基于新三線模型的業審融合數字化轉型架構研究

王志強

[摘要]數字化時代，企業內部審計由于創新不足等原因引發諸多問題，如風險識別不準確、審計覆蓋不全面、重大風險事件不能及時發現和有效應對、對業務的支撐不足等。針對上述問題和挑戰，本文以國際內部審計師協會新三線模型為基礎，提出業審融合的數字化體系架構方案，以期為企業內部審計數字化轉型提供借鑒參考。

[關鍵詞]新三線模型? 內部審計? 業審融合? 數字化轉型? 架構設計

一、引言

新的歷史時期，在以習近平同志為核心的黨中央堅強領導下，我國審計事業取得長足進步，持續為國民經濟的高效健康發展保駕護航。在數字化、人工智能蓬勃發展的今天，審計工作越來越依賴信息系統和數字化應用。2021年，中央審計委員會辦公室、審計署印發的《“十四五”國家審計工作發展規劃》提出要“堅持科技強審”，并在“提升信息化支撐業務能力”“提升數據管理水平”以及“加強數據資源分析利用”等方面提出具體要求，高度結合了當前國家大力發展數字經濟、推動企業數字化轉型的大趨勢。

在企業數字化轉型和數智化審計背景下，當前審計工作仍存在內部審計與業務管理及風險管理不連通、不協同，內部審計信息化基礎和系統不健全，數據挖掘和大數據審計程度不高，審計創新和價值提升不顯著等問題。對于企業內部審計而言，如何貫徹落實做實研究型審計的要求，明確自身定位，總結業界實踐經驗，把握大局、關注全局、統籌引領，不斷提升內部審計工作水平，實現內部審計的數字化轉型，發揮內部審計對公司總體戰略和經營目標的持續增值作用，成為當前亟待研究的課題。

二、企業內部審計職能定位和當前存在的問題

內部審計在各組織的職能定位不盡相同。參照2018年《審計署關于內部審計工作的規定》（審計署令第11號），內部審計是指對本單位及所屬單位財政財務收支、經濟活動、內部控制、風險管理實施獨立、客觀的監督、評價和建議，以促進單位完善治理、實現目標的活動?？梢?，內部審計職能定位的職責范圍很廣，并且存在外延的連續變化（郭心瑾，2021）。業務活動、財務收支、內部控制、風險管理都可以作為內部審計評價和監督的工作范圍。但與此同時，內部控制、風險管理和內部審計一樣也是企業全面風險管理體系的有機組成部分。各風控職能之間存在交叉或關聯關系，若存在企業風險管理整體資源的利用效率不高，甚至會出現處理意見不一致、企業風控管理效率和效果降低、企業經營中出現的重大風險事件不能及時發現和有效應對等問題，不利于協同支撐企業戰略和經營目標的實現。

究其原因，總結為以下三個方面。第一，我國企業內部普遍存在對內部控制、風險管理、內部審計等風控相關職能的定位和界限模糊，分工和目標不明確的問題。內部審計對企業經營和管理的審計不夠全面、系統、及時、準確、有效，審計與各職能間不能形成統籌一致的業審融合格局和風險責任承擔機制。第二，內部審計與業務部門之間存在溝通途徑和流程不暢通、不協調的問題，影響內部審計的效率和效果。這是因為，內部審計和業務部門之間的正式溝通協調在很大程度上依賴信息系統的支持，而企業內部審計普遍存在信息化程度不高的問題。內部審計系統偏重于自身的審計作業系統，相對獨立和封閉，缺少與業務系統、管理系統、風險內控等系統的互聯互通，既不能實現對業務數據和風險信息的及時獲取，并聯動內部控制和風險管理職能部門提出統一解決方案，也不能實現審計建議和整改跟蹤的有效銜接和閉環管理，審計執行效率較低、效果不突出。第三，有效的數字化和智能化審計工具缺乏或支持不足，不利于在審計資源有限的情況下全面覆蓋重要領域、重大風險的深入審計和整改提升工作。在當前復雜的內外部環境和經濟形勢下，風險涉及領域復雜多元、風險暴露數量不斷增多，沿用傳統方式逐條確認風險事件已經不具有現實可行性，后續對大量確定的風險事件開展風險響應也存在極大障礙，而數字化系統目前無法對風險自動化識別并利用風險閾值對風險事件進行篩選，因此內部審計對信息化、數字化、自動化、智能化的需求在不斷提升并且十分緊迫。

