風(fēng)險導(dǎo)向內(nèi)控審計在電網(wǎng)企業(yè)的實(shí)踐應(yīng)用

陳冬梅 鄧昕 于春洋 王琳 孟蕾 洪祥超

[摘要]將風(fēng)險導(dǎo)向?qū)徲嬎枷霊?yīng)用于內(nèi)部控制審計，利用內(nèi)控成熟度評估輔助開展內(nèi)部控制審計，構(gòu)建內(nèi)部控制審計體系和實(shí)施路徑，指引審計人員快速定位高風(fēng)險內(nèi)控領(lǐng)域與流程，有助于審計資源分配和審計效率的提高，進(jìn)一步提升企業(yè)內(nèi)控能力，規(guī)范企業(yè)管理。

[關(guān)鍵詞]內(nèi)部控制? ?內(nèi)控審計? ?風(fēng)險導(dǎo)向? ?成熟度

電網(wǎng)企業(yè)L公司積極響應(yīng)國家要求和上級單位管控需求，落實(shí)公司轉(zhuǎn)型發(fā)展需要，結(jié)合內(nèi)外部形勢變化，探索內(nèi)部控制審計新模式和新方法，推動內(nèi)控審計工作有序開展，為公司戰(zhàn)略目標(biāo)實(shí)現(xiàn)提供有力支撐。

一、成熟度模型應(yīng)用于風(fēng)險導(dǎo)向內(nèi)控審計的可行性分析

（一）成熟度模型

成熟度模型使用“成熟度”的概念來描述組織擁有某種能力的情況。成熟度模型可用于判斷被評價對象所達(dá)到的水平或所處的發(fā)展階段，目的在于推動被評價對象朝著最佳實(shí)務(wù)目標(biāo)持續(xù)進(jìn)步。目前，各行業(yè)常用的成熟度模型超過30種，最具影響力的能力成熟度模型是由美國卡耐基梅隆大學(xué)軟件工程研究所和美國項(xiàng)目管理學(xué)會構(gòu)建發(fā)布的能力成熟度模型和組織項(xiàng)目管理成熟度模型。

根據(jù)國際內(nèi)部審計師協(xié)會（IIA）發(fā)布的《選擇、運(yùn)用和創(chuàng)建成熟度模型：可用于確認(rèn)和咨詢業(yè)務(wù)的一種工具》，審計人員可在審計工作中有效應(yīng)用成熟度模型，或在沒有可利用模型的情況下創(chuàng)建模型。IIA創(chuàng)建的內(nèi)部審計能力模型，從服務(wù)和內(nèi)部審計的角色、人員管理、專業(yè)實(shí)務(wù)、業(yè)績管理與責(zé)任制、組織關(guān)系與文化、治理框架六個方面考查組織的內(nèi)部審計能力。

（二）內(nèi)控成熟度與風(fēng)險導(dǎo)向內(nèi)控審計的兼容性分析

“內(nèi)控成熟度”綜合反映企業(yè)在內(nèi)部控制體系建設(shè)、實(shí)施等各方面的情況，可以用來評估企業(yè)內(nèi)控實(shí)際狀況，包括內(nèi)部控制的建立有效性和運(yùn)行有效性。內(nèi)控成熟度等級代表了企業(yè)對實(shí)現(xiàn)控制目標(biāo)的滿足程度，等級越高意味著內(nèi)控制度和措施的健全程度與執(zhí)行效果越好，本質(zhì)上體現(xiàn)了企業(yè)風(fēng)險控制能力的綜合。

內(nèi)控成熟度評估是在設(shè)定成熟度模型框架的基礎(chǔ)上，建立量化評估方法以判斷內(nèi)控關(guān)鍵實(shí)踐和控制領(lǐng)域的實(shí)現(xiàn)情況，確定內(nèi)控能力成熟度等級，并通過整體和各關(guān)鍵控制領(lǐng)域的得分情況，分析出被審計單位內(nèi)控體系相對薄弱的方面。通過內(nèi)控成熟度評估揭示企業(yè)運(yùn)行中可能存在的風(fēng)險，審計人員可以有針對性地開展內(nèi)控審計工作，并針對發(fā)現(xiàn)的問題和確認(rèn)的風(fēng)險點(diǎn)提出相應(yīng)建議，最終實(shí)現(xiàn)提升內(nèi)部控制能力的目標(biāo)。

