鱼骨审计法助力航企高质量发展应用研究

2023-03-16闫飞雪毕春颖

交通财会 2023年3期

闫飞雪，毕春颖

（山东航空集团有限公司，山东济南 250014）

2018 年，审计署发布新版《审计署关于内部审计工作的规定》，将内部审计目标从“查错纠弊”提升到“促进单位完善治理、实现目标”，拓展了审计范围和职能，赋予内部审计新的使命。2021 年，中国内部审计协会会长鲍国明在协会第七届理事会第四次会议上提出，内部审计既要帮助组织防风险、保安全，又帮助组织抓机遇、促发展，实现更为安全、更高质量、更可持续的发展，对内部审计提出更高要求。为推动内部审计从单一的查错纠弊向监督、服务、评价、咨询等价值管理转型，本文结合航企工作实践，探索提出依托管理风险审计“防风险，强管理，促发展”的工作思路，形成鱼骨审计模式，为航企统筹发展和安全、实现高质量发展发挥增值功效。

一、鱼骨审计法助力航企高质量发展的应用背景

（一）落实党中央防范化解国企重大风险的需要

十八大以来，以习近平同志为核心的党中央坚持底线思维，对防范风险提出明确要求。习近平总书记在十八届五中全会第二次全体会议上提出：“今后5 年可能是各方面风险不断积累甚至集中显露的时期，必须把防风险摆在突出位置，图之于未萌，虑之于未有。”时任审计署审计长胡泽君参加十三届全国人大会议时表示，要按照党中央、国务院要求积极发挥审计的作用，促进防范化解重大风险。中国民用航空局局长冯正霖强调，随着行业生产规模的扩大、运行模式的转变，行业必须从盯人、盯事的“保姆式”监管，向盯组织、盯系统的系统性监管方式转变。如何更好发挥审计增值作用，提高航企抗风险能力，是摆在内审面前的重要课题。

（二）应对民航业安全和发展严峻形势的需要

航企资金高度密集、成长空间大，这就导致腐败的机会更大，后果更严重，而安全更是航企“付不起的成本”。近年来，多家航企暴露出的贪腐案件和安全漏洞，再次敲响了警钟。如南方航空继2011 年高管贪污事件后，2014 年再曝腐败窝案，4 位核心高管一周内落马，震惊整个航空圈；东方航空2014 年被曝信息系统存在潜在漏洞，或致大量用户信息泄露；2015 年，中央巡视发现部分航空公司重复奖励代理商、干部员工利用公司资源进行利益输送；部分企业与特定关联企业形成采购腐败“利益链”。此外，媒体曝光的某航空公司机组人员空中互殴、乘客进驾驶舱拍照、个别旅客不服从管理等安全隐患，引发社会关注，航企发展和安全风险防控面临严峻态势。

（三）打破传统审计监督局限性的需要

传统审计具有以下局限性：一是审计时效滞后。经济责任审计和财务收支审计等传统审计以事后监督为主，在监督时效上具有滞后性。二是审计范围有限。传统审计极少关注经营过程中存在的风险，而这恰恰是各种舞弊、违规违纪发生的前奏。三是审计深度不够。传统审计主要侧重合法合规，很少阐述或分析事态背后的逻辑。航空公司生产运营协作相对复杂、专业性较强，人员素质相对较高，各类风险往往嵌入复杂的业务流，具有很大隐蔽性和潜伏性，传统审计难以满足新形势下航企复杂业态的审计监督要求。

二、鱼骨审计法助力航企高质量发展的应用原理

为满足新形势下航企防范化解系统风险和高质量发展要求，充分发挥审计“免疫系统”和“价值增值”功效，公司内部审计工作在传统财务审计基础上，更为关注公司管理和目标的实现及阻碍目标实现的风险和威胁，创新性采用鱼骨审计模式（见图1），开展管理风险审计。即，以“防控风险，提升管理”为目标，通过靶向性选项立项提升“鱼眼”精准度；以内部控制框架为指引，分类整合识别风险；通过业审融合会诊病根，绘制成风险鱼骨图，实现关键风险点可视可查可追踪，有效提升风险管理，堵塞管理漏洞。

