增值型内部审计助力企业高质量发展研究

李凤雏

【摘 要】 高质量发展是全面建设社会主义现代化国家的首要任务。内部审计的内在性特征和“离得近看得清”的本源性优势，决定其应当而且能够助力企业高质量发展。增值型内部审计以提高组织效率和增加组织价值为目标受到理论界和实务界的广泛关注。文章基于管理学理论、企业发展现状、法规赋予职责，分析了发挥增值型内部审计功能作用助力企业高质量发展的逻辑必然、实践需求和法定职责；基于系统论原理，从要素、功能、环境、能力诸维度分析，围绕组织管理、制度规范、业务工作构建了增值型内部审计体系；基于国际内部审计师协会“三线模型”，聚集关键要素和核心功能，提出增值型内部审计助力企业高质量发展应当深化内部控制审计、加强风险管理审计、推进公司治理审计。

【关键词】 增值型内部审计； 高质量发展； 内部控制审计； 风险管理审计； 公司治理审计

【中图分类号】 F239.45  【文献标识码】 A  【文章编号】 1004-5937（2024）09-0002-08

党的二十大报告指出，高质量发展是全面建设社会主义现代化国家的首要任务，提出通过深化国资国企改革，优化民营企业发展环境，完善中国特色现代企业制度等系列措施，构建高水平社会主义市场经济体制，推动经济实现质的有效提升和量的合理增长。“十四五”规划强调，我国已转向高质量发展阶段，要以推动高质量发展为主题，以改革创新为根本动力，统筹发展和安全，实现经济行稳致远。内部审计助力企业高质量发展，需要统筹处理防微杜渐与助力发展、监管过去与预防未来、查出问题与咨询建议、守住底线与勇攀高线的关系。为此，内部审计需要以助力企业高质量发展为主题，坚持系统观念，聚焦内部控制、风险管理、公司治理，构建增值型内部审计体系。

一、肩负职责使命，发挥增值型内部审计功能作用

（一）发挥增值型内部审计功能作用是内部审计内在性特征的逻辑必然

管理学大师彼得·德鲁克[1]在《管理的实践》中就管理层的职责提出了四个重要论断，一是管理者是赋予企业生命、注入活力的要素。促使企业不断进步，防止贪图安逸、骄傲自满，必须具有超人一等的管理能力和持续改善的管理绩效。二是企业的本质即决定企业性质的最重要原则是经济绩效。企业促进社会发展、遵循社会的政治信念和伦理观念必须履行经济责任，如果未能创造经济成果就是管理的失败。三是企业管理也就是目标管理。管理层作为企业的一个器官，管理的职能是管理企业、管理管理者、管理员工和工作。这种地位和职能要求管理层既能够快速、明智而且理性地适应经济发展，又能够以有意识、有方向的行动主宰经济环境、改变经济环境，只有这样才能算得上是真正的管理。四是眼前的“经济成果”是通过资本支出达到的，因而是虚幻的成果。为了防止危害或摧毁企业的生财资源即资本，必须能够同时满足眼前利益和长远利益，至少能够在长短期之间求取平衡。与此同时，彼得·德鲁克[1]还指出组织本身不是目的，而是达到经营绩效和成果的手段，高层管理任务无论在管理范围、管理技能要求还是工作性质和种类上都超越了个人能力，管理完善的公司没有单人“首席执行官”，只有管理团队，组织结构是不可或缺的工具，活动分析、决策分析和关联分析是可以找出达到经营目标所需结构的特殊方法。管理学原理表明，实现经济绩效需要管理，达成管理目标需要团队，发挥团队效应需要制衡，独立的具有综合性的内部审计是有效制衡的最佳选择。这种必要性决定了内部审计监督区别于其他监督的地位、特征和优势。内部审计作为构建集中统一、全面覆盖、权威高效审计监督体系的重要组成部分，因为存在和作用于各领域和行业、各部门和单位的本源性或者说内在性，而具有“离得近看得清”的特征。正是因为内部审计所具有的特征，决定了内部审计在“四个注重”中的四个优势，即注重发展中的风险隐患和保障资产资源安全能够更加具有直接性，注重资金使用绩效和促进厉行节约能够更加具有经济性，注重揭露违纪违法问题和助力反腐倡廉能够更加具有经常性，注重建立健全查出问题整改长效机制和推动完善制度加强管理能够更加具有效率性。内部审计的地位、特征所产生的优势符合管理学所强调的活动分析、决策分析和关联分析等系统性管理需求。

