菲尔·塔林现任华为内部审计卓越中心副总裁。他拥有经济学学士学位、内部审计和管理硕士学位以及风险管理确认专业资格(CRMA)等多项资格。他从事内部审计职业28年,其中23年均为经理级以上级别。此外,他还积极参与国际和地区层面的内部审计职业组织的相关事务,担任过IIA英国和爱尔兰分会2005~2006年度主席,欧洲内部审计师协会联盟2010~2011年度主席,IIA前全球主席。 一、内部审计转型的背景 无论商业组织还是公共部门的内部审计机构,通过改变审计方法都可以为业务部门和组织提供更好的增值服务。内部审计必须为组织增加价值吗?答案毋庸置疑。因为如果不能增加价值,内部审计就变成了成本,没有价值的成本就必须要剔除。所以内部审计需要认真思考是不是能够在成本的基础之上提供价值。内部审计现在已经高度专业化了,如果专业化不强的话就需要考虑改变。此外,内部审计工作是不是能够达到《国际内部审计专业实务框架》(IPPF)的要求并遵循准则呢?如果达不到或未遵循,内部审计就需要思考如何进行改变。 内部审计环境的不断变化,要求内部审计必须从组织的普通一员转变为拥有全局眼光的战略家。在传统视角下,内部审计是相对孤立的职能部门,侧重于被动反应,事后审计居多,工作主要以财务为基础,关注面窄,基本上属于“看门狗”或者警察的角色。而在新兴视角下,内部审计要主动出击,主要开展事前审计,会涉及多个业务领域,关注整个组织的运营。内部审计更多的是一个战略高参,与业务部门相互合作提出解决方案,与各个部门融为一体,为组织提供意见和帮助。 普华永道2014年内部审计职业状况调查结果表明,内部审计主要对内部控制的有效性提供确认服务。但这远远不够,内部审计要成为问题解决者,即对审计发现问题的根源进行分析,并更进一步,提出有意义的措施帮助业务部门改进。内部审计要提供风险确认服务,对组织风险提出深刻见解,积极主动地提供战略性建议。内部审计职能逐步发展,为企业提供更多的增值服务,最终成为值得组织信赖的高参,而这些建议和增值服务的价值远远超出了高效率、有成效地执行审计计划的价值。 我以足球比赛为例,来说明内部审计转型的背景。 足球教练经常提到,如果其他10位球员错过了救球机会,守门员也很难阻止足球入网。但这不能完全归咎于守门员,因为足球比赛是团队运动,并不是某个人能够决定结果的。一支球队的场上球员可以组成三道防线,分别是进攻球员、后卫和守门员。第一道防线,包括前锋、中场球员,如果这些球员失了球,那么这个球就会被对方夺走;第二道防线是后卫球员,如果后卫防守失败的话,最终只能靠第三道防线守门员来挽救球局。守门员在球场上一直在观察其他队员,他所在的位置可以看到防御缺口,他知道什么时候需要怎样的防守来挽救球局。足球比赛的防守与有效风险管理的三道防线有异曲同工之妙。如图1所示。 有效风险管理的三道防线模型是国际内部审计师协会于2013年发布的。第一道防线包括经营管理和内部控制两个方面,其作用主要是保证内部控制的设置。但内部控制制度设置再好,也必须要人来遵守执行,否则,内部控制无从谈起。第二道防线包括财务控制、安全(网络安全和实务安全),检查(主要进行合规检查)、质量(主要设置质量标准,并进行考核监督和检查)、企业风险管理及道德和法律。第三道防线是内部审计。这三道防线相互关联,发挥作用。 第一道防线的作用是控制业务运行中的风险。第二道防线的作用是组建经营团队,确保业务以成本效益的方式运行,保证高效率。此外,第二道防线的作用还在于监督第一道防线,确保其发挥作用。第三道防线的作用是进行审计和审计调查,独立评估风险和治理结果,出具审计结果。理清三道防线的关系,有助于正确把握内部审计的职能定位。 内部审计在三道防线中都能发挥作用。首先,作为第三道防线,内部审计可以在第一道防线和第二道防线的基础上识别薄弱环节,改善全面调查的操作成效,可以开发内部审计方法,建立最佳实践。针对第二道防线,内部审计要做的事情是评估监督部门的内部控制,在充分了解新业务的基础上对其提出建议、开展评估,或者在开拓新的业务领域前,防患于未然,献计献策。针对第一道防线,内部审计要做的是开展相关的测试,对第一道防线的内部控制进行评估。内部审计部门要思考如何提供更好的解决方案,如何才能帮助整个企业改善内部控制。说到底,内部审计部门需要的是了解为什么会犯错误,怎样解决问题。 二、内部审计转型的要素 内部审计转型的要素,首先是过程,也就是方法论,其次是信息技术,主要是工具和技术,第三是人力,主要指员工专业胜任能力。这三者结合起来,才能够实现转型。 (一)过程或者流程 这一要素中,内部审计不仅局限于控制、指示、监管和规则导向,还要关注组织目标,只有充分了解组织的目标,才能提供有价值的建议,从而完成内部审计部门的工作目标。同时还要关注风险。关注风险并不容易,因为人们不了解到底什么是风险,组织究竟存在什么样的风险。人们往往认为风险是发生意外所产生的后果。其实恰恰相反,风险才是造成某种后果的原因,内部审计应该关注的是起因,而不是结果。此外,内部审计需要思考如何发挥咨询服务职能,提出有价值的建议。内部审计还需要关注效率、效果和效益,也就是说,要关注所有必要的规则和规定,如果这些规则和规定是无效的或者没有意义的,内部审计部门应该采取适当的措施。