前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇风险评估工作报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念——PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调险控制工作计划,从而实现信息安全风险管理的工作目标。
[关键词]电网企业;风险导向审计;内部控制;构建研究
[DOI]10.13939/ki.zgsc.2017.06.138
自2008年《企业内部控制基本规范》实施以来,2012年国家电网着力从依法治企视角来强化内部控制工作,促进了审计工作在电网企业内部控制中的全面应用。作为一种审计方式,风险导向审计是基于审计过程,依托风险评估来构建审计模式,着力破解和防范审计风险,提升企业风险管控水平。在电网企业内部控制评审过程中,2008年五部委出台《企业内部控制基本规范》及配套指导文件,着力对央企、上市企业的内部控制体系进行明确要求,并提供了参考依据和建设方针。2014年财政部出台《电力行业内部控制操作指南》,着力就电力行业企业内部控制体系工作进行了明确,突出内部控制在优化电力企业经营管理与风险管控上的积极作用。本研究将借助于风险导向审计方法,来检查和揭示企业管理与控制风险,促进依法治企工作取得成效。
1 风险导向审计与企业内部控制评审的关系
风险导向审计源自委托理论,作为一种独立审计模式,旨在通过对企业生产、经营、管理等环节中可能存在的风险进行评估与规范,来改善企业风险管控效果,实现企业经营目标。中国内部审计协会(2013年)调查结果显示,以风险导向审计为主体的企业财务管理工作,推进了企业内部控制体系的建设,也突出了风险管理的重要性,改善了企业组织治理结构。在我国电力行业开展企业内部控制制度建设,主要依据《企业内部控制基本规范》要求,从企业董事会、监事会、经理层及全体员工来明确内部控制责任,细化内部控制目标。内部审计作为企业内部控制的重要内容,随着风险导向审计实践的不断应用,将内部审计逐渐转移到企业风险的防范与管理上。从内部控制的自我评价与内部审计的独立性来看,内部计有助于全面考察内部控制的自我评价,而内部控制不能作用于审计工作。因此,借助于风险导向内部审计,着力从企业内部控制评审中来发挥风险导向审计的积极作用,来发现和改善内部控制制度的不足。在现代企业内部审计管理模式中,结合风险导向审计与内部控制评审,以加强对企业各项业务活动的有效性、合法性、合规性评价,来修正和改进企业内部控制中的漏洞,降低企业经营、管理风险,提升企业的综合效益。
2 在电网企业内部控制评审中引入风险导向审计实施过程
国网河南省电力公司周口供电公司自身已经建立了企业内部控制体系,而在引入风险导向审计来优化内部控制评审工作中,遵循公允性、一致性原则,利用风险评估来确定企业可能存在的风险,明确了重点业务模块、重要业务领域的潜在风险源,其实施过程及重点如下。
2.1 确立内部控制审计业务流程及方法
参照《企业风险整体框架》(ERM框架),国网(周口)公司结合企业内部控制与风险导向审计管理实际要求,发挥内部控制审计确认与咨询职能。如下图所示。
电力企业内部控制审计构建流程
从引入风险导向内部控制评审实践来看,风险的识别、分析、评估是审计重点。依托内部控制体系来评估风险控制的充分性、有效性,对企业各重点领域存在的组织治理、控制、风险等提出审计评价。在具体审计方法上,前期调查阶段,主要工作是搜集相关财务信息及资料,并通过观察法、访谈法、问卷法、座谈法、评测法、抽查法等来进行初步审计;在风险评估环节,主要是结合企业不同业务模块,来收集可能的风险要素,并对相关风险进行评估,采用的方法有计算法、复核法、审核法等;在审计实施环节,主要是就重大风险进行审计,并修正风险评估结果,方法有检查法、抽查法、分析复核法等;在审计终结阶段,主要出具审计工作报告,明确审计中的主要建议;在后续整改环节,主要对已经确定的审计结果进行后续审计。
2.2 风险导向审计在内部控制评审中实施重点
2.2.1 注重审前调查环节
