導語：以風險為基礎的內部審計實務探索一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

［摘要］“提供以風險為基礎的確認”是內部審計實務的核心原則之一。在這里，“以風險為基礎”不僅指以風險為基礎編制內部審計計劃，而且貫穿于整個內部審計作業過程中，風險控制矩陣能夠將目標—風險—控制更緊密地結合在一起，是內部審計作業中常用的評估工具。本文圍繞以風險為基礎的內部審計業務流程，從計劃、業務分析、評估和風險控制、測試有效性、報告五個方面，對風險控制矩陣的理解和運用進行詳細闡述；同時以案例的形式對基于風險的系統審計方法和基于調查的審計方法進行比較，期望能從實務層面對以風險為基礎的內部審計進行更為廣泛的研究和探討。

［關鍵詞］內部審計；以風險為基礎；風險控制矩陣

一、研究背景和意義

隨著保險業數字化轉型，新技術和數字化工具的應用，流程的改善、運營成本降低以及經營管理的提升都將給保險業內部審計數據化能力的提升帶來機遇。例如，近期普華永道會計師事務所了“保險智慧審計平臺”，包括“流程保”“內控保”等工具，“流程保”基于流程智能技術開發，工具能夠讀取系統工作流程中的電子痕跡和操作日志，運用全新的可視化手段直觀地分析保險公司控制設計和執行的情況。而傳統的“手工線下”內部審計工作模式可能會不太符合保險公司的整體經營管理發展態勢，將面臨較大的挑戰。同時，由于當前所接觸到的內部審計前沿理論與實踐，包括國際內部審計師協會所頒布的《國際內部審計專業實務標準》更多的是來自歐洲等發達國家的經驗和研究，對這些概念的理解和解讀受制于文化背景、理論體系、思考邏輯、經濟發展等因素的影響，可能會導致我們看到的僅是冰山一角，然而，支撐整個理論體系有效運作的基本原理、核心要素的掩蓋和忽視，又會進一步制約在實際運行操作中的效果，以及新技術、新工具價值和能力的發揮。因此，本文仍然回歸于內部審計基本原理——以風險為基礎的內部審計。由于數字化、智能化等工具在實踐中運用較少，為了更便于理解，在某些方法的解釋上可能仍使用傳統的方式。新技術的應用更多的是工作方式、手段的改變，從而提升效率，并沒有改變支撐整個理論體系有效運作的基本原理，因此，這并不影響對內部審計基本原理的理解。

二、以風險為基礎的內部審計業務流程概述

為了更好地理解以風險為基礎的內部審計，本文參考了一些行業實務方法，從審計業務作業流程上進行更為詳細的闡述。例如，世界第五大保險集團英杰華集團（AVIVA）將以風險為基礎的內部審計定義為：內部審計方法遵循一種基于風險的方法，關注對業務重要的內容。識別被審計領域關鍵的固有風險，并與企業目前所依賴的減輕風險的關鍵控制措施相平衡。風險和控制矩陣映射和評估了關鍵風險和控制之間的關系，以揭示控制框架中的任何差距或薄弱點。對關鍵控制運行的有效性進行測試，以達到內部審計對實際（剩余）風險暴露水平的評估。以風險為基礎的內部審計流程，從高層級的年度計劃開始，這一階段主要是確定和選擇年度計劃中要包括的審計任務。每一個審計任務的執行通常包括業務計劃、業務分析、評估風險和控制、測試有效性、報告和評級五個階段從圖1可以清晰地看出風險控制矩陣在整個作業流程中的作用。風險控制矩陣是風險控制者定性分析和定量分析相結合，綜合考慮風險概率與影響的方法,用來消滅或減少風險事件發生的各種可能性，或者減少風險事件發生時造成的損失。《國際內部審計專業實務框架》（2017）執行指南中也列明了：編制風險控制矩陣，或者復核現有的矩陣都是內部審計師用于識別可能影響被檢查領域或過程的目標、資源、運營風險的常用工具。風險控制矩陣可以幫助內部審計部門：確定目標和阻礙實現目標的風險；確定風險的重要性，同時考慮其影響的嚴重程度和發生的可能性；確定對重大風險的適當應對（如接受、分擔、轉移、減輕或避免）；確定用于管理風險的關鍵控制；評估控制設計的充分性，以幫助確定是否需要對控制效果進行測試；對被視為設計充分的控制進行測試，以確定它們是否按預期運行。

