導(dǎo)語(yǔ)：以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)實(shí)務(wù)探索一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

［摘要］“提供以風(fēng)險(xiǎn)為基礎(chǔ)的確認(rèn)”是內(nèi)部審計(jì)實(shí)務(wù)的核心原則之一。在這里，“以風(fēng)險(xiǎn)為基礎(chǔ)”不僅指以風(fēng)險(xiǎn)為基礎(chǔ)編制內(nèi)部審計(jì)計(jì)劃，而且貫穿于整個(gè)內(nèi)部審計(jì)作業(yè)過(guò)程中，風(fēng)險(xiǎn)控制矩陣能夠?qū)⒛繕?biāo)—風(fēng)險(xiǎn)—控制更緊密地結(jié)合在一起，是內(nèi)部審計(jì)作業(yè)中常用的評(píng)估工具。本文圍繞以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)業(yè)務(wù)流程，從計(jì)劃、業(yè)務(wù)分析、評(píng)估和風(fēng)險(xiǎn)控制、測(cè)試有效性、報(bào)告五個(gè)方面，對(duì)風(fēng)險(xiǎn)控制矩陣的理解和運(yùn)用進(jìn)行詳細(xì)闡述；同時(shí)以案例的形式對(duì)基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法和基于調(diào)查的審計(jì)方法進(jìn)行比較，期望能從實(shí)務(wù)層面對(duì)以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)進(jìn)行更為廣泛的研究和探討。

［關(guān)鍵詞］內(nèi)部審計(jì)；以風(fēng)險(xiǎn)為基礎(chǔ)；風(fēng)險(xiǎn)控制矩陣

一、研究背景和意義

隨著保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型，新技術(shù)和數(shù)字化工具的應(yīng)用，流程的改善、運(yùn)營(yíng)成本降低以及經(jīng)營(yíng)管理的提升都將給保險(xiǎn)業(yè)內(nèi)部審計(jì)數(shù)據(jù)化能力的提升帶來(lái)機(jī)遇。例如，近期普華永道會(huì)計(jì)師事務(wù)所了“保險(xiǎn)智慧審計(jì)平臺(tái)”，包括“流程?！薄皟?nèi)控保”等工具，“流程?！被诹鞒讨悄芗夹g(shù)開(kāi)發(fā)，工具能夠讀取系統(tǒng)工作流程中的電子痕跡和操作日志，運(yùn)用全新的可視化手段直觀地分析保險(xiǎn)公司控制設(shè)計(jì)和執(zhí)行的情況。而傳統(tǒng)的“手工線下”內(nèi)部審計(jì)工作模式可能會(huì)不太符合保險(xiǎn)公司的整體經(jīng)營(yíng)管理發(fā)展態(tài)勢(shì)，將面臨較大的挑戰(zhàn)。同時(shí)，由于當(dāng)前所接觸到的內(nèi)部審計(jì)前沿理論與實(shí)踐，包括國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)所頒布的《國(guó)際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》更多的是來(lái)自歐洲等發(fā)達(dá)國(guó)家的經(jīng)驗(yàn)和研究，對(duì)這些概念的理解和解讀受制于文化背景、理論體系、思考邏輯、經(jīng)濟(jì)發(fā)展等因素的影響，可能會(huì)導(dǎo)致我們看到的僅是冰山一角，然而，支撐整個(gè)理論體系有效運(yùn)作的基本原理、核心要素的掩蓋和忽視，又會(huì)進(jìn)一步制約在實(shí)際運(yùn)行操作中的效果，以及新技術(shù)、新工具價(jià)值和能力的發(fā)揮。因此，本文仍然回歸于內(nèi)部審計(jì)基本原理——以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)。由于數(shù)字化、智能化等工具在實(shí)踐中運(yùn)用較少，為了更便于理解，在某些方法的解釋上可能仍使用傳統(tǒng)的方式。新技術(shù)的應(yīng)用更多的是工作方式、手段的改變，從而提升效率，并沒(méi)有改變支撐整個(gè)理論體系有效運(yùn)作的基本原理，因此，這并不影響對(duì)內(nèi)部審計(jì)基本原理的理解。

