以風(fēng)險為基礎(chǔ)的內(nèi)部審計實務(wù)探索
時間:2022-01-17 10:40:24
導(dǎo)語:以風(fēng)險為基礎(chǔ)的內(nèi)部審計實務(wù)探索一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
[摘要]“提供以風(fēng)險為基礎(chǔ)的確認(rèn)”是內(nèi)部審計實務(wù)的核心原則之一。在這里,“以風(fēng)險為基礎(chǔ)”不僅指以風(fēng)險為基礎(chǔ)編制內(nèi)部審計計劃,而且貫穿于整個內(nèi)部審計作業(yè)過程中,風(fēng)險控制矩陣能夠?qū)⒛繕?biāo)—風(fēng)險—控制更緊密地結(jié)合在一起,是內(nèi)部審計作業(yè)中常用的評估工具。本文圍繞以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程,從計劃、業(yè)務(wù)分析、評估和風(fēng)險控制、測試有效性、報告五個方面,對風(fēng)險控制矩陣的理解和運用進(jìn)行詳細(xì)闡述;同時以案例的形式對基于風(fēng)險的系統(tǒng)審計方法和基于調(diào)查的審計方法進(jìn)行比較,期望能從實務(wù)層面對以風(fēng)險為基礎(chǔ)的內(nèi)部審計進(jìn)行更為廣泛的研究和探討。
[關(guān)鍵詞]內(nèi)部審計;以風(fēng)險為基礎(chǔ);風(fēng)險控制矩陣
一、研究背景和意義
隨著保險業(yè)數(shù)字化轉(zhuǎn)型,新技術(shù)和數(shù)字化工具的應(yīng)用,流程的改善、運營成本降低以及經(jīng)營管理的提升都將給保險業(yè)內(nèi)部審計數(shù)據(jù)化能力的提升帶來機遇。例如,近期普華永道會計師事務(wù)所了“保險智慧審計平臺”,包括“流程?!薄皟?nèi)控保”等工具,“流程?!被诹鞒讨悄芗夹g(shù)開發(fā),工具能夠讀取系統(tǒng)工作流程中的電子痕跡和操作日志,運用全新的可視化手段直觀地分析保險公司控制設(shè)計和執(zhí)行的情況。而傳統(tǒng)的“手工線下”內(nèi)部審計工作模式可能會不太符合保險公司的整體經(jīng)營管理發(fā)展態(tài)勢,將面臨較大的挑戰(zhàn)。同時,由于當(dāng)前所接觸到的內(nèi)部審計前沿理論與實踐,包括國際內(nèi)部審計師協(xié)會所頒布的《國際內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》更多的是來自歐洲等發(fā)達(dá)國家的經(jīng)驗和研究,對這些概念的理解和解讀受制于文化背景、理論體系、思考邏輯、經(jīng)濟發(fā)展等因素的影響,可能會導(dǎo)致我們看到的僅是冰山一角,然而,支撐整個理論體系有效運作的基本原理、核心要素的掩蓋和忽視,又會進(jìn)一步制約在實際運行操作中的效果,以及新技術(shù)、新工具價值和能力的發(fā)揮。因此,本文仍然回歸于內(nèi)部審計基本原理——以風(fēng)險為基礎(chǔ)的內(nèi)部審計。由于數(shù)字化、智能化等工具在實踐中運用較少,為了更便于理解,在某些方法的解釋上可能仍使用傳統(tǒng)的方式。新技術(shù)的應(yīng)用更多的是工作方式、手段的改變,從而提升效率,并沒有改變支撐整個理論體系有效運作的基本原理,因此,這并不影響對內(nèi)部審計基本原理的理解。
二、以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程概述
