内部审计确认和咨询良好实务研究
——以高校内审实务为例
邵秀秀
高校内部审计是指高校内部审计机构和人员通过对学校与资源利用有关的业务活动及其内部控制的适当性、合法性和有效性的审查,并进行确认、评价、咨询,旨在促进完善管理控制、防范风险、创造效益,从而促进学校事业目标的实现。定义将“确认、评价、咨询”作为高校内部审计的基本职能,将促进完善管理控制、防范风险、创造效益作为高校内部审计的宗旨。由此定义可以看出,高校内部审计业务已发展为多样化的格局,原有的只局限于传统的财务审计的内部审计体制明显不能满足现代高校的发展宗旨,教学管理内部控制审计、科研管理内部控制等业务活动审查也非常重要。这些业务可分为确认服务与咨询服务,因此开展财务审计与业务审计相结合的综合管理审计是势在必行的,是发挥内部审计确认与咨询两大基本职能的具体体现。
一、内部审计职能定位的发展历程
(一)国外内部审计职能定位发展历程
从1947年到2001年,国际内部审计师协会(IIA)对内部审计的定义几经修改,我们可以在定义的变化中探究内审基本职能的发展历程,具体内容为:
1947年,IIA首次将内部审计定义为:内部审计是建立在审查财务、会
计和经营活动基础上的独立评价活动。它为管理提供保护性和建设性服务,处理财务和会计问题,有时也涉及经营管理中的问题。确定了内审的基本职能为监督和评价,审计的对象仅局限于财务审计及一小部分的经营活动上,明显不能达到为管理提供保护和建设性服务的目标,服务对象也仅限于低层管理人员。
1971年,IIA将内部审计定义为:内部审计是组织内部审核经营业务的
独立性评价活动。它是一种管理控制,其作用是衡量和评价其他控制的有效性。该定义将所有的经营活动作为内部审计的对象,而不仅仅局限于财务会计领域,将衡量和评价控制的有效性作为内部审计的宗旨,此时内部审计在发挥监督和评价的基础上体现了控制的职能,服务对象也扩展到了高层管理者。
1978年,IIA对内部审计的定义做了修改,定义为:内部审计是建立在
组织内部为组织服务的独立评价活动。它是一种控制,通过检查与评估其
他控制的适当性与有效性来发挥作用。实现帮助组织内各个成员有效的履行他们的责任。此时,内部审计的服务对象扩展到为组织服务,而不仅仅
只是为管理者服务。
1990年,IIA将内部审计的定义修改为:内部审计是为本组织服务而建立的一种独立评价活动,它要提供所检查的有关活动的分析、评价、建议、咨询意见和信息,以协助本组织成员有效地履行责任。此次修改,第一次
提出咨询的概念,但也只是局限于审计方式。
2001年1月,IIA对内部审计的定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加组织价值和改善组织的运营。通过运用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。明确了确认和咨询的基本职能,提出了改善风险管理、加强内部控制及改进治理程序的具体措施。纵观IIA对内部审计定义的修改变化,其基本职能由最初的监督和评价转向确认与咨询,具体可用图1概述:
(二)国内内部审计职能定位发展历程
1983-1989年,我国的内部审计体系初步建立,国家审计署《关于开展审计工作几个问题的请示》中,首次指出了内部审计的监督职能。1985年国务院颁布了《关于审计工作的暂行规定》中指出,国务院及县级以上地方人民政府各部门,要设立审计机构及专门的审计人员,在部门负责人的领导下,实行财务收支及经济效益审计,此时,内部审计仅局限于财务审计。1989年,审计署印发《关于内部审计工作的规定》,我国第一部关于内部审计的部门规章建立,确定了内部审计要依法审计的原则,以及监督与
评价的基本职能。
1989-2003年,随着国际内部审计的发展与完善,国内内部审计也在逐步发展。1995年,审计署修订的《关于内部审计工作的规定》中,内部审计的范围不在仅仅局限于财务审计与评价,扩展到了经济效益、经济责任、建设项目预决算、内部控制等事项,监督与评价的范围不仅仅对财务收支,而是对整个单位的经济效益、经济责任。
2003年6月,中国内部审计协会发布《内部审计准则》,做出定义:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。准则明确指出了内部审计的监督及评价职能,并且评价职能的重要性有很大的提局。
2005年,由中国内部审计协会发布的《内部审计具体准则第16号—风险管理审计》中,将风险管理编入了内部审计准则,准则将风险管理审计定义为:为了规范内部审计人员对组织内部控制中的风险管理状况进行审查与评价。此准则的颁布说明风险管理在整个经营活动中的重要性,体现了内部审计的咨询职能也一样重要,通过咨询服务,内部审计可以改善风险管理和控制流程,更好的帮助管理层对风险管理情况进行分析和确认,从而增加组织价值和改善运营机制。
综上,我国国内内部审计职能定位的发展过程可用图2所示:
(三)我国高校内部审计职能定位发展历程
