电网企业内部审计立项评估模型研

梁学良 王桂钦 吴榕青

（深圳供电局有限公司 广东 深圳 518000）

摘　要：由于体制层面的阻碍和技术层面的复杂性，造成内部审计工作中立项环节决策科学性不足。本文剖析当前国有企业内部审计立项的现状和困难，并以电网企业内部审计工作为例，从内审的目标定位从发，以风险管控为导向，探讨如何构建一套基于多个维度分析的立项评估模型。

教育期刊网 http://www.jyqkw.com
关键词 ： 立项决策、风险资金量、内控信用等级、二维度评估矩阵、选项风险

中图分类号：TM73文献标志码：A文章编号：1000-8772（2014）31-0144-0４

收稿日期：2014-10-22

作者简介：梁学良（1956-）男，广东电白人、硕士、工程师。 研究方向：企业管理。

一、研究背景

在内部审计工作中，对于审计对象的确立，许多企业并没有遵循一套严格的决策程序。以国有企业为例，审计部门根据领导人员任免情况开展经济责任审计，或者按照上级相关部门专项治理的要求开展审计，在完成了这些规定动作之后，真正基于本企业实际情况和审计原则进行分析，作出审计决策的空间很小，这种非审计部门主导的外源型的立项方式，往往造成了审计部门选择审计对象的科学性欠佳，审计监督缺乏一个统筹和规划，也导致了现实工作中审计重复和审计遗漏并存，甚至存在盲目性，无法实现对企业经营风险的全面有效覆盖。而在这一种外源型立项占主导的机制下，内审部门对于审计立项环节的重视程度、决策主动性也被削弱，审计立项渐渐成为审计技术层面的一个软肋，审计决策多为“拍脑袋式”。这与审计工作科学性、严谨性的本质不相符。对于企业内审部门，科学地立项是迈向审计工作成功的第一步，也是非常关键的一步，随着内审在企业中服务型的职能定位日益明确，如何运用有一种科学合理的立项方式，替代当前的外源型和粗放型的立项模式，确保审计对企业经济风险的全面有效覆盖，是内审发展中亟须解决的问题。

二、评估立项中遇到的问题与难点

事实上，许多企业都在作科学立项的探索，但除了上述所讲的体制上的掣肘之外，在技术层面也同样都遇到了一些阻碍。审计立项决策中通常都会面临着以下几方面的困难：

（一）以经验判断代替客观的风险分析

有经验的审计人员习惯于按照以往的审计经验，以问题为导向，判断一个企业内部的风险高发地，以此作为立项的依据。例如，企业中与资金打交道多的部门：工程部门、采购部门、营销部门、财务部门往往被视作重点检查对象，其他的部门则容易被忽略。以经验代替客观的分析，带来的结果是：经常被审计的部门，难免经常被查出问题，假如审计人员在以后的立项决策中借鉴了这种经验结论，依然是重点检查这些部门，越查越发觉问题越多，越发觉问题多越查；而相反，对于那些以往就不被关注的部门，则是越少查问题越少，而后更加被忽略，如此不良地循环。事实上，经营风险的无所不在的，作为内审机构，尤其是国有企业的内审部门，担当保障国有资产安全的重要职责，企业中的任何一个主体，只有赋予了资金管理和资产运营的授权，无论多与少，都应该纳入审计范围，适当地进行审计。

（二）被审对象的多样性造成标准难以统一

企业内部的机构中，有职能管理类的部门、生产管理类部门、基层业务类部门。以电网企业为例，就包括了行政管理类部门、业务管理类部门、基层生产部门、下级基层单位。各部门的业务、职责各不相同，而选项时选择什么样的指标进行评估，能够引导正确的方向并具有广泛的代表性，是选项决策中首先面临的问题。