针对风险导向审计工作的开展,需要从电力企业审计工作内部、外部环境分析上,了解审计资源,收集企业内部控制环境下的可能存在的重大风险事件。在审前调查中,要确立风险导向审计的地位,审计人员要通过设置问卷,突出电力企业不同业务特点,并协同企业内部控制建设工作,多角度、多方面地获取经营管理中的薄弱环节,总结和梳理最大风险。同时,在实施内部控制审计过程中,要走出传统风险导向审计的屏障,特别是结合现代信息技术、软件技术,强调对高风险审计领域、风险评估环节的优化,提升风险导向审计的效应。如针对电网企业业务经营模块,考虑到经营风险越大,审计风险越大、舞弊可能性越大的特点,深入到电网企业具体财务报表中,来分析不同业务数据之间的关系,是否存在失真性,利用风险导向审计的分析性复核方法,来扩大复核范围,特别是电网企业线损率、电费回收率、客户满意率、固定资产完成率等指标,通过运用数据分析、管理流程分析等方法,来对照年度各经营指标的准确性。
2.2.2 注重对重大风险事项的审计评估
风险导向审计在内控评审中的实施,其重点在于防范重大风险事项。结合重大风险评估结果来贯彻风险审计的要求,加强对电力企业重点领域、主要风险源的检查与测试,并就可能风险进行拓宽测试范围、加大抽样审核,真正锁定重点风险源。如在电网企业资产负债率评估中,根据评估结果,偿债风险越大,则资产负债率越高,越是审计重点。再如对于新建项目中的个别项目造价过高问题,一旦高出相关地区相同等级项目造价平均水平,这些造价超高的项目将是风险导向审计的主要节点,反映在财务上可能存在预算不真实、招投标环节及施工环节出现虚高问题,甚至出现其他物资采购超出标准设计等内控问题。
2.2.3 注重审计结论
对于风险导向审计下的内控评审,其审计结论中应该明确风险导向审计的地位,特别是结合电力企业的内部控制现状,就可能存在的重大风险事项进行审计,围绕审计风险点来开展资料收集、整理与评价,完成审计取证表、制作审计风险问题清单,并引入风险导向审计方法来就可能的风险大小进行排序,就重大风险事项进行总结,得出电力企业内部控制体系中的不足或缺陷,最后提出整改方法和建议。可见,在风险导向审计在内控评审中的应用,审计人员要立足重大风险事项调查,从降低电网企业生产、经营风险水平上,针对存在的企业内部控制缺陷及问题,提出合理化整改建议,并形成审计结论。
2.3 风险导向审计在内部控制评审中的实施效果
本研究所建的基于风险导向审计内部控制评审流程,改进了电力企业内部控制评审工作方法,特别是在风险审计实施过程中,拓宽了风险管理的评估范围,也更加贴近ERM框架要求。如在审计内容上,关注电力企业内部控制五要素,突出风险评估环节,避免了主观判断带来的评估偏差;在审计程序上,利用风险导向检查、抽查、复核等方法,突出了对财务报告、重大经济事件的系统评估;在审查技术上,融合多种风险评价法,增强了分析性复核能力,对防范电力企业内部控制审计风险提供了保障,提升了内控效率。
3 风险导向审计对电网企业内部审计人员的要求
3.1 加强信息化培训,发挥在线审计功能
电网企业信息化建设整体水平较高,对于风险导向审计工作,也应该逐渐延伸到在线审计领域。如对于立项审计、项目实施审计、审计报告的下达及整改意见等,都要从信息化建设上,融入到电网企业财务管理、电网营销管理、电力工程与物资管理、电力生产管理等业务模块中,通过系统化分析与检测,来筛选可能存在的风险问题。因此,加强审计人员信息化培训工作,了解和使用在线审计就顺应电网信息化财务管理需求。
3.2 注重审计理念的转变,推进审计关口前移
从电网企业内部审计工作现状来看,风险导向审计要转变过去事后审计的弊端,突出风险的及早发现与确认,将审计重心前移。同时,根据风险导向内部审计工作,在对事中审计、事前审计中,既要关注单一经营活动事项,还要注重对企业经营战略、目标、管理、计划等活动的审计,切实推进风险为核心,从电网企业管理决策上来防范和降低风险。
3.3 注重审计方法创新,提升审计水平
在审计方法上,基于风险导向内部审计,要广泛应用分析性程序检测,以风险评估、控制测试、实质性测试、余额测试等方法来提升内部审计的效果。同时,既要重视财务信息审计,还要挖掘和收集其他专业信息,形成对风险的全面审计,提高审计的科学性、效益性。
4 结 论
结合电网企业内部控制评审实践,立足风险导向审计理念,将风险导向审计方法纳入到电网企业内部控制评审中,有效克服了传统查账审计的局限性,实现了审计关口前移,强调了对重大风险事项的审查力度,规避和降低了内部审计的风险。因此,风险导向审计在电网企业内部控制评审工作的应用具有较广的推广价值。
参考文献:
[1] 潘虹.内部控制审计探索与选择[J].合作经济与科技,2015(3).
[2] 沈家军.风险导向内部控制审计的应用[J].中国内部审计,2013(7).
