王海兵,任诗琪,张元婧
(重庆理工大学 a.财会研究与开发中心; b.会计学院, 重庆 400054)
随着“大智移云”时代的到来,传统的审计工作模式已经无法满足现代内部审计日益发展的需要,大数据内部审计作为一种新的审计方式开始受到大众的关注。2015年,中共中央办公厅和国务院办公厅(用全称)印发《关于实行审计全覆盖的实施意见》,鼓励实施“大数据审计工作模式”并搭建“国家数字化审计平台”;审计署办公厅《2019年度内部审计工作指导意见》明确规定,应积极创新内部审计方式方法,加强审计信息化建设,强化大数据审计思维,增强大数据审计能力,综合运用现场审计和非现场审计方式,提升内部审计监督效能。大数据审计已成为国家治理能力现代化的重要保障[1]。国家高度关注大数据环境下内部审计的发展,实现内部审计朝着信息化、数字化和智能化方向转型升级具有重要意义。我国行政单位内部审计以审查评价单位内部财政资金利用情况为重点,整体上仍处于手工审计的阶段,审计范围小,信息化水平低。大数据背景下,如何利用大数据审计技术,提高行政单位内部审计的信息化水平是亟待解决的问题。
目前,大数据的发展和相关技术的普及正在驱动内部审计变革,为内部审计的转型升级带来机遇。利用大数据审计技术,内部审计能进一步强化其协同性,各级机关也能更好地分享专家经验及数据库资源并充分参与到审计过程中,实现人力资源协同、项目协同及业务协同[2],故行政单位开展大数据审计具有一定必要性和重要性。在大数据环境下,行政单位依靠大数据技术和审计自动化程序开展内部审计,可实现在线实时审计,保障内部审计工作的持续性、效率性和可靠性。此外,行政单位通过利用大数据技术,让全面抽样成为可能,可避免个别抽样的片面性[3],有效提升内部审计数据的全面性和审计结果的准确性。更重要的是,大数据审计技术能帮助内部审计人员更高效快捷地找到数据背后的规律和联系,从海量数据来源中迅速找到风险隐患并确定审计疑点,及时协助决策者做出有效的应对策略。因此,内部审计的信息化和智能化能使内部审计应有的功能得到进一步发挥[4],使内部审计能通过揭示存在风险,提出恰当审计意见,更全面地对行政单位进行监督和评价。本文从大数据内部审计的角度,探讨大数据技术在内部审计中的运用途径,针对当前行政单位内部审计面临的挑战,并结合C行政单位内部审计机构的具体实践经验阐述应对挑战的策略。
2015年印发的《关于完善审计制度若干重大问题的框架意见》,鼓励实施“大数据审计工作模式”,建立“国家审计系统和数字化审计平台”。但是,该意见并未形成具有强制约束力的法律法规[5]。依照目前的审计法以及实施条例,审计机关根据工作需要在搜集与具体审计事项相关的审计证据前,必须首先获得法律上的授权。在这一先决条件中,合法性和权力边界的要求给审计机构的工作造成一些困难。对于中央审计机关和地方各行政单位来说,以大数据、信息化为核心的审计法律法规尚待进一步健全,相关的审计准则和实施条例也需进行更新或修订。目前,行政单位在内部审计信息化方面缺乏制度依据,在行政单位内部审计已有的相关制度中,与大数据、云计算、人工智能等相关的内容很少,这不利于发挥大数据对内部审计工作的积极作用[6]。为了加快行政单位内部审计信息化的建设,必须密切配合国家政策和法制导向,结合行业实际情况和自身发展特点,尽快制定具体工作指引和规范,将内部审计的计划、实施和报告等工作都通过信息化的手段来实现。
现代内部审计重视采集与日常经营管理有关的数据,对数据背后的规律和联系进行分析和把握,既要帮助行政单位查找管理上的问题,揭示存在的风险,又要能够客观全面地评价行政单位的经营管理和财务状况,发表恰当的审计意见。在大数据环境下,内部审计的咨询功能凸显,内部审计作用和价值得到提升。与此同时,审计工作更加注重行政单位各环节间的沟通交流,导致审计独立性面临较大挑战[7]。随着大数据技术、审计信息化的发展,行政单位内部的审计系统与互联网的联系更加密切,借助互联网,审计工作能够搜集到与行政单位相关的海量信息。并且,由于大数据技术提高了审计活动对行政单位经营活动的可预测性,行政单位的内部审计部门和经营与决策等部门的联系和往来更加密切,审计的独立性面临一定程度的冲击[8]。
