基于闭环管理的内部审计价值提升研究

黄庆惠 刘辉成 韩忠伟

[摘要]本文以内部审计闭环管理体系为方法论，探索内部审计闭环管理的构建模式，以及基于闭环管理的内部审计价值提升的机理和路径。在业务和机构两个层面闭环管理模型的基础上，借助量子纠缠理论，构建闭环条件下内部审计量子纠缠理论模型，给出了内部审计量子纠缠的工作机制，并由监督部门的最优解数学问题入手，推导出闭环管理提升内部审计价值的低阶和高阶路径。

[关键词]闭环管理 量子纠缠 内部审计 价值

“防范风险，提高效益”是内部审计的基本职能。内部审计的最新发展表明，内部审计作为风险管理的第三道防线，在完善组织治理、防范风险、增加组织价值方面起着重要的作用。特别是在当前经济持续下行、各行业风险不断暴露的复杂形势下，如何更好发挥内部审计在风险防范和价值增值方面的作用，是内部审计部门面对的新课题。

一、内部审计新实践：闭环管理的提出

（一）传统内部审计实践的局限性

传统内部审计的组织和管理是一种非连续性的方式：审计服务是以项目个体形式展开的，审计样本是风险抽样而非全量的，审计业务对象是条块分割的，审计时间跨度是范围限定的，审计风险确认是事后的。在这个意义上，传统内部审计作为风险管理的第三道防线，在空间上是不连续的，在时间上是滞后的。这种审计样本、审计对象和审计服务在时间和空间上的点、块、段状离散性分布，客观上割裂了内部审计工作的内在连续性和统一性，造成了内部审计管理链条和传导机制的断裂化，制约了内部审计作为风险控制第三道防线的作用和效果，这构成了传统内部审计实践的局限性。

从控制论的角度看，传统内部审计效能的传导机制是单向的，缺乏“决策-实施-控制-反馈-决策优化”的循环反馈和自我调整机制。传统内部审计一般是多个审计项目并行实施，项目之间的审计管理与交叉控制协同性较差，客观上也造成审计发现问题屡查屡犯的现象不断出现，制约内部审计发挥更大的作用，见图1。

（二）内部审计闭环管理的构建

闭环管理最初是由平衡计分卡创始人罗伯特.卡普兰（Robert S.Kaplan）和戴维.诺顿（David P.Norton）提出，是綜合闭环系统、管理的封闭原理、管理控制、信息系统等原理形成的一种管理方法。闭环管理包含两层含义：一是管理的各个链条是相互衔接、首尾相连的，构成连续封闭的回路且使系统活动维持在一个平衡点上，这是管理效能在各个环节进行传导的必要条件，它构成一个“决策-实施-反馈-再决策”的传导链条。二是管理是循环往复的，“决策-控制-反馈-再决策-再控制-再反馈”，周而复始。通过闭环系统，管理面对变化的客观实际，进行灵敏、正确有力的信息反馈并作出相应变革，使矛盾和问题得到及时解决，从而在循环积累中不断提高，促进企业超越自我不断发展。

随着信息技术的发展，特别是数据库和非现场技术的逐渐壮大，使内部审计对全量业务进行全时审计和管理变为可能，这为构建内部审计的闭环管理模式提供了技术保障。借助信息技术手段，审计样本数量正在从随机抽样扩展为全量样本，业务条线从单个产品扩展到全量业务，审计时限从特定阶段扩展为全时审计，有利于内部审计从早、从小发现问题，防范风险。

内部审计的闭环管理构建包含两个层次：

第一层次闭环是业务层面的闭环管理：通过闭环管理，在业务层面形成从发现问题苗头到问题整改、业务提升的持续循环改进机制。具体模型构架为：风险事件-触发审计项目-风险确认-沟通反馈-跟踪整改-管理提升-持续监测，见图2。