湖南省委、省政府高度重视依法治省工作,早在2008年就出台了全国首部系统规范行政程序的地方性规章《湖南行政程序规定》,并不断完善相关配套规章和制度,全面推进政府依法行政工作,创造了法治政府建设“湖南模式”。根据《规定》,政府部门涉及公众重大利益等方面的决策,一律要进行听证。据此,湖南省建立了重大行政决策听证会制度。数据显示,自2008年以来,全省共举行听证会500余次,有效推进了政府依法科学、民主决策。今年,湖南省按照“扩大听证范围,提高听证质量”的总体要求,进一步推行重大行政决策听证制度。根据湖南省《2011年度推进依法行政工作安排》的规定,该省落实重大行政决策程序,重大行政决策要将公众参与、专家论证、风险评估、合法性审查和集体讨论作为必经程序。按照《工作安排》要求,省直部门至少要举行1次以上听证会,市州级政府一年至少要举行5次以上听证会。同时,严格执行公开产生听证代表、如实记录听证笔录、向社会公布听证意见采纳情况等关键程序,确保听证会的公信力。6月30日,湖南省政府印发《湖南省人民政府重大行政决策专家咨询论证办法》,进一步全面规范了咨询论证的范围、组织、方式、程序、专家的权利义务等。
案例内容
6月30日,《湖南省人民政府重大行政决策专家咨询论证办法》正式印发。《办法》规定,湖南省政府作出编制社会发展规划、制定教育医疗等重大措施、对重要商品和服务价格定价等重大行政决策时,要先经过专家咨询论证。
“智囊团”如何组成
为推进民主科学决策,提高决策水平,湖南于2005年和2008年先后成立了两届院士专家咨询委员会。其中,第二届咨询委员会有委员52人,任期从2008年9月至2013年省人民政府换届时止。这三年来,各位委员在起草《政府工作报告》、编制社会发展规划等方面,积极开展咨询研究,为湖南经济社会发展作出了积极贡献。按照上述《办法》,今后对重大行政决策进行咨询论证的专家,原则上就从省院士专家咨询委员会和部门咨询专家库选定。部门咨询专家库要面向社会公开征集,专家要求在各自专业领域具有相当影响力和知名度。
论证九类决策、五项内容
根据《办法》规定,应经过专家咨询论证的重大行政决策包括:制定经济和社会发展重大政策措施,编制国民经济和社会发展规划、年度计划;编制各类总体规划、重要的区域规划和专项规划等九类。专家咨询论证的方式包括集体论证、小组论证和个人论证。必要时,可面向社会招标,由中标的咨询机构或专家开展咨询论证。
重大行政决策事项分为特别重大行政决策和一般重大行政决策。《办法》规定,省院士专家咨询委员会论证特别重大行政决策时,要组成不少于7人的院士专家组。论证一般重大行政决策事项的,要从专家库中随机确定或者选定3名以上相关领域的专家,保证参加论证的专家具有代表性和均衡性。
专家应从正反、利弊等方面对重大行政决策方案草案进行全面论证。内容包括:重大行政决策的必要性、可行性研究;经济社会效益研究;执行条件研究;对环境保护、生产安全等方面的影响研究;其他必要的相关因素研究。专家的论证意见将被归类整理,连同采纳情况一起,通过媒体向社会公布。决策承办单位应将咨询专家论证意见的可靠程度和决策实施效果记入专家信用档案,作为续聘或解聘依据。
严格执行“谁决策、谁负责”
为了提升行政决策法治化水平,在此前印发的《湖南省法治政府建设十二五规划》中已规定,县级以上人民政府及其工作部门要把公众参与、专家论证、风险评估、合法性审查和集体讨论决定,作为重大行政决策的必经程序。在决策执行过程中,决策机关要跟踪决策的实施情况,并根据评估结果决定是否对决策予以调整或停止执行;对决策失误造成重大损失或严重不良影响的,按照“谁决策、谁负责”的原则追究责任单位和人员的责任。
相关链接
安徽出台意见规范市县政府行政决策
6月10日,安徽省下发《关于进一步规范市县政府行政决策的意见》规定,进一步落实重大行政决策听证制度,扩大听证范围,法律、法规、规章规定以及涉及重大公共利益和群众切身利益的决策事项,都要进行听证。科学合理地遴选听证代表,特别要邀请各利益相关方代表参加听证,保证听证参加人具有广泛代表性。
《意见》要求,凡是涉及当地经济社会发展的战略举措、发展规划和有较大影响的重要政策,涉及公共利益或与人民群众切身利益密切相关的重大行政决策,均应列入风险评估范围。把风险评估结果作为重大行政决策的重要依据,未经风险评估的,一律不得作出决策。此外,重大行政决策实施后,要通过民意反映、抽样检查、跟踪反馈、评估审查等方式,及时发现并纠正决策存在的问题。对违反决策规定、出现重大失误的,严肃追究责任人责任。
