信息化形势下的内部审计模式创新

【摘要】为应对企业管理对风险监控及时性、全面性的要求，内部审计模式顺应审计发展新阶段的新形势，以风险为导向，信息化智能审计技术为中心，构建对经营数据的持续、全面风险监控体系，有效提高审计效率、拓展审计领域。内部审计新模式在审计技术方法、审计作业模式、审计人员知识结构等方面与传统模式存在差异，主要表现在：新模式拓展了审计技术的时间和空间、更新了数据采集、加工和分析技术，促进了审计队伍专业化分工、审计作业前后台分离和流程重组。

【关键词】内部审计 审计模式 创新

一、引言

随着大型企业管理模式信息化、集中化的创新，企业总部与分支机构之间通过网络系统形成信息一体化平台，统一配置管理权限，利用平台在线处理业务，产生的数据集中存储在同一数据库。由于管理模式的变革，企业风险不断集中，管理对风险监控及时性、全面性的要求逐渐强烈，为应对新形势的挑战，越来越多的企业内部审计采用创新性的信息化审计技术提高效率。在新技术应用范围扩大、应用程度深化的带领下，内部审计的审计范围、审计方法、审计频率等发生了深刻变化，最终导致审计模式产生变革，形成信息时代的审计监督新模式。内部审计的新模式主要是指以信息化智能审计技术为中心，非现场与现场有机结合，连续、全面地进行风险监控的现代审计模式。

二、内部审计新模式与传统模式的主要区别

内部审计新模式与传统模式相比，审计目标和审计内容并没有特别大的突破，重心仍然是对内部控制的风险监督和增值服务，主要创新在于审计技术方法、审计作业模式、审计人员知识结构等方面。

（一）内部审计技术创新

在新模式下，审计技术创新主要体现在两个方面：

1.数据采集和加工技术的创新。首先，审计人员可采取分离式技术，创建基于业务系统服务器（有条件的企业可能创建业务数据仓库）的审计数据仓库或数据集市，定期从业务系统接收和更新数据，形成审计的数据资源。审计数据仓库主要用于提供审计模型的数据来源，以及审计抽样的样本库。

接下来是建模的业务开发阶段，一般来说，模型设计的目标主要包括常规和风险两类，常规模型是指用于描述一般业务情况的数据，比如日常转账比率、资产增值幅度等等，并不与某一特定的风险特征关联，主要用于分析评价企业经营情况。常规模型的开发相对简单，按照企业相关的业务规定进行设置即可；而风险模型是指审计通过对企业内部控制流程的全面风险分析，确定高风险领域，按控制领域梳理出风险点，形成审计监测规则。监测规则的开发主要有两种方法：案例法和自主学习法。前者是根据已知的控制缺陷，通过对风险场景的还原，进行检索分析、行为梳理、识别特征、分析数据等一系列步骤来设计监测规则；后者是在未知风险的情况下，对数据资源进行的自主探索和研究，通过关联、聚类等方法，发现数据内部潜藏的关系，确定风险点所在。

最后就是建模的系统开发阶段，将监测规则通过计算引擎（脚本）固化于审计监测模型，然后通过模型验证，优化参数设置。当模型评估完成后，就可以上线使用，定期在审计数据集市中运行得出结果，形成对风险的全面、连续监控体系。

2.数据分析技术的创新。新模式下的审计构建于数据深加工的基础上，比传统审计更需要深层次、大规模地使用数据分析技术，目前使用较多的技术主要包括：

聚类分析。将物理或抽象对象的集合分成由类似对象组成的多个类的过程被称为聚类。聚类分析可以帮助审计人员发现数据的分类情况，也可以发现孤立点，即所谓特例，从而确定风险点。比如：将客户按身份证号进行聚类，发现使用虚拟身份证的虚假客户。

关联规则。关联是指将不同的变量之间建立相关的规律。关联规则可以使审计人员发现业务数据之间潜在的关系，分析数据背后隐藏的风险。例如：通过关联，发现销售款到账的复核时间与销售款金额有关系，原因是金额越大复核程序越多，因此可以分析出金额不大而复核时间长的销售款可能存在被挪用的风险。

其他统计分析方法。如：回归分析、方差分析、本福德定律等，主要是用于分析变量的变化趋势。

新模式使审计监督框架在以下三方面得以拓展：

1.审计样本的拓展——部分样本向全量样本转化。传统模式下的审计抽样，很难量化审计风险，抽样数据的核查也费时费力。新模式下审计系统自动对所有数据按规则进行对比筛查，不符合规则的数据被及时揭示。

2.审计时间的拓展——间断审计向连续审计转化。传统审计模式主要实行项目制，只有实施审计项目才进行审计。新模式下项目制审计依然存在，但同时又依托审计系统对风险进行连续的风险监测，一旦异常马上报警，实现了审计监测的连续化。

3.审计时点的拓展——事后审计向事中审计转化。传统模式下的审计主要是事后监督，对已经发生的风险进行评估。新模式下审计系统可以实时对风险交易发出报警，使审计监督的时点提前。

（二）内部审计人员知识创新

以信息化审计技术为核心的内部审计新模式要求审计人员除传统的审计业务知识外，还必须具备风险分析、模型研发、数据分析等专业知识，同时最好还应具备专业软件的操作能力或掌握程序设计、查询语言，即所谓“跨界”掌握多种技能。

1.风险分析。梳理企业内部控制流程，分析由于流程设计和执行不到位造成的控制弱点而形成的风险点，将风险点按风险类别、风险等级进行组织整理，生成风险地图和关键风险指标（KRI）库。

