基于Bow-tie模型的风险管理审计

来源 :中国内部审计 | 被引量 : 0次 | 上传用户:new_java
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘要]Bow-tie模型具有可视化、发散性等特征,广泛应用于各行各业风险管理领域。本文以基层央行安全保卫管理审计为例,对运用Bow-tie模型开展风险管理审计进行了初步探索。
  [关键词]Bow-tie模型    基层央行    风险管理
  随着金融创新、信息技术发展以及业务的转型升级,基层央行履职的内外部环境发生了显著变化,面临的风险种类越来越多,风险管理难度加大。人民银行内审部门作为第三道防线,以风险管理审计为抓手,在防范风险方面发挥了积极作用,有力促进了基层央行完善组织治理。2018年1月出台的《审计署关于内部审计工作的规定》明确将“对风险管理实施监督、评价和建议”作为内审工作的主要职责之一,对内审部门开展风险管理审计提出新的要求。但从审计实践来看,基层央行在风险管理审计理念、技术和方法运用等方面仍存在一些瓶颈,影响审计成效的发挥。
  一、Bow-tie模型的主要特征
  Bow-tie模型最早由澳大利亚昆士兰大学提出,因其形状像左右对称的蝴蝶,又称蝴蝶结模型,其典型结构如图1所示。Bow-tie模型包含四大基本要素,分别是危险源、风险事件、潜在结果以及安全屏障。在Bow-tie模型中,风险事件往往伴随着危险源次生出现,每个风险事件都有对应的风险源,而每个风险源往往有多个风险事件伴随,预防性屏障即在事前设置相应的控制措施,以降低事故发生的可能性,而纠正性屏障是在事故发生后,通过相关补救方法降低事故的影响程度。简言之,Bow-tie模型就是在事前事后对某一风险事件通过设置屏障的方式进行风险管控,降低结果发生概率或严重程度。从现代风险管理理论角度看,Bow-tie模型作为一种先进的分析工具和方法,同样适用于基层央行风险管理审计。
  Bow-tie模型分析法具有四个明显特征:一是高度可视性。能够直观、详细地看到风险事件的全部起因、后果以及所采取的安全屏障措施;二是管理动态性。在管理过程中,允许通过设置、评估、更新和调整安全屏障等方法,及时防范和控制风险;三是分析发散性。随着风险认识水平的提升以及环境和方法的变化,对风险源的识别、影响路径和事件后果的分析将更加全面、具体和深入;四是因果对应性。能够用图形直观地表示出整個事故发生的全过程和相关定性分析,原因和后果对应关系十分明晰,帮助人们在事故发生前后采取有效措施来预防和控制事故的发生。
  二、风险管理审计的瓶颈
  近年来,基层人民银行对风险管理审计进行了积极探索,在促进履职风险管理方面发挥了一定作用。但从审计实践来看,风险管理审计的效能未能充分释放,存在明显的制约因素。
  (一)导向不明确
  风险管理审计要求以风险为导向,围绕风险识别、风险分析和风险控制等情况开展审计。但有的审计人员审计理念明显滞后,仍然停留在账项审计等传统审计,以制度执行为基础进行审计,缺乏危险源、安全屏障、预防性和补救性风险管理等风险管理概念,导致审计目标导向和方法导向发生偏差。无论在审前准备阶段、现场审计阶段还是审计成果运用阶段,审计针对性不强,未将审计重点和审计资源聚焦在风险揭示和防范方面,从而制约了审计工作的深入开展。
  (二)重点把不准
  审计重点的选择和把握对风险管理审计效果至关重要。在风险管理审计过程中,有的审计人员未能从掌握的审计资料中有效梳理出重点内容,对形成事故的风险源、影响路径、控制措施的有效性以及产生的后果认识不清,因果对应关系不明,未掌握全面的风险管理过程,审计重点的把握不能切中要害。另外,在风险分析和评价过程中,对重要风险的识别、分析和评价工作不到位,未能抓住关键业务、关键环节、关键风险,致使风险管理审计成果大打折扣。
  (三)风险查不清
  由于审计理念落后和审计方法不适用,风险管理审计内容不够全面,对部分风险点的审计仍有疏漏,未能对所有风险实施全覆盖并进行全过程审计。各类风险点是风险管理审计评价的主要内容,对风险点的分析和研究是实施现场审计的重要基础和前提。如果审计内容不全面,未能揭示主要风险控制情况,审计意见和建议就会缺乏针对性和实效性,审计结果就不会引起审计对象的足够重视。