二、以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)業(yè)務(wù)流程概述

為了更好地理解以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)，本文參考了一些行業(yè)實(shí)務(wù)方法，從審計(jì)業(yè)務(wù)作業(yè)流程上進(jìn)行更為詳細(xì)的闡述。例如，世界第五大保險(xiǎn)集團(tuán)英杰華集團(tuán)（AVIVA）將以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)定義為：內(nèi)部審計(jì)方法遵循一種基于風(fēng)險(xiǎn)的方法，關(guān)注對(duì)業(yè)務(wù)重要的內(nèi)容。識(shí)別被審計(jì)領(lǐng)域關(guān)鍵的固有風(fēng)險(xiǎn)，并與企業(yè)目前所依賴的減輕風(fēng)險(xiǎn)的關(guān)鍵控制措施相平衡。風(fēng)險(xiǎn)和控制矩陣映射和評(píng)估了關(guān)鍵風(fēng)險(xiǎn)和控制之間的關(guān)系，以揭示控制框架中的任何差距或薄弱點(diǎn)。對(duì)關(guān)鍵控制運(yùn)行的有效性進(jìn)行測(cè)試，以達(dá)到內(nèi)部審計(jì)對(duì)實(shí)際（剩余）風(fēng)險(xiǎn)暴露水平的評(píng)估。以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)流程，從高層級(jí)的年度計(jì)劃開(kāi)始，這一階段主要是確定和選擇年度計(jì)劃中要包括的審計(jì)任務(wù)。每一個(gè)審計(jì)任務(wù)的執(zhí)行通常包括業(yè)務(wù)計(jì)劃、業(yè)務(wù)分析、評(píng)估風(fēng)險(xiǎn)和控制、測(cè)試有效性、報(bào)告和評(píng)級(jí)五個(gè)階段從圖1可以清晰地看出風(fēng)險(xiǎn)控制矩陣在整個(gè)作業(yè)流程中的作用。風(fēng)險(xiǎn)控制矩陣是風(fēng)險(xiǎn)控制者定性分析和定量分析相結(jié)合，綜合考慮風(fēng)險(xiǎn)概率與影響的方法,用來(lái)消滅或減少風(fēng)險(xiǎn)事件發(fā)生的各種可能性，或者減少風(fēng)險(xiǎn)事件發(fā)生時(shí)造成的損失?！秶?guó)際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)框架》（2017）執(zhí)行指南中也列明了：編制風(fēng)險(xiǎn)控制矩陣，或者復(fù)核現(xiàn)有的矩陣都是內(nèi)部審計(jì)師用于識(shí)別可能影響被檢查領(lǐng)域或過(guò)程的目標(biāo)、資源、運(yùn)營(yíng)風(fēng)險(xiǎn)的常用工具。風(fēng)險(xiǎn)控制矩陣可以幫助內(nèi)部審計(jì)部門：確定目標(biāo)和阻礙實(shí)現(xiàn)目標(biāo)的風(fēng)險(xiǎn)；確定風(fēng)險(xiǎn)的重要性，同時(shí)考慮其影響的嚴(yán)重程度和發(fā)生的可能性；確定對(duì)重大風(fēng)險(xiǎn)的適當(dāng)應(yīng)對(duì)（如接受、分擔(dān)、轉(zhuǎn)移、減輕或避免）；確定用于管理風(fēng)險(xiǎn)的關(guān)鍵控制；評(píng)估控制設(shè)計(jì)的充分性，以幫助確定是否需要對(duì)控制效果進(jìn)行測(cè)試；對(duì)被視為設(shè)計(jì)充分的控制進(jìn)行測(cè)試，以確定它們是否按預(yù)期運(yùn)行。