（三）缺乏量化的指标

选择评估指标时会面临的另外一个问题就是标准的量化。随着内控理念和方法的深入运用，在评估中大多都会以一个单位内部控制的完善性作为参考标准。内控水平是一个具有代表性的指标，与内审防控风险的目标高度一致，但内部控制内涵甚广，几乎涉及企业经营管理的方方面面，要评估内控有效性并不简单。而事实上，内部控制有效性本身也缺乏相应的量化评价标准，国家五部委联合颁布的《企业内控基本规范》大多以定性的描述为主，企业在承接落地中进行量化并取得成功的经验也不多。通过评估内控风险高低来作为审计决策的支撑，必须先找到可以量化风险的指标，这始终是一个难点。

（四）理念与实际脱节，评估立项的实操性不强。

评估选项面临的最后一个问题是，即便设置了一套具有代表性，又能量化的标准，但如果这些标准只是从评估的理论层面出发，没有充分结合企业实际的话，到头来会发现这套评估的方法难以实操运用，因为许多原先设定的理想数据在现实中都无法取得。

三、基于审计目标的多维度评估立项模型构建

实际工作中的困难激发我们对该领域的探索，要做到科学合理的立项，规避审计风险，必须有一套完善的立项模型作为支撑。接下来我们以电网企业内部审计为研究基础，探索该模型的建设。通过模型的构建，要着重解决立项的科学性问题，同时还须有效应对上述立项中的四方面困难。本课题研究的立项评估模型，是指通过一系列的较为客观的风险评估，确定被审对象的风险等级，再结合选项的一些基本原则，为审计项目的确立提供依据和参考。立项评估模型也是审计项目规划的基础。

（一）审计目标

风险导向是引领审计的一个主要方向，内部审计必须关注企业的风险，哪里有风险，哪里就要检查覆盖。而国有企业内部的风险存在于不同领域，例如：经济效益风险、安全生产风险、廉洁风险、舆论风险、法律风险、管理效能风险等等。全面风险管理强调面面俱到，而审计并不是全能的，内审部门需要紧紧抓住自身的职能定位，有重点，才能不超越职权，称职地履行好义务。因此，关注怎样的风险，选择怎样的审计对象，需要回到内部审计的基本职责这个话题。

《国际内部审计实务标准》关于内部审计的宗旨、权力和职责的说明中提到：“对公司的工作进行全面审计是有困难的，内部审计机构在制定审计计划时，应征求总裁、审计委员会和其他管理部门的意见后，根据风险大小确定审计的重点和先后次序。考虑的风险包括：不良的财务或业务形式；违背公司政策、计划、程序或法律要求的行为；财产损毁；浪费或低效；未实现事先确立的目标”。从以上关注点可以看出，内审所关注的风险应当以经济领域的合规、安全和效益风险为主。而作为央企的内审部门，重中之重，是要定位在保障企业受托的国有资产的安全和效益上，以及国有资金使用的合规性上。因此，国有资金运作、国有资产管理中的风险是审计的首要关注，审计选项，最先就要考虑在哪些领域，这类风险突出，也就是经济活动的活跃程度。因此，审计选项的评估，最重要是评估被审对象经济活动的风险。

（二）风险评估的理论依据

企业内部控制体系中，关于“固有风险”和“剩余风险”的理论认为，一个企业（或主体）由于自身参与的经营活动，必然存在各类风险，这些风险是与经营活动并存的，是不可避免的，这就是固有风险。而企业可以通过采取一系列措施，通过规避、转移、降低的方式去降低风险发生的概率和风险发生带来的影响，将风险控制在可承受的范围，这就是内部控制活动。通过有效的控制活动，一些风险得到了局部控制，但并非绝对控制，除此之外，采取控制措施后仍然存在的风险，就是“剩余风险”。作为内审部门，对于已经在制度流程体系中严格受控的风险，可不必过份关注，需要优先关注的是那些仍然未能有效控制的“剩余风险”。也就是实际存在的隐患点。

