陈方仪 王春雨 蔡长术 姚永佶 覃晓伟
[摘要]金融行业信息化的生产方式、海量的业务数据、高度的风险敏感性与传统内部审计产生了代际错配、量级错配、效率错配,内部审计应运用信息化手段,重塑新思维,建构管理新框架,在大数据时代实现自我变革。
[关键词]大数据 审计 价值 方法
一、对大数据审计的认识
(一)大数据审计的“能与不能”
大数据审计可以极大提高审计质效,但大数据也有做不了、不能做的事情。
1. 能审线上不能审线下。大数据审计以进入系统的数据为基础,但很多风险以非数据的方式存在,特别是近年来银行案件风险呈现“线上转线下”“表内转表外”“业务转声誉”三个转化的特点。如近年来频频发生的私盖印章案,银行人员违规私下使用印章对外提供担保,给银行带来了巨大风险,但这一行为既没有数据产生,也不进入系统,无法使用审计信息系统进行大数据审计。
2. 能审他人不能审自身。使用审计信息系统开展大数据审计,在防控风险、提升质效的同时,也带来了新的风险,其中最主要的风险是数据安全性问题。大数据审计需要采集各主要系统的业务数据,进行分析、加工、运用,且最后提取的多是比较敏感的疑点数据,因此做好各环节数据的安全、保密工作十分重要。如提取原始数据时,要使用“T+1”模式,实现业务系统与审计系统的风险隔离;查看数据时,要使用虚拟桌面,防止数据被非法复制。
3. 能被动计算不能主动思考。大数据审计的基本原理是通过审计信息系统对接其他业务系统,提取全部业务数据,开发规则和模型,对数据进行验证和预警,找出疑点数据。显然,大数据审计的核心是开发模型以及对疑点数据的再分析,因此,大数据审计的效果最终还是取决于审计团队的素质。当然,随着人工智能技术的不断发展,可以将智能化审计作为思考和探索的方向。
(二)大数据审计的“变与不变”
实施大数据审计改变了审计的很多内容,如效能、工具、模式,但也有很多内容没有改变,如目标、原理、文化。只有深入理解大数据审计的“变与不变”,才能更好地做好审计工作,促进组織目标实现。
1.效能改变而目标不变。大数据审计极大地提高了审计效率,增强了发现问题的能力,但不管审计效能如何改变,内部审计的目标不会改变。内部审计通过运用系统、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现目标。因此,内部审计工作必须避免陷入数据堆和事务主义之中,要紧紧围绕组织目标展开,从战略、文化、风险、内控、执行等层面考察组织目标实现的可能性,为组织目标的实现提供帮助。
2.工具改变而原理不变。大数据审计利用信息科技技术为审计工作提供了一种对全数据进行审计检查的可能性,但其执行的运行规则却是审计逻辑,审计逻辑越强大,审计信息系统就越强大。因此,大数据审计必须在系统外下功夫、在数据外下功夫,对行业趋势、风险特点、审计方法进行持续的跟踪和研究,研究越深入、认识越深刻、把握越准确,大数据审计的效果就越好。
3.模式改变而文化不变。大数据审计对审计要素进行了重组,对审计流程进行了再造,审计模式发生了深刻变化,但其背后的审计文化并未改变。
二、重庆农商行实施大数据审计的原因
面对海量数据,重庆农村商业银行运用信息化手段,重塑新思维,建构管理新框架。
(一)现实中的三个错配
1.代际错配。重庆农村商业银行已建成101套信息系统,形成了核心、渠道、管理等多级信息系统体系。全行大部分主营业务,如柜面业务、支付平台、自助设备交易、手机银行、网上银行、中间业务、信用卡、国际业务等,已实现交易操作流程的高度电子信息化。传统手工审计模式与信息化生产方式之间的代际差异,根本无法匹配。
2.量级错配。实施大数据审计前,主要靠手工抽查的方法进行检查,柜面业务抽查占比仅为0.06‰,审计抽查量与全行业务量根本不在一个量级上,大量交易和数据无法被审计覆盖,员工侥幸心理增加,难以达到应有的震慑作用。
3.效率错配。建设审计信息系统之前,全行内审人员占员工总数的比率已达2%,是监管标准的两倍,人均现场工作天数达280天,比标准工作日多30天,审计人员配置以及人均劳动量几乎都达到了极限。但业务量仍在飞速增长,审计资源的有限性与业务量的无限增长,成为传统内审模式下难以破解的迷局。
(二)变革后的三个提升
