在企业开展全面风险管理时代，内部审计所面临的挑战就是如何评价风险管理过程的有效性以及对其改善做出更大的贡献。内部审计要全面而充分地发挥“溢出效能”，就需要引入高效的风险工具，以风险理论逆向思维去分析审计结果，追溯风险产生根源，从而达到源头治理的目的。“蝶式风险分析工具”对审计成果进行风险逆向识别，有利于查找问题根源，促使组织彻底整改，促进企业机制、流程的完善，防范企业风险。

一、“蝶式风险分析工具”与内部审计“溢出效能”

（一）蝶式风险分析工具

国际内部审计师协会（IIA）专刊《内部审计师》在2011年10月刊发艾瑞克·拉维亚文章《风险和“蝴蝶”》（Risk and “the Butterfly”），提出新的风险分析工具，即“蝶式风险分析工具”（Butterfly Risk Tool）,见图1。“蝶式风险分析工具”是以一个更为宽泛的视角，对每个事件潜在的风险源和后果进行考量。内部审计可以借助此模型对审计结果进行风险识别，从而分析问题产生的根因，开展问题整改工作，从源头防范风险。

图1 蝶式风险分析工具

从图1可见，蝶式风险分析工具主要包含两方面内容，即风险识别与控制活动。蝴蝶的左翼是风险源，包括外部和内部的风险源、风险因素和风险指标；右翼是风险结果，风险结果是各种影响的结果及其潜在风险的程度和速度。在事件识别中，对外部环境和内部环境的监测能使管理层和内部审计在识别固有风险的基础上对新的和正在显现的风险进行识别。风险评估的左翼是“风险发生的可能性”，右翼是“风险的影响”。与此相对应，风险应对的左翼是“降低可能性”“规避风险”，而右翼则是“削弱其影响”“转移或分散其风险”。

控制活动的左翼是“预防性及监督性的控制活动”，右翼则是“修正性的控制活动”。一种上游风险的结果成为另一种风险的来源则体现了风险之间的相互依存性（左翼），而一种风险的结果亦能成为另一种下游风险的来源（右翼）。蝶式风险分析工具的另一个特征是从本质上强调风险管理是一个“过程”，且在分析外部与内部风险来源时将观察问题的视角延展至组织之外（将主要供应商、分包商等利益相关者纳入考虑）。

（二）内部审计溢出效能

“溢出效能”源自经济学概念，是指一个组织在进行某项活动时，不仅会产生活动所预期的效果，而且会对组织之外的人或社会产生预期之外的影响。对于审计工作而言，审计作用发挥的种类和力度超过了法规与制度具体规定的“溢出”部分就是溢出效能，主要通过审计成果的深度运用实现。企业内部审计工作通过组织问题整改，促进企业增收节支、挽回或避免损失、调整账务收回资金等，属于审计履行职责，而在此基础之上，督促有关方面整改问题、建立健全规章制度、强化追责问责、规避管理风险，进而在促进企业健康运行、推动完善企业治理等工作中产生的成果，就是内部审计工作的溢出效能。

二、蝶式风险分析工具应用的背景

近年来随着国家依法治国不断深入，对国有企业监管持续加强，国有企业对审计成果重视程度有所提高，但由于运用中缺乏有力的抓手或科学的方式，仍存在审计成果运用不到位、运用深度不足等情况。

“屡查屡犯”现象无法根除。企业内部审计工作重心仍集中在查找问题阶段，对问题整改的后续跟踪与整改成效的考核力度不足，对审计成果运用缺乏系统、科学的统计。对于个别单位的此查彼犯、前查后犯现象，对于由制度欠缺与流程缺陷造成的风险问题等，缺乏有效的遏制手段。企业内审运用风险评估手段不够丰富，尚未形成完整的风险分析和评价体系。

问题整改深度不足。被审计单位往往只关注揭示出的审计问题个案，局限于头痛医头，脚痛医脚的“救火式整改”，并按专业管理职能分解整改任务。由于专业分工流程较细、流程较多，各专业之间相对独立，以致形成业务衔接的空白，缺乏对企业内部控制存在问题的俯瞰性、整体性认识，导致对审计揭示问题的深层次成因认识不透彻，问题整改缺乏系统性，进而影响对内部控制风险的判断和重大风险点的把握。

