[摘要]本文基于大数据环境下内部审计工作的新特征,提出高新技术型电网企业审计智能库的构想,以企业风险导向为原则,以智能化数据运用为核心,以整合资源、信息为路径,以强管理、控风险为目标,探索信息化审计新模式,将事后审计转变为事前审计、动态审计及连续审计,提高审计数据的可理解性,提升内部审计价值。
[关键词]大数据思维 智能库 审计技术 内部审计
数据历来是企业判断是否面临风险的重要元素,
在任何组织机构中,都是最有价值的资产,而如何依托数据量化风险,是企业在防范风险过程中发挥数据最大价值的重要环节。以前,企业风险管理与控制大多依托主观上的经验判断,数据只是起到辅助作用,导致企业风险防范能力较差。如今,企业正处于内、外竞争压力双重环境,依托数据感知风险并提升企业防范风险水平,从而提升整体竞争力显得更加重要。
一、大数据审计风险
随着信息化的飞速发展,审计数据也发生了根本性的变化,具有数据量大、多样性、真实性、更新快等特征。通过信息化手段审计人员能更快地挖掘出被审计单位的全部业务信息,审计工作不再局限于抽查凭证、账面、财务系统等信息,极大地拓展了审计视角。持续性审计将成为现实,审计人员可以利用云数据掌握公司的运营状况、风险变化等情况,对内部风险及时分析预警,将风险隐患消除在萌芽状态。积极应用“云计算”、数据挖掘、智能分析等技术,提高审计效率;探索多维度、智能化数据分析方法,加强对各层级、各系统间数据的关联分析,增强感知风险的能力。
(一)数据采集与质量风险
主要是指无法采集到全面数据或采集到的数据质量不高,导致审计定位不准的风险。一是未能全面获得企业相关数据。大数据审计中企业内部数据,如财务管理、人力资源及物资采购等相关数据,对审计工作能够发挥巨大的作用,能否有效取得这些数据,直接影响审计人员对被审计单位或审计事项全面情况的掌握。然而,目前信息的获取主要靠审计人员对各种系统的查询,审计同财务、人力资源、发展策划等部门未建立有效的信息资源共享机制,获取的数据全面性不强。二是所获企业数据质量不高。由于企业数据录入有误、数据库存在漏洞,或是故意修改数据等原因,造成采集的数据质量不高。另外,企业内部系统间数据不一致、信息系统庞杂等情况,加大了数据分析的风险,导致数据分析结果受到影响。
(二)数据分析风险
由于数据分析质量不高或没被充分运用,从而影响审计的质量。主要包括两个方面:一是综合分析关联度不够所导致的风险。如审计人员主要对被审计单位的现有数据层面进行分析,未有效运用外部数据进行综合关联分析或对含有重要信息的非结构化数据分析不够,造成重要线索被隐藏。二是审计人员的经验水平不够所导致的风险。如审计人员的分析思路不当、技术水平有限导致问题核实不深入、不全面。大数据审计环境中,数据分析是审计工作的重要环节,能为现场审计实施指明方向和重点。如果数据分析质量存在问题,审计人员在现场审计实施中按照错误或者不准确的数据分析结果去延伸核查,势必使审计工作事倍功半。同时由于审计力量和时间有限,对数据分析结果可能存在未能全部核实的情况,这也会导致一定的审计风险。
(三)数据安全风险
由于安全防护存在漏洞或是人为管理、使用中存在问题,导致数据遭受破坏或数据泄漏等数据安全风险。在大数据环境中,数据安全风险主要包括两个方面:一是系统安全防护不到位。在大数据集中存储的过程中,攻击者利用安全防护漏洞窃取或破坏数据。二是人员管理使用不到位。由于审计人员违规使用互联网传送数据,或是使用非专用设备处理涉密信息导致的数据泄漏等。审计采集的数据来自各个领域,数据量巨大,大多涉及企业敏感数据、个人隐私數据,一旦数据安全出现问题,将直接影响审计机构的公信力和权威性,从而导致审计风险的产生。
二、智能审计技术方法体系的框架构想
以大数据思维和智能审计技术为指导思想构建审计智能库,是一系列技术方法的集合,核心为“智能化运用数据,发挥数据最大价值”,即将资源、云计算、数据、互联网、业务及信息等相结合,构建出适合内部审计人员使用的审计智能库,如图1所示。在采集内部及外部审计相关数据信息后,根据审计需要筛选数据,从风险的不同纬度整合来源于多方的数据。审计智能库更易于全面获取企业相关数据,利用智能分析技术获取风险线索,从而降低审计风险,提高审计质量。
(一)审计智能库建设目标和原则
构建审计智能库首先要确立目标,即通过全面运用智能审计技术,创新审计方法、革新审计模式、重塑审计理念和提升审计价值。审计智能库建设的总体原则是:一方面,基于企业现有信息化的整体水平以及以风险为导向的审计重点,充分开展智能库建设;另一方面,以电力行业信息化发展趋势和未来审计方向为指引,充分考虑框架构建的前瞻性和可扩展性需求。
(二)大数据质量管理和安全控制