这一理论运用到选项决策中，就是说，选择被审对象时，除了要考虑其各项业务活动的风险高低，也就是“固有风险”；同时还要考虑这个活动主体的内部控制水平，也就是有效控制的程度。因为只有剔除了有效控制的“固有风险”，才是容易使风险演变成问题或损失的“剩余风险”。评估中只有均衡考虑 “固有风险”和“控制能力”两个要素，才能推导出审计最需要关注的“剩余风险”，审计如何选项取决于被审单位“剩余风险”的高低。

举个例子，电网企业中，若要说经济活动的风险，那么，电费收费业务涉及资金量最大，收费部门固有的风险最高，但实际上，由于收费流程的管控严密，电子化控制程度高，出现人工出错和人为舞弊的可能性很小。因此，审计在选择检查对象时，这类型的部门“剩余风险”较低，并非检查的重点。

（三）多维度评价

通过上述分析，可以得出以下结论：对被审单位风险的评估主要考虑两个方面：一是各项业务活动的风险高低；二是活动主体的内部控制水平。关于业务风险高低的评估，在前面的分析中已明确了，从审计的目标出发，在企业内部全面风险体系的众多的风险中，按照国有企业审计的职能定位，以经济业务为关注对象，围绕企业资金流向作为审计监督主线，评估业务活动风险高低最为合适的指标，就是“经济活动的资金量”。关于内控水平的评估依据：通过考虑各活动主体（以各部门为单位）业务的固有风险点的情况（内部控制的难易程度），以及内部控制的实际效果（历史出现问题的记录）两个方面，综合评估其对风险的主观控制能力。以上两方面评估依据转化为相应的评估维度，也就确立了审计对各部门（单位）经济活动的风险评估包括两个维度，分别是：①风险资金量；②内控水平等级。

1.风险资金量维度的评估

“风险资金量”是指考虑了资金风险的资金量，他既反映了资金量的大小，同时也反映了资金运作的风险高低。是经过风险修正后的资金量。

对风险资金量的评估，首先需要分析公司的经济活动链条。以电网企业为例，经济活动大体上划分为以下环节：一是收入环节。主要是公司内部的业务收入，该环节影响资金流入，收入环节的风险有跑冒滴漏、收款资金管理、截留、少计收入等方面。二是流转环节，包括公司资金管理、投资活动、融资筹资，流转环节的风险主要是资金风险。三是开支环节。指公司内部的维持正常运转的各项费用开支、保障发展需要的资本性投入。开支环节的风险有虚列不实开支、程序违法违规、资金挪用、无效益的投入、外部违约、权利滥用等，开支环节是对国有资金的支配使用，是风险的集中领域。

其次是活动主体分析，对象是实施各环节经济业务的各个部门（单位），企业经济活动的各环节分别对应于不同的主体。例如收入环节涉及各个收费部门，流转环节主要涉及财务部门，开支环节则涉及所有的部门（单位）。每个部门（单位）的资金活动由该部门所涉及的收入环节活动、流转环节活动、开支环节活动共同构成。

再次，还要考虑各种环节资金量的性质差异。由于收入、流转、开支是三种不同性质的资金活动，风险的高低水平不同，在量化为同一标准进行评估时，须配以相应的权重反映各环节的资金活动的风险差异。评估中，可以按照经济业务控制环节越严格，出错概率越低，风险权重相应越低为原则。根据公司历年审计发现的三个环节出现问题的占比，评定三个环节的权重，出现问题高的环节，评定的权重相应就高，代表该环节的风险高。

比如：如果历史数据表明，收入环节权重是5%，开支环节权重是85%，说明1亿元的营业收入流程，和1亿元的项目开支流程，同样资金的绝对值，相对风险评估中的意义是不同，在评估中，这1个亿的项目开支的权重要大得多。

