农村商业银行大数据审计的思考与实践

来源 :中国内部审计 | 被引量 : 0次 | 上传用户:dlinc
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘要]金融行业信息化的生产方式、海量的业务数据、高度的风险敏感性与传统内部审计产生了代际错配、量级错配、效率错配,内部审计应运用信息化手段,重塑新思维,建构管理新框架,在大数据时代实现自我变革。
  [关键词]大数据    审计    价值    方法
  一、对大数据审计的认识
  (一)大数据审计的“能与不能”
  大数据审计可以极大提高审计质效,但大数据也有做不了、不能做的事情。
  1. 能审线上不能审线下。大数据审计以进入系统的数据为基础,但很多风险以非数据的方式存在,特别是近年来银行案件风险呈现“线上转线下”“表内转表外”“业务转声誉”三个转化的特点。如近年来频频发生的私盖印章案,银行人员违规私下使用印章对外提供担保,给银行带来了巨大风险,但这一行为既没有数据产生,也不进入系统,无法使用审计信息系统进行大数据审计。
  2. 能审他人不能审自身。使用审计信息系统开展大数据审计,在防控风险、提升质效的同时,也带来了新的风险,其中最主要的风险是数据安全性问题。大数据审计需要采集各主要系统的业务数据,进行分析、加工、运用,且最后提取的多是比较敏感的疑点数据,因此做好各环节数据的安全、保密工作十分重要。如提取原始数据时,要使用“T+1”模式,实现业务系统与审计系统的风险隔离;查看数据时,要使用虚拟桌面,防止数据被非法复制。
  3. 能被动计算不能主动思考。大数据审计的基本原理是通过审计信息系统对接其他业务系统,提取全部业务数据,开发规则和模型,对数据进行验证和预警,找出疑点数据。显然,大数据审计的核心是开发模型以及对疑点数据的再分析,因此,大数据审计的效果最终还是取决于审计团队的素质。当然,随着人工智能技术的不断发展,可以将智能化审计作为思考和探索的方向。
  (二)大数据审计的“变与不变”
  实施大数据审计改变了审计的很多内容,如效能、工具、模式,但也有很多内容没有改变,如目标、原理、文化。只有深入理解大数据审计的“变与不变”,才能更好地做好审计工作,促进组織目标实现。
  1.效能改变而目标不变。大数据审计极大地提高了审计效率,增强了发现问题的能力,但不管审计效能如何改变,内部审计的目标不会改变。内部审计通过运用系统、规范的方法,评价并改善风险管理、控制及治理过程的效果,帮助组织实现目标。因此,内部审计工作必须避免陷入数据堆和事务主义之中,要紧紧围绕组织目标展开,从战略、文化、风险、内控、执行等层面考察组织目标实现的可能性,为组织目标的实现提供帮助。
  2.工具改变而原理不变。大数据审计利用信息科技技术为审计工作提供了一种对全数据进行审计检查的可能性,但其执行的运行规则却是审计逻辑,审计逻辑越强大,审计信息系统就越强大。因此,大数据审计必须在系统外下功夫、在数据外下功夫,对行业趋势、风险特点、审计方法进行持续的跟踪和研究,研究越深入、认识越深刻、把握越准确,大数据审计的效果就越好。
  3.模式改变而文化不变。大数据审计对审计要素进行了重组,对审计流程进行了再造,审计模式发生了深刻变化,但其背后的审计文化并未改变。
  二、重庆农商行实施大数据审计的原因
  面对海量数据,重庆农村商业银行运用信息化手段,重塑新思维,建构管理新框架。
  (一)现实中的三个错配
