王瑶瑶　刘国城　庞艳红

[摘要]数字化经济的到来和大数据分析技术的成熟促使企业内审模式做出变革。本文探析了在数据化驱动下企业如何基于DMAIC模型，建立风险模型和审计发现问题整改模型，提高内部审计质效，以更好地反哺企业发展。

[关键词]内部审计模式   变革   大数据   价值增值

本文系国家社会科学基金项目“大数据审计技术体系的构建与运行研究”（项目编号：19BJY035）

内部审计是三大审计的重要组成部分，是企业查漏补缺、防范风险的最后一道防线。整体而言，过激的内部审计容易限制业务发展，而松散的内部审计又形同虚设，把握好内部审计的度非常重要。内部审计作为企业的职能部门，职责不仅仅是查出问题所在，其最终价值的实现体现在问题整改、业务促进、增加价值上。对企业内部审计而言，其工作要领可简单概括为“全覆盖审计”“抓大放小”“复盘整改”等方面，但就目前情况而言，在上述方面都有欠缺。企业内部审计人员对业务的全面性了解不够，在确定风险问题时犹如管中窥豹，难以做到全覆盖审计;很难把握各类风险问题的严重性程度，难以抓大放小。此外，很多企业都不同程度地存在着问题整改不到位的情况，屡审屡犯、屡犯屡审现象频发，内部审计的质效不高。笔者认为，在企业内部审计资源有限和大数据环境下，唯有变革审计技术和方式，才能有效破解上述难题。

一、企业内部审计中大数据技术运用文献回顾

随着数字化经济的到来，各行各业都在提高自身的信息化水平，这为大数据在企业内部审计中的运用奠定了基础。鉴于银行业务“流水量”大，最初学者偏向于研究大数据技术在银行内部审计中的运用。颜元柳（2016）认为大数据技术在银行数据的采集、分析、核查方面能发挥较大的作用，应将商业银行的大数据分析平台分为审计数据、应用和管理三大模块。单琳琳（2016）以应用计算机辅助审计技术（CAATs）在国库会计数据集中系统（TCBS）的成功试验为例，进一步论证了银行业中大数据技术运用的可实践性。大数据审计最初运用于国家审计，金融类国有企业作为该审计的对象之一，冯新卫、闫丽云、金彧昉（2018）在分析中国工商银行上海分行等国企内部审计机制时发现其已运用大数据审计技术，在此情况下，当“上审下”时，国家审计也必须采用大数据审计以实现穿行测试。随着大数据审计概念的不断推广，其他行业对大数据审计的青睐也逐渐明朗。段凤霞（2019）提出了大数据技术在高校内部审计工作中的运用是一大发展趋势，并将大大提高内部审计效率。

在以往的研究中，对企业内部审计中大数据技术的普及研究较少，且多是围绕金融、高校等行业和单位展开。近年来，随着越来越多的民营企业关注企业内部信息化建设，其内部审计中大数据技术运用的研究也不断丰富。刘青松、张小有（2019）研究了如何将大数据运用到企业内部审计中去，以提高内部审计效率。谌灿霞、宋晓睿（2019）着重研究了内部审计中的财务审计模块该如何运用大数据技术。同时，也有学者就大数据技术本身的固有优势进行研究。秦刚（2019）分析了数据挖掘技术在内部审计工作数据采集中的作用。大数据技术在企业内部审计中的运用也为企业输送了很多业务异常线索，提高了对舞弊违规的查处率。李世辉、杨丽、曾辉祥（2019）采用实证法研究了大数据审计下企业监察能力对企业规范运营的作用情况。

综上所述，虽然对大数据技术在企业中的运用研究不断丰富，但多是围绕大数据技术本身在数据采集、分析方面的优势展开，对如何利用大数据创新内部审计模式，克服企业内部审计固有缺陷，以及实际运用大数据技术存在的问题分析却有所缺失，有待扩充及丰富。

二、DMAIC模型在审计风险建模中的运用

在数据化驱动下，内部审计模式的变革是必然趋势，而变革必然带来风险。然而，目前很多企业对已有风险都未能有效防控，这主要是因为风险的变异性和已有风险模型的不精准性。为让大数据审计将内部审计人员从更多的重复劳动中解放出来，提高其工作质效，在使用大數据审计模式时，须引进一种新的建模方式，把握业务风险的动态变化以保证风险假设的有效性，不断精准化风险指标以实现对风险的监控。

