[摘要]“提供以风险为基础的确认”是内部审计实务的核心原则之一。在这里,“以风险为基础”不仅指以风险为基础编制内部审计计划,而且贯穿于整个内部审计作业过程中,风险控制矩阵能够将目标—风险—控制更紧密地结合在一起,是内部审计作业中常用的评估工具。本文围绕以风险为基础的内部审计业务流程,从计划、业务分析、评估和风险控制、测试有效性、报告五个方面,对风险控制矩阵的理解和运用进行详细阐述;同时以案例的形式对基于风险的系统审计方法和基于调查的审计方法进行比较,期望能从实务层面对以风险为基础的内部审计进行更为广泛的研究和探讨。
[关键词]内部审计;以风险为基础;风险控制矩阵
一、研究背景和意义
随着保险业数字化转型,新技术和数字化工具的应用,流程的改善、运营成本降低以及经营管理的提升都将给保险业内部审计数据化能力的提升带来机遇。例如,近期普华永道会计师事务所发布了“保险智慧审计平台”,包括“流程保”“内控保”等工具,“流程保”基于流程智能技术开发,工具能够读取系统工作流程中的电子痕迹和操作日志,运用全新的可视化手段直观地分析保险公司控制设计和执行的情况。而传统的“手工线下”内部审计工作模式可能会不太符合保险公司的整体经营管理发展态势,将面临较大的挑战。同时,由于当前所接触到的内部审计前沿理论与实践,包括国际内部审计师协会所颁布的《国际内部审计专业实务标准》更多的是来自欧洲等发达国家的经验和研究,对这些概念的理解和解读受制于文化背景、理论体系、思考逻辑、经济发展等因素的影响,可能会导致我们看到的仅是冰山一角,然而,支撑整个理论体系有效运作的基本原理、核心要素的掩盖和忽视,又会进一步制约在实际运行操作中的效果,以及新技术、新工具价值和能力的发挥。因此,本文仍然回归于内部审计基本原理——以风险为基础的内部审计。由于数字化、智能化等工具在实践中运用较少,为了更便于理解,在某些方法的解释上可能仍使用传统的方式。新技术的应用更多的是工作方式、手段的改变,从而提升效率,并没有改变支撑整个理论体系有效运作的基本原理,因此,这并不影响对内部审计基本原理的理解。
二、以风险为基础的内部审计业务流程概述
为了更好地理解以风险为基础的内部审计,本文参考了一些行业实务方法,从审计业务作业流程上进行更为详细的阐述。例如,世界第五大保险集团英杰华集团(AVIVA)将以风险为基础的内部审计定义为:内部审计方法遵循一种基于风险的方法,关注对业务重要的内容。识别被审计领域关键的固有风险,并与企业目前所依赖的减轻风险的关键控制措施相平衡。风险和控制矩阵映射和评估了关键风险和控制之间的关系,以揭示控制框架中的任何差距或薄弱点。对关键控制运行的有效性进行测试,以达到内部审计对实际(剩余)风险暴露水平的评估。以风险为基础的内部审计流程,从高层级的年度计划开始,这一阶段主要是确定和选择年度计划中要包括的审计任务。每一个审计任务的执行通常包括业务计划、业务分析、评估风险和控制、测试有效性、报告和评级五个阶段从图1可以清晰地看出风险控制矩阵在整个作业流程中的作用。风险控制矩阵是风险控制者定性分析和定量分析相结合,综合考虑风险概率与影响的方法,用来消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。《国际内部审计专业实务框架》(2017)执行指南中也列明了:编制风险控制矩阵,或者复核现有的矩阵都是内部审计师用于识别可能影响被检查领域或过程的目标、资源、运营风险的常用工具。风险控制矩阵可以帮助内部审计部门:确定目标和阻碍实现目标的风险;确定风险的重要性,同时考虑其影响的严重程度和发生的可能性;确定对重大风险的适当应对(如接受、分担、转移、减轻或避免);确定用于管理风险的关键控制;评估控制设计的充分性,以帮助确定是否需要对控制效果进行测试;对被视为设计充分的控制进行测试,以确定它们是否按预期运行。
