陈小其
[摘要]加强审计科技应用是趋势和潮流,是实现内部审计转型、价值提升的关键手段。本文从审计科技的发展历程出发,分析了“科技强审”为内部审计工作带来的价值,并结合实际提出相应对策,为进一步提高审计科技的应用提供借鉴和参考。
[关键词]科技强审 内部审计 大数据
当前,在防范系统性风险、监管日趋严格、金融科技快速发展、内部审计职能不断深化的大背景下,不管国家还是企业,都对内部审计在深度、广度、高度方面提出了新要求,在给内部审计工作带来挑战的同时,也使“科技强审”迎来了新的发展机遇。
一、审计科技的发展历程
根据审计科技在审计转型、效率、价值等方面所起的作用和影响,可将其分为四个阶段。
第一阶段:辅助工具阶段。20世纪70年代至80年代,计算机刚刚起步,并逐步被引入到企业的日常管理中,内部审计主要以财务真实性检查为主,此时审计科技主要以工具的形式出现,用于协助审计人员完成对会计、报表、交易的复杂计算、信息查询、核实等工作。
第二阶段:支撑阶段。进入2000年,电子化在企业越来越被广泛运用,此时财务审计的模式已不能满足于社会和企业的要求,内部审计开始转型为“以风险为导向”的审计模式。为了提高对审计抽样、项目管理等方面工作的支撑,部分企业开始搭建审计系统,实现对数据的整合、分析、挖掘及项目流程的电子化管理。
第三阶段:驱动阶段。近年来,随着外部环境的不断变化以及竞争的日益加剧,对于内部管理的提升、流程的优化等越来越被企业重视,迫使内部审计在履行监督职责的基础上,进一步提升增值服务的价值。此时,通过利用审计科技在持续监督、大数据审计、经营机构画像等方面的应用,驱动内部审计向“管理增值型”转型。
第四阶段:引领阶段。未来随着内外部审计一盘棋格局的出现,审计地位和独立性将进一步提升,审计也将从现有的模式转型到“战略审计”“全覆盖审计”等新模式,通过综合运用和整合大数据、自动化及人工智能等创新技术,对原有审计体系环节进行数字化赋能,逐步引领审计思维、审计价值、工作方式方法的改变和转型,形成崭新的内部审计生态。
二、“科技强审”的价值
审计科技的广泛、深入应用,对内部审计形成多方面促进和提升,也将给内部审计带来新的价值。
加速审计转型。根据审计价值曲线图(如图1所示),审计时间越提前,审计高度越高,审计价值也越大。审计科技的应用,能让内部审计掌握的数据和信息变得更加全面,覆盖面进一步提升,从而使持续化审计、动态趋势评价和事前预防审计成为可能。同时,利用新技术实现对海量数据的深度分析、挖掘,能够为内部审计提供更加准确、综合的视角,打破传统内部审计在数据规模、范围和类型等方面的限制,使得传统内部审计一些无法完成的事项变为可能。
审计变得更加智能。随着科技的日新月异,大数据、人工智能、自然语言处理、机器人流程自动化(RPA)、云计算等逐步在审计领域中得到应用,审计可以处理的数据更多,处理的效率也更高。德勤公司在智慧审计的七种武器中,介绍了人工智能、RPA、爬虫等新技术的应用场景,为我们开拓了思路。如通过有监督和无监督的机器学习模型,直接对大量的审计数据进行分析和处理,产生相应的风险预测和假设结果,改变了传统内部审计依靠审计人员经验编写规则的局限,能够帮助内部审计发现意想不到的问题;RPA技术的应用,能够实现对文档的初步审阅、审计证据的自动化采集和持续采集以及审计底稿的初步填写等,显著提升了内部审计效能;爬虫技术给内部审计带来更丰富的异构多源数据,解决了审计人员信息不对称的难题,为全面深入地了解和识别客户的关联风险提供了有力武器。
审计变得更加精准。在有限的审计资源下,借助审计科技找准突破口,精准发力,直指关键、重点问题,将成为未来审计的主要方向。如2018年6月21日,央视焦点访谈报道,审计署金融审计司探索推行数字化审计模式,通过社会网络分析发现异常节点,通过半结构化分析发现关键字统计图,通过技术手法开发了“一般庞氏骗局星型分布图”模型,如图2所示。该模型显示,当有某些公司交易量特别大,同时它的交易对手又是大量个人时,系统会自动跳出预警结果。“善林金融”由于交易规模最大,立即被金融审计司锁定,一起涉案600亿元的庞氏金融诈骗案浮出水面。
项目间的关联更加紧密。传统内部审计都是通过单个审计项目提出审计发现和审计建议,注意力集中于当前事项,这些项目之间互相割裂,缺乏全局观和整体感,提出的建议往往只能解决局部问题。利用审计线上化作业平台,所有发现的问题都将在数据库中予以保存,就可以定期对不同审计项目发现的问题进行归纳、总结,实现“审计的数据分析”,在条线、流程上进行串联,找出一些普遍性、倾向性、共性的问题,出具针对管理、流程设计等方面的分析报告或管理建议,促进“管理增值型”审计价值的提升。
审计服务职能更加强化。传统内部审计,一般都是基于某家分行、某种业务、某种产品等,通过抽样进行检查,发现疑点,审计建议往往只针对某个点或面。而“画像”技术,综合利用数据挖掘、深度学习、计算机建模等技术从海量数据中识别和提取出用于描述审计对象的特征指标,用数据对特征指标进行量化,识别存在的风险总量信息,让“数据说话”,能够更加真实、全面、动态地反映出审计对象的状况,促进审计人员作出更加客观、综合的评价,提出更加全面、深层次的建议。
