一、我国公司治理、风险管理及内部控制法规

　　早在世纪交替之际，公司治理、风险管理以及内部控制就成为管理理论界及实务界的热点问题。国际上关于这三方面的研究成果层出不穷，涌现出一些具有国际影响力的专业性研究报告及标准，如COSO委员会的《企业整体风险管理框架》、《较小型公司财务报告的内部控制》、银行金融业的《新巴塞尔资本协议》等。在国际环境的影响之下，我国在公司治理、风险管理及内部控制方面的研究也取得了重大突破，相关政府机构及监管部门制定了一系列规范、标准以及指引，成为组织行为规范和监管行为规范不可或缺的指南针。

　　（一）银行业颁布的有关指引

　　中国银行业监督管理委员会自2006年起陆续颁布了《国有商业银行公司治理及相关监管指引》、《银行业金融机构内部审计指引》、《商业银行合规风险管理指引》、《银行业金融机构信息系统风险管理指引》、《信托公司治理指引》、《商业银行操作风险管理指引》等一系列有关治理、内部审计、风险管理的指引。特别是《银行业金融机构内部审计指引》明确规定：（1）银行业金融机构内部审计应履行监督、评价和咨询之责，审查评价经营活动、风险状况、内部控制和公司治理效果；（2）应建立董事会领导下的、垂直管理的内部审计部门，配置具有高级管理人员任职资格的首席审计执行官；（3）应按照员工总数1％的比例配备具有专业胜任能力的内部审计人员；（4）内部审计部门应建立完善非现场内部审计监测体系和内部审计操作系统、信息管理系统；（5）经董事会批准，内部审计项目可部分外包，实行合作内审制；（6）首席审计执行官和内部审计部门应建立紧密的与内部客户（如董事会、高管层）及外部客户（如银监会）的沟通报告制度；（7）加强内部审计部门与合规管理部门、风险管理部门之间的协作，内部审计部门要定期独立评估合规及风险管理职能的履行情况。

　　（二）保险业制定的相关规范

　　中国保险监督管理委员会为保险业构建良好的治理、风险管理以及内部控制制定了规范。继2006年元月颁布《关于规范保险公司治理结构的指导意见（试行）》后，又陆续颁布了《保险公司内部审计指引》、《保险公司风险管理指引》等配套法规。值得关注的是，《保险公司内部审计指引》明确要求：（1）保险公司应当建立与其治理结构、管控模式、业务性质和规模相适应的相对独立的内部审计体系；（2）应当设立对董事会和高管层双重负责的审计责任人职位，审计责任人的聘解应当向保监会报告；（3）专职内部审计人员原则上应不低于公司员工总数的5‰；（4）内审部门每年应对内部控制的健全性、合理性和有效性进行全面评估，出具内部控制评估报告；（5）保险公司应向保监会提交内部审计工作报告、内部控制评估报告、审计发现的重大风险事项以及未有效整改的审计发现。

　　（三）国资委颁布的相关指引

　　国务院国有资产监督管理委员会在2005年《关于加强中央企业内部审计工作的通知》的基础上，于2006年6月颁布了《中央企业全面风险管理指引》，以指导央企开展全面风险管理工作，促进国有资产保值增值和企业持续、健康、稳定发展。该指引强化了内部审计在企业风险管理中的作用，明确规定：（1）有条件的企业可建立风险管理的三道防线，即各有关职能部门和业务单位为第一道防线，风险管理职能部门和董事会下设的风险管理委员会为第二道防线，内部审计部门和董事会下设的审计委员会为第三道防线；（2）企业应建立内部控制审计检查制度，要结合内控的有关要求、方法、标准与流程，确定审计检查的对象、内容、方式和负责审计检查的部门；（3）企业应建立重要岗位权力制衡制度，并将主要岗位作为内部审计的重点；（4）内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位的风险管理工作合规性和有效性进行监督评价，审计报告应直报董事会或董事会下设的风险管理委员会和审计委员会；（5）内部审计应积极参与风险管理培训工作，以培养风险管理人才，培育风险管理文化；（6）内部审计部门是风险管理组织体系的重要组成部分，其职责履行应符合《中央企业内部审计管理暂行办法》的有关规定。

　　（四）财政部、证监会及审计署出台的相关规定

　　财政部高度关注《萨奥法案》对内部控制建设的影响，采取了切实有效的行动。2006年2月，新修订的《审计法》规定：依法属于审计机关监督对象的单位，应按照国家有关规定，建立健全内部审计制度，其内部审计工作应当接受审计机关的指导和监督。随后审计署于2007年首次就《中外内部审计准则比较研究》等五项内部审计课题公开立项，组织学术界和实务界专家展开研究。2006年7月，财政部、证监会、审计署、银监会、保监会等五部委联合成立了“企业内部控制标准委员会”，共同研究制定我国企业内部控制规范。2007年3月，委员会发布了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿。随后，企业内部控制规范体系建设取得重大突破，《企业内部控制基本规范》在2008年6月颁发。该规范明确指出：内部审计作为“内部监督”要素的核心力量，应对企业内部控制的有效性进行独立评估，对已发现的重大内部控制缺陷有权直接向董事会及其审计委员会、监事会报告；同时，“企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作上的独立性”，这是改善企业控制环境的重要措施。这一基本规范以及后续具体规范的出台为我国企业加强内部控制和内部审计建设提供了基础性、权威性指引，必将有利于提高企业的控制能力和风险防范能力，有利于改善企业的运营状况和治理机制，有利于资本市场的持续健康发展。

