一、我國公司治理、風險管理及內部控制法規(guī)

　　早在世紀交替之際，公司治理、風險管理以及內部控制就成為管理理論界及實務界的熱點問題。國際上關于這三方面的研究成果層出不窮，涌現出一些具有國際影響力的專業(yè)性研究報告及標準，如COSO委員會的《企業(yè)整體風險管理框架》、《較小型公司財務報告的內部控制》、銀行金融業(yè)的《新巴塞爾資本協議》等。在國際環(huán)境的影響之下，我國在公司治理、風險管理及內部控制方面的研究也取得了重大突破，相關政府機構及監(jiān)管部門制定了一系列規(guī)范、標準以及指引，成為組織行為規(guī)范和監(jiān)管行為規(guī)范不可或缺的指南針。

　?。ㄒ唬┿y行業(yè)頒布的有關指引

　　中國銀行業(yè)監(jiān)督管理委員會自2006年起陸續(xù)頒布了《國有商業(yè)銀行公司治理及相關監(jiān)管指引》、《銀行業(yè)金融機構內部審計指引》、《商業(yè)銀行合規(guī)風險管理指引》、《銀行業(yè)金融機構信息系統風險管理指引》、《信托公司治理指引》、《商業(yè)銀行操作風險管理指引》等一系列有關治理、內部審計、風險管理的指引。特別是《銀行業(yè)金融機構內部審計指引》明確規(guī)定：（1）銀行業(yè)金融機構內部審計應履行監(jiān)督、評價和咨詢之責，審查評價經營活動、風險狀況、內部控制和公司治理效果；（2）應建立董事會領導下的、垂直管理的內部審計部門，配置具有高級管理人員任職資格的首席審計執(zhí)行官；（3）應按照員工總數1％的比例配備具有專業(yè)勝任能力的內部審計人員；（4）內部審計部門應建立完善非現場內部審計監(jiān)測體系和內部審計操作系統、信息管理系統；（5）經董事會批準，內部審計項目可部分外包，實行合作內審制；（6）首席審計執(zhí)行官和內部審計部門應建立緊密的與內部客戶（如董事會、高管層）及外部客戶（如銀監(jiān)會）的溝通報告制度；（7）加強內部審計部門與合規(guī)管理部門、風險管理部門之間的協作，內部審計部門要定期獨立評估合規(guī)及風險管理職能的履行情況。

　　（二）保險業(yè)制定的相關規(guī)范

　　中國保險監(jiān)督管理委員會為保險業(yè)構建良好的治理、風險管理以及內部控制制定了規(guī)范。繼2006年元月頒布《關于規(guī)范保險公司治理結構的指導意見（試行）》后，又陸續(xù)頒布了《保險公司內部審計指引》、《保險公司風險管理指引》等配套法規(guī)。值得關注的是，《保險公司內部審計指引》明確要求：（1）保險公司應當建立與其治理結構、管控模式、業(yè)務性質和規(guī)模相適應的相對獨立的內部審計體系；（2）應當設立對董事會和高管層雙重負責的審計責任人職位，審計責任人的聘解應當向保監(jiān)會報告；（3）專職內部審計人員原則上應不低于公司員工總數的5‰；（4）內審部門每年應對內部控制的健全性、合理性和有效性進行全面評估，出具內部控制評估報告；（5）保險公司應向保監(jiān)會提交內部審計工作報告、內部控制評估報告、審計發(fā)現的重大風險事項以及未有效整改的審計發(fā)現。

　?。ㄈ﹪Y委頒布的相關指引

　　國務院國有資產監(jiān)督管理委員會在2005年《關于加強中央企業(yè)內部審計工作的通知》的基礎上，于2006年6月頒布了《中央企業(yè)全面風險管理指引》，以指導央企開展全面風險管理工作，促進國有資產保值增值和企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展。該指引強化了內部審計在企業(yè)風險管理中的作用，明確規(guī)定：（1）有條件的企業(yè)可建立風險管理的三道防線，即各有關職能部門和業(yè)務單位為第一道防線，風險管理職能部門和董事會下設的風險管理委員會為第二道防線，內部審計部門和董事會下設的審計委員會為第三道防線；（2）企業(yè)應建立內部控制審計檢查制度，要結合內控的有關要求、方法、標準與流程，確定審計檢查的對象、內容、方式和負責審計檢查的部門；（3）企業(yè)應建立重要崗位權力制衡制度，并將主要崗位作為內部審計的重點；（4）內部審計部門應至少每年一次對包括風險管理職能部門在內的各有關部門和業(yè)務單位的風險管理工作合規(guī)性和有效性進行監(jiān)督評價，審計報告應直報董事會或董事會下設的風險管理委員會和審計委員會；（5）內部審計應積極參與風險管理培訓工作，以培養(yǎng)風險管理人才，培育風險管理文化；（6）內部審計部門是風險管理組織體系的重要組成部分，其職責履行應符合《中央企業(yè)內部審計管理暫行辦法》的有關規(guī)定。

