创建内控审计评价新思路

□

贺时 供图

2002年美国萨班斯法案颁布后，中国石化率先在国内建立了一套比较完整和切合企业实际的内控制度，并逐年加大开展内控审计评价及考核奖惩工作力度，确保了企业生产经营目标的实现。目前已建立了“内控有制度、操作有程序、过程有监控、风险有监测、工作有评价、责任有追究”的内控体系，实现了内部控制管理职责与检查评价职责的有效分离，探索创建了内控审计评价工作的新思路。

构建内控审计评价体系

目前，审计局全面负责中国石化内部控制的年度综合检查评价工作。为此，该局提出将内控审计评价工作纳入公司日常监管工作之中，构建一个“由企业自查、总部职能部门检查、总部审计部门综合检查评价和外部中介机构审计等多元主体共同参与、相互补充、综合评价”的内控审计评价体系。

企业自查。企业内部控制管理部门每年组织内部控制综合检查评价，每季度开展内部控制测试。

职能部门检查。总部相关职能部门每季度组织开展内部控制测试，同时根据本部门职责范围开展专项检查。如安全环保部门组织开展的安全大检查、财务部门组织开展的财务稽核检查、监察部门组织开展的重大建设项目效能监察等。总部内控办还可随机抽查、核查部分企业的内控工作。

审计部门综合检查评价。总部审计局结合开展经济责任审计、管理效益审计等审计项目，对部分企业开展内控独立审计评价，还可根据需要委托部分企业审计部门对本单位开展内控审计评价工作。

外部中介机构审计检查。外部中介机构每年对总部职能部门开展测试检查，并结合对企业每年开展的常规审计检查等，出具内控检查报告和管理建议书。

为了有效共享利用不同检查主体的评价结果，审计局要求企业定期上报自查结果，同时通过列席监事会、组织召开经济责任审计联席会议等平台，积极与外部中介机构、总部相关职能部门沟通，共享内控检查评价结果，并统一纳入公司年度考核评价体系之中，切实提高了公司整体监管效率，增强了效果。

建立有特色的内控评审模型

通过多年的实践总结，中国石化建立了一套具有石化特色的内控评审模型。审计局结合中国石化2011年版《内部控制手册》编制了内控审计评价方案及底稿模板，进一步完善了内控评审模型。

1.确定内控审计评价范围。将企业建立的内控体系分为内部环境检查评价、企业自查检查评价、业务流程检查评价和缺陷修正等四个部分。

2.确定内控审计评价内容。对内部环境中的诚信与道德、责任分配与授权、组织结构、管理哲学与经营风格、人力资源政策与实务、信息与沟通、内部监督等方面作出评价；对企业自查过程的检查程序、检查记录、整改落实情况作出评价；对业务流程的不相容职务分离情况和控制点执行情况进行评价；检查是否存内控缺陷。

3.制定内控审计评价底稿。一是将公司层面的319个控制要求梳理成60个具体控制要求，并明确了检查的主要内容和控制文档；二是进一步明确业务层面的检查步骤与方法；三是建立风险管理薄弱环节的信息收集平台，按照三级风险类别对被审计单位内控问题所涉及的风险进行汇总分析；四是针对ERP全面上线实际，更加侧重IT层面的检查评价，注重从信息系统源头上加强监督控制和风险防范。

4.制定内控审计评分标准。采用量化打分来评价企业内控设计是否合理、运行是否有效的定量方法和缺陷修正结合的定性方法。为保证测试的规范性，设计了内控矩阵审计工作底稿和抽样模型评价系统，对内控缺陷认定和分类、测试范围、抽样频率、例外事项分类等制定了详细的技术标准。

5.评定内控评价结果。首先对被审计单位内部控制进行总体评价，然后再由总部内控办根据各单位的内控检查评价得分及整改落实情况制定考核方案，报内控领导小组审定后考核兑现。

建立和完善内控评审模型，规范了内控审计评价程序、方法及标准，促进内控审计评价工作更加到位。审计局2010年按照内控评审模型对下属某企业开展内控检查评价时，发现该企业在合同管理及执行方面存在内控设计缺陷和潜在经营管理风险，要求该企业尽快调整、完善相关内控制度，及时控制或提前规避经营管理的潜在风险，凸显了审计实效。

