国网湖北电力：“战略—内审—绩效”的风险防范体系

王向阳 魏丽雅 胡璟懿 彭涛 李巍 李鹏 敖健康 张文杰

[摘要]国网湖北电力借鉴ERM框架的先进理念，以内部审计防范风险提高效益为核心目标，创新设计了“战略-内部审计-绩效”体系，构建了风险控制的四道防线，重点挖掘了内部审计作为第三道防线的风险确认和咨询作用，提出内部审计要素的实施方法，完善了内外双线绩效评价机制。

[关键词]内部审计 战略-内部审计-绩效 第三道防线 五要素 绩效评价

国家电网公司连续12年发布社会责任报告，体现其经济效益和社会效益并重，展示了电网企业作为央企承担社会责任的积极意愿、主动行为、社会绩效和全面承诺。

一、国网湖北电力的“战略-内部审计-绩效”理念

充分吸收ERM框架的理论，结合公司历年实践经验，经过风险确认和管理审计两个阶段的发展，形成“战略-内部审计-绩效”体系。该体系将内部审计提高到战略、绩效层面，把内部审计“防范风险，提高效益”的作用贯彻到战略制定、战略执行、绩效评价的全过程。

以四道防线实现对战略全过程的风险管理全覆盖，如图1所示。从第一道防线到第四道防线，通过管理风险、监控风险、确认风险和建议与咨询、评估与监管四个环节，提高经济效益。

以内部审计“五要素”实现对战略执行的事前、事中、事后的审计全覆盖。战略执行前，内部审计形成良好的治理和文化氛围，服务企业战略的实施；战略执行中，内部审计部门与经营管理各层级建立有效沟通机制，确保内部审计执行的有效性；战略执行后，以“内外双线”考核方式进行绩效管理，其中：内线考核是对内部审计部门提供审计服务质量的绩效评价，外线考核是对企业经营管理达到战略目标的绩效评价。

二、ERM框架下的风险控制机理与作用

（一）四道防线全面发挥管理风险、监控风险、确认风险的监管作用

构建了风险控制四道防线，即由公司与外部监管机构采取内外结合的方式，构建管理风险、监控风险、确认风险的监管机制，协同发挥内部审计防范风险的作用；由内部审计履行建议与咨询职能，实现防范风险、提高效益的核心目标，如图2所示。

（二）四道防线分别发挥防范风险、提高效益的作用

第一道防线管理风险，由经营管理部门负责风险管理，执行公司战略，承担和管理企业风险。

第二道防线监控风险，由风险控制部门负责监控企业风险，并审查业务是否合规。风险管理人员负责监督第一道防线的各项控制。

第三道防线，分为防线A（确认风险职能）和防线B（建议咨询职能）两部分，这道防线在组织价值的增值过程中起到建设性作用，通过改善风险管理与控制程序，进一步加强前两道防线的效能。其中：防线A部分，由内部审计部门负责风险确认，内部审计人员就风险管理的有效性为管理层提供独立确认服务，包括“三重一大”决策、财务管理、工程投资管理、营销管理等业务专项审计；防线B部分，由内部审计负责咨询与建议以提高企业效益，内部审计人员对发现的相关审计问题，提供咨询、管理建议、协调沟通、协同监督等服务。

第四道防线由主管部门和监管机构形成外部监管机制，负责评估与监管，政府审计和监管机构进行独立评估与监管，与公司内部审计形成监督合力。四道防线如表1所示。

三、内部审计“五要素”的关联与配合

国网湖北电力完善内部审计治理、发扬内审“铁军精神”，将内部审计与企业战略、绩效挂钩，确保内部审计职能履行到位，加强内部审计的信息、报告与沟通，通过内部审计的绩效评价实现闭环管理。内部审计五个构成要素相互关联与配合，实现审计效率和企业价值提升，形成完整的“战略-内部审计-绩效”体系，如表2所示。

（一）内部审计治理和文化

内部审计治理与文化，即建立并完善内部审计治理机制，形成良好的道德文化氛围，发挥事前预防作用，这是防范风险、提高效益的前提。主要包括：一是事先构建“上审下”的审计工作机制，审计资源适度向上集约。二是坚持将“两个融入”和“五个必须”贯穿审计工作。“两个融入”，即把管理层支持审计监督工作融入企业战略制定的全局、融入企业组织体系；“五个必须”，即做到重大事项必须报告、重要信息必须知情、重要会议必须参加、检查问题必须整改、监督保障必须到位。三是事后重視审计整改问责机制，强化边审边改，落实“谁负责、谁承担、整改到人、问责到人”的责任追究制度。

内部审计还要突出管理层、团队、个人的“诚实和道德承诺”的文化建设。主要包括：一是管理层要增强依法依规履职和接受监督的道德承诺意识。二是审计团队要构建良好的内部审计文化氛围。三是内部审计人员要培养学习、发现问题、揭示问题、报告问题等“四项能力”，树立“忠于职守、敢于碰硬”的职业精神以及“勇于负责、敢于担当”的责任意识，进一步提升审计履职能力。