　?。ㄋ模┴斦?、證監(jiān)會及審計署出臺的相關規(guī)定

　　財政部高度關注《薩奧法案》對內部控制建設的影響，采取了切實有效的行動。2006年2月，新修訂的《審計法》規(guī)定：依法屬于審計機關監(jiān)督對象的單位，應按照國家有關規(guī)定，建立健全內部審計制度，其內部審計工作應當接受審計機關的指導和監(jiān)督。隨后審計署于2007年首次就《中外內部審計準則比較研究》等五項內部審計課題公開立項，組織學術界和實務界專家展開研究。2006年7月，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部委聯合成立了“企業(yè)內部控制標準委員會”，共同研究制定我國企業(yè)內部控制規(guī)范。2007年3月，委員會發(fā)布了《企業(yè)內部控制規(guī)范——基本規(guī)范》和17項具體規(guī)范的征求意見稿。隨后，企業(yè)內部控制規(guī)范體系建設取得重大突破，《企業(yè)內部控制基本規(guī)范》在2008年6月頒發(fā)。該規(guī)范明確指出：內部審計作為“內部監(jiān)督”要素的核心力量，應對企業(yè)內部控制的有效性進行獨立評估，對已發(fā)現的重大內部控制缺陷有權直接向董事會及其審計委員會、監(jiān)事會報告；同時，“企業(yè)應當加強內部審計工作，保證內部審計機構設置、人員配備和工作上的獨立性”，這是改善企業(yè)控制環(huán)境的重要措施。這一基本規(guī)范以及后續(xù)具體規(guī)范的出臺為我國企業(yè)加強內部控制和內部審計建設提供了基礎性、權威性指引，必將有利于提高企業(yè)的控制能力和風險防范能力，有利于改善企業(yè)的運營狀況和治理機制，有利于資本市場的持續(xù)健康發(fā)展。

　　這些規(guī)范的頒布，說明內部審計的建立與完善不僅是各組織提高管理水平、加強風險防控能力、促進組織目標實現的必要保障，更成為監(jiān)管部門以及行業(yè)主管機構作出的強制性要求。在這一大背景下，中國內部審計協會順勢而為，于2006年提出內部審計應全面轉向以控制和風險為導向的現代管理審計；同年協會設立衛(wèi)生內部審計分會、與IIA簽署《內部審計質量評估協議》；連續(xù)舉辦內部審計外部質量評估師資培訓班，并于2007年6月在中國殼牌石油化工有限公司、中廣核工程有限公司順利實施并通過了IIA質量評估組所進行的外部評估；積極指導地方協會推動人大或政府出臺有關內部審計的條例或規(guī)定；積極支持發(fā)改委、公安部、稅務總局等設立內部審計司（局），支持大學及醫(yī)院等非盈利組織加強內部審計工作；積極動員和宣傳CIA考試。作為內部審計發(fā)展最好證明的是，三年來涌現了一大批先進的內部審計單位，不僅有先進的審計理念、審計技術，更有顯著的價值增值。強調要樹立“未病先防”、“小病早治”、“大病防變”、“病后防復”的理念，積極開展控制和風險導向審計；要全面應用信息技術，建立“問題查找模型”，揭示重要的結果偏差和控制偏差；要持續(xù)進行全面的內控與風險管理缺陷診斷和缺陷治療，以發(fā)揮內審在評估、協調、補救等方面的咨詢功能；要以和諧增值為目標，以數字化審計為手段，以差異化的溝通、報告為方法，將內部審計打造成管理改進的牽引器、良好文化的催化劑?；诖?，準則委員會于2006～2008年，在已定三批準則的基礎上，又研究制定了十項內部審計具體準則和實務指南，并分三批頒發(fā)。

　　二、控制自我評估等內部審計準則的頒布

　　2006年協會頒布了第四批內部審計具體準則。在該批準則的制定過程中，各方面專家和實務工作者對若干重要問題進行了細致、激烈的討論。

　?。ㄒ唬┛刂谱晕以u估與內部控制審計的關系

　　第21號準則對控制自我評估這一近年來創(chuàng)新的內部審計業(yè)務和技術進行了詳細規(guī)范。討論認為，該準則首先應明確定位并清晰說明與內部控制審計的關系。盡管控制自我評估的主體是組織內負責制定與執(zhí)行內部控制的相關管理人員，且這一方法在實務中也適用于管理人員自行組織的管理自我評估、風險自我評估活動，但該準則是以內部審計的視角、內部審計的立場，對內審人員如何利用這種方法幫助提高審計效率、評估“軟控制”、協助管理層進行整體內部控制評估等問題進行詳細規(guī)范。因此，控制自我評估法通常是在內部控制審計展開前進行，為整體內部控制審計創(chuàng)造和諧環(huán)境奠定扎實基礎。內部審計人員在控制自我評估中的責任，可歸納為召集、組織、協調、記錄、督導，內部審計人員并非控制自我評估的主體，而是促進相關管理人員在控制自我評估中消除顧慮、積極主動、坦誠交流，真正形成一種既相互獨立、又緊密合作的伙伴關系。該準則還對控制自我評估的主要方法進行了規(guī)范，其中特別強調“專題討論會法”。準則研討會還認為“專題討論會”是控制自我評估中應用效果最好的方法，能收集到有效且豐富的信息，應在內部審計實務中加以倡導。同時，控制自我評估是一種對內部控制進行持續(xù)監(jiān)督的良好方式，雖然目前在我國實務中應用尚少，但為了推動該項業(yè)務的開展，有必要在準則中對其應用頻率進行規(guī)范，準則要求控制自我評估一般每季度進行一次。

