時間:2022-11-06 18:57:29
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇審計技術,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
會計信息系統(tǒng)是由計算機、網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、會計軟件、數(shù)據(jù)文件、會計和系統(tǒng)管理人員等組成的人機交互系統(tǒng)。
二、會計信息化審計程序探析
會計信息系統(tǒng)審計的基本程序與普通審計并無明顯差異,整個過程包括審計準備、審計實施、審計終結(jié)三個階段。每個階段又包括若干具體工作內(nèi)容。
1、會計信息系統(tǒng)審計準備階段
此階段是整個審計過程的起點,其工作主要是初步調(diào)查被審計單位會計信息系統(tǒng)的基本狀況,初步評價內(nèi)部控制制度,分析審計風險,編制審計工作計劃。1)明確會計信息系統(tǒng)審計目標。確定審計目標,明確審計任務,便于對完成情況進行檢查和考核。2)成立會計信息系統(tǒng)審計小組。會計信息系統(tǒng)審計的專業(yè)性和技術性較強,組成審計小組要考慮成員的專業(yè)特長,進行合理配置。3)審前調(diào)查,了解被審計單位會計信息系統(tǒng)的基本情況。4)制訂審計計劃。5)向被審計單位發(fā)送審計通知書。
2、會計信息系統(tǒng)審計實施階段
在完成了所有準備階段工作之后,就進入具體的審計實施階段。1)對被審計單位會計信息系統(tǒng)整體安全性、可靠性進行檢查和測試。2)對被審計單位的會計信息系統(tǒng)內(nèi)部控制制度進行健全性調(diào)查和符合性測試。健全性調(diào)查主要包括:與相關人員面談和交流,實地檢查內(nèi)控制度的執(zhí)行情況;發(fā)放內(nèi)部控制情況調(diào)查表進行書面調(diào)查;深入審查一般控制和應用控制在實際工作中的作用;發(fā)現(xiàn)控制的弱點確定需要進行符合性測試的一般控制點和應用控制點。3)對賬、表、單、證或數(shù)據(jù)文件進行實質(zhì)性審查和測試。在完成了上述工作之后,審計人員還需要對被審計單位會計信息系統(tǒng)的賬、表、單、證或數(shù)據(jù)文件進行實質(zhì)性審查和測試,驗證其真實性,公充性和完整性。4)利用計算機輔助審計對數(shù)據(jù)和程序文件進行審計。
3、會計信息系統(tǒng)終結(jié)階段
在完成了審計實施階段的工作之后,就進入會計信息系統(tǒng)審計的終結(jié)階段。主要工作有:1)整理歸納審計證據(jù)。在對會計信息系統(tǒng)實施審計后,對收集到的分散的個別證據(jù)進行整理歸納,形成完整的審計資料。2)復核審計工作底稿。審計工作底稿是審計人員在審計工作中匯總綜合分析審計資料所形成的書面文件。審計工作底稿對形成正確的審計結(jié)論有著重要的意義,對審計工作底稿反映的有關問題必須進行復核。3)撰寫審計報告。審計報告是審計工作的最終成果。它是在經(jīng)過上述審計程序之后,審計小組根據(jù)獲取的審計證據(jù)和審計工作底稿進行綜合分析后編制的。4)提出審計結(jié)論和建議。根據(jù)審計報告內(nèi)容提出審計結(jié)論和意見。5)建立審計檔案。及時進行審計資料的歸檔,建立審計檔案,不僅是檔案建設的需要,而且也為今后的審計工作提供一份可以借鑒或參考的資料。
三、信息化審計技術分析
審計技術是審計過程中所采用的專門技術。審計對象在信息化方面的迅速發(fā)展變化,客觀上要求審計工作采用一些適合于計算機系統(tǒng)的審計技術,提高審計效率,提高審計質(zhì)量。會計信息系統(tǒng)審計技術主要有內(nèi)部控制風險評價技術、數(shù)據(jù)庫和數(shù)據(jù)文件審計技術。
1、風險評價
內(nèi)部控制的審查和評價主要是要找出影響內(nèi)部控制的風險因素,也就是要剖析內(nèi)部控制的薄弱環(huán)節(jié),防范可能存在的風險,以便采取適當?shù)难a救措施。其基本步驟如下。1)風險評價證據(jù)的收集。審計工作是重證據(jù)的,風險評估也必須以證據(jù)為基礎。因而在進行內(nèi)部控制的風險評估工作時,審計人員的首要任務就是收集各種評價證據(jù),并以工作底稿的形式形成相關審計文檔,如資產(chǎn)安全性風險評價底稿、會計信息系統(tǒng)軟件可靠性風險評價底稿等。2)風險證據(jù)的量化。在收集審計證據(jù),制作工作底稿的基礎上,審計人員還需要根據(jù)會計信息系統(tǒng)的特點和實際工作情況,使用計算機輔助審計程序,對每類底稿的各項明細指標進行計量處理,并按對風險影響的程度大小進行排序,以便為明確審計重點指明方向。3)編制系統(tǒng)整體風險分析表。在對工作底稿中的相關風險指標進行量化排序之后,審計人員已經(jīng)基本明確了要重點進行審計的明細項目,并對高風險的明細項目進行詳細審計。
關鍵詞:審計準則 審計技術 持續(xù)審計
一、持續(xù)審計的內(nèi)涵與特點
持續(xù)審計是指獨立審計師對委托項目的相關事項,以一系列實時或短時間內(nèi)生成的審計報告對其提供書面認證,為提高審計質(zhì)量、降低審計風險,而將審計投入到整個組織運行流程中的一種實時審計。持續(xù)審計是審計發(fā)展的高級階段,結(jié)合了計算機技術和網(wǎng)絡技術,不僅繼承了審計本身的特點,還具有傳統(tǒng)審計無法比擬的優(yōu)點。(1)持續(xù)性。持續(xù)審計貫穿整個審計周期,對被審計數(shù)據(jù)和系統(tǒng)進行持續(xù)監(jiān)控和審計,是現(xiàn)代信息技術為持續(xù)審計提供的一個技術支撐。(2)及時性。能夠在管理者需要時或發(fā)現(xiàn)異常時,自動進行審計處理,為相關利益者提供信息。目前財務報表的需求周期越來越短,持續(xù)審計相比以季度、年度或更長時間為周期的審計活動,更具時效性。(3)基于例外異常事項審計,使決策者能夠隨時掌握可能出現(xiàn)的異常情況,及時采取措施進行改進,避免更嚴重的異常發(fā)生。(4)整合性。持續(xù)審計要求,不僅在財務方面,而且在整個企業(yè)級,包括管理系統(tǒng)和控制系統(tǒng),都要進行持續(xù)審計和監(jiān)控。持續(xù)審計的整合性將審計提到了一個宏觀的高度,全面地服務于整個企業(yè),這也是持續(xù)審計的最終目的。
二、實施持續(xù)審計的必要性與可能性
信息技術的廣泛應用,電子商務活動的深入開展及新審計準則的,為實施持續(xù)審計方法提供了必要與可能。
(一)及時收集被審計單位信息。企業(yè)在生產(chǎn)經(jīng)營過程中,由于存在不確定因素,企業(yè)風險在所難免。當面臨經(jīng)營失敗和財務失敗的威脅時,被審計單位可能發(fā)生重大的錯報。通過了解被審計單位及其環(huán)境有利于了解被審計單位面臨的風險,進而評價被審計單位產(chǎn)生重大錯報風險的可能性,降低審計風險。隨著知識經(jīng)濟時代的來臨、經(jīng)濟全球化的發(fā)展、市場競爭的加劇,被審計單位及其環(huán)境在一定時期內(nèi)將發(fā)生很大的變化。注冊會計師應及時了解被審計單位及其環(huán)境以評估重大錯報風險,必須持續(xù)收集和分析被審計單位的信息。在傳統(tǒng)的審計方式下,一般采用定期了解的方法,即只在簽訂審計業(yè)務約定書和執(zhí)行外勤工作時了解被審計單位及其環(huán)境,難以實時獲得準確可靠的信息。《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風險》第五條提出“了解被審計單位及其環(huán)境是一個連續(xù)和動態(tài)地收集、更新與分析信息的過程,貫穿于整個審計過程的始終。”
(二)及時獲取充分適當?shù)碾娮幼C據(jù)。隨著信息技術的廣泛應用、電子商務活動的深入開展,企業(yè)的經(jīng)營活動與信息系統(tǒng)的聯(lián)系愈來愈緊密,越來越多的數(shù)據(jù)資料采用電子文檔的方式保存。某些電子化的審計證據(jù)只在某一特定時點存在,難以實時獲取充分適當?shù)碾娮訉徲嬜C據(jù)。《中國注冊會計師審計準則第1633號――電子商務對財務報表審計的影響》指出:“電子商務系統(tǒng)高度自動化或未保留包含審計軌跡的電子證據(jù)的情況下,僅依靠實施實質(zhì)性程序不足以將審計風險降至可接受的低水平,注冊會計師應當實施控制測試,并考慮使用計算機輔助審計技術。”
(三)對實時財務報告進行審計。隨著網(wǎng)絡技術的廣泛應用,被審計單位采用信息技術在網(wǎng)站公布本單位的財務報告逐漸成為主流。這些財務報告采用實時生成系統(tǒng),報告周期較短。其作為被審計單位出具的財務報告,也構(gòu)成注冊會計師審計的對象。《中國注冊會計師審計準則第1101號――財務報表審計的目標和一般原則》第四條要求,財務報表要在所有重大方面公允反映被審計單位的財務狀況、經(jīng)營成果和現(xiàn)金流量。
三、持續(xù)審計技術實施現(xiàn)狀
經(jīng)過國內(nèi)外學者近二十年的潛心研究和相關工作者的努力實踐,持續(xù)審計技術已經(jīng)邁出了一大步,但目前持續(xù)審計技術實施水平仍然較低。
(一)持續(xù)審計功能的開發(fā)和使用程度較低。持續(xù)審計功能強大,Alles等(2009)認為,持續(xù)審計功能包括持續(xù)控制監(jiān)控CCM(Continuous Control Monitoring)和持續(xù)數(shù)據(jù)審計CDA(Continuous Data Assurance)。在技術上,持續(xù)審計已經(jīng)初步達到自動化和智能化。但在實際中,持續(xù)審計實施遠未達到相應的自動化和智能化程度,持續(xù)審計功能僅限于數(shù)據(jù)的持續(xù)審計,內(nèi)部控制和持續(xù)監(jiān)控實施程度很低。雖然通用審計軟件已經(jīng)市場化和商品化,但其功能大多是審計數(shù)據(jù)處理能力,功能簡單,不能適應靈活的審計需求,難以體現(xiàn)持續(xù)審計的特點。
(二)持續(xù)審計實施差距較大,應用上存在諸多問題。由于信息化程度不同,以及資金和技術資源的限制,持續(xù)審計技術在不同地區(qū)、不同企業(yè)實施條件和水平相差較大,在整體上對以聯(lián)網(wǎng)審計和在線審計技術為基礎的持續(xù)審計造成了一定的阻礙。國外一些信息化程度較高的公司,尤其是使用ERP系統(tǒng)的大型公司,持續(xù)審計實施程度雖然較高,但也存在著很多問題。Debreceny(2005)認為,雖然EMAs在ERP系統(tǒng)中的效用潛力很大,但調(diào)查表明,EAMs在技術上雖是可行的,但ERP解決方案提供商對EAMs的支持度有限,認為ERP用戶對EAMs缺乏需求。Kuhn等(2010)通過比較ERP系統(tǒng)環(huán)境下EAMs、EMA Ghosting和MCL的特點,表明采用EAMs和EAM Ghosting在效率、兼容性及實施維護方面都會引起高昂的成本,三種系統(tǒng)都會產(chǎn)生信息超載和警報泛濫的問題。
持續(xù)審計是信息化環(huán)境下的產(chǎn)物,現(xiàn)代信息技術已經(jīng)能夠支持自動化、智能化的持續(xù)審計工作。然而現(xiàn)狀表明,廣泛的實際審計工作應用仍然存在著困難,需要開發(fā)更具適應性和靈活性的技術。另外,在網(wǎng)絡環(huán)境下,安全問題也是一個重要的因素,如Charles等(2007)基于Agent的持續(xù)審計模型ABCAM,所有客戶端系統(tǒng)都可以訪問審計Agent,而該模型還沒有完善的權(quán)限授予機制,公司業(yè)務和財務數(shù)據(jù)很容易被竊取。雖然有數(shù)字認證,但目前還處于理論研究階段,仍有很多實際相關內(nèi)容需要考慮。
(三)持續(xù)審計實施缺乏相關法律法規(guī)。持續(xù)審計的順利實施需要有相應的法律法規(guī)提供安全保障。21世紀初期,安然公司的崩塌反映出內(nèi)部控制制度、行業(yè)自律制度等存在著嚴重的問題,會計審計的規(guī)范也不夠健全。因此,美國頒布“Sarbanes-Oxley”法,并陸續(xù)出臺了企業(yè)內(nèi)部控制標準、注冊會計師審計標準、管理層內(nèi)部控制自我評估概念公告和解釋性指南,構(gòu)建了完善的相互配套的體系。其他國家雖然也相繼制定有關制度法規(guī),但仍然不夠完善,在借鑒其他國家的做法時存著適應性問題。2008年爆發(fā)的金融危機,反映了全球金融證券市場缺乏相應的監(jiān)管制度和法規(guī),同時也揭示了會計審計對經(jīng)濟監(jiān)管缺乏力度。在即將或正在面臨的持續(xù)審計環(huán)境下,我國加入信息化元素的審計法律法規(guī)更是相對缺乏,其制定和完善需要更多的努力。
(四)持續(xù)審計過程開發(fā)和實施成本較高。被審計單位的信息系統(tǒng)建設包括硬件系統(tǒng)建設和軟件系統(tǒng)建設。硬件系統(tǒng)包括企業(yè)購買的基礎設施,如電腦、服務器、網(wǎng)絡設施等;軟件系統(tǒng)包括實施持續(xù)審計所需要的操作系統(tǒng),如數(shù)據(jù)倉庫、數(shù)據(jù)集市等。企業(yè)的信息化建設需要較大的初期建設成本,尤其是信息化程度較低的企業(yè),如IT環(huán)境配置、相關軟硬件購置。持續(xù)審計工作的正常順利進行,還需要對原有審計人員進行培訓,也將產(chǎn)生一定的費用。此外,在持續(xù)審計實施和開展過程中,一些投資回報很難量化、估算,在很大程度上會影響決策者制定決策。這些都要求決策者仔細權(quán)衡是否和如何實施持續(xù)審計。
四、持續(xù)審計技術面臨的挑戰(zhàn)與對策
持續(xù)審計實施現(xiàn)狀表明,將持續(xù)審計技術研究成果應用于實踐,還有很多問題需要解決,而持續(xù)審計要達到一定程度上的應用和推廣,將面臨著巨大的挑戰(zhàn)。
(一)加強持續(xù)審計技術的理論研究。持續(xù)審計在國外已經(jīng)得到了廣泛的應用和研究。目前我國對持續(xù)審計相關方面的研究很少,大部分僅僅是對國外文獻的翻譯和評述,沒有做更深一步的研究。要想實現(xiàn)持續(xù)審計技術在我國的普遍應用,國內(nèi)學者應吸取國外學者的先進經(jīng)驗并考慮我國的實際情況,加強有關持續(xù)審計的理論研究,為有效地實施持續(xù)審計提供理論依據(jù)和基礎,為實踐工作提供方向和指南。
(二)加快企業(yè)信息化建設。持續(xù)審計是對信息化條件下企業(yè)的財務信息系統(tǒng)和內(nèi)部控制系統(tǒng)進行持續(xù)監(jiān)控和審計,需要審計端和被審計端通過網(wǎng)絡進行良好的溝通。能夠?qū)Ρ粚徲媶挝粚嵤┏掷m(xù)審計的必要條件之一,就是被審計單位必須擁有安全、可靠、完整、持續(xù)的信息系統(tǒng)。隨著信息全球化的發(fā)展,雖然我國部分單位實現(xiàn)了電子商務與電子信息交換技術,但總體來說我國的信息化建設存在著嚴重的不平衡現(xiàn)象,大部分企業(yè)的信息化建設較為落后。為了能夠提供持續(xù)審計的基礎條件,國家應該對信息化建設較為落后的企業(yè)進行鼓勵和支持。
(三)持續(xù)審計的實施需要企業(yè)高層人員及其他相關利益者的支持。持續(xù)審計是對傳統(tǒng)審計的一次改革,以持續(xù)審計代替?zhèn)鹘y(tǒng)審計,公司審計計劃可能會遭到破壞,或者成本增加;除非有明顯的利潤,否則公司不希望對一個還能正常運轉(zhuǎn)的程序進行改動,因為存在潛在的危害。在持續(xù)審計執(zhí)行過程中,需要實施一些安全措施,使企業(yè)運作和審計系統(tǒng)處于安全穩(wěn)定狀態(tài)。另外,持續(xù)審計的實施對審計人員有很大的影響,企業(yè)需要對審計人員給予高度信任,傳統(tǒng)的審計人員也必須克服心理障礙,學習相應的IT技術以適應新的審計方式。
(四)政府推動持續(xù)審計實踐。普華永道于2006年對實施持續(xù)審計的審計人員進行調(diào)查,發(fā)現(xiàn)被調(diào)查者中有超過半數(shù)的審計人員正在實施持續(xù)審計。在我國的審計主體中,政府審計信息化是其他主體實現(xiàn)審計信息化的基礎和源泉。隨著信息技術的飛速發(fā)展,我國政府為了維護良好的經(jīng)濟市場秩序于1998年開始籌備金審工程,主要目標是對財政部門、銀行機構(gòu)、稅務機關和海關等國有性質(zhì)的大中型單位實施數(shù)據(jù)的實時跟蹤,確定數(shù)據(jù)的來源及去向,從而杜絕舞弊的發(fā)生、維護良好的經(jīng)濟秩序,其總體目標是實現(xiàn)事后審計向事中審計轉(zhuǎn)變,歷史的靜態(tài)數(shù)據(jù)的審計向?qū)崟r的動態(tài)審計轉(zhuǎn)變,現(xiàn)場審計向遠程的非現(xiàn)場審計轉(zhuǎn)變。雖然金審工程沒有明確提出持續(xù)審計的概念,但其主要目標和總體目標與持續(xù)審計的目標相一致,充分體現(xiàn)了持續(xù)審計的思想。財政部2010年12月在《關于實施企業(yè)會計準則通用分類標準的通知》中公布了首批實施會計準則通用分類標準企業(yè)名單,將XBRL技術在我國應用推上了一個平臺。XBRL技術的出現(xiàn)給審計帶來挑戰(zhàn)的同時也給持續(xù)審計帶來了機遇,它使得持續(xù)審計技術在成本和技術上更加可行。所以,政府部門應加快對持續(xù)審計研究的步伐,以便其在全國其他審計主體進行推廣。
(五)提高審計人員素質(zhì)。持續(xù)審計要求審計人員具備一定的能力來正確的操作有關的系統(tǒng)并明白系統(tǒng)是如何運作的,這就意味著審計人員需要具備各個方面的知識,包括信息技術、審計、會計等。我國的審計人員大部分是會計、審計出身,對IT技術的掌握和了解少之又少。如果要對被審計單位進行持續(xù)審計,審計人員就必須具有足夠的信息系統(tǒng)知識、計算機技術知識和審計知識。根據(jù)目前審計人員的素質(zhì)結(jié)構(gòu),我國有關組織和部門如中國注冊會計師協(xié)會應增加各種培訓,包括數(shù)據(jù)庫基礎知識培訓、XBRL網(wǎng)絡財務報告培訓、持續(xù)審計的有關知識和應用的培訓等。
參考文獻:
1.饒艷超,陳建勇.持續(xù)審計理論、技術及其在國內(nèi)商業(yè)銀行的應用[J].財政監(jiān)督,2012,(23):57-60.
