时间:2022-04-12 05:25:30
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计信息,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、审计信息化的概述
随着计算机和互联网的普及和应用,信息化成为了当今世界经济和社会发展的大趋势,信息技术正在以前所未有的速度渗透到社会的各个领域。在这种环境之下,国家机关、企事业单位的经营管理很多实现了自动化和网络化,很多经济业务也由于电子商务的发展改变了交易方式。这就使得审计的对象、范围、线索等发生了变化,这给审计工作带来了新的挑战。审计要适应这种变化,就要利用现代信息技术手段,实现审计的信息化。
现代的审计信息化是以审计信息资源开发利用为核心,将计算机技术、网络通信技术、数据管理技术等应用于审计工作中。在审计信息化建设中要包括信息基础设施建设,信息人才培养及完善法律法规等方面。
二、实现审计信息化的必要性
1.客观环境的变化促使审计实现信息化
随着信息技术的不断升级,各行各业的信息化建设也迅猛发展,使得审计的客观环境发生了很大的变化,审计的对象和范围扩大并且更加复杂,审计的难度也在增大。
就审计对象的变化举例来说,在网络信息经济时代,审计对象扩展到电子商务。电子商务以其低成本、高效率等特征吸引着大多数企业,企业纷纷建立自己的网站,进行网上交易、支付结算,并使企业信息网络化。另外,以电子商务为基础形成的各种虚拟企业,构成了网络经济中经营主体的一部分,这种新型的经营主体将会被纳入审计对象。因此,网上交易审计、网上支付审计、虚拟企业的审计便构成电子商务审计的具体内容。
此外,审计范围在信息环境之下也扩大了。如在信息化环境之下,几乎不会出现人工操作中计算之类的错误,但是操作系统的程序若有漏洞或是被不法分子篡改的话,后果可能不堪设想。这就决定了审计的范围不能仅局限在传统手工审计的内容上,审计师要花费更多的精力研究和测试系统在程序设计、数据录入和数据输出等方面的控制功能,验证其能否充分有效地防止或发现和更正各种差错,消除弊端。
2.审计信息化是提高审计效率、降低审计风险的要求
李金华审计长曾经说过“要提高审计工作的科技含量,要把信息化建设,把计算机的推广应用,看成是我们提高审计效率,改善审计手段,提高审计质量,降低审计成本,加强廉政建设的一个重要途径”。
计算机审计辅助审计在实现审计信息化的过程中起着很重要的作用。利用计算机辅助审计,一方面可以借助计算机对数据高速、精确的运算处理提高审计的正确性和准确性;另外一方面可以使用审计软件对被审计单位的电子化会计信息进行审计,减轻审计人员的工作强度,使审计人员从传统的手工翻阅会计账簿、会计报表等繁重乏味的审计工作中解放出来,将精力集中到需要更多专业判断的审计科目上,提高审计的效率。
计算机辅助审计可以凭借计算机具有的逻辑判断功能,分析汇总等功能使审计程序的选择和实施更加科学和恰当,丰富审计手段,提高审计效率,降低审计风险。另外,利用计算机辅助审计,通过互联网,可以实现数据、资源的共享,可以使得现场审计与非现场审计相结合,使审计跨越空间的距离,有利于审计人员进行全面、迅速、经济有效的分析。
3.审计信息化是实现与国际接轨的需要
国外一些发达国家的审计信息化水平远高于我国。如美国注册会计师协会和加拿大特许会计师协会在1997年就开始提供电子交易网站的审计;意大利在1975年就着手建立了联网系统,30多年来成功的实施了联网实时审计,极大的提高了审计的效率。自从我国加入WTO之后,我国的审计行业,尤其是社会审计,面临着激烈的竞争。
这种差距已经引起我国政府和审计界的高度重视,在2002年国家审计署启动了审计信息化项目“金审工程”的建设。随着信息技术的高速发展以及经济环境的变化,我国的审计信息技化建设也要经历高速发展时期,才能适应审计的发展需要,实现审计技术的创新。
三、实现审计信息化的路径
1.推进审计信息化基础设施建设
审计信息化的基础设施建设主要包括硬、软件及网络的建设,这些是实现审计信息化的基础。近年来,国家及各地审计机关对于审计信息化建设都有不同投入,计算机审计的软硬件设施都有了一定程度的改善。但是由于我国地区发展不平衡,一些地区的信息化建设还很落后,需要继续加大对信息化建设的资金投入,改善落后地区的信息化基础设施建设,同时要提高硬件设施的先进性和稳定性,配备更适合审计工作需要的硬件设备。
目前我国的审计软件市场不够发达,由于审计软件的专业化程度比较高,技术含量高,应该集中一批既精通计算机软件开发技术,又懂财务、审计业务的复合型人才,开发适合我国现实情况的审计软件。
推进审计信息化建设还需要构建审计信息化网络系统。建立审计信息化网络平台,实现各级审计机关的各类审计数据库的连同、共享,提高审计的效率。
2.加大审计信息化的人才队伍建设
实现审计信息化,人才的培养是关键。我国目前既懂审计又懂计算机技术的综合型人才还比较缺乏。要通过多种途径,培养符合审计信息化的综合型人才。
首先,要深化教育改革,创新培养模式,尤其是要改革高校审计人才的培养方式,要立足于审计信息化建设的需求,注重理论与实践的结合,提高学生对信息技术的实际应用能力。
其次,要加大对现有的审计人员进行信息化教育和培训的力度,使得现有的审计人员尽快掌握审计信息化需要的知识和技能,以便在今后的审计工作中实现审计思路、方法等的转变;国家审计机关可以联合社会审计机构,互相学习审计信息化的经验。
此外,要加大对具有高素质计算机软件人才的引进,对其进行会计、审计知识培训,并且要建立有效的激励机制,留住人才,实现审计队伍的可持续发展。
3.不断完善与审计信息化相关的法律规范
审计信息化的发展离不开完善的法律规范做保障。在我国现有的审计法律规范中,关于审计信息化方面的法规还很少,我们可以从以下几方面进行努力:一是国家应当在现有的法律法规基础上,根据审计信息化的现实需求,制定更加详细规范的信息化环境下审计应用指南;二是完善有关计算机审计模式及审计信息化网络安全保密方面的法规;三是要健全审计技术规范,研究制定计算机审计的基本技术与方法,比如要完善审计数据库结构及数据接口标准等。
4.全面推行审计信息化进程
实现审计信息化建设,只靠国家的力量是不够的,审计信息化应该在国家审计、社会审计和内部审计中全面推行。要鼓励相关民间组织如注册会计师协会或者专门进行审计信息化研究的团体加大专门研究的力度。
民间审计的审计师队伍是比较庞大的,在推进审计信息化进程中,发挥民间审计的力量,可以集中更多优秀的人才的智慧,群策群力,对于审计信息化建设过程中遇到的问题提出更好的解决方案,使审计信息化建设道路更加顺畅。
参考文献
[1]刘家义.我国审计信息化系统总体构架[J].中国审计,2001(4):6-9.
[2]邱发森.审计信息化建设探讨[J].中国审计,2004(9):66-67.
[3]李锦,王燕.论审计信息化建设瓶颈突破的对策[J].当代经济,2012(9):128-129.
一、当前县级审计机关开展信息系统审计存在的难点
(一)旧有的审计法律法规体系和准则体系已不能完全指导和规范信息系统审计的实践以及完全解决信息系统审计中出现的所有新情况、新问题
目前,审计机关开展信息系统审计所依赖的法律法规主要有《中华人民共和国审计法》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》等。然而,上述法律法规仅授权审计机关对被审单位运用电子计算机管理财政和财务收支电子数据系统(即会计信息系统)进行审计,而对与被审单位管理和决策等有关其它信息系统的审计,则未予以明确授权。因此,审计机关在对被审计单位会计信息系统以外的其它信息系统进行审计或审计调查时,常遭到对方以涉及国家、企业和技术秘密等种种理由而拒绝;或者即使勉强配合,但由于提供的相关资料不完整或不及时而严重影响信息系统审计工作的开展。
(二)县级审计机关对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度
近年来县级审计机关目前已经基本能够熟练掌握和运用电子数据审计方式进行实质性测试,也因此取得了很大的审计成果。但大多数人对于信息系统审计的认识还不到位,对开展信息系统审计的必要性、紧迫性认识不足,甚至对开展信息系统审计的可行性持怀疑态度。然而,发生在武汉的“经济适用房六连号事件”(据调查,是相关人员在摇号软件中嵌入非法的舞弊程序)给持这种片面观点的同志敲响了警钟。
(三)县级审计机关现有审计人员的知识储备尚不能满足信息系统审计的要求
开展信息系统审计,审计人员必须具备相应的技术技能:编程知识、系统运营、网络技术、认证技术、防火墙技术及其他安全技术等,这对于发现被审计信息系统及其控制的缺陷等相对较容易;同时他们又要熟悉审计原理和审计实务,最好是担任过大型项目主审。从县级审计机关目前的现状来看,显然这方面的复合人才都相当匮乏。
(四)传统审计的组织方式不能满足当前信息系统审计的要求
大多数县级审计机关试点开展信息系统审计,实际上传统的财务收支审计加入了信息系统审计的内容,其缺点是人员和时间都保证不了,这边信息系统刚刚检查、测试完,可能其他审计内容也快结束了。信息系统审计要在较大的范围内开展起来,改革审计的组织方式就应当提上议事日程。
二、解决办法与对策
(一)加快审计法律法规体系和准则体系建设,使得县级审计机关开展信息系统审计有法可依,有章可循
加快有关信息系统审计的法律法规的制定工作,将信息系统审计应当包括的内容和范围以法律或法规的形式确定下来,使包括县级审计机关在内的各级审计机关能够依法开展信息系统审计,更好地履行宪法和法律赋予的职责。
(二)县级审计机关和审计人员应当提高认识,高度重视信息系统审计
要加大信息系统审计的宣传。信息系统审计是信息化环境下一种新的审计模式,是审计方式的重大变革,局领导的科学指导是这项工作得以开展的重要前提,可以通过短期培训提高他们信息系统审计的意识,知晓通常的审计项目中,如何安排信息系统审计的内容。
(三)要大力加强信息系统审计人才的培养
信息系统审计人才的培养应从两个方面入手:一是信息技术尖端人才。信息系统审计技术含量很高,不具有计算机专业背景、不经过深入的专业学习和钻研的人难以担当此任,可通过选送具有计算机专业背景的审计人员和通过审计署计算机中级考试的业务骨干参加审计署信息系统审计培训班的方式,培养信息系统审计专业人才。二是普及型的信息系统审计人员,可从现有审计人员中培养,要使他们具有信息系统知识,了解信息系统审计的方法、步骤,掌握基本的操作程序。
关键词:审计;信息化系统;资源共享;财务软件
中图分类号:F239 文献标识码:A 文章编号:1674-1723(2013)01-0137-02
一、我国审计信息化建设的现状与存在的问题
(一)审计信息化建设现状
近年来,经过不断努力,我国一些较大行业和系统在内部审计信息化建设方面,做了大量工作并取得了可喜进展。主要体现在以下几个方面:
1.审计单位计算机设备配置有一定规模,但是分布不均。一些地区硬件配置较高,而很多经济落后地区很多还没有配置设备。
2.网络系统建设初具规模。随着一些机构如国企和财税部门都构架起网络管理系统,内部审计部门也成为相当重要组成部分。而这些行业的内审部门基本实现了与单位内部其他相关部门的网络互联,为实现信息交换网络化开辟了快速通道,为开展网络审计、实现实时监控打下了基础。
3.软件开发迈出重要步伐,软件应用系统已初步完成。目前针对于不同行业不同部门已研制开发相对应的计算机软件、财务软件和审计软件。这些软件试用后,提高了审计工作效率,取得了较好的经济效益和社会效益,积累了大量审计信息建设的应用经验。
(二)存在的问题
1.高技术与低效益、高投放与低产出共存的问题。一部分审计机关对计算机审计在某些领域寄于较高的期望,不断加快硬件的更新,但设备和信息利用程度及使用效益却不高。缺乏审计现场应用和审计资料的整理、归纳,使得计算机网络管理、分析、数据处理等功能没有充分发挥出来,造成资源浪费。从而导致高技术与低效益、高投放与低产出并存,审计成本不断攀升。
2.审计软件不成熟、不完善。目前相当一部分软件公司积极参与财务软件的开发,审计软件的开发相对较少。其结果是开发出的审计软件在与财务软件的接口不够通畅及智能化。
3.审计信息化建设的重点不够突出,发展不平衡。在具备一定物质条件后,缺乏以应用为导向和正确的理论指导,没有及时把审计信息化建设的重点转移到审计实施和审计管理的应用上来。造成不同地区、层级之间审计信息化发展不平衡,存在着重硬件轻软件、重文字处理轻审计实施、重设备轻培训的情况。
