太平金融稽核服务(深圳)有限公司
为提升内部审计质效,太平金融稽核服务(深圳)有限公司(隶属中国太平保险集团,在集团范围内提供内部稽核服务)将研究型审计作为有效手段,主动嵌入审计项目实施的各环节,形成了一套研究和项目运作的机制,涉及立项规划、审前调研、审计方案、组织实施、报告撰写等,以具体行动引领审计定位转型升级。以研究的视角和思维来开展审计,对审计发现问题从政策、体制、机制、制度等多方面入手,一方面研究审计理论和审计方法,另一方面研究引发问题的政策束缚、体制障碍和制度缺陷,准确地提出管理建议并推动整改,将研究作为核心思想贯穿审计全过程。与此同时,在“风险导向”的原则下,充分发挥研究型审计的优势,用专注精神查究细微之处,用求实精神探索根源本质,用创新精神革新审计方法,找准问题症结所在,提升内部审计履职能力。
一、项目概况
互联网保险业务在快速发展的同时也暴露出了一些问题和风险隐患,如违规经营、投诉激增、无序竞争等。保险公司在与第三方互联网平台合作时不可避免的面临着诸多挑战,尤其是对互联网第三方平台的销售管理、理赔管理、信息安全管理等方面的问题更为突出。
为摸清集团下属A保险公司互联网第三方平台保险业务风险底数、掌握管理状况、梳理风险漏洞,促进该类业务健康发展,太平金融稽核服务(深圳)有限公司专门成立审计组实施互联网保险业务专项审计,以核查A保险公司互联网保险业务在产品研发、风险防范、内部管控、消费者权益保护等方面存在的亟须改善的问题。为了可以更好地开展审计,审计组从项目立项开始就将研究作为核心思想和工作思维,并贯穿审计全过程,以研究的视角和维度来开展审计,取得了令人满意的成效。
二、研究型审计方法在项目中的运用及成效
(一)审前准备阶段
1.项目实施计划周密——目标指引战略方向。
一个详细周密的审计项目实施计划不仅利于项目管理,也为审计人员和审计工作指明了方向,将审计目标作为审计行为的出发点,凝聚资源朝着一个方向努力。审计组经过多次头脑风暴、并征求领导意见,根据项目生命周期原理研究形成了一份科学可行的实施计划,包括了审前调查、非现场分析、项目实施等不同阶段的重要节点安排,统筹考虑了审计目标、资源需求、培训需求、人员需求等,并梳理完成每个阶段的任务清单。其中将目标确定为三大方面:一是剖析互联网第三方平台保险业务存在的风险、管理漏洞和短板,以及对公司经营的影响;二是促进第三方平台业务内控体系的建设;三是锻炼队伍,提高审计人员研究问题、解决问题的能力,在实践中检验审计方法、总结经验。
2.做足做细审前调研——围绕审计目标。
一个成功的项目,离不开细致全面的审前调研。审计组集思广益,围绕审计目标制定审前调研方案。一是做实调研内容。通过测评问卷、访谈调查、交流座谈等方式了解当地经济环境、社会环境等对A保险公司的影响;了解当地政策因素、监管环境等对A保险公司的影响;了解A保险公司所处行业现状和发展趋势;了解A保险公司业务经营特点、管理风格、干部队伍情况等。二是扩大审前调研对象。审计组积极与A保险公司的上级主管部門、纪检、党委组织部等关键部门联系沟通,了解实际情况。经过调研得知,A保险公司互联网第三方平台业务发展快速、保费规模占比大幅提升,部分管理人员对互联网第三方平台业务蕴藏的潜在风险表示担忧,同时审计组也对A保险公司的管理模式和风控流程等有了初步了解。
3.将审计目标融入审前培训——解决知识短板。
根据审前调研初步了解和掌握的基本情况,审计组结合组员专业背景、工作经历等,针对经验不足之处和知识盲点,围绕审计目标任务制定针对性的培训学习计划,并邀请同业专家和经营单位资深专业人士授课、交流。通过培训,审计组成员在互联网风控模型、引流场景、信息存储、数字建构与解构、产品开发等方面有了更加全面的认识。
(二)审中分析阶段
1.双驱动研究分析重点——设立两个研究小组。
审计组以政策研究与数据分析双驱动,分设政策研究小组和数据分析小组,分别承担政策研究和数据分析任务。政策研究小组深入剖析A保险公司面对的宏观政策、行业情况、发展环境、内外部文件、发展规划、重要会议材料等,梳理审计重点,同时为数据分析提供方向指引和思路。数据分析小组以数据驱动为主导,运用价值树模型开展数字化审计,以考核数据、财务报表、业务结构等为载体,围绕综合成本率逐层分解,对影响互联网保险业务的关键绩效指标、关键驱动流程、关键控制节点进行分析,并根据因果逻辑关系和相关性进行数据采集、清洗、建模,从而识别风险、筛选审计重点。在各自分析基础上,经过两个小组讨论将A保险公司互联网第三方平台业务发展模式、风控机制、数据传输等作为审计重点。
2.以清单推动研究重要事项——形成三个清单。
