導(dǎo)語：以風(fēng)險為基礎(chǔ)的內(nèi)部審計實務(wù)探索一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］“提供以風(fēng)險為基礎(chǔ)的確認(rèn)”是內(nèi)部審計實務(wù)的核心原則之一。在這里，“以風(fēng)險為基礎(chǔ)”不僅指以風(fēng)險為基礎(chǔ)編制內(nèi)部審計計劃，而且貫穿于整個內(nèi)部審計作業(yè)過程中，風(fēng)險控制矩陣能夠?qū)⒛繕?biāo)—風(fēng)險—控制更緊密地結(jié)合在一起，是內(nèi)部審計作業(yè)中常用的評估工具。本文圍繞以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程，從計劃、業(yè)務(wù)分析、評估和風(fēng)險控制、測試有效性、報告五個方面，對風(fēng)險控制矩陣的理解和運用進(jìn)行詳細(xì)闡述；同時以案例的形式對基于風(fēng)險的系統(tǒng)審計方法和基于調(diào)查的審計方法進(jìn)行比較，期望能從實務(wù)層面對以風(fēng)險為基礎(chǔ)的內(nèi)部審計進(jìn)行更為廣泛的研究和探討。

［關(guān)鍵詞］內(nèi)部審計；以風(fēng)險為基礎(chǔ)；風(fēng)險控制矩陣

一、研究背景和意義

隨著保險業(yè)數(shù)字化轉(zhuǎn)型，新技術(shù)和數(shù)字化工具的應(yīng)用，流程的改善、運營成本降低以及經(jīng)營管理的提升都將給保險業(yè)內(nèi)部審計數(shù)據(jù)化能力的提升帶來機遇。例如，近期普華永道會計師事務(wù)所了“保險智慧審計平臺”，包括“流程?！薄皟?nèi)控保”等工具，“流程?！被诹鞒讨悄芗夹g(shù)開發(fā)，工具能夠讀取系統(tǒng)工作流程中的電子痕跡和操作日志，運用全新的可視化手段直觀地分析保險公司控制設(shè)計和執(zhí)行的情況。而傳統(tǒng)的“手工線下”內(nèi)部審計工作模式可能會不太符合保險公司的整體經(jīng)營管理發(fā)展態(tài)勢，將面臨較大的挑戰(zhàn)。同時，由于當(dāng)前所接觸到的內(nèi)部審計前沿理論與實踐，包括國際內(nèi)部審計師協(xié)會所頒布的《國際內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》更多的是來自歐洲等發(fā)達(dá)國家的經(jīng)驗和研究，對這些概念的理解和解讀受制于文化背景、理論體系、思考邏輯、經(jīng)濟發(fā)展等因素的影響，可能會導(dǎo)致我們看到的僅是冰山一角，然而，支撐整個理論體系有效運作的基本原理、核心要素的掩蓋和忽視，又會進(jìn)一步制約在實際運行操作中的效果，以及新技術(shù)、新工具價值和能力的發(fā)揮。因此，本文仍然回歸于內(nèi)部審計基本原理——以風(fēng)險為基礎(chǔ)的內(nèi)部審計。由于數(shù)字化、智能化等工具在實踐中運用較少，為了更便于理解，在某些方法的解釋上可能仍使用傳統(tǒng)的方式。新技術(shù)的應(yīng)用更多的是工作方式、手段的改變，從而提升效率，并沒有改變支撐整個理論體系有效運作的基本原理，因此，這并不影響對內(nèi)部審計基本原理的理解。

