引言
适应时代发展进行数字化转型,越来越多地成为企业的战略选择。然而在新冠病毒蔓延、短期经济增长压力显著、各行各业明显承压的时代背景下,企业的内部业务运转不可避免地呈现出高于以往的不确定性,内部审计工作亦受到诸多限制。
传统的现场审计难以实施,灵活的远程审计优势凸显。内部审计数字化以其可持续、高效率、低风险的优势,协助内部审计突破传统方式的诸多掣肘,展示出顽强的韧性,被越来越多的企业接受和认可。可以预见,通过实施内部审计数字化,可以提升内部审计工作在计划制定、项目实施、结果交付过程中的风险承受能力,同时保证在不确定的外部环境中内部审计职能发挥的稳定性。
在实施审计数字化过程中,审计模型的设计是极为关键的实施步骤,同时也是内部审计数字化最为直观的成果。企业需要经过对所处行业、监管要求、业务流程、数据质量、面临风险多方因素的深思熟虑,结合企业信息化、数字化水平,探索符合企业发展战略、适应企业现实情况、契合内部审计重点的审计模型。探索建模之道的过程,既是促进审计数字化的重要动作,也是对内部审计水平的自我检阅,有助于企业厘清管理方式上的缺陷、看清管理流程中的痛点、摸清管理协同时的不足,全面挖掘薄弱环节,及时反哺管理优化,促进管理水平提升。
一、内部审计模型设计思路
内部审计模型设计通常以价值链为导向,以风险为核心,对企业业务流程开展现状诊断,关注重点业务及风险管控情况,通过科学的风险评估方法,结合安永行业风险宇宙,对所收集的风险进行整理,为内部审计模型设计奠定基础。内部审计模型设计遵循如下几个步骤:
1. 风险指标拆解
针对选定的审计对象与内容,对风险进行风险因子的拆解,明确风险因子数据源和风险计算规则等模型基本特征。将已识别的风险进行风险驱动因素和影响拆解,形成关键绩效指标、关键风险指标;通过关键绩效指标和关键风险指标的组合,形成大数据审计模型,因此“风险指标拆解”是将无形的“风险”转化为“审计模型”的关键步骤。同时,在建模过程中应用随机森林算法,先根据“行为”定义异常“特征”,再随机将许多判断条件组合成一个森林,每个决策树在分类的时候投票决定行为是否正常,随机森林多条件形成的判断结果优于单个决策树的结果。
2. 数据提取与运算
根据设计的风险分析逻辑,提出样例数据需求,使用样例数据对风险分析逻辑进行试验,以验证数据与数据分析逻辑是否满足业务逻辑的需求。
3. 模型阈值设定
根据企业风险偏好和尺度、结合公司风险策略的兼容性,确定风险预警指标监控阈值,以确定风险容忍度,风险目标等,在此基础上确定风险阈值,并对其实施监控。系统一旦超过阈值,就会触发监控机制,进行风险提示。模型阈值设置,主要依据数理统计法、行业参数法、内部定性法以及专家征询法等方法。制定一个符合企业风险偏好,符合风险管理要求,且与企业管理精细化程度相匹配的模型阈值是内部审计模型准确性的关键。
4. 内部审计模型优化
对于直接可识别出问题的模型,归类为精准定位型;对于识别后仍需进一步现场核实的模型,归类为疑似提示型。内部审计模型优化主要有如下几个方面:
- 模型阈值调整。对验证有效但异常数据量较大的模型,可通过调整模型阈值,“收紧”异常判定条件,从而减少异常数据核实数量。
- 模型业务逻辑优化。对验证有效但可通过逻辑优化、数据交叉验证、多重判定等方式提升准确性的模型,从业务角度和数据角度调整模型逻辑。
- 数据清洗逻辑调整。对数据质量导致的异常数据,可考虑调整数据清洗规则,在审计数据集市清洗掉异常数据,避免被再次筛选,从而提升模型准确性。
二、内部审计模型设计示例
在采购管理领域,对采购计划、招标、评标、定标到采购合同履行通过全量数据分析和审计模型预设,执行全业务链监控,用以监督采购过程中超预算采购、评标不规范、定标不规范、围标串标及超合同结算等风险,排查出疑似问题,实现关键风险的及时预警,提升审计问题发现的广度、深度、效率和效果。
在资金管理领域,对资金预算、往来账、费用管理、备用金管理等多方面财务业务数据进行抽取和分析,从业务单据到明细账逐层排查,用以监督资金管理过程中财务预算超支、“两金压降”管理不到位、管理费用超支、备用金借款不合规等风险。