隐患排查不能举一反三。相关单位对审计成果重视程度不足，对审计揭示的问题缺乏风险敏锐性与自我排查的主动性。所开展的潜在风险梳理工作，往往局限于某一业务环节管控薄弱的个案，存在就事论事心理，无法有效延伸到上下游的相关业务和同类业务，不能对业务进行整体系统性审查与分析，不能甄别同质同类的风险，使得审计成果运用大打折扣，对风险防范与隐患排查的深度和彻底性有较大影响。

国有企业防范风险的基础在于充分运用审计成果，内部审计要发挥溢出效能需要促进审计成果的深度运用，在保障企业整改现有问题基础上，从管理机制、流程等方面加以改进与完善。这需要内部审计采取有效的方式促进成果运用。

三、蝶式风险分析工具的作用

（一）蝶式分析工具的风险识别

企业在经济发展转型期经营活动的不确定因素持续增加，这就需要内部审计工作全面契合企业发展战略，充分分析企业内部环境与外部环境之间的联系，充分识别企业外部风险和内部风险。蝶式风险分析工具为确认、记录潜在风险的来源和结果提供了一个完整架构。

1.风险结果梳理。即蝴蝶的右翼，将问题产生影响归类对应到风险结果。国网天津电力通过梳理近三年内外部审计发现问题，对问题导致的结果进行分析、归类，汇总出财务影响、收入影响、安全影响、声誉影响、资产保值增值影响、信息安全影响等6类风险结果，将百余项审计问题归入此六类，见表1。通过对问题可能导致结果的初步归类，使原本零散的问题以最终产生的影响为标准，清晰地显示在风险结果架构中。此种方法改变了传统的以专业划分问题为主的分析模式，突破专业划分界限，重点关注问题导致的结果，即无论是财务方面、工程方面或资产管理方面的问题，从新的维度进行归类，不仅关注问题本身带来的影响，更加关注此类问题在企业运营中的影响程度，不同专业同一结果的问题将被作为同等风险等级，从而使问题导致的风险结果、风险程度等更加直观。

2.风险来源分析。即蝴蝶的左翼，在初步识别风险结果的基础上，进行风险来源分析。风险来源包含外部来源与内部来源，外部来源包含经济环境、资源及市场变化以及国家法律、法规及政策变化、企业战略目标调整产生的等；内部来源包含组织治理机构缺陷、风险管理机制不健全、主观因素造成执行不到位等。国网天津电力运用蝴蝶模型主要对上述风险结果从主观原因、客观原因进行风险问题来源分析，通过分析，将问题产生的根源主要分为8类，见表2。其中每类风险结果都可以对应到客观因素与主观因素。客观因素主要为流程、制度管控不到位或不完善、上级考核或政策要求等，主观因素主要为侥幸心理、习惯性不按制度流程办事等。通过对风险产生的主客观原因分析，可以更清晰辨识风险来源，便于管理者找到问题根源采取措施，从根本解决问题。

表1 风险结果分类表

表2 风险根源分析表

（二）风险评估

风险评估即在风险识别的基础上，对问题可能导致的风险结果及其成因进行量化分析，主要分析发生的概率，以便于管理层对风险更全面系统的了解。蝶式风险分析工具中，风险评估的左翼是“风险发生的可能性”，右翼是“风险的影响”。国网天津电力在风险识别的基础上，对风险来源与结果发生可能性与影响进行了评估，评估主要依据原始问题，对主客观因素发生概率进行分析。风险来源因素发生概率见图2。

相比常规的风险评估，对主客观概率因素的统计结论，更具有指导性和可参照性。

（三）应对策略与整改

应对策略即在风险源头上设置防控措施，以预防风险的发生。防控措施使风险在源头和后果上得到遏制，降低风险发生的概率和影响。国网天津电力在风险识别与评估的基础上，针对风险产生根源制定应对措施，组织实施问题整改，即在整改现有问题的基础上，理顺问题所在的管理流程，完善制度和控制措施，真正实现源头整改，杜绝问题屡查屡犯。

在制定具体应对措施的同时，还需要建立保障措施，国网天津电力主要采取三项保障措施以确保应对措施的实施。一是推进问题整改制度化，明确整改标准和要求。二是推进风险防控关口前移，坚持开展依法治企自查自纠，全面排查风险隐患；建立风险预警机制，做到风险预控、防线下沉。三是推进审计监督考核问责，细化结构化考核标准，加大问责力度，对整改不力、屡审屡犯的单位，约谈主要负责人，对典型事件严肃问责，进一步将发现问题与整改成效与党风廉政建设和企业负责人业绩考核挂钩。

