大数据审计在Z公司内部审计中的应用与探讨
2022-03-21张艳周永钊
张艳 周永钊
[摘要]本文以大数据审计在Z公司内部审计中的应用为例,对大数据审计在审计实践场景中的具体应用及可能引发的问题进行了探讨,以期推动大数据审计在我国审计实践应用中的落地。
[关键词]大数据审计 審计应用 问题与建议
本文系国家社科基金项目“基于环境审计的企业环境管理决策模式研究”(项目编号:18BGL086)
随着大数据、区块链、人工智能、云计算、物联网等信息技术的应用与普及,社会经济的数字化转型加速,大数据审计成为传统审计的升级模式和审计发展的必然方向,同时又对传统审计模式和审计人员能力形成了巨大冲击。目前无论从理论基础还是实务应用上,大数据审计仍然处于起步阶段,如何应用于审计实践仍然是学术界和实务界亟需探讨的问题。本文以Z公司内部审计为例,对大数据审计实践应用问题进行探讨。
一、大数据审计在Z公司内部审计中的具体应用
大数据审计是审计人员基于数字思维与大数据技术,利用大数据资源对审计客体经济活动的真实性、合法性与效益性进行的监督、评价和建议活动。业务、数据、技术的“三融合”使大数据审计形成了区别于传统审计的特征,内部审计原有的工作基础已经难以满足审计发展的需求,数据量的急剧膨胀以及技术的快速发展极大改变了对审计基础设施、审计组织结构、审计业务流程各方面的要求。Z公司着重从以下几个方面对内部审计的工作基础和业务模式进行了重构和革新,以适应大数据审计的应用。
(一)搭建大数据审计基础设施
Z公司大数据审计基础设施的搭建包括数据采集系统、数据存储系统、数据应用系统和数据管理系统四个方面(如图1所示):
1.数据采集系统。公司近几年在数字化战略引导下以SAP为基础集成了包括产品全生命周期管理(PLM)、制造执行系统(MES)、供应链管理系统(SCM)以及客户信息管理系统(CRM)在内的一体化的数字化云技术平台,成为大数据审计信息共享平台。该平台旨在统一企业内部各业务和职能部门数据接口,打通“数据壁垒”,实现数据流通共享,高效采集各种结构化数据、半结构化数据与非结构化数据,以保证审计对象审计数据的可得性。
2.数据存储系统。它包括原始数据库、还原数据库和标准数据库。其中,原始数据库用于承载原始数据,用以存储各种来源和格式不一、复杂程度不同的原始数据;还原数据库用于承载还原数据,避免因数据量超出承载范围而引起数据丢失;标准数据库用于承载标准化数据,在厘清数据的底层逻辑基础上,将原始数据库中的数据转化为类型和格式统一的标准化数据,以利于数据的高效传输与计算。“三库”基础上建立的数据存储系统能够有效实现数据资源的集中、分级、分类存储,在很大程度上提高了后续审计数据的提取效率。
3.数据应用系统。一是搜索系统,审计人员可以利用该搜索系统搜查到数据的直接来源,精确定位问题对象,易于操作、方便快捷,数据使用技术门槛低,有效调动了审计人员使用数据系统的主动性;二是分析系统,可自动解构数据库中的各类数据,分析数据与数据之间的逻辑关联,挖掘出隐藏在数据内部之间的规律,并通过大数据建模、可视化、多源数据综合分析等技术手段发现与审计对象关联的行为对象(弱行为或强行为),定位疑点所在,提取审计人员工作中所关注的信息;三是结果运用系统,对数据可疑点进行汇总处理,分散审计取证,验证数据逻辑,并形成相应的审计报告与经验知识。
4.数据管理系统。它能够有效解决大数据审计面临的三大问题:一是数据质量问题,对各类数据库中的数据进行及时更新,提高数据产出效率,保障数据的时效性;二是数据安全隐患,设置数据使用权限与存储控制,进入数据系统时需要身份验证,审计人员只能在相应的权限内对系统进行访问和使用,当虚假登录与恶意攻击行为发生时,能够发出风险警告,有效防止数据泄露、篡改或销毁,确保数据的安全性、真实性和可靠性;三是系统运维成本问题,通过标准化模型和指标建设,打通技术元数据、业务元数据,减少数据系统重复性建设,有效降低数据系统运维成本。
