内部审计信息研讨会资料

内部审计职能信息化研讨会2014年11月6日主要议程大数据与审计数据分析在内审工作中的应用内审职能信息化战略总结内部审计职能信息化研讨会2请与我们分享您的观点如何使用投票器当背景音乐响起，请按下与您的选择相对应的数字按钮。若您需要重新选择，只需再按一次数字键，我们将只记录下您的最终选择。3请问您是第几次参加我们的研讨会？4VoteTrigger1.一次0%2.两次0%3.三次0%VoteNow10大数据与审计

1内部审计职能信息化研讨会5让“数据”替经验说话—大数据成功的票房预测演员、题材内容、档期、首映口碑这些，都会影响票房。并且从1990年以来上映的电影中抽样出四五百部，从统计年鉴中查到数据，然后让计算机根据其票房和各种参数逆向推导出定量，从而确定公式。预测时，再结合从社交网络的大量信息中提取出的会影响数值的因素填入公式，进行测算。2012年下半年电影《1942》上映前夕，在外界对这部电影一片赞誉和看好，纷纷预测票房将突破7亿元时，却有一条微博，断言《1942》的票房不会超过4亿元。收到了不少影评人、业界人士观点相悖的微博。

电影上映后，这个预测却得到了印证。《1942》的票房最终收于3．6亿元左右，和之前的预测结果几乎相差无几，仅仅达到了制片方目标和业界预测值的一半多一点。那么，这个准确的预测结果，究竟从何而来?内部审计职能信息化研讨会6企业大数据投资开始产生回报—沃尔玛沃尔玛是最早开始投资和部署大数据应用的传统企业巨头之一，不但是大数据应用的吃螃蟹者，还设立沃尔玛大数据实验室投入大数据技术相关的研发工作。沃尔玛采用了一些奇特的大数据采集技术，例如在服装人体假模的眼睛里安装摄像头，通过图像识别技术判断顾客的停留时间、目光关注热区，高矮胖瘦，甚至消费者是否怀孕。沃尔玛还通过先进的大数据预测分析技术发现两个电子产品连锁店Source和CarlieBrown的顾客的购买意向正在向高档产品转移，并及时调整了两家店的库存，一举将销售业绩提升了40%。大数据分析技术使得沃尔玛能够实时对市场动态做出积极响应。内部审计职能信息化研讨会7大数据与审计什么是大数据大数据热的动因大数据对审计的（潜在）价值审计人员利用大数据的障碍和困惑内部审计职能信息化研讨会8什么是大数据？大数据网页

PB字节CRMTB字节GB字节ERPEB字节数据可变性和复杂性增加用户产生的数据移动页面短信彩信用户态度外部人口信息高清视频语音到文本产品服务日志社交网络商业数据填充用户点击流量页面日志服务记录A/B网测试动态漏斗联署网络/分销联盟

动态定价数据搜索市场推广行为定向投放支付记录数据支持联络信息客户接触信息采购明细数据采购记录数据客户分类信息服务信息内部审计职能信息化研讨会9大数据为什么这么热？

