基于“三流”整合的循环嵌套式数字化审计体系

岁玥　蒋洪浪　李宵欢　刘蓓

[摘要]本文借鉴企业精益管理理论，结合数字化审计发展要求，全面分析数字化审计的运行机理和系统建设思路，提出“三流整合”的循环嵌套式数字化审计方法论，为审计实践提供可借鉴的模式。

[关键词]“三流”整合   循环嵌套   大数据   可视化

信息技术的发展，大数据、移动互联、云计算等技术在企业管理中的广泛使用，使得数字化审计成为未来企业内部审计的发展趋势。一方面，随着企业管理的数字化，审计工作需要处理快速膨胀的海量数据，从中提取有价值的信息，实现审计的精准性;另一方面，数字化审计内涵不断扩大，审计内容不断丰富，数字化审计不断融入传统审计工作流程，需整合审计工作流程，实现审计新型化和精益化。当前，我国数字化审计体系建设仍处于理论和实践探索阶段，亟需解决以下问题：一是数字化审计缺乏完整的机理分析，需要通过理论创新，实现数字化技术与传统审计流程的有机整合;二是运用大数据等新技术工具，对审计实施管理、信息管理、技术管理等进行前瞻性设计，提高整体架构的科学性。本文借鉴企业精益管理理论，结合数字化审计发展要求和中国太保集团审计体系建设实践，全面分析数字化审计的运行机理和系统建设思路，提出“三流整合”的循环嵌套式数字化审计方法论，为审计实践提供可借鉴的模式。

一、数字化审计体系的基本内容

（一）数字化审计体系的内涵

数字化审计概念随着计算机技术的普及和应用而提出，传统意义下的数字化审计是指借助计算机辅助技术进行的审计工作。当前，飞速发展的信息技术深刻改变着审计工作方法和管理模式，信息时代的数字化审计是指运用信息化技术，将审计所需要的信息进行数字化、电子化处理，通过业务数据分析、影像资料分析等方式开展审计工作的过程。

迄今为止，关于数字化审计体系，业界并无统一定义。本文认为，数字化审计体系是以数据和各种电子信息为分析对象，以实施管理、信息管理和技术管理为手段的一整套审计工作模式。在信息技术飞速发展的今天，需要围绕企业内部审计的目标，突破传统审计方式，形成数字化审计体系，提高审计的监督和服务效率，促进审计高质量发展。

（二）数字化审计的内生发展机理

数字化审计是一种新型审计手段，需要外部压力形成发展动力，但更需要形成内生发展机理，实现审计的自我提高和完善。数字化审计要得到发展，首先需要构建数字化审计体系，这是数字化审计建设的根本目标，基础是审计信息化平台，核心是审计人员能力建设。只有以先进的审计信息化平台为支撑，并提升数字化审计人员的能力，才能促进数字化审计体系的不断完善，形成闭合循环，建立起内生发展动力机制。

（三）数字化审计发展的重点

数字化审计的一项重要工作就是数据和信息的管理，包括数据信息的收集、分类、运用等环节的管理。数据管理面临数据体量巨大、数据结构多样、勾稽关系复杂等问题，必须以技术工具为支撑，包括各种系统分析工具和数字化审计模型的研发和运用。因此，数字化审计的重点在于数据管理和技术管理体系的建设。

二、基于“三流”整合的循环嵌套式数字化审计体系框架

根据企业精益管理理论，体系建设包括两个维度：一是业态的流程层面，二是工作的具体内容层面。数字化审计体系建设在业态上，包括价值流、工作流、信息流三个方面。从数字化审计工作的具体内容来看，主要包括实施管理、信息管理、技術管理等。

数字化审计工作的精益管理就是根据审计的目标来定义审计的价值，按照价值流来组织全部审计活动，使创造价值的各个活动运转起来，并通过信息流使工作流变得更为有效，以推动审计的高质量发展。

（一）“三流”的内容及关系分析

1.“三流”的基本内容。一是价值流的设计。审计工作通过价值流持续实现审计价值，需要设计体现审计服务的价值流，让企业能够更快、更顺畅地通过价值流得到审计工作的所有价值。二是工作流的设计。为有效提高价值流，需要对审计的工作流进行设计，审计的工作流涵盖审计工作的各个方面，包括审计项目实施、审计资源管理、审计质量管理等。三是信息流的设计。为保证工作流的运行，需要建立管理工作流的信息流。工作流的每个环节之间需要衔接和信息同步，工作流的目标、整体效能提升和持续优化都需要通过信息流进行相应管理。

