企业内部审计外委全过程风险识别与评估

熊也 白建 聂常文

[摘要]“油公司模式”下，油气田企业内部审计外委的需求日益增长，内部审计外委对油气田企业内部管理、质量控制、保密等方面形成潜在风险。全过程风险控制要求企业内部审计人员在审计外委全过程中持续关注风险事件，以现代风险导向审计理念为核心，运用一系列风险识别、评估和分析的方法，防控风险与强化内控。

[关键词]内部审计    业务外委    风险识别    风险评估    油公司模式

“油公司模式”（即“国际石油公司管理和经营模式”）以精简组织架构，压缩管理层级，降低管理成本，提升管理效率为发展导向，要求在提升公司发展质量与发展动力的同时，从数量上降低人力资源配置，促使大量非核心業务快速剥离。本文所指“风险”是在内部审计外委全过程中的某一种不确定事件或状况，如若发生，可能会对公司产生重大负面影响。传统内部审计外委通常具有阶段目标设置不合理、不同业务阶段参与主体责任不明确、外委流程管理不规范、监管防控措施不足、后续跟踪整改不到位等问题，这些问题容易造成委托方对服务商在费用支出、人员匹配、现场资源利用等方面的监管失控，使委托方在审计质量、经济效益、保密等方面产生风险，从而对整个油公司的内控管理带来潜在经营风险。

全过程风险管理基于“油公司模式”下公司内部审计外委业务整个流程框架，根据不同阶段的主要业务环节，确定各阶段的关键工作内容和参与主体责任，同时明确各业务流程之间的原始输入、阶段性输出和内部控制机制，以业务流程和阶段目标为主线，对外委全过程进行风险管理，强调将风险理念贯穿于业务流程始终。西南油气田公司依据业务外包相关指引和准则、公司审计项目管理及审计购买服务实施细则等管理办法，优化内部审计外委业务流程（如图1所示），据此进行风险识别。

一、内部审计外委业务阶段及风险识别

（一）决策阶段

审计部门召开年度会议，对外委内审项目、外委方式、经费预算进行集体决策，并结合被审计单位是否具备现场审计条件来提前确定项目时间安排，形成下一年度外委项目计划和年度费用预算，按流程上报公司管理层审批后执行。

本阶段具体风险包括3类一级风险项和7种二级风险项，如表1所示。

（二）选商阶段

公司审计处采取公开招标方式建立审计服务商备选库，通过总量控制和年度考核来管理备选库规模和质量。审计中心组织备选库的有效成员参与竞争性谈判，服务商按照竞争性谈判文件要求编制响应文件，参与竞争，审计中心派出代表与审计处评审专家组成谈判小组，依据竞争性谈判文件对响应文件进行综合评审并作出评价，推荐成交候选服务商。按照流程，成交候选服务商根据谈判文件确定的合同格式和服务采购要求等事项签订合同，正式建立甲乙方关系。

本阶段具体风险包括3类一级风险项和6种二级风险项，如表2所示。

（三）合同执行阶段

在审前环节，委托方进行质量交底、业务培训和方案审核等工作，服务商审计组开展人员组织、审前调查和方案编制等工作，被审计单位则配合审前调查和资料提供。在实施环节，委托方持续开展质量监督和现场督导管理工作，服务商审计组执行审计方案，被审计单位协调并配合外委审计组相关工作。在验收考核环节，审计中心对服务商审计组提供的审计资料报告进行审理和业绩考评，审计处作为内审管理机构对报告质量履行最终审理程序，并且有权对服务商出具的审计结果委托第三方机构进行评估。

本阶段具体风险包括8类一级风险项和28种二级风险项，如表3所示。

（四）后续跟踪阶段

被审计单位在规定期限内执行审计决定及时整改，并将整改结果及其相关资料、凭证上报，审计处不定期对被审计单位执行决定和意见情况进行跟踪回访。服务商在内部审计实施过程中掌握大量公司内部生产运营等涉密信息，在服务合同结束时，审计中心全面回收所有涉及公司内部信息资料，并监督服务商进行彻底删除。

本阶段具体风险包括3类一级风险项和4种二级风险项，如表4所示。

二、内部审计外委风险度评估

将17类一级风险项和45种二级风险项汇总形成“内部审计外委风险发生可能性和影响程度”调查问卷，邀请委托方、服务商和被审计单位负责人及相关员工对45种二级风险项发生的可能性和影响程度进行评分。风险发生可能性根据工作实际和风险项描述，按照“一般情况下不会发生”（1分）到“常常会发生”（5分）的5分制标准进行评分;风险影响程度从管理、质量、效益、保密、法律法规、纪律和声誉7个方面综合考虑评价（如表5所示）。

风险项发生可能性和影响程度的计算公式如下。

（1）对于二级风险项：

发生概率             发生概率            发生概率              发生概率

影响程度            影响程度             影响程度             影响程度

其中：分别表示委托方、服务商和被审计单位类别权重，三者的和为1;

和分别表示二级风险项ij所对应的委托方、服务商和被审计单位受访者人数;

发生概率和影响程度表示受访者评价分值。

（2）对于一级风险项，采用悲观分析原则：

发生概率（发生概率，发生概率，…）

影响程度（影响程度，影响程度，…）

其中：发生概率Bij和影响程度Bij表示前一步骤中二级风险项ij计算分值。

（3）计算一级风险项风险度：

风险度=发生概率×影响程度

其中发生概率和影响程度表示前一步骤中一级风险项i计算分值。

对于回收的50份问卷评分结果进行数据处理，形成内部审计外委风险度排序图（如图2所示）。基于问卷调查结果，按照不同风险值对应风险等级划分，将17类一级风险项分为7类中风险（不可接受风险）和10类低风险（可接受风险），对7类不可接受风险项有针对性变更工作流程，完善相关管理制度（如表6所示）。

基于后期数据分析和风险度计算，对一级风险项进行排序评估，按照风险等级划分，得到各个阶段的关键风险防控点（10≤R<15，不可接受风险）。主要有7类一级风险点需要重点控制，如图3所示。

建议通过层次分析法科学防范外委业务范围风险A1、采取非完全价格竞争性谈判应对外委服务商竞争风险A5、通过项目经理委派机制防控外委审计过程督导风险A7、通过质量交底业务培训防范审前风险A9、通过日常例行和重大事项报告制度控制实施风险A10、通过质量业绩考评把控完结风险A11、通过回收清单防止信息回收风险A15。

（作者单位：中国石油西南油气田公司天然气经济研究所 中国石油西南油气田公司审计中心 中国石油西南油气田公司，邮政编码：610051，电子邮箱：xiongye@petrochina.com.cn）

主要参考文献

崔嵘，戴毅，许振斌.海上油田全过程风险管理研究[J].工业安全与环保， 2017（3）：17-19

雷建忠.C油田矿区事业部业务外包风险控制研究[D].西安：西安石油大学， 2016

连莹莹.我国集团公司内部审计外包的研究[D].北京：财政部财政科学研究所， 2015

刘帅佳.AQ公司内部审计外包问题研究[D].长春：吉林财经大学， 2017

王子悦.我国企业内部审计外包风险及控制研究[D].南京：南京信息工程大学， 2018