全球视角和见解：内部审计与外部审计在组织治理中扮演的不同角色

徐天然

访谈对象

John Bendermacher，CIA、CISA，首席审计执行官，

荷兰银行– 荷兰

顾问委员会

Nur Hayati Baharuddin，CIA、CCSA、CFSA、CGAP、CRMA

–马来西亚内部审计师协会会员

Lesedi Lesetedi，CIA、QIAL

–非洲内部审计师协会联合会

Hans Nieuwlands，CIA、CCSA、CGAP

–荷兰内部审计师协会

Karem Obeid，CIA、CCSA、CRMA

–阿联酋内部审计师协会成员

Carolyn Saint，CIA、CRMA、CPA

– 国际内部审计师协会北美分部

Ana Cristina Zambrano Preciado， CIA、CCSA、CRMA

–哥伦比亚内部审计师协会

读者意见反馈

请将问题和建议发送至

globalperspectives@theiia.org.

目录

摘要

职能

角色

确定和管理风险

结语

摘要

内部审计人员和外部审计人员的利益、角色、责任和工作相互补充，有时会有相似之处，甚至会有重叠的部分。比如说，两者可能都会对组织的各项交易进行深入分析；会对治理、风险管理以及内部控制系统十分熟悉；审计业务结束后都会共享和提交审计报告。

这种现象不足为奇。每一种职业都会以某个专业学科为基础，并在工作中遵循该学科的标准。正因为如此，外部审计人员在专业上关注的问题包括影响会计核算（财务信息）的不准确信息和错误。而内部审计人员则会关注有关治理、风险管理和内部控制（非财务信息）等问题。内部审计和外部审计不是竞争关系，相互之间并不冲突；相反，二者互为补充，对于良好的组织治理至关重要，应当保持沟通和合作。

但是，二者扮演的角色以及工作范围明显不同。表1是对不同之处的总结。有时对这些差异的认识存在不足，甚至会引起利益相关者的误解和困惑。

内部审计

IIA将内部审计定义为“一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”

内部审计人员需要具备多个学科的相关知识，不能只局限于某个领域。

IIA认为，内部审计业务是“一项特定的内部审计工作、任务或是审查活动，如一项内部审计、控制自我评估审查、舞弊审计或咨询服务。一项业务中可能会包含多项任务或活动，旨在完成某项特定的相关目标。”

内部审计人员是组织的雇员，但是内部审计人员需要独立于审计对象开展业务。因为只有保持独立性才能保证审计效果。理想情况下，内部审计人员应该直接向董事会报告。

内部审计人员必须遵循IIA的《国际内部审计专业实务标准》。

外部审计

国际会计师联合会（IFAC）认为，审计工作是“一项合理的确认工作，事务所的职业会计师对财务报表是否在所有重大方面遵循适用的财务报告框架（或是否根据适用的财务框架的要求提供真实、公允的信息）出具意见，上述框架包括了《国际审计准则》。法定审计，即根据法律和其他法规的要求开展的审计，也属于审计工作的范畴。”

与内部审计人员不同，外部审计人员不是组织的雇员——而是第三方，因此外部审计人员在组织内不存在既得利益。

国际审计与鉴证准则理事会（IAASB）发布《国际审计准则》作为指导全球外部审计人员的工作指南。

在一些国家和地区，公司治理规章和监管机构要求组织必须拥有内部审计人员。这是对内部审计为组织提供价值的认可。内部审计能够为组织节省开支，保护组织声誉，为组织的成功铺路。简言之，内部审计能够确认和发现影响组织完成目标的风险，提醒组织领导者防范风险，并积极提出改善意见，帮助组织降低风险。具体例子包括：

