内部审计本质:理论框架和例证分析

【摘 要】 内部审计是以系统方法从行为和信息两个角度独立鉴证经管责任履行中影响组织目标的消极因素及相关治理机制并将结果传达给组织内部利益相关者的制度安排。不同类型的内部审计既有共性，也有个性。作为审核机制的内部审计，其核心是鉴证和纠错；作为监督机制的内部审计，其核心是鉴证，也可能包括处理处罚和评价；作为监视机制的内部审计，其核心是鉴证和咨询。文章基于审计一般本质和组织目标，提出内部审计本质的理论框架，并通过分析IIA的内部审计概念来验证此框架。

【关键词】 内部审计本质； 鉴证； 审核机制； 监督机制； 监视机制

【中图分类号】 F239.44 【文献标识码】 A 【文章编号】 1004-5937（2017）03-0127-05

一、引言

内部审计本质就是内部审计所固有的根本属性，主要关注内部审计是什么，它是各种内部审计理念的基础。对内部审计本质的认识不同，会有不同的内部审计理念，进而会有不同的内部审计行为和制度建构。现实生活中，一些人将内部审计视为“包打天下”的神器，无端扩大内部审计的边界，这种机会主义行为也许一时会带来内部审计的“繁荣”，但是，最终会将内部审计引入歧途，甚至导致内部审计职业消亡[ 1 ]；另外有些人对内部审计无端反感和抵制，从而极大地影响内部审计的发展[ 2 ]。现实生活中的这些现象，都是对内部审计本质的错误理解，进而产生了错误的行为。所以，正确认识内部审计是内部审计制度建构的前提。

关于内部审计本质有不少研究文献，一些权威机构也了自己的观点。本文在梳理现有观点的基础上，基于审计一般本质及组织目标，提出一个内部审计本质的理论框架，并用这个理论框架来分析IIA的内部审计概念。

随后内容安排如下：首先是简要的文献综述，梳理相关文献；在此基础上，基于审计一般本质和组织目标，提出内部审计本质的理论框架；然后用这个理论框架来分析IIA内部审计概念体现的内部审计本质，以一定程度上验证这个理论框架；最后是结论和启示。

二、文献综述

关于内部审计本质有两类文献，一是研究性文献，二是职业组织的文献。

从研究性文献来看，关于内部审计本质主要有查账论、O督论、评价论、经济控制论、问责信息论、管理职能论[ 3-4 ]。查账论认为，内部审计就是查账，是会计检查。监督论认为，内部审计是一种经济监督活动，这具有中国特色的内部审计本质，其代表人物是边恭甫教授，他认为，内部审计是一种内部具有独立性的经济监督[ 5 ]。评价论认为，内部审计是一种独立的评价活动，其代表人物是劳伦斯・B.索耶，他认为，内部审计是组织内部对组织各类营运和控制进行系统客观评价，如财务报告及营运信息是否准确和可靠，风险是否确认和抑制，外部法规及内部规章是否遵守，相关标准是否符合，资源是否有效使用，组织目标是否有效达成[ 6 ]。经济控制论是基于戴维・弗林特（David Flint）的观点，他认为，“作为一种近乎普遍的真理，凡存在审计的地方，一定存在一种受托责任关系，受托责任关系是审计存在的重要条件。审计是一种确保受托责任有效履行的社会控制机制”。以此为基础，一些文献认为，内部审计的本质是一种保证组织内部受托责任有效履行的经济控制机制[ 7-9 ]。问责信息论认为，内部审计是组织内部问责机制的重要构成要素，其基本功能是问责信息保障[ 10 ]。管理职能论认为，内部审计是一种管理职能，是管理当局保证企业目标得以实现的重要手段，是为了弥补或强化某些管理职能[ 11-14 ]。此外，还有文献认为内部审计是组织内部的免疫系统[ 15 ]。

内部审计职业组织的与内部审计本质相关的权威公告主要是IIA的职责说明书和准则，先后有两种观点，从1947年第1号《内部审计职责说明书》（SRIANo.1）到1990年第6号《内部审计职责说明书》（SRIANo.6），认为内部审计是组织内部的独立评价职能；2001年《内部审计专业实务标准》（Standards for the Professional Practice of Internal Auditing，SPPIA）开始，认为内部审计是独立、客观的确认和咨询活动。

