[摘要]中國電信廣東分公司通過創(chuàng)建“快速覆蓋、分層處理、聚焦重點、綜合應(yīng)用”的風險掃描結(jié)果應(yīng)用模式，使省市公司各部門主動參與風險確認、整改、分析、應(yīng)用等環(huán)節(jié)，最大化應(yīng)用信息化審計數(shù)據(jù)和結(jié)果，提高了風險管理的有效性。

[關(guān)鍵詞]內(nèi)部審計? ? 結(jié)果運用? ?風險管控? ? 掃描? ? 大數(shù)據(jù)審計

為推動審計信息化，實現(xiàn)審計工作模式轉(zhuǎn)型，近年來中國電信廣東分公司（以下簡稱廣東電信）以持續(xù)風險管控為目標，以審計信息化為抓手，大力推進審計風險掃描工作。通過基于大數(shù)據(jù)的日常性掃描，發(fā)現(xiàn)了大量風險疑點。

一、風險掃描簡介

風險掃描工作依托廣東電信審計部門組織開發(fā)的審計數(shù)據(jù)集市平臺實施，審計部門通過該平臺實現(xiàn)與各種企業(yè)運營數(shù)據(jù)的匯接，在此基礎(chǔ)上，通過組織審計業(yè)務(wù)骨干組成風險掃描團隊，沉淀和共享審計經(jīng)驗，在平臺上逐步搭建起針對企業(yè)經(jīng)營各領(lǐng)域的風險分析模型100多個。每季度由風險掃描團隊針對不同的主題靈活選擇不同的風險分析模型，對全省21個本地網(wǎng)實施各專題風險掃描工作。通過風險掃描工作快速識別風險，及時發(fā)現(xiàn)企業(yè)運營中的隱患，并通過風險派單形式及時向相關(guān)業(yè)務(wù)部門和單位進行風險提示，由相關(guān)業(yè)務(wù)部門和單位自行組織對下發(fā)的風險提示事項進行現(xiàn)場核實，并向?qū)徲嫴块T反饋核實結(jié)果。同時，審計部門以簡報形式向公司管理層匯報風險掃描發(fā)現(xiàn)問題，為公司運營決策提供支撐依據(jù)。

廣東電信審計部門通過風險掃描工作累計提出疑點700多項，派單提示風險200多次，有效促進了運營風險的及時化解，風險掃描工作已成為與常規(guī)審計項目并列的風險監(jiān)督模式。

二、風險掃描的特點及成果應(yīng)用方式

（一）風險掃描的特點

1.風險掃描以非現(xiàn)場方式開展，不影響被審計單位正常生產(chǎn)。審計數(shù)據(jù)集市定期或按需從ODS、MSS等系統(tǒng)采集業(yè)務(wù)數(shù)據(jù)，并通過平臺中的風險分析模型，對數(shù)據(jù)進行歸集和初步智能化分析處理后輸出，由審計人員作最終判斷并形成風險疑點。整個過程無需被審計單位提供人員、場地及其他資源的支持和配合，不影響被審計單位正常生產(chǎn)。

2.風險掃描應(yīng)用大數(shù)據(jù)分析技術(shù)，通過數(shù)據(jù)縱向串通不同部門業(yè)務(wù)節(jié)點，橫向覆蓋各地市分公司，提高審計監(jiān)督的廣度與深度。傳統(tǒng)審計項目受審計資源影響，一般以部分單位為抽查對象開展審計，覆蓋面不足，需要被審計單位不同業(yè)務(wù)節(jié)點提供資料，再人工串聯(lián)數(shù)據(jù)，進行流程測試，效率較低。而風險掃描工作通過數(shù)據(jù)分析模型，由計算機輔助實現(xiàn)對海量數(shù)據(jù)的快速分析，并對部分特定風險場景進行自動識別，有效提升項目開展效率，并可同時對多個被審計單位的運營數(shù)據(jù)進行掃描，有效提升審計工作的廣度和深度。

3.風險掃描以問題為導(dǎo)向，聚焦重點領(lǐng)域、重點業(yè)務(wù)或重點節(jié)點。相較傳統(tǒng)項目，審計內(nèi)容大幅壓縮，但更為明確。傳統(tǒng)項目以事后審計為主，掃描以現(xiàn)行經(jīng)營數(shù)據(jù)為對象。風險掃描無需審計通知、現(xiàn)場審計及底稿、報告確認等環(huán)節(jié)，審計人員通過遠程方式開展監(jiān)督活動，實施掃描具有短、平、快的特點，審計成果時效性更強，使防控節(jié)點提前，避免風險演變?yōu)閱栴}。

（二）促進成果應(yīng)用的重要舉措

風險掃描具有覆蓋面廣、時效性強的特點，但開展非現(xiàn)場大數(shù)據(jù)分析，也帶來疑點確認工作量大、成果應(yīng)用范圍廣的問題。為揚長避短、充分發(fā)揮掃描優(yōu)點，促進成果應(yīng)用，廣東電信分別從管理層面、業(yè)務(wù)管控層面、執(zhí)行層面著手，落實匯報、聯(lián)席會議和派單制度，建立自上而下的結(jié)果應(yīng)用機制。

