范莉莉
AIS是会计信息系统的简称,AIS审计指采用客观的标准和相关审计准则,利用计算机技术和信息技术手段对会计系统设计、开发、运行、系统维护等全流程活动开展完整的、有效的检查与评价工作。
在企业对信息技术应用范围逐步扩大的背景下,财务共享、云会计等信息化手段都得到普及和应用,网络安全和数据库安全都成为业界关注的重点,在此背景下,许多会计师事务所逐步实施信息系统审计。当前,会计师事务所获取被审计单位信息的手段仍以人工方式为准,利用人工方式从服务器的接口处获取,对那些已经成立财务共享中心等云服务企业IT审计仍然围绕最基本的审计内容,如对系统漏洞的检查、对系统安全性的检查等。可以看出,外部审计对于云会计企业来说相对滞后,在云会计审计方面还有许多问题需要解决。除此之外,在已经构建财务共享中心的企业中只有为数不多的企业在内部审计中设置专业的IT审计部门或者审计人员,大部分企业没有引进专门人员对会计信息系统进行系统漏洞检查、系统安全维护和开展数据审计与数据鉴别等工作。有的企业建立的业务管理系统和其他的系统如资金处理系统等互相不兼容,造成数据在抓取与数据导出时面临一定难度,并且财务人员没有办法进行解决。
不仅如此,建立在虚拟云端服务基础上的云会计信息系统在为用户提供的“按需定制”服务,会造成用户在定制并使用AIS产品时具有一定的差异性,在进行审计时,会计师事务所的审计人员要对每个被审计单位的基于云会计的AIS采取具有针对性的整个流程的审计工作,这既会增加审计工作量,还会由于受技术手段约束导致有些AIS审计工作难以完成。
1.配套的审计法律法规不健全
我国的信息系统审计特别是AIS审计的理论和实务工作发展历史不长,开展系统研究的时间也有限,因此相配套的立法与规范体系尚不完善,行业标准尚未确立。同时,在大数据背景下,用于审计的新兴信息技术如云会计计算技术、“互联网+”技术发展迅速,审计部门未能及时出台相互配套的规章制度对AIS进行规范管理和规范约束。
2.审计部门的人员体系不健全
基于云计算的AIS审计和传统审计相比,应用的主要手段为先进的信息技术,并以此为基础开展审计工作,如审计工作者既需要对包含财务数据的AIS进行有效的内部控制,需要对AIS数据加密技术和相应信息系统接口对接的安全性进行审计,还需要审计人员具有利用数据挖掘技术与联机分析技术在企业繁琐数据中高效筛选出审计所需的数据信息来保证审计证据的完整性和准确性。这也就对审计人员在综合业务素质上提出了更高的要求,要求审计人员既需要掌握财务、审计知识,还需要掌握计算机技术。在目前我国人才培养体系下,尚未建立传授计算机知识与审计理论知识的专业,造成审计行业复合型人才需求与培养不匹配的矛盾。
另一方面,有些审计人员对AIS审计在认识上还有误区,不够全面和深刻,和传统审计手段相比,AIS审计所起的作用只相当于利用计算机对数据进行搜集。在开展AIS审计过程中,审计的主要内容大多集中于会计核算技巧方面,多为事后审计,未将对AIS自身的检测与相配套的控制测试融入到审计工作中去。审计人员没有将AIS审计作为一种全方位的审计手段,也没有将其渗透在被审计单位的流程中。没有意识到AIS审计对系统控制的重要作用,因此未能发挥AIS审计在源头上控制风险的作用。
3.审计部门技术支撑不够
审计机构要想对企业进行有效的AIS审计,离不开相应的技术支持,如AIS审计系统的硬件设施、系统软件及应用程序等。当前我国计算机技术发展速度滞后于AIS审计速度,发展水平还无法完全满足AIS审计技术要求。当前在用的AIS审计方法还比较简单粗放,仍然围绕传统的审计程序进行事后审计,如利用询问、观察与检查方法进行内部控制测试,并检查内部控制设计、内部控制执行的有效性。基于云会计的虚拟化水平在传统内部控制测试方面具有较大挑战,单纯利用检查手段和检查流程的变更无法取得动态变化的有效审计证据,还未实现理想化的在线审计与实时审计。所以,审计机构必须建立相配套的技术体系,和云计算相对接,提取有价值的审计证据并进行分析,以和不同的被审计单位实际相适应。
