基于风险场景的数据分析在内部审计中的运用

1、    基于“风险场景”的数据分析在内部审计中的运用    摘要本文直面内部审计数据分析工作中业务能力与技术能力割裂的痛点，引入“风险场景”概念作为解决方案，并结合案例重点予以阐述，给出相关建议。关键词风险场景   数据分析   内部审计   技术运用近年来，内部审计为处理与组织经营相关的爆发式增长的内外部数据，在实践中逐渐建立起大数据分析系统，并不断加强数据分析运用，以全面、主动地揭示组织风险，提升内部审计价值。受制于内部审计人员数据分析能力的不足，亟需通过一套行之有效的数据分析方法论，降低数

2、据分析技术在内部审计运用中的难度，提升内部审计人员的数据分析能力。一、文献回顾梳理内部审计数据分析相关关献，可以看到内部审计普遍重视数据分析工作价值，并着手在组织内部建立一套行之有效的内部审计数据分析工作体系，以提升内部审计数据分析能力。具体来讲，为顺应大数据时代对内部审计工作的新要求，内部审计从组织保障、系统建立、技术运用、人力提升等方面进行变革，积极运用大数据思维和技术方法，不断创新审计手段和方式，以提升内部审计履职能力。学术界和实务界人士从分析大数据时代的特点入手，探讨其对内部审计工作的影响并提出应对措施。周霞、林津翘、华峰（2017），武丽琼（2018）分析了大数据时代对内部审计工作的

3、全面影响，提出增强数据利用意识、建立大数据信息审计系统、提升内审人员素质等较为全面但颇具观点性的建议。汤靖（2016）、王锴（2018）等着重研究系统应用，提出大数据系统的构建与实施、审计监测的框架与路径等。李芸屹（2018）、林加升（2018）关注大数据分析的技术操作，从数据采集和存储、数据清洗、数据分析、结果全面运用等技术流程切入，介绍内部审计开展某一数据分析的具体操作方法。一些内部审计人员结合本组织内部审计数据分析实践，提供了具有借鉴意义的建议。如王向阳、匡尧、彭涛（2018）以国网湖北电力有限公司大数据非现场审计模式的构建为例，介绍了大数据非现场审计的组织模式、应用与保障机制、监督与考

4、核方法、效果评价方法等方面的经验。李健、王春昕（2015）结合通信企业的内部审计工作实践，介绍了构建在线审计系统、革新审计手段、创新审计工作方式方法的工作经验和成效。综上所述，内部审计数据分析类文献主要集中于介绍系统建设、技术使用的经验和方法，或理论性地提出增强数据利用意识、提升内审人员数据分析能力等建议，并未突出围绕“人”这一具备分析能力的核心要素，研究提出提升内部审计人员数据分析能力的方法论，尚未从应用和发展层面提出破解“内部审计人员整体数据分析能力欠缺”这一难题的措施，亟待从知行合一上探索内审人员如何适应新兴技术发展、提升数据分析能力和水平。二、数据分析在内部审计中的运用及挑战（一）数据

5、分析在内部审计中的运用为顺应大数据发展带来的机遇与挑战，内部审计部门纷纷建立起适合自身组织架构和信息管理体制的数据采集、数据存储、数据分析架构，积极探索数据分析在内部审计中的运用。以工商银行内部审计为例，集团大数据基础平台、内部审计信息系统共同组成了内部审计数据运用架构。其中，集团大数据基础平台是全行集中的数据存储中心，由全行统一的数据仓库、集团信息库及其他行内外数据组成。内部审计部门从中共享集团数据信息资源，并根据内部审计工作需要补充获取其他渠道数据;内部审计信息系统由审计监测、审计分析、审计管理等各项功能模块组成，是专门为内部审计部门开发的集信息采集、指标监测、数据分析、模型管理等为一体的

6、信息化审计工作平台，支持内部审计在审计项目、专项分析、持续监测等各项工作中开展数据分析、风险监测、成果共享，不断提高内部审计数据分析的价值产出。（二）数据分析在内部审计中的挑战内部审计部门建立的数据运用架构大大提升了数据分析在内部审计中的运用，并在实践中不断提升内部审计成效。同时必须注意到，目前内部审计数据分析仍处于初创阶段，未实现对内审工作的全面覆盖和深度运用，尤其是在新兴业务（新的业务条线及传统业务的新发展）内部审计中，数据分析运用效果与内审工作要求之间存在突出矛盾，主要体现在：一是既有数据分析运用对部分业务领域的覆盖面低。商业银行已建成的信息库、指标体系、监测模型对传统业务具有较强的风险

7、揭示作用，但对新兴业务如资管业务、互联网金融业务等，以及传统业务的升级如存贷挂钩产品、资信代理业务等方面的风险识别功能相对滞后，有相当一部分风险突出的业务在“穿透”揭示上存在缺失。二是内部审计部门“懂业务”“找数据”能力面临持续挑战。当前新经济的发展、新业务领域的突破，引发业务知识快速更迭、业务数据爆发式增长，内部审计人员把握业务动态、掌握业务数据源的提升速度滞后于业务发展变化速度。内部审计人员始终处于不断学习、挑战未知的压力之中。三是内部审计部门“用技术”能力普遍不足。内部审计部门主要以现场查核问题为主，不以“数据分析”的非现场工作为主业，数据分析人员缺乏、分析能力和水平参差不齐的现状与数据

