审计案例
您现在的位置: 网站首页 > 审计案例 > 正文

探索大数据时代下持续审计的传统与挑战——通信行业持续审计信息化的研究与实现

发布时间:2020-08-21 14:54:58    浏览次数:[]     来源:福建内审

一、持续审计背景

(一)新时代对审计的需求与建设方向

信息时代的到来,应运而生了云计算、大数据等新技术。特别是大数据技术,为审计人员提升审计效率提供了强大工具,是信息时代审计与新技术结合的最佳实践。大数据技术从数据入手,提供了关于数据的采集、数据的挖掘、数据的分析等技术和方法,其从很大程度上改变了传统数据的采集与处理方法,提升了信息应用的重要性。近年来,国家也对大数据技术应用出台一系列政策性文件支持大数据技术的应用与发展,如《国务院关于促进云计算创新发展培育信息产业新业态的意见》、《促进大数据发展行动纲要》、《云计算发展三年行动计划(2017-2019年)》、《2018年中国工业和信息化发展形势展望系列报告》等。

在信息系统使用日益频繁的今天,各系统产生的数据量越来越庞大且复杂,这种情况下,传统的审计方法、审计模式、审计工作将陷入困境。充分认识信息化建设的重要性和紧迫性,是审计行业必须面对的现实,审计行业加强自身信息化建设已成为必然趋势。审计人员需把大数据思维与技术应用于审计工作中,推进大数据技术在审计中深度实践,实现数据结构多元化发展,通过审计方法的创新,以提升审计效率,降低审计风险,从而提高审计结果应用价值。

(二)通信行业信息化发展现状概述

信息高速发展的今天,“信息化”这个名词已经不再陌生,信息化技术已然应用到各个行业中,甚至在世界先进企业中,信息化已经进入深度应用阶段。信息化得以如此快速发展包含两个层面的大力支持,一是国家政策给予大力推进;二是市场需求刺激大数据、云计算、物联网市场的快速发展,也涌现出一大批热点技术应用。

通信行业也在逐步加强信息化建设,通过信息化建设,提升日常办公的准确性、效率性。从目前来看,通信行业的信息化在生产运营管理系统及内部管理系统两方面应用比较多。生产运营管理系统包含BOP、计费系统、网络管理系统、综合资源管理系统等;内部管理系统包含财务系统、OA系统等。

(三)持续审计的定义

AICPA与CICA的研究报告将持续审计定义为:持续审计是委托项目的相关事项在一系列短时间内生成的审计报告,并对审计报告提供书面鉴证的一套审计方法。持续审计涉及到审计活动的审计计划、风险评估、控制测试以及审计报告等各个程序,是审计人员在一个连续环境下执行审计活动的方法。

(四)持续审计的特征

持续审计较传统审计而言,具有连续、即时、自动化等特征。

连续性体现为过程连续性:持续审计所执行的各个环节,包含审计计划、风险评估、控制测试、审计报告等,都是连续进行的,整体环节行程闭环管理。执行过程对审计数据和系统进行了持续监控和审查。保持审计过程的连续性可以有效预防和降低审计差错。

即时性体现为实施即时性:持续审计要求实时或者短时的生成审计报告,即要求审计实施需保证即时性。审计实施的及时性提高了审计信息的可靠性,从而确保审计报告可及时生成,最终保证了审计结果的快速应用。

自动化体现为程序自动化:持续审计在设计好的数据模型中执行,应用网络进行数据审计并得出结果,即执行持续审计需保证网络环境及数据建模,审计需求触发后即可由系统自动执行审计过程,并自动呈现结果。

(五)通信行业对持续审计的要求

随着业务不断发展、收入规模不断扩大,内外部监管机构以及管理层越来越重视发现并防范公司运营风险。基于传统专项审计的流程及审计期间有严格限制,加上行业内海量业务数据关联度不高,部分关键数据保留期限有限,数据颗粒度无法满足审计需求等因素限制,通信行业对持续审计的需求更为紧迫。

通信行业在基础定义上进一步对持续审计提出更高要求:将持续审计定位为公司内部审计部门针对已知风险及问题设计信息化审计程序。要求对重要高风险领域,利用IT手段对成熟的审计方案和程序进行固化,快速实现既有审计事项的持续审计能力,建立信息化、自动化、实时化、全面性的持续审计机制。持续审计需涵盖公司主要的业务领域和管理流程。具体执行方面提出:一是覆盖面,要求持续审计模型实施全生命周期管理。持续审计模型分为预研试点、试运行、正式运行和下线等阶段,根据相关业务领域的管理需求、业务重要性及风险水平,在生命周期的不同阶段执行不同的管理要求。二是自动化,要求依托各信息系统的电子数据,自动、持续执行预设审计程序,获取审计证据,发现异常例外及违规情况并出具审计报告,实现对高风险领域和关键环节实时或准实时监控的审计形式。三是实时性,要求持续审计模型能及时预计风险,快速预设模型后及时投入使用,要求审计报告在短时间内产生,实现对风险的有效控制。