4.设备闲置和紧缺的现象。审计信息化是一个完整的系统,但由于在审计公司各行其是、自成系统,从而造成了各应用单位自成体系,重复投资开发,设备闲置和紧缺现象并存。
5.人才紧缺是制约审计信息化建设和发展的关键。近几年虽然计算机技术不断发展,但很多审计人员知识更新慢,计算机并没有得到充分的应用。因此审计系统计算机人才缺乏的问题,也是制约审计信息化建设和发展的因素之一。
二、对我国审计信息化的几点建议
针对目前内部审计信息化建设的现状,内部审计人员正在采取积极措施,努力加快信息化建设的步伐。同时,鉴于有些行业和单位部门,本文提出以下建议:
(一)加大信息资源共享针对计算机审计存在的“信息孤岛”现象
审计署应该采取措施加强各个审计机关在计算机审计上的交流与宣传,整合审计资源,实现审计信息的有效共享。各审计机关同业务科室之间可以互相借鉴经验,不同业务科室之间也可以通过交流启发思路。
(二)以人为本,加大培训力度
知识匮乏、计算机审计水平低,已成为制约内部审计信息化建设的瓶颈。当第一,通过培训,大力提高内部审计人员计算机审计的水平和能力,使之尽快成为既熟悉本单位业务又掌握计算机审计技术的复合型人才。第二,在培训方面应坚持经常性培训同时制定出计划,并严格按计划实施。同时分层次培训,对于基础较弱审计人员,加大审计软件操作的培训;对基础好的人员,加大审计软件的开发及模板的制作。第三,把审计人员的自觉性调动出来。第四,根据个人的意愿将培训与自学结合起来,同时请专家授课。
(三)加快建成适应计算机审计和计算机管理的应用平台
在现有应用设施的基础上,主要应大力推广使用审计署研究开发的“金审工程”应用系统,为推进审计信息化搭建一个技术先进、可持续发展的审计业务和审计管理信息化操作平台,这是审计信息化建设的核心。
(四)计算机审计应分行业、分层次开展
计算机审计在不同行业开展的情况不通过,对于数据集中、信息利用高的行业如银行,要加大计算机审计的应用。而对于数据利用不高、信息化较差的行业如农业,只能从源头上下功夫。
(五)加快制度建设,为内部审计信息化建设提供制度保障
目前有关内部审计信息化建设方面的制度还不完善。政府审计和社会审计相继出台的政策为开展计算机审计提供了具体的依据。内部审计只是在一些规定中提出了原则,缺少具体计算机审计的规定。因此,有关部门应在综合考虑内部审计的需要,制定具体的计算机审计的制度。本文建议,在制定具体准则时,应侧重于对计算机系统内部控制的评价、计算机审计过程和相关的审计技术以及证据收集等,同时对内审部门开展计算机审计明确权限、具体内容和范围,促使内部审计信息化建设制度化、规范化。
参考文献
“信息系统审计”是近些年来在中国出现的一个新名词,目前还没有一个明确的概念。而在国外,尤其是在美国、日本、英国、加拿大等发达国家,信息系统审计已经发展到相当程度,信息系统审计的理念也已深入人心。国际信息系统审计领域的权威专家RonWeber对信息系统审计的定义,即信息系统审计就是“收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。在计算机没有出现之前,信息系统是以人为基础的,信息的收集、处理、传递和存储都是由人来完成的。随着计算机的出现以及信息技术的进步,以计算机为基础的信息系统也得到了不断发展,并且主要应用于经济管理活动之中。企业以信息系统和信息技术为基础,改变自己的财务、经营管理等活动,以此来更好地实现企业的目标。在这一过程中,传统的手工审计方式受到了极大的影响,同时,企业的信息化也引发了很多企业和社会的问题。正是这些影响和问题促使信息系统审计不断发展。
1审计对象的发展导致了审计人员必须开展信息系统审计
在信息技术向人们工作、生活的每一个角落发起全面冲击的大潮中,信息技术不仅改变着人们的行为方式,同时也改变着人们的思维方式。而审计这个以鉴证财务信息的真实、公允为目的的行业则不可避免地受到信息技术飞速发展所带来的冲击与挑战。目前油田企业不仅仅是会计实现了电算化管理,在采购、销售、保管等业务环节也都实现了计算机管理,如早在前几年油田分公司已全面推行使用了新型企业管理模式的企业资源管理系统———ERP系统,2011年油田管理局存续公司全面推行使用了中石化集团公司会计集中核算系统。这些都迫使我们为了规避审计风险,确保审计质量而必须加快信息系统审计的步伐。企业的管理及信息处理经历了手工处理、会计系统计算机化、企业信息系统集成化三个比较突出的阶段。在最初的手工处理阶段,企业内部的信息最初是以手工处理的方式进行,一个企业的会计部门,通过不同岗位之间的分工协作,将企业在日常经营活动中产生的财务资料进行加工处理,形成企业内部和外部需要的各种会计信息。在这种情况下的审计方式毫无疑问是手工的形式,审计的对象也是人和纸质文档;20世纪90年代中期以后,在会计系统计算机化阶段,会计电算化工作在我国得到大规模的普及,企业的会计信息系统已经全面实现了计算机管理。这时的审计人员已经开始意识到计算机审计的重要性,但对计算机审计的认识还停留在对电子数据的采集和分析阶段,实际上是运用计算机进行辅助审计,充分发挥了计算机的运算功能,在提高审计效率、发现审计线索起到了很大的作用;20世纪90年代后期至今,油田企业已逐步进入了企业信息系统集成化阶段,会计电算化已逐步走向成熟,而企业的信息化建设并没有就此止步,以ERP、MRP-Ⅱ为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统不仅仅是一个个孤立的系统,而是集财务、人事、供销、生产为一体的综合性的信息系统,财务信息只是这个系统所处理信息的一部分,单独的财务系统已不存在。在这种情况下,审计人员只有对整个系统进行全面了解,才能把握审计对象的总体情况,避免审计风险,将审计成果最大化。从企业信息化的发展历史可以看出,由于审计人员所面临的审计对象的不断变化,促使审计方式也随之改变,信息系统审计也就在这种历史背景下应运而生。
2开展信息系统审计面临的问题
2.1审计观念的转变
观念问题也就是认识问题。如果不转换审计观念,将审计目标仅仅局限为查错纠弊,势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”,则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。比如在ERP环境下,部分审计人员认为只需将所需的数据从ERP系统中导出,然后按照旧的工作思路和方法进行核对,不加分析,不加判断,继续按照旧环境下容易出现的错误及舞弊为起点进行审计,其结果可能是既浪费时间又没有成效。因为许多核对工作ERP系统已经能自动完成,仅仅数据的正确并不能表示被审单位信息系统中权限管理、参数的设置及修改控制等是否存在问题。对此,我们应改变现有的工作思路和审计观念,只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。审计中发现的很多错弊,都是由于管理上出了漏洞,也就是系统出了问题。如通过对油田分公司中部分单位进行内部审计时就发现存在个别管理人员随意将自己在管理系统中的用户名和密码给他人使用的现象,最终导致管理上出现了较大漏洞。一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是帮助和促进被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。
2.2信息系统审计的专业人才的缺乏
开展信息系统审计不仅仅需要审计人员在业务方面有很强的能力,并且在计算机数据库理论、实务操作、设计等方面有很高的要求,即需要一批既掌握现代审计理论与实务,又了解计算机、网络技术并且通晓被审计单位业务的复合型专业人才。但从目前的人员数量和知识结构上看,还远远达不到要求。一方面受现有人员的知识结构和年龄结构限制,审计人员的计算机应用水平参差不齐,影响了审计信息化工作的整体推进。另一方面,虽然油田企业近几年为内部审计人员举办了ERP培训班、AIS培训班等大型培训,使大部分内审人员通过强化培训迅速掌握了审计现场必备的计算机操作、网络审计等基本技能,但由于因存续公司与上市公司审计人员的权限分配、业务性质等原因导致部分审计人员在实际审计工作中不同程度在出现了对先进的ERP、AIS系统学而不用,专而不精的现象,信息系统审计整体作用发挥不够明显。
2.3行业标准与实务指南
信息系统审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业的标准和规范。这将是信息系统审计进一步发展的基础。这也是所有行业发展的共同规律。没有标准和规范,所有的实践活动只能局限在较低水平。
3信息系统条件下油田企业内部审计的实施
3.1对被审计单位的信息系统的可靠性和内部控制进行评价
内部审计人员应关注油田相关信息系统并从以下几点对被审计单位内部控制、系统的安全可靠性开展审查。一是调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整。重点可进行硬件及环境控制审查,即对存档的系统设计文本中有关硬件的资料进行审查,定期检查硬件设备并依据针对计算机管理程序有关要求测试硬件的可靠性;运行审查,即对计算机在输入、处理、输出过程中的运行情况审查;修改方式及保密措施审查等。二是对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;三是通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。
3.2充分利用计算机网络开展审计
迄今为止,油田企业内部单位的会计核算都实现了计算机管理,80%以上的单位(包括其下属的三级单位)全部使用的是国产的财务或管理软件(部分已具备了网络财务功能)。有的建立了内部网络管理和信息系统,实现了数据共享。这为网络审计软件的开发和审计网络的建设奠定了基础,也为开展信息系统审计提供了良好的工作平台。比如:油气田企业每年都要发生大量的采购行为,对此进行审计监督,降低采购成本,已成为内部审计的重要任务。而在完成这一任务过程中,审计人员对价格信息的采集和分析确认至关重要,借助的重要手段之一就是利用包容大量信息的互联网络、借助计算机、互联网和通讯等技术。由于油气田企业已于2002年实行了网上采购,内部审计部门要实现对物资采购业务电子化交易和结算业务的全过程审计、监督,就可以充分利用网络获得拟购买的劳务或产品的性能、价格、厂家的资质等经济信息,结合其他审计方法,对采购行为经济与否作出恰当的评价。再比如进行工程成本审计,审计人员同样也可以利用网络取得有关建筑材料、设备、机电仪表等价格信息,可计算出较合理的材料差价和工程造价。
3.3全面开展会计电算化系统审计
随着油气田企业管理的进步和内部监督约束机制的完善,内部审计工作的重点也从常规审计转向管理及效益等经营审计。审计人员在开展此类业务时,可通过进行科学抽样审计,利用项目测试辅助审计软件,输入运行参数,再读入拟抽取样本的数据库,确定抽样字段后,由计算机自动完成样本抽取、计算等工作,从而确定审计重点。如资产真实性审计,即可通过计算机抽样,再对样本实物进行重点跟踪盘查。同时在油气田企业开展管理和效益审计,审计人员仅凭对会计资料的审查,很难发现生产经营过程中存在深层次问题,无法准确评价与所审计的经济活动相关的内部控制的有效性。因此,要达到审计目的,就必须将与企业经营活动相关的信息流、资金流与物资流紧密结合,进行统计、比较、分析,找出存在经营风险的关键部位。我们知道,要完成这些工作,依靠手工操作,其工作量是难以想象的,而且不能保证较高的质量,但计算机的应用可以有效解决这一难题。编制审计辅助软件,将与审计项目相关的会计数据等信息拷贝或输入,再由计算机进行汇总、计算、分析,优选重点实施审计。
4促进油田企业开展信息系统审计的关键因素
在信息技术条件下,面对审计环境所发生的深刻变化,油田企业内部审计依靠传统的审计手段、技术和方法已经很难开展信息系统审计。
现阶段加快内部审计网络化、电算化建设是油田企业迫在眉睫的任务,在企业内部实现信息系统审计,也是油田内部审计适应网络经济和电子商务发展、追赶发达国家企业内部审计发展水平以及与国际惯例接轨的必然趋势。
