马奎 胡锴 张平 吴宝剑 蒲臻诣 陈功 李小卫

[摘要]为加强企业安全体系和能力建设，强化风险预警、风险防控，中国移动四川公司充分结合审计实践工作，探索构建基于“3D、4H、5W”的智慧风险防控图谱体系，促进企业在数智化转型和高质量发展进程中防范和化解各种风险，守住公司不发生重大风险的底线，切实发挥内部审计护航企业安全健康发展的作用。

[关键词]风险防范   三线模型   四化赋能   五位一体   图谱构建

一、研究背景

2022年中央经济工作会议明确指出，当前我国经济恢复的基础尚不牢固，需求收缩、供给冲击、预期转弱三重压力仍然较大，外部环境动荡不安，给我国经济带来的影响加深。作为中央企业内部审计省属机构，中国移动通信集团四川有限公司（以下简称“中国移动四川公司”）内审部坚持统筹发展和安全，在助力推进企业高质量发展和数智化转型事业发展的同时，注重堵漏洞、强弱项，下好先手棋、打好主动仗，不断强化公司安全体系和能力建设，加强安全风险预警，防范化解各类风险和挑战，通过内部审计将健康发展理念贯穿公司生产经营发展各领域和全过程。基于这些任务和目标，中国移动四川公司探索研究了基于“3D、4H、5W”的智慧风险防控图谱体系，并将该方法和模型在企业安全健康发展中进行了具体应用和实践。

二、智慧风险图谱方法概述

围绕通过内部审计促进公司安全体系和能力建设的目标，中国移动四川公司着力构建基于“三线模型”（原三道防线，简称3D）、“四化赋能”（简称4H）、“五位一体”（简称5W）的智慧风险防控图谱体系（如图1所示）。通过全面深化三线模型理论，以数据化、云化、智能化、线上化“四化”赋能，将经营业绩真实性审计、财务业务专项审计、信息技术和安全审计、企业领导人员经济责任审计、数据异常监控预警进行整合，五位一体生成全业务、全流程、全要素风险因子（Risk factor，简称R因子），并基于R因子和千亿级的云化数据，智慧构建全息风险防控图谱，对企业生产经营过程中存在的风险和问题进行智能化监控和精准画像，筑牢企业发展中风险预警防火墙；同时，通过线上确认、审计闭环、整改销号等，塑造高效审计线上体系，确保风险化解，打造守护企业健康发展的立体动态防护网。

三、预期目标和研究意义

（一）预期目标：可视构建，图观全局

按照“线上绘图，线下核实，无缝衔接”的审计方法和模式，采用“3D、4H、5W”風险防控图谱模型，依托企业数字化智慧审计体系，根据R因子进行分区域、分业务、分种类多维多层级风险图谱信息流分解，本方法构建关键风险信息流，科学分析、研判地域和业务领域风险，按照风险可能造成的后果，将风险由高到低依次划分为7个等级，并标记七色标签，同时根据风险信息流（R因子）的量级，将总体业务和地域维度划分为从低到高7个风险等级，最终构建全局多维风险图谱，实现风险信息可视化查询和管理、风险精准性整改和化解。图谱中风险等级划分原理如图2所示。

（二）研究意义：精准定位，差异管控

构建审计风险防控图谱体系，分级诊断，摸清底数，强化对重要业务领域和关键业务环节的实时监控，在企业发展过程中可以实现对各类安全风险的电子化、智慧化监督管理，实现风险点自动差异化查询、展示、评估。在事前和事中环节，可以对企业各级管理者进行风险及时预警，事后环节，可以推动举一反三的自查整改。精细服务管理层、风险预警运营层、全面支撑执行层，满足企业各层级管理人员对风险防控的差异化需求，指导并督促相关单位完善生产经营、市场业务、财务管理、基础管理、信息安全链条等方面的管控，确保企业发展过程中各类安全风险及时化解。同时，在此过程中利用人工智能和机器学习，不断优化R因子，迭代推理，不仅强化了审计融智建设，还可通过智能联动与可视化展示，实现各重点风险的全面监控和差异化管控。

