基于閉環管理的內部審計價值提升研究

黃慶惠 劉輝成 韓忠偉

[摘要]本文以內部審計閉環管理體系為方法論，探索內部審計閉環管理的構建模式，以及基于閉環管理的內部審計價值提升的機理和路徑。在業務和機構兩個層面閉環管理模型的基礎上，借助量子糾纏理論，構建閉環條件下內部審計量子糾纏理論模型，給出了內部審計量子糾纏的工作機制，并由監督部門的最優解數學問題入手，推導出閉環管理提升內部審計價值的低階和高階路徑。

[關鍵詞]閉環管理 量子糾纏 內部審計 價值

“防范風險，提高效益”是內部審計的基本職能。內部審計的最新發展表明，內部審計作為風險管理的第三道防線，在完善組織治理、防范風險、增加組織價值方面起著重要的作用。特別是在當前經濟持續下行、各行業風險不斷暴露的復雜形勢下，如何更好發揮內部審計在風險防范和價值增值方面的作用，是內部審計部門面對的新課題。

一、內部審計新實踐：閉環管理的提出

（一）傳統內部審計實踐的局限性

傳統內部審計的組織和管理是一種非連續性的方式：審計服務是以項目個體形式展開的，審計樣本是風險抽樣而非全量的，審計業務對象是條塊分割的，審計時間跨度是范圍限定的，審計風險確認是事后的。在這個意義上，傳統內部審計作為風險管理的第三道防線，在空間上是不連續的，在時間上是滯后的。這種審計樣本、審計對象和審計服務在時間和空間上的點、塊、段狀離散性分布，客觀上割裂了內部審計工作的內在連續性和統一性，造成了內部審計管理鏈條和傳導機制的斷裂化，制約了內部審計作為風險控制第三道防線的作用和效果，這構成了傳統內部審計實踐的局限性。

從控制論的角度看，傳統內部審計效能的傳導機制是單向的，缺乏“決策-實施-控制-反饋-決策優化”的循環反饋和自我調整機制。傳統內部審計一般是多個審計項目并行實施，項目之間的審計管理與交叉控制協同性較差，客觀上也造成審計發現問題屢查屢犯的現象不斷出現，制約內部審計發揮更大的作用，見圖1。

（二）內部審計閉環管理的構建

閉環管理最初是由平衡計分卡創始人羅伯特.卡普蘭（Robert S.Kaplan）和戴維.諾頓（David P.Norton）提出，是綜合閉環系統、管理的封閉原理、管理控制、信息系統等原理形成的一種管理方法。閉環管理包含兩層含義：一是管理的各個鏈條是相互銜接、首尾相連的，構成連續封閉的回路且使系統活動維持在一個平衡點上，這是管理效能在各個環節進行傳導的必要條件，它構成一個“決策-實施-反饋-再決策”的傳導鏈條。二是管理是循環往復的，“決策-控制-反饋-再決策-再控制-再反饋”，周而復始。通過閉環系統，管理面對變化的客觀實際，進行靈敏、正確有力的信息反饋并作出相應變革，使矛盾和問題得到及時解決，從而在循環積累中不斷提高，促進企業超越自我不斷發展。

隨著信息技術的發展，特別是數據庫和非現場技術的逐漸壯大，使內部審計對全量業務進行全時審計和管理變為可能，這為構建內部審計的閉環管理模式提供了技術保障。借助信息技術手段，審計樣本數量正在從隨機抽樣擴展為全量樣本，業務條線從單個產品擴展到全量業務，審計時限從特定階段擴展為全時審計，有利于內部審計從早、從小發現問題，防范風險。

內部審計的閉環管理構建包含兩個層次：

第一層次閉環是業務層面的閉環管理：通過閉環管理，在業務層面形成從發現問題苗頭到問題整改、業務提升的持續循環改進機制。具體模型構架為：風險事件-觸發審計項目-風險確認-溝通反饋-跟蹤整改-管理提升-持續監測，見圖2。

