刘蓓蓓 欧颖君

[摘要]本文通过论述与示例分析，详细解析与关键风险指标（KRI）相结合的“审计机器人”利用其敏捷性、经济性等优势，为人力财力有限的企业提供科技强审途径，协助内审人员在满足内审职能变革需求的基础上，释放审计劳动力，提升审计质量与效率。

[关键词]大数据    KRI    全量审计    机器人

数据时代，企业管理层对内部审计的期望正由人工审计向信息化审计变革、由事后监督向事前事中风险预控变革、由抽样审计向全量审计（全样本审计）变革，这必然推动审计信息化技术的快速发展。近年来大型国有企业构建的持续审计系统，对有效提升审计质量与效率、拓展审计覆盖面以及满足企业更高内控要求发挥了重要作用，但高昂的开发与维护费用、漫长的开发周期以及对信息集成化及数据仓库完整性的高要求，使得不少企业虽十分渴望“科技强审”，却又对高大上的审计软件望而却步。本文探讨的与关键风险指标（Key Risk Indicator，以下简称KRI）相结合的“审计机器人”将提供一个较为现实的解决方案。

一、研究背景与基础框架

不同类型的企业审计信息化技术水平不一，资金雄厚、信息化水平高、大数据平台成熟的大型企业早已步入国内领先的持续审计信息化进程，并不断扩大数据审计自动化应用，确立了持续审计、数据监控、数据支撑与数据分析相结合的四大发展方向。而大部分中小企业还处于基本依赖传统人工审计的阶段。一方面，此类企业在寻求发展过程中，也面临着业务数据量激增的现实，尤其是现有依赖传统人工抽样审计的有限数据模式已跟不上业务发展的步伐，此类企业对自动化全量审计需求亦日益增加;另一方面，由于持续审计系统开发费用由几十万至上千万元不等，对于业务信息化程度一般、数据集成水平不高、信息系统整体框架不稳定、资金实力有限的企业来说，追赶持续审计信息化的最新潮流实非明智之举。解决全量审计需求与人力财力资源有限的矛盾，“审计机器人”或将提供一个解决方案。“审计机器人”作为一类智能化审计软件，通过模拟并增强审计人员与计算机的交互，替代审计人员执行规律性强且重复性高的审计流程。

为实现审计职能由事后监督向事前、事中风险预控转变，一些建立了成熟全面风险管理系统的领先企业，已初步实现或正在实施持续审计系统与全面风险管理系统的动态关联，通过KRI的变动触发持续审计系统运行自动化审计流程，以实现在风险事件发生前或发生过程中即对风险诱因进行定位与监督，推动相关团队及时采取整改措施将风险扼杀在“摇篮”中，以提高审计为组织增加价值的能力。对于已全面建立或部分实现KRI体系的其他企业，在不满足构建持续审计系统条件的情况下，亦可通过KRI体系与“审计机器人”的结合，由KRI指向审计关注点，从而触发“审计机器人”开展自动化审计，实现事前、事中风险预控与监督前置的目的。综上所述，本文的研究逻辑基础框架如图1所示。

二、“审计机器人”详析

（一）“审计机器人”的底层技术

“审计机器人”是机器人流程自动化（以下简称RPA）在审计领域的专业应用。RPA是一种对大数据进行录入、提取、分析、复核性检查及数据校验的软件，可模拟人在电脑不同系统之间的操作，替代人在电脑前执行规律性强且重复性高的办公流程。因此，RPA又被称为“数字劳动力”。

相比传统软件，RPA开发更快速、设计更简单，这有赖于其特有的技术特性。RPA的主要技术特性包括：一是自动化处理。RPA可以基于预设的脚本重复机械式运行，且可以全年无休地工作，在提高工作效率的同时避免人工可能出现的纰漏。二是基于明确规则。RPA脚本编写必须基于明确的规则，要求工作期间可能出现的一切场景都是可提前定义的。因此，RPA并不适用于创造性强、流程变化频繁的业务场景。三是模拟用户操作与交互。RPA主要模拟用户手工操作，如复制、粘贴、搜索、打开网页链接、数据筛选及表格间的数据转换等;四是外挂式部署。RPA在用户界面操作，其运行不会改变企业原有的IT系统架构，亦不易干扰其他系统运行。

