张玲
[摘要]本文分析探讨了审计项目外包产生的背景、必要性及存在的主要风险,并以中国移动通信集团广东有限公司内部审计项目服务的研究实践为例,将风险防范的管控措施嵌入业务流程,建立了协力式委托审计项目服务外包的嵌入式风险防控机制。
[关键词]协力式委托外包 嵌入式 风险防控 外包监管
一、内部审计外包产生的背景及必要性
(一)背景
内部审计外包迅速发展于20世纪90年代,最先由安永、毕马威等全球知名会计师事务所根据企业核心竞争力理论提出,认为内部审计为企业增加价值的能力不足,需要企业付出较高的人力成本,所以极力说服企业更加关注自身竞争优势,将内部审计外包给专业会计师事务所来进行。
(二)必要性
1.审计监督重要性日益突出。党的十八大特别是中央审计委员会成立以来,党中央、国務院对审计工作高度重视,更加注重通过审计加大对权力运行的监督和制约,审计作为党和国家监督体系的重要组成部分,在反腐败斗争中发挥着越来越重要的作用。内部审计作为企业风险管理的第三道防线,必须全面锻造审计专业化能力,厚植内部审计文化,以高质量的审计工作全面担当起内部审计职责。《审计署关于内部审计工作的规定》(11号令)也规定,内部审计机构应当根据工作需要,合理配备内部审计人员。除涉密事项外,可以根据内部审计工作需要向社会购买审计服务,并对采用的审计结果负责。
2.自有审计人员不足,需引入外部人员参与。国有企业发展到一定规模,由于经营系统多、业务范围广,每天都可能产生大量运营及管理数据。鉴于内部审计非企业利润创造的核心部门,大部分企业可能都存在自有审计人员不足的情况,这就需要引入专业外部审计人员参与审计项目,以实现审计目标。
3.自有审计人员知识技能存在短板,需借助外部专业经验。项目审计在面临评价标准少、业务数据量大、量化指标困难等挑战的情况下,需要项目团队具备丰富的审计知识和专业的审计技能,而内部项目团队有时并不具备这样的知识和技能,这就需要引入外部高层次的审计中介机构,借助其娴熟的审计技能和丰富的项目经验,协助开展工作。
引入内部审计业务外包模式,一是可以使内部审计人员学到先进的工作方法,更好地为企业价值增值。二是引入竞争机制,促使内部审计人员与外部审计人员竞争,不断提升其自身的业务水平。
二、基于嵌入式风险防控机制的协力式审计服务委托外包
近年来,广东移动公司快速发展带来的管理稀释问题越发明显,外部监管机构、上级单位的审计监督和专项巡视力度持续加大,而公司管理层也提出“从严治企、诚信履责、守法经营”的要求,使得审计任务与压力日益增大。如何通过服务外包方式满足审计工作任务、提升审计工作质量,同时平衡服务外包带来的风险,已成为公司内部审计近年来需要研究的重要课题之一。
(一)协力式审计服务委托外包的主要内涵
协力式审计服务外包方式是由国际内部审计师协会前主席大卫·理察德提出的,即由专业的第三方会计师事务所人员与企业内部审计人员共同协作来提高内部审计的有效性。协力式审计服务外包要求企业内部审计必须处于主导地位,只是利用专业外部审计人员的审计技能和人力资源来补充内部审计的资源不足、业务处理能力不足等,进而提高内部审计的实施效率及审计质量。广东移动审计项目组由公司自有审计人员及外部中介机构人员共同组成,自有审计人员承担审计方案制订、实施方法细化、审计过程管理、审计实施沟通、审计质量复核、审计成果总结、审计结题汇报等核心职能,外部中介人员承担资料收集、模型构建、数据分析、资料审阅、执行测试等基础职能。
(二)嵌入式风险防控体系的主要内涵
嵌入式风险防控体系是基于业务流程和工作场景的嵌入式廉洁风险防控,是中国移动将全面从严治党与公司治理统一起来的创新探索与实践,是构建教育、防控、惩治、问责一体化反腐倡廉工作体系的关键环节和全面风险管理体系的重要组成部分。内部审计嵌入式风险防控体系的建立,将审计工作全流程与审计工作场景可能存在的风险点结合起来,坚持问题导向,兼顾风险和效率,通过制定风险定级、风险编号、风险描述、场景描述、防控措施、违规行为处罚措施、自我监督检查情况,形成嵌入式廉洁风险防控体系一张表,实现廉洁风险防控与生产经营管理高度匹配、同步运转。
