时间:2022-11-06 18:57:29
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
会计信息系统是由计算机、网络、操作系统、数据库管理系统、会计软件、数据文件、会计和系统管理人员等组成的人机交互系统。
二、会计信息化审计程序探析
会计信息系统审计的基本程序与普通审计并无明显差异,整个过程包括审计准备、审计实施、审计终结三个阶段。每个阶段又包括若干具体工作内容。
1、会计信息系统审计准备阶段
此阶段是整个审计过程的起点,其工作主要是初步调查被审计单位会计信息系统的基本状况,初步评价内部控制制度,分析审计风险,编制审计工作计划。1)明确会计信息系统审计目标。确定审计目标,明确审计任务,便于对完成情况进行检查和考核。2)成立会计信息系统审计小组。会计信息系统审计的专业性和技术性较强,组成审计小组要考虑成员的专业特长,进行合理配置。3)审前调查,了解被审计单位会计信息系统的基本情况。4)制订审计计划。5)向被审计单位发送审计通知书。
2、会计信息系统审计实施阶段
在完成了所有准备阶段工作之后,就进入具体的审计实施阶段。1)对被审计单位会计信息系统整体安全性、可靠性进行检查和测试。2)对被审计单位的会计信息系统内部控制制度进行健全性调查和符合性测试。健全性调查主要包括:与相关人员面谈和交流,实地检查内控制度的执行情况;发放内部控制情况调查表进行书面调查;深入审查一般控制和应用控制在实际工作中的作用;发现控制的弱点确定需要进行符合性测试的一般控制点和应用控制点。3)对账、表、单、证或数据文件进行实质性审查和测试。在完成了上述工作之后,审计人员还需要对被审计单位会计信息系统的账、表、单、证或数据文件进行实质性审查和测试,验证其真实性,公充性和完整性。4)利用计算机辅助审计对数据和程序文件进行审计。
3、会计信息系统终结阶段
在完成了审计实施阶段的工作之后,就进入会计信息系统审计的终结阶段。主要工作有:1)整理归纳审计证据。在对会计信息系统实施审计后,对收集到的分散的个别证据进行整理归纳,形成完整的审计资料。2)复核审计工作底稿。审计工作底稿是审计人员在审计工作中汇总综合分析审计资料所形成的书面文件。审计工作底稿对形成正确的审计结论有着重要的意义,对审计工作底稿反映的有关问题必须进行复核。3)撰写审计报告。审计报告是审计工作的最终成果。它是在经过上述审计程序之后,审计小组根据获取的审计证据和审计工作底稿进行综合分析后编制的。4)提出审计结论和建议。根据审计报告内容提出审计结论和意见。5)建立审计档案。及时进行审计资料的归档,建立审计档案,不仅是档案建设的需要,而且也为今后的审计工作提供一份可以借鉴或参考的资料。
三、信息化审计技术分析
审计技术是审计过程中所采用的专门技术。审计对象在信息化方面的迅速发展变化,客观上要求审计工作采用一些适合于计算机系统的审计技术,提高审计效率,提高审计质量。会计信息系统审计技术主要有内部控制风险评价技术、数据库和数据文件审计技术。
1、风险评价
内部控制的审查和评价主要是要找出影响内部控制的风险因素,也就是要剖析内部控制的薄弱环节,防范可能存在的风险,以便采取适当的补救措施。其基本步骤如下。1)风险评价证据的收集。审计工作是重证据的,风险评估也必须以证据为基础。因而在进行内部控制的风险评估工作时,审计人员的首要任务就是收集各种评价证据,并以工作底稿的形式形成相关审计文档,如资产安全性风险评价底稿、会计信息系统软件可靠性风险评价底稿等。2)风险证据的量化。在收集审计证据,制作工作底稿的基础上,审计人员还需要根据会计信息系统的特点和实际工作情况,使用计算机辅助审计程序,对每类底稿的各项明细指标进行计量处理,并按对风险影响的程度大小进行排序,以便为明确审计重点指明方向。3)编制系统整体风险分析表。在对工作底稿中的相关风险指标进行量化排序之后,审计人员已经基本明确了要重点进行审计的明细项目,并对高风险的明细项目进行详细审计。
关键词:审计准则 审计技术 持续审计
一、持续审计的内涵与特点
持续审计是指独立审计师对委托项目的相关事项,以一系列实时或短时间内生成的审计报告对其提供书面认证,为提高审计质量、降低审计风险,而将审计投入到整个组织运行流程中的一种实时审计。持续审计是审计发展的高级阶段,结合了计算机技术和网络技术,不仅继承了审计本身的特点,还具有传统审计无法比拟的优点。(1)持续性。持续审计贯穿整个审计周期,对被审计数据和系统进行持续监控和审计,是现代信息技术为持续审计提供的一个技术支撑。(2)及时性。能够在管理者需要时或发现异常时,自动进行审计处理,为相关利益者提供信息。目前财务报表的需求周期越来越短,持续审计相比以季度、年度或更长时间为周期的审计活动,更具时效性。(3)基于例外异常事项审计,使决策者能够随时掌握可能出现的异常情况,及时采取措施进行改进,避免更严重的异常发生。(4)整合性。持续审计要求,不仅在财务方面,而且在整个企业级,包括管理系统和控制系统,都要进行持续审计和监控。持续审计的整合性将审计提到了一个宏观的高度,全面地服务于整个企业,这也是持续审计的最终目的。
二、实施持续审计的必要性与可能性
信息技术的广泛应用,电子商务活动的深入开展及新审计准则的,为实施持续审计方法提供了必要与可能。
(一)及时收集被审计单位信息。企业在生产经营过程中,由于存在不确定因素,企业风险在所难免。当面临经营失败和财务失败的威胁时,被审计单位可能发生重大的错报。通过了解被审计单位及其环境有利于了解被审计单位面临的风险,进而评价被审计单位产生重大错报风险的可能性,降低审计风险。随着知识经济时代的来临、经济全球化的发展、市场竞争的加剧,被审计单位及其环境在一定时期内将发生很大的变化。注册会计师应及时了解被审计单位及其环境以评估重大错报风险,必须持续收集和分析被审计单位的信息。在传统的审计方式下,一般采用定期了解的方法,即只在签订审计业务约定书和执行外勤工作时了解被审计单位及其环境,难以实时获得准确可靠的信息。《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》第五条提出“了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。”
(二)及时获取充分适当的电子证据。随着信息技术的广泛应用、电子商务活动的深入开展,企业的经营活动与信息系统的联系愈来愈紧密,越来越多的数据资料采用电子文档的方式保存。某些电子化的审计证据只在某一特定时点存在,难以实时获取充分适当的电子审计证据。《中国注册会计师审计准则第1633号――电子商务对财务报表审计的影响》指出:“电子商务系统高度自动化或未保留包含审计轨迹的电子证据的情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。”
(三)对实时财务报告进行审计。随着网络技术的广泛应用,被审计单位采用信息技术在网站公布本单位的财务报告逐渐成为主流。这些财务报告采用实时生成系统,报告周期较短。其作为被审计单位出具的财务报告,也构成注册会计师审计的对象。《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》第四条要求,财务报表要在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。
三、持续审计技术实施现状
经过国内外学者近二十年的潜心研究和相关工作者的努力实践,持续审计技术已经迈出了一大步,但目前持续审计技术实施水平仍然较低。
(一)持续审计功能的开发和使用程度较低。持续审计功能强大,Alles等(2009)认为,持续审计功能包括持续控制监控CCM(Continuous Control Monitoring)和持续数据审计CDA(Continuous Data Assurance)。在技术上,持续审计已经初步达到自动化和智能化。但在实际中,持续审计实施远未达到相应的自动化和智能化程度,持续审计功能仅限于数据的持续审计,内部控制和持续监控实施程度很低。虽然通用审计软件已经市场化和商品化,但其功能大多是审计数据处理能力,功能简单,不能适应灵活的审计需求,难以体现持续审计的特点。
(二)持续审计实施差距较大,应用上存在诸多问题。由于信息化程度不同,以及资金和技术资源的限制,持续审计技术在不同地区、不同企业实施条件和水平相差较大,在整体上对以联网审计和在线审计技术为基础的持续审计造成了一定的阻碍。国外一些信息化程度较高的公司,尤其是使用ERP系统的大型公司,持续审计实施程度虽然较高,但也存在着很多问题。Debreceny(2005)认为,虽然EMAs在ERP系统中的效用潜力很大,但调查表明,EAMs在技术上虽是可行的,但ERP解决方案提供商对EAMs的支持度有限,认为ERP用户对EAMs缺乏需求。Kuhn等(2010)通过比较ERP系统环境下EAMs、EMA Ghosting和MCL的特点,表明采用EAMs和EAM Ghosting在效率、兼容性及实施维护方面都会引起高昂的成本,三种系统都会产生信息超载和警报泛滥的问题。
持续审计是信息化环境下的产物,现代信息技术已经能够支持自动化、智能化的持续审计工作。然而现状表明,广泛的实际审计工作应用仍然存在着困难,需要开发更具适应性和灵活性的技术。另外,在网络环境下,安全问题也是一个重要的因素,如Charles等(2007)基于Agent的持续审计模型ABCAM,所有客户端系统都可以访问审计Agent,而该模型还没有完善的权限授予机制,公司业务和财务数据很容易被窃取。虽然有数字认证,但目前还处于理论研究阶段,仍有很多实际相关内容需要考虑。
(三)持续审计实施缺乏相关法律法规。持续审计的顺利实施需要有相应的法律法规提供安全保障。21世纪初期,安然公司的崩塌反映出内部控制制度、行业自律制度等存在着严重的问题,会计审计的规范也不够健全。因此,美国颁布“Sarbanes-Oxley”法,并陆续出台了企业内部控制标准、注册会计师审计标准、管理层内部控制自我评估概念公告和解释性指南,构建了完善的相互配套的体系。其他国家虽然也相继制定有关制度法规,但仍然不够完善,在借鉴其他国家的做法时存着适应性问题。2008年爆发的金融危机,反映了全球金融证券市场缺乏相应的监管制度和法规,同时也揭示了会计审计对经济监管缺乏力度。在即将或正在面临的持续审计环境下,我国加入信息化元素的审计法律法规更是相对缺乏,其制定和完善需要更多的努力。
(四)持续审计过程开发和实施成本较高。被审计单位的信息系统建设包括硬件系统建设和软件系统建设。硬件系统包括企业购买的基础设施,如电脑、服务器、网络设施等;软件系统包括实施持续审计所需要的操作系统,如数据仓库、数据集市等。企业的信息化建设需要较大的初期建设成本,尤其是信息化程度较低的企业,如IT环境配置、相关软硬件购置。持续审计工作的正常顺利进行,还需要对原有审计人员进行培训,也将产生一定的费用。此外,在持续审计实施和开展过程中,一些投资回报很难量化、估算,在很大程度上会影响决策者制定决策。这些都要求决策者仔细权衡是否和如何实施持续审计。
四、持续审计技术面临的挑战与对策
持续审计实施现状表明,将持续审计技术研究成果应用于实践,还有很多问题需要解决,而持续审计要达到一定程度上的应用和推广,将面临着巨大的挑战。
(一)加强持续审计技术的理论研究。持续审计在国外已经得到了广泛的应用和研究。目前我国对持续审计相关方面的研究很少,大部分仅仅是对国外文献的翻译和评述,没有做更深一步的研究。要想实现持续审计技术在我国的普遍应用,国内学者应吸取国外学者的先进经验并考虑我国的实际情况,加强有关持续审计的理论研究,为有效地实施持续审计提供理论依据和基础,为实践工作提供方向和指南。
(二)加快企业信息化建设。持续审计是对信息化条件下企业的财务信息系统和内部控制系统进行持续监控和审计,需要审计端和被审计端通过网络进行良好的沟通。能够对被审计单位实施持续审计的必要条件之一,就是被审计单位必须拥有安全、可靠、完整、持续的信息系统。随着信息全球化的发展,虽然我国部分单位实现了电子商务与电子信息交换技术,但总体来说我国的信息化建设存在着严重的不平衡现象,大部分企业的信息化建设较为落后。为了能够提供持续审计的基础条件,国家应该对信息化建设较为落后的企业进行鼓励和支持。
(三)持续审计的实施需要企业高层人员及其他相关利益者的支持。持续审计是对传统审计的一次改革,以持续审计代替传统审计,公司审计计划可能会遭到破坏,或者成本增加;除非有明显的利润,否则公司不希望对一个还能正常运转的程序进行改动,因为存在潜在的危害。在持续审计执行过程中,需要实施一些安全措施,使企业运作和审计系统处于安全稳定状态。另外,持续审计的实施对审计人员有很大的影响,企业需要对审计人员给予高度信任,传统的审计人员也必须克服心理障碍,学习相应的IT技术以适应新的审计方式。
(四)政府推动持续审计实践。普华永道于2006年对实施持续审计的审计人员进行调查,发现被调查者中有超过半数的审计人员正在实施持续审计。在我国的审计主体中,政府审计信息化是其他主体实现审计信息化的基础和源泉。随着信息技术的飞速发展,我国政府为了维护良好的经济市场秩序于1998年开始筹备金审工程,主要目标是对财政部门、银行机构、税务机关和海关等国有性质的大中型单位实施数据的实时跟踪,确定数据的来源及去向,从而杜绝舞弊的发生、维护良好的经济秩序,其总体目标是实现事后审计向事中审计转变,历史的静态数据的审计向实时的动态审计转变,现场审计向远程的非现场审计转变。虽然金审工程没有明确提出持续审计的概念,但其主要目标和总体目标与持续审计的目标相一致,充分体现了持续审计的思想。财政部2010年12月在《关于实施企业会计准则通用分类标准的通知》中公布了首批实施会计准则通用分类标准企业名单,将XBRL技术在我国应用推上了一个平台。XBRL技术的出现给审计带来挑战的同时也给持续审计带来了机遇,它使得持续审计技术在成本和技术上更加可行。所以,政府部门应加快对持续审计研究的步伐,以便其在全国其他审计主体进行推广。
(五)提高审计人员素质。持续审计要求审计人员具备一定的能力来正确的操作有关的系统并明白系统是如何运作的,这就意味着审计人员需要具备各个方面的知识,包括信息技术、审计、会计等。我国的审计人员大部分是会计、审计出身,对IT技术的掌握和了解少之又少。如果要对被审计单位进行持续审计,审计人员就必须具有足够的信息系统知识、计算机技术知识和审计知识。根据目前审计人员的素质结构,我国有关组织和部门如中国注册会计师协会应增加各种培训,包括数据库基础知识培训、XBRL网络财务报告培训、持续审计的有关知识和应用的培训等。
参考文献:
1.饶艳超,陈建勇.持续审计理论、技术及其在国内商业银行的应用[J].财政监督,2012,(23):57-60.
