梁学良 王桂钦 吴榕青
(深圳供电局有限公司 广东 深圳 518000)
摘 要:由于体制层面的阻碍和技术层面的复杂性,造成内部审计工作中立项环节决策科学性不足。本文剖析当前国有企业内部审计立项的现状和困难,并以电网企业内部审计工作为例,从内审的目标定位从发,以风险管控为导向,探讨如何构建一套基于多个维度分析的立项评估模型。
教育期刊网 http://www.jyqkw.com
关键词 : 立项决策、风险资金量、内控信用等级、二维度评估矩阵、选项风险
中图分类号:TM73文献标志码:A文章编号:1000-8772(2014)31-0144-04
收稿日期:2014-10-22
作者简介:梁学良(1956-)男,广东电白人、硕士、工程师。 研究方向:企业管理。
一、研究背景
在内部审计工作中,对于审计对象的确立,许多企业并没有遵循一套严格的决策程序。以国有企业为例,审计部门根据领导人员任免情况开展经济责任审计,或者按照上级相关部门专项治理的要求开展审计,在完成了这些规定动作之后,真正基于本企业实际情况和审计原则进行分析,作出审计决策的空间很小,这种非审计部门主导的外源型的立项方式,往往造成了审计部门选择审计对象的科学性欠佳,审计监督缺乏一个统筹和规划,也导致了现实工作中审计重复和审计遗漏并存,甚至存在盲目性,无法实现对企业经营风险的全面有效覆盖。而在这一种外源型立项占主导的机制下,内审部门对于审计立项环节的重视程度、决策主动性也被削弱,审计立项渐渐成为审计技术层面的一个软肋,审计决策多为“拍脑袋式”。这与审计工作科学性、严谨性的本质不相符。对于企业内审部门,科学地立项是迈向审计工作成功的第一步,也是非常关键的一步,随着内审在企业中服务型的职能定位日益明确,如何运用有一种科学合理的立项方式,替代当前的外源型和粗放型的立项模式,确保审计对企业经济风险的全面有效覆盖,是内审发展中亟须解决的问题。
二、评估立项中遇到的问题与难点
事实上,许多企业都在作科学立项的探索,但除了上述所讲的体制上的掣肘之外,在技术层面也同样都遇到了一些阻碍。审计立项决策中通常都会面临着以下几方面的困难:
(一)以经验判断代替客观的风险分析
有经验的审计人员习惯于按照以往的审计经验,以问题为导向,判断一个企业内部的风险高发地,以此作为立项的依据。例如,企业中与资金打交道多的部门:工程部门、采购部门、营销部门、财务部门往往被视作重点检查对象,其他的部门则容易被忽略。以经验代替客观的分析,带来的结果是:经常被审计的部门,难免经常被查出问题,假如审计人员在以后的立项决策中借鉴了这种经验结论,依然是重点检查这些部门,越查越发觉问题越多,越发觉问题多越查;而相反,对于那些以往就不被关注的部门,则是越少查问题越少,而后更加被忽略,如此不良地循环。事实上,经营风险的无所不在的,作为内审机构,尤其是国有企业的内审部门,担当保障国有资产安全的重要职责,企业中的任何一个主体,只有赋予了资金管理和资产运营的授权,无论多与少,都应该纳入审计范围,适当地进行审计。
(二)被审对象的多样性造成标准难以统一
企业内部的机构中,有职能管理类的部门、生产管理类部门、基层业务类部门。以电网企业为例,就包括了行政管理类部门、业务管理类部门、基层生产部门、下级基层单位。各部门的业务、职责各不相同,而选项时选择什么样的指标进行评估,能够引导正确的方向并具有广泛的代表性,是选项决策中首先面临的问题。
(三)缺乏量化的指标