企业、科研、政府、军队…巨额投资业务

业务模式创新

精准信息、提高竞争优势

技术

收集和存储的数据持续几何级增长

数字化的范畴和形式持续增加

传统解决方案不可行

财务

数据在信息技术支出中的比例持续增长

开源软件、低成本硬件的成本优势

内部审计职能信息化研讨会10大数据跟我们审计有啥关系？

审计准则没这个要求持续审计、实时监督还没弄清楚呢没相应的技术人员…马后炮、事后诸葛亮从后视镜里看业务死板、教条、轻重不分伤口上撒盐…内部审计职能信息化研讨会11大数据时代思维的转变得益于大量数据，少量不准确的数据不会影响整体分析结果大数据的简单算法会比小数据的复杂算法更有效要分析与某事件相关的所有数据，而不仅依靠分析少量样本数据关注数据的相关性，不仅提供了分析的新视角，而且新的视角都很清晰对内部审计而言，大数据时代就是需要内审人员转变思维，从海量内外部数据中挖掘审计所关心的信息，提高审计人员的工作效率，协助主动防范公司的经营风险，提升内部审计的价值。审计也可以“观天象、参玄机”全量数据模式不拘泥于数据准确性注重相关性内部审计职能信息化研讨会12大数据时代审计师的挑战1电子数据高度集成，传统的以审计小组为单位分散审查的审计模式难以有效发挥作用23数据量大且数据结构复杂，审计人员在短时间内难以全面掌握和了解复杂的勾稽关系及大量数据信息数据类型多样，审计人员对非结构化数据进行综合分析和处理的能力有待提高4大数据处理对于软硬件的资源要求远高于以往内部审计职能信息化研讨会13外部存储的数据安全控制目的是减少风险信任信任外部的敏感数据会存在风险无法确定数据物理路径的所有者及安全措施审计人员不能确定数据的处理和存储的方式，不能保证零数据丢失数据完整性确保数据的完整性相当重要数据不能使用，如果被破坏，损坏或丢失如果数据远程存储，连续检查数据虽然重要，但成本较高云服务，使用云服务的风险很多,包括包括使用私人存储的公共云是网络罪犯的目标数据需要加密网络认证必不可少可能存在多用户共享空间，而非隔离内部审计职能信息化研讨会14内部存储的数据安全数据需要存储在安全的地方防火墙需要防止外部访问加密仍然非常重要数据完整性和抽样还是必要的外部访问监控、记录、锁定与身份验证内部审计职能信息化研讨会15利用大数据审计数据收集类型点击次数个人记录交易数据电子邮件电话记录设备数据系统登录数据文件文档新数据数据编辑删除的数据服务日志数据利用风险监控持续监控持续审计反舞弊敏感信息保护利用集群或云计算时,可以处理所有相关的数据,而不像过去一样仅仅是小样本防火墙和安全设备生成日志事务性数据可以监测舞弊公司可以基于现有的数据，确定预警特定事务的标准建立标准可能需要来自多个部门的协作和数据挖掘内部审计职能信息化研讨会16审计人员需要了解常见的大数据分析技术描述性聚类找出特征相同的客群群内差异最小，群组间差异显著关联“购物篮”原理以客户为单位产品可能的组合序列关联的sequence分析以客户为单位找出渠道，产品变化的规律…预测性回归线性回归模型简单回归，多元回归…混合参数的回归模型非参数统计方法分类决策树根据特定目标进行分裂神经网络通过系统计算模拟生物神经，训练形成输出结果时间序列事物变化的时间规律对于具有周期性变化规律特征的数据进行分析内部审计职能信息化研讨会17大数据时代内审关注重点—以数据为中心在大数据时代，内部审计要有所建树，必然需要围绕“数据”这个核心开展工作。大数据转化为有价值的业务数据必然遵循“分散到集中，从无序到有序”的过程，内部审计需要遵循大数据的这个基本规律和数据流分布、奠定的开展起来。分散、无序的数据源通过一定规则梳理数据逐步形成有效数据集成熟的数据集市内部审计职能信息化研讨会18应用举例—审计某保险公司客户管理大数据分析流程示例该保险公司的客户管理管理大数据分析包括了数据收集—数据处理—数据分析—输出的基本步骤。以“数据处理”步骤为例，具体分析其中的业务风险宽表数据剔除变量标识类信息缺失率过高信息集中度过高的信息处理异常值对极大值，极小值进行替换变量选取保留客户、车辆、保单等基础信息其他拆分为价值与风险相关性检验在相关性高的两个变量中,留取业务意义强的；相关性低的变量，则保持不变重要性检验经过方差分析，保留了对结果有显著意义的变量模型训练找到对风险/价值分群起重要意义的变量，交叉分析内部审计职能信息化研讨会19应用举例—审计某保险公司客户管理大数据分析流程在数据处理环节，内部审计角度识别出的重点阶段包括数据源抽取、数据加工阶段以及数据分析阶段数据核查报告评估数据质量评估数据对分析目标的满足度提出改进意见和方案关键风险数据源污染缺乏宽度高数据缺失率数据泄露····关键风险遗漏一致性问题缺乏容错机制数据偏离····关键风险集中度问题分析模型问题分析结果的充分性分析精度问题····内部审计职能信息化研讨会20数据分析在内审工作中的应用