三、關(guān)于風(fēng)險(xiǎn)控制矩陣的理解

評(píng)估風(fēng)險(xiǎn)和控制這一過(guò)程，是以風(fēng)險(xiǎn)為基礎(chǔ)的內(nèi)部審計(jì)業(yè)務(wù)流程的關(guān)鍵點(diǎn)。將關(guān)鍵風(fēng)險(xiǎn)與當(dāng)前控制相匹配，作為評(píng)估控制框架設(shè)計(jì)的基礎(chǔ)。風(fēng)險(xiǎn)和控制矩陣圖從關(guān)鍵風(fēng)險(xiǎn)出發(fā)，通過(guò)風(fēng)險(xiǎn)識(shí)別、固有風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)應(yīng)對(duì)等，從風(fēng)險(xiǎn)發(fā)生的可能性和影響性兩個(gè)方面進(jìn)行評(píng)估（高、中、低），識(shí)別出那些被評(píng)估為具有高等或中等固有風(fēng)險(xiǎn)的風(fēng)險(xiǎn)，嵌入風(fēng)險(xiǎn)和控制矩陣圖的“關(guān)鍵風(fēng)險(xiǎn)”中。接下來(lái)是映射和評(píng)估控制，根據(jù)控制減輕風(fēng)險(xiǎn)的能力，用高、中、低等級(jí)評(píng)估控制和風(fēng)險(xiǎn)之間關(guān)系的“強(qiáng)度”，記錄在風(fēng)險(xiǎn)和控制矩陣中（見(jiàn)表1）。這種映射將允許評(píng)估控制的設(shè)計(jì)和識(shí)別關(guān)鍵控制。在對(duì)控制設(shè)計(jì)進(jìn)行評(píng)估時(shí)，需要注意的是雖然個(gè)別控制可能被確定為不可接受的，但可能存在提供充分緩解的額外控制，從而使整體控制結(jié)構(gòu)可接受?？刂圃O(shè)計(jì)的評(píng)估還應(yīng)考慮預(yù)防控制和檢測(cè)控制是否平衡?？刂圃O(shè)計(jì)評(píng)估的結(jié)論可劃分為過(guò)度控制、可接受的控制、有限的控制、不可接受的控制四類。其中過(guò)度控制指控制的設(shè)計(jì)為提高效率留下了很大的空間；可接受的控制指控制的設(shè)計(jì)是充分的，剩余風(fēng)險(xiǎn)是在風(fēng)險(xiǎn)偏好內(nèi)；有限的控制指控制設(shè)計(jì)為某些風(fēng)險(xiǎn)來(lái)源留下了較小的風(fēng)險(xiǎn)敞口，雖然在風(fēng)險(xiǎn)偏好之外但在風(fēng)險(xiǎn)容忍度之內(nèi)；不可接受的控制指控制設(shè)計(jì)不充分，給剩余風(fēng)險(xiǎn)留下很大的風(fēng)險(xiǎn)敞口。在沒(méi)有定義風(fēng)險(xiǎn)偏好的情況下，控制的充分性主要基于審計(jì)人員的意見(jiàn)。在對(duì)控制設(shè)計(jì)評(píng)估后，進(jìn)行控制執(zhí)行有效性的測(cè)試，制訂測(cè)試方案并進(jìn)行抽樣檢查，根據(jù)控制有效性評(píng)估風(fēng)險(xiǎn)暴露水平，得出控制有效性的結(jié)論。在這里需要注意的是，測(cè)試目標(biāo)應(yīng)與控制本身的目標(biāo)一致，適當(dāng)時(shí)應(yīng)明確需要檢查或測(cè)試的控制要素。因此，大多數(shù)控制有效性測(cè)試將需要測(cè)試特定的屬性。例如，驗(yàn)證活動(dòng)的完整性、有效性或準(zhǔn)確性的授權(quán)程序。在測(cè)試技術(shù)方面，包括詢問(wèn)、觀察、檢查、證實(shí)（第三方信息）、重新執(zhí)行、分析性審查程序等?？