数据式审计
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
数据式审计是以被审计单位底层数据库原始数据为切入点,在对信息系统内部控制测评的基础上,通过对底层数据的采集、转换、整理、分析和验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析,发现趋势、异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。
数据式审计产生的根源[1]
随着企业信息化进程的加快,前台以电子商务为主,后台以ERP系统为支撑的新型数字化企业已经逐步成为企业的主要运营模式。尤其是CRM及SCM与ERP的高度融合,ERP II开始取代ERP,成为新型数字化企业的主流模式。这种改变带来的最大影响体现在企业内外部会计环境的变化上,其主要表现在以下几个方面:
1.数据表现形式的虚拟化,储存重点的突出化。
传统的会计数据通常以纸介质为载体。以凭证、账簿及报表为主要形式加以反映,数据存储不易,且占用大量空间,查找不很方便。企业信息化建设使得所有会计数据均以“比特”方式保存在磁性介质上,其相对纸介质而言,占用空间较小。查找十分便捷。同时,各类凭证库文件成为所有信息的源头”和主要存储的会计数据。而账簿及报表则表现为对同一会计数据按照不同方法的组合,故没有必要单独进行保存,在查询及打印时计算机可及时生成相关的各种账簿和报表。
2.数据范围的进一步扩充,业务处理的及时性提高。
美国注册会计师协会(AICPA)1970年对会计的定义是“会计是一项服务活动,其功能就是一个经济个体主要是财务方面提供量化的信息,以帮助(信息使用者)做出经济决策,以及在不同的备选方案中做出最终的选择”。由此可以看出,提供经济活动信息以便为决策提供帮助是会计工作的主要功能。而传统会计数据的主要表现形式是反映企业经营活动的、能以货币计量的数字和文字。信息技术在会计领域的应用,大大提高了企业会计数据的处理速度。使及时提供企业经营成果成为可能。并且为使用者的决策提供了强有力的帮助和支持。基于计算机网络的企业信息化建设使业务、财务协同处理一体化得以实现。与此同时。企业数据的电子化也极大地扩充了会计数据的范围.一些非货币计量的数据(音频、视频、图表等),逐步成为企业经营活动和决策时必需的“会计数据”。这些数据和原有的会计数据共同构成了企业的基础数据库,“彩色”数据正逐步成为主流数据。
3.用户对信息需求的个性化。
利用财务报告中的一些相关会计数字来反映企业的经营状况。曾被认为是“会计人员智慧的象征和伟大的创举”。而3张主要财务报表更多反映的是报告使用者的共同信息,不同的信息使用者有着各自的不同需求。针对不同的使用者提供各自的“专属信息”,在传统会计数据处理方式下,显然不太可能。借助计算机处理数据的高效性,网络传输的便捷性,以及自助式会计信息系统的建立,这一切已经变得伸手可及。使用者的“专属信息”不仅增强了报表的“可读性”。也对使用者决策提供了强有力的支持。
4.以事项法为主的会计理论的“复出”。
美国会计学家乔治·索托早在1969年的《构建基本会计理论的事项法》中,已经提出了事项法会计的基本理论,只是受当时技术条件的限制未被广泛接受。随着信息技术的发展,以事项法为主的会计理论正在逐步得到认可。按照事项法理论,企业提供给信息使用者的将是一些“经济业务元”(事项),而会计报表的生成以及对会计数据的加工完全由使用者自己完成。企业信息化进程的加快。使事项法理论重新回到了会计人员的视野中,正逐步为大多数会计人员所接受。
