赵佳

摘要：全面风险管理与内部控制建设，要求在企业经营管理和业务流程中，建立起三道“防线”。审计部门承担风险管理第三道防线职责，负责对风险管理与内部控制实施的有效性进行监督。如何充分利用企业全面风险管理过程中形成的各种成果，以确定企业风险水平和审计工作重点，是审计部门有效履行职责的前提。嘉兴供电公司在总结实践经验基础上，提出了审计部门充分运用依法治企检查成果，构建“执行、评价、完善、提升”的闭环管理模式，参与风险管理和内部控制建设的思路。在此基础上，研究和探索了运用依法治企检查成果开展内部控制审计的主要做法。

关键词：依法治企 内部控制 内部审计

一、风险管理、内部控制与内部审计关系

随着市场经济的深入发展，企业风险管理已成为投资者和经营者高度关注的重大问题。在电力企业体制改革及电力市场化进程中，由于外部环境复杂多变以及经营管理中的主客观原因，电力企业面临着众多不确定的风险因素。为有效应对内外部风险与挑战，提升经营管理水平，促进企业持续、健康发展，2012年浙江省电力公司全面推进了风险管理与内部控制体系建设。

全面风险管理，要求围绕公司战略目标，在经营管理各个环节识别影响战略目标实现的潜在风险，执行风险管理基本流程，将风险控制在可承受范围内，为实现公司战略目标提供合理保障。内部控制是全面风险管理的必要环节，从电力企业经营管理实践看，加强内部控制建设既是保障依法从严治企、实现管理提升的重要举措，也是深化“两个转变”、推进“三集五大”体系建设、防范经营风险、实现科学发展的内在要求。

全面风险管理与内部控制建设，要求在企业经营管理和业务流程中，建立起三道“防线”：第一道防线是各级业务部门；第二道防线是各级全面风险管理与内部控制委员会及办公室；第三道防线是各级审计部门。审计部门承担风险管理第三道防线职责，负责对风险管理与内部控制实施的有效性进行监督。如何更好地发挥这一风险管理职能，是电力企业审计部门当前不可回避的一个重要课题。

二、审计部门参与风险管理和内部控制建设的策略

实施风险管理和内部控制建设的一个重要挑战就是要变事后反馈风险为事中主动控制风险。审计部门要实现从事后监督向过程监督的转变，首先要做好对企业经营管理过程中面临的主要问题和风险的识别。

风险因素贯穿于电力企业所有经营管理环节和业务流程，且随经营环境的变化而不断改变。应注意的是，审计部门受有限审计资源的限制，难以独立全面的开展风险管理工作，风险管理和内部控制建设要求突出关键业务和风险环节。如何充分利用企业风险管理过程中形成的各种成果，以确定企业风险水平和审计工作重点，成为审计部门有效履行职责的前提。

2012年以来国家电网公司加大了依法治企综合检查力度，综合检查由审计部门牵头，工程、财务、人资等相关职能部门的业务骨干共同参与，在国网系统采用“交叉检查”的方式同步展开。依法治企综合检查以现有的管理制度为准绳，重点检查控制活动的遵循性，较全面的揭示了电力企业在重大事项、营销、工程、财务、人力资源、集体企业管理、职务消费等主要管理环节存在的主要问题和重大风险。依法治企综合检查成果的综合性和全面性，为审计部门进一步参与风险管理和内部控制建设提供了较明确的方向和切入点，体现了审计工作“集约化”管理的要求。

但也要注意到，依法治企综合检查以现有的管理制度为准绳，侧重于检查控制活动的遵循性。审计部门参与风险管理和内部控制建设，重点在于揭示风险是否得到适当管理和控制，不仅要关注控制遵循性，更要关注控制的充分性、适宜性和有效性。因此，在充分吸收和利用依法治企综合检查成果的基础上，体现审计诊断在管理导向中的作用。电力企业审计部门有必要进一步开展内部控制审计，通过企业风险管理和内控制度的分析、测试、评价，从制度和机制层面分析问题形成的原因并提出审计建议，以揭示进一步促进企业全面风险管理的完善和提升。

