开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇审计技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
会计信息系统是由计算机、网络、操作系统、数据库管理系统、会计软件、数据文件、会计和系统管理人员等组成的人机交互系统。
会计信息系统审计的基本程序与普通审计并无明显差异,整个过程包括审计准备、审计实施、审计终结三个阶段。每个阶段又包括若干具体工作内容。
1、会计信息系统审计准备阶段
2、会计信息系统审计实施阶段
3、会计信息系统终结阶段
在完成了审计实施阶段的工作之后,就进入会计信息系统审计的终结阶段。主要工作有:1)整理归纳审计证据。在对会计信息系统实施审计后,对收集到的分散的个别证据进行整理归纳,形成完整的审计资料。2)复核审计工作底稿。审计工作底稿是审计人员在审计工作中汇总综合分析审计资料所形成的书面文件。审计工作底稿对形成正确的审计结论有着重要的意义,对审计工作底稿反映的有关问题必须进行复核。3)撰写审计报告。审计报告是审计工作的最终成果。它是在经过上述审计程序之后,审计小组根据获取的审计证据和审计工作底稿进行综合分析后编制的。4)提出审计结论和建议。根据审计报告内容提出审计结论和意见。5)建立审计档案。及时进行审计资料的归档,建立审计档案,不仅是档案建设的需要,而且也为今后的审计工作提供一份可以借鉴或参考的资料。
三、信息化审计技术分析
审计技术是审计过程中所采用的专门技术。审计对象在信息化方面的迅速发展变化,客观上要求审计工作采用一些适合于计算机系统的审计技术,提高审计效率,提高审计质量。会计信息系统审计技术主要有内部控制风险评价技术、数据库和数据文件审计技术。
1、风险评价
关键词:审计准则审计技术持续审计
一、持续审计的内涵与特点
二、实施持续审计的必要性与可能性
信息技术的广泛应用,电子商务活动的深入开展及新审计准则的,为实施持续审计方法提供了必要与可能。
(一)及时收集被审计单位信息。企业在生产经营过程中,由于存在不确定因素,企业风险在所难免。当面临经营失败和财务失败的威胁时,被审计单位可能发生重大的错报。通过了解被审计单位及其环境有利于了解被审计单位面临的风险,进而评价被审计单位产生重大错报风险的可能性,降低审计风险。随着知识经济时代的来临、经济全球化的发展、市场竞争的加剧,被审计单位及其环境在一定时期内将发生很大的变化。注册会计师应及时了解被审计单位及其环境以评估重大错报风险,必须持续收集和分析被审计单位的信息。在传统的审计方式下,一般采用定期了解的方法,即只在签订审计业务约定书和执行外勤工作时了解被审计单位及其环境,难以实时获得准确可靠的信息。《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》第五条提出“了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。”
(二)及时获取充分适当的电子证据。随着信息技术的广泛应用、电子商务活动的深入开展,企业的经营活动与信息系统的联系愈来愈紧密,越来越多的数据资料采用电子文档的方式保存。某些电子化的审计证据只在某一特定时点存在,难以实时获取充分适当的电子审计证据。《中国注册会计师审计准则第1633号――电子商务对财务报表审计的影响》指出:“电子商务系统高度自动化或未保留包含审计轨迹的电子证据的情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。”
(三)对实时财务报告进行审计。随着网络技术的广泛应用,被审计单位采用信息技术在网站公布本单位的财务报告逐渐成为主流。这些财务报告采用实时生成系统,报告周期较短。其作为被审计单位出具的财务报告,也构成注册会计师审计的对象。《中国注册会计师审计准则第1101号――财务报表审计的目标和一般原则》第四条要求,财务报表要在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。
三、持续审计技术实施现状
(一)持续审计功能的开发和使用程度较低。持续审计功能强大,Alles等(2009)认为,持续审计功能包括持续控制监控CCM(ContinuousControlMonitoring)和持续数据审计CDA(ContinuousDataAssurance)。在技术上,持续审计已经初步达到自动化和智能化。但在实际中,持续审计实施远未达到相应的自动化和智能化程度,持续审计功能仅限于数据的持续审计,内部控制和持续监控实施程度很低。虽然通用审计软件已经市场化和商品化,但其功能大多是审计数据处理能力,功能简单,不能适应灵活的审计需求,难以体现持续审计的特点。
(二)持续审计实施差距较大,应用上存在诸多问题。由于信息化程度不同,以及资金和技术资源的限制,持续审计技术在不同地区、不同企业实施条件和水平相差较大,在整体上对以联网审计和在线审计技术为基础的持续审计造成了一定的阻碍。国外一些信息化程度较高的公司,尤其是使用ERP系统的大型公司,持续审计实施程度虽然较高,但也存在着很多问题。Debreceny(2005)认为,虽然EMAs在ERP系统中的效用潜力很大,但调查表明,EAMs在技术上虽是可行的,但ERP解决方案提供商对EAMs的支持度有限,认为ERP用户对EAMs缺乏需求。Kuhn等(2010)通过比较ERP系统环境下EAMs、EMAGhosting和MCL的特点,表明采用EAMs和EAMGhosting在效率、兼容性及实施维护方面都会引起高昂的成本,三种系统都会产生信息超载和警报泛滥的问题。
四、持续审计技术面临的挑战与对策
持续审计实施现状表明,将持续审计技术研究成果应用于实践,还有很多问题需要解决,而持续审计要达到一定程度上的应用和推广,将面临着巨大的挑战。
(二)加快企业信息化建设。持续审计是对信息化条件下企业的财务信息系统和内部控制系统进行持续监控和审计,需要审计端和被审计端通过网络进行良好的沟通。能够对被审计单位实施持续审计的必要条件之一,就是被审计单位必须拥有安全、可靠、完整、持续的信息系统。随着信息全球化的发展,虽然我国部分单位实现了电子商务与电子信息交换技术,但总体来说我国的信息化建设存在着严重的不平衡现象,大部分企业的信息化建设较为落后。为了能够提供持续审计的基础条件,国家应该对信息化建设较为落后的企业进行鼓励和支持。
(五)提高审计人员素质。持续审计要求审计人员具备一定的能力来正确的操作有关的系统并明白系统是如何运作的,这就意味着审计人员需要具备各个方面的知识,包括信息技术、审计、会计等。我国的审计人员大部分是会计、审计出身,对IT技术的掌握和了解少之又少。如果要对被审计单位进行持续审计,审计人员就必须具有足够的信息系统知识、计算机技术知识和审计知识。根据目前审计人员的素质结构,我国有关组织和部门如中国注册会计师协会应增加各种培训,包括数据库基础知识培训、XBRL网络财务报告培训、持续审计的有关知识和应用的培训等。
参考文献:
1.饶艳超,陈建勇.持续审计理论、技术及其在国内商业银行的应用[J].财政监督,2012,(23):57-60.
2.何芹.论持续审计理论之进步[J].中国管理信息化,2009,(18):49-51.
3.杨黎明.基于资本市场的持续审计功效分析[J].经济问题,2009,(11):110-113.