数据式审计的发展观[1]
l.审计方法的理智“回归”。
纵观现代审计的发展历程可以看到,从以账项审计和制度审计为主的程序驱动审计(Procedures veil)到风险导向审计(Risk-driven),审计的重心在逐步前移,这和经济发展及人们对审计工作认识的深入有很大的关系。1989年美国审计署(GAO)提出的一份《注册会计师审计质量》的文件中,首次提出风险导向审计的概念,以区别程序驱动审计。虽然风险导向审计被期望成为提高审计质量,降低审计风险的一个主要审计方法,但由于原“五大”会计师事务所的“错误理解”。使得其成为事务所降低审计成本,提高审计利润的一个主要手段。世通丑闻不能不说是安达信借风险导向审计之名。行牟取高额利润之实,而最终造成审计失败的恶果。
风险导向审计的诞生,和其自身的环境有着很大的关系。随着企业规模的扩大,交易数量激增,交易涉及面较大,业务极其繁杂,完全利用手工对大量的数据进行原有的程序驱动审计,已经变得不太现实。电子商务的迅速发展,使其正在成为多数企业前台交易的一个主要手段。也成为拉动企业信息化建设。迫使企业进行业务流程重组的源动力。在以电子商务为主要交易方式的企业中。业务流程重组带来企业全新的组织架构,当“神经元”式组织结构变为现实时,如何评价企业的内部控制变得十分困难。借此衡量一个企业风险的大小,进而采用风险导向审计变得更加不易。
信息技术的介入,不仅改变了原有的会计数据处理流程,也为数字化下的程序驱动审计——数据式审计.成为新的审计方法提供了有力的条件。数据式审计不是原有程序驱动审计的简单“回归”。审计人员借助计算机。可对大量数据进行高速且有效的分析和筛选。审计证据可通过Internet跨时空进行传输。审计人员“足不出户”在虚拟环境中开展审计工作,不再是遥不可及。监盘、函证及分析性复核等一些久经“历练”的程序驱动审计的主要方法,借助计算机使其成本大幅度降低后重新成为审计人员的主要手段。这些方法的使用加上审计人员的职业判断将会大大提高审计质量,进一步体现审计人员应有的审慎性和其所代表的公众责任。
2.审计内容重点突出。
企业会计环境的变化,使审计工作重点进一步突出,基础数据重新成为审计的重点。信息化下企业存储的主要数据是以记账凭证为主的会计数据和不能以货币计量的非会计数据所构成的“数据源”。其他数据只不过是此“数据源”的翻版。“输入的是垃圾,那么输出的也是垃圾”这句计算机行业的名言。很好地诠释了基础数据及处理程序,决定了最终结果的真实、准确、公允。因此,对于企业的审计,应从这些“数据源”人手。加大对“数据源”的审计,原有的对账项和报表的审计变得不再重要。
由于会计准则的弹性和人为的盈余管理,财务报告的真实性和有用性一直受到使用者的质疑,会计计量的多元化,使得财务报告所反映的会计信息的有用性变得更加“扑朔迷离”。使用者期望得到最真实可靠的信息,以利于各自的决策,基础数据无疑是这方面最有力的代表。它实有效地反映了企业的各项经营活动。是“原汁原味”的会计数据,在此基础之上使用者根据各自角度和需求加工的会计信息,在真实性和有用性方面得到了极大的改善。诚然,让每一个使用者都成为会计专家,熟悉各种晦涩难懂的会计准则,显然不太现实,但财务报告模式的改进和自助式会计信息系统的建立,使利用财务报告对基础数据的查询及财务报告的个性化成为可能。不同的使用者可以按其所需,利用财务报告查询到企业的基础数据库.
