運用內控評級數據庫提高內部審計效率和質量

韓洪

[摘要]本文有針對性地提出省級電網企業內部控制評級數據庫的設想，旨在通過創建內部控制數據庫，查詢信息系統大數據，解決審計實踐中時間、人員、成本因素導致的審前調查不細不實問題，提高審計效率和質量。內控評級數據庫作為創新型審計工具，未來將在內部審計領域發揮重要作用。

[關鍵詞]內部控制? ? 內部審計? ? 數據庫? ? 獨立監督

一、背景

“公司治理四大基石”及“三道防線模型”理論均認為，內部控制在現代企業管理中處于核心地位，實施與否、效果好壞決定著企業的生存與發展。內部控制五要素之一的內部監督是企業內部控制不可或缺的一環，內部監督最重要、最有效的手段即內部審計。

內部審計逐步發展成為以內部控制測評為基礎的抽樣審計，得益于現代管理學內部控制理論及實踐的不斷完善和成熟。內部控制測評是審計工作的基礎，審計人員通過對被審計單位內部控制的健全性、合理性和有效性作出評價，以確定是否依賴內部控制，并確定實質性審查的性質、范圍、時間和重點。由于審計資源有限，審計人員無法對被審計單位所有業務事項進行詳細審查，在較短時間內難以對被審計單位內部控制的真實情況、可依賴程度作出準確判斷，導致實施實質性審查的性質、范圍、重點與審計目標背離，既增加審計人員工作量，又增加審計成本，致使審計工作效率下降、工作質量無法保證。

由于缺乏有效的技術手段，實務中審計人員只能依據獲取的資料、憑借工作經驗及專業素養判斷被審計單位的內部控制水平，容易受到主觀因素制約，不僅工作效率低，對內控評價的結論也存在偏差。隨著科學技術的進步和現代企業管理的不斷發展，集團化企業規模越來越大，業務種類越來越多，經營形勢變化越來越快，這對內外部審計的效率和質量勢必提出更高要求。以云南電網公司為例，通過近年來“子改分”改革，已大規模壓縮管理層級。由于“子改分”后各縣級供電局仍是獨立法人，負責人任期經濟責任審計、工程項目審計等任務依然繁重，如何在保證質量的前提下高效完成大量審計任務是審計人員不得不面對的問題。

二、意義

在信息化條件下，建立內部控制評級體系及數據庫是內部審計徹底解決審前調查中內部控制測試環節一系列詬病的最佳選擇，對企業內部控制、內部審計和審計人員自身具有極其重要的意義。

國有企業通過內部控制評級體系數據庫，可為監管部門、出資人及各層級管理者決策提供有用的直觀數據，為企業的穩健經營和可持續發展作出積極貢獻。

內部控制評級數據庫是內部監督不斷深入發展的必然選擇。評級數據庫將企業的主要業務以指標形式進行量化，使內部經濟管理行為以分值形式進行統一衡量，內部監督變得更加直觀，決策者更容易解讀管理層業績報告。運用大數據的基本思想，集團公司可實現對不同地區、不同行業、不同規模分子公司實施有效的業績考核和監督管理。同時，評級數據庫使企業經濟活動成為一條連貫的業務鏈，為內部審計從“事后監督”向“事前預測”“事中控制”提供了技術支撐。

基于風險理念的內部控制評級和內部審計相輔相成。內部控制是企業自身治理的過程，內部控制評價則是內部監督的核心內容，其實質是降低企業的內在風險和控制風險。內部控制評價是內部審計的必要程序和前提，其實質是降低審計的檢查風險。建立以風險為導向的內部控制評價機制，與審計風險管理的目標一致，均以風險導向為基礎，對控制活動存在的缺陷進行流程“再造”，使風險下降或消失。

內部控制評級數據庫在豐富內部審計手段的同時，夯實了國家審計的基礎。中央企業內部審計的重心即圍繞企業內部控制展開，是國家審計在國有企業的延伸，與國家審計共同組成整個審計體系。

內部控制評級數據庫可降低審計從業人員的職業風險。評級數據庫基于信息化手段，企業在對內部控制進行評價時輸入數據，數據庫依據建立的模型、評級標準、規則、數理統計方法，將各個業務流程量化為可視的直觀數據，利用計算機運算代替人腦計算，降低因審計人員專業技術、實踐經驗不足產生的檢查風險概率，從而降低審計風險。

