企业内部审计风险预警体系构建

张睿 丁涛 张欢 赵国婷 张宇凡

[摘要]本文从内部审计的视角出发，以企业现代化管理中形成的大数据为背景，参照霍尔三维结构模型，构建了包含时间维度、信息维度和逻辑维度的企业内部审计风险预警体系，并以具体实践为例，阐释了企业内部审计风险预警体系的运作过程，说明该体系在企业风险防控中具有的独特优势，为下一步探索提供可供借鉴的经验。

[关键词]内部审计   风险预警   大数据   霍尔三维结构   多维度

年来，随着人工智能和数字技术的飞速发展以及在各个领域的广泛应用，企业管理发生了深刻变革，呈现出信息化、智能化、创新化、多元化等特点，导致企业面临的风险错综复杂。传统内部审计在飞速增长的业务量及快速变化的内外部环境下，已经难以及时发现企业运行过程中蕴含的潜在风险，因此需要对内部审计进行数字化、智能化方向的探索，尝试通过内部审计构建企业风险的防范机制与体系。

一、通过内部审计构建风险预警机制的必要性分析

从企业管理的角度看，一方面，风险预警机制的构建依赖于健全完整的风险信息，而企业相关信息分散于各个业务部门，虽然目前多数企业已通过信息自动化平台进行日常业务处理，但是由于口径与权限问题，各个业务部门数据难以随意获取并进行综合分析。另一方面，根据国际内部审计师协会（Institute of Internal Auditors，IIA）于2020年7月发布的“三线模型”，拥有相对独立地位的内部审计部门是风险管理中的“第三线”，因其自身业务特点和工作性质，在工作过程中能够获得企业各个方面的风险信息，同时能够利用自身较强的风险敏感性以及较为全面的制度认知等优势，对企业存在的风险进行及时、全面感知，并通过沟通协调向企业战略层、管理层（第一、二线）进行预警和反馈。因此，通过内部审计构建企业风险预警机制较为妥当。王鹏（2011）设计了动态监测预警模型，鲁爱民（2012）对审计预警系统的构成要素进行了梳理，生丽英（2017）研究了人工神经网络在预警模型中的应用。但总体来看，上述研究主要集中在自动化技术在预警体系中的运用，在通过内部审计构建风险预警体系的整体框架和系统性方面的研究还比较少，实践效果有待进一步提升。

二、企业内部审计风险预警体系的瓶颈分析

虽然内部审计具有构建风险预警机制的天然优势，但现阶段受内部审计工作特点影响，在构建风险预警机制方面还存在一定的瓶颈和局限性。

（一）内部审计的人工依赖导致风险信息覆盖面不足

内部审计工作对专业人士的相关经验依赖程度较高。在传统审计模式下，内部审计工作根据内审人员进行的专业判断选定审计领域、抽取样本、作出审计判断。其中，审计领域选择受审计人员主观判断与个人经验影响，难以客观覆盖全部风险领域，抽取樣本受人工效率限制，所处理数据规模不够大，难以匹配企业实际发生业务量，致使企业部分业务领域及大量单元业务无法被有效覆盖。近年来，随着内部审计工作信息化水平不断提高，上述问题得到一定程度的改进，但与此同时，大量审计数据的存储、链接、分析的难度加大，对审计人员的专业素养要求更高，分析的全面性和客观性直接影响风险信息的覆盖面。

（二）内部审计的周期性导致风险监测持续性不足

现阶段，企业内部审计工作具有周期性特点，即在一个审计周期内，对上一个周期的业务运行和风险管理状况进行审计，周期性审计任务结束后，撰写审计报告、进行整改和多样化应用成果，然后进入下一周期的审计。该种模式下，审计监测呈现“时点、时段审计监测”，但现阶段企业风险是持续性的，随着业务的发生而连续存在，在这种情况下，内部审计难以对企业风险进行持续关注和监督。

（三）内部审计的静态模式导致风险反馈时效性不足

内部审计工作多以过去已发生的业务和数据为审计资料，绝大多数情况是对已发生业务的一种静态模式下的监测与分析，因此难以对企业产生的业务数据进行实时监控，随着企业信息化、智能化水平不断提升，业务流程的更新频率和风险暴露速度不断加快，审计监测的“时点、时段审计”难以满足异常数据实时产生和风险需要被“实时监控”的要求，导致风险反馈的时效性不足。

