内部审计与大数据风控的结合模式

摘要：随着现代企业理论的持续完善，内审、风控的内涵不断延伸，保证性与效率性既是发展的关键点，也是问题的集中点。本文从内审、风控的关联及差异出发，结合大数据审计与大数据风控的推广，以“提效率、优模式、控全局、把重点”为主导，克服模型、系统的固有局限，打造“运转高效、定位精准”的内审机制，从而建立信息时代的新型风控体系，真正发挥其在企业经营管理中的关键作用。

关键词：内部审计；风险管控；大数据；流程再造

风险管理作为企业生存及发展过程中的重要管控手段，既包括法律、政治、经济等外部风险，也包括战略、财务、经营等内部风险；内部控制则以“经营管理合法合规、资产安全、财务报告及信息真实完整”为目标。二者在目标及理念上具有一定程度的重合性，均包含内部风险及部分外部风险的的防控。伴随时展，内部审计逐步突破监督功能的局限，涵盖业务、财务、绩效、风险、经营优化等方方面面，以“公司治理”及“价值增值”为新的落脚点。内审、风控“全领域覆盖”的要求日益提高，流程、措施的叠加与业务效率性的矛盾也愈发明显。运用大数据技术，有效地将内审与风控结合起来，减少管控工序重叠，从而去除冗余，解决“技术性”效率问题；在流程再造与业务繁琐的矛盾中，建立科学的调控体系，坚持“问题导向、抓大放小”，核定任务关键点，解决“艺术性”效率问题。唯有“科学、高效、融合、精炼”，才能符合时代要求，实现内审水平、风控能力的转型提升，形成“1+1大于2”的结合优势。

一、内部审计与风险管控的常见模式

(一)内部审计常见模式

内部审计通常依据不同审计类型(财务审计、基建审计、内控审计、绩效审计、责任审计等)，确定审计侧重及计划，针对审计要点，采取抽样技术，编制审计底稿，经过反复沟通，最终形成内部审计报告。

(二)风险管控常见模式

风险管理体系的构建与企业战略密切相关，通常在对内外部环境进行充分分析的基础上，确定相关目标及风险容量，进行风险识别、评估、应对、控制等一系列活动。《企业风险管理-整合框架》与《内部控制-整体框架》相比，强化了对公司的使命、愿景及整体管理体系协同的响应要求。从外延来看，风险管理加强了对外部环境及形势变化带来的风险与机遇的关注，涵盖了“机会”这一正面潜在事项。由外部环境变化带来的应变性、竞争性、风险性需求，直接影响了企业风险管理体系的构建。从内涵来看，风险管理增加了“组合”观，引入了复合风险的角度，相应的进行复合风险评估要素的识别及风险管理体系的协同。这就使内部控制的定位逐渐转变为风险管理的组成部分，与风险管控中的“风险内控”形成高度重合。

二、内部审计与风险管控的结合模式

(一)关联与差异

风险管控中问题的出现，表现为内部风险管控的失控与外部风险管控的失效。内部审计所反映的问题主要集中于内控制度、管理机制及效益性、财务合规性、法律风险等，对外部风险带来的影响仅体现在“合规合法”上，且强调的是“问题挖掘”，很少涉及“机遇创造”。风险管控与之相较，所含“外部风险”范围更广、更全面，对不确定风险和机会风险也关注更多。

(二)结合点划分

财务审计、基建审计、内控审计、绩效审计、责任审计等各类审计，具有一定交叉性，专项审计中也会存在其他类别的问题提示，只是各自的侧重点有所不同。内控审计作为专项审计，本身就是内部控制评价的重要手段；而其他各类审计中所反映的问题，也可以打破类型维度，直接对应内控需求及流程再造；未能在内控体系中涵盖的问题，可以直接关联风控体系中相应的风险维度。