四、内审溢出效能的发挥

（一）通过风险识别追溯调整业务流程

针对关键业务存在的问题，通过风险识别查找产生原因，追溯完善业务流程，堵塞管理漏洞。通过类似问题的整改，促进企业流程优化，消除流程盲点、断点，完善专业流程衔接点，构建企业级端到端框架，进一步破除各业务横向协同障碍，深化业务融合，提高跨部门、跨专业、跨层级业务运行效率。

以供电企业业务费收取问题的整改为例。供电企业中存在业务费（高可靠性供电费、负控管理装置费、低压零散用户业扩报装费用等）未收或少收的问题。此问题将给企业造成潜在损失，通过风险结果归类为收入影响。

图2 风险来源因素发生概率评估图

对该风险结果进行风险识别，造成该事项发生的主观原因是相关人员认为不会被查出，客观原因为系统功能缺陷或功能不完善。通过审查发现，该业务涉及流程岗位主要为大客户经理、市场部主任、市客服中心大客户经理等重点岗位；业扩报装流程中设置了“审核业务费用”环节进行风险防控，大客户经理在系统中确定完业务费后，将流程发送至本单位市场部主任审批，市场部主任审核通过后发送至市客服中心大客户经理进行审核。审计通过与实际业务对比，发现该环节在执行过程中存在漏洞，如果市场部主任在费用审核环节发现计算有误，即将业务流程退回，待业务员重新更正确定业务费用后，不再经过审核环节，而是直接跳过市客服中心大客户经理的审核，造成业务费确认审核环节缺失，此流程存在管控漏洞。

在风险控制方面，通过对营销业务系统内控流程进行有效性评价，揭示出业扩报装关键流程跳转风险防控薄弱，协同专业部室在系统中完善“审核业务费用”关键环节，将系统流程漏洞及时堵塞，有效纠正了少收业务费的风险，见图3。

（二）通过风险识别完善岗位职责

针对审计发现问题进行风险识别，追溯岗位职责权限匹配是否覆盖和履行、是否存在不相容岗位未分离等情况。通过此类问题整改重点解决同一条流程在不同基层单位由不同岗位实施、相同岗位在不同单位参与流程及环节存在差异的情况。

例如，在审查营销业务系统重要岗位权限设置和使用中，发现地市公司未按岗位职责设置权限、重要业务权限未按规定使用，风险结果归类为信息安全影响。

对该风险结果进行风险识别，造成该事项发生的主观原因为基础工作不到位，客观原因为系统管控不到位。审计发现，部分营销业务由于系统人员权限设定不合规，导致部分业务真实性无法保障。如一般专责人员具有地市公司领导审批权限；违章、窃电业务和客户档案信息修改流程可由同一账号完成，较大金额电费退费流程只有班组人员审批。收费人员具有电费解款销账权限，无论资金是否实际到账，均可在营销业务系统解款确认等。通过对营销业务系统人员权限设定分析，发现问题根源在于系统管理员由各地市公司掌控，在权限设定的过程中存在设定重要岗位权限相互分离、制约设定不匹配、使用不规范形成超级权限等情况，带来较大资金安全管控风险。

在风险控制方面，通过对关键岗位职责进行有效性评价，揭示出系统管理员权限层级过低、管控薄弱，督导专业部室将系统管理员权限上收，完善线上线下系统权限申请审批流程，将岗位职责设定漏洞及时堵塞，大大降低虚假业务的风险。分析业务主管部门从传达到执行的过程中制度执行薄弱环节，督促专业部门明确制定执行的实施细则和指导方案，有效提高电力营销内部控制，见图4。

图3 风险识别业务流程图

（三）通过风险识别完善管理制度

针对审计发现问题产生的风险结果，深入分析其中制度健全性、有效性方面存在的问题，提出改进建议，促进制度控制体系完善。通过类似问题的整改，可以及时完善和消除企业治理制度存在的内容缺失、冲突、模糊、分散等问题，提高制度体系的科学性和适用性，更好促进企业制度政策的落地执行。