為了更好地理解以風(fēng)險為基礎(chǔ)的內(nèi)部審計,本文參考了一些行業(yè)實務(wù)方法,從審計業(yè)務(wù)作業(yè)流程上進(jìn)行更為詳細(xì)的闡述。例如,世界第五大保險集團英杰華集團(AVIVA)將以風(fēng)險為基礎(chǔ)的內(nèi)部審計定義為:內(nèi)部審計方法遵循一種基于風(fēng)險的方法,關(guān)注對業(yè)務(wù)重要的內(nèi)容。識別被審計領(lǐng)域關(guān)鍵的固有風(fēng)險,并與企業(yè)目前所依賴的減輕風(fēng)險的關(guān)鍵控制措施相平衡。風(fēng)險和控制矩陣映射和評估了關(guān)鍵風(fēng)險和控制之間的關(guān)系,以揭示控制框架中的任何差距或薄弱點。對關(guān)鍵控制運行的有效性進(jìn)行測試,以達(dá)到內(nèi)部審計對實際(剩余)風(fēng)險暴露水平的評估。以風(fēng)險為基礎(chǔ)的內(nèi)部審計流程,從高層級的年度計劃開始,這一階段主要是確定和選擇年度計劃中要包括的審計任務(wù)。每一個審計任務(wù)的執(zhí)行通常包括業(yè)務(wù)計劃、業(yè)務(wù)分析、評估風(fēng)險和控制、測試有效性、報告和評級五個階段從圖1可以清晰地看出風(fēng)險控制矩陣在整個作業(yè)流程中的作用。風(fēng)險控制矩陣是風(fēng)險控制者定性分析和定量分析相結(jié)合,綜合考慮風(fēng)險概率與影響的方法,用來消滅或減少風(fēng)險事件發(fā)生的各種可能性,或者減少風(fēng)險事件發(fā)生時造成的損失?!秶H內(nèi)部審計專業(yè)實務(wù)框架》(2017)執(zhí)行指南中也列明了:編制風(fēng)險控制矩陣,或者復(fù)核現(xiàn)有的矩陣都是內(nèi)部審計師用于識別可能影響被檢查領(lǐng)域或過程的目標(biāo)、資源、運營風(fēng)險的常用工具。風(fēng)險控制矩陣可以幫助內(nèi)部審計部門:確定目標(biāo)和阻礙實現(xiàn)目標(biāo)的風(fēng)險;確定風(fēng)險的重要性,同時考慮其影響的嚴(yán)重程度和發(fā)生的可能性;確定對重大風(fēng)險的適當(dāng)應(yīng)對(如接受、分擔(dān)、轉(zhuǎn)移、減輕或避免);確定用于管理風(fēng)險的關(guān)鍵控制;評估控制設(shè)計的充分性,以幫助確定是否需要對控制效果進(jìn)行測試;對被視為設(shè)計充分的控制進(jìn)行測試,以確定它們是否按預(yù)期運行。
三、關(guān)于風(fēng)險控制矩陣的理解
評估風(fēng)險和控制這一過程,是以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程的關(guān)鍵點。將關(guān)鍵風(fēng)險與當(dāng)前控制相匹配,作為評估控制框架設(shè)計的基礎(chǔ)。風(fēng)險和控制矩陣圖從關(guān)鍵風(fēng)險出發(fā),通過風(fēng)險識別、固有風(fēng)險評估和風(fēng)險應(yīng)對等,從風(fēng)險發(fā)生的可能性和影響性兩個方面進(jìn)行評估(高、中、低),識別出那些被評估為具有高等或中等固有風(fēng)險的風(fēng)險,嵌入風(fēng)險和控制矩陣圖的“關(guān)鍵風(fēng)險”中。接下來是映射和評估控制,根據(jù)控制減輕風(fēng)險的能力,用高、中、低等級評估控制和風(fēng)險之間關(guān)系的“強度”,記錄在風(fēng)險和控制矩陣中(見表1)。這種映射將允許評估控制的設(shè)計和識別關(guān)鍵控制。在對控制設(shè)計進(jìn)行評估時,需要注意的是雖然個別控制可能被確定為不可接受的,但可能存在提供充分緩解的額外控制,從而使整體控制結(jié)構(gòu)可接受??刂圃O(shè)計的評估還應(yīng)考慮預(yù)防控制和檢測控制是否平衡。