三、基于新三線模型的業審融合思路

為應對內部審計工作中的上述問題和挑戰，新時期的內部審計工作應建立業審融合原則（秦言坡，2021），創建以內部審計為引領，以企業全部業務、全部數據和全面風險為出發點，融合拉通業務運營職能，以及內控、合規、風險管理等風控職能為一體的業審融合體系。通過系統的有效整合，更好地實現全員、全覆蓋和全面性的風險管理，實現內部審計組織效能的最大化。

關于內部審計與業務、風險管理的融合拉通，在國際內部審計師協會（IIA）新三線模型（2020）體系中已有完整論述?；谛氯€模型的業審融合就是針對第一線、第二線和第三線風險管理職能的整合，如圖1所示。

根據新三線模型理論，第一線為各業務部門和業務單位，同時按照與業務的緊密度以及獨立性原則，與業務緊密聯系的財務控制、質量控制、生產安全等職能也作為第一線職能，承擔相應風險管理職責。第一線在完成各項業務過程中，通過搭建風險管理的架構和流程，將風險管理工作嵌入業務過程，針對業務側的風險實現自我控制，并向組織治理機構匯報。第二線為風險管理職能部門和董事會下設的風險管理委員會，一般將公司級風險管理、內部控制、合規遵循等作為第二線職能的工作范圍。第二線提供指導性的風險管理專業知識，發揮支持和監督作用，并評估和報告企業風險管理的準確性和有效性。第三線為內部審計部門和董事會下設的審計委員會，通常將內部審計、紀檢監察等作為第三線職能。第三線主要提供獨立且客觀的確認和咨詢，推動企業完善風險管理工作。

風險管理不僅是風控部門和審計部門的職責，同樣也是業務部門的職責，是企業內部全員共同參與的，內部審計工作與企業的內部控制、風險管理、業務管理之間存在緊密關聯。新三線模型在強調內部審計獨立性的同時，也說明了在將利益相關方的利益放在首位的前提下，內部審計與治理機構等各線溝通信息和相互配合的重要性。獨立并不意味著孤立，在當前國內外政治經濟形勢錯綜復雜，企業經營管理存在嚴峻困難挑戰的情況下，內部審計與風控、業務相關職能的多級聯動和協同運作，對于提高企業的治理水平和戰略協同能力，實現經營目標具有重要意義。當然，為了維護內部審計的相對獨立性，消除業審融合帶來的不利影響，也需要在機制運行層面建立獨立性隔離的具體防范措施。內部審計應獨立地進行風險評估、制訂審計計劃、開展審計項目、向治理層匯報審計結果等。同時，應當采取審計保密舉措，加強系統保密、數據授權管理，遵循“知所必須”原則；對于溝通過程中的談話內容和談話筆錄、審計底稿等加強保密意識宣貫，避免給項目開展和公司利益造成損失。

新三線模型強調風險管理的價值創造作用（劉棟，2022），企業通過業審有機融合并建立必要的隔離措施，可以提升一、二線風險管理工作效率和效果，同時保證第三線內部審計職能的相對獨立性和有效性，一、二、三線共同完成風險管理在價值創造方面的整體目標和使命。

四、業審融合數字化轉型的架構設計方案

以新三線模型為基礎的業審融合體系實現了對風險的全面、全局管理。要實現業審融合體系的有效運行，在數字化時代，在企業高度依賴信息系統的今天，數字化解決方案是重要依托。

