石青
基金管理公司内部审计发展的新趋势
公募基金行业经历了20年的发展,受托净资产规模已突破2.5万亿元,这对基金管理公司的风险管控能力提出了更高的要求。为使内部审计更好地发挥监督防范风险的作用,越来越多的基金管理公司将稽核审计职能从监察稽核部门分离出来,成立了独立的审计部。
成立相对独立的审计部门为基金管理公司内部审计工作赋予了新的含义。首先,与第二线职能相比,独立的内部审计提供给公司治理机构的确认具有最高水平的客观性和可信度。内部审计需要为公司治理和风险管理工作的适当性和有效性提供独立且客观的确认和咨询,支持公司实现战略目标,推动并协助公司组织体系的不断完善。其次,与原先单纯的合规稽核审计职能相比,独立的内部审计须向价值创造审计转变。内部审计要着眼于公司的整体治理,参与公同全面风险管理,不仅要关注公司的法律合规风险、操作风险和道德风险,确保风险管理和控制的有效性,保住已有价值,还要关注信用风险、流动性风向、操作风险、信息技术风险和和声誉风险等风险,协助公司各职能更好的了解并抓住风险管理和控制中创造价值的机遇,维护良好的风险管理和治理,使公司有信心追求并实现更大的价值,在价值创造上有所突破。
基金管理公司内部审计的价值实现路径
(一)注重与职能部门的充分沟通、配合与协作。虽然基金管理公司内部审计部门相对独立,但内部审计的“独立性不意味着完全孤立”。基金管理公内部审计部门应借鉴内审最佳实践,除了与管理层保持良好的沟通,还应始终与职能部门保持良好的沟通和协作,了解业务需求,避免工作上的交又、重复或空白,使内部审计工作获得认可、肯定和支持,从而不断提升内部审计的效率和效益。
一是打破偏见,与相关部门充分沟通审计计刘。首先,内部审计人员应创造信任和尊重的气氛,让被审计单位充分了解审计的目标、重点和具体工作安排,并认真听取被审计单位的合理意见,使对方打消顾虑,在不影响审计目标的前提下,可适当对审计计划进行调整,增加被审计单位的配合度。其次,内部审计人员在关注相关监管法规和公司制度的基础上,应充分与第二线沟通,了解其风险管理工作及成果,充分听取第线对审计计划的建议,有效识别审计重点。
二是重视审前访谈。内部审计与外部审计不同,内部审计人员通常被认为是公司业务的“万事通”。审前访谈更是体现了内部审计人员的专业素养和对公司业务的熟悉程度。在实践中,很多内审人员不重视审前访谈,经常问及业务常识性问题,给被审计对象造成了内审人员不专业的印象,使得被审计对象不愿再花费时间与内审人员进行沟通,也为后续审计工作的开展奠定了不好的基础。因此,内部审计人员应在访谈前做好充分的准备,根据审计计划,专业、有针对性地提出问题。
三是敢于创新,在不增加审计风险的情况下,让被审计对象参与审计过程。审计人员执行的项目中,曾请被审计对象协助完成对某个存疑线索的跟进排查,最终不仅快速证实了审计人员的存疑,而且通过被审计对象的有效跟进,使存疑事项得到了部分解决,减轻了可能产生的不良影响。因为被审计对象参与了审计过程,增加了对审计结果的认同度,很快接受了该审计发现。
四是重质轻量,对于在审计结束前可以改正的问题,应允许被审计对象及时进行整改。在审计报告阶段,内部审计人员应及时向被审计对象反馈审计发现问题,充分听取对方的合理解释,允许小问题即查即改。审计报告应重质轻量,多反映有价值的系统性问题。审计人员不应过于追求审计业绩,将已改正的审计发现都写入审计报告,这样一方面使得审计报告中无价值的负面评价太多,不利于双方对审计报告达成一致意见;另一方面容易给被审计对象造成审计人员难于沟通的印象,不利于审计工作的可持续开展。从规避审计风险的角度,审计人员完全可以将已整改完的审计发现记录于审计工作底稿作为备查。(二)配备专业审计人员,持续提升内审团队业务素质。首先,配备专业的IT审计人员是基金管理公司内审团队建设的当务之急。信息技术管理对基金管理公司举足轻重,基金的投资、交易和运作均需通过信息系统执行,信息技术风险是基金管理公司的重要风险之一。从当前实践经验来看,基金管理公司的内部审计人员多以法律、财务背景为主,IT专业背景的内审人员明显不足。近年来,证监会强化基金管理公司信息化建设和信息系统安全工作,于2018年底发布了《证券基金经营机构信息技术管理办法》,将基金管理公司信息技术治理上升为公司战略,从管理层职责提升为董事会职责。因此,基金管理公司内部审计部门急需配备专业的T审计人员,作为对公司信息技术管理内部审计的技术支持,满足IT审计工作的需要。
