内部审计信息化中的通信行业思考

摘要:本文以通信行业内部审计信息系统建设的现状和误区为切入点，阐述了利用数据挖掘技术识别风险标签的过程，通过对数据挖掘技术和内部审计信息化在通信行业的应用研究，提出继续建设的思路和重点。

关键词:内部审计;信息系统数据挖掘;识别;风险标签

近年来，内部审计在推动完善通信公司管理，加强内部监督，降低运营风险，起着举足轻重的作用，尤其是当内部审计和信息化计划相结合后，产生了很大的变化。但是，随着外部环境的变化，通信技术的不断发展，通信行业也面临着前所未有的巨大变革和挑战，报告指出要“善于运用互联网技术和信息化手段开展工作”，因此，笔者认为，在现代通信行业中，进一步加大数据挖掘和内部审计技术的应用，是提高通信行业竞争能力的重要手段之一。

一、当前内部审计信息化建设的认识误区

通信行业所拥有大量数据源是开展数据审计有的天然的优势。因此，通信公司在内部审计信息化建设起步较早，应该说是取得了一些成绩，但是，随着信息技术的不断发展，在某些信息化的建设也开始走入一些误区。误区一:内部审计信息化就等于风险管理类信息系统目前，不少单位建立了自己的风险管理类的信息系统，实现了将审计发现问题进行统一的录入和存放，有些还将审计过程、审计整改也纳入了进来。其实，这只是内部审计信息化的第一步，或者说，这只是内部审计信息化的一个方面，这仅仅是利用了工作流和数据库技术，实现审计的规范化操作和审计成果的快速检索而已，离内部审计信息化的目标还很远。误区二:内部审计信息化将完全取代人工审计随着人工智能(AI)的研究和发展，不少审计软件也搭上这辆快车，都标榜着如何能自动快速地进行审计。其实，作为一个信息化产品，审计软件最大的优势就是对已识别的风险，按照特定的规则，进行自动的、快速的识别，这里要特别强调“已识别”这个词，对于未被识别的风险，系统也是不能自动处理的。这就好比一个新的电脑病毒，先要进行手工的提取代码，进入病毒库后，才能进行自动杀毒是一个道理的，而这个新风险识别过程，就必须依靠人工。因此，信息化或者说智能化是人工审计的延续，并不能完全代替手工审计的工作。

二、应用数据挖掘技术提升内部审计信息化的思路

面对上述的误区，在现有的基础上，该如何进一步开展内部审计信息建设呢?或者说内部审计信息化今后的发展方向在哪里呢?经过对近些年信息技术的跟踪和和思考，笔者提出了利用数据挖掘的技术，提升通信行业内部审计信息化的思路。其核心，就是利用数据挖掘的技术，将审计发现转化为有具体定义和外延的知识点。这些知识点又被称为风险标签。这里笔者通过一个简单的例子帮大家理解:一个通信基站在没有重大的扩容变化的情况下，每个月的总用电量应该是相对稳定的。但如果某月出现重复抄表，就会导致当月电量出现大幅波动。我们提取该审计发现的有用信息“月用电量、平均月用电量”，再通过数据分析，可以将该审计发现最终转化为“月用电量异常”的风险标签，其定义可以简单的表达为“(月用电量－平均月用电量)＞月波动阈值(如标准方差)”。

三、内部审计信息化数据挖掘解决的目标

数据挖掘在内部审计中的运用，是一种风险标签识别的综合能力。总体上，数据挖掘基本包括选择、预处理、转换、挖掘、分析和定义在内的5个步骤，并最终形成“可识别”的风险标签，并进入风险库。并通过风险库可以解决以下目标:(一)可解决复杂业务的关联审计。继续以“月用电量异常”风险点为例。一个基站的总用电量与该基站负责的通信量以及设备数量成正比关系，既“基站的总用电量=Σ各设备用电量”。每一个设备用电量的风险标签就如同积木的一个零件，扩容增加多少设备，模型就会自动计算出电费增长量。在审计过程时，只要根据相关的工程内容，对已有的标签进行筛选、组合，就可以快速输出某一扩容基站的电费用量，从而实现对大批量数据的检查工作。(二)便于寻找潜在风险。数据挖掘技术的风险库一旦建立，其审计的方式将由传统对已发生业务的审计向未发生事件的风险分析与预测转变。继续以“月用电量异常”监控为例，由于基站的总用电量除了和设备数量成正比外，还与该基站负责的通信量密切相关。当审计人员发现某一区域的基站电费呈现出上升趋势，在排除扩容、单价调整和抄表错误等因素后，发现是该区域新建了一个大的工业区，大量工人涌入导致通信量大幅上升。根据这一现象，再结合市场部门的反馈，及时对该区域内的基站制定了扩容和优化策略，在客户还没感知的情况下，组织就及时掌握了相关风险，避免了由于大量通信客户增加导致的网络故障的发生。总之，通过数据挖掘，可以改变传统抽样检测方式，减少风险遗漏;并以此为基础，优化风控预警体系，尽快、尽早定位风险，提高效率。

