论文部分内容阅读
[摘要]本文通过对基于大数据持续审计体系的研究,构建大数据持续审计平台和审计数据集市,对频发、高危领域的问题建立持续审计专题进行实时监控,定期印发持续审计通报并建立限时核查整改反馈机制,推动大数据持续审计结果运用,促进企业精细化管理水平和风险管控能力的提升。
[关键词]内部审计 结果运用 大数据 持续审计
一、电信业内部审计面临的新形势
随着移动互联网的快速发展和移动通信设备的普及,电信业数据量与日俱增,已全面进入大数据时代。一方面,在数据的体量上呈几何速度增长,数据计量单位从传统的Byte、KB、MB、GB发展到TB、PB甚至更高;另一方面,数据结构更加复杂多样,呈现多元化、非结构化特征,对数据的采集方式、传输方式、存储安全也提出更高要求,对电信业的内部审计方式提出新挑战。
在移动互联网快速发展的大环境下,审计工作需要从传统的事后审计向事前、事中、事后审计三者相结合的方式转变,从现场审计向远程审计、实时审计转变,从传统的抽样分析向大数据的全量分析转变,这些转变成为内部审计发展的大趋势,内部审计需要不断朝着审计信息化迈进,而持续审计成为审计信息化的重要发展方向。
持续审计是利用技术对交易事项执行自动化的监控测试和风险评估的方法,并实现审计方式从传统的周期性复核交易样本向持续监测所有交易的转变。持续审计通过将公司发展过程中频发、高危的问题通过持续审计建模进行系统固化,定期出具持续审计结果,扩展审计的监督覆盖面,及时揭示公司经营管理风险,对公司完善制度流程起到强有力的推动作用。通过持续审计监督,深入挖掘数据价值,可以有效推动相关重大决策部署落地实施,加强对关键业务流程的管控,实现对重要事项的全过程监督。
二、科技赋能,探索大数据持续审计
中国移动通信集团辽宁有限公司(以下简称公司)构建内部审计信息系统的过程中,探索研究“大数据+持续审计”深度融合的审计方法,创新开展数据平台支撑的大数据持续审计工作。
(一)采用云计算架构理念,建设内审管理平台
在移动互联网时代,利用大数据分析处理、实现对信息的掌控是企业抢占先机的关键所在。完成数据的信息提取,需要针对碎片化、可扩展性的大数据挖掘的基础设施。公司依托“私有云”平台,采用最新的云计算架构理念,建设内审管理平台(见图1),为实现“大数据+持续审计”深度融合打下坚实的基础。
软件服务SaaS提供WEB浏览器、云桌面访问功能,平台服务PaaS采用云化分布式Oracle数据库以及云化应用服务器,基础设施服务IaaS采用X86虚拟服务器和Unix系统,从而实现迅速部署、动态扩容、存储安全备份等功能。
(二)构建审计数据集市,打通数据壁垒
电信行业大数据领域的三大数据域主要为业务域(即B域,包括BOSS系统、CRM系统、经分系统、客服系统、酬金系统、终端管理等系统数据)、网络域(即O域,包括网络管理系统、综合网络资源等系统数据)、管理信息域(即M域,包括采购系统、合同系统、OA系统、ERP等系统数据)。电信行业的大数据应用主要体现为从B域、O域、M域三大数据域进行数据分析和挖掘,然而三大数据域之间长期存在数据壁垒和信息孤岛,多数系统间无法相互调用访问、底层实现机制千差万别、数据格式无统一标准。
在公司B域、O域、M域三大数据域尚未融合打通的大背景下,通过构建审计数据集市(见图2),事先设计标准的接口数据格式,将持续审计所需要的明细数据从三大数据域采集过来并进行预处理,形成审计底层数据的集合,打通不同系统间的数据壁垒,供持续审计模块进行调用和访问,打造审计专业自己的“大数据”。
三、大数据持续审计结果运用的典型案例
为进一步推动大数据持续审计结果的运用与落地,公司建立限时核查整改反馈机制,有效控制和解决频发、高危领域的问题。
案例1:专线开通后未及时计费
审计关注点:关注集团专线在网络侧开通后,在业务侧(BOSS系统)的计费及时性,识别集团专线开通后长期不计费所导致的收入损失风险。
专题模型:从综合网络资源系统获取集团专线开通数据,并与BOSS系统(业务运营支撑系统)对应集团专线业务的订购关系进行比对(计费号码),得到BOSS订购时间晚于综合网络资源系统开通时间的专线明细,分析汇总延迟计费时间差异大于N个月的集团专线问题明细(N为阈值,系统可设置)。
