基于新三线模型的业审融合数字化转型架构研究
2024-02-18王志强
王志强
[摘要]数字化时代,企业内部审计由于创新不足等原因引发诸多问题,如风险识别不准确、审计覆盖不全面、重大风险事件不能及时发现和有效应对、对业务的支撑不足等。针对上述问题和挑战,本文以国际内部审计师协会新三线模型为基础,提出业审融合的数字化体系架构方案,以期为企业内部审计数字化转型提供借鉴参考。
[关键词]新三线模型 内部审计 业审融合 数字化转型 架构设计
一、引言
新的历史时期,在以习近平同志为核心的党中央坚强领导下,我國审计事业取得长足进步,持续为国民经济的高效健康发展保驾护航。在数字化、人工智能蓬勃发展的今天,审计工作越来越依赖信息系统和数字化应用。2021年,中央审计委员会办公室、审计署印发的《“十四五”国家审计工作发展规划》提出要“坚持科技强审”,并在“提升信息化支撑业务能力”“提升数据管理水平”以及“加强数据资源分析利用”等方面提出具体要求,高度结合了当前国家大力发展数字经济、推动企业数字化转型的大趋势。
在企业数字化转型和数智化审计背景下,当前审计工作仍存在内部审计与业务管理及风险管理不连通、不协同,内部审计信息化基础和系统不健全,数据挖掘和大数据审计程度不高,审计创新和价值提升不显著等问题。对于企业内部审计而言,如何贯彻落实做实研究型审计的要求,明确自身定位,总结业界实践经验,把握大局、关注全局、统筹引领,不断提升内部审计工作水平,实现内部审计的数字化转型,发挥内部审计对公司总体战略和经营目标的持续增值作用,成为当前亟待研究的课题。
二、企业内部审计职能定位和当前存在的问题
内部审计在各组织的职能定位不尽相同。参照2018年《审计署关于内部审计工作的规定》(审计署令第11号),内部审计是指对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议,以促进单位完善治理、实现目标的活动。可见,内部审计职能定位的职责范围很广,并且存在外延的连续变化(郭心瑾,2021)。业务活动、财务收支、内部控制、风险管理都可以作为内部审计评价和监督的工作范围。但与此同时,内部控制、风险管理和内部审计一样也是企业全面风险管理体系的有机组成部分。各风控职能之间存在交叉或关联关系,若存在企业风险管理整体资源的利用效率不高,甚至会出现处理意见不一致、企业风控管理效率和效果降低、企业经营中出现的重大风险事件不能及时发现和有效应对等问题,不利于协同支撑企业战略和经营目标的实现。
究其原因,总结为以下三个方面。第一,我国企业内部普遍存在对内部控制、风险管理、内部审计等风控相关职能的定位和界限模糊,分工和目标不明确的问题。内部审计对企业经营和管理的审计不够全面、系统、及时、准确、有效,审计与各职能间不能形成统筹一致的业审融合格局和风险责任承担机制。第二,内部审计与业务部门之间存在沟通途径和流程不畅通、不协调的问题,影响内部审计的效率和效果。这是因为,内部审计和业务部门之间的正式沟通协调在很大程度上依赖信息系统的支持,而企业内部审计普遍存在信息化程度不高的问题。内部审计系统偏重于自身的审计作业系统,相对独立和封闭,缺少与业务系统、管理系统、风险内控等系统的互联互通,既不能实现对业务数据和风险信息的及时获取,并联动内部控制和风险管理职能部门提出统一解决方案,也不能实现审计建议和整改跟踪的有效衔接和闭环管理,审计执行效率较低、效果不突出。第三,有效的数字化和智能化审计工具缺乏或支持不足,不利于在审计资源有限的情况下全面覆盖重要领域、重大风险的深入审计和整改提升工作。在当前复杂的内外部环境和经济形势下,风险涉及领域复杂多元、风险暴露数量不断增多,沿用传统方式逐条确认风险事件已经不具有现实可行性,后续对大量确定的风险事件开展风险响应也存在极大障碍,而数字化系统目前无法对风险自动化识别并利用风险阈值对风险事件进行筛选,因此内部审计对信息化、数字化、自动化、智能化的需求在不断提升并且十分紧迫。
三、基于新三线模型的业审融合思路
为应对内部审计工作中的上述问题和挑战,新时期的内部审计工作应建立业审融合原则(秦言坡,2021),创建以内部审计为引领,以企业全部业务、全部数据和全面风险为出发点,融合拉通业务运营职能,以及内控、合规、风险管理等风控职能为一体的业审融合体系。通过系统的有效整合,更好地实现全员、全覆盖和全面性的风险管理,实现内部审计组织效能的最大化。
