中国石油风险管理审计

中国石油风险管理审计19第3章中国石油内部控制、全面风险管理及风险管理审计现状分析中国石油及中国石油内部审计简介中国石油简介中国石油天然气股份有限公司（中国石油）于1999年11月5日在中国石油天然气集团公司（一般简称“中油集团”）重组过程中，按照中国公司法成立的股份有限公司，是我国最大的油气生产和销售企业。公司实行上下游、内外贸、产销一体化，按照现代企业制度运作，跨地区、跨行业、跨国经营的综合性石油公司。主要业务包括原油和天然气的勘探、开发、生产、销售，原油和原油产品的炼制、运输、储存和销售，基本化工产品、衍生化工产品和其他化工产品的生产和销售，原油、成品油、天然气的输送和天然气的销售等。2009年，中国石油在美国《石油情报周刊》世界50家大石油公司综合排名中位居第5位，在《财富》杂志全球500家大公司排名中位居第13位。该公司已于2000年4月在香港和纽约两地成功上市，2007年11月在中国内地上市。2008年，中国石油天然气集团公司进行重大机构调整，与中国石油天然气股份公司实现了一套人马，两块牌子的运作模式。截止2009年12月31日，中国石油员工总数539,168人。2009年中石油国内生产原油10，313万吨，天然气683亿立方米。国外原油作业产量6，962万吨，权益产量3，432万吨，天然气作业产量82亿立方米，权益产量55.1亿立方米。国内加工原油12，512万吨，生产成品油8，048万吨，乙烯299万吨。国外加工原油突破1，000万吨。运营管道总长度50，652千米，年管输原油15，071万吨，成品油1，781万吨。2009年末，中国石油资产总额14,502.88亿元。负债总额5,425.87亿元，所有者权益总计9077.01亿元，其中少数股东权益604.78亿元。2009年实现营业收入10，192.75亿元，利润总额1，400.32亿元，净利润1065.59亿元，上缴税费2，426亿元。（以上资料来源于中国石油2009年度报告）3.1.2中国石油内部审计现状简介1999年中国石油成立，按照现代企业制度，在董事会下设了审计委员会，20由独立董事（外籍）任审计委员会主席。在总部设立了独立的内部审计部门，各所属单位也建立了内部审计机构。到2009年末，中国石油共设有三级审计机构521个，各类专业审计人员2，186人。2009年，各级审计部门共开展审计项目2,462个，审计资金1.02万亿元，纠正处理违规违纪问题102亿元，取得直接经济成果14.6亿元，从改进和加强公司管理的高度提出有价值审计建议7,156条。中国石油内部审计业务主要有以财务收支审计为基础的承包经营审计、厂长（经理）任期经济责任审计和预算审计，基本建设项目审计，合同审计，管理效益审计，联合账簿审计，内部控制审计，内部控制测试等。（以上资料见中国石油审计部主任孙先峰2009年工作报告）3.2中国石油内部控制、全面风险管理概况内部控制体系建设和开展全面风险的原因是国内外法律法规的要求。2000年，中国石油成功在美国上市，2004年，中国石油按照美国《萨班斯—奥克斯利法案》404条款的要求，开始建立以COSO内部控制模式为依据的内部控制体系。2006年，国资委《中央企业全面风险管理指引》颁布实施，中国石油作为大型国有企业，按照这一要求，开始了全面风险管理。是中国石油生产经营管理的内在要求。中国石油上市以来，以建立具有国际竞争力的一流大型国际能源公司为目标，努力构建与跨国企业集团相适应的体制框架、运行机制。在实施管理创新，提高管理水平方面，采取了一系列措施，取得了显著的成果，为公司可持续发展奠定了坚实的基础。公司当时制定了大量具有现代企业治理特征的内部控制制度，如财务管理的一个全面、三个集中，销售管理的“四统一”，以及集中采购和电子商务等，并发挥了显著的作用。对于规范管理、防范经营风险发挥了显著的作用。但在公司内部控制管理工作中还存在着不足。虽然通过重组上市把一个长期在计划经济体制运行下的国有企业，推上了市场化和规范化的轨道，并实现了与国际接轨，但在管理制度和方法上还有许多与市场经济要求不相适应的地方，体制的改变客观上要求必须进行管理制度的创新。随着市场化程度的日益提高，市场竞争的日趋激烈，特别是开展国际化经营，企业所面对的内外部经营风险也发生了变化。为了增强企业在国内和国际市场中的竞争实力，提高企业的经21济效益，作为企业经营目标有效保障的内部控制制度，也必须适时完善和强化。由于原有的制度基本上是以单项业务或部门为基础制定的，没有形成统一规范的体系。内控评价标准还没有建设，难以对内部控制制度在设计和实施方面的有效性做出全面评价。因此作为国际化经营的大公司，中国石油建立统一、规范和有效运行的内部管理控制体系，为各项业务活动的正常进行，确保资产的安全完整，防止欺诈和舞弊行为，实现经营管理目标提供有力保障成为必然。是一些严重风险事件深刻教训的必然要求。进入二十一世纪，随着生产经营领域的不断扩大，中国石油生产经营管理面临着更多的内部管理方面出现的问题，某石油管理局“12.21”井喷事故，给中国石油及当地居民造成重大人员与经济损失，教训十分惨痛。某石化公司“11.13”爆炸事故及松花江重大水污染事故。某油田连续两年重复发生有毒有害气体中毒事件，以及不久前发生的渭南柴油泄露事故等。若干重大投资失误，造成了巨大的经济损失。2004年某地区公司销售经理刘某严重违纪违规经营问题等。这些事件虽然中国石油采取了果断的处理措施，并未发展到不可收拾的程度，但也深刻地提醒中国石油的管理高层和员工，实施内部控制和全面风险管理中国石油生存和健康发展的必由之路。内部控制体系和全面风险管理的依据中国石油在美国、香港和内地三地上市，内部控制体系和全面风险管理要依据国内、国外的相关法律和规范。国内法规：《中华人民共和国会计法》及其配套法规《企业会计准则》《中华人民共和国审计法》《审计署关于内部审计工作的规定》《中央企业内部审计管理暂行办法》《企业内部控制基本规范》《中央企业全面风险管理指引》国外法规：《萨班斯-奥克斯利法案》22《与财务报表审计协同进行的对于财务报告内部控制的审计》（美国PCAOB审计准则2号）《与财务报表审计相结合的财务报告内部控制审计以及相关的独立性规定和一致性修正案》（美国PCAOB审计准则5号）《COSO企业风险管理整体框架》《COSO内部控制整体框架》内部控制体系与全面风险管理的目标2003年，中国石油在按照美国萨奥法案要求，开始建设内部控制体系之初，确立内部控制体系的目标为“以COSO内部控制框架为依据，建立符合企业内部管理实际、持续满足上市地和国内相关法律、法规要求的内部控制体系，全面提升企业管理水平，增强风险防范能力，保证企业协调、持续、快速发展”。