2.何芹.论持续审计理论之进步[J].中国管理信息化,2009,(18):49-51.
3.杨黎明.基于资本市场的持续审计功效分析[J].经济问题,2009,(11):110-113.
4.安宁.构建我国持续审计变迁的制度环境[J].中国注册会计师,2011,(7):64-67.
在信息技术迅猛发展的背景下,国家电网公司为满足集约化和精益化管理要求,初步完成SGERP系统以及SG186工程的实施与推广,并通过“三集五大”体系建设,重新整合内部生产关系和业务链条。电网企业内部变革使审计所面临的风险管控压力与日俱增,具体表现在:一方面审计对象信息化管理覆盖面越来越广,基本实现横向集成、纵向贯通,新的管控模式和数据交换平台初步形成,改变了过去的记录和存储方式,电子化、无纸化使得企业对经营信息的要求上升到了实时化和在线化阶段;另一方面信息技术进步已经为远程在线审计和自动化风险在线监测提供了完备的技术支撑,在此基础上如何使审计实现模式上的突破与创新,真正实现智能化持续审计模式的应用已成为内部审计事业发展的必然趋势。电网企业在审计信息化方面建立起“一个系统和三大平台”,已经初步实现了审计手段信息化,但审计信息化运用如何更好服务于企业当前发展,服务于“三集五大”和谐运转提升,进一步系统的、实时的揭示内部控制体系中的全面风险,正是实践电网智能化持续审计模式必然面对的课题。
二、相关理论回顾
(一)持续审计理论发展 目前国内理论界对持续审计尚未形成统一定义,根据AICPA和CICA的研究报告,持续审计是“独立审计师用以委托项目的相关事项以一系列实时或短时间内生产的审计报告,对其提供书面见证的一套审计方法”,这里只是把持续审计看成是一种基于时间管理的审计方法,特点是在事件发生的当时或者稍后极短的时间内进行审计,涉及到审计活动的各个程序,包括计划、风险评估、测试等,是内部审计师在一个更加连续的基础上执行审计相关活动的方法,其目的是持续评价内部控制的有效性,监测事项和活动的正确性。但是从现代企业风险管控理念来说,在强大的信息技术平台支持下,持续审计不仅仅是一种审计方法,还是一种对整个业务链条进行实时监控与智能化风险甄别的审计模式,更加强调在高度信息化条件下,通过对系统中数据实时的采集、挖掘、监测与分析,实现自动化风险分析和预警,并启动智能化应急机制。
笔者认为,新形势下提出的智能化持续审计,从涵义上可理解为在完备的信息化环境下,审计师通过信息系统工具对特定事项进行全流程的数据化监测与风险控制的过程,且包括对该事项的持续改进效果的最终评估。因此持续审计与现代信息技术相结合以后,持续审计已不再局限于审计方法的范畴,而是成为内部审计的创新模式,并在未来审计事业的发展中成为主流。智能化持续审计的持续性和即时性,贯穿于风险评估、审计实施、审计整改等各个阶段,在审计事项发生后立即进行审计,根据需要随着开展,增强了审计信息的可靠性和相关性;并注重例外事项调查,突出风险预警机制建立,对与定义规则存在差异数据即时触发审计警报,关注被审单位内部控制的适当性和有效性,评价企业经营风险和机制体系建设;能够有效的将“自上而下”与“自下而上”方法相结合,审计师考虑被审单位的经营风险和内部控制,管理层侧重于将设定的自动化程序应用到特定的交易,整合审计过程。持续审计基本过程如图1所示。
(二)持续审计的优势 (1)时间意义。传统审计通常一年仅实施一次,工作耗时,需要被审单位大量配合和基础性工作,而智能化持续审计可以降低审计人员时间成本,提高审计实效性,在短时间内生成或立即提供适时的保证报告形成对被审单位持续审计循环。(2)目标意义。智能化持续审计将审计工作中心由传统的“财务报表”向“系统和经营成果”转变;关注数据互通、系统安全性与正确性,相较于传统“事后”审计更关注整个过程,关注整体过程和风险。(3)交换意义。智能化持续审计可以获得更多更丰富的信息,使审计人员更有效的与被审单位、上级机关进行沟通;审计人员可以迅速从基础数据中获取与其职责相关的控制信息,明确权利与责任,了解自身活动如何与他人工作联系以及例外情况如何报告及处理的途径。(4)管控意义。智能化持续审计运用信息系统可用于测试全年的连续交易,同时保证样本量,甚至可以保证100%的数据被检查,检查数据归集、处理更加快速有效,相较于传统人工测试及抽样检查,可以降低审计成本、提高审计质量。持续审计的比较优势如图2。
与现有理论成果相比,本文立足于电网企业信息化实际,以电网企业实践作为研究的基础,从战略意义、现实需要、战略要素等多维度挖掘电网企业智能化持续审计的实施方式,试图建立一个拥有目标定位、相互作用、体系完善的电网企业智能化持续审计模式。
三、基于电网企业的智能化持续审计实践探索
(一)电网企业审计信息系统运营现状及差距 2011年以来,伴随着电网企业ERP系统全面上线,按照审计信息化要求,信息系统“一个系统、三个平台”(ERP业务审计系统中审计门户系统建成审计学习工作交流平台,审计综合管理系统建成风险识别分析平台,管控业务审计系统建成数据式审计技术平台,如图3)也全面步入实践阶段,但仍存在提升空间。
目前学习交流平台虽然已搭建了经济责任审计、工程审计、信息化审计等交流模块,但交流内容较少,人气不足;同时审计理念、风险审计等模块未能实现即时更新;互相学习、知识共享机制还未能快速到位,存在滞后性,部分缺乏实践效果。同时,风险识别分析平台的风险识别缺乏前瞻性,仅仅是对过去审计发现问题进行分类和甄别,未能从电网总体层面进行分析;同时缺乏行之有效的多维度统计分析体系,导向性不足。在数据式审计技术平台上,SG186工程与SGERP业务审计系统融合度不够,未能实时结合审计需求,完善系统功能;数据的前期管控力度有待提升,部分整合数据出入较大,审计信息化标准还不完善。
(二)智能化持续审计在电网企业应用定位分析 国家审计署2012年明确提出“不发展信息化,审计事业就没有出路”,把审计信息化提到如此高度,要求进一步加强内部审计工作,探索创新审计模式,压缩审计管理链条,内部审计工作越来越注重自身发展战略和发展方向的实时研究和把控,风险管理已经成为内部审计的一项重要职责。外部环境要求现有审计人员,不仅要能够有效甄别财务风险,更要能分析企业战略定位和管控模式;而智能化持续审计依托信息化,能够有效的辅助审计人员开展企业风险管理,提高效率,提升效果。基于电网企业内部环境现状调研,可以发现,电网企业目前现存的三大信息化系统,已经基本实现对审计计划、内容、方法、整改及知识交流的全覆盖,然而在运用过程中,由于公司系统信息化建设的快速发展,ERP业务审计系统个别功能还不完善,审计业务系统与职能部门业务系统相关数据未能同步更新,影响审计系统的实际应用;多种信息化平台的并存也给基层电网企业运用带来一定困难,普遍缺乏推进审计信息化的思路,缺少明确的工作目标和切实有力的措施。同时电网企业审计人员对信息的需求也发生了变化,关注角度由历史数据向实时信息转变,关注范围由整体数据向重点数据转变,关注方式由存在性向相关性、一致性和及时性转变;而智能化持续审计能够电网企业部分信息实时性上的不足,与审计人员需求相适应,与电网企业内部审计关口前移、重心下沉的要求相符合。
(三)智能化持续审计在电网企业应用效果分析 分析电网企业现有技术可以看出,目前现行的审计系统,尤其是审计ERP管控系统,通过数据式审计技术平台,实时自动化采集企业内部的经营数据,实时反映企业内部的风险,有效实现事前预防和事中控制,审计系统目前已能够高度自动化地截取和操作数据,实现穿透测试和控制查询,并在短时间内生成高度可靠的信息报告,基本可以提供一个符合智能化持续审计要求的信息化操作平台。分析建立智能化持续审计成本收益可以看出,一方面,智能化持续审计的数据穿透力和覆盖面,有助于获取更加及时和优质的审计成果,可以为企业发展战略规划和经营管理管控提供更有效、更富有针对性的信息,降低电网企业传统审计方式下的资源、成本消耗;另一方面,智能化持续审计模式改变了传统审计方式方法,在建设“三型两化”企业过程中,不仅可以最大程度合理分配审计人员自身精力,也为信息化企业建设提供更加有力的途径,重要信息资源可以便捷、高效的在电网企业各层级之间传递,为降低风险提供一个可持续性的解决方案。从机制转变层面分析,一方面,电网企业投资、管理是连续进行的,是一个过程,一个循环的结束就是另一个循环的开始。以财务数据来说,相互之间存在关联,必要时需要进行定期更新和复核,尤其是现金支出这种高风险项目,智能化持续审计模式更能符合常态化控制测试的要求。另一方面,过去的审计方式方法已经不足以分析现行信息化数据,随着电网企业ERP系统与审计ERP系统之间已经打通了安全有效的数据通道,在标准化的基础上,财务系统、核心业务系统之间的数据接口已经打通,综合测试、平行模拟等方法只有通过嵌入式审计模块才能更好的利用数据进行分析,对企业发展现状进行实时把控。
(四)电网企业实施智能化持续审计模式战略要点
(1)智能化持续审计的安全环境。一是物理安全控制。随着电网企业ERP系统逐步规范,已基本完成对空白数据的收集,但同时在数据录入过程中,可能会存在数据失真的情形,电网企业可以利用条管企业优势,建立前期数据录入职责规范,实现人员职责分离,构建专人录入、专人核对、主管审核机制。二是逻辑安全控制。智能化持续审计模式依赖于现代信息技术,但如果系统进入途径和防护模式不当,可以导致企业内部数据泄露,所以系统的逻辑安全性是智能化持续审计的前提。
(2)多路互平台的建立和整合是实施智能化持续审计的基础。一是整合业务系统。审计ERP管控系统作为数据式审计的技术平台,处于电网企业现存三大审计信息化平台的核心地位;本文认为,电网企业可以进一步对现有系统进行平台、数据、组件、应用集成,使各个审计信息平台相互贯通,通过数据传输通道搜寻数据,互相比对数据,发现危险源点。从实践运用看,可以通过打开与审计门户、综合管理系统之间的信息通道,可以使得风险识别机制融入到审计技术平台之中,同时可以使得审计报告后续整改和审计经验交流更加贴近于实际操作,便于审计人员的掌握和使用。二是构建多路互平台。在整合现有审计系统的基础上,尝试建立接口,运用嵌入式审计模块技术,将现行审计程序嵌入进去,实现技术简单、经济适用的审计同步性能,从而使被审单位服务器与审计机构服务器共存于一个平台,构建审计人员实施智能化持续审计的基础。