4.安宁.构建我国持续审计变迁的制度环境[J].中国注册会计师,2011,(7):64-67.
在信息技术迅猛发展的背景下,国家电网公司为满足集约化和精益化管理要求,初步完成SGERP系统以及SG186工程的实施与推广,并通过“三集五大”体系建设,重新整合内部生产关系和业务链条。电网企业内部变革使审计所面临的风险管控压力与日俱增,具体表现在:一方面审计对象信息化管理覆盖面越来越广,基本实现横向集成、纵向贯通,新的管控模式和数据交换平台初步形成,改变了过去的记录和存储方式,电子化、无纸化使得企业对经营信息的要求上升到了实时化和在线化阶段;另一方面信息技术进步已经为远程在线审计和自动化风险在线监测提供了完备的技术支撑,在此基础上如何使审计实现模式上的突破与创新,真正实现智能化持续审计模式的应用已成为内部审计事业发展的必然趋势。电网企业在审计信息化方面建立起“一个系统和三大平台”,已经初步实现了审计手段信息化,但审计信息化运用如何更好服务于企业当前发展,服务于“三集五大”和谐运转提升,进一步系统的、实时的揭示内部控制体系中的全面风险,正是实践电网智能化持续审计模式必然面对的课题。
与现有理论成果相比,本文立足于电网企业信息化实际,以电网企业实践作为研究的基础,从战略意义、现实需要、战略要素等多维度挖掘电网企业智能化持续审计的实施方式,试图建立一个拥有目标定位、相互作用、体系完善的电网企业智能化持续审计模式。
三、基于电网企业的智能化持续审计实践探索
(一)电网企业审计信息系统运营现状及差距2011年以来,伴随着电网企业ERP系统全面上线,按照审计信息化要求,信息系统“一个系统、三个平台”(ERP业务审计系统中审计门户系统建成审计学习工作交流平台,审计综合管理系统建成风险识别分析平台,管控业务审计系统建成数据式审计技术平台,如图3)也全面步入实践阶段,但仍存在提升空间。
目前学习交流平台虽然已搭建了经济责任审计、工程审计、信息化审计等交流模块,但交流内容较少,人气不足;同时审计理念、风险审计等模块未能实现即时更新;互相学习、知识共享机制还未能快速到位,存在滞后性,部分缺乏实践效果。同时,风险识别分析平台的风险识别缺乏前瞻性,仅仅是对过去审计发现问题进行分类和甄别,未能从电网总体层面进行分析;同时缺乏行之有效的多维度统计分析体系,导向性不足。在数据式审计技术平台上,SG186工程与SGERP业务审计系统融合度不够,未能实时结合审计需求,完善系统功能;数据的前期管控力度有待提升,部分整合数据出入较大,审计信息化标准还不完善。
(四)电网企业实施智能化持续审计模式战略要点
(1)智能化持续审计的安全环境。一是物理安全控制。随着电网企业ERP系统逐步规范,已基本完成对空白数据的收集,但同时在数据录入过程中,可能会存在数据失真的情形,电网企业可以利用条管企业优势,建立前期数据录入职责规范,实现人员职责分离,构建专人录入、专人核对、主管审核机制。二是逻辑安全控制。智能化持续审计模式依赖于现代信息技术,但如果系统进入途径和防护模式不当,可以导致企业内部数据泄露,所以系统的逻辑安全性是智能化持续审计的前提。
(2)多路互平台的建立和整合是实施智能化持续审计的基础。一是整合业务系统。审计ERP管控系统作为数据式审计的技术平台,处于电网企业现存三大审计信息化平台的核心地位;本文认为,电网企业可以进一步对现有系统进行平台、数据、组件、应用集成,使各个审计信息平台相互贯通,通过数据传输通道搜寻数据,互相比对数据,发现危险源点。从实践运用看,可以通过打开与审计门户、综合管理系统之间的信息通道,可以使得风险识别机制融入到审计技术平台之中,同时可以使得审计报告后续整改和审计经验交流更加贴近于实际操作,便于审计人员的掌握和使用。二是构建多路互平台。在整合现有审计系统的基础上,尝试建立接口,运用嵌入式审计模块技术,将现行审计程序嵌入进去,实现技术简单、经济适用的审计同步性能,从而使被审单位服务器与审计机构服务器共存于一个平台,构建审计人员实施智能化持续审计的基础。
(3)规范化的服务协议是实施智能化持续审计的关键。一是规范实施流程。鉴于电网企业无持续审计规程可循,加之审计人员队伍整体信息化水平有待提高,在规范流程时,电网企业可以在现有机制下考虑充分吸收借鉴国内外先进经验。二是完善交互标准。智能化持续审计的实施,交互标准是关键,电网企业开展智能化持续审计必须从系统开发和应用两个方面进行完善。在开发环节,需要制定标准,开展可行性研究,将审计人员纳入到研究与设计过程中,形成有效的内部控制方案;在应用环节,必须确保应用过程的准确、安全、可靠,内控人员适时核查。
以上所述六个关键要素,不是孤立存在的:其中安全环境是前提,被审单位和审计机构之间的交互平台是基础,交互标准是关键,将双方的数据传递作为抓手,持续做好信息反馈这一重点,审计人员素质能力作为智能化持续审计实施的核心要素,六大要素之间相辅相成、相互作用,共同形成智能化持续审计模式,如图4。
四、结论
综上所述,智能化持续审计是电网企业信息化形势下的新型审计模式,它建构于现有审计系统整合的基础工作之上,又具有自身的运作规律,如何通过有效推动持续化审计模式,形成有效的全面风险管控体系,对促进审计事业发展、创建“两个一流”电网企业具有重大的现实意义。
本文通过对电网企业审计信息化现状分析及经验总结,解读智能化持续审计模式的可行性和必要性,着力于从理论体系、制度保障、数据管控、人员管理及考核机制等多层次阐述智能化持续审计的发展方向,并初步构建智能化持续审计模式。但如何有效落实,如何更好的把智能化持续审计模式与企业精益化管理系统的融合,在今后的研究中,仍需要不断完善;同时,本文仅仅从理论构建、经验和现状相结合的层面对智能化持续审计模式进行探讨,在整体研究内容上尚缺乏必要的实证研究,在今后的工作中需要进行深入的实践性验证。
[1]易仁萍、陈耿、杨明、孙志辉:《数据挖掘技术及其在审计风险管理中的应用》,《审计与经济研究》2003年第1期。
关键词:人民银行;信息技术;审计;风险评估模型
一、引言