刂茰y(cè)試有效性的結(jié)論，可分為有效、部分有效、無(wú)效三類。其中，有效指測(cè)試未揭示出任何異常，因此表明控制有效地運(yùn)行；部分有效指在擴(kuò)展測(cè)試或其他進(jìn)一步調(diào)查的基礎(chǔ)上，測(cè)試識(shí)別了一些例外情況，這些例外情況可能被認(rèn)為是孤立的例外情況，并且在主要情況下控制有效地運(yùn)行；無(wú)效指測(cè)試和隨后的調(diào)查揭示了足夠的例外情況(例如，樣本中超過(guò)10%的項(xiàng)目)，從而得出控制不可靠的結(jié)論。a當(dāng)審計(jì)業(yè)務(wù)流程運(yùn)行到該階段時(shí)，基本上完成了對(duì)控制設(shè)計(jì)和執(zhí)行有效性的評(píng)估，在風(fēng)險(xiǎn)和控制矩陣中記錄控制測(cè)試中的薄弱點(diǎn)并提出行動(dòng)建議。在這里需要注意的是：（1）控制設(shè)計(jì)或執(zhí)行的薄弱點(diǎn)將被記錄在發(fā)現(xiàn)中，問(wèn)題將確定并解釋為一個(gè)或多個(gè)風(fēng)險(xiǎn)下的不可接受的暴露水平；（2）采取的行動(dòng)代表控制或缺少控制所需的改變；（3）將與相同或類似風(fēng)險(xiǎn)相關(guān)的發(fā)現(xiàn)整理成一個(gè)合并的問(wèn)題(合并發(fā)現(xiàn)和相關(guān)的行動(dòng)，例如在多家機(jī)構(gòu)中存在類似的發(fā)現(xiàn))。由此，形成了完整的風(fēng)險(xiǎn)控制矩陣（見(jiàn)圖2）。在此基礎(chǔ)上，可以形成統(tǒng)一完整的風(fēng)險(xiǎn)視圖。普華永道會(huì)計(jì)師事務(wù)所《高管和董事會(huì)如何獲得他們需要的風(fēng)險(xiǎn)信息》（2019）指出，GRC技術(shù)可以從單一的信息源生成更完整的和當(dāng)前的風(fēng)險(xiǎn)視圖，其所展示的企業(yè)風(fēng)險(xiǎn)報(bào)告案例力圖通過(guò)風(fēng)險(xiǎn)儀表板為董事和高管提供對(duì)風(fēng)險(xiǎn)的廣泛和及時(shí)的看法（見(jiàn)圖3）。通常，固有風(fēng)險(xiǎn)根據(jù)影響和概率來(lái)衡量。對(duì)于剩余風(fēng)險(xiǎn)的評(píng)估，可根據(jù)內(nèi)部審計(jì)對(duì)風(fēng)險(xiǎn)暴露可能對(duì)業(yè)務(wù)產(chǎn)生的影響的總體觀點(diǎn)，使用內(nèi)部審計(jì)自己的重要性準(zhǔn)則，以及可獲得的管理層風(fēng)險(xiǎn)偏好，對(duì)每個(gè)問(wèn)題進(jìn)行評(píng)級(jí)。需要注意的是，這里的評(píng)級(jí)指對(duì)問(wèn)題進(jìn)行評(píng)級(jí)，而不是對(duì)發(fā)現(xiàn)進(jìn)行評(píng)級(jí)（控制設(shè)計(jì)或執(zhí)行的薄弱點(diǎn)將被記錄在發(fā)現(xiàn)中）?！侗ｋU(xiǎn)公司聲譽(yù)風(fēng)險(xiǎn)能力評(píng)分表》中剩余風(fēng)險(xiǎn)評(píng)估，采用的是李可特量表打分方法，對(duì)每項(xiàng)指標(biāo)設(shè)置了評(píng)分規(guī)則，評(píng)分分?jǐn)?shù)為1~5分。無(wú)論是上述哪種評(píng)分方法，前提是建立適用的評(píng)估標(biāo)準(zhǔn)。

