业务风险研究驱动下的敏捷内部审计 刘国华 朱帆[摘要]新技术环境为内部审计的数字化转型和价值提升提供了基础条件,也使得企业面临的风险更加隐蔽多变本文总结了S集团内部审计数字化转型实践经验,通过分解内部审计价值链、变革内部审计流程,提出了新技术环境下企业敏捷式审计框架及其配套的内审组织设计方案[关键词]敏捷 内部审计 价值模型 转型在大数据、人工智能、区块链等新技术飞速发展的环境下,企业内部组织的数字化管理水平有了极大提高,为内部审计的数字化转型提供了良好的基础条件,但同时企业面临的风险也更加隐蔽多变,给内部审计工作带来了许多新挑战如何提升内部审计对组织价值的创造,多数文献从企业价值链角度进行研究(闫学文等,2013;郑石桥、李娴娴,2017);在实践中,大部分企业选择通过增加审计领域和员工技能培训来应对新技术的冲击(曾繁荣,2019)但这些理论和实践较少涉及内部审计本身价值链的解构,对审计流程变革和审计组织架构调整的探讨也相对较少随着大数据技术在审计领域应用推广,近年来也出现一些对内部审计转型的讨论(董建忠等,2019)为提高审计时效性、扩大业务覆盖面,缩小与利益相关者的期望价值差距,对传统审计流程和模式进行变革探索也是必要和有益的。
本文结合国内大型综合物流企业S集团内部审计的数字化转型实践,对如何建设敏捷内部审计组织展开深入论述一、敏捷内部审计应用背景典型的内部审计流程主要包括六个环节:风险评估、审计计划、审前调查、现场实施、审计报告和后续跟进,实践中各环节都存在一些问题比如,风险评估在评估周期、评估方式和系统性方面存在改进空间;审计计划由于风险发生早于审计活动而常常出现计划赶不上变化的困境,同时审计计划对风险的覆盖范围也有限;审前调查由于只能在启动审计计划之后才开始进行,使得风险应对的及时性受到一定影响,同时效果受限于抽样的方法和样本量这些问题最终导致现场实施环节压力较大、效率提升较慢、审计成本偏高S集团内部审计在多年探索设计新的审计工作流程与组织架构过程中认识到,传统内部审计流程的众多问题并不是孤立存在的,而是由于内部审计本身价值链各环节分工不清晰产生的,解决这些问题的根本办法是构建敏捷组织敏捷组织最初出现在制造业企业,设立目的是满足快速变化的市场需求在各行业推广实践中,敏捷组织的目标进一步发展为对意外的、不可预见的变化迅速并前瞻地进行企业要素调整近年来建设敏捷组织也是审计财会行业的前瞻探索德勤2019年发布的敏捷审计报告从工作流程和思维模式方面提出了敏捷内审方法,但主要侧重于思维模式。
张庆龙(2020)认为,建设敏捷型组织是企业财务组织转型应对不确定性的重要方向S集团认为,敏捷内部审计需要实现三个目标:价值提升、响应快速、覆盖全面,其中价值提升最为重要要实现这些目标,需要基于内审价值链进行组织变革,以实现专业分工、促进新技术应用,最终实现审计模式的变革、提升审计效果和降低审计成本为此,S集团采取了一系列变革措施构建敏捷内部审计框架二、敏捷内部审计框架S集团审计变革的最终目标是为组织增加价值为解决传统内审流程的痛点,S集团审计的变革思路是:基于数据进行全样本的风险评估,将风险监控关口前移,并进行实时持续监控,根据监控提示的异常风险开展审计审前分析带有系统性的碎片化特征,也就是说审前的风险评估是基于系统化的思路进行分析,发现异常风险并给出监控预警,监控提示的风险可能零散地落在不同的点上审计项目计划及任务从年度计划转变为由监控预警的异常风险信号动态驱动,审计任务工单化S集团通过对审计流程变革建立起新的内部审计价值模型(见图1):审计后台基于业务场景和对数据的认知理解进行风险研究,体系化输出风险树审计中台搭建模型监控体系,并进行实时持续监控审计前台根据中台输出的异常线索和风险信号驱动审计任务,开展具体业务场景的异常鉴证和评价。
