石化销售企业内部控制审计流程优化策略

■刘玉萍

石化销售企业内部控制审计流程优化策略

■刘玉萍

一、引言

在现代企业管理过程中，内部审计作为企业内部控制的一个组成部分，具有监督内部控制其他环节的职责。美国著名内控专家麦克尔海默教授曾说：“内审机构应将自己视为公司的一种资源。在帮助管理当局更有效地达到预期控制目标的过程中发挥作用，内部审计师的使命将从简单地实施审计向帮助创建一些程序，以期达到组织成功所需要的内部控制水平的方向发展。”由此可见，内部审计应有的作用不仅在于监督企业的内部控制是否执行，还应该帮助企业进行软控制环境的创造，成为内部控制过程设计的顾问，发挥咨询职能。内审部门应把工作重点放在协助企业内部控制建设上。本文主要以企业内部审计机构开展的内部控制审计为研究对象，结合石化销售企业内部控制审计流程现状及存在的不足，提出石化销售企业内部控制审计流程的优化对策，旨在完善石化销售企业内部控制审计的实务研究，推动企业内部控制审计的有效开展，助力企业长效发展和价值提升。

二、企业内部控制审计的积极效应

（一）从公司宏观层面，可以推动企业改善公司治理。

从决策、执行、监督三权分立的公司基本治理原理来看，一方面，内部控制审计是公司治理结构中必不可少的一环；另一方面，内部控制审计职能的充分发挥又依赖于公司治理环境的完善。内部控制审计通过对企业现代企业制度是否建立、治理结构是否健全完善、治理机制是否科学合理、信息沟通是否畅通及时等方面的监督评价来推动公司治理机构的健全有效，从源头上推动企业改善公司治理，帮助企业提高治理能力，也为内部控制审计营造良好的治理环境。

（二）从审计自身层面，可以提升审计工作层次与水平。

一是可以适时审计。内部审计部门属于企业的一个职能部门，对企业的内部控制制度、经营管理业务比较熟悉，可以有针对性地对企业内部控制执行情况进行监督和评价，发现问题要求及时整改。特别是计算机审计信息化技术的广泛应用，为内部控制审计提供了技术保障。

二是可以重点审计。审计人员可以通过风险评估，根据被审单位内控制度的可信赖程度，从信赖度较差的薄弱环节作为切入点和突破口进行内部控制重点审计，提高审计效果。

三是可以融合审计。企业内部控制审计可以与经济责任审计、财务收支审计、管理效益审计及其他专项审计相融合，采取“1＋N”审计模式开展，同时进行，相互援用，节约资源，提高效率。石化销售企业目前就大多将内部控制审计工作贯穿于其他审计项目当中，做到融合审计。

（三）从被审单位层面，可以倒逼单位层面内部控制体系优化。

内部控制审计坚持风险和问题导向，针对被审单位内部控制设计及运行中的缺陷与漏洞，揭示各种体制性、机制性、制度性问题，从风险管理及全局角度提出建设性意见，指导企业不断健全完善内控制度，改进风险管理策略，堵塞经营管理漏洞，改善经营管理行为。总之,内部控制审计结果可以对被审单位内部控制框架的构建起到推动作用，增强风险防控能力，从而实现组织目标。

下面以石化销售企业为例，研究分析其内部控制审计流程问题、优化对策及保障策略。

三、石化销售企业内部控制审计流程问题分析

目前，石化销售企业内部控制审计流程通常涵盖四个阶段：审计计划阶段、审计准备阶段、审计实施阶段和审计终结阶段。实践结果表明，尽管近年来企业内部控制审计工作取得了一些进步，但在实务操作流程当中还存在一些问题，导致内部控制审计在实践上的效能发挥不足，需要改善。

一是在审计计划阶段。首先，在立项上大多采用由上至下下达审计任务，缺乏对基层实际审计需求的关注，特别是缺乏对基层一些管理薄弱及认识盲区流程及控制点审计需求的关注；其次，由于企业资产重组，对其中涉及到的兼并和收购、改制和重组、联合和剥离及分拆等问题考虑把握不周，没有考虑这些特殊的复杂交易；第三，审计项目也多以公司层面及业务层面流程控制点执行情况的审计为主，而对运营绩效、风险管理及战略目标等更高层次的审计内容嵌入不够。

