在线网络审计构建模式和实践应用探讨,本文主要内容关键词为:在线论文,模式论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、在线网络审计产生的背景 当前,国家制定实施了一系列信息化发展战略和发展规划,超高速宽带网络、新一代移动通信技术、云计算、物联网、计算机仿真等新技术、新产业、新应用不断涌现,全面提升了国民经济信息化水平,网络时代、大数据时代已经到来。企业信息化技术的快速发展应用改变了传统的企业经营管理模式和会计核算模式,逐步向电子化、网络化发展,各种信息系统日趋复杂,数据量急剧增长。半手工作业的传统审计方式遇到了严重挑战,已经无法实施较为全面的审计工作,不利用计算机网络技术和数据分析技术,审计范围和深度无法保证,由此带来了较大的审计风险。如果无法在信息化的潮流中乘势而上,就可能被信息化时代的浪潮所淘汰。 为了摆脱当前内部审计面临的困境并实现内部审计的发展,审计信息化建设成为当前关注的重点。国资委和审计署都要求中央企业要加快推进审计信息化的建设发展,审计署“十二五”信息化规划也指出,要推动审计管理和质量控制数字化,提升信息化环境下的审计水平。国家信息化领导小组在电子政务建设指导意见中也提出,要启动和加快建设“金审工程”。 在国家及行业信息化要求的驱动下,在公司全业务、全流程、集中数字化管理的环境下,内审工作亟须以审计信息化为抓手,促进各项工作转型。审计效率和效果的提升离不开网络信息技术的应用;因而现行的审计方法和思路必须进行相应革命性的改变,由此需构建一种新型的审计模式,以现代化的网络审计技术和手段来应对信息化的挑战,在线网络审计模式应运而生。 二、在线网络审计的定义 在线网络审计属于创新领域,在国际国内尚无较多先进经验可循,需要结合行业及企业自身特点,自主创新建设。根据业界标准和在实践中的经验,给出在线网络审计的粗略定义:在线网络审计是指内部审计机构基于互联网和内联网,借助现代网络信息技术,运用数据分析和挖掘的方法,通过建立专用审计系统,对被审计单位的网络会计和经营业务信息系统的合规性、可靠性和有效性以及基于网络的会计和业务信息的真实性、合法性进行远程实时审计,如图1所示。
在线网络审计的优势是扩大了审计的覆盖面,提高了审计效率,加强了审计监督的时效性;不足是当前信息化审计人才缺乏,审计系统对于非数据化、非财务化的经营业务等方面的审计资料难以处理。通过在线网络审计,目的是使内部审计工作由传统审计向风险导向型的在线网络审计转型;将审计资源聚焦在高风险、重要性的业务领域,提升审计的效率和效益;建立审计成果的展示平台,把审计发现的问题持续曝光,促进有问题的单位引以为戒,持续改进。实现审计监督和管理的信息化、数字化。 三、在线网络审计的通用实现模式 在线网络审计系统通常采用“统一平台+审计专用软件功能+统一开发集成规范+审计功能扩展接口”的方式进行迭代化构建,以实现整个系统架构清晰,功能丰富明确、可扩展性强,如图2所示。
从体系结构出发划分的系统层次,按照从底层到顶层,从基础服务到审计应用功能的设计思路,审计作业系统可划分为四个层次,包括应用运行集成环境层、统一数据交互层、基础资源管理层以及应用支撑层。基本实现模式如下。 (一)建立审计数据仓库 在数据统一采集标准的基础上,通过不同的采集方式对被审计单位的数据进行采集,并转换成审计需要的数据(审计中间表)的功能,形成审计数据仓库,实时提供审计需要的数据。以ERP系统数据采集为例,数据仓库有以下数据采集方式。 一是集中采集和随需采集。依据数据获取的渠道分为集中采集方式与随需采集方式。集中采集意味着ERP中的财务数据、经营系统的业务数据统一由审计系统中数据库服务器上的采集工具进行集中式的大数据量采集。采集完成后,可以实时在线从数据库服务器中提取所需的审计数据。随需采集是特指审计作业系统根据具体审计业务需求直接连接ERP系统和经营业务系统进行相应的数据采集。