运用内控评级数据库提高内部审计效率和质量

韩洪

[摘要]本文有针对性地提出省级电网企业内部控制评级数据库的设想，旨在通过创建内部控制数据库，查询信息系统大数据，解决审计实践中时间、人员、成本因素导致的审前调查不细不实问题，提高审计效率和质量。内控评级数据库作为创新型审计工具，未来将在内部审计领域发挥重要作用。

[关键词]内部控制    内部审计    数据库    独立监督

一、背景

“公司治理四大基石”及“三道防线模型”理论均认为，内部控制在现代企业管理中处于核心地位，实施与否、效果好坏决定着企业的生存与发展。内部控制五要素之一的内部监督是企业内部控制不可或缺的一环，内部监督最重要、最有效的手段即内部审计。

内部审计逐步发展成为以内部控制测评为基础的抽样审计，得益于现代管理学内部控制理论及实践的不断完善和成熟。内部控制测评是审计工作的基础，审计人员通过对被审计单位内部控制的健全性、合理性和有效性作出评价，以确定是否依赖内部控制，并确定实质性审查的性质、范围、时间和重点。由于审计资源有限，审计人员无法对被审计单位所有业务事项进行详细审查，在较短时间内难以对被审计单位内部控制的真实情况、可依赖程度作出准确判断，导致实施实质性审查的性质、范围、重点与审计目标背离，既增加审计人员工作量，又增加审计成本，致使审计工作效率下降、工作质量无法保证。

由于缺乏有效的技术手段，实务中审计人员只能依据获取的资料、凭借工作经验及专业素养判断被审计单位的内部控制水平，容易受到主观因素制约，不仅工作效率低，对内控评价的结论也存在偏差。随着科学技术的进步和现代企业管理的不断发展，集团化企业规模越来越大，业务种类越来越多，经营形势变化越来越快，这对内外部审计的效率和质量势必提出更高要求。以云南电网公司为例，通过近年来“子改分”改革，已大规模压缩管理层级。由于“子改分”后各县级供电局仍是独立法人，负责人任期经济责任审计、工程项目审计等任务依然繁重，如何在保证质量的前提下高效完成大量审计任务是审计人员不得不面对的问题。

二、意义

在信息化条件下，建立内部控制评级体系及数据库是内部审计彻底解决审前調查中内部控制测试环节一系列诟病的最佳选择，对企业内部控制、内部审计和审计人员自身具有极其重要的意义。

国有企业通过内部控制评级体系数据库，可为监管部门、出资人及各层级管理者决策提供有用的直观数据，为企业的稳健经营和可持续发展作出积极贡献。

内部控制评级数据库是内部监督不断深入发展的必然选择。评级数据库将企业的主要业务以指标形式进行量化，使内部经济管理行为以分值形式进行统一衡量，内部监督变得更加直观，决策者更容易解读管理层业绩报告。运用大数据的基本思想，集团公司可实现对不同地区、不同行业、不同规模分子公司实施有效的业绩考核和监督管理。同时，评级数据库使企业经济活动成为一条连贯的业务链，为内部审计从“事后监督”向“事前预测”“事中控制”提供了技术支撑。

基于风险理念的内部控制评级和内部审计相辅相成。内部控制是企业自身治理的过程，内部控制评价则是内部监督的核心内容，其实质是降低企业的内在风险和控制风险。内部控制评价是内部审计的必要程序和前提，其实质是降低审计的检查风险。建立以风险为导向的内部控制评价机制，与审计风险管理的目标一致，均以风险导向为基础，对控制活动存在的缺陷进行流程“再造”，使风险下降或消失。

内部控制评级数据库在丰富内部审计手段的同时，夯实了国家审计的基础。中央企业内部审计的重心即围绕企业内部控制展开，是国家审计在国有企业的延伸，与国家审计共同组成整个审计体系。

内部控制评级数据库可降低审计从业人员的职业风险。评级数据库基于信息化手段，企业在对内部控制进行评价时输入数据，数据库依据建立的模型、评级标准、规则、数理统计方法，将各个业务流程量化为可视的直观数据，利用计算机运算代替人脑计算，降低因审计人员专业技术、实践经验不足产生的检查风险概率，从而降低审计风险。

