易 扬

（中国人民银行南宁中心支行，广西 南宁 530028）

一、引言与文献综述

随着“宏观审慎+微观监管”两位一体管理框架的加快完善，外汇管理和服务面临的内外部风险日益增多。传统的以业务合规性为主要对象、以现场检查为主要方式的外汇内部审计难以完全覆盖外汇政策制定、执行等多方面的风险。一方面，在技术上，内部审计工作必须跟上信息化建设的趋势，更多地依托数字化监管系统实现非现场审计方式的运用。另一方面，在内部审计数字化转型的过程中，外汇审计人员要树立风险为本的新审计理念，强化审计的风险识别、风险评估、风险预警和风险处置能力，不断实现审计的政策价值增值。因此，深入研究内部审计大数据运用规律，在外汇内部审计流程再造中引入风险全程管控的制度设计就具有重要意义。

（一）关于提升内部审计大数据运用的研究

Wei et al.（2005）指出信息技术在审计领域的应用值得研究，应利用好数据处理方法和可视化数据处理在数字化审计中的应用。Carlin &Gallegos（2007）介绍IT审计的定义及其所涉及的系统集成的业务流程和数据采集，并指出引入IT审计从效率、有效性和经济角度所能带来的正面影响。王兵等（2013）认为在大数据背景下，内部审计人员可以大幅扩大样本容量，通过相关关系提升监控、预测等活动的精确度，利用强大的数据优势降低不确定性。秦荣生（2014）认为大数据对审计的影响主要体现在审计证据获取、审计成果应用、持续审计方式发展、总体审计模式改进等方面。李健和王春昕（2015）基于内部审计实务工作，认为大数据审计系统在提高业务开展的合规性、实现信息共享以及提供业务决策等方面能够有效实现企业风险防范和价值增值。张君儒等（2019）对大型银行内部审计实现数字化转型的方法和注意事项进行总结。毕德富等（2020）对非现场审计理念在外汇管理领域的实践路径进行分析。孟辉（2020）认为通过建立审计信息系统可以进行实时监督，改善事后审计带来的滞后性，高效配置审计资源。胡琳卿（2020）提出数字化管理下企业内部审计资源整合问题。王璐（2021）重点针对内部审计机械式纠错的问题提出改善数字化审计环境、推动连续审计模式和做好数据管理的建议。具体到外汇管理内部审计方面，曹茜娟和王大贤（2021）重点以区块链技术为突破口，对外汇管理内部审计区块链平台搭建提出设计思路。邵志高和秦秀峰（2018）对外汇管理领域信息化审计发展路径进行探讨。

（二）关于在内部审计中引入风险导向的研究

1996 年，国际内部审计师协会（1996）发布《内部审计的未来》，指出内部审计部门不能孤立内部审计，要更多关注风险的防范，并将应对风险的管理措施与内部审计充分结合起来。Sarmenta（2010）认为，内部审计与风险管理是整合关系，有助于企业集中信用风险、合规风险、财务风险等一系列风险，最后形成内部审计与风险管理互帮互助、共促发展的局面。Ander⁃son（2002）认为，内部审计要注重从以往的监督与评价职能向咨询职能转变，向客户提供更为专业的建议与培训，改善经营状况，提升控制风险的能力，帮助企业实现自身发展的目标。王晓霞（2005）对风险导向内部审计进行定义，明确风险导向内部审计是企业内部审计部门运用系统化、规范化的审计方法对企业相关业务风险进行识别、评估以及管理的一系列内部审计活动。刘新琳和周兵（2008）提出内部审计应该将风险评估放在重要位置，针对企业的剩余风险倾入更多的内部审计资源。李玲和陈任武（2006）认为风险导向内部审计总体应遵循“目标-风险-控制”的逻辑。马新彬（2015）建立风险导向内部审计的风险评估模式，通过“对象-模型-定级-计算”四个步骤来达到风险评估的目的。杜盼盼和任昊源（2021）分析互联网金融时代商业银行内部审计风险问题。具体到外汇管理内部审计方面，中国人民银行长春中心支行联合课题组（2021）分析外汇领域金融风险的主要表现形式，提出宏观和微观防范外汇领域风险的审计路径。杨瑾和逯宏强（2019）运用风险导向内控审计及其理论框架，探索构建外汇管理领域风险导向内控审计模型。

