电信业创新型大数据内部审计的探索与研究
2019-09-10茅芯
茅芯
[摘要]本文结合广东移动数据审计管理及实践,探讨在新时代背景下,深入研究打造创新型智能内部审计管理体系,推动内部审计信息化建设。
[关键词]内部审计 数据审计 持续审计 大数据 审计效能
一、电信业全面进入大数据时代
随着移动互联网的快速发展和移动通信设备的普及,电信业数据量与日俱增,已全面进入大数据时代。按照数据量级别划分,数据信息化存储经历了四个阶段:最早是单机存储数据阶段,通过单台主机存储数据,比纸质存储跨越了一大步,但由于主机之间缺乏联通,容易出现数据孤岛;互联网的迅速普及改变了计算机出现以来的信息孤岛格局,关系型数据库应运而生,该阶段数据主要由信息系统产生,业务数据量完全可以使用传统关系数据库进行处理;随着电信业的蓬勃发展,更大量的电信运营数据量纳入统计分析。例如,上海某运营商每分钟8万条位置更新信息(徐家汇商圈),每小时近300万次移动电话呼叫,每天70-100TB及30亿次点击的互联网访问量,一个地市运营商每天产生24亿条话单记录,约1TB,一年约350TB;而今,电信业已然迈进大数据时代,互联网和移动互联网时代的到来,使得电信业务增加了更多网页、图片、音频、视频等非结构化数据,用于社交网络分析、舆情监控、定制化营销、提升客户服务质量等。
(一)传统审计方式的局限性
企业内外部环境的变化,尤其是大数据时代的到来,导致传统的审计方法面临诸多挑战。例如,电子数据正在逐步替代纸质资料,部分审计领域的风险隐蔽性强,不易识别,抽样审计方法已很难有效定位风险,审计资料有限导致难以全面深入开展工作,审计结论往往滞后于风险发生时点,审计工具支持能力不足等。与此对应,审计工作的策略、方式方法、管理模式等均须做出相应调整。
安永《全球内部审计调研报告》显示,92%的受访者认为,数据分析应当应用于审计项目执行过程,数据分析使内部审计能覆盖更广的范围,能发现传统审计方法不能发现的变化趋势,但仅有很少的内部审计职能将其应用于整个审计过程。
(二)数据审计形式的类型
在中国移动通信集团的指导下,广东公司进一步明确数据审计的应用类型,认为可以分为三类表现形式,分别是数据监控、持续审计、大数据审计。
数据监控是基于联网采集系统数据,针对重点领域前瞻性的数据风险分析和预判进行督促整改,该形式主要用于得到审计线索,后续还需要通过实地核查等多种辅助方式确认存在的问题。数据监控本质上是一种审计分析的应用,业界一般认为,数据监控是运用数据挖掘、云计算等技术对海量数据进行深度审计分析,从而挖掘出审计疑点及问题线索,使数据分析更为精准和深入。中国移动解析“数据监控”是公司内部审计部门在建立财务、业务、管理等基础运营电子数据收集及存储常态化的基础上,开发数据监控分析程序,对数据进行转换、验证和分析,查找审计线索并定位问题,实现经常性审计监督和前瞻性风险预判的审计形式。
持续审计是基于公司经营分析系统及业务系统数据,针对已知风险,自动、持续地发现异常及违规情况,通过运行持续审计模型得到具体的审计发现,但审计发现的准确度和精确度受模型和数据影响。持续审计本质上是一种审计方法的创新,国际内部审计师协会将持续审计定义为“利用技术对交易事项执行自动化的监控测试和风险评估的方法,并实现审计方式从传统的周期性复核交易样本转而持续监测所有交易的转变”。中国移动定义持续审计为“公司内部审计部门针对已知风险及问题设计信息化审计程序,依托公司各信息系统的电子数据,自动、持续执行预设审计程序,获取审计证据,发现异常例外及违规情况并出具审计报告”。
大数据审计是基于联网采集各系统数据,探索远程审计模式,得到审计发现、审计线索和风险提示,支撑各项审计任务。中国移动以数据监控分析平台实现的功能为基本设想,围绕“带着线索去审计”的理念,提出大数据智慧审计构想:扩充整合各业务领域数据,丰富审计规则和算法,固化各类审计点模型,自动呈现“审计线索”;在审计中,根据审计任务灵活配置审计点,自动调度审计作业流程,远程生成初步“审计报告”,全面、高效、智能支撑审计工作的开展。
(三)数据审计是未来审计的发展趋势
利用数据优势开展审计,是目前探索研究的重点,数据审计必然是未来审计的发展趋势。
在信息化发展的新形势下,审计署2014年开启对中央企业联网和数据采集工作,率先在中国移动开展相关电子数据持续采集及跟踪检查分析,集团公司也提出“全面发展信息化审计,进一步提升审计效率和效果”的工作要求,并率先在广东公司开展数据审计的试点实践,广东公司不断完善数据审计基础建设及管理应用实践,努力成为集团标杆乃至行业标杆。
