基于Bow-tie模型的风险管理审计
2019-09-10沈啸岗
沈啸岗
[摘要]Bow-tie模型具有可视化、发散性等特征,广泛应用于各行各业风险管理领域。本文以基层央行安全保卫管理审计为例,对运用Bow-tie模型开展风险管理审计进行了初步探索。
[关键词]Bow-tie模型 基层央行 风险管理
随着金融创新、信息技术发展以及业务的转型升级,基层央行履职的内外部环境发生了显著变化,面临的风险种类越来越多,风险管理难度加大。人民银行内审部门作为第三道防线,以风险管理审计为抓手,在防范风险方面发挥了积极作用,有力促进了基层央行完善组织治理。2018年1月出台的《审计署关于内部审计工作的规定》明确将“对风险管理实施监督、评价和建议”作为内审工作的主要职责之一,对内审部门开展风险管理审计提出新的要求。但从审计实践来看,基层央行在风险管理审计理念、技术和方法运用等方面仍存在一些瓶颈,影响审计成效的发挥。
一、Bow-tie模型的主要特征
Bow-tie模型最早由澳大利亚昆士兰大学提出,因其形状像左右对称的蝴蝶,又称蝴蝶结模型,其典型结构如图1所示。Bow-tie模型包含四大基本要素,分别是危险源、风险事件、潜在结果以及安全屏障。在Bow-tie模型中,风险事件往往伴随着危险源次生出现,每个风险事件都有对应的风险源,而每个风险源往往有多个风险事件伴随,预防性屏障即在事前设置相应的控制措施,以降低事故发生的可能性,而纠正性屏障是在事故发生后,通过相关补救方法降低事故的影响程度。简言之,Bow-tie模型就是在事前事后对某一风险事件通过设置屏障的方式进行风险管控,降低结果发生概率或严重程度。从现代风险管理理论角度看,Bow-tie模型作为一种先进的分析工具和方法,同样适用于基层央行风险管理审计。
Bow-tie模型分析法具有四个明显特征:一是高度可视性。能够直观、详细地看到风险事件的全部起因、后果以及所采取的安全屏障措施;二是管理动态性。在管理过程中,允许通过设置、评估、更新和调整安全屏障等方法,及时防范和控制风险;三是分析发散性。随着风险认识水平的提升以及环境和方法的变化,对风险源的识别、影响路径和事件后果的分析将更加全面、具体和深入;四是因果对应性。能够用图形直观地表示出整個事故发生的全过程和相关定性分析,原因和后果对应关系十分明晰,帮助人们在事故发生前后采取有效措施来预防和控制事故的发生。
二、风险管理审计的瓶颈
近年来,基层人民银行对风险管理审计进行了积极探索,在促进履职风险管理方面发挥了一定作用。但从审计实践来看,风险管理审计的效能未能充分释放,存在明显的制约因素。
(一)导向不明确
风险管理审计要求以风险为导向,围绕风险识别、风险分析和风险控制等情况开展审计。但有的审计人员审计理念明显滞后,仍然停留在账项审计等传统审计,以制度执行为基础进行审计,缺乏危险源、安全屏障、预防性和补救性风险管理等风险管理概念,导致审计目标导向和方法导向发生偏差。无论在审前准备阶段、现场审计阶段还是审计成果运用阶段,审计针对性不强,未将审计重点和审计资源聚焦在风险揭示和防范方面,从而制约了审计工作的深入开展。
(二)重点把不准
审计重点的选择和把握对风险管理审计效果至关重要。在风险管理审计过程中,有的审计人员未能从掌握的审计资料中有效梳理出重点内容,对形成事故的风险源、影响路径、控制措施的有效性以及产生的后果认识不清,因果对应关系不明,未掌握全面的风险管理过程,审计重点的把握不能切中要害。另外,在风险分析和评价过程中,对重要风险的识别、分析和评价工作不到位,未能抓住关键业务、关键环节、关键风险,致使风险管理审计成果大打折扣。
(三)风险查不清
由于审计理念落后和审计方法不适用,风险管理审计内容不够全面,对部分风险点的审计仍有疏漏,未能对所有风险实施全覆盖并进行全过程审计。各类风险点是风险管理审计评价的主要内容,对风险点的分析和研究是实施现场审计的重要基础和前提。如果审计内容不全面,未能揭示主要风险控制情况,审计意见和建议就会缺乏针对性和实效性,审计结果就不会引起审计对象的足够重视。
