新形勢下基于智慧審計風險防控圖譜的企業內部風險防控體系應用研究

馬奎 胡鍇 張平 吳寶劍 蒲臻詣 陳功 李小衛

[摘要]為加強企業安全體系和能力建設，強化風險預警、風險防控，中國移動四川公司充分結合審計實踐工作，探索構建基于“3D、4H、5W”的智慧風險防控圖譜體系，促進企業在數智化轉型和高質量發展進程中防范和化解各種風險，守住公司不發生重大風險的底線，切實發揮內部審計護航企業安全健康發展的作用。

[關鍵詞]風險防范 ? 三線模型 ? 四化賦能 ? 五位一體 ? 圖譜構建

一、研究背景

2022年中央經濟工作會議明確指出，當前我國經濟恢復的基礎尚不牢固，需求收縮、供給沖擊、預期轉弱三重壓力仍然較大，外部環境動蕩不安，給我國經濟帶來的影響加深。作為中央企業內部審計省屬機構，中國移動通信集團四川有限公司（以下簡稱“中國移動四川公司”）內審部堅持統籌發展和安全，在助力推進企業高質量發展和數智化轉型事業發展的同時，注重堵漏洞、強弱項，下好先手棋、打好主動仗，不斷強化公司安全體系和能力建設，加強安全風險預警，防范化解各類風險和挑戰，通過內部審計將健康發展理念貫穿公司生產經營發展各領域和全過程。基于這些任務和目標，中國移動四川公司探索研究了基于“3D、4H、5W”的智慧風險防控圖譜體系，并將該方法和模型在企業安全健康發展中進行了具體應用和實踐。

二、智慧風險圖譜方法概述

圍繞通過內部審計促進公司安全體系和能力建設的目標，中國移動四川公司著力構建基于“三線模型”（原三道防線，簡稱3D）、“四化賦能”（簡稱4H）、“五位一體”（簡稱5W）的智慧風險防控圖譜體系（如圖1所示）。通過全面深化三線模型理論，以數據化、云化、智能化、線上化“四化”賦能，將經營業績真實性審計、財務業務專項審計、信息技術和安全審計、企業領導人員經濟責任審計、數據異常監控預警進行整合，五位一體生成全業務、全流程、全要素風險因子（Risk factor，簡稱R因子），并基于R因子和千億級的云化數據，智慧構建全息風險防控圖譜，對企業生產經營過程中存在的風險和問題進行智能化監控和精準畫像，筑牢企業發展中風險預警防火墻；同時，通過線上確認、審計閉環、整改銷號等，塑造高效審計線上體系，確保風險化解，打造守護企業健康發展的立體動態防護網。

三、預期目標和研究意義

（一）預期目標：可視構建，圖觀全局

按照“線上繪圖，線下核實，無縫銜接”的審計方法和模式，采用“3D、4H、5W”風險防控圖譜模型，依托企業數字化智慧審計體系，根據R因子進行分區域、分業務、分種類多維多層級風險圖譜信息流分解，本方法構建關鍵風險信息流，科學分析、研判地域和業務領域風險，按照風險可能造成的后果，將風險由高到低依次劃分為7個等級，并標記七色標簽，同時根據風險信息流（R因子）的量級，將總體業務和地域維度劃分為從低到高7個風險等級，最終構建全局多維風險圖譜，實現風險信息可視化查詢和管理、風險精準性整改和化解。圖譜中風險等級劃分原理如圖2所示。

（二）研究意義：精準定位，差異管控

構建審計風險防控圖譜體系，分級診斷，摸清底數，強化對重要業務領域和關鍵業務環節的實時監控，在企業發展過程中可以實現對各類安全風險的電子化、智慧化監督管理，實現風險點自動差異化查詢、展示、評估。在事前和事中環節，可以對企業各級管理者進行風險及時預警，事后環節，可以推動舉一反三的自查整改。精細服務管理層、風險預警運營層、全面支撐執行層，滿足企業各層級管理人員對風險防控的差異化需求，指導并督促相關單位完善生產經營、市場業務、財務管理、基礎管理、信息安全鏈條等方面的管控，確保企業發展過程中各類安全風險及時化解。同時，在此過程中利用人工智能和機器學習，不斷優化R因子，迭代推理，不僅強化了審計融智建設，還可通過智能聯動與可視化展示，實現各重點風險的全面監控和差異化管控。

四、具體內容及研究方法

（一）三線（3D）理論及應用

國際內部審計師協會（IIA）于2020年7月正式發布全新治理模型——“三線模型”（如圖3所示）。新三線模型采用了基于“原則”的呈現方式，沒有局限于風險管理，而是進一步將關注范圍拓展到了組織整體治理。第一線是組織為客戶提供產品和/或服務的前沿職能部門，第二線的職能部門負責協助開展風險管理工作，第三線的內部審計負責為組織治理和風險管理工作的適當性和有效性提供獨立且客觀的確認和咨詢。企業面臨風險不能一味的“防”，還需要將角色前置，要從單一“防線”轉變到立體、攻防一體的“價值網”。內部審計機構需要與第一、二線業務部門之間進行充分的溝通協調、相互協作，構建基于智慧審計風險防控圖譜體系，在規范的前提下，簡潔、高效地支撐一線“打糧食”，充當為企業健康發展保駕護航的“衛士”“醫士”和“謀士”。

（二）四化（4H）應用及研究

風險識別是內部風險控制的前提和基礎，識別的準確與否決定內部風險控制效果的好壞。為了保證風險識別的準確，必須進行全面系統的調查分析，將風險進行綜合歸類，揭示其性質、類型及后果。通過數據先行、審計上云、智能審計、線上管理等方式消除或減少風險事件發生的可能性，或減少風險事件發生時造成的損失。基于“數據化、云化、智能化、線上化”四化賦能方法對企業生產經營過程中各類風險進行全業務、全流程、全要素風控管理。

1.第一步是數據化。基于企業千億級的生產經營和基礎數據，持續擴展業務域、管理域、運營域多維高價值數據源，打造“全方位、多樣性、多維度”三域數據匯聚平臺。創新完善四級審計數據標簽體系，通過審計源數據加工成數據模型，數據模型通過審計算法生成基礎標簽，通過模型算法或基礎標簽組合生成風險標簽，實現全域數據審計風險分析。

2.第二步是云化。推進審計項目云化應用，實現一點訪問分場景遠程服務，強化審計云化能力、豐富云端審計產品、完善云數據倉庫，增強系統智能調用云端計算能力，實現審計云桌面、云網盤、云服務器等對全域的覆蓋及服務支撐。

3.第三步是智能化。建強智慧審計中臺，豐富數據探針模型，持續完善和優化智慧審計方法論，構建及時發現、及時預警、及時處理的智慧風控體系，實現事前、事中動態風險智能掃描，實現系統自動風險預警提示，助力各級管理者及時了解其分管領域的風險分布情況。

4.第四步是線上化。構建審計質量管理、審計工具運用、審計整改閉環管理、智能化審計探索的融合信息化平臺，完善審計作業電子流程，實現“線上發起、線上確認、發布報告、整改落實、檔案歸檔”的線上閉環管理，推進審計流程全域線上化運行，全面提升審計質量和審計效率。

（三）五位一體（5W）應用及研究

內部審計應建立一套系統、規范的方法來評價和提升風險管理及控制、治理過程的效果。通過經營業績真實性審計、財務業務專項審計、信息技術和安全審計、企業領導人員經濟責任審計、數據異常監控預警，五位一體構建全域風險評估模型，量化測評已識別風險帶來的影響或損失的可能程度。主要任務包括識別評估對象面臨的各類風險，結合R因子的影響程度和具體量級以及企業承受風險的能力，清楚了解不同類型的風險對企業產生的影響，判斷其重要性，確定風險消減和控制優先等級，按照輕重緩急的順序，實現對個人、家庭、政企等重點業務（簡稱CHBN業務）和高風險領域的全評估，最大程度提高風險防控效率。

1.經營業績真實性審計。內部審計應揭露公司生產經營和發展中存在的問題和風險，提出完善的整改措施，把促進公司高質量發展作為風險防控的最高目標。針對考核期內重點關注的收入、客戶和CHBN業務等與經營業績考核指標相關的經營和財務數據、系統記錄及管理資料，審核分析其實施過程和完成結果的真實性、合規性。聚焦重點風險領域，圍繞經營業績指標建立多維度數據模型和風險探針，揭示收入、凈利潤、市場業務等共計12類風險和問題，并將審計結果固化到系統進行全面監控，從而推進企業經營風險掌控能力建設。經營風險掌控能力R因子如表1所示。

2.財務業務專項審計。為貫徹落實價值經營理念，進行覆蓋全業務、全流程、全要素監督的業務專項審計尤其重要。綜合運用智慧中臺、大數據技術、“遠程全量+重點核實”方法，在收入保障稽核、網絡和家庭寬帶費用降本增效等領域開展專項審計，同時對高風險領域開展審計回頭看、審計跟進和持續數據監控等進行閉環管理。收入保障稽核項目運用貫穿八大運營環節的風險控制矩陣，制定面向全業務、覆蓋43個子流程的風險掃描模型，定期進行全方位掃描，提升精準定位風險的能力，發現家庭寬帶優惠活動疊加形成重復優惠等11個收入流失及風險；網絡和家庭寬帶費用降本增效項目發現同一油機同一時間在不同地點重復發電和報銷、同一站點同一類隱患重復派單等問題。同時協同業務部門推動全省立查立改，堵塞風險漏洞，提升運營管理水平。營收支出風險控制能力風險因子如表2所示。

3.信息技術和安全審計。網絡信息安全是國家重要戰略，也是通信行業企業的命脈，企業信息安全管理的基礎手段之一是實施信息安全審計。隨著移動互聯網、云計算、大數據、智能化等數字技術應用不斷拓展，企業信息安全風險將持續擴大。通信運營商掌握了大量客戶基礎信息，每年需定期組織客戶信息保護和信息安全技術手段管控審計。在數據模型探針基礎上，對客戶信息系統和手機APP賬號、生命周期、對外合作、日志、金庫、APP隱私政策、APP功能設計等矩陣共計55個風險因子的合規性、健全性及有效性進行核查，發現部分信息系統和APP存在基礎管理欠缺、涉敏權限操作不規范、涉敏權限管控場景缺失、隱私政策和功能設計未達標準等，從而加強了客戶信息保護內控管理，規避和防范了重大網絡和信息安全風險。信息安全風險管控能力風險因子如表3所示。

4.企業領導人員經濟責任審計。為更好發揮審計在企業內部監督體系中的重要作用，促進權力規范運行，促進反腐倡廉，推進公司治理能力不斷提升，中國移動四川公司聚焦黨和國家重大決策部署、公司重要戰略和高質量發展轉型目標，建立了統一的經濟責任審計程序和方法，探索開展了“多維度風險評價指標體系”。主要從任期內經營指標排名和變化、收入增幅、凈利潤增幅、移動客戶增長、黨和國家重大經濟政策和決策部署的落實情況、重大經濟事項的決策執行和效果、內部控制建設和執行、企業財務真實合法效益和風險管控、黨風廉政建設責任和遵守廉潔從業規定等方面構建風險評價體系，做到準確定性、客觀評價、精準“畫像”。企業領導人員履職擔責風險防控能力因子如表4所示。

5.數據異常監控預警。在重點業務領域事前和事中環節的自動風險預警，全面覆蓋CHBN業務和高風險領域，對生產經營領域中全業務、全流程、全要素的數據異常情況進行實時或準實時監控，并將發現的異常業務數據和有關情況進行核實通報，實現對業務運營風險及時發現、及時預警并推動及時核查整改，從而規避重大業務風險的發生。聚焦重點風險領域，逐步實現個人業務、家庭業務、集團業務、基礎管理、信息安全和增收節支等領域的全覆蓋；持續豐富審計監控模型，建立產品資費、客戶異常欠費、寬帶異常發展、收入及客戶賬戶異常、業務異常管理、專線異常發展等監控專題。業務風險掌控能力風險因子如表5所示。

五、智慧風險防控圖譜體系的構建及應用

智慧風險防控圖譜旨在建立健全全省風險防控全景視圖體系，實現在企業發展中的風險辨識、評估、分析、呈現、管控等全流程風險刻畫。全息智慧風險圖譜是基于時間、地域、業務和風險等級等信息組建的多維全景風險模型，包含業務風險圖譜和地域風險圖譜，通過智慧審計信息化系統，以GIS（地理信息系統）技術采用三維立體方式直觀展示，可視化呈現企業各業務領域和地域已產生和潛在的風險。

（一）智慧風險防控圖譜構成

智慧風險防控圖譜中的風險評估基于5W項目涉及審計矩陣，定位審計已覆蓋的業務和信息流程，為企業運營風險防控提供風險覆蓋“熱力圖”。現階段已涵蓋企業26個業務流程、146個子業務流程，由企業內部審計定期負責組織實施，匯聚風險和審計結果源數據，形成R因子風險矩陣表，并組建風險數據庫，生成重點業務領域和全省地域風險“一張圖”，使企業風險預警和防控工作有的放矢，為公司業務發展和風險有效整改化解、科學決策提供參考。

（二）圖譜構建規則

1.業務領域風險圖構建。各業務領域風險點得分為基于5W的各模型點風險值之和，每個模型評分采取紅線分值（可為異常占比、絕對值數量、異常單位個數）+異常波動分值2個參數。業務維度可視化風險圖譜配置如圖4所示。

得分計算公式：

其中，為紅黃等級閾值，為各業務領域模型數量，為風險因子值，為風險分值權重，為業務領域風險因子值范圍，取值區間為[1，26]。

2.GIS地域風險圖譜構建。各地域之間的風險評分排序采用正態分布方式，對各基于5W的模型得分進行排名，高風險為得分前20%的單位（向上取整），中風險為中間20%—80%的單位，低風險為得分后20%的單位（向下取整）。