根據审计前台的鉴证和评价编写交付审计报告,并且反馈给相关部门、岗位和人员,进行后续跟进审计前台执行的审计任务可以通过协同审计与业务资源共同完成,也可以交由业务组织远程独立完成基于内部审计价值模型,S集团在实践中构建了敏捷内部审计框架(见图2),对审计后台、审计中台和审计前台做了具体工作安排审计后台划分专业的业务领域,由专人实施基于业务流程、数据逻辑的风险研究,搭建审计“风险树”,制订风险识别及应对方案,跟踪审计问题整改,促进审计价值转化,同时统筹搭建匹配敏捷内审模式的组织能力,制定相应的绩效管理机制,充分调动审计团队的自驱力,形成审计发展的源动力审计中台是经过分析整理的各种主题数据包及持续审计模型监控平台,包括以风险树、知识库、数据中台为核心的“三朵云”,承接审计后台的研究成果,并转化为可供审计前台查询、调用、参考的数据、线索、知识、经验、工具等价值产品,是审计资源投入的重点,也是审计的核心竞争力所在审计前台主导审计任务、聚焦审计质量控制在中台、后台的支持下,审计前台可以实现基于审计“工单”的敏捷资源调度模式,直接获取中台提供的风险、经验、数据、方法等能力或资源,并在严格的质量控制流程跟踪下,快速完成高质量的审计产出。
在资源配置上,后台注重“专”,中台投入“重”,共同促进前台的“敏”三、敏捷内部审计的组织架构设计与敏捷内审框架相配套,同时以充分发挥内审价值模型上关键价值点为目标,S集团重新设计了矩阵型内部审计组织架构(见图3):在纵向行政管理层面,审计后台聚焦业务风险研究,审计中台聚焦数据、技术和线索,审计前台聚焦审计项目和质量流程的管理本文将前中后台对应的行政管理组织分别称为审计组织A、审计组织B和审计组织C审计组织A位于内审价值模型的上游,设立目的是研究企业的风险在哪里、如何化解风险,主要工作是分析研究各业务领域的风险,并与集团、子公司、具体业务相结合,全面深入揭示组织和业务的真实风险状况业务风险研究的过程分为三部分:第一,学习业务的发展历史,梳理分析过往的审计发现;第二,研究业务的现状和变化,与经营单位沟通,并从模型监控数据中发现信号;第三,思考行业未来发展趋势和业务中未来可能出现的风险,并搜集相关资料比如,财务背景的审计人员对公司内部财务的运作体系非常熟悉,需要对公司整体在财务方面端到端的流程模块中存在的风险作出分析并进行有效揭示在业务研究过程中会使用一些数字化工具审计组织B需要将业务研究环节输出的风险应用到内部审计价值链的下游。
下游对风险的使用要与具体的业务和产品相结合,而系统和数据正是风险在业务和产品方面的体验具体地讲,审计组织B把风险用具体数据呈现,建立大小不同的审计分析模型,再通过一些平台和工具把业务研究环节对业务风险的思考和想法转化成数据逻辑和数据模型,进而在审计监控平台上实时监控风险信号其中部分异常信号可能直接产生审计线索要实现这个目标,审计组织B首先要研究公司所有的系统,清楚了解公司数据的存储、逻辑和结构,掌握数据和业务之间的逻辑关系;其次在熟悉数据的基础上,审计组织B还负责创新审计方法并进行应用,如落地大数据审计、实践人工智能在审计中的应用、对审计人员进行新技术和新方法培训等内部审计价值模型的下游是审计组织C,主要工作是将上游组织发现的各项风险汇集成线索库,并将线索通过现场审计进行鉴证和评价,形成审计报告审计组织C具备两项基本职能:第一,对审计项目进行管理,在年初制订审计计划并根据实际情况进行调整审计计划是弹性的,大部分基于前端业务风险研究输出的审计线索,也是基于上游的价值驱动集团审计如果认为某个风险重大,则可能开展专项审计;如果评估某个风险非常有价值,则可以优先实施审计第二,对审计质量进行督查,保证审计项目的质量。