第二层次闭环是机构层面的闭环管理：内部审计部门作为风险管理的第三道防线，与作为风险管理第一道防线的经营管理部门，作为风险管理第二道防线的风险监督、内部控制部门等形成管理闭环。具体模型构架为：内部审计（第三道防线）-确认和咨询-业务经营管理部门（第一道防线）-内控、监督部门（第二道防线）-沟通反馈-问题整改-管理提升-内部审计，见图3。

在上述业务及机构层面闭环管理体系的构建中，内部审计部门的沟通反馈功能起着至关重要的作用。它通过向各专业部门、经营机构不断传递反馈审计监督信息，将内部审计的控制理念嵌入到整体业务流程的各个环节和机构经营管理中，形成内部审计与各专业部门之间协同作业的管理闭环，从而不断提升内部审计价值。

二、闭环管理提升内部审计价值的机理：一种量子纠缠态

（一）量子纠缠

量子纠缠（quantum entanglement），是一种量子力学现象，是粒子在由两个或两个以上粒子组成的系统中相互影响的现象。即使相距遥远，一个粒子的行为将会影响另一个粒子的状态。当其中一颗被操作（例如量子测量）而状态发生变化，另一颗也会即刻发生相应的状态变化。它描述了处于同一个系统中的事物之间的强关联关系。量子纠缠的原理示意图见图4。

（二）闭环条件下内部审计量子纠缠理论模型

量子纠缠现象表明，量子纠缠态是一种强关联状态，在商业银行内部控制系统中，借助于闭环管理，可以构建在内部审计与业务经营管理之间的强关联关系。以业务层面的闭环管理为例，初始模型如下：

风险事件-触发审计项目-开展审计-风险确认-沟通反馈-问题整改-管理提升-风险事件再触发。

在初始阶段，通过提升触发审计项目的频率，可以同时缩短每个环节的响应时间，那么一个从风险事件经由内部审计至业务提升的闭环管理流程就会相应缩短时限。随着触发频率的加快以及响应时间的缩短，内部审计与业务经营管理之间的关联关系也逐渐由弱变强。理论上，当内部审计由风险事件引致的偶然性触发演变为一种由持续性审计引致的实时性触发时，内部审计对业务经营管理中风险点的发现和纠正也将是实时进行的。也就是说，当经营管理中出现任意一个风险事件，内部审计都可以实时发现并进行纠正。这即是一种内部审计与业务经营管理之间的量子纠缠态，见图5。

在量子纠缠形态下，借助于闭环管理，内部审计对业务经营管理的風险防控和价值增值作用是实时的、同步的，内部审计作为风险管理第三道防线的作用和效果得到大幅提升。

（三）量子纠缠工作机制：从风险事件到持续性审计

传统内部审计实践中，依赖风险事件的内部审计触发机制具有随机性、偶然性，从风险事件到内部审计的响应具有事后性。在量子纠缠状态下，内部审计对业务经营管理的触发审计是连续的、实时的。持续性审计正在担当这种新的触发机制，并将成为提升内部审计价值的有效工作方式。

这里所谓的“持续性”，不单指时间概念上的连续性，还包括审计内容上的多样性和统一性，它既是全时的，也是全量的。在审计实践中，通过全时全量的持续性审计活动，内部审计将审计监测分析、审计风险评估、内部控制评价、审计项目实施、审计发现整改跟踪等工作进行链式整合，通过构建以持续性活动为工作方式，以增值服务为工作目标，各项审计工作相互衔接、相互支撑、相互推动的持续性审计价值链，实现内部审计价值的提升，见图6。

三、闭环管理提升内部审计价值的路径

（一）监督部门的最优化问题

在现代公司治理架构下，如果把内部审计部门描述为监督者，把业务经营管理部门描述为被监督者，监督者的任务是及时发现被监督者的违规行为并上前制止。那么内部审计的最优化问题，在数学上就可以表示为一个追击曲线的问题。通过求监督者运动轨迹的最优解可知，监督者的监督曲线是监督者与被监督者位置坐标两点连线的一条切线。

