《保存如何发挥内部审计的确认和咨询作用》由会员分享,可在线阅读,更多相关《保存如何发挥内部审计的确认和咨询作用(13页珍藏版)》请在金锄头文库上搜索。
1、1如何发挥内部审计的确认和咨询作用不断爆发的经济金融危机,使更多的企业越来越注重组织价值的增加和风险暴露之间的平衡,也更加注重以增加组织价值为目标的内部审计业务的发展。2004 年国际内部审计师协会(IIA) 根据风险为导向的内部审计业务的发展趋势重新修订了国际内部审计专业实务标准(以下简称标准),重新定义了内部审计活动,把内部审计定义为一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。它通过运用系统的、规范的方法评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。经过 IIA 的力推,风险导向型的现代内部审计以其贯穿始终审慎性、评价组织活动的有效性和反馈审计发现的及
2、时性与建设性获得了广泛的推崇与尊重。本文拟从全面理解内部审计在治理、风险管理与控制方面的作用阐述如何发挥内部审计的确认与咨询业务的功能。 。一、区分确认和咨询业务的关系确认业务是指内部审计师对程序、系统或其他常规事项进行客观评价,提出独立的意见和结论,主要包括:舞弊调查、风险和控制自我评价、财务、绩效、经营和合规性审计业务等。而咨询服务则是为审计客户提供服务的咨询或相关活动,其业务性质和范围根据客户的协议确定。确认与咨询业务并不是互相排斥,多数的审计服务既包含确认,也包含咨询。咨询业务丰富了内部审计活动的内容。咨询服务通常是由确认服务直接产生的(比如,业绩评估审计可能演变成咨询业务,即设计完善
3、业绩水平的衡量),反之亦然。其区别在于是否存在除内部审计人员、被审计单位(客户)之外的第三方委托人。存在第三方委托人的就是确认业务。2确认业务关系图委托人审计客户 审计人员咨询业务关系图委托人(客户) 审计人员这里应该注意的是,开展咨询业务不能损害确认业务的独立性和客观性。现代内部审计由于同时提供确认和咨询两种服务职能,容易导致角色上的冲突,即发挥咨询职能时可能会影响或损害内审人员履行确认职能的独立性。管理层既是确认业务关系中的客户,又是咨询服务委托代理关系中的委托人。管理层身份的双重性,容易对内部审计活动构成利益冲突,对内部审计独立性和客观性成了一种潜在的威胁。但咨询业务并不意味着一定会损害
4、或削弱确认业务的客观性,如果专业的内部审计师能够识别与先前的咨询业务相关的后续审计中的威胁客观性的潜在因素,能够考虑到缓解因素,并采取适当措施减少或化解剩余威胁客观性的因素,内部审计人员的客观性就能得以最大限度地保持或者至少不受到严重损害。3二、理解并遵从 IIA 的属性标准IIA 的 内部审计实务专业标准包括属性标准和工作标准两个部分,其中属性标准主要说明内部审计部门的性质和对审计人员的要求,是开展审计工作的强制性环境基础,是发挥审计确认和咨询职能作用的根本保证。1明确内部审计的宗旨、权利和职责。这里有三层含义:一是企业或组织内应建立起一套完备的内部审计章程来明确内部审计活动为什么存在(宗旨
5、)、存在的保证(相应的权力)及做些什么(职责范围)的审计根本,审计章程必须经过能保证审计活动的独立性的权力机构批准,比如经过董事会或审计委员会的批准,理想的应该是经过董事会和高级管理层共同审核批准,以保证内部审计部门的地位和权力不受管理层政策变动的影响。越来越多的证据表明没有高级管理层的批准,内部审计的确认和咨询业务很难顺利开展。二是应使内部审计客户及组织内每个成员都了解内部审计的宗旨、权利和职责,这样有助于消除分歧、取得信任合作,并能够加强对内部审计工作的理解和监督,最大限度发挥内部审计的确认与咨询的功能。三是定期评价内部审计章程,以确定其是否能继续保证内部审计活动实现目标,并将评价结果通报