选择评估指标时会面临的另外一个问题就是标准的量化。随着内控理念和方法的深入运用,在评估中大多都会以一个单位内部控制的完善性作为参考标准。内控水平是一个具有代表性的指标,与内审防控风险的目标高度一致,但内部控制内涵甚广,几乎涉及企业经营管理的方方面面,要评估内控有效性并不简单。而事实上,内部控制有效性本身也缺乏相应的量化评价标准,国家五部委联合颁布的《企业内控基本规范》大多以定性的描述为主,企业在承接落地中进行量化并取得成功的经验也不多。通过评估内控风险高低来作为审计决策的支撑,必须先找到可以量化风险的指标,这始终是一个难点。
(四)理念与实际脱节,评估立项的实操性不强。
评估选项面临的最后一个问题是,即便设置了一套具有代表性,又能量化的标准,但如果这些标准只是从评估的理论层面出发,没有充分结合企业实际的话,到头来会发现这套评估的方法难以实操运用,因为许多原先设定的理想数据在现实中都无法取得。
三、基于审计目标的多维度评估立项模型构建
实际工作中的困难激发我们对该领域的探索,要做到科学合理的立项,规避审计风险,必须有一套完善的立项模型作为支撑。接下来我们以电网企业内部审计为研究基础,探索该模型的建设。通过模型的构建,要着重解决立项的科学性问题,同时还须有效应对上述立项中的四方面困难。本课题研究的立项评估模型,是指通过一系列的较为客观的风险评估,确定被审对象的风险等级,再结合选项的一些基本原则,为审计项目的确立提供依据和参考。立项评估模型也是审计项目规划的基础。
(一)审计目标
风险导向是引领审计的一个主要方向,内部审计必须关注企业的风险,哪里有风险,哪里就要检查覆盖。而国有企业内部的风险存在于不同领域,例如:经济效益风险、安全生产风险、廉洁风险、舆论风险、法律风险、管理效能风险等等。全面风险管理强调面面俱到,而审计并不是全能的,内审部门需要紧紧抓住自身的职能定位,有重点,才能不超越职权,称职地履行好义务。因此,关注怎样的风险,选择怎样的审计对象,需要回到内部审计的基本职责这个话题。
《国际内部审计实务标准》关于内部审计的宗旨、权力和职责的说明中提到:“对公司的工作进行全面审计是有困难的,内部审计机构在制定审计计划时,应征求总裁、审计委员会和其他管理部门的意见后,根据风险大小确定审计的重点和先后次序。考虑的风险包括:不良的财务或业务形式;违背公司政策、计划、程序或法律要求的行为;财产损毁;浪费或低效;未实现事先确立的目标”。从以上关注点可以看出,内审所关注的风险应当以经济领域的合规、安全和效益风险为主。而作为央企的内审部门,重中之重,是要定位在保障企业受托的国有资产的安全和效益上,以及国有资金使用的合规性上。因此,国有资金运作、国有资产管理中的风险是审计的首要关注,审计选项,最先就要考虑在哪些领域,这类风险突出,也就是经济活动的活跃程度。因此,审计选项的评估,最重要是评估被审对象经济活动的风险。
(二)风险评估的理论依据
企业内部控制体系中,关于“固有风险”和“剩余风险”的理论认为,一个企业(或主体)由于自身参与的经营活动,必然存在各类风险,这些风险是与经营活动并存的,是不可避免的,这就是固有风险。而企业可以通过采取一系列措施,通过规避、转移、降低的方式去降低风险发生的概率和风险发生带来的影响,将风险控制在可承受的范围,这就是内部控制活动。通过有效的控制活动,一些风险得到了局部控制,但并非绝对控制,除此之外,采取控制措施后仍然存在的风险,就是“剩余风险”。作为内审部门,对于已经在制度流程体系中严格受控的风险,可不必过份关注,需要优先关注的是那些仍然未能有效控制的“剩余风险”。也就是实际存在的隐患点。
