国外内部审计发展趋势

-从国际视角看我国内部审计的发展方向秦荣生当前国际金融危机还在扩散和蔓延，对全球实体经济的冲击和造成的损失将会进一步扩大，对我国经济发展的影响也会更加明显。风险管理不力、缺乏透明度和无效的公司治理是造成这场金融危机的重要原因之一。内部审计作为受托责任的一种控制机制，以风险管理、控制和治理过程为作用点，以监督、评价和咨询为职能，促进内部控制、公司治理建设，确保内部控制、公司治理持续有效运行，这既是内部审计的职责，更是内部审计发展的方向。一、内部审计的定义及其发展公司内部审计的发展，是随着一国经济、文化、法律意识和公司制度的发展而发展的。内部审计的职责也不是一成不变的，是不断发展、变化的。1947年至1999年间，国际内部审计师协会（IIA）先后7次对内部审计的基本职责进行了新的定义，1集中反映了国际组织对内部审计理论内涵认识的不断深入，也反映了社会对内部审计职能和作用的不断深入挖掘。从表1中我们可以看出，监督和评价始终是内部审计的两大核心职责，但监督和评价的范围在不断拓展，层次在不断提升。内部审计在实践中迅速发展并不断适应组织的需要，逐渐站在管理层甚至整个组织的高度，以为组织增加价值为目的。到20世纪90年代早期，内部审计师已经从事包括财务检查与审计、经营审计、管理审计以及遵纪守法审计在内的综合性审计工作。随着组织内、外部环境的日益复杂和所面临风险的日益增长，传统上对内部审计的职能定位已不能满足组织治理、风险管理和内部控制的要求。1999年6月，国际内部审计师协会理事会通过了内部审计新定义和新的专业实务框架（PPF），基于风险管理的内部审计被定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加组织价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。1999年IIA对内部审计的定义具有深远的历史意义，不但拓展了内部审计的内涵，同时还明确了内部审计发挥职能的着力点，主要表现在：1.新增了咨询服务功能。强调要通过内部审计的咨询服务职能，“改善”风险管理、控制和治理过程，为组织提供增值服务。2.明确了内部审计、评价和咨询服务的着力点。抛弃了以前“经营业务”、“组织活动”等模糊的定义语言，明确了内部审计职能有效发挥的着力点是“风险管理、控制和治理”。3.升华了内部审计的目标。将内部审计目标与组织目标相统一，提出了内部审计“通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。二、内部审计发展的最新趋势从1999年IIA对内部审计的定义可见，国际内部审计呈现四大发展趋势：一是开拓风险管理新领域；二是深入介入内部控制；三是推动更有效的公司治理；四是更新内部审计师的职责。可以看出，在国际内部审计四大发展趋势中，前三大趋势重视的是加强公司的管理与规范建设；后一趋势对内部审计师的职责在改变，强调的是提高内部审计人员的整体素质以适应其职责的改变。1.内部审计开拓风险管理新领域近年来，很多内部审计组织开始介入风险管理，并将其作为内部审计的重要领域。内部审计之所以涉足风险管理领域，主要有以下几个原因：（1）内部审计顺应加强风险管理的要求随着社会经济的发展，特别是经济全球化及国际化程度的加深，公司的经营环境日趋复杂，经营风险也大为增加。公司在对外经营运作过程中，面临各种经营风险，包括因竞争对手的恶意竞争行为导致的风险、因合作伙伴履约资信问题导致的风险以及因经营环境变化导致的风险。而在内部的运营过程中，公司也面临运作效率低下所带来的损失风险等等。公司、行业之间的竞争日益加剧，如何防范风险、加强风险管理，已成为公司经营者面临的重要问题。因此，减少公司面临的风险是组织实现目标的关键，也是公司管理人员十分关心的问题。内部审计的目的在于增加组织的价值和改善组织的经营，内部审计人员是公司的管理咨询师，因此，内部审计部门和内部审计人员参与公司的风险管理也就顺理成章了。（2）内部审计组织对拓展新领域的探索内部审计组织为了自身的发展，为了在公司中担当更重要的角色和发挥更重要的作用，不断探索内部审计的新领域。公司高层管理人员对风险管理的空前重视，为内部审计发展提供了一个良好的机会。内部审计组织对风险管理的介入，使内部审计在公司中成为一个重要的角色，并将其作用推上一个新台阶。国际内部审计师协会推进内部审计由财务审计为主逐步向以风险管理审计为主转变，既是内部审计发展的结果，更是受托责任关系发展变化的体现。1999年国际内部审计师协会通过的内部审计新定义，对内部审计的定位为“评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。（3）内部审计发展和作用发挥的内在要求内部审计作为内部控制的重要组成部分，其在风险管理中发挥着不可替代的独特作用，主要有以下几个方面：内部审计人员从事具体的业务活动，独立于业务管理部门，这使得他们可以从全局出发，从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。内部审计人员通过对长期风险策略与各种决策的审计、调查，可以调控、指导公司的风险管理策略。