二是备份采集和直联采集。由于ERP是公司重要的生产环境,对其采数原则上尽量保证对其最小的影响。因此对于ERP系统的连接方式,通常有两种采集方式。第一是备份采集。利用ERP中间应用层进行数据的导出(或者对于集中数据采集完成后,从审计数据库中导出数据),导出的格式可以是TXT、Excel的方式,现场作业软件接到这种备份文件后,根据系统中已有的转换规则把ERP的数据采集进入系统,这种方式不与ERP系统直接相连,可以避免对企业生产系统的干扰或破坏。通常在单机作业应用模式中采用较多。第二是直联采集。这种方式直接采集生产系统中的底层应用数据,根据要求定制采集任务,可以快速、灵活地完成采集作业。因直接与ERP进行连接,会对生产系统造成影响,在采集过程中需要实时监控采集任务,发现异常时及时发送警报或终止任务,因此建议直联采集模式,可以应用在审计系统数据库服务器的集中采集,网络版的数据审计服务器采集方式。 笔者所在公司由于已经建立了全国集中的数据应用中心,汇聚了各个应用系统的业务数据,形成企业应用数据仓库。所以审计系统具有集中采集和直联采集的特点,采用在公司总的业务数据仓库的基础上建立审计数据集市,从业务数据库直接获取审计所需数据,以增强审计发现问题的时效性,见图3。 (二)建立审计数据分析模型 在线网络审计的核心部分就是建立审计数据分析模型,通过审计模型实时监控企业的财务状况和经营状况,及时发现存在的问题。通过模型实现对企业全过程和全业务的透视。在线网络审计系统的数据分析模型将审计人员的职业判断以命令的方式表现出来,通过执行各种命令检索出可能存在问题和风险的业务记录,予以详细审核、归类和汇总,从而发现问题,这就是典型的“审计师思考、计算机分析”的审计方法。审计数据分析模型有利于将审计人员从繁重的重复性简单劳动中解救出来,从事更有效益的审计分析和判断工作。审计分析模块是强大的分析工具,提供命令、表达式、函数、变量作为主要的分析功能,并通过表格、脚本、日志文件、工作空间、文件夹来实现对每一个审计项目分析过程的储存和管理。审计数据分析模型主要分为通用型和专用型。 1.通用审计数据分析模型。对于企业的数据,由于各行各业的企业性质不同,业务类型不同,采用的企业生产管理和业务管理信息系统不同,管理内容也不同,所以数据的类型和结构更是多种多样,为了方便审计人员灵活的对业务数据进行查询分析,并实现财务与业务数据关联查询分析,在线网络审计系统需要提供一种对所有数据表结构都适用的通用数据查询分析工具,见图4。
通用分析模型工具功能点包括:一是可以用通用的数据库查询语言如SQL语句进行查询,可以用条件设置组合进行查询、筛选、数据分类汇总、数据钻取、合并计算、排序等分析手段对数据进行加工处理和分析。二是提供有图形化的操作界面,辅助用户创建动态查询的SQL语句。三是提供常用的SQL语句、符号、函数辅助录入的功能,简化创建SQL语句的过程,以帮助用户快速准确的生成SQL语句。使用户只要掌握很少的查询语句知识,就可以通过该工具对引入的数据进行十分复杂的查询,得到各种需要的审计分析数据。四是审计数据分析模型结果可提供多种形式展示,形式包括:数据表、图表等展示界面,并支持打印输出和导出为WORD、EX-CEL等文档的功能,同时支持将分析结果作为审计证据附加为审计工作底稿的附件。 2.专用审计数据分析模型。专用数据分析工具是指由系统定制或用户定制的针对某一具体审计事项的分析模型工具。分析模型是指审计人员根据审计需要,根据预想的判断结果,向数据分析中输入待审计数据,系统根据分析审计人员定义的算法,由系统进行数据的查询、筛选、分类汇总、钻取、合并计算、排序等,得出结果供审计人员判断是否存在问题,这些算法即构成审计模型。如收入真实性分析模型、采购交易测试模型等。类别可分为:财务审计类模型、工程审计类模型、内控审计类模型、经济责任审计类模型、经营审计类模型、信息系统审计类模型。