施建强
随着国内网络经济体系的不断完善与发展,互联网经济逐渐成为市场经济中的一种新的业态。互联网的出现在一定程度上减少了交易时限与耗费,同时也拓宽了国内经济市场的发展前景。然而,互联网环境下经济自身具有的特性、法律监管过程中的漏洞以及跨领域性经营等特征,决定了互联网经济环境下企业的风险性指数更高。为了使基于网络的、实时的财务信息有价值,信息使用者们需要独立第三方的实时保证,以确保这一信息的可靠性及公允性。这对注册会计师审计也带来了很大的挑战。陈景等(2007)指出,连续审计工作在防范网络经济风险过程中发挥着不可或缺的效用。许莉(2010)通过分析总结出审计工作与网络经济安全之间存在一种内在的影响作用机理。蔡利(2013)分析了连续审计在政府审计对经济安全的维护作用,并提出了相应的实施策略。陈林(2013)通过对比研究欧美等国家互联网经济监管实践活动,提出了规范完善国内互联网经济监管的策略。
在AICPA/CICA联合发布的研究报告中,对连续性审计的概念做了较为详细的阐述:连续审计是一项由独立的审计人员使用的,为一个由企业管理当局承担责任的项目提供书面保证的技术。这些书面保证是指由审计人员发布的一系列与这个项目有关的事件的审计报告。而且发布审计报告的时间与事件的发生是同步的或紧跟其后的。从这一概念可以看出,连续性审计与传统审计一样,均须利用基本的财务资料来提供保证,在服务性质上均属于保证性质的服务,如果划分地更细一些,连续性审计与传统审计均属于鉴证服务。然而,连续性审计与传统审计的不同之处在于,连续性审计更加强调及时处理,强调审计报告能够被及时传递,强调有关执行决策方面的信息,而这些都是传统审计无法完成的。
在传统审计中,审计人员所获取的信息是滞后的,而整个审计过程一般也需持续一段时间,审计结果的呈报与最初事项发生之间可能已经间隔很长一段时间。在投资者对信息的及时需求日益高涨的今天,传统审计已显得力不从心,连续性审计正是由此应运而生,提供实时服务成为连续性审计最大的特点。
首先,在信息的获取阶段中,通过依靠以电子化形式记录和储存的会计信息以及网络的普及,审计人员可以连续地获得相关的信息。特别是随着低成本的数据存储和检索设备的使用,加上以网络为基础的数据交换和新型的B2B电子商务协议的使用,使得企业中原始数据的存储、传输能以低廉的成本进行。在第二个阶段中,一般可以通过连续的监督被审单位的信息系统,具体的如内嵌入(embedded)审计系统。目前有关内嵌审计系统的最著名的两个软件分别为ACL(audit command language,ACL)以及(interactive data extraction and analysis,IDEA)。根据AICPA/CICA的要求,一个有效的审计系统应该包括审计模组程式(auditing m o d u l e s),异常情况报告模块(exception reporting)以及交易标注模块(transaction tagging)。审计模组程式可以自动地将被审单位的交易或资料信息输入以进行查核,这些被查核的交易或资料通常都属于高危险群或高错误率的种类;异常情况报告模块可以报告在查核过程中发现的异常情况并通知审计人员;交易标注模块可以对不同的交易或资料进行不同的标注,以便查核资料处理的顺序及过程,同时可复核审计模组程式是否运作正常。在第三个阶段,审计人员可以通过如点对点的传输、电子邮件或发布在网站上等信息技术,实现审计报告的实时提交。
总体来看,连续性审计有如下特点:连续性审计运用信息技术,所得结果精确且快速。这种特点可以体现为会计师事务所在实际工作中更短的审计循环,更大的审计弹性,提供对供对客户和第三方而言更具个性化的报告,同时由于现场审计的减少而减少审计成本等。因此,进行连续审计的会计师事务所可将有限的资源用于其他服务,并由此创造出竞争性优势。
互联网系统性风险主要是指由黑客侵入、互联网病毒以及计算机信息传输故障等要素诱发,致使互联网服务系统的瘫痪,进而带来系统性风险,具体表现在以下三方面:首先,密钥管理与加密技术的不完善。网络环境下,企业财务数据储存于计算机硬盘中,在互联网络的帮助下进行数据传递,由于网络的开放化交往,在密钥管理与加密技术不完善的情境中,随着公司增加网上财务信息的呈报,在将数据传向服务器的过程中就容易受到网络黑客侵袭,进而危害企业财务系统的健康发展。其次,TCP/IP协议安全性较低。在数据传输进程中比较重视信息的流畅性,而很少注重其安全系数的高低,此类情况易造成数据信息在传递过程中被拦截和窥视,带来一定的交易风险。再次,病毒具有易扩散性的特性,其在网络中可以迅速蔓延并互相传染,计算机一旦被病毒传染就会威胁整个财务体系的安全。