2.“三流”的整合原则。信息流是控制工作流所必不可少的，没有信息流，工作流的各环节就会脱节，价值流和工作流也会错位。但信息流本身不创造价值，只有通过信息流的有效运用，才能改善工作流，最终提高价值流的水平。对于审计工作，切入点也常常是信息流，通过掌控信息流来控制工作流，进而影响价值流。

（二）循环嵌套式数字化审计管理框架

价值流、工作流、信息流的梳理，应融入审计具体工作中，即要嵌入审计实施管理、审计信息管理和审计技术管理中。审计实施管理既要实现对各项审计工作的全流程闭环管理，又要利用信息技术整合各类系统信息资源，实现对信息资源的全面分析和有效利用。

1.主要内容。（1）审计实施管理，包括审计项目实施、审计质量管理和审计资源管理等内容。审计信息系统应在实现以上三项审计全流程信息化建设的基础上，深入分析各流程间的信息交互和共享需求，借助新技术、新方法的应用，完善各流程的循环和嵌套功能。（2）审计信息管理，包括结构化数据和非结构化数据的获取、分类、存储、分析和运用等内容。大数据时代，面对体量巨大和结构繁多的信息，审计信息系统应在保证数据安全的前提下，从中提炼覆盖所有审计领域的有效信息并形成结构统一、易于分析的审计数据，实现数据的完整存储、及时更新、灵活调用和深入分析，依靠数据挖掘、云计算等信息技术的强大分析能力，从海量数据资源中挖掘出更多有价值的审计线索，发挥数据资源的巨大优势，提高审计成效，提升审计价值。（3）审计技术管理，包括数字化审计模型管理、新技术运用等内容。审计模型是审计思路和方法的数据模型转换，结合新技术的运用，对扩大审计思路、提升审计效率起到重要作用。信息系统要建立审计模型库和技术库，并对其有效性进行生命周期管理，实现模型和技术的全面共享、不断优化和持续更新等功能。

2.构建思路。循环嵌套式数字化系统管理体系建立在闭环管理的基础上，闭环管理是依据综合闭环系统、管理的封闭原理、管理控制和信息系统等原理形成的一种管理方法。闭环管理的“环”是指管理流程的各个环节，按照流程的顺序前后衔接、相互关联，构成连续封闭的链条，且链条上各环节的活动维持在一个平衡点上;“闭”是指这个链条是循环往复的，决策→控制→反馈→再决策→再控制→再反馈，从而在循环积累中不断提高，促进管理的高水平发展。

三、太保集团的工作实践

围绕以数字化建设推动审计技术发展，以工作流程优化促进审计价值交付的理念，太保集团持续推动数字化审计建设，通过迭代开发和不断升级，建成覆盖审计工作全流程的完整信息化平台，满足审计作业、审计管理全流程的线上操作，支持审计数据提取和问题综合分析，为数字化审计体系建设打下良好的技术基础。如图1、图2、图3所示。

（一）太保集团数字化审计的“三流”整合

1.价值流的特点。基于不同的审计阶段和审计内容，太保集团的审计价值流有多层面的价值体现：一是审前阶段。借助监督制度解读、合规培训等形式，提升分支机构业务人员的风险合规意识和合规操作水平。二是审计实施阶段。为业务部门提供通过数据分析形成的风险监测报告、业务品质报告、经营分析报告以及审计警示、审计提示等，揭示企业经营中存在的问题，促进经营管理的不断完善，并将审计中存在的外部保险欺诈线索进行移交，由被审计单位进行核实，以减少经济损失。三是审后阶段。为总部层面的领导提供综合报告、管理建议书、专题报告等，从审计的独立视角为公司经营决策提供增值服务。同时，根据公司业务发展，探索审计工作的新服务模式，不断丰富增值服务内容，提升审计的增值服务能力。

2.工作流的特点。数字化审计工作具有“集团化”和“兵团化”特点，是一个高度协同的工作，因此，太保集团审计部门建立与业务、合规、纪检监察等部门的联合工作机制，形成三道防线联防联控模式。在审计实施中，审计部门内部也需要形成现场审计与非现场审计团队之间的工作协同。针对数字化审计特点，太保集团已建立审计项目实施的现场团队、数据分析团队、远程审计团队协同工作模式。

3.信息流的特点。审计信息流设计重在把握两个要素：一是保证信息的势能优势，实现信息的集中管理，形成自上而下的信息维护和有序传递;二是保证信息的有效流动，在流动中实现信息的价值创造。太保集团分别建设了审计数据库、审计模型库、审计技术库等信息库，并专门成立相应的审计数据管理部门，负责数据的集中收集、存储维护和管理。一方面，数据管理人员根据专业判断，将有价值的信息向审计团队和审计人员推送;另一方面，审计人员根据需要自由提取和调用审计数据并灵活分析，将数据、模型、技术的优化建议和新需求反馈给信息流，实现信息流质量的不断提升。