审计信息是行政单位管理发展的重要部分,包括行政单位经济活动、财务报表、信息系统等。在传统的审计工作中,审计数据资料与信息大多数来自纸质化的原始凭证和财务报表,虚假的资料在审计中比较容易辨认出来。而在大数据背景下,行政单位提供的审计数据资料与信息以数字化形式存在,只要财务系统中有一个操作环节存在错误就会导致数据结果的偏差,从而影响审计数据的真实性,可能给领导层传递错误的信息,最终作出不正确的决策[9]。在传统审计中,纸质化的信息资料一旦完成,很难对其进行更改,且核心资料由特定的部门管理,安全性相对较高。在大数据环境下,行政单位的审计数据则主要通过网络形式传输,且大都存储在云计算平台中。系统操作的简化会增大工作中发生失误及数据泄露的风险[10],如果大数据安全防范措施不到位,则行政单位在进行内部审计时还可能面临被网络攻击的风险。
在传统审计环境下,内部审计人员只需掌握财会和审计方面的知识,就可以自如地应对各项工作。但是,随着信息化的建设和发展,上述知识已远远不够,基础计算机技术、数据库技术甚至编程技术都是不可或缺的能力。大数据技术推动了行政单位内部审计方式的变革,内部审计范围已经由最初的以财务收支管理资料为主,延伸到全方面的经营管理和资本运营数据、经济效益审计等。这些,对内部审计人员的职业胜任能力提出了更高的要求[11]。内部审计人员在掌握审计专业知识的基础上,不仅需要熟悉行政单位的基本情况,熟练运用信息技术进行审计平台上的操作,而且要具备挖掘分析海量数据的能力和信息安全意识。大数据技术和内部审计的发展,给内部审计人员带来新的考验。
在大数据时代下,工作中的每个细节已经离不开网络环境、应用软件以及信息化操作平台的支持。行政单位应该升级更新内部审计系统的软硬件设施,提升计算机系统的运行速度及其稳定性、通用性、兼容性,加大网络系统等信息化基础设施建设。不过,这些改善措施都需要大量成本,并且需要配备专业技术人员来完成,这使得很多单位知难而退,影响了内部审计目标的达成[12]。许多行政单位中还存在“信息孤岛”的问题,部门之间相互独立,数据共享难以实现,这无法挖掘大数据的真正价值,一定程度上不利于审计平台的建设。大数据技术的应用扩大了审计范围,但行政单位缺乏对海量数据进行系统化采集融合的体系。因此,对于行政单位而言,改善行政单位内部审计的流程至关重要[13]。不仅需要加强不同子系统之间的联系,也需要制定新的审计措施来应对扩大的审计范围,只有这样,才能充分发挥大数据应用对内部审计的积极作用。
C行政单位内部审计机构是机关内部的独立审计部门,由市局机关垂直领导,履行内部审计职责。该机构负责基层事业单位的财务收支审计、政府采购项目审计、专项资金审计及主要领导干部的任中、离任经济责任审计等。该机构共有人员22人,其中具有实际审计经验的专职型审计人员10人,其余人员从办公室、综合室中适时选调以配合审计工作。近5年,C行政单位内部审计机构在开展审计工作中逐渐引入大数据审计技术,尝试建立大数据内部审计平台以提高审计效率与质量。
为了适应大数据背景下内部审计的创新发展需求,C行政单位内部审计机构从制度规范、结构调整、数据信息管理、人才建设和流程优化等5个方面进行了探索(见图1),取得了一定成效。在审计准备阶段,从制度规范、结构调整、人才建设三方面做好充分准备,努力实现“三个保障”。确立大数据内部审计标准,为内部审计的执行提供制度保障;适时适当调整组织结构,为审计部门的独立性提供组织保障;及时做好内部审计人才队伍储备,为内部审计的实施提供人才保障。在审计实施阶段,借助大数据审计方法及技术,严格把控数据信息管理质量,关注数据采集、数据清洗、数据分析、数据应用等各环节工作质量,运用大数据审计平台,获取充分适当的审计证据。在审计报告阶段,内部审计结果的报告要综合各项数据信息,密切联系内部审计信息库实时内容,要通过大数据揭示重大风险和缺陷,还要提供富有建设性和实践应用价值的方案及建议。
1.健全大数据审计的监督和管理机制