上述分析表明，內(nèi)控成熟度與風(fēng)險導(dǎo)向內(nèi)控審計相互兼容，追求的目標(biāo)具有一致性，說明把內(nèi)控成熟度運(yùn)用于風(fēng)險導(dǎo)向內(nèi)控審計是可行的。

二、構(gòu)建風(fēng)險導(dǎo)向內(nèi)控審計體系

（一）內(nèi)控審計體系基本內(nèi)涵

結(jié)合公司戰(zhàn)略部署和落地實(shí)施，L公司審計部構(gòu)建以風(fēng)險為導(dǎo)向，以內(nèi)控成熟度評估為基礎(chǔ)的“兩表三步兩維”內(nèi)控審計體系（簡稱“232”內(nèi)控審計體系）?！?32”內(nèi)控審計體系是通過由內(nèi)控成熟度評估及基礎(chǔ)信息采集組成的“2套評估表單”開展審前調(diào)研分析，運(yùn)用風(fēng)險導(dǎo)向的“審前評估—審計實(shí)施—審后處理”的“3步審計法”進(jìn)行公司內(nèi)部控制審計，運(yùn)行“2維評價機(jī)制”深度挖掘數(shù)據(jù)內(nèi)涵，分析內(nèi)控管理短板，持續(xù)提供整改建議，實(shí)現(xiàn)內(nèi)控審計的風(fēng)險識別、缺陷認(rèn)定及閉環(huán)整改（見圖1）。

（二）“232”內(nèi)控審計體系主要構(gòu)建思路

1.以評估表單規(guī)范審前評估

歷來內(nèi)控審計實(shí)施過程中存在兩大難點(diǎn)：一是審計人員對公司各條線業(yè)務(wù)熟悉程度不一，無法準(zhǔn)確判斷潛在風(fēng)險點(diǎn)和確定審計重點(diǎn);二是集團(tuán)化企業(yè)各分子公司業(yè)務(wù)和內(nèi)控流程不一致，全面評估和排查風(fēng)險存在困難?；谝陨蟽蓚€難點(diǎn)，本體系重新梳理內(nèi)部控制流程，創(chuàng)新性采用內(nèi)控成熟度評估理論，以評估表單指引審前評估工作的開展。

（1）內(nèi)控成熟度評估表

L公司審計部在構(gòu)建內(nèi)控成熟度模型作為內(nèi)控審計體系基礎(chǔ)的過程中，充分考慮電網(wǎng)業(yè)務(wù)特色和“放管服”改革變化，結(jié)合國內(nèi)外風(fēng)險管理最新理論與實(shí)踐，梳理公司業(yè)務(wù)流程及國網(wǎng)現(xiàn)行適用制度，提取電網(wǎng)特色流程（如電網(wǎng)工程管理、電費(fèi)收取等），針對重大風(fēng)險領(lǐng)域，調(diào)整內(nèi)控審計關(guān)注點(diǎn)及相應(yīng)指標(biāo)。

一是清晰的指標(biāo)結(jié)構(gòu)層次有助于審計人員快速理解審計項(xiàng)目，準(zhǔn)確判斷潛在風(fēng)險點(diǎn)，選取恰當(dāng)審計標(biāo)準(zhǔn)和評價指標(biāo)，為提高審計效能奠定良好基礎(chǔ)?？紤]到內(nèi)部控制系統(tǒng)各要素之間既具有一定的獨(dú)立性，又相互聯(lián)系相互影響，將內(nèi)控成熟度模型分為“面”“線”“段”“點(diǎn)”四個考察層面，具體內(nèi)容見表1。

二是針對具體事項(xiàng)發(fā)生過程中的關(guān)鍵控制點(diǎn)是否設(shè)置并執(zhí)行有效進(jìn)行相應(yīng)內(nèi)控審計評估，并建立相應(yīng)的評估指標(biāo)。評估指標(biāo)分為流程指標(biāo)和控制指標(biāo)兩類（見圖2），“232”內(nèi)控審計體系中成熟度評估指標(biāo)采用定性判斷的形式，使評估結(jié)果易于采集、便于統(tǒng)計，同時適于推廣應(yīng)用。被審計單位相關(guān)責(zé)任部門對該具體業(yè)務(wù)或事項(xiàng)進(jìn)行自我評估，定性判斷評估指標(biāo)的描述與實(shí)際情況的吻合度。