内部审计部门独立于公司高级管理层，其风险评估的意见可以直接上报给董事会，其建议更易引起管理当局的重视。从内部审计发挥的上述职能看，内部审计已经参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系。内部审计人员是风险管理专家，通过对风险的把握和评价，实现对风险的控制。（4）内部审计受外部审计开展风险评估的影响近年来，注册会计师的业务领域不断扩展，在其所扩展的新的保证服务业务中就包括了风险评估，且是其主要业务之一。这不能不对内部审计界产生影响，因为，内部审计部门和内部审计人员在风险管理方面拥有注册会计师无可比拟的优势。比如：内部审计部门和内部审计人员对公司面临的风险更了解，对防范公司风险、实现公司目标有着更强烈的责任感。既然外部审计可以从事此项业务，内部审计就更可以从事这一工作。2.内部审计深入介入内部控制在20世纪80年代，内部控制是企业管理的重要内容，检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理工作，企业面临的风险普遍增大。主要原因是：企业实行多样化经营，进入了众多以前未涉及的领域；实施国际化发展战略，控制链大大延长；信息技术在经营管理中广泛应用导致计算机犯罪增加。在这种情况下，企业开始注重风险管理，内部审计的重点也从制度基础审计转向风险导向审计。（1）深入介入内部控制的原因萨班尼斯奥克斯莱法案第404条款2管理层对内部控制的评价：强调公司管理层对建立和维护内部控制系统及相应控制程序充分有效的责任；上市公司管理层在最近财务年度末应对内部控制系统及控制程序的有效性进行评价。国际内部审计深入介入内部控制这一领域，是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用，因此，公司内部控制的运行状况已不仅仅是公司内部关心的对象，而越来越受到外部相关人士的关注。对于404条款中要求的管理层对内部控制的评价，担任年度财务报告审计的会计师事务所应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则，上述评价过程不应当作为一项单独的业务。（2）内部控制自我评估内部控制自我评估是近年来西方国家内部控制系统评审的一种方法，是公司监督和评估内部控制的主要工具。它将运行和维持内部控制的主要责任赋予管理层，同时，使员工和内部审计师与管理人员合作评估控制程序的有效性，共同承担对内部控制评估的责任。这使以往由内部审计部门对控制的适当性及有效性进行独立验证，发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题，由计算机汇总并反馈问题；审计人员转变成外向型人才，广泛接触各部门人员，采用多种技术方法，促进经营管理目标的实现。简言之，这种方法不再以内审部门实施内部控制评价为主，而是以管理部门的自我评估为主。通过内部控制自我评估，使内部审计人员不再仅仅是“独立的问题发现者，而成为推动公司改革的使者”，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变，从事后发现内部控制薄弱环节转向事前防范，从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外，通过内部控制自我评估，可以发挥管理人员的积极性，使他们学到风险管理、控制的知识，熟悉本部门的控制过程，使风险更易于发现和监控，纠正措施更易于落实，业务目标的实现更有保证。内部审计人员广泛接触各部门人员，与各管理部门建立经营伙伴关系，有利于共同采取措施防止内部控制薄弱环节的产生。3.内部审计推动更有效的公司治理在现代市场经济条件下，公司治理结构完善与否决定了公司能否有序运转，公司效益和持续发展能力能否不断提高，进而关系到整个资本市场能否规范有效运行。这也是近年来公司治理越来越受到政府监管部门和社会各界广泛关注的原因。（1）公司治理的四大“基石”2002年7月23日，IIA在对美国国会的建议3中指出：一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的。这四个主要条件是：审计委员会、执行管理层、外部审计和内部审计。在司法机构和管理机构的监管下，这四个部分是有效治理赖以存在的基石。审计委员会确保有效的内部控制系统，确定并监控经营风险和绩效指标；执行管理层实施风险管理和内部控制，日常计划、组织安排；外部审计师应保持独立性，审计与咨询业务分开；内部审计师评价并改善风险管理、控制和治理过程的效果。由此可见，有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段，是公司治理过程中不可缺少的组成部分。（2）公司治理过程IIA对“治理过程”的定义是：“组织的投资人代表，如股东等所遵循的程序，旨在对管理层执行的风险和控制过程加以监督。”IIA标准2130规定：“内部审计活动应该评价并改进组织的治理过程，为组织的治理作贡献。公司治理有助于：制定、传达目标和价值；监控目标的实现情况；确保责任制的落实；维护价值。内部审计师应对经营和管理项目进行评价，以确保经营管理活动与组织的价值保持一致，应该为改进公司的治理过程提出建议，为公司治理做出应有的贡献。”