肖芬
【摘要】随着信息技术的不断发展应用,大数据时代已悄然来临,对经济社会的各个行业产生了重大影响,大数据为CPA审计提供新思路新方法的同时也带来了新的问题及挑战。文章从介绍大数据审计工作流程入手,在分析了大数据对CPA审计影响的基础上,对大数据背景下的CPA审计风险进行研究,并提出相应的防范措施。
【关键词】大数据;CPA审计;审计风险
【中图分类号】F239.4;F812.4
2011年美国著名的管理咨询公司麦肯锡首先提出了“大数据”概念,使得这一名词受到人们的高度关注。大数据的出现对CPA审计工作产生了很大的影响,要求CPA必须转变传统审计思维,通过收集经济社会相关部门的海量数据,利用数据挖掘等先进的技术方法对大数据进行分析,减少主观因素的影响,以获取审计证据,进而出具恰当意见的审计报告。本文结合CPA审计工作的特点,研究大数据对其产生的影响及带来的新风险,旨在促进新环境下的审计工作进一步顺利开展。
一、大数据审计流程
大数据环境下的审计工作不同于以往的现场审计需要CPA亲临被审计单位获取信息,它是一种远程审计模式,可以通过远程连接的方式从被审计单位及相关部门采集大量的电子数据,并对其进行识别、剔除、分析,可以实现数据的实时、动态传输,实现连续审计,提高审计工作的效率,大数据审计工作流程大致包括以下四个过程。
(一)数据采集
需要采集的电子数据包括被审计单位内部数据以及外部数据。其中,内部数据不但包括财务数据,还包括非财务数据,比如可以通过获取被审计单位的内部控制制度,了解其制度设置上有无漏洞,是否会影响其财务数据的真实性及正确性。为了更好的体现大数据优势,并体现审计数据的全面性,需要获取更多外部单位的数据,比如税务、工商、社保、网页、媒体报道等,以实现和被审计单位数据进行比对并发现问题。
(二)数据处理
在數据采集过程中,不同于传统审计模式获取的审计数据都是结构化数据,大数据审计获取的审计数据大部分是非结构化数据,因此数据处理就显得尤为重要,处理方式有实时处理及先储存后处理两种。在云会计产生之后,使实时数据处理成为可能,目前,大部分数据处理方式采用的都是后者。
(三)数据分析
在数据处理基础上,对所有数据采用多种分析方法进行数据分析,如SQL、可视化技术、云计算、数据挖掘、Python等,以发现相关数据之间的勾稽关系。
(四)获取审计证据,出具审计报告
通过数据分析所得到的结果,CPA利用职业判断从中获取所需审计证据,发表恰当的审计意见,并出具审计报告。具体审计工作流程框架如图1所示。
二、大数据对CPA审计的影响
(一)审计抽样被全样本审计取代
传统模式下,由于审计手段受限,出于成本及效率的考虑CPA大多采用抽样方式开展审计工作,但是在对样本选取时由于判断失误导致所选样本不能反映总体情况时就会导致审计风险的增加。而在大数据模式下,可以掌控被审计单位的全部数据,通过对终端数据进行读取即可获得海量数据信息,CPA在对这些数据进行整理和分析处理之后,不仅能够获取被审计单位生产经营状况信息以增强对其进一步了解,而且还能满足其数据透明化的需求,针对数据信息进行全面整合,审计的抽样方法逐渐向全样本审计转变,提高会计师事务所审计效率同时也降低了审计风险。
(二)降低信息不对称风险
在CPA审计过程中,审计业务的三方关系之间可能会由于信息不对称导致主体之间出现逆向选择及道德风险。站在利益相关者及CPA的角度,由于审计人员更擅长读取和分析被审计单位的财务信息,因此就面临虚假审计及违规披露的道德风险;对于利益相关者和被审计单位之间,由于现代企业的两权分离,管理层受托管理企业,出于表现受托责任履行情况良好的需要,可能会粉饰财务报表损害利益相关者的利益;CPA与被审计单位之间,由于审计收费的影响,会计师事务所往往处于信息劣势,可能会被隐瞒信息。在大数据时代,由于数据的可视化程度提高,审计业务有关各方对企业的生产制造或审计收费等数据都可以通过各种途径获取,信息不对称风险可能会逐步降低。
(三)持续审计成为未来趋势
传统的CPA审计一般是被审计单位在年度终了后将编制完成的财务报表交由CPA进行审计,由其对报表的真实合法性进行评价以纠正错误及挽回损失,这种事后审计模式消耗时间且效率低下,不能及时发现企业日常工作中出现的问题,无法发挥审计的事前预防及事中监控的作用。大数据背景下的CPA审计,可以将被审计单位的数据实时传输到大数据审计工作平台,以便CPA及时发现当前操作中的问题并对错误进行纠正,实现事前、事中、事后三位一体的持续审计,如图2所示。
