基于Bow-tie模型的風險管理審計

沈嘯崗

[摘要]Bow-tie模型具有可視化、發散性等特征，廣泛應用于各行各業風險管理領域。本文以基層央行安全保衛管理審計為例，對運用Bow-tie模型開展風險管理審計進行了初步探索。

[關鍵詞]Bow-tie模型? ? 基層央行? ? 風險管理

隨著金融創新、信息技術發展以及業務的轉型升級，基層央行履職的內外部環境發生了顯著變化，面臨的風險種類越來越多，風險管理難度加大。人民銀行內審部門作為第三道防線，以風險管理審計為抓手，在防范風險方面發揮了積極作用，有力促進了基層央行完善組織治理。2018年1月出臺的《審計署關于內部審計工作的規定》明確將“對風險管理實施監督、評價和建議”作為內審工作的主要職責之一，對內審部門開展風險管理審計提出新的要求。但從審計實踐來看，基層央行在風險管理審計理念、技術和方法運用等方面仍存在一些瓶頸，影響審計成效的發揮。

一、Bow-tie模型的主要特征

Bow-tie模型最早由澳大利亞昆士蘭大學提出，因其形狀像左右對稱的蝴蝶，又稱蝴蝶結模型，其典型結構如圖1所示。Bow-tie模型包含四大基本要素，分別是危險源、風險事件、潛在結果以及安全屏障。在Bow-tie模型中，風險事件往往伴隨著危險源次生出現，每個風險事件都有對應的風險源，而每個風險源往往有多個風險事件伴隨，預防性屏障即在事前設置相應的控制措施，以降低事故發生的可能性，而糾正性屏障是在事故發生后，通過相關補救方法降低事故的影響程度。簡言之，Bow-tie模型就是在事前事后對某一風險事件通過設置屏障的方式進行風險管控，降低結果發生概率或嚴重程度。從現代風險管理理論角度看，Bow-tie模型作為一種先進的分析工具和方法，同樣適用于基層央行風險管理審計。

Bow-tie模型分析法具有四個明顯特征：一是高度可視性。能夠直觀、詳細地看到風險事件的全部起因、后果以及所采取的安全屏障措施;二是管理動態性。在管理過程中，允許通過設置、評估、更新和調整安全屏障等方法，及時防范和控制風險;三是分析發散性。隨著風險認識水平的提升以及環境和方法的變化，對風險源的識別、影響路徑和事件后果的分析將更加全面、具體和深入;四是因果對應性。能夠用圖形直觀地表示出整個事故發生的全過程和相關定性分析，原因和后果對應關系十分明晰，幫助人們在事故發生前后采取有效措施來預防和控制事故的發生。

二、風險管理審計的瓶頸

近年來，基層人民銀行對風險管理審計進行了積極探索，在促進履職風險管理方面發揮了一定作用。但從審計實踐來看，風險管理審計的效能未能充分釋放，存在明顯的制約因素。

（一）導向不明確

風險管理審計要求以風險為導向，圍繞風險識別、風險分析和風險控制等情況開展審計。但有的審計人員審計理念明顯滯后，仍然停留在賬項審計等傳統審計，以制度執行為基礎進行審計，缺乏危險源、安全屏障、預防性和補救性風險管理等風險管理概念，導致審計目標導向和方法導向發生偏差。無論在審前準備階段、現場審計階段還是審計成果運用階段，審計針對性不強，未將審計重點和審計資源聚焦在風險揭示和防范方面，從而制約了審計工作的深入開展。

（二）重點把不準

審計重點的選擇和把握對風險管理審計效果至關重要。在風險管理審計過程中，有的審計人員未能從掌握的審計資料中有效梳理出重點內容，對形成事故的風險源、影響路徑、控制措施的有效性以及產生的后果認識不清，因果對應關系不明，未掌握全面的風險管理過程，審計重點的把握不能切中要害。另外，在風險分析和評價過程中，對重要風險的識別、分析和評價工作不到位，未能抓住關鍵業務、關鍵環節、關鍵風險，致使風險管理審計成果大打折扣。

（三）風險查不清

由于審計理念落后和審計方法不適用，風險管理審計內容不夠全面，對部分風險點的審計仍有疏漏，未能對所有風險實施全覆蓋并進行全過程審計。各類風險點是風險管理審計評價的主要內容，對風險點的分析和研究是實施現場審計的重要基礎和前提。如果審計內容不全面，未能揭示主要風險控制情況，審計意見和建議就會缺乏針對性和實效性，審計結果就不會引起審計對象的足夠重視。