二是审计准备阶段。首先，缺乏对审计对象的深入了解，往往浮于表面，只注重填列一些前期审计调查附表，导致在审计实施过程中，由于准备不充分无法发现重大问题和根本性问题；其次，一些审计人员能力和意识不足，常常将内部控制审计工作等同于内部控制测试，而且偏重于符合性测试；第三，对风险评估方法应用不足，程式化现象较普遍，尤其在审计实践中应用简单的风险评估方法把影响企业经营的内外部风险、系统及非系统风险割裂开来，人为赋予权重，风险评估结果难以让人信服，据此制订的审计实施方案难以达到规避风险的作用。

三是审计实施阶段。首先，由于内部控制审计人员能力不足，不了解当下资本市场的发展趋向和企业财务活动及经营管理活动的规则惯例，甚至缺乏人际沟通交流的必要技巧，从而无法有效识别和判断企业信息失真与否以及企业内部控制制度的效能情况；其次，内部控制审计活动往往停留在单一项目和环节的审计上，而没有从企业的运作机制、内部控制机制、战略目标出发，从更全面的视角把握和审视整个审计工作，对体制性机制性问题关注不多；第三，对于审计抽样，一些审计人员在审计执行过程中主观性强、随意性大，工作没有侧重，或者对如何抽取样本无从着手，或者对全部内容全盘审计，或者随意取舍，这些做法既不符合科学审计理念，也浪费审计资源，又无法发现重点问题和紧迫问题，不能针对存在问题或缺陷的关键控制点进行深入的实质性检查，影响审计的效率和效果；第四，对于内控缺陷认定，由于国家、企业制度层面研究尚不完善，实务中存在一些难点，主要表现为对财务报告缺陷和非财务报告缺陷中的定性评价部分认定标准不够严明，主观随意性较大，不仅可操作性较差，而且结果精确度也较低。

四是审计终结阶段。首先，审计结论很多局限在控制点的有效执行与否，审计报告的主要内容侧重于反映与审计项目相关流程的有效性，忽略了更具价值的“效能性”评价，尤其是许多审计报告忽略了企业内部控制体系的整体性，只评价与审计项目相关流程的内部控制状况，将整个内部控制体系割裂开来，使审计报告和审计结论不能发现根本性问题和系统性问题，无法挖掘问题产生的体制和机制上的原因；其次，内部审计机构往往只注重发现问题和提出改善建议，却极少履行后续审计职能，监督审计结论的落实和审计问题的整改，导致审计结论和建议得不到有效落实，大大降低了审计的效能和价值；第三，审计追责问责机制尚不健全，从严管理落实不到位，从而影响了内部控制审计的威慑力与长远效应。

四、石化销售企业内部控制审计流程的优化对策

针对以上问题，从风险和问题导向及内部控制视角对石化销售企业内部控制审计流程进行优化，具体分析如下：

（一）审计计划阶段——着眼内部控制，侧重风险问题。

计划阶段工作通常包括审计立项、项目审批等环节。计划阶段需采取的优化策略重点在于：注重结合企业自身的组织结构和管理活动特点，着眼企业发展目标和职能定位，着眼其社会效益，尤其要充分考虑企业内部控制体系状况，进而合理地预测企业各经营管理领域的风险点，制订有针对性的审计计划。尤其要注重向被审单位提出审计需求，形成互动，关注一些特殊复杂交易事项，加强内部控制审计同风险管理审计的整合，同时要将内部控制审计融入到日常审计项目当中，将运营绩效、风险管理及战略目标等更高层次的审计内容有效植入审计项目。

（二）审计准备阶段——立足内部控制，关注风险问题。

准备阶段工作通常包括成立审计组、审前调查、编制审计实施方案、下达审计通知书、审前培训和审计资料的准备交接等环节。准备阶段需采取的优化策略重点在于：

一是把握关注重点。内部控制审计关注的重点应该是企业内部控制体系的薄弱环节，而内部控制发挥最优效能的环节则可以适当简化审计程序，以合理地分配内部审计资源，提高审计效能。

二是做好审前调查。其一是运用好整合风险评估法（如图所示），结合企业风险清单，按照“整合”后的风险发生的可能性和影响程度，初步识别和评估被审单位面临的主要风险，把影响企业经营的内外部风险整合在一起，研究它们共同作用下对企业经营的影响，经过风险排序后确定企业业务流程和经营活动中容易产生风险环节的关键控制点，将风险较大的业务或单位作为审计重点，重点关注重要业务单位、重大事项和高风险领域等方面的内部控制。将评估风险大、资产规模大、审计间隔时间长、人事变动、预算调整多以及群众有反映的单位列为重点审计对象。如对采购、销售、存货、合同、资产、招投标、工程项目、直分销业务及非油品业务管理等方面内部控制设计的合理性和运行的有效性进行重点审查和评价，使审计实施方案的制订做到有的放矢。其二是尽可能运用审计信息化手段，通过 AIS辅助审计信息系统及审计信息集成管理系统等，提前采取远程调查，查询被审单位审计期间接受内部各类审计中发现的问题及后续整改情况，确定审计重点。