（二）发挥增值型内部审计功能作用是助力企业高质量发展的实践需求

美国《财富》杂志“世界500强”排行榜显示[2]，中国企业（含港澳台）上榜数量2022年度达145家，稳居全球第一。但进入世界500强并不意味着就已经成为世界一流企业，有研究认为世界一流企业应该具备市场竞争型最好是外向型竞争和跨国存在型企业“一个前提”，有世界一流的产品、世界一流的生产率、世界一流的经济效益、世界一流的公司治理“四个维度”。深入对标世界500强中表现优异的一流企业后发现，我国企业在深层次发展质量上仍然存在差距，差距的表现既涉及规模、国际化程度、效率等量化指标，又更多地表现在核心竞争力、管理模式、运营机制等质的方面。一是核心竞争力仍存在短板，“虚胖”问题尚未缓解。我国企业在规模增长上具有较大优势，但规模扩张没有与核心竞争力加强相伴随，尤其是在盈利能力和关键财务指标上差距较为明显。上榜公司平均利润约41亿美元，而世界500强同期均值为62亿美元，中国大陆上榜企业平均销售收益率、总资产收益率、净资产收益率分别为5.1%、1.15%和9.5%，均落后于世界500强平均水平。二是自主创新潜力尚待挖掘，关键核心技术创新能力依然与世界一流企业有不小差距。美国上榜的信息和通信技术产业企业平均利润是中国大陆同类企业的3倍。我国企业研发投入仍有较大进步空间，上榜企业很多都存在原始创新能力和技术整合集成能力欠缺等问题，表现在元器件和關键设备受制于人、基础研究缺失、成果转化不足等。三是国际化程度及全球价值链整合能力有待提高，企业品牌的影响深度和美誉度以及市场价值都存在较大差距。联合国贸易和发展会议发布的2021年百强跨国数字企业中，美欧81家，中国4家，而且来自海外的收入只有7%左右，远低于39.1%的平均水平。我国不少企业往往只是利用国外资金、技术、市场网络等资源，全球价值链资源整合能力不足，由于品牌影响力不足等原因导致在全球价值链中的话语权、定价权和规则制定权等方面存在短板，往往处于不利的竞争地位。四是管理体制和运营机制不完善，导致企业决策效率不高、经营绩效不佳。公司治理结构不完善问题仍然存在，对市场形势变化回应不及时，还未全面建立市场化用人机制和强有力的激励机制，有效提升企业经营绩效困难较大，难以激发企业内生动力。高质量发展的最终表现是可持续稳定发展，为此，企业有必要筑红线、保基线、守底线、攀高线、拓宽线。国际内部审计专业实务框架的内部审计定义包括四个层次，职能上表述为一种独立、客观的确认和咨询活动；方法上强调应用方法的规范化、系统化；内容上突出风险管理、控制和治理过程的效果评价和改善；目标上定位于增加价值和改善组织的运营，即内部审计宗旨是提高企业效能，改善组织治理，增加企业价值，实现经营目标。内部审计应当充分履行职责发挥经济监督作用，为企业经营依法合规筑牢红线；持续深化内部审计基本业务，确定资产数量真实性和质量可变现程度，夯实资本保全和资本增值发展基础，提供企业经营管理保基线警示；实现事前、事中、事后监督相结合，过程监督和结果相结合，揭示企业经营风险并分析成因，提出管控建议，治已病防未病，促进守底线管控风险持续获取收益；发现问题、堵塞漏洞、减少损失从而保全价值，识别潜在风险、分析成因、发现价值从而为创造更多价值攀高线提供咨询；通过监督活动促进企业深入贯彻落实国家方针政策，履行社会责任，实现企业与社会环境有机融合的拓宽线高质量发展。