第二層次閉環是機構層面的閉環管理：內部審計部門作為風險管理的第三道防線，與作為風險管理第一道防線的經營管理部門，作為風險管理第二道防線的風險監督、內部控制部門等形成管理閉環。具體模型構架為：內部審計（第三道防線）-確認和咨詢-業務經營管理部門（第一道防線）-內控、監督部門（第二道防線）-溝通反饋-問題整改-管理提升-內部審計，見圖3。

在上述業務及機構層面閉環管理體系的構建中，內部審計部門的溝通反饋功能起著至關重要的作用。它通過向各專業部門、經營機構不斷傳遞反饋審計監督信息，將內部審計的控制理念嵌入到整體業務流程的各個環節和機構經營管理中，形成內部審計與各專業部門之間協同作業的管理閉環，從而不斷提升內部審計價值。

二、閉環管理提升內部審計價值的機理：一種量子糾纏態

（一）量子糾纏

量子糾纏（quantum entanglement），是一種量子力學現象，是粒子在由兩個或兩個以上粒子組成的系統中相互影響的現象。即使相距遙遠，一個粒子的行為將會影響另一個粒子的狀態。當其中一顆被操作（例如量子測量）而狀態發生變化，另一顆也會即刻發生相應的狀態變化。它描述了處于同一個系統中的事物之間的強關聯關系。量子糾纏的原理示意圖見圖4。

（二）閉環條件下內部審計量子糾纏理論模型

量子糾纏現象表明，量子糾纏態是一種強關聯狀態，在商業銀行內部控制系統中，借助于閉環管理，可以構建在內部審計與業務經營管理之間的強關聯關系。以業務層面的閉環管理為例，初始模型如下：

風險事件-觸發審計項目-開展審計-風險確認-溝通反饋-問題整改-管理提升-風險事件再觸發。

在初始階段，通過提升觸發審計項目的頻率，可以同時縮短每個環節的響應時間，那么一個從風險事件經由內部審計至業務提升的閉環管理流程就會相應縮短時限。隨著觸發頻率的加快以及響應時間的縮短，內部審計與業務經營管理之間的關聯關系也逐漸由弱變強。理論上，當內部審計由風險事件引致的偶然性觸發演變為一種由持續性審計引致的實時性觸發時，內部審計對業務經營管理中風險點的發現和糾正也將是實時進行的。也就是說，當經營管理中出現任意一個風險事件，內部審計都可以實時發現并進行糾正。這即是一種內部審計與業務經營管理之間的量子糾纏態，見圖5。

在量子糾纏形態下，借助于閉環管理，內部審計對業務經營管理的風險防控和價值增值作用是實時的、同步的，內部審計作為風險管理第三道防線的作用和效果得到大幅提升。

（三）量子糾纏工作機制：從風險事件到持續性審計

傳統內部審計實踐中，依賴風險事件的內部審計觸發機制具有隨機性、偶然性，從風險事件到內部審計的響應具有事后性。在量子糾纏狀態下，內部審計對業務經營管理的觸發審計是連續的、實時的。持續性審計正在擔當這種新的觸發機制，并將成為提升內部審計價值的有效工作方式。

這里所謂的“持續性”，不單指時間概念上的連續性，還包括審計內容上的多樣性和統一性，它既是全時的，也是全量的。在審計實踐中，通過全時全量的持續性審計活動，內部審計將審計監測分析、審計風險評估、內部控制評價、審計項目實施、審計發現整改跟蹤等工作進行鏈式整合，通過構建以持續性活動為工作方式，以增值服務為工作目標，各項審計工作相互銜接、相互支撐、相互推動的持續性審計價值鏈，實現內部審計價值的提升，見圖6。

三、閉環管理提升內部審計價值的路徑

（一）監督部門的最優化問題

在現代公司治理架構下，如果把內部審計部門描述為監督者，把業務經營管理部門描述為被監督者，監督者的任務是及時發現被監督者的違規行為并上前制止。那么內部審計的最優化問題，在數學上就可以表示為一個追擊曲線的問題。通過求監督者運動軌跡的最優解可知，監督者的監督曲線是監督者與被監督者位置坐標兩點連線的一條切線。