  (四)方法不适用
  恰当运用风险识别技术和方法,准确识别被审计单位和业务领域风险事件,是有效开展风险管理审计的关键环节。有的审计人员风险识别和防范技术较为落后,仍然采用调阅资料、翻看制度等传统方法,较少使用穿行测试、流程分析、情景模拟等现代技术,难以准确识别被审计单位和业务领域的风险源和风险事件,对预防性和补救性控制措施缺乏全面分析,影响审计质量的提高。
  (五)成效不明显
  在审计成果运用方面,内审部门一般通过审计报告、内审建议书等形式,向被审计对象传递改进风险管理的信息,但是由于审计发现层次较低,主要是一些操作性问题,审计发现的风险揭示力度不足,特别是对风险识别、风险应对、信息交流和监督检查等风险管理缺陷审计不到位,无法提供完善风险管理的有效审计意见和建议,难以契合被审计对象对风险的关注,从而制约审计成效。
  三、Bow-tie模型在风险管理审计中的应用
  在风险管理审计实施的各个阶段,科学应用Bow-tie模型,有利于消除瓶颈,提升审计成效。因为Bow-tie模型和风险管理审计有着许多共同点和契合点,主要表现在:两者均以风险点为分析对象或审计对象;均以研究和查证安全屏障或内控措施为重点;均注重风险事件的起因、发生和后果的全过程判断和评价;均以改善和提升风险管理和组织治理水平为目标。基于上述诸多共同因素,Bow-tie模型和风险管理审计能够实现有机结合,既可以运用模型支持风险管理审计的顺利开展,又可以运用风险管理审计成果,不断完善Bow-tie分析模型,更好地服务业务领域防范和控制风险的需要。现以基层央行安全保卫管理审计为例,说明Bow-tie模型在风险管理审计中的应用思路和做法。   (一)审计思路
  以Bow-tie模型为基础,按照“建立模型→模型比较→审计查证与评价→审计意见与建议→完善模型”的思路开展风险管理审计,实现服务组织治理的审计目标。
  (二)模型建立
  建立模型是审计计划阶段的一项重要工作,围绕建立Bow-tie模型,积极做好审前准备。一是收集资料。充分收集与业务领域有关的各项制度、规定、流程和具体要求,了解审计对象的内部控制环境,梳理并列出风险事件清单;二是评估风险。分析重要风险事件的原因,找到可能导致事故的风险源,并判断其可能诱发事故的具体路径,列出风险源与风险事件的因果对应关系,评估业务的固有风险;三是评价后果。分析风险事件可能导致的损失和后果;四是设置控制。从审计视角分析应建立的预防性和补救性控制措施;五是建立模型。通过内审人员头脑风暴,针对内控措施失效的情形开展讨论,然后以风险源、传导路径、风险事件、后果以及需要设置的安全屏障为关键要素,建立Bow-tie模型,将风险识别的结果以图形形式表现出来,让审计人员直观地了解审计重点、目标和风险,做到风险引导审计。
  在安全保卫风险管理审计中,有发行库区安全管理、押运管理、枪弹管理以及安防系统管理4项重点审计内容。通过Bow-tie模型归类筛选,识别出11项固有风险事件,分别为:在发行库管理方面,识别出发行库受到外部攻击、安全事故或自然灾害导致发行库被损毁、守卫值班人员伤亡3个固有风险事件;在押运管理方面,识别出押运途中钱款被盗抢、押运途中发生交通事故、押运途中发生人员伤亡事件3个固有风险事件;在枪弹管理方面,识别出枪弹被偷盗、枪弹账实不符以及枪弹保管使用不当引发人员伤亡3个固有风险事件;在安防系统管理方面,识别出未严格按照要求部署和使用系统、安防系统被非法入侵导致系统故障或敏感信息被盗两个固有风险事件。以汽车押运业务为例,审计人员通过现场查看、跟班作业、询问、访谈等手段,对汽车押运发生交通事故的原因进行梳理,识别出押运车辆发生交通事故的固有风险事件,并通过推导和原因分析,绘制押运车辆发生交通事故的事故树模型,如图2所示。
  根据风险事件评估结果及审前分析判断,初步建立Bow-tie模型,如图3所示,为顺利实施现场审计打好基础。
  (三)模型运用
  运用Bow-tie模型辅助现场审计,能够推进审计进程的顺利开展,做到目标明确,思路清晰,内容全面,重点突出。在提高审计效率的同时,审计质量亦得到充分保障。根据前一阶段确定的主要风险点,调查内部控制环境,检查相关档案记录,观察业务活动和内部控制体系建设及运行情况,并通过穿行测试、现场查看、询问访谈、情景模拟等手段查找审计线索,了解被审计单位的内部控制,实际评估风险控制情况。
