审计署在2018年修订发布的《审计署关于内部审计工作的规定》(以下简称审计署11号令)中,将内部审计定义进行了修订,尤其是将内部审计的职能进行了拓展,即在以前强调“监督、评价”的基础上,开始与国际接轨,适当突出“建议、咨询”的价值,体现在定义中增加了“建议”这项职能,并强调问题的整改落实,尤其是明确审计机关对内部审计机构发现且已经纠正的问题,可以不再在政府审计报告中予以反映,凸显了容错理念及内部审计的建设性功能。 伴随着内部审计职能从“监督、评价”拓展至“建议、咨询”的发展过程,内部审计的工作内容以及内审人员的素质能力要求,也理应有新的改变,真正将内审的“价值增值”效果体现在日常的审计工作之中。 一、思维方式的转变 内部审计的职能定位在不同组织中可能有不同表述,从“经济警察”到“保健医生”“律师”“教练”“御史”等不一而足。显然,这些定位可能不会在内部审计章程或制度中予以书面表述,但在描述内部审计的职责权限及审计内容时会真实体现出来。尽管国际内部审计师协会(IIA)和中国内部审计协会(CIIA)及审计署对内部审计的定义略有差异,但从审计对象上看,基本都保留了对“风险管理”的审计内容。作为治理现代化的标志之一,内部审计通常被看作是现代治理机制的支柱,其职能的发挥途径之一,就体现在风险管理领域发挥积极正面的作用,包括识别出影响所在组织运营的内外部因素并能够适应、快速应对这些因素,这就要求内部审计从“事后监督”的角色逐渐过渡到“事前提醒”和“建议、咨询”上来。 首先,内部审计的眼光需要从“管理”过渡到“治理”上。即内部审计原来定位为“管理者眼睛和手臂”的延伸,管理者只有一双眼和一双手,看不到的管不到的,内部审计帮助管理层来看一看、管一管;现在的内部审计职能则进一步拓展到向董事会(或主要负责人)、党组织(党委)报告,在提升其独立性的同时,更好发挥对依“法”行事方面的积极推动作用,通过制度的完善和实施,来帮助以董事会、党委会为代表的治理层,以及以CEO、CFO为代表的管理层各司其职,内部审计需到位而不越位地履职尽责。其中治理层的角色也开始有所变化,从监督慢慢转向参与,因此设立总审计师的单位,总审计师应考虑加强与董事会审计委员会和党组织的开放、透明关系,并在审计计划方面考虑治理层的需求。 其次,内部审计应该从“供给观”转为“需求观”。党的十八大以来,国家层面出台了包括《关于加强审计工作的意见》《关于实行审计全覆盖的实施意见》等在内的一系列规章制度,对审计工作进行了顶层设计,审计地位和作用得到了显著提升。但不可否认的是,内部审计作为组织的内设机构,理应聚焦在推动组织实现目标、提升组织价值增值上来,因此内部审计在“有位”的基础上,更应凸显“有为”的作用,帮助组织“多打粮食”,并保证“颗粒归仓”。因此,内审部门应加强与管理部门、治理层的沟通,帮助董事会、管理层更好地了解组织所面临的风险,尤其是要了解高风险领域和关键风险环节等方面,帮助利益方更好地了解组织所拥有的优势及不足,并通过充分沟通消弭管理层和内审部门在内部控制及风险管理领域的分歧。 最后,从“三道防线模型”过渡到“三线模型”。站在内部控制和风险管理的角度,业务部门(一线)、辅助部门(合规部、法务部、风控部乃至财务部等)、内审部门(独立的确认部门)各司其职,充分体现了职责分工的理念,而国际内部审计师协会(IIA)在2013年推出的“三道防线模型”,在推进组织有效实施内部控制和风险管理方面发挥了重要作用。为更好地反映现代风险管理理论的进展以及公司治理领域的变革,IIA在2020年7月对原有模型进行了修订,充分突出内部审计在治理中的职责和作用,尤其是修订了治理层、管理层和内部审计各自应扮演的角色及应履行的职责,并从风险管理拓展到了组织的整体治理层面。事实上,发起组织委员会(COSO)在2017年对原有的风险管理框架进行了修订,将“治理和文化”作为新框架的第一要素,已经凸显了风险管理与治理、文化相融合的特征,并进一步将战略、绩效和风险整合起来,因此IIA对“三道防线模型”的修订,从某种程度上反映了理论和实务的新进展,尤其是对治理的强调,能够有力支撑价值保护和价值创造职能的发挥。风险本身具有正面、负面两个维度的特征,正面的“机会”与负面的“损失”都存在一定的概率分布,因此组织需要认识风险管理的“进攻”和“防御”双重属性,进而在抓住机会的同时避免损失。基于此,原有的模型突出“防”的特征,过于注重价值保护职能,这也是旧模型遭受批评的主要原因之一,因为过于保守尽管能够让我们“活下来”,但缺乏“进攻”则可能让组织丢失了发展壮大的机会。而新的“三线模型”则在一定程度上将治理层、管理层和内部审计的职责进行了重塑。一线、二线的职责由管理层负责履行,其目的是实现组织目标,其中一线职责是“多打粮食”,即向客户交付产品或劳务;二线职责是保证在合规基础上的“多打粮食”,即协助一线开展风险管理。内部审计仍然履行第三线职责,即针对治理和风险管理是否适当和有效发表独立意见,新模型开始强调各项职能之间的相互配合,把利益相关者的利益放在首位的基础上共同为组织创造价值。站在创造和保护价值的前提下,将组织目标和内审工作的目标协调起来。 二、工作内容的丰富 传统的内部审计工作内容更多聚焦于合规领域,强调内部控制的缺陷发现及整改,并适当关注经营、风险、治理等领域。审计署11号令则将内审机构所履行的职责进行了拓展,审计内容包括贯彻落实国家重大政策措施、财政财务收支、固定资产投资项目、自然资源资产管理和生态环境保护责任的履行、经济管理和效益,甚至包括发展规划及战略决策等,同时强调内部审计应该协助本单位主要负责人来督促落实审计发现问题的整改工作,这一修订一方面丰富了内部审计的工作内容,另一方面也对内部审计提出了更高要求。