上述关于内部审计本质的观点特别是IIA的相关文献，为我们认知内部审计奠定了良好的基础。从某种意义上来说，这些观点都是正确的。然而，认知内部审计本质应该有两个条件：一是不能离开审计一般的本质，无论如何，内部审计还是审计，所以，不能离开审计一般的本质；二是内部审计不能离开组织目标，无论如何，内部审计是组织内部职能，任何组织内部职能都应该有助于组织目标的达成，否则，这个职能没有存在基础。本文根据这两个条件，在现有认知的基础上，提出内部审计本质的理论框架。

三、理论框架

审计本质是一个体系，不同的审计既有共性本质，也有个性本质。内部审计作为审计体系的一个组成部分，其本质也有一个亚层级的体系，体现为内部审计共性本质和个性本质。本文的理论框架分析阐述内部审计这两个层级的本质。

（一）内部审计共性本质

内部审计共性本质是各种内部审计都具有的本质共性，这个本质显然离不开审计一般本质，是在审计一般本质的基础上增加内部审计的特有内涵。那么，审计一般本质是什么呢？虽然有多种观点，但是，绝大多数文献认为，审计离不开委托关系。基于此，一般认为，审计是以系统方法从行为和信息两个角度独立鉴证经管责任中的问题和次优问题并将结果传达给利益相关者的制度安排[ 16 ]。

内部审计本质当然离不开审计一般的上述本质，并且还要增加内部审计的内涵，同时，还要有广泛的时空适应性。因此，本文提出内部审计本质的如下表述：内部审计是以系统方法从行为和信息两个角度独立鉴证经管责任履行中影响组织目标的消极因素及相关治理机制并将结果传达给组织内部利益相关者的制度安排。

这个内部审计本质的含义如下：第一，内部审计离不开委托关系，服务于经管责任之履行。第二，内部审计服务于经管责任之履行的路径是鉴证影响组织目标的消极因素及相关治理机制，将结果传达给组织内部利益相关者。这个路径表现，内部审计是围绕组织目标来开展工作的。围绕组织目标开展鉴证，一是鉴证消极因素，二是鉴证应对消极因素的治理机制。上述两方面的鉴证结果都要传达给组织内部利益相关者。第三，内部审计鉴证的消极因素及相关治理机制可以区分为行为主题和信息主题，而这些审计主题本身还可以再细分，例如，行为主题可以细分为具体行为和制度，而信息主题可以细分为财务信息和非财务信息。第四，内部审计对消极因素及相关治理机制的鉴证是以系统方法进行的，不是随心所欲，也不是毫无章法，而是有一整套适宜的方法体系，有自己的核心技术。第五，内部审计的鉴证具有独立性，内部审计与所鉴证的事项无利益关联，也不受鉴证客体的领导或影响。第六，内部审计通常是组织内部的利益相关者使用（当然，不排除以组织名义对外内部审计结果），不是服务于组织外部的利益相关者。

（二）不同类型内部审计的共性特征和个性特征

内部审计个性是不同的内部审计所具有的个别属性。一般来说，影响组织目标的消极因素包括两类，一是由人性自利和有限理性导致的问题和次优问题，二是由组织环境导致的风险因素。为了应对这些消极因素，组织会建立由三道防线组成的治理机制，内部审计有三种可能的选择：在第一道防线中，作为制衡机制的组成部分，行使审核功能；在第二道防线中，作为监督机制的组成部分，行使监督功能；在第三道防线中，作为监视机制，行使监视功能。如此一来，内部审计就有三种类型：作为审核机制的内部审计、作为监督机制的内部审计和作为监视机制的内部审计，不同的内部审计具有各自的属性特征。

作为审核机制的内部审计，审核只是对其他人履行过的职能进行检查，本身不履行新职能，只是一种纠错机制。一般来说，审核是业务流程的一个组成环节，内部流程中设置这个环节的目的是对前置各环节的业务履行进行检查，主要有两类检查：一是检查相关的经济行为是否符合与该行为相关的法律法规及组织内部规章；二是检查经济信息的生产是否符合与该信息生产相关的法律法规及组织内部规章。上述两类检查，实质是判断相关的经济行为与经济信息是否符合既定的标准，这本质就是鉴证。但是，作为审核机制的内部审计并没有到此为止，还有进一步的功能，这就是对偏差事项的纠错。如果审核机制发现了不符合既定俗嫉木济行为或不符合既定标准的经济信息，通常会要求偏差所产生的环节进行纠正，通过这个纠错功能，确保经过审核之后的经济行为与经济信息符合既定标准。一般来说，审核发现偏差时，通常不会追究偏差发生环节的责任，因为这种偏差可能还没有给本组织带来损失。综上所述，作为审核机制的内部审计有两项核心内容，一是鉴证，二是纠错①。

