国际内部审计师协会与中国内部审计协会外部质量评估比较——以对两家中国公司内部审计质量评估为例,本文主要内容关键词为:中国论文,内部审计论文,质量论文,协会论文,为例论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
2011年日本奥林巴斯公司曝出财务丑闻、2010年锡业股份曝出财务造假丑闻、2009年印度萨蒂扬公司曝出巨额财务造假丑闻、2008年美国雷曼兄弟公司破产……层出不穷的受托责任失败丑闻持续不断地将内部审计质量问题推向风口浪尖:谁来审计内部审计师?显然,内部审计质量的高低不仅直接影响内部审计的地位和作用,更重要的是关系到受托经济责任履行的成败。鉴于此,国际内部审计师协会(the Institute of Internal Auditors,简称IIA)和中国内部审计协会(China Institute of Internal Audit,简称CIIA)近年来一直致力于开展内部审计质量评估活动。所谓内部审计质量评估,主要是指组织专业胜任能力的人员,参照相关标准,从内部审计章程、制度、人员、工作计划、结果报告、后续跟踪以及与其他部门的沟通等方面,对内部审计的各项工作进行独立的评估,找出存在的缺陷,并提出切实可行的改进建议,从而帮助内部审计更好地履行职责,改善组织的运营,为组织增加价值。换句话说,内部审计质量评估的实质就是解决谁来审计内部审计师的问题。
依据IIA的《质量评估手册》(Quality Assessment Manu-al)第6版第一章1310条款,内部审计质量评估包括内部评估和外部评估两种方式。前者是指由内部审计人员自己开展的一项内部审计评估工作;后者是指由组织外部合格的、独立的检查人员或检查小组开展的检查,至少每5年开展一次。外部评估又分为两种形式:一种是完全外部评估(External Quality Assessment,简称EQA)。即由胜任的专业人员组成一个合格的、独立的外部小组,在有经验的专业项目经理领导下对内部审计活动的质量展开评估;第二种是独立审定的自我评估(Self-Assessment with Independent Validation,简称SAIV)。即由合格的、独立的外部检查人员或检查小组,对内部审计部门开展的内部自我评估及报告进行独立的审定。比较而言,外部评估方式更具独立性和完整性,因此它比内部评估方式更能增强投资者对内部审计的信心。而据国际内部审计协会研究基金(The Institute of Internal Auditors Research Foundation,简称IIARF)(2007)的调查,IIA提供的外部评估服务占67%,即IIA是内部审计质量外部评估服务的最主要的提供者。随着内部审计质量评估于2006年引入内地,CIIA也开始提供外部评估服务。
经过半年多的准备工作,2007年6月11日至22日,IIA质量评估小组对中广核工程有限公司(以下简称中广核工程公司)进行质量评估,评估方式为独立的外部评估方式,即EQA。这也是IIA首次为中国企业内部审计质量提供独立的外部评估服务。2012年5月21日至25日,CIIA委托的质量评估小组对中铁大桥局集团有限公司(以下简称中铁大桥局集团)内部审计进行了独立的外部质量评估,即EQA。这是CIIA首次向企业提供独立的外部质量评估服务。尽管CIIA质量评估小组在评估过程中借鉴了IIA的成熟经验,在某些方面上做法类似,但在另外一些方面的做法则仍存在一些差别。通过比较,找出其异同之处,进而挖掘其背后的原因,显然是一件非常有意义的事情,这不仅有助于更深刻地理解和把握内部审计质量评估,更为重要的是有助于推进不断完善适应国情特色的内部审计质量评估。
二、比较
中广核工程公司和中铁大桥局集团都成立于2004年,前者是中国第一家以核电工程建设为主的专业化核电工程建设和管理公司,后者则是中国唯一一家集桥梁科学研究、工程设计、土建施工、装备研发四位于一体的大型工程公司。两家公司都实行董事会领导下的总经理负责制,公司审计部都是接受总经理部的行政领导,业务上独立工作并向高级管理层报告,对董事会负责,主要工作都是确认与咨询。因此,尽管两家公司所属行业不同,但业务性质、组织架构、审计职能大体类似,这增加了IIA和CIIA外部质量评估比较的可比性。通过比较分析两者的评估,发现两者的评估:同中有异、异中有同,具体而言,体现在如下三个方面:
(一)评估目的相似,但评估标准不同
首先,IIA对中广核工程公司和CIIA对中铁大桥局集团的评估目的都包含三个内容:通过评估确认公司内部审计工作遵循准则的情况、评估内部审计活动执行使命的效果以及识别机会以提升管理、工作流程和对公司的价值。依据IIA的《质量评估手册(第6版)》第二章《外部质量评估:一个聚焦业务的质量评估》的解释,外部质量评估有三个基本目标:一是评估内部审计活动在向董事会、高级管理层和其他利益相关者提供确认和咨询服务方面的效率和效果。二是对内部审计活动遵循标准的精神和意图给出一个评价。三是识别机会、提供改进建议、向首席审计执行官(Chief Audit Executive,简称CAE)和职员为改进他们的业绩和服务以及提升内部审计活动的形象和可信度提供忠告。此外,在第一章《内部审计背景的演变》的1321条款和1322条款则提到了在《关于质量保证和改进程序的报告》中应该披露关于遵循或不遵循标准方面的结论。而依据CIIA的《中国内部审计质量评估手册(试行)》第一部分《内部审计质量评估概述》对内部审计质量评估的解释,质量评估是由具备专业胜任能力的人员,以《准则》为标准,对组织的内部审计活动进行检查,评价内部审计的管理和实施情况是否遵循《准则》,同时针对存在的不足提出改进建议,帮助内部审计机构更好地履行职责,提高内部审计工作的质量,增加内部审计工作的有效性。从IIA和CIIA给出的评估报告看,两者的评估目的完全体现了评估手册的要求。显然,尽管论述的方式不同,但IIA和CIIA在内部审计质量评估上的目的本质上是相同的,但比较而言,IIA的论述更规范、更具体、更周详。
其次,两者都根据遵循程度将准则遵循划分为总体遵循(Generally Conforms,简称GC)、部分遵循(Partially Con-forms,简称PC)以及不遵循(Does Not Conform,简称DNC)三种情况。对这三种情况,IIA的解释是:GC是指内部审计工作符合IIA年颁布的《内部审计实务标准框架》(the Professional Practices Framework,简称PPF)或《国际内部审计实务标准框架》(the International Professional Practices Framework,简称IPPF)(以下简称《标准》)的章程、政策、程序,但仍存在需要改进的地方;PC是指内部审计活动虽然偏离了《标准》或《职业道德规范》但没有妨碍它以一种可接受的方式履行它的责任;DNC是指内部审计活动被认为存在重大不足以至于严重削弱或阻碍内部审计活动在其所有的或重要的责任领域充分发挥作用或在许多方面均没有满足《标准》和《职业道德规范》的要求。而CIIA则采取了要素打分累加的形式对这三种情况作了区分,依据《中国内部审计质量评估手册(试行)》第三部分《内部审计质量评估标准》给出的说明,总分在80~100分的属于“总体遵循”;总分在61~79的属于“部分遵循”;总分低于60分的属于“未遵循”。依据各自的评估方式,IIA对中广核工程公司的总体评价和属性标准的评价都为“PC”,而对工作标准和道德准则的评价都为“GC”,并且每一项具体标准都给出了评价;而CIIA对中铁大桥局集团具体总体给出的总分是92分,评价属于GC。职业道德规范的评价接近于3分,可归属于GC。
