迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是部级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
相关问题的研究
(一)计算机审计系统(CAS)。随着信息技术在企业管理中的广泛使用,尤其是ERP系统的实施,企业的经营、管理及核算越来越依赖于复杂而庞大的管理信息系统。审计的对象也发生了根本变化,由纸质财务账簿转变为数据库中的电子数据(或称电子账);同时,资本市场对审计报告真实性和及时性的要求也越来越高。无论是以加强内部控制和企业管理增值为目的的内部审计、以财务真实性和公允性鉴证为目的的社会审计,还是以真实性、合法性和效益性审查为目的的国家审计,都不可避免地会受到企业信息化的冲击与挑战。审计师必须运用IT技术手段,掌握数字化审计证据收集方法,才能胜任信息化环境下的审计工作,降低审计风险,提高审计效率。定义1计算机审计:计算机审计也称计算机辅助审计,是审计人员运用信息技术和审计知识,在被审计单位现场或者通过远程网络,对被审计单位与财政财务收支和管理财政财务收支相关的电子账目或财务数据库数据进行审计。现代审计的范围正逐步延伸,跨越了财务模块,计算机审计对象已经发展为面向整个供应链的信息系统审计,是对整个企业应用的业务数据审计。定义2计算机审计系统(CAS):计算机审计系统是在审计过程中所采用的能够完成特定审计功能的各种应用系统的总称。计算机审计系统作为审计辅助工具,可以完成审计数据采集、整理、计算、统计、查询和报表生成等工作,为审计人员实施各种审计检查和收集审计证据提供帮助。
(二)面向服务构架(SOA)。面向服务构架(简称SOA)是一种软件架构思想,这一思想认为软件即服务,是将企业内部与外部的每一个业务功能单元封装成服务。SOA将这些服务从复杂的环境中独立出来,进行组件化封装,不同的服务之间通过标准接口相互调用。作为企业应用解决方案的基本元素,服务可以被描述、、发现及绑定,其平台是独立的、自治的,并且可以用XML编程的大型分布式互操作应用系统。图1说明了Web服务能够执行面向服务架构的模型。图1描述了Web服务的基本组成。该架构由三个参与者和三个基本操作构成。三个参与者即服务提供者(Serviceprovider)、服务请求者(Servicerequester)和服务(Servicebroker);三个基本操作即服务(Publish)、服务查找(Find)和服务绑定(Bind)。
(三)研究动机。计算机审计系统解决了数据采集、数据预处理、数据分析、疑点管理、审计底稿撰写、审计报告生成等难题,提高了审计效率和效果,在实际工作中发挥着重要的作用。许多学者致力于将新的信息技术应用到计算机审计中,并开始探索新的计算机审计模式。廖志芳等提出了联网审计实际的三种审计组网模式,即集中式、分布式以及点到点式组网模式[2]。李世新在对XBRL和Web服务进行介绍的基础上,提出了一种基于XBRL和Web服务的网络化审计取证模式[3]。李湘蓉在研究了网络环境中计算机审计系统应具有特点的基础上,提出了一个基于本体的计算机审计系统[4]。还有学者论述了计算机审计模式及风险防范[512]。一些学者对Internet环境下的审计系统进行了研究,Chen和Sun通过对面向服务架构环境进行研究,提出了一个内部控制持续审计模型,称为协同持续性审计模型,通过对企业资源计划数据库中的数据转换组件进行封装,软件提供商可以为企业提供模式匹配服务来实时转换业务交易数据[13]。Ye和He运用Web服务的一系列组件,提出了基于Web服务的持续审计业务流程模型,用于提供有关特定业务的鉴证[14]。Internet环境下的动态信息系统具有共享资源的多样性,无统一控制的“真”分布性,基础平台的开放性和动态性,人、设备和软件的多重异构性,节点的高度自治性,链接方式的动态开放性,网络连接的多样性,使用方式的灵活性和个性化,实体行为的不可预测性。我们认为在新的动态企业信息环境下,迫切需要与之相适应的审计模式和计算机审计系统。
面向Web服务的计算机审计系统(WSCAS)体系结构
(一)系统体系结构。面向Web服务的计算机审计系统(WSCAS)是一个开放的系统,复杂的审计任务由大量解决问题的Agent承担,每一个智能Agent只能解决特指的某一类问题,关注特定任务的完成。用Webservices封装的Agent,一个服务可能涉及一个或多个Agent,这些不同功能的Agent协力合作并提供特定的服务。系统是一个开放的环境,不同的Agent不必在同一地点或属于同一公司。通过对其他Agent知识和能力的理解,这些Agent能够突破固有的智能范围,协同工作实现目标。图2是面向Web服务的计算机审计系统(WSCAS)体系结构。由于系统具有开放性,可以不断地向系统中加入新的Agent,从而使得系统的处理能力不断增强,适应性不断提高。也就是说,除了WSCAS提供的服务,其他个人和公司也可以提供审计项目管理服务、审计数据采集整理服务、审计数据分析服务、审计抽样服务、审计文档管理服务以及其他相关的计算机审计服务。通过标准的通讯协议,每一个Webservices封装的Agent可以自由选择访问其他服务。
(二)智能Agent交互。如下页图3所示,WSCAS交互系统由外部实体和审计组件两部分组成。外部实体向系统提供被审计单位的数据和模型。根据《审计法》规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据。被审计单位的数据不但包括财务数据、业务数据,还包括被审计单位的基本情况、上一次审计的结论等相关数据。被审计单位模型包括审计所需的被审计单位业务流程、相关的法律法规等系统模型,这些模型是开展审计工作的基础和判断审计疑点的依据。审计组件包括数据采集模块、审计数据分析模块、审计抽样模块和审计文档管理模块。
数据采集是审计人员从被审计单位的信息系统中提取指定范围、指定内容的业务数据并收集到审计系统中。用IT技术对电子账进行审计有两个需解决的关键问题:一是审计人员采集电子账中的电子数据,包括电子账套中的数据和信息系统数据库中的数据;二是分析审查采集到的电子数据。数据采集是对电子账数据进行实质性审查工作的第一步。数据采集是否全面、准确、客观将直接影响计算机审计的结果。若采集的数据不能客观全面地反映企业的经济业务状况,那么审计人员即使有很强的职业判断能力,也无法得出正确的审计结论,从而增加审计风险。因此数据采集在整个计算机审计过程中至关重要。数据采集的信息可以分为三类:被审计单位信息采集、财务数据采集、业务数据采集。
一是被审计单位信息采集Agent。审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。二是财务数据采集Agent。财务数据采集主要采集以下两种数据:财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以WSCAS提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent,财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构、属性和含义,这样才能对数据进行采集整理,保证数据的完整性。三是业务数据采集Agent。由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口,采集业务数据。
数据采集的目的是为审计分析做准备。审计数据分析是通过运用审计分析方法和分析工具,对被审计单位审计数据进行分析,发现审计线索,获取审计证据,进而形成审计结论。利用计算机的数据分析方法有:账表分析;数据查询;数据挖掘;联机处理;审计分析工具;审计疑点管理等。接下来进行具体分析。一是账表分析Agent。审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等。二是数据查询分析Agent。审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的。数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。三是数据挖掘Agent。随着信息技术的高速发展,尤其是被审计单位信息系统数据库中各种格式的业务数据急剧增长,只靠审计人员的人工阅读或简单的审计数据检索无法及时发现不同层次的审计线索。数据挖掘Agent能够从被审计单位海量的数据中挖掘出隐含的、先前未知的、对审计结论有价值的审计线索,以及能被审计人员所理解“知识”的数据处理过程。四是联机处理Agent。联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。五是审计分析工具Agent。除了上述一般审计分析方法外,WSCAS还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务。审计分析工具Agent可以进行单科目金额分析、对方科目分析、坏账准备计算、营业税计算、固定资产折旧计算、个人所得税计算、图表数据分析等,帮助审计人员发现审计疑点。六是审计疑点管理Agent。审计疑点管理Agent可以存储、管理并逐项落实审计分析中发现的审计疑点。