二、以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程概述

為了更好地理解以風(fēng)險為基礎(chǔ)的內(nèi)部審計，本文參考了一些行業(yè)實務(wù)方法，從審計業(yè)務(wù)作業(yè)流程上進(jìn)行更為詳細(xì)的闡述。例如，世界第五大保險集團英杰華集團（AVIVA）將以風(fēng)險為基礎(chǔ)的內(nèi)部審計定義為：內(nèi)部審計方法遵循一種基于風(fēng)險的方法，關(guān)注對業(yè)務(wù)重要的內(nèi)容。識別被審計領(lǐng)域關(guān)鍵的固有風(fēng)險，并與企業(yè)目前所依賴的減輕風(fēng)險的關(guān)鍵控制措施相平衡。風(fēng)險和控制矩陣映射和評估了關(guān)鍵風(fēng)險和控制之間的關(guān)系，以揭示控制框架中的任何差距或薄弱點。對關(guān)鍵控制運行的有效性進(jìn)行測試，以達(dá)到內(nèi)部審計對實際（剩余）風(fēng)險暴露水平的評估。以風(fēng)險為基礎(chǔ)的內(nèi)部審計流程，從高層級的年度計劃開始，這一階段主要是確定和選擇年度計劃中要包括的審計任務(wù)。每一個審計任務(wù)的執(zhí)行通常包括業(yè)務(wù)計劃、業(yè)務(wù)分析、評估風(fēng)險和控制、測試有效性、報告和評級五個階段從圖1可以清晰地看出風(fēng)險控制矩陣在整個作業(yè)流程中的作用。風(fēng)險控制矩陣是風(fēng)險控制者定性分析和定量分析相結(jié)合，綜合考慮風(fēng)險概率與影響的方法,用來消滅或減少風(fēng)險事件發(fā)生的各種可能性，或者減少風(fēng)險事件發(fā)生時造成的損失?！秶H內(nèi)部審計專業(yè)實務(wù)框架》（2017）執(zhí)行指南中也列明了：編制風(fēng)險控制矩陣，或者復(fù)核現(xiàn)有的矩陣都是內(nèi)部審計師用于識別可能影響被檢查領(lǐng)域或過程的目標(biāo)、資源、運營風(fēng)險的常用工具。風(fēng)險控制矩陣可以幫助內(nèi)部審計部門：確定目標(biāo)和阻礙實現(xiàn)目標(biāo)的風(fēng)險；確定風(fēng)險的重要性，同時考慮其影響的嚴(yán)重程度和發(fā)生的可能性；確定對重大風(fēng)險的適當(dāng)應(yīng)對（如接受、分擔(dān)、轉(zhuǎn)移、減輕或避免）；確定用于管理風(fēng)險的關(guān)鍵控制；評估控制設(shè)計的充分性，以幫助確定是否需要對控制效果進(jìn)行測試；對被視為設(shè)計充分的控制進(jìn)行測試，以確定它們是否按預(yù)期運行。

