数据化驱动下基于DMAIC模型的企业内部审计模式变革探析

作者简介:
王瑶瑶,刘国城,庞艳红,宁波财经学院,南京审计大学

原文出处:
中国内部审计

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2021 年 04 期

关 键 词:

字号:

      内部审计是三大审计的重要组成部分,是企业查漏补缺、防范风险的最后一道防线。整体而言,过激的内部审计容易限制业务发展,而松散的内部审计又形同虚设,把握好内部审计的度非常重要。内部审计作为企业的职能部门,职责不仅仅是查出问题所在,其最终价值的实现体现在问题整改、业务促进、增加价值上。对企业内部审计而言,其工作要领可简单概括为“全覆盖审计”“抓大放小”“复盘整改”等方面,但就目前情况而言,在上述方面都有欠缺。企业内部审计人员对业务的全面性了解不够,在确定风险问题时犹如管中窥豹,难以做到全覆盖审计;很难把握各类风险问题的严重性程度,难以抓大放小。此外,很多企业都不同程度地存在着问题整改不到位的情况,屡审屡犯、屡犯屡审现象频发,内部审计的质效不高。笔者认为,在企业内部审计资源有限和大数据环境下,唯有变革审计技术和方式,才能有效破解上述难题。

      一、企业内部审计中大数据技术运用文献回顾

      随着数字化经济的到来,各行各业都在提高自身的信息化水平,这为大数据在企业内部审计中的运用奠定了基础。鉴于银行业务“流水量”大,最初学者偏向于研究大数据技术在银行内部审计中的运用。颜元柳(2016)认为大数据技术在银行数据的采集、分析、核查方面能发挥较大的作用,应将商业银行的大数据分析平台分为审计数据、应用和管理三大模块。单琳琳(2016)以应用计算机辅助审计技术(CAATs)在国库会计数据集中系统(TCBS)的成功试验为例,进一步论证了银行业中大数据技术运用的可实践性。大数据审计最初运用于国家审计,金融类国有企业作为该审计的对象之一,冯新卫、闫丽云、金(2018)在分析中国工商银行上海分行等国企内部审计机制时发现其已运用大数据审计技术,在此情况下,当“上审下”时,国家审计也必须采用大数据审计以实现穿行测试。随着大数据审计概念的不断推广,其他行业对大数据审计的青睐也逐渐明朗。段凤霞(2019)提出了大数据技术在高校内部审计工作中的运用是一大发展趋势,并将大大提高内部审计效率。

      在以往的研究中,对企业内部审计中大数据技术的普及研究较少,且多是围绕金融、高校等行业和单位展开。近年来,随着越来越多的民营企业关注企业内部信息化建设,其内部审计中大数据技术运用的研究也不断丰富。刘青松、张小有(2019)研究了如何将大数据运用到企业内部审计中去,以提高内部审计效率。谌灿霞、宋晓睿(2019)着重研究了内部审计中的财务审计模块该如何运用大数据技术。同时,也有学者就大数据技术本身的固有优势进行研究。秦刚(2019)分析了数据挖掘技术在内部审计工作数据采集中的作用。大数据技术在企业内部审计中的运用也为企业输送了很多业务异常线索,提高了对舞弊违规的查处率。李世辉、杨丽、曾辉祥(2019)采用实证法研究了大数据审计下企业监察能力对企业规范运营的作用情况。

      综上所述,虽然对大数据技术在企业中的运用研究不断丰富,但多是围绕大数据技术本身在数据采集、分析方面的优势展开,对如何利用大数据创新内部审计模式,克服企业内部审计固有缺陷,以及实际运用大数据技术存在的问题分析却有所缺失,有待扩充及丰富。

      二、DMAIC模型在审计风险建模中的运用

      在数据化驱动下,内部审计模式的变革是必然趋势,而变革必然带来风险。然而,目前很多企业对已有风险都未能有效防控,这主要是因为风险的变异性和已有风险模型的不精准性。为让大数据审计将内部审计人员从更多的重复劳动中解放出来,提高其工作质效,在使用大数据审计模式时,须引进一种新的建模方式,把握业务风险的动态变化以保证风险假设的有效性,不断精准化风险指标以实现对风险的监控。

      (一)风险建模中DMAIC模型的适用性

      DMAIC是六西格玛管理中流程改善的工具,而六西格玛管理的出现是为了将业务流程中的问题放大观察,以实现对业务流程更为精细化的管理。就企业管理方面而言,风险建模也是为了将业务风险细化为某些指标风险,这与六西格玛管理理念具有一定的相似。再者,DMAIC模型从定义到控制,能将抽象的理念变得量化,从而能实现大数据分析,这与数据驱动下风险建模的智能化监控目标和实现路径是相符的。此外,业务风险的动态变化,使得跟踪审计过程中对原有风险模型的动态分析和调整改进成为一个循环向前的过程,而DMAIC模型的分析、改进环节也体现了循序渐进、不断完善的理念。可见,在企业内部审计风险建模中,从风险建模的理念、智能化监控需求、模型动态更新三个维度来说,DMAIC模型非常契合。

      (二)风险建模中DMAIC模型的具化

      那么,在风险建模中如何具体使用DMAIC模型呢?DMAIC模型主要包括五大流程:定义(Define)、测量(Measure)、分析(Analyze)、改进(Improve)、控制(Control)。如图1所示,风险建模工作相对于DMAIC模型而言,其主要工作流程包括了风险假设、风险指标设计、风险指标分析、风险指标优化、指标智能化监控这五大步骤,可以分别对应D、M、A、I、C五个方面。

      

      在定义(D)阶段,风险建模需明确风险假设问题,风险假设的形成可以是数据分析初探而来,也可以是业务分析所得,抑或是第三方举报形成。在该环节,内部审计人员应对风险问题进行定义,在此基础上考虑建立相关风险指标。风险假设的精细化,会直接影响风险指标设计的精准性,较为粗泛的风险假设往往需要结合多项指标进行综合分析,在缺乏历史问题经验的情况下,往往会造成指标异常范围较广,从而导致审计工作量的加大。因此,在测量(M)阶段,所选择的风险测量指标不仅需具有可测量性,更应该具备精准化,即能较为精准地探测出问题所在。当然,指标的精准化是一个循序渐进的过程,在设计风险测量指标后,需对指标进行进一步分析,即进入分析(A)阶段,在该阶段可以通过大数据分析,进行指标有效性的论证,对于超出阈值的指标所对应的业务项目进行深入核查,以探究导致指标异常的具体业务场景,从而从进一步核查的业务项目数量和深入核查的场景合理性两个维度去最终评估风险指标的有效性。对于低效或者无效的指标进行改进(I),具体改进方式可以采用更改指标、变化阈值、增设辅助判断指标等。在风险建模初步完成后,需进行风险指标的定期监控(C),从而对风险进行持续跟踪审计,直至该风险消失、风险指标失效。当指标监控工作失效时,内部审计人员应进一步考虑之前所假设的风险是否已发生变化,并进行新风险探索和挖掘。

相关文章: