以风险为导向的内控评价模式在中国电信集团的运用和研究分析（简化）

以风险为导向的内部控制评价模式 在中国电信集团的运用和研究分析

中国电信集团公司审计部 孙明成 司丽

目录

绪言 ........................................................................................................................................... 2 一、我国审计导向及模式的历史沿革 ................................................................................... 3 （一）查错纠弊导向的审计模式 ........................................................................................... 3 （二）内控导向的审计模式 ................................................................................................... 4 （三）风险导向的审计模式 ................................................................................................... 4 二、以风险为导向的内部控制评价模式的实务探索 ........................................................... 5 （一）评价计划的制定 ........................................................................................................... 5 （二）评价方案的编制 ........................................................................................................... 7 （三）评价程序的实施 ........................................................................................................... 8 （四）评价结果的运用 ........................................................................................................... 9 三、在内部控制评价工作中进一步深化以风险为导向的评价思路 ................................... 9 （一）进一步改进收集和评价企业风险信息的方式 ........................................................... 9 （二）把握风险与控制的成本效益原则，制定适度的内部控制有效性评价标准 ......... 10 （三）将内部控制自我评价工作和独立评价工作有机地结合起来，做到优势互补 ..... 10 （四）进一步提高内控评价人员的综合素质及风险判断能力 ......................................... 11

1

以风险为导向的内部控制评价模式 在中国电信集团的运用和研究分析

中国电信集团公司 孙明成 司丽

内容摘要：本文从我国审计模式的历史沿革入手，阐述了三种不同导向模式下的内部控制评价工作开展的异同，结合中国电信集团公司8年来内控评价实践，对以风险为导向，内审部门如何进行评价计划的制定、评价方案的编制、评价程序的实施和评价结果的运用等几方面进行了探讨和论述。并对在内部控制评价工作中如何进一步优化以风险为导向的内控评价模式进行了研究和探讨。

关键词：风险导向 两步三维ABC风险等级评定法 风险库

绪言

随着审计模式从帐项基础审计到内控导向审计、传统风险导向审计以及风险导向战略系统审计的逐步演进，内部控制评价工作也处在从无到有、由浅入深的不断发展变化当中。2002年美国政府颁布了《萨班斯法案》，2006年6月，国资委出台《中央企业全面风险管理指引》；2008年和2010年，财政部等五部委先后联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》。这些国际资本市场和国内监管要求均对包括中国电信在内的上市公司内部控制提

2

出了很高的要求。近年来，随着电信业的重组及三网融合的推进，中国电信业面临更加复杂的内外部环境，企业竞争形势更加激烈，各种业务融合日趋复杂。在这种情况下，内部控制运营的效率和效果对整个企业的高效运作起到至关重要的作用。作为内部审计部门，如何在有限的审计资源的情况下，及时发现企业内部控制中存在的关键风险，并帮助企业有针对性的解决关键风险，已成为内部审计部门面前的一项重要课题。本文从我国审计模式的演进入手，结合作者几年来从事内部控制评价工作的实践经验和体会，如何以风险为导向进行内部控制评价工作进行了探索和尝试。

一、我国审计导向及模式的历史沿革

审计模式必须与审计目标和审计导向相匹配和一致。不同的审计导向，就会有不同的审计目标，也就会就不同的审计模式。

在我国审计的发展过程中，主要先后经历了查错纠弊导向的审计模式、内控导向的审计模式和风险导向的审计模式。在这三种模式下，对内部控制1评价的认识、评价的方法和程序、评价的范围均有所不同：

（一）查错纠弊导向的审计模式

在查错纠弊导向的审计模式下，审计师以查错纠弊为目的，以公

3

司的帐簿和凭证作为审查的基础和出发点，对会计记录逐笔审查。在这种模式下，审计师不对内部控制的存在及有效性进行评价。

（二）内控导向的审计模式

在内控导向的审计模式下，审计师首先对企业内部控制情况进行符合性测试，在此基础上，确定实质性测试的范围和重点，针对被审计单位内部控制的薄弱之处，有重点、有目标地进行审计。在这种模式下，减少了直接对凭证、帐表进行检查和验证的时间和精力，使抽样审计有了一定的基础，提高了审计工作的效率。但同时，这种模式也有一定的局限性：当被审计单位内控制度不健全或者虽设计健全但执行不好时不宜采用；当被审计单位的管理层串通舞弊时这种模式也无能为力。此外，内控导向审计模式下，审计师关注的内部控制仅指与财务报告直接相关的财务控制，不涉及经营领域。