(四)方法不适用
恰当运用风险识别技术和方法,准确识别被审计单位和业务领域风险事件,是有效开展风险管理审计的关键环节。有的审计人员风险识别和防范技术较为落后,仍然采用调阅资料、翻看制度等传统方法,较少使用穿行测试、流程分析、情景模拟等现代技术,难以准确识别被审计单位和业务领域的风险源和风险事件,对预防性和补救性控制措施缺乏全面分析,影响审计质量的提高。
(五)成效不明显
在审计成果运用方面,内审部门一般通过审计报告、内审建议书等形式,向被审计对象传递改进风险管理的信息,但是由于审计发现层次较低,主要是一些操作性问题,审计发现的风险揭示力度不足,特别是对风险识别、风险应对、信息交流和监督检查等风险管理缺陷审计不到位,无法提供完善风险管理的有效审计意见和建议,难以契合被审计对象对风险的关注,从而制约审计成效。
三、Bow-tie模型在风险管理审计中的应用
在风险管理审计实施的各个阶段,科学应用Bow-tie模型,有利于消除瓶颈,提升审计成效。因为Bow-tie模型和风险管理审计有着许多共同点和契合点,主要表现在:两者均以风险点为分析对象或审计对象;均以研究和查证安全屏障或内控措施为重点;均注重风险事件的起因、发生和后果的全过程判断和评价;均以改善和提升风险管理和组织治理水平为目标。基于上述诸多共同因素,Bow-tie模型和风险管理审计能够实现有机结合,既可以运用模型支持风险管理审计的顺利开展,又可以运用风险管理审计成果,不断完善Bow-tie分析模型,更好地服务业务领域防范和控制风险的需要。现以基层央行安全保卫管理审计为例,说明Bow-tie模型在风险管理审计中的应用思路和做法。
(一)审计思路
以Bow-tie模型为基础,按照“建立模型→模型比较→审计查证与评价→审计意见与建议→完善模型”的思路开展风险管理审计,实现服务组织治理的审计目标。
(二)模型建立
建立模型是审计计划阶段的一项重要工作,围绕建立Bow-tie模型,积极做好审前准备。一是收集资料。充分收集与业务领域有关的各项制度、规定、流程和具体要求,了解审计对象的内部控制环境,梳理并列出风险事件清单;二是评估风险。分析重要风险事件的原因,找到可能导致事故的风险源,并判断其可能诱发事故的具体路径,列出风险源与风险事件的因果对应关系,评估业务的固有风险;三是评价后果。分析风险事件可能导致的损失和后果;四是设置控制。从审计视角分析应建立的预防性和补救性控制措施;五是建立模型。通过内审人员头脑风暴,针对内控措施失效的情形开展讨论,然后以风险源、传导路径、风险事件、后果以及需要设置的安全屏障为关键要素,建立Bow-tie模型,将风险识别的结果以图形形式表现出来,让审计人员直观地了解审计重点、目标和风险,做到风险引导审计。
在安全保卫风险管理审计中,有发行库区安全管理、押运管理、枪弹管理以及安防系统管理4项重点审计内容。通过Bow-tie模型归类筛选,识别出11项固有风险事件,分别为:在发行库管理方面,识别出发行库受到外部攻击、安全事故或自然灾害导致发行库被损毁、守卫值班人员伤亡3个固有风险事件;在押运管理方面,识别出押运途中钱款被盗抢、押运途中发生交通事故、押运途中发生人员伤亡事件3个固有风险事件;在枪弹管理方面,识别出枪弹被偷盗、枪弹账实不符以及枪弹保管使用不当引发人员伤亡3个固有风险事件;在安防系统管理方面,识别出未严格按照要求部署和使用系统、安防系统被非法入侵导致系统故障或敏感信息被盗两个固有风险事件。以汽车押运业务为例,审计人员通过现场查看、跟班作业、询问、访谈等手段,对汽车押运发生交通事故的原因进行梳理,识别出押运车辆发生交通事故的固有风险事件,并通过推导和原因分析,绘制押运车辆发生交通事故的事故树模型,如图2所示。
