国家审计机关提出审计全覆盖,不留盲区和死角。对于内部审计来说,要实现审计全覆盖的难度似乎更大一些,因为各个企业、组织的内部审计发展阶段不同,审计特点不同,行业特点也不同。然而,审计全覆盖是实现内部审计发展的一条可实现的重要路径。下面从:审计全覆盖的背景、什么内审全覆盖、实现内审全覆盖的方法,三个方面进行讨论。
一、背景
1.审计机关努力实现审计监督全覆盖
党的十八届三中全会以来,我国进入全面深化改革的新时期。党中央国务院明确要求审计机关要实现审计监督全覆盖。审计署原审计长刘家义指出:“必须努力实现审计监督全覆盖,不断增强审计的威慑力和实效性,依法使所有公共资金、国有资产、国有资源都在审计监督之下,不留盲区和死角。”
2.加强内部审计工作是实现审计全覆盖的需要
2018年9月11日,审计署审计长胡泽君在全国内部审计工作座谈会上指出:
“党的十九大和十九届三中全会作出改革审计管理体制的重大决策部署,加强党对审计工作的领导,构建集中统一、全面覆盖、高效的审计监督体系,更好发挥审计监督作用。
对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖,是党中央、国务院交给审计机关的一项重大任务,也是全面履行审计监督职责、充分发挥审计监督作用的必然作用。
审计全覆盖对审计监督的力度、广度和深度提出了很高的标准和要求,这就必然要求加强内部审计工作。
内审部门是补充国家审计力量、实现审计全覆盖的一支生力军,整合内部审计资源、统筹内部审计力量、加强审计成果运用,实现国家审计与内部审计优势互补,能够减少审计监督盲区,有力拓展审计监督深度和广度。
加强对内部审计工作的指导和监督,推动内部审计工作质量上层次、上水平,不仅能够强化各单位自身的风险防控,而且能够为国家审计监督创造良好的执法环境,为审计机关防范审计风险、提高工作效率提供有力支撑,有效提升审计全覆盖的质量。”
二、什么是内部审计全覆盖
内部审计与国家审计有明显的差异。我们结合内部审计的特点,从经营管理单位、业务流程、高管人员、风险、战略政策、监管要求六个方面来谈内部审计的全覆盖。也就是说,如果内部审计能够从这六个方面都能开展审计检查,都能覆盖到关键环节,基本上就能实现审计全覆盖。从实务上看,审计密度可以由低到高,先从权力集中、资金密集、资源富集、资产聚集的重点环节、重点事项、重点环节作为切入点,再根据实际资源的配置情况进行审计监督的扩展。
1.经营管理单位全覆盖。对集团企业来说,内部审计如果能覆盖到所有子公司、分公司,就可以说是机构全覆盖。如果内部审计在治理中的地位再高一些,能够审计集团总部的所有职能部门,那就是经营管理单位的全覆盖。比如,省级分公司可以每年审计全覆盖,地市级分公司可以每三年全覆盖。
2.业务流程全覆盖。内部审计不一定能覆盖到企业所有的业务流程,但是这应该是一个逐步推进的过程,因为覆盖不到的业务流程中一定有内控缺陷和风险隐患。如果内审团队因为自身原因不能对所有重点业务流程进行审计,可以采用外包的形式评估风险。
3.高管人员全覆盖。经济责任审计是内部审计的重要组成部分。内部审计要对企业的“人、财、物”进行审计,而对管理者,尤其对是高级管理者的履职情况进行审计监督,是做好风险管控的重要一环,因为内控和风险管理都是由人来执行的。高管人员经责审计包括:任中审计、离任审计、专项审计。
4.风险全覆盖。企业经营管理风险是内部审计关注的主要内容之一。风险导向审计也是现代内部审计主要标志。内部审计要对风险做好识别、评估、预警等工作。内部审计要能覆盖到企业的主要风险领域和系统性风险领域。
5.战略政策全覆盖。内部审计是企业的战略推动者,应该通过审计促进战略政策的落地和实施,并对执行情况进行摸底。战略审计是企业管理高层对内部审计提出更高的要求,也是内部审计发挥增值作用更高的层次。
6.监管要求全覆盖。近年来,外部监管对内部审计提出了越来越多的要求,也具体明确了内部审计要开展哪些领域的专项审计,并且还要求将专项审计报告报送监管部门。
除了以上六个方面,还可以从其他维度,或者再增加维度来实现内部审计的全覆盖。
三、如何实现内部审计全覆盖
实现内部审计全覆盖不可能一蹴而就,但是也有分清主次,搭建框架,抓住关键环节。实现内部审计全覆盖的路径是:
1.建立风险预警体系。现代内部审计是风险导向审计。内部审计的主要目标就是促进企业做好风险管理。内部审计通过建立风险预警体系,对企业经营管理的主要风险进行实时扫描,及时发现重大风险隐患。
2.定期绘制风险地图。组织在经营中所面临的风险是变化的。审计部门要定期对风险要进行识别、分析和评估。审计部门只有掌握各业务模块、各经营单位、各业务流程等的风险分布情况,才能做到审计的风险全覆盖。
3.不断加强数字化转型。实现对企业主要风险的全覆盖和实时扫描,前提条件就是要有信息化平台和数字化技术应用。一是要通过信息平台对指标进行监测;二是要通过开发和运行审计模型去发现风险、异常;三是要利用信息平台开展远程审计或持续审计。
4.做好审计分类管理。审计分类管理的作用是优化审计资源配置,把审计资源投入最能产出审计成果的领域,使内部审计能够满足内部控制和风险管理的最低需求。审计分类管理包括两个方面:一是做好审计类型的分类管理,如确定常规审计、经责审计、专项审计的审计重点;二是做好审计模式的分类管理,如确定哪些审计项目要开展远程审计,哪些审计项目要开展现场审计;三是做好被审计单位的分类管理,如对被审计单位进行风险评级,对风险大的被审计单位投入较多的审计资源。
5.做好审计成果的运用。审计资源是有限的,审计部门要尽可能地做到一审多果、一果多用,使审计成果可以在多种类型的审计项目中可以共享使用。审计工作应该通过系统性方法不断积累、叠加和改进,还应该利用以往的审计成果提高现有的审计效率。实际工作中,很多审计团队因为不善于利用前期的审计成果而开展重复性的工作,而无力扩展审计广度和深度。
内部审计是企业的“免疫系统”,这个免疫系统要能覆盖整个企业组织,而且这个免疫系统还是一个有机的生命体,会不断根据外部环境的变化采取不同的免疫策略。这个免疫系统还是要有生命力的,能够根据组织内部外环境的变化而做出相应的调整。