俞宏 (教授/博士) 陈俊绣 王君成
(1山东工商学院会计学院 山东烟台 264005 2烟台市审计局 山东烟台 264009)
2019年,审计署办公厅印发的《2019年度内部审计工作指导意见》明确提出,将现场审计与非现场审计结合,运用大数据思维,提高内部审计监督效能。2020年,财政部公布《关于政协十三届全国委员会第三次会议第1670号(财税金融类193号)提案答复的函》(财会函[2020]第8号),明确回应要加强远程联网审计、适时推广远程审计。
经济的高质量发展要求我国基于国内、国际“双循环”的新发展格局,提高新兴信息技术应用能力。在此背景下,保证对外投资企业跨境审计监督显得尤为重要。远程内部审计是在准确把握时代特征、深刻理解国家治理内涵下的重要的审计工作模式。远程内部审计借助大数据等信息技术的支撑,在出现不可抗力或境外特殊限制等非常情况下,能够保证审计工作有序开展、避免内部审计监督落空、提高内部审计工作效率,因此,在我国远程审计相关理论和实践还很薄弱的情况下,总结、研究大数据远程内部审计的国内外实践经验,丰富大数据远程内部审计理论是当前必须面对和加大投入的重要课题。发展远程内部审计、实现内部审计模式创新,既是内部审计发展的现实需要,也是审计理论未来发展的要求。本文在回顾内部审计与远程内部审计相关文献的基础上,将研究重点放在远程内部审计应用框架的构建上,并针对其面临的现实困境,提出应对措施,以实现内部审计增值价值。
国外对于大数据与内部审计结合的研究开展较早,也较为深入,更多是从大数据在内审应用的角度进行的探讨。Koskivaara(2004)以持续审计理论为基础,研究了神经网络技术在内部审计中的应用路径,利用数据挖掘方法发现企业的舞弊问题。Earley(2015)研究了大数据如何影响内部审计工作,并探索使用大数据技术开展内部审计工作。Wang(2011)等提出服务器可以基于树形结构的标签存储方法,动态地实现高效内部审计。Sookhak(2017)探索在大数据平台中存储远程数据,并通过实验验证远程数据存储的可行性。Rezaee(2017)等认为XBRL的广泛应用促使审计程序向持续审计转变,审计人员通过采集电子数据验证财务报告是否客观地反映了企业的经营活动和过程。
国内关于大数据与内部审计相结合的研究起步较晚。随着“大数据”“云计算”“区块链”等信息技术的兴起,近年来审计与信息技术融合发展的研究呈爆发趋势。大数据与内部审计的理论研究主要集中于三个方面:一是大数据技术对内部审计范围、抽样方法、取证模式、分析模型、报告方式、人才需求等方面产生的影响与变化(秦荣生,2014;程铖、李睿,2016;章轲、张冬霁等,2018;高廷帆和陈甬军,2019;郑石桥,2020;周敏李、范欢欢等,2021);二是大数据下审计模式与路径的创新研究(秦荣生,2019;潘丽琼,2020;何秀芝等,2020);三是深层次论述了数据挖掘、机器学习、可视化等技术方法理论在大数据审计平台中的运作机制(刘国城、王会金,2017;王秋菲等,2020;王彪华,2020;徐超等,2021;吴勇等,2021;包橡烽,2022)。
我国对于远程内部审计研究较少,本文将其定义为强调内部审计人员运用通讯技术和互联网工具对企业经营管理进行持续跟踪的一种审计模式。目前,我国的审计准则及指南没有关于远程审计方面的规定和执业意见,但在国际标准化组织ISO制定的ISO 9011(2018)最新版本的管理体系标准中,提出了远程审计的新规范,对远程审计发展有很高的参考价值。秦荣生(2019)认为通过进行非现场、远程实时监控的审计方式,能够大量收集审计数据和信息,使审计时间提前,审计领域扩大,审计关口前移。金治中(2019)提出在远程内部审计中采用虚拟团队,通过通讯和信息技术完成不同的关键任务,使内部审计师能够跨越空间距离与团队成员进行协调,实现特定的审计任务。田冠军(2021)从审计目标、重点、规范、技术、实施这五方面探讨远程内部审计在跨境监督中发挥作用的路径。邢春玉等(2021)基于大数据、信息化、智能化的发展,认为内部审计部门可以采用信息化技术自行获取所需数据,远程审计常态化已经成为可能。
