对内部审计职能拓展的思考
2021-04-01袁敏
袁敏
[摘要]本文以审计署和国资委等部门关于内部审计的相关文件为背景,结合国际内部审计师协会的调研结果,就内部审计的职能拓展进行了分析,认为内部审计的职能将从“监督、评价”逐步拓展至“建议、咨询”,并进而带来思维方式的转变、工作内容的丰富以及人员素质要求的提升。
[关键词]监督 咨询 内部审计 职能拓展
审计署在2018年修订发布的《审计署关于内部
审计工作的规定》(以下简称审计署11号令)中,将内部审计定义进行了修订,尤其是将内部审计的职能进行了拓展,即在以前强调“监督、评价”的基础上,开始与国际接轨,适当突出“建议、咨询”的价值,体现在定义中增加了“建议”这项职能,并强调问题的整改落实,尤其是明确审计机关对内部审计机构发现且已经纠正的问题,可以不再在政府审计报告中予以反映,凸显了容错理念及内部审计的建设性功能。
伴随着内部审计职能从“监督、评价”拓展至“建议、咨询”的发展过程,内部审计的工作内容以及内审人员的素质能力要求,也理应有新的改变,真正将内审的“价值增值”效果体现在日常的审计工作之中。
一、思维方式的转变
内部审计的职能定位在不同组织中可能有不同表述,从“经济警察”到“保健医生”“律师”“教练”“御史”等不一而足。显然,这些定位可能不会在内部审计章程或制度中予以书面表述,但在描述内部审计的职责权限及审计内容时会真实体现出来。尽管国际内部审计师协会(IIA)和中国内部审计协会(CIIA)及审计署对内部审计的定义略有差异,但从审计对象上看,基本都保留了对“风险管理”的审计内容。作为治理现代化的标志之一,内部审计通常被看作是现代治理机制的支柱,其职能的发挥途径之一,就体现在风险管理领域发挥积极正面的作用,包括识别出影响所在组织运营的内外部因素并能够适应、快速应对这些因素,这就要求内部审计从“事后监督”的角色逐渐过渡到“事前提醒”和“建议、咨询”上来。
首先,内部审计的眼光需要从“管理”过渡到“治理”上,即内部审计原来定位为“管理者眼睛和手臂”的延伸,管理者只有一双眼和一双手,看不到的管不到的,内部审计帮助管理层来看一看、管一管;现在的内部审计职能则进一步拓展到向董事会(或主要负责人)、党组织(党委)报告,在提升其独立性的同时,更好发挥对依“法”行事方面的积极推动作用,通过制度的完善和实施,来帮助以董事会、党委会为代表的治理层,以及以CEO、CFO为代表的管理层各司其职,内部审计需到位而不越位地履职尽责。其中治理层的角色也开始有所变化,从监督慢慢转向参与,因此设立总审计师的单位,总审计师应考虑加强与董事会审计委员会和党组织的开放、透明关系,并在审计计划方面考虑治理层的需求。
其次,内部审计应该从“供给观”转为“需求观”。党的十八大以来,国家层面出台了包括《关于加强审计工作的意见》《关于实行审计全覆盖的实施意见》等在内的一系列规章制度,对审计工作进行了顶层设计,审计地位和作用得到了显著提升。但不可否认的是,内部审计作为组织的内设机构,理应聚焦在推动组织实现目标、提升组织价值增值上来,因此内部审计在“有位”的基础上,更应凸显“有为”的作用,帮助组织“多打粮食”,并保证“颗粒归仓”。因此,内审部门应加强与管理部门、治理层的沟通,帮助董事会、管理层更好地了解组织所面临的风险,尤其是要了解高风险领域和关键风险环节等方面,帮助利益方更好地了解组织所拥有的优势及不足,并通过充分沟通消弭管理层和内审部门在内部控制及风险管理领域的分歧。
最后,从“三道防线模型”过渡到“三线模型”。站在内部控制和风险管理的角度,业务部门(一线)、辅助部门(合规部、法务部、风控部乃至财务部等)、内审部门(独立的确认部门)各司其职,充分体现了职责分工的理念,而国际内部审计师协会(IIA)在2013年推出的“三道防线模型”,在推进组织有效实施内部控制和风险管理方面发挥了重要作用。为更好地反映现代风险管理理论的进展以及公司治理领域的变革,IIA在2020年7月对原有模型进行了修订,充分突出内部审计在治理中的职责和作用,尤其是修订了治理层、管理层和内部审计各自应扮演的角色及应履行的职责,并从风险管理拓展到了组织的整体治理层面。事实上,发起组织委员会(COSO)在2017年对原有的风险管理框架进行了修订,将“治理和文化”作为新框架的第一要素,已经凸显了风险管理与治理、文化相融合的特征,并进一步将战略、绩效和风险整合起来,因此IIA对“三道防线模型”的修订,从某种程度上反映了理论和实务的新进展,尤其是对治理的强调,能够有力支撑价值保护和价值创造职能的发挥。风险本身具有正面、负面两个维度的特征,正面的“机会”与负面的“损失”都存在一定的概率分布,因此组织需要认识风险管理的“进攻”和“防御”双重属性,进而在抓住机会的同时避免损失。