莫比乌斯环与管理审计视角
2019-09-10陈澍李慧梁宵
陈澍 李慧 梁宵
[摘要]现代审计越来越重视对体制机制、公司治理、风险管理等管理层面问题的挖掘,正如莫比乌斯环所展示的,可以从纸带的一面到达另一面,两面都是纸带的组成部分,从合规性、操作性问题审计入手,探究背后管理层面的问题。
[关键词]管理审计 莫比乌斯环 内审转型
一、管理审计视角的引入:莫比乌斯环的启示
莫比乌斯环源于德国数学家莫比乌斯与约翰··李斯丁的发现,是将正反两面都很明确的纸条一头扭转180°再与另一头相连接后得到的环状带子。从三维视角上看,如果用指尖顺着该环状带正面一点划去,将到达纸带的反面,再继续划下去,又回到了正面出发点。据此,假设操作(业务)层面与管理层面审计作为审计项目中两个互相独立的方面,将二者放入莫比乌斯环中,那么无论是从操作(业务)层面还是从管理层面出发,通向的都是另一面。如果循环的时间足够长,即不可定向,这是莫比乌斯环的一个重要特性,那么在这种情况下,操作(业务)层和管理层审计将成为相互嵌套并进发展的一体两面,见图1。
管理审计理论在西方早已得到广泛应用和发展,而在我国得到关注与重视的时日尚短。企业管理者不断提升管理能力,改进管理手段,以更好地达到管理目标,促进了管理科学理论和实践的发展。而后者对管理审计理论的产生和发展起到了决定性的影响。其中,预防性控制原理的运用对管理审计理论的发展影响尤为直接。在管理学理论中,控制可分为直接控制和预防性控制。预防性控制认为,“对大部分脱离标准的负偏差应承担的责任可以运用管理的基本原理来加以确定。这种控制是在业绩报告和判定主管人员履行其职责时是否按既定原则办事两者之间划出界限。”预防性控制实际基于三种假设,即称职的管理者越少犯错、管理业绩可计量、管理原理运用可评价,可简单表述为管理人员及其员工的素质越高,就越无需进行直接控制。预防性控制原理直接带动了管理审计工作,这种预防性方法比直接性方法更利于管理方面缺陷的确认与消除,也就要求对管理工作和管理系统不断加以审计,以随时了解管理现状和控制效果。管理审计从概念上而言,理论界未有一致意见,但基本是“对组织各项管理活动及过程进行独立、客观、综合的、建设性的、面向未来的审查与评价”,促使组织建立科学、完备、有效的管理制度和运行机制,不断完善治理,提升价值。这种审计思路恰与商业银行强化内部管理理念相得益彰。
管理审计理论的引入,也引发了对传统内部审计组织管理模式的新思考。当内部审计的职能变迁,对操作合规层面的关注更向关注管理层履职质效方面倾斜,典型的非连续性、单线程关系模式显然已不能促进内部审计在助力组织治理方面充分发挥自身作用和效能。分析探索一个新的关系模型成为必然,以期将操作层和管理层内部审计管理加以整合,弥补固有线性关系模型的不足。这种新的关系模型应该是由双线程、首尾相连具有循环反馈和自我调节机制的环状模式发展而来,莫比乌斯环即从众多拓扑图形中脱颖而出。
二、传统审计实践的局限性:思维、手段与沟通
(一)思维局限:控制导向审计理念的盲点
劳伦斯·索耶认为,“管理审计就是以管理者或管理咨询师的眼光去审查组织的各种活动,它与其他审计形式的区别在于它的思维方式而不是它的技术方法。”过去商业银行内部审计往往以真实性、合规性为主,停留在账务核实和操作行为是否规范的层面上,缺乏对银行内部控制、风险管理和各岗位业务规范状况等给出评价和建议,亦未对管理制度、经济环境、监督体系等方面进行深入研究。这种对控制(操作)层的审计往往停留在孤立的点状问题发现层面,很难从线状、面状,乃至立体化地对风险进行评估、分析并提出管理建议。
对控制(操作)层面的关注,源于控制导向审计理念。很长时间以来,控制导向审计一直是广大内部审计人员普遍使用的审计方法。这种审计方法将重心置于组织的内部控制系统,导致审计人员容易忽视单位本身的目标及经营管理的其他方面。审计人员在缺乏对组织目标了解及风险评估的条件下,对控制节点、控制程序进行评估,结果往往意义不大,或造成过度控制,或因控制的滞后性影响组织的正常运作。
近年来,各家银行已在努力探索风险导向型管理审计的开展方法,但在审计体系建立、质量规范、实施流程建设方面仍有很大空间。
