内部审计和相关概念

一、内部审计的独立性与职业审慎

内部审计概念是从审计实践中抽象出来的，是制订和评判审计准则的依据和衡量审计质量的尺度。在审计概念的概括抽象过程中要运用到演绎归纳推理的方法，演绎的起点是审计的目标和审计基本假设，演绎的结果要有利于建立审计准则的概念框架体系，对审计准则的制订具有指导作用。世界上最早构筑审计理论结构的审计学家是美国的莫兹和埃及的夏拉夫，他们提出了五个审计的基本概念，即证据、应有的审计关注、公允表达、独立性、道德行为。这五个概念在十条公认审计准则中都有所体现，由此可以看出审计概念在制订审计准则时的重要性。

从审计实践中可以推出许多审计概念，但是推论审计概念除了要考虑审计实践外，还要考虑审计理论结构的完善、审计概念对制订审计准则的重要性等要素。因此，内部审计基本概念应包括独立性、应有的审计关注、审计证据。

（一）内部审计的独立性

独立性是指首席审计官或内部审计部门秉公无私地不受任何威胁地执行工作的情况。首席审计官可以直接、无限制地与高级管理层、董事会接触，建立双重报告关系来达成履行内部审计部门职业所要求的独立程度。当独立性面对各种逼迫和威胁时，必须从审计师个人、职能部门、具体业务和整个组织等方面来解决。要保证内部审计部门在组织上的独立性，首席审计官一年至少一次向董事会明确情况，向组织内部审计部门进行报告。内部审计师在工作时要秉持公平公正、秉公执法的原则，与各方人员和谐共处。内部审计的独立性是由内部审计人员的客观性、内部审计部门的组织情况来达成的。

1.内部审计的组织地位

一般来说，内部审计部门是企业的职能部门，内部审计部门的规模和地位根据企业的需要而设置或确立。是否设置内部审计部门、内部审计组织规模的大小、内部审计隶属于哪个部门等问题应由企业决定，不应由企业外部（如政府有关部门、企业主管部门）强加于企业，因为这与建立现代企业的需求是不相适应的。在20世纪80年代，我国国有企业的内部审计组织大多是作为政府审计的基础，为了满足政府审计机关审计的需要，由企业行政主管部门硬性规定设立的，这在人们缺乏对审计工作的认识和审计工作的作用还没有充分发挥的情况下，对内部审计的发展起了重大的推动作用。根据国内外的内部审计工作经验得知，内部审计的组织地位与作用的施展是相得益彰的，若发扬了财务审计、合规审计、经营审计和内部控制审计等方面的作用，将有利于内部审计组织地位的提升。反之，提高了内部审计组织的地位，也能增强内部审计组织的独立性，同样也有助于内部审计人员行之有效地履行自身责任，发挥内部审计的职能。除此之外，还有外在的环境，特别是工作中涉及的法律环境、经济环境都会对内部审计组织产生一定程度的影响。

独立或者不归属于企业中其他的职能部门是内部审计组织最基本的要求，以此来保证内部审计人员在部门关系中与被审计的部门、单位或者相关业务活动区分开来。内部审计部门在组织关系中的独立性是内部审计人员能秉持公平公正、客观实际职业态度的先决条件。所以，内部审计部门的组织情况能让它完美地实现审计职责。内部审计报告的申报对象关乎内部审计部门组织地位的高低，换言之就是接收审计报告的对象如果有强大的权威，且一定能对审计报告中出现的问题与建议给出自己精准、恰当的分析和最合适的改进措施。所以内部审计人员一定要获得高级管理层与董事会的认可和支持，这样有助于其和被审计者沟通合作，在展开工作时可以不受其他因素的干扰。

2.内部审计人员的客观性

内部审计人员的客观性是指内部审计人员秉公执法的工作态度，工作时不做任何妥协，以保证工作成果的可信性。当面对各种胁迫时，必须从审计师个人、职能部门、具体业务和整个组织等方面来解决。客观性强调内部审计师在进行审计事项判断时不能屈从于他人，需要做到以下三点：

（1）精神方面的独立。审计人员必须保持思想、精神上的独立。独立性是指一种客观公正的能力和态度。

（2）形式方面的独立。审计机构和审计人员在外在形式上要与被审计单位区别开来，不参与它们的管理组织活动，而且要与被审计单位和主要领导人没有经济方面的往来。

（3）审计过程方面的独立。在审计计划的制订、实施和审计报告的提出过程中，审计人员需保持独立。在审计计划制订的阶段要注意选择审计技术、审计程序及确定应用范围时不能受到影响和操纵；在审计计划实施的阶段要注意选择检查范围、活动、人际关系及管理政策方面不能受到影响和操纵；在提出审计报告的阶段要注意陈述检查明确事实、参照检查结果提出意见和指导时不能受到影响和操控。

