内审师考试案例分析:借力IT技术,实现高效精准审计
借力IT技术,实现高效精准审计
中国移动浙江公司内审部斯慧龙李强王黎咏
一、项目背景
A公司是一家省级移动公司,现有几千万户用户、数十条实体和电子业务办理渠道、上千个营业受理点,每月通过各种渠道受理的业务量超亿次。A公司在业务管理上采用分条块管理的方式,即不同的渠道由不同的部门和管理员进行管理。
近几年来,A公司陆续发现,在市场上存在一些违规发展用户或按照常理无法解释的现象,例如:
1.在网络上出售高优惠手机套餐。高优惠套餐的使用往往是和特殊时期、特殊政策有关,由于资费较低,一般情况下不会对社会用户开放。但是在部分购物网站有人直接销售该类套餐。
2.以低于成本价销售移动心机。移动心机指公司定制的手机,销售环节必须通过移动公司,也就是手机销售的成本价是公司已知和可控的。但是在市场上,特别是在部分购物网站上有低于公司成本价的移动心机在大量销售。
3.部分手机号码在销售后一直没有使用,原因未知。
为此,2010年,内审部受A公司管理层委托,针对客户业务受理渠道进行内控 该 内容由 中 审网 校 所属 ww w . auditc n.co m风险审计。
二、审前调查
在接到任务后,审计组对业务受理渠道进行了审前调查。通过调查发现,业务主管部门对上述异常现象已经有所察觉,并进行过多次检查,但找准发生问题的具体受理记录、渠道的难度很大。主要原因是,检查组一般是现场检查方式,通过人工、随机的方式进行抽样查看,覆盖面非常小,效率很低。一名检查人员一天满负荷地工作,最多能查看不超过100条的业务受理记录,对应于上亿条的受理记录,明显就是大海捞针,即便发现零散线索,也很难找出相关联的其他问题记录。
审计组讨论后认为,要在一定的审计时限内达到审计目标,必须在过亿的受理记录中精确地找到问题记录。A公司信息化程度较高,所有支撑业务受理的IT系统均集中在公司技术部门,而业务受理的特点决定了任何一个受理记录都必须在IT系统中进行配置。因此,从IT系统中业务受理的痕迹入手进行筛选和定位成为本次审计工作的必需手段。
经请示公司领导,审计组最终决定,以各业务受理流程为基础,利用IT技术,开展本次审计。
三、审计资源配备
由于取证范围广,专业要求高,审计组合理配置审计人员,并充分准备相关技术资源。
组建审计组时,合理搭配熟悉前台业务和熟悉后台系统的人员,以便在实施时,人员分工合作,提高效率。首先由后台技术分析人员通过数据抽取、统计分析等将异常的业务操作行为进行筛选和提取,再由熟悉业务的人员去现场查证核实。通过这种作法,对于很难在现场排查的发生概率为万分之一的异常行为,能有效将排查范围缩小到十分之一甚至更精确,从而有效定位并准确实施现场勘查。
同时,为避免数据分析对生产系统造成影响,审计组搭建了IT测试环境专门用于审计工作。
四、审计实施
重点开展梳理业务种类,识别流程关键点和关键要素,并进行数据分析,筛选出不合常理的业务受理记录。
审计组首先将近一段时期的3亿多条用户业务受理记录一次性导入IT测试环境,按照业务受理的特点不断挖掘异常点,发现以下几方面:
1、在网上营业厅办理了不允许办理的受控套餐。
高优惠套餐一般在系统中称为受控套餐,按照规定是在后台由高权限业务人员人工操作,普通营业员和网上营业厅是不允许办理的。经数据分析发现在某个月内网上营业厅有办理受控套餐的记录。按照这个线索,审计组搜索了近3个月不允许在网上营业厅办理的手机套餐,发现一批违规受理的记录。审计组确定将公司网上营业厅软件作为现场审计的切入点。
2、部分号码长期营业停机,且经常有1分钱的充值记录,同时发现该批号码在某一个月中分批次办理了集中过户、集中办理老用户零预缴保底消费送手机业务、集中欠费停机业务。
一般情况,用户充值是以10元为单位的,普通用户理论上不存在有长期小金额充值的可能。通过对近三个月每月累计充值小于1元的用户进行分析,发现有一批号码,每月有一天会在网上进行一次营业开机和营业停机,每次充值金额都是1分钱,账户的余额是个位数,每次业务操作的时间和内容都高度一致。这些用户肯定不是普通的用户,其办理业务必须是在公司营业厅操作。审计组确定对相关号码在营业厅办理业务的受理记录作为现场审计的切入点。
