無論是出于企業(yè)自身發(fā)展的需要，抑或是為符合外部監(jiān)管機構的要求，內(nèi)部審計正日益受到越來越多企業(yè)的重視。而如何建立一個行之有效且具有前瞻性的內(nèi)審體系，亦成為審計委員會和高級管理層（利益相關方）面臨的重要課題之一。

　　根據(jù)普華永道的調查發(fā)現(xiàn)，當前企業(yè)內(nèi)審部門常見的問題，如沒有明確內(nèi)審戰(zhàn)略就匆忙開始實施戰(zhàn)術方面的工作，缺乏清晰的內(nèi)部審計價值期望，缺乏嚴謹?shù)姆椒ǖ?，這些都導致不必要的延誤及成本的增加。因此，普華永道強調，設計內(nèi)審職能時，必須以戰(zhàn)略推動戰(zhàn)術。為了幫助企業(yè)設計并實施專注于戰(zhàn)略的內(nèi)審職能，在提煉不同規(guī)模公司的實踐經(jīng)驗的基礎之上，普華永道建立了戰(zhàn)略性內(nèi)審職能啟動框架（以下簡稱框架）。

　　第一步： 明確利益相關方的期望

　　普華永道研究發(fā)現(xiàn)，當內(nèi)審職能在利益相關方制定的戰(zhàn)略框架下運行，并關注整個公司范圍的風險和控制問題時，將能更好地實現(xiàn)公司治理和風險管理。一旦該戰(zhàn)略框架實施后，公司將能更有效地確定內(nèi)部審計的使命、組織結構、資源模型、工作方法以及溝通方式。

　　為了建立有效的內(nèi)審職能，內(nèi)審的主要利益相關方必須確定該職能如何實現(xiàn)期望的價值。通過這個過程，利益相關方應該明確這一新職能的具體成果或“價值驅動因素”。具體的價值驅動因素包括：

　　風險管理和內(nèi)部控制有效性的保證；

　　內(nèi)部控制的效率和效果評估；

　　法規(guī)及公司政策的遵循性的保證；

　　監(jiān)管法規(guī)所要求的內(nèi)控有效性檢查；

　　對緊急事件的處理能力；

　　對內(nèi)審投資的回報；

　　提高企業(yè)各階層對風險和控制的意識；

　　成為業(yè)務部門的咨詢伙伴，并協(xié)助解決復雜問題；

　　優(yōu)秀管理人員的來源，并作為員工職業(yè)發(fā)展的一部分；

　　通過與外部審計師的合作使審計成本更加有效益。

　　在內(nèi)審職能建立后，還應該定期重新評估利益相關方的期望，以確保整個框架與時俱進，符合企業(yè)當前的境狀。

　　第二步： 明確內(nèi)審使命

　　在明確具體的價值驅動因素的基礎上，審計負責人應該與高級管理層和審計委員會一起明確內(nèi)審的使命，制定正式的“使命聲明”或內(nèi)審章程，提出該職能的目標并提供評估內(nèi)審表現(xiàn)的基礎。

　　有效的“使命聲明”不僅要描述該職能的權力和職責，還應反映高級管理層和審計委員會所關注的優(yōu)先項目。同時，“使命聲明”還必須和主要利益相關方及員工進行溝通，以確保得到他們的理解和認同。在調整“使命聲明”時，則必須依據(jù)企業(yè)實際情況及框架第一步中定義的價值驅動因素進行?，F(xiàn)實情況表明，很多企業(yè)常常忽略了這一關鍵的聯(lián)系，而是簡單地采用其他企業(yè)或內(nèi)審部門的使命聲明。

　　盡管不同企業(yè)的“使命聲明”深度不一，但“使命聲明”或內(nèi)審章程應該明確內(nèi)審職能在傳統(tǒng)的內(nèi)部控制審計和咨詢活動之間的資源分配。一個含糊或沒有同利益相關方期望取得一致的“使命聲明”價值甚微，甚至可能妨礙戰(zhàn)略目標的實現(xiàn)。

