作者：蒋凤芹 陈松 吴洵 汪波 阚海湄 巩浩

来源：《中国内部审计》2018年第03期

        [摘要]本文介绍了徽商银行审计信息化实践，阐述了如何应用大数据技术加速审计转型升级，以提升审计监督服务能力，改善商业银行经营发展，实现审计价值增值。

        [关键词]信息化 大数据 商业银行 审计转型 监督

        徽商银行股份有限公司（以下简称徽商银行）已建成“3+2”审计信息平台。其中，3个系统平台为：审计非现场分析查证平台、IDEA数据分析软件、审计作业管理系统；2个数据基础平台为：行内数据、行外数据，如图1 所示，该平台有力推动了徽商银行审计的进一步发展。

        一、大数据审计平台——审计非现场分析查证平台

        审计非现场分析查证平台（简称查证平台）是以大数据理念建立的系统。该平台在借鉴国内外同业成熟技术和经验基础上，根据自身业务特点及未来发展需要，整合了行内各业务与管理系统的海量数据，利用计算机技术将多年的审计积累转化成审计模型，是一个集在线大数据分析、疑点扫描、风险评估、事件预警、跟踪预警、线索聚集、数据表级操作为一体的通用平台。查证平台的开发、投产和应用，极大提升了徽商银行内部审计的效能。

        查证平台从物理上分为核心设备数据库& ETL服务器、WEB &应用服务器两大部分，数据库& ETL服务器主要用于部署数据库软件、ETL工具、计算引擎、规则引擎、报表工具等软件或组件，存储业务数据，构建审计数据集市；WEB &应用服务器主要部署应用中间件、产品自带的报表引擎、流程引擎及业务逻辑与应用功能模块。

        （一）辅助办公支持应用

        为审计管理及业务人员提供办公提效服务和决策参考信息。其中，“我的工作台”为审计人员提供及时方便的辅助业务处理工作平台；统计报表与报表管理可向商业银行的管理层揭示审计工作处理过程与完成情况。

        （二）审计风险监测应用

        为非现场审计各核心工作环节提供应用功能服务，包括数据管理、审计模型探索、审计模型管理、风险预警监测及处置、查询查证分析功能模块。其中，审计模型探索是该系统最具特色的重要功能之一，可以对数据库原表直接操作，审计人员经过基础培训，即可进行相应数据操作。

        （三）基础服务支持应用

        为非现场审计应用和办公辅助应用提供后台基础应用服务，包括基础管理平台。基础管理平台是前台功能正常运行的必要基础，并提供系统管理员前台运行维护功能。

        目前，查证平台已将徽商银行主要业务与管理系统数据纳入采集范围，已灌入数据表400余张，按照预设规则每日自动ETL，实现主要数据的T+2日查询；审计人员可直接操作底层数据表进行复杂挖掘，自由定制数据模型并发布共享；及时监测机构及业务单元的指标变化（指标矩阵）；已开发查证、中间、预警模型200余个，其中中间与预警模型按既定粒度（日、月、季、年）运算预警信息，提供风险线索，支撑各类审计项目的现场与非现场实施。

        二、依托大数据审计平台，开展大数据审计

        大数据审计是依托查证平台，以内外部数据为基础，将大数据思维和方法贯穿于数据采集、挖掘、分析等审计的各个方面。审计人员依托大数据平台，根据项目需要采集数据、构建模型、深入挖掘、选取样本、多手段核实，在不断探索和实践中，逐渐形成较为完整的大数据审计方法体系。

        （一）多方数据采集，深入理解数据是前提

        大数据审计，数据获取是前提，数据获取的数量和质量至关重要。为保证业务数据的全面、完整、准确、可用，一是利用查证平台，每日从全行统一数据平台自动组装、过滤、拼接所需业务数据；二是对于不能直接获取的系统数据，向科技部门批量提取；三是对于暂无系统的业务，调取业务部门手工台账，研究业务开展情况；四是从互联网等途径采集的外部数据，设定主键、定义字段格式后，导入非现场查证平台；五是对于非结构化数据，如影像平台图像数据，开发专用接口调用。对于采集的数据，研究数据表结构、字段含义、表间钩稽关系及关键字段内容，梳理分析后批量导入查证平台，为后续多表间的数据处理和业务理解提供依据。数据采集流程如图2所示。

