从内部审计视角谈谈数据治理
时间:2023-04-11 09:50:31 来源:达达文档网 本文已影响 人 
从内部审计视角谈谈数据治理
为全面履行审计监督职责,对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖,以下是达达文档网分享的内容,欢迎阅读与借鉴。
引言
根据相关法律法规,国家卫健委于xx年下发了《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》(国卫规划发[xx]23号),xx年7月1日国家标准《信息安全技术-健康医疗数据安全指南(GB/T 39725-xx)》正式实施。该指南为保护健康医疗信息安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展建立了国家层面的管理要求和监管标准,也为网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估、探索健康医疗数据治理的体制机制和制度建设提供了参考。由此可见,“数据治理”理念已经影响医疗领域,内部审计作为风险防控的第三道防线,如何面向医疗信息化的发展趋势,加快审计数字化转型,从内部风险防控的角度促进加强数字的全生命周期治理,是值得医院内部审计人员探讨和研究的课题。
1 数据治理和内部审计的发展
1.1 数据治理的发展
数据治理大致经历了早期探索、理论研究和广泛接受与应用三个阶段。
数据治理早期探索阶段(1988年-2002年),全球性数据管理和业务志愿人士组成的致力于数据管理的研究和实践的非盈利协会DAMA国际成立;2002年数据治理的概念首次出现在学术界。
数据治理理论研究阶段(2003年-2009年),2003年DGI成立,这是最早的也是业内权威的数据治理理论框架与实践研究机构,此后陆续出现了更多有关数据治理的研究;2008年,ISO国际标准化组织对数据管理和数据治理给出差异化解释,即:数据管理侧重于数据内容本身的被动式管理,数据治理则既包括数据也包括对相关利益主体的主动式管理,其范围更广、体系更完善、效益更显著。
广泛接受与应用阶段(x年-xx年),x年美国提出了《数据治理白皮书》国际标准研究报告,报告中提出了数据治理的模型和框架。xx年5月,中国银保监会发布了我国第一部有关行业数据治理的指引性文件《银行业金融机构数据治理指引》,为指导金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力提供了指引。
1.2 内部审计的发展
内部审计诞生于1941年,相对于数据治理的提出早了60余年。为适应西方资本主义快速发展以及应对经济危机,内部审计于18世纪60年代至19世纪初就在英国工业革命爆发时期迎来了快速发展。到了20世纪90年代,世界经济呈多元化发展,导致了企业经营的复杂多样化,使得组织的控制困难重重,如何在防范和控制企业经营风险上发挥积极作用,成为内部审计新的挑战。
我国1983成立审计署,1994年审计立法,较西方国家晚了半个多世纪, 2013年《内部审计准则》指出内部审计理念、目标和定位要逐渐由“差错纠弊”向防范风险和增加价值方向转变。党的十九大报告指出,我国经济要从高速发展转为高质量发展。随着信息化、云计算、互联网+的运用,大数据审计将在不久的将来对传统的内部审计模式带来变革。
2 数据治理对内部审计的意义
2.1 为内部审计推进和实现审计全覆盖的发展要求提供基础保障
为全面履行审计监督职责,对公共资金、国有资产、国有资源和领导干部履行经济责任情况实行审计全覆盖,x年,中共中央办公厅、国务院办公厅印发了《关于实行审计全覆盖的实施意见》。提出适应大数据审计需要,构建国家审计数据系统和数字化审计平台,积极运用大数据技术,加大业务数据与财务数据、单位数据与行业数据以及跨行业、跨领域数据的综合比对和关联分析力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力。
内部审计离业务数据更近,应深刻领会审计相关文件精神,注重从源头提高数据质量。xx年5月,中国银监会发布了国内首部关于数据治理的指引文件,《银行业金融机构数据治理指引》(银保监发〔xx〕22号),文中提到:数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。可见,审计全覆盖的实现离不开高质量的数据支撑,良好的数据治理对实施审计全覆盖,反映经济运行中的突出矛盾和风险隐患,维护财经法纪,促进廉政建设,维护国家经济安全提供基础保障。
2.2 有助于降低内部审计采用抽样取证模式带来的审计风险
审计抽样,是指内部审计人员在内部审计活动中,采用适当的抽样方法从被审查和评价的审计总体中抽取一定数量有代表性的样本进行测试,以样本审查结果推断总体特征并作出相应结论的过程。抽样审计模式是内部审计常用的取证模式,在人力资源有限而审计样本数量庞大大的情况下,抽样审计技术具有一定的科学性和适用性。然而,由于抽取样本的局限和审计人员对抽样技术选择应用的主观性,可能无法完全发现和揭示被审计单位的重大舞弊行为,具有一定的审计风险。