审计抽样是审计人员在实施审计的过程中,从审计对象总体中选取一定数量的样本进行测试,并根据样本测试结果推断总体特征的一种方法。审计抽样是一种能够大幅度提高工作效率、量化控制审计风险、规范审计行为、提高审计工作质量的审计技术方法。特别是在被审计单位内部控制制度健全、审计对象数量庞大且经验判断难以奏效的情况下,采用审计抽样技术审计效果显著。具体应用如下:一是抽样管理Agent。抽样管理Agent可以管理审计抽样全过程的信息,包括总体表中的数据管理、抽样方法的选择、样本表中的数据管理等。二是抽样审核Agent。抽样审核Agent对审计抽样的样本信息在审计现场进行审计核对,并将审核的结果输入系统中,输出生成抽样审核结果表供审计人员使用。三是抽样评价Agent。抽样评价Agent根据样本数据的审核结果,推断总体审计数据的情况。
审计文档管理是计算机审计过程中的一项重要内容,审计过程中的文档主要有审计底稿、审计日记、审计证据、审计报告、审计台账等。具体应用如下:一是审计底稿Agent。审计底稿Agent记录审计过程中所发现的被审计单位违纪违规问题,对审计日记、审计证据所反映的问题进行描述,汇总审计报告、审计台账等审计资料。二是审计日记Agent。审计日记Agent记录审计人员当天的审计过程,内容涉及审计分工、审计事项、审计实施步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果以及其他一些需要记录的情况等。三是审计证据Agent。审计证据Agent负责建立、管理和汇总审计证据。四是审计报告Agent。审计报告Agent以审计底稿为素材,生成报告提纲并形成审计小组的审计报告初稿。五是审计台账Agent。对照审计报告、审计决定等审计文书的结论,对每篇审计底稿的问题和金额进行确认,系统根据确认后的结果,由审计台账Agent自动汇总问题和处理处罚数据,生成审计台账,最终生成的审计台账参与审计报表的汇总。
面向Web服务的计算机审计系统(WSCAS)的原型开发
本文将移动Agent技术和Webservices技术结合,集成两者优势,克服各自局限性,构建面向Web服务的计算机审计系统,如图4开放Internet环境下的计算机审计服务的集成架构。为了实现系统中审计服务的统一调用,我们将各种业务逻辑封装为服务,提供标准、统一的服务接口,从而实现技术对外界透明。本文使用了Java技术开发系统功能模型,描述模型的架构和元素。
系统评价
为了验证本文所论述方法的有效性,阐明基于Web服务是如何集成工作并实现计算机审计的目标,我们用一个案例来描述服务的协同操作过程(具体见下页图5)。审计人员对企业进行财务审计,首先要明确审计任务,组成计算机审计小组,在了解被审计单位基本情况的基础上,制定计算机审计方案,确定计算机审计范围、审计重点、审计实施步骤、审计安排、审计方式、人员分工以及需要运用的计算机审计方法和审计实施注意事项等,利用WSCAS开展基于Web服务的计算机审计工作。
(1)审计项目管理Service发出审计通知书。审计小组通过系统的审计项目管理服务,向被审计单位发出审计项目通知书。
(2)被审计单位信息Service以服务的形式向系统被审计单位的基本情况信息,提供给审计小组。
(3)审计数据采集Service采集被审计单位审计数据。被审计单位信息Service按照审计小组的审计要求,将审计通知书中说明的指定时间段、指定范围的审计数据进行服务封装、注册和,提供给审计数据采集Service。审计数据采集Service首先对采集到的审计数据进行数据验证,确认采集数据的真实性、正确性和完整性,然后对数据进行预处理,这是由于被审计单位的数据来源繁杂,采集来的审计数据可能存在质量问题,不能直接进行审计数据分析,需要进行预处理。预处理包括数据转换和数据清理。数据转换是将采集来的原始数据转换成审计人员容易识别的数据格式和名称,主要包括将被审计单位的数据有效装载到WSCAS系统中,明确数据字典,标识出每张表、每个字段的含义及其关系;数据清理是整理不符合质量要求的数据,清除存在明显错误的数据,如缺失的数据、不完整的数据、不准确的数据、不一致的数据以及重复的记录等。
(4)审计数据分析Service。以审计数据采集Service输出的中间表作为审计分析的基础进行审计分析。在审计分析中,审计人员根据相关的业务处理逻辑、业务数据的勾稽关系、法律法规的规定或审计经验等,建立审计分析模型,用账表核对、指标分析、账表勾稽关系模型、业务逻辑分析模型、法律法规分析模型以及审计经验模型等方法进行总体审计数据分析,然后审计数据分析Service对审计数据进行复算、检查、核对和判断,发现审计线索,收集审计证据。
(5)审计数据抽样Service。在明确审计目标和审计对象的基础上,根据被审计单位的内部控制评价水平确定审计抽样的样本量。审计数据抽样Service选取样本并审查,评价抽样结果,并返回到审计数据分析Service。
(6)在审计数据分析和审计数据抽样过程中,审计人员记录当天审计过程、实施审计的步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果等,将这些情况提交到审计文档管理Service,形成审计日记。
(7)在审计数据分析过程中,审计数据分析Service将审计发现的问题作为审计疑点,发送到审计文档管理Service,审计文档管理Service负责落实审计疑点,若证实确是问题,则将该疑点作为审计证据。
(8)审计文档管理Service编制审计报告初稿,和被审计单位沟通,生成审计报告正式稿,形成审计意见。
可见,对“计算机审计”一词的理解普遍存在两个方面,即对计算机进行审计和利用计算机进行审计。
1计算机审计理论文献综述
国内学者对计算机审计的研究是多方面的,从计算机审计理论到具体的计算机审计技术都有研究。
在计算机审计理论研究方面,傅元略在《会计发展的新领域——CyberAccounting(计算机网络会计)》中提出了计算机网络会计的概念,以反映会计电算化的发展趋势。吕博的《在信息技术环境下审计理论的基础研究》从信息技术环境下审计理论基础的认定分析入手,对审计理论基础与审计理论以及审计基础理论之间的辩证关系进行了探讨,并分别就信息技术环境下审计理论基础的特点、内容和研究方法加以综合论述等。来明敏在《浅谈计算机审计模式》中介绍了可以从国际上借鉴的四种计算机审计模式,分别是绕过计算机审计模式、穿过计算机审计模式、利用计算机审计模式、在线实时(网络)审计模式;并认为应寻找对策,从促进审计人员更新观念、积极应用审计新技术、大力培养计算机审计人才、加快计算机信息系统环境下审计准则的制定、规范会计软件设计,以及加大审计软件开发力度等方面努力,尽快建立新的审计模式,从绕过计算机审计转变为穿过或利用计算机审计,最终建立在线实时审计模式,加快我国审计现代化进程。唐飞兵在《关于构建我国计算机审计理论体系的探讨》中系统地阐述了计算机审计理论体系的整体框架及各组成要素之间的相互关系,详细地分析了审计环境和审计本质作为计算机审计理论逻辑起点的合理性,并对计算机审计基本理论内部层次关系的构建进行有益的探讨。
也有不少学者在审计的技术应用方面做了研究。譬如,黄永平提出在计算机审计中,利用孤点分析法进行数据挖掘,发现一些特殊现象,比其他数据挖掘方法发现一些规律性的知识更有意义。何玉洁等在《计算机审计中的数据库技术》中介绍电子数据的特点开始,讨论SQL查询和OLAP分析这两种技术在实际审计中的应用成果,展示它们在计算机审计实践中的特性和前景。
此外,学者们还对计算机审计的其他方面进行了研究。陈峰在《计算机审计方式下的数据分析报告》中分析了数据分析报告的作用及其必要性,并对数据分析报告的基本框架作了数据分析报告的文档结构,就其要素内容做出了规范建议。还分析了当前审计实践中对存在的一些认识上的误区,并就规范撰写数据分析报告的行为提出“制度形式对数据分析报告加以规范”和“审计组的讨论和审核来保证数据分析报告质量”的建议。罗莉等在《计算机审计中内部审计与外部审计的分工协作》中认为,尽管计算机审计内容、方法与手工审计有很多不同之处,但从性质、目的、职能等属性看,并没有本质区别。由于信息技术具有很强的渗透性,很难将计算机审计与具体审计业务分离出来,因此,计算机审计不可能独立于内部审计与外部审计之外。本文从审计主体的角度,综合考虑计算机审计的界定,提出在计算机环境中内外部审计既要分工又要协作的观点,并分析了分工协作的原则、内容等相关问题。赵辉在《计算机审计方式下的人员资源管理》中提出,在计算机审计方式下,一个单位的管理除了培养良好的单位文化,进行各种规章制度的建设之外,如何对审计人才进行管理,以适应这种革命性的变化显得至关重要;而对审计人员而言,又应该如何加强自身的素质,提高自身的能力,适应计算机审计的需要,这是一个亟待探讨的问题。
1 现代审计与传统审计的共同点
计算机审计的目标与传统手工审计的目标是一致的,无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
2 现代审计与传统审计的差异
2.1 站在新角度 随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显著特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
2.2 面临新环境 计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.3 线索更复杂 计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
2.4 涉及的范围更大 在会计电算化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
2.5 审计技术更现代 传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