（三）发挥增值型内部审计功能作用是助力企业高质量发展的法定职责

第一，新修订的《审计法》在聚焦依法进行财政财务收支真实、合法、效益审计监督的基础上做出了四个方面审计权限的具体规定，即财务会计、业务管理、信息系统审计监督权，资产、负债、损益审计监督权，建设项目预决算和公共工程建设运营审计监督权，风险隐患反映权。有权检查财务、会计资料以及与财政财务收支有关的业务、管理资料和资产，有权检查信息系统的安全性、可靠性、经济性；审计国有企业、国有金融机构和国有资本占控股地位或者主导地位企业和金融机构资产、负债、损益及财务收支情况；审计政府投资和以政府投资为主的建设项目的预算执行和决算，关系国家利益和公共利益的重大公共工程项目资金管理使用和建设运营情况；发现经济社会运行中存在的风险隐患应当及时报告或者通报。审计法实施条例明确审计法所指的审计，是依法独立检查会计凭证、会计账簿、财务会计报告，以及其他与财政收支、财务收支有关的资料和资产，监督财政收支、财务收支真实、合法和效益的行为。审计法及其实施条例将审计内容由财政财务收支扩展到业务和管理，资产、负债、损益、预决算，建设项目资金管理使用和建设运营，信息系统的安全性、可靠性、经济性，经济社会运行中存在的风险隐患，体现的指导思想是聚焦经济责任，客观评价揭示问题，促进经济高质量发展，促进全面深化改革，促进权力规范运行，促进反腐倡廉，推进国家治理体系和治理能力现代化。我国审计部门与内部审计既相互独立又相互联系，在各自法定职权范围和领域内发挥着不可替代的作用。内部审计一方面要站在国家的立场关注审计部门法定职责范围内容履行经济监督责任；另一方面又要站在本单位及所属单位立场对损害单位合法权益的外部干预和内部风险隐患进行监督，履行两方面经济监督职责是促进经营依法合规和资本保全增值、风险有效管理和持续创造价值的统一。因此，遵循审计法法理，贯彻审计法宗旨，落实审计法职责，是内部审计助力企业高质量发展的法定职责。

第二，审计署关于内部审计工作的规定是促进建立健全内部审计制度，加强内部审计工作的重要部门规章。其内部审计定义从审计内容、审计方式、审计目标上，突显了内部审计赋能组织管理风险、创造价值的应尽职责。对本单位及所属单位应当履行的十二项审计监督职责，既明确了内部审计助力企业高质量发展的具体要求，又系统地提出了发挥内部审计增值型功能作用的审计内容，如发展规划、战略决策执行审计，固定资产投资项目审计，境外机构、境外资产和境外经济活动审计，经济管理和效益审计，内部控制及风险管理审计，经济责任审计等等。赋予内部审计的十一项权限既为内部审计履职尽责提供了保障，又从权责对等角度提出了内部审计应当履行增值型审计法定职责的要求。如要求按时报送资料权，包括发展和战略规划、内部控制、风险管理、财政财务收支等资料及计算机技术文档；监督检查权包括对财政财务、经济活动、内部控制、风险管理资料、文件进行检查，现场实物勘察，对计算机系统及其电子数据和资料进行检查；临时制止权包括及时向单位主要负责人报告正在进行的严重违法违规或损失浪费行为，经同意后做出临时制止决定；提出意见建议权包括提出纠正、处理违法违规行为的意见和改进管理、提高绩效的建议等等。这些规定表达了赋予其权必尽其责的立法精神。

第三，国务院国有资产监督管理委员会《关于加强中央企业内部审计工作的通知》（国资发评价〔2005〕304号）、《关于深化中央企业内部审计监督工作的实施意见》（国资发监督规〔2020〕60号），提出了增值型内部审计的目标、内容和要求。一是明确内部审计是公司治理的重要组成部分。要求内部审计工作围绕企业战略，坚持问题和风险导向，突出提高发展质量和效益，确立促发展、控风险目标，不断完善组织体系，持续创新工作机制，突出审计工作重点，深化审计模式转型，提升价值创造功能和效果。二是要求把监督检查企业战略及其部署的落实作为内部审计工作的重要内容。充分发挥内部审计在促进战略有效执行方面的功能和作用，实现增加价值和改善组织运营的根本目标，促进企业全面提质增效。充分发挥内部审计在风险预判方面的能力和作用，促进重大风险识别与防范。三是强调围绕提质增效稳增长开展全面监督。强化高风险金融业务等重点领域、大额资金、境外经济活动的监督力度，突出主责主业和经营管理关键环节专项监督，对混合所有制改革全过程进行审计监督，加强对赌模式并购投资监督，落实对“三重一大”事项的跟踪审计。

二、坚持系统观念，构建增值型内部审计体系

构建增值型内部审计体系是一项系统工程，应当考虑要素、功能、环境、能力诸维度，坚持系统观念，围绕组织管理、制度规范、业务工作三个层面构建子体系。

（一）组织管理体系

增值型内部审计是内部审计机构运用其地位优势、资源禀赋和技术方法，在提高自身质量和效率的同时，以提高组织运作效率和价值为目的，向利益相关方提供适应变化的环境，不断实现增值的新型内部审计服务。开展增值型内部审计存在的主要困难和问题是，各利益相关方之间价值思路存在差异，如何有效调动员工为增值做出贡献的积极性，内部审计需要处理好履行“保证工作”的监督职能与发挥“增加价值”的服务功能之间的关系，内部审计部门的组织结构、审计程度灵活性和创新性的需求、内部审计部门业绩衡量标准和方式与增值型审计需求不相适应等。面对这些困难和问题，需要建立完善的组织保障体系。