首先,需要解决的问题是实现审计理念的转变。内部审计人员的审计理念要由主要是以财务审计为重点的传统审计理念向以内部控制审计、风险导向审计为重点的现代审计理念转变。在油田企业管理网络化、数字化迅速发展的环境下,内部审计人员要逐步向重点关注、开展油田内部控制审计、风险导向审计、经济效益审计、社会责任审计、人力资源审计以及环境审计的这一主要趋势转变。应全面树立系统基础审计或风险基础审计的观念,对信息系统审计的理解不应只停留在计算机辅助审计或辅助审计软件开发及应用的层次上,而是要通过信息系统审计帮助和促进被审计者确定信息化的目标和内容,选择合适的信息系统。
(一)审计队伍素质不强
基础薄弱随着国家经济建设的发展,审计内容和范围的不断增加,审计职能对所从事的人员应该具备的业务知识要求也不断提高,审计人员在日常工作中不仅要熟练掌握财会知识,还要了解基本建设、物资采购、法律法规、商品价格等等各种知识。而现在的审计人员大部分所学的专业都比较单一,要么是专门的财会人员,要么是专业的工民建专业,或者是法律专业,没有形成一支综合型、复合型的人才队伍。这就导致审计过程中,审计人员不能很快进入角色,准确识别良莠,对各类被审人员利用自身熟练的业务水平从中作弊的情况看不出或拿不准,现翻资料,现学现问,使问题迟迟不能披露,这必然推延时间,影响审计工作效率。
(二)选用审计方法不当
浪费资源审计方法是贯穿于审计过程始终,衔接各项具体工作的纽带,审计人员采用正确方法,就可以及时查清问题,取得充分有效的审计证据。而实际操作中,如果对审计项目不能做到从实际出发,因地制宜将各种方法结合运用,一味追求齐、全、深,逐页看凭证,泛泛抄写数字、资料,顾此失彼,因小失大,抓不住主要问题和主要矛盾,浪费审计资源,降低审计效益,从而制约审计效率提高。
(三)法律法规不熟悉
定性不准审计依据就是审计人员进行审计时判断经济活动合规性、合法性、正确性的准绳,是提出审计意见、做出审计结论的客观标准,是加快审计任务顺利完成的关键。审计依据的种类很多,包括法律、法规、计划、合同、业务规范、会计制度等等,审计人员因自身所学限制不可能掌握与审计对象有关的所有政策,因此在审计过程中,要么是不知道依据,到处收集、寻问,认定不准,难以一锤子定音;要么是不能全面、历史、辩证地使用审计依据,造成对套用的法规依据产生模棱两可的看法,无所适从,欲用不得,欲弃不舍。延误时间,错误判断,影响审计工作效率。
(四)论据不能说明问题
取证乏力收集、鉴定、综合评定审计证据,并据以做出审计结论和意见的过程,不仅是审计实施的过程,也是审计人员对审计对象认识不断深入,并逐步对其评价的过程。审计按要求取证,是提高审计工作效率的前提。在审计中由于取证不慎重,因而有时取得的证据不真实或者只凭被询问人的口证取得旁证,证明质量不高。为避免审计风险对证据要进行复查,这必然费时、费力,影响审计工作效率。
(五)审计手段较落后
不能适应监督的需要目前,审计人员的审计工作大部分还是手工操作,没有形成全国性的联网审计,审计手段相对落后。随着国家经济建设的发展,各行各业为了提高自身的工作效率,都在开展信息化建设,审计作为依法治国的重要监督手段,为了开拓工作领域,提高工作质量,更好地行使“免疫系统”的职能,必须与时俱进,紧跟被审计行业的发展。当前,审计工作一是缺乏相应的审计软件,无法实现审计工作的流程化、标准化和规范化;二是审计队伍中计算机和信息系统专业人才比较缺乏,难以对信息系统工程的成本和造价进行核实;三是信息化建设属于新兴产业,国家还没有相应的规章制度,也没有相应的造价信息,造成信息化审计无据可查,无本可依。影响了审计工作的效率,不能实现“信息工作基础化,基础工作信息化”的工作目标。
二、提高审计工作效率的几点对策
(一)努力建设审计队伍,提高人员素质
“工欲善其事必先利其器”,优秀的审计人才是做好各项审计工作的基础,只有懂本行,拥有过硬的业务能力,凭自己的实力、技艺、智慧、毅力去拼搏,才能在审计过程中发现被审计单位财经方面存在的问题,才能规范他们的管理行为,使被审计单位口服心服。因此建设一支过硬的审计队伍,是审计事业发展的重中之重。要抓好人才队伍建设,一是要选好用好人。二是要培育审计人员高尚的职业操守。三是要加强业务能力。要采取业务培训、岗位练兵和实践锻炼等方式,不断提高审计人员查找发现问题的能力。如何“强素质”?笔者认为学习是关键,应做到“三个结合”,一是定期培训与自学相结合;二是理论研究与实践经验相结合;三是应用法规文件时原则性与灵活性相结合。审计人员素质提高了,审计工作就能得心应手,审计工作效率也会随之提高。
(二)正确运用审计方法,提高审计效益
审计方法分为两大类,即一般方法和技术方法。不同的审计方法,在审计投入与产出方面的作用是不同的,如抽查法适用于业务量大,允许一定审计风险存的项目,详查法适应于业务量少,需要做出准确审计结论的项目,分析法适用于侧重经济管理和经济效益的审计项目。在审计过程中,审计人员要以事实为根据,以法律为准绳,运用科学的分析、推理和判断来决定应该使用的审计办法,形成正确的审计结论,不断提高审计质量和效益。
(三)及时掌握审计依据
保证定性准确法律、法规、制度等是审计工作报告最后定性的重要依据,十八届四中全会强调依法治国,依法行政,审计的核心价值观也提出了“忠诚、依法、公正、廉洁”的要求,因此,作为经济运行的监督者,审计人员更要知法,守法,对待每一个审计项目要严肃认真、严谨细致、严格执法,时刻把神圣的职责放在心中。日常工作中一要重视各类法规制度的收集和整理,发挥专职与兼职法规机构的作用,指定专人收集文件,收藏、借阅进行登记并有手续,保证文件、法规的存在性;二要正确地运用审计评价依据,要做到当前利益与长远利益相结合,兼顾国家、集体和个人利益,要用历史的眼光评审已经过去的审计事项。三要以书面文件为准。引用依据时,必须查对原文,不能单凭记忆,防止歪曲文件精神。只有选择最恰当的审计评价依据,提出切合实际的审计意见,做出正确的审计结论,才能提高审计效率。
(四)密切联络双方关系
创造和谐环境被审计单位的配合和支持是按时完成审计任务的外部条件,审计小组成员在审计期间,应严格按照审计准则办事,遵守职业道德,严肃审计纪律;要主动向被审计单位征求意见;办理审计事项时,做到客观公正,实事求是,以良好的自身素质取得被审计单位的信任。只有审计人员与被审计单位配合默契,审计业务核对及交换意见等工作才能顺利完成,从而提高审计工作效率。
(五)加强理论研究
关键词:审计主题;信息审计;行为审计;财务信息审计;非财务信息审计;
作者简介:郑石桥,南京审计学院教授,博士生导师,主要从事审计理论与方法研究,联系方式zhengshiqiao@163.com;;宋夏云,南京大学博士后,主要从事政府审计理论与方法研究。;
一、引言
任何审计都是围绕一定的主题来展开的,通常将这个主题称为审计主题。事实上,审计主题也就是审计人员所要发表审计意见的直接对象,审计过程就是围绕审计主题收集证据并发表审计意见的系统过程。一般来说,审计主题可以分为两类,一是信息,也就是通常所说的认定;二是行为,也就是审计客体的作为或过程。与上述两类主题相对应,审计也可区分为信息审计和行为审计,信息审计的审计主题是信息,而行为审计的审计主题是行为(谢少敏,2006)。[1]由于这两类审计的主题不同,导致它们在许多的审计基本问题上都存在重大差异。然而,在审计学的发展过程中,主要关注了信息审计,对行为审计缺乏研究。
本文以审计主题为基础,就审计基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。本文随后的内容安排如下:首先是一个简要的文献综述,梳理相关文献;在此基础上,就审计的十个基本问题,对信息审计和行为审计进行比较;然后,从信息审计和行为审计视角,分析审计学发展的现状,并展望未来的发展;最后是结论。
二、文献综述
信息审计包括财务信息审计和非财务信息审计。以财务报表为代表的财务信息审计有大量的研究文献,可以说是汗牛充栋(莫茨和夏拉夫,1990)。[2]这些研究文献大多数都是站在注册会计师审计的角度。但是,对于非财务信息审计的研究文献很少,除了借用财务信息审计方法外,非财务信息审计也有一些新方法。例如,英格兰及威尔士审计委员会要求相关国家审计机关对公共部门的绩效指标进行审计,由于这些绩效指标大多数是非财务信息,这些审计机关采用的工作方法是,不对数据本身进行审计,而是对数据产生的流程进行审计,并公布对这些流程的审计结果(Bowermna,1995)。[3]
与信息审计相比,行为审计历史源远流长,然而,对它的研究却很少(审计行为有大量的研究,但是,审计行为不是行为审计)。国外的代表性人物是日本的鸟羽至英,他认为,行为审计有如下特定问题:需要就评价标准达成共识,需要对当事人的行为优劣进行评价,因此,就评价标准达成共识是行为审计顺利进行的必要条件。通常审计人被授予较大的权限,由于评价特定行为是非的标准很难在短时间内达成共识,因此,行为审计往往授予审计人较大的权限以保证当事人接受审计结论。往往缺乏确定的审计命题,行为审计通常是责任方并没有给出具体的审计命题,需要审计人员确定审计命题。在缺乏相应的行为标准的情况下,意味着审计人员必须自己判断并决定审计对象的领域。只能提供消极保证,因为审计命题的宽泛性和模糊性,行为审计只能提供消极保证。受伦理道德的影响较大,行为审计对审计人员带来很大的心理负担,行为审计是否有所作为,与审计人员的个人素质有很大的关系(鸟羽至英,1995)。[4]国内只有谢少敏(2006)在其教材《审计学导论:审计理论入门和研究》中提到信息审计和行为审计的概念,并介绍了鸟羽至英教授的研究成果。[1]
行为审计的一个相关领域是网络用户行为审计,是指在获得网站访问基本数据的情况下,对有关数据进行统计、分析,从中发现用户访问网站的规律。针对网络用户行为审计有不少的研究文献,主要关注其中的技术(刘恒胜,2005)。[5]网络用户行为审计虽然不是本来意义上的行为审计,但是,对行为审计有一定的启发。
总体来说,非财务信息审计的研究成果缺乏,行为审计研究成果更缺乏。本最基础性的研究,就审计的十个基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。
三、行为审计和信息审计的比较
行为审计和信息审计由于审计主题不同,所以,在审计的许多基本问题上都呈现差异。本文就审计动因等十个审计的基本问题,对行为审计与信息审计进行比较。
(一)审计动因
审计动因就是审计产生的原因。一般来说,审计源于委托关系、机会主义倾向和问责,在委托关系下,由于信息不对称、激励不相容和环境不确定等原因,人可能会产生机会主义倾向,如果委托人对人的这种机会主义倾向介意,就会产生问责需求,审计是适应问责需求而产生的一种独立鉴证机制,机会主义倾向是审计的动因(郑石桥和陈丹萍,2011)。[6]
然而,信息审计和行为审计由于审计主题不同,上述机会主义倾向和问责的内容不同。就信息审计来说,人的机会主义倾向主要表现为信息虚假,也就是说,人在向委托人或其他相关者提供信息时,故意弄虚作假,以达到实现其自利的目的。针对人的信息机会主义倾向,委托人的问责需求是搞清楚信息的真实状况。此时,适应这种问责需求的审计,就是对人提供的信息进行鉴证。所以,信息机会主义倾向是信息审计的动因。
就行为审计来说,人的机会主义倾向主要表现为不按委托人的期望或约定来实施特定的行为或过程。在委托关系中,委托人对人并不只是一种结果上的期望,还有行为或过程方面的期望,也就是期望或要求人按特定的方式来实施某些行为,而由于信息不对称、激励不相容和环境不确定等原因,人可能会偏离委托人的期望或要求,实际履行的行为或过程与委托人的期望或要求有差别。针对人的行为机会主义倾向,委托人的问责需求是搞清楚人行为的真实状况。此时,适应这种问责需求的审计,就是对人提供的行为(包括过程)进行鉴证。所以,行为机会主义倾向是行为审计的动因。
(二)审计目标
目标就是人们想要达到的境地或标准,审计目标是审计工作想要达到的境地或标准,它是审计工作的出发点和归宿。一般来说,审计目标可以从审计人和委托人角度来理解。
总体来说,从审计人角度来看,审计目标就是希望通过审计活动想要达到的境地或标准,具体来说,就是对委托人所关注的主题或事项发表专家意见,就是鉴证人是否存在偏离委托人期望的机会主义倾向。从委托人的角度来看,审计目标就是通过对审计意见的使用来达到一定的境地或标准,具体来说,就是通过审计意见来约束或激励人,也就是约束人的机会主义倾向,使其行为更加符合委托人的利益。
从信息审计来说,审计人视角的审计目标就是对信息的真实性(或公允性)进行鉴证,也就是对委托人关注的某些特定信息的真伪进行鉴证,并在此基础上,发表专家意见。这种鉴证的本质是鉴证人是否存在信息虚假等机会主义倾向。委托人视角的审计目标是通过对信息审计意见的使用来约束人的信息机会主义倾向,从而使得人能给委托人提供真实公允的信息。