数据式审计的特点[2]
(一)审计对象从账目系统变成了电子数据
数据式审计的最大特点就是对电子数据的直接利用。在进行数据采集时,深入被审计单位计算机信息系统的底层数据库,获取更多、更广泛的内部数据,通过对这些数据的分析处理,并结合从相关单位和部门采集的外部数据的关联分析,得到大量的多种类型的有用信息[4]。在数据式审计方式下,审计人员面对的不再是纸质环境下的会计账簿,也不是电算化环境下的电子账套,而是将被审计单位的计算机信息系统及其处理的电子数据作为直接的审计对象。
(二)扩大了审计范围和审计内容
数据式审计丰富了审计人员的可用信息,使其不再局限于传统账套和传统财务信息。数据库中存储的各类数据,包括大量的业务数据和外部数据,只要与审计有关,审计人员都可以将其作为数据采集的对象。这些信息不仅包括账目系统中所反映的传统账务信息和财务数据所反映的其他财务信息,还包括业务数据所反映的非财务信息,以及财务数据和业务数据组合、内部数据和外部数据组合所反映的综合信息。这些类型的信息在传统账套中是无法轻易取得的,但计算机强大的数据处理能力,可以迅速而准确地处理海量数据,为数据式审计提供了有力的技术支持,解决了在手工条件下,审计人员因人力和时间有限想做而不可能做的事情。
(三)审计方法从查账变成了数据分析
在早期的手工审计中,审计人员基本是在重复执行会计人员的核算过程,用详查法验证簿记的正确性。随着审计事项规模的不断扩大和日益复杂,详查法已越来越难以胜任。为了科学地缩小审计范围,减轻审计工作量,提高审计效率,审计人员开始使用建立在概率论和数理统计原理之上的审计抽样技术,通过对样本的审查测试来实现对总体的监督和评价。测试法逐步取代详查法,成为审计的核心方法。从“簿记审计”到“测试审计”的转变,使审计方法发生了实质性的变化,产生了真正意义上的现代审计。凭借计算机快速准确的数据处理能力,在计算机辅助审计时,无论是抽样审查还是详细审查,执行起来都不再困难,但信息系统所带来的新的特点和风险却与日俱增。因此,审计人员面对的主要问题已不再是选择测试法还是详查法,而是如何对信息系统中的数据进行有效的分析,数据分析方法成为审计的核心方法。建立在数据式审计基础上的数据分析方法不同于传统的分析性测试。分析性测试的对象是会计信息,这些信息具有特定的格式和确定的内容,对其只能进行有限的再利用。而数据分析的对象是数据库中的底层数据,可以直接对其进行各种数据处理,形成满足审计目标的多种多样的信息。
(四)采用新型的审计技术
数据式审计模式是一种全新的审计模式,需要革新传统的技术方法,创建全新的技术方法,其具体流程主要分为如下几个步骤:审前调查,获取信息;采集数据,整理数据;进行数据转换、数据清理和验证;创建审计中间表;进行数据分析,找出审计重点;构建审计分析模型,分析数据;延伸落实,审计取证。在数据采集与数据整理阶段,审计人员在审前调查的基础上,按照审计目标,采用一定的工具和方法对被审计单位信息系统的相关数据进行采集,转换为审计软件所需要的电子数据类型。审计人员采集到的被审计单位原始数据,可能存在的数据质量问题有很多种,包括不完整的数据、不准确的数据、不一致的数据、重复的数据、与审计无关的数据等。因此,对转换后的数据要进行清理、整理和验证,剔除无用信息,验证数据真伪,提高数据的质量。
审计中间表是面向审计分析的数据存储模式(或称目标模式),它是将转换、清理、验证后的源数据按照提高审计分析效率、实现审计目的的要求进一步选择、整合而形成的数据集合,是审计人员进行数据分析的对象、资源和平台。创建审计中间表是构建审计分析模型的前提和基础,是实现数据式审计的关键技术之一。按照使用目的不同,又可分为基础性审计中间表和分析性审计中间表。前者可以帮助审计人员选定审计所需的基础性数据,后者可以帮助审计人员实现对数据的模型分析。