按照这一目标要求，中国石油在2005年初步建成内部控制体系，在此后的运行过程中，内部控制体系在不断的健全和完善，同时中国石油管理层与员工对内部控制与风险管理也有了更深一层的认识，2010年中国石油对内部控制与全面风险管理目标修订为：“中国石油到2015年，要与公司战略发展目标相适应，围绕战略目标、经营目标、报告目标和合规目标的‘全面风险管理、全部业务流程、全过程控制’的内控与风险管理体系进一步健全完善，达到体系可靠、风险可控、运行可持续”的总体要求。（2010年3月1日王国楔在中国石油内控与风险管理工作视频会议上的讲话）内部控制体系、全面风险管理的过程中国石油内部控制体系建设和全面风险管理是一个循序渐进和持续完善的过程。按照美国萨奥的法案的要求，开展了内部控制体系建设2003年8月下旬，董事会决定中国石油按照《法案》要求建立内部控制体系，此后，公司组建了内部控制项目组，统一开展工作。2004年3月，中国石油召开了内部控制体系建设项目启动大会。2004年9月成立了中国石油内部控制建设委员会，委员会主任由蒋洁敏总裁但任，副主任由王国楔财务总监担任，成员由中国石油管理层领导和总部各部门主要领导组成。中国石油所属地区公司都成立了以行政一把手为领导，管理层全体成员和部门领导为成员的内部控制建设委员会，组建了内部控制管理部门。到2005年6月30日初步建成并试运行。2005年末进行了全面测试和内控体系的修正完善，2006年1月1日正式运行，2006至2008年连续三年接受外部审计对内控体系运行有效性的全面测试。内部控制体系建设，最初的最低目标是确保一次通过外部审计，避免中国石油在美国资本市场上受到监管部门的不利处理。内部控制体系的不断完善和成熟2006年到2008年，是美国证券交易委员会（SEC）和美国上市公司会计监管委员会（PCAOB）对中国石油内部控制体系进行连续三年的全面检查阶段，这一时期，内控体系建设以体系测试和整改完善为主要任务。中国石油内部审计部门组织了大量的内部审计人员，开展了全面的内部控制测试，检查内部控制体系设计的科学性和执行的有效性。对发现的大量例外事项进行分析，并不断完美内部控制体系的设计和强化内部控制体系执行。经过包括内审人员在内的全体中国石油员工的共同努力，中国石油以没有实质性漏洞，其中二年以零例通过了三年的外面审计全面测试期。内部控制体系已经相对比较完善和成熟，即符合国内外监管的要求，也满足了中国石油生产经营管理个方面的需要。开展全面风险管理阶段在总体控制体系已经相对完善和成熟的基础上，2008年中国石油开始了全面风险管理工作，将内部控制建设委员会改组成立了内部控制与风险管理委员会，明确风险管理的专业管理部门，和其他部门在风险管理与内部控制中的职责。按照国资委《中央企业全面风险管理指引》的要求，参照COSO企业风险管理框架和澳新标准，借鉴国际大企业风险管理实践，研究建立公司风险评估方法论。明确了风险评估的内涵、程序和方法。运用方法论，评估公司经营管理主要业务面临的重大风险。在此基础上，编制完成公司层面风险评估及对策研究报告，系统地提出了建立全面风险管理机制的思路，为开展全面风险管理奠定了基础。2009年，中国石油持续开展公司层面重大风险评估，完善风险管理策略和解决方案，健全了全面风险管理报告编制工作机制。随同业务流程梳理，全面评估经营风险，建立经营风险数据库，实现从财务报告风险评估向经营风险评估的拓展。同时，一些单位开展风险管理理论探索与创新，取得了较好的效果。某油气田公司的《大型油气田战略规划与投资风险管理》、某油田公司的《以风险防控为重点的石油企业管理体系整合与运行》等管理成果，反映了中国石油风险管24理的最新进展，分别获得第十五届和十六届国家级企业管理现代化创新成果二等奖。2009年11月5日，国有重点大型企业监事会牛越生主席对中国石油内控与风险管理工作给予了高度评价。他说，中国石油对内控与风险管理进行了深入研究和实践，赋予其丰富的内容，回答了中央企业如何做大做强的问题；中国石油内控与风险管理工作走在了国内企业的前列，达到了央企一流水平。2010年，中国石油进一步深化风险管理理论知识系统研究，健全风险管理组织体系，落实风险管理责任，建立重大风险责任机制，努力建立与综合性国际能源公司相适应的风险管理机制。完成了《企业风险评估规范》并发布施行，进一步推进风险管理的规范化、标准化和科学化。继续开展重大风险评估。保障公司稳健经营、持续发展。内部控制、全面风险管理的主要内容中国石油内部控制体系、全面风险管理采用了COSO的内部控制及风险管理框架，主要内容有：控制环境确定了中国石油内部控制与风险管理的总体态度，明确内部控制与全面风险管理是受公司董事会、管理层和其他人员影响的过程，这个过程从公司战略制定一致贯穿到企业各项活动中，旨在识别那些可能影响公司目标的潜在因素并加以管理，使之在可容忍风险容量之内，从而为公司实现目标提供保障。控制环境的内容包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等。风险评估制定了完善的风险评估规范，明确了风险评估的程序和方法，规范了公司的风险评估工作，建成并完善了中国石油风险数据库。中国石油的风险评估工作由总部风险与内部控制管理部组织有关职能部门和业务单位实施。控制活动中国石油对所有业务活动，按照控制四要素的要求，设计了以授权、批准、实施、核对、报告、内部审计、风险预警等为主要内容的规范统一的业务控制流程，对重要风险建立了关键控制文档，建立了相对应的规章制度等。控制活动是风险管理的核心的和具体的体现。信息与沟通中国石油建立了符合发展战略并与经营管理活动一体化的信息系统，为公司风险管理提供了足够的信息资源和顺畅的渠道。监督以重大风险、重大事件和重大决策、重要管理与业务流程为重点，对内控体系有效性实施监督，包括持续监督、独立评估和缺陷报告。监督工作由公司内部审计部门负责实施。中国石油开展风险管理审计的意义中国石油内部审计发展到现阶段的必然要求内部审计作为中国石油企业管理的再管理，它必须适应和符合公司管理环境的发展和变化。