（二）内部审计价值提升的路径

追击曲线的最优解研究表明，内部审计部门作为监督者，其监督轨迹是一条曲线，且该曲线的一阶导数等于监督者与被监督者连线的斜率。将上述数学语言换算成审计语言，表述如下：内部审计既要始终关注业务的运营和发展，又要时刻盯紧业务运营变化的趋势和方向，这分别构成了内部审计价值提升的低阶和高阶路径。

具体到内部审计实践，所谓关注业务的运营和发展，就是要通过开展持续性审计，盯紧业务发生的每一个环节，对业务运行中正在出现的问题能够及时发现并监督整改，对经营管理的总体状况心中有数、了然于胸。所谓关注业务运营变化的方向，就是要通过开展持续性学习，建设学习型组织，不断提升审计人员的风险识别能力、业务研判能力，准确预判和把握业务经营发展变化的趋势，增强内部审计的前瞻性，将内部审计由事后的风险确认变为事前的风险预防，从体制、机制上查找经营管理方面的制度性漏洞和系统性缺陷，在事前预防风险事件的发生。从提升内部审计价值的效能看，这两个路径之间是一种帕累托递进关系，前者是低阶的，后者是高阶的，具体表示为：

价值提升低阶路径：

（闭环管理）持续性审计-风险确认-风险化解-内部审计价值提升。

价值提升高阶路径：

（闭环管理）持续性学习-风险预防-管理提升-内部审计价值提升。

将上述路径模型导入闭环条件下内部审计量子纠缠模型，即得出闭环管理模式下内部审计价值提升模型，见图7。

（三）持续性学习：一种高阶路径的实践方法

上述模型推导显示，持续性学习是实现内部审计价值提升的高阶路径和方法。新形势下，内部审计人员加强新知识、新技能的学习尤为重要。一方面，随着经济下行，企业经营环境更趋复杂多变，风险形势更加严峻；另一方面，随着以互联网为代表的信息技术、高科技的兴起，企业传统市场竞争压力大幅增加，创新的节奏大幅加快。新时期内部审计，应通过持续性学习，提升新形势下发现与解决复杂问题的能力，主动迎接企业面临的内外部经营挑战。

内部审计开展持续学习的主要方式为：一是将内部审计部门建设成为学习型组织。将审计人员的个体经验和缄默知识，变为审计部门的共享经验和共同知识，在新老人员中持续传承、薪火永续，从而实现内部审计整体组织能力的提升；二是加强审计人员个体能力的培养。特别是信息化与大数据审计分析技术能力，新业务、新产品、新趋势的把握和预判能力。只有当内部审计人员的知识水平和认知能力与业务创新和经营发展同步提升，甚至领先于业务的发展和变化，才能够做到对风险状况的前瞻性研究和预判，这也是新形势下内部审计价值提升的根本方式。

四、工商银行内部审计局直属分局的创新实践

（一）构建持续性审计分析体系，全时监督业务运营

内审直属分局依托内部审计全流程信息化建设成果，逐步构建具有自身特色的持续性审计分析体系，推动内部审计由特定范围审计监督向全时审计监督转变。持续性审计分析体系主要体现为三个方面：一是日常监测分析。审计人员根据职责分工对分管业务条线开展持续监测分析，着重关注监测时限内主要风险状况变化、制度管理变化以及控制措施变化等情况。二是风险评估。主要评估业务条线风险发生的可能性、风险影响程度、固有风险、控制有效性、剩余风险等因素。三是内部控制评价。具体包括穿行测试、控制测试、形成内部控制评价报告等内容。通过持续性审计分析体系，见图8，内部审计能及时捕捉审计对象的风险变化，实时跟踪产品、客户、市场上的风险变化趋势，实时形成基于客户、产品、市场的统一风险视图，促进内部审计作用的发挥由一般风险确认向风险预防转变。