(二)大数据横空出世,源于个人全球化、记忆数字化、社会网络资本化的全力驱动,是IT业发展演进的历史使然。大数据不是突然产生的,是IT技术发展的必然产物。大数据浪潮主要源于三大驱动力推动。一是互联网、移动互联网及物联网等新一代信息技术,实现了信息、知识和社会关系网络乃至“个人”全球化,为大数据提供了广泛的数据来源。二是数据开放运动和数据民主化,实现了数据的分布式共享和全球性覆盖,云计算等廉价、高效的存储提取方式,让数据成为“共享的社会记忆”,客观上开启了大数据时代大门。三是挖掘复杂社会网络资本价值,加速了大数据技术的深度应用,构成了大数据的经济驱动力。全球化、数字化和社会网络资本化齐力推动了大数据大发展。
二、大数据:国家审计改革发展新动力
正在发生和演变的趋势表明,大数据时代无论对于社会、组织还是个人,都是一次革命,一个巨大的挑战,一个重大的转型机遇和飞跃的契机。国家审计无疑也是如此。1.飞速发展的经济社会新实践,必将推进国家审计理论与时创新。当前,人工智能、社交网站、RFID、语义网、云计算等技术或理念风驰电掣一般闯入我们的工作生活,数据开放、软件开源、普适计算、智慧地球等新思想令人眼花缭乱,新的技术和观念层出不穷。在信息技术环境下,丰富多彩的经济社会实践,通过信息交换、权能传递和功效联动等方式,将先进的信息技术、网络技术、网络时空观、数据挖掘、系统集成以及多媒体等多种学科理论和技术思想深层次地植根于审计理论,刺激审计理论的变革和创新。同时,国外一些先进管理理念,如企业再造工程、虚拟组织、穆尔法则(Mooreslaw)、基尔德法则(Gilderslaw)和麦特卡夫法则(Metcalfeslaw)等,与传统审计理论进行分化、碰撞、对接与融合,必将从广度和深度上推进审计理论不断繁衍与创新,审计理论将呈现多样性、交融性和虚拟性。2.审计客体内涵和外延的扩张,必将呼唤国家审计权力边界顺势突围。近年来,经济社会实践活动中,计算机、数据库、网络等现代信息技术得到了广泛运用,实物流、资金流表现向无纸化、数字化和信息流的转变,业务处理和财务管理逐步实现自动化和网络化,国家审计的审计内容、审计对象、审计资料、审计证据线索等都呈现出普遍电子化、数字化的特点。从而摆脱了传统帐套、传统财务信息、纸质的业务轨迹,从被审计单位的财务收支及有关的经营管理活动,会计资料和其他相关资料,扩展到电子数据、系统内部控制和信息系统自身;从财务数据延伸到业务数据;从内部数据关联到外部数据,审计客体外延和内涵的扩张,突破了以财政财务收支、纸质载体为主的审计权限范围。必然要求法律赋予审计部门数据采集、技术侦查、行政强制、诉讼等更多权力,以应对大数据时代的高科技舞弊,确保审计职能的充分发挥。3.新型大数据技术的广泛应用,必将推动国家审计作业流程优化再造。联机分析、数据挖掘、WEB2.0互联网审计、云技术等大数据技术普遍运用,将所有的审计内容、审计技术、审计方法纳入大数据审计之中。传统的现场审计作业流程必将改造优化为:了解调查,获取信息;采集数据,整理数据;进行数据转换、清理和验证;创建审计中间表;进行数据分析,找出审计重点;构建审计分析模型,分析数据;延伸落实,审计取证。数据分析成为审计作业的核心。信息技术还可以优化审计项目管理,如利用信息技术为审计项目管理内置一个标准的、符合质量要求的审计作业流程,用以规范审计人员的审计作业行为,使不同背景、不同水平的审计人员能够执行相同的审计动作。通过虚拟组织形态和数据集成智能化管理,实行远程控制审计项目,包括审计方案的控制、分工控制和授权控制,为质量控制和风险预防搭建一个良好的、高效的管控平台。4.国家审计供需矛盾更为激烈,必将要求国家审计主体能力自我革命。审计作为综合性经济监督部门,覆盖领域之广,涉及的经济社会活动之多,所产生和集聚的数据规模不可谓不大。大数据价值的发现和挖掘,必定给审计创造了更多需求,打开了更广阔的市场,对审计供给能力提出了新挑战。而决定审计供给能力的关隘就是国家审计主体能力。大数据时代,IT审计师将主导国家审计舞台。而目前,大部分审计人员主要精通财会知识,计算机知识和技能比较欠缺,知识结构还不能满足大数据技术的要求,数据分析与管理高端人才紧缺。审计人员除了要有专业的审计、会计知识外,必须精通信息技术,掌握网络、数据库、电子商务、信息系统的开发与管理和计算机辅助审计技术。优化审计人员能力结构,增强审计干部信息化审计基础能力、数据采集处理和分析能力、监测指标和模型的构建和分析能力、信息系统内部控制测评能力,尤为紧迫。
三、大数据背景下国家审计发展路径
无论是组织结构,还是国家文明,只有充分发挥大数据时代的价值、迎接好大数据面临的挑战并积极应对,才会处于不败之地。因此,国家审计应放眼未来,以大数据审计为目标,加快改革创新步伐,抢占审计发展的突破点和制高点,迎接新时代挑战。
(一)加快理论创新,为大数据审计落地提供实践指南。要坚持实践上的“摸着石头过河”与理论上的“顶层设计”相结合,加强审计理论和实务的研究,在理论上对大数据审计的性质以及由此决定的审计职能与任务等基本问题进行深入研究,构筑起适应大数据时展的、可用于解释和预测多种审计现象的审计理论。加强与国家信息化咨询委员会、公安部、发改委、工信部、财政部和国家信息中心等相关部门的合作研讨,多角度、更准确地把握客观现实及政策约束;组建由学术界专家、审计研究人员和实务骨干组成的团队,承担把握前沿热点、规划审计思路等工作,为加快大数据审计实践提供操作指南。要制定大数据审计发展的长远规划,坚持把大数据审计作为国家审计发展的核心战略,从数据、制度、人才和技术等方面逐步积累基础资源,有计划、有步骤、长期不懈地坚持推进。要加大宣传,营造数据审计文化氛围,革新思想观念,树立正确数据观,建立基于全数据模式、从整体到局部的审计思维模式,用大数据时代精神武装头脑。
(二)加快制度创新,健全完善大数据审计相关法规建设。目前,我国电子商务、网络经济和计算机应用相关法律法规制定相对滞后于经济社会实践活动,有些甚至还是盲区,导致大数据审计的法律地位和权限虚置。要加强电子商务、网络经济等相关立法,把电子合同、电子凭证、电子证据、电子签名的法律效力和保管要求,数据认证机构的管理,电子信息与网络安全等相关问题,以法律法规的形式明确固化下来,为大数据审计提供法律依据。要强化审计权威,扩大审计权限,赋予审计审查审计对象计算机信息系统的功能与安全措施,利用网络和审计软件进行审计,接入、采集、存储、提炼审计对象所有数据等的权力。要坚持本土自创与模仿移植相结合,建立健全与大数据时代相适应的审计标准和准则,如制定大数据审计评价准则、技术标准,数据挖掘分析指南,信息系统输入—处理—输出的符合性和实质性测试的准则,云计算以及网络审计准则等,确保大数据审计有法可依、有章可循。
(三)加快机制创新,积极构造政府主导、审计主推、IT企业参与的大数据审计联动机制。大数据技术在国家审计领域中的推广应用是技术进步的必然要求,但根据国家审计行业自身的特点,其无法自发地独自实现,必须积极构造政府主导、审计主推、IT企业参与的多点支撑联动机制,形成聚合效应。对政府而言,要积极把握大数据战略机遇,制定积极的政策法规,提供高质量的网络基础设施,营造适度宽松的大数据发展环境,鼓励企业、审计部门进行大数据相关的技术研发与应用创新,从标准、法律和意识形态层面大力引导大数据审计发展。对审计部门而言,要制定战略数据储备计划,加快与被审计单位数据实时互联互通,消除“信息孤岛”,为大数据审计提供数据载体;要逐步建立完善中央和地方的审计数据中心,构建审计管理、审计业务、审计方法和评价信息资源库,加快推进国家电子审计信息资源目录体系和交换体系建设,实现数据大集中。对IT企业而言,要深刻洞察大数据审计的需求,提供从硬件到软件、从产品到服务的一体化解决方案;要专注细分领域创新,提供具有审计行业特色的大数据审计专家级方案。
一、审计证据的可靠性、合适性和充分性
第一,审计证据的可靠性。审计可靠性受到审计证据来源和性质的直接影响。存货监盘、函证和重新计算获得的审计证据是最可靠的;在内部控制良好状态下获得的内部文档、分析程序和观察获得的审计证据是比较可靠的;在内部控制较差情况下获得的审计证据和询问获得的审计证据的可靠性是最差的。一般来说,审计人员通过自己的审计程序或者重新计算来获得的审计证据被认为是可靠性最高的,从被审计单位外部直接获得的审计证据则被认为比较可靠,而被审计单位信息系统中产生、传递和存储的单据、文件作为审计证据时一般可靠性较差,这些文件作为审计证据的可靠性取决于被审计单位内部控制的完善性和有效性。审计人员必须重视审计证据的可靠性并据此实施相应的审计程序,在实际工作中可能会出现很难获得高度可靠审计证据的情形,在这种情况下可能需要可靠性相对较低的两个或者两个以上的审计证据的认定才能够支持财务报告认定,比如说电子商务交易环境下各种经济业务的发生没有留下痕迹,审计人员就需要执行穿行测试并检查被审计单位内部控制有效性,从而才能获得可靠的审计证据,达到审计的目的。第二,审计证据的合适性。审计人员需要获取充分适当的审计证据来支持审计结论,会计记录中包含的财务信息是审计证据的主要来源,但是它并不足以支持形成对财务报告充分、适当的审计证据,审计人员还需要根据个人专业知识、文档的检查、询问被审计单位人员等方式来获得合适的审计证据。通过收集和分析审计证据,审计人员可以判断被审计单位的财务报表是否具有客观性和合规性,审计证据的合适性是对审计证据质量的一种属性描述。审计证据唯有相关和可靠,才能具备核实性。审计证据具备了相关性,对审计人员实现审计目标就大有裨益,与此同时也意味着相关的审计证据必然会涉及到不少于一项的财务报告认定,否则相关性就无从谈起。第三,审计证据需具备充分性,只有当审计证据的数量足够并且能充分支持审计项目和审计认定的时候,审计证据才具有了充分性。审计准则和审计职业并没有针对审计证据的充分性做具体的和硬性的规定,所以这就给审计人员都的职业判断能力和风险评估能力提出了较为严格的要求。充分的审计证据是审计结论的前提,唯有如此才能通过质量控制程序和外部监督机制的审查和监督。笔者认为检验审计证据充分性的一个重要标准就在于独立的第三方能否运用审计人员得到的审计证据能够得出一致的审计结论。审计方法和会计学理论本身具有较多的狭隘性和局限性,审计人员难以对审计结论提供绝对保证,所以判断审计证据是否充分的时候,审计人员需要充分依赖自身的职业判断。
