陈耿,郑晶茹,韩志耕
(1.南京审计大学 会计学院 ,江苏 南京 211815; 2.南京审计大学信息工程学院, 江苏 南京 211815)
20世纪70年代以来,随着信息技术在企业财务系统领域应用的不断扩大,中国企业财务系统由会计电算化时代进入财务管理软件时代,会计信息化日趋成熟,审计也随着其内容的信息化发展而开始了信息化进程。21世纪初安然、世通公司财务舞弊案发生,人们开始将更多目光投入到信息安全上来,美国随之出台SOX法案希望加强审计,以维护投资者利益。2002年以来,国家“金审工程”项目如火如荼地展开,为了更快推进“审计全覆盖”的目标,发挥好审计“治已病防未病”建设性作用,将信息技术与审计结合是必然选择,也顺应了审计发展的时代需求。
如今,互联网潮流涌动、信息技术迭代发展,新经济、新技术、新业态、新模式不断涌现,这些信息技术不断地给审计赋能,极大地推动审计发展。例如区块链技术,2008年其作为新型数字货币——比特币的底层技术随之诞生。因其可通过密码学和分布式存储技术,连接组织各部门及各经营活动流程,让每个环节、活动、信息都透明化且可追溯,实现数据、账本公开且不可篡改、不可抵赖,而越来越受到企业管理者和财务、审计从业人员的重视。在上海国家会计学院主办的“2019,影响中国会计从业人员的十大信息技术评选”活动中,区块链发票首次上榜便跃居第八,可见其日益提升的重要地位,以及其在财会领域未来的发展趋势。2019年,德勤在其官网上以《数字化时代下商业银行智慧审计应用与创新》为名发布了8篇文章,主要介绍了其在数字化时代中运用机器人流程自动化(RPA)、自动语音识别(ASR)、文字识别(OCR)、网络爬虫、自然语言处理(NLP)、知识图谱、复杂数据分析等人工智能技术帮助客户进行数据分析、自动化处理、风险洞察,实现智能审计的运用。
信息技术不仅改变了审计的技术与方法,整个审计系统的职能、范围、内容、对象、模式、方法、手段等都发生了革命性改变。本文主要通过12个不同的侧面,分析信息技术对审计产生的各种影响,更好地了解现代审计的发展现状及未来发展趋势。
随着信息技术不断趋于成熟完善,越来越多的新型技术运用到审计实务领域,助力审计工作的进一步完善。自2002年“金审工程”的开展,中国的审计信息化道路不断拓展、进步,审计效率、效果也因此大幅提升。根据审计信息化在不同时期采用不同的信息技术,可以将其分为不同的阶段。
在经历了纯手工审查的传统审计,以及初步运用基础办公软件帮助加工和处理审计数据、提高效率的计算机辅助审计后,陈丹萍认为,审计人员可通过在线审计、数据挖掘和网络通信技术,对被审单位进行实时动态监控和自动分析,从而实现在线审计[1]。秦荣生认为,大数据时代具有数据体量大、数据种类多、处理速度快、价值密度低但商业价值高等特点,审计人员应运用分布式拓扑结构、云数据库、联网审计、数据挖掘等新型技术,进行数据挖掘、数据存储、数据处理与分析,以提高审计的效率,实现大数据审计[2]。周迟认为,组织可基于可扩展商业报告语言 (XBRL)等技术,通过云计算、数据云存储、资源云协调,建立风险导向云审计模型,处理大数据时代下的全量数据、即时数据,从而实现云审计[3]。这些都是大数据审计的产物及其衍生。
薛开诚等认为,区块链技术由于其去中心化、不可篡改、透明性、匿名性、共识机制等特点,在基于大数据审计“数据垄断”和“数据孤岛”的弊端下,可保障审计信息的真实性、安全性,提升审计效率效果,实现区块链审计[4]。李源等运用网络爬虫、大数据识别、机器人流程自动化获取数据,自动语音识别技术、文字识别技术处理数据,机器学习、K-Means聚类算法分析数据,以建立基于智能Agent技术的内部审计模式以及基于数据挖掘的智能审计应用[5]。
随着信息技术在审计实务中的不断深入,审计从传统的人工审计、计算机辅助审计发展为现在的大数据审计、区块链审计以及未来的智能审计。信息技术不断完善了审计技术,提升了审计效率,加强了审计效果,可见信息技术对审计带来的影响是巨大而深远的。
