基于全面風險管理的企業內部控制審計模式煙草商業企業的應用

摘 要：介紹基于全面風險管理的企業內部控制審計模式在株洲市煙草公司的實踐與應用，梳理風險導向內部控制審計的基礎體系和實現路徑，為探索風險導向內部控制審計在煙草商業企業的具體應用提供一定的參考與經驗。

關鍵詞：風險導向 內控審計 應用研究

2013年，中國內部控制協會發布了《中國內部審計準則》和《內部審計具體準則—內部控制》，國內越來越多的行業和企業開始探索和實踐風險導向的內部控制審計，并且取得了一定的成果。但是，從應用層面來看存在著企業風險管理與內部控制審計脫節等問題。基于全面風險管理的企業內部控制審計的實踐路徑還需進一步探究。當前煙草商業面臨著企業規模變化、庫存和成本上升、市場形勢日趨復雜，行業管理和煙草專賣政策時刻接受市場經濟大環境的考驗，潛在風險不斷增加。特別是在法律方面、政策方面和煙草生產、流通方面存在較大的風險。因此，加強企業內部控制，規范企業管理，防范企業風險，成為煙草商業企業維護煙草專賣政策、保持行業長遠發展的關鍵。而結合風險管理、創新內部審計模式，建立基于全面風險管理的企業內部控制審計是保障企業依法經理、規范管理、健康發展的重要手段。在此背景下，株洲煙草公司開展了基于全面風險管理的企業內部控制審計模式的探索和實踐。

一、通過風險評估耦合，實施雙輪驅動，帶動企業風險管理能力的提升

全面風險管理是通過在企業管理的各個環節和經營過程中執行風險識別、風險評估、風險應對等基本流程，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證。企業風險導向內部控制審計是在企業全面風險評估的基礎上，確定審計重點領域和重點內容，通過審計項目風險的動態評估，開展內部控制審計活動，從風險管理和內控完善的角度，提出審計建議。由于風險評估既是全面風險管理的核心內容，也是風險導向審計的基礎，因此，通過風險評估耦合作用，將全面風險管理與內部控制審計相互聯動，形成環環相扣、相互支撐、相互作用的統一體。同時，通過全面風險管理和內部控制審計雙輪驅動，有力帶動企業風險管理能力的提升。一方面，通過建立基于信息化平臺的全面風險管理體系，實現對企業的風險收集、風險識別、風險評估和風險應對的落地，并將風險的監督與檢查滲入到風險管理的全過程，有效控制企業風險，帶動企業風險管理水平的提升。另一方面，通過內部控制審計，將審計項目的風險評估貫穿于內部控制審計的全過程，利用全面風險管理體系的風險評估結果，明確審計方向和重點，制定審計計劃、實施內控審計、對內部控制的健全性、合理性、有效性進行評價，完成內控審計。同時，內控審計中發現的風險、應對措施執行情況和建議，又反饋到責任部門和風險管理信息平臺中，并納入日常檢查的重點內容，從而進一步促進企業風險管理提升和完善。

二、株洲煙草公司基于全面風險管理的企業內部控制審計的具體作法

株洲市煙草公司通過近兩年的實踐探索，在全面風險管理體系的基礎上，建立和完善了“基于全面風險管理的煙草商業企業內部控制審計模式”的框架和內容，形成了一套行之有效的做法，即“打基礎、重落地、促提升”。

1.基于風險管理基礎建設，搭建全面風險管理體系。受行業特點影響，煙草商業企業風險管理基礎與其他先進企業相比，存在一定的差距。這就要求立足于煙草行業現狀，通過搭建全面風險管理體系，打造和鞏固風險管理基礎。因此，株洲煙草公司在風險評估的基礎上，結合株洲市煙草公司的部門職責和工作流程，編制《株洲市煙草公司全面風險管理制度》和《株洲市煙草公司全面風險管理手冊》。從風險管理組織體系、工作流程和標準、監督機制、報告機制等方面將風險管理工作制度化、規范化。