        （二）依托系统构建模型，绘制业务疑点轮廓是基础

        利用查证平台的模型探索工具，对审计所涉及相关数据表进行处理，开发数据分析模型，获取疑点清单，一方面利用系统自动运算，生成疑点；另一方面审计人员自主进行数据挖掘，从数据层面了解风险状况，为总体业务状况“画像”，如图3所示。

        （三）多工具并用，深入开展数据挖掘是关键

        通过充分的数据准备，现场审计与非现场审计人员就业务开展过程中可能存在的疑点，利用多种工具开展深入数据挖掘，如图4所示。一是对查证平台按照指标体系矩阵生成的业务监测指标，利用自行开发的图表监测分析工具，从横向（机构维度）和纵向（时间维度）两个角度对业务情况在风险导向指标层面进行数据异常、复合指标组合对比、风险趋势演化等分析，从总体上进行风险判断；二是利用查证平台模型探索工具，对所涉数据进行数据概化，按分行进行关联分析、聚类分析、统计分析、列值计算、关键字检索/字符匹配、趋势/区域/数据特征分析等操作，获取非现场疑点。再通过对疑点的梳理/汇总、信息聚合/归集并结合风险信息，经多次迭代，选取可疑数据，并整合相关信息；三是利用 CareWare IDEA进行疑点数据分析，对重点业务进行个别针对性处理。

        （四）着眼业务全局，选取重点关注领域是手段

        在前期數据分析和处理基础上，审计人员结合行内业务管理系统，从业务全局出发，梳理审计期间内业务交易笔数、金额、行业、区域等信息，利用查证平台计算授信客户的风险敞口；然后重点关注钢铁、水泥、机械、房地产等性行业、有敞口、金额大、时间及交易密集的客户，初步选定样本，并获取相关方的交易记录。

        （五）“三流一网”合一，揭示背后隐藏异常是重点

        大数据审计对业务相关信息的处理至关重要，审计人员通过对资金流、业务流、控制流、关联关系网的整合，揭示业务背后的“秘密”。一是将资金流、业务流、控制流进行匹配和核对，通过客户的交易记录，获取资金流动轨迹，识别交易意图；通过相关业务交易合同、管理资料，鉴别业务真实性；通过从业务申请、审查、审批、后续管理等环节的流程信息了解各环节的实际控制情况，通过上述步骤获取业务资金流、业务流、控制流基本情况。二是通过内外部查询，绘制关联关系网，一方面通过查证平台的树型和集合型关联关系查询，了解在该机构系统记录的股东、高管、财务负责人、联系方式等显性关系；另一方面利用互联网工具“企业信用-企查查app”等，获取企业股权结构、工商变更记录、法定代表人、企业主要人员等信息，核实交易方之间隐性关系。三是运用互联网搜索引擎，搜寻客户业务发展、产品、工程、诉讼、失信等正负面相关信息，通过对资金流、业务流、控制流与关联关系网的综合分析，揭示其背后。经过该阶段的多次循环测试，确定最终样本。

        （六）多途径核对，确认业务事实本质是目的

        通过上述步骤后，被审计业务存在的问题和疑点已基本得到确认。为进一步深入了解，审计人员采用多种方式对样本进行核查。对于疑点与问题较少的营业机构，通过下发审计疑点清单，要求对事项进行核查，并反馈核查结果；对问题较多、情况复杂的，审计组进行现场核实，通过调取业务资料，与经办、管理人员访谈及部分客户经营情况实地考察等方式，确认业务的事实本质；对于与其他项目有重合的样本，则由其他项目组采取嵌套的方式，同步实施。

        三、大数据审计平台的主要特点

        （一）依托系统，实现数据审计监督全覆盖

        大数据审计平台的建设，为大数据审计监督全覆盖奠定了基础。一是审计基础数据的获取更加便利，数据更加全面。随着大数据技术发展，各种跨系统、跨平台、跨数据结构的应用不断深入，审计人员不再需要分别获取各个部门的相关数据和外部数据，审计所需的数据，通过特定接口，均可灌入查证平台。审计数据获取范围的扩大，奠定了全行数据审计监督全覆盖的基础。二是数据分析和处理更为高效。由于大数据平台的建设，使数据处理及分析响应时间大幅减少，审计人员可对多个类别、多种领域的数据同時进行分析、处理，更快捕捉到有价值信息，及时发现问题，效率显著提高。三是数据挖掘手段更加丰富。审计人员不仅可通过查证平台利用大数据工具进行数据概化、统计分析、聚类分析、关联分析，还可以运用IDEA、SQL语言进行数据表级操作，也能为其他数据分析工具的应用提供数据源和接口。

        （二）创新思路，设计机构风险评级指标体系

        利用大数据平台强大的计算功能和高效处理能力，审计人员创新思路，设计了以风险为导向的机构风险评级指标体系。该体系从安全、结构、发展、效益四个维度，选取25项指标，设置正向、反向、中性（中性1/2/3）3个属性，每月计算分支机构风险数值，从数据层面定量评价分支机构风险，长期跟踪风险演化趋势。由多指标集组成的机构监测评估表，通过对每一指标集及具体指标参数及权重灵活设置，定制指标属性及计算模型，从而为个性化和不同风险偏好机构的量化评估提供支持。此外，风险评估的结果和长期风险的变化状况，也为审计规划和特定领域关注提供量化数据支撑。

        （三）丰富手段，实现审计业务的立体检查

        传统审计通常在业务流中寻找线索，在局部数据和现场档案中发现问题，检查手段较为有限。大数据审计平台建立后，以查证平台为依托，运用预先设计的预警和中间模型，实现对业务的持续监督，对经营数据的实时查证，对风险信息的动态监控，及时发现异常和疑点；通过对业务资金流、业务流、控制流、关联关系的立体检查，实现非现场审计指引方向和路径，现场审计“按图索骥”。此外，现场审计对非现场审计的不足及时进行反馈，助推非现场审计提高，形成相互促进的良性循环。

        大数据“样本=总体”的全数据模式，使审计工作可建立从整体到局部的审计思维模式，实现从大量手工作业到精准数据定位、有限样本到全局数据筛选的转变，如图5所示。

        与传统模式相比，在全数据模式下开展审计数据分析，一方面不需要对数据进行预处理，使数据分析具有更全面、更接近真实的洞察力，在把握总体的情况下，更能锁定重点，准确定位疑点；另一方面规避了抽样风险和从局部推算整体的局限性，使数据分析工作结果更加精准。通过对相关领域长期形成数据的深度钻取，利用大数据技术对业务总体开展情况、相关执行情况、实施效果进行评估，挖掘隐性特点，提示潜在现象，从而得出更加客观全面的审计结论，进一步提升审计的权威性。

        （四）构建模型，实现审计模式化运作

        徽商银行内部审计已经建立一套开放、灵活、有效的数据提取及分析方法，实现常态化数据分析和模型开发应用。一是规范数据供给，优化数据提取流程，建立快速的数据供给机制，提高数据提取的规范性和数据提取效率。二是充分借鉴同业审计经验，对以往内部审计成果进行总结和模型化，构建了涵盖信贷、同业、票据、财务、运营、信用卡等各大业务条线的审计模型体系，通过模型的梳理和投入使用，有效发现风险交易、违规交易等查证线索，形成了规范的数据审计循环，如图6所示。三是利用查证平台提供灵活多样的审计分析模型和审计分析工具，对被审计机构进行自动分析和风险筛查，有效完成审计抽样、审计业务的评价和风险监测等工作，提升了审计工作的效率和质量。

        （五）拓展范围，降低数据审计操作难度

        查证平台特有的工具——模型探索，可对数据表进行可视化操作，普通审计人员经过基础培训即可将审计思路转换为处理逻辑，系统自动将其转化为SQL语句，大大降低了数据审计的操作难度，且不同背景的业务人员可根据自己需求，进行角度不同、目的迥异的数据探索，拓展应用范围。

        四、运用大数据审计平台实现的管理效益

        （一）促进公司治理完善，推动管理与风控水平提升

        运用审计信息平台开展的“机构风险定量评估”“财务费用审计”“薪酬绩效考核审计”“票据专项业务审计”“表外业务专项审计”等大数据审计活动，在公司治理、管理与风控方面起到积极作用，充分发挥了“第三道防线”的作用。通过系列审计活动，评价了公司治理环境及治理过程的有效性，有效防范舞弊的发生，保障了经营的合法、合规性，发挥了审计在公司治理领域的增值服务职能；对防范系统性风险、内部控制重大缺陷、分支机构经营激进等风险起到了揭示与防御作用，对案件防控起到了警示与遏制作用；大数据审计的相关成果，对总、分行完善出台相关、制度、流程起到了推动作用，促进了本行精细化管理水平和风险管控能力提升，对业务稳健发展起到积极促进作用。

        （二）增强审计服务能力，提升审计价值

        一是提升审计宏观性和客观性。在当前的经济环境和金融转型时期，经营风险呈现复杂化、多元化的特征。在审计揭示的问题中，很多问题不是单体存在的，而是涉及多个条线、多项制度、多个流程以及不同的管理目标、和机制，大数据审计既能从数据上了解总体，又能深入细节探知具体，宏观性和客观性均得到保障。二是推动数据资产质量的提升。通过日常审计分析、非现场监测与现场检查，发现数据质量问题及改进点，适时提出建议。三是利用审计查证平台及有关系统，设计风险检索模型，对业务数据信息进行梳理分析，适时出具非现场分析报告，为领导提供具有较强时效性的参考。四是立足全行，提供高质量信息服务。围绕全行改革发展大局，重点关注董事会、监事会、高级管理层关心的热点领域，在常规审计发现之外，利用数据挖掘，深入分析背景现状、全面研究问题成因、及时总结并建言献策，为防控风险、提高效益提供有针对性、高质量的审计信息，服务全行管理，支持高层决策。五是利用自身客观的治理特征和综合性全局性视角，在审计实务中，对业务流、控制流融合透视，注重从完善业务发展、改进流程服务、优化资源配置等方面提出建设性建议，改善组织运营管理效率，增加价值。

        （三）改进审计模式，提高审计监督效率

        审计信息系统的建设，尤其是查证平台的投产应用，延伸了审计监督触角，扩大了审计覆盖面，改进了以往审计模式。一是改进审计管理模式。充分运用银行信息化优势，统筹审计资源，在审计信息系统支持下，探索多视角分析、多专业融合、多方式结合、多技术运用的审计管理模式，提高了审计效率。二是改进审计工作模式。形成业务条线和分支机构条块相结合的审计形式，使总、分部审计活动呈现纵、横交错的新布局，达到现场和非现场审计、专项审计和日常监督的高度融合，自上而下、自下而上的对层面、管理层面、执行层面的经营管理动态形成快速反应和综合评价，及时为总行决策和管理提供客观的审计信息。三是改进审计监督模式。随着审计分部的建立，在审计非现场分析查证平台和审计作业管理系统的配合下，审计业务重心下沉，审计监督防线前移，现场审计和非现场监测的针对性和时效性有效提高，以风险为导向的“现场+非现场”审计监督进一步强化。

        （四）优化审计方式、方法，提升审计效能

        通过融合审计方式，将合法合规性审计和风险、绩效、管理、内部控制审计有机结合，在关注业务经营合法合规性的同时，通过大数据技术关注风险控制的有效性，经营事项的效率、效果和效益性以及内部控制的适当性，提高审计综合评价水平；将财务收支真实合法性审计与绩效审计相结合，提高效益性评价的客观性；将事前、事中和事后审计相融合，提高审计的监督效果；通过大数据技术的持续深入运用，对重大隐患进行及时预警，对风险性苗头适时报告，对新型业务持续跟进，对突出事件进行整体排查。下载本文