「来源:|审计实践ID:one_auditor」
模型在科学、技术、工程、制造等领域扮演着非常重要的角色。通过模型的设计、推演再到应用于现实中,不仅能够可行性的验证,还能避免资源的无效投入,同时还可以预测风险和可能性。
审计模型是数字化审计的“发动机”,是审计分析算法的载体。审计模型可以通过通过计算机语言或代码进行构建,并在计算机中进行运行,获得结果输出。数据就相当于“汽油”,通过审计模型产生能量,为审计业务提供动力。审计模型的开发与应用从表面上看是技术性和操作性的,但也需要审计人员从基本的思维和思想上入手。
一、什么是审计模型
审计模型可以是广义的,思路模型和方法模型也可以叫审计模型。审计模型也可以是狭义的,如需要通过数字表达出来的逻辑关系、条件、目标等,还可以用计算机语言或代码表达并可以在计算机里运行。很多人理解的都是狭义的审计模型。
我们试着定义一下审计模型:为实现审计目标,应用数据分析方法,在既定业务规则和风险导向基础上,通过文字、数字、图形表达出来的,可以抽象出经济事项运行逻辑并能够推导或运行的关系原型。
二、开发审计模型的意义
1.将审计思路和方法通过逻辑关系体现出来。审计模型是逻辑关系的一种表达形式。
2.将审计经验通过数字语言固化下来。审计经验单靠文字不能简洁地表达出来,而只有通过审计模型才能把核心的思路展现出来。
3.有利于不断完善和优化审计流程和检查程序。审计模型本身也是审计思路和方法的体现,建立审计模型也是对审计流程和检查程序的检验。
4.使审计方法可以通过信息系统上进行运行,实现大数据审计。审计模型往往可以在审计软件上运行,在审计软件与信息系统进行对接基础上对数据进行全量分析。
5.促进审计人员具备数据化思维。不是每个审计人员都具备数据化思维。有些审计人员还没有这方面的清晰概念。
6.为持续审计和风险监测创造条件。审计模型往往以风险为导向,以指标为衡量依据,借助信息系统可以实时监测被审计单位的经营管理动态。
三、审计模型开发需要的条件
1.审计人员对业务流程的熟悉程度,只有对业务流程熟悉,才能知道信息系统都有哪些业务数据。
2.审计模型的运行还要依赖审计人员对审计软件应用的熟练程度和对信息系统中数据字段或数据结构的熟悉程度。
3.审计人员是否愿意学习新知识,是否勇于尝试新的方法。审计模型开发与应用必定会对审计人员所掌握的知识提出挑战。审计模型开发与应用中,必定会出现失败,而且刚开始时失败的次数和概率还很高。
4.审计模型开发与应用必须成为一个常态化的工作。
四、审计模型开发的路径
(一)实现路径
审计模型从框架到应用可以分为:思想或思路模型、方法模型、应用模型。思想或思路模型提供审计方向。方法模型提供解决问题的方法论,包括逻辑模型、数学模型、统计模型、分析模型。应用模型主要是解决具体的问题,包括指标模型、疑点模型、复核模型、确认模型。虽然这里面的概念可能不太准确,但是一种层层递进的关系,由粗到细,由宏观到具体。
(二)基于信息系统的审计模型开发路径
1.从思路到方法,再到模型设计。模型设计需要科学的方法,这在后面进行讨论。模型初步设计好后,先由实践经验丰富、具备信息化应用技术的审计人员进行评估。
2.审计人员对初步审计模型审核通过后,就可以进行测试,审核通过不了,就接着进行完善。有些好的审计思路和方法,不一定都马上能通过审计模型来展现。
3.审核通过的审计模型可以进行测试。有些测试可以在与信息系统对接的审计软件中进行运行,也就是线上运行;有些测试只能在线下的审计软件进行运行。线上可以运行的审计模型依靠审计软件能够对接到信息系统中正确的数据源或数据表。由于数据源或数据表可能对应多个信息系统,如果多个信息系统的统计口径不一致,审计模型就可能运行错误。现实中,很多企业的信息系统不是整合在一起的,而是由多个相对独立的子系统组成。
五、审计模型的建设步骤
(一)风险梳理
内部审计以风险为导向。风险在哪里,问题就可能在哪里。在设计审计模型前,要对所有要审计的业务流程有所了解,这些流程的关键控制点在哪里,可能会存在什么样的风险,已经发生过什么样风险,形成过什么问题和损失。
(二)情景分析
情景分析就是设想风险所在的业务流程在实际操作时会发生哪些情形,会出现哪些违规操作,或者会形成违规行为的条件是什么,等等。情景分析可以结合以往的审计案例,也可以请教相关业务专家,让专家帮助识别风险。情景分析的好处是更贴近实务,而不是仅凭审计人员的想象。
(三)模型设计
模型设计首先要把问题特征概括和抽象出来,其次是设定发现问题的逻辑思路,最后是找到实现逻辑判断的条件或数据字段。简单提炼就是:条件、逻辑判断、结果。如果对某一流程进行模型设计,可以包括以下步骤:流程分解、风险分析、思路设定、异常指标、模型开发。模型设计考验审计人员的逻辑分析能力、统计分析能力以及数学应用能力。
(四)模型验证
设计好的审计模型可以通过专家进行评估,评估通过后可以开展模型验证。审计模型的设计不可能一次成型,设计得很完美,也需要不断地改进。审计模型通过的原则有:成果性、可操作性、经济性、可用计算机语言实现性。如果有条件,审计模型可在数据沙箱里进行测试运营。
(五)模型推广
通过审计模型的推广应用,使审计检查能够更加聚焦于风险高、问题发生可能性大的领域。审计模型的推广不仅仅是为了解决具体问题,还为了促进审计人员具备数据思维和数据分析能力。
(六)模型管理
1.建立模型库。审计模型按运行载体大致可以分为两类:方法模型和计算机模型。方法模型可以从粗颗粒的思路模型到细颗粒的统计分析模型。计算机模型指可以在计算机上运行的模型。建立模型库,便于对审计模型进行统筹管理,使分散的审计模型能够关联起来,以发现更深层次的问题。
2.优化审计程序。审计模型的运行过程也是是审计人员将审计思路、审计程序、审计