总第 679 期
【作 者】
成 娜
【作者单位】
(中国人民银行上海总部内审部 上海 200120)
【摘 要】
【摘要】IIA在《内部审计实务标准》中将咨询与确认职能一并列为内部审计的两大职能。本文从内部审计两大职能的定义辨析入手,指出咨询与确认职能的天然冲突,并以央行内部审计为例,分析咨询职能的履行现状和遇到的两个主要问题——独立性受损及承担了不应承担的风险,从央行治理和国际内部审计准则两个角度提出界定咨询职能的几点建议。
【关键词】咨询职能 职能界定 内部审计
近年来,随着组织治理的不断推进,我国企事业单位对内部审计的职能要求已不能满足于查错防弊等合规性确认职能,国际上内部审计行业准则也将咨询职能列入内部审计两大职能之一(另一项职能是确认),可见咨询职能在促进企事业单位组织治理和寻求内部审计自身发展中均发挥重大作用。但是,内部审计咨询职能由于其天然属性,易于与内部审计独立性产生冲突,从而影响内部审计确认职能的履行,甚至使内部审计成为业务风险的共担方。所以,内部审计人员在研究如何发挥咨询效能、最大限度地为组织增值的同时,应该明确咨询职能的界定,避免因追求咨询职能的效能而损害内部审计的独立性,从而承担不必要的业务风险。
一、内部审计咨询职能:定义辨析及发展困境
从最初的会计记录检查(20世纪50年代)、合规性评估(20世纪60年代)和程序检查(20世纪70年代),发展到控制评估(20世纪80年代)、内部控制系统报告(20世纪90年代)、风险评估管理(21世纪初),到近年来越来越强调全面风险管理、增加组织价值,现代内部审计的内容和职能随着内外环境的变迁发生着巨大转变。无论是出于内部审计自身发展的需要,还是为满足组织内部治理的要求,内部审计的价值已不仅仅在于发现问题,而在于对发现的问题提出更好的建议。这些建议有利于帮助管理层改进业务流程、提高业务效率和效果、降低成本费用和提高风险应对水平。内部审计服务拓展和延伸的同时,也满足了组织新需求,为组织增加了价值,于是内部审计的“咨询”职能应运而生。
2001年国际内部审计师协会(IIA)在《内部审计实务标准》中对“内部审计”的定义为:内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。该定义在国际上首次正式提出内部审计的“咨询”职能,将新职能与传统的确认职能一并提出,凸显了现代内部审计双重职能并重的地位。IIA于2009年1月修订的《国际内部审计专业实务框架》(IPPF)词汇表中对“咨询职能”的定义是:咨询及相关的客户服务活动,其性质和范围需要和客户协商确定。同时对“确认职能”进行了定义:为独立评价组织治理、风险管理和控制过程而对证据进行的客观检查。
内部审计的这两项职能是相互区别和联系的(详见表1和表2),咨询职能是在确认职能的基础上发展起来的,是内部审计现在和未来发展的方向。
内部审计人员提供咨询服务虽然是内部审计发展到一定阶段的必然选择,但由于其天然的属性破坏了委托人、内部审计人员和被审计方原有的三方关系,造成其在实施时容易存在自我检查威胁、审计职能错位等问题,与内部审计的原则——独立性和客观性产生矛盾。一方面,内部审计人员提供的咨询服务无论为处于信息优势的管理层提供多么有价值的建议,也不能以损害履行确认服务的前提——独立性为代价,丧失内部审计人员客观公正的专业态度和职业道德;另一方面,内部审计人员不能因为担心提供咨询服务有可能损害独立性而裹足不前,满足于查错防弊的传统确认活动,错过了内部审计发展的机遇,边缘化自身在组织中的位置和作用。
如何化解两项职能之间的天然差异,使内部审计充分发挥好确认和咨询的双重职能,成为内部审计发展中遇到的一大难题。本文希望以央行内部审计为例,界定咨询职能的边界,使内部审计咨询活动既能充分发挥内部审计人员顾问职能,又不损害内部审计的独立性,从而不影响确认活动的开展,实现内部审计的双重职能,为组织增加价值。