例如，在审查业务费政策收取规范性中，发现地市公司存在临时接电费退费标准不统一、执行不到位的情况，风险结果归类为声誉影响。

对该项风险结果进行风险识别，造成该事项发生的主观原因为政策未执行，客观原因为无明确制度约束。通过审查发现，临时接电费收取政策出台主体为省政府电价主管部门，政策中只明确了主要收费条款，即临时用电超过合同约定期限3年的，临时接电费用不予退还，具体操作流程并未明确提出。而省公司作为政策的执行方，业务主管部门并未对各地市出台实施细则，各地市各自为政，造成部分地市电力公司施行全额扣减临时接电费，部分地市电力公司按天扣减临时接电费，从而形成制度执行不到位、适用性不强的问题。

在风险控制方面，通过对制度进行有效性评价，分析业务主管部门从传达到执行的过程中制度执行薄弱环节，督促专业部门制定明确的实施细则和指导方案，大大降低临时接电费退费标准不统一、执行不到位的问题，有效提高临时电管控标准，见图5。

图4 风险识别岗位职责图

图5 风险识别管理制度图

五、“蝶式风险分析工具”应用实例

国网天津电力运用“蝶式风险分析工具”开展风险问题深化治理工作，持续提升内审工作的溢出效能，公司上下各层级在政策遵循、制度贯彻、管理源头、落地执行等方面充分辨识整改风险危害，有效杜绝管理隐患。

（一）运用蝶式风险分析深化问题治理

国网天津电力以“整改-规范-杜绝-提升”为主线开展“风险问题深化治理年”专项行动，并且把这项行动作为落实国资委监事会、国网公司问题清单治理的重要环节。本着落实国网公司“严肃整改”和公司“解决历史遗留问题要快‘治标’重‘治本’”的根本要求，对近年来审计检查发现问题进行全面梳理，从问题结果追溯至风险产生根源，围绕健全制度、完善流程、堵塞管理漏洞、制定问题整改措施，确保审计成果得到充分运用。

在深化治理中建立两项保障机制以确保目标的实现。一是问题整改长效与常态机制。将整改成效固化到管理机制；开展问题整改持续审计，对屡查屡犯现象进行风险预警。二是严肃考核确保实效。按照“统一标准、动态管理、实时更新”的原则，对各单位屡审屡犯现象、问题整改结果实施动态管理。对重大违规事项、问题整改不到位等情况，运用月度过程考核手段进行严肃问责，约谈相关单位主要负责人，将整改成效与业绩直接挂钩。

通过开展此项活动，促进了流程、制度完善。推动完善了管理制度匹配错误或不完整、标准岗位匹配不完整、标准岗位匹配错误等9个流程、43个环节。完善制度顶层设计中37项薄弱环节、强化168项流程的执行。完善业务信息系统功能5处。通过整改切实从源头上杜绝了问题的屡查屡犯。

（二）提升审计成果运用深度与层次

国网天津电力通过运用“蝶式风险分析工具”，有效提升了审计问题分析深度与系统性。一是审计问题分析由表及里，延伸到问题产生根源，避免了就事论事、问题分析不透彻、责任分析不明晰的情况，为实施问题整改提供了有力支撑。二是审计问题分析系统性有效提升，在蝶式图中体现了审计问题在公司运营治理中的角色与位置，据此开展风险治理工作，为公司决策者提供直观的、全面的、系统性的分析，有利于从制度、流程的顶层设计方面制定风险应对措施，为公司领导决策提供有力支撑。

（三）风险防线下沉有力推动隐患排除

国网天津电力在推进审计成果运用的基础上，进一步拓展审计成果深化范畴。一是在借鉴公司系统关键领域内、外审计检查披露问题基础上，提炼下发“潜在风险清单”，在审计报告标准化表达、审计工作成果阶段性汇总、经营管理信息抓取、制度依据速查等方面充分实现指导性、及时性。二是通过问题梳理与剖析，对存在潜在风险的基层单位下达“预整改建议书”，明确提出审计意见与专业指导建议，督促其以“潜在风险清单”为纲、以历年审计发现问题为鉴，对自身工作逐项梳理，排查问题及潜在风险。

主要参考文献

艾瑞克.拉维亚.风险和“蝴蝶”[J].中国内部审计, 2011(12):30-32

万文钢.内部审计增加组织价值实务研究[J].中国内部审计, 2015(2):52-56

王兵.在风险管理和控制的三道防线中运用COSO内部控制[J].中国内部审计, 2016(4):4-8

中国工商银行内部审计局上海分局课题组.经济新常态下商业银行内部审计转型发展路径研究[J].中国内部审计, 2017(5):8-13

周志方.以增值型审计为目标的审计信息化建设研究[C].全国内部审计理论研讨优秀论文集,中国内部审计协会, 2013