一、我国内部审计的发展方向

2013年8月，中国内部审计协会《中国内部审计准则》（中国内部审计协会公告2013年第1号，以下简称《新准则》），并从2014年1月1日起施行。《新准则》规定“，内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。”该定义调整了内部审计的职能、范围、方法、目标等，实现了与国际内部审计协会（IIA）内部审计定义的接轨；除对内部审计人员职业道德规范、内部控制审计准则、绩效审计准则、内部审计质量控制准则、审计计划等做了重大调整外，还对审计计划等13项准则做了修订，最终形成了更加科学系统的三层次内部审计准则体系。2014年1月，审计署《内部审计工作规定（征求意见稿）》，将内部审计定义为“单位（或组织，下同）的内部审计机构或者人员，实施的一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价单位的业务活动、内部控制和风险管理的适当性和有效性，以促进单位完善治理、增加价值和实现目标。”不仅充分吸收了国际内部审计的先进理念，也充分考虑了我国内部审计所面临的新形势和新要求。《征求意见稿》还对内部审计机构的设置范围、领导体制、首席审计官的设置及职责做了更加细化和明确的规定；调整了内部审计的职责，突出了战略审计、管理审计、单位内部管理领导干部经济责任审计，并对企业和国家机关、事业单位、社会团体以及其他单位的内部审计机构职责做了规定；对指导和监督内审工作的主体进行了丰富和细化，明确了审计机关对内审工作业务指导和监督的六项职责、审计机关通过内部审计自律组织加强对内审工作的业务指导和监督以及对自律组织的指导和监督，明确了国家有关行业（系统）主管、监管部门（各级国有资产监管部门和银行业、证券业、保险业等金融监管机构）对所属行业内审的监管职责以及内部审计机构对本单位有管理权的所属单位内审工作的监督、指导和管理职责；专设“内部审计自律组织”一章，进一步明确、充实了内部审计自律组织的职责等。可见，为了满足市场经济发展对内部审计的需求，顺应国际内部审计的发展要求逐步跟上时展的脚步，我国的内部审计也将逐步完成一系列的转变。

二、内部审计的职能定位

由监督向增值服务转变从20世纪80年代我国恢复实施审计制度以来，审计就被定位为“一种独立的经济监督”，内部审计也被定位成“组织（机构）内部的经济监督”，扮演着财政财务收支真实、合法、有效的监督人的角色。这在当时的社会经济条件下是适当的、有效的，三十年来内部审计所取得的成效、发挥的作用足以证明这一点。但进入21世纪后，内外部审计环境发生了巨大变化，不仅对审计提出了更高的要求，也为审计的发展提供了必要的条件；而内部审计在经历了三十年的探索后，不论是在理论与实践、还是内部审计制度与内部审计师等各个方面，都具备了满足社会需求、提供更好的内部审计服务的实力；于是，逐步实现向增值服务型的转变就成为历史的必然。《国际内部审计专业实务框架》（IIA，2013）规定“，增加价值是指内部审计活动通过客观和相关的保证，改善和提高治理、风险管理和控制过程的效果和效率，为组织（及其利益相关方）增加价值”，最终目的是帮助组织实现其目标。由此不难看出，第一，增加价值不仅限于内部审计的意见建议被采纳后为组织增加的收入、节约的成本费用等，更重要的是对内部控制、管理（尤其是风险管理）、公司治理的改进和完善。收入的增加、支出的减少是易见的，能迅速调动起管理层和员工的热情并引起人们对内部审计的关注和信赖；而控制、管理和治理的改进不一定带来显而易见的经济收益，甚至会因为不理解、利益受到冲击等原因导致管理层、员工的抵触，但这些方面的改进却能从根本上解决组织面临的发展障碍，有助于组织管理水平的提高和生存发展空间的拓展，即可持续发展能力的改进，所带来的价值是长远的、深层次的。第二，增加价值也不仅限于使生产经营、业务活动顺畅进行，更重要的是为组织战略目标、经营目标的实现提供保证。生产、经营的顺利与否关乎组织的生存基础，而目标、战略的确定和实现却关乎组织的命运和前景，内部审计对组织战略和目标的确定是否适当、实施计划和策略是否可行进行审计，发现潜在的风险和可能的机遇、评估管理层应对方案的适当性和有效性并提出改进和完善的意见建议，不仅能够为组织增加价值，也有助于内部审计地位的确立和提高。第三，增加价值与经济监督并不矛盾。因为内部审计在理顺经济秩序、使生产经营或业务处理依法进行方面所带来的违规成本降低、组织利益受损减少，也是一种价值增值。所以说增加价值是一种理念，是内部审计的高层次职能定位，也是新时代对内部审计的更高要求，是任何内部审计机构都必须正视、并在内部审计工作和内部审计职业发展中逐步落实的。