发现浪费；

确定危险信号；

核查数据和财务报表；

评估合规合法性；

调查舞弊；

促进道德水平提高；

为高级管理层和董事会提供信息；

发现风险，通过控制确定风险并提供确认。

内部审计是管理层和董事会的合作伙伴，共同关注组织的整体运行状况，其中包括满足组织的整体需求、关注组织当下和未来的情况，确保完成组织目标。外部审计人员作为第三方，其首要职能是判断会计人员提供的财务报表是否真实和公允，有时也会关心舞弊的预防和发现。除了这些基本职能以外，外部审计人员并不会为组织带来其他更深层次的价值。

組织不应当考虑让外部审计人员履行内部审计职能，这种想法十分危险。

外部审计不会深入研究组织的治理、风险管理和内部控制运行；因为外部审计的目标和角色并不需要外部审计人员从事这些工作。外部审计职能每年只有在年底的时候才会积极开展各项业务，因此不能及时为组织提供有关如何防范风险的意见，也不能提供有利于增加组织价值的见解——外部审计是完全独立于组织之外的审计活动。

与外部审计不同，内部审计一直存在于组织内部。因此内部审计致力于通过完善控制工作来满足组织的需求，这些控制措施是完成组织目标的基石，其中就包括治理、风险管理和内部控制，如今内部审计也越来越关注企业文化和行为方面的工作。内部审计的使命是为组织的业务实践提供确认和建议，从而增加组织的价值。

为此，内部审计需要针对治理、风险管理和控制流程等内容向组织献言献策，并就构建良好的内部控制系统进行讨论——讨论的频率一定要高于每年一次。为保证工作效率，内部审计部门要向管理层提供改善工作的建议。作为组织的员工，内部审计人员的工作与组织在这些方面的作为息息相关。

虽然内部审计人员和外部审计人员运用的工作技能存在相似之处，但二者想要得到的结果却大相径庭。比如说，由于内部审计和外部审计的工作目标存在差异，面对组织内部对某个重要流程缺乏认识的问题，就会采取不同的解决方案。IIA将内部审计的使命定义为“以风险为基础，提供客观的确认、建议和洞见，增加和保护组织价值”。内部审计主要关心组织的经营行为是否能够帮助组织完成整体目标，同时还要确定并管理组织面临的风险——既包括显而易见的风险，也包括不那么明显的威胁。

所有重要的东西都值得保护。未经发现的风险迟早会对组织造成负面的影响。IIA的立场公告《有效风险管理和控制中的三道防线》认为“风险管理和控制的相关责任方一定要相互协作，确保风险和控制程序有效运行。”立场公告还对此进行了进一步的说明，厘清了所有有利于推动风险管理项目的重要角色和职责。立场公告表示：“开展专业的内部审计活动是所有组织进行组织治理的必要环节。”这不仅对大中型企业至关重要，对于小企业来说也同样具有重大意义。因为他们面临着同样复杂的商业环境，而且小企业缺乏正规强大的组织架构，难以确保组织治理和风险管理程序有效进行。

图1“三道防线模型”显示：“如果没有连贯的、相互协调的工作方法，有限的风险和控制资源可能无法得到有效分配，重大的风险也可能无法获得适当的确认和管理。我们必须清楚地定义各种责任，以便于负责风险和控制的各个专业小组都能理解各自的责任界限，并将他们的职责嵌入组织整体的风险和控制结构。”

运营管理是风险管理的第一道防线，负责维持日常有效的内部控制。管理层负责指导控制工作的设计和执行，管理层下属员工（如会计人员）负责执行。风险管理、合规和其他职能部门也是由管理层建立的，属于第二道防线，负责支持管理政策，协助风险责任人在各合规职能部门（安全、供应链等）中定义目标风险。第二道防线负责在组织内传播风险相关信息。而内部审计部门单独作为组织的第三道防线，积极地持续推进组织治理、风险管理和内部控制（如组织运营、资产管理、监管和合同签订）等工作。内部审计开展独立的确认工作，评估前两道防线建立工作程序的有效性。外部审计虽然处于三道防线模型之外，但是在财务报告流程的确认工作中发挥重要作用。

