审计思考 | 建立内审人员的“四库全书”

建立内审人员的“四库全书”

---

内部审计人员是超级复杂的综合有机体，内审人员的能力成长也是个缓慢的进化过程。根据约翰·梅菲尔德在《复杂的引擎》中的观点：

只要遵循特定的信息操作和累积策略，进化就会发生... 进化和创造性的联系极为紧密，很有可能我们遇到的所有具有创造性的复杂事物都只有通过进化计算才有可能。

面对纷繁复杂的各类业务，内审人员需要遵循特定的信息操作和累积策略，不断完善各类附加信息的积累，才能持续表现出高度的创新性。内审人员需要建立自己的“四库全书”：

• 制度库
• 经验库
• 代码库
• 模板库

一、制度库

规章制度是内审人员履职的起点和终点。起点的含义就是，内部审计大多数时候都是从内外部规章制度体系出发，确定审计目标，选定审计重点。而审计问题的最终确认也离不开规章制度，必须以制度为定性定级的依据和度量衡。内审人员首先必须是业务的专家，才能做好风险监督。只有建立自己的制度库，才能避免临时抱佛脚。
制度库一般要包括如下几方面的规章制度：

• 国家的法律法规
• 相关监管部门的法律法规、通知公告
• 组织内部的各类业务规章制度
• 同业的规章制度

规章制度多如牛毛，如何更好地进行分类管理？最好能提供全文模糊检索功能。可以用网文快捕CyberArticle导入收集的各种格式的规章制度，编译成一个独立的chm文件，不仅便于携带，还可以方便查询。

二、经验库

这里的经验库是广义上的经验库，不仅仅包括检查实践总结的经验，还包括数据挖掘实现的规则等。从广义上来说，内审人员的经验库主要来自于如下三个方面的分析过程：

• 查询型分析
  这是目前应用最为普遍的一种数据分析类型，指内审人员利用SQL等技术访问和查询数据记录，进行筛选、查找、排序、计算等操作性分析。一般是使用数据库客户端，连接数据库后进行查询。
• 验证型分析
  内审人员首先提出自己的假设，然后利用数据分析方法来验证或否定自己的假设，从数据中确定检查事实。验证型分析的关键，是要能提出合理相关的假设，而这一点则与内审人员的职业判断和经验积累息息相关。
• 挖掘型分析
  基于数据挖掘的理论进行数据分析。数据挖掘（Data Mining，DM）的目标就是在海量的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息并且加以分析，进而获得有意义的信息为管理和决策提供依据。

因此，内审人员的经验库主要包括如下六个方面：

• 业务处理逻辑
  组织内各类业务处理的流程和常识，内部控制要求等。
• 法律规定的限制性条款
  人民银行、银监会等监管机关的规定，如《人民币银行结算账户管理办法》，将其中的限制性规定转为控制规则。
• 数理统计思想
  如Benford定律，即一组数据的数字第一位上各个非0数字出现符合固定的概率，可以用于判断频繁取现、商户套现（《利用Benford定律在海量数据中筛选非法商户研究》）等异常。
• 数据勾稽关系
  比如借贷关系、总账和卡片账、业务卡片和账务流水、实物和账务等。
• 检查经验
  检查人员长期积累的专家经验，同业案例总结的特征等。
• 数据挖掘规则
  如关联规则、聚类分析等。

三、代码库

面对复杂的业务规则、海量的数据、有限的审计资源，做好内部审计离不开数据化审计。

所谓数据化审计就是以组织的全面经营管理相关的内外部数据和信息为基础，以数据分析软件、信息系统平台为支撑，融合非现场数据分析、现场检查和审计质量控制要求，对各类结构化和非结构化数据进行抽取、聚合、转化、提炼和存储，并持续进行深层次分析、挖掘、验证、展现与共享，进而有效提升审计质效，实现审计价值的系统过程。

而在数据化审计过程中，审计人员在进行数据的分析、挖掘、验证、展现过程中，会积累众多的代码，这些代码经过多个项目的迭代、完善，往往也能成为审计支持系统的模板，成为审计条线做好现场检查的利器。具体而言，代码库主要包括如下内容：

• Excel宏、VBA等
• SQL、Cypher等结构化和非结构化数据库查询语言脚本
• Python、R等数据分析语言代码
• 其他

对代码库的管理，可以采用按照主题建立代码文件，使用Notepad++进行查看编辑。Notepad++是一个免费开源的代码编辑器，功能比Windows自带的Notepad(记事本)强大，可以用来编辑文本文件、各类代码文件。Notepad++ 不仅有语法高亮度显示，也有语法折叠功能，大大增强了代码的可读性。

四、模板库

内审人员的模块库，包括两个方面的内容：

• 审计文书模板
• 常见审计问题描述

内部审计的成果主要是通过各类审计文书作为载体，通过各类传播渠道，反馈给管理层、被审计对象和条线人员。在一定时期内，审计文书的格式基本是固定的。从用途来看，审计文书也是应用文，根据不同的报告对象，也分为上行文、平行文和下行文。作为应用文，不同类型的审计文书是有相对固定的行文特点和要求。审计人员需要注意收集建立审计文书模版库，在撰写不同审计文书时才能快速切入正确的状态，避免在格式上出现低级错误。
此外，模板库还包括常见问题的描述。不同条线的内审人员需要在日常工作工程中，通过对规则制度、监管报告或其他检查报告、内审报告等的阅读，逐步建立和完善问题库。这样一方面可以保持问题的延续性；另一方面也使得不同审计对象的横向比较有相对客观一致的基础。