根据两个小组综合研判进行双源排查,在非现场审计阶段按照“一阶段一清单”的要求对各类事项进行分析,分步骤建立分阶段重要事项清单。审前调研阶段,顺着把握总体、聚焦重点、发现问题的思路,通过研究内外部政策和主要报表数据,形成第一个清单,即重要事项初步清单,清单主要包括事项类别、事项要点、事项来源、责任人等要素。
非现场评估阶段,围绕业务特点、经营目标任务,重点关注重大政策执行和落实情况,研究A公司重要会议材料、工作报告,围绕经营数据和业务流程进行分析,形成第二个清单,即重要事项过程清单,清单涵盖事项类别、事项要点、决策程序、决策人、评估结论等内容。
具体分析阶段,进一步聚焦,对金额大、影响广、风险高、落实难,实际效果不佳,可能存在重大损失、存在体制机制障碍等方面的问题进行筛选,形成第三个清单,即重要事项核查清单,清单中明确事项类别、事项要点、涉及金额、问题或疑点表现形式、下一步检查计划、需要配合事项等内容。
3.编制具有可操作性的审计方案——作为具体作战手册。
审计组根据审前调研和非现场分析情况,制定了具备指导意义且操作性强的审计方案。方案除详细审计目标和审计依据外还包括:非现场分析得出的审计重点以及对应的审计方法、重点核查事项和计划采取的审计思路、现场检查具体行事历、根据审计人员经验和擅长领域等做出的具体分工计划等。让每位组员对自己在什么时间应该完成哪些工作心中有数,以确保在预定时间内完成任务。
(三)审中实施阶段
1.全流程扫描式研究问题实质——以业务流程为基础。
对待审计中发现的问题和线索不能止于表面,要进一步挖掘问题背后的本质。在具体检查时,结合互联网保险业务流程采取全过程扫描式梳理,秉承“一项决策一条线、一个事项全流程”的思路研究每个环节的问题,深入解析导致问题的根本原因是体制机制不健全,还是流程系统存在漏洞,是技能意识问题,还是业务模式问题。如审计发现,由于系统对接等技术不成熟,理赔系统部分业务模块存在缺陷,未对已约定赔付最高次数进行管控,导致发生多赔付的现象。
2.针对性研究审计方法——以方法研讨为突破口。
在审计方法上,审计组除了采取审阅、复核、比较及趋势分析外,还针对不同问题组织专题研讨,根据实际情况灵活调整审计方法。一是善用工具,例如采用“美团跑腿”“百度地图时光机”“卫星地图街景定位”等工具对互联网信用保证险业务标的涉及的实体或实物进行调查取证;二是善于借力,对于审计中遇到的难点和争议点,如对某制度理解有歧义或不一致的时候及时向主管部门、相关专家访谈取证;三是善用数字建模,对于审计发现的疑点,一方面建立审计模型扩大检查范围、判断风险大小,另一方面可以用数字化审计工具查找不同对象之间的关系,如通过人员关系图谱排查模型、刷单频繁投退保模型对比发现不同投/被保险人存在亲属关系、同一人同一时段在不同企业有投保记录,还发现有投/被保险人利用网络刷单频繁投退保等异常现象。
3.研究审计取证的完整性——以结论可靠为出发点。
一是研究审计取证的切入点。当发现重要问题和关键线索或者取证工作遇到困境打不开局面时,审计组及时开展相关研讨、反复推敲,研究取证的切入点、关键证据如何获取。如针对互联网保险业务场景的差异化,即不同业务有不同场景、相同业务也有可能存在多种场景的情况,审计组群策群力、分进合击、准备资料与A保险公司人员共同开展穿行测试、回溯分析,以探究业务流程是否准确和完整,控制设计是否有效,控制措施是否得到执行。
二是研究审计证据要闭环证明。闭环证明,就是从几个不同的方向进行验证能够得到相同的结论。如对某第三方平台短期健康险业务盈利模式问题的核查,初期获取的证据相互矛盾,审计组及时查漏补缺,再找其他证据,直至闭环成立,形成完整的证据链。
三是研究取证要有效沟通。审计证据固化后及时主动和业务经办人、部门负责人、A保险公司负责人进行沟通,不仅要充分听取反馈意见,进一步研究其原因及造成的后果与影响,也要注意不能就问题来沟通问题,还要基于公司利益最大化的出发点与其进行沟通,争取促使管理层从思想层面意识到解决问题刻不容缓、优化流程势在必行。另外,审计组还采取了事实确认书的方式來进一步固化审计证据。
(四)审后报告阶段
审计报告是审计工作的产品,是审计人员传递信息的渠道,是审计价值体现的主要载体,因此一份高质量的审计报告既是审计能力的体现,也是审计人员辛勤付出的收获。
1.围绕审计目标研究报告撰写——体现审计核心内容。
审计目标是开展审计的核心宗旨,能否实现审计目标是评价审计工作是否高效完成的重要标尺,因此撰写审计报告时也应以目标为中心。首先,做好报告的谋篇布局,突出主题。尤其是专项审计报告本身没有那么多条框束缚,审计组在撰写本次专项审计报告时立足“正俯视”视角,采用先总后分的结构阐述审计组的思想。尤其是在撰写审计结论时,围绕具体审计发现从产品策略、风险防控、内部管控、体制机制等方面,既实现突出重点和吸引注意力,又可以呼应审计目标。
