「来源:|审计实践ID:one_auditor」
外行看热闹,内行看门道。无论是审计部门的宣导和培训对象,还是审计新人,都喜欢看案例。好的审计案例,确实能让人学到很多东西,但是如果想把审计案例套用在实际审计检查中,却是不容易。原因有三点:一是审计案例大多数是经过加工,很可能会增加一些情节;二是审计案例所在的具体背景只会出现一次,就像一脚不能踏入两条河流;三是成功的审计案例要经过不同审计技术的组合和主观操作,很难复制到下一个场景中。
比起审计案例,审计模型才是真正的干货。不管大家都审计模型的理解和定义是什么,审计模型一般只有经验丰富、对审计流程、业务流程、数据分析充分了解的审计人员才会构建审计模型。审计模型有几个特点:
一是可复制性。审计模型是从审计检查流程和审计方案中提炼出来的逻辑线路,剔除了一些不可控及人为的变量因素,所以可以运用到不同审计项目中的同一个或类似的业务领域。
二是可传承性。审计模型也是审计人员经验的总结,不同于书面文字,审计模型往往可以流程图显示,更具可视化,更能把审计经验完整地传承下来。
三是可扩展性。审计模型可以针对一条业务流程的某一个或几个环节构建、设计审计模型,也可以对整条业务流程构建、设计审计模型,还可以就几条业务流程构建、设计关联性、验证性的审计模型。
四是可迭代性。审计模型不会第一次设计得就很完美,需要不断地测试、完善和升级。随着审计人员对业务流程了解地更加深入,对其可能存在的风险和控制缺陷也会有更全面地把握,审计人员迭代、升级后的审计模型也会输出更有针对性的问题疑点。
随着数字化时代的到来,审计模型的设计和开发将成为审计人员提升数据分析能力的重要手段。以下是对审计模型不太成熟的想法:
模型在科学、技术、工程、制造等领域扮演着非常重要的角色。通过模型的设计、推演再到应用于现实中,不仅能够可行性的验证,还能避免资源的无效投入,同时还可以预测风险和可能性。
审计模型是数字化审计的“发动机”,是审计分析算法的载体。审计模型可以通过通过计算机语言或代码进行构建,并在计算机中进行运行,获得结果输出。数据就相当于“汽油”,通过审计模型产生能量,为审计业务提供动力。审计模型的开发与应用从表面上看是技术性和操作性的,但也需要审计人员从基本的思维和思想上入手。
一、什么是审计模型
审计模型可以是广义的,思路模型和方法模型也可以叫审计模型。审计模型也可以是狭义的,如需要通过数字表达出来的逻辑关系、条件、目标等,还可以用计算机语言或代码表达并可以在计算机里运行。很多人理解的都是狭义的审计模型。
我们试着定义一下审计模型:为实现审计目标,应用数据分析方法,在既定业务规则和风险导向基础上,通过文字、数字、图形表达出来的,可以抽象出经济事项运行逻辑并能够推导或运行的关系原型。
二、开发审计模型的意义
1.将审计思路和方法通过逻辑关系体现出来。审计模型是逻辑关系的一种表达形式。
2.将审计经验通过数字语言固化下来。审计经验单靠文字不能简洁地表达出来,而只有通过审计模型才能把核心的思路展现出来。
3.有利于不断完善和优化审计流程和检查程序。审计模型本身也是审计思路和方法的体现,建立审计模型也是对审计流程和检查程序的检验。
4.使审计方法可以通过信息系统上进行运行,实现大数据审计。审计模型往往可以在审计软件上运行,在审计软件与信息系统进行对接基础上对数据进行全量分析。
5.促进审计人员具备数据化思维。不是每个审计人员都具备数据化思维。有些审计人员还没有这方面的清晰概念。
6.为持续审计和风险监测创造条件。审计模型往往以风险为导向,以指标为衡量依据,借助信息系统可以实时监测被审计单位的经营管理动态。
三、审计模型开发需要的条件
1.审计人员对业务流程的熟悉程度,只有对业务流程熟悉,才能知道信息系统都有哪些业务数据。
