宋曉倩 兗礦集團有限公司

風險管理作為企業(yè)生存及發(fā)展過程中的重要管控手段，既包括法律、政治、經濟等外部風險，也包括戰(zhàn)略、財務、經營等內部風險；內部控制則以“經營管理合法合規(guī)、資產安全、財務報告及信息真實完整”為目標。二者在目標及理念上具有一定程度的重合性，均包含內部風險及部分外部風險的的防控。伴隨時代發(fā)展，內部審計逐步突破監(jiān)督功能的局限，涵蓋業(yè)務、財務、績效、風險、經營優(yōu)化等方方面面，以“公司治理”及“價值增值”為新的落腳點。內審、風控“全領域覆蓋”的要求日益提高，流程、措施的疊加與業(yè)務效率性的矛盾也愈發(fā)明顯。運用大數據技術，有效地將內審與風控結合起來，減少管控工序重疊，從而去除冗余，解決“技術性”效率問題；在流程再造與業(yè)務繁瑣的矛盾中，建立科學的調控體系，堅持“問題導向、抓大放小”，核定任務關鍵點，解決“藝術性”效率問題。唯有“科學、高效、融合、精煉”，才能符合時代要求，實現內審水平、風控能力的轉型提升，形成“1+1大于2”的結合優(yōu)勢。

一、內部審計與風險管控的常見模式

(一)內部審計常見模式

內部審計通常依據不同審計類型(財務審計、基建審計、內控審計、績效審計、責任審計等)，確定審計側重及計劃，針對審計要點，采取抽樣技術，編制審計底稿，經過反復溝通，最終形成內部審計報告。

(二)風險管控常見模式

風險管理體系的構建與企業(yè)戰(zhàn)略密切相關，通常在對內外部環(huán)境進行充分分析的基礎上，確定相關目標及風險容量，進行風險識別、評估、應對、控制等一系列活動?！镀髽I(yè)風險管理-整合框架》與《內部控制-整體框架》相比，強化了對公司的使命、愿景及整體管理體系協同的響應要求。從外延來看，風險管理加強了對外部環(huán)境及形勢變化帶來的風險與機遇的關注，涵蓋了“機會”這一正面潛在事項。由外部環(huán)境變化帶來的應變性、競爭性、風險性需求，直接影響了企業(yè)風險管理體系的構建。從內涵來看，風險管理增加了“組合”觀，引入了復合風險的角度，相應的進行復合風險評估要素的識別及風險管理體系的協同。這就使內部控制的定位逐漸轉變?yōu)轱L險管理的組成部分，與風險管控中的“風險內控”形成高度重合。

二、內部審計與風險管控的結合模式

(一)關聯與差異

風險管控中問題的出現，表現為內部風險管控的失控與外部風險管控的失效。內部審計所反映的問題主要集中于內控制度、管理機制及效益性、財務合規(guī)性、法律風險等，對外部風險帶來的影響僅體現在“合規(guī)合法”上，且強調的是“問題挖掘”，很少涉及“機遇創(chuàng)造”。風險管控與之相較，所含“外部風險”范圍更廣、更全面，對不確定風險和機會風險也關注更多。

(二)結合點劃分

財務審計、基建審計、內控審計、績效審計、責任審計等各類審計，具有一定交叉性，專項審計中也會存在其他類別的問題提示，只是各自的側重點有所不同。內控審計作為專項審計，本身就是內部控制評價的重要手段；而其他各類審計中所反映的問題，也可以打破類型維度，直接對應內控需求及流程再造；未能在內控體系中涵蓋的問題，可以直接關聯風控體系中相應的風險維度。

三、大數據審計與大數據風控

(一)內審與風控的“大數據”關聯

結合風控體系的構建，按“分公司、產業(yè)、單位/部門”建立相應的風險管理信息系統(tǒng)，將具備轉化條件的“描述性標準”轉化為“量化標準”，對其中可量化的風險點設定風險指標，如：將“不發(fā)生逾期應收款項”設定為“逾期應收款項”風險指標為“0”。在此基礎上，將審計信息系統(tǒng)與風險管理系統(tǒng)對接，審計任務設定時，篩選出所含與風控項目重合的任務清單，在風控系統(tǒng)中抓取風控指標；審計結束時，直接將上述項目的審計結果體現為風險指標的完成情況，并在兩個系統(tǒng)中均可列示完整的項目清單及完成情況。

實際數據的獲取可以分為系統(tǒng)取數及人工錄入，初始數據可對接ERP系統(tǒng)直接引用，調整數據由審計人員進行輸入或者設定調整路徑進行引用。

(二)審計信息庫與風險數據庫

鑒于絕大多數風險項目均有相對完整、成熟的解決方案及經驗可參考，在風險數據庫中，可針對風險指標的偏離程度，預先設定其反應的問題提示及重要程度，并根據專家經驗及相關制度，建立標準建議庫；部分內控問題的反映，可以直接對應流程再造項目進行傳遞。這就形成了“定性與定量”相結合的信息系統(tǒng)，針對風險指標的完成情況，系統(tǒng)可自動出具“標準風險報告”。

審計項目與風險指標重疊的部分，可以自動引用相關的風險報告。在此基礎上，結合審計過程中發(fā)現的，無法量化的問題或隱性問題、系統(tǒng)性問題，進一步明確自動報告的局限性，并加以完善；另外，因各個專項審計的主題不同、系統(tǒng)性問題的導向不同，需要因地制宜，建立相匹配的專項問題關聯體系，形成專項報告。

由此可見，內審與風控的“大數據”結合模式為：首先，需要建立科學且完善的風險管理系統(tǒng)，并在其中篩選出“內部控制”項目，形成子系統(tǒng)，關聯流程再造信息庫：其次，在風險管理系統(tǒng)中，明確各類風險指標，審計任務及完成情況，與之建立關聯比對：最后，審計結果的反饋，可對應風險信息庫自動出具的“標準報告”，并結合隱性問題、系統(tǒng)性問題，進行優(yōu)化，出具專項審計報告。

四、風險預警與流程再造

(一)風險預警與風險提示

在經濟形勢變化迅速的時代背景下，風險預警及風險提示對企業(yè)意義重大，信息系統(tǒng)在預警方面的效率性及準確性顯得尤為重要。風控預警可根據內審推送的風險指標完成情況及專門風險評價工作結果，結合風險指標偏離的程度，針對不同時期需重點關注的風險點，建立預警項目子系統(tǒng)，進行實時監(jiān)控，并設立“黃線”及“紅線”標準。另外，獲取外部信息，在不同時期，對環(huán)境變化帶來的“危險性”、“機遇點”給予提示，也是不容忽視的風控工作。

(二)流程再造的“效率性”

隨著各類審計及評價信息的反饋，對流程完善的需求日益增多。如何界定流程再造的必要性，構建合理的流程再造機制，成為解決風控效果與業(yè)務效率之間矛盾的關鍵問題。一方面，整合審計和風控報告，梳理同質性項目，定期集中反饋并評估流程再造的必要性；另一方面，針對流程再造的需求點，充分核定其存在范圍、影響大小及改造價值，并結合對業(yè)務效率的影響，評估其再造效益性。唯有堅持“問題導向、效益優(yōu)化”，才能構建合理的流程再造機制，實現其真正價值和作用。

綜上所述，大數據時代的到來，將內審與風控的高度結合變成了可能。構建“科學”的風控體系，形成“高效”的運轉機制，樹立“融合”的規(guī)劃理念，打造“精煉”的管理流程，終將引領企業(yè)風控不斷在螺旋式提升中優(yōu)化重塑，以響應時代發(fā)展的全新要求。