吳德

國有企業(yè)內(nèi)部審計普遍存在獨立性不強、組織建設(shè)不完善、審計隊伍素質(zhì)欠缺、審計理念較落后、質(zhì)量控制標準缺乏以及手段方法單一等問題。但在當前深化國有企業(yè)改革的過程中，各方對國有企業(yè)內(nèi)部審計提出了更多的期待和更高的要求。能力和期望之間的矛盾，促使各單位內(nèi)部審計人員加緊思考并探索，在推選國有企業(yè)建立現(xiàn)代企業(yè)制度的過程中，如何尋找到內(nèi)部審計轉(zhuǎn)型之路，并且建立起確認和咨詢雙功能屬性。

內(nèi)部審計 風險管理

內(nèi)部控制 公司治理

引言

1941年，國際內(nèi)部審計師協(xié)會（IIA）在美國設(shè)立，代表了全球內(nèi)部審計在各類組織中的職業(yè)化、科學化和規(guī)范化。70余年來，全球經(jīng)濟發(fā)展及社會經(jīng)濟結(jié)構(gòu)發(fā)生了深刻的變化，不斷變化的商業(yè)環(huán)境對內(nèi)部審計提出了不斷更新職能的需求，內(nèi)部審計職能的不斷變化客觀反映了實務界對內(nèi)部審計能夠發(fā)揮作用的期待在不斷變化。

目前國有企業(yè)內(nèi)部審計面臨著嚴峻的挑戰(zhàn)。一方面，隨著中央和國務院推動深化改革以來，對國有企業(yè)的運行質(zhì)量和效果提出了更高的期待和更為嚴密的監(jiān)督體系，并且加大了對國有企業(yè)投資經(jīng)營違規(guī)責任的追究。這種變化對國有企業(yè)內(nèi)部審計工作的提出非常高的要求；而另一方面，國有企業(yè)內(nèi)部審計受制于獨立性、規(guī)范性、能力、工具方法及認識等方面不足，無法滿足內(nèi)外部對內(nèi)部審計提出的要求。這種要求和能力之間的矛盾，加速了國有企業(yè)推動內(nèi)部審計職能的改變，不斷地促使內(nèi)部審計組織、功能、標準、信息體系等各方面的轉(zhuǎn)型。

國有企業(yè)內(nèi)部審計轉(zhuǎn)型方向研究

內(nèi)部審計轉(zhuǎn)型是一個涉及到功能定位、機構(gòu)運作、方法工具、業(yè)務對象等多方面的問題，其中的核心是內(nèi)部審計轉(zhuǎn)型后究竟要做什么。IIA認為符合國際最佳實踐的內(nèi)部審計的核心工作內(nèi)容要評價和改善企業(yè)風險管理、控制和治理過程的有效性。

（1）理解內(nèi)部審計與風險管理、控制與治理的關(guān)系

1.風險管理與控制三道防線理論

IIA在《立場公告：有效風險管理與控制的三道防線》中，定義了風險管理與控制在組織內(nèi)部架構(gòu)設(shè)置的最佳實踐標準，風險管理與控制的三道防線內(nèi)嵌于公司治理結(jié)構(gòu)中，主要集中在董事會、監(jiān)事會、管理層這三個重要的公司治理機構(gòu)相關(guān)職責中。

第一道防線的定位是風險承擔和管理職能。第二道防線的定位是風險督導職能。第三道防線的定位是獨立確認職能。從三道防線角度出發(fā)，內(nèi)部審計構(gòu)成了企業(yè)風險管理與內(nèi)部控制的重要組成部分，一般是企業(yè)風險管理與內(nèi)部控制的監(jiān)督確認的第三道防線。

2.內(nèi)部審計在三道防線中的履職邊界

根據(jù)企業(yè)規(guī)模及環(huán)境不同，部分企業(yè)會針對第二道、第三道防線某些職能進行合并。內(nèi)部審計除了承擔獨立確認職能，還會承擔部分第二道防線的功能。IIA在《立場公告：內(nèi)部審計在企業(yè)全面風險管理中的作用》中，認為內(nèi)部審計在發(fā)揮評價、提升風險管理、控制和治理過程的效果時，確認工作是關(guān)鍵和基礎(chǔ)，有條件的情況下可以通過咨詢介入部分二道防線的職能，而不管在什么情況下，都不應該介入到第一道防線的工作。

（2）內(nèi)部審計在風險管理、控制與治理中職責

為了便于理解，我們以IIA的公告為基礎(chǔ)，進一步解讀和分析內(nèi)部審計在風險管理、控制與治理相關(guān)工作，應該履行的相關(guān)職責以及不應該履行的職責。

1.核心確認類職責

內(nèi)部審計在組織中發(fā)揮新的職責的同時，不能脫離其最基本的功能：獨立的確認。但是其工作的內(nèi)容和重點應該要圍繞著風險管理、控制與治理的過程提供基本確認功能。具體包括：為風險管理過程提供確認、為風險評估的準確性提供確認、評價風險管理過程、評價對主要風險的報告、檢查主要風險的管理等五項職責。