一、内部审计及内部审计风险
《审计署关于内部审计工作的规定》自2003年5月1日起施行。根据该规定,中国内部审计协会制发了《内部审计基本准则》、《内部审计人员职业道德规范》和十个具体准则,自2003年6月1日起施行。内部审计基本准则所称内部审计,是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。《规定》和《准则》的施行是内部审计工作的一件大事,是内部审计完成。如果内部审计人员对接受的审计项目所采用的审计程序和方法不当,未能发现重大错弊或出具的审计结论失误,从而产生不良后果,这就是内部审计风险。因而,企业内部受托经济责任的存在,内部审计风险也就成为必然。
与外部审计相比,内部审计风险具有自身的特点:
首先,内部审计的目的在于提高企业的经营效益,具有与企业相一致的目标。作为企业组织的构成之一,内部审计的利益与企业整体利益紧密相连,可谓同舟共济、荣辱与共。因而,内部审计风险与企业为达到经营目标所面临的风险具有一致性。
其次,内部审计风险范围的扩大化。社会审计接受委托,其风险仅限于约定审计项目涉及的内容,而内部审计作为企业职能部门,根据管理的需要,其监督与评价的范围就不仅限于财务方面的问题。凡属企业经营行为,都可以成为审计对象。因而,从违反财经法规到经营活动失误,如果内部审计部门未能予以揭示或判断不当,都会产生审计风险。但是,如果内部审计人员在提交的审计报告或管理建议书中已充分、客观地揭示了所存在的问题,而企业管理当局未能予以足够重视和采取相应解决方案,由此而造成的损失不是内部审计的责任。
第三,内部审计环境的局限性增加了审计风险的系数。内部审计在性质上属于企业自我约束的管理控制行为,当审计事项涉及外单位时,往往难以进行调查取证,而且内部审计人员与本单位员工长期共事,相互之间有一定的利益关系和感情联系。当审计中涉及具体人和事时,难以遵循审计回避制度,影响审计的客观公正性,最终使内部审计人员承担较大的审计风险。
第四,内部审计对审计事项不具有选择性。社会审计在接受审计委托之前,可以通过对被审计单位基本情况的了解,实施符合性测试程序,对审计风险做出评估,当预计审计风险水平高于可接受的风险水平时,可以拒绝接受审计委托。但内部审计作为企业管理控制的一种职能,必须围绕实现企业整体目标,在审计委员会的统筹安排之下展开日常工作,不可能对风险水平不同的审计项目做出选择,只能通过不断提高审计质量,努力降低审计风险。
二、电力企业内部审计现状
电力行业作为关系国计民生的基础产业,“经济发展,电力先行”已是各方共识。建国以来,我国电力事业取得了世人瞩目的长足发展,电力企业在走过几十年充满荣耀的风雨历程以后,其法人治理结构和管理水平在国有企业处于领先地位。但是,由于电力企业长期处于垄断经营和计划管理体制下,其内部审计的独立性和公正性受到一定限制。目前,电力企业内部审计还只局限于对企业内部会计、财务和其他经营活动的独立性评价,且更多地关注财务的监督和检查,以便规范财会工作,把问题及早解决于内部。同时,内部审计部门必须每年一次或在必要时多次地向高级管理层或董事会提交工作报告。工作报告中必须重点说明重要的审计结果和建议,以及已批准的审计工作项目计划、人员计划和在财务预算执行中出现的任何重要偏离及其原因。重要的审计结果包括:会计差错、财务舞弊、效能差、浪费、利益冲突和控制系统缺陷等。
三、影响电力企业内部审计风险的因素
1、内部审计机构的相对独立性。电力企业内部审计受所在单位和上级审计机构的双重领导,但即便是内部审计部门得到最高的独立性,仍然是企业的一个部门,审计部门的人员配给、职位晋升、绩效考评、经费来源、办公支持均由所在企业控制,其独立性是极其有限的。充其量,内部审计只是企业的管理手段之一,只是服务于企业管理当局的管理工具,是管理当局主观意志的体现。电力内部审计在独立性上的不足,使得企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公正、合理、合法的评价。在这种情况下,作为企业的内审部门,如若服从于长官意志,不能对企业的财务进行有效监控,不能做出真实、客观的评价,听之任之,而出具虚假审计报告,就会埋下巨大的隐患。