2.何芹.論持續(xù)審計理論之進步[J].中國管理信息化,2009,(18):49-51.
3.楊黎明.基于資本市場的持續(xù)審計功效分析[J].經(jīng)濟問題,2009,(11):110-113.
4.安寧.構(gòu)建我國持續(xù)審計變遷的制度環(huán)境[J].中國注冊會計師,2011,(7):64-67.
在信息技術迅猛發(fā)展的背景下,國家電網(wǎng)公司為滿足集約化和精益化管理要求,初步完成SGERP系統(tǒng)以及SG186工程的實施與推廣,并通過“三集五大”體系建設,重新整合內(nèi)部生產(chǎn)關系和業(yè)務鏈條。電網(wǎng)企業(yè)內(nèi)部變革使審計所面臨的風險管控壓力與日俱增,具體表現(xiàn)在:一方面審計對象信息化管理覆蓋面越來越廣,基本實現(xiàn)橫向集成、縱向貫通,新的管控模式和數(shù)據(jù)交換平臺初步形成,改變了過去的記錄和存儲方式,電子化、無紙化使得企業(yè)對經(jīng)營信息的要求上升到了實時化和在線化階段;另一方面信息技術進步已經(jīng)為遠程在線審計和自動化風險在線監(jiān)測提供了完備的技術支撐,在此基礎上如何使審計實現(xiàn)模式上的突破與創(chuàng)新,真正實現(xiàn)智能化持續(xù)審計模式的應用已成為內(nèi)部審計事業(yè)發(fā)展的必然趨勢。電網(wǎng)企業(yè)在審計信息化方面建立起“一個系統(tǒng)和三大平臺”,已經(jīng)初步實現(xiàn)了審計手段信息化,但審計信息化運用如何更好服務于企業(yè)當前發(fā)展,服務于“三集五大”和諧運轉(zhuǎn)提升,進一步系統(tǒng)的、實時的揭示內(nèi)部控制體系中的全面風險,正是實踐電網(wǎng)智能化持續(xù)審計模式必然面對的課題。
二、相關理論回顧
(一)持續(xù)審計理論發(fā)展 目前國內(nèi)理論界對持續(xù)審計尚未形成統(tǒng)一定義,根據(jù)AICPA和CICA的研究報告,持續(xù)審計是“獨立審計師用以委托項目的相關事項以一系列實時或短時間內(nèi)生產(chǎn)的審計報告,對其提供書面見證的一套審計方法”,這里只是把持續(xù)審計看成是一種基于時間管理的審計方法,特點是在事件發(fā)生的當時或者稍后極短的時間內(nèi)進行審計,涉及到審計活動的各個程序,包括計劃、風險評估、測試等,是內(nèi)部審計師在一個更加連續(xù)的基礎上執(zhí)行審計相關活動的方法,其目的是持續(xù)評價內(nèi)部控制的有效性,監(jiān)測事項和活動的正確性。但是從現(xiàn)代企業(yè)風險管控理念來說,在強大的信息技術平臺支持下,持續(xù)審計不僅僅是一種審計方法,還是一種對整個業(yè)務鏈條進行實時監(jiān)控與智能化風險甄別的審計模式,更加強調(diào)在高度信息化條件下,通過對系統(tǒng)中數(shù)據(jù)實時的采集、挖掘、監(jiān)測與分析,實現(xiàn)自動化風險分析和預警,并啟動智能化應急機制。
筆者認為,新形勢下提出的智能化持續(xù)審計,從涵義上可理解為在完備的信息化環(huán)境下,審計師通過信息系統(tǒng)工具對特定事項進行全流程的數(shù)據(jù)化監(jiān)測與風險控制的過程,且包括對該事項的持續(xù)改進效果的最終評估。因此持續(xù)審計與現(xiàn)代信息技術相結(jié)合以后,持續(xù)審計已不再局限于審計方法的范疇,而是成為內(nèi)部審計的創(chuàng)新模式,并在未來審計事業(yè)的發(fā)展中成為主流。智能化持續(xù)審計的持續(xù)性和即時性,貫穿于風險評估、審計實施、審計整改等各個階段,在審計事項發(fā)生后立即進行審計,根據(jù)需要隨著開展,增強了審計信息的可靠性和相關性;并注重例外事項調(diào)查,突出風險預警機制建立,對與定義規(guī)則存在差異數(shù)據(jù)即時觸發(fā)審計警報,關注被審單位內(nèi)部控制的適當性和有效性,評價企業(yè)經(jīng)營風險和機制體系建設;能夠有效的將“自上而下”與“自下而上”方法相結(jié)合,審計師考慮被審單位的經(jīng)營風險和內(nèi)部控制,管理層側(cè)重于將設定的自動化程序應用到特定的交易,整合審計過程。持續(xù)審計基本過程如圖1所示。
(二)持續(xù)審計的優(yōu)勢 (1)時間意義。傳統(tǒng)審計通常一年僅實施一次,工作耗時,需要被審單位大量配合和基礎性工作,而智能化持續(xù)審計可以降低審計人員時間成本,提高審計實效性,在短時間內(nèi)生成或立即提供適時的保證報告形成對被審單位持續(xù)審計循環(huán)。(2)目標意義。智能化持續(xù)審計將審計工作中心由傳統(tǒng)的“財務報表”向“系統(tǒng)和經(jīng)營成果”轉(zhuǎn)變;關注數(shù)據(jù)互通、系統(tǒng)安全性與正確性,相較于傳統(tǒng)“事后”審計更關注整個過程,關注整體過程和風險。(3)交換意義。智能化持續(xù)審計可以獲得更多更豐富的信息,使審計人員更有效的與被審單位、上級機關進行溝通;審計人員可以迅速從基礎數(shù)據(jù)中獲取與其職責相關的控制信息,明確權(quán)利與責任,了解自身活動如何與他人工作聯(lián)系以及例外情況如何報告及處理的途徑。(4)管控意義。智能化持續(xù)審計運用信息系統(tǒng)可用于測試全年的連續(xù)交易,同時保證樣本量,甚至可以保證100%的數(shù)據(jù)被檢查,檢查數(shù)據(jù)歸集、處理更加快速有效,相較于傳統(tǒng)人工測試及抽樣檢查,可以降低審計成本、提高審計質(zhì)量。持續(xù)審計的比較優(yōu)勢如圖2。
與現(xiàn)有理論成果相比,本文立足于電網(wǎng)企業(yè)信息化實際,以電網(wǎng)企業(yè)實踐作為研究的基礎,從戰(zhàn)略意義、現(xiàn)實需要、戰(zhàn)略要素等多維度挖掘電網(wǎng)企業(yè)智能化持續(xù)審計的實施方式,試圖建立一個擁有目標定位、相互作用、體系完善的電網(wǎng)企業(yè)智能化持續(xù)審計模式。
三、基于電網(wǎng)企業(yè)的智能化持續(xù)審計實踐探索
(一)電網(wǎng)企業(yè)審計信息系統(tǒng)運營現(xiàn)狀及差距 2011年以來,伴隨著電網(wǎng)企業(yè)ERP系統(tǒng)全面上線,按照審計信息化要求,信息系統(tǒng)“一個系統(tǒng)、三個平臺”(ERP業(yè)務審計系統(tǒng)中審計門戶系統(tǒng)建成審計學習工作交流平臺,審計綜合管理系統(tǒng)建成風險識別分析平臺,管控業(yè)務審計系統(tǒng)建成數(shù)據(jù)式審計技術平臺,如圖3)也全面步入實踐階段,但仍存在提升空間。
目前學習交流平臺雖然已搭建了經(jīng)濟責任審計、工程審計、信息化審計等交流模塊,但交流內(nèi)容較少,人氣不足;同時審計理念、風險審計等模塊未能實現(xiàn)即時更新;互相學習、知識共享機制還未能快速到位,存在滯后性,部分缺乏實踐效果。同時,風險識別分析平臺的風險識別缺乏前瞻性,僅僅是對過去審計發(fā)現(xiàn)問題進行分類和甄別,未能從電網(wǎng)總體層面進行分析;同時缺乏行之有效的多維度統(tǒng)計分析體系,導向性不足。在數(shù)據(jù)式審計技術平臺上,SG186工程與SGERP業(yè)務審計系統(tǒng)融合度不夠,未能實時結(jié)合審計需求,完善系統(tǒng)功能;數(shù)據(jù)的前期管控力度有待提升,部分整合數(shù)據(jù)出入較大,審計信息化標準還不完善。
(二)智能化持續(xù)審計在電網(wǎng)企業(yè)應用定位分析 國家審計署2012年明確提出“不發(fā)展信息化,審計事業(yè)就沒有出路”,把審計信息化提到如此高度,要求進一步加強內(nèi)部審計工作,探索創(chuàng)新審計模式,壓縮審計管理鏈條,內(nèi)部審計工作越來越注重自身發(fā)展戰(zhàn)略和發(fā)展方向的實時研究和把控,風險管理已經(jīng)成為內(nèi)部審計的一項重要職責。外部環(huán)境要求現(xiàn)有審計人員,不僅要能夠有效甄別財務風險,更要能分析企業(yè)戰(zhàn)略定位和管控模式;而智能化持續(xù)審計依托信息化,能夠有效的輔助審計人員開展企業(yè)風險管理,提高效率,提升效果。基于電網(wǎng)企業(yè)內(nèi)部環(huán)境現(xiàn)狀調(diào)研,可以發(fā)現(xiàn),電網(wǎng)企業(yè)目前現(xiàn)存的三大信息化系統(tǒng),已經(jīng)基本實現(xiàn)對審計計劃、內(nèi)容、方法、整改及知識交流的全覆蓋,然而在運用過程中,由于公司系統(tǒng)信息化建設的快速發(fā)展,ERP業(yè)務審計系統(tǒng)個別功能還不完善,審計業(yè)務系統(tǒng)與職能部門業(yè)務系統(tǒng)相關數(shù)據(jù)未能同步更新,影響審計系統(tǒng)的實際應用;多種信息化平臺的并存也給基層電網(wǎng)企業(yè)運用帶來一定困難,普遍缺乏推進審計信息化的思路,缺少明確的工作目標和切實有力的措施。同時電網(wǎng)企業(yè)審計人員對信息的需求也發(fā)生了變化,關注角度由歷史數(shù)據(jù)向?qū)崟r信息轉(zhuǎn)變,關注范圍由整體數(shù)據(jù)向重點數(shù)據(jù)轉(zhuǎn)變,關注方式由存在性向相關性、一致性和及時性轉(zhuǎn)變;而智能化持續(xù)審計能夠電網(wǎng)企業(yè)部分信息實時性上的不足,與審計人員需求相適應,與電網(wǎng)企業(yè)內(nèi)部審計關口前移、重心下沉的要求相符合。
(三)智能化持續(xù)審計在電網(wǎng)企業(yè)應用效果分析 分析電網(wǎng)企業(yè)現(xiàn)有技術可以看出,目前現(xiàn)行的審計系統(tǒng),尤其是審計ERP管控系統(tǒng),通過數(shù)據(jù)式審計技術平臺,實時自動化采集企業(yè)內(nèi)部的經(jīng)營數(shù)據(jù),實時反映企業(yè)內(nèi)部的風險,有效實現(xiàn)事前預防和事中控制,審計系統(tǒng)目前已能夠高度自動化地截取和操作數(shù)據(jù),實現(xiàn)穿透測試和控制查詢,并在短時間內(nèi)生成高度可靠的信息報告,基本可以提供一個符合智能化持續(xù)審計要求的信息化操作平臺。分析建立智能化持續(xù)審計成本收益可以看出,一方面,智能化持續(xù)審計的數(shù)據(jù)穿透力和覆蓋面,有助于獲取更加及時和優(yōu)質(zhì)的審計成果,可以為企業(yè)發(fā)展戰(zhàn)略規(guī)劃和經(jīng)營管理管控提供更有效、更富有針對性的信息,降低電網(wǎng)企業(yè)傳統(tǒng)審計方式下的資源、成本消耗;另一方面,智能化持續(xù)審計模式改變了傳統(tǒng)審計方式方法,在建設“三型兩化”企業(yè)過程中,不僅可以最大程度合理分配審計人員自身精力,也為信息化企業(yè)建設提供更加有力的途徑,重要信息資源可以便捷、高效的在電網(wǎng)企業(yè)各層級之間傳遞,為降低風險提供一個可持續(xù)性的解決方案。從機制轉(zhuǎn)變層面分析,一方面,電網(wǎng)企業(yè)投資、管理是連續(xù)進行的,是一個過程,一個循環(huán)的結(jié)束就是另一個循環(huán)的開始。以財務數(shù)據(jù)來說,相互之間存在關聯(lián),必要時需要進行定期更新和復核,尤其是現(xiàn)金支出這種高風險項目,智能化持續(xù)審計模式更能符合常態(tài)化控制測試的要求。另一方面,過去的審計方式方法已經(jīng)不足以分析現(xiàn)行信息化數(shù)據(jù),隨著電網(wǎng)企業(yè)ERP系統(tǒng)與審計ERP系統(tǒng)之間已經(jīng)打通了安全有效的數(shù)據(jù)通道,在標準化的基礎上,財務系統(tǒng)、核心業(yè)務系統(tǒng)之間的數(shù)據(jù)接口已經(jīng)打通,綜合測試、平行模擬等方法只有通過嵌入式審計模塊才能更好的利用數(shù)據(jù)進行分析,對企業(yè)發(fā)展現(xiàn)狀進行實時把控。
(四)電網(wǎng)企業(yè)實施智能化持續(xù)審計模式戰(zhàn)略要點
(1)智能化持續(xù)審計的安全環(huán)境。一是物理安全控制。隨著電網(wǎng)企業(yè)ERP系統(tǒng)逐步規(guī)范,已基本完成對空白數(shù)據(jù)的收集,但同時在數(shù)據(jù)錄入過程中,可能會存在數(shù)據(jù)失真的情形,電網(wǎng)企業(yè)可以利用條管企業(yè)優(yōu)勢,建立前期數(shù)據(jù)錄入職責規(guī)范,實現(xiàn)人員職責分離,構(gòu)建專人錄入、專人核對、主管審核機制。二是邏輯安全控制。智能化持續(xù)審計模式依賴于現(xiàn)代信息技術,但如果系統(tǒng)進入途徑和防護模式不當,可以導致企業(yè)內(nèi)部數(shù)據(jù)泄露,所以系統(tǒng)的邏輯安全性是智能化持續(xù)審計的前提。
(2)多路互平臺的建立和整合是實施智能化持續(xù)審計的基礎。一是整合業(yè)務系統(tǒng)。審計ERP管控系統(tǒng)作為數(shù)據(jù)式審計的技術平臺,處于電網(wǎng)企業(yè)現(xiàn)存三大審計信息化平臺的核心地位;本文認為,電網(wǎng)企業(yè)可以進一步對現(xiàn)有系統(tǒng)進行平臺、數(shù)據(jù)、組件、應用集成,使各個審計信息平臺相互貫通,通過數(shù)據(jù)傳輸通道搜尋數(shù)據(jù),互相比對數(shù)據(jù),發(fā)現(xiàn)危險源點。從實踐運用看,可以通過打開與審計門戶、綜合管理系統(tǒng)之間的信息通道,可以使得風險識別機制融入到審計技術平臺之中,同時可以使得審計報告后續(xù)整改和審計經(jīng)驗交流更加貼近于實際操作,便于審計人員的掌握和使用。二是構(gòu)建多路互平臺。在整合現(xiàn)有審計系統(tǒng)的基礎上,嘗試建立接口,運用嵌入式審計模塊技術,將現(xiàn)行審計程序嵌入進去,實現(xiàn)技術簡單、經(jīng)濟適用的審計同步性能,從而使被審單位服務器與審計機構(gòu)服務器共存于一個平臺,構(gòu)建審計人員實施智能化持續(xù)審計的基礎。