信息技术在审计工作中不断渗透的同时,也必然给审计的各方面带来颠覆性的影响。对于信息技术对审计产生的影响,不同学者从不同角度有不一样的理解。秦荣生针对上述影响提出了强化大数据、云计算技术在审计方面应用的建议[2]。Earley通过大数据环境下数据分析对审计带来的各方面机遇和挑战论证了信息技术对审计的影响[6]。阳杰等从审计证据的角度,从审计证据特征、审计取证思维、审计取证风险等方面,论证了大数据对审计的影响[7]。信息技术对财务报表编制和企业内部控制产生影响,审计师将面临着业务流程和内部控制运作、与信息系统相关的审计风险、审计内容改变、审计范围扩大、审计线索隐形、审计技术有待升级、审计人员知识结构薄弱、团队协同工作松散等方面的挑战[8]。肖振东指出,审计与大数据紧密结合,产生了新的审计业务类型,增加了审计专业间的协作,推动了审计的创新发展,为实现审计全覆盖、审计组织方式“两统筹”提供强大支撑,大数据审计思维帮助审计强化推进国家治理体系和治理能力现代化的职能作用[9]。
相关文献显示,大多学者都只是从某几个侧面对此展开研究,并没有系统全面地对其影响进行讨论,本文将从12个不同的侧面全方位、多角度地展开分析。
1983年9月国家审计署正式成立,《国务院办公厅关于印发审计署主要职责内设机构和人员编制规定的通知》(国发办〔2008〕84号)指出审计的职能为“对国家财政收支和法律法规规定属于审计监督范围的财务收支的真实、合法和效益进行审计监督”。由此可见,传统审计主要集中于事后的审计[10]。
2002年7月,国家计委正式批准“金审工程”,国家审计开始了信息化建设。信息技术提升了审计能力,审计预警系统的出现使得审计有能力前移,使得事前、事中审计也成为可能,风险管控的能力越来越强。因此,时任审计长刘家义提出:“审计本质上是一个国家经济社会运行的‘免疫系统’。”[11]可见,审计职能已由单一的审核职能,逐步扩展到了管控职能,审计成为国家治理的一部分。2019年10月党的十九届四中全会强调:“区块链可以提升社会治理智能化水平,助推社会治理精细化,推动社会治理法治化。”区块链作为社会治理的新技术,将其运用到审计工作中,可以帮助审计实现其国家治理的职能[12]。
与此同时,企业内部审计也开始利用信息技术构建风险预警模型,建立预警中心,辅助企业决策,通过对企业日常运营数据的采集和分析,及时识别风险,采取措施有效控制风险。随着信息技术的广泛应用,内部审计的职能也在不断拓展,更加关注企业的风险预警及防范,内部审计已经成为企业治理的重要组成。
传统审计主要侧重于经济范畴,即运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督,评价经济责任、鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益,是一项独立性的经济监督活动。
众所周知,电子信息由于其自身特质,极易被篡改、销毁、盗用,进而可能给企业造成无法估量的损失。例如,1999年,戴维·史密斯编写的梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,它是首个具有全球破坏力的病毒[13]。2016年,英国《泰晤士报》的一项调查显示,10万英国人被盗的信用卡信息已出现在公开互联网上,而只要花不到2.5美元就能买到这些信息。对于被盗银行,由于其信息安全保护措施不到位,其公信力大大下降,客户将失去对其信任,导致客户流失,企业经营也将面临极大挑战。此类事件的发生使得审计人员不得不将信息安全加入到审计工作的范畴。
审计人员执行工作时,需要考虑信息制度、信息科技风险、信息资产、IT外包安全管理、存储介质管理、物理设备设施以及系统、网络、数据库、源代码、应用等方面的信息安全是否满足安全合规性要求,同时也应确定系统内部相关信息安全工作的有效性、充分性和适宜性,保证数据信息的安全。
由此可见,各类信息软件系统的出现,使得企业内部审计的关注重点由传统的经济安全延伸至信息安全,信息安全已经与经济安全密不可分,相互影响。2019年,IIA《内审脉动》报告显示,来自全球大型企业70%的首席审计执行官将数据泄露引起的声誉损害列为最大的信息安全问题[14]。因此,审计的范围不得不扩展到信息安全上。
传统审计以财务数据为核心,注重应收账款、应付账款、银行存款、流动负债等财务会计数据的审计,从而评估企业财务报表存在重大错报风险的可能性,并对重要风险领域实施必要的审计程序,以此对企业财务报表整体出具审计意见、发布审计报告。
