证券公司风险导向型内部审计之我见

严晓　曾勇华

[摘要]本文以证券公司风险导向型内部审计的现状为切入点，探讨了证券公司实行风险导向内部审计的必要性、紧迫性，分别从内部审计从业人员管理、内部审计全流程管理、基于大数据的内部审计系统三个方面对完善证券公司风险导向型内部审计提出建议。

[关键词]证券公司    风险导向    内部审计    大数据

新经济形势下，证券公司必须对资本市场的变化做出快速应对、创新产品及业务模式、完善公司治理、强化风险管理，才能在资本市场中获得持续稳健发展。证券公司内部审计部门应积极引入风险导向型内部审计，推动内部审计工作顺利进行，助力提升公司的市场竞争力。

一、证券公司风险导向型内部审计的现状

证券公司具有高风险的行业特征，资产流动性、负债比率较高，资金量巨大且交易频繁，产品结构复杂且收益不确定，交易活动必须依赖计算机管理系统。为应对经营风险，证券公司一般设立风险管理部、法律合规部、内部审计部，以构建证券公司的全面风险控制体系。

对证券行业内部审计部门的研究发现，内部审计部门在证券公司以及整个行业处于尴尬地位，因为与直接创收的营业部、投资银行部、固定收益部等部门相比，内部审计部门属于后台部门，并不能直接为公司创收。《证券公司和证券投资基金管理公司合规管理办法》和《证券公司全面风险管理规范》分别确立了证券公司合规总监和首席风险官的法律地位，二者皆为证券公司高级管理人员，任职之前必须取得证券监督管理委员会授予的高级管理人员任职资格。而同属于风险控制体系的内审部门，制度上未设置相应高级管理人员分管内审工作，间接上影响内审工作的权威性。在风险管理过程中，风险控制部门、合规管理部门与前台业务结合得更紧密，对风险的感知程度更显著;内部审计部门一般履行事后检查功能，对风险的感知存在一定滞后性。

为应对行业监管要求，同时提升风险管理能力，证券公司管理层越来越重视内部审计部门，内部审计部门也积极主动调整审计方式，从事后检查贯穿到事前和事中检查。我国证券公司内部审计部门的重要性被广泛认识，审计范围受限的情况也有所好转。

二、证券公司风险导向型内部审计的必要性

首先，证券公司实施风险导向型内部审计符合愈加严格的监管要求。在金融工作服务于实体经济的重大经济背景下，证监会已明确提出“全面风险管理”理念，修订了风险管理评价指标，使证券公司母子公司的全业务、全流程都被纳入监管范围。证券公司应基于服务实体经济开展业务，谨慎开展创新业务、高风险业务。日常经营过程中，强化风险意识，提高风险管理水平。

其次，证券公司实施风险导向型内部审计是提升市场竞争力的内在要求。有效的内部控制、精细化的风险控制是证券公司在同质化竞争中得以生存的保证。对内部审计部门而言，机遇与挑战并存。证券公司组织架构的调整、集团化国际化的业务发展、特殊牌照的子公司等因素，都对内部审计部门的审计框架、审计思路提出了更高要求。

最后，证券公司实施风险导向型内部审计是内部审计自身发展的需要。随着证券行业的发展以及监管要求的不断变化，证券公司的内部审计经历了几个阶段，从关注会计核算的财务审计到关注工作成果是否符合预期的管理审计，再到关注公司内部控制体系建设的风险导向型审计。传统的内部审计方式已经不符合证券公司的发展需要，内部审计应以风险导向引领审计思路，为公司日常经营保驾护航，助力提升股东价值。

三、完善证券公司风险导向型内部审计的措施

（一）以人为本，组建高水平团队

1.建立专业化、复合型审计团队。内部审计的质量与审计人员的专业能力高度正相关。证券公司要突显工作效果，从专业化和复合型两方面考虑组建审计团队。团队不仅要有财务、审计专业人员，还需要金融、计算机、法律、工程专业人员，形成审计团队的专业结构互补。同时鼓励前台业务人员跨条线到内部审计部门发展，形成既懂业务又懂审计的复合型人才，为风险导向型内部审计提供坚实的人才保障。

