内部审计的转型：从会计事项合规检查到风险审计_内部审计论文

内部审计的转型：从会计事项的合规检查到基于风险的审计方法，本文主要内容关键词为：内部审计论文,事项论文,风险论文,会计论文,方法论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      菲尔·塔林现任华为内部审计卓越中心副总裁。他拥有经济学学士学位、内部审计和管理硕士学位以及风险管理确认专业资格（CRMA）等多项资格。他从事内部审计职业28年，其中23年均为经理级以上级别。此外，他还积极参与国际和地区层面的内部审计职业组织的相关事务，担任过IIA英国和爱尔兰分会2005～2006年度主席，欧洲内部审计师协会联盟2010～2011年度主席，IIA前全球主席。

      一、内部审计转型的背景

      无论商业组织还是公共部门的内部审计机构，通过改变审计方法都可以为业务部门和组织提供更好的增值服务。内部审计必须为组织增加价值吗？答案毋庸置疑。因为如果不能增加价值，内部审计就变成了成本，没有价值的成本就必须要剔除。所以内部审计需要认真思考是不是能够在成本的基础之上提供价值。内部审计现在已经高度专业化了，如果专业化不强的话就需要考虑改变。此外，内部审计工作是不是能够达到《国际内部审计专业实务框架》（IPPF）的要求并遵循准则呢？如果达不到或未遵循，内部审计就需要思考如何进行改变。

      内部审计环境的不断变化，要求内部审计必须从组织的普通一员转变为拥有全局眼光的战略家。在传统视角下，内部审计是相对孤立的职能部门，侧重于被动反应，事后审计居多，工作主要以财务为基础，关注面窄，基本上属于“看门狗”或者警察的角色。而在新兴视角下，内部审计要主动出击，主要开展事前审计，会涉及多个业务领域，关注整个组织的运营。内部审计更多的是一个战略高参，与业务部门相互合作提出解决方案，与各个部门融为一体，为组织提供意见和帮助。

      普华永道2014年内部审计职业状况调查结果表明，内部审计主要对内部控制的有效性提供确认服务。但这远远不够，内部审计要成为问题解决者，即对审计发现问题的根源进行分析，并更进一步，提出有意义的措施帮助业务部门改进。内部审计要提供风险确认服务，对组织风险提出深刻见解，积极主动地提供战略性建议。内部审计职能逐步发展，为企业提供更多的增值服务，最终成为值得组织信赖的高参，而这些建议和增值服务的价值远远超出了高效率、有成效地执行审计计划的价值。

      我以足球比赛为例，来说明内部审计转型的背景。

      足球教练经常提到，如果其他10位球员错过了救球机会，守门员也很难阻止足球入网。但这不能完全归咎于守门员，因为足球比赛是团队运动，并不是某个人能够决定结果的。一支球队的场上球员可以组成三道防线，分别是进攻球员、后卫和守门员。第一道防线，包括前锋、中场球员，如果这些球员失了球，那么这个球就会被对方夺走；第二道防线是后卫球员，如果后卫防守失败的话，最终只能靠第三道防线守门员来挽救球局。守门员在球场上一直在观察其他队员，他所在的位置可以看到防御缺口，他知道什么时候需要怎样的防守来挽救球局。足球比赛的防守与有效风险管理的三道防线有异曲同工之妙。如图1所示。

      有效风险管理的三道防线模型是国际内部审计师协会于2013年发布的。第一道防线包括经营管理和内部控制两个方面，其作用主要是保证内部控制的设置。但内部控制制度设置再好，也必须要人来遵守执行，否则，内部控制无从谈起。第二道防线包括财务控制、安全（网络安全和实务安全），检查（主要进行合规检查）、质量（主要设置质量标准，并进行考核监督和检查）、企业风险管理及道德和法律。第三道防线是内部审计。这三道防线相互关联，发挥作用。

      第一道防线的作用是控制业务运行中的风险。第二道防线的作用是组建经营团队，确保业务以成本效益的方式运行，保证高效率。此外，第二道防线的作用还在于监督第一道防线，确保其发挥作用。第三道防线的作用是进行审计和审计调查，独立评估风险和治理结果，出具审计结果。理清三道防线的关系，有助于正确把握内部审计的职能定位。