审计结果输出:某地市分公司BOSS系统计费时间晚于网络侧开通时间6个月(按31天计算)以上的专线XX条,晚于3—6个月的专线XX条,晚于1—3个月的专线XX条。网络侧已开通但截至审计时点仍未开始计费的专线XX条。
结果运用:省公司政企客户部针对持续审计揭示的问题进行整改,优化集团专线归档计费业务流程,改造相关IT流程,印发《关于集团专线强制归档计费功能上线的通知》,减少公司收入损失的风险,持续审计结果得到良好应用。
案例2:未及时缴纳预开发票集团业务营业款
审计关注点:关注集团客户在月结账单未结清的情况下预开发票后的回款及时性,识别预开发票后长期未缴清欠费的问题风险。
专题模型:按月从经营分析系统获取集团业务发票開具明细、集团客户欠费明细,分析汇总超过N个月仍未回款的集团客户问题明细(N为阈值,系统可设置)。
审计结果输出:对2016年以来集团客户预开发票后的缴费情况进行分析,发现全省均存在集团客户预开发票后超过6个月未缴清欠费(预开发票时间为2018年7月1日之前)的情况,全省共涉及集团客户XX家,欠费金额XX万元,比2018年11月持续审计通报的欠费金额减少XX万元。 结果运用:省公司政企客户部针对持续审计揭示的问题进行整改,要求全省各市分公司进一步加强集团业务预开发票管理,在BOSS系统中增加预开发票后欠费回款情况的查询统计模块,地市分公司加大欠费催缴力度,有效规避集团客户欠费风险和可能存在的税务风险。
案例3:手机话费小额支付异常
审计关注点:关注手机话费小额支付业务的使用规范性,查找手机话费小额支付违规套利等高风险问题。
专题模型:按月从经营分析系统账单表中获取最近3个月产生手机话费小额支付金额大于M元的明细,按照地市和入网渠道汇总报表。当统计发现同一入网渠道涉及的号码数量大于N个且该渠道为社会代理渠道,则初步判定存在套利嫌疑(M、N为阈值,系统可设置)。在此基础上可进一步分析疑似问题号码的营销活动办理行为和通信行为,佐证问题数据的违规性质。
审计结果输出:对2018年1—9月手机话费小额支付业务记录进行分析,发现部分买手机赠话费的营销方案虽规定最低消费、捆绑时长等防拆包限制,但赠送话费可通过手机话费小额支付业务用于购买指定商户的商品,形成套利空间并被个别代理商套利,防套利措施有待加强。比如,某分公司的2家代理商办理4G手机营销活动XX笔后,通过“猫池”等技术手段模拟通话和上网行为(每月产生GPRS流量约110MB、单次通话少于1分钟),绕过系统防拆包判断,并将预存款和赠送话费用于购买“手机话费小额支付”业务的产品,以抵消最低消费,共套取赠送话费XX万元和终端酬金XX万元。
结果运用:地市分公司依据持续审计通报结果,向违规代理商发起法律诉讼,追回公司损失。如果不以开展持续审计的形式对此类问题进行监控,就很难在常规审计项目中进行揭示和发现,凸显大数据持续审计的价值。
四、大数据持续审计结果运用的举措
截至2019年6月底,公司通过大数据持续审计已经实现16个持续审计专题,包括个人账户对外支付、专线开通后未及时计费、新入网用户无自主缴费、业务异常操作、违规积分操作、未及时缴纳预开发票集团业务营业款、单个号码叠加办理终端活动、采购订单异常、付款异常、疑似新装虚假宽带、疑似新装虚假魔百和、业务异常办理、手机话费小额支付异常、大额退费业务操作异常、当月个人异常欠费、基地及SP业务异常订购。
(一)可视化展示大数据持续审计结果,提高审计效率和质量
公司内审管理平台的持续审计专题实现可视化呈现(见图3),大力推进可视化分析在审计中的应用。同时,地市分公司及省公司专业部门可自行下载相关审计专题的明细数据和分析统计结果,便于开展自查工作。
(二)定期发布持续审计报告,促进公司管理提升
公司内审部门定期(按月或按季度)选取风险较突出的问题发布持续审计报告,省公司相关专业部门和地市分公司积极响应、协同整改,规避公司运营风险。
(三)限时核查整改,推动大数据持续审计结果的运用与落地
