叶陈刚 刘怡然 张健/对外经济贸易大学

现阶段，审计工作面临“有限的审计资源与日益增加的审计项目”“低效的审计方式与不断加重的审计任务”等矛盾。2019年4月，国家审计署提出“两统筹”概念，即做好审计项目、审计组织方式统筹，从而更好、更有效地发挥审计的监督作用。虽然“两统筹”概念是针对审计机关开展政府审计所提出的工作要求，但因其具有广泛的适用性，“两统筹”在企业内部审计领域仍具有应用价值。如何长效地做好审计项目和审计组织方式“两统筹”，是各企业当前和今后所必须面对的课题。

一、内部审计“两统筹”

所谓“两统筹”是要做好审计项目、审计组织方式统筹［1］。在审计项目统筹方面，是立足审计项目层面，评估不同项目的审计风险，做好科学的审计项目安排，统筹协调内部审计证据共享，加强项目与项目之间的衔接，从而减少审计流程重复，审计资源浪费，节约企业内部审计成本［2］。通过合理调配审计人员和审计费用，努力做到审计项目全覆盖，审计风险全覆盖。在组织方式统筹方面，是立足审计工作的组织方法层面，审计现场办公与非现场办公相结合，优化企业审计管理模式，创新企业内部审计工具。与传统线下组织模式相比，企业内部搭建数字审计平台，将降低内部审计证据获取成本，方便内部审计成员间信息共享，充分结合现场审计与非现场审计，高效完成审计工作［3］。

二、企业内部审计“两统筹”长效机制的构建方法

（一）内部审计“项目统筹”

构建内部审计项目“统筹”长效机制需要从管控模式、项目融合和风险评估三个路径予以全面、持续地推动。

1.“管控模式”推动

“管控模式”是指集团对下属企业基于集分权程度不同而形成的管控策略。对于内部审计来讲，由于大部分企业内部审计是作为一个独立部门运作，所以“内部审计管控模式”即为内部审计总部对下属内部审计区域中心、分部、二级部等机构基于集分权程度不同而形成的管控策略［4］。

以保险行业为例，当前我国保险公司绝大多数将自身定位为全国性保险公司，即发展目标和市场方向是全国性的，而不是区域性的。这就导致保险公司在全国拥有众多分支机构，而众多分支机构都会下设内部审计部门，因此要从审计项目的管控模式出发，统筹协调企业全国性、区域性内部审计项目。

2.项目融合推动

项目融合是在制定年度审计计划时，充分考虑各类项目（常规审计项目、任中经济责任审计项目、离任经济责任审计项目和专项审计项目等）的审计时间、审计范围和审计人力，在全覆盖的基础上合理地分配审计资源［5］。

企业内部审计项目的完成情况是考核内部审计工作“量”的指标。在任务指标上，体现为内审项目覆盖率，即公司内部审计当年完成的项目数与公司全部机构数量之比。项目融合的意义在于提高审计效率，提高内审项目覆盖率。内审部门基于绩效考虑，需要积极推动项目融合的实现，从而构建项目统筹的长效机制。

3.风险评估推动

开展审计工作需要风险评估，而制定审计项目计划仍需要风险评估以保证审计资源的合理分配［6］。对于集团化、多元化企业，被审单位在经营管理过程中所面临的风险各不相同，例如，被审单位是否受到政府监管部门的专项检查，是否被检查发现重大风险；被审单位是否发生过重大案件并遭受损失；被审单位以前年度经营业绩在全部分支机构中的排名情况。以上情况均需内审部门在制定审计项目计划时充分考虑，合理确定被审单位风险等级，以“风险导向”统筹规划内审项目，从而推动风险评估这一长效机制的构建。

（二）内部审计“组织方式统筹”

构建内部审计组织方式“统筹”长效机制需要构建审计线上平台或系统，研发和应用信息化审计工具，搭建现场审计与非现场审计相结合的内审组织方式。

1.构建审计平台

内部审计线上平台的构建是实现现场审计与非现场审计相结合的内审组织方式的基础。审计平台的构建是审计工作由线下转到线上的第一步，也是绝大多数企业当前开展审计信息化建设的主要工作。由于审计信息化建设是政府审计、内部审计、社会审计均在积极推进的重要工作，所以构建审计平台这一工作从企业积极推动的层面是易于实现的，也是各企业内审部门创新组织方式、积极推进非现场审计工作的主要路径［7］。

2.研发审计工具

研发审计工具，特别是研发和应用智能化审计工具，是内审组织方式“统筹”的重点与难点，需要内审团队从明确审计需求、研发审计工具和应用审计工具等多方面持续推进。一些企业基于成本效益原则，认为智能化审计工作的研发成本超过审计收益，从而在推动研发审计工具这一路径上停滞不前。从短期看，研发智能审计工具成本支出大，短时间无法使审计效率和质量大幅提升。但从长期看，长效地推动智能审计工具的研发，将从实质上推动内审组织方式的转变，实现非现场审计为主、现场审计为辅的高效和高质量的内审组织方式创新。

三、S 公司内部审计“两统筹”存在的问题

（一）S公司简介

S保险公司成立于2005年，是全国性大型保险集团公司，是中国目前仅有的十二家保险集团公司之一，也是中国保险业的典型代表。旗下拥有S财产保险公司、S人寿保险公司等多家专业子公司。S产险多年稳居中国产险公司排名（按营业收入排名）前十，S 人寿多年位列中国寿险公司排名（按营业收入排名）前二十。在组织类型上，S 公司属于集团化、多元化、严监管企业，因此适用于“两统筹”的审计理念。

2010 年前，S保险公司的内部审计工作由S产险、S 人寿等子公司独立开展。2010 年，S 保险公司成立审计部门，负责内部审计工作。成立至今，S 保险公司审计部逐步搭建起“集团管控、独立客观、集中管理、下查一级”的审计管理体系。部门通过不断完善架构体系、规范项目管理流程、强化审计团队建设，不断深入推进审计科技创新工作，努力提高审计效率和效果，为S保险公司持续、健康、稳定发展发挥了重要的保障作用。

（二）S 公司内部审计“项目统筹”存在的问题

1.内审权限未集中统一

在2005 年至2010 年期间，S 保险公司未实现内部审计管理权限的集中统一，S产险和S人寿由各自的内部审计部门承担内部审计工作。集团对内审工作没有统一控制，不便于集团总部和区域化中心式的总分管理，不便于统筹集团内的审计人力资源，更重要的是，分部进行自我内部审计无法体现内部审计工作的独立性。

2.各类项目未合并统筹

2010年集团审计部刚刚成立，S保险公司的常规审计项目、任中审计项目、离任审计项目和专项审计项目没有按照“合并”的思路进行统筹，在年初编制全年审计项目计划时，未考虑各类项目“合并”开展的可能性，导致重复性进入被审单位开展现场工作的情况时有发生。重复性进入审计现场，既浪费审计人力资源和审计成本，也对被审单位日常经营造成一定影响。

3.项目风险未有效分类

S 保险公司下属几百家分支机构，各分支机构存在的问题和风险不同，有的分支机构经营管理良好，有的分支机构业绩较差。如果分配同样的人力资源、审计成本和时间成本去完成对各分支机构的审计，内审工作显然是低效的。2010 年集团审计部刚成立时，部门在制定年度审计计划时未充分考虑各分支机构的风险等级，既没有形成一套量化的评估体系，也没有从定性角度评估各分支机构的风险。导致内审项目资料的浪费，未能有效统筹。

（三）S 公司内部审计“组织方式统筹”存在的问题

传统的内部审计组织方式，是项目现场负责人带领内部审计项目团队，进驻被审单位办公地点，通过各种审计程序实地获取审计证据并得出审计结论，出具内部审计报告的过程。S 保险公司最初采用的是传统内部审计组织方式，主要存在以下三点问题。

1.线下组织，规范性差

S 保险公司审计部成立之初，没有内审信息化系统，审计组织方式为线下审计，仅通过办公软件实现审计证据、底稿、报告等资料的电子化。内审平台是内部审计线上化、非现场化的载体和基础。由于没有内审平台，部门开展内审项目所执行的程序、所编制的底稿均无法实现部门内的统一性和规范性，这将导致资料格式混乱、查找困难，不利于审计信息在S保险公司内部传递使用。

2.现场为主，精确性低

集团审计部成立初期，由于无法实现业务数据的自动化、智能化分析，全部内审项目以现场审计工作为主，几乎没有非现场审计工作。这种仅依靠现场收集资料，再开展审计的方式，无法实现审前聚焦被审单位风险点，无法确定审计重点，导致现场审计过程中，各业务流程全面铺开审计，既浪费有限的审计人力资源，也浪费宝贵的现场审计时间。

3.缺少工具，效率低下

S保险公司在2010年审计业务量还较少，审计电子化工具是Excel 等办公基础软件。随着保险行业的发展，S 保险公司业务数据呈爆发式增长，仅靠抽样的方法越来越无法把控审计风险。缺少高效的智能化数据分析系统，使得内审效率低下，内审质量也无法满足集团对部门的要求和期望。

四、S 公司内部审计的“两统筹”长效机制的构建方法

（一）“统筹”内部审计项目

1.统一内部审计权限

企业集团一般在集团公司和子公司均设立内部审计机构。在2005 年至2010 年期间，S 保险公司的S 产险和S 人寿有各自的内部审计部门承担内部审计工作。2010年，S保险公司对内部审计组织架构进行了大幅度统筹整合，撤销S 产险、S 人寿等子公司内部审计部门，子公司内部审计部门上收至集团，成立集团内部审计部门，统一管理内部审计队伍、组织开展各类内部审计工作。子公司内部审计部门统一上收至集团的原因主要是：便于集团总部和区域化中心式管理，便于统筹内部审计人力资源，更体现内部审计工作的独立性。

2.协调内部审计项目

内部审计项目根据项目类型大致可分为常规审计项目、任中审计项目、离任审计项目和专项审计项目。不同类型内部审计项目侧重点不同、关注风险点不同。内部审计部门要按项目类型统筹规划好全部项目。具体统筹方法如下。

（1）常规审计统筹

常规审计是S保险公司审计部内部审计项目最重要的组成部分，数量最多，重要性最强。S保险公司审计部对产险、寿险子公司的二级机构一直维持100%全覆盖，对三级机构维持在60%的覆盖率。统筹方法是将全部二级机构内部审计任务划分至四大区域审计中心。对于三级机构，按照本文“针对风险统筹项目”部分所述，筛选出当年计划开展的三级机构项目，并使三级机构常规审计覆盖率达到60%。

（2）任中审计统筹

任中审计是按照规定的间隔期限，对在任董事和高级管理人员，进行经营管理活动阶段性检查的审计项目。对于任中审计，集团审计部区分保险业务与非保险业务，对两种审计项目进行统筹，减少交叉审计。将任中审计与常规审计统筹，减少重复审计。

（3）离任审计统筹

离任审计的发起是由保险或非保险子公司的人力资源部，将《离任审计通知单》发送至集团审计部审计管理处。审计管理处收到《离任审计通知单》后，首先按保险与非保险原则统筹分配离任审计工作，之后，审计管理处将常规审计与离任审计统筹，即视该高管所在机构当年是否已开展常规审计而决定离任审计是单独立项还是合并立项。对于离任审计的统筹，集团审计部采用同任中审计一样的统筹方式，即按保险与非保险统筹和离任审计与常规审计统筹。

（4）专项审计统筹

专项审计是针对业务特别有风险、重大案件、监管检查、信访举报等所开展的专项内部审计项目。专项审计一般不与上述三类审计进行统筹合并开展，但专项审计过程中发现的风险隐患、重大问题等可以作为重要的风险线索和依据，有助于项目风险维度的统筹工作。

3.统筹管理风险项目

根据内部考核规定，S 保险公司的二级机构需要常规审计100%覆盖，三级机构60%覆盖。由于二级机构、三级机构众多，因此内部审计部门要针对审计项目风险进行评估分类，统筹协调审计资源。具体步骤如下。