随着国内外内部审计体系的改革与发展,高校内部审计的职能定位也发生了变化,但是高校内部审计起步较晚,还未能完全与外部发展环境接轨,职能定位还不明晰,发展的步伐还比较缓慢。
起步阶段,自20世纪80年代中期到90年代中期这段时间,我国高校内部审计在时代的发展及政府的推动下开始起步,1990年,教育部颁布《教育系统内审规定》,1996年4月5日国家教育委员会发布的第二十四号令《教育系统内部审计工作规定》,高校内部审计制度初步建立,高校也逐渐设立审计部门,主要对学校的财务状况进行审计,此时内部审计由审计署和高校联合领导。
发展阶段,自20世纪90年代中期到20世纪初,随着国家政府机构的体制改革,加强内部控制管理,服务于高校的意识增强,审计范围也逐步扩展到了内部控制审计、经济责任审计等领域,2004年6月1日颁布的中华人民共和国教育部令第17号《教育系统内部审计工作规定》第六条中规定:教育部内部审计机构负责指导和检查全国教育系统内部审计工作,并对所属单位实施内部审计,确定了内部审计由审计署和高校联合领导变更为部门自己领导。
第三阶段,从20世纪初至今,伴随着我国高等教育体制的改革,高校逐步融入了市场经济的大潮流中,所处的环境复杂多变,面临着外部环境风险、资产流失风险等多方面的不确定性因素。2010年教育部财务司出版《教育内部审计规范》,将高校内部审计定义为:指高校颖部审计机构和人员通过对学校与资源利用有关的业务活动及其内部控制的适当性、合法性和有效性的审查,并进行确认、评价、咨询。此定义将“确认、评价、咨询”作为高校内部审计的基本职能。高校内部审计的范围也在逐渐扩大。但是面临着政府教育管理部门及高校对内部审计的重视度不够,审计人员数量不足、质量不高,审计方式单一,侧重于“监督导向型”的定位,开展的项目单一等突出问题,内部审计的发展速度已跟不上市场经济的发展潮流,为高校内部审计的发展提供了新的挑战。
综上,高校内部审计的发展历程可用表1概述:
二、确认服务与咨询服务的理论基础
(一)确认服务与咨询服务的内涵
确认业务是指内部审计师对程序、系统或其他常规事项进行客观评价,提出独立的意见和结论,主要包括:舞弊调查、风险和控制自我评价、财务、绩效、经营和合规性审计业务等。通过确认服务,内部审计可以审查公司内部控制、风险管理以及治理程序等方面的有效性,为高级管理层和审计委员会等主体来更好的监控管理层提供意见及建议。确认服务包含了传统审计的全部内容,并把审计范围扩展到了内部控制、风险管理审计等新的领域。总之,确认服务是通过发表内部控制是否有效的意见,或通过披露重大控制问题来暗示对控制是否有效的意见来实现的。
咨询服务是指为客户提供建议及相关的服务活动,其性质和范围与客户协商确定,在内部审计人员不承担管理职责的前提下,增加组织价值并改善组织运营,主要包括顾问、协调、建议、设计流程及培训等。是为审计客户提供服务的咨询或相关活动,其业务性质和范围根据客户的协议确定。咨询业务丰富了内部审计活动的内容。咨询服务通常是由确认服务直接产生的(比如,业绩评估审计可能演变成咨询业务,即设计完善业绩水平的衡量),反之亦然。总之,咨询服务就是为被审计者提供建议的服务。
(二)确认服务与咨询服务的区别
1.涉及到的主体数量不同
确认服务涉及到三方关系:内部审计人员、被审计单位(客户)和第三方委托人。它们的关系如图3所示:
确认活动需要根据事先确定的标准,由内审人员自行决定审计范围,通过客观的获取和评价证据,将审计结果提供给第三方,始终保护第三方委托人的利益。这里的第三方委托人是一个很广泛的主体,包括股东、资本市场、顾客、政府监管者等外部相关主体,也包括内部的利益相关者,比如董事会、高级管理层、审计委员会等。
而咨询服务则不同,咨询服务只涉及两方主体关系:内部审计人员、被审计单位(客户)。它们的关系如图4所示:
咨询服务是在由关注合法性的受托责任转向关注效率性、有效性、经济性的受托责任的过程中衍生出来的,这一过程中只涉及审计人员与被审计人员两方关系,双方能够自行商定服务的性质与范围,以达到改善组织运营和增加组织价值的目的,这主要包括顾问服务、组织协调、提出建议、提供培训等。
2.审计成果及强制力不同
确认活动具有强制性,审计计划一旦确定且经审计委员会批准,就必须要按照审计计划,实施审计程序,得出审计结论,最终要出具标准化审计报告,并且审计报告的执行具有强制力。而咨询服务并不需要保持一定的独立性,审计计划、内容、范围等可以就双方当事人商议决定,并且由于某些原因审计部门可以拒绝提供咨询服务。咨询服务不需要提供正式的审计报告,只需对信息使用者提供建议,这一建议不具有强制力,本质上就是给管理者当参谋,提供改善管理方面的信息。
3.服务对象不同
根据信息不对称理论,在市场经济活动中,各类人员对有关信息的了解是有差异的;掌握信息比较充分的人员,往往处于比较有利的地位,而信息贫乏的人员,则处于比较不利的地位。根据这个理论,可以将内部审计的对象分为处于信息比较有利地位的客户和处在信息不利地位的客户。由于信息的掌握程度不同,他们对内审的要求是不同的,处于信息不利地位的客户需要内部审计提供确认服务,来