增值型内部审计模式的改进与支持

张白

【摘 要】 内部审计的模式已经发展到了增值型内部审计模式的阶段。金融危机后，风险领域的变化和利益相关者期望的提升对当前的内部审计模式提出了新要求，内部审计模式需要针对这些变化做出改进。文章尝试引入利益相关者价值观的思想，从内部审计的服务对象、角色和价值增值途径入手，对增值型内部审计提出改进，进而分析了改进过程中需要的支持，并尝试构建了“内部审计价值实现金字塔”。

【关键词】 利益相关者； 增值； 内部审计模式

2008至2009年的金融危机后，全球金融市场、行业环境和监管制度都发生了翻天覆地的变化。与之相伴的是，全球化和信息化浪潮使得来自环境保护、社交媒体和数据隐私安全等领域的新兴风险凸显，普华永道（2012）针对内部审计行业现状的调查就显示高达80%的业界人士认为所在组织面临的风险正在不断增长。风险的提高也随之提高了利益相关方的期望，政府和公众将危机的爆发归咎于企业薄弱的风险管理，企业在利益相关方中的公信力不断下降，各种监管手段的出台迫使企业更加重视风险管理。这就对内部审计——这一企业风险管理的重要手段和利益相关者权益的“后盾”——提出了更高的要求。风险领域的变化要求内部审计覆盖更广泛的风险，提供清晰有深度的意见，利益相关者的期望需要内部审计来协调和满足，新形势下，内部审计模式需要针对这些变化做出调整，并获得企业的支持。

一、强调价值增值的内部审计新阶段

内部审计的发展经历了财务导向、业务导向、管理导向和风险导向四个阶段。这个过程中，不论内部审计的目的是查错防弊、积极兴利还是风险管理，最终目标都指向实现企业的价值增值。内部审计模式的演进本质上是内部审计寻求更好的实现企业价值增值的过程。适应这种认识，1999年国际内部审计师协会（以下简称IIA）对内部审计做出了全新定义，认为“内部审计是一种旨在增加价值和改善组织运营状况的独立、客观地保证和咨询活动。它通过引入系统的、规范的方法来评价和改善风险管理、内部控制和公司治理程序的有效性，帮助组织实现其目标。”余玉苗，詹俊（2001）认为该定义是内部审计的一次重大变革，标志着内部审计进入了增值型内部审计模式的新阶段。

相较于过去的审计模式，增值型内部审计最大的不同就是将内部审计的目标放在了价值增值上。IIA认为内部审计的价值增值是“通过确认（Assurance）和咨询（Consulting）服务来增强组织目标达成的机会，识别运营过程的改善方面，降低风险水平”得以实现的。可见，内部审计要想实现价值增值，就必须为组织实现其目标服务，站在维护组织整体利益的角度，帮助决策者解决目标实现中的各种问题（张玉，2005）。这个过程主要是通过降低内部审计成本和提供关于组织完善的建议两大途径完成的（余玉苗、詹俊，2001；刘春花，2004）。

二、利益相关者价值观的引入

（一）利益相关者价值观引入的原因

就理论需要而言，早年的企业价值导向是面向股东的，企业围绕股东的利益组织起来，开展经营活动，股东价值最大化是企业的目标。自Freeman和Reed（1983）开创性的提出了利益相关者理论之后，人们对企业目标的认识从股东价值最大化转向了企业价值最大化，重视利益相关各方的期望渐成主流，公司财务的目标已经转变为利益相关者价值最大化（李心合，2003）。当前的内部审计模式如果不能适应公司财务目标的这种转化，并根据利益相关者价值观理论做出一定的调整，就很难真正实现价值增值。

就现实需要而言，2008到2009年的金融危机之后，企业面对的风险领域进一步扩展，风险管理内容越发复杂，内部审计的范围也随之延伸到经济不确定性评估、大项目管理、新产品导入和品牌声誉等领域，利益相关者的期望“水涨船高”。如何迎合利益相关各方的期望，协调利益相关各方期望的天然矛盾，化这些期望为内部审计发展的动力成为当前内部审计模式亟待解决的问题。因此，引入利益相关者价值观，改进增值型内部审计模式是理论和现实的共同需要。