四、具体内容及研究方法

（一）三线（3D）理论及应用

国际内部审计师协会（IIA）于2020年7月正式发布全新治理模型——“三线模型”（如图3所示）。新三线模型采用了基于“原则”的呈现方式，没有局限于风险管理，而是进一步将关注范围拓展到了组织整体治理。第一线是组织为客户提供产品和/或服务的前沿职能部门，第二线的职能部门负责协助开展风险管理工作，第三线的内部审计负责为组织治理和风险管理工作的适当性和有效性提供独立且客观的确认和咨询。企业面临风险不能一味的“防”，还需要将角色前置，要从单一“防线”转变到立体、攻防一体的“价值网”。内部审计机构需要与第一、二线业务部门之间进行充分的沟通协调、相互协作，构建基于智慧审计风险防控图谱体系，在规范的前提下，简洁、高效地支撑一线“打粮食”，充当为企业健康发展保驾护航的“卫士”“医士”和“谋士”。

（二）四化（4H）应用及研究

风险识别是内部风险控制的前提和基础，识别的准确与否决定内部风险控制效果的好坏。为了保证风险识别的准确，必须进行全面系统的调查分析，将风险进行综合归类，揭示其性质、类型及后果。通过数据先行、审计上云、智能审计、线上管理等方式消除或减少风险事件发生的可能性，或减少风险事件发生时造成的损失。基于“数据化、云化、智能化、线上化”四化赋能方法对企业生产经营过程中各类风险进行全业务、全流程、全要素风控管理。

1.第一步是数据化。基于企业千亿级的生产经营和基础数据，持续扩展业务域、管理域、运营域多维高价值数据源，打造“全方位、多样性、多维度”三域数据汇聚平台。创新完善四级审计数据标签体系，通过审计源数据加工成数据模型，数据模型通过审计算法生成基础标签，通过模型算法或基础标签组合生成风险标签，实现全域数据审计风险分析。

2.第二步是云化。推进审计项目云化应用，实现一点访问分场景远程服务，强化审计云化能力、丰富云端审计产品、完善云数据仓库，增强系统智能调用云端计算能力，实现审计云桌面、云网盘、云服务器等对全域的覆盖及服务支撑。

3.第三步是智能化。建强智慧审计中台，丰富数据探针模型，持续完善和优化智慧审计方法论，构建及时发现、及时预警、及时处理的智慧风控体系，实现事前、事中动态风险智能扫描，实现系统自动风险预警提示，助力各级管理者及时了解其分管领域的风险分布情况。

4.第四步是线上化。构建审计质量管理、审计工具运用、审计整改闭环管理、智能化审计探索的融合信息化平台，完善审计作业电子流程，实现“线上发起、线上确认、发布报告、整改落实、档案归档”的线上闭环管理，推进审计流程全域线上化运行，全面提升审计质量和审计效率。

（三）五位一体（5W）应用及研究

内部审计应建立一套系统、规范的方法来评价和提升风险管理及控制、治理过程的效果。通过经营业绩真实性审计、财务业务专项审计、信息技术和安全审计、企业领导人员经济责任审计、数据异常监控预警，五位一体构建全域风险评估模型，量化测评已识别风险带来的影响或损失的可能程度。主要任务包括识别评估对象面临的各类风险，结合R因子的影响程度和具体量级以及企业承受风险的能力，清楚了解不同类型的风险对企业产生的影响，判断其重要性，确定风险消减和控制优先等级，按照轻重缓急的顺序，实现对个人、家庭、政企等重点业务（简称CHBN业务）和高风险领域的全评估，最大程度提高风险防控效率。

1.经营业绩真实性审计。内部审计应揭露公司生产经营和发展中存在的问题和风险，提出完善的整改措施，把促进公司高质量发展作为风险防控的最高目标。针对考核期内重点关注的收入、客户和CHBN业务等与经营业绩考核指标相关的经营和财务数据、系统记录及管理资料，审核分析其实施过程和完成结果的真实性、合规性。聚焦重点风险领域，围绕经营业绩指标建立多维度数据模型和风险探针，揭示收入、净利润、市场业务等共计12类风险和问题，并将审计结果固化到系统进行全面监控，从而推进企业经营风险掌控能力建设。经营风险掌控能力R因子如表1所示。

2.财务业务专项审计。为贯彻落实价值经营理念，进行覆盖全业务、全流程、全要素监督的业务专项审计尤其重要。综合运用智慧中台、大数据技术、“远程全量+重点核实”方法，在收入保障稽核、网络和家庭宽带费用降本增效等领域开展专项审计，同时对高风险领域开展审计回头看、审计跟进和持续数据监控等进行闭环管理。收入保障稽核项目运用贯穿八大运营环节的风险控制矩阵，制定面向全业务、覆盖43个子流程的风险扫描模型，定期进行全方位扫描，提升精准定位风险的能力，发现家庭宽带优惠活动叠加形成重復优惠等11个收入流失及风险；网络和家庭宽带费用降本增效项目发现同一油机同一时间在不同地点重复发电和报销、同一站点同一类隐患重复派单等问题。同时协同业务部门推动全省立查立改，堵塞风险漏洞，提升运营管理水平。营收支出风险控制能力风险因子如表2所示。

