德勤-追求卓越的内部审计.doc

德勤：追求卓越的内部审计目录信息来源于新西兰内部审计师协会前言机遇和挑战. .1风险转变和风险控制点.5审计委员会,主要行政官员以及内部审计师. 7远离“旁敲侧击”的监察人员. 10不同的达到目的的方法：风险控制和自我评估. .15你仅仅要关注的是你的目标是什么. 17寻找 审计人员 . 20自动控制. 23好的和最好的实践 .24内部审计面临的挑战. 26德勤的内部审计和保证习惯.28我推荐Aloysius和他领导的小组来做这项工作。在新西兰他们担当着为内部审计定义文本的职业。这次实时性交流提供给我们了确认内部审计正面临重大问题依据。我发现我本人理解并且赞同这些见解。这些文本清晰地识别着在控制之下变化发生的范例和风险管理、我们共同履行担保的方向以及不断的改进服务以求的生存发展的目标。不管是在微观角度还是宏观的角度反映，传统的内部审计方法已经被多数的内部审计人员用新的方法所取代。所有专家提供的公司业绩保证和改善都将得益于这份报告。不管读者是风险管理者，质量顾问，反欺诈专家、保证改革和管理专家都会看到自己所担当的角色，感受到自己和走在世纪前沿的内部审计师的协同作用。Alan McKenzie 新西兰内部审计协会会长前言现今内部审计人员的压力不仅是对继续变革功能的期待，更多的是内部审计工作实际的履行的方法。基本原则是强大的内部控制的重要性绝对不能忽视，但是经营者或主管很少把它提升到雷达预警那样的高度。更甚者，日益复杂的商业动态和飞速的变化增加了内部审计的风险, 同时投资者也往往低估了内部审计对公司良好的治理的重要贡献。依靠自己在内部审计、风险控制和服务保证的丰富经验,我们希望能为未来实现优秀的内部审计提供一些想法。例如：转变风险和风险控制的牵连是什么？内部审计师应该对什么负责？参加何种程度的风险管理和战略管理体系? 如何最有效地利用资源？这本出版物同时也记录了德勤近期对那些被新西兰内部审计师协会、管理者协会以及注册会计师协会所认可的内部审计师的调查结果。有超过260个新西兰首席内部审计师，审计委员会的主席及行政总裁提供了一系列有关内部审计事项的意见。我们感谢所有的受访者所作的贡献.对于当今的内部审计人员来说，提高他们管理外部风险的能力，鼓励他们更好的进行风险管理来增加其附加的价值有着重要的意义。虽然我们研究并不详尽,但我们认为,这将有助于进一步帮助我们交流内部审计面临的重大问题,并且对内部审计日常工作并提出意见，从而改造自己。我们希望能通过激励而改变,并给内部审计提供一个可以满怀信心迎接新世纪的挑战的跳板。机遇和挑战改善是改变;要达到完善往往是通过改变- Winston Churchill在当今，复杂的、瞬息万变的外部环境下存在着许多机会和风险。形成一个真正的数字化信息技术革命和经济持续发展的市场，新伙伴关系重新组合,创造虚拟企业结构,外包非核心业务流程,获得几乎无限的信息来源这些都是惊人的变革。我们注意到一个新的现实:风险是迅速,突然和无情的。风险的信息来源是较难预测的-这不仅增加了对管理的挑战,而且对企业审查风险管理和控制的方法提出新的要求。为了避免这样的冲击，董事和高级管理人员就需要依靠内部审计去发现风险管理控制是充分的还是不确定性的。这样一个巨大的责任,多年来致力于内部审计工作的人努力去应付这一挑战。当然，内部审计不会也不可能单独地担负起这样的责任。内部审计的作用只不过是一个公司总体治理结构架构的一个组成部分。内控文化始于高层的关注，而被企业战略所推动。企业风险的鉴定、风险管理模式和框架设计、技术管理和宣传模式都在内部控制文化中扮演着各种各样的角色。我们可以说,每个级别的员工都受着某一层次内控的影响。一直以来内部审计都是企业的重点,诉诸法律往往内控减弱时不得已而为之的事情。最近的一项研究证实, 内部审计正开始进行着根本转变并且这种变化势必产生更深远的变化。这是那些董事、主要行政官员、内部审计人员和所有参与负责风险管理和控制的人都值得去关注的。