高效的內部審計職能，將對推動企業的風險管理、內部控制建設和可持續發展起到關鍵性作用。

　　無論是出于企業自身發展的需要，抑或是為符合外部監管機構的要求，內部審計正日益受到越來越多企業的重視。而如何建立一個行之有效且具有前瞻性的內審體系，亦成為審計委員會和高級管理層（利益相關方）面臨的重要課題之一。

　　根據普華永道的調查發現，當前企業內審部門常見的問題，如沒有明確內審戰略就匆忙開始實施戰術方面的工作，缺乏清晰的內部審計價值期望，缺乏嚴謹的方法等，這些都導致不必要的延誤及成本的增加。因此，普華永道強調，設計內審職能時，必須以戰略推動戰術。為了幫助企業設計并實施專注于戰略的內審職能，在提煉不同規模公司的實踐經驗的基礎之上，普華永道建立了戰略性內審職能啟動框架（以下簡稱框架）。

　　第一步： 明確利益相關方的期望

　　普華永道研究發現，當內審職能在利益相關方制定的戰略框架下運行，并關注整個公司范圍的風險和控制問題時，將能更好地實現公司治理和風險管理。一旦該戰略框架實施后，公司將能更有效地確定內部審計的使命、組織結構、資源模型、工作方法以及溝通方式。

　　為了建立有效的內審職能，內審的主要利益相關方必須確定該職能如何實現期望的價值。通過這個過程，利益相關方應該明確這一新職能的具體成果或“價值驅動因素”。具體的價值驅動因素包括：

　　風險管理和內部控制有效性的保證；

　　內部控制的效率和效果評估；

　　法規及公司政策的遵循性的保證；

　　監管法規所要求的內控有效性檢查；

　　對緊急事件的處理能力；

　　對內審投資的回報；

　　提高企業各階層對風險和控制的意識；

　　成為業務部門的咨詢伙伴，并協助解決復雜問題；

　　優秀管理人員的來源，并作為員工職業發展的一部分；

　　通過與外部審計師的合作使審計成本更加有效益。

　　在內審職能建立后，還應該定期重新評估利益相關方的期望，以確保整個框架與時俱進，符合企業當前的境狀。

　　第二步： 明確內審使命

　　在明確具體的價值驅動因素的基礎上，審計負責人應該與高級管理層和審計委員會一起明確內審的使命，制定正式的“使命聲明”或內審章程，提出該職能的目標并提供評估內審表現的基礎。

　　有效的“使命聲明”不僅要描述該職能的權力和職責，還應反映高級管理層和審計委員會所關注的優先項目。同時，“使命聲明”還必須和主要利益相關方及員工進行溝通，以確保得到他們的理解和認同。在調整“使命聲明”時，則必須依據企業實際情況及框架第一步中定義的價值驅動因素進行。現實情況表明，很多企業常常忽略了這一關鍵的聯系，而是簡單地采用其他企業或內審部門的使命聲明。

　　盡管不同企業的“使命聲明”深度不一，但“使命聲明”或內審章程應該明確內審職能在傳統的內部控制審計和咨詢活動之間的資源分配。一個含糊或沒有同利益相關方期望取得一致的“使命聲明”價值甚微，甚至可能妨礙戰略目標的實現。

　　值得關注的是，當利益相關方尋求價值保護和內控保證時（如中國《企業內部控制基本規范》，香港《企業管治常規守則》和美國《薩班斯-奧克斯利法案404條款》等方面的要求），內部審計人員應該具備優秀的財務審計和合規審計的能力。隨著利益相關方需求的改變，通常要求內部審計更多地通過改進經營管理來創造價值，這亦要求內審人員應具備一系列的技能，包括風險管理和咨詢能力等。

　　需要指出的是，企業對其內審部門功能重點的選擇沒有是非對錯之分，也沒有一個“放之四海皆準”的答案。利益相關方選擇將職能定位于上述內審連續統一體的任何一個位置時，都直接地反映了他們在內審“使命聲明”中的風險偏好和相關審計需求。

　　第三步： 制定正式的戰略計劃

　　戰略計劃幫助并指導建立內審職能。該計劃并不僅僅是某一時點的風險評估，它正式定義了內審新職能的價值主張、服務對象及其將來創造的價值，亦概述了實現關鍵目標的戰術方法和職能上的管理責任。