　?。ǘ﹥炔繉徲嫪毩⑿耘c客觀性的理解

　　第22號準則對內部審計的獨立性與客觀性分別作出了一個比較準確的定義。重新思考內部審計的獨立性與客觀性是IIA新準則的重大變革之一，這一變革厘清了內部審計獨立性與外部審計獨立性的區(qū)別，確立了客觀性在內部審計活動中的主導地位。討論認為，準則應借鑒IIA新準則的相關內容，明確界定內部審計的獨立性與客觀性及其相互關系。實務中，要求內部審計人員保持絕對的超然獨立、始終游離于所審查的經營活動和內部控制之外是不現實的，也與其增加組織價值的宗旨相背離，但其在履行職責時必須保持客觀的態(tài)度。而為使內部審計人員保持客觀性，獨立的組織地位十分重要?？陀^性是獨立性的目的，獨立性是保持客觀性的必要條件。因此，內部審計的獨立性是指內部審計機構的獨立性，是能夠為內部審計活動的開展創(chuàng)造良好的、無任何破壞客觀性之利益沖突的環(huán)境；內部審計的客觀性則是內部審計人員要秉持的態(tài)度和精神狀態(tài)。由于獨立性由內部審計機構的狀態(tài)所決定，故對內部審計人員執(zhí)行業(yè)務來說更為重要的是“客觀性管理”。這種理念意味著內部審計人員對于客觀性的保障是一種積極、主動的過程，而不是一種只能被動接受的狀態(tài)。因此，討論意見認為，準則應特別重視對客觀性管理的規(guī)范?？陀^性管理遵循“主動管理”、“積極管理”的原則，可采取以下措施進行：識別影響客觀性的因素；評估每個影響因素的嚴重性；采取措施控制“嚴重影響因素”的“嚴重影響程度”；報告客觀性受損的情況。

　?。ㄈ﹥炔繉徲嫏C構與董事會或最高管理層關系的性質

　　第23號準則主要討論了基于內部審計機構的組織地位而闡述的內部審計機構與董事會或最高管理層的關系，即內部審計機構由于隸屬于董事會或最高管理層，而形成的協助其工作并向其報告的組織關系，具體有三種：領導與被領導；協助與被協助；報告與接受報告。基于此，準則列示了董事會或最高管理層在各類組織中的不同形態(tài)，明確了內部審計機構接受董事會或最高管理層領導、協助其工作、向其報告三方面的具體內容和方式，以實現董事會、最高管理層與內部審計在組織治理中的協同作用，促進組織治理質量的改善和提升。討論還認為，內部審計機構除向董事會或最高管理層提交日常的業(yè)務報告（即審計報告）外，還須提交審計工作報告，準則對工作報告的提交時間和內容進行了規(guī)范。為使董事會或最高管理層及時了解審計工作情況，準則要求報送工作報告的頻率為至少一年一次。審計工作報告包括兩部分：一是有關內部審計機構工作開展情況的總結和概括；二是內部審計機構的資源使用情況和業(yè)績情況。前者是為了讓董事會或最高管理層對一段時間內部審計工作涉及的經營活動、內部控制情況有總括的了解，便于其在此基礎上進行決策，改進管理；后者是對內部審計機構管理狀況的評價和匯報，有助于董事會或最高管理層了解內部審計部門的運作效率和成本效益情況。

　?。ㄋ模﹥炔繉徲嫏C構管理的內容

　　第24號準則要求企業(yè)應按照現代內部審計的理念，將內部審計機構視作能為組織提供增值服務的部門，該部門并非傳統意義上的“成本中心”，而是能夠創(chuàng)造價值的“利潤中心”。因此，對內部審計機構管理內容的明確界定尤為重要。準則按照管理的要素將內部審計機構管理的內容規(guī)范為：計劃編制、人力資源管理、組織協調、領導與溝通、項目業(yè)務控制。這五方面的具體內容在部門管理層面和項目管理層面都有所涉及，部門管理是內審機構運行過程中的一般性行政管理，項目管理是內部審計機構對審計項目業(yè)務工作的管理與控制。討論意見認為，準則應分別對這兩個層次的管理內容、方法及職責進行詳細規(guī)范。組織性質及治理結構的狀況對內部審計機構的體制、運行和管理有深刻的影響，討論意見要求本準則能夠適用于不同組織的內部審計機構。因此本準則將內部審計機構的組織形式概括為單層級與多層級結構，多層級組織的內部審計機構可實行集中管理制或分級管理制，也可以實行集中管理與分級管理相結合的形式。

　　三、“三性審計準則”的頒布

　　2007年協會頒布了第五批內部審計具體準則，包括25號至27號的經濟性審計準則、效果性審計準則和效率性審計準則，統稱“三性審計準則”。對組織經營活動和內部控制的經濟性審計、效果性審計和效率性審計（簡稱“三性審計”）作出規(guī)范，是我國內部審計準則建設的一大創(chuàng)新。早在上世紀50年代，IIA就在第二號《內部審計責任說明書》中強調了管理審計的地位，并倡導內部審計機構積極推行管理審計，為組織服務。管理審計相對于財務審計，是一種更能夠為組織增加價值的服務。隨著我國社會主義市場經濟的發(fā)展和現代企業(yè)制度的推行，企業(yè)內部審計目標逐漸由評價財務的真實合法性轉向評價經濟活動的效益性，內部審計模式也逐漸由傳統的財務審計轉向現代管理審計，如何對經營活動和內部控制的經濟性、效果性以及效率性進行科學評價成為內部審計亟需規(guī)范的問題。IIA雖在幾十年前就開始倡導管理審計，但其至今尚未就經濟性、效果性以及效率性問題頒布專門的審計準則。中國內部審計協會組織多方專家，經過多年調研論證，最終頒布了“三性審計準則”，這是內部審計準則的重大突破，也體現了我國內部審計準則的先進性與前瞻性。

