莫比烏斯環與管理審計視角

陳澍 李慧 梁宵

[摘要]現代審計越來越重視對體制機制、公司治理、風險管理等管理層面問題的挖掘，正如莫比烏斯環所展示的，可以從紙帶的一面到達另一面，兩面都是紙帶的組成部分，從合規性、操作性問題審計入手，探究背后管理層面的問題。

[關鍵詞]管理審計 莫比烏斯環 內審轉型

一、管理審計視角的引入：莫比烏斯環的啟示

莫比烏斯環源于德國數學家莫比烏斯與約翰··李斯丁的發現，是將正反兩面都很明確的紙條一頭扭轉180°再與另一頭相連接后得到的環狀帶子。從三維視角上看，如果用指尖順著該環狀帶正面一點劃去，將到達紙帶的反面，再繼續劃下去，又回到了正面出發點。據此，假設操作（業務）層面與管理層面審計作為審計項目中兩個互相獨立的方面，將二者放入莫比烏斯環中，那么無論是從操作（業務）層面還是從管理層面出發，通向的都是另一面。如果循環的時間足夠長，即不可定向，這是莫比烏斯環的一個重要特性，那么在這種情況下，操作（業務）層和管理層審計將成為相互嵌套并進發展的一體兩面，見圖1。

管理審計理論在西方早已得到廣泛應用和發展，而在我國得到關注與重視的時日尚短。企業管理者不斷提升管理能力，改進管理手段，以更好地達到管理目標，促進了管理科學理論和實踐的發展。而后者對管理審計理論的產生和發展起到了決定性的影響。其中，預防性控制原理的運用對管理審計理論的發展影響尤為直接。在管理學理論中，控制可分為直接控制和預防性控制。預防性控制認為，“對大部分脫離標準的負偏差應承擔的責任可以運用管理的基本原理來加以確定。這種控制是在業績報告和判定主管人員履行其職責時是否按既定原則辦事兩者之間劃出界限。”預防性控制實際基于三種假設，即稱職的管理者越少犯錯、管理業績可計量、管理原理運用可評價，可簡單表述為管理人員及其員工的素質越高，就越無需進行直接控制。預防性控制原理直接帶動了管理審計工作，這種預防性方法比直接性方法更利于管理方面缺陷的確認與消除，也就要求對管理工作和管理系統不斷加以審計，以隨時了解管理現狀和控制效果。管理審計從概念上而言，理論界未有一致意見，但基本是“對組織各項管理活動及過程進行獨立、客觀、綜合的、建設性的、面向未來的審查與評價”，促使組織建立科學、完備、有效的管理制度和運行機制，不斷完善治理，提升價值。這種審計思路恰與商業銀行強化內部管理理念相得益彰。

管理審計理論的引入，也引發了對傳統內部審計組織管理模式的新思考。當內部審計的職能變遷，對操作合規層面的關注更向關注管理層履職質效方面傾斜，典型的非連續性、單線程關系模式顯然已不能促進內部審計在助力組織治理方面充分發揮自身作用和效能。分析探索一個新的關系模型成為必然，以期將操作層和管理層內部審計管理加以整合，彌補固有線性關系模型的不足。這種新的關系模型應該是由雙線程、首尾相連具有循環反饋和自我調節機制的環狀模式發展而來，莫比烏斯環即從眾多拓撲圖形中脫穎而出。

二、傳統審計實踐的局限性：思維、手段與溝通

（一）思維局限：控制導向審計理念的盲點

勞倫斯·索耶認為，“管理審計就是以管理者或管理咨詢師的眼光去審查組織的各種活動，它與其他審計形式的區別在于它的思維方式而不是它的技術方法。”過去商業銀行內部審計往往以真實性、合規性為主，停留在賬務核實和操作行為是否規范的層面上，缺乏對銀行內部控制、風險管理和各崗位業務規范狀況等給出評價和建議，亦未對管理制度、經濟環境、監督體系等方面進行深入研究。這種對控制（操作）層的審計往往停留在孤立的點狀問題發現層面，很難從線狀、面狀，乃至立體化地對風險進行評估、分析并提出管理建議。

對控制（操作）層面的關注，源于控制導向審計理念。很長時間以來，控制導向審計一直是廣大內部審計人員普遍使用的審計方法。這種審計方法將重心置于組織的內部控制系統，導致審計人員容易忽視單位本身的目標及經營管理的其他方面。審計人員在缺乏對組織目標了解及風險評估的條件下，對控制節點、控制程序進行評估，結果往往意義不大，或造成過度控制，或因控制的滯后性影響組織的正常運作。

