李官森

国际内部审计师协会（IIA）《国际内部审计专业实务框架》（IPPF）是在全球范围内权威的内部审计标准体系。其核心部分《国际内部审计专业实务标准》（以下简称《标准》），集中反映了IIA倡导的内审理念和内审实务发展变化。截至2016年10月，IIA已先后发布了3个版本的《标准》。本文对比梳理了这3个版本的不同，分析国际内审理论和实务发展的總体趋势和方向，为深化和发展人民银行内审工作提供有益的借鉴和参考。

一、实务标准历次重大修订情况

以2009年IIA首次正式发布的《标准》为基础，2011年、2013年和2016年发布稿主要对24个条款、35处内容进行了修订，具体情况见表1。这些修订是近年来内审环境和实务变化对内审理念和战略影响的集中体现，可以概括为以下六个方面的内容。

（一）提炼核心原则并将其提升为强制性要素

IIA在2015年7月才首次发布内部审计专业实务的10项核心原则，即：展示正直；证明胜任能力和应有的职业审慎；客观，免受不当影响；与组织的战略、目标和风险保持一致；定位适当且资源充足；展示高质量和持续改进；有效沟通；提供基于风险的确认；见解深刻、积极主动、关注未来；推动组织的提升。2016年发布稿就提高了核心原则的重要性。一是将核心原则确立为内部审计有效性的关键要素。二是将《标准》的定义由“以原则为导向的强制要求”修改为“一系列基于原则的强制要求”。核心原则成为《标准》的基础，而不是工作参考。三是强化核心原则的基础作用。《标准》明确提出内部审计部门的宗旨、权力和职责必须与核心原则一致，要求核心原则必须在内部审计章程中得到反映。

（二）不断强调客观性

从修订内容的结构看，客观性相关条款修改最多，且每次修订都有内容增加，足见客观性始终是内部审计最重要的标准。一是加强组织独立性。《标准》一直强调董事会权限对实现内审独立性的重要性，在三次修订中不断增加需要董事会批准的事项，从章程、工作计划到部门预算、资源配置，要求在审计范围或资源受到限制时，向董事会汇报和沟通。二是进一步厘清内审职能边界。在实务中，董事会可能让内审部门跨越职能边界，承担管理责任，这对内审部门的独立性造成损害。《标准》紧跟实务，指出内审部门在面对职能边界问题时，应建立定期评估报告机制，并针对额外负责领域寻求再监督措施，以防范因提供咨询服务而承担管理责任。

（三）不断强化质量保证措施

一是加强内外部评估，丰富质量评估的内容和要求。外部评估的形式可以是外部第三方评估，或者是外部第三方对自我评估的独立审定；强调从董事会的角度进行满意度调查，鼓励董事会参与质量保证与改进程序；要求所有内部审计活动必须有内部评估的结果，至少五年开展一次外部评估。二是建立统一的流程，评估第三方成果的可信度。审计过程中，可能需要依赖其他确认和咨询服务提供方的工作成果，首席审计执行官应当对其胜任能力、客观性和应有的职业审慎进行评估，对其工作的范围、目标和结果有清晰的了解，从而确保获得充分证据以支持审计结论和意见。

（四）增加审计计划和发表审计意见的考量因素

2011年发布稿新增标准，要求把审计需求方、利益相关方的预期作为审计计划和发表整体审计意见的重要因素。2013年发布稿增加释义，指出在组织的业务、风险、运营、程序、系统和控制变化时，应该检查计划的适应性并适时调整计划。2016年发布稿则进一步指出无论组织是否建立风险管理框架，都要根据内审部门的风险评估结果来制订审计计划。

（五）强化与董事会的沟通

2013年发布稿指出，如果审计发现问题未得到彻底解决或整改进度不理想，必须与董事会进行沟通。2016年发布稿大幅增加需要向董事会报告的内容，包括：审计章程；内部审计活动的独立性；审计计划和进度；资源需求；审计结果；遵循《标准》的程度以及针对重大合规事项的措施；管理层接受但组织可能不接受的风险。

（六）增加工作性质，完善工作内容

2016年发布稿指出内审价值提升的途径是提供深刻见解并考虑未来的影响。内部审计活动必须对战略决策和运营决策、风险管理和控制过程予以评价并提出适当的改进建议，并不断修改增加风险评估和内控评估的内容，重点增加对程序的合规、效率与效果的风险评估和内控评价。

二、不同能力水平的公共部门内审机构的应用策略

按照IIA的要求，《标准》都是强制性的而不是选择性执行的。但在具体的内审实践中，由于组织的性质、复杂度以及组织可能面对的风险不同，不同组织之间内部审计能力水平发展不一。公共部门在预算约束下，更要考虑成本效益，能力水平存在较大差异。鉴于此，本文认为，不同能力水平的内审部门在应用《标准》时所采用的策略应有差别。

