内部审计的定位

徐姗姗 高级顾问

李岳川 顾问

德勤广州事务所

企业风险管理服务

随着企业经营环境的迅速变化，管理层需要更及时、更相关的信息支持其决策。在这种趋势下，内部审计的工作范围从对财务事项的验证，逐步扩展到评估管理和决策的效果，从主要以事后审计为主，向前推进到事中监督、事前预防和对管理层提出改善治理的建议等咨询业务。但是与此同时，围绕独立性与增值性的争论也由此产生。企业需要以新的视角看待内审职能的定位以及内审业务中独立性与增值性的平衡问题。

19世纪末，为了更好地监督控制企业的经济活动，众多欧美企业开始设立内部审计机构，培训内审人才。20世纪至今，内部审计角色发生了巨大的变化。国际内部审计师协会（IIA）于1941年成立，随着企业活动的逐步复杂与深化，该机构成立后，曾多次修改、扩充内部审计师的内涵，这些内涵的扩展也体现在众多企业实践过程中，内部审计对于企业的重要性和社会地位都极快地提高。内部审计内涵的发展趋势如图12所示。

内部审计的独立性在整个企业活动中的重要性不言而喻。其要求内审部提供确认服务，即客观检查相关证据以向组织提供有关风险管理、内部控制和治理程序等方面的独立评价。内部审计机构与被审计对象应避免任何可能的潜在的利益冲突，不能负责被审计对象经营活动的决策与执行。但是，内部审计与外部审计的独立性不能相互比较，内部审计一方面应该尽量实现独立性，一方面也是组织的一部分。而正由于是组织的一部分，必然需要为组织增值做出贡献。

图12

内部审计的增值性凸显了管理层对内部审计职能的期望。美国著名的内部控制专家迈克尔?海默（Michael Hammer）教授曾指出：“内部审计机构应将自己视为公司的一种资源。在帮助管理当局更有效地达至预期控制目标的过程中发挥作用，内部审计师的使命将从简单的‘我们实施审计’向‘我们帮助创建一些程序，以期达到组织成功所需要的内部控制水平’的方向发展。”管理层期望内审可以承担一部分“内部咨询顾问”的功能，除了基础性的检查与评价工作外，内部审计能够与风险管理、内部控制、制度建设、标杆管理、企业流程再造支持、制定业绩指标和战略规划支持等工作深度融合，以相对独立的第三方视角审视、分析企业的系统化与规范化运作，并提出管理提升建议。因此，内部审计职能的增值性需求又与其相对独立性的地位密不可分。

因此，内部审计的独立和增值相互支持，相辅相成。但与此同时，独立与增值的要求又存在必然冲突。首先，审计对象对内审职能的认识存在误区。在未充分理解内审职能定位的情况下，企业其他职能部门或下属单位经常视内审人员为“检查者”或“监督员”，对内审工作存在防审、拒审、避审的逆反心理。因此，在调研过程中，内审人员可能难以了解到最真实的情况，或者问题产生的实质原因。若无法了解深层原因，内部审计只能停留在客观搜集证据、评价监督企业经济活动、提供鉴证服务的确认服务层面，难以达到改进组织的治理、风险管理和控制过程，提高组织的运作效率，引导管理人员发现组织改进机会之目的。其次，审计向咨询服务的扩张被认为可能会损害其作为治理程序有效性确认者的角色。“咨询”的角色要求内部审计在战略制度与执行、流程改进、风险评估、绩效指标完善等工作中发挥作用，这使得内审人员参与到“体系建设”过程中，而不仅仅是“对体系进行评价”；另外，内审人员与公司企业员工的深度合作也对其独立性产生了冲突。

如何平衡独立性与增值性，使内部审计职能最大限度满足管理层需求并发挥效用，是企业应该考究的议题。以下两个企业对内审功能定位清晰，偏重各有不同，但都达到了管理层的既定目标。

表3 内部审计定位偏向性差异案例对比

企业应该如以上两个例子，根据自身发展战略与部署，在一定程度上设置内部审计的偏向性，能够让内部审计充分发挥效用。如管控方式以本土化为主的公司集团，地区或者下属公司权力较大，内审的设置较为突出独立性，体现出审慎和专业；而管控本身以标准化为主的公司集团，地区或下属公司权力较小，内审的设置可偏向考虑增值性，突出管理改进重要性。

无论内部审计偏向性如何，两者性质的融合都将是未来内部审计发展的趋势，一方面保证客观地发现问题，另一方面保证所发现的问题能够系统化地解决。

（1）搭建独立、权威的内部审计组织架构，在充分保障独立性的基础上发挥增值效应。企业内部审计部门应直接由董事会或者审计委员会领导，以保障内部审计的独立性与权威性，且较高的职责定位能够保障增值建议的有力推进。在此基础上，企业需要明确和细化董事会、审计委员会与管理层各自对内部审计的范围与职能，内部审计部门需要深入企业各个业务流程，对管理和经营活动的合规性、有效性、合理性进行审查与评价。

（2）通过推进企业信息化进程，提升内部审计的独立性和增值性。企业的会计核算、财务管理及业务系统管理应逐步实现电子化、网络化，通过计算机信息技术和网络技术更好地支撑企业内部控制和风险管理体系，引入内部审计管理信息系统（IAMIS），提高信息审核的独立性与效率，增强信息审核的可验证性，同时将内部控制、风险控制嵌入信息系统，实现内部审计成果与业务控制流程的有机、高效结合，提升企业自动化内部控制与风险防控水平。

（3）通过独立的内部审计改善企业内部控制水平，实现企业价值增值。内部控制是组织内部约束机制的主要内容，它对于维护组织的生存、提高组织的活力、防范组织的内部风险、增加组织的价值，具有重要意义。内部审计应对企业的内部控制进行独立的测试，评价企业内部控制制度的健全性、遵循性和有效性，针对内部控制中的薄弱环节及时提出相应的改进建议，促使企业以合理的成本促进有效控制，达到改善企业内部经营状况的目的。

（4）通过独立的内部审计完善企业风险管理，实现企业价值增值。内部审计应从组织的全局角度，更清醒地识别和评估风险，针对企业风险控制业务部门提出的风险防控措施提出审查与评价建议，对组织所有经济业务进行审查、评价，在对组织面临的风险进行全面分析、评估的基础上，随时针对组织的实际需要和发生的问题开展独立的审计工作，及时发现和处理问题，防范和化解组织面临的风险，帮助企业改进风险管理与控制体系，从而实现企业增值。

（5）通过独立的内部审计完善企业治理，实现企业价值增值。内部审计人员应通过对企业的经营目标、决策程序、管理程序、投资过程及结果等的监督与评价，独立、客观地检查企业治理的过程是否科学、有效，结果是否达到预期的目标，还存在哪些不足的地方等，以推进企业经营管理，帮助企业完成各项治理目标，保证出资人尽可能多地获得投资收益。