三、关于风险控制矩阵的理解
评估风险和控制这一过程,是以风险为基础的内部审计业务流程的关键点。将关键风险与当前控制相匹配,作为评估控制框架设计的基础。风险和控制矩阵图从关键风险出发,通过风险识别、固有风险评估和风险应对等,从风险发生的可能性和影响性两个方面进行评估(高、中、低),识别出那些被评估为具有高等或中等固有风险的风险,嵌入风险和控制矩阵图的“关键风险”中。接下来是映射和评估控制,根据控制减轻风险的能力,用高、中、低等级评估控制和风险之间关系的“强度”,记录在风险和控制矩阵中(见表1)。这种映射将允许评估控制的设计和识别关键控制。在对控制设计进行评估时,需要注意的是虽然个别控制可能被确定为不可接受的,但可能存在提供充分缓解的额外控制,从而使整体控制结构可接受。控制设计的评估还应考虑预防控制和检测控制是否平衡。控制设计评估的结论可划分为过度控制、可接受的控制、有限的控制、不可接受的控制四类。其中过度控制指控制的设计为提高效率留下了很大的空间;可接受的控制指控制的设计是充分的,剩余风险是在风险偏好内;有限的控制指控制设计为某些风险来源留下了较小的风险敞口,虽然在风险偏好之外但在风险容忍度之内;不可接受的控制指控制设计不充分,给剩余风险留下很大的风险敞口。在没有定义风险偏好的情况下,控制的充分性主要基于审计人员的意见。在对控制设计评估后,进行控制执行有效性的测试,制订测试方案并进行抽样检查,根据控制有效性评估风险暴露水平,得出控制有效性的结论。在这里需要注意的是,测试目标应与控制本身的目标一致,适当时应明确需要检查或测试的控制要素。因此,大多数控制有效性测试将需要测试特定的属性。例如,验证活动的完整性、有效性或准确性的授权程序。在测试技术方面,包括询问、观察、检查、证实(第三方信息)、重新执行、分析性审查程序等。控制测试有效性的结论,可分为有效、部分有效、无效三类。其中,有效指测试未揭示出任何异常,因此表明控制有效地运行;部分有效指在扩展测试或其他进一步调查的基础上,测试识别了一些例外情况,这些例外情况可能被认为是孤立的例外情况,并且在主要情况下控制有效地运行;无效指测试和随后的调查揭示了足够的例外情况(例如,样本中超过10%的项目),从而得出控制不可靠的结论。a当审计业务流程运行到该阶段时,基本上完成了对控制设计和执行有效性的评估,在风险和控制矩阵中记录控制测试中的薄弱点并提出行动建议。在这里需要注意的是:(1)控制设计或执行的薄弱点将被记录在发现中,问题将确定并解释为一个或多个风险下的不可接受的暴露水平;(2)采取的行动代表控制或缺少控制所需的改变;(3)将与相同或类似风险相关的发现整理成一个合并的问题(合并发现和相关的行动,例如在多家机构中存在类似的发现)。由此,形成了完整的风险控制矩阵(见图2)。在此基础上,可以形成统一完整的风险视图。普华永道会计师事务所《高管和董事会如何获得他们需要的风险信息》(2019)指出,GRC技术可以从单一的信息源生成更完整的和当前的风险视图,其所展示的企业风险报告案例力图通过风险仪表板为董事和高管提供对风险的广泛和及时的看法(见图3)。通常,固有风险根据影响和概率来衡量。对于剩余风险的评估,可根据内部审计对风险暴露可能对业务产生的影响的总体观点,使用内部审计自己的重要性准则,以及可获得的管理层风险偏好,对每个问题进行评级。需要注意的是,这里的评级指对问题进行评级,而不是对发现进行评级(控制设计或执行的薄弱点将被记录在发现中)。《保险公司声誉风险能力评分表》中剩余风险评估,采用的是李可特量表打分方法,对每项指标设置了评分规则,评分分数为1~5分。无论是上述哪种评分方法,前提是建立适用的评估标准。
