党建
组织的治理质量,往往取决于审计职能与董事会的互动深度。
这是现代企业内部审计实践中的共识,也是《全球内部审计准则(Global Internal Audit Standards)》在第8.1条提出的明确要求:CAE(首席审计执行官)必须确保董事会获得支持其履行职责所需的信息。
但从现实中看,审计与董事会之间报告形式有之、实质对话不足的现象仍极为普遍。
这使得内部审计虽有上通的制度安排,却难有共舞的治理影响力。
标准的表述:报告义务背后的治理期待
根据《全球内部审计准则》2024版第8.1条【与董事会的信息沟通】,内部审计活动必须:
向董事会提供实现其治理职责所需的所有信息,不论是否为董事会明确要求。
这项标准揭示了几点关键含义:
主动性:不是等董事会提问,而是内审应基于专业判断主动提供必要信息 内容覆盖:不仅限于审计报告,还包括风险偏好变化、内审资源独立性、管理层对审计建议的处理分歧等 治理视角:目的不是合规通报,而是帮助董事会判断组织是否正偏离其战略轨道
📌 换句话说,董事会需要的不是更多信息,而是更有洞察的风险对话。
制度设置与角色落空的悖论:内审汇报董事会,但是否真的为董事会而审?
多数组织都已经建立如下治理结构:
CAE向审计委员会定期汇报;内审年度计划需经董事会批准;内审重大发现需向董事会通报
但以下问题仍在普遍发生:
| 症状 | 实质问题 |
|---|---|
| 审计议题未入董事会战略讨论 | 年度计划未与战略目标、企业风险评估同步 |
| 董事会对审计内容理解有限 | 报告语言不具治理相关性 |
| 重要审计建议被搁置 | 缺乏治理层介入执行的机制 |
| CAE虽可直报董事会,却不敢越级 | 报告路径虽双线,组织文化仍单向 |
建立共舞机制:三项制度重构建议
1. 设立风险判断异议机制
许多风险争议并不在审计发现本身,而在于是否需要治理层介入。
标准8.1.5(实务指南)明确指出:当CAE判断管理层对风险的接受不可被接受时,必须向董事会通报。
建议机制设计:
设立《审计异议处理程序》,由CAE提交《风险升级建议函》 审计委员会专项审议,必要时董事会集体决策 异议内容纳入《董事会会议纪要》,由管理层回复具体应对措施
📌 这既保护了CAE的独立性,也保障了董事会的治理义务不被管理层过滤。
2. 报告治理化:从发现者转为对话者
大多数审计报告仍停留在流程导向、控制导向、合规导向,缺乏对董事会可操作的启发性价值。
可参考IIA《审计委员会与CAE有效互动指南》建议,将报告重构为:
| 报告模块 | 内容指向 |
|---|---|
| 风险事项摘要 | 对组织战略、财务、运营或声誉的潜在影响 |
| 管理层响应分析 | 管理应对策略是否足以减轻残余风险 |
| 治理建议 | 董事会是否需调整政策、授权机制、资源配置 |
| 审计建议未被采纳事项 | 说明争议原因及审计方立场(适度表达异议) |
3. 将内审纳入董事会自我治理工具的构建体系
董事会常被期望成为风险监督者,但其自身能否掌握组织真实情况?是否存在信息遮蔽?这正是内审的切入点。
建议在董事会职责体系中正式嵌入如下内容:
通过CAE,获取组织第二层次监督的独立回馈 将内审评估结果纳入对管理层的年度绩效审查每三年至少一次,委托第三方对 内审功能进行外部质量评估(QAIP),并由董事会负责审阅报告
📌 治理不仅要看组织,也要看内审是否真正支撑了组织目标。
与董事会共舞,内审必须先转变三个观念
1. 从执行控制评估转向战略偏差预警
控制缺失固然重要,但更深层的问题是:是否存在被合理操作过的合规?是否有制度内漂移? 内审要关注的,不只是控不住,而是战略是否已被扭曲执行。
2. 从提交报告转向塑造风险对话结构
好的审计报告不是一份文档,而是触发一次董事会反思风险结构的对话。 没有对话价值的报告,就无法在治理中产生影响。
3. 从中立位置转向多重责任平衡者
审计不是站在董事会一边或者管理层对立面,而是要在治理结构内,维护制度完整性与风险平衡能力。审计不是政治中立者,而是治理责任的承压者。
治理不是审计的观众席,而是对位舞伴
标准8.1告诉我们,信息沟通是内审对董事会的责任,但现实告诉我们,真正有治理效果的沟通,靠的是机制、视角与信任三者同时在场。
内部审计要从独角戏走向共舞,靠的不再是我有没有汇报,而是:
组织是否给了我表达价值的空间 董事会是否愿意听不好听的真话 我自己是否已经具备用治理语言讲述审计事实的能力
97046009