以上三个步骤确立了风险资金量维度的评估公式：一个部门的风险资金量=收入环节风险资金量×权重+流转环节风险资金量×权重+开支环节风险资金量×权重。

三个环节权重确定之后，需要分别评估各部门在每个环节的风险资金量。在这里以开支环节为例，研究开支风险资金量的测算。开支环节反映了各部门对经济资源的支配权。那么由于不同类型开支的管理流程差异较大，因此除了考虑资金量大小，还需考虑开支流程的规范程度，不同的开支类型的资金使用风险不一，需要确定不同的风险系数。例如：项目开支金额动辄上千万，但流程长，审批环节多，因而风险系数低；费用性开支虽然金额小，但流程相对简单，审批环节少，因而风险系数高。

风险系数通过以下程序测定。任何一类开支，流程越长，风险控制越严格，假定完整的流程包含以下环节：1.对开支进行了可行性研究；2.有透明的取费标准；3.经过招标采购（招标）4.签订有效的合同（合同）5.实施履约过程的监控（监控）6.经过结算环节（结算）7.经过交付验收环节（验收）8.提交了可评估测量的交付品（交付物）9.经过决算审核环节（决算）10.采用最小风险的付款方式（付款）11.对开支效果进行了后评价（后评价）。根据不同类型开支是否具备以上环节，以及严密程度，为对各环节进行评分。评分可以采用专家组打分法，也可以采用历史数据分析法等等。各环节评分越高，代表风险系数越高。例如，某一类开支，它的取费是有定额标准的，评1分，有类似行业标准的，评2分，若无标准，则评4分；某一类开支，有公开招标，评1分。实施了非招标采购，评2分，零星采购的，评4分，等等。

2.内控能力维度的评估

有的被审单位会提出，他们部门的经济业务多，风险点多，即便采取了大量控制措施，出现问题的数量还远远比一些业务简单的部门多。要评估企业各主体的内控能力，需要考虑这一点，为了确保实际评估中的客观公平，风险控制能力维度的评估，一是要考虑一个部门风险点的多寡（控制难度的高低），二是要考虑一个部门过往内控情况（出现问题的情况）。评估的结果用以反映一个部门对风险的主观控制能力。

部门业务的固有风险低，说明控制难度小，假如发生问题多，说明其控制能力弱，对其风险管控能力不可以信任。反之，部门业务的固有风险高，说明控制难度大；假如历史发生问题少，说明其控制能力强，对其风险管控能力可以信任。将控制能力的评估结果以控制水平“信用等级”来表示，比如，可以根据企业内部各单位的内控水平的差距大小，由高到低授予AAA级、AA级、A级、BBB级、BB级……。

内控信用等级的评价可以设置两类指标，包括“关键评价指标”和“辅助评价指标”，其中“关键评价指标”是基础指标，“辅助评价指标”主要起到高压线指标的作用，只有在特定情况下发生作用。两类指标最终按照孰低为原则，套用信用等级低的一项。评估中可以将“内控失效率”作为关键评价指标。“内控失效率”相对于“内控实现率”而言，计算方法是：“历次审计发现问题数量级”与“部门业务风险点数量级”之比。他能够满足对不同控制难度部门进行比较的要求，整体反映一个部门对风险的主观控制能力。

有些单位的问题由于与资金关系密切，特别是对于出现违规资金、损失浪费的情况，需要引起特别重视，因此，可以考虑设置辅助指标反映这一特点，比如设置 “问题资金率”作为辅助评价指标，“问题资金率”反映一个部门运作资金中出现问题的比例。计算公式为：“历史问题涉及资金量”与“部门风险资金量”之比。设置“问题资金率”作为辅助评价指标，主要因为并非所有单位的问题都涉及资金，对出现问题资金的单位，这个指标能够起到高压线的作用。

当然，在实际评估中，还需要考虑具体情况设置一些调节变量，比如：为区别不同性质问题的严重程度，可根据问题性质对基数进行调节；为平衡各被审单位历年审计频率不一造成的问题数量不均衡的情况，可以按各部门历年审计的频率（与问题相匹配）对问题数量进行平均，并可对历年审计少涉及和未涉及的部门直接套用一个保留意见等级；对于统计期间内存在严重内控问题的部门，可以采用在最终结果上降级的方式。