审计模型的意义在于一方面可以复用已有的经验与方法,极大的提高工作效率和工作质量;另一方面,也可不断地将审计经验积累、复用、共享,提高审计团队的整体水平,见图5。 审计模型的功能点包括:一是审计模型可以存储为模板,用户可根据需要选择调用;二是支持用户选择全部或部分调用相应的审计模型进行执行;三是提供实用多样的对分析结果的处理方式,数据、图表展示界面支持打印输出和导出为WORD、EXCEL等文档的功能,并可作为审计证据附加为审计工作底稿的附件;四是支持分析模型的导入、导出,以实现分析模型的上传发布和下载共享。 (三)审计数据分析模型自动化 由于不同企业业务类型不同,采用的生产管理和业务管理信息系统也不相同,系统数据的类型和结构更是多种多样,为了方便审计人员灵活地对业务数据进行查询分析,并实现财务与业务数据关联查询分析,需要提供系统自助建模工具。自助建模要具备可扩展性和可学习性,审计人员根据数据仓库中的审计数据中间表,根据审计经验,结合审计方法,可自助编写SQL语句程序,形成审计分析模型,写入到系统中,下次进行分析的时候,可以调用该模型进行自动分析并与其他审计人员共享。 四、在线网络审计在内部审计中的实践应用 笔者所在公司为通信公司,是“集团公司—省分公司(31个)—地市分公司(335个)”三级架构,经营活动的基础单元是地市分公司(即本地网)。近年来,公司信息化建设快速发展,ERP系统全面部署,ESS、MSS、BSS逐步走向集中,数据仓库和应用集中建设,为审计在线网络化审计提供了良好的基础;根据公司信息化规划和信息化建设现状,内部审计加强了审计信息化建设,实现审计方式由手工操作向现代化的计算机信息化处理的根本转变,并以审计信息化为抓手,促进审计方式的转变和审计工作的转型。为了加强集团公司管理和内控体系建设,改善经营管理和财务管理,完善审计监督机制,提高风险防范能力,内部审计构建了一个结构合理、安全高效、快速反应的审计信息网络平台,建设了全国统一的“在线预警监控+实时网络审计”相结合的在线网络审计管理系统,支撑内部审计管理模式、审计方式和方法的转型,实现不同层级的审计管理目标。系统架构如图6所示。
实现主要功能包括:一是建立审计数据集市。规划容量为200TB,基于集团DW数据库,打通系统间数据壁垒。二是开展在线预警。基于每月业务、财务统计指标,对31个省份的经营和财务风险进行预警,对335个本地网进行指标监控和异常预警,界定异常本地网。三是实现在线监控。通过预设的126个监控模型,每月定期对全国335个本地网进行扫描,部分模型可实现对具体用户和账单级问题数据的定位。四是提供审计查账工具。提供“异常科目→异常期间→异常明细账”的查询和分析,ERP复杂操作不再成为审计障碍。五是提供现场数据处理工具:提供千万量级的数据处理能力,降低对数据库语言的要求,数据分析经验能够移植、共享。在线审计系统以审计数据集市为基础,以“模型”为核心,实现两级和两维度(指标预警+行为监控)监控,提供两个实时作业审计工具(ERP查账工具+ACL数据审计工具)。下面主要介绍我们在模型建设方面的实践和应用。 (一)以模型建设为核心 在线网络审计的模型体系分为两个维度,即预警模型和监控模型,分别实现账表级的指标预警和问题级的行为监控。 1.预警模型。常规分析预警模型。通过对业务、财务、综合、固定资产投资等指标进行同比环比分析,并将分析结果根据排名进行图表展示。根据风险分析的结果就可以进行审前分析,确定要审计的对象和风险点。比如说,对集团而言,通过针对每个指标的环比增长率、同比增长率、年累计同比增长率分析,默认对排名后三名的省进行红色预警,选定某个省后,再对排名后三名的本地网进行红色预警。也需要对低于全集团平均值的省进行黄色预警,选定省后,再对低于全省平均值的本地网进行黄色预警。见图7。