互联网环境下,风险主要包含计算机系统与交易主体的业务风险,业务性风险具体有市场风险、操作风险以及信誉风险。市场风险是指在信息不对称的情境中,存在的不理性选择而产生的风险;操作风险具体是指交易主体在操作过程中出现的失误,或是互联网金融的体系自身存在的风险;信誉风险具体为企业之间没有建立起良好和谐化的合作关系,致使互联网经济业务不能正常开展。
法律风险指互联网环境下业务的开展过程中存在的不遵守法律法规,亦或是在交易进程中不能很好地运用和承担法律规定的权利与义务,再或者就是不健全的互联网法制体系没有明确的法律规定而造成的法律风险。目前国内现有法律服务主体是传统的经济业务,并不适用于互联网环境下的业务的运营。此前,在交易进程中的一些流程并没有得以确认,比如像交易者身份的识别认证、客户信息的安全管理、电子合同的法律效用等等,故而,在业务往来进程中就很容易出现权利与义务的模糊化,进而危及到整个互联网经济的有序发展。
连续审计可以有效降低审计成本,提高审计效率,可基于日、月或季度实施连续性审计,进而达到自动化定期审计工作,实现风险问题的早期预警。因而,在网络环境下,连续审计能够更好地发挥维护经济安全发展的作用。
我国现有的规范主要是针对计算机审计方面的规定,对于明确的联网审计、连续审计方面的规范较少。1993年9月,审计署发布的《审计署关于计算机审计的暂行规定》第2条规定,凡使用计算机管理财政、财务收支及其有关经济活动的被审计单位,审计机关有权采用计算机技术,依法独立对其计算机财务系统进行审计监督,第3条规定,计算机审计的内容包括:内部控制制度,包括管理制度和软件控制技术;记录在各载体上的数据资料,包括纸性、电磁性、光电性的凭证、账簿、报表等;应用软件及其技术档案,包括各种管理财政、财务及其有关经济活动信息的计算机应用软件。1999年,中国注册师会计协会发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》第5条规定,注册会计师应充分关注计算机信息系统环境对被审计单位会计信息及内部控制的影响。2008年,中国内部审计协会发布的《内部审计具体准则第28号——信息系统审计》(2009年1月1日开始实施)第3条规定,“本准则所称信息系统审计,是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。”
首先,连续审计是一种利用技术手段自动执行风险评估与控制的方法,打破了传统审计周期复核的瓶颈,帮助审计师在实时的情景中进行所有交易的持续测试,在实时风险监控的协助下检测关键性交易系统的信息数据,找出业务交易过程中存在的控制弊端以及彰显风险的测度指标,得出的审计结果不仅可以运用于维护与制定审计战略过程中,还可以用于执行与追踪专项审计活动。连续性审计在很大程度上依靠自动审计,目前我国很多金融机构(银行、证券公司)的内部审计部门均实施了实时监控(monitoring),连续性审计与实时监控之间区别何在?二者是替代还是补充?笔者认为,从实施方来看,监控属于内部控制的一部分,而连续性审计属于外部监督的一部分。外部审计可以充分利用内部审计资源完成自身工作。连续审计可以充分共享监控信息,企业可在实时监控系统中设置不同的权限,同时满足企业自身管理需求和会计师事务所获取信息需求,而无需会计师事务所再重建一套信息获取系统。
其次,互联网环境下,风险不是单一原因所造成的,既有互联网系统技术不健全的内在要素,也有市场经济冲击的外在要素;既有现有金融市场体系的不健全所带来的风险,也有金融市场法制管理不利的责任;既有互联网金融机构与客户之间的合作体制机制因素,又有人类贪婪和不道德行为作祟。互联网环境下,风险的复杂性迫切需求一个实时监控体系。与传统审计不同,连续审计的一大特性就是能够在交易发生时或者是交易发生后短期内得出审计结果,故其能够实时搜集信息数据,实时进行监管与分析,以及及时发布审计结果。连续审计的时效性是有效把握风险的变化态势,合理探索互联网风险状况的一个重要工具。
第三,从互联网信息化上来讲,连续审计需要建立一定的信息化建设,将在线信息系统作为载体,也就是需要具备两个技术前提:一是审计体系整体自动化,也就是可以按照一定的电子格式对会计信息进行有效记录与存储。二是审计师可以获取相应事件的实时讯息。现阶段,国内互联网信息化发展速度越来越快,加上国家信息化审计管理项目的建设,为连续审计在互联网经济安全监管体系中的运用提供了有效的技术支持,另一方面,连续审计在会计师事务所审计实践中的经验也提供有力支持。
连续审计在互联网环境中应用需要借助于一定的前提假设,例如各方网络链接的服务器、网络系统的建构以及高度自动化的计算机运行程序等。因此,要想有效地在网络环境中实施连续审计,就需要在政府机关以及社会各界的帮助下建构互联网安全监管体系,为连续审计工作的顺利开展创设网络信息化平台(见图1所示)。