“互联网+”时代基于云计算的AIS审计和传统审计手段相比,主要体现在开放性特征、共享性特征、多元性特征和敏捷性特征方面,可以对企业的内部控制起到优化作用,同时也会增加AIS内部控制过程存在的风险。AIS审计需要对被审计单位AIS运行的有效性、处理数据的效率及数据处理的安全性进行衡量,而AIS内部控制体系的确定、体系的实施和进一步规范则是衡量这些要素的主要参考。针对基于云计算的AIS技术发展速度快、版本更新快的特点,以往传统的IT审计标准难以和当前审计要求相适应,在对被审计单位AIS进行一般控制和应用控制时需要利用新的评价方法,避免出现漏错舞弊现象,以更好地对内部控制进行有效评价与内部控制设计。
AIS作为企业信息管理的核心组成部分,内部控制可以分为两部分:AIS一般控制和AIS应用控制。AIS应用控制又分为输入控制和输出控制两个过程,在这两个过程中,需要对企业内部资料安全性和保密性引起足够重视,还需要审计人员在履行审计程序时格外关注。一方面,会计人员录入到AIS系统中的所有财务数据的真实性与完整性都需要审核和控制,在这个环节会导致会计信息真实性的缺失或者真实性的短缺。如果出现上述情况,对企业内部依靠数据进行决策会产生严重影响。另外一方面,“互联网+”背景下网络具有开放性特征,这种情况下财务人员通过AIS将财务数据资料、账目等上传至服务器,这样就会使得基于云计算的存储器存在黑客和病毒攻击风险,容易导致数据和信息的丢失。如果企业关键性财务数据遭到泄露或者遭到攻击,甚至流落到竞争对手手中,则会给企业发展带来灾难性的打击。所以,对企业进行AIS内部控制也同样重要。从实际情况看,使用云会计和财务共享等先进信息技术的公司内部控制大多存在缺陷,内部审计的职能也存在明显缺失,表现为未设立专门人员对AIS内部控制情况进行检查、没有专门人员进行监督,造成企业内部控制功能得不到有效发挥。虽然有些企业在内部成立了IT审计机构,对企业信息系统进行审计,但是没有形成统一规范的专业化内部控制审计流程和审计程序,需要继续对内部审计体制进行完善和丰富。
目前,会计师事务所在进行AIS审计时,对审计证据的获取主要依靠审计单位和与之有关联的企业进行,在云计算基础上的AIS审计证据来源广泛、数量庞大,既有来自被审计单位的证据,也有来自AIS云供应商和第三方评估机构的审计证据。随着技术的发展,云计算基础上的财务软件应用范围越来越广,数量众多的大型公司都着手准备财务共享中心平台的搭建,也增加了财务软件供应商的数量和业务范围,各类新型AIS产品陆续问世,为企业选择AIS产品提供了更多的空间和选择余地。
AIS云供应商依靠产品为企业提供服务,企业只需要支付相应的服务费用,不需要支付在提供服务时涉及的有关基础设施建设、技术框架构建、维护人员行为的费用。由于在研发AIS产品服务过程中存在一定的隐患,在网络传播速度、网络传播安全性等方面都会产生一定的影响,要求审计机构从服务商处获取和内部控制有关的审计证据。但是,审计证据可以从多种渠道获取的特征也让企业在实施AIS程序时复杂程度更高。加上企业基于云计算基础上的AIS审计模式具有动态变化性,产品供应商在企业特定需求基础上定制相应的AIS产品,这就有别于传统模式下的财务软件环境。在传统财务软件操作时,审计人员能够对系统的界面、数据库类型、产品的版本都能有所掌握,在云计算“按需定制”模式下会呈现动态变化特征,造成系统内部各个关联模块划分界面模糊,钩稽关系复杂,用户对数据库和操作系统的运行情况掌握不足,让审计环境更加复杂和难度增加。