企業內部審計外委全過程風險識別與評估

熊也 白建 聶常文

[摘要]“油公司模式”下，油氣田企業內部審計外委的需求日益增長，內部審計外委對油氣田企業內部管理、質量控制、保密等方面形成潛在風險。全過程風險控制要求企業內部審計人員在審計外委全過程中持續關注風險事件，以現代風險導向審計理念為核心，運用一系列風險識別、評估和分析的方法，防控風險與強化內控。

[關鍵詞]內部審計? ? 業務外委? ? 風險識別? ? 風險評估? ? 油公司模式

“油公司模式”（即“國際石油公司管理和經營模式”）以精簡組織架構，壓縮管理層級，降低管理成本，提升管理效率為發展導向，要求在提升公司發展質量與發展動力的同時，從數量上降低人力資源配置，促使大量非核心業務快速剝離。本文所指“風險”是在內部審計外委全過程中的某一種不確定事件或狀況，如若發生，可能會對公司產生重大負面影響。傳統內部審計外委通常具有階段目標設置不合理、不同業務階段參與主體責任不明確、外委流程管理不規范、監管防控措施不足、后續跟蹤整改不到位等問題，這些問題容易造成委托方對服務商在費用支出、人員匹配、現場資源利用等方面的監管失控，使委托方在審計質量、經濟效益、保密等方面產生風險，從而對整個油公司的內控管理帶來潛在經營風險。

全過程風險管理基于“油公司模式”下公司內部審計外委業務整個流程框架，根據不同階段的主要業務環節，確定各階段的關鍵工作內容和參與主體責任，同時明確各業務流程之間的原始輸入、階段性輸出和內部控制機制，以業務流程和階段目標為主線，對外委全過程進行風險管理，強調將風險理念貫穿于業務流程始終。西南油氣田公司依據業務外包相關指引和準則、公司審計項目管理及審計購買服務實施細則等管理辦法，優化內部審計外委業務流程（如圖1所示），據此進行風險識別。

一、內部審計外委業務階段及風險識別

（一）決策階段

審計部門召開年度會議，對外委內審項目、外委方式、經費預算進行集體決策，并結合被審計單位是否具備現場審計條件來提前確定項目時間安排，形成下一年度外委項目計劃和年度費用預算，按流程上報公司管理層審批后執行。

本階段具體風險包括3類一級風險項和7種二級風險項，如表1所示。

（二）選商階段

公司審計處采取公開招標方式建立審計服務商備選庫，通過總量控制和年度考核來管理備選庫規模和質量。審計中心組織備選庫的有效成員參與競爭性談判，服務商按照競爭性談判文件要求編制響應文件，參與競爭，審計中心派出代表與審計處評審專家組成談判小組，依據競爭性談判文件對響應文件進行綜合評審并作出評價，推薦成交候選服務商。按照流程，成交候選服務商根據談判文件確定的合同格式和服務采購要求等事項簽訂合同，正式建立甲乙方關系。

本階段具體風險包括3類一級風險項和6種二級風險項，如表2所示。

（三）合同執行階段

在審前環節，委托方進行質量交底、業務培訓和方案審核等工作，服務商審計組開展人員組織、審前調查和方案編制等工作，被審計單位則配合審前調查和資料提供。在實施環節，委托方持續開展質量監督和現場督導管理工作，服務商審計組執行審計方案，被審計單位協調并配合外委審計組相關工作。在驗收考核環節，審計中心對服務商審計組提供的審計資料報告進行審理和業績考評，審計處作為內審管理機構對報告質量履行最終審理程序，并且有權對服務商出具的審計結果委托第三方機構進行評估。

本階段具體風險包括8類一級風險項和28種二級風險項，如表3所示。

（四）后續跟蹤階段

被審計單位在規定期限內執行審計決定及時整改，并將整改結果及其相關資料、憑證上報，審計處不定期對被審計單位執行決定和意見情況進行跟蹤回訪。服務商在內部審計實施過程中掌握大量公司內部生產運營等涉密信息，在服務合同結束時，審計中心全面回收所有涉及公司內部信息資料，并監督服務商進行徹底刪除。

本階段具體風險包括3類一級風險項和4種二級風險項，如表4所示。

二、內部審計外委風險度評估

將17類一級風險項和45種二級風險項匯總形成“內部審計外委風險發生可能性和影響程度”調查問卷，邀請委托方、服務商和被審計單位負責人及相關員工對45種二級風險項發生的可能性和影響程度進行評分。風險發生可能性根據工作實際和風險項描述，按照“一般情況下不會發生”（1分）到“常常會發生”（5分）的5分制標準進行評分;風險影響程度從管理、質量、效益、保密、法律法規、紀律和聲譽7個方面綜合考慮評價（如表5所示）。

風險項發生可能性和影響程度的計算公式如下。

（1）對于二級風險項：

發生概率? ? ? ? ? ? ?發生概率? ? ? ? ? ? 發生概率? ? ? ? ? ? ? 發生概率

影響程度? ? ? ? ? ? 影響程度? ? ? ? ? ? ?影響程度? ? ? ? ? ? ?影響程度

其中：分別表示委托方、服務商和被審計單位類別權重，三者的和為1;

和分別表示二級風險項ij所對應的委托方、服務商和被審計單位受訪者人數;

發生概率和影響程度表示受訪者評價分值。

（2）對于一級風險項，采用悲觀分析原則：

發生概率（發生概率，發生概率，…）

影響程度（影響程度，影響程度，…）

其中：發生概率Bij和影響程度Bij表示前一步驟中二級風險項ij計算分值。

（3）計算一級風險項風險度：

風險度=發生概率×影響程度

其中發生概率和影響程度表示前一步驟中一級風險項i計算分值。

對于回收的50份問卷評分結果進行數據處理，形成內部審計外委風險度排序圖（如圖2所示）。基于問卷調查結果，按照不同風險值對應風險等級劃分，將17類一級風險項分為7類中風險（不可接受風險）和10類低風險（可接受風險），對7類不可接受風險項有針對性變更工作流程，完善相關管理制度（如表6所示）。

基于后期數據分析和風險度計算，對一級風險項進行排序評估，按照風險等級劃分，得到各個階段的關鍵風險防控點（10≤R<15，不可接受風險）。主要有7類一級風險點需要重點控制，如圖3所示。

建議通過層次分析法科學防范外委業務范圍風險A1、采取非完全價格競爭性談判應對外委服務商競爭風險A5、通過項目經理委派機制防控外委審計過程督導風險A7、通過質量交底業務培訓防范審前風險A9、通過日常例行和重大事項報告制度控制實施風險A10、通過質量業績考評把控完結風險A11、通過回收清單防止信息回收風險A15。

（作者單位：中國石油西南油氣田公司天然氣經濟研究所 中國石油西南油氣田公司審計中心 中國石油西南油氣田公司，郵政編碼：610051，電子郵箱：xiongye@petrochina.com.cn）

主要參考文獻

崔嶸，戴毅，許振斌.海上油田全過程風險管理研究[J].工業安全與環保， 2017（3）：17-19

雷建忠.C油田礦區事業部業務外包風險控制研究[D].西安：西安石油大學， 2016

連瑩瑩.我國集團公司內部審計外包的研究[D].北京：財政部財政科學研究所， 2015

劉帥佳.AQ公司內部審計外包問題研究[D].長春：吉林財經大學， 2017

王子悅.我國企業內部審計外包風險及控制研究[D].南京：南京信息工程大學， 2018