(二)手段局限:审计抽样的自身缺陷
传统模式下开展管理审计存在硬伤,即得出的关于审计对象经营管理情况的审计结论往往依赖于一定样本的选取及样本表现出来的相似特性。从审计发展的历史看,这种抽样审计方法使早期的“账项基础审计”摆脱了详细审计的低效,是审计方法的一大进步。但抽样方法在提高审计效率的同时,也伴随审计风险的增加,使风险为导向的审计模式成为必然。在审计抽样方法下,样本的选择尤为关键:样本是否具有针对性和代表性,是否能从中发现风险隐患,找出舞弊环节;样本选择是否符合统计学要求,足以对审计对象做出全面的审计结论等。基于此,就必须要求审计人员在兼顾随机性和代表性的基础上,强调审计样本抽取的科学性和严谨性。传统实践中,作为金融机构内审部门,通常会根据长期的检查經验,制定抽样规则,明确抽样的基本原则和参考因素。例如,授信业务抽样中,会综合考虑业务品种、授信金额、担保方式、关联客户、问题授信、行业等因素,人工对业务数据进行分析性复核及筛选,经团队成员充分讨论后确定抽取的样本。实质是一种基于专家经验的抽样,涵盖一定的问题导向性。
但无论抽样规则如何精细,都难以企及金融业务发展和变化的速度。尤其是互联网+时代,金融机构大势所趋纷纷“触网”,与重庆银行类似的一批城市商业银行,选择互联网金融作为实现弯道超车的捷径,给内部审计带来极大的挑战;金融机构的业务系统及管理系统不断升级换代,管理平台的数据集中度及网络复杂度日益提高,如何从海量数据中选取所需样本,传统的风险抽样模式显得力不从心,真实的风险何在无从知晓,全量样本筛查势在必行。
(三)沟通局限:信息不对称造成的审计建议脱节
审计署令第11号对内部审计的定义,增加了“建议”的职责。该职责恰是管理审计的重要表现形式,指明了内部审计咨询服务价值的拓展方向。在管理审计中,除了关注“有没有”“对不对”的问题,还要关注“好不好”“恰不恰当”“有没有效”的问题。例如,审计建议是否具有针对性,能否解决当前问题,有效降低未来风险;审计建议是否具有可操作性,适合审计对象的经营活动;审计建议是否具有适合性,充分考虑了审计对象是否具备执行该建议的能力;审计建议是否具有效益性,可否兼顾经济、效率、效益的结果等;而要达到管理审计的增值目标,还要进一步关注业务发展、机制调整、转型升级、管理创新中的热点、难点问题,注重从体制、机制、流程、系统的更高层面,揭示控制缺陷和风险隐患,增强对业务的整体风险把控能力。审计建议已经成为管理审计的价值体现,成为审计对象认可审计结果、提升审计地位的关键,只有审计建议具有针对性且切实可行,并为审计对象接纳,才能最终达到促进审计对象管理目标实现的目的。而要使审计建议易于接纳,除了需要审计人员的专业知识外,开展有效的审计沟通,获取被审计单位对问题的认知,根据实际不断修正审计建议,使审计对象认可和接纳审计结论,具有同等重要的地位。然而在实践中,由于缺少深层次沟通、经营层信息不透明、审计人员能力和经验等方面原因,审计建议和意见往往不接地气,管理层抵触审计结论的情况比较常见。
三、管理审计路径的选择:以重庆银行内部审计为例
(一)转变传统审计思路:以管理层控制为重心转移
在管理审计模式下,内部审计以“改善公司的管理素质和提高管理水平为目的,审查被审计单位在计划、组织、领导控制、决策等管理职能上的表现,促使被审计单位提高管理水平,促使生产力要素更好地配合,以提高经济效益。”摒弃了只关注表面合规、流程控制,将注意力更多转向管理风险等组织管理的各个方面。前文所提到的莫比乌斯环模型也可看作是审计思路扭转的一种表现形态。通过操作(业务)层与管理层审计的双线并进、循环往复,于实施过程中相互作用、相互印证,以“由下看上”“以上促下”,最终达到促进组织管理提升的结果,见图2。
