数据式审计模式下审计风险的研究
2016-11-17刘蓉
刘蓉
【摘 要】 信息技术的发展将促使数据式审计模式成为我国数字化审计工作的核心内容。文章立足于信息化环境,从不同角度探讨数据式审计模式下影响审计风险的因素,对审计风险的成因进行较为全面的分析,并以此为基础构建该审计模式下具有独特涵义的审计风险模型,提出了一系列防范和规避数据式审计模式下审计风险的创新性措施。
【关键词】 审计; 数据式审计; 审计风险
【中图分类号】 F239.4 【文献标识码】 A 【文章编号】 1004-5937(2016)19-0119-04
随着信息技术的进一步发展及广泛运用,我国审计实务普遍采用数据处理和数据分析技术,数据式审计模式将成为我国数字化审计工作的核心内容。数据式审计模式与传统审计模式相比,在应用环境、审计对象与范围、审计程序、技术手段等方面存在显著区别,导致应用这种模式所面临的审计风险及其风险成因必然与传统审计模式存在很大的不同。因此,立足于信息化环境研究应用数据式审计模式面临的审计风险,分析其风险成因并构建审计风险模型具有很强的理论价值与现实意义。
一、数据式审计模式下审计风险的含义
我国注册会计师审计准则对审计风险的定义:“审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。”[ 1 ]在信息化环境下,应用数据式审计模式而产生的审计风险,即数据式审计风险可表述为:审计风险是指审计人员在对被审计单位进行审计时,虽然实施了相关的审计程序,但未能发现被审计单位电子数据与事实不符的问题,并为此出具了不恰当意见的审计报告的可能性。
二、数据式审计模式下审计风险的成因分析
(一)信息系统自身特性或缺陷引发的信息系统层次重大错报风险
1.难以杜绝的硬件系统故障可能导致数据丢失或损坏
硬件系统是构成信息系统的重要组成部分,由于计算机硬件的物理特性,在运行过程中服务器、计算机或工作站经常出现意外故障或永久性损坏,或者由于硬件设备的配置与操作系统、数据库、应用软件等不相适应而导致运行障碍,这些都有可能导致数据的损坏或丢失,不仅影响了信息系统的稳定运行,也影响了该系统输出数据的安全性与可靠性,提高了发生重大错报的概率[ 2 ]。
2.软件系统的缺陷、漏洞影响电子数据的质量
如果被审计单位的信息系统存在系统软件与数据库及应用软件之间性能不匹配、互联的多个应用系统的数据接口处理不恰当、应用软件的数据结构不完善、业务流程不完备、各流程节点的操作不合要求以及功能不完善、防病毒软件未能及时升级导致系统被病毒感染或被黑客入侵、缺乏恰当的灾难恢复计划等缺陷或漏洞,必然会影响到信息系统的正常运行以及信息处理结果的准确性、安全性与可靠性。如果被审计单位的信息系统仅能适应当前的经济业务活动,而缺乏开放性,缺少易扩展、易升级的良好特性,则不能应对被审计单位业务所带来的变化,影响系统的业务处理能力,最终影响到电子数据的质量[ 2 ]。
(二)信息系统内部控制缺陷引发的内部控制层次重大错报风险
如果被审计单位存在信息化发展战略与业务战略不协调、单位领导大部分不认同或不参与制定信息化战略、信息系统的使用者没有接受与信息技术应用相关的教育或培训、单位内部尚未形成崇尚应用信息技术的氛围等影响信息系统控制环境的因素,必然会影响信息系统内部控制的建设与执行,进而影响信息系统的安全性与可靠性。另外,由于运用信息系统,单位发生的经济事项与业务活动所形成的信息流、物流、资金流都以电子形式存储在磁性介质当中,如果在信息系统的关键环节、关键节点和关键岗位未设置不相容职责分离的控制,对重要的业务流程处理,数据输入、处理和输出未设置有效的控制措施和校验程序,对问题管理、应急处理未实施控制,未建立系统操作的规范流程与操作标准,导致对信息系统控制的缺失或控制的不到位,可能引发信息系统后台程序或电子数据被人无痕恶意篡改、操作不规范、病毒感染、黑客入侵等问题的发生,从而对电子数据的真实性、完整性和正确性产生不利影响,提高了电子数据出现重大错报的可能性[ 3 ]。
