全球視角和見解：內部審計與外部審計在組織治理中扮演的不同角色

徐天然

訪談對象

John Bendermacher，CIA、CISA，首席審計執(zhí)行官，

荷蘭銀行– 荷蘭

顧問委員會

Nur Hayati Baharuddin，CIA、CCSA、CFSA、CGAP、CRMA

–馬來西亞內部審計師協(xié)會會員

Lesedi Lesetedi，CIA、QIAL

–非洲內部審計師協(xié)會聯(lián)合會

Hans Nieuwlands，CIA、CCSA、CGAP

–荷蘭內部審計師協(xié)會

Karem Obeid，CIA、CCSA、CRMA

–阿聯(lián)酋內部審計師協(xié)會成員

Carolyn Saint，CIA、CRMA、CPA

– 國際內部審計師協(xié)會北美分部

Ana Cristina Zambrano Preciado， CIA、CCSA、CRMA

–哥倫比亞內部審計師協(xié)會

讀者意見反饋

請將問題和建議發(fā)送至

globalperspectives@theiia.org.

目錄

摘要

職能

角色

確定和管理風險

結語

摘要

內部審計人員和外部審計人員的利益、角色、責任和工作相互補充，有時會有相似之處，甚至會有重疊的部分。比如說，兩者可能都會對組織的各項交易進行深入分析；會對治理、風險管理以及內部控制系統(tǒng)十分熟悉；審計業(yè)務結束后都會共享和提交審計報告。

這種現(xiàn)象不足為奇。每一種職業(yè)都會以某個專業(yè)學科為基礎，并在工作中遵循該學科的標準。正因為如此，外部審計人員在專業(yè)上關注的問題包括影響會計核算（財務信息）的不準確信息和錯誤。而內部審計人員則會關注有關治理、風險管理和內部控制（非財務信息）等問題。內部審計和外部審計不是競爭關系，相互之間并不沖突；相反，二者互為補充，對于良好的組織治理至關重要，應當保持溝通和合作。

但是，二者扮演的角色以及工作范圍明顯不同。表1是對不同之處的總結。有時對這些差異的認識存在不足，甚至會引起利益相關者的誤解和困惑。

內部審計

IIA將內部審計定義為“一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統(tǒng)的、規(guī)范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現(xiàn)其目標?！?/p>

內部審計人員需要具備多個學科的相關知識，不能只局限于某個領域。

IIA認為，內部審計業(yè)務是“一項特定的內部審計工作、任務或是審查活動，如一項內部審計、控制自我評估審查、舞弊審計或咨詢服務。一項業(yè)務中可能會包含多項任務或活動，旨在完成某項特定的相關目標?！?/p>

內部審計人員是組織的雇員，但是內部審計人員需要獨立于審計對象開展業(yè)務。因為只有保持獨立性才能保證審計效果。理想情況下，內部審計人員應該直接向董事會報告。

內部審計人員必須遵循IIA的《國際內部審計專業(yè)實務標準》。

外部審計

國際會計師聯(lián)合會（IFAC）認為，審計工作是“一項合理的確認工作，事務所的職業(yè)會計師對財務報表是否在所有重大方面遵循適用的財務報告框架（或是否根據(jù)適用的財務框架的要求提供真實、公允的信息）出具意見，上述框架包括了《國際審計準則》。法定審計，即根據(jù)法律和其他法規(guī)的要求開展的審計，也屬于審計工作的范疇?！?/p>

與內部審計人員不同，外部審計人員不是組織的雇員——而是第三方，因此外部審計人員在組織內不存在既得利益。

國際審計與鑒證準則理事會（IAASB）發(fā)布《國際審計準則》作為指導全球外部審計人員的工作指南。

在一些國家和地區(qū)，公司治理規(guī)章和監(jiān)管機構要求組織必須擁有內部審計人員。這是對內部審計為組織提供價值的認可。內部審計能夠為組織節(jié)省開支，保護組織聲譽，為組織的成功鋪路。簡言之，內部審計能夠確認和發(fā)現(xiàn)影響組織完成目標的風險，提醒組織領導者防范風險，并積極提出改善意見，幫助組織降低風險。具體例子包括：