根据上述审计部门参与风险管理和内部控制建设的思路，我们可以构建起审计部门参与风险管理和内部控制建设的“执行、评价、完善、提升”的闭环管理模式。

图示：审计部门参与风险管理和内部控制建设的闭环管理模式

三、开展内部控制审计的主要做法

（一）审计计划阶段

首先，审计人员结合依法治企综合检查成果，确定本次内部控制审计的业务范围。实际操作中，根据依法治企检查评价结果来确定审计范围，应包括：

认定的缺乏控制或控制薄弱的业务环节或业务系统；

特定时间段内未得到有效执行的业务环节和业务系统；

资产风险较大的经济业务活动。

其次，充分吸收和分析依法治企综合检查所发现的问题，同时根据各部门业务运行情况制作业务风险检查操作表，明确所审业务关键节点及潜在风险点。

第三，根据依法治企综合检查所发现的问题，建立风险评估指标。内部审计人员依托依法治企综合检查成果，针对关键业务环节内控风险点，评价相关风险控制的健全性、有效性和合理性。具体可设置如下评价指标：

[风险识别率=1-未识别的风险点数量被审计业务环节风险点总数]

[内控措施恰当率=1-已识别，但控制措施无效的风险点数量被审计业务环节风险点总数]

[内控有效执行率=1-未按要求执行定期检查的次数审计期内按规定必须执行定期检查的次数]

[内控完善率=1-上期依法治企检查发现问题未整改数上期依法治企检查发现问题总数]

（二）审计实施阶段

首先，要评估内部控制措施的健全性。通过收集被审计单位相关的内部控制制度、风险控制措施、工作总结、应急预案等资料，区分不同业务范围将资料分发送给各审计小组，对被审计业务的风险识别评估和应对工作进行检查，确定被审计单位该业务控制措施的覆盖情况，并进一步调整审计人力资源、时间资源，确定重点审计业务。在对内部控制健全性评价时，应关注以下两个方面：

内部控制业务程序是否体现了生产经营管理及项目开发管理控制关键点。如在基建业务审计程序中，应关注电力系统基建工程建设管理流程是否标准规范，是否实行合同管理制度、招投标管理制度、项目法人管理制等重要环节。

所有内部控制业务程序是否依据授权、分工和责权一致的原则制定；是否建立了岗位责任制，明确分工负责，按规定标准（定质、定量、定期）处理各项业务；是否明确规定了各部门和岗位间的衔接、协调等。这个阶段可以采用的审计方法一般有审阅法、比较法、分析法等

其次，要关注内部控制的有效性、合理性。以“业务风险检查操作表”为依据，进一步明确业务流程所涉及的部门及其职责，明确应获取的审计证据，选择适当的审计方法进行审计，重点评价内部控制的有效性、合理性。

内部控制有效性的检查评价，重点是检查内部控制的执行记录、制约职能分工、操作状况等，这些有助于确定内部控制执行情况及有效程度。

内部控制合理性的检查评价，重点在于分析内部控制制度规定是否符合现行法规、规章的规定；是否具有较强的可操作性；制度与制度之间的衔接是否紧密协调，是否存在相互矛盾、相悖的条款，是否存在相互制约的程序；是否对不相容职务进行分离；内部控制制度是否及时自行检查并进行修订完善。这个阶段采用的审计方法一般有问卷调查、询问、凭证检查和穿行测试等。

最后，审计人员通过检查若认为控制活动未能得到有效执行，应进一步检查被审计单位是否采取了补偿性控制活动，如岗位轮换、不定期盘点、突击检查等，并对相关风险是否得到有效控制做出审计评价。

（三）审计报告阶段

重点在于依据实施阶段的各种测试结果，运用风险评估模型，对被审计单位的内部控制和风险管理总体情况进行评价，具体评价指标如前所述。该阶段根据综合评价结果形成的内部控制审计结果，一般包含两方面内容：一是评价报告，二是审计报告。

评价报告是对评价过程定性和定量分析的总结。评价报告应该指出被评价对象各业务模块的内部控制制度和执行状况的薄弱环节或者薄弱关键控制点，并从总体分析被审计单位的内部控制有效程度。

审计报告根据评价类型不同，分为管理建议书和审计意见书。前者主要是对内控评价的结果进行详细深入的分析，指出内部控制的薄弱环节，并分析其产生的原因及提出改进措施；后者主要是根据后续审计工作的需要和审前评价的结果，对被审计单位的内部控制薄弱环节提出整改的意见。

