近日小编精心整理了《企业内控审计营销管理论文(精选3篇)》,供需要的小伙伴们查阅,希望能够帮助到大家。摘要:以南方电网营销管理系统的应用系统权限管控现状为例,基于大数据分析方法对应用系统权限管控模型进行分析构建,为电力行业应用系统独立向大数据框架下集成纵深应用转变提供权限管控应用实践解决思路。
企业内控审计营销管理论文 篇1:
论内部控制在快速消费品企业营销管理中的运用
[摘 要]成功加入世界贸易组织后,中国经济便进入了高速增长,文章分析了快速消费品的现状,阐述了内部控制在快消企业环境、活动、评价、监督等方面的不完善,提出了针对内控在体制、财务、预算、风险等多方面的解决办法。
[关键词]营销管理;内部控制;快速消费品
[DOI]10.13939/j.cnki.zgsc.2016.05.044
内部控制是企业以盈利为目的,通过相关制度和具体措施的严格执行,提高经营效率和效果,以实现企业未来的发展战略和目标。对于快速消费品行业,内控机制的建立、管理与执行,对企业长期稳定的发展尤为重要。
1 快速消费品企业的基本现状
快速消费品有着产品周期短、进入门槛低、绝对利润相对低、市场需求量大等特点。改革开放以来,随着国内人们生活水平的提高和物资需求不断的加大,中国的快速消费品行业呈现稳定增长,吸引了大量国、内外企业涌入快速消费品行业,使得市场竞争非常激烈。怎样使企业在激烈的市场竞争中占有一席之地,如何使企业领导人准确把握市场方向和有效管控企业整体运营,这都需要企业引入内部控制机制,企业内部控制机制对企业未来的发展有着重要意义。
2 内部控制在快速消费品企业营销管理中存在的问题
2.1 企业内控环境的不完善
2.1.1 组织结构不合理
企业的组织结构没有体现内部控制要求,部门职责权限和业务边界界定不清。组织机构设计的不科学,责权分配不合理,直接导致机构的重叠、职能缺失、扯皮推诿、运行效率低下。
2.1.2 企业文化建设不到位
企业文化既是企业综合实力的体现,也是企业的一种软资源。在企业面临新形势、新任务、新机遇和新挑战时,它会促进员工利益与企业利益,甚至与社会利益保持一致,使企业达到利用文化管理企业的目的,并积极发挥整个内控机制作用。但很多企业却恰恰忽视了企业文化建设,使企业缺少向心力,同时滋生出很多问题。
2.1.3 管理信息失误
企业管理者对所拥有的经营管理信息,无法保证绝对的真实与对称,使得在企业重大投资和决策上可能出现偏差,也可能出现人为的信息泄露。同时,受销售压力影响,导致人员流动性强,企业营销信息外泄的可能性加大。
2.1.4 人力资源和绩效激励不到位
高效内控制度的实施离不开高素质员工,但是很多的快速消费品企业不能很好地运用人力资源,招聘时没有把应聘者的素质及能力放在首位,员工得不到系统性的培训,考核制度不完善,没有晋升和奖励办法,这些都会导致个人利益不能得到满足,从而出现损害企业利益的情况。
2.2 企业内控活动的不完善
企业的管理业务授权、制定的规章、不相容岗位的操作规范和业务流程、控制标准及独立检查等,这些都是经营管理过程中的关键控制点,这些内容的合理操作与执行都需要企业内部各个职能部门共同参与和协同运作。目前多数企业在一个或多个关键点上都存在着不合理的情况,企业的内部控制根本无法有效地贯彻执行,最终导致财务部门无法真实和完整地反映出企业经济运营情况。
2.3 企业内控评价的不完善
内部评价部门责权不明晰,对最高管理层的评价和监督无法进行有效控制,企业内部出现问题的相关项目,无法进行合理考核,进而难以保持公正有序的评价活动。企业管理信息的失误,使得各级投资者拥有的经营信息不真实、准确,无法指导企业评价与决策,甚至可能出现人为信息泄露的风险。
2.4 企业内部监督机制的不完善
目前多数快速消费品企业没有形成有效的内控监督机制,有的企业会简单地认为通过合理设立组织机构,明确业务分工,就已建立了完善的内控机制,不再需要建立监督部门。有的企业虽设立了内部的审计部门进行监督,但部门的独立性差,不能独立工作,只把工作集中在财务核算的检查上,无法真正有效地发挥内控的监督作用。