一是建立健全内部审计工作领导体制和机制。加强党委（党组）对内部审计工作的领导，一方面强化内部审计发展的战略谋划和内部审计制度顶层设计，另一方面统筹协调内部审计相关关系，督促内部审计规划和任务落实。董事会应当承担保障内部审计独立性、有效性的最终责任，行使决定内部审计部门设置的权力，批准内部审计基本制度、中长期规划和年度审计计划，审议内部审计部门工作报告并对内部審计工作的独立性、有效性和审计工作质量进行考核、评价，督促管理层为内部审计部门履行职责提供必要保障。董事会设立审计委员会，根据董事会授权，审计委员会负责内部审计重要制度审核，内部审计中长期规划和年度审计计划审议，内部审计发现的重大问题整改督促，听取内部审计工作机构报告，组织内部审计工作考核评价并提出相关建议。

二是建立总审计师制度，设立总审计师。总审计师制度是为了发挥总审计师作用，充分、适当地保护内部审计的独立性，为有效、规范地开展内部审计提供保障，而建立的办事规程和行动准则。企业应当按照规定建立总审计师制度，发挥总审计师协助党组织、董事会或者主要负责人管理内部审计工作的职能作用。与内部审计机构主要负责人相比较，总审计师权限层次更高、职责范围更广、工作力度更大，更加有利于保障充分履行内部审计职责。总审计师应当定位于企业党组织、董事会或者主要负责人领导内部审计工作的具体实现形式，董事会或者主要负责人与内部审计机构之间的桥梁和纽带。总审计师应当具有较高政治素质和政策水平、较强审计业务能力和组织管理能力；其权限应当包括出席与其职责相关的重要会议和专业会议、组织召开审计工作联席会议或跨部门工作会议、批准计划内审计项目实施、要求被审计单位和个人对审计工作予以配合、评价内部审计机构负责人的工作等；其职责应当包括组织企业内部审计制度建设、提出内部审计组织架构和队伍建设意见建议、组织制定和督促实施内部审计工作发展规划和年度审计工作计划、组织建立和完善内部审计工作质量管理体系、检查监督审计发现问题整改和审计建议执行、协助董事会和企业高级管理层建立健全内部控制体系和全面风险管理制度等。

三是加强内部审计队伍建设。设立与企业经营目标、治理结构、管控模式、业务性质、资产规模等相适应的内部审计部门，通过内部审计管理制度等明确内部审计部门职责、权限及与其他部门的相互关系。集团总部应当按照审计法规定加强系统的内部审计领导，通过明晰审计项目计划、确定审计标准、调配审计资源，实行统一组织审计项目、“上审下”和“交叉审”等内部审计管理方式。建立健全内部审计人员选拔机制，以政治过硬、德才兼备、具备业务知识和专业技能为基本标准，遴选复合型人才充实内部审计队伍，提高内部审计队伍专业化、职业化水平，借助财务会计、内部控制、企业运营、物资采购、产品销售、企业管理等专业技术力量开展审计。

（二）制度规范体系

履行内部审计职责，发挥内部审计作用，需要建立健全内部审计制度规范。开展增值型内部审计同样要求组织根据增值型审计的内在需求特点，遵循经济活动和企业管理规律，制定增值型内部审计制度，做到有规可依、有章可循。其内容应当包括增值型审计程序、方法、标准等，明晰内部审计人员的责任权限、业务边界。

一是制定内部审计章程。内部审计章程是关于内部审计的纲领性顶层文件，是经董事会或最高管理层批准，代表董事会或最高管理层对审计监督和服务的授权，是整个内部审计工作的基础和依据，具有广泛的约束力。企业应当在章程中明确内部审计部门与董事会或最高管理层的关系，对内部审计目标、内部审计机构的职责与权限、内部审计范围、内部审计标准等做出明确规定，保证内部审计部门拥有不受干扰独立地实施业务活动、内部控制和风险管理审计的权力，包括授权内部审计获取与业务开展相关的记录、访问相关人员、接触相关资源资产等。