四、风险控制矩阵图有效运用的支撑要素
(一)风险识别、评估和分类。在年度计划阶段,通过参考业务标准确定相关的关键风险类别,年度计划中定义的风险通常是以概述的形式,可能很难确定风险的“原因”或“来源”。在业务计划阶段,进一步根据远程进行的研究和所有现有的信息来源,对年度计划期间识别的风险进行分解,将这些一般风险类别转换为实际风险事件,并为职权范围提供关键风险。风险分解,是为了能够将控制更精确地映射到它们所减轻的那些风险组成部分中。这里我们对风险分解的理解是,业务标准下的审计主体目标的风险扩展列表。例如声誉风险可以分解为信用评级、媒体关注、监管处罚、负面宣传、法庭案件等方面的风险。在这一过程中,由于我们的风险管理成熟度并没有达到PhilnaCoetzee和DaveLubbe(2014)提出的风险为基础的审计计划模型所具备的水平,通常是根据对固有风险的分析(根据影响和概率来衡量),确定关键的风险和审计方法,并将识别的关键风险嵌入风险登记表中,形成初步的风险登记表。确定审计领域的关键风险,是生成风险和控制矩阵的第一步,也是随后控制有效性评估工作的前提。这里需要注意的是识别、评估和分类风险应注意以下原则。(1)必须识别所有潜在的重大风险,并在适当的情况下将其主要原因记录在风险登记册中;关键风险指固有风险等级为中等或以上的风险,只有被评估为中等或高等的固有风险,才纳入风险和控制矩阵中。(2)识别所有业务层级重要的风险,而不是在微观流程级别识别风险。(3)风险识别将建立在事件识别的基础上,如果认为当地的风险管理并非有效,或者没有最近的或可靠的事件分析,审计人员应考虑与审计小组或更多的高级审计管理人员进行事件识别。(4)风险来源用于确定风险产生的原因,在分析事件和风险时应注意不要将风险来源与控制缺陷或漏洞以及问题的症状相混淆。在不同的背景、目标下,风险的分类是不同的,以下概述了监管机构以及咨询机构使用的风险分类。在我国保险行业的风险分类上,“偿二代”监管体系将风险分为保险风险、市场风险、信用风险、操作风险、战略风险、流动性风险、声誉风险七大类风险。普华永道会计师事务所自2007年以来其欧洲团队每两年发布一次的《保险业香蕉皮报告:保险公司面临的风险》将风险分为技术风险、网络风险、监管风险、创新、变更管理、公司治理、质量管理、商业行为、人才风险、气候变化、成本降低、声誉风险等。毕马威会计师事务所《2020年全球首席执行官调查》中将风险分为人才风险、供应链风险、回归属地主义风险、环境/气候变化风险、网络安全风险、新兴/颠覆性技术风险、监管风险、声誉风险等。从上述分析中,我们可以看出从不同的角度看,风险的分类存在一定的区别。在组织内进行明确统一的风险定义和分类标准,是开展风险评估的基本要素。(二)业务分析以及评估风险和控制。业务分析这一过程的目的是对业务流程、子流程和系统进行足够详细的识别和理解,以便能够识别风险以及减轻这些风险的相应控制措施。在传统方式下,获取并审核现有的文件,包括流程文档、业务单元策略,以确保完整性和准确性;对于那些被认定为重要而复杂的系统或流程,审计人员应编制流程图。通过访谈员工等,识别并记录减轻固有风险的控制,并对控制进行分类,将识别到的关键控制嵌入控制登记表中。在这一阶段,不包括控制有效性的测试(假定控制是有效执行的)。在对控制进行识别和分析时,通常会涉及控制设计的三个方面,即符合目标、强度、充分性(见表2)。从控制的类型方面划分,控制可分为自动化控制(如业务应用程序控制、一般计算机控制、终端用户计算控制)、手工控制、手工但依靠IT的控制(如手工审核系统生成的异常报告)、实体层级控制(如控制环境、行为准则等)。