三、關(guān)于風(fēng)險控制矩陣的理解

評估風(fēng)險和控制這一過程，是以風(fēng)險為基礎(chǔ)的內(nèi)部審計業(yè)務(wù)流程的關(guān)鍵點。將關(guān)鍵風(fēng)險與當(dāng)前控制相匹配，作為評估控制框架設(shè)計的基礎(chǔ)。風(fēng)險和控制矩陣圖從關(guān)鍵風(fēng)險出發(fā)，通過風(fēng)險識別、固有風(fēng)險評估和風(fēng)險應(yīng)對等，從風(fēng)險發(fā)生的可能性和影響性兩個方面進(jìn)行評估（高、中、低），識別出那些被評估為具有高等或中等固有風(fēng)險的風(fēng)險，嵌入風(fēng)險和控制矩陣圖的“關(guān)鍵風(fēng)險”中。接下來是映射和評估控制，根據(jù)控制減輕風(fēng)險的能力，用高、中、低等級評估控制和風(fēng)險之間關(guān)系的“強度”，記錄在風(fēng)險和控制矩陣中（見表1）。這種映射將允許評估控制的設(shè)計和識別關(guān)鍵控制。在對控制設(shè)計進(jìn)行評估時，需要注意的是雖然個別控制可能被確定為不可接受的，但可能存在提供充分緩解的額外控制，從而使整體控制結(jié)構(gòu)可接受?？刂圃O(shè)計的評估還應(yīng)考慮預(yù)防控制和檢測控制是否平衡。控制設(shè)計評估的結(jié)論可劃分為過度控制、可接受的控制、有限的控制、不可接受的控制四類。其中過度控制指控制的設(shè)計為提高效率留下了很大的空間；可接受的控制指控制的設(shè)計是充分的，剩余風(fēng)險是在風(fēng)險偏好內(nèi)；有限的控制指控制設(shè)計為某些風(fēng)險來源留下了較小的風(fēng)險敞口，雖然在風(fēng)險偏好之外但在風(fēng)險容忍度之內(nèi)；不可接受的控制指控制設(shè)計不充分，給剩余風(fēng)險留下很大的風(fēng)險敞口。在沒有定義風(fēng)險偏好的情況下，控制的充分性主要基于審計人員的意見。在對控制設(shè)計評估后，進(jìn)行控制執(zhí)行有效性的測試，制訂測試方案并進(jìn)行抽樣檢查，根據(jù)控制有效性評估風(fēng)險暴露水平，得出控制有效性的結(jié)論。在這里需要注意的是，測試目標(biāo)應(yīng)與控制本身的目標(biāo)一致，適當(dāng)時應(yīng)明確需要檢查或測試的控制要素。因此，大多數(shù)控制有效性測試將需要測試特定的屬性。例如，驗證活動的完整性、有效性或準(zhǔn)確性的授權(quán)程序。在測試技術(shù)方面，包括詢問、觀察、檢查、證實（第三方信息）、重新執(zhí)行、分析性審查程序等?？刂茰y試有效性的結(jié)論，可分為有效、部分有效、無效三類。其中，有效指測試未揭示出任何異常，因此表明控制有效地運行；部分有效指在擴展測試或其他進(jìn)一步調(diào)查的基礎(chǔ)上，測試識別了一些例外情況，這些例外情況可能被認(rèn)為是孤立的例外情況，并且在主要情況下控制有效地運行；無效指測試和隨后的調(diào)查揭示了足夠的例外情況(例如，樣本中超過10%的項目)，從而得出控制不可靠的結(jié)論。a當(dāng)審計業(yè)務(wù)流程運行到該階段時，基本上完成了對控制設(shè)計和執(zhí)行有效性的評估，在風(fēng)險和控制矩陣中記錄控制測試中的薄弱點并提出行動建議。在這里需要注意的是：（1）控制設(shè)計或執(zhí)行的薄弱點將被記錄在發(fā)現(xiàn)中，問題將確定并解釋為一個或多個風(fēng)險下的不可接受的暴露水平；（2）采取的行動代表控制或缺少控制所需的改變；（3）將與相同或類似風(fēng)險相關(guān)的發(fā)現(xiàn)整理成一個合并的問題(合并發(fā)現(xiàn)和相關(guān)的行動，例如在多家機構(gòu)中存在類似的發(fā)現(xiàn))。由此，形成了完整的風(fēng)險控制矩陣（見圖2）。在此基礎(chǔ)上，可以形成統(tǒng)一完整的風(fēng)險視圖。普華永道會計師事務(wù)所《高管和董事會如何獲得他們需要的風(fēng)險信息》（2019）指出，GRC技術(shù)可以從單一的信息源生成更完整的和當(dāng)前的風(fēng)險視圖，其所展示的企業(yè)風(fēng)險報告案例力圖通過風(fēng)險儀表板為董事和高管提供對風(fēng)險的廣泛和及時的看法（見圖3）。通常，固有風(fēng)險根據(jù)影響和概率來衡量。對于剩余風(fēng)險的評估，可根據(jù)內(nèi)部審計對風(fēng)險暴露可能對業(yè)務(wù)產(chǎn)生的影響的總體觀點，使用內(nèi)部審計自己的重要性準(zhǔn)則，以及可獲得的管理層風(fēng)險偏好，對每個問題進(jìn)行評級。需要注意的是，這里的評級指對問題進(jìn)行評級，而不是對發(fā)現(xiàn)進(jìn)行評級（控制設(shè)計或執(zhí)行的薄弱點將被記錄在發(fā)現(xiàn)中）?！侗ｋU公司聲譽風(fēng)險能力評分表》中剩余風(fēng)險評估，采用的是李可特量表打分方法，對每項指標(biāo)設(shè)置了評分規(guī)則，評分分?jǐn)?shù)為1~5分。無論是上述哪種評分方法，前提是建立適用的評估標(biāo)準(zhǔn)。