(3)规范化的服务协议是实施智能化持续审计的关键。一是规范实施流程。鉴于电网企业无持续审计规程可循,加之审计人员队伍整体信息化水平有待提高,在规范流程时,电网企业可以在现有机制下考虑充分吸收借鉴国内外先进经验。二是完善交互标准。智能化持续审计的实施,交互标准是关键,电网企业开展智能化持续审计必须从系统开发和应用两个方面进行完善。在开发环节,需要制定标准,开展可行性研究,将审计人员纳入到研究与设计过程中,形成有效的内部控制方案;在应用环节,必须确保应用过程的准确、安全、可靠,内控人员适时核查。
(4)有效的数据传送速率是实施智能化持续审计的手段。一是设立数据标杆。智能化持续审计对数据的及时性和有效性要求更为严格,建立数据标杆尤为重要,如涉及财务数据时,可以通过将录入时间、科目一致性、资产折旧等与相关标准的比对,设立准入标杆;也可以通过对会计报表主要项目几年来的变动趋势进行比对后设立标杆数据,如主营业务收入增长率、管理费用增长率、财务费用增长率等,防范不规范数据进入审计信息系统。二是建立数据仓库。数据是开展智能化持续审计最有利的抓手。电网企业应当建立审计数据仓库,作为一个单独的企业数据存储仓,作为一个带有数据获取和数据分析工具的大型数据集,只有被认为会产生企业风险和影响审计风险的经过选择的事项,才能被收集并存储在审计数据仓库中;确保在其他业务系统处理的同时收集证据,将生产经营数据和相关审计证据方便地应用于不同的审计工作中。
(5)畅通的信息沟通渠道是实施智能化持续审计的重点。一是发挥信息监控功能。通过智能化持续审计系统,有效集成和分析专业数据,逐步建立指标自动分析体系,实时进行风险扫描和诊断,在各子系统中加以运用;设立单独的监控预警服务器,设立重要风险阀值,将主要指标和分析性程序引入服务器,从被审单位的业务系统中提取数据后,进行指标分析,在同预定标准库比较后,发送例外报告,提示风险。二是借力数据处理功能。智能化持续审计系统的分析工具,可以帮助审计人员适时查询数据,统计和分析结果;审计人员可以利用信息追溯功能,逆向追溯到信息源头,正向追溯到最终结果,跟踪具体业务流转轨迹。三是保证信息对称。加强沟通,打造信息传输、反馈桥梁,保证被审单位和审计机构信息对称是保障智能化持续审计效果的重点。审计人员通过数据挖掘、信息监控发现的问题、获悉的风险,需要及时传输给被审单位,及时与管理层沟通,提供防控风险的有效建议,保障审计质量;同时被审单位也需要适时了解自身企业管理的不足,及时整改和完善,从而保证审计成果第一时间得到运用,更能够防范被审单位未知风险扩大化。
(6)审计人员素质是实施智能化持续审计的核心。一是提升业务素质。电网企业审计人员大多是会计、审计专业背景出身,缺乏IT技术和电力专业背景。所以,审计人员应熟悉业务流程,了解电子数据与业务的相关性;理解管控措施,主动参与相关的控制活动,保证获取信息及时有效;同时要能够从实质性测试逐步转变到风险控制测试。二是转变审计观念。审计人员应加强对智能化持续审计的理论学习,树立正确的审计观念,注重人力资源、共享与培训、绩效考评,为持续审计的实施打下良好的理念基础;同时电网企业要让审计人员了解到,智能化持续审计对信息实时性的把控和企业风险的防范的重要意义,逐步意识到持续审计代替传统审计的必然趋势。三是引入责任追究。采用定性和定量相结合的评估方式,制定合理的信息化评估标准,建立智能化持续审计质量责任体系,引起基层电网企业的重视和支持;同时将审计信息化项目价值核算紧密挂钩审计人员个人绩效、职业晋级和薪酬分配,建立优胜劣汰的激励机制,为智能化持续审计推广提供保障。
以上所述六个关键要素,不是孤立存在的:其中安全环境是前提,被审单位和审计机构之间的交互平台是基础,交互标准是关键,将双方的数据传递作为抓手,持续做好信息反馈这一重点,审计人员素质能力作为智能化持续审计实施的核心要素,六大要素之间相辅相成、相互作用,共同形成智能化持续审计模式,如图4。
四、结论
综上所述,智能化持续审计是电网企业信息化形势下的新型审计模式,它建构于现有审计系统整合的基础工作之上,又具有自身的运作规律,如何通过有效推动持续化审计模式,形成有效的全面风险管控体系,对促进审计事业发展、创建“两个一流”电网企业具有重大的现实意义。
本文通过对电网企业审计信息化现状分析及经验总结,解读智能化持续审计模式的可行性和必要性,着力于从理论体系、制度保障、数据管控、人员管理及考核机制等多层次阐述智能化持续审计的发展方向,并初步构建智能化持续审计模式。但如何有效落实,如何更好的把智能化持续审计模式与企业精益化管理系统的融合,在今后的研究中,仍需要不断完善;同时,本文仅仅从理论构建、经验和现状相结合的层面对智能化持续审计模式进行探讨,在整体研究内容上尚缺乏必要的实证研究,在今后的工作中需要进行深入的实践性验证。
参考文献:
[1]易仁萍、陈耿、杨明、孙志辉:《数据挖掘技术及其在审计风险管理中的应用》,《审计与经济研究》2003年第1期。
关键词:人民银行;信息技术;审计;风险评估模型
一、引言
随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。
二、央行信息技术审计现状
人民银行自2000年左右提出信息技术审计的概念,经过多年的探索与发展,由对单个重要业务系统逐渐向对机房、数据库等信息技术的核心开展审计,审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域,有效促进了信息系统内部控制和风险管理水平的提高。在此基础上,2009年起,人民银行开展了更具综合性的信息技术应用和系统运行管理专项审计(后称为“科技综合管理专项审计”),该项目涉及分支行科技管理的各个方而,促进了分支行科技管理水平和信息安全意识的提高。同时,在开展的过程中不断深化,融入绩效审计理念,在关注系统安全性的同时,也关注信息系统建设和运行的经济性、效率性和效果性。近两年,央行探索将信息技术审计与业务审计相结合,开展了国库会计核算业务与系统运行管理、二代支付系统等专项审计,力求从业务的角度审视技术的支持保障能力,从技术的角度评估业务的风险防控能力。近几年,传统的合规性信息技术审计所依赖的审计依据往往跟不上信息技术的发展和变化,同时也较多依赖审计人员的个人能力,审计中缺乏重点,虽然而而俱到,但审计成果琐碎平淡,缺少深度和建设性。因此,信息技术审计人员必须在审计中引入风险导向审计模式,不断地向技术的更深层而挖掘风险,不断提升审计成果的附加值和说服力。
三、央行信息技术风险评估模型构建
风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。
(一)风险识别
风险识别是风险评估工作的基础和关键环节,只有了解和掌握被审计业务领域存在的具体风险事件,才能进一步开展评估、实施审计。风险识别程序要求采用一种有计划的、经过深思熟虑的方法,来识别业务各个方而存在的潜在风险,并识别可能在合理的时间段内影响每项业务的较为重大的风险。信息技术风险是组织在信息处理和信息技术运用过程中产生的可能影响组织目标实现的各种不确定因素,表现形式有自然灾害、人为破坏、设备故障、内部与外部攻击、数据误用、数据丢失以及应用程序错误等。保障人民银行信息安全除了须保障物理环境、网络、主机、应用、数据等技术领域的安全之外,还涉及组织与计划、开发与采购、运维与外包以及应用控制等领域的安全控制。
(二)风险评估
风险评估就是对风险的成本、影响及发生的可能性进行评估,有效的风险管理技术一般会量化风险,运用风险评估模型,针对识别出的“风险事件清单”中的每一项风险事件,依次计算固有风险和剩余风险级别,风险的计算采用加权法,各风险级别均划分为1-4级,1级风险最低,4级风险最高。1.固有风险评估<1)风险事件固有风险评估风险事件固有风险评估是量化评估风险的起点和基础,利用德尔菲法,采用风险矩阵,从风险发生可能性和风险影响程度两个维度进行度量,将两者级别分别标注在风险矩阵的相应区域,交汇区域即为该风险事件的风险级别。风险矩阵如图1所示。<2)业务领域固有风险评估根据风险事件对应业务的业务量及工作量大小确定各风险事件权重,根据风险事件权重及风险等级计算业务领域固有风险级别。业务领域固有风险级别二E(该业务领域风险事件权重X该业务领域风险事件风险级别)一E该业务领域风险事件权重。2.内部控制有效性评估根据搜集的资料以及审计经验,从近期各类信J急技术审计、专项检查结果以及信息技术内部控制变化情况等方而,对各业务领域内部控制进行有效性评估。其中,各类审计、检查结果评定指标为检查频率、所发现问题的数量及严重程度;内部控制变化情况评定指标为问题整改情况以及内部控制变化情况。内部控制有效性越高,对应的风险级别越低,反之,风险级别越高。3.乘余风险评估根据内控有效性的风险,通过剩余风险评估模型计算各业务领域的剩余风险级别。剩余风险级别二(艺各类固有风险权重X风险级别十E各项内部控制有效性权重X风险级别)一<E各类固有风险权重十E各项内部控制有效性权重),其中,各项内部控制有效性权重二25%XE该业务领域风险事件固有风险权重。
(三)风险管理效果评估及结果运用
根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。
(四)案例分析—以科技综合管理专项审计为例
在对某地市中支的科技综合管理专项审计中,笔者结合现场审计情况,运用此模型对被审计单位的信息技术风险管理情况进行评估。根据审计内容,将被审计单位科技综合管理划分成七大业务领域共33类风险事件。七大业务领域分别为内部控制、机房管理、网络管理、系统运维管理、管理、设备采购及外包服务管理,以及应急、备份和文档管理。以机房管理领域为例,共有6类风险事件,根据业务的重要程度、发生可能性以及业务量的大小,结合以往审计经验,利用德尔菲法,依次评定了各风险事件的固有风险、权重以及该业务领域的固有风险,其风险事件清单及固有风险评估见表2所列。根据现场审计情况,并调阅近期对被审计单位科技管理的各项审计、检查材料,对各业务领域的控制有效性风险级别进行评定,并计算出各业务领域的剩余风险以及科技综合管理剩余风险级别。剩余风险评估见表3所列。评估结果显示,被审计对象科技综合管理平均剩余风险级别为2.38,属于“0-2.5”层次,对照《风险管理效果评估表》,该单位的科技风险控制情况较好,可将审计频率定为5年一次,并在审计中重点关注管理、网络管理、机房管理以及设备采购和外包服务管理等风险级别较高领域。
四、建立央行信息技术风险导向审计模式
风险导向审计模式并不仅仅是风险评估,其核心在于围绕风险开展审计,下而将探讨如何围绕风险开展信息技术审计项目,将“风险引导审计,审计关注风险”的理念贯穿于信息技术审计项目的全过程。
