审计思考 | 数据化审计的定义和认知

原文标题《你悟或不悟，数据化审计就在那里》，原发于“中国内部审计协会”公众号11月14日推文，已获授权转载。

15年前，说到数据化审计，可能觉得很高大上，离审计人员很遥远。15年后的今天，数据化审计已然是审计人员安身立命的技能、是风险探索的工具、是审计智慧的延伸、是审计进行价值创造的基础。

正如2017年全国审计工作会议所指出的”要积极推进大数据审计，实现审计全覆盖，需要我们在审计理念、审计方法上不断创新。否则，就会被时代淘汰“。

对数据化审计的认知差异

“数据化审计”，简单五个字，内部审计条线的同事都不陌生。

但从内部审计工作实践看，正如莎士比亚所说“一千个观众眼中有一千个哈姆雷特”，对数据化审计，内审人员并不是都统一了认识。

不同的内审人，有的觉得数据化审计无所不能的，感觉是要“为梦想而窒息”；有的觉得数据化审计只是用来炫酷的，实际没啥用；有的觉得数据化审计是IT人员的事情，和业务人员也没啥关系；还有的认为数据化审计就是IT部门搭舞台，审计人员展现。

对数据化审计认知，涉及到数据化审计的定位、数据化审计的实施模式、数据审计的作用等等。由于认知差异的存在，每个审计人员对这5个字都有不同的理解，每个审计人对“数据化”审计都会有自己的看法。这些看法，有些是正确的，有些是不正确的，即使是在正确的群体中，认知高度和认知深度的差异也很大。

从学术研究的角度看，根据“百度学术”的数据，对“数据化审计”，从1990年开始就有了相关研究，2016年达到最热，至今约11,900篇相关论文。如下图所示（横轴年份、纵轴论文数）：

结合统计图的峰值，还可以初步看出，当外部风险风险越大时（2008年金融危机、2016的去杠杆），数据化审计的研究越热门。

也就是说，对“数据化审计”，作为内审人，你悟或者不悟，她就在那里，不偏不倚。

数据化审计的定义

个人认为，只有对数据化审计具有清晰和统一的认识，内审人才能在正确的路径走下去，发挥数据化审计的巨大作用。

下定义，是一种用简洁明确的语言对事物的本质特征作概括说明的方法，使接受者对被说明对象有个明确的概念。结合如上的这些理解和剖析，不妨给“数据化审计”下一个定义。

我认为，数据化审计是一个系统过程，其基于系统论和内部数据治理工作，以组织内部全面经营管理相关的内外部数据和信息为基础，以信息系统平台、数据分析软件为支撑，融合非现场数据分析、现场检查和审计质量控制要求，对结构化和非结构化数据进行抽取、聚合、转化、提炼和存储，持续进行深层次分析、挖掘、验证、展现与共享，促进审计质效有效提升，实现审计价值创造。

数据化审计是跨学科应用

数据化审计是一个系统过程，也就离不开多学科的知识支持。它不是个单一的学科，而是博大精深，涉及很多门学科的知识。

从“百度学术”的数据看，“数据化审计”的跨学科研究发展迅猛，已深入到工商管理、应用经济学、信息与通信工程、计算机科学与技术等多个学科，并衍生出多个交叉学科主题。基于百度学术的数据生成数据化审计交叉学科关系图如下：