3 内部控制在快速消费品企业营销管理中运用的建议
3.1 优化组织体系,确保内控有效
内控组织体系包括:横向组织与纵向组织的设计,在进行横向组织设计时,关键岗位的设计要做到明确职责范围,相互监督制约,不相容岗位应严格分离。对于关键岗位要采取定期轮岗制度,避免出现人为腐败现象,企业的营销策略、项目投标和改扩建投资等重大事项要实行集体决策。在进行纵向组织设计时,力保内控小组的专业性和独立性,保证企业内控评价的客观、公平与公正。同时,选拔高素质人才组建专业的内控评价小组,确定各个岗位的工作职责,认真合理地评价企业缺陷项目。在评价工作组成员对所在部门内部控制的评价工作中,应当实行回避制度。
3.2 加强企业财务管理
企业财务管理的加强主要是指在投资、筹资、营销及股利分配等方面工作的加强,财务管理的最终目的是使企业价值最大化,这需要通过企业的资金活动来产生。首先,要加强财务核算管理,财务核算要做到合法依规、有理有据,不做虚假账目,并通过财务核算平台,实现财务工作的具体化和准确化,为信息使用者的经营决策提供服务。其次,要加强财务分析管理,企业要利用现代化信息技术,采用先进和科学的管理方法编制财务报表,通过报表数据进行具体分析,保证分析直观清晰,利于经营决策。最后,企业还要通过各种渠道不断对财务内控进行宣传,使员工逐步树立财务管理的理念。
3.3 改进全面预算管理控制
全面预算管理与内部控制的关系非常密切,它们的目标一致,管理重心既各有侧重又有所交集,提升全面预算管理水平,使其在内控中发挥核心作用,可提升企业内控执行力,从而达到事半功倍的效果。全面预算管理就是全方位、全过程及全员参与的预算管理。全方位就是把企业全部经营活动均纳入预算体系,它包括经营预算、财务预算和专门决策预算。全过程就是把各项经营活动的事前、事中和事后纳入到预算管理过程。全员是企业各部门、各岗位、各级人员共同参与财务预算编制和实施。建立全方位、全过程及全员参与的企业全面预算管理体系,形成全面整合性管理系统,全面预算管理才具有全面控制的约束力。建立企业全面预算管理体系,要与内部控制充分融合,在加强全面预算管理的同时,可以避免企业出现管理体系与内部控制“两张皮”现象,强化内部控制工作的落地,提升其执行力。
3.4 辨别市场经营风险,正确进行内部评价
市场经营风险主要体现为:行业竞争、食品安全、促销人员安全、劳动关系以及产品饱和度等方面,快消品市场大多数采用“高举高打策略”下的高额营销费用来占领市场和拓展渠道,主要以获取短期经济效益为主。在企业业务拓展时,要充分进行市场经营风险识别,在全面评价风险影响条件下,合理制定企业经营目标和发展方向,逐步提高企业利润,进而使企业得到长期稳定的发展。控制活动贯穿于企业的发展进程中,因此,内控评价必须要落实国家经济政策,全面识别市场经济风险,控制业务和决策,提高企业经济效益。
3.5 其他内部控制
企业在日常内部控制管理工作中还需关注:①建立健全内控制度,加大执行力度,提高企业员工对内控机制重要性的理解和认识;②职务和岗位定期轮换,相互制约、杜绝隐患、防止舞弊;③强化内审控制职能,保证各项经济业务真实准确,及时发现和堵塞漏洞;④制定有效的人力资源计划和考核绩效制度,充分调动员工工作热情,全面提升员工综合素质。
4 结 论
企业经营管理需要多种竞争战略,增强内控体系的执行力度,建立一套完善的内控评价机制,提高各级职能部门对内控体系的重视程度。提高营销效率,降低企业风险,保护人力资源,使企业在日益激烈的竞争中立于不败之地。
参考文献:
[1]邓含.论内部控制在快速消费品企业营销管理中的运用[J].中国乡镇企业会计,2015(4).
[2]周立新.关于企业销售内部控策略若干思考与研究[J].经营管理,2013(1).