为了健全大数据审计的监督和管理机制,需要确立大数据相关工作的管理制度,包括数据库的使用、信息安全保护、财务数据共享等,并建立完善的监督体系,加强对大数据的监察力度,保证内部审计工作能顺利开展[14]。2019年4月,C行政单位内部审计机构率先发布《关于印发推进内部审计大数据应用的指导意见的通知》,在强调树立大数据审计理念的同时,从数据采集、数据分析、内部审计管理等方面多角度对大数据背景下的内部审计工作提出明确要求,为大数据审计的规范化和制度化提供了有力支持,也为大数据时代下其他行政单位内部审计机构的信息化实践提供了参考借鉴。
2.建立大数据审计的标准规范
行政单位自身要建立大数据审计标准,支持内部审计人员更好地进行审计业务操作。标准规范的内容包括大数据背景下行政单位内部审计流程要求,对内部审计人员业务和操作的具体规范标准,审计数据采集、存储、记录的要求,内部审计平台登录权限等。只有进一步完善了法律制度和规范标准,才能更好地将大数据应用于内部审计的实践与发展[15]。C行政单位内部审计机构专门设计了行业数据标准表,加强了大数据背景下内部审计工作的系统化、统一化,为建立大数据审计标准规范做出了有益的尝试。
1.健全内部审计人员管理体制
保持审计个体的独立性是发挥审计工作价值的前提,行政单位的领导层不仅要对内部审计工作给予高度重视,还要从制度上保证其专业性和独立性,保障内部审计工作能够有效施行。内部审计部门不隶属于其他部门,它在本单位主要负责人直接领导下独立开展工作。关于选择符合要求的审计师,可以考虑直接挑选具备专业能力且独立的第三方成员,保证不相容职务的相互分离。目前,C行政单位内部审计机构实行审计工作统一领导、分级负责的管理模式,建立了独立的审计部门,配备了专业独立的审计人员,合理分工,以更好地开展内部审计监督工作。
2.完善行政单位内部控制体系
大数据环境下内部审计的独立性面临风险与挑战,需要健全行政单位的内部控制体系,为内部审计工作的实施创造一个良好的内部环境[16]。为此,C行政单位内部审计机构采取了一系列加强单位内部控制的措施。一方面,制定操作权限控制、业务处理流程、信息管理等内部控制制度,同时成立大数据内部审计领导小组,针对各操作流程中的关键点与薄弱点进行审计,健全内部审计制度以达到优化单位内部控制环境的目标。另一方面,强化大数据环境下的内部控制。设定合理的用户权限、账户及密码,其中系统管理员、审计管理员、操作审计员等岗位要相互制约并严禁操作人员越权接触审计信息化平台。关注对系统的操作控制、对平台的安全控制、对硬件的维护控制等,及时发现问题并强化内部控制措施。此外,为了进一步减少因数据信息泄露带来的风险,C行政单位内部审计机构还实施了数据安全审计以加大数据监控力度。通过对SQL语句的实时分析与处理,将数据库信息按高、中、低三类风险等级分类呈现,帮助审计人员及时发现数据库运行中潜在的风险。近年来,该机构应用AI引擎智能识别数据攻击,并建立了预警指标数据仓库,结合C行政单位内部审计机构自身特征,设计具有针对性和适用性的预警模型,从而根据预警指标及时对相关警情进行应急处置。
在大数据时代背景下,行政单位涉及的数据信息来源愈加广泛,行政单位所面临的风险也在逐渐增加。因此,应努力保证审计数据的真实性、安全性及其来源的可靠性,进一步提升数据信息质量,完善审计数据管理。
1.健全内部审计数据采集机制
应重视审计数据采集环节的关键作用,健全内部审计数据采集机制。数据采集对象包括结构化数据和非结构化数据。其中,非结构化数据因范围广、数量大而采集难度更高。而大数据技术可以通过采集日志文件等方式提供新的采集方法,弥补对非结构化数据利用不足的缺陷,提高数据采集效率[17]。C行政单位内部审计机构涉及的主要资金项目包括培训费、差旅费等日常管理支出及“三公经费”,该机构全面系统地对信息系统中的数据进行了采集和转换。截至目前,C行政单位内部审计机构研发的数据采集转换工具能兼容200多套、400多个不同版本的业财数据,力求实现内部审计数据来源的全面性与多样性。时间上,其采集数据多是近五六年的信息,具有及时性和连贯性,为后续的审计数据分析奠定了基础;内容上,采集信息既包括财务与报表数据、财政支付明细数据,也囊括审计项目电子档案、法律法规等,审计数据的来源具有多样性,同时也尽量降低了遗漏采集关键数据表及相关审计证据的可能性。