在以保证企业会计信息的真实准确，防止差错和舞弊为主要目的管理环境下，财务审计是中国石油内部审计工作的主要内容；在以提高管理水平和效益的管理环境下，管理效益审计是中国石油内部审计工作的主要内容。在以25确保企业内部控制有效的管理环境下，内部控制审计成为中国石油内部审计工作的主要内容。现阶段，中国石油面临的内外部风险越来越大，风险管理和应对不当造成的损失和影响甚至决定了公司的生存与发展，全面的风险管理是公司管理的主题，在这种管理环境下，风险管理审计必然成为中国石油内部审计工作的主要内容。公司内部控制体系、全面风险管理的需要中国石油的内部控制体系、全面风险管理涉及了从公司治理、企业目标、企业文化、生产经营管理各各方面，是一项全面而复杂的全员性工作，不是公司哪一个部门能独立完成的，公司管理各部门在内部控制体系、全面风险管理中都有着自己的职责。目前中国石油的风险管理有三道防线，一为各有关职能部门和业务单位；二为风险管理职能部门和董事会下设的风险管理委员会，三为内部审计部门和董事会下设的审计委员。内部审计是企业全面风险管理的重要组成部分，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。按照美国萨奥法案和中国国资委的要求，内26部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。根据内部审计的特点，开展风险管理审计，是实现其在企业全面风险管理中职责的最佳方式。是实现审计价值，完成公司目标的要求风险管理审计从组织面临风险的角度来评判公司风险管理体系的设计和执行是否有效，对控制薄弱环节的治理和改进措施可行性等提出认定，评价风险管理与控制对组织目标实现的影响程度。这样内部审计就将自身的职能与公司的目标有机地结合起来，内部审计的服务功能就能系统地汇入组织的系统控制和管理中，使内部审计职能得到最好的发挥。有人形象地比喻：传统审计是公司经营管理的“看门狗”，风险管理审计使内部审计成为受尊敬的业务顾问。中国石油风险管理审计现状分析取得的成果较早地提出了风险管理审计理念在开展内部控制体系建设初期，中国石油最高审计部门领导就已经提出，中国石油内部审计人员应注意风险管理审计相关研究，并指出这是中国石油内部审计的发展方向。2006年，中国石油审计部在一次内部培训中非正式地提出了以风险为导向的审计计划编制方案，提出了编制的原则等一些具体内容，在会议上进行了研讨。中国石油内部审计在2008年及2009年两次将风险为导向的内部审计作为年度优秀审计论文的主要课题之一，组织广大内部审计人员进行研究讨论。风险导向审计，或者说风险管理审计理念在一定范围内已经为中国石油内部审计人员所认知。成立了专门的风险管理审计部门2008年中国石油在总部设立了内部控制与风险审计处，作为风险管理审计的专业领导部门，2009年正式提出了要开展风险管理审计的工作目标，2010年中国石油审计部组织对所属某公司开展内部控制与风险管理审计，正式开始了风险管理审计的实践探索。其他一些地区公司内部审计部门也开始了风险管理审计27相关的实践。开展了风险管理审计理论探索受中国石油审计部委托，由青海油田公司审计处处长田选章、副处长于伯新等人组成的青海油田公司风险管理审计研究课题组完成了《企业风险管理审计实务研究》,对企业风险管理审计实现途径提出了4个方式，即风险为导向制定内部审计计划，基于风险矩阵图的审计实施，数字化的风险测试与风险评价，前瞻性的风险管理审计报告。这是中国石油内部审计一次较为全面的风险管理审计研究。存在的不足风险管理审计是中国石油内部审计发展的新阶段，也是新生事物。中国石油风险管理审计虽然取得了一些成果，但与国外先进做法相比，特别是与中国石油现在的管理环境对风险管理审计的需求相比，还存在一定的不足，主要表现为：3.4.2.1未将内部控制测试与风险管理审计进行有机结合2004年，中国石油开始了内部控制体系建设工作，内部审计全程参与了体系建设。在建设初期，与普华永道等外部咨询机构、内部控制体系建设项目组及其他相关部门和单位开始研究如何对体系进行监督检查。按照美国PCAOB审计准则的相关要求，确定了内部控制测试的方式方法，并在大庆油田等试点单位进行相关测试方法的试验。到2005年上半年，内部控制测试的原则、方式、方法、测试工具、测试标准等基本确定，并在下半年开始了模拟测试。2006年至2008年，中国石油内部审计投入大量的审计资源，开展了以地区公司自我测试、管理层测试为主要内容的内部控制测试，为健全和完善公司内控体系、强化内控执行发挥了重要作用，为公司连续三年顺利通过外部审计做出了重要贡献。内部控制测试的方法、标准等在实践过程中也不断地修正和改进，目前已经基本达到了较为完善的程度。应该指出的，目前中国石油还没有将内部控制测试与风险管理审计正式有机的联系起来。审计部门往往是接受内部控制与风险管理部门的委托，开展内部控制测试工作。近年来在一些地区公司还出现了内部审计部门由于审计力量不足或审计费用不足，不愿意承担或不再承担内部控制测试工作，而对其进行了外委，这些做法在一定程度减少了审计部门参预风险管理的机会，降低了审计人员对风险管理情况的了解，不利于风险管理审计的开展。3.4.2.2未制定统一规范的以风险为导向的审计计划编制规定中国石油审计部在2006年年初的培训会上，提出了以风险为导向编制年度审计计划的课题，并提出了一个非正式的方案，对编制的原则等进行了探讨，但至2009年末，并未对以风险为导向的审计计划编制下达正式的统一和规范的规定。这也使以风险为导向的审计计划编制在中国石油各地区公司存在着差异，一些单位实质上并没有开展此项工作。3.4.2.3风险管理审计方式方法没有统一规范中国石油风险管理审计理论研究刚刚起步，许多研究还只是理论上进行探讨，对风险管理审计实践具有实质指导意义的内容，如风险管理审计的方式、方法等还没有相对较为先进和明确的结论，这使中国石油风险管理审计实践还处于初期的摸索中，在一定程度上制约了风险管理审计实践的有效开展。第4章风险管理审计实践研究风险管理审计是新生事物,目前国内外较成功的风险管理审计实践案例较少。在中国石油已经建成并运行内部控制体系、开展了全面风险管理的环境下，应该率先在风险管理审计实践上做出有益探索，中国石油风险管理审计更有其自已独特之处，一是定期性和常规性，按照内部控制和全面风险管理的要求，审计部门要定期对体系进行检查，，在年初制定审计计划时就要有全面的安排。