关于内部审计与业务、风险管理的融合拉通,在国际内部审计师协会(IIA)新三线模型(2020)体系中已有完整论述。基于新三线模型的业审融合就是针对第一线、第二线和第三线风险管理职能的整合,如图1所示。
根据新三线模型理论,第一线为各业务部门和业务单位,同时按照与业务的紧密度以及独立性原则,与业务紧密联系的财务控制、质量控制、生产安全等职能也作为第一线职能,承担相应风险管理职责。第一线在完成各项业务过程中,通过搭建风险管理的架构和流程,将风险管理工作嵌入业务过程,针对业务侧的风险实现自我控制,并向组织治理机构汇报。第二线为风险管理职能部门和董事会下设的风险管理委员会,一般将公司级风险管理、内部控制、合规遵循等作为第二线职能的工作范围。第二线提供指导性的风险管理专业知识,发挥支持和监督作用,并评估和报告企业风险管理的准确性和有效性。第三线为内部审计部门和董事会下设的审计委员会,通常将内部审计、纪检监察等作为第三线职能。第三线主要提供独立且客观的确认和咨询,推动企业完善风险管理工作。
风险管理不仅是风控部门和审计部门的职责,同样也是业务部门的职责,是企业内部全员共同参与的,内部审计工作与企业的内部控制、风险管理、业务管理之间存在紧密关联。新三线模型在强调内部审计独立性的同时,也说明了在将利益相关方的利益放在首位的前提下,内部审计与治理机构等各线沟通信息和相互配合的重要性。独立并不意味着孤立,在当前国内外政治经济形势错综复杂,企业经营管理存在严峻困难挑战的情况下,内部审计与风控、业务相关职能的多级联动和协同运作,对于提高企业的治理水平和战略协同能力,实现经营目标具有重要意义。当然,为了维护内部审计的相对独立性,消除业审融合带来的不利影响,也需要在机制运行层面建立独立性隔离的具体防范措施。内部审计应独立地进行风险评估、制订审计计划、开展审计项目、向治理层汇报审计结果等。同时,应当采取审计保密举措,加强系统保密、数据授权管理,遵循“知所必须”原则;对于沟通过程中的谈话内容和谈话笔录、审计底稿等加强保密意识宣贯,避免给项目开展和公司利益造成损失。
新三线模型强调风险管理的价值创造作用(刘栋,2022),企业通过业审有机融合并建立必要的隔离措施,可以提升一、二线风险管理工作效率和效果,同时保证第三线内部审计职能的相对独立性和有效性,一、二、三线共同完成風险管理在价值创造方面的整体目标和使命。
四、业审融合数字化转型的架构设计方案
以新三线模型为基础的业审融合体系实现了对风险的全面、全局管理。要实现业审融合体系的有效运行,在数字化时代,在企业高度依赖信息系统的今天,数字化解决方案是重要依托。
按照企业风险管理整合框架(COSO—ERM 2004),风险管理包含战略、经营、报告、合规等四个目标和内部环境(①)、目标设定(②)、事件识别(③)、风险评估(④)、风险应对(⑤)、控制活动(⑥)、信息与沟通(⑦)、监控(⑧)等八个要素。根据COSO框架和新三线模型,企业可以建立围绕一、二、三线系统的业审融合数字化架构,如图2所示,该架构同时给出了包含在业审融合体系中的系统功能模块与风险管理八要素之间的映射关系。
(一)第一线系统:实现对业务层面的风险自我管理和响应执行
第一线系统包含业务和财务系统、支撑管理决策的相关系统。第一线系统与业务生产和管理过程中的风险管理有关,主要处理面向产品、客户、财务等业务和管理中的风险事件。企业的治理架构、价值文化、战略定位等构成内部环境要素(①),内部环境影响整体风险管理框架的运行,影响企业中长期和年度经营目标的设定(②)以及企业的组织架构等。在支撑企业决策管理方面,相关系统主要包括组织人力、绩效、全面预算等系统,发挥资源调度和管理决策的作用。生产系统和财务系统主要处理业务生产流程和财务管理过程,收入、成本、费用的发生基于此类系统进行核算和报告。
针对第一线系统管控的风险,在业审融合数字化解决方案的处理机制下,首先要对风险进行捕获和识别,常见手段是通过在业务系统埋点获取风险事件(③)。系统埋点是一种通过在业务系统预设特定代码对用户行为数据进行采集、分析、处理以及采取进一步管理动作的计算机程序。该程序主要用于数据同步获取采集,也可以在发现问题后利用埋点立即进行拦截控制,或者提报人工研究后进一步采取干预措施,通过嵌入内控要求,实现对业务的事前预警、事中控制、事后监督。除系统埋点外,企业还可以在大数据和数字化处理技术支持下,通过异步的数据抽取(ETL)工具来获取有关业务和风险的系统数据,并整合到审计数据库中。虽然该种方式获取数据的实时性受到限制,但是具有大批大量取得数据的优势,根据风险分析的需要,数据获取的频次可以以天或周为周期,系统操作一般发生在夜间等闲时时段,对业务干扰和影响较小。此外,在现实的业务管理中,并非所有业务都通过系统化和信息化实现,也存在人工线下执行的业务管理活动,还有一种情况就是,虽然在系统上执行,但因数据未能实现结构化存储和传输而以人工方式提出需求或上报风险(③)的方式作为补充,这种情况亦归属ERM事件识别要素。