2、内部审计活动所处的环境。市场经济是法制经济。审计活动作为经济生活中一个重要组织部分,也毫无例外地接受法律的规范与调整。法律赋予审计部门权利的同时,也让其承担相应的责任。审计责任的扩展是产生审计风险的重要原因。市场经济越发展,国家、社会对审计的要求就越高,审计对象从受托的财务责任扩展到经营责任、管理责任;审计范围从会计记录扩展到经营活动;审计职能从经济监督演变为以监督为基础的经济鉴定和经济评价。审计人员的审计责任从检查账表的正确性扩展到证明被审查的经营活动是否有重大舞弊行为、是否有重大损失浪费问题等。审计承担的责任越多,审计风险就越大。
3、审计范围相对狭窄。直至现阶段,部分电力企业领导层对内部审计的认识仍存在不足,错误地认为审计就是查账。与此同时,当前电力企业的审计人员大都具有财务工作背景,电力专业及相关管理知识储备不足,导致不少企业的内部审计仅局限于企业财务会计方面的审查,很少触及电力经营管理的其他领域,从而使内部审计多属财务性质,使得内部审计工作实际上变成了财务会计的自审过程。内部审计工作界面单一,为企业发展战略、经营决策、投资效益进行评价、咨询及服务的职能根本无从谈起。
4、内部审计方法滞后,质量控制制度不完善。现代审计信息的数量越来越多,范围越来越广,所采取的程序和方法是否科学、适用,直接影响到审计质量,形成审计风险。在很长时间里,电力企业内部审计方法仍以账项基础审计方法为主,内部审计工作一直以手工查账为主,主要审计目的是“查错防弊”,单凭审计人员主观标准和个人经验、职业判断、通过随意抽样进行,较少运用统计抽样和计算机辅助审计软件,更谈不上运用最新的以风险导向为核心的审计方法来防范和化解风险;以事后审计、静态审计为主,事前审计、事中审计很少开展,不利于审计部门及时发现问题,提出改进措施,避免造成损失。
必须说明的是,上述不足是对我国电力企业内部审计而言,很多属于个别情况。现在电力行业的一些先进企业,很早就建立了一套从上至下较为完备的内部审计体系,并一直在开展着富有成效的工作。
四、电力企业内部审计风险控制与对策
随着“厂网分开、竞价上网、主辅分离”政策的逐步实施,电力企业面临资产评估、公司重组、资产剥离等一系列涉及管理、资产和财务的问题,如何进一步发挥内部审计的作用,有效控制内部审计风险,保证资产安全、提高内部控制水平是每个电力企业必须解决的问题。笔者认为,要规避上述因素对内部审计风险的影响,应注重从以下几方面着手:
1、逐步理顺内部审计管理体制。电力企业应当逐步建立在董事会领导下的审计委员会,建立内部审计机构派出制,强调内部审计的独立性、客观性、权威性,使内部审计风险的防范有可靠的组织保障机制。在设置内审机构时应坚持两条原则:一是独立性原则。这是设立内部审计组织机构最重要的原则。在这个原则指导下,内审组织机构在组织人员、工作和经费等方面应独立于被审计单位,独立行使审计职权,不受股东、总经理、其他职能部门和个人的干预,以体现审计的客观性、公正性和有效性。二是权威性原则。这是内审工作充分发挥作用的另一个关键因素。主要体现在内审组织机构的地位和设置层次上。内审组织机构的组织地位和设置层次越高,权威性越大,内审的作用就发挥得越充分。实践表明,内审的组织地位和作用的发挥是相辅相成的。一方面作用的扩大为内部审计赢得较高的组织地位创造了机会;另一方面组织地位的提高、独立性的增强又为内部审计人员卓有成效地履行其职责,发挥内部审计的职能作用提供了条件。
2、实施全面质量控制。提高审计质量是防范和化解审计风险的关键。质量与风险成反比关系,质量越高,风险越小;反之,质量越低,风险就越大。电力企业的审计委员会要加强审计质量管理工作,执行合格审计,必须坚持四个原则:一是规范化原则,严格按照审计管辖范围和审计程序的要求进行操作;二是真实性原则,在审核被审计单位资产负债损益的基础上,形成的审计证据材料必须是真实可靠的;三是合法性原则,必须依据问题发生时有效的法律法规做出处理和评价。要注意引用审计事实发生时适用的法律法规;四是谨慎性原则,在审计工作中应坚持科学、严谨、公正、真实的工作作风,保持高度的责任感,始终树立风险意识。
3、改进内部审计方法。内部审计采取的账目导向审计和系统导向审计模式已经不完全适应当今复杂的经营环境,应改用更加符合现代审计要求的风险导向审计模式。风险导向审计是将审计风险概念全面应用于审计过程的一种审计模式,它通过对审计风险进行系统的分析和评价,来确定审计风险是否可以控制在可以接受的范围内。它主要运用分析性复核的方法,不仅对企业的控制风险进行评价,同时更要对产生风险的各个要素进行分析和评价,以确定实质性测试的范围和重点。这样就使审计风险与整个审计过程密切联系起来。内审人员首先研究确定审计风险可以接受的水平,然后评估固有风险、控制风险和分析性检查风险,最后根据各种风险水平参数计算详细检查风险水平。根据确定的详细检查风险水平及其他有关数据,以风险的分析与控制为出发点,以保证审计质量为前提,统筹运用符合性测试、实质性测试、分析性检查等方法,综合各种审计证据,以控制审计风险。近年来,风险基础审计在世界各国已广泛应用,其原因就在于它从审计准备阶段开始就考虑审计风险,并把它控制在最低水平,从而减轻审计人员的法律责任,降低审计风险。我国内部审计也应尽快实现向这种审计模式的过渡,以提高审计质量。