在强化公司治理方面，国际内部审计已逐渐形成：强化报告关系、协助董事会完成其职责、评价整个组织的道德环境。（3）强化公司治理的重要举措在安然公司财务丑闻曝光之前，美国的公司治理结构大多为三位一体，即董事会、管理层和外部审计。但是，安然公司、世界通讯等公司的财务丑闻充分证明了三位一体的公司治理结构的主要缺陷在于：由管理层聘请外部审计，使会计师事务所自身的利益与公司管理层密切相关，丧失独立性。内部监督机制不健全，内部审计缺乏相对的独立性。在安然和世界通讯公司财务丑闻爆发之前，美国的相关法律并没有明确规定审计委员会和内部审计的职能。许多公司的内部审计机构向公司管理层报告工作，审计的内容、范围和结果报告受到管理层的限制，致使董事会无法全面了解公司经营管理和财务的真实状况。萨班尼斯奥克斯莱法案要求公司的审计委员会发挥更加积极的作用，监管会计、财务报告程序，领导内部审计和选择聘请外部审计机构。采用审计委员会这种内部监督机制，可以避免由管理层直接聘请会计师事务所和决定审计费用的现象，从而强化对公司管理层的监督功能。在审计委员会领导下的内部审计机构，受公司董事长的直接领导，地位比较超脱，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够的重视，进而提高内部审计的效率。4.内部审计人员职责的更新（1）内部审计人员从“幕后”逐渐走向“前台”萨班尼斯奥克斯莱法案第404条款管理层对内部控制的评价，要求管理层对本组织内部控制状况进行评价，担任年度财务报告审计的会计师事务所应当对其进行测试和评价，并出具内部控制评价报告。因为内部控制制度及其程序是管理部门建立的，其执行状况和有效性由管理部门自己评价有失公允，所以，在会计师事务所审计之前，内部审计人员要对本公司的内部控制状况进行评价，向高级管理层提交内部控制评价报告，高级管理层认可后才能向会计师事务所提交报告。这样一来，就把内部审计人员从后台推向了“前台”，本组织的内控状况不佳，内部审计人员也有不可推卸的责任。（2）未来内部审计人员的职责2007年IIA全球审计信息网络调查结果4表明，内部审计人员的职责应该是：调查人员（44.6%）；指导顾问（57.%）；咨询专家（45.6%）；管理层的有益助手（34.7%）；其他人士（32.1%）。未来的内部审计师必须具备以下素质：多面手。拥有大局观，对整个组织的价值具有前瞻性考虑。置身其中。要参与和了解公司各项业务，发现问题并及时提出解决措施，不搞秋后算账。精通技术。应用专业技术知识来预防和减少公司的风险，改进治理过程和提高效率。顾问。提供保证、培训和咨询服务。领导人。在风险控制和改进组织的效果方面发挥领导作用。三、我国公司内部审计的发展方向随着市场经济体制的建立和市场机制的不断完善，我国公司的内部审计有了很大发展，绝大多数公司设立了独立的内部审计机构。但总的来说，我国公司的内部审计工作滞后于公司治理，不能很好地满足公司发展的需要。我国公司内部审计的发展，应在借鉴国际内部审计经验的基础上，顺应国际内部审计的发展趋势。1.推进内部审计参与风险管理随着我国公司所面临风险的增加，风险管理已成为公司管理的核心，这就需要内部审计的大力协助。目前，我国公司的风险管理水平较低，除了银行、保险公司等金融机构外，其他公司很少专门建立风险管理流程。5我国内部审计工作相对国外而言也是发展滞后的。所以，我国公司急需树立风险意识，建立全面风险管理机制，内部审计也应顺应这一发展趋势，积极参与公司的风险管理。目前，我国内部审计参与风险管理主要有两个方面：协助管理层建立风险管理制度，对风险管理效果进行评价。一是内部审计应积极向管理层提出建立风险管理的相关建议。内部审计可以通过开展风险管理培训，培育企业风险管理文化，使风险意识贯穿企业的各个层面；可以利用其专业优势开发适合企业特点的自我评估工具，帮助管理层将生产经营与风险管理更好地结合；可以通过咨询服务的方式协助公司建立风险管理系统。内部审计师可以促进、协助风险管理系统的建立，但不负风险管理的责任。二是对于已经建立风险管理制度的公司，内部审计部门所参与的风险管理主要是在已有风险管理基础上的再监督，是对风险管理过程的效果进行评价并提出改进意见。内部审计应采取科学的标准评价公司以及同行业的发展情况和趋势，确定是否可能存在影响公司发展的风险。检查公司的经营战略，了解企业能接受的风险水平，与相关管理层讨论部门的目标、存在的风险以及管理层采取的降低风险和加强控制的活动，并评价其有效性。2.组建相对独立的内部审计机构为防范组织内各部门和员工经营管理不善而产生的欺诈行为，国外公司一般专门成立了独立于其他部门，仅仅对公司最高权力机构负责的内部审计机构。6如在许多西方大公司中，董事会是公司最高权力机构，董事会下设的审计委员会负责公司内部审计的领导、组织工作，并负责向董事会汇报公司的财务状况、经营成果和现金流量情况。公司内设立了若干业务审计及内部审计中心，分别负责公司各项业务的审计，以保证内部审计机构的独立性。近年来，西方大公司都把世界各地分支公司的内部审计部门独立出来，不再受各地分支公司管辖，而直接由总公司审计部门领导，此举的目的也在于加强公司内部审计机构的独立性。我国公司应按照独立性原则来进行内部审计机构的设计。