大型国有企业内部审计风险信息库构建的研究.docVIP

大型国有企业内部审计风险信息库构建的研究 　　摘 要：本文基于财政部发布的内部控制指引，在企业控制活动和审计风险点基础上，构建“一对一”、“一对多”或“多对一” 的风险控制矩阵模型。利用模型反映内部控制、控制活动和审计风险三者对应关系，构建风险信息库，综合利用审计信息，防范审计风险，为风险导向审计提供依据，并可提高企业经营管理水平。 　　关键词：国有企业；内部审计；风险信息库 　　国有企业内部审计在查处经营管理中的违法违规问题，改善经营环境，提高决策效率方面发挥了重大的作用，但是由于管理跨度过大，信息综合利用程度不高等原因，内部审计发现的问题往往停留在被审计单位，而没有借鉴到集团公司全范围，这就严重影响了内部审计作用的发挥。因此，在大型国有企业集团内部建立一个内部审计风险共享信息库就显得尤为重要。 　　2008年财政部等5部委联合发布了《企业内部控制基本规范》，并于2009年率先在上市公司施行，鼓励非上市的其他大中型企业执行。随后，陆续发布了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》，形成较完整的内部控制体系。这是我国借鉴COSO风险管理框架，并考虑我国国情和经济发展情况进行的“本土化”改造，对于改善企业内部管控水平，提高经营效率具有重大意义。 　　一、传统内部审计在信息利用上存在的主要问题 　　由于国有大型企业系统内部大部分实行多级管理，各子公司独立开展的内部审计实行独立统计、分析、利用，形成一个个信息孤岛，没有形成信息共享，具体表现在以下几个方面： 　　1.内部审计的整合功能不明显 　　内部审计工作没有将内部控制与业务流程、控制活动与公司规章制度，以及审计单位、被审计单位、各职能部门整合起来，利用审计信息形成互动管理平台，审计活动多维度、多角度对公司经营管理的透视结果没有得到体现，导致审计成果的转化和运用效率低下，与公司建立的审计整改机制不相适应。 　　2.信息共享机制建设落后 　　在内审工作重个体积累、轻交流共享的现象较普遍。审计任务分到各人手上后，同事之间很少与他人交流，有的花费大量时间和精力收集同事已有的信息资料，做着重复的劳动，不能共享已掌握的审计信息资源，影响到审计的效率及工作质量。在审计结果的报告方式上，主要以向上级机关报送为主，一般只局限于审计单位内部成为内部参阅资料，其他人员接触不到审计信息，以至同类问题其他单位或个人还会重复发生。 　　3.审计信息综合挖掘不够 　　在一个审计项目的过程中，会形成大量有价值的信息资料，目前主要表现为审计报告、审计建议书等审计文书形式，有的企业内审部门将审计资料形成审计档案后却被束之高阁，许多有价值的信息未得到充分挖掘。审计取得的“纸质”资料没有转化为“电子化”数据，不利以后开展审计工作时对信息的采集、检索和利用。 　　二、国有大型企业内部审计风险信息库的构建 　　本文在财政部内部控制规范指引下，从公司内部审计角度，通过具体的审计活动，在流程制度上揭示存在的问题，建立公司典型风险信息库，为识别风险，进而为控制风险、管理风险提供依据。 　　（一）内部控制风险矩阵模型原理 　　《企业内部控制应用指引》从组织构架、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务等18个方面对企业内部控制进行了规范。对于一个管理制度较完善的大型国有企业来说，公司都制定了一系列规章制度，这些规章制度和财政部等部委发布的内部控制指引存在基本对应关系，如企业制定的采购制度、研究开发制度、工程建设管理制度等，分别和内部控制应用指引第7号—采购业务，第10号—研究与开发、第11号—工程项目相对应。 　　（二）内部控制风险矩阵构建 　　内部审计发现的问题基本都可以归入应用指引18个方面，并且可溯及具体违反了公司哪条或哪几条规章制度，这样将财政部指引、公司规章制度通过审计风险点进行了串接，形成“一对一”、“一对多”或“多对一”的对应关系。（如图1所示） 　　（三）以工程项目为例说明内部审计风险信息库的构建 　　国有大型企业工程投资巨大，既有小型投资，也有大型基建投资等，做好工程项目管理对于节约国家资源，盘活企业资金，实现经济和社会双重效益都有重要意义。 　　工程项目建设过程主要包括项目立项、招投标管理、合同确定、工程施工、工程变更、工程结算等几个主要步骤。各个阶段都存在许多风险点，这些风险点和企业内控指引第11号—工程项目以及公司工程管理制度存在对应关系。（如图2） 　　公司审计过程中，无论是何种类型的审计，对发现的每一错误或风险点，都需要对其描述，并且要对应到内部控制和控制活动，这就需要审计人员运用职业判断，对于公司新增风险类型，应根据风险类型管理权限，由总公司审计部门核定。 　　三、简历内部控制风险信息库的重要意义