1 1、内部审计从来没有像这样强烈的处在即是内控监督者又是价值增值的企业顾问的状态。在另外的指标中，这些也被相互关联的健全制度和风险管理所清晰的阐述着。问题的核心是独立内部审计的作用怎样才能最有效的发挥。管理是出于对企业的忠诚度还是满足自己的期望还是这些获得投资者的明确支持，将取决于内部审计的价值。2、内部审计当前以及以后所要扮演角色是去评估内部控制的效果和提高内控的外部环境，以达到内部审计人员和风险投资者的期望。内部审计所面临的挑战是支撑内部控制环境的控制软处理。这些业务包括企业的风险控制能力、文化、道德规范、价值观、承诺和责任。3、通过有效的运作及监督来帮助管理层提高企业的执行力也是内部审计所要扮演的角色之一。由于风险,执行力和控制之间的关系，内部审计介入风险管理,并参与战略管理体制是不可避免的,同时审计师也需要明确自己的目的。4、同时对今天内部审计师来说(一说是密切地与传统审计扮演的角色联系的)风险管理系统的监测是最常见的风险,风险承担者越来越多的支持已经被许多审计人员实践。内部审计人员在企业起到了引导和调整风险管理以及制定制度、规范的作用。在这里，审计人员帮助管理者设想更好的风险责任和控制制度，通过沟通、教育和宣传降低风险，增强内部控制的管理。尽管如此，内部审计师决不是也不能把自己当成风险管理的所有者。5、内部审计师们好象被赋予了使企业所传递的和投资者期望之间的缺口达到更好的责任。通过更好的定义审计的概念，增强相互的沟通，更好地协调企业的战略和方向将增强执行力和其影响。审计风险实施计划的利用、适当的执行尺度和体制以及周期性的执行评估都将有助于卓越的完成目标。2 6、资源一直都是也将继续成为一项重大挑战,就象许多内部审计功能需要不断的改变核心能力和技能才能适应一样。现在以及将来，审计功能不仅仅需要具备审计知识的人才而且需要那些具有良好的相关商业知识，例如将测量和分析商业、咨询、调解、谈判、变革管理、项目管理以及最重要的风险管理融会贯通的人才。自我提升和专业发展的需要对内部审计人员的压力很大，内部审计人员需要探讨与项目管理、外部合作者等合作的机会,以获得最佳实现其目标的方法。7、为了满足不断变化、扩大和改善自身的管理，内部审计工作要继续投入新技术和提出新的解决办法,从而提高他们的业绩，同时必须保持与最佳的方法和最有效的成本管理同步。各方面对企业管理、风险控制的兴趣从未这样强烈,但在企业内部审计和担保上，负责人及有关人士仍需对其投入进行配比。不断变化的组织和控制点也在不断的转变着内部审计所担当的角色作用。内部审计要在新的外部环境下生存及壮大，那就需要重铸自己来提供更好的企业价值。那就需要扩大内部审计的关注点，发展内部审计的技能并且寻找新的工具去适应变化带来的新的挑战。世界一流的内部审计促进企业培训、企业风险管理和控制的发展。审计人员提供的商业信息及机会将给企业带来增值。取一个内部审计作用变动的实例：过去和现在 转变 将来集中控制 风险及集中控制 风险来源集中在财政上 增加运作 执行力及战略“硬”控制 “软”控制 关注“过去的” 实时的 增加事前预查和预防旁观者 参与者 不仅是参与者还是服务者审计知识 不仅要有相关的审计知识还要有企业管理知识独立的 客观的和提供企业价值的Aloysius Teh 德勤内部审计部合伙人 风险转变和风险控制点在新西兰乃至世界各地企业都不断的施加压力于他们的内部审计部门，以便它们更好、更快、更有保障的履行其职责. 每一个国家，每一个行业的企业都需要更多的帮助,以减轻他们对财务和运作风险的恐惧。管理层对内部审计的压力是可以理解的，但必须同时符合严格的风险管理和经营目标。管理者尽量降低成本,提高效率及执行力以达到价值的最大化,并传递给股东、客户及监管机构很高的期望值,但是,这一切必须在一个严密的审查监督环境中进行。实际情况是问题是经常发生并可带来灾难性后果。在这种情况发生时,他们将产生连锁反应,进而引起各方面的高度关注,内控保证的可靠性将受到质疑。