三、大数据审计与大数据风控

(一)内审与风控的“大数据”关联结合风控体系的构建，按“分公司、产业、单位/部门”建立相应的风险管理信息系统，将具备转化条件的“描述性标准”转化为“量化标准”，对其中可量化的风险点设定风险指标，如：将“不发生逾期应收款项”设定为“逾期应收款项”风险指标为“0”。在此基础上，将审计信息系统与风险管理系统对接，审计任务设定时，筛选出所含与风控项目重合的任务清单，在风控系统中抓取风控指标；审计结束时，直接将上述项目的审计结果体现为风险指标的完成情况，并在两个系统中均可列示完整的项目清单及完成情况。实际数据的获取可以分为系统取数及人工录入，初始数据可对接ERP系统直接引用，调整数据由审计人员进行输入或者设定调整路径进行引用。

(二)审计信息库与风险数据库

鉴于绝大多数风险项目均有相对完整、成熟的解决方案及经验可参考，在风险数据库中，可针对风险指标的偏离程度，预先设定其反应的问题提示及重要程度，并根据专家经验及相关制度，建立标准建议库；部分内控问题的反映，可以直接对应流程再造项目进行传递。这就形成了“定性与定量”相结合的信息系统，针对风险指标的完成情况，系统可自动出具“标准风险报告”。审计项目与风险指标重叠的部分，可以自动引用相关的风险报告。在此基础上，结合审计过程中发现的，无法量化的问题或隐性问题、系统性问题，进一步明确自动报告的局限性，并加以完善；另外，因各个专项审计的主题不同、系统性问题的导向不同，需要因地制宜，建立相匹配的专项问题关联体系，形成专项报告。由此可见，内审与风控的“大数据”结合模式为：首先，需要建立科学且完善的风险管理系统，并在其中筛选出“内部控制”项目，形成子系统，关联流程再造信息库：其次，在风险管理系统中，明确各类风险指标，审计任务及完成情况，与之建立关联比对：最后，审计结果的反馈，可对应风险信息库自动出具的“标准报告”，并结合隐性问题、系统性问题，进行优化，出具专项审计报告。

四、风险预警与流程再造

(一)风险预警与风险提示

在经济形势变化迅速的时代背景下，风险预警及风险提示对企业意义重大，信息系统在预警方面的效率性及准确性显得尤为重要。风控预警可根据内审推送的风险指标完成情况及专门风险评价工作结果，结合风险指标偏离的程度，针对不同时期需重点关注的风险点，建立预警项目子系统，进行实时监控，并设立“黄线”及“红线”标准。另外，获取外部信息，在不同时期，对环境变化带来的“危险性”、“机遇点”给予提示，也是不容忽视的风控工作。

(二)流程再造的“效率性”

随着各类审计及评价信息的反馈，对流程完善的需求日益增多。如何界定流程再造的必要性，构建合理的流程再造机制，成为解决风控效果与业务效率之间矛盾的关键问题。一方面，整合审计和风控报告，梳理同质性项目，定期集中反馈并评估流程再造的必要性；另一方面，针对流程再造的需求点，充分核定其存在范围、影响大小及改造价值，并结合对业务效率的影响，评估其再造效益性。唯有坚持“问题导向、效益优化”，才能构建合理的流程再造机制，实现其真正价值和作用。综上所述，大数据时代的到来，将内审与风控的高度结合变成了可能。构建“科学”的风控体系，形成“高效”的运转机制，树立“融合”的规划理念，打造“精炼”的管理流程，终将引领企业风控不断在螺旋式提升中优化重塑，以响应时展的全新要求。

参考文献：

[1]张孝昆.大数据风控[M].北京：机械工业出版社，2017：1–215.

[2]上海国家会计学院.企业风险管理[M].北京：经济科学出版社，2011：1–459.

[3]上海国家会计学院.内部控制与内部审计[M].北京：经济科学出版社，2011：1–389.

作者:宋晓倩 单位:兖矿集团有限公司