現(xiàn)代信息技術(shù)參與審計(jì)實(shí)務(wù)的方法及應(yīng)用

吳梓榕

(南京審計(jì)大學(xué)，江蘇 南京 211815)

一、引言

近些年來，隨著科學(xué)技術(shù)的不斷進(jìn)步與革新，信息技術(shù)得到了高度關(guān)注與重視，越來越多的企業(yè)使用電子計(jì)算機(jī)進(jìn)行業(yè)務(wù)開展以及財(cái)務(wù)處理，傳統(tǒng)的易出錯(cuò)的手工操作逐漸轉(zhuǎn)化為計(jì)算機(jī)命令與自動(dòng)化控制，信息技術(shù)風(fēng)險(xiǎn)也隨之產(chǎn)生。由于計(jì)算機(jī)指令通常是程序性、批量化操作，其覆蓋面和影響范圍較大，審計(jì)人員對(duì)信息系統(tǒng)相關(guān)控制的測(cè)試則尤為關(guān)鍵?，F(xiàn)代信息系統(tǒng)審計(jì)將系統(tǒng)化控制分為一般控制和應(yīng)用控制兩個(gè)層面。與此同時(shí)，傳統(tǒng)手工審計(jì)逐漸難以應(yīng)付復(fù)雜的信息化環(huán)境及新時(shí)代的審計(jì)需求，信息化建設(shè)成為審計(jì)工作的前進(jìn)方向，大量審計(jì)工作的開展均需要計(jì)算機(jī)技術(shù)的支撐，計(jì)算機(jī)輔助審計(jì)(CAATS)應(yīng)運(yùn)而生。

二、信息系統(tǒng)審計(jì)和計(jì)算機(jī)輔助審計(jì)的方法概述

(一)信息系統(tǒng)審計(jì)

信息系統(tǒng)審計(jì)是指審計(jì)機(jī)構(gòu)及人員對(duì)信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程開展的一系列綜合檢查、評(píng)價(jià)與報(bào)告活動(dòng)。通常將信息系統(tǒng)審計(jì)分為信息技術(shù)一般控制及應(yīng)用控制兩個(gè)部分。

信息技術(shù)一般控制是與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購置、修改及維護(hù)控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護(hù)控制等。可以理解為基礎(chǔ)性的內(nèi)部控制。

信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算的準(zhǔn)確性，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)。

(二)計(jì)算機(jī)輔助審計(jì)

從宏觀層面來說，計(jì)算機(jī)輔助審計(jì)是指在設(shè)計(jì)和執(zhí)行審計(jì)程序的過程中，充分融入計(jì)算機(jī)技術(shù)，使審計(jì)工作實(shí)現(xiàn)自動(dòng)化的新型審計(jì)程序。從微觀層面來說，計(jì)算機(jī)輔助審計(jì)程序更多體現(xiàn)在對(duì)審計(jì)數(shù)據(jù)的采集、清洗、分類、篩選、計(jì)算和分析。隨著計(jì)算機(jī)基礎(chǔ)設(shè)施的普及以及自動(dòng)化、無紙化辦公的實(shí)施，審計(jì)人員可以通過信息系統(tǒng)收集審計(jì)信息及相關(guān)數(shù)據(jù)，將審計(jì)分析的邏輯及口徑轉(zhuǎn)化為公式及算法，最終形成審計(jì)結(jié)果。

三、運(yùn)用信息技術(shù)的意義

(一)信息系統(tǒng)一般控制和應(yīng)用控制的意義

在信息化時(shí)代背景下，企業(yè)業(yè)務(wù)規(guī)模迅速擴(kuò)大，信息化已經(jīng)成為其保持核心競(jìng)爭力的重要因素，在企業(yè)業(yè)務(wù)運(yùn)轉(zhuǎn)、人事管理等流程越來越多地采用系統(tǒng)線上流轉(zhuǎn)的方式進(jìn)行。在企業(yè)內(nèi)部審計(jì)或外部審計(jì)中，對(duì)上述流程中涉及高度依賴信息系統(tǒng)的環(huán)節(jié)，評(píng)估系統(tǒng)化的內(nèi)部控制效率及效果是確保該環(huán)節(jié)工作有序進(jìn)行的必要措施。