由于L公司業(yè)務(wù)范圍廣泛、流程復(fù)雜，且不同子公司的內(nèi)部控制管理各有側(cè)重，“232”內(nèi)控審計體系采用層次分析法設(shè)置成熟度指標(biāo)權(quán)重，將同一層級指標(biāo)重要性進(jìn)行量化比較，確定同一層次元素相對于上一層次的數(shù)量關(guān)系與權(quán)重，最后對總權(quán)重由最高層次進(jìn)行逐級分配。內(nèi)控成熟度評價表采用復(fù)合式分值統(tǒng)計系統(tǒng)，結(jié)合權(quán)重理念，設(shè)置兩類評分，即“標(biāo)準(zhǔn)化評分”與“賦權(quán)得分”。標(biāo)準(zhǔn)化得分指對單個二級指標(biāo)中各階段（三級指標(biāo)）的定性評價進(jìn)行量化整合得到的分?jǐn)?shù)，每個業(yè)務(wù)流程滿分為10分。賦權(quán)得分指對全部二級流程的標(biāo)準(zhǔn)化得分進(jìn)行賦權(quán)整合后經(jīng)扣分機(jī)制處理得到的分?jǐn)?shù)，公司整體滿分為100分。

（2）基礎(chǔ)信息表

盡管已充分考慮電網(wǎng)行業(yè)特色及L公司的管理特點(diǎn)等因素，但單純依賴成熟度評估模型仍然可能無法滿足實(shí)際內(nèi)控審計工作的需求。因此，針對內(nèi)控成熟度框架“定性問題、定量結(jié)果”的特點(diǎn)，“232”內(nèi)控審計體系引入與之互補(bǔ)的基礎(chǔ)信息采集表，進(jìn)一步完善審前評估階段。引入基礎(chǔ)信息采集表，一是可以納入成熟度評分指標(biāo)外風(fēng)險點(diǎn)，更全面評估被審計單位的內(nèi)部控制情況;二是對收集的定量信息進(jìn)行數(shù)據(jù)分析，避免成熟度指標(biāo)單純定性判斷的弊端;三是便于審計人員快速、深入了解審計對象，基于業(yè)務(wù)實(shí)質(zhì)開展審計工作。

2.以成熟度評估指導(dǎo)審計實(shí)施

成熟度等級從最低級的“混亂級”到最高級的“戰(zhàn)略級”，每個等級都有其在內(nèi)部控制設(shè)計、執(zhí)行及風(fēng)險防范方面的特征和目標(biāo)。L公司在開展現(xiàn)場審計工作前，對被審計單位的內(nèi)部控制成熟度進(jìn)行評估，審計人員可以快速了解內(nèi)部控制整體狀態(tài)，初步判斷被審計單位的內(nèi)部控制風(fēng)險所在，明晰內(nèi)控風(fēng)險水平，以風(fēng)險為導(dǎo)向確定審計重點(diǎn)，初步指出經(jīng)營管理能力提升方向。成熟度等級及內(nèi)控特征對應(yīng)關(guān)系見表2。

通過被審計單位的內(nèi)控成熟度等級判斷內(nèi)部控制總體情況，結(jié)合各二級流程具體得分，審計人員可以聚焦內(nèi)控風(fēng)險水平較高的領(lǐng)域，關(guān)注對公司經(jīng)營管理具有重大影響的核心流程，或者酌情增加重點(diǎn)流程抽樣量。此外，“232”內(nèi)控審計體系對內(nèi)控審計評估要點(diǎn)進(jìn)行細(xì)化，完善和優(yōu)化審計底稿，在審計底稿模板中充分考慮基本信息、抽樣原則、涉及系統(tǒng)、檢查方法及要點(diǎn)、檢查結(jié)果和檢查依據(jù)等要素，設(shè)置索引號進(jìn)行關(guān)聯(lián)，便于審計過程中交叉驗(yàn)證。

L公司審計部充分考慮公司信息系統(tǒng)規(guī)劃和實(shí)施情況，借助現(xiàn)代化技術(shù)手段對數(shù)據(jù)和信息進(jìn)行收集和處理，提升從ERP、OA、PMS、財務(wù)管控、營銷系統(tǒng)、電力交易系統(tǒng)等21個專業(yè)系統(tǒng)中直接取得審計證據(jù)的比例，促進(jìn)提升審計效率。一是提升審計證據(jù)真實(shí)性，利用系統(tǒng)關(guān)聯(lián)性減少審計證據(jù)被篡改的可能;二是保持審計證據(jù)的客觀性，相較于傳統(tǒng)的訪談、函證等審計方法，信息系統(tǒng)數(shù)據(jù)分析可以減少主觀性判斷;三是簡化非必要審計項(xiàng)目。例如，已經(jīng)系統(tǒng)流程固化的步驟可減少現(xiàn)場審計過程的抽樣量;四是拓展審計證據(jù)渠道，L公司多維精益管理體系的實(shí)施加速了公司業(yè)財融合進(jìn)度，信息系統(tǒng)中可反映更多日常管控信息，為內(nèi)控審計提供了更為豐富的數(shù)據(jù)信息。