但是财务信息化以后,仅通过分析财务数据发现舞弊的难度越来越大,因此审计人员需要同时参考业务、行业等数据,与财务数据相互印证,才能保证财务信息的真实性和可靠性。例如,獐子岛扇贝在继2014年“逃跑”、2018年“饿死”之后,2019年11月14日,獐子岛集团发布公告称,扇贝非正常死亡情况可能还将持续,并且已经对其2019年的经营业绩构成了重大影响[15]。对于审计人员来说,农业类上市企业的存货审计难度较大,尤其是扇贝这种生物性资产,常因气候、环境、人为等因素影响其价值,进而造成存货跌价准备。而审计人员仅能通过财务报表了解跌价的多少,却无法知晓跌价的原因及其真实性和准确性,这给企业提供了财务造假的机会。于是,审计人员需要同时将各类相关业务信息与财务信息对比,以确定两种信息是否相互联系、相互印证,从而保证财务数据的真实性。
企业内部信息管理系统在整合财务信息的基础上,又将业务信息电子化,实现了企业资源整合。电子商务的发展与普及又进一步实现了企业内外部资源的整合。这样有利于审计人员将财务、业务数据进行比对,通过财务数据与业务数据、内部数据与外部数据相互印证,及时有效地发现问题,提高审计质量。
传统审计中,审计对象主要为纸质财务账本,以及资产负债表、现金流量表、所有者权益变动表等。随着计算机的出现到普遍应用,企业会计信息系统代替了纸质账本,企业的财务数据从传统以纸质会计凭证、账本、财务报表为载体,转化为全部保存在计算机的数据库当中。企业的大部分业务、经营数据也以电子形式保存在数据库中。
审计人员利用数据库易于存储、提取、分析的特性,在数据库中选取需要的数据信息,运用专门的程序、算法、模型等对企业各类数据进行审核、确认,以完成审计程序,提高审计效率。
传统审计由于其内容主要为财务报表审计,而会计期间分为年度和中期,因此我们只能经过整个月、季度、半年或是一年,才能获得一份完整的财务报告,从时间上来看,审计属于事后监督。而财务报告又是企业管理层做出经营决策的重要依据,会计期间越长,审计时间越晚,获得决策依据越晚,越难以及时做出应变决策。
随着实时审计、在线审计、持续审计的出现,审计人员可以将审计工作前移,由事后审计转为事中和事前审计。审计人员通过对信息系统的内部设置进行审查,以确认业务是否按照流程进行,重要业务授权设置是否恰当,是否对职位不相容进行了特别设定等,从前期规则制定角度对企业的内部控制设置及运行有效性进行事前控制,从源头防范问题的发生,进而发挥更大审计价值。同时,在线审计系统规定了特定职位人员申报特定金额内的业务,一旦相关人员越权申报,系统会自动警示,对业务实时审查,实现事中审计。
另外,审计人员可以利用大数据建立各类数据分析模型,用于预警,以提高审计效率、效果,充分发挥审计“治已病、防未病”的建设性作用,从而实现事前、事中、事后审计全时段覆盖。
传统审计由于技术等客观因素限制,审计人员只能进驻被审单位,进行现场审计,审计周期相对较长、效率不高、成本开支大、人员分散,影响最终的审计结果。
在企业的信息化建设中,日常运行相关的业务、财务、内部管控等信息全部在管理信息系统中。在此基础上,企业建设审计数据分析中心利用分析工具便可对企业数据进行远程监督和在线分析,及时发现审计线索,这样审计人员可以带着问题和线索去现场,有针对性地核实勘查,实施进一步审计程序,对问题进行确认。这种精准化审计方法,克服了传统审计中仅凭经验的盲目审查,不仅节约审计过程中的人力物力资源成本,而且提高审计效果和效率,将业务能力强、分析水平好的审计人员集中到分析中心,发挥集体智慧,现场勘查是带着问题有针对性地进行,并且与分析中心保持同步,随时得到在线支持,保证工作质量和效率,实现了“中心上移,重心下沉”的新审计方式,优化了人员配置。
传统的审计通常采用传统的手工计算方式对纸质账本数据进行财务分析,计算、筛选、排序以确定重点审计领域、重要性水平、重大异常项目,并通过重新计算、函证等方式对往来款项账龄、固定资产折旧等方面会计处理是否正确进行核实。
现代信息技术背景下,由于大多数企业都已将各类信息储存于数据库中,审计人员通常利用数据库SQL语句进行审计,有效节约了时间成本,提高了审计效率,并且可通过实时监控技术,及时为企业出现重大异常数据提供预警信号。