审计分析模型是审计人员用于数据分析的数学公式或逻辑表达式,它是按照审计事项应该具有的性质或数量关系,由审计人员通过设定计算、判断或限制条件而建立起来的,用于验证审计事项实际的性质或数量关系,从而对被审计单位经济活动的真实、合法及效益情况做出科学的判断。常见的审计分析模型有以下几种:根据法律规定的状态来建立;根据业务的逻辑关系来建立;根据不同类型数据之间的对应关系来建立;根据审计人员的经验或预测来建立等。构建审计分析模型是数据式审计区别于传统审计模式的重要特征。对审计人员来说,能否熟练地构建模型,表现出其个人的审计能力和水平;对审计事业来说,能否对审计分析模型做出正确、深刻的理论概括,能否总结出模型构建的一般规律,标志着计算机审计的整体发展水平。
数据式审计的关键技术[3]
与传统审计模式一样,对于一个数据式审计模式下的审计项目而言,按其进行的先后逻辑顺序,可以划分为审计准备、审计实施和审计完成i个过程。其中,主要不同在于审计实施阶段,此阶段主要完成对电子数据的采集、整理与分析工作。
图1 数据式审计过程及任务划分示意图在数据式审计模式下,面对被审计单位各式各样的信息系统以及存储于其中的海量数据,大量新型审计技术方法正被广泛运用到审计中来,特别是在审汁实施过程中的各个环节:数据的采集、整理过程可以使用各种成熟的技术和工具,包括数据库访问技术、数据库同步复制技术、数据库联邦技术、数据装载与清洗工具以及审计软件等相关技术。在整个数据式审计过程中,核心问题就是对采集、处理后的电子数据进行分析,从中找出疑点,从而确定审计的重点。数据分析是对数据的处理,并试图使数据转化为有用的信息。数据是底层的、元素性的,它可以有多种多样的组合,在用途上可以做多种多样的拓展,从而形成多种多样的信息;信息是上层的,具有明确的表现形态和内容,在用途上也有一定的限制,因而只能做有限的再利用,不能作深度的挖掘。联机分析处理技术和数据挖掘技术则是数据分析最为重要的工具。
(一)数据式审计关键技术之一:联机分析处理
审计业务流程中,最主要的环节是对基础数据库中各种类型的数据进行分析,从中找出疑点,从而确定审计的重点,联机分析处理技术为数据分析提供了强有力的审计分析T具。
联机分析处理技术(On—Line Analytical Processing,简称OLAP),是针对决策问题的联机数据访问和分析,也是目前对于海量数据处理所采取的主要方法。联机分析处理技术最基本、最核心的特征就是从多个角度分析数据,也称为多维分析。它支持审计人员从不同的角度,灵活快捷地对被审计单位的电子数据进行挖掘分析,从而发现数据内在规律。OLAP展现在用户面前的是一幅幅多维视图:冲破了物理的 维概念,采用了旋转、嵌套、切片、钻取和高维可视化技术,在屏幕上展示多维视图的结构,使用户直观地理解、分析数据,进行决策支持。
一般而言,多维数据分析可以分为以下几个步骤:
1.获取审计数据源
多维数据分析的数据源可以直接设置为被审计单位的后台数据库,也可以设置为审计人员白行生成的中间数据库:通过了解被审计单位提供的数据字典,了解基础数据中各表中存储数据的内容、各字段的含义以及各表之问的关联关系,结合审计目标和特点,从与审计分析主题业务类别相关的基础数据表中选择反映该业务类别主要信息的字段,组织这些字段,来构建我们的数据仓库模型。审计人员可通过数据库嵌入或数据库链接等连接方式将数据导入,在对数据进行格式定义和清理后,生成所需的审计中间数据仓库。相对来说,后一种方式更为安全、可靠。
2.创建多维数据集
多维数据集也就是常说的数据立方体,它是联机分析处理(OLAP)中的主要对象,是一项可对数据仓库中的数据进行快速访问的技术。多维数据集是一个数据集合,通常从数据仓库的子集构造,并组织和汇总成一个由一组维度和度量值定义的多维结构。维度是审计人员分析指标时所观察的不同角度,度量值则是各个角度的具体数值,如一个用于销售分析的多维数据集内包括时间、地区、产品维度及其度量值销售金额、销售数量等。
3.浏览分析数据