（二）内部审计师应有的职业审慎

内部审计师务必具有坚持合理的审慎水平及胜任能力所要求的技能和严谨。不过，具备职业谨慎并不是说工作中永远不出错，而是内部审计师要从以下几方面注意其职业审慎：①为完成任务需要展开工作时。②要明确项目的相对重要性、复杂性和严重性。③整治、危险管理和掌管过程的恰当性和有效性。④出现巨大偏差、舞弊和不符合法律规定的可能性。⑤跟潜在效益相对的证实成本。在执行应有的职业审慎时，内部审计师一定要考虑使用技术的审计方法和其他数据分析技术。同时，内部审计师需提前意识到干扰目标、运营和资源的巨大风险。职业审慎是指内部审计人员在展开内部审计工作时要保持良好的审慎能力。职业审慎要求审计人员做到下列四点：

（1）将检查和审核工作进行到一个合理的程度，它不要求对所有经济业务进行详细的审计，但要求内部审计人员在接受一项委托时，应考虑实质性的违章或不守法的可能性。

（2）内部审计人员应对一些事项保持审慎性：①故意做错、差错和疏忽、效率低、浪费、无效的和利害冲突的可能性；②最可能出现的不正当行为的情况和活动；③不恰当的控制系统；④评价现有的经营准则并确定这些准则是否可以被接受并得到遵守等。

（3）当怀疑被审计单位有不正当行为时，必须通知企业内部适当的权力机构并进行必要的调查，此后，内部审计人员还应进行必要的跟踪审计。

（4）使用适当的审计技巧和判断，如审计程序、考虑内部控制系统的健全和有效性、审计效益成本。保持应有的审计关注意味着通过审计，审计人员可以发现可能的舞弊和差错；对于使用审计报告的人员来说，他们拥有一个衡量审计工作成果的标准和对审计人员的期望标准。

在执行审计业务过程中，为了有效地履行审计责任，审计人员应尽的审计关注主要包括：

首先，对相关法律、法规的关注。内部审计人员应该对那些如果不被审计单位遵守就将影响会计资料的可靠性、就会出现重大错漏和舞弊、就会出现财产物资损失的法律、法规和制度予以充分关注。一旦发现其未被遵守，应当规划和实施必要的审计程序，评价并揭示不遵守所导致的结果。

其次，要关注会计报表中的其他信息。例如，管理局的经营报告、财务概述和比率、雇员信息、资金支出计划、可选择的季度资料等。审计证据数量要充分。充分性即是足够性，是指审计人员搜集的审计证据要满足审计意见在数量上的需求；恰当是审计证据在质量上的要求，包含可靠和相关者两个子项。可以从审计风险、具体审计项目的重要性、审计人员的业务水平、审计过程是否公平公正、审计证据的取得方式和类别、成本效益性、整体的规模和特征等方面来评判审计证据是否充足。而审计证据的恰当性包括相关性及可靠性。审计证据的相关性是指审计证据和被审计事项的审计目标相联系，审计证据能阐明审计意见与结论。另外，审计证据如果能客观、实际地反应事实，则表明审计证据具有可靠性，当然可靠性会受到信息来源、客观性、及时性等限制。

二、内部审计的重要性原则与模式

（一）内部审计的重要性原则

内部审计要依照企业本身的风险及控制的重要性来明确审计重点，关注重点区域的重要业务，即遵守重要性原则。内部审计应以面临的战略风险和重大风险为导向，在两个层面上展开审计工作，即计划层面和执行层面。

第一，战略分析，在战略层面了解被审计单位及其所处的市场和行业。

第二，企业风险识别和评估是帮助企业识别关键风险并优化风险管理框架的一个过程。评估结果有助于内部审计计划的制订，并通过风险导向原则使内部审计人员集中关注高风险领域，从而提高工作效率。