按照企業風險管理整合框架（COSO—ERM 2004），風險管理包含戰略、經營、報告、合規等四個目標和內部環境（①）、目標設定（②）、事件識別（③）、風險評估（④）、風險應對（⑤）、控制活動（⑥）、信息與溝通（⑦）、監控（⑧）等八個要素。根據COSO框架和新三線模型，企業可以建立圍繞一、二、三線系統的業審融合數字化架構，如圖2所示，該架構同時給出了包含在業審融合體系中的系統功能模塊與風險管理八要素之間的映射關系。

（一）第一線系統：實現對業務層面的風險自我管理和響應執行

第一線系統包含業務和財務系統、支撐管理決策的相關系統。第一線系統與業務生產和管理過程中的風險管理有關，主要處理面向產品、客戶、財務等業務和管理中的風險事件。企業的治理架構、價值文化、戰略定位等構成內部環境要素（①），內部環境影響整體風險管理框架的運行，影響企業中長期和年度經營目標的設定（②）以及企業的組織架構等。在支撐企業決策管理方面，相關系統主要包括組織人力、績效、全面預算等系統，發揮資源調度和管理決策的作用。生產系統和財務系統主要處理業務生產流程和財務管理過程，收入、成本、費用的發生基于此類系統進行核算和報告。

針對第一線系統管控的風險，在業審融合數字化解決方案的處理機制下，首先要對風險進行捕獲和識別，常見手段是通過在業務系統埋點獲取風險事件（③）。系統埋點是一種通過在業務系統預設特定代碼對用戶行為數據進行采集、分析、處理以及采取進一步管理動作的計算機程序。該程序主要用于數據同步獲取采集，也可以在發現問題后利用埋點立即進行攔截控制，或者提報人工研究后進一步采取干預措施，通過嵌入內控要求，實現對業務的事前預警、事中控制、事后監督。除系統埋點外，企業還可以在大數據和數字化處理技術支持下，通過異步的數據抽?。‥TL）工具來獲取有關業務和風險的系統數據，并整合到審計數據庫中。雖然該種方式獲取數據的實時性受到限制，但是具有大批大量取得數據的優勢，根據風險分析的需要，數據獲取的頻次可以以天或周為周期，系統操作一般發生在夜間等閑時時段，對業務干擾和影響較小。此外，在現實的業務管理中，并非所有業務都通過系統化和信息化實現，也存在人工線下執行的業務管理活動，還有一種情況就是，雖然在系統上執行，但因數據未能實現結構化存儲和傳輸而以人工方式提出需求或上報風險（③）的方式作為補充，這種情況亦歸屬ERM事件識別要素。

相應地，除了識別和上報風險事件之外，第一線系統還需要對風險分析和處理之后采取的措施進行響應，并通過內嵌在該系統中的業務控制活動（⑥）實現，或者通過線下人工方式進行動作管理或響應處理。第一線系統應結合企業實際和具體場景，針對經營數據、財務數據、管理層會議紀要、工作報告、合同資料等結構化或非結構化的數據，選用適當的埋點、抓取、模式識別、大數據、云計算、人工智能等數字化技術，進行多角度、多層面、多單位、多層級的收集、分析和處理，以實現高效快捷地識別、響應風險的管理目標。

（二）第二線系統：實現對公司層面風險的集中管控和專業支撐

第二線系統針對系統埋點、數據抽取、人工上報等方式獲取的風險數據進行分類處置。從第一線系統到第二線系統進行數據傳輸的過程屬于ERM框架的信息與溝通要素（⑦），當然風險管理的信息與溝通是雙向的甚至網狀的，存在于業審融合體系的三個條線系統的所有活動之間。