4、采取激励约束机制。为了考核内部审计人员的业务水平,激励内部审计人员的工作热情,电力企业应结合自身特点制定一套审计工作质量考核标准,包括审计工作效率、审计程序规范、审计风险管理、审计效果和审计职业道德等。在审计委员会的统一组织下,对内部审计人员及其审计业务质量进行定期评比考核。根据考评结果对审计工作成绩显著的内部审计机构、审计工作质量优秀的特定审计项目和表现突出的内部审计人员予以精神和物质奖励,并与内部审计人员的晋级升职挂钩。对、内部审计业务质量低下,造成企业损失或影响企业社会信誉的内部审计机构和相关内部审计人员予以行政和待遇处罚,对造成重大过失的内部审计人员应将处罚结果备案,根据过失性质和程度决定其去留。
5、建立风险评估机制。内部审计风险的产生,除了审计人员自身的业务素质和职业道德水平之外,最主要是来自企业的经营风险和财务风险。随着电力市场由卖方市场向买方市场的转变,提高质量、加强环境保护是电力企业的主要竞争焦点。另一方面,电力企业的经营风险越来越大,如何加强员工的风险意识,提高风险管理水平是电力企业必须面对的挑战。因此,内部审计作为企业的管理参谋,在开展风险评估方面必须给予足够的关注。而建立风险评估机制是降低内部审计风险的有效途径。内部审计进行风险评估的用途在于:为管理层制定决策、方针、计划与目标,以及采取必要措施时提供参考依据;以“风险导向”为审计方法,进一步提高审计的效率和质量。
电力企业内部审计开展风险评估可着重从以下几方面入手:(1)根据对内部和外部风险评价的结果,安排一定时间(如年度)的审计项目,也即是根据承受风险的大小程度,确定审计项目的优先次序。(2)根据项目中主要的风险因素的所在环节,确定审计的范围、重点,并采取适当的审计程序和具体方法。(3)对于一些重大的外部或内部风险因素与问题,组织专项调查,提出专题报告。
一、工作目标
通过开展三年行动,督促企业严格落实安全生产主体责任,建立以严格的安全生产制度体系、执行严格高效的安全管理体系、先进适用的安全设施设备体系、全员覆盖的安全教育培训体系、“生命至上、安全第一”的安全文化体系为内容的企业本质安全体系,使企业安全生产主体责任细化、实化、有形化,企业安全生产由被动接受监管向主动加强管理转变,安全风险管控由政府推动为主向企业自主开展转变,隐患排查治理由部门行政执法为主向企业日常自查自纠转变,扎实推进企业安全生产治理体系和治理能力现代化,提升企业本质安全水平,有效化解重大安全风险,坚决遏制重特大事故,确保从业人员生命安全和身体健康,实现企业安全发展高质量发展。
二、重点任务
(一)以落实企业主要负责人安全责任为重点,全面落实企业安全生产责任体系。
1.健全安全生产责任制。各工贸企业要结合生产经营实际,根据岗位的性质、特点和具体工作内容,建立覆盖全员的安全生产责任体系,建立健全从主要负责人到一线岗位员工覆盖所有管理和操作岗位的安全生产责任制,明确企业所有人员安全生产责任和考核标准。加强安全生产法制教育,提高全员守法自觉性,建立自我约束、持续改进的安全生产内生机制,建立企业内部安全生产监督考核机制,推动各个岗位安全生产责任落实到位。
2.落实企业主要负责人责任。企业法定代表人、实际控制人等主要负责人要强化落实第一责任人法定责任,牢固树立安全发展理念,带头执行安全生产法律法规和规章标准,加强全员、全过程、全方位安全生产管理,做到安全责任、安全管理、安全投入、安全培训、应急救援“五到位”。在生产关键时间节点要在岗在位、盯守现场,确保安全。
3.落实全员安全生产责任。要强化企业内部各部门安全生产职责,落实一岗双责制度。要严格落实以师带徒制度,确保新招员工安全作业。企业安全管理人员、重点岗位、班组和一线从业人员要严格履行自身安全生产职责,严格遵守岗位安全操作规程,确保安全生产,建立“层层负责、人人有责、各负其责”的安全生产工作体系。
(二)以建立企业技术和管理团队为重点,规范企业安全生产管理。