　　（一）“三性審計準則”充分借鑒了政府審計準則和政府審計實務中有關業(yè)績審計的思想和方法

　　在中國內部審計準則制定伊始，“借鑒和包容政府審計和獨立審計準則”就是準則委員會堅守的重要原則。自上世紀60年代以來，西方國家關于政府業(yè)績審計的研究層出不窮，而政府審計實務也逐漸將關注重點由受托財務責任轉向受托管理責任，業(yè)績審計的規(guī)模和范圍得以迅速擴展。業(yè)績審計的核心就是對經濟性、效果性和效率性的審計。業(yè)績審計可以尋求對被審計項目和組織的積極改進，影響政府資源配置和決策，因而它對公共受托責任的履行以及公共資源的配置發(fā)揮著重要的作用。不僅僅是政府機構，任何組織的經營活動及內部控制也都存在著經濟性、效果性和效率性問題，內部審計對這“三性”的審查和評價，有助于組織內部資源的有效配置，改善組織運營，增加組織價值。因此，在“三性審計準則”的制定過程中，充分借鑒政府審計領域中業(yè)績審計的內容、方法、技術、判斷標準等，力求為內部審計機構及人員執(zhí)行管理審計提供規(guī)范的指導。

　?。ǘ?ldquo;三性審計準則”與內部控制之間的關系

　　組織經營活動及內部控制的經濟性、效果性與效率性是“三性審計”的對象。組織的經營活動是以增值為目的，通過對全部資源的優(yōu)化配置而進行有效運營的方式，一般包括銷售商品、提供勞務、經營租賃、購買商品、接受勞務、廣告宣傳、推銷產品、交納稅款等活動。在《內部審計具體準則第5號——內部控制審計》中，曾對內部控制作出如下定義：內部控制是指組織內部為實現經營目標，保護資產安全完整，保證遵循國家法律法規(guī)，提高組織運營的效率及效果，而采取的各種政策和程序。內部控制貫穿于各項經營活動之中，其有效運作是保障各項經營活動按既定程序順利進行達成目標的條件。控制是管理的要素之一，組織管理者（內部審計是其重要成員）一般將控制叫作“管理控制”。管理控制是組織管理層確保資源獲取及使用。有效地實現組織目標的過程，由戰(zhàn)略規(guī)劃、預算、資源配置、業(yè)績衡量、考評和激勵、責任中心的分配和轉移價格等基本元素構成。管理控制的有效運作是實現組織經濟性、效果性和效率性的前提和基礎，因此“三性審計”的結果要落實，根本上需要依靠各種管理控制的方法和手段。“內部控制”與“管理控制”在內涵上并無沖突，前者主要是會計師和審計師角度對控制的理解，后者是組織管理者的用語，二者都是為確保組織以最佳方式履行指定職責，取得預期效果而制定的政策和程序。針對組織內部控制的經濟性、效果性和效率性進行審查，實質上審查的就是組織內部的管理控制，指出管理控制中存在的影響經濟性、效果性和效率性的控制偏差或控制缺陷，完善管理控制，促進組織目標的實現。同時，管理控制的有效運作，是保證整個組織實現目標、改善經營活動、促進組織資源節(jié)約的基礎。因此，內部審計領域中的“三性審計”與內部控制的關系是雙向互動的，內部控制是“三性審計”的對象，同時組織的經濟性、效果性和效率性最終需通過加強內部控制來落實。

　?。ㄈ?ldquo;三性審計”的對象

　　經濟性、效果性和效率性審計既可針對整個組織的經營活動，也可針對特定項目或特定業(yè)務。政府業(yè)績審計主要是以項目為對象，因為政府的財政撥款與結算，是針對具體項目的，判斷這些項目在資源使用過程中的經濟性、效果性及效率性，以及項目的目標是否實現，是業(yè)績審計的目的。在準則研討過程中，曾對“三性審計”的對象有著激烈的討論，有人根據政府業(yè)績審計的相關內容，認為內部審計進行的“三性審計”也是針對項目而言的，這種觀點實際上并不完整。組織的經營活動、內部控制與政府業(yè)績審計的對象并不完全相同，在企業(yè)中，各種經營活動是持續(xù)進行的，內部控制則貫穿其中。資源的投入及使用，既包括特定項目中的投入與使用，也包括日常業(yè)務中的耗費，如銷售業(yè)務不屬于特定項目，但也有廣告投入、促銷策略的運用以及銷售人員的人力投入等資源耗費問題，同樣需要對銷售業(yè)務的經濟性、效果性和效率性作出判斷。另外，從組織經營活動的全局看，也有資源的投入、使用以及產出的問題，如資本的投入、使用以及回報。因此，在內部審計的“三性審計準則”中特別指出，“三性審計”可以針對整個組織的經營活動，也可以針對特定項目或特定業(yè)務進行，這種觀點既借鑒了政府業(yè)績審計的內容，又充分考慮了內部審計的特點。

　?。ㄋ模?ldquo;三性審計”評價標準的建立

　　由于經濟性審計、效果性審計和效率性審計既可以針對整個組織的經營活動，也可以針對特定項目或特定業(yè)務，因此其審計對象非常多樣。“三性審計”不像財務報表審計，可以會計準則和會計制度為統一的評價標準，內部審計人員應當根據每一次的審計對象，選擇適當的評價標準。若組織管理層事先已針對組織的經營活動或特定項目及業(yè)務制定了標準，如計劃、預算等，則這些標準是否達到以及如何達到就是判斷該活動、項目或業(yè)務是否達成目標的依據。因此，在執(zhí)行了必要的評估確認其適當性之后，管理層制定的標準通常可直接作為“三性審計”的評價標準。但審計實務中還會面臨管理層事先未制定標準的情況，準則也對此作出規(guī)定：內部審計人員應會同管理層選擇適當的評價標準，此時，“三性審計”就成了一種“商定服務”。會同管理層選擇適當的標準要充分考慮組織目標和管理層的需求，要求內部審計從管理者的角度上思考問題、作出判斷，同時發(fā)揮內部審計的專家作用，這也體現了內部審計一貫的合作、交流、服務、增值的理念。