二、审计证据与审计风险之间的关系分析
审计风险蕴含在审计人员不恰当的审计程序选取或者对审计事项做出了错误的判断的过程中,从而得出和被审计单位实际情况不符的审计结论的风险。当审计人员得到不恰当的审计结论的时候,就可能受到利益相关者的诉讼和指控,导致自身承受较高程度的法律责任。审计理论中审计风险的模型为:审计风险=重大错报风险*检查风险,其中的检查风险又可以划分为固有风险和控制风险,所以审计风险模型可以表达为:审计风险=固有风险*控制风险*检查风险。在审计风险模型中,审计人员可以通过自身审计程序控制的只有检查风险,审计人员无法对只和被审计单位自身相关的固有风险和控制风险采取控制措施,只能对二者的高低水平进行评估,进而进一步地确定检查风险水平。审计模型中蕴含着这样的内涵:审计人员执行合适的审计审计程序降低审计风险,能够将审计风险降低到一定水平。审计人员在实施审计程序之前首先需要思考被审计单位利益相关者对审计报告的精确度需求有多高,确定账户错报对审计用户的影响,从而确定重要性水平;其次,审计人员需要判断形成审计结论所需的审计证据,判断课接受的审计风险程度;再次,审计人员要通过不同的渠道获得相关的审计证据,保证审计证据的充分性、适当性、可靠性和关联性。
三、信息化环境下审计证据和审计风险浅析
在计算机辅助技术应用到各大行业之中的时代背景下,审计方法和审计技术也在潜移默化中发生了本质的转变。在信息化环境中风险控制依然是不可忽视的一个重要问题。信息化环境下审计证据主要是以电子证据为载体的,也就是说经济业务的处理、记录和报告过程中生成、传递和处理的文件和单据都是一电子形式保存的,电子审计证据在内容上包括了原始文档、会计记录、总账、日记账和相关的支持性文件。电子数据以数字形式作为载体,信息本身和逻辑结构之间出现背离;信息的来源、接受日期和最终去处都脱离于电子文档和其他形式的信息,使得电子审计证据的来源判断更加晦涩难分,授权人员批准的合法性和签名本身的真实性也大打折扣,因此在电子商务环境下审计人员获取审计证据的时候要采取更加谨慎的态度。所以在信息化环境下,审计人员在收集审计证据、考虑其充分性和适当性的时候,应该将这些上述审计带来的特有风险考虑在审计工作中。电子审计证据的风险评估应该有别于传统纸质文档的审计风险评估,审计人员应该保证电子信息技术控制手段和技术环节能够保证信息的生成、传输、处理和维护环节是可靠的,在考虑可靠性的基础上,审计人员还要思考电子审计证据作为审计证据本身的可用性。信息化环境中,审计人员大多通过信息技术对电子数据进行分析程序来获得审计证据,在分析审计数据的过程中,审计人员可以保持对审计可疑数据的警惕性和谨慎性,对可疑数据进行审计分析、实施审计程序,最终得出恰当的审计证据,因此审计数据分析方法构成了影响审计证据质量的一项重要因素,也间接地和检查风险有着紧密的联系。总而言之,审计人员在审计工作过程中需要将审计风险因素充分考虑进去,并据此进行充分、适当的审计证据的收集,并得出恰当的审计结论,为被审计单位财务报告不存在重大错报或者虚假陈述提供合理的保证。
参考文献:
[1]SmieliauskasW.云计算环境下的联网审计实现方法探析[J].审计研究,2012.
1.前言
美国自20世纪50年代提出了要通过计算机审计之后,计算机审计的研究就越来越多地受到了许多学者的关注。期间,在1969年成立的美国电子数据处理审计协会以及在1984年颁布的《电子数据处理环境下的审计》两件大事,推动了全球计算机审计实务的发展。随后一些软件公司也慢慢对审计软件产生了兴趣,并精力开发研制计算机审计软件在实践中的运用。
而我国的计算机审计是始于20世纪70年代,真正研究计算机审计的是从潘晓红于1983年在《会计研究》上提出了有关电子计算机审计概念开始。自此,国内学者们也将眼光投向了计算机审计的研究,并逐渐展开了全方位的调查。在1990年11月我国的第一个审计软件经山西省审计局开发成功并使用。
当今,审计环境已经发生了巨大的变化,例如:电子商务、ERP软件以及业务流程重组的发展与实施。在审计工作过程中,应用计算机、网络等科学技术的程度将是我国实现会计工作现代化的衡量手段。基于此,本文回顾了2007年以来有关计算机审计模式的研究,并为计算机审计模式的发展所存在的问题做出一些见解与看法。
2.计算机审计工作模式的研究
2.1 审计工作模式的界定
常启军(2008)[1]在对前人的审计模式的定义做出评述的同时,指出可以从两个角度来定义审计模式,分别是:反映审计主体的管理体制以及反映审计实践的方法。他主张定义审计模式要重视其理论内涵,并要根据环境进行观察、分析和研究,指出审计模式的研究方向 。基于此,本文会提及管理体制,但是侧重点在第二种角度。
2.2 国外审计工作模式的研究
早在1989年,Groomer和Murthy[2]这两位学者就连续审计提出了模式,后来他们又对其进行了扩展,形成一种基于Web Service的新连续审计模式(简称CAWS)。而且,在1990至2005年间, AICPA和CICA、以及IIA都纷纷了报告指南,对连续审计方面进行了更系统的规范[3]。在随后将近十年里,国外就连续审计这个研究进行了逐步探究,并将理论与实务紧密结合[4]。
2.3 国内审计工作模式的研究
相比之下,目前国内的研究还处于研究的初期,一方面,主要侧重于计算机审计模式概念方面的探索,一切处于摸索阶段;另一方面,学者们主要注重应用载体——审计软件方面的研究。
在定义方面,常启军(2008)[5]通过研究发现,我国计算机审计的审计模式概念不明确,理论研究缺乏中心,计算机审计观念比较陈旧,数据审计对象过于狭窄,审计方式难以满足实时监控的需要,而且缺乏系统的理论指导,不利于数据导入,过于着眼在某一个审计方面的需要,以致于难以真正实现智能化审计。刘汝焯(2008)[6]也主张采用从整个系统论的高度开发利用网络,并从辩证的思维方面来定义认识计算机审计。谢岳山(2009)[7]指出信息系统审计模型是一个有机整体,要从物理层次和逻辑层次来进行审计。金治中(2012)[8]基于我国计算机审计研究近30年来所出现的各种概念的定义不清、边界不明甚至使用时相互交叉等现状,对计算机审计相关概念进行了比较分析。
在发展历程方面,管亚梅(2007)[9]阐述了我国数据式审计的发展历程,并从审计目标、审计对象与内容、审计依据、审计技术、审计人员等不同方面来比较数据式审计与传统财务报表审计的区别,分析数据式审计在我国现状及存在的问题,从而提出我国数据式审计的发展策略。郑伟(2008)[10]通过比较中美两国的数据式审计的发展,认为中国虽然在数据抽取和分析技术方面知识较为齐备,但是缺乏数据审计的经验总结和提炼,需要完善数据审计程序和积累专家经验,以完成数据审计。
在风险与挑战方面,刘朝晖等(2011)[11]分析我国内部审计组织在信息系统审计外包的情况下所存在的风险,并提出了对其所采取的控制措施。谢瑾(2012)[12]基于我国内部审计控制信息化的环境分析,指出了内部审计控制信息化所面临的挑战并对此提出了对策。
3.关于我国计算机审计的模式方法的理论研究
在计算机审计技术方面,安兵(2007)[13]针对计算机审计工具在内部审计中的应用分析,主要介绍嵌入式审计模块(EAMs)、通用审计软件(GAS)、电子表格分析技术、数据提取技术与自动化工作底稿等技术在内审工作中的应用。王昊等(2007)[14]研究可视化数据处理时采用了SOL Server作为数据存储数据库,在Analysis Services中完成审计分析模型的建模工作,然后在DBMiner中完成对所建的审计分析模型的数据展现和聚类分析工作。最后对可视化分析结果进行审计专业判断,从而最终发现审计线索,为实施计算机审计提供了一种好的数据处理方法。陈大峰等(2009)[15]对P2P技术下的计算机协同审计进行了研究,并指出该技术能够审计人员协同在虚拟的环境中起到及时通信、共享资源、提高审计工作效率的作用。吴沁红(2010)[16]认为一种基于XML的标记语言——可扩展商业报告语言XBRL的出现使数据的收集变得更加容易,让数据“按需定制”,促使了会计人员由信息生产者转变为信息生产消费者,并且指出XBRLGL与REA协同是提高企业信息共享化、提高企业竞争力的基础。杨霞光(2010)[17]在谈及审计信息化课程教学的实践时提到转换数据的方法,可以利用计算机辅助审计将采集到的台账数据Excel表格根据审计需要转换成Access数据库。石勇等(2010)[18]探讨了网络环境下的政府信息系统审计,要求改进网络环境下信息系统审计的技术,例如可以采用程序追踪、管理控制测试矩阵、实时专家系统等。丛秋实等(2013)[19]通过对面向服务架构(SOA)的深入研究,将Web-services 技术集成到智能Agent架构中,提出面向Web服务的计算机审计系统(简称 WS-CAS),其中包括基于Agents的Web-services系统结构、多智能体Agents的交互等,进而开发了一个WS-CAS系统原型并对WS-CAS系统原型进行讨论以验证面向服务架构的计算机审计模式的可行性。