为推动大数据持续审计查出问题的整改、加强审计结果运用,在每期发布的持续审计报告中针对问题较为严重的被审计单位,提出明确的限时核查整改要求,并督促被审计单位按时通过OA系统(办公自动化)将核查整改结果进行正式反馈,实现大数据持续审计的闭环管理(见图4)。
被审计单位在核查持续审计发现问题的过程中,可以向内审部门提出优化建议,内审部门借此进一步优化持续审计模型,完善系统支撑能力,提高持续审计的效率、效果。被审计单位通过限时核查整改,加强了对关键业务流程的管控,及时挽回可能存在的经济损失,封堵业务及系统的漏洞。
(四)全生命周期管理,推动审计结果运用的闭环管理
在打造基于云计算架构的内审管理平台以及支撑大数据的审计数据集市的基础上,进一步将大数据与持续审计进行深度融合,开展实时(或准实时)、全量分析的大数据持续审计。开展大数据持续审计时按照风险选题、数据采集、模型构建、审计报告、限时核查反馈、整改确认六个步骤进行实施(见图5),其中,风险选题阶段,按照重要性、可行性和连续性三要素进行选题,重要性是指聚焦管理热点、难点和焦点问题;可行性是指具备相关数据基础,可利用信息化方式通过建模分析识别问题;连续性是指问题设计流程较长,频繁发生,无法一次性得到解决。数据采集阶段,将所需的持续审计基础数据事先导入持续审计数据集市中进行管理,并约定好数据的存储周期和安全备份方案。模型构建阶段,按照模型开发、结果验证、优化调整三个环节循环开展持续审计模型构建工作,直至达到审计专题预期效果为止。当持续审计专题所对应的风险已被有效控制、不再对公司的生产经营造成影响时,则对持续审计专题进行下线处理,从而实现持续审计专题的全生命周期闭环管理。
五、内部审计结果运用的成效
审计报告、限时核查反馈、整改确认阶段是持续审计的结果转化阶段,通过持续审计报告的展示揭示公司经营管理风险,通过限时核查反馈和整改确认工作推动审计结果的运用与落地,加强公司对关键业务流程的管控能力。通过持续审计通报揭示問题风险及相应核查整改,持续审计所覆盖问题的深度与广度得到不断提升。
公司将不断尝试创新审计技术方法,在内部审计信息化建设的基础上进一步探索向智能化审计转型,持续提高内部审计的科学化管理水平和工作质量、效率,从而更好地履行新时代内部审计的责任和使命,推动新时代内部审计的高质量发展,为企业健康发展保驾护航。
(执笔:刘明涛)
[关键词]内部审计 结果运用 大数据 持续审计
一、电信业内部审计面临的新形势
随着移动互联网的快速发展和移动通信设备的普及,电信业数据量与日俱增,已全面进入大数据时代。一方面,在数据的体量上呈几何速度增长,数据计量单位从传统的Byte、KB、MB、GB发展到TB、PB甚至更高;另一方面,数据结构更加复杂多样,呈现多元化、非结构化特征,对数据的采集方式、传输方式、存储安全也提出更高要求,对电信业的内部审计方式提出新挑战。
在移动互联网快速发展的大环境下,审计工作需要从传统的事后审计向事前、事中、事后审计三者相结合的方式转变,从现场审计向远程审计、实时审计转变,从传统的抽样分析向大数据的全量分析转变,这些转变成为内部审计发展的大趋势,内部审计需要不断朝着审计信息化迈进,而持续审计成为审计信息化的重要发展方向。
持续审计是利用技术对交易事项执行自动化的监控测试和风险评估的方法,并实现审计方式从传统的周期性复核交易样本向持续监测所有交易的转变。持续审计通过将公司发展过程中频发、高危的问题通过持续审计建模进行系统固化,定期出具持续审计结果,扩展审计的监督覆盖面,及时揭示公司经营管理风险,对公司完善制度流程起到强有力的推动作用。通过持续审计监督,深入挖掘数据价值,可以有效推动相关重大决策部署落地实施,加强对关键业务流程的管控,实现对重要事项的全过程监督。
二、科技赋能,探索大数据持续审计
中国移动通信集团辽宁有限公司(以下简称公司)构建内部审计信息系统的过程中,探索研究“大数据+持续审计”深度融合的审计方法,创新开展数据平台支撑的大数据持续审计工作。
(一)采用云计算架构理念,建设内审管理平台
在移动互联网时代,利用大数据分析处理、实现对信息的掌控是企业抢占先机的关键所在。完成数据的信息提取,需要针对碎片化、可扩展性的大数据挖掘的基础设施。公司依托“私有云”平台,采用最新的云计算架构理念,建设内审管理平台(见图1),为实现“大数据+持续审计”深度融合打下坚实的基础。