二、数据审计的前提与基础是信息化
加强企业运营管理信息化建设,打好内审信息化基础。企业信息化是实现内审信息化的基础,内审信息化建设时常受限于企业运营、管理信息化建设水平,因而在内审信息化建设的同时,应当大力推动企业信息化建设。例如,针对投资建设管理,应当建设投资建设管理系统,实现网络规划、投资计划、项目采购、工程建设、合同审计等一体化业务管理流程互通,对投资项目进行全生命周期系统管理。
做好内审信息化的中长期规划,循序渐进提升建设成效。内部审计信息化建设是一项长期工程,经过多个阶段开发、测试、优化才能达到既定需求,但应提前做好工作规划,根据重要、紧急程度安排开发建设,逐步投入使用。如未提前进行规划,根据需要不断独立开发建设,不仅容易造成资源浪费,而且不利于建设效能提升。可以按照三年规划、年度计划的方式,长短期结合,做好整体规划,进行逐步开发和优化。
提升審计人员的信息技术水平,推广内审信息化融合应用。应进一步提高审计人员的信息化技术水平,不断提升综合素质。在企业信息化程度逐渐提升的环境下,要求审计人员除掌握审计专业知识外,必须增加必要的计算机知识。在审计项目实施过程中,不局限于孤立审计各个功能要素,更要提升全局性和全面性,充分利用信息化手段,全面考虑各要素之间的关联性和相互作用,从而使审计评价具有整体性、系统性,更贴近项目审计目标。
三、广东移动创新型数据审计实践
(一)广东移动创新型数据审计管理体系建设
大数据具有大量化(Volume)、多样化(Variety)、快速化(Velocity)、价值密度低(Value)四个特征,做好数据审计,需要把握关键路径点。例如,了解信息系统运行特点,掌握数据结构和系统数据流向,关注数据信息安全;全面分析后台间数据结构,锁定重点信息资源;立足全局,突出重点,运用先进方法,深入开展数据监控;建设系统平台,研发审计模型,开展持续审计;培养综合型审计人才,组建高效审计团队。
广东移动从2012年开始初涉数据审计领域,试点研究持续审计模型,并对持续审计进行初步探索,已逐步丰富、完善应用场景,从以下七方面建立了数据审计管理体系。
1.搭建内部审计数据系统。广东移动信息化建设起步早,但由于前期建设缺乏长远规划,导致系统多、规则乱、系统间数据应用较为困难。2015年,公司启建PaaS平台,构建集资源、数据、服务、运维管理、安全等为一体的一站式大数据服务平台(见图1),从数据接入到应用发布全流程支撑,并满足多类用户(平台管理者、运维人员、开发者等)的平台使用需求。B/O/M三域数据经过统一采集和预处理后,在大数据PaaS平台进行统一存储和加工处理,并通过数据共享平台进行数据开放。基于公司PaaS平台搭建内审应用门户,主要依托运营数据基础,实现持续审计、数据监控、数据支撑和数据分析功能(见图2)。(1)持续审计。可迅速调用公司大数据中心数据接口,在内审数据平台运行持续审计模型,并兼具风险地图、结果输出、报告生成等功能,提高持续审计效率。(2)数据监控。根据经责审计、专项审计中频发风险布放监控模型,可自选审计周期,自动取数并输出问题线索,提升审计效能。(3)数据支撑。利用数据平台数据储备的优势,将原手工分析的内容布放在系统中,实现信息化统计分析。(4)数据分析。直接连接并应用大数据中心的数据库,通过目录树菜单选择或关键字搜索功能,迅速定位相应业务数据,实现所有业务系统查询及数据导出,同时实现对选取数据的在线分析,以图表方式显示并导出分析结果。
2.搭建审前大数据分析模型。经济责任审计覆盖面广、现场周期短、信息量大,通过专门用于审计项目数据提取及分析的服务器以及搭建市场、网络、综合领域的审前大数据分析模型,在项目未进点前就获取市场、网络、财务等重点数据,精准定位高风险事项,提炼审计重点,制定重点突出、针对性强的审计方案。
3.创新持续审计数据接入模式。利用持续审计平台优势,重新梳理数据逻辑,改变数据接入方式,从结果接入调整为源数据接入,增加逻辑更新的灵活性。目前已提出11项数据需求,其中9项数据已实现固定接口每月传送。
4.全量重要风险数据监控分析。制定数据监控和持续审计的中长期规划及年度计划。开展公司各专业领域信息系统电子数据的监控分析,对重要运营活动,以重要性原则、可实现原则、时效性原则为基础,建立运营活动数据监控评价模型,识别可开展工作的领域,输出可数据监控的领域清单和模型,并根据资源情况选取部分领域开展监控工作(见图3)。