(3)規(guī)范化的服務協(xié)議是實施智能化持續(xù)審計的關鍵。一是規(guī)范實施流程。鑒于電網(wǎng)企業(yè)無持續(xù)審計規(guī)程可循,加之審計人員隊伍整體信息化水平有待提高,在規(guī)范流程時,電網(wǎng)企業(yè)可以在現(xiàn)有機制下考慮充分吸收借鑒國內(nèi)外先進經(jīng)驗。二是完善交互標準。智能化持續(xù)審計的實施,交互標準是關鍵,電網(wǎng)企業(yè)開展智能化持續(xù)審計必須從系統(tǒng)開發(fā)和應用兩個方面進行完善。在開發(fā)環(huán)節(jié),需要制定標準,開展可行性研究,將審計人員納入到研究與設計過程中,形成有效的內(nèi)部控制方案;在應用環(huán)節(jié),必須確保應用過程的準確、安全、可靠,內(nèi)控人員適時核查。
(4)有效的數(shù)據(jù)傳送速率是實施智能化持續(xù)審計的手段。一是設立數(shù)據(jù)標桿。智能化持續(xù)審計對數(shù)據(jù)的及時性和有效性要求更為嚴格,建立數(shù)據(jù)標桿尤為重要,如涉及財務數(shù)據(jù)時,可以通過將錄入時間、科目一致性、資產(chǎn)折舊等與相關標準的比對,設立準入標桿;也可以通過對會計報表主要項目幾年來的變動趨勢進行比對后設立標桿數(shù)據(jù),如主營業(yè)務收入增長率、管理費用增長率、財務費用增長率等,防范不規(guī)范數(shù)據(jù)進入審計信息系統(tǒng)。二是建立數(shù)據(jù)倉庫。數(shù)據(jù)是開展智能化持續(xù)審計最有利的抓手。電網(wǎng)企業(yè)應當建立審計數(shù)據(jù)倉庫,作為一個單獨的企業(yè)數(shù)據(jù)存儲倉,作為一個帶有數(shù)據(jù)獲取和數(shù)據(jù)分析工具的大型數(shù)據(jù)集,只有被認為會產(chǎn)生企業(yè)風險和影響審計風險的經(jīng)過選擇的事項,才能被收集并存儲在審計數(shù)據(jù)倉庫中;確保在其他業(yè)務系統(tǒng)處理的同時收集證據(jù),將生產(chǎn)經(jīng)營數(shù)據(jù)和相關審計證據(jù)方便地應用于不同的審計工作中。
(5)暢通的信息溝通渠道是實施智能化持續(xù)審計的重點。一是發(fā)揮信息監(jiān)控功能。通過智能化持續(xù)審計系統(tǒng),有效集成和分析專業(yè)數(shù)據(jù),逐步建立指標自動分析體系,實時進行風險掃描和診斷,在各子系統(tǒng)中加以運用;設立單獨的監(jiān)控預警服務器,設立重要風險閥值,將主要指標和分析性程序引入服務器,從被審單位的業(yè)務系統(tǒng)中提取數(shù)據(jù)后,進行指標分析,在同預定標準庫比較后,發(fā)送例外報告,提示風險。二是借力數(shù)據(jù)處理功能。智能化持續(xù)審計系統(tǒng)的分析工具,可以幫助審計人員適時查詢數(shù)據(jù),統(tǒng)計和分析結(jié)果;審計人員可以利用信息追溯功能,逆向追溯到信息源頭,正向追溯到最終結(jié)果,跟蹤具體業(yè)務流轉(zhuǎn)軌跡。三是保證信息對稱。加強溝通,打造信息傳輸、反饋橋梁,保證被審單位和審計機構(gòu)信息對稱是保障智能化持續(xù)審計效果的重點。審計人員通過數(shù)據(jù)挖掘、信息監(jiān)控發(fā)現(xiàn)的問題、獲悉的風險,需要及時傳輸給被審單位,及時與管理層溝通,提供防控風險的有效建議,保障審計質(zhì)量;同時被審單位也需要適時了解自身企業(yè)管理的不足,及時整改和完善,從而保證審計成果第一時間得到運用,更能夠防范被審單位未知風險擴大化。
(6)審計人員素質(zhì)是實施智能化持續(xù)審計的核心。一是提升業(yè)務素質(zhì)。電網(wǎng)企業(yè)審計人員大多是會計、審計專業(yè)背景出身,缺乏IT技術和電力專業(yè)背景。所以,審計人員應熟悉業(yè)務流程,了解電子數(shù)據(jù)與業(yè)務的相關性;理解管控措施,主動參與相關的控制活動,保證獲取信息及時有效;同時要能夠從實質(zhì)性測試逐步轉(zhuǎn)變到風險控制測試。二是轉(zhuǎn)變審計觀念。審計人員應加強對智能化持續(xù)審計的理論學習,樹立正確的審計觀念,注重人力資源、共享與培訓、績效考評,為持續(xù)審計的實施打下良好的理念基礎;同時電網(wǎng)企業(yè)要讓審計人員了解到,智能化持續(xù)審計對信息實時性的把控和企業(yè)風險的防范的重要意義,逐步意識到持續(xù)審計代替?zhèn)鹘y(tǒng)審計的必然趨勢。三是引入責任追究。采用定性和定量相結(jié)合的評估方式,制定合理的信息化評估標準,建立智能化持續(xù)審計質(zhì)量責任體系,引起基層電網(wǎng)企業(yè)的重視和支持;同時將審計信息化項目價值核算緊密掛鉤審計人員個人績效、職業(yè)晉級和薪酬分配,建立優(yōu)勝劣汰的激勵機制,為智能化持續(xù)審計推廣提供保障。
以上所述六個關鍵要素,不是孤立存在的:其中安全環(huán)境是前提,被審單位和審計機構(gòu)之間的交互平臺是基礎,交互標準是關鍵,將雙方的數(shù)據(jù)傳遞作為抓手,持續(xù)做好信息反饋這一重點,審計人員素質(zhì)能力作為智能化持續(xù)審計實施的核心要素,六大要素之間相輔相成、相互作用,共同形成智能化持續(xù)審計模式,如圖4。
四、結(jié)論
綜上所述,智能化持續(xù)審計是電網(wǎng)企業(yè)信息化形勢下的新型審計模式,它建構(gòu)于現(xiàn)有審計系統(tǒng)整合的基礎工作之上,又具有自身的運作規(guī)律,如何通過有效推動持續(xù)化審計模式,形成有效的全面風險管控體系,對促進審計事業(yè)發(fā)展、創(chuàng)建“兩個一流”電網(wǎng)企業(yè)具有重大的現(xiàn)實意義。
本文通過對電網(wǎng)企業(yè)審計信息化現(xiàn)狀分析及經(jīng)驗總結(jié),解讀智能化持續(xù)審計模式的可行性和必要性,著力于從理論體系、制度保障、數(shù)據(jù)管控、人員管理及考核機制等多層次闡述智能化持續(xù)審計的發(fā)展方向,并初步構(gòu)建智能化持續(xù)審計模式。但如何有效落實,如何更好的把智能化持續(xù)審計模式與企業(yè)精益化管理系統(tǒng)的融合,在今后的研究中,仍需要不斷完善;同時,本文僅僅從理論構(gòu)建、經(jīng)驗和現(xiàn)狀相結(jié)合的層面對智能化持續(xù)審計模式進行探討,在整體研究內(nèi)容上尚缺乏必要的實證研究,在今后的工作中需要進行深入的實踐性驗證。
參考文獻:
[1]易仁萍、陳耿、楊明、孫志輝:《數(shù)據(jù)挖掘技術及其在審計風險管理中的應用》,《審計與經(jīng)濟研究》2003年第1期。
關鍵詞:人民銀行;信息技術;審計;風險評估模型
一、引言
隨著信息化的迅猛發(fā)展,人民銀行對信息技術的依賴程度不斷提高,信息技術己經(jīng)成為人民銀行日常運營的基礎平臺和金融創(chuàng)新的重要手段。但信息技術在迅速發(fā)展的同時,也帶來了巨大的技術風險,一旦發(fā)生問題,將直接影響業(yè)務的連續(xù)性,使人民銀行而臨財務損失和聲譽風險,甚至影響銀行業(yè)的安全。因此,發(fā)現(xiàn)信息技術潛在的風險點,采用風險導向?qū)徲嬆J介_展信息技術審計,一方而能夠最大程度防范信息技術風險,確保各項業(yè)務安全、穩(wěn)定、高效運行;另一方而能夠節(jié)約審計成本,提高審計效率和質(zhì)量,增加審計的組織價值。
二、央行信息技術審計現(xiàn)狀
人民銀行自2000年左右提出信息技術審計的概念,經(jīng)過多年的探索與發(fā)展,由對單個重要業(yè)務系統(tǒng)逐漸向?qū)C房、數(shù)據(jù)庫等信息技術的核心開展審計,審計范圍覆蓋了網(wǎng)絡管理與安全、操作系統(tǒng)和數(shù)據(jù)庫管理、電子化設備管理、大小額支付系統(tǒng)、會計核算系統(tǒng)、國庫系統(tǒng)、征信系統(tǒng)和反洗錢系統(tǒng)等業(yè)務領域,有效促進了信息系統(tǒng)內(nèi)部控制和風險管理水平的提高。在此基礎上,2009年起,人民銀行開展了更具綜合性的信息技術應用和系統(tǒng)運行管理專項審計(后稱為“科技綜合管理專項審計”),該項目涉及分支行科技管理的各個方而,促進了分支行科技管理水平和信息安全意識的提高。同時,在開展的過程中不斷深化,融入績效審計理念,在關注系統(tǒng)安全性的同時,也關注信息系統(tǒng)建設和運行的經(jīng)濟性、效率性和效果性。近兩年,央行探索將信息技術審計與業(yè)務審計相結(jié)合,開展了國庫會計核算業(yè)務與系統(tǒng)運行管理、二代支付系統(tǒng)等專項審計,力求從業(yè)務的角度審視技術的支持保障能力,從技術的角度評估業(yè)務的風險防控能力。近幾年,傳統(tǒng)的合規(guī)性信息技術審計所依賴的審計依據(jù)往往跟不上信息技術的發(fā)展和變化,同時也較多依賴審計人員的個人能力,審計中缺乏重點,雖然而而俱到,但審計成果瑣碎平淡,缺少深度和建設性。因此,信息技術審計人員必須在審計中引入風險導向?qū)徲嬆J剑粩嗟叵蚣夹g的更深層而挖掘風險,不斷提升審計成果的附加值和說服力。
三、央行信息技術風險評估模型構(gòu)建
風險導向?qū)徲嫷幕A是識別和評估風險,因此,開展風險導向?qū)徲嬍紫纫獦?gòu)建合適的風險評估模型,以實現(xiàn)對風險的量化分析。風險評估是指內(nèi)審部門采用剩余風險評估模型,運用規(guī)范的定性、定量方法,通過風險識別、固有風險評估、控制有效性評估、剩余風險計算,確定評估對象的風險級別。
(一)風險識別
風險識別是風險評估工作的基礎和關鍵環(huán)節(jié),只有了解和掌握被審計業(yè)務領域存在的具體風險事件,才能進一步開展評估、實施審計。風險識別程序要求采用一種有計劃的、經(jīng)過深思熟慮的方法,來識別業(yè)務各個方而存在的潛在風險,并識別可能在合理的時間段內(nèi)影響每項業(yè)務的較為重大的風險。信息技術風險是組織在信息處理和信息技術運用過程中產(chǎn)生的可能影響組織目標實現(xiàn)的各種不確定因素,表現(xiàn)形式有自然災害、人為破壞、設備故障、內(nèi)部與外部攻擊、數(shù)據(jù)誤用、數(shù)據(jù)丟失以及應用程序錯誤等。保障人民銀行信息安全除了須保障物理環(huán)境、網(wǎng)絡、主機、應用、數(shù)據(jù)等技術領域的安全之外,還涉及組織與計劃、開發(fā)與采購、運維與外包以及應用控制等領域的安全控制。
(二)風險評估
風險評估就是對風險的成本、影響及發(fā)生的可能性進行評估,有效的風險管理技術一般會量化風險,運用風險評估模型,針對識別出的“風險事件清單”中的每一項風險事件,依次計算固有風險和剩余風險級別,風險的計算采用加權(quán)法,各風險級別均劃分為1-4級,1級風險最低,4級風險最高。1.固有風險評估<1)風險事件固有風險評估風險事件固有風險評估是量化評估風險的起點和基礎,利用德爾菲法,采用風險矩陣,從風險發(fā)生可能性和風險影響程度兩個維度進行度量,將兩者級別分別標注在風險矩陣的相應區(qū)域,交匯區(qū)域即為該風險事件的風險級別。風險矩陣如圖1所示。<2)業(yè)務領域固有風險評估根據(jù)風險事件對應業(yè)務的業(yè)務量及工作量大小確定各風險事件權(quán)重,根據(jù)風險事件權(quán)重及風險等級計算業(yè)務領域固有風險級別。業(yè)務領域固有風險級別二E(該業(yè)務領域風險事件權(quán)重X該業(yè)務領域風險事件風險級別)一E該業(yè)務領域風險事件權(quán)重。2.內(nèi)部控制有效性評估根據(jù)搜集的資料以及審計經(jīng)驗,從近期各類信J急技術審計、專項檢查結(jié)果以及信息技術內(nèi)部控制變化情況等方而,對各業(yè)務領域內(nèi)部控制進行有效性評估。其中,各類審計、檢查結(jié)果評定指標為檢查頻率、所發(fā)現(xiàn)問題的數(shù)量及嚴重程度;內(nèi)部控制變化情況評定指標為問題整改情況以及內(nèi)部控制變化情況。內(nèi)部控制有效性越高,對應的風險級別越低,反之,風險級別越高。3.乘余風險評估根據(jù)內(nèi)控有效性的風險,通過剩余風險評估模型計算各業(yè)務領域的剩余風險級別。剩余風險級別二(藝各類固有風險權(quán)重X風險級別十E各項內(nèi)部控制有效性權(quán)重X風險級別)一<E各類固有風險權(quán)重十E各項內(nèi)部控制有效性權(quán)重),其中,各項內(nèi)部控制有效性權(quán)重二25%XE該業(yè)務領域風險事件固有風險權(quán)重。
(三)風險管理效果評估及結(jié)果運用
根據(jù)各業(yè)務領域剩余風險級別計算剩余風險平均值,以此判斷被審計單位信息技術風險控制狀況,并提供合理的審計建議。同時,可參照剩余風險值,制定審計計劃及頻率,明確信息技術的審計重點。風險管理效果評估見表1所列。
(四)案例分析—以科技綜合管理專項審計為例
在對某地市中支的科技綜合管理專項審計中,筆者結(jié)合現(xiàn)場審計情況,運用此模型對被審計單位的信息技術風險管理情況進行評估。根據(jù)審計內(nèi)容,將被審計單位科技綜合管理劃分成七大業(yè)務領域共33類風險事件。七大業(yè)務領域分別為內(nèi)部控制、機房管理、網(wǎng)絡管理、系統(tǒng)運維管理、管理、設備采購及外包服務管理,以及應急、備份和文檔管理。以機房管理領域為例,共有6類風險事件,根據(jù)業(yè)務的重要程度、發(fā)生可能性以及業(yè)務量的大小,結(jié)合以往審計經(jīng)驗,利用德爾菲法,依次評定了各風險事件的固有風險、權(quán)重以及該業(yè)務領域的固有風險,其風險事件清單及固有風險評估見表2所列。根據(jù)現(xiàn)場審計情況,并調(diào)閱近期對被審計單位科技管理的各項審計、檢查材料,對各業(yè)務領域的控制有效性風險級別進行評定,并計算出各業(yè)務領域的剩余風險以及科技綜合管理剩余風險級別。剩余風險評估見表3所列。評估結(jié)果顯示,被審計對象科技綜合管理平均剩余風險級別為2.38,屬于“0-2.5”層次,對照《風險管理效果評估表》,該單位的科技風險控制情況較好,可將審計頻率定為5年一次,并在審計中重點關注管理、網(wǎng)絡管理、機房管理以及設備采購和外包服務管理等風險級別較高領域。
四、建立央行信息技術風險導向?qū)徲嬆J?/p>
風險導向?qū)徲嬆J讲⒉粌H僅是風險評估,其核心在于圍繞風險開展審計,下而將探討如何圍繞風險開展信息技術審計項目,將“風險引導審計,審計關注風險”的理念貫穿于信息技術審計項目的全過程。
(一)以風險為導向編制信息技術審計整體規(guī)劃