（四）内部审计的事后监督导致风险预警前瞻性不足

风险预警需要具有前瞻性，即需要通过对海量数据进行水平对比验证和垂直相关分析，发现其中蕴含的发展趋势和相关规律，并根据这些规律去预警相关风险发生的可能性。但在现有审计模式下，内部审计是一种“事后监督”，面对信息结构复杂、类型多样的海量数据，从已经发生的业务中发现其中存在的问题时，往往缺乏对风险规律性、趋势性的总结与分析，难以对风险进行前瞻性预测。

（五）内部审计的部门视角导致风险覆盖全量性不足

传统内部审计工作一般是“以点带面”，通过暴露的问题判断风险管理的状况。但目前很多企业存在顶层战略、信息传递与实际执行相脱节的情况。内部审计从自己部门的视角出发，难以从战略的高度对业务层面的总体风险进行全量分析。与此同时，内部审计在数据分析的深度融合运用方面还存在思路、手段与技术上的欠缺，在交互融合运用与数据综合覆盖方面不足，难以研究和分析全量数据，找出业务运行的薄弱环节。

三、企业内部审计风险预警体系框架构建

内部审计风险预警体系是基于对内外部信息资料的大数据分析，以独立、综合、内生、广泛、再监督的内部审计为基础，通过对风险评估结果及内部审计发现的问题进行梳理，对可能影响企业战略及业务目标实现的风险事件及高风险领域进行识别，并据此向相关战略层、管理层和执行层等发出预警的一个有机体系。基于前文分析，为克服现阶段内部审计风险预警体系存在的覆盖面、持续性、时效性、前瞻性及全量性等方面的不足，本文引入霍尔三维结构模型作为构建框架，将风险预警体系构建基于一定的理论架构下。

（一）霍尔三维结构模型原理及构建思路

霍尔三维结构模型最早由美国系统工程专家霍尔（A.D.Hall）提出，该模型是将时间维度、信息维度和逻辑维度融合在一起的三维立体空间结构，具有综合性、程序性和系统性等特点，旨在为大型、复杂系统的组织、运行和管理运行提供方法论。其中时间维度是指按时间进程推进的不同工作阶段，信息维度是指系统运行中支持的各种专业信息与知识，逻辑维度是指该系统运行过程中涉及到的不同逻辑层级。内部审计风险预警体系是立体结构，其构建涉及不同步骤和不同作业的相关信息以及不同层级和企业业务的不同部门，因此可应用霍尔三维结构模型进行研究。

在上述霍尔三维结构模型的基础上，根据本文内部审计风险预警体系的构建思路，为时间、信息及逻辑维度赋予新的含义。其中根据风险预警流程将时间维度划分为风险监测、风险识别、风险预警和风险反馈四个阶段，根据数据集成分析程度将信息维度划分为业务系统层、全量数据层、数据挖掘层、成果交互层四个层面，根据企业风险预警体系参与决策的权限将逻辑维度划分为战略层、管理层和执行层三个层级。具体结构见图1。

（二）企业内部审计风险预警体系构建维度

1.时间维度。时间维度具体指风险预警体系的程序性进程，主要包括风险监测、风险识别、风险预警和风险反馈四个阶段的内容。其中风险监测是指内部审计利用信息输入接口，通过开展不同类型的审计项目等方式，对收集到的企业内外部信息进行常规监控。信息输入端口不是仅局限于企业内部的封闭环境，而是一个包含外部相关信息的开放体系。在经济发展新常态和大数据的背景下，外部的经济环境、政策背景以及市场信息对于识别企业风险尤为重要，该部分信息可以通过外部官方网站或权威机构获取。风险识别是指在内部审计前期风险监测的基础上，通过数据进行分析和对其中的信息进行挖掘，与当前风险监测设定的审计阈值进行对比，当结果超过设定的审计阈值时，发现在企业运行过程中存在的风险隐患。该版块中，内部审计人员发现风险信息后，通过专项核实，确定并评价企业运行的风险水平状态和风险等级。风险预警是该体系的核心版块，根据风险识别环节中确定的风险水平状态进行分类处理，对不同等级的风险启动不同的实质性预警实施流程，即在风险进一步扩大或造成严重后果之前，由企业内审人员按照风险等级前瞻性评估将风险信息传递给执行层、管理层和战略层。同时内部审计人员要利用自身专业优势，有针对性地提出可供参考和借鉴的应对策略和管控措施。该风险预警体系并非在预警后结束，更重要的是对风险进行后续追踪，即进入风险反馈环节。风险反馈是建立在前期风险预警的基础之上，在发出风险预警后，对风险进行持续追踪，判断风险是否排除或者降低至设定的阈值之下，在最短的时间内减少风险，从而降低或避免给企业带来的损失。与此同时，内审人员根据此次风险发生事件对基础数据库进行调整，必要时对风险事件库的预警指标进行更新，以便更好地应对未来风险事件。具体流程见图2。