通过常规分析预警、波动分析预警等分析方法产生的风险预警分析结果,统一形成一个标准模板的预警分析报告。预警分析报告的内容包括:风险区域、风险点、风险来源、发生时间、分析根据、可能造成影响或经济损失以及事态发展等。专题分析预警模型。通过建立专题分析预警模型可实现对某一项业务进行预警。正常情况下,集团移动业务采用统一的佣金规则,代理商发展用户与营销政策及代理商规模有关,通过预警模型指标如发展用户数、佣金金额等发现用户发展不稳定,或是代理佣金浮动变化较大,或是发展用户数与佣金产生严重背离等情况发生,则应作为现场审计重点关注对象,对其进行进一步监控。主要关注的预警模型指标包括:计提佣金金额、通服收入、发展用户数、社会渠道发展用户数、社会渠道净增出账用户数、净增出账用户数、社会渠道手机终端销售数量、佣金占收比、用户发展与佣金背离率、收入变动跟佣金变动背离率。针对代理佣金风险预警模型中预警指标单独设置权重,权重合计按100%进行验证。 2.监控模型。审计业务在线预警监控系统通过审计数据集市与公司相关业务系统(BSS、ESS、ERP、PMS、海波龙报表、经分等系统)进行连接,实时(或定期)采集业务数据,为在线预警监控提供数据基础。以审计数据集市为基础,根据公司管理层关注的重点和风险预警监控发现的主要风险,运用多维度分析、关联分析、深度挖掘等多种技术方法构建审计模型进行数据分析,建立专题在线预警监控模块,实现持续审计监控和督促整改,例如可实现3G专项审计、异常卡数据稽核、三方用户差异稽核、代理商批量开户专项审计、套餐效益审计等。通过审计数据集市和审计技术方法结合,实现审计人员非现场在线预警监控,减少审计人员,扩大审计覆盖面,省去进驻现场对被审计单位日常工作影响,提高审计效率。在线预警监控模块是对风险预警监控指标宏观上发现的问题点进行深度挖掘,针对风险预警发现的风险点,设计对应的在线预警分析模型。通过对用户级、账单级、甚至详单级、明细级数据进行清洗、挖掘、分析、对比、分类汇总,来判断风险是否真实存在,以及风险的规模、程度、涉及范围,并能聚焦到存在问题的用户和具体代理商,并判定带来的影响。 (二)灵活的在线网络审计系统展示界面 好的界面展示对提高系统使用效果很有帮助,模型做得再好,但展示复杂、界面不友好,会大大降低系统使用效果。笔者所在公司是“集团公司—省分公司—地市分公司”三级架构,集团公司层面要对整个集团在线网络预警情况进行分层次实时监控审计,省分公司审计人员要对本省份的在线预警情况进行分层次实时监控审计,灵活、适用、重点突出是对系统展示的要求。示例如下: 集团公司层面展示见图8。展示全国31个地区风险预警情况全景,包括红灯数占比(红色预警指标数/本地网数×预警指标数),趋势(环比)。按红灯数占比进行倒序排名,按占比阀值(可调)大小可分不同等级,根据不同等级可在预警地图中分别用红色、黄色、绿色标示(注:此图为模拟数据)。 第二层概况见图9。展示省分公司—本地网预警情况,包括红灯数、黄灯数、绿灯数、红灯数占比、趋势等。
点击本地网,展示本地网—专题预警情况,如图10。
点击一级专题名称,展示此一级专题下所有四级问题监控点预警情况;点击红色柱状图,展示此一级专题下红色预警的四级问题监控点预警情况;点击黄色柱状图,展示此一级专题下黄色预警的四级问题监控点预警情况;点击绿色柱状图,展示此一级专题下绿色预警的四级问题监控点预警情况,如图11。(监控点涉及企业秘密,进行了模糊化处理)。
针对每个四级问题监控点,点击详细分析,查看此监控点的仪表图和详细数据分析。 五、在线网络审计实施后产生的效用 (一)在线网络审计系统促进审计工作转型,实现审计流程对公司全业务的全面覆盖 在线预警监控的应用将促进公司目前较为传统的审计工作方式向“在线预警监控+远程网络审计”相结合的审计方式转变。通过在线预警监控应用来支撑在线监控整个业务流程的闭环管理,全面覆盖集团、省、市各级部门。具体如下: 1.审计计划。预警分析模块进行风险预警与分析,从各类财务、经营报表中获取审计分析的基础数据,通过预先定义的预警指标与模型,对高风险的指标进行预警,同时定位预警的目标省份及本地网。