大数据时代内部审计增值路径及对策研究
2016-12-07沈禹
沈禹
摘要:在大数据时代,内部审计工作如何适应技术发展要求,推动公司治理、数据安全、运营管理水平提高,实现增值审计,通过分析了大数据特征,以及大数据给公司治理、数据质量、数据文化带来的风险因素,深入总结了在大数据背景下开展增值审计实践,指出了开展增值性审计的差距、挑战,以及面临的不足,提出在审计战略、方法等六个方面拓展大数据增值审计思路及路径的对策,为在大数据背景下开展增值审计积累经验,推动公司信息化治理及管理运营水平的提高。
关键词:大数据;审计;价值增值;对策研究
中图分类号:F239 文献标识码:A
文章编号:1005-913X(2016)09-0077-02
大数据是继云计算,互联网之后,一次颠覆性的技术变革,对公司的组织、流程都将产生重大影响。大数据时代,公司的边界正在消失,数据将深刻地影响业务模式。面对大数据时代,面对发展机遇和战略转折,审计署副审计长石爱中指出,‘大数据是需要新处理模式才能具有更强的决策力、洞察发现力。“大数据”时代的来临,对内部审计实现价值增值创造将产生深远影响,内部审计需要迎接这一变革,探索大数据时代实现内部价值增值的新路径。
一、内部审计实现价值增值途径
价值增值型审计的特点本身决定了在开展审计过程中,更强调对管理者决策提供支持,改进企业流程,以适应目前和未来的风险。在实践中,改善公司管理,提高公司效益,增加公司价值也一直是内部审计工作的主轴。
(一)提高公司治理水平
审计人员通过对下属子公司、分公司总经理任期、离任经济责任审计,通过对年度KPI及经营目标实现程度、决策程序是否科学、管理程序是否严格、投资过程和投资结果是否符合要求等进行监督评价,检查公司治理的过程是否科学、有效,结果是否达到预期目标,存在哪些需要改进的地方等,推进管理层企业依法经营管理,确保完成各项管理目标。
(二)开展有效的内部控制审计
通过定期与不定期的开展内部控制审计起到了对内部控制的再控制,同时通过有效、专业、系统的评估,揭示控制制度、流程上的缺陷、执行过程中存在的偏差,并通过分析、查清问题产生的原因,评估可能造成的影响从而找出薄弱环节,提出改进、完善和补充的意见、建议。从而预防和减少损失,为企业增加价值。
(三)协助改进公司风险管理
风险审计把整个公司作为审计对象,能够站在全局的高度,系统全面地评估风险,同时直接对董事会负责,便于迅速果断地处理风险,同直接、单一的业务部门相比更具有从全局考虑分析判断风险的综合性优势。
二、大数据特征及给公司治理和运营带来的风险
(一)大数据的主要特征
大数据是指“无法用现有的软件工具提取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合”。大数据具有体量巨大,数据类型繁多,包括文本、日志、音频、视频、图片、位置信息等非结构化数据。数据爆发式增长,对数据的处理能力提出了更高的要求。数据的价值密度低,通常价值密度的高低与数据总量的大小成反比。数据处理速度快,数据流成为高速实时数据流,需要快速、持续的实时处理等五个特征。
(二)大数据时代给公司治理和运营带来的风险
第一,治理的数据质量风险。2012年,《纽约时报》的一篇专栏就写到,“大数据时代已经降临,在商业、经济及其他领域中,决策将日益基于数据和分析得出,而非基于经验和直觉”,公司治理也将越来越依赖高度集成化、高度信息化的电子平台和工具提供的数据。
第二,与数据有关的安全风险。信息的安全和监管问题与传统安全管理不同。“棱镜门”事件和最近发生的协程网泄密都对公司的信息安全保障发出了警钟。数据安全体系建设,不只是用信息安全产品搭建一个堡垒,更重要的是公司自身建立一套完善的信息安全制度。只有有形的产品和无形的制度相互配合,才能避免核心机密被类似“棱镜”项目所窥视。
第三,数据文化培养风险。数据文化的培养是解决数据问题的基础和关键。完整的数据系统包括数据管理、数据技术和数据应用三个方面的内容,这三个方面是整体,内在都需要相互联系、相互支持的。完整的数据系统的良好运转和运作需要严格的体系保障,特别是管理、运行、操作标准以及标准的执行,形成一个公司数据管理的内部法制文化环境,在系统建立、健全、维护使用上,做到有法可依、有法必依,执法必严、违法必纠的良好内部文化氛围。
三、大数据背景下开展增值性审计工作带来的挑战