事前审计主要是通过数据监测技术评估被审计单位的内控有效性,并通过模拟运行系统按照事前预置的流程生成风险评估报告,以起到事前预防的作用;事中审计阶段借助风险识别技术对被审计单位各类交易和事项进行持续监督,判断业务结果的正确性、合规性及完整性,对于提示的风险发出审计预警,促使相关人员及时纠正;事后审计通过专业的数据分析软件对采集到的原始数据进行转换、清理和验证,利用智能评价技术对审计疑点进行汇总,并将结果上传至大数据审计工作平台,为今后的审计工作提供参考和借鉴,形成持续审计闭环体系,以节约审计资源和优化审计程序。
三、大数据环境下CPA审计风险分析
(一)制度风险增加
目前,我国还未出台针对大数据审计相关的法律法规,大数据审计尚无规范体系的审计准则作为指引。虽然审计署在2016年的《“十三五”国家审计信息化发展指导意见》中重点强调了大数据审计是未来审计信息化发展的大趋势,并要求探索使用大数据技术开展审计工作,但这仅仅是一些原则性的指导意见,对于具体的业务层面,如大数据审计应遵循的审计准则,如何开展审计等实践环节尚无明确的规定,使大数据审计工作开展没有制度保障,这就增加了大数据审计的制度风险。
(二)数据采集风险
1.采集的数据量大
大数据环境下需要采集的有关被审计单位以及相关部门的数据存在着广、多且杂的问题,这是大数据审计面临的首要问题及挑战。虽然采用信息化系统进行数据采集比较方便,但是在采集过程中,未经提炼以及分析的原始数据非常庞杂,这就给后续的数据传输和存储带来诸多问题。
2.采集的数据质量难以把控
采集到的审计数据质量是数据处理以及分析工作的基础,也是决定审计工作成败的关键,数据的真实完整性显得特别重要。但是在数据采集过程中,CPA所获取的数据大部分是由被审计单位提供的,如果在报送过程中,人为蓄意将一些违规数据进行隐瞒不报、选择性报送或者粉饰数据以达到某种目的,CPA难以通过技术手段发现,在此基础上开展的审计工作必然偏离正确轨道。除此之外,大数据环境下的审计数据除了包含传统的结构化数据外,还包括很多非结构化数据,这些数据的质量参差不齐,无形中也加大了审计风险。
3.数据采集接口等不统一
目前,大多数企业采用的财务软件都没有配备专用的审计数据导出接口,即使有些软件有导出接口也存在输出数据格式不统一等问题,这给大数据审计工作的开展带来了不便。并且由于大数据环境下需要采集的数据来源非常广泛,涉及社会上的许多部门及企业,但是尚未建立统一的数据共享平台方便审计人员采集数据。
(三)数据存储安全性风险
由于各方面条件限制,目前实时处理分析数据还不能实现,对于采集到的数据需要先储存再处理,因此审计工作又面临数据储存安全性风险。大数据环境下,大多数的审计数据存储在云端,而网络是一个复杂的环境,虽然可以给审计工作带来一定的便利,但是也需要承担相应的审计风险,如果存在网络漏洞的话,就会给黑客提供机会去攻击网络数据,造成数据缺失或篡改,影响审计数据的安全。并且在所有采集的数据中,有一些可以直接或间接反映被审计单位的商业机密等敏感信息,一旦被黑客获取到就会导致重要信息泄露,给其带来严重后果。此外,CPA在下载、传输、共享审计数据时,有时会忽略数据安全的重要性,也会导致数据泄露等风险。这就给大数据下的审计工作提出了更高的要求,需要有贯穿于审计业务周期的数据采集、处理、分析等环节的大数据储存安全保障。
(四)数据分析取证风险
在大数据环境下如果还是依赖于传统的Excel以及审计软件等简单的工具对庞杂的数据进行分析显然难以达到目的。目前,随着新兴技术的发展,虽然新型的分析工具如数据挖掘及网络爬虫技术等逐渐应用到审计工作中去,但是由于大数据的复杂性等特点,现有的数据分析工具尚不能满足大数据审计的需求。虽然大数据环境下采集的审计数据比较全面,使得数据匹配的广度有所提高,也减少了由于数据缺失不全导致的风险,但是数据匹配的精确度会降低。并且由于数据来自不同单位,难免会出现审计分析取证时数据遗漏,从众多数据中确定分析的重点以及数据之间的勾稽关系也是比较困难的。
(五)审计人员能力不足风险
随着大数据时代的到来,新型的审计思维与审计方法对审计人员提出了新的要求,但是目前大多数事务所的审计人员都是财务专业毕业,只掌握如风险评估程序、控制测试与实质性程序等传统审计理论,对于大数据分析方法,如数据挖掘、SQL语言、云计算等数据分析能力不足,这大大限制了会计师事务所的业务承接并且降低了审计效率。即使有一些审计人员开始萌发了大数据审计的思路,但是还是局限于传统的审计思维,对部分审计数据进行关联分析,未将其与大数据审计思维结合。