随着信息化的迅猛发展,人民银行对信息技术的依赖程度不断提高,信息技术己经成为人民银行日常运营的基础平台和金融创新的重要手段。但信息技术在迅速发展的同时,也带来了巨大的技术风险,一旦发生问题,将直接影响业务的连续性,使人民银行而临财务损失和声誉风险,甚至影响银行业的安全。因此,发现信息技术潜在的风险点,采用风险导向审计模式开展信息技术审计,一方而能够最大程度防范信息技术风险,确保各项业务安全、稳定、高效运行;另一方而能够节约审计成本,提高审计效率和质量,增加审计的组织价值。
二、央行信息技术审计现状
三、央行信息技术风险评估模型构建
风险导向审计的基础是识别和评估风险,因此,开展风险导向审计首先要构建合适的风险评估模型,以实现对风险的量化分析。风险评估是指内审部门采用剩余风险评估模型,运用规范的定性、定量方法,通过风险识别、固有风险评估、控制有效性评估、剩余风险计算,确定评估对象的风险级别。
(一)风险识别
(二)风险评估
(三)风险管理效果评估及结果运用
根据各业务领域剩余风险级别计算剩余风险平均值,以此判断被审计单位信息技术风险控制状况,并提供合理的审计建议。同时,可参照剩余风险值,制定审计计划及频率,明确信息技术的审计重点。风险管理效果评估见表1所列。
(四)案例分析—以科技综合管理专项审计为例
四、建立央行信息技术风险导向审计模式
(一)以风险为导向编制信息技术审计整体规划
(二)以风险为导向编制信息技术年度审计计划
(三)以风险为导向开展审计项目
信息技术审计程序可以划分为审前准备阶段、现场实施阶段、审计报告与后续跟踪阶段,各阶段均应体现风险导向要求。在审前准备阶段,通过审前调查情况,动态调整权重和风险级别,并提前调取被审计单位内控制度、岗位分工、系统日志以及网络配置等电子版资料,对收集的资料、数据进行非现场分析,列出审计疑点和问题线索,并计算各业务领域剩余风险,根据审计风险评估结果制定实施方案。在现场实施阶段,应紧紧围绕风险实施现场审计,按照审计方案、风险事件清单,选择与风险性质和特点相适应的审计方法,对风险级别高的事件和隐患进行深入分析和排查,充分体现“风险引导审计”原则。在审计报告阶段,内审人员应以有效降低信息技术风险,保障各业务的连续性为目的,报告被审计对象信息技术问题缺陷,围绕风险深入分析问题产生的原因,从防范和化解风险的角度提出切实可行的审计建议。在后续跟踪阶段,对于审计中风险隐患较大、发生频率较高的问题应持续跟踪,并根据后续跟踪及整改情况更新信息技术风险数据库,调整信息技术审计整体规划。
五、行信息技术审计中的全方位推广奠定坚实的基础。
(二)着力培养信息技术审计与风险评估人才
在信息技术审计中运用风险导向审计方法,不仅要求审计人员具备信息技术领域的专业知识,还须具备运用风险评估技术的能力,因此,复合型人才的培养与储备是基于风险导向信息技术审计模式实施必不可少的前提条件。人民银行各级分支机构可以通过向审计部门输送新的信息技术人才、开展后续教育及培训等方式,逐步建立具有信息技术领域专业素养和风险评估技术的复合型内审人才队伍。
(三)循序渐进推行风险导向审计模式
基于风险导向的信息技术审计模式是在传统信息技术审计模式基础上发展起来的,因此,在实施新模式的同时应注重与传统模式的有机结合,注重对传统模式所取经验的吸收与利用,注重新旧审计模式的互为补充,循序渐进地推行新模式,从而更加有效地提升央行信息技术审计的质量与效率。
(四)建立风险导向信息技术审计模式运用机制
六、深入推进央行信息技术风险导向审计的建议
(一)尽快建立央行风险评估信息数据库
建立央行风险评估信息数据库,完整记录央行信J急技术风险评估各期数据,编制风险原因分析字典,这将有利于评估数据的采集、分析以及不同时期、不同对象风险状况之间的比对,为风险导向内部审计模式在央行信息技术审计中的全方位推广奠定坚实的基础。
「关键词审计信息技术审计管理科学化
我国审计机关成立二十年来,审计工作取得了很大成绩,积累了宝贵经验。但从总体上说,我国审计工作仍然处于初级阶段,与发达国家相比,我国的审计工作还存在很大的差距,尤其在审计基础工作方面存在一些问题。近来审计署下发的审计工作发展规划中提出,今后五年审计工作的总体目标是,以审计创新为动力,以提升审计成果质量为核心,以加强审计业务管理为基础,以"人、法、技"建设为保障,全面提高审计工作水平,基本实现审计工作法制化、规范化、科学化。在当前的信息环境下,开发审计项目管理软件,运用信息技术实现审计管理的科学化。
一、开发审计项目管理系统的必要性
(一)落实审计项目质量控制,规范审计行为,防范审计风险的重要手段
审计质量是审计工作的生命线。李审计长指出提高审计质量一是靠审计人员的素质,更重要的是依靠审计工作的规范化。自1994年审计法颁布以来,先后了38项审计规范和15个审计准则,其中一部分规范对审计项目的质量控制做了详细的规定,但实际工作中,审计人员并未能严格遵守审计质量控制规范,其审计行为随意性很大,如:审计实施方案的编制前未进行系统的审前调查,审计实施方案的内容不具体,审计实施未严格遵照审计实施方案进行,审计工作底稿与其相应的审计证据关联性不够,审计工作底稿、审计证据的要素填写不规范、不完整,审计报告与审计工作底稿之间的内容不一致等等。法律的生命在于执行,在信息化条件下,将审计机关的审计质量控制规范,通过审计项目管理系统加以控制,确保了审计人员规范审计行为,提高了审计质量,防范了审计风险。
(二)保障审计项目科学管理的重要工具
审计项目管理主要包括审计项目计划管理、审计项目人力资源管理和审计项目信息资源管理三个方面:
1.目前审计机关的审计项目大多是行业性审计,项目大,所涉及的内容广泛,参加的审计人员多,收集或编制的审计资料繁多,如何对审计项目科学管理变得越来越突出,在手工条件下,审计人员对这些庞大的审计项目的管理显然有些力不从心。主要表现在:审计实施方案编制不能细化,普遍存在内容不具体,审计目标不明确,针对性不强,审计重点也不突出,审计人员分工混乱,导致现场审计盲目性大。有的是先审计后补方案,有的是审计工作调整了而审计实施方案并未调整,审计计划的指导、规范和控制作用根本无法保证。利用审计项目管理系统就能很容易地实现审计项目的计划管理,为审计项目的顺利实施提供了保证。