图1 鱼骨审计模型

三、鱼骨审计法助力航企高质量发展的应用做法

（一）靶向性开展选题立项，高精准推动航企统筹发展和安全。

按照“控制风险，提升管理”的最终审计目标，以风险控制为导向，围绕“高管关注的重点、管理遇到的难点和员工热议的焦点”进行选题立项。项目计划确定过程中，原则上征求全体高管的意见，对公司核心业务、重点风险源开展管理风险审计，着力排查管理痛点、业务交叉点和尚未审计领域的风险点。通过有针对性地遴选项目，提升审计工作的靶向性，一批对企业发展有重要意义的审计项目被启动，为推动航企统筹发展安全，管理、痛点难点问题的解决奠定基础。

（二）以内部控制框架为指引，多维度识别航企发展和安全风险。

实施风险评估阶段，将公司业务按照模块进行分类整合，对审计项目涉及的各业务模块管理过程中存在的风险进行全面评估，识别出主要风险及控制重点。

1.以内控规范为指引，搭建业务模块“主骨”。

公司管理风险审计，参考五部委发布的企业内控规范，结合企业实际，根据相关链条归属的内部控制要素、控制类型等属性特性，将企业主要业务划分为“内部环境、控制活动、控制手段”共三个方面18 项具体管控类别（见图2）。

图2 “主骨”业务模块

其中，内部环境类是建立与实施内部控制的基础，包括组织机构、发展战略、人力资源、社会责任、企业文化5 项；控制活动类是对各项具体业务活动实施相应控制的业务，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9 项；控制手段类偏重于“工具”性质，包括全面预算、合同管理、内部信息传递和信息系统4 项。

2.评估主要风险点框架，识别问题“骨刺”。

实施风险评估阶段，首先选择项目适用的业务模块组合，在此基础上，对审计项目涉及的各业务模块风险管理的每一个环节，以其管理流程、风险点和控制措施为重点，对照企业内控规范中列示的主要风险和关键控制点，采取头脑风暴、调查问卷、访谈等方法，对风险进行充分全面的评估，确定管控重点和主要风险点。

（三）业审融合实施测试，深层次会诊航企发展和安全病根。

实施控制测试阶段，把业审融合作为基础性工作来抓，紧贴业务流、资金流、数据流、信息流和行业流，测试经营和生产活动的各类风险，带动管理风险审计走向纵深。现场审计不仅对被评审单位管理层和一线员工进行大量访谈和问卷调查，还深入企业战略、物资采购、人力资源、财务管理等管理支持部门，多部门、多维度、全方位收集业务风险信息。在此基础上，通过现场观察、分析性复核、检查文件等审计方式，对业务风险进行穿行测试，不仅测试流程、制度的执行情况，更对制度、流程的合理性予以评价和评估。

1.深入业务流，综合验证业务异常。

从企业生产实际看，各项业务均离不开系统及审批授权。现场审计紧贴业务流，具体做法围绕“查系统”、“查审批”开展。“查系统”主要通过“4 步工作法”实现：第一步，弄懂工作标准和操作过程；第二步，提取和比对大量后台数据；第三步，对内控业务穿行测试，梳理异常点，形成初步结论；第四步，进一步综合验证。“查审批”，即检查业务从发起到结束的全过程是否得到恰当的授权审批。通过对照政策，检查业务政策投向是否合法合规也是业务流的重点关注内容。

2.深入数据流，实时分析数据异动。

伴随着大数据时代的到来，之前传统的抽样审计将被全覆盖的系统审计所替代，这就对我们内审人员的数据分析能力提出了更高的要求。运用大数据审计进行数据分析，借助信息系统及数据处理软件综合分析，从海量数据中发现所蕴含的规律和特点，发现异动，有针对性地去取证，同时用数据发现管理薄弱点，佐证发现的问题，用数据说话，提高审计项目的质效。