作者:王庆梅
企业内控审计营销管理论文 篇2:
基于大数据分析在应用系统权限管控中的分析
摘要:以南方电网营销管理系统的应用系统权限管控现状为例,基于大数据分析方法对应用系统权限管控模型进行分析构建,为电力行业应用系统独立向大数据框架下集成纵深应用转变提供权限管控应用实践解决思路。
关键词:大数据分析1;权限管控2;RBAC模型3
引言
随着企业信息化发展水平的不断提高,企业管理的信息系统越做越大,用户数量在不断增加,应用场景变的多元化,产生越来越多企业级内部应用系统数据融合的业务需求,这些需求来源于不同的部门、业务和应用场景,各种需求交织在一起产生的问题可由大数据系统做进一步解析与挖掘。在这个过程中,如何精确地控制系统用户的访问权限,如何解决权限管控颗粒度不一致的问题,以满足企业内控管理要求,降低企业管理风险,是应用系统管控功能建设需要考虑的重要问题。
1.应用系统权限管控的意义与内涵
权限对于一个信息系统来说,就是用户在系统中能够做哪些操作。说起来看似简单,但是实际实現起来并不是一件容易的事,这要涉及到系统的用户管理、角色管理、权限对象管理、权限分配管理、内控互斥检查等,要求系统在最初设计时就要考虑到每个系统功能都要关联权限控制的问题。
企业的应用权限管控,从广义上讲是对企业中各应用系统的权限从申请授予,到权限分配使用,再到权限回收进行全程闭环流程的监控,建立权限管理进而保证应用系统的安全性。从狭义上讲权限管控是指在每个用户在各部门、业务以及个人角色上都定位有自己的权限,不允许越权使用系统,因此需要建立一个分配和管理这些权限的机制与方法,这就是权限管理。
2.南方电网营销管理系统权限管控痛点问题
目前南网营销管理系统拥有上百个角色,上千个功能菜单,上千个流程环节,其中有一百余个环节是动态指定角色,由于南网营销管理系统角色、流程配置过于杂乱,引发了三个主要问题:
(1)人员的权限和岗位没有直接关联,配置角色、流程过于复杂
权限角色是系统功能权限设置的基础,相当于用户分组,所有用户对应到相应权限角色,便具有该权限角色所赋予的所有功能权限,岗位是在组织架构下的精细岗位划分,是业务流程控制、业绩考核、预警体系的基础,不同的机构、部门下的同一职务作为不同的岗位管理的。角色人员权限实际上部分相当于岗位权限分类的概念,但并没有把岗位直接作为系统功能权限设置的对象而是引入了权限角色概念,南方电网营销管理系统一个岗位需要配置多个角色才能满足,是因为岗位非常多,而很多不同的机构、部门下的同一职务拥有同样的功能权限,一位用户的角色甚至多达几十个。
(2)相同岗位下的人员权限不统一,业务安全风险及审计风险均较大
由于营销管理系统涉及到公司不同部门、岗位及工种的人员,系统涉及到的人员较多,加之目前人员的岗位变动较为频繁,人员素质参差不齐,基层人员申请角色权限没有明确参照,对权限分配时往往不能统一且不遵循最小化原则。部分员工对自身权限保管和使用的安全意识了解学习不到位,岗位发生变动或离职时权限变更、注销也不及时,极大影响了营销系统的使用安全性,也造成了潜在的业务安全及审计风险,严重时甚至可能会给企业造成巨大的经济损失
(3)缺乏角色权限校验模型,难以保障角色申请合规性。
在以往的权限管理中,应用权限的管理处于一个相对粗放的模式,权限新角色申请、变更及关闭往往通过提交流转环节复杂的申请工单进行匹配操作,但由于上述两点问题的长期存在,难以构建一个标准的角色校验模型,现今权限开通变更仍然依靠系统管理员,通过人工审查更改,各权限、角色、岗位之间界限模糊,对权限申请与授权都是根据工作需要临时进行处理,导致人工审查工作量大,审查人员只能按照申请工单内容进行操作,核查权限开通变更是否合规成为一个棘手问题,手工操作差错难以避免,角色申请合规性难以保障。
3.营销管理系统权限管控整改思路
利用Python进行大数据对比、分析,重新梳理营销系统现有角色权限,重构营销系统角色,精简角色及流程环节适配,营销角色权限分析模型,建立具体流程可遵从如下思路开展:
(1)角色权限数据收集
由于流程环节中有上百个环节是动态指定处理,每一个动态指定处理都是一段代码,解析后动态指定处理有人员和角色,角色中存在较多权限,因此在整改中,如果动态指定角色废弃后重新梳理,会带来较大的工作量,但如果不重新梳理,一个操作员需要配置的角色可能就会有多个,并且会导致权限过大,出现岗位和权限不匹配的情况,而降低申请和审批工作量之所以可行,关键是把一些大同小异的重复过程,通过抽象,变成一次性的过程,而一个用户,他的工作职责和范围在短期内往往是相对固定的。
可在保持营销系统现有权限体系不变的前提下,基于用户角色权限设计方案,解偶权限点和具体的人员的映射关系,通过Python应用大数据比对分析技术,从营销系统中提取角色对应的权限数据并进行归类,从业务环节、模块、流程多维度梳理,利用数据分析框架对结构化的权限数据进行控制和操作比对,对异常数据进行清理处理,筛选重合冗余的动态角色权限,完成已有角色的相似度比对。
(2)与相关部门联动进行系统权限重新划分
建立权限管控与市场部、地市供电局之间的双相联动机制,保持部门间的良好沟通,针对不同类型用户的建立独立的权限分配原则及标准,对于用户权限的分配以保障数据直报的高效、准确、安全为原则,及时调研参照组织架构、岗位设置以及权限互斥原则对营销系统角色进行重构。
通过对用户角色进行重新划分,重新分配用户权限,合理限制对个例数据的修改权限,将原始数据与统计梳理后信息利用分开,对用户角色权限清单进行初步分析排查,标注不满足互斥要求角色、菜单及流程,重新按照系统岗位对角色进行重新配置,确保重新配置后的人员岗位及角色满足业务管控要求,并基于修正后的人员角色精简并对流程环节对应角色进行重新适配。
(3)构建营销角色权限分析梳理模型
分层级对人员岗位角色存在的差异进行调整,调整角色规范,通过调整角色权限配置逻辑、角色关联用户及角色关联权限的方式间接赋予用户权限,处理用户、角色与模块菜单之间的关系,对角色规范进行调整。
以RBAC模型作为基础,按照上述“权限数据收集-权限数据清洗筛选-系统权限重新划分-系统权限重新配置”流程,构建营销角色权限的分析模型,通过提供用户可配置的资源点与数据集合,将各个角色权限、流程权限及所涉及的动态角色权限的管控纳入到模型中进行统一的管理,录入到权限管理模型中,由用户界面统一配置,根据业务场景和流程可进行自定义的设置,灵活地为多用户配置不同流程和操作权限,提高权限配置的合规性,为后续角色申请合理性提供自动校验工具。
(4)完善应用系统角色管控体系
所谓权限管理体系,就是如何控制操作使用者对软件功能和系统数据的访问权限的各个方面。针对权限不足或权限设定不合理的情况,可通过权限梳理工具持续变更岗位权限,后台运维人员及时更新到营销系统中,对于确实无法避免用户权限互斥的问题,在管理上要对这些岗位人员的操作加强监控,定期检查,避免出现管理风险,给企业造成不必要的损失。
从整体上来说,应该明确应用系统权限分配的流程和建立权限分配的闭环管理模式。通过营销角色权限分析模型的建立,完善系统角色管控体系,使得角色配置在合规同时更加灵活多变,用户可更加便捷地获取和变更权限,缩短权限申请配置时间,在权限设置上达到事半功倍的效果。
4.结论
权限管理工作,不是简单的安全问题,更多的时候是一个产品设计和业务治理的理念和目标问题。随着大数据技术的发展,权限管理直接影响着应用系统与企业数据资源的安全,对于重视应用系统权限管控、建立完善的系统权限管控体系对于企业发展信息化转型具有很大的帮助,赋予管理者分配权力的同时,既可以提升工作效率,还可以做到工作区域承担,这也将会是信息化发展必然的结果。
作者:陈晨 张元文
企业内控审计营销管理论文 篇3:
风险导向内控审计在电网企业的实践应用
[摘要]将风险导向审计思想应用于内部控制审计,利用内控成熟度评估辅助开展内部控制审计,构建内部控制审计体系和实施路径,指引审计人员快速定位高风险内控领域与流程,有助于审计资源分配和审计效率的提高,进一步提升企业内控能力,规范企业管理。