四、風(fēng)險(xiǎn)控制矩陣圖有效運(yùn)用的支撐要素

（一）風(fēng)險(xiǎn)識(shí)別、評(píng)估和分類。在年度計(jì)劃階段，通過(guò)參考業(yè)務(wù)標(biāo)準(zhǔn)確定相關(guān)的關(guān)鍵風(fēng)險(xiǎn)類別，年度計(jì)劃中定義的風(fēng)險(xiǎn)通常是以概述的形式，可能很難確定風(fēng)險(xiǎn)的“原因”或“來(lái)源”。在業(yè)務(wù)計(jì)劃階段，進(jìn)一步根據(jù)遠(yuǎn)程進(jìn)行的研究和所有現(xiàn)有的信息來(lái)源，對(duì)年度計(jì)劃期間識(shí)別的風(fēng)險(xiǎn)進(jìn)行分解，將這些一般風(fēng)險(xiǎn)類別轉(zhuǎn)換為實(shí)際風(fēng)險(xiǎn)事件，并為職權(quán)范圍提供關(guān)鍵風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分解，是為了能夠?qū)⒖刂聘_地映射到它們所減輕的那些風(fēng)險(xiǎn)組成部分中。這里我們對(duì)風(fēng)險(xiǎn)分解的理解是，業(yè)務(wù)標(biāo)準(zhǔn)下的審計(jì)主體目標(biāo)的風(fēng)險(xiǎn)擴(kuò)展列表。例如聲譽(yù)風(fēng)險(xiǎn)可以分解為信用評(píng)級(jí)、媒體關(guān)注、監(jiān)管處罰、負(fù)面宣傳、法庭案件等方面的風(fēng)險(xiǎn)。在這一過(guò)程中，由于我們的風(fēng)險(xiǎn)管理成熟度并沒(méi)有達(dá)到PhilnaCoetzee和DaveLubbe（2014）提出的風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)計(jì)劃模型所具備的水平，通常是根據(jù)對(duì)固有風(fēng)險(xiǎn)的分析（根據(jù)影響和概率來(lái)衡量），確定關(guān)鍵的風(fēng)險(xiǎn)和審計(jì)方法，并將識(shí)別的關(guān)鍵風(fēng)險(xiǎn)嵌入風(fēng)險(xiǎn)登記表中，形成初步的風(fēng)險(xiǎn)登記表。確定審計(jì)領(lǐng)域的關(guān)鍵風(fēng)險(xiǎn)，是生成風(fēng)險(xiǎn)和控制矩陣的第一步，也是隨后控制有效性評(píng)估工作的前提。這里需要注意的是識(shí)別、評(píng)估和分類風(fēng)險(xiǎn)應(yīng)注意以下原則。（1）必須識(shí)別所有潛在的重大風(fēng)險(xiǎn)，并在適當(dāng)?shù)那闆r下將其主要原因記錄在風(fēng)險(xiǎn)登記冊(cè)中；關(guān)鍵風(fēng)險(xiǎn)指固有風(fēng)險(xiǎn)等級(jí)為中等或以上的風(fēng)險(xiǎn)，只有被評(píng)估為中等或高等的固有風(fēng)險(xiǎn)，才納入風(fēng)險(xiǎn)和控制矩陣中。（2）識(shí)別所有業(yè)務(wù)層級(jí)重要的風(fēng)險(xiǎn)，而不是在微觀流程級(jí)別識(shí)別風(fēng)險(xiǎn)。（3）風(fēng)險(xiǎn)識(shí)別將建立在事件識(shí)別的基礎(chǔ)上，如果認(rèn)為當(dāng)?shù)氐娘L(fēng)險(xiǎn)管理并非有效，或者沒(méi)有最近的或可靠的事件分析，審計(jì)人員應(yīng)考慮與審計(jì)小組或更多的高級(jí)審計(jì)管理人員進(jìn)行事件識(shí)別。（4）風(fēng)險(xiǎn)來(lái)源用于確定風(fēng)險(xiǎn)產(chǎn)生的原因，在分析事件和風(fēng)險(xiǎn)時(shí)應(yīng)注意不要將風(fēng)險(xiǎn)來(lái)源與控制缺陷或漏洞以及問(wèn)題的癥狀相混淆。在不同的背景、目標(biāo)下，風(fēng)險(xiǎn)的分類是不同的，以下概述了監(jiān)管機(jī)構(gòu)以及咨詢機(jī)構(gòu)使用的風(fēng)險(xiǎn)分類。在我國(guó)保險(xiǎn)行業(yè)的風(fēng)險(xiǎn)分類上，“償二代”監(jiān)管體系將風(fēng)險(xiǎn)分為保險(xiǎn)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、戰(zhàn)略風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)七大類風(fēng)險(xiǎn)。普華永道會(huì)計(jì)師事務(wù)所自2007年以來(lái)其歐洲團(tuán)隊(duì)每?jī)赡暌淮蔚摹侗ｋU(xiǎn)業(yè)香蕉皮報(bào)告：保險(xiǎn)公司面臨的風(fēng)險(xiǎn)》將風(fēng)險(xiǎn)分為技術(shù)風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)、創(chuàng)新、變更管理、公司治理、質(zhì)量管理、商業(yè)行為、人才風(fēng)險(xiǎn)、氣候變化、成本降低、聲譽(yù)風(fēng)險(xiǎn)等。