一、引言 国际内部审计师协会于2013年推出“三道防线”模型,并于2020年7月发布了全新的“三线模型”,对“三道防线模型”进行了修订,突出了风险管理在价值创造方面的目标和使命。与“三道防线”模型相比,新“三线模型”以企业治理结构和管理体系为主进行阐述,重新梳理了各线职能的划分及任务,新增了六项原则(“创造和保护价值”“第三线的独立性”“第三线的职责”“管理层和第一、二线的职责”“治理机构职责”和“治理”),并进一步强调治理机构的职责。同时,为了强化职责属性,新“三线模型”既强调内部审计的独立性,又强调与管理层的相互协作,如通过定期互动促进两者具体工作与组织目标的一致性和相关性。从管理模式方面来看,高校具有自身的业务特点和管理体系,其作为一个特殊组织与企业存在较大差别。各行业、各单位需要根据自身的特点,灵活调整运用新模型。本文在明确新“三线模型”下高校内部审计职能定位的基础上,针对现阶段职能定位存在的问题,详细分析案例高校内审职能转型的路径,以期对高校内部审计的职能转型及新模型的应用实践提供参考与借鉴。 二、新“三线模型”下高校内部审计的职能定位分析 作为国家治理的逻辑延伸,高校治理也应秉持“统筹发展和安全”的治理理念,走好高校内部审计进阶之路,提升工作实效。“三道防线”模型注重风险“防御”,新“三线模型”则同时强调“进攻”和“防御”。与“三道防线”模型侧重于组织的价值保护不同,新“三线模型”同时重视组织的价值创造和价值保护,更契合当下高校内部审计的职能定位。 (一)新“三线模型”介绍 对于企业而言,内部审计和管理层的角色定位分别是“独立的确认服务”和“采取行动实现组织目标”。新“三线模型”下企业内部审计履行第三线的职能(提供独立、客观的确认和建议),企业管理层履行第一线(提供产品或服务,管理风险)和第二线职能(发挥支持或监督作用)。就管理体系与治理结构而言,高校与企业两者存在明显差异性,新“三线模型”下履行各线职能的部门必然存在明显不同。具体来看,高校履行第一线职能的部门主要涉及科技处、学生处、教务处等,旨在保障学校教学和科研工作顺利开展,为学校发展提供服务,并进行风险管理。高校履行第二线职能的部门主要涉及财经处、内控管理办公室、法制办公室等,旨在提供内控建设、法律风险防范等专业知识与支持,协助第一线业务部门开展风险管理。高校履行第三线职能的部门主要涉及纪委办公室、内部审计部门等,旨在为学校的风险管理提供独立且客观的确认和咨询。 分析图1可以看出,新“三线模型”明确了内部审计、管理层、治理层各自应当履行的职责,是立足于组织整体治理的风险管理工具。高校治理层的职能定位为诚信、领导力和透明度,其对学校发展负责且承担监督职能,并对管理层、内部审计进行授权、指导和监督。履行各线职能的部门向高校治理层负责、报告。同时,高校管理层与内部审计之间需要相互协作,并需要保持一致、沟通。 (二)新“三线模型”下高校内部审计的职能定位 新“三线模型”赋予了内部审计更高的职能权限,同时强调对治理机构负责及相对于管理的独立性。结合结构图(如图1所示)来看,新“三线模型”具有以下四个显著特点:其一,优化了核心内容结构;其二,诠释了整体治理内容;其三,明确了治理机构与各线职能的关系;其四,强调了内部审计保持独立的重要性和实现方式。该模型下高校内部审计的职能定位应该侧重于独立性、提供客观确认与咨询和审计结果的传达三个方面,详细情况如图2所示。
(1)相对于管理层的独立性。新“三线模型”明确了内部审计保持独立性的重要性,其往往直接影响内审的可信度、权威性和客观性。作为新“三线模型”下内部审计最为显著的特征,该职能定位的最终目的是保证评价立场的客观公正性,要求相关职能与业务部门不发生牵扯交织,不能参与管理层的业务决策与活动,即应该独立于管理层的各项职能之外。虽然新“三线模型”下履行各线职能的部门均为高校风险管理服务,但是为实现相对于管理层的独立性,高校内部审计不能参与风险管理的决策和具体行动,而应该为高校风险管理提供评估、监察调查、监督等服务。 (2)提供独立且客观的确认和咨询。新“三线模型”明确了内部审计履行第三线的职能为提供独立且客观的确认和咨询,即提供有关风险管理、内部控制等方面的独立评价与审计建议,其是适应高校环境变化而提出来的职能。由于上述职能的发挥主要针对高校治理和风险管理的适当性和有效性,内审人员的素质高低、参与高校治理的积极性、制度体系的完善程度均会对该职能的发挥产生直接影响,因此需要充分应用专业知识及观点、系统且规范的工作流程。另外,为推动和协助组织创新和发展,新“三线模型”下内部审计在必要时需要一并考虑其他内外部机构提供的确认成果。