　　戰略計劃同樣強調初始階段的規劃以及三到五年的財力和人力資源的需求，通常還包括計劃中的關鍵假設和基準指標與第三方數據的比較。該計劃同時可能考慮使用不同方法實現預期結果的成本和收益，具體包括：與其他風險和控制監控職能的優化整合，如法律、合規、信用、市場、安全和舞弊風險管理職能；使用外包服務以提供專業的技術、技能；建立控制自我評估程序。

　　戰略計劃也十分強調溝通問題，這是內審職能成功的關鍵。計劃的溝通部分可針對如下問題：

　　由企業的審計委員會及高級管理層向內部進行初步溝通，

　　對內審職責和權力的通告，

　　企業期望對內審使命的支持，

　　企業期望對解決內部審計發現的控制缺陷和問題的決心。

　　最終，戰略計劃應制定將來如何考核內審工作成果的標準。我們建議企業每年應重新審閱和修訂戰略計劃，并得到利益相關方的批準。

　　第四步： 風險評估并制定審計計劃

　　風險是可能影響公司實現公司目標的任何事件。風險評估使內審人員考慮潛在事件如何影響公司目標的實現。

　　為了幫助企業提升價值，內審應以風險為導向進行審計工作。對內審而言，制定系統的方法分析風險至關重要。風險評估程序開始于界定審計的領域。審計領域包括公司的所有單位、流程和活動。然后，內審人員從行業角度考慮公司的商業模型和其主要商業目標。通過與利益相關方的溝通，內審應該確認其對審計領域、主要商業目標及實現這些目標中的固有風險的理解。

　　根據對公司及其目標和固有風險的理解，內審人員應考慮各風險因素對公司實現目標的影響及其發生的可能性，并通過考慮這兩點，編制企業的風險概況。

　　企業風險概況的一種常見形式是風險熱度圖，以不同的顏色區別企業高、中、低風險領域。在風險評估中被識別為高風險的公司單位、流程及活動，應成為審計的重點和優先點。風險評估的結果能協助企業編制相關的內審計劃來防范、應對公司的各種風險。

　　有效審計計劃提供系統的方法，將風險分為高、中、低類別。在評估風險后，審計負責人還應該同審計委員會和高級管理層一起將風險進行優先排序，并決定在內審職能中所需的能力和技能組合，以專注于優先考慮的高風險領域和主要利益相關方的需求。

　　在內審啟動的第一年，公司通常沒有控制活動有效性評估的正式標準。這樣，初步的風險評估及審計計劃的制定主要從固有風險出發。固有風險包括內、外兩方面。外部風險指全球、國內及經濟形勢的變化，技術、法律及政治的變化；內部因素則包括操作系統的變化，發行新的產品，進入新的市場，管理層和組織的變化以及海外業務的擴張。

　　隨著逐步了解內部控制有效性的標準，定期的風險評估可考慮這些控制的可靠性和有效性與規避相關風險的重要性及/或發生的可能性。基于這些知識，可根據對內控制度的了解將風險重新分類。然而，即使在認為控制有效的領域，內審也必須定期對關鍵控制進行測試，以保證這些關鍵控制可以繼續規避重大風險。

　　為了達到最佳的效果，內審風險評估及風險結果概況應該與內審戰略計劃及審計委員會所需的保證水平相連接。

　　在建立了內審戰略框架后，工作的重點將轉移到戰術執行上。如圖1所示，通過實施第5~10步的職能和活動，內審工作將立見成效，并取得長期的成功。

　　第五步：編制當前和長期的預算

　　完成框架的第1-4步后，可得到足夠的信息去建立當前和長期的預算。預算必須為內審提供足夠的資源，以執行第4步制定的基于風險的審計計劃，并應有適當靈活度以應對業務改變的需要。

　　預算應在風險評估結果和審計計劃的基礎上準備，并根據國際內審協會或其他第三方制定的內審標準，與本行業的類似內審部門比較，建立預算基準。像在框架第3步制定正式的戰略計劃中討論的，預算應該跨越3~5年的時間段。

　　內審預算必須有靈活性，使內審能夠應對突發事件。我們建議使用“靈活支出賬戶”，在應對變化的同時，編制高質量的審計計劃，“靈活支出賬戶”運行如下：

　　在風險評估和內審計劃結果的基礎上建立核心內審預算。核心預算提供足夠的資源，以使內審計劃有效地執行。

　　同時建立單獨的“靈活支出賬戶”。賬戶基于核心內審預算的百分比或其他估計設立。

　　根據識別出的具體項目或需求，確定必要的資源和技術組合以支持核心內審計劃。

　　“靈活支出賬戶”滿足突發的或企業內部一次性項目的需求。

　　“靈活支出賬戶”中的未使用資金為內控預算的盈余差異。與年度內審風險評估流程和計劃的制訂流程相一致，每年估計一次。

　　使用“靈活支出賬戶” 的好處包括：可以使內審預算流程與內審利益相關方的“價值驅動因素”緊密相連；同時，鼓勵內審與其利益相關方直接對話，幫助內審清楚地識別需要特殊技能的領域，并投入適當的資源與資金，以及在特別需要的時候才配備特殊的資源。