当前，国内外理论界对于内部审计从问题发现者到风险预警者以及策略提供者的角色定位转变已经有了日益清晰的共识，但是理论分析的角度大多基于大数据下的审计转型的技术细节，或者是基于强调内部审计过程中审计本身所面临的风险。本文的创新点在于，在明确必须通过数字化的技术转型克服传统内部审计局限性的基础上，以外汇内部审计为切入点，聚焦风险的识别和预警、弹性风险管理和人机协作来实现风险管控等要点，将风险为本的审计理念全面融入内部审计全过程中并进行流程再造，实现风险为本、数字化和审计三者的有机结合。

二、传统内部审计模式存在的主要风险

（一）审计方式受限导致审计目标难以完全实现

当前，国际金融市场动荡冲击着全球投资者对新兴市场的信心，全球贸易摩擦日益加剧，美国等发达经济体量化宽松政策的退出以及财税政策调整带来了全球政策的外溢性效应，给我国社会运行和经济发展带来重大的不确定性。对于包括外汇管理部门在内的管理部门而言，一方面，迅速扩大的外部风险冲击使得内部审计的重要性日益凸显。内部审计以其独有的客观事实确认和咨询服务功能，通过对被审计对象的具体业务、内部控制和风险管理进行审查和评估，得以让管理层及时掌握机构和部门的运行状况和工作成效。面对不断变化的外部环境以及为适应新形势而不断出台的外汇政策，原有的风险聚集，新的风险出现，内部审计需要对风险进行精准识别和评估，这对外汇审计工作质量提出了更高要求。另一方面，内部审计的基础架构和基本流程也受复杂多变的外部环境影响。传统上外汇内部审计人员更为依赖的是现场审计模式，以工作底稿等资料作为审计最基础、最关键材料。在新冠肺炎疫情发生之后，内部审计人员不得不暂停部分现场审计工作，转而依靠通过远程方式开展非现场工作来适应迅速扩大的内部审计工作需求。

（二）偏重合规的导向造成风险的预警和管控缺位

目前，外汇管理工作面临着履职风险、内部管理风险和政策法规风险。在外汇风险管理过程中一定程度还存在着内部控制机制与业务政策目标不相匹配的现象，进而导致几方面问题：一方面内部控制管理成熟度较低。部分内部审计人员难以跟上不断发展调整的内部审计工作职责，内部控制文化氛围还不浓厚，内部审计效能尚不明显。审计人员的专业性也经常受到挑战，审计的执行和沟通成本较高。简而言之，在很大程度上，外汇审计部门和被审计对象在完善的内部控制管理能降低行政风险和促进履职效能的提升这一点上未完全达成共识。另一方面，内部审计存在重合规而轻风险的导向。外汇管理内部审计工作通常为事后审计，重心以提供合规性确认为主，主要审查的对象是内部控制有效性、真实性和完整性。内部审计对于风险的评估和管理手段不多，对于突发的内外部风险带来的冲击，在机制上就难以及时应对。外汇审计参与外汇政策决策的程度不深，对外汇政策出台的理论支持、现实背景、政策导向、难点问题等难以全面把握，不但难以提前识别潜在的外汇管理风险，而且缺乏评估与应对风险、实现事前风险预警、及时风险管控的有效体系。

（三）信息化孤岛导致难以获得高质量和及时的风险数据

一是部分外汇管理部门更重视审计实体项目的推进度和完成度，在人力、物力、财力等资源紧张的约束下，对于进一步加大投入，探索内部审计的流程再造，实现数字化技术在内部审计中的充分运用还存在疑虑，专项用于内部审计数字化的投入支持力度还有进一步提升的空间。二是由于外汇管理各业务部门使用的信息系统并不完全一致，不同系统之间的字段设置不同导致数据可能存在统计口径差异，审计难以进行匹配和分析。不同外汇管理业务系统之间由于使用权限的限制，或者没有预留审计线索查询功能，缺乏数据提取、加工的功能模块，导致审计难以及时获得相关信息。外汇审计的专用系统不多，部分功能与实际需求存在差距，使用便利度有待进一步提升。三是系统所布设的位置存在内外网的物理隔离、自主开发的分析模块缺乏总体规划导致采用的计算机语言各不相同等因素，导致业务系统条块分割和数据的碎片化。四是业务部门非现场办公业务量上升，这对外汇业务办理的规范性、网络信息的安全性、依法行政的合规性以及财务会计制度等方面直接或间接地产生更多风险隐患。加之非现场办公导致业务系统使用频率、内容等与之前产生较大差别，对内控管理部门获得高质量和及时的风险数据带来巨大挑战。