通过图1可以看出,连续审计工作的开展建立在四个网络信息主体的前提之上:审计部门主要是连续审计的应用者,依据连续审计技术标准,使用网络软件对财务信息系统进行审计;监管部门是构建财务信息系统的主要组成部分,既可以提供监管信息,又可以提供所监管的企业的信息;企业是构建财务信息系统的主要参与者;技术支持主要是指计算机软件的革新,为应用连续审计的开展以及互联网财务信息系统的健全提供大力支持。
网络环境下,连续审计要求有一大批通晓计算机技术、网络技术的高素质复合型人才。但是目前审计人员与联网审计、连续审计的要求还存在一定的差距。机构审计人员年龄结构不合理,知识结构单一,缺乏信息系统审计方面的专业人才。要开展网络环境下的连续审计还存在一定的困难。因此,相关部门和事务所应当建立信息系统审计人员培训制度,鼓励审计人员取得注册信息系统审计师等执业资格,以保证审计人员的专业胜任能力。首先,增强审计人员相关的专业知识与技能。例如,在互联网金融的运作过程中,需要具备相关的知识,才能够准确理解互联网金融风险生成机理,开展风险评估与控制工作。其次,加强审计人员计算机网络技术。互联网经济是在计算机操作过程中完成的,因此,相应的审计工作也需要借助于计算机网络技术进行运作。再次,提升审计人员的风险评估能力。审计工作就性质而言永远无法完全自动化的,因为审计工作在很大程度上是依靠人的经验的工作,人的经验、判断与估计能力是不可能完全被写进程序这中。而且在与被审单位的现场沟通与交流的过程中,审计人员也有可能发现蛛丝马迹,连续性审计工作虽然能够实现即时的审计,但却缺少了与被审单位的直接沟通,在这一方面可能显得不足。最后,掌握数据分析的能力。审计人员掌握一些数据分析工具,可以有效地统计与处理大样本数据,进而探索出核心化指标。必要时,信息系统审计可利用外部专家的服务。
依据互联网体系自身的特性,本文建构出连续审计流程具体过程(见图2所示)。
网络环境下,风险监管重点领域的构建需要从时间与空间两个维度实施风险的监控,时间维度的核心在于互联网经济体系的周期效应考察的便利性;空间维度具体是在一定时限内,风险在相互关联的企业间分布状况,核心在于对重要系统机构的监管。
配置连续审计参数目的在于明确、计算以及测量关键性指标,为以后持续性跟进与反馈工作的开展奠定基础。鉴于网络环境下对风险监管工作的要求,本文选取风险指数持续评估法对连续审计指标进行配置,具体可以分为三个步骤,如图3。
连续审计指标配置步骤第一步就是确定风险指标,风险指标主要是指量化与活动相关的控制有效度(或是潜在威胁),须针对所构建的重点领域去确定风险指数;接着是核算指标参数,该步骤旨在量化风险系数,确保其成为具有一定意义的数据,从而反映出控制体系的有效性;评估指标参数目的是可以明确地反映出来一些潜在的控制缺陷,可以借助于安全区间或者是设定临界值的方法去强调风险指标的状况。
持续跟进是一个动态化变动的过程,其需要在风险实际态势的基础上审时度势,参照风险的评估结果,当风险处于红灯区或者是黄灯区,或某个风险指数超出了临界值且严重影响到整个财务评估风险时,就需进行持续跟进。持续跟进旨在展开深入化审计程序,进一步评估与分析各项风险对整个企业内部控制可能造成的结果,进而得到更为充分的审计数据。在持续跟进流程中,审计师需要将互联网系统风险的传染效应考虑在内。
结果反馈旨在实时与被审计单位沟通,审计结果的重要体现形式是审计报告,审计报告同时也是重要的沟通媒介,可以参照美国审计署GAO提出的风险预警监控报告,而后对被审计单位的连续审计进行结果反馈。而确立风险的标准可从以下几方面进行:确定风险的来源;从定性与定量两个角度去考虑风险可能带来的损失;依据审计职业进行判定;考虑互联网安全监管机构计划或者是正在执行的措施是否有效。风险预警报告需要包含:列入风险领域的缘由、审计建议、审计发现以及审计报告等。
1.顾建光. 当前金融风险防范与审计策略研究.审计研究.2004(5)
2.陈景,陈苏广. 金融风险防范与金融审计.经济研究导刊.2007(2)
3.许莉. 国家审计维护金融安全的作用机理与制度创新.审计与经济研究.2010(5)
4.蔡利,何雨,王瑜. 连续审计在政府审计维护金融安全中的运用研究——基于系统性风险监控的视角.审计研究.2013(6)
5.尹蘅.网络环境下的审计新模式:连续性审计.中共福建省委党校学报.2007(4)
6.陈林. 互联网金融发展与监管研究.南方金融.2013(11)
7.李有星,陈飞,金幼芳. 互联网金融监管的探析.浙江大学学报(人文社会科学版 ).2014(4)