传统的内部审计职能结合这些实际运作、全球动态以及当地外部环境、管理和监督的权限、开拓产品和技术, 使我们可以很快发现管理层与平均值之间的裂口。事实上成本的增长以及竞争的压力，企业被推动着执行彻底的转变 过去 转变 将来 功能架构 组织架构 跨功能架构中层管理 员工焦点 知识工作者 合并&收益 经济关系 战略联盟国有的 竞争化的 全球化的中央大型 科技趋势 分发、面向用户同时控制点也正在改写过去和现在 将来政策/规则驱动 不断改善 有限的员工培训 综合和集中的能力信息的限制 广泛的几乎开放的获取信息内部审计的建立 内部审计的建成审计人员是主要的控制分析家 各级工作人员、各主要职能是控制分析师这些变化对于已经存在或者尚需建立的内部审计功能既是机遇也是挑战。在许多公司机构中进行风险评估和控制监督时，内部审计或许是最重要的环节。由于风险和控制点的变化,内部审计工作也别无选择的要跟着变化,从依赖于层次、政策和检验程序功能转变到运用在实际存在的经营运作单位的功能。面对更大的风险和披露，公司必须重铸风险和控制点并且扩大内部控制的权力。在这种环境下，在处理进程和系统中建立内部控制将是更有效的。许多公司已经对风险控制点的改变做出了回应,而另外一些却仅仅停留在认识改变层面上。当你是被迫去改变时，那么你将会在成功的基准被不断提高了的环境下去完成。风险控制点的转变对内部审计人员来说既是一种挑战也是一种机会。抓住机遇，战胜挑战，并且更有效的控制将帮助实现企业目标。未来将还有许多事情需要我们去做，我们希望内部审计职业能看到今天的不足，开创一个更好的明天。审计委员会,主要执行者以及内部审计人员在今天这种市场环境下，审计委员会，内部审计和风险管理的职能对当今的内部审计回答是令人满意的。在一些企业风险管理部门和审计委员会是一个部门，反欺诈部门只是在其中一个体现。同时，至少四分之一的人答复没有审计委员会，内部审计以及风险管理职责部门，不到一半的有自我评估和自我复核过程的控制。所以，在内审、风险管理或一些自我评估和自我复核中，审计委员会通常应该是从公司组织架构中独立的一个，这样做无论如何都是明智的。总监们大都有相同的观点，但是会趋向于将重点放在下属对上级的服从管理上。相比较而言，私营企业和公共部门审计委员会一般会有更深远的影响，而国企的风险职能部门和内部审计往往只触及表面。在相关的内部审计中审计委员会的主要职责是：做出审计命令和方向，批准审计计划，确保内审和外审同等重要，讨论内审和外审发现的问题并监督以上事项的执行情况。尽管如此，很少有审计委员会主席和主要行政官员认为正式批准内部审计可接受风险计划是他们的职责，这反映了内审人员大多会因为资源或其它限制条件，而不能很清楚地杜绝那些未被覆盖到的审计风险。看来内部审计师们还应该和行政长官及审计委员会做更多的沟通，以提高提供的信息,鼓励经理人员监督审计建议的执行。向相关的内部审计的上级报告如想象中,大部分首席内部审计师只对行政长官和他们的审计委员会汇报。可是，有一个奇怪的比例是大约四分之一的内部审计师还对其他管理人员或金融业务主管做汇报。在这种情况下,审计委员会和行政长官必须满足内部审计的客观性和关注点的需求,使他们做的过程是畅通无阻的。令人关注的是,这些报告有时也关系到各级管理人员，在内部审计可以去掉两个或两个以上的各级的行政首长，这样就缺乏适当的企业战略问题暴露。在这种情况下，作为公司治理的一个关键因素的内部审计效率低下的风险很可能是高的,必须加以解决。远离 “旁敲侧击”的监察人员 内部审计人才被定义了有很多头衔。审计委员会和行政长官一般都期望内部审计是一个独立的分析家或企业道德的控制者。各级管理人员通过日常工作的需要为企业更长远的目标管理提供支持。可以说, 管理在某些方面应重新定义内部审计。作为回应,内部审计人员应努力实现其均衡反应，为积极管理的内部审计创造一个充满活力、紧张的外部环境。内部控制的首要点多数的首席内部审计师认为自己在内部控制系统中担当的独立评估者的角色，他们的审计委员会和行政官员也赞同他们所处的位置。