8、分析技术日新月异的变化之间存在巨大差距，迫使内部审计加大数据分析在提升审计质量和效率中的作用。三、“风险场景”构建方法的提出（一）“风险场景”的内涵内部审计开展数据分析的工作目标是“找风险”，实施过程由“懂业务”“查数据”“用技术”三个能力协同作业，缺一不可。就目前而言，同时具备三种能力的审计人员在内部审计队伍中占比较低，懂业务不精通数据分析技术、技术骨干会取数建模但缺少业务功底的情况较为普遍。“风险场景”是精准定位风险、清晰描述風险特征并将其转化为数据分析逻辑的过程。通过将专注风险的业务语言转化为可供数据分析的逻辑语言，“风险场景”将“懂业务”能力转化为“用技术”的灵感，同时明确“查数据”的

9、方向，使三种能力各展所长、互为促进，显著降低数据分析难度，有效推动内部审计开展数据分析，高效获取高质量审计发现。结合内部审计数据分析的具体案例，详细展示“风险场景”的分步构建过程，见图1。（二）“风险场景”的构建在内部审计实务中，构建“风险场景”的方法有很多种。有时内部审计人员凭借业务敏感性自觉完成“风险场景”的构建，如内部审计人员以客户身份接触某一项业务，核查发现其中存在风险隐患，经过深度分析，引出重大审计发现。更多情况下，内部审计人员对相关业务开展审计工作前，需先构建“风险场景”：第一步是剖析业务，精准定位风险（点）;第二步是细致分析，清晰描述风险特征;第三步是进行“翻译”，将专注风险的业

10、务语言转化为可供数据分析的逻辑语言。三个步骤中，第一步精准定位风险（点）是构建“风险场景”过程的核心步骤，部分常用查找风险的方法见表1。第二步描述风险特征是一个过渡步骤，通过通俗易懂地解释第一步中专业难懂的业务语言，为第三步的语言转化做好铺垫。第三步是语言转化，实践中通常鼓励业务专家和数据分析技术人员充分、有效沟通，高效、精准实现业务语言与逻辑语言之间的转化。四、“风险场景”推动内部审计数据分析有效开展（一）基于“风险场景”的内部审计数据分析过程基于“风险场景”的数据分析过程主要分三个阶段：构建“风险场景”、数据准备及模型设计、模型后续管理，见图2。构建“风险场景”阶段是精准定位风险、清晰描述

11、风险特征并将其转化为数据分析逻辑的实施过程，是数据分析全过程的核心。将专注风险的业务语言转化为可供数据分析的逻辑语言，将潜在、复杂的风险具象化，显著降低内部审计数据分析难度，有助于内部审计人员根据自身技术能力，选取相应的数据源和合适的技术手段开展数据分析工作，推动风险挖掘的深度展开。数据准备及模型设计是数据分析实战阶段，具体分为数据准备、模型设计两个步骤。数据准备是找到数据来源并进行数据清理的过程，一般来说内部审计处理较多的数据类型是相对简单的结构化数据。模型设计是数据建模过程，内部审计通常利用数据与数据间的关联来建模，以探寻更为复杂的大数据挖掘技术在内部审计中的运用。模型后续管理阶段是建模完

12、成后模型维护的过程，主要有模型校验、模型修正、模型推广使用及模型退出等步骤，是数据分析过程中不可或缺的一部分。建模完毕，将其投入审计项目、专项分析等实际工作中使用，审计人员承担模型验证员的角色，如实反映模型实际效果并提出修改建议。建模分析师接收以上信息反馈，对模型进行修改后再次投入校验直至达到理想效果。之后，将模型推广使用（已推广使用的模型也应根据实际情况定时进行校验、修改等步骤，以保持模型的持续风险追踪能力），直至模型完全失效、退出使用。（二）基于“风险场景”的内部审计数据分析价值1.模型闭环。基于“风险场景”分析设计的模型，由于紧紧围绕“查找风险”这一理念，因此展现出较好的自我校验能力（见

13、图3），并具备自我修正的闭环管理功能。根据模型验证阶段呈现的模型有效性，可验证模型是否发现“风险场景”中预判的风险，判断保持或修正“风险场景”中的条件设定并采取相应技术分析措施，以不断提升模型的风险定位和揭示能力。2.逻辑共享。基于“风险场景”分析设计模型，由于“查找风险”的逻辑共通性，因而具有旺盛的生命力，具备推广价值。如商业银行内部审计数据分析实务中，排查不合理手工交易、从收入端排查异常交易、风险客户画像等排查风险的逻辑适用于众多业务领域和控制环节，内部审计人员应及时整理，在工作中加以推广，发挥模型更大的价值。以风险客户画像技术为例，商业银行内部审计开展理财业务非标投资品风险分析过程中，考