（二）数字化审计闭合循环的工作机制

1.审计实施管理。太保集团数字化审计实施管理为三个管理闭环形成的循环嵌套结构（如图4所示），包括审计项目数字化管理闭环、审计人员脸谱刻画及配置管理闭环和审计质量数字化系统管理闭环，三个管理闭环既相互独立又相互衔接，提升了审计质量和成效。（1）审计项目数字化管理闭环。项目管理的价值包含两个方面：一是以风险为导向，旨在快速精准揭示重大风险，及时有效修正企业经营管理等各方面的问题，使风险和问题在萌芽阶段得到遏制和解决;二是通过有效的项目管理，提升审计项目实施的效率和效果。在工作流的设计上，采取闭环管理的工作流程，实现价值流不断提高的工作循环管理模式。（2）人员脸谱刻画及资源配置管理闭环。其基本价值是通过对审计人员技能脸谱和审计工作能力要求的有效匹配，优化审计资源配置的效果，使审计资源的优势得到最大发挥，促进审计工作的高效推进。工作流的设计既要实现审计人员技能与项目要求的匹配，又要通过其实施不断提高审计人员的专业技能。（3）数字化审计质量管理闭环。质量管理是审计工作的生命线，审计质量管理的价值包括两个维度，一是提高审计工作规范性，二是提高审计成效。质量管理的工作流审计需要基于审计目标构建全面的质量管理体系，不断优化和完善审计流程和管理机制，持续提升审计监督和增值服务等各类审计成果的价值水平。

2.审计信息管理。信息是数字化审计的基础，如何实现信息的完整收集管理和安全使用管控，是信息管理中的重要环节。审计工作涉及业务环节的方方面面，因此审计所需数据具有来源多、结构多样、体量巨大等特点。随着审计工作对于数据信息依赖性的逐步增强，对信息本身的完整性和时效性要求也越来越高。因此，如何确保数据及时更新、完整验证和高效使用，成为数字化审计需要解决的一个难题。此外，伴随数字化审计的逐步推广，在信息有效运用之余，如何确保数据的安全使用和闭环管理，避免因数据管理不善而导致信息泄露，也成为数字化审计的一个重要问题。（1）审计大数据平台的建立和维护。为完整汇集审计所需的各类分析数据，太保集团构建了司级审计大数据平台，将保险、财务、客户和资管等各领域数据归集到大数据平台中，实现海量数据的分布式存储和快速响应，减轻了存储压力，提高了响应效率;建立了数据更新结果的自动化校验机制，根据增量和存量不同类型，进行数据的完整性验证和自动化检查，以提升数据的可靠性和完整性。如图5所示。（2）数据信息的灵活运用及安全管理。对于数据安全管理，一是综合移动访问、灵活分析和数据不落地原则，在技术架构的设计上，采用桌面云技术模式，向用户提供远程连接式数据访问方式，使用户在公司任意职场内都能移动访问。二是按照最小化授权原则，确保围绕实际工作需要，分配具体人员的使用权限。三是制定相关的安全管理机制，严格规范审计人员的数据使用流程和职责，通过事前审批、事后回顾等多种方式，加强使用安全管控，避免数据泄露对企业造成损失。