从图中我们可以看到，以数据化审计研究为核心，涉及多个学科，学科跨度很大。图中点的大小代表了相关联学科的重要程度。

实施数据化审计的两种模式

从不同企业、组织或机构的内部审计实践看，实施数据化审计有两种模式：一种是检查和分析分离模式；一种是检查和分析融合模式。

大多数组织采取的都是检查和分析分离模式，这种模式下有两支队伍：一支专业技术队伍和一支业务检查队伍。

专业技术队伍由专业技术人员组成的数据处理和分析队伍，通过探索性分析和任务式分析，提取问题线索或疑点，发送给业务检查队伍核查落实。

业务检查队伍由业务检查人员组成，根据专业技术队伍提供的疑点或线索重点核查，同时向专业技术队伍提出分析思路或需求。

检查和分析分离模式的优点是“专业的人做专业的事”。缺点是由于两支队伍在时间、空间和知识上存在共通区域的错位，信息交流链条比较长，信息衰减比较厉害，经常会出现“鸡同鸭讲”的局面，比较容易陷入“有吓人的问题线索，无实锤落地的问题”的怪圈中，乱了领导和自己的方寸。

还有一些组织采取的是检查和分析融合模式，这种模式下专业技术人员和业务人员混合组队，没有单独的数据数据分析团队，通过“伙伴式”学习等方式，要求每名审计人员均须具备运用技术工具开展非现场数据分析和现场检查的能力。

这种模式强调现场检查和非现场数据分析的融合，淡化现场与非现场的界限，业务和技术是合体的，不是两张皮，要求每名审计人员都必须具备应用IT工具进行数据分析检查的能力，配套实行系统推广和能力培训，有效地提升了审计的广度、深度和精准度。

检查和分析融合模式缺点是对审计人员的能力要求比较高，团队在高效运行之前的整体学习曲线比较陡峭。优点是团队里每个审计人员都能独当一面，成为某一条线审计检查的战斗单元，好的思路和方法，多次验证成熟后，转化为审计支持系统的固化模型和功能。

数据化审计需要“以道驭术”

做好数据化审计，需要“道、法、术”三者具备。所谓道是指审计基本原理、规律和规则；所谓法是指审计检查实践或落实的思路、方法和策略；所谓术是指检查工作相关的具体方式、措施和工具。

数据化审计也是从工具到思维，一开始是数据化审计技术，是工具，是“术”；随着数据化审计的深入应用，数据化审计是“道”，变成一种思维方式。

只有当数据化审计成为思维方式，才能透过数据看到数据背后的问题，才能抓住本质的问题。

以道驭术，用数据化思维驾驭数据化审计技术，才能做好数据化审计。

各类分析代码是流淌着的数据化审计思维，对具体案例进行精简提炼，抽象成数据化审计的路径和切入角度，才能站在更高的高度做好数据化审计。

从数据化审计走向智慧审计

以商业银行为例，大数据、区块链、云计算、宽带传输、移动互联等新技术的应用，推动了互联网与金融相互融合、相互渗透。

商业银行也明确将“智慧银行”作为未来银行转型的重要方向，银行的业务受理、客户服务、授信审批、营运管理、风险决策等在技术驱动下，不断探索新的管理技术和管理模式。

“智慧银行”的兴起，对银行内部控制和内部审计带来了新的挑战，以“人”为核心的数据化审计，将会从面对多数的已知到面对更多的未知，审计人员会在赶场过程中，疲于奔命。因此，“智慧银行”时代也需要“智慧审计”。

智慧审计是传统审计、数据化审计的高级阶段，是商业银行在智能化趋势、智慧银行转型的背景下，重新审视银行业务和内部控制的需求和形态变迁，利用大数据、人工智能、云计算等新兴技术实现商业银行内部审计作业方式与价值输出模式的再造和升级。

在智慧审计时代，内部审计的事务性工作、重复性工作将由“人”转向“人工智能”，让各类芯片（也许已经没有计算机实体存在）自动按“人”的意志“智慧”地完成内部审计的审计数据分析、问题核实、报告推送等工作。

通过人工智能技术构建内部控制和各类风险知识图谱，搭建决策引擎、风险模型工厂，构建实时、精准、严密的端到端智能审计体系，从“人审”为主向“机审”为主转变，降低审计风险，实现实时审计，从定期的离线式报告到准实时的流式预警。

来源：中国内部审计协会、数据化审计。（如有转载，请注明以上信息）。