IIA在2009年发布的公共部门内部审计能力模型（Internal Audit Capability Model for the Public Sector，以下简写为IA-CM）将公共部门内部审计能力划分为初始级、基础级、整合级、管理级和优化级等共五个等级。

1. 处于整合级、基础级、初始级的内审机构。在组织关系与文化、治理结构方面受治理环境、资源约束，内审活动重点放在内部审计的职能与作用、人员管理、专业实践、绩效管理与受托责任等四个可控性高的要素上，具体来说：

（1）围绕核心原则要求改造内审职能，不断提高内审有效性。

（2）不断强化质量保证措施，通过内外部评估找出差距，明确努力方向。

（3）在制定审计计划和发表审计意见时，充分考虑董事会、高级管理层及其他利益相关方的预期，关注风险管理、内部控制的效率和效果。

（4）主动加强与董事会等治理层的沟通，加强治理理念的宣传和引导。

2. 达到管理级、优化级的内审机构。其所处治理环境好，组织对内审部门参与治理的要求高，组织关系与文化、治理结构成为在应用《标准》时侧重的内容。具体来说：

（1）巩固和强化核心原则对内审职能的要求，进一步提高有效性。

（2）拓展现代内部审计职能。内部审计部门应在风险管理、组织治理中发挥更大作用；立足长远，面向未来，关注发展趋势和新兴事项。

（3）进一步厘清内审职能边界。这两类机构中，治理层更易利用内审的咨询服务职能，可能让内审部门跨越职能边界，承担管理责任。为此，在不断扩展职能的实践中，应建立相关配套制度，确保客观性不受损害。

（4）调整审计计划和发表审计意见的侧重点。随着组织面临的竞争和风险加大，内审机构在强化风险管理和内部控制的同时，必须立足长远、顺应发展趋势，提高审计计划、审计评价与组织战略和文化的契合度。

三、对人民银行及其分支机构适用《标准》的思考

人民银行及其分支机构内审部门自1998年陆续设立开展工作以来，在促进人民银行依法履职和规范管理方面发挥了职能作用，但尚不能实现对《标准》的完全遵循。为此，人民银行在应用《标准》时，可考虑引入IA-CM模型，循序渐进提升能力水平，进而提升对《标准》的遵循度。

（一）人民银行内审部门能力水平等级的确定

目前，人民银行制定了内审工作制度、操作规程、履职离任审计制度，内部审计已经作为内部控制的重要制度性安排，融入各项日常业务；建立了业务风险评估制度，以问题和风险为导向开展审计，内部审计职能逐渐从传统合規性审计向管理型审计转变，在促进各业务部门及分支机构履职绩效和风险管理水平方面发挥着建设性作用；近几年来注意保持内审职能边界，提高审计质量，着力提升和改善内部审计活动的独立性和客观性。但与最新《标准》要求仍存在一定差距，主要表现在：组织独立性还不够强，以风险为基础的内部审计计划不由行长办公会批准，无单独的审计经费预算，审计资源还不能满足业务需要；审计部门职能边界还不够清晰；审计主要关注过去已发生事项，对未来关注较少；内外部质量评估尚处于探索阶段。对照IA-CM模型，人民银行及其分支机构内部审计能力水平与“整合级”接近。

（二）下一步努力方向

IIA对《标准》的历次修订和IA-CM模型，为深化发展人民银行内审工作提供了有益的参考。对照标准和模型，人民银行及其分支机构内部审计能力水平还有较大发展提升空间。在“整合级”能力水平基础上，人民银行及其分支机构应该找出与IA-CM模型“管理级”能力水平要求的差距，坚持立足业务实际，逐步转变、逐步适应，走渐进式发展之路。

1.不断提高内审工作的有效性。以内部审计核心原则为基础，以IA-CM模型“管理级”能力水平的要求为目标，促进人民银行内审工作向更高水平发展，不断提高对《标准》以及其他强制性标准的遵循度。不断固化深化发展成果，提炼形成制度，为提高内审工作能力水平夯实基础。

2.不断强化质量保证与改进措施。通过内外部评估，评估人民银行内部审计活动对《标准》、内审人员对《职业道德规范》的遵循度，识别改进机会。

3.主动加强与治理层的汇报和沟通。治理层的支持是深化发展内部审计的关键。人民银行及其分支机构应在人民银行内部加强现代审计理念的宣传和推介，在开展审计计划和发表审计意见时，应充分考虑决策层、业务管理部门及其他相关方的预期，关注风险管理、内部控制的效率和效果。

（责任编辑 刘西顺；校对 XS，GX）