建立完多维数据集之后,原来需要反复、多次查询和无法查询的数据信息,就可以通过切片、切块、旋转等操作挖掘出来。审计人员可以根据实际的业务需求,对数据进行汇总、关联、聚类、分类、预测等分析,寻找其巾隐含的模式和知识,来迅速掌握总体情况。当趋势、异常或者错误被确定后,还可以深入到底层数据进行钻取,作进一步的分析和判断。
(二)数据式审计关键技术之二:数据挖掘
数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、事先不知道的、但又是潜在有用的信息和知识的过程。它一般采取排除人为因素而通过自动的方式来发现数据中新的、隐藏的或不可预见的模式的活动,利用数据仓库中包含的信息;数据挖掘可以回答审计人员原先根本没有想过的问题,它是在对数据集全面而深刻认识的基础上,对数据内在和本质的高度抽象与概括。
数据挖掘技术分析方法很多,目前在审计工作中的常用方法主要有:(1)数据概化。数据库中通常存放着大量的细节数据,通过数据概化可将大量与任务相关的数据集从较低的概念层抽象到较高的概念层。通过该方法,审计人员可从不同角度、不同层次上了解某类数据的概貌,从而为其判断提供依据。(2)聚类分析。聚类分析是将数据分组成多个类或簇,同一个簇中的对象之间具有较高的相似度。在审计中,对于特定交易记录群的聚类分析可以以不同特征划分为不同的特征群,从而描述各个群的特征,找出离群孤立点,对其重点分析。确定审计风险,发现审计线索。(3)关联分析。它通过利用关联规则可以从操作数据库的所有细节或事务中抽取频繁出现的模式,其目的是挖掘隐藏在数据间的相互关系。因此,在对财务数据或经济数据的审计中,可运用关联分析技术方法,针对同类或不同类会计科目及数据项之间可能存在某种对应关系来查找、挖掘,从而发现一些隐藏的经济活动,为审计人员的进一步工作提供参考。数据挖掘在审计数据分析中的实施步骤如图2:
数据挖掘技术在审计数据分析中的应用过程一般需要经历确定挖掘对象、数据准备、建立模型、数据挖掘、结果分析与知识应用这样几个阶段。审计人员和数据挖掘人员首先要根据审计目标和内容要求确定数据来源。并对有关数据进行转换和清理;在此基础之上,针对审计任务的所属类别,确定将要进行的挖掘操作类型,如统计分析、聚类、关联规则等,设计或选择有效的数据挖掘算法,产生数学分析模型并加以实现;然后对模型进行评价,解释并评估挖掘结果,其使用的分析方法一般应视数据挖掘操作而定,通常会用到可视化技术;最后,根据审计人员的要求,对所获得的设计知识进行组织,并以一种审计人员能够使用的方式呈现。
联机分析处理与数据挖掘两种技术的主要区别在于:联机分析处理属于一种验证型的分析,即在某个假设的前提下通过数据查询和分析来验证或否定这个假设,其分析过程本质上是一个演绎推理的过程。它侧重于与用户的交互、快速的响应速度及提供数据的多维视图,属于用户驱动,因此,很大程度上受到用户水平的限制。而数据挖掘不是用于验证某个假定模型的正确性,而是在数据库中自己寻找模型,注重自动发现隐藏在数据中的模式和有用信息,其本质是一个归纳的过程。数据挖掘属于数据驱动,使审计人员不必提出确切的要求,系统能够根据数据本身的规律性,自动地挖掘数据潜在的模式。所以,从数据分析深度的角度来看,联机分析处理位于较浅的层次,而数据挖掘则处于较深的层次,二者最关键的差别在于是否能自动地进行数据分析。
数据式审计与传统财务报表审计的区别[4]
(一)审计目标不同
数据式审计的目标是对被审计单位计算机信息系统的安全性、可靠性、有效陛和效率性发表意见。因此,数据式审计侧重于对软件系统本身的有效性和效率性以及内部控制的完整性、一致性与安全性进行审查。而财务报表审计的目标是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表意见。
(二)审计对象、内容不同
