码住！如何识别业务流程中的风险！ 什么叫做信托基金业务流程中的风险管理

c) 企业正在和计划作出的重大投资，包括特殊目的实体、联合营企业的投资；

d)企业的主要债务期限、结构构成、融资方式及利率等。

3. 了解企业的未来目标和经营策略

未来目标是企业的总体规划，经营策略是实现未来目标的实施方案。目标和策略的选择和执行方式也伴生着经营风险。例如，企业管理层的其中一个目标是扩张业务，可能通过具体的营销活动或开发新市场来制定相应的增长型策略，亦或者通过横向或者纵向等收购方式以实现目标，不同的选择意味着不同程度的未来经营风险。

Step 2

了解与基础资产相关的业务情况

在了解与基础资产相关的业务的过程中，我们可以阅读企业编制的书面政策和程序，包括不限于会计手册、业务流程图、文字说明、操作程序等资料，以获取对与基础资产相关的业务流程的全面了解。其次，我们可以通过访谈的方式从知情人士处获取信息，包括企业的业务人员和财务人员，也可以通过对管理层的访谈内容的评估来了解该业务流程实际操作模式。我们需要了解业务链条的基本构成，具体包括：

1. 业务流程

即业务是如何发起、处理、报告以及不准确信息是如何更正的。

a) 发起，指的是一笔业务最初进入企业业务流程中，并被记录的时间节点；

b) 处理，指的是业务台账和财务账目中的数据记录、变更和传送；

c) 报告，指的是创建会计分录入账。

2. 业务所涉及的业务管理制度及风险控制制度

a) 内部授权情况，比如小于10万元的采购必须由采购部门授权，超过10万元的采购则需要高管的批准。

b) 人员职责分离情况，指的是企业各业务部门及业务操作人员之间责任和权限的相互分离机制，是企业最有效降低操作和舞弊风险的内控设置之一。

3.IT系统对业务流程和制度实施的影响

a) IT系统如何实现对交易数据的记录与传导；

b) IT系统如何实现企业内部的授权和职责分离等功能。

Step 3

与基础资产相关业务的穿行测试

我们在对与基础资产相关的业务情况有所了解的基础上，通过随机抽取1笔业务进行穿行测试来进一步确认对该类业务的了解，以验证我们对于该类业务的流程记录是否准确，并以此识别业务流程中的潜在风险点。

小编以某资产证券化项目中针对与基础资产相关的保理业务采取的穿行测试为例，为大家介绍穿行测试的基本原理。

我们随机抽取一笔编号001的保理业务，并获取从业务信息最初进入企业业务流程中并被记录的时间点开始的材料，依序排列：

某供应链企业的保理业务申请书及基础证照，核查其申请书的法律效力，如申请是否由保理申请人发起、是否加盖公章等，申请人基础证照是否完备；

保理公司内部保理协议审批流程，保理金额是否与业务申请书中的申请金额存在重大差异，是否由有权审批人审批；

某供应链企业保理协议，核查保理金额是否与审批流程中的授权金额存在重大差异，是否包含限制转让保理债权等条款，是否包括其他附属权益；

保理公司内部放款申请审批，检查申请金额是否与保理协议所载一致，放款审批单是否由有权人员审批等；

银行放款凭证，检查放款时间与金额等是否与放款审批单中的匹配；

应收账款转让登记记录，检查应收账款债权转让事宜是否在人民银行动产融资平台进行登记，且信息与保理协议保持一致；

保理公司针对该供应链企业的系统记录，检查保理公司内部是否及时对保理业务进行记录，所有信息是否与保理协议所载一致；

回款凭证，检查保理资产回款是否及时，是否与保理协议信息及系统记录匹配。

会计凭证，检查入账时间及金额是否与银行放款凭证和回款凭证匹配，是否经相关财务人员批复。

从以上的穿行测试案例中不难发现，穿行测试就是我们对实际业务流程的串联整理，每份底稿根据保理公司的业务管理办法设计环环相扣，信息之间相互勾稽，根据时间及业务逻辑顺序排列，形成了前后彼此串联的证据链条，互相佐证与基础资产相关业务的真实、合法、有效。