《内部审计师》杂志2017年1月刊登的一篇文章明确指出：“在提供确认工作方面，内部审计绝不是在单打独斗。董事会和高级管理人员能从多个内部和外部资源渠道获取有关组织治理有效性的确认信息，其中也包括外部审计人员。”

确认风险是审计工作中最重要的任务之一。美国货币监理署发布的《监理手册》指出，虽然外部审计位于三道防线之外，但是内部审计人员和外部审计人员都能确定风险（如运营风险、合规风险、战略和组织声誉风险等）。二者的区别在于外部审计人员不负责采取措施帮助消除风险。

内部审计人员和外部审计的角色和职责并不相同，但是在很多情况下，两者已经开始合作。他们在合作中共享风险评估结果、审计报告和其他信息——通过正式和非正式途径，不仅有利于覆盖所有财务和非财务信息，也能够避免审计程序中不必要的重复工作。内部审计和外部审计的合作能够提高审计的整体工作效率，对董事会和审计委员会也十分有益。

内部审计人员和外部审计人员的利益和责任相互补充，二者相互合作是值得推荐的最佳实务。标准2050的执行指南指出：“首席审计执行官应与每个服务提供方进行沟通，收集足够的信息，以便协调组织的确认和咨询活动。”

荷兰内部审计师协会2016年发布的“组织治理同盟2.0模型”指出：“外部审计人员和内部审计人员开展协作的关键问题在于能否实现清晰的职责定位、最佳的合作方式以及知识共享。”

有效的组织治理需要强大而独立的内部审计职能——这是健康而成功的经营活动中不可缺少的组成部分。内部审计的工作以治理、风险管理和内部控制为中心。内部审计虽然在组织内部具备独立性，但是作为组织的雇员，组织成功与否与内部审计人员息息相关，内部审计人员需要持续关注组织各方面的运行情况。在审计工作结束之前，内部审计人员要根据董事会/审计委员会的需求提交报告，其中应当包含最新的组织风险以及组织目标确认和管理方面的相关细节。

此外，内部审计报告中还应包含富有洞见的观点，促进组织持续发展，帮助组织达成提高内部控制水平、消除现存风险的目标，使内部审计能够发挥关键作用。为了帮助组织实现短期、中期和长期价值，内部审计部门必须拥有合格的人才、充足的资源并保持独立性，确保其作用实现最大化。

更多信息

国际会计师联合会（IFAC），“Handbook of the Code of Ethics for Professional Accountants，” 2010 （www.ifac.org）.

國际内部审计师协会，“Implementation Guide 1100： Independence and Objectivity，”available to members only， January 2017 （www.theiia.org）.

国际内部审计师协会，“Implementation Guide 2070： External Service Provider and Organizational Responsibility for Internal Auditing，”available to members only， January 2017.

国际内部审计师协会立场公告“The Three Lines of Defense in Effective Risk Management and Control，” 2013 （www.theiia.org）.

国际内部审计师协会《内部审计师》杂志“Mapping Assurance： Internal auditors can facilitate efforts to document the organizations combined assurance activities，”Y.S. Al Chen， Lo cDecaux， and Scott Showalter，Dec. 2016 （www.theiia.org）.

国际内部审计师协会，“Implementation Guide 2050： Coordination and Reliance，” available to members only， January 2017 （www.theiia.org）.

荷兰内部审计师协会，“Allies in Governance 2.0： Towards a sustainable relationship between the Audit Committee and the Internal Audit Function，” September 2016 （www.iia.nl）.

关于IIA

IIA是在内部审计行业得到最广泛认可的国际组织，是内部审计的倡导者，并提供教育服务、内部审计标准、实务指南和资格证书。IIA成立于1941年，如今会员人数超过190，000，遍布170多个国家和地区。协会全球总部设在美国佛罗里达州的玛丽胡。更多信息，请登录：www.globaliia.org.

免责声明

《全球视角和见解》中所含观点并不一定完全代表接受访谈的人员及雇主的观点。

版权声明

国际内部审计师协会（IIA）2017版权所有。