創建內控審計評價新思路

□

賀時 供圖

2002年美國薩班斯法案頒布后，中國石化率先在國內建立了一套比較完整和切合企業實際的內控制度，并逐年加大開展內控審計評價及考核獎懲工作力度，確保了企業生產經營目標的實現。目前已建立了“內控有制度、操作有程序、過程有監控、風險有監測、工作有評價、責任有追究”的內控體系，實現了內部控制管理職責與檢查評價職責的有效分離，探索創建了內控審計評價工作的新思路。

構建內控審計評價體系

目前，審計局全面負責中國石化內部控制的年度綜合檢查評價工作。為此，該局提出將內控審計評價工作納入公司日常監管工作之中，構建一個“由企業自查、總部職能部門檢查、總部審計部門綜合檢查評價和外部中介機構審計等多元主體共同參與、相互補充、綜合評價”的內控審計評價體系。

企業自查。企業內部控制管理部門每年組織內部控制綜合檢查評價，每季度開展內部控制測試。

職能部門檢查。總部相關職能部門每季度組織開展內部控制測試，同時根據本部門職責范圍開展專項檢查。如安全環保部門組織開展的安全大檢查、財務部門組織開展的財務稽核檢查、監察部門組織開展的重大建設項目效能監察等?？偛績瓤剞k還可隨機抽查、核查部分企業的內控工作。

審計部門綜合檢查評價?？偛繉徲嬀纸Y合開展經濟責任審計、管理效益審計等審計項目，對部分企業開展內控獨立審計評價，還可根據需要委托部分企業審計部門對本單位開展內控審計評價工作。

外部中介機構審計檢查。外部中介機構每年對總部職能部門開展測試檢查，并結合對企業每年開展的常規審計檢查等，出具內控檢查報告和管理建議書。

為了有效共享利用不同檢查主體的評價結果，審計局要求企業定期上報自查結果，同時通過列席監事會、組織召開經濟責任審計聯席會議等平臺，積極與外部中介機構、總部相關職能部門溝通，共享內控檢查評價結果，并統一納入公司年度考核評價體系之中，切實提高了公司整體監管效率，增強了效果。

建立有特色的內控評審模型

通過多年的實踐總結，中國石化建立了一套具有石化特色的內控評審模型。審計局結合中國石化2011年版《內部控制手冊》編制了內控審計評價方案及底稿模板，進一步完善了內控評審模型。

1.確定內控審計評價范圍。將企業建立的內控體系分為內部環境檢查評價、企業自查檢查評價、業務流程檢查評價和缺陷修正等四個部分。

2.確定內控審計評價內容。對內部環境中的誠信與道德、責任分配與授權、組織結構、管理哲學與經營風格、人力資源政策與實務、信息與溝通、內部監督等方面作出評價；對企業自查過程的檢查程序、檢查記錄、整改落實情況作出評價；對業務流程的不相容職務分離情況和控制點執行情況進行評價；檢查是否存內控缺陷。

3.制定內控審計評價底稿。一是將公司層面的319個控制要求梳理成60個具體控制要求，并明確了檢查的主要內容和控制文檔；二是進一步明確業務層面的檢查步驟與方法；三是建立風險管理薄弱環節的信息收集平臺，按照三級風險類別對被審計單位內控問題所涉及的風險進行匯總分析；四是針對ERP全面上線實際，更加側重IT層面的檢查評價，注重從信息系統源頭上加強監督控制和風險防范。

4.制定內控審計評分標準。采用量化打分來評價企業內控設計是否合理、運行是否有效的定量方法和缺陷修正結合的定性方法。為保證測試的規范性，設計了內控矩陣審計工作底稿和抽樣模型評價系統，對內控缺陷認定和分類、測試范圍、抽樣頻率、例外事項分類等制定了詳細的技術標準。

5.評定內控評價結果。首先對被審計單位內部控制進行總體評價，然后再由總部內控辦根據各單位的內控檢查評價得分及整改落實情況制定考核方案，報內控領導小組審定后考核兌現。

建立和完善內控評審模型，規范了內控審計評價程序、方法及標準，促進內控審計評價工作更加到位。審計局2010年按照內控評審模型對下屬某企業開展內控檢查評價時，發現該企業在合同管理及執行方面存在內控設計缺陷和潛在經營管理風險，要求該企業盡快調整、完善相關內控制度，及時控制或提前規避經營管理的潛在風險，凸顯了審計實效。