审计人员采用的技术手段主要有:structured query language(SQL)结构化查询语言,它是专为数据库而建立的操作命令集,用于存取数据以及查询、更新和管理关系数据库系统,它功能齐全且具有交互性特点,能为用户提供极大的便利,提高计算机应用系统的工作质量与效率[16];联机分析处理OLAP是一种软件技术,主要任务就是进行数据分析和决策支持,支持以不同的形式显示数据以满足不同的用户需要,从而使分析人员能够迅速、一致、交互地从各个方面观察信息,达到深入理解数据的目的,它具有快速性、可分析性、多维性、信息性4个特征[17];数据仓库是一个提供决策支持功能的数据库,它与公司的操作数据库分开维护,它为统一的历史数据分析提供坚实的平台,对信息处理提供支持[18];数据挖掘是指通过人工智能、机器学习、模式识别、统计学、数据库、可视化等技术从大量的数据中搜索隐藏于其中信息的过程,它能高度自动化地分析企业数据,做出归纳性的推理,从中挖掘出潜在的模式,帮助决策者调整市场策略,减少风险,做出正确的决策[19]。
因此,在信息化环境下,审计人员必须掌握3种新工具:财务分析工具Excel、业务分析工具SQL、数据统计工具Python。
传统审计查阅的审计证据由于技术的限制,合同、收据、发票、各类账簿等通常以纸质形式存在,属于有形线索。
随着信息技术的不断发展,信息管理系统开始应用于企业财务、业务等经营管理活动中,其产生的各种数据也存储于数据库、云平台中,合同、收据、发票、账簿无形化,使得有形审计线索明显减少,审计人员面对的是一个实时、数字化的企业管理系统,数据的电子化、管理的程序化、交易的数字化给审计人员的工作带来方便,提升了审计效率和质量,同时也带来了巨大挑战,如审计证据的获取、存放、分析、利用、共享等,需要通过一系列的技术手段保证访问安全、存放可靠、内容难以篡改等。例如,区块链作为一种由多方共同维护,使用密码学保证传输和访问安全的分布式账本技术,通过在交易各环节附上“时间戳”和字段代码,使点对点交易中形成行程无法更改的轨迹链条,以其不可篡改性和可追溯性,实现数据一致存储、难以篡改、防止抵赖、公开透明,从而保障信息的真实可靠,使审计资源直接过渡为审计证据,减少审计查证流程,以便于审计人员直接利用人工智能技术进行审计分析工作,提高效率。
传统审计过程中,由于时间、成本等客观因素的限制,审计人员无法对所有财务数据进行审计,因而通常采用审计抽样方法,根据经验判断,选取风险较高、具有代表性的样本进行分析,通过样本得出的结果推断项目的总体情况。此方法具有一定风险,容易出现以偏概全,导致审计结果出现偏差,审计风险难以控制,审计质量难以保证。
目前,审计依靠先进的大数据分析技术,可以对海量的数据进行分析处理,因此,在实施审计时不再抽样分析,而是采集相关数据进行分析与挖掘,查找线索,发现问题,大大降低了审计风险,提高了审计工作的科学性和准确性。
传统的控制薄弱点主要在人与人的交接点。由于各类凭证、报表、合同等均为相关人员手工填制完成的纸质文件,各类数据主要以非电子形式储存在纸质文件中,企业内部之间、内部和外部之间数据和业务的交换、交流、授权均通过相关工作人员以纸质文件为载体进行面对面的交接和流转,因此企业内部控制制度对各项业务相关的流程、手续等严格规范,针对企业内部控制的符合性测试,重点关注人工系统的操作、流程、规章等是否符合规范,以评价其内部控制系统的规范性和有效性。
随着企业信息系统的不断成熟与发展,管理流程实现程序化、虚拟化、无纸化、电子化,任务交接、授权审批等已不再需要执行者双方面对面交接,工作人员可以跨越时间和空间的限制,采用人机交互的方式,以计算机为媒介完成工作交接、授权等任务,以此提高工作效率,节约时间成本,控制的关注重点由此转移到了信息系统中的人机接口。国际会计联合会会长罗伯特·梅尔指出:“会计师将不得不对实际上通过计算机报告的财务信息承担责任。”[20]
华为内部控制手册中提出:“防护性控制一般是在过程内部设置约束机制,以防止差错的发生。要在事先对可能产生的差错原因进行缜密的分析,找出导致差错的种种根源,设计出相应的防止这些差错的控制措施,然后将控制措施融合到日常业务活动的处理程序中去,使之成为程序的组成部分。”[21]因此,审计人员在做内控测试时,应该关注信息系统的人机接口,分析控制的实际效果,例如系统接口使用的可追溯性、系统界面的合理性、接口安全技术的可靠性和先进性、系统接口研发的可审性、发现风险的纠错性等内容。