成为审计指挥系统。近年来,以风险、内控、战略为导向的内部审计模式已成为审计主流。传统审计,在审计计划制订、项目安排、人员分工等方面往往依靠人为经验,缺乏数据、技术支撑,审计质量把控主要依靠项目会议、事后复核等进行管理。未来通过审计项目管理平台全流程的管理,后台质量控制人员就能实时掌握审计的资源和进度,实现过程质量的把控和指导。同時,在制订审计计划时,由于有更全面的内外部数据支撑,并由机器自动实现对风险预测,直指风险要害,将使审计计划变得更加科学。
提高审计效率,节约审计成本。传统内部审计主要以现场形式开展,导致大量人员出差,工作效率低下。依托审计数据及技术的发展,如经营、业务、管理基础数据,运营、财务、授信等影像数据,视频数据,视频会议系统,事实在线确认、电子签名等,审计人员坐在办公室即可完成原来大部分现场审计的工作,不但大大提升了审计工作效率,也大大减轻了审计成本和审计对象的迎检成本。
三道防线的联防联控将更加紧密。通过打通三道防线之间的数据、系统,可以实现全面共享;将三道防线的相互职责通过系统进行串联,可以实现全流程闭环。如在员工道德风险防范方面,可通过对第一、二道防线员工方面数据的整合,建立员工统一数据视图,根据不同条线的职责,赋予不同功能和权限。建立与自我职责相匹配的监督模型,能使三道防线之间的分工、配合更加紧密。
三、“科技强审”的现实路径
“科技强审”是一项长期的系统性工作,需要强化审计理念,早谋划、早部署,积极推进审计科技的实践运用,将审计信息化建设落到实处。
强化科技审计理念。审计科技要发展,理念需先行。一方面内部审计的领导要带头,重视审计数据扩展、模型研发、系统建设、人员培养等基础性工作;另一方面要通过先进同业的交流与学习、审计理论的研究与思考等,不断探索审计科技在推进审计思路、审计方法创新中的作用和对策。同时,加大“科技强审”的宣传力度,通过组织技术培训、审计科技应用案例分享与交流、优秀审计项目评选、审计模型评优等形式,分享先进的审计方法和经验,不断提升全员“数据说话”的能力,营造崇尚审计科技应用的审计文化氛围。
加大资源投入。审计科技的发展,离不开资源的持续投入。一方面,内部审计部门要将“科技强审”作为一项重要工作,纳入审计战略工作任务,在制订年度计划时统筹安排好人力资源参与数据分析、模型研发、系统建设等工作;另一方面,要在先进审计工具、系统建设、人才培养等方面持续投入资金,不断提升新技术在审计领域的应用。
夯实数据基础。数据是审计科技手段提升的基础,内部审计要组建数据梳理团队和数据应用场景研究团队,坚持“以用促建”原则,在全面梳理审计应用场景及行内外数据的基础上,扩大内外部数据来源,包括结构化和非结构化数据的扩展,提升审计人员对数据、业务的了解和掌握,逐步形成以员工、客户、业务和机构等多维度的统一视图;要对数据表添加多维度标签,以方便数据的使用,提升用户使用的体验度;要将在建设过程中发现的数据质量问题,及时反馈给数据责任及数据管理部门,督促各部门数据质量的持续提升。
探索更先进的审计方法。一方面内部审计要积极探索先进的审计方法,推动互联网、大数据、人工智能等先进技术在审计工作中的应用,梳理审前准备、现场实施、审计报告、整改跟踪的关键环节,优化和重构审计业务流程,提升审计工作效率和质量;另一方面可通过组建跨专业、跨条线、跨部门的虚拟研究小组,结合实际工作对审计监督、内控评价、事前审计、质量控制、新型领域、大数据分析与应用等进行理论研究,并逐步在审计工作中进行应用。
建立分层级的审计科技应用团队。审计科技的发展核心是人,结合审计人员的专业、工作经验、岗位职责等,建立分层级的审计科技应用与研发团队,将审计应用的能力与模型研发能力进行结合,使一部分人掌握规则类模型研发、少部分人掌握机器学习等高级算法建模能力、大部分人掌握数据使用和分析能力。通过加强培训、管理、考核等措施,逐步提升全体审计人员的审计科技能力,从而建立一支科技能力突出、数据思维能力强、业务精通的审计科技队伍,推动内部审计转型升级。
搭建先进的审计科技应用平台。系统是审计科技手段提升的载体,通常内部审计系统应包括作业、数据、监控、知识四大平台,如图3所示。其中作业平台,主要提供程序化审计、质量控制、绩效考核等功能;数据平台,主要支持多数据源、多数据种类的接入,满足后续方便、快捷的数据扩展需要,提供企业级数据的支撑和处理能力,并支持数据的分类、分级控制、数据脱敏、日志审计等功能,确保数据使用范围和安全;监控平台,主要提供灵活的模型编制和部署,实现对异常信息、员工行为、风险指标的监测和处理;知识平台,主要是实现对业务条线、经营机构非现场信息的收集、上传,提供对规章制度的自动收集和查询、审计经验共享等。同时,该系统还应有通俗、友好的用户界面,减少一般审计人员对技术的依赖;支持事前预警、事中分析、事后评价功能;具有多层级的安全和权限控制手段;廣泛适应云计算、数据挖掘、可视化技术的应用,能够不断支持探索智能化、机器学习等技术应用。