具体实施时，可借鉴国外公司的审计委员会模式来进行。首先应在董事会下设立审计委员会，负责内部审计工作中重大政策的制定和审计工作的组织领导。其次，应在公司内部设立专门的内部审计监督部门，该部门应独立于其他业务部门，直接对董事会负责。再次，总公司的内部审计部门对各分支公司的内部审计部门应实行派驻制，各分支公司的内部审计部门受总公司内部审计部门的直接领导，其主要任务是推动公司内部控制体系的建设，督促各分支公司依法经营，加强风险防范和对公司治理进行检查和评价等。3.发挥内部审计在公司治理中的作用公司治理系统由内部监控机制和外部监控机制组成。7我国公司法确定“三会四权”制衡机制就是典型的内部监督机制。外部监控机制是指股东、资本市场、经理市场、产品市场、社会舆论和国家法律法规等外部力量对公司管理行为的监督。在一定情况下，内部监控机制是公司治理的主体。它一方面利用公司管理当局披露的会计信息对公司管理者进行约束和激励；另一方面因为内部监控机制的特殊地位，它有义务保证公司的会计系统和审计系统向股东会、董事会、监事会及外界披露系统、及时、准确的会计信息。从西方发达国家的成熟经验看，内部审计是公司治理结构的有机组成部分。内部审计的发展离不开公司治理的推动，公司治理的优化也离不开良好的内部审计作保障。良好的公司治理可以通过一系列有效运行的相互制约的制度安排，从根本上增强公司内部经营管理水平，从而提高公司治理的能力。因而，公司治理自然也就成为现代内部审计关注的新焦点。同时，内部审计独有的对经营管理的实时关注和评估对公司治理的健全也至关重要。我国的内部审计过去一般由总经理领导，现在逐渐转变为由董事会下的审计委员会领导，其不仅是为了确保实现公司内部良好的监督管理和层级间有效沟通的一项制度安排，而且内审部门还可以为外部审计师就有关公司内部控制和风险状况等一些问题提供必要的帮助。此外，内审部门还积极向公司外部利益相关者提供有关公司经营管理等一些信息，以增强他们对公司治理的信心，协调他们与公司管理当局的关系。可见，我国内部审计的发展、变化与公司治理的完善处于良好的互动循环中。4.促进内部控制体系的建设和完善美国萨班尼斯奥克斯莱法案要求内部审计深入介入内部控制的情形，在我国已经显现。我国财政部、审计署、证监会、银监会和保监会等五部门于2008年5月颁发了第一部企业内部控制基本规范，8以政府监管法规的形式发布实施，标志着我国企业内部控制体系建设走上了法制化、规范化的轨道。该规范要求内部审计对内部控制有效性进行监督与评价，这对推动我国内部审计转型与发展，具有里程碑的意义。内部审计既是公司内部控制体系的一部分，又是内部控制体系有效性的确认者。参与公司内部控制体系建设，确保公司内部控制持续有效运行，既是公司内部审计的法定职责，也是公司内部审计的发展机会。我国公司内部审计应以应对经济危机为契机，以贯彻实施企业内部控制基本规范为载体，自觉地将内部审计工作融入企业内部控制体系建设之中，充分发挥内部审计在风险控制中的职能作用。在当前和今后一个时期，公司内部审计应积极参与公司内部控制体系建设，促进公司内部控制体系逐步向全面风险管理体系升级和完善；以构建公司自我约束和自我发展机制为主线，积极开展内部控制有效性监督和评价，不断维持和强化内部控制的有效运行；以组织业务单位、职能部门开展内控自我评估为抓手，使内部控制成为公司全员的自觉行动，推动公司培育和普及内控文化基础建设；以开展公司信息化能力审计评价为手段，推动公司多层次的信息化系统建设，实现内部控制自动化；认真开展内部审计自身有效性评估，不断提高审计质量和水平，为公司内部控制有效性提供机制保障。5.采用现代科学的审计技术与方法随着审计对象、目标和内容的发展、变化，美、英等西方国家的内部审计人员越来越注重现代审计技术与方法的运用。目前，国外现代内部审计大多采取以风险导向的审计方法，紧紧围绕风险防范开展内部审计工作，并借助计算机技术来进行风险测定，对重要业务或内部控制系统存在较大缺陷的机构进行重点、深入的审计。同时，国外公司还非常注重内部审计方式的灵活化。如美国公司内部审计系统以开放式、能动式模式为发展方向，一般不实行突击检查，注重培养各级分子公司及业务部门遵守规章制度，发现风险隐患的主动性和积极性。这项措施有效地加强了业务部门的自我控制意识。我国的内部审计应采用风险导向的审计技术与方法，审计的范围应涵盖公司生产经营的各个环节。为了保证有限的审计资源得以有效利用，内部审计应根据公司内各领域发生风险的概率大小来确定审计对象、内容和时间。而且，内部审计部门还要对审计项目的风险水平与审计投入产出进行分析，力求在确保控制公司主要风险的前提下，实现内部审计的经济性。同时，我国内部审计应实施集事前、事中、事后审计为一体的全过程审计。在审计前，内部审计人员应通过对各领域进行风险分析，确定重点审计对象，然后对拟审计领域实施具体审计，找出存在问题的薄弱环节，根据审计结果提出改进意见，并将审计报告提交给董事会和被审计部门。6.提高内部审计人员的素质和技能西方公司普遍非常重视内部审计工作，内部审计人员人数一般都达到了公司员工总数的5。尤为重要的是，西方公司非常注重内部审计人员素质和技能的培养，并且将内部审计部门作为培养公司管理人才的基地。