内部审计是一种独立的、客观的确认和咨询活动,包括鉴证、识别和分析问题以及提供管理建议和解决方案。狭义的数字化转型是指将企业经营管理和业务操作的各种行为、状态和结果用数字的形式来记录和存储,据此再对数据进行挖掘、分析和应用。广义的数字化转型是基于狭义数字化转型的从战略、组织、人才、控制、流程、文化到信息系统等领域的企业管理全过程变革。
数字化转型在2018年之后进入爆发阶段,但是转型重点集中在营销、风险、财务和人力等领域,内部审计的数字化转型相对靠后。不过仅3年来内部审计行业也已经意识到了转型的必要性,从监管机构、内部审计协会再到企业决策层都在大力推动内部审计的数字化转型。进入新的元年,对于基础较差的企业来说:内部审计的数字化转型仍是重要的工作方向;而对于领先企业来说:基于数字化但是超脱于数字化的审计转型更应提上日程。
内部审计的数字化转型是审计内生和外生变量共同作用的必然结果。在各种内生和外生变量的推动下,企业内部审计的数字化转型已经步入快车道。内部审计如果无法有效地实现数字化转型,将很难胜任新时期内外部竞争的需求,满足董事会、高级管理层和员工的期望,以及树立审计权威和培育审计专业能力。
本文将从内部审计的发展阶段、逻辑架构、面临的问题、数字化转型框架方法、数字化能力、数字化转型路径和系统平台共7个方面阐述内部审计的数字化转型方法和路径。
一、内部审计的发展阶段
伴随着商业模式和信息技术的变化,国内外多数企业处于“审计2.0 →审计3.0”发展阶段,国内外领先企业则已进入“审计3.0→审计4.0”发展阶段,其中审计4.0阶段内部审计数字化的需要达成的目标。
图1 内部审计的发展阶段
随着经济高增长时代的结束,企业经营环境变得更加复杂。为了应对这种复杂的外部环境,满足外部监管机构日益严格的合规要求,内部审计作为风险防线之一越来越受到重视,同时审计理念也在多年实践中与时俱进。近年来,互联网与新兴技术的发展,特别是大数据、人工智能、区块链等技术的赋能,为内部审计提供了更多技术手段。在审计4.0阶段,由于数字经济和新兴技术的推动,审计与科技结合日益紧密,审计理念与审计科技的发展创新成为内部审计发展的两条主线。
二、内部审计的逻辑架构
内部审计是审计活动中的重要分支领域,它为公司治理、企业管理和价值实现提供了重要保障。与国家审计和公众审计一样,内部审计遵循独立、客观的原则,采用科学、有效的方法对被审计对象和事项进行鉴证、监督、评价或咨询。同时,内部审计拓宽和丰富了审计活动的内涵和类型。内部审计的审计对象远比国家审计和公众审计丰富和多元化,理论上企业经营管理和日常操作的各个方面都可以成为内部审计的对象,此外还可以开展独立咨询活动。
由于内部审计是一项专业要求极高的工作,因此内部审计师只有掌握了比被审计对象更为专业、更为深入的知识技能,才能树立审计的专业性和权威性,进而更加有效地履行审计职能、发挥审计价值。内部审计的知识技能包括内部审计基础原理、理论和实务规范,以及各项企业管理、业务操作、数据分析和信息技术相关的知识技能。
开展内部审计数字化工作,认识和理解内部审计的架构是非常重要的一个前提工作。我们认为:内部审计是一个综合架构体系,包括使命、愿景和目标,关键要素,组织和职责,审计程序,审计关键领域,审计方式,审计科技,审计基础支撑、审计关联方和审计活动,具体如下图所示。
图2-内部审计的逻辑架构
例如审计科技,我们认为其是顺应数字化时代的科学技术对社会和企业的各项变革和推动的趋势而在审计领域专业化分工下所形成的一种新型科技。审计科技与金融科技、监管科技、合规科技、风控科技等概念一样,它是利用传统和新兴科技来管理和执行审计活动的一种表现。
三、内部审计数字化转型面临的问题
由于内部审计的数字化或数字化的内部审计是实现审计数字化转型的必要条件,是实现“数字引领、数据强审”目标的核心手段,因此企业内部审计部门势必要投入足够的资金和人才来打造一支数字化审计新队伍。虽然领先机构已经在数字化内部审计上取得了不错的成绩,但是总体上当前我国企业开展数字化内部审计还存在许多问题,具体如下。
(1)缺少内部审计数字化转型规划和方案
当前中国内部审计行业总体上缺乏一个先进的内部审计数字化转型蓝图规划和实施方案。
(2)非结构化数据的采集和后续利用不足
