白喜泉
[摘要]本文結合煤矿企业内审工作实践,对内部审计运用风险提示卡的工作模式进行探索,并总结其运用效果,旨在充分发挥内部审计第三道防线的监督作用,提升企业整体风险防控意识。
[关键词]风险源辨识 风险防控 风险提示卡 后续审计
一、内部审计风险提示卡的工作模式
(一)风险源的辨识及提取
风险源辨识就是对未来可能发生风险原因的一种预测,预测越准确,对于风险管理所起的作用就越大。只有把相关风险因素辨识出来,才能进入风险评估阶段及后续防控阶段。进行风险源辨识,首先要在尊重科学和负责的前提下,充分应用风险分析与关键控制点、现实情景分析、人因可靠性分析,最大限度地把可能存在的各类风险因素都辨识出来;其次对风险程度预期高且外部监管风险高的问题,纳入“内部审计风险提示(通知)卡”的管理范畴。
(二)风险评估与风险分级
风险评估就是在基于对风险因素(风险源)后果严重程度与发生可能性分析判断的基础上作出评估,即风险=风险因素引发损失的可能性×引发损失的严重程度。在风险评估环节,为谨防“朗福德陷阱”,要在坚持全面风险防控的同时突出重点,即在对可能导致重特大损失的风险因素进行评估时,应格外小心、警惕,采取不同等级的风险防控。通过对辨识出的风险因素进行评估,按风险程度及防范难度分为高、中、低三个层级,进行分级管理,达到有效防控风险的目的。各级组织、各职能部门应根据各自岗位履行相应的风险防控职责,做到分级管理。由于决策层、管理层与操作层所处的地位与分工不同,掌握的资源各异,在对风险进行分级管理时履行的职责、发挥的作用也各不相同。“内部审计风险提示(通知)卡”工作模式的准入标准是不进入正式审计报告,但必须要无条件严格控制风险程度高且外部监管风险高的风险因素(风险源);分级标准则依据风险防控过程中决策层、管理层与操作层所起作用的大小,对所属单位及部门风险问题进行三级管理。
一是将风险单位管理层与操作层落实控制的风险问题设定为三级问题(见表1),采用“内部审计风险提示(通知)卡”,送达问题单位或部门的主要领导。
二是将上级管理机构管理层干预方可控制的风险问题设定为二级问题(见表2),升级采用“内部审计风险提示(通知)卡——内审重大事项报告单”,呈报至上级管理机构的总会计师、总经理、董事长、党组织。
三是将需要上级管理机构决策层推动解决的问题设定为一级问题,再升级为董事会对内部审计重大风险事项的议案。
(三)风险提示卡的传递路径及管理
对内部审计揭示的二级、三级风险问题,按风险级次管理要求送达或呈报“内部审计风险提示(通知)卡”后,由审计部门专项督促风险防控建议措施的落实。对内部审计揭示的一级风险问题,首先将“内部审计风险提示(通知)卡”报送董事会秘书处;其次由审计部门与董事会秘书处共同督促,直至形成董事会议案,经董事会会议形成董事会决议后,由审计部门专项督促风险防控建议措施的落实。
风险管理的最终目的是使日常生产经营活动中需要防控的风险因素得以有效控制,从而避免经营风险的发生。“内部审计风险提示(通知)卡”在风险防控方面坚持分级防控、动态防控和闭环控制三原则。风险问题及风险提示(通知)卡三级分类过程体现的就是分级防控;后续跟踪审计体现的是动态防控;风险源识别、风险纳入“内部审计风险提示(通知)卡”管理、后续跟踪审计、追责等全流程体现的是闭环控制。在风险管理活动中,有的企业只是为了满足体系审核的要求,进行风险因素的辨识,形成风险因素辨识清单,就不了了之;有的企业进一步进行风险评估,形成内部审计正式报告,且提出风险防控建议措施,但停留在纸面并未有效落实,使风险管理工作失去应有之义。而我们创新的“内部审计风险提示(通知)卡”在PDCA闭环管理工作模式基础上,按照定问题、定措施、定经办人、定责任人、定时间的“五定五落实”原则,结合实际建立了内审风险管理台账(见表3),进行专项管理,并明确后续跟踪审计的时间以及不按要求实施风险控制应承担的追责责任。
(四)案例说明
2018年1月对所属贸易子公司进行内部审计时,经过关键控制点、人因可靠性分析后,认为H公司向民营企业预付货款存在风险,且风险程度较高,因是按合同预付货款,确定为三级风险问题,并提取纳入“内部审计风险提示(通知)卡”管理,于2018年2月26日编制送达编号为002的“H公司内部审计风险提示(通知)卡”。具体内容包括:(1)风险内容——H贸易公司向民营企业预付货款。(2)发现时径——2018年1月22日至26日,按集团要求例行审计时发现。(3)风险描述——2017年,H贸易公司按合同约定向民营企业预付3笔货款计1200万元,货权转移手续在预付款支付后办理,存在风险。(4)防范建议——建议H贸易公司在以后贸易业务过程中严禁在未取得实质性货权情况下预付货款,即使有特殊原因要在未取得实质性货权情况下预付货款,也必须在采取保全措施后支付。(5)后续审计——拟于2018年7月对此风险提示内容进行后续审计。
2018年7月29日至8月1日,H公司审计部对此进行后续跟踪审计。经核实,公司2018年前半年对民营企业的17笔预付款资金总额3173.27万元,均是以货物到港到站且取得货权转移证明后按合同约定支付的。2019年1月审计再复核发现,H公司2018年共向民营企业预付货款66笔、金额10,314万元,均按“H公司内部审计风险提示(通知)卡”风险防控建议预付,所有对民营企业的预付款项未发生风险。
二、风险提示卡的运用效果及展望
风险管理之所以能够做到事前预防,就是因为通过风险管理发现风险因素并采取相应措施对其进行控制。2018年针对预付款项管理、合同管理、现金使用管理,对4家单位出具了5份三级内部审计风险提示(通知)卡,1份二级内部审计风险提示(通知)卡,涉及金额过亿元。接到“内部审计风险提示(通知)卡”的单位或部门均按要求制定了整改防范措施,取得了预期效果,有效防止了风险的发生。针对所属某子公司注册资本金到位不及时的问题,呈报二级内部审计风险提示(通知)卡——内审重大事项报告单,在报告递交两个月内一次性补足了所属子公司注册资本金。“内部审计风险提示(通知)卡”的实行,既使风险问题在要求时间内得以100%有效控制,又避免了外部监管风险对企业可能造成的压力和影响,得到各级管理人员的一致认同。2018年、2019年仅在公司直属单位和所属国有股份制子公司进行试行,2020年拟推广至混合所有制资源整合子公司。这种既有风险分析,又有风险对策,还有后续跟踪审计及责任追究的灵活、便捷、注重实效的卡单式“盯点”风险防控工作模式,促进了企业整体风险防控意识的提升,同时助力内部审计在为组织防范外部监管风险、降低自身审计风险中更好地发挥作用。
(作者单位:华晋焦煤有限责任公司,邮政编码:033000,电子邮箱:baixiquan651113@163.com)