四、数据挖掘在内部审计信息化的建设思路

通过前几部分的讨论，大家对数据挖掘技术在内部审计信息化的应用技术和前景有了一定的认识。那么，要建立这样的风险库以及对风险库的应用，应该如何来实现呢?笔者认为总体需要主要经过企业风险管理系统、风险标签识别能力培养、智能审计三个阶段，并最终向风险地图的发展方向。(一)企业风险管理系统阶段:这个阶段应该属于审计信息化的第一个阶段，该阶段主要解决以下几个问题:1．从独立的、手工审计向数据库记录转变。该阶段一个重要的作用就是录入并记录现在以及历史审计的发现，为今后进一步的数据挖掘打下坚实的基础。2．利用工作流的作用，规范审计已经整改的过程。审计本身就是一项必须具备严谨步骤的工作，各环节的关联关系非常紧密，因此使用企业风险管理系统，可以将上述工作串联起来，确保每项工作做到位。(二)风险标签识别能力培养阶段在一个组织内部，数据挖掘至少包括挖掘能力和应用能力两方面，该阶段的重点是培养和提高风险标签识别能力。由于该阶段需要利用复杂的数据库和数据挖掘的技术，一般的组织不一定具备全面的数据挖掘能力，因此在这一阶段中，一般可以采取两种实施方案:1．外包方式:利用外包方式最大的好处就是专业性，并可以大幅减小一次性的投资，但缺点就是无法掌握到核心的能力。加上识别能力的提升是一个相对漫长的过程，且一段时间内无法产生效益，因此采取这个模式，一定要确定一个长期的战略路线，坚持做，这样才能建立起一套较为全面的风险标签库。2．自行培养方式:这种模式的关键是人员的配备，要建立一支独立，具备计算机、数据库、财务、统计学的综合人员的团队。并有针对的开展数据挖掘的学习，在逐渐掌握标签识别算法后，再通过各种模型的探索，逐渐建立自己的标签识别能力。这一模式可以有效掌握核心能力，但成本开销相对较大。(三)智能审计阶段当具备一定标签容量的风险库建立起来以后，接下来就是对这部分的应用，这个阶段是管理和技术的结合。一方面，需要技术人员不断调整风险库的各项阀值，并确定提交数据的格式。另一方面，也是更最重要的部分，需要相关的管理部门，制定规范且严格的数据提交方案，并进行严格的考核。(四)向描绘风险地图的方向发展随着风险标签属性的丰富，组织可以挑出某一业务邻域密切相关的风险进行集合。该集合就可以理解为该业务邻域的风险路径或风险图层。企业可以按照这一模式，在多个业务领域建立不同的风险图层，再结合预算、市场竞争、规划等，最终形成具有一定自适应的风险地图。

参考文献:

［1］国际内部审计专业实务框架．

［2］邹玲．内部连续审计模式研究2009年．

［3］陈振宇．并行审计技术与数据挖掘技术相结合的风险控制，2007．

［4］朱建中．内部审计信息化建设存在的问题与对策，2012．

［5］杨瑞洁，马萍，戴春兰．信息化环境下商业银行利用数据挖掘技术进行风险导向审计的研究与实践，2009．

［6］张文秀．IT治理下的内部审计信息化发展研究，2010．

［7］程广华．数据挖掘技术在商业银行内部审计中的应用研，2011.

作者:罗勇强 单位:中国移动通信集团广东有限公司中山分公司