1.建立完善安全生产管理团队。企业要依法建立健全安全生产管理机构,配齐安全生产管理人员,全力支持安全管理机构工作,并建立相应的奖惩制度。企业要持续提升安全管理科学化、专业化、规范化水平,建立安全技术团队。到2021年底前,各规模以上工贸企业通过自身培养和市场化机制全部建立安全生产技术和管理团队。
2.建立健全安全操作规程。结合企业装置、设备设施、工艺流程、作业场所等,组织有经验的岗位员工、技术人员、管理人员共同参与,制定覆盖所有岗位和全部操作过程的安全操作规程和风险告知卡、应急处置卡,为员工提供操作必须遵循的程序和方法、必须严格禁止的行为和异常情况下紧急处置步骤和方法。
3.强化安全投入。要保证企业安全生产条件所必需的资金投入,严格安全生产费用提取管理使用制度,坚持内部审计与外部审计相结合,确保足额提取、使用到位,严禁违规挪作他用,对由于安全生产所必需的资金投入不足导致的后果承担相关法律责任。严格落实安全技术设备设施改造等支持政策,加大淘汰落后力度,及时更新推广应用先进适用安全生产工艺和技术装备,提高安全生产保障能力。企业要加强从业人员劳动保护,配齐并督促从业人员正确佩戴和使用符合国家或行业标准的安全防护用品。
4.强化安全教育培训。要建设全员覆盖的安全教育培训体系,完善安全教育培训制度,开展常态化的全员安全教育培训,保证从业人员具备必要的安全生产知识,熟悉安全生产规章制度和操作规程,掌握岗位操作技能和应急处置措施,知悉自身在安全生产方面的权利和义务,严格落实主要负责人、安全管理人员、特种作业人员和从业人员培训考核合格上岗制度。要强化安全教育培训与考核,建立培训档案,如实记录安全生产教育和培训考核结果。
5.持续推进企业安全生产标准化建设。各类企业要按照《企业安全生产标准化基本规范》(GB/T33000-2016)和行业专业标准化评定标准的要求自主建设,从目标职责、制度化管理、教育培训、现场管理、安全风险管控、隐患排查治理、应急管理、事故管理和持续改进等九个方面,建立与企业日常安全管理相适应、以安全生产标准化为重点的企业自主安全生产管理体系,实现安全生产现场管理、操作行为、设备设施和作业环境规范化。企业要在安全生产标准化建设、运行过程中,根据人员、设备、环境和管理等因素变化,持续改进风险管控和隐患排查治理工作,有效提升企业安全管理水平。
2020年12月31日前,全县所有规模以上工贸企业安全生产标准化至少达到三级标准;小微企业按照《冶金等工贸行业小微企业安全生产标准化评定标准》(安监总管四〔2014〕17号)开展达标创建。
6.强化安全文化引领约束。企业要结合实际,构建“生命至上、安全第一”的安全文化体系,将安全文化贯穿于企业安全管理的全过程,充分发挥安全文化的引领、激励、凝聚、约束作用,引导广大员工树立“生命至上、安全第一”的思想,通过员工从内心深处对企业安全文化的认同,促使安全文化成为员工的共同认知,最大程度激发员工安全生产责任感,实现从“要我安全”到“我要安全、我会安全、我能安全”的转变,逐步形成员工的安全行为习惯和企业的安全文化氛围。
(三)以设备设施风险源头管控为重点,强化企业安全风险防控能力。
1.加强设备设施的源头安全管理。企业要建设先进适用的安全设施设备体系,从源头上加强对设备设施的管理,科学、合理选用符合法律法规标准规范要求的本质安全型设备设施。加强设备设施安全运行管理,定期做好设备维护保养,及时淘汰、更换存在严重事故隐患的、国家明令淘汰和禁止的、超过安全技术规范规定使用年限的设备设施。结合企业特点,积极探索、使用符合企业实际的新技术、新材料、新工艺、新设备,提升设备设施自动化控制水平,大力推进“机械化换人、自动化减人、智能化无人”建设,从本质上提高设备设施的安全运行水平和生产效率。
2.健全企业安全风险辨识评估制度。要按照有关法律法规标准,针对本企业类型和特点,科学制定安全风险辨识程序和方法,定期组织专业力量和全体员工全方位、全过程辨识生产工艺、设备设施、作业环境、人员行为和管理体系等方面存在的安全风险,做到系统、全面、无遗漏,持续更新完善。按照有关标准规范,对辨识出的安全风险进行分类、梳理、评估,加强动态分级管理,科学确定安全风险类别和等级,建立安全风险档案,实现“一企一清单”。
3.健全安全风险管控制度。要根据风险评估的结果,对安全风险分级、分类进行管理,逐一落实企业、车间、班组和岗位的管控责任,从组织、制度、技术、应急等方面对安全风险进行有效管控,达到回避、降低和监测风险的目的。针对高危工艺、设备、物品、场所和岗位等重点环节,高度关注运营状况和危险源变化后的风险状况,动态评估、调险等级和管控措施,确保安全风险始终处于受控范围内。2021年底前,各类企业要建立起完善的安全风险管控制度。