6、高级管理层和董事会获得新的批准。2增强内部审计的独立性。发挥确认和咨询作用首先是保证内部审计的独立性,独立性确认和咨询服务客观性的基础。根据 IIA 的解释独立性是指内部审计部门在组织中,不受管理层和其他方面干扰,独立地开展内部审计活动。并享有一定处置审计经费、人事及内部管理等方面相对独立的权力地位。其核心是组织地位上的独立。由此可见内部审计的独立性是相对的,因此正确解决内部审计的独立性问题,4是发挥内部审计确认与咨询服务功能的合理保证,虽然各国对内部审计的独立性准确定义存有争议,但人们普遍认为独立性与确认或咨询服务所处的环境状态有关,向组织内何种领导层报告工作能够反映其独立性状态。目前,内部
7、审计基本上有二种报告关系:一是所有的工作向董事会或者审计委员会报告;二是建立了双重报告关系,即向董事会审计委员会报告业务工作,向高级管理层(总裁)报告行政工作。事实证明建立双重的报告关系是具有良好的公司治理环境的表现,高级管理层和董事会的支持可以帮助内部审计部门获得业务客户的协作并在不受干扰的情况下工作。绕开高级管理层的独立性表现往往使内部审计活动难以顺利的开展。现在我国审计理论界对内部审计独立性含义的界定以及对机构独立性理解上有“ 绝对独立” 的倾向,即 将内部审计置于审计委员会的领导之下,直接向股东大会报告工作,或者由选举的独立董事领导,在组织内形成“三足鼎立” 。事 实上这样做容易产生与
8、组织高层的冲突,而无法取得董事会和高级管理层的信任和支持,内部审计部门无异于“无本之木” ,很 难继续生存。美国安然公司的倒闭就是很好的实证,17 名董事会成员有 15 名是独立董事,内部审计处于无序的领导状态,审计委员会有名无实,内部审计人员可以随意披露公司的财务状况从而引发信任危机造成无可挽回的局面。现代内部审计关注的是上下的沟通与协调,特别是无障碍式的直接交流,以获取足够多的信息发挥内部审计确认与咨询职能来说是至关重要的。近年来,内部审计越来越注重与高级管理层的沟通和交流,新的理念表明,仅向董事会审计委员会报告工作还是不够的,增强独立性还要体现高级管理层的“声音” ,即要在5组织内部建立
9、双重的报告关系以增强独立性。增强内部审计组织独立性还表现在以下方面:内部审计部门的设置经董事会、审计委员会和高级管理层批准或认可,并在内部审计章程中明确;内部审计机构能够充分地、不受限制的与董事会、审计委员会、公司高级管理层进行沟通和交流;内部审计机构负责人的任免,理想的情况是董事会或审计委员会等其他治理机构一致同意后确定;可以定期参加有关审计、财务报告、机构治理和控制系统的监督职责会议,以获取更多公司治理方面的信息。可见,内部审计组织独立地位是公司董事会和其他治理机构共同赋予和保证的,是相对的独立,是被信任和支持的独立,也只有这样的独立能够保证内部审计确认和咨询职能的客观性。3熟练掌握专业技
10、能和运用应有的职业审慎标准要求内部审计师必须具备不必寻求广泛的技术研究和帮助就能将审计标准和程序熟练地应用于特定审计工作的能力,即内部审计师的专业技能。包括:熟练应用内部审计实务标准、程序和技术;了解组织所在的行业,理解组织管理原则和改善财务和运营方面涉及的知识技能;深入领会审计相关科目的知识和技术。比如要充分了解关键信息技术风险和控制及获得可利用技术的审计方法,以开展工作,但不期望所有内部审计师均掌握专门从事信息技术审计所具备专门技能;拥有良好的口头和书面表达能力以及人际交流技能,以便清楚有效地表达审计目的、审计评价工作、审计结论和建议,改善与被审计单位关系。内部审计师运用专业技能开展审计活
11、动过程中,要始终保持应有的职业审慎,这是从事审计专业必备的工作态度。它表现在:一旦接受并实施一项内部审计委托业务,内部审计师在实施计划阶段就应考虑舞弊的存在可能性,对通过分析性审计发现的意外6结果要采取适当的步骤彻底调查,对舞弊发生的警惕性要贯穿审计活动的始终;内部审计师应通过检查和评价内部控制系统的适当性和有效性,来确定这些系统与组织中各部门内存在的潜在风险范围是否相适应,能否阻止舞弊的发生;内部审计师应充分考虑与潜在效益相对的确认、咨询业务成本。没有任何组织能够完全回避舞弊风险,建立控制制度只能将舞弊风险降低到一个合理的最低水平。比如建立需要耗费巨资的控制程序仅仅是为了减少铅笔的丢失是不符