（二）增值型内部审计目标的重新释义

利益相关者价值观认为公司不是股东获取最大化利益的工具，而是一种将与企业存在不同利害关系的群体“寓于其中”的组织。这类群体就是利益相关者，即那些与公司存在直接或间接利益关系并享有合法性权益的组织和个人（李心合，2003），包括出资人、员工、顾客、政府机构、特殊利益团体、社会媒体等。公司应将公司利益独立于股东，将公平和效率原则有机结合，协调和平衡利益相关各方的关系和期望，最终实现公司价值的增加。

将利益相关者价值观引入内部审计，首要任务就是使内部审计目标和公司财务目标相契合。笔者认为在引入利益相关者价值观的思想后，内部审计的目标仍是帮助组织实现价值增值，但是“增值”的概念需要有所扩展：第一，利益相关各方的期望应该纳入内部审计目标的考量。内部审计必须协调和平衡利益相关各方的不同期望，否则利益相关者可能阻碍企业目标的实现，影响内部审计的增值效果，因此在内部审计增值的定义中加入“使利益相关群体满意”是必要的；第二，内部审计的增值不应局限于组织内。内部审计不仅要为本组织增加价值，还要为社会发展实现增值（张玉，2005），必须要求公司承当必要的社会责任，包括遵守国家的相关法规，尊重普世价值，全面地向包括业主、监管者、一般公众在内的利益相关各方报告并为环境保护、人道主义、人类发展等提供支持。以上两点扩展将帮助内部审计在工作中明确如何实现真正的增值。

三、利益相关者价值观下增值型内部审计模式的改进

内部审计模式需要围绕内部审计目标构建，围绕引入利益相关者价值观后的内部审计目标，笔者认为当前增值型内部审计模式应该做出以下改进：

（一）内部审计服务对象的扩展

公司高级管理层和董事会（或审计委员会）是内部审计的传统服务对象，但是随着企业风险的不断变化和提升，利益相关者对企业的期望也随之变化，利益相关各方期望的天然矛盾日趋尖锐，内部审计部门在履职的过程中需要考虑利益相关各方的期望，并通过服务来协调和平衡他们的期望，增强组织目标达成的机会。因此，引入利益相关者价值观的思想，我国学者赵华和宋士杰（2007）认为内部审计的服务对象应确认为利益相关者大会领导下的董事会。一方面，利益相关者大会成为利益相关各方的代表保护利益相关者的利益；另一方面，公司董事作为利益相关者大会的“代理人”协调各利益相关方的利益矛盾，成为联通内部审计和利益相关者的桥梁。endprint

考虑到利益相关者大会的建立还没有实例，从理论到现实还有很多障碍，而且这种分类方法没有突出不同服务对象的价值贡献能力。我们承接利益相关者价值观的思想将内部审计的服务对象扩展为所有利益相关者，并按照利益相关者对内部审计价值增加的影响程度将其分为两层：第一层是核心服务对象，包括股东、董事会、CEO、CAE、管理层、审计委员会；第二层是次级服务对象包括员工、顾客、政府、特殊利益团体（环保组织、慈善机构等）、媒体和公众等。核心服务对象对企业的战略决策和组织目标实现具有重大影响，内部审计为其提供直接服务，服务质量的好坏将影响他们的决策进而影响组织目标的实现。对于次级服务对象，内部审计并不为其提供直接服务，但是内部审计需要将次级服务对象视为假想的服务对象，将其纳入考量。因为内部审计需要帮助企业履行一定的社会责任，内部审计的服务质量将影响次级利益相关者对企业的看法，进而影响企业的目标实现。比如，内部审计为企业提供环境保护，内部审计将推动企业实现社会责任，缓和公众和环保组织与企业在环境保护上的矛盾，此外，环境保护内部审计质量也将影响企业的责任认定，帮助企业获得环保诉讼中的优势，为企业挽回损失。在采用这种分类方法之后，内部审计就可以有针对的为两个层次的服务对象提供服务，即提供满足核心利益相关者期望的服务和帮助企业协调平衡次级利益相关者期望的服务，这将有利于内部审计实现价值增加。