(二)变革内部审计组织结构
传统审计组织结构管理指挥迟缓,使得审计工作缺乏灵活性,难以契合大数据审计的发展需求。Z公司针对大数据环境重新组建了管理指挥团队、大数据分析团队和业务实施团队,建立起适配于大数据审计的组织结构(如图2所示)。
重构后的大数据审计组织结构可以依次划分为管理层、技术层和业务层三个层次。其中,管理层由管理指挥团队构成,负责大数据审计核心业务管理,包括制定相关制度和工作标准,统一组织成员的行为与价值目标,能够对审计工作中面临的问题迅速做出决策,并精确指挥下级团队工作,协调好各方团队关系,提高审计管理的科学性;技术层由大数据分析团队构成,负责制定各类数据系统的操作指南和配套指引,利用数据系统精确选取数据并进行深入分析,并根据业务层审计实践调整风险模型,快速迭代,向上有效保障审计决策的科学性,向下推动审计程序设计的有效性;业务层由业务实施团队构成,突出“小规模”“精技术”和“强专业”特征,负责审计项目的具体实施。根据管理指挥团队制订的项目方案,进行调查验证,现场执行审计程序,出具审计报告,总结经验,上传审计中发现的新问题。另外,各层次之间建立了有效的信息传递与反馈机制,确保数据分析与审计决策的有效衔接,解决技术人员与业务人员之间的沟通交流问题,提高审计时效性,实现“业务+技术”深度融合,提升审计质量。
(三)重塑审计流程
根据大数据审计的特点,Z公司对内部审计流程进行了重构(如图3所示),由事前监控、事中监控和事后监控三部分组成,分别与组织结构的管理层、技术层和业务层相对应,旨在实现内部审计对企业全流程持续性风险监控的目标。
1.在管理层面,Z公司审计团队在管理指挥中心的领导下,运用头脑风暴法,集合内部审计团队和外部咨询团队的已有业务经验,通过风险建模进行风险预警点的设置,并将其传递到大数据实时监控中心,实现事前监控准备。同时,指挥管理中心将对后续两个层面的事中和事后监控实施再监控功能。
2.在技术层面,审计团队根据相关制度规范和工作需求,利用大数据审计信息共享平台接入统一的数据接口,通过数据采集系统集中收集内部数据与外部数据,并对其进行筛选、清洗、脱敏、脱密、冗余消除等技术处理,提高数据质量。随后,按照不同格式、类型和结构,进行分层、分类与分级存储管理,形成标准化数据。收集的数据经过基础技术处理后,利用大数据挖掘、可视化分析等技术进行动态适时数据扫描,发现异常数据时则启动审计项目申请、审批和立项,实现事中监控,并为后续审计项目的实施提供审计线索,定位高风险领域。
3.在业务层面,审计团队根据风险预警结果制定总体审计计划和具体审计策略,按照工作方案与项目规模组织人员进行线下调查取证,根据取证情况,形成审计工作底稿,提出审计建议,并撰写审计报告。最后,将每次审查的项目导入案例库,总结案例经验,为日后其他审计工作提供知识积累,并对管理指挥中心进行信息反馈,根据发现的新证据修正原有风险模型使整个大数据审计流程形成闭环,完成大数据审计系统的不断迭代和升级完善。
二、大数据审计对Z公司内部审计的影响
(一)审计功能由事后鉴证向全流程风险管理转变