2.吸纳合规风控专员加入。合规风控专员对部门重大决策、业务风险、执业行为、客户投诉、突发事件等较为了解，对于同属内部控制条线的审计人员有着天然的“亲近感”。吸纳合规风控专员加入，必将提升风险导向型内部审计的效率。

3.引入外部业务专家。近些年证券公司新业务发展、新产品开发较为迅猛，如何及时掌握业务模式、识别风险和应对监管要求是摆在内审人员面前的一道难题。风险导向型内部审计可以引入同行业务骨干、会计师事务所专家、高校科研教师等，共同组成专家团队，有效扩充内部审计力量。在审计方法、审计发现、审计证据、成果确认等方面给予专业性指导。

4.加强继续教育和注重沟通能力。证券公司的主营业务种类繁多，不同业务之间或有交互，且内部控制点、风险点均不相同。证券公司内部审计人员应在学习最新监管政策、创新业务发展、更新审计技能方面做出努力。通过学历提升、业务研讨、行业协会等渠道进行继续教育，激发职业敏感性和风险识别能力。另外，内审人员与审计对象的沟通，应贯穿审计通知、资料提供、审计实施、审计报告、整改反馈等审计流程始终。在保证自身独立性的前提下，证券公司内部审计人员与审计对象保持良好的沟通互动，获得审计对象的配合与支持，有助于发现隐蔽的风险事项，快速获得审计证据，提高审计效率。除正式沟通方式外，内部审计人员也可利用工作餐、午休等非正式场合，与审计对象进行沟通。

（二）以事为先，将风险导向纳入审计全过程

1.内部审计计划阶段。证券公司开展风险导向型内部审计，应站在公司战略层面，整体把控公司业务风险，对各业务部门、子公司的业务进行风险评估。风险评估应结合以下要素：公司业务发展是否符合最新的行业监管要求、是否符合公司的战略目标要求、是否符合公司的业务流程规范、是否持续改善了公司内部控制。通过风险评估，确定存在风险的领域和需要审计的范围，以风险高低为依据来制订年度审计计划。在年度计划实施过程中，若因外部监管变化、市场涨跌、内部战略调整等因素导致审计计划不适用，内部审計部门还应调整年度计划并报审计委员会批准。

2.内部审计执行阶段。启动审计项目前，内部审计人员需要深入理解审计目标，报告汇报对象，针对经济责任审计、内部控制评审、信息系统审计、专项审计等不同类型的审计，应分别制订审计方案，明确审计重点难点，合理安排项目组成员，了解审计对象的管理方式和经营情况，评估潜在的重大风险。为防止隐性风险被掩盖，还应就审计事项和重大风险与被审计单位合规风控专员沟通，倾听他们的意见和建议，获取重大决策、业务风险、执业行为、客户投诉、突发事件等的第一手资料，进一步提升审计效率。工作中，内部审计人员应根据审计对象的风险特征设计并执行审计程序。除询问、观察、检查、穿行测试等常规审计程序外，对创业产品或特殊风险，应打破固有思维、创新审计方法，获取高质量的审计证据。若业务复杂，超出项目组的能力范围，应及时向上级汇报，请求相关专业人员协助。内部审计项目负责人应全流程参与审计项目，对审计质量、审计结果负责。项目负责人要总体把握项目风险，根据项目风险及组员业务能力，合理安排组员分工并协助组员解决项目问题;根据获取的审计证据，判断是否调整项目审计计划，保证内部审计项目有序推进。