2.拓展咨詢類職責

內(nèi)部審計開展拓展咨詢類職責相關(guān)的具體工作任務包括推動風險的識別和評估；指導管理層如何應對風險；協(xié)調(diào)企業(yè)全面風險管理工作；合并風險管理報告；維護和發(fā)展風險管理框架；指導企業(yè)風險管理的建立；制定風險管理戰(zhàn)略提交董事會審批等七項職責。這7項職責一般認為是二道防線中“專門的風險管理機構(gòu)”應當履行的職責。

3.禁止開展類職責

不論在何種條件或情況下，內(nèi)部審計部門都不應當履行的第一道防線相關(guān)的職責，具體工作包括：確定風險偏好、強制實施風險管理過程、管理層對風險的確認、決定風險應對、以管理層的名義實施風險應對、問責風險管理等。

國有企業(yè)內(nèi)部審計轉(zhuǎn)型關(guān)鍵舉措

在搞清楚傳統(tǒng)內(nèi)部審計向“評價和改善風險管理、控制和治理過程的有效性”的轉(zhuǎn)型過程中，內(nèi)部審計應該做什么、不應該做什么后，需要進一步研究的問題是如何基于我們現(xiàn)有的能力現(xiàn)狀，實現(xiàn)轉(zhuǎn)型目標？從下面六個方面進行分析。

（1）功能定位

轉(zhuǎn)型后內(nèi)部審計的功能定位，不僅僅是查錯糾弊，即通過對已經(jīng)發(fā)生的事實或結(jié)果相關(guān)的證據(jù)的收集、驗證，對事實及相關(guān)結(jié)果的真實性，以及與之相關(guān)的偏差、問題等發(fā)表客觀的審計意見。更要針對未發(fā)生的不確定性進行識別、評估，并且協(xié)調(diào)或支持風險防控計劃執(zhí)行、控制措施的調(diào)整和優(yōu)化及針對重大事件的應急等。

（2）組織機構(gòu)

通常內(nèi)部審計機構(gòu)的設(shè)置需要根據(jù)IIA最佳實踐指導，設(shè)立專門的、獨立的部門。同時在職責權(quán)限文件中明確內(nèi)部審計部門和董事會、審計委員會、監(jiān)事會、總經(jīng)理或總經(jīng)理辦公會、黨委會、黨政聯(lián)席會等相關(guān)治理機構(gòu)之間的關(guān)系。

（3）管理機制

內(nèi)部審計管理機制包括計劃管理、項目管理、技術(shù)管理、問題管理、信息管理、組織管理、人員管理等一系列重要事項相關(guān)的職責、制度、操作指引及信息系統(tǒng)等。其中計劃管理是內(nèi)部審計最重要的關(guān)鍵舉措之一；項目管理是內(nèi)部審計部門的非常重要的工作方式。

（4）業(yè)務拓展

內(nèi)部審計的業(yè)務拓展領(lǐng)域分為兩個層面：確認業(yè)務和咨詢業(yè)務。部分單位為了強化價值創(chuàng)造功能，推動業(yè)務拓展，建立起以審計中心為依托的委托服務制。在能力充分的情況下，還可以評估接受外部委托，逐步實現(xiàn)從審計中心向?qū)I(yè)公司的轉(zhuǎn)型。

（5）工具方法

內(nèi)部審計的工具方法是指在相對統(tǒng)一的作業(yè)方法論指導下，開發(fā)出來用以規(guī)范審計與咨詢項目，提高作業(yè)效率和效果的工具、方法。這些工具方法可能包括：各類審計業(yè)務的作業(yè)指引、工作底稿、作業(yè)模板和質(zhì)量標準、各類咨詢業(yè)務的作業(yè)指引、標準框架、作業(yè)模板和質(zhì)量標準等。

（6）人員能力

當內(nèi)部審計從傳統(tǒng)的定位過渡到新的定位下，對人員能力要求是最大的挑戰(zhàn)之一。咨詢與確認業(yè)務對分析和解決問題思維結(jié)構(gòu)有比較大的差異。如何推動內(nèi)部審計隊伍人員能力建設(shè)，應從勝任能力模型建設(shè)和應用、人員規(guī)劃和引進、能力評估和培訓、知識共享與吸收等方面人手。

結(jié)論

國有企業(yè)內(nèi)部審計的現(xiàn)狀距離IIA定義的最佳實踐尚存在一定的差距，所以必須加快內(nèi)部審計的轉(zhuǎn)型，讓內(nèi)部審計從原來的工作內(nèi)容轉(zhuǎn)向企業(yè)風險管理、控制及治理，進一步促進和完善國有企業(yè)風險管理、內(nèi)部控制和公司治理能力，增強國有經(jīng)濟活力、控制力、影響力和抗風險能力。

[1]IIA立場公告：《有效風險管理與控制的三道防線》、《內(nèi)部審計在企業(yè)全面風險管理中的作用》；

[2]中國內(nèi)部審計協(xié)會，《中國內(nèi)部審計準則》、《內(nèi)部審計實務標準》；

[3]上海國家會計學院主編，《內(nèi)部控制與內(nèi)部審計》；

[4]鮑國明、劉力云主編，《現(xiàn)代內(nèi)部審計》。