3.目前审计机关审计成果的利用效率不高,主要原因是信息渠道不畅通,审计信息资源不能有效共享。而通过审计项目管理系统,审计人员可获得自己所需要的项目信息或上报自己的审计情况;审计组长可对审计人员的审计工作进行指导、监督和协调,并掌握审计进度情况;专职复核人员和业务部门负责人可对审计项目进行监督复核;本级审计机关领导对审计项目进行查询、指导和监督。上级审计机关领导可对辖区内的审计项目进行监督检查和查询,并能便于领导掌握第一手的材料。还可对项目审计的全部资料进行归档,形成历史资料,完成信息资料的积累,便于审计机关在以后的审计中利用其成果,尤其是被审计单位连续审计时,对其以前年度审计资料的利用。
(三)为充分利用先进的审计技术方法和工作经验提供平台
1.手工条件下,审计项目的组织管理主要依靠项目负责人,审计项目的成功与否取决于项目负责人的经验,而在实际审计工作中各审计人员之间的业务水平又参差不齐,这也必然影响了审计项目的工作质量和效率,审计风险很高。而将某些成熟的审计程序和审计人员的先进工作经验或按照某行业的审计操作指南编制成模块在审计项目管理系统中加以运用,用于指导项目负责人组织开展审计项目,指导审计人员对具体的审计事项进行审计,一方面提高了审计工作效率,另一方面保证了审计工作质量。
2.当前我国的审计工作也正在发生变化,由帐户基础审计向制度基础审计和风险基础审计过渡,内部控制测试、审计抽样、风险评估、计算机审计等一些先进的审计技术与方法也应在审计工作中加以应用。但在实际审计工作中除计算机审计辅助审计开发应用多一些外,其他的审计方法缺乏自觉的推广应用。究其原因,主要是审计人员对这些新的审计方法还不熟悉,其次是这些审计方法在手工条件下比较烦琐,效率不高。在审计项目管理系统中可以将这些审计方法编制成模块,按照审计实施方案中计划的审计步骤与方法,在审计实施过程中加以应用,通过审计项目管理系统可将先进的审计技术方法和工作经验与项目审计有机地结合为一体,切实提高审计工作的管理水平。
二、设计审计项目管理软件的功能特点
(一)全程控制,规范行为
以审计质量控制体系为依据,将质量控制点部署于整个审计项目实施过程中,由系统自动控制或提示的方式予以实现;并通过用户权限管理,分级实施质量控制。
(二)调控进度,整合资源
根据审计实施方案规定的审计事项,进行分解和分配审计任务,明确审计项目进度计划,掌握实际进度,进行评估,并提示调整人员分工和项目进度。
(三)记录轨迹,落实责任
提供审计日记功能,与审计工作底稿、审计证据相结合,全员、全过程记录审计实施轨迹,清晰反映审计步骤和方法,落实责任。
(四)强化复核,保证质量
提供审计现场组长、业务部门和审计机关专职复核机构的三级复核子系统,使审计质量复核制度得以现场同步实现。
(五)多维查询,决策支持
提供快捷、方便、灵活的检索、查询功能,审计机关领导和业务管理部门可以对审计项目进展、审计人员工作情况进行多角度的检索、查询,及时掌握一手资料,及时监督、指导审计工作,实现审计决策支持。
(六)统一归档,信息共享
系统对审计项目全部资料进行管理,建立审计项目数据关联,统一打包归档,便于审计成果的利用,实现审计资料共享。
(七)制作模板,审计指导
根据审计操作指南及审计人员的工作经验将各行业的审计内容及其相应的审计程序与方法制成模板,以便于审计人员在以后的审计工作中加以利用,切实指导审计人员实施审计,实现具体审计目标。
(八)提供平台,方法调用
将内部控制测试、审计抽样、风险评估、计算机辅助审计等先进的审计技术方法编成程序,通过该系统,根据审计事项调用不同的审计技术和方法,灵活多样地实现审计目标。
三、审计项目管理软件的主要功能
本系统是对审计项目的整个过程进行管理,适合于审计中各种角色的审计人员的使用。系统分为三大功能块:现场审计子系统、领导查询子系统和专职复核子系统,满足不同角色的工作人员的需要。系统根据用户的角色赋予不同的权限,从而实现对系统中不同操作的限制。其主要功能介绍如下:
(一)审计现场管理
为审计项目准备资料,收集被审单位信息,确定审计重点,编制审计实施方案。另外在审计实施过程中还可以对实施方案修改以形成补充方案和修订稿。根据审计实施方案中的审计内容与重点、审计范围等信息,编制审计任务,分配审计人员,确定任务起讫日期,任务负责任人。
任务分配完毕后,审计人员选择任务进行资料收集,必须将每天的工作记录于审计日记中,包括工作的内容,工作的方式。对当天未写日记的审计人员,系统将予以提示并提供自动生成工作日记的功能。
审计人员将在审计实施的过程中发现与事项有关的问题及主要事实和情节记录下来,编制审计证明材料,证据管理提供添加,修改等编辑功能。
【关键词】信息化;内部审计技术;信息技术风险;计算机辅助审计
随着国家电网公司中信息技术的日益普及和企业信息化的深入开展,跨地区、跨部门的企业集团信息系统、ERP(EnterpriseResourcePlanning)系统广泛应用,原来所采用的传统内部审计技术方法很难及时地对被审计单位的会计经营信息作出客观评价,不能满足审计信息需求者的管理决策需要,内部审计难以实现增值目标。因此,内部审计采用现代审计方法成为必然。现代审计方法是指能够适应信息化的审计环境,能够对海量数据进行筛选分析,发现疑点和审计线索,从而实现审计目标的审计技术、方法的总称(董伯坤,2007)。本文从信息技术风险评估出发,分析信息化环境下的现代审计技术方法,并在此基础上进一步探索并行持续审计的模式,实现由传统审计向现代审计的转变,从而顺应信息化发展趋势,提高审计效率,降低审计风险。
一、信息技术风险评估
企业信息化的发展给审计技术方法带来变革,例如数据库技术(何玉洁、张俊超,2006)、趋势分析法(黄巧妙、吕天阳、庞琦,2009)等自动化操作和逻辑分析的方法(殷丽丽等,2010),同时更带来审计思维和基本理念的转变,在信息技术风险评估的基础上应用现代审计技术与方法便是一个基本的转变。
信息技术风险是指公司在信息处理和信息技术运用过程中产生的各种不确定因素,这些因素可能对公司的战略、发展、业务和效益等方面产生负面影响,并进而影响公司目标的实现。信息技术风险包括组织层面、一般性控制层面及业务流程层面的信息技术风险等。