　　（五）經濟性、效果性及效率性的關系和準則先后順序的安排

　　準則研討會中，曾就“三性審計準則”是合并為一個準則規(guī)范還是分為三個準則規(guī)范進行過激烈的討論，最后采納了“三性”分開規(guī)范的意見。這主要是基于以下考慮：經濟性、效果性及效率性在組織內部審計實務中是可以分開進行的，雖然在政府業(yè)績審計中，通常是對被審項目同時進行經濟性、效果性和效率性評價，但內部審計是為組織管理層服務的，基于管理層的特定需要選擇“三性”中一個或多個方面進行審查和評價是務實的。同時，將“三性”分開，有助于針對各自不同的內容以及方法進行更為詳細的規(guī)范，這對于指導我國內部審計機構開展管理審計具有重要意義。“三性審計準則”的分立并不意味著這三者間關系的割裂，在三項準則中都明確闡述了三者之間的密切關系：經濟性衡量的是資源的投入和使用，效果性衡量的是取得的成果。效率性衡量的是投入與產出之間的對比關系。在內部審計實務中，對經濟性的衡量相對獨立，可以針對經營活動和特定項目或業(yè)務進行事前、事中以及事后審計。從邏輯上看，先投入，再產出，最后才能對投入產出進行對比，于是，在準則的編排順序上，采用“經濟性一效果性一效率性”的次序，這種次序有助于內審人員基于前面的規(guī)范理解后一個規(guī)范。但需要說明的是，“三性”中最重要的是效果性。雖然對經濟性的評價可以單獨進行，但究其根本卻不能完全無視該經營活動、項目或業(yè)務的效果，如果沒有經濟性、效果性，當然也就無所謂效率性問題。事實上，經濟性和效率性的最終目標都是要實現好的效果性。概而言之，經濟性是前提，效率性是過程，效果性是目的。于是，第26號《效果性審計準則》是這三項準則中的重點，該準則對“效果”的規(guī)范是一個廣義的概念，除考慮組織經營活動、特定項目或業(yè)務的經濟效果（如產值、收入、利潤）之外，還考慮了其社會效果（如社會滿意度、環(huán)保效應、社會責任）。隨著社會經濟的可持續(xù)發(fā)展日益受到重視，各類組織對其社會責任的審視也愈加重要，《效果性審計準則》對評價組織社會效果的實現具有指導意義。

　　四、信息系統審計等內部審計準則的頒布

　　2008年協會頒布了第六批內部審計具體準則，即第28號信息系統審計準則、第29號后續(xù)教育準則，此外還發(fā)布了第3號審計報告實務指南。

　　（一）信息系統審計準則的背最、定位及核心方法

　　20世紀中后期所興起的信息革命浪潮以前所未有之勢沖擊著企業(yè)經營的方方面面，無論企業(yè)所處的經營環(huán)境還是經營方式和管理手段無不發(fā)生著翻天覆地的變化，從會計電算化、管理信息系統（MIS）、企業(yè)資源規(guī)劃（ERP）、客戶關系管理（CRM）到電子商務（EC），充分顯示企業(yè)各項經營活動普遍趨于信息化，經營管理趨于網絡化與自動化，信息技術已成為企業(yè)運行的基礎平臺。隨之而來的是如何開展信息系統審計成為亟待解決的問題。進入新世紀后，IIA更加重視信息系統審計工作，陸續(xù)發(fā)布相關指南和報告，如2006年底發(fā)布的《基于風險的信息系統控制評價指南》（簡稱GAIT），即提供了一套原則和方法，要求內部審計人員從信息系統控制評價人手，介入IT審計，幫助管理層識別關鍵風險因素、揭示重要控制缺陷，以合理評價內部控制信息系統的效率性和效果性。在內部審計領域，關于信息系統審計最全面、最先進的指南則是《全球信息系統審計指南》（GlobalTechnoIogyAuditGuide，簡稱GTAG），是IIA為首席審計執(zhí)行官、審計委員會、高級管理層提供的IT審計指南，內容深入淺出，便于及時了解有關信息系統管理、控制或安全方面的問題。從管理者的視角關注信息系統的風險與控制，并用特定方法解釋IT控制及審計實務。GTAG還提供了快速解決最新IT問題的機制。從2005年發(fā)布第一號GTAG起至今，IIA已發(fā)布了ll項信息系統審計指南。在此背景下，準則委員會決定借鑒IIA指南的精神、技術和方法，結合我國信息技術應用的實際情況，制定信息系統審計準則。