在计算机审计环境方面,黄冰等(2007)[20]基于我国电算化的环境从人员控制、操作挽程控制、操作制度控制、数据安全控制、计算机控制等方面探讨了内部会计控制的方法。徐瑾(2009)[21]通过探讨信息化环境对审计的影响,指出信息化环境下的审计目标、审计对象、审计技术方法和审计风险等发生了很大的变化。并且,她强调无论哪种审计方式,数据审计的流程都分为数据采集数据转换数据清理数据分析这四个主要阶段。在数据采集时,审计人员可以采用直接拷贝和读取、利用专门的数据接口以及使用临时数据接口这三种方式;在数据转换时主要使用专用工具、SQL语言和编码程序等这三种方法;数据清理要遵循宁多毋缺的原则;对清理后的数据,审计数据分析主要运用核对、检查、复算、抽样、判断及推理等技术方法进行分析整理。其中,审计中间表方法和审计分析模型方法就是较为常用的两种方法。她认为,数据式审计可以广泛采用CAATTs来收集审计证据,从而达到提高审计效率,降低审计风险的目的。王风华(2011)[22]以ERP的应用模式为切入点,在对不同ERP应用模式下会计信息处理流程的差异进行比较的基础上,分析了不同ERP应用模式下计算机审计的业务流程,并发现在不同ERP应用模式下,审计人员执行实质性测试的范围与重点是不同的。
在电子政务方面,郑伟(2007)[23]在阐述我国电子政务审计的方法时提及了应用计算机的方法可以包括:测试数据法、平行模拟法、综合测试法、受控处理法等。王琦峰等(2009)[24]结合“金审工程”的前期建设成果与所在地区审计信息化的实际情况和需求,提出和研究了面向电子政务的审计信息化框架的概念和构成,并在此基础上,对有效实现审计信息化人才培养等关键问题进行了研究和分析。该框架是由审计信息化支撑层、审计资源库、审计工具与接口、审计工作平台(AO&OA)、政府信息化审计应用模式等内容所构成。
4.关于我国计算机审计的模式方法的实务研究
在当前计算机审计发展的时代,冯国富等(2009)[25]基于我国缺乏系统的审计分析模型构造方法已成为发展的瓶颈的这个背景,论述审计分析模型的工作原理,以及提出一种以数据流图为基础的审计分析模型构造方法和审计工作指南,而且还借用了“某省辖淮河流域水污染防治效益专项审计调查”的实际审计案例,用以演示其工作过程、验证其可行性和有效性,从而成功发现了该省4地市环境保护部门2007年在排污费申报、核定、征收、上缴等环节存在不同程度的多征少征、人为核定等违规行为。王大勇等(2009)[26]结合了生活中的实例来详细介绍黑箱方法在数据库系统分析中的运用。张连丰(2009)[27]在分析计算机技术在证券公司审计中的运用时,主张审计人员要查询相关法规和学习案例,并通过数据关联、分类汇总等SQL查询分析技术对数据进行查询分析,来捕捉有价值的信息,发现可疑账户和交易,查找审计线索。
高浩玮(2010)[28]分析了计算机审计发展瓶颈原因,进而阐述了审计模式与计算机审计功能之间的关系,对近年提出数据式审计模式的思想通过高校审计实务案例加以实证。他分别从海量数据处理、信息深度加工、非会计主体(即会计主体内独立部门的账目)审计的平衡检验等这三方面体现数据式审计模式的应用成效,特别提出计算机审计实务要注重“分解事件、化难为易”的思想。王昌民等(2010)[29]指出可以利用地理空间数据来开展计算机审计的工作,开发有针对性的《地理信息辅助审计软件》从而提高审计过程中的科学性和准确性。
丁朝霞(2011)[30]在介绍计算机审计的经验与启示时指出在选择审计软件的过程中,应选择接口功能强大、兼容性强的软件,审计质量才有保证。周廉东等(2011)[31]通过理解供水企业的营业收费业务流程,以供水企业营业收费系统数据为基础,对供水企业的营业收费业务进行检查分析,随后采取现场审计实施系统(AO)进行辅助审计,确立计算机审计在城市供水审计中的总体思路,并建立相应的数据模型以及实施计算机审计。刘国城等(2011)[32]以中观IS审计为研究基础,选取风险管理为研究视角,借鉴国外与信息系统相关的网络与信息安全管理理论,对我国中观IS审计风险的管理框架进行初步论述,提出一系列的中观信息系统审计风险管理的理论借鉴。
仉素琴等(2012)[33]在分析我国计算机审计项目组织与管理时指出撰写专家经验、提炼情景案例的重要性。他们认为专家经验能够降低审计人员的劳动强度和审计风险,规范审计作业。魏文婷等(2012)[34]认为比较普遍的计算机审计的工作形式和内容有:目标信息系统数据采集、审计分析建模以及风险监测和评估这三步骤,并从数据质量审计、信息安全等方面进一步说明在信息系统审计中怎样去用好计算机审计。
5.我国计算机审计模式研究的评析
本文基于计算机审计工作模式的发展,对我国2007年以来的计算机审计工作模式研究的发展做了归纳梳理,发现存在几个特点:
(一) 在计算机审计的模式方法的理论研究方面,技术有待深入。国内计算机审计模式没有能够像国外的那样,在上世纪末就提出了连续审计的核心概念,并在此基础上进行了更深入的研究。相反,我国的计算机审计还处于起步的阶段,它的理论体系还有待完善。而且有些学者的研究只停留在泛泛的表层上,没有围绕一个核心作出进一步的深入分析。
(二) 在计算机审计的模式方法的实务研究过程中,研究由注重微观方面的任务型研究转向宏观方面的关系型研究。计算机审计在实务中,由刚开始的二十一世纪初要侧重于审计分析模型构造方法和审计工作指南、查找审计线索方面的研究,慢慢过渡到现在的以“风险管理”为研究视角,降低员工劳动强度、保证审计质量、建立模式与功能之间的关系。
(三) 从更进一步来讲,随着科技的发展,我国的计算机审计模式的风险机制欠缺严重。一方面是由于计算机审计的管理机制正处在摸索阶段,这方面的不健全在一定程度上给相应的计算机审计工作带来许多的风险及挑战;另一方面是由于审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不符,给企业经济带来了不可逆的经济损失或声誉损害。
6.总结
综上所述,本文主要是系统归纳和梳理信息化环境下计算机审计的一些思路,分别从理论和实务的角度进行阐述,最后针对这些模式和方法提出见解,希望能够对完善计算机审计模式和方法的体系有所启发。(作者单位:华南农业大学经济管理学院)
参考文献
[1][4][5]常启军.计算机审计模式研究述评[J],财会通讯,2008 (6):81-83.
[2]Groomer SM, Murthy US.Continuous auditing of database accounting systems using embedded audit modules.Information System Journal,1989.
[3]AICPA/CICA, Continuous Auditing,Research Report.The Canadian Institute of Chartered Accountants, Toronto, Ontario, 1999.
[6]刘汝焯.信息环境下的计算机审计方式[J].审计与经济研究,2008(23):14-19.
[7]谢岳山.联网环境下信息系统审计的体系架构[J].审计研究,2009(5):37-39.
[8]金治中.计算机审计若干概念辨析[J].财会月刊,2012(2):69-71.
[9]管亚梅.数据式审计及其在我国的运用[J].财会通讯,2007(10):55-56.
[10]郑伟.美国数据审计发展的启示[J].中国审计,2008(7):50-51.
[11]刘朝晖,黄春枝,雷晓梅.信息系统审计外包的风险及其控制[J].中国内部审计,2011(9):65-66.
[12]谢瑾.内部审计控制信息化之我见[J].中国内部审计,2012(1):72.
[13]安兵.计算机审计工具在内部审计中的应用分析[J].财会通讯,2007(4): 64-65.
[14]王昊, 陈伟,朱文明.可视化数据处理方法在计算机审计中的应用[J].中国审计,2007(12):46-47.
[15]陈大峰,冯国富,汪加才.P2P技术下的计算机协同审计[J].审计与经济研究,2009(24):46-50.
[16]吴沁红.第九届全国会计信息化年会综述[J].会计研究,2010(7):91-94.
[17]杨霞光.审计信息化课程建设思考[J].财会通讯,2010(8):152-154.
[18]石勇,崔超,赵晓光.网络环境下政府信息系统审计研究[J].财会通讯,2010( 8) : 117-118.
[19]丛秋实,黄作明,柳巧玲.面向服务架构的计算机审计系统研究[J].审计与经济研究, 2013(2):35-41.
[20]黄冰,程洪涛.浅谈电算化环境下的内部会计控制方法[J].财会通讯,2007(7).
[21]徐瑾.基于信息化环境下数据式审计的特征与实施路径[J].审计与经济研究,2009(24) :50-55.
[22]王风华.不同 ERP 应用模式下的会计处理流程与审计流程分析[J].财会月刊, 2011(3):36-37.
[23]郑伟.试析电子政务审计[J].审计研究,2007(4):38-42.
[24]王琦峰,李彬.电子政务审计信息化框架构建[J].财会通讯,2009(12):116-117.
[25]冯国富,刘军.一种基于数据流图的审计分析模型构造方法[J].审计研究, 2009(4):30-34.
[26]王大勇,李荣,杜凤红.计算机审计数据库系统分析研究[J].中国审计,2009(7): 67-68.
[27]张连丰.计算机技术在证券公司客户交易行为审计中的方法和技巧[J].中国审计, 2009(9):68-69.
[28]高浩玮.基于高校财务信息平台的数据审计模式及实务探究[J].审计研究,2010(6):59-65.
[29]王昌民,李亚辉,郭亚汾等.利用地理空间数据开展计算机审计[J].中国审计,2010(1):71-72.
[30]丁朝霞.90 万元差额的启示[J].中国内部审计,2011(10):61.
[31]周廉东,翁美丽,周学军.计算机审计在城市供水审计中的应用研究[J].财会通讯, 2011(5):95-96.