這是風險導向內(nèi)部審計方法在宏觀層而的運用,根據(jù)風險評估的結(jié)果重新審視和規(guī)劃信息技術審計的業(yè)務范圍,各審計對象的審計頻率以及審計方式、方法等。可通過構(gòu)建信息技術風險數(shù)據(jù)庫,從組織機構(gòu)和業(yè)務領域兩個維度記錄信息技術風險評估數(shù)據(jù),根據(jù)信息技術風險數(shù)據(jù)庫“自上而下”制定信息技術審計整體規(guī)劃。在構(gòu)建信息技術風險數(shù)據(jù)庫時,須根據(jù)業(yè)務關注度、信息資產(chǎn)的重要性、對信息技術的依賴程度、信息技術人員的專業(yè)勝任能力等因素對信息技術管理現(xiàn)狀進行一次全而評估。
(二)以風險為導向編制信息技術年度審計計劃
參照信息技術審計整體規(guī)劃編制年度審計計劃,優(yōu)先對高風險領域、高風險機構(gòu)實施審計。同時,應根據(jù)本年度工作重點、熱點和難點以及管理層關注事項對年度審計計劃作出適當調(diào)整,選擇被審計對象及業(yè)務種類,梳理形成本年度信息技術審計項目清單、審計項目日程表以及審計項目所需資源等。在梳理信息技術審計項目清單時,可根據(jù)業(yè)務復雜度、業(yè)務間關聯(lián)性等選擇對某一個業(yè)務領域開展審計,或選擇將多個業(yè)務領域組合起來開展綜合性審計。
(三)以風險為導向開展審計項目
信息技術審計程序可以劃分為審前準備階段、現(xiàn)場實施階段、審計報告與后續(xù)跟蹤階段,各階段均應體現(xiàn)風險導向要求。在審前準備階段,通過審前調(diào)查情況,動態(tài)調(diào)整權(quán)重和風險級別,并提前調(diào)取被審計單位內(nèi)控制度、崗位分工、系統(tǒng)日志以及網(wǎng)絡配置等電子版資料,對收集的資料、數(shù)據(jù)進行非現(xiàn)場分析,列出審計疑點和問題線索,并計算各業(yè)務領域剩余風險,根據(jù)審計風險評估結(jié)果制定實施方案。在現(xiàn)場實施階段,應緊緊圍繞風險實施現(xiàn)場審計,按照審計方案、風險事件清單,選擇與風險性質(zhì)和特點相適應的審計方法,對風險級別高的事件和隱患進行深入分析和排查,充分體現(xiàn)“風險引導審計”原則。在審計報告階段,內(nèi)審人員應以有效降低信息技術風險,保障各業(yè)務的連續(xù)性為目的,報告被審計對象信息技術問題缺陷,圍繞風險深入分析問題產(chǎn)生的原因,從防范和化解風險的角度提出切實可行的審計建議。在后續(xù)跟蹤階段,對于審計中風險隱患較大、發(fā)生頻率較高的問題應持續(xù)跟蹤,并根據(jù)后續(xù)跟蹤及整改情況更新信息技術風險數(shù)據(jù)庫,調(diào)整信息技術審計整體規(guī)劃。
五、行信息技術審計中的全方位推廣奠定堅實的基礎。
(二)著力培養(yǎng)信息技術審計與風險評估人才
在信息技術審計中運用風險導向?qū)徲嫹椒ǎ粌H要求審計人員具備信息技術領域的專業(yè)知識,還須具備運用風險評估技術的能力,因此,復合型人才的培養(yǎng)與儲備是基于風險導向信息技術審計模式實施必不可少的前提條件。人民銀行各級分支機構(gòu)可以通過向?qū)徲嫴块T輸送新的信息技術人才、開展后續(xù)教育及培訓等方式,逐步建立具有信息技術領域?qū)I(yè)素養(yǎng)和風險評估技術的復合型內(nèi)審人才隊伍。
(三)循序漸進推行風險導向?qū)徲嬆J?/p>
基于風險導向的信息技術審計模式是在傳統(tǒng)信息技術審計模式基礎上發(fā)展起來的,因此,在實施新模式的同時應注重與傳統(tǒng)模式的有機結(jié)合,注重對傳統(tǒng)模式所取經(jīng)驗的吸收與利用,注重新舊審計模式的互為補充,循序漸進地推行新模式,從而更加有效地提升央行信息技術審計的質(zhì)量與效率。
(四)建立風險導向信息技術審計模式運用機制
不斷加大基于風險導向信息技術審計模式試點工作,加大新審計模式在實際審計項目中的運用探索,不斷完善其運用流程、方法等,待時機成熟時出臺相關規(guī)章制度,為新審計模式的運用提供制度保障,從而建立風險導向信息技術審計模式運用長效機制。
六、深入推進央行信息技術風險導向?qū)徲嫷慕ㄗh
(一)盡快建立央行風險評估信息數(shù)據(jù)庫
建立央行風險評估信息數(shù)據(jù)庫,完整記錄央行信J急技術風險評估各期數(shù)據(jù),編制風險原因分析字典,這將有利于評估數(shù)據(jù)的采集、分析以及不同時期、不同對象風險狀況之間的比對,為風險導向內(nèi)部審計模式在央行信息技術審計中的全方位推廣奠定堅實的基礎。
(二)著力培養(yǎng)信息技術審計與風險評估人才
在信息技術審計中運用風險導向?qū)徲嫹椒ǎ粌H要求審計人員具備信息技術領域的專業(yè)知識,還須具備運用風險評估技術的能力,因此,復合型人才的培養(yǎng)與儲備是基于風險導向信息技術審計模式實施必不可少的前提條件。人民銀行各級分支機構(gòu)可以通過向?qū)徲嫴块T輸送新的信息技術人才、開展后續(xù)教育及培訓等方式,逐步建立具有信息技術領域?qū)I(yè)素養(yǎng)和風險評估技術的復合型內(nèi)審人才隊伍。
(三)循序漸進推行風險導向?qū)徲嬆J?/p>
基于風險導向的信息技術審計模式是在傳統(tǒng)信息技術審計模式基礎上發(fā)展起來的,因此,在實施新模式的同時應注重與傳統(tǒng)模式的有機結(jié)合,注重對傳統(tǒng)模式所取經(jīng)驗的吸收與利用,注重新舊審計模式的互為補充,循序漸進地推行新模式,從而更加有效地提升央行信息技術審計的質(zhì)量與效率。
(四)建立風險導向信息技術審計模式運用機制
「關鍵詞審計信息技術審計管理科學化
我國審計機關成立二十年來,審計工作取得了很大成績,積累了寶貴經(jīng)驗。但從總體上說,我國審計工作仍然處于初級階段,與發(fā)達國家相比,我國的審計工作還存在很大的差距,尤其在審計基礎工作方面存在一些問題。近來審計署下發(fā)的審計工作發(fā)展規(guī)劃中提出,今后五年審計工作的總體目標是,以審計創(chuàng)新為動力,以提升審計成果質(zhì)量為核心,以加強審計業(yè)務管理為基礎,以"人、法、技"建設為保障,全面提高審計工作水平,基本實現(xiàn)審計工作法制化、規(guī)范化、科學化。在當前的信息環(huán)境下,開發(fā)審計項目管理軟件,運用信息技術實現(xiàn)審計管理的科學化。
一、開發(fā)審計項目管理系統(tǒng)的必要性
(一)落實審計項目質(zhì)量控制,規(guī)范審計行為,防范審計風險的重要手段
審計質(zhì)量是審計工作的生命線。李審計長指出提高審計質(zhì)量一是靠審計人員的素質(zhì),更重要的是依靠審計工作的規(guī)范化。自1994年審計法頒布以來,先后了38項審計規(guī)范和15個審計準則,其中一部分規(guī)范對審計項目的質(zhì)量控制做了詳細的規(guī)定,但實際工作中,審計人員并未能嚴格遵守審計質(zhì)量控制規(guī)范,其審計行為隨意性很大,如:審計實施方案的編制前未進行系統(tǒng)的審前調(diào)查,審計實施方案的內(nèi)容不具體,審計實施未嚴格遵照審計實施方案進行,審計工作底稿與其相應的審計證據(jù)關聯(lián)性不夠,審計工作底稿、審計證據(jù)的要素填寫不規(guī)范、不完整,審計報告與審計工作底稿之間的內(nèi)容不一致等等。法律的生命在于執(zhí)行,在信息化條件下,將審計機關的審計質(zhì)量控制規(guī)范,通過審計項目管理系統(tǒng)加以控制,確保了審計人員規(guī)范審計行為,提高了審計質(zhì)量,防范了審計風險。
(二)保障審計項目科學管理的重要工具
審計項目管理主要包括審計項目計劃管理、審計項目人力資源管理和審計項目信息資源管理三個方面:
1.目前審計機關的審計項目大多是行業(yè)性審計,項目大,所涉及的內(nèi)容廣泛,參加的審計人員多,收集或編制的審計資料繁多,如何對審計項目科學管理變得越來越突出,在手工條件下,審計人員對這些龐大的審計項目的管理顯然有些力不從心。主要表現(xiàn)在:審計實施方案編制不能細化,普遍存在內(nèi)容不具體,審計目標不明確,針對性不強,審計重點也不突出,審計人員分工混亂,導致現(xiàn)場審計盲目性大。有的是先審計后補方案,有的是審計工作調(diào)整了而審計實施方案并未調(diào)整,審計計劃的指導、規(guī)范和控制作用根本無法保證。利用審計項目管理系統(tǒng)就能很容易地實現(xiàn)審計項目的計劃管理,為審計項目的順利實施提供了保證。
2.在目前審計任務繁重與審計人員力量不足之間的矛盾日益突出的情況下,審計機關領導及項目負責人更加重視對審計人員合理調(diào)配。利用該系統(tǒng)可以掌握各審計人員的審計成果及進度情況,并及時按照審計重點調(diào)整審計力量,使審計工作達到預期的效果。同時在目前審計工作要求規(guī)范的情況下,文檔編制整理工作更加占用審計人員的大量時間,據(jù)有關部門研究顯示,審計人員有超過50%的時間是耗費在制定規(guī)劃、編寫工作底稿、復核工作底稿及準備報告上。該系統(tǒng)的文檔編制功能可以使審計人員提高工作效率,緩解審計任務與審計力量之間的矛盾。
3.目前審計機關審計成果的利用效率不高,主要原因是信息渠道不暢通,審計信息資源不能有效共享。而通過審計項目管理系統(tǒng),審計人員可獲得自己所需要的項目信息或上報自己的審計情況;審計組長可對審計人員的審計工作進行指導、監(jiān)督和協(xié)調(diào),并掌握審計進度情況;專職復核人員和業(yè)務部門負責人可對審計項目進行監(jiān)督復核;本級審計機關領導對審計項目進行查詢、指導和監(jiān)督。上級審計機關領導可對轄區(qū)內(nèi)的審計項目進行監(jiān)督檢查和查詢,并能便于領導掌握第一手的材料。還可對項目審計的全部資料進行歸檔,形成歷史資料,完成信息資料的積累,便于審計機關在以后的審計中利用其成果,尤其是被審計單位連續(xù)審計時,對其以前年度審計資料的利用。
(三)為充分利用先進的審計技術方法和工作經(jīng)驗提供平臺
1.手工條件下,審計項目的組織管理主要依靠項目負責人,審計項目的成功與否取決于項目負責人的經(jīng)驗,而在實際審計工作中各審計人員之間的業(yè)務水平又參差不齊,這也必然影響了審計項目的工作質(zhì)量和效率,審計風險很高。而將某些成熟的審計程序和審計人員的先進工作經(jīng)驗或按照某行業(yè)的審計操作指南編制成模塊在審計項目管理系統(tǒng)中加以運用,用于指導項目負責人組織開展審計項目,指導審計人員對具體的審計事項進行審計,一方面提高了審計工作效率,另一方面保證了審計工作質(zhì)量。
2.當前我國的審計工作也正在發(fā)生變化,由帳戶基礎審計向制度基礎審計和風險基礎審計過渡,內(nèi)部控制測試、審計抽樣、風險評估、計算機審計等一些先進的審計技術與方法也應在審計工作中加以應用。但在實際審計工作中除計算機審計輔助審計開發(fā)應用多一些外,其他的審計方法缺乏自覺的推廣應用。究其原因,主要是審計人員對這些新的審計方法還不熟悉,其次是這些審計方法在手工條件下比較煩瑣,效率不高。在審計項目管理系統(tǒng)中可以將這些審計方法編制成模塊,按照審計實施方案中計劃的審計步驟與方法,在審計實施過程中加以應用,通過審計項目管理系統(tǒng)可將先進的審計技術方法和工作經(jīng)驗與項目審計有機地結(jié)合為一體,切實提高審計工作的管理水平。
二、設計審計項目管理軟件的功能特點
(一)全程控制,規(guī)范行為
以審計質(zhì)量控制體系為依據(jù),將質(zhì)量控制點部署于整個審計項目實施過程中,由系統(tǒng)自動控制或提示的方式予以實現(xiàn);并通過用戶權(quán)限管理,分級實施質(zhì)量控制。
(二)調(diào)控進度,整合資源
根據(jù)審計實施方案規(guī)定的審計事項,進行分解和分配審計任務,明確審計項目進度計劃,掌握實際進度,進行評估,并提示調(diào)整人員分工和項目進度。
(三)記錄軌跡,落實責任
提供審計日記功能,與審計工作底稿、審計證據(jù)相結(jié)合,全員、全過程記錄審計實施軌跡,清晰反映審計步驟和方法,落實責任。
(四)強化復核,保證質(zhì)量
提供審計現(xiàn)場組長、業(yè)務部門和審計機關專職復核機構(gòu)的三級復核子系統(tǒng),使審計質(zhì)量復核制度得以現(xiàn)場同步實現(xiàn)。
(五)多維查詢,決策支持
提供快捷、方便、靈活的檢索、查詢功能,審計機關領導和業(yè)務管理部門可以對審計項目進展、審計人員工作情況進行多角度的檢索、查詢,及時掌握一手資料,及時監(jiān)督、指導審計工作,實現(xiàn)審計決策支持。
(六)統(tǒng)一歸檔,信息共享
系統(tǒng)對審計項目全部資料進行管理,建立審計項目數(shù)據(jù)關聯(lián),統(tǒng)一打包歸檔,便于審計成果的利用,實現(xiàn)審計資料共享。
(七)制作模板,審計指導
根據(jù)審計操作指南及審計人員的工作經(jīng)驗將各行業(yè)的審計內(nèi)容及其相應的審計程序與方法制成模板,以便于審計人員在以后的審計工作中加以利用,切實指導審計人員實施審計,實現(xiàn)具體審計目標。
(八)提供平臺,方法調(diào)用
將內(nèi)部控制測試、審計抽樣、風險評估、計算機輔助審計等先進的審計技術方法編成程序,通過該系統(tǒng),根據(jù)審計事項調(diào)用不同的審計技術和方法,靈活多樣地實現(xiàn)審計目標。
三、審計項目管理軟件的主要功能
本系統(tǒng)是對審計項目的整個過程進行管理,適合于審計中各種角色的審計人員的使用。系統(tǒng)分為三大功能塊:現(xiàn)場審計子系統(tǒng)、領導查詢子系統(tǒng)和專職復核子系統(tǒng),滿足不同角色的工作人員的需要。系統(tǒng)根據(jù)用戶的角色賦予不同的權(quán)限,從而實現(xiàn)對系統(tǒng)中不同操作的限制。其主要功能介紹如下:
(一)審計現(xiàn)場管理
此項功能主要體現(xiàn)在現(xiàn)場審計管理子系統(tǒng)中,根據(jù)現(xiàn)場審計執(zhí)行的每一步驟分別實現(xiàn)相關的功能。新建一個審計項目,錄入項目的相關內(nèi)容,確定審計組長及參加項目的所有人員。
為審計項目準備資料,收集被審單位信息,確定審計重點,編制審計實施方案。另外在審計實施過程中還可以對實施方案修改以形成補充方案和修訂稿。根據(jù)審計實施方案中的審計內(nèi)容與重點、審計范圍等信息,編制審計任務,分配審計人員,確定任務起訖日期,任務負責任人。
任務分配完畢后,審計人員選擇任務進行資料收集,必須將每天的工作記錄于審計日記中,包括工作的內(nèi)容,工作的方式。對當天未寫日記的審計人員,系統(tǒng)將予以提示并提供自動生成工作日記的功能。
審計人員將在審計實施的過程中發(fā)現(xiàn)與事項有關的問題及主要事實和情節(jié)記錄下來,編制審計證明材料,證據(jù)管理提供添加,修改等編輯功能。
【關鍵詞】 信息化; 內(nèi)部審計技術; 信息技術風險; 計算機輔助審計