（四）方法不適用

恰當運用風險識別技術和方法，準確識別被審計單位和業務領域風險事件，是有效開展風險管理審計的關鍵環節。有的審計人員風險識別和防范技術較為落后，仍然采用調閱資料、翻看制度等傳統方法，較少使用穿行測試、流程分析、情景模擬等現代技術，難以準確識別被審計單位和業務領域的風險源和風險事件，對預防性和補救性控制措施缺乏全面分析，影響審計質量的提高。

（五）成效不明顯

在審計成果運用方面，內審部門一般通過審計報告、內審建議書等形式，向被審計對象傳遞改進風險管理的信息，但是由于審計發現層次較低，主要是一些操作性問題，審計發現的風險揭示力度不足，特別是對風險識別、風險應對、信息交流和監督檢查等風險管理缺陷審計不到位，無法提供完善風險管理的有效審計意見和建議，難以契合被審計對象對風險的關注，從而制約審計成效。

三、Bow-tie模型在風險管理審計中的應用

在風險管理審計實施的各個階段，科學應用Bow-tie模型，有利于消除瓶頸，提升審計成效。因為Bow-tie模型和風險管理審計有著許多共同點和契合點，主要表現在：兩者均以風險點為分析對象或審計對象;均以研究和查證安全屏障或內控措施為重點;均注重風險事件的起因、發生和后果的全過程判斷和評價;均以改善和提升風險管理和組織治理水平為目標。基于上述諸多共同因素，Bow-tie模型和風險管理審計能夠實現有機結合，既可以運用模型支持風險管理審計的順利開展，又可以運用風險管理審計成果，不斷完善Bow-tie分析模型，更好地服務業務領域防范和控制風險的需要。現以基層央行安全保衛管理審計為例，說明Bow-tie模型在風險管理審計中的應用思路和做法。

（一）審計思路

以Bow-tie模型為基礎，按照“建立模型→模型比較→審計查證與評價→審計意見與建議→完善模型”的思路開展風險管理審計，實現服務組織治理的審計目標。

（二）模型建立

建立模型是審計計劃階段的一項重要工作，圍繞建立Bow-tie模型，積極做好審前準備。一是收集資料。充分收集與業務領域有關的各項制度、規定、流程和具體要求，了解審計對象的內部控制環境，梳理并列出風險事件清單;二是評估風險。分析重要風險事件的原因，找到可能導致事故的風險源，并判斷其可能誘發事故的具體路徑，列出風險源與風險事件的因果對應關系，評估業務的固有風險;三是評價后果。分析風險事件可能導致的損失和后果;四是設置控制。從審計視角分析應建立的預防性和補救性控制措施;五是建立模型。通過內審人員頭腦風暴，針對內控措施失效的情形開展討論，然后以風險源、傳導路徑、風險事件、后果以及需要設置的安全屏障為關鍵要素，建立Bow-tie模型，將風險識別的結果以圖形形式表現出來，讓審計人員直觀地了解審計重點、目標和風險，做到風險引導審計。

在安全保衛風險管理審計中，有發行庫區安全管理、押運管理、槍彈管理以及安防系統管理4項重點審計內容。通過Bow-tie模型歸類篩選，識別出11項固有風險事件，分別為：在發行庫管理方面，識別出發行庫受到外部攻擊、安全事故或自然災害導致發行庫被損毀、守衛值班人員傷亡3個固有風險事件;在押運管理方面，識別出押運途中錢款被盜搶、押運途中發生交通事故、押運途中發生人員傷亡事件3個固有風險事件;在槍彈管理方面，識別出槍彈被偷盜、槍彈賬實不符以及槍彈保管使用不當引發人員傷亡3個固有風險事件;在安防系統管理方面，識別出未嚴格按照要求部署和使用系統、安防系統被非法入侵導致系統故障或敏感信息被盜兩個固有風險事件。以汽車押運業務為例，審計人員通過現場查看、跟班作業、詢問、訪談等手段，對汽車押運發生交通事故的原因進行梳理，識別出押運車輛發生交通事故的固有風險事件，并通過推導和原因分析，繪制押運車輛發生交通事故的事故樹模型，如圖2所示。