数据式审计的对象是被审计单位的计算机会计信息系统,覆盖了会计信息系统从计划、分析、设计、编程、测试、运行维护到该系统报废为止整个期间的各种业务,其侧重点着重于会计信息系统本身的安全性、可靠性、有效性及其效率性。而财务审计的对象是被审计单位的财务收支及有关的经营管理活动,会计资料和其他相关资料是审计对象的反映,其所反映的被审计单位的财务收支及其有关的经营管理活动是具体审计对象的本质。会计信息系统的系统资源、运行环境及系统的生命周期全过程是数据式审计的内容,包括计算机资源管理审计、硬件和软件等的获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计等。而财务报表审计的内容是与被审计单位会计报表有关及与注册会计师的审计意见有关的资料。
(三)审计依据
不同审计依据是提出审计意见、做出审计决定的依据,是审计人员在审计过程中用来衡量审计事项是非优劣的准绳。信息系统审计师执行数据式审计时,主要以信息系统的管理制度、条例和法规等为主要依据。而财务报表审计所执行的是《独立审计准则》。注册会计师执行财务报表审计时主要以财务制度、会计法及其他法规为依据。数据式审计工作目前还处于探索阶段,尚没有形成一套成形的专业规范。信息系统审计与控制协会是数据式审计行业唯一的国际性组织,数据式审计师应根据信息系统审计与控制协会发布的《信息系统审计准则》执行数据式审计业务。
(四)审计技术不同
会计信息系统是建立在计算机硬件和软件基础之上的,对会计信息系统进行了解、描述,需要掌握一些专门的技巧和信息技术知识。对系统进行测试,特别是对应用程序及嵌入到程序中的各项控制措施进行审查时,必须运用计算机辅助审计技术。随着信息技术应用的广泛深入,信息系统日益复杂,同IT环境下的财务审计相比,执行信息系统审计所采用的计算机辅助审计技术则更为复杂。财务报表审计中运用计算机辅助审计技术的目的是为了提高审计效率,因而是可选的。
(五)审计人员不同
数据式审计人员必须精通信息技术,掌握网络、数据库、电子商务、信息系统的开发与管理和计算机辅助审计技术,并且应掌握一定的审计理论与实务,以指导其开展信息系统审计工作。因此,数据式审计的人员组成不同于传统财务审计的人员组成,它主要由会计信息系统审计人员和计算机专业人员组成。而财务审计人员必须精通会计和审计的理论与实务,掌握会计法、税法及其他有关法规和财务制度。同时,在IT环境下执行财务审计,审计人员还必须具备一定的信启’技术知识,掌握一定的计算机辅助审计技术,以提高审计工作的效率。
数据审计与信息系统审计的区别也比较明显。首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理和通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试;第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施。
信息系统审计与数据式审计都涉及到对系统数据的审计,但两者对数据的利用角度是不一样的。数据式审计侧重于数据之间的关联,主要审计数据的结果,而信息系统审计主要关注数据的真实完整性,通过测试数据的真实性、完整性来审计系统的安全性、可靠性。
传统的审计环境下,审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。再既定的审计风险水平下,可接受的检查风险与重大错报风险的评估结果呈反向关系。用数学模型表示如下:
审计风险=重大错报风险 * 检查风险
其中重大错报风险涉及两个层次,一个是财务报表层次重大错报风险与财务报表整体存在广泛联系,此类风险通常与控制环境有关,但也可能与其他因素有关,如经济萧条。另一个是认定层次的重大错报风险,可分为固有风险和控制风险。固有风险是指假设不存在相关内部控制,某一认定发生重大错报的可能性,无论该错报单独考虑还是连同其他错报错报构成重大错报。控制风险是指某项认定发生了重大错报,无论改错报单独考虑还是连同其他错报构成重大错报,而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制风险取决于与财务报表编制有关的内部控制的设计和运行的有效性。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。把数据式审计风险也分为重大错报风险和检查风险。公式可表示为:
数据式审计风险=重大错报风险*检查风险
(一)重大错报风险影响因素
数据式审计重大错报风险是指电子数据在审计前存在重大错报的可能性。主要包括被审计单位财务信息系统层次的重大错报风险和系统内部控制层次的重大错报风险。
1.财务信息系统层次的重大错报风险。
财务信息系统层次的重大错报风险是在不考虑系统内部控制的前提下,财务信息系统处理财务数据存在重大错报的可能性。
财务信息系统层次的重大错报风险的特点有:(1)风险是计算机系统本身所固有的,审计人员只能评估风险,无法控制和影响它;(2)风险源于被审单位财务系统水平组成部分的特性,风险的衡量是主观的、复杂的;(3)风险水平同系统的硬件质量和软件稳定性紧密相关,不同的系统其风险水平不同。
2.系统内部控制层次的重大错报风险。
系统内部控制层次的重大错报风险主要是由于被审计单位内部信息系统的应用、操作和管理规范等安全控制制度不够健全、有效,直接影响着数据的真实性、完整性和正确性,导致无法恰当地防止、发现和及时纠正被审单位信息系统可能出现重大错误的可能性。
信息系统内部控制层次的重大错报风险的特点是:(1)系统内部控制风险是客观存在的,是系统本身所固有的;(2)系统内部控制风险具有不可降低性,审计人员只能评估风险水平,无法控制和影响;数据式审计重大错报风险源于计算机信息系统组成部分的特性,重大错风险的衡量是主观的、复杂的。
(二)检查风险影响因素
数据式审计模式是一种全新的审计模式。在新审计准则重大变化的影响下,审计人员应加强对被审计单位系统内部控制环境和财务数据的了解,将识别系统内部控制风险与认定层次可能发生重大错报的风险联系起,利用数据式审计创新的技术和方法实施更为严格的来风险检查。数据式审计模式的诸多新技术和方法中,比较突出的是数据多维分析和数据挖掘两种技术、审计中间表和审计分析模型两种方法。数据式审计的检查风险是指:审计人员未能合理地运用数据式审计的相关分析技术和方法从被审计单位识别、采集、转换、清理得到的电子数据进行测试以发现错误的可能性。
数据式审计检测风险的特点:(1)它是惟一可由审计人员自主确定和控制的风险;(2)借助数据式审计多维分析技术和对电子数据深层挖掘技术,使审计范围大量扩大,降低审计风险;(3)风险水平与审计人员的专业胜任能力密切相关。
数据式审计在我国现状及存在的问题[4]
(一)数据式审计在我国的现状
我国处于数据式审计发展的初级阶段,起步较晚。国家审计署计从八十年代后期开始应用计算机审计,到目前为止,我国的数据式审计工作还处于探索阶段,没有形成一套成形的专业规范,也没有形成一支能够全面开展数据式审计业务的人才队伍。我国会计审计界所进行的计算机审计的探索和尝试以及开发的计算机审计软件大都还停留在对被审计单位的电子数据进行处理的阶段。我国在信息化推进的过程中,在不同程度上存在一些问题,主要表现为规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍地对信息化风险认识不足,规避风险的措施不力,运用传统的会计审计知识已经不能对客户进行风险评估、内控测试与评价,从而无法进行真正意义上的数据式审计业务。
'(二)数据式审计在我国存在的问题
