中国电信福建公司审计中心

梁洪传 郑思民

一、引言

当今世界正经历百年未有之大变局，我们面临的风险挑战之严峻前所未有，作为世界500强的中国电信企业，如何发挥好内部审计作用，应对内外部风险挑战，值得深入探索。
二、新形势下内部审计要求
（一）内外部环境对企业防范风险的要求
一是国际形势倒逼企业提升风险防控能力。国际局势发生深刻的变化,美国悍然发动对华贸易战，给电信业带来较大的消极影响，我们既要打好防范和抵御风险的有备之战，也要打好化险为夷、转危为安的战略主动战。二是国内形势要求企业提升风险防控能力。我国仍然处于重要战略机遇期，发展不平衡、不充分，创新能力不适应高质量发展等，给国内企业带来重重风险，我们要增强风险意识，准确识变、科学应变、主动求变，进一步提升防范化解重大风险能力。
（二）审计内业对审计防范风险的要求
一是国际内部审计定义，其主要职能是审计确认和咨询，目标是控制公司经营风险、增加公司价值，因此，内部审计需不断提升防范风险能力。二是国内新实施的《内部审计工作规定》拓展了内部审计职责范围，增加了内部控制与风险管理，突出了内部审计在风险管理方面的职能作用，因此，防范风险是内部审计工作的重中之重，内部审计需要建立风险管控体系。
（三）国家对内部审计风险防范的要求
2022年全国审计工作会明确要求，审计要提前揭示不良苗头和有害倾向，把重大风险隐患解决在萌芽状态，这是审计最大的“稳”；各级审计机关要围绕防范化解重大风险问题开展各项审计，及时反映影响经济安全的苗头性、倾向性、普遍性问题。
作为国际型中国电信企业，内部审计如何应对以上环境变化、繁杂风险和国家管理要求，我们深入探索和尝试审计风险防控体系的创建，并以此为导向构建审计作业标准，以解决内部审计快速、准确识别风险，锁定重点，适时介入，系统解决问题等实践活动。
三、构建风险防控体系的探索
认清形势才能把握未来，当前企业内外部面临深刻而复杂的形势变化，迫切需要对现有的发展模式、组织方式、控制手段进行必要的调整。内部审计是公司风险管理的第三道防线，也应顺应企业的调整而调整，充分发挥内部审计在风险管理方面的优势和作用。
（一）审计风险防控体系框架
既往审计往往因审计领域覆盖不全、审计聚焦风险不强，导致审计结果参差不齐、审计发现的问题屡查屡犯等，难以充分发挥内部审计的“监督与评价”职能，无法达到预期审计目标。为此，电信公司内部审计系统创建了风险防控体系，以解决上述审计瓶颈。总体框架如下图：
图片

（风险防控体系图）

该防控体系是审计标准化、信息化、规范化的重要基础。其目的是：一企业风险汇编，对当前企业主要风险的全面梳理、提炼和集合，包括风险描述、查证方法、涉及数据等；二作为审计人员的工具书，方便按照流程内容、风险事项等维度快速找到审计方法和过往案例；三管理层速查手册，能为管理层迅速找到所需区域、领域的风险地图；四风险案例仓库，记录风险形成和变化的过程、产生领域和地域、表现形式等基本形态、应对情况等。
（二）审计风险防控体系内涵
电信审计风险防控体系内涵是企业风险防范的第三道防线，是企业风险防范的重要组成部分。
1.审计风险管控重要工具。从审计视角出发，通过收集、梳理过往审计发现的风险、管理层关注的重点，以及审计人员对风险变化的认识与判断，构建审计风险防控体系，解决内部审计识别、监控风险，锁定重点，适时介入的风险管控工具。
2.实施风险防范闭环管理。审计风险体系分三个层面，首先建立标准的风险描述语言，形成风险库，即语言层；其次对现有风险的识别和管控（扫描、预警），即应用层；再是对风险进行整改、预防，最后对剩余风险进行再评估再处置，即应对层。三个层面即可独立工作，又可相互支撑，形成对风险的闭环管理。
图片

（总体架构图）

3.涵盖全面风险及管控。电信审计风险防控体系是企业内部关键风险及其属性的集合，采用业务条线、管理层级等结构化分类法对其进行描述和管理。用于公司内部风险识别、应对、监控、汇报等风险管理活动。由风险库、风险识别与管理、风险处置三部分构成。
3.1风险库：审计风险库位于审计风险体系中的语言层，全面涵盖公司收入保障、成本费用等十二大领域，细分四级风险结构描述，并叠加了风险点的关注重点、检查方法、涉及模型和内控流程等十七项属性。
图片

