山东航空集团有限公司(以下简称山航集团)于1994年3月12日经国家民航总局和山东省委、省政府批准成立，属国有大型一类企业，总部在济南，形成了以航空运输业为龙头，集航空运输、飞机维修、航空培训、酒店旅游、广告业务为一体的上下游业务配套发展的经营格局。现拥有波音B737系列飞机124架；目前经营国内、国际、地区航线共200多条，每周3700多个航班飞往全国80多个大中城市。公司先后四次获得民航总局安全最高荣誉奖“金雁杯”和“金鹰杯”。多次被评为国家级“用户满意服务单位”“全国质量效益型企业”。2017年荣获“全国质量奖”，成为中国民航首次也是唯一获奖的航企。 

一、实施风险审计业务创新的背景

（一）落实党中央防范化解国企重大风险的需要

　　习近平总书记在2016年全国国有企业改革座谈会上做出重要指示:“国有企业是壮大国家综合实力、保障人民共同利益的重要力量，必须理直气壮做强做优做大，不断增强活力、影响力、抗风险能力，实现国有资产保值增值”。审计署审计长胡泽君表示，要按照党中央、国务院要求积极发挥审计的作用，促进防范化解重大风险。中国民用航空局局长冯正霖强调，随着行业生产规模的扩大、运行模式的转变，行业必须从盯人、盯事的“保姆式”监管，向盯组织、盯系统的系统性监管方式转变。如何提高抗风险能力，更好发挥审计监督作用，是摆在内部监督领域的重要课题。 

（二）应对民航业风险管理严峻形势的需要

　　航企具有资金高度密集、成长空间大的特点，这就导致腐败的机会更大，后果更严重。近几年，多家航企暴露出的贪腐案件，甚至是窝案，再次敲响了警钟，如南方航空继2011年曝出高管贪污事件后，2014年再曝腐败窝案，四位核心高管在一周内落马，震惊整个航空圈；东方航空2014年被曝信息系统存在潜在漏洞，或致大量用户信息泄露；2015年，中央巡视发现部分航企重复奖励代理商、干部员工利用公司资源进行利益输送；部分企业与特定关联企业形成采购腐败“利益链”，航企风险防控面临严峻态势。 

（三）打破传统审计监督局限性的需要

　　传统审计主要侧重合法合规，很少阐述或分析事态背后的逻辑。航空公司生产运营协作相对复杂、专业性较强，人员素质相对较高，各类风险往往嵌入复杂的业务流，具有很大隐蔽性和潜伏性，传统审计难以满足新形势下航企复杂业态的审计监督要求。2018年1月，审计署发布了新版《审计署关于内部审计工作的规定》，将内部审计目标定位从“查错纠弊”提升到“促进单位完善治理、实现目标”。山航集团自2013年以来通过先试先行，创新开展管理风险防范审计，顺应了审计行业的新定位要求。 

二、实施风险审计业务创新的内涵及主要做法

　　    为满足新形势下航司防范化解系统风险和高质量发展要求，充分发挥审计“免疫系统”作用，公司内部审计工作，在财务收支等传统审计基础上，更为关注公司管理和目标的实现以及阻碍目标实现的风险和威胁，以“防控风险，提升管理”为目标，创新性采用鱼骨审计模式，加强核心业务风险防控（见图1）。即，通过靶向性选项立项提升“鱼眼”精准度；以内部控制框架为指引搭建“主骨”，聚类识别病态骨刺；通过业审融合庖丁解“鱼”会诊病根，绘制成风险鱼骨图，形成“全景式风险视图”，关键风险点可视可查可追踪，将审计监督由事后推向事前、事中、事后全过程管理，有效提升企业风险管理，堵塞管理漏洞。具体做法是： 

　　图1 鱼骨审计模型 

（一）强化顶层设计，明确审计框架及组织架构

1.明确总体目标，构建整体框架

　　参照五部委的企业内部控制模型，构建审计整体框架，形成目标、对象和流程三位一体的有机结合整体，为做好风险防范审计提供基本遵循（见图2）。 

　　               图2 风险审计框架 

2.加强组织领导，确保体系流畅运行

　　打破原有审计项目组人员构成模式，构建了领导组-专家组-现场组三层组织机构。三层组织机构职责明确、流程清晰，确保人员、任务、措施到位。 

（二）靶向性开展选题立项，确保“鱼眼”明亮清晰

　　按照“控制风险，提升管理”的最终审计目标，以风险控制为导向，围绕“高管关注的重点、管理遇到的难点和员工热议的焦点”进行选题立项。对公司核心业务、重点风险源开展管理风险防范审计，着力排查管理痛点、业务交叉点和尚未审计领域的风险点。通过有针对性地遴选项目，提升审计工作的靶向性，一批对企业发展有重要意义的审计项目被启动，为推动公司管理痛点、难点问题的解决奠定基础。 

　　如在餐食机供品成本居高不下、航企圈内私拿机供品成为潜规则的背景下，确定“餐食机供品业务专项管理风险防范审计”项目。针对公司工程建设项目变更签证频繁、招标欠规范、超预算超工期普遍的现象，确定了“基本建设专项审计”项目等等。 