二、通信行业传统持续审计工作存在问题

通信行业的传统审计工作,包括持续审计工作主要依赖于审计人员的长期审计经验和电子辅助工具,特别是通信行业企业涉及业务类审计时,面对海量数据,传统的审计方式捉襟见肘。近年来传统持续审计存在的问题如下。

(一)数据重复提取,沟通协调难度大

由于现在各业务系统信息化应用较多,在进行审计时往往需要提前进行相关数据的提取工作,在与被审计单位进行数据提取的相关工作沟通和协调过程中经常面临对数据口径重复核对,对提取的数据质量重复校验等问题。这些问题既占用了审计人员大量时间,同时也大大增加了被审计单位迎审工作的负担。

(二)数据量庞大,处理难度高

对于通信行业企业来说,每月产生的业务数据上亿条。海量的数据,增加了处理和分析困难,同时对审计人员的计算机操作能力和数据处理能力提出了更高要求。缺乏足够强大的系统支撑以及受时限限制,审计人员在进行审计时只能对部分数据进行抽样核查,势必存在抽样风险。

(三)实时性不高,应用率较低

随着持续审计工作的常态化开展,审计工作往往面临的是事情发生后一年甚至更久才被发现,问题发现不及时,导致无法将企业损失降低到最小,急需改变事后监督为事中预防。同时审计结果往往应用率不高,无法将审计结果及时转化为持续审计模型进行持续监督。

为克服以上所诉问题,提升审计工作质量,通信行业急需通过引入数据仓库等信息技术提升审计工作的信息化水平。

三、通信行业持续审计信息化的实现

消除系统间数据差异。通信行业企业在日常生产运营过程中产生的数据量大且杂,特别是各个系统间数据不一致,在内部审计需要进行临时取数时往往需要耗费大量时间精力与被审计单位进行沟通和协调。同时审计过程中经常会遇到部分数据保存期限太短无法满足审计需求的情况。因此审计单位自己建立审计数据仓库变成很有必要。

固化基础性数据。持续审计信息化目标就是基于数据仓库基础上进行实现,在搭建数据仓库过程中,将涉及的相关提取数据需求进行固化,做到一次固化,长期使用。大大减少日常花在与被审计单位就提取数据问题进行沟通与协调的时间和精力。首先,提取数据后必须对数据的质量进行校验,对数据进行清理检验。其次,根据审计目标对数据进行分析并建立审计模型,搭建审计程序对审计风险点进行自动分析处理。最后,输出结果并对模型进行优化,提升最终数据准确性。

(一)搭建数据仓库

1.中间表的设计

在持续审计中,面对多个基础数据库需要构建中间表来存储持续审计的需求数据,该中间表需包含与审计目标相关的所有数据,为之后搭建数据仓库做好基础。首先需要了解业务系统的基础数据或者业务数据中间表的数据定义,确认是否与审计目标相关,然后了解各基础数据表之间的关系,选取数据过程中需征求有经验的审计人员意见,确认选取字段与审计目标之间的关联性。最终构建的审计中间表,可能因为工作失误,应选取的字段没选取或者选取到相似的字段,还有可能将不相关的冗余字段选取进来。因此最后的中间表设计完后需要进行试验,验证其选取的可用性和准确性。

2.数据仓库的实现模块

数据仓库是具体承载各种数据处理过程的实体,在对数据进行提取和数据结构化清理均是在数据仓库中实现。因此,数据仓库是整个持续审计项目的基础和数据源,数据仓库设计与实现的效果直接决定整个持续审计项目成果。数据仓库具有面向对象、模块化和实时性等特点。按照持续审计的步骤分为:数据的提取、数据的清理、数据的存储和数据的分析。所有环节的实现模块均在数据仓库中应用。数据仓库的具体模块有提取数据模块、数据结构化清理模块、数据的关系型存储模块和数据分析模块。前两个模块将在之后阐述,接下来主要阐述数据存储模块。

3.数据处理类型

数据处理大致有两种类型,一类是操作型处理,这类数据是在日常使用和操作各个系统过程中产生的基础性数据。另一类是关系型处理,按照数据内部的关联性进行存储处理。我们的数据仓库就是基于后者来设计。这种处理方式有助于对业务数据、财务数据和资源数据等进行分析,有助于给管理层提供决策依据,有助于实时呈现企业的经营风险状况。

(二)数据清理与校验

由于从各个系统提取的数据往往存在多种问题,一是格式不统一,不同系统对数据定义不同,提取的数据格式差距较大,无法直接进行有效处理;二是存在敏感信息及保密需求要求,要通过脱敏处理和脱密处理才能进行使用;三是原始数据冗余量大,需剔除不符合要求的数据。因此数据清理与数据校验是在进行数据分析之前必须进行的工作。

