[摘要]中国电信广东分公司通过创建“快速覆盖、分层处理、聚焦重点、综合应用”的风险扫描结果应用模式,使省市公司各部门主动参与风险确认、整改、分析、应用等环节,最大化应用信息化审计数据和结果,提高了风险管理的有效性。
[关键词]内部审计 结果运用 风险管控 扫描 大数据审计
为推动审计信息化,实现审计工作模式转型,近年来中国电信广东分公司(以下简称广东电信)以持续风险管控为目标,以审计信息化为抓手,大力推进审计风险扫描工作。通过基于大数据的日常性扫描,发现了大量风险疑点。
一、风险扫描简介
风险扫描工作依托广东电信审计部门组织开发的审计数据集市平台实施,审计部门通过该平台实现与各种企业运营数据的汇接,在此基础上,通过组织审计业务骨干组成风险扫描团队,沉淀和共享审计经验,在平台上逐步搭建起针对企业经营各领域的风险分析模型100多个。每季度由风险扫描团队针对不同的主题灵活选择不同的风险分析模型,对全省21个本地网实施各专题风险扫描工作。通过风险扫描工作快速识别风险,及时发现企业运营中的隐患,并通过风险派单形式及时向相关业务部门和单位进行风险提示,由相关业务部门和单位自行组织对下发的风险提示事项进行现场核实,并向审计部门反馈核实结果。同时,审计部门以简报形式向公司管理层汇报风险扫描发现问题,为公司运营决策提供支撑依据。
广东电信审计部门通过风险扫描工作累计提出疑点700多项,派单提示风险200多次,有效促进了运营风险的及时化解,风险扫描工作已成为与常规审计项目并列的风险监督模式。
二、风险扫描的特点及成果应用方式
(一)风险扫描的特点
1.风险扫描以非现场方式开展,不影响被审计单位正常生产。审计数据集市定期或按需从ODS、MSS等系统采集业务数据,并通过平台中的风险分析模型,对数据进行归集和初步智能化分析处理后输出,由审计人员作最终判断并形成风险疑点。整个过程无需被审计单位提供人员、场地及其他资源的支持和配合,不影响被审计单位正常生产。
2.风险扫描应用大数据分析技术,通过数据纵向串通不同部门业务节点,横向覆盖各地市分公司,提高审计监督的广度与深度。传统审计项目受审计资源影响,一般以部分单位为抽查对象开展审计,覆盖面不足,需要被审计单位不同业务节点提供资料,再人工串联数据,进行流程测试,效率较低。而风险扫描工作通过数据分析模型,由计算机辅助实现对海量数据的快速分析,并对部分特定风险场景进行自动识别,有效提升项目开展效率,并可同时对多个被审计单位的运营数据进行扫描,有效提升审计工作的广度和深度。
3.风险扫描以问题为导向,聚焦重点领域、重点业务或重点节点。相较传统项目,审计内容大幅压缩,但更为明确。传统项目以事后审计为主,扫描以现行经营数据为对象。风险扫描无需审计通知、现场审计及底稿、报告确认等环节,审计人员通过远程方式开展监督活动,实施扫描具有短、平、快的特点,审计成果时效性更强,使防控节点提前,避免风险演变为问题。
(二)促进成果应用的重要举措
风险扫描具有覆盖面广、时效性强的特点,但开展非现场大数据分析,也带来疑点确认工作量大、成果应用范围广的问题。为扬长避短、充分发挥扫描优点,促进成果应用,广东电信分别从管理层面、业务管控层面、执行层面着手,落实汇报、联席会议和派单制度,建立自上而下的结果应用机制。
1.管理层面。扫描结果直接向管理层汇报,推进扫描结果有效运用。广东电信管理层对风险扫描工作高度认可,根据公司运营整体需要,直接指示扫描领域或业务,并要求以简报方式展现扫描发现的重要风险和处理建议,呈递公司管理层阅示,快速有效指导扫描成果运用的方向。
2.业务管控层面。通过审计联席会议,促进扫描成果在业务管控各条线的综合应用。风险扫描以大数据、大覆盖的方式开展,易于发现普遍性或倾向性风险。通过审计联席会议召集业务管控部门,共商风险规避策略,以促进扫描成果在管控层面的应用。
3.执行层面。以风险派单代替传统审计底稿确认,由被审计单位完成对疑点问题的自查自纠,确保审计扫描结果落地。通过实践中的不断磨合,由审计部门负责非现场风险数据分析,由公司业务执行层面单位负责对风险事项的现场核查,审与被审高效协同,使得具有一定不确认性的非现场扫描结果真正落地并得到及时有效的整改。将风险扫描疑点以提示或预警方式派单至被审计单位,由被审计单位完成对疑点问题的自查自纠,不强制要求确认反馈。同时,对认可风险、落实整改并反馈的,视同被审计单位已自查自纠,从而减轻被审计单位抵触情况,有利于相关单位及时纠正执行过程中的偏差,落实风险防控。
在建立以上成果应用机制的基础上,审计部门加强内部管理,建立风险扫描台账,闭环管理审计成果,为综合应用扫描成果打下良好基础。
(三)成果应用方式
为使风险扫描成果最大化,审计部门在风险扫描流程设置风险分析环节,对风险概率、影响程度、分布、历史趋势进行分析,以重要性和有效性为原则,对风险疑点进行分层应用。
