2018年3月1日起,我国将正式执行新修订的《审计署关于内部审计工作的规定》(以下简称《规定》)。对比于中国内部审计协会所发布的内部审计准则,审计署所发布的《规定》更加具有强制性。这是与我国内部审计特殊的行政体制紧密相关。审计署对于内部审计工作的指导更有利于全社会发挥内部审计的作用,甚至有利于内部审计职业的完善。这也是我国依法治国,不断完善审计相关法律法规的重要体现。
亮点一:内部审计职责范围的拓展
内部审计的历史是一部审计职责演进的历史。内部审计的职责决定了内部审计定位,界定了内部审计的工作范围,也指出了特定的历史时期国家关于内部审计发挥何种功能的总体需求和内部审计工作的努力方向。2003版的《规定》将内部审计的职责范围限定在了“财政收支、财务收支、经济活动”范围。2018版的《规定》则拓展了这一范围,在原来的基础上增加了内部控制与风险管理。
内部控制与风险管理是内部审计的根基,审计日常工作的抓手。财政财务收支及经济活动会将内部审计的工作目标锁定在真实性、合法性上,其实效益性一直难以发挥。真实性、合法性审计目标的指向,会将内部审计定位于问题导向式的专项审计工作,并且往往侧重于外部监管政策与内部制度的执行。其实审计中发现的许多问题具有共性,每一个同质性的单位问题差不多,屡审屡犯自然难以杜绝所有问题。加之,审计资源有限,难以覆盖所有单位和部门,自然审计所到之处以监督查处为主,没覆盖的也就问题依旧。
内部控制与风险管理是一个完整的系统工程。无论企业、行政事业单位目前都在建设、完善和评价。做过内部控制的单位会发现,内部控制实质是一个流程化管理工具,它是将共性的问题通过流程化管理的模式固化下来,通过标准化、规范化的表单形式,明确部门、岗位职责权限,尤其是价值链条中各种不同角色的职责权限,并最终通过信息化固化流程,提升内部控制体系运行的效率。当然,风险为导向的内部控制建设与评价工作仅解决了组织内部的风险问题,还需要借助于风险管理体系建设识别、评估、应对那些外部可能存在的风险问题。这与当前一个组织所面临的不确定性越来越多有关,这种不确定性来自于外部(既有政府、也有竞争者、供应商、客户等外部利益相关者),需要我们运用风险的理念来系统解决问题。
这样,随着内部审计职责范围拓展到内部控制与风险管理,会将内部审计从一个点延伸到整个面,将短期目标与长远目标相结合,有利于促进被审计单位运用内部控制与风险管理体系建设系统解决财政财务收支、经济活动中存在的突出问题,避免屡审屡犯。同时,这种系统化的建设也为审计流程的切入提供了很多审计线索和痕迹。而最终内部控制与风险管理的信息化程度越高,内部审计随之的信息化程度就会越高,被审计因此构建的大数据运用的效果也会更加明显。
对于内部审计职责范围的拓展,国际内部审计师协会的《国际内部审计实务标准》早在2004年就将内部审计职责范围定位在了内部控制、风险管理、公司治理三个领域。当前这一职责范围的拓展是与我国追求高质量的发展与经济增长有很大关系的。也就是说,内部控制与风险管理职责范围的关注,有利于系统的解决问题之外,更有利于解决长远目标实现的问题。
亮点二:明确了新时代下内部审计的工作方向
我国内部审计设立的历史从一开始就不同于西方国家的特殊背景。我国的内部审计机构是作为国家审计职能的延伸设置在组织内部的,从开始它就具有浓厚的行政色彩,需要接受审计机关的指导、监督和管理。因此《规定》所指出的内部审计具体工作方向不可能撇开我国国有经济占主导地位这一特殊背景。但一直以来,国家审计与内部审计在一定程度上针对国有经济部分存在界限的模糊性和重复审计的问题。这使得许多国有单位认为内部审计无须设置,甚至弱化内部审计职能的问题,仅重视和强调一些财务审计、领导干部任期经济责任审计、基建工程审计工作,市场化程度高一些的企业主张内部审计的增值功能。