从控制的层级方面,可分为指导性控制、预防性控制、检查性控制、纠正性控制等。指导性控制是为了确保有一个明确的方向,并推动实现既定的目标,可能包括对员工进行意识培训等,指导员工降低这种风险的影响。预防性控制包括职责分离,雇佣有能力、较高道德标准的员工(尤其是聘才人员),建立良好的控制环境等。检查性控制被设计用来发现未被阻止的错误,包括监督审查、内部检查、差异报告、抽查和协调等。纠正性控制是确保对发现的问题进行正确地处理,包括管理行动、纠正和后续程序等。(三)基于风险的系统审计方法的运用。在内部审计项目作业中,不同作业目标可能会采用不同的审计方法,本文通过对基于风险的系统审计方法和基于调查的审计方法的比较,更清晰地对基于风险的系统审计方法进行解释和说明。1.审计方法的对比。基于风险的系统审计方法围绕“目标—风险—控制”,对缓解关键风险的控制设计和执行的有效性进行评估,审计发现的问题等级将基于审计领域的固有风险和剩余风险,为管理层提供更为完整的风险视图。从控制的目标开始,审计人员需要清楚地理解目标是什么,由哪些要素构成,围绕目标的业务流程应该是什么样的。在此基础上,从控制设计有效性和控制执行有效性两个方面,评估控制活动的有效性。基于调查的审计方法,以问题为导向,通常以发现舞弊、差错为审计的主要目标。直接从控制的执行开始,以制度为标准,以详细的测试方法为主。审计人员根据测试要求选择样本进行检查,检查的范围主要来自审计人员过往对于易出现问题领域的经验。通过测试,审计人员通常会发现一些明显的问题症状。审计结论通常表现在微观的执行层面发现存在的问题。2.案例解析。在监管力度不断加大的背景下,销售行为的监管风险上升,对有问题的销售和声誉问题的持续担忧,商业行为风险是管理层重点关注的风险之一。在这里,将商业行为风险定义为保险公司因销售和其他业务行为不当而遭受损失的风险。假设商业行为风险被评估为关键风险,以寿险公司销售行为为例,分别以基于风险的系统审计方法、基于调查的审计方法对控制的理解进行对比。在基于风险的系统审计方法中,通常涉及指导性控制、预防性控制、检查性控制、纠正性控制等(见表3)。在基于调查的审计方法中,直接从常见的问题(症状)出发,通常局限于内部审计人员现有经验的认知范围内,大多数测试集中于检查性控制(见表4)。虽然从表面上来看,基于调查的审计方法在有限的资源内可能会发现更多的问题症状,但是由于审计范围关注的是具体的问题(症状)点上,很难上升到组织整体控制有效性的评估层面。而基于风险的系统审计方法以独立评估的立场,向利益相关方提供了控制是否有效的保证——组织整体控制有效性的完整视图,哪些控制是良好运行的,哪些控制需要进一步改善。同时,基于调查的审计方法主要基于审计人员过往的经验,控制缺陷(控制改善)的发现更多的是在偶然因素的特定场景下产生的,相比之下基于风险的系统审计方法,围绕目标对整个业务流程进行评估,控制缺陷(控制改善)的发现呈现出相对的必然性。因此,相比传统的基于调查的审计方法,基于风险的系统审计方法可能会带来好处。
参考文献
[1]普华永道.2019年保险业香蕉皮报告:保险公司风险调研[R].2019.
[2]普华永道.HowExecutivesandBoardsCanGettheRiskInformationTheyNeed[R].2019.
[3]毕马威.TheKPMG2020CEOOutlookCOVID-19SpecialEdition[R].2020.
[4]国际内部审计师协会,国际内部审计专业实务框架,2017.
作者:刘小书 沈璜 单位:1.泰康保险集团稽核中心 2.中国太平保险集团有限责任公司稽核中心