  1.代际错配。重庆农村商业银行已建成101套信息系统,形成了核心、渠道、管理等多级信息系统体系。全行大部分主营业务,如柜面业务、支付平台、自助设备交易、手机银行、网上银行、中间业务、信用卡、国际业务等,已实现交易操作流程的高度电子信息化。传统手工审计模式与信息化生产方式之间的代际差异,根本无法匹配。
  2.量级错配。实施大数据审计前,主要靠手工抽查的方法进行检查,柜面业务抽查占比仅为0.06‰,审计抽查量与全行业务量根本不在一个量级上,大量交易和数据无法被审计覆盖,员工侥幸心理增加,难以达到应有的震慑作用。
  3.效率错配。建设审计信息系统之前,全行内审人员占员工总数的比率已达2%,是监管标准的两倍,人均现场工作天数达280天,比标准工作日多30天,审计人员配置以及人均劳动量几乎都达到了极限。但业务量仍在飞速增长,审计资源的有限性与业务量的无限增长,成为传统内审模式下难以破解的迷局。
  (二)变革后的三个提升
  1.价值提升。实施大数据审计,审计工作的系统性、敏感性、专业性进一步增强,审计价值得到了大幅提升。一是系统性增强。由于样本由个别抽样向全数据转变,审计实现了由合规判断向风险导向转变、由个别纠正向系统性管控转变。二是敏感性增强。审计人员从重复性劳动中解放出来,对经营管理进行深入研究,对热点问题迅速作出反应。如2016年针对票据业务风险开展了专项审计调查,为高管层及时防控风险、改进管理提供了建议。三是专业性增强。审计的职业敏感和专业判断通过全数据和模型支持,往往可以发现业务管理条线难以发现的重大违规行为和风险,为组织创造更大价值。
  2.质效提升。一是大幅提升效率和精准度。2013年至2016年,总行内审部门年度实施项目从每年8个增加到46个。传统审计模式下,每年审计业务539万笔;大数据审计模式下,每年审计数据4.5亿条,且审计的精准度和发现问题的能力均大幅提升,以“客户资金进入员工账户”为例,以前查出率低,现在查出率100%。二是常态化监测主要风险。传统审计模式下,日常监测很难实施;大数据审计模式下,通过部署预警模型,覆盖会计、信贷、财务、资金、国际结算、电子银行等主要业务范围,基本可实现对主要风险点的日常自动化监测。三是有效管控重点风险。传统审计模式下,由于抽样覆盖面低,员工存在侥幸心理,屡查屡犯是一个管理顽疾;大数据审计模式下,运用审计模型对重点风险进行专项整治,诸如“柜员自办业务”“离岗不签退”等屡查屡犯的管理难题基本解决。   3.内控提升。大数据审计彻底打消了违规侥幸心理,使违规无处遁形,真正达到“不敢为”“不能为”的效果,同时,对重点风险进行深入研判,对全行管理流程进行系统性诊断,找准薄弱点和改进点,不断提升全行内控水平,促进业务的持续稳健发展。
  三、大数据审计的方法
  (一)建立系统
  1.借力要自主。要避免对系统开发公司的过度依赖,将系统建设与新型审计人才培养相结合,从自身需求出发,挑选精通业务和IT技术的审计人员组成项目团队,从设计、开发到部署,始终掌控主导权,确保系统具有良好的适用性和可维护性。在系统开发的同时,培养一支具有复合技能的信息化审计团队,为信息化审计提供坚实的人才保障。实现大数据审计,要有系统、人员、管理与之配套,重庆农村商业银行采用的是统筹规划、分步推进的做法。2012年建成审计信息系统(一期),2013年在支行分批推进试点,2014年正式运行,2015年建成审计信息系统(二期),2016年二期完成测试并正式运行,现在正在建设嵌入式审计模块。这种渐进式变革,保证了审计模式的平稳过渡。
  2.数据、管理、流程的转型。
