邬小若

(中国烟草总公司 内蒙古自治区公司，内蒙古 呼和浩特 010010)

1 研究背景

2020年，党的十九届五中全会审议通过了《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》，深刻指明了今后一个时期我国发展的指导方针、目标任务、战略举措。习近平总书记关于《中共中央关于制定国民经济和社会发展第十四个五年规划和二○三五年远景目标的建议》的说明，指出：“当前和今后一个时期是我国各类矛盾和风险易发期，各种可以预见和难以预见的风险因素明显增多。我们必须坚持统筹发展和安全，增强机遇意识和风险意识，树立底线思维，把困难估计得更充分一些，把风险思考得更深入一些，注重堵漏洞、强弱项，下好先手棋、打好主动仗，有效防范化解各类风险挑战，确保社会主义现代化事业顺利推进”。

当前，国有企业深入贯彻习近平总书记重要讲话精神，切实增强防范化解重大风险意识，抓严做实防范化解重大风险各项措施，推动企业平稳健康有序发展。

内部审计是组织安全、稳定、健康运转的有力保障和支撑，在防范风险、推动发展、统筹发展和安全、促进实现组织发展目标方面发挥着独特而重要的作用。特别在进入新发展阶段、贯彻新发展理念、构建新发展格局下，内部审计作为国有企业的职能部门，职责不仅仅是高质量发现问题，更是要融入高质量发展大局，按照十九届五中全会提出的“做强做优做大国有资本和国有企业”要求，必须坚持系统观念，统筹安全和发展，把防范化解重大风险摆在更加突出的位置，不断提高内部审计工作成效。

风险审计是企业风险管理机制的一个重要组成部分，承担着对企业风险管理的审核、评价、监督职责，发挥着其他职能部门不可替代的作用。这是因为内部审计机构不从事直接经营活动，能够客观真实地预测风险；内部审计机构把整个企业作为审计对象，能够站在全局的高度，系统全面地评估风险；内部审计机构直接对董事会和总经理负责，便于迅速果断地处理风险。开展风险审计对于强化现代企业管理，提高经济效益，具有十分重要的意义。积极开展风险管理审计，强化内部审计的风险预警、研判、化解功能，努力提高审计质量，是贯彻落实习近平总书记对审计工作作出重要指示的有力举措，是贯彻落实《审计署关于内部审计工作的规定》的有力举措，是在统筹发展和安全方面发挥内部审计的重要作用的重要举措，是着力为企业增加价值的重要举措。

2 DMAIC模型在风险管理审计中的运用

2.1 DMAIC五步法

六西格玛是一种基于数据统计进行质量管理分析的方法，六西格玛管理的出现是为了将业务流程中的问题放大观察，以实现对业务流程更为精细化的管理。DMAIC是六西格玛管理中流程改善的工具，由5个活动步骤的英文单词的第一个字母组合而成，分别是 Define(定义)、Measure(测量)、Analyze(分析)、Improve(改进)、Control(控制)，DMAIC 五步骤是一个有机整体，相辅相成，缺一不可，是项目改进过程中的主线，是解决问题的方法。

图1 DMAIC改进图

2.2 DMAIC模型在风险管理审计中的具体运用

风险管理审计流程相对于DMAIC的五大流程而言，主要包括了风险点定义、风险评级、风险分析、风险点细化、风险点控制这5个步骤，可以分别对应DMAIC中Define(定义)、Measure(测量)、Analyze(分析)、Improve(改进)、Control(控制)5个方面，具体如图2所示。

图2 DMAIC模型在风险管理审计中的具体运用

在定义(D)阶段，将业务活动进行分解，针对不同的业务节点，分析不同风险情况，将风险区分为业务风险和管理风险两大类。在测量(M)阶段，从风险可能给企业带来的损失程度、风险发生概率、风险导致的员工损失、对策有效性4个角度对定义的风险点进行评级。在分析(A)阶段，对具体业务场景中出现的风险点进行分析判断，进而细化风险点(I)，具体细化可根据实际业务开展。在风险点分析结束后，进入风险点控制阶段(C)，对风险点进行及时提示并进行持续跟踪的风险管理审计，有效控制风险点。

3 DMAIC模型在工程项目风险管理审计中的运用

3.1 定义阶段——识别风险

根据《中央企业全面风险管理指引》(国资发改革〔2006〕108号)的论述，企业风险是指未来的不确定性对企业实现其经营目标的影响。以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。工程项目风险管理审计是指贯穿于工程项目管理的动态过程审计，应对风险进行系统控制，以减少工程项目建设过程中的不确定性。

图3 工程项目主要实施流程

通过分析流程图，将工程项目进行分解，针对不同的业务节点，分析不同风险情况，将采购风险区分为业务风险和管理风险两大类。具体包括市场风险、计划风险、舆情风险、法律风险、违规风险、合同风险、违约风险、价格风险、票据风险、数量风险、责任风险、廉政风险，具体如图4所示。

图4 工程项目定义风险点

3.2 测量阶段——风险评级

从风险给企业带来的损失程度、风险发生的概率、风险导致的员工损失、对策有效性4个角度对以上8项风险进行评级，具体如表1所示。

表1 工程项目风险评级

3.3 分析阶段——分析研判风险

企业风险管理审计服务对象为企业的风险管理决策层即高层领导者。因此，为顺利、高效开展风险管理审计，特成立风险管理审计小组。小组的职责是审核资料，召开例会推进风险管理审计工作，出具风险提示函，汇总风险管理审计数据。风险管理审计小组通过风险点罗列、细化调整和记录匹配，呈现每个流程操作动作下可能发生的风险点，具体如图5所示。

图5 风险管理小组分析研判风险点

3.4 改进阶段——细化风险点

梳理工程项目关键流程，包括立项阶段、公开招标阶段、合同签订阶段、项目实施阶段、项目变更阶段、项目验收阶段、项目结算阶段、项目付款阶段及项目竣工决算阶段，对各阶段、各环节可能出现的风险点进行分解细化，梳理了25个风险点，具体如图6所示。

图6 工程项目风险点细化

3.5 控制阶段——提醒控制风险

风险管理小组成员在审核资料中，针对可能存在的风险点及时出具《风险提示函》，具体如图7所示，反馈被审计单位(部门)，有效提示、防范、化解风险，实现了“审计关口前移，防患于未然”。2021年1—5月，风险管理小组针对在工程、物资、服务类以及信息化工程等方面开展实时监督审计86项，共出具风险提示函21份，提示风险点39个。

项目名称项目编号项目预算(元)采购方式实施单位采购部门经办人风险提示说明:集体讨论结果(或有):风险反馈意见:经办人:

4 下一步工作方向

运用DMAIC模型于其他管理类风险管理审计，包括重大政策措施落实情况、审计整改、三重一大、预算管理、财务管理、资产管理、专项经费等，具体如图8(a)所示。

图8(a) 其他管理类风险防控审计

确定各管理类风险防控审计风险点并进行细化，以执行中央“八项规定”精神和重大政策贯彻落实为例。执行中央“八项规定”精神中包括“三公”经费支出不规范，如公车购置未按规定程序报批；会议费支出不规范，如会议费支出无会议签到表等原始单据；培训费支出不规范，如师资费中讲课费超标准支付等。重大政策贯彻落实中包括制定出台贯彻落实措施不及时，如未及时制定印发实施细则、任务分工、分行业领域专项规划等配套政策措施；政策执行不坚决、不全面、不到位，如在贯彻落实中打折扣、做选择、搞变通等，具体如图8(b)及图8(c)所示。

图8(b) 其他管理类风险防控审计

图8(c) 其他管理类风险防控审计