文章
证券基金行业热点聚焦(第三期)
开拓数据应用,助力内部审计转型
在过去的2018年,德勤基于金融机构非现场审计成熟的方法论,已经成功为知名券商搭建非现场审计体系、设计并协助实施非现场平台,实现了证券业务全面覆盖、提前预警风险、精准打击事件的效果。
1. 数据分析在内部审计中的价值
在证券公司的传统审计工作中,资料获取的困难性、检查频率的间断性、抽样技术的随机性、发现问题的滞后性等,都为审计工作带来了诸多限制,阻碍了审计监督和查错纠弊的职能作用。面临着此类困境,伴随着经济环境的高速变化、信息技术的快速发展、数据应用的持续拓展以及证券公司业务的不断创新,非现场审计应运而生。该审计模式通过采集被审计对象的数据,建设审计数据分析模型,评估并展示公司风险全貌,侦测疑点、异常及问题,使审计重点范围清晰呈现,达到事前预警、事中监测、事后检查的效果。非现场审计同时服务于现场审计,为审计计划和审计方案的拟定提供方向性支撑,为现场审计的实施提供具有针对性线索,对于违规问题能够快速、精准地发现并进行跟踪。非现场审计不仅提升了证券公司内部审计的效率和效果,也不断通过监测风险的实时动态,完善公司一、二、三道防线的制约与管理。因此,证券公司内部审计已从传统的现场审计转向非现场审计与现场审计相结合的方式,同时,将非现场审计数据分析的应用范围从经纪业务逐步拓展至全流程全业务。
应对传统审计的痛点,非现场审计的价值充分得到体现:
- 减少现场依赖:基于海量数据积累,非现场审计通过采集并分析现有数据,减少对纸质材料和现场检查的依赖,达到预先审计的效果。
- 实时监控:非现场审计模型采集和分析连续期间内各项数据,实现实时、全程监测,进行连续性对比、分析及监控,避免传统审计在非检查期间内出现的监督断点问题。
- 全面覆盖:非现场审计通过全量数据分析,全面覆盖审计范围,重点打击违规事件,对可疑、异常问题无一数漏,避免传统审计抽样方法造成的遗漏风险。
- 审计前移:非现场审计能实现事前预警、事中防范,大大提升传统审计仅能事后检查的效果,实现审计职能的前移,及时化解风险、防患于未然。
- 标准统一:通过在非现场审计系统中设置数据模型、操作模板等,日益消除传统审计中依赖于个人经验和视角的弊端,实现内部审计实务流程、执行标准的统一和规范化管理。
- 降低成本:非现场审计打破了物理环境的概念,节约了大量人力、物力、财力的资源投入,可以使审计人员将更多的精力投入到审计方法和技术革新中去。
由此可见,非现场审计技术的产生对于有效履行审计监督职能起着至关重要的作用,现场审计、与非现场审计互相结合、互为依托,形成更为完善的审计管理体系。
2. 非现场审计实施方法
为实现非现场审计的目标,需要科学的方法论为依托。完善的非现场审计体系通过夯实顶层设计以指导与保障审计价值层、模型层、系统层、数据层的实现。
夯实基础保障,优化非现场审计顶层设计
首先,审计已从传统的监督职能逐渐发展为监督与咨询并存的职能,在借助非现场审计的科学性和及时性,控制审计成本和加强审计质量的基础目标之下,进一步加强非现场审计的事前预警、事中防范功能,为业务的开展起到借鉴作用。在此目标与定位的指导下,非现场审计工作的实现依托于内审部门内部一支结合了业务、风险、系统与数据综合能力的专业队伍,拥有敏锐的洞察触觉、及时将潜在问题转换为模型并不断将现有模型进行更新迭代的技能,并形成与内审部门内部其它现场审计团队,公司内部其它业务和管理部门,明确职责、相互配合与协作的工作模式,职责明确到岗,建立健全非现场审计的闭环流程,通过制度进行固化,保障非现场审计工作的顺利开展。通过非现场审计工作的实施,把非现场审计的效果及价值带到全公司高级管理层、管理职能部门、各业务条线,切实感受到审计监督与咨询职能带来的价值,与此同时结合培训、业务研讨等形式,提升自查防弊的意识,形成全公司的非现场审计文化。
形成集团审计视图,推动非现场审计价值实现
通过证券公司全面业务流程、业务生命周期场景的监测,形成适用于证券公司风险轮廓的全景风险视图,向上汇总为集团视图、向下穿透至各分子公司。通过非现场审计工具,从不同纬度(如机构、客户、行业、地域等)进行价值钻取及异常发现。全面的风险视图已由传统的仅针对经纪业务,发展为涵盖大经纪版块、信用业务版块、大投行版块、资管板块、期货版块、基金版块、另类投资板块、合规版块、风险版块、人力资源版块、财务版块等全业务及全职能。在风险事件发生之前,提前提示风险预警信号,发起预警处理机制,将问题事件规避在萌芽状态。可视化的非现场审计报告,增加了事件问题认定的说服力及确凿证据,缩短了认定的时间提高了及时性甚至提前进行预判。在某证券公司非现场审计实施的项目中,通过风险视图迅速掌控风险高中低分布的各分支机构总体风险水平,并通过纬度下钻得到具体业务的非现场审计报告。
构建工具方法,设计非现场审计策略模型