整合风险评估法是指在风险评估过程中，侧重“整合”二字，对于企业所面临的内外部风险，不是孤立地去衡量各自的风险程度和发生频率，而是研究它们在共同作用下对企业经营的影响，通过对内外部风险要素进行识别、计量、评估等过程，对影响企业生产经营的内外部风险作出总体评价，从而帮助企业规避重大风险。其原理是基于物理学中的共振现象，即共同频率幅度的物体一起振动时所产生的能量大于单一物体振动时的能量的总和，意指影响企业经营的各种内外部风险因素中，相同影响的风险因素共同作用会加大企业风险，研究它们共同作用的风险情况对于确定企业真正的风险点至关重要，使内部控制审计能准确找到重大风险对象，通过重点审计帮助企业减少风险。

整合风险评估法制订的审计计划流程图

（三）审计实施阶段——围绕内部控制，查找风险问题。

审计实施阶段包括召开审计进点会、内部控制符合性测试、实质性检查、审计取证、编制审计工作底稿。这一阶段关键的三个环节，包括调查分析、内部控制体系程序性测评和实质性检查都要围绕内部控制，重点测评内部控制体系的科学性、有效性及执行情况。实施阶段需采取的优化策略重点在于：

一是对审计执行中发现的问题，笔者认为可以以“中期报告”的形式及时予以反映。中期报告是对内部控制审计进行中发现的重大和紧急事项出具的评审结论和意见，第一时间反映问题，促成被审单位及时对问题予以调整、控制，避免遭受更大的损失，同时完善企业内部控制体系，为后续的内部控制审计工作提供方向和便利。

二是通过把好“四关”，规范内部控制实施阶段审计工作：（1）事实关，即查出的问题必须事实清楚、证据确凿；（2）结论关，即定性准确又恰如其分；（3）处理关，即以财经审计法规和企业内控制度为准绳，正确掌握政策界限；（4）认证关，即随时与被审单位交换意见，及时取得认证材料。

三是进行科学审计抽样。其一，根据相关标准，结合审计测试的关联度，运用随机抽样和判断抽样法，开展符合性测试和实质性检查。其二，结合数理统计原理，合理确定总体中的“坏点”，“坏点”是数理统计上的一个说法，意思是一些表现特殊，不大符合一般统计规律的个体。对于这些“坏点”，比如金额超大的凭证，在审计抽样时，应该先挑选它们逐一进行单独测试，有调整就做调整，然后将它们从总体里刨除，再对修正后的较小的总体做抽样。其三，运用好Excel软件，发挥好它在审计抽样中的强大功能。其四，合理利用好集团公司开发的审计抽样系统，进行审计抽样。

四是对于缺陷认定难问题，笔者认为应该完善相关制度，最好对设计缺陷和运行缺陷、财务报告缺陷和非财务报告缺陷的定性评价部分适当进行量化，明确标准，同时既要关注企业运行中执行层面的具体风险，更要从企业全局的整体上把握存在于部门、业务及流程间的缺陷和漏洞。

（四）审计终结阶段——反作用于内部控制，整改风险问题。

审计终结阶段主要包括编写审计报告、跟踪落实建议、督促整改问题、实施后续审计等环节。这一阶段是审计结论产生和工作成果运用的阶段。终结阶段需采取的优化策略重点在于：

一是对于编写审计报告环节，以内部控制视角审视其效能优化策略，应注重“源于内部控制、用于内部控制”的原则，即围绕企业内部控制展开的内部控制审计工作成果应主要反映内部控制体系的健全性和有效性，改变业绩导向的单维评价模式，强化包含风险控制的多维评价模式，并为完善内部控制体系服务，反映企业内部控制体系的薄弱环节、凸显问题和风险所在，在此基础上提出有针对性的审计建议，使企业能够重新审视和优化内部控制体系。笔者在此强调的是，这一阶段中的审计发现并非审计结束出具审计报告，而应在审计执行过程中随时发现、随时反映，贯穿于审计工作的始终，并体现在最终的审计报告中。审计报告务求详尽、规范、全面、公允以及确保具有较强的可操作性。