（三）风险导向的审计模式

在风险导向审计模式下，审计师同样要对内部控制进行评价和测试，此时的内部控制内容更加丰富，不仅包括一般性的程序控制，更把内控的范围延伸到控制环境、风险评价、信息与沟通、监控等公司层面（COSO控制框架）。我们认为，风传险导向的内控评价模式更有利于内控评价的有效开展和实施。

4

二、以风险为导向的内部控制评价模式的实务探索

在中国电信集团公司的近8年的内部控制评价工作开展过程中建立了以风险为导向的内控评价模式，风险导向始终贯穿在内控评价工作的各个环节。尤其是在评价计划的制定、评价方案的编制、评价程序的实施和评价结果的运用等方面始终遵循融合的风险导向原则。

（一）评价计划的制定

每年初，审计部以风险为导向，以两步三维ABC风险等级评定法

2

制定年度内部控制评价工作计划。制定计划的程序主要包括：

1、收集风险信息

我们利用各种渠道收集、了解目前公司面临的各种战略和经营风

险，包括：了解公司的经营目标、战略规划；了解公司在竞争环境中所处的位置及面临的压力；了解公司外部监管环境，有无被处罚的情况；了解公司的主营产品所处的经济环境和技术环境；会计政策的变化情况等信息。

对这些信息的收集可以分散在平时进行，收集的方式包括：参加公司的经营分析会等业务会议、向相关部门访谈、订阅竞争信息等方面的杂志、听取公司领导的工作布置、查阅集团公司及省公司下发的政策文件、索取业务部门的业务检查报告、分析财务报表数据、登录财务及主要业务系统提取数据进行分析等。

2

详见：两步三维ABC风险等级评定选项法在大型集团公司内控评价的理论与应用与研究。作者：孙明成 黄孝文

5

2、针对发现的战略和经营风险，确认公司采取的有效应对措施，确定剩余风险和并按ABC重要性进行风险等级评定

通过上述途径了解到公司层面的主要战略和经营风险后，通过向相关部门的访谈、以往审计项目中了解的情况，业务部门的通报等收集公司已采取的有效应对措施，从而得出目前可能还未被有效控制的剩余风险。在确定剩余风险时，一定要把握其重要性及对当前企业发展的影响，按ABC重要性进行风险等级评定：A代表风险的现时影响很大，需要立即着手严密防控；B代表风险对未来有较大影响，需要适时加以关注和防控；C代表风险对未来有一定影响，且影响有扩大趋势，需要在适时关注和采取一定的针对措施。

3、根据剩余风险的重要程度、急迫程度，以及现有审计资源的情况，两步三维ABC风险等级评定法3，确定年度评价计划的内容及拟评价的单位

第一步，确定评价内容。运用集团风险库、新业务及重点业和省分公司选取的风险项目等三个维度来，按三维ABC风险等级评定法4，确定对企业发展影响重大的、急需近期解决的风险评价项目，做为内部控制评价的重点内容。第二步，确定评价的单位。作为下辖50多个二级分公司的中国电信集团公司，在年度计划的制定过程中还涉及到被评价单位的选择问题，同样也是以风险为导向，用三维ABC风险等级评定法进行精确选定5。最后再考虑审计资源等多种因素综合评

3

详见：两步三维ABC风险等级评定选项法在大型集团公司内控评价的理论与应用研究。作者：孙明成 黄孝文

5

第一维：规模维度，首先要考虑每个分公司在该类评价内容中所占的规模权重，如对收入风险相关的流程进行评价，则按照收

入权重进行排序，权重越大的分公司对全公司可能形成的风险越大；第二维：基础管理维度。通过向省公司业务部门了解、业务和报表数据分析、以往审计的经验等确定管理基础较为薄弱或数据存在异常的分公司。管理薄弱、数据异常的单位对全公司

6

定后最终确定需要评价的单位范围。

（二）评价方案的编制

根据年度计划确定评价的内容和单位后，在项目实施前，需要编制详细、具有操作性的评价方案。评价方案的编制过程中也充分体现了风险导向原则。

1、对评价内容进行细化，确定评价的风险点

内部控制的内容主要包括公司层面的控制、业务流程层面的控制及信息系统的一般控制。在总的战略和经营风险确定的基础上，评价方案制定时要针对每一部分内容进行细分，如控制环境中选取管理层的理念和经营风格、员工的价值观和胜任能力等和财务报告、经营风险较为密切的环节进行重点评价，其余内容则简化评价；对业务流程和信息系统的评价同样是针对分析出的剩余风险，从内部控制实施细则以及其他重要的制度文件中选取部分重点流程和控制点进行评价，以使评价内容落到实处。