首先，评估审计风险。以二级机构为评估对象（包括二级机构辖内的三级机构），对二级机构历次发现的“红黄蓝”各类审计问题进行统计分析，计算各二级机构各类问题的平均值，作为基准值。审计问题风险分类见表1。

表1 S公司内部审计风险分类

其次，分配审计资源。针对“深红类”“浅红类”“黄类”问题二级机构进行重点关注，分派更多审计人员和审计时间；对“蓝类”以及无问题二级机构减少关注；对无问题三级机构采用抽查形式进行审计。

（二）“统筹”内部组织方式

1.调整组织结构

2010年后，S保险公司针对审计组织结构进行了如下调整。

（1）集团审计总部组织结构

S 保险公司审计部本部下设六个处室和一个非保险审计部（二级部）。本部处室分别为综合处（负责部门行政、财务、人事管理）、监察室（负责重大案件调查和追责）、审计管理处（负责审计制度、项目、程序和质检管理）、IT 审计处（负责内审平台建设和内审智能化创新）、理赔监察处（负责理赔专项审计）、普惠金融审计处（负责普惠金融板块审计）。非保险审计部下设三个处室，即金融审计处、不动产审计处和医疗健康审计处，分别负责对应的金融投资、不动产投资和医疗养老投资板块的审计。

（2）区域中心和分部组织结构

集团审计部下设东西南北四个区域审计中心（二级部），四个区域中心在中心本部分别设立产险审计处和寿险审计处，并分别在辖区内省会城市建立共计21个地区审计分部。

区域审计中心下辖的产险审计处和寿险审计处负责协调组织和参与本区产、寿险各类审计项目，下辖地区审计分部负责辖区内三级、四级机构常规审计、高管任中和离任审计、专项审计、完成当地监管机构要求开展的各项工作并根据安排完成本区其他项目。

2.构建审计科技信息平台

“审计科技平台”于2011年底上线，是S保险公司审计部成立后研发上线的第一个平台，其在项目管理、过程管理、信息管理、质量控制、处罚申诉管理等方面逐步渗入了系统化管理的工具和手段，将全部项目过程管理、程序规范化编制、底稿录入、审计资料归集、审计质量控制复核、人员处罚管理线上平台化、规范化，“审计科技平台”虽然严格意义上还未实现大数据审计，但它构建了初始化的审计平台，完成了从电子化审计到审计平台的过渡。

2016年，审计数据集市项目上线。审计数据集市是基于传统审计经验与大数据技术相结合的方式，统一加工目标数据，集中处理数据需求，并建设数据展现层，提供不同维度定义展现、数据挖掘分析、个性化定制等功能模块，实现从抽样审计到全样审计、手工化到自动化、分散性到聚合化、现场审计为主到非现场审计为主的转变。

“审计智能平台”于2017 年正式启动，将数据分析及数据挖掘有效融入审计工作，实现“审计科技平台”、数据采集与监测、审计数据集市等功能的全面融合与升级，建立一套涵盖审计项目全流程、审计分析智能关联、审计工具交叉勾稽、程序关联分析、理赔监察功能在内的全面智能化管理平台。“审计智能平台”分为6大核心功能模块，包括：人工智能中心、审计项目中心、举报监察中心、数据资源中心、智能分析中心和综合服务中心。

2018年审计部进一步引入大数据、知识图谱等技术，以车险团伙欺诈为切入点，研发了“智能应用1号——智能关系网络分析平台”（以下简称“智能应用1号”），重点解决当前最需要突破的虚假理赔重大风险点。“智能应用1 号”包括案件智能推送、案件智能分析、关系网络侦测、风险地图展示等功能，其核心是智能关系网络核心模型，该模型采用“算法+规则”方式构建。