　　这些规范的颁布，说明内部审计的建立与完善不仅是各组织提高管理水平、加强风险防控能力、促进组织目标实现的必要保障，更成为监管部门以及行业主管机构作出的强制性要求。在这一大背景下，中国内部审计协会顺势而为，于2006年提出内部审计应全面转向以控制和风险为导向的现代管理审计；同年协会设立卫生内部审计分会、与IIA签署《内部审计质量评估协议》；连续举办内部审计外部质量评估师资培训班，并于2007年6月在中国壳牌石油化工有限公司、中广核工程有限公司顺利实施并通过了IIA质量评估组所进行的外部评估；积极指导地方协会推动人大或政府出台有关内部审计的条例或规定；积极支持发改委、公安部、税务总局等设立内部审计司（局），支持大学及医院等非盈利组织加强内部审计工作；积极动员和宣传CIA考试。作为内部审计发展最好证明的是，三年来涌现了一大批先进的内部审计单位，不仅有先进的审计理念、审计技术，更有显著的价值增值。强调要树立“未病先防”、“小病早治”、“大病防变”、“病后防复”的理念，积极开展控制和风险导向审计；要全面应用信息技术，建立“问题查找模型”，揭示重要的结果偏差和控制偏差；要持续进行全面的内控与风险管理缺陷诊断和缺陷治疗，以发挥内审在评估、协调、补救等方面的咨询功能；要以和谐增值为目标，以数字化审计为手段，以差异化的沟通、报告为方法，将内部审计打造成管理改进的牵引器、良好文化的催化剂。基于此，准则委员会于2006～2008年，在已定三批准则的基础上，又研究制定了十项内部审计具体准则和实务指南，并分三批颁发。

　　二、控制自我评估等内部审计准则的颁布

　　2006年协会颁布了第四批内部审计具体准则。在该批准则的制定过程中，各方面专家和实务工作者对若干重要问题进行了细致、激烈的讨论。

　　（一）控制自我评估与内部控制审计的关系

　　第21号准则对控制自我评估这一近年来创新的内部审计业务和技术进行了详细规范。讨论认为，该准则首先应明确定位并清晰说明与内部控制审计的关系。尽管控制自我评估的主体是组织内负责制定与执行内部控制的相关管理人员，且这一方法在实务中也适用于管理人员自行组织的管理自我评估、风险自我评估活动，但该准则是以内部审计的视角、内部审计的立场，对内审人员如何利用这种方法帮助提高审计效率、评估“软控制”、协助管理层进行整体内部控制评估等问题进行详细规范。因此，控制自我评估法通常是在内部控制审计展开前进行，为整体内部控制审计创造和谐环境奠定扎实基础。内部审计人员在控制自我评估中的责任，可归纳为召集、组织、协调、记录、督导，内部审计人员并非控制自我评估的主体，而是促进相关管理人员在控制自我评估中消除顾虑、积极主动、坦诚交流，真正形成一种既相互独立、又紧密合作的伙伴关系。该准则还对控制自我评估的主要方法进行了规范，其中特别强调“专题讨论会法”。准则研讨会还认为“专题讨论会”是控制自我评估中应用效果最好的方法，能收集到有效且丰富的信息，应在内部审计实务中加以倡导。同时，控制自我评估是一种对内部控制进行持续监督的良好方式，虽然目前在我国实务中应用尚少，但为了推动该项业务的开展，有必要在准则中对其应用频率进行规范，准则要求控制自我评估一般每季度进行一次。