3.内部审计报告完成阶段。项目负责人完成内部审计报告初稿后，应提交内部审计部门负责人进行复核，并将审计发现事项与审计对象进行沟通，获得审计对象的认可。内部审计报告的复核、沟通过程并非一蹴而就，有时需多次沟通才能定稿。审计报告定稿后，内部审计项目负责人应按照证券公司内部资料档案管理要求，对项目底稿进行整理归档。此外，项目负责人还可编写项目总结，阐述项目的审计思路、重大风险识别过程及风险应对措施，分析是否实现了审计目标，为后续的实务工作提供借鉴和参考。

4.审计对象整改反馈阶段。内部审计人员需关注审计对象的整改情况，看其是否根据报告发现事项，完善内部控制流程、完成实质性整改，敦促审计对象按期提交“整改报告”。对于短期内无法整改的风险事项，应定期开展“回头看”，促进内部审计成果转化。此外，证券公司风险导向型内部审计还应加强与纪检、监察、人力的深度融合，建立部门协作，推进信息共享;揭示风险事项，查补管理漏洞;研判处罚机制，严肃问责追责，增强审计监督的合力，形成威慑效应。

（三）以用为基，搭建基于大数据的内部审计系统

新型内部审计系统至少包括审计数据集市、非现场审计子系统、审计作业审计管理子系统、审计综合管理子系统、审计风险管理驾驶舱子系统。

1.审计数据集市。审计数据集市对证券公司的业务数据、管理数据和审计作业工程中需要用到的外部数据进行多维度管理和治理，使数据分层。贴源层保证数据的真实性和完整性;中间层建设审计方法和审计思路经常用到的信息，保证审计团队可以快速取到目标数据;指标层在贴源层、中间层的基础上利用规则形成，保证日常审计工作可以直接定位到目标数据并可追溯到中间层、贴源层数据。审计数据集市是非现场审计子系统的基础，也是审计作业管理子系统的样本中心。通过ETL处理程序，对各源系统的数据进行清洗、加工、整合，从而实现审计集市中数据的规范，为其他各模块提供强有力的数据支持。

2.非现场审计子系统。非现场审计子系统利用可视化建模、专业建模等简单易懂的数据分析工具，以审计集市数据为基础，以各审计业务和审计思路为主线，编制可视化模型，实现审计集市中数据的分析与挖掘。通过周期性地自动执行模型步骤，挖掘周期范围内的最新数据，审计人员可根据挖掘出的结果数据筛选疑点，并对疑点进行核查。非现场审计结构见图1。

3.审计作业管理子系统。该系统集成了非现场审计与审计综合管理功能。非现场审计子系统的疑点库有助于审计人员发现问题，为审计作业稽核提供数据支撑。审计综合管理功能模块中的词条、制度等为审计作业稽核提供检查依据。另外，审计作业管理模块整合审计作业中发现的问题，可追踪被审计部门的整改情况，同时提供查询统计功能，可实时掌握项目进展、整改概况及问责概况。

4.审计综合管理子系统。在综合管理子系统中可以学习监管要求、管理需要、审计知识、建模规范、历史发现、典型案件、风险体系、企业文化、专家经验、失败教训等。该系统是员工学习沟通的交流园地和经验宝库，是新型审计人才的培养基地。

5.審计风险管理驾驶舱子风险。审计风险管理驾驶舱集成了非现场、审计集市、现场作业管理数据，通过统计分析，将项目的统计信息、计划的执行情况，指标的分析情况，清晰地展示在系统中。通过风险展示，将风险落实为地图，将问题显示为矩阵图，将预警及时地反馈到人。

（作者单位：东吴证券股份有限公司，邮政编码：215000，电子邮箱：yanxj@dwzq.com.cn）

主要参考文献

高蓉.证券公司风险导向内部审计研究[D].南京：南京大学， 2018

黄都.我国证券公司风险导向内部审计优化探究[J].商讯， 2019（17）：36-37

鹿敏，张举.现代风险导向审计在财通证券公司的应用研究[J].企业改革与管理， 2018（22）：152+171