以提升效率、改善效果为目的的系统分析,需要从不同场景入手,对常规、特定问题进行分析。(简单归纳,仅用以反映思路)。问题1:在不少内部审计专职人员的认识里,审计工作的属性更多侧重于对“事儿”的监督,纪检、巡查等机构偏重于对“人”的监督。
从企业角度看,永远不可能做到对事儿不对人,或者对人不对事儿,事儿与人本身是不可分割的一体。问题出在哪里?企业内部存在不同职能属性的多监督部门,出现了基于部门分工看问题的观点,而不是从企业大局角度的认知,属于职能割裂的具体反映。问题2:在具体审计中,经常出现的问题,主要体现在审计项目组与被审计对象之间,就审计发现的问题进行大量沟通、确认过程中的“诸多分歧”,延迟了审计项目占用资源的及时释放,不利于审计效率的提升,归纳为4个方面:
第一个方面是对审计依据的政策、制度认识上存在分歧。
第二个方面是从权限的认定而发现的问题。审计部门遵循的是“揭示问题”原则,企业中由于制度间权限分配不一致造成的结果,必然被审计认定为问题,而被审计部门往往从“事理”角度进行辩解,认为是其它部门制度编制,存在权限设置冲突问题。
第三个方面是明显的违反规定问题,但在问题程度的认定方面出现分歧。即同样的问题,不同审计组、不同审计对象,可能出现认定问题程度不一致的现象。譬如:发现“发月饼”问题,或者发现“报销公交卡充值发票”问题等等。整改的结果是以牺牲更大成本,把“不合规”转变为“合规”。
问题3:主要表现在审计机构与主管审计领导之间,重点反映在定期听取审计汇报、审计问题情况及过往问题整改进展等环节,具体表现在“领导关注重点问题”与审计汇报“问题全面性”之间的模糊分歧。
另外,还有审计问题整改责任划分分歧问题;审计问题与责任追究关联问题;来自国家及上级的巡视、外部审计与内部审计已有结果的分歧问题;不断揭示问题而问题不断重复发生问题;定期审计培训与审计能力不足的问题等等(不再详述)。在监督日益加强,企业追求“建设世界一流”宏伟目标的新形势下,内部审计传统的以“揭示问题”为导向的定位,有很大的商榷余地。只负责发现问题,或介入问题整改为标志的“监督御史式”的角色定位,已经不适应当下“强合规、重效益、抓效率、提质量、铸一流”的现实情况,内部审计建设应该立足于“效率、质量、成本、效果”4个方面进行系统谋划,向“增值式”定位转变。何谓增值式?即不仅要发现并揭示问题,还要发挥问题防范、问题预警、问题处理与闭环管理的作用;不仅要做好内部审计工作,还要发挥外部监督检查发现并揭示问题的防火墙作用。防火墙有两种:一是隐瞒问题不被外部监督发现,这是“不合规行为”,不可取;二是通过内部审计,把问题消灭在“苗头”阶段,自然发挥防火墙作用。后者应该是企业内部审计的追求,也是指导内部审计建设的“最高阶原则”。(1)把事后审计延展为事前、事中、事后相结合模式。采用的方式即标准化、程序化的过程。传统审计是一个“黑盒”,黑盒只体现结果。
反映到企业现实,除专业审计人员外(恐怕不少审计人员也说不清),除极少数与审计相关度较高的部门,譬如财务部门对审计的基本程序有所了解外,企业内不会低于90%的人,无论是领导、管理者,还是被审计对象,都不清楚审计的过程、方法以及审计的具体规则,自然也不具备“控制审计问题发生”的能力。如果按照传统的审计模式,即使审计加严后,再持续10年,或者20年,审计发现的问题仍会重复发生,出现这种结果,一点都不奇怪。现实的做法是,把“黑盒”转变为“白盒”,让员工了解审计的基本原理。譬如,审计执行前的两个步骤:制度符合性度量,是确定审计依据的过程;审计执行中对结果、证据与制度要求的印证、了解、分析、确认过程。如果把过程“白盒”化,可以间接发挥3个作用:一是制度管理中“合规义务”的传导问题,有助于解决审计与审计对象“依据分歧”问题;二是通过明确的“问题程度”认定标准,有助于指导被审计对象在日常工作中,对问题的把控,同时解决了“审计问题程度认定的分歧”,可以减少沟通难度;三是通过审计执行的程序标准,有助于指导被审计对象注意过程证据的保留,同时解决了“审计问题确认”的分歧问题,以及“内控评价”、“合规评价”问题。归纳整理并形成审计标准,把审计标准作为审计与被审计对象、审计与被审计对象主管机构之间的“接口”,而不是审计执行的“私有法宝”,有助于帮助被审计对象自觉控制问题的滋生,此谓“事前”;有助于为主管部门日常检查、监督工作提供借鉴,此谓“事中”,审计部门开展的审计,此谓“事后”,同样构成了“三道防线”。(2)把审计工作规范化,强化对各单位审计机构的“一致性”指导。规范化不是提要求、讲道理,而是要形成上下认识一致的“结果”和“规范”。