由于国家电网公司的业务运作更加依赖于信息系统,这种依赖和信息系统本身特点所导致的脆弱性,形成了新的业务风险。因此,公司必须开展和加强信息技术风险评估,并在此基础上对现有内部审计规范、指南等重新进行定义、修改和补充,加强信息系统内部审计工作管理体制建设,统一信息系统内部审计技术标准,明确信息系统内部审计人员技能要求,建立和完善适应信息化环境的内部审计准则体系,尤其把IT控制列为重点,把数据输入、处理和输出控制、信息系统的访问及网络安全作为内部审计的重要内容,使内部审计工作在新的环境下能够顺利进行。
二、信息化环境下内部审计常用技术方法
信息技术/信息系统的应用支撑着大多数关键业务流程,这也引起了在内部审计中如何使用信息技术的思考。本文认为,信息化环境下内部审计技术方法的研究与应用应从系统论、信息论的高度推进其系统化、科学化、规范化和智能化的发展。系统化是实施审计战略(策略)和审计技术方法的全面协调。审计战略(策略)解决好审什么、想达到什么目的的问题,审计技术和方法则解决怎么审和如何达到目的的问题,从而实现两者的协调。科学化就是将科学手段与经验总结相结合,推进信息化技术、数学和统计学等在审计中的应用。规范化是将内部审计技术方法融入到规范的内部审计程序中,规范和引导内部审计人员运用适当的审计技术和方法。智能化强调将历史经验总结、科学规律推导和审计人员的专业判断结合起来,积极加强审计数据中心建设,建立行业/领域审计的标准和方法(上海市审计学会课题组,2012)。
2011年审计署审计科研所《审计机关审计技术创新情况》课题组在全国27个省(自治区、直辖市)、5个计划单列市和18个特派员办事处对2006年以来的审计技术创新情况进行了专题调研,收集创新型审计技术应用522项,按技术种类分类可分为59种技术类别(审计署审计科研所课题组,2012)。在众多创新型审计技术中尤为突出的是,计算机类审计技术占了很大比重,主要包括:各类审计软件、数据采集/转换技术、数据查询和分析技术、联网审计技术、信息系统审计技术、多维分析技术、数据库技术、Office系列软件、商业智能(BI)技术、MD5码技术、数据挖掘技术、数据恢复技术、实时通讯技术等。
在此基础上,本文将审计技术方法综合整理为如图1所示的体系。
1.常规审计方法,主要是用于信息系统的了解和描述,包括访谈法、系统文档审阅法、观察法、文字描述法、表格描述法、图形描述法等。
2.计算机辅助审计技术,又可进一步分为面向系统的计算机辅助审计技术和面向数据的计算机辅助审计技术。面向系统的计算机辅助审计技术是用于验证程序系统的,包括受控处理法、测试数据法、综合测试法、平行模拟法和程序跟踪法等;面向数据的计算机辅助审计技术主要用于对信息系统中的电子数据进行审计,包括数据采集、数据验证、数据整理和转换、建立审计中间表和数据分析等环节,采用的数据分析技术主要有账表分析、数据查询、审计抽样、统计分析、数值分析、账龄分析等(陈伟、张金城,2008)。
3.信息系统评价技术,主要用于信息系统的控制、风险和整体性评价,如控制矩阵、风险矩阵、层次分析法等。
4.新型审计技术,主要有并行审计、持续审计、商业智能(BI)技术、数据挖掘技术、数据恢复技术等。
内部审计人员在充分考虑信息安全的前提下,结合成本效益原则,根据信息系统审计业务类型,可以灵活选用恰当的审计技术方法。在充分发挥好信息化环境下内部审计技术优势的同时,应该处理好例外现象,不能过于依赖技术,审计人员仍应保持高度的职业谨慎。
三、新型内部审计技术与模式
审计对象的科技水平和复杂性不断提高,对审计技术提出了更高的要求,要求内部审计关口从传统的事后审计逐渐前移到事中事前;同时,科学技术特别是信息和电子技术的发展,也为开发应用新型内部审计技术与模式创造了条件,使事中审计成为可行、经济的审计模式。并行审计、持续审计便是实现信息化环境下实现审计关口前移的事中审计技术。
(一)并行审计技术
并行审计技术(ConcurrentAuditingTechnique)产生于20世纪60年代后期和70年代初期,是依托信息技术的发展而提出的审计技术。并行审计技术是指在应用系统对其业务进行处理时,同时采集审计证据的技术。使用并行审计技术采集审计证据包括两个方面:一是为采集、处理和打印审计证据,需要在应用系统或系统软件中嵌入专门的审计模块;二是将采集到的证据存储在应用系统文件中或存储在专门的审计文件中,以便审计人员进行审查(梁丽瑾、续慧泓,2007)。
(二)持续审计
国际上对持续审计的研究起步于20世纪60年代,美国证监会(SEC)、国际内部审计师协会(IIA)、加拿大注册会计师公会(CICA)、美国注册会计师公会(AICPA)和国际信息系统审计协会(ISACA)等机构先后公开表明对基于IT的持续审计模式加以支持与倡导。根据普华永道会计师事务所的《2006内部审计状况职业研究》(StateoftheInternalAuditProfessionStudy:ContinuousAuditingGainsMomentum),被调查的美国公司中有半数的公司目前正在使用持续审计技术。
除了并行审计、持续审计之外,新兴的审计技术还有商业智能(BI)技术、数据挖掘技术、数据恢复技术等。随着移动设备、云计算等的推广和应用,将会有更多更新的审计技术出现。
四、结语
国家电网公司在信息化环境下的内部审计工作目前还处于摸索阶段,在研究和探索内部审计技术方法的同时,还应对审计人员进行专门的信息技术培训、对审计部门开放所有信息查询功能等。进一步地还可以鼓励内部审计人员参加国际注册信息系统审计师(CISA)资格考试,通过培训和考试,培养具有较高深的计算机软硬件和网络知识,掌握信息系统审计技术的较高层次的审计人才,更好地应用现代化的审计技术方法,从而适应企业信息化发展的大潮。
【主要参考文献】
[1]审计署审计科研所课题组.审计机关审计技术创新情况专题调研报告[R].2012.
[2]中国内部审计协会.内部审计具体准则第28号——信息系统审计[S].2009.
[3]陈伟,张金城.计算机辅助审计原理及应用[M].北京:清华大学出版社,2008.
[4]张文秀.IT治理下的内部审计信息化发展研究[J].商业会计,2010(12):41-42.
[5]梁丽瑾,续慧泓.基于并行审计技术的内部审计应用研究[J].审计研究,2007(2):36-38.
