《审计署关于内部审计工作的规定》(以下简称《规定》)明确,内部审计是指“对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位单位完善治理、实现目标的活动”,并就内部审计机构和人员管理、职责权限和程序、审计结果运用、对内部审计工作的指导和监督作出了规定。本文阐述贯彻落实《规定》的八个具体问题以飨读者。
一、改革完善内部审计管理体制
党的十九大和十九届三中全会作出改革审计管理体制的重大决策部署。内部审计管理体制是审计管理体制的重要组成部分,是内部审计保持独立性和客观性、全面履职尽责、更好发挥作用的重要保障。改革完善内部审计管理体制,应以坚持和加强党对内部审计工作的集中统一领导为首要原则。根据中共中央《深化党和国家机构改革方案》,为加强党中央对审计工作的领导,构建集中统一、全面覆盖、权威高效的审计监督体系,更好发挥审计监督作用,组建了中央审计委员会。改革完善内部审计管理体制,坚持和加强党的集中统一领导,是值得深入研究的问题。实践中,很多部门和单位进行了有益探索,如成立内部审计委员会、内部审计工作领导小组等,作为党委(党组)内部审计工作的决策议事协调机构。为了提升内部审计的独立性和权威性,内部审计机构应当在本部门本单位党委(党组)的领导下开展工作,并严格执行重大事项报告制度,凡是涉及审计计划确定、审计情况报告、违规事项处理、违法问题移送等重大事项的,都要向党委(党组)报告。
改革完善内部审计管理体制,应以优化和理顺内部审计管理体系为重点。当前,一些部门和单位还存在内部审计领导层级偏低,权威性不足;没有独立内审机构或专职内审人员,独立性不足;内审人员力量薄弱、能力素质不能满足新时代内部审计工作要求,适应性不足等问题,一定程度上制约着内部审计更好发挥作用。解决这些问题,既需要审计机关、主管部门、内审协会等外部力量的引导与推动,更离不开组织内部对内审工作重视程度的提升。这就需要广大内审机构和内审人员奋发有为,在现有条件下努力创造佳绩,为组织增加价值,以实际行动赢得认可,不断推动优化和理顺内部审计管理体系。
改革完善内部审计管理体制,应探索创新保障内审人员履职尽责的考核激励机制。内部审计的价值,归根到底要靠广大内审人员来实现。因此,如何激发和调动内部审计人员的积极性、主动性和创造性,是改革完善内部审计管理体制的重要命题。各部门和单位应进一步建立健全内部审计人员考核激励机制,明确业绩评价的依据、方法和考核标准,全面客观评价内审人员工作业绩和发展潜力,制定科学合理的奖惩激励措施。既通过正向考核激励干事创业、用实绩检验责任担当,也通过必要的责任追究督促内审人员坚持职业操守、保持勤勉尽责。
二、开展具有内部审计特色的内部控制审计
内部控制审计是促进部门单位内部控制科学设计和有效运行的重要监督方式,也是内部审计的重要业务类型。从实践看,组织规模越发展、管理半径越增长,加强内部控制审计就越有必要。内部审计机构开展内部控制审计应当把握其与注册会计师内部控制审计的区别,作出内部审计特色。特别是要体现内部控制审计是内部控制的再控制,其目标是完善组织内部控制体系,以更好地应对风险,实现组织目标。
内部控制审计应促进完善治理。实施内部控制审计应当沿着疏通内部控制自身脉络形成的途径,通过对控制环境、控制活动、信息传导等的检查,发现环境上的不足、制度上的缺失、执行中的不力、以及信息传递中的不畅等问题,及时提出改进建议,使单位内部控制更加科学有效、治理更加完善,从而帮助部门或单位增加价值。
内部控制审计应注重审计内容的系统性。审计实施过程中应把握好组织整体和具体业务两个层面的审计内容,突出审计内容的相互依存影响关系,坚持全面性、重要性、客观性、问题导向、目标导向等原则,对内部控制进行全面评价,并在此基础上集中关注重要业务、重大事项和高风险领域的内部控制,真实地反映组织内部控制设计和运行的状况,客观地揭示组织内部控制存在的缺陷。
三、服务改善风险管理实施风险管理审计