三、嵌入式风险防控机制下的协力式审计服务委托外包的实践分析
(一)明确审计项目服务外包的原则
一是核心能力原则。企业核心能力相关业务和平台不可通过外包方式运营,不能因业务外包而削弱企业核心能力。二是战略性业务原则。未来战略性业务不能外包,以保证公司对未来战略性业务的掌控力,不能因业务外包而损失战略性业务的市场份额。三是员工利益原则。坚持保障员工利益,能发挥内部员工能力和潜力的业务领域要优先使用内部员工,不能因业务外包丧失员工的工作机会。四是成本效益原则。坚持成本效率优先,业务外包要切实做到降低企业运营成本,提高企业运作效率。
(二)以协力式委托外包提升审计工作合力
受制于公司严格控制省本部人员编制,广东移动省本部仅一人负责经济责任审计业务,但广东移动审计业务覆盖25个省本部部门(中心)、1个代管机构、21个地市公司,被审计单位涵盖沿海城市、边远山区,发展不均衡。此外,公司资产规模庞大、业务范围广泛,审计年度任务较为繁重。对此,广东移动创新搭建“1+4+N”内部审计队伍基础模式(见图1),对内打造以省公司为核心,广州、深圳、东莞、佛山4个一类地市分公司内审部为骨干的队伍模式;对外引入外部专业中介团队,通过现场管控、强化监督、考核管理、人员评价四种方式,强化内外合力审计工作机制,通过引进外部中介专家,更好地发挥审计独立性,提高审计质量,更高效地完成经济责任审计工作目标。
(三)科学团队分工,强化内外合力
审计组长负责总体指导、难点协调、方向把控等工作。同时,省公司内审部人员担任质监员,负责审计重点确定、审计难点突破、审计质量复核。按照市场、网络、综合三大线条对中介人员进行分组管控(见图2),每个线条安排1名公司内审人员担任小组长,强化内外合力审计工作机制。
在审计项目全过程管控基础上,将项目管理思维融入审计业务管理,从项目范围管理到项目综合管理九大管理内容推动审计工作全流程管控,如经济责任审计项目管理流程(见图3),以提升项目管控质量及时效。
(四)加强质量管控,实施精细化管理
审计现场的质量管控是影响外包审计项目成功与否的关键性因素,广东移动按照3A标准建立了质量管理体系,见图4。
广东移动的经责审计在3A标准审计质量管理体系上,通过“四个强化”举措,强化全过程审计现场质量管控,为项目审计成果输出提供高质量保障。一是强化审计质量管理规范。制定并发布了《广东移动内部审计项目质量管理实施细则》,建立操作指引,规范经济责任审计业务质量管理,从制度层面保障质量管理有据可依。二是强化审计组长职责。实行组长负责制,审计组长由具有一定职级的领导担任,如省公司内审部负责人或一类公司内审部负责人担任审计组长。审计组长对尽职尽责履职作出书面声明及承诺,确保尽职尽责管理好中介机构团队。三是强化审计过程管控。要求审计组按时向相关领导报送审计工作日报、周报,及时反馈审计发现疑点。同时,审计组每日召开例会,让每位审计人员讲述当天审计工作情况、存在的困难等,以便在整个项目过程中及时掌握项目开展情况。四是强化三级质量督导。为确保审计责任落实到位,对工作底稿、发现问题、审计报告等重要资料进行审计组审核、项目负责人审核、审计部门审核三级审核,确保审计资料真实、完整。
(五)加强大数据分析,提升外包服务效率
广东移动经营系统多、业务范围广,每天都产生大量企业运营数据,而部分核心数据较为机密。有时不同的审计项目组需要提取同样的经营数据,而重复获取数据资料也给业务部门造成一定的额外工作量,为此,内审部借助两台服务器专门进行数据提取及分析,在项目审计还未开始前,运用风险分析模型,采用四步差异定位法,向审计工作组提供审计线索及关注重点,精准定位高风险隐患,提升审计工作效率。