(二)計(jì)算機(jī)輔助審計(jì)程序的意義

開展計(jì)算機(jī)審計(jì)是現(xiàn)代審計(jì)的必然選擇。近年來，隨著企業(yè)信息化的加強(qiáng)以及審計(jì)領(lǐng)域的拓展，在財(cái)務(wù)報(bào)表審計(jì)、企業(yè)內(nèi)部日常審計(jì)以及專項(xiàng)審計(jì)等當(dāng)中，運(yùn)用傳統(tǒng)審計(jì)方法不足以應(yīng)對(duì)體量較大的原始數(shù)據(jù)，無法提供充分、必要的審計(jì)證據(jù)，也嚴(yán)重制約了審計(jì)效率的提高。而運(yùn)用計(jì)算機(jī)輔助審計(jì)程序，一方面，可以確保獲取的原始數(shù)據(jù)的準(zhǔn)確性和完整性，另一方面也大大豐富了審計(jì)手段，擴(kuò)大了審計(jì)覆蓋面，進(jìn)一步提高了審計(jì)效率。

四、信息技術(shù)在審計(jì)中的應(yīng)用

(一)信息系統(tǒng)一般控制在審計(jì)中的應(yīng)用

隨著財(cái)務(wù)信息化的發(fā)展，在注冊(cè)會(huì)計(jì)師審計(jì)中，為了對(duì)財(cái)務(wù)報(bào)表不存在重大錯(cuò)報(bào)提供合理保證，注冊(cè)會(huì)計(jì)師需要測(cè)試被審計(jì)單位與財(cái)務(wù)報(bào)表數(shù)據(jù)相關(guān)的系統(tǒng)化控制，從而在風(fēng)險(xiǎn)評(píng)估與控制測(cè)試環(huán)節(jié)中進(jìn)行一般控制測(cè)試。審計(jì)人員經(jīng)過評(píng)估，識(shí)別出與業(yè)務(wù)相關(guān)的信息系統(tǒng)，采用適當(dāng)審計(jì)程序，測(cè)試相應(yīng)內(nèi)部控制是否設(shè)計(jì)得當(dāng)，是否得到執(zhí)行，以及執(zhí)行是否有效。目前，各家規(guī)模較大的會(huì)計(jì)師事務(wù)所或咨詢公司均擁有成熟的、較為統(tǒng)一的一般控制測(cè)試框架，通常情況下可以歸納為信息安全、運(yùn)行維護(hù)、變更管理和系統(tǒng)開發(fā)四個(gè)方面[1]，詳細(xì)的控制要求如表1所示。

表1 注冊(cè)會(huì)計(jì)師審計(jì)中信息系統(tǒng)一般控制關(guān)注要點(diǎn)

此外，在評(píng)估識(shí)別出的信息系統(tǒng)內(nèi)部控制缺陷的嚴(yán)重程度時(shí)，審計(jì)人員應(yīng)核實(shí)是否存在補(bǔ)償性控制，以及補(bǔ)償性控制是否能夠彌補(bǔ)控制缺陷。

在企業(yè)內(nèi)部審計(jì)中，除上述與財(cái)務(wù)報(bào)表相關(guān)的一般控制，內(nèi)審人員還應(yīng)根據(jù)相關(guān)機(jī)構(gòu)對(duì)企業(yè)的監(jiān)管要求，結(jié)合公司實(shí)際業(yè)務(wù)模式以及對(duì)信息系統(tǒng)的依賴程度，全面評(píng)估公司的信息科技風(fēng)險(xiǎn)及一般控制。如根據(jù)銀監(jiān)會(huì)發(fā)布的?商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引?(銀監(jiān)發(fā)〔2009〕19號(hào))監(jiān)管要求，除上述四個(gè)方面，商業(yè)銀行還需從信息科技治理、信息科技戰(zhàn)略、風(fēng)險(xiǎn)管理、業(yè)務(wù)連續(xù)性、外包管理等方面設(shè)計(jì)并完善內(nèi)部控制，保障企業(yè)信息系統(tǒng)的有效運(yùn)行。

(二)信息系統(tǒng)應(yīng)用控制在審計(jì)中的運(yùn)用

1.流程的審查

企業(yè)的業(yè)務(wù)系統(tǒng)應(yīng)有明確的系統(tǒng)化處理流程，審計(jì)人員需要了解這些流程以及其執(zhí)行情況。通常情況下，在針對(duì)業(yè)務(wù)流程、業(yè)績考核等內(nèi)部控制開展審計(jì)工作時(shí)，審計(jì)人員需要獲取相應(yīng)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，采取穿行測(cè)試、復(fù)算等程序，確保計(jì)算結(jié)果的準(zhǔn)確性。

