人民银行非现场审计运用瓶颈及对策

◆姜文军/中国人民银行南京分行

近年来，审计载体电子化、审计线索证据隐蔽化、审计查证系统化、内部控制程序节点化特征越来越明显。内部审计部门职能逐渐向决策有效性转变，审计监督由事后逐渐向事中、事前转变，由此带来了内部审计的工作模式逐渐向非现场审计转变。运用非现场审计对被审计对象的资料和业务数据进行收集、整理、分析，能够及时发现苗头性问题及潜在风险，为相关业务部门制定制度和作出决策提供依据和支持。随着人民银行业务的快速发展以及大数据时代的到来，非现场审计已成为内部审计中不可或缺的重要手段，人民银行应提高对非现场审计作用的认识和重视程度，加快制度建设，整合数据资源，提升人工智能运用，强化数据安全治理，优化审计资源配置，推动新时代内部审计高质量发展。

一、人民银行非现场审计发展现状

2012年，人民银行系统内部审计领域首次提出了非现场审计概念，特指系统内部审计部门在充分获取被审计对象相关信息数据的基础上，运用信息技术手段开展非现场监测与分析。近年来，人民银行不断探索非现场审计模式，但成熟案例并不多，目前非现场审计的运用呈现以下两个主要特征。

（一）运用于个别信息化程度高的领域

目前，人民银行已经建立较为完备的业务系统，实现了业务数据的电子化存储和一定程度的集中管理。如国库业务领域，依托于总行TCBS系统，全国国库会计核算业务已经实现统一处理、数据集中存储，相关数据的信息化程度已达到较高的水平。2018年，人民银行某分行在国库会计核算业务领域尝试了非现场连续性审计，依托辅助审计系统，探索了一种非现场和现场审计互补互通的内部审计管理模式。但类似这样的模式仅适用于信息化程度高且提供审计接口的领域，运用场景非常有限。

（二）借辅助审计系统分析数据

人民银行总行内审司积极推广使用自主研发的计算机辅助审计系统，实现模型化智能搜索。例如国库业务非现场审计中，充分利用总行辅助审计系统分析模型，对国库业务数据进行关联分析和线索整理，分别建立了审计线索数据库、审计重点疑点库、连续分析库，覆盖事前准备、事中实施和事后督促整改全过程，客观地评价国库内部控制状况和风险分布情况，实现非现场、连续性、全覆盖的审计模式，提高了审计的针对性和效率。但目前辅助审计系统的开发尚不能满足审计需求，在会计核算、货币金银、金融统计等信息化程度较高的业务领域尚未开发出辅助审计系统，且辅助审计系统不具备存证功能，审计过程中数据安全无法保证。

二、人民银行非现场审计瓶颈

（一）制度缺失

一是认识不到位。人民银行对非现场审计工作开展和重视普遍较晚，对其重要性认识不足，未全面形成现场审计应建立在非现场审计基础上的理念，传统重现场审计、轻非现场审计的观念依然存在。二是未制定非现场审计制度。目前，人民银行尚未出台实操性强的非现场审计管理办法、制度及配套的操作规程，未能从制度上明确非现场审计监督的对象、方法、范围和流程，非现场审计工作无据可依、无章可循，导致非现场审计工作相对自由随意，规范性、合理性不够。

（二）数据源不足

一是内部数据接口传导不完善。非现场审计数据主要来源于各业务系统，但人民银行业务系统必要的数据接口尚不完善，造成非现场审计数据较难直接从数据仓库里提数，从生产系统获取的内部数据信息往往不及时或不完整，影响了审计数据的采集和处理效率。二是数据访问权限有限。人民银行业务系统数据库搭建模式是中心化的，由最高层级对其具有绝对的控制权和解释权，其他层级或组织被授予适当权限，在有限的范围内对数据库中的数据进行调用，无法完整了解到数据库中的所有数据，也无法及时获取完整的数据更新，非现场审计的数据使用者并不能完全信任其数据的真实性与可靠性。三是外部数据欠缺。人民银行风控体系中尚未引入外部工商、法院、海关、税务等跨部门数据，底层大数据的缺失限制了非现场审计模型的拓展和深化。

（三）智能化程度不高

一是风险分析模型少。非现场审计主要以数据分析为主，需要把业务流程的控制点与数据流中的特征、表现相关联,进行深入数据分析，从而挖掘更深层次的风险，发挥大数据审计优势。但目前真正适用的风险模型并不多，除国库、征信等领域外，其他领域尚未有成熟的风险分析模型，数据时代非现场审计的作用未能充分发挥。二是人工智能分析技术欠缺。人民银行现有审计模型主要基于审计人员对业务知识的理解和工作经验积累所形成的具有显性特征的专家规则，缺乏基于机器算法的对一些隐性风险特征数据的分析识别，导致审计模型科学性与客观性不足，人工智能在非现场审计中的运用程度不高。

