中國電信福建公司審計中心
梁洪傳 鄭思民
一、引言
當今世界正經歷百年未有之大變局�����,我們面臨的風險挑戰之嚴峻前所未有����,作為世界500強的中國電信企業,如何發揮好內部審計作用���,應對內外部風險挑戰,值得深入探索�����。
二�、新形勢下內部審計要求
(一)內外部環境對企業防范風險的要求
一是國際形勢倒逼企業提升風險防控能力�。國際局勢發生深刻的變化,美國悍然發動對華貿易戰,給電信業帶來較大的消極影響,我們既要打好防范和抵御風險的有備之戰�,也要打好化險為夷�����、轉危為安的戰略主動戰。二是國內形勢要求企業提升風險防控能力。我國仍然處于重要戰略機遇期��,發展不平衡���、不充分����,創新能力不適應高質量發展等,給國內企業帶來重重風險����,我們要增強風險意識�����,準確識變、科學應變、主動求變,進一步提升防范化解重大風險能力����。
(二)審計內業對審計防范風險的要求
一是國際內部審計定義��,其主要職能是審計確認和咨詢,目標是控制公司經營風險、增加公司價值�,因此���,內部審計需不斷提升防范風險能力����。二是國內新實施的《內部審計工作規定》拓展了內部審計職責范圍���,增加了內部控制與風險管理�����,突出了內部審計在風險管理方面的職能作用��,因此,防范風險是內部審計工作的重中之重���,內部審計需要建立風險管控體系。
(三)國家對內部審計風險防范的要求
2022年全國審計工作會明確要求���,審計要提前揭示不良苗頭和有害傾向,把重大風險隱患解決在萌芽狀態��,這是審計最大的“穩”�����;各級審計機關要圍繞防范化解重大風險問題開展各項審計����,及時反映影響經濟安全的苗頭性�、傾向性、普遍性問題。
作為國際型中國電信企業�����,內部審計如何應對以上環境變化��、繁雜風險和國家管理要求�����,我們深入探索和嘗試審計風險防控體系的創建��,并以此為導向構建審計作業標準�����,以解決內部審計快速、準確識別風險��,鎖定重點��,適時介入��,系統解決問題等實踐活動。
三���、構建風險防控體系的探索
認清形勢才能把握未來,當前企業內外部面臨深刻而復雜的形勢變化���,迫切需要對現有的發展模式、組織方式����、控制手段進行必要的調整��。內部審計是公司風險管理的第三道防線,也應順應企業的調整而調整�����,充分發揮內部審計在風險管理方面的優勢和作用�。
(一)審計風險防控體系框架
既往審計往往因審計領域覆蓋不全、審計聚焦風險不強�,導致審計結果參差不齊�����、審計發現的問題屢查屢犯等,難以充分發揮內部審計的“監督與評價”職能����,無法達到預期審計目標。為此,電信公司內部審計系統創建了風險防控體系,以解決上述審計瓶頸??傮w框架如下圖:
圖片
(風險防控體系圖)
該防控體系是審計標準化���、信息化��、規范化的重要基礎。其目的是:一企業風險匯編�,對當前企業主要風險的全面梳理��、提煉和集合��,包括風險描述、查證方法、涉及數據等;二作為審計人員的工具書,方便按照流程內容��、風險事項等維度快速找到審計方法和過往案例����;三管理層速查手冊,能為管理層迅速找到所需區域�����、領域的風險地圖��;四風險案例倉庫���,記錄風險形成和變化的過程���、產生領域和地域����、表現形式等基本形態��、應對情況等�。
(二)審計風險防控體系內涵
電信審計風險防控體系內涵是企業風險防范的第三道防線��,是企業風險防范的重要組成部分。
1.審計風險管控重要工具�。從審計視角出發�����,通過收集、梳理過往審計發現的風險����、管理層關注的重點�,以及審計人員對風險變化的認識與判斷�����,構建審計風險防控體系�����,解決內部審計識別、監控風險,鎖定重點,適時介入的風險管控工具����。
2.實施風險防范閉環管理��。審計風險體系分三個層面,首先建立標準的風險描述語言�,形成風險庫���,即語言層����;其次對現有風險的識別和管控(掃描�����、預警),即應用層����;再是對風險進行整改�、預防����,最后對剩余風險進行再評估再處置,即應對層�����。三個層面即可獨立工作����,又可相互支撐�,形成對風險的閉環管理�����。
圖片
(總體架構圖)
3.涵蓋全面風險及管控��。電信審計風險防控體系是企業內部關鍵風險及其屬性的集合,采用業務條線���、管理層級等結構化分類法對其進行描述和管理。用于公司內部風險識別����、應對���、監控���、匯報等風險管理活動。由風險庫��、風險識別與管理����、風險處置三部分構成。
3.1風險庫:審計風險庫位于審計風險體系中的語言層�����,全面涵蓋公司收入保障����、成本費用等十二大領域,細分四級風險結構描述����,并疊加了風險點的關注重點��、檢查方法、涉及模型和內控流程等十七項屬性���。
圖片
(風險庫結構表)
圖片
(風險庫內容表)