2内部审计职能信息化研讨会21数据分析在内审工作中的应用数据分析在风险导向审计中的重要意义数据分析的应用如何构建数据分析能力内部审计职能信息化研讨会22贵公司在常规的稽核或专项审计项目中数据分析应用的情况如何?内部审计职能信息化研讨会23VoteTrigger很少用0%在考虑当中但还没具体的运用0%尝试性的在开始运用0%在各类项目中广泛运用0%互动

10据我们所知····

2013普华永道内审调研参与者普遍认可数据分析的重要性但少数人能做到把数据分析应用到常规审计中多数人虽然计划开展数据分析，但没有具体计划81%85%74%数据分析能够有效的量化审计发现的影响程度数据分析能够有效的提高审计的覆盖面和覆盖深度数据分析有助于加深对相关风险的认识和评估31%71%内部审计职能信息化研讨会24思考

什么原因驱使现代审计中需要越来越多的使用数据分析?股东期望监管层的要求审计团队培养审计与业务的伙伴关系内审的效率及效益其他内部审计职能信息化研讨会251.数据分析在风险导向审计中的重要意义

—现代内审趋势内部审计职能信息化研讨会26价值保护监察平衡型价值增加咨询

内部控制流程与管理层协作风险管理业务流程改进运营风险管理全面风险管理技能沟通与咨询技能流程审计技能财务/法规遵循的审计知识财务风险管理交易分析/资产保护企业面临风险的覆盖面产品与流程知识有限全面内部审计技能内部审计职能1.数据分析在风险导向审计中的重要意义

—管理层的期望内部审计职能信息化研讨会27未来更为重要的技能组合:*谨慎思维&数据分析整合能力了解风险管理方法沟通技巧和影响力对组织战略和经营模式的理解特定的技术经验内部审计之外的业务经验68%67%

64%61%

60%53%*调查的受访者表示对上述能力和知识深度的需求将在未来三年逐步增加。资料来源：2013年普华永道内审调查“数据分析能力极为关键。”—首席审计执行官，健康医疗行业“技术与财务技能的整合变得越来越重要。”—首席审计执行官，科技行业“萨班斯-奥克斯利法案形成了一种让员工相信他们可以‘停止思考’的内部审计文化。内部审计需要回到业务对话中，变得更有准备，并且知道业务领域正在发生什么。”—首席审计执行官,消费品行业1.数据分析在风险导向审计中的重要意义—价值发觉面临金融危机产生的风险，企业需要更深地了解其经营的业务。企业不能仅仅简单地依赖现有的控制结构，而必须评估交易活动的模式、趋势及异常行为。驱动力价值是什么产生了对数据分析的需求？为什么正确地操作对于企业如此重要？审计团队需要更加紧密地审计商业活动、建立对风险和问题更加深入的了解，这给审计团队带来了压力。监控业务活动的监管期望在不断增加。数据剧增，分析数据的技术也在快速地成熟。企业不得不使用更少的资源创造更多。来自竞争者的压力促使企业创新。更深入地了解业务和关注风险现有的和未来的成本都在降低端到端的测试增加的数量和控制范围实时评估风险和数据完整性内部审计职能信息化研讨会282.数据分析的应用—嵌入内审全周期的管理风险评估通过数据分析对被审计单位进行比较和分析，以识别风险审计生命周期1控制测试和现场工作数据分析用来测试控制执行的情况，评估风险的影响和量化发现的问题4问题管理&监控数据分析用来重新测试和监控发现的问题和趋势6企业的角度解析有助于日常、定期的汇报，促进持续的风险识别和评估。业务的角度解析通过提高覆盖的范围和更智能地、基于风险地选择样本来提高鉴证的力度审计计划审计计划分析、