　　關于信息系統審計的定位。在準則討論過程中，大家都特別強調要準確說明信息系統審計的定位。信息系統審計不是信息化環(huán)境下利用計算機技術的審計，不是為建立和運行“問題查找模型”、以高效搜尋經營管理中可能存在問題的非現場審計系統，也不單指通常所說的信息技術審計。信息系統審計涵蓋兩部分內容：一是對信息系統本身的審計，二是對信息系統所涉及的內部控制及流程的審計。這意味著信息系統審計不僅要對信息系統的功能進行審計，還要對信息系統的安全性、可靠性、數據準確性和完整性，信息系統的立項與采購、設計與開發(fā)、測試與驗收、運行與維護等，以及對具體業(yè)務流程中所涉及的信息系統內部控制的設計與執(zhí)行、效果與效率進行檢查和評價。這一定位明確界定了信息系統審計的范圍。信息系統審計定位的落實，取決于合理的審計組織方式。信息系統審計可作為獨立的審計項目實施，也可作為綜合性審計項目的組成部分實施。前者的審計目標可以關注系統本身的可靠性、穩(wěn)定性和安全性，如系統開發(fā)審計、系統安全管理審計；也可以對與系統直接相關的其他信息技術管理環(huán)節(jié)給于關注，如信息技術投資審計、系統外包管理的審計。在綜合性內部審計項目像財務審計、內部控制審計、合規(guī)審計、經濟責任審計中，由于組織的運營、管理及核算需依托信息系統，因此，需對涉及的信息系統進行審計。

　　關于信息系統審計的核心方法。準則強調信息系統審計中風險導向審計法的貫穿。由于信息系統具有技術性強、涉及面廣的特點，對組織各方面的運作起著基礎支撐作用，信息技術相關的風險將直接影響組織運轉的方方面面。因此，在審計過程中不論是計劃或是實施以及后續(xù)審計都需要緊緊圍繞風險的評估來進行。準則要求充分結合信息系統的特點，選擇適當方法，在三大層面——組織層面、一般性控制層面以及業(yè)務流程層面進行風險評估，并根據風險評估結果將審計的內容和范圍涵蓋到高風險領域，對相應的信息技術內部控制設計及執(zhí)行的有效性進行測試。

　?。ǘ┖罄m(xù)教育準則的背景、內容與方式

　　IIA一向重視內部審計人員的后續(xù)教育，2007年12月頒布的“全球核心知識”（CBOK2006），以及同期修訂的內審人員專業(yè)勝任能力框架，就是對后續(xù)教育有重大影響的調查報告或研究報告，尤其是CBOK，就內審人員遵循準則和職業(yè)道德規(guī)范、所用的審計工具和技術、應具有的知識與技能、審計的作業(yè)與型態(tài)等進行了廣泛調查。中國內部審計協會也高度重視內審人員的后續(xù)教育問題，專門設立了培訓委員會，十多年來舉辦了大量不同層次、不同種類的培訓工作，并取得較好的效果。在許多大型組織，內部審計部門采取了靈活多樣的后續(xù)教育方式，如課堂教育、網絡課程學習、視頻會議、參加職業(yè)資格考試、現場示范、正式的導師制、業(yè)務交叉培訓、職業(yè)組織培訓等，并對培訓計劃的有效性進行評估。在此背景下，準則委員會決定制定內部審計人員的后續(xù)教育準則。

　　關于后續(xù)教育的內容。本準則規(guī)定內部審計人員進行后續(xù)教育的內容，除涉及法律法規(guī)、內審準則及職業(yè)道德規(guī)范、內審理論與實務外，還特別突出從事管理審計時需要的信息技術、公司治理、內部控制、風險管理等相關專業(yè)知識與技能。培養(yǎng)復合型內審人才是準則討論過程中非常強調的，這也是根據準則制定的基本原則之一——充分考慮財務審計與管理審計的結合作出的要求。準則還特別將后續(xù)教育的內容在內部審計機構負責人、審計項目負責人和審計助理人員三個層次加以區(qū)分，以突出重點、按需施教。這是充分考慮了我國內審實務狀況而作出的安排。

　　關于后續(xù)教育的方式。自學以及接受培訓的方式在西方國家都很普遍，但考慮現實中內部審計人員參加后續(xù)教育的動力尚不足，“缺什么學什么、學什么用什么”的急功近利型教育比較嚴重，準則討論中一致認為，應當更加側重于接受培訓（控制型）的方式。鑒于此，準則規(guī)定內部審計人員接受培訓是后續(xù)教育的主要方式，自學是后續(xù)教育的重要補充方式。培訓形式有：IIA及亞內審聯合會舉辦的專業(yè)會議及訓練課；中國內審協會舉辦的專業(yè)會議、實地經驗交流及訓練課；中內協與省內協認可的有關大專院校的專業(yè)課程進修；各級內審協會舉辦的專題培訓班；內部審計機構開展的、經相關內審協會評估確認的技術培訓工作。（三）審計報告實務指南中的新理念和新技術 上世紀90年代以來，內部審計職業(yè)界的專業(yè)人士經歷了世界范圍內經營方式的重大變革。在時代的潮涌中，內部審計人員通過收集與分析企業(yè)經營、財務、風險狀況等信息并發(fā)表評價意見和建議，承擔著為組織防弊、興利和增值的使命?！端_奧法案》的頒布，使得作為溝通主要模式的內部審計報告比以往顯得更為重要。“除了認真組織和清晰撰寫之外，審計報告必須連接財務要點，使相關的專業(yè)信息塊彼此相連，并把這些信息塊與潛在的風險、公司整體運營及治理相聯系。自動化水平的提高和外包的增加更加強了這種關系。”值得關注的是：信息技術正在改變著審計報告的形式和生成方式。“軟件奇才正在發(fā)明自動收集、復核和存儲數據的綜合方法，并改變著審計程序，以前人工的、事后檢查的方法正在向自動化的、防護性的方法轉變”，于是，傳統的內部審計報告將變得更加具有預防性并實現更高程度的自動化。《薩奧法案》是程序自動化和報告自動化的催化劑。在此背景下，僅有審計報告的具體準則是不夠的，人們期望制定審計報告的實務指南。