2.信息维度。根据数据集成分析程度将信息维度划分为业务系统层、全量数据层、数据挖掘层、成果交互层。该维度的核心目标是从各个部门及各个业务系统无缝获取准确的全量数据，对数据进行标准化处理，挖掘分析信息，从中发现风险隐患，进而进行风险预警。其中业务系统层指内部审计通过对接企业财务管理、ERP、采购、固定资产管理、车辆管理等子系统，实现对企业财务管理、人力资源管理、采购管理、后勤管理、销售管理、工程管理等全口径业务、全流程数据的采集。该部分信息采集也包括企业内部不同业务部门的定期上报、内部管理机构日常统计等，内部审计也可以通过跨部门、跨系统联动，多专业、多数据、多系统、多维度进行关联审计，挖掘隐藏在业务中有价值的数据信息。该部分可以通过企业探索建立专门的信息采集平台，来提高信息采集效率。业务系统层的建立实现了分散于企业内部各个部门、各个业务流程数据的基础汇集，为预警体系构建了基础的数据信息库。全量数据层是指内部审计通过持续监测采集相关数据并按照类别纳入基础数据库后，对其采取不同的策略进行加工，旨在打破不同数据系统之间的壁垒，实现数据集在口径、量纲等方面具有现实可比性，并在必要时对复杂、交叠、错层的数据采取干預措施，降低信息误导，为持续不断地进行风险监控提供数据支撑。数据挖掘层是信息维度的核心版块，该层级需要内部审计人员借助模型与指标来对上层级标准化处理后的信息进行分析，通过特征抽取和异常检测等环节，敏捷地捕捉到企业的风险点，把握风险的动态变化，以实现对风险的有效监控与把控。成果交互层是指内部审计人员采用多种方式，如风险地图、审计报告、风险提示函等对数据挖掘层发现的风险进行提示和显现化。具体流程见图3。

3.逻辑维度。逻辑维度即根据内部审计风险预警体系参与决策的权限分为战略层、管理层和执行层。逻辑维度中层级的划分主要有两方面意义。一方面，按照内部审计风险预警等级，较低等级的风险仅会对部分业务部门即执行层产生影响，因此仅需内部审计人员对相关业务部门发出预警，预警方式包括邮件、简报或电话通知等。中等层级的风险会对多个部门甚至整个企业的运营管理产生较大的影响，因此需要内部审计人员从管理层开始进行预警，预警的方式也更加严肃，包括多个部门联席会议、正式的风险提示函、专题风险报告等形式，目的在于提请相关业务部门及管理层重视并研究风险的防范与控制。管理层在收到风险预警后，会分解至执行层解决，从而消灭风险。较高等级的风险会对企业产生较大范围的影响，造成较大的损失，需要内部审计人员提请战略层采取相应措施规避风险，预警方式包括专题报告、越级汇报等。对于紧急的风险，要立刻让战略层知晓，旨在使其迅速认识到问题的严重程度，对潜在风险保持警觉，并立即采取措施，分解至管理层和执行层解决，避免风险带来严重后果。预警形式要强调时效性，尽可能缩短中间环节，对于非紧急但影响广泛的风险，内审人员可以从体制机制等方面提出建设性意见，以促使战略层不断推动风险的降低。另一方面，风险预警是在企业总体战略的引领下，根据企业战略目标的设定，通过管理层进行传导和分解，最终落实在执行层面，因此企业执行层面必须与战略层的目标一致，这是控制既定战略执行风险的首要问题。具体见图4。

通过霍尔三维结构模型从时间维度、信息维度、逻辑维度构建内部审计风险预警体系，利用循环的时间维度、全量的信息维度、多层次的逻辑维度，较好地克服了风险监测持续性不足、风险反馈时效性不足、风险预警前瞻性不足和风险覆盖全量性不足的缺点。