传统审计中,审计人员通常被分为若干功能相同的小组进行合作,每个小组的审计内容为不同的科目,但总体目标大致相似,最后各小组将每个科目存在的重大错报进行汇总,形成对企业财务报表的总体评价。
不同于合作的形式,协同审计以要素为核心,优化布局。人才要素包括审计人员、数据分析人员、模型设计人员、软件研发人员等,数据要素包括数据收集、处理、分析、可视化等,业务要素包括财务、业务、资金、资产等。通过要素的相互支撑、要素间有序整合,梳理出复杂数据背后的审计问题,提高审计的效率与质量。
协同审计以协同理论为基础,结合大数据、信息化的特征,构建协同审计的平台网络,审计人员将跨越时间、跨越空间协同展开审计管理,挖掘审计线索,创新审计工作模式,进一步实现审计监督的全覆盖。
协同小组将消除时间、空间的障碍,横向协调配合、纵向相互联动,各部分要素相互协作、要素间有序整合,梳理出复杂事物的共同特征与协同机理。他们将各司其职,围绕被审单位的财务、信息技术、法律、人力资源等不同方面进行审计,共同提高审计的效率与质量[22]。
中国注册会计师协会在《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》中指出:“审计风险,是指当财务报表存在重大错报时,注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。”“固有风险,是指在考虑相关的内部控制之前,某类交易、账户余额或披露的某一认定易于发生错报(该错报单独或连同其他错报可能是重大的)的可能性。控制风险,是指某类交易、账户余额或披露的某一认定发生错报,该错报单独或连同其他错报可能是重大的,但没有被内部控制及时防止或发现并纠正的可能性。”“检查风险,是指如果存在某一错报,该错报单独或连同其他错报可能是重大的,注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。”[23]
2003年,国际审计和鉴证准则委员会(IAASB)在美国注册会计师协会(AICPA)1983年提出的传统审计风险模型“审计风险=固有风险×控制风险×检查风险”的基础上,重新定义了审计风险模型“审计风险=重大错报风险×检查风险”,与中国新审计准则中的相关描述一致,可知审计风险由固有风险、控制风险和抽样风险组成,而信息技术加入后,尽管审计风险的组成没有变化,但是固有风险、控制风险和抽样风险的影响因素与传统审计有了较大的变化。
首先,信息技术自身的局限性和可能存在的缺陷导致其安全性和可靠性受到影响,信息系统的设计就可能存在漏洞,系统内部运行程序可能出现错误,从而导致数据信息存在重大误差,且难以被发现,这使得信息系统中某类交易、账户余额或披露的某一认定易于发生错报的可能性增加,影响固有风险。其次,企业使用信息管理系统时,传统的内部控制理念被应用其中,相关数据的录入、审核、查阅权限的设置,业务流程授权级别设置的完善与否等人机交互环节一旦有误,将会给企业内部控制的有效运行带来直接后果,对企业的控制风险造成影响。最后,审计风险模型自身的局限性:审计人员由于缺乏大数据、云计算、数据库等IT技能,因而专业胜任能力不足;企业管理软件设计和质量方面存在缺陷;数据在经过多次、多方面采集、转换后,质量下降,真实性、准确性无法保证,从而影响数据分析的质量等种种情况,都会导致检查风险的提升,从而影响审计风险的高低[24-26]。
数字经济时代,技术新形态层出不穷,作为审计主要对象的财务部门信息化程度日益加强,各类信息和数据集中、透明、全面保存于数据库中,为审计项目的开展创造了优越的环境。审计人员必须将云计算、大数据、区块链、人工智能等信息技术放在突出位置,将海量数据与现代技术融合,使工作人员从大量简单重复的机械性工作中解放出来,提高审计效率的同时改善审计效果,有助于管理者决策和组织架构完善。
我们还应注意到,信息技术是一把双刃剑,在给我们带来便利的同时,也常常伴随着一定的风险。例如区块链技术虽然能给审计实务带来巨大便利,但其在审计领域的应用缺乏相关标准,从而缺少配套的工作指引,组织应注意加强信息风险防控意识、及时更新信息管理系统,针对新技术出台相关制度、工作手册、应急预案等,并且加强审计人员自身职业素质以及必要信息技术能力的培训,与时俱进,才能长久地屹立于飞速变化、发展的信息化数字时代。