原来内部审计也需要被审计！

在最近的一次演讲开始前， 我针对在场的内部审计人员做了一个简单的测试。我说“如果你认为内部审计可以增加组织价值，请起立”。毫无疑问，在座的每个人都站起来了。接下来，我又说到“认为内部审计执行不佳可以被接受的请坐下”。然而，并没有人坐下。最后，我说“认为内部审计部门和公司其他职能部门一样重要，都需要定期被审计的请坐下”。结果是每个人都坐下了。

这次测验是为了说明：如果内部审计活动确实为实现组织价值发挥了应有的作用， 那么内部审计活动就应该接受独立客观的检查 。这是因为：内部审计是评价和监督组织的风险管理活动的重要组成部分。如果不能合理保证内部审计的有效性，将会使组织整体层面的风险管理失效。

一、审计领域

审计领域指组织内所有可审计实体的集合。可审计实体可以是一个经营场所、部门、职责、财务报表、法律法规符合性或众多的其他实体。如果一个实体能够为组织创造或增加价值，那么应当将它纳入审计领域。换言之：可审计实体为完成组织目标管理一种或多种风险。相反，如果一个实体与组织目标、风险无关，那么它就不属于审计领域。在管理风险的活动中，可审计实体的角色可以是一种降低风险的形式，比如：控制风险、转化风险（即：帮助组织转移风险、利用风险取长补短），或者监督这两者中的某些方面。

在《国际内部审计专业实务框架》（以下简称IPPF）中，内部审计的新任务包括：“增加价值和改善组织的运营”。此新任务与可审计主体的描述一致。大多数内部审计活动采用风险导向的方法，这有助于他们完成这项新任务。《国际内部审计专业实务标准》（以下简称《标准》）的词汇表中的将风险定义为“对实现目标产生影响的事件发生的可能性”。

因此，任何有助于降低负面事件发生的可能性或减少其不利影响（保护价值）、增加实现组织目标可能性（增加价值）的活动都应包括在审计领域。所以，这为审计领域中应包括内部审计活动提供了合理支持。

二、质量保证检查

《标准》的词汇表将确认服务定义为“对组织的治理、风险管理和控制过程做出独立评价，而对证据进行的客观检查”。一般地说，确认服务通常包括以下步骤：

1、制定以下一个或多个目标：确定财务报告、或特定交易金额的准确性，评估内部控制的充分性，确认合法合规性，或评估特定过程的效率和效果。

2、了解检查的标准。如：此类标准可以是公认财务报告审计的会计原则，合规审计的法规或政策，或者是以控制评价和运营审计的最佳实践。

3、收集关于被审计实体是否符合审计目标和相关标准的证据，以支持审计意见和审计结论。

4、报告审计结果。

审计内部审计活动的方法是开展质量保证检查。《标准》1300条款：“质量保证和改进程序旨在对内部审计活动是否遵循‘内部审计定义’和《标准》以及内部审计师是否遵循《内部审计职业道德规范》（简称《职业道德规范》）进行评估，还评估内部审计活动的效率和有效性，并识别其改进机会。”针对内部审计活动的质量保证检查，该解释还提供了指南。质量保证检查的目标是：

1. 评估内部审计活动是否符合《标准》。

2. 评估审计师是否遵循《职业道德规范》。

3. 评价内部审计活动的效率和有效性。

4. 识别改进的机会。

首先，《标准》和《职业道德规范》是对内部审计活动开展质量保证检查的标准。接下来是应收集证据证明内部审计活动应符合《标准》和《职业道德规范》中的原则和要求，以保证目标的达成。最后，发布评估结果报告，传达质量保证检查的成效。

总之，最终的要求是必须对内部审计活动进行审计：对证据的客观审查。如《标准》所述，自我评估和由组织内部其他充分了解内部审计实务的人员进行的评估是质量保证和改进程序的重要组成部分。当然，为了取得更好的效果，质量保证检查也应该由来自组织外部、合格且独立的评估人员或评估小组实施。如：来自同行业公司、外部服务机构、或者拥有专业能力和素养的个人。只有满足这些要求，首席审计官（CAE）才可以认为其有效开展内部审计的质量保证工作。

三、内部审计活动应该被审计