從第一線系統識別的風險事件歸集和存儲到業務和風險事件數據庫，該類型數據庫或稱數據倉庫是面向主題的，根據不同業務風險事件的類型或者主管部門的不同，劃分為若干數據集市，如財務領域、銷售領域、采購領域等風險數據集市。另外，該數據庫具有集成性、穩定性、時變性的特征，數據存儲后不隨業務而變化，可以針對業務風險數據和事件長期保存、集中分析。由于保存了不同時間的數據切片，便于建立數據立方體，可以從不同維度對風險數據進行分析和建模。業務中與風險有關的數據，是風險事件的原材料，缺少風險建模過程的分析加工，就不能形成反映業務異常的風險事件。風險建模是基于事先定義的風險模型庫中包含的風險模型對業務風險數據進行分析處理，并形成特定風險事件的過程。風險建模依賴數據庫、統計學、數據分析、機器學習等技術，可極大提升風險事件識別的準確性，大大減少傳統通過人工進行數據分析和判斷的時間成本，有效拓寬風險事件識別產出的廣度、提升成果質量。風險建模識別的風險事件以及通過人工方式補充上報的風險事件，需要在一定的風險分類庫支持下的分類管理和進一步的風險評估（④）。由于單純的自動化風險建模過程產生的風險事件可能存在誤報或者漏報，風險事件的確認也不能僅僅以電子數據為依據進行判定，因此有必要通過人工分析、專業評估、資料檢查、人員訪談等方式對風險事件進一步核實，即通過風險評估對風險建模形成的風險事件進一步進行人工審核。

根據分類的不同，風險評估的風險事件可以分別由不同職能或組別的專業崗位人員通過風險評估方法和工具進行定性或量化分析，以確認風險是否超出組織的風險容忍度，并評估在采取建議的風險應對措施后是否可以將剩余風險降低到可接受范疇，比如，戰略風險事件和公司級的重大風險可由整體風險評估組進行評估并提出專業建議。運營風險、財務風險事件可由內控評價組參照內控手冊進行進一步的分析處理，以推動內控缺陷整改，并通過內控質量報告對各單位歷史數據進行橫向或縱向對比和趨勢分析。合規風險類型的風險事件一般涉及外部的法律法規，反映了經營中可能存在未遵從國家政策或行政法規的情形，因此應當引起高度重視。常見的法規形式包括企業財會法規、上市公司規則、工商行政監管、美國SOX法案、歐洲GDPR數據法規等。此類風險事件由專責的合規評估組進行日常合規檢查、專業評估判斷，并提出相應整改舉措，企業應建立系統的合規案例資源庫作為知識積累和引用參考。法務審查組主要處理公司日常經營管理過程中形成的與人事、商事、合同等有關的約定條款是否存在損害公司利益的問題，這類風險事件一般存在于公司與平等主體的自然人、法人之間。法務組處理的風險事件一方面來自風險模型通過系統自動識別的風險；另一方面，基于法務職能存在提供內部咨詢服務的崗位性質，亦同時接收來自第一線業務單位的線下風險提報和審查需求并進行專業處理。

第二線系統的處理邏輯，是經過風險評估程序之后進入進一步的風險措施應對環節（⑤），即通過重大風險的整體風險應對舉措、內控建議、合規和法務處理活動來實現對風險事件的積極管理。風險事件的應對舉措和建議在系統層面歸入風險應對措施和審計建議庫，針對人員、制度、流程、系統等提出管理改進建議和處置舉措，并推送至第一線系統，通過相關業務控制活動或經人工響應動作來落實整改。根據事前定義的崗位職責庫，對相關建議和舉措進行分類，結合銷項管理制度，統計和跟進不同職能領域待整改處理事項。

