内部审计价值导向的两个思考

如果仅泛泛地认为内部审计的价值就是提供增值服务，风险导向审计就是在审计过程中充分关注风险，而不从战略的高度关注内部审计提供服务的性质、对象，并对审计价值的实现方式进行系统地运筹，是不负责任的，这样的内部审计行为也是空洞和无效的。

一、内部审计价值导向之一：确认还是咨询or主角还是配角

确认和咨询是内部审计的两大业务活动，按照IIA在《国际内部审计专业实务框架》中的界定，确认服务是“对企业的风险管理、内部控制和公司治理程序提供独立的评价，包括财务、经营业绩、遵循性、系统安全、审慎性调查等业务。”在评价过程中，审计人员需要独立于受托责任的委托人和受托人，与他们共同构成审计过程中的三方关系人；咨询服务是“提供建议以及相关的客户服务活动，其性质和范围通过与客户协商确定，其目的是增加企业价值和改善企业营运，包括顾问服务、建议、协调、流程设计和培训”，与确认服务相比，在审计过程的关系中，咨询服务的主体分别是审计人员和客户两方。

作为审计人员，就监督检查、评估和评价活动而言，为保持审计业务的独立和客观性，不从事具体的经营业务活动，也即是处于配角的地位；但就顾问服务、建议、协调、流程设计和培训等活动而言，虽一般不直接从事具体的经营业务活动，但在智力和智谋上，却处于一种主导地位，或者说经营业务活动能否成功，关键还是顾问服务、建议、协调、流程设计和培训等咨询的结果，从这个意义上讲，审计人员却是处于主角的地位。

其实，从内涵和性质上看，确认服务中，并非只是为了评价而评价，评价的同时随带着尚有针对性的建议，在审计过程关系中，虽然有三方关系人，但在审计实施中，更多直面和沟通的是受托人，即被审计对象，实质上审计过程的关系更为紧密和有效的关系还是审计人员与被审计对象之间的关系；咨询服务中，并非单纯的提供建议、协调，其实也需要进行诊断和评价，就审计过程的关系而言，其实也存在委托者、受托者和审计人员的关系，只不过委托者和受托者更多情况下呈现一体化的特征；就角色而言，主角与配角是相对的，就知识、技能而言，两种服务均处于主角状态，就结果的输出使用者而言，两种服务都处于配角状态——在这里最终想表达的是，现实中，确认和咨询之间的界限并不是泾渭分明、界线清晰的，审计的行为若想更具增值性，必须在意识上有增值性的服务，也即在不违背独立性和客观性的前提下，无论做什么样的审计服务，都必须融确认和咨询服务于一体，用职业、专业、敬业的水准和服务理念发挥自已的正能量，在诊断、评价和提供富有建设性的策略、方案、建议中实现审计的增值性目标。

笔者曾供职的Ａ公司因诸多原因，管理者管理技术水平不高，管理方法不科学，甚或失当，操作员工技能水平差，甚至没有什么技能，造成存货和固定资产管理无从谈起，对于清查盘点更是毫无头绪。为做好存货和生产线设备的清查盘点工作，在不违背独立和客观性原则的前提下，审计人员融确认和咨询服务于一体，主动与被审计单位进行协调、沟通，商定清查盘点的组织者和具体参与者，商定盘点项目和盘点范围，并明确各参与人员的具体职责和分工，注意事项，将清查盘点的名义组织者和参与者在审计人员的推动和指导下变成清查盘点工作的实际执行者，而审计人员始终作为监督者和推动者、指导者，正是这样融确认和咨询服务于一体的指导思想，最终实现了盘点工作的顺利开展和最佳效果的输出。

二、内部审计价值导向之二：内部控制or 风险管理、内部控制和治理三者的融合

IIA在《国际内部审计专业实务框架》将内部审计定义为一种“评价并改善风险管理、控制和治理过程的效果”的活动。1992 年，SO 发布了《内部控制——整合框架》，提出了内部控制结构概念并将其划分为控制环境、风险评估、控制活动、信息与沟通和监督五个要素。该框架对内部控制的定义为：“内部控制是受到组织的董事会、管理层和其他人员影响的过程，用来为实现下列目标提供合理保证——经营的效果和效率；财务报告的可靠性；相关法律和法规的遵循性”。2004 年， SO 对其1992 年的内部控制框架进行了补充，发布了《企业风险管理——整合框架》。该框架拓展了内部控制的范畴，将企业风险管理定义为：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。风险管理框架将内部控制框架的风险评估要素拓展为四个要素：目标设定、事项识别、风险评估以和风险应对，从中不难看出，风险管理拓展和细化了内部控制的内涵，更加强调关注企业的风险。内部控制是风险管理过程的一部分，运行时和风险管理机制是一体的、相融合的；内部控制与风险管理最终目的是一致的，即为了更好地实现企业目标，提升企业创造价值的能力；内部控制的实质是有效地识别、评估和控制风险。

IIA在《国际内部审计专业实务框架》中， 将治理定义为：“指董事会实施的各种流程和架构的组合，用以告知、指导、管理和监督组织活动，以实现组织目标。这一定义其实从范围更广、层次更高、概括性更强的角度拓宽了内部控制、风险管理的内涵边界，如果前两者强调的是量化性效果的话，则治理更强调的是综合性，内部各要素之间的渗透性和协调性。

综上，笔者认为，风险导向审计是通过了解和掌握企业内部控制制度、运营状况及经营环境，以企业经营风险评估为导向，将重大报错风险和经营风险联系起来，从源头分析和规避风险的一种审计模式。在该模式下，内部控制仍是基础，不同的是，它改进了对内部控制的监控方式，抓住重点，恰当、有效地分配内部审计资源，使得更多与风险管理相关的控制和活动得到关注，将审计手段与审计目标更好地结合在一起，可以提高审计的科学性、针对性和绩效性。从这个意义上讲，将内部控制在风险管理和治理的理念指导下置于更宽泛、层次更高的位置，对于强化内部审计的增值性行为更具现实的指导意我，可以有效地避免“空洞地谈风险管理和治理”，这是审计行为中必须考虑的一个战略性问题。