　　（二）内部审计独立性与客观性的理解

　　第22号准则对内部审计的独立性与客观性分别作出了一个比较准确的定义。重新思考内部审计的独立性与客观性是IIA新准则的重大变革之一，这一变革厘清了内部审计独立性与外部审计独立性的区别，确立了客观性在内部审计活动中的主导地位。讨论认为，准则应借鉴IIA新准则的相关内容，明确界定内部审计的独立性与客观性及其相互关系。实务中，要求内部审计人员保持绝对的超然独立、始终游离于所审查的经营活动和内部控制之外是不现实的，也与其增加组织价值的宗旨相背离，但其在履行职责时必须保持客观的态度。而为使内部审计人员保持客观性，独立的组织地位十分重要。客观性是独立性的目的，独立性是保持客观性的必要条件。因此，内部审计的独立性是指内部审计机构的独立性，是能够为内部审计活动的开展创造良好的、无任何破坏客观性之利益冲突的环境；内部审计的客观性则是内部审计人员要秉持的态度和精神状态。由于独立性由内部审计机构的状态所决定，故对内部审计人员执行业务来说更为重要的是“客观性管理”。这种理念意味着内部审计人员对于客观性的保障是一种积极、主动的过程，而不是一种只能被动接受的状态。因此，讨论意见认为，准则应特别重视对客观性管理的规范。客观性管理遵循“主动管理”、“积极管理”的原则，可采取以下措施进行：识别影响客观性的因素；评估每个影响因素的严重性；采取措施控制“严重影响因素”的“严重影响程度”；报告客观性受损的情况。

　　（三）内部审计机构与董事会或最高管理层关系的性质

　　第23号准则主要讨论了基于内部审计机构的组织地位而阐述的内部审计机构与董事会或最高管理层的关系，即内部审计机构由于隶属于董事会或最高管理层，而形成的协助其工作并向其报告的组织关系，具体有三种：领导与被领导；协助与被协助；报告与接受报告。基于此，准则列示了董事会或最高管理层在各类组织中的不同形态，明确了内部审计机构接受董事会或最高管理层领导、协助其工作、向其报告三方面的具体内容和方式，以实现董事会、最高管理层与内部审计在组织治理中的协同作用，促进组织治理质量的改善和提升。讨论还认为，内部审计机构除向董事会或最高管理层提交日常的业务报告（即审计报告）外，还须提交审计工作报告，准则对工作报告的提交时间和内容进行了规范。为使董事会或最高管理层及时了解审计工作情况，准则要求报送工作报告的频率为至少一年一次。审计工作报告包括两部分：一是有关内部审计机构工作开展情况的总结和概括；二是内部审计机构的资源使用情况和业绩情况。前者是为了让董事会或最高管理层对一段时间内部审计工作涉及的经营活动、内部控制情况有总括的了解，便于其在此基础上进行决策，改进管理；后者是对内部审计机构管理状况的评价和汇报，有助于董事会或最高管理层了解内部审计部门的运作效率和成本效益情况。

　　（四）内部审计机构管理的内容

　　第24号准则要求企业应按照现代内部审计的理念，将内部审计机构视作能为组织提供增值服务的部门，该部门并非传统意义上的“成本中心”，而是能够创造价值的“利润中心”。因此，对内部审计机构管理内容的明确界定尤为重要。准则按照管理的要素将内部审计机构管理的内容规范为：计划编制、人力资源管理、组织协调、领导与沟通、项目业务控制。这五方面的具体内容在部门管理层面和项目管理层面都有所涉及，部门管理是内审机构运行过程中的一般性行政管理，项目管理是内部审计机构对审计项目业务工作的管理与控制。讨论意见认为，准则应分别对这两个层次的管理内容、方法及职责进行详细规范。组织性质及治理结构的状况对内部审计机构的体制、运行和管理有深刻的影响，讨论意见要求本准则能够适用于不同组织的内部审计机构。因此本准则将内部审计机构的组织形式概括为单层级与多层级结构，多层级组织的内部审计机构可实行集中管理制或分级管理制，也可以实行集中管理与分级管理相结合的形式。

　　三、“三性审计准则”的颁布

　　2007年协会颁布了第五批内部审计具体准则，包括25号至27号的经济性审计准则、效果性审计准则和效率性审计准则，统称“三性审计准则”。对组织经营活动和内部控制的经济性审计、效果性审计和效率性审计（简称“三性审计”）作出规范，是我国内部审计准则建设的一大创新。早在上世纪50年代，IIA就在第二号《内部审计责任说明书》中强调了管理审计的地位，并倡导内部审计机构积极推行管理审计，为组织服务。管理审计相对于财务审计，是一种更能够为组织增加价值的服务。随着我国社会主义市场经济的发展和现代企业制度的推行，企业内部审计目标逐渐由评价财务的真实合法性转向评价经济活动的效益性，内部审计模式也逐渐由传统的财务审计转向现代管理审计，如何对经营活动和内部控制的经济性、效果性以及效率性进行科学评价成为内部审计亟需规范的问题。IIA虽在几十年前就开始倡导管理审计，但其至今尚未就经济性、效果性以及效率性问题颁布专门的审计准则。中国内部审计协会组织多方专家，经过多年调研论证，最终颁布了“三性审计准则”，这是内部审计准则的重大突破，也体现了我国内部审计准则的先进性与前瞻性。