四、大数据环境下CPA审计风险防范
(一)强化顶层设计,加强制度保障
现阶段,我国的大数据审计制度与准则滞后于审计业务的发展,现有的大多是一些指导性的文件,缺乏实际操作指引,政府应该抓紧出台大数据环境下的审计准则及审计标准,明确大数据审计的操作流程及方法,为审计人员在实践中“做什么”“怎么做”提供政策指引,也为我国审计信息化建设指明方向。同时,对于信息化时代出现频率较高的电子商务模式,应制定相应的法律法规规范其业务行为,对于数字认证机构是否具备认证资质进行严格审查,为大数据审计工作创造良好的外部环境,保证审计工作的顺利进行。
(二)采用多种数据采集方法保障数据质量
在大数据审计过程中,应结合不同类型的被审计单位采用丰富的数据采集手段。对于经营场所相对固定、数据量少的被审计单位可以采用远程数据传输的方式,在对数据进行加密的前提下进行远程采集;对于经营场所比较分散、数据量较大、传输要求的条件比较高的单位采用定期数据报送与远程数据传输相结合的方式。对于重要的、保密级别较高的数据,由专人负责报送,报送前,应确认数据的格式确保符合审计人员的要求,并对数据进行加密,通过移动存储设备进行拷贝,对于其他数据可以选择远程数据传输方式。
审计数据产生于被审计单位的信息系统,其质量好坏取决于信息系统的安全性。因此在审计前,应先对其信息系统安全性进行评估,确认系统是否存在漏洞,有无被黑客攻击的风险。还可以利用网络爬虫技术,结合被审计单位的内部数据与外部数据,分析判断是否存在数据报送不全、故意漏报、瞒报的情况。
应规范不同行业、企业的财务软件数据输出接口,保证输出数据格式统一,这样审计人员在数据采集时,就可以简化审计工作流程,提高审计工作效率。同时,对于审计软件也要打破市场壁垒,统一软件输入接口,有利于输入不同类型数据。
(三)提高数据存储安全性
在审计过程中,审计数据在采集之后由审计人员在审计软件中进行调用分析,因此审计软件的安全性至关重要。首先,要提高审计软件的抗病毒能力,及时对其进行更新升级,防止病毒入侵;其次,针对数据的敏感性及重要性不同进行分级管理,对于一些开放性、基础性的数据可以开放其查询、调用权限,对于被审计单位的数据可以开放其负责审计的项目组成员权限,对于一些商业机密则需要重点保密,将其放入隔离区域,未经授权不得查阅;对数据的传输要注意加密,针对不同保密级别的数据,可以设置不同程度的密码,防止数据在传输过程中被破译从而导致数据泄露。
(四)丰富数据分析取证手段
对采集到的审计数据进行分析,获取审计证据是检验CPA业务能力的关键。大数据环境下,可以采用新型分析方法与传统方法相结合,比如电子函证、数据之间勾稽关系测试等方法对大数据进行分析。由于审计人员大多是会计或审计专业毕业,对数据分析并不擅长,如果由其进行数据分析往往发现不了隐藏的问题,面对这一现实问题,会计师事务所可以选择性的将部分数据分析业务外包,由专门的分析机构去做,将其分析结果进行整理、汇总,再由CPA利用其职业判断去获取审计证据,往往会收到事半功倍的效果。
(五)提升审计人员的大数据审计能力
首先,会计师事务所应加强对审计人员的培训,由于云计算和大数据的广泛应用,为了应对信息化工作的要求,培训重点应是大数据应用及分析能力,特别是对于年轻的项目经理,接受新事物能力比较强,争取在短时间内培养出一批适应时代发展的复合型审计人员,使其由“专才”向“通才”转变;其次,利用社会上的大数据分析专家整合会计师事务所现有资源,組建大数据分析专业团队,定期进行交流互通,对于工作中遇到的问题及时进行沟通;同时不要忽略审计人员的职业道德意识,在互联网环境下数据的传输泄露与篡改造假等更容易实现,因此,在强调对审计人员进行职业能力培养的同时更要关注其职业道德。
主要参考文献:
[1]陈伟.大数据环境下的联网审计风险控制研究[J].中国注册会计师,2018(9):58-63.
[2]陈国翰.浅议大数据时代的审计风险防范路径[J].信息化建设,2018(1):44-48.
[3]孟超,李雅丽.大数据背景下云审计风险及其防范[J],合作经济与科技,2017,(7):98-99.
[4]朱晓虹.企业财务大数据财务管理[J].国际商务财会,2018,02:73-75。