四、風(fēng)險控制矩陣圖有效運用的支撐要素

（一）風(fēng)險識別、評估和分類。在年度計劃階段，通過參考業(yè)務(wù)標(biāo)準(zhǔn)確定相關(guān)的關(guān)鍵風(fēng)險類別，年度計劃中定義的風(fēng)險通常是以概述的形式，可能很難確定風(fēng)險的“原因”或“來源”。在業(yè)務(wù)計劃階段，進(jìn)一步根據(jù)遠(yuǎn)程進(jìn)行的研究和所有現(xiàn)有的信息來源，對年度計劃期間識別的風(fēng)險進(jìn)行分解，將這些一般風(fēng)險類別轉(zhuǎn)換為實際風(fēng)險事件，并為職權(quán)范圍提供關(guān)鍵風(fēng)險。風(fēng)險分解，是為了能夠?qū)⒖刂聘_地映射到它們所減輕的那些風(fēng)險組成部分中。這里我們對風(fēng)險分解的理解是，業(yè)務(wù)標(biāo)準(zhǔn)下的審計主體目標(biāo)的風(fēng)險擴展列表。例如聲譽風(fēng)險可以分解為信用評級、媒體關(guān)注、監(jiān)管處罰、負(fù)面宣傳、法庭案件等方面的風(fēng)險。在這一過程中，由于我們的風(fēng)險管理成熟度并沒有達(dá)到PhilnaCoetzee和DaveLubbe（2014）提出的風(fēng)險為基礎(chǔ)的審計計劃模型所具備的水平，通常是根據(jù)對固有風(fēng)險的分析（根據(jù)影響和概率來衡量），確定關(guān)鍵的風(fēng)險和審計方法，并將識別的關(guān)鍵風(fēng)險嵌入風(fēng)險登記表中，形成初步的風(fēng)險登記表。確定審計領(lǐng)域的關(guān)鍵風(fēng)險，是生成風(fēng)險和控制矩陣的第一步，也是隨后控制有效性評估工作的前提。這里需要注意的是識別、評估和分類風(fēng)險應(yīng)注意以下原則。（1）必須識別所有潛在的重大風(fēng)險，并在適當(dāng)?shù)那闆r下將其主要原因記錄在風(fēng)險登記冊中；關(guān)鍵風(fēng)險指固有風(fēng)險等級為中等或以上的風(fēng)險，只有被評估為中等或高等的固有風(fēng)險，才納入風(fēng)險和控制矩陣中。（2）識別所有業(yè)務(wù)層級重要的風(fēng)險，而不是在微觀流程級別識別風(fēng)險。（3）風(fēng)險識別將建立在事件識別的基礎(chǔ)上，如果認(rèn)為當(dāng)?shù)氐娘L(fēng)險管理并非有效，或者沒有最近的或可靠的事件分析，審計人員應(yīng)考慮與審計小組或更多的高級審計管理人員進(jìn)行事件識別。（4）風(fēng)險來源用于確定風(fēng)險產(chǎn)生的原因，在分析事件和風(fēng)險時應(yīng)注意不要將風(fēng)險來源與控制缺陷或漏洞以及問題的癥狀相混淆。在不同的背景、目標(biāo)下，風(fēng)險的分類是不同的，以下概述了監(jiān)管機構(gòu)以及咨詢機構(gòu)使用的風(fēng)險分類。在我國保險行業(yè)的風(fēng)險分類上，“償二代”監(jiān)管體系將風(fēng)險分為保險風(fēng)險、市場風(fēng)險、信用風(fēng)險、操作風(fēng)險、戰(zhàn)略風(fēng)險、流動性風(fēng)險、聲譽風(fēng)險七大類風(fēng)險。普華永道會計師事務(wù)所自2007年以來其歐洲團隊每兩年一次的《保險業(yè)香蕉皮報告：保險公司面臨的風(fēng)險》將風(fēng)險分為技術(shù)風(fēng)險、網(wǎng)絡(luò)風(fēng)險、監(jiān)管風(fēng)險、創(chuàng)新、變更管理、公司治理、質(zhì)量管理、商業(yè)行為、人才風(fēng)險、氣候變化、成本降低、聲譽風(fēng)險等。