四、企业内部审计风险预警体系构建实践

目前，我国某企业充分发挥内部审计职能，在基于霍尔三维结构模型构建企业内部审计风险预警体系框架方面进行了实践探索，实现了大数据背景下动态、有机的内部审计风险预警框架体系构建，为下一步探索实践积累了可供借鉴的经验。

（一）风险预警体系构建的基础是大数据的充分运用

风险预警体系的构建需要以企业大数据的运用为基础，提升从原始数据信息的采集到过程中对数据进行加工整理，再到对数据进行分析和挖掘，最后到预警信号的传递和反馈等环节下对数据挖掘和运用的能力。该企业已经深刻认识到数据对于内部审计构建企业风险预警体系的巨大优势，并不断倾斜资源加强企业数据基础工程建设。

1.在业务系统层，内部审计构建风险预警系统的数据来源为企业各个业务系统的数据库，每日业务终了后，在业务系统空闲时段，业务系统层自动启动数据同步程序，将当日新增数据提交至全量数据层进行整理和归纳。在具体实践中，该企业内部通过ERP、SAP等系统间的数据共享，共同完成了大数据池建设，为建立内部审计的风险预警体系建立了良好的基础。

2.在全量数据层，为全面覆盖企业面临的风险，切实实现数据分析结果可运用，该企业内部审计部门在前期全面收集基础数据的基础上，对大量的结构化和非结构化数据进行相关整理。

3.在数据挖掘层，该企业通过数据模型对数据进行深入分析以更敏捷精确地发现风险点。具体实践中使用了聚类分析、特征分析、分类分析等常见数据分析模型和神经网络等数据挖掘方法对风险点进行甄别和预警。其中数据挖掘层是企业内部审计风险预警体系中信息维度的核心版块，也是企业大数据运用能力的集中体现。该部分主要分为特征抽取和异常检测两个阶段。具体见图5。

（1）特征抽取阶段主要是抽取下一阶段进行分析或建模的数据合集。特征是指能区别正常业务和异常业务的典型数据字段。该企业根据财务、采购、资产、人事等具体业务事先定义形成的特征库，进行特征抽取，即在预分析数据表中仅提取特征字段，降低数据建模的维度，使模型聚焦于关键字段。特征还可以预定义属性，明确特征字段的基本数据结构和内容，常见的属性包括维度、类型、取值限定值、分类、预定义异常特征等。

（2）异常检测主要通过规则和数据建模的特点寻找异常点。所谓异常点，是指与正常业务数据有明显区别的小概率数据，这类数据往往是业务异常的直接表示或先兆提示。实际应用中主要采取异常特征检测、概率分布检测和机器学习检测三种方法。其中异常特征检测为结合业务实际，对可直接认定为异常的特征进行预先定义，形成异常特征库，通过与异常特征库进行对比分析，发现异常点。概率分布检测即对无法直接获得异常特征的数据，采用建模的方法检测异常点。具体实践中一般提取当日前两年的数据，根据特征抽取特定的数据集合，作为建模的基础数据库。对单维数值型数据，首先考虑采用概率分布的方法检测异常点，作为数据假设的一个概率分布模型，根据数据拟合的情况来估计假设的符合性，如符合，通过检测数据的发生概率来判断是否为异常点。对于多维数据，概率分布估计更为复杂，也难以达到较好的效果，因此该企业采用机器学习的方法进行异常检测。机器学习主要分为有监督学习和无监督学习两类。有监督学习需要获取标签化的训练数据，但人工进行大量标签标注的成本太高，在风险预警模型中并不适用。无监督学习不需要先验知识，主要通过循环和递减运算自主学习数据的分布或数据与数据之间的关系，在构建风险预警模型中较为适用。

4.在成果交互层，该企业通过风险分析报告、风险提示清单、专题报告等内部审计常用成熟形式，以数据可视化方式和预警处理流程实现对预警信息的后续处理。数据可视化将算法处理的过程和结果以图形化的界面进行实时展示，帮助内部审计人员观察异常点与正常数据集的偏差程度。根据预警处理流程，下一步则是对预警信息的后续处理进行流程控制，由特定人员对预警信息进行分发和核实，确认是否存在问题，消除风险隐患。同时将结果反馈给不同逻辑层级，更新特征库，并通过积累形成标签数据，进一步优化算法。