[关键词]内部控制 内控审计 风险导向 成熟度
电网企业L公司积极响应国家要求和上级单位管控需求,落实公司转型发展需要,结合内外部形势变化,探索内部控制审计新模式和新方法,推动内控审计工作有序开展,为公司战略目标实现提供有力支撑。
一、成熟度模型应用于风险导向内控审计的可行性分析
(一)成熟度模型
成熟度模型使用“成熟度”的概念来描述组织拥有某种能力的情况。成熟度模型可用于判断被评价对象所达到的水平或所处的发展阶段,目的在于推动被评价对象朝着最佳实务目标持续进步。目前,各行业常用的成熟度模型超过30种,最具影响力的能力成熟度模型是由美国卡耐基梅隆大学软件工程研究所和美国项目管理学会构建发布的能力成熟度模型和组织项目管理成熟度模型。
根据国际内部审计师协会(IIA)发布的《选择、运用和创建成熟度模型:可用于确认和咨询业务的一种工具》,审计人员可在审计工作中有效应用成熟度模型,或在没有可利用模型的情況下创建模型。IIA创建的内部审计能力模型,从服务和内部审计的角色、人员管理、专业实务、业绩管理与责任制、组织关系与文化、治理框架六个方面考查组织的内部审计能力。
(二)内控成熟度与风险导向内控审计的兼容性分析
“内控成熟度”综合反映企业在内部控制体系建设、实施等各方面的情况,可以用来评估企业内控实际状况,包括内部控制的建立有效性和运行有效性。内控成熟度等级代表了企业对实现控制目标的满足程度,等级越高意味着内控制度和措施的健全程度与执行效果越好,本质上体现了企业风险控制能力的综合。
内控成熟度评估是在设定成熟度模型框架的基础上,建立量化评估方法以判断内控关键实践和控制领域的实现情况,确定内控能力成熟度等级,并通过整体和各关键控制领域的得分情况,分析出被审计单位内控体系相对薄弱的方面。通过内控成熟度评估揭示企业运行中可能存在的风险,审计人员可以有针对性地开展内控审计工作,并针对发现的问题和确认的风险点提出相应建议,最终实现提升内部控制能力的目标。
上述分析表明,内控成熟度与风险导向内控审计相互兼容,追求的目标具有一致性,说明把内控成熟度运用于风险导向内控审计是可行的。
二、构建风险导向内控审计体系
(一)内控审计体系基本内涵
结合公司战略部署和落地实施,L公司审计部构建以风险为导向,以内控成熟度评估为基础的“两表三步两维”内控审计体系(简称“232”内控审计体系)。“232”内控审计体系是通过由内控成熟度评估及基础信息采集组成的“2套评估表单”开展审前调研分析,运用风险导向的“审前评估—审计实施—审后处理”的“3步审计法”进行公司内部控制审计,运行“2维评价机制”深度挖掘数据内涵,分析内控管理短板,持续提供整改建议,实现内控审计的风险识别、缺陷认定及闭环整改(见图1)。
(二)“232”内控审计体系主要构建思路
1.以评估表单规范审前评估
历来内控审计实施过程中存在两大难点:一是审计人员对公司各条线业务熟悉程度不一,无法准确判断潜在风险点和确定审计重点;二是集团化企业各分子公司业务和内控流程不一致,全面评估和排查风险存在困难。基于以上两个难点,本体系重新梳理内部控制流程,创新性采用内控成熟度评估理论,以评估表单指引审前评估工作的开展。
(1)内控成熟度评估表
L公司审计部在构建内控成熟度模型作为内控审计体系基础的过程中,充分考虑电网业务特色和“放管服”改革变化,结合国内外风险管理最新理论与实践,梳理公司业务流程及国网现行适用制度,提取电网特色流程(如电网工程管理、电费收取等),针对重大风险领域,调整内控审计关注点及相应指标。
一是清晰的指标结构层次有助于审计人员快速理解审计项目,准确判断潜在风险点,选取恰当审计标准和评价指标,为提高审计效能奠定良好基础。考虑到内部控制系统各要素之间既具有一定的独立性,又相互联系相互影响,将内控成熟度模型分为“面”“线”“段”“点”四个考察层面,具体内容见表1。
