湖北省内部审计师协会

【摘要】本文从“三大变化”的视角分析了施工企业内审变革的背景和意义，深入探究“三线模型”的演变过程和原理，结合CG公司“大风控”体系构建了施工企业内部审计“三线模型”构架，详细阐述了“三线模型”下施工企业立足组织体制优化、围绕企业管理升级、着眼风险导向审计、贯穿风险防范化解、致力审计成果运用，聚焦全员风险管控的“六位一体”变革路径，助力CG公司“大风控”体系落地。

【关键词】三线模型；内部审计；大风控；路径

一、“三大变化”视角下施工企业内审变革的背景和意义

（一）市场环境的变化

目前，随着国内经济增长的内需潜力不断释放，建筑业产业规模持续扩大，很大程度上推动了施工行业的发展。但与此同时，由于施工行业门槛较低，过度的开放化导致了施工企业数量逐年增加。根据有关数据显示，截至2021年底，全国施工企业数量高达12.87万个，同比增长10.31%，施工企业“僧多肉少”的情况普遍，供大于求使得建设单位占据市场主导地位，施工企业相对弱势，迫使同行竞争愈发严重。同时，巨额垫资、恶性压价等频发的恶性竞争使施工企业风险无处不在且愈发加剧，严重掣肘着施工企业的发展。这就对我们施工企业内部审计提出了新的要求，只有加快自身建设及变革才能适应诡谲多变的市场变化，助力施工企业风险防控和化解，推动施工企业可持续和高质量发展。

（二）经济环境的变化

近年来，施工企业利润总量增速如同蜗行牛步，产值利润率持续下降，甚至2021年建筑业产值利润率跌破3%，创近十年新低。而施工企业生产过程中的关键要素（物资、设备、人员）深受宏观经济影响，直接影响项目的经济收益和企业的效益。与此同时，施工企业应充分认识到风险与机遇并存，内部审计在充分发挥优化、完善企业风险防控体系和机制，全面提升风险管理能力，主动防范化解各类风险等方面大有可为，施工企业应以内审自身高质量发展推动企业积极应对经济环境变化带来的冲击和挑战。

（三）安全形势的变化

建筑施工行业是事故多发的高危行业，每年因生产安全事故造成的死亡人数在全国各行业中高居第二位。随着2021年第三次修订的《安全生产法》正式施行，政府职能部门对建筑业安全生产的重视程度也越来越高，安全事故惩处力度也是前所未有，罚款金额更是高达1亿元。安全生产，一票否决；发生事故，一切归零。内部审计必须转型变革，推动施工企业安全费用的足额投入、安全隐患的及时发现与消除、规章制度的有效运行，降低企业经营风险，为企业良性发展保驾护航。

二、基于“三线模型”构建施工企业内审变革构架

（一）“三线模型”的演进历程

随着世界多极化和经济全球化在曲折中艰难发展，国际政治经济风险不断积累，全球产业链反复调整、深度重构，各国内顾倾向上升。原有的三道防线模型（Three Lines of Defense）已无法满足诡谲多变的大环境带来的新挑战，修订完善迫在眉睫。在这种情况下，国际内部审计师协会于2020年7月在原三道防线模型基础上更新后发布了全新的“三线模型”（Three Lines Model）。新版的三线模型相较于旧版，最大的不同之处在于将第一道防线和第二道防线融合，侧重于核心业务层风险的自控制，将风险管理工作嵌入业务职能。同时，重申了内部审计独立性的重要性和实现方式，强调了“独立性并不意味着孤立”，重点说明了治理机构与管理层、管理层与内部审计、治理机构与内部审计等各线，在将利益相关方的利益放在首位的前提下，沟通信息和相互配合的重要性。对于治理层，第一线主要是通过搭建风险管理的结构和流程，完成各项业务，向治理机构报告完成情况及风险。第二线主要是提供补充性的专业知识，发挥支持和监督的作用，分析和报告企业风险管理的准确性和有效性。第三线主要是提供独立且客观的确认和咨询，推动企业完善风险管理工作。

