[摘要]本文结合供电企业内部审计工作实际,以传统内部审计程序和方法为基础,引入全面风险管理理念,提出风险导向审计的程序和方法,以促进企业防范风险,提高效益。
[关键词]风险管理;电力工程审计;PDCA;供电企业;方法;效益
开展电力工程风险管理审计,是对电力工程业务的制度、流程、规则以及控制过程进行监督和评价,可真实、客观揭示电力工程管理的风险状况,如实反映电力工程内部控制设计和运行情况,识别工程管理的主要风险点和薄弱环节,提出优化工程内部控制体系的建议,推进工程风险管理控制水平提高。电力工程风险管理审计,是以防范工程风险、提高企业效益为目标,坚持全面性、制衡性及成本效益原则,依据全面风险管理理论和风险控制理论,运用内控矩阵和风险因素分析法,判定风险相关的工程关键环节,选定审计路径,建立风险评价标准,在实践基础上建立完整的基于风险防范的内部控制审计新方法。其目的是强化内部审计作为“第三道防线”在公司核心业务治理中的作用,坚持依法从严治企、强基固本理念,在全面梳理工程业务管理流程、存在风险及关键控制点的基础上,采取在线审计和现场审计相结合的方式,从组织层面、业务层面,着力查纠内部控制的设计、运行缺陷,持续跟踪整改,不断完善控制手段,保障电力工程法律法规、规章制度有效执行,切实防控工程管理风险,不断提升工程风险管理水平。审计重点步骤路线如图1所示。
一、建立审计流程,理清电力工程审计总体思路
电力工程风险管理审计贯穿电力工程管理全部流程,在充分考虑工程治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督的基础上,权衡内部控制实施成本与预期效益,以适当的成本实现有效控制。开展电力工程风险管理审计,应运用审计信息系统和工程管理业务系统开展联网审计,建立基于风险导向的电力工程全过程审计流程。在充分分析工程内部控制的'基础上,审计实施从梳理工程业务管理流程、存在风险以及关键控制点入手,综合平衡“风险—收益”“风险—成本”,站在公司工程内部控制顶层设计层面,围绕风险识别、风险评估、控制活动、信息与沟通、内部监督等五要素开展内部控制设计的适当性评价;利用电力工程专项审计项目和市、县公司电力工程内部控制审计项目,以电力工程业务为核心,开展内部控制风险点有效性测试;并以此分析电力工程控制设计、运行缺陷和缺陷等级,评价电力工程管理内部控制的适当性和有效性,并提出改进的意见和建议,确保工程风险可控、在控,全面提升工程管理水平。
二、梳理风险点和关键控制点,确立电力工程审计目标
1、梳理电力工程业务流程、存在的风险及关键控制点。
一是梳理工程业务末端流程。电力公司通过对工程业务管理流程梳理,在工程内部控制矩阵分析的基础上,权衡风险、收益、成本后,突出对重大决策、重要环节、重点单位、重点资金、重点项目和重大风险的审计,按照工程建设流程开展过程审计,提出过程管控,分级管理,把握重点。
二是梳理存在的风险及审计需要关注的关键控制点。在对工程业务管理末端流程梳理的基础上,梳理出完成这些流程的管理步骤,尤其是对照历年内外部审计发现的问题及其成因,按照“发现问题—工程流程—内控风险”的分析路径,确认这些步骤中的风险点和这些风险中需要重点控制的关键控制点。
2、确立电力工程风险防范审计的目标。
对电力工程业务流程、存在的风险及关键控制点的梳理,是为实现工程内部控制审计的目标服务,即通过梳理,确认工程管理的风险和关键控制点,继而寻找企业对风险管控采取的措施,通过检查管控措施的有效性来评价工程风险防范的有效性,确认、检查工程内部控制有效性,帮助企业找到工程管理的薄弱点,有针对性采取措施对薄弱点强化管控,充分发挥审计监督与服务的职能,合理保障风险管控健康、有效,从而改善工程管理,提高工程管理质量。
三、评估潜在风险,提出相应的审计方式
以资产全寿命周期管理为理念,以工程建设流程为主链,运用风险管理理论策略,依托相关管理政策法规,评估需要重点审计的工程项目和项目阶段。从风险识别、风险评估、风险应对、风险防范和风险监控等方面,评估预测潜在的风险,提出审计方式,如图2所示。每一阶段均以下一阶段为基础,逐级优化阶段成果,阶梯稳步提升,形成自投资立项、计划管理、组织实施到竣工验收四位一体过程的审计运用管控体系,如图3所示。