这一理论运用到选项决策中,就是说,选择被审对象时,除了要考虑其各项业务活动的风险高低,也就是“固有风险”;同时还要考虑这个活动主体的内部控制水平,也就是有效控制的程度。因为只有剔除了有效控制的“固有风险”,才是容易使风险演变成问题或损失的“剩余风险”。评估中只有均衡考虑 “固有风险”和“控制能力”两个要素,才能推导出审计最需要关注的“剩余风险”,审计如何选项取决于被审单位“剩余风险”的高低。
举个例子,电网企业中,若要说经济活动的风险,那么,电费收费业务涉及资金量最大,收费部门固有的风险最高,但实际上,由于收费流程的管控严密,电子化控制程度高,出现人工出错和人为舞弊的可能性很小。因此,审计在选择检查对象时,这类型的部门“剩余风险”较低,并非检查的重点。
(三)多维度评价
通过上述分析,可以得出以下结论:对被审单位风险的评估主要考虑两个方面:一是各项业务活动的风险高低;二是活动主体的内部控制水平。关于业务风险高低的评估,在前面的分析中已明确了,从审计的目标出发,在企业内部全面风险体系的众多的风险中,按照国有企业审计的职能定位,以经济业务为关注对象,围绕企业资金流向作为审计监督主线,评估业务活动风险高低最为合适的指标,就是“经济活动的资金量”。关于内控水平的评估依据:通过考虑各活动主体(以各部门为单位)业务的固有风险点的情况(内部控制的难易程度),以及内部控制的实际效果(历史出现问题的记录)两个方面,综合评估其对风险的主观控制能力。以上两方面评估依据转化为相应的评估维度,也就确立了审计对各部门(单位)经济活动的风险评估包括两个维度,分别是:①风险资金量;②内控水平等级。
1.风险资金量维度的评估
“风险资金量”是指考虑了资金风险的资金量,他既反映了资金量的大小,同时也反映了资金运作的风险高低。是经过风险修正后的资金量。
对风险资金量的评估,首先需要分析公司的经济活动链条。以电网企业为例,经济活动大体上划分为以下环节:一是收入环节。主要是公司内部的业务收入,该环节影响资金流入,收入环节的风险有跑冒滴漏、收款资金管理、截留、少计收入等方面。二是流转环节,包括公司资金管理、投资活动、融资筹资,流转环节的风险主要是资金风险。三是开支环节。指公司内部的维持正常运转的各项费用开支、保障发展需要的资本性投入。开支环节的风险有虚列不实开支、程序违法违规、资金挪用、无效益的投入、外部违约、权利滥用等,开支环节是对国有资金的支配使用,是风险的集中领域。
其次是活动主体分析,对象是实施各环节经济业务的各个部门(单位),企业经济活动的各环节分别对应于不同的主体。例如收入环节涉及各个收费部门,流转环节主要涉及财务部门,开支环节则涉及所有的部门(单位)。每个部门(单位)的资金活动由该部门所涉及的收入环节活动、流转环节活动、开支环节活动共同构成。
再次,还要考虑各种环节资金量的性质差异。由于收入、流转、开支是三种不同性质的资金活动,风险的高低水平不同,在量化为同一标准进行评估时,须配以相应的权重反映各环节的资金活动的风险差异。评估中,可以按照经济业务控制环节越严格,出错概率越低,风险权重相应越低为原则。根据公司历年审计发现的三个环节出现问题的占比,评定三个环节的权重,出现问题高的环节,评定的权重相应就高,代表该环节的风险高。
比如:如果历史数据表明,收入环节权重是5%,开支环节权重是85%,说明1亿元的营业收入流程,和1亿元的项目开支流程,同样资金的绝对值,相对风险评估中的意义是不同,在评估中,这1个亿的项目开支的权重要大得多。
以上三个步骤确立了风险资金量维度的评估公式:一个部门的风险资金量=收入环节风险资金量×权重+流转环节风险资金量×权重+开支环节风险资金量×权重。