控制設(shè)計評估的結(jié)論可劃分為過度控制、可接受的控制、有限的控制、不可接受的控制四類。其中過度控制指控制的設(shè)計為提高效率留下了很大的空間;可接受的控制指控制的設(shè)計是充分的,剩余風(fēng)險是在風(fēng)險偏好內(nèi);有限的控制指控制設(shè)計為某些風(fēng)險來源留下了較小的風(fēng)險敞口,雖然在風(fēng)險偏好之外但在風(fēng)險容忍度之內(nèi);不可接受的控制指控制設(shè)計不充分,給剩余風(fēng)險留下很大的風(fēng)險敞口。在沒有定義風(fēng)險偏好的情況下,控制的充分性主要基于審計人員的意見。在對控制設(shè)計評估后,進(jìn)行控制執(zhí)行有效性的測試,制訂測試方案并進(jìn)行抽樣檢查,根據(jù)控制有效性評估風(fēng)險暴露水平,得出控制有效性的結(jié)論。在這里需要注意的是,測試目標(biāo)應(yīng)與控制本身的目標(biāo)一致,適當(dāng)時應(yīng)明確需要檢查或測試的控制要素。因此,大多數(shù)控制有效性測試將需要測試特定的屬性。例如,驗證活動的完整性、有效性或準(zhǔn)確性的授權(quán)程序。在測試技術(shù)方面,包括詢問、觀察、檢查、證實(第三方信息)、重新執(zhí)行、分析性審查程序等??刂茰y試有效性的結(jié)論,可分為有效、部分有效、無效三類。其中,有效指測試未揭示出任何異常,因此表明控制有效地運行;部分有效指在擴展測試或其他進(jìn)一步調(diào)查的基礎(chǔ)上,測試識別了一些例外情況,這些例外情況可能被認(rèn)為是孤立的例外情況,并且在主要情況下控制有效地運行;無效指測試和隨后的調(diào)查揭示了足夠的例外情況(例如,樣本中超過10%的項目),從而得出控制不可靠的結(jié)論。a當(dāng)審計業(yè)務(wù)流程運行到該階段時,基本上完成了對控制設(shè)計和執(zhí)行有效性的評估,在風(fēng)險和控制矩陣中記錄控制測試中的薄弱點并提出行動建議。在這里需要注意的是:(1)控制設(shè)計或執(zhí)行的薄弱點將被記錄在發(fā)現(xiàn)中,問題將確定并解釋為一個或多個風(fēng)險下的不可接受的暴露水平;(2)采取的行動代表控制或缺少控制所需的改變;(3)將與相同或類似風(fēng)險相關(guān)的發(fā)現(xiàn)整理成一個合并的問題(合并發(fā)現(xiàn)和相關(guān)的行動,例如在多家機構(gòu)中存在類似的發(fā)現(xiàn))。由此,形成了完整的風(fēng)險控制矩陣(見圖2)。在此基礎(chǔ)上,可以形成統(tǒng)一完整的風(fēng)險視圖。普華永道會計師事務(wù)所《高管和董事會如何獲得他們需要的風(fēng)險信息》(2019)指出,GRC技術(shù)可以從單一的信息源生成更完整的和當(dāng)前的風(fēng)險視圖,其所展示的企業(yè)風(fēng)險報告案例力圖通過風(fēng)險儀表板為董事和高管提供對風(fēng)險的廣泛和及時的看法(見圖3)。通常,固有風(fēng)險根據(jù)影響和概率來衡量。對于剩余風(fēng)險的評估,可根據(jù)內(nèi)部審計對風(fēng)險暴露可能對業(yè)務(wù)產(chǎn)生的影響的總體觀點,使用內(nèi)部審計自己的重要性準(zhǔn)則,以及可獲得的管理層風(fēng)險偏好,對每個問題進(jìn)行評級。需要注意的是,這里的評級指對問題進(jìn)行評級,而不是對發(fā)現(xiàn)進(jìn)行評級(控制設(shè)計或執(zhí)行的薄弱點將被記錄在發(fā)現(xiàn)中)?!侗kU公司聲譽風(fēng)險能力評分表》中剩余風(fēng)險評估,采用的是李可特量表打分方法,對每項指標(biāo)設(shè)置了評分規(guī)則,評分分?jǐn)?shù)為1~5分。無論是上述哪種評分方法,前提是建立適用的評估標(biāo)準(zhǔn)。