内部控制评级数据库可提高审计从业人员工作效率和工作质量。评级数据库为审计人员在内的使用者提供更加方便、快捷、准确的分析数据，为审计人员进行科学分析提供精准服务。评级数据库所记录的数据是企业内部控制评价机构对其经营业务进行的评价，经过第三方独立审查后发布，具有合法性、权威性。审计人员无须花费大量人力、时间、财务资源对其进行全面、细致的内部控制测试，认定为有效的内部控制将减少实质性审查的工作量，而可信赖的内部控制会使审计人员所作的审计结论更能反映被审计单位的真实情况。

三、拟解决的问题

运用内部控制评级数据库的关键，主要解决三方面问题：一是内部控制业务流程信息化问题;二是内部控制评级数据库建设问题;三是审计人员对内部控制评级数据库的信赖程度。

在内部控制流程信息化方面，着重解决内部控制体系各专业领域流程信息化问题。流程信息化包括两个维度：一是内控体系22个专业领域业务流程日常管理的信息化，二是各专业领域业务流程执行评价的信息化。

在内部控制评级数据库建设方面，着重解决内部控制体系组织架构中的领导权问题，内部控制体系各职能部门权责分工问题，以及现有信息平台不符合评级数据库的功能定位问题。

在审计人员对内部控制评级数据库信赖程度方面，着重解决内部控制评级独立性问题以及内部控制评级数据库的可信赖程度问题。

四、内部控制评级数据库的构建思路

内部控制评级数据的构建流程主要实现公司内部控制由人、财、物流向信息流转变，包含管理和评价两个维度的信息化。以22个专业领域业务流程为基础，将业务流程纳入内部控制“五要素”，设计内部控制评级标准（指数）;构建内部控制评价平台，将业务转化为可量化的数据信息;由数据的第三方独立审查;关联内部审计业务。

关联内部审计业务是通过信息平台的交互对接，使审计人员获得所需的信息。流程包括：对内部控制评级数据库进行抽样审查，确定内部控制测试可信赖程度，建立审计作业系统与内控评级数据库的接口，使内部审计与数据库互联。

内部控制评级数据库是被审计单位内部控制测试的基础，审计人员通过解读数据库所载信息的含义，或通过对被审计单位进行横向和纵向对比，直观了解内部控制情况，为实质性审查奠定坚实的基础。这一思路以信息技术为基础，目标是为内部审计工作节约成本，降低人为因素的干扰，最大化地真实反映被审计单位的内部控制水平，提高审计工作效率和工作质量。

五、省级电网企业内部控制评级体系及数据库构建

（一）理顺内部控制组织架构

基于现代企业管理分权理论，公司治理最基本的特征是所有权和经营权分离，即董事会与高级管理层职权分离。董事会作为组织最高决策机构，是内部控制体系建设的领导者。董事会成立内部控制体系建设委员会，分设内部控制监督与评价委员会、内部控制管理委员会。监事会履行监督评价职责，高级管理层负责实施内部控制管理。管理委员会与监督评价委员会各设工作组，如图1所示。

通过调整优化内部控制体系组织结构，树立董事会在内部控制体系建设中的绝对领导权，重新提升内部控制在组织中的核心地位，明确高级管理层对组织内部控制应负的责任。内部控制管理委员会工作组由战略管理部门或企业管理部门牵头，各业务领域专家组成;内部控制监督与评价委员会工作组由审计部门或监察部门牵头，各业务领域专家组成。

（二）设计内部控制评级指数

内部控制评级指数的设计步骤如下：

步骤一：将公司内部控制体系22个专业领域业务活动及其流程纳入内部控制“五要素”的整体逻辑框架。基于内部控制活动的实现程度来设计基础指标，如图2所示。内控控制评级指数框架以“五要素”为基础，指数框架包含5个一级指标，即内部控制“五要素”;23个二级指标;72个三级指标。在实践中，要结合“评价手册”，根据23个二级指标所列控制活动索引及要素展开评测。评测结果根据要素的重要性水平、风险水平赋予一定分值，分值范围从1分至15分，总分值不超过1000分。评测分值汇总到一级指标，由此得到公司22个专业领域业务活动的总体评价结果，构成整个内部控制评级数据库的基础。

