现代内部审计讲求以风险为导向。风险到底在哪里?如何体现风险导向审计?如果能建立风险预警体系,风险导向内部审计才会有抓手,才能由点及面地揭示问题反映出来的风险。内部审计风险预警体系就像雷达,可以扫描到重要或重大风险,然后通过审计检查去发现具体的内控缺陷、损失、判断风险程度和影响。
许多大中型企业里,内部审计和合规内控、风险管理部门是分开的。有的合规内控、风险管理部门也会建立自己的风险预警体系。那么,内部审计的风险预警体系和它们会有什么相似和区别之处呢?相似之处就是都要通过:建立指标体系、收集数据信息、风险识别、风险评估、风险预警等环节来向管理层和决策层提供风险预警信息。不同之处是:内部审计风险预警体系要通过风险预警实施必要的审计监督,以内部审计的视角来发现问题,并进行审计判断,得出审计结论,提出审计建议。当然,内部审计部门和内控合规部门、风险管理部门共建、共享风险预警系统。
一、内部审计预警体系的三大核心要素
建立风险库、风险指标体系、风险预警阈值是内部审计预警体系的三大核心要素。
1.风险库。风险库是结合审计经验以及行业风险信息,按照一定的分类规则,对经营管理各个环节可能存在的风险或风险事件进行归集。建立风险库,是内部审计进行风险识别的基础。
2.风险指标体系。风险指标是风险的探测针,通过风险指标来对风险进行识别和评估。风险指标体系是要通过科学合理的一系列指标多方位、多角度地探测风险。
3.风险预警阈值。如果把风险指标比喻成探测针,那么风险预警阈值就是探测针上红灯,风险指标达到某个数值,红灯就亮了。风险预警阈值的设定要参考法律法规、行业经验数据,还要进行动态管理,根据实际情况进行调整。
二、内部审计预警体系的四大功能模块
内部审计预警体系的四大功能模块分别是:风险数据收集、风险识别与评估、风险预警、跟踪反馈。风险数据收集既要通过企业内部的信息系统数据,又要通过企业外部的国家、行业信息发布。风险识别就像一个筛子,把低风险信息筛走,留下高风险信息。风险评估要有理论方法,又要有内部审计人员的职业判断,要判断出可能性和影响程度。风险预警可以进行分级,比如蓝色预警、黄色预警、红色预警,不同等级的风险预警信息传递到不同的管理等级。跟踪反馈就是根据风险预警信息采取进一步的行动:内部审计人员要决定是否开展审计检查。
三、建立内部审计风险预警体系的两大关键
1.数据思维和数据分析能力。内部审计人员不缺少风险思维、内控思维、合规思维。然而,面对大数据时代的到来,缺乏数据思维成为约束审计业务拓展的瓶颈。从传统内部审计向现代内部审计的转型不缺少理论知识,而是缺少数据思维下的风险导向内部审计的迭代升级。什么是数据思维,数据思维至少包括量化思维、统计思维、逻辑思维三个方面。如果没有数据支撑,不能把风险信息转变为可以分析的数据形式,风险预警体系只能停留在理论层面和定性判断层面。随着大数据时代的到来,审计人员还必须具备大数据思维。
2.信息技术应用。只有通过信息技术应用,建立信息化平台,才能及时收集信息,开展风险大数据计算和分析,对量化风险模型和指标进行测试、优化和升级。没有信息化平台就不能进行大数据分析,不能及时获得预警信息。毫不夸张地说,主要靠手工、半手工运行的风险预警系统很可能成为摆设。风险预警信息发挥作用的第一要务就是及时性。而且,只有通过信息技术应用,让风险预警系统能够在线上实时运行,才能获得第一手的资料,也才不会让审计人员花费大量的时间去分析出过时的数据信息。
四、形式上的内部审计风险预警体系也能发挥作用
应该说,很多已建立的内部审计风险预警体系并不能发挥预期作用。但是,内部审计风险预警体系既是一个方法论,也是对历史数据、信息的归纳总结。通过建立内部审计风险预警体系,通过对该体系的不断完善,内部审计人员能够对风险有深刻地认识,也能在风险的识别和评估上积累经验,还能促进信息技术的应用和信息化平台的升级。
原文曾发布于2019年10月。
