内部审计活动应该接受独立客观的审计,就像组织内有价值、以风险为导向的其他职能部门一样。
在最近的一次演讲开始前, 我针对在场的内部审计人员做了一个简单的测试。我说“如果你认为内部审计可以增加组织价值,请起立”。毫无疑问,在座的每个人都站起来了。接下来,我又说到“认为内部审计执行不佳可以被接受的请坐下”。然而,并没有人坐下。最后,我说“认为内部审计部门和公司其他职能部门一样重要,都需要定期被审计的请坐下”。结果是每个人都坐下了。
这次测验是为了说明:如果内部审计活动确实为实现组织价值发挥了应有的作用,那么内部审计活动就应该接受独立客观的检查。这是因为:内部审计是评价和监督组织的风险管理活动的重要组成部分。如果不能合理保证内部审计的有效性,将会使组织整体层面的风险管理失效。
审计领域指组织内所有可审计实体的集合。可审计实体可以是一个经营场所、部门、职责、财务报表、法律法规符合性或众多的其他实体。如果一个实体能够为组织创造或增加价值,那么应当将它纳入审计领域。换言之:可审计实体为完成组织目标管理一种或多种风险。相反,如果一个实体与组织目标、风险无关,那么它就不属于审计领域。在管理风险的活动中,可审计实体的角色可以是一种降低风险的形式,比如:控制风险、转化风险(即:帮助组织转移风险、利用风险取长补短),或者监督这两者中的某些方面。
在《国际内部审计专业实务框架》(以下简称IPPF)中,内部审计的新任务包括:“增加价值和改善组织的运营”。此新任务与可审计主体的描述一致。大多数内部审计活动采用风险导向的方法,这有助于他们完成这项新任务。《国际内部审计专业实务标准》(以下简称《标准》)的词汇表中的将风险定义为“对实现目标产生影响的事件发生的可能性”。
因此,任何有助于降低负面事件发生的可能性或减少其不利影响(保护价值)、增加实现组织目标可能性(增加价值)的活动都应包括在审计领域。所以,这为审计领域中应包括内部审计活动提供了合理支持。
《标准》的词汇表将确认服务定义为“对组织的治理、风险管理和控制过程做出独立评价,而对证据进行的客观检查”。一般地说,确认服务通常包括以下步骤:
1、制定以下一个或多个目标:确定财务报告、或特定交易金额的准确性,评估内部控制的充分性,确认合法合规性,或评估特定过程的效率和效果。
2、了解检查的标准。如:此类标准可以是公认财务报告审计的会计原则,合规审计的法规或政策,或者是以控制评价和运营审计的最佳实践。
3、收集关于被审计实体是否符合审计目标和相关标准的证据,以支持审计意见和审计结论。
4、报告审计结果。
审计内部审计活动的方法是开展质量保证检查。《标准》1300条款:“质量保证和改进程序旨在对内部审计活动是否遵循‘内部审计定义’和《标准》以及内部审计师是否遵循《内部审计职业道德规范》(简称《职业道德规范》)进行评估,还评估内部审计活动的效率和有效性,并识别其改进机会。”针对内部审计活动的质量保证检查,该解释还提供了指南。质量保证检查的目标是:
评估内部审计活动是否符合《标准》。
评估审计师是否遵循《职业道德规范》。
评价内部审计活动的效率和有效性。
识别改进的机会。
首先,《标准》和《职业道德规范》是对内部审计活动开展质量保证检查的标准。接下来是应收集证据证明内部审计活动应符合《标准》和《职业道德规范》中的原则和要求,以保证目标的达成。最后,发布评估结果报告,传达质量保证检查的成效。
总之,最终的要求是必须对内部审计活动进行审计:对证据的客观审查。如《标准》所述,自我评估和由组织内部其他充分了解内部审计实务的人员进行的评估是质量保证和改进程序的重要组成部分。当然,为了取得更好的效果,质量保证检查也应该由来自组织外部、合格且独立的评估人员或评估小组实施。如:来自同行业公司、外部服务机构、或者拥有专业能力和素养的个人。只有满足这些要求,首席审计官(CAE)才可以认为其有效开展内部审计的质量保证工作。
再次明确一点:在组织活动中,如果内部审计活动有真正价值、在组织治理中担任重要角色、满足可审计主体的标准,那么内部审计活动就应包括在审计领域。一旦组织的内部审计活动作为审计领域的一部分,即使内部审计活动遵循了《标准》,也需要以风险为基础来确定审计的频率,至少每五年进行一次外部评估。
在质量保证检查的程序中,详细记录了执行该检查的步骤,并且与内部审计的确认服务的程序相一致。最后,和任何其他审计报告一样,质量保证评估的结果应该报告给主要利益相关者。如果通过质量评估发现了“未遵循”的情况,CAE应提供整改方案,并将改进措施反馈给主要利益相关者和审计委员会。
上述规定似乎是合理的而且是基于《标准》的。但是,2015年发布的一项针对全球内部审计从业人员调查中,只有42%的受访者表示其所在组织对内部审计活动的质量保证检查符合《标准》1300条款关于质量保证和改进程序的要求。
所以,当有人对你说 “如果你所在组织的内部审计活动接受审计,你就坐下”时,我希望每一个内部审计人员都能确保自己不是那个继续站着的人。
按照IPPF的要求,质量保证和改进程序必须包括内部评估和外部评估。内部评估包括:对内部审计活动执行情况的持续监督;定期自我评估或有组织内部其他充分了解内部审计实务的人员进行的评估。外部评估必须至少每五年开展一次,必须由来自组织外部、合格且独立的评估人员或评估小组负责。
年关将至,您所在的内部审计部门战绩如何?持续监督是否纳入管理内部审计活动的日常政策和实践?定期检查是否评估了内部审计活动对IPPF的遵循情况?外部评估是否至少五年进行一次?是否能够向高级管理层和董事会提交了一份令人满意的内部评估结果报告?
小编希望每一位内审人员都能在年末交出一份硕果累累的自我评价,每一个内部审计部门都已按规定执行了内、外部评估并提交一份成绩满满的评估结果报告。当然,如果您所在组织的规模允许,还可以考虑指定专人担任质量保证经理或履行类似职责,以使质量保证和改正程序取得更好的效果。
文 Paul J. Sobel转自 首席审计官(ID:chinaia),审计之家整理发布
更多精彩内容可向公众号回复关键词:
审计案例 | 盘点世界八大审计失败案例
内控 | 终于有人把内部控制“不相容职务分离”说透彻了!
笔记 | 做财务总监十年,总结出98条精华笔记!
四大 | 惊呆了!普华永道招聘残疾人的原因
审计 | 为什么审计普遍结婚都比较晚?