三个环节权重确定之后,需要分别评估各部门在每个环节的风险资金量。在这里以开支环节为例,研究开支风险资金量的测算。开支环节反映了各部门对经济资源的支配权。那么由于不同类型开支的管理流程差异较大,因此除了考虑资金量大小,还需考虑开支流程的规范程度,不同的开支类型的资金使用风险不一,需要确定不同的风险系数。例如:项目开支金额动辄上千万,但流程长,审批环节多,因而风险系数低;费用性开支虽然金额小,但流程相对简单,审批环节少,因而风险系数高。
风险系数通过以下程序测定。任何一类开支,流程越长,风险控制越严格,假定完整的流程包含以下环节:1.对开支进行了可行性研究;2.有透明的取费标准;3.经过招标采购(招标)4.签订有效的合同(合同)5.实施履约过程的监控(监控)6.经过结算环节(结算)7.经过交付验收环节(验收)8.提交了可评估测量的交付品(交付物)9.经过决算审核环节(决算)10.采用最小风险的付款方式(付款)11.对开支效果进行了后评价(后评价)。根据不同类型开支是否具备以上环节,以及严密程度,为对各环节进行评分。评分可以采用专家组打分法,也可以采用历史数据分析法等等。各环节评分越高,代表风险系数越高。例如,某一类开支,它的取费是有定额标准的,评1分,有类似行业标准的,评2分,若无标准,则评4分;某一类开支,有公开招标,评1分。实施了非招标采购,评2分,零星采购的,评4分,等等。
2.内控能力维度的评估
有的被审单位会提出,他们部门的经济业务多,风险点多,即便采取了大量控制措施,出现问题的数量还远远比一些业务简单的部门多。要评估企业各主体的内控能力,需要考虑这一点,为了确保实际评估中的客观公平,风险控制能力维度的评估,一是要考虑一个部门风险点的多寡(控制难度的高低),二是要考虑一个部门过往内控情况(出现问题的情况)。评估的结果用以反映一个部门对风险的主观控制能力。
部门业务的固有风险低,说明控制难度小,假如发生问题多,说明其控制能力弱,对其风险管控能力不可以信任。反之,部门业务的固有风险高,说明控制难度大;假如历史发生问题少,说明其控制能力强,对其风险管控能力可以信任。将控制能力的评估结果以控制水平“信用等级”来表示,比如,可以根据企业内部各单位的内控水平的差距大小,由高到低授予AAA级、AA级、A级、BBB级、BB级……。
内控信用等级的评价可以设置两类指标,包括“关键评价指标”和“辅助评价指标”,其中“关键评价指标”是基础指标,“辅助评价指标”主要起到高压线指标的作用,只有在特定情况下发生作用。两类指标最终按照孰低为原则,套用信用等级低的一项。评估中可以将“内控失效率”作为关键评价指标。“内控失效率”相对于“内控实现率”而言,计算方法是:“历次审计发现问题数量级”与“部门业务风险点数量级”之比。他能够满足对不同控制难度部门进行比较的要求,整体反映一个部门对风险的主观控制能力。
有些单位的问题由于与资金关系密切,特别是对于出现违规资金、损失浪费的情况,需要引起特别重视,因此,可以考虑设置辅助指标反映这一特点,比如设置 “问题资金率”作为辅助评价指标,“问题资金率”反映一个部门运作资金中出现问题的比例。计算公式为:“历史问题涉及资金量”与“部门风险资金量”之比。设置“问题资金率”作为辅助评价指标,主要因为并非所有单位的问题都涉及资金,对出现问题资金的单位,这个指标能够起到高压线的作用。
当然,在实际评估中,还需要考虑具体情况设置一些调节变量,比如:为区别不同性质问题的严重程度,可根据问题性质对基数进行调节;为平衡各被审单位历年审计频率不一造成的问题数量不均衡的情况,可以按各部门历年审计的频率(与问题相匹配)对问题数量进行平均,并可对历年审计少涉及和未涉及的部门直接套用一个保留意见等级;对于统计期间内存在严重内控问题的部门,可以采用在最终结果上降级的方式。
