一、从控制到风险:在过去数十年中,控制导向审计是内审人员普遍使用的审计方法,是增进内部审计绩效和管理组织风险的主要工具。即许多审计人员从决定应设计的控制开始,再进行风险评估,然后才确定组织目标,如下图所示: 确定组织目标←评估风险←决定应设计的控制 在未检查组织目标和所处风险前直接评估控制程序,其结果意义不大。因为审计人员无法判断哪些是最重要的控制,哪些控制对于风险而言是最重要的,以及缺少哪些控制。这一审计模式已经带来许多问题,如过度控制情况日益严重,多余的或过时的控制阻碍了组织程序的正常运作,沟通变得更加困难,过多的人员从事无附加价值的工作;并使对原有的、与组织目前所面临的风险根本无关的控制的审计变得更无意义。 以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险,使审计人员必须根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划和风险评估连接起来。风险导向审计将控制导向审计修正如下,并将上式右边的“决定应设计的控制”扩大为管理风险。 确定组织目标→评估风险→管理风险 二、从风险到环境: 环境包括一组相关内容:(1)通用环境:国际的、经济的、法规的、政治的、环保的、知识的、科技的、社会的;(2)社会环境:社会的、私人的、非盈利性的、公共的、宗教的;(3)行业环境:各类不同的私人行业、公共行业、中介行业,以及这些行为的产品、流程、资源和其他市场要素;(4)组织环境:权力、规模、文化、历史、地理、社会学等子环境;(5)内部审计应用环境:经营、财务报告、遵循性、信息系统、质量、环保、安全。 组织暴露于周边不断变化的条件和情况所导致的风险中。风险暴露的来源---对组织产生威胁的危险和创造潜在收益的机遇,必须成为风险分析的焦点。这些条件、情况、危险和机遇就是可能影响组织的环境。当分析固有的风险时,内部审计人员必须了解与事件、事实或活动相关的条件和情况,条件指的是环境的状况,而情况指的是环境的活动。 三、从回顾历史到着眼未来:内部审计人员必须变成未来情况的预期者即直接预测环境风险,判断组织是否采取了适当的预防和应对措施,是否具有足够的适应变化的能 力,然后提出相应的改进建议。这对现有内部审计的开展方式提出了挑战,对内部审计人员的胜任能力提出了更高的要求。 四、从评价到预测:评价一直是内部审计的基本功能,是内部审计履行其职责和发挥作用的重要手段。这是以经验管理假设为基础的。批评过去没有任何价值,管理层面对着未来的挑战,因此“评价”一词应停止使用,而代之以零起点的预测,即要求内审人员对未来环境的变化作出有价值的预测。 五、从关注当前事项到多角度并行:审计人员对每一审计事项的现状进行了解,独立地分析,提出审计发现和审计建议。内部审计将注意力集中于当前事项是有用的,但相比而言,多角度的关注更有意义,即在同一时间、同一地点,假设自己作为职能经理和员工,对此事项作何反应,有哪些要求和顾虑。只有全面考虑各相关人员的局限和所受影响,内审人员才能提出切实可行的建议,在分析和计划对未来活动(风险)的行动(控制)的职能会议上有所贡献,促进自身作用的发挥和组织价值的增加。 六、从强调独立到注重价值:虽然内审职能的独立是一个有用的属性,但如果独立妨碍了参与,马上就 会有反效果。判断内部审计是否成功,最重要的标准是其服务给组织提供的价值。因此,如果对独立性的强调损害了内部审计价值的增加,应当优先考虑后者。 七、从审计知识到经营知识:内部审计应以帮助实现组织目标、增加价值为己任,目标及风险是内部审计的出发点和归宿。对经营活动的深刻了解是对症下药的前提,因而内审人员需要关于当前经营的真实的知识,而不仅仅是虚拟的流程,以提供有效的服务。这会改变提供内部审计服务的人,要求他们提供与专家程序、技术、产品和服务等有关的知识。 八、从经营审计到战略审计:对组织战略的审计是内部审计应该最关注的根本环节,也是内审发展的方向。战略决策和战略管理是管理职能中最重要和最高的层次,内审要提升自身地位和价值,应参与到高层次的管理活动中来。 九、从强迫接受到自愿主动进行:哪些项目将纳入年度审计计划取决于内审人员的判断,不管被审部门是否愿意,他们都得接受审计并予以配合。当然这一情况已发生了变化。虽然即使没有受到邀请,内部审计仍能决定审计什么,但是经理们已经邀请内部审计的参与。内部审计以其对组织全面深入的了解,客观而开放的视角,以及可以影响高层的特殊地位,能够促进被审部门经营和管理的改善,赢得他们的信任和尊重。 十、从说服到协商:一份有说服力的报告意味着内审人员的观点将被接受。由于审计报告中所提问题是否受到重视,所提建议能否付诸实施,直接取决于管理当局的兴趣和决心,因而审计人员往往通过增强事实的准确性、清晰性,建议的可行性,采用图表、照片、幻灯等多种手段,来争取管理当局的重视和支持。这一标准已经受到了质疑,因为被动接受审计人员观点的被审部门缺乏足够的选择空间和内在动力。协商取代说服成为传递审计信息和寻求问题解决办法的方式,它注重获取对组织最佳的结果,既考虑职能经理的目标,又考虑内审人员对动态环境未来关口、风险和现有控制的预期。