14、虑到理财非标业务与信贷融资业务的“风险场景”相通，可借鉴信贷专业内部审计运用的客户风险画像技术，从银行内外部渠道获取非标融资客户各项信息，完成非标投资品融资客户风险画像，全面监测非标融资客户未来还款能力变化，及时预警非标融资客户违约概率，改变以风险项目为审计重点的“事后算账”式审计方法，提升内部审计在组织中的风险防控及价值创造能力。3.防御升级。基于“风险场景”分析设计出的模型，按照所揭示风险的类型串联、聚合，由单点成组群，风险揭示从单一升级为整体，反映业务领域总体风险，成为全面风险监测系统的重要组成部分（见图4）。随着内部审计不断学习和对风险表现形式及变化规律的掌握，不断调整、新增模型，从而

15、保持并不断推进模型网格对业务重要风险领域的揭示及预警能力。4.科技赋能。基于“风险场景”的数据分析方法，肯定“风险场景”的核心地位，并积极探索大数据、人工智能等先进信息技术在内部审计中的运用，可增强风险挖掘的深度、广度及自动化程度。如运用大数据采集、存储及處理技术可加大信息来源、增加可处理数据类型、获取更多有用信息，采用机器学习、人工智能算法深入挖掘风险关联、实现模型自我优化、前瞻性揭示风险变化，真正实现智能化风险预警功能，打破内部审计对风险的传统认知，减少内部审计数据分析手工作业，分享内部审计数据分析创新发展的丰硕成果，见图5。5.全员参与。基于“风险场景”的数据分析方法，由于风险场景对潜在

16、而复杂的风险进行了具象化解读，使更多内部审计人员可以研判风险，根据自身技术能力找到适合的数据查找及技术手段来开展数据分析工作，最大化提升内部审计人员对数据分析的学习热情和工作信心，见表2。在“风险场景”的指导下，不管是使用简单的excel统计功能，还是复杂的大数据挖掘技术建模，不管是直接从业务系统中导出数据，还是用sql语句编程从数据库中取数，都可以精准捕捉风险，成功开展数据分析工作，收获数据分析成果。五、基于“风险场景”的内部审计数据分析实践与相关思考（一）工商银行内部审计数据分析的实际成果近年来，工商银行内部审计局以风险为导向、以模型专家团队为中坚力量，建立起业务流程梳理、系统数据调研、模

17、型研发、审计活动应用及模型优化整理的闭环工作方法论，持续推进并优化内部审计数据分析工作。2018年，工商银行内部审计局已组成15支模型专家团队，全年共新增模型213个，优化模型38个，在审计工作中发挥出“精准审计”效用，部分模型产出对于识别重要风险、防范化解经营管理的重大隐患起到了关键作用。以理财业务为例，36个精品模型全面覆盖了非标及标准化投资、理财销售、核算托管、账户管理、资金流向等重要板块，为理财业务审计工作提供了50%以上的直接或间接风险线索，进一步提升并优化理财业务内部审计数据分析工作质效。（二）基于“风险场景”的内部审计数据分析要点1.技术和业务融合是实现目标的手段。在内部审计数据

18、分析工作中，对业务的深入理解和对风险的精准研判是内部审计数据分析工作的核心。在数据分析中，应将更多精力投入到业务学习及风险关注上，推动内部审计团队以风险为中心，选择适合的技术方法分析数据、构建模型，让数据分析技术成为提升内部审计质效的重要手段和核心能力。2.数据分析能力是新时期审计人员的必备能力。应引导内部审计人员发挥所长、精诚合作、客觀自信、精准高效地开展内部审计数据分析工作。内部审计人员可根据自身业务能力及技术背景，在数据分析工作中担任业务风险研判者、模型思路提供者、模型数据探索员、模型编译技术员中的某一项或多项角色，在数据分析工作中贡献自己的力量，增强审计专业素质和能力。3.优秀数据分析

19、团队可在实践中培养。内部审计部门应建立数据分析师团队组建、培育、发展机制，形成精英领路、优势互补、合作攻坚的数据分析工作氛围，在审计项目、专项分析、热点研讨等工作中充分围绕风险开展数据分析，做好工作效果评价、工作成果总结分享，在实践中不断检验并提升内部审计人员的风险判别、逻辑分析及建模实战能力，提高数据分析在内部审计工作中的贡献度。（三）进一步提升内部审计数据分析实战力的相关思考1.普及数据查找、数据分析基础知识，提升内部审计工作效率。一是丰富数据来源，培训审计人员在数据库中查找数据的搜寻能力，提升其从各业务系统、行内外渠道查找并运用数据的积极性。二是在审计队伍中推广各类基础数据处理方法的学习使用，如excel统计功能，sas eg等分析软件的查询、报表功能，数据分析语言的编程能力等技能。三是将数据分析作为实施审计的必要前提，促使审计人员在工作实践中不断提升将风险线索转化为数据逻辑的能力，积极使用数据分析技术提取数据价值，提高工作效率。2.加强团队协作，提升对复杂业务、大数据的分析技术水平。一是加强业务型审计人员与技术型审计人员的协作，将业务灵敏性和技术应用性有效结合，及时固化建模，获得产出。二是加强技术型审计人员的组