（二）施工企业“三线模型”架构

由于“三线模型”中内部审计的职能和定位与施工企业内部审计的理念（监督与服务并重）、职能（促进内部控制体系完善和风险防范水平提升）、作用（施工企业治理的重要手段）存在很大的共性，本文以此为抓手，结合CG公司“大风控”体系，构建了基于“三线模型”的施工企业内部审计新构架。

图1  施工企业“三线模型”架构图

首先由党委风险管理委员会作为施工企业风险管理最高机构，扮演“三线模型”中“组织治理机构”的角色。其次由经济管理、工程技术、物资设备等部门为主的业务部门，担任“管理层”中“第一道防线的”的角色。再次由法律合规、纪检巡查等部门为主的职能部门，充当“管理层”中“第二道防线”的角色。最后由审计部门，饰演“三线模型”中“内部审计”的角色。虽然组织治理机构（风险管理委员会）、管理层（风险管理的业务部门）和内部审计各自具有明确的职责，但通过各职能之间定期进行有效的协调、合作和沟通，可使所有的活动与组织的目标保持一致。

三、基于“三线模型”构建施工企业“六位一体”内审变革路径

施工企业内部审计“三线模型”的构建，是以中央经济工作会议精神为指导，以风险、问题、管理和价值为导向，以“三线模型”中内部审计“服务、监督、协调、增值、问责”五大功能为基础，“立足组织体制优化、围绕企业风险管控、着眼风险导向审计、贯穿风险防范化解、致力审计成果运用、聚焦全员风险管控”构建“三线模型”下施工企业“六位一体”内审变革路径，明确了内部审计职能定位，通过发挥审计优势，助力施工企业提高风险治理和管理的能力和水平。

图2  施工企业“六位一体”内审变革路径

（一）立足“组织体制优化”，筑牢“三线模型”根基

1.完善顶层设计，构建组织架构“新模式”

加强顶层建设，成立党委风险管理委员会。强化党对施工企业内部审计工作的全面领导是推动新形势下施工企业内审工作高质量发展的政治纲领。CG公司通过成立以公司党委书记担任主任的风险管理委员会，构建了以党委把关定向、管理层统筹领导、业务层组织实施的“纵横结合、协同监督”的风险内控组织架构，进一步明确了党对内部审计工作的领导。通过定期会商等工作机制，研究解决重大风险、系统性风险等问题，提升施工企业管控水平和风险防范能力，促进企业高质量发展。

2.明确分级管控，开拓管理机制“新途径”

秉持“实事求是、守正创新、行稳致远”的内部审计工作宗旨，将风险管理、内部控制、审计监督与施工企业中心工作、业务工作深度融合，构筑风险管理“两道防火墙”和“三道防线”。

（1）以项目部等基层单位与施工企业总部为根本的风险管理两道“防火墙”，通过齐抓共管，促进施工企业管理提升。

（2）以履行与部门自身管理直接相关风险管控职责的职能部门为第一道防线，是风险管理的前线和战线，绝大多数风险在这一环节得到有效管控。以履行支持、服务、调查、检查、评价和督导职责的法律合规、纪检等部门为第二道防线，是监督保障线，应做好服务支持、监督指导、信息共享、管理赋能工作。以提供独立和客观的确认和建议的审计监督为第三道防线，是再监督线，对第一、二道防线是否按规定开展风险管理工作及其工作效果进行监督评价。通过建立“大风控”分级管控机制，切实发挥内部审计在施工企业风险管理中的保证作用。

图3  “大风控”工作机制示意图

（二）围绕“企业风险管控”，强化“三线模型”服务功能

1.拓展审计领域，寻找风险防控“新角度”

施工企业应遵循“全面审计、突出重点”的基本原则，将企业经济活动全部纳入审计范围。聚焦劳务分包商、设备租赁商、材料供应商“三商”工程结算、项目工程质量缺陷整治、隧道及防护措施隐蔽工程物资管理等关键环节，紧扣工程项目信息化建设与使用、管理制度执行、审计策划管理等重点领域，强化项目从投标到竣工结算的全过程监督，对项目经济活动的真实性、合法性、效益性进行动态分析，查出管理漏洞，制定改进措施，切实提升项目管理能力，大力推动施工企业实现“强管理、防风险、促发展”的管控目标。