（二）狠抓沟通反馈与跟踪整改，打通闭环管理回路

沟通反馈与跟踪整改是内部审计闭环管理的重要回路。内审直属分局通过加强与业务部门的沟通反馈，强化内部审计与业务部门之间的有机联动，打通内部审计工作的闭环管理回路。具体有以下三项举措：一是“抓项目”。以项目为单位，加强对审计发现整改督促的统筹管理，把整改督促工作作为项目流程的组成部分，建立总行层面需整改督促的明确的审计发现清单。二是“抓重点”。将整改督促工作分级分类，与风险提示工作相结合，按季度更新专报口径整改台账，不定期总结整改进度，编制整改情况专报。三是“抓信息共享”。推进内部审计内部、内部审计与审计对象之间对审计发现及整改信息的充分共享，实现审计价值应用与审计效果发挥的有效提升。通过沟通反馈及跟踪整改，内部审计将内部控制理念嵌入业务流程的各个环节和机构经营管理，实现管理的协同效应。

（三）推进全员进岗到线，全量审计不留死角

内审直属分局围绕总行机构划分出68条产品线、19条业务线；围绕风险评估构建起涵盖信用、市场、操作、流动性、战略和声誉的6大风险类别、17项风险指标和48个风险要素；围绕审计发现问题整改跟踪工作设置了审计发现问题性质、问题所属公司/流程/IT层面、问题所属业务条线、新问题/老问题等8大类22个指标；围绕内部控制设置了一、二、三道防线控制，岗位管理，授权审批，财产保护，预算控制，运营分析，人工控制和系统控制，重大風险预警机制，反洗钱管理，其他管理十大控制环节。通过全员进岗到线，实现了内部审计对审计对象全量业务、全流程的监督覆盖，有效避免了审计抽样样本与总体特征不一致的风险，确保及时发现和化解业务中的各种风险隐患。

（四）建立持续性学习机制，前瞻研判预防风险

内审直属分局建立持续学习机制，努力打造学习型组织，在激活审计队伍内生动力，提升审计人员审计技能上下力气、做功课。一是定期开展业务和技能培训。采用走出去、请进来的形式，特别针对如理财业务、互联网金融等部分发展创新快、市场变化快、社会关注程度高的热点业务，以及跨业务、跨机构、跨监管、交叉结合部的一些复杂业务开展学习培训。二是倡导柔性审计团队合作机制。鼓励不同业务条线审计人员，发挥专业互补的优势，跨处室合作开展审计项目。三是鼓励项目人员以老带新。大力发扬业务骨干“传帮带”作用。通过建立学习型组织，分局建立了财务效益、信贷、内控、互联网金融、新兴业务、境外机构、IT、经济责任和审计分析师等九支审计专业团队，进一步提高了审计资源的配置效率和效果，更好地发挥了专业骨干的带动和引领作用，风险研判更具前瞻性，风险预防更具有效性。

（作者单位：中国工商银行内部审计局直属分局，

邮政编码：100045，电子邮箱：hanzhongwei@icbc.com.cn）

主要参考文献

玻姆.量子理论[M].北京：商务印书馆， 1982

罗伯特 · 卡普兰，戴维 · 诺顿.闭环式管理：从战略到运营[J].商业评论， 2008（2）：47-65

Andrew D. Bailey， Jr， etc，王光远等译.内部审计思想[M].北京：中国时代经济出版社， 2006

Curves of Pursuit. Bernhart， Arthur. Scripta Math-ematica， 1954

Einstein， A. ， Podolsky， P. ， and Rosen， N. Can quantum-mechanical description of physical reality be considered complete？ [A] . J. A. Weeler and W. H. Zurek. Quantum theory and measurement [C] . Princeton Univ. Press， 1983. Originally in Phys. Rev. 1935（47）：777-80