“智能应用2号——OCR发票智能稽查系统”（以下简称“智能应用2 号”）于2020 年初上线，通过对报销发票进行OCR 图像识别，应用智能算法，实现风险聚焦和成本节约，填补费用风控领域的技术空白。“智能应用2 号”包括发票识别、风险模型、多维挖掘三个模块。发票识别模块已支持增值税专用发票、普通发票、电子发票和火车票的OCR 识别，审计人员只需将发票图片上传到“智能应用2 号”，即能从被审单位全部报销中立即定位到具体的报销单。风险模型包括费用模型和发票模型，费用模型已根据历年来的审计经验，定义了锁定风险的规则，如年末集中5千元以上的报销等；发票模型同样根据审计检查经验，设置若干检查规则，如节假日报销交通费等。多维挖掘模块包含46 个维度，可以极大提升费用风险靶向数据定位的精准度。

五、S 公司内部审计的“两统筹”长效机制的实施效果

（一）权限集中，安排审计工作

图1 S公司智能审计发展

内部审计项目统筹的关键是如何通过合理地调配审计资源（包括人力资源、费用、时间等）开展各类审计项目，并将审计风险降低到可接受的范围内。随着企业的发展，审计项目必然越来越多，企业面临的风险必然会越来越复杂，审计需求持续加大，但审计资源是有限的，优秀的审计人力资源是稀缺的。为满足企业的内审需求，内审部门在审计供给方面就需要做出合理规划、调配和统筹，使审计供给可以长效地满足持续加大的内审需求。

在S 保险公司审计部成立之前，内审项目管理是分散的，由S保险公司下属产险、寿险子公司分别组织实施内审项目，且对各类项目间缺少合并统筹，对各被审单位缺少风险评估。鉴于以上诸多问题，S 保险公司审计部将内审项目“统筹”长效机制的目标确定为：通过集团内审部门统一管控审计资源，在制定年度审计计划时，合理合并各类审计项目，并在对被审单位开展风险评估基础上合理调配审计资源，以完成审计覆盖率指标并实现对集团整体的风险防控。

（二）平台智能，识别审计风险

虚假理赔案件具有团伙作案不易发觉、涉案金额大、涉案范围广、案件历时久等特点，是保险公司经营上的重要风险点，是保险公司内部审计部门历来重点严厉打击的对象。“智能应用1号”开启了审计科技人工智能技术应用的新模式，通过对车险理赔案件进行全面透视分析，多维度、全方面绘制车险案件人员图谱关系网络，通过风险模型筛查，可有效发现车险欺诈团伙，大幅增加车险理赔打假追回金额，减少车险理赔风险，为公司挽回理赔损失。对公司内外部保险欺诈人员持续保持高压监控态势起到强大的震慑作用。

除了理赔款支出外，费用支出是保险公司日常经营成本中的另一重要组成部分，而套取费用也是保险公司内部审计部门重点关注的打击对象。“智能应用2 号”对套取费用的风险加大打击力度，已对2016 年至今的700 万条费控报销单、2300 万张各类影像、450 万张目标发票进行追溯处理及识别分析，向89 个稽核项目提供了费用智能分析报告，基本达到预定的效果。目前，“智能应用2号”已包含25个风险模型，能够实现46个维度的数据挖掘，可以极大提升费用风险靶向数据定位的精准度。

（三）组织精简，提高审计效率

内部审计组织方式统筹的关键是，如何使非现场审计发挥其最大作用，从而提高内部审计质量和效率。现场审计与非现场审计相结合的内部审计组织方式是绝大多数企业内审部门实务应用的主流，即在项目现场负责人带领内部审计项目团队进驻被审单位办公地点之前，通过调取、分析被审单位业务、财务等数据，锁定被审单位经营过程中的风险点，获取非现场审计证据并得出初步结论，在现场审计时根据非现场审计分析的风险点和线索，有针对性地开展现场审计。

在S 保险公司审计部成立初期，内审组织方式仍是传统的以现场审计为主的组织方式。面对规范性、精确性、效率性等方面存在的弊端，S 保险公司审计部将内审组织方式“统筹”长效机制的目标确定为：从以现场审计为主过渡到现场审计与非现场审计相结合，并逐步增加非现场审计比重，最终转型为以非现场审计为主、现场审计为辅的内审组织方式。