二是要有针对性和专业性，风险管理审计与其他常规审计不同，主要是针对风险采取一些特殊的审计方式方法，专业性要求更强。三要具有全面性，风险管理审计不仅仅涉及企业生产经营管理的各个方面，还涉及诸如企业战略目标、内部环境、法律环境、信息系统等。开展风险管理审计，在程序上应有三个步骤，即风险评估、以风险为导向的审计计划、风险管理审计项目的实施。风险管理审计的方式上有三种，内部控制测试、专项风险管理审计及半年或全年对审计发现进行风险分析，下文将逐一进行探索。风险管理审计程序一：风险评估对企业进行全面的、科学的风险评估是进行全面风险管理的重要内容，也是风险管理审计的前提和基础。通过风险评估，系统、全面明确公司面临的主要风险，并明确哪些风险是可以接受的，哪些风险是需要采取诸如规避、分担等方式进行管理的。风险评估可以使风险管理审计明确目标。风险评估方法中国石油内部控制体系建设和全面风险管理主要依据《中央企业风险管理指引》，采用了COSO风险管理框架。借鉴上述指引、框架和标准中有关风险评估的内容，中国石油风险管理审计中风险评估应采用下面方法：风险评估方法（风险评估方法图4-1）建立风险评估基础包括对风险及风险管理进行定义，对风险进行分类，确定风险偏好和风险容忍度，确定风险可能性和影响的评估标准等。目标设置与分解在确立目标时，首先把关注点放在企业战略目标及战略上，制定企业层面的相关目标，以保证企业使命或愿景的实现。再将企业层面的相关目标进行层层分解，直至企业内部各种业务活动层面，以使各具体子目标与企业层面的目标融为一体。识别风险

识别风险分三个内容，一风险识别的准备阶段，包括收集相关资料和专家咨询等。二是风险识别的步骤，包括确立关键业务或事项，分析其目标实现的关键成功因素，找寻内部和外部的风险源，然后生成影响该业务或事项实现其目标的风险。三是风险识别的方法，包括流程图法、专家访谈法、与高级管理层的沟通等。分析风险分析风险的步骤分为收集信息和资料，对风险源进行分析和评分，对风险进行评分。风险评估按风险值对所识别的风险进行排序，确定关键风险，以决定投入的关注程度或实施风险应对的力度与时间。风险应对风险应对的方法有风险接受、风险规避、风险减轻和风险分担四类。中国石油风险评估成果中国石油的风险评估工作由内部控制与风险管理部门负责组织包括审计部门在内的相关部门及单位联合开展。自2004年开始,中国石油在内部控制体系建设阶段，即组织了内部管理人员及聘请外部专家,开展了全面的风险评估工作,在风险评估方面取得了一定的成果，如形成了中国石油风险数据库。中国石油风险数据库举例：（例1）中国石油天然气股份有限公诃报告风险数据库（表面4-1）流程.一级流程:.级流程相关风脸控制目标的类型财务风险II财务风脸重要;风隘可能性C：完整性A：准确性V：有於二R：接触性

度预算T-度预算编制预算内容不完整V较大预算编制的基础资料不准确％不完整口V7较大预算编制中现计算错误VV较大预算的偏设不合理（:范围、匕体、期间等）VV较大预算编制不及时VV较大预算的编制脱离实际V较大预算未经有效审批VV较大未经授权的人员了解预算的心息V较大（例2）中国石河IX然气股份有限公司经营风险数据库风险类别风险定义风险描述事件风除评估主要业务流程主责部门/公司可能性影响程度重心性流程编号流程名称投资风H:二国内国际政治经济自然环境变化.内外部环境分析不推确，行业结向调整、发展规划制订卡充分综合平衡投资结构对利用国家产业政策等因素.导致投资决策失误、公司战略目标的实现受阻情况的产生中长期发展规划不适时国内外环境的变化.7SP03.03.02司长规编公中期划制规划计划部门险由F缺乏对新建项II的专植评仙图仃效审批舁因素，导致投资决策失误或投资项由旧撮率低.新佳项目选择不符合公司经营目标及需要JSP02.02.01.01投资项目侬可行性研究规划计划部门（例3）中国石油天然气股份有限公司法律风险库（表4-2）业法律法律风法律应时措施於领域风险源具体表现险源诱发因素风险措施防范控制救法律依据依限汕资勘、未法得气源查相与部建时！机未发探未及迪■开勘门立沟作制能县以政匕部贡违行、•能处10元卜可被级上府管门令法为警告可被以万以罚缸探发口勘—开部勘探部门进行勘查登记，掌握区块勘查情况和动态，并以一个勘直年度为期对勒奇情况进行精息迪擢.具备开采条件的，提前通知开发部门。开发部门在新立开采项目的同时，勘探部门办理探矿权变更。开发部门对具备开采条件的区块及时办理采矿权许可证。V甲资助区登管办£产源查块记理枭ll'IJ事查呆动开收从勘开活掌块情动未办评时E查田，时坏及握勘况总及理探发口勘—开部勘探部门未办理进行勘查的，3个：作H内办理勘查许河证。如收到处罚通知,在2个工作I|内报法律部门1,开发部门对未办理开发手续而进行开果的.3个工作日内办理采矿权许可证，如收到处罚通知,2个工作11内通知法律部门V力于资力甲资法后产源法£产■I.X.■法律部门如行政处罚不当，会同相美部门及时收集仃美证据.采取申请听证或提起行政复议、行政诉讼等方式降低损失732内部审计部门在制定审计计划时，也要按照上述方法开展风险评估，要对收集信息分析整理，明确的公司本年度主要目标、生产经营及管理重点，对公司目标实现有重大影响的内外部因素，对照公司风险数据库，对风险数据库中风险发生的可能性、发生的条件，对实现公司目标的影响程度等进行分析和判断，确定风险的重要程度。整理出本年度需要重点控制的风险，即重要风险。将重要风险落实到具体业务，根据单位或部门此类业务发生的频率，结合确定重点审计对象的其他标准，确定重点审计对象。33以下情况也可做为确定重点审计对象的依据：被审计单位内部控制总体情况，管理人员能力及正直程度，经营业务的复杂程度，要职人员的变动，企业快速增长、工作量（收入）快速增加、成本费用亦快速增加，经营方针、制度和控制发生重大变化，企业经济环境恶化，审计间隔时间，上次审计发现问题及其问题涉及的金额大小，信息处理系统变化，资产的流动性，离总部的距离，管理人员对完成目标的压力，单位的信息化程度等。风险管理审计程序二：以风险为导向的审计计划以风险为导向的审计计划对内部审计部门开展风险管理审计有着提纲挈领的作用。以风险为导向的审计计划是指内部审计部门要以对企业的风险评估为前提和基础，结合审计力量和其他方面的要求，制定出年度审计工作计划。风险导向的审计计划的本质特征是突出了风险因素。