(三)被审计单位领导层舞弊导致的重大错报风险
被审计单位领导层出于舞弊的目的指使相关人员对系统的程序、数据进行蓄意修改并删除相关修改痕迹,或者隐匿部分数据、隐瞒部分资料,或者不允许联网及采集数据,由于信息的不对称及舞弊的隐蔽性,审计人员往往难以识别被审计单位电子数据采集前就已存在的瑕疵,从而加重了审计风险。
(四)审计行为带来的风险
1.缺乏规范化的数据式审计作业流程,审计人员的取证程序过于随意
自2006年以来,虽然审计署陆续发布了一系列计算机审计实务公告,但这些公告没有明确数据式审计模式的作业流程,没有明确数据采集、数据整理加工、数据验证、数据分析的具体操作规范,在实务中缺乏指导性与可操作性。由于数据式审计模式的应用缺乏规范化、科学化、系统化的审计作业流程,导致审计人员对数据式审计模式“审什么”和“怎么审”模糊不清,审计取证程序的执行完全取决于审计人员的主观判断,程序执行过于随意,容易因错误的判断而引发审计风险[ 4 ]。
2.缺乏数据中心的共享交换,审计人员难以提高数据分析质量与业务协同能力
虽然国家审计数据中心的建设已取得不斐的成绩,但由于数据采集转换的操作缺乏规范性流程的约束以及行业发展变化加速等原因,所收集到的审计数据质量有待提高。加之因数据缺乏统一接口与较为详实的数据说明、数据标准程度不高,审计机关的数据库之间目前还无法完全实现信息共享交换,审计机关上下级间也无法通过信息交换体系实现数据共享,尚未形成各级审计机关的审计人员与现场审计组的审计人员能进行即时横向、纵向信息传递并共享的交换系统。因此,在应用数据式审计模式时,审计人员一方面很难依据项目的数据分析需求从国家审计数据中心或所在辖区审计数据分中心查询到所需数据,数据分析方法的应用受到很大的限制,分析结果可能会严重偏离事实,从而误导审计人员的后续审计工作,影响审计的效果,导致审计风险提高;另一方面地方政府性债务、社会保障资金等全国性的审计项目涉及各种类型的表格,数据需要自下而上逐级验证、逐级汇总,需要全国各级审计机关审计人员的同步参与,但因为无法得到交换系统的支持,难以实现对大型审计项目的统一组织管理、统一决策指导,各级审计机关的审计人员与同一审计项目、同一审计时间、不同审计地域的众多现场审计组的审计人员无法实现信息的即时交互,必然会影响到审计的效果和效率,审计风险也难以得到有效控制。
3.审计人员缺乏应用数据式审计模式的专业胜任能力
随着电子政务的发展与信息技术在公共管理领域的广泛应用,审计业务的复杂程度和难度不断提升,要求审计人员应能在审计实践中灵活运用“大数据”、“云计算”、“数据可视化”等新的技术手段进行多维数据分析与数据挖掘,具备应用数据式审计模式的能力。但是依据对广西各级审计机关审计人员业务技能的调查统计,仅2%的审计人员能进行多维数据关联分析,不足1%的审计人员能进行数据挖掘。审计人员缺乏数据式审计的专业胜任能力,难以识别被审计单位电子数据的错报,更不可能有足够的能力防范审计风险。
三、数据式审计模式下审计风险模型的构建
综上所述,在信息化环境下应用数据式审计模式,审计风险主要来源于两个方面:一是审计前由于被审计单位所应用的信息系统的无效运行、内部控制的无效执行以及领导的舞弊行为导致的电子数据出现错报的可能性。这种错报风险可称为重大错报风险,主要包括:由于被审计单位信息系统的硬件质量问题与软件的设计与运行缺陷导致电子数据的错报而产生的信息系统层次的重大错报风险;由于保障信息系统安全有效运行的内部控制无效执行导致电子数据的错报而产生的内部控制层次的重大错报风险;由于被审计单位领导层舞弊,蓄意篡改程序、数据或隐匿部分资料或数据导致的领导层次的重大错报风险。二是由于审计人员在应用数据式审计模式过程中未能选择恰当的审计程序或者不能有效执行审计程序,未能发现被审计单位电子数据中存在错报的可能性,这种错报风险可称为检查风险。因此,与手工审计模式相同,数据式审计模式下影响审计风险高低的两大因素依然区分为重大错报风险和检查风险,但由于审计环境的不同,引发重大错报风险的因素具有强烈的信息技术特征,其内涵已发生了很大的变化,数据式审计模式的审计风险模型描述如图1。