其次,基金管理公司内部审计部门应注重加强团队人员胜任能力的持续培养。以外部招聘的方式只能暂时满足新发展趋势下基金管理公司内部审计工作的需要,唯有建立良好的学习机制、调动员工学习的积极性,确保内审团队胜任能力的持续提升,才能实现内部审计为公司战略发展提供增值服务的目标。以某团队的实践经验为例,通过近两年建立学习和研究业务流程的机制,很好地提升了内部审计人员的专业素质。内审人员平时即注重熟悉业务流程,通过编制所负责审计项目涉及的业务流程图,不仅及时掌握了业务变化,而且为其他审计人员提供了业务方面的学习指导。
(三)推进审计管理信息系统建设,规避审计操作风险。基金管理公司内部审计部门独立后的首要任务是建立规章制度,规范内审业务流程。但在实际执行过程中,由于没有强制性要求,以及内审人员难以快速适应新功能定位下的工作方式,存在制度制定和执行两张皮的现象,造成了审计项目工作底稿编制不规范、档案不完整等问题,给内审工作带来了一定的潜在风险。因此,推进审计管理信息系统建设是规范审计工作、规避审计操作风险的有效方式。基金管理公司内部审计部门应考虑将内审规范流程嵌入审计管理信息系统,通过系统自动化管控的方式,促使内部审计人员严格遵照内审规章制度开展审计工作。内部审计部门既可以考虑外购审计管理信息系统也可以考虑借助公司自研平台自主研发。自主研发的好处之一是,在开发过程中,内审人员经常需要与皿部门沟通系统需求,对内审规章制度和工作规范有了更深刻的认识和理解。目前审计管理信息系统第一期已上线,实现了审计全流程覆盖。未来,系统还将在数据分析和可视化功能建设方面进行优化。
(四)加强审计整改跟踪,促进内审价值实现。审计整改跟踪是审计工作闭环的“后半篇章”,是不可缺少的环节。只有将审计整改跟踪落实到位,才能确保审计发现问题得到有效整改,实现内部审计“治已病,防未病”的价值。例如某审计部门,通过建立审计整改跟踪库和定期将审计整改跟踪情况上报董事会审计与风险控制委员会的方式,有效加强了审计整改跟踪力度,促进了内审价值的实现。审计整改跟踪库是自研开发审计管理信息系统的一部分,审计人员通过审计整改跟踪库定期发起整改跟踪流程,定时提醒整改责任部门反馈最新整改进展,并通过整改跟踪库对不符合要求的反馈进行驳回,实现了对审计发现问题的系统强制跟踪,促进了责任部门积极落实审计整改的良性循环。审计整改跟踪库所汇集的信息为内部审计人员在后续审计过程中反观审计整改,提升审计建议质量提供了支持,也为内部审计部门进行审计信息共享和审计结果共用,更大发挥内审价值提供了基础。
(五)参与全面风险管理,分享最佳行业经验。基金管理公司内部审计在新的发展趋势下必须参与公司全面风险管理。基金管理公司的风险主要包括市场风险、信用风险、流动性风险操作风险、道德风险、法律合规风险、信息技术风险和声誉风险。通常情况下,内部审计部门通过执行内审项目主要关注的是操作风险、法律合规风险和道德风险,而如果不能全方位的对公司市场风险、信用风险、流动性风险、信息技术风险和声誉风险进行把控,则难以实现内审从事后监督到事前风险预警和价值创造的转变。因此,基金管理公司内部审计应积极参与公司全面风险管理。例如,可申请参加定期风险会议等,及时了解公司风险管理重点,与一、二线相互进行风险提示和风险信息共享。此外,内部审计部门还可以将了解到的最佳行业实践经验作为管理提升建议与线进行分享,不仅直接体现了内审价值所在,而且间接实现了内审宣传,树立了内审威信,为更好的开展审计工作创造了有利的内部环境。
(作者单位:建信基金管理有限責任公司审计部)