　　值得關注的是，當利益相關方尋求價值保護和內(nèi)控保證時（如中國《企業(yè)內(nèi)部控制基本規(guī)范》，香港《企業(yè)管治常規(guī)守則》和美國《薩班斯-奧克斯利法案404條款》等方面的要求），內(nèi)部審計人員應該具備優(yōu)秀的財務審計和合規(guī)審計的能力。隨著利益相關方需求的改變，通常要求內(nèi)部審計更多地通過改進經(jīng)營管理來創(chuàng)造價值，這亦要求內(nèi)審人員應具備一系列的技能，包括風險管理和咨詢能力等。

　　需要指出的是，企業(yè)對其內(nèi)審部門功能重點的選擇沒有是非對錯之分，也沒有一個“放之四海皆準”的答案。利益相關方選擇將職能定位于上述內(nèi)審連續(xù)統(tǒng)一體的任何一個位置時，都直接地反映了他們在內(nèi)審“使命聲明”中的風險偏好和相關審計需求。

　　第三步： 制定正式的戰(zhàn)略計劃

　　戰(zhàn)略計劃幫助并指導建立內(nèi)審職能。該計劃并不僅僅是某一時點的風險評估，它正式定義了內(nèi)審新職能的價值主張、服務對象及其將來創(chuàng)造的價值，亦概述了實現(xiàn)關鍵目標的戰(zhàn)術方法和職能上的管理責任。

　　戰(zhàn)略計劃同樣強調初始階段的規(guī)劃以及三到五年的財力和人力資源的需求，通常還包括計劃中的關鍵假設和基準指標與第三方數(shù)據(jù)的比較。該計劃同時可能考慮使用不同方法實現(xiàn)預期結果的成本和收益，具體包括：與其他風險和控制監(jiān)控職能的優(yōu)化整合，如法律、合規(guī)、信用、市場、安全和舞弊風險管理職能；使用外包服務以提供專業(yè)的技術、技能；建立控制自我評估程序。

　　戰(zhàn)略計劃也十分強調溝通問題，這是內(nèi)審職能成功的關鍵。計劃的溝通部分可針對如下問題：

　　由企業(yè)的審計委員會及高級管理層向內(nèi)部進行初步溝通，

　　對內(nèi)審職責和權力的通告，

　　企業(yè)期望對內(nèi)審使命的支持，

　　企業(yè)期望對解決內(nèi)部審計發(fā)現(xiàn)的控制缺陷和問題的決心。

　　最終，戰(zhàn)略計劃應制定將來如何考核內(nèi)審工作成果的標準。我們建議企業(yè)每年應重新審閱和修訂戰(zhàn)略計劃，并得到利益相關方的批準。

　　第四步： 風險評估并制定審計計劃

　　風險是可能影響公司實現(xiàn)公司目標的任何事件。風險評估使內(nèi)審人員考慮潛在事件如何影響公司目標的實現(xiàn)。

　　為了幫助企業(yè)提升價值，內(nèi)審應以風險為導向進行審計工作。對內(nèi)審而言，制定系統(tǒng)的方法分析風險至關重要。風險評估程序開始于界定審計的領域。審計領域包括公司的所有單位、流程和活動。然后，內(nèi)審人員從行業(yè)角度考慮公司的商業(yè)模型和其主要商業(yè)目標。通過與利益相關方的溝通，內(nèi)審應該確認其對審計領域、主要商業(yè)目標及實現(xiàn)這些目標中的固有風險的理解。

　　根據(jù)對公司及其目標和固有風險的理解，內(nèi)審人員應考慮各風險因素對公司實現(xiàn)目標的影響及其發(fā)生的可能性，并通過考慮這兩點，編制企業(yè)的風險概況。

　　企業(yè)風險概況的一種常見形式是風險熱度圖，以不同的顏色區(qū)別企業(yè)高、中、低風險領域。在風險評估中被識別為高風險的公司單位、流程及活動，應成為審計的重點和優(yōu)先點。風險評估的結果能協(xié)助企業(yè)編制相關的內(nèi)審計劃來防范、應對公司的各種風險。

　　有效審計計劃提供系統(tǒng)的方法，將風險分為高、中、低類別。在評估風險后，審計負責人還應該同審計委員會和高級管理層一起將風險進行優(yōu)先排序，并決定在內(nèi)審職能中所需的能力和技能組合，以專注于優(yōu)先考慮的高風險領域和主要利益相關方的需求。