当前许多企业的内部审计系统后台运行的是一个结构化的内部审计数据库,对于建立非结构化内部审计数据库和利用非结构化数据开展审计工作的案例较少。
(3)依赖编程或使用新工具的数据分析能力较低
当前一些内部审计部门的数据分析能力停留在简单的excel处理阶段,部分极端情况下甚至excel数据分析都极少使用,绝大多数审计人员既不会使用统计软件,也不会使用Excel多数数据分析功能。对于大数据审计和数字化审计所需要的其他数据分析工具如统计软件、BI软件、可视化工具、网络爬虫工具等更加不具备专业审计所需的操作能力。
(4)审计项目的数字化程度不高
审计项目一般是指针对公司治理、全面风险、核心业务、核心管理活动和信息科技等领域的专项审计活动,这些审计对象其中有一些是可以通过数字化进行改造的,改造的最简单的方法就是开发针对审计对象的一套定量指标体系。当开展专项审计活动的时候,通过数字化审计工具采集数据直接计算审计指标的结果,利用结果来直接评价被审计对象的合规性、风险性和效益性等。
例如在经济责任审计方面,虽然其是可以实现较高数字化水平审计的领域,但是由于一是部分企业的该项工作可以说是浮于表面、流于形式;二是缺乏科学的经济责任审计方法;三是经济责任审计的范围和内容不清晰;四是没有建立一套经济责任审计的评价指标体系,这些问题不同程度上导致当前经济责任审计的数字化水平很低。
又如在区块链应用方面,虽然一些领先机构已经开始在内部审计工作中布局区块链,但是还未见到内部审计应用区块链技术的成熟案例。大部分公司的内部审计师对区块链技术和应用完全不了解或只有模糊的认识,对于区块链应用于内部审计知之甚少。
(5)审计信息系统的数字化程度不高
当前市面上常见的审计系统是基于信息化时代对审计操作流程进行线上化实现的思路所开发的,核心功能集中在现场审计项目管理流程、非现场审计规则模型或指标的监控,部分系统融入了内部控制评价项目操作流程等等,缺乏大数据审计和智能化审计相关的数据基础和系统功能。总体上这样的系统只是一个支持审计信息化的基础系统,并不满足新时期数字化审计的要求。
尽管一些内部审计负责人和关键员工发现了市场的发展趋势并且意识到了变革的重要性,但是由于存在各种问题,工作未能取得突破,导致这一结果的主要原因包括:
首先,内部审计部门缺乏一套变革的方法论,且董事会和高级管理层虽然重视内部审计变革但是却没有投入足够的资源。
其次,内部审计并不了解领先公司是如何开展变革的。虽然一些领先的公司已经在这个探索过程中研究、开发和应用了一些先进的成果,但是广大非头部企业并不了解这些具体的领先实践的具体内容,因而也无法参照学习;
最后,内部审计部门缺乏掌握变革理论、熟悉数字化科技化知识和具备变革推动力的专业人才。毫无疑问,这是一个十分显著的问题。人才的缺乏直接导致内部审计错失了引领行业、创造价值的最好机会。
四、内部审计数字化转型的框架方法
内部审计数字化转型的方法包括了“审计战略方法”、“企业架构方法”、“场景审计方法”、“系统转型方法”,其中“企业架构方法”使我们推荐使用的方法,其能够更好地推动形成和落地企业级审计数字化转型。
我们认为:先行确定数字化转型的架构,可以降低数字化转型偏离企业目标的风险,有助于确保数字化转型体系的完整和准确,提高战略、业务、系统、数据和技术之间的协同效果。在这样的架构指导下,从顶层的使命愿景到中层的战略和架构再到底层的三个“支撑”,数字化转型有了一个可持续迭代和优化的完整体系。
内部审计数字化转型的核心指导思想是对内部审计的定位、价值和技术进行转型。具体来说:
(1)定位的转型:内部审计定位转型本质是从社会、监管、企业、客户和员工层面进行价值创造、价值保持和价值输出。
(2)价值的转型:内部审计的价值转型可以从进入企业战略、社会热点、企业痛点、新兴技术、绩效管控等领域提供咨询服务开始,并逐步拓展到审计服务。
(3)技术的转型:内部审计的技术转型深入推进审计科技体制改革,完善审计科技治理体系,优化科技计划体系和运行,提高审计科技应用能力,并且更加主动融入科技创新网络。
在内部审计定位转型、价值转型、技术转型核心理念的驱动下,我们得到了如下图所示的内部审计数字化转型框架方法。
图3-内部审计数字化转型的框架方法