　　（一）“三性审计准则”充分借鉴了政府审计准则和政府审计实务中有关业绩审计的思想和方法

　　在中国内部审计准则制定伊始，“借鉴和包容政府审计和独立审计准则”就是准则委员会坚守的重要原则。自上世纪60年代以来，西方国家关于政府业绩审计的研究层出不穷，而政府审计实务也逐渐将关注重点由受托财务责任转向受托管理责任，业绩审计的规模和范围得以迅速扩展。业绩审计的核心就是对经济性、效果性和效率性的审计。业绩审计可以寻求对被审计项目和组织的积极改进，影响政府资源配置和决策，因而它对公共受托责任的履行以及公共资源的配置发挥着重要的作用。不仅仅是政府机构，任何组织的经营活动及内部控制也都存在着经济性、效果性和效率性问题，内部审计对这“三性”的审查和评价，有助于组织内部资源的有效配置，改善组织运营，增加组织价值。因此，在“三性审计准则”的制定过程中，充分借鉴政府审计领域中业绩审计的内容、方法、技术、判断标准等，力求为内部审计机构及人员执行管理审计提供规范的指导。

　　（二）“三性审计准则”与内部控制之间的关系

　　组织经营活动及内部控制的经济性、效果性与效率性是“三性审计”的对象。组织的经营活动是以增值为目的，通过对全部资源的优化配置而进行有效运营的方式，一般包括销售商品、提供劳务、经营租赁、购买商品、接受劳务、广告宣传、推销产品、交纳税款等活动。在《内部审计具体准则第5号——内部控制审计》中，曾对内部控制作出如下定义：内部控制是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。内部控制贯穿于各项经营活动之中，其有效运作是保障各项经营活动按既定程序顺利进行达成目标的条件。控制是管理的要素之一，组织管理者（内部审计是其重要成员）一般将控制叫作“管理控制”。管理控制是组织管理层确保资源获取及使用。有效地实现组织目标的过程，由战略规划、预算、资源配置、业绩衡量、考评和激励、责任中心的分配和转移价格等基本元素构成。管理控制的有效运作是实现组织经济性、效果性和效率性的前提和基础，因此“三性审计”的结果要落实，根本上需要依靠各种管理控制的方法和手段。“内部控制”与“管理控制”在内涵上并无冲突，前者主要是会计师和审计师角度对控制的理解，后者是组织管理者的用语，二者都是为确保组织以最佳方式履行指定职责，取得预期效果而制定的政策和程序。针对组织内部控制的经济性、效果性和效率性进行审查，实质上审查的就是组织内部的管理控制，指出管理控制中存在的影响经济性、效果性和效率性的控制偏差或控制缺陷，完善管理控制，促进组织目标的实现。同时，管理控制的有效运作，是保证整个组织实现目标、改善经营活动、促进组织资源节约的基础。因此，内部审计领域中的“三性审计”与内部控制的关系是双向互动的，内部控制是“三性审计”的对象，同时组织的经济性、效果性和效率性最终需通过加强内部控制来落实。

　　（三）“三性审计”的对象

　　经济性、效果性和效率性审计既可针对整个组织的经营活动，也可针对特定项目或特定业务。政府业绩审计主要是以项目为对象，因为政府的财政拨款与结算，是针对具体项目的，判断这些项目在资源使用过程中的经济性、效果性及效率性，以及项目的目标是否实现，是业绩审计的目的。在准则研讨过程中，曾对“三性审计”的对象有着激烈的讨论，有人根据政府业绩审计的相关内容，认为内部审计进行的“三性审计”也是针对项目而言的，这种观点实际上并不完整。组织的经营活动、内部控制与政府业绩审计的对象并不完全相同，在企业中，各种经营活动是持续进行的，内部控制则贯穿其中。资源的投入及使用，既包括特定项目中的投入与使用，也包括日常业务中的耗费，如销售业务不属于特定项目，但也有广告投入、促销策略的运用以及销售人员的人力投入等资源耗费问题，同样需要对销售业务的经济性、效果性和效率性作出判断。另外，从组织经营活动的全局看，也有资源的投入、使用以及产出的问题，如资本的投入、使用以及回报。因此，在内部审计的“三性审计准则”中特别指出，“三性审计”可以针对整个组织的经营活动，也可以针对特定项目或特定业务进行，这种观点既借鉴了政府业绩审计的内容，又充分考虑了内部审计的特点。

　　（四）“三性审计”评价标准的建立

　　由于经济性审计、效果性审计和效率性审计既可以针对整个组织的经营活动，也可以针对特定项目或特定业务，因此其审计对象非常多样。“三性审计”不像财务报表审计，可以会计准则和会计制度为统一的评价标准，内部审计人员应当根据每一次的审计对象，选择适当的评价标准。若组织管理层事先已针对组织的经营活动或特定项目及业务制定了标准，如计划、预算等，则这些标准是否达到以及如何达到就是判断该活动、项目或业务是否达成目标的依据。因此，在执行了必要的评估确认其适当性之后，管理层制定的标准通常可直接作为“三性审计”的评价标准。但审计实务中还会面临管理层事先未制定标准的情况，准则也对此作出规定：内部审计人员应会同管理层选择适当的评价标准，此时，“三性审计”就成了一种“商定服务”。会同管理层选择适当的标准要充分考虑组织目标和管理层的需求，要求内部审计从管理者的角度上思考问题、作出判断，同时发挥内部审计的专家作用，这也体现了内部审计一贯的合作、交流、服务、增值的理念。