四、風(fēng)險控制矩陣圖有效運用的支撐要素
(一)風(fēng)險識別、評估和分類。在年度計劃階段,通過參考業(yè)務(wù)標(biāo)準(zhǔn)確定相關(guān)的關(guān)鍵風(fēng)險類別,年度計劃中定義的風(fēng)險通常是以概述的形式,可能很難確定風(fēng)險的“原因”或“來源”。在業(yè)務(wù)計劃階段,進(jìn)一步根據(jù)遠(yuǎn)程進(jìn)行的研究和所有現(xiàn)有的信息來源,對年度計劃期間識別的風(fēng)險進(jìn)行分解,將這些一般風(fēng)險類別轉(zhuǎn)換為實際風(fēng)險事件,并為職權(quán)范圍提供關(guān)鍵風(fēng)險。風(fēng)險分解,是為了能夠?qū)⒖刂聘_地映射到它們所減輕的那些風(fēng)險組成部分中。這里我們對風(fēng)險分解的理解是,業(yè)務(wù)標(biāo)準(zhǔn)下的審計主體目標(biāo)的風(fēng)險擴展列表。例如聲譽風(fēng)險可以分解為信用評級、媒體關(guān)注、監(jiān)管處罰、負(fù)面宣傳、法庭案件等方面的風(fēng)險。在這一過程中,由于我們的風(fēng)險管理成熟度并沒有達(dá)到PhilnaCoetzee和DaveLubbe(2014)提出的風(fēng)險為基礎(chǔ)的審計計劃模型所具備的水平,通常是根據(jù)對固有風(fēng)險的分析(根據(jù)影響和概率來衡量),確定關(guān)鍵的風(fēng)險和審計方法,并將識別的關(guān)鍵風(fēng)險嵌入風(fēng)險登記表中,形成初步的風(fēng)險登記表。確定審計領(lǐng)域的關(guān)鍵風(fēng)險,是生成風(fēng)險和控制矩陣的第一步,也是隨后控制有效性評估工作的前提。這里需要注意的是識別、評估和分類風(fēng)險應(yīng)注意以下原則。(1)必須識別所有潛在的重大風(fēng)險,并在適當(dāng)?shù)那闆r下將其主要原因記錄在風(fēng)險登記冊中;關(guān)鍵風(fēng)險指固有風(fēng)險等級為中等或以上的風(fēng)險,只有被評估為中等或高等的固有風(fēng)險,才納入風(fēng)險和控制矩陣中。(2)識別所有業(yè)務(wù)層級重要的風(fēng)險,而不是在微觀流程級別識別風(fēng)險。(3)風(fēng)險識別將建立在事件識別的基礎(chǔ)上,如果認(rèn)為當(dāng)?shù)氐娘L(fēng)險管理并非有效,或者沒有最近的或可靠的事件分析,審計人員應(yīng)考慮與審計小組或更多的高級審計管理人員進(jìn)行事件識別。(4)風(fēng)險來源用于確定風(fēng)險產(chǎn)生的原因,在分析事件和風(fēng)險時應(yīng)注意不要將風(fēng)險來源與控制缺陷或漏洞以及問題的癥狀相混淆。在不同的背景、目標(biāo)下,風(fēng)險的分類是不同的,以下概述了監(jiān)管機構(gòu)以及咨詢機構(gòu)使用的風(fēng)險分類。在我國保險行業(yè)的風(fēng)險分類上,“償二代”監(jiān)管體系將風(fēng)險分為保險風(fēng)險、市場風(fēng)險、信用風(fēng)險、操作風(fēng)險、戰(zhàn)略風(fēng)險、流動性風(fēng)險、聲譽風(fēng)險七大類風(fēng)險。普華永道會計師事務(wù)所自2007年以來其歐洲團隊每兩年一次的《保險業(yè)香蕉皮報告:保險公司面臨的風(fēng)險》將風(fēng)險分為技術(shù)風(fēng)險、網(wǎng)絡(luò)風(fēng)險、監(jiān)管風(fēng)險、創(chuàng)新、變更管理、公司治理、質(zhì)量管理、商業(yè)行為、人才風(fēng)險、氣候變化、成本降低、聲譽風(fēng)險等。