一、以改善和行动为主要内容 内部审计不再仅是“独立的问题发现者,而应成为推动改革的使者”,内部审计活动将以改善机构运行的状况和推动改革的具体行动作为主要内容,它运用系统化的方法,通过评估和改善风险管理、控制和治理程序帮助机构实现其目标,其主要特征是提供增值服务。 增值性内部审计向客户提供防范性的审计产品,向客户提供解决方案,内部审计不再将自己视为“局外人”,而是成为机构增加价值、提供效率的一员,为实现机构的目标提供保障和咨询。 二、和被审计单位建立经营伙伴关系 要实现增值性审计的目的,必须提供专门的审计服务,成为所服务领域的专家,不是仅去发现那些控制薄弱的环节,而是要努力防止这种薄弱环节的产生,要与客户合作、向管理部门营销审计业务、提供培训、教育等服务,并将部分精力集中于防范工作,这样才能最大限度地发挥自身作用。在经营伙伴关系中,内部审计部门会主动出击,其职责是管理风险,而不是回避风险。 三、采用双向参与的审计方式 双向参与包括审计人员参与管理部门的有关活动,管理部门和审计人员共同制定审计计划;审计人员和管理人员实行轮换。如朗讯科技公司要求审计师成为朗讯经营利润中心财务部门高层领导的成员,成为公司业务合并和重组小组的成员;朗讯科技公司还实行“客座审计师”的制度,在审计小组中大约有20%~50%的成员来自朗讯的其他部门。 四、改变轮流审计方式 增值性审计已大大减少或干脆不做回报较低的重复性工作,对需要进行符合性审计的机构,有两种途径:一是把所有分支机构作为一个整体,然后利用软件抽取高风险分支机构进行审计;二是让管理部门通过自我控制评价来实施。 内部审计不再以循环的形式开展,审计师经常和高层管理人员讨论,确定何处需要审计,并根据具体任务的需要提供审计服务。通常确定审计领域有三种依据:一是以风险为基础,审计师与管理部门一起识别风险,并关注高风险领域;二是以程序为基础,审计的主要目的是改善程序,使程序更加经济和有效率;三是参与,审计师和管理部门一起制定审计计划,在进行审计时让管理部门介入思考过程,与管理部门一起提出改善建议。 五、对内部控制以自我评价为主 内部控制评价仍然是增值性内部审计的重点之一,但其实施不再以审计部门为主。朗讯科技公司的内部审计部门开发了一种基于COSO模式的内部控制自我评价工具,由管理部门进行自我评价,然后外部审计师通过对抽样选出的工厂进行突然访问来测试自我评价程序。 六、向管理部门营销审计业务 如果管理部门对内部审计缺乏信任,内部审计就不可能实现增值,为此内部审计部门应向管理部门营销已经开发的审计产品,以取得管理部门的信任。杜邦公司有一个正式的营销方案,该方案由杜邦公司的“审计师全球网络”小组开发,其开发的八种审计产品,针对不同的部门确定营销目标和战略。JCPenney公司没有正式的营销方案,他们认为最佳的营销方式是建立非正式的关系和展示真实的业绩,但他们仍然利用各种会议发言去营销审计项目;并在每个度假季节,审计师都被鼓励去JCPenney百货商店工作两周,使他们学会用一线工作人员的眼光看待经营,从而大大改变了人们对审计的看法。 七、不拘形式的审计过程 这方面最具典型意义的是JCPenney公司。JCPenney公司的内部审计部门在提供增值服务方面已经比较成熟,并努力创造一种非正式的、不拘泥于形式的审计部门形象。他们已经不再提前几个月就详细制定下一年度的工作计划,而是采用即时的方法制定工作计划;他们不使用计算机的风险模型来制定年度计划,而是依据对自身业务的了解和与管理部门的密切联系来确定需要予以关注的领域,即从依赖事先确定的、量化的风险因素转向依赖职业判断和与管理部门的伙伴关系。他们在审计时间表上留出充分的时间,以满足客户提出的特别服务要求。他们采用大量的非正式的方式和管理部门交流,他们注重问题的解决,甚至主张正式的审计报告应趋于淡出。 八、开发高标准的审计依据和工作标准 实施增值性审计的公司都在开发自己的内部审计规范,如内部控制评价手册、审计质量保证问卷和讨论指南、控制自我评价手册、审计人员技能矩阵等。 在开发审计依据方面,朗讯科技公司是典型的代表。朗讯科技公司内部审计工作有五个目标,其中第四个目标是“发现问题的依据是行业最佳实务”,第五个目标是“内部审计在朗讯内外部被认为是代表行业基准的机构”。为实现第五个目标,朗讯公司成立了“经营伙伴最佳实务工作小组”,该工作小组的任务是:①确认一流审计部门应具有的属性;②确认在日常工作中审计部门应达到的最佳实务。 九、按照新的能力要求招聘内部审计人员 增值性审计部门的角色转换,必须有高水平的技能支持,为此国外各类机构都把人员配备作为向增值性审计转变的必要条件。 朗讯科技公司的75名审计师中有30名工商管理硕士,35名审计师拥有相关证书。审计部门努力让每个人的才能和具体项目结合起来,为此设计了非常详细的技能矩阵,然后将这一技能矩阵用于审计工作的分派和个人发展的监测。