从行为审计来说,审计人视角的审计目标就是对行为的合规性(或合法性)进行鉴证,是对委托人关注的人某些特定行为是否符合委托人的期望进行鉴证,并在此基础上,发表专家意见。审计人要实现这个目标,就需要搞清楚人究竟有哪些实际行为,并在此基础上,判断这些实际行为与委托人期望是否一致。这种鉴证的本质就是鉴证人是否存在行为机会主义倾向。委托人视角的审计目标就是通过对行为审计意见的使用来约束人的行为机会主义倾向,从而使得人不发生或很少发生偏离委托人期望的机会主义倾向。
《中华人民共和国国家审计准则》指出,真实性是指反映财政收支、财务收支以及有关经济活动的信息与实际情况相符合的程度,这是对信息审计目标的规定;合法性是指财政收支、财务收支以及有关经济活动遵守法律、法规或者规章的情况,这是对行为审计目标的规定;效益性是指财政收支、财务收支以及有关经济活动实现的经济效益、社会效益和环境效益,这是在真实性和合法性审计的基础上,将鉴证后的信息或行为与一定的标准进行比较,以评价其结果或行为的优劣,既适用于信息审计,也适用于行为审计。从本质上来说,效益性是将真实的信息或真实的行为与一定的标准进行比较,评价其优劣,不是审计目标,而是评价目标,效益性不能审计,只能评价。
(三)审计主体
审计主体关注的是谁来审计。一般来说,审计主体分为政府审计、内部审计和民间审计。从技术上来说,各种审计主体都可以从事信息审计和行为审计。但是,由于这些审计主体在不同的委托关系中发挥作用,从而出现审计侧重点不同。
政府审计的主要作用领域是公共部门,这些部门的财产是公有的,所以,人产生机会主义倾向的可能性相对较大。在这种情形下,信息审计当然要做,但是,在机会主义倾向较严重的领域,行为审计的需求可能更强烈。例如,我国的财政财务收支审计是重点,而财政财务决算审计并不是重点。当然,随着公共治理的完善,行为审计需求会降低,信息审计的重要性会提升。
民间审计的主要作用领域是私营部门,这些部门的产权关系较清晰,相对于公共部门来说,私营部门的治理结构更为成熟,人产生机会主义倾向的可能性要低些。委托人对人特定行为的关注较少,主要关注的是人所产生的结果,所以,信息审计的需求较大。正因为如此,会计报表审计一直是民间审计的主要业务。当然,在特定的情形下,私营部门也可能会有行为审计的需求。例如,在审计发展的早期,对于管理层舞弊的审计是重要的审计业务,现在的内部控制审计也是这种情形。
内部审计的主要作用领域是内部委托关系。一般来说,在内部委托关系中,对于下属组织和个人是否遵守既定的行为准则较为关心,所以,行为审计是内部审计的重点业务。信息审计的需求程度与信息生产制度有关,如果组织内部的信息是集中处理的,则信息审计需求不强;如果信息是分散处理的,则信息审计需求会较强。
(四)审计客体
审计客体关注的是对谁审计,一般分为组织和个人。当审计客体是组织时,审计范围是整个组织的信息和行为,凡是属于该组织的信息和行为,都属于审计对象,超出该组织的信息和行为就不属于审计范围。一般来说,确定特定组织的信息和行为范围并不困难。当审计客体是个人时,审计范围是与特定个人有关的信息和行为,凡是属于与该特定个人相关的信息和行为,都属于审计对象,与该特定个人无关的信息和行为就不属于审计范围。一般来说,在一个组织内部,要将信息和行为明确区分与某特定个人是否相关,存在一些困难,当审计客体的职位越高,由于其影响范围越广,确定与其相关的信息和行为越是困难。所以,以组织为审计客体,行为审计和信息审计的范围较清晰,而以个人为审计客体时,行为审计和信息审计的范围存在一定的模糊性。
虽然审计客体可区分为组织和个人,但从审计主题来说,对于组织的审计,如果关注行为过多,则审计成本可能很高。所以,对于组织的审计,更多地偏向信息,而对于个人来说,行为是一个重要的审计主题。
(五)审计内容
审计内容关注的是审计什么。对于审计内容可以进行多种分类,例如,根据审计的具体事项类型,可分为舞弊审计、财务审计、合规审计、绩效审计等;而从审计主题出发,可分为信息审计和行为审计。一般来说,审计内容包括两个方面,一是审计主题,二是审计命题。审计主题就是审计人员所要发表审计意见的直接对象,而审计命题则是审计主题的分解,只有鉴证了各个具体的审计命题,才能对特定的审计主题发表审计意见。信息审计和行为审计在审计主题和审计命题方面存在重大差异。
信息审计的主题是特定信息,也就是审计客体的陈述或者认定,审计人需要就审计客体的陈述或者认定发表意见。例如,会计报表审计是典型的信息审计,其审计主题就是会计报表信息,也就是会计报表中表达的各种认定或陈述。信息审计的主题内涵丰富,需要对其进行分解,确定为一些具体的可证明的命题,这就出现了审计命题。例如,会计报表信息,要区分交易、余额、列报,分别确定它们的认定,在此基础上,根据交易、余额、列报的认定,确定具体的审计目标。这种具体审计目标,实际上就是审计命题,它是审计主题的具体分解,只有对一个个的具体审计命题进行了鉴证,才能对由它们组合而成的审计主题发表意见。一般来说,特定信息作为一个审计主题,可以基本穷尽地分解为具体的审计命题。
行为审计的主题是特定行为,审计人需要就审计客体的特定行为发表意见。例如,舞弊审计是典型的行为审计,其审计主题是审计客体的舞弊行为。要判断审计客体是否存在舞弊行为,需要对舞弊行为进行分解,这就出现了审计命题,也就是审计人需要鉴证审计客体在哪些具体方面存在舞弊。例如,将舞弊行为按不同的业务经营环节划分或者按舞弊方式分类或者按舞弊动机分类等,这些分类的结果就是具体的审计命题。一般来说,由于行为发生的时间、地点和方式非常丰富,对特定行为进行分解可能难以穷尽,也难以形成一个公认的分解体系,所以,行为审计的命题确定具有多样性、非穷尽性。对于特定的行为,不同的审计人确定的审计命题会有区别,并且无论是谁,都无法穷尽特定行为的审计命题。
(六)审计依据
审计依据是审计中的既定标准,也就是审计人对信息或行为进行鉴证的尺度或标准。信息审计和行为审计在审计依据方面存在较大的区别。
从信息审计来说,审计依据是信息应该如何收集、加工和报告的规定,是关于信息如何生产的具体规定。审计人要做的是,收集证据,判断审计客体是否按这个具体规定在生产信息,如果不按规定生产信息,还要判断其偏离程度,如果偏差超出重要性水平,就判断为信息不真实。例如,会计报表审计,主要是收集证据,判断审计客体是否按会计准则的要求进行会计处理和报告,如果发现审计客体在重大事项上存在偏离,则判断会计报表为不真实。一般来说,信息生产的具体规则可以很清晰,并且特定审计客体在一定时期遵守的特定信息生产规则具有唯一性,所以,信息审计依据的确定并不困难。
从行为审计来说,审计依据是判断人行为是否适宜的既定标准,是关于审计客体应该如何行为的具体规定。审计人要做的是,收集证据,判断审计客体是否按这个具体规定在行为,如果不按规定行为,还要判断其偏离程度,如果偏差超出重要性水平,就判断为行为不合规。例如,管理审计,本质上就是判断审计客体的管理行为是否偏离既定的管理标准。
对于某些行为审计来说,可能存在明确的审计依据。例如,舞弊审计、财务收支审计、合规审计等。然而,对于某些行为审计来说,审计依据的确定是行为审计的一个困难之处(鸟羽至英,1995)。[4]对于许多特定行为来说,什么是“既定标准”可能难以达成共识。以管理审计为例,确定什么是适宜的管理行为,其关键是确定管理应该怎么做。而对管理应该怎么做要达成共识可能较为困难。例如,对于特定的组织来说,究竟集权是适宜的,还是分权是适宜的,可能难以有一个一致的认识。也许正是因为审计依据方面存在的问题,管理审计的发展遇到了困难。
(七)审计程序
审计程序是获得审计证据的具体方法,不同于审计步骤。在我国,由于文字表述的原因,审计程序也有审计步骤的意思。但是,从本意上来说,审计程序是审计方法,而不是审计步骤。
从审计程序的成熟性来看,信息审计可区分为财务信息审计和非财务信息审计。财务信息审计过程中可以采用审阅、询问、监盘、观察、调查、重新计算、重新执行、分析性程序等审计程序来获取审计证据。非财务信息审计程序,一方面可以借用财务信息审计的一些程序,例如,分析性程序和重新计算;另一方面,还需要一些非财务信息审计的新方法。例如,英格兰及威尔士审计委员会要求相关国家审计机关对公共部门的绩效指标进行审计,由于这些绩效指标大多数是非财务信息,这些审计机关采用的工作方法是,不对数据本身进行审计,而是对数据产生的流程进行审计,并公布对这些流程的审计结果(Bowermna,1995)。[3]此外,还可以采用专家委托和实验法。但是,总体来说,相对于财务信息审计程序,非财务信息审计程序还远未成熟,对于许多非财务信息,还没有适宜的审计程序。
关于行为审计程序,可以借用财务信息审计程序,例如审阅、询问、观察、调查等;也发展了一些成熟的专门方法,例如,重新执行和穿行测试。同时,行为审计的新方法还在不断出现,例如,调查问卷、设立意见箱、公布联系电话、座谈会、走访有关单位等。但是,总体来说,相对于信息审计特别是财务信息审计,行为审计程序还远未成熟,对于许多行为,还没有适宜的审计程序。
(八)审计取证模式
审计程序有多种,每种程序各有其利弊,审计模式是审计程序的组合,不同的审计程序组合就产生不同的审计模式,不同的审计模式适用于不同的审计环境,具有不同的审计效率和效果。
从审计技术逻辑来说,信息审计属于命题论证型方法,从基本命题中引出一组可观察命题,通过证明可观察命题进而证明基本命题的方法。这里的论证方法就是前面提到的审计程序,如果已经有成熟的审计程序及其组合,就会出现审计模式。财务信息审计程序及其组合就比较成熟,先后出现了账项基础审计、制度基础审计、风险基础审计、现代风险导向审计这些审计模式。而非财务信息审计,由于其审计程序并不成熟,所以,尚未形成有效的非财务信息审计模式。
行为审计的技术逻辑属于事实发现型,但由于行为审计的命题具有多样性、非穷尽性,到目前为止,行为审计的程序还在发展之中,并未有成熟的审计程序及其组合,所以,也未能形成有效的行为审计模式。
(九)审计结论
审计结论是审计人对特定审计主题给出的专业意见,实际上,也就是审计人就特定信息或行为与既定标准之间的符合程度发表的鉴证意见。
由于审计命题、审计程序和审计模式等方面的差异,财务信息审计、非财务信息审计和行为审计在审计结论方面存在较大的差异。财务信息审计由于具有清晰且可穷尽的审计命题,审计程序相对成熟,并且出现了各种有效的审计模式,所以,一般采用合理保证的方式发表审计意见。对于使用者来说,这种审计意见的价值较大。对于非财务信息审计来说,审计命题的确定虽然可以借鉴财务信息审计的程序和模式,但是,其本身还是具有自己的特征。同时,审计程序和审计模式还不成熟,所以,还未出现以合理保证的方式发表意见的非财务信息审计。对于行为审计来说,由于审计命题具有多样性、非穷尽性,同时,行为审计的程序还在发展之中,也未形成有效的行为审计模式,所以,一般采用有限保证的方式发表审计意见。对于使用者来说,这种审计意见的价值较低,甚至还存在审计期望差。
(十)审计职业判断
无论何种审计都存在职业判断,但是,信息审计和行为审计在职业判断方面存在较大差异,行为审计中的职业判断比信息审计更多且更困难。例如,信息审计特别是财务信息审计,能按一定的逻辑结构确定审计命题,而行为审计命题的确定则需要更多的职业判断;选择既定标准需要职业判断;信息审计的审计依据一般较为明确,而许多行为审计则需要审计人根据职业判断来选择审计依据;信息审计特别是财务信息审计程序和模式都较为成熟,应用这种程序和模式获取审计证据需要职业判断,但是,相对于行为审计的审计程序和模式不成熟来说,信息审计取证中的职业判断要少些;根据审计证据对审计主题与既定标准之间的相符程度做出判断,信息审计由于既定标准清晰,所以,做出这种判断的主观成分就少些。而行为审计在做出这种判断时,主观成分就较多。
四、关于审计学的发展
以上就审计的十个基本问题,对信息审计与行为审计进行了比较。两种审计在这些方面的差异,势必影响审计学的发展。尽管审计历史很悠久,但是,发展到目前为止,主要的审计业务类型并不多,主要包括:舞弊审计、财务收支审计、会计报表审计、合规审计、绩效审计、内部控制审计/管理审计等等,针对不同的审计业务类型,都形成了相应的专业审计学。各专业审计学的审计主题归纳如表1所示。