2.提升内部审计人员的数据分析质量
为了强化大数据环境下内部审计的数据分析工作,可以依托大数据审计分析平台,提高数据分析的深度和广度,帮助内部审计人员明确审计重点和方向,提高数据分析质量。大数据时代下,决策不能只靠经验和直觉,还要基于数据的分析和优化[18]。2016年,C行政单位内部审计机构搭建了具有极强计算能力和数据存储能力的大数据审计分析平台,该平台有助于提高对审计过程中异常数据的提取与分析能力,有利于更准确地把握数据背后存在的审计疑点,提高审计效率,强化数据分析的针对性。C行政单位内部审计机构大数据审计分析平台的优越性体现于它使用了NoSQL与关系型数据库混合技术架构,推动数据分析方式从传统的SQL查询转变为“搜索引擎式分析”。相较于审计数据分析方法中的数据挖掘和多维分析方法,SQL查询更简单也更易被接受,而“搜索引擎式分析”能通过类似使用百度的方式进行数据查找,进一步降低了审计人员进行大数据审计分析的难度,推动了数据分析自动化和可视化功能的实现。事实证明,在实践中使用该技术在上亿条数据中的检索查询时间不超过0.5秒,极大地提高了发现审计线索和审计证据的效率。
3.加强对内部审计的风险评估与管理
为了提升对内部审计的风险评估与管理,应注重数据安全管理工作,合理制定数据安全管理策略。一方面,C行政单位内部审计机构提出了“两条主线,三层架构”的设想,既通过“限制数据范围”和“限制操作类型”规定不同用户能够访问的数据范围,赋予不同用户与其岗位和职权相符的操作权限,又通过“用户、角色、操作”三层访问控制,让用户和角色相互对应并按照角色的不同实施各自的操作管理。另一方面,重视内部控制作用,加强对审计过程的监管,做好风险识别和评估。为了准确判断审计工作中的潜在风险,及时发现并遏制篡改审计数据后隐藏的舞弊行为,运用软件全面检测后台数据,防范数据真实性风险。此外,聘请专业的系统软件工程师借助科学的数据检测技术,全面系统地检测数据的输入、筛选、输出等流程,识别审计程序漏洞[19]。在此过程中,设立有效的数据防火墙和安全功能密钥,创建审计数据的应急处理方案与自动备份系统,在违规操作和异常行为发生时可以实行报警和阻断,以防范行政单位在内部控制方面出现重大错报风险[20]。
4.强化数据分析结果在内部审计中的运用
数据应用进一步延展了内部审计结果,在对数据分析结果的应用过程中,不仅可以提升审计结果的规范性,而且可以促进行政单位明确发展方向,增强发展优势。首先,利用数据分析工具和大数据审计平台可以规范审计报告,使其编写更加简洁。同时,相关数据在专业技术的应用下汇总至内部审计数据库,为日后审计工作的有效进行提供了信息基础。由于行政单位的管理情况也嵌入和反映在内部审计数据库中,数据分析结果的应用可以帮助行政单位找到发展问题,提升发展能力。C内部审计机构具有强大的数据挖掘分析能力,能运用在“大数据综合管理平台”中涉及税收、工商等领域的详尽行业数据对产业扶持资金进行审计。这种审计方式在拓宽审计范围、挖掘审计深度上均已体现出显著的审计效果。利用大数据审计,该单位已于2016年顺利追回总计88.4万元的单位专项扶持资金,进一步发挥了大数据审计对扶持资金的监督功能和对扶持绩效目标的导向作用,有力地维护了财政产业扶持资金的合法权益,提高了资金的使用效率和效果。
大数据技术的发展加速了内部审计信息化和智能化进程,对内部审计人员提出了更高要求。如今,计算机技术、审计平台操作以及对数据的挖掘和分析都是不可或缺的能力,因此加强对内部审计人员的能力培训与素质教育,是应对当今大数据审计趋势的关键。
1.建设高质量的审计人才队伍
行政事业单位应采取相应的鼓励政策,吸引高素质人才加入审计队伍,同时应重视对内部审计人员的教育与培训,采用多样化的培训方式影响审计人员的思维方式和业务能力。在内部审计工作中,C行政单位内部审计机构面对非专业人员占比高、大数据应用人才少的系列难题。对此,C行政单位内部审计机构首先通过内部选拔、外部招录等方式筛选并建设高质量的审计人才队伍。目前,该局已成立专业化数据分析队伍,为内部审计工作提供了人才支持和技术保障。此外,C行政单位内部审计机构还十分重视对审计人员的教育与专业培训。定期举行审计业务培训,形成积极开展研讨、交流审计工作重难点问题或案例的良好学习氛围。行政事业单位还可尝试在建立分层级的内部审计人员培养机制的过程中以更多样化的培训方式提升审计人员的思维方式和业务能力[21]。
