王玲

(中山大学南方学院，广东广州510970)

当今时代，信息技术日益进步、组织结构迅速变革、竞争压力不断增加，为适应现代经济环境，内部审计更加积极主动、职能服务更加有效和多样，内部审计模式也在改变。

安然、世通等财务丑闻的爆发，使公众对公司内部治理结构产生质疑，这也引发人们对改善公司治理结构的迫切要求。而内部审计在公司治理中承担着重要角色，内部审计不仅应提供传统的确认服务，还应在其业务活动中增加价值，以优化公司治理流程并保证其有效性。但要发挥内部审计的增值作用，首先应保证内部审计职能的有效性，因此，尽快建立内部审计有效性评价标准势在必行。

一、现代内部审计的涵义

国际内部审计协会(Institute of Internal Auditors，以下简称“IIA”)在1947年发布的《内部审计师职责说明书》，首次对内部审计职能和职业要求进行了描述(Ramamoorti，2003)，内部审计主要处理会计和财务方面的问题。1957年，《内部审计职责说明书》(Sawyer，1996)将内部审计职能范围扩展到管理方面，指出内部审计“衡量、评价其他控制有效性”，但内部审计职能主要还局限于财务审计。1978年，IIA正式批准《内部审计从业标准》，将内部审计职能从“为管理服务”向“为组织服务”拓展(IIA，2002)。

2002年，内部审计定义得到最新认定:内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标(IIA，2002)。这一定义明确内部审计可同时提供确认和咨询服务的性质，并强调内部审计的目标是为企业增加价值。

内部审计职能的发展表明，内部审计不再只是提供传统的确认活动，而更应该为其组织增加价值，同时也强调内部审计的独立性。因此，内部审计重要性日益增加，只有有效的内部审计才能承担起价值增值的重要角色。

二、内部审计有效性的影响因素

内部审计在不同文化和法律环境中，因公司目标、规模、业务复杂度和组织结构都有很大差异，很难保证内部审计业务完全按同一标准开展。IIA则为内部审计提供了可供参考的基本原则，各国内部审计专家也认可IIA的基本准则并坚持要求遵守。我国2013年最新修订了内部审计准则(中国内部审计协会，2013)，对内部审计的定义、内部控制审计等具体准则进行了修改，同样是以IIA的内部审计准则为基准。

IIA的内部审计基本准则提供了一个很好的参考框架，但不能直接用于评价内部审计职能的有效性。本文在准则基础上探讨四个影响内部审计有效性评价的因素，并对其进行说明。

(一)内部审计的隶属关系

IIA的内部审计准则要求内部审计职能隶属于审计委员会，审计委员会主要承担以下职责(乔春华，2005):

1.监督内部控制和风险管理系统，确保公司合理识别、管理和报告风险，保证风险管理过程的持续性和广泛性;

2.确保内部审计(如果建立)的有效性，对首席审计官的任免、更替提出建议，复核内部审计计划、报告和改进建议;

3.保证内部审计建议得到管理部门的回应和执行。

内部审计隶属于审计委员会的前提是公司已经设立了独立的审计委员会。在我国，根据已有的研究和调查结果，在上交所和深交所上市的公司，95%以上都设置了审计委员会，90%以上的审计委员会是独立董事占多数且担任召集人，审计委员会独立性较高;在非上市公司中，大部分国有企业也设置了审计委员会，但私营企业设置审计委员会的很少。

根据我国企业的所有权结构，企业所有者或大股东以国家股占多数，其次是法人股、流通股和外资股(夏文贤，2005)，部分私营企业的管理者即是所有者。因此，实际内部审计隶属关系的确定可由公司的所有权类型决定。

1.已有独立的审计委员会

如果公司已设立独立的审计委员会，那么内部审计应该隶属于审计委员会。

2.所有者与管理者分离，但未设立审计委员会

这类公司，内部审计应隶属于董事会中的独立或非执行董事，与管理层没有关联。这样的隶属关系可保证内部审计的独立性。

3.管理者即是所有者

由管理人员拥有的公司，不存在利益冲突，这些企业管理人员关注经营的安全和价值增加，内部审计可由管理层领导，以协助管理层评估经营管理活动、风险管理并提供改进建议。

考虑到上述隶属关系的组合，内部审计很可能不是隶属于审计委员会，甚至可能隶属于管理层，这受所有权结构影响。

(二)内部审计师职业资格

另一个保证内部审计有效性的因素是内部审计人员的资格和职业能力。没有系统的研究或法律对内部审计师的职业资格做出严格要求。但是，内部审计界拥有国际认可的资格证书——国际注册内部审计师(CIA)，这是内部审计师职业化最高水平的要求。这一资格证书保证内部审计师拥有充分的技术和实务知识，以及为获得证书而进行的后续教育和职业发展。其他证书像ACCA或CPA也是可以的，但CIA是所有内部审计师的目标。