综上所述,大数据是很多领域的热门课题,但基于大数据的远程内部审计研究相对不足,缺少一个基于大数据环境的远程内部审计应用框架,本文拟致力于此,以为远程内部审计的应用发展提供理论参考。
基于对大数据与内部审计、远程内部审计的理解,本文试图运用系统化、结构化的方法构建基于大数据背景下的远程内部审计应用框架。该应用框架基本架构是“两体系”+“三层次”。两体系是指审计准则规范体系(包括远程内部审计规范体系)和审计大数据安全体系(全面、动态、主动风险防御体系),二者是远程内部审计得以健康存续的制度基础和运行保障。三层次是指基础层、技术层、应用层三个层次。其中,基础层包括计算能力基础设备层和数据供给源层两部分;技术层主要是指大数据基础平台,通过各种软件技术对数据进行加工、储存等处理,同时为应用层开发提供算法和模型调用接口,提高应用实现效率;应用层包括预警监控层、审计作业层、审计结果分析层、可视化展示层四部分,体现了大数据及远程技术在审计中的具体应用。远程内部审计应用框架详见图1。
图1 大数据背景下远程内部审计应用框架
1.远程内部审计法规制度体系。远程内部审计准则规范体系将为企业新时代内部审计工作提供科学、规范的指引。该准则规范体系包括两个层面,一是法律法规层面,二是企业内部规章制度层面。若缺少法规制度的指引,内部审计工作将是低效且无效的。
2.远程内部审计安全保障体系。远程内部审计要想得到认可及广泛使用,首先要保证安全性,既要维护企业信息隐私,也要保障信息共享。因此,需要构建一个层次深、范围广、力度大的安全保障体系。若远程审计的安全性受到威胁,审计成效会受到质疑。
3.计算能力与数据源。基础层包括计算能力和数据源两部分。这两部分为远程内部审计的实现提供了强大的技术支撑和基础原料。同时,技术层和应用层的不断发展也会反过来促进计算能力的提升和数据源的丰富。计算能力主要包括CPU(中央处理器)、GPU(图形处理器)、ASIC(专用集成电路)、FPGA(半定制电路)、计算机服务器、移动终端设备。数据源主要分为结构化数据、半结构化数据和非结构化数据。数据来源方向既包括内部又包括外部,内部主要是源于财务系统、业务系统、营运系统,外部主要是源于行业监管、合作伙伴、同业数据等。
4.大数据基础平台。大数据基础平台在企业信息化建设的基础上,打破不同系统间的隔阂,不断扩充数据来源,对数据进行分析。大数据基础平台实际上是一个Hadoop生态圈,该生态圈主要由HDFS,MapReduce,HBase等核心组件构成。HDFS(分布式文件系统)可分布、存储巨量数据,为HBase提供高可靠性的底层存储支持,提供数据快速访问。MapReduce是一种简化的处理大数据的分布式编程模型,可为算法提供并行的运行环境。Hbase是一个分布式存储系统,可以弥补HDFS无法实时点读及扫描巨量数据的缺点。Zookeeper是一个分布式应用程序协调服务,提供配置维护、域名服务、分布式锁、集群管理等功能。Pig是一个大数据分析平台,采用Pig Latin脚本语言易于编程。Hive是基于Hadoop的数据仓库工具,使开发人员能够通过SQL语句快速处理HDFS上的数据。Ambari提供了一个可视的仪表盘来查看集群的健康状态,并且能够使用户可视化地查看MapReduce,Pig和Hive应用来诊断其性能特征。Ganglia是一个开源集群的监控软件,可以监控Hadoop集群,实时了解Hadoop集群的CPU、内存等运行状态信息。