1.管理層面。掃描結(jié)果直接向管理層匯報，推進掃描結(jié)果有效運用。廣東電信管理層對風險掃描工作高度認可，根據(jù)公司運營整體需要，直接指示掃描領(lǐng)域或業(yè)務(wù)，并要求以簡報方式展現(xiàn)掃描發(fā)現(xiàn)的重要風險和處理建議，呈遞公司管理層閱示，快速有效指導(dǎo)掃描成果運用的方向。

2.業(yè)務(wù)管控層面。通過審計聯(lián)席會議，促進掃描成果在業(yè)務(wù)管控各條線的綜合應(yīng)用。風險掃描以大數(shù)據(jù)、大覆蓋的方式開展，易于發(fā)現(xiàn)普遍性或傾向性風險。通過審計聯(lián)席會議召集業(yè)務(wù)管控部門，共商風險規(guī)避策略，以促進掃描成果在管控層面的應(yīng)用。

3.執(zhí)行層面。以風險派單代替?zhèn)鹘y(tǒng)審計底稿確認，由被審計單位完成對疑點問題的自查自糾，確保審計掃描結(jié)果落地。通過實踐中的不斷磨合，由審計部門負責非現(xiàn)場風險數(shù)據(jù)分析，由公司業(yè)務(wù)執(zhí)行層面單位負責對風險事項的現(xiàn)場核查，審與被審高效協(xié)同，使得具有一定不確認性的非現(xiàn)場掃描結(jié)果真正落地并得到及時有效的整改。將風險掃描疑點以提示或預(yù)警方式派單至被審計單位，由被審計單位完成對疑點問題的自查自糾，不強制要求確認反饋。同時，對認可風險、落實整改并反饋的，視同被審計單位已自查自糾，從而減輕被審計單位抵觸情況，有利于相關(guān)單位及時糾正執(zhí)行過程中的偏差，落實風險防控。

在建立以上成果應(yīng)用機制的基礎(chǔ)上，審計部門加強內(nèi)部管理，建立風險掃描臺賬，閉環(huán)管理審計成果，為綜合應(yīng)用掃描成果打下良好基礎(chǔ)。

（三）成果應(yīng)用方式

為使風險掃描成果最大化，審計部門在風險掃描流程設(shè)置風險分析環(huán)節(jié)，對風險概率、影響程度、分布、歷史趨勢進行分析，以重要性和有效性為原則，對風險疑點進行分層應(yīng)用。

1.快速覆蓋一般性風險提示及整改。以風險派單形式對風險問題執(zhí)行單位進行風險提示，推進立行立改。在此過程中，快速處理一般性風險的確認、整改和應(yīng)用，使審計資源聚焦技術(shù)性更強的分析環(huán)節(jié)，最大程度提升審計效率;而公司業(yè)務(wù)執(zhí)行層面單位發(fā)揮現(xiàn)場作用，掌握風險控制的主動權(quán)，使風險整改與風險承擔相結(jié)合，保障企業(yè)整體效益和效率。

2.分層處理與管控或設(shè)計有關(guān)的風險，推進公司管理水平提升。在審計聯(lián)席會議上，將與管控或設(shè)計有關(guān)的風險向公司業(yè)務(wù)管控或規(guī)則設(shè)計部門通報，以求從設(shè)計層面對控制加以完善。由于風險掃描具有全局性、實時性特點，經(jīng)常發(fā)現(xiàn)具有普遍性、傾向性的風險問題，在實施縱向串通各專業(yè)領(lǐng)域的風險分析中，也常常發(fā)現(xiàn)跨業(yè)務(wù)流程環(huán)節(jié)、跨專業(yè)部門復(fù)雜控制中存在的不足。對于上述問題，由業(yè)務(wù)管控部門和規(guī)則制定部門從設(shè)計層面予以完善，有效避免治標不治本、屢查屢犯的問題，進一步完善公司治理和內(nèi)部控制。

3.嚴格管控紅線風險，強化責任落實。對于涉及主觀故意、違規(guī)違紀、業(yè)績造假行為，通過現(xiàn)場核查并移交，協(xié)同紀檢、考核管控部門進行處理。對發(fā)現(xiàn)的重大疑點緊抓不放，借助其他部門力量共同落實責任、形成震懾力。

4.綜合應(yīng)用掃描結(jié)果數(shù)據(jù)，提升審計工作整體效率。對于未明確、未落實的風險疑點，則提交日后開展的經(jīng)濟責任審計、財務(wù)收支審計、內(nèi)控獨立評估作為審計線索，各審計項目形成合力，提升工作效率和質(zhì)量，形成風險掃描成果的閉環(huán)應(yīng)用，將審計成果運用最大化。