步骤二：选择适当的内部控制目标变量。评测得出内部控制基础指标的分值后，以目标为导向对控制活动进行效益评价。目标变量是对内部控制基础指标的修正，反映各要素对企业目标的贡献程度。主要设立战略管理目标、财务报告目标、经营效率效果目标、资产安全目标、合法合规目标，如图3所示。由于内部控制涉及指标众多，人为赋值难度较大且包含过多主观因素，本文采用标准离差率（变异系数）来计算目标变量的权重。具体方法是：假定内部控制评级指数框架中每一项三级指标的期望值E（三级指标为满分制，期望值按该项指标满分×80%计算;三级指标个数为表示实际数值;一级指标以三级指标样本的中位数计算）固定不变，计算其标准离差率：

首先计算平均数

计算方差

计算标准差

标准离差率

步骤三：综合指标变量与基础指标评测结果，进行量化處理，最终形成内部控制评级指数。假设内部控制基础指标为α（的加权平均数），内部控制目标变量为β（三级指标标准离差率的加权平均数）。一级指标控制环境表示为α1，风险评估表示为α2，控制活动表示为α3，信息与沟通表示为α4，内部监督表示为α5。战略管理目标变量为β1，财务报告目标变量为β2，经营效率效果目标变量为β3，资产安全目标变量为β4，合法合规目标变量为β5。控制环境对战略管理目标的影响表示为α1·β1，对财务报告目标的影响表示为α1·β2，对经营效率效果目标的影响表示为α1·β3，对资产安全目标的影响表示为α1·β4，对合法合规目标的影响表示为α1·β5。以此类推，组合基础指标及目标变量，建立内部控制评级指数模型如图4所示。

步骤四：形成省级电网内部控制评级体系。假定省级电网公司分子公司总数为M，分子公司内部控制指数分别为m1，m2，m3，m4，…，mi，m1至mi的内部控制评级指数计算如下：

m1=β1（α1+α2+α3+α4+α5）+β2（α1+α2+α3+α4+α5）+…β5（α1+α2+α3+α4+α5）

...

mi=β1（α1+α2+α3+α4+α5）+β2（α1+α2+α3+α4+α5）+…β5（α1+α2+α3+α4+α5）

步骤五：省级电网内部控制评级结果的独立审查。各分子公司内部控制指数的计算过程以及信息来源，需经过独立第三方中介机构的审查并签署意见，以保证评价结果公平、公正，同时确保内部审计所采用的评价结果真实、完整、可靠，避免信息错误带来重大错报风险。

（三）内部控制评级指数量化处理与分级评定

内部控制评级指数的量化处理，包括对各分子公司评级指数的量化、集团公司评级指数的量化、各要素评级指数的量化、各目标评级指数的量化。本文仅对分子公司评级指数量化进行阐述。

对各分子公司评级指数的量化是运用内部控制评级指数模型对省级电网下属分子公司进行单一测评，再对所有被测评对象进行分类或排序，根据内部控制指数得分，从高到低评定为A、B、C、D、E五个等级，每个等级代表被评测单位的内部控制水平，具体释义如图5所示。内部控制评级指数的量化按年度更新，由主管部门报集团董事会审议，通过后方可在系统内发布。分子公司在结果公布后可自行查询结果，生成评级报告并制订整改提升计划。

（四）搭建可视化、信息化评价平台

一是以企业管理信息系统（CSGII V2.1）框架为基础。现有的内部控制信息系统基于财务信息系统框架内的内控管理模块，使用范围较小，仅限于财务领域，未包含企业所有业务流程，需进一步在财务领域基础上增加对其他21个专业领域内控指标的评价内容。

二是内置符合内部控制评价标准的流程及组件，并赋予相应的分值。指定内部控制评价的输入、输出程序及规范;为评级内容赋值，在评测中人工评分;所有评价结果可穿透至底稿，实现指标要素、评价表单、评价结果的交互。

三是评级平台以评级指数模型为基础，汇总生成评测结果。系统能够按照内部控制评级指数模型自动生成测评分值，并自动进行评级认定;多维度进行横向、纵向、历史数据的查询分析、生成分析结果;人性化界面，简洁高效，实现与其他模块的交互对接。