二是针对具体事项发生过程中的关键控制点是否设置并执行有效进行相应内控审计评估,并建立相应的评估指标。评估指标分为流程指标和控制指标两类(见图2),“232”内控审计体系中成熟度评估指标采用定性判断的形式,使评估结果易于采集、便于统计,同时适于推广应用。被审计单位相关责任部门对该具体业务或事项进行自我评估,定性判断评估指标的描述与实际情况的吻合度。
由于L公司业务范围广泛、流程复杂,且不同子公司的内部控制管理各有侧重,“232”内控审计体系采用层次分析法设置成熟度指标权重,将同一层级指标重要性进行量化比较,确定同一层次元素相对于上一层次的数量关系与权重,最后对总权重由最高层次进行逐级分配。内控成熟度评价表采用复合式分值统计系统,结合权重理念,设置两类评分,即“标准化评分”与“赋权得分”。标准化得分指对单个二级指标中各阶段(三级指标)的定性评价进行量化整合得到的分数,每个业务流程满分为10分。赋权得分指对全部二级流程的标准化得分进行赋权整合后经扣分机制处理得到的分数,公司整体满分为100分。
(2)基础信息表
尽管已充分考虑电网行业特色及L公司的管理特点等因素,但单纯依赖成熟度评估模型仍然可能无法满足实际内控审计工作的需求。因此,针对内控成熟度框架“定性问题、定量结果”的特点,“232”内控审计体系引入与之互补的基础信息采集表,进一步完善审前评估阶段。引入基础信息采集表,一是可以纳入成熟度评分指标外风险点,更全面评估被审计单位的内部控制情况;二是对收集的定量信息进行数据分析,避免成熟度指标单纯定性判断的弊端;三是便于审计人员快速、深入了解审计对象,基于业务实质开展审计工作。
2.以成熟度评估指导审计实施
成熟度等级从最低级的“混乱级”到最高级的“战略级”,每个等级都有其在内部控制设计、执行及风险防范方面的特征和目标。L公司在开展现场审计工作前,对被审计单位的内部控制成熟度进行评估,审计人员可以快速了解内部控制整体状态,初步判断被审计单位的内部控制风险所在,明晰内控风险水平,以风险为导向确定审计重点,初步指出经营管理能力提升方向。成熟度等级及内控特征对应关系见表2。
通过被审计单位的内控成熟度等级判断内部控制总体情况,结合各二级流程具体得分,审计人员可以聚焦内控风险水平较高的领域,关注对公司经营管理具有重大影响的核心流程,或者酌情增加重点流程抽样量。此外,“232”内控审计体系对内控审计评估要点进行细化,完善和优化审计底稿,在审计底稿模板中充分考虑基本信息、抽样原则、涉及系统、检查方法及要点、检查结果和检查依据等要素,设置索引号进行关联,便于审计过程中交叉验证。
L公司审计部充分考虑公司信息系统规划和实施情况,借助现代化技术手段对数据和信息进行收集和处理,提升从ERP、OA、PMS、财务管控、营销系统、电力交易系统等21个专业系统中直接取得审计证据的比例,促进提升审计效率。一是提升审计证据真实性,利用系统关联性减少审计证据被篡改的可能;二是保持审计证据的客观性,相较于传统的访谈、函证等审计方法,信息系统数据分析可以减少主观性判断;三是简化非必要审计项目。例如,已经系统流程固化的步骤可减少现场审计过程的抽样量;四是拓展审计证据渠道,L公司多维精益管理体系的实施加速了公司业财融合进度,信息系统中可反映更多日常管控信息,为内控审计提供了更为丰富的数据信息。
3.以两维评价进行审后处理
立体化的内控审计工作模式可以满足内控审计不同监管频率、不同审计范围和不同分析维度的需求。“232”内控审计体系设置“两维评价机制”对审计结果进行分析,从业务和公司两个维度进行考虑,将两类得分在公司内部流程、多家下属公司之间进行比较,深度挖掘内控能力缺点,明确内控能力提升方向。如有条件获取多期审计数据进行比对,亦可拓展时间维度,丰富内控审计结果的应用。两维评价机制具体解释说明见表3。
三、体系实践应用
根据年度审计计划安排,L公司审计部选取6家下属供电公司开展内部控制审计专项工作,应用“232”内控审计体系,提前判断内控高风险领域与流程,合理配置审计资源,对被审计单位的内部控制情况进行全方位诊断,进一步提高审计监督质量。
(一)审前调研评估