2.前移审计关口，确立风险管理“新定位”

施工企业应坚持以“强管理、防风险、促发展”为己任，明确“以风险为导向、以内控为主线、以治理为核心、以增值为目标”的审计导向，探索以“事前审计为基础、事中审计为重点、事后审计为保障”的审计模式，重点关注项目实施之前的风险评估和风险预测，持续推进“审计策划工作机制”，建立健全项目上场初期预审预控机制，增强发现风险、规避风险、化解风险的本领，通过内部审计防范化解重大风险，切实发挥内部审计在风险管理中的职能定位。

（三）着眼“风险导向审计”，强化“三线模型”监督功能

1.风险分析模型化，研究风险分级“新对策”

按照风险类型将审计发现问题确定为三级风险，一级风险按照公司指引规定分为战略、财务、市场、运营和法律合规五大类；二级和三级风险分类考虑两个维度，一种是风险的源头、因素、条件和表现；另外一种是工作的内容、环节、流程和措施。同一风险的分类，按照一种维度或以一种维度为主；基于同一维度分类的同级风险，颗粒度相近、层次相当。

图4  风险分类扇形图

参照风险管理工具Risk Matrix，根据审计发现问题风险点对企业的影响程度，将风险等级和风险发生概率各分为5个级别，创建《风险评级面积图》，依照面积关系确定蓝、黄、橙、红四种预警级别，对应确定兼顾、正常、重点、重中之重四种应对措施。通过审计发现问题的分级管控，使公司管理层识别出较为关键的重大风险点，为领导提供决策依据。

图5  风险评级面积图

2.审计方式创新化，塑造风险审计“新载体”

在新疫情时代下，CG公司以“风险融入业务、融入信息化”为指导思想，为突破传统现场审计方式，实现线上审计，消除与被审计单位的空间限制，设计开发了企业数字化系统，通过对业务数据的汇集，采用Analytic Visualizations等数据分析技术，研发内部审计模型，实时动态监控项目情况，及时预警提示，有效解决风险管控落地难的问题。

（四）贯穿“风险防范化解”，强化“三线模型”协调功能

1.强化部门联动，树立全员参与“新观念”

在横向维度上，坚持“1+N”审计模式，形成监督协同合力。

（1）建立审计与被审计相关联的N个“第一线”业务部门协同机制，打破部门壁垒，整合不同专业的审计力量，充分发挥各业务部门的专业优势，形成协作合力，提升审计成效。

（2）深化与“第二线”法律合规、纪检等职能部门的协作配合，充分发挥各自职能优势，密切联系、相互支持，强化信息沟通、资源共享和成果互用，推动各类监督有机贯通，发挥“1+1>2”的协同效应，引导全体员工参与风险管控。

2.整合审计资源，构建齐抓共审“新格局”

在纵向维度上，为贯穿落实党的十九届三中全会提出的构建“集中统一、全面覆盖、权威高效”的审计监督体系，施工企业应充分借助上级单位及兄弟单位审计、国家审计、社会审计的力量，整合审计资源，拓宽内部审计覆盖面，构建齐抓共审的新局面。

（1）通过上级单位及兄弟单位的直接审计和交叉审计等方式，客观地指出施工企业在管理中存在的问题和不足，切实提升施工企业风险识别、风险控制和风险化解的能力。

（2）借助社会审计力量，发挥其在风险管理等方面的专业特长，助力施工企业找出经营中存在的风险，并提出防范的措施，降低或消除风险给企业带来的不良影响。

（3）借助国家审计的独立性、强制性和权威性，揭示施工企业重大体制性障碍、制度性缺陷和重大管理漏洞，助力企业防范和化解重大经营风险。

（五）致力“审计成果运用”，强化“三线模型”增值功能

1.以“四个实行”为载体，推动审计问题整改“新进展”

（1）实行审计发现问题整改对账销号，促进整改问题全面落实。通过审计发现问题，拟定“三表一单”。即审计发现问题整改表，要求明确整改的责任人、时限和措施；审计风险提示表，针对审计发现重要风险，要求明确风险防范和化解措施；审计建议采纳表，要求逐项落实建议，推动制度机制完善；审计问责清单，要求对照责任清单逐一追责问责。对审计发现问题建立整改台账并实行动态更新，通过对账销号式管理，着力解决审计整改不力现象，做到“件件有回音，事事有着落”。

