张文华 赵卫华 曹圻
[摘要]本文依托大数据分析、挖掘工具和技术,通过审前指引、审中支撑、审后评估的智慧审计服务与以风险库为核心的智慧审计生产有机融合,打造“集约化、信息化、标准化”的内审智慧平台,构建以风险为导向的中国电信智慧化内部审计体系。
[关键词]智慧化 内部审计 风险导向 大数据 风险库
一、智慧化审计体系的主要特点
中国电信把十九大提出的战略部署转化为工作任务,依托大数据审计应用与审计流程深度契合,不断进行风险导向的智慧化内部审计体系构建探索。
(一)围绕新时代新要求,护航高质量发展
追求高质量发展是一个时代课题和重要任务,中国电信审计人员重点围绕企业提质增效、动能改善,通过审计、咨询和服务,重点解决企业亟需解决的突出问题,如资产回报率低、渠道效能不高等。内部审计准确把握党和国家的新政策、经济发展新变化,从公司经营发展大局高度谋划部署工作。通过风险导向智慧化审计体系构建,使企业内审成为深化改革的“催化剂”和制度完善、政策落实的“监察员”。
(二)大数据驱动助力全过程风险管控
大数据时代无疑是一次革命,挑战与机遇并存。大数据对于促进审计预警机制建立、实现审计关口前移、充分发挥审计“全覆盖”功能起著重要作用。大数据审计模式是时代变革的创新,与传统审计相比具有全面性、时效性,以及审计成本低、效率高和规范性强等优势。中国电信依托大数据审计方法论及手段,围绕企业战略,突破重点风控领域,实现风险数据可感知、可理解、可模拟、可预测、可定位、可防范,提高了审计监督、过程控制和决策支撑能力。
(三)风险体系成为大数据审计的重要依托
2017年9月,COSO 更新版《企业风险管理框架》将风险管理融入战略管理和绩效管理中。内部审计作为企业风险管理的第三道防线,有着不可推卸的责任与使命担当。中国电信在梳理分析过往审计发现的基础上,按照重要性原则关注主要风险及表现形式,编制形成审计风险库,同时建设了以风险库为核心的审计业务管理系统,成为风险导向智慧化审计的重要依托。
(四)风险导向的智慧“生产”与智慧“数据”有机融合
随着智慧审计方法论与实践的有效探索,生产架构与分析架构之间的实际界限已经越来越模糊,单纯的生产流程无风险输入、无分析注智,则是无源之水,无以为继;而单独的分析系统,无风险导向、无生产使用,则变成“自娱自乐”。基于风险库的审计业务流程管理与基于风险导向和大数据分析的重大风险快速识别、审计项目智慧导航、审计成果精准分析,进行有效融合、资源共享、服务互补,完成以风险为导向的内审智慧体系“集约化、标准化、信息化”建设。
1.集约化管控体系。基于集约化管理流程和集约化数据,实现全集团审计资源的统一配置、计划任务统一管理、业务统筹安排、人员统一调度、考核统一执行。五年来,集团级审计项目数和抽调人数复合增长率保持在20%以上,集约化高效闭环管控提升了审计质量,减少了管理成本,推动完善了“总部管理运营型、省公司运营管理型”两级运营体系,实现全集团审计“一盘棋”。
2.标准化方案实现。结合审计制度要求及实践,梳理审计流程,对风险点的审计过程进行标准化框架及定义,每个风险点有相对应的标准化审计方法、案例、法律法规支撑,有预定的审计取数模板和审计结果分析。审计文档、测试记录、工作底稿、审计报告等全部按照预制标准模板系统化自动生成。标准化的审计实施使项目流程风险可跟踪、成果可度量、内容可分析、效果可评价。
3.信息化平台支撑。风险导向的智慧审计体系基于中国电信数据中心云平台搭建,采用Hadoop集群实现审计大数据分布式存储,Spark+KafKa构建高效计算、处理引擎。一方面实现了全集团审计业务一体化管控,审计机构和审计人员“双量化”考核支撑和保障;另一方面实现了审计数据分析和应用智慧化,提高大数据条件下的审计分析、风险监控/预警/派单能力,基本实现重点风险领域全面覆盖,完成整体审计全流程服务能力提升(如图1所示)。
二、智慧化审计的风险导向
随着十九大精神的贯彻落实,企业战略转型稳步推进,传统业务推陈出新、新兴业务百花齐放。但无论面对新、老业务体系或商业模式,以风险为导向的智慧化服务关键点在于审前如何有效规划、有的放矢,审中如何有效开展、有效实施,审后如何有效评价、有效跟踪整改的三个阶段重点工作任务。
(一)审前,审什么?