作为监督机制的内部审计，主要是通过对第一道防线已经完成工作的再次检查，以发现第一道防线的漏网之鱼。这种检查一般是业务流程全部完成之后进行的，不是业务流程的组成部分，所以不会影响业务流程的运行，但是，如果发现有偏差，一般也难以通过业务流程本身来纠错，因为业务流程已经全部履行完毕。一般来说，作为监督机制的内部审计，对于已经完成工作的再次检查，主要有两类检查：一是检查已经完成的经济行为是否符合与该行为相关的法律法规及组织内部规章；二是检查已经生产出来的经济信息是否符合与该信息生产相关的法律法规及组织内部规章。这两类检查，都是将已经完成的经济行为或已经生产出来的经济信息与既定标准相比较，判断这些经济行为或经济信息是否符合限定标准，这实质上就是鉴证。只是这种鉴证是在全部业务流程履行完毕之后的鉴证，不是业务流程中对前置环节的鉴证。当然，作为监督机制的内部审计不只是鉴证，对于发现的偏差，一般要追究责任，进行处理处罚。其原因是，既然业务流程已经全部履行完毕，就意味着业务流程相关的各岗位、各部门认为其业务流程处理遵守了相关的既定标准，而监督环节在事后发现偏差，表明业务流程中的相关部门或岗位并没有履行好自己的职责，甚至有可能是有意而为之，这就需要进行处理处罚。另外，作为监督机制的内部审计还要通过威胁路径来发挥抑制消极因素的作用，而威胁路径发挥作用的前提是处理处罚，没有处理处罚，即使发现某些部门或岗位存在偏差，对这些部门或岗位没有负面影响，当然也就无从谈威胁作用。综上所述，作为监督机制的内部审计，有两项核心内容，一是鉴证，二是处理处罚。

当然，现实世界是复杂的，作为审核机制的内部审计，如果发现偏差，并没有处理处罚；而作为监督机制的内部审计，如果发现偏差，就会进行处理处罚。同样是偏差，发现的时间不同，后果也不同，这似乎有失公平。正是在这种思维的主导下，一些组织的内部审计，对于监督环节发现的偏差也不处理处罚，只是做善后式的纠正，这种情形下的内部审计，其核心内容就只是鉴证。

作为监督机制的内部审计，其核心内容可能还有另外一种情形的拓展，就是当监督的主题是信息（包括财务信息和非财务信息），而这些信息又表征了特定主体的绩效，对于这些绩效信息，在鉴证的基础上，可以将实际绩效信息进行加工处理，以确定特定主体的实际绩效，并将实际绩效与一定的绩效标杆进行对照，以判断特定主体的实际绩效水平，这种核心内容，可以称为评价或评估，其英文表述为Evaluation，不是Appraisal，后者是鉴定的意思。

一般来说，为了应对影响组织目标的消极因素，需要建立一整套的治理机制。作为监视机制的内部审计，主要是通过对治理机制的监视，及时地发现治理机制的缺陷，并报告给相应的组织层级。对治理机制的监视主要有两方面内容：一是看治理机制的设计是否存在缺陷，这主要是将已经设计出来的治理机制与适宜的标准相比较，判断治理机制设计是否存在缺陷；二是看治理机制的执行是否存在缺陷，这主要是看已经设计出来的治理机制是否得到持续有效的执行，也就是判断治理行为是否与治理机制的制度设计相一致。上述两方面内容，都是将治理机制设计或治理机制执行与既定标准相比较，看治理机制的设计或执行是否符合既定标准，这实质上就是鉴证。当然，内部审计作为服务于组织目标的制度安排，对于已经发现的治理机制缺陷，还有进一步的职责，就是推动对这些缺陷进行整改。一般来说，为了保证内部审计的独立性，内部审计不宜取代管理者，只适宜做一些推动工作，这些推动工作也可以称为咨询。综上所述，作为监视机制的内部审计，有两项核心内容，一是鉴证，二是咨询。