3.构建评估矩阵

在两个维度分别评估完成后。紧接着就是要构建由“风险资金量级”、“内控信用等级”构成的二维度评估矩阵。

矩阵按风险与内控比对原则构建：部门风险资金量级越高、内控授信等级越低，代表其风险等级越高。反之，部门风险资金量级越低、内控授信等级越高，代表其风险等级越低。

评估矩阵的纵坐标代表“风险资金量级”。风险资金量级按照评估得出的各部门风险资金量高低排序，并按集中程度划分区间，同一区间对应相同量级，风险资金量提升到一定程度，对应量级相应提升，体现从量变到质变的过程。评估矩阵的横坐标代表AAA级、AA级等由高到低的多个信用等级。

（四）审计选项

通过上述风险评估得出的部门风险等级代表了各部门风险的高低，而对于审计选项而言，还需结合审计的实际需要选项，规避审计选项中的其他风险，统称为“选项风险”。选项中需要考虑的“选项风险”主要有以下三个方面。

一是遗漏或过度审计风险。指若直接运用风险评估结果进行选项，将导致对高风险部门重复审计，造成过度审计，低风险部门长期被忽略，造成审计遗漏和盲区，最终未能有效利用审计资源，无法全面覆盖风险点。二是审计频率风险。指审计的时间间隔过长，可能导致问题长久积累未被及时发现，风险隐患大；时间间隔过短，则可能导致频率过高，审计数量过多，审计质量和深度无法得到保障。在运用风险评估结果进行选项时，需综合考虑时间间隔和审计部门的审计能力，确定合理的审计频率，防止审计风险。三是环境变化风险。指审计在基于部门风险评估的同时，审计关注点还需结合企业内、外部环境变化而及时做出调整，才能更好地为组织服务。

（五）模型的延伸运用

模型在评估选项的同时，对入选年度被审计的部门，可进行相应的分析，指导具体审计工作的开展。比如通过敏感性分析来确定审计重点。运用选项模型作敏感性分析，指的是在评估过程所引用的众多参数变量中，查找构成一个部门入选项目的关键参数，以指导审计检查的重点。关键参数反映了一个部门的风险所在，不同的关键参数，对应于不同的审计关注点。

四、研究结论

审计的科学决策基于科学合理的评估立项，企业内部有着不同的风险评估，审计部门要做立项评估，不应该直接采用其他专业评估的结论，需要基于审计的根本目标，构建一套符合审计需要、能够正确指引审计方向的评估方法。构建审计立项评估模型，可以从审计的角度评估各部门（单位）的（下转151页）（上接146页）风险等级；可以指导年度的被审对象的选择，确立全年审计项目的安排；可以系统地规划未来几年审计工作计划，规避跨年间的审计项目规划性不足的风险；可以揭示风险所在，引导审计检查的重点。

同时，评估模型不是一蹴而就，在运用中，评估模型的标准需要不断修正；评估的维度和指标还可以不断细化，评估的取数还会随着基础数据的完善，趋向更为科学和合理，评估模型的质量需要在实际审计工作中加以检验。评估过程是一个从模糊到精确再到模糊的过程，最终揭示的是各部门大体的风险级别和特征，为审计计划的确立提供科学的依据，使审计监督更具有说服力。

教育期刊网 http://www.jyqkw.com
参考文献：

[1] 《国际内部审计专业实务框架》.国际内部审计师协会

[2] 《企业内部控制基本规范讲解》.财政部会计司.中国市场出版社.2008.

[3] 陈关亭、黄小琳、章甜.《基于风险管理框架的内部控制评价模型及应用》.中国审计.2013（14）

[4] 孙坤《内部审计与内部控制体系建设理论研讨综述》.中国内部审计2010（10）

[5] 王静《内部审计参与风险管理中的职责和作用》.知识与创新.2010（9）

（责任编辑：袁凌云）