基于此,原有的模型突出“防”的特征,过于注重价值保护职能,这也是旧模型遭受批评的主要原因之一,因为过于保守尽管能够让我们“活下来”,但缺乏“进攻”则可能让组织丢失了發展壮大的机会。而新的“三线模型”则在一定程度上将治理层、管理层和内部审计的职责进行了重塑。一线、二线的职责由管理层负责履行,其目的是实现组织目标,其中一线职责是“多打粮食”,即向客户交付产品或劳务;二线职责是保证在合规基础上的“多打粮食”,即协助一线开展风险管理。内部审计仍然履行第三线职责,即针对治理和风险管理是否适当和有效发表独立意见,新模型开始强调各项职能之间的相互配合,把利益相关者的利益放在首位的基础上共同为组织创造价值。站在创造和保护价值的前提下,将组织目标和内审工作的目标协调起来。
二、工作内容的丰富
传统的内部审计工作内容更多聚焦于合规领域,强调内部控制的缺陷发现及整改,并适当关注经营、风险、治理等领域。审计署11号令则将内审机构所履行的职责进行了拓展,审计内容包括贯彻落实国家重大政策措施、财政财务收支、固定资产投资项目、自然资源资产管理和生态环境保护责任的履行、经济管理和效益,甚至包括发展规划及战略决策等,同时强调内部审计应该协助本单位主要负责人来督促落实审计发现问题的整改工作,这一修订一方面丰富了内部审计的工作内容,另一方面也对内部审计提出了更高要求。
从理论上看,内部审计是向客户(治理层如党组织和董事会,管理层如单位主要负责人)提供确认和咨询服务,因此,内部审计应该首先满足客户的需求,但实务中,内部审计的职能发挥似乎还与客户的需求存在一定的“期望差”。以IIA(2020)发布的职业现状调查结果为例,很多内部审计职能看起来并没有在风险管理中发挥积极的作用,在某些特定的风险领域如数据伦理、组织的可持续发展能力等方面,仍然是消极的“旁观者”,即在审计计划的安排与风险评估的结果、投资者感兴趣的领域等存在着资源错配的现象。
就实践而言,一方面,我国相关监管部门对内审的期望大部分集中在合规领域;另一方面,则在审计内容上结合国家政策及企业性质开始拓展和丰富。比如,国务院国资委2020年发布的《关于深化中央企业内部审计监督工作的实施意见》中,仍然将内审定位在“监督”角色,如在审计内容上强调经济责任的聚焦、关键环节及重点领域的监督、境外审计以保障境外国有资产的安全完整、内部控制体系审计的加强以突出有效性等,但与此同时对体现风险的“关键环节及重点领域”进行了原则性的指导,如突出内部审计在提质增效稳增长、突出主责主业、混合所有制改革、大额资金管控、对赌模式并购投资、高风险金融业务等领域的监督,因此,内部审计在安排审计计划时,应该考虑作为出资人的国资委的监管要求,显然,企业的重要利益相关者——代行出资人权利的国资委将在内部审计的工作内容方面扮演重要角色。
此外,内部审计人员还应该在“低头拉车”的同时保持“抬头望路”的精神,将治理层、管理层、投资者等利益相关者的期望或感兴趣的内容适当纳入审计“雷达”。根据IIA的调研,现有的审计计划安排可能错失了一些关键风险。比如2018—2020年间的调查问卷显示,网络和信息技术风险都是利益相关者优先考虑或感兴趣的领域,但内部审计人员仍然将大量资源配置在传统的、低风险领域,如运营、合规或监管要求、财务报告等领域。以美国为例,2017年由于网络黑客入侵,导致三大信用服务机构之一的Equifax公司信息泄露,但该组织的内部审计却并没有对其IT控制进行充分审计,体现出了审计计划的资源错配特点,更因为数据泄露带来的隐私保护引起了实务界对“审计期望差”的讨论。
因此,在现有的治理和风险管理理论都意识到独立内部审计职能重要性的背景下,相关政府监管机构以及行业协会也在制度上保证了内部审计的独立性,但内部审计工作似乎并没有真正为治理层、管理层提供恰当水平的确认和咨询服务。内审组织需要在“有为”的方向上体现更好的服务,在保护、创造价值方面体现出专业性,否则将会被抛弃。
一方面,合规是基础,内部审计计划中仍然应该将内部控制作为基本的计划内容之一,在日常经营活动、财政财务收支、业务合法合规方面投入资源;另一方面,应该充分考虑利益相关者的需求,将投资者、治理层和管理层重点关注的风险领域纳入审计计划中,强调战略风险领域的审计,包括网络安全审计、IT审计、资本投资项目审计等,甚至包括文化和治理、可持续发展能力、第三方关系的审计等。以网络安全审计为例,内部审计人员可能需要加强人际关系管理,与组织内外负责网络安全战略的人士保持接触,并与IT、信息安全和风险管理团队的人员进行协作,定期开展网络安全方面正式的风险评估,必要的时候还可以借助第三方的力量,针对网络安全战略及关键事项等方面找出差距,加以改进并根据资源情况对弥补措施进行优先排序等。此外,就数字化转型以及新技术领域而言,总审计师应该投入必要的资源,以更好地了解组织如何在一些新兴领域内更好地运用数据和技术,确保公司的风险评估中考虑了有关数据和技术应用方面的风险,以免公司丧失运用数据及新技术来提升组织实现战略目标的机会,并对新技术如何影响数据的收集、管理和保护等方面提供合理保证。总之,内部审计的工作内容既要体现出利益相关者的需求,又要体现风险导向和灵活性的特征,在风险管理和治理等方面发挥更多的领导作用。