随着“金审工程”的实施,计算机审计正逐步取代传统的手工审计方式,成为开展审计工作的“利器”。但不少人经常混淆计算机辅助审计与计算机审计的概念,并没意识到计算机审计与传统手工审计两者的巨大区别,没意识到计算机审计的应用将引发一场审计革命。为了促进计算机审计的发展,必须澄清计算机审计与传统手工审计的概念以及其区别。
一、传统手工审计与计算机审计
传统的会计、统计和计划等管理数据的处理是以手工操作为主,传统审计也是以手工的会计资料处理系统为特征的。随着审计事项规模的不断扩大和日益复杂,传统手工审计的取证模式也逐渐从账目基础审计发展到制度基础审计再发展到风险基础审计,审计取证的切入点从反映经济业务的纸质账目演变为内部控制制度再演变为内部控制制度与风险因素,审计对象从纸质账目系统一个变为内部控制制度与纸质账目系统两个,审计的核心方法也从详查法发展为测试法;而测试法的大量运用,使审计方法发生了实质性的变化,并使其最终脱离了簿记方法,产生了真正意义上的审计方法,并使“簿记审计”转变为“测试审计”,使审计逐步脱离审计就是查账的概念。
在纸质环境下,审计实务可根据具体审计项目的审计目标选择相应的审计模式,既可以采取账目基础审计模式,也可以采取制度基础审计模式或风险基础审计模式。但随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。因此,为适应信息化建设的迅猛发展和审计环境的巨大变化,计算机审计应运而生并逐渐成为世界各国信息化环境下的审计发展的方向。
计算机审计是指在信息化环境下,计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门崭新的审计学科。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标的审计方式。因此,计算机审计的含义包括两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;另一方面,利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。
二、计算机审计和传统手工审计比较
(一)相同之处
从根本上说,计算机审计的目标与传统手工审计的目标是一致的,都是《中华人民共和国审计法》所规定的监督被审计单位的财政收支或者财务收支的真实性、合法性和效益性,以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展;其职能都表现为经济监督、鉴证和评价。在实施审计的过程中,审计人员都必须以《审计法》或《注册会计师法》以及相关的审计准则作为执业标准和职业规范,以会计准则与相关的法律法规作为判断被审计单位财政收支或者财务收支是否真实、合法的标准。无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
(二)不同之处
1.审计环境不同。计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.审计的思维方式不同。随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显着特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
3.审计线索不同。计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
4.审计测试的对象与范围不同。在会计电算
化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。因此,会计电算化系统及其处理的合法性、正确性、完整性和安全性与系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。为了控制数据风险,保障审计目标的实现,计算机审计的一项重要内容是对系统内部控制进行调查、测试和评价,包括会计电算化系统的审计与测试,这是手工审计所无法实现的。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统账套中是无法轻易取得的,从而扩大了审计人员的视野,丰富了审计人员的可用信息。此外,由于运用了先进的信息化手段,计算机审计可以非常快速和非常便捷地处理海量数据,解决了在纸质和手工条件下审计人员想做而不可能做的事情。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
中图分类号:F239.1 文献标识码:A 文章编号:1003-7217(2009)01-0065-04
审计模式是审计导向性的目的、范围和方法等要素的组合。它既属于审计理论范畴,反映人们的审计思想;又属于审计实践范畴,约定审计行为的方式和方法。根据审计的目标及所采用的方法划分,财务审计的发展可分为账项基础审计、制度基础审计和风险基础审计三种不同的审计模式。审计模式的发展既有跳跃性的一面,更有连续性的一面,它在技术和文化的推动下,体现着不同的审计思想,更反映了不同审计环境的要求。
一、信息系统导向审计:信息环境对风险基础审计的新要求
审计的发展是一部效率与风险的博弈史。早在1957年,蒙哥马利审计学就将“风险”这一概念与审计程序的设计紧密联系,探索审计风险控制的措施和审计方法的改进。随着经济和社会的发展,社会对审计的需求度日益提高,由于受审计目标及审计功能的局限,导致审计期望差距的存在,使审计人员承担过度的审计风险。为此,审计人员必须以风险基础审计为审计模式,将风险作为审计业务的核心,并以此引导审计的全过程。但同时,作为经济体,审计组织必然受制于成本一效益原则,在可控制的审计风险下,如何尽可能地提高审计的效率成为审计的永恒主题,这就要求审计人员能适应审计环境,高效地以风险源为切入点,合理确定审计的范围和重点,从而有效地降低审计风险,保证审计的生存和发展。
(一)风险基础审计的两个发展阶段
风险基础审计是指审计人员仔细分析被审计单位,确定可能产生财务报表错误风险最大的领域,并将审计资源分配到这些领域20世纪80年代初期,美国出台了审计准则委员会第39号《审计抽样》(1981)准则和第47号《审计业务中的审计风险和重要性》(1983)准则,特别是第47号准则中审计风险模型的颁布后,风险基础审计开始了它的历程。20多年来,在审计环境和审计实践的推动下,风险基础审计经历了两个不同导向的时期。
1 传统风险导向审计阶段
2003年以前,基于1983年美国注册会计师协会(AICPA)提出的“审计风险=固有风险×控制风险×检查风险”审计风险模型,这一阶段的风险基础审计,由于固有风险识别的困难性,无论是审计理论界还是审计实务界,都将注意力放在控制风险的识别和评价上。不难看出,这一阶段的风险基础审计实质为控制风险导向审计
2 现代风险导向审计阶段
随着审计环境变得日益复杂,2003年国际审计和鉴证准则委员会(IAASB)将审计风险模型修订为“审计风险=重大错报风险×检查风险”,以重大错报风险取代原有模型中的控制风险,提醒审计人员在审计过程中关注除企业的内部控制以外的风险。徐政旦、胡春元以及谢荣认为,审计人员应以企业经营风险为导向进行审计,更多地考虑企业的战略风险等因素。由于内部控制存在着无法防止管理层舞弊这一固有局限性。王泽霞等认为,审计应当立足于管理舞弊是现代审计风险最高的领域这一事实,将审计的注意力聚焦于管理层舞弊,以管理舞弊为导向。可以看出,风险基础审计发展至今,由于审计环境的变化和审计过程中新问题、新技术的出现,审计的切入点(导向)会有所不同。
(二)信息系统导向审计:信息化环境下风险基础审计的导向选择
二战以后,由于大量新技术的发明和广泛应用,产业结构、社会结构和生活方式发生了重大变化。网络技术促进了经济活动非物质化和经济全球化的迅猛发展,人类逐步进入了信息社会。与信息时代的要求相适应,一些跨国公司为了协调世界各地分公司的产销状况研发了全球性信息系统,企业信息系统的联机实施系统和数据库管理系统化,使得会计系统与其他信息系统联系密切;计算机信息系统对整个单位组织的生产和经营管理起着越来越举足轻重的作用,计算机信息系统运行的可靠性和高效率对整个企业组织的正常运转起着至关重要的影响,信息系统作为被审计单位的主要经济管理载体。
面对审计环境的变化,为了圆满完成审计任务,审计人员要开展审计,就必须首先了解被审计单位的信息系统以掌握其主要经济业务和重要管理活动,信息系统因此成为审计工作的主要切入点。此外,与传统纸质账簿不同的是,信息系统这一经济管理载体存储量大,复杂程度高,操作痕迹少,技术含量高,因而成为审计的重要风险源。审计人员能否迅速了解被审计单位的信息系统,在庞杂的管理信息和财务信息基础上建立审计系统、类别和个体模型,进行特征发现和特征分析,从而完成审计目标成为决定审计效率高低的关键。审计技术开始进入计算机审计阶段,数据的采集、转换、传输、分析、挖掘技术以及系统响应技术的运用都为对信息系统展开审计奠定了强有力的技术基础。
但是,如果仅仅对计算机管理的电子数据进行审计,极有可能是信息化条件下的“假账真查”,审计风险会急速加剧。无论是现代审计风险模型,还是企业经营风险导向审计及管理舞弊导向审计,都过于注重企业某个别风险“点”(如经营风险、管理层舞弊),或者过于注重会计报表中出现的一些“重大错报”(如战略影响、行业影响等),致使审计人员无法用全面、综合的观点看待风险的存在,也无法正本清源,寻求会计报表中出现错报的路径及发展变化,从而在高度信息化的环境下,无法系统寻找风险的源头并对之进行有效防范。因此,为了降低审计风险,保证审计质量,必须以计算机信息系统作为切入点进行审计,以保证整个系统及其产生结果的合法性、正确性、可靠性、有效性和安全性。信息系统导向审计全面进入实质性实践阶段。