（二）內部審計價值提升的路徑

追擊曲線的最優解研究表明，內部審計部門作為監督者，其監督軌跡是一條曲線，且該曲線的一階導數等于監督者與被監督者連線的斜率。將上述數學語言換算成審計語言，表述如下：內部審計既要始終關注業務的運營和發展，又要時刻盯緊業務運營變化的趨勢和方向，這分別構成了內部審計價值提升的低階和高階路徑。

具體到內部審計實踐，所謂關注業務的運營和發展，就是要通過開展持續性審計，盯緊業務發生的每一個環節，對業務運行中正在出現的問題能夠及時發現并監督整改，對經營管理的總體狀況心中有數、了然于胸。所謂關注業務運營變化的方向，就是要通過開展持續性學習，建設學習型組織，不斷提升審計人員的風險識別能力、業務研判能力，準確預判和把握業務經營發展變化的趨勢，增強內部審計的前瞻性，將內部審計由事后的風險確認變為事前的風險預防，從體制、機制上查找經營管理方面的制度性漏洞和系統性缺陷，在事前預防風險事件的發生。從提升內部審計價值的效能看，這兩個路徑之間是一種帕累托遞進關系，前者是低階的，后者是高階的，具體表示為：

價值提升低階路徑：

（閉環管理）持續性審計-風險確認-風險化解-內部審計價值提升。

價值提升高階路徑：

（閉環管理）持續性學習-風險預防-管理提升-內部審計價值提升。

將上述路徑模型導入閉環條件下內部審計量子糾纏模型，即得出閉環管理模式下內部審計價值提升模型，見圖7。

（三）持續性學習：一種高階路徑的實踐方法

上述模型推導顯示，持續性學習是實現內部審計價值提升的高階路徑和方法。新形勢下，內部審計人員加強新知識、新技能的學習尤為重要。一方面，隨著經濟下行，企業經營環境更趨復雜多變，風險形勢更加嚴峻；另一方面，隨著以互聯網為代表的信息技術、高科技的興起，企業傳統市場競爭壓力大幅增加，創新的節奏大幅加快。新時期內部審計，應通過持續性學習，提升新形勢下發現與解決復雜問題的能力，主動迎接企業面臨的內外部經營挑戰。

內部審計開展持續學習的主要方式為：一是將內部審計部門建設成為學習型組織。將審計人員的個體經驗和緘默知識，變為審計部門的共享經驗和共同知識，在新老人員中持續傳承、薪火永續，從而實現內部審計整體組織能力的提升；二是加強審計人員個體能力的培養。特別是信息化與大數據審計分析技術能力，新業務、新產品、新趨勢的把握和預判能力。只有當內部審計人員的知識水平和認知能力與業務創新和經營發展同步提升，甚至領先于業務的發展和變化，才能夠做到對風險狀況的前瞻性研究和預判，這也是新形勢下內部審計價值提升的根本方式。

四、工商銀行內部審計局直屬分局的創新實踐

（一）構建持續性審計分析體系，全時監督業務運營

內審直屬分局依托內部審計全流程信息化建設成果，逐步構建具有自身特色的持續性審計分析體系，推動內部審計由特定范圍審計監督向全時審計監督轉變。持續性審計分析體系主要體現為三個方面：一是日常監測分析。審計人員根據職責分工對分管業務條線開展持續監測分析，著重關注監測時限內主要風險狀況變化、制度管理變化以及控制措施變化等情況。二是風險評估。主要評估業務條線風險發生的可能性、風險影響程度、固有風險、控制有效性、剩余風險等因素。三是內部控制評價。具體包括穿行測試、控制測試、形成內部控制評價報告等內容。通過持續性審計分析體系，見圖8，內部審計能及時捕捉審計對象的風險變化，實時跟蹤產品、客戶、市場上的風險變化趨勢，實時形成基于客戶、產品、市場的統一風險視圖，促進內部審計作用的發揮由一般風險確認向風險預防轉變。