（四）数据安全存在隐患

一是数据高度集中带来风险隐患。数据资源的汇聚共享导致安全风险集中，大数据环境下的非现场审计面临数据安全的挑战。审计数据安全可以分解为审计数据库安全、审计程序安全和审计系统运行维护安全三个层次。数据库的安全防控主要依赖对数据库的访问控制，审计程序安全和审计系统的运行安全多依赖审计人员的职业道德，数据风险依然存在敞口。二是数据安全缺少再监督。目前，尚未做到对数据提供者、数据消费者、大数据平台提供者、大数据应用提供者等众多角色的用户行为进行必要的安全监测，对数据采集、传输、存储、处理、交换、销毁等整个周期处理过程缺少再追踪，数据安全存在隐患。

（五）信息化审计人才稀有

一是欠缺大数据分析专业人员。人民银行基层分支机构的人才结构相对单一，审计人员的计算机水平有限，专业素质难以匹配大数据分析需求，分析人员之间、分析人员与业务人员之间的协同合作缺乏机制性的管理和引导，大数据研发与审计工作发展需求不一致，极大制约审计数据分析工作。二是信息化水平不高。当前，社会各领域已普遍运用机器算法、Python等技术，但审计人员知识的更新换代相对滞后，难以从海量的实体资料当中抽丝剥茧挖掘审计线索。

三、工作建议

（一）出台非现场审计制度

一是规定非现场审计模式。结合人民银行实际，将非现场审计划分为“完全式非现场审计”和“统筹式非现场审计”（与现场审计统筹结合）两类。在信息化程度高的领域如预算管理可实施完全式非现场审计，而在信息化程度相对较弱的领域如基建项目采取统筹式非现场审计。二是明确非现场审计目标任务。在完全式非现场审计中，强调审计人员应当通过大数据分析锁定疑点，通过远程方式获取审计证据，得出审计结论；在统筹式非现场审计中，强调审计人员在非现场阶段形成问题清单、问题疑点线索清单和审计重点清单等，更好地指引现场审计。三是重塑非现场审计流程。以制度的形式固化非现场审计的范围、程序、要求，按照标准程序实施数据的收集、处理、分析、报告等流程，确保非现场审计工作程序化和规范化。

（二）构建大数据审计平台

一是构建分布式数据架构。逐步将区块链分布式数据结构替代现有集中式数据架构，内审部门作为各业务部门分布式账本的一个节点，通过授权访问平台应用层相关数据，实现直接从数据仓库中提数，提高数据采集和处理效率，数据真实性也得到保证。二是吸收非结构化数据。逐步将各类非结构化或半结构化数据纳入审计数据库，利用文本特征提取、词频统计、语义分析等技术，挖掘分析业务审批文件、规章制度、会议纪要、日志类文件等资料中有价值的信息，筛查风险隐患和违规操作疑点。三是引入外部数据。横向协作或外部购买银保监、工商、税务、法院等多种来源的数据，通过多维度、多层次的行社内外、线上线下数据整合，打破现有审计数据在规模、范围和类型方面的限制。

（三）提升智能化审计水平

一是运用机器算法辅助建模。通过机器算法对审计对象大量数据进行分析处理，产生相应的风险预测和假设结果，查找和总结出隐性特征，作为专家规则的补充，帮助审计人员找出高风险业务，更好地支撑相应的审计决策。二是建立自动化实时风险预警模式。非现场审计应更关注时效性，灵活设定大数据平台审计模型的监测频率，提高对风险处置的反应速度，有效预警重大风险疑点和线索。三是探索运用智能阅读功能。利用模式识别等人工智能为审计人员提供文本、图像和语音自动识别、检查工作，将审计人员从繁重的文本阅读中解脱出来，将时间和精力投入到更有价值的工作中。

（四）配置信息化审计资源

一是成立非现场审计专家小组。在审计人员中选拔精审计、通业务、懂技术的人才，组建具备第一时间分析和处理非现场审计重大发现及疑难问题能力的团队。邀请科技机构加入专家小组，从科技视角给出专业性建议，更好地攻克非现场审计工作中的诸多难点。二是优化审计人员结构。引入和培养一批既懂科技又懂审计的高素质、复合型人才，打造一支非现场审计全流程作业团队，并尽量保障成员的相对稳定。三是强化培训。学习国内外非现场审计成功案例及成果运用，重点培训现代审计理念、计算机辅助审计方法。鼓励和组织审计人员参加审计师、数据库系统工程师等权威考试认证，扩充其知识结构和储备，锻造内审队伍模型开发和数据处理本领。

（五）强化数据安全治理

一是数据安全再监督。运用分布式数据平台开展非现场审计场景下，平台相关节点全程参与数据的维护，单一节点的数据信息受到全部节点的监督。这也意味着对审计行为的再监督，审计数据处理全程被记录在链，无需担心数据信息泄露问题。二是使用加密技术。分布式账本可利用加密算法对数据信息加密存储，确保数据库中数据难以被伪造和篡改，数据库安全得以保障。三是运用水印技术。在数据展示页面增加水印技术，预防数据通过截屏、拍照等方式流出。对确需下载数据的，采取事前审批控制、事后清理报备等方式完善数据安全管控措施。

[图片新闻]

八月初，荆州市审计局及时启动应急响应机制，全力做好疫情防控工作。组建工作专班，全面落实机关内部防控、党员干部下沉、重点人员排查、防疫防暑物资保障等相关工作；主要负责同志深入一线，指导协调下沉社区核酸检测、区域管控等。

（王攀 陈文钦 摄影报道）