再次,IIA和CIIA所认定的遵循标准不同。IIA对中广核工程公司评估所确定的遵循准则是指IIA在2001年颁布的《内部审计实务标准框架》(PPF),而CIIA对中铁大桥局集团评估所指定的遵循准则是CIIA在2003年发布的《中国内部审计准则》及《内部审计人员职业道德规范》。但依据王光远和严晖(2009)的研究,两者有不少相似之处。第一,IPPF和《中国内部审计准则》在基本概念或原则内涵一致。如“独立性与客观性”、“系统化与规范化的方法”、“增加组织价值”等贯穿IPPF的基本概念在CIIA的内部审计准则体系中得到了很好的体现。又如,IIA提出的内部审计范围:“风险管理、控制与治理程序”与CIIA定义所表述的“内部控制与经营活动”虽然在字面上差别较大,但实质上由于CIIA对“控制”作出了较为广泛的定义,此定义与“IIA SIAS No.l——控制的概念和责任”是完全一致的,从控制的要素上涉及治理层面以及风险管理层面,由此出发的内部审计规范的业务范围和IIA并不会有太大差别。第二,IPPF结构与CIIA的准则体系虽有一定差别但二者涵盖的内容基本一致。IPPF由定义、职业道德规范、国际标准、立场公告、实务公告以及实务指南形成一个由抽象到具体、由概念到指南、由概括到详细的体系,而CIIA的内部审计准则体系遵循“基本准则—具体准则—实务指南”这一从抽象到具体的逻辑规则,这与IPPF形成的以定义贯穿的整体“框架”有着一定的区别;但从内容看,IPPF涉及的内容绝大部分在CIIA的准则体系也已规范到。第三,《中国内部审计准则》的制定程序也遵循了IIA推崇的“审慎性”原则。但是,相比于IPPF,《中国内部审计准则》也存在许多特色,如21号具体准则《内部审计的控制的自我评估法》、25号具体准则《经济性审计》、26号具体准则《效果性审计》、27号具体准则《效率性审计》都是IPPF所未涉足或浅尝辄止的;再如19号具体准则《重要性与审计风险》在IPPF中因困难而被回避。也就是说,在某些方面,《中国内部审计准则》已经超越了IPPF。
(二)评估过程和方法相似,但评估依据和范围却不同且评估内容差异较大
首先,IIA和CIIA的评估流程和方法基本相似。不管是IIA的《质量评估手册(第6版)》第二章《外部质量评估:一个聚焦业务的质量评估》提到的外部评估12点流程,还是CIIA的《中国内部审计质量评估手册(试行)》第二部分《内部审计质量评估流程》提出的7步评估流程,其所包含的内容基本相同,即不管是IIA还是CIIA进行质量评估,都要经过前期准备、现场实施和出具报告三个阶段。其中,前期准备阶段包含组建评估组、编制评估方案;现场实施阶段包含召开进点会、现场评估、汇总评估结果、召开出点会;出具报告阶段包括在现场评估结束后的一定时间内出具质量评估报告。从严忠新(2008)对中广核工程公司对IIA质量评估配合的介绍可知,IIA评估小组在前期准备阶段对中广核工程公司进行了初步调查,收集了相关的背景资料,并在此基础上编制了评估工作方案,确定了问卷调查的范围和方式,确定了访谈人员。现场评估阶段,IIA评估小组通过与有关人员面谈、访谈审计客户及审计人员、查阅资料、检查审计工作程序和审计报告及审计工作底稿,并结合前期调查问卷结果、对标情况、实地观察等,对公司内部审计工作质量给出初步结论,并提出质量评估初稿,征求中广核工程公司的意见。2007年6月21日,IIA质量评估小组向中广核工程公司提交了一份正式的质量评估结果报告。审阅CIIA对中铁大桥局集团出具的评估报告,发现两者的流程基本相似。此外,两者使用的方法基本相似,如访谈、查阅、问卷调查等。
其次,两者的评估依据和范围有所不同。IIA的评估依据是IIA2006年发布的《质量评估手册(第5版)》,CIIA的评估依据是CIIA2012年颁布的《内部审计质量评估办法(试行)》和《中国内部审计质量评估手册》。依据IIA的《质量评估手册(第6版)》的介绍,IIA的《质量评估手册》由5章组成:第一章《内部审计背景演进》、第二章《外部质量评估:一个聚焦业务的质量评估》、第三章《独立审定的自我评估》、第四章《内部质量评估》、第五章《质量评估工具介绍》。其中,第二章是专门讲外部质量评估的,包括外部质量评估流程概览、评估小组、自我评估、预备访问、审计客户和职员调查及总结、现场流程、访问选定的董事会成员、行政和运营管理人员及内部审计职员、评估内部审计活动、总结会议、报告、后续执行会议。CIIA颁布的《中国内部审计质量评估手册》由四部分组成:第一部分《内部审计质量评估概述》、第二部分《内部审计质量评估流程》、第三部分《内部审计质量评估标准》、第四部分《内部审计质量评估工具》。显然,CIIA的《质量评估手册》的体系安排不同于IIA的《质量评估手册》的体系安排,但是,审视具体内容,则CIIA的手册基本涵盖了IIA手册的内容。