形成一套審計方法

多年的內控審計評價工作，使中國石化逐步形成了一套“以風險為導向、以內控為主線、以治理為目標，抓重點”的科學審計方法。以風險為導向，即把審計監督重點放在企業存在風險較大的領域和環節，內審部門對企業的風險進行評估、識別、分析，判斷企業潛在風險大小，對風險較大的企業或領域進行科學審計項目立項及現場審計實施。以內控為主線，即把內控審計評價作為審計監督的必經程序和首要環節，無論開展何種審計項目，都必須從檢查評價內部控制入手，找出企業的薄弱環節和審計重點。以治理為目標，即把審計監督目標放在發揮內部審計建設性作用、“免疫系統”功能作用和促清廉作用上，促進企業持續有效健康發展。抓重點，即堅持“全面審計、突出重點”的原則，緊緊抓住企業重要領域、關鍵業務流程、重要風險控制點等進行重點審計監督檢查，發現重大問題進行重點剖析、嚴肅處理，真正發揮審計威懾性作用。

在開展內控審計評價時，注重抓好三個方面：在檢查方式上，將內控審計評價工作納入正常的審計監督工作之中，與每年的經濟責任審計和管理效益審計等審計項目結合開展，并在項目實施過程中先開展內控符合性測試檢查，充分發揮內控審計評價的先導性作用。在檢查方法上，積極探索和實踐符合性測試與實質性檢查相結合、判斷抽樣與隨機抽樣相結合、單項評價與綜合評價相結合的檢查方法。在檢查結果上，堅持“雙向引導、成果共享”原則，把開展內控審計評價作為發現問題的“放大鏡”，當內審人員在內控測試檢查發現問題線索后，在隨后開展其他類型審計時將該問題線索舉一反三，向前追溯到整個審計期間，向后延伸到審計日，確保審計查證的問題證據充足、權責明確。把其他類型審計項目的檢查結果作為驗證內控審計評價結果的“試金石”，將在其他類型審計項目中發現的與內控相關的問題及樣本補充到內控審計評價工作底稿中，重新驗證內控檢查評價結果。審計局2011年在對下屬某企業開展經濟責任審計和內控審計評價時，通過經濟責任審計發現該公司在對外付款時存在8次對外多結算支付勞務費問題，于是增加了貨幣資金管理業務流程對外付款環節的抽樣樣本，糾正了隨機抽樣的偏差，扣減了相關業務流程分數，揭示出了企業對外付款的損失及風險。

抓住五個內控要素

中國石化在開展內控審計評價時，注意抓住鑒定企業內部環境、風險評估、控制活動、信息與溝通、內部檢查與評價等五個內控要素的健全性、有效性，從中發現企業生產經營管理中存在的薄弱環節和風險。

1.內部環境要素。內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。審計人員在開展內控審計評價工作中，在審前調查階段詳細了解企業的治理結構、機構設置、人力資源政策等內部環境因素，并據此制定和調整審計實施方案，采取相應的審計方式和審計策略。

2.風險評估要素。審計人員在實務工作中，借鑒和利用PEST分析、波特“五力”分析等方法來對企業的內、外部風險進行評估，并全面分析和把握企業面對的內部及外部風險，據以選定高風險領域作為審計的重點。

3.控制活動要素。控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。中國石化下屬企業均建立了相對規范的內部控制體系，為審計人員提供了一套全面、詳細、直觀、權威的企業“地形圖”和“路線圖”，內審人員能利用《內部控制手冊》的有關內容進行檢查。

4.信息與溝通要素。審計人員在工作實務中充分收集利用和參考被審單位的各種內外部生產經營管理信息資料，通過調查問卷、座談、訪談等方式，加強與被審計單位相關崗位人員的溝通交流，獲取審計所需要的相關信息和線索。例如審計局2009年對下屬某公司開展內控審計評價工作時，通過座談獲悉該公司未定期對原油庫存量進行盤點的信息，后經現場查實，該公司在財務記賬和上報本期原油庫存量時沒有按照真實的盤點數作為庫存數，賬實不符。

5.內部監督要素。在內控評價中，參考和利用企業內部控制評價的成果，據以發現企業內部控制的薄弱環節。探索利用《企業內部控制評價指引》規定的內部控制缺陷認定、綜合評價和獎懲等，積極嘗試將內控評價及獎懲與內部審計的評價有機結合。如中國石化在開展經濟責任審計時，正在嘗試將內控審計評價中認定的一般缺陷、重要缺陷和重大缺陷等單列一張表格，并與原有的會計信息質量評價表有機結合，以更加全面地反映被審計企業的真實情況；還嘗試對企業領導人員經濟責任評價時增加任期內內控制度執行情況的綜合評價等。