綜合運用風險掃描成果　發揮大數據審計的風險防控利器作用

[摘要]中國電信廣東分公司通過創建“快速覆蓋、分層處理、聚焦重點、綜合應用”的風險掃描結果應用模式，使省市公司各部門主動參與風險確認、整改、分析、應用等環節，最大化應用信息化審計數據和結果，提高了風險管理的有效性。

[關鍵詞]內部審計? ? 結果運用? ?風險管控? ? 掃描? ? 大數據審計

為推動審計信息化，實現審計工作模式轉型，近年來中國電信廣東分公司（以下簡稱廣東電信）以持續風險管控為目標，以審計信息化為抓手，大力推進審計風險掃描工作。通過基于大數據的日常性掃描，發現了大量風險疑點。

一、風險掃描簡介

風險掃描工作依托廣東電信審計部門組織開發的審計數據集市平臺實施，審計部門通過該平臺實現與各種企業運營數據的匯接，在此基礎上，通過組織審計業務骨干組成風險掃描團隊，沉淀和共享審計經驗，在平臺上逐步搭建起針對企業經營各領域的風險分析模型100多個。每季度由風險掃描團隊針對不同的主題靈活選擇不同的風險分析模型，對全省21個本地網實施各專題風險掃描工作。通過風險掃描工作快速識別風險，及時發現企業運營中的隱患，并通過風險派單形式及時向相關業務部門和單位進行風險提示，由相關業務部門和單位自行組織對下發的風險提示事項進行現場核實，并向審計部門反饋核實結果。同時，審計部門以簡報形式向公司管理層匯報風險掃描發現問題，為公司運營決策提供支撐依據。

廣東電信審計部門通過風險掃描工作累計提出疑點700多項，派單提示風險200多次，有效促進了運營風險的及時化解，風險掃描工作已成為與常規審計項目并列的風險監督模式。

二、風險掃描的特點及成果應用方式

（一）風險掃描的特點

1.風險掃描以非現場方式開展，不影響被審計單位正常生產。審計數據集市定期或按需從ODS、MSS等系統采集業務數據，并通過平臺中的風險分析模型，對數據進行歸集和初步智能化分析處理后輸出，由審計人員作最終判斷并形成風險疑點。整個過程無需被審計單位提供人員、場地及其他資源的支持和配合，不影響被審計單位正常生產。

2.風險掃描應用大數據分析技術，通過數據縱向串通不同部門業務節點，橫向覆蓋各地市分公司，提高審計監督的廣度與深度。傳統審計項目受審計資源影響，一般以部分單位為抽查對象開展審計，覆蓋面不足，需要被審計單位不同業務節點提供資料，再人工串聯數據，進行流程測試，效率較低。而風險掃描工作通過數據分析模型，由計算機輔助實現對海量數據的快速分析，并對部分特定風險場景進行自動識別，有效提升項目開展效率，并可同時對多個被審計單位的運營數據進行掃描，有效提升審計工作的廣度和深度。

3.風險掃描以問題為導向，聚焦重點領域、重點業務或重點節點。相較傳統項目，審計內容大幅壓縮，但更為明確。傳統項目以事后審計為主，掃描以現行經營數據為對象。風險掃描無需審計通知、現場審計及底稿、報告確認等環節，審計人員通過遠程方式開展監督活動，實施掃描具有短、平、快的特點，審計成果時效性更強，使防控節點提前，避免風險演變為問題。

（二）促進成果應用的重要舉措

風險掃描具有覆蓋面廣、時效性強的特點，但開展非現場大數據分析，也帶來疑點確認工作量大、成果應用范圍廣的問題。為揚長避短、充分發揮掃描優點，促進成果應用，廣東電信分別從管理層面、業務管控層面、執行層面著手，落實匯報、聯席會議和派單制度，建立自上而下的結果應用機制。

1.管理層面。掃描結果直接向管理層匯報，推進掃描結果有效運用。廣東電信管理層對風險掃描工作高度認可，根據公司運營整體需要，直接指示掃描領域或業務，并要求以簡報方式展現掃描發現的重要風險和處理建議，呈遞公司管理層閱示，快速有效指導掃描成果運用的方向。

2.業務管控層面。通過審計聯席會議，促進掃描成果在業務管控各條線的綜合應用。風險掃描以大數據、大覆蓋的方式開展，易于發現普遍性或傾向性風險。通過審計聯席會議召集業務管控部門，共商風險規避策略，以促進掃描成果在管控層面的應用。

3.執行層面。以風險派單代替傳統審計底稿確認，由被審計單位完成對疑點問題的自查自糾，確保審計掃描結果落地。通過實踐中的不斷磨合，由審計部門負責非現場風險數據分析，由公司業務執行層面單位負責對風險事項的現場核查，審與被審高效協同，使得具有一定不確認性的非現場掃描結果真正落地并得到及時有效的整改。將風險掃描疑點以提示或預警方式派單至被審計單位，由被審計單位完成對疑點問題的自查自糾，不強制要求確認反饋。同時，對認可風險、落實整改并反饋的，視同被審計單位已自查自糾，從而減輕被審計單位抵觸情況，有利于相關單位及時糾正執行過程中的偏差，落實風險防控。