　　總括來說，本步強調內審應先根據戰略制定預算，然后再考慮戰術。

　　第六步：盡早開展現場工作

　　內審部門往往希望在結構設立完畢、員工全部到位后才開始內部審計工作，這是非常不現實的想法。公司的主要利益相關方沒有耐心去等待，他們希望馬上看到進展，而不是在審計職能成立后的下一年或更遠時期。企業不能期望在取得所有的資源之后才開展現場工作。

　　為了立刻體現價值，內審部門應該在成立幾周之內開始現場工作。比較理想的是，在內審部門宣布成立起的100天內對3~5個已知的高風險領域展開審計工作。這些初步的審計通常應該關注某些特定的領域，例如：采購流程和銷售渠道的有效性，信息系統總體控制和其他已知的存在內控問題的業務領域等。

　　使用正式的快速啟動程序是保證盡快取得成果的有效方法。快速啟動程序是一種項目管理技術，它對在最初100~120天內將要完成的不同審計和初步工作進行規劃。快速啟動程序包括具體的戰略及戰術，也包括可能需要同時開展審計的領域。計劃包括預定的完成日期和用來衡量進度、識別問題和進行調整的里程碑。使用快速啟動程序還可以防止啟動程序的拖延以保證現場工作盡快開始。

　　當然，這樣的快速啟動程序需要有足夠的資源來實施現場工作。通常，內審資源需要“加速提升”以滿足執行完整審計程序的需要。為了達到快速啟動，許多公司首先選擇借用外部中介機構。這樣做的優點是除了能在項目開展過程中獲得專業建議和咨詢服務，能獲得完成特定高風險審計所需的資源、工具和技術，還能隨著職能由內審人員獨立執行或共同完成項目實現知識的轉移。

　　第七步：評估所需的技能

　　內審部門應結合在內審啟動階段對利益相關方的價值驅動因素和“使命聲明”的認定，對所需的技能進行評估。一個常見的誤區是管理層過于注重內審人員的數量，而忽略了高風險和主要價值驅動因素所需的技能。實現前述的“內審連續統一體”通常要求一整套的技能，包括技術以及所處行業的專業知識。然而，吸引具有領導才能、技能及經驗的高素質專業人士可能是一個耗時和漫長的過程。為了防止延誤內審工作，內審部門可以考慮使用第三方中介機構來取得過渡期間所需的資源。通過外包專業服務的方法，管理層及審計委員會在取得內審工作成果的同時更可以關注聘用合適的人員。當聘用到了合適的人員，外包專業服務的形式可以調整為內外共同完成項目或徹底取消。

　　在考慮長期人員需求時，請記住內審是一個動態的、不斷變化的領域，不只是“尋找能干活的人”的簡單要求。在過去的十年中，許多國際性的公司開始通過內外部共同完成項目的方法取得工作靈活性，取得那些從內部無法獲得的技能。

　　為了滿足這一需求，普華永道開發了“資源的車輪模型”。資源的車輪模型假設某些核心內審資源和能力在公司內可以保持不變。車輪的“軸心”是企業內審的領導力、持續力及經驗等在公司內保持不變的核心內審資源。車輪模型中的“輻條”代表可以與中介機構或企業的專業部門合作的內容。在圖2的示例中，核心小組依靠合作伙伴的技能，來取得滿足獨特、復雜或特定領域審計所需的資源，如信息安全、ERP系統控制和安全、相關法規的合規性遵循、舞弊調查以及企業持續經營計劃等。

　　“輻條”并不限于特定領域。如果在不同的地域需要核心內審資源，或者需要核心內審資源加入現有的某個審計隊伍，軸心和輻條模型能在消除或控制審計成本的前提下，保證審計的質量和及時性、一致性。

　　與之前討論的“靈活支出賬戶”相結合起來，資源的車輪模型能幫助內部審計按需取得必要的審計技能。隨著內審重點的變化，軸心輪輻資源模型以及“靈活支出賬戶”可以保證內審職能中的“風險導向審計”的靈活性。