　　在內(nèi)審啟動的第一年，公司通常沒有控制活動有效性評估的正式標準。這樣，初步的風險評估及審計計劃的制定主要從固有風險出發(fā)。固有風險包括內(nèi)、外兩方面。外部風險指全球、國內(nèi)及經(jīng)濟形勢的變化，技術、法律及政治的變化；內(nèi)部因素則包括操作系統(tǒng)的變化，發(fā)行新的產(chǎn)品，進入新的市場，管理層和組織的變化以及海外業(yè)務的擴張。

　　隨著逐步了解內(nèi)部控制有效性的標準，定期的風險評估可考慮這些控制的可靠性和有效性與規(guī)避相關風險的重要性及/或發(fā)生的可能性。基于這些知識，可根據(jù)對內(nèi)控制度的了解將風險重新分類。然而，即使在認為控制有效的領域，內(nèi)審也必須定期對關鍵控制進行測試，以保證這些關鍵控制可以繼續(xù)規(guī)避重大風險。

　　為了達到最佳的效果，內(nèi)審風險評估及風險結果概況應該與內(nèi)審戰(zhàn)略計劃及審計委員會所需的保證水平相連接。

　　在建立了內(nèi)審戰(zhàn)略框架后，工作的重點將轉移到戰(zhàn)術執(zhí)行上。如圖1所示，通過實施第5~10步的職能和活動，內(nèi)審工作將立見成效，并取得長期的成功。

　　第五步：編制當前和長期的預算

　　完成框架的第1-4步后，可得到足夠的信息去建立當前和長期的預算。預算必須為內(nèi)審提供足夠的資源，以執(zhí)行第4步制定的基于風險的審計計劃，并應有適當靈活度以應對業(yè)務改變的需要。

　　預算應在風險評估結果和審計計劃的基礎上準備，并根據(jù)國際內(nèi)審協(xié)會或其他第三方制定的內(nèi)審標準，與本行業(yè)的類似內(nèi)審部門比較，建立預算基準。像在框架第3步制定正式的戰(zhàn)略計劃中討論的，預算應該跨越3~5年的時間段。

　　內(nèi)審預算必須有靈活性，使內(nèi)審能夠應對突發(fā)事件。我們建議使用“靈活支出賬戶”，在應對變化的同時，編制高質量的審計計劃，“靈活支出賬戶”運行如下：

　　在風險評估和內(nèi)審計劃結果的基礎上建立核心內(nèi)審預算。核心預算提供足夠的資源，以使內(nèi)審計劃有效地執(zhí)行。

　　同時建立單獨的“靈活支出賬戶”。賬戶基于核心內(nèi)審預算的百分比或其他估計設立。

　　根據(jù)識別出的具體項目或需求，確定必要的資源和技術組合以支持核心內(nèi)審計劃。

　　“靈活支出賬戶”滿足突發(fā)的或企業(yè)內(nèi)部一次性項目的需求。

　　“靈活支出賬戶”中的未使用資金為內(nèi)控預算的盈余差異。與年度內(nèi)審風險評估流程和計劃的制訂流程相一致，每年估計一次。

　　使用“靈活支出賬戶” 的好處包括：可以使內(nèi)審預算流程與內(nèi)審利益相關方的“價值驅動因素”緊密相連；同時，鼓勵內(nèi)審與其利益相關方直接對話，幫助內(nèi)審清楚地識別需要特殊技能的領域，并投入適當?shù)馁Y源與資金，以及在特別需要的時候才配備特殊的資源。

　　總括來說，本步強調內(nèi)審應先根據(jù)戰(zhàn)略制定預算，然后再考慮戰(zhàn)術。

　　第六步：盡早開展現(xiàn)場工作

　　內(nèi)審部門往往希望在結構設立完畢、員工全部到位后才開始內(nèi)部審計工作，這是非常不現(xiàn)實的想法。公司的主要利益相關方?jīng)]有耐心去等待，他們希望馬上看到進展，而不是在審計職能成立后的下一年或更遠時期。企業(yè)不能期望在取得所有的資源之后才開展現(xiàn)場工作。