保险风险、局势和问题2报告数据分析用来展现对风险的深刻见解和表达审计发现具体审计计划和范围分析风险以了解情况和识别运营中存在的问题35内部审计职能信息化研讨会29风险视角内审视角2.数据分析的应用—以数据分析为基础的持续性审计持续性审计是审计机构或人员利用计算机及网络等非现场手段的访问、调阅被审计单位的财务会计资料、业务数据资料，并借助实时检查与审计工具，执行一定的数据分析程序和检查程序，评价相关资料及其所反映的经济活动的真实性、合法性、效益性以及相关内部控制有效性的独立监督与评价活动。提高审计威慑力深刻揭示风险及时风险预警提高审计效率降低审计成本降低审计风险内部审计职能信息化研讨会30在审计过程中实施数据分析的挑战有哪些?内部审计职能信息化研讨会31VoteTrigger思考

101.掌握强大的数据分析能力和技能0%2.建立有效的内审数据分析治理架构和团队0%3.建立成熟的方法论和流程0%4.使用正确的工具和技术0%3.如何构建数据分析体系—数据分析驱动的内审框架体系框架模型目标层保障层基础层系统/数据绩效管理流程职能组织定位做什么是否做到谁来做怎样做实现基础12345内部审计职能信息化研讨会323.如何构建数据分析体系—工具和技术数据分析的应用场景在现代审计过程中普遍存在，常见方法与工具展示：数据分析应用方向审计计划辅助系统分析和记录系统测试数据测试解决问题办公自动化数据分析方法系统测试测试数据集成测试法（IntegratedTestFacility）平行模拟法（ParallelSimulation）程序比较软件数据测试通用审计软件客户化审计软件嵌入式审计模块数据分析工具ACLIDEAMSAccessMSExcelMS-SQL,andotherdatabasesoftwareSAS/SPSS等统计软件Qlik

view，TableAu等BI工具内部审计职能信息化研讨会33收据收集机制持续性审计数据库交易数据主数据内控数据持续审计功能风险评估模块基于流程和业务分析的风险评估风险情景模块数据抽取与检测

异常交易甄别智能分析模块

对审计疑点的智能获取或预警知识管理模块

-审计方法论与模板

审计报告管理

-审计模型与疑点库整合的审计流程

风险评估及审计计划

初步分析以及现场工作准备审计现场工作管理层跟进关注高风险(有效性)异常数据分析(效率)支持审计报告审计报告3.如何构建数据分析体系—平台与作业流程内部审计职能信息化研讨会34初级一级（起步级别）二级（连续级）三级（整合级）四级（内嵌级）五级（变革级）有限几个人有数据分析能力无法进行持续有效的数据分析很难为审计和业务带来价值有限的数据分析能力但逐步加强偶然性的使用数据分析，分析结果和有效性无法预知；依赖个人能力建立起数据分析能力并开始应用数据分析在驱动审计管理周期过程中发挥重要作用数据分析体系具有清晰的目标、流程和分析工具建立起强大的数据分析能力而且更够与内审治理流程相结合数据充分可得数据分析成果常规的重复性审计步骤10%以上的人员掌握了数据分析的核心技能通过数据分析达到审计的目标

使用持续改进的分析方法使用数据分析对内控水平和风险指标进行持续监控审计的数据分析模型可以指导业务活动；数据分析改变内审人员的行为和方法；创造新的价值点与其他风险防线的分析系统和分析体系有效对接改变审计职能的价值定位行业当前状态低