3.深入行业流，对标找查提升管理。

公司在鱼骨图审计实施过程中，分别同多家行业优秀航企。就被审计业务开展交流。行业对标的收获是巨大的，不仅从风险源上排查出了公司业务管理存在的差距和风险点，在学习碰撞过程中，丰富了内审人员的视野，扩展了思维，进一步提升了业务技能，更重要的是为公司业务提升找准了方向，为提升管理献上了对症下药的良方。

（四）形成业务风险鱼骨图，实现发展和安全风险可视化管控。

1.绘制风险地图，建立风险数据库。

改变审计报告“一项一议”、“一事一议”的传统做法，建立风险数据库，实现风险可视化管控。在开展管理风险审计的同时，将该单位业务流中的风险做逐一梳理、排查，同时标注出关键风险点，以图形文字的形式呈现，绘制成“风险鱼骨图”，便于操作者或使用者直观地了解流程中的关键节点。在绘制过程中，从公司中心工作和绩效合约出发，不仅关注财务风险，还将发展战略、党风廉政、人事薪酬绩效、安全管理、服务管理、业务流程等全面纳入评估范围，形成了“全景式风险视图”，关键业务风险点上墙入册，做到风险点可视可查可追踪。该数据库的建立，为编制审计方案开辟了绿色通道，成为审计人员的得力助手；业务部门针对风险点制定下一步整改措施，把问题项扼杀在萌芽状态，将管理风险防范于未然，实现了风险防控端口前移。

2.整理归纳风险成果，公司范围讲评宣贯。

风险点以报告的形式传递，审计报告提交公司党委会和总裁办公会审议，被审计单位与有关部门列席会议，公司主要领导逐项点评，对潜在风险点“防患于未然”，对揭露的问题点“红脸出汗”，对重要的风险源，会后还将在公司范围内讲评宣贯，强化了公司全员的风险意识，形成了全员关注风险、重视风险、主动管理风险的良好氛围。公司各部门，尤其是经过管理风险审计的单位，已形成对各业务风险点自我排查、自查自纠的作风。通过内审人员懂业务、业务部门懂内审，实现了业务与审计广度上的边界拓展和真正意义上的业审融合，为构建适应企业经营需要、灵活应对市场变化、敏捷响应企业决策需求的风控体系营造了良好环境。

（五）夯实审计整改机制，推动航企发展和安全管理闭环。

审计整改是管理风险审计的重要闭环，通过制度约束、机制推动和跟踪问效，推动审计整改落地，实现审计闭环管理。制度约束方面，建立整改责任追究机制，明确了主要领导负总责、分管领导具体抓、审计组长直接管的整改责任，形成了“一级抓一级、层层抓落实”的良好格局。机制推动方面，重要管理风险审计报告提交党委会和总裁办公会审议，形成公司上下重视风险控制的共识。跟踪问效方面，持续开展整改“回头看”，对苗头性、突出性风险及时做出警示，加强源头治理；推广优秀做法，实现整改增效。

四、鱼骨审计法助力航企高质量发展的应用效果

（一）实现关键领域审计全覆盖，架起了高质量发展“高压线”。

基本实现了对安全、营销、货运、维修、合同、资金、工程等关键业务领域的审计全覆盖。审计报告提交公司重要会议审议，在全公司范围架起了安全发展“高压线”，形成了全员关注风险、重视风险、主动管理风险的良好氛围。

（二）堵塞风险漏洞，筑牢高质量发现的“防火墙”。

通过管理风险审计，梳理、完善公司治理领域、客货营销领域、法律合同领域、餐食机供品领域、财务管理领域等各项制度，加强了对经营活动的规则约束，把易产生权利寻租风险的业务推向了阳光平台，将风险防控融入了信息平台，基本实现“权力在阳光下运行，资金在系统内监管，风险在流程上控制，资源在监控中配置，信息在系统内留痕”。