一半的受访者认识到内部审计职能的一方面是企业风险的控制，同时内部咨询和运作效率作为主要的行为也值得关注的。将近四分之三的内部审计行为是保证活动的主导性,其余的时间为管理提供支持。半数受访者对目前和未来的内部审计的作用理解为协助维护资产，预防和发现错误及继续欺骗的行为。在所有受访者中有如下的看法没有很大的差异, 除了在内部审计运作的有效性和对公司的执行力上发挥的作用超过了行政官员的期望。在将来，内部审计的其他主要职能会突显出来：外部环境、特种经纪人、风险管理和质量体系审查。明确现在和未来的内部审计需要提供的保证是否正确,然后再进入其他引人注目的领域。风险管理所有受访者都赞同风险管理监测是最常见的作用, 与传统的内部审计担当的独立评价者的角色趋于一致。不过有三分之一受访者表示,他们正积极协调和加强风险管理措施,并制定政策和标准以及在特殊情况下的风险管理措施。另外一些则表示他们期望参与推动实施风险管理、控制风险的自我评估并突出风险管理的重要性。同时提倡审计委员会和行政官员发挥实际作用，内部审计的主要作用并不是管理风险,不过至少有一半的人认为这是内部审计工作。显然,内部审计已经对风险管理作出了很有价值的贡献, 审计是风险管理和内部控制的所有者，但必须清醒地认识如何处理可能发生的风险。制度的发展和执行内部审计在制度发展和执行中发挥的主要作用包括：质量担保（监督执行情况），内部控制方案的设计、数据的真实完整性和对控制的检查。差不多一半的内审受访者表示他们参与内部控制方案的设计，他们中的四分之一的人还参与了内部控制的执行。对较大的审计队伍,做到这些就足够了, 对于规模较小的团队,要选择保证质量的目标，然后确保检查到位。大约六分之一的内审受访者表示他们根本没有参与制度的发展。这种缺乏关注的焦点需要被重视，就象企业加快技术抗衡一样重要。担保已成为一门专业的学科，现在的担保和管理比以往任何时候都不同于审查和担保的评估。在个别的风险领域对运营和审查责任的分离是没有什么不同的。内部审计的建立和实施细则都具有潜在的危险。我们期望更多的公司都建立起一套更完整的体系以更好的保证内部审计的公平性。由于控制点的变化,这种形式的对话对于平衡将是至关重要的一步 审计委员会和行政官员要说的是什么风险和控制点的改变影响风险投资者对内部审计师的观念？是由标准还是风险承担者来衡量内部审计绩效，许多受访者认为,内部审计的一个重要作用就是提供建设性咨询业务。有的则认为,其主要职责是维护和有效控制 在今后两年的时间您认为内部审计应该在那些方面下更多的工夫?审计委员会和行政官员一般会回答说是审查、风险管理以及更广泛的控制点。“测量制度/对完成目标进程的报告” “对评估结果的战略部署”“战略审计”“风险管理：有效的体制、便利、分析、培训、政策”“发展自我控制或其他自我评估审查工具；培训资本投资；评价新的企业发展项目或投资”“生产力措施”“运营；效率和效益审计制度”“审计和独立审计项目的发起”“新工艺”“企业连续性计划(灾后复原) ”“遵守法律”“帮助改善责任制和提高管理质量”“实时审计基础”“所有内控环境的评估”“确保新的政策的有效的贯彻实施”“现有的控制制度及遵守”这些意见大致符合内部审计期望的重点，一些风险承担者重点突出的一些相关领域(不被内部审计所识别)是必须要审计参与战略管理体系的。在将来，倘若风险承担者确保公司的在计划、运作、衡量以及报道的关键体制是充分和完整的，这样可能是最令人满意的。内部审计人员如果太固守陈规那么就会象一艘即将沉没船只一样。-Mike Hammer,内部审计师达到目的不同的方法：风险控制和自我评估内部控制系统的含义是将扩大到包括所有风险管理体系而不仅仅“硬控制“，有效的控制是受企业文化的驱动的（态度承诺事项、道德规范等等），受广泛的方法的支持，同时运用于完成企业的近期和远期战略、企业的计划、风险管理、可持续性和质量计划执行、测量和学习架构的目标。-Mike Martel 内审董事有一种将内部审计师当作捕捞者的看法。