所以,在供应商之间存在的这些问题都让企业对审计机构的可信性产生波动,并且由于目前没有对AIS产品可信性评价方面形成共识,企业只能根据产品的品牌、产品信息、使用效果评价等因素对AIS产品开展评价。这种情况下,对AIS产品选择时也具有一定的盲目性,选择产品方面存在较大风险,如选择的产品在用户对系统的可靠性、安全性、易操作性方面存在薄弱之处,容易产生故障。企业在选择AIS产品时很难获得充分的可信性证据,审计机构也没有在可信性评价方面建立专业的评价体系,提高了云计算基础上审计工作的难度和复杂性。
第一,需要结合行业的需求对AIS审计建立完善的规范体系,这既是AIS审计的基础,同样也是AIS审计得以发展的动力和推动力量。在当前的“互联网+”背景下,规范的AIS审计体系既有对体系的实施标准、系统安全运营标准,还包括审计人员所具备的从业资格,可见,在网络环境下必须强化AIS审计有关法律法规的建设。AIS审计的大部分审计证据,例如企业合同台账、凭证扫描都是电子版的,利用网络规范体系确保系统操作人员在开展审计时做到有章可循、有法可依。由于信息系统的运行必须置于网络环境下,由电子政务、电子商务等构成了全局性的信息系统,现行的业财融合系统下,AIS审计涵盖的内容不仅有审计系统自身,还包括所涉及的全部内容,因此,建立审计规范体系时不应该只停留在系统审计层面,还应该和网络环境、配套体制和行业发展特点相匹配。
第二,构建成熟的AIS审计人材培养体系。加快审计发展、提高会计师事务所审计质量需要高素质的专业人才,这就需要在部分高校开设相关专业进行综合素质人才培养,特别是要将理论学习和计算机学习有机结合起来,从学生阶段开始培养;也可以通过专业的审计师执业认证资格考试加速信息系统审计体系的建设;政府层面可以制定审计人才培养的目标和路径,从理论培养到实践操作都形成完善的信息系统审计知识结构与人才培养体系。
第三,加大研发力度,建立具有世界先进水平的AIS审计技术。可以重点从一体化审计平台的建立入手,在完成建立在网络基础上的通用性信息系统审计平台建设后,利用AIS审计系统通用化和一体化功能,将各种类型的信息系统数据进行标准化和集中化处理,并以统一的审计标准、程序、方法进行审计。然后,构建内容丰富的结构化的审计知识库。而审计流程的制定则是将通用的具有专业权威的审计理论、规则录入审计系统中,形成完善的具有较高标准的审计分析流程,进而得出相应的审计建议与审计结果。
为确保AIS内部控制审计体系安全平稳运行,必须强化AIS内部控制审计体系建设,需要加强对信息系统各个模块的安全性、可靠性、内部控制手段等开展评价与考核。特别是在网络时代,使用AIS系统的人员涉及面较多,如系统开发人员、使用人员等,这就需要企业构建起由全员参与的信息系统内部控制审计体系。基于云计算的AIS在进行系统设计时,虽然在设计层面和技术层面都做了性能改善工作,但离企业运行需求还有一定距离,企业应该立足审计实际情况,充分利用AIS组织形式及结构特点,在对业务处理流程进行优化的基础上,发挥其信息处理优势较好的对企业风险进行规避。通过不断完善和AIS体系相适应的切合其自身特点的内部控制制度,更好地实现企业的信息安全和资产安全,确保经营目标有效实现。