（二）内部审计角色的升级

增值型内部审计的角色更像是普华永道（2013）描述的一个“问题解决方（Problem Solver）”或“意见提供方（Insight Generator）”。增值型内部审计通过传统的确认服务确认组织的内部控制是否有效，之后运用专业知识和技术为董事会和管理层理解和解决问题提供专业的咨询服务，确保风险的良好管理。更优秀的则能够积极的提供咨询服务，运用对问题深入的理解和更专业的知识主动提示董事会和管理层企业面临的风险，并提供可供选择的解决方案。

但是，金融危机之后，利益相关各方的期望不断提高，核心服务对象需要内部审计更加专业的意见，次级服务对象则希望内部审计确保企业遵守社会承诺、履行社会责任。为了满足服务对象的期望，笔者认为内部审计需要引入利益相关者价值观，实现向“值得信赖的顾问（Trusted Advisor）”的角色的转变（普华永道，2013）。这就要求内部审计部门同利益相关各方建立一种伙伴关系，加强自身技术能力的专业性，培养良好的交际能力，使得核心服务对象无法忽视内部审计的建议，帮助企业博得诸如公众和特殊利益团体等次级服务对象的信任，为企业实现目标提供最强有力的支持。内部审计的这种角色转变使其提供的咨询服务不断精进，其服务范围则从核心服务对象拓展到次级服务对象，这将提高其对企业目标的支持力，最终帮助内部审计发掘未实现的价值，并为实现这些价值提供可能。此外，也要注意到，虽然引入利益相关者价值观视角后对咨询服务职能的强调有增无减，然而角色的转变并不意味着抛弃内部审计传统职能，确认服务永远是内部审计的基础，是支撑内部审计咨询服务的“地基”，内部审计在角色转型中仍要提供确认服务，传承并且更加精进，否则内部审计的咨询服务效果就会大打折扣，“顾问”可能不再“值得信赖”。

（三）内部审计价值实现途径的修正

过去的研究认为内部审计将其活动分配到公司治理、风险管理和内部控制三大领域，通过降低内部审计成本和提供关于组织完善的建议两大途径实现价值增值（余玉苗、詹俊，2001；刘春花，2004）。笔者则认为内部审计为企业增加价值是一个循序渐进的过程，包括四个阶段：第一阶段的内部审计职能针对业务流程与业务系统、企业项目和重要合同、资产安全管理和财务报告等审计关注点帮助企业对当前的公司治理、风险管理和内部控制进行评估和改善；第二阶段的内部审计职能则更关注对未来公司治理、风险管理和内部控制的评估和改善，并将关注点扩展到了投资决策和新兴风险等领域；第三阶段的内部审计职能能够通过流程优化、提升公司效率和资金积累改善运营效果；第四阶段的内部审计职能能够影响企业的战略创造未来价值。这四个阶段构成了内部审计实现价值增值的两大途径：如果企业内部审计部门提供的服务还停留在第一阶段，那么内部审计只能实现价值保护；如果企业内部审计部门提供的服务逐渐从第二阶段发展到第四阶段，那么内部审计就能够实现价值提升。与之前的研究（余玉苗、詹俊，2001；刘春花，2004）不同，笔者的理论认为从价值保护到价值创造这两大途径是一个递进的过程，前一个阶段将构成下一个阶段的基础，并且阶段越高，内部审计价值创造的能力就越强。内部审计要想提高价值增值能力，就需要通过改善当前的公司治理、风险管理和内部控制来实现价值保护，进而将目光放在未来的公司治理、风险管理和内部控制，提高公司日常运营绩效，最终支持企业战略计划的有效实行，实现价值增值。价值增值途径紧扣内部审计目的，即“帮助组织实现其目标”，突出了改善运营效果的重要性，囊括了三大领域，更加贴合IIA对内部审计的定义。

四、利益相关者价值观下增值型内部审计的支持

为了实现内部审计服务对象的扩展、内部审计角色的升级和内部审计从价值保护到价值创造的转型这“三大转变”需要得到来自企业的支持。除了财力支持外，包括以下三个方面也需要得到企业的支持。