第一,传统的审计模式不适应数据高度集成化的公司管理运行体系。大数据时代,数据是高度集约、高度封闭,而目前审计工作模式是以小组为单位,独立分工,分级汇总整合的作业方式,在分散审查的审计模式下,对高度集成的ERP、BBS、CRM、OSS等公司信息化平台,流程无法实现透明穿透,符合性测试难以有效发挥作用。
第二,数据挖掘与分析成为短板。大数据分布式特点的海量数据,庞杂的操作点和输入人员,广泛且动态的数字化信息,对于目前依据传统、单一审计工具的审计人员找准审计重点,并进行专业判断提出了严峻的课题。
第三,在数据安全的前提下,分析语言统一成为难点。由于审计项目时间、保密等纪律要求,要求审计人员在短时间内全面掌握和了解数据包含的内涵及数据表间勾稽关系,同时快速、准确的提出重点数据需求,面对动态并时刻在变化的数据流,审计语言和数据语言如何达到统一,并保证数据的安全提取,都是审计过程中必须处理的问题。
第四,数据类型多样,结构化和非结构化数据对综合分析和处理的能力提出了非常高的要求。目前审计人员依靠的EXCEL、ACL、IDEA、SAS-EG单机工具都无法应对分系统之间的数据整合,传统审计单机对单系统,小批量数据分析、归纳已经不适应多类型、多结构、多系统的数据分析和判断。
第五,对内部审计要求的价值成果更高。要求内部增值性审计需要对海量运营数据持续分析和深入挖掘,站的要高,范围要广、领域要更加综合的独特视角,为各级管理层提供更具战略性、系统性、前瞻性和价值性的审计报告、建议,朝着“战略审计咨询提供者”方向发展,这样才能在大数据时代提升服务增值的作用,满足治理各方的要求。
第六,人员结构、技术装备等还有差距。大多数审计人员在IT知识储备方面是短板,短期内也无法迎头赶上。目前还没有成熟的审计系统或工具对海量消费及交易数据动态下载,自动存储、校验以及非结构化数据转换形成支持。
四、开展增值性审计的应对策略及路径思考
第一,以创新求变的思维对审计战略、方向及时调整,适应大数据时代的增值性审计要求。通过审计管理模式与运营机制的变化,突破专业边界,加快引入系统化的信息化审计手段,依靠风险导向型审计,对信息系统所固有的风险和系统内部控制机制进行评估和分析的基础上,对系统高风险和控制环节进行重点检查和检测。
第二,在数据信息分析与把握的基础上,推动审计模式和方法的变革。在模式上要打破以小组为主要单位,组内分工,各审一块的分散审查作业模式,整合审计资源,以风险评估为基础,确定与审计业务紧密相关的核心信息资源,以集体智慧加大数据分析力度,以风险性数据分析引导审计活动,审计计划、审计项目发起、审计范围确定、审计重点明确,审计发现及后续结果跟踪等全部审计过程。
第三,要进一步认识信息安全在大数据发展中的重要地位,加大对大数据安全的审计研究力度和风险防范。信息安全是公司治理取得成效,公司价值链条保持活力的重要前提。围绕信息安全总体目标,加强对信息安全内部控制制度的测试、评价,强化对与信息安全有关的相关信息进行动态识别、记录、存储和分析,对突发事件建立快速反映机制,及时进行报警和风险识别、提示和响应处理,以保证信息系统的总体安全,风险可控,价值功能发挥正常。
第四,重视数据规则和输入、输出等数据基础控制制度的审计监督。差之毫厘,谬之千里,要提前介入系统设计阶段对结果输出模块的评价,要对系统的模拟平行测试结果提供审计评价,避免初始缺陷;在事中阶段要对系统录入规则进行线下印证和结论导出印证,避免录入规则错误;在事后阶段要坚持对输出结果持续审计,关注信息化内部控制制度执行效果,确保内部牵制等机制持续发挥作用,有效监督数据的人口、出口,实现净化数据、确保数据真实性、有效性的目标。
第五,积极倡导并监督评价数据文化建设。加大数据是神圣不可侵犯,数据必须是客观真实,只有真实的数据才是有价值的数据工作理念。同时,对于数据文化建设,审计部门要建立有效的评估、评价体系,并定期开展测试,确保数据文化的长期、稳定。
第六,探讨培养大数据审计人员的通才建设体系。审计人员不但要具备娴熟的专业知识支撑,而且要拥有良好的分析思路,审时度势的任务管理的知识和能力,才能将数据分析、挖掘和风险识别、问题揭示工作发挥到极致。
五、结语
在大数据背景下的增值审计的发展路径不是颠覆性的,而是在以风险管理为导向的内部控制审计时代,通过适应技术发展和演进,真正开拓内部审计价值实现的更高领域和更广阔的范围。
[责任编辑:王旸]