二、央行内部审计咨询职能履行及其遇到的问题
为加强和改进央行内部治理,顺应内部审计行业快速发展的需要,中国人民银行内部审计司于2011年制定了《内审工作转型2011 ~ 2013年规划》,旨在推进人民银行内部审计工作全面转型和深化发展。近两年,人民银行各级内部审计部门围绕央行中心工作,全面落实转型规划要求,积极发挥内部审计在央行风险管理、内部控制和组织治理过程中的确认和咨询作用。同时,各级内部审计部门和人员也逐步把内部审计理念统一到“风险导向、控制驱动、关注绩效、服务治理、增加价值”上面,审计职能由传统的查错纠弊的确认职能,向更多发挥顾问作用、更具建设性的增加价值的咨询职能转变。
随着央行内部审计的咨询职能越来越突显,被审计对象也逐渐接受了内部审计从“体检医生”到“保健医生”的角色转变,也逐渐愿意与内部审计人员一起探讨业务上如何更好地控制风险、提高绩效、优化流程等问题,而不是纠结于具体某笔业务的对与错。内部审计职能的转变不仅给自身业务发展带来新的机遇,也通过咨询顾问的角色获得了越来越多被审计对象的理解和接纳,从而提升了央行各项业务的内部控制和风险管理水平。
在央行内部审计受益于内部审计职能转变带来好处的同时,央行各级内部审计部门也承担起越来越宽泛的工作内容。比如,以人民银行某分行内部审计部门为例,2012年应邀参加其他业务部门业务工作共投入40多人·天的现场工作量,主要集中在发行库(包括代理库)库主任、库副主任查库,参加集中采购领导小组会议及集中采购项目开标,基建项目动迁谈判小组谈判等业务;另外还参加部分工程项目验收、国库券及票据和会计档案销毁监督、纪念币发行巡视等一线业务监督工作;近几年内部审计人员还直接参加支付结算、反洗钱等专项检查和经济实体处置等涉及央行方方面面的业务管理工作。其中,内部审计人员参与发行库检查和集中采购相关监督工作是执行人民银行相关制度,而其他工作均为业务支持。相比于该部门同年完成审计项目共投入100多人·天的现场工作量,参与上述业务部门工作的工作量占比较高(29%),可见该行内部审计人员参与业务部门工作已成为双方认可的工作模式。一方面,内部审计人员可以通过参与监督业务过程甚至直接参与业务,开展事前事中监督,并学习央行业务,提高业务水平;另一方面,业务部门在日常业务操作中邀请内部审计人员参与监督,可以更好地保证业务操作的合规性。
但是,这种审计双方“我中有你,你中有我”的“融洽关系”,如果处理不当,主要会带来两个问题:一是独立性受损。2009年1月IIA修订的IPPF中,作为强制性指南的《内部审计实务标准》对内部审计的独立性提出,“内部审计师必须避免评价其以往负责的特定业务”,“若内部审计师可能会损害拟开展的咨询服务的独立性或客观性时,必须在接受该业务之前向客户披露”,否则独立性受损,从而直接影响审计质量。如果内部审计人员较高频率地参与被审计对象的日常业务,势必会给对该业务的审计评价带来公正性的利益冲突。二是承担了不应承担的风险。内部审计人员在参与被审计对象日常业务时,一般是以咨询、顾问或小组成员的身份而非审计师的身份进入。但是被审计对象往往认为,但凡内部审计人员参加了某项业务,他就是以专业审计师的身份对该业务的合规性进行了确认,为各类业务风险寻求脱责的托词,让内部审计人员共担了业务风险,而这种风险显然不是内部审计人员应该承担的。
可见,央行内部审计转型对内部审计职能以及内部审计人员角色的转变都提出了更高的要求。内部审计人员一方面需要通过参加被审计对象的业务,履行咨询顾问的职能或提升业务水平,另一方面要避免由于与被审计对象的“融洽关系”而出现审计评价有失独立性或客观性且承担了相应业务风险的问题。所以如何合理界定内部审计咨询职能的边界不仅是内部审计理论界需要探讨的问题,更是内部审计人员在内部审计转型的大背景下迫切需要解决的实务问题。
