当数字化浪潮以势不可挡之势呼啸而至的时刻,对于那些有先见之明、早已未雨绸缪,为研究型审计全力投入资源的审计部门而言,他们正摩拳擦掌、展开双臂、拥抱变革的到来!
“与其被变革,不如自己拿起刀”。新时代,肩负新使命、新责任的内部审计突破传统审计的藩篱,敢为人先,做变革的推动者,在百年大变局的风雨中“护航组织,点亮未来”!
顺丰审计在国内许多审计部门还没有形成审计研发意识的时候,就成立了自己的审计研发处,专司数字化审计的研发攻关,形成“敏捷+远程”双轮驱动的后台,在国内吹响了敏捷审计的集结号。
他们将审计团队分为前、中、后三端,中端是“情报中心”,实施线索的识别和处置,将线索转化为审计方案,为“前线作战部队”提供资源,使内部审计成为快速反应的作战团队。而这一切,得益于后台审计研发培育的“风险树”,这颗大树不断追随风险,发现风险重点,为企业遮风挡雨。
让我们走进顺丰,与顺丰来一场互动,和优秀的企业在一起,才能让自己更优秀!
一、研究型审计的发展背景
数字经济时代,随着业务复杂化,风险变得更加隐蔽、多变,准确把握风险在哪里是企业内审部门面临的最重要问题。
传统内审的工作模式与其他审计接近:通过审计计划评估风险,抽样调查与访谈进行审前准备,观察走访进行审计记录,抽样或浅层分析获取审计线索。
然而在数字化环境下,这种程序模式对业务的理解不透彻,并且没有充分挖掘利用数据资源,最终不利于内审价值发挥。
作为根植于企业内部、伴随业务部门成长的组织,内部审计理应对企业业务更加了解。特别是在数字化时代,内部审计是企业内拥有数据权限较多的部门。
通过将业务与数据结合开展常态化风险研究,用数据呈现风险在哪里,从系统角度分析问题,内审部门能够更好地完善企业内控,增加组织价值。
由此,重新思考企业内审的资源组织方式与工作模式是必要和有益的。顺丰集团审计总结多年来数字化转型经验,进一步探索提出并建设实践研究型审计。
二、研究型审计的组织模式
在组织架构方面,顺丰集团审计围绕审计任务全流程建立了前中后台审计组织。
其中,后台组织负责研究业务风险;中台组织负责数字化审计,除提供数据和技术支持外,还负责数据分析挖掘;前台组织实施审计任务管理。
图1 研究型审计的组织架构
(来源:顺丰集团审计)
三、研究型审计的工作模式
在审计实践方面,后台与中台审计组织分别从业务风险研究和数据分析挖掘角度,开展常态化研究工作。
01
业务风险研究
审计后台组织的业务风险研究以风险责任小组为单位进行。每个风险责任小组负责一块业务域,具体的研究工作是基于每个业务域理解业务,实现「开枝散叶」,并通过审计视角理解风险,实现「开花结果」,最终形成风险树。
风险树由两部分构成:业务框架和风险包,其中业务框架是枝干,风险包是果实(图2)。通过风险树可以理清业务逻辑、看清业务全貌、弄清风险重点。
图2 风险树结构
(来源:顺丰集团审计)
(1) 业务框架
业务框架遵循一定的层次结构,从业务域到业务模块,再到业务单元,与业务部门理解相符。
具体来看,业务框架的根节点是聚焦企业业务的重点板块,并可以从整体上理解企业经营管理的范畴。
各个根节点之间相对独立且层次均衡。从根节点开始拆分形成的枝干是业务模块,即指每个业务域在一定范围内相关联工作内容的集合,一般体现在企业的组织架构、业务流程、系统框架等方面。业务模块的分级可以基于组织架构,也可以基于业务流程。
业务框架划分的最小节点是业务单元,即在本业务领域中一个独立且完整的最基本事项,它包含端到端的流程循环。比如招投标单元(从邀标、投标、评标、议标、定标到签约)、费用结算(从账单生成、考核扣款、对账、开票到付款)等。
(2) 风险包
风险树枝干延伸至最小的节点是风险包,对应着业务单元的流程环节。风险包基于活动对象的基本事项,具有一定流程结构或工作结构;其颗粒度是相对的,需要结合业务本身的复杂程度、业务规模以及风险发生可能性去确定。
风险包作为审计项目实施过程中的一个最基本的审计对象,需要通过审计理解逐个识别出关键风险,建立风险清单。
风险包的进一步展开为风险项,其包括多个风险点。由风险点可以建立风险规则、开展审计程序。风险包的展开需要具备完整的字段要素,包括必备项和可选项;其中必备项有风险点名称、风险描述、风险等级、风险类型,可选项有制度标准、风险规则、审计程序、风险实例。
审计后台通过业务研究一方面形成风险树并驱动审计任务,另一方面根据审计查验结果落地为业务和数据勾稽校验类监控模型(图3)。
图3 业务关键风险研究——应用案例
(来源:顺丰集团审计)
02
数据分析挖掘
与业务研究相比,数字化团队的数据分析与挖掘更侧重数据层面的风险研究与线索输出。这种研究主要基于风险类别,使用的方法工具层次更深。
数据分析挖掘输出的风险线索经审计核查后最终沉淀为算法类、数理模型类监控模型,并与业务研究建立的勾稽校验类监控模型相互印证。
数据分析挖掘的工作在确定业务领域与挖掘价值目标后,首先从业务研究的成果——业务模式和风险树出发,通过分析业务模式、风险框架、历史案例,总结当前业务领域的风险类型。
其次,整备数据并基于数据特征选择合适的挖掘方法或统计指标定量刻画风险。然后,测试、优化算法,输出风险样本,并根据风险重要性筛选重点关注对象作为线索输出。最后,结合审计核查结果形成分析报告,建立监控模型并运维。
图4 数据分析挖掘流程与案例
(来源:顺丰集团审计)
03
融合型团队的工作机制
在审计工作中,业务研究团队与数字化团队并不是各自为战,而是过程中互为支持,结果上互相印证(图5)。
具体而言,业务风险研究离不开对数据的理解,数字化团队为业务研究团队提供数据和方法支持;而数据层面的风险挖掘需要以业务模式和风险树为基础,在审计查验的过程中也需要业务研究团队提供专业见解。
业务风险研究与数据分析挖掘最终分别形成基于业务与数据勾稽校验类、基于算法类和基于数理模型类的监控模型。
通过不同类别模型的相互校验,能够更全面、更准确地呈现业务风险,进而驱动审计任务。
图5 风险管理工作机制
(来源:顺丰集团审计)
四、研究型审计的转变与展望
通过建设研究型审计组织,开展基于业务研究和数据分析挖掘的常态化研究,顺丰集团审计较好地回答了风险在哪里,应该审什么的问题。
审计任务的驱动从计划为主转变为基于数据的研究驱动为主,其中数据驱动的日常跟进占比40%、指标模型预警占比30%、主题看板分析占比15%、数据挖掘研究占比5%并且仍在继续提高。
通过多元化研究成果驱动,顺丰集团审计在风险覆盖、风险响应、风险管控上取得了良好的实践效果。
图6 研究型审计的任务驱动
(来源:顺丰集团审计)
部分经典留言
01
谭丽丽
“让数据成为令人敬畏的真相”,这是五年前我第一次在顺丰审计部交流时感受到的震撼。
5年前,顺丰集团审计部就设立了自己的审计研发处和数字化审计处,他们在“业、审、信”的三融合中如鱼得水,他们的数据前台、中台和后台让数据发出声音,让系统会“思考”…
一篇文章写不下顺丰审计的故事之“魂”,我建议大家看我们公众号“快乐审计 Enjoy Audit”中的推文《大咖来了——顺丰集团高级审计总监刘国华》。
02
周立云
顺丰审计部,以数字时代为背景,阐述了如何做好研究型审计这篇大文章。从组织体系、工作思路、技术方法、手段等方面进行了阐述。在实践层面,率先成立专门的研究处室,成立数字审计处,对物流行业的风险进行全方位、全过程研究,同时较早提出了顺丰审计的数字前台、中台、后台建设的思路,值得我们参考借鉴。
03
程广华
顺丰审计部门的模式凸现了数字化审计的三个特点:一是产品化思维,审计跟着流程走,通过风险树、风险包刻画业务全貌;二是从点状清单式审计向场景式的触发式审计转变,通过系统监控触发任务;三是业技融合,数字化时代的审计需要OT和DT人员都向前一步,形成从思路到模型的互动循环。