（2）实行后续审计，督导“多问题”项目整改到位。对于存在问题较多的项目，通过采取后续审计的方式对审计结论的落实举措的有效性进行重新评估，客观公正地评价审计整改完成情况，重点审查悬而未决的问题，深入分析其成因，寻求解决问题的方法，根除被审计项目病灶，消除企业风险隐患。

（3）实行审计整改“回头看”，推动审计整改全面落实。借助开展现场审计的时间，对同片区内前期已审计单位的整改情况实施“回头看”，将同一单位前次审计整改情况纳入本次审计检查范围，进一步化解整改不到位问题存量。对拒不整改、敷衍整改等问题，严肃追责问责。

（4）实行审计工作联系单，破解审计整改“老大难”问题。针对审计发现的“屡审屡犯、屡犯屡审”问题，实行分类审计工作联系单，通过编号管理，执行“四定”原则（定人：指定专人指导并督促整改；定时：限定整改时限；定标准：确定审计发现问题整改标准；定方案：制定可行性强的整改方案），着力解决“老大难”问题。

2.以“会议、宣教”为依托，提高审计成果营销“新成效”

（1）召开“大风控”联席会议，做好审计成果“营销”。透过“营销”的视角，将审计成果“包装”成可销售的“产品”（提升和转化后的审计成果）分销给公司各级管理层，促进公司战略的实现，从而提高审计价值。

（2）开展审计案例宣教，推动审计成果全面落地。依托公司审计系统内的审计案例，归纳总结公司自身审计发现问题。借助审计项目的契机，以案例宣教的形式，通过对典型审计案例的解析，将审计成果“分销”给施工企业各单位、项目，从企业方向打破“经验不出项目”的困局。

（六）聚焦“全员风险管控”，强化“三线模型”问责功能

1.完善问责机制，拓宽审计问责“新领域”

“动员千遍不如问责一次”。施工企业内部审计应充分运用问责这一“利器”，对因内控机制缺失、内控重大缺陷、重大风险事件等造成重大损失和影响，或对重大风险事件虚报、漏报、瞒报的单位、部门和个人，联合纪检监察部门对照各类规章制度严肃问责，发挥震慑作用，提高违规成本。同时，通过持续完善问责标准，强化问责权力，完善审计问责长效机制，形成问责文化环境。

2.推动责任分级，建立多元问责“新机制”

建立由纪检监察部门牵头，内部审计、人力资源等部门联合参与的多元问责机制，根据权责对等原则，建立“金字塔”责任分级模型，将问责结果融入员工绩效中，引导全员参与企业风险管理，树牢全员风险管控意识，把风险隔绝在“第一道防火墙”外，切实把风险内控工作做好做实。

图6  “金字塔”责任分级模型

四、结束语

施工企业内部审计部门应以基于“三线模型”构建的“六位一体”变革路径中的新模式、新途径、新角度、新定位等12个“新”为依托，致力于企业风险识别、防范和化解，明确内审在施工企业中促进企业风险管理有效开展的推行者、风险评估的咨询者、风险管理的再监督者、风险防控的协调者、风险管理策略的建议者地位，推动企业安全、稳定和可持续发展，持续助力企业高质量发展。

参考文献：

［1］杨柳鸿，2012：浅谈审计成果深化运用管理[J]，科技致富向导（28），P51

［2］刘雯，2014：论现代施工企业风险管理中内部审计的作用[J]，广东科技（3-4），P27-28

［3］黄瑾，骆华，宋宁，2012：论企业内部审计关口前移[J]，经济研究导刊（28），P84-85

［4］李伟，2012：内部审计在施工企业风险管理中的价值探讨[J]，财会学习（5），P134-135

［5］于涛，丁林林，王琪，2021：构建审计结果运用六项机制实现审计价值增值作用，中国内部审计（9），P69-72

［6］殷允凤，王雪，2021：基于COSO风险管理框架和IIA新“三线模型”构建外汇检查执法风险管理与控制框架探析，中国内部审计（10），P10-15