在专业审计学中,会计报表审计有较为成熟的审计实务(具体体现为相关审计准则),与之相一致,会计报表审计学也较为成熟。大多数的所谓审计学,其实就是会计报表审计学。例如,被全球审计学界奉为“圣经”的《蒙哥马利审计学》、代表英国最高水平的《迪克西审计学》以及世界各国广为采用的阿伦斯的《审计学:一种整合方法》,实质上都是会计报表审计学。绩效审计实务在美国等发达国家开展较多,技术和方法也较为成熟(具体体现为相关审计准则),与之相一致,绩效审计学也较为成熟。舞弊审计、财务收支审计、合规审计虽然产生时间较早,但是从各国及国际审计组织的审计准则可以看出,并未形成公认的审计实务,凭经验审计的成分很多,所以,这些门类的专业审计也不成熟。内部控制审计/管理审计虽然有一定的历史,一些国家和国际审计组织也颁布了审计准则,但是,这些准则都是原则导向的,职业判断的成分很大。这也在一定程度上说明,这些审计的实务还较多地处于凭经验审计的阶段,与之相一致,这些领域的专业审计学也不成熟。
除了各类专业审计学,还有定位于各类审计共同基础的审计理论。目前,比较公认的审计理论著作包括:莫茨和夏拉夫的《审计哲学》、安德森的《外部审计:概念和技术》、尚德尔的《审计理论:评估、调查和判断》、汤姆·李的《公司审计:概念与实务》、弗林特的《审计哲学和原理导论》(蔡春,2001)。[7]事实上,这些经典的审计理论著作,基本上都以会计报表审计为背景来研究审计基本概念和基本问题,本质上是会计报表审计理论。
通过上述分析我们发现,以信息特别是财务信息为主题的专业审计学及审计理论发展较为成熟,而以行为为主题的专业审计学及审计理论则不成熟。
以信息为主题的专业审计学及审计理论存在的主要问题是,已经发展起来的审计程序和技术主要是针对会计报表的,也就是说,是以财务信息为主要对象,而对于非财务信息的审计程序和技术,各国及国际审计组织的审计准则缺乏相关规则,这表明,非财务信息审计并没有成熟的程序和技术。
总体来说,已经发展起来的审计学,主要是财务信息审计学,非财务信息审计学及行为审计学还处于幼稚阶段,是今后需要大力发展的领域。
五、结论
根据审计主题,审计可区分为信息审计和行为审计。本文就审计的十个基本问题,对信息审计和行为审计进行比较,并在此基础上就审计学发展的现状和未来的展望进行思考。
关于审计动因,信息机会主义倾向是信息审计的动因,行为机会主义倾向是行为审计的动因。
关于审计目标,审计人视角的信息审计目标是对信息的真实性(或公允性)进行鉴证,这种鉴证的本质是鉴证人是否存在信息虚假等机会主义倾向。委托人视角的信息审计目标是通过对信息审计意见的使用来约束人的信息机会主义倾向,从而使得人能给委托人提供真实公允的信息。审计人视角的行为审计目标是对行为的合规性(或合法性)进行鉴证,这种鉴证的本质就是鉴证人是否存在行为机会主义倾向。委托人视角的审计目标是通过对行为审计意见的使用来约束人的行为机会主义倾向,从而使得人不发生或很少发生偏离委托人期望的机会主义倾向。
关于审计主体,审计主体分为政府审计、内部审计和民间审计。从技术上来说,各种审计主体都可以从事信息审计和行为审计。但是,由于这些审计主体在不同的委托关系中发挥作用,从而导致审计侧重点不同。
关于审计客体,审计客体关注的是对谁审计,一般分为组织和个人。以组织为审计客体,行为审计和信息审计的范围较清晰,而以个人为审计客体时,行为审计和信息审计的范围存在一定的模糊性。对于组织的审计,更多地偏向信息,而对于个人来说,行为是一个重要的审计主题。
关于审计内容,审计内容可分为审计主题和审计命题二个层面。信息审计和行为审计在审计主题和审计命题方面存在重大差异。信息审计的主题是特定信息,可以基本穷尽地分解为具体的审计命题。行为审计的主题是特定行为,其命题确定具有多样性、非穷尽性,对于特定的行为,不同的审计人确定的审计命题会有区别,并且无论是谁,都无法穷尽特定行为的审计命题。
关于审计依据,信息审计和行为审计在审计依据方面存在较大的区别。从信息审计来说,信息生产的具体规则可以很清晰,并且特定审计客体在一定时期遵守的特定信息生产规则具有唯一性,所以,信息审计依据的确定并不困难。从行为审计来说,有些行为审计可能存在明确的审计依据,而有些行为审计的审计依据的确定较困难。
关于审计程序,财务信息审计过程中可以采用审阅、询问、监盘、观察、调查、重新计算、重新执行、分析性程序等审计程序来获取审计证据。非财务信息审计程序,一方面可以借用财务信息审计的一些程序,另一方面还需要一些非财务信息审计新方法。总体来说,相对于财务信息审计程序,非财务信息审计程序还远未成熟,对于许多非财务信息,还没有适宜的审计程序。行为审计程序,可以借用财务信息审计程序,同时,行为审计的新方法还在不断出现。总体来说,相对于信息审计特别是财务信息审计,行为审计程序还远未成熟,对于许多行为还没有适宜的审计程序。
关于审计取证模式,从审计技术逻辑来说,信息审计属于命题论证型方法,财务信息审计先后出现了账项基础审计、制度基础审计、风险基础审计、现代风险导向审计这些审计模式。而非财务信息审计,由于其审计程序并不成熟,所以,也未能形成有效的非财务信息审计模式。行为审计的技术逻辑属于事实发现型,而由于行为审计的命题具有多样性、非穷尽性,到目前为止,行为审计的程序还在发展之中,并未有成熟的审计程序及其组合,所以,也未能形成有效的行为审计模式。
关于审计结论,由于审计命题、审计程序和审计模式等方面的差异,财务信息审计、非财务信息审计和行为审计在审计结论方面存在较大的差异。财务信息审计一般采用合理保证的方式发表审计意见;而对于非财务信息审计来说,还未出现以合理保证的方式发表意见的非财务信息审计;行为审计一般采用有限保证的方式发表审计意见。
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
关键词:会计审计;风险因素;信息化审计;对策分析
一、引言
在当前新的发展时期,会计审计工作的开展应该结合新的发展形势,对于自身的工作进行更加有效的优化和调整,在应对各类风险因素的同时,引入科学的工作策略和思路,积极探索和构建符合当前时展需求的新举措,保障会计审计的工作质量。信息化技术的应用,已经成为了信息时代会计审计工作开展的一个新的发展方向。我们应该结合具体情况,合理地应用信息化审计,进一步促进会计审计工作水平的全面提升。
二、会计审计风险因素分析
会计审计活动在开展过程中,由于具体业务方面存在一定的不确定性,从而导致了可能会出现的风险。从实际会计审计业务的角度来说,现阶段会计审计工作所面临的风险主要包括了预算风险、成本风险、分配风险、投资风险、融资风险等多方面风险。针对这些风险,我们应该从更加科学的角度探析这些风险的形成原因,同时从更加科学的角度入手,对其进行更好的处理和解决。从外部角度来说,在当前新的社会经济环境下,会计审计工作的开展需要对自身业务流程进行相应的调整和改进,以适应新的工作环境和业务活动的开展需求。部分单位在具体工作中,不重视会计审计工作的开展,导致了会计审计信息的更新不及时,使得审计管理工作缺乏良好的控制能力,也是发生风险的重要因素。面对环境变化,如果会计审计缺乏足够的应对和适应能力,就很有可能产生和出现很多风险问题。从内部的角度来说,如果相关企业会计审计工作落实不够规范,对于费用核算、预算管理等工作的开展没有给予足够的关注和重视,并且缺乏足够的风险防范意识,同样也会导致诸多风险的发生。
三、加强会计审计风险防范工作的思考
第一,完善会计审计风险防范机制。为了进一步加强对会计审计风险风险的控制能力,我们应该结合会计审计工作的开展需求,对当前的风险防范禁止进行相应的构建。通过分析会计审计工作流程,对具体业务中的相关风险指标进行细化和量化。这样会计审计工作人员在展开自身工作的过程当中,可以对于其中的风险点进行更好的发现,同时及时识别现有财务信息数据中存在的异常问题,并且依据相关的流程制度进行解决。在制度当中明确风险,科学的进行风险评估,这样可以更好的确保风险的有效防范。第二,明确风险管控目标。对会计审计风险管控工作来说,为了保障风险管控工作的有效落实,我们也应该在前期,对于风险管控目标进行细化和明确。通过结合分析会计审计的具体需求和特点,我们应该对于风险管控目标进行合理的分解,并且提升整体风险管控目标的可行性。在具体风险管控目标的调整上,也应该结合风险管控工作的开展流程来进行相应的细化。风险管控目标的制定本身必须要考虑其具体的可行性,同时围绕具体业务特点,对于风险管控计划进行更好的融合,确保整体风险管控工作的开展,具备一个良好的执行空间环境和依据,同时也为考核工作的开展提供相应的标准。另外,在具体会计审计风险管控目标制定的过程当中,也应该引入科学合理的主动意识,让风险管控工作具备更强的主动性,实现对各类业务风险的有效规避。第三,做好人员管理。强化对会计审计风险的管控力度,建立完善的管理制度,为具体工作的开展明确相应的责任制管理制度,将责任落实到个人,提高会计审计风险的防控成效。在具体工作中,全面提升会计审计人员的专业素质,培养他们的风险防控意识。对于会计审计工作的开展来说,其是具有较强专业性。会计审计工作流程复杂,并且其具体工作流程中也涉及了大量的资金,一旦出现问题,很容易造成严重的后果和损失。针对这种情况,我们必须要提升人员管理能力,并在具体工作中,积极培养会计审计人员的专业技能,熟练掌握会计审计业务技能,提供组织培训学习,让他们能够充分认识到自身工作的重要性,在重视风险防范的基础上,从主观上形成正确观念,提升其工作责任感。第四,做好会计审计工作的监督控制。在具体会计审计工作开展的过程当中,我们应该积极有效的推进好会计审计监督控制工作的开展,而监督控制这是企业会计审计工作中的一项核心内容。通过将监督控制作为基本目标,配合查找、评估以及梳理等方式,对于现阶段会计审计工作开展中存在的问题进行合理的控制,同时通过推进和构建一系列可行科学的制度流程以及方法,更好的对于会计审计业务中的风险进行有效的防范,构建一套更加完善科学的会计审计体系。会计审计部门在对于资金使用的过程也应该做好把关工作,通过对于监督控制体系进行规范,让相关业务活动具备更强的合法性与合规性,确保会计审计工作的开展效能,有效提升会计审计工作的效率,对于各类违规行为进行严格遏制,为会计审计部门自身更好的对于职能的发挥提供可靠的基础保障。
四、信息化审计应用思路
第一,思想上重视信息化审计工作的开展。在信息化审计工作开展中,我们应该明确信息化审计的开展需求,同时对思想观念积极转变,让会计审计人员具备更强的工作热情,进一步地满足新时期会计审计工作中信息化审计工作开展的相关需求,让员工保持更加强大的业务信息化管理意识。从思想意识上意识到信息化审计工作的开展的重要性,并围绕具体信息化审计工作特点,对信息化审计的工作思路进行科学合理的调整,不断地满足当前新时期会计审计工作的开展需求。与此同时,信息化审计工作的开展也需要多个部门之间的有效配合与支持。在具体工作中,如果思想上重视信息化审计工作的开展,这样也可以促进内部多部门之间的协作水平的提升。通过将信息化审计工作作为重要战略工作来进行推进,从多个角度入手进行合理的优化和改进,确保信息化审计工作的有效开展,这对于会计审计工作的带动作用也是十分显著的。第二,制度上支持信息化审计工作的开展。在信息化审计应用中,我们应该对相关的工作的开展制度进行完善。在相关信息化工作开展的过程中,我们需要围绕会计审计工作的开展特点,对相关信息化管理工作的落实给予足够的重视和关注。结合具体审计工作的特征,细化相关管理制度。结合当前会计审计风险管控的需求,相关信息化制度的流程的制定和技术的引进上,也应该考虑相关工作的开展需求。例如,对于审批流程来说,其中就可以从信息化系统平台当中,构建一套完整的单向审批流程,在特定阶段审批出现问题时,可以第一时间进行回溯。整个过程只需要通过信息化系统就可以完成,这样可以大幅度提升操作的规范性和审批工作的开展效率,同时也能够规避一些人为操作方面的问题和漏洞。通过信息化的应用,可以实现对会计审计工作进行更好地规范和优化调整,对以往人工操作方式中存在的不统一以及不规范问题进行消除。在相关管理制度的调整改进上,也要对相关制度进行合理的调整,保障信息安全,推进具体统计工作的顺利开展落实。结合会计审计工作实际情况,我们也应该对制度进行相应的调整和完善,为后续会计审计工作的执行提供一个可靠的依据,并且明确相关的工作标准,让会计审计工作的开展更加量化、科学。
五、结束语
在当前新的发展时期下,会计审计工作的开展中,如何做好风险因素的有效规避和控制这是非常重要的。本文分析了会计审计风险的因素和相关的风险防范工作的思路,并结合信息化审计工作的开展需求展开了相应的分析,以期更好地为当前会计审计工作开展水平的提升奠定一个良好的基础。
参考文献
[1]袁晓初.论会计审计风险因素与信息化审计策略[J].商场现代化,2017,(23):142-143.