5.应用层。应用层主要实现大数据基础平台与审计系统的对接,应用层分为预警监控层、审计作业、审计结果分析层和可视化展示层四个层次。预警监控层主要是预警监测、远程监控和全样本监测。预警监测主要是通过预警模型来实现,包括预警目标、预警指标及预警阈值,一旦发现可疑事项预警模型会自动报警。远程监控是指在预警监测结果上搭建与之相匹配的远程监控系统,对重要、重点及预警事项进行跟踪监控,这样就可以实现动态预警与实时监控。数据由“全样本”取代“样本数据”,对某被审计业务的全部数据进行审计,从而降低审计风险。审计作业层提供大数据技术下疑点跟踪、传统内部审计形成审计报告所需的底稿编制以及资源管理等功能,凸显新技术环境下远程内部审计工作的特点。对预警监控到的审计疑点进行溯源,找出审计疑点发生的具体位置及具体原因,进而形成审计工作底稿。同时,该层提供审计资源管理功能,具体是对审计人才、机构、事项以及法规、案例、风险库等的管理。审计结果分析层主要包括审计报告、审计整改及整改评价内容。该层主要是采用文本分析技术,对审计报告成果进行信息提取、挖掘等分析处理,对后续整改情况进行追踪,落实责任,对接清单,从而对整改情况做出评价,远程工作人员通过系统操作将问题反馈给管理者,实现将审计监督嵌入公司的管理流程中,提升审计监督的效果。可视化展示层是根据审计成果分析层的结果结合审计评价标准,直观展现风险监控和检查结果以及资源使用情况,如,预警可视化是指预警指标结果可通过散点图、折线图、条形图等形式体现;风险地图是指利用可视化工具,将审计风险点以地图形式进行展示,充当审计管理的“监控仪表盘”和“领导驾驶舱”。
固定资产在企业资产中一般占比较大,全面的固定资产清查可以了解资产状况,确保企业资产安全、完整。以下以固定资产远程内部审计为例,说明上述应用框架的具体应用。
1.数据采集及预处理。固定资产原始数据通过布置于各数据源系统的前置基础设备进行采集,主要是固定资产采购、管理、维护、处置等数据,通过企业专用网络传输至大数据基础平台。大数据基础平台汇集了来自各个系统的数据,对固定资产数据源进行预处理,然后按既定的审计模型接口规范操作。
2.构建审计模型分析。对固定资产建立适用的审计模型。通过建立风险预警模型来实现风险预警,风险预警模型的关键在于风险预警指标的设计,确立并计算指标,然后对指标进行纵向、横向对比,发现并选取异常和波动大的指标进行反应,从而达到预警的目的。固定资产关键预警指标包括固定资产数量、年限、折旧、报废等。之后,根据风险预警系统的分析结果,运用可视化技术形成风险预警分析报告。对预警疑点进行追踪,确认审计重点;远程在线监控系统是在风险预警的基础上,在微观层面深入挖掘发现的具体问题,然后通过多维方式进行展示。目前审计模型均是基于数据库SQL技术生成,远程审计人员可通过编写SQL语句将审计模型添加到审计管理系统的模型模块中去,实现对固定资产数据查询、筛选排序、计算分析等远程操作。
3.深度挖掘与取证。通过在线监控系统的深度挖掘和分析,在对固定资产清查过程中选择对固定资产全样本进行测试,同时远程审计人员针对发现的风险区域和风险点启动现场审计开展审计工作,在这之前审计工作完全是可以通过审计系统远程来进行操作的,在取证环节现场审计便体现了其不可替代性。具体来说,此时远程工作人员可以协同现场审计人员将固定资产明细数据从系统内导出,导出数据形成总的资产清查表,由现场审计工作人员依表进行盘点,所有参与盘点的人员均在盘点表上签字,并加盖部门印章。妥善收好盘点记录表并制作电子版存档,对各类资产情况进行汇总、分类,连同盘点过程中的影像图片上传审计系统,便于共享信息,远程人员便可进行后续操作,形成审计工作底稿。
4.审计报告及后续整改。在固定资产清查内部审计结束后,在审计报告中提出相应的整改措施,通过平台系统将该报告提交给管理层,加强内部控制。通过互联网系统可实现信息共享,审计人员可对后续整改措施的有效性进行实时监控与评价,及时与相关人员进行沟通,从而提高内部审计的质量。