(一)以风险为导向编制信息技术审计整体规划
这是风险导向内部审计方法在宏观层而的运用,根据风险评估的结果重新审视和规划信息技术审计的业务范围,各审计对象的审计频率以及审计方式、方法等。可通过构建信息技术风险数据库,从组织机构和业务领域两个维度记录信息技术风险评估数据,根据信息技术风险数据库“自上而下”制定信息技术审计整体规划。在构建信息技术风险数据库时,须根据业务关注度、信息资产的重要性、对信息技术的依赖程度、信息技术人员的专业胜任能力等因素对信息技术管理现状进行一次全而评估。
(二)以风险为导向编制信息技术年度审计计划
参照信息技术审计整体规划编制年度审计计划,优先对高风险领域、高风险机构实施审计。同时,应根据本年度工作重点、热点和难点以及管理层关注事项对年度审计计划作出适当调整,选择被审计对象及业务种类,梳理形成本年度信息技术审计项目清单、审计项目日程表以及审计项目所需资源等。在梳理信息技术审计项目清单时,可根据业务复杂度、业务间关联性等选择对某一个业务领域开展审计,或选择将多个业务领域组合起来开展综合性审计。
(三)以风险为导向开展审计项目
信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。
五、行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
不断加大基于风险导向信息技术审计模式试点工作,加大新审计模式在实际审计项目中的运用探索,不断完善其运用流程、方法等,待时机成熟时出台相关规章制度,为新审计模式的运用提供制度保障,从而建立风险导向信息技术审计模式运用长效机制。
六、深入推进央行信息技术风险导向审计的建议
(一)尽快建立央行风险评估信息数据库
建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
「关键词审计信息技术审计管理科学化
我国审计机关成立二十年来,审计工作取得了很大成绩,积累了宝贵经验。但从总体上说,我国审计工作仍然处于初级阶段,与发达国家相比,我国的审计工作还存在很大的差距,尤其在审计基础工作方面存在一些问题。近来审计署下发的审计工作发展规划中提出,今后五年审计工作的总体目标是,以审计创新为动力,以提升审计成果质量为核心,以加强审计业务管理为基础,以"人、法、技"建设为保障,全面提高审计工作水平,基本实现审计工作法制化、规范化、科学化。在当前的信息环境下,开发审计项目管理软件,运用信息技术实现审计管理的科学化。
一、开发审计项目管理系统的必要性
(一)落实审计项目质量控制,规范审计行为,防范审计风险的重要手段
审计质量是审计工作的生命线。李审计长指出提高审计质量一是靠审计人员的素质,更重要的是依靠审计工作的规范化。自1994年审计法颁布以来,先后了38项审计规范和15个审计准则,其中一部分规范对审计项目的质量控制做了详细的规定,但实际工作中,审计人员并未能严格遵守审计质量控制规范,其审计行为随意性很大,如:审计实施方案的编制前未进行系统的审前调查,审计实施方案的内容不具体,审计实施未严格遵照审计实施方案进行,审计工作底稿与其相应的审计证据关联性不够,审计工作底稿、审计证据的要素填写不规范、不完整,审计报告与审计工作底稿之间的内容不一致等等。法律的生命在于执行,在信息化条件下,将审计机关的审计质量控制规范,通过审计项目管理系统加以控制,确保了审计人员规范审计行为,提高了审计质量,防范了审计风险。
(二)保障审计项目科学管理的重要工具
审计项目管理主要包括审计项目计划管理、审计项目人力资源管理和审计项目信息资源管理三个方面:
1.目前审计机关的审计项目大多是行业性审计,项目大,所涉及的内容广泛,参加的审计人员多,收集或编制的审计资料繁多,如何对审计项目科学管理变得越来越突出,在手工条件下,审计人员对这些庞大的审计项目的管理显然有些力不从心。主要表现在:审计实施方案编制不能细化,普遍存在内容不具体,审计目标不明确,针对性不强,审计重点也不突出,审计人员分工混乱,导致现场审计盲目性大。有的是先审计后补方案,有的是审计工作调整了而审计实施方案并未调整,审计计划的指导、规范和控制作用根本无法保证。利用审计项目管理系统就能很容易地实现审计项目的计划管理,为审计项目的顺利实施提供了保证。
2.在目前审计任务繁重与审计人员力量不足之间的矛盾日益突出的情况下,审计机关领导及项目负责人更加重视对审计人员合理调配。利用该系统可以掌握各审计人员的审计成果及进度情况,并及时按照审计重点调整审计力量,使审计工作达到预期的效果。同时在目前审计工作要求规范的情况下,文档编制整理工作更加占用审计人员的大量时间,据有关部门研究显示,审计人员有超过50%的时间是耗费在制定规划、编写工作底稿、复核工作底稿及准备报告上。该系统的文档编制功能可以使审计人员提高工作效率,缓解审计任务与审计力量之间的矛盾。
3.目前审计机关审计成果的利用效率不高,主要原因是信息渠道不畅通,审计信息资源不能有效共享。而通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。上级审计机关领导可对辖区内的审计项目进行监督检查和查询,并能便于领导掌握第一手的材料。还可对项目审计的全部资料进行归档,形成历史资料,完成信息资料的积累,便于审计机关在以后的审计中利用其成果,尤其是被审计单位连续审计时,对其以前年度审计资料的利用。
(三)为充分利用先进的审计技术方法和工作经验提供平台
1.手工条件下,审计项目的组织管理主要依靠项目负责人,审计项目的成功与否取决于项目负责人的经验,而在实际审计工作中各审计人员之间的业务水平又参差不齐,这也必然影响了审计项目的工作质量和效率,审计风险很高。而将某些成熟的审计程序和审计人员的先进工作经验或按照某行业的审计操作指南编制成模块在审计项目管理系统中加以运用,用于指导项目负责人组织开展审计项目,指导审计人员对具体的审计事项进行审计,一方面提高了审计工作效率,另一方面保证了审计工作质量。
2.当前我国的审计工作也正在发生变化,由帐户基础审计向制度基础审计和风险基础审计过渡,内部控制测试、审计抽样、风险评估、计算机审计等一些先进的审计技术与方法也应在审计工作中加以应用。但在实际审计工作中除计算机审计辅助审计开发应用多一些外,其他的审计方法缺乏自觉的推广应用。究其原因,主要是审计人员对这些新的审计方法还不熟悉,其次是这些审计方法在手工条件下比较烦琐,效率不高。在审计项目管理系统中可以将这些审计方法编制成模块,按照审计实施方案中计划的审计步骤与方法,在审计实施过程中加以应用,通过审计项目管理系统可将先进的审计技术方法和工作经验与项目审计有机地结合为一体,切实提高审计工作的管理水平。
二、设计审计项目管理软件的功能特点
(一)全程控制,规范行为
以审计质量控制体系为依据,将质量控制点部署于整个审计项目实施过程中,由系统自动控制或提示的方式予以实现;并通过用户权限管理,分级实施质量控制。
(二)调控进度,整合资源
根据审计实施方案规定的审计事项,进行分解和分配审计任务,明确审计项目进度计划,掌握实际进度,进行评估,并提示调整人员分工和项目进度。
(三)记录轨迹,落实责任
提供审计日记功能,与审计工作底稿、审计证据相结合,全员、全过程记录审计实施轨迹,清晰反映审计步骤和方法,落实责任。
(四)强化复核,保证质量
提供审计现场组长、业务部门和审计机关专职复核机构的三级复核子系统,使审计质量复核制度得以现场同步实现。
(五)多维查询,决策支持
提供快捷、方便、灵活的检索、查询功能,审计机关领导和业务管理部门可以对审计项目进展、审计人员工作情况进行多角度的检索、查询,及时掌握一手资料,及时监督、指导审计工作,实现审计决策支持。
(六)统一归档,信息共享
系统对审计项目全部资料进行管理,建立审计项目数据关联,统一打包归档,便于审计成果的利用,实现审计资料共享。
(七)制作模板,审计指导
根据审计操作指南及审计人员的工作经验将各行业的审计内容及其相应的审计程序与方法制成模板,以便于审计人员在以后的审计工作中加以利用,切实指导审计人员实施审计,实现具体审计目标。
(八)提供平台,方法调用
将内部控制测试、审计抽样、风险评估、计算机辅助审计等先进的审计技术方法编成程序,通过该系统,根据审计事项调用不同的审计技术和方法,灵活多样地实现审计目标。
三、审计项目管理软件的主要功能
本系统是对审计项目的整个过程进行管理,适合于审计中各种角色的审计人员的使用。系统分为三大功能块:现场审计子系统、领导查询子系统和专职复核子系统,满足不同角色的工作人员的需要。系统根据用户的角色赋予不同的权限,从而实现对系统中不同操作的限制。其主要功能介绍如下:
(一)审计现场管理
此项功能主要体现在现场审计管理子系统中,根据现场审计执行的每一步骤分别实现相关的功能。新建一个审计项目,录入项目的相关内容,确定审计组长及参加项目的所有人员。
为审计项目准备资料,收集被审单位信息,确定审计重点,编制审计实施方案。另外在审计实施过程中还可以对实施方案修改以形成补充方案和修订稿。根据审计实施方案中的审计内容与重点、审计范围等信息,编制审计任务,分配审计人员,确定任务起讫日期,任务负责任人。
任务分配完毕后,审计人员选择任务进行资料收集,必须将每天的工作记录于审计日记中,包括工作的内容,工作的方式。对当天未写日记的审计人员,系统将予以提示并提供自动生成工作日记的功能。
审计人员将在审计实施的过程中发现与事项有关的问题及主要事实和情节记录下来,编制审计证明材料,证据管理提供添加,修改等编辑功能。
【关键词】 信息化; 内部审计技术; 信息技术风险; 计算机辅助审计
随着国家电网公司中信息技术的日益普及和企业信息化的深入开展,跨地区、跨部门的企业集团信息系统、ERP(Enterprise Resource Planning)系统广泛应用,原来所采用的传统内部审计技术方法很难及时地对被审计单位的会计经营信息作出客观评价,不能满足审计信息需求者的管理决策需要,内部审计难以实现增值目标。因此,内部审计采用现代审计方法成为必然。现代审计方法是指能够适应信息化的审计环境,能够对海量数据进行筛选分析,发现疑点和审计线索,从而实现审计目标的审计技术、方法的总称(董伯坤,2007)。本文从信息技术风险评估出发,分析信息化环境下的现代审计技术方法,并在此基础上进一步探索并行持续审计的模式,实现由传统审计向现代审计的转变,从而顺应信息化发展趋势,提高审计效率,降低审计风险。
一、信息技术风险评估