畢馬威會計師事務(wù)所《2020年全球首席執(zhí)行官調(diào)查》中將風(fēng)險分為人才風(fēng)險、供應(yīng)鏈風(fēng)險、回歸屬地主義風(fēng)險、環(huán)境/氣候變化風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、新興/顛覆性技術(shù)風(fēng)險、監(jiān)管風(fēng)險、聲譽風(fēng)險等。從上述分析中,我們可以看出從不同的角度看,風(fēng)險的分類存在一定的區(qū)別。在組織內(nèi)進(jìn)行明確統(tǒng)一的風(fēng)險定義和分類標(biāo)準(zhǔn),是開展風(fēng)險評估的基本要素。(二)業(yè)務(wù)分析以及評估風(fēng)險和控制。業(yè)務(wù)分析這一過程的目的是對業(yè)務(wù)流程、子流程和系統(tǒng)進(jìn)行足夠詳細(xì)的識別和理解,以便能夠識別風(fēng)險以及減輕這些風(fēng)險的相應(yīng)控制措施。在傳統(tǒng)方式下,獲取并審核現(xiàn)有的文件,包括流程文檔、業(yè)務(wù)單元策略,以確保完整性和準(zhǔn)確性;對于那些被認(rèn)定為重要而復(fù)雜的系統(tǒng)或流程,審計人員應(yīng)編制流程圖。通過訪談員工等,識別并記錄減輕固有風(fēng)險的控制,并對控制進(jìn)行分類,將識別到的關(guān)鍵控制嵌入控制登記表中。在這一階段,不包括控制有效性的測試(假定控制是有效執(zhí)行的)。在對控制進(jìn)行識別和分析時,通常會涉及控制設(shè)計的三個方面,即符合目標(biāo)、強度、充分性(見表2)。從控制的類型方面劃分,控制可分為自動化控制(如業(yè)務(wù)應(yīng)用程序控制、一般計算機控制、終端用戶計算控制)、手工控制、手工但依靠IT的控制(如手工審核系統(tǒng)生成的異常報告)、實體層級控制(如控制環(huán)境、行為準(zhǔn)則等)。從控制的層級方面,可分為指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等。指導(dǎo)性控制是為了確保有一個明確的方向,并推動實現(xiàn)既定的目標(biāo),可能包括對員工進(jìn)行意識培訓(xùn)等,指導(dǎo)員工降低這種風(fēng)險的影響。預(yù)防性控制包括職責(zé)分離,雇傭有能力、較高道德標(biāo)準(zhǔn)的員工(尤其是聘才人員),建立良好的控制環(huán)境等。檢查性控制被設(shè)計用來發(fā)現(xiàn)未被阻止的錯誤,包括監(jiān)督審查、內(nèi)部檢查、差異報告、抽查和協(xié)調(diào)等。糾正性控制是確保對發(fā)現(xiàn)的問題進(jìn)行正確地處理,包括管理行動、糾正和后續(xù)程序等。(三)基于風(fēng)險的系統(tǒng)審計方法的運用。在內(nèi)部審計項目作業(yè)中,不同作業(yè)目標(biāo)可能會采用不同的審計方法,本文通過對基于風(fēng)險的系統(tǒng)審計方法和基于調(diào)查的審計方法的比較,更清晰地對基于風(fēng)險的系統(tǒng)審計方法進(jìn)行解釋和說明。1.審計方法的對比?;陲L(fēng)險的系統(tǒng)審計方法圍繞“目標(biāo)—風(fēng)險—控制”,對緩解關(guān)鍵風(fēng)險的控制設(shè)計和執(zhí)行的有效性進(jìn)行評估,審計發(fā)現(xiàn)的問題等級將基于審計領(lǐng)域的固有風(fēng)險和剩余風(fēng)險,為管理層提供更為完整的風(fēng)險視圖。