隨著國家電網(wǎng)公司中信息技術的日益普及和企業(yè)信息化的深入開展,跨地區(qū)、跨部門的企業(yè)集團信息系統(tǒng)、ERP(Enterprise Resource Planning)系統(tǒng)廣泛應用,原來所采用的傳統(tǒng)內(nèi)部審計技術方法很難及時地對被審計單位的會計經(jīng)營信息作出客觀評價,不能滿足審計信息需求者的管理決策需要,內(nèi)部審計難以實現(xiàn)增值目標。因此,內(nèi)部審計采用現(xiàn)代審計方法成為必然。現(xiàn)代審計方法是指能夠適應信息化的審計環(huán)境,能夠?qū)A繑?shù)據(jù)進行篩選分析,發(fā)現(xiàn)疑點和審計線索,從而實現(xiàn)審計目標的審計技術、方法的總稱(董伯坤,2007)。本文從信息技術風險評估出發(fā),分析信息化環(huán)境下的現(xiàn)代審計技術方法,并在此基礎上進一步探索并行持續(xù)審計的模式,實現(xiàn)由傳統(tǒng)審計向現(xiàn)代審計的轉(zhuǎn)變,從而順應信息化發(fā)展趨勢,提高審計效率,降低審計風險。
一、信息技術風險評估
企業(yè)信息化的發(fā)展給審計技術方法帶來變革,例如數(shù)據(jù)庫技術(何玉潔、張俊超,2006)、趨勢分析法(黃巧妙、呂天陽、龐琦,2009)等自動化操作和邏輯分析的方法(殷麗麗等,2010),同時更帶來審計思維和基本理念的轉(zhuǎn)變,在信息技術風險評估的基礎上應用現(xiàn)代審計技術與方法便是一個基本的轉(zhuǎn)變。
信息技術風險是指公司在信息處理和信息技術運用過程中產(chǎn)生的各種不確定因素,這些因素可能對公司的戰(zhàn)略、發(fā)展、業(yè)務和效益等方面產(chǎn)生負面影響,并進而影響公司目標的實現(xiàn)。信息技術風險包括組織層面、一般性控制層面及業(yè)務流程層面的信息技術風險等。
信息技術風險評估是指識別、確認、評價公司所面臨的與信息技術相關的內(nèi)、外部風險及其潛在影響的過程。內(nèi)部審計人員應采用適當?shù)娘L險評估技術與方法,分析及評價信息技術風險發(fā)生的可能性及影響程度,為確定審計目標、范圍、重點和方法提供依據(jù)。
針對組織層面、一般性控制層面的信息技術風險,審計人員在識別、評估時需要關注:業(yè)務關注度;信息資產(chǎn)(包括硬件設備、軟件及數(shù)據(jù))的重要性;對信息技術及信息技術部門的依賴程度;對外部信息技術服務的依賴程度;信息系統(tǒng)及其運行環(huán)境的安全性、可靠性;信息技術變更情況;與信息技術相關的企業(yè)標準、規(guī)范、規(guī)章制度的制定及執(zhí)行情況等。
業(yè)務流程層面的信息技術風險受業(yè)務內(nèi)容的重要性、業(yè)務流程的復雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。通常,審計人員應了解業(yè)務流程并關注數(shù)據(jù)輸入、處理、輸出方面的信息技術風險。
內(nèi)部審計人員應積極開展對信息化環(huán)境下風險的分析,充分考慮風險評估的結(jié)果,重點關注缺乏控制、重要性程度高以及可能產(chǎn)生舞弊的控制環(huán)節(jié),以合理確定信息系統(tǒng)審計的內(nèi)容及范圍,對公司的信息技術內(nèi)部控制的設計和執(zhí)行有效性進行測試,并完善內(nèi)部控制體系。
由于國家電網(wǎng)公司的業(yè)務運作更加依賴于信息系統(tǒng),這種依賴和信息系統(tǒng)本身特點所導致的脆弱性,形成了新的業(yè)務風險。因此,公司必須開展和加強信息技術風險評估,并在此基礎上對現(xiàn)有內(nèi)部審計規(guī)范、指南等重新進行定義、修改和補充,加強信息系統(tǒng)內(nèi)部審計工作管理體制建設,統(tǒng)一信息系統(tǒng)內(nèi)部審計技術標準,明確信息系統(tǒng)內(nèi)部審計人員技能要求,建立和完善適應信息化環(huán)境的內(nèi)部審計準則體系,尤其把IT控制列為重點,把數(shù)據(jù)輸入、處理和輸出控制、信息系統(tǒng)的訪問及網(wǎng)絡安全作為內(nèi)部審計的重要內(nèi)容,使內(nèi)部審計工作在新的環(huán)境下能夠順利進行。
二、信息化環(huán)境下內(nèi)部審計常用技術方法
信息技術/信息系統(tǒng)的應用支撐著大多數(shù)關鍵業(yè)務流程,這也引起了在內(nèi)部審計中如何使用信息技術的思考。本文認為,信息化環(huán)境下內(nèi)部審計技術方法的研究與應用應從系統(tǒng)論、信息論的高度推進其系統(tǒng)化、科學化、規(guī)范化和智能化的發(fā)展。系統(tǒng)化是實施審計戰(zhàn)略(策略)和審計技術方法的全面協(xié)調(diào)。審計戰(zhàn)略(策略)解決好審什么、想達到什么目的的問題,審計技術和方法則解決怎么審和如何達到目的的問題,從而實現(xiàn)兩者的協(xié)調(diào)。科學化就是將科學手段與經(jīng)驗總結(jié)相結(jié)合,推進信息化技術、數(shù)學和統(tǒng)計學等在審計中的應用。規(guī)范化是將內(nèi)部審計技術方法融入到規(guī)范的內(nèi)部審計程序中,規(guī)范和引導內(nèi)部審計人員運用適當?shù)膶徲嫾夹g和方法。智能化強調(diào)將歷史經(jīng)驗總結(jié)、科學規(guī)律推導和審計人員的專業(yè)判斷結(jié)合起來,積極加強審計數(shù)據(jù)中心建設,建立行業(yè)/領域?qū)徲嫷臉藴屎头椒ǎㄉ虾J袑徲媽W會課題組,2012)。
《內(nèi)部審計具體準則第28號——信息系統(tǒng)審計》第六章第二十四條指出,審計人員在開展信息系統(tǒng)審計過程中為獲取充分、適當?shù)膶徲嬜C據(jù),可以單獨或綜合應用八種審計技術方法,包括:詢問、觀察、審閱、穿行測試等傳統(tǒng)方法;驗證系統(tǒng)控制和計算邏輯、登錄信息系統(tǒng)進行系統(tǒng)查詢、計算機輔助審計工具和技術等信息技術;利用其他專業(yè)機構(gòu)的審計結(jié)果或組織對信息技術內(nèi)部控制的自我評估結(jié)果等。
2011年審計署審計科研所《審計機關審計技術創(chuàng)新情況》課題組在全國27個省(自治區(qū)、直轄市)、5個計劃單列市和18個特派員辦事處對2006年以來的審計技術創(chuàng)新情況進行了專題調(diào)研,收集創(chuàng)新型審計技術應用522項,按技術種類分類可分為59種技術類別(審計署審計科研所課題組,2012)。在眾多創(chuàng)新型審計技術中尤為突出的是,計算機類審計技術占了很大比重,主要包括:各類審計軟件、數(shù)據(jù)采集/轉(zhuǎn)換技術、數(shù)據(jù)查詢和分析技術、聯(lián)網(wǎng)審計技術、信息系統(tǒng)審計技術、多維分析技術、數(shù)據(jù)庫技術、Office系列軟件、商業(yè)智能(BI)技術、MD5碼技術、數(shù)據(jù)挖掘技術、數(shù)據(jù)恢復技術、實時通訊技術等。
在此基礎上,本文將審計技術方法綜合整理為如圖1所示的體系。
1.常規(guī)審計方法,主要是用于信息系統(tǒng)的了解和描述,包括訪談法、系統(tǒng)文檔審閱法、觀察法、文字描述法、表格描述法、圖形描述法等。
2.計算機輔助審計技術,又可進一步分為面向系統(tǒng)的計算機輔助審計技術和面向數(shù)據(jù)的計算機輔助審計技術。面向系統(tǒng)的計算機輔助審計技術是用于驗證程序系統(tǒng)的,包括受控處理法、測試數(shù)據(jù)法、綜合測試法、平行模擬法和程序跟蹤法等;面向數(shù)據(jù)的計算機輔助審計技術主要用于對信息系統(tǒng)中的電子數(shù)據(jù)進行審計,包括數(shù)據(jù)采集、數(shù)據(jù)驗證、數(shù)據(jù)整理和轉(zhuǎn)換、建立審計中間表和數(shù)據(jù)分析等環(huán)節(jié),采用的數(shù)據(jù)分析技術主要有賬表分析、數(shù)據(jù)查詢、審計抽樣、統(tǒng)計分析、數(shù)值分析、賬齡分析等(陳偉、張金城,2008)。
3.信息系統(tǒng)評價技術,主要用于信息系統(tǒng)的控制、風險和整體性評價,如控制矩陣、風險矩陣、層次分析法等。
4.新型審計技術,主要有并行審計、持續(xù)審計、商業(yè)智能(BI)技術、數(shù)據(jù)挖掘技術、數(shù)據(jù)恢復技術等。
內(nèi)部審計人員在充分考慮信息安全的前提下,結(jié)合成本效益原則,根據(jù)信息系統(tǒng)審計業(yè)務類型,可以靈活選用恰當?shù)膶徲嫾夹g方法。在充分發(fā)揮好信息化環(huán)境下內(nèi)部審計技術優(yōu)勢的同時,應該處理好例外現(xiàn)象,不能過于依賴技術,審計人員仍應保持高度的職業(yè)謹慎。
三、新型內(nèi)部審計技術與模式
審計對象的科技水平和復雜性不斷提高,對審計技術提出了更高的要求,要求內(nèi)部審計關口從傳統(tǒng)的事后審計逐漸前移到事中事前;同時,科學技術特別是信息和電子技術的發(fā)展,也為開發(fā)應用新型內(nèi)部審計技術與模式創(chuàng)造了條件,使事中審計成為可行、經(jīng)濟的審計模式。并行審計、持續(xù)審計便是實現(xiàn)信息化環(huán)境下實現(xiàn)審計關口前移的事中審計技術。
(一)并行審計技術
并行審計技術(Concurrent Auditing Technique)產(chǎn)生于20世紀60年代后期和70年代初期,是依托信息技術的發(fā)展而提出的審計技術。并行審計技術是指在應用系統(tǒng)對其業(yè)務進行處理時,同時采集審計證據(jù)的技術。使用并行審計技術采集審計證據(jù)包括兩個方面:一是為采集、處理和打印審計證據(jù),需要在應用系統(tǒng)或系統(tǒng)軟件中嵌入專門的審計模塊;二是將采集到的證據(jù)存儲在應用系統(tǒng)文件中或存儲在專門的審計文件中,以便審計人員進行審查(梁麗瑾、續(xù)慧泓,2007)。
信息技術特別是網(wǎng)絡技術的發(fā)展,為并行審計提供了硬件環(huán)境的支持。并行審計要求的對交易的連續(xù)監(jiān)控可以借助于網(wǎng)絡環(huán)境來實現(xiàn)。新的技術,如智能識別技術、無線射頻識別(RFID)、傳感技術等的廣泛應用,為審計模塊的“嵌入”提供了技術上的實現(xiàn)方案。同時,數(shù)據(jù)庫管理技術,特別是數(shù)據(jù)倉庫技術的應用,不僅能夠存儲海量的交易數(shù)據(jù),而且通過數(shù)據(jù)倉庫可以提供決策所需的相關信息,從而對業(yè)務發(fā)生的情況可以作出智能化的判斷和分析,并將這種分析和判斷信息及時反饋。
(二)持續(xù)審計
持續(xù)審計(Continuous Auditing,CA)是一種由審計師在事項發(fā)生的同時,或在事項發(fā)生后的較短時間內(nèi),對與事項相關的主題提供書面評價的審計方法(CICA/AICPA,1999)。具體來說,持續(xù)審計是基于網(wǎng)絡信息技術,由審計師實施的將約定事項的連續(xù)信息(無論財務或非財務的信息)與事先確定的標準相對照,然后就二者的符合程度作出保證判斷的審計報告的一系列過程。它將信息技術高度整合到了審計領域,融合了實時審計、計算機輔助審計、聯(lián)網(wǎng)審計、非現(xiàn)場審計等方式,實現(xiàn)審計人員和被審計單位電子數(shù)據(jù)的及時連接和交互,克服了當前審計的滯后性,具有報告時隔短、審計范圍廣、追蹤事件及時、風險控制強等優(yōu)點,可以縮短內(nèi)部審計周期、改善風險和控制安全系數(shù)(張文秀、劉雷,2012;張娟、廖洪,2006)。
國際上對持續(xù)審計的研究起步于20世紀60年代,美國證監(jiān)會(SEC)、國際內(nèi)部審計師協(xié)會(IIA)、加拿大注冊會計師公會(CICA)、美國注冊會計師公會(AICPA)和國際信息系統(tǒng)審計協(xié)會(ISACA)等機構(gòu)先后公開表明對基于IT的持續(xù)審計模式加以支持與倡導。根據(jù)普華永道會計師事務所的《2006內(nèi)部審計狀況職業(yè)研究》(State of the Internal Audit Profession Study:Continuous Auditing Gains Momentum),被調(diào)查的美國公司中有半數(shù)的公司目前正在使用持續(xù)審計技術。
持續(xù)審計不僅向外界進一步證實被審單位提供的連續(xù)(或?qū)崟r)報告(信息)的可靠程度,還可以為內(nèi)部管理控制提供決策信息支持,同時還能夠根據(jù)客戶的特殊需求實時提供不同程度的相關保障。隨著信息技術的進步、電子商務的普及以及管理決策對信息“實時性”需求的日益增強,它將成為信息化時代審計模式發(fā)展的必然趨勢之一。持續(xù)審計在我國內(nèi)部審計中還未完全開展,但可以預計這種技術以后會成為內(nèi)部審計的重要方式。
除了并行審計、持續(xù)審計之外,新興的審計技術還有商業(yè)智能(BI)技術、數(shù)據(jù)挖掘技術、數(shù)據(jù)恢復技術等。隨著移動設備、云計算等的推廣和應用,將會有更多更新的審計技術出現(xiàn)。
四、結(jié)語
國家電網(wǎng)公司在信息化環(huán)境下的內(nèi)部審計工作目前還處于摸索階段,在研究和探索內(nèi)部審計技術方法的同時,還應對審計人員進行專門的信息技術培訓、對審計部門開放所有信息查詢功能等。進一步地還可以鼓勵內(nèi)部審計人員參加國際注冊信息系統(tǒng)審計師(CISA)資格考試,通過培訓和考試,培養(yǎng)具有較高深的計算機軟硬件和網(wǎng)絡知識,掌握信息系統(tǒng)審計技術的較高層次的審計人才,更好地應用現(xiàn)代化的審計技術方法,從而適應企業(yè)信息化發(fā)展的大潮。
【主要參考文獻】
[1] 審計署審計科研所課題組.審計機關審計技術創(chuàng)新情況專題調(diào)研報告[R].2012.
[2] 中國內(nèi)部審計協(xié)會.內(nèi)部審計具體準則第28號——信息系統(tǒng)審計[S].2009.
[3] 陳偉,張金城.計算機輔助審計原理及應用[M].北京:清華大學出版社,2008.
[4] 張文秀.IT治理下的內(nèi)部審計信息化發(fā)展研究[J].商業(yè)會計,2010(12):41-42.
[5] 梁麗瑾,續(xù)慧泓.基于并行審計技術的內(nèi)部審計應用研究[J].審計研究,2007(2):36-38.