内部审计工作作为一种受托确认和咨询活动,需要根据利益相关者的期望投入审计资源。随着中国电信“企业中台”BSS、MSS、OSS、网络、横向业务平台及五大域数据的汇聚,审计机构及人员面临的主要矛盾,已经由审前资料难获取转化为审前资料如何识别、分析及有效应用。以风险为导向,结合业务需求,依托大数据分析能力及工具,定位高风险领域、识别高风险问题是解决审前服务支撑的重要手段和方向。
1.管理视图,历史风险分布识别。依托大数据开展历史审计项目风险分析,审计人员直接面对被审计单位全方位业务风险视图,对各类风险因子统一检索,并按照多维度指标从定性及定量的不同角度评估审计风险范围及程度,高效、精准支撑经营类项目审前规划。
2.审计画像,风险预警导航。利用大数据分析、挖掘算法及工具,将外部风险、内部风险形成企业画像指标体系,真实、全面、动态地反映被审计单位的运营状况,帮助审计人员更加客观、科学地进行审前准备。一是实施方法。采用区分度、相关性分析等算法选取指标,通过数据清洗等方式进行数据规整。对区域间指标基数不同导致的变化比率可比性问题,参照神经网络机器学习激活函数原理,解决非线性问题,融合后的指标函数:
采用熵值法(如图2所示)结合专家评分法,通过加权评分方式最终形成指标权重,并动态更新(如图3所示)。二是应用注智。通过系列分析处理,生成画像指标应用、服务(如图4所示),按照被动查询、主动推送、流程嵌入等方式,融入审计全流程,实现大数据赋能。
(二)审中,怎么审?
审计项目过程中,时间紧、任务重、资源有限,如何有效查找审计疑点、精准定位问题,是每个审计人员面临的难点。在审计过程中结合项目情况,通过大数据赋能,聚焦高风险领域,开展多维度的合规性、完整性、准确性审计确认。
1.项目流转中历史经验智慧推送。通过大数据对历史沉淀的监督评价、服务支撑等审计项目进行统一资源利用及共享服务。通过智能检索,推送历史同类项目审计报告及相关风险信息详情,供审计人员审中使用、借鉴。
2.重点风险领域专题分析项目支撑。通过历史风险业务沉淀及模型提炼,开展专项大数据风险分析,生成收入、成本、用户质量、工程、科目明细账、互联网金融6大类45项风险专题。审计人员项目开展过程中可结合专题应用成果,快速定位风险、核实问题,并可根据项目重点风险场景反向推动建立专项风险建模,实现业务驱动积累与风险经验应用良性循环。
3.常态化风险扫描预警提示。集团与各省电信审计部门高效协同,共同开展风险模型探索与应用。风险模型省内部署后定时扫描,风险结果大数据通过集团数据交换枢纽汇聚到集团平台进行分析。
(三)审后,如何评估?