（二）内部审计与战略、绩效设置

内部审计与战略、绩效设置，即将内部审计与企业战略和绩效目标融合在一起，实现内部审计与企业战略协同，注重保障电力供应的社会效益，把企业社会责任转变为企业经营管理的自觉行动，这是防范风险、提高企业效益的基础。主要包括：一方面，开展电力保障审计，注重社会责任履行。大力保障农村、边远地区用电，全面实施光伏扶贫、“村村通、井井通”等审计项目，实现企业发展与社会发展共赢。另一方面，开展业务专项审计，防范企业经营风险。开展经营管理审计、工程投资管理审计等，保障内部审计执行和企业经营管理的协同。

（三）内部审计的执行

内部审计的执行，即对审计对象进行事前、事中、事后的审查和综合评估，坚持“严肃审计、严肃整改、严肃问责”制度，这是防范风险的关键环节。主要包括：一是按照“离任必审、离任即审、三年一次全覆盖”的工作原则，不断强化“任中审计”，持续开展经济责任审计、工程投资全过程审计和专项审计，有重点地推进审计监督全覆盖。二是以审计信息化为抓手，运用业务系统实施审计日常监控，推进非现场审计与现场审计的有机融合。三是建立审计问题库，落实审计整改“回头看”和“销号”制度，形成审计整改的闭环管理，保证审计成果的落地。

（四）内部审计的信息、报告和沟通

内部审计的信息、报告和沟通，即建立有效的信息沟通机制，在咨询、沟通中落实审计整改，这是防范风险、提高效益的核心。主要包括：一是建立有效的信息沟通机制。通过现场调研、业务评比、企讯、微信群等工具，加强审计工作内部交流互动力度。二是形成纵向报告机制。实施重大事项报告制度，由审计部门向公司党委会、总经理办公会做专题汇报，及时揭示重大风险。三是形成横向沟通机制。落实“两个责任”，即业务部门在审计整改中的主体责任和审计部门的监督责任，建立审计疑点库、问题整改库，实现审计成果全面落地。四是建立审计信息共享平台。实现审计资源在线共享，方便内部审计部门和业务部门的信息沟通。

（五）内部审计绩效管理

内部审计绩效管理是内线考核，引导内部审计部门提升绩效。内部审计绩效管理评价体系由审计专业管理、日常工作开展和审计创新与成果3个方面19个指标组成，其中：日常工作开展是基础，审计专业管理是抓手，审计创新与成果是核心。内部审计绩效管理是以三个指标为纽带，以内线考核为引导，推动审计工作质量提升，更好地为企业经营管理服务。国网湖北电力聘请内外部专家独立打分评级，对考核项目赋予不同权重，以基准分数项目为主、以加减分项目为辅，实现内线考核，如图3所示。

四、绩效评价

（一）战略层：设计“战略-内部审计-绩效”评价体系

内部审计监管的KPI指标围绕企业战略目标进行设计，实现内部审计与战略执行、价值创造的深度融合，战略目标的实现，如表3所示。

（二）执行层：制定KPI考核标准

依据国网湖北电力的战略目标，将表3所示的五个绩效类别进行分类后，再划分为可量化和不可量化的指标进行评价。

一方面，可量化指标以定量KPI考核。将业绩浮动区间划分为三个考核标准，即下限值（）、基准值（）和上限值（），计算与之对应的考核分数。例如，实际完成值（）的得分（y）计算如公式1所示：

以售电量绩效指標为例，当=1560亿千瓦时，则：y=80+20×=84分，计算考核得分为84分。

另一方面，不可量化指标采取定性KPI考核方法。如表4所示，以安全管理指标为例，设立与指标相对应的考核维度，根据重要性程度确定四个考核维度权重分别为30%、20%、30%和20%，分别进行考核。考核期间内若仅发生人员责任的事故一次，则安全管理指标考核得分=（100×30%-15）+100×20%+100×30%+100×20%=85分。

（三）监管层：确定企业风险等级

借鉴IIA《2050-2确认图谱》实务公告中有关确认企业关键风险的方法，提出按照绩效考核结果判断业务是否发生重大变化，最终确定内部审计的关注度。

如图4所示，定量KPI指标得分小于等于60分、大于等于100分的企业，一般都是发生了重大变化，界定为一级红色预警，内部审计确定为重点关注级。其余分值分别界定为二级橙色预警和三级黄色预警。

定性指标得分在60分-80分之间，一般发生了重大事项，界定为二级橙色预警，内部审计确定为特别关注级；若指标未发生重大变化，界定为三级黄色预警，内部审计确定为一般关注级。

同时，内部审计要履行咨询服务职能。如果绩效评价数值被标记为一级红色预警，则内部审计部门应对重大变化原因进行识别和评估，例如开展专项审计（含审计调查）等审计工作，对相关业务进行重点关注和提供管理咨询服务。

主要参考文献

鲍国明，孙亚男.公共资金绩效审计项目的选择与确定[J].审计研究， 2006（2）：14-18

陈锦烽. IIA立场公告：《有效风险管理与控制的三道防线》简介[J].中国内部审计， 2013（8）：44-45