魚骨審計法助力航企高質量發(fā)展應用研究

閆飛雪，畢春穎

（山東航空集團有限公司，山東 濟南 250014）

2018 年，審計署發(fā)布新版《審計署關于內部審計工作的規(guī)定》，將內部審計目標從“查錯糾弊”提升到“促進單位完善治理、實現(xiàn)目標”，拓展了審計范圍和職能，賦予內部審計新的使命。2021 年，中國內部審計協(xié)會會長鮑國明在協(xié)會第七屆理事會第四次會議上提出，內部審計既要幫助組織防風險、保安全，又幫助組織抓機遇、促發(fā)展，實現(xiàn)更為安全、更高質量、更可持續(xù)的發(fā)展，對內部審計提出更高要求。為推動內部審計從單一的查錯糾弊向監(jiān)督、服務、評價、咨詢等價值管理轉型，本文結合航企工作實踐，探索提出依托管理風險審計“防風險，強管理，促發(fā)展”的工作思路，形成魚骨審計模式，為航企統(tǒng)籌發(fā)展和安全、實現(xiàn)高質量發(fā)展發(fā)揮增值功效。

一、魚骨審計法助力航企高質量發(fā)展的應用背景

（一）落實黨中央防范化解國企重大風險的需要

十八大以來，以習近平同志為核心的黨中央堅持底線思維，對防范風險提出明確要求。習近平總書記在十八屆五中全會第二次全體會議上提出：“今后5 年可能是各方面風險不斷積累甚至集中顯露的時期，必須把防風險擺在突出位置，圖之于未萌，慮之于未有?！睍r任審計署審計長胡澤君參加十三屆全國人大會議時表示，要按照黨中央、國務院要求積極發(fā)揮審計的作用，促進防范化解重大風險。中國民用航空局局長馮正霖強調，隨著行業(yè)生產(chǎn)規(guī)模的擴大、運行模式的轉變，行業(yè)必須從盯人、盯事的“保姆式”監(jiān)管，向盯組織、盯系統(tǒng)的系統(tǒng)性監(jiān)管方式轉變。如何更好發(fā)揮審計增值作用，提高航企抗風險能力，是擺在內審面前的重要課題。

（二）應對民航業(yè)安全和發(fā)展嚴峻形勢的需要

航企資金高度密集、成長空間大，這就導致腐敗的機會更大，后果更嚴重，而安全更是航企“付不起的成本”。近年來，多家航企暴露出的貪腐案件和安全漏洞，再次敲響了警鐘。如南方航空繼2011 年高管貪污事件后，2014 年再曝腐敗窩案，4 位核心高管一周內落馬，震驚整個航空圈；東方航空2014 年被曝信息系統(tǒng)存在潛在漏洞，或致大量用戶信息泄露；2015 年，中央巡視發(fā)現(xiàn)部分航空公司重復獎勵代理商、干部員工利用公司資源進行利益輸送；部分企業(yè)與特定關聯(lián)企業(yè)形成采購腐敗“利益鏈”。此外，媒體曝光的某航空公司機組人員空中互毆、乘客進駕駛艙拍照、個別旅客不服從管理等安全隱患，引發(fā)社會關注，航企發(fā)展和安全風險防控面臨嚴峻態(tài)勢。

（三）打破傳統(tǒng)審計監(jiān)督局限性的需要

傳統(tǒng)審計具有以下局限性：一是審計時效滯后。經(jīng)濟責任審計和財務收支審計等傳統(tǒng)審計以事后監(jiān)督為主，在監(jiān)督時效上具有滯后性。二是審計范圍有限。傳統(tǒng)審計極少關注經(jīng)營過程中存在的風險，而這恰恰是各種舞弊、違規(guī)違紀發(fā)生的前奏。三是審計深度不夠。傳統(tǒng)審計主要側重合法合規(guī)，很少闡述或分析事態(tài)背后的邏輯。航空公司生產(chǎn)運營協(xié)作相對復雜、專業(yè)性較強，人員素質相對較高，各類風險往往嵌入復雜的業(yè)務流，具有很大隱蔽性和潛伏性，傳統(tǒng)審計難以滿足新形勢下航企復雜業(yè)態(tài)的審計監(jiān)督要求。