畢馬威會計師事務(wù)所《2020年全球首席執(zhí)行官調(diào)查》中將風(fēng)險分為人才風(fēng)險、供應(yīng)鏈風(fēng)險、回歸屬地主義風(fēng)險、環(huán)境/氣候變化風(fēng)險、網(wǎng)絡(luò)安全風(fēng)險、新興/顛覆性技術(shù)風(fēng)險、監(jiān)管風(fēng)險、聲譽風(fēng)險等。從上述分析中，我們可以看出從不同的角度看，風(fēng)險的分類存在一定的區(qū)別。在組織內(nèi)進(jìn)行明確統(tǒng)一的風(fēng)險定義和分類標(biāo)準(zhǔn)，是開展風(fēng)險評估的基本要素。（二）業(yè)務(wù)分析以及評估風(fēng)險和控制。業(yè)務(wù)分析這一過程的目的是對業(yè)務(wù)流程、子流程和系統(tǒng)進(jìn)行足夠詳細(xì)的識別和理解，以便能夠識別風(fēng)險以及減輕這些風(fēng)險的相應(yīng)控制措施。在傳統(tǒng)方式下，獲取并審核現(xiàn)有的文件，包括流程文檔、業(yè)務(wù)單元策略，以確保完整性和準(zhǔn)確性；對于那些被認(rèn)定為重要而復(fù)雜的系統(tǒng)或流程，審計人員應(yīng)編制流程圖。通過訪談員工等，識別并記錄減輕固有風(fēng)險的控制，并對控制進(jìn)行分類，將識別到的關(guān)鍵控制嵌入控制登記表中。在這一階段，不包括控制有效性的測試（假定控制是有效執(zhí)行的）。在對控制進(jìn)行識別和分析時，通常會涉及控制設(shè)計的三個方面，即符合目標(biāo)、強度、充分性（見表2）。從控制的類型方面劃分，控制可分為自動化控制（如業(yè)務(wù)應(yīng)用程序控制、一般計算機控制、終端用戶計算控制）、手工控制、手工但依靠IT的控制（如手工審核系統(tǒng)生成的異常報告）、實體層級控制（如控制環(huán)境、行為準(zhǔn)則等）。從控制的層級方面，可分為指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等。指導(dǎo)性控制是為了確保有一個明確的方向，并推動實現(xiàn)既定的目標(biāo)，可能包括對員工進(jìn)行意識培訓(xùn)等，指導(dǎo)員工降低這種風(fēng)險的影響。預(yù)防性控制包括職責(zé)分離，雇傭有能力、較高道德標(biāo)準(zhǔn)的員工（尤其是聘才人員），建立良好的控制環(huán)境等。檢查性控制被設(shè)計用來發(fā)現(xiàn)未被阻止的錯誤，包括監(jiān)督審查、內(nèi)部檢查、差異報告、抽查和協(xié)調(diào)等。糾正性控制是確保對發(fā)現(xiàn)的問題進(jìn)行正確地處理，包括管理行動、糾正和后續(xù)程序等。（三）基于風(fēng)險的系統(tǒng)審計方法的運用。在內(nèi)部審計項目作業(yè)中，不同作業(yè)目標(biāo)可能會采用不同的審計方法，本文通過對基于風(fēng)險的系統(tǒng)審計方法和基于調(diào)查的審計方法的比較，更清晰地對基于風(fēng)險的系統(tǒng)審計方法進(jìn)行解釋和說明。1.審計方法的對比?；陲L(fēng)險的系統(tǒng)審計方法圍繞“目標(biāo)—風(fēng)險—控制”，對緩解關(guān)鍵風(fēng)險的控制設(shè)計和執(zhí)行的有效性進(jìn)行評估，審計發(fā)現(xiàn)的問題等級將基于審計領(lǐng)域的固有風(fēng)險和剩余風(fēng)險，為管理層提供更為完整的風(fēng)險視圖。