（二）狠抓溝通反饋與跟蹤整改，打通閉環管理回路

溝通反饋與跟蹤整改是內部審計閉環管理的重要回路。內審直屬分局通過加強與業務部門的溝通反饋，強化內部審計與業務部門之間的有機聯動，打通內部審計工作的閉環管理回路。具體有以下三項舉措：一是“抓項目”。以項目為單位，加強對審計發現整改督促的統籌管理，把整改督促工作作為項目流程的組成部分，建立總行層面需整改督促的明確的審計發現清單。二是“抓重點”。將整改督促工作分級分類，與風險提示工作相結合，按季度更新專報口徑整改臺賬，不定期總結整改進度，編制整改情況專報。三是“抓信息共享”。推進內部審計內部、內部審計與審計對象之間對審計發現及整改信息的充分共享，實現審計價值應用與審計效果發揮的有效提升。通過溝通反饋及跟蹤整改，內部審計將內部控制理念嵌入業務流程的各個環節和機構經營管理，實現管理的協同效應。

（三）推進全員進崗到線，全量審計不留死角

內審直屬分局圍繞總行機構劃分出68條產品線、19條業務線；圍繞風險評估構建起涵蓋信用、市場、操作、流動性、戰略和聲譽的6大風險類別、17項風險指標和48個風險要素；圍繞審計發現問題整改跟蹤工作設置了審計發現問題性質、問題所屬公司/流程/IT層面、問題所屬業務條線、新問題/老問題等8大類22個指標；圍繞內部控制設置了一、二、三道防線控制，崗位管理，授權審批，財產保護，預算控制，運營分析，人工控制和系統控制，重大風險預警機制，反洗錢管理，其他管理十大控制環節。通過全員進崗到線，實現了內部審計對審計對象全量業務、全流程的監督覆蓋，有效避免了審計抽樣樣本與總體特征不一致的風險，確保及時發現和化解業務中的各種風險隱患。

（四）建立持續性學習機制，前瞻研判預防風險

內審直屬分局建立持續學習機制，努力打造學習型組織，在激活審計隊伍內生動力，提升審計人員審計技能上下力氣、做功課。一是定期開展業務和技能培訓。采用走出去、請進來的形式，特別針對如理財業務、互聯網金融等部分發展創新快、市場變化快、社會關注程度高的熱點業務，以及跨業務、跨機構、跨監管、交叉結合部的一些復雜業務開展學習培訓。二是倡導柔性審計團隊合作機制。鼓勵不同業務條線審計人員，發揮專業互補的優勢，跨處室合作開展審計項目。三是鼓勵項目人員以老帶新。大力發揚業務骨干“傳幫帶”作用。通過建立學習型組織，分局建立了財務效益、信貸、內控、互聯網金融、新興業務、境外機構、IT、經濟責任和審計分析師等九支審計專業團隊，進一步提高了審計資源的配置效率和效果，更好地發揮了專業骨干的帶動和引領作用，風險研判更具前瞻性，風險預防更具有效性。

（作者單位：中國工商銀行內部審計局直屬分局，

郵政編碼：100045，電子郵箱：hanzhongwei@icbc.com.cn）

主要參考文獻

玻姆.量子理論[M].北京：商務印書館， 1982

羅伯特 · 卡普蘭，戴維 · 諾頓.閉環式管理：從戰略到運營[J].商業評論， 2008（2）：47-65

Andrew D. Bailey， Jr， etc，王光遠等譯.內部審計思想[M].北京：中國時代經濟出版社， 2006

Curves of Pursuit. Bernhart， Arthur. Scripta Math-ematica， 1954

Einstein， A. ， Podolsky， P. ， and Rosen， N. Can quantum-mechanical description of physical reality be considered complete？ [A] . J. A. Weeler and W. H. Zurek. Quantum theory and measurement [C] . Princeton Univ. Press， 1983. Originally in Phys. Rev. 1935（47）：777-80