基于CIA要求和实践研究所分析的执业内部审计师的专业素质，我们确定了以下内部审计的职业资格要求:

1.拥有相关职业资格证书，特别是CIA;

2.具备丰富的实践经验;

3.持续的职业发展。

以上要求在确定内部审计有效性综合评分时将被考虑。

(三)内部审计策略

为了决定内部审计在风险管理中发挥的作用，要识别一个完整的风险管理过程包括哪些步骤，有哪些活动应由内部审计师进行评估，以保证其有效性。COSO委员会2004年发布《企业风险管理——整合框架》(COSO，2004)，为我们提供了风险管理过程中的关键程序，它显示在实施风险管理的过程中，内部审计师应该对哪些内容进行检查和评估。在这一框架基础上进行说明:

1.对内部环境和经营环境进行分析。内部环境包括风险管理理念和风险偏好、风险承受度、诚信和道德价值观、公司治理结构等。

2.目标设定。在识别和评估实现目标的风险并且采取行动管理风险之前，先必须设定明确的战略目标和具体的经营、报告和合规目标。

3.风险识别。应对可能影响公司目标实现的各种内外部事项进行识别，并区分机会和风险。机会可反馈到战略和目标设定过程中，风险则要求管理层予以评估和制定应对策略。

4.风险评估。从风险发生的可能性和影响程度两方面对风险进行评估，并采用定性和定量结合的方法将风险排序，以决定应如何对各种风险进行管理。

5.风险应对。评估风险并进行排序之后，应确定如何应对风险。应对风险的措施包括风险回避、降低、分担和承受。在考虑风险应对措施时，应评估风险发生的可能性和影响程度，确定可使剩余风险处于可接受水平的应对措施。

6.控制活动。控制活动是帮助确保管理部门的风险应对得以实施的政策和程序，包括批准、授权、验证、经营业绩评价、资产安全以及职责分离等。

7.信息与沟通。有关的信息以保证人们能履行其职责的形式和时机予以识别、获取和沟通。有效的沟通会出现在组织中向下、平行和向上的流动。

8.监控。对风险管理进行监控——通过持续的监控活动、个别评价或两者相结合来完成。风险管理的缺陷被向上报告，严重的问题报告给高层管理人员和董事会。

为保证内部审计有效性，必须积极实施上述框架风险管理过程，评估系统效果，并提出改进建议。内部审计不仅应对风险管理系统的有效性提供确认服务，还应提供更多增值服务。但这些活动不应该影响内部审计的独立性和客观性。

确认和咨询活动之间是否存在明确的界限，IIA认为确认活动是“为独立评估组织的治理、风险管理和控制过程而对证据进行的客观检查”，如财务、绩效、合规性和舞弊调查等业务(IIA，2002)。咨询活动被定义为“提供顾问及其相关的客户服务活动，其性质和范围需与客户协商确定，目的是在内部审计师不承担管理层职责的前提下，增加价值并改进组织的治理、风险管理及控制过程”，包括内部控制培训、业务流程检查、绩效评价系统设计等业务(IIA，2002)。

咨询业务保留了确认业务的一些特征，但两者还是存在根本性差别。确认业务包括以下基本要素:一是客观获取和评价证据的系统过程;二是需要事先确立的标准;三是将结果传递给相关使用者，除服务提供者和被审计方的第三方，而第三方决定了确认业务的价值，因此在确认过程中要保护第三方的利益。咨询活动则只涉及两个主体:审计人员和业务管理者(即服务的客户)，咨询项目所增加的价值取决于该项目对业务管理活动的价值。在咨询活动中，如果业务管理者没有看到有利于未来工作的潜在价值，他们可以中止内部审计服务。

而最重要的一点在于，确认服务是内部审计师的义务，而咨询服务则不是。因此，内部审计师开展咨询业务的目的是为组织增加价值以及更具竞争优势。

(四)内部审计有效性评估

内部审计发挥其增值作用，需要对自身有效性进行评估，评估其是否在公司经营中发挥增值作用、所提供的建议是否得到合理实施，并确定其对公司经营的具体影响值。以下方法可用来进行内部审计有效性的评估(Fraser等，2004):