二、魚骨審計法助力航企高質量發(fā)展的應用原理

為滿足新形勢下航企防范化解系統(tǒng)風險和高質量發(fā)展要求，充分發(fā)揮審計“免疫系統(tǒng)”和“價值增值”功效，公司內部審計工作在傳統(tǒng)財務審計基礎上，更為關注公司管理和目標的實現(xiàn)及阻礙目標實現(xiàn)的風險和威脅，創(chuàng)新性采用魚骨審計模式（見圖1），開展管理風險審計。即，以“防控風險，提升管理”為目標，通過靶向性選項立項提升“魚眼”精準度；以內部控制框架為指引，分類整合識別風險；通過業(yè)審融合會診病根，繪制成風險魚骨圖，實現(xiàn)關鍵風險點可視可查可追蹤，有效提升風險管理，堵塞管理漏洞。

圖1 魚骨審計模型

三、魚骨審計法助力航企高質量發(fā)展的應用做法

（一）靶向性開展選題立項，高精準推動航企統(tǒng)籌發(fā)展和安全。

按照“控制風險，提升管理”的最終審計目標，以風險控制為導向，圍繞“高管關注的重點、管理遇到的難點和員工熱議的焦點”進行選題立項。項目計劃確定過程中，原則上征求全體高管的意見，對公司核心業(yè)務、重點風險源開展管理風險審計，著力排查管理痛點、業(yè)務交叉點和尚未審計領域的風險點。通過有針對性地遴選項目，提升審計工作的靶向性，一批對企業(yè)發(fā)展有重要意義的審計項目被啟動，為推動航企統(tǒng)籌發(fā)展安全，管理、痛點難點問題的解決奠定基礎。

（二）以內部控制框架為指引，多維度識別航企發(fā)展和安全風險。

實施風險評估階段，將公司業(yè)務按照模塊進行分類整合，對審計項目涉及的各業(yè)務模塊管理過程中存在的風險進行全面評估，識別出主要風險及控制重點。

1.以內控規(guī)范為指引，搭建業(yè)務模塊“主骨”。

公司管理風險審計，參考五部委發(fā)布的企業(yè)內控規(guī)范，結合企業(yè)實際，根據(jù)相關鏈條歸屬的內部控制要素、控制類型等屬性特性，將企業(yè)主要業(yè)務劃分為“內部環(huán)境、控制活動、控制手段”共三個方面18 項具體管控類別（見圖2）。

圖2 “主骨”業(yè)務模塊

其中，內部環(huán)境類是建立與實施內部控制的基礎，包括組織機構、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化5 項；控制活動類是對各項具體業(yè)務活動實施相應控制的業(yè)務，包括資金活動、采購業(yè)務、資產(chǎn)管理、銷售業(yè)務、研究與開發(fā)、工程項目、擔保業(yè)務、業(yè)務外包、財務報告9 項；控制手段類偏重于“工具”性質，包括全面預算、合同管理、內部信息傳遞和信息系統(tǒng)4 項。

2.評估主要風險點框架，識別問題“骨刺”。

實施風險評估階段，首先選擇項目適用的業(yè)務模塊組合，在此基礎上，對審計項目涉及的各業(yè)務模塊風險管理的每一個環(huán)節(jié)，以其管理流程、風險點和控制措施為重點，對照企業(yè)內控規(guī)范中列示的主要風險和關鍵控制點，采取頭腦風暴、調查問卷、訪談等方法，對風險進行充分全面的評估，確定管控重點和主要風險點。