传统的审计整改评估主观性强,问题整改时效、成果往往无法有效跟踪、确认。中国电信内审采用主、被动评估相结合方式,通过大数据使整改过程可跟踪、整改成果可评估,初步实现有效、客观的绩效考核,发挥企业内审的最大成效。
1.项目问题整改销号。审计项目完成后,审计业务管理将整改销号台账自动下发被审计单位,被审计单位按期反馈整改进度,项目主审全程跟进,判断是否予以销号。超时未整改则自动预警,整改不到位将自动纳入下一轮审计关注重点。通过整改销号,形成整改工作闭环管理。
2.大数据分析整改成果。通过集团大数据平台开展应用,生成整改报告。从多维度、多角度、深层次确认被审计单位实际整改内容、过程、效果、措施,有效支撑审后客观评估。
3.审计绩效精准评价。随着大数据支撑的绩效考核指标体系的建立,智慧审计平台自动分析每月各省工作质量及工作成果,自动排序及提示异常、建议。通过智慧审计体系绩效考核指标的总体展示和个性化设置,集团及各省审计部可随时分析监控本年、本季度、本月的工作情况,及时调整当前工作重心与工作内容,提高全集团审计水平。
三、智慧化审计的构建及实施
(一)打造以风险库为核心的审计流程
中国电信审计风险库由方案库、问题库组成,为审计生产的核心方法论和最佳实践。方案库分为12大类、220小类检查点,问题库设置12大类、249小类风险点。调用方案库,可以开展审计小组动态分工,采用其路径方法和模型样本进行疑点查证,按照制度提示,判断问题性质等;调用问题库,可以按照其分类及问题点描述编制审计底稿、审计报告,组织审计发现问题整改等。
1.以风险为导向的经营类审计。以风险为导向,建立从计划到资源、项目、评价整改完整的审计流程,规范业务操作,实现经营类项目闭环管控(如图5所示)。同时,在流程中实现风险分析注智、历史数据注智、标准表述注智、报告模板注智等智慧化赋能。审计业务流程成为一条智慧化链条,串起项目的所有参与人员,支撑项目的所有成果输出。
2.以风险为导向的工程审计。2016年至2017年,中国电信各级审计机构完成工程审计项目77.86万项,审计节约工程投资52.31亿元。大业务量的工程審计要求简约高效的智慧化业务管控流程。系统根据预先配置规则,通过送审内容及处理意见智慧分析,自动分配下一节点处理人或处理流程。
(二)实施风险闭环管控
企业内部组织、管理层级复杂,为实现审计风险发现到整改的快速、有效闭环管理,智慧审计完善管理流程和资源配置,打造集团总部与各省两级派单审计体系,建立风险→核查→整改→评估的有效闭环管控(如图6所示),通过风险派单实现风险、问题过程可监控,结果可跟踪,内容可追溯,效果可评估。
(三)能力开放PaaS服务
审计不能坐等风险、问题自己摆上“桌面”,需要主动去核实确认,这就要求企业内审具有一定数据分析能力和风险模型探索的IT环境。
2017年底,集团数据中心大数据能力开放系统上线,对企业云平台上的资源、数据进行组合和封装。集团公司审计部首批开通了使用租户,使审计人员真正直接面对企业级原始表结构大数据。通过业务经验积累,使用大数据建模探索,完成风险及成果多层次、多方向穿透,有效服务生产。
四、智慧化审计成效与改进
十九大报告要求,推动发展质量变革、效率变革和动力变革。中国电信通过风险导向的智慧审计体系搭建,有效促进了企业内审质量、效率以及动力提升,使审计既成为组织价值的保护者,也成为组织价值的创造者。
(一)质量提升
十九大提出深化供给侧结构性改革,内部审计作为一种独立、客观的监督、评价和建议活动,对于需要获取内部审计服务,促进组织目标实现的企业来说,内审也是一种供给性活动,需要按照利益相关方需求,优化供给结构、提升供给质量。
1.审计项目围绕风险高效开展。随着风险库的系统化应用,项目立项到整改全流程围绕风险点展开。2017年,非现场、现场、底稿阶段方案承接风险库风险点覆盖率分别达到85%,80%,79%。通过风险点的有效覆盖,项目审计质量及效果有了质的提升。
2.风险扫描成果显著。省公司通过风险扫描深埋风险“探针”,及时侦测及预警风险。2017年,全国风险扫描应用模型24,052次,季度上报应用模型1428次,发现风险金额112,152.98万元,完成整改问题251个,整改金额33,691.2万元。
(二)效率提升