發(fā)現(xiàn)浪費；

確定危險信號；

核查數(shù)據(jù)和財務報表；

評估合規(guī)合法性；

調查舞弊；

促進道德水平提高；

為高級管理層和董事會提供信息；

發(fā)現(xiàn)風險，通過控制確定風險并提供確認。

內部審計是管理層和董事會的合作伙伴，共同關注組織的整體運行狀況，其中包括滿足組織的整體需求、關注組織當下和未來的情況，確保完成組織目標。外部審計人員作為第三方，其首要職能是判斷會計人員提供的財務報表是否真實和公允，有時也會關心舞弊的預防和發(fā)現(xiàn)。除了這些基本職能以外，外部審計人員并不會為組織帶來其他更深層次的價值。

組織不應當考慮讓外部審計人員履行內部審計職能，這種想法十分危險。

外部審計不會深入研究組織的治理、風險管理和內部控制運行；因為外部審計的目標和角色并不需要外部審計人員從事這些工作。外部審計職能每年只有在年底的時候才會積極開展各項業(yè)務，因此不能及時為組織提供有關如何防范風險的意見，也不能提供有利于增加組織價值的見解——外部審計是完全獨立于組織之外的審計活動。

與外部審計不同，內部審計一直存在于組織內部。因此內部審計致力于通過完善控制工作來滿足組織的需求，這些控制措施是完成組織目標的基石，其中就包括治理、風險管理和內部控制，如今內部審計也越來越關注企業(yè)文化和行為方面的工作。內部審計的使命是為組織的業(yè)務實踐提供確認和建議，從而增加組織的價值。

為此，內部審計需要針對治理、風險管理和控制流程等內容向組織獻言獻策，并就構建良好的內部控制系統(tǒng)進行討論——討論的頻率一定要高于每年一次。為保證工作效率，內部審計部門要向管理層提供改善工作的建議。作為組織的員工，內部審計人員的工作與組織在這些方面的作為息息相關。

雖然內部審計人員和外部審計人員運用的工作技能存在相似之處，但二者想要得到的結果卻大相徑庭。比如說，由于內部審計和外部審計的工作目標存在差異，面對組織內部對某個重要流程缺乏認識的問題，就會采取不同的解決方案。IIA將內部審計的使命定義為“以風險為基礎，提供客觀的確認、建議和洞見，增加和保護組織價值”。內部審計主要關心組織的經營行為是否能夠幫助組織完成整體目標，同時還要確定并管理組織面臨的風險——既包括顯而易見的風險，也包括不那么明顯的威脅。

所有重要的東西都值得保護。未經發(fā)現(xiàn)的風險遲早會對組織造成負面的影響。IIA的立場公告《有效風險管理和控制中的三道防線》認為“風險管理和控制的相關責任方一定要相互協(xié)作，確保風險和控制程序有效運行?！绷龉孢€對此進行了進一步的說明，厘清了所有有利于推動風險管理項目的重要角色和職責。立場公告表示：“開展專業(yè)的內部審計活動是所有組織進行組織治理的必要環(huán)節(jié)?！边@不僅對大中型企業(yè)至關重要，對于小企業(yè)來說也同樣具有重大意義。因為他們面臨著同樣復雜的商業(yè)環(huán)境，而且小企業(yè)缺乏正規(guī)強大的組織架構，難以確保組織治理和風險管理程序有效進行。

圖1“三道防線模型”顯示：“如果沒有連貫的、相互協(xié)調的工作方法，有限的風險和控制資源可能無法得到有效分配，重大的風險也可能無法獲得適當?shù)拇_認和管理。我們必須清楚地定義各種責任，以便于負責風險和控制的各個專業(yè)小組都能理解各自的責任界限，并將他們的職責嵌入組織整體的風險和控制結構?！?/p>

運營管理是風險管理的第一道防線，負責維持日常有效的內部控制。管理層負責指導控制工作的設計和執(zhí)行，管理層下屬員工（如會計人員）負責執(zhí)行。風險管理、合規(guī)和其他職能部門也是由管理層建立的，屬于第二道防線，負責支持管理政策，協(xié)助風險責任人在各合規(guī)職能部門（安全、供應鏈等）中定義目標風險。第二道防線負責在組織內傳播風險相關信息。而內部審計部門單獨作為組織的第三道防線，積極地持續(xù)推進組織治理、風險管理和內部控制（如組織運營、資產管理、監(jiān)管和合同簽訂）等工作。內部審計開展獨立的確認工作，評估前兩道防線建立工作程序的有效性。外部審計雖然處于三道防線模型之外，但是在財務報告流程的確認工作中發(fā)揮重要作用。