1.快速覆盖一般性风险提示及整改。以风险派单形式对风险问题执行单位进行风险提示,推进立行立改。在此過程中,快速处理一般性风险的确认、整改和应用,使审计资源聚焦技术性更强的分析环节,最大程度提升审计效率;而公司业务执行层面单位发挥现场作用,掌握风险控制的主动权,使风险整改与风险承担相结合,保障企业整体效益和效率。
2.分层处理与管控或设计有关的风险,推进公司管理水平提升。在审计联席会议上,将与管控或设计有关的风险向公司业务管控或规则设计部门通报,以求从设计层面对控制加以完善。由于风险扫描具有全局性、实时性特点,经常发现具有普遍性、倾向性的风险问题,在实施纵向串通各专业领域的风险分析中,也常常发现跨业务流程环节、跨专业部门复杂控制中存在的不足。对于上述问题,由业务管控部门和规则制定部门从设计层面予以完善,有效避免治标不治本、屡查屡犯的问题,进一步完善公司治理和内部控制。
3.严格管控红线风险,强化责任落实。对于涉及主观故意、违规违纪、业绩造假行为,通过现场核查并移交,协同纪检、考核管控部门进行处理。对发现的重大疑点紧抓不放,借助其他部门力量共同落实责任、形成震慑力。
4.综合应用扫描结果数据,提升审计工作整体效率。对于未明确、未落实的风险疑点,则提交日后开展的经济责任审计、财务收支审计、内控独立评估作为审计线索,各审计项目形成合力,提升工作效率和质量,形成风险扫描成果的闭环应用,将审计成果运用最大化。
三、风险扫描的应用成效
(一)以点带面,揭示问题,促进设计层面完善控制
近年来,广东电信审计部门通过对风险扫描发现问题的分析和判断,揭示企业管理中普遍性或倾向性的风险。通过审计联席会议,召集业务管控部门,共商风险规避策略,完善企业设计层面控制,促进扫描成果在管控层面得到应用。例如,2017年开展的对广东电信21个本地网积分计提、积分增加、积分兑换等积分运营管控流程及相关业务数据的专题风险扫描中,通过扫描发现超范围积分产生及兑换、非正常状态用户积分兑换、大额积分兑换无管控等风险疑点13类,风险数据100多万条。通过对疑点分布进行分析,整理出各地市分公司之间均发生且仅存在金额差别的普遍性疑点问题,判断为流程或系统设置导致的风险,并就该类风险与主管积分业务的省公司客户服务部召开联席会议。省公司客户服务部高度重视风险扫描发现,并就问题产生的原因及相关改进措施等与审计部协同分析讨论。当年年底下发了《关于加强积分运营管控的通知》,重新建立了不产生积分产品目录更新机制及积分数据异常预警机制,明确了销户客户积分清理要求。同时,对产生隐患的系统操作进行权限梳理。通过制度、流程和系统管控等方面的完善,实现降低公司客户积分运营工作风险的目的。
(二)以问题为出发点,移交线索,端正作风
根据公司管理层要求,对公司各项经营管理活动定期开展风险扫描工作是广东电信审计部门的一项重要日常工作,通过应用审计数据集市平台中的分析模型,对公司各项经营管理活动进行风险扫描,并根据风险影响程度与性质,将涉嫌业绩造假行为移交公司纪检监察后续跟踪处理。通过审计、纪检协同工作,强化对违规违纪红线问题的定性和定责,端正经营管理风气,促进公司依规依法发展业务。如在2017年第四季度开展的全省收入专项风险扫描中,审计人员通过模型数据分析,发现某分公司在该季度出现大额突增情况,进一步获取具体列收用户清单发现,该分公司在该季度与三家互为关联单位的公司分别签订了经营业务合作合同,短期内一次性大额销售,不符合正常业务使用逻辑,存在较大造假风险。针对此情况,审计部门组织核查小组进行现场核实,通过与业务人员访谈了解项目整体实施背景及操作流程,并在现场进一步进行资料收集,获取非现场阶段未能获取的流量包和语音包使用数据信息清单,判断项目的实施情况。通过以上补充实施的现场工作,审计部门基本判定该项业务为虚构交易、虚增收入。但由于审计手段有限,外部证据不够完善,分公司对此问题不予确认,问题定性及处理遇到困难,审计部门将此发现移交公司纪检监察部门,通过巡察组进一步调查处理,最终确认业绩造假,对相关业务管理人员实施问责和处理。
四、经验总结
风险扫描具有覆盖面广、时效性强、效率高的优点,但非现场审计带来的风险不确定性及全面审计带来的疑点数量大等都是风险扫描固有的缺点。若按常规路径应用风险疑点,则会导致扫描优点尽失。广东电信审计部门一方面转换角度,改风险核查派单为风险提示,辅以正向激励,促进被审计单位落实风险核查工作,释放审计资源;另一方面强化风险疑点综合分析,将大量疑点聚集至流程节点、业务场景,提升公司管控层面对审计发现的关注,促进管控措施及流程設计的持续完善。通过多年的实践,风险扫描已被广东电信各层级普遍接受与认可,成为公司风险防控体系的一项重要措施。
(执笔:周建伟)