|
内部审计对建设项目风险防范的作用研究——基于“CSA+免疫防线”体系的视角 王策 刘揽月 1.引言 1.1内部审计与风险管控的耦合 2013年,IIA发布《有效风险管理与控制的三道防线》中提出“内部审计为组织有效风险管理与控制的第三道防线”。同年,CIIA发布的《内部审计基本准则》中要求内部审计机构对组织的风险管理的适当性和有效性进行审查和评价。长期以来,国内外审计专家学者也对如何落实内部审计在风险管控中的作用展开了多种方法研究,包括基于控制测试、实质性测试、风险管理地图的传统风险导向内部审计模型,基于重大错报风险和检查风险的整合风险导向审计程序,基于ERM框架的经营风险导向内部审计闭环体系,基于COSO内部控制框架和“三道防线”关联的风险控制审计途径,以及基于借助IT系统平台的CSA风险管理整体框架等。国际、国内内部审计理念和实务的发展变化,使风险管理与内部审计耦合,风险管理促进内部审计的演进,内部审计保障风险管控的效益。 1.2内部审计对建设项目风险防范的意义 长期以来,在我国建设项目工程中一直存在“豆腐渣”工程、“三边工程”以及“胡子工程”,上海的“楼倒倒”、四川的“楼歪歪”、武汉和郑州的“楼脆脆”等建设项目质量风险事故频现。由于建设项目的特性,建设项目各阶段风险还包括环境风险、设计和技术风险、资源风险、市场风险、布局安全风险、工程施工风险以及不可抗逆风险等。PMI发布的《PMBOKR指南》中明确,项目风险一旦发生会对至少一个项目目标造成影响。伴随国家经济快速发展和投资增长,如何防范建设项目风险迫在眉睫,如何发挥建设项目内部审计在风险管理中的作用正受到空前重视。CIIA发布的《内部审计实务指南第1号——建设项目内部审计》要求审计部门应将风险管理的审查和评价贯穿于建设项目各个环节,并与项目法人制、招标投标制、合同制、监理制执行情况的检查相结合。内部审计在建设项目风险防范中的作用就是为项目创造一个平静、稳定、廉洁、高效的环境,降低成本,避免损失和浪费,使项目顺利投入使用且保证效益。 2.“CSA+免疫防线”体系的设计构建 2.1“CSA+免疫防线”体系的基本原理控制自我评估(以下简称CSA)就是内部审计从传统审计向风险导向审计转型的切入点,以实现目标、控制风险为目的,由组织管理层和职工直接参与的对内部控制系统的有效性和恰当性进行的评估。免疫防线则体现内部审计“免疫”的本职。“CSA+免疫防线”模型以CSA评价流程关注建设项目投资立项各业务的过程和成效为出发点,借鉴人体的三道“免疫防线”理论,形成以三道“免疫防线”为主的建设项目风险导向内部审计体系。CSA的结构化控制与免疫防线的过程监督和预防相结合,将传统的由内部审计人员执行的内部审计发展成由组织内各相关建设部门和职能部门共同参与的内部审计体系。 2.2“CSA+免疫防线”体系的架构“CSA+免疫防线”体系是一个基于建设项目目标的系统化风险导向内部审计机制,贯穿建设项目从项目准备到竣工决算各个阶段。根据建设项目各阶段审计内容和防范风险的不同,选择不同的审计方法,以保证审计工作质量和审计资源的有效配置。为了避免内部审计工作在建设项目风险防范上流于形式,“CSA+免疫防线”体系中各控制环节只有在完成上一阶段风险控制工作达标后才能实施下一阶段,从而保证建设项目的实施与目标偏差可控,达到建设项目的成本效益。如下图1所述,“CSA+免疫防线”体系主要由三道免疫防线组成。CSA评价作为第一道免疫防线好比在建设项目投资立项阶段,内部审计机构与被审计机构之间的“防火墙”,有助于内部审计机构保持独立、客观的审查和咨询活动,避免又是“裁判员”又是“运动员”的审计风险,同时提高组织内部控制水平。第二道免疫防线为“普通免疫”,内部审计机构需要对建设项目的设计勘察进行评审,其审计效果可以免疫建设项目80%的风险。第三道免疫防线为“专项免疫”,这一阶段的审计计划根据第二道免疫防线的审计结果制定,其审计结果也将反馈给第一道免疫防线的评价体系和第二道免疫防线的审计计划,用于训练出具有未来价值的“CSA+免疫防线”体系。这三道“免疫防线”相互配合、相互支持,由组织内各相关建设部门和职能部门共同参与,实现对建设项目全周期风险管理实施全面内部审计的“免疫系统”功能。 