1.价值提升。实施大数据审计,审计工作的系统性、敏感性、专业性进一步增强,审计价值得到了大幅提升。一是系统性增强。由于样本由个别抽样向全数据转变,审计实现了由合规判断向风险导向转变、由个别纠正向系统性管控转变。二是敏感性增强。审计人员从重复性劳动中解放出来,对经营管理进行深入研究,对热点问题迅速作出反应。如2016年针对票据业务风险开展了专项审计调查,为高管层及时防控风险、改进管理提供了建议。三是专业性增强。审计的职业敏感和专业判断通过全数据和模型支持,往往可以发现业务管理条线难以发现的重大违规行为和风险,为组织创造更大价值。
2.质效提升。一是大幅提升效率和精准度。2013年至2016年,总行内审部门年度实施项目从每年8个增加到46个。传统审计模式下,每年审计业务539万笔;大数据审计模式下,每年审计数据4.5亿条,且审计的精准度和发现问题的能力均大幅提升,以“客户资金进入员工账户”为例,以前查出率低,现在查出率100%。二是常态化监测主要风险。传统审计模式下,日常监测很难实施;大数据审计模式下,通过部署预警模型,覆盖会计、信贷、财务、资金、国际结算、电子银行等主要业务范围,基本可实现对主要风险点的日常自动化监测。三是有效管控重点风险。传统审计模式下,由于抽样覆盖面低,员工存在侥幸心理,屡查屡犯是一个管理顽疾;大数据审计模式下,运用审计模型对重点风险进行专项整治,诸如“柜员自办业务”“离岗不签退”等屡查屡犯的管理难题基本解决。
3.内控提升。大数据审计彻底打消了违规侥幸心理,使违规无处遁形,真正达到“不敢为”“不能为”的效果,同时,对重点风险进行深入研判,对全行管理流程进行系统性诊断,找准薄弱点和改进点,不断提升全行内控水平,促进业务的持续稳健发展。
三、大数据审计的方法
(一)建立系统
1.借力要自主。要避免对系统开发公司的过度依赖,将系统建设与新型审计人才培养相结合,从自身需求出发,挑选精通业务和IT技术的审计人员组成项目团队,从设计、开发到部署,始终掌控主导权,确保系统具有良好的适用性和可维护性。在系统开发的同时,培养一支具有复合技能的信息化审计团队,为信息化审计提供坚实的人才保障。实现大数据审计,要有系统、人员、管理与之配套,重庆农村商业银行采用的是统筹规划、分步推进的做法。2012年建成审计信息系统(一期),2013年在支行分批推进试点,2014年正式运行,2015年建成审计信息系统(二期),2016年二期完成测试并正式运行,现在正在建设嵌入式审计模块。这种渐进式变革,保证了审计模式的平稳过渡。
2.数据、管理、流程的转型。
(1)从抽样到数据。传统内审的基本方法是样本抽查,但面对巨大的数据流,及时性和有效性的问题凸显,审计信息系统(一期)就是解决这个问题的:一是全面采集主要业务系统数据,按T+1的模式自动更新,建立审计数据集市,审计对象由小量、静态的样本变为全面、动态的数据流。二是根据审计需要,编写规则,分析、提取疑点数据。三是部署预警模型,每日对数据流进行自动监测,由随机抽查、一查一处,变为日常监测、及时预警。
(2)从数据到管理。审计信息系统(二期)将审计风险评估、审计项目管理、问题整改跟踪等纳入系统管理,将审计信息系统打造成一个审计数字化指挥作战中心。例如,通过程序化审计功能,为日常审计工作建立标准化和流程化的审计程序提供审计要点、执行步骤,形成各环节的审计文书及问题台账,并对问题的整改落实情况进行跟踪管理。
(3)从管理到流程。为进一步提升信息化审计水平,目前正在推进嵌入式审计。在业务条线开发,诸如实物资产管理系统、押品管理系统、资产管理系统等新应用系统开发时,审计部门及时跟进,嵌入审计模块,将审计方式从事后数据分析推进到实时监督业务流程,进一步提升审计对生产的服务价值。
(二)再造审计模式
1.突出风险导向。以风险为核心,建立大数据审计技术方法,通过风险导向的流程再造、持续不懈的教育培训、多措并举的质量控制,降低个人差异对审计质量的影响,实现个人强向团队强的转化,保证审计质量的稳定。
(1)风险导向再造流程。结合业务情况,分析判断可能存在的风险点,编写分析查证模型,对全数据进行筛选,找出疑点数据,通过现场核查,予以排除或确认。比如,根据某单位信贷权限、单笔贷款余额综合判断,可能存在“借名、化整为零贷款”的风险,设计“一人为多人提供担保”“借款企业关系图”“多户贷款流入同一人”“多户还本或还息来源于同一人”等25个模型,通过整合分析锁定疑点后,现场调阅调查报告、佐证资料、支付资料等贷款资料,对其予以核实。