（四）审计时效与标准不一导致审计质量控制风险

一是在内部审计机制上，外汇管理系统总体采取的是在规定的审计周期内“下查一级”和同级审计相结合的模式，偏重于做到审计的全面覆盖，而对某一项外汇管理工作的专项审计还在初步探索阶段，项目开展不多，专业人才储备不够，这在审计规划的源头上就存在着重点不足、资源分散的问题，从而导致内部审计效果不够。二是在内部审计的时效上，一个审计周期从立项到形成审计报告，往往长达数月乃至更长。直至最后确认被审计对象完成整改，真正建立起长效机制，这样的政策反馈弧带来的滞后效应日益明显，往往还会造成屡查屡犯的情况发生，极大影响审计质量。三是在内部审计方式上，目前还是主要依靠人工，审计人员不仅需要花费大量时间审阅文档，还需要凭借个人积累的业务知识从海量业务中识别关键信息，查找与制度相违背的问题及存在的风险。这一过程很大程度上是重复性基础劳动的过程，审计人员投入大量精力，影响审计效率。另外，审计人员个人的专业素养差异导致业务判断能力差异，更进一步造成审计标准不一、审计结果存在差异以及审计质量难以把控的局面。可能的因素在于：一方面，审计工作往往费时费力，大量不可预测因素容易增加额外的工作成本，成本控制和审计质量不稳定；另一方面，内部审计人员容易陷入程序性、琐碎性的工作，审计人员的正向激励机制不足，影响审计质量。

（五）对创新业务掌握不足造成审计覆盖不全面

当前外汇领域的改革创新层出不穷，如何通过审计对政策出台的合理性进行评估，如何科学地测量外汇政策的落实效果，这是外汇内部审计亟待破解的难题之一。实行更高水平的贸易投资自由化便利化政策、开展外汇Fintech监管、运用区块链技术开展融资便利化等，众多金融创新业务不断冲击财务会计处理方式，引发对会计确认和计量等新问题。传统内部审计手段在新技术领域的运用捉襟见肘。

三、数字化技术导向下的外汇管理内部审计工作赋能

（一）数字化技术管理能更好地实现外汇审计目标

外汇管理内部审计面临对风险进行精准识别以及不断降低内部审计的沟通成本等重大挑战。通过外汇内部审计数字化转型，为“数字外管”建设补上重要的一环，至少能够实现以下审计目标：一是优化风险评估流程，合理分配审计资源，大幅度压缩内部审计时间，减少对业务部门日常工作的影响，对于审计发现风险实现精准识别。二是有助于审计团队与被审计对象之间建立相互信任的关系，促进彼此的交流与沟通，提供跨部门的信息共享和评估平台，提升审计数据获取的便捷性。三是提供了应对突发情况实现非现场办公的可能性。四是实现审计精细化管理，对审计过程实行全程留痕，便于明确审计责任。