第三，制订内部审计计划，内部审计计划应基于风险导向原则而制订。

第四，执行内部审计计划，了解业务流程，制订内部审计方案并开展审计工作。执行审计计划还包括了对控制活动的验证和测试，以及对发现问题的记录。

第五，报告审计结果，指导在战略分析、了解业务流程以及执行内部审计等各阶段的报告工作，包括向审计委员会进行的报告，如年度报告和季度的更新情况报告。

第六，落实跟进审计发现，对审计发现的解决和跟进。

内部审计其实是一项独立、客观的询查和保障活动，通过应用系统化的方式，评估与优化风险管理、控制和治理过程的效果，达到提升组织的价值或优化组织的管理的目的，帮助组织实现目标。根据内部审计的定义，内部审计职能在传统的监督检查之外，更多地体现了“咨询”角色、“服务”理念，促进组织目标实现的“战略”定位，拓展了内部审计作为董事会和高管层的“谋士”角色。

（二）内部审计的模式

1.传统国营内部审计模式

在传统的国营内部审计模式中，内部审计其实是政府审计机关权利的外延，在各政府机关、国有企业和非营利性机构中都有。其目标是辅助政府进行监督管理，保证资产和资源合理使用，上交审计的工作结果和分析给国家和组织领导人，辅助政府处罚违反规定的机关责任人。在该模式下，内部审计多被定位为稽核。

稽核，稽是考察、稽查；核是审核、核实、核查，合成解释为稽查成数而审核其实在。稽核在英文中表述为“check”“examine”，意为检查、核对、调查的意思。简言之，稽核是稽查和审核的简称，稽核关注对经济活动和内部控制的监督检查。我国早在1985年人民银行颁布的《中国人民银行稽核工作暂行规定》中就采用了“稽核”的概念，虽然文件中并未给出“稽核”一词的明确定义，但从其中规定的稽核人员的职权中可以看出稽核的功能定位：查阅被稽核单位的各种凭证、账簿和报表等资料；检查被稽核单位的业务库现金、金银、外币、有价证券和代理发行库的发行基金，必要时可先封后查；参加被稽核单位的有关会议，查阅有关文件；提出制止、纠正和处理被稽核单位不正当业务活动的意见。由此可见，稽核的角色主要是企业的警察、卫士或保安的角色，履行的是传统的查错纠弊、查阅和核对文件、事后监督检查的职能。

2.传统西方内部审计模式(www.xing528.com)

在传统西方内部审计模式下，内部审计是评价企业财务机制的活动，目的是协助企业的管理层维持有效的财务机制，并向管理层提供财务机制审计的分析、评价及建议等资料，协助企业确保财务机制健全。

3.现代企业内部审计模式

在该模式下，内部审计是提供独立和客观的审计及顾问服务，目的是协助企业增值及改善营运的效率及效益，是向审计委员会提供营运审计的分析、评价及建议等资料，协助企业有效地管理风险及维持公司治理机制。在该模式下，内部审计被重新定义为：一种独立、客观的询查活动，可以优化机构的运营和提升其价值。内部审计借用一种系统的、有逻辑的方式来评判和优化风险管理、把握公司治理流程方面的有效性，帮助该机构实现目标。

三、内部审计的作用与角色

（一）内部审计的作用

1.三道防线作用

“三道防线”的概念最早应用在医学方面“人体免疫的三道防线”。第一道防线是由皮肤和黏膜构成，能够阻挡病原体侵人人体，而且它们的分泌物（如乳酸、脂肪酸、胃酸和酶等）还有杀菌的作用；第二道防线是体液中的杀菌物质——溶菌酶和吞噬细胞。前两道防线是人类在进化过程中逐渐建立的天然防御功能，特点是每个人生来就有，不针对某一种特定的病原体，对多种病原体都有防御作用，因此叫作非特异性免疫（又称先天性免疫）；第三道防线主要由免疫器官（扁桃体、淋巴结、胸腺、淋巴结、骨髓和脾脏等）和免疫细胞（淋巴细胞、吞噬细胞等）借助血液循环和淋巴循环而组成的。第三道防线是人体在出生以后逐渐建立起来的后天防御功能，特点是出生后才产生的，只针对某一特定的病原体或异物起作用，因而叫作特异性免疫（又称后天性免疫）。“三道防线”的概念后来被广泛运用，特别是企业“风险管理的三道防线”。

第一道防线是业务操作部门，是风险所有者和责任人，负责识别、评估、控制、缓释和报告在业务开展过程中遇到的风险。

第二道防线由风险管理职能、合规职能及其他监控职能（如人力资源、法律）构成，负责协调并监控业务操作部门有效实施风险管理实务。风险管理职能协助第一道防线定义风险敞口并形成各级风险报告。合规职能负责监控银行对法律、法规和标准的违规情况。这些职能同时也是控制职能，确保与风险承担相关的政策和程序被切实履行。