（风险库结构表）

图片

（风险库内容表）

3.2风险识别与管控：即风险扫描与预警。根据企业风险状况设定风险指标及阀值；在建立审计数据集市的基础上，利用信息化手段实时监控风险指标变动情况，对超过阀值的指标及时告警并跟踪消除情况；风险扫描亦可作为审计项目的支撑。细分类别，并自下而上收敛数据，自上而下逐层穿透，直至问题清单，如福建省的工程风险管控、预警平台。
3.3风险处置：风险处置是制定并实施控制风险的计划，确定降低风险发生的可能性并减少其不良影响所进行的处置。处置方法包括：风险回避（整改消除）、转移（补偿控制）、减少（整改降低）、接受（容忍）。本次审计风险体系的建立就是减少风险的最佳实践。
（三）风险防控体系服务
电信审计风险防控体系是基于涵盖现行业务风险的分类、汇总集合；提供风险识别、分析及风险处置方案和标准；为审计项目流程标准化和实施内容规范化的实现提供支撑；提供各类审计数据获取、存储、应用的规范需求及数据统计，推进审计信息化。以服务于审计管理，支撑审计项目，提升审计质量，防控企业各类风险。
1．风险收集、识别、统计分析。收集之前审计项目实施情况、访谈记录、日常监控信息，通过预警、扫描、项目现场检查达到统计分析前N大风险点、高风险区域、高风险领域、个性化风险分析结果、风险轮廓。
图片

（风险作业图）

2．风险管控与处置。通过分析部门/业务单位的潜在风险，分析具体管理/业务流程，查找流程内部、流程与流程之间的潜在风险及其原因，进而识别公司层面整体风险；其次通过对重大风险进行不同层级的扫描、预警，对告警及异常波动的事项进行派单询问，进行风险处置。并建立风险处置跟踪台帐，实施动态跟踪。
图片

（风险处置表）

3．其它。如风险分类、数据挖掘、推进审计信息化等功能，在此不再展开。
通过电信审计风险防控体系的构建，有效管控企业各类风险，从而，推进内部审计转型，实现内部审计运用系统化、规范化的方法，实施全面审计的确认和咨询活动，因此，创建审计风险防控体系是内部审计有效防范和科学管控企业内部风险的最佳途径。
四、风险防控体系的应用与实践
有了审计风险防控体系，如何有效应用到具体审计项目，真正发挥其防控作用，我们创建了“以风险防控为导向的内部审计作业标准”。即运用风险库的风险框架、标准规范、程序方法、分析模型等，将风险导向贯穿于整个审计工作过程，以增强审计计划的针对性，提高项目实施的质量与效率，提升审计成果运用的层次和效果。
（一）审计作业标准化创建意义
内部审计为何而审？审什么？何时审？怎样审？结果如何用？这一系统问题怎样管理？需要一个准绳来解决，需要一系列标准来衡量。这个准绳就是风险的防范，即内部审计的根本；这个标准就是内部审计作业标准。风险防范是通过审计项目的实施而落实，审计项目的有效实施是通过标准化审计作业来保证，因此，内部审计作业标准化是落实风险防控的有效保障。
（二）审计作业标准化主要内容
1.统一内部审计流程。涵盖自审计立项、方案制定、审前调查、非现场审计、审前辅导、现场实施、审计报告至后续整改跟踪、全面评价等全过程闭环管理。
1.1审计方案：通过上述建成的风险防控体系，全面识别，并甄选出公司内部重要、高风险领域，剖析关键风险控制点，组合、确定审计方案。
1.2审计实施：借助风险防控体系的风险表现描述和检查方法，快速以查找问题为切入点，对问题追本溯源，分析成因、确定责任；商议整改建议、确定举一反三自查自纠。
1.3跟踪整改：被审计单位根据审计建议开展自查、整改；审计组跟踪、辅导被审计单位完成整改和自查情况。
1.4全面评价：一是审计组非现场评估或现场检查被审计单位整改及自查情况；二是审计组根据总体情况，确定被审计单位的总体风险水平；三是完成评价工作。
2.构建审计操作指引。审计项目立项后，往往苦于不知从何入手“巧妇难为无米之炊”，建立完备、标准化的内部审计文书及相关资料、数据表格是开展内部审计工作的根基――“厉兵秣马，战前必备”，即操作指引。如我们构建了《内控独立评估作业标准》：
2.1审前准备阶段：明确项目负责人，组建审计组，确立审计目标、任务与进度，明确人员分工，审计通知及审前调查、数据取数，非现场审计分析、测试，审计疑点汇总。
2.2现场实施阶段：“养兵千日，用兵一时”。一是结合风险库，使用标准的访谈记录、内控独评测试记录、IT一般控制穿行测试记录、底稿、问题汇总表，有效促进并改善审计组长对审计过程的精确化管控，做到“三个统一、一个提升”：即统一审计查证方式、统一审计查证样本、统一审计语言，提升内控评估质量。二是通过编制内部控制缺陷及改进建议汇总表、风险事项对应IT一般控制缺陷环节映射表，对问题产生成因进行追根溯源，分类汇总，确保管理建议科学合理，从而有效促进整改。
2.3阶段报告：审计实施后通过汇总梳理审计结果，出具阶段评估报告。通过深度剖析内部控制缺陷原因，提出科学、合理的审计建议，并明确整改责任部门、整改责任人、整改具体实施计划、各整改计划的完成时限等要求。
2.4整改跟踪阶段：一是自查追责，被审计单位提出整改方案，举一反三自查整改，同时明确责任追究涉及事项、控制环节及责任部门。二是跟踪辅导，审计组跟踪、辅导被审计单位保质保量完成自查整改工作。三是检查整改，对整改质量进行评估，必要时进行现场检查；对问题进行整改销号。五是结果核实，跟踪核实被审计单位的整改效果，针对整改不达标的问题点，分析原因，提出对策，推动整改。
图片

