内部审计要成为组织内部一个健全有效的“免疫系统”,不仅要及时地发现病毒,杀死病毒,还要及时地预警防范和抵御病毒入侵,并促进组织建立起长效的防御机制。内部审计要真正发挥“免疫系统”的功能,除了要对已存在的问题进行查处和修补,对潜在的风险进行揭示和抵御,更重要的是要通过优化审计理念和管理,明确内部审计发挥“免疫系统”功能的着力点,以实现揭露、查处、纠正、预防和促进完善等功能的有机结合、综合运用,才能确保内部审计“免疫系统”功能得到最大程度的发挥,更好实现促进增加组织价值和优化改善组织运营的目标。
一、转变观念,着力实现从查错纠弊向促进优化内控管理服务的转变
现代内部审计活动实际上是管理的延伸,内部审计人员所从事的工作是组织管理当局想做而未能做的事情。他们的使命已不再仅局限于检查发现可能存在的财会差错,而是通过独立的检查和评价活动,针对内部控制的缺陷、管理的漏洞,提出切实可行的、富有建设性的建议和措施,促进管理当局进一步改善优化经营管理,提高组织的综合实力。然而,目前我国大部分内部审计机构和人员往往还是把工作精力主要放在查错纠弊上,其主要工作都集中在财务领域,而未深入到组织管理控制和整个系统运行领域。但是,要想从根本上杜绝舞弊行为的发生,就必须从促进组织完善和优化内控管理着手,注重开展制度基础导向审计和风险导向审计,努力在促进组织内部控制建设上下功夫。通过审计发现组织在内部控制制度建设和实际执行方面存在的问题,提出加强和完善内部控制的建议,最终实现促进组织内部控制系统得到加强和优化的目标,从而使整个系统的“免疫力”得到增强,由此确保审计“免疫系统”功能的充分有效发挥。
二、转换角色,着力实现由监督者向控制者的转变
内部审计是组织加强内控管理的重要环节,内部审计在组织内部具有相对的独立性,内部审计向管理高层负责并报告工作,是管理高层实施管理控制实现组织目标的重要手段。因此,内部审计机构和人员应积极转换角色,注重自觉从传统的“监督者”的角色向更高层次的“控制者”的角色转变。唯有从管理高层的角度和高度出发,才能站得高看得远想得深,有效提升内部审计工作的层次和水平。
在传统的内部审计中,审计项目通常是起于立项、终于报告,所有和项目有关的审计活动,包括资料收集和分析、抽样、取证直至报告都集中在由立项到报告这一短暂的期间内。它对被审计对象的考察通常是静态的、以某一时点为终点,审计后新发生或暴露出的问题和风险,往往要到下一次审计时才能发现,影响了审计在风险控制方面作用的发挥。鉴于此,内部审计要更好实现由监督者向控制者的角色转变,必须高度关注开展动态审计,就是在网络通信技术的帮助下,对投入资金较多、经营风险较大的重点领域的经营、管理和控制活动进行经常性、实时和动态的审计监控,以保证审计工作的时效性,最大限度地发挥审计的“免疫力”。因此,内部审计作为一个组织管理控制的扩展,应把确保系统正常运转、实现组织发展目标作为工作出发点和落脚点,这就需要内部审计要及时地转换角色,不断地创新和改进审计的方式方法。只有这样,内部审计才能最终脱离狭隘的监督者角色,在组织全面管理和整个系统运行中实现更高的价值,更好地体现“免疫系统”功能。
三、创新方法,着力实现由传统审计向风险导向型审计的转变
内部审计要充分发挥“免疫系统”功能,及早感知和发现系统运行中存在的潜在风险是关键。随着风险导向内部控制时代的来临,内部审计的方式、方法和重点也应随之变化,要逐步实现由关注“控制”向关注“风险”的转变。因此,要高度重视开展以风险为导向的内部审计,切实强化内部审计的预警功能,充分发挥内部审计的预防性作用。以风险为导向的内部审计,自始至终关注组织运行过程中面临的不能实现其目标的各种风险,依据风险发生的概率和大小,有针对性地确定内部审计的范围与重点,把有限的内部审计力量集中在高风险领域,从而合理有效地分配内部审计资源,将内部审计资源分配到关键风险点和重点内容上,实现资源配置的“帕累托最优”,协助组织更为有效地管理风险、控制风险和化解风险,最大程度地实现组织的价值增值。同时,要通过风险点的汇集和排序,对组织经营管理中存在的不利因素,特别是可能产生危害的苗头性、倾向性问题和风险隐患及时发出预警,促使管理层及时有效地采取预防控制措施,消除风险隐患,以充分发挥内部审计的预防性作用。
现代内部审计除了关注传统的内部控制制度执行情况之外,更关注有效的风险管理机制和健全的组织治理结构。现代组织管理中的风险管理已成为关键流程,促使内部审计的工作重点不再是测试控制,而是确认风险及测试管理风险的方法。在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的管理控制风险,才是内部审计应着力关注的焦点。从当前情况看,我国的风险导向审计尚未得到广泛的开展,因此,内部审计机构和人员应在实践中有意识地推动这项工作的开展,从强调确认和测试控制的完整性,逐步转向强调确认和测试风险是否得到有效管理,从传统的强调关注风险因素,逐步转向关注情景规划。同时,内向型管理审计的建议应不再仅是强化控制、提高控制效率和效果,而应该是如何规避风险、转移风险和控制风险,通过风险管理的有效化,提高组织的整体管理效率和效果,有效防止和防范风险的产生,从而达到为高效实现组织目标服务的最终目的,高质量地发挥好内部审计的“免疫系统”功能,在促进组织健康高效运行的前提下,从更高层次上实现促进地区乃至国家经济社会健康运行的审计目标。