3.以兩維評價進(jìn)行審后處理

立體化的內(nèi)控審計工作模式可以滿足內(nèi)控審計不同監(jiān)管頻率、不同審計范圍和不同分析維度的需求。“232”內(nèi)控審計體系設(shè)置“兩維評價機(jī)制”對審計結(jié)果進(jìn)行分析，從業(yè)務(wù)和公司兩個維度進(jìn)行考慮，將兩類得分在公司內(nèi)部流程、多家下屬公司之間進(jìn)行比較，深度挖掘內(nèi)控能力缺點(diǎn)，明確內(nèi)控能力提升方向。如有條件獲取多期審計數(shù)據(jù)進(jìn)行比對，亦可拓展時間維度，豐富內(nèi)控審計結(jié)果的應(yīng)用。兩維評價機(jī)制具體解釋說明見表3。

三、體系實(shí)踐應(yīng)用

根據(jù)年度審計計劃安排，L公司審計部選取6家下屬供電公司開展內(nèi)部控制審計專項(xiàng)工作，應(yīng)用“232”內(nèi)控審計體系，提前判斷內(nèi)控高風(fēng)險領(lǐng)域與流程，合理配置審計資源，對被審計單位的內(nèi)部控制情況進(jìn)行全方位診斷，進(jìn)一步提高審計監(jiān)督質(zhì)量。

（一）審前調(diào)研評估

在確定審計對象后，將內(nèi)控成熟度評估表和基礎(chǔ)信息表下發(fā)被審計單位對接部門，并由其組織各專業(yè)部門填寫。填寫完成后，被審計單位對接部門進(jìn)行初步審核后將數(shù)據(jù)上報至L公司審計部。審計人員將數(shù)據(jù)輸入內(nèi)控成熟度評估模型進(jìn)行分析，初步得出被審計單位的內(nèi)控成熟度賦權(quán)得分和各流程的標(biāo)準(zhǔn)得分，結(jié)合基礎(chǔ)信息表中上報的內(nèi)容，對被審計單位的內(nèi)部控制情況進(jìn)行整體評估。各被審計單位內(nèi)控成熟度初步評估結(jié)果見表4。

（二）審計現(xiàn)場實(shí)施

綜合上述評估結(jié)果，L公司審計部以內(nèi)控風(fēng)險為導(dǎo)向，確定各被審計單位的審計重點(diǎn)，指導(dǎo)現(xiàn)場審計工作。審計人員在流程全覆蓋的基礎(chǔ)上，對重點(diǎn)流程和相關(guān)控制環(huán)節(jié)增加審計資源投入，檢查內(nèi)部控制設(shè)計與執(zhí)行的有效性。本次內(nèi)部控制審計專項(xiàng)工作共發(fā)現(xiàn)32個內(nèi)控風(fēng)險缺陷，其中設(shè)計缺陷9個，執(zhí)行缺陷23個。

1.內(nèi)部控制設(shè)計方面。審計發(fā)現(xiàn)的內(nèi)部控制設(shè)計問題主要有：各業(yè)務(wù)環(huán)節(jié)銜接不緊密或存在疏漏;內(nèi)部控制設(shè)計未根據(jù)公司業(yè)務(wù)開展和制度情況進(jìn)行更新，與實(shí)際情況有出入造成難以有效實(shí)施;內(nèi)部控制措施內(nèi)嵌在信息系統(tǒng)中，一人可以履行流程中多重角色。例如，審計人員根據(jù)內(nèi)控成熟度評估結(jié)果，有針對性地加大對C供電公司的物資（服務(wù)）采購管理流程的審計力度，發(fā)現(xiàn)其廢舊物資管理流程雖然在ERP系統(tǒng)中設(shè)置了四級審核，但未將審批權(quán)限與內(nèi)網(wǎng)電腦MAC地址進(jìn)行綁定，導(dǎo)致在實(shí)際執(zhí)行中存在一臺電腦對多筆業(yè)務(wù)進(jìn)行申請、審核和審批的情況，公司資產(chǎn)處置存在風(fēng)險。