      内部审计在三道防线中都能发挥作用。首先，作为第三道防线，内部审计可以在第一道防线和第二道防线的基础上识别薄弱环节，改善全面调查的操作成效，可以开发内部审计方法，建立最佳实践。针对第二道防线，内部审计要做的事情是评估监督部门的内部控制，在充分了解新业务的基础上对其提出建议、开展评估，或者在开拓新的业务领域前，防患于未然，献计献策。针对第一道防线，内部审计要做的是开展相关的测试，对第一道防线的内部控制进行评估。内部审计部门要思考如何提供更好的解决方案，如何才能帮助整个企业改善内部控制。说到底，内部审计部门需要的是了解为什么会犯错误，怎样解决问题。

      二、内部审计转型的要素

      内部审计转型的要素，首先是过程，也就是方法论，其次是信息技术，主要是工具和技术，第三是人力，主要指员工专业胜任能力。这三者结合起来，才能够实现转型。

      （一）过程或者流程

      这一要素中，内部审计不仅局限于控制、指示、监管和规则导向，还要关注组织目标，只有充分了解组织的目标，才能提供有价值的建议，从而完成内部审计部门的工作目标。同时还要关注风险。关注风险并不容易，因为人们不了解到底什么是风险，组织究竟存在什么样的风险。人们往往认为风险是发生意外所产生的后果。其实恰恰相反，风险才是造成某种后果的原因，内部审计应该关注的是起因，而不是结果。此外，内部审计需要思考如何发挥咨询服务职能，提出有价值的建议。内部审计还需要关注效率、效果和效益，也就是说，要关注所有必要的规则和规定，如果这些规则和规定是无效的或者没有意义的，内部审计部门应该采取适当的措施。

      内部审计在转型过程中，需要引入基于风险的审计方法。

      

      第一步：了解商业目标。不同的组织有不同的业务目标，但是所有业务目标都殊途同归，最终均服务于组织目标的实现。比如，一个公司的目标是成为行业翘楚，他们的业务团队目标是将利润率提高20%，这样就能够帮助公司实现目标；销售人员的目标是将销售额提升10%，这样就能够促成业务团队目标的实现，进而促成公司目标的实现；结算员的目标就是及时向员工支付数额正确的工资，激励销售员实现目标，从而促进业务团队目标的实现，最终促进公司目标的实现。

      第二步：进行风险评估。风险本身并不是坏事，组织只有敢于承担风险才能实现发展。管理大师彼得·德鲁克说：“不冒险的人一般一年大概犯两次大错，而冒险的人一般也是一年大概犯两次大错。”也就是说冒不冒险与犯错数量并没有直接关系。但是，有些目标只有敢于承担风险，才能够实现。要从错误中学习，只有这样才能前进。风险是指有碍于实现目标的活动或行为，它是不可避免的，内部审计如何识别风险至关重要。评估风险并意味着逃避风险，而是要对风险进行管理。举例来说，你早上起床去上班，哪些风险会导致你不能按时到岗？第一个风险是你到了车里，但是车没油了；第二个风险是你开车上路了，但是堵车了；第三个风险是你工作的单位是需要打卡进入，但是你把卡忘在了家里。面对这些可能的风险应该如何应对呢？要评估我们的控制措施。首先要评估控制措施是否必要，撤销无效的内部控制措施。其次要评估控制措施是否行之有效，如果不是，要分析根本原因。最后要评估控制措施是否高效，控制的成本是否高于效益。要牢记，控制措施的存在并不意味着控制措施是必要的和有效的，所以，内部审计必须评估控制框架的效率和效果。