数据清理的过程中,首先需要将不同数据进行结构化处理,统一格式和字段要求,在这个过程中可以去除敏感性字段和保密性要求较高的数据,对基础数据进行转换,生成审计所需要的数据。因为审计工作是一项严谨性要求很高的工作,需对于冗余数据,如因字段信息不全而无法使用的数据进行过滤删除。最后将提取出的数据与底层系统的基础数据进行比对校验,核对数据的口径是否一致,是否存在业务口径变化导致数据提取后无法使用的情况。

(三)建立审计模型

持续审计模型是指通过一定的判定规则对采集到的数据进行分析处理,最后输出审计风险结果的自动化运行系统。审计模型解决的是传统非信息化持续审计无法实时化和自动化的问题。审计模型是整个持续审计项目的核心,模型搭建过程中最关键的是判定规则的制定和对大量复杂关联性数据的分析。

一个优秀的审计模型必须建立在合理的判定规则和细致的数据分析基础上,一方面不能摒弃从企业经营高风险点与各类专项审计项目中提持续审计关注点,在搭建审计模型的时候可着重参考之前审计项目的分析逻辑和判定依据,将长期审计经验或在专项审计中发现的问题点转化为审计模型固定下来。另一方面着重要利用所搭建的数据仓库,从复杂且海量的数据中找出其内部关联性和风险点。审计模型设计过程中应加强与计算机人员沟通,将审计风险模型完整地用程序语言实现,确保审计模型能够自动化、实时化对资金流、业务流和资源流数据的分析处理,并输出想要的结果。

(四)模型运行与优化

审计模型搭建完成投入使用后需对结果进行验证,主要验证两点:是否存在应发现未发现的风险点;是否存在扩大风险范围,将正常业务数据判定为风险点。关键来说就是验证自动审计模型输出结果的准确性。在运行阶段审计人员须通过手工验证,对输出结果进行核查,并与技术人员进行沟通,共同寻找问题原因,逆向追溯数据问题源头。该阶段是必经阶段,审计模型的准确性需经过实际运用及修正才能达到结果的高度准确。

四、通信行业持续审计信息化成效

通信行业的持续审计信息化已然成为必要:从外部环境看,整体社会环境的变化使得持续审计信息化成为必要;从内部审计发展方向看,企业对风险管理要求重视度日渐上升使得持续审计信息化成为必要;从信息使用角度看,使用者对信息的快速响应、全面提供的需求使得持续审计信息化成为必要。通信行业经过不断强化持续审计信息化建设,持续审计信息化已取得显著成效。

(一)覆盖更全面

在基础业务持续审计的基础上,通过采用属性分析模型、关联分析模型、聚类分析模型、漏斗分析模型等,针对各个模型生成预测数据结果,进一步筛选出有价值的风险数据,并将分散在各个信息系统中的数据进行抽取、归集和分析,是持续审计覆盖企业业务的大部分。覆盖面更广的持续审计呈现的审计结果更广泛的应用于其他专项审计、经责审计等的审前、审中和审后环节。

(二)模型更智能

信息化建设下的持续审计更智能更人性化,通信行业通过4个方面提升持续审计的智能性:一是建立审计数据集市。汇总审计所需的各类数据,采集、处理来自多个源系统的数据,为风险扫描与监控提供数据支撑;二是搭建问题分析模型,实现问题智能分析。在审计数据集市的基础上,实现以问题为导向采集数据、自动总结审计发现问题特征建立数据分析模型、模型运行后自动学习完善优化模型;三是建立指标预警模型,及时追踪异动指标,及时出具预警报告。通过建立预警报告推送和反馈机制,及时将结果推送责任部门;四是实现风险地图展示。针对过往审计发现及高风险问题建立审计模型,自动生成审计结果,实现风险热力图展示及风险比对,支持多角度审计建议或方案输出。

(三)系统更安全

审计数据的安全性关乎整个企业的稳定,大数据背景下的持续审计,完全依托信息化系统进行支撑,任何一个环节出现安全问题,将影响整个项目,严重的将影响整个企业,甚至整个社会。保证数据安全是持续审计信息化最基础也是最重要的工作。通信行业通过从几方面入手提升安全性:第一,设定严格的用户访问权限,并对已经提取出来的信息数据需要采取物理隔离手段,防止无关人员的接触;第二,防范APT攻击,企业应制定针对APT攻击的应急预案,对企业内部的软件安全进行严格审核;第三,定时进行数据攻击和潜在威胁查找,并及时进行处理。


五、结语

在通信行业实施持续审计以确保在企业内有效执行持续审计之前,还有很长的路要走。我们要不断提高企业的整体信息化水平,完善相关法律法规的建设,提高审计人员的素质质量,传统内部审计观念的转变,理论界应加强持续审计理论的新方法,扩大持续审计信息化的新思路,提高审计信息化水平。本文细述了持续审计信息化的实现过程,在未来应对海量数据的审计工作,其他行业可充分利用,共同为内部审计工作做出贡献,并将审计信息化提升到更高水平。