　　為了立刻體現(xiàn)價值，內(nèi)審部門應該在成立幾周之內(nèi)開始現(xiàn)場工作。比較理想的是，在內(nèi)審部門宣布成立起的100天內(nèi)對3~5個已知的高風險領域展開審計工作。這些初步的審計通常應該關注某些特定的領域，例如：采購流程和銷售渠道的有效性，信息系統(tǒng)總體控制和其他已知的存在內(nèi)控問題的業(yè)務領域等。

　　使用正式的快速啟動程序是保證盡快取得成果的有效方法?？焖賳映绦蚴且环N項目管理技術，它對在最初100~120天內(nèi)將要完成的不同審計和初步工作進行規(guī)劃?？焖賳映绦虬ň唧w的戰(zhàn)略及戰(zhàn)術，也包括可能需要同時開展審計的領域。計劃包括預定的完成日期和用來衡量進度、識別問題和進行調整的里程碑。使用快速啟動程序還可以防止啟動程序的拖延以保證現(xiàn)場工作盡快開始。

　　當然，這樣的快速啟動程序需要有足夠的資源來實施現(xiàn)場工作。通常，內(nèi)審資源需要“加速提升”以滿足執(zhí)行完整審計程序的需要。為了達到快速啟動，許多公司首先選擇借用外部中介機構。這樣做的優(yōu)點是除了能在項目開展過程中獲得專業(yè)建議和咨詢服務，能獲得完成特定高風險審計所需的資源、工具和技術，還能隨著職能由內(nèi)審人員獨立執(zhí)行或共同完成項目實現(xiàn)知識的轉移。

　　第七步：評估所需的技能

　　內(nèi)審部門應結合在內(nèi)審啟動階段對利益相關方的價值驅動因素和“使命聲明”的認定，對所需的技能進行評估。一個常見的誤區(qū)是管理層過于注重內(nèi)審人員的數(shù)量，而忽略了高風險和主要價值驅動因素所需的技能。實現(xiàn)前述的“內(nèi)審連續(xù)統(tǒng)一體”通常要求一整套的技能，包括技術以及所處行業(yè)的專業(yè)知識。然而，吸引具有領導才能、技能及經(jīng)驗的高素質專業(yè)人士可能是一個耗時和漫長的過程。為了防止延誤內(nèi)審工作，內(nèi)審部門可以考慮使用第三方中介機構來取得過渡期間所需的資源。通過外包專業(yè)服務的方法，管理層及審計委員會在取得內(nèi)審工作成果的同時更可以關注聘用合適的人員。當聘用到了合適的人員，外包專業(yè)服務的形式可以調整為內(nèi)外共同完成項目或徹底取消。

　　在考慮長期人員需求時，請記住內(nèi)審是一個動態(tài)的、不斷變化的領域，不只是“尋找能干活的人”的簡單要求。在過去的十年中，許多國際性的公司開始通過內(nèi)外部共同完成項目的方法取得工作靈活性，取得那些從內(nèi)部無法獲得的技能。

　　為了滿足這一需求，普華永道開發(fā)了“資源的車輪模型”。資源的車輪模型假設某些核心內(nèi)審資源和能力在公司內(nèi)可以保持不變。車輪的“軸心”是企業(yè)內(nèi)審的領導力、持續(xù)力及經(jīng)驗等在公司內(nèi)保持不變的核心內(nèi)審資源。車輪模型中的“輻條”代表可以與中介機構或企業(yè)的專業(yè)部門合作的內(nèi)容。在圖2的示例中，核心小組依靠合作伙伴的技能，來取得滿足獨特、復雜或特定領域審計所需的資源，如信息安全、ERP系統(tǒng)控制和安全、相關法規(guī)的合規(guī)性遵循、舞弊調查以及企業(yè)持續(xù)經(jīng)營計劃等。

　　“輻條”并不限于特定領域。如果在不同的地域需要核心內(nèi)審資源，或者需要核心內(nèi)審資源加入現(xiàn)有的某個審計隊伍，軸心和輻條模型能在消除或控制審計成本的前提下，保證審計的質量和及時性、一致性。

　　與之前討論的“靈活支出賬戶”相結合起來，資源的車輪模型能幫助內(nèi)部審計按需取得必要的審計技能。隨著內(nèi)審重點的變化，軸心輪輻資源模型以及“靈活支出賬戶”可以保證內(nèi)審職能中的“風險導向審計”的靈活性。