一 審計風險評估研究回顧
所謂風險,根據(jù)美國項目管理學會(PMD)的定義,是指“正面或負面影響項目內(nèi)容的不確定事件或條件”,風險與不確定性有著緊密的聯(lián)系。審計過程中存在的信息對稱,特別是存在管理舞弊時,采用正常的審計程序難以形成可靠的審計結(jié)論,從而為審計執(zhí)業(yè)帶來高度不確定性,也就是審計風險的根源。
(一)審計風險評估的實務探索對審計風險的評估處于探索之中,出現(xiàn)了多種經(jīng)營分析和風險評估框架,如COSO,COCO、平衡記分卡、波特五力模型、全面質(zhì)量管理、系統(tǒng)思想、競爭性戰(zhàn)略、戰(zhàn)略系統(tǒng)審計等,這些工具和技術形成了早期現(xiàn)代風險導向?qū)徲嫷幕A。審計師利用這些工具和技術去理解客戶的價值和定位,理解客戶面臨的風險,以此增強對非抽樣風險的控制,同時也為客戶提供增值性的非審計業(yè)務。大型的會計師事務所在20世紀90年代中期都開始探索自己的風險審計方法或戰(zhàn)略系統(tǒng)審計(sSA)框架,但各個事務所的名稱各不相同。
(二)審計風險評估的理論研究我國一些學者也對審計風險的評估技術進行了研究,如王桂蘭(2006)提出了將案例推理引入到審計風險評估研究中,運用現(xiàn)代風險導向?qū)徲嫷睦砟睿瑯?gòu)建審計重大錯報風險評估框架,同時將先進的計算機審計技術應用于多樣性的分析性復核中,建立一套科學的評估系統(tǒng)以便較為準確地識別、評估審計中的風險因素,以期達到有效避免盲目審計,合理分配審計資源,有針對性地執(zhí)行審計程序,發(fā)現(xiàn)重大錯報,從而實現(xiàn)降低審計風險的目的。顧曉安(2006)以新國際審計準則中重大錯報風險評估體系的內(nèi)容為基礎,針對如何將從企業(yè)及環(huán)境了解到的風險因素與認定層次可能發(fā)生的重大錯報相聯(lián)系,提出了首先通過業(yè)務循環(huán)來進行風險因素的識別、篩選和初步風險評估,再將業(yè)務循環(huán)的風險同報表認定層次相對應的兩階段風險評估法,并設計和描述在專家系統(tǒng)平臺上實施該風險評估系統(tǒng)的系統(tǒng)結(jié)構(gòu)、功能模塊和操作流程。目前,這些方法仍在不斷發(fā)展和完善之中,其名稱和內(nèi)容雖然并不完全相同,但本質(zhì)都屬于現(xiàn)代風險導向?qū)徲嫛Ec之前的著重于靜態(tài)風險評估不同,本文建立了動態(tài)評估方法體系,研究審計風險評估的過程步驟,從每一步驟人手,分析其風險組成,并進行歸納、分層,提出一個審計風險評估的三維分析概念模型,由此建立審計風險與審計策略的關聯(lián)關系。
二、審計風險的動態(tài)評估過程
Knechel教授認為,現(xiàn)代風險導向?qū)徲嫹椒☉蓛刹糠纸M成,即風險的評估和根據(jù)風險評估證據(jù)確定用什么樣的測試來獲得證據(jù)。據(jù)此思路,可將審計風險的動態(tài)評估劃分為:確定審計范圍、尋找審計風險點及相適合的審計技術、評價審計風險與對策方案、實施審計策略這四個相互關聯(lián)的步驟(如圖1)。
(一)劃定審計范圍審計人員對企業(yè)的內(nèi)部控制狀況及商業(yè)經(jīng)營環(huán)境進行評估,結(jié)合審計業(yè)務約定數(shù),劃定審計范圍。該范圍不是一旦確定就固定不變的,應隨著審計人對被審計對象的了解加深而不斷調(diào)整。
(二)尋找審計風險點及相適合的審計技術一旦審計范圍確定,就必須根據(jù)審計師的個人經(jīng)驗判斷及審計專家系統(tǒng)提示的信息來尋找風險點,如將各風險因素分配到業(yè)務循環(huán)中,在業(yè)務循環(huán)層次上篩選和分析風險因素,由此將風險具體化,進行初步的風險評估。對風險點進行篩選后,選擇適合的審計技術,如風險分析技術或?qū)嵤┯媱澘刂茰y試、實質(zhì)性測試等對策方案。
(三)評價審計風險與對策方案按優(yōu)先順序排列,再根據(jù)審計力量、審計目標、內(nèi)部控制狀況、商業(yè)經(jīng)營環(huán)境等加以評價。
(四)實施審計策略著重于如何以一種特定的戰(zhàn)略姿態(tài)將審計方案付諸實施。體現(xiàn)了審計人員對不確定性預見與自身能力和資源調(diào)控能力的反復結(jié)合,是一個動態(tài)調(diào)整和不斷發(fā)展的過程,這也是其與傳統(tǒng)靜態(tài)技術評估方法相比的最大不同。動態(tài)評估過程本身對審計人員就是一種學習,而這種學習又充實了這個過程。
三、動態(tài)評估過程中審計風險的識別
風險識別貫穿動態(tài)評估的全過程,要找出所有評估過程中的風險組成,即不確定事件和可能導致重大錯報的原因和條件。按照動態(tài)評估的4個基本步驟來識別審計的風險所在。
(一)確定審計范圍中的風險審計范圍確定的過程又可以稱為審計戰(zhàn)略定位,審計師需要根據(jù)業(yè)務約定書,結(jié)合被審計單位的經(jīng)營歷史、財務狀況,以及審計師自身的技術能力來確定審計范圍。這一范圍的確定過程中,審計師的經(jīng)驗判斷是主要依據(jù),因此存在諸多的不確定性。首先不同的審計師對審計范圍的理解可能會有差異,審計師對被審計對象的了解有限,確定錯誤的審計范圍有可能加大重大錯報的風險;其次被審計對象存在管理舞弊的可能,會刻意引導注冊會計師進入錯誤的審計范圍,從而阻礙注冊會計師通過風險導向?qū)徲媽媹蟊碇卮箦e報風險和經(jīng)營風險聯(lián)系起來從而發(fā)現(xiàn)會計報表的錯報。
(二)尋找風險點及適合審計技術過程中的風險風險點的識別需要借助一定的技術,如重大錯報案例研究技術、業(yè)務循環(huán)控制缺陷識別技術等。限于審計力量,審計師更有可能采用經(jīng)驗判斷來尋找風險點。尋找到風險點后,審計師需用敏銳的眼光識別具有針對性的技術,根據(jù)內(nèi)部技術儲備和外部技術可利用情況來尋找和發(fā)現(xiàn)適合的技術去消除審計風險點,揭示其中關系到重大錯報的可能性。這一步驟的風險表現(xiàn)為:(1)審計師尋找到了錯誤的風險點,導致審計工作無效果;(2)審計師能力不夠,不能采用或者執(zhí)行適合的審計技術;(3)審計技術不完善,存在固有缺陷,導致采用該技術后不能獲得理想的審計成果。
(三)評估過程中的風險按照質(zhì)量控制的原則,對審計風險及對策方案的評估應該由不同的審計師擔任。這是一個將審計資
源技術能力、審計范圍與風險點相匹配的過程。審計機構(gòu)內(nèi)的評估小組必須仔細研究每一項審計技術是否能用于審計風險點揭示,如何服務于審計范圍,是否在審計師的技術能力范圍內(nèi)等。該步驟的風險主要來自評估小組的綜合能力,特別是對審計師所處的被審計對象微觀環(huán)境的判斷和理解,以及如何與審計師自身資源和能力相匹配所帶來的風險。
(四)實施審計策略的風險審計策略的實施貫穿審計全過程,使用動態(tài)評估過程技術,需要審計師根據(jù)審計情況來調(diào)整審計策略,這一過程的風險有:審計師調(diào)整審計策略能力風險,審計師能否關注審計風險早期信號,特別是對這些信號及其變化的認識和理解的差異性。由此及時調(diào)整策略,這樣可以節(jié)省審計成本。
四、審計風險的三維分析
通過上述動態(tài)評估過程主要環(huán)節(jié)中的風險識別,不難看出審計風險的評估過程也是一個風險識別的過程,其風險具有系統(tǒng)性、多維性和動態(tài)性的特點。但風險總是客觀存在的,也是可以通過一定方法測量或預測的,可從風險來源的角度,將過程中錯綜復雜的風險按經(jīng)營及內(nèi)部控制風險、財務風險、審計技術風險三個方向進行歸納,建立三維分析模型,但由于各種風險的遠近、程度不一樣,還須進一步對每個方向上的風險進行分層分析。
(一)經(jīng)營及內(nèi)部控制風險新國際審計準則要求注冊會計師了解企業(yè)及其環(huán)境,包括:行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素;被審計單位的性質(zhì)及對會計政策的選擇和運用;被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險;被審計單位財務業(yè)績的衡量和評價。從相關內(nèi)部控制情況,評估可能的重大錯報風險。
(1)行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素。可能造成重大錯報的行業(yè)狀況、監(jiān)管環(huán)境以及其他外部風險因素,包括競爭環(huán)境、供應商和客戶、技術進步、適用的財務報告準則、法律和政治環(huán)境以及與行業(yè)和企業(yè)相關的環(huán)保要求等。
(2)企業(yè)性質(zhì),包括企業(yè)對會計政策的選擇和應用。企業(yè)性質(zhì)包括產(chǎn)權(quán)結(jié)構(gòu)、組織結(jié)構(gòu)、經(jīng)營項目、籌資和投資。對于企業(yè)性質(zhì)的了解可以使審計人員理解財務報表中交易的類型,并對賬戶余額和披露產(chǎn)生預期;對于所有權(quán)人之間及與其他企業(yè)之間關系的認識可以發(fā)現(xiàn)關聯(lián)方交易并合理地進行評估;如果企業(yè)有復雜的組織結(jié)構(gòu),則要考慮合并報表中可能發(fā)生的錯誤;了解企業(yè)對于會計政策的選擇和應用,考慮是否適合于企業(yè)經(jīng)營性質(zhì),與相關行業(yè)所用的會計制度是否一致等。這些考慮和關注對重大錯報風險的評估都有著重要作用。
(3)目標和戰(zhàn)略以及相關的經(jīng)營風險。經(jīng)營風險是指對企業(yè)經(jīng)營目標和戰(zhàn)略的實現(xiàn)造成影響的事件和狀況,大多數(shù)經(jīng)營風險最終都會有財務后果,會對報表產(chǎn)生影響,但并不是所有的經(jīng)營風險都會造成重大錯報。
(4)企業(yè)財務業(yè)績的衡量和評估方法。不管是內(nèi)部還是外部的業(yè)績評估都會對企業(yè)產(chǎn)生壓力,從而使得管理人員改善經(jīng)營業(yè)績或者直接對財務報表進行粉飾。對于企業(yè)業(yè)績衡量方法的了解可以使審計人員判斷管理層行為是否會增加重大錯報的風險。
(5)內(nèi)部控制。控制活動可能對于某項特別性質(zhì)的業(yè)務或者賬戶余額的單個認定產(chǎn)生影響。如企業(yè)建立的用來保證其員工準確地計算和記錄存貨的控制活動就直接同存貨賬戶余額的完整性和存在性認定相關。
(二)財務風險來源財務風險來源分析是通過常規(guī)財務分析、財務失敗風險分析、財務舞弊風險分析三個部分來完成的。常規(guī)財務分析主要通過盈利能力、償債能力等的五力分析模型來完成,分析評價常規(guī)的財務指標。財務失敗風險分析主要通過z模型等來完成,對財務情況進行預警。財務舞弊分析是審計風險分析需重點關注的內(nèi)容,實證研究的結(jié)果表明,自從凈資產(chǎn)收益(ROE)作為上市公司申請配股的依據(jù)之一,上市公司在ROE數(shù)據(jù)上存在著明顯的操縱行為;而單位負責人又是造成會計信息失真的主體因素。管理舞弊是管理層試圖以舞弊財務報表為手段獲得更多的機會利益,獨立審計師如不能查出這種舞弊行為,就須承擔法律責任,管理層與審計人員之間存在嚴重的利益沖突,因此管理層不可能真正地配合獨立審計師有效地實施審計工作,由此帶來巨大的審計風險。
(三)審計技術風險來源現(xiàn)代審計已形成系列的技術方法,用于審計師對重大錯報風險(RMM)、重大缺陷風險(RMW)和檢查風險(DR)的評估。較常用的如審計抽樣技術,該技術存在抽樣風險,即審計師依據(jù)抽樣結(jié)果得出的結(jié)論與對審計對象總體執(zhí)行同一審計程序所得到的結(jié)論可能不相符合。又如,業(yè)務實質(zhì)性測試,該技術目的是確定原始憑證與記賬憑證是否相符、賬務處理是否正確,而“一條龍造假”表現(xiàn)為假賬真做,特別是在當前信息化環(huán)境下,大量的單據(jù)是電腦自動生成的,均能做到賬證相符、賬務處理正確,賬表相符,因此就電腦賬下審計人員再實施交易業(yè)務實質(zhì)性測試,驗證賬賬、賬表是否相符也便失去了意義。再如,分析性測試,該技術是指注冊會計師分析被審計單位重要的比率或趨勢,包括調(diào)查這些比率或趨勢的異常變動及其與預期數(shù)額和相關信息的差異。目的是評價業(yè)務和余額的總體合理性。我國《獨立審計具體準則第11號――分析性復核》指出,“如果分析性復核使用的是內(nèi)部控制生成的信息,而內(nèi)部控制失效,注冊會計師不應該信賴這些信息及分析性復核的結(jié)果”,并且分析性程序究竟能在多大程度上提供有用的實質(zhì)性證據(jù),還取決于其在具體情況下的可靠性。
這里所說的重視程度不夠包括兩類人。一是單位領導重視不夠。有些單位領導特別是有些非營利性組織的單位領導,由于不用考慮盈利問題,所以大都對內(nèi)部審計的作用沒有充分認識,雖然形式上表現(xiàn)得很重視,但實際上心里不大瞧得起。“說起來非常重要,用起來比較次要,做起來基本不要”,對于內(nèi)部審計信息技術要不斷發(fā)展,相應要增加人、財、物的投入不感興趣。進行流程再造?更是覺得在沒事找事!;二是有些內(nèi)部審計人員自己也不夠重視。這些內(nèi)審人員往往有比較長的審計工作經(jīng)歷,經(jīng)驗豐富、業(yè)績突出,對于近幾年才蓬勃發(fā)展起來的內(nèi)部審計信息技術不屑一顧,認為自己原來沒有信息技術,工作一樣做得好,現(xiàn)在再花時間精力學習新知識,不值得,更遑論進行什么流程再造,不再造不也工作這么多年了嗎?還造什么!