企业信息化的发展给审计技术方法带来变革,例如数据库技术(何玉洁、张俊超,2006)、趋势分析法(黄巧妙、吕天阳、庞琦,2009)等自动化操作和逻辑分析的方法(殷丽丽等,2010),同时更带来审计思维和基本理念的转变,在信息技术风险评估的基础上应用现代审计技术与方法便是一个基本的转变。
信息技术风险是指公司在信息处理和信息技术运用过程中产生的各种不确定因素,这些因素可能对公司的战略、发展、业务和效益等方面产生负面影响,并进而影响公司目标的实现。信息技术风险包括组织层面、一般性控制层面及业务流程层面的信息技术风险等。
信息技术风险评估是指识别、确认、评价公司所面临的与信息技术相关的内、外部风险及其潜在影响的过程。内部审计人员应采用适当的风险评估技术与方法,分析及评价信息技术风险发生的可能性及影响程度,为确定审计目标、范围、重点和方法提供依据。
针对组织层面、一般性控制层面的信息技术风险,审计人员在识别、评估时需要关注:业务关注度;信息资产(包括硬件设备、软件及数据)的重要性;对信息技术及信息技术部门的依赖程度;对外部信息技术服务的依赖程度;信息系统及其运行环境的安全性、可靠性;信息技术变更情况;与信息技术相关的企业标准、规范、规章制度的制定及执行情况等。
业务流程层面的信息技术风险受业务内容的重要性、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。通常,审计人员应了解业务流程并关注数据输入、处理、输出方面的信息技术风险。
内部审计人员应积极开展对信息化环境下风险的分析,充分考虑风险评估的结果,重点关注缺乏控制、重要性程度高以及可能产生舞弊的控制环节,以合理确定信息系统审计的内容及范围,对公司的信息技术内部控制的设计和执行有效性进行测试,并完善内部控制体系。
由于国家电网公司的业务运作更加依赖于信息系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了新的业务风险。因此,公司必须开展和加强信息技术风险评估,并在此基础上对现有内部审计规范、指南等重新进行定义、修改和补充,加强信息系统内部审计工作管理体制建设,统一信息系统内部审计技术标准,明确信息系统内部审计人员技能要求,建立和完善适应信息化环境的内部审计准则体系,尤其把IT控制列为重点,把数据输入、处理和输出控制、信息系统的访问及网络安全作为内部审计的重要内容,使内部审计工作在新的环境下能够顺利进行。
二、信息化环境下内部审计常用技术方法
信息技术/信息系统的应用支撑着大多数关键业务流程,这也引起了在内部审计中如何使用信息技术的思考。本文认为,信息化环境下内部审计技术方法的研究与应用应从系统论、信息论的高度推进其系统化、科学化、规范化和智能化的发展。系统化是实施审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决好审什么、想达到什么目的的问题,审计技术和方法则解决怎么审和如何达到目的的问题,从而实现两者的协调。科学化就是将科学手段与经验总结相结合,推进信息化技术、数学和统计学等在审计中的应用。规范化是将内部审计技术方法融入到规范的内部审计程序中,规范和引导内部审计人员运用适当的审计技术和方法。智能化强调将历史经验总结、科学规律推导和审计人员的专业判断结合起来,积极加强审计数据中心建设,建立行业/领域审计的标准和方法(上海市审计学会课题组,2012)。
《内部审计具体准则第28号——信息系统审计》第六章第二十四条指出,审计人员在开展信息系统审计过程中为获取充分、适当的审计证据,可以单独或综合应用八种审计技术方法,包括:询问、观察、审阅、穿行测试等传统方法;验证系统控制和计算逻辑、登录信息系统进行系统查询、计算机辅助审计工具和技术等信息技术;利用其他专业机构的审计结果或组织对信息技术内部控制的自我评估结果等。
2011年审计署审计科研所《审计机关审计技术创新情况》课题组在全国27个省(自治区、直辖市)、5个计划单列市和18个特派员办事处对2006年以来的审计技术创新情况进行了专题调研,收集创新型审计技术应用522项,按技术种类分类可分为59种技术类别(审计署审计科研所课题组,2012)。在众多创新型审计技术中尤为突出的是,计算机类审计技术占了很大比重,主要包括:各类审计软件、数据采集/转换技术、数据查询和分析技术、联网审计技术、信息系统审计技术、多维分析技术、数据库技术、Office系列软件、商业智能(BI)技术、MD5码技术、数据挖掘技术、数据恢复技术、实时通讯技术等。
在此基础上,本文将审计技术方法综合整理为如图1所示的体系。
1.常规审计方法,主要是用于信息系统的了解和描述,包括访谈法、系统文档审阅法、观察法、文字描述法、表格描述法、图形描述法等。
2.计算机辅助审计技术,又可进一步分为面向系统的计算机辅助审计技术和面向数据的计算机辅助审计技术。面向系统的计算机辅助审计技术是用于验证程序系统的,包括受控处理法、测试数据法、综合测试法、平行模拟法和程序跟踪法等;面向数据的计算机辅助审计技术主要用于对信息系统中的电子数据进行审计,包括数据采集、数据验证、数据整理和转换、建立审计中间表和数据分析等环节,采用的数据分析技术主要有账表分析、数据查询、审计抽样、统计分析、数值分析、账龄分析等(陈伟、张金城,2008)。
3.信息系统评价技术,主要用于信息系统的控制、风险和整体性评价,如控制矩阵、风险矩阵、层次分析法等。
4.新型审计技术,主要有并行审计、持续审计、商业智能(BI)技术、数据挖掘技术、数据恢复技术等。
内部审计人员在充分考虑信息安全的前提下,结合成本效益原则,根据信息系统审计业务类型,可以灵活选用恰当的审计技术方法。在充分发挥好信息化环境下内部审计技术优势的同时,应该处理好例外现象,不能过于依赖技术,审计人员仍应保持高度的职业谨慎。
三、新型内部审计技术与模式
审计对象的科技水平和复杂性不断提高,对审计技术提出了更高的要求,要求内部审计关口从传统的事后审计逐渐前移到事中事前;同时,科学技术特别是信息和电子技术的发展,也为开发应用新型内部审计技术与模式创造了条件,使事中审计成为可行、经济的审计模式。并行审计、持续审计便是实现信息化环境下实现审计关口前移的事中审计技术。
(一)并行审计技术
并行审计技术(Concurrent Auditing Technique)产生于20世纪60年代后期和70年代初期,是依托信息技术的发展而提出的审计技术。并行审计技术是指在应用系统对其业务进行处理时,同时采集审计证据的技术。使用并行审计技术采集审计证据包括两个方面:一是为采集、处理和打印审计证据,需要在应用系统或系统软件中嵌入专门的审计模块;二是将采集到的证据存储在应用系统文件中或存储在专门的审计文件中,以便审计人员进行审查(梁丽瑾、续慧泓,2007)。
信息技术特别是网络技术的发展,为并行审计提供了硬件环境的支持。并行审计要求的对交易的连续监控可以借助于网络环境来实现。新的技术,如智能识别技术、无线射频识别(RFID)、传感技术等的广泛应用,为审计模块的“嵌入”提供了技术上的实现方案。同时,数据库管理技术,特别是数据仓库技术的应用,不仅能够存储海量的交易数据,而且通过数据仓库可以提供决策所需的相关信息,从而对业务发生的情况可以作出智能化的判断和分析,并将这种分析和判断信息及时反馈。
(二)持续审计
持续审计(Continuous Auditing,CA)是一种由审计师在事项发生的同时,或在事项发生后的较短时间内,对与事项相关的主题提供书面评价的审计方法(CICA/AICPA,1999)。具体来说,持续审计是基于网络信息技术,由审计师实施的将约定事项的连续信息(无论财务或非财务的信息)与事先确定的标准相对照,然后就二者的符合程度作出保证判断的审计报告的一系列过程。它将信息技术高度整合到了审计领域,融合了实时审计、计算机辅助审计、联网审计、非现场审计等方式,实现审计人员和被审计单位电子数据的及时连接和交互,克服了当前审计的滞后性,具有报告时隔短、审计范围广、追踪事件及时、风险控制强等优点,可以缩短内部审计周期、改善风险和控制安全系数(张文秀、刘雷,2012;张娟、廖洪,2006)。
国际上对持续审计的研究起步于20世纪60年代,美国证监会(SEC)、国际内部审计师协会(IIA)、加拿大注册会计师公会(CICA)、美国注册会计师公会(AICPA)和国际信息系统审计协会(ISACA)等机构先后公开表明对基于IT的持续审计模式加以支持与倡导。根据普华永道会计师事务所的《2006内部审计状况职业研究》(State of the Internal Audit Profession Study:Continuous Auditing Gains Momentum),被调查的美国公司中有半数的公司目前正在使用持续审计技术。
持续审计不仅向外界进一步证实被审单位提供的连续(或实时)报告(信息)的可靠程度,还可以为内部管理控制提供决策信息支持,同时还能够根据客户的特殊需求实时提供不同程度的相关保障。随着信息技术的进步、电子商务的普及以及管理决策对信息“实时性”需求的日益增强,它将成为信息化时代审计模式发展的必然趋势之一。持续审计在我国内部审计中还未完全开展,但可以预计这种技术以后会成为内部审计的重要方式。
除了并行审计、持续审计之外,新兴的审计技术还有商业智能(BI)技术、数据挖掘技术、数据恢复技术等。随着移动设备、云计算等的推广和应用,将会有更多更新的审计技术出现。
四、结语
国家电网公司在信息化环境下的内部审计工作目前还处于摸索阶段,在研究和探索内部审计技术方法的同时,还应对审计人员进行专门的信息技术培训、对审计部门开放所有信息查询功能等。进一步地还可以鼓励内部审计人员参加国际注册信息系统审计师(CISA)资格考试,通过培训和考试,培养具有较高深的计算机软硬件和网络知识,掌握信息系统审计技术的较高层次的审计人才,更好地应用现代化的审计技术方法,从而适应企业信息化发展的大潮。
【主要参考文献】
[1] 审计署审计科研所课题组.审计机关审计技术创新情况专题调研报告[R].2012.
[2] 中国内部审计协会.内部审计具体准则第28号——信息系统审计[S].2009.
[3] 陈伟,张金城.计算机辅助审计原理及应用[M].北京:清华大学出版社,2008.
[4] 张文秀.IT治理下的内部审计信息化发展研究[J].商业会计,2010(12):41-42.
[5] 梁丽瑾,续慧泓.基于并行审计技术的内部审计应用研究[J].审计研究,2007(2):36-38.