第三道防线是内部审计职能，运用风险导向方法评估银行内部控制设计和运行的效率性和效果性，定期向高级管理层和董事会提供合理保证。内审职能对风险管理、合规及其他监控职能的工作进行定期评估。

2.反舞弊的作用

运行良好的内部审计可以有效地防范和发现舞弊行为，监控并改进银行运营和资源使用的效率和效果。内部审计就舞弊风险管理流程的充分性和适当性以及运行有效性向董事会提供合理保证。

（1）舞弊控制环境建设。内审负责人作为员工守则制订小组的成员，对员工道德行为、反舞弊意识等企业文化建设事项提供咨询建议，对企业高级管理人员管理舞弊风险的能力进行定期评估，了解高管层的反舞弊的理念和基调。推进各级人员的反舞弊意识，定期对员工开展道德培训，包括对银行政策和程序的遵循、浪费、腐败以及不当管理行为的识别和警惕等。内部审计章程中应明确规定内部审计在舞弊风险管理中的职责。

（2）舞弊风险识别和评估。内部审计可对舞弊风险评估流程的有效性进行测试和评价，内部审计在制订审计计划时应考虑银行对舞弊风险的评估结果。与开展舞弊风险评估的人员进行定期沟通和访谈，确保相关舞弊风险得到了恰当的考虑和处理。内部审计可以定期审阅业务部门风险识别结果的全面性和充分性，特别是对于管理层凌驾控制的风险识别。

（3）舞弊风险应对措施。内部审计可代表审计委员会对企业员工，特别是高管人员招聘的背景调查流程执行穿行测试和评价。对举报流程和企业热线的设置情况进行穿行测试和评价，协助审计委员会了解这一流程，对舞弊控制活动的运行有效性进行测试和评价。

（4）舞弊信息沟通。监督和评价员工沟通渠道的有效性，例如，员工调查工作是否定期执行，员工调查内容是否包含反舞弊意识、舞弊风险识别和举报的相关内容等。对举报热线或相关内外部信息沟通途径进行监控，确保其有效运行。就舞弊事件的识别和调查情况与审计委员会进行及时沟通。

（5）舞弊调查和监控。对内外部举报热线（合规、道德、贪污举报等）接收的问题处理情况进行监控和跟进，有效改进举报流程的透明度。对参与舞弊检查人员的资格、技能和独立性进行评估，发起或配合相关各方开展舞弊调查，分析舞弊产生的根本原因，提出潜在改进建议，内审负责人应对内审人员开展舞弊调查培训，使内部审计人员了解、熟悉相关的舞弊迹象特征。

（二）内部审计的角色

全球金融危机让人们意识到加强风险的识别、分析与管理对企业来说是生存的关键，在相当程度上还决定了商业银行的风险文化和管理能力。内部审计作为其风险管理的重要组成部分，必须适应外部环境的变化，进行自身角色的再认识，这样对于提高其风险管理能力，建立谨慎的风险管理文化，帮助构建全面风险管理框架具有重要作用。

内部审计应是结合风险管理、公司治理和内部控制评价为一体的综合审计。它应关注公司治理框架中风险发现与风险管理，关注管理者及其经营管理行为可能出现的风险，关注组织在整个治理过程中的决策风险和经营风险。通过对风险管理、内部控制、公司治理三大领域的风险识别、评估，来发挥其确认和咨询职能，从而实现其完善公司治理，创造价值的目标。内部审计在风险管理中的再认识是立足于辩证法原理，具体分析内部审计对风险管理发展的促进作用及内部审计在风险管理的不同阶段发挥的不同作用，来实现内部审计价值增值的目的。

1.内部审计对全面风险管理的促进作用

引起公司风险的最大因素是管理的不完善，而内部审计是治理结构中的组成部分，它的工作就是帮助公司建立良好的管制，宣传董事会的风险管理文化，且根据风险管理战略的改变，及时优化对管理层风险管理的评判重心，提出合理的改善意见。所以优化风险管制就水到渠成地成了内部审计的工作特性。据研究，在金融危机时受到较大损伤的华尔街金融机构，平时就有通过《新巴赛尔协议》帮助自身进行风险管制，但是《新巴赛尔协议》里面的评价准则是各个金融机构自行编订的，这些机构高估了本身风险敞口及流动性能力，离真正的压力测试和情景测试存在一定的差距，审计委员会和管理层间缺乏强力有效的交流沟通机制，引起风险理念与信息的不对等，从而让自身损失惨重。