一审计风险评估研究回顾
所谓风险,根据美国项目管理学会(PMD)的定义,是指“正面或负面影响项目内容的不确定事件或条件”,风险与不确定性有着紧密的联系。审计过程中存在的信息对称,特别是存在管理舞弊时,采用正常的审计程序难以形成可靠的审计结论,从而为审计执业带来高度不确定性,也就是审计风险的根源。
(一)审计风险评估的实务探索对审计风险的评估处于探索之中,出现了多种经营分析和风险评估框架,如COSO,COCO、平衡记分卡、波特五力模型、全面质量管理、系统思想、竞争性战略、战略系统审计等,这些工具和技术形成了早期现代风险导向审计的基础。审计师利用这些工具和技术去理解客户的价值和定位,理解客户面临的风险,以此增强对非抽样风险的控制,同时也为客户提供增值性的非审计业务。大型的会计师事务所在20世纪90年代中期都开始探索自己的风险审计方法或战略系统审计(sSA)框架,但各个事务所的名称各不相同。
二、审计风险的动态评估过程
Knechel教授认为,现代风险导向审计方法应由两部分组成,即风险的评估和根据风险评估证据确定用什么样的测试来获得证据。据此思路,可将审计风险的动态评估划分为:确定审计范围、寻找审计风险点及相适合的审计技术、评价审计风险与对策方案、实施审计策略这四个相互关联的步骤(如图1)。
(一)划定审计范围审计人员对企业的内部控制状况及商业经营环境进行评估,结合审计业务约定数,划定审计范围。该范围不是一旦确定就固定不变的,应随着审计人对被审计对象的了解加深而不断调整。
(二)寻找审计风险点及相适合的审计技术一旦审计范围确定,就必须根据审计师的个人经验判断及审计专家系统提示的信息来寻找风险点,如将各风险因素分配到业务循环中,在业务循环层次上筛选和分析风险因素,由此将风险具体化,进行初步的风险评估。对风险点进行筛选后,选择适合的审计技术,如风险分析技术或实施计划控制测试、实质性测试等对策方案。
(三)评价审计风险与对策方案按优先顺序排列,再根据审计力量、审计目标、内部控制状况、商业经营环境等加以评价。
(四)实施审计策略着重于如何以一种特定的战略姿态将审计方案付诸实施。体现了审计人员对不确定性预见与自身能力和资源调控能力的反复结合,是一个动态调整和不断发展的过程,这也是其与传统静态技术评估方法相比的最大不同。动态评估过程本身对审计人员就是一种学习,而这种学习又充实了这个过程。
三、动态评估过程中审计风险的识别
风险识别贯穿动态评估的全过程,要找出所有评估过程中的风险组成,即不确定事件和可能导致重大错报的原因和条件。按照动态评估的4个基本步骤来识别审计的风险所在。
(一)确定审计范围中的风险审计范围确定的过程又可以称为审计战略定位,审计师需要根据业务约定书,结合被审计单位的经营历史、财务状况,以及审计师自身的技术能力来确定审计范围。这一范围的确定过程中,审计师的经验判断是主要依据,因此存在诸多的不确定性。首先不同的审计师对审计范围的理解可能会有差异,审计师对被审计对象的了解有限,确定错误的审计范围有可能加大重大错报的风险;其次被审计对象存在管理舞弊的可能,会刻意引导注册会计师进入错误的审计范围,从而阻碍注册会计师通过风险导向审计将会计报表重大错报风险和经营风险联系起来从而发现会计报表的错报。
(二)寻找风险点及适合审计技术过程中的风险风险点的识别需要借助一定的技术,如重大错报案例研究技术、业务循环控制缺陷识别技术等。限于审计力量,审计师更有可能采用经验判断来寻找风险点。寻找到风险点后,审计师需用敏锐的眼光识别具有针对性的技术,根据内部技术储备和外部技术可利用情况来寻找和发现适合的技术去消除审计风险点,揭示其中关系到重大错报的可能性。这一步骤的风险表现为:(1)审计师寻找到了错误的风险点,导致审计工作无效果;(2)审计师能力不够,不能采用或者执行适合的审计技术;(3)审计技术不完善,存在固有缺陷,导致采用该技术后不能获得理想的审计成果。
(三)评估过程中的风险按照质量控制的原则,对审计风险及对策方案的评估应该由不同的审计师担任。这是一个将审计资
源技术能力、审计范围与风险点相匹配的过程。审计机构内的评估小组必须仔细研究每一项审计技术是否能用于审计风险点揭示,如何服务于审计范围,是否在审计师的技术能力范围内等。该步骤的风险主要来自评估小组的综合能力,特别是对审计师所处的被审计对象微观环境的判断和理解,以及如何与审计师自身资源和能力相匹配所带来的风险。
四、审计风险的三维分析
(4)企业财务业绩的衡量和评估方法。不管是内部还是外部的业绩评估都会对企业产生压力,从而使得管理人员改善经营业绩或者直接对财务报表进行粉饰。对于企业业绩衡量方法的了解可以使审计人员判断管理层行为是否会增加重大错报的风险。
二、人才问题还有很大的短板
我国目前内部审计人员大多数都是财务出身,对于信息技术,实践操作一下可以,要说在实践中基于信息技术进行流程再造,恐怕就力不从心了,而难得有一些学历高、审计和信息技术兼修的人员也基本上在政府部门或大专院校里,离一线的工作很远,客观上造成了我国目前内部审计信息化很难取得突破,要想在此基础上进行流程再造更是难上加难。虽然面临着不少的困难,我们仍然可以在信息技术的基础上,对审计工作进行流程再造,以使得内部审计工作更完善,帮助单位创造更多的价值。
三、基于信息技术的内部审计流程再造展望
笔者经过多年的思考与实践认为,要想使内审工作有一个突破性的进展,必须要换一种思路。为此,笔者提出一个创新概念—“审计再造”。
1、定义
所谓审计再造,是指:充分运用信息技术,对内部审计工作的流程进行合理的重新设计完善,希望取得更大的收益或更高的效率。
2、前提假设
笔者给这个概念的运用提出一个前提假设,就是本文所论述的“审计再造”,只适合内部审计,而不适用于外部审计。为什么要提出这样一个假设条件呢因为这是和内部审计与外部审计的工作目标不同相联系的。内部审计与外部审计的工作目标完全不同。外部审计的目的就是要确认单位提供报表的完整性、真实性、合规性,只有能够对报表提出确认意见,外部审计的任务就算是完成了,目的也就达到了。而内部审计的根本目的是要使单位增值,如果是非营利性单位也是要资源利用和管理效率更高。从外部审计和内部审计的工作目标不同我们可以想到:外部审计不用为被审计单位做过多管理方面的考虑,而内部审计则要本着为单位增值服务的思想去审计,才有可能进行下一步的工作,也就是进行“审计再造”。
3、实际运用前景
关键词:计算机;审计技;风险
一、开展计算机审计工作的紧迫性及必要性
首先,审计对象的扩展化,给审计提出了新课题。计算机信息系统环境下的审计对象,除手工环境下的审计对象以外,信息的载体得以扩展,出现了新的信息载体。其次,绕过电算化系统的审计,很难有效地发挥审计职能。随着会计电算化水平的提高,如果审计人员不懂得计算机,不了解电算系统,只能依赖被审单位提供打印的账页进行审计。再次,传统审计的信息反馈能力弱,与信息化的时代要求不适应。随着现代科学技术的进步,信息化进程日益加快,纸质账本将为电子数据所代替,开展计算机审计必不可少。
二、审计过程