一 审计风险评估研究回顾
所谓风险,根据美国项目管理学会(PMD)的定义,是指“正面或负面影响项目内容的不确定事件或条件”,风险与不确定性有着紧密的联系。审计过程中存在的信息对称,特别是存在管理舞弊时,采用正常的审计程序难以形成可靠的审计结论,从而为审计执业带来高度不确定性,也就是审计风险的根源。
(一)审计风险评估的实务探索对审计风险的评估处于探索之中,出现了多种经营分析和风险评估框架,如COSO,COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等,这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位,理解客户面临的风险,以此增强对非抽样风险的控制,同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计(sSA)框架,但各个事务所的名称各不相同。
(二)审计风险评估的理论研究我国一些学者也对审计风险的评估技术进行了研究,如王桂兰(2006)提出了将案例推理引入到审计风险评估研究中,运用现代风险导向审计的理念,构建审计重大错报风险评估框架,同时将先进的计算机审计技术应用于多样性的分析性复核中,建立一套科学的评估系统以便较为准确地识别、评估审计中的风险因素,以期达到有效避免盲目审计,合理分配审计资源,有针对性地执行审计程序,发现重大错报,从而实现降低审计风险的目的。顾晓安(2006)以新国际审计准则中重大错报风险评估体系的内容为基础,针对如何将从企业及环境了解到的风险因素与认定层次可能发生的重大错报相联系,提出了首先通过业务循环来进行风险因素的识别、筛选和初步风险评估,再将业务循环的风险同报表认定层次相对应的两阶段风险评估法,并设计和描述在专家系统平台上实施该风险评估系统的系统结构、功能模块和操作流程。目前,这些方法仍在不断发展和完善之中,其名称和内容虽然并不完全相同,但本质都属于现代风险导向审计。与之前的着重于静态风险评估不同,本文建立了动态评估方法体系,研究审计风险评估的过程步骤,从每一步骤人手,分析其风险组成,并进行归纳、分层,提出一个审计风险评估的三维分析概念模型,由此建立审计风险与审计策略的关联关系。
二、审计风险的动态评估过程
Knechel教授认为,现代风险导向审计方法应由两部分组成,即风险的评估和根据风险评估证据确定用什么样的测试来获得证据。据此思路,可将审计风险的动态评估划分为:确定审计范围、寻找审计风险点及相适合的审计技术、评价审计风险与对策方案、实施审计策略这四个相互关联的步骤(如图1)。
(一)划定审计范围审计人员对企业的内部控制状况及商业经营环境进行评估,结合审计业务约定数,划定审计范围。该范围不是一旦确定就固定不变的,应随着审计人对被审计对象的了解加深而不断调整。
(二)寻找审计风险点及相适合的审计技术一旦审计范围确定,就必须根据审计师的个人经验判断及审计专家系统提示的信息来寻找风险点,如将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。对风险点进行筛选后,选择适合的审计技术,如风险分析技术或实施计划控制测试、实质性测试等对策方案。
(三)评价审计风险与对策方案按优先顺序排列,再根据审计力量、审计目标、内部控制状况、商业经营环境等加以评价。
(四)实施审计策略着重于如何以一种特定的战略姿态将审计方案付诸实施。体现了审计人员对不确定性预见与自身能力和资源调控能力的反复结合,是一个动态调整和不断发展的过程,这也是其与传统静态技术评估方法相比的最大不同。动态评估过程本身对审计人员就是一种学习,而这种学习又充实了这个过程。
三、动态评估过程中审计风险的识别
风险识别贯穿动态评估的全过程,要找出所有评估过程中的风险组成,即不确定事件和可能导致重大错报的原因和条件。按照动态评估的4个基本步骤来识别审计的风险所在。
(一)确定审计范围中的风险审计范围确定的过程又可以称为审计战略定位,审计师需要根据业务约定书,结合被审计单位的经营历史、财务状况,以及审计师自身的技术能力来确定审计范围。这一范围的确定过程中,审计师的经验判断是主要依据,因此存在诸多的不确定性。首先不同的审计师对审计范围的理解可能会有差异,审计师对被审计对象的了解有限,确定错误的审计范围有可能加大重大错报的风险;其次被审计对象存在管理舞弊的可能,会刻意引导注册会计师进入错误的审计范围,从而阻碍注册会计师通过风险导向审计将会计报表重大错报风险和经营风险联系起来从而发现会计报表的错报。
(二)寻找风险点及适合审计技术过程中的风险风险点的识别需要借助一定的技术,如重大错报案例研究技术、业务循环控制缺陷识别技术等。限于审计力量,审计师更有可能采用经验判断来寻找风险点。寻找到风险点后,审计师需用敏锐的眼光识别具有针对性的技术,根据内部技术储备和外部技术可利用情况来寻找和发现适合的技术去消除审计风险点,揭示其中关系到重大错报的可能性。这一步骤的风险表现为:(1)审计师寻找到了错误的风险点,导致审计工作无效果;(2)审计师能力不够,不能采用或者执行适合的审计技术;(3)审计技术不完善,存在固有缺陷,导致采用该技术后不能获得理想的审计成果。
(三)评估过程中的风险按照质量控制的原则,对审计风险及对策方案的评估应该由不同的审计师担任。这是一个将审计资
源技术能力、审计范围与风险点相匹配的过程。审计机构内的评估小组必须仔细研究每一项审计技术是否能用于审计风险点揭示,如何服务于审计范围,是否在审计师的技术能力范围内等。该步骤的风险主要来自评估小组的综合能力,特别是对审计师所处的被审计对象微观环境的判断和理解,以及如何与审计师自身资源和能力相匹配所带来的风险。
(四)实施审计策略的风险审计策略的实施贯穿审计全过程,使用动态评估过程技术,需要审计师根据审计情况来调整审计策略,这一过程的风险有:审计师调整审计策略能力风险,审计师能否关注审计风险早期信号,特别是对这些信号及其变化的认识和理解的差异性。由此及时调整策略,这样可以节省审计成本。
四、审计风险的三维分析
通过上述动态评估过程主要环节中的风险识别,不难看出审计风险的评估过程也是一个风险识别的过程,其风险具有系统性、多维性和动态性的特点。但风险总是客观存在的,也是可以通过一定方法测量或预测的,可从风险来源的角度,将过程中错综复杂的风险按经营及内部控制风险、财务风险、审计技术风险三个方向进行归纳,建立三维分析模型,但由于各种风险的远近、程度不一样,还须进一步对每个方向上的风险进行分层分析。
(一)经营及内部控制风险新国际审计准则要求注册会计师了解企业及其环境,包括:行业状况、监管环境以及其他外部因素;被审计单位的性质及对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价。从相关内部控制情况,评估可能的重大错报风险。
(1)行业状况、监管环境以及其他外部因素。可能造成重大错报的行业状况、监管环境以及其他外部风险因素,包括竞争环境、供应商和客户、技术进步、适用的财务报告准则、法律和政治环境以及与行业和企业相关的环保要求等。
(2)企业性质,包括企业对会计政策的选择和应用。企业性质包括产权结构、组织结构、经营项目、筹资和投资。对于企业性质的了解可以使审计人员理解财务报表中交易的类型,并对账户余额和披露产生预期;对于所有权人之间及与其他企业之间关系的认识可以发现关联方交易并合理地进行评估;如果企业有复杂的组织结构,则要考虑合并报表中可能发生的错误;了解企业对于会计政策的选择和应用,考虑是否适合于企业经营性质,与相关行业所用的会计制度是否一致等。这些考虑和关注对重大错报风险的评估都有着重要作用。
(3)目标和战略以及相关的经营风险。经营风险是指对企业经营目标和战略的实现造成影响的事件和状况,大多数经营风险最终都会有财务后果,会对报表产生影响,但并不是所有的经营风险都会造成重大错报。
(4)企业财务业绩的衡量和评估方法。不管是内部还是外部的业绩评估都会对企业产生压力,从而使得管理人员改善经营业绩或者直接对财务报表进行粉饰。对于企业业绩衡量方法的了解可以使审计人员判断管理层行为是否会增加重大错报的风险。
(5)内部控制。控制活动可能对于某项特别性质的业务或者账户余额的单个认定产生影响。如企业建立的用来保证其员工准确地计算和记录存货的控制活动就直接同存货账户余额的完整性和存在性认定相关。
(二)财务风险来源财务风险来源分析是通过常规财务分析、财务失败风险分析、财务舞弊风险分析三个部分来完成的。常规财务分析主要通过盈利能力、偿债能力等的五力分析模型来完成,分析评价常规的财务指标。财务失败风险分析主要通过z模型等来完成,对财务情况进行预警。财务舞弊分析是审计风险分析需重点关注的内容,实证研究的结果表明,自从净资产收益(ROE)作为上市公司申请配股的依据之一,上市公司在ROE数据上存在着明显的操纵行为;而单位负责人又是造成会计信息失真的主体因素。管理舞弊是管理层试图以舞弊财务报表为手段获得更多的机会利益,独立审计师如不能查出这种舞弊行为,就须承担法律责任,管理层与审计人员之间存在严重的利益冲突,因此管理层不可能真正地配合独立审计师有效地实施审计工作,由此带来巨大的审计风险。
(三)审计技术风险来源现代审计已形成系列的技术方法,用于审计师对重大错报风险(RMM)、重大缺陷风险(RMW)和检查风险(DR)的评估。较常用的如审计抽样技术,该技术存在抽样风险,即审计师依据抽样结果得出的结论与对审计对象总体执行同一审计程序所得到的结论可能不相符合。又如,业务实质性测试,该技术目的是确定原始凭证与记账凭证是否相符、账务处理是否正确,而“一条龙造假”表现为假账真做,特别是在当前信息化环境下,大量的单据是电脑自动生成的,均能做到账证相符、账务处理正确,账表相符,因此就电脑账下审计人员再实施交易业务实质性测试,验证账账、账表是否相符也便失去了意义。再如,分析性测试,该技术是指注册会计师分析被审计单位重要的比率或趋势,包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。目的是评价业务和余额的总体合理性。我国《独立审计具体准则第11号――分析性复核》指出,“如果分析性复核使用的是内部控制生成的信息,而内部控制失效,注册会计师不应该信赖这些信息及分析性复核的结果”,并且分析性程序究竟能在多大程度上提供有用的实质性证据,还取决于其在具体情况下的可靠性。
这里所说的重视程度不够包括两类人。一是单位领导重视不够。有些单位领导特别是有些非营利性组织的单位领导,由于不用考虑盈利问题,所以大都对内部审计的作用没有充分认识,虽然形式上表现得很重视,但实际上心里不大瞧得起。“说起来非常重要,用起来比较次要,做起来基本不要”,对于内部审计信息技术要不断发展,相应要增加人、财、物的投入不感兴趣。进行流程再造?更是觉得在没事找事!;二是有些内部审计人员自己也不够重视。这些内审人员往往有比较长的审计工作经历,经验丰富、业绩突出,对于近几年才蓬勃发展起来的内部审计信息技术不屑一顾,认为自己原来没有信息技术,工作一样做得好,现在再花时间精力学习新知识,不值得,更遑论进行什么流程再造,不再造不也工作这么多年了吗?还造什么!