三、内部审计的工作重心

由财务、效益向内部控制、风险管理和公司治理效果转变实现内部审计职能定位向增加价值的转变，内部审计机构就不能再把工作重心放在财务、绩效方面来追求浅层次的收益增加和支出节约上，而应当更多地从管理、战略发展等方面为组织寻求创造价值、增加价值的机会。因此，内部审计机构应当做到以下几点。

1．参与公司治理、风险管理、控制过程的改进。公司治理理论认为，内部审计是公司治理的四大基石之一，其质量和效果直接影响公司治理的效率和效果；审计理论认为，公司治理的效率和效果是内部审计对象的一个重要部分；二者是密不可分的。《美国21世纪公司治理原则》指出，完善的公司治理需要董事会、管理层、内部审计和外部审计共同有效地发挥作用。参与公司治理过程的改进，要求内部审计机构独立、客观地评估治理过程设计和运行的有效性，做出评价结论；提供咨询服务，为改进治理过程的方式提出建议；或者帮助董事会开展治理实务的自我评估。因此，内部审计机构应当在组织内推广适当的道德和价值观确保业绩管理有效，建立有效的问责机制，及时通报风险和控制信息，协调董事会、内外部审计师与高管层之间的工作和信息沟通，评估与职业道德相关的目标、计划、业务的设计、实施及其效果，评估信息技术治理对组织战略和目标的支持程度。《企业风险管理———整合框架》（COSO委员会，2004）的风险管理八要素中，内部审计是“监控”的主体之一，须随时通过持续的监控活动、个别评估或两者相结合的方式，对风险管理构成要素的存在和运行进行评估。参与风险管理过程的改进，要求内部审计机构通过检查、评估、报告并提出改进管理层风险过程的适当性和有效性的建议，协助董事会完成监督职责；识别、评价并运用风险管理的方法和控制措施，帮助组织解决风险问题；通过实施质量保证与改进程序、定期审核内部审计领域及审计计划、有效的审计规划和设计、适当的资源配置等，管理内部审计活动所面临的审计失效风险、错误确认风险、声誉风险。因此，内部审计机构应当评估组织的治理、运营、信息系统方面的风险，关注舞弊发生的可能性以及组织对舞弊风险的管理；评估组织目标、重大风险的识别和评估、风险应对方案的选择、沟通、风险管理过程的监督等，以评价风险管理过程的有效性并提出改进建议；在咨询过程中关注与业务目标相关的风险，并警惕其他风险发生的可能性；内部审计机构还应当以风险为导向，规划内部审计的发展，计划内部审计工作，并运用风险管理方法对内部审计风险实施有效管理。《内部控制———整合框架》（COSO委员会，1994）的内部控制五要素中，内部审计是“监控”的主体之一，须通过持续性的监控行为、独立评估或两者的结合的方式，对内部控制体系的有效性进行评估，发现内部控制缺陷并提出改进建议。参与内部控制系统的改进，要求内部审计机构评估（单项/综合评估）针对组织内部治理、运营、信息系统等风险的控制是否适当、有效（效果和效率），找出重大差异或缺陷并提出纠正或改进的意见建议，协助组织维持有效的控制；尤其应当关注信息（包括组织信息、个人信息或称个人隐私）的可靠性和完整性，并酌情对改进或实施新的控制和安全保障提出建议。我国的《第2201号内部审计具体准则———内部控制审计》（中内协，2013）规定，对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理，是内部审计的责任；内部审计机构可以针对组织所有业务活动的内部控制五要素进行全面审计（全面内部控制审计），也可以针对组织内部控制的某个要素、某项业务活动或业务活动某些环节的内部控制进行审计（专项内部控制审计）；内部审计机构实施的内部控制审计，应当以风险评估为基础、根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度确定审计的范围和重点，并关注串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性；在对内部控制全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域的内部控制；真实、客观地揭示经营管理的风险状况，如实反映内部控制设计和运行的情况。该准则还分别对组织层面和业务层面内部控制设计和运行情况审计、审计程序、内部控制缺陷（设计缺陷和运行缺陷）认定和报告、内部控制审计报告的内容等做了明确规定。