二、信息系统导向审计发展的理论基石:系统论、控制论、信息论
20世纪40年代以来,系统论、控制论和信息论作为横跨自然科学和社会科学两大领域的综合性科学,从方法论上提供了解决复杂问题的一般原则和具体手段。随着信息技术的广泛运用,企业这一协作系统的信息化程度越来越高,其会计计量与运营管理越来越依赖于信息系统来提高效率、改进服务,加强管理和提高生产力,信息系统的安全、可靠、效度和功能完善也比以往任何时候显得更加重要。自从1993年美国率先提出建设国家信息基础设施,主
张运用信息技术“再造”政府以来,许多发达国家和新兴工业化国家也提出了“政府信息化”的目标。面对这样的社会信息化变革,审计迫切要求实行信息化。
系统是由若干要素以一定结构形式联结构成的具有某种功能的有机整体。系统论关注事物之间的联系,寻找事物之间的规律,要求从立体的角度去思考问题。信息系统导向审计环境下,审计人员面对的是被审计单位的联机系统,首先应了解其系统结构,从管理各子系统的非数值型数据入手,而不仅仅是审查其会计系统的数值型数据,通过系统分析、对照、比较,提示重点、筛选线索、形成思路,即所谓多侧面、多变量地考察。从联系的、整体的、发展的观点对非数值型数据进行多层次分析,与对数值型数据的挖掘分析相结合,相互印证,才能发现审计线索,从而提供进一步进行控制测试和实质性测试的重点。
在信息导向审计环境下,系统的开发、设计、程序、应用、安全、网络等构成了一个庞杂的“黑箱”,从而信息接触性风险、信息一致性风险、信息相关性风险、信息可靠性风险和信息基础设施风险剧增,必须进行有效的控制。而面对这样复杂系统,如果不了解其系统结构,就无法连续观测其行为过程。审计中可以尝试采用控制论中的“黑箱方法”,即通过考察系统的输入、输出及其动态过程,来定量或定性地认识系统的功能特性、行为方式,以探索其内部结构和机理,从而实现对外部的输入和输出来进行分析,并完成对源数据的分析。所谓源数据,即被审计单位数据库中的底层电子数据。在传统审计方式下,纸质账册提供的是加工后的数据,而底层数据是指没有经过人为加工处理的数据,底层数据具有原子性,根据审计需要进行任意组合,其信息的灵活性和潜在价值,远远大于现有的信息。其审计方法是根据源数据进行查询,把握审计对象的趋势、异常和错误,层层延伸分析。
信息系统导向审计的核心就是一个信息采集、信息转换、信息分析和信息评价的过程。审计人员应以系统的总体把握为切入点,分析非数值型数据、数值型数据等底层源信息流,突出重点,精确延伸,建立审计中间表,进行数据规划,建立审计模型,最后根据对模型的分析进行特征发现和特征分析,这正是信息论中信息方法处理的一般过程。此外,对于信宿,即审计人员和审计机构,在信息储备和信息审计的过程中,也应建立自己的审计管理系统和审计经验系统,在保证审计质量的基础上进一步提高审计效率,节约审计成本。
因此,在系统论、控制论和信息论的理论基础上,信息系统导向审计可以理解为“审计人员以信息系统为审计切入点,在测试其安全、可靠、有效的基础上,对被审计单位的经营管理活动的合法性、公允性、效益性进行监督、鉴证和评价的过程。”
三、信息系统导向审计的操作框架探索
(一)信息系统审计
信息系统审计是信息系统导向审计的起点。据美国斯坦福研究院的调查报告,随着20世纪60年代第二代晶体管计算机的出现和计算机应用的普及,特别是实行会计电算化后,开始出现信息系统审计。1985年日本通产省情报协会给出了信息系统审计的最初定义,1996年又对其进行了修订,认为信息系统审计是为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师以第三方的立场,对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导提出问题与建议的一连串活动。1999年,美国的Ron A,Weber出版了《信息系统控制与审计》,认为信息系统审计是一个获取证据,对信息系统是否能保证资产的安全、数据的完整以及是否有效地使用了组织资源并有效地实现了组织目标做出评价和判断的过程。虽然信息系统审计发展历史并不长,但其研究在国外已有一定的规模和成果,主要集中在信息系统审计执业标准和规范的研究、作用意义的研究、业务内容的研究、技术方法和应用模式的研究以及人员资格的规范研究等方面。目前普遍得到认可的是美国信息系统审计与控制协会(ISACA)推出的一系列审计标准,它以信息及相关技术控制目标(CO,BIT)为核心,一共颁布类14个审计准则,对信息系统审计提供了指南和操作规范。
1 信息系统的生命周期审计
计算机信息系统的生命周期按照CABIT划分为四个域:规划与组织、获取与实施、交付与支持、监控。针对域的各个lT过程进行审计,主要内容是:从系统论的角度了解信息体系结构,检查其有效性、机密性和完整性;审查系统开发、设计、运行、维护过程,检查其有效性、效率性;审查定期的风险评估,检查其可用性、有效性;审查系统安全的机密性、完整性;审查处理问题和突发事件的有效性、效率性;审查数据管理、设施管理和运营管理的完整性和可用性;特别是过程监控的有效性、效率性、完整性、机密性、可用性、一致性和可靠性。
2 信息系统的运行控制审计
根据控制论的稳定控制、程序控制、随动控制和最优控制,对软件结构、处理逻辑和数据运动等进行检查测试,防止和及时发现系统中可能存在的错误甚至非法的处理功能、控制的弱点和缺点,确定系统处理结果的真实性和合法性。COBIT提倡采用检验、分析、观察、询问和确认、重复操作的方法进行系统运行控制测试,以获取充分的审计证据。主要包括检测数据输入的有效性、完整性和准确性;检测数据输入的更正记录的合法性;检测数据处理过程的合法性、准确性;检测数据输出的真实性、完整性;检测数据备份的及时性、可靠性。总之,应对现行系统运行过程中的硬件、软件、工作环境是否安全,操作人员的职能设置、权限管理是否根据工作流程划清职责,能否有效地防止数据被窃取、篡改进行审计;对系统的安全可靠程度、运行处理的合法性、系统工作的有效性和系统的资源利用率进行审计。
(二)系统数据审计
信息系统导向审计以信息系统审计为审计切入点,以风险为贯穿审计过程的核心,不仅应对产生数据的系统进行审计,也要对系统产生的数据进行审计。在信息系统审计的基础上,进一步测试系统所生成的数据的真实性、合法性和正确性。审计人员在对信息系统的生命周期及现有运行控制进行测试后,依据这一过程所确定的风险领域,合理配置审计资源,开展对非数值型数据和数值型数据的审计,用以确定被审计单位经济业务活动的合法性、公允性和效益性。
一、大数据概述
1.大数据的含义
通常意义上大数据是指不能在正常可接受的时间范围内用普通数据处理工具进行分析处理的数据集合。与大数据相关的数据收集、处理、整合、分析技术统称为大数据技术,一般简称为大数据。本文采用互联网数据中心对大数据的定义,认为大数据是为了更加高效便捷的从纷繁复杂的数据集合中获取有利于决策的信息而设计的新一代架构和技术,用它来描述和定义互联网大数据时代产生的海量数据,并命名与之相关的数据处理技术。
2.大数据的特征
大数据具有四个特点:第一,数据量巨大。互联网大数据时代每天产生的数据量十分大,就企业财务数据而言,一个上市公司每天能产生海量的数据,加上子公司分公司传载过来的数据,其数据量之大,前所未有。第二,数据处理速度快。大数据时代的数据挖掘分析与传统的数据挖掘技术有着本质的不同,新颖的算法先进的技术使得数据的分析处理速度极其迅速。第三,数据多样性。之前的数据只是文字数字范畴内的概念,现在包括视频、图片、语音、网络操作记录、网络日志等多种形式。
二、大数据时代数据处理的转变
1.由抽样分析到全数据处理
大数据时代之前,由于数据收集和处理技术等条件的限制,人们在处理数据时主要依靠抽样来分析总体。由于抽样分析的固有缺陷,使得通过这种数据处理方式得到的结果有着很大的失真风险。大数据时代,数据分析处理技术已经有了质的飞跃,人们可以通过科学的数据技术获取海量数据并进行有效地处理分析,虽然人类可以处理的数据仍然有数量限制,但是相比以前,人们可以处理的数据量已经大大增加。随着数据处理技术的发展,人们已经有能力摆脱抽样分析的束缚进行全数据的处理,这也使得审计由抽样审计变为全部审计成为可能。
2.由单一性分析到糅合性分析
大数据时代到来之前,传统的数据分析往往以单一数据来源为基础进行数据分析,基于单一来源的数据分析,缺乏其他方面数据的佐证和支持,结果的精准度以及指导性有待提高。随着大数据时代的到来,人们有能力获取来自于多渠道的海量数据集合,并能运用先进的技术对来自于多个方面的数据进行综合性分析,糅合各种相关信息,得出综合性结论。以审计工作为例,大数据时代审计数据来源不再仅仅局限于企业财务数据,审计人员能利用大数据技术以及云共享平台从各个渠道获取与企业相关的信息,如来自于银行、海关、工商部门、税务部门、证券交易所等各个机构的信息。运用相应的数据挖掘整合技术综合性分析这些数据,能得到更加准确的结果得出更具指导意义的结论。
3.由低效数据处理到高效数据处理
之前,由于数据存储、传输条件限制以及数据分析处理技术的制约,数据传输数据处理速度慢,处理效率低下。大数据时代,数据存储技术有了全新的发展,网络数据传输能力空前提高,新颖的算法先进的技术使得数据分析处理的速度有着质一般的飞跃。这些都为数据处理由低效转向高效提供了技术支撑。
三、大数据时代数据处理技术对审计的影响分析
1.大数据技术促进审计模式的转变