传统上内部审计会在足够的空间放下他们的线，用各种频率的声音去吸引大海里的鱼,假如他们想做得更好,或者他们担心在某渔港鱼的质量,他们将放下更多的线，用更多的频率。目前正在发生的事情时,舍弃了线而转而用网。这样捕获了更多更大的鱼。他们可以亲眼目睹了鱼的特点是什么,这些鱼的问题来自那里。这就是控制风险和自我评估(CRSA), 越来越多的企业运用这种做法处理他们的风险和控制的要求。当用网捕鱼时，审计师们常常会得到更有用的信息达到事半功倍的效果。CRSA可以告诉你当你还不能承担风险或控制架构还没有完全建立的时候怎样去维持控制。当企业变的越来越复杂同时管理层次架构建立被延迟时，他们的相关员工被充分的调动做出更多的决策。当他们控制的范围扩大, 同样也会增加企业风险的暴露。针对这些问题，CRSA把责任镶入风险识别和控制事项中,并确定和设定相关管理的控制为控制。它为工作组提供了一个诊断工具，帮助他们完成其主要目标，识别各种风险，提高管理风险的运作计划并且为他们提供发展机会。在这种模式下，“审计员”设计控制系统、产生数据、监测数据以及保持对问题领域的警惕。内部审计把这些行为和谐的结合起来，最具代表性的就是CRSA。另一个类比可能是很有用的，在50和60年代，所有的计算机处理都是由一个足以占据一个屋子的每一个角落的主机来完成。各级管理人员提交他们要处理的给EDP部门的东西去打字、编辑、加工，然后数天或数周后被返回。现在，很多的信息处理都是由台式电脑来完成的，当人们想要信息的时候，就直接把它调到显示屏上就可以了。现在分布处理需要一种 分布式的审核 -这就是CRSA。CRSA或一些它的表现形式似乎在将来被包含在内部审计的职能。一点也不排除审计的需要，相反，CRSA允许审计人员关注审核超过对控制的设计和监测不断投入资源。如下，研究发现大约30%的审计人员习惯于风险控制和自我评估的一些形式。但是，对于CRSA的工作来说，同样需要新的以及不同的职业审计技能。这种新的模式为审计人员在指导、沟通、影响性及其他的人际关系技能方面提供了一个优先权。你仅仅要关注的是你的目标是什么风险承担者指出内部审计的职能是通过加强外部环境控制和特殊的控制来增加企业的价值，帮助管理人员更好的理解和控制风险（更好的风险管理），确保企业政策和程序的顺畅。这些理解跟内部审计受访者的回答基本是一致的。责任制度和执行措施内部审计认为他们大多负责是(按重要性来排序)：对管理层和董事突出风险，评定和报告内部控制的有效性，他们工作的效率和提高内部控制环境的质量。审计委员会的委员们对内部审计提高内部控制环境及内部审计对管理层和董事突出风险相对较少关心。对于那些仅仅具有影响作用的内部审计人员来说，对提高内部控制环境的质量负责是相当困难的。而奇怪的是，用于衡量内部审计工作最常见的性能指标往往显得更加行政化，比如审计完成百分比、审核预算、有益的建议书和及时的报告。在测量内部审计人员对什么负责中缺乏一致和执行的可靠性过程中存在固有的困难，这种情形使内部审计的设计是否符合自己的角色和责任对风险承担者在评估公司好坏的标准上显得非常的重要。一份相关的报告中指出有六分之一的内部审计人员不对他们所做的工作负责。内部审计师协会要求有一个确保内部审计工作向IIA标准靠拢的质量保证方案。使内部审计策略和企业策略一致许多首席内部审计人员指出他们有一个和公司战略想一致的战略审计计划，而六分之一的人公认他们的审计战略和企业的战略不相符。内部审计的关注点和企业迫切需要的一致才能确保内部审计对主要的管理事项能增加价值。要有效的去做这些，内部审计人员需要去商议将其列入战略规划周期，考虑内部和外部环境对企业的影响，使审计关注点相一致。风险评估大部分的内部审计人员开展并且对他们的风险评估做证明。尽管这样，三分之一的审计人员不对他们的审计过程保证，依赖于过去的经验和管理的要求以推动关注点。缺乏适当的风险评估降低了完整性，或影响了内部审计和企业战略相一致，适当的审计重点和审计活动的结果使其变的既有效率又有效益。审计风险可实施计划在不断修订年度内部审计计划的时候，内部审计人员可以控制他们自己的风险，风险承担者也期望通过审计风险可实施计划的改进而减少风险缺口。