[2]李富凯,邬幸霖.会计审计风险因素与信息化审计策略[J].环球市场信息导报,2017,(45):51.
[3]景丽.会计审计风险因素与信息化审计策略研究[J].知识经济,2014,(19):105,107.
关键词:会计审计;风险因素;信息化审计方式;参考信息
注重会计审计风险因素的有效分析,制定出科学的信息化审计对策,有利于优化会计审计工作流程,提高会计审计工作效率,提高各项经营活动开展中相关资金的利用效率,为传统会计审计模式的转变提高必要的参考依据。与此同时,随着信息技术的实际应用范围正在逐渐扩大,传统的会计审计工作开展中存在着一定的局限性,间接加大了会计审计业务风险。因此,需要深入挖掘会计审计风险因素,运用可靠的策略促进信息化审计的发展。
1会计审计风险因素的有效分析
1.1激励市场竞争环境的影响及相关法律法规的不健全
经济社会的快速发展,加大了社会各行业的市场竞争压力,整体的市场竞争环境激烈性突出。因此,为了有效应对这种市场竞争形势,全面提高自身的综合市场竞争力,需要注重会计审计模式及工作方式的优化。但是,结合当前会计审计工作的实际发展现状,可知某些管理者为了在激烈的市场竞争环境中获取更多的经济效益,随意篡改会计审计数据,间接地降低了会计审计工作质量。加上某些会计审计工作方式难以达到实际业务开展的需要,加大了会计审计风险。同时,由于会计审计的相关法律法规不健全,某些会计审计过程中出现问题时无法通过相关的法律途径及时处理,给会计审计工作风险因素的客观存在创造了有利的条件。这些方面的内容,客观说明了会计审计法律法规不健全及激烈市场竞争环境对审计的不利影响:一定程度上加大了各种风险因素出现的几率,影响会计审计工作的质量可靠性。
1.2会计审计人员自身的专业能力不足,缺乏必要的责任意识
为了更好地适应市场经济形势,满足多元化会计审计工作开展中相关业务的实际需要,的会计审计人员应具备良好的专业能力,能够通过自身的专业知识及时处理会计审计中存在的相关问题,从而使会计审计工作水平能够达到现代化稳定发展的实际需要。但是,目前我国会计审计人员的整体专业能力不足,缺乏必要的责任意识,间接地降低了会计审计工作效率。具体表现在:(1)某些会计审计人员在实际工作开展中无法运用自身的专业知识处理各种问题,难以适应现代化会计审计工作的发展需要,加大了相关业务风险;(2)会计审计人员对于性格的信息技术掌握不充分,对于信息化审计工作模式缺乏必要的了解,致使会计审计工作效益难以达到经营活动的实际需要;(3)受到自身专业能力的限制,影响了会计审计结果的准确性,加上某些人员对审计工作风险认识不充分,可能会给造成较大的经济损失。
1.3审计对象数量增加及审计内容的丰富
受到全球经济一体化及多边贸易的影响,我国与不同国家的经济活动开展次数不断地增加,需要制定出科学的战略部署,朝着国际化的方向不断地发展。同时,高度开放的市场环境也为业务往来创造了有利的条件,客观地增加了会计审计对象数量,丰富了会计审计内容。而某些受到传统会计审计模式的制约,无法对多对象、多内容的会计审计业务进行专业化处理,致使会计审计面临着较大的挑战,加大了会计审计工作中各种风险因素出现的几率。因此,需要采取必要的对称有效应对当前会计审计面临的这种挑战,为现代化会计审计模式的构建及工作方式的优化打下坚实的基础。
2加强会计信息化审计建设的有效对策
2.1健全会计审计法律法规,制定科学的会计审计原则
为了增强会计审计工作质量的可靠性,实现传统会计审计模式向信息化审计模式的转变,需要健全相关的会计审计法律法规,制定科学的会计审计原则。实现这样的发展目标,需要从这些方面入手:(1)结合当前激烈的市场竞争形势及会计审计工作的实际发展概况,政府部门应充分地发挥自身的引导作用,结合审计机构及审计部门的工作需求,制定出科学的会计审计原则,对某些不完善的会计审计法律法规进行改进,加快会计信息化审计建设步伐;(2)在科学的会计审计原则要求下,相关的部门应注重会计审计工作流程的优化,健全监督体系,及时处理会计审计工作中存在的相关问题。同时,应提高对会计审计实际作用的全面认识,根据会计信息化审计的具体要求,优化既有的审计工作方式,促进自身的稳定发展。
2.2加大会计审计人员专业能力的培训力度,强化其风险意识
会计信息化审计目标能够在一定的时间段内顺利地实现,需要会计审计人员在具体的工作岗位上充分地发挥自身的职能作用,灵活运用各种会计审计专业知识,强化风险意识,加强对实际工作中存在问题的有效处理,推动会计信息化审计发展。具体表现在:(1)应结合会计信息化审计模式的要求及自身会计审计工作状况,定期开展专业性培训活动,丰富会计审计人员的专业知识,促使他们能够在实践的过程中加强对这些专业知识的合理运用,为会计信息化审计工作方式的推广使用提供可靠地保障;(2)注重专业性会计审计人才的引进,加强与开设会计审计专业相关高校之间的合作交流,打造出高素质的会计审计专业人才队伍,并建立必要的激励机制,强化会计审计人员的风险意识,促使他们的综合素质能够达到会计信息化审计模式的具体要求。
2.3注重信息技术的合理使用,实现会计审计信息管理系统构建
针对会计对象数量多及具体内容丰富的发展现状,为了推动会计信息化审计的快速发展,应注重信息技术的合理使用,构建出功能强大的会计审计信息管理系统。具体表现在:(1)在会计审计工作开展的过程中,运用可靠的信息技术加强对工作质量的综合评估,并注重市场经济相关信息的及时采集,实现对会计审计工作流程实施的全程把控,最大限度地降低相关业务风险发生的几率;(2)结合会计审计工作状况及新形势下会计审计工作的多元化要求,通过对信息技术的合理使用,构建出服务功能完善的会计审计信息管理系统,健全会计审计风险预防机制,保持会计审计业务开展的高效性,实现审计风险的有效规避。
3结语
通过对以上内容的系统阐述,可知会计审计风险因素较多,对相关审计业务的顺利实施有着较大的影响。因此,为了实现会计审计工作开展中各种风险的有效规避,推动信息化审计的快速发展,需要健全相关的监督体系,充分发挥政府部门的职能作用,细化会计审计准则,保持会计审计工作流程开展的规范性。同时,传统会计审计向信息化会计审计转变的过程中,应注重会计审计人员的专业技能培训,强化他们的责任意识,确保会计审计工作开展中存在的问题可以得到及时地处理,健全激励机制,扩大信息化审计方式应用范围。
参考文献
[1]王瑞华.基于会计审计风险原因与会计信息化审计对策的分析[J].商场现代化,2014(27).
[2]栾芳蕾.会计审计风险因素与信息化审计策略研究[J].中国市场,2015(27).
[3]董燎原.会计风险与审计风险的防控对策探究[J].财经界:学术版,2016(11).
关键词:会计审计;信息化审计;风险因素
在社会经济不断发展之下,科学技术也得到了进步,并且也促使了我国的财会事业发展。尤其是在信息技术的不断成熟之下,会计审计工作更加的规范化、现代化和信息化,一方面促进了各个企业的会计审计工作的高效率另一方面对会计审计工作也产生了的风险也形成了一定程度的影响。因此,对会计审计中存在的风险和信息化审计进行分析,有一定现实意义。
一、材料与方法
本文采用文献研究法,王思远(2015)[2]认为审计风险产生的原因和外界市场有一定的关系,同时还和审计内容的增多有一定关系。而张云(2015)[1]认为审计中存在的风险需要提升工作人员的风险意识,这样才能够在根本上降低风险。审计风险是主要是指会计报表中有很大的错误或知识漏报,审计风险包含固定风险、控制风险和检查风险。其中固有风险是指不考虑被审计单位相关的内部控制正之下,会计报表中一项认定出现错报的可能性。其是脱离于会计报表审计之外的,是注册会计师没有办法改变的一种风险;而控制风险主要是指被设计单位内部控制没有及时防止与发现会计报表上的错报与漏报,和固有风险相同的是,审计人员只能够对水平进行评估,但是无法影响和降低风险的大小;检查风险具体是指注册会计师经过预定的审计程序之后,没有发现被审计单位会计报表存在错报与漏报,检查风险是所有审计风险中唯一可以进行控制与管理的风险要素。在信息技术被广泛运用的时代中,信息技术带给审计工作的影响是巨大的。而对信息化审计技术的使用,能够让企业的会计审计工作更加符合时展的需要。特别是通过对计算机的广泛使用,其可以有效减轻审计工作的工作量,同时也能够降低工作中存在的难度。信息化审计还有着多元化和系统化的特点,其能够符合审计工作中各个层次和流程上的需要,并且对会计环境进行精准的明确,进而保障会计审计工作能在实际工作过程中发挥重要的作用。当前很多企业都把审计工作进行了独立,以此实现审计工作效率的提升和减少风险的目标。在这种情况下就需要审计工作人员会使用计算机系统收集大量信息,并且在企业提供的技术平台上进行合理工作。这样不但能够降低风险,同时还能够让审计工作的效率更高。
二、结果
在会计审计中存在着很多风险,其中包含误报以及检测的相关风险。误报很大原因是人为造成的,检查风险则是计算机方面的原因。而审计工作之所以会出现风险,其主要存在的因素有以下几个方面。(一)市场竞争,法律缺乏随着经济发展的不断转型,市场经济让各个行业的企业都进入了激烈的竞争环境中。企业要想在这场竞争中存在一席之地,则就需要使用先进的技术来加强自己的内部与外部势力,这样才能够在市场中稳定自己。但是在会计信息化技术的实施下,会计审计中的一些信息就脱离了人工审计的模式,而这种几乎不存在任何误差的工作虽然规范了整个行业的风气,但是也成为一些企业的发展阻碍。有些企业为了能够在竞争中获得更多优势,管理者也为了让会计审计工作能够满足企业发展需要,进而随便的篡改审计数据。而这种将利益作为目标的行为会加大审计风险,进而导致会计工作陷入困境。企业的会计审计工作在发展中存在的很多问题都无法被法律所规范,法规法律的针对性不强也让会计审计工作存在风险。(二)审计技术存在局限性在当前的社会环境中,被审计单位的会计工作已经逐渐的电算化,而审计工程一般是在对审计单位内部控制制度评审基础上的取样,抽取方式的使用会让审计结果出现偏差。在被审计单位会计资料不断复杂和大量的情况下,审计取证存在的难度也逐渐提升,并且审计成本也提高。因为抽样水平受到了审计人员能力和审计经验的影响,而其中的审计技术与方式存在的局限性也不可否认的增加了审计工作中的风险。(三)审计对象和内容增多在全球化的时代中,我国很多企业都和国际市场有所往来。在这过程当中,市场的开放不但为企业带去了更多机遇,但同时也为企业的会计审计工作行形成了不小的压力。很多企业的会计审计对象不断的多样化,并且审计内容也逐渐增多。所以,在当前的社会环境中,企业会计审计工作需要顾及和考虑的因素逐渐增多,这样不但为企业审计工作人员带去了挑战,同时也增加了审计工作中的风险。
三、讨论
针对存在的相关问题,需要从以下几个方面做好相关工作的优化改进。
(一)加强信息化审计系统建设