第二線系統在數據和管理層面整合了相關風險管理活動，提高了數據共享、風險分析、響應措施的經濟性、效率性和效果性。

（三）第三線系統：實現內部審計業務運行并保持與一、二線協同

第三線系統銜接第二線系統的專業風險管理支持職能和第一線系統的業務風險管理及整改執行職能，其目的是針對風險管理和內部控制工作的準確性和有效性，可以提供獨立客觀的確認、咨詢和監控（⑧）。第三線系統針對第二線系統的風險事件庫進行獨立的審計分析，這一過程與第二線系統的風險評估過程是并行和分開的，體現了內部審計職能的獨立性。在此過程中，內部審計將第二線系統處理的內控、合規、法務、治理等全面風險類型進行綜合評估（審前分析），根據識別的重要事項和風險的不同，確立不同的常規或專項審計項目課題，進而通過審計作業系統，開展具體的審計檢查測試。審計作業系統還包括審計發現庫、審計方案庫、缺陷跟蹤庫、審計制度庫、案例成果庫等。最終的審計問題發現和整改建議通過審計報告發布，并歸至第二線系統的風險應對措施和審計建議庫，進行統一歸檔和銷項管理。

第三線系統也針對來自公司內部或外部的舉報線索進行受理，納入監察案件處理程序，進行獨立的立案調查。審計審前分析輸出的重要事項和風險中包含的舞弊事件同樣可作為重要線索納入監察立案的處理范圍。監察立案的線索或事件經由單獨的監察作業系統或者功能模塊進行常規事務性管理，最終形成的對涉案人員的意見或管理機制的建議也統一納入第二線系統進行跟進落實和整改處理。通常監察作業系統還包含針對企業黨風廉政建設、紀檢協同流程、廉政文化宣傳、反腐工作總結等工作的信息化支持，以提高監察工作的全面性、系統性、針對性、嚴格性和有效性。

通過建立第三線內部審計系統，企業內部審計人員可以充分利用信息化管理、大數據和智能化分析技術，對業務總體的全量數據進行風險分析和建模，實現非現場或遠程審計、連續審計、全量審計、可視化審計模式，并建立風險預警和響應機制，提升內部審計的工作效率和覆蓋面，提升內部審計服務企業戰略和績效目標的價值貢獻。

五、結語

以上關于業審融合的數字化架構涉及企業業務系統、生產系統、財務系統、管理決策和支撐系統、風險管理和審計業務系統、數據庫和大數據分析平臺等多重系統的管理和數據拉通，是一個完整的體系。新三線模型為審計與業務和風控的拉通、為內部審計的轉型奠定了理論基礎。內部審計數字化轉型和信息化系統運行過程中，需要管理制度的支撐。內部審計制度方面，需要建立內部審計章程、操作流程、質量標準、審計程序等；業務協同制度方面，需要完善風險自查制度、審計配合規范、整改落實指引等。所有的制度流程和操作指引都必須適應系統的管控模式，建立運行保障機制。

構建以新三線模型為基礎的創新型內部審計體系，適應新發展階段，利用跨職能的一體化、協同化的信息平臺，建立常態化、系統化的溝通協調機制，加強內審部門與其他部門、業務單位之間的溝通協調和聯動拉通，減少職能壁壘，以達到整合信息、節約資源、提質增效、推動系統和數據一致性、更好地支撐決策的目的。當然，內部審計的數字化轉型需要公司組織上、戰略上、管理上的全方位支持，不是一蹴而就的，需要結合企業自身實際持續探索、科學謀劃，遵循整體統籌、標準先行、應用驅動、數據拉通、分步實施、管理協同的原則，不斷推動內部審計組織效能從量變到質變的飛躍，為企業戰略發展貢獻長期價值。

（作者單位：佛山市順德區碧桂園物業發展有限

公司，郵政編碼：528312，電子郵箱：wzq.mail@163.com）

主要參考文獻

[1]郭心瑾.基于“大風控”前提的企業總審計師制度探索[J].中國內部審計， 2021（10）：30-34

[2]黃志媛.價值增值型業審融合模式的構建及應用[J].財會通訊， 2022（11）：123-127

[3]林丹珊.信息化時代的大數據內部審計研究[J].中國管理信息化， 2021（14）：52-53

[4]劉棟.新三線模型視角下對基層央行內審工作的探析[J].財會學習， 2022（12）：113-115

[5]秦言坡.國有大型企業內部審計信息化系統的構建研究[J].中國內部審計， 2021（9）：16-20