Step 4

识别潜在风险点及其关键控制点

首先，我们通过第一步中对内外部风险因素及未来经营风险的分析及第二步中对于基础资产相关的业务流程的了解，利用“舞弊三角”判断潜在风险点，“舞弊三角”指的是压力(Pressure)、机会(Opportunity)和自我合理化(Rationalization)三要素，若三要素同时存在，则需要在识别潜在风险点的过程中重点关注舞弊风险发生的可能性。

其次，在采取穿行测试对业务流程进行梳理和确认之后，我们识别业务流程的各个操作节点，并考虑哪里最可能出错。我们关注最可能造成业务信息被错误记载且引起重大影响或最容易发生舞弊而获利的操作节点。

继续结合编号001保理业务案例，可能潜在风险点如下（根据业务实际情况调整）：

1. 与企业一般制度或业务习惯相悖的不当授权

某供应链企业保理协议中的授权金额可能与内部制度或审批流程授权的金额相悖；审批流程未经有权审批人审批；企业的放款行为未经过有权申请人的审批，存在在无授权情况下的资产流出，这是潜在的舞弊引起的盗窃风险。

2. 职责分离不当

保理业务人员和放款操作人员一致，或与记录信息录入人员重叠，则存在职责分离不当的风险。

3. 资产跟踪缺失

企业的保理项目系统记录与回款凭证不一致，则保理公司未在合理期限内定期将已记录回款与实际回款进行核对，存在错估回款进度的风险。

4. 基础资产合法性瑕疵

从第三方受让的未在人民银行动产融资平台进行登记，受让资产存在权利瑕疵的风险。

5. 数据记录不当

各证据链之间的数字勾稽不准确，例如保理协议、放款申请审批、保理项目系统记录等数据记录错误的风险。不准确的数据记载对整个业务流程的其他操作节点均会产生影响，从而加大入池资产金额不准确的可能性。

针对不同操作节点的潜在风险，企业一般都会设置关键控制点来尽可能的降低风险发生的可能性。针对以上列举的五类潜在风险，关键控制点如下（根据业务实际情况调整）：

1. 针对不当授权的控制点

印章保管员对保理协议及其审批流程信息核对后再予以盖章确认；审批流程经由有权部门审批盖章或有权审批人签字确认留痕。放款审批经有权审批人签字，放款仅资金专员可以在IT系统中操作。

2. 针对职责分离不当的控制点

通过IT系统，对前台业务人员和后台财务及风控人员的审批权限进行职责分离。设置复核人员对信息录入和流程进行复核。

3. 针对资产跟踪缺失的控制点

企业定期安排专人对系统记录进行维护，与回款凭证进行比对，并由相关人员系统复核确认进度。

4. 针对基础资产合法性瑕疵的控制点

企业根据应收账款转让协议约定确认应收账款已在人行动产融资登记平台登记，若无，则按照协议规定，请求相关权利。

5. 针对数据记录不当的控制点

重要流程信息均安排双人或多人进行复核并留痕。

Step 5

对关键控制点执行有效性测试

在识别出业务流程的潜在风险点和关键控制之后，我们可以对关键控制的执行有效性进行抽样测试。控制测试可以安排与基础资产抽样尽调同时进行，抽样原则可参照协会最新出台的《尽调工作细则》中的要求进行。

若全部抽样样本均能通过控制测试，我们可以认为入池资产池涉及的业务流程均按照企业的内控要求有效执行，并可对企业业务流程内控制度健全，且内控有效性发表意见。

经过小编的简要介绍，各位承揽承做大佬们，是不是已经蠢蠢欲动或摩拳擦掌。面对既可以评估内控有效性，又可以核验基础资产真实、合法性的方法，现在小编只想对大家说两个字。

END查看