（三）搭建业务模块“主骨”，分类整合识别风险

　　实施风险评估阶段，将公司业务按照模块进行分类整合，对审计项目涉及的各业务模块管理过程中存在的风险进行全面评估，识别出主要风险及控制重点。 

1. 以内控规范为指引，搭建业务模块“主骨”

　　公司风险防范审计，参考企业内控规范，结合企业实际，根据相关链条归属的内部控制要素、控制类型等属性特性，将企业主要业务划分为“内部环境、控制活动、控制手段”共三个方面18项具体管控类别（见图3）。 

　　其中，内部环境类是公司建立与实施内部控制的基础，包括组织机构、发展战略、人力资源、社会责任、企业文化5项；控制活动类是对各项具体业务活动实施相应控制的业务，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9项；控制手段类偏重于“工具”性质，往往涉及企业整体业务或管理，包括全面预算、合同管理、内部信息传递和信息系统4项。 

　　图3 “主骨”业务模块 

2.评估主要风险点框架，识别问题“骨刺”

　　实施风险评估阶段，首先选择项目适用的业务模块组合，在此基础上，对审计项目涉及的各业务模块风险管理的每一个环节，以其管理流程、风险点和控制措施为重点，对照企业内控规范中列示的主要风险和关键控制点，采取头脑风暴、调查问卷、访谈等方法，对风险进行充分全面的评估，确定管控重点和主要风险点。  

（四）业审融合实施测试，深入“鱼身”会诊病根

　　实施控制测试阶段，把业审融合作为基础性工作来抓，紧贴业务流、资金流、数据流、信息流和行业流，测试经营和生产活动的各类风险，带动管理风险防范审计走向纵深。现场审计不仅对被评审单位管理层和一线员工进行大量访谈和问卷调查，还深入企业战略、物资采购、人力资源、财务管理等管理支持部门，多部门、多维度、全方位收集业务风险信息。在此基础上，通过现场观察、分析性复核、检查文件等审计方式，对业务风险进行穿行测试，不仅测试流程、制度的执行情况，更对制度、流程的合理性予以评价和评估。 

1.深入“皮肤”，综合验证业务流异常

　　从企业生产实际看，各项业务均离不开系统及审批授权。现场审计紧贴业务流，具体做法围绕“查系统”、“查审批”开展。 

2.深入“血液”，追本溯源资金流差异

　　控制资金流对业务风险防控非常关键，审计人员牢牢紧贴资金流，从资金进入视线开始，一直跟踪到最终的目的地，全过程地进行审查。不仅清楚资金来于何处、用于何处，发现资金收支上的问题，更要了解资金是如何收集、下发、使用的，从而发现资金在使用效益上的问题。 

3.深入“肌肉”，实时分析数据流异动

　　    伴随着大数据时代的到来，物联网、智能机器人等技术的进步与商业模式的创新，无论对传统企业而言，还是对审计人员来讲，产生的影响均是颠覆性的。内审人员运用IT手段进行数据分析，发现异动，有针对性地去取证，同时用数据佐证发现的问题，用数据说话。例如，餐食机供品项目中，在没有明显事实证据的前提下，大范围对人员进行开包检查的可行性差的情况下，通过大数据审计，从海量数据中发现所蕴含的规律和特点，借助信息系统及数据处理软件综合分析，发现了机上用机供品人均耗费量异常等问题，有力佐证了私拿机供品问题的存在及管理薄弱点，提高了审计报告的说服力。 

4.深入“淋巴”，交叉印证信息流真伪

　　现代审计，离不开各种信息和数据，要通过内控测评和数据分析来充分挖掘内外部信息。如，在基建审计项目中，审计人员通过比对大量工程结算清单，发现了虚报工程量、虚报工程费用的问题，在事实面前，让假冒伪劣无处遁形。 

5. 深入“神经”，对标行业流提升管理

　　要想对公司业务进行客观评价，不能仅仅只眼光向内，还要眼光向外，参考同行业指标，通过纵向、横向对标，排查公司业务差距，深层次查找问题根源。公司在鱼骨图审计实施过程中，分别同厦门航空、四川航空等多家行业优秀航企，就被审计业务开展交流。行业对标的收获是巨大的，不仅从风险源上排查出了公司业务管理存在的差距和风险点，在学习碰撞过程中，丰富了内审人员的视野，扩展了思维，进一步提升了业务技能，更重要的是为公司业务提升找准了方向，为提升管理献上了对症下药的良方。 

（五）形成业务风险鱼骨图，实现风险可视化管控

1.绘制风险地图，建立风险数据库

　　改变审计报告“一项一议”、“一事一议”的传统做法，建立风险数据库，实现风险可视化管控。在开展管理风险防范审计的同时，将该单位业务流中的风险做逐一梳理、排查，同时标注出关键风险点，以图形文字的形式呈现，绘制成“风险鱼骨图”，关键业务风险点上墙入册，做到风险点可视可查可追踪，便于操作者或使用者直观的了解流程中的关键节点。近5年累计梳理排查了鱼骨图风险点300余项。该数据库的建立，为编制审计方案开辟了绿色通道，成为审计人员的得力助手；业务部门针对风险点制定下步整改措施，使问题项扼杀在萌芽状态，将管理风险防范于未然，实现了风险防控端口前移（以餐食机供品和货物运输项目为例，呈现风险地图（见图4-5）。 