2007年公布的一份美国500强公司内部审计人员的抽样调查资料表明：在公司内部审计人员中，有56%的人获得了专业证书，如IIA、CPA等；90以上的人获得了大学以上的学历；每年计划交流1218的审计专业人员到公司其他重要的部门工作。此外，美国500强公司的内部审计人员每年都要接受较长时间的集中培训，都要完成40小时的后续教育。针对我国公司内部审计力量薄弱的实际情况，我们应采取有效的措施来提高内部审计人员的专业素质。具体可从以下几个方面来进行：加强职业道德教育，培养良好的内部审计氛围，切实提高内部审计人员的职业操守和诚信意识；将业务能力强、道德素质高的人才配备到内部审计部门工作，并通过提高内部审计人员待遇、公开招聘等灵活的用人机制将优秀人才吸引到内部审计部门来，充实审计力量；引入科学的激励约束机制，增强内部审计人员的使命感和责任感，发掘和培养内部审计人员的创新思维能力；加强内部审计人员的后续教育和培训，提高内部审计人员对专业及其相关知识的熟悉程度，全面提高内部审计人员的综合业务素质。国外内部审计发展趋势本篇文章来源于中大网校 二十世纪九十年代以后，为适应全球经济运行模式的变化，西方各国有关机构的内部审计也在积极寻求变革，其主要特征是从以检查、评估为主要内容的符合性审计向以增值和改革机构运行状况为主要内容的增值型审计转变。 （一）以改善和行动为主要内容 国外有关机构内部审计的指导思想和出发点已经发生了根本性的变化。这种变化体现在内部审计不再仅是“独立的问题发现者，而应成为推动改革的使者”，内部审计活动将改善机构运行的状况和推动改革的具体行动作为主要内容。如杜邦公司通过审计作用的四象限图，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极的“防范和解决方案”的内部审计活动转变，从事后发现内部控制薄弱环节转向事前的防范，从单纯强调内部控制转向积极关注利用各种方法来改善公司的运营业绩。内部审计也在追求回报，如朗讯科技公司在TA&T分离之前，内部审计师有75的时间用在符合性审计上。尽管符合性审计有一定的价值，但大部分工作对帮助机构经济有效地实现经营目标并无多大作用。所以他们不再将时间花在符合性审计上，将重点转向“强化程序从而使朗讯能够向客户提供服务并在市场上取得成功”的“经营程序审计”。 （二）和被审计单位建立经营伙伴关系 国外有关机构的内部审计正在用一种积极的态度来建立新的形象，和被审计单位建立起经营伙伴关系。审计部门员工认识到，要实现增值型审计的目的，必须提供专门的审计服务，成为所服务领域的专家，不是仅去发现由于经验不足所导致的控制薄弱环节，而是努力防止这种薄弱环节的产生。如朗讯科技公司利用审计部和公司保卫部合并的机会，改名为“经营保证和风险防范服务部”，从而消除了“审计”一词的痕迹，更加准确地反映了他们所从事业务的性质；他们制定的工作目标之一就是“100的经营伙伴把我们视为战略伙伴和所服务领域的课题专家”；他们的工作重点“经营程序审计”目标之一是对管理人员“提出程序改进建议”。 JCPenney公司内部审计部门对新上任的商店经理，在最初的90天里，经验丰富的审计师会上门与之讨论支持方案，并定下回访的时间，审计师会提供一份审计指南帮助经理有效地控制商店。 （三）采用双向参与的审计方式 在增值型审计中，一般都采用双向参与的审计方式。双向参与包括审计人员参与管理部门的有关活动，管理部门和审计人员共同制定审计计划；审计人员和管理人员实行轮换。如杜邦公司有20个战略经营机构，分布在全球六个地区，在每个地区，审计部门都有一名小组领导和一名审计师，成为战略经营机构网络成员，这些网络成员的主要任务是与所在地区的战备经营机构管理部门保持联系，这些审计师会被视作管理小组的组成部分，会被邀请参加关键员工会议和研讨会。朗讯科技公司要求审计师成为朗讯经营利润中心财务部门高层领导的各级成员，要求成为公司业务合并和重组小组的成员；朗讯科技公司还实行“客座审计师”的制度，在审计组中大约有2030的成员来自朗讯的其他部门。（四）改变轮流审计方式 在传统审计中，审计部门将大部分时间用于以15年为一个周期的、针对各种程序的符合性审计，增值型审计大大减少或干脆不做这类回报较低的重复性工作，审计师经常和高层管理人员讨论，确定何处需要审计，并根据具体任务的需要提供审计服务。确定审计领域有三种依据：一是以风险为基础，审计师与管理部门一起识别风险，并关注高风险领域；二是以程序为基础，审计的主要目的是改善程序，使程序更加经济和有效率；三是参与，审计师和管理部门一起制定审计计划，与管理部门一起提出改进建议。 （五）对内部控制以自我评价为主 内部控制评价仍然是增值型内部审计的重点之一，但其方式不再以审计部门的实施为主，而是以管理部门的自我评价为主。杜邦公司一方面对各管理层次的内部控制定期进行评价，同时对管理部门进行内部控制教育，并已经开发出了6种内部控制培训项目。朗讯科技公司的内部审计部门开发了一种基于COSO模式的内部控制自我评价工具，由管理部门进行自我评价，然后外部审计师通过对抽样选出的工厂进行突然访问，来测试自我评价程序。 （六）向管理部门营销审计业务 如果管理部门对内部审计缺乏信任，内部审计就不可能实现增值，为此，内部审计部门应向管理部门营销已经开发了审计产品，以取得管理部门的信任。