信息化审计工作的实施需要依靠强大的工作系统。审计机关需要投入更多的资金建设信息化会计审计体系。要将更多精良的装备和系统引入到审计工作中,例如在一些审计项目中会使用到GPS设备,所以要让会计审计更加信息化,加强对科学技术的使用是不可缺少的。同时还要建设强大的现场审计实施系统。审计机关当前使用了AO系统,可以对审计过程进行信息化,通过该系统的使用,让审计人员脱离对传统纸张、笔以及算盘的运用,以此提升审计工作的效率和质量。对办公系统的完善也是减少风险和信息化审计工作的主要措施。随着自动化技术的发展,自动化成了审计信息化中的基础。审计机关需要配置自动化办公系统,在这其中要实现和当地政府与其他相关部门进行文件资料的自动传输,同时还要和上下级审计机关进行文件的自动传输。将自动化办公系统和审计现场实施系统相结合,不但能够提升工作效率,同时还能够减少审计工作中存在的风险,并且节省行政成本与相关的资源。除此之外还需要对审计工作进行管理,其中包含了项目计划、经费安排以及人员调整等,这些都能够列入到审计管理系统中。同对审计管理系统的建设,能够让审计机关管理信息化,进而让审计管理工作更加的规范,通过这种科学化和信息化的管理也能够降低风险。
(二)加强信息化审计人才的培养
不管是任何性质的工作,工作人员都是其中的关键构成部分,会计审计人员也是如此。因此,企业在促使会计审计更加信息化时,首先要做的就是加大对审计人员的培养力度。信息化审计工作的效果取决于审计人员的专业能力大小,这两者之间的关系相当紧密。因此,企业在实施信息化会计审计工作模式时,必须要认知到人才培养的重要性。企业要定期对会计人员进行培养,使其能够随时掌握最新的理论知识、政策以及技术等,要让审计人员具备使用计算机审计的主动性和积极性,这样才能够让审计人员更加符合企业的发展需要。在企业引进信息化的审计人员时,需要对相关人员的经验程度、计算机应用能力等方面进行考虑,以此建设一支优质的信息化审计人才队伍,使其为企业产生更多经济效益。
(三)加强企业和人员的风险意识
会计审计工作存在的风险是多样化的,在社会环境不断变化的过程中,企业的审计工作也会存在更多新的风险,并且在一定程度上阻碍了企业的发展。若是因为风险而导致一些事故的发生,则企业和会计人员都会面临承担法律责任的局面,这对企业的发展而言极其不利。因此,相关部门要增强企业和审计人员的风险意识。在实际工作过程中,企业要消除效率和利益的思想,把审计风险放在审计工作的首位。要让会计审计人员时刻认知到审计工作中的风险性,并且要多拿一些实际案例作为思想指导的工具,以此规范审计人员的工作行为。这样不但能够让审计工作中的风险防范于未然,同时也为会计审计的信息化打下坚实基础。
四、结束语
会计审计中存在的风险很多,其主要是受到了环境和企业自身方面的因素影响而导致的。企业要想在审计工作中避免和消除风险,政府部门要发挥自己的作用制定相关的法律法规。同时还需要企业自身加强对信息化审计人才的培养,以此规范会计审计的工作环境,提升企业的实力。通过信息化审计策略的实施,能够让企业的会计工作更加高效和规范,同时也保障相关企业在竞争中稳定发展,并且在此基础上促使我国经济的稳定发展。
参考文献:
[1]张云.试论会计审计风险因素与信息化审计策略[J].时代金融,2015(2).
(一)审计队伍建设有待加强。开展信息技术审计需要一批既懂计算机,又懂审计的复合型内审人员。目前,基层行开展信息技术审计项目最大的瓶颈就是缺少信息技术审计人员。绝大多数审计人员尚未具备实施信息技术审计必需的知识和技能,只能沿用传统审计方式,检查登记簿或口令等较为粗浅的内容,无法准确、深入评价信息系统的风险控制状况。
(二)审计辅助手段有待开发。目前人民银行开展信息技术审计大多沿用手工方法,通过实地观察,查阅登记簿、运行日志等文档资料,并结合上机检查系统设置、程序配置情况等来评价科技管理情况。这样的工作方法不仅效率不高,甚至还由于电子线索的易篡改性,伴随着巨大的审计风险。而目前能熟练掌握计算机专业知识的内审人员偏少,计算机辅助审计仅停留在文字处理和电子表格处理层面,更深层次的数据收集、筛选、分析应用不多或甚至没用。且各应用系统的开发各自为政,缺少统一、标准的数据接口,加之内审部门也未配备专用的审计软件,使得要开展对计算机辅助审计更是难上加难。
(三)审计标准建设有待加快。目前人民银行还未建立完善的信息技术审计评价标准体系,原有的针对传统审计的规章制度已不能满足信息技术审计的需要。现在审计人员开展信息技术审计时,通常是通过查阅操作手册和管理制度来了解信息系统,以这种方式来了解系统,作用十分有限,很大程度上还是依赖审计人员的个人能力,无法做到统一和公平,从而影响内审的公正性和权威性。而且信息系统更新换代迅速,制度建设却相对滞后,就存在部分系统已广泛应用却没有规章制度加以规范的情况。对这种情况,审计人员更是“雾里看花”,无从下手。
(四)审计开展程度有待加深。目前,人民银行开展的信息技术审计仍多集中在孤立的审计、合规性审计。一是未真正应用风险导向审计方法。审计项目、审计重点不是通过对各套业务系统、各控制环节的风险排序来确定,而更多地根据经验判断、领导关注重点来安排,缺乏科学性和系统性。且审计多局限于技术细节,未能对系统的整体风险做全面、深入的评判。表现在最终的审计报告中就是,对信息系统的技术细节提了很多问题,通篇充斥晦涩的专业术语,却少有对系统整体风险和数据安全性全局、清晰的描述。被审计单位的领导对信息技术细节的了解一般不深,单从这些专业的术语无法充分明了审计发现问题的严重性和风险程度。这样的审计结论下达到被审计单位无疑是隔靴搔痒,审计效果大打折扣。二是集成审计开展较少。集成审计即业务审计和信息技术审计的结合。目前人民银行的业务审计和信息技术审计是相互独立的。在开展业务审计时,一般只关注业务自身,而对支撑业务开展的系统很少涉及;开展信息技术审计时,仅对某系统做检查,对系统上运行的业务很少关注。信息系统是为业务服务的,对人民银行业务的影响才是审计的最终关注点,如果不能结合业务进行总体评价,那么大家对审计结果的兴趣度和认可度将受到影响。
(五)审计介入时机有待提前。目前的信息技术审计大多是对已运行系统的审计,也就是事后审计,对系统开发过程的审计即事前审计还未能真正开展。就信息系统而言,对已完成系统进行修改所要花费的时间和费用比在设计阶段修改的花费要大得多,因此,对开发过程的审计意义犹为重大。但目前人民银行的信息系统的设计开发、安装调试、推广建设等工作基本都是由科技和业务部门实施,缺乏内审部门的介入。
原因分析
(一)信息技术审计起步较晚,发展还需要一定过程。发达国家信息技术审计工作启动较早,如美国著名的信息系统审计与控制协会(ISACA)1969年就已成立。而人民银行信息技术审计到现在只有十年多的时间,与发达国家相比较,在审计标准的科学性、审计范围的广度和深度、审计手段的现代化程度等方面都存在差距,还处于初级阶段。信息技术审计的发展不能一蹴而就,需要一步一个脚印扎实积累,许多矛盾和问题也需要时间慢慢消释,要达到高水平的信息技术审计还有很长的路要走。
(二)对信息技术审计的重视不够,支持和投入不足。目前部分基层对于信息技术审计的重要性认识不足,对计算机系统盲目信任,认为由上级行组织开发的系统肯定是安全可靠的,无需再审计。事实上,系统是由人来操作和维护的,再好的系统也无法完全避免恶意分子的破坏。有些内审人员对信息技术审计的认识也有限,即便应用计算机对审计数据进行处理,也多是手工审计方式的简单延伸,而未能有意识的利用计算机对审计数据开展深层次的分析。
(三)受人力资源机制的限制,建设一支良好的信息技术审计队伍有一定难度。从现在的情况看,在短时间内改变人民银行信息技术审计人员缺乏的局面有不少困难。一是人员配备存在先天不足。人民银行内审部门脱胎于稽核部门,因此配备的人员多以会计专业为主。加之人民银行的业务多与会计和金融相关,从其他部门调入的人员也是会计和金融专业居多。而人民银行近年来信息化建设蓬勃开展,需要大量科技人才,受限于人员编制,每年招收的计算机专业人员本来就不多,能够分配或调入内审部门的计算机专业人员更是少之又少。二是对于信息技术审计的培训力度不够。总行内审司每年均举办一次专门的信息技术审计培训,为培养信息技术审计人才起了很好的作用,但是能参加总行培训的人员比例还是太少,而基层行又由于培训计划、经费和师资条件等限制,难以开展专门的信息技术培训。
(四)信息技术审计的权威性尚未树立,业务部门的配合程度不高。人民银行的信息技术审计开展时间不长,还未像传统业务审计那样深入人心,受到普遍认可。由于计算机专业门槛高,科技部门对内审开展信息技术审计的专业程度持怀疑态度,认为只有“外行看热闹”,不可能像内行那样看出什么门道,只会是吹毛求疵、白费力气。确实,目前基层行开展的信息技术审计查出的问题还较为浅显,未能切中要害,也不能提出富有建设性的意见。因此,科技部门对信息技术审计还处于被动接受的状态,未形成在系统开发时主动邀请内审部门介入、运维过程中主动向审计部门通报监控情况、审计过程中主动与内审人员讨论完善风险措施等良性互动的局面。
改进央行信息技术审计工作的建议
(一)加强对信息技术审计的重视,提高支持和投入力度。随着计算机的普及和网络的盛行,信息安全风险已逐渐为人所知,对信息系统开展审计的必要性已逐渐获得认可。内审部门要借助这有利局面,在各种场合加大信息技术审计重要性的宣传,扩大影响力;精心实施审计,以更有价值、更有深度的审计成果获得各方的肯定和重视,优化内审工作环境。要进一步明确信息技术审计的工作目标和范围,不断加大资金、人员和设备等的投入,加快建设辅助审计软件和网站,创造有利条件,为开展信息技术审计做好后盾。
(二)加强信息技术审计队伍建设,更新审计人员信息技术知识。增强内审队伍的信息技术知识和审计能力已经迫在眉睫,需要贴近实际加强信息技术人才队伍的建设。一是扩大信息技术审计人员队伍,支持、鼓励内审部门招收计算机专业人员,从科技部门引进经验丰富的科技人员。二是加强信息技术审计培训力度,扩大培训覆盖范围,增强培训实用度,利用真实上机环境开展培训,提高审计人员的实战操作能力;积极争取内审人员参加业务系统培训的机会,第一时间了解业务应用软件控制流程、操作要求。三是加强与先进IT企业的沟通与交流,汲取信息安全管理方面的先进知识;探索开展信息技术外包审计,吸取外部审计的经验和技巧,提高自身的信息技术审计水平。四是鼓励审计人员通过自身努力更新计算机知识。鼓舞审计人员信心,消除他们的畏难情绪,使其踊跃投入到信息技术审计工作中。鼓励内审人员参加计算机培训或认证,给予一定的奖励,使更多的内审人员能够掌握基本的信息技术审计知识。
(三)加强辅助审计软件开发,提高审计工作效率和质量。依托计算机技术来加大审计的力度和深度。一是建立完备的人民银行内审综合管理系统,实现审计全过程信息化管理,包含丰富的人员管理、风险评估和成果利用等功能,真正起到提高效率、完善管理的作用。二是开发计算机辅助审计软件,建立业务系统与审计系统之间的数据采集接口,动态监测业务系统运行情况,加强系统运行报警和预测的能力,及时发现异常事件。三是依托网络建立专门的审计网站,最新的信息技术审计信息、经验交流和疑难解答等,并为下一步实现全面的非现场网络审计做好铺垫,最终构建一个全方位、立体化的综合审计平台。
(四)加强审计标准体系建设,规范和指导信息技术审计操作。应积极与国内外著名信息技术审计协会、组织的交流合作,借鉴先进的信息安全风险控制经验,建立起符合人民银行实际的信息技术审计标准体系。科学立项,完善审计方案设计,设计并运用审计检查表规范检查操作方法,客观分析信息系统的安全性及潜在风险,提出科学的改进建议。以标准化的审计,指导基层行信息技术审计工作实践,使审计规范运作,并最终形成系统全面、客观公正的审计结论。