近年來，各家銀行已在努力探索風險導向型管理審計的開展方法，但在審計體系建立、質量規范、實施流程建設方面仍有很大空間。

（二）手段局限：審計抽樣的自身缺陷

傳統模式下開展管理審計存在硬傷，即得出的關于審計對象經營管理情況的審計結論往往依賴于一定樣本的選取及樣本表現出來的相似特性。從審計發展的歷史看，這種抽樣審計方法使早期的“賬項基礎審計”擺脫了詳細審計的低效，是審計方法的一大進步。但抽樣方法在提高審計效率的同時，也伴隨審計風險的增加，使風險為導向的審計模式成為必然。在審計抽樣方法下，樣本的選擇尤為關鍵：樣本是否具有針對性和代表性，是否能從中發現風險隱患，找出舞弊環節;樣本選擇是否符合統計學要求，足以對審計對象做出全面的審計結論等。基于此，就必須要求審計人員在兼顧隨機性和代表性的基礎上，強調審計樣本抽取的科學性和嚴謹性。傳統實踐中，作為金融機構內審部門，通常會根據長期的檢查經驗，制定抽樣規則，明確抽樣的基本原則和參考因素。例如，授信業務抽樣中，會綜合考慮業務品種、授信金額、擔保方式、關聯客戶、問題授信、行業等因素，人工對業務數據進行分析性復核及篩選，經團隊成員充分討論后確定抽取的樣本。實質是一種基于專家經驗的抽樣，涵蓋一定的問題導向性。

但無論抽樣規則如何精細，都難以企及金融業務發展和變化的速度。尤其是互聯網+時代，金融機構大勢所趨紛紛“觸網”，與重慶銀行類似的一批城市商業銀行，選擇互聯網金融作為實現彎道超車的捷徑，給內部審計帶來極大的挑戰;金融機構的業務系統及管理系統不斷升級換代，管理平臺的數據集中度及網絡復雜度日益提高，如何從海量數據中選取所需樣本，傳統的風險抽樣模式顯得力不從心，真實的風險何在無從知曉，全量樣本篩查勢在必行。

（三）溝通局限：信息不對稱造成的審計建議脫節

審計署令第11號對內部審計的定義，增加了“建議”的職責。該職責恰是管理審計的重要表現形式，指明了內部審計咨詢服務價值的拓展方向。在管理審計中，除了關注“有沒有”“對不對”的問題，還要關注“好不好”“恰不恰當”“有沒有效”的問題。例如，審計建議是否具有針對性，能否解決當前問題，有效降低未來風險;審計建議是否具有可操作性，適合審計對象的經營活動;審計建議是否具有適合性，充分考慮了審計對象是否具備執行該建議的能力;審計建議是否具有效益性，可否兼顧經濟、效率、效益的結果等;而要達到管理審計的增值目標，還要進一步關注業務發展、機制調整、轉型升級、管理創新中的熱點、難點問題，注重從體制、機制、流程、系統的更高層面，揭示控制缺陷和風險隱患，增強對業務的整體風險把控能力。審計建議已經成為管理審計的價值體現，成為審計對象認可審計結果、提升審計地位的關鍵，只有審計建議具有針對性且切實可行，并為審計對象接納，才能最終達到促進審計對象管理目標實現的目的。而要使審計建議易于接納，除了需要審計人員的專業知識外，開展有效的審計溝通，獲取被審計單位對問題的認知，根據實際不斷修正審計建議，使審計對象認可和接納審計結論，具有同等重要的地位。然而在實踐中，由于缺少深層次溝通、經營層信息不透明、審計人員能力和經驗等方面原因，審計建議和意見往往不接地氣，管理層抵觸審計結論的情況比較常見。

三、管理審計路徑的選擇：以重慶銀行內部審計為例

（一）轉變傳統審計思路：以管理層控制為重心轉移

在管理審計模式下，內部審計以“改善公司的管理素質和提高管理水平為目的，審查被審計單位在計劃、組織、領導控制、決策等管理職能上的表現，促使被審計單位提高管理水平，促使生產力要素更好地配合，以提高經濟效益。”摒棄了只關注表面合規、流程控制，將注意力更多轉向管理風險等組織管理的各個方面。前文所提到的莫比烏斯環模型也可看作是審計思路扭轉的一種表現形態。通過操作（業務）層與管理層審計的雙線并進、循環往復，于實施過程中相互作用、相互印證，以“由下看上”“以上促下”，最終達到促進組織管理提升的結果，見圖2。