在建立以上成果應用機制的基礎上，審計部門加強內部管理，建立風險掃描臺賬，閉環管理審計成果，為綜合應用掃描成果打下良好基礎。

（三）成果應用方式

為使風險掃描成果最大化，審計部門在風險掃描流程設置風險分析環節，對風險概率、影響程度、分布、歷史趨勢進行分析，以重要性和有效性為原則，對風險疑點進行分層應用。

1.快速覆蓋一般性風險提示及整改。以風險派單形式對風險問題執行單位進行風險提示，推進立行立改。在此過程中，快速處理一般性風險的確認、整改和應用，使審計資源聚焦技術性更強的分析環節，最大程度提升審計效率;而公司業務執行層面單位發揮現場作用，掌握風險控制的主動權，使風險整改與風險承擔相結合，保障企業整體效益和效率。

2.分層處理與管控或設計有關的風險，推進公司管理水平提升。在審計聯席會議上，將與管控或設計有關的風險向公司業務管控或規則設計部門通報，以求從設計層面對控制加以完善。由于風險掃描具有全局性、實時性特點，經常發現具有普遍性、傾向性的風險問題，在實施縱向串通各專業領域的風險分析中，也常常發現跨業務流程環節、跨專業部門復雜控制中存在的不足。對于上述問題，由業務管控部門和規則制定部門從設計層面予以完善，有效避免治標不治本、屢查屢犯的問題，進一步完善公司治理和內部控制。

3.嚴格管控紅線風險，強化責任落實。對于涉及主觀故意、違規違紀、業績造假行為，通過現場核查并移交，協同紀檢、考核管控部門進行處理。對發現的重大疑點緊抓不放，借助其他部門力量共同落實責任、形成震懾力。

4.綜合應用掃描結果數據，提升審計工作整體效率。對于未明確、未落實的風險疑點，則提交日后開展的經濟責任審計、財務收支審計、內控獨立評估作為審計線索，各審計項目形成合力，提升工作效率和質量，形成風險掃描成果的閉環應用，將審計成果運用最大化。

三、風險掃描的應用成效

（一）以點帶面，揭示問題，促進設計層面完善控制

近年來，廣東電信審計部門通過對風險掃描發現問題的分析和判斷，揭示企業管理中普遍性或傾向性的風險。通過審計聯席會議，召集業務管控部門，共商風險規避策略，完善企業設計層面控制，促進掃描成果在管控層面得到應用。例如，2017年開展的對廣東電信21個本地網積分計提、積分增加、積分兌換等積分運營管控流程及相關業務數據的專題風險掃描中，通過掃描發現超范圍積分產生及兌換、非正常狀態用戶積分兌換、大額積分兌換無管控等風險疑點13類，風險數據100多萬條。通過對疑點分布進行分析，整理出各地市分公司之間均發生且僅存在金額差別的普遍性疑點問題，判斷為流程或系統設置導致的風險，并就該類風險與主管積分業務的省公司客戶服務部召開聯席會議。省公司客戶服務部高度重視風險掃描發現，并就問題產生的原因及相關改進措施等與審計部協同分析討論。當年年底下發了《關于加強積分運營管控的通知》，重新建立了不產生積分產品目錄更新機制及積分數據異常預警機制，明確了銷戶客戶積分清理要求。同時，對產生隱患的系統操作進行權限梳理。通過制度、流程和系統管控等方面的完善，實現降低公司客戶積分運營工作風險的目的。

（二）以問題為出發點，移交線索，端正作風

根據公司管理層要求，對公司各項經營管理活動定期開展風險掃描工作是廣東電信審計部門的一項重要日常工作，通過應用審計數據集市平臺中的分析模型，對公司各項經營管理活動進行風險掃描，并根據風險影響程度與性質，將涉嫌業績造假行為移交公司紀檢監察后續跟蹤處理。通過審計、紀檢協同工作，強化對違規違紀紅線問題的定性和定責，端正經營管理風氣，促進公司依規依法發展業務。如在2017年第四季度開展的全省收入專項風險掃描中，審計人員通過模型數據分析，發現某分公司在該季度出現大額突增情況，進一步獲取具體列收用戶清單發現，該分公司在該季度與三家互為關聯單位的公司分別簽訂了經營業務合作合同，短期內一次性大額銷售，不符合正常業務使用邏輯，存在較大造假風險。針對此情況，審計部門組織核查小組進行現場核實，通過與業務人員訪談了解項目整體實施背景及操作流程，并在現場進一步進行資料收集，獲取非現場階段未能獲取的流量包和語音包使用數據信息清單，判斷項目的實施情況。通過以上補充實施的現場工作，審計部門基本判定該項業務為虛構交易、虛增收入。但由于審計手段有限，外部證據不夠完善，分公司對此問題不予確認，問題定性及處理遇到困難，審計部門將此發現移交公司紀檢監察部門，通過巡察組進一步調查處理，最終確認業績造假，對相關業務管理人員實施問責和處理。

四、經驗總結

風險掃描具有覆蓋面廣、時效性強、效率高的優點，但非現場審計帶來的風險不確定性及全面審計帶來的疑點數量大等都是風險掃描固有的缺點。若按常規路徑應用風險疑點，則會導致掃描優點盡失。廣東電信審計部門一方面轉換角度，改風險核查派單為風險提示，輔以正向激勵，促進被審計單位落實風險核查工作，釋放審計資源;另一方面強化風險疑點綜合分析，將大量疑點聚集至流程節點、業務場景，提升公司管控層面對審計發現的關注，促進管控措施及流程設計的持續完善。通過多年的實踐，風險掃描已被廣東電信各層級普遍接受與認可，成為公司風險防控體系的一項重要措施。

（執筆：周建偉）