CIIA手册的一大特色是以《准则》为基础设计涵盖内部审计管理和实施全过程的标准体系,该标准体系将评估内容分为内部审计环境和内部审计业务两大类,两大类分别细化,形成包含19个评估要素、34个评估要点的评估体系。该体系将《准则》与内部审计工作联系起来,逐项梳理内部审计活动各关键环节的质量要求,为处于不同组织中的内部审计机构评价自身工作提供了一个统一的衡量尺度。另一大特色是,对每个评估要点给出了标准分值并给出了打分依据。这一做法使得评估结论更加直观。此外,CIIA对中铁大桥局集团的评估范围是其本级开展内部审计工作的相关情况,包括2011年度完成的内部审计项目的实施情况和内部审计相关的各类制度。比较而言,IIA对中广核工程公司的评估范围更广些,涉及的时间范围也更大。
再次,两者的评估内容也差异较大。IIA对中广核工程公司的评价内容基本上包括了PPF属性标准的16个条款和工作标准的30个条款以及IIA的《道德准则》(Code ofEthics)。其中,属性标准不包含:条款1010-在内部审计章程中确认“内部审计定义”、《职业道德规范》和《标准》和条款1111-与董事会的直接互动;工作标准的条款全部包括了。CIIA对中铁大桥局集团的评价内容包括内部审计环境和内部审计业务两个方面。其中,内部审计环境包括11个评估要素,内部审计业务包括8个要素,分别对应了《中国内部审计准则》的10个和9个具体准则,其中,内部审计环境还包括职业道德规范评估,而内部审计业务还包括了计算机辅助审计技术的应用,这一点不属于《中国内部审计准则》。相比于IIA基本完全对照PPF的评估,CIIA则缺失了对总共29个具体准则中的10个具体准则的评估,具体缺席评估的准则有:具体准则第5号——内部控制审计,具体准则第6号——舞弊的预防、检查与报告,具体准则第12号——遵循性审计,具体准则第14号——利用专家服务,具体准则第16号——风险管理审计,具体准则第21号——内部审计控制自我评估,具体准则第25号——经济性审计,具体准则第26号——效果性审计,具体准则第27号——效益性审计,具体准则第28号——信息系统审计。显然,IIA对中广核工程公司的评估相对更全面。
(三)报告内容大体相同,但报告详略点及结构不同
首先,IIA和CIIA给出的评估报告,从内容看大体相同。就IIA对中广核工程公司的评估报告而言,包括的内容有:执行摘要(委托人、被委托人、事件、质量评估的目的)、对公司遵循标准的观点(总体评价、三种评价内涵介绍)、范围和方法(查阅文献、调查总结、现场工作、会议、访谈)、观察及积极的属性、建议(分为针对管理层和内部审计活动两方面)、致谢、负责人签名、成员、观察与建议的详解、附件(符合《标准》的明细)等。审视CIIA给中铁大桥局集团出具的评估报告,具体的内容包括:委托人、被委托人、时间、评估目的、评估依据、评估范围、评估过程和方法(收集文献、问卷调查、查阅资料、访谈)、评估结论(含评估结果汇总表)、评估发现(分为管理层方面和内部审计工作方面两方面论述)、需关注事项及改进建议(分为管理层需关注的事项和内部审计机构需关注的事项)、致谢、评估组长签名、日期。比较两者的内容可以发现,IIA和CIIA的评估报告的内容大体相似,只有部分内容有所不同,如IIA的报告一般会解释GC、PC、DNC的含义,而这在CIIA出具的报告中没有出现;又如,IIA提到的“观察”在CIIA出现在“评估结论”中以“发现”的形式进行阐述。
其次,两者给出的评估报告繁简点不同。CIIA对现场评估阶段的介绍较为详细,叙述了问卷调查的特点及数量,而这在IIA的报告中一笔带过;但是,IIA报告对观察和建议则给予了相当篇幅的详细论述,对每一个观察到的问题和给出的建议都以简、繁两种形式在报告的前后两部分做描述,在报告的前半部分,对观察和建议以摘要的形式简述;而在后半部分,则对建议部分给出非常详细的论述,而且还给出了董事会对IIA提出建议的反馈。这一做法不仅有利于阅读者尽快获知结果,也有利于阅读者能够更深入地了解问题的实质及建议的内涵。CIIA对需关注的事项及改进建议则论述得相对薄弱,也没有反映董事会的响应。