大数据审计背景下,现代信息技术的发展推动Z公司内部审计工作内涵和重心都发生了显著变化,内部审计的功能从第三方事后信息鉴证和内部控制向全面风险管理转变。随着SAP、ERP等企业管理集成系统工具的普及和数字化转型的深入,内部审计过程中的数据采集效率得到极大提升,审计人员获取数据基本可以和业务的发生同步实现,信息分析功能成为内部审计工作的核心,同时审计重心前移,更关注事前和事中的数据扫描和预警功能。由于大数据环境下的数据式审计模式是以“数据”作为审计取证的切入点,违规违法行为都会在数据中留下痕迹,并且数据本身具有的颗粒性、真实性和完整性,便于审计人员通过数据寻找到背后的底层逻辑,分析与审计对象相关的所有关联主体,进行全方位、全要素、全过程审计,实现对企业业务层面的风险进行预见性分析和及时阻断,极大降低了企业各方面的经营风险。
(二)审计方法发生了全新改变
主要体现在两个方面:一是从抽样审计重新回归全面审计。审计业务模式先后历经了详细审计、制度基础审计和风险导向审计三个阶段,其中后两个阶段都是建立在抽样审计的基础上。但无论是随机抽样还是经验抽样,都无法避免抽样误差,从理论上来说只有全面详细审计的结果才最为精确。大数据审计突破了原有审计效率对审计能力带来的制约,使全面审计重新成为可能。二是审计对象的改变。长期以来,财务数据一直是最主要的直接审计对象,通过财务资料间接验证业务的真实性、合规性和效益性,在大数据审计下,Z公司审计人员开始回到业务底层数据,直接针对业务本身进行审核,数据来源更为直接和多元化。
(三)审计业务模式由封闭系统转为开放性系统
Z公司原有内部审计业务模式与大多数企业相似,是一个独立封闭的系统,审计活动范围主要在企业内部,和外界基本不存在合作;即使在企业内部,内审部门与作为审计对象的其他业务部门之间也相对独立。但大数据审计业务模式下,通过上述数据系统的构建,数据平台能够交互多方关联主体,使审计人员与业务部门实现数据适时共享,并持续性进行数据交互和比对,从而形成一个开放性的数据双向流动系统。此外,Z公司审计部门还与外部供应商达成了一定范围内的数据传递协议,将产业链的购销信息进行了集成,进一步提升了对业务的审计覆盖范围和追踪审计的能力。
三、大数据审计应用可能存在的风险
现有研究更多关注大数据审计带来的优势,对大数据审计应用中存在的潜在风险及后果缺乏应有的关注。從Z公司内部审计实践可以发现,大数据审计显著扩大了审计管理半径,推动了审计业务流程再造,其间也衍生出了区别于传统审计风险的新型风险,主要表现在以下几个方面:
(一)数据质量和安全风险
“数据”是大数据审计得以实施的基础,数据质量不高将直接影响后续审计业务流程的有序进行。数据质量风险主要表现为数据收集不全面、不及时和不真实三个方面。在大数据审计中,数据采集需要内外部多主体、多层次的配合,但由于目前各信息主体在信息化建设上差异较大,没有形成统一数据端口,也没有实现完全数据对接,审计部门不能完整获取与审计对象经济活动相关的所有数据,同时所收集的数据可能存在缺失、被篡改、被销毁、不及时的情形,影响采集的数据质量。而在数据管理过程中,一方面存在被黑客攻击导致数据系统崩溃、数据被泄密或丢失等安全性风险,另一方面数据系统的迭代更新也会产生一些未知的系统风险,如系统漏洞、编程错误、关联数据系统不一致等,并且审计人员如果不能迅速掌握数据系统更新升级后的新功能,可能在对数据进行备份、维护或更新时,存在数据丢失、泄露、泄密等情况,导致审计工作无法正常进行。
(二)数据应用风险
大数据环境下,审计人员除了采集传统的结构化财务数据外,还要采集各种非结构化数据,这些数据来源渠道不同、格式多元,若审计人员未对其进行整合,未形成统一的数据处理标准,这些信息将处于分散、游离的状态。在工作时,审计人员要想从这些数据中找到有用的信息,需要花费较多的时间成本,工作量大且效率低下。另外,由于大数据环境下,数据迭代更新得非常快,数据与业务之间的映射关系并不明朗,不利于审计人员掌握审计对象的实时动态或对审计对象的行为进行前瞻性预测,审计判断存在滞后性,这些都不利于审计人员精准定位“问题数据”,迅速发现审计线索。