從控制的目標(biāo)開始,審計人員需要清楚地理解目標(biāo)是什么,由哪些要素構(gòu)成,圍繞目標(biāo)的業(yè)務(wù)流程應(yīng)該是什么樣的。在此基礎(chǔ)上,從控制設(shè)計有效性和控制執(zhí)行有效性兩個方面,評估控制活動的有效性?;谡{(diào)查的審計方法,以問題為導(dǎo)向,通常以發(fā)現(xiàn)舞弊、差錯為審計的主要目標(biāo)。直接從控制的執(zhí)行開始,以制度為標(biāo)準(zhǔn),以詳細(xì)的測試方法為主。審計人員根據(jù)測試要求選擇樣本進(jìn)行檢查,檢查的范圍主要來自審計人員過往對于易出現(xiàn)問題領(lǐng)域的經(jīng)驗。通過測試,審計人員通常會發(fā)現(xiàn)一些明顯的問題癥狀。審計結(jié)論通常表現(xiàn)在微觀的執(zhí)行層面發(fā)現(xiàn)存在的問題。2.案例解析。在監(jiān)管力度不斷加大的背景下,銷售行為的監(jiān)管風(fēng)險上升,對有問題的銷售和聲譽問題的持續(xù)擔(dān)憂,商業(yè)行為風(fēng)險是管理層重點關(guān)注的風(fēng)險之一。在這里,將商業(yè)行為風(fēng)險定義為保險公司因銷售和其他業(yè)務(wù)行為不當(dāng)而遭受損失的風(fēng)險。假設(shè)商業(yè)行為風(fēng)險被評估為關(guān)鍵風(fēng)險,以壽險公司銷售行為為例,分別以基于風(fēng)險的系統(tǒng)審計方法、基于調(diào)查的審計方法對控制的理解進(jìn)行對比。在基于風(fēng)險的系統(tǒng)審計方法中,通常涉及指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等(見表3)。在基于調(diào)查的審計方法中,直接從常見的問題(癥狀)出發(fā),通常局限于內(nèi)部審計人員現(xiàn)有經(jīng)驗的認(rèn)知范圍內(nèi),大多數(shù)測試集中于檢查性控制(見表4)。雖然從表面上來看,基于調(diào)查的審計方法在有限的資源內(nèi)可能會發(fā)現(xiàn)更多的問題癥狀,但是由于審計范圍關(guān)注的是具體的問題(癥狀)點上,很難上升到組織整體控制有效性的評估層面。而基于風(fēng)險的系統(tǒng)審計方法以獨立評估的立場,向利益相關(guān)方提供了控制是否有效的保證——組織整體控制有效性的完整視圖,哪些控制是良好運行的,哪些控制需要進(jìn)一步改善。同時,基于調(diào)查的審計方法主要基于審計人員過往的經(jīng)驗,控制缺陷(控制改善)的發(fā)現(xiàn)更多的是在偶然因素的特定場景下產(chǎn)生的,相比之下基于風(fēng)險的系統(tǒng)審計方法,圍繞目標(biāo)對整個業(yè)務(wù)流程進(jìn)行評估,控制缺陷(控制改善)的發(fā)現(xiàn)呈現(xiàn)出相對的必然性。因此,相比傳統(tǒng)的基于調(diào)查的審計方法,基于風(fēng)險的系統(tǒng)審計方法可能會帶來好處。
參考文獻(xiàn)
[1]普華永道.2019年保險業(yè)香蕉皮報告:保險公司風(fēng)險調(diào)研[R].2019.
[2]普華永道.HowExecutivesandBoardsCanGettheRiskInformationTheyNeed[R].2019.
[3]畢馬威.TheKPMG2020CEOOutlookCOVID-19SpecialEdition[R].2020.
[4]國際內(nèi)部審計師協(xié)會,國際內(nèi)部審計專業(yè)實務(wù)框架,2017.
作者:劉小書 沈璜 單位:1.泰康保險集團稽核中心 2.中國太平保險集團有限責(zé)任公司稽核中心