杜邦公司有一个正式的营销方案，他们开发了8种审计产品，针对不同的部门确定营销目标和战略。JCPenney公司没有正式的营销方案，他们认为最佳的营销方式是建立非正式的关系和真实的业绩，但他们仍然利用各种会议发言去营销他们的审计项目，并在每个度假季节，审计师们都被鼓励去JCPenney百货商店工作两周，使审计师学会用一线的工作人员的眼光去看待经营，从而大大改变了人们对审计的看法。 （七）不拘泥形式的审计过程 这方面最具典型的是JCPenney公司，JCPenney公司的内部审计部门在提供增值服务方面已经比较成熟，并努力创造一种非正式的、不拘泥形式的审计部门形象。他们已经不再提前几个月就详细制定下一年度的工作计划，而是采用即时的方法制定工作计划；他们不使用计算机化的风险模型来制定制度计划，而是依据对自身业务的了解和与管理部门的密切联系来确定需要予以关注的领域，即从依赖事先确定的、量化的风险因素转向依赖职业判断和与管理部门的伙伴关系。他们在审计时间表上留出充分的时间，以满足客户提出的特殊服务要求。他们采用大量的非正式的方式和管理部门交流，他们注重问题的解决，甚至主张正式的审计报告将趋于淡出。后安然时代国际内部审计发展趋势综述2009-10-09 20:43 类型：网摘 来源：启文教育 点击：318 编辑：黄英后安然时代国际内部审计发展趋势综述 一、前言 2003年9月，国际内部审计师协会总部前执行副主席理查德钱伯斯先生访华，他在北京举办的国际内部审计高级研讨班演讲的专题之一。该框架规定了必不可少的企业风险管理的八个相关组成部分，讨论了关键的企业风险管理原则、概念、效果和局限性等内容，建议用一种企业风险管理的共同语言，为企业风险管理提供方向和指南。明确要求上市公司的年报应包括内部控制的评价部分。内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经认识到内部控制在组织目标实现过程中所起的关键作用，因此，企业内部控制的运行状况已不再是企业内部关心的对象，而越来越受到外部相关人士的关注。 2002年SOX法案”中关于加强内部控制的条款如下： 第103条款审计、质量控制和独立性准则及规定。要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。 第302条款公司的财务报告责任。要求建立、评价和报告关于财务报告披露的内部控制。 第404条款管理层对内部控制的评价。要求编制的年度报告应包括内部控制报告，该报告应： 1明确公司管理层建立和保持内部控制制度和财务报告程序充分有效的职责； 2包括上市公司在最近财政年度末对内部控制制度和财务报告程序有效性的评价。 为上市公司编制或发布审计报告的会计师事务所应按照要求，对管理层所作的内部控制评价进行测试和评价，并出具评价报告。 内部控制 COSO对内部控制提出的新概念是：“内部控制是受企业董事会、管理部门和其他职员的影响，旨在取得经营效果和效率；财务报告的可靠性；遵循适当的法规等目标；而提供合理保证的一种过程。” COSO内部控制的五要素是：控制环境、风险评估、控制活动、沟通、监控。 内部控制自我评估 内部控制自我评估是近年来比较流行的一种内部控制制度评审方法，是企业监督和评估内部控制的主要工具，它将运行和维持内部控制的主要责任赋予企业管理层，同时，使企业员工和内部审计师与管理人员合作评估控制程序有效性，共同承担对内部控制评估的责任。这使以往由内部审计机构对控制的适当性及有效性进行独立验证，发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题，由计算机汇总并反馈问题；审计人员转变成外向型人才，广泛接触各部门人员，采用多种技术方法，促进经营管理目标的实现。简言之，这种方法不再以内审机构实施内部控制评价为主，而是以管理部门的自我评估为主。 通过内部控制自我评估，内部审计人员不再仅仅是“独立的问题发现者，而成为推动公司改革的使者”，将以前消极的以“发现和评价”为主要内容的内部审计活动向积极“防范和解决问题”的方向转变，从事后发现内部控制薄弱环节转向事前防范；从单纯强调内部控制转向积极关注利用各种方法来改善公司的经营业绩。另外，通过内部控制自我评估，可以发挥管理人员的积极性，他们可以学到风险管理、控制的知识，熟悉本部门的控制过程，使风险更易于发现和监控，纠正措施更易于落实，业务目标的实现更有保证。内部审计人员广泛接触各部门人员，与各管理部门建立经营伙伴关系，有利于共同采取措施加强内部控制的薄弱环节，防范各种风险的产生。 四、发展趋势之二：推动更有效的公司治理 从历史的角度看，公司治理受到关注首先是在19291933年美国空前的经济危机时期。这次经济危机导致了美国股票市场的崩盘，因而也导致了完全放任的自由资本主义的结束，大量有关证券交易和监管证券市场的法规在美国相继出台。1933年，负责监管上市公司向股东报告的美国证券交易委员会成立，开辟了市场经济与政府管制相结合的“混合经济”新时代。 公司治理是现代公司制企业在决策、执行、激励和监督约束方面的一种制度或机制，其实质是确保经营者的行为符合股东和利益相关者的利益。