內部控制評級數據庫可提高審計從業人員工作效率和工作質量。評級數據庫為審計人員在內的使用者提供更加方便、快捷、準確的分析數據，為審計人員進行科學分析提供精準服務。評級數據庫所記錄的數據是企業內部控制評價機構對其經營業務進行的評價，經過第三方獨立審查后發布，具有合法性、權威性。審計人員無須花費大量人力、時間、財務資源對其進行全面、細致的內部控制測試，認定為有效的內部控制將減少實質性審查的工作量，而可信賴的內部控制會使審計人員所作的審計結論更能反映被審計單位的真實情況。

三、擬解決的問題

運用內部控制評級數據庫的關鍵，主要解決三方面問題：一是內部控制業務流程信息化問題;二是內部控制評級數據庫建設問題;三是審計人員對內部控制評級數據庫的信賴程度。

在內部控制流程信息化方面，著重解決內部控制體系各專業領域流程信息化問題。流程信息化包括兩個維度：一是內控體系22個專業領域業務流程日常管理的信息化，二是各專業領域業務流程執行評價的信息化。

在內部控制評級數據庫建設方面，著重解決內部控制體系組織架構中的領導權問題，內部控制體系各職能部門權責分工問題，以及現有信息平臺不符合評級數據庫的功能定位問題。

在審計人員對內部控制評級數據庫信賴程度方面，著重解決內部控制評級獨立性問題以及內部控制評級數據庫的可信賴程度問題。

四、內部控制評級數據庫的構建思路

內部控制評級數據的構建流程主要實現公司內部控制由人、財、物流向信息流轉變，包含管理和評價兩個維度的信息化。以22個專業領域業務流程為基礎，將業務流程納入內部控制“五要素”，設計內部控制評級標準（指數）;構建內部控制評價平臺，將業務轉化為可量化的數據信息;由數據的第三方獨立審查;關聯內部審計業務。

關聯內部審計業務是通過信息平臺的交互對接，使審計人員獲得所需的信息。流程包括：對內部控制評級數據庫進行抽樣審查，確定內部控制測試可信賴程度，建立審計作業系統與內控評級數據庫的接口，使內部審計與數據庫互聯。

內部控制評級數據庫是被審計單位內部控制測試的基礎，審計人員通過解讀數據庫所載信息的含義，或通過對被審計單位進行橫向和縱向對比，直觀了解內部控制情況，為實質性審查奠定堅實的基礎。這一思路以信息技術為基礎，目標是為內部審計工作節約成本，降低人為因素的干擾，最大化地真實反映被審計單位的內部控制水平，提高審計工作效率和工作質量。

五、省級電網企業內部控制評級體系及數據庫構建

（一）理順內部控制組織架構

基于現代企業管理分權理論，公司治理最基本的特征是所有權和經營權分離，即董事會與高級管理層職權分離。董事會作為組織最高決策機構，是內部控制體系建設的領導者。董事會成立內部控制體系建設委員會，分設內部控制監督與評價委員會、內部控制管理委員會。監事會履行監督評價職責，高級管理層負責實施內部控制管理。管理委員會與監督評價委員會各設工作組，如圖1所示。

通過調整優化內部控制體系組織結構，樹立董事會在內部控制體系建設中的絕對領導權，重新提升內部控制在組織中的核心地位，明確高級管理層對組織內部控制應負的責任。內部控制管理委員會工作組由戰略管理部門或企業管理部門牽頭，各業務領域專家組成;內部控制監督與評價委員會工作組由審計部門或監察部門牽頭，各業務領域專家組成。

（二）設計內部控制評級指數

內部控制評級指數的設計步驟如下：

步驟一：將公司內部控制體系22個專業領域業務活動及其流程納入內部控制“五要素”的整體邏輯框架。基于內部控制活動的實現程度來設計基礎指標，如圖2所示。內控控制評級指數框架以“五要素”為基礎，指數框架包含5個一級指標，即內部控制“五要素”;23個二級指標;72個三級指標。在實踐中，要結合“評價手冊”，根據23個二級指標所列控制活動索引及要素展開評測。評測結果根據要素的重要性水平、風險水平賦予一定分值，分值范圍從1分至15分，總分值不超過1000分。評測分值匯總到一級指標，由此得到公司22個專業領域業務活動的總體評價結果，構成整個內部控制評級數據庫的基礎。