2.內(nèi)部控制執(zhí)行方面。審計發(fā)現(xiàn)的內(nèi)部控制執(zhí)行問題主要有：操作人員對制度流程不熟悉，由于流程較復(fù)雜未能嚴(yán)格執(zhí)行;內(nèi)部控制措施設(shè)計不合理導(dǎo)致執(zhí)行不到位;部分人員急于處理業(yè)務(wù)而選擇跳過某些控制環(huán)節(jié)等。例如，審計人員根據(jù)內(nèi)控成熟度評估結(jié)果，提高對E供電公司科研管理業(yè)務(wù)的抽樣比例，抽取當(dāng)年發(fā)生的科研項(xiàng)目13項(xiàng)（占比50%），發(fā)現(xiàn)存在項(xiàng)目可行性研究不深、項(xiàng)目成果評審流于形式等問題。審計人員針對內(nèi)控執(zhí)行方面存在的問題，向相關(guān)業(yè)務(wù)部門及人員下發(fā)整改通知書，提出整改要求和整改完成時限。

（三）審后處理

在現(xiàn)場審計工作完成后，L公司審計部人員對現(xiàn)場發(fā)現(xiàn)的風(fēng)險和問題進(jìn)行匯總，與前期內(nèi)控成熟度初步評估結(jié)果進(jìn)行交叉驗(yàn)證，對未據(jù)實(shí)申報的情況進(jìn)行懲罰性扣分，得出各被審計單位內(nèi)控成熟度最終得分（總體及各流程）。L公司審計部對納入本次審計范圍的6家供電公司進(jìn)行綜合排名，并將排名、得分等信息在L公司系統(tǒng)內(nèi)進(jìn)行通報，形成內(nèi)部控制方面的良性競爭氛圍，促使各供電公司努力提升自身內(nèi)部控制能力。

四、體系實(shí)施效果

風(fēng)險導(dǎo)向基于內(nèi)控成熟度的“232”內(nèi)控審計體系能夠幫助審計人員簡化審前調(diào)查環(huán)節(jié)，提供清晰明確的審計要點(diǎn)，科學(xué)配置審計資源，縮短審計時間，有效緩解審計數(shù)據(jù)龐大、任務(wù)重、時間緊、人力匱乏的窘迫局面，實(shí)現(xiàn)準(zhǔn)確定位、及時預(yù)警，有效確保審計效率提升。審計人員利用成熟度評估整體得分判斷被審計單位的內(nèi)控情況，并通過關(guān)鍵控制領(lǐng)域得分進(jìn)行對比和判斷，抓住被審計單位的內(nèi)控薄弱環(huán)節(jié)和高風(fēng)險環(huán)節(jié)，有針對性地開展現(xiàn)場工作。與傳統(tǒng)內(nèi)控審計審前資料收集、現(xiàn)場查賬、核對實(shí)物、查閱相關(guān)資料等步驟相比，審計效率提升30%以上，人員資源需求降低40%以上。

通過“232”內(nèi)控審計體系的建設(shè)和應(yīng)用，L公司進(jìn)一步適應(yīng)了新形勢下公司業(yè)務(wù)的變化，增強(qiáng)了內(nèi)控審計水平，提高了風(fēng)險防范能力，滿足了集團(tuán)化運(yùn)作、集約化發(fā)展、精益化管理、標(biāo)準(zhǔn)化建設(shè)要求，為實(shí)現(xiàn)公司建設(shè)具有中國特色國際領(lǐng)先的能源互聯(lián)網(wǎng)企業(yè)戰(zhàn)略目標(biāo)提供了具有實(shí)踐意義的創(chuàng)新管理經(jīng)驗(yàn)。

（作者單位：國網(wǎng)遼寧省電力有限公司，郵政編碼：110004，電子郵箱：1017444894@qq.com）

主要參考文獻(xiàn)

田志剛.地方財政內(nèi)控能力成熟度的測評研究[J].中南財經(jīng)政法大學(xué)學(xué)報， 2011（6）：7-11

辛風(fēng).成熟度模型在內(nèi)部審計確認(rèn)與咨詢業(yè)務(wù)中的運(yùn)用[J].中國內(nèi)部審計， 2013（12）：46-48

尤然.基于能力成熟度模型的財務(wù)內(nèi)控成熟度評價體系構(gòu)建及信托公司財務(wù)內(nèi)部審計側(cè)重初探[J].審計與理財， 2017（1）：37-39