其次,以定制化思路编制审计报告。即运用视线路径,在报告框架、各层级标题就体现报告的核心思想;报告不是简单地按照问题重要性排序,要对问题进行排列组合、提炼归纳;报告要说明被审计单位的业务该干什么、干了什么、怎么干的、干的怎么样,同时还要注意前后呼应、支撑审计目标和审计评价。如报告审计发现部分,单独把每个小标题摘出来就可以实现基本完整阐述审计结论,让阅读审计报告的人知晓A公司互联网第三方平台业务工作开展情况、管理情况、主要存在的问题和风险等。
2.从研究长效机制提管理建议——深化审计价值创造。
审计组提出高质量、有价值的管理建议,要考虑有利于推动整改,除了具备针对性、可操作性外,还要有前瞻性。即在分析研判事件发展趋势和可能出现的新情况下,协助A保险公司建立健全长效机制提出可供参考的执行方法,如针对经营模式可持续性问题、第三方平台销售宣传问题及频繁投退保等问题,构建与第三方平台业务场景密切相关的风险模型、健全风险监测干预和盈利动态预测机制,以帮助公司整改采取措施提供预测及指导。同时,还要运用吸引法则,在建议中阐述执行的好处,调动被审计单位主动整改的积极性。如针对客户如何二次转化和信息使用规划不足等问题提出完善客户二次转化举措和方案,配套产品创新和迭代流程或机制,加快提升线上产品服务能力和客户转化率,促使建议举措转化为生产力。
(五)审后成果运用阶段
审计结果的运用是实现审计增值目标的驱动。在审计报告发送后,审计组进一步分析研究,将审计发现置于新时代企业高质量发展大局中检视,扩大审计成果,实现审计发现问题和审计结果运用相互驱动、相互促进。一是进一步梳理系统性问题,开展业务探讨交流。越是重要性问题,越是系统性问题,审计成果的推广和交流越有利于组织完善相关机制。审计组根据审计发现和事实依据,经过提炼、分析和再加工,形成分享课件,在集团内部同经营单位多次交流,一方面提升一线合规风险意识,一方面萃取审计知识。二是撰写《审计讯息》及时通报风险。为及时在集团内共享审计成果,审计组梳理审计发现要情及时发布《审计讯息》,提醒兄弟单位注意防范第三方平台业务风险。三是进行理论研讨并撰写理论文章。审计组根据审计发现,站在促进行业健康发展角度,促进公司完善管理角度,形成理论研究成果,并在外部期刊发表文章《基于内审视角的互联网第三方平台保险业务发展对策》。
三、经验总结
上述研究型审计做法的运用取得了一定成效,为被审计单位优化业务模式决策提供参考,促进被审计单位完善了制度流程,总结项目经验主要有以下几个方面。
(一)“4321”提升研究型审计效果
一是建立“省情信息库”“政策法规库”“疑点线索库”“审计成果库”等“四库”,丰富审计人员知识存储。二是实施“三个一”工程,力求每个审计项目“关注一个新领域、形成一个新的检查方法、建立一套新的思维体系”。三是不断升级审计两个“模”,即开发构建审计模型和优化作业模式,凝聚审计人员智慧,不断提高审计效率。四是优化审计项目组织方式,围绕有利于审计项目科学高效开展这一中心,差异化设置审计项目组织方式,包括小组职能职责设立和工具运用的结合。
(二)提升数字化审计能力助力研究型审计
一是明确数字化审计路径。在推进数字化审计运用中,牢记“思维逻辑清晰是关键,熟悉业务流程和数据库次之,再以数据分析工具进行实践并积累经验”的思路,将数字化推广和运用与研究型审计紧密结合起来。如运用全流程分析对A保险公司互联网第三平台业务进行研究剖析,再运用社交网络分析、非结构化数据分析等对投被人关联关系、刷单频繁投退保等异常数据进行分析,助力研究型审计。二是逐步建立数字化审计能力体系。基于数字化审计的最终目标、实施过程、数据分析等培养数字化思维的审计队伍,从数学知识、分析工具、编程语言、业务理解、逻辑思维、数据可视化、协调沟通、快速学习等方面提升审计人员数字审计能力进阶。
(三)以研审重要业务和事项为关键开展研究型审计
重要业务和事项是体现公司经营规划、决策、执行、风控等的具体载体,是实现组织目标和个人目的的重要途径。因此研究重要业务和事项,是研究型审计检查的重要支点,是重要审计发现的策源地。对于本次审计项目,以保费规模大且是中小型第三方合作平台业务及其相关经营、风控、机制建设等作为检查关键点有利于支撑对被审计单位政策落实、战略目标、经营目标、合规内控等进行评价;有利于覆盖被审计单位数据真实性、内控有效性、行为合规性、决策科学性、结果效益性等;有利于深入分析研究提高审计方案的针对性,指导现场审计工作。
(执笔人:任泽华)