2.审计项目成员团队化
C行政单位内部审计机构为了积极发挥审计项目人员团队化的优势,一方面,通过建立计算机、财政等专业化审计团队的方式摸索审计实践策略,提升审计者的数据挖掘能力和对审计疑点的分析判断力,使大数据技术能更好地作用于内部审计,并有助于审计信息化经验的交流总结和经验共享。另一方面,竞争与合作并举,在审计团队中以竞聘上岗的方式积极整合审计人才资源,同时鼓励各审计团队之间开展合作,充分发挥人才效应在技术攻关中的作用,提高内部审计效率。C行政单位内部审计机构通过对审计人才队伍的完善,进一步保证了大数据环境下内部审计工作的科学性,形成了以审计人员为“点”,人才队伍为“面”的以点带面、点面结合的情形,有效提升了大数据背景下的内部审计质量。
随着社会经济的发展,传统的内部审计方式已经无法满足现代行政单位内部审计发展的需求。但是,受诸多因素影响,目前许多行政单位并没有完善或重新构建内部审计流程,大数据信息平台对行政单位的价值也无法真正发挥。因此,优化大数据内部审计工作流程刻不容缓。
1.审计准备阶段
在审计准备阶段不断改进审计制度和标准体系,根据信息化环境特点选择有针对性的数据处理工具,参照业务管理思路以及结合自身特点与需求,对登录权限、数据检索与挖掘、数据分析与存储等工作流程进行完善[22]。同时,积极构建审计大数据标准体系,通过统一的数据标准促进数据转换及互联互通。目前,C行政单位内部审计机构对审计大数据标准体系的建设进行了实践。在审计准备阶段,为了更好地保障审计数据采集、存储、转换、更新、访问、交换的顺畅高效,C行政单位内部审计机构专门建立了内部审计资料数据库,将独立、分散的各部门数据进行收集,并利用先进信息化技术与设备实现数据的及时更新与共享。这为实现数量大、范围广的审计数据多维分析,提高审计工作的质量和效率奠定了基础,也加强了大数据背景下内部审计工作中审计数据线上采集、共享、分析流程的体系化与规范化。此外,在审计准备阶段强化对内部审计的风险评估,及时发现潜在风险,通过应用数据防火墙和数据检测技术等及时有效地防控审计风险。
2.审计实施阶段
在审计实施阶段,要运用好具备大数据处理能力的审计平台。行政单位需要建立数据网络,实现内部、外部数据的对接,并在审计机关和行政单位内部中建立数据共享链,使经过授权的数据能够实时有效地传递给各部门,增强行政单位各部门间的联系,促进信息共享[23]。同时,做到自动化持续监控和智能化数据分析,实时筛选和整合大量的审计数据信息,提高内部审计的工作质量与效率,给行政单位各种审计业务和管理提供强而有力的支撑。在审计实施阶段,C行政单位内部审计机构开发运用了数据转换工具,打破不同系统和平台的隔阂,使云平台上的财务数据库文件与审计署审计现场管理系统(AO)财务数据文件能互相转换。
3.审计报告阶段
在此前数据清洗、数据分析的基础上,对有效的数据信息进行综合汇总,形成内部审计报告,并推动审计结果的运用。大数据专业技术的运用能将数据信息及时补充并汇总至内部审计数据库或内部审计信息库中,使之能为日后审计工作的实施提供更全面精确的数据参考[24]。同时,对数据信息对比分析的过程也能及时发现组织在管理上可能存在的缺陷,形成条理清晰、内容更全面准确的内部审计报告。在审计报告阶段,C行政单位内部审计机构探索审计项目业务主审和大数据分析主审“双主审”制、审计报告和大数据分析报告“双报告”制,显著提升了内部审计报告的质量。
总之,大数据技术的应用对行政单位内部审计的变革与发展具有重要意义。随着大数据技术的发展,行政单位推进内部审计信息化建设具有必要性和紧迫性。在新的时代背景下,各行政单位只有顺势而为,积极应对“大数据”下的挑战,内部审计才会更好地发挥其职能并实现组织的稳定长久发展。随着国家、社会对行政单位内部审计信息化建设的日益关注和推动,大数据技术在内部审计工作中的运用将越来越广泛,行政单位内部审计将迎来新发展和大繁荣。