RPA的应用场景具备五个特点：一是存在大批量的數据处理。二是单个流程涉及多个信息系统。三是人工操作存在较高的错误率或遗漏率;四是高重复性机械操作浪费大量人力资源;五是现有IT架构复杂，变更难度大。RPA可以广泛应用于符合以上特点的领域，如财务、人力资源、供应链、信息技术、审计与内控管理等，甚至可以用于个人生活领域。如一位父亲想买学区房，需到房产网站搜寻匹配房源，需要耗费大量时间进行重复性搜索且搜罗到的信息可能不全面。若运用RPA替代其执行所有网上操作，可在非常短的时间内获得一张符合所有搜索条件的房源列表，并按预设的优选评分规则自动筛选出最佳目标。国际RPA技术发展迅速，英国的Blue Prism和罗马尼亚的UiPath是目前同业中的佼佼者。本文示例部分的“审计机器人”就是由UiPath提供底层技术而定制开发的可扩展模板化RPA软件。

（二）“审计机器人”的作用

虽然相比高级智能自动化的人工智能来说，“审计机器人”仅处于初级智能自动化水平，却可为用户带来切实有效且高性价比的成果。

从软件特性来说，可为审计部门提供点状化需求的信息化解决方案;能以实际业务执行为需求目标，直接解决操作痛点;其IT实现快速敏捷，一般流程的实现周期仅需4周左右;可实现低投入的灵活IT解决方案，快速收回成本;可释放低价值的重复性操作人工劳动力，让审计人员不再被大量重复性抽样与分析性复核所牵绊，而将更多时间用在深度思考与分析上。

从业务实质来说，“审计机器人”能较好地克服传统内部审计普遍存在的三大痛点：一是审计覆盖不广。由于大量基础信息的获取需要耗费大量人力，审计人力资源往往难以满足要求，尤其是当审计对象被评估为高风险而需扩大审计范围、增加样本量时，审计资源更是难以满足要求。二是审计深度不足。由于缺乏专业的大数据分析系统应用，传统内部审计往往缺乏大量结构化基础数据与统计数据支撑，审计人员难以开展基于大数据的评估、分析等高附加值工作，导致审计结论缺乏深度。同时，由于审计人员的时间被大量低附加值的重复性工作占用，使得审计反应速度严重滞后于业务发展。三是底稿质量不高。在大批量、高重复性的底稿数据准备过程中，易出现人工处理失误，可能使审计结论出现偏差。

在对操作重复性强且具有稳定规律的业务流程开展审计时，“审计机器人”所实现的流程自动化可最大限度地克服以上痛点：一是根据审计对象，在不同系统间快速获取审计期间的全量数据并进行保存;二是对全量数据进行整理形成清单，既可以直接在全量数据上开展分析，亦可以自动根据预设参数进行抽样，并自动生成审计抽样底稿;三是对样本信息进行逻辑计算与分析，对问题点进行纵向解析，对数据变化趋势进行横向解析，自动生成审计分析底稿;四是对计算分析结果自动形成审计结论，并生成标准化的审计报告。可见“审计机器人”能有效优化传统审计流程，提升工作效率与审计质量，间接优化内部审计人员的劳动资源配置，助力审计工作的数字化升级。

（三）“审计机器人”与持续审计软件

“审计机器人”不是实现审计自动化的唯一工具，持续审计软件是另一种集成化更强、更为复杂的系统工具。对“审计机器人”与持续审计软件进行比较可以发现：一方面，持续审计软件适合于发展成熟稳定、财力雄厚、信息系统应用与整合程度高、分支机构较多的大型企业;“审计机器人”则更适合业务发展变化较快、资金有限、信息系统应用面不全、分支机构较少的中型企业。另一方面，持续审计软件审计更为全面，反应速度更快，自动化程度更高，但“审计机器人”在成本效益、系统依赖性及变更灵活性等方面更具优势，如表1所示。需要指出的是，持续审计软件的上线条件较为严格，尤其是对数据仓库的要求较高。如果企业尚未建立完善的数据仓库或虽有数据仓库但系统间数据传输有缺陷，勉强上线持续审计软件，可能“钱花了，活也没干好”，此时“审计机器人”可能是更明智的选择。

三、KRI与“审计机器人”的结合

（一）KRI的特征

KRI是代表某一風险领域变化情况并可定期监控的统计指标，用于监控重大风险事件状况或体现其发展趋势。KRI用于监测可能造成损失的各项风险及控制措施，并作为反映风险变化状况的早期预警指标，提醒决策层据此迅速采取措施。KRI具有七个典型特征：

一是依附性。KRI不是独立存在的，而是依附于公司的重大风险。

二是重大性。不是所有风险都需要利用关键风险指标体系予以监控，只有与企业生存与发展密切相关的重大风险才需要构建KRI。

三是规律性。作为指标的参数，能够多次反映企业风险特征的变化，体现现有风险水平，这就要求任何一个关键风险指标都应有充分、连续的数据信息支持。

四是可计量性。可用来衡量某事物并对衡量结果进行记录，提供预警信号，但需注意并非所有风险都可用量化指标管理，部分风险需依赖风险管理者的主观判断进行评估，这些风险不宜设定KRI。