2018版的《规定》一方面指出了区别于2003版的内部审计工作重点,也指出了新时代下国有经济规范发展、防范风险和提质增效应该履行的具体职责。例如,增加了贯彻落实国家重大政策措施情况审计,发展规划、战略决策、重大措施以及年度业务计划执行情况审计,自然资源资产管理和生态环境保护责任的履行情况审计,境外审计、内部控制风险管理情况审计等,这些都是当前社会针对国有经济关注的焦点,也是国家审计关注的重点。但事实上国家审计的资源也是有限的,需要利用内部审计的工作结果。因此,《规定》的第二十二条指出,审计机关在审计中,特别是在国家机关、事业单位和国有企业三级以下单位审计中,应当有效利用内部审计力量和成果。对内部审计发现且已经纠正的问题不再在审计报告中反映。这就避免了国家审计与内部审计资源交叉的浪费和重复审计的问题。当然,内部审计被赋予的历史使命责任更大了,对内部审计人员能力的要求也就更高了。
亮点三:内部审计职能由监督评价向服务建议转变
内部审计职能是指内部审计本身所固有的内在功能,并可以反映出内部审计的本质。2003版的《规定》将内部审计的职能限定在了监督与评价。2018版的《规定》则增加了建议功能。这反映出内部审计的本质不仅是监督与评价,更重要的是从服务的角度提供建议。而这种建议往往落脚点是在内部控制与风险管理体系的完善上。这与内部审计的职业特征有关。因为,内部控制与风险管理是内部审计职业的法宝,也是最擅长的专业技能。这一点,也与《国际内部审计实务标准》的咨询服务不谋而合。当然,需要提醒的是,居于一个组织内部的审计组织,不能因此帮助管理者去落实建议的实施,这会损害内部审计独立性。
亮点四:增加了内部审计促进被审计单位完善治理的目标
一直以来,我们就强调,内部审计是公司治理的基石,企业风险管理的第三道防线。内部审计作为公司治理监督制衡机制的重要组成部分,其作用不可缺少。长期以来,我们强调内部审计增值目标的实现,忽视内部审计在一个单位组织架构中的权力制衡功能。将内部审计作用的发挥落在了具体业务流程层面上,忽视在单位层面治理结构中它所发挥的作用。这会造成内部审计作用范围的局限性与权威性的缺失。内部审计在内部控制与风险管理领域的作用发挥,有利于支撑内部审计推动治理体系的完善。
亮点五:国有企业应该建立总审计师制度
《决定》第二章第六条规定:国有企业应当按照有关规定建立总审计师制度,总审计师协助党组织、董事会(或者主要负责人)管理内部审计工作。同时明确下属单位、分支机构较多或者实行系统垂直管理的单位的内部审计机构对全系统内部审计工作负有指导和监督职责。
早在2014年审计署下发《内部审计工作规定(征求意见稿)中,向社会公开征求意见时就规定,大型国有和国有资本占控股地位或者主导地位的企业,或者有关规定对设立总审计师有明确要求的企业,应设置总审计师,对内部审计的整体质量负责。并明确总审计师应作为企业的高级管理人员,协助高级管理层主要负责人分管企业内部审计工作,向董事会和高级管理层主要负责人负责并报告工作。一段时间,该规定引发社会的热议。然而一直以来,此事并非易事。直至2018年《规定》的出台,该制度终于得到落实。事实上该问题的讨论由来已久,从1984年中央有关文件设置“一长三总”以来,许多实务的专家学者就曾建议,设置总审计师制度,使其职级与总会计师平行,并进入领导班子。
长期以来,由于总审计师制度在国家的政策层面上,尤其是国有企业内部审计机构设置上没有得到率先垂范,造成现实中内部审计机构的设置层次一般较低,从地位上不如总会计师。因此,内部审计机构从地位上低于其他部门,造成权威性不足和级别不对称,增加了审计的难度,审计实务中也显得力不从心。由于缺少设置总审计师的政策依据,审计机构负责人不能进入领导班子,造成审计无法参与企业管理层重大决策的研究和决定。审计往往都是事后进行审计,实质是亡羊补牢为时晚矣。审计无法发挥事前监督和事中的介入,自然也就无法参与、渗透、深入到企业生产、经营的全过程之中,影响审计的广度和深度。
现实中,由于总审计师设置上的问题,内部审计的现场总会遇到许多需要协调的关系问题,需要总经理出面协调,其结果往往各打五十大板,无形之中降低了审计的效率和效果性,造成审计的难度加大,审计覆盖面不足。而总审计师协助党委或者董事会负责管理内部审计工作有利于提升内部审计工作的地位和权威性。