国有企业内部审计转型路径及关键举措

吴德

国有企业内部审计普遍存在独立性不强、组织建设不完善、审计队伍素质欠缺、审计理念较落后、质量控制标准缺乏以及手段方法单一等问题。但在当前深化国有企业改革的过程中，各方对国有企业内部审计提出了更多的期待和更高的要求。能力和期望之间的矛盾，促使各单位内部审计人员加紧思考并探索，在推选国有企业建立现代企业制度的过程中，如何寻找到内部审计转型之路，并且建立起确认和咨詢双功能属性。

内部审计 风险管理

内部控制 公司治理

引言

1941年，国际内部审计师协会（IIA）在美国设立，代表了全球内部审计在各类组织中的职业化、科学化和规范化。70余年来，全球经济发展及社会经济结构发生了深刻的变化，不断变化的商业环境对内部审计提出了不断更新职能的需求，内部审计职能的不断变化客观反映了实务界对内部审计能够发挥作用的期待在不断变化。

目前国有企业内部审计面临着严峻的挑战。一方面，随着中央和国务院推动深化改革以来，对国有企业的运行质量和效果提出了更高的期待和更为严密的监督体系，并且加大了对国有企业投资经营违规责任的追究。这种变化对国有企业内部审计工作的提出非常高的要求；而另一方面，国有企业内部审计受制于独立性、规范性、能力、工具方法及认识等方面不足，无法满足内外部对内部审计提出的要求。这种要求和能力之间的矛盾，加速了国有企业推动内部审计职能的改变，不断地促使内部审计组织、功能、标准、信息体系等各方面的转型。

国有企业内部审计转型方向研究

内部审计转型是一个涉及到功能定位、机构运作、方法工具、业务对象等多方面的问题，其中的核心是内部审计转型后究竟要做什么。IIA认为符合国际最佳实践的内部审计的核心工作内容要评价和改善企业风险管理、控制和治理过程的有效性。

（1）理解内部审计与风险管理、控制与治理的关系

1.风险管理与控制三道防线理论

IIA在《立场公告：有效风险管理与控制的三道防线》中，定义了风险管理与控制在组织内部架构设置的最佳实践标准，风险管理与控制的三道防线内嵌于公司治理结构中，主要集中在董事会、监事会、管理层这三个重要的公司治理机构相关职责中。

第一道防线的定位是风险承担和管理职能。第二道防线的定位是风险督导职能。第三道防线的定位是独立确认职能。从三道防线角度出发，内部审计构成了企业风险管理与内部控制的重要组成部分，一般是企业风险管理与内部控制的监督确认的第三道防线。

2.内部审计在三道防线中的履职边界

根据企业规模及环境不同，部分企业会针对第二道、第三道防线某些职能进行合并。内部审计除了承担独立确认职能，还会承担部分第二道防线的功能。IIA在《立场公告：内部审计在企业全面风险管理中的作用》中，认为内部审计在发挥评价、提升风险管理、控制和治理过程的效果时，确认工作是关键和基础，有条件的情况下可以通过咨询介入部分二道防线的职能，而不管在什么情况下，都不应该介入到第一道防线的工作。

（2）内部审计在风险管理、控制与治理中职责

为了便于理解，我们以IIA的公告为基础，进一步解读和分析内部审计在风险管理、控制与治理相关工作，应该履行的相关职责以及不应该履行的职责。

1.核心确认类职责

内部审计在组织中发挥新的职责的同时，不能脱离其最基本的功能：独立的确认。但是其工作的内容和重点应该要围绕着风险管理、控制与治理的过程提供基本确认功能。具体包括：为风险管理过程提供确认、为风险评估的准确性提供确认、评价风险管理过程、评价对主要风险的报告、检查主要风险的管理等五项职责。

2.拓展咨询类职责

内部审计开展拓展咨询类职责相关的具体工作任务包括推动风险的识别和评估；指导管理层如何应对风险；协调企业全面风险管理工作；合并风险管理报告；维护和发展风险管理框架；指导企业风险管理的建立；制定风险管理战略提交董事会审批等七项职责。这7项职责一般认为是二道防线中“专门的风险管理机构”应当履行的职责。

3.禁止开展类职责

不论在何种条件或情况下，内部审计部门都不应当履行的第一道防线相关的职责，具体工作包括：确定风险偏好、强制实施风险管理过程、管理层对风险的确认、决定风险应对、以管理层的名义实施风险应对、问责风险管理等。

国有企业内部审计转型关键举措

在搞清楚传统内部审计向“评价和改善风险管理、控制和治理过程的有效性”的转型过程中，内部审计应该做什么、不应该做什么后，需要进一步研究的问题是如何基于我们现有的能力现状，实现转型目标？从下面六个方面进行分析。

（1）功能定位

转型后内部审计的功能定位，不仅仅是查错纠弊，即通过对已经发生的事实或结果相关的证据的收集、验证，对事实及相关结果的真实性，以及与之相关的偏差、问题等发表客观的审计意见。更要针对未发生的不确定性进行识别、评估，并且协调或支持风险防控计划执行、控制措施的调整和优化及针对重大事件的应急等。

（2）组织机构

通常内部审计机构的设置需要根据IIA最佳实践指导，设立专门的、独立的部门。同时在职责权限文件中明确内部审计部门和董事会、审计委员会、监事会、总经理或总经理办公会、党委会、党政联席会等相关治理机构之间的关系。

（3）管理机制

内部审计管理机制包括计划管理、项目管理、技术管理、问题管理、信息管理、组织管理、人员管理等一系列重要事项相关的职责、制度、操作指引及信息系统等。其中计划管理是内部审计最重要的关键举措之一；项目管理是内部审计部门的非常重要的工作方式。

（4）业务拓展

内部审计的业务拓展领域分为两个层面：确认业务和咨询业务。部分单位为了强化价值创造功能，推动业务拓展，建立起以审计中心为依托的委托服务制。在能力充分的情况下，还可以评估接受外部委托，逐步实现从审计中心向专业公司的转型。

（5）工具方法

内部审计的工具方法是指在相对统一的作业方法论指导下，开发出来用以规范审计与咨询项目，提高作业效率和效果的工具、方法。这些工具方法可能包括：各类审计业务的作业指引、工作底稿、作业模板和质量标准、各类咨询业务的作业指引、标准框架、作业模板和质量标准等。

（6）人员能力

当内部审计从传统的定位过渡到新的定位下，对人员能力要求是最大的挑战之一。咨询与确认业务对分析和解决问题思维结构有比较大的差异。如何推动内部审计队伍人员能力建设，应从胜任能力模型建设和应用、人员规划和引进、能力评估和培训、知识共享与吸收等方面人手。

结论

国有企业内部审计的现状距离IIA定义的最佳实践尚存在一定的差距，所以必须加快内部审计的转型，让内部审计从原来的工作内容转向企业风险管理、控制及治理，进一步促进和完善国有企业风险管理、内部控制和公司治理能力，增强国有经济活力、控制力、影响力和抗风险能力。

[1]IIA立场公告：《有效风险管理与控制的三道防线》、《内部审计在企业全面风险管理中的作用》；

[2]中国内部审计协会，《中国内部审计准则》、《内部审计实务标准》；

[3]上海国家会计学院主编，《内部控制与内部审计》；

[4]鲍国明、刘力云主编，《现代内部审计》。