12、合成本效益原则的;内部审计师还应当充分考虑审计风险,只从事他们具备必要的知识和经验的服务活动,收集记录足够以实现审计目标的信息,在必要时应向专业人士寻求充分的建议和帮助;内部审计师必须通过持续的职业教育来增加专业技能储备,以提高履职水平。4建立并维护涵盖内部审计活动所有方面的质量保证和改进程序质量保证与改进程序旨在对内部审计活动是否遵循“内部审计定义”和 标准以及内部 审计师是否遵守 职业道德规范进行评估, 还可以用来评价内部审计活动的效率和效果,并识别改进的机会。内部审计质量控制是组织全面质量管理的内在要求。全面质量管理是根据组织向顾客提供最优产品或服务的原则制定的长期战略性措施,是通过诸如
13、质量策划、质量控制、质量保证和质量改进而实施的全部管理活动。它的主要原则是追求顾客的完全满意、不断地改进产品或服务的质量和全员全过程地参与。内部审计的顾客就是它的服务对象。最优服务就是从质量即利润的观念出发,以最小的成本帮助组织实现最大利润。它要求内部审计师充分利用审计资源,以高质量的确认和咨询服务对组织内部控制的充分性和有效性进行评价,揭示风险因素,提出改进建7议,跟踪纠正措施的落实,从而使组织得到最大利润,最终实现组织目标。 三、以风险为基础制定计划,确定内部审计活动的优先次序风险是指发生对组织目标的实现可能产生影响事件的不确定性。风险的衡量标准是后果与可能性,即要考虑到风险暴露,又要考虑
14、发生的概率。这里的风险既包括正面的风险,即机会;也包括负面的风险,即可以货币化衡量的损失。所谓风险导向内部审计是指要以风险为基础制定计划,根据量化的分析水平排定审计项目优先次序,确定与组织目标相一致内部审计活动重点。1建立应用组织风险评估的框架制定内部审计计划时,应服从组织风险战略偏好,考虑应用成熟的 COSO 企业风险 管理整体框架(统称为八要素风险评估模型),它为内部审计职能提供了一整套系统的方式去评估识别内外部风险因素,以发现潜在审计区域和范围,减少在实现组织目标过程中可能出现的负面影响。尚未建立风险管理框架的组织,内部审计师可以与高级管理层和董事会磋商后,自行作出风险判断。2风险分析与
15、评估内部审计师进行风险评估之前首先要根据组织战略计划进行内外环境的分析,包括对管理层和员工 “人” 的因素分析活动,对组织内外可能发生与正在发生的情况作出判断,以充分挖掘和识别潜在的审计业务来源。一旦审计业务来源确定,就需要内部审计师运用专业的方法评估、排序能够对组织目标产生影响的风险和机会,通常应对高风险的活动优先考虑实施审计。3确保充分的审计资源履行审计职能内部审计部门应当充分考虑履行确认与咨询服务职能所需8要的人员、资金及开展工作所需要专业能力方面的需求。并根据业务复杂程度、审计资源受到的限制及限制的影响程度等情况同董事会和高级管理层开展讨论,获得对审计计划和审计资源要求的批准。即便资源
16、有限的情况下,也不需要消减预定的程序,内部审计师应当考虑相应的替代措施。在协调和广泛沟通基础上,有效的利用的审计资源,包括借助外部审计师的力量和成果、与内外审计师充分协调等,以获得最大审计覆盖面和最小程度的冗余。四、理解控制和选择可运用的内部控制框架控制的定义可以理解为:强制及施加强制的方法。管理者运用控制确保组织目得以实现,组织内每一种控制都在两个层次上发挥作用,并分处于两个系统内。一种是被设计用来完成规定目标,即运营系统,比如产品生产目标。另一种则是覆盖在运营系统之上,用来确保运营系统目标得以实现的程序、规章和指令等,即为控制系统。而内部审计师的任务就是在风险评估的基础上,评价和改善后一种系统的充分性和有效性。但越来越广泛的审计使内部审计师过多的涉及自己不熟悉的领域(比如新的运营系统),他们 不可能立即成为这许多方面的专家,而这些新领域却要求内部审计师必须做出客观和系统的评价。怎么办?解