在现代市场经济条件下，公司治理结构完善与否决定了公司能否有序运转，公司效益和持续发展能力能否不断提高，进而关系到整个资本市场能否规范有效运行，甚至关系到整个资本市场的成败。这也是这几年公司治理越来越受到政府监管部门和社会各界广泛关注的原因。 公司治理四大“基石” 公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。美国证券交易委员会的前任主席亚瑟列威特指明了有效的公司治理的重要性，他指出：公司治理是“有效的市场规则必不可少的过程，是公司的管理层、董事会及其财务报告制度之间的联结纽带”。他是从监管当局的立场关注财务报告制度。 狭义的公司治理是指，公司股东直接或间接对公司管理层进行监督和评价其表现行为；广义的公司治理则包括了公司的整个内部控制制度，它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标，以保障包括股东在内的利益相关者的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。 世界经济合作发展组织制定的2130规定：“内部审计活动应该评价公司治理过程并提出改进公司治理的恰当建议，以实现下列目标：在组织内部推广恰当的道德和价值观；保证有效的绩效管理和责任性；向组织内部有关部门有效传达风险和控制；有效协调董事会、外部审计师及管理层与内部审计师之间的工作和沟通。内部审计师应当对组织内与道德相关的目标、项目以及活动的设计、实施及效果进行评价。” IIA要求董事会对内部控制系统负责；德国在1998年出台了杂志在“安然事件的教训”一文中指出：“公共会计师不应当为他们的委托人做管理决策。相反，他们应当忠告有关会计问题，并反对管理部门的财务报告缺乏透明性，要提醒资本市场去注意公司活动的内幕”。 2内部审计的教训 在世通公司破产中查报告中，审查人员描述该公司的内部审计极为糟糕。该公司的内部审计机构成立于1993年，随着公司的发展，其职责、业务规模和范围得到扩张，公司聘用了专职的内部审计人员。在取得的成功经验之外，破产审查者发现的问题是： 内部审计机构缺乏独立性。内部审计对董事会和CFO有双重报告责任，但“从来不是真正意义上的独立部门”，内部审计机构与首席财务官的报告关系损害了审计的独立性。直到2002年，内部审计政策和程序都是有局限性的。 管理层对内部审计的实施、范围和结果报告施加了太多的影响。高级管理人员对内部审计的接受程度是有限的，对内部审计的支持也是不一致的。“必须有人说服，才能认识到内部审计的价值”。CEO和CFO给内部审计机构分派一些毫无审计价值的“特定项目”。在某一时期有6个月的时间，内部审计机构专职负责企业资源规划的执行项直到晚上才做审计工作。 局限于增值服务而将财务控制排除在外。内部审计得到管理层批准的工作事项是：重点放在收人最大化，减少成本和提高效率；专门关注经营审计；极少甚至从未进行与财务相关的审计。这是与致其无法在早期发现会计处理不当的主要原因。开于世通这样庞大复杂的公司，把内部审计工作只局限在经营审计方面显然是不恰当的。” 与外部审计师缺乏沟通。内部审计师与外部 审计师极少沟通，二者就象黑夜里行驶过的两艘轮船。内部审计师未与外部审计师就潜在的审计范围不全的差异进行沟通。 内部审计资源不足，缺乏预算资金。世通的内部审计规模只是同类公司的一半。在此情况下，审计委员会批准计划流于形式，对内部审计从事非审计项目一无所知在被告知审计师的平均工资只是同类公司内部审计师的一半时，也没有采取任何措施。 内部审计计划的制定有缺陷。由于多种原因，内部审计年度计划过程是低效不足的，没有采用风险评估的定量分析系数来衡量风险，内部审计师对会计电算化系统的接触也是有限的。 世通公司申报破产以来发生的显着变化如下： 1内部审计机构增加了1215名审计师； 2除继续从事经营审计外，还从事财务审计，强调财务控制的重要性； 3内部审计师与外部审计师密切协作； 4内部审计改善了风险评估方法，并加强与外部审计师、公司管理层、审计委员会和董事会的沟通，听取他们的意见。 此外，世通公司的内部审计机构充分认识到来自咨询和非审计服务的风险；将先进的审计技术结合到内部审计的范围和过程中；首席审计执行官具有多种职能，如首席风险官、首席道德官等；内部审计外包业务继续存在，但增加了“纯”内部审计服务内容，如财务审计、内部控制评价等。 未来的内部审计师VITAL 2003年IIA全球审计网络调查结果表明，认为内部审计人员的职责应该是：调查人员；指导顾问；咨询专家；管理层的有益助手；其他人士。未来的内部审计师必须具备以下素质： 1多面手：拥有大局观，对整个组织的价值具有前瞻性考虑。 2置身其中：要参与和了解公司各项业务，发现问题及时提出解决措施，不搞秋后算帐。 3精通技术：应用专业技术知识来预防和减少公司的风险，改进控制和治理过程的效果。 4顾问：提供确认、培训和咨询服务。 5领导人：在风险控制和改进公司治理的效果方面发挥领导作用。 内部审计在风险管理过程中的作用 风险管理是企业管理层的一项主要职责，管理层应当确保本企业有良好的风险管理过程，并使其发挥作用。 董事会和审计委员会负责监督、判断本企业是否有适当的风险管理过程以及是否充分、是否有效执行。 内部审计的职责是运用风险评估方法和控制措施，对风险管理过程的充分性和有效性进行检查和评价，提出改进意见，为管理层和审计委员会提供帮助。