三、计算机审计存在的风险及对策
(一)存在的风险
传统审计线索逐渐消失,增加了审计风险;审计技术、方法日趋复杂,必然会带来审计风险;在动态中进行审计取证较难,也存在一定的审计风险;会计系统内控制度的改变,也增加了审计风险;审计人员计算机知识的缺乏,造成审计风险。
(二)对策
1.保证审计数据的完整性
2.选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。
3.积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。
4.努力开发实用高效的审计软件
为了给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库,从中采集审计所需的原始数据。在数据分析方面,在现有审计软件功能的基础上进一步开发新的分析工具。例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等,针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。只有开发出实用高效的审计软件,才能解决因审计软件本身的缺陷所带来的审计风险。
5.加强审计人员的培训学习,提高审计人员的素质
应定期对审计人员进行培训,强化审计人员后续教育准则的实施和执行。不断更新审计人员的知识结构,提高他们的技术水平和职业判断能力。在新的审计环境下,尤其要加强计算机应用技术、数据处理技术和网络知识的培训,培养复合型的审计人才,以更好地适应审计环境变化,出色地完成审计任务。强化审计机构和审计人员的风险意识,降低计算机审计风险。审计机构要在独立、客观、公正的原则下建立自律性的运行机制,大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得,完善自身的质量控制制度。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
随着现代审计体系、审计理论的不断发展和完善,计算机审计作为不可缺少的审计方法与技术,在审计“免疫系统”功能中发挥着越来越大的作用。因此,要充分发挥计算机审计的这一优势,做好预警工作,为国家制定宏观政策提供依据,促进法律法规的不断完善。
[1]苏运法.《计算机审计研究》.清华大学出版社
关键词:审计;数据挖掘;计算机审计;技术;应用
随着网络的发展,我国的审计事业步入了计算机审计时代,这样以来大大提高了审计工作的效率。在实际审计过程中,审计人员还要改变自身的审计分析思路,要打破传统的审计模式,能够运用系统论的思维,以全局的观点、联系的观点,把握事物的总体和各部分之间的联系,从而发现其中的规律。可以借助于一种数据分析工具——数据挖掘技术,它能够帮助审计人员从海量数据当中,发现数据背后潜在的联系和规律。
1数据挖掘的定义和常用技术
数据挖掘(DM),就是从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取出隐含在其中的、人们事先不知道的、但又是潜在的、有用的信息和知识的一种过程。
通过数据挖掘,不但可以来完善、丰富数据库,也为用户决策提供数据支持。常用的技术有以下几种:
1.1关联分析
关联分析的目的是为了找出数据库中隐含的关联规则。
1.2分类
分类对数据概念的描述建立模型,再用这个模型来进行分类,生成一系列的分类规则,用于对其他的数据进行分类,从而更好地理解数据库中的内容。
1.3预测
预测就是找出历史数据之间的变化规律,建立相应的模型,可以获得当前数据的未来变化趋势,所具有的属性值的范围、种类和特征等。常用的方法是回归分析法。
1.4聚类分析
聚类是一个将数据集划分为若干组或类的过程,类似于人们常说的“物以类聚”。
1.5偏差检测
数据库中的数据之间存在着很多异常的情况,称为偏差。这些偏差包括很多潜在且有用的知识,如分类中的反常实例、模式的特例等。
1.6时序模式分析
在实际审计过程中,选择合适的挖掘技术能给审计工作带来很大的帮助,而且不同的挖掘技术应用的对象也不同。
2数据挖掘的应用价值
从审计角度来看,数据挖掘就是根据事先明确的审计目标,对被审计单位的大量业务数据进行分析,揭示其中潜在的逻辑关系和规律,并进而形成明确且有效的审计思路的过程。
数据挖掘技术在审计中的应用价值,主要体现在可以依据其发现的知识来构建审计分析模型,将其运用到实际的审计业务中,可以大大提高审计工作的效率。比如,通过对银行信用卡恶意透支的历史数据进行数据挖掘,可以发现“信用卡恶意透支与信用卡客户的收入状况、平均消费额、职业、年龄等客户属性之间的联系”这类知识,以此为基础构建出相应的审计分析模型并运用到被审计银行的当前信用卡业务数据中,审计人员就可以快速确定审计重点。
3数据挖掘技术在计算机审计中的应用操作步骤
一般来说,数据挖掘技术在计算机审计中的操作步骤主要有以下几步:
3.1审计业务问题的定义
指的是要明确审计时需要发现什么信息、解决什么问题。这个定义驱动了整个数据挖掘的过程,是整个挖掘过程的基础,也是检验最后结果的依据。
3.2数据准备
这个环节包括数据采集、数据清理和数据预处理三项内容。
数据清理将采集到的数据经过数据清理形成审计中间表,这些审计中间表就成为数据挖掘模型的实例数据集。
数据预处理工作首先进行数据集成,整合来自不同数据源中的数据,然后从集成的数据库中选择性地提取用与挖掘的数据,最后再对选择的数据进行投影、归一化变换等处理,方便进行下一步的数据挖掘。
3.3建立模型,挖掘数据
设计人员(包括经验丰富的审计人员)对预处理好的数据进行分析,选用合适的数据挖掘技术和方法,生成适合挖掘的数据模型。模型建立的好坏关系到数据挖掘结果的正确与否,可以说是整个挖掘过程的核心。模型不是一成不变的,需要经过反复的修改调整,最后才能成为适合当前的审计任务要求的挖掘模型。
3.4分析评价结果
以上几个步骤在实际的审计过程中,往往不是一次完成,中间的某些步骤可能需要反复进行,这要根据当前阶段和将要实施阶段的审计任务要求来定。
4结论
虽然数据挖掘技术在计算机审计应用,还处于初级阶段,还需要进一步的研究,不断地探索和完善。但是我们也看到了它在计算机审计领域的优势。在教育、金融、企业、经济责任等各行业的审计工作中,面对庞大的、复杂的数据库,使用数据挖掘技术,可以让审计人员在审计过程中迅速把握总体,从海量数据中根据需要找出有用的知识信息以及数据间潜在的规律和联系,进一步提高审计工作的效率,并为领导的正确决策提供数据支持。
[1]牛丽敏.Apriori算法分析与改进综述[J].桂林电子科技大学学报,2007,27(4):25-29.
[2]韩家炜.数据挖掘概念与技术[M].北京:机械工业出版社,2000.
[3](美)MehmedKantardzic.数据挖掘-概念、模型、方法和算法[M].北京:清华大学出版社,2003.
[4]胡俊俊,孙静.一种新型的计算机审计模型[J].计算机应用研究,2008.