三、内部审计咨询职能界定的建议:以央行内部审计为例
如前文所述,央行内部审计咨询职能履行遇到的主要问题是独立性受损和承担了不应承担的风险,前者主要和治理结构有关,对于后者则需牢记国际准则中对内部审计咨询职能的原则界定。
央行治理的组织结构有别于公司治理的组织结构,最大的区别主要是委托代理关系不同,这也直接影响组织中内部审计所处的地位。公司治理的组织结构(见图1)是决策、执行和监督三权分立的组织架构。决策方通常是公司的所有者,也是处于信息劣势的一方,需要监督方为其监督执行方的经营管理行为。监督方通常独立于执行方,直接对决策方负责,审计委员会和内部审计部门组成了监督方,所以监督方和执行方相对独立。
而央行治理的组织结构(见图2)往往是决策方和高层执行方为同一主体,监督方隶属于决策方和高层执行方,所以内部审计部门作为监督方与执行方的独立性相对较差。但由于与中层执行方相对独立,所以仍然有可以履行确认和咨询职能的空间。
2009年IIA在IPPF中对“咨询职能”的定义中,特别强调了内部审计师是 “在不承担管理职责的前提下”履行咨询职能。这是国际准则对内部审计咨询职能的原则界定,即无论内部审计师为业务部门提供了多少流程控制建议,参与了多少质量控制,为多少业务一线人员培训了内部控制方面的知识活动,内部审计师都不应与业务管理层一起承担任何管理职责。
具体到内部审计实务中如何界定内部审计咨询职能边界的问题,本文以央行内部审计为例,针对央行内部审计在履行咨询职能中遇到的问题,结合央行治理的组织结构和内部审计所处的层级,在国际内部审计准则的指导下,提出几点建议,以资参考。
一是厘清委托代理关系,避免损害内部审计的独立性。目前央行内部审计在实施审计项目时,均会在提供确认服务的同时,为被审计方提供咨询的增值服务,其附有咨询建议的审计报告得到行领导和被审计方的普遍认可。鉴于央行组织结构和内部审计所处的组织层级,央行内部审计在制订审计计划、实施审计项目时,要明确是受决策方或高层执行方(即行领导)委托,对其负责,而非对被审计方(即部门负责人)负责。即使同时提供咨询服务,与被审计方关系融洽,也要明确内部审计在组织层级中的委托代理关系,与被审计方保持相对的独立性,避免在知情或不知情的情况下帮助被审计方应付委托方(即行领导),坚持咨询职能是在保持独立性的前提下的内部审计职能的拓展和延伸。
二是开展咨询活动时有所为,有所不为。与各级管理层协商咨询方案、评价标准和咨询报告时,要明确自己的身份,分清职责,向对方摆明态度,牢记国际准则对咨询职能 “不承担管理职责”的界定,不能承担哪怕是共同承担应由管理层承担的职责。具体而言,一方面内部审计人员可在开展合规性审计的同时,积极探讨业务部门在提高绩效和风险管理中可以做得更好的地方,开拓思路,以前瞻性的视角为业务部门提出具有建设性的建议;另一方面央行内部审计人员应业务部门之邀参与各类查库、集中采购招投标或是其他业务时,要向业务部门表明自己不直接参与业务操作,而只是监督业务流程,不对业务操作的合规性负责。在签字确认时,要采用否定式表达意见的表述,以表明履行咨询职能的边界。
三是科学配置审计资源。年初制订审计计划时,除了考虑风险导向,还要考虑审计资源,分配好履行审计确认职能和咨询职能的审计资源,牢记避免“自我检查”。在人员、时间相对较紧张的情况下,可以考虑在一项审计中同时提供确认和咨询双重服务,可以将刚从被审计业务部门调入的、对该业务熟悉的内部审计人员安排至该项审计的咨询小组中去,回避担当审计主审、组长等关键角色,从而同时解决资源不足和损害独立性的问题。
主要参考文献
1. 郭庆平.人民银行内审工作转型与发展.中国金融,2012;7
2. 应宏伟.咨询式审计管理模式研究——基于中国移动广东公司的实践.中国内部审计,2011;10