5.首创高风险领域重要事项持续审计。广东移动不断研究持续审计模型,针对重要领域的风险点进行数据采集、挖掘、建模、验证,形成重要风险防控体系,每月进行数据入库及数据质量核查,加强持续审计整改力度,进一步提升持续审计对风险管控的作用。(1)有价卡管理违规持续审计。关注有价卡数据加载、销售、激活、充值、报废等全业务流程,对有价卡在BOSS和VC系统(充值中心)的状态信息进行全量核查和逻辑判断,识别违规有价卡。通过该持续审计模块,高效及时地定位有价卡运营风险,揭示资金损失及相关信誉风险。(2)终端套利持续审计。关注社会渠道终端异常销售和套利情况,对社会渠道销售的终端在销售当月及之后3个月的通信及使用行为进行核查分析,识别终端异常销售及套利终端。(3)养卡套利持续审计。关注自有渠道和社会渠道养卡情况,对新入网用户号码3个月内的业务订购、通信等行为进行全量核查分析,识别疑似养卡号码。(4)终端套利持续审计。通过对当月社会渠道销售的终端在销售当月及之后3个月的通信及使用行为进行核查分析,识别终端异常销售及套利情况,分析了解涉及的渠道、地市公司等信息。(5)员工异常业务操作持续审计。通过业务操作全量数据,比对赠送积分数量、积分值和对应的客户号码及工号,发现部分员工工号所做积分赠送和积分转移业务操作存在的异常情况。(6)客户欠费持续审计。通过对2013年1月以来个人和集团客户欠费数据进行全量核查,识别欠费账期超过6个月、累计欠费金额超过200元且审计时点正常在用的个人长期高额欠费情况,同时识别欠费账期超过18个月、累计欠费金额超过1万元的集团产品用户长期高额欠费情况。(7)合同管理持续审计。通过全量分析审计期间的合同清单,找出未按要求提交审批的异常合同情况及报账清单,发现异常情况。
6.构建多样化数据审计运行模式。持续审计研究的重点和关键是技术实现方法,通常采用的方法包括“嵌入式”和“分离式”。广东移动在数据审计发展历程中,使用过“嵌入式”方式,但随着系统间数据比对程度的增加,考虑到系统建设及修订的灵活性和独立性,在深入研究信息化程度、数据结构及重要风险领域的情况下,逐渐开始采用“分离式”方法,更加适应当前资源配置和业务变化。
7.全面规范数据审计管理应用。根据集团公司下发的《中国移动持续审计管理规范》,制定《广东移动持续审计管理规范》(见图4),规范持续审计工作流程和全生命周期管理,明确各部门各单位职责分工,建立数据资产管理及用户权限管理规范。为进一步提高公司利用信息化手段进行审计监督、评价和服务的能力,实现对公司关键高风险领域海量数据的核查与监督,制定了《中国移动通信集团广东有限公司持续审计工作指引(试行)》。
(二)广东移动创新型数据审计管理体系成果
1.内审信息化涵盖范围延伸:从审计信息化到审计管理信息化。广东移动通过实践探索认为,信息化审计不仅包括对信息系统进行审计以及利用信息化手段有针对性地开展审计,还应重点提高审计管理的信息化水平,包括建设审计信息化平台,实时跟踪项目进度和各阶段成果,全过程管控项目质量,只有这样,管理层才能及时了解单个项目开展情况并提供指导,统管全年审计项目开展整体情况并及时进行资源调配。通过审计管理信息化平台进一步加强审计信息共享和经验交流,高效能提升审计人员业务水平等。
2.内审信息化管理方式扩展:从专业化独立管理到全生命周期闭环管理。广东移动将内审信息化建设融入审计全生命周期闭环管理。例如,将持续审计与专项审计两端相连接,通过数据自动化审计模式识别出高风险点,纳入后续审计项目选题。同时,将专项审计中识别出来的可实现信息化审计的风险点纳入数据审计研究范围,通过数据审计全量持续监督,真正实现审计的闭环管理。数据审计较好地实现了审计成果和审计整改的高效运用,从根本上降低或消除了风险。
3.内审信息化应用模式整合:从多点分散应用到单点集中应用。内审信息化建设前期,内容可各自作为独立的模块进行设计和应用,但成熟之后,应将原本分散的应用重新整合,通过打通数据底层,聚合成新的应用,实现不同的业务需求。通过信息化平台,实现不同需求的统一平台展现和应用,既可以共用底层接口数据,又可以根据各自的需求实现不同的信息展示和功能应用,满足多样化的审计需求,进一步提升应用效能,促进内部审计价值增值。
(作者单位:中国移动通信集團广东有限公司,邮政编码:510623,电子邮箱:maoxin@gd.chinamobile.com)
主要参考文献
陈伟.计算机辅助审计原理及应用(第三版)[M].北京:清华大学出版社, 2016
王爱华.浅议审计信息化与审计组织方式[J].现代经济信息, 2016(9)
张爽.试论计算机审计的技术方法[J].财经界, 2015(18)
中国移动通信集团广东有限公司.基于全生命周期的持续审计闭环管理[J].中国内部审计, 2017(7)