3.构建评估矩阵
在两个维度分别评估完成后。紧接着就是要构建由“风险资金量级”、“内控信用等级”构成的二维度评估矩阵。
矩阵按风险与内控比对原则构建:部门风险资金量级越高、内控授信等级越低,代表其风险等级越高。反之,部门风险资金量级越低、内控授信等级越高,代表其风险等级越低。
评估矩阵的纵坐标代表“风险资金量级”。风险资金量级按照评估得出的各部门风险资金量高低排序,并按集中程度划分区间,同一区间对应相同量级,风险资金量提升到一定程度,对应量级相应提升,体现从量变到质变的过程。评估矩阵的横坐标代表AAA级、AA级等由高到低的多个信用等级。
(四)审计选项
通过上述风险评估得出的部门风险等级代表了各部门风险的高低,而对于审计选项而言,还需结合审计的实际需要选项,规避审计选项中的其他风险,统称为“选项风险”。选项中需要考虑的“选项风险”主要有以下三个方面。
一是遗漏或过度审计风险。指若直接运用风险评估结果进行选项,将导致对高风险部门重复审计,造成过度审计,低风险部门长期被忽略,造成审计遗漏和盲区,最终未能有效利用审计资源,无法全面覆盖风险点。二是审计频率风险。指审计的时间间隔过长,可能导致问题长久积累未被及时发现,风险隐患大;时间间隔过短,则可能导致频率过高,审计数量过多,审计质量和深度无法得到保障。在运用风险评估结果进行选项时,需综合考虑时间间隔和审计部门的审计能力,确定合理的审计频率,防止审计风险。三是环境变化风险。指审计在基于部门风险评估的同时,审计关注点还需结合企业内、外部环境变化而及时做出调整,才能更好地为组织服务。
(五)模型的延伸运用
模型在评估选项的同时,对入选年度被审计的部门,可进行相应的分析,指导具体审计工作的开展。比如通过敏感性分析来确定审计重点。运用选项模型作敏感性分析,指的是在评估过程所引用的众多参数变量中,查找构成一个部门入选项目的关键参数,以指导审计检查的重点。关键参数反映了一个部门的风险所在,不同的关键参数,对应于不同的审计关注点。
四、研究结论
审计的科学决策基于科学合理的评估立项,企业内部有着不同的风险评估,审计部门要做立项评估,不应该直接采用其他专业评估的结论,需要基于审计的根本目标,构建一套符合审计需要、能够正确指引审计方向的评估方法。构建审计立项评估模型,可以从审计的角度评估各部门(单位)的(下转151页)(上接146页)风险等级;可以指导年度的被审对象的选择,确立全年审计项目的安排;可以系统地规划未来几年审计工作计划,规避跨年间的审计项目规划性不足的风险;可以揭示风险所在,引导审计检查的重点。
同时,评估模型不是一蹴而就,在运用中,评估模型的标准需要不断修正;评估的维度和指标还可以不断细化,评估的取数还会随着基础数据的完善,趋向更为科学和合理,评估模型的质量需要在实际审计工作中加以检验。评估过程是一个从模糊到精确再到模糊的过程,最终揭示的是各部门大体的风险级别和特征,为审计计划的确立提供科学的依据,使审计监督更具有说服力。
教育期刊网 http://www.jyqkw.com
参考文献:
[1] 《国际内部审计专业实务框架》.国际内部审计师协会
[2] 《企业内部控制基本规范讲解》.财政部会计司.中国市场出版社.2008.
[3] 陈关亭、黄小琳、章甜.《基于风险管理框架的内部控制评价模型及应用》.中国审计.2013(14)
[4] 孙坤《内部审计与内部控制体系建设理论研讨综述》.中国内部审计2010(10)
[5] 王静《内部审计参与风险管理中的职责和作用》.知识与创新.2010(9)
(责任编辑:袁凌云)