2.輸入與輸出控制的審查

審計(jì)人員應(yīng)跟蹤業(yè)務(wù)流程，觀察業(yè)務(wù)數(shù)據(jù)獲取途徑、審批及錄入程序，識(shí)別未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)，評(píng)價(jià)數(shù)據(jù)輸出使用的相關(guān)控制，判斷是否開啟操作日志等[2]，據(jù)此獲取充分適當(dāng)?shù)膶徲?jì)證據(jù)，證實(shí)數(shù)據(jù)、信息在系統(tǒng)中的流轉(zhuǎn)符合公司流程及制度，從而規(guī)避信息錄入錯(cuò)誤及信息泄露等風(fēng)險(xiǎn)。

(三)計(jì)算機(jī)輔助審計(jì)程序(CAATS)在審計(jì)中的應(yīng)用

1.在社會(huì)審計(jì)中的運(yùn)用

隨著大量電商、互聯(lián)網(wǎng)企業(yè)的涌現(xiàn)及蓬勃發(fā)展，審計(jì)人員僅憑傳統(tǒng)的手工審計(jì)方式已經(jīng)很難保證審計(jì)的效果和效率。在社會(huì)審計(jì)中，注冊(cè)會(huì)計(jì)師憑自身能力無法確保被審計(jì)單位收入的真實(shí)性，于是聘請(qǐng)信息系統(tǒng)審計(jì)的專家運(yùn)用CAATS技術(shù)協(xié)助其進(jìn)行審計(jì)工作。

通常情況下，信息系統(tǒng)審計(jì)人員會(huì)直接或間接訪問被審計(jì)單位的后臺(tái)數(shù)據(jù)庫，獲取被審計(jì)單位的業(yè)務(wù)及財(cái)務(wù)原始數(shù)據(jù)，根據(jù)信息系統(tǒng)審計(jì)的方法論以及職業(yè)判斷，采取外部信息比對(duì)、異常指標(biāo)分析等方式，為企業(yè)信息化收入提供合理保證。但信息系統(tǒng)審計(jì)人員如何參與、參與程度卻始終沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)。

在證監(jiān)會(huì)2020年6月修訂的?IPO業(yè)務(wù)若干問題解答?第53條——信息系統(tǒng)核查中首次給予了一定指引，其規(guī)定互聯(lián)網(wǎng)營收或毛利占比超過30%的互聯(lián)網(wǎng)企業(yè)需對(duì)各業(yè)務(wù)系統(tǒng)開展信息系統(tǒng)可靠性專項(xiàng)核查。此外，在核查維度上，證監(jiān)會(huì)也以互聯(lián)網(wǎng)線上銷售、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)游戲等代表性的互聯(lián)網(wǎng)企業(yè)為例，規(guī)范了信息系統(tǒng)審計(jì)人員的核查方向，包括但不限于經(jīng)營數(shù)據(jù)的完整性和準(zhǔn)確性、用戶真實(shí)性和變動(dòng)合理性、平均用戶收入變動(dòng)分析等多個(gè)維度的數(shù)據(jù)比對(duì)和分析。該解釋為CAATS在互聯(lián)網(wǎng)企業(yè)的外部審計(jì)中的應(yīng)用提供了思路與指導(dǎo)，并被廣泛應(yīng)用在IPO及其他各類社會(huì)審計(jì)中。

2.在企業(yè)內(nèi)部審計(jì)中的應(yīng)用

計(jì)算機(jī)輔助審計(jì)技術(shù)在企業(yè)內(nèi)部審計(jì)中的新興技術(shù)，包含兩層內(nèi)容:其一是指使用通用的軟件或技術(shù)(如Word、Excel)幫助搜集審計(jì)證據(jù)、分析審計(jì)資料、復(fù)算會(huì)計(jì)數(shù)據(jù)以及記錄審計(jì)過程；其二是指運(yùn)用特殊的軟件支撐審計(jì)工作的開展[3]。在數(shù)據(jù)井噴以及疫情的影響下，數(shù)據(jù)規(guī)模、體量較大的企業(yè)也在不斷探索利用計(jì)算機(jī)工具建設(shè)數(shù)據(jù)式審計(jì)或大數(shù)據(jù)審計(jì)的工作模式，以期達(dá)到持續(xù)審計(jì)的效果，降低審計(jì)風(fēng)險(xiǎn)，提升審計(jì)的準(zhǔn)確性和效率[4]。CAATS的詳細(xì)應(yīng)用如下:

(1)提供必要的技術(shù)支持，提高審計(jì)效率。業(yè)務(wù)基礎(chǔ)數(shù)據(jù)往往以報(bào)表、PDF等形式在企業(yè)各個(gè)系統(tǒng)中存放，審計(jì)人員可以通過Excel、SQL等工具，或利用審計(jì)技術(shù)支撐團(tuán)隊(duì)獲取標(biāo)準(zhǔn)化的數(shù)據(jù)并進(jìn)行處理和分析。同時(shí)，運(yùn)用Python爬蟲技術(shù)爬取外部網(wǎng)頁數(shù)據(jù)，運(yùn)用PDF＿miner等函數(shù)識(shí)別并抓取PDF文檔內(nèi)的數(shù)據(jù)，以及運(yùn)用語音、圖像等技術(shù)，為審計(jì)人員獲取審計(jì)證據(jù)提供必要的支持，有利于大大提升審計(jì)的效率及效果。

(2)建立數(shù)字化審計(jì)平臺(tái)，整合審計(jì)資源。依托數(shù)字化審計(jì)平臺(tái)，協(xié)同監(jiān)督審計(jì)項(xiàng)目組，進(jìn)而實(shí)現(xiàn)審計(jì)全覆蓋。在審計(jì)過程中，在平臺(tái)中共享審計(jì)資料，溝通審計(jì)事項(xiàng)；在審計(jì)匯報(bào)時(shí)，將審計(jì)發(fā)現(xiàn)下發(fā)至被審計(jì)單位、部門進(jìn)行核實(shí)反饋，并完成征求意見，建立線上溝通機(jī)制；在審計(jì)結(jié)束后，聯(lián)合被審計(jì)單位、部門完成問題的整改計(jì)劃，并追蹤跟進(jìn)整改情況。

(3)整合業(yè)務(wù)數(shù)據(jù)，構(gòu)建并維護(hù)審計(jì)模型。同一業(yè)務(wù)流程、同一事項(xiàng)的相關(guān)信息經(jīng)常散落在不同系統(tǒng)中。面對(duì)這一困難，可以通過搭建審部審計(jì)數(shù)據(jù)庫，將業(yè)務(wù)數(shù)據(jù)與相關(guān)外部數(shù)據(jù)統(tǒng)一存放，使來源于多個(gè)系統(tǒng)的相關(guān)數(shù)據(jù)能被整合，發(fā)揮協(xié)同功效，提高數(shù)據(jù)的可審計(jì)性。

搭建審計(jì)模型，首先，將各渠道獲取的數(shù)據(jù)分類、匯總并整合，根據(jù)日常審計(jì)及專項(xiàng)審計(jì)中的審計(jì)發(fā)現(xiàn)，梳理分析口徑，通過關(guān)聯(lián)分析等方法分析出目標(biāo)風(fēng)險(xiǎn)數(shù)據(jù)；其次，將審計(jì)中的風(fēng)險(xiǎn)點(diǎn)轉(zhuǎn)化為語句及算法，完成數(shù)據(jù)核查，初步建立審計(jì)模型。

在審計(jì)模型維護(hù)階段，審計(jì)人員或?qū)徲?jì)支撐團(tuán)隊(duì)定期復(fù)核驗(yàn)證模型數(shù)據(jù)的完整性和準(zhǔn)確性，并定期將審計(jì)模型中的風(fēng)險(xiǎn)數(shù)據(jù)在審計(jì)平臺(tái)中遠(yuǎn)程下發(fā)，由被審計(jì)部門或單位復(fù)核并反饋；同時(shí)，結(jié)合審計(jì)重點(diǎn)，開展現(xiàn)場(chǎng)數(shù)據(jù)核查，驗(yàn)證模型數(shù)據(jù)準(zhǔn)確性和命中率，深入挖掘風(fēng)險(xiǎn)數(shù)據(jù)及潛在問題，不斷優(yōu)化審計(jì)模型，拓展風(fēng)險(xiǎn)監(jiān)控領(lǐng)域[5]。

五、結(jié)束語

綜上所述，筆者對(duì)信息技術(shù)參與審計(jì)的方法與應(yīng)用進(jìn)行了梳理，從信息系統(tǒng)一般控制、應(yīng)用控制和計(jì)算機(jī)輔助審計(jì)技術(shù)出發(fā)，闡述了信息技術(shù)與審計(jì)工作二者的關(guān)聯(lián)與意義。在如今的各項(xiàng)審計(jì)業(yè)務(wù)中，信息技術(shù)起到了舉足輕重的作用，審計(jì)信息化建設(shè)成了審計(jì)工作的前進(jìn)目標(biāo)和發(fā)展方向。審計(jì)機(jī)構(gòu)、人員可以通過加強(qiáng)個(gè)人能力的培訓(xùn)、強(qiáng)化軟硬件建設(shè)等措施來適應(yīng)，并不斷創(chuàng)新，以充分發(fā)揮審計(jì)信息化的優(yōu)勢(shì)。