软件服务SaaS提供WEB浏览器、云桌面访问功能,平台服务PaaS采用云化分布式Oracle数据库以及云化应用服务器,基础设施服务IaaS采用X86虚拟服务器和Unix系统,从而实现迅速部署、动态扩容、存储安全备份等功能。
(二)构建审计数据集市,打通数据壁垒
电信行业大数据领域的三大数据域主要为业务域(即B域,包括BOSS系统、CRM系统、经分系统、客服系统、酬金系统、终端管理等系统数据)、网络域(即O域,包括网络管理系统、综合网络资源等系统数据)、管理信息域(即M域,包括采购系统、合同系统、OA系统、ERP等系统数据)。电信行业的大数据应用主要体现为从B域、O域、M域三大数据域进行数据分析和挖掘,然而三大数据域之间长期存在数据壁垒和信息孤岛,多数系统间无法相互调用访问、底层实现机制千差万别、数据格式无统一标准。
在公司B域、O域、M域三大数据域尚未融合打通的大背景下,通过构建审计数据集市(见图2),事先设计标准的接口数据格式,将持续审计所需要的明细数据从三大数据域采集过来并进行预处理,形成审计底层数据的集合,打通不同系统间的数据壁垒,供持续审计模块进行调用和访问,打造审计专业自己的“大数据”。
三、大数据持续审计结果运用的典型案例
为进一步推动大数据持续审计结果的运用与落地,公司建立限时核查整改反馈机制,有效控制和解决频发、高危领域的问题。
案例1:专线开通后未及时计费
审计关注点:关注集团专线在网络侧开通后,在业务侧(BOSS系统)的计费及时性,识别集团专线开通后长期不计费所导致的收入损失风险。
专题模型:从综合网络资源系统获取集团专线开通数据,并与BOSS系统(业务运营支撑系统)对应集团专线业务的订购关系进行比对(计费号码),得到BOSS订购时间晚于综合网络资源系统开通时间的专线明细,分析汇总延迟计费时间差异大于N个月的集团专线问题明细(N为阈值,系统可设置)。
审计结果输出:某地市分公司BOSS系统计费时间晚于网络侧开通时间6个月(按31天计算)以上的专线XX条,晚于3—6个月的专线XX条,晚于1—3个月的专线XX条。网络侧已开通但截至审计时点仍未开始计费的专线XX条。
结果运用:省公司政企客户部针对持续审计揭示的问题进行整改,优化集团专线归档计费业务流程,改造相关IT流程,印发《关于集团专线强制归档计费功能上线的通知》,减少公司收入损失的风险,持续审计结果得到良好应用。
案例2:未及时缴纳预开发票集团业务营业款
审计关注点:关注集团客户在月结账单未结清的情况下预开发票后的回款及时性,识别预开发票后长期未缴清欠费的问题风险。
专题模型:按月从经营分析系统获取集团业务发票開具明细、集团客户欠费明细,分析汇总超过N个月仍未回款的集团客户问题明细(N为阈值,系统可设置)。
审计结果输出:对2016年以来集团客户预开发票后的缴费情况进行分析,发现全省均存在集团客户预开发票后超过6个月未缴清欠费(预开发票时间为2018年7月1日之前)的情况,全省共涉及集团客户XX家,欠费金额XX万元,比2018年11月持续审计通报的欠费金额减少XX万元。 结果运用:省公司政企客户部针对持续审计揭示的问题进行整改,要求全省各市分公司进一步加强集团业务预开发票管理,在BOSS系统中增加预开发票后欠费回款情况的查询统计模块,地市分公司加大欠费催缴力度,有效规避集团客户欠费风险和可能存在的税务风险。
案例3:手机话费小额支付异常
审计关注点:关注手机话费小额支付业务的使用规范性,查找手机话费小额支付违规套利等高风险问题。
专题模型:按月从经营分析系统账单表中获取最近3个月产生手机话费小额支付金额大于M元的明细,按照地市和入网渠道汇总报表。当统计发现同一入网渠道涉及的号码数量大于N个且该渠道为社会代理渠道,则初步判定存在套利嫌疑(M、N为阈值,系统可设置)。在此基础上可进一步分析疑似问题号码的营销活动办理行为和通信行为,佐证问题数据的违规性质。