2.审计模型的运行还要依赖审计人员对审计软件应用的熟练程度和对信息系统中数据字段或数据结构的熟悉程度。
3.审计人员是否愿意学习新知识,是否勇于尝试新的方法。审计模型开发与应用必定会对审计人员所掌握的知识提出挑战。审计模型开发与应用中,必定会出现失败,而且刚开始时失败的次数和概率还很高。
4.审计模型开发与应用必须成为一个常态化的工作。这句话看似是句废话,但是据了解,能够开发审计模型的审计部门不超过20%。
四、审计模型开发的路径
(一)实现路径
审计模型从框架到应用可以分为:思想或思路模型、方法模型、应用模型。思想或思路模型提供审计方向。方法模型提供解决问题的方法论,包括逻辑模型、数学模型、统计模型、分析模型。应用模型主要是解决具体的问题,包括指标模型、疑点模型、复核模型、确认模型。虽然这里面的概念可能不太准确,但是一种层层递进的关系,由粗到细,由宏观到具体。
(二)基于信息系统的审计模型开发路径
1.从思路到方法,再到模型设计。模型设计需要科学的方法,这在后面进行讨论。模型初步设计好后,先由实践经验丰富、具备信息化应用技术的审计人员进行评估。
2.审计人员对初步审计模型审核通过后,就可以进行测试,审核通过不了,就接着进行完善。有些好的审计思路和方法,不一定都马上能通过审计模型来展现。
3.审核通过的审计模型可以进行测试。有些测试可以在与信息系统对接的审计软件中进行运行,也就是线上运行;有些测试只能在线下的审计软件进行运行。线上可以运行的审计模型依靠审计软件能够对接到信息系统中正确的数据源或数据表。由于数据源或数据表可能对应多个信息系统,如果多个信息系统的统计口径不一致,审计模型就可能运行错误。现实中,很多企业的信息系统不是整合在一起的,而是由多个相对独立的子系统组成。
五、审计模型的建设步骤
(一)风险梳理
内部审计以风险为导向。风险在哪里,问题就可能在哪里。在设计审计模型前,要对所有要审计的业务流程有所了解,这些流程的关键控制点在哪里,可能会存在什么样的风险,已经发生过什么样风险,形成过什么问题和损失。
(二)情景分析
情景分析就是设想风险所在的业务流程在实际操作时会发生哪些情形,会出现哪些违规操作,或者会形成违规行为的条件是什么,等等。情景分析可以结合以往的审计案例,也可以请教相关业务专家,让专家帮助识别风险。情景分析的好处是更贴近实务,而不是仅凭审计人员的想象。
(三)模型设计
模型设计首先要把问题特征概括和抽象出来,其次是设定发现问题的逻辑思路,最后是找到实现逻辑判断的条件或数据字段。简单提炼就是:条件、逻辑判断、结果。如果对某一流程进行模型设计,可以包括以下步骤:流程分解、风险分析、思路设定、异常指标、模型开发。模型设计考验审计人员的逻辑分析能力、统计分析能力以及数学应用能力。
(四)模型验证
设计好的审计模型可以通过专家进行评估,评估通过后可以开展模型验证。审计模型的设计不可能一次成型,设计得很完美,也需要不断地改进。审计模型通过的原则有:成果性、可操作性、经济性、可用计算机语言实现性。如果有条件,审计模型可在数据沙箱里进行测试运营。
(五)模型推广
通过审计模型的推广应用,使审计检查能够更加聚焦于风险高、问题发生可能性大的领域。审计模型的推广不仅仅是为了解决具体问题,还为了促进审计人员具备数据思维和数据分析能力。
(六)模型管理
1.建立模型库。审计模型按运行载体大致可以分为两类:方法模型和计算机模型。方法模型可以从粗颗粒的思路模型到细颗粒的统计分析模型。计算机模型指可以在计算机上运行的模型。建立模型库,便于对审计模型进行统筹管理,使分散的审计模型能够关联起来,以发现更深层次的问题。
2.优化审计程序。审计模型的运行过程也是是审计人员将审计思路、审计程序、审计