畢馬威會(huì)計(jì)師事務(wù)所《2020年全球首席執(zhí)行官調(diào)查》中將風(fēng)險(xiǎn)分為人才風(fēng)險(xiǎn)、供應(yīng)鏈風(fēng)險(xiǎn)、回歸屬地主義風(fēng)險(xiǎn)、環(huán)境/氣候變化風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、新興/顛覆性技術(shù)風(fēng)險(xiǎn)、監(jiān)管風(fēng)險(xiǎn)、聲譽(yù)風(fēng)險(xiǎn)等。從上述分析中，我們可以看出從不同的角度看，風(fēng)險(xiǎn)的分類存在一定的區(qū)別。在組織內(nèi)進(jìn)行明確統(tǒng)一的風(fēng)險(xiǎn)定義和分類標(biāo)準(zhǔn)，是開(kāi)展風(fēng)險(xiǎn)評(píng)估的基本要素。（二）業(yè)務(wù)分析以及評(píng)估風(fēng)險(xiǎn)和控制。業(yè)務(wù)分析這一過(guò)程的目的是對(duì)業(yè)務(wù)流程、子流程和系統(tǒng)進(jìn)行足夠詳細(xì)的識(shí)別和理解，以便能夠識(shí)別風(fēng)險(xiǎn)以及減輕這些風(fēng)險(xiǎn)的相應(yīng)控制措施。在傳統(tǒng)方式下，獲取并審核現(xiàn)有的文件，包括流程文檔、業(yè)務(wù)單元策略，以確保完整性和準(zhǔn)確性；對(duì)于那些被認(rèn)定為重要而復(fù)雜的系統(tǒng)或流程，審計(jì)人員應(yīng)編制流程圖。通過(guò)訪談員工等，識(shí)別并記錄減輕固有風(fēng)險(xiǎn)的控制，并對(duì)控制進(jìn)行分類，將識(shí)別到的關(guān)鍵控制嵌入控制登記表中。在這一階段，不包括控制有效性的測(cè)試（假定控制是有效執(zhí)行的）。在對(duì)控制進(jìn)行識(shí)別和分析時(shí)，通常會(huì)涉及控制設(shè)計(jì)的三個(gè)方面，即符合目標(biāo)、強(qiáng)度、充分性（見(jiàn)表2）。從控制的類型方面劃分，控制可分為自動(dòng)化控制（如業(yè)務(wù)應(yīng)用程序控制、一般計(jì)算機(jī)控制、終端用戶計(jì)算控制）、手工控制、手工但依靠IT的控制（如手工審核系統(tǒng)生成的異常報(bào)告）、實(shí)體層級(jí)控制（如控制環(huán)境、行為準(zhǔn)則等）。從控制的層級(jí)方面，可分為指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等。指導(dǎo)性控制是為了確保有一個(gè)明確的方向，并推動(dòng)實(shí)現(xiàn)既定的目標(biāo)，可能包括對(duì)員工進(jìn)行意識(shí)培訓(xùn)等，指導(dǎo)員工降低這種風(fēng)險(xiǎn)的影響。預(yù)防性控制包括職責(zé)分離，雇傭有能力、較高道德標(biāo)準(zhǔn)的員工（尤其是聘才人員），建立良好的控制環(huán)境等。檢查性控制被設(shè)計(jì)用來(lái)發(fā)現(xiàn)未被阻止的錯(cuò)誤，包括監(jiān)督審查、內(nèi)部檢查、差異報(bào)告、抽查和協(xié)調(diào)等。糾正性控制是確保對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行正確地處理，包括管理行動(dòng)、糾正和后續(xù)程序等。（三）基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法的運(yùn)用。在內(nèi)部審計(jì)項(xiàng)目作業(yè)中，不同作業(yè)目標(biāo)可能會(huì)采用不同的審計(jì)方法，本文通過(guò)對(duì)基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法和基于調(diào)查的審計(jì)方法的比較，更清晰地對(duì)基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法進(jìn)行解釋和說(shuō)明。1.審計(jì)方法的對(duì)比?；陲L(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法圍繞“目標(biāo)—風(fēng)險(xiǎn)—控制”，對(duì)緩解關(guān)鍵風(fēng)險(xiǎn)的控制設(shè)計(jì)和執(zhí)行的有效性進(jìn)行評(píng)估，審計(jì)發(fā)現(xiàn)的問(wèn)題等級(jí)將基于審計(jì)領(lǐng)域的固有風(fēng)險(xiǎn)和剩余風(fēng)險(xiǎn)，為管理層提供更為完整的風(fēng)險(xiǎn)視圖。