相应地,除了识别和上报风险事件之外,第一线系统还需要对风险分析和处理之后采取的措施进行响应,并通过内嵌在该系统中的业务控制活动(⑥)实现,或者通过线下人工方式进行动作管理或响应处理。第一线系统应结合企业实际和具体场景,针对经营数据、财务数据、管理层会议纪要、工作报告、合同资料等结构化或非结构化的数据,选用适当的埋点、抓取、模式识别、大数据、云计算、人工智能等数字化技术,进行多角度、多层面、多单位、多层级的收集、分析和处理,以实现高效快捷地识别、响应风险的管理目标。
(二)第二线系统:实现对公司层面风险的集中管控和专业支撑
第二线系统针对系统埋点、数据抽取、人工上报等方式获取的风险数据进行分类处置。从第一线系统到第二线系统进行数据传输的过程属于ERM框架的信息与沟通要素(⑦),当然风险管理的信息与沟通是双向的甚至网状的,存在于业审融合体系的三个条线系统的所有活动之间。
从第一线系统识别的风险事件归集和存储到业务和风险事件数据库,该类型数据库或称数据仓库是面向主题的,根据不同业务风险事件的类型或者主管部门的不同,划分为若干数据集市,如财务领域、销售领域、采购领域等风险数据集市。另外,该数据库具有集成性、稳定性、时变性的特征,数据存储后不随业务而变化,可以针对业务风险数据和事件长期保存、集中分析。由于保存了不同时间的数据切片,便于建立数据立方体,可以从不同维度对风险数据进行分析和建模。业务中与风险有关的数据,是风险事件的原材料,缺少风险建模过程的分析加工,就不能形成反映业务异常的风险事件。风险建模是基于事先定义的风险模型库中包含的风险模型对业务风险数据进行分析处理,并形成特定风险事件的过程。风险建模依赖数据库、统计学、数据分析、机器学习等技术,可极大提升风险事件识别的准确性,大大减少传统通过人工进行数据分析和判断的时间成本,有效拓宽风险事件识别产出的广度、提升成果质量。风险建模识别的风险事件以及通过人工方式补充上报的风险事件,需要在一定的风险分类库支持下的分类管理和进一步的风险评估(④)。由于单纯的自动化风险建模过程产生的风险事件可能存在误报或者漏报,风险事件的确认也不能仅仅以电子数据为依据进行判定,因此有必要通过人工分析、专业评估、资料检查、人员访谈等方式对风险事件进一步核实,即通过风险评估对风险建模形成的风险事件进一步进行人工审核。
根据分类的不同,风险评估的风险事件可以分别由不同职能或组别的专业岗位人员通过风险评估方法和工具进行定性或量化分析,以确认风险是否超出组织的风险容忍度,并评估在采取建议的风险应对措施后是否可以将剩余风险降低到可接受范畴,比如,战略风险事件和公司级的重大风险可由整体风险评估组进行评估并提出专业建议。运营风险、财务风险事件可由内控评价组参照内控手册进行进一步的分析处理,以推动内控缺陷整改,并通过内控质量报告对各单位历史数据进行横向或纵向对比和趋势分析。合规风险类型的风险事件一般涉及外部的法律法规,反映了经营中可能存在未遵从国家政策或行政法规的情形,因此应当引起高度重视。常见的法规形式包括企业财会法规、上市公司规则、工商行政监管、美国SOX法案、欧洲GDPR数据法规等。此类风险事件由专责的合规评估组进行日常合规检查、专业评估判断,并提出相应整改举措,企业应建立系统的合规案例资源库作为知识积累和引用参考。法务审查组主要处理公司日常经营管理过程中形成的与人事、商事、合同等有关的约定条款是否存在损害公司利益的问题,这类风险事件一般存在于公司与平等主体的自然人、法人之间。法务组处理的风险事件一方面来自风险模型通过系统自动识别的风险;另一方面,基于法务职能存在提供内部咨询服务的岗位性质,亦同时接收来自第一线业务单位的线下风险提报和审查需求并进行专业处理。