编制以风险为导向的审计计划的意义从全盘的角度，筹划风险管理审计，更具有全面性和完整性。以风险为导向的审计计划，是站在公司整体发展的角度，从公司的战略目标、报告目标、经营目标和合规目标出发，在突出风险因素的同时，也考虑了审计力量和被审计对象的特殊情况，对于风险管理审计实施而言，它具有全面性、完整性和一定的前瞻性，是风险管理审计有效实施的重要前提。在公司生产经营等重要目标发生变化，公司内部管理环境发生重大变化，或所属单位或部门管理情况发生重大变化情况时，以风险为导向的审计计划要针对这些变化，对风险管理审计内容作出重点安排。对在这种特殊情况下公司生产经营管理的正常有序进行、为公司管理层进行重大决策提供有价值的参考建议，具有重要意义。有效指导了其他审计项目中的风险管理审计以风险为导向的审计计划，对除风险管理审计外的其他审计项目，也明确了其应关注的重要风险。使这些审计项目在确保完成相应的主要目标之外，在风险管理审计上也有所贡献，有时会成为项目的又一闪光点。如在笔者负责实施的对吉林油田某集体企业总公司开展的管理效益审计中，按照审计计划中列示的该单位可能存在的重要风险，有针对性地对该公司资产负债、现金流量、合同管理等方面进行了重点审计，对发现问题进行深入分析，在审计报告中增加了风险分析部分，并提出了该单位存在持续经营风险、法律诉讼风险和舞弊三个风34险，成为管理效益审计报告中的一个新亮点。以风险为导向的审计计划的编制原则一是审计计划要以企业目标实现为出发点，围绕企业当前阶段的战略目标、经营目标、合规目标的报告目标相一致。二是要有很强的针对性和时效性，风险管理审计即要全面审计，更要突出重点。要根据企业内部管理环境的变化、内部控制体系的重大变化而确定风险审计内容和重点。三是以风险控制为切入点，检查控制设计的科学合理和执行的有效性。四是计划要具有很强的操作性。以风险为导向的审计计划的编制方法收集涉及公司本年度生产经营的内外部信息，包括生产经营的具体目标和重要经营活动，公司最新的风险数据库，投资计划、生产任务计划、机构和人员变动、新开展的业务、本年将停止的业务及常规生产经营活动，以前年度的审计信息，监察部门的信息，职能部门的有关信息，外部经济形势、行业形势、国家经济政策等。对收集到的信息进行有目的分类、筛选和整理，明确公司本年度主要目标、生产经营及管理重点，对公司目标实现有重大影响的内外部因素，为下步风险评估做准备。信息收集不能仅仅是在制定审计计划前才开始，它应是一项长期的持续性工作，审计部门应由有相当经验和能力的专人负责。编制审计计划根据风险评估情况，对审计对象的风险重要程度进行打分和排序，再根据公司审计力量、已经确定的必审项目等，确定被审计单位和审计项目。其中对公司要求的本年度必审项目，如厂长（经理）离任审计、基本建设项目审计、经营成果考核审计等，在实施过程中除规定的重点外，同时也应关注重要风险。对于分析判断存在重大风险的单位或项目，要开展专项的风险管理审计。风险管理审计程序三：风险管理审计实践风险管理审计实践的内容包括内部控制测试、专项的风险管理审计、年末或半年对审计发现进行风险分析。内部控制测试内部控制测试是对公司内部控制体系和全面风险管理设计有效性和执行有35效性进行检查的过程。中国石油的内部控制测试在2004年内部控制体系建设及其运行时成为内部审计部门一项重要的工作。中国石油内部控制测试的方式方法是在体系建设过程中，由审计部门与普华永道会计师事务所共同研究、试验确定的，在2006年至2008年的三年全面测试过程中，中国石油内部审计人员与外部审计以“三一致”，即测试工具和测试标准一致、测试范围和测试内容一致及测试实施时间一致的方式开展了测试工作。其中，外部审计根据美国资本市场监管部门对内部控制测试的要求而改革测试方法时，也通知中国石油内部审计部门同步进行改变。经过实践，中国石油的内部控制测试方式方法符合国内外对内部控制体系监督的要求，是与国际标准接轨的先进有效的方式方法。作为风险管理审计重要方式之一的内部控制测试，需要在测试方法、测试内容等方面进行完善，特别是需要将一些审计方法融入测试工作中，达到既完成对内部控制体系和全面风险管理进行常规的、例行的检查目的之外，还要达到风险管理审计的多重目标。中国石油的内部控制测试是由公司管理层授权内部审计部门，按照规定的程序、方法和标准，对公司内部控制体系和全面风险管理设计有效性和执行有效性进行检查的过程。通过内部控制测试，一方面检查内部控制体系和全面风险管理设计、执行有效性，另一方面通过对存在问题的分析，提出完善内部控制和风险管理的意见和建议。内部控制测试的目的、意义通过测试，能够检查内部控制体系和全面风险管理的设计是否能对风险进行有效控制，控制措施是否与实际情况相符合，控制的效益和效率等情况。检查执行相关控制的人员是否真正理解并能够严格执行控制等。为公司管理层发布公司内控有效性声明及编制公司风险管理报告提供重要依据。依据萨奥法案的要求，上市公司在公布年度财务报告的同时，公司董事长要对公司内部控制情况发布一个声明。同时，按照国资委的要求，中国石油要编制年度风险管理报告。内部审计开展的内部控制测试结果，是公司管理层发布声明及编制风险管理报告的重要依据。是企业风险管理工作的重要组成内容。对公司全面风险管理进行持续监督是内部审计重要职责之一，持续监督的主要形式就是内部控制测试。2006以来，中国石油的内部审计部门组织实施了大量的内部控制测工作，发现内部控制体系在设计及执行上存在的许多例外事项，并提出了整改意见。对促进内部控制体系的进一步完善和提高员工执行力发挥了重大作用，也为中国石油连续几年通过美国监管部门的检查做出了应有的贡献。内部控制测试的依据主要依据《中国石油天然气股份公司内部控制手册---监督分册》《中国石油天然气股份公司内部控制手册---##公司分册》、《中国石油天然气股份有限公司内部控制测试规范》、中国石油审计部下发的内部控制测试实施方案、相关的规章制度等。内部控制测试内容内部控制测试包括公司层面控制测试、业务活动层面控制测试和信息系统控制测试三部分。公司层面控制测试公司层面控制包括职业道德、高管基调、信访举报机制和违规处理、组织结构、权力和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、信息与沟通、内部审计、反舞弊程序与控制、经营活动分析、风险评估过程、信息批露、董事会、审计委员会17个主题。