(三)数据产权风险
审计部门在对不同来源的数据进行采集、分析、加工处理时,可能涉及数据产权归属问题,产生数据产权纠纷风险。数字化时代,数据成为了一项重要战略资源,大数据审计信息共享平台中收集了大量的公共数据和非公共数据,这些数据在不同部门、不同领域、不同层次之间进行共享,各主体会争夺数据产权,实现自我资源的转化,势必会造成数据产权纠纷。目前各国相继针对数据进行立法,如欧盟出台了《一般数据保护条例》(简称GDPR),我国个人信息保护法也于2021年11月1日正式施行,审计部门在获取和应用数据时,需要防范潜在的法律风险。
(四)审计责任风险
大数据审计失败可归因于以下两点:一是审计人员自身原因引发操作不当,如对审计数据中隐含的风险点和风险程度进行误判,审计程序设计不当,线下获取审计证据不力等;二是数据系统失灵,如与审计对象相关的数据质量低,风险建模不准确,信息沟通不畅通等。但在实务中两者之间的界限较为模糊,当发生审计失败或审计报告失真需要追责时,难以确定责任主体,导致管理困难。
四、完善大数据审计应用的建议
基于上述分析,可以从以下三个方面完善大数据审计的应用。
(一)分析数据权属防范法律风险
目前大数据审计中数据不能实现大范围共享的主要原因之一,就是数据权属不确定,私有数据和公共数据之间划分界限不明,数据获取和使用存在潜在法律风险。除了国家层面需要完善相关法律法规、建立社会交易主体之间数据使用的规制性保障外,企业也应树立风险意识,主动与交易主体通过谈判协调方式合法取得私有数据的使用权,避免产生法律纠纷。此外,企业应制定数据系统操作指南,明确技术人员操作的权限范围,规范数据使用行为。
(二)完善数据系统跨越“数据鸿沟”
目前Z公司大数据审计的数据采集范围主要来自企业内部,与外部交易方之间的数据系统尚未打通,从而数据流和业务流不能形成完整的对应关系,使业务链上的数据出现断点,不利于全面梳理数据背后的底层业务逻辑,容易遗漏风险点,造成风险建模不精准,信息流的形成不完整。内部各职能部门之间的数据也没有完全实现共享,信息孤岛现象仍然存在。为了适应大数据审计对多元性和数量性的需求,企业亟需打通内外部的数据系统连接,完善数据接口,实现数据实时联动。
(三)形成开放共享的大数据审计工作机制
大数据审计应用的最大特點就是建立数据与业务之间的映射关系,精准进行风险建模,这需要建立一个开放和共享的工作机制。一是信息开放共享,通过跨平台、跨机构、跨部门数据接入,实现数据的联通;二是技术和方法开放共享,通过跨组织的知识交流,促进审计技术和工具的迭代升级;三是经验开放共享,在不确定环境下,新的风险及舞弊手段具有不可预知性,无法全部通过企业的自身来完成事先风险建模,因此,吸取和借鉴其他企业的经验就非常有必要。
(作者单位:湖南工商大学会计学院,邮政编码:410205,电子邮箱:405598631@qq.com)
主要参考文献
[1] 房巧玲,高思凡.数据基础审计模式:数字技术驱动下的审计供给侧改革[J].当代财经, 2021(8): 137-148
[2] 李成艾,何小宝.大数据审计组织方式的探索与创新[J].审计研究, 2019(5):23-29
[3] 张永杰.社保基金数字化联网审计模式建构研究[J].会计与经济研究, 2019(1):39-51
[4] 郑伟,张立民,杨莉.试析大数据环境下的数据式审计模式[J].审计研究, 2016(4):20-27
3751500589243