以重庆银行开展的内控评价为例。每年审计部门将依据全行风险状况和内外部检查情况,对评价要点进行重新梳理,确定当年需特别关注的重点及高风险业务环节。过去的关注点主要落在操作层的各个控制环节上,检查内容多限于对内部控制措施执行情况的考察。2015年以来,审计部门逐年加大对被审计单位管理层的控制,细化管理层审计的内容,并加大管理层问题分值权重。管理层控制包括制度建设、组织架构、部门及岗位职责、“三重一大”、人员管理、授权管理、业务管理模式等,而操作层控制关注制度执行情况。通过管理层控制和操作层控制并重的审计,对被审计单位各种管理职能的健全性和有效性进行评估,考察其管理水平的高低、管理素质的优劣以及管理活动的经济性、效率性,并就所发现的问题提出有针对性的改进建议和意见。
除了每年开展基层网点全覆盖的内控评价以外,重庆银行还率先开展了对总行直属经营部门的内控评价审计和全行内控有效性审计,从治理架构、制度建设、政策流程和控制措施等方面,系统梳理了总行关键部门职责和重要内控流程。通过对管理部门履职情况以及管理人员素质的审计,摸查全行内控管理薄弱环节,为银行进一步完善公司治理和实现有效的管理层控制提供了有力的决策依据。重庆银行在对总行职能部门开展内控评价审计中管理层面的关注点见表1。现大多数银行内部审计尚未触及总行管理部门的履职,因此并不是真正意义上的管理审计。
(二)全样本筛查:大数据、信息化不只是概念
随着数据库和非现场技术的发展,促进经济迅猛发展功不可没的信息技术同样成为内部审计的有力工具。大数据、信息化的发展使内部审计样本数量从抽样扩展为全量样本成为可能。实现全样本筛查依赖于业务系统的高度数据化和审计管理的信息化,金融机构的数据保障能力为全样本审计实践提供了现实的可能。
审计管理系统整合业务系统,搭建数据平台。审计管理系统已经成为审计人员的重要工作手段,不仅实现了从审计方案、工作底稿、事实确认书、问题清单、审计报告、整改跟踪等审计现场作业全流程的电子化,更实现了从审计计划、审计抽样、统计分析、综合报告等审计管理的无纸化。审计管理系统除了直接与核心业务系统中的生产数据对接之外,还充分利用经营层和风险管理层的系统信息,如信贷管理系统、操作风险管理系统、SAS系统等,为审计人员获取客户财务信息和非财务信息等数据,搭建起数据集中分析平台。
大数据分析技术成为审计管理系统的手段之一,开发大数据审计分析模型,对全行全样本数据进行判断。以重庆银行为例,审计部门利用行内大数据金融风控平台成功上线之机,借用小微业务大数据金融风控平台建模思维,在审计管理系统中整合数据挖掘公司提供的企业关联信息、企业通用信息、企业主信息、企业征信数据、企业主征信数据、税务及法律诉讼数据、经济环境数据等多维度外部数据,开发了有贷户分层模型,使全样本分析得以落地实施。通过数据分析,锁定高风险区域及机构,借助审计管理系统查证模型、预警模型,进一步识别高风险区域及机构的风险业务分布、风险环节,将数据的集中共享、挖掘分析贯穿整个审计流程,为发现内控风险精确定位,不仅提高了审计效率和质量,还降低了审计风险。
通过全样本全时段审计筛查,重庆银行内审部不断修正和完善预警逻辑,根据監管要点和管理层关注重点,开发新的查询规则。目前在用的有审计价值的预警查询语句达275条,审计效率和效果成倍提升,及时捕捉到化整为零、借壳融资、挪用贷款资金、假按揭等一系列风险问题,并通过对问题的归纳、总结,挖掘出总行管理部门在内控管理方面存在的履职不力等问题,得到管理层的高度重视,由此推动了业务流程的完善和信贷管理的提升。
(三)畅通信息获取渠道:信息开放共享
沟通交流是审计流程的重要环节,审计人员必须与基层经营机构、总行业务管理部门保持经常性的互动,以及时获取经营机构业务开展的信息,关注经营中可能出现的风险,掌握各业务运行管理的情况,包括组织架构及关键岗位人员变动情况、新产品新制度及新系统、外部监管要求变化等。同时,也要向总行业务管理部门甚至高管层及时传递审计信息,打破信息不对称壁垒,实现内审与经营层信息良性互通,为拓展审计思路,明确审计方向提供信息基础。
利用管理层制度,打通审计部门获取管理层各种重要信息的渠道。如争取重要议事规则中规定内审部门可列席办公会等各类重要会议、重大事项专题会议,使信息获取制度化。
定期与业务管理部门交流审计发现和检查发现,通过风险信息的互通共享,达成与管理部门对风险信息和违规问题的共识,提升业务管理部门对内审工作的认可、信任和理解度,赢得对内审结果的支持并促使管理层合理运用审计结果。