每个主题依据COSO内部控制框架中的控制要素，结合中国石油的实际情况，制定了内部控制关注要点和控制措施。公司层面控制测要试应用测试工具，针对内部控制关注点，对控制措施的实际执行情况进行检查。下面以经营活动分析为例说明公司层面控制测试的主要内容和测试方法：经营活动分析测试表f表4-3)序号内控关注要点控制编士索弓I股份公司控制措施描述试控无力具体测试方•骤测试发现测试结论11.1建立并实搪了财务分析ECA1.1-1ECA1,1-1公司建”.『年财势分析管理规定》，.在《财务分析管理规定¥中规定了财势分析的承黄，分析的内容，分析的艮体方法和程序。ECA1.1取得年财势分析管理规范》,审阅内容是否包含财务存折的目的和作川，财务分析海及的部门及其职啻，财势分析的内容、财势分析的具体方法以及财务分析的流理，评估该规定是否腌有助丁笈现财外报告中的重大错报.(HQ/RC)21.2财务分析实施ECA1.2-1ECA1,2-1公司实施了定期和不定期的、各个层面的财务分析(地区公山层面，股份金司］ECA1.21，访谈总部、专业分公司和地区公司相美财务人加了薪【1)公司进行解营活动分析的形式和程序是什么f目的是什么f2)是否建立了总部、专业分公司、地区公司三雄财务分析框架体系，由下颦向上班提供信息支持？……

31.3财务分析内容适府性ECA1.3-1ECA1.3-1制定并颁布《财畀分析管理规定，,按照该枷定的要求进行分析.晞根据抽样原则抽隹财势分析能行，需要联点抽查外度财畀分析和半'目支财务分析他誉，对分析的过程进行泅试一测试的过程参考下述各指标的具体要求一74/'层对财务存折的反应川中：二ECA1.4-1ECHl1.4-2ECA1.<-1杼八层面的财务分析却果及时向在^管理部1」和管理层报色:地区公司的财务分析结果褊写完毕后报本地区公司管理层.井」:报专业分公司：专业分公司的财务分析沾果编写完叫后眼寺业分公山管理层.并上报股份公山财务部.ECA1.4-2……脐ECA1.4-1见ECA1.3-1M族管理层了卿］审核中是否发现过财势报龙的错报？对俳报圳何址"■跟进？是需调整财势抿表？4.3.1.3.2业务活动层面控制测试业务活动层而控制测试,是对手I：控制的末缴业务流程进行跟单测试和关健控制测试及法徘风险控制测试.在内部控制体系中，对工产经营等业务活动进行「流程描述，并将风险数据库中的相关风险落实到流程中,针对风险制定「相关的控制措施。目前中国石油电务流程分I大类，共:弘个一级流程，M中战略发展业务流程(SP)9个，核心业务流程(KP)15个，经营管理业务流程IMP)10个n卜一面以天然气然糖收入收算业务为例，说明业务流程及相关的内部控制文件:

审核发疆刘过■1:通过机据收到的受罪，与相位学门梃供的天牯*1计立交…(1)销售收入核算流程图KP06.02.08销售收入核算怔月财势转。会.将审核无误混罪变错果口单位财外科挽收同天杯”［计u交接单圆时如内用食管胆肉、一审核发疆刘过■1:通过机据收到的受罪，与相位学门梃供的天牯*1计立交…(1)销售收入核算流程图KP06.02.08销售收入核算怔月财势转。会.将审核无误混罪变错果口单位财外科挽收同天杯”［计u交接单圆时如内用食管胆肉、一制倡打印官许强岗天料气计址交接单铜肯给靠单1、相承审核无误的的肉结亮隼丹R笈盥财外科梗收同财外科科长01X广;」容户政1博或司］T.i,u^^ji.-■,<IQJ吉林油田帼.靛如告林油田采rm■怔X桃'LT产鞘理事门（注：红色菱形为风险标识,绿色：於形为控制措•施上流程国中i三要风险如下:（1）F1销售发票未经过有效的审核（K）⑵F2销售收入确认不准确（K）（3）F3虚假的销售收入（截留、隐瞒、虚报）针对风险的控制措施如F：1F:销售发票未经过有效的审核（1）F1.1M税收岗依据相关单据（销售结算单）开具销售发票并经财务科科长审核（审核相关单据及发票开具的项目、内容是否准确、完整）。2F:销售收入确认不准确（1）F2.1M财务部门销售管理岗审核《销售发票》与《天然气计量交接单》的一致性（包括销售价格、销售数量、销售金额、货款结算等）（2）F2.2M财务部门销售管理岗，根据《企业会计准则-销售收入》确认销售收入，并编制记账凭证。财务科科长对记账凭证进行审核（包括销售价格、销售数量、销售金额、货款结算等）3F:虚假的销售收入（截留、隐瞒、虚报）（1）F3.1M月末财务部门销售管理岗就相关销售情况进行分析（包括预收的货款是否应当确认为销售收入、确实无法收回货款的销售不确认为销售收入、销售退回、已提未售、已售未提以及对其他销售行为的判断），并对异常情况进行记录，将相关情况报告财务负责人，对产生的差异进行处理。流程步骤表（表4-4）编业务活动操作i句位，部口业务表单描述01与客户及销售公司「1具天然气计量交接单天然气生产精售部门天然气计量交接单02由具辅售结算单销售科销售管理i；j销售结算电03根据审核无误的销皙结算单开具发票财务科税收岗04审梭发票财务科科长口5每月财务结算会.将审核无误发票交给枭气单位财务科税收岗)26根据收到的发票与销售部门提供的天然气计量交接单核对一致性财务科销售管理i；j天然气计量交接单07审核财务科稽核管理i；j08账务处理，准确确认销售收入财务科销售管理i；j记眼凭证09审梭财务科科长10进行销售分析性复核财务科销售管理iM⑵天然气销糖收入关键控制文件悄科收入核算凤险控制文档（RCD）（表4-5）单位杂称［仃林油田 单位编码：JLYT_P业务流程有称:油气销件--天然'（精杏管理 业外流程褊码：KP06.02心前：：流程布称：销售收入核算 芍前二流理编码：KP06.02.08砧后更新时间: 版本1漏制柚门:财务处 编制人：##KP0BOS-0FmI4KP06.02.OS-01销售友票小钱过有软晌审核4KPO.02.OS-□1-K1税收茴依据相美用州（销售结算单7F月销售发票井锦财外科科应审核《审核相关单据及发票开其的项II.内容是舌准蔺.元等｝-A发现件侮多次发票）《销四结弟单3《中周右汕北然‘那份仃限公T产品制售管理酱行办法）KPOB0S-0M4KP06.02.08-02消曾政人购认推不4KPO02.0□2-K2财务部门销售前理向审核《销售发票?B《火恭FI讨交接单¥晌•以性《包括销售肺格.销售舞垃・销售至秋.黄看牯算等》A发现件的时《天然气计,H交接单■网（售发.：：：.