  (1)从抽样到数据。传统内审的基本方法是样本抽查,但面对巨大的数据流,及时性和有效性的问题凸显,审计信息系统(一期)就是解决这个问题的:一是全面采集主要业务系统数据,按T+1的模式自动更新,建立审计数据集市,审计对象由小量、静态的样本变为全面、动态的数据流。二是根据审计需要,编写规则,分析、提取疑点数据。三是部署预警模型,每日对数据流进行自动监测,由随机抽查、一查一处,变为日常监测、及时预警。
  (2)从数据到管理。审计信息系统(二期)将审计风险评估、审计项目管理、问题整改跟踪等纳入系统管理,将审计信息系统打造成一个审计数字化指挥作战中心。例如,通过程序化审计功能,为日常审计工作建立标准化和流程化的审计程序提供审计要点、执行步骤,形成各环节的审计文书及问题台账,并对问题的整改落实情况进行跟踪管理。
  (3)从管理到流程。为进一步提升信息化审计水平,目前正在推进嵌入式审计。在业务条线开发,诸如实物资产管理系统、押品管理系统、资产管理系统等新应用系统开发时,审计部门及时跟进,嵌入审计模块,将审计方式从事后数据分析推进到实时监督业务流程,进一步提升审计对生产的服务价值。
  (二)再造审计模式
  1.突出风险导向。以风险为核心,建立大数据审计技术方法,通过风险导向的流程再造、持续不懈的教育培训、多措并举的质量控制,降低个人差异对审计质量的影响,实现个人强向团队强的转化,保证审计质量的稳定。
  (1)风险导向再造流程。结合业务情况,分析判断可能存在的风险点,编写分析查证模型,对全数据进行筛选,找出疑点数据,通过现场核查,予以排除或确认。比如,根据某单位信贷权限、单笔贷款余额综合判断,可能存在“借名、化整为零贷款”的风险,设计“一人为多人提供担保”“借款企业关系图”“多户贷款流入同一人”“多户还本或还息来源于同一人”等25个模型,通过整合分析锁定疑点后,现场调阅调查报告、佐证资料、支付资料等贷款资料,对其予以核实。
  (2)持续不懈地进行教育培训。通过“日常培训+审前培训+宣传培训”,提升队伍和审计质量。日常培训方面,聘请审计领域大学教授、同业内审专家开展理论与实务培训,参加内审协会研修班、CIA考试等。审前培训方面,通过内审人员相互赛课、开展进出场会谈模拟演练等方式,讲清讲透审计要点和方法,增强队伍的业务能力。宣传培训方面,通过内控专题讲座等方式,加强对被审计对象的宣传教育,做到审教结合。
  (3)多措并举控制质量。通过质量审理、项目巡视、审计回避、承诺制度、问题整改五项措施,建立全面质量管理模式:组建质量审理团队,对审计项目及文书实行全流程质量审理,确保流程合规、文书规范、结论恰当;组织开展大型项目时,总行审计稽核部负责人亲自带队巡视审计现场,为现场审计提供指导;与审计单位或项目有利害关系的审计人员进行回避,确保客观性;要求被审计单位报告审计期间内的重大事项,并就所提供资料的真实性、完整性进行承诺,节约审计资源、防止信息不对称风险;建立问题整改长效机制,点面结合深入整改,持续改进内控管理。
  2.融合创造价值。在大数据审计模式下,传统总行内审与支行内审的边界、内审各科室的边界、现场与非现场的边界都被打破,审计要素按最有效率的方式进行重组,集团化、团队化、一体化成为审计运作的基本特点。
  (1)突破上下边界。在大数据支持下,统一筛选全行数据、统一安排审计项目、统一调动审计力量,按“集团军”的方式开展审计,有效增强了协同作战能力,提高了审计效率,成功打造了“内部控制评价”“案件风险排查”“经营目标审计”等一批高品质大型审计项目。
  (2)突破科室边界。以审计方法划分的科室界限逐渐模糊,以大数据为支撑的团队作战成为基本模式。以“特别检查”为例,俗称“飞虎队”,采用随机抽选网点、突然“空降”、整体接管、突击检查等方式,产生了极大震慑力。但由于全行有1700多个网点,每年接管20个,每个网点平均85年才有可能被接管一次。实施大数据审计后,不再进行随机接管,而是对全辖所有网点进行全面多维分析,精准打击网点违规行为。