五是预测性。指标应是可观察或能计算的，用来识别一种情形或趋势，预测风险即将发生或风险发生后的变化。KRI在风险事件时间轴上可分为先行指标和滞后指标，先行指标的作用是提示诱导风险发生的敏感因素，滞后指标的作用是揭示风险事件已然发生并体现风险发生后的变化趋势及影响程度。

六是指向性。提供的信息应是某种标志或指出方向，促使决策层及早采取行动，从而防止或降低损失，因此合理设计预警区间及阈值对KRI体系的有效运转起着重要作用。

七是归因性。KRI与可能存在的重大风险的根本诱因相联系。

（二）“审计机器人”可成为构建KRI体系的

“神助攻”

KRI体系的构建通常以公司战略目标为出发点，在公司已识别风险信息的基础上，选取特定的重大风险分析确定关键风险指标，并利用公司历史数据、行业数据、标杆企业数据等加以验证，由管理层基于公司普遍风险偏好与容忍度确定预警区间，最后将KRI植入适当的监控工具运行实施。KRI体系构建步骤如图2所示。

目前，国内不少大型企业已依照该步骤开始KRI体系构建的尝试，但中途中止或停滞者不在少数，其中主要问题卡在“搭建及运转风险预警信息系统平台”上，因为需要投入高昂的系统开发与维护费用，亦需要在开发阶段打通各原有系统平台以建立完善的数据仓库。这两道鸿沟使不少先行者难以为继。“审计机器人”的诞生为低成本、简单化、高效率地开发与维护KRI体系带来了曙光。基于其敏捷开发的特性，“审计机器人”可以开发出KRI辅助流程，以灵活地从各现有系统取数及清洗无效数据，将有效数据根据KRI预设的公式计算出指标数值，并自动在Power BI、Excel或其他展示工具上实现现实数据与预警阈值的比较，并以图表等形式呈现分析结果，自动形成标准化风险预警报告。这样就无需专门建立一个复杂、与多系统直接挂钩的风险预警信息系统，只需构建一个呈现指标计算与预警结果相对简化的KRI体系平台即可。

（三）以KRI触发“审计机器人”

KRI与“审计机器人”是一对好搭档。“审计机器人”可辅助KRI体系的实现与运转，KRI又可协助“审计机器人”在风险事件发生前或发生过程中定位审计关注点，以实现前置审计的需求。在KRI体系正常运转的前提下，KRI指标的预警功能可在管理层还未意识“什么会出错”之前提示审计人员关注对应的风险领域，启动自动化审计，高效定位差异点，以避免不合规或损失事件的扩大并降低负面影响。那么，KRI如何触发“审计机器人”开展自动化审计工作呢？

首先，需要定位公司重大风险对应的审计关注点，并将审计关注点与KRI指标建立关联关系，使KRI对审计关注点具有指向性，具有审计指向性的KRI指标称之为“审计风向标”，如表2所示。

其次，根据审计关注点对应的业务流程、审计步骤、审计方法编制审计机器人程序代码，完成审计机器人的创建。

最后，审计机器人将按预设的数据检查频率定时到KRI系统中读取“审计风向标”的实时数据，一旦发现“审计风向标”进入红灯区间（即高风险阈值区间）则自动运行审计程序，进行数据收集与清洗，识别异常数据，进行量化分析，得出初步审计结论。

当然，审计机器人还可扩大使用范围，对于需要人工判断是否应当开展审计的关注点，亦可采取人工与自动化相结合的方式，在部分存在大量同质数据或重复性交易且规律性强的环节使用“审计机器人”。

四、与KRI结合的“审计机器人”运行示例

以项目合同执行超预算风险预警下的合同变更合理性审计为例。

甲公司是一家运营与建设并行的中型企业，计划未来十年陆续实施多个基建项目与更新改造项目。由于项目投资金额大，且以往曾发生过几次项目合同执行超预算的情况，经分析主要由于项目合同变更不合理造成，董事会与管理层对此风险高度关注，因此该公司内审部将项目合同变更合理性列入常规审计。甲公司当年引入“审计机器人”并在其辅助下建立了KRI体系平台，在审计人员的协助下，IT开发团队将风险指标与审计关注点进行挂钩设置，实现KRI触发自动化审计的功能。经分析，项目合同执行超预算风险的对应KRI“审计风险指标”为“同一项目合同累计承诺值占项目预算的比例”（合同累计承诺值为合同实际执行金额与已承诺但仍未执行的承诺值之和），直接表现的审计关注点为“项目成本管理存在失控的可能性”，而实质落点的审计关注点为“是否存在利用后续合同变更规避原始合同高级次审批的情形”以及“合同是否存在不合理变更”。该公司信息系统较为分散，与该风险及审计关注点相关的系统包括“供应商管理系统”“资产管理系统MAXIMO（采购申请及合同管理）”“会计核算系统SAP”“数字化业务流程E-workflow（业务流程申请与审批，如合同审批、合同变更审批等）”以及“报表与数据分析系统BI（数据仓库与经分报表）”等，因此“审计机器人”可较好地发挥其技术优势，工作流程如下：