譬如:企业中的审计类型包括什么?在每种类型的审计项目中,重点关注什么?从方案到问题整改,全过程的操作程序是什么?问题程度划分标准是什么?问题确认前,需要经过几个环节的印证等等。现实中,很多企业审计机构管理者,不一定清楚到底要开展哪些审计项目。很多时候,反映的是如数家珍般的“经济责任审计、离任审计、投资项目审计、研发项目审计、固定资产投资审计┉┉”,不同管理者的陈述,五花八门,混淆了审计性质与审计项目的关系。笔者不是专业审计工作者,但在我的认知里,审计项目应该包括4大类型:经济责任审计、离任审计、财务(决算)审计、项目审计。4者的审计目标并不完全相同,决定着审计的范围、内容、程序也存在不同。不管企业划分为几种类型,至少应该形成共识,这是起码的管理之道。(3)把包括审计计划、审计标准等内容的审计管理与审计执行分离。实施管理与执行分离,一方面有利于审计标准的建立、宣贯、审计人员的能力培训与提升;另一方面还有利于妥善处理审计执行中存在的“分歧”,增强审计管理的权威。
现实中,并非没有审计管理,但在审计基础能力建设方面,很少发挥作用,更多体现在“审计项目自我计划制定,以及常规的事务性管理”。本质上,仍然混淆了审计管理与审计执行的关系。这一趋势,导致审计资源始终处于“紧张”状态,发生审计部门临时、长期抽调部门内其它职能机构的人员、资源挪用问题,不可避免。看似敬业,看似提高了资源利用程度,其实大错特错。从笔者曾从事的组织管理角度看,出现这一现象意味着可能存在3个方面的问题:一是客观存在审计部门资源配置不足的问题;二是审计管理能力存在问题,导致效率低下;三是协助机构要么存在编制冗余问题;要么疏于职守,原因是发生了“职责漂移”问题。(4)发挥审计机构的专业作用,做好问题的剖析与培训,降低问题重复发生概率。问题剖析不是讲解所有问题的分析结果,而是针对重点问题、存在较大发生概率的问题、外部监管重点管控的问题进行分析,讲解问题产生的机理,以及防范问题建议。目的在于,化解同属性问题在单位不同业务之间,在不同单位之间重复发生的可能;从审计角度,建立发生重大重复问题的追责机制,也是为了降低重复问题的发生概率。所以,新时期下的审计建设,绝非仅仅定位于“揭示问题”。
一个缺失面向各层级管理者剖析、讲解问题机理,一个缺失面向审计队伍进行审计理念、审计规范培训的内部审计机构,本质上没有发挥任何“防范问题重复发生”、“提升审计能力”的管理作用,是审计职能遗失的具体反映。(5)审计培训要有针对性。针对性培训体现于3个方面:一是学习并掌握上级政策的变化,以及落实新政策的工作要求;二是对审计新方法的学习与交流,实现知识共享;三是宣贯企业审计工作规范与相关标准,提高审计工作者的业务能力。
(6)把各种建设内容综合,编制并发布内部审计手册。企业中,“手册”的建立与引用,并不鲜见,但很多“手册”的定义发生了严重偏差。内部审计手册不是审计政策、制度的合订本,而是基于审计管理、执行的指导规范。
手册是指导审计系统内人员、其它相关业务人员开展工作的参考依据。手册体现审计部门的管理思路、审计模式、审计管理方式、审计方法,以及出现各种问题后的处置说明与执行标准。手册的作用在于:一是统一对审计职能发挥的认识基础;二是传播审计管理的思想与理念,统一执行者的理解;三是指导现实中的操作,能够通过手册,找到解除困惑、解决问题的方法和依据;四是体现手册的维护、调整条件,以及手册存在问题的反馈机制。