二是制定内部审计工作管理办法。审计计划、人力资源、财务预算、组织协调和审计质量等是内部审计管理的主要内容，应当通过制度规定予以规范。其中审计计划、审计质量属于业务管理内容，人力资源、财务预算属于资源管理内容，内部审计工作管理办法需要在内部审计章程指导下，统筹业务管理和资源管理。内部审计工作管理办法应当明确现代内部审计的价值创造活动属性，以及实现价值创造目标的路径和方式，要求内部审计在有效防范风险、提高企业竞争力方面发挥积极作用。内部审计工作管理办法应当针对增值型内部审计工作特点，明确内部审计工作程序，建立争议解决机制，建立健全内部审计发现问题整改清单和对账销号机制，开展后续审计，评价审计所发现问题的整改进度及有效性。内部审计工作管理办法应当明确审计标准和业务规范、实施督导、分级复核等方式，建立健全内部审计质量控制制度，落实审计工作结果签字背书责任制度，明确审计质量考评标准，建立与其他业务部门差异化的内部审计考核体系。

三是制定增值型内部审计项目管理办法。增值型内部审计项目管理办法应当围绕保证在规定的时间、预算和质量目标范围内完成审计项目，对审计计划、成本、现场、质量、风险、档案和外包管理的关键环节做出明确规定。规定项目审计方案制定要充分了解被审计单位经营活动、内部控制设计及运行情况、财务状况、以前年度接受内外部审计和检查情况等。为保证计划落实效率，建立审计项目计划执行情况全方位检查监督制度和审计项目计划执行情况报告制度。规定项目预算要明确项目需要的人员数量和时间安排、培训和差旅费用、外聘专家或事务所成本等，开展现场动态监控并强化预算管理，将审计项目成果与实际投入成本指标对比分析，促进审计资源向更具增值性的重大项目和优秀成果倾斜。审计项目现场管理应着重对审计组、审计进度、审计过程日常协调和沟通等内容的管控。审计组应适应增值型审计时效性、综合性、系统性要求，根据增值型审计项目特点和要求选派适当人员并科学分工，审计过程加强协调、沟通，及时掌握情况解决问题，保证项目进度和工作质量。鼓励审计人员研究改进和创新审计方法，充分利用信息化审计手段，慎重对待审计取证过程确保审计证据和证明材料相关、可靠、充分，建立审计沟通制度就审计结果与被审计单位充分沟通并听取意见，建立健全审计报告分级复核制度并明确规定各级复核人员应当承担的责任。

（三）业务工作体系

审计业务工作体系可以按审计业务目标、审计涉及领域、审计内容、与被审计事项同步情况、审计组织方式、信息技术应用程度、审计取证模式等分类构建。内部审计作为企业管理体系和过程的重要组成部分，应当遵循和服务于企业一切资源安排和活动開展都要实现价值最大化的目标，发挥内在性和“离得近看得清”的特征和优势，通过保护资产、减少风险、降低成本、提出建议、增加获利机会等为企业增加价值。以下将按财政财务收支真实合法性审计与绩效审计的业务目标分类，重点阐述构建增值型内部审计业务工作体系应当区别于其他审计作业模式的审计范围、审计方式和审计方法。

一是增值型内部审计范围。内部审计促进组织增加价值通过两种途径，通过检查财务及相关经济活动挽回损失实现组织增加价值属于间接途径，审查评价风险管理、内部控制和治理程序并提出建设性审计建议实现增加组织价值属于直接途径。理论上，当内部控制日益健全并得到有效执行，前者即通过检查挽回损失发挥增值作用的空间越来越小，后者因为改革创新持续推进、经济社会发展日新月异而最具发展前景。增值型内部审计范围应当确定为审查评价组织的风险管理、内部控制、组织治理三部分，但是，三部分审计评价均应当以财务收支、经济活动的真实合法性审计为基础。

二是增值型内部审计方式。增值型内部审计兼具批判性和建设性，但建设性更为突出，实现建设性需求应当采取“参与式”审计方式，与被审计单位在保持精神上和实质上独立性的同时，建立共同讨论审计目标、内容、程序的伙伴关系，并取得理解和支持；与审计相关当事人就审计发现问题的原因和影响进行讨论，既分析解决问题和改进管理的必要性，又探讨必要而且可行的纠正和改进措施；审计报告应当根据需要采取多样化、具有建设性的方式，区别不同层次和不同内容提出不同类型审计报告，及时反馈审计结果以便尽快解决问题，避免发生更大的损失，审计报告应当重点分析问题产生的原因和可能造成的影响，提出可行的改进措施。