三、關于風險控制矩陣的理解

評估風險和控制這一過程，是以風險為基礎的內部審計業務流程的關鍵點。將關鍵風險與當前控制相匹配，作為評估控制框架設計的基礎。風險和控制矩陣圖從關鍵風險出發，通過風險識別、固有風險評估和風險應對等，從風險發生的可能性和影響性兩個方面進行評估（高、中、低），識別出那些被評估為具有高等或中等固有風險的風險，嵌入風險和控制矩陣圖的“關鍵風險”中。接下來是映射和評估控制，根據控制減輕風險的能力，用高、中、低等級評估控制和風險之間關系的“強度”，記錄在風險和控制矩陣中（見表1）。這種映射將允許評估控制的設計和識別關鍵控制。在對控制設計進行評估時，需要注意的是雖然個別控制可能被確定為不可接受的，但可能存在提供充分緩解的額外控制，從而使整體控制結構可接受。控制設計的評估還應考慮預防控制和檢測控制是否平衡。控制設計評估的結論可劃分為過度控制、可接受的控制、有限的控制、不可接受的控制四類。其中過度控制指控制的設計為提高效率留下了很大的空間；可接受的控制指控制的設計是充分的，剩余風險是在風險偏好內；有限的控制指控制設計為某些風險來源留下了較小的風險敞口，雖然在風險偏好之外但在風險容忍度之內；不可接受的控制指控制設計不充分，給剩余風險留下很大的風險敞口。在沒有定義風險偏好的情況下，控制的充分性主要基于審計人員的意見。在對控制設計評估后，進行控制執行有效性的測試，制訂測試方案并進行抽樣檢查，根據控制有效性評估風險暴露水平，得出控制有效性的結論。在這里需要注意的是，測試目標應與控制本身的目標一致，適當時應明確需要檢查或測試的控制要素。因此，大多數控制有效性測試將需要測試特定的屬性。例如，驗證活動的完整性、有效性或準確性的授權程序。在測試技術方面，包括詢問、觀察、檢查、證實（第三方信息）、重新執行、分析性審查程序等。控制測試有效性的結論，可分為有效、部分有效、無效三類。其中，有效指測試未揭示出任何異常，因此表明控制有效地運行；部分有效指在擴展測試或其他進一步調查的基礎上，測試識別了一些例外情況，這些例外情況可能被認為是孤立的例外情況，并且在主要情況下控制有效地運行；無效指測試和隨后的調查揭示了足夠的例外情況(例如，樣本中超過10%的項目)，從而得出控制不可靠的結論。a當審計業務流程運行到該階段時，基本上完成了對控制設計和執行有效性的評估，在風險和控制矩陣中記錄控制測試中的薄弱點并提出行動建議。在這里需要注意的是：（1）控制設計或執行的薄弱點將被記錄在發現中，問題將確定并解釋為一個或多個風險下的不可接受的暴露水平；（2）采取的行動代表控制或缺少控制所需的改變；（3）將與相同或類似風險相關的發現整理成一個合并的問題(合并發現和相關的行動，例如在多家機構中存在類似的發現)。由此，形成了完整的風險控制矩陣（見圖2）。在此基礎上，可以形成統一完整的風險視圖。普華永道會計師事務所《高管和董事會如何獲得他們需要的風險信息》（2019）指出，GRC技術可以從單一的信息源生成更完整的和當前的風險視圖，其所展示的企業風險報告案例力圖通過風險儀表板為董事和高管提供對風險的廣泛和及時的看法（見圖3）。通常，固有風險根據影響和概率來衡量。對于剩余風險的評估，可根據內部審計對風險暴露可能對業務產生的影響的總體觀點，使用內部審計自己的重要性準則，以及可獲得的管理層風險偏好，對每個問題進行評級。需要注意的是，這里的評級指對問題進行評級，而不是對發現進行評級（控制設計或執行的薄弱點將被記錄在發現中）。《保險公司聲譽風險能力評分表》中剩余風險評估，采用的是李可特量表打分方法，對每項指標設置了評分規則，評分分數為1~5分。無論是上述哪種評分方法，前提是建立適用的評估標準。