3.2風險識別與管控:即風險掃描與預警。根據企業風險狀況設定風險指標及閥值�;在建立審計數據集市的基礎上�,利用信息化手段實時監控風險指標變動情況�,對超過閥值的指標及時告警并跟蹤消除情況;風險掃描亦可作為審計項目的支撐�。細分類別�����,并自下而上收斂數據,自上而下逐層穿透,直至問題清單�����,如福建省的工程風險管控���、預警平臺��。
3.3風險處置:風險處置是制定并實施控制風險的計劃,確定降低風險發生的可能性并減少其不良影響所進行的處置。處置方法包括:風險回避(整改消除)��、轉移(補償控制)�、減少(整改降低)、接受(容忍)。本次審計風險體系的建立就是減少風險的最佳實踐�。
(三)風險防控體系服務
電信審計風險防控體系是基于涵蓋現行業務風險的分類�、匯總集合��;提供風險識別��、分析及風險處置方案和標準;為審計項目流程標準化和實施內容規范化的實現提供支撐;提供各類審計數據獲取、存儲�、應用的規范需求及數據統計�,推進審計信息化�����。以服務于審計管理����,支撐審計項目,提升審計質量,防控企業各類風險�����。
1.風險收集���、識別��、統計分析�����。收集之前審計項目實施情況�����、訪談記錄�、日常監控信息��,通過預警����、掃描�����、項目現場檢查達到統計分析前N大風險點����、高風險區域����、高風險領域、個性化風險分析結果��、風險輪廓�����。
圖片
(風險作業圖)
2.風險管控與處置���。通過分析部門/業務單位的潛在風險��,分析具體管理/業務流程�����,查找流程內部�����、流程與流程之間的潛在風險及其原因,進而識別公司層面整體風險�;其次通過對重大風險進行不同層級的掃描���、預警��,對告警及異常波動的事項進行派單詢問,進行風險處置�����。并建立風險處置跟蹤臺帳�����,實施動態跟蹤��。
圖片
(風險處置表)
3.其它。如風險分類�����、數據挖掘、推進審計信息化等功能�����,在此不再展開�。
通過電信審計風險防控體系的構建�,有效管控企業各類風險,從而��,推進內部審計轉型����,實現內部審計運用系統化、規范化的方法�����,實施全面審計的確認和咨詢活動���,因此�����,創建審計風險防控體系是內部審計有效防范和科學管控企業內部風險的最佳途徑����。
四����、風險防控體系的應用與實踐
有了審計風險防控體系,如何有效應用到具體審計項目����,真正發揮其防控作用�,我們創建了“以風險防控為導向的內部審計作業標準”�����。即運用風險庫的風險框架�����、標準規范��、程序方法���、分析模型等�,將風險導向貫穿于整個審計工作過程����,以增強審計計劃的針對性,提高項目實施的質量與效率��,提升審計成果運用的層次和效果��。
(一)審計作業標準化創建意義
內部審計為何而審����?審什么�?何時審?怎樣審?結果如何用��?這一系統問題怎樣管理�����?需要一個準繩來解決��,需要一系列標準來衡量。這個準繩就是風險的防范,即內部審計的根本;這個標準就是內部審計作業標準。風險防范是通過審計項目的實施而落實��,審計項目的有效實施是通過標準化審計作業來保證���,因此��,內部審計作業標準化是落實風險防控的有效保障�����。
(二)審計作業標準化主要內容
1.統一內部審計流程。涵蓋自審計立項�、方案制定�、審前調查��、非現場審計�����、審前輔導、現場實施����、審計報告至后續整改跟蹤���、全面評價等全過程閉環管理�����。
1.1審計方案:通過上述建成的風險防控體系,全面識別���,并甄選出公司內部重要、高風險領域����,剖析關鍵風險控制點����,組合�、確定審計方案。
1.2審計實施:借助風險防控體系的風險表現描述和檢查方法��,快速以查找問題為切入點��,對問題追本溯源,分析成因��、確定責任�;商議整改建議、確定舉一反三自查自糾�。
1.3跟蹤整改:被審計單位根據審計建議開展自查�����、整改;審計組跟蹤����、輔導被審計單位完成整改和自查情況�。
1.4全面評價:一是審計組非現場評估或現場檢查被審計單位整改及自查情況�;二是審計組根據總體情況,確定被審計單位的總體風險水平��;三是完成評價工作�。
2.構建審計操作指引。審計項目立項后�����,往往苦于不知從何入手“巧婦難為無米之炊”��,建立完備���、標準化的內部審計文書及相關資料��、數據表格是開展內部審計工作的根基――“厲兵秣馬,戰前必備”�����,即操作指引�。如我們構建了《內控獨立評估作業標準》:
2.1審前準備階段:明確項目負責人,組建審計組��,確立審計目標���、任務與進度��,明確人員分工��,審計通知及審前調查、數據取數,非現場審計分析、測試�����,審計疑點匯總���。