重大错报风险是审计工作实施前就客观存在的错报风险,其高低并不受审计人员主观愿望和行为的影响,审计人员只能通过调查了解其信息系统、领导层的品行及内部控制并对其进行测评,尽可能提高识别评估其风险高低的恰当性,但无法通过实施相关审计程序改变其风险。而检查风险的产生源于审计人员的审计行为,其风险的高低取决于审计人员执行审计程序的合理性与有效性,审计人员可以利用数据中心和交换系统,借助“预算跟踪+联网审计”保证所采集数据的深度与广度,保证数据的实时性与客观性,还可利用多维数据分析技术与数据深层挖掘技术等保证审计中间表与审计证据的数据质量,以降低检查风险。
四、防范数据式审计模式下审计风险的应对措施
(一)建立数据式审计模式的准则体系
为规范和指导审计人员应用数据式审计模式实施的具体审计程序,促进审计质量的提高,有效地防范和规避审计风险,必须尽快建立一个系统性强、层次清晰、内容完整且具有可操作性的数据式审计准则体系。该准则体系的主要框架可分为四部分:第一部分对数据式审计模式的总体要求和特征进行总述;第二部分对审计人员、电子数据、审计模型等基本要素进行规范;第三部分应对审计立项、审前准备、具体实施等环节进行具体规范;第四部分应对审计报告及其他审计文本进行规范。其中第三部分应是该准则体系的核心部分,用来规范审计人员通过数据式审计模式获取审计证据的行为,对审计人员能“做什么”以及该“怎么做”进行具体规范和指导,制定风险判断标准,并结合AO系统等审计工具分别建立模块化、标准化和规范化的数据式审计流程[ 5-6 ]。
(二)实施风险评估程序,识别评估被审计单位电子数据的风险
为了设计和实施更合理有效的数据式审计程序,有效地防范和控制审计风险,审计人员应实施风险评估程序,以识别评估被审计单位存在的重大错报风险。审计人员首先应通过访谈、观察、检查等程序了解被审计单位领导的品行与财务状况,了解其是否存在舞弊的动机或压力,同时重点测试信息系统后台程序是否被恶意篡改或有数据被隐匿,以识别被审计单位是否存在由于领导舞弊而引发的电子数据风险;其次应以应用软件和数据库作为测试对象,对数据的输入与处理过程的控制进行检测,评价信息系统控制的合理性、健全性与有效性,揭示系统控制的设计与运行缺陷以及这些缺陷对电子数据真实性完整性的影响,识别评估被审计单位是否存在内部控制层次的重大错报风险及其风险的高低;最后还需采用“黑盒”、“白盒”与“灰盒”测试方法对应用软件的输入和处理功能进行测试,确定信息系统功能是否完善与运行是否稳定,识别评估被审计单位是否存在信息系统层次的重大错报风险及其风险的高低。
(三)加强审计队伍建设,提高审计人员应用数据式审计模式的能力
应用数据式审计模式进行审计必须要借助于多维数据分析技术、数据挖掘等计算机技术,这对审计人员应用计算机技术的能力提出了更高的要求。只有提高审计人员应用数据式审计模式的专业技能,才能从根本上降低审计风险。因此,一方面应以点带面构建多层次的数据式审计工作团队,针对具有计算机专业背景的审计业务骨干开展高级业务培训,以“分析”为主导,灌输科学化、系统性的数据分析理念,让他们掌握云计算、数据安全、数据中心建设等知识与商务智能、高级数据库运用等先进技术,提高他们数据获取、数据安全管理和数据综合分析以及灵活运用主流数据处理和统计分析工具等方面的能力,并在审计工作中能以审计数据分析师的身份发挥以点带面的引领作用,作为团队核心有效带动各处室、各审计组计算机审计骨干,构建多层次的数据式审计工作团队,形成数据式审计的“合力”;另一方面应通过形式多样的培训方式提高审计人员数据式审计的专业技能,如组织开展模拟数据式审计培训、多媒体网络培训和案例教学并可利用视频会商系统举办远程培训班等。