　　（五）经济性、效果性及效率性的关系和准则先后顺序的安排

　　准则研讨会中，曾就“三性审计准则”是合并为一个准则规范还是分为三个准则规范进行过激烈的讨论，最后采纳了“三性”分开规范的意见。这主要是基于以下考虑：经济性、效果性及效率性在组织内部审计实务中是可以分开进行的，虽然在政府业绩审计中，通常是对被审项目同时进行经济性、效果性和效率性评价，但内部审计是为组织管理层服务的，基于管理层的特定需要选择“三性”中一个或多个方面进行审查和评价是务实的。同时，将“三性”分开，有助于针对各自不同的内容以及方法进行更为详细的规范，这对于指导我国内部审计机构开展管理审计具有重要意义。“三性审计准则”的分立并不意味着这三者间关系的割裂，在三项准则中都明确阐述了三者之间的密切关系：经济性衡量的是资源的投入和使用，效果性衡量的是取得的成果。效率性衡量的是投入与产出之间的对比关系。在内部审计实务中，对经济性的衡量相对独立，可以针对经营活动和特定项目或业务进行事前、事中以及事后审计。从逻辑上看，先投入，再产出，最后才能对投入产出进行对比，于是，在准则的编排顺序上，采用“经济性一效果性一效率性”的次序，这种次序有助于内审人员基于前面的规范理解后一个规范。但需要说明的是，“三性”中最重要的是效果性。虽然对经济性的评价可以单独进行，但究其根本却不能完全无视该经营活动、项目或业务的效果，如果没有经济性、效果性，当然也就无所谓效率性问题。事实上，经济性和效率性的最终目标都是要实现好的效果性。概而言之，经济性是前提，效率性是过程，效果性是目的。于是，第26号《效果性审计准则》是这三项准则中的重点，该准则对“效果”的规范是一个广义的概念，除考虑组织经营活动、特定项目或业务的经济效果（如产值、收入、利润）之外，还考虑了其社会效果（如社会满意度、环保效应、社会责任）。随着社会经济的可持续发展日益受到重视，各类组织对其社会责任的审视也愈加重要，《效果性审计准则》对评价组织社会效果的实现具有指导意义。

　　四、信息系统审计等内部审计准则的颁布

　　2008年协会颁布了第六批内部审计具体准则，即第28号信息系统审计准则、第29号后续教育准则，此外还发布了第3号审计报告实务指南。

　　（一）信息系统审计准则的背最、定位及核心方法

　　20世纪中后期所兴起的信息革命浪潮以前所未有之势冲击着企业经营的方方面面，无论企业所处的经营环境还是经营方式和管理手段无不发生着翻天覆地的变化，从会计电算化、管理信息系统（MIS）、企业资源规划（ERP）、客户关系管理（CRM）到电子商务（EC），充分显示企业各项经营活动普遍趋于信息化，经营管理趋于网络化与自动化，信息技术已成为企业运行的基础平台。随之而来的是如何开展信息系统审计成为亟待解决的问题。进入新世纪后，IIA更加重视信息系统审计工作，陆续发布相关指南和报告，如2006年底发布的《基于风险的信息系统控制评价指南》（简称GAIT），即提供了一套原则和方法，要求内部审计人员从信息系统控制评价人手，介入IT审计，帮助管理层识别关键风险因素、揭示重要控制缺陷，以合理评价内部控制信息系统的效率性和效果性。在内部审计领域，关于信息系统审计最全面、最先进的指南则是《全球信息系统审计指南》（GlobalTechnoIogyAuditGuide，简称GTAG），是IIA为首席审计执行官、审计委员会、高级管理层提供的IT审计指南，内容深入浅出，便于及时了解有关信息系统管理、控制或安全方面的问题。从管理者的视角关注信息系统的风险与控制，并用特定方法解释IT控制及审计实务。GTAG还提供了快速解决最新IT问题的机制。从2005年发布第一号GTAG起至今，IIA已发布了ll项信息系统审计指南。在此背景下，准则委员会决定借鉴IIA指南的精神、技术和方法，结合我国信息技术应用的实际情况，制定信息系统审计准则。