3.审计技术管理。除做好审计数据信息的基础管理以外，如何有效利用技术工具，帮助分析数据，深入挖掘信息，提升审计的监督和增值服务能力，对于数字化审计的成功实施起到重要作用。太保集团通过跟踪国内先进技术，积极探索和应用创新方法，逐步减轻审计人员的人工数据筛查压力，提升审计问题的发现效率，推动了审计技术管理的集成化、数字化和智能化应用。（1）可视化预警监测平台的搭建，围绕审计项目的数字化闭环管理需求，将各机构总体风险以热力图的方式進行差异化展示，以支持年度审计计划编制时的总体风险分析和各审计项目实施前的具体领域分析。指标设计按照风险指标、经营指标、审计发现和监管处罚等多维度综合汇总，并以业务条线、经营机构、时间范围进行分类和下钻，展示清晰、预警准确，有效支持了风险导向的审计工作要求。（2）审计ATM自助提数平台的开发，利用了ELK、Solr等大数据技术，建成了满足通用主题、常规领域、固化规则的审计用户自助提数平台，实现了傻瓜式系统取数。系统目前已建成30个主题、104项字段、覆盖多领域的提数功能。通过采用先进的大数据技术，解决了海量数据的并发计算，实现对数十亿条记录、多表联合查询的秒级响应，提升了审计人员的取数效率，降低了取数的技术难度，发挥了大数据技术对于T级数据、秒级处理的快速需求。基于审计数据沙箱进行差异化的系统定位，以满足不同层次审计用户的需求。（3）审计分析模型的构建。由于监管关注重点的日趋深化、企业经营环境的不断变化，审计面临的风险情形也在不断改变，需要持续研发具有实践效果的审计分析模型，为数字化审计提供方法和思路。太保集团审计部门充分利用远程分析技术，总结提炼出“4步6循环”的模型研发方法论，基于“风险分析—要素分析—模型构建—模型验证—模型评估—模型优化”六个步骤的循环，运用“从上到下、从下到上、案例分析、关联分析”等分析方法，提升模型研发的质量和效果。目前已研发了涵盖产险、寿险及投资条线等的400多个审计模型，在舞弊审计、内控审计等方面取得显著成效。

（三）“三流整合”的新技术应用

1.深挖疑点数据，精确定位舞弊风险。近年来，保险欺詐案件频发，严重损害了保险公司和客户利益，保险反欺诈一直是保险公司风险防控的痛点，新技术发展使保险欺诈手段变得更加专业化、隐蔽化和高科技化。太保集团在工作流设计中构建了技术性强、实用度高的方法体系，在反舞弊反欺诈中取得了较好的效果，如图6所示。一是运用立体化监督筛选疑点数据。通过宏观的财务指标分析如各机构综合赔付率、费用率、成本率等，中观的业务指标分析如伤残赔付率、车险夜间出险率等，微观的疑点清单分析，逐渐缩小舞弊检查的范围，筛选聚焦疑点数据。二是运用数据关联分析挖掘团伙性欺诈。关联分析方法突破了传统核保过程中个案分析难以发现舞弊欺诈的局限性，按时间、电话、出险人、驾驶员、医院等不同维度进行集中度分析，从审计后台数据库提取数据，建立网络关联模型，帮助审计人员快速找到犯罪团伙。三是运用爬虫、影像分析、关系图谱等非结构化信息技术分析方法。深度挖掘关联数据、扩大舞弊线索，为舞弊案件的查处打开思路，实现向外部欺诈及其他未涉及领域的延伸。工作流中运用的新技术方法依靠底层强大的信息流平台和工具支持，包括审计数据库、技术库和模型库。同时，新技术、新数据源、新工具又推动了审计发现问题能力的提升。

2.绘制风险脸谱，助力审计预警监测。保险业经营分散，业务网点多，对分支机构经营风险管控情况的掌握既是行业监管关注的重点，也是保险集团公司开展一体化风险防控的难点。开发和运行审计预警监测平台，为分支机构的经营风险提供了全方位、多角度的展示。太保集团运用大数据可视化技术构建了较为完整的审计预警监测平台，平台的设计也运用了“三流”工作模式，如图7所示。在价值流层面，既为决策层进行机构调研提供重要的信息输入，也为广大基层审计人员开展基于项目的总体分析、确定审计重点提供帮助;机构预警分析的工作流设计遵循总体分析、具体指标分析的思路。在总体分析中，包含对机构规模、组织架构、经营指标、行业竞争力的分析，通过总体分析形成分支机构经营情况的脸谱画像;在具体分析中，包含对审计预警值、具体预警指标分析、经营指标变动趋势分析、监管处罚等的分析，通过具体分析形成对分支机构的风险解剖图。工作流在执行过程中调用信息流中的审计报告库、审计预警监测系统、监管处罚信息库、审计缺陷库等数据，工作流的成果通过价值流将信息呈报给公司决策层。风险预警分析充分应用大数据平台的分析结果，并实现对审计报告、审计资料库、审计缺陷库等的整合应用。

[作者单位：中国太平洋保险（集团）股份有限公司，邮政编码：200233，电子邮箱：suiyue@cpic.com.cn]

主要参考文献

蒋洪浪.基于大数据的数字化审计技术方法体系构建：以保险公司数字审计为例[J].中国内部审计， 2017（11）：11-14

荆树伟.基于精益管理的企业管理创新研究[M].北京：经济管理出版社， 2017

鲁清仿，燕万年，王开一等.智慧审计构想与实践探索：基于解构法律法规条款[J].审计研究， 2018（1）：28-34

张庆龙.内部审计学[M].北京：中国人民大学出版社， 2017