（二）数字化技术能更好地规避外汇审计风险

国际内部审计师协会（IIA）对内部审计师掌握关键的信息技术以及运用好技术型审计方法提出明确要求。在数字化内部审计过程中，一是从审计的敏捷性和连续性看，审计人员能够通过系统实现端口前移，根据工作需要随时能够在日常数据中筛查出可疑数据并进行实时和持续监控，进行精准研判和证据锁定，切实解决业务活动和审计工作一直存在的时间差问题，从而使内部审计能够在迅速发展的业务环境中实时、有效地量化风险，并为关键的组织风险和优先事项执行相应的保证工作，提高审计质量。二是从审计的精准性看，可以将散落在不同系统中的数据进行对比，发现不同系统之间同类数据可能存在的差异，从而发现审计线索。三是从审计的合规性看，可以衡量内部审计活动是否遵循内部审计准则，审计人员是否符合职业操守，审计证据是否合规、可靠和充分，审计组织开展的效率和审计最终取得的效果是否能够实现既定目标，通过内部审计活动是否促进操作规程的优化和发现风险的整改等。四是从审计的覆盖面看，运用好数字化技术，内部审计能够对业务开展的每一个环节进行全跟踪，对全量数据进行广域审计，减少传统抽样调查“随机碰撞”所带来的偏差，最终提升内部审计的质量控制。

（三）内部审计数字化转型提升外汇审计人员能力素质

国际内部审计师协会（IIA）对内部审计人员按照数字化能力水平进行区分：应用型内部审计人员在审核中应用数据分析和IT 技术；专家型内部审计人员则要能够开展数据评估。数字化转型的内部审计人员的能力素质在以下几个方面实现提升：一是风险为本的能力。外汇审计部门和人员不再是业务完成之后的跟随者，而是在业务开展之前和事中就具备发现风险和评估风险的能力。二是全面把控的能力。内部审计数字化转型后，外汇审计人员站在全局角度去发现问题，不再是拘泥于某一个环节和流程，从而可以把某些现象与风险、控制、管理等关联起来进行对比分析。三是逻辑思维的能力。通过数字化转型，外汇内部审计人员掌握大量的被审计对象基本资料和审计工作底稿，通过大数据的比对和分析，审计人员能够从历史积累的海量审计数据中找到同类问题背后隐藏的联系和规律，这些都能为外汇管理部门的内部管理和控制的需要服务。

四、外汇内部审计向数字化转型的推进方向

（一）开展数字化转型的最大目标是解放审计生产力

从内部审计的日常需要出发，实现外汇内部审计的数字化，首先，最基本的要求就是将审计人员从重复劳动中解放出来，能够通过系统集成和完成基础性工作。通过建立标准化的数字审计工作流程，实现事前审计方案制定及非现场准备、事中审计实施、事后出具审计报告、开展整改跟踪以及审计资料保存等环节信息化管理，从而使得内部审计人员有更多时间发现和研判内部审计规律。其次，在内部审计程序性工作实现自动化的基础上，要对内部审计的组织规划实现数字化。例如外汇年度审计工作目标的制定、审计资源的分配、审计风险的评估以及审计组织协调等。只有这些内部审计的核心要素实现数字化和智能化，才能真正达到利用新技术提升内部审计质量和价值的目的。三是加快数据的归集，打通数据比对的通道。要充分运用好外汇管理局数字外管平台。外汇管理局归集了包括银行等金融机构上报外汇交易及国际收支结售汇数据，各条线上报汇集的行政执法、非现场检查等管理履职的数据以及与其他经济管理部门交流共享的数据，这些海量数据为内部审计的开展提供了直接和间接的依据，不同数据之间的比对和对碰，可以相互印证，提升内部审计的准确性和针对性。在外汇各个业务系统中制定统一的标准，开展数据的全口径采集，实现不同数据按照通用格式进行转换，为审计提供更为人性化的资料展示。设置适用于跨系统的统一审计账户，方便审计人员全面监测工作流程，及时找出潜在风险点。

（二）内部审计数字化转型要更为注重外汇弹性风险管理

在传统的风险管理机制下，基于风险要素或环境变化的识别、评估和应对的结构体系，其基本逻辑自洽在于认为环境的变化是可以被识别和进行评估的。但随着风险管理的发展，管理者日益意识到这一逻辑的前提受到自身认知的制约而往往难以达到。从传统的刚性风险管理向弹性风险管理转变，增强组织应对环境变化且能够保持良好的工作效果的弹性风险管理往往更容易实现。因此，在外汇内部审计数字化转型过程中，一是要通过评估外汇管理部门开展工作的实际能力与确定的政策目标之间的差距，来判定管理风险的大小和严重程度；二是要通过外汇数字化审计来发现跨境资金流动、异常违规交易等重点外汇业务的管理流程、政策效果及管控中存在的风险隐患，开展综合比对分析，促进外汇部门管理能力的提升；三是要通过外汇内部审计的数字化转型，来区分和研判外汇管理部门的工作合规能力和开拓创新能力，从而全面掌握对该部门的风险管理弹性。弹性风险管理强调的是从外汇内部审计促进外汇管理部门自身能力的提升，这一推动力更多的是“从内到外”的视角，将弹性风险因素与日常风险管理相结合，加强环境、社会和治理风险应对，提高识别新型微观风险的能力，增强外汇管理部门的抗风险强度。