（二）预警体系构建的核心是三维间的相互支撑与融合

通过霍尔三维结构模型构建的风险预警体系是一个有机整体，时间维度、信息维度和逻辑维度之间并不是相互孤立存在的单元。三个维度相互交织，相互支撑，共同构建内部审计的风险预警体系。

1.时间维度与信息维度相互支撑。从时间维度来看，风险监测环节对应信息维度的业务系统层和全量数据层，通过从业务系统提取相关数据，汇集成全量数据层，从全量数据层中进行风险监测。风险识别环节对应信息维度的数据挖掘层，通过对海量数据进行分析和挖掘，发现其中蕴含的风险，即进行风险识别。风险预警和风险反馈对应信息维度的成果交互层，即内部审计人员通过对数据挖掘和分析的结果开展风险预警，并根据数据结果进行风险指标的调整，优化风险指标库，进入反馈环节。

2.时间维度与逻辑维度相互对应。时间维度中风险监测环节主要对应逻辑维度中的执行层，由执行层的各个业务系统提供相应数据，形成全量数据库进行监测。风险识别环节是独立的一环，主要由相对独立于执行层、管理层和战略层的内部审计完成。风险预警环节对应逻辑维度三个不同的层次，即根据不同的风险等级采取不同方式报送不同的逻辑层级。风险反馈由内部审计人员对风险进行持续追踪，监督检查执行层是否采取恰当措施将风险降至可接受水平，主要通过内部审计人员与执行层共同完成。

3.逻辑维度与信息维度相互嵌套。从逻辑维度来看，风险预警是一项全组织、全系统性的工作，有效的组织架构和明确的职责划分是风险预警体系有效运行的前提和保证。其中战略層是企业的最高决策机构，在大数据方面进行全局的指导与支撑，负责获取数据的战略目标、重大决策、工作方向等，同时负责协调数据资源、企业重大事项和工作任务。管理层为相关数据的直接管理机构，应根据业务需要变化对数据轴进行辅助管理，负责数据相关工作的日常协调及成果推广等。执行层一般对应的是各个业务部门，是原始数据的主要提供者，应落实数据管理相关工作，整合实施任务，及时进行反馈和调整，加强数据应用，实现数据价值。

（三）风险预警体系构建的关键是三维的动态循环

内部审计风险预警体系就是充分发挥审计的事前预防功能，将风险因素置于动态审计预警系统的持续监测下，将监测结果与监测标准进行比对，分析风险因素变化趋势，对可能引发的风险作出预警，并采取干预措施防止事态的进一步发展。该预警体系是一个跟随风险变化而敏捷动态的过程，例如，某企业构建的风险预警体系在实践过程中，在三个维度上均是一个不断循环的动态体系。其中在时间维度上，通过风险反馈环节，进行预警信号的回应跟踪，观测风险是否降低至阈值之下，或者根据预警风险对数据挖掘指标进行调整，建立更健全、完善的指标分析体系。此外，内部审计风险预警体系除了向管理层和职能部门提示预警外，还有一项功能是揭示内部审计下一步工作的重点关注领域，在一定程度上起到风险导向审计的作用。在信息维度上，成果交互层应对高风险业务领域展开持续循环跟踪审计和评估，以检查责任部门采取相应纠正措施的有效性和效果性，并根据纠正措施完成后的业务状态重新进行风险评估，直至将风险降低至可接受水平。在逻辑维度上，战略层通过设定战略目标，自上而下来指导管理层、执行层的具体业务，同时通过战略目标的设定来明确企业风险确定的总体性目标。执行层、管理层通过层层把控相应风险，有效将战略层面的风险降至可接受水平。

[作者单位：中国太平洋保险（集团）股份有限公司，邮政编码：710004，电子邮箱：zhangrui-080@cpic.com.cn]

主要参考文献

[1]陈莹，林斌，何漪漪，林东杰.内部审计、治理机制互动与公司价值：基于上市公司问卷调查数据的研究[J].审计研究， 2016（1）：101-107

[2]刘国城，王会金.大数据审计平台构建研究[J].审计研究， 2017（6）：36-41

[3]刘天斌，胡宇.风险地图在改善经济责任审计中的作用[J].中国内部审计， 2019（2）：40-45

[4]时现，田选章，于伯新.风险管理审计研究：基于企业内部审计视角的分析[J].中国内部审计， 2010（6）：26-31

[5]苏霞，张晶晶，尹国强.价值增加型业审融合审计新模式研究：以雄安电网为例[J].中国内部审计， 2019（9）：71-75