　?。?）以相互關聯及綜合性的思維方式組織和編寫審計報告。相互關聯及綜合性思維是內部審計中唯一無法自動化或外包的方面。這種高層次的思維可被定義為三種能力：了解模式、綜合各部分并識別其中的重要要素；概括給定事實，綜合幾個領域的知識并得出結論；比較并區(qū)分各種觀點，在合理討論的基礎上進行選擇，驗證證據的價值。內部審計人員收集數據、分析不同類型數據之間的關系以提出結論或建議的過程是歸納性的，而撰寫一份滿足各方需要的書面報告則是演繹性的，即報告應從結論或主要信息的一般性陳述演繹到特定的支持性數據。相互關聯及綜合性思維就是要將“從具體到一般”的審計邏輯流程與讀者期望的“從一般到具體”的閱讀報告流程實現有機融合，生成一份使讀者能快速閱讀、直奔主題、相信自己擁有充分信息的審計報告。

　?。?）全面借鑒IIA提出的有效內部審計報告的新原則。2006年，IIA根據《薩奧法案》對審計報告的要求以及新涌現的軟件合成格式，提出了有效內部審計報告需遵循的五項新的原則：將最重要的信息和最緊要的事情放在首位；堅持使用簡單、清晰、不會混淆的措辭；不要過分強調某些內容，有節(jié)制地使用大寫字母、下劃線、斜體和黑體字；合理運用留白，不要將太多數據擠在一個小區(qū)域中；使用人們容易理解的標題和術語。審計報告實務指南在堅持客觀性、完整性、清晰性、及時性、實用性、建設性、重要性等七項基本原則的過程中，全面消化吸收了IIA提出的五項新原則。

　?。?）審計報告可以使用計算機軟件自動編制。本指南第八條要求，審計報告可以手工編制，也可以使用計算機軟件自動編制。之所以這樣規(guī)定，是因為“審計報告所采用的形式一直在變，長篇大論已經過時，把復雜數據壓縮成表格和公告板的形式正在流行，全自動化的審計報告正成為一種趨勢”。自動生成報告有以下優(yōu)勢：一是有助于更好地執(zhí)行《薩奧法案》的要求。從IT的觀點看，《薩奧法案》的主要影響是對公司數據完整性的保護更為關注。遵循《薩奧法案》，要求識別受法規(guī)約束的數據，并明確數據管理的政策，以保證這些政策得以遵循時相關數據即符合法律要求。二是準確且快速的信息傳遞、簡明的目錄和對重要事項的完整概括能很好地滿足管理層的需求。三是自動收集數據并直接將其輸入報告文件，能保留完整的審計軌跡，從而加大了毀壞文件和實施舞弊的難度。四是自動化系統的大量使用，使得內審人員可隨時獲取特定時期的所有數據，并定期測試數據、列示異常情況，從而大大提升了內部審計人員的能力。五是自動編制審計報告，使得內審人員能事先發(fā)現需要預防的問題，而不僅僅是在事后發(fā)現需要記錄的問題。六是自動化程序可以讓內審人員及時獲得更多數據，從而對信息作出更全面、更穩(wěn)健的分析，這有助于識別機會、風險、重大差誤，有助于增加內部審計的價值。

　?。?）“審計發(fā)現”不只是發(fā)現負面問題、消極事實，還要發(fā)現良好實踐、積極表現。內部審計人員要利用多種渠道將審計對象的良好實踐向董事會、高管層以及組織內部其他階層報告或宣傳。所謂“良好實踐”是指通過不斷改進管理、優(yōu)化流程，降低成本，提高效率或質量，完善內部控制和風險管理，在本公司或同行中屬于創(chuàng)新、創(chuàng)優(yōu)的值得推廣的實踐經驗。對審計發(fā)現的描述還要適度注意維護被審單位或被審人的尊嚴和形象，同時通過對審計發(fā)現的分級分類，將能整改和不能整改的區(qū)分開、風險大和風險小的區(qū)分開、高管層重視和不重視的區(qū)分開，以便采取適當的改進措施。

　　（5）審計建議的提出要力避與公司文化發(fā)生沖突、要權衡公司核心價值與高管層的風險偏好及管理風格、要關注問題背后的系統性問題。為此，本指南將審計建議歸納為兩大類型：現有系統運行良好，無需改變；現有系統需要全部或局部改變。后者包括：改進的方案設計；方案實施的要求；方案實施效果的預計；未實施此方案的后果分析。

　?。?）高度重視中期審計報告的價值。中期審計報告也稱“審計備忘錄”，是內部審計人員在現場工作過程中就某些領域的重大審計發(fā)現、向被審計單位適當層次管理人員出具的書面文件。在完成某一領域工作后，內審人員可能會發(fā)現一些重大不規(guī)范行為，甚至是重大控制缺陷，如果放任這些不良狀況繼續(xù)存在和蔓延、一味地等待現場工作結束后在終結審計報告中提出，將會給組織帶來更大的不利影響和損失。內部審計人員應該根據組織適當管理層的要求和內部審計工作的需要、適時地編寫中期審計報告，及時指出發(fā)現的問題并提出改進建議，供被審計單位慎重考慮，以便采取有效的糾正措施，這樣可大大提高審計報告的效果。本指南列舉了需要編制并報送中期審計報告的六種情況，并規(guī)范了中期審計報告的兩種格式：基本格式與備忘格式。相對于終結審計報告而言，中期審計報告更為簡短精練。當然，中期審計報告不能取代終結審計報告，不具有終結審計報告的效力，但中期審計報告能夠為終結審計報告的編制提供依據。