      第三步：提出建议。举例来说，针对采购的参与过程重申基本内部控制要求，以防止采购人员在工作过程中规避内部控制；建立并逐步改善频繁使用条目的基准价格——这并不是一条建议，它是在重申内部控制基本要求是什么，并不是提出改善内部控制环境的建议。关于这一点的相关建议应该是追溯采购工作规避现行控制措施的原因，以防重蹈覆辙。也就是说，内部审计要确定控制失败的根本原因，并就如何整改提出建议。好的内部审计建议的基本要素：一是内部审计要发现失效的控制措施，更要识别可能失效的控制措施，以规避风险。二是如果控制失败了，要找出失败的原因，提出改善建议。三是要倾听业务人员的意见。通常业务人员知道控制失败的原因，也知道如何进行改善，内部审计要与业务部门协调合作，提出更好的建议。四是要质疑控制的必要性。很多组织并不是没有控制，而是过度控制，这不只是一项重大风险，而且带来巨大的成本。五是内部审计要帮助业务人员着眼未来，推动整个组织的发展，而不是告诉他们已经知道的信息。

      第四步：成为组织值得信赖的高参。国际内部审计师协会秘书长兼总裁理查德·钱伯斯接触过一位企业业务部门的管理人员，他明确地说：“我并不需要有人进来告诉我，我这个部门有问题，我知道我这个部门有问题，我需要的是有人能告诉我该怎么去解决这些问题。”在内部审计转型过程中，需要做好职能定位，要保证内部审计工作能够为组织增加价值，提高组织运营效率。

      大多数管理者是希望内部审计充分发挥作用的。内部审计作为独立的部门，并不只是监管部门的要求，实际上，也是组织的内在需求。但如果内部审计无法真正为组织提供增值服务，内部审计部门就是可有可无的，内部审计服务将逐渐实行外包。因此，内部审计必须改善工作方法，提升业务能力，满足组织需求。

      （二）人力

      你有合适的员工吗？你的员工是否拥有合适的技能？你清楚岗位对技能的要求和员工已经掌握的技能吗？人力是内部审计转型的重要因素之一，在这个方面你需要考虑的事情包括：确定哪些是必需的核心胜任能力，在哪些领域审计师必须具备胜任能力；分析每位审计人员的胜任能力；设计轮岗制度，让员工能够有机会到不同的部门去工作。但是轮岗的时候要记住，轮岗并不仅仅意味着要求内部审计人员通过业务人员的角度去看待业务，而是要从整体上理解组织的业务，并且能够用全新的眼光去审视。同时，要确保弥补相关的技能缺口，鼓励内部审计人员获得专业资质。

      （三）信息技术

      信息技术，即IT技术，主要包含两个要素，一个是审计管理系统，一个是查询系统。信息技术能够大大提高审计效率，因此内部审计要认真研究审计管理系统和查询系统。

      审计管理系统可以更好地进行审计管理。市面上有各种审计管理软件产品，大多数审计管理系统不仅能记录时间，还能将管理控制点纳入模板及工作底稿中，记录审计工作的时间、时长，可以确保审计覆盖面，更重要的是提升了审计工作的效率和效果。

      查询系统是信息传输系统，主要功能是对数据进行分析，将庞大的数据总体用于测试，协助内部审计人员得出更有效的结果。查询系统一旦建立，应该提交管理层使用，让管理层作为第一道防线更好地进行控制活动，进行数据分析，展开持续审计，确保目标的实现。

      综上所述，内部审计转型过程中，要不断提高内部审计人员的职业嗅觉和知识水平，赋予资深内部审计人员更多的权力，增加合格的专业人员数量，使内部审计成为轮岗员工趋之若鹜的部门；采用计算机辅助审计技术，规范审计管理，提高工作效率；要不断改进方法，开展具有增值效应的工作，建立健全反舞弊机制和三道防线，提供更加优质的内部审计服务，为组织创造更大的价值。人力、过程、信息技术共同作用，推动内部审计实现从会计事项的合规检查到基于风险的审计方法的全面转型升级。

标签：内部审计论文;  内部控制论文;  审计方法论文;  三道防线论文;  会计与审计论文;  审计计划论文;  会计职业论文;  审计质量论文;  审计职业论文;  审计流程论文;  会计论文;  审计目标论文;  审计准则论文;