  (3)突破现场非现场边界。非现场主要是指标监测,如不良率等;而现场则通过抽样进行检查,具有很大的盲目性。在大数据审计模式下,现场与非现场实行一体化融合,通过非现场进行风险分析、数据筛查、样本锁定,为现场检查精准制导;现场则通过采集证据对疑点进行核实或排除,實现对违规问题的定点打击。
  3.建立审计标准。积极推进审计标准化工作,建设标准的问题词条、标准的审计菜单、标准的审计模型,不仅提高了审计工作质量,更实现了审计经验由个人向团队的转化和累积,使审计工作水平的持续提升成为可能。
  (1)建立标准词条,促进定量管理。标准词条是对问题的规范化表达。词条库就是对曾发生过问题、风险的全面梳理和高度提炼,是一张从实践中总结出的风险识别图。重庆农村商业银行在逐条分析梳理问题类型和原因的基础上,按业务属性及类别规范统一问题词条1559条,不仅使审计人员对问题的定性更客观准确,实现审计作业程序的标准化、流程化,更重要的是使审计工作具备了积累历史数据的基础,从而使绘制风险地图、进行定量分析和管理成为可能。
  (2)建立标准菜单,制定审计手册。创新编制“菜单”式审计工作底稿,列出业务的主要风险点及对应的标准化检查方法、步骤,系统内置“菜单”式工作底稿80余个,涉及全行业务领域的35个方面300多个重要风险点。并以菜单为基础,进一步编制了审计手册,确定了内审行为标准、技术标准和产品标准,基本形成了一套完整的内部审计工作实务标准框架和具体规范,保证了执行流程的规范化、审计尺度的标准化、审计质量的稳定性。
  (3)建立标准模型,提升检查能力。模型是审计逻辑的算法表达,是审计智慧的集中体现,是大数据审计的核心竞争力。开发审计模型可以摆脱个人的局限性,通过提炼个人审计经验,使之不断转化为系统智慧,持续提升审计水平。审计信息系统上线以来,依托信息化审计技术,对团队的审计经验和智慧进行提炼并不断优化,形成信用风险和操作风险两大类逾400个审计模型,基本覆盖了主要业务的重要风险点,初步构建了“数据驱动”的专业体系。
  主要参考文献
  凌家全等.大数据时代内部审计的求索与变革[J].中国农村金融, 2014(6):72-74
  马化腾等.互联网+国家战略行动路线图[M].北京:中信出版集团, 2015
  杨凯生.金融笔记:杨凯生十六年间笔录[M].北京:人民出版社, 2016
其他文献
7月15日,中国内部审计协会在西安召开座谈会,专题调研陕西省内部审计工作情况。陕西省审计厅党组成员、副厅长王健介绍了省审计厅加强内部审计业务指导和监督的主要举措及成效;陕西省内部审计师协会会长宋宏印介绍了陕西省内部审计发展的总体情况和省内部审计师协会2017年12月换届以来的工作开展情况。西安建筑科技大学、陕西延长石油(集团)有限责任公司、陕西省人民医院、陕西和谐投资股份有限公司、西安铁路集团、陕
期刊
[摘要]中国电信广东分公司通过创建“快速覆盖、分层处理、聚焦重点、综合应用”的风险扫描结果应用模式,使省市公司各部门主动参与风险确认、整改、分析、应用等环节,最大化应用信息化审计数据和结果,提高了风险管理的有效性。  [关键词]内部审计 结果运用 风险管控 扫描 大数据审计  为推动审计信息化,实现审计工作模式转型,近年来中国电信广东分公司(以下简称广东电信)以持续风险管控为目标,以审计信息
期刊