四、風險控制矩陣圖有效運用的支撐要素

（一）風險識別、評估和分類。在年度計劃階段，通過參考業務標準確定相關的關鍵風險類別，年度計劃中定義的風險通常是以概述的形式，可能很難確定風險的“原因”或“來源”。在業務計劃階段，進一步根據遠程進行的研究和所有現有的信息來源，對年度計劃期間識別的風險進行分解，將這些一般風險類別轉換為實際風險事件，并為職權范圍提供關鍵風險。風險分解，是為了能夠將控制更精確地映射到它們所減輕的那些風險組成部分中。這里我們對風險分解的理解是，業務標準下的審計主體目標的風險擴展列表。例如聲譽風險可以分解為信用評級、媒體關注、監管處罰、負面宣傳、法庭案件等方面的風險。在這一過程中，由于我們的風險管理成熟度并沒有達到PhilnaCoetzee和DaveLubbe（2014）提出的風險為基礎的審計計劃模型所具備的水平，通常是根據對固有風險的分析（根據影響和概率來衡量），確定關鍵的風險和審計方法，并將識別的關鍵風險嵌入風險登記表中，形成初步的風險登記表。確定審計領域的關鍵風險，是生成風險和控制矩陣的第一步，也是隨后控制有效性評估工作的前提。這里需要注意的是識別、評估和分類風險應注意以下原則。（1）必須識別所有潛在的重大風險，并在適當的情況下將其主要原因記錄在風險登記冊中；關鍵風險指固有風險等級為中等或以上的風險，只有被評估為中等或高等的固有風險，才納入風險和控制矩陣中。（2）識別所有業務層級重要的風險，而不是在微觀流程級別識別風險。（3）風險識別將建立在事件識別的基礎上，如果認為當地的風險管理并非有效，或者沒有最近的或可靠的事件分析，審計人員應考慮與審計小組或更多的高級審計管理人員進行事件識別。（4）風險來源用于確定風險產生的原因，在分析事件和風險時應注意不要將風險來源與控制缺陷或漏洞以及問題的癥狀相混淆。在不同的背景、目標下，風險的分類是不同的，以下概述了監管機構以及咨詢機構使用的風險分類。在我國保險行業的風險分類上，“償二代”監管體系將風險分為保險風險、市場風險、信用風險、操作風險、戰略風險、流動性風險、聲譽風險七大類風險。普華永道會計師事務所自2007年以來其歐洲團隊每兩年一次的《保險業香蕉皮報告：保險公司面臨的風險》將風險分為技術風險、網絡風險、監管風險、創新、變更管理、公司治理、質量管理、商業行為、人才風險、氣候變化、成本降低、聲譽風險等。畢馬威會計師事務所《2020年全球首席執行官調查》中將風險分為人才風險、供應鏈風險、回歸屬地主義風險、環境/氣候變化風險、網絡安全風險、新興/顛覆性技術風險、監管風險、聲譽風險等。從上述分析中，我們可以看出從不同的角度看，風險的分類存在一定的區別。在組織內進行明確統一的風險定義和分類標準，是開展風險評估的基本要素。（二）業務分析以及評估風險和控制。業務分析這一過程的目的是對業務流程、子流程和系統進行足夠詳細的識別和理解，以便能夠識別風險以及減輕這些風險的相應控制措施。在傳統方式下，獲取并審核現有的文件，包括流程文檔、業務單元策略，以確保完整性和準確性；對于那些被認定為重要而復雜的系統或流程，審計人員應編制流程圖。通過訪談員工等，識別并記錄減輕固有風險的控制，并對控制進行分類，將識別到的關鍵控制嵌入控制登記表中。在這一階段，不包括控制有效性的測試（假定控制是有效執行的）。在對控制進行識別和分析時，通常會涉及控制設計的三個方面，即符合目標、強度、充分性（見表2）。從控制的類型方面劃分，控制可分為自動化控制（如業務應用程序控制、一般計算機控制、終端用戶計算控制）、手工控制、手工但依靠IT的控制（如手工審核系統生成的異常報告）、實體層級控制（如控制環境、行為準則等）。