许多年前，我给IIA写了一封信，信中陈述了我和许多其他同行都认为IIA的准则明显过时，已不再代表最佳的内部审计实践。

Kaya Kwinana（CIA, FIISA）也对此表达了他的看法，认为IIA准则限制了内部审计可以执行的工作。我和他就相关的话题曾有过广泛的讨论。

下面节选自Kaya Kwinana的一篇文章——《IIA准则如何限制内部审计师应当执行的工作》

内部审计是根据其主要目的、本质以及范围来定义的，鉴于这一点，定义的第一句中包含许多概念（独立、客观、增值、改善经营），这几个概念都是多余的，因为在定义的第二句中有充分的阐释：“（内部审计）通过系统的、有序的方法来评价和改善风险管理、控制和治理过程的有效性，从而帮助组织实现其目标。”第二句中也包含了一个多余的概念——系统的、有序的方法。

    那么，内部审计的定义究竟要表达什么呢？
    1、内部审计的主要目的——“帮助组织实现其目标”
    2、内部审计的本质——“评价和改善”
    3、内部审计的范围——“风险管理、控制和治理过程”

内部审计的本质描述了内部审计的工作和范围以及局限。主要目的描述了为什么要有内部审计。范围更关注过程而非结果，我认为这是很明智的。这一点可以从受托者指引里看出来。

为了说明实际情况就是这样，其他地方的受托者国际专业实务框架(IPPF)指南都将“风险管理、控制和治理过程”规定为“治理”、“风险管理”和“控制”的过程。”这表明“治理”、“风险管理”和“控制”都是作为形容词来描述什么是过程的。

范围可以用来描述任何活动的界限，而内部审计的范围将这些界限描述为“治理、风险管理和控制的过程。”

接下来的问题就是内部审计师就这些过程应该做什么。内部审计的本质对此给出了答案，也就是上面提到的“评估和改善”，或者说是“保证和咨询”。

标准术语是这样定义保证和咨询服务的：“对证据的客观审查，目的是提供对治理、风险管理、组织和控制流程的独立的评估。”

为什么治理、风险管理和控制流程是内部审计需要特别重点关注的领域？因为当这些过程适当且有效时，它们为完成组织目标提供了合理保证，而这正是内部审计的根本目的。

如上所示，内部审计被限制在了为“治理、风险管理和控制流程”提供评价和建议，也就是所谓的内部审计的范围中。

欺诈风险与其他风险没有什么两样，IPPF指引里明确说明了内部审计师应如何通过评估风险或潜在风险加以应对。但是对风险的评估只能在对风险的管理方式的评估之后——也就是应当先评估治理、风险管理和控制过程的履行情况。

因此，内部审计仅仅限于对治理、风险管理和控制过程进行评估或提供建议。

Norman的评论
我认同Kaya的观点：内部审计的首要责任就是为董事会和高层管理者提供保证——管理层能将绝大多数重大风险控制在期望的水平。他们依赖的过程包括风险管理、内部控制、组织治理。

我也同意，内部审计可以而且应该提供增值服务，通过运用其洞察力和提供客观的建议来帮助管理层提高其能力和改进相关流程。

我不同意的地方是，准则中并没有提到内部审计只能提供这些服务。

我相信，经审计委员会的批准，内部审计可以提供如下服务：

欺诈调查
协助管理层风险管理
萨班斯-奥克斯利法案控制测试管理
审计卖方和供应商
监督信息技术质量保证
作为道德委员会的主席
管理公司的举报系统
流程改进顾问
……

可能我们必须采取防范措施，以确保内部审计的客观性是不容妥协的。但是，只要审计的根本使命没有受到侵害，并且审计委员会给予了认可，审计师就有义务在不影响独立和客观的情况下提供增值服务。