[摘要]本文直面内部审计数据分析工作中业务能力与技术能力割裂的痛点,引入“风险场景”概念作为解决方案,并结合案例重点予以阐述,给出相关建议。  [关键词]风险场景 数据分析 内部审计 技术运用  近年来,内部审计为处理与组织经营相关的爆发式增长的内外部数据,在实践中逐渐建立起大数据分析系统,并不断加强数据分析运用,以全面、主动地揭示组织风险,提升内部审计价值。受制于内部审计人员数据分析能力的不足,
期刊
[摘要]本文以W高校为例,从固有风险、控制风险、检查风险、评价风险四个方面分析经济责任审计风险并提出应对策略。  [关键词]高校 经济责任审计 风险评估  一、经济责任审计风险  经济责任审计风险由固有风险、控制风险、检查风险和评价风险四个部分组成,风险模型为:  经济责任审计风险=固有风险×控制风险×检查风险×评价风险  经济责任审计的固有风险受被审计单位自身固有的属性影响,如被审计单位的性
期刊
[摘要]本文以企业货物贸易分类管理有效性审计为例,运用SAS软件中的分类相关模型,通过对以往的企业分类情况进行训练形成分类规则,实现模拟业务人员进行企业分类筛选,将模拟筛选的企业与现实分类企业作比,对不一致的企业进行现场审计分析,以发现分类管理中存在的风险。  [关键词]数据挖掘 聚类分析 分类管理 内部审计  近年来,外汇局不断推进“数字外管”建设,已开发20多个业务系统、采集海量业务与管
期刊
[摘要]本文结合农业银行推进数字化审计的实践,指出内部审计数字化转型中存在的问题,提出推进内部审计数字化转型发展的相关建议。  [关键词]内部审计 数字化 转型 实践 机制  审计的出路在于信息化,信息化的关键在于数字化。深入研究数字化转型背景下如何更好地推进内部审计数字化,是贯彻落实农行党委“推进数字化转型再造一个农业银行”战略部署的重大举措和具体行动。  一、推进内部审计数字化转型的有
期刊
[摘要]长城华西银行审计部通过创建“双线报告、双向推动、双边问责、双层运用”的“四双”模式,有效推动印章管理专项审计成果运用,取得良好管理效益。  [关键词]内部审计 结果运用 “四双”模式  近年来,全国暴露多起银行工作人员在利益诱惑下违规使用公章对外担保或兜底、伙同外部人员非法经营牟利的案件,造成银行巨大经济损失和严重声誉风险。为防范经营风险,中国银保监会以及省市监管局多次印发通知,要求银
期刊
[摘要]本文运用层次分析法,从审计工具、审计支持、审计管理、系统性能和系统成本五个方面对高校内部审计信息系统评价指标体系进行初步构建,并据以对S大学审计信息系统进行分析与评价。  [关键词]审计 信息系统 层次分析法 评价指标  一、研究简述  国外学者对审计信息系统的研究较早。自美国学者F.坎夫曼(1961)在《电子数据处理和审计》中提出电子数据处理审计(EDP审计)观点后,国外学者纷纷对
期刊
[摘要]本文分析了地方政府债务风险的成因,并据以提出防范化解地方政府债务风险的一系列措施,以深化审计在地方政府债务管理中的功能。  [关键词]地方政府 债务风险 风险防控 审计监督  由于审计自身独有的预防、揭示和抵御功能,对维护、完善和促进国家治理具有重要意义,对防范债务风险、促进经济平稳运行起着重要作用,应进一步深化审计在地方政府管理中的作用,以增强地方政府债务风险的控制能力,保证国家财
期刊
[摘要] 甘肃省张掖市甘州区教育局通过内部审计发现学校经费管理中存在的诸多问题。结合问题导向,健全教育经费管理制度,完善内部控制制度,强化支付环节审核,有效遏止学校财务收支中违规违法行为,促进教育事业健康稳步发展。  [关键词]内部审计 结果运用 教育经费 校财局管  G区教育局(以下简称区教育局)是G区人民政府下设的主管全区教育工作的行政机构,属于财政全额拨款单位,全系统共有51个预算单位
期刊