從控制的層級方面，可分為指導性控制、預防性控制、檢查性控制、糾正性控制等。指導性控制是為了確保有一個明確的方向，并推動實現既定的目標，可能包括對員工進行意識培訓等，指導員工降低這種風險的影響。預防性控制包括職責分離，雇傭有能力、較高道德標準的員工（尤其是聘才人員），建立良好的控制環境等。檢查性控制被設計用來發現未被阻止的錯誤，包括監督審查、內部檢查、差異報告、抽查和協調等。糾正性控制是確保對發現的問題進行正確地處理，包括管理行動、糾正和后續程序等。（三）基于風險的系統審計方法的運用。在內部審計項目作業中，不同作業目標可能會采用不同的審計方法，本文通過對基于風險的系統審計方法和基于調查的審計方法的比較，更清晰地對基于風險的系統審計方法進行解釋和說明。1.審計方法的對比。基于風險的系統審計方法圍繞“目標—風險—控制”，對緩解關鍵風險的控制設計和執行的有效性進行評估，審計發現的問題等級將基于審計領域的固有風險和剩余風險，為管理層提供更為完整的風險視圖。從控制的目標開始，審計人員需要清楚地理解目標是什么，由哪些要素構成，圍繞目標的業務流程應該是什么樣的。在此基礎上，從控制設計有效性和控制執行有效性兩個方面，評估控制活動的有效性。基于調查的審計方法，以問題為導向，通常以發現舞弊、差錯為審計的主要目標。直接從控制的執行開始，以制度為標準，以詳細的測試方法為主。審計人員根據測試要求選擇樣本進行檢查，檢查的范圍主要來自審計人員過往對于易出現問題領域的經驗。通過測試，審計人員通常會發現一些明顯的問題癥狀。審計結論通常表現在微觀的執行層面發現存在的問題。2.案例解析。在監管力度不斷加大的背景下，銷售行為的監管風險上升，對有問題的銷售和聲譽問題的持續擔憂，商業行為風險是管理層重點關注的風險之一。在這里，將商業行為風險定義為保險公司因銷售和其他業務行為不當而遭受損失的風險。假設商業行為風險被評估為關鍵風險，以壽險公司銷售行為為例，分別以基于風險的系統審計方法、基于調查的審計方法對控制的理解進行對比。在基于風險的系統審計方法中，通常涉及指導性控制、預防性控制、檢查性控制、糾正性控制等（見表3）。在基于調查的審計方法中，直接從常見的問題（癥狀）出發，通常局限于內部審計人員現有經驗的認知范圍內，大多數測試集中于檢查性控制（見表4）。雖然從表面上來看，基于調查的審計方法在有限的資源內可能會發現更多的問題癥狀，但是由于審計范圍關注的是具體的問題（癥狀）點上，很難上升到組織整體控制有效性的評估層面。而基于風險的系統審計方法以獨立評估的立場，向利益相關方提供了控制是否有效的保證——組織整體控制有效性的完整視圖，哪些控制是良好運行的，哪些控制需要進一步改善。同時，基于調查的審計方法主要基于審計人員過往的經驗，控制缺陷（控制改善）的發現更多的是在偶然因素的特定場景下產生的，相比之下基于風險的系統審計方法，圍繞目標對整個業務流程進行評估，控制缺陷（控制改善）的發現呈現出相對的必然性。因此，相比傳統的基于調查的審計方法，基于風險的系統審計方法可能會帶來好處。

參考文獻

[1]普華永道.2019年保險業香蕉皮報告：保險公司風險調研[R].2019.

[2]普華永道.HowExecutivesandBoardsCanGettheRiskInformationTheyNeed[R].2019.

[3]畢馬威.TheKPMG2020CEOOutlookCOVID-19SpecialEdition[R].2020.

[4]國際內部審計師協會，國際內部審計專業實務框架，2017.

作者:劉小書 沈璜 單位:1.泰康保險集團稽核中心 2.中國太平保險集團有限責任公司稽核中心