2.2現場實施階段:“養兵千日����,用兵一時”。一是結合風險庫�,使用標準的訪談記錄�����、內控獨評測試記錄、IT一般控制穿行測試記錄�、底稿�、問題匯總表����,有效促進并改善審計組長對審計過程的精確化管控,做到“三個統一、一個提升”:即統一審計查證方式�����、統一審計查證樣本�、統一審計語言,提升內控評估質量。二是通過編制內部控制缺陷及改進建議匯總表����、風險事項對應IT一般控制缺陷環節映射表,對問題產生成因進行追根溯源���,分類匯總,確保管理建議科學合理����,從而有效促進整改�����。
2.3階段報告:審計實施后通過匯總梳理審計結果,出具階段評估報告。通過深度剖析內部控制缺陷原因�����,提出科學����、合理的審計建議,并明確整改責任部門���、整改責任人、整改具體實施計劃��、各整改計劃的完成時限等要求���。
2.4整改跟蹤階段:一是自查追責��,被審計單位提出整改方案��,舉一反三自查整改,同時明確責任追究涉及事項���、控制環節及責任部門。二是跟蹤輔導�,審計組跟蹤、輔導被審計單位保質保量完成自查整改工作���。三是檢查整改,對整改質量進行評估����,必要時進行現場檢查��;對問題進行整改銷號。五是結果核實�����,跟蹤核實被審計單位的整改效果,針對整改不達標的問題點��,分析原因�,提出對策,推動整改����。
圖片
(內部缺陷整改跟蹤情況表)
2.5全面評價階段:一是設計風險管控成效評價表�,對被評估單位進行綜合打分評價�,并進行年度縱向比對及同類省份間橫向比對。二是設計獨評項目質量評價表���,對獨評項目質量進行打分,并分優秀��、良好�、中等、較差四個等級進行評價��。
(三)審計作業標準化應用效果
內部審計作業標準已全面應用到電信審計項目���,并固化于審計管理系統���,對審計項目管理��、審計質量、效率發揮了積極作用���,取得顯著效果,得到被審計單位和公司管理層的好評和充分肯定����,如某審計項目被審計單位反饋意見“審計結論客觀���,問題定性恰當”����,某公司管理層肯定:“審計發現問題不僅多�����,甚至在一定層面上較為突出����,有些是經營單位領導尚未關注到的事…�����,各單位要注意跟蹤發現問題的整改����,鞏固審計成效…”����。
1. 標準化作業,有效提升審計質量�����。通過標準化作業���,一是為審計人員騰出更多精力����,深入查證�,對內控缺陷追本溯源;二是便于把控過程質量,標準化編制測試記錄��、底稿����,便于主審掌控審計質量;三是利于有針對性、可操作性提出整改建議,共同剖析成因�;四是對項目組多維度打分和評價��,促使項目組充分重視、提升審計質量��。
2.雙“字典”,推進效率提升。一是“風險識別字典”�����,為審計項目快速鎖定風險領域�,形成方案,為審計人員迅速應用風險庫中的查證方法、路徑、依據查擺問題。二是“業務操作字典”�����,主審人員無需設計調查表格�����,無需絞盡腦汁去挖掘審計方向���,重復制定審計方案,無需重新設計報告架構;三是清晰的風險視圖和審計操作指引,填空式的標準測試記錄及審計底稿�����,把“拿來主義”發揮得淋漓盡致�,為審計新兵提供全方位視角,規范�、標準化的審計作業“字典”���,無需太多的培訓���,就能快速投入審計�����,從而,提升審計效率��。
3.多維評價����,促進加強風險防范。應用風險的循環控制機制和內部審計作業標準的“風險管控成效評價”����,對被審單位的風險防范管理情況進行總體評價�����。一是對內控能力評價,從風險程度、自檢能力�����、缺陷發現能力�����、缺陷整改能力、整改成效等五維度進行綜合打分����,并進行年度縱向比對����、同類橫向分析�;二是對審計項目開展質量評價,從方案選擇��、項目執行���、測試記錄的編制���、底稿編制����、成因分析等五維度進行打分;三是對被審計單位出具全面評價報告�;四是剩余風險管理���,重大缺陷或典型案例收集到風險庫�����,作為下期評價內容的依據����,將剩余風險納入下一年度審計范圍�����,以實施風險閉環管理;五是執行問責�����,將評分結果納入企業領導人績效考核體系�,對部分問題點設定風險閥值,對超過風險閥值分管領導及相關責任部門進行問責�����。從而���,促進各管理層重視加強風險防范工作�。
圖片
(全面評價視圖)
通過系統梳理、健全內部審計作業標準,實施標準化作業��,統一規范審計文檔及質量要求���,能高效實現內部審計價值����、防范風險。因此����,健全內部審計作業標準是保障風險防范和實現內部審計目標的最優手段�。
五�、結束語
近年來,電信公司通過創建�����、應用審計風險管控體系和內部審計作業標準��,已有效解決內部審計快速識別和監控風險,規范審計流程和審計作業標準��,有效落實審計發現問題的整改�����,降低公司風險�����,促進內部審計價值的不斷提升,也證明了風險防控是內部審計的根本�,構建風險防控體系是科學管理風險的有效途徑�,健全內部審計作業標準是高效實現審計價值�����、防范風險的有效保障��。
來源:2022年度福建省內部審計理論研討一等獎優秀論文