会计信息化进度不断推进,云供应商在提供数据的可信度、安全性和数据隔离方面对信息环境下审计工作提出了新的挑战。用于财务共享服务的基础设施都处在云会计供应商的掌控下,用户对审计系统的开发及系统设计层面的内容掌握不多,主要是依靠审计人员对会计服务的掌握程度开展审计工作,不仅不利于工作,还会消耗较多的时间和精力。加上IT审计人员对云会计的技术思路和技术理念设计掌握不清,对抽样结果的准确性难以做到准确评估。这就需要由外部专家或者第三方评估部门对AIS可信度开展度量和评价。评估机构需要对用户的信息技术环节和提供云会计供应商的资质、技术水平、云会计基础的建设等情况做到清楚掌握,并就用户对AIS的使用做到精准量化,包括对数据输入、信息处理、数据处理等环节的熟悉程度和期望值,在此基础上构建起AIS可信性度量模型,对AIS可信度进行科学有效的度量,从定性和定量两个角度表征出不同类型产品的差异性,让用户即使没有专业化的知识也可以对AIS产品进行综合性评价,并进行产品的选择。
目前国内外对AIS可信性度量方面的研究较少,我国学者程平教授对此研究较为深入,通过研究分析,程平教授首次建立了较为成熟的基于云会计环境的AIS可信性度量模型,因为AIS模块之间的业务信息具有相互勾稽的特点,彼此之间互相关联,没有办法进行单一的度量,因此在建立可信性度量模型时,程教授利用设计结构矩阵的有关知识对各个属性彼此之间的关联程度进行分析,并就各个属性对AIS整体可信性的贡献大小进行了计算。他利用设计结构矩阵这一分析工具,把每个具体的功能模块都看作能够复用的部分,对各个模块都进行可信属性计算,利用AIS可信属性之间的关联性和可传递性,最终建立起基于云会计的AIS可信性度量模型。比如,基于云会计的AIS可信属性具有可用性、安全性、可靠性特点,其中系统的安全性和可用性、风险可控性具有正相关关系,对上述可信属性之间存在的相互关系之间进行分析与度量后,审计人员便可以利用建立模型计算结果的精准数据对使用系统的用户开展准确审计,以降低审计风险。
利用云计算技术能够实现计算机技术和企业管理工具的有效结合,更好地为审计信息化建设奠定基础,确保在“互联网+”背景下不断提高审计工作效率和审计质量,也使在审计过程中减少人力资源、提高审计效率。信息技术的不断发展衍生出信息审计手段,如审计私有云和审计分析云工具的出现和使用。审计工作涉及海量的数据,蕴含巨大的信息量,难以保证数据信息的真实性和安全性。审计人员借助计算机技术使用审计私有云,集合审计数据、数据计算方法、计划方案和计算流程等信息于一体,搭建起综合性系统平台。在平台使用过程中,能够按照用户的特定需求对审计信息进行具有针对性的系统处理,对数据收集、凭证抽查等基础性工作进行流程简化,降低审计时间,提高审计效率。建立审计分析云时主要是参考不同用户的各类需求,对特定的数据进行分析和总结,利用建立的模型对用户的需求提供可以参考的审计结果,由于审计结果处理方法较为规范,能够避免出现审计结果不准确的情况。在审计工作的后期还会面对数据信息庞大、计算方式繁琐的问题提出相应的改进对策和改进意见。
目前我国基于云计算的AIS审计技术还处于发展初级阶段,但是具有较大的发展潜力,既使我国信息系统审计工作得以快速发展,也为我国下步审计信息化的发展指明了道路,在信息化审计方面具有较大影响。随着信息化的发展,审计数据会更加多样化,审计理念会更加超前,审计信息的应用会更加广泛,大数据技术会更加带动审计信息化的发展。通过信息系统审计技术能够通过更多的渠道和方式寻找到审计线索、获取审计证据,通过对审计数据的信息化分析还可以发现数据之间存在的关联性,并建立关联模型,利用数据变化趋势预测审计结果,进行事前审计。另一方面,以大数据和云计算为代表的信息技术对信息化审计工作人员的审计思维也产生了重要影响。相比传统审计模式下舞弊现象普遍的情况,利用信息技术进行审计时就能避免由于抽样调查产生的高审计风险。在各个领域得到普遍应用的云计算技术让审计人员的审计范围涵盖到所有的数据信息,变革了传统的审计流程,能够更好地发现问题本质,提高审计质量和审计效率。