2.模型研发。利用风险分析得出的关键风险指标（或监测规则），对审计分析对象开展模型假设与模型初步设计，使用数学语言、符号描述风险点，基于数据基础评估与预处理结果，建立审计系统模型，定义变量。

3.数据分析。收集数据，通过利用回归、关联、聚类等数学方法进行分析，找出奇异数据，对奇异数据进行验证和原因分析，最后对分析方法进行归纳提炼，形成规则算法。

4.软件操作。目前常用的数据审计软件主要包括IDEA、ACL、SAS等，其中，SAS是美国使用最为广泛的三大著名统计分析软件之一，功能强大、方法齐全，但要熟练掌握操作方法需要学习较长时间。

5.编程查询。出于开发审计程序或创建审计模型的需要，审计人员可能会“直面”企业的数据库表，因此需要掌握编程语言和查询语言，比如C语言、SQL语言等。

（三）内部审计作业模式创新

内部审计新模式形成了审计队伍专业化分工，同时促进了审计作业前后台分离，按流程进行重组和完善。审计人员按专业能力分配角色，分为现场审计和非现场审计两类，非现场审计作为后台，负责提供数据支援和完成非现场审计项目，现场审计作为前台，负责风险核实和完成现场审计项目。前后台分工合作，有效提高审计效率。

1.项目分工。非现场审计由于监测的连续性、全面性和信息化，可承担针对整个企业的、连续的审计项目或数据化程度高的专项审计项目，比如：针对银行转账交易信息进行的舞弊审计、针对客户数据真实性进行的客户信息专项审计；现场审计由于监测的间断性、局部性，可承担针对分支机构的常规审计项目，如：内控常规审计、经济责任审计。

2.现场审计作业分工。非现场审计为现场审计提供全过程的数据支持，包括：审前提供审前数据分析支持，如风险点分析和数据抽样清单等，使现场审计全面掌握被审计对象的风险状况；审中提供对审计初步发现的取数支持和分析协助，帮助现场审计及时完成对风险的评估判断；审后提供对审计发现缺陷的拓展分析，分辨风险因素，将个别机构的问题拓展到全企业进行排查。

3.非现场审计作业分工。不仅非现场审计能为现场审计提供数据支持，现场审计也能为非现场审计提供现场核查支持，当非现场无法确认风险时，现场审计可以通过观察、盘点、询问等方法补充完善资料，形成风险评估的充分证据。双方资源共享，有机结合，共同提高审计效率。

三、实施内部审计新模式的注意事项

（一）注意对风险控制情况的分析

内部审计新模式仍然以风险监控为主要目标，针对控制点的风险分析是数据深入加工的重要前提。为有效地判断风险情况、构建高效的审计模型，必须注意名义控制与实际控制的差异。名义控制是控制规定要求的，甚至是系统数据所反映的控制情况，但与实际控制不一定一致，如果忽视两者差异可能会遗漏风险点。比如：某项业务规定要初审和复核两步控制，系统记录也是经过初审和复核两个工号审核，若因此判断控制有效就可能误判风险，实际上由于休假、加班等原因，初审人员很可能已掌握复核人员工号权限，初审和复核均由一人完成。

（二）注意数据模型构建目标的分类管理

新模式下，内部审计构建审计模型用于数据分析，但模型的设计目标可能是发现舞弊、揭示合规风险、提供抽样参考等，因此，在建模时必须根据不同的目标对模型进行寿命周期的分类管理，避免目标不清晰造成的架构混乱，影响模型运行效果的发挥。一般来说，模型设计的目标主要包括常规和风险两类，常规模型难度很小可以忽略，而风险模型又按照监控风险的种类分为合规风险模型、舞弊风险模型、欺诈风险模型等类型，其中，舞弊风险模型的难度级别最高但收益可能最大，在开发、使用、优化等环节都具有资源优先使用权。另外，从原则上来看，多个模型可以对应一个目标，但一个模型不能对应多个目标，否则容易造成资源浪费。

（三）注意现场审计与非现场审计的边界界定

内部审计新模式涵盖非现场审计和现场审计两种审计方法，对应风险点也分为两类。分类的主要标准是数据的信息化程度，程度不高的风险点只能现场审计，比如：内部环境、信息与沟通等领域，而信息化程度高的风险点可以非现场审计，比如：财务控制、信息技术控制。在界定非现场审计与现场审计的边界时，需要清晰明确，既不形成风险的重复监测，也不遗漏未监测风险，既不盲目创新在不适合数据分析的领域进行非现场审计，也不因为担心审计风险而一律放弃使用非现场审计成果。另外，随着企业内部管理的完善，部分风险点的控制模式、数据质量会发生变化，审计需要及时更新、优化边界，才能保证审计业务质量。

四、结语

内部审计的职能定位不断演进，从最初财务导向的问题报告者到管理导向的缺陷评价者，再到风险导向的增值顾问，审计模式也随之不断创新。审计模式发展到目前，创新的主要动力来源于以信息化智能审计为代表的审计技术创新，通过技术的变革来促进审计业务流程、审计知识结构发生深刻变化，从而提高审计资源利用效率，强化决策支持时效。随着信息化水平和数据分析技术的提高，审计方法体系日趋成熟和完善，内部审计模式必将迎来更大的创新契机。

作者简介：李梦鸣（1974-），女，汉族，四川成都人，硕士研究生，会计师（中级），研究方向：会计学。