根据内部审计数字化转型方法论框架,企业设计和实施转型的重点包括:一是明确转型的使命和愿景;二是设置转型目标;三是打造数字化审计的核心能力;四是采用数字方法和流程对审计流程进行数字化重构和优化;五是使用数字化的审计手段;六是引入审计科技;七是打造数据、业务和人才三大基座;八是构建数字化审计平台。
通过这八项举措实施各种导向和各种类型的审计转型。我们认为:内部审计数字转型的具体举措是应用战略规划、组织变革、审计科技、数据资产等构建审计核心能力,对审计流程操作、关键审计手段进行数字化再造。
例如在审计计划阶段,应用大数据进行审计智慧风险分析,构建数字审计项目视图,构建自动推荐匹配审计专家库等;在审计执行阶段,利用人工智能构建智能推荐审计访谈系统,构建自动审计程序执行自动审计,利用大数据进行非现场数据分析和审计预警监控,进行审计非结构化数据挖掘分析,开发智能小工具进行审计信息检索等;在审计报告阶段,可以进行审计报告结构化和自动化生成等;在审计整改阶段,可以构建自动问题整改推荐系统;在审计跟踪阶段,构建智能整改追踪系统,构建数字化审计价值分析体系等。
五、内部审计的数字化转型能力体系
通常来说,内部审计的数字化核心能力包括内部审计的战略管理能力、公司治理与组织变革能力、人才管理能力、业务管理能力、风险与内控合规能力、数据治理能力、信息科技能力、信息安全保护能力、创新管理能力和构建审计文化能力等。
若对上述能力进行分层,也可以划分为审计能力、业务能力和技术能力共3层的能力体系。我们认为在企业数字化转型进程中,内部审计也需顺势而为,加强保风险识别与评估、审计研究和咨询、战略和组织变革、业务洞察和分析、审计数据分析、审计技术创新等各项核心能力的建设。
图4-内部审计的数字化转型能力体系
以业务洞察和分析能力为例,具体应包括业务设计能力、业务操作能力和业务风险管理能力。业务类型和业务域根据企业经营管理的性质和内容所决定,例如对于商业银行来说,核心业务包括各项资产业务(如信贷业务、投资业务)、负债业务(如存款业务、对客理财)、中间业务(如支付结算)和表外业务(如承兑、保函、信用证)等。
六、内部审计的数字化转型路径
无论公司层面整体的数字化转型还是特定局部领域的数字化转型,从大方向来看其实施路径总体差别不大。企业在设计和执行内部审计的数字化转型实施路径时,重点是要明确自己的转型目标和期望成果到底是什么,自己已经具备了哪些资源和能力,各种不同的方法、措施所带来的实际效果和边际效用到底有多少。
图5-内部审计的数字化转型路径
七、内部审计的数字化系统平台
新时期的内部审计系统建设应基于信息化时代的审计系统架构和功能,结合数字化时代数字技术、新兴科技,并融入新的审计思想、方法和模式,打造一个以审计操作流程为基础、以大数据分析为核心、以人工智能应用为特色的综合型新信息系统。
图6-内部审计的数字化系统平台
以审计操作层为例:审计操作层是将内部审计核心活动或标准化程度较高的活动整体打造嵌入信息系统,是传统审计系统比较注重的功能,是内部审计信息化建设的典型代表。我们可以选取现场审计、远程和在线审计、风险和案件调查、内控评价、研究和咨询业务中的一种或多种来进行设计、开发。
与传统审计系统中侧重流程线上化功能不同的是,数字化的审计系统必须将大数据分析、人工智能技术融入到线上化流程之中,并且对流程模式进行变革,对流程环节进行优化和再造,分步骤、分阶段、分模块实现流程的自动化和智能化。
结语
企业的变革转型在不同的目标、不同的环境、不同的时期和不同的阶段一般会呈现出较大的差异化特点。在当前企业数字化这一大的背景之下,内部审计数字化虽然是一种以数字和技术为核心要素的变革新方向,但是仍然无法脱离传统领域审计的变革而独立发展。
我们认为,有效地构建和落地内部审计数字化,需要从内部审计的定义、目标、分类、范围、内容、组织、人员、方法、程序、工具、技能、系统和技术等开展综合性变革。企业的内部审计人员可以以数字化为手段,建立内部审计新生态,在数字化过程中引进战略审计、服务审计、开放审计、敏捷审计、数字审计、智慧审计等理念、方法和工具,完成数智生态审计转型。更多关于内部审计数字化转型的资料与内容,请参阅近期出版的《内部审计数字化转型方法论与实践》。