内审人员应负责定期评价风险暂理过程。 内部审计人员活动于本企业，不仅熟悉企业的运营状况、财务会计核算，而且了解企业的生产、经营和销售等活动，容易发现问题，并有能力参与评估企业存在的风险。因此，内部审计人员应树立风险：意识，防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点在推动企业建立风险管理的制度框架中发挥重要作用。西方内部审计十大发展趋势近年来，内部审计的发展和其作用的发挥在世界各国产生了广泛的影响得到了产业界、政府部门和学术界的充分肯定。然而，要使内部审计专业在新的世纪里更加受到重视。内部审计从业人员必须不断努力，对内部审计的未来发展趋势进行前瞻性的预测。目前，国际内部审计师协会已成立专门小组研究内部审计发展的未来趋势。从控制到风险在过去数十年中。控制导向审计是内部审计人员普遍使用的审计方法。它使审计人员容易将审计重点偏向于单位的内部控制系统，而忽视了单位本身的目标。在未检查组织目标和所处风险前直接评估控制程序，其结果意义不大，因为审计人员无法判断哪些是最重著的榜制。那些控制对于风险而言是最重要的，以及缺少哪些控制。这一审计模式已经带来许多问题，如过度控制情况日益严重。多余的控制阻碍了组织程序的正常运作。沟通变得更加困难。许多人员从事于附加价值的工作；固定的、过时的控制限制企业的发展，用以应付审计的无效率的控制不断增加；同时。由于控制的变更滞后于组织作业的快速改变。使对原有的、与组织目前所面临的风险根本无关的控制的审计变的更无意义。没有风险就没有控制，控制只为管理风险而存在。不分析风险而想有效的评价控制是不可能的。最新的控制模型如美国的COSO报告、力口拿大的COCO报告、英国的Cadbury报告及南非的 King报告，将风险评估引入了内部控制并将其列为控制的核，心，在风险管理上向前迈进了一步，不仅是管理上重要的里程，也是审计特别是内部审计发展的重要的里程碑。以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险，使审计人员必须根据风险评估的思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接起来。从风险到环境环境是风险的根源，控制系统就是针对它设计的。组织暴露于周边不断变化的条件和情况所导致的风险中。风险的来源一一对组织产生威胁的危险和创造潜在收益的机遇，必须成为风险分析的焦点。这些条件，情况：危险和机遇就是可能影响组织的环境。环境包括一组相关内容：（1）通用环境：国际的，经济的，法规的，政治的，环保的，知识的，科技的，社会的；（2）社会环境：社会的，私人的，非盈利性的，公共的，以及宗教的；（3）行业环境：各类不同的私人行业，公共行业，中介行业，以及这些行业的产品，流程，资源和其他市场要素；（4）组织环境：权力、规模、文化、历史、地理、社会学等子环境；（5）内部审计应用环境：经营，财务报告，遵循性，信息系统，质量，环保，安全。从回顾历史到着眼未来内部审计人员一般通过对历史的回顾和评价，提出改进以后工作绩效的建议。虽然历史交易和记录可以用以预测未来，内部审计评价和建议也可以对未来具有参考价值和建设性意义为导向。但是，在快速变迁的过程中，以史为鉴只是隔靴搔痒，甚至是南辕北辙，只有着眼于未来才能提高控制和绩效。内部审计人员必须变成本来情况的预期者一一即直接预测环境风险，判断组织是否采取了适当的预防和应对措施，是否具有足够的适应变化的能力，提出相应的改进建议。这对现有内部审计的开展方式提出了挑战，并对内部审计人员的胜任能力提出了更高的要求。从评价到预测评价一直是内部审计的基本功能，是内剖审计履行其职责和发挥作用的重要手段。这是以经验管理假设为基础的。在工业经济时代，影响企业经营的外部环境因素和内部因素基本上是稳定的，或虽有变化，但变化具有连续性的特征，从而基本可以从过去推断求来。但在知识经济正在到来的今天，经营管理的上述背景正在或应发生变化：影响企业经营的环境不仅日益复杂，而且愈来愈不稳定，其变化更加迅速和彻底；多样化的顾客需求和频繁变化的市场要求企业活动的内容与方式及时调整。在这样的背景中，未来的变化和现状截然不同，二者之间没有任何继承性，这些应对环境变化的适时调整是难以在过去累积的历史经验中找到现成答案的。批评过去没有任何价值，管理层面对着未来的挑战。因此“评价”一词应停止使用，而代以零起点的预测，内部审计必须更多地参与面向未来的规划与决策工作，对未来风险发生的可能性时时关注。从关注未来事项到多角度并行在审计过程中，内部审计人员对每一审计事项的现状进行了解，独立地分析，提出审计发现和审计建议。内部将注意力集中于当前事项是有用的，它能使审计人员从审计的视角，对组织的各个部分逐一地理解和思考。但是，这些项目之间互相割裂，缺乏全局观和整体感，而且审计人员站在局外人的立场所提出的建议可能脱离实际资源条件，或超出组织和相关责任人的能力范围。相比而言，多角度的关注更有意义，即在同一时间，同一地点，假设自己作为职能经理和员工，对此事项会作何反应，有哪些要求和顾虑。只有全面考虑各相关人员的局限和所受影响，内审人员才能提出切实可行的建议，促进