(一)运用风险导向审计理念,筛选重要项目同步审计
通过访谈、座谈、发放调查问卷和风险评估表等方式,广泛收集公司管理层、管理部门、所属单位和审计人员的意见及对风险的判断结果,建立风险管理模型,进行风险识别和综合分析。根据风险评估因素,分层制定电力工程审计计划。编写风险评估调查表,对工程建设高风险领域进行辨识,通过评估确立相应的审计风险,并结合公司情况以及前期各项工程项目的完成和营运实际,考虑中短期发展计划,动态地不断优化公司工程项目库,并拟定相应项目审计计划,跟踪做出审计评价。
(二)分环节实施项目风险评估,筛选审计工作切入点
在进行风险评估的基础上,应当突出对重大投资决策、重要时间节点、关键控制环节存在重大风险领域的审计,经过梳理形成资产建设全过程管理四个环节的主要内容,并加以评价控制,如表1所示。
(三)采用“PDCA循环”机制,促进审计闭环管理
围绕风险防控管理的目标,按照专业化管理理念,采用“PDCA循环”审计管理机制,形成风险与任务管理、组织与实施、检查与考核、总结与持续改进的审计闭环管理体系。以项目风险评估为基础,综合分析影响工程管理的风险因素,对业务流程中的风险控制点进行分析,确定审计重点,并将审计流程固化到实施方案中。审计实施过程中采用现场审计与在线审计相结合,依托信息系统资源环境,运用ERP业务审计系统及其他业务系统,查询分析工程管理各业务模块、流程节点的数据信息,对重点领域进行实时在线监控,及时发现风险点,对整改结果进行后续落实,形成管理闭环,如图4所示。
1、“PDCA循环”模式,实施风险管理全面监控。
“PDCA循环”四个阶段不是孤立存在的,而是紧密联系、相辅相成,且每一阶段中都再包含微小的PDCA循环。工程审计质量管理中,“PDCA循环”既可以在具体实施过程中开展,又可以在整个项目系统中开展,从而实现全面动态的质量管理。审计人员针对在线审计发现的各项风险,与相关部门形成研讨机制,及时提出审计意见,对整改落实情况进行后续检查,提高审计整改验收监督效果。同时提升审计人员业务水平,及时学习最新的政策和信息,准确查找异常问题;开展审计项目风险管理专业培训,选取典型案例、典型分析方法进行剖析,提高工作质量,形成闭环后的螺旋式提升。
2、在线审计。
建立“一月一主题”审计形式,对公司项目风险管理实时发现问题按照“点、线、面”系列审计方法,评估风险等级,将风险等级高的问题与业务部门形成课题化机制,将相似的一类问题一并整改,最大程度消除公司工程风险管理的隐患,实现风险管理审计整改有效闭环。
3、现场审计。
为客观反映工程项目风险管理现状,应明确现场审计目标,突出重点,针对发生风险的可能性、必然性、变动性和不确定性,制定项目风险管理审计评价内容,落实关键点的审计监督,及时发现存在问题并采取有效措施予以解决,实施分层规范管理,切实提高企业依法经营的能力。对确定的建设过程关键点进行现场监督,应分为自检、专业检查和审计抽检三个层面执行。每到关键点,首先由施工单位自行检查,即结合工程签证或隐蔽工程记录单进行全部检查,并形成自检结果表;其次由工程监理和公司专业部室负责第二层面的专业检查,审定工作记录单的真实性和准确性,提出专业意见;最后由内部审计部门负责抽检,主要审查工程现场与图纸是否一致。
(四)以评价改进为保障,提高公司依法治企水平
立足评价、反馈、改进,不断推进风险评估工作的持续提升。明确工程项目根据四个不同阶段划分风险级别,确定风险等级与项目管理的对应关系,从风险控制的规范性、风险评级、风险征兆、潜在损失等方面全面查找、系统分析公司工程项目风险和管理薄弱环节,进行风险预警,提出应对措施和解决方案,督促各单位整改完善。通过定期督办和后续审计,促使审计成果得到有效运用。此外,总结提炼审计经验,编写审计操作手册,汇总分析审计揭示的风险,形成工程管理风险案例库,进一步指导审计实践。