保持与监管机构的联系机制,作为监管手段的延伸,主动获取监管重点、监管要求和监管偏好。
重庆银行内审部固定列席的会议包括高管层下内控与风险管理委员会、集中采购委员会,建立起与纪检监察部、财务部、监察部的联合监督体系,每半年形成至少13个重要业务管理部门的条线持续沟通报告,并针对分行管控偏弱的特点,要求3家异地分行将行长办公会、分行各类重要委员会、重大事项专题会等重要会议的会议纪要抄送总行内审部,并建立分行稽核向总行内审的信息报告机制,打通审计部门各种重要信息获取渠道。
(四)创新成果运用机制:审计成果报送的多种形式
审计报告是审计成果最重要的载体之一。审计成果采用何种表现方式呈现,应当由“审计成果的阅读者”来决定。对于金融机构来说,审计成果的阅读者可以分为三个类型:第一类是被审计的经营机构,确保其能够就审计发现的操作层面问题进行点对点整改;第二类是总行的业务管理部门,督促其能够针对审计发现的管理层面问题,进行点对面整改,如建立管理制度,完善业务流程,杜绝屡查屡犯等;第三类是总行高管层,希望其通过对重要审计发现的了解,对审计建议的采纳,从加强和改善管理上做出全局性决策,进一步规范相关业务活动,促进全行稳健发展。
重庆银行内部审计工作借鉴了审计署的成功经验,创新多种成果报送方式,实现了内审工作价值的最大化。针对经营机构作为审计对象的情况,审计部门通过审计报告要求其合规经营、加强内控、防范风险;针对需要总行业务管理部门知晓的本条线问题,每季度汇总归类审计发现,向大中业务、小微业务、个人业务、同业条线、运营条线、结算条线、财务条线、科技条线等发送业务审计报告,强化各业务管理部门的风险意识;针对某一业务领域普遍性、典型性的体制机制、制度性问题或者属于总行业务管理层面的问题,也可以通过条线审计报告或审计告知函的方式提交业务管理部门及该业务分管行领导;针对审计发现的重大违规违纪问题,通过审计专报直接上报业务分管行领导及“三长”;针对审计发现的重大违规违纪问题,审计部门可通过全行问责机制,根据具体情况,移送纪检监察部门开展违规问责,提高内审威慑力;针对某方面存在的潜在性、苗头性但并不违反制度的事项,可通过风险提示、管理建议的形式提交审计对象及业务管理部门,使一些风险得到及时、有效的化解,前移风险防范关口,起到防患于未然的作用;针对涉及重要内控缺陷、跨部门履职难落实的问题,可以以行领导签批、提交行长办公会或党委会讨论、“三长督办”的形式来落实,通过“三长督办”,进一步增强总行业务管理部门的主动履职意识和管理能动性,切实解决久拖不决,跨部门、跨条线、系统性的问题。
(五)保障条件:组织架构与审计队伍
管理审计路径很大程度上依靠内审部门的内在努力,而来自组织架构的保障,对内审作用发挥起到决定性作用。审计署令第11号对内部审计工作机制提出了明确要求,毋庸置疑,建立“在主要负责人直接领导下开展内部审计工作”机制,是内审架构的最优设计,也是符合当前中国特色社会主义经济制度下国企内审模式的选择。这种模式将使内部审计在独立的原则下开展工作,改变内部审计工作“被边缘化”状况。主要负责人直管内部审计工作,应当定期听取内部审计工作汇报,加强对内部审计工作规划、年度审计计划、审计质量控制、问题整改和队伍建设等重要事项管理的规定,为审计工作的开展提供充分的物质保障和人员身份保障等。重庆银行已经建立了由董事会、审计委员会、总行内审部组成的职责明确、报告关系清晰、独立的內审管理体系,总行内审部由董事长直管,并在董事会和审计委员会指导下开展工作,极大程度上确保了内审工作的顺利开展。
努力打造一支结构优化、业务精湛、善于创新、素质过硬,适应业务经营转型要求和审计理念转型要求的职业化审计队伍。通过推行审前学习研讨、审中碰头、审后总结和审计成果点评“四会制度”,帮助审计人员树立现代审计理念,培养审计人员具有宏观意识和全局意识,引导审计人员从组织治理和风险管理的高度进行思考,并渗透到每个审计项目中。
(作者单位:重庆银行股份有限公司,邮政
编码:400024,电子邮箱:cocohuibest@163.com)