三、人员素质要求的提升
现有的制度规范中,往往对人员素质提出一些原则性的要求,但考虑到环境变化及审计内容的丰富,对内审人员素质要求的提升就成为现实的挑战。
首先,单位在录用内审人员时,应该有更严格的标准和要求。根据IIA的调研,很多单位在招聘时,开始寻求不同背景的候选人,除了传统的财务、会计、金融背景之外,开始对IT相关的学位有更多的关注和需求,如要求候选人具有数据科学或信息系统、计算机方面的背景,并开始招聘那些具有运营或科技知识、有工程学或物理学学位的人才,因此内部审计人员的构成开始呈现多元化的特质。
其次,以风险为驱动来寻求内审人员的胜任能力。具体应包括:寻求外部第三方或专家的帮助,寻找专业的服务提供方开展合作,根据内部审计工作所要求的员工胜任能力灵活组建内审小组等,即只要认为某个审计项目“应该”纳入审计计划,就以所需要的员工能力要求为基准在更广阔的市场上寻求匹配的员工,体现资源的调配能力和战略导向思维。
最后,更加关注内审人员的后续教育。一些组织开始投入资源开展“面向未来”的培训和开发项目,以培养特定要求的员工。事实上很多单位在招聘有胜任能力的内审人员方面仍然存在困难。根据风险评估的结果以及对内审人员素质框架的要求,单位在安排内审项目时,可能需要内审人员既具备网络安全和隐私保护、数据挖掘和分析、战略思维和业务敏锐性方面的硬技能,也需具备很强的沟通技能,变革思维乃至分析性、批判性思维的软技能,但因为信息不对称、人才培养周期等原因,一方面这些人才难得,另一方面合格的人才要价很高,很难留任,再加上信息保密等,有必要自行培养具有特定要求的员工。比如,某单位提出了“全面打造数字审计能力”的培训项目,分阶段提出了数据分析能力的要求,要求2022年底具备数据分析能力的人员占比达到50%、2023年底具备中级数据分析能力的人员占比达到30%、2025年底具备高级数据分析能力的人员占比达到15%,并将SQL、SAS、Excel VBA、机器学习算法、风险模型开发、远程及联网审计等纳入具体的能力框架之中,但能否将这些数据分析能力与风险管理、治理、价值创造结合起来,还有待实践检验。“试玉要烧三日满,辨材须待七年期”,单位应该在内审人员的后續教育上有长期投资的准备。
四、结语
“有位”才能“有为”。内部审计应该在领导和管理体制机制方面逐步完善,以体现其独立性,并更有效地履行工作职责。无论是审计署还是国资委,诸多监管部门通过顶层设计的方式,开始协同一致地要求内部审计向党组织、董事会(或主要负责人)报告,并在内审章程的通过、内审资源的配置、内审计划的审批等方面提供便利,一些单位也开始试点设置总审计师来协助党组织、董事会(或主要负责人)管理内审工作。经济组织应根据监管部门的制度要求,修订完善所在单位的内审制度,在组织架构、领导和管理体制机制方面构建更有利于内审职能发挥的制度体系。相信在党组织、董事会的领导下,内部审计将在治理和风险管理等方面发挥更加积极的“监督、评价和建议”作用。
“有为”才能“有位”。内部审计应该充分考虑利益相关者的需求,站在创造和保护价值的基础上,加强与党组织、董事会、管理层、投资者、其他职能部门的沟通协调,并在审计计划中尽量体现风险导向,尤其是在面临网络安全、数据伦理、可持续发展、第三方关系等高风险领域投入更多资源,在帮助董事会、管理层更清晰地识别、应对风险方面扮演领导角色。审计部门的负责人应该拥抱灵活性,能够根据风险、资源来招聘并培养具有胜任能力的员工,以更好地履行监督、评价和建议职能。
在内部审计职能从“监督、评价”转向“建议、咨询”、审计计划从“供给”转向“需求”、审计理念从“管理”转向“治理”的过程中,审计人员应具有拥抱变革、挑战自身的胸怀,能够通过学习尽快掌握先进的技术,将业务洞察转化为创造价值的工具,并充分意识到“明天”的风险,据此来获得或开发新的技能以迎接挑战,更好地协助治理层、管理层在创造和保护价值等方面贡献力量。
(作者单位:上海国家会计学院,邮政编码:201702,电子邮箱:forym@snai.edu)