二、人才問題還有很大的短板
我國目前內(nèi)部審計人員大多數(shù)都是財務出身,對于信息技術,實踐操作一下可以,要說在實踐中基于信息技術進行流程再造,恐怕就力不從心了,而難得有一些學歷高、審計和信息技術兼修的人員也基本上在政府部門或大專院校里,離一線的工作很遠,客觀上造成了我國目前內(nèi)部審計信息化很難取得突破,要想在此基礎上進行流程再造更是難上加難。雖然面臨著不少的困難,我們?nèi)匀豢梢栽谛畔⒓夹g的基礎上,對審計工作進行流程再造,以使得內(nèi)部審計工作更完善,幫助單位創(chuàng)造更多的價值。
三、基于信息技術的內(nèi)部審計流程再造展望
筆者經(jīng)過多年的思考與實踐認為,要想使內(nèi)審工作有一個突破性的進展,必須要換一種思路。為此,筆者提出一個創(chuàng)新概念—“審計再造”。
1、定義
所謂審計再造,是指:充分運用信息技術,對內(nèi)部審計工作的流程進行合理的重新設計完善,希望取得更大的收益或更高的效率。
2、前提假設
筆者給這個概念的運用提出一個前提假設,就是本文所論述的“審計再造”,只適合內(nèi)部審計,而不適用于外部審計。為什么要提出這樣一個假設條件呢?因為這是和內(nèi)部審計與外部審計的工作目標不同相聯(lián)系的。內(nèi)部審計與外部審計的工作目標完全不同。外部審計的目的就是要確認單位提供報表的完整性、真實性、合規(guī)性,只有能夠?qū)蟊硖岢龃_認意見,外部審計的任務就算是完成了,目的也就達到了。而內(nèi)部審計的根本目的是要使單位增值,如果是非營利性單位也是要資源利用和管理效率更高。從外部審計和內(nèi)部審計的工作目標不同我們可以想到:外部審計不用為被審計單位做過多管理方面的考慮,而內(nèi)部審計則要本著為單位增值服務的思想去審計,才有可能進行下一步的工作,也就是進行“審計再造”。
3、實際運用前景
目前實際“審計再造”這個創(chuàng)新概念還有待完善,尚未在相關領域得到大規(guī)模運用。以我國目前情況,比較正規(guī)的單位,內(nèi)部審計工作的信息技術基本上與單位內(nèi)部網(wǎng)絡系統(tǒng)相結(jié)合,已經(jīng)得到一定的普及,看似發(fā)展空間已經(jīng)很小,但是如果換一個思路,也就是用“審計再造”理論來指導審計,那么信息化技術將完全海闊天空,能夠為企業(yè)發(fā)展做出更大的貢獻。下面試舉兩例說明:
(1)在對組織進行生產(chǎn)管理的全面審計中,由于要涉及從原材料到產(chǎn)成品的整個生產(chǎn)管理過程,從計劃到組織,從領導到控制,這個過程可能涉及眾多的人員、設備、生產(chǎn)工序。傳統(tǒng)的審計工作程序由于各種限制因素,特別是大量數(shù)據(jù)的及時有效處理,各種非數(shù)據(jù)信息的準確及時傳達等等,因此并不深入研究這些生產(chǎn)過程和工序是否合理,是否有可改進的空間,而如果基于現(xiàn)代信息技術,采用“審計再造”觀念,那么在審計相關內(nèi)容時,就可以對單位的生產(chǎn)管理流程進行有效審計,考核是否有需要完善的地方。顯然,這個工作量是非常大的,但這也為信息技術的運用提供了一個巨大的舞臺。基于現(xiàn)代信息技術的內(nèi)部審計,對組織重新確定關鍵生產(chǎn)工序和關鍵生產(chǎn)路線,重新計算生產(chǎn)時間、資源和成本,重新繪制作業(yè)網(wǎng)絡圖,不斷改善生產(chǎn)計劃,以求得綜合優(yōu)化方案,還有大量的各種管理信息及時準確地溝通交流等等,從而達到為企業(yè)審計增值的目的。
關鍵詞:計算機;審計技;風險
一、開展計算機審計工作的緊迫性及必要性
首先,審計對象的擴展化,給審計提出了新課題。計算機信息系統(tǒng)環(huán)境下的審計對象,除手工環(huán)境下的審計對象以外,信息的載體得以擴展,出現(xiàn)了新的信息載體。其次,繞過電算化系統(tǒng)的審計,很難有效地發(fā)揮審計職能。隨著會計電算化水平的提高,如果審計人員不懂得計算機,不了解電算系統(tǒng),只能依賴被審單位提供打印的賬頁進行審計。再次,傳統(tǒng)審計的信息反饋能力弱,與信息化的時代要求不適應。 隨著現(xiàn)代科學技術的進步,信息化進程日益加快,紙質(zhì)賬本將為電子數(shù)據(jù)所代替,開展計算機審計必不可少。
二、審計過程
首先,做好計算機審計的組織準備。在審前調(diào)查之前,審計組人員應當熟悉項目要求,并配備有一定計算機基礎的審計人員。其次,進行數(shù)據(jù)采集。根據(jù)目前財務軟件系統(tǒng)的特點,數(shù)據(jù)采集大致有三種方法:直接拷貝數(shù)據(jù)庫文件實現(xiàn)數(shù)據(jù)下載;運用財務軟件或?qū)S脮嬡浖凶詭У臄?shù)據(jù)導出功能實現(xiàn)數(shù)據(jù)下載;運用“ODBC”技術實現(xiàn)跨系統(tǒng)、跨平臺的數(shù)據(jù)采集。再次,數(shù)據(jù)轉(zhuǎn)換及初步分析整理。面對當前財務軟件種類和版本號多種多樣,財務數(shù)據(jù)結(jié)構(gòu)差異很大的情況,AO系統(tǒng)提供了強大的數(shù)據(jù)采集和轉(zhuǎn)換接口功能。一是財務備份數(shù)據(jù)轉(zhuǎn)換方法。通過AO系統(tǒng)自帶的或從金審網(wǎng)站下載的數(shù)據(jù)轉(zhuǎn)換模版,審計人員很輕松就能完成財務軟件備份數(shù)據(jù)的采集和轉(zhuǎn)換。二是數(shù)據(jù)庫數(shù)據(jù)轉(zhuǎn)換方法。財務備份數(shù)據(jù)轉(zhuǎn)換方法雖然簡單、好操作,但最大的問題是如果沒有對應轉(zhuǎn)換模板,則無法實現(xiàn)財務數(shù)據(jù)轉(zhuǎn)換,而且有些轉(zhuǎn)換模板需要安大型裝數(shù)據(jù)庫(如SQL Server)后臺服務器端,有時由于一些不明原因,也會出現(xiàn)不能正常轉(zhuǎn)換的情況;為了解決這個問題,AO系統(tǒng)同時提供了數(shù)據(jù)庫數(shù)據(jù)轉(zhuǎn)換方法,用于轉(zhuǎn)換財務備份數(shù)據(jù)轉(zhuǎn)換方法不能轉(zhuǎn)換的財務數(shù)據(jù)。而且使用這種方法,在第一次數(shù)據(jù)轉(zhuǎn)換成功后,可以將轉(zhuǎn)換過程制作為轉(zhuǎn)換模版,再遇到同類數(shù)據(jù)時使用以前制作的轉(zhuǎn)換模板,即可實現(xiàn)自動轉(zhuǎn)換。轉(zhuǎn)換模版可以導入、導出,實現(xiàn)共享。另外,對電子數(shù)據(jù)進行進一步分析、整理及對數(shù)據(jù)進行趨勢、結(jié)構(gòu)等宏觀性分析相結(jié)合。
三、計算機審計存在的風險及對策
(一)存在的風險
傳統(tǒng)審計線索逐漸消失,增加了審計風險;審計技術、方法日趨復雜,必然會帶來審計風險;在動態(tài)中進行審計取證較難,也存在一定的審計風險;會計系統(tǒng)內(nèi)控制度的改變,也增加了審計風險;審計人員計算機知識的缺乏,造成審計風險。
(二)對策
1.保證審計數(shù)據(jù)的完整性
為保證審計數(shù)據(jù)的完整和準確,審計人員在審計時必須認真檢查被審計單位所提供的數(shù)據(jù)是否真實、是否屬審計時間范圍內(nèi)的財務數(shù)據(jù),是否屬結(jié)賬后的數(shù)據(jù),財務數(shù)據(jù)是否有紙質(zhì)賬冊、報表相配套。同時,審計人員獲得的財務數(shù)據(jù),應該是被審計單位財務人員對財務數(shù)據(jù)作現(xiàn)場備份所得的。
2.選擇恰當?shù)膶徲嫹椒ㄅc技術
審計人員可以根據(jù)被審計單位不同的會計信息系統(tǒng)而采取不同的審計方法和技術,從而有效地降低審計風險。當打印文件充分且與被審計單位輸入輸出聯(lián)系比較密切能直接核對時,則可采用繞過計算機的審計方法,用核對、復核、分析等審計技術;當被審計單位采用實時處理,紙質(zhì)的審計線索較少且輸入輸出不能直接核對時,則可采用計算機審計的方法;當被審計單位采用每時每刻都在運行的會計信息系統(tǒng),審計過程中不能終止工作時,則可采用制度基礎法,首先對被審計單位計算機會計信息系統(tǒng)的一般控制和應用控制進行審查,根據(jù)一般控制和應用控制審查的結(jié)果決定抽查的重點、范圍和方法,這樣,既可以降低審計風險,又可以減少對被審計系統(tǒng)正常工作的影響。
3.積極取得被審計單位的支持和配合
在進行計算機審計時,如果被審計單位的財務人員、操作人員不予配合,把存在磁性介質(zhì)當中以及會計信息系統(tǒng)中的財務數(shù)據(jù)進行加密、修改、刪除、隱匿等,則審計人員很難進行審查,因此,審計時應積極取得被審計單位的支持和配合,來降低審計風險。
4.努力開發(fā)實用高效的審計軟件
為了給計算機審計打開通道,就必須不斷研究開發(fā)審計軟件。在數(shù)據(jù)采集方面,要求這種軟件能夠容易訪問被審計單位不同介質(zhì)、不同編碼、不同數(shù)據(jù)類型的數(shù)據(jù)庫,從中采集審計所需的原始數(shù)據(jù)。在數(shù)據(jù)分析方面,在現(xiàn)有審計軟件功能的基礎上進一步開發(fā)新的分析工具。例如:針對企業(yè)審計領域的固定資產(chǎn)折舊審計工具和產(chǎn)品利潤情況分析工具等,針對金融審計領域的利率檢查工具等。在增加面向特定領域的分析同時,還要增加一些基于特定方法的分析工具,如賬戶分析、比較分析等。只有開發(fā)出實用高效的審計軟件,才能解決因?qū)徲嬡浖旧淼娜毕菟鶐淼膶徲嬶L險。
5.加強審計人員的培訓學習,提高審計人員的素質(zhì)
應定期對審計人員進行培訓,強化審計人員后續(xù)教育準則的實施和執(zhí)行。不斷更新審計人員的知識結(jié)構(gòu),提高他們的技術水平和職業(yè)判斷能力。在新的審計環(huán)境下,尤其要加強計算機應用技術、數(shù)據(jù)處理技術和網(wǎng)絡知識的培訓,培養(yǎng)復合型的審計人才,以更好地適應審計環(huán)境變化,出色地完成審計任務。強化審計機構(gòu)和審計人員的風險意識,降低計算機審計風險。審計機構(gòu)要在獨立、客觀、公正的原則下建立自律性的運行機制,大力加強對審計人員的專業(yè)教育和職業(yè)道德教育,規(guī)范審計程序和審計證據(jù)的取得,完善自身的質(zhì)量控制制度。審計人員在加強專業(yè)學習的同時,應加強職業(yè)道德修養(yǎng),強化風險意識,嚴格依照審計準則進行審計,以降低審計風險。
隨著現(xiàn)代審計體系、審計理論的不斷發(fā)展和完善,計算機審計作為不可缺少的審計方法與技術,在審計“免疫系統(tǒng)”功能中發(fā)揮著越來越大的作用。因此,要充分發(fā)揮計算機審計的這一優(yōu)勢,做好預警工作,為國家制定宏觀政策提供依據(jù),促進法律法規(guī)的不斷完善。
參考文獻:
[1]蘇運法.《計算機審計研究》.清華大學出版社
關鍵詞:審計;數(shù)據(jù)挖掘;計算機審計;技術;應用
中圖分類號:F239 文獻標識碼:A 文章編號:1009-3044(2013)15-3445-02
隨著網(wǎng)絡的發(fā)展,我國的審計事業(yè)步入了計算機審計時代,這樣以來大大提高了審計工作的效率。在實際審計過程中,審計人員還要改變自身的審計分析思路,要打破傳統(tǒng)的審計模式,能夠運用系統(tǒng)論的思維,以全局的觀點、聯(lián)系的觀點,把握事物的總體和各部分之間的聯(lián)系,從而發(fā)現(xiàn)其中的規(guī)律。可以借助于一種數(shù)據(jù)分析工具——數(shù)據(jù)挖掘技術,它能夠幫助審計人員從海量數(shù)據(jù)當中,發(fā)現(xiàn)數(shù)據(jù)背后潛在的聯(lián)系和規(guī)律。
1 數(shù)據(jù)挖掘的定義和常用技術
數(shù)據(jù)挖掘(DM),就是從大量的、不完全的、有噪聲的、模糊的、隨機的數(shù)據(jù)中,提取出隱含在其中的、人們事先不知道的、但又是潛在的、有用的信息和知識的一種過程。
通過數(shù)據(jù)挖掘,不但可以來完善、豐富數(shù)據(jù)庫,也為用戶決策提供數(shù)據(jù)支持。常用的技術有以下幾種:
1.1關聯(lián)分析
關聯(lián)分析的目的是為了找出數(shù)據(jù)庫中隱含的關聯(lián)規(guī)則。
1.2分類
分類對數(shù)據(jù)概念的描述建立模型,再用這個模型來進行分類,生成一系列的分類規(guī)則,用于對其他的數(shù)據(jù)進行分類,從而更好地理解數(shù)據(jù)庫中的內(nèi)容。
1.3預測
預測就是找出歷史數(shù)據(jù)之間的變化規(guī)律,建立相應的模型,可以獲得當前數(shù)據(jù)的未來變化趨勢,所具有的屬性值的范圍、種類和特征等。常用的方法是回歸分析法。
1.4聚類分析
聚類是一個將數(shù)據(jù)集劃分為若干組或類的過程,類似于人們常說的“物以類聚”。
1.5偏差檢測
數(shù)據(jù)庫中的數(shù)據(jù)之間存在著很多異常的情況,稱為偏差。這些偏差包括很多潛在且有用的知識,如分類中的反常實例、模式的特例等。
1.6時序模式分析
通過時間序列搜索出重復發(fā)生概率比較高的模式。
在實際審計過程中,選擇合適的挖掘技術能給審計工作帶來很大的幫助,而且不同的挖掘技術應用的對象也不同。
2 數(shù)據(jù)挖掘的應用價值
從審計角度來看,數(shù)據(jù)挖掘就是根據(jù)事先明確的審計目標,對被審計單位的大量業(yè)務數(shù)據(jù)進行分析,揭示其中潛在的邏輯關系和規(guī)律,并進而形成明確且有效的審計思路的過程。
數(shù)據(jù)挖掘技術在審計中的應用價值,主要體現(xiàn)在可以依據(jù)其發(fā)現(xiàn)的知識來構(gòu)建審計分析模型,將其運用到實際的審計業(yè)務中,可以大大提高審計工作的效率。比如,通過對銀行信用卡惡意透支的歷史數(shù)據(jù)進行數(shù)據(jù)挖掘,可以發(fā)現(xiàn)“信用卡惡意透支與信用卡客戶的收入狀況、平均消費額、職業(yè)、年齡等客戶屬性之間的聯(lián)系”這類知識,以此為基礎構(gòu)建出相應的審計分析模型并運用到被審計銀行的當前信用卡業(yè)務數(shù)據(jù)中,審計人員就可以快速確定審計重點。
3 數(shù)據(jù)挖掘技術在計算機審計中的應用操作步驟
一般來說,數(shù)據(jù)挖掘技術在計算機審計中的操作步驟主要有以下幾步:
3.1審計業(yè)務問題的定義
指的是要明確審計時需要發(fā)現(xiàn)什么信息、解決什么問題。這個定義驅(qū)動了整個數(shù)據(jù)挖掘的過程,是整個挖掘過程的基礎,也是檢驗最后結(jié)果的依據(jù)。
3.2數(shù)據(jù)準備
這個環(huán)節(jié)包括數(shù)據(jù)采集、數(shù)據(jù)清理和數(shù)據(jù)預處理三項內(nèi)容。
數(shù)據(jù)采集要盡可能地采集所有與需要解決的審計業(yè)務問題密切相關的數(shù)據(jù)。
數(shù)據(jù)清理將采集到的數(shù)據(jù)經(jīng)過數(shù)據(jù)清理形成審計中間表,這些審計中間表就成為數(shù)據(jù)挖掘模型的實例數(shù)據(jù)集。
數(shù)據(jù)預處理工作首先進行數(shù)據(jù)集成,整合來自不同數(shù)據(jù)源中的數(shù)據(jù),然后從集成的數(shù)據(jù)庫中選擇性地提取用與挖掘的數(shù)據(jù),最后再對選擇的數(shù)據(jù)進行投影、歸一化變換等處理,方便進行下一步的數(shù)據(jù)挖掘。
3.3建立模型,挖掘數(shù)據(jù)
設計人員(包括經(jīng)驗豐富的審計人員)對預處理好的數(shù)據(jù)進行分析,選用合適的數(shù)據(jù)挖掘技術和方法,生成適合挖掘的數(shù)據(jù)模型。模型建立的好壞關系到數(shù)據(jù)挖掘結(jié)果的正確與否,可以說是整個挖掘過程的核心。模型不是一成不變的,需要經(jīng)過反復的修改調(diào)整,最后才能成為適合當前的審計任務要求的挖掘模型。
利用建立好的模型,進行數(shù)據(jù)挖掘,輸入相關審計數(shù)據(jù),會得到具體的結(jié)果,或者數(shù)據(jù)間的規(guī)律。審計業(yè)務人員要根據(jù)這些結(jié)果,對模型以及模型的輸入?yún)?shù)值進行多次的修正和完善,以利于得出正確的挖掘結(jié)果。
3.4分析評價結(jié)果
將挖掘模型最后得到的正確的結(jié)果,提供給審計人員。審計人員根據(jù)審計任務要求和被審計對象的特征來分析得到到的挖掘結(jié)果,得到明確有效的審計思路,從而得出正確的審計結(jié)論。有些結(jié)果可能會為發(fā)現(xiàn)審計問題提供線索,審計人員可以根據(jù)這些線索進一步地追查相關的資料,發(fā)現(xiàn)問題所在。
以上幾個步驟在實際的審計過程中,往往不是一次完成,中間的某些步驟可能需要反復進行,這要根據(jù)當前階段和將要實施階段的審計任務要求來定。
4 結(jié)論
雖然數(shù)據(jù)挖掘技術在計算機審計應用,還處于初級階段,還需要進一步的研究,不斷地探索和完善。但是我們也看到了它在計算機審計領域的優(yōu)勢。在教育、金融、企業(yè)、經(jīng)濟責任等各行業(yè)的審計工作中,面對龐大的、復雜的數(shù)據(jù)庫,使用數(shù)據(jù)挖掘技術,可以讓審計人員在審計過程中迅速把握總體,從海量數(shù)據(jù)中根據(jù)需要找出有用的知識信息以及數(shù)據(jù)間潛在的規(guī)律和聯(lián)系,進一步提高審計工作的效率,并為領導的正確決策提供數(shù)據(jù)支持。
參考文獻:
[1] 牛麗敏.Apriori算法分析與改進綜述[J].桂林電子科技大學學報,2007,27(4): 25-29.