审计智能库的建设应充分考虑数据的质量管理和安全控制,它不只是IT部门的职责,还需要业务部门的广泛参与。通过部门间的沟通持续提供针对企业未来愿景的业务决策、业务定义、数据质量以及研发优先级别等方面的支持,共同商讨出工作实践中最有效、最合适的标准。数据质量管理重点如图2所示。
提高大数据环境下数据安全性,需要加强数据安全控制。一是加强制度控制。制定大数据环境下业务开展的相关操作规范要求,从制度层面规范数据的采集、分析、管理、访问、运用和保密各个环节,保证工作开展有章可循。二是加强网络攻击防范。预防并阻止运行隐藏有病毒的程序或软件,针对可能存在的网络攻击,制定实时预警监测和事后追溯全流程方案,严禁外部计算机接入数据中心等。三是加强用户数据访问限制。严格限制接触数据的人员范围,并随着使用人员的变动及时调整数据访问权限,进一步加强对数据访问行为全过程的控制和监督,保证数据的安全应用。四是记录活动日志。把用户对数据库的所有操作自动记录下来放入活动日志,一旦发生数据被非法存取,可以利用审计跟踪信息,重现导致数据库现有状况的一系列事件,找出非法存取数据的人、时间和内容等。
三、智能审计技术方法体系的构建与实施
内部审计既可以对内控制度的充分性和有效性进行检查、监督和评价,又可以对会计及相关信息的真实性、合法性、完整性,对资产的安全性、完整性,对企业自身经营业绩、经营合规性进行检查、监督和评价。内部审计工作是一项系统工程,如图3所示。国网冀北电力有限公司电力科学研究院(以下简称“电科院”)在电网发展、信息化建设的新形势下,大力推进审计工作创新,全面提升审计价值,在机制体制、方法手段和信息化应用等方面,运用大数据理念,构建符合电科院发展需要、体现电科院特色的审计信息化新模式。
(一)建立协同审计,实现数据共享
建立审计部门牵头,人力资源、发展策划及财务等相关部门共同参与的协同审计机制,形成优势互补、整体联动的工作合力,使信息资源能够在部门间及时传递,使审计能够有效取得相关外部数据。完善联动机制,明确审计及各相关部门的工作职责,确保协同审计机制的顺利实施。打通各专业之间的信息节点,消除分工产生的协同障碍,实现由职能管理向流程管理、数据管理的战略转型,实现由传统审计向信息化审计的转变。
以业务流程管理为核心,以职责体系为保障,以制度、标准为准则,形成一体化管理合力,保障协同审计机制的高效运转,促进审计获取数据能力的提升。通过协同审计建设,将职责、制度、标准、考核及风控等全部融入流程相应环节,实现各类资源信息随着业务运转动态共享。建立高效、全面的协同机制,形成具有规范性、可操作性的审计工作流程,明确审计工作内容、重点和技巧,实现审计流程标准化,深入推进审计数据的有效运用。
(二)重塑组织架构,构建审计智能库
1.基础是组织架构的重塑。随着审计信息化的发展,审计作业和审计管理实现了一定程度的信息化。智能审计理念的落实,使内审工作能够更多地依托于信息化技术和模式来提升成效,组织架构也升级为远程化、集成化和智能化框架。审计人员致力于对风险点的识别和评估、对审计模型的研发和对监控数据的分析。通过进一步加强远程风险监控、疑点分析,有选择有针对地实施现场审计,充分提升审计发现问题的能力和审计资源配比的合理化。内部审计组织架构的构建要体现企业内部审计的整体战略以及未来的发展定位,内部审计的重点不再是财务审计,而是逐渐向外延伸,包括内部控制审计、绩效审计和风险管理等。其基本构建思路要从传统的财务管理方面逐渐向外扩展,这样不仅能够促进企业提高自身的经营效率,而且能够提升内部审计在企业中的价值和监督成效。
2.核心是智能数据库的建立。智能数据库的构建是组织架构转型和审计模式创新的基础,也是远程分析、持续监督的根本。建立智能数据库能够集中存储和管理采集到的相关数据,并实现各级审计机构内部资源和成果共享、审计机构与审计现场信息资源共享,充分发挥大数据审计在查找疑点、精准定位、高效实施及综合分析提炼等方面的优势,为现场审计提供技术支撑和保障,实现审计一线作业与后台数据分析一体化,拓展审计的深度和广度,提高审计的质量和效率。
3. 路径是各层级的构建。审计智能数据库的架构分为五层,即数据采集层、指标建设层、数据挖掘层、数据共享层及可视化应用层,形成具有大数据特征的智能审计数据挖掘分析系统,如图4所示。