三是增值型内部审计方法。增值型内部审计范围广泛、内容复杂，检查、审阅、抽查、盘点、观察、分析等传统审计技术，作为行之有效地体现审计特征的基础性方法必然需要使用，与此同时还需要运用一些适应增值型审计需要的方法。采用调查法，了解所有权结构、治理结构、组织结构以及法律环境、监管环境，战略目标、经营活动、投资活动、筹资活动、会计政策选择和运用、业绩衡量和评价等；采用管理系统图法，将调查取得的管理系统绘制成图，参照企业管理科学、合理、严密的系统模式，发现差距和薄弱环节，揭示存在的问题和可能的隐患并提出改进建议；采用流程图法，区分不同内部控制要素和每一业务环节，在此基础上既考虑因素之间的关系，又关注环节之间的相互影响，用流程图直观展示内部控制的全過程和关键控制点，通过审查业务细节发现薄弱点并提出加强内部控制的意见和建议；采用平衡计分卡法，把企业战略目标与实现过程、当前业绩与未来获利能力、财务业绩和经营过程与重要客户和学习成长联系起来，运用数字化描述方式，分析各项指标之间，以及各项指标与整体绩效之间的因果关系，揭示组织行为偏离战略目标的程度，据以提出纠正意见；采用信息化手段审计方法，发挥信息化、网络化、智能化融合优势，运用大数据、云计算、区块链、人工智能等新技术，对企业内部管理、业务活动、财务信息系统实施审计，提高审计监督、评价、建议的能力和水平。

三、聚焦关键核心，助力企业高质量发展

国际内部审计师协会（IIA）与美国反虚假财务报告委员会下属的发起人委员会（COSO），于2013年1月和2020年7月，提出“三道防线模型”并转化为“三线模型”[3]。“三线模型”摒弃“三道防线模型”仅注重风险防范的缺陷，更加强调“进攻”和“防御”统筹管理，突出职能相互配合、相关方利益首位性、创造和保护组织价值的共同性要求；清晰界定公司治理机构、执行管理层和内部审计的定位和职责，将关注的范围拓展到组织的整体治理；既强调内部审计相对于管理层具有的独立性和对公司治理机构负责，又要求内部审计与管理层保持互动并对治理、风险管理的适当性和有效性开展独立的确认和咨询。这种转化进一步整合组织体系单元之间相互关系，明确关键职能和职责，更加有利于实现和提升协调、协作、问责的有效性，使内部审计能够更好地适应风险管理和企业治理的环境变化及需要。“三线模型”原理对构建增值型内部审计体系具有重要的借鉴意义。内部审计助力企业高质量发展，应当聚焦深化内部控制审计、加强风险管理审计、推进公司治理审计，实现履行监督职能、突出评价功能、发挥建议作用的有机统一。

（一）深化内部控制审计

财政部等五部委发布《企业内部控制基本规范及配套指引》，以上市公司为基本对象，确定了内部控制建设、实施的总体要求和操作指引，标志着基本形成了我国企业内部控制规范体系。监管部门组织开展内部控制规范试点和细化内部控制评价报告披露规则，有效推进了内部控制规范体系渐臻完善。现实的问题是内部控制建设仍然存在盲区，建立内部控制的全面性、重要性、制衡性、适应性、成本效益性五项原则均未得到完整贯彻；内部控制实施仍然存在断链，企业治理层、管理层、操作层还没有做到全面、全员、全过程遵循内部控制规程；内部控制效果仍然存在差距，相互联系、相互促进的内部环境和控制活动、风险评估和信息与沟通、内部监督等构建内部控制的五要素均存在短板和缺陷，在保证经营合法合规、管理科学有效、资产安全完整、信息真实准确、效率效果提升的基础上，着力促进企业发展的内部控制目标还没有完全实现。署名王悦的《末路狂飙许家印：一个审计人眼中的恒大危机》文章中说道：“表面上看，恒大非常重视内部控制，每年都会在年报上花两三页的篇幅介绍公司在内控管理方面所做的工作。但从实际效果来看，这些所谓的工作只不过是样子工程罢了，根本防范不了重大风险。当然，如果就这样否定了内部审计的工作，我认为是不客观的，因此我们必须要问，恒大的内部审计有审计许家印的权力么？恒大的内部审计有能力推翻公司的会计假设而去改变公司的收入确认方法么？恒大的内部审计能够获得恒大物业的存单被抵押的信息么？”就此三个问题可谓振聋发聩！但这三个问题不是内部审计法规准则的问题，而是内部控制对内部审计甚至审计法规的漠视！深化内部控制审计应当突出三个方面内容：一是将内部控制系统的健全性、合理性、有效性检查和评价纳入内部审计重点工作范围，评估经营管理风险水平，揭示薄弱环节和重大缺陷；二是加大重点业务流程内部控制及其实施情况检查，探索开展业务流程关键控制环节审计，推动不断完善内部控制体系；三是强化系统观念，以全流程、跨部门视角，审查经营管理制衡和控制的效率效果，用系统的思维和模式评价经营管理关键环节，揭示由于部门或环节交叉等问题导致的低效率和低效益问题，促进健全审计发现问题整改的长效机制，推动内部控制机制和流程的持续完善和系统性优化。保证内部控制审计质量和效果应当注意以下三点：第一，在内部控制全面评价基础上，重点关注重要经营管理单位、重大经济业务事项和存在高风险的领域，客观、准确地揭示经营管理风险状况，系统、如实地反映内部控制设计、运行中存在的问题；第二，恰当运用问卷调查、专题讨论、穿行测试、实地查验、比较分析等技术方法，收集证实内部控制设计和运行有效性的证据，根据审计结果和管理层自我评估，综合分析认定内部控制缺陷，提出改进和完善内部控制的意见建议；第三，根据审计结果反映的内部控制存在的问题确定报告的方式和对象，将内部控制审计结果报告给适当的管理层级，属于全面整体性内部控制审计报告应当报送给董事会或者最高管理层，如果内部控制审计结果揭示的问题包含认定了的内部控制重大缺陷，还应当以专项内部控制审计报告方式，在报送适当管理层的同时报送董事会或者最高管理层。