（三）業(yè)審融合實施測試，深層次會診航企發(fā)展和安全病根。

實施控制測試階段，把業(yè)審融合作為基礎性工作來抓，緊貼業(yè)務流、資金流、數(shù)據(jù)流、信息流和行業(yè)流，測試經(jīng)營和生產(chǎn)活動的各類風險，帶動管理風險審計走向縱深。現(xiàn)場審計不僅對被評審單位管理層和一線員工進行大量訪談和問卷調查，還深入企業(yè)戰(zhàn)略、物資采購、人力資源、財務管理等管理支持部門，多部門、多維度、全方位收集業(yè)務風險信息。在此基礎上，通過現(xiàn)場觀察、分析性復核、檢查文件等審計方式，對業(yè)務風險進行穿行測試，不僅測試流程、制度的執(zhí)行情況，更對制度、流程的合理性予以評價和評估。

1.深入業(yè)務流，綜合驗證業(yè)務異常。

從企業(yè)生產(chǎn)實際看，各項業(yè)務均離不開系統(tǒng)及審批授權?，F(xiàn)場審計緊貼業(yè)務流，具體做法圍繞“查系統(tǒng)”、“查審批”開展?！安橄到y(tǒng)”主要通過“4 步工作法”實現(xiàn)：第一步，弄懂工作標準和操作過程；第二步，提取和比對大量后臺數(shù)據(jù)；第三步，對內控業(yè)務穿行測試，梳理異常點，形成初步結論；第四步，進一步綜合驗證。“查審批”，即檢查業(yè)務從發(fā)起到結束的全過程是否得到恰當?shù)氖跈鄬徟?。通過對照政策，檢查業(yè)務政策投向是否合法合規(guī)也是業(yè)務流的重點關注內容。

2.深入數(shù)據(jù)流，實時分析數(shù)據(jù)異動。

伴隨著大數(shù)據(jù)時代的到來，之前傳統(tǒng)的抽樣審計將被全覆蓋的系統(tǒng)審計所替代，這就對我們內審人員的數(shù)據(jù)分析能力提出了更高的要求。運用大數(shù)據(jù)審計進行數(shù)據(jù)分析，借助信息系統(tǒng)及數(shù)據(jù)處理軟件綜合分析，從海量數(shù)據(jù)中發(fā)現(xiàn)所蘊含的規(guī)律和特點，發(fā)現(xiàn)異動，有針對性地去取證，同時用數(shù)據(jù)發(fā)現(xiàn)管理薄弱點，佐證發(fā)現(xiàn)的問題，用數(shù)據(jù)說話，提高審計項目的質效。

3.深入行業(yè)流，對標找查提升管理。

公司在魚骨圖審計實施過程中，分別同多家行業(yè)優(yōu)秀航企。就被審計業(yè)務開展交流。行業(yè)對標的收獲是巨大的，不僅從風險源上排查出了公司業(yè)務管理存在的差距和風險點，在學習碰撞過程中，豐富了內審人員的視野，擴展了思維，進一步提升了業(yè)務技能，更重要的是為公司業(yè)務提升找準了方向，為提升管理獻上了對癥下藥的良方。

（四）形成業(yè)務風險魚骨圖，實現(xiàn)發(fā)展和安全風險可視化管控。

1.繪制風險地圖，建立風險數(shù)據(jù)庫。

改變審計報告“一項一議”、“一事一議”的傳統(tǒng)做法，建立風險數(shù)據(jù)庫，實現(xiàn)風險可視化管控。在開展管理風險審計的同時，將該單位業(yè)務流中的風險做逐一梳理、排查，同時標注出關鍵風險點，以圖形文字的形式呈現(xiàn)，繪制成“風險魚骨圖”，便于操作者或使用者直觀地了解流程中的關鍵節(jié)點。在繪制過程中，從公司中心工作和績效合約出發(fā)，不僅關注財務風險，還將發(fā)展戰(zhàn)略、黨風廉政、人事薪酬績效、安全管理、服務管理、業(yè)務流程等全面納入評估范圍，形成了“全景式風險視圖”，關鍵業(yè)務風險點上墻入冊，做到風險點可視可查可追蹤。該數(shù)據(jù)庫的建立，為編制審計方案開辟了綠色通道，成為審計人員的得力助手；業(yè)務部門針對風險點制定下一步整改措施，把問題項扼殺在萌芽狀態(tài)，將管理風險防范于未然，實現(xiàn)了風險防控端口前移。