根據風險事件評估結果及審前分析判斷，初步建立Bow-tie模型，如圖3所示，為順利實施現場審計打好基礎。

（三）模型運用

運用Bow-tie模型輔助現場審計，能夠推進審計進程的順利開展，做到目標明確，思路清晰，內容全面，重點突出。在提高審計效率的同時，審計質量亦得到充分保障。根據前一階段確定的主要風險點，調查內部控制環境，檢查相關檔案記錄，觀察業務活動和內部控制體系建設及運行情況，并通過穿行測試、現場查看、詢問訪談、情景模擬等手段查找審計線索，了解被審計單位的內部控制，實際評估風險控制情況。

安全保衛管理審計時，運用初步建立的安全保衛風險事件Bow-tie模型，從風險識別、風險評估、風險控制等方面，圍繞模型中的關鍵要素進行審計查證，通過模型比較和驗證，實地評價安全保衛風險管理狀況。以上述押運車輛交通事故模型為例，審計發現在事故風險管理方面存在問題，如風險認識不清，對風險源的排查和梳理不到位，沒有意識到車輛維修保養的重要性，未將車輛維護、押運前風險教育等關鍵影響因素作為風險源，致使風險要素識別不全面;安全屏障設置不到位，在車輛配備、調度和管理方面缺少相應的制度流程，僅憑借習慣或經驗做法，如在借用外單位車輛押運管理方面無相關制度規定等;風險傳導路徑和后果識別不到位，致使交通事故風險防范和控制能力薄弱，如應急預案不合理，內容不具體、不準確，加之日常未組織應急演練，發生車輛交通事故的突發事件處理能力明顯不足。

（四）模型完善

完善模型是審計報告階段進行成果轉化與運用的重要表現。通過現場審計的Bow-tie模型運用、分析、比較與評價，基本可以得出被審計單位的風險管理現狀。在此基礎上，針對審計發現的問題，提出Bow-tie模型修改和完善的審計意見和建議，以便相關單位和業務部門進一步強化風險管理。一份針對性強、可操作的審計報告，可以有效引起業務部門的關注，從而提高審計成果的利用程度。由圖1可知，當風險事件發生后，要采取相應的補救措施降低風險的影響程度或制止風險繼續發生，而審計對于發現問題的“補救措施”主要體現在原因分析和審計意見上。對圖1中的標準Bow-tie模型進行改良，應用到審計的原因分析和審計意見撰寫上，將右半部分用作審計問題原因分析和審計意見的撰寫，以此來提高審計意見的可操作性，提高報告使用者的認可程度。

以安全保衛審計為例，針對圖2中發現的審計問題，開展原因分析，并有針對性地提出加強應急演練、行前教育，注重車輛日常維修保養等審計意見。安全保衛和貨幣金銀部門結合審計意見和建議，建立并完善相關風險事件的Bow-tie模型，運用于日常工作和風險管理，以進一步增強風險防范和控制能力，促進安全保衛管理工作整體水平的提升。

總之，Bow-tie模型在風險管理審計中的運用，能夠實現審計雙方共贏，既能提高審計績效，又能強化風險管理;既能提高審計站位，拓寬審計視野，又能回應被審計單位對風險的關切;既能充分發揮內部審計的監督、評價和建議職能，又能為組織治理水平的提升貢獻內審智慧。在Bow-tie模型運用過程中，審計人員要學會運用科學審計思維，輔以先進審計工具和手段，與被審計單位保持密切溝通和經常性互動了解，以有效防范和控制風險為目標，結合現行制度規定、流程設計和職責履行，及時完善Bow-tie分析模型，不斷提高日常風險管理能力和水平。

主要參考文獻

程福壘.我國基層央行風險管理研究[J].中國內部審計， 2017（6）

程學慶，王睿.基于蝴蝶結模型的高速鐵路車站安全風險管理[J].鐵路運輸與經濟， 2015（12）

鄧昕，盧米.基于風險管理的人民銀行分支行內部控制評價[J].審計月刊， 2008（7）

李露露.風險導向內部審計在人民銀行風險管理中的應用[D].北京：首都經濟貿易大學， 2015

劉黎燕.基于COSO全面風險管理框架下基層人民銀行的內部控制研究[D].昆明：云南師范大學， 2014

辛樹人，陳震宇，路勇.基層央行風險管理研究：基于COSO風險管理框架的新視角[J].金融發展研究，2012（1）