审计与业务影响

高数据分析成熟度Low3.如何构建数据分析体系—数据分析能力建设路径内部审计职能信息化研讨会35主页面展示报表趋势对比进度匹配阈值预警结构展示异常提示审计数据分析应用案例—某保险集团的数据分析模型内部审计职能信息化研讨会36数据分析的应用案例—某保险集团的数据分析模型模型编号：F102模型内容：预算指标与收入指标序时进度匹配分析。期间：2013年1-6月个险异常线索：①个险预算执行进度近警戒值。费用预算进度超出保费进度20%②个险费用预算4、5、6月支出高企，业务达成不足，需关注费用真实性和支出效率；③开门红最后一个月多机构预算超支，关注费用审批程序，建议加大样本量；④6月份营业本部预算超标，关注大额支出————————————银保异常线索：①银保开门红后预算执行成上升趋势，但业务达成呈下降趋势，关注4-6月银保手续费异常变动的原因；②xx营业部开门红后业务达成从105%直降至5%，5、6月份无业务，需现场审计跟进；③银保预算进度比业务进度低出30%。需关注：银保高价值产品的险种结构，以及银保条线年初费用预算合理性内部审计职能信息化研讨会37三个不同的员工用同一个银行帐户利用数位及数字的规律来侦测理赔舞弊及非正常交易。

与按照Benford’sLaw分布的区间数位数字有明显差别的数据，有可能是人为操纵的数据。

但同时也应该牢记这也可能是误报警，应该对相关交易再做进一步的分析。

数据分析的应用案例—某保险集团的数据分析模型内部审计职能信息化研讨会38内审职能信息化

3内部审计职能信息化研讨会39内审信息化的发展路径—IIA内审技术成熟度模型内部审计职能信息化研讨会40内部审计信息化的意义

满足监管与合规要求财政部等五部委《内部控制基本规范》及其配套指引，2008

各行业监管机构与关于审计信息化的监管要求风险管控与内审相互融合将风险评估与控制活动建立起密切关系风险管控与日常经营活动结合起来使内审和风险管控目标与企业目标保持一致

实现风险导向的审计方法基于风险评估确定审计范围和审计项目强化依赖内部控制的审计策略实现内审功能由“检查型”向“价值型”转变提升价值与资源利用效率为内部审计、风险管理、内控评估工作提供高效的工具与自动化平台从人力、物力等方面节约内审与风险管控成本最大化的实现知识传承，提升队伍专业水平内部审计职能信息化研讨会41内审信息化模型简介风险管理、内控、合规与内部审计流程一致性梳理—共享能力分析控制环境确定风险评估固有风险（风险级别）确定控制评估控制和剩余风险定义测试执行测试（控制测试）定义补偿措施（活动计划）追踪补偿措施回顾检查/查出结果报告和分析审计和调整检查金融企业反洗钱

上市公司A股内控

上市公司A股内控

IT项目公文管理

外购买家评估

供应商风险评估

同其他国家法律的一致性

保监会内控

保监会合规

保监会风险管理

银监会内控

上市公司A股内控

银监会合规

银监会电子银行安全评估指引

商业银行信息科技风险管理指引

上市公司美股404

上市公司港股内控

上市公司H股风险和内控

共享/共有的潜力高-共享/共有

中-共享/共有

低-共享/共有

没有-共享/共有内部审计职能信息化研讨会42整合框架下的风险导向内审系统框架

用户界面内控评估风险评估收集信息

风险容忍度风险评估风险应对风险汇总与报告共享模块流程引擎基础参数…系统管理内控自我评估

设计有效性评估内控测试缺陷描述及管理建议缺陷报告与整改跟进…内部审计年度审计计划

审计项目审计测试审计底稿与证据审计报告与反馈…主数据风险库KRI损失事件主数据控制库流程框架测试点主数据关注点测试步骤审计问题作业管理统计分析进度监控信息发布报表/报告工作台权限管理知识库报表定制组织结构岗位角色日志监控合规管理合规信息上报

合规案件跟进非现场监管报告监管要求和规章维护外部监管处罚登记…主数据法规库监管处罚案件库应用管理外部系统数据接口阀值预警管理业务数据同步数据挖掘与提取指标监控和预警

-内部审计职能信息化研讨会43内审职能信息化战略方案核心技术流程诊断核心技术流程差距分析核心技术战略应对计划汇总利用“技术成熟度诊断工具”帮助制定内审职能信息化战略方案如何建立并实施有效的内审信息化战略内部审计职能信息化研讨会44技术成熟度诊断工具如何建立并实施有效的内审信息化战略核心技术流程（CTP)初始期完善期强化期优化期1.技术战略和重点2.风险评估和监控3.