　　关于信息系统审计的定位。在准则讨论过程中，大家都特别强调要准确说明信息系统审计的定位。信息系统审计不是信息化环境下利用计算机技术的审计，不是为建立和运行“问题查找模型”、以高效搜寻经营管理中可能存在问题的非现场审计系统，也不单指通常所说的信息技术审计。信息系统审计涵盖两部分内容：一是对信息系统本身的审计，二是对信息系统所涉及的内部控制及流程的审计。这意味着信息系统审计不仅要对信息系统的功能进行审计，还要对信息系统的安全性、可靠性、数据准确性和完整性，信息系统的立项与采购、设计与开发、测试与验收、运行与维护等，以及对具体业务流程中所涉及的信息系统内部控制的设计与执行、效果与效率进行检查和评价。这一定位明确界定了信息系统审计的范围。信息系统审计定位的落实，取决于合理的审计组织方式。信息系统审计可作为独立的审计项目实施，也可作为综合性审计项目的组成部分实施。前者的审计目标可以关注系统本身的可靠性、稳定性和安全性，如系统开发审计、系统安全管理审计；也可以对与系统直接相关的其他信息技术管理环节给于关注，如信息技术投资审计、系统外包管理的审计。在综合性内部审计项目像财务审计、内部控制审计、合规审计、经济责任审计中，由于组织的运营、管理及核算需依托信息系统，因此，需对涉及的信息系统进行审计。

　　关于信息系统审计的核心方法。准则强调信息系统审计中风险导向审计法的贯穿。由于信息系统具有技术性强、涉及面广的特点，对组织各方面的运作起着基础支撑作用，信息技术相关的风险将直接影响组织运转的方方面面。因此，在审计过程中不论是计划或是实施以及后续审计都需要紧紧围绕风险的评估来进行。准则要求充分结合信息系统的特点，选择适当方法，在三大层面——组织层面、一般性控制层面以及业务流程层面进行风险评估，并根据风险评估结果将审计的内容和范围涵盖到高风险领域，对相应的信息技术内部控制设计及执行的有效性进行测试。

　　（二）后续教育准则的背景、内容与方式

　　IIA一向重视内部审计人员的后续教育，2007年12月颁布的“全球核心知识”（CBOK2006），以及同期修订的内审人员专业胜任能力框架，就是对后续教育有重大影响的调查报告或研究报告，尤其是CBOK，就内审人员遵循准则和职业道德规范、所用的审计工具和技术、应具有的知识与技能、审计的作业与型态等进行了广泛调查。中国内部审计协会也高度重视内审人员的后续教育问题，专门设立了培训委员会，十多年来举办了大量不同层次、不同种类的培训工作，并取得较好的效果。在许多大型组织，内部审计部门采取了灵活多样的后续教育方式，如课堂教育、网络课程学习、视频会议、参加职业资格考试、现场示范、正式的导师制、业务交叉培训、职业组织培训等，并对培训计划的有效性进行评估。在此背景下，准则委员会决定制定内部审计人员的后续教育准则。

　　关于后续教育的内容。本准则规定内部审计人员进行后续教育的内容，除涉及法律法规、内审准则及职业道德规范、内审理论与实务外，还特别突出从事管理审计时需要的信息技术、公司治理、内部控制、风险管理等相关专业知识与技能。培养复合型内审人才是准则讨论过程中非常强调的，这也是根据准则制定的基本原则之一——充分考虑财务审计与管理审计的结合作出的要求。准则还特别将后续教育的内容在内部审计机构负责人、审计项目负责人和审计助理人员三个层次加以区分，以突出重点、按需施教。这是充分考虑了我国内审实务状况而作出的安排。

　　关于后续教育的方式。自学以及接受培训的方式在西方国家都很普遍，但考虑现实中内部审计人员参加后续教育的动力尚不足，“缺什么学什么、学什么用什么”的急功近利型教育比较严重，准则讨论中一致认为，应当更加侧重于接受培训（控制型）的方式。鉴于此，准则规定内部审计人员接受培训是后续教育的主要方式，自学是后续教育的重要补充方式。培训形式有：IIA及亚内审联合会举办的专业会议及训练课；中国内审协会举办的专业会议、实地经验交流及训练课；中内协与省内协认可的有关大专院校的专业课程进修；各级内审协会举办的专题培训班；内部审计机构开展的、经相关内审协会评估确认的技术培训工作。（三）审计报告实务指南中的新理念和新技术 上世纪90年代以来，内部审计职业界的专业人士经历了世界范围内经营方式的重大变革。在时代的潮涌中，内部审计人员通过收集与分析企业经营、财务、风险状况等信息并发表评价意见和建议，承担着为组织防弊、兴利和增值的使命。《萨奥法案》的颁布，使得作为沟通主要模式的内部审计报告比以往显得更为重要。“除了认真组织和清晰撰写之外，审计报告必须连接财务要点，使相关的专业信息块彼此相连，并把这些信息块与潜在的风险、公司整体运营及治理相联系。自动化水平的提高和外包的增加更加强了这种关系。”值得关注的是：信息技术正在改变着审计报告的形式和生成方式。“软件奇才正在发明自动收集、复核和存储数据的综合方法，并改变着审计程序，以前人工的、事后检查的方法正在向自动化的、防护性的方法转变”，于是，传统的内部审计报告将变得更加具有预防性并实现更高程度的自动化。《萨奥法案》是程序自动化和报告自动化的催化剂。在此背景下，仅有审计报告的具体准则是不够的，人们期望制定审计报告的实务指南。