在确定审计对象后,将内控成熟度评估表和基礎信息表下发被审计单位对接部门,并由其组织各专业部门填写。填写完成后,被审计单位对接部门进行初步审核后将数据上报至L公司审计部。审计人员将数据输入内控成熟度评估模型进行分析,初步得出被审计单位的内控成熟度赋权得分和各流程的标准得分,结合基础信息表中上报的内容,对被审计单位的内部控制情况进行整体评估。各被审计单位内控成熟度初步评估结果见表4。
(二)审计现场实施
综合上述评估结果,L公司审计部以内控风险为导向,确定各被审计单位的审计重点,指导现场审计工作。审计人员在流程全覆盖的基础上,对重点流程和相关控制环节增加审计资源投入,检查内部控制设计与执行的有效性。本次内部控制审计专项工作共发现32个内控风险缺陷,其中设计缺陷9个,执行缺陷23个。
1.内部控制设计方面。审计发现的内部控制设计问题主要有:各业务环节衔接不紧密或存在疏漏;内部控制设计未根据公司业务开展和制度情况进行更新,与实际情况有出入造成难以有效实施;内部控制措施内嵌在信息系统中,一人可以履行流程中多重角色。例如,审计人员根据内控成熟度评估结果,有针对性地加大对C供电公司的物资(服务)采购管理流程的审计力度,发现其废旧物资管理流程虽然在ERP系统中设置了四级审核,但未将审批权限与内网电脑MAC地址进行绑定,导致在实际执行中存在一台电脑对多笔业务进行申请、审核和审批的情况,公司资产处置存在风险。
2.内部控制执行方面。审计发现的内部控制执行问题主要有:操作人员对制度流程不熟悉,由于流程较复杂未能严格执行;内部控制措施设计不合理导致执行不到位;部分人员急于处理业务而选择跳过某些控制环节等。例如,审计人员根据内控成熟度评估结果,提高对E供电公司科研管理业务的抽样比例,抽取当年发生的科研项目13项(占比50%),发现存在项目可行性研究不深、项目成果评审流于形式等问题。审计人员针对内控执行方面存在的问题,向相关业务部门及人员下发整改通知书,提出整改要求和整改完成时限。
(三)审后处理
在现场审计工作完成后,L公司审计部人员对现场发现的风险和问题进行汇总,与前期内控成熟度初步评估结果进行交叉验证,对未据实申报的情况进行惩罚性扣分,得出各被审计单位内控成熟度最终得分(总体及各流程)。L公司审计部对纳入本次审计范围的6家供电公司进行综合排名,并将排名、得分等信息在L公司系统内进行通报,形成内部控制方面的良性竞争氛围,促使各供电公司努力提升自身内部控制能力。
四、体系实施效果
风险导向基于内控成熟度的“232”内控审计体系能够帮助审计人员简化审前调查环节,提供清晰明确的审计要点,科学配置审计资源,缩短审计时间,有效缓解审计数据庞大、任务重、时间紧、人力匮乏的窘迫局面,实现准确定位、及时预警,有效确保审计效率提升。审计人员利用成熟度评估整体得分判断被审计单位的内控情况,并通过关键控制领域得分进行对比和判断,抓住被审计单位的内控薄弱环节和高风险环节,有针对性地开展现场工作。与传统内控审计审前资料收集、现场查账、核对实物、查阅相关资料等步骤相比,审计效率提升30%以上,人员资源需求降低40%以上。
通过“232”内控审计体系的建设和应用,L公司进一步适应了新形势下公司业务的变化,增强了内控审计水平,提高了风险防范能力,满足了集团化运作、集约化发展、精益化管理、标准化建设要求,为实现公司建设具有中国特色国际领先的能源互联网企业战略目标提供了具有实践意义的创新管理经验。
(作者单位:国网辽宁省电力有限公司,邮政编码:110004,电子邮箱:1017444894@qq.com)
主要参考文献
田志刚.地方财政内控能力成熟度的测评研究[J].中南财经政法大学学报, 2011(6):7-11
辛风.成熟度模型在内部审计确认与咨询业务中的运用[J].中国内部审计, 2013(12):46-48
尤然.基于能力成熟度模型的财务内控成熟度评价体系构建及信托公司财务内部审计侧重初探[J].审计与理财, 2017(1):37-39
作者:陈冬梅 邓昕 于春洋 王琳 孟蕾 洪祥超