图1基于“CSA+免疫防线”模型的建设项目风险导向内部审计体系 3.基于“CSA+免疫防线”体系的内部审计在建设项目风险防范中的作用 3.1第一道免疫防线——CSA评估的风险防范作用 CSA评估是指由组织内各机构及员工以建设项目风险为基础进行的自我控制评估,整个评估体系由内部审计机构实施监督和咨询,评估目标与建设项目目标保持一致。内部审计机构通过审查组织针对建设项目投资立项业务制定控制计划、发现风险环节、改进控制程序,以确定建设项目的前期决策的科学性和可行性。基于CSA评估的风险导向内部审计通过问卷调查和研讨会等一系列方法收集建设项目信息,审计内容包括项目可行性研究中风险分析、投资估算中的风险预估以及前期决策中的风险预判和风险预警机制。如下图2所示, 
图2“CSA+免疫防线”体系的第一道防线——控制自评估 CSA评估的工作估的工作流程包括四个实施步骤和两个反馈步骤。四个实施步骤具体包括:(1)识别和评估风险,根据项目情况和组织自身管理水平对建设项目进行风险识别,包括资金管理、项目成本管理、工程范围、建设进度管理、沟通管理、项目环境以及建设项目组织结构等方面,收集信息和识别风险的途径包括头脑风暴法、德尔斐技术等,最终形成风险清单;(2)识别和评估控制,将风险清单中风险项分解为风险因素,参照“风险评估表”对风险因素进行风险评估,评估原则:若风险项下存在的风险因素为零,则此风险项为正常;若有1/3风险点识别存在,则此风险项为少量风险;若有1/3-2/3风险点识别存在,则此风险项为中度风险;若有2/3以上风险点识别存在,则此风险项为高度风险,从而对风险项进行影响量程度评估和排序,同时,由建设管理机构形成风险控制分析,提出提高机会、降低风险的方案和措施;(3)编制调查问卷,由建设管理机构根据风险项编制调查问卷,并组织相关机构员工和专家进行问卷调查和对风险评估的专项研讨会议,针对重大投资和决策还需要组织以风险为基础的管理会议;(4)分析调查问卷,对有效问卷反馈的以及通过研讨会议和管理会议收集到的项目风险因素和风险预警措施进行归纳汇总,形成流程和目标纠偏报告。两个反馈步骤包括评估结果反馈和评估过程中员工意识培训的反馈,在实施步骤(2)和(4)完成之后,分别反馈风险管理报告,以提供给组织决策者,有助于建设项目流程和目标的调整,寻求最优方案;同时,在实施步骤(1)和(4)中,通过调查问卷和研讨会的形式,分别可以培训员工积极识别项目风险的敏感度和判断风险预警的能力。在实施CSA评估时,应当为其评估、实施及反馈各阶段制定可衡量的成功因素,以确定CSA评估体系的可靠性。内部审计机构需要定期对CSA体系进行符合性测试,以确定CSA测试目标是否真实有效地反映了建设项目目标,CSA是否有效地运行,是否存在控制风险漏洞等,同时,对CSA评估的成功因素也应该进行专业咨询和改进建议,不断积累数据更新指标,以建立更具有价值和未来应用能力的CSA评估体系。 