2、对需评价的风险点进行重要性和风险排序，按重要性有区别地确定评价方法

适当的评价方法对评价项目的效果起着至关重要的作用，由于审计资源的限制，不可能对流程中的每个环节都采取详细测试的方法。我们列出需要测试的风险点和控制点，首先对风险点和控制点进行风险分析，确定重要程度（一般分为A、B、C三类），在对整个流程进

形成的风险越大；第三维：审计频次维度，还需适当考虑以往对各分公司的审计频次、分公司接受外部检查的频次。频次越低，

风险越大。

7

行穿行测试的基础上，对A类控制点采取详细的实质性测试程序进行检查。对B、C类控制点则采取相对简单易行的查证方法。

（三）评价程序的实施

在内部控制评价的实施过程中，我们对关键风险点往往采取全面取数、逐层分析、重点查证的方法。以对某分公司红名单用户管理的内部控制评价项目为例，我们主要实施了以下评价程序：

1、针对可能存在的风险全面取数

围绕关键风险点，我们利用电信企业IT支撑比较好的优势，尽可能从各种业务系统中提取充足的信息用来作整体分析，将不同系统的信息关联起来，组成一张“宽表”。然后再从BSS系统（业务受理系统）中提取这些用户的受理渠道等资料，由此得出一份完整的红名单用户基础分析资料。

2、对数据进行全面筛选，逐层分析

我们对所有红名单用户按照用户名初步判断用户是否符合红名单用户的标准（党政军政府部门、重要企业等），然后按照产品类型进行筛选，计算出不同产品类型的红名单用户占该类型用户总数的比例，从而判断出哪类产品的红名单用户较多，是否超出规定的标准。

3、对异常情况进行重点查证评价

针对锁定的用户，我们不仅从数据上分析，还要采取更加详细的评价方法获取审计证据。如抽取部分不符合红名单标准的用户，或欠费金额大、时间长的用户，检查这些用户被纳入红名单的审批程序，

8

从而发现在红名单用户管理中存在的欠费控制、审批控制等内部控制风险。

（四）评价结果的运用

1、对评价中发现的内部控制缺陷进行风险排序

评价结束后，我们针对评价中发现的内部控制缺陷，逐条分析这些缺陷的性质、类型和急迫程度，以确定对企业可能产生的风险大小。所谓缺陷性质指缺陷可能对财务报告或经营运作产生的影响大小，分A实质性漏洞、B显著缺陷和C一般性缺陷三类。

2、对内部控制设计和执行缺陷逐条落实改进，有效防范和控制风险

内部控制缺陷的整改落实是评价工作的重要一环。在每年组织的内部控制自我评价工作中，全集团10万多人填写自评表，对发现设计及执行缺陷，审计部将这些缺陷进行合并、归纳和整理后，分计和执行缺陷分别提交相应的流程牵头部门进行整改落实。

三、在内部控制评价工作中进一步优化以风险为导向的评价思路

（一）进一步改进收集和评价企业风险信息的方式

1、在风险的收集和评价过程中，要充分发挥业务部门的作用 根据国资委下发的《中央企业全面风险管理指引》，风险管理有

9

三道防线：各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。因此必须充分发挥前两道防线的作用，发动业务部门深度参与,这是确保评价质量的基本保证。

2、要建立在线动态更新企业风险信息库

对现有风险库进行IT化和网络化，实现风险库的时时在线更新，对通过各种渠道了解的风险信息进行规范记录并对其风险大小和重要性进行初步评价，建立风险信息共享平台，作为内控评价计划制定和调整的重要来源和基础。

（二）把握风险与控制的成本效益原则，制定适度的内部控制有效性评价标准

1、动态把握内部控制设计的有效性

一个公司在不同的历史阶段，所处竞争环境、业务结构及规模都在变化，所以应当对内部控制的设计作出调整。因此对设计有效性的评价内容及评价标准必然也是动态的不断调整的过程。

2、把握风险与控制的成本和效益原则，既要防止控制缺失，也要防止过度控制

国内某施工行业上市公司，某商业上市公司规定，所有的采购合同，无论金额大小必经审计部门会签和一把手审批，审计室主任和公司一把手，半年会签的合同就高达几万个。表面上看起来是内控严格，追求形式上的审计端口前移，实际上是控制过度；致使公司领导整天

10

本文来源：https://www.bwwdw.com/article/rjvd.html