前言:寻找写作灵感?中文期刊网用心挑选的电网企业风险内部审计信息化综述,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
一、风险导向内部审计
实践流程设计风险导向内部审计信息化的应用并不是意味着将风险导向的理念全部应用到审计信息化工作中,根据目前国内较早应用风险导向内部审计信息化企业的探索经验及电网企业的实际情况,只能是将风险导向理念引入审计业务中,部分业务采用信息化方式实现,因此设计理念采用手工业务流程和信息化相结合的方式实现。
1、风险导向内部审计工作流程
1)内部审计规划制定。
收集较为全面的风险评估信息,梳理风险,从可能性和影响程度2个维度进行评估,识别出重要业务单位和重要业务流程,编制风险图谱,对未来几年内审计进行部署,同时制定审计策略,做出对内部审计所需资源的部署,制定相应的职责定位和业务范围,由审计小组人员共同探讨决定,根据业务发展变更规划,不定期进行。电网企业通过开发风险管理信息系统,在信息系统中设置风险管理信息库,通过信息库的信息实现系统自动统计分析,自动评估风险,识别重要业务流程,并在系统中通过风险图谱形象地展示风险分布。
2)年度审计计划编制。
一般在12月份左右编制下年度审计计划,由审计小组牵头,所属单位审计或财务主管人员参与,流程如下。①确定审计项目类别并量化风险,根据风险值为风险进行排序,最后起草年度审计计划。其中量化风险包括建立风险因素标准分值体系,确定重要性系数,为风险因素打分,该部分工作可在风险管理信息系统中实现。②确定审计项目类别。通过和公司高层访谈征求意见,对机关领导和下属单位各职能部门下发调研问卷,收集审计人员意见形成审计项目计划建议方案,对审计项目进行分类列示。在对各项进行风险评估时,对领导、机关人员、审计人员赋予不同权重分值,根据最后合计分值计算出各项目的排序,由此确定年度审计项目计划的类别。该项工作需要手工完成,然后录入风险管理信息系统。③量化风险。识别出主要风险后,分析风险成因,将风险转化为可测量的具体风险因素,对各因素赋予不同的数值,说明其重要性;对各个因素的风险大小通过“高、中、低”进行反映,通过公式“因素风险值=风险因素标准分×重要性系数”为风险因素打分,设置“风险因素标准评分体系”及“重要性系数评分参考表”对其赋予量化分值,该项工作可在风险管理信息系统中实现。④根据风险值对风险进行排序。根据量化风险中计算的风险值对审计项目排序,将审计项目按总风险值高低汇总排序,作为审计计划阶段的风险评估工作结果。⑤起草年度审计计划。根据风险排序可知高风险审计项目,考虑人力资源和审计费用等因素,根据该信息制定年度审计计划,可以在信息系统中进行审计计划流程设置并收集相关资料。
3)具体审计项目实施
审前准备阶段、现场实施阶段、终结审计阶段和后续审计阶段。①审前准备阶段侧重对审计对象的风险评估,审计方案的编写应以审前调查结果为依据,方案中列明具体审计要点对应的企业目标、风险、控制措施,抽取样本量的大小应以风险评估结果为依据,高风险审计要点应抽取高比例的样本,低风险审计要点应抽取低比例的样本,根据“风险=可能性×影响程度”对项目风险进行评估,该项工作可在风险管理信息系统中实现。②现场实施阶段根据评估结果重点审计风险大的审计要点,并根据新增信息调整风险评估结果,优化审计步骤,修正审前阶段风险评估的误差,形成工作记录和工作底稿,该项工作为手工完成,录入风险管理信息系统。③终结审计阶段主要提交审计报告,体现风险管理效果的评价结论和建议,可在风险管理信息系统中实现,具体内容见表1所列。④后续审计阶段对审计出的问题进行继续跟踪审计,达到整改目标为止。可将实施信息在风险管理信息系统中进行填写,以便完成后续工作。
4)流程再造。
在对上述业务进行实践的基础上,如果发现某些环节出现了问题或者已经完全不适合审计的需要,可以对流程进行重新设计。形成新的审计流程图和审计结构的调整,该项工作可以随时进行,由地市审计部门组织,由各审计人员根据实际审计中发现的问题出具书面申请,经小组评估通过后进行。该项工作可以在信息系统中参考以前工作流程的资料进行判断,将流程再造的意见输入风险管理信息系统并提交。
2、保证流程正常运行的专业管理与控制
1)绩效考核制度:采用平衡计分卡对财务、客户、内部流程、员工学习和成长进行绩效管理,占员工奖金考核比重为+5%或-5%。
2)考核的具体指标:指标具体设置编制为指标体系,根据业务发展不断完善。
3)重大风险事项信息化管理措施:借助已有的信息化平台,尤其是ERP审计系统,可以链接信息化重要业务内容,实现原始数据的直接穿透,对常见的审计问题及重大风险事项进行文档归集管理,在该系统中及时查阅相关数据信息,出现异常及时处理,实现对重大风险的实时监控。
二、电网企业风险导向内部审计信息化建设展望
1、全员参与审计规划制定为了实现全面风险管理的思想,未来将审计规划拓展到更为广阔的领域,参与制定规划的机构也要随之不断完善,参与人数也要涉及业务的各个领域,使得规划制定更务实、有效,在信息系统中设置不同权限实现全员参与管理。
2、在信息系统中引进更科学的风险评估方法风险评估一直是风险管理的重点和难点,未来要加强风险评估的专业化研究,随着风险导向内部审计范围的不断扩大,风险评估手段要引进更多的分析方法,尤其是定量评估,如流程图法、风险指标法、敏感度分析法、情景分析法等,并对不同方式适合的业务类型进行细化管理。
3、建立风险评估信息数据库风险的评估主要是依靠信息资料,信息资料越充分,评估就越准确。风险评估内容包括风险测试、风险识别、风险评价、风险控制、风险报告等。未来所有业务数据可以通过风险管理信息系统实现集成,在系统中实现风险评估内容的自动生成,将目前电网企业信息系统所有信息自动链接,对行业指标设定阈值,如果超过阈值,系统自动报警,实现风险的自动化预警,比人工发现问题更及时,而且设定报警期限,如1天、1周或1个月,系统在设置的时间内,自动进行测试,并可出具相关风险信息的报告,详细反映该问题。
4、根据业务流程在信息系统中发现风险点在流程中发现风险是目前更为科学的风险管理方式,比单纯依靠财务资料、以往审计资料等渠道更为直接,更接近业务实际。目前电网企业信息系统已有业务流程管理功能,可根据目前业务流程进行功能升级,提高根据业务流程的各个控制点发现风险的能力。
5、在信息系统中引进数学模型对抽样进行科学分析设n为样本量,c为置信水平系数,S为标准差,L为可容忍误差,则:n=c2S2/L2(1)属性抽样审计法服从二项分布的原则,近似服从正态分布,在计算抽取数量多少时,置信水平越高,抽取的数量越多,可容忍误差越小,月底抽取的数量越多,可以实现高风险高抽取数量的科学预测,该方法在电网企业审计项目有相似模型可以参考。
三、结语
风险导向内部审计是国际审计未来的发展方向,在我国目前属于起步阶段,本文对该管理方式如何在电网信息系统中应用进行了探讨,并对未来发展提出了建议,对推动电网企业审计工作信息化引入风险管理理念,实现审计工作创新有一定的积极意义。
作者:赵东来 单位:中国电力科学研究院