3.2第二道免疫防线——内部审计普查的风险防范作用 第二道免疫防线为内部审计机构通过建设项目管理信息系统和现场审查获取审计证据,对建设项目设计勘察情况和管理进行普查,形成设计勘察审计工作底稿和审计评价,若发现有超规模、超标准等执行偏差,立即出具审计意见和纠正措施建议,对发现重大设计(勘察)偏差影响项目经济效益的情况,立即将审计建议上报管理会议,建设管理机构调整设计,直到设计与原立项要求符合。设计勘察费用仅占工程总投资的3%至5%,但设计勘察工作对工程造价的影响达到70%左右,因此,设计勘察为控制建设项目效益的关键环节,设计勘察阶段的内部审计对防范建设项目风险、有效保障建设项目效益有重要作用,主要审查内容包括:建设项目是否符合规划许可的要求,建设项目的建设规模和实际标准是否与规划文件相符合,设计单位和勘察测绘单位是否具有相应的资质,设计方案是否通过限额设计进行方案优化论证,项目效益分析是否采用价值工程等分析方法,施工图完成计划是否与建设项目进度匹配等。通过委托设计(勘察)管理审计、初步设计(勘察)管理审计、施工图设计管理审计、设计(勘察)资料管理审计,可防止建设项目后期因设计深度不足造成后期大量设计变更而导致投资失控的风险,因设计图纸无法按时完成而造成施工进度拖延的风险,因设计单位提供的现场服务不及时而导致施工进度和质量偏差的风险,因设计缺陷而导致的质量事故的风险等,为建设项目建立风险预警,提前有效规避风险。 3.3第三道免疫防线——内部审计专项审查的风险防范作用 第三道免疫防线为内部审计机构对建设项目实施进行专项审查。内部审计机构需要对重大项目、大额资金项目以及第二道免疫防线审计结果中风险评估较高的项目制定专项审计计划和审计方案,落实风险巡检和风险管控责任地图,包括工程招投标、合同签订、合同执行和施工过程以及竣工结算。招投标阶段通过审查招标方式、招标组织形式、招标文件是否合法合规,评标流程是否规范,工程专业要求和施工界面是否清晰,实行招标制度是否通过市场竞争选择报价合理的合格承建单位等,有效降低建设投资、避免建设风险,同时,也有效预防基建工程项目滋生腐败。合同是经济活动的源头,严谨完整的合同是控制建设活动的基础,合同签订阶段通过审查建设项目是否全面推行合同制,合同条款中责权利、质量、工期、付款办法、奖罚、保修、索赔等是否合规、甲分包工程计价和合同计价是否合理以及合同双方责权是否明确等,以防范建设施工活动失控的风险。对进行过招标和合同审计的建设项目,合同执行和施工过程主要为对新增、拆除以及变更工程审计以及对合同执行风险巡检,对新增、拆除以及变更工程通过审计变更流程是否合规,变更内容是否详细反应现场实际情况,变更工程价格的认质认价过程是否合理以及是否有有效的变更内控制度,避免工程量只增不减从而提高造价的风险;合同执行风险巡检主要目的为加强合同管理和材料质量管控,及时发现和解决工程、材料管理中问题和隐患,建议由建设管理机构和内部审计机构一同定期巡检,形成《合同执行风险巡检表》并进行现场拍照,根据风险管控责任地图由相关负责人及时对《巡检报告》中的问题和缺陷进行整改。竣工结算审计主要审查工程竣工结算的真实性,审核工程管理中质量控制和进度控制是否严格按照合同执行,避免设备和材料存在货不对板和虚抬价格的结算风险,核查工程造价计量计价是否合规以及工程经济效益指标是否达标,避免弄虚作假和高估冒算的行为,另外,还需要注意审核索赔费用、点工费用、包干费用、施工配合费用等独立费用的合规性,避免虚列工程和套取资金的行为。 3.4“CSA+免疫防线”体系反馈机制的风险防范作用 “CSA+免疫防线”体系是一个持续的及时反馈问题、提升自我价值的建设项目风险导向内部审计机制,在保证建设项目质量验收合格、按期交付使用、成本可控以及财务结算效益达标的同时,通过内部审计分阶段监督、专业咨询以及风险巡检,反馈内部审计建议,提高“CSA+免疫防线”体系风险管理价值。