内审实务 | 以风险为基础的内部审计实务探讨

“以风险为基础”的内部审计，不仅指以风险为基础编制内部审计计划，而且贯穿于整个内部审计作业过程中，风险控制矩阵能够将目标——风险——控制更紧密地结合在一起，是内部审计作业中常用的评估工具，涉及计划、业务分析、评估和风险控制、测试有效性、报告五个方面。

一、以风险为基础的内部审计业务流程概述

为了更好地理解“以风险为基础的内部审计”，我们参考了一些行业实务方法，从审计业务作业流程上进行更为详细的阐述。

比如，AVIVA将以风险为基础的内部审计定义为：

内部审计方法遵循一种基于风险的方法，关注于对业务重要的内容。识别被审计领域关键的固有风险，并与企业目前所依赖的减轻风险的关键控制措施进行平衡。

风险和控制矩阵映射和评估了关键风险和控制之间的关系，以揭示控制框架中的任何差距或薄弱点。对关键控制运行的有效性进行测试，以达到内部审计对实际(剩余)风险暴露水平的评估。

以风险为基础的内部审计流程，从高层级的年度计划开始，这一阶段主要是确定和选择年度计划中要包括的审计任务。每一个审计任务的执行通常包括业务计划、业务分析、评估风险和控制、测试有效性、报告和评级五个阶段，如下图所示。

从上图中，我们可以清晰地看出风险控制矩阵在整个作业流程中的作用。风险控制矩阵可以帮助内部审计部门：

• 确定目标和阻碍实现目标的风险；

• 确定风险的重要性，同时考虑其影响的严重程度和发生的可能性；

• 确定对重大风险的适当应对（例如接受、分担、转移、减轻或避免）；

• 确定用于管理风险的关键控制；

• 评估控制设计的充分性，以帮助确定是否需要对控制效果进行测试；

• 对被视为设计充分的控制进行测试，以确定它们是否按预期运行。

二、关于风险控制矩阵的理解

评估风险和控制这一过程，是以风险为基础的内部审计业务流程的关键点。将关键风险与当前控制相匹配，作为评估控制框架设计的基础。风险和控制矩阵图从关键风险出发，通过风险识别、固有风险评估和风险应对等，从风险发生的可能性和影响性两个方面进行评估（高、中、低），识别出那些被评估为具有高或中等固有风险的风险嵌入到风险和控制矩阵图的“关键风险”中。

接下来就是映射和评估控制，根据控制减轻风险的能力，用高、中、低等级评估控制和风险之间关系的“强度”，记录在风险和控制矩阵中。这种映射将允许评估控制的设计和识别关键控制。

    在对控制设计进行评估时，需要注意的是虽然个别控制可能被确定为不可接受的，但可能存在提供充分缓解的额外控制，从而使整体控制结构可接受。控制设计的评估还应考虑预防控制和检测控制的平衡是否合适。

控制设计评估的结论可划分为：

过度控制、可接受的控制、有限的控制、不可接受的控制四类。

其中：

过度控制是指，控制的设计为提高效率留下了很大的空间；

可接受的是指控制的设计是充分的，剩余风险是在风险偏好内；

有限的控制是指控制设计为某些风险来源留下了较小的风险敞口，虽然在风险偏好之外但在风险容忍度之内；

不可接受的控制是指控制设计不充分，给剩余风险留下很大风险敞口。

在没有定义风险偏好的情况下，控制的充分性主要是基于审计人员的意见。

在对控制设计评估后，进行控制执行有效性的测试，制定测试方案并进行抽样检查，根据控制有效性评估风险暴露水平，得出控制有效性的结论。在这里需要注意的是，测试目标应与控制本身的目标一致，适当时应明确需要检查或测试的控制要素。因此，大多数控制有效性测试将需要测试特定的属性。

例如，验证活动的完整性、有效性或准确性的授权程序。在测试技术方面，包括询问、观察、检查、证实（第三方信息）、重新执行、分析性审查程序等。控制测试有效性的结论，可分为有效、部分有效、无效三类。

其中，有效是指测试未揭示出任何异常，因此表明控制有效地运行；部分有效是指在扩展测试或其他进一步调查的基础上，测试识别了一些例外情况，这些例外情况可能被认为是孤立的例外情况，并且在主要情况下控制是有效地运行；无效是指测试和随后的调查揭示了足够的例外情况(例如，样本中超过10%的项目)，从而得出控制不可靠的结论。

当审计业务流程运行到该阶段时，基本上完成了对控制设计和执行有效性的评估，在风险和控制矩阵中记录控制测试中的薄弱点并提出行动建议。

在这里需要注意的是：

（1）控制设计或执行的薄弱点将被记录在发现中，问题将确定并解释为一个或多个风险下的不可接受的暴露水平；

（2）采取的行动代表控制或缺少控制所需的改变；

（3）将与相同或类似风险相关的发现整理成一个合并的问题(合并发现和相关的行动，比如在多家机构中存在类似的发现)。

由此，形成了完整的风险控制矩阵图：

在此基础上， 可以形成统一完整的风险视图。普华永道《高管和董事会如何获得他们需要的风险信息》（2019）指出，GRC技术可以从单一的信息源生成更完整和当前的风险视图，其所展示的企业风险报告案例力图通过风险仪表板为董事和高管提供了对风险的广泛和及时的看法（如图所示）。

通常，固有风险根据影响和概率来衡量的。对于剩余风险的评估，可根据内部审计对风险暴露可能对业务产生的影响的总体观点，使用内部审计自己的重要性准则，以及可获得的管理层风险偏好，对每个问题进行评级。

需要注意的是，这里的评级是指对问题进行评级，而不是对发现进行评级（控制设计或执行的薄弱点将被记录在发现中）。《保险公司声誉风险能力评分表》中剩余风险评估，采用的是李可特量表打分方法，对每项指标下设置了评分规则，评分分数为1-5分。无论是上述哪种评分方法，前提是建立适用的评估标准。

三、风险控制矩阵图有效运用的支撑要素

（一）风险识别、评估和分类

在年度计划阶段，通过参考业务标准确定了相关的关键风险类别，年度计划中定义的风险通常是以概述的形式，可能很难确定风险的“原因”或“来源”。在业务计划阶段，进一步根据远程进行的研究和所有现有的信息来源，对年度计划期间识别的风险进行分解，将这些一般风险类别转换为实际风险事件，并为职权范围提供关键风险。

风险分解，是为了能够将控制更精确地映射到它们所减轻的那些风险组成部分中。在这里，我们对风险分解的理解是，业务标准下的审计主体目标的风险扩展列表。比如声誉风险可以分解为信用评级、媒体关注、监管处罚、负面宣传、法庭案件等方面的风险。

在这一过程中，由于我们的风险管理成熟度并没有达到Philna Coetzee ,Dave Lubbe（2014）提出的风险为基础的审计计划模型所具备的水平，通常是对固有风险的分析（根据影响和概率来衡量），确定关键的风险和审计方法，并将识别的关键风险嵌入至风险登记表中，形成了初步的风险登记表。

确定审计领域的关键风险，是生成风险和控制矩阵的第一步，也是随后控制有效性评估工作的前提。

在这里，需要注意的是识别、评估和分类风险应注意以下原则：

（1）必须识别所有潜在的重大风险，并在适当的情况下将其主要原因记录在风险登记册中；关键风险是指固有风险等级为中等或以上，只有被评估为中等或高等的固有风险，才纳入到风险和控制矩阵中。

（2）识别所有业务层级重要的风险，而不是在微观流程级别识别风险。

（3）风险识别将建立在事件识别的基础上，如果认为当地的风险管理并非有效，或者没有最近的或可靠的事件分析，审计人员应考虑与审计小组或涉及更多的高级审计管理人员参与进行事件识别。

（4）风险来源用于确定风险产生的原因，在分析事件和风险时应注意不要将风险来源与控制缺陷或漏洞以及问题的症状相混淆。

在不同的背景、目标下，对于风险的分类是不同的，以下我们概述了监管机构以及咨询机构使用的风险分类。在我国保险行业的风险分类上，“偿二代”监管体系将其分为保险风险、市场风险、信用风险、操作风险、战略风险、流动性风险、声誉风险等七大类风险。

普华永道自2007年以来其欧洲团队每两年发布一次的《保险业香蕉皮报告：保险公司面临的风险》将风险分为技术风险、网络风险、监管风险、创新、变更管理、公司治理、质量管理、商业行为、人才风险、气候变化、成本降低、声誉风险等。

毕马威《2020年全球首席执行官调查》中将风险分为人才风险、供应链风险、回归属地主义风险、环境/气候变化风险、网络安全风险、新兴/颠覆性技术风险、监管风险、声誉风险等。从上述分析中，我们可以看出不同的角度，风险的分类存在一定的区别。在组织内进行明确统一的风险定义和分类标准，是开展风险评估的基本要素。

（二）业务分析以及评估风险和控制

业务分析这一过程的目的是对业务流程、子流程和系统进行足够详细的识别和理解，以便能够识别风险以及减轻这些风险的相应控制措施。在传统方式下，获取并审核现有的文件，包括流程文档，业务单元策略，以确保完整性和准确性；对于那些被认定为重要而复杂的系统或流程，审计人员应编制流程图。

通过访谈员工等，识别并记录减轻固有风险的控制，并对控制进行分类，将识别到的关键控制嵌入到控制登记表中。在这一阶段，不包括控制有效性的测试（假定控制是有效执行的）。

在对控制进行识别和分析时，通常会涉及控制设计的三个方面，即符合目标、控制的强度、控制的充分性。从控制的类型方面，可分为自动化控制（如业务应用程序控制、一般计算机控制、终端用户计算控制）、手工控制、手工但依靠IT的控制（如手工审核系统生成的异常报告）、实体层级控制（如控制环境、行为准则等）。

参考文献：

【1】普华永道,《2019年保险业香蕉皮报告：保险公司风险调研》，2019

【2】普华永道,《Howexecutives and boards can get the risk information

theyneed 》，2019

【3】毕马威,《TheKPMG 2020 CEO Outlook COVID-19 Special Edition 》，2020

【4】国际内部审计师协会,《国际内部审计专业实务框架》，2017

(转载自大风控微信公众号)