二、人才问题还有很大的短板
我国目前内部审计人员大多数都是财务出身,对于信息技术,实践操作一下可以,要说在实践中基于信息技术进行流程再造,恐怕就力不从心了,而难得有一些学历高、审计和信息技术兼修的人员也基本上在政府部门或大专院校里,离一线的工作很远,客观上造成了我国目前内部审计信息化很难取得突破,要想在此基础上进行流程再造更是难上加难。虽然面临着不少的困难,我们仍然可以在信息技术的基础上,对审计工作进行流程再造,以使得内部审计工作更完善,帮助单位创造更多的价值。
三、基于信息技术的内部审计流程再造展望
笔者经过多年的思考与实践认为,要想使内审工作有一个突破性的进展,必须要换一种思路。为此,笔者提出一个创新概念—“审计再造”。
1、定义
所谓审计再造,是指:充分运用信息技术,对内部审计工作的流程进行合理的重新设计完善,希望取得更大的收益或更高的效率。
2、前提假设
笔者给这个概念的运用提出一个前提假设,就是本文所论述的“审计再造”,只适合内部审计,而不适用于外部审计。为什么要提出这样一个假设条件呢?因为这是和内部审计与外部审计的工作目标不同相联系的。内部审计与外部审计的工作目标完全不同。外部审计的目的就是要确认单位提供报表的完整性、真实性、合规性,只有能够对报表提出确认意见,外部审计的任务就算是完成了,目的也就达到了。而内部审计的根本目的是要使单位增值,如果是非营利性单位也是要资源利用和管理效率更高。从外部审计和内部审计的工作目标不同我们可以想到:外部审计不用为被审计单位做过多管理方面的考虑,而内部审计则要本着为单位增值服务的思想去审计,才有可能进行下一步的工作,也就是进行“审计再造”。
3、实际运用前景
目前实际“审计再造”这个创新概念还有待完善,尚未在相关领域得到大规模运用。以我国目前情况,比较正规的单位,内部审计工作的信息技术基本上与单位内部网络系统相结合,已经得到一定的普及,看似发展空间已经很小,但是如果换一个思路,也就是用“审计再造”理论来指导审计,那么信息化技术将完全海阔天空,能够为企业发展做出更大的贡献。下面试举两例说明:
(1)在对组织进行生产管理的全面审计中,由于要涉及从原材料到产成品的整个生产管理过程,从计划到组织,从领导到控制,这个过程可能涉及众多的人员、设备、生产工序。传统的审计工作程序由于各种限制因素,特别是大量数据的及时有效处理,各种非数据信息的准确及时传达等等,因此并不深入研究这些生产过程和工序是否合理,是否有可改进的空间,而如果基于现代信息技术,采用“审计再造”观念,那么在审计相关内容时,就可以对单位的生产管理流程进行有效审计,考核是否有需要完善的地方。显然,这个工作量是非常大的,但这也为信息技术的运用提供了一个巨大的舞台。基于现代信息技术的内部审计,对组织重新确定关键生产工序和关键生产路线,重新计算生产时间、资源和成本,重新绘制作业网络图,不断改善生产计划,以求得综合优化方案,还有大量的各种管理信息及时准确地沟通交流等等,从而达到为企业审计增值的目的。
关键词:计算机;审计技;风险
一、开展计算机审计工作的紧迫性及必要性
首先,审计对象的扩展化,给审计提出了新课题。计算机信息系统环境下的审计对象,除手工环境下的审计对象以外,信息的载体得以扩展,出现了新的信息载体。其次,绕过电算化系统的审计,很难有效地发挥审计职能。随着会计电算化水平的提高,如果审计人员不懂得计算机,不了解电算系统,只能依赖被审单位提供打印的账页进行审计。再次,传统审计的信息反馈能力弱,与信息化的时代要求不适应。 随着现代科学技术的进步,信息化进程日益加快,纸质账本将为电子数据所代替,开展计算机审计必不可少。
二、审计过程
首先,做好计算机审计的组织准备。在审前调查之前,审计组人员应当熟悉项目要求,并配备有一定计算机基础的审计人员。其次,进行数据采集。根据目前财务软件系统的特点,数据采集大致有三种方法:直接拷贝数据库文件实现数据下载;运用财务软件或专用会计软件中自带的数据导出功能实现数据下载;运用“ODBC”技术实现跨系统、跨平台的数据采集。再次,数据转换及初步分析整理。面对当前财务软件种类和版本号多种多样,财务数据结构差异很大的情况,AO系统提供了强大的数据采集和转换接口功能。一是财务备份数据转换方法。通过AO系统自带的或从金审网站下载的数据转换模版,审计人员很轻松就能完成财务软件备份数据的采集和转换。二是数据库数据转换方法。财务备份数据转换方法虽然简单、好操作,但最大的问题是如果没有对应转换模板,则无法实现财务数据转换,而且有些转换模板需要安大型装数据库(如SQL Server)后台服务器端,有时由于一些不明原因,也会出现不能正常转换的情况;为了解决这个问题,AO系统同时提供了数据库数据转换方法,用于转换财务备份数据转换方法不能转换的财务数据。而且使用这种方法,在第一次数据转换成功后,可以将转换过程制作为转换模版,再遇到同类数据时使用以前制作的转换模板,即可实现自动转换。转换模版可以导入、导出,实现共享。另外,对电子数据进行进一步分析、整理及对数据进行趋势、结构等宏观性分析相结合。
三、计算机审计存在的风险及对策
(一)存在的风险
传统审计线索逐渐消失,增加了审计风险;审计技术、方法日趋复杂,必然会带来审计风险;在动态中进行审计取证较难,也存在一定的审计风险;会计系统内控制度的改变,也增加了审计风险;审计人员计算机知识的缺乏,造成审计风险。
(二)对策
1.保证审计数据的完整性
为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据,是否属结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
2.选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。
3.积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。
4.努力开发实用高效的审计软件
为了给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库,从中采集审计所需的原始数据。在数据分析方面,在现有审计软件功能的基础上进一步开发新的分析工具。例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等,针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。只有开发出实用高效的审计软件,才能解决因审计软件本身的缺陷所带来的审计风险。
5.加强审计人员的培训学习,提高审计人员的素质
应定期对审计人员进行培训,强化审计人员后续教育准则的实施和执行。不断更新审计人员的知识结构,提高他们的技术水平和职业判断能力。在新的审计环境下,尤其要加强计算机应用技术、数据处理技术和网络知识的培训,培养复合型的审计人才,以更好地适应审计环境变化,出色地完成审计任务。强化审计机构和审计人员的风险意识,降低计算机审计风险。审计机构要在独立、客观、公正的原则下建立自律性的运行机制,大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得,完善自身的质量控制制度。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
随着现代审计体系、审计理论的不断发展和完善,计算机审计作为不可缺少的审计方法与技术,在审计“免疫系统”功能中发挥着越来越大的作用。因此,要充分发挥计算机审计的这一优势,做好预警工作,为国家制定宏观政策提供依据,促进法律法规的不断完善。
参考文献:
[1]苏运法.《计算机审计研究》.清华大学出版社
关键词:审计;数据挖掘;计算机审计;技术;应用
中图分类号:F239 文献标识码:A 文章编号:1009-3044(2013)15-3445-02
随着网络的发展,我国的审计事业步入了计算机审计时代,这样以来大大提高了审计工作的效率。在实际审计过程中,审计人员还要改变自身的审计分析思路,要打破传统的审计模式,能够运用系统论的思维,以全局的观点、联系的观点,把握事物的总体和各部分之间的联系,从而发现其中的规律。可以借助于一种数据分析工具——数据挖掘技术,它能够帮助审计人员从海量数据当中,发现数据背后潜在的联系和规律。
1 数据挖掘的定义和常用技术
数据挖掘(DM),就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取出隐含在其中的、人们事先不知道的、但又是潜在的、有用的信息和知识的一种过程。
通过数据挖掘,不但可以来完善、丰富数据库,也为用户决策提供数据支持。常用的技术有以下几种:
1.1关联分析
关联分析的目的是为了找出数据库中隐含的关联规则。
1.2分类
分类对数据概念的描述建立模型,再用这个模型来进行分类,生成一系列的分类规则,用于对其他的数据进行分类,从而更好地理解数据库中的内容。
1.3预测
预测就是找出历史数据之间的变化规律,建立相应的模型,可以获得当前数据的未来变化趋势,所具有的属性值的范围、种类和特征等。常用的方法是回归分析法。
1.4聚类分析
聚类是一个将数据集划分为若干组或类的过程,类似于人们常说的“物以类聚”。
1.5偏差检测
数据库中的数据之间存在着很多异常的情况,称为偏差。这些偏差包括很多潜在且有用的知识,如分类中的反常实例、模式的特例等。
1.6时序模式分析
通过时间序列搜索出重复发生概率比较高的模式。
在实际审计过程中,选择合适的挖掘技术能给审计工作带来很大的帮助,而且不同的挖掘技术应用的对象也不同。
2 数据挖掘的应用价值
从审计角度来看,数据挖掘就是根据事先明确的审计目标,对被审计单位的大量业务数据进行分析,揭示其中潜在的逻辑关系和规律,并进而形成明确且有效的审计思路的过程。
数据挖掘技术在审计中的应用价值,主要体现在可以依据其发现的知识来构建审计分析模型,将其运用到实际的审计业务中,可以大大提高审计工作的效率。比如,通过对银行信用卡恶意透支的历史数据进行数据挖掘,可以发现“信用卡恶意透支与信用卡客户的收入状况、平均消费额、职业、年龄等客户属性之间的联系”这类知识,以此为基础构建出相应的审计分析模型并运用到被审计银行的当前信用卡业务数据中,审计人员就可以快速确定审计重点。
3 数据挖掘技术在计算机审计中的应用操作步骤
一般来说,数据挖掘技术在计算机审计中的操作步骤主要有以下几步:
3.1审计业务问题的定义
指的是要明确审计时需要发现什么信息、解决什么问题。这个定义驱动了整个数据挖掘的过程,是整个挖掘过程的基础,也是检验最后结果的依据。
3.2数据准备
这个环节包括数据采集、数据清理和数据预处理三项内容。
数据采集要尽可能地采集所有与需要解决的审计业务问题密切相关的数据。
数据清理将采集到的数据经过数据清理形成审计中间表,这些审计中间表就成为数据挖掘模型的实例数据集。
数据预处理工作首先进行数据集成,整合来自不同数据源中的数据,然后从集成的数据库中选择性地提取用与挖掘的数据,最后再对选择的数据进行投影、归一化变换等处理,方便进行下一步的数据挖掘。
3.3建立模型,挖掘数据
设计人员(包括经验丰富的审计人员)对预处理好的数据进行分析,选用合适的数据挖掘技术和方法,生成适合挖掘的数据模型。模型建立的好坏关系到数据挖掘结果的正确与否,可以说是整个挖掘过程的核心。模型不是一成不变的,需要经过反复的修改调整,最后才能成为适合当前的审计任务要求的挖掘模型。
利用建立好的模型,进行数据挖掘,输入相关审计数据,会得到具体的结果,或者数据间的规律。审计业务人员要根据这些结果,对模型以及模型的输入参数值进行多次的修正和完善,以利于得出正确的挖掘结果。
3.4分析评价结果
将挖掘模型最后得到的正确的结果,提供给审计人员。审计人员根据审计任务要求和被审计对象的特征来分析得到到的挖掘结果,得到明确有效的审计思路,从而得出正确的审计结论。有些结果可能会为发现审计问题提供线索,审计人员可以根据这些线索进一步地追查相关的资料,发现问题所在。
以上几个步骤在实际的审计过程中,往往不是一次完成,中间的某些步骤可能需要反复进行,这要根据当前阶段和将要实施阶段的审计任务要求来定。
4 结论
虽然数据挖掘技术在计算机审计应用,还处于初级阶段,还需要进一步的研究,不断地探索和完善。但是我们也看到了它在计算机审计领域的优势。在教育、金融、企业、经济责任等各行业的审计工作中,面对庞大的、复杂的数据库,使用数据挖掘技术,可以让审计人员在审计过程中迅速把握总体,从海量数据中根据需要找出有用的知识信息以及数据间潜在的规律和联系,进一步提高审计工作的效率,并为领导的正确决策提供数据支持。
参考文献:
[1] 牛丽敏.Apriori算法分析与改进综述[J].桂林电子科技大学学报,2007,27(4): 25-29.
[2] 韩家炜.数据挖掘概念与技术[M].北京:机械工业出版社,2000.
[3] (美)Mehmed Kantardzic.数据挖掘-概念、模型、方法和算法[M].北京:清华大学出版社,2003.
[4] 胡俊俊,孙静.一种新型的计算机审计模型[J].计算机应用研究,2008.