（二）加强风险管理审计

国际内部审计专业实务框架[4]认为，内部审计既要评估风险管理过程的有效性，又要促进改善风险管理过程的有效性。确定风险管理过程的有效性，需要内部审计评估和判断组织的目标支持其使命以及目标与使命保持一致的程度，是否能够精准识别和恰当评估重大风险，选择和确定的风险应对方案是否适当并且符合组织的风险偏好，所获取的与风险管理相关的信息是否能够及时沟通。促进改善风险管理过程有效性，需要通过以上四个方面评估和判断，围绕组织治理、运营、信息系统，确认战略目标实现、财务与业务信息可靠性和完整性、运营的效率和效果、资产安全与完整、程序和合同对政策和法规的遵循性符合性五个方面风险程度和水平。国务院国资委印发的《中央企业全面风险管理指引》（国资发改革〔2006〕108号）明确了一系列风险管理相关问题。比如，将企业风险表述为未来的不确定性对企业实现经营目标的影响，将企业风险划分为战略风险、财务风险、市场风险、运营风险、法律风险等类型；确定了收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、监督和改进风险管理五项基本流程；构建了包括风险管理策略、风险理财措施、风险管理的组织职能体系、内部控制系统和信息系统的全面风险管理体系；要求内部审计对董事会下设的审计委员会负责，其主要职责是研究提出全面风险管理监督评价体系，制定监督评价制度，至少每年开展一次风险管理及其效果的监督评价，直接向董事会或董事会下设的风险管理和审计委员会报送监督评价报告。根据国际内部审计专业实务框架和中央企业全面风险管理指引的原理和要求，内部审计加强风险管理审计应当特别强调三点：一是明确风险管理审计定位、职责和边界。内部审计章程和董事会章程都应当明确内部审计履行风险管理审计职责的定位和边界，内部审计机构负责人的重要职责之一是全面准确理解、合理有效落实高级管理层和董事会对内部审计在组织的风险管理过程发挥作用的期望和要求。内部审计在组织风险管理过程的职责定位是在所有相关部门和个人之间进行协调，应当避免进行风险直接管理。特殊情况下，如果组织没有正式的风险管理过程，内部审计机构负责人应当向管理层和董事会正式说明，应当履行管理和监督风险的职责。二是以增加组织价值为目标开展风险管理审计。内部审计的目标在于帮助组织实现目标，风险管理审计目标应当与风险管理目标一致，定位于帮助组织实现与其使命一致的战略目标、提升组织资源使用的效果与效率的营运目标、合理保证业务报告和财务报告可靠性的报告目标、遵循法律法规的合规目标。为此，风险管理审计的主要内容应当包括风险管理机制、风险识别、风险评估方法、风险应对措施、风险管理环境五个方面。三是突出风险管理重点开展审计。开展重大的投融资、重组并购、物资采购、资产处置、工程建设项目等专项审计，开展大额垫资业务、大宗商品业务、金融衍生业务、金融子企业等高风险业务和领域审计，重点关注境外机构、项目、活动的经营管理和内部控制及会计信息、资产运营情况、财务状况、重大工程项目、投资并购情况、内部管理模式。