《中国右汕北城’；暇份仃限；：，，」“品鞘音管理衡行分法»KP060S-DM4KPO02.0-02-K3财务部门销售前理岗,根则《企也窑”奉回-铸售收入＞蔺认销皆收人.并编制记账先训.财势抖抖民对记账凭证进行市极《包括销斯价格.销售数fit.销售亲敬.党款结算然》A发现件边时｛记黑凭心《天播二计M交接销售发.：■：.《中周右汕人离*W份仃限公T产品制隹首理酱行办法I流程图、关键控制文件、控制实施肝据、控制制度等构成「业务层面控制的主要内容n业外层面控制测状-一是也件业务是否按照流程规定程序和控制措•施进行处理,一是检膏处理是否卅F「和美的证据口业务层面控制测试是内部控制测试最重要、匚作量最大的部分。4.3.1.3.3信息系统控制测试包括信息系统总体控制测试、信息系统应用控制测试和电产表格测试-测试的对象k要是企业的财务里信息系统和资产管理信息系统等应用;系统及部分电子表格.4.3.1.4内控测试的方式测试方式主要有跟单测试和关键控制测试两种。跟单测试跟单测试是指在业务流程中选取一笔业务，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程，又称穿行测试。跟单测试应当涉及交易的初始、授权、记录、处理和报告的整个过程，还应涉及交易中数据（信息）的输入、处理和输出的控制。跟单测试的目的是查找内控设计方面的不足，或现有控制不足以防范风险；在设计满足的情况下，检查其在实际中是否存在；查找设计的控制在实际中完全没有执行等。跟单测试，可以单独进行，也可以与关键控制测试同时进行。跟单测试的工具有跟单测试表、跟单测试例外事项汇总表等，其中跟单测试表是最主要的工具，用以实施具体测试。跟单测试表格式如下：跟单测•试表（表4-6）跟单测试表单位另称：业务流程名林及编码:序号控制编号（即於锹控制编号业务活布或控制措施（流程描述）测试步里处发现例外事项说明及原因例外事项数量及分类备注设计房面执行房面阳仃的控制G存在或设计,：合理实际我行的控制没仃被记录设计的控制记录不准确己仃的控制缺乏必要的规章制度或制度不完品设计的控制在实际中一•直未执行一股控制执行F席确测试人： 测试时间： 复核人： 复核时间被测试单位部门负贲人：跟单测状需要:按照业务流程图标明的处理步骤，检件业务是否按照流超描述进行处理，对每个步骤出现与流程不-一致的情况，在跟单测试表中进行记录和分析，并判断其属哪种类型的例外事项.4.3.1.4.2关键控制测试关键控制是在流程中对重要业务风险的影响力和控制力控强附一项的多项控制，其控制作用是必不可少和不可替代的，如缺少该项控制将在很大程度上导致风险的产生a关键控制测试是指以重要风险控制管现文件为标准,采用抽样测试的方法对业务活动关键控制执行的有效性进行的检查e关键控制测试目的是保证企业重要风险控制措施得到正确执行，和重要风险得到有效控制，也为各项业务活勃的正常进行,确保资产的安全完整,防止欺诈和舞弊行为，全面提高企牝管理水平，实现企业目标提供有力保证-关键控制测试的主要工具有关犍控制测试表、抽样测试记录表、关键控制测试例外事项汇总表等，其中最主要的是测试表和抽样表，用以实施具体测试.美键控制测试表和抽样表格式如F：⑴关键控制测试表（^4-7）关键控制测试表单位名称:流程鼾称： 业务流程第码：影响会计科目：序股份公司美槌控制被测试单位控制措地测试计划测试情况备关健控制编号三比控制描述隘制档引号风控文索编现有产制措施捽制控制频率测试步骚（分行列示）样本总体样本数量试务II:间测业起时被测试岗位及姓名访谈内容及结果样本数量测试发现M2：堵出例外事项说叫及原国123156LS911121311151617181测试人： 测试时间： 复核人： 复核时间被测试单位流程负贡，k《2》抽样测试记录表（表4-8）抽样测谎已录表单位名称:流程/主题名称： 索引编号：控制编号： 样本名称:序号日期编号摘要金领备注测试证据索JI1'}测试的内容123例外事项合计例外情况说।吼蒯试入：测试时向：复核.人复核时同：关犍控制测试变应用测试工具,通过抽查样本,检叠业务流程中关键控制出施是否得到切实执行，及控制执行的证据e对:在检查中发现与控制不一致的怙况，在测试表和抽样表中做以记录，并分析和判断其属哪种类型的例外事项.444.3.1．5测试方法主要有询问、观查、检查、再执行、分析性审计程序5种。4.3.1.5.1询问通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在以及控制执行人对控制的理解程度。询问是比较常用的测试方法，审计人员应先调查了解测试业务涉及的部门、岗位及其他情况，准备访谈提纲，拟定询问重点和要点。根据业务流程和控制措施，确定被询问的部门和岗位。访谈应围绕验证被测试人员对流程的理解，检查内部控制设计与实际执行的一致性。询问一般可包括以下内容：简述该项业务的实际操作完整流程；该项业务整个流程中，可能存在哪些风险，其中较重要的风险是什么；针对可能存在的风险，当前的控制措施是如何预防的，其中较重要的措施是什么；该业务流程重要的控制措施形成的证据是什么；公司对相关业务流程有什么样的制度规定等。原则上要求对实施控制的每个岗位都进行询问，以确保获取最直接的信息。但如果审计人员能够通过一个或几个岗位的询问获取足够的信息，那么根据被测试单位的实际情况，不用询问到每个岗位。如果被询问人口述内容与业务流程一致，对所涉及的控制措施、相关制度比较了解，一般可暂时确定没有例外，进行下步测试。如果被询问人对业务流程不了解，或描述与流程规定存在有大的差别，审计人员要做好记录，在下一步测试中，验证是被测试人员个人不了解业务，还是实际业务与流程描述存在较差别。由于询问结果的可靠性是四种测试方式中最小的，因此一般不把询问的结果直接做测试结论，特别是做为例外事项。询问应该与其他测试方法同时运用。4.3.1.5.2观察是现场见证正在执行的控制，从而判断控制是否存在。观察的主要方式有：现场观察、侧面观察、亲历等。对于特定控制，如岗位职责分离等，可观察所描述的控制是否实际存在。4.3.1.5.3检查是通过查看与控制相关的文档性记录，对控制有效性做出判断。常用的方法有：审阅、复核、审查等。检查方法适用范围较为广泛，对实施控制的依据和形成的控制证据均可适用。检查应与其他方法适当结合运用。检查的核心内容是抽样，抽样方法采取随意抽样法，但要求样本要有代表性。样本的选择应该由审计人员确定，由被测试人员提供。