现代管理学大师彼得·德鲁克指出,“尽管风险非常重要,但不是行动的依据,而是制约行动的因素”“风险的大小不仅取决于它的重要性,而且还取决于它的结构”。风险管理审计是内部审计机构采用系统化、规范化的方法,对组织的风险管理过程的适当性和有效性进行的审查和评价活动。风险管理审计与风险基础审计有着本质的区别。前者是对风险管理过程的审查和评价,是一种审计类型;后者是一种强调将审计风险评估和分析贯穿运用于审计全过程的审计取证模式。
风险管理审计应以内部控制研判为基础。内部审计人员应当重点关注风险管理机制、风险识别方法、风险评估方法、风险应对措施,以及管理者对风险管理的态度、理念、胜任能力等内容,结合内部控制、财务、绩效的审核结果,对风险管理现状及效果进行专业判断,评价风险管理的合理性、措施的适当性以及执行的有效性。
风险管理审计应关注战略管理和绩效。内部审计人员应当站在组织战略管理的高度,运用系统思维,充分把握组织总体发展态势,找准组织发展瓶颈,为组织战略决策提供信息。既要熟练运用审阅、检查、访谈、分析程序等传统审计方法,也要学习掌握关键风险指标分析、生命周期分析等常见的风险评估方法,了解风险管理的最佳实务,与通过测试和评价获取的具体情况对比分析,从而找到差距及产生差距的原因,为服务组织改善风险管理提出意见建议。
四、全面理解绩效审计
一是把握好绩效与真实合法的关系。绩效审计不能与财务收支、合法性审计完全割裂,因为绩效审计必须建立在基础数据资料真实合法的基础上,即只有在完成对被审计单位财务收支真实合法审计、并对其不真实不合法事项进行调整的前提下,绩效审计才有现实意义。
二是应关注资源分配和发展战略。开展绩效审计,不仅要关注组织的经营与管理,促进最大限度利用现有资源,充分挖掘人财物潜力,提高管理水平,而且要关注组织发展战略。因为发展战略既体现组织的持续增长,更体现组织落实党中央、国务院重大决策部署的发展方向。特别是党政机关、国有企业事业单位,是党和国家重大政策和社会责任的主要参与者、推动者、承载者、落实者,内部审计应当通过绩效审计,推动组织发展战略为实现国家发展战略服务。
三是注重相对性分析。绩效审计中,审计人员应当根据重要性、审计风险和审计成本,选择与审计对象、审计目标和审计评价标准相适应的技术方法。其中,分析方法最为常见。在运用分析方法时,除采取绝对数量、变化趋势等的分析外,更要注重对评价指标的相对性分析,这样才能够全面的、辩证的、发展的进行审计评价。
五、更新内部经济责任审计理念
内部审计机构接受委托,对单位内部管理的领导人员履行经济责任情况进行审计监督,是一项基本职责。其主要目标是,评价内部管理的领导人员经济责任履行情况,促进其认真履行经济职责;加强对内部管理领导人员的考核,为管理层或人事部门考核、奖惩、任用干部提供依据;促进被审计单位完善内部管理,加强廉政建设。随着组织对内部审计职能的认可和期望提升,经济责任审计的内容不断拓展,已不仅仅是狭义上的“经济责任”,社会责任、环境责任等也逐渐纳入经济责任审计的内容范畴。可以说,任何内部审计都具有经济责任的元素,经济责任审计的内容也涵盖了单位履行职责的各个方面。
实施内部经济责任审计要注重贯彻落实好习近平总书记提出的“三个区分开来”的要求,紧扣中央精神和改革发展要求,实事求是地分析问题,看是不是在推进改革中因缺乏经验、先行先试出现的失误,是不是上级尚无明确限制的探索性试验中的失误,是不是为推动发展的无意过失,要坚持历史全面客观地看待问题,让审计评价更准确客观、责任认定更令人信服。
实施内部经济责任审计,还应当实现责任、家底和发展“三兼得”。既要聚焦领导干部经济责任履行情况,又要通过审计摸清被审计单位家底,以审计发现的问题为基础,提出促进完善内控、防范风险、健全制度的建议,更好地服务于完善组织治理、实现组织目标,促进组织的健康可持续发展,提升经济责任审计的建设性作用。
六、精准把握自然资源管理和生态环境保护责任审计