在工程管理领域,从工程项目立项、工程项目执行、工程项目决算等方面对项目过程数据、项目财务数据进行逻辑运算,对项目超预算执行、先开工后立项、工程未及时转资等风险进行识别,从数据层面对业务风险进行“初筛”,减少后续大量现场核实工作。
在特定行业的特定业务领域中,大数据内部审计模型也能发挥应有的作用。在TMT行业庞大的业务量和数据量下,需要大量数据分析手段和数据建模技术,识别用户行为的异常情况。例如,通过用户流量使用、用户终端使用、用户充值记录、用户消费情况等用户使用行为,判定是否为真实用户,是否为虚假套利用户等情况。
三、内部审计模型技术应用
“互联网+”、云计算、大数据、人工智能、区块链等新技术的发展与应用,为内部审计数字化建设提供了更为充分的技术支持。推动数字化新技术与内部审计业务的不断融合,实现在各业务领域的数据分析、解读和预测,是企业高效实施审计项目、全面进行审计建模、促进审计数字化的重要手段,符合审计数字化发展前景和预期。
RPA(Robotic Process Automation),机器人流程自动化,即借助设定好的机器人,自动处理大量重复性、基于规则的工作流程任务。RPA能够助益多职能领域、多行业、多流程的自动化处理,不仅能为审计模型的设计和建设提供一致性强、规范度高、维度丰富的数据,还能在业务自动化流程末端直接嵌入内部审计模型,实现“业务-审计”一体化。
大数据审计分析,即结合大数据的思维方法和计算机辅助审计技术对海量数据进行逻辑分析判断。随着大数据融合应用能力的不断深化,对于信息化程度较高、数据管理能力较强、具备整合应用业务数据条件的企业,通过运用趋势分析、极值分析、聚类分析、方差分析等多种大数据审计分析方式,有效提升审计模型的分析功能。
网络爬虫技术,即针对某类型的网站,模拟浏览器向网络服务器发送请求,以便将网络资源从网络流中读取出来,保存到本地并提取梳理。爬取信息主要为互联网公开的政策法规类数据,各类投诉建议和统计监测结果数据,公布的上市公司企业财务报表和经营状况及行政处罚和奖励等奖惩类数据,视频、音频、图片、文本等多媒体数据或非结构化数据。将爬取的外部公开数据进行结构化处理并作为模型所需相关因素的输入指标,为审计模型添加对标参数,辅助实现审计模型的解读功能。
机器学习是使计算机具有人工智能的根本途径,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。机器学习专门研究计算机怎样模拟或实现人类的学习行为,通过重新组织已有的知识结构,获取新的知识或技能,使之不断改善自身的性能。通过对审计风险事项历史数据的机器学习,实现自动化数据处理、数据分析和逻辑判断,并对新样本输出预测和预警,辅助实现审计模型的预测功能。
四、数字化内部审计模型价值
通过设计及实施数字化内部审计模型,可以为企业带来五个方面的价值:
1. 为业务部门增值
实现了对风险的持续监控,帮助业务部门及时识别风险,降低损失,实现增加价值的目标。
2. 为审计工作增效
增加了审计的自动化水平,降低了人工参与的程度,减少了被审计单位的配合时间,审计工作效率可得到大幅提高。
3. 为量化风险做尺
通过对底层业务数据的分析,能够量化问题发现涉及的金额、数量等信息,便于对风险影响程度进行定量分析,为管理层采取风险管控措施提供重要依据。
4. 为识别风险提速
可以在较短的周期内对审计对象开展风险识别工作,与传统测试方法相比,能够更及时地发现风险,并采取后续措施,避免进一步的风险损失。
5. 为发现问题赋能
借助模型,内审人员能够采用全量测试而非抽样测试的审计策略,可以更有效地识别隐蔽性较高的问题。
往期推荐:数字化转型中的内部审计——顺势而为,开启转型之路
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
举报/反馈