4.建立安全风险警示报告制度。企业要在醒目位置和重点区域分别设置安全风险告知牌,制作岗位安全风险告知卡、应急处置卡,确保每名员工都能掌握安全风险的基本情况及防范、应急措施。对存在重大安全风险的工作场所和岗位,要设置明显警示标志,并强化危险源监测和预警。企业要依据有关法律法规要求,明确风险管控和报告流程,建立健全安全生产风险报告制度,接受政府监管和社会监督。企业主要负责人对本单位安全风险管控和报告工作全面负责,要按照安全风险管控制度的要求,对辨识出的安全风险,定期向相关监管部门报送风险清单。
(四)以隐患排查治理为重点,健全完善企业安全隐患排查治理机制。
1.加强安全隐患排查。2020年底前,企业要建立起完善的以风险辨识管控为基础的隐患排查治理制度。要制定符合企业实际的隐患排查治理清单,完善隐患排查、治理、记录、通报、报告等重点环节的程序、方法和标准,明确和细化隐患排查的事项、内容和频次,并将责任逐一分解落实,推动全员参与自主排查隐患,尤其要强化对存在重大风险的场所、环节、部位的隐患排查。企业要按照国家有关规定,通过与政府部门互联互通的隐患排查治理信息系统等方式,及时向负有安全生产监督管理职责的部门和企业职代会“双报告”风险管控和隐患排查治理情况。
2.严格落实治理措施。企业要按照有关行业重大事故隐患判定标准,加强重大事故隐患治理,并向负有监管职责的部门报告;制定并实施严格的隐患治理方案,做到责任、措施、资金、时限和预案“五到位”,实现闭环管理。2021年底前,规模以上工贸企业要全部利用省应急管理综合应用平台隐患排查治理系统,及时更新本单位信息、上报隐患自查自改情况,实现动态分析、全过程记录管理和评价,防止漏管失控;2022年底前,企业隐患排查治理全面走向制度化、规范化轨道。
(五)以专业化安全生产社会化服务为重点,推动企业安全生产社会治理。
1.建立完善企业安全承诺制度。企业主要负责人要结合本企业实际,在进行全面安全风险评估研判的基础上,通过各种方式途径,向社会和全体员工公开落实主体责任、健全管理体系、加大安全投入、严格风险管控、强化隐患治理等情况。
2.完善落实安全生产诚信制度。2020年底前,将健全完善安全生产失信行为联合惩戒制度,对存在以隐蔽、欺骗或阻碍等方式逃避、对抗安全生产监管,违章指挥、违章作业产生重大安全隐患,违规更改工艺流程,破坏监测监控设施,以及发生事故隐瞒不报、谎报或迟报事故等严重危害人民群众生命财产安全的主观故意行为的单位及主要责任人,依法依规将其纳入信用记录,加强失信惩戒,从严监管。
3.充分发挥安责险参与风险评估和事故预防功能。深入推动落实《安全生产责任保险事故预防技术服务规范》(AQ9010-2019),鼓励企业投保安全生产责任保险。通过实施安责险,加快建立保险机构和专业技术服务机构等广泛参与的安全生产社会化服务体系。
三、时间安排
从2020年7月至2022年12月,分四个阶段进行。
(一)动员部署(2020年7月31日前)。按照统一部署,各工贸企业要进行全面安排,广泛宣传,营造氛围。
(二)组织实施(2020年8月至12月)。各工贸企业健全完善工作制度、强化推动重点工作、研究建立工作机制,结合本质安全体系建设推进安全生产专项整治三年行动,促进企业切实落实安全生产主体责任,提升企业本质安全水平。
(三)重点推动(2021年)。各工贸企业要坚持统筹推进、持续深入、重点突出、务求实效,紧盯风险管控和隐患排查治理制度建立实施等重点目标任务,按照时间进度有序推进各项工作,确保工作取得明显成效。
(四)巩固提升(2022年)。各相关企业要坚持问题导向,深入分析工作中的短板和弱项,逐项推动落实。要梳理总结好的经验做法成果,报送县应急局,供学习推广。
各工贸企业要总结形成本专题年度工作报告,于相应年度11月20日前报县应急局。
四、保障措施
(一)精心组织。各相关企业要将本实施方案与相关专项整治三年行动方案有机结合,统筹推进企业安全生产主体责任落实。要紧密结合实际,制定具体实施方案,明确工作目标、主要任务和保障措施,抓好组织实施和督促落实,力戒形式主义、务求取得实效。
(二)宣传发动。要充分利用微信公众号等多种媒介,动员和引导从业人员,全面理解、参与和推进专题行动,营造浓厚的氛围,确保专题行动取得良好成效。