（一）风险建模中DMAIC模型的适用性

DMAIC是六西格玛管理中流程改善的工具，而六西格玛管理的出现是为了将业务流程中的问题放大观察，以实现对业务流程更为精细化的管理。就企业管理方面而言，风险建模也是为了将业务风险细化为某些指标风险，这与六西格玛管理理念具有一定的相似。再者，DMAIC模型从定义到控制，能将抽象的理念变得量化，从而能实现大数据分析，这与数据驱动下风险建模的智能化监控目标和实现路径是相符的。此外，业务风险的动态变化，使得跟踪审计过程中对原有风险模型的动态分析和调整改进成为一个循环向前的过程，而DMAIC模型的分析、改进环节也体现了循序渐进、不断完善的理念。可见，在企业内部审计风险建模中，从风险建模的理念、智能化监控需求、模型动态更新三个维度来说，DMAIC模型非常契合。

（二）风险建模中DMAIC模型的具化

那么，在风险建模中如何具体使用DMAIC模型呢？DMAIC模型主要包括五大流程：定义（Define）、测量（Measure）、分析（Analyze）、改进（Improve）、控制（Control）。如图1所示，风险建模工作相对于DMAIC模型而言，其主要工作流程包括了风险假设、风险指标设计、风险指标分析、风险指标优化、指标智能化监控这五大步骤，可以分别对应D、M、A、I、C五个方面。

在定义（D）阶段，风险建模需明确风险假设问题，风险假设的形成可以是数据分析初探而来，也可以是业务分析所得，抑或是第三方举报形成。在该环节，内部审计人员应对风险问题进行定义，在此基础上考虑建立相关风险指标。风险假设的精细化，会直接影响风险指标设计的精准性，较为粗泛的风险假设往往需要结合多项指标进行综合分析，在缺乏历史问题经验的情况下，往往会造成指标异常范围较广，从而导致审计工作量的加大。因此，在测量（M）阶段，所选择的风险测量指标不仅需具有可测量性，更应该具备精准化，即能较为精准地探测出问题所在。当然，指标的精准化是一个循序渐进的过程，在设计风险测量指标后，需对指标进行进一步分析，即进入分析（A）阶段，在该阶段可以通过大数据分析，进行指标有效性的论证，对于超出阈值的指标所对应的业务项目进行深入核查，以探究导致指标异常的具体业务场景，从而从进一步核查的业务项目数量和深入核查的场景合理性两个维度去最终评估风险指标的有效性。对于低效或者无效的指标进行改进（I），具体改进方式可以采用更改指标、变化阈值、增设辅助判断指标等。在风险建模初步完成后，需进行风险指标的定期监控（C），从而对风险进行持续跟踪审计，直至该风险消失、风险指标失效。当指标监控工作失效时，内部审计人员应进一步考虑之前所假设的风险是否已发生变化，并进行新风险探索和挖掘。

三、DMAIC模型在审计发现问题整改中的运用

在很多企业，内部审计的组织架构已经健全，但内部审计的价值增值效应一直无法发挥或发挥得非常有限，这主要是因为很多企业都忽视对审计发现问题的整改。对于企业内部审计而言，其工作重心是否仅仅只是业务流程问题、管理问题的发现呢？答案是否定的，问题查处后如何促进整改才是实现其价值的路径和目标。

（一）整改中DMAIC模型的适用性

六西格玛管理最早由摩托罗拉公司提出，主要是为了降本增效，提高企业的管理效率。将低效问题放大化，将业务流程问题阈值最小化，从而做到业务流程问题的完美优化。审计发现问题整改也是如此，对于企业而言，问题或许是因流程制度存在缺陷所致，或许是因自动化控制存在纰漏所致，还可能是因执行人员存在疏漏或其他问题所致。企业须放大审计发现问题，“小题大作”，从而更为深入地审查问题本身及对相关问题进行剖析和应对，以最终从流程、执行等层面进行根本性的整改和解决。综上可知，从六西格玛的管理目标和管理方法来看，对企业审计发现问题整改无疑是适用的。而DMAIC模型作为六西格玛管理的实现工具，在此方面同样可以发挥作用。