在三道免疫防线实施中,内部审计人员都需要建立审计日志以及审计工作底稿,实时记录审计过程中发现的差异、违法和违规的问题,判断建设项目实施情况与既定标准之间的符合程度,发现执行偏差,由内部审计机构出具初步审核意见,通过内部审计人员与建设机构和施工单位针对初审意见中的分歧问题交换意见,达成最终审计意见和建议书。建设项目实施完毕之后,内部审计需对整个建设周期的流程和风险管控,进行分析与评价出具建设项目审计报告和审计建议书,同时进行后续审计并将审计结果运用到组织以后的建设项目目标和计划中去。此外,内部审计工作还应该接受审计评价,组织应采取独立的建设项目审计评价流程,评价内部审计工作效益。 4.基于“CSA+免疫防线”体系,对提高内部审计防范建设项目风险作用的建议 4.1通过常态化的内部审计体系提高建设项目内部控制 借鉴2007年底提出的“免疫系统论”这一审计理论,“CSA+免疫防线”体系通过持续风险评估,识别与实现控制目标相关的内外部风险,确定风险承受度,分阶段反馈审计建议并且及时风险管控,是建设项目运行的一个常态化“免疫系统”。根据建设项目规模大小、建设周期长短、项目管理水平高低以及审计要求等的不同,及时调整审计计划,抓住建设项目各阶段重要风险控制点,建立了一套以目标控制为中心且审计方法明确的建设项目风险控制机制。 4.2以高效的内部审计流程参与建设项目风险管理 “CSA+免疫防线”体系解决了建设项目传统内部审计中存在由于前期调查不到位导致审计计划和程序定位不准确以及审计实施方案缺乏针对性等问题,其通过前期CSA自控体系识别重要风险因素,制定专项内部审计方案,防范建设项目风险,同时,通过建设项目实施过程中的内部审计普查和建设项目专项审查,控制各阶段突发风险,实施风险预警机制,达成建设项目目标。“CSA+免疫防线”体系将审计资源分配到最大化效益的地方,形成了高效的内部审计流程。此外,组织还可以通过建设审计云和大数据审计平台实时采集和整理各建设项目内外部数据,归纳汇总建设项目内部审计意见和结果,积累建设项目问题集和有效应对措施,形成建设项目审计工作模板,用建设项目内部审计实施方案或手册的形式将各环节内部审计工作固定下来,并通过内部审计评价工作体系,督导检查审计人员严格按照建设项目内部审计实施方案或手册的要求执行。 4.3注重审计结果运用,提高内部审计人员素质 “CSA+免疫防线”体系的风险管控责任地图包含了组织内各相关建设部门和职能部门,营造了全员参与的建设项目风险管控环境,内部审计人员的审计职能也从IIA提出的“确认”和“咨询”拓展到风险预判、提出预防和应对措施、改进组织运营、提高组织效益等方面。贯穿于建设项目各阶段的三道免疫防线都要求内部审计机构检查项目执行偏差,并且及时提出审计建议,训练建设项目内部审计人员除了应具备工程审计知识和财务审计知识,还应该素质高、懂专业以及有实践经验。最终达到内部审计人员知识专而广、制度熟而透、技能精而强、思维敏而宏、协调柔而刚以及文字简而明。 5.结语 风险管理的本质是对过程的修正与纠偏,风险导向内部审计的价值是对纠偏工作的审查、评价和咨询。“CSA+免疫防线”体系基于建设项目的开发过程以及内部审计的工作流程,通过CSA体系从源头优化建设项目目标和计划,通过普查控制设计勘察偏差,通过风险管控责任地图和风险巡检抓住风险管理要点,及时纠偏,最后通过将建设项目的审计结果的反馈和运营,形成健康持续的风险防范机制,从而保证建设项目目标的实现。伴随国家经济快速发展和投资增长,建设工程内部审计正日益受到重视,希望通过本文的风险机制梳理以及对内部审计在建设项目风险防控方面的工作建议,对组织建设项目内部审计工作部署提供参考。
| 