(2)持续不懈地进行教育培训。通过“日常培训+审前培训+宣传培训”,提升队伍和审计质量。日常培训方面,聘请审计领域大学教授、同业内审专家开展理论与实务培训,参加内审协会研修班、CIA考试等。审前培训方面,通过内审人员相互赛课、开展进出场会谈模拟演练等方式,讲清讲透审计要点和方法,增强队伍的业务能力。宣传培训方面,通过内控专题讲座等方式,加强对被审计对象的宣传教育,做到审教结合。
(3)多措并举控制质量。通过质量审理、项目巡视、审计回避、承诺制度、问题整改五项措施,建立全面质量管理模式:组建质量审理团队,对审计项目及文书实行全流程质量审理,确保流程合规、文书规范、结论恰当;组织开展大型项目时,总行审计稽核部负责人亲自带队巡视审计现场,为现场审计提供指导;与审计单位或项目有利害关系的审计人员进行回避,确保客观性;要求被审计单位报告审计期间内的重大事项,并就所提供资料的真实性、完整性进行承诺,节约审计资源、防止信息不对称风险;建立问题整改长效机制,点面结合深入整改,持续改进内控管理。
2.融合创造价值。在大数据审计模式下,传统总行内审与支行内审的边界、内审各科室的边界、现场与非现场的边界都被打破,审计要素按最有效率的方式进行重组,集团化、团队化、一体化成为审计运作的基本特点。
(1)突破上下边界。在大数据支持下,统一筛选全行数据、统一安排审计项目、统一调动审计力量,按“集团军”的方式开展审计,有效增强了协同作战能力,提高了审计效率,成功打造了“内部控制评价”“案件风险排查”“经营目标审计”等一批高品质大型审计项目。
(2)突破科室边界。以审计方法划分的科室界限逐渐模糊,以大数据为支撑的团队作战成为基本模式。以“特别检查”为例,俗称“飞虎队”,采用随机抽选网点、突然“空降”、整体接管、突击检查等方式,产生了极大震慑力。但由于全行有1700多个网点,每年接管20个,每个网点平均85年才有可能被接管一次。实施大数据审计后,不再进行随机接管,而是对全辖所有网点进行全面多维分析,精准打击网点违规行为。
(3)突破现场非现场边界。非现场主要是指标监测,如不良率等;而现场则通过抽样进行检查,具有很大的盲目性。在大数据审计模式下,现场与非现场实行一体化融合,通过非现场进行风险分析、数据筛查、样本锁定,为现场检查精准制导;现场则通过采集证据对疑点进行核实或排除,實现对违规问题的定点打击。
3.建立审计标准。积极推进审计标准化工作,建设标准的问题词条、标准的审计菜单、标准的审计模型,不仅提高了审计工作质量,更实现了审计经验由个人向团队的转化和累积,使审计工作水平的持续提升成为可能。
(1)建立标准词条,促进定量管理。标准词条是对问题的规范化表达。词条库就是对曾发生过问题、风险的全面梳理和高度提炼,是一张从实践中总结出的风险识别图。重庆农村商业银行在逐条分析梳理问题类型和原因的基础上,按业务属性及类别规范统一问题词条1559条,不仅使审计人员对问题的定性更客观准确,实现审计作业程序的标准化、流程化,更重要的是使审计工作具备了积累历史数据的基础,从而使绘制风险地图、进行定量分析和管理成为可能。
(2)建立标准菜单,制定审计手册。创新编制“菜单”式审计工作底稿,列出业务的主要风险点及对应的标准化检查方法、步骤,系统内置“菜单”式工作底稿80余个,涉及全行业务领域的35个方面300多个重要风险点。并以菜单为基础,进一步编制了审计手册,确定了内审行为标准、技术标准和产品标准,基本形成了一套完整的内部审计工作实务标准框架和具体规范,保证了执行流程的规范化、审计尺度的标准化、审计质量的稳定性。
(3)建立标准模型,提升检查能力。模型是审计逻辑的算法表达,是审计智慧的集中体现,是大数据审计的核心竞争力。开发审计模型可以摆脱个人的局限性,通过提炼个人审计经验,使之不断转化为系统智慧,持续提升审计水平。审计信息系统上线以来,依托信息化审计技术,对团队的审计经验和智慧进行提炼并不断优化,形成信用风险和操作风险两大类逾400个审计模型,基本覆盖了主要业务的重要风险点,初步构建了“数据驱动”的专业体系。
主要参考文献
凌家全等.大数据时代内部审计的求索与变革[J].中国农村金融, 2014(6):72-74
马化腾等.互联网+国家战略行动路线图[M].北京:中信出版集团, 2015
杨凯生.金融笔记:杨凯生十六年间笔录[M].北京:人民出版社, 2016