立项就是确立要开展的审计项目。从事社会审计,客户需要注册会计师审计什么,他们就审计什么,他们的主动选择性是比较小的,立项显得并不重要。从事内部审计,审计什么往往靠内部审计机构自主选择,立项就是内审工作的一个很重要环节。它既决定了内审机构一定时期究竟审什么,做什么工作,也决定了内审机构立足什么基础去开展审计工作。内审机构的自主性大,不意味着立项工作就很容易。越自由,越迷茫。内审机构每年连续不断地审来审去,该审的机构都审过,该查的业务都查过,常常会面临“下一年我们审什么”、“围绕什么审”的困惑。在商业银行从事了几年内审,就该问题谈点自己的体会。
一、立什么项
每年制订内审工作计划,都需要确立一个审计项目计划,明确全年要开展些什么审计项目。这些项目通常是如何确定的呢?一是看领导所需,领导让我们审计什么,我们就审计什么。这种方式的好处是内审机构不会去触碰领导不希望触碰的禁区,比较安全;坏处是领导不发话,内审机构常常闲得无事。二是看我们自己的判断,我们觉得需要关注什么,我们就审计什么。这种方式的好处是内审机构可找到“我的地盘我做主”的感觉,坏处是这种感觉不一定合领导的想法,辛苦一年也属枉然。不管属于哪种模式,我总体上觉得传统上内审立项的规范性不足,“一年审什么”往往靠“拍脑袋”:要么是领导“拍脑袋”定,要么是内审人员自己“拍脑袋”定。
那么如何把这项工作做得更规范些呢?从实践摸索看,按供需平衡模式设计审计项目计划是比较合适的。通常,需求与供给平衡更多地被理解为市场法则,实际上这个法则并不仅适用于“市场”,而是普适于诸多社会性活动的。我们从事社会性活动,涉及的关系体不外乎“我”与“他们”。要活动得有点价值,不外乎是让“他们满意”和“我满意”。这两者缺一项,我们都感受不到自己及活动的价值与意义。让“他们满意”,就要满足他们所需;让“我满意”,就要满足我之所能。内部审计作为企业内部的一项社会性活动,要使得每年的工作有点价值,审计项目就既要满足企业所需,又要适应内审机构自己之所能,前者是属于需求范畴,后者属于供给范畴。
在审计需求方面,可以从以下几个方面去确定项目“选域”:
一是企业负责人希望审计什么。可以在每年末对企业负责人访谈,了解他们的期望。在此基础上,最好向他们提交一份书面的选项问卷。访谈常常流于随意、粗放或宏观,行诸文字则有沉静的思考过程和谨慎的下笔。选项问卷可能够企业负责人的审计需求具体化。
二是常见的被审计对象希望审计什么,包括专业管理部门和各经营单元。这些单位的审计需求有两个层面:一方面,作为一级管理机构,他们希望获得其内部管理对象的一些真实信息,希望审计部门在这方面能提供一些帮助;另一方面,作为被审计对象,他们对同级管理或经营单元的问题有深刻洞见,希望审计部门把关注点放在他们认为有价值的领域。获取需求的方式主要是问卷调查,条件许可时也可采用面谈。
三是监管部门希望审计什么。监管部门熟悉政策,掌握监管导向,掌握被监管企业的综合信息并有独立评价,可以为内部审计提供一些方向。审计立项阶段征询他们的意见,既可使审计重点与监管导向吻合,也可增进与监管部门的联系,向他们展现企业的内审动态。获取监管需求最好采用访谈方式,而且需要较高层级的审计人员来完成。
四是企业经营及管理需要审计什么。这是最重要、也最难的立项依据。前三类需求均来自于企业经营管理的主体,反映了经营管理或监管主体对企业经营管理的判断。审计是服务于企业经营及管理活动的,审计部门审什么还是要指向经营及管理活动本身。审计部门必须对经营及管理活动有自己的独立分析与判断。企业经营与管理活动常常是复杂的,审计部门的能力及对经营管理活动的信息储备又常常是有局限的。由于这两方面因素的存在,审计部门对企业经营管理活动的独立分析与判断很难做得深透。这也常常使得审计立项并不准确,审计人员辛苦一年却未必在“做正确的事情”。要避免这种结局,审计管理需要在这个环节狠下功夫,采取一些强化措施。我的建议意见是审计部门可建立一个“企业经营及管理活动立项评估分析框架”。该框架应包含以下要素:第一,审计目标。企业内部审计的职能是比较宽泛的,不同职能实现的目标是不同的,不同目标对企业经营及管理活动的关注点也是不一样的。因此,必须依据审计目标来确立评估分析框架。比如,离任审计,主要目标是对被审计人员的履职评价。风险管理审计,主要目标是评价风险管理状况。这两种审计的目标有差异,立项评估分析的框架也就不相同。第二,评估分析范围或对象。根据审计目标,确立审计应覆盖的范围及对象。第三,评估分析要素。根据审计目标确立从哪几个方面分析企业经营及管理活动,也就是选择可以切割、解剖经营及管理活动的分类要素。在实践层面,这可以有多种选择。比如,风险管理审计,可以选择产品、人员、流程、客户等为评估分析要素。第四,评估分析指标。在每类评估要素下,确立几个评估分析关键指标。比如,客户要素,可以是性质、财务状况、信用等级等指标。第五,评估分析标准。确立按什么标准进行评估分析,包括对象、要素、指标的评估分析标准。评估标准最好是可以量化的。根据立项评估分析框架,最终确定从经营及管理活动的实际运行情况看,哪些是审计需要优先关注的,哪些是审计可以次后关注的。