三、風險掃描的應(yīng)用成效

（一）以點帶面，揭示問題，促進設(shè)計層面完善控制

近年來，廣東電信審計部門通過對風險掃描發(fā)現(xiàn)問題的分析和判斷，揭示企業(yè)管理中普遍性或傾向性的風險。通過審計聯(lián)席會議，召集業(yè)務(wù)管控部門，共商風險規(guī)避策略，完善企業(yè)設(shè)計層面控制，促進掃描成果在管控層面得到應(yīng)用。例如，2017年開展的對廣東電信21個本地網(wǎng)積分計提、積分增加、積分兌換等積分運營管控流程及相關(guān)業(yè)務(wù)數(shù)據(jù)的專題風險掃描中，通過掃描發(fā)現(xiàn)超范圍積分產(chǎn)生及兌換、非正常狀態(tài)用戶積分兌換、大額積分兌換無管控等風險疑點13類，風險數(shù)據(jù)100多萬條。通過對疑點分布進行分析，整理出各地市分公司之間均發(fā)生且僅存在金額差別的普遍性疑點問題，判斷為流程或系統(tǒng)設(shè)置導(dǎo)致的風險，并就該類風險與主管積分業(yè)務(wù)的省公司客戶服務(wù)部召開聯(lián)席會議。省公司客戶服務(wù)部高度重視風險掃描發(fā)現(xiàn)，并就問題產(chǎn)生的原因及相關(guān)改進措施等與審計部協(xié)同分析討論。當年年底下發(fā)了《關(guān)于加強積分運營管控的通知》，重新建立了不產(chǎn)生積分產(chǎn)品目錄更新機制及積分數(shù)據(jù)異常預(yù)警機制，明確了銷戶客戶積分清理要求。同時，對產(chǎn)生隱患的系統(tǒng)操作進行權(quán)限梳理。通過制度、流程和系統(tǒng)管控等方面的完善，實現(xiàn)降低公司客戶積分運營工作風險的目的。

（二）以問題為出發(fā)點，移交線索，端正作風

根據(jù)公司管理層要求，對公司各項經(jīng)營管理活動定期開展風險掃描工作是廣東電信審計部門的一項重要日常工作，通過應(yīng)用審計數(shù)據(jù)集市平臺中的分析模型，對公司各項經(jīng)營管理活動進行風險掃描，并根據(jù)風險影響程度與性質(zhì)，將涉嫌業(yè)績造假行為移交公司紀檢監(jiān)察后續(xù)跟蹤處理。通過審計、紀檢協(xié)同工作，強化對違規(guī)違紀紅線問題的定性和定責，端正經(jīng)營管理風氣，促進公司依規(guī)依法發(fā)展業(yè)務(wù)。如在2017年第四季度開展的全省收入專項風險掃描中，審計人員通過模型數(shù)據(jù)分析，發(fā)現(xiàn)某分公司在該季度出現(xiàn)大額突增情況，進一步獲取具體列收用戶清單發(fā)現(xiàn)，該分公司在該季度與三家互為關(guān)聯(lián)單位的公司分別簽訂了經(jīng)營業(yè)務(wù)合作合同，短期內(nèi)一次性大額銷售，不符合正常業(yè)務(wù)使用邏輯，存在較大造假風險。針對此情況，審計部門組織核查小組進行現(xiàn)場核實，通過與業(yè)務(wù)人員訪談了解項目整體實施背景及操作流程，并在現(xiàn)場進一步進行資料收集，獲取非現(xiàn)場階段未能獲取的流量包和語音包使用數(shù)據(jù)信息清單，判斷項目的實施情況。通過以上補充實施的現(xiàn)場工作，審計部門基本判定該項業(yè)務(wù)為虛構(gòu)交易、虛增收入。但由于審計手段有限，外部證據(jù)不夠完善，分公司對此問題不予確認，問題定性及處理遇到困難，審計部門將此發(fā)現(xiàn)移交公司紀檢監(jiān)察部門，通過巡察組進一步調(diào)查處理，最終確認業(yè)績造假，對相關(guān)業(yè)務(wù)管理人員實施問責和處理。

四、經(jīng)驗總結(jié)

風險掃描具有覆蓋面廣、時效性強、效率高的優(yōu)點，但非現(xiàn)場審計帶來的風險不確定性及全面審計帶來的疑點數(shù)量大等都是風險掃描固有的缺點。若按常規(guī)路徑應(yīng)用風險疑點，則會導(dǎo)致掃描優(yōu)點盡失。廣東電信審計部門一方面轉(zhuǎn)換角度，改風險核查派單為風險提示，輔以正向激勵，促進被審計單位落實風險核查工作，釋放審計資源;另一方面強化風險疑點綜合分析，將大量疑點聚集至流程節(jié)點、業(yè)務(wù)場景，提升公司管控層面對審計發(fā)現(xiàn)的關(guān)注，促進管控措施及流程設(shè)計的持續(xù)完善。通過多年的實踐，風險掃描已被廣東電信各層級普遍接受與認可，成為公司風險防控體系的一項重要措施。

（執(zhí)筆：周建偉）