ISACA Journal
Volume 2, 2,017 

Translated Articles 

分析技术将如何转变内部审计 

Robert E. (Bob) Kress and Dave M. Hildebrand,CPA、CFE 

许多公司刚刚开始采用分析技术来解决内部审计难题。最初的应用往往侧重于使用分析技术来提升内部审计的开展方式。但未来 3 到 5 年,分析技术也许能以更基础的方式来改变内部审计的开展方式。本文研究分析技术在执行风险评估、制定审计计划、确定审计范围和执行审计实务方面对内部审计的业务影响;还试图为在内部审计职能部门中应用下一代分析技术定义愿景和战略。

分析技术在内部审计职能部门走向成熟

作者借助在 Accenture 使用分析技术进行内部审计的经验,说明分析技术的应用是如何不断发展并走向成熟的。2012 年以前,Accenture 仅有限发挥了分析技术的作用。Accenture 的内部审计职能部门采用了分散化管理模式,将分析工具部署到每个审计师的个人计算机 (PC) 上。这些可熟练应用分析技术的审计师能够在他们的具体职责范围内使用这些工 具,但总受到多方面的限制。虽然在整个部门广泛实施了培训,但审计师很难利用这种技术并管理大量的数据。如果数据文件经常超过 50GB,PC 运行也会出现问题。

如无法使用合并的数据集用于分析,收集和管理数据的流程必然是低效率的。缺乏协调一致、全面有效的战略,分析技术热衷者很难入手,更难获取正确的数据。

明确说明因放弃分散化模式转而采用集中化分析程序的花费对应的投资回报 (ROI) 是个难题,数据安全问题也是如此。

与来自众多行业、多家企业的审计同行交谈后得知,并非只有 Accenture 遇到这样的难题。由于内部审计职能部门希望发挥分析技术的作用,于是他们先从探索开始,而后逐渐走向成熟(图 1)。 在采用分析技术的最初阶段,只有少数几个人具备分析能力。应用缺乏一致性和有效性,业务影响也受限。随着越来越多的审计师能够娴熟地应用分析工具,他们发现了分析能力与其工作之间的相关性。最后,这些能力得到了一致的拓展和利用,并且定义的目标与日益标准化的流程和工具关联在了一起。

但是,在整个早期阶段,甚至在更严格地确立了分析技术之后,人们关注的重点通常还是利用分析技术来改进内部审计的开展和执行。

自下而上:利用分析技术转变审计工作

Accenture 的内部审计职能部门开始在执行审计的过程中利用分析技术。在风险评估和审计计划的早期阶段,会对风险进行广泛评估,并且会根据已知风险因素、与被审计职能部门或领域内的讨论以及历史测试程序来确定审计范围。直到那时,传统的分析技术才会应用于审计执行过程,并根据结果执行测试。

但 Accenture 内部审计团队很快意识到,要让分析技术在审计执行过程中充分发挥作用,必须继续促使流程更成熟并“自下而上”改变执行审计的基本 方式。随着分析技术与内部审计职能部门的进一步整合,相关人员可以随时获得数据来源,一次性活动变成了可重复的流程,还引入了衡量指标来衡量绩效。短期内,分析技术就嵌入到整个组织和业务单位的审计工作中,同时实施改进方法,并密切监控衡量指标。

到分析技术完全成熟时,企业会采用基于分析技术的风险模型,分析技术将开始发挥作用,改变审计师的行事方式,并且会出现新的价值主张。

可在图 2 中查看自下而上以及从审计流程的最初直到结束采用分析技术的影响。

以这种一致的方式应用分析技术能在广泛的业务单位、地理区域和职能领域范围内持续衡量风险,以识别风险较高的领域。此外,充分获取所有数据之后,可以利用分析技术来推动风险评估和审计计划,并且将总体测试与抽样测试进行对比。通过挖掘数据可以确定哪些国家、业务单位和业务流程或其他领域可能存在增加风险或导致合规问题的隐患。确定了业务单位或地理区域后,可通过更深入地探查数据、在风险较高的领域中扩大范围以及在分析表明风险可能较低 的领域中缩小范围来进一步优化审计范围。整体结果是:根据持续进行的即时风险评估制定更加动态的审计计划,执行与风险领域协调一致的更高效的审计,从侧重于这些高风险领域的审计中得出更有效的结果,以及自动生成报告。

观察分析工作:数据可视化

随着内部审计职能部门在利用分析技术方面日益成熟,利用仪表盘和其他数据可视化技术可以了解通过分析确定的风险因素。通过显示数据点并将分析技术与关键绩效指标相结合,审计师可以全方位地深入了解风险领域,以确定个别的审计工作、审计范围和关键测试程序。通过仪表盘提供业务单位和流程的风险评估,还可以向内部审计团队提供自助服务模型来定期或实时评估风险,从而提高他们的工作能力。

在 Accenture 的内部审计运营中,已使用仪表盘来按业务单位显示风险。广泛的业务需要有灵活的矩阵式仪表盘,它能让审计管理层跨特定的业务流程确定风险。很快将引入公司职能部门仪表盘来更详细地显示全球风险概况,其中会显示公司的每个职能部门(例如人力资源部、采购部以及像分包商这样的特殊类别),以便更好地了解各业务单位和国家/地区的风险。这个公司职能部门仪表盘在结构上将有多个级别,以便管理层能识别并确定审计范围,提供直接从工具中抽取的详细测试所需的数据。仪表盘将利用每个流程现有的分析组合及关键指标,显示一幅跨所有地理区域和业务单位的全局视图。内部审计团队可以根据风险结果深入探查到特定的地区、国家、流程和分析技术,以提供全局观点。数据会定期自动刷新,提供可用于确定审计内容并相应地调整全年审计计划的实时评估。