  安全保卫管理审计时,运用初步建立的安全保卫风险事件Bow-tie模型,从风险识别、风险评估、风险控制等方面,围绕模型中的关键要素进行审计查证,通过模型比较和验证,实地评价安全保卫风险管理状况。以上述押运车辆交通事故模型为例,审计发现在事故风险管理方面存在问题,如风险认识不清,对风险源的排查和梳理不到位,没有意识到车辆维修保养的重要性,未将车辆维护、押运前风险教育等关键影响因素作为风险源,致使风险要素识别不全面;安全屏障设置不到位,在车辆配备、调度和管理方面缺少相应的制度流程,仅凭借习惯或经验做法,如在借用外单位车辆押运管理方面无相关制度规定等;风险传导路径和后果识别不到位,致使交通事故風险防范和控制能力薄弱,如应急预案不合理,内容不具体、不准确,加之日常未组织应急演练,发生车辆交通事故的突发事件处理能力明显不足。
  (四)模型完善
  完善模型是审计报告阶段进行成果转化与运用的重要表现。通过现场审计的Bow-tie模型运用、分析、比较与评价,基本可以得出被审计单位的风险管理现状。在此基础上,针对审计发现的问题,提出Bow-tie模型修改和完善的审计意见和建议,以便相关单位和业务部门进一步强化风险管理。一份针对性强、可操作的审计报告,可以有效引起业务部门的关注,从而提高审计成果的利用程度。由图1可知,当风险事件发生后,要采取相应的补救措施降低风险的影响程度或制止风险继续发生,而审计对于发现问题的“补救措施”主要体现在原因分析和审计意见上。对图1中的标准Bow-tie模型进行改良,应用到审计的原因分析和审计意见撰写上,将右半部分用作审计问题原因分析和审计意见的撰写,以此来提高审计意见的可操作性,提高报告使用者的认可程度。
  以安全保卫审计为例,针对图2中发现的审计问题,开展原因分析,并有针对性地提出加强应急演练、行前教育,注重车辆日常维修保养等审计意见。安全保卫和货币金银部门结合审计意见和建议,建立并完善相关风险事件的Bow-tie模型,运用于日常工作和风险管理,以进一步增强风险防范和控制能力,促进安全保卫管理工作整体水平的提升。
  总之,Bow-tie模型在风险管理审计中的运用,能够实现审计双方共赢,既能提高审计绩效,又能强化风险管理;既能提高审计站位,拓宽审计视野,又能回应被审计单位对风险的关切;既能充分发挥内部审计的监督、评价和建议职能,又能为组织治理水平的提升贡献内审智慧。在Bow-tie模型运用过程中,审计人员要学会运用科学审计思维,辅以先进审计工具和手段,与被审计单位保持密切沟通和经常性互动了解,以有效防范和控制风险为目标,结合现行制度规定、流程设计和职责履行,及时完善Bow-tie分析模型,不断提高日常风险管理能力和水平。
  主要参考文献
  程福垒.我国基层央行风险管理研究[J].中国内部审计, 2017(6)
  程学庆,王睿.基于蝴蝶结模型的高速铁路车站安全风险管理[J].铁路运输与经济, 2015(12)
  邓昕,卢米.基于风险管理的人民银行分支行内部控制评价[J].审计月刊, 2008(7)
  李露露.风险导向内部审计在人民银行风险管理中的应用[D].北京:首都经济贸易大学, 2015
  刘黎燕.基于COSO全面风险管理框架下基层人民银行的内部控制研究[D].昆明:云南师范大学, 2014
  辛树人,陈震宇,路勇.基层央行风险管理研究:基于COSO风险管理框架的新视角[J].金融发展研究,2012(1)
其他文献
中国内部审计协会于2018年4月至11月组织开展了“审计报告质量提升”优秀成果展示活动,涌现出一大批创新性、典型性高质量审计报告。协会会长鲍国明总结了此次审计报告质量提升活动成果的五大宝贵经验:一是科学选取审计项目、周密做好审前准备是提升审计报告质量的基本前提;二是明確审计质量标准、建立审计质量控制体系是提升审计报告质量的关键举措;三是做到报告形式规范、确保内容真实客观是提升审计报告质量的核心要求
期刊