《內部審計師》雜志2017年1月刊登的一篇文章明確指出：“在提供確認工作方面，內部審計絕不是在單打獨斗。董事會和高級管理人員能從多個內部和外部資源渠道獲取有關組織治理有效性的確認信息，其中也包括外部審計人員?！?/p>

確認風險是審計工作中最重要的任務之一。美國貨幣監(jiān)理署發(fā)布的《監(jiān)理手冊》指出，雖然外部審計位于三道防線之外，但是內部審計人員和外部審計人員都能確定風險（如運營風險、合規(guī)風險、戰(zhàn)略和組織聲譽風險等）。二者的區(qū)別在于外部審計人員不負責采取措施幫助消除風險。

內部審計人員和外部審計的角色和職責并不相同，但是在很多情況下，兩者已經開始合作。他們在合作中共享風險評估結果、審計報告和其他信息——通過正式和非正式途徑，不僅有利于覆蓋所有財務和非財務信息，也能夠避免審計程序中不必要的重復工作。內部審計和外部審計的合作能夠提高審計的整體工作效率，對董事會和審計委員會也十分有益。

內部審計人員和外部審計人員的利益和責任相互補充，二者相互合作是值得推薦的最佳實務。標準2050的執(zhí)行指南指出：“首席審計執(zhí)行官應與每個服務提供方進行溝通，收集足夠的信息，以便協(xié)調組織的確認和咨詢活動?！?/p>

荷蘭內部審計師協(xié)會2016年發(fā)布的“組織治理同盟2.0模型”指出：“外部審計人員和內部審計人員開展協(xié)作的關鍵問題在于能否實現(xiàn)清晰的職責定位、最佳的合作方式以及知識共享?！?/p>

有效的組織治理需要強大而獨立的內部審計職能——這是健康而成功的經營活動中不可缺少的組成部分。內部審計的工作以治理、風險管理和內部控制為中心。內部審計雖然在組織內部具備獨立性，但是作為組織的雇員，組織成功與否與內部審計人員息息相關，內部審計人員需要持續(xù)關注組織各方面的運行情況。在審計工作結束之前，內部審計人員要根據(jù)董事會/審計委員會的需求提交報告，其中應當包含最新的組織風險以及組織目標確認和管理方面的相關細節(jié)。

此外，內部審計報告中還應包含富有洞見的觀點，促進組織持續(xù)發(fā)展，幫助組織達成提高內部控制水平、消除現(xiàn)存風險的目標，使內部審計能夠發(fā)揮關鍵作用。為了幫助組織實現(xiàn)短期、中期和長期價值，內部審計部門必須擁有合格的人才、充足的資源并保持獨立性，確保其作用實現(xiàn)最大化。

更多信息

國際會計師聯(lián)合會（IFAC），“Handbook of the Code of Ethics for Professional Accountants，” 2010 （www.ifac.org）.

國際內部審計師協(xié)會，“Implementation Guide 1100： Independence and Objectivity，”available to members only， January 2017 （www.theiia.org）.

國際內部審計師協(xié)會，“Implementation Guide 2070： External Service Provider and Organizational Responsibility for Internal Auditing，”available to members only， January 2017.

國際內部審計師協(xié)會立場公告“The Three Lines of Defense in Effective Risk Management and Control，” 2013 （www.theiia.org）.

國際內部審計師協(xié)會《內部審計師》雜志“Mapping Assurance： Internal auditors can facilitate efforts to document the organizations combined assurance activities，”Y.S. Al Chen， Lo cDecaux， and Scott Showalter，Dec. 2016 （www.theiia.org）.

國際內部審計師協(xié)會，“Implementation Guide 2050： Coordination and Reliance，” available to members only， January 2017 （www.theiia.org）.

荷蘭內部審計師協(xié)會，“Allies in Governance 2.0： Towards a sustainable relationship between the Audit Committee and the Internal Audit Function，” September 2016 （www.iia.nl）.

關于IIA

IIA是在內部審計行業(yè)得到最廣泛認可的國際組織，是內部審計的倡導者，并提供教育服務、內部審計標準、實務指南和資格證書。IIA成立于1941年，如今會員人數(shù)超過190，000，遍布170多個國家和地區(qū)。協(xié)會全球總部設在美國佛羅里達州的瑪麗胡。更多信息，請登錄：www.globaliia.org.

免責聲明

《全球視角和見解》中所含觀點并不一定完全代表接受訪談的人員及雇主的觀點。

版權聲明

國際內部審計師協(xié)會（IIA）2017版權所有。