关键词:信息管理;案例分析法;信息技术;财务报表审计
一、引言
自从互联网与信息技术普及以来,财务会计由做手工账转变为利用会计电算化进行办公,自此,在也没有看到账房先生点着油灯打算盘了。科技的进步极大地解放了生产力,在会计领域也是如此,通过相关会计核算软件,会计工作人员只需要将凭证、单据、发票简单分类处理后录入系统即可,只要录入时没有出现错误,进入系统后,计算机会进行自动核算。这淘汰了一部分年龄大并且对计算机不熟悉的会计从业者。智能时代的来临,让一切变得更加猝不及防,人工智能机器人可以自动给扫描凭证、单据、发票扫描,直接分类核算,64位密集纠错,甚至连简单的审计都免掉了。这也给财务人员造成恐慌,大面积的失业会不会提前来临?信息技术、人工智能的发展对会计、审计的工作人员又产生什么影响?本文在信息管理、财务管理的理论基础上,对信息技术及财务报表审计的影响展开研究,通过对现状分析、案例分析,发现其存在的问题,并提出相关建议。
二、现状
随着互联网信息技术的快速发展,对财务报表的内部审计和外部审计方法模式上也由传统的纯人工手工查账审计向人机协作审计模式转变。企业内部审计,主要包括确定资产存在性、判断资产计价的公允性、避免过分高估或者低估资产、测试收入成本和费用、分析是否符合会计政策的要求。其中,判断资产的公允性以及测试收入成本费用涉及到审查数据核算的计算机可以快速扫描输入、进行运算、结果输出,省去了大量的时间成本和人工的机会成本。外部网络审计是指审计人员对被审计单位进行审计时,不必像之前一般对着如山般的账簿进行核算审查,常常需要长时间高强度工作,而现在只需要利用互联网和现代信息技术,通过人机协作的模式对被审计单位的财务报表合规性、真实性和有效性进行远程审计。目前,随着电子商务的蓬勃兴起,越来越多商家选择利用计算机网络依靠商务平台进行的交易和商务服务活动,主要表现在商务交易不再是先看货,然后一手交钱一手交货;商务服务也不单单依靠纸面文件以及单据的传送,而是借助于计算机技术和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算过程。电子商务更大程度上依托互联网的特点在审计工作的范围、内容、可行性、风险等方面都产生了重大影响。
三、案例分析
目前,墨西哥国家税务总局将信息技术对财务报表的审计转变为一种新的方式并且在2016年7月通过最高法院确保了其合宪性。即通过互联网电子审计,税务当局可以通过电子方式执行监督与审计流程,并通过电子方式与纳税人沟通,纳税人可以通过申请AcuerdoConclusivo协议,确保其被审计材料在保护状态,纳税人也可以利用这个渠道寻求税务帮助,通过协商的手段,解决被审计纳税人与税务局之间存在的分歧,避免了耗时长和费用贵的申诉流程。墨西哥国家税务总局给人口众多的发展中国家一个很好的示范,行政事业单位率先进行改革,从法律制度上承认信息技术对财务报表审计的合法性与合规性,并且给予技术支持保证信息安全。这大大减少了人们使用的后顾之忧,有利于越来越多的会计师事务所、审计机构进行转型,更大程度上借助网络信息技术,对被审计单位进行远程网络审计。
四、问题分析
(一)电磁化会计信息不易保存
毋庸置疑,随着无纸化办公的进程加快,传统的纸质凭证、账簿、报表可能会被电子会计信息代替。电子会计信息是指将会计信息储存在网络系统中,很显然这比纸质的更易被破坏。如果保存不好,即使从网络系统中存储在磁性介质上,会计信息依然会因介质的破坏而丢失。而且值得注意的是,存储风险会因为时间加长变大,如果数据丢失或大面积泄露,不仅增加了审计的难度而且会给企业造成无法预估的损失。
(二)忽视网络信息系统审查
在信息技术广泛应用的大背景下,除了对传统财务内容进行审计外,还需要对信息系统开发、运行、控制环节进行审查。尤其在电子商务环境下,对互联网的依赖程度更大,并且固有的技术风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理的真实性、安全性、合法性。大多数企业忽视对网络信息系统的审查,这使审计信息可能会出现一定程度的偏差甚至是错误。由于全面依靠互联网信息技术,交易与金钱往来都是在网络系统各工作站上完成的,因此,审计应渐渐从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而降低经营风险、提高审计质量。
(三)信息技术对财务报表审计难以做到绝对保密
众所周知,互联网系统具有分散性、开放性、受众群体数量多等特点,其安全保密性问题一直是困扰大多数企业的问题。信息技术系统一方面面临故障的风险,如果发生故障,就会造成全企业的瘫痪财务工作的崩溃;另一方面还面临数据库财务网站有可能遭到攻击的非系统风险、计算机病毒攻击的风险。此外,若信息系统的设计存在漏洞,而财务工作者在运用中并没有发现,则可能给企业的内部控制造成隐性风险。
(四)审计人员的计算机知识不完善
审计人员的计算机知识、网络技术不高,也给信息技术对财务报表审计造成困难。在信息化大数据背景下,审计的方式和内容都发生了改变,对缺乏计算机、网络技术相关知识的审计人员,会因为方式改变而不能识别、审查企业的隐性风险,从而对评价结果和审计结论的产生消极影响。
五、对策建议
(一)审计线索方面的追踪审查
在信息化背景下,应该针对审计线索在系统内建立专门原始数据的备份、完善大数据和追踪软件,多部门相互监督,使审计线索得以保留。同时,通过远程审计监管、突击检查的方式,对财会工作人员和程序员的系统进行检查,以维护数据库安全。
(二)重视对内部控制内容审计
重视对内部控制内容的审计是指要做到对财务数据全流程的管控,包括信息技术部门对信息化财务系统的维护。第一、明确权限与指责,在财务部门内部,将职责和权限进行划分,不能让不同岗位的工作人员拥有相同的权限,以此来形成互相监管的模式。第二、成立财务数据库,原始数据必须先上传再入账处理分析,而且原始数据不容随意更改,如要更改应由主管监督。同时,每一步的审计应将数据上传,各部门之间既相互独立又互相联系,彼此制约。
(三)加快信息技术财务审计法规的建立完善
第一、要认真推动信息化审计法律法规建设,既要认识到其提高工作效率的优越性,也不能忽视其自身的问题,应尽快提出制定相关法律法规的意见。第二、信息技术应用于财务会计领域,需要对传统的审计准则体系重新进行审视和思考,新的审计准则应该顺应时代的趋势,充分考虑其在信息化、大数据背景下的创造性。用法规和制度保障信息化审计的合法性、合规性。
(四)加快信息化审计人才的培养
在此背景下,审计人员除了应当具备审计知识经验还应当对基础信息知识有一定的了解。审计人员是信息技术应用于财务报表审计工作的关键,但是传统的审计人员往往忽略了自身对信息技术的要求。市场对复合型审计人才的缺口很大,也是未来审计工作发展重要一环。第一、审计人员应该具有危机意识,如果自身不转变,很有可能被即将到来的财务机器人代替简单的审计工作;第二、企业也要意识到信息网络对财务报表审计存在的两面性,应鼓励审计人员、会计人员主动学习信息化审计知识,及时查明风险,做好应对措施。第三、国家和政府也应该加大对审计人员工作转型的引导,鼓励培养复合型审计人才。
【关键词】 审计风险 审计效率 抽样方法
实践是检验真理的唯一标准,本文通过在各审计现场广泛的数据采集工作搜集到的大量素材和案例资料而形成最终的研究结论以及重要的意见。通过对审计抽样技术与方法的研究和实践,可以认为:
第一,审计统计抽样对于以真实性为目标的审计,是一种能大幅度提高工作效率;量化并控制审计风险;规范审计行为;提高审计工作质量的审计技术方法,特别是在外部环境条件具备时恰当运用,采用该技术方法效果显著。
第二,通过较为广泛的考察与调研,我们认为对于国家审计所针对的国有大中型企业为主的审计对象都初步建立了财会电算系统。因此,可以肯定,以计算机为主要辅助手段的审计统计抽样技术与方法在国家审计领域中可以推广使用,并随着被审对象电算环境的完善及自行开发的技术方法逐步成熟,该技术方法必会体现十分有效的作用。
第三,审计职业判断是所有审计技术与方法的基础,审计判断抽样与审计统计抽样也必须同样遵循这一原则,任何抽样方法必须依靠职业判断来作出最终的结论。不同方法的结合运用,重要的是能够甄别使用环境、结合工作效率选择恰当的处置方法。
第四,非统计抽样其技术与方法相对成熟,在国内审计实务中已大量使用,国内注册会计已有相应执业规范,国家审计可参照制定自己相应规范和标准。通过研讨交流,我们认为判断抽样国内注册会计师的做法,相对来说已较为成熟,基本符合我国国情,可以对其剖析移植,理由是国家审计调整到以真实性审计为主要目标后,已与社会审计目标日趋一致。
第五,统计抽样从审计目标的总体来看,比判断抽样言有更高的工作效率和更精确的结果,但受外部环境制约,其适应性差于判断抽样,在实务操作中,两种方法有机结合,是一种较为完美的做法,但这对审计人员的基本素质,至少是对方案编制者有较高的要求。
第六,对于审计抽样内部质量控制问题需要特别的予以关注和重视,一个样本误距、误受对总体的影响可能是样本本身的几十倍甚至几百倍,从审计风险的角度来讲造成觉察风险的扩大,但这种人为的风险可以研究通过内部审计质量控制来加以防范。主要有以个两个方面的控制:
首先,通过审计调查了解各业务流程关键控制点设置审计工作质量控制关键点进行预先控制。通过审前调查了解各业务流程关键控制点,从而设置审计工作质量控制关键点,进行预先控制,审前调查是否深入、细致、全面,直接影响审计质量,也影响审计工作效率、成本。其次,建立人员内部质量控制管理体制。在审计现场,审计组质量负责人根据审计程序表、操作流程表等,针对现场审计实际情况,编制抽样样本审核要素表,保证必要的审计项目和步骤得以高质量的执行,并将审计工作负责人通过抽查复核审计人员现场工作表来保证工作质量,进行审计现场控制。
我们目前编制的《审计程序表》及《计算机统计抽样流程表》,除作为二级方案指导现场审计使用外,其中一个极重要的作用就是强化现场审计质量控制,防范审计风险。
第七,根据项目组目前所取得的资料,企业财务数据库,我们经综合分析、比较、测试后,目前所得出的结论是一般财务数据总体分布不能很好地遵循正态分布,因此,我们趋向于重点采用泊松分布的货币单位抽样方法。
第八,审计统计抽样必须紧密结合计算机技术,才能充分发挥其优势,在审计实务中脱离计算机技术支撑,审计统计抽样将失去实际意义。
第九,抽样参数的确定涉及到国家审计体系模式及内控制度评价技术方法,目前来讲,有制度基础审计和分险基础审计的区别,因此,需组织专家专题研究确定。
第十,必须建立统计抽样标准和统计抽样操作指南。下面我们从技术方法角度来研究描述问题,对相关问题提出具体建议:
首先,标准可解决统计抽样参数设置问题。根据我们在现场操作的体会,抽样参数主要依靠职业判断来决定,至少目前还没有严格的教学模型说明能通过严密的数学计算得出。因此,对这种带有人为主观因素参数的设置,应通过标准限制在一定的范围之内,以保证审计风险落在可接受的范围之内,又不使工作量大而失去抽样意义。
其次,对于统计抽样有关参数标准,根据我们的研究和实践,在一般情况下,初步推荐在如下范围内考虑,在今后大量的测试和审计实践中逐步调整、完善。①最小总体量项数:小于300;②可信赖程度的聚会区间:按我国实际情况建议为85%~95%;③可容忍误差的最大取值:不大于总体的10%;④样本量的最小值:数理统计理论研究表明,最少应不小于30个;⑤结论评价标准:一是完全接受的表述与条件;二是完全否定的表述与条件;三是抽样结果处临界值时,通过替代程序或是调整参数,补充说明后作出结论的表述与条件。
对于实质性测试还应有以下要求:①试探样本量取值标准:如取30或50,建议50;②随机数表、电子随机数产生的技术标准:由审计署统一标准和认可。