这个计划需要由审计委员会审核通过，需要列出那些排除在内部审计管辖范围之外的领域。仅仅五分之一的内部审计受访者表明他们采用审计风险可实施计划的一些形式，并且很少有审计委员会参与这样的批准，在改进内部审计风险可实施计划的时候更要强调的是期望的风险缺口最小化和支持资源去解决一些内部审计工作所面临的制约需求。审计风险因素内部审计在确定风险评估和工作重点时，应考虑以下主要的因素战略影响财政影响/交易量（实质性）业务影响/业务连续性控制的质量在管理上的信心复杂性遵守法律变化/运营的稳定性/职员经营关注政治风险/名誉公共风险（例如健康、安全）以往的审计经验从最近的审计以后共用多少时间寻找. 审计人员主要的内部审计人员依然面临着一个类似像三年前简单的挑战，当德勤对他们进行调查时，他们不期望有任何的改变-不充分的资源，缺乏能胜任的员工，突出体现的缺乏IT审计技能。这就是所处的外部环境, 尽管其承担的责任扩大但审计水平不太可能增长。用正确的技巧使用正确的人，运用最有效的工具以达到商定的目标。这是一个当今的首席内部审计人员在脑海中的决定。技术推动着内部审计在巨大的压力下去更快、更精确、更有成效地完成工作的改变。这就意味着审计人员既要有相关管理人员的技能同时也要具备在异常的速度进行处理的系统人员的技术知识。在这样一种环境下，主要的内部审计人员必须对那些对于企业不单靠现有的资源或向外应付渐渐增长的命令的信息来源作出个回答。当信息来源和内部审计的职能联系在一起的时候，信息来源就不单单是正确与否的判定了，企业在寻找完成关键任务的正确的信息时，在保证质量的前提下不运用传统功能也可以有多种选择。现在是问类似风险和控制点,管理层对成本和价值的期望这样问题的一个特别好的时候。当内部审计变的同企业运营越来越有联系时，将会变的更灵活、更深入。这是一个很苛刻的要求。这个比在固定的成本基础上补充以达到工作目的和新的技术革新更好，同时内部审计人员发现不管从企业的内部或外部去借鉴其他人和其他技术可以让自己可以做更多的事。企业资源的决策始于内部审计的远见，内部审计在其中扮演着一个支持企业目标的角色。同时也回答着下列的问题：20 企业需要内部审计怎样去推动？我们需要的是什么样的核心能力或技能？怎样运用公司的文化为我们服务？我们所要陈述的价值是什么？怎样才能更有效的利用我们所掌握的技术？根据我们的要求什么样的控制框架才是理想的？我们可以发展或利用的更有效的配合是什么？有些问题需要更深层次的探讨：假如我们把一笔投资在高水平的人们的身上，而这些人在真正有机会对内部审计做出贡献之前就离开了内部审计部门呢；假如我们投资在电脑审计技术上，在我们下次运用它的时候是不是会过时呢，遇到这样的情况的时候我们要做的是什么呢？寻找到正确的原始资料解决方案可以把职业的内部审计从他们关注点的核心能力中解放出来，同时审计职能也会变的更灵活、更深入、更具竞争性。电脑审计技术的发展对于所有标准的企业运用是意味深长的，提高内部审计的能力，覆盖并且提供职员去寻找问题发生的原因而不仅仅是停留在表面现象。-Bruce Philips,内部审计董事以下的曲线图反映了对审计技术方面的看法和在调查的受访者素质的关系，技术方面的技巧就象国库，IT以及非传统技能对于一些审计技能来说就象管理变革的最大挑战。对于将来，内部审计目前对于审核、风险控制和企业进程的力量和知识还不够充分，扩展关于企业以及其相关环境的知识，发展“软”技能是十分必要的，交流、项目管理、培训、经营业绩方面、战略管理都是十分重要的技能，这就意味我们需要更广泛的培训和发展。调查的受访者指出大多数的内部审计职能是内部管理是一种对外服务安排,以取得最佳的实践的补充，是广泛的深层次的技术层面的或商业层面的意见，是一种方法论。通过合作的方法，未来的内部审计人员将把工作做的更好更卓越。自动操作在新西兰Royal & Sun Alliance公司里，内部审计是管理层的一个不可或缺的部分，是领导阶层的智囊团。