（三）提高外汇风险管理的整体成熟度

一是通过构建外汇业务部门和内部审计部门共享的数据模型，统筹实施整体化的风险评估问题管理、应对处置的关键风险指标框架，整合外汇风险管理流程和措施。二是技术上运用共享云技术，从而支持新时期内部审计的多场景工作环境。三是完善学习机制。内部审计数字化系统应支持新功能的添加和改进，提供智能学习功能，使内部审计新进入的人员能通过系统学习培训受益，缩短外汇内部审计学习培训的时间。四是简化内部审计数据的收集过程，提升审计材料获取的便捷性，从而得以让审计部门及时更新审计数据库。五是充分发挥区块链技术的优势，利用好分布式账本、去中心化、时间戳的安全性和不可更改性的特点，运用好区块链算法和智能合约的可编程性，加大外汇审计的自动化水平。

五、强调风险为本的外汇内部审计数字化转型的思路

当前，外汇管理部门作为经济金融领域重要的管理部门，正在完善外汇市场“宏观审慎+微观监管”两位一体管理框架。在对传统内部审计存在的危机进行审视后，外汇管理部门在充分考虑外汇政策目标落实过程中可能出现的风险的基础上，以新兴科技辅助进一步提升审计和网络审计推广成效为导向，重点关注业务流程、政策落地以及重要领域和环节的风险事项，推动内部审计工作数字化技术在外汇管理相关部门落地生根，形成“风险为本”的审计新文化和新目标。

（一）聚焦风险的识别和管控，开展外汇审计数字化转型

一是搭建外汇审计统一的数字化平台。改变审计人员在不同外汇业务系统之间转换的现状，建立基于风险防控的外汇内部审计数字化平台建设。不断提升系统兼容性，将各个业务条线的系统集成在审计平台下，统一数字化接入端口，并根据审计确定的数据项目和审计指标进行取数，实现数据的采集、转换和更新。二是开展顶层设计，构建覆盖全面的外汇内审监督体系。加大外汇审计部门与业务条线部门的工作互动，增加外汇内控管理委员会在外汇政策制定和执行过程中的参与度，让外汇审计工作更加融入外汇管理的中心工作。注重研究审计数字化的国际发展趋势，及时进行更新审计理念，重构外汇审计的制度要求、工作指引和考核评价体系。重视审计工作专业化发展的要求，配足相关专业人员。三是更加注重外汇内部审计重点领域的监督管理。外汇管理部门在履职过程中应注重业务的基础规范，同时推进内审范围全覆盖，尤其要确保实现对涉及权、钱、物等重点领域的审计监督。系统梳理近年来外汇管理领域审计发现的业务操作违规、行政执法不力等典型案例，总结风险频发的重要环节，深入剖析风险发生的缘由和渠道。四是建立外汇管理风险识别和评估体系，有针对性地设定风险监测指标，利用数字风险管理技术，建立健全外汇风险识别和评估体系。按照审计对象的合规能力和开拓能力进行区分：在合规能力方面，设立涵盖外汇综合、国际收支统计、经常项目、资本项目、外汇监管、外汇科技等全方面的审计项目，对每一个项目进行合规性指标分解，并根据指标对外汇管理的重要程度以及容易发生问题的可能性进行风险权重赋值。在开拓能力审计方面，要全面衡量外汇试点工作以及本地自行出台的防风险、促便利的外汇政策的推进情况。通过两者的结合，既要发挥内部审计确保合规、守住底线的作用，更要发挥内部审计促进外汇业务开拓创新、打通政策落地的“最后一公里”的作用。五是要通过审计构建风险评估模型，实现审计排查风险的可量化，改变主要依靠事后审计的方式，实现事前预警潜在风险并及时堵塞漏洞的目的，将外汇管理内审工作由事后审计向事前防范风险、事后查错纠弊相结合转变。五是建立审计结果和常见风险的案例库。通过数字化内部审计系统的建立，及时将各类审计成果和查找的风险进行梳理和归档，通过历次审计资料的积累，实现审计资源、审计经验的共享，促进全国外汇审计能力的提升。