以重慶銀行開展的內控評價為例。每年審計部門將依據全行風險狀況和內外部檢查情況，對評價要點進行重新梳理，確定當年需特別關注的重點及高風險業務環節。過去的關注點主要落在操作層的各個控制環節上，檢查內容多限于對內部控制措施執行情況的考察。2015年以來，審計部門逐年加大對被審計單位管理層的控制，細化管理層審計的內容，并加大管理層問題分值權重。管理層控制包括制度建設、組織架構、部門及崗位職責、“三重一大”、人員管理、授權管理、業務管理模式等，而操作層控制關注制度執行情況。通過管理層控制和操作層控制并重的審計，對被審計單位各種管理職能的健全性和有效性進行評估，考察其管理水平的高低、管理素質的優劣以及管理活動的經濟性、效率性，并就所發現的問題提出有針對性的改進建議和意見。

除了每年開展基層網點全覆蓋的內控評價以外，重慶銀行還率先開展了對總行直屬經營部門的內控評價審計和全行內控有效性審計，從治理架構、制度建設、政策流程和控制措施等方面，系統梳理了總行關鍵部門職責和重要內控流程。通過對管理部門履職情況以及管理人員素質的審計，摸查全行內控管理薄弱環節，為銀行進一步完善公司治理和實現有效的管理層控制提供了有力的決策依據。重慶銀行在對總行職能部門開展內控評價審計中管理層面的關注點見表1。現大多數銀行內部審計尚未觸及總行管理部門的履職，因此并不是真正意義上的管理審計。

（二）全樣本篩查：大數據、信息化不只是概念

隨著數據庫和非現場技術的發展，促進經濟迅猛發展功不可沒的信息技術同樣成為內部審計的有力工具。大數據、信息化的發展使內部審計樣本數量從抽樣擴展為全量樣本成為可能。實現全樣本篩查依賴于業務系統的高度數據化和審計管理的信息化，金融機構的數據保障能力為全樣本審計實踐提供了現實的可能。

審計管理系統整合業務系統，搭建數據平臺。審計管理系統已經成為審計人員的重要工作手段，不僅實現了從審計方案、工作底稿、事實確認書、問題清單、審計報告、整改跟蹤等審計現場作業全流程的電子化，更實現了從審計計劃、審計抽樣、統計分析、綜合報告等審計管理的無紙化。審計管理系統除了直接與核心業務系統中的生產數據對接之外，還充分利用經營層和風險管理層的系統信息，如信貸管理系統、操作風險管理系統、SAS系統等，為審計人員獲取客戶財務信息和非財務信息等數據，搭建起數據集中分析平臺。

大數據分析技術成為審計管理系統的手段之一，開發大數據審計分析模型，對全行全樣本數據進行判斷。以重慶銀行為例，審計部門利用行內大數據金融風控平臺成功上線之機，借用小微業務大數據金融風控平臺建模思維，在審計管理系統中整合數據挖掘公司提供的企業關聯信息、企業通用信息、企業主信息、企業征信數據、企業主征信數據、稅務及法律訴訟數據、經濟環境數據等多維度外部數據，開發了有貸戶分層模型，使全樣本分析得以落地實施。通過數據分析，鎖定高風險區域及機構，借助審計管理系統查證模型、預警模型，進一步識別高風險區域及機構的風險業務分布、風險環節，將數據的集中共享、挖掘分析貫穿整個審計流程，為發現內控風險精確定位，不僅提高了審計效率和質量，還降低了審計風險。

通過全樣本全時段審計篩查，重慶銀行內審部不斷修正和完善預警邏輯，根據監管要點和管理層關注重點，開發新的查詢規則。目前在用的有審計價值的預警查詢語句達275條，審計效率和效果成倍提升，及時捕捉到化整為零、借殼融資、挪用貸款資金、假按揭等一系列風險問題，并通過對問題的歸納、總結，挖掘出總行管理部門在內控管理方面存在的履職不力等問題，得到管理層的高度重視，由此推動了業務流程的完善和信貸管理的提升。

（三）暢通信息獲取渠道：信息開放共享

溝通交流是審計流程的重要環節，審計人員必須與基層經營機構、總行業務管理部門保持經常性的互動，以及時獲取經營機構業務開展的信息，關注經營中可能出現的風險，掌握各業務運行管理的情況，包括組織架構及關鍵崗位人員變動情況、新產品新制度及新系統、外部監管要求變化等。同時，也要向總行業務管理部門甚至高管層及時傳遞審計信息，打破信息不對稱壁壘，實現內審與經營層信息良性互通，為拓展審計思路，明確審計方向提供信息基礎。

利用管理層制度，打通審計部門獲取管理層各種重要信息的渠道。如爭取重要議事規則中規定內審部門可列席辦公會等各類重要會議、重大事項專題會議，使信息獲取制度化。

定期與業務管理部門交流審計發現和檢查發現，通過風險信息的互通共享，達成與管理部門對風險信息和違規問題的共識，提升業務管理部門對內審工作的認可、信任和理解度，贏得對內審結果的支持并促使管理層合理運用審計結果。