　　五、上述具體準則的重大進展

　　三年來發(fā)布的這十項具體準則和實務指南，其重要特點就是在治理和咨詢方面有了重大進展。

　?。ㄒ唬┲卫矸矫?/p>

　　第23號準則對于內部審計機構與治理層之間的關系作出了詳細、清晰的說明。該準則明確提出內部審計機構與董事會、最高管理層在組織治理中的協同作用，共同建立并維護良好的治理。IIA在《薩奧法案》發(fā)布后，就明確提出董事會、高級管理層、內部審計以及外部審計是構成治理的四大基礎，這四方面的協調與合作能夠促進良好的公司治理。因此，23號準則秉承了國際準則的這一理念，充分借鑒國際準則中的相關內容，厘清了內部審計機構與治理層之間的領導與被領導、協助與被協助、報告與接受報告的關系。IIA在1999年的內部審計定義中，強調了客觀性這一屬性，并在后續(xù)實務公告中對“獨立性”和“客觀性”作出了明確定位。 “獨立性”是基于內部審計機構的組織定位，良好的治理結構能為內部審計機構提供獨立的環(huán)境，內部審計活動的開展不受干涉，為內部審計人員的“客觀性”創(chuàng)造條件。第22號《內部審計的獨立性與客觀性》吸收了國際準則對“獨立性”與“客觀性”的理解和定位，強調內部審計的獨立性由機構的組織地位所決定，治理層對內審機構的領導、監(jiān)督與支持為獨立性提供了保障。第24號《內部審計機構的管理》與22號、23號準則之間有著密切的邏輯關聯，該準則雖然涉及的是機構內部事務，但明確提出內部審計機構應接受組織董事會或最高管理層的指導和監(jiān)督，這與23號準則是呼應的。同時強調，要加強內部審計機構管理，努力在良好治理中實現獨立性、為內部審計人員的客觀性管理創(chuàng)造好的環(huán)境，這也與第22號準則呼應。

　?。ǘ┳稍兎辗矫?/p>

　　IIA在2001年新準則中將內部審計的職能定為“確認”和“咨詢”，但基于我國國情，中國內部審計準則仍將內部審計的職能定義為“監(jiān)督和評價”，比較偏重于“確認”職能。在第1～20號的內部審計準則中，較多涉及的是內部審計的基本業(yè)務，主要是對如何監(jiān)督和評價進行規(guī)范，多為內部審計的“確認服務”。咨詢服務是IIA從評價職能中單列出來的，內部審計在審查并評價經營活動和內部控制的過程中除了提供評價結論外，一般都會提出改善的建議，這些建議實質上就是內部審計提供的咨詢服務，對組織管理層而言，其價值甚至高于評價結論。為更好地實現內部審計的增值目標，故將咨詢職能單列。我國內部審計定義中并未排斥“咨詢”職能，只是將“咨詢”隱含于評價中，隨著內部審計業(yè)務的發(fā)展，咨詢職能將越來越多地出現在各類組織的內審活動中。因此，相對于第1～20號準則，近三年來發(fā)布的這十項準則和指南較多地涉及“咨詢”職能，且該趨勢在未來還將繼續(xù)保持。第21號準則規(guī)范的控制自我評估是國外流行的內部審計咨詢業(yè)務，雖然該準則是基于內部審計部門在進行內部控制審計前應用該方法來更好地把握審計的重點，但其原理、方法和步驟可用于任何內部審計參與的自我評估中，實質上屬于內部審計為管理層提供的咨詢服務。目前國內許多標桿企業(yè)如中國電信集團等正在內部審計實務中開展控制自我評估，以幫助管理層根據需要評估內部控制、風險、業(yè)務流程、組織目標的設定與實現，是內部審計能夠提供的一項重要的增值型咨詢服務。第25～27號準則涉及組織經營活動和特定項目或業(yè)務的經濟性、效果性、效率性的審查和評價，是典型的集確認和咨詢于一體的混合型業(yè)務。準則首先要求內審人員按照既定標準審查并作出評價結論，這屬于確認服務的范疇，同時要求內審人員為管理層指出不經濟、效果差、低效率的地方，并針對這些問題提出改進建議，這屬于咨詢服務的范疇。第22號《內部審計的獨立性與客觀性》則為內部審計人員開展咨詢業(yè)務排除了關鍵性障礙。傳統上，內部審計職業(yè)界曾按外部審計對獨立性的理解來開展內部審計業(yè)務，基于這種超然獨立的理念，內部審計不應開展咨詢業(yè)務。然而，內部審計與外部審計有著多方面的不同：內部審計重視客觀性勝過獨立性；要發(fā)現問題，更要解決問題；要依法審計，更要依戰(zhàn)略、規(guī)劃、預算、業(yè)務標準、技術標準、控制標準等內規(guī)和行規(guī)來審計。只要內部審計人員能保持客觀性、熟悉各類標準、時刻著眼解決問題，就可以開展咨詢業(yè)務、為組織創(chuàng)造價值。因此第22號準則為內部審計人員開展咨詢業(yè)務明確了所要重視或關注的事項，從理念上為咨詢業(yè)務未來的發(fā)展鋪平了道路。