1.1搭建全面風險管理組織。根據風險分級管理，落實風險管理責任的原則，株洲市煙草公司建立了全面風險管理委員會、全面風險管理辦公室、各級職能部門和風險管理員四級風險管理體系。搭建全面風險管理流程。制定風險管理流程和標準。株洲市煙草公司根據全面風險管理的要求，對風險管理信息收集、風險評估、風險應對、風險事件報告與監督檢查等風險管理流程進行規范，明確了責任部門的工作職責、工作要求；明確風險評價的標準、風險評價模型和風險評價方法等。開展風險評估，形成風險數據庫。株洲煙草公司綜合采用了流程分析、風險調查問卷、中高層領導訪談等方法，開展了面向公司領導、業務部門負責人和基層業務骨干的調研訪談，通過對15個業務部門和5個縣公司的風險識別，構建了株洲煙草風險分類框架，形成了戰略風險、財務風險、市場風險、運營風險、法律風險5大類一級風險，46大類二級風險，171大類三級風險。同時，通過采用LED風險評價模型（可能性、頻次和影響程度），制定《株洲煙草風險評估標準》，開展了基層、中層和高層三個層面的風險評價，最終形成了《株洲煙草2015年度風險數據庫》。

1.2組織開展風險應對。根據風險評估的情況，株洲煙草公司組織相關職能部門對識別出的風險與公司管理制度進行對標和梳理。對于控制盲點或控制不足的風險點，通過制定制度和措施優化實施風險應對。公司先后出臺了《工程審計操作指南》、《物資和服務采購項目審計管理辦法》、《煙葉物資管理制度》和《全過程跟蹤審計實施辦法》等制度。

1.3搭建全面風險管理監督與改進機制。風險管理監督與改進是在開展全面風險管理體系建設和風險管理流程正常運轉的保障。株洲市煙草公司明確了全面風險管理委員會是全面風險管理考核工作的領導小組。全面風險管理辦公室定期對公司各部門、分公司風險管理工作開展情況及其工作效果進行監督評價。同時，進一步明確了公司各部門、分公司應當依據本年度自身風險管理工作開展情況，編制全面風險管理工作總結。

1.4搭建全面風險管理報告機制。風險管理報告體系是風險管理組織體系中各機構之間實現風險信息充分溝通的有效保障。株洲市煙草公司根據風險評估的結果，編制了風險評估報告。株洲煙草公司根據風險評估的結果，利用風險坐標圖，識別出重大風險3個，分別是產品結構規劃風險、市場供給變化風險和倉儲物資損失風險；識別出重要風險5個，分別是卷煙年度采購計劃風險、煙基建設項目驗收風險、隱患管理風險、能力、意識和安全培訓教育風險以及兩煙營銷違規風險。同時，針對識別出的重大和重要風險提出了改進和防范建議。

2.基于風險管理體系落地，打造風險管理信息化平臺。風險管理工作涉及企業的方方面面，如果沒有信息平臺的支撐，全面風險管理無法落地。借助信息化平臺，株洲煙草公司提出了一崗一控、一事一控的風險管控模式。株洲市煙草公司將風險管理的工作內容、工作流程嵌入信息系統。通過風險分類管理與部門和個人崗位職責的結合，將評估出的風險點落實到部門、到人，形成各個部門、各個崗位的風險數據。通過風險的統一管理，利用風險識別、風險評估、風險應對和風險監督檢查四個功能模塊，將風險管理的規范化和日常化。公司要求各職責部門和崗位開展日常風險的檢查。對于日常發生的風險事件，要求業務部門制定應對措施，通過信息化平臺上報、審批、執行和再檢查，進一步提高的工作效率，真正將風險管理落地。

3.基于風險管理能力提升，構建風險導向的內部控制審計體系。

3.1設計風險導向內部控制審計指南和工作底稿。在對株洲市煙草公司全面風險評價的基礎上，根據《內部控制審計基本準則》和《內部審計具體準則》的要求，按照 “管理制度化，制度流程化，流程表單化”的思路，從審計計劃、現場審查、缺陷評價、審計完成四個階段，將審計每個階段流程步驟和具體工作要求通過制度進行規范，制定了《內部控制審計指南》和配套審計工作底稿模板，提高風險導向審計在公司的適用性和操作性。

3.1.1審計計劃階段，以風險評價為基礎，明確審計范圍。一是年度審計計劃的制定以全面風險評價的結果為基礎，根據評價結果結合內部控制環境等變化的情況和業務活動的復雜性，將重要業務單位、重大業務事項和高風險領域作為年度審計計劃的重要內容。如煙基建設管理、煙葉生產管理、安全管理等；二是在開展內部控制審計前對審計項目進行項目調查和項目風險評估，針對性的提出了項目審計方案，合理安排內部審計資源。