审计结果输出:对2018年1—9月手机话费小额支付业务记录进行分析,发现部分买手机赠话费的营销方案虽规定最低消费、捆绑时长等防拆包限制,但赠送话费可通过手机话费小额支付业务用于购买指定商户的商品,形成套利空间并被个别代理商套利,防套利措施有待加强。比如,某分公司的2家代理商办理4G手机营销活动XX笔后,通过“猫池”等技术手段模拟通话和上网行为(每月产生GPRS流量约110MB、单次通话少于1分钟),绕过系统防拆包判断,并将预存款和赠送话费用于购买“手机话费小额支付”业务的产品,以抵消最低消费,共套取赠送话费XX万元和终端酬金XX万元。
结果运用:地市分公司依据持续审计通报结果,向违规代理商发起法律诉讼,追回公司损失。如果不以开展持续审计的形式对此类问题进行监控,就很难在常规审计项目中进行揭示和发现,凸显大数据持续审计的价值。
四、大数据持续审计结果运用的举措
截至2019年6月底,公司通过大数据持续审计已经实现16个持续审计专题,包括个人账户对外支付、专线开通后未及时计费、新入网用户无自主缴费、业务异常操作、违规积分操作、未及时缴纳预开发票集团业务营业款、单个号码叠加办理终端活动、采购订单异常、付款异常、疑似新装虚假宽带、疑似新装虚假魔百和、业务异常办理、手机话费小额支付异常、大额退费业务操作异常、当月个人异常欠费、基地及SP业务异常订购。
(一)可视化展示大数据持续审计结果,提高审计效率和质量
公司内审管理平台的持续审计专题实现可视化呈现(见图3),大力推进可视化分析在审计中的应用。同时,地市分公司及省公司专业部门可自行下载相关审计专题的明细数据和分析统计结果,便于开展自查工作。
(二)定期发布持续审计报告,促进公司管理提升
公司内审部门定期(按月或按季度)选取风险较突出的问题发布持续审计报告,省公司相关专业部门和地市分公司积极响应、协同整改,规避公司运营风险。
(三)限时核查整改,推动大数据持续审计结果的运用与落地
为推动大数据持续审计查出问题的整改、加强审计结果运用,在每期发布的持续审计报告中针对问题较为严重的被审计单位,提出明确的限时核查整改要求,并督促被审计单位按时通过OA系统(办公自动化)将核查整改结果进行正式反馈,实现大数据持续审计的闭环管理(见图4)。
被审计单位在核查持续审计发现问题的过程中,可以向内审部门提出优化建议,内审部门借此进一步优化持续审计模型,完善系统支撑能力,提高持续审计的效率、效果。被审计单位通过限时核查整改,加强了对关键业务流程的管控,及时挽回可能存在的经济损失,封堵业务及系统的漏洞。
(四)全生命周期管理,推动审计结果运用的闭环管理
在打造基于云计算架构的内审管理平台以及支撑大数据的审计数据集市的基础上,进一步将大数据与持续审计进行深度融合,开展实时(或准实时)、全量分析的大数据持续审计。开展大数据持续审计时按照风险选题、数据采集、模型构建、审计报告、限时核查反馈、整改确认六个步骤进行实施(见图5),其中,风险选题阶段,按照重要性、可行性和连续性三要素进行选题,重要性是指聚焦管理热点、难点和焦点问题;可行性是指具备相关数据基础,可利用信息化方式通过建模分析识别问题;连续性是指问题设计流程较长,频繁发生,无法一次性得到解决。数据采集阶段,将所需的持续审计基础数据事先导入持续审计数据集市中进行管理,并约定好数据的存储周期和安全备份方案。模型构建阶段,按照模型开发、结果验证、优化调整三个环节循环开展持续审计模型构建工作,直至达到审计专题预期效果为止。当持续审计专题所对应的风险已被有效控制、不再对公司的生产经营造成影响时,则对持续审计专题进行下线处理,从而实现持续审计专题的全生命周期闭环管理。
五、内部审计结果运用的成效
审计报告、限时核查反馈、整改确认阶段是持续审计的结果转化阶段,通过持续审计报告的展示揭示公司经营管理风险,通过限时核查反馈和整改确认工作推动审计结果的运用与落地,加强公司对关键业务流程的管控能力。通过持续审计通报揭示問题风险及相应核查整改,持续审计所覆盖问题的深度与广度得到不断提升。
公司将不断尝试创新审计技术方法,在内部审计信息化建设的基础上进一步探索向智能化审计转型,持续提高内部审计的科学化管理水平和工作质量、效率,从而更好地履行新时代内部审计的责任和使命,推动新时代内部审计的高质量发展,为企业健康发展保驾护航。
(执笔:刘明涛)