在明确证券公司非现场审计顶层设计的前提下,确定证券公司业务及管理活动的梳理范围及方法,构筑证券公司的业务及管理流程地图,形成各大版块的具体流程范围。基于监管处罚案件、监管法规、内部制度、检查发现等,收集并标识风险事件,分析各流程的风险场景,提炼及汇总出非现场审计规则并明确数据口径,通过模型自动采集数据和加工,产生分析结果并反馈。值得一提的是,通过大数据的样本量采集,分解事件至风险因子,通过关联度分析、趋势分析、集中度分析等统计学分析方法的应用,找到异常/风险事件的关联风险因子关系,是目前大数据分析在非现场审计应用过程中的附赠价值。在模型测试、试运行、及日常运营中,持续地评估模型规则、阈值的适当性和效用性,不断对模型进行优化和迭代,完善非现场审计模型以达到有效的目标。
在某证券公司非现场审计实施的项目中,对于大投行版块的审计模型设计多达上千个,业务涵盖股权、IPO、再融资、重大资产重组、新三板、债券承销、ABS,规划指标兼顾项目纬度和流程纬度,基于风险因子转换为模型规则,结合模型结果权重最终形成大投行业务版块的评分模型,不仅及时发现投行项目中违规红色问题,更重要的是对项目本身质量好坏进行了量化评价。
开发系统平台,实现非现场审计应用需求
为了实现非现场审计的理念和工作方法,非现场审计系统不可或缺,贯穿审计工作的全生命周期,由系统完成数据采集加工及处理功能,进行风险预警和监测,为现场/非现场审计提供线索。风险预警和监测结果以可视化图表和报表形式展现,为管理层提供决策支撑。 同时,将预警后人工核实流程、审计项目管理流程及日常的内控评价流程固化到非现场审计系统中,进行流程管理。非现场审计系统的成功落地,不仅要着眼于眼前更要着眼于未来设计具有前瞻性的系统技术构架,以保证未来的系统改造升级延展性,如随着数据量的积累与服务用户范围扩大,未来可能向云端迁移等因素。
在过往的项目实施过程中,我们不仅提供非现场审计顶层和审计模型设计,同时提供非开发者审计系统设计产协助金融机构选择合适的供应商实施落地。在此过程中,不断地提供知识转移输入,协助用户测试,确保系统实现满足功能、数据等各方面要求。
丰富数据来源,拓展非现场审计价值挖掘
根据非现场审计模型建设需要,基于业务流程梳理和非现场审计数据需求分析数据来源,提出审计数据集市的取数需求,通过从数据仓库、内部系统、手工录入数据等源系统层抽取数据,并经过数据清理、数据转换、数据整合,建立统一的数据模型层,从而逐步形成数据汇总层,实现数据结构化,并形成数据字典,构建证券公司的审计数据集市。现在阶段数据的来源主要是内部的结构化数据,随着场景及模型的逐步拓展,非结构化数据、外部数据将是可继续开拓的来源领域。
3. 非现场审计应用存在的问题
在非现场审计体系落地实施过程中,仍存在很多问题急需应对,其中比较常见的问题有数据质量问题、模型更新迭代和处理流程完善等。
数据质量问题
非现场审计模型实施及验证过程中,部分数据来源较清晰、标准化程度较好,但部分数据来源(如客户数据、项目数据、财务报告数据等)对信息录入的准确性、及时性、完整性等多方面的要求不明确或执行不到位,影响非现场审计模型的加工与分析质量,导致非现场审计效果大打折扣。数据质量问题主要来源于数据多源性、数据缺乏维护和人工录入差错。
- 数据多源性:同一字段在多个系统或单个系统不同模块中并存且相互独立,在设定模型数据源时,准确性和唯一性可能存在偏差,增加了非现场审计模型采集规则落地难度。
- 数据缺乏维护:由于产生/维护部门和存储部门的操作职责、时点、录入规范等不明确,导致数据未更新、系统更换后历史数据未完整迁移、错误数据未清除、数据缺失、数据重复录入等问题。
- 人工录入差错:操作人员的错误录入导致数据的真实性、准确性、完整性大打折扣,此类情况造成了数据质量根源的问题,不易被事后数据加工和应用部门发现。
模型更新迭代
非现场审计模型规则、阈值、监控内容基于设计时的监管处罚案例、外部法规和内部制度、公司风险事件、检查发现等进行情景解读所形成。随着内外部环境变化,应定期或在影响模型有效性的重要事件发生时进行重评估,通过定性和定量指标考核,分析、筛选、甄别模型缺陷,对非现场审计模型进行优化迭代,充分发挥监测作用。
处理问题完善
非现场审计模型预警和监测的结果,均需辅以核实问题、事件处理机制为依托。当发生预警和规则触发时,审计部门根据线索派发排查风险任务,责任部门根据任务核实并确认问题,由整改部门拟定整改计划并实施整改。在这一系列审计工作流中,各部门应明确职责与分工,为非现场审计工作的有效落实提供了保障。
结语
证券公司在应对监管要求与满足经营发展的双重挑战下,内部审计作为第三道防线,不仅以传统独立、客观的视角进行监督检查,更为公司的管理及各业务条线发展提供预先诊断与咨询建议,充分发挥其内部审计的引领作用,推动公司全面健康发展。通过数据相关的科技创新,逐步实现审计工作的系统性、立体性、全面性和智能性的价值升级。