（三）推进公司治理审计

企业所有权和经营权两权分离，企业管理建构在“经营权层次”，公司治理建构在“所有权层次”。使管理者既利用和发挥好资本供给者提供资本的效用，又承担起对资本供给者的责任，是公司治理的基本问题。为此，应当利用公司治理结构和机制，明确利益相关方权力、责任和作用，在制度安排上建立健全委托代理人之间激励约束兼容的机制，促进提高战略决策能力，创造投资者的价值管理大前提。经济与合作发展组织（OECD）认为公司治理涉及管理层、董事会、股东以及其他利益相关方的关系。吴敬琏（1993）认为公司治理结构是所有者、董事会、高级经理人员组成的组织结构。林毅夫（1995）认为公司治理结构是所有者监督和控制企业经营管理和绩效的制度安排。李维安（2001）区分狭义和广义的公司治理，认为前者是所有者监督制衡经营者的一种机制，后者是正式或非正式、内部或外部用以协调公司与所有利益相关方关系的制度或机制。总之，公司治理是所有权、经营权两权分离后，委托受托者行为和控制规则、关系、制度、程序的组合和运用。谢志华[5]在专著《出资者财务》中指出，所有者之所以愿意采取两权分离的形式，委托专业化、专家化的经营者独立地经营公司，就在于以委托受托经济责任的契约为保证，一方面可以明确经营者的经济责任，另一方面可以让经营者承诺承担并履行责任；所有权与经营权分离不仅形成了所有者与经营者之间的委托受托关系，而且所有者为了了解和掌握经营者的经济责任履行情况，在要求经营者提供经济责任履行情况信息的同时，还需要监督检查履行经济责任的过程、结果及其相关信息，由此产生了所有权监督的必要。所有者为了克服自身存在的专业胜任困难，提高监督效力，通过制度设计由具有专业素养的监督主体即审计担当此任。内部审计推进公司治理审计需要把握三点，一是明晰内部审计计划。治理并不是一套单独存在的流程和架构，有效的治理活动在设定战略时要考虑风险，风险管理也依赖于有效的治理，有效的治理依赖于内部控制以及就控制有效性與董事会进行的沟通。因此，内部审计计划应当涵盖组织的治理流程和相关风险。二是围绕促进组织改善治理实施审计。检查以往审计报告以及董事会会议记录、董事会制度等文件，证明组织是否建立了成熟、稳定的决策程序，促进组织改善战略决策和运营决策；检查年度风险评估过程，与标杆以及行业趋势比较，确定组织如何监督其风险管理和控制活动，促进组织改善监督风险管理和控制；检查组织使命和价值观、行为准则、招聘和培训流程、反舞弊和举报政策、调查程度等的目标、计划和活动，评估组织内部和外部业务合作伙伴之间的道德和价值观，促进在组织内部改善推广适当的道德和价值观；检查考核和激励计划、员工薪酬、目标设定以及与绩效评估相关的政策和流程，确定其是否适当设计和执行，促进组织开展有效的业绩管理，建立有效的问责机制；检查内部报告、通讯记录、备忘录、电子邮件、会议记录，确定风险和控制的信息是否完整、准确、及时分发，促进组织将风险和控制信息传达到适当领域；检查董事会、审计委员会等会议情况和频率，了解这些组织如何协调活动并进行沟通，促进组织协调董事会、外部审计、内部审计、其他服务提供方和管理层之间的工作和信息沟通。三是突出关键环节和重点领域强化审计监督力度。围绕提质增效，结合业绩考核，开展会计政策变更、合并报表范围调整、收入确认、减值计提等会计核算审计监督；围绕持续推动国有资本布局优化，聚焦主责主业和发展实体经济等要求，加大非主业、非优势“两非”业务剥离和无效、低效资产“两资”处置情况审计力度；将混合所有制改革的决策审批、资产评估、交易定价、职工安置等纳入审计重点内容，督促及时纠正改革过程中出现的问题和偏差；加强对重大决策、重要项目具有重要影响的可行性研究，尽职调查、资产评估、风险评估等环节的审计监督，强化决策科学性、规范性监督，落实对“三重一大”事项的跟踪审计。

【参考文献】

［1］ 彼得·德鲁克.管理的实践［M］.北京：机械工业出版社，2007：5-13.

［2］ 刘泉红.加快建设世界一流企业的路径探索［J］.企业改革与发展，2023（1-2）：95-97.

［3］ 国际内部审计师协会（IIA）三线模型——三道防线模型升级版［EB/OL］.中国内部审计协会官网，2013-01-10.

［4］国际内部审计师协会.国际内部审计专业实务框架（2017年修订）［M］.中国内部审计协会，译.北京：中国财政经济出版社，2017：128-130.

［5］ 谢志华.出资者财务［M］.北京：经济科学出版社，2018：189-197.