步驟二：選擇適當的內部控制目標變量。評測得出內部控制基礎指標的分值后，以目標為導向對控制活動進行效益評價。目標變量是對內部控制基礎指標的修正，反映各要素對企業目標的貢獻程度。主要設立戰略管理目標、財務報告目標、經營效率效果目標、資產安全目標、合法合規目標，如圖3所示。由于內部控制涉及指標眾多，人為賦值難度較大且包含過多主觀因素，本文采用標準離差率（變異系數）來計算目標變量的權重。具體方法是：假定內部控制評級指數框架中每一項三級指標的期望值E（三級指標為滿分制，期望值按該項指標滿分×80%計算;三級指標個數為表示實際數值;一級指標以三級指標樣本的中位數計算）固定不變，計算其標準離差率：

首先計算平均數

計算方差

計算標準差

標準離差率

步驟三：綜合指標變量與基礎指標評測結果，進行量化處理，最終形成內部控制評級指數。假設內部控制基礎指標為α（的加權平均數），內部控制目標變量為β（三級指標標準離差率的加權平均數）。一級指標控制環境表示為α1，風險評估表示為α2，控制活動表示為α3，信息與溝通表示為α4，內部監督表示為α5。戰略管理目標變量為β1，財務報告目標變量為β2，經營效率效果目標變量為β3，資產安全目標變量為β4，合法合規目標變量為β5。控制環境對戰略管理目標的影響表示為α1·β1，對財務報告目標的影響表示為α1·β2，對經營效率效果目標的影響表示為α1·β3，對資產安全目標的影響表示為α1·β4，對合法合規目標的影響表示為α1·β5。以此類推，組合基礎指標及目標變量，建立內部控制評級指數模型如圖4所示。

步驟四：形成省級電網內部控制評級體系。假定省級電網公司分子公司總數為M，分子公司內部控制指數分別為m1，m2，m3，m4，…，mi，m1至mi的內部控制評級指數計算如下：

m1=β1（α1+α2+α3+α4+α5）+β2（α1+α2+α3+α4+α5）+…β5（α1+α2+α3+α4+α5）

...

mi=β1（α1+α2+α3+α4+α5）+β2（α1+α2+α3+α4+α5）+…β5（α1+α2+α3+α4+α5）

步驟五：省級電網內部控制評級結果的獨立審查。各分子公司內部控制指數的計算過程以及信息來源，需經過獨立第三方中介機構的審查并簽署意見，以保證評價結果公平、公正，同時確保內部審計所采用的評價結果真實、完整、可靠，避免信息錯誤帶來重大錯報風險。

（三）內部控制評級指數量化處理與分級評定

內部控制評級指數的量化處理，包括對各分子公司評級指數的量化、集團公司評級指數的量化、各要素評級指數的量化、各目標評級指數的量化。本文僅對分子公司評級指數量化進行闡述。

對各分子公司評級指數的量化是運用內部控制評級指數模型對省級電網下屬分子公司進行單一測評，再對所有被測評對象進行分類或排序，根據內部控制指數得分，從高到低評定為A、B、C、D、E五個等級，每個等級代表被評測單位的內部控制水平，具體釋義如圖5所示。內部控制評級指數的量化按年度更新，由主管部門報集團董事會審議，通過后方可在系統內發布。分子公司在結果公布后可自行查詢結果，生成評級報告并制訂整改提升計劃。

（四）搭建可視化、信息化評價平臺

一是以企業管理信息系統（CSGII V2.1）框架為基礎。現有的內部控制信息系統基于財務信息系統框架內的內控管理模塊，使用范圍較小，僅限于財務領域，未包含企業所有業務流程，需進一步在財務領域基礎上增加對其他21個專業領域內控指標的評價內容。

二是內置符合內部控制評價標準的流程及組件，并賦予相應的分值。指定內部控制評價的輸入、輸出程序及規范;為評級內容賦值，在評測中人工評分;所有評價結果可穿透至底稿，實現指標要素、評價表單、評價結果的交互。

三是評級平臺以評級指數模型為基礎，匯總生成評測結果。系統能夠按照內部控制評級指數模型自動生成測評分值，并自動進行評級認定;多維度進行橫向、縱向、歷史數據的查詢分析、生成分析結果;人性化界面，簡潔高效，實現與其他模塊的交互對接。