四、内部控制审计的质量控制

内部控制审计，作为内部审计活动的一个全新领域，其工作质量的评价既要符合一般审计程序的要求，又要符合自身审计活动的特点。

（一）审计质量控制评价指标

当前，审计质量评价标准研究较为完善和全面。嘉兴供电公司根据审计程序质量控制要求，采用等级评分法设计了指标体系来确保内部控制审计工作质量。该指标体系总分100分，从审计工作记录、审计报告、审计成果运用和审计成果档案四个方面设置相应指标，并根据实践经验确定各内部审计质量评估指标的分值。

（二）内部控制审计质量的侧重点

内部控制审计作为一个新的审计领域，其质量控制应有其自身的特点。当前，内部控制审计质量控制缺乏公认的标准，需要在实践中不断探索和完善。国网嘉兴供电公司通过总结内部控制审计的实践成果，提出三个方面的质量控制侧重点。

1、加强风险评估预测

风险评估预测可以使审计人员充分掌握潜在事件对企业风险管理的影响程度。在内部控制审计实施之前，审计人员应注意分析并研究其他风险管理成果，寻找各种可能或潜在的风险及产生的原因，有针对性地制订切实可行的审计方案并根据执行过程中遇到的具体问题随时进行调整。

2、坚持实质重于形式的原则

对企业内部控制的评价不能仅仅简单地检查和评价各业务操作流程中是否制定了配套制度，审计部门应坚持实质重于形式的原则制订注重实效的审计方案，采取恰当的措施对各业务操作流程的实际实施效果进行重点的检查和评价，防止内部控制制度虚设或弱化的现象。

3、重视人的因素

在评价企业内部控制活动过程中，要充分重视人的因素。企业的管理者和员工既是内部控制的执行者又是相关业务环节中的受控对象，其工作责任心、能力和风险观念等都将直接影响到内部控制执行的效果。因此应充分考虑到关键节点业务人员工作业绩考核和风险管理认知等方面的内容。

五、内部控制审计的评估与改进

（一）评估方法

内部控制审计相对于其他审计类型而言有着明显的不同，尚未形成统一的标准，其工作方法、流程仍有待进一步的评价、开发和完善。

（二）存在的问题

风险评估指标的建立，特别是评价标准存在不足，主要采用定性指标，审计人员在判断上存在较大的主观因素，结果缺乏可比性。

在审计的计划阶段，受到时间和专业能力的限制，对被审计对象的风险识别和评估工作存在不足，难以全面评价风险状况。

在现场审计阶段，审计人员对关键风险点的测试，较难按风险等级进行科学抽样。

对被审计对象各种系统记录进行分析和筛选仍主要依赖审计人员的经验和主观判断，工作强度大，容易出现疏忽。

（三）今后的改进方向

1、拓宽内部控制审计的范围

在内外部风险因素综合分析的基础上，依托综合性的依法治企检查和体系化的内部控制制度，全面开展内部控制审计。当前，电力企业内部控制审计实践中，较为注重企业财务风险管理和运营风险等内因驱动的风险，对市场风险、环境风险等外因驱动的风险关注度较低。

2、提升审计高度

目前，很多企业的内部控制审计对企业风险的揭示和评估仅限于局部环节，未能从企业战略的高度开展风险控制。内部控制审计应从企业整体上看待企业所面临的风险，采用系统化、规范化的方法对风险管理程序进行评价，从而为组织提供审计服务，实现为组织增加价值的目的。

3、建设专家型审计团队

创新审计工作组织模式，选聘公司人资、财务、物资、工程、营销、发策等专业管理骨干人员，构建跨专业、跨部门、跨单位的专家型审计团队。专家型审计团队实行项目化管理，有审计项目时，由公司审计部发出审计通知，按“审计方案”从专家型审计团队中抽调人员成立审计组。通过专家型审计团队的建设，打造问题诊断协同监督平台，形成专业全覆盖的风险防范体系，推进依法从严治企深化落地。

参考文献：

[1]刘永英.企业内部控制审计的探讨[J].管理观察，2014

[2]曹晓瑞.新时期我国企业内部控制审计问题研究[J].中国集体经济，2014

[3]解传珍.企业内部控制审计风险及其规避措施浅议[J].财经界（学术版）， 2014

[4]黄瑛.企业内部控制审计问题分析[J].现代经济信息，2014

[5]闫珍立.公司治理、内部控制、内部控制审计管理框架构建研究——基于战略管理理论[J].中国内部审计，2014