3.信息技术和安全审计。网络信息安全是国家重要战略，也是通信行业企业的命脉，企业信息安全管理的基础手段之一是实施信息安全审计。随着移动互联网、云计算、大数据、智能化等数字技术应用不断拓展，企业信息安全风险将持续扩大。通信运营商掌握了大量客户基础信息，每年需定期组织客户信息保护和信息安全技术手段管控审计。在数据模型探针基础上，对客户信息系统和手机APP账号、生命周期、对外合作、日志、金库、APP隐私政策、APP功能设计等矩阵共计55个风险因子的合规性、健全性及有效性进行核查，发现部分信息系统和APP存在基础管理欠缺、涉敏权限操作不规范、涉敏权限管控场景缺失、隐私政策和功能设计未达标准等，从而加强了客户信息保护内控管理，规避和防范了重大网络和信息安全风险。信息安全风险管控能力风险因子如表3所示。

4.企业领导人员经济责任审计。为更好发挥审计在企业内部监督体系中的重要作用，促进权力规范运行，促进反腐倡廉，推进公司治理能力不断提升，中国移动四川公司聚焦党和国家重大决策部署、公司重要战略和高质量发展转型目标，建立了统一的经济责任审计程序和方法，探索开展了“多维度风险评价指标体系”。主要从任期内经营指标排名和变化、收入增幅、净利润增幅、移动客户增长、党和国家重大经济政策和决策部署的落实情况、重大经济事项的决策执行和效果、内部控制建设和执行、企业财务真实合法效益和风险管控、党风廉政建设责任和遵守廉洁从业规定等方面构建风险评价体系，做到准确定性、客观评价、精准“画像”。企业领导人员履职担责风险防控能力因子如表4所示。

5.数据异常监控预警。在重点业务领域事前和事中环节的自动风险预警，全面覆盖CHBN业务和高风险领域，对生产经营领域中全业务、全流程、全要素的数据异常情况进行实时或准实时监控，并将发现的异常业务数据和有关情况进行核实通报，实现对业务运营风险及时发现、及时预警并推动及时核查整改，从而规避重大业务风险的发生。聚焦重点风险领域，逐步实现个人业务、家庭业务、集团业务、基础管理、信息安全和增收节支等领域的全覆盖；持续丰富审计监控模型，建立产品资费、客户异常欠费、宽带异常发展、收入及客户账户异常、业务异常管理、专线异常发展等监控专题。业务风险掌控能力风险因子如表5所示。

五、智慧风险防控图谱体系的构建及应用

智慧风险防控图谱旨在建立健全全省风险防控全景视图体系，实现在企业发展中的风险辨识、评估、分析、呈现、管控等全流程风险刻画。全息智慧风险图谱是基于时间、地域、业务和风险等级等信息组建的多维全景风险模型，包含业务风险图谱和地域风险图谱，通过智慧审计信息化系统，以GIS（地理信息系统）技术采用三维立体方式直观展示，可视化呈现企业各业务领域和地域已产生和潜在的风险。

（一）智慧风险防控图谱构成

智慧风险防控图谱中的风险评估基于5W项目涉及审计矩阵，定位审计已覆盖的业务和信息流程，为企业运营风险防控提供风险覆盖“热力图”。现阶段已涵盖企业26个业务流程、146个子业务流程，由企业内部审计定期负责组织实施，汇聚风险和审计结果源数据，形成R因子风险矩阵表，并组建风险数据库，生成重点业务领域和全省地域风险“一张图”，使企业风险预警和防控工作有的放矢，为公司业务发展和风险有效整改化解、科学决策提供参考。

（二）图谱构建规则

1.业务领域风险图构建。各业务领域风险点得分为基于5W的各模型点风险值之和，每个模型评分采取红线分值（可为异常占比、绝对值数量、异常单位个数）+异常波动分值2个参数。业务维度可视化风险图谱配置如图4所示。

得分计算公式：

其中，为红黄等级阈值，为各业务领域模型数量，为风险因子值，为风险分值权重，为业务领域风险因子值范围，取值区间为[1，26]。

2.GIS地域风险图谱构建。各地域之间的风险评分排序采用正态分布方式，对各基于5W的模型得分进行排名，高风险为得分前20%的单位（向上取整），中风险为中间20%—80%的单位，低风险为得分后20%的单位（向下取整）。