一方面是审计人员的数据式审计专业知识和专业能力偏低。审计人员对待计算机审计有三种方式,即绕过计算机审计,通过计算机审计及利用计算机审计。目前,注册会计师审计通常是采用绕过计算机审计的简单方法,只有极少数的注册会计师进入了通过计算机审计的阶段。产生这种现象的原因,一是由于在我国大多数企业,尤其是中小型企业,计算机应用还只是一种尝试,数据处理传递的自动化水平较低;二是由于我国注册会计师的市场化建设推行较晚,现行的注册会计师的素质较低,同时在注册会计师的考试中也没有计算机方面的要求,因此,绝大多数的注册会计师运用计算机的水平很低,注册会计师的审计工作仍然是传统的手工审计为主。
另一方面是审计软件的发展存在严重问题。主要包括:一是审计软件的理论研究严重不足。审计软件的开发仍没有摆脱传统的手工审计模式,仅仅适用于一些查帐的程序,并且绝大多数的审计软件仅仅适用于定期审计,跟不上信息化的发展速度和要求。目前,我国对于计算机审计软件方面的理论研究还很不足,而审计软件的开发却已经蓬勃发展起来,这就造成了理论和实践的脱钩,审计软件的开发缺乏理论指导。二是会计软件和审计软件严重脱节。很多会计软件没有设计专用的审计软件接121,使得在会计软件中嵌入适时跟踪监控的审计程序难以实现,审计软件的数据收集等功能受到很大的制约,对计算机审计的发展极为不利。计算机审计软件要发展,不能专为一种会计软件而开发,会计软件不规范.必然导致计算机审计软件的编译过程过于庞大或者对于部分会计软件的不适用。三是计算机审计准则、标准和规范不完善。信息化的大力发展,使审计工作环境、审计范围、审计对象、审计目标、审计线索等基本审计要素发生重大转变,原有的针对手工审计所制订的审计准则、标准和规范已不能适应数据式审计的发展要求。目前,国家没有出台相应的计算机审计准则,对审计人员开展数据式审计产生了一定的风险和障碍。
数据式审计在我国推进的发展策略[4]
(一)数据式审计判断效率化—— 建立独立客观的审计专家
系统专家系统是人工智能走向实用化的一个最新研究领域,它是一种以知识为基础、智能化的计算机软件系统,它将专家的知识、经验加以总结,形成规则,存入计算机建立知识库,采用合适的控制策略,按输入的原始数据进行推理、演绎,作出判断和决策,因此能起到专家的作用。专家系统的另一个优点是它能够保持审计的客观独立性。专家系统是一种以计算机支持的电子设备,它解决问题的唯一依据是专家的知识经验、政策法规和推理机制。因此,要保证专家系统研制、生产的独立性,从主观上讲,审计专家系统完全能够保持客观、正直和独立的审计态度。
(二)数据式审计软件商品化广_-—坡会计软件与审计软件相互配合
《审计署关于计算机辅助审计的暂行办法》第7条规定:“为便于审计机关实施计算机审计,审计机关应当要求被审计单位的计算机应用系统给审计留有数据接口和必要的工作空间,该数据接口应当能将计算机应用系统中应用的数据转换成审计机关指定的格式输出”。因此,所有会计软件必须建立标准的审计数据接口,使不同格式的数据能够在审计时转换成同一格式,为审计软件所认识,从而节省审计人员的时间和精力,提高审计效率。现有的会计软件必须进一步改善,增加数据转化的模块,将其会计数据转化成合乎会计数据接口标准的形式,以便与审计软件配合使用,实现会计审计一体化。同时,在会计软件中设置相应的模块,使系统能提供完整的数据修改日志,使审计线索更加清晰有效,这就要求在软件开发过程中设计相应的内部控制监控子系统。
(三)数据式审计立法规范化——建立权威的审计法规库
数据式审计是一种《审计法》没有明确规定的审计方式,因此,数据式审计的法律地位是审计立法中应当予以首要解决的问题;数据式审计中审计证据大多以电子数据的形式出现,因此,这种审计证据的法律地位是数据式审计立法中必须解决的核心问题;建立权威而完善的审计法规库是数据式审计必须要解决的问题,使审计人员能通过计算机进行快捷准确的查询,进而避免法律法规的错误引用所带来的麻烦。
(四)数据式审计研究系统化一大力开展数据式审计理论研究,使理论与实践相融合
数据式审计是一种新兴审计模式,数据式审计的理论研究显得尤为欠缺,这不仅是实务界的责任更是学术界的责任,必须大力开展数据式审计理论研究,使理论与实践相融合。