首先，确定审计对象——超预算风险进入“红灯”区间的项目。“审计机器人”实时读取KRI体系平台中的KRI状态报表，一旦发现某项目的“同一项目合同累计承诺值占项目预算的比例”指标亮“红灯”，即自动启动审计工作流。

其次，确定审计范围——被审计项目的合同清单。“审计机器人”自动登录BI系统，点击合同清单报表选项，输入查询的起始日期及项目代码，生成并导出项目合同汇总表。

最后，确定审计步骤——

步骤1：统计合同变更次数及累计变更金额。由于甲公司BI系统暂无合同变更的数据报表，IT部门近期又没有资源开发该报表，因此合同变更次数及累计变更金额的统计工作交由“审计机器人”完成。“审计机器人”自动登录MAXIMO系统，对被审项目的合同进行逐一查询并下载相关数据，包括合同编号、合同名称、供应商名称、合同总金额、交易币种、“修订本”值（仅适用单价合同，原合同该字段值为0）、追加封顶金额历史记录（仅适用单价合同）等信息，生成合同变更记录工作底稿与单价合同追加封顶金额记录底稿。“审计机器人”根据以上底稿统计合同变更次数及累计变更金额，分别生成项目合同变更报表（按累计变更金额排序）与项目合同变更报表（按变更次数排序），并将邮件自动发送至审计人员。具体统计逻辑如下：（1）对于固定总价合同。变更次数为含相同合同编号字样的合同记录条数-1;累计变更金额为含相同合同编号字样的合同记录中，最后一个版本（即Vn中最大值n）的合同总金额-原合同金额。（2）对于单价合同。变更次数为相同合同编号“修订本”最大值+该合同编号下的追加封顶金额记录条数;累计变更金额为相同合同编号，“修订本”为最大值的合同金额-“修订本”为0的合同金额。

步骤2：收集合同变更说明及相关材料。“审计机器人”自动登录“E-workflow”，根据合同编号及审批流程编号，通过“合同变更审批流程”与“封顶金额追加历史记录的审批流程”模块，查询并下载合同变更与追加封顶金额的审批表及說明附件等，生成合同变更信息收集报表及相关材料。至此，“审计机器人”工作结束。

步骤3：分析合同变更合理性并提出审计结论与建议。审计人员基于“审计机器人”的计算与分析结果，对合同变更的信息与材料进行综合分析与评估，关注是否存在异常变更，最后形成审计结论与建议呈报公司管理层参阅。利用传统人工审计模式与“审计机器人”模式开展项目合同变更合理性审计的流程对比如图3所示。

在传统人工审计模式下，针对一个拥有30份合同及发生30次变更（即原合同与变更合同共计60份）的建设项目实施审计，通常需要40个有效工时，其中前期数据收集、统计与初步分析需要约16个有效工时。若一次审计覆盖10个同等合同量的项目，则总共需要400个有效工时。然而利用“审计机器人”完成一个建设项目合同变更的数据统计与分析工作平均仅需0.5小时，10个建设项目就可比人工审计节约155个有效工时，审计效率大大提高。如果一个公司拥有50个建设项目存在类似的合同变更，传统人工审计由于时间限制只能采用抽样审计，而利用“审计机器人”则非常容易实现全量审计。

五、未来研究与优化方向

“审计机器人”以敏捷、经济、信息集成化要求不高的优势为中小型企业审计信息化建设开辟了一条新路，但其自身技术特性也有局限性，如智能化程度不高，目前只能承担机械式、重复性操作，替代的主要是低价值人工劳动力;虽内嵌了OCR等技术使得对于图片及影像资料的辨析能力大大提升，但仍对分析对象呈现影像的规律性有着严格要求;虽可以根据预设程序执行一定的分析性工作，但还无法对超出预设规律的例外样本进行智能化推演与分析。因此，如何突破软件特性的局限、提升人工智能化程度使其替代更高价值的人工劳动力将成为“审计机器人”未来重点优化的方向。

（作者单位：广东大鹏液化天然气有限公司，邮政编码：518048，电子邮箱：liu.magic@gdlng.com）