（一）协同支持

内部审计的成功依赖于各方的支持，内部审计部门只有和企业内部各方协同合作才能发挥最大的效果。为此，笔者认为内部审计需要实现两个协同支持：

第一，董事会和高级管理层需要对内部审计形成一致的期望。董事会和管理层共同决定了公司的战略方向，其支持对于内部审计的良好运行非常重要。由于利益相关各方的利益矛盾交错，董事会和管理层对于期望和风险的认识往往产生偏差。为了保证内部审计的运行，公司内部应该对公司的战略目标形成一致明确的认识，董事会和高级管理层应该在充分考虑利益相关各方期望的前提下确认那些对企业战略目标实现具有潜在影响的诉求，会同内部审计部门就协调和满足这些期望形成一致的意见，明确内部审计的使命，形成一份“使命声明”。有效的使命声明将对内部审计职能的权力和职责进行描述，该声明将成为董事会和管理层评估内部审计表现的基础。endprint

第二，实现风险管理三条防线的协同。企业风险管理需要多部门协作共同完成，其中业务单位是第一道防线，风险管理部门是第二道防线，内部审计则是第三道防线。内部审计能够在前两条防线的帮助下发现关键的风险领域，反过来，内部审计也可以发挥对企业的全局认识，为前两道防线注入凝聚力。内部审计应该将其对利益相关者期望的理解传递至前两道防线，提请他们重视利益相关者的期望。只有企业风险管理的三条防线对于利益相关者各方的期望形成一致的理解，实现有机动态的协同，内部审计才能在风险管理中发挥更大的作用。

（二）人力支持

合格的内审人员对于增强内部审计基础非常重要，是改善内部审计表现和拓展内部审计范围以便为更广泛的关键风险提供审计服务的先决条件。引入利益相关者价值观，内部审计需要实现“三大转变”，这就要求内部审计人员除了进一步提高自己的专业技能外，还要做到以下几点：第一，内部审计人员必须理解企业的战略目标和各利益相关方的期望。内部审计必须在开展工作之前对企业的战略目标有深刻的理解，甚至参与到企业战略的制定中去，这样才能在工作中抓住价值增值的主线。理解利益相关各方的期望则能帮助内部审计人员在工作中兼顾各方的需要，更有策略的协调各利益相关方的矛盾。第二，内部审计人员必须具备良好的沟通能力。这里的沟通不只涉及内部审计人员内部的沟通，还涉及同利益相关者的沟通。内部审计人员必须成为利益相关者的伙伴，运用自己对企业目标战略的理解和专业知识，与利益相关方进行坦诚的、有见地的交流，并以博得信任作为重要的工作目标。第三，内部审计人员必须具有协同和团队合作能力。内部审计是一项团队工作，有效的团队工作将大大改善内部审计的工作效率和成果，同时也是内部审计博得利益相关者信赖的筹码。第四，内部审计团队的构成需要内部审计之外的人才支持。随着风险领域的扩张，诸如环境保护、社交媒体和网络技术方面的内部审计已经成为企业重要的风险来源。这些风险领域的专业性很强，要求传统的内部审计人员“样样精通”明显勉为其难，两条途径是可行的选择：将内部审计岗位作为培训机会提供给重要岗位员工，然后再让他们回到原来的岗位；或者将专业性较强的业务外包给企业外的专业团队来完成。总而言之，加强传统内审技术之外的诸如关系管理和沟通技能等软性技能是实现利益相关者价值观下增值型内部审计的重要支撑。

（三）技术支持

引入利益相关者价值观后，内部审计服务对象的扩展要求内部审计实现向“值得信赖的顾问”的转变，内部审计则需要实现从价值保护到价值创造的飞跃。这些转变，离不开技术的支持，需要内部审计不断开发和运用新技术以适应风险和利益相关者期望的变化。具体而言，包括计算机技术和审计技术两方面的支持：