人手少、任务重是审计部门面临的主要困难之一。解决这一问题,仅靠传统的“翻账本”方式是行不通的,寄希望于大量增加编制也不现实,出路是科技强审,向信息化要资源,向大数据要效率。
1.项目效率稳步提升。截至2017年底,全国共审计400多项经营类项目,编制4000多份工作底稿;审计64,619个工程决算审计项目、25,3026个工程结算审计项目,出具44,1775张定案表。相比2016年,在审计人员总数没有大变动的情况下,底稿编制数量提高25%,工程审计项目数量提高7%,项目办理实效有了大幅度提升。
2.派单审计“快、准、灵”锁定风险。集团开展大数据风险扫描发现互联网支付、充值卡疑似风险,通过两级风险派单下发各省核查。经过明细数据派单核实发现,红包业务规则设置、政策指引存在若干问题,同时存在代理商利用红包金额转赠套现风险。通过与业务主管部门沟通、确认,审计部提出管理、系统配置及场景监控等多条风险防控建议,并通报各省自查自纠。通过派单审计实现风险识别准、审计查证快、整改到位灵。
(三)动力提升
审计事业是党和国家的事业,只有充分发挥各级审计机构的合力,充分调动全体审计人员的积极性、创造性,激发审计队伍活力、能力,才能最大限度地发挥审计监督的重要作用。
1.良性自循环提升审计动力。新时代呼唤新精神,中国电信审计体系创造业务探讨研究环境,鼓励工作创新,营造比学赶帮超氛围,依托风险导向的智慧化审计体系,实现了方案、模型、制度等良性自循环,借鉴互联网时代的共享经济精神,形成资源共建、共维、共享体系,提升了审计人员的积极性、主动性。
2.单位/个人工作量可视化。中国电信审计积极探索全集团审计一个平台调度、一把尺子衡量,充分发挥考核的激励和引导作用。对于省公司,简化指标体系、突出考核重点,全方位公平、公正绩效考评,提升省公司效能。对于审计人员,探索建立准市场化的岗位管理和内部分配机制,打破平均主义,薪酬与项目数量、质量挂钩,多劳多得、优绩优酬,着力提高审计工作质量和效率,激发审计人员能动性。
需要进一步改进的地方:一是解决风险导向智慧化能力不足问题。近年来,企业内审逐步从合规性审计为主的“价值保护”角色,转变为持续风险监控的“价值创造”角色,审计工作审查对象从账本、合同逐步转化为各类数据,审计技能从经验积累转化为数据技术应用。中国电信审计智慧化在应用形式、支撑能力上还不能满足持续风险监控、全面风险覆盖的总要求,需要持续完善智慧化能力建设,推进工作质量、效率、动力提升。二是解决提升审计队伍素质问题。十九大提出,人才是实现民族振兴、赢得国际竞争主动的战略资源。内审人员是公司价值的捍卫者,应调整传统的根据经驗和直觉进行决策和判断的方式,积极学习掌握大数据技术和工具,以更高的标准实现数据分析和决策支持,适应数字经济的时代要求。
五、智慧化审计展望
新业务需要新方法,新技术驱动行业新生态。大数据、人工智能的发展已经上升为国家战略,更是企业战略转型的重要助力。人工智能(AI)已经从理论、概念时代进入应用阶段。例如,谷歌无人驾驶汽车的上路,腾讯AI智能翻译在博鳌论坛的使用。那么AI在审计领域如何有效实践应用?
1.实用性。据调查,内部审计人员90%的时间花在收集和整理审计证据上,而通过整合数据分析得出结论只需要10%的时间。中国电信内审对企业各专业领域业务深入理解和有效探查,每年投入大量的人力、物力、财力、精力,AI在审计领域的实用性不言而喻。
2.技术可行性。AI的核心技术算法包括决策树、逻辑回归、神经网络、贝叶斯等,相关架构已经日趋成熟。例如,大数据机器学习架构Spark MLlib、深度学习架构Tensor Flow。对标中国电信内审软、硬件环境和能力,技术与业务均无瓶颈,中国电信审计建有专业IT、业务团队,可多渠道获得开源架构、工具、算法理论借鉴,经过多年审计积累和沉淀,保存有大量的项目(过程/成果)、风险(规则/模型/案例)历史数据,满足机器学习算法对审计“样本”数据进行分析、模型训练的要求。AI审计的应用将有效服务审计实践,实现智慧审计升级。
3.架构探索。中国电信审计AI将嵌入整个智慧审计体系(如图7所示),对企业级大数据及各类审计过程、成果数据选择适用算法开展模型训练,最终达到自动识别风险、发现问题以及预测风险的人工智能审计应用。
(作者单位:中国电信集团有限公司,
邮政编码:100033,电子邮箱:zhangwh@189.cn)