（二）加大计算机辅助审计和网络审计应用，拓展外汇审计中的人机协作

一是在外汇管理各业务系统中增加符合其业务需求特点的非现场审计分析模块，同时将这些模块嵌入内控风险测评系统，一方面便于各项目业务人员定期进行自我核查，另一方面便于内控监督人员远程动态跟踪审计整改结果，切实有效提升外汇内控监督检查工作水平。二是拓展外汇管理内部审计应用的技术和场景。建立覆盖面广、挖掘深度高的综合分析应用场景。协调外汇管理各业务部门以风险组为单位纳入模型统计，模型实时记录各风险组的数据访问、编辑和更新情况，如行政许可办理情况、非现场和检查核查情况等，从而及时把握业务办理动向、遏制行政风险隐患。三是运用云计算资源，提升内审场景应用时效性和实用性。根据特定审计场景，结合业务要求及政策变化，及时更新智能技术标准和知识体系，配置适用的软硬件设施，推动内部审计工作适应业务发展和政策变化。四是充分发挥大数据、区块链、Python、爬虫等数据抓取和分析工具，采用应用类聚、关联分析等方法，精准嵌入审计查询条件，对采集到的大量业务数据自动开展筛查，快速发现重点审计线索。五是探索引入人工智能外汇审计的工作模式。规范人工智能审计工作流程和管理机制。根据人工智能审计场景及运算程序，明确人工智能审计工作流程，并对人工智能审计工作进行风险管控和合规性监控。六是做好审计数据安全防控。高度关注专用网络与公用网络之间的防火墙和物理隔离设置，运用好包括认证中心和数字证书在内的PKI 技术和入侵检测技术，做好核心审计资料的数据加密，避免审计工作过程中发生泄密事件，强化网络安全。针对内部审计人员的不同岗位职责按照最小授权原则严格设置访问权限，做好审计资料的双备份，防止出现审计数据的丢失。

（三）建立高效的内部审计信息交流机制，提升审计价值

一是保持外汇审计部门与业务部门的工作统筹，通过经常性的工作会商机制，确保能够充分理解内审作为第三道防线对承担第一道防线、第二道防线职责的要求，反复向其说明项目实施对加强组织建设的重大意义以及具体困难，取得其支持与理解，更好实现内部审计对外汇管理部门各项业务的监督。二是加大外汇审计队伍复合型人才的培训。改变目前审计人员专业背景来源单一的现状，加大岗位交流，在源头上重视有科技背景的审计人员选配的力度。要不断加强专业培训，构建外汇管理部门审计岗位职业教育体系，进一步加大对现有审计人员复合能力的培养，通过科技技能的培训，切实转变传统的审计观念，扩展审计视野，培养贯通智能化应用与外汇业务的复合型人才。在人工智能高效审计中融入外汇管理人员的专业判断，培养协同工作能力，提高审计作业效率和成效质量。三是优化内部审计人员的激励机制。在数字化转型的新形势下为激发审计人员的潜能，建立起一套适当的激励、竞争管理制度，调动审计人员发挥最大潜能。四是风险管理的外汇内审整改闭环。重点衡量被审计对象是否找准风险传递的根源，是否制定详细可行的整改方案，是否进行制度和操作的实质性修正以及是否举一反三杜绝屡查屡犯的可能。外汇审计部门要加强与被审计对象的审计后沟通，必要时开展审计效果“回头看”，最终完成风险的全环节管控。五是注重审计成果的运用转换。内部审计要注重从审计数据和审计报告中揭示背后隐藏的风险点，强化审计对业务流程、监督机制和政策效果的提升和改善，向管理层提供合理化建议，内部审计要逐步实现从单一监督者角色向政策智囊角色的转变。