保持與監管機構的聯系機制，作為監管手段的延伸，主動獲取監管重點、監管要求和監管偏好。

重慶銀行內審部固定列席的會議包括高管層下內控與風險管理委員會、集中采購委員會，建立起與紀檢監察部、財務部、監察部的聯合監督體系，每半年形成至少13個重要業務管理部門的條線持續溝通報告，并針對分行管控偏弱的特點，要求3家異地分行將行長辦公會、分行各類重要委員會、重大事項專題會等重要會議的會議紀要抄送總行內審部，并建立分行稽核向總行內審的信息報告機制，打通審計部門各種重要信息獲取渠道。

（四）創新成果運用機制：審計成果報送的多種形式

審計報告是審計成果最重要的載體之一。審計成果采用何種表現方式呈現，應當由“審計成果的閱讀者”來決定。對于金融機構來說，審計成果的閱讀者可以分為三個類型：第一類是被審計的經營機構，確保其能夠就審計發現的操作層面問題進行點對點整改;第二類是總行的業務管理部門，督促其能夠針對審計發現的管理層面問題，進行點對面整改，如建立管理制度，完善業務流程，杜絕屢查屢犯等;第三類是總行高管層，希望其通過對重要審計發現的了解，對審計建議的采納，從加強和改善管理上做出全局性決策，進一步規范相關業務活動，促進全行穩健發展。

重慶銀行內部審計工作借鑒了審計署的成功經驗，創新多種成果報送方式，實現了內審工作價值的最大化。針對經營機構作為審計對象的情況，審計部門通過審計報告要求其合規經營、加強內控、防范風險;針對需要總行業務管理部門知曉的本條線問題，每季度匯總歸類審計發現，向大中業務、小微業務、個人業務、同業條線、運營條線、結算條線、財務條線、科技條線等發送業務審計報告，強化各業務管理部門的風險意識;針對某一業務領域普遍性、典型性的體制機制、制度性問題或者屬于總行業務管理層面的問題，也可以通過條線審計報告或審計告知函的方式提交業務管理部門及該業務分管行領導;針對審計發現的重大違規違紀問題，通過審計專報直接上報業務分管行領導及“三長”;針對審計發現的重大違規違紀問題，審計部門可通過全行問責機制，根據具體情況，移送紀檢監察部門開展違規問責，提高內審威懾力;針對某方面存在的潛在性、苗頭性但并不違反制度的事項，可通過風險提示、管理建議的形式提交審計對象及業務管理部門，使一些風險得到及時、有效的化解，前移風險防范關口，起到防患于未然的作用;針對涉及重要內控缺陷、跨部門履職難落實的問題，可以以行領導簽批、提交行長辦公會或黨委會討論、“三長督辦”的形式來落實，通過“三長督辦”，進一步增強總行業務管理部門的主動履職意識和管理能動性，切實解決久拖不決，跨部門、跨條線、系統性的問題。

（五）保障條件：組織架構與審計隊伍

管理審計路徑很大程度上依靠內審部門的內在努力，而來自組織架構的保障，對內審作用發揮起到決定性作用。審計署令第11號對內部審計工作機制提出了明確要求，毋庸置疑，建立“在主要負責人直接領導下開展內部審計工作”機制，是內審架構的最優設計，也是符合當前中國特色社會主義經濟制度下國企內審模式的選擇。這種模式將使內部審計在獨立的原則下開展工作，改變內部審計工作“被邊緣化”狀況。主要負責人直管內部審計工作，應當定期聽取內部審計工作匯報，加強對內部審計工作規劃、年度審計計劃、審計質量控制、問題整改和隊伍建設等重要事項管理的規定，為審計工作的開展提供充分的物質保障和人員身份保障等。重慶銀行已經建立了由董事會、審計委員會、總行內審部組成的職責明確、報告關系清晰、獨立的內審管理體系，總行內審部由董事長直管，并在董事會和審計委員會指導下開展工作，極大程度上確保了內審工作的順利開展。

努力打造一支結構優化、業務精湛、善于創新、素質過硬，適應業務經營轉型要求和審計理念轉型要求的職業化審計隊伍。通過推行審前學習研討、審中碰頭、審后總結和審計成果點評“四會制度”，幫助審計人員樹立現代審計理念，培養審計人員具有宏觀意識和全局意識，引導審計人員從組織治理和風險管理的高度進行思考，并滲透到每個審計項目中。

（作者單位：重慶銀行股份有限公司，郵政

編碼：400024，電子郵箱：cocohuibest@163.com）