四是严格执行保密规定，确保信息安全。严格审批使用人的系统权限，设置指标要素评价的操作权限，合理分配访问者数量;内部控制评级数据禁止复制，确保信息安全。

六、关联内部审计作业系统

（一）内部审计应用内部控制评级结果的原则

成本效益原则。内部控制评级体系是在现有资源基础上的提升及改良，要充分利用现有内部控制体系建设成果及信息系统资源，做到效益最大化。

谨慎性原则。充分征求下属分子公司意见，做实项目可行性研究分析，科学论证，提高内部控制评级的可操作性、合理性、适用性。

风险导向与目标导向原则。实施过程要始终坚持风险导向和目标导向有机结合，内部控制管理以风险控制为核心，内部控制评级以目标为要务。

审计目标与内控目标一致原则。内部审计作为企业内部控制的重要组成部分，二者的目标都是保障企业利益，促进企业健康稳定发展。

内部控制评级结果不能替代实质性审查原则。企业面临的内、外部环境处于永续变化中，内部控制的人为因素无法预判和完全避免，控制风险始终大于零，内部控制评级结果只能作为内部审计程序选择的参考。

（二）内部审计作业系统与内部控制评级数据库的物理构建

建立内部控制评级数据库应用服务器。服务器与ERP信息系统各子系统通过域间数据传输进行对接，内部审计作业系统与内部控制评级数据库分属不同的域，二者之间通过信任关系（证书）实现不同域之间的相互访问。

建立用户、计算机与服务器之间的桥接关系。通过网络桥接器，建立访问域策略（访问协议），审计人员作为用户，在获得证书许可后，利用计算机实现对内部控制评级数据库的访问，如图6所示。

内部控制评级数据库的数据传输介质。信息化平台以数据中心形式运转，内部控制评级数据库独立运维，数据的输入、输出可通过多种介质，但任何一种介质进行输入、输出的权限唯一且需经过严格审批。

（三）内部审计人员运用内部控制评级数据库

进点后，审计人员使用分配的证书许可，由内部审计作业系统中内部控制数据库登录接口进入内部控制评级数据库，开始执行对被审计单位的内部控制测试。重点执行以下步骤：

步骤一：进入内部控制評级数据库。获取被审计单位审计期间内部控制评级数据、各数据指标的纵向对比分析报告以及内控评级结果的第三方审查意见，如图7所示。

步骤二：对获取的资料进行记录。通过访谈、观察、检查、追踪某一单项业务等程序，复核内部控制评级结果的准确性、真实性。计算机主导的内部控制测试综合运用了数理统计、概率论等数学原理，取代人工复杂、烦琐的统计，但内部审计人员仍需对其进行复核。

步骤三：综合分析复核结果。内部审计人员得到被审计单位健全性、合理性的初步结论，评估其内部控制风险等级，决定是否依赖被审计单位的内部控制评级数据库，并对独立第三方出具的审查意见作出判断，确定数据库所载信息是否成为内部控制测试的结论。

步骤四：对内部控制再评价。根据数据库评级、风险水平，对被审计单位控制风险等级进行再次评价，做好审计底稿记录，形成内部控制测试报告。

步骤五：确定实质性审查的性质、范围、重点和方法。内部控制评级数据库为审计人员提供了直观、量化的数据信息，审计人员可根据数据库所载的每一单项业务内部控制缺陷进行审查，目标精准、针对性强。

七、结束语

在审计实践中，通过关联内部控制评级数据库，降低因内部控制局限性带来的检查风险，企业内部审计将采用全新的思维和技术手段来规避风险，建立内部控制评级体系、内部控制评级数据库将成为极富价值的选择。在提升企业法人治理水平的同时，满足了内部审计工作的需要，企业以最小化成本取得最大化效益。内部审计人员不再因工作经验、技能水平限制作出不恰当的内部控制测试结论，检查风险将大大降低。借助内部控制评级数据库的帮助，内部审计人员能够精确判断被审计单位的内部控制可信赖程度，以便确定实质性审查的范围、程序、方法和样本量等关键因素，提高内部审计工作的效率和质量。

（作者单位：云南电网河口瑶族自治县供电有限责任公司，邮政编码：661300，电子邮箱：bluesea-58@163.com）

主要参考文献

莫满军，宋新秀.内部审计与内部控制的融合策略[J].中国内部审计， 2018（4）

邱国峰，缪颖霞.内部审计质量评价体系的建构[J].中国内部审计， 2018（2）

田雨.电网企业内部审计智能库的构想与探索[J].中国内部审计， 2018（5）