四是嚴格執行保密規定，確保信息安全。嚴格審批使用人的系統權限，設置指標要素評價的操作權限，合理分配訪問者數量;內部控制評級數據禁止復制，確保信息安全。

六、關聯內部審計作業系統

（一）內部審計應用內部控制評級結果的原則

成本效益原則。內部控制評級體系是在現有資源基礎上的提升及改良，要充分利用現有內部控制體系建設成果及信息系統資源，做到效益最大化。

謹慎性原則。充分征求下屬分子公司意見，做實項目可行性研究分析，科學論證，提高內部控制評級的可操作性、合理性、適用性。

風險導向與目標導向原則。實施過程要始終堅持風險導向和目標導向有機結合，內部控制管理以風險控制為核心，內部控制評級以目標為要務。

審計目標與內控目標一致原則。內部審計作為企業內部控制的重要組成部分，二者的目標都是保障企業利益，促進企業健康穩定發展。

內部控制評級結果不能替代實質性審查原則。企業面臨的內、外部環境處于永續變化中，內部控制的人為因素無法預判和完全避免，控制風險始終大于零，內部控制評級結果只能作為內部審計程序選擇的參考。

（二）內部審計作業系統與內部控制評級數據庫的物理構建

建立內部控制評級數據庫應用服務器。服務器與ERP信息系統各子系統通過域間數據傳輸進行對接，內部審計作業系統與內部控制評級數據庫分屬不同的域，二者之間通過信任關系（證書）實現不同域之間的相互訪問。

建立用戶、計算機與服務器之間的橋接關系。通過網絡橋接器，建立訪問域策略（訪問協議），審計人員作為用戶，在獲得證書許可后，利用計算機實現對內部控制評級數據庫的訪問，如圖6所示。

內部控制評級數據庫的數據傳輸介質。信息化平臺以數據中心形式運轉，內部控制評級數據庫獨立運維，數據的輸入、輸出可通過多種介質，但任何一種介質進行輸入、輸出的權限唯一且需經過嚴格審批。

（三）內部審計人員運用內部控制評級數據庫

進點后，審計人員使用分配的證書許可，由內部審計作業系統中內部控制數據庫登錄接口進入內部控制評級數據庫，開始執行對被審計單位的內部控制測試。重點執行以下步驟：

步驟一：進入內部控制評級數據庫。獲取被審計單位審計期間內部控制評級數據、各數據指標的縱向對比分析報告以及內控評級結果的第三方審查意見，如圖7所示。

步驟二：對獲取的資料進行記錄。通過訪談、觀察、檢查、追蹤某一單項業務等程序，復核內部控制評級結果的準確性、真實性。計算機主導的內部控制測試綜合運用了數理統計、概率論等數學原理，取代人工復雜、煩瑣的統計，但內部審計人員仍需對其進行復核。

步驟三：綜合分析復核結果。內部審計人員得到被審計單位健全性、合理性的初步結論，評估其內部控制風險等級，決定是否依賴被審計單位的內部控制評級數據庫，并對獨立第三方出具的審查意見作出判斷，確定數據庫所載信息是否成為內部控制測試的結論。

步驟四：對內部控制再評價。根據數據庫評級、風險水平，對被審計單位控制風險等級進行再次評價，做好審計底稿記錄，形成內部控制測試報告。

步驟五：確定實質性審查的性質、范圍、重點和方法。內部控制評級數據庫為審計人員提供了直觀、量化的數據信息，審計人員可根據數據庫所載的每一單項業務內部控制缺陷進行審查，目標精準、針對性強。

七、結束語

在審計實踐中，通過關聯內部控制評級數據庫，降低因內部控制局限性帶來的檢查風險，企業內部審計將采用全新的思維和技術手段來規避風險，建立內部控制評級體系、內部控制評級數據庫將成為極富價值的選擇。在提升企業法人治理水平的同時，滿足了內部審計工作的需要，企業以最小化成本取得最大化效益。內部審計人員不再因工作經驗、技能水平限制作出不恰當的內部控制測試結論，檢查風險將大大降低。借助內部控制評級數據庫的幫助，內部審計人員能夠精確判斷被審計單位的內部控制可信賴程度，以便確定實質性審查的范圍、程序、方法和樣本量等關鍵因素，提高內部審計工作的效率和質量。

（作者單位：云南電網河口瑤族自治縣供電有限責任公司，郵政編碼：661300，電子郵箱：bluesea-58@163.com）

主要參考文獻

莫滿軍，宋新秀.內部審計與內部控制的融合策略[J].中國內部審計， 2018（4）

邱國峰，繆穎霞.內部審計質量評價體系的建構[J].中國內部審計， 2018（2）

田雨.電網企業內部審計智能庫的構想與探索[J].中國內部審計， 2018（5）