1.数据采集不全面。据第四次全国经济普查国家统计局调查显示,截至2018年,被调查企业中有84.4%实现了财务管理信息化,但内部审计信息化数据的比例却不高。目前,企业内部审计信息化数据大部分是结构化数据,而非结构化数据通常占企业数据的80%以上,并且每年迅速增长。由此看出,企业内部审计数据中对非结构化数据的采集有待提高。
2.数据采集口径不一致。对于企业而言,尤其是大型企业,在进行信息化的过程中往往存在多套信息系统,如营销部门、生产部门、仓储部门、人力资源部门、财务部门等,部门不同信息系统不同,在这种背景下,会出现采集的数据口径不一,增加了后续分析工作的难度。
在远程内部审计模式下,信息数据是以电子虚拟形态存在于网络,数据库使数据得以集中控制,它汇集了企业各种重要的信息。大数据时代的到来打破了“信息孤岛”,同时数据危险系数也大大提高。一旦外部竞争者或黑客入侵到企业的数据库,对数据采取窃取、篡改、毁坏等不正当行为,或者是内部人员为谋私利窃取机密,数据库的存在将放大恶劣影响的效果。如果后续分析建立在错误的基础上,势必得出错误结论、提供错误报告和错误建议。在远程审计模式下,数据的安全性直接影响内部审计风险的大小。
在大数据背景下,远程内部审计人员通常借助各类模型对海量数据进行分析。审计大数据分析模型一般分为两类,一类是查询类大数据分析模型,该类模型在审计专家经验的基础上构建,如EXCEL函数模型和SQL数据查询模型;另一类是基于机器学习和数据挖掘类大数据分析模型,该类审计模型并不依赖于已知的经验和规律,它是由机器算法通过对数据的隐藏挖掘,找出审计线索以及分析解决审计问题。但是,此类分析模型的构建及使用门槛是比较高的,要对数学机理、计算机语言有透彻的理解。目前,企业更多是采用查询类模型,这种模型通常流于表面,只能查找完全符合查询条件的数据,依赖于审计人员的经验,并不能挖掘出数据之间潜在的联系,而且忽视对非结构化数据的处理分析,对数据的分析并不充分。
远程内部审计以互联网为媒介,节约成本的同时提高了内部审计工作效率,在出现不可抗力或境外特殊限制等非常情况下依然可以正常进行内部审计,但是远程内部审计也有其本身所固有的局限性。首先,远程内部审计依附于互联网而存在,因此受限于网络的稳定、数据传输的安全、企业信息化程度等因素。其次,并非所有项目都适用于远程内部审计。比如,观察和监盘两种重要的审计方法在远程审计中发挥的效果不如现场审计,即便在可以调取相关监控资料以及相关负责人愿意配合的情况下,由于监控技术自身限制,很难判断存货或其他资产真实存在的状态。在目前的技术水平下,仅依靠远程技术来进行审计,审计效果有待商榷。
正如上文所述,目前我国企业远程内部审计还存在一些问题,以下本文围绕大数据背景下远程内部审计的应用框架提出提升对策。
从国家层面来讲,响应国家“科技强审”号召,抓住大数据的机遇,实现内部审计转型。目前当务之急是要逐步确定大数据及远程技术在内部审计的法律地位,在法律法规、审计准则上为远程内部审计应用提供相应的法律依据和技术指导。
从企业层面来讲,要制定严格的内部审计章程。章程应当强调远程内部审计的重要性,加强数据信息化建设,制定清晰的远程内部审计流程,明确责任范围、违规事项及处罚等。只有在制度的保证下,远程审计才能实现更好的发展。
充分利用现代科学技术,构建全面、动态、主动的风险防御体系,对企业数据信息进行实时监控,及时发现外来入侵或违规操作现象,实现企业的自动智能预警,使整个企业的运行处在一个绝对可控、安全的环境之下。系统24小时监控网络流量的变化,对异常变化迅速做出反应,一旦检验出异常行为,即刻发出警报。同时,该防御系统不再仅限于防火墙和VPN加密,可以通过以往受到的攻击事件总结规律,进行分析预测,有效防御恶意攻击事件。在该风险防御体系下企业可以实现全天候适时监控,能更好地促进远程内部审计工作的开展,积极推动远程内部审计规范化、日常化,推动事后审计向事前审计、事中审计转变,为大数据远程内部审计的发展保驾护航。
