲突，损害内部审计的独立性和客观性。因此要解决冲突，寻求合作，内部审计必须建立良好的沟通机制，取得董事会与其他治理机构的理解和支持，以保证内部审计部门的地位和活动不受限制。沟通的结果不仅是改善与被审计单位的关系，更重要的是要解决组织面临的风险和问题。内部审计部门应该在多个方面为取得支持进行沟通。

　　1．审计业务计划

　　内部审计部门的年度工作业务计划报请高级管理层的批准，并向董事会备案。报告包括充分的信息，以便他们能够确定内部审计部门的目标和计划是否有助于实现组织目标；审计业务计划在中期发生重要变化时，也应该及时进行沟通；在执行审计业务计划过程中，如果内部审计资源不足和审计范围，应及时向高级管理层和董事会报告，报告内容包括资源不足和范围限制可能带来的后果。

　　2．重大审计事项

　　经内部审计部门的判断，可能对组织产生重大不利影响的情况，如违法、重大的浪费、无效的控制、利益冲突等，在向董事会报告之前应与高级管理层进行讨论，将高级管理层对重大风险的态度（包括接受和不接受风险）通知董事会。此外，董事会和高级管理层或其他方面发生变动，内部审计部门最好将原先报告的事项再次向董事会报告。

　　3．重大风险领域

　　管理层承担风险管理的职责，如果内部审计师判断管理层在重要的风险领域接受的风险水平与组织风险管理战略和政策不符，或该水平不能被组织接受，应就此与高级管理层开展讨论。若仍然不能解决，应及时报告董事会解决。内部审计师负责评价管理层应对重大风险的行动。若高级管理层出现某些原因决定不采取纠正行动并承担后果，内部审计师应向董事会报告这些情况。

　　4．审计业务的初步沟通

　　内部审计计划确定后，内部审计师应采取多种方式与审计业务客户进行初步沟通。包括沟通审计计划、审计目标、审计方式和要求审计业务客户报送审计相关资料等。内部审计师应当重视与审计业务客户的首次面谈，首次会面除讨论审计目标及方式外，也为内部审计师更深入了解审计领域提供了机会，也可以讨论其他方面的工作，以获得足够多的信息。良好的初次沟通可以为接下来的其他审计业务沟通创造了更加开放的条件。

　　5．审计中期

　　在业务进行过程中，内部审计师内部应定期沟通业务进展情况，以确定是否需要更改业务计划，扩展业务程序、扩大审计范围。如果发生并为满足某些特殊业务需求的条件，内部审计师应就有关事项及时与审计业务客户或高级管理层进行沟通，目的是使发现的问题能够得到及时的解决，降低组织风险并提高审计效率。沟通中期重要审计发现的最好方式是编制中期报告提交高级管理层。

　　6．审计发现和建议

　　在完成所有的检查活动，内部审计师应当在适当的时间，就审计发现和建议与审计业务客户进行讨论，努力争取他们同意审计结果，必要的话还应争取审计业务客户同意拟采取的纠正措施。但应该注意的是：内部审计师提出的建议只是意见，不是命令，且不应该提出必须执行的唯一的行动建议。如果是审计业务客户提出的合理的纠正措施，应当在审计报告中说明，这样不仅可以维护管理人员的尊严，还能够促进建议的落实；内部审计师提出的建议还应当考虑成本效益原则，那些需要不计成本的执行，而那些又需要在成本和风险之间取得平衡。