　　（1）以相互关联及综合性的思维方式组织和编写审计报告。相互关联及综合性思维是内部审计中唯一无法自动化或外包的方面。这种高层次的思维可被定义为三种能力：了解模式、综合各部分并识别其中的重要要素；概括给定事实，综合几个领域的知识并得出结论；比较并区分各种观点，在合理讨论的基础上进行选择，验证证据的价值。内部审计人员收集数据、分析不同类型数据之间的关系以提出结论或建议的过程是归纳性的，而撰写一份满足各方需要的书面报告则是演绎性的，即报告应从结论或主要信息的一般性陈述演绎到特定的支持性数据。相互关联及综合性思维就是要将“从具体到一般”的审计逻辑流程与读者期望的“从一般到具体”的阅读报告流程实现有机融合，生成一份使读者能快速阅读、直奔主题、相信自己拥有充分信息的审计报告。

　　（2）全面借鉴IIA提出的有效内部审计报告的新原则。2006年，IIA根据《萨奥法案》对审计报告的要求以及新涌现的软件合成格式，提出了有效内部审计报告需遵循的五项新的原则：将最重要的信息和最紧要的事情放在首位；坚持使用简单、清晰、不会混淆的措辞；不要过分强调某些内容，有节制地使用大写字母、下划线、斜体和黑体字；合理运用留白，不要将太多数据挤在一个小区域中；使用人们容易理解的标题和术语。审计报告实务指南在坚持客观性、完整性、清晰性、及时性、实用性、建设性、重要性等七项基本原则的过程中，全面消化吸收了IIA提出的五项新原则。

　　（3）审计报告可以使用计算机软件自动编制。本指南第八条要求，审计报告可以手工编制，也可以使用计算机软件自动编制。之所以这样规定，是因为“审计报告所采用的形式一直在变，长篇大论已经过时，把复杂数据压缩成表格和公告板的形式正在流行，全自动化的审计报告正成为一种趋势”。自动生成报告有以下优势：一是有助于更好地执行《萨奥法案》的要求。从IT的观点看，《萨奥法案》的主要影响是对公司数据完整性的保护更为关注。遵循《萨奥法案》，要求识别受法规约束的数据，并明确数据管理的政策，以保证这些政策得以遵循时相关数据即符合法律要求。二是准确且快速的信息传递、简明的目录和对重要事项的完整概括能很好地满足管理层的需求。三是自动收集数据并直接将其输入报告文件，能保留完整的审计轨迹，从而加大了毁坏文件和实施舞弊的难度。四是自动化系统的大量使用，使得内审人员可随时获取特定时期的所有数据，并定期测试数据、列示异常情况，从而大大提升了内部审计人员的能力。五是自动编制审计报告，使得内审人员能事先发现需要预防的问题，而不仅仅是在事后发现需要记录的问题。六是自动化程序可以让内审人员及时获得更多数据，从而对信息作出更全面、更稳健的分析，这有助于识别机会、风险、重大差误，有助于增加内部审计的价值。

　　（4）“审计发现”不只是发现负面问题、消极事实，还要发现良好实践、积极表现。内部审计人员要利用多种渠道将审计对象的良好实践向董事会、高管层以及组织内部其他阶层报告或宣传。所谓“良好实践”是指通过不断改进管理、优化流程，降低成本，提高效率或质量，完善内部控制和风险管理，在本公司或同行中属于创新、创优的值得推广的实践经验。对审计发现的描述还要适度注意维护被审单位或被审人的尊严和形象，同时通过对审计发现的分级分类，将能整改和不能整改的区分开、风险大和风险小的区分开、高管层重视和不重视的区分开，以便采取适当的改进措施。

　　（5）审计建议的提出要力避与公司文化发生冲突、要权衡公司核心价值与高管层的风险偏好及管理风格、要关注问题背后的系统性问题。为此，本指南将审计建议归纳为两大类型：现有系统运行良好，无需改变；现有系统需要全部或局部改变。后者包括：改进的方案设计；方案实施的要求；方案实施效果的预计；未实施此方案的后果分析。

　　（6）高度重视中期审计报告的价值。中期审计报告也称“审计备忘录”，是内部审计人员在现场工作过程中就某些领域的重大审计发现、向被审计单位适当层次管理人员出具的书面文件。在完成某一领域工作后，内审人员可能会发现一些重大不规范行为，甚至是重大控制缺陷，如果放任这些不良状况继续存在和蔓延、一味地等待现场工作结束后在终结审计报告中提出，将会给组织带来更大的不利影响和损失。内部审计人员应该根据组织适当管理层的要求和内部审计工作的需要、适时地编写中期审计报告，及时指出发现的问题并提出改进建议，供被审计单位慎重考虑，以便采取有效的纠正措施，这样可大大提高审计报告的效果。本指南列举了需要编制并报送中期审计报告的六种情况，并规范了中期审计报告的两种格式：基本格式与备忘格式。相对于终结审计报告而言，中期审计报告更为简短精练。当然，中期审计报告不能取代终结审计报告，不具有终结审计报告的效力，但中期审计报告能够为终结审计报告的编制提供依据。