在计算机技术的使用方面，当前企业主要面临两大问题：首先，为了应对不断扩大的风险领域，提高内部审计效率，越来越多的企业使用ERP系统覆盖企业范围的全方位信息。但是大多数ERP系统为内部审计提供的支持是不够的。事实上，许多内部审计人员受制于系统不完善和权限障碍只能依靠企业内的其他职能部门提供的信息来完成内部审计工作。其次，内部审计在获得来自企业信息系统内的数据后，需要使用专业工具来进行筛选和处理。实际情况中，内部审计人员仍大量使用Excel和Access这些办公软件作为处理工具，专业的技术分析工具很少被使用，这可能是相关技术分析工具的选择较少所致，也可能是企业的重视不够，没有为内部审计人员使用分析工具提供足够的支持，导致内部审计人员不具备使用分析工具的技能。笔者认为，企业应该重视对内部审计信息技术的支持，一方面应该在ERP系统中赋予内部审计人员更高的权限，增加适当的功能和模块，方便内部审计人员调用分析数据；另一方面，企业需要提供专业的培训或软件来支持内部审计人员掌握使用分析工具的技能。

在审计技术的使用方面，新的风险状况和利益相关者期望要求内部审计师从传统的以年度审计计划为中心转向更为反应迅速和灵活的审计计划模式。内部审计应该变传统的固定、滚动审计方法为动态、综合的审计方法。该方法仍以增值为导向，但是不再是对各审计单元轮流进行审计，而是每年对所有的审计单元按照不同审计集中度分别开展审计工作。该方法强调内部审计应该预留充分时间和资源以随时应对新风险，在评估阶段则需要就结合业务运营中的关键风险和当前及未来利益相关者的关注重点对所有审计单元的固有风险和控制风险分别分级，再根据分级结果确定审计集中度，进而根据风险集中度来决定不同审计单元的审计力度，展开不同程度的审计工作。实际操作中可以采用项目试点的方式，建立试点审计项目生命周期的总体框架，通过试点来测试并完善能够为内部审计提供支持的技术。

五、内部审计价值实现金字塔的构建

构建一个“内部审计价值实现金字塔”来总结引入利益相关者价值观后增值型内部审计模式实现价值增值的过程。如图1所示，该金字塔的核心是内部审计的利益相关者，分为核心服务对象和次级服务对象，象征着内部审计工作必须围绕利益相关者的期望展开。金字塔由四级“台阶”构成，从最低一级到最高一级分别是评价和改善当前公司治理、风险管理和内部控制，评价和改善未来公司治理、风险管理和内部控制，改善运营效果和支持战略计划实行，象征着内部审计实现价值增值的四个阶段。内部审计人员不断努力为企业增加价值的过程就像在攀登金字塔，金字塔越高的部分越难达到，而每实现一个阶段，内部审计人员就离塔顶更进一步。同时，价值保护作为金字塔的底座，其越厚实，金字塔就越稳健，象征着只有做好价值保护工作，内部审计才能继续攀登价值创造的“高峰”。同时，内部审计人员只有实现向“值得信赖的顾问”的角色转变才有可能获得更多的支持来更快地攀登这座金字塔。金字塔的四条棱线象征着企业对内部审计的四大支持，分别是协同支持、人力支持、技术支持和财力支持，缺少任何一个支持，金字塔都会垮塌变形。●

【参考文献】

[1] R. E. Freeman， D. L. Reed. Stockholders and Stakeholders： A New Perspective on Corporate Governance[J]. California Management Review，1983（3）.

[2] 余玉苗，詹俊.论增值型企业内部审计的发展[J].审计研究，2001（5）.

[3] 李心合.利益相关者财务论[J].会计研究，2003（10）.

[4] 刘春花.增值型内部审计研究[D].福州：福州大学硕士学位论文，2004：7.

[5] 国际内部审计师协会.内部审计实务标准[S].2007.

[6] 谢志华.内部控制、公司治理、风险管理：关系与整合[J].会计研究，2007（10）.

[7] 赵华，宋士杰.基于利益相关者价值观的企业内部审计模式研究[J].财会通讯，2007（12）.

[8] PWC. State of the Internal audit profession study： Aligning internal audit—Are you on the right floor？ [OL] http：//www.pwc.com/us/en/risk-assurance-services/internal-audit/publica -tions/pwc

-2012-state-of-internal-audit-survey.jhtml，2012.

[9] PWC. State of the Internal audit profession study： Reaching great heights： Are you prepared for the journey？[OL].http：//www.pwc.com/us/en/risk-assurance-services/publications/pwc-2013-state-of

-profession.jhtml，2013.endprint