四、嵌入式风险防控的措施和手段
(一)建立中介机构考核办法,加强外包机构监管
建立内部审计法律法规,需要政府机构、行业协会、企业多方面协同合作。政府机构要推进内部审计的相关立法,促进内部审计业务在法律层面的提升;行业协会要推进内部审计规范化,对内部审计职业作出规范化要求,指引审计项目外包企业的行为;企业要根据政府和协会的统一规范,与自身具体情况相结合,在企业内部建立完善的规章制度。
(二)审计准备阶段,规范中介机构选聘和日常管理
加强审计中介机构的选择。制定公平公正的审计中介机构选择方案,确保方案选择公平、公正、合理、有效,确保选择方案获得恰当的授权审批。建立多方共同监督的评审机制。审计中介机构的选择采用多人评审或跨部门评审等形式开展,各评委严格对评审结果确认存档。评审结果应在部门内部公布,接受部门监督。定期对外包项目委派中介机构审计情况进行分析,并将分析结果以邮件等形式呈报上级管理人員。
建立审计中介机构备选库。通过合作共赢和自愿申请方式,将审计中介机构及人员基本情况纳入中介机构信息库进行统一管理。内部审计人员对中介机构的实力和人员能力进行考评,考评结果纳入信息库,为今后选用提供依据。
建立审计中介机构供应商黑名单管理机制。明确黑名单管理的认定条件和认定程序,为合作过程中的行为划定“红线”,对于合作过程中严重违反法律法规、合同约定的,取消合作资格,保证审计中介机构在合作过程中符合法律法规和合同约定。
(三)审计实施阶段,建立及时汇报机制和多级复核机制
审计中介机构应定期或不定期地向项目管理者提交进度通报,包括审计日报、周报、快报、过程汇报等形式,加强对审计项目全过程监控管理,提升审计发现在审计组及相关分管领导层面的透明度及公开度,确保管理层对审计项目全过程监控管理。
每个审计项目设置四类角色:中介机构审计员、中介机构项目经理、内部审计机构质监员、内部审计机构审计组长。中介机构审计员负责对具体审计外包项目进行操作,严格实施审计程序,完整记录审计过程;中介机构项目经理对中介机构审计员进行二级复核,确保审计实施、审计报告环节的顺利进行和质量把控;内部审计机构质监员对中介机构项目经理进行三级复核,确保审计准备、审计实施、审计报告、整改跟进环节的顺利进行和质量把控;内部审计机构审计组长对内部审计机构质监员进行四级复核,对审计项目承担总体管理责任。
贯彻执行审计沟通确认程序。中介机构审计人员定期向内部审计机构审计组长反馈审计发现问题。被审计单位业务负责人对审计发现持有异议的,中介机构应根据提供的支撑资料开展复核、确认工作,并将沟通过程记录在案。
(四)审计报告阶段,建立审计组长负责制和监督举报机制
审计组长对审计工作底稿、审计发现事项及确认情况、审计报告进行审核,对于证据确凿、事实清楚的重大审计发现问题,应如实在审计报告中进行披露。审计组长对审计报告的质量应进行严格把关,多层次、多维度复核,关注审计报告披露内容是否完整、准确。
针对重点审计项目,可以通过多种形式或手段畅通审计监督举报渠道,如公布监督举报电话或邮箱,接受相关单位对审计人员职业操守和工作纪律方面的监督,控制可能存在的廉洁风险。
(五)审计验收与结算阶段,规范审计中介机构考核制度
通过审计中介机构考核管理规定和合同条款约定的形式,对审计中介机构在合作期间的审计质量、审计成果、人员配置、职业操守等方面进行严格考核和打分。考核结果应由内部审计机构审计组长、内部审计机构负责人、审计中介机构三方确认。同时,考核结果也与合同结算金额挂钩,进而提高审计中介机构工作积极性,降低履约风险。
可实行考核结果台账式管理。内部审计机构建立审计中介机构合作项目考核管理规定,由专人对审计项目考核结果进行台账式登记管理,并对考核台账进行定期公示,同时完善复核与监督机制,防止发生多支付审计费用的情况。