在最近的几年里，它已经逐步变成了成功管理的一个非常积极的部分，在集团里我们已经建立了一个自动化的控制工具CERT，即控制环境的调查工具。这在识别风险、发展内部控制以及对遵守监督是非常有价值的。-Alan Bradley Royal & Sun Alliance首席执行官技术可以被运用于支撑内部审计职能的执行。适当的运用专业的审计软件系统可以提高：审计的处理：运用工具去帮助进行审计风险评估、计划的发展、资源/预算模型、作业报告准备、信息管理，结果的合并和报告、信息共享、事项的跟踪和监督。审计关注点：利用提取和使用的工具对资料进行分析,以确定异常或例外，测试系统是否健全或有没有明显的入侵迹象。内部审计受访者普遍确定对专业的审计程序包利用程度低 ，大多数都使用微软公司的办公系列中的字处理软件、电子制表软件和一些系统基础软件。所有的软件例如ACL或在线的发展一般都支持取得资料、审查、分析这样的过程。流程包是具有既可以看又可以听的特征的。很少的内部审计部门在审计的专业技术上投资，这会反映在他们的价值（在经营的范围和限制）评估过程，对于另外一些缺乏认识的,只能等待机会或者花更多的时间去完成目标。近些年，当德勤对主要的金融机构内部审计人员使用相关的技术进行评定时，他们得出下面一些是最常用的软件包和电脑程序：内部审计使用的软件包：%病毒探测/预防软件 78.1%流程表软件（例如：ABC流程表，简易流程） 70.7%第四代语言程序（例如：Nomad数据库管理系统、FOCUS信息控制系统、SAS安全保证系统，Easytrieve系统） 68.3%特殊的审计语言程序（例如：Culprit、Focaudit、ACL、IDEA） 53.7%电脑安全软件 48.8%管理/风险分析软件（例如：ADM+、Audit Masterplan） 22.0%关于外部环境的软件（例如：审计管理者、Regscan 、Enflex） 2.4%好的和最好的实践内部审计人员通常都表示依靠OCSO，COCO，IIA标准，澳大利亚控制模式和其他的外部框架在继续监控执行情况，虽然似乎在内部审计人员之间养成最好的习惯是高层次的认识,大约只有四分之一实际上在这样做，我们询问了审计委员会主席和行政官员，他们描述的内部审计人员好的或最好的实践，归纳如下：“明确的定义谁是你的顾客：董事会还是首席执行官，高级的管理层还是一般的员工”“同其他公司一致的非正式的标准“部门承担的质量反馈“帮助高级管理层执行改变“提示采用最佳的实践，有力挑战政策事态“由ISO9002标准认定“成为项目的风险承担者“把风险管理结合进公司管理“审计与促进共同管理经营单位“在企业中执行的最佳做法“执行管理审查审计的有效性“充分的把风险基础审计方法和企业联系在一起“策略/计划“利用风险分析模式和全面的审计方法“战略风险管理/企业风险承担的评估“涉及管理问题和解决方案的工作“动态的审计计划，积极的管理角色，使风险评估简易化“及时简练的报告和定期的复核“对风险管理负责是非常清楚明白的。帮助管理层识别和减轻风险是内部审计人员的职能。企业的目标是共同的，只有一个企业会是在底线，企业不能再提供有些分散的观念,这会阻止他们对企业的增值。内部审计要对企业完成目标给予支持 ，这就意味着在细节上在独立的观念上要有更广泛的思维，就象内部审计人员转换他们的控制点到咨询角色一样。-Michael Cox 首席内部审计师根据德勤的经验，主要的内部审计职能是：集中在怎样帮助企业完成其战略目标以及分析成功的因素意识到外部环境的变化和新突现的各种潜在风险以及他们所产生的影响建立预防性的审核机制。利用企业风险管理的结果去指导达到各种审计承担的因素的平衡：控制、战略、运作、执行、财政提升风险/控制文化的水平和在企业里的能力处理信息完整性和安全性的技术革命的影响使管理人员参与进审计过程中利用适当的技术或程序去取得更好的控制保证。定期进行正式的绩效评估使内部审计人员个人的计划和职能的计划相一致。学到更多的企业的、管理的以及人际