根据风险事件评估结果及审前分析判断,初步建立Bow-tie模型,如图3所示,为顺利实施现场审计打好基础。
(三)模型运用
运用Bow-tie模型辅助现场审计,能够推进审计进程的顺利开展,做到目标明确,思路清晰,内容全面,重点突出。在提高审计效率的同时,审计质量亦得到充分保障。根据前一阶段确定的主要风险点,调查内部控制环境,检查相关档案记录,观察业务活动和内部控制体系建设及运行情况,并通过穿行测试、现场查看、询问访谈、情景模拟等手段查找审计线索,了解被审计单位的内部控制,实际评估风险控制情况。
安全保卫管理审计时,运用初步建立的安全保卫风险事件Bow-tie模型,从风险识别、风险评估、风险控制等方面,围绕模型中的关键要素进行审计查证,通过模型比较和验证,实地评价安全保卫风险管理状况。以上述押运车辆交通事故模型为例,审计发现在事故风险管理方面存在问题,如风险认识不清,对风险源的排查和梳理不到位,没有意识到车辆维修保养的重要性,未将车辆维护、押运前风险教育等关键影响因素作为风险源,致使风险要素识别不全面;安全屏障设置不到位,在车辆配备、调度和管理方面缺少相应的制度流程,仅凭借习惯或经验做法,如在借用外单位车辆押运管理方面无相关制度规定等;风险传导路径和后果识别不到位,致使交通事故風险防范和控制能力薄弱,如应急预案不合理,内容不具体、不准确,加之日常未组织应急演练,发生车辆交通事故的突发事件处理能力明显不足。
(四)模型完善
完善模型是审计报告阶段进行成果转化与运用的重要表现。通过现场审计的Bow-tie模型运用、分析、比较与评价,基本可以得出被审计单位的风险管理现状。在此基础上,针对审计发现的问题,提出Bow-tie模型修改和完善的审计意见和建议,以便相关单位和业务部门进一步强化风险管理。一份针对性强、可操作的审计报告,可以有效引起业务部门的关注,从而提高审计成果的利用程度。由图1可知,当风险事件发生后,要采取相应的补救措施降低风险的影响程度或制止风险继续发生,而审计对于发现问题的“补救措施”主要体现在原因分析和审计意见上。对图1中的标准Bow-tie模型进行改良,应用到审计的原因分析和审计意见撰写上,将右半部分用作审计问题原因分析和审计意见的撰写,以此来提高审计意见的可操作性,提高报告使用者的认可程度。
以安全保卫审计为例,针对图2中发现的审计问题,开展原因分析,并有针对性地提出加强应急演练、行前教育,注重车辆日常维修保养等审计意见。安全保卫和货币金银部门结合审计意见和建议,建立并完善相关风险事件的Bow-tie模型,运用于日常工作和风险管理,以进一步增强风险防范和控制能力,促进安全保卫管理工作整体水平的提升。
总之,Bow-tie模型在风险管理审计中的运用,能够实现审计双方共赢,既能提高审计绩效,又能强化风险管理;既能提高审计站位,拓宽审计视野,又能回应被审计单位对风险的关切;既能充分发挥内部审计的监督、评价和建议职能,又能为组织治理水平的提升贡献内审智慧。在Bow-tie模型运用过程中,审计人员要学会运用科学审计思维,辅以先进审计工具和手段,与被审计单位保持密切沟通和经常性互动了解,以有效防范和控制风险为目标,结合现行制度规定、流程设计和职责履行,及时完善Bow-tie分析模型,不断提高日常风险管理能力和水平。
主要参考文献
程福垒.我国基层央行风险管理研究[J].中国内部审计, 2017(6)
程学庆,王睿.基于蝴蝶结模型的高速铁路车站安全风险管理[J].铁路运输与经济, 2015(12)
邓昕,卢米.基于风险管理的人民银行分支行内部控制评价[J].审计月刊, 2008(7)
李露露.风险导向内部审计在人民银行风险管理中的应用[D].北京:首都经济贸易大学, 2015
刘黎燕.基于COSO全面风险管理框架下基层人民银行的内部控制研究[D].昆明:云南师范大学, 2014
辛树人,陈震宇,路勇.基层央行风险管理研究:基于COSO风险管理框架的新视角[J].金融发展研究,2012(1)