2.整理歸納風險成果，公司范圍講評宣貫。

風險點以報告的形式傳遞，審計報告提交公司黨委會和總裁辦公會審議，被審計單位與有關部門列席會議，公司主要領導逐項點評，對潛在風險點“防患于未然”，對揭露的問題點“紅臉出汗”，對重要的風險源，會后還將在公司范圍內講評宣貫，強化了公司全員的風險意識，形成了全員關注風險、重視風險、主動管理風險的良好氛圍。公司各部門，尤其是經(jīng)過管理風險審計的單位，已形成對各業(yè)務風險點自我排查、自查自糾的作風。通過內審人員懂業(yè)務、業(yè)務部門懂內審，實現(xiàn)了業(yè)務與審計廣度上的邊界拓展和真正意義上的業(yè)審融合，為構建適應企業(yè)經(jīng)營需要、靈活應對市場變化、敏捷響應企業(yè)決策需求的風控體系營造了良好環(huán)境。

（五）夯實審計整改機制，推動航企發(fā)展和安全管理閉環(huán)。

審計整改是管理風險審計的重要閉環(huán)，通過制度約束、機制推動和跟蹤問效，推動審計整改落地，實現(xiàn)審計閉環(huán)管理。制度約束方面，建立整改責任追究機制，明確了主要領導負總責、分管領導具體抓、審計組長直接管的整改責任，形成了“一級抓一級、層層抓落實”的良好格局。機制推動方面，重要管理風險審計報告提交黨委會和總裁辦公會審議，形成公司上下重視風險控制的共識。跟蹤問效方面，持續(xù)開展整改“回頭看”，對苗頭性、突出性風險及時做出警示，加強源頭治理；推廣優(yōu)秀做法，實現(xiàn)整改增效。

四、魚骨審計法助力航企高質量發(fā)展的應用效果

（一）實現(xiàn)關鍵領域審計全覆蓋，架起了高質量發(fā)展“高壓線”。

基本實現(xiàn)了對安全、營銷、貨運、維修、合同、資金、工程等關鍵業(yè)務領域的審計全覆蓋。審計報告提交公司重要會議審議，在全公司范圍架起了安全發(fā)展“高壓線”，形成了全員關注風險、重視風險、主動管理風險的良好氛圍。

（二）堵塞風險漏洞，筑牢高質量發(fā)現(xiàn)的“防火墻”。

通過管理風險審計，梳理、完善公司治理領域、客貨營銷領域、法律合同領域、餐食機供品領域、財務管理領域等各項制度，加強了對經(jīng)營活動的規(guī)則約束，把易產(chǎn)生權利尋租風險的業(yè)務推向了陽光平臺，將風險防控融入了信息平臺，基本實現(xiàn)“權力在陽光下運行，資金在系統(tǒng)內監(jiān)管，風險在流程上控制，資源在監(jiān)控中配置，信息在系統(tǒng)內留痕”。

（三）推動審計成果轉化，產(chǎn)生了增值“效益”。

通過完善內部監(jiān)督的全過程閉環(huán)管理，帶來的不僅是戰(zhàn)略、績效等管理的提升，還帶來了經(jīng)濟效益的提升轉化。近年實施的管理風險審計涉及資金數(shù)百億元，通過審計整改產(chǎn)生直接經(jīng)濟增效。