(五)加强审计转型工作,提高审计质量与深度。要拓展风险导向审计、管理审计、集成审计和绩效审计的新领域。建立信息技术审计风险评估体系,在对信息系统风险评估的基础上,以风险为导向安排审计项目和频率,有所侧重地实施检查,分配审计资源,提高信息技术审计的效率和质量。加深信息技术审计与业务审计的相互渗透,由信息技术审计人员与业务审计人员相互配合,跟踪业务处理的整个流程,综合评价业务和应用系统的处理和控制情况,使审计结果更贴近央行业务实际,提升审计成效。
关键词:信息化; 工程审计
【文章编号】1627-6868(2017)03-0062-03
国资委要求全面推进审计监督全覆盖,要把突出重点和实行审计全覆盖有机结合起来,确保对国有资产实现审计全覆盖,并要求前移审计关口,创新开展跟踪审计等,变事后监督为事前、事中监督。随着信息化到来,工程审计面临新的挑战和机遇,需要突破现状,创新手段,拓宽内容,充分运用审计成果,从而提高工程审计质量和效率。油田工程审计通过打造工程审计信息化平台及应用系统,初步实现工程审计全覆盖,利用信息化成果,促进工程审计向管理延伸,达到工程审计提质增效的目标。
1.目前工程审计焦点问题
1.1工程审计数据采集及应用手段不足
一是工程审计的基础信息质量堪忧。工程从立项到竣工验收的不同阶段会形成大量不同工程资料。在以往的审计中,依靠被审单位提供的工程资料,不及时、不完整,许多送审资料没有经过监理单位及建设单位确认,工程资料的真实性及完整性存疑。如工程结算审计时,建设单位一般委派施工单位送审,而一些送审单位只送工程量增加的资料,不送工程量减少的资料;一些单位不重视变更程序,现场签证资料不完整、不真实,甚至盲目签证、事后补签等不规范现象,给工程审计工作带来困难。资料的真实性存疑,审计的成果质量得不到保障。
二是工程审计数据呈碎片化,缺乏新技术支持。目前工程管理方面的信息系统尚不完善,开展工程审计要从不同的系统中提取数据。从投资系统(PS)查找工程项目计划,从合同管理信息系统查合同,从AIS辅助审计信息系统查工程发生成本费用,从定额管理系统查结算。各系统各自独立,相互不融通,单个工程数据查找费时费力,数据零散。而工程施工过程中形成的签证、点交等资料目前全是以纸质状态保存,在已有系统上查找不到,或不能直接查询到,工程数据资料碎片化。
同时,内部工程审计依然还是采用手工对工程资料进行收集、查询和核对。工程审计工作重点仍然没有从常规的圈子里跳出来 ,对于先进的信息化手段应用不足,没有形成专门的工程审计信息化应用系统,将审计需要的要素资料进行有效整合。不能贯穿其他与工程相关的数据存储及管理系统,没有形成数据共享。
1.2工程审计的定位狭窄,重事后轻过程。
一是工程审计定位狭窄。在工程审计实践中,重点是从造价视角关注工、料、费资金情况,忽视了过程,缩小了工程审计范围,以致于造成一种错误认识,工程审计就是工程结算审计,是核减工程造价,是结算控制的关口,没有认识到工程审计能够为企业加强内部控制、提高经济效益、增加价值。
二是重事后,轻过程。目前工程审计所开展的工程结算审计、竣工决算审计均属于事后审计,是审计确认。在建工程跟踪审计实际也是模拟竣工决算审计对项目已完工部分开展的阶段性审计,属事中确认审计。无论是事后确认审计,还是事中确认审计均无法对工程进行全过程监督。由于工程审计介入时间滞后,审计组在人员和时间有限的情况下,要全面了解工程建设的信息几乎是不可能,查出问题也是“秋后算账”,对已完工程本身的管理于事无补,对造成的损失也无法弥补。
1.3工程审计成果认可度、利用率低
当前企业内部普遍开展了工程结算审计、竣工决算审计。工程结算审计以核定工程造价为主,审计人员重点关注量、价、费的准确和恰当性。结算审计结束就整理归档,未分析工程中存在的共性和个性问题,以及问题产生原因,不会向工程管理方面延伸,成果认可度低。竣工决算审计虽能发现违反建设程序、合同管理、财务管理方面的问题,但整改仅就事论事,不能起到对其他项目的指导作用,共性问题依然存在,后续仍屡查屡犯。同时工程审计成果没有共享给其他审计人员,不利于经济责任审计、管理效益审计、财务内控审计等的提质增效,利用率低。
2.构建信息化工程审计平台设想
2.1信息化与工程审计的关系
一是工程建设产生信息。工程建设项目具有目标性和遵循一定的建设程序,周期较长。项目全过程管理包括进度、投资、质量、安全管理和合同管理等控制目标。项目从设想、决策、实施,一直到项目竣工投入使用,各个阶段及环节有先后顺序,必须循序渐进,遵循建设程序。期间产生的数据流、信息流贯穿建设项目始终。总体来说在工程建设领域,建设程序多、管理流程复杂,资金交易频繁,产生数据大。
二是工程审计必需收集信息。工程审计必须遵循建设项目特性,从项目建设程序和时间上分为开工前(事前)审计、在建期(事中)审计和竣工后(事后)审计。开展工程审计时,审计人员需要耗费大量的时间,收集建设期间项目的工程、技术、经济、管理等方面信息。当前倡导全过程、全面工程审计,就需要及时收集全过程信息数据,若有信息化平台的支持,将起到“事半功倍”的效果,充分保证审计工作质量及审计资源的合理配置,实现工程审计的提质增效。
2.2构建工程审计信息化平台方法
信息化技术的发展为我们收集数据和处理信息提供了支持,数据样本包含了事物信息,从样本得出的结论,能真实反映事物规律。利用信息化平台处理系统对数据进行分析,能快速得到高质量的结论,大大提高工作效率。依靠信息化,实时预测,提前察觉某种线索,可起到预警作用。
一是整合工程数据资源。按照“建用结合”的原则,构筑与其他管理系统相连接的工程审计信息化平台,放开接口,实现数据自动采集,形成信息交换体系,充分整合工程数据资源,建成具有强大功能、满足多种需要的集成信息化系统。以项目建设单位为管理对象,以项目实施过程为审计管控点,实现工程建设各阶段动态审计流程。同时针对每一个阶段的审计内容及性质,对业务进行监督控制,及时实现审计的确认与咨询功能。
二是实时集中工程审计资料。工程实施过程相关人员及时提交资料,审核结果及时上线,审计结果及工程资料全部在工程审计业务系统中反映。将以前处于零散、零星、孤立的工程结算资料进行实时集中全面汇总,形成强大、安全的数据信息库。实现审计数据共享,克服了信息孤岛现象,并指导以后工程立项,同时也为经济责任审计等项目提供了数据支持。
三是构建工程审计信息化业务流程。制定工程审计信息化业务流程,整合系统资源,角色分工协作,结合工程实际工作,构建工程审计系统。将施工方、建设方、造价审核、审计审核纳入同一个平台,以项目审计为主线,将工程事前、事中和事后审计融合,全过程监控。同时将所有工程纳入审计视野,实现工程审计全覆盖,促进企业工程管理水平提升。平台着重于监督、分析功能,建立相应工程审计监督指标,并据此进行数据分析,实现相关业务持续在线审计监督。
2.3设定信息化平台的功能
一是在线预警,快速查找问题,化解风险。建立指标报警的因素分析、综合判定模型,逐步完善在线工程审计预警指标体系,实现自动监控及时化解风险,使审计成果最大化。系统设置逻辑判断功能,对时间差、金额差进行预警。如建设项目中先开工后签合同、合同工期与实际工期等时间差异,单项工程合同价与结算等金额差进行预警,对同类工程单位造价中人、材、机费用差异大的项目进行预警。审计人员及时分析原因,化解风险。
二是在线监督审计,优化审计资源。工程审计系统串联其他相关平台系统,工程项目中的投资管理、合同管理、招标、分包、建设程序等方面,都能在工程审计系统中实现在线监督审计。现场审计从以前主要是翻资料、查线索渐渐变为与被审计单位沟通,落实质量管理、安全管理等,在线审计无法关注的问题。这样既优化了审计资源,又将大小工程纳入审计视野。
三是在线编制审计底稿,汇总审计问题,撰写审计报告。在工程审计系统中,按预先嵌入的基本情况底稿格式,导入每一个工程的基本信息,生成基本情况审计底稿;根据工程审计人员录入的工程结算、跟踪审计、竣工决算中发现的问题,按照预先设定的审计问题类型,汇总审计问题,将基本情况底稿、问题底稿中的相关信息导入到预先嵌入的审计报告格式中,快速形成审计报告初稿。
3.构建工程审计信息化平台成效
工程审计信息化平台的建设,形成了审计管理、项目管理、系统集合的系统架构。工程审计信息化平台的建成直接解决了工程审计数据采集及应用手段不足、数据呈碎片化及基础信息质量堪忧的问题。通过应用实践,取得了初步成果,既提高了工程审计质量,也加强各层级项目管理。
3.1改变了只有事后审计的现状,实现了全过程工程审计
一是提前介入开展事前审计。审计人员通过工程审计系统平台,掌握工程计划投资,对项目可行性研究及批复、项目法人、投资计划的下达、审批流程等信息进行审计。提前介入工程项目审计,从监督者或第三方的立场,积极促使建设方、设计方优化方案、强化设计审查。同时通过工程审计系统将单项工程的合同估算价与投资计划下达数及初步设计概算进行比对,对必须招标的建设项目进行预警提示,避免出现应招标未招标或者肢解工程规避招标等问题的发生。
二是开展事中跟踪审计。合同管理系统定时推送已签订达到履行阶段的合同到工程审计系统平台,以项目合同目标为目标,主要审计合同管理、HSE管理、成本管理、进度管理等。要将线上网络跟踪审计与线下现场跟踪审计相结合。审计人员定期做好事中跟进,重点关注工程建设情况,掌握工程建设进度及存在的问题。审计人员在跟踪的每一个环节,将审计信息的及时录入,反映跟踪过程的实时轨迹,实现资源共享,避免重复劳动,提高审计效率。对跟踪审计中发现的问题,及时在工程审计系统中撰写审计底稿,在线生成审计联络单及时通知建设单位整改,并监视整改进度。
三是开展事后工程结算审计。建设单位各环节审核结果实时录入审计信息化系统。审计人员需核查工程资料是否齐全分析工程资料与资料之间的逻辑是否合理,发现资料不全或逻辑有问题,及时从系统退回要求重新补充资料。审计人员在审计中,结合以往录入的相关信息数据,通过与工程审计系统联网中石化定额计价系统开展审计,审定出较为真实的工程造价,出具客观公正的审计意见。
四是开展竣工决算审计。工程审计系统将工程项目的“碎片化”资料集中整合到系统中。根据《固定资产投资项目竣工决算审计工作模板》,在工程竣工后对工程项目开展竣工决算计时,利用工程审计系统存储的项目数据,直接查询项目计划、施工队伍选择、施工合同、施工过程中的签证、现场相片及视频、完工点交验收、结算审核等,提高了审计收集证据的效率。充分结合事前、事中审计成果,穿透合同、财务等系统,对合同执行、款项支付等进行审计,揭示项目投资管理问题,客观、公正评价项目投资效果。
3.2提高审计结果公信力,促进工程审计创造价值
一是事先防范,堵塞漏洞。工程审计大数据平台的建立,为及时、全面、全方位的审计提供了坚实数据信息基础。工程审计人员,不但可将审计工作的重点放在核实工程资料及报价的真伪上,防止个别单位虚构工程资料、虚报价格套取建设资金,损害企业利益,还可实现审计的咨询支持。在某采购招标活动中,审计通过数据对比发现,一些规格型号的设备不在市场正常价格分布范围内,深入审计发现,该报价有人为调节因素,经多方确认,最终防止了损失。
二是利用数据分析,实现审计增加价值。工程审计大数据平台建成后,历经两年数据积累形成的数据库,成为审计资产。审计充分利用大数据进行工程项目的专项分析,找出数据的规律和差异。如对新井投产进行分析,相同设计标准的单井工程造价因单位而异,经筛选、对比、评价,发现最优设计方案,通过系统在推广方案,实现了审计增加价值的作用。