從控制的目標(biāo)開始，審計人員需要清楚地理解目標(biāo)是什么，由哪些要素構(gòu)成，圍繞目標(biāo)的業(yè)務(wù)流程應(yīng)該是什么樣的。在此基礎(chǔ)上，從控制設(shè)計有效性和控制執(zhí)行有效性兩個方面，評估控制活動的有效性?；谡{(diào)查的審計方法，以問題為導(dǎo)向，通常以發(fā)現(xiàn)舞弊、差錯為審計的主要目標(biāo)。直接從控制的執(zhí)行開始，以制度為標(biāo)準(zhǔn)，以詳細(xì)的測試方法為主。審計人員根據(jù)測試要求選擇樣本進(jìn)行檢查，檢查的范圍主要來自審計人員過往對于易出現(xiàn)問題領(lǐng)域的經(jīng)驗。通過測試，審計人員通常會發(fā)現(xiàn)一些明顯的問題癥狀。審計結(jié)論通常表現(xiàn)在微觀的執(zhí)行層面發(fā)現(xiàn)存在的問題。2.案例解析。在監(jiān)管力度不斷加大的背景下，銷售行為的監(jiān)管風(fēng)險上升，對有問題的銷售和聲譽問題的持續(xù)擔(dān)憂，商業(yè)行為風(fēng)險是管理層重點關(guān)注的風(fēng)險之一。在這里，將商業(yè)行為風(fēng)險定義為保險公司因銷售和其他業(yè)務(wù)行為不當(dāng)而遭受損失的風(fēng)險。假設(shè)商業(yè)行為風(fēng)險被評估為關(guān)鍵風(fēng)險，以壽險公司銷售行為為例，分別以基于風(fēng)險的系統(tǒng)審計方法、基于調(diào)查的審計方法對控制的理解進(jìn)行對比。在基于風(fēng)險的系統(tǒng)審計方法中，通常涉及指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等（見表3）。在基于調(diào)查的審計方法中，直接從常見的問題（癥狀）出發(fā)，通常局限于內(nèi)部審計人員現(xiàn)有經(jīng)驗的認(rèn)知范圍內(nèi)，大多數(shù)測試集中于檢查性控制（見表4）。雖然從表面上來看，基于調(diào)查的審計方法在有限的資源內(nèi)可能會發(fā)現(xiàn)更多的問題癥狀，但是由于審計范圍關(guān)注的是具體的問題（癥狀）點上，很難上升到組織整體控制有效性的評估層面。而基于風(fēng)險的系統(tǒng)審計方法以獨立評估的立場，向利益相關(guān)方提供了控制是否有效的保證——組織整體控制有效性的完整視圖，哪些控制是良好運行的，哪些控制需要進(jìn)一步改善。同時，基于調(diào)查的審計方法主要基于審計人員過往的經(jīng)驗，控制缺陷（控制改善）的發(fā)現(xiàn)更多的是在偶然因素的特定場景下產(chǎn)生的，相比之下基于風(fēng)險的系統(tǒng)審計方法，圍繞目標(biāo)對整個業(yè)務(wù)流程進(jìn)行評估，控制缺陷（控制改善）的發(fā)現(xiàn)呈現(xiàn)出相對的必然性。因此，相比傳統(tǒng)的基于調(diào)查的審計方法，基于風(fēng)險的系統(tǒng)審計方法可能會帶來好處。

參考文獻(xiàn)

[1]普華永道.2019年保險業(yè)香蕉皮報告：保險公司風(fēng)險調(diào)研[R].2019.

[2]普華永道.HowExecutivesandBoardsCanGettheRiskInformationTheyNeed[R].2019.

[3]畢馬威.TheKPMG2020CEOOutlookCOVID-19SpecialEdition[R].2020.

[4]國際內(nèi)部審計師協(xié)會，國際內(nèi)部審計專業(yè)實務(wù)框架，2017.

作者:劉小書 沈璜 單位:1.泰康保險集團稽核中心 2.中國太平保險集團有限責(zé)任公司稽核中心