随着将自动化和可视化工具结合在一起,Accenture 可以设想在未来某个时点,各个团队将能在完全自助服务模式下利用分析技术来计划和执行内部审计,在跨地区、地理位置、流程或子流程的情况下提供对审计范围和高风险领域的见解。

应用案例:业务流程风险评估

对特定风险领域和业务流程(例如差旅和招待 (T&E))的风险评估可以切合实际地展示内部审计与分析技术协作的力量。对许多公司而言,T&E 费用是预算中相对次要的明细项目。但是对咨询公司而言,出差往返于客户与公司之间是家常便饭,因此需要有效地监控和管理 T&E。采用了分析技术的差旅审计还能实现快速成效,有助于让 Accenture 领导层及其审计委员会知道分析技术的价值,并鼓励他们尽早提供支持。

Accenture 的全球差旅工作组与内部审计职能部门相互合作,使用分析技术来分析每年高达数亿美元的机票支出,并研究整个企业的机票购买模式。通过对差旅费用最高的人群进行分析发现了最佳的订票时间段(通常是提前两周)以及次佳的省钱人群,例如短期内反复订票的人。Accenture 员工已经使用了全球预订平台,但仍需要进一步改变行为。通过执行采用了分析技术的预订分析,Accenture 以及 Accenture 的客户都发现,优化订票实践可节省数百万美元的开支。一旦企业看到了分析技术提供的价值,领导层往往就想获得更多的价值。

在内部审计中通过分析技术实现 ROI

在整个内部审计职能部门中引入分析技术会产生成本。必须重新设计流程,对人员进行培训,并且增加新的分析能力。如何计算这笔投资的 ROI?可看到多种不同形式的回报。使用分析技术确定风险较高的领域意味着可以在风险较高的领域中增加审计工作,在风险较低的领域中减少或剔除审计工作。

自下而上地使用分析技术来监控大范围的业务领域时尤其如此。分析技术可以识别出在整个地理区域或企业实体中存在风险的领域,从而仅对其进行审计。净效应是通过将审计活动集中在风险最大的领域中来实现更全面的风险覆盖。除了可以在覆盖面和生产率方面带来这些收益外,分析技术还可以非常有效地识别节约成本的特定机会。

在分析技术投资上实现令人满意的 ROI 的关键因素是,将分析技术嵌入到内部审计职能部门的标准运营模式中。如果仅一次性使用分析技术,可想而知,回报可能会令人失望。如果将分析技术整合到持续的监控流程中,分析技术的作用就会加倍,这就是 ROI。

分析技术与内部审计职能部门的未来

自 Accenture 在 2012 年率先使用分析工具以来,使用分析技术的成熟度是否有了广泛或显著地提升?根据作者与其他公司和行业中的审计同行的互动和协作,虽然看上去存在使用分析技术的机会并且也有希望抓住这些机会来发挥分析技术的最大潜能,但它却不仅仅存在于审计执行过程中,而是贯穿于 Accenture 的整个内部审计流程(图 3)。在作者看来,内部审计职能部门内部的文化需要发展演变,对分析技术采取更开放的态度,并且更认可分析技术可以带来的价值。

内部审计变革日程表上的第一个项目必须是关注价值主张。内部审计师必须要使用分析技术,他们还必须关注有形的业务价值,这可以通过覆盖所有总体样本、识别外部因素或识别成本节约等机会来改进风险评估并提高审计工作效率。在某个领域中取得成功可以证明内部审计的贡献,还可以利用这种成功来获得更大的支持和认同。

缺少分析人才将是许多公司面临的另一个主要挑战。市场上严重缺少受过培训的人才。特别是,很难找到既有内部审计经验又有分析经验的人。Accenture 发现,他们更容易接受有审计经验并且对分析技术有浓厚兴趣的人,然后将他们培训成内部审计分析专家,而不是从分析专家开始,对他们进行内部审计培训。

这些挑战可能令人望而生畏,但并非无法克服。现在,Accenture 有 78% 以上的审计工作采用了分析技术。分析技术的存在和作用可能会在几年时间内稳定地转变内部审计职能部门的工作方式,很快将这个职业带到可以以任何方式开展工作的境界,这种境界将难以想象甚至无法想象。

Robert E. (Bob) Kress
是 Accenture 内部审计组织中的全球 IT 审计部董事总经理。他负责全面地识别和评估包括面向客户服务以及公司内部的技术、财务和运营风险等领域,并报告给 Accenture 高级领导层和董事会的审计委员会。Kress 以前是 Accenture 的高绩效内部 IT 组织的首席运营官,负责像企业那样运作 IT,包括 IT 战略、IT 规划、IT 风险和所有 IT 运营工作。他出版了两本书:Running IT Like a Business(《像企业那样运作 IT》)和 IT Governance to Drive High Performance: Lessons from Accenture(《通过 IT 治理实现高绩效:Accenture 的经验教训》)。他最近发表了一篇关于数字化内部审计的文章。

Dave M. Hildebrand,CPA、CFE
是 Accenture 的美洲区内部审计总监兼持续审计与调查部门的全球负责人。他在外部和内部审计、内部控制、监管合规、外部报告和战略计划方面有 17 年的经验。他的专业知识领域包括有效地管理、规划和组织团队以及最大程度地利用资源来实现目标。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.