比如,IIA和CIIA都提出了两家公司的IT审计能力问题,从论述看,两家公司的IT审计均很薄弱。但是IIA对于这个问题的论述使用了大约780个字,详细阐述了公司在这个问题上的前因后果以及相关准则条款的要求。如进一步指出17位内部审计师没有一位有IT背景;又如,进一步指出公司ERM小组定义的高风险领域,仅有3个IT相关项目被列入;再如,引用了PPF的2110、PA2100-2、PA2100-3等。然后给出了190个字的建议,给出了周详的做法及具体的建议,如重新评价审计领域和风险领域、招聘IT审计经理等。而CIIA对这个问题的论述只使用了50个字,仅仅简单指出了问题,没有进一步深挖,随后给出的建议是:“推行计算机辅助审计的基础应用,进一步提高审计工作效率”。比较而言,这个建议显然有些笼统。
再次,两者出具的报告结构差异很大。IIA出具的评估报告结构分为执行摘要、观察与建议、附录三部分。其中,执行摘要又包含了委托人、被委托人、事件、质量评估的目的、对公司遵循标准的总体评价、三种评价内涵介绍、范围和方法、观察及积极的属性、建议(分为针对管理层和内部审计活动两方面)、致谢、负责人签名、成员。观察与建议则将执行摘要提到的几点建议详细展开,行文格式为:问题标题、问题解释、建议标题、具体建议、董事会响应标题、董事会响应具体阐释。而CIIA出具的评估报告结构要素包括:标题、收件人、引言段、评估依据和范围、评估过程和方法、评估结论、需关注事项及改进建议、致谢、评估组长签名、日期。比较两者的格式,IIA评估报告的执行摘要部分更类似于一个结构完整但内容紧凑简洁的报告,而第二部分观察与建议以及附件则是对报告的主要部分进行的详细阐释;CIIA出具的报告则类似于审计报告,符合中国人的习惯。比较而言,IIA的做法更科学:以简明扼要的形式陈述报告,以补充的方式做详细阐释。
三、启示
以上的比较显示,IIA和CIIA对内部审计的外部质量评估同中有异、异中有同,各有优缺点,但相较而言,IIA的做法更规范、更科学,值得CIIA进一步借鉴和学习。具体而言有如下两点:
(一)CIIA的质量评估手册应拓展评估内容
尽管CIIA对中铁大桥局集团的评估有其特定的情况,但就其评估的内容而言,尤其是与IIA对中广核工程公司的质量评估比较,《中国内部审计准则》许多具体内容没有给出评估,有10个具体准则和2个实务指南没有受到评估,而这并不是偶然的和特殊的,因为CIIA质量评估小组的评估依据《中国内部审计质量评估手册》就缺乏这些评估内容。既然《中国内部审计准则》有这些内容,为什么《中国内部审计质量评估手册》就缺乏这些东西?是不是这几个准则不好定量操作?如果是这样,是不是对这些准则的评估该借用IIA的做法进行定性评估呢?总之,这几个准则的评估应该引起关注,并加以解决。
(二)CIIA的质量评估报告的结构应该向IIA的做法靠拢
质量评估的最终目的就是找出问题,解决问题,在这一点上,IIA提供的评估报告完全体现了这一主题,而且繁简有序。以简洁凝练的文句写出报告,以补充的形式给出问题的详细陈述和解决办法,既有利于阅读,又有利于解决问题。反观CIIA给出的评估报告,没有突出主题,对问题及问题解决办法给出的描述太过简单,这使得阅读者不能尽知问题的前因后果,也使得改进操作缺乏指导性,而且将评估结论汇总表置于报告中间,使得报告显得拖沓。因此,CIIA应该学习IIA的做法,将报告分为:摘要报告、问题与建议、附件三部分。
当然,CIIA的质量评估做法也有优点,如CIIA采用打分的形式给出评估结果就比单纯给出PC或GC结果要明确,因为通过分值高低可以知道差距多少,同是PC或GC的评价,肯定距离标准的差距是不同的,而这一差距通过打分就可以很明确地显示出来;又如,配合打分操作,CIIA的《质量评估手册》给出了量化打分的依据,这是IIA的《质量评估手册》所没有的。
标签:内部审计论文; ciia论文; 审计报告论文; 审计质量论文; 高级审计师论文; 审计准则论文; 评估标准论文; 审计方法论文; 审计流程论文; 审计目标论文; 审计范围论文; 评估报告论文; iia论文; 中国广核集团有限公司论文; 审计师论文;