企业应当全面、深入使用信息管理系统,实现采购、生产、库存、人力资源等全面信息化管理。从源头抓起,对每一最小配套单元进行标准化录入,确保每个与业务相关的事项都被录入数据库,建立起无缝连接的数据信息化流程,在这个过程中尤其要注意半结构化、非结构化信息的录入。另一方面,企业要实现数据口径一致性,可以采取两种方式:一种是建立企业数据标准化准则,在录入数据时按照企业的标准进行录入,统一数据标准,实现企业各系统与审计系统数据接口一致,使得不同阶段数据可比以及同一业务类型数据间相互可比;另一种方式是自主开发或委托软件企业开发一套数据转换系统,将来自不同系统的数据转化为口径一致的数据以便实现数据的可分析性。当数据的信息质量较高时,远程内部审计才能呈现出高水平的审计效果。
内部审计人员要深入挖掘数据间的内在联系,可借助更高层次的分析模型,比如基于机器学习和数据挖掘类大数据分析模型,对数据进行综合关联分析。同时,借助可视化技术更加直观地呈现复杂数据所含的信息。
1.合理使用及尝试先进的数据分析模型,尤其是数据挖掘类模型,如SAS-EM,Scrapy,Dinfo等结构化数据挖掘工具,TRS,i2等非结构化数据挖掘工具与R语言。同时,不是所有的审计问题都适用机器学习工具分析,因此需要将基于机器学习的数据挖掘类和基于审计专家经验的查询类模型相结合,共同构成审计大数据分析模型体系。
2.数据分析模型的开发实质上是科研创新工作,对数据、人员素质和科学组织管理的要求都较高,需要以科研课题、科研攻关的形式逐一明确、逐一立项,通过专项科研攻关来解决,但这对企业而言人力资源成本过高,因此,企业可以通过购买服务、实践合作等方式合理适度地引进科研机构、高校等社会力量参与部分内部审计工作,利用人才优势和先进技术手段,来有效降低审计风险。
3.数据可视化分析是一种以图形分析来处理复杂数据的方式,它以数据为工具,以可视化为手段,目的是描述事件,常规的可视化工具包括折线图、饼图、网络图、维恩图等。由于人脑对图形和文字接受的难易程度不同,可视化分析可以将大量枯燥的文字或表格形式以图形的方式展现给审计人员,使得审计人员可以快速地发现数据的特征,梳理数据之间的逻辑关系或变化,深入挖掘到数据之间的关系,从而找到审计线索。
面对远程内部审计固有局限性,企业可以和现场审计相结合以弥补其劣势。企业可以尝试建立一个审计师团队,在远程内部审计时,部分人员在审计现场进行现场审计,部分人员在非审计现场进行远程审计。该团队可以按照审计专业进行划分,明确每位审计人员的专业发展方向;按照业务量合理分配审计人员,保证各领域都有业务知识精通、大数据远程工具运用娴熟的审计专家;保证审计人员的专业水准与企业业务发展同步。这样的模式将内部审计从一个定期的、现场的操作逐步转向日常的、非现场、全方位的远程内部审计与现场审计相结合的审计模式。在这种模式下既顺应时代潮流发展,也提高了审计结果的可信性。要建立一个这样专业的内部审计师团队,需要企业从招聘、培养、激励等多种渠道重视复合型人才。
“远程内部审计”将会是“科技强审”要求下内部审计未来发展的一大趋势,也是一个循序渐进的过程。要制定规范法律体系、企业章程以及建立全方位的审计防御系统,为企业远程内部审计的应用提供一个良好的环境;抓紧数据源建设、加强数据分析,以现场审计为辅、远程内部审计为主大力发展内部审计;培养内部审计人员的数据思维,建立有效的培养机制、参与机制、激励机制,形成信息化审计人才队伍,协同个体成长与企业进步,来促进远程内部审计的发展。本文对大数据背景下的远程内部审计探讨只是初步研究,我们应注意到远程内部审计模式下的难点问题,例如,远程内部审计规范化推进、企业信息化平台的建设、大数据分析模型的构建、远程平台建设等,远程内部审计能否成功受以上各因素的影响。希望更多的学者加大对远程审计的研究,推动审计的发展与进步。