金融保险集团内部审计创新与实践
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第二节 以风险为导向的太平稽核审计

太平稽核积极开展以风险为导向的全面评价的探索与实践,以风险为导向,通过建立风险点模型并不断优化,对风险点进行分类,突出检查重点,体现在全面风险评估基础上进行差异化地稽核检查,对重要的风险领域查深查透。在此基础上,通过建立完善的评分评级体系,对被稽核单位进行科学、准确评分、评级,全面反映集团及子公司各级机构风险控制和合规经营水平。为配合集团实现全面风险管理战略目标,太平稽核还独立开展子公司总公司层级的内部控制评估复核评价项目,从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面对内部控制的健全性、合理性、有效性进行复核评价。

在以风险为导向的内部审计中,太平稽核在风险的识别与分析、采取的风险应对措施等积累了一定经验,以下分别从两方面介绍。

一、风险识别与分析

内部审计人员针对公司现有内外环境与经营过程,采用各种分析方法独立地推断所有潜在的重大风险,为审计公司是否合理制定风险管理策略与决定风险方案提供充分依据。经过风险事件的识别后,内部审计人员必须对风险事件定量值(货币损失或事件发生可能性带来的负面影响程度)以及给定量值时不利事件发生的概率予以计量,为确定风险管理战略、政策与程序提供更为科学的依据。

为更好地进行风险识别与评估,太平稽核建立健全了风险点模型,并定期进行优化更新。风险点模型是根据外部监管规定以及集团、子公司管理制度,按照全面风险管理架构,基于被稽核单位经营管理建立的稽核检查模型,是对被稽核单位开展检查使用的工具。风险点具有以下特点:

一是以风险为导向,按照风险等级、影响程度、问题性质等对风险点进行分类,突出重中之重。对风险点模型进行优化,突出检查重点,体现全面风险评估基础上的稽核检查差异化发展思路。根据监管关注重点适时调整稽核策略,对重要的风险领域查深查透,实现由“合规遵循型稽核”向“风险管控型稽核”的转变。

以境内保险业务稽核为例,风险大类是指根据《保险公司偿付能力监管规则第11号:偿付能力风险管理要求与评估》规则,将基础与环境、目标与工具、保险风险、市场风险、信用风险、流动性风险、操作风险、声誉风险、战略风险与风险点相对应。

境内保险业务稽核以风险实际暴露情况为参考,根据历年稽核发现情况,统计分析问题的分布、发生的概率、频次、影响程度,将风险等级从高到低分为四类。一类风险指重点检查类风险,要加大稽核资源投入,确保查深查透,包括重要决策类风险、重要资金支付类风险、履职待遇与职务消费、权限管理、重要监管风险等。二类风险指机构中多发的、高发的、反复出现的且具有苗头性、趋势性、普遍性的风险,为必查类风险。三类风险指内控类等一般性、操作类的风险,在非现场风险评估的基础上决定现场检查内容。四类风险指执行层面中诸如差错类、基础管理类风险。

二是以流程为主线,在保持风险点完整性的基础上,优化风险点模型构架,由传统的以部门或条线为主轴的“块状”风险点模型升级为以作业流程为主轴的“线型”风险点模型,对涉及作业流程的所有环节进行评估,选取风险较大的环节做重点检查,提升稽核检查的穿透力。并保持与监管要求、集团及子公司发展和市场环境变化的匹配度,能够实时地揭示和预警最新的风险,保持风险点模型的完整性、针对性和及时性。

三是根据职权及授权体系,差异化风险点分布层级,区分总、分、支层面的风险点,并针对不同层级的公司实行分别检查。

四是根据风险点管控实际情况,对应差异化检查方式。在风险评估的基础上,对不同风险点分别实行现场检查、非现场+现场检查、非现场检查、非现场监测等不同的检查方式,使检查更聚焦。

二、风险应对措施

在风险管理战略方针和策略的指导下,风险应对措施有接受、规避、转移、减少等,每种措施的实施都经过了风险与收益的权衡。

对于风险控制的审计,内部审计人员需要对内部控制设计和执行的有效性进行测试。风险应对措施审计的审计工作,主要是指内部审计在风险分析的基础上通过审查公司的管理制度及业务流程,对风险应对措施的涉及做出确认;既要审计公司的风险应对措施是否涵盖所有的风险,也要审计控制措施是否有效。风险应对措施执行的审计主要是审计公司的风险应对措施是否得到有效执行;内部审计根据每项风险应对措施,设计相应的评价指标,实施相应的审计,并就每一项审计结果进行评分。

太平稽核在风险点模型中对每个详细风险点配备了“建议测试方法”“抽样指引”“制度依据”等工具。“建议测试方法”是指针对该项风险点检查可采取的方法,该方法为建议性而非强制性(若未采用建议测试方法进行检查,需在底稿中注明实际检查中采用的测试方法)。“抽样指引”规范了审计抽样方法和最低样本量。审计抽样方法包括统计抽样、非统计抽样(控制测试样本规模表)、详细审计和自主检查。选样方法包括多阶段抽样、分层抽样、随机抽样及相结合的方式。抽样指引是针对该项风险点检查建议采用的抽样方法,该方法为建议性而非强制性。若未采用抽样指引进行抽样,需在底稿中注明实际检查中采用的抽样方法。

对于风险管理的评价,太平稽核建立健全了评分评级体系。评分评级是在COSO企业风险管理架构基础上,依据公司风险管理和内部控制目标,建立相对量化的稽核监督指标和评估模型。客观地评价被稽核单位内部管控状况,促进了被稽核单位提高风险管理和内控水平,确保公司业务、财务信息的真实性、完整性和及时性,提高经营效率和效益,为最终实现各项经营目标提供监督服务。稽核评分从内部控制的“制度健全性”(即被稽核单位内部控制基础、环境、目标和工具等是否科学、全面、合规)、“遵循有效性”(即被稽核单位内部控制制度、机制是否得到持续的、有效的实施)两个方面进行。

以境内保险业务稽核为例,每个详细风险点设置一定的标准分值,按重要性分成四级,标准分值分别为5分、3分、1分和0分。评分评级对应每一详细风险点,从“制度健全性”和“遵循有效性”两方面进行评价,并且根据机构层级不同“制度健全性”“遵循有效性”的权重不同。在稽核检查中若发现被稽核单位发生异常扣分事项(即重大违规行为),根据异常扣分事项性质,在最终评分及相应系列评分中扣减相应分值。根据稽核报告评分评级情况结合风险提示和异常扣分,最终给出被稽核单位的评分评级结果。

太平稽核负责向集团、子公司审计委员会和管理层定期报告被稽核单位的评级情况。稽核评分评级结果作为确定下一年度稽核工作重点的重要依据之一。

上一章目录下一章