（二）整改中DMAIC模型的具化

所谓的问题整改，首先应明确问题，并从多个维度进行表述，然后对其进行定义（D）。只有清楚问题的症结所在，才能进一步确定评估指标，进行当前问题严重程度的测量（M）。当然，此处的评估指标可以沿用风险建模中的核心指标，或针对查处的问题进行指标的进一步细化，从而形成评估指标群，通过对问题发现前后的相关指标数据进行搜集和对相关人员的访谈、观察、问卷调查等，对评估指标进行定期测量，统计分析其变化情况。针对各项评估指标的动态变化，内部审计人员需进一步协同业务人员分析（A）评估指标变动的原因，指标的好转是内部审计的威慑力带来的暂时性效应还是整改方案的作用发挥，指标的恶化是因为整改方案过于激进还是评估指标本身存在问题。针对问题分析结果，内部审计需推进整改方案优化，即进入改进（I）阶段。就优化方案本身而言，这是一项较为复杂的工作，在整个整改过程中起承上启下的作用，既是对上一阶段整改的总结，也是对下一阶段整改的规划。因此，在这一环节，内部审计人员须协同问题涉及部门，推进确立下一阶段的整改方案。对新方案的实施要进行持续跟踪，以控制（C）其按预期执行。当新方案执行失控时，需进一步明确问题所在，是组织协调问题还是方案本身的可执行性问题等。整体而言，审计发现问题整改中，DMAIC模型是一个循环往复的存在，在一次次的方案落地执行、问题原因分析和方案优化过程中，不断地将审计发现问题具化，使相应管理精细化。详细流程如图2所示。

四、大数据背景下内部审计模式变革的基础

（一）提高内审工作数据化驱动理念

在内部审计模式变革中，首先，企业管理层应从理念上认可大数据审计，明确智能化风控是企业内部审计发展的方向。其次，内部审计人员应提升大数据审计意识，自主掌握相关大数据分析技巧，如SQL分析、Python分析等。虽然专业多元化后的内部审计团队中会具备计算机专业相关人才，但在风险建模及业务整改过程中，项目组内的内部审计人员都应具备指标数据的简单大数据分析能力，以此提高整个项目组的运作效率。最后，让企业员工从认知上接受数据化驱动的内部审计模式。大数据内部审计虽属内部审计层面的变革，但往往牵一发动全身，难免会遭到相关部门员工的抵触，因此从认知上转变员工对大数据的看法，增强其在行动上的认可与配合相当重要。

（二）加強数据化基础设施建设

大数据审计的推广，必然使越来越多的企业内部审计团队认识到基于数据化驱动的内部审计工作模式的优势，但并非所有的企业都可以立即投入运用，这主要是因为其数据化基础设施建设的缺失和不完善。因此，首先，企业应加强数据化基础设施建设，打通ERP系统、SAP等系统间的数据共享，完善大数据表的建设，为大数据审计奠定良好的数据基础。其次，在数据即财富资源的时代，大数据表权限的管理应相应完善，防止因数据外泄给公司造成不必要的损失。最后，在大数据审计过程中，内部审计人员应具备数据保密意识，在数据权限的开设、数据表的传发等方面均应建立相关操作守则，以守住数据安全的最后一道门。

（三）重视智能化监控工作的精细化

大数据在内部审计中运用时，若风险指标较为宽泛，导致指标变化的影响因素往往会较多。在这种情况下，即使通过大数据对风险异常指标进行了分析，也会发现指标的异常数据太多，无法精准辨别哪些数据背后真正存在问题，从而导致大数据审计目标无法实现。因此，企业内部审计在采用大数据分析时，应重视智能化监控工作的精细化。首先，需从风险建模中风险指标设计的精细化开始，结合业务实质及数据初探尽量设计细小指标，并在指标反复检验过程中适当增加辅助指标以剔除无效的问题数据。其次，内部审计人员应重视风险变异的精细化管理，在对成熟风险模型进行封装后，若企业内部相关风险进行变异，应进一步构建升级版变异风险模型，以实现风险的持续跟踪。最后，为实现企业风险的全覆盖审计，在智能化监控工作过程中，应对风险的重要性进行分级管理，对于不同级别的风险，设定不同频率的复核工作机制。

（作者单位：宁波财经学院 南京审计大学，邮政编码：315100，电子邮箱：747841328@qq.com）

主要参考文献

段凤霞.新时代风险导向下高校内审工作的思考[J].会计之友， 2019（3）：136-138

李世辉，杨丽，曾辉祥.内部审计经理监察能力与企业违规：来自我国中小板上市企业的经验证据[J].会计研究， 2019（8）：79-87

刘青松，张小有.大数据与企业内部审计融合发展探析[J].企业经济， 2019（12）：61-67

潘春花，谢光安.大数据环境下内部审计的困境与对策研究：以行政事业单位为例[J].湖南社会科学， 2019（4）：123-126

颜元柳.大数据对银行内审的影响[J].中国金融， 2016（19）：90