(四)逐步建立和完善应用数据式审计模式的支持系统
为提高各级审计机关的业务协同能力并有效防范和规避审计风险,还需进一步建立与完善审计数据中心、审计交换系统、审计信息网络与安全保障系统等支持系统。
1.加强审计数据中心的建设与应用
为了让审计数据中心成为综合分析审计数据的有力支撑,促进数据式审计的应用,必须做好以下工作:首先要加强建设重点行业审计等行业审计数据库;其次要规范数据采集过程,确保电子数据质量;再次要制定合理的数据利用方案,充分利用数据中心的资源;最后应进一步加强数据中心规章制度建设,规范数据采集、管理和使用程序。
2.构建审计信息资源共享交换系统与信息即时交互系统
为了贯彻“资源整合、信息共享”的原则,积累数据资产,逐步实现各级审计机关之间、审计机关与国家电子政务之间、审计机关与被审计单位之间的业务协同和信息共享,必须在审计署的统一部署下,建立审计信息资源目录体系和交换体系,同时利用物联网和即时通信技术(RTX)构建一个审计信息资源共享交换系统与信息即时交互系统。
3.同步建设审计信息网络及安全保障系统
为了确保审计信息系统对内对外的安全,应按照“以安全保发展、在发展中求安全”的要求,同步规划、同步建设安全保密系统和审计信息系统,使审计数据安全和运行安全得到有效保障。
(五)建立完善联网审计系统,推进事前、事中审计
审计人员应利用审计署研发的联网审计平台,实现实时联网采集数据与“亚实时”离线定期采集数据相结合,建设社保、地税、住房公积金、金融机构、高校、企业等重点行业的联网审计数据分析系统。审计人员还应在对各行业数据量和数据环境进行综合分析的基础上,依据不同审计项目搭建联网审计环境,将被审计单位的财务、业务数据采集到联网审计服务器中,利用加密技术,远程进行灵活的异地上传下载操作与非现场数据分析,逐步建立完善各行业联网审计数据分析系统与联网审计预警模块,实现及时采集数据、及时分析预警、及时评价揭示、及时督促整改,使审计的及时性和有效性得到提高,并有效地降低审计风险。
总而言之,信息技术的迅猛发展与普遍应用,导致影响审计风险的因素与传统审计相比发生了很大的变化,对审计人员提出了新的挑战。因此,只有加强研究信息化环境下的审计风险及其成因,才能在审计实践中实施有效的应对措施,以降低审计风险,提高审计质量,保障数据式审计模式的有效应用。
【主要参考文献】
[1] 中国注册会计师协会.中国注册会计师审计准则第1101号:注册会计师的总体目标和按照审计准则执行审计工作的要求[A/OL].(2012-11-04)http://www.cicpa.org.cn/Professional_standards/Professional_guidelines / yifabu / 201211 / W020111024610872568512.pdf.
[2] 郑煦平.IT环境下的审计风险判断[D].厦门大学,2009.
[3] 李瑾玲.基于数据式审计模式下审计风险模型研究[D].东北林业大学,2008.
[4] 徐寅啸.地方政府数据式审计模式及其应用研究[D].郑州大学,2014.
[5] 董惠林.数据式审计面临的挑战及应对策略[J].审计月刊,2013(11):38-39.
[6] 田孟刚,刘欣桃,马春丽.大型商业银行数据式审计的质量控制探讨[J].农村金融研究,2014(7):58-62.