综合上述四个方面的需求,确定全年审计总需求。在确定总需求方面,我们也可以围绕上述四个维度建立“审计需求评估分析框架”。各单项需求的分析框架——如“企业经营及管理活动立项评估分析框架”——可以纳入这个需求分析框架之内。总体审计需求评估分析框架最好也是可量化的,即将各类需求赋予一定量值,使各类需求可比、可加,进而可加计总需求。根据审计需求,估算各项需求及总需求对审计部门资源的总体需要,包括数量和质量两个方面。数量方面主要考虑人力资源投入、预算投入要求。质量方面主要考虑各项需求对胜任能力的要求。值得注意的是,胜任能力需求也是可标准化的,即划分胜任能力需求量级标准,再以此为基础分别确定审计需求属于哪一能力量级的需求。在审计实践中,审计在这方面的标准化建设是很薄弱的。
审计所需未必就是审计所要审,还要看审计部门是否有供给能力。在审计供给方面,通常需要考虑以下因素:一是审计人力资源。要测算审计部门能够提供多少有效的工作量。基本公式是:有效工作量=审计人数X有效工作日/人。二是审计部门的能力与水平。这需要建立审计人员能力量级评估标准,并以此为基础确定审计部门的总体及平均审计能力量级。三是审计费用投入。要评估企业可承受多大的审计费用预算。有意思的是,费用预算与审计独立性关系很大。如果要保持一定独立性,审计部门的吃、住、行最好不依赖于被审计对象,这需要更多的审计费用预算;相反,审计部门常常吃、住、行依赖于被审计单位提供,审计费用预算是少了,但被审计单位的接待好坏自然会影响到审计部门的审计有效性。
综合平衡审计需求和审计供给,确定审计的主要选域,即准备审计什么,选择多少及哪些类型的项目。这种平衡,既有数量上的,也有能级上的。值得注意的是,有些需求从审计目标角度看,是必须纳入审计关注的,却可能受到审计资源限制或审计能力限制,这时就需要考虑外包。比如,衍生金融品的风险管理审计,能力量级需求是最高的5级,而审计部门的最高审计能力量级是3级,则审计部门可能无法胜任。但该领域风险及管理却需要关注,这时可以考虑外包。
二、按什么立项
在确立了选域后,还需确定每一个选域按什么立项,也就是确立项目的具体载体,或者为项目确立一个合适的立足点。在审计实践层面,这项工作往往受惯性支配的影响比较大,做得很不规范、很粗糙。比如,商业银行内控及风险管理审计,习惯于按机构或业务确立审计项目。每年审计基本上都是以机构或业务为立项载体。不同的是今年审计A家机构或A业务,明年审计B机构或B业务。这种惯性思维下的传统立项方式有两个特征:一是立项载体比较“宏大”,通常是一个机构或一项业务。审计指向不够具体和精准,制约了审计效果。二是立项载体比较“固化”,每年审计基本上都是立足于业务或机构确立项目。
审计部门要提升其价值,立项阶段一定要在项目选择的精准方面下些功夫。其中一个重要举措就是重视突破传统或习惯思维去选择立项载体或一个项目的立足点。可以考虑从两个方面寻求突破:一是把立足点或载体由大变小。比如,风险的源头通常是员工(操作风险)、客户(信用风险)、市场(市场风险)、流程、环节、行为等,风险管理审计的项目立足点就可以有人、客户、流程、环节、行为等诸多选择。二是把立足点或载体由死变活。每年审计要考虑转换审计立足点。这不但可以激活审计人员的兴趣,而且实际上也是在转换审计角度,还可以突破被审计单位在应对审计过程中形成的“审计防守策略”。
确定了审计选域和立足点后,还要给项目取一个适当的名称。在审计实践中,很多审计机构在这个环节比较随意。经常给审计项目随意冠名,比如:操作风险专项审计,帐户管理专题审计,授信业务全面审计等。其结果往往是题不达意,“专题”并非主题,“全面”并非全面。在项目名称方面,通常小比大好。这与写论文是一样的,小题大作比大题小作要好些。项目名称通常要明确对象范围、立足点(领域)、性质,要恰如其分。