評分計算公式：

其中，、為風險分值權重，風險因子分值，、為分支機構取值，范圍區間為[1，22]，為紅黃等級閾值。

風險評價體系：基于本文前述5W中R因子構建得分模型生成全景風險因子視圖，如表6所示。

具體得分規則及圖譜：

（1）大于等于紅線閾值：異常占比、絕對值或分值機構數量綜合評價，達到紅線R值閾值，則得80分，超過則在[80，100]區間取線性得分。

（2）大于等于黃線閾值、小于紅線閾值：異常占比、絕對值或分值機構數量綜合評價，達到黃線R值閾值，得60分，超過則在[60，80）區間取線性得分。

（3）低于黃線閾值：異常占比、絕對值或分值機構數量綜合評價，未達到黃線R值閾值，在[0，60）區間取線性得分。

（4）基于上述R因子圖譜評分，構建企業內部風險可視化圖譜，其中R因子根據審計項目覆蓋、數據模型和市場業務發展情況，動態迭代更新。根據評分構建圖譜如圖5所示。

六、成效及展望

（一）項目成效

1.風險可視化管控。利用經營業績審計、財務專項審計、信息技術審計、經濟責任審計、大數據人工智能審計，即本文所述五大風險因子，以智慧化審計中臺為載體，拓展覆蓋全省、全領域、全流程遠程監控模型網絡，豐富審計數據資產，提升審計信息遠端觸達能力以及遠程風險定位、遠程審計畫像能力，每月定期呈現209個縣公司多維風險視圖、6大領域智能風險評估、在線生成3200余份風險評估和畫像報告，持續探索風險展示和防范新思路、新方法，塑造模式新、覆蓋廣、挖掘深、預警快的企業內部風險防控體系。

2.應用成效顯著。中國移動四川公司堅持審計數智化轉型思路，以人工智能、大數據、云平臺等為依托，持續完善和優化企業內部風險防控體系，以更加高效創新的方法為審計賦能。

著力提升風險防控能力。通過“圖觀全局”的可視化呈現及差異化防范措施，實現重點業務和高風險領域100%覆蓋，7×24小時持續實時監控，自動短信預警并出具審計報告，全年共計監控26大類500余個風險源信息，有效防范了企業在經營發展中的各類風險。

著力提升風險防控成果。規避各類風險金額同比提升34.5%，涉及異常欠費、跨集團統付、家庭寬帶、專線業務、滯庫存貨等10個業務領域，有效化解273個風險點，推動完善企業制度22項、改進業務流程20項、優化系統控制133項，促進企業健康安全發展。

著力風險防控效能提升。通過云化數據、風險呈現等，風險防控能力提升效果顯著，為全省審計項目提供超55%的系統數據支撐，提供40%的共性問題風險線索，同時縮短現場審計時間45%，大幅減輕分公司迎審負擔。

（二）推廣意義

基于智慧審計風險圖譜的企業內部風險防控體系是中國移動四川公司通過內部審計服務企業健康發展的有益探索。憑借智慧風險防控圖譜體系可以構建多維風險識別，風險呈現地圖化；通過深耕審計智能應用，實現風險監控實時化；通過廣泛部署審計探針，實現風險覆蓋全面化；通過線上審計多維協同，實現風險整改閉環化。此次探索不僅加強了企業安全體系建設，健全了公司安全審查和監管制度，同時強化了企業安全風險預警、防控、化解、監控等機制和能力建設，有效識別企業在“三重壓力”下面臨的新風險、新挑戰，拓展審計視角、創新審計思路和方式方法，找到防范和化解風險的方法措施，對防范企業內部重大風險有著重要作用和意義。

（作者單位：中國移動通信集團四川有限公司，郵政編碼：610041，電子郵件：jkb.lixiaowei@sc.chinamobile.com）

主要參考文獻

[1]畢秀玲，郭駿超.增值型內部審計運行模式構建：基于IIA“價值模型”的視角[J].南京審計大學學報， 2016（1）：50-58

[2]蘭演明.風控管理在企業追求高質量發展中的應用[J].中國內部審計， 2020（6）：91-93

[3]潘紅英.關于企業風險地圖形成的研究[J].中國總會計師， 2018（4）：76-78

[4]張雪芹，基于微應用+大數據分析研究智慧審計模型[J].中國產經， 2020（14）：35-36

[5]周詩琪.基于區塊鏈技術的企業智慧審計平臺架構[J].商場現代化， 2019（24）：81-82