3.1.2現場審查階段，以風險評估和風險識別為抓手，發現控制缺陷。通過穿行測試，對被審計單位和項目可能存在的風險領域及關鍵環節進行判斷，進一步識別各種主要風險，形成審計項目的《風險清單》；對風險清單列示的風險進行再次風險評估，確定存在重大缺陷的高風險領域，并針對高風險領域，不斷修正項目審計方案、實施控制測試；在實施控制測試時，按照審計抽樣的原則，抽取一定數量具有代表性的樣本進行測試，以樣本審查結果推斷總體風險和影響程度。此外，通過事先制定風險導向內部控制的審計底稿，提高內部控制審計的效率。

3.1.3內部控制缺陷評價階段，以風險標準為核心，認定缺陷類型。內部控制缺陷關鍵是明確內部控制缺陷的分類原則、評價標準和評價步驟，提高內部控制缺陷評價的客觀性。通過風險評價匯總表，將發現的全部風險進行分類、匯總，并組織開展缺陷評價和認定工作，從內部控制缺陷發生的可能性和影響程度評價風險程度，確定內部控制缺陷類型和缺陷程度。

3.1.4審計完成階段，以風險防范和應對為著重點，協助企業開展風險管理。一是審計建議注重從風險管理的角度出具審計意見和建議，強調風險控制；二是注重審計建議的整改和落實情況，通過專項后續審計，督促企業加強風險點的防范。

3.2在應用中不斷完善全面風險管理內部控制審計體系。根據全面風險評價的結果，株洲煙草公司近兩年將煙基建設資金管理和煙用物資管理納入年度審計計劃，并組織專人按公司內部控制審計的要求實施內部審計。在實際工作中，總結和完善基于全面風險管理的內部控制審計體系。2015年在開展煙基建設資金管理的內部控制審計中，審計部門發現煙基資金使用不規范問題點8項，提出審計意見6條，審核煙基工程資金905.5萬元，核減120萬元，規范了煙基建設的資金管理；2016年對所屬縣公司開展煙用物資管理專項審計工作。審計部門在煙用物資管理基礎工作、煙用物資采購、煙用物資投入、煙用物資倉儲管理、煙用物資財務核算等五個方面發現問題點11項，提出審計意見6條，發現中心倉庫膜類物資帳實差異51.07萬元，加強了公司對煙用物資的風險管控，進一步提升了公司風險管理能力

三、結語

在企業內部審計過程中實施現代風險導向審計制度，既順應了經濟社會發展的規律也符合風險管理的客觀需求，同時也是內部審計自身發展的需要。目前株洲市煙草公司基于全面風險管理的煙草商業企業內部控制審計模式的框架已基本搭建，但是還存在一些不足之處，包括：進一步拓展審計領域、加強風險導向審計基礎建設、提升風險導向審計能力等。總之，基于全面風險管理的內部控制審計體系，還需要在今后的工作中不斷實踐、總結、完善和提升。只有通過實踐，使之真正成為適用煙草行業的企業風險管理的重要工具和日常重要工作內容，才能有效加強公司對風險的整體把控，提升風險管理水平。

參考文獻：

[1]中國內部審計協會《中國內部審計準則》（中國內部審計協會公告2013年1號）于2013年8月20日發布，2014年1月1日施行.

[2]《風險導向內部審計》作者：菲爾·格里夫茨，中國金融出版社，2014年5月.

[3]《風險導向內部審計若干問題研究》作者：嚴暉，【博士學位論文】廈門：廈門大學.

[4]《構建風險導向內部審計理論框架的探討》作者：郭銀清，財會研究，2014年7月.

[5]《風險導向型內部審計機制建立路徑探析》作者：楊臨春，中國內部審計，2015年8月.

作者簡介：羅民軍（1971-），男，湖南郴州人，湖南省煙草公司株洲市公司審計科長，高級會計師，中南大學MBA碩士，研究方向：企業風險管理，企業內部控制，風險導向內部審計；李翔（1964—），男，湖南邵陽人，天職國際會計師事務所（特殊普通合伙）株洲分所管理咨詢部主任，高級會計師，注冊會計師，湘潭大學MBA碩士，研究方向：企業風險管理，企業內部控制，企業財務管理；覃穎剛（1977.05—），男，湖南張家界人，天職國際會計師事務所（特殊普通合伙）株洲分所管理咨詢部項目經理，高級會計師，注冊會計師，湖南大學MBA碩士，研究方向：企業風險管理，企業內部控制，企業財務管理。