從控制的目標(biāo)開(kāi)始，審計(jì)人員需要清楚地理解目標(biāo)是什么，由哪些要素構(gòu)成，圍繞目標(biāo)的業(yè)務(wù)流程應(yīng)該是什么樣的。在此基礎(chǔ)上，從控制設(shè)計(jì)有效性和控制執(zhí)行有效性兩個(gè)方面，評(píng)估控制活動(dòng)的有效性。基于調(diào)查的審計(jì)方法，以問(wèn)題為導(dǎo)向，通常以發(fā)現(xiàn)舞弊、差錯(cuò)為審計(jì)的主要目標(biāo)。直接從控制的執(zhí)行開(kāi)始，以制度為標(biāo)準(zhǔn)，以詳細(xì)的測(cè)試方法為主。審計(jì)人員根據(jù)測(cè)試要求選擇樣本進(jìn)行檢查，檢查的范圍主要來(lái)自審計(jì)人員過(guò)往對(duì)于易出現(xiàn)問(wèn)題領(lǐng)域的經(jīng)驗(yàn)。通過(guò)測(cè)試，審計(jì)人員通常會(huì)發(fā)現(xiàn)一些明顯的問(wèn)題癥狀。審計(jì)結(jié)論通常表現(xiàn)在微觀的執(zhí)行層面發(fā)現(xiàn)存在的問(wèn)題。2.案例解析。在監(jiān)管力度不斷加大的背景下，銷售行為的監(jiān)管風(fēng)險(xiǎn)上升，對(duì)有問(wèn)題的銷售和聲譽(yù)問(wèn)題的持續(xù)擔(dān)憂，商業(yè)行為風(fēng)險(xiǎn)是管理層重點(diǎn)關(guān)注的風(fēng)險(xiǎn)之一。在這里，將商業(yè)行為風(fēng)險(xiǎn)定義為保險(xiǎn)公司因銷售和其他業(yè)務(wù)行為不當(dāng)而遭受損失的風(fēng)險(xiǎn)。假設(shè)商業(yè)行為風(fēng)險(xiǎn)被評(píng)估為關(guān)鍵風(fēng)險(xiǎn)，以壽險(xiǎn)公司銷售行為為例，分別以基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法、基于調(diào)查的審計(jì)方法對(duì)控制的理解進(jìn)行對(duì)比。在基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法中，通常涉及指導(dǎo)性控制、預(yù)防性控制、檢查性控制、糾正性控制等（見(jiàn)表3）。在基于調(diào)查的審計(jì)方法中，直接從常見(jiàn)的問(wèn)題（癥狀）出發(fā)，通常局限于內(nèi)部審計(jì)人員現(xiàn)有經(jīng)驗(yàn)的認(rèn)知范圍內(nèi)，大多數(shù)測(cè)試集中于檢查性控制（見(jiàn)表4）。雖然從表面上來(lái)看，基于調(diào)查的審計(jì)方法在有限的資源內(nèi)可能會(huì)發(fā)現(xiàn)更多的問(wèn)題癥狀，但是由于審計(jì)范圍關(guān)注的是具體的問(wèn)題（癥狀）點(diǎn)上，很難上升到組織整體控制有效性的評(píng)估層面。而基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法以獨(dú)立評(píng)估的立場(chǎng)，向利益相關(guān)方提供了控制是否有效的保證——組織整體控制有效性的完整視圖，哪些控制是良好運(yùn)行的，哪些控制需要進(jìn)一步改善。同時(shí)，基于調(diào)查的審計(jì)方法主要基于審計(jì)人員過(guò)往的經(jīng)驗(yàn)，控制缺陷（控制改善）的發(fā)現(xiàn)更多的是在偶然因素的特定場(chǎng)景下產(chǎn)生的，相比之下基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法，圍繞目標(biāo)對(duì)整個(gè)業(yè)務(wù)流程進(jìn)行評(píng)估，控制缺陷（控制改善）的發(fā)現(xiàn)呈現(xiàn)出相對(duì)的必然性。因此，相比傳統(tǒng)的基于調(diào)查的審計(jì)方法，基于風(fēng)險(xiǎn)的系統(tǒng)審計(jì)方法可能會(huì)帶來(lái)好處。

參考文獻(xiàn)

[1]普華永道.2019年保險(xiǎn)業(yè)香蕉皮報(bào)告：保險(xiǎn)公司風(fēng)險(xiǎn)調(diào)研[R].2019.

[2]普華永道.HowExecutivesandBoardsCanGettheRiskInformationTheyNeed[R].2019.

[3]畢馬威.TheKPMG2020CEOOutlookCOVID-19SpecialEdition[R].2020.

[4]國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)，國(guó)際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)框架，2017.

作者:劉小書 沈璜 單位:1.泰康保險(xiǎn)集團(tuán)稽核中心 2.中國(guó)太平保險(xiǎn)集團(tuán)有限責(zé)任公司稽核中心