2.积极尝试内部审计新业务。经济责任审计、社会责任审计、环境审计、信息系统审计、网络安全审计、职业道德审计、社会公德和可持续性审计等审计业务，内部控制、风险管理、信息系统、治理等方面的咨询业务，都是内部审计机构可以尝试的新的内部审计业务领域。这些业务可能在理论、实践方面还不太完善，有的甚至还存在争议，但也给内部审计创新提供了相当大的空间。有意识地在内部审计发展规划、计划中安排一些新业务，或在财务审计、绩效审计中增加新的业务内容，不仅能够更广泛地为组织增加价值，也能为内部审计发展拓展新领域，对组织的发展、内部审计地位的提升都是有积极作用的。

四、内部审计的审计模式

由账项导向、控制导向向风险导向审计转变《内部审计2012———关于内部审计发展前景和内控导向审计方法逐步退出的研究报告》（普华永道，2012）指出，“以风险为导向的审计理念意味着内部审计人员利用全面的、成形的方法进行审计、风险评估和风险管理，成功跨越以内部控制为中心的审计理念。在风险导向审计理念的引导下，内部审计应在风险评估和风险管理成为利益相关方的首要关注点时，提升其履行职能所能实现的价值。”风险导向审计从2006年开始在我国注册会计师领域广泛实行，《中华人民共和国国家审计准则》（中华人民共和国审计署令第8号，2010）也引入了风险导向审计模式。中国内部审计协会2013年的《中国内部审计准则》规定，内部审计机构和人员应当全面关注组织风险，以风险为基础组织实施内部审计业务；内部审计机构应当根据组织的风险状况、管理需要及审计资源的配置情况，编制年度审计计划。也就是说，风险导向审计已经全面进入了我国的内外部审计领域。与注册会计师的风险导向审计不同，以风险为导向的审计理念意味着内部审计人员利用全面的、成形的方法进行审计、风险评估和风险管理。内部审计领域的风险导向审计除了要求在审计实施过程中依据对被审计单位或项目的风险评估水平计划具体的内部审计工作过程，如审计程序选择、审计证据获取、审计证据的相关、可靠和充分性的判断等，还要求依据组织风险的水平来安排内部审计机构的工作，包括内部审计长期发展规划的制定、审计范围的确定、年度审计计划的编制、人力资源的配置和培养等。换句话说，内部审计不仅要在各项审计业务的实施过程中，以评估的组织风险水平为依据计划安排审计程序、组织各项具体审计工作的实施；还要将组织的风险管理框架或过程纳入审计对象范围，评估其设计和运行的有效性；还必须依据组织的风险水平，计划内部审计机构的工作、规划内部审计机构和内部审计人员的未来发展。

五、内部审计人员的素质要求

由注重财会向注重管理、治理、信息技术转变在内部审计的职能定位由监督转向增值服务，内部审计的工作重心由财务和效益转向控制、管理和治理效果，全面引入风险导向。在风险导向审计的情况下，内部审计师能否胜任就成为决定内部审计发展的关键。要满足内部审计人员的素质要求，需关注以下几方面：一是提高内部审计师个人的职业道德和专业胜任能力，内部审计人员应通过自学、接受后续教育、积极实践，来提高自己的道德修养和业务素质；二是提高内部审计机构的整体素质，这需要合理配置内部审计人员，通过组织各部门的人才流动和培养、专业人才的引进，使内部审计机构能够整体胜任工作需要；三是制定人力资源计划，从内部审计长远发展的角度规划内部审计人员的培养和引进；四是积极与各业务部门协作、合作，利用其专业资源完成内部审计工作任务。总之，只有通过多方努力大幅度提高人员素质，为组织增加价值的目标才有可能得以实现。

作者：张丽英杨俊峰单位：河北经贸大学河北经贸大学