1.内部审计计划

通过与内部审计计划进行对比，可以评估计划的完成情况、已完成总体计划工作的比例、已执行任务的数量等。

2.内部审计工作结果的评估

内部审计部门除了将工作结果与计划对比评估有效性之外，还可通过对内部审计客户进行满意度调查，来评估内部审计工作结果。

3.其他方法

其他可用来评估内部审计有效性的方法包括:内部审计工作对风险损失程度的降低，改进的内部控制和风险管理带来的成本节约等。

三、内部审计有效性综合评分

根据上述内部审计有效性的四个主要领域的分析，建立内部审计有效性综合评分的计算方法，表1显示了这一综合评分的计算原理。四个影响因素最高得分都为25分。

表1 内部审计有效性得分计算原理

(1)资格证书: 最高分:8 CIA 8 ACCA、CPA 7其他相关证书2－5无证书0 (2)实践经验 最高分:9 (3)职业发展: 最高分:8课程学习2内部培训3外部培训3 3.内部审计策略 最高分:25 (1)风险管理过程 最高分:11积极参与11仅提供确认服务6未参与0 (2)内部审计业务流程 最高分:10风险评估与资料研究2内部控制调查与评估1细节测试1编制并提交报告2协助改进意见实施2其他咨询活动2 (3)其他增值活动 最高分:4 4.有效性评估 最高分:25 (1)风险损失的降低4 (2)改进内部控制和风险管理的成本节约4 (3)内部审计客户满意度调查6 (4)计划完成情况6 (5)总体计划工作完成比例3 (6)已执行任务数2 100内部审计有效性得分 最高分:

根据内部审计有效性综合评分的计算原理，可以识别内部审计有效性的不同等级，如表2所示:

表2 内部审计有效性综合得分

61－87分有效性较高:独立性较强，具备较高的职业资格水平，提供确认服务并开始开展其他增值服务，评估内部审计计划完成情况。88－100分有效性高:独立性强，具备高水平职业资格，积极参与风险管理，提供确认服务与咨询服务，持续进行有效性评估活动。

通过对内部审计有效性的四个因素进行评价，得到内部审计有效性综合得分，根据表2可确定内部审计有效性水平所在的层级。

当一个公司正在建立内部审计职能时，计算内部审计有效性得分非常有用，这样可以保证其所建立的内部审计的有效性，也可以评估现有内部审计职能的发展水平并采取改进措施。

四、结语

本文在前人研究的基础上，探讨了内部审计有效性综合评分标准，这个标准由四个因素所决定，并要求内部审计遵循最高的有效性水平:一是隶属于独立的审计委员会，或其他保证独立性的组织;二是拥有CIA证书，并具备丰富的实践经验;三是积极参与风险管理过程，提供系统改进意见并确保其实施，在不妨碍独立性前提下提供更多增值服务;四是建立和实施内部有效性评估过程，不仅与计划对比，还考虑客户的反馈意见，如果可能，量化内部审计工作的结果。

内部审计有效性评价框架可以成为改进公司内部审计职能有效性或推动内部审计职能建立的有用工具。当然，内部审计有效性评价标准真正发挥作用，还有赖于公司审计委员会实际作用的发挥、风险管理系统的完善程度等因素。

［1］Ramamoorti，S.Internal auditing:history，evolution，and prospects.The Institute of Internal Auditors，2003.

［2］Sawyer，L.B.;Dittenhofer，M.A.Sawyer’s internal auditing:The practice of modern internal auditing 4th ed.The Institute of Internal Auditors，1996.

［3］The Institute of Internal Auditors.Implementing the professional practices framework.2002.

［4］The Institute of Internal Auditors.Standards for the professional practice of internal auditing.2002.

［5］Institute of Internal Auditors Research Foundation.Assurance and consulting services.2003.

［6］The Institute of Internal Auditor.The Role of InternalAuditin Corporate Governance and Management［EB/OL］.http://www.theiia.org，2003.

［7］中国内部审计协会.中国内部审计准则［S］.2013.

［8］乔春华.审计委员会职责的新发展［J］.审计与经济研究，2005(3).

［9］夏文贤.大股东股权特征与审计委员会设立［J］.审计研究，2005(6).

［10］(美)COSO发布.方红星，王宏译.企业风险管理——整合框架［M］.东北财经大学出版社，2005.