形成一套审计方法

多年的内控审计评价工作，使中国石化逐步形成了一套“以风险为导向、以内控为主线、以治理为目标，抓重点”的科学审计方法。以风险为导向，即把审计监督重点放在企业存在风险较大的领域和环节，内审部门对企业的风险进行评估、识别、分析，判断企业潜在风险大小，对风险较大的企业或领域进行科学审计项目立项及现场审计实施。以内控为主线，即把内控审计评价作为审计监督的必经程序和首要环节，无论开展何种审计项目，都必须从检查评价内部控制入手，找出企业的薄弱环节和审计重点。以治理为目标，即把审计监督目标放在发挥内部审计建设性作用、“免疫系统”功能作用和促清廉作用上，促进企业持续有效健康发展。抓重点，即坚持“全面审计、突出重点”的原则，紧紧抓住企业重要领域、关键业务流程、重要风险控制点等进行重点审计监督检查，发现重大问题进行重点剖析、严肃处理，真正发挥审计威慑性作用。

在开展内控审计评价时，注重抓好三个方面：在检查方式上，将内控审计评价工作纳入正常的审计监督工作之中，与每年的经济责任审计和管理效益审计等审计项目结合开展，并在项目实施过程中先开展内控符合性测试检查，充分发挥内控审计评价的先导性作用。在检查方法上，积极探索和实践符合性测试与实质性检查相结合、判断抽样与随机抽样相结合、单项评价与综合评价相结合的检查方法。在检查结果上，坚持“双向引导、成果共享”原则，把开展内控审计评价作为发现问题的“放大镜”，当内审人员在内控测试检查发现问题线索后，在随后开展其他类型审计时将该问题线索举一反三，向前追溯到整个审计期间，向后延伸到审计日，确保审计查证的问题证据充足、权责明确。把其他类型审计项目的检查结果作为验证内控审计评价结果的“试金石”，将在其他类型审计项目中发现的与内控相关的问题及样本补充到内控审计评价工作底稿中，重新验证内控检查评价结果。审计局2011年在对下属某企业开展经济责任审计和内控审计评价时，通过经济责任审计发现该公司在对外付款时存在8次对外多结算支付劳务费问题，于是增加了货币资金管理业务流程对外付款环节的抽样样本，纠正了随机抽样的偏差，扣减了相关业务流程分数，揭示出了企业对外付款的损失及风险。

抓住五个内控要素

中国石化在开展内控审计评价时，注意抓住鉴定企业内部环境、风险评估、控制活动、信息与沟通、内部检查与评价等五个内控要素的健全性、有效性，从中发现企业生产经营管理中存在的薄弱环节和风险。

1.内部环境要素。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。审计人员在开展内控审计评价工作中，在审前调查阶段详细了解企业的治理结构、机构设置、人力资源政策等内部环境因素，并据此制定和调整审计实施方案，采取相应的审计方式和审计策略。

2.风险评估要素。审计人员在实务工作中，借鉴和利用PEST分析、波特“五力”分析等方法来对企业的内、外部风险进行评估，并全面分析和把握企业面对的内部及外部风险，据以选定高风险领域作为审计的重点。

3.控制活动要素。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。中国石化下属企业均建立了相对规范的内部控制体系，为审计人员提供了一套全面、详细、直观、权威的企业“地形图”和“路线图”，内审人员能利用《内部控制手册》的有关内容进行检查。

4.信息与沟通要素。审计人员在工作实务中充分收集利用和参考被审单位的各种内外部生产经营管理信息资料，通过调查问卷、座谈、访谈等方式，加强与被审计单位相关岗位人员的沟通交流，获取审计所需要的相关信息和线索。例如审计局2009年对下属某公司开展内控审计评价工作时，通过座谈获悉该公司未定期对原油库存量进行盘点的信息，后经现场查实，该公司在财务记账和上报本期原油库存量时没有按照真实的盘点数作为库存数，账实不符。

5.内部监督要素。在内控评价中，参考和利用企业内部控制评价的成果，据以发现企业内部控制的薄弱环节。探索利用《企业内部控制评价指引》规定的内部控制缺陷认定、综合评价和奖惩等，积极尝试将内控评价及奖惩与内部审计的评价有机结合。如中国石化在开展经济责任审计时，正在尝试将内控审计评价中认定的一般缺陷、重要缺陷和重大缺陷等单列一张表格，并与原有的会计信息质量评价表有机结合，以更加全面地反映被审计企业的真实情况；还尝试对企业领导人员经济责任评价时增加任期内内控制度执行情况的综合评价等。