　　图4 餐食机供品业务风险地图 

　　图5 货物运输业务风险地图 

2.整理归纳风险成果，公司范围讲评宣贯

　　风险点以报告的形式传递，审计报告提交公司党委会和总裁办公会审议，被审计单位与有关部门列席会议，公司主要领导逐项点评，对潜在风险点，“防患于未然”，对揭露的问题点，“红脸出汗”，对重要的风险源，会后还将在公司范围内讲评宣贯，强化了公司全员的风险意识，形成了全员关注风险、重视风险、主动管理风险的良好氛围。 

（六）夯实“鱼尾”整改机制，推动风险防控管理闭环

　　审计整改是管理风险防范审计的重要闭环，通过制度约束、机制推动和跟踪问效，推动审计整改落地，实现审计闭环管理。一是制度约束整改责任。出台审计整改办法，建立整改责任追究机制。二是机制推动整改落地。三是跟踪督促整改实效。持续开展“回头看”，对苗头性、突出性风险及时做出警示，加强源头治理；推广优秀做法，实现整改增效。 

三、实施风险审计业务创新的实施效果

（一）实现关键领域审计全覆盖，提高了全员风险防范意识

　　开展关键业务管理风险防范审计，寻找风险源的广度、深度不断延伸，先后开展了利率掉期、第三方支付、重大资金支付、年票、航材送修、合同管理、货物运输、餐食机供品、基建过程管控、客运营销等17项专项审计，基本实现了对营销、货运、机务维修、合同、资金、工程等关键业务领域的审计全覆盖。审计报告提交公司重要会议审议，在全公司范围架起了内部监督的“高压线”，形成了全员关注风险、重视风险、主动管理风险的良好氛围。 

（二）堵塞风险漏洞，提升了企业管理水平

　　一是通过管理风险防范审计，梳理公司治理领域、客货营销领域、法律合同领域、餐食机供品领域、财务管理领域等各项制度703个，新立和修订制度153项，加强了对经营活动的规则约束。二是把易产生权利寻租风险的业务推向了阳光平台。基建及采购项目的实施，将部分原先灯下黑的单一来源采购转换为邀请招标和竞争性谈判，并将招投标邀请信息发布在公司内网平台，增加招投标透明域度；营销项目审计后，部分低收益航线引入了竞价机制，实现了价格透明，带来了销售提升。三是将风险防控融入了信息平台，实现了信息化监督。借助ERP、SAP、FOC、安全卫士等管理系统，对资金动向、采购、维修、航班生产、客票销售等经营管理行为进行动态分析、提示和预警，以信息系统监控风险源，基本实现了“权力在阳光下运行，资金在系统内监管，风险在流程上控制，资源在监控中配置，信息在系统内留痕”。 

（三）推动审计成果转化，产生了增值“效益”

　　通过完善内部监督的全过程闭环管理，带来的不仅是战略、绩效等管理的提升，还带来了经济效益的提升转化。近年来实施的管理风险防范审计涉及资金数百亿元，通过审计整改，产生直接经济增效8500余万元。一是战略层面，将航班核心时刻资源的获取和巩固主基地份额提升到最重要的等级。重要基地市场份额分别由2016年的35.6%、27.9%，提升至2018年37.2%、28.6%，主市场话语权得到提升。持续加大国内吞吐量前20机场时刻获取力度,为确保生产投入、提高收益品质提供了有力支撑。二是绩效层面，将销售部门薪酬绩效考核激励作为公司年度重点工作，催生销售部门主观能动性。三是收益层面，航班客座率持续提升，2018年达83.9%，较2016年提高6个百分点，同期座公里收入水平增长6%、营业收入提升35%，扭转了收益指标连年下滑的不利局面。四是成本层面，单餐食机供品项目，累计节约成本5200余万元；基本建设项目，通过风险前移等措施，夯实工程造价，实现资金节支近3100万元。 

（四）获得业界认可，取得了良好的社会效益

　　通过将近几年的风险防控审计业务实践提炼为理论，在国家及省内外专项审计评比中捷报频传，获得业界认可的同时，对公司起到了良好的宣传效果。2018年度餐食机供品项目获得中国内部审计协会“审计报告质量提升优秀成果”，该奖项是在全国千余家央企、地方国企、行政单位中评选，山东省仅有2家企业获此殊荣，公司是唯一获奖的民航企业。其他成果分别获山东省国企国资系统优秀研究成果二等奖、三等奖及山东省会计学会优秀论文三等奖，并在国家财务类核心期刊《财务与会计》上发表。（作者：山东航空集团有限公司 毕春颖 ）