　　五、上述具体准则的重大进展

　　三年来发布的这十项具体准则和实务指南，其重要特点就是在治理和咨询方面有了重大进展。

　　（一）治理方面

　　第23号准则对于内部审计机构与治理层之间的关系作出了详细、清晰的说明。该准则明确提出内部审计机构与董事会、最高管理层在组织治理中的协同作用，共同建立并维护良好的治理。IIA在《萨奥法案》发布后，就明确提出董事会、高级管理层、内部审计以及外部审计是构成治理的四大基础，这四方面的协调与合作能够促进良好的公司治理。因此，23号准则秉承了国际准则的这一理念，充分借鉴国际准则中的相关内容，厘清了内部审计机构与治理层之间的领导与被领导、协助与被协助、报告与接受报告的关系。IIA在1999年的内部审计定义中，强调了客观性这一属性，并在后续实务公告中对“独立性”和“客观性”作出了明确定位。 “独立性”是基于内部审计机构的组织定位，良好的治理结构能为内部审计机构提供独立的环境，内部审计活动的开展不受干涉，为内部审计人员的“客观性”创造条件。第22号《内部审计的独立性与客观性》吸收了国际准则对“独立性”与“客观性”的理解和定位，强调内部审计的独立性由机构的组织地位所决定，治理层对内审机构的领导、监督与支持为独立性提供了保障。第24号《内部审计机构的管理》与22号、23号准则之间有着密切的逻辑关联，该准则虽然涉及的是机构内部事务，但明确提出内部审计机构应接受组织董事会或最高管理层的指导和监督，这与23号准则是呼应的。同时强调，要加强内部审计机构管理，努力在良好治理中实现独立性、为内部审计人员的客观性管理创造好的环境，这也与第22号准则呼应。

　　（二）咨询服务方面

　　IIA在2001年新准则中将内部审计的职能定为“确认”和“咨询”，但基于我国国情，中国内部审计准则仍将内部审计的职能定义为“监督和评价”，比较偏重于“确认”职能。在第1～20号的内部审计准则中，较多涉及的是内部审计的基本业务，主要是对如何监督和评价进行规范，多为内部审计的“确认服务”。咨询服务是IIA从评价职能中单列出来的，内部审计在审查并评价经营活动和内部控制的过程中除了提供评价结论外，一般都会提出改善的建议，这些建议实质上就是内部审计提供的咨询服务，对组织管理层而言，其价值甚至高于评价结论。为更好地实现内部审计的增值目标，故将咨询职能单列。我国内部审计定义中并未排斥“咨询”职能，只是将“咨询”隐含于评价中，随着内部审计业务的发展，咨询职能将越来越多地出现在各类组织的内审活动中。因此，相对于第1～20号准则，近三年来发布的这十项准则和指南较多地涉及“咨询”职能，且该趋势在未来还将继续保持。第21号准则规范的控制自我评估是国外流行的内部审计咨询业务，虽然该准则是基于内部审计部门在进行内部控制审计前应用该方法来更好地把握审计的重点，但其原理、方法和步骤可用于任何内部审计参与的自我评估中，实质上属于内部审计为管理层提供的咨询服务。目前国内许多标杆企业如中国电信集团等正在内部审计实务中开展控制自我评估，以帮助管理层根据需要评估内部控制、风险、业务流程、组织目标的设定与实现，是内部审计能够提供的一项重要的增值型咨询服务。第25～27号准则涉及组织经营活动和特定项目或业务的经济性、效果性、效率性的审查和评价，是典型的集确认和咨询于一体的混合型业务。准则首先要求内审人员按照既定标准审查并作出评价结论，这属于确认服务的范畴，同时要求内审人员为管理层指出不经济、效果差、低效率的地方，并针对这些问题提出改进建议，这属于咨询服务的范畴。第22号《内部审计的独立性与客观性》则为内部审计人员开展咨询业务排除了关键性障碍。传统上，内部审计职业界曾按外部审计对独立性的理解来开展内部审计业务，基于这种超然独立的理念，内部审计不应开展咨询业务。然而，内部审计与外部审计有着多方面的不同：内部审计重视客观性胜过独立性；要发现问题，更要解决问题；要依法审计，更要依战略、规划、预算、业务标准、技术标准、控制标准等内规和行规来审计。只要内部审计人员能保持客观性、熟悉各类标准、时刻着眼解决问题，就可以开展咨询业务、为组织创造价值。因此第22号准则为内部审计人员开展咨询业务明确了所要重视或关注的事项，从理念上为咨询业务未来的发展铺平了道路。