二是加大后续审计对审计结论和审计建议的持续跟踪整改力度，审计人员应同企业管理者、相关责任人共同对审计结论进行分析讨论，明确审计整改工作目标，并着眼于制度建设，坚持标本兼治，建立完善长效机制。对改善情况予以持续跟踪，强化落实效果，切实做到审计成果的应用，完成内部控制审计的价值实现环节。另外，通过后续审计，继续发现新的问题和提出新的审计建议，持续优化企业管理控制水平。同时，审计人员也应及时对自身工作进行评价，做好内部控制审计质量控制，总结经验，发现不足，不断改进企业内部控制审计工作的质量和效果。

本机械手采用连杆机构作为传动机构，它在机构设计中是应用最为广泛的机构，诸如卫星太阳能板的展开机构、机械手的传动机构、折叠式伞的收放机构及人体假肢等[7]。2个油缸作为机械手的驱动构件，控制机械手的伸缩运动和升降运动。

三是建立健全责任追究机制及审计、纪检、人事、内控、财务、法律等监督管理部门的联动机制，加强统筹协调，分工协作，形成工作界面清晰、管理流程衔接顺畅的“大监督”管理体系，充分发挥各自的优势，建立起全方位、多层次、宽领域的“大审计”监督模式，促进问题整改并防止屡查屡犯。同时，根据内控制度及相关规定（如《职工违纪违规行为处分规定》）加大审计追责问责力度，达到“查处一个点，震动一个面，教育一大批，影响一大片”的效果。

五、石化销售企业内部控制审计流程优化的保障策略

要不断提升企业内部控制审计工作水平，优化审计流程，还应在审计环境构建等方面给予充分保障，具体应从以下几个方面着手：

一是确立以内部控制为基础的内部控制审计理念。现代内部审计是一个整合视角下的审计观，企业内部控制审计的目标之一就是审查和评价企业内部控制体系的完整性和有效性，内部控制审计是内部控制的重要组成部分，同时内部控制审计又能促进完善内部控制体系，内部控制审计与内部控制是有机结合的。因而树立以内部控制为基础的企业内部控制审计整合理念是企业内部控制审计流程优化的必要前提和根本保障，是提高企业内部控制审计整体效能必须秉持的基本原则。

二是确保内部控制审计的独立性和权威性。独立性和权威性是内部审计的生命力，企业内部控制审计是改善其运营管理、防范风险漏洞、提高经济效益、彰显品牌特色的有效途径，要发挥其作用，必须有效保障内部控制审计的组织地位，保障其能够不受干扰地行使其监督、检查和评价职能，使内部控制审计具有足够的独立性和权威性，这是内部控制审计发挥其应有作用的前提条件。

三是健全企业内部控制审计质量控制体系，制定明确的质量标准。审计质量控制是用来确保审计效能实现的管理工具。企业内部控制审计必须在审计计划阶段、准备阶段、实施阶段和终结阶段加强管理，强化证据收集、规范作业和审计评价，尤其是加大风险评估、缺陷认定、审计抽样、督促整改、审计追责、后续审计等环节的管理，遵守相关法律法规和规定，遵守职业操守，努力提升审计人员的专业素质，确保企业内部控制审计流程规范、高效。

四是狠抓企业内部控制审计信息化建设。企业内部审计机构应充分利用信息化技术优势，依托有利条件构建开发信息化平台，打造符合企业需求的内部控制审计信息化管理系统，实现远程审计和实时监督，将事后监督转变为事前和事中监督，提高审计效率，强化监督力度，进而提高企业内部控制审计整体效能。

五是加强内部控制审计人员执业素质。企业内部控制审计是否能为企业实现其最终目标服务，不仅要有完善的内部控制审计实务标准作为内部控制审计人员的执业规范，更重要的是要有一批高素质的复合型内部控制审计专业人员。笔者认为需要通过完善内部控制审计人员的后续教育体制，结合兼职审计专家库的组建，建立内部控制审计师准入制度，打造一支政治素质高、业务技术过硬的内部控制审计队伍，提高内部控制审计人员的执业素质，使内部控制审计机构真正为企业经营管理服务，并在现代企业管理中发挥更大的作用，为企业完善内部控制、提高治理能力、增加组织价值、实现战略目标发挥应有的作用。

［1］鲍国明，刘力云.现代内部审计［M］.中国时代经济出版社，2014.

［2］企业内部控制配套指引编写组.企业内部控制配套指引［M］.立信会计出版社，2010.

［3］时现，李曼，殷丽丽.内部审计学［M］.中国时代经济出版，2009.

（作者单位：中国石化销售有限公司山西石油分公司）