内部审计负责人，通常被称为首席审计执行官（CAE），向董事会汇报其职能活动几乎没有争议，这种汇报通常是通过董事会的审计委员会进行的。然而，关于CAE应向组织内哪些行政部门报告，各方意见分歧，讨论激烈。

根据内部审计师专业标准协会的指导方针，首席审计执行官必须向能够确保内部审计职能得以履行的组织层级报告。更为重要的是，CAE需要至少每年一次向董事会确认内部审计活动的独立性。

这些标准明确指出，当首席审计执行官向董事会进行职能报告时，内部审计的组织独立性就得到了有效实现。具体到向董事会汇报的内容，包括但不限于以下几点：

获得董事会批准的内部审计章程。

基于风险评估批准的内部审计计划。

经董事会批准的内部审计预算和资源配置计划。

首席审计执行官就内部审计活动的执行情况、计划执行进度以及其他相关事项向董事会提供的沟通。

董事会对首席审计执行官聘任和解聘的批准决定。

董事会对首席审计执行官薪酬的批准。

管理层和首席审计执行官应当进行适当的沟通，以确保内部审计范围和资源的适当配置，避免不当的限制。

通过这样的流程和沟通，确保了内部审计活动的独立性和有效性，同时强化了其在组织中的关键作用。

IIA标准进一步提出了“干扰”的问题，强调内部审计活动在确定审计范围、执行工作及沟通结果时必须保持独立，不受任何干扰。若存在干扰，首席审计执行官有责任向董事会报告这些干扰并讨论其可能带来的影响。

尽管如此，IIA标准对于行政报告的具体内容并未作出详细说明。个人理解，这涵盖了：1) 审查并批准CAE的费用开销；以及2) 执行可能受到组织政策要求的其它管理职能。这些职能根据不同组织的特点会有所不同，例如批准超出CAE权限的采购订单和差旅请求等。

通常情况下，首席执行官直接负责高层管理人员的报告。虽然高层管理人员通常会支持并拥护内部审计，但这并不是绝对的。CAE的成本中心可能并入高层管理人员的成本中心，也可能不并入。

尽管有必要由某些人来执行这些行政职能，但期望审计委员会主席承担这些责任通常是不现实的，虽然有少数例外。因此，关于CAE应该向首席执行官、首席财务官或其他高级管理人员进行行政报告的讨论成为了焦点。

虽然CAE出于管理目的可以向较低级别的管理人员（如公司财务总监）报告，但这种做法可能会降低其在组织中的地位，给人一种他们只是中层管理人员而非属于高层管理人员的印象。

在讨论内部审计的行政报告对象时，IIA过去曾明确表示倾向于将报告直接提交给首席执行官。理查德·钱伯斯，IIA的前首席执行官，在他的文章《新调查给内部审计敲响了警钟》中再次强调了他对这种报告结构的坚定支持。钱伯斯引用了IIA在2022年发布的北美内部审计脉动报告中的一项引人注目的统计数据：76%的上市公司CAE报告说，他们的行政工作是为首席财务官服务。

钱伯斯坦率地分享了他对这种报告关系的看法：“尽管许多首席财务官极其尊重内部审计的独立性和客观性，但现实却显示，内部审计在首席财务官的领导下，更可能被引导去关注对其更为重要的事项。”他进一步指出，“仅有4%的调查参与者对这种直接上下级关系表示担忧，这反映了一个主要在美国出现的特殊问题。幸运的是，在公共部门或非盈利部门，特别是在美国以外，这种情况并不普遍。但不幸的是，似乎选择向首席执行官报告的上市公司内部审计职能正在减少，这是一个不利的趋势。”

对于内部审计负责人（CAE）向首席财务官（CFO）报告的做法，存在一系列合理的考虑。我的经验和观点与那些在政府部门担任CAE的人可能不同，因为我在跨国公司有多年的CAE经验，这让我对此有独到的见解。

首先，需要明确的是，行政报告关系并不代表赋予了内部审计任何形式的“所有权”。

其次，基于我的观察，直接向CEO报告的CAE有时会被分配执行特别任务，甚至包括处理高级管理人员的解聘问题，这暗示首席执行官可能视内部审计为其直接管辖之下。

第三，鉴于首席执行官的工作繁忙，要求他们花费宝贵的时间处理如费用报告等行政职责似乎不太合适。实际操作中，这些任务往往会被委托给首席财务官或在某些情况下是助理，这是更常见的做法。

第四，直接向CFO报告实际上提供了与CEO沟通的灵活性，并不会限制这种联系。

第五，重要的是，即便是在行政上向CEO报告，参加CFO主持的高级管理会议的机会也可能更大。这些会议是了解组织战略和活动的重要渠道，而直接向CEO报告反而可能使参与这类会议变得更加困难。

最后，值得注意的是，有高达96%的CAE对他们的行政报告关系表示满意，这表明这种安排在实践中是被广泛接受和支持的。他们是基于实际情况做出的明智选择，应当被尊重。直接向CFO报告完全符合IIA标准1110的要求，即CAE应向组织内能够确保内审活动独立执行职责的最高级别报告。

在探讨首席审计执行官（CAE）的行政报告路径时，是否应选择向其他高级管理人员汇报，这一决定往往取决于组织的结构和特定高管的角色。在不同情境下，CAE可能向以下任一职位的高管报告：

首席行政官（CAO）

首席运营官（COO）

总法律顾问

在特定场景下，CAE向首席风险官（CRO）报告也是一种可能，尽管个人对于CAE直接向专业的CRO报告持保留态度，原因在于控制缺陷及其所表示风险评估上可能出现的利益冲突。

重要的是要明白，无论CAE在行政结构中向谁报告，这种报告关系都应当是纯粹基于行政性质的，不意味着对内部审计的所有权或控制权。关键在于如何确保内审的独立性和客观性得到维护。实际上，这一问题在国际内部审计师协会（IIA）的专业实践标准“标准 1000：目的、权威和责任”中已有明确规定，该标准为CAE如何在组织内确立其职能提供了指导。

内部审计章程的重要性

该标准是这么说的：“内部审计活动的目的、权力和责任必须在内部审计章程中正式定义，与内部审计的使命和内部审计的强制性要素相一致。国际专业实践框架（内部审计专业实践的核心原则、道德准则、标准和内部审计的定义）。首席审计执行官必须定期审查内部审计章程，并将其提交高级管理层和董事会批准。”

内部审计章程不仅是内部审计活动在组织内职责和权限的宣言，它还明确了内部审计在组织中的定位，包括CAE与董事会之间的职能报告关系，赋予了内审团队访问业务相关记录、（更多内容可关注公众号CIA内审师小站）人员和财产的权限，并界定了内审活动的范围。章程的制定和批准过程本身就是一个重要的步骤，它需要董事会或其审计委员会的深入讨论和审查。

其价值不在于使首席审计执行官在面对管理层阻碍时能够“挥舞权威”，而是在于它明确了提供行政支持给CAE的人员的职责界限。这种明确性不仅有助于保持内部审计的独立性和客观性，而且也有助于处理敏感问题，使之更容易管理和解决。

因此，内部审计章程不只是一份文件，它是确保内部审计能够有效执行其职责的基石，为内部审计活动提供了明确的指导和框架。

本文来源：综合互联网