这种督察类似生产线上的质量控制,区别仅在于控制的对象是审计工作,包括审计项目本身、前端的风险研究是否有遗漏、工作底稿是否规范等上述虽然是行政上的组织架构划分,但S集团审计对于审计人员的管理是矩阵式的在横向业务风险研究层面,S集团审计根据具体的业务领域划分多个风险研究小组,覆盖全部业务领域风险研究小组成员实行双向汇报制,纵向专注审计流程环节及成员行政管理,横向专注业务风险管理每个风险研究小组由3—5名具备审计专业或业务背景的审计人员组成,实行组长领导下的风险责任制组长负责统筹本领域的风险域细分、风险研究工作安排;其他成员负责细分风险域的具体研究在业务风险研究工作中,大数据是最重要的资源,审计人员将业务活动产生的各方面海量数据与专业知识相结合,用数据还原真实业务情景,进而建立审计模型、输出风险线索并进行实时监控对于小组成员挖掘出的风险线索,组长可以提请集团进行审计风险评估,对重大的或有价值的线索可以迅速发起专项审计四、敏捷内部审计实施及成效确定敏捷内部审计框架后,S集团审计发起了大量业务研究识别异常风险驱动的审计项目,并获得了很好成效一)敏捷内审实施项目示例案例1:基于数据挖掘出折扣促销环节隐藏风险在折扣促销业务中,经常存在人为利用系统不完善进行不正当套利的行为。
这些做法以往都需要现场审计或者情报搜集才能被发现,审计应对较为被动实施基于业务+数据研究的敏捷审计后,对于快递末端折扣定价场景,审计后台销售风险研究小组通过数据挖掘分析发现,收派员通过虚假收取到付件再取消寄件可以获得不正当收入异常风险迅速驱动审计立项经过业务部门跟进核查,完善系统规则,该审计项目为公司挽回大量损失案例2:基于大数据技术快速排查供应商围串标在供应商围串标风险研究中,审计后台采购风险研究小组基于现有供应商及采购数据、公司特有数据资源,带动审计中台人员共同搭建关系图谱,包括天眼查工商信息关联、交易关联、联系方式关联、地址定位关联等数据纬度;对审计期间全网寻源项目进行全量分析,精准定位输出多项疑似样本线索审计人员根据风险研究线索随即发起的供应商围串标排查专项最终查实多个围串标供应商整个项目数据分析历时2周、线索排查历时2周,合计1个月时间这比过往的抽样后线下排查的审计模式更加精准、快速案例3:新冠肺炎疫情下地区非现场审计敏捷高效面对新冠肺炎疫情期间实施某地区审计的需求,S集团采取“A+B”敏捷内部审计模式,审计中后台团队大部分为远程人员,作为A角采用数字化工具挖掘风险,制订审计方案,远程配合现场审计前台B角开展审计工作,并出具报告。
现场审计人员仅对少量问题实施取证和勘察,在项目人员投入减少一半的基础上,短短一周内完成现场审计需要两周方能完成的任务,取得良好成效该项目模式后续也成为S集团审计主要推广的审计模式之一二)敏捷内审实施成效第一,业务风险研究驱动的敏捷审计成为审计项目发起的主要方式,使审计部门能够对新风险及时响应、主动全面掌控目前S集团基于业务风险研究驱动的审计项目已经超过50%,成为审计项目发起的主要来源基于业务风险研究驱动的审计解决了计划安排覆盖不足、不同业务区审计发现问题重复、新业务风险跟进滞后等问题,优化了资源投入,缩短了审计项目周期第二,业审融合更加紧密审计人员基于业务+数据研究发起的审计项目,能够线上推送审计线索给经营单位自查反馈,并与经营单位联动探讨;审计部门在提供自查建议的同时,也将新的工具和方法提供给经营单位,帮助其提高自身风险管控水平新的敏捷审计方式促进了审计与经营单位合作,提高了經营单位的满意度,推动了公司层面风险治理水平的提高第三,减少现场审计比重,大幅降低审计成本S集团审计通过线上模型监控发现问题,进行数据验证,再协同地区业务核查,减少了出差频率,极大降低了审计成本,提高了审计效率。
第四,审计人员数字化能力迅速提升审计组织B在搭建审计数据中台的同时,也对各风险研究小组的审计人员进行了大数据和机器学习相关技能培训截至目前,S集团审计部门超过50%的审计人员具备了大数据调度取数、分析建模的能力,可以自行完成浅水区作业,问题发现的数量。