[2] 韓家煒.數(shù)據(jù)挖掘概念與技術[M].北京:機械工業(yè)出版社,2000.
[3] (美)Mehmed Kantardzic.數(shù)據(jù)挖掘-概念、模型、方法和算法[M].北京:清華大學出版社,2003.
[4] 胡俊俊,孫靜.一種新型的計算機審計模型[J].計算機應用研究,2008.
關鍵詞:信息管理;案例分析法;信息技術;財務報表審計
一、引言
自從互聯(lián)網(wǎng)與信息技術普及以來,財務會計由做手工賬轉(zhuǎn)變?yōu)槔脮嬰娝慊M行辦公,自此,在也沒有看到賬房先生點著油燈打算盤了。科技的進步極大地解放了生產(chǎn)力,在會計領域也是如此,通過相關會計核算軟件,會計工作人員只需要將憑證、單據(jù)、發(fā)票簡單分類處理后錄入系統(tǒng)即可,只要錄入時沒有出現(xiàn)錯誤,進入系統(tǒng)后,計算機會進行自動核算。這淘汰了一部分年齡大并且對計算機不熟悉的會計從業(yè)者。智能時代的來臨,讓一切變得更加猝不及防,人工智能機器人可以自動給掃描憑證、單據(jù)、發(fā)票掃描,直接分類核算,64位密集糾錯,甚至連簡單的審計都免掉了。這也給財務人員造成恐慌,大面積的失業(yè)會不會提前來臨?信息技術、人工智能的發(fā)展對會計、審計的工作人員又產(chǎn)生什么影響?本文在信息管理、財務管理的理論基礎上,對信息技術及財務報表審計的影響展開研究,通過對現(xiàn)狀分析、案例分析,發(fā)現(xiàn)其存在的問題,并提出相關建議。
二、現(xiàn)狀
隨著互聯(lián)網(wǎng)信息技術的快速發(fā)展,對財務報表的內(nèi)部審計和外部審計方法模式上也由傳統(tǒng)的純?nèi)斯な止げ橘~審計向人機協(xié)作審計模式轉(zhuǎn)變。企業(yè)內(nèi)部審計,主要包括確定資產(chǎn)存在性、判斷資產(chǎn)計價的公允性、避免過分高估或者低估資產(chǎn)、測試收入成本和費用、分析是否符合會計政策的要求。其中,判斷資產(chǎn)的公允性以及測試收入成本費用涉及到審查數(shù)據(jù)核算的計算機可以快速掃描輸入、進行運算、結(jié)果輸出,省去了大量的時間成本和人工的機會成本。外部網(wǎng)絡審計是指審計人員對被審計單位進行審計時,不必像之前一般對著如山般的賬簿進行核算審查,常常需要長時間高強度工作,而現(xiàn)在只需要利用互聯(lián)網(wǎng)和現(xiàn)代信息技術,通過人機協(xié)作的模式對被審計單位的財務報表合規(guī)性、真實性和有效性進行遠程審計。目前,隨著電子商務的蓬勃興起,越來越多商家選擇利用計算機網(wǎng)絡依靠商務平臺進行的交易和商務服務活動,主要表現(xiàn)在商務交易不再是先看貨,然后一手交錢一手交貨;商務服務也不單單依靠紙面文件以及單據(jù)的傳送,而是借助于計算機技術和信息技術、網(wǎng)絡互聯(lián)技術和現(xiàn)代通訊技術來全面實現(xiàn)電子化的交易和結(jié)算過程。電子商務更大程度上依托互聯(lián)網(wǎng)的特點在審計工作的范圍、內(nèi)容、可行性、風險等方面都產(chǎn)生了重大影響。
三、案例分析
目前,墨西哥國家稅務總局將信息技術對財務報表的審計轉(zhuǎn)變?yōu)橐环N新的方式并且在2016年7月通過最高法院確保了其合憲性。即通過互聯(lián)網(wǎng)電子審計,稅務當局可以通過電子方式執(zhí)行監(jiān)督與審計流程,并通過電子方式與納稅人溝通,納稅人可以通過申請AcuerdoConclusivo協(xié)議,確保其被審計材料在保護狀態(tài),納稅人也可以利用這個渠道尋求稅務幫助,通過協(xié)商的手段,解決被審計納稅人與稅務局之間存在的分歧,避免了耗時長和費用貴的申訴流程。墨西哥國家稅務總局給人口眾多的發(fā)展中國家一個很好的示范,行政事業(yè)單位率先進行改革,從法律制度上承認信息技術對財務報表審計的合法性與合規(guī)性,并且給予技術支持保證信息安全。這大大減少了人們使用的后顧之憂,有利于越來越多的會計師事務所、審計機構(gòu)進行轉(zhuǎn)型,更大程度上借助網(wǎng)絡信息技術,對被審計單位進行遠程網(wǎng)絡審計。
四、問題分析
(一)電磁化會計信息不易保存
毋庸置疑,隨著無紙化辦公的進程加快,傳統(tǒng)的紙質(zhì)憑證、賬簿、報表可能會被電子會計信息代替。電子會計信息是指將會計信息儲存在網(wǎng)絡系統(tǒng)中,很顯然這比紙質(zhì)的更易被破壞。如果保存不好,即使從網(wǎng)絡系統(tǒng)中存儲在磁性介質(zhì)上,會計信息依然會因介質(zhì)的破壞而丟失。而且值得注意的是,存儲風險會因為時間加長變大,如果數(shù)據(jù)丟失或大面積泄露,不僅增加了審計的難度而且會給企業(yè)造成無法預估的損失。
(二)忽視網(wǎng)絡信息系統(tǒng)審查
在信息技術廣泛應用的大背景下,除了對傳統(tǒng)財務內(nèi)容進行審計外,還需要對信息系統(tǒng)開發(fā)、運行、控制環(huán)節(jié)進行審查。尤其在電子商務環(huán)境下,對互聯(lián)網(wǎng)的依賴程度更大,并且固有的技術風險決定了審計內(nèi)容必須包括對網(wǎng)絡信息系統(tǒng)處理和控制功能的審查,以證實其業(yè)務處理的真實性、安全性、合法性。大多數(shù)企業(yè)忽視對網(wǎng)絡信息系統(tǒng)的審查,這使審計信息可能會出現(xiàn)一定程度的偏差甚至是錯誤。由于全面依靠互聯(lián)網(wǎng)信息技術,交易與金錢往來都是在網(wǎng)絡系統(tǒng)各工作站上完成的,因此,審計應漸漸從事后審計轉(zhuǎn)為實時審計,全方位地評價網(wǎng)絡交易的安全性以及財務報告存在的風險要素,從而降低經(jīng)營風險、提高審計質(zhì)量。
(三)信息技術對財務報表審計難以做到絕對保密
眾所周知,互聯(lián)網(wǎng)系統(tǒng)具有分散性、開放性、受眾群體數(shù)量多等特點,其安全保密性問題一直是困擾大多數(shù)企業(yè)的問題。信息技術系統(tǒng)一方面面臨故障的風險,如果發(fā)生故障,就會造成全企業(yè)的癱瘓財務工作的崩潰;另一方面還面臨數(shù)據(jù)庫財務網(wǎng)站有可能遭到攻擊的非系統(tǒng)風險、計算機病毒攻擊的風險。此外,若信息系統(tǒng)的設計存在漏洞,而財務工作者在運用中并沒有發(fā)現(xiàn),則可能給企業(yè)的內(nèi)部控制造成隱性風險。
(四)審計人員的計算機知識不完善
審計人員的計算機知識、網(wǎng)絡技術不高,也給信息技術對財務報表審計造成困難。在信息化大數(shù)據(jù)背景下,審計的方式和內(nèi)容都發(fā)生了改變,對缺乏計算機、網(wǎng)絡技術相關知識的審計人員,會因為方式改變而不能識別、審查企業(yè)的隱性風險,從而對評價結(jié)果和審計結(jié)論的產(chǎn)生消極影響。
五、對策建議
(一)審計線索方面的追蹤審查
在信息化背景下,應該針對審計線索在系統(tǒng)內(nèi)建立專門原始數(shù)據(jù)的備份、完善大數(shù)據(jù)和追蹤軟件,多部門相互監(jiān)督,使審計線索得以保留。同時,通過遠程審計監(jiān)管、突擊檢查的方式,對財會工作人員和程序員的系統(tǒng)進行檢查,以維護數(shù)據(jù)庫安全。
(二)重視對內(nèi)部控制內(nèi)容審計
重視對內(nèi)部控制內(nèi)容的審計是指要做到對財務數(shù)據(jù)全流程的管控,包括信息技術部門對信息化財務系統(tǒng)的維護。第一、明確權(quán)限與指責,在財務部門內(nèi)部,將職責和權(quán)限進行劃分,不能讓不同崗位的工作人員擁有相同的權(quán)限,以此來形成互相監(jiān)管的模式。第二、成立財務數(shù)據(jù)庫,原始數(shù)據(jù)必須先上傳再入賬處理分析,而且原始數(shù)據(jù)不容隨意更改,如要更改應由主管監(jiān)督。同時,每一步的審計應將數(shù)據(jù)上傳,各部門之間既相互獨立又互相聯(lián)系,彼此制約。
(三)加快信息技術財務審計法規(guī)的建立完善
第一、要認真推動信息化審計法律法規(guī)建設,既要認識到其提高工作效率的優(yōu)越性,也不能忽視其自身的問題,應盡快提出制定相關法律法規(guī)的意見。第二、信息技術應用于財務會計領域,需要對傳統(tǒng)的審計準則體系重新進行審視和思考,新的審計準則應該順應時代的趨勢,充分考慮其在信息化、大數(shù)據(jù)背景下的創(chuàng)造性。用法規(guī)和制度保障信息化審計的合法性、合規(guī)性。
(四)加快信息化審計人才的培養(yǎng)
在此背景下,審計人員除了應當具備審計知識經(jīng)驗還應當對基礎信息知識有一定的了解。審計人員是信息技術應用于財務報表審計工作的關鍵,但是傳統(tǒng)的審計人員往往忽略了自身對信息技術的要求。市場對復合型審計人才的缺口很大,也是未來審計工作發(fā)展重要一環(huán)。第一、審計人員應該具有危機意識,如果自身不轉(zhuǎn)變,很有可能被即將到來的財務機器人代替簡單的審計工作;第二、企業(yè)也要意識到信息網(wǎng)絡對財務報表審計存在的兩面性,應鼓勵審計人員、會計人員主動學習信息化審計知識,及時查明風險,做好應對措施。第三、國家和政府也應該加大對審計人員工作轉(zhuǎn)型的引導,鼓勵培養(yǎng)復合型審計人才。
【關鍵詞】 審計風險 審計效率 抽樣方法
實踐是檢驗真理的唯一標準,本文通過在各審計現(xiàn)場廣泛的數(shù)據(jù)采集工作搜集到的大量素材和案例資料而形成最終的研究結(jié)論以及重要的意見。通過對審計抽樣技術與方法的研究和實踐,可以認為:
第一,審計統(tǒng)計抽樣對于以真實性為目標的審計,是一種能大幅度提高工作效率;量化并控制審計風險;規(guī)范審計行為;提高審計工作質(zhì)量的審計技術方法,特別是在外部環(huán)境條件具備時恰當運用,采用該技術方法效果顯著。
第二,通過較為廣泛的考察與調(diào)研,我們認為對于國家審計所針對的國有大中型企業(yè)為主的審計對象都初步建立了財會電算系統(tǒng)。因此,可以肯定,以計算機為主要輔助手段的審計統(tǒng)計抽樣技術與方法在國家審計領域中可以推廣使用,并隨著被審對象電算環(huán)境的完善及自行開發(fā)的技術方法逐步成熟,該技術方法必會體現(xiàn)十分有效的作用。
第三,審計職業(yè)判斷是所有審計技術與方法的基礎,審計判斷抽樣與審計統(tǒng)計抽樣也必須同樣遵循這一原則,任何抽樣方法必須依靠職業(yè)判斷來作出最終的結(jié)論。不同方法的結(jié)合運用,重要的是能夠甄別使用環(huán)境、結(jié)合工作效率選擇恰當?shù)奶幹梅椒ā?/p>
第四,非統(tǒng)計抽樣其技術與方法相對成熟,在國內(nèi)審計實務中已大量使用,國內(nèi)注冊會計已有相應執(zhí)業(yè)規(guī)范,國家審計可參照制定自己相應規(guī)范和標準。通過研討交流,我們認為判斷抽樣國內(nèi)注冊會計師的做法,相對來說已較為成熟,基本符合我國國情,可以對其剖析移植,理由是國家審計調(diào)整到以真實性審計為主要目標后,已與社會審計目標日趨一致。
第五,統(tǒng)計抽樣從審計目標的總體來看,比判斷抽樣言有更高的工作效率和更精確的結(jié)果,但受外部環(huán)境制約,其適應性差于判斷抽樣,在實務操作中,兩種方法有機結(jié)合,是一種較為完美的做法,但這對審計人員的基本素質(zhì),至少是對方案編制者有較高的要求。
第六,對于審計抽樣內(nèi)部質(zhì)量控制問題需要特別的予以關注和重視,一個樣本誤距、誤受對總體的影響可能是樣本本身的幾十倍甚至幾百倍,從審計風險的角度來講造成覺察風險的擴大,但這種人為的風險可以研究通過內(nèi)部審計質(zhì)量控制來加以防范。主要有以個兩個方面的控制:
首先,通過審計調(diào)查了解各業(yè)務流程關鍵控制點設置審計工作質(zhì)量控制關鍵點進行預先控制。通過審前調(diào)查了解各業(yè)務流程關鍵控制點,從而設置審計工作質(zhì)量控制關鍵點,進行預先控制,審前調(diào)查是否深入、細致、全面,直接影響審計質(zhì)量,也影響審計工作效率、成本。其次,建立人員內(nèi)部質(zhì)量控制管理體制。在審計現(xiàn)場,審計組質(zhì)量負責人根據(jù)審計程序表、操作流程表等,針對現(xiàn)場審計實際情況,編制抽樣樣本審核要素表,保證必要的審計項目和步驟得以高質(zhì)量的執(zhí)行,并將審計工作負責人通過抽查復核審計人員現(xiàn)場工作表來保證工作質(zhì)量,進行審計現(xiàn)場控制。
我們目前編制的《審計程序表》及《計算機統(tǒng)計抽樣流程表》,除作為二級方案指導現(xiàn)場審計使用外,其中一個極重要的作用就是強化現(xiàn)場審計質(zhì)量控制,防范審計風險。
第七,根據(jù)項目組目前所取得的資料,企業(yè)財務數(shù)據(jù)庫,我們經(jīng)綜合分析、比較、測試后,目前所得出的結(jié)論是一般財務數(shù)據(jù)總體分布不能很好地遵循正態(tài)分布,因此,我們趨向于重點采用泊松分布的貨幣單位抽樣方法。
第八,審計統(tǒng)計抽樣必須緊密結(jié)合計算機技術,才能充分發(fā)揮其優(yōu)勢,在審計實務中脫離計算機技術支撐,審計統(tǒng)計抽樣將失去實際意義。
第九,抽樣參數(shù)的確定涉及到國家審計體系模式及內(nèi)控制度評價技術方法,目前來講,有制度基礎審計和分險基礎審計的區(qū)別,因此,需組織專家專題研究確定。
第十,必須建立統(tǒng)計抽樣標準和統(tǒng)計抽樣操作指南。下面我們從技術方法角度來研究描述問題,對相關問題提出具體建議:
首先,標準可解決統(tǒng)計抽樣參數(shù)設置問題。根據(jù)我們在現(xiàn)場操作的體會,抽樣參數(shù)主要依靠職業(yè)判斷來決定,至少目前還沒有嚴格的教學模型說明能通過嚴密的數(shù)學計算得出。因此,對這種帶有人為主觀因素參數(shù)的設置,應通過標準限制在一定的范圍之內(nèi),以保證審計風險落在可接受的范圍之內(nèi),又不使工作量大而失去抽樣意義。
其次,對于統(tǒng)計抽樣有關參數(shù)標準,根據(jù)我們的研究和實踐,在一般情況下,初步推薦在如下范圍內(nèi)考慮,在今后大量的測試和審計實踐中逐步調(diào)整、完善。①最小總體量項數(shù):小于300;②可信賴程度的聚會區(qū)間:按我國實際情況建議為85%~95%;③可容忍誤差的最大取值:不大于總體的10%;④樣本量的最小值:數(shù)理統(tǒng)計理論研究表明,最少應不小于30個;⑤結(jié)論評價標準:一是完全接受的表述與條件;二是完全否定的表述與條件;三是抽樣結(jié)果處臨界值時,通過替代程序或是調(diào)整參數(shù),補充說明后作出結(jié)論的表述與條件。
對于實質(zhì)性測試還應有以下要求:①試探樣本量取值標準:如取30或50,建議50;②隨機數(shù)表、電子隨機數(shù)產(chǎn)生的技術標準:由審計署統(tǒng)一標準和認可。