集团审计部根据风险预警与分析的结果(业务领域、所属地域),并结合领导提出的审计工作要点,制定常规审计与各类专项审计计划,包括年度审计计划和季度审计计划。 2.任务分派。根据预警指标分析和在线监控分析报告,开展对审计分部、本地网的现场审计和核查。对于常规审计,主要由集团审计部分配到审计分部,由审计分部进行审计计划的进一步分解与分派。对于专项/高风险领域的审计,将由集团审计部直接派人员至省分公司及本地网进行现场审计。 3.审计执行。在线监控模块定义各类在线监控模型,对应相应的预警分析指标,从账单级、详单级等明细数据识别出目标用户群和异常交易。现场审计工作将提高审计效率,直接对异常的用户和交易进行审计。 4.审计报告与整改。对于常规审计,分部执行审计工作的审计报告,由集团审计部进行评估复核,经过确定之后进行相应的整改。其中高风险或未达到审计目标的领域或事项,将由集团审计部进行进一步的审计工作,出具最终的审计报告并整改。 5.在线审计闭环与持续监控。针对审计发现结果查明原因并提供整改报告,对审计发现问题进行持续在线预警监控。集团审计部定期分析风险趋势与发现的异常信息,及时调整风险预警分析与在线预警监控的领域、指标与阀值,保证在线预警监控更合理、全面地指导审计工作。 (二)审计范围扩大 1.审计对象区域范围扩大。在线审计系统成为审计的“千里眼”,由于在线审计系统与财务ERP系统和经营业务系统实时在线连接,全国范围内的业务数据尽在掌握之中,传统审计每年只能现场抽审数量较少的分公司,而在线网络审计可以实时对300多个本地网分公司进行全面覆盖审计,审计区域范围明显扩大。 2.审计业务内容范围扩大。在线网络审计通过建立预警系统和在线监控模型,实现了对财务、市场、建设、运维、采购等各业务线的全方位审计,不留死角,审计业务范围明显扩大。 (三)审计效率增加 通过在线网络审计,传统审计中60%以上的工作在进驻现场前远程进行,大部分的审计线索和审计问题通过在线远程发现,现场只需落实;而且,通过审计监控模型建设自动化机制,进行智能化建模,在一个地方发现的问题,通过生成监控审计模型,可直接应用于全国范围内,审计效率大大提高。 (四)审计动态监督 通过在线网络审计系统发现的问题自动进入审计整改监控流程,通过网络对审计发现问题的整改进度进行实时监控,促进审计成果的有效转化和落实,实现问题整改工作的流程化、规范化、集中化,保证审计成果落到实处。 (五)实现增值型审计 通过在线网络审计贯穿企业各大系统的优势,实现财务数据和业务数据的多方位关联,通过审计数据仓库的审计挖掘功能,对企业存在的问题进行深度挖掘分析,找出影响效益的深层次原因,提升企业价值,发挥内部审计增值作用。目前由于在线网络审计起步晚于企业信息化建设,以相对独立,通过接口或备份库的方式建立,存在先天不足,如无法深入到业务流程中进行监督,对于非数据化业务信息无法进行处理,经营决策的事前监督缺位等。在线网络审计未来发展方向应是与企业整体IT发展战略和系统构架规划一起考虑,将审计监控点分布到经营系统的各个关键部位,构建内部审计免疫神经系统,收集来自企业全方位的信息进行监督和审计。 本文通过对在线网络审计的定义和在实际中的应用做了基本的介绍,主要对以审计数据集市为基础,以审计模型为核心的在线网络审计系统进行阐述,以及实践应用进行了展示。由于在线网络审计需要公司业务流程和财务流程管理高度信息化的基础上才能进行,各个行业信息化程度各异,具体建设方式和审计模型不能完全套用,仅供审计同行们参考借鉴。
标签:大数据论文; 审计计划论文; 审计软件论文; 信息化规划论文; 财务系统论文; 信息化管理论文; 审计质量论文; 会计与审计论文; 审计方法论文; 财务预警论文; 审计流程论文; 网络模型论文; 国家信息化发展战略论文; 审计目标论文; 云计算论文; 审计职业论文; 企业经营论文; 数据分析论文; 用户分析论文; 经营指标论文;