3、成批号码,长期业务量非常小,而且每月消费量高度一致(包括消费时间和消费内容)。
这批号码从单个看没有疑点,有消费,有充值,没有停机。但是联系起来看,大量的号码消费高度一致,就不正常了,不像是个人消费,至少可以认为这批号码保管在同一人手中。疑点是该批号码是同一时间从同一地点卖出的。审计组确定将该批号码投放市场的审核和后续过程跟踪作为现场审计的切入点。
审计组了解具体号码和非正常受理业务记录后,实际审计和查实的过程相对较短:按照业务受理流程的关键环节,审阅当时的受理记录,再和公司规定相对照,找到问题所在。
五、审计发现
(一)公司网上营业厅的软件开发上线后测试不完整,造成部分限制套餐在网上营业厅可以被办理。
影响:该漏洞被某些人员知晓后,高价在网络上销售受限套餐获利,造成公司话费收入损失。(统计该批号码的业务量,对比对外销售的最优惠套餐,截至审计发现时已造成上万元话费损失。如不及时制止,以后每个月将持续有话费损失产生)。
(二)外部合作商通过某些操作—降低养卡成本和提升账户有效期等进行养卡,通过营业员违规操作套取手机后,低于市场价出售手机获利。
影响:代销商利用公司资费政策漏洞,通过合理操作规避了每月固定费用,同时利用公司对老用户的优惠政策套取手机(以不到10元的成本套取了300多元的手机)。营业员未按照正常程序对办理业务人员进行身份证原件的核实是造成套利成功的主要原因。
(三)代理商和提供商合作,购买大批量手机号码自行消费,利用公司放号酬金和业务分成的漏洞,套取资金。
影响:经计算,通过该方法,每个号码只需向公司支付100元套卡成本(内含100元话费),即可收到公司支付超100元的酬金。
六、审计效果
审计结束后,根据审计分析报告,A公司建立了针对已知问题的关键风险指标,通过不定期的后台数据分析检查,预防和及时发现类似问题是否存在,保证公司业务的正常运行。
七、IT技术在传统审计项目中的运用分析
本次审计是将IT技术应用在常规风险管理审计中的一次实践,主要分成以下几个步骤:
1.识别风险点。借助以往的审计经验、访谈结果、风险暴露事件等了解常见的业务风险点。本次审计中,即通过业务梳理与相关信息系统梳理,建立起全面的信息系统(IT)风险评估模型,从数据的真实性、安全性、准确性等多个方面,全方位识别流程中所存在的风险点,这些风险点即是内审关注的主线。
2.获取数据。根据风险点,了解风险相关的数据及其来源。在识别风险的过程中,确定了风险相关数据对应的目标数据库,及其业务流程和数据流程。通过分析这些流程,获得了数据存储的具体数据库名称、数据表名称和字段名称。通过技术人员的协助,可从信息系统中获取审计期间内与风险点相关的所有数据。
3.数据分析。由于获取的IT数据是海量的,因此还需要通过技术手段进行分析和筛选,从海量的数据中准确定位出存在风险的可疑样本。本案例中,审计组借助了常用的SQL数据库查询工具技术对相关数据进行分析,从上亿级的数据中,精准获得数千个可疑样本。这种样本获取方法较传统的手工抽样方法有难以比拟的优越性,不但可在样本上实现全量覆盖,而且可准确定位可疑样本,使得潜在问题难以逃脱内审人员的视野。
4.现场审计。针对数据分析获得的可疑样本,进行全面的测试和确认,确定这些可疑样本是否反映相应的管理不足或者风险漏洞,同时深挖造成这些管理不足和风险漏洞的原因,并最终追溯到相应的个体或者部门,使得发现的问题有对应的整改责任人或者部门,形成内审工作的审计闭环。
5.形成关键风险指标(“KRI”)。本次审计中尝试性地引入关键风险指标(“KRI”)这个概念,对于内审项目过程中风险较高且存在问题的风险点设计了相应的关键风险指标,这些指标包含相应的风险描述、量化的指标评估方法、指标相关的数据分析步骤等,使业务部门、内审部门能对风险点进行常态、动态的持续监控。
通过计算机手段开展数据辅助分析在一定程度上解决了传统内审工作方法的局限性,促进了IT技术和审计方式的有效融合,对今后信息化程度高的企业开展审计工作有较好的借鉴意义。