内部审计机构对本单位及所属单位的自然资源资产管理和生态环境保护责任履行情况进行审计,是近年来内部审计的一项新任务。《规定》明确要求内部审计机构应对本单位及所属单位的自然资源资产管理和生态环境保护责任的履行情况进行审计。依据有关规定,我国内部审计机构开展自然资源资产管理和生态环境保护责任审计的基本对象,主要是各级党委政府、部门、单位领导。
内部审计机构应充分认识新时期开展自然资源资产管理和生态环境保护责任审计的极端重要性,准确把握本组织面临的主要自然资源资产管理和生态环境保护风险。善用大数据分析技术、地理信息技术等现代化分析手段,对被审计领导人员履行自然资源资产管理和生态环境保护责任情况进行客观评价,促进自然资源和生态环境保护,切实发挥审计在美丽中国建设进程中应有的作用。
自然资源资产管理和生态环境保护责任审计,应重点关注领导者贯彻执行生态文明建设方针政策和决策部署、遵守自然资源资产管理和生态环境保护法律法规、自然资源资产管理和生态环境保护重大决策、完成自然资源资产管理和生态环境保护目标、履行自然资源资产管理和生态环境保护监督责任、组织自然资源资产和生态环境保护相关资金征管用和项目建设运行、以及履行其他相关责任情况等。通过审计推动探索编制自然资源资产负债表和实行生态环境损害责任终身追究制度。
七、着力培养信息系统审计高端人才
信息系统审计,是指内部审计机构和人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。它是以组织的信息系统为审计对象的一种审计类型,在概念上不可与计算机辅助审计、大数据审计等审计技术方法相混淆。开展信息系统审计,目的在于对组织是否达成信息技术管理目标进行综合监督、评价,基于评价提出管理建议,协助组织实现目标,主要关注信息系统的可用性、保密性、完整性等内容。为此,要突出对信息系统运行中的审计,即系统的运行是否实现了开发设计的目标,是否给被审计单位业务运行带来合理回报,运行是否安全可靠等等。
开展信息系统审计,对内部审计人员的信息技术水平提出较高要求,既需要具备全面的计算机软硬件知识,也要对网络和系统安全有独特的敏感性,还要对财务会计和组织内部控制有深刻理解。审计机关、内部审计协会和部门单位要有针对性地组织好各类教育培训,为内部审计人员提升素质提供支持,为深入开展信息系统审计,促进组织优化管理、提升绩效,奠定良好的人力资源基础。
八、强化内部审计发现问题整改和成果运用
首先,应当树立内部审计成果的产品意识。内部审计成果,是内审机构和内审人员的工作结晶,是内部审计投入产出的核心“产品”,是内部审计工作成效的集中反映。只有内部审计工作取得丰富成果,才能谈得上价值创造、成果运用和督促整改问责。因此,内审机构和内审人员应当牢固树立审计成果的产品意识,努力打造高质量、高产出的内审产品,不断提升产品附加值。
其次,应当建立健全审计发现问题整改责任机制。需要强调的是,审计工作的完成,并不是以发现审计问题、出具审计报告为标志,而是以审计发现问题得到整改为标志,因此应采取有力措施,督促整改,切实打通审计整改“最后一公里”,促进内部审计建设性作用得到更好发挥。各单位应当建立健全审计发现问题整改机制和问责机制,明确被审计单位主要负责人为整改第一责任人,认真整改审计发现的问题和及时研究分析审计提出的建议,并将内部审计结果及整改情况作为考核、任免、奖惩和相关决策的重要依据。内部审计机构应当协助本单位主要负责人督促落实审计发现问题的整改工作,对于整改不力,屡审屡犯的,要进行责任追究。
第三,应当落实审计成果运用的激励机制。为了鼓励组织切实整改,保护内部审计机构工作积极性,《规定》第二十二条明确提出了审计机关有效利用内部审计成果的规定。为此,内部审计工作中应积极探索创新,一方面进一步提升成果意识,创造能够为审计机关审计所认可的工作成果,为通过成果运用赢得所在部门单位的支持创造条件;另一方面应当加强内部审计与审计机关之间的沟通、交流、协调,实现信息共享,提高认知度。(李凤雏)