原创作者:strongrabbit。发表于北京。
国家审计机关提出审计全覆盖,不留盲区和死角。对于内部审计来说,要实现审计全覆盖的难度似乎更大一些,因为各个企业、组织的内部审计发展阶段不同,审计特点不同,行业特点也不同。然而,审计全覆盖是实现内部审计发展的一条可实现的重要路径。下面从三个方面进行讨论:审计全覆盖的背景、什么是内审全覆盖、实现内审全覆盖的方法。
一、背景
1.审计机关努力实现审计监督全覆盖。党的十八届三中全会以来,我国进入全面深化改革的新时期。党中央国务院明确要求审计机关要实现审计监督全覆盖。审计署原审计长刘家义指出:“必须努力实现审计监督全覆盖,不断增强审计的威慑力和实效性,依法使所有公共资金、国有资产、国有资源都在审计监督之下,不留盲区和死角。”
2.加强内部审计工作是实现审计全覆盖的需要。2018年9月11日,审计署审计长胡泽君在全国内部审计工作座谈会上指出:
“党的十九大和十九届三中全会作出改革审计管理体制的重大决策部署,加强党对审计工作的领导,构建集中统一、全面覆盖、权威高效的审计监督体系,更好发挥审计监督作用。
对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖,是党中央、国务院交给审计机关的一项重大任务,也是全面履行审计监督职责、充分发挥审计监督作用的必然作用。审计全覆盖对审计监督的力度、广度和深度提出了很高的标准和要求,这就必然要求加强内部审计工作。内审部门是补充国家审计力量、实现审计全覆盖的一支生力军,整合内审资源、统筹内审力量、加强审计成果运用,实现国家审计与内部审计优势互补,能够减少审计监督盲区,有力拓展审计监督深度和广度。加强对内部审计工作的指导和监督,推动内部审计工作质量上层次、上水平,不仅能够强化各单位自身的风险防控,而且能够为国家审计监督创造良好的执法环境,为审计机关防范审计风险、提高工作效率提供有力支撑,有效提升审计全覆盖的质量。”
二、什么是内部审计全覆盖
内部审计与国家审计有明显的差异。我们结合内部审计的特点,从经营管理单位、业务流程、高管人员、风险、战略政策五个方面来谈内部审计的全覆盖。也就是说,如果内部审计能够从这五个方面都能开展审计检查,都能覆盖到关键环节,审计密度由低到高,对权力集中、资金密集、资源富集、资产聚集的重点环节、重点事项、重点环节进行审计监督。
1.经营管理单位全覆盖。对集团企业来说,内部审计如果能覆盖到所有子公司、分公司,就可以说是机构全覆盖。如果内部审计在治理中的地位再高一些,能够审计集团总部的所有职能部门,那就是经营管理单位的全覆盖。
2.业务流程全覆盖。内部审计不一定能覆盖到企业所有的业务流程,但是这应该是一个逐步推进的过程,因为覆盖不到的业务流程中一定有内控缺陷和风险隐患。如果内审团队因为自身原因不能对所有重点业务流程进行审计,可以采用外包的形式评估风险。
3.高管人员全覆盖。经济责任审计是内部审计的重要组成部分。内部审计要对企业的“人、财、物”进行审计,而对管理者,尤其对是高级管理者的履职情况进行审计监督,是做好风险管控的重要一环,因为内控和风险管理都是由人来执行的。高管人员经济责任审计包括:任中审计、离任审计、专项审计。
4.风险全覆盖。企业经营管理风险是内部审计关注的主要内容之一。风险导向审计也是现代内部审计主要标志。内部审计要对风险做好识别、评估、预警等工作。内部审计要能覆盖到企业的主要风险领域和系统性风险领域。
5.战略政策全覆盖。内部审计是企业的战略推动者,应该通过审计促进战略政策的落地和实施,并对执行情况进行摸底。战略审计是企业管理高层对内部审计提出更高的要求,也是内部审计发挥增值作用更高的层次。战略政策的审计全覆盖,是个相对高级的阶段,既需要审计人员对战略、政策有深刻的理解,又需要审计人员获得高层的授权来开展审计。
除了以上五个方面,还可以从其他维度,或者再增加维度来实现内部审计的全覆盖。
三、如何实现内部审计全覆盖
实现内部审计全覆盖不可能一蹴而就,但是也有分清主次,搭建框架,抓住关键环节。实现内部审计全覆盖的路径是:
1.建立风险预警体系。内部审计的主要目标就是促进企业做好风险管理。内部审计通过建立风险预警体系,对企业经营管理的主要风险进行实时扫描,及时发现重大风险隐患。在风险预警体系下,又必须适时更新风险指标,做好风险识别和评估,对达到风险阈值的指标及时做出审计判断,决定是否开展实质测试。
2.不断加强数字化建设。实现对企业主要风险的全覆盖和实时扫描,前提条件就是要有数字化平台。一是要通过信息平台对指标进行监测;二是要通过审计模型开发去发现隐藏风险;三是要通过信息平台开展远程审计。在实务中,审计信息系统平台的建立相对还容易,审计模型也可以通过审计人员在学习中建立,但有一项基础而且关键的事情是,审计信息系统能够对接企业组织更全面、高质量的业务数据。
3.做好审计分类管理。审计分类管理的作用是优化审计资源配置,把审计资源投入最能产出审计成果的领域,使内部审计能够满足内部控制和风险管理的最低需求。审计分类管理包括两个方面:一是做好审计类型的分类管理,如确定常规审计、经济责任审计、专项审计的审计重点;二是做好审计模式的分类管理,如确定哪些审计项目要开展远程审计,哪些审计项目要开展现场审计;三是做好被审计单位的分类管理,如对被审计单位进行风险评级,对风险大的被审计单位投入较多的审计资源。
4.做好审计成果的运用。审计工作应该通过系统性方法不断积累、叠加和改进,还应该利用以往的审计成果提高现有的审计效率。实际工作中,很多审计团队因为不善于运用前期的审计成果而开展重复性的工作。由于审计需求的主体不同,审计部门需要执行不同目标的任务,但这些任务有可能有重叠的地方,所以“一审多果”、“一果多用”也是一种策略。
内部审计是企业的“免疫系统”,这个免疫系统要能覆盖整整个企业组织,而且这个免疫系统还是一个有机的生命体,会不断根据外部环境的变化采取不同的免疫策略,不仅要强,还要广,更要活。