商业银行需要从全局出发做好风险防范及控制，因为银行风险具有感染性、不对称性和传递性等特点，不是每个部门都能做好风险防控。内部审计没有具体的业务活动，它是独立的一个部门，这就使它可以从全局的视角出发，客观实际地进行风险评判，及时为各管理部门提供恰当的建议去采取行动、规避风险。内部审计部门和内部审计人员有着外部审计无法超越的优越感，内部审计在风险管制方面有着得天独厚的优势，如了解整个行业和自己面对的风险，对规避风险、实现目标有着更高的职业责任感和义务感，从而让服务更具有连续性和实效性。特别是在机构业绩上涨受到压制时能和利益相当，以保护资产。

2.内部审计在风险管理的不同阶段发挥的不同作用

在全面风险管制框架中，内部审计发挥着独特的作用，因为风险管制框架触及的领域颇多，所以内部审计要在不同的阶段、环境中改变角色定位，以做好风险管控。当然，这需要多方面的努力，如内部审计的检查及评判效果，强化风险管理者和参与者发挥的作用。

（1）内部审计六种角色的划分。

1）布道者：首席审计官（CAO）和团队成员能对不熟悉风险管理的各层次管理者进行培训，增加他们全面风险管理框架的知识，还可以从严谨的角度出发，将该框架的知识对各层次的管理者和董事会进行讲解。

2）推动者：实行风险管理离不开高质量的风险评估。内部审计要有能力进行高质量的风险评判，制定风险应对计划。

3）联系者：风险管制在“促成框架”进程中需要各部门使用共同语言，这样可以让内部审计的增值协调作用得到发挥，使“促成框架”在银行中得到肯定和使用。而CAO有机会成为共同语言的倡导者，成为各部门交流的纽带。

4）整合者：内部审计可以利用自己的独立性，在企业中搜集、分析和综合各个途径的数据与信息，还可以汇报银行范畴内的风险审计结果，从而给出对董事会有用的风险管制优化建议。

5）评价者：内部审计可以使用全面风险管理框架中的八部分来评判风险管理，评判的对象不限，可以为所有银行，也可以是银行的分支行或者控股子公司。全面评判和督查关键风险的管理工作能为风险管理流程作出保障，当然还要注意是否覆盖了所有的不确定性。

6）咨询者：内部审计可以根据自身对风险管理方面的经验，为管理层在规划风险管理政策、风险辨别程序时提供咨询服务。该服务可以使管理层在风险与收益方面实现银行长远利益的均衡。

（2）六种角色形成的闭循环。上文所说的六种内部审计角色在风险管理的不同时期是可以进行角色更换的，如一种角色可以更换成另外一种角色；又如六种角色可以一起出现；再如一种角色可以占主导地位发挥作用，其他角色虽发挥效力，但效力相对较小。在风险管理体系程序不健全的情景中，内部审计可以向管理层建议成立企业风险管理，让董事会赞同进行营造风险管理文化和建立体制框架；如果处于风险管理的初期阶段，内部审计此时发挥的是协调者与推动者的效力，可以作为总协调员去和各部门沟通协调，这样可以缩短风险管理建设的周期；如果是处在风险管理基本框架完成时期，则内部审计此时彰显的是整合者的效力，当然他们也可突出咨询者与评价者的价值，对各个经营部门的疑难问题进行讲解，甚至可以整体评估风险管理框架。

在风险管理逐渐成熟及运作稳定后，风险评估者可以对风险管理进行情景或压力测验，来评估运行的结果和效率，再把有问题的地方优化，这强化了风险管理的作用。但是要注意环境的改变，做到让风险管理在变中达到不变的均衡状态。当然企业的风险管理文化及策略也需要作出相应调整，这时内部审计发挥的是布道者的效力，从而推进风险管理的更新。这使内部审计和对象之间有着高整合性，让它在监管、评估风险管理方面具有有效性，能协助改善风险管理的六种角色在不同情境中转化，这展示出了内部审计的弹性，而这种弹性又是一种反促动力。另外，内部审计能依照评估结果的风险来编排审计工作，让风险管理与内部审计始终保持同样的步伐。

另外，内部审计的报告关系将会对风险管理的角色有所影响，如报告关系层次越高代表独立性越强，这将有利于他们从全局和战略角度进行风险管理。同时，内部审计为了更好地实现角色要求，需要运用现代审计方法，不断改进对企业的内控与流程的评价手段。内部审计应成为企业在治理结构和内部控制环境方面的业务顾问和控制专家，帮助提高风险管理决策的有效性，实现资产的保值与增值。