关键词:信息管理;案例分析法;信息技术;财务报表审计
二、现状
三、案例分析
目前,墨西哥国家税务总局将信息技术对财务报表的审计转变为一种新的方式并且在2016年7月通过最高法院确保了其合宪性。即通过互联网电子审计,税务当局可以通过电子方式执行监督与审计流程,并通过电子方式与纳税人沟通,纳税人可以通过申请AcuerdoConclusivo协议,确保其被审计材料在保护状态,纳税人也可以利用这个渠道寻求税务帮助,通过协商的手段,解决被审计纳税人与税务局之间存在的分歧,避免了耗时长和费用贵的申诉流程。墨西哥国家税务总局给人口众多的发展中国家一个很好的示范,行政事业单位率先进行改革,从法律制度上承认信息技术对财务报表审计的合法性与合规性,并且给予技术支持保证信息安全。这大大减少了人们使用的后顾之忧,有利于越来越多的会计师事务所、审计机构进行转型,更大程度上借助网络信息技术,对被审计单位进行远程网络审计。
四、问题分析
(一)电磁化会计信息不易保存
(二)忽视网络信息系统审查
在信息技术广泛应用的大背景下,除了对传统财务内容进行审计外,还需要对信息系统开发、运行、控制环节进行审查。尤其在电子商务环境下,对互联网的依赖程度更大,并且固有的技术风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理的真实性、安全性、合法性。大多数企业忽视对网络信息系统的审查,这使审计信息可能会出现一定程度的偏差甚至是错误。由于全面依靠互联网信息技术,交易与金钱往来都是在网络系统各工作站上完成的,因此,审计应渐渐从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而降低经营风险、提高审计质量。
(三)信息技术对财务报表审计难以做到绝对保密
众所周知,互联网系统具有分散性、开放性、受众群体数量多等特点,其安全保密性问题一直是困扰大多数企业的问题。信息技术系统一方面面临故障的风险,如果发生故障,就会造成全企业的瘫痪财务工作的崩溃;另一方面还面临数据库财务网站有可能遭到攻击的非系统风险、计算机病毒攻击的风险。此外,若信息系统的设计存在漏洞,而财务工作者在运用中并没有发现,则可能给企业的内部控制造成隐性风险。
(四)审计人员的计算机知识不完善
五、对策建议
(一)审计线索方面的追踪审查
在信息化背景下,应该针对审计线索在系统内建立专门原始数据的备份、完善大数据和追踪软件,多部门相互监督,使审计线索得以保留。同时,通过远程审计监管、突击检查的方式,对财会工作人员和程序员的系统进行检查,以维护数据库安全。
(二)重视对内部控制内容审计
重视对内部控制内容的审计是指要做到对财务数据全流程的管控,包括信息技术部门对信息化财务系统的维护。第一、明确权限与指责,在财务部门内部,将职责和权限进行划分,不能让不同岗位的工作人员拥有相同的权限,以此来形成互相监管的模式。第二、成立财务数据库,原始数据必须先上传再入账处理分析,而且原始数据不容随意更改,如要更改应由主管监督。同时,每一步的审计应将数据上传,各部门之间既相互独立又互相联系,彼此制约。
(三)加快信息技术财务审计法规的建立完善
(四)加快信息化审计人才的培养
在此背景下,审计人员除了应当具备审计知识经验还应当对基础信息知识有一定的了解。审计人员是信息技术应用于财务报表审计工作的关键,但是传统的审计人员往往忽略了自身对信息技术的要求。市场对复合型审计人才的缺口很大,也是未来审计工作发展重要一环。第一、审计人员应该具有危机意识,如果自身不转变,很有可能被即将到来的财务机器人代替简单的审计工作;第二、企业也要意识到信息网络对财务报表审计存在的两面性,应鼓励审计人员、会计人员主动学习信息化审计知识,及时查明风险,做好应对措施。第三、国家和政府也应该加大对审计人员工作转型的引导,鼓励培养复合型审计人才。
【关键词】审计风险审计效率抽样方法
实践是检验真理的唯一标准,本文通过在各审计现场广泛的数据采集工作搜集到的大量素材和案例资料而形成最终的研究结论以及重要的意见。通过对审计抽样技术与方法的研究和实践,可以认为:
第一,审计统计抽样对于以真实性为目标的审计,是一种能大幅度提高工作效率;量化并控制审计风险;规范审计行为;提高审计工作质量的审计技术方法,特别是在外部环境条件具备时恰当运用,采用该技术方法效果显著。
第二,通过较为广泛的考察与调研,我们认为对于国家审计所针对的国有大中型企业为主的审计对象都初步建立了财会电算系统。因此,可以肯定,以计算机为主要辅助手段的审计统计抽样技术与方法在国家审计领域中可以推广使用,并随着被审对象电算环境的完善及自行开发的技术方法逐步成熟,该技术方法必会体现十分有效的作用。
第三,审计职业判断是所有审计技术与方法的基础,审计判断抽样与审计统计抽样也必须同样遵循这一原则,任何抽样方法必须依靠职业判断来作出最终的结论。不同方法的结合运用,重要的是能够甄别使用环境、结合工作效率选择恰当的处置方法。
第四,非统计抽样其技术与方法相对成熟,在国内审计实务中已大量使用,国内注册会计已有相应执业规范,国家审计可参照制定自己相应规范和标准。通过研讨交流,我们认为判断抽样国内注册会计师的做法,相对来说已较为成熟,基本符合我国国情,可以对其剖析移植,理由是国家审计调整到以真实性审计为主要目标后,已与社会审计目标日趋一致。
第五,统计抽样从审计目标的总体来看,比判断抽样言有更高的工作效率和更精确的结果,但受外部环境制约,其适应性差于判断抽样,在实务操作中,两种方法有机结合,是一种较为完美的做法,但这对审计人员的基本素质,至少是对方案编制者有较高的要求。
首先,通过审计调查了解各业务流程关键控制点设置审计工作质量控制关键点进行预先控制。通过审前调查了解各业务流程关键控制点,从而设置审计工作质量控制关键点,进行预先控制,审前调查是否深入、细致、全面,直接影响审计质量,也影响审计工作效率、成本。其次,建立人员内部质量控制管理体制。在审计现场,审计组质量负责人根据审计程序表、操作流程表等,针对现场审计实际情况,编制抽样样本审核要素表,保证必要的审计项目和步骤得以高质量的执行,并将审计工作负责人通过抽查复核审计人员现场工作表来保证工作质量,进行审计现场控制。
我们目前编制的《审计程序表》及《计算机统计抽样流程表》,除作为二级方案指导现场审计使用外,其中一个极重要的作用就是强化现场审计质量控制,防范审计风险。
第七,根据项目组目前所取得的资料,企业财务数据库,我们经综合分析、比较、测试后,目前所得出的结论是一般财务数据总体分布不能很好地遵循正态分布,因此,我们趋向于重点采用泊松分布的货币单位抽样方法。
第八,审计统计抽样必须紧密结合计算机技术,才能充分发挥其优势,在审计实务中脱离计算机技术支撑,审计统计抽样将失去实际意义。
第九,抽样参数的确定涉及到国家审计体系模式及内控制度评价技术方法,目前来讲,有制度基础审计和分险基础审计的区别,因此,需组织专家专题研究确定。
首先,标准可解决统计抽样参数设置问题。根据我们在现场操作的体会,抽样参数主要依靠职业判断来决定,至少目前还没有严格的教学模型说明能通过严密的数学计算得出。因此,对这种带有人为主观因素参数的设置,应通过标准限制在一定的范围之内,以保证审计风险落在可接受的范围之内,又不使工作量大而失去抽样意义。
其次,对于统计抽样有关参数标准,根据我们的研究和实践,在一般情况下,初步推荐在如下范围内考虑,在今后大量的测试和审计实践中逐步调整、完善。①最小总体量项数:小于300;②可信赖程度的聚会区间:按我国实际情况建议为85%~95%;③可容忍误差的最大取值:不大于总体的10%;④样本量的最小值:数理统计理论研究表明,最少应不小于30个;⑤结论评价标准:一是完全接受的表述与条件;二是完全否定的表述与条件;三是抽样结果处临界值时,通过替代程序或是调整参数,补充说明后作出结论的表述与条件。
对于实质性测试还应有以下要求:①试探样本量取值标准:如取30或50,建议50;②随机数表、电子随机数产生的技术标准:由审计署统一标准和认可。