传统审计模式下,审计人员先对企业进行风险评估根据经验和企业情况来判断企业可能存在的问题,在此基础上进行抽样审计。由于审计成本和技术手段等多种因素的限制,无法对被审计单位的所有经济业务进行分析,依赖于对被审计单位的抽样审计,推断被审计单位的整体情况。原有的抽样审计模式不仅受样本有限性的制约还受审计人员主观意识的影响,使审计人员无法完全发现和揭示被审计单位的重大舞弊行为,加大了审计风险。大数据时代,可以运用大数据技术对被审计单位的财务数据库进行分析处理,进而对企业所有财务数据进行梳理审计,有效的发现被审单位舞弊造假行为,降低审计风险。全新的数据处理技术为审计提供了新的技术手段,推动了审计思维的转变,颠覆了传统抽样审计模式,促进了整体审计模式的发展。
2.大数据技术提升审计的价值作用
目前,审计工作依靠对单一来源的企业财务数据进行抽样分析,影响审计结果的准确性。同时又由于审计机构出具的审计报告格式单一、信息量少、用途有限,这大大影响了审计工作在反馈指导企业经营方面的作用,降低了审计的价值作用。大数据时代,审计机构能对被审计企业的各方面信息进行全方位分析处理,可以在短时间内清楚的了解企业运营的各个方面。在未来,审计结果可能会超出传统审计报告的范畴,审计机构在出具传统审计报告的同时,还可以给出新型的审计结果,来指导企业的发展。这些变化都将强化审计在指导企业运营方面的功能,提升审计的价值作用。
3.大数据技术提高了审计效率
传统审计中,需要审计人员对纸质单证(如会计凭证)进行查验,虽然是抽样查验,但是耗用了大量的人力和时间。大数据时代,一方面,企业财务数据存储方式发生重大改变,由纸质化转向电子化,大大的减轻了审计人员的负担。其另一方面,先进的数据挖掘、分析、处理技术使得审计人员能迅速收集企业的相关数据并进行分析处理。以财务数据为例,审计人员能够在企业财务软上导出其财务数据库,然后运用SQL等数据语言查询各种需要的信息,还可以运用数据处理技术进行各种分析处理。同时结合云计算平台、云数据库等各种新型技术手段更能大大的提高审计效率,实现高效审计。
四、推进大数据审计的建议
为了应对大数据技术对审计技术方法、审计模式的的影响,有效的运用大数据技术进行审计工作,政府、审计学术界以及审计机构应采取各种措施积极应对。
1.建立完善配套的审计法律法规
现行法律体系下,相关数据凭证没有法律支撑,审计应用大数据技术缺乏法律依据。大数据技术应用的合法性问题是阻碍大数据技术应用到审计工作中去的一大障碍。只有完善与大数据技术相关的审计法律体系,才能为运用大数据审计提供法律依据进而确保大数据审计的合法性。如果相应的审计法律依据,无法保证大数据审计的合法性,就无法保证大数据的数据收集、数据存储、电子凭证的合法性,大数据技术很难有效的运用到审计工作中去。因此要想使得大数据技术在审计工作中得到充分的运用,就应当确保大数据审计的合法性,加强与大数据技术有关的审计法律法规的建设,建立完善配套的审计法律法规。
2.加强大数据技术与财务审计的理论融合
大数据技术真正高效的运用到审计工作中去,需要加快大数据技术和审计的理论融合。目前虽然在审计实务中已经逐渐开始运用大数据技术开展审计工作。但是大数据技术和审计是两门不同的学科领域,机械的将二者拼凑到一块难以达到理想的效果。审计学术理论界应当在加强对大数据技术相关理论的学习,针对审计行业的特点,有效的融合大数据技术和审计,优化大数据审计的程序和方法,形成全新的大数据审计理论,来指导审计工作。同时,还应当加强大数据审计软件的开发,有效的将大数据审计理论和审计实务联系起来。
3.提高运用大数据技术进行审计工作的能力
由于当前我国审计人员多是从事财务、审计出身,知识结构单一,缺乏必要的计算机、数据技术等知识,习惯于用传统的审计方法,很少或者很难运用大数据技术开展审计工作。在大数据时代,财务数据量巨大且多以电子数据的形式存在,只有运用全新的数据处理技术才能实现审计工作的高效快捷。审计机构应当明白大数据技术的重要性,鼓励审计人员自主学数据技术,努力加强对数据处理技术的培训提高审计人员运用大数据技术开展审计工作的能力。
参考文献:
[1]李秀菊.大数据时代CPA审计的机遇与挑战[J].中国内部审计,2015(03).
[2]阮哈建.刘西友.大数据与审计机关的应对策略[J].中国内部审计,2013(6):84-85.
[3]安艳丽.大数据时代交易对企业会计信息质量的影响[J].财政监督,2013,(13):41.
[4]李剑锋.大数据环境下审计工作的有益尝试[J].审计月刊,2015(06).
在市场经济的今天,对公开信息披露客观性和可靠性的评价越来越依赖于审计工作的进行。尽管由于问题引发了相关人员对于审计的独立性和中立客观性的新一轮思考,但是,没有人否认审计工作在沟通上市公司与利益相关者时所起到的举足轻重的作用。在审计过程中,注册会计师为了更加充分地分析、评估公司的相关数据背后所隐藏的真实经营状况往往会运用各种手段和工具,分析程序恰恰是整个过程中不可缺少的一环,实践也充分证明着分析程序在审计实务应用中的必要性和重要性。本文就分析程序在审计中应用的几个问题做了初步探讨。
二、国内外研究现状
分析程序作为对财务数据与非数据等相关信息进行分析的一系列相关方法的总称,体现出了独特的与财务分析等课程相联系的综合性。它能帮助注册会计师将公司表面信息转化为反映公司经营状况和发展前景的内涵信息,很好的达到辅助注册会计师对公司的财务报告的公允性和合理性作出较为正确判断的目的。
目前国内外有关分析程序的研究主要有理论和实务两个方面。国外关于分析程序的研究起步较早,主要研究领域为分析程序的相关基本概念、应用情况以及分析程序的典型技术方法。美国注册会计师协会(AICPA)于1988年在其第56号审计准则中提出了“分析性程序”(Analytical Procedure)的概念,即:“通过对财务以及非财务数据之间合理关系的比较和分析做出对财务信息的评价”。随着现代审计的发展,风险导向审计模式日益为全球所公认,国外审计界也达成了共识,即分析程序将有助于审计风险的识别与评估,并发挥重要的作用。国内审计界关于分析程序的研究起步相对较晚,目前的研究多数着眼于理论层面,从分析程序的定义、特点、方法、相互关系、具体应用、技术方法等方面进行探讨。从笔者搜集到的资料来看,国内有关分析程序的研究方向大体可以分为以下四类:1.从宏观层面,研究分析程序的概念、特点、相互关系、具体应用时应考虑的因素、技术方法;2.从微观层面,采取某一个角度,研究分析程序的应用,如注册会计师的思维模式对分析程序的影响;3.从具体操作层面,研究分析程序的应用,如通过Excel软件使分析程序得以更好的应用;4.从理论层面,分别探讨分析程序在实务应用中的三个方面――风险评估、实质性程序、财务报表复核中的运用。
综上,可以看出,国内外关于分析程序的研究重点虽然有所差异,但是都共同侧重了审计分析程序理论方面的研究。
三、分析程序的概念与应用
目前,关于分析程序的概念理论界已经达成共识,即分析程序是指注册会计师通过研究不同财务数据以及财务数据与非财务数据之间的内在关系,对财务信息做出评价的过程。分析程序的应用可以明显地体现在三个方面:用于风险评估、用作实质性程序和对财务报表复核。
(一)分析程序用于风险评估
分析程序用于风险评估主要是为了帮助注册会计师识别可能存在重大错报风险的异常变化或者估计发生而尚没有发生的变化,以及识别存相关的错报风险领域。在具体运用分析程序时,注册会计师重点关注的是关键账户的发生额、余额、趋势及财务比率等方面,形成合理预期,进而通过比较作出准确判断。
(二)分析程序用作实质性程序
如果分析程序比细节测试更能有效地将认定层次的检查风险降至可接受水平,则分析程序可用作实质性程序。在对评估的重大错报风险实施进一步的审计程序时,注册会计师通常把分析程序作为实质性程序的一种,并结合其他细节测试,收集适当充分的审计证据。此时分析程序的运用可以减少细节测试的工作量,有效节约审计成本,利于降低审计风险,使审计工作更有效率和效果。
(三)分析程序用于财务报表复核
在审计结束或将近结束时,分析程序被用来在已收集的审计证据的基础上对财务报表整体的合理性做最终把握,评估财务报表是否还存在尚未发现的重大错报风险的可能性。注册会计师进而会考虑是否需要追加审计程序,以便为发表恰当的审计意见提供合理的保障。
四、分析程序的方法
分析程序的方法很多,注册会计师在针对具体情况时可以使用不同的分析方法。2006年我国新颁布的分析程序审计准则明确规定了可以使用不同的方法,包括简单的比较分析到运用高级统计技术的复杂分析。在审计实务中,常用的分析程序方法有以下四种:趋势分析、比率分析、合理性测试法和回归分析法。此外,在对特定项目运用分析程序时,注册会计师也会采用模型分析如时间序列预测模型分析、财务模型分析等,严格来讲,回归分析法也是模型分析的一种。
五、结论
分析程序从理论到运用都有着一套独特的体系,因而也在注册会计师审计工作中起着不可替代的重要作用。笔者认为,在将来的审计实务中,作为审计过程中不可缺少的取证、对比、验证手段,分析程序将可以在以下方面发挥重要的作用:1、评价被审计单位的相关财务能力,进而发现潜在问题。2、发现被审计单位内部控制和运营过程中的潜在问题。3、结合现金流量表的相关数据,对被审计单位的财务状况进行综合分析,从多个角度揭示被审计单位的运营状况,发现可能存在的错报、漏报,帮助注册会计师得出正确的结论。总之,分析程序将在以后的审计工作中作为注册会计师有力的分析工具而发挥出更大的作用。
参考文献
[1]卢金叶.分析程序在审计实务中的运用[N].财会信报,2010(10).
[2]叶.分析程序在注册会计师审计中的运用[J].商场现代化,2010(10).