第二线系统的处理逻辑,是经过风险评估程序之后进入进一步的风险措施应对环节(⑤),即通过重大风险的整体风险应对举措、内控建议、合规和法务处理活动来实现对风险事件的积极管理。风险事件的应对举措和建议在系统层面归入风险应对措施和审计建议库,针对人员、制度、流程、系统等提出管理改进建议和处置举措,并推送至第一线系统,通过相关业务控制活动或经人工响应动作来落实整改。根据事前定义的岗位职责库,对相关建议和举措进行分类,结合销项管理制度,统计和跟进不同职能领域待整改处理事项。
第二线系统在数据和管理层面整合了相关风险管理活动,提高了数据共享、风险分析、响应措施的经济性、效率性和效果性。
(三)第三線系统:实现内部审计业务运行并保持与一、二线协同
第三线系统衔接第二线系统的专业风险管理支持职能和第一线系统的业务风险管理及整改执行职能,其目的是针对风险管理和内部控制工作的准确性和有效性,可以提供独立客观的确认、咨询和监控(⑧)。第三线系统针对第二线系统的风险事件库进行独立的审计分析,这一过程与第二线系统的风险评估过程是并行和分开的,体现了内部审计职能的独立性。在此过程中,内部审计将第二线系统处理的内控、合规、法务、治理等全面风险类型进行综合评估(审前分析),根据识别的重要事项和风险的不同,确立不同的常规或专项审计项目课题,进而通过审计作业系统,开展具体的审计检查测试。审计作业系统还包括审计发现库、审计方案库、缺陷跟踪库、审计制度库、案例成果库等。最终的审计问题发现和整改建议通过审计报告发布,并归至第二线系统的风险应对措施和审计建议库,进行统一归档和销项管理。
第三线系统也针对来自公司内部或外部的举报线索进行受理,纳入监察案件处理程序,进行独立的立案调查。审计审前分析输出的重要事项和风险中包含的舞弊事件同样可作为重要线索纳入监察立案的处理范围。监察立案的线索或事件经由单独的监察作业系统或者功能模块进行常规事务性管理,最终形成的对涉案人员的意见或管理机制的建议也统一纳入第二线系统进行跟进落实和整改处理。通常监察作业系统还包含针对企业党风廉政建设、纪检协同流程、廉政文化宣传、反腐工作总结等工作的信息化支持,以提高监察工作的全面性、系统性、针对性、严格性和有效性。
通过建立第三线内部审计系统,企业内部审计人员可以充分利用信息化管理、大数据和智能化分析技术,对业务总体的全量数据进行风险分析和建模,实现非现场或远程审计、连续审计、全量审计、可视化审计模式,并建立风险预警和响应机制,提升内部审计的工作效率和覆盖面,提升内部审计服务企业战略和绩效目标的价值贡献。
五、结语
以上关于业审融合的数字化架构涉及企业业务系统、生产系统、财务系统、管理决策和支撑系统、风险管理和审计业务系统、数据库和大数据分析平台等多重系统的管理和数据拉通,是一个完整的体系。新三线模型为审计与业务和风控的拉通、为内部审计的转型奠定了理论基础。内部审计数字化转型和信息化系统运行过程中,需要管理制度的支撑。内部审计制度方面,需要建立内部审计章程、操作流程、质量标准、审计程序等;业务协同制度方面,需要完善风险自查制度、审计配合规范、整改落实指引等。所有的制度流程和操作指引都必须适应系统的管控模式,建立运行保障机制。
构建以新三线模型为基础的创新型内部审计体系,适应新发展阶段,利用跨职能的一体化、协同化的信息平台,建立常态化、系统化的沟通协调机制,加强内审部门与其他部门、业务单位之间的沟通协调和联动拉通,减少职能壁垒,以达到整合信息、节约资源、提质增效、推动系统和数据一致性、更好地支撑决策的目的。当然,内部审计的数字化转型需要公司组织上、战略上、管理上的全方位支持,不是一蹴而就的,需要结合企业自身实际持续探索、科学谋划,遵循整体统筹、标准先行、应用驱动、数据拉通、分步实施、管理协同的原则,不断推动内部审计组织效能从量变到质变的飞跃,为企业战略发展贡献长期价值。
(作者单位:佛山市顺德区碧桂园物业发展有限
公司,邮政编码:528312,电子邮箱:wzq.mail@163.com)
主要参考文献
[1]郭心瑾.基于“大风控”前提的企业总审计师制度探索[J].中国内部审计, 2021(10):30-34
[2]黄志媛.价值增值型业审融合模式的构建及应用[J].财会通讯, 2022(11):123-127
[3]林丹珊.信息化时代的大数据内部审计研究[J].中国管理信息化, 2021(14):52-53
[4]刘栋.新三线模型视角下对基层央行内审工作的探析[J].财会学习, 2022(12):113-115
[5]秦言坡.国有大型企业内部审计信息化系统的构建研究[J].中国内部审计, 2021(9):16-20