审计计划及日程安排4.知识管理5.数据分析及挖掘6.审计报告和问题跟踪7.审计执行和记录8.培训9.人力资源10.质量改进成熟度的四个阶段计划和分析时应考虑的10个方面良好的技术战略的发展与核心技术流程及基础管理实践密不可分内部审计职能信息化研讨会45核心技术流程差距分析核心技术流程（CTP)初始期完善期强化期优化期1.技术战略和重点XX2.风险评估和监控XX3.

审计计划及日程安排XX4.知识管理XX5.数据分析及挖掘XX6.审计报告和问题跟踪XX7.审计执行和记录XX8.培训XX9.人力资源XX10.质量改进XX设立清晰的优先级可能决定某些领域并非需要全部进行优化表3：技术流程差距分析举例红色代表现处状态，绿色代表下一阶段预期达到状态内部审计职能信息化研讨会46核心技术战略应对计划汇总企业制定内审的技术战略时，需注意以下方面：1）定位未来2-4年内，对内审部门职能的预期在技术成熟度曲线的哪个阶段；2）找到现实所处与预期成熟度状态之间的差距；3）考虑当前的技术战略变化将如何影响传统的内部审计流程，并归纳建档出应对这些变化的方法。关键点：应对变化时，不断细化的审计技术战略是最好的行为指南。内部审计职能信息化研讨会47内审信息化的案例1—某保险公司的审计信息化实施路径准备阶段三个月左右

实现风险管理与内控评估、内部审计对接；补足内审计职能的“短板”梳理并分析内审、风险管理、内控和合规的标准工作流和共享能力系统建设六个月左右实现风险管理、内控评估、合规管理、内部审计工作流自动化；实现数据共享和工作流程和模式统一化

从业务库、备份库、数据仓库中分别取数辅助审计抽样以及风险指标的分析、预警和监控集成阶段三个月左右使用数据挖掘技术为辅助内审的目标测试；动态风险分析和监控合规、内审与内控结果与风向评估互相影响优化阶段持续优化风险量化分析与自动修正；在系统中固化风险偏好；实时评估控制有效性重大交易报告和可疑行为报警；全面系统集成与精细化审计内部审计职能信息化研讨会48内审信息化的案例1—某保险公司的审计信息化实施路径内部审计职能信息化研讨会49传统审计作业系统以数据为基础的远程审计系统系统的分析及展示功能现有的发现：内部发现的控制缺陷（内审部门发现&业务部门发现）外部发现的控制缺陷（审计署、财务审计机构等）以往项目经验积累：监管罚单行业损失事件及风险规则规则下的异常表现内审信息化的案例1—某保险公司的审计信息化实施路径内部审计职能信息化研讨会50控制成熟度规则下的异常表现经验积累内审信息化的案例2—央企内审信息化

某央企在符合国资委关于内审信息化的合规要求过程中，通过内审信息系统建设，实现了对下级单位的的及时监控，并通过信息化手段显著的提升了内审的效率和效果。内部审计职能信息化研讨会51内审信息化的案例2—央企内审信息化

中国神华集团信息化工程内控内审管理信息系统管理咨询和实施开发项目工作内容：对内部审计制度体系框架进行整体梳理，并对内审制度修订提出改善建议；对总部、审计中心、分子单位多级次的内审、内控和风险管理框架、业务流程进行优化及标准化；编制审计作业指引；开展需求调研工作，提炼用户需求，形成业务功能需求说明书；配合软件实施商完成系统设计、开发、测试、实施部署和试点单位上线试运行工作。后续项目安排：制定符合系统一期建设基本情况并具可操作性的推广实施方案，在全集团范围内推广实施内控审计管理信息系统的一期建设成果；审计作业流程及模