(1)数据采集层。在采集企业数据信息时,应取得原始数据,再进行数据清洗,如数据分析、模式转换、数据校验和数据回流等,从而保证数据的完整性和准确性。同时,对采集到的审计数据进行标准化,将一份标准化的数据录入采集数据库,相同的一份数据生成数据索引文件。在采集整理及分析过程中,审计人员要对数据差错充分关注,不能对错误数据弃之不理。实际工作中,大部分不符合逻辑和规律的数据差错既可能意味着被审计单位信息系统存在问题和漏洞,也可能是重点问题和疑点所在,审计人员要通过对存在的问题进行重点分析,准确查找疑點。大数据采集和转换技术多种多样,主要是通过系统对接、读取、过滤和抽取等自动化采集获取如财务、业务、营运、行业检测、同业和外审数据;同时,通过人工报送方式,获取被审计单位的其他相关数据。自动化采集,是按照设定规则获取相关系统的数据;人工报送数据,是由审计人员将被审计单位系统外的数据,按照分类和格式上传至数据库中,从而实现对审计对象全面的远程监测。数据采集整体过程如图5所示。
(2)指标建设层。基于数据采集层开发的预警监控指标,根据财务指标、制度依据、审计要求、经营目标及同业对标等设定预警阈值,以自动定位达到预警值的风险点。风险预警是在已经确定的风险类别上,通过对风险表征指标的观测对比,对其发生风险的危害程度进行判别的一种风险识别行为。当某个表征风险的指标值超过预警阈值,即对该指标表征的风险进行预警报告。因此只要能够确定该风险表征指标的阈值,就可以通过对指标波动的监测实现风险预警。
(3)数据挖掘层。经过数据预处理后的审计数据库包含多个数据集,每个数据集又包含若干数据记录。运用审计数据分析的前沿理念和技术,开展数据分析和挖掘,对零散、复杂及标准不一的数据进行整合,构建审计数据分析模型,以定位数据来源,实现数据的信息化管理,保证结果的准确性和完整性。数据分析技术可以提高审计的效率和质量,通过总体分析、关联分析、趋势分析及多维分析等,能够及时发现被审计单位的异常信息并做出职业判断,简化审计取证过程,更易于获得审计证据,进而从源头上查错纠弊,快速发现异常,如图6所示。
(4)数据共享层。利用大数据的存储、汇总及查询功能,提供共享服务,实现非现场审计和实时监控。通过与被审计单位管控平台对接,可实时监控与查询公司信息。在审计项目开展过程中,其审计查证、控制测试、审计底稿编制等全过程均为线上操作,审计负责人能远程实时查阅项目进度,对现场工作及时提出指导意见,使审计项目质量得以提升。
(5)可视化应用层。数据可视化是通过图形化手段,将复杂的数据模型表达出来,从而清晰有效地表达数据中的信息。数据可视化技术的基本思路是将数据库中每一个数据项以单个图元元素表示,大量的数据集构成数据图像,同时将数据的各个属性值以多维数据的形式表示,可以从不同的维度观察数据,从而对数据进行更深入地观察和分析。审计人员通过数据可视化可以洞察数据中的规律,结合审计评价标准和风险等级预测,按领域、程度和建议等直观展示风险监控和审计检查结果,实现对被审计单位定性和定量的综合评价。可视化平台可充分体现出被审计单位的资金使用、经营管理、内部控制、财务收支核算等情况,充当审计管理的“仪表盘”。
四、审计智能库初步展现的实践优势
通过审计智能库获取被审计单位数据已经成为审计的重要方式。联网技术促使智能库中企业数据的范围不断扩展、更新频率不断加快,为审计人员在线采集和集中分析数据提供了便利,使审计定性更准确、结论更科学。而借助审计智能库对被审计单位的数据进行系统、全面以及跨部门的综合分析,能获得更充分的审计证据,有助于发挥更强大的审计威力。
审计智能库实现了审计理念及方式方法的转变。通过审计智能库的运用,审计理念从单一领域的查错纠弊转变为整体性的增值服务;审计方法从依靠职业判断到专业的数据挖掘,引导内审人员思维方式的发展和进步,实现对风险的全面扫描和精确定位,并储存了每一个风险线索和异常现象,可以判断风险动态整体的变化趋势;审计工作方式由时点评价转变为持续性评价,对风险的评估更加全面、完整。在问题发现初期,即能够及时预警,并采取有效的措施,将风险隐患消灭在萌芽状态。
审计智能库体现了信息化与审计思维的深度融合。以审计智能库为基础,对企业风险进行管理,制定控制措施;控制措施的效果以数据的形式反作用于企业业务,通过信息化进行业务循环管控,对业务及流程进行全面监控,使业务可控可查,形成企业内部审计全覆盖的闭环管理,实现“数据一个库,审计一张网”。通过大数据思维、智能审计技术,实现审计价值的多形态展现,提升了整体审计能力。通过强化数据的采集、挖掘和分析,实现了向事前审计、动态审计以及连续审计的转变。加强智能库分析,锁定重点和疑点,进而追踪取证,有效推进了以远程审计为主的审计模式。智能库的出现增强了审前工作的计划性和预见性,提高了审计流程实施的针对性和可操作性,进而提升审计工作质量。通过对非现场审计数据的采集、转换,解决了信息不对等的难题,拓展了内审人员的视野;通过对多来源数据的智能分析,提高了数据的可理解性;通过可视化的数据展现功能,降低了使用难度,及时揭示潜在风险。
(作者单位:国网冀北电力有限公司,邮政
编码:100053,电子邮箱:happyrain216@163.com)