（内部缺陷整改跟踪情况表）

2.5全面评价阶段：一是设计风险管控成效评价表，对被评估单位进行综合打分评价，并进行年度纵向比对及同类省份间横向比对。二是设计独评项目质量评价表，对独评项目质量进行打分，并分优秀、良好、中等、较差四个等级进行评价。
（三）审计作业标准化应用效果
内部审计作业标准已全面应用到电信审计项目，并固化于审计管理系统，对审计项目管理、审计质量、效率发挥了积极作用，取得显著效果，得到被审计单位和公司管理层的好评和充分肯定，如某审计项目被审计单位反馈意见“审计结论客观，问题定性恰当”，某公司管理层肯定：“审计发现问题不仅多，甚至在一定层面上较为突出，有些是经营单位领导尚未关注到的事…，各单位要注意跟踪发现问题的整改，巩固审计成效…”。
1. 标准化作业，有效提升审计质量。通过标准化作业，一是为审计人员腾出更多精力，深入查证，对内控缺陷追本溯源；二是便于把控过程质量，标准化编制测试记录、底稿，便于主审掌控审计质量；三是利于有针对性、可操作性提出整改建议，共同剖析成因；四是对项目组多维度打分和评价，促使项目组充分重视、提升审计质量。
2.双“字典”，推进效率提升。一是“风险识别字典”，为审计项目快速锁定风险领域，形成方案，为审计人员迅速应用风险库中的查证方法、路径、依据查摆问题。二是“业务操作字典”，主审人员无需设计调查表格，无需绞尽脑汁去挖掘审计方向，重复制定审计方案，无需重新设计报告架构；三是清晰的风险视图和审计操作指引，填空式的标准测试记录及审计底稿，把“拿来主义”发挥得淋漓尽致，为审计新兵提供全方位视角，规范、标准化的审计作业“字典”，无需太多的培训，就能快速投入审计，从而，提升审计效率。
3.多维评价，促进加强风险防范。应用风险的循环控制机制和内部审计作业标准的“风险管控成效评价”，对被审单位的风险防范管理情况进行总体评价。一是对内控能力评价，从风险程度、自检能力、缺陷发现能力、缺陷整改能力、整改成效等五维度进行综合打分，并进行年度纵向比对、同类横向分析；二是对审计项目开展质量评价，从方案选择、项目执行、测试记录的编制、底稿编制、成因分析等五维度进行打分；三是对被审计单位出具全面评价报告；四是剩余风险管理，重大缺陷或典型案例收集到风险库，作为下期评价内容的依据，将剩余风险纳入下一年度审计范围，以实施风险闭环管理；五是执行问责，将评分结果纳入企业领导人绩效考核体系，对部分问题点设定风险阀值，对超过风险阀值分管领导及相关责任部门进行问责。从而，促进各管理层重视加强风险防范工作。
图片

（全面评价视图）

通过系统梳理、健全内部审计作业标准，实施标准化作业，统一规范审计文档及质量要求，能高效实现内部审计价值、防范风险。因此，健全内部审计作业标准是保障风险防范和实现内部审计目标的最优手段。
五、结束语

近年来，电信公司通过创建、应用审计风险管控体系和内部审计作业标准，已有效解决内部审计快速识别和监控风险，规范审计流程和审计作业标准，有效落实审计发现问题的整改，降低公司风险，促进内部审计价值的不断提升，也证明了风险防控是内部审计的根本，构建风险防控体系是科学管理风险的有效途径，健全内部审计作业标准是高效实现审计价值、防范风险的有效保障。

来源：2022年度福建省内部审计理论研讨一等奖优秀论文