需要考虑交易的不同性质，针对不同的审批权限、业务性质等选择不同的样本。对于某些具有特定时间要求的控制措施，如期末会计结账等，需要在该时点选择样本。关键控制测试重要一项内容是抽取样本进行检查，对于样本的数量，一般按以下原则进行抽取。关键控制样本量确定表f表4-9）八定期发生次数固定控制概率/析合撅率样本数量自动应用控制不适用1手工控制/半自动应用控制每.年一袱1每半一•一次2每季一次315次以卜每月一次515次用50次之间每周一次1550次由200次之间每IL次20-10大J200次每II数次25-604.3.1.5.4再执行是通过重新执行控制活动以确定控制是否有效.再执行获得的结论可靠性较尚，因此能修再执行的业务，如折旧额的计算，一股均应实施再执行口4.3.1.5.5分析性审计程序分析性审计程序是对信息（财务信息和非财务信息）之间关系的研究和比较,可以用于审计实施阶段前收集信息，也可以用于对信息进行检查和评饼.主要用于本期信息与前期类似信息、本期信息与预算或预测、财务信息与非财务信息、信息组成因素之间、信息与组织中其它部门类似信息、信息与行业中类似信息的比较或关系分析.资金管理控制、收入确认控制、会计计量过程复杂的事项、存货入库核算和盘点控制、投资计划控制、合同签订控制、预转资控制等几方面属F高风险领域，可参考适用分析性审计程序a分析性程序关注意外差异、应出现的差异没有出现、潜在错误、潜在违规或违法行为、其它不正常或不重复发生的交易或事件.无论出现什么情况，都要通过询问、检查、核对等其它方法来查清这些问题的原因.4.3.1.6缺陷评估和风险分析将内控测试发现的例外事项，按照规定的标准，分析判断其为一般性例外.46重大缺陷及实质性漏洞。美国PCAOB审计准则第5号的规定，重大缺陷为财务报告相关内部控制中一个或者数个缺陷的组合，此缺陷组合虽未达到实质性漏洞的严重程度，但足够引起公司财务报告监管人员的注意。实质性漏洞为财务报告相关内部控制中一个或者数个缺陷的组合，此缺陷有合理可能性会引起公司年报和半年报重大错报。并且，此缺陷不能及时发现和预防。一般将发现高管舞弊，无论金额是否重大；因以前年度财务报告重大错报，而重述以前年度财务报告；审计师在当期发现财务报告的重大错报，并表明公司财务报告内部控制流程不能及时发现此类缺陷；对于公司对外及对内财务报告，审计委员会无法进行有效监管等判断方面实质性漏洞。对于一般性例外，可不做风险分析。对于构成重大缺陷和实质性漏洞，要按照风险分析程序，进行重点分析。分析的主要内容是风险发生的可能性、风险的影响等，并提出相应的风险应对措施。专项的风险管理审计专项风险管理审计的意义内控体系在一定程度与企业低成本发展战略冲突。内控体系及全面风险管理建设成本巨大，为达到确保企业财务报告真实准确的目标，增加了不少管理程序和控制实施证据，因此在实际运行中造成一定程度的效率低下和成本上升，这与企业的低成本发展战略产生了一定的冲突。如何使冲突范围越来越小，并尽可能达成一致，这需要对内控体系和全面风险管理进行梳理、优化和改造。内部审计是管理的再管理，同时又不直接从事具体的管理工作，做为相对超脱的独立部门，能够站在更高的角度，从宏观上更好地协调二者矛盾，为既能满足外部监管需要，又能提高效率和降低成本找到一个相对的平衡点。内控体系要根据企业生产经营目标、环境的变化而调整，这种调整是否到位，也需要一个相对独立部门进行检查和评价，而这正是内部审计的优势。风险管理审计，也能达到上述目标。抽样测试方法存在局限抽样本身存在固有风险，由于内控体系覆盖的全面性和样本的大量性，内控测试只能按照一定规则，以抽查部分样本来做出判断，这样的抽样判断方法本身47就含有一定的风险性，这个风险是内控测试及外部审计能接受的。而对企业管理，尤其是要求精细管理的企业往往不能接受这样的风险，比如200个样本中，我们事先设计存在一个问题，按测试规范应抽取60个样本，如果有问题的样本没有被抽中，审计人员可以得出没有例外的结论，这是符合内控测试规范的。如果抽中并发现了这个问题（假定这个问题不能直接定性为缺陷或实质性漏洞），要进行补充测试，补充测试没有发现其他问题，那么按照测试规范，可不做缺陷分析，只做为一个偶然例外。对中国石油这样系统管理且严格的企业，少而又少的例外可能是舞弊或重大问题的外在表现，这样的偶然例外可能提供了上述问题的部分信息，对其不做深入分析是一种失误。而风险管理审计是有目标性的检查，针对可能存在问题的管理流程和风险控制措施，可以实施详细检查，从而不放过任何可能的错弊。测试权限存在局限测试权限的局限，影响了测试结果真实准确。内控测试最重要的方法是检查样本，这样获得的结论证据更充分和可靠。但是，按照测试规范，只有相关样本、控制实施证据等能做为检查的对象，而一些企业的管理台帐、统计资料等内部管理资料，往往是不在检查范围之内，而这些资料往往最能反映或佐证样本的真实情况。如本文作者组织的吉林油田公司一次内部控制测试中，审计人员不仅仅检查了材料的验收、入库、出库、盘点等关键控制执行情况，同时通过对比材料费用预算、季度预算执行及检查相关成本费用帐目，发现部分单位存在材料已经使用，但未履行入库、出库管理程序等问题。由于是内部单位，审计人员既使超越测试权限和范围，被测试单位基本也能够配合。再如一次笔者参加的股份公司组织的内部控制测试，负责测试管理费用的审计人员要求看被测试单位管理费用明细帐。被测试部门一名负责人说：“内控测试程序我也懂，你说要看哪方面的样本，我提供给你样本总体，你可以在中间取样，但你无权看我的帐。”单就测试程序而言，这名负责人说的确定不无道理。而风险管理审计可以实行审计的权利，不受上述内控测试规范的约束。测试方式存在的局限由于内控体系的庞大，对全部业务流程进行全面测试需要耗费大量的人力，所以管理层测试及外部审计都关注重要业务流程和关键控制，操作中一般又只测试部分重要业务流程。从测试本身来讲，确定可以达到检查和评价被测试单位内48控体系执行情况的目的，但长时间这样做，易造成执行者重视重要流程，忽视一般流程，从而不利于内控体系的整体执行。测试结论，主要依据样本、控制实施证据的检查情况，而这些样本、证据有时并不能完全反映控制执行的真实情况，有些问题往往可以通过完备的控制证据得以蒙混过关。在一次自测时，笔者曾经对厂（处）级领导审核情况，有针对性地选择一些其不熟悉的业务，就其审核内容、审核标准进行过访