鞍钢集团审计部投资审计处目前编制共5人,  2014至2016年共完成重大审计类项目35项,发现问题金额38.38亿元,其中审减工程结算款7.14亿元、促进增收节支5205.87万元、揭示损失浪费金额11.21亿元、违规金额4.55亿元、其他金额11.93亿元;发现问题515条,提出建议245条,移交案件线索14项,并通过审计报告提出有针对性的审计建议和整改要求,跟踪问题整改成效显著,为企业增加效
期刊
[摘要]本文通过对当前中介机构审计质量存在的问题进行分析,从事前、事中、事后三个阶段全方位多角度提出提升审计质量的措施,探讨构建创新型“四规范一平台”审计中介机构管理体系,切实发挥审计监督效能。  [关键词]投资审计 中介机构 质量创新 管理体系  随着电力体制的改革和依法治企的不断深化以  及中央对审计工作的不断重视,电网企业内部审计工作越来越重要。投资审计任务的增加,使中介机构越来越多地参与到
期刊
[摘要]利用基于“用户画像”原理的信息化审计手段辅助审计工作开展,可以灵活定制信息化审计模式,支持日常审计业务工作,规范审计工作流程,实现审计结果自动评价,进而完成审计数据的挖掘分析,为相关经济管理工作提供决策依据。  [关键词]内部审计 用户画像 信息化 审计模式  一、“用户画像”原理与洞悉审计需求  信息化审计是在审计中充分利用信息技术并深入应用信息系统。信息化审计具有客观性、重在应用、开放
期刊
[摘要]经济责任审计作为中国特色的经济监督制度,在审计工作中具有十分重要的意义。本文针对制约经济责任审计发展的主要瓶颈,创新构建“全程动态健康档案管理”评价体系,实现对企业领导人员履职情况的动态监督,探索科学、合理的经济责任审计方法,以帮助企业及早防范风险,促进效益提升。  [关键词]审计 动态 健康 档案  一、理论基础  作为对领导人员实行监督的有力手段和重要环节,经济责任审计是我国审计工作中
期刊
[摘要]整改工作是内部审计成果运用的重要途径,建立健全内部审计整改机制具有重要意义。本文基于PDCA理论构建了整改框架,将整改工作分为审计部门发现问题并提出整改建议、被审计单位整改、审计部门后续审计、审计部门对整改工作发表意见四个阶段,并以BG公司为例,将该理论框架运用到实践中。  [关键词] PDCA理论 内部审计 整改 闭环管理  本文系江苏省高校品牌专业建设工程基金资助项目(TAPP)  一
期刊
[摘要]民营隐性集团客户信贷风险防范难度日益加大,商业银行应充分发挥内部审计优势,保障民营集团客户信贷业务有序发展。本文探讨了民营隐性集团客户信贷业务的风险点,分析了识别民营隐性集团客户的审计方法,提出了化解民营隐性集团客户信贷风险的审计策略。  [关键词]民营隐性集团 商业银行 内部审计 信贷业务  民营隐性集团客户是指商业银行未能按集团客户管理要求进行标识、授信和日常管理的由多个民营法人
期刊
[摘要]全面风险管控评价审计是基于全面风险管控发展而提出的一种审计形式。本文研究了全面风险管控评价审计标准的确立、模型的建立、运行的效果等,阐明了施工企业建立全面风险管控评价审计的必要性。  [关键词]施工企业 风险管控 评价审计 大数据  为企业决策层定期提供风险管控结果,是全面风险管控评价审计与全面风险管控体系相互关联的核心功能。全面风险管控评价审计作为一种独立、客观的评价活动,以全面风险管控
期刊
[摘要]本文结合电网企业特点定义业审融合,以价值链基本活动和支持性活动为基础,建立基于价值链的业审融合模型,提出内部审计与业务双向融合理念,以内部审计三级组织架构和人才梯队为重要保障,以强化价值链基本活动为核心动力,以优化价值链支持性活动为重要抓手,以业审信息化融合为支撑,以平衡计分卡评价业审融合的绩效,最终实现业审融合的闭环管理。  [关键词]业审融合 价值链 支持性活动  内部审计是企业管
期刊
[摘要]在以“管资本”为主的监管方式下,应设计和建立与之相适应的内部审计基本框架体系,以企业和项目的全生命周期为视角,关注重大风险、重要环节和关键节点,采取“积极参与式”的审计方式和信息化技术手段。  [关键词]管资本 内部审计 价值增值  “管资本”为主的国资监管方式有助于提升国有企业对外部环境变化的适应能力,促进国有企业战略转型和结构调整;有益于引导国有资本合理、有序流动,做强实体经济,在
期刊