大数据时代数据治理可以解决数据真实性、准确性、连续性、完整性和及时性缺欠等各类数据质量问题,为内部审计开展深度数据挖掘、风险防控提供高质量的数据保障,从而大大提高数据可用性,降低审计风险,为内部审计人员积极探索创新的审计流程和方法提供动能。
2.3 助力内部审计成果从单一审计报告转向综合审计成果应用
目前受条件制约,内部审计的审计成果主要是提供给被审计单位和部门的审计报告,其格式固定,形式单一,包含的内容较少。随着大数据审计的应用,数据治理技术在审计过程中也将得到广泛应用,通过对数据的边审边治,逐步形成数据的越用越好,越好越用的良性循环。
审计人员实施总体审计模式,能够收集总体所有数据,通过对数据进行多角度深层次的分析,从中找出规律和特例数据,发现那些对审计问题更具价值的信息。由此而形成的审计成果除了审计报告外,还包括在审计过程中采集、挖掘、分析和处理的大量数据经过整理形成的文档。这些非报告文档既可以实时总结单位运营中好的做法和经验,又能够注重从组织和制度层面分析原因和提出建议,为促进深化改革和体制机制创新,探索建立审计实时监督系统,实施联网审计提供高质量的审计成果。
2.4 有助于内部审计从精准的数字审计向高效的数据审计发展
由于更强调数据的完整性和混杂性,大数据能帮助审计人员进一步接近事情的真相,然而大数据时代的超大数据体量和占相当比例的半结构化和非结构化数据的存在,正在挑战传统数据库的管理能力。数据治理强调发挥不同领域数据在不同监督机构中的应用价值,更加客观、全面、完整地反映问题,提高数据的使用效率和效能,推动监督合力显著提升。此外,良好的数据治理可以使审计部门与业务部门和职能管理部门建立内控信息共享共建机制,增强各业务条线检查的精准性和发现风险隐患的及时性。
内部审计是数据应用部门,通过数据分析与挖掘,建立风险评估和可量化的内控评价指标体系,有助于内部审计合理配置审计资源,提供高效的数据审计。
3 内部审计视角下数据治理的实践探索
3.1 提高管理层对数据治理的重视,从源头提高数据质量
良好的数据治理是大数据时代竞争的领先优势,也是一项关乎全局的系统性工程,需要组织对其保持高度的重视,通过顶层设计建立自上而下、协调一致的数据治理体系,建立健全组织架构,合理配置数据治理资源。在医疗行业,国家标准《信息安全技术-健康医疗数据安全指南(GB/T 39725-xx)》的正式实施,已经将数据安全和数据质量的提升作为重要工作。
xx年3月1日起实施的《审计署关于内部审计工作的规定》指出,内部审计机构或者履行内部审计职责的内设机构应有检查有关计算机系统及其电子数据和资料的权限。应当加强审计信息化建设,提高审计能力质量和效率。内部审计作为医院的职能部门更能从医院的视角发现数据在收集、存储、传递和转换过程中存在的问题,通过加强数据采集的统一管理,明确系统间数据交换流程和标准,从数据产生的源头积极探索相关的解决途径,保证报送数据的口径一致、逻辑合理、标准统一,为医疗数据治理的实施奠定基础。
3.2 开展数据标准相关制度的探索和建立,培养数据治理理念
我国《内部审计具体准则第2203号》明确规定:“信息系统审计的目的是通过实施信息系统审计工作,对组织是否实现信息技术管理目标进行审查和评价,并基于评价意见提出管理建议,协助组织信息技术管理人员有效地履行职责。” 内部审计开展信息系统审计可以在第一时间发现系统开发未按照统一的数据标准执行造成的数据多头管理、数据冲突和数据冗余等问题以及由于医院内部各部门之间职责割裂,底层数据未能打通,数据标准未建立或执行不到位,造成的系统间难以协同合作和资源共享等问题。通过建立数据分级管理机制,梳理全行业数据目录,制定数据分级标准,针对不同数据采取差异化管理。实现数据的规范管理,培育数据治理文化,培养数据治理理念。
3.3 采用“嵌入审计程序法”,助力实现数据全生命周期治理实时性
嵌入审计程序法,是在系统的开发阶段,在被审计应用系统中嵌入能够执行某些审计测试功能的程序模块,当业务数据输入计算机系统时,应用程序对其进行编辑和处理同时嵌入的审计程序模块也对数据实施检查,如果符合既定的条件,则自动将其拷贝到审计控制文件上。同时,系统设置对异常情况和差错的检测和报告控制,在对不期望出现的异常情况和差错进行定义的基础上,在系统中设定检测控制,一旦出现未定义的异常情况和差错,系统会自动向相关的部门和人员进行报告,以方便组织及时采取纠正措施。
内部审计人员可以定期或不定期地将审计控制文件打印输出,对程序和数据处理情况进行检查和评价。嵌入审计程序法,可以用于成批处理系统,也可以用于实时系统作为日常监控手段,非常适用于未来数据治理的实时性要求。
结语
数据治理是某一行业通过建立组织架构,明确高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。医疗机构尚处于探索阶段,需要从理念、认识、行动上进一步体现数据从管理到治理的逻辑转变,引导医疗机构加强数据治理,提高数据质量,发挥数据价值,提升运营管理能力,实现高质量发展。