评分计算公式：

其中，、为风险分值权重，风险因子分值，、为分支机构取值，范围区间为[1，22]，为红黄等级阈值。

风险评价体系：基于本文前述5W中R因子构建得分模型生成全景风险因子视图，如表6所示。

具体得分规则及图谱：

（1）大于等于红线阈值：异常占比、绝对值或分值机构数量综合评价，达到红线R值阈值，则得80分，超过则在[80，100]区间取线性得分。

（2）大于等于黄线阈值、小于红线阈值：异常占比、绝对值或分值机构数量综合评价，达到黄线R值阈值，得60分，超过则在[60，80）区间取线性得分。

（3）低于黄线阈值：异常占比、绝对值或分值机构数量综合评价，未达到黄线R值阈值，在[0，60）区间取线性得分。

（4）基于上述R因子图谱评分，构建企业内部风险可视化图谱，其中R因子根据审计项目覆盖、数据模型和市场业务发展情况，动态迭代更新。根据评分构建图谱如图5所示。

六、成效及展望

（一）项目成效

1.风险可视化管控。利用经营业绩审计、财务专项审计、信息技术审计、经济责任审计、大数据人工智能审计，即本文所述五大风险因子，以智慧化审计中台为载体，拓展覆盖全省、全领域、全流程远程监控模型网络，丰富审计数据资产，提升审计信息远端触达能力以及远程风险定位、远程审计画像能力，每月定期呈现209个县公司多维风险视图、6大领域智能风险评估、在线生成3200余份风险评估和画像报告，持续探索风险展示和防范新思路、新方法，塑造模式新、覆盖广、挖掘深、预警快的企业内部风险防控体系。

2.应用成效显著。中国移动四川公司坚持审计数智化转型思路，以人工智能、大数据、云平台等为依托，持续完善和优化企业内部风险防控体系，以更加高效创新的方法为审计赋能。

着力提升风险防控能力。通过“图观全局”的可视化呈现及差异化防范措施，实现重点业务和高风险领域100%覆盖，7×24小时持续实时监控，自动短信预警并出具审计报告，全年共计监控26大类500余个风险源信息，有效防范了企业在经营发展中的各类风险。

着力提升风险防控成果。规避各类风险金额同比提升34.5%，涉及异常欠费、跨集团统付、家庭宽带、专线业务、滞库存货等10个业务领域，有效化解273个风险点，推动完善企业制度22项、改进业务流程20项、优化系统控制133项，促进企业健康安全发展。

着力风险防控效能提升。通过云化数据、风险呈现等，风险防控能力提升效果显著，为全省审计项目提供超55%的系统数据支撑，提供40%的共性问题风险线索，同时缩短现场审计时间45%，大幅减轻分公司迎审负担。

（二）推广意义

基于智慧审计风险图谱的企业内部风险防控体系是中国移动四川公司通过内部审计服务企业健康发展的有益探索。凭借智慧风险防控图谱体系可以构建多维风险识别，风险呈现地图化；通过深耕审计智能应用，实现风险监控实时化；通过广泛部署审计探针，实现风险覆盖全面化；通过线上审计多维协同，实现风险整改闭环化。此次探索不仅加强了企业安全体系建设，健全了公司安全审查和监管制度，同时强化了企業安全风险预警、防控、化解、监控等机制和能力建设，有效识别企业在“三重压力”下面临的新风险、新挑战，拓展审计视角、创新审计思路和方式方法，找到防范和化解风险的方法措施，对防范企业内部重大风险有着重要作用和意义。

（作者单位：中国移动通信集团四川有限公司，邮政编码：610041，电子邮件：jkb.lixiaowei@sc.chinamobile.com）

主要参考文献

[1]毕秀玲，郭骏超.增值型内部审计运行模式构建：基于IIA“价值模型”的视角[J].南京审计大学学报， 2016（1）：50-58

[2]兰演明.风控管理在企业追求高质量发展中的应用[J].中国内部审计， 2020（6）：91-93

[3]潘红英.关于企业风险地图形成的研究[J].中国总会计师， 2018（4）：76-78

[4]张雪芹，基于微应用+大数据分析研究智慧审计模型[J].中国产经， 2020（14）：35-36

[5]周诗琪.基于区块链技术的企业智慧审计平台架构[J].商场现代化， 2019（24）：81-82