基于网络爬虫的审计风险控制体系构建及应用研究

李视磊（浙江商业职业技术学院 浙江杭州 310018）

一、引言

随着我国经济的高速发展，上市公司数量不断增加，会计师事务所审计业务量愈加繁重，而在信息技术浪潮的冲击下，被审计企业财务舞弊的方式更具隐蔽性，审计师所面临的审计风险日益增加，会计师事务所应如何将审计风险降至可控范围内是一个重大课题。审计风险控制体系是会计师事务所建立的相互作用、关联的一组要素，其目的是为了对审计风险进行把控。网络爬虫技术作为一种采集技术，可帮助事务所实现对互联网大数据信息的自动采集，在一定程度上弥补了人工数据采集效率低且成本高的弊端，将其用于审计业务中还可满足审计师对充足审计证据的需求。网络爬虫技术下的审计风险控制体系，是指审计与检查工作均围绕着审计风险展开，并进行有针对性的数据挖掘，帮助审计师获取如目标企业所处行业政策、监管等详细信息，进一步为审计师出具审计报告提供数据支撑，从而降低因数据不充足而造成的审计风险发生的可能性。

二、网络爬虫技术下审计风险控制体系的构建

网络爬虫是一种按照一定的规则，自动地抓取网络信息的程序或者脚本。开展大数据审计需要各类相关数据，因此，网络爬虫技术对获得开展大数据审计的相关数据非常有帮助（陈伟和孙梦蝶，2018）。因其可获得较为完整及充分的审计数据，故在降低因信息不对称而引起的审计风险上具有重要作用，因此构建基于网络爬虫的审计风险控制体系非常重要。

（一）审计业务承接的体系构建

一方面，从会计师事务所角度看，由于审计时间、审计资源、审计人员、职业胜任力上无法充分满足审计项目的要求，可以发挥网络爬虫的辅助审计作用，重点对以下信息进行挖掘：（1）事务所内部审计人员是否存在影响职业道德及独立性的情况；（2）该项目是否存在利益冲突；（3）该业务是否存在需要规避的客户关系。

另一方面，从审计客户角度看，需要对客户审计风险进行评估。将网络爬虫审计风险评估与传统审计风险评估相结合，建立一个风险预警模型，审计师通过网络爬虫技术获取并分析企业原始数据，此时风险预警模型根据分析结果对风险评估值较高的企业进行通报，帮助事务所选择风险较低的企业展开详细的风险评估，进而实现审计业务承接环节的风险防范。比如，客户是否存在诚信问题，是否出现过从事违反法律法规、提供虚假资料等情况。

（二）审计业务计划的体系构建

首先，需要建立风险评估程序，审计风险控制流程的起点即为风险的识别和评估，重大错报风险又是风险评估的最后一个步骤，需要对客户各类交易、账户余额、财务报表等相关数据，以及关于抵消风险和风险因素的系列信息进行深入挖掘。网络爬虫技术首先进行语言选择，其原则是要具有良好的扩展性和易学性，能使爬虫顺利实现信息获取、传输、存储和整理等功能。

其次，需要具备安装网络爬虫程序的硬件和软件环境，利于从互联网中抓取所需平台和网页数据。网络爬虫技术在审计中的应用主要为风险评估和控制两方面，风险评估方面主要通过网络爬虫进行原始数据的抓取、统计和分析，为审计风险评估预警提供支撑，对重要业务环节进行风险预警和改进，起到审计风险控制的目的。

再次，需要建立了解被审计单位及其环境的完善流程。比如，借助纸质性文件检查、观察、分析性复核程序、口头咨询等程序实现对被审计企业战略、目标以及相关经营风险的了解，在进行连续审计项目时可在此前调查底稿中更新本期变化（丁晓东，2019）。

最后，需要设计详细的审计计划，一方面要根据被审计企业所处环境，预测可能发生的情形并制定有针对性的政策程序，同时设计一个包括沟通审计事项、重要性水平、审计项目工作范围确定、舞弊的风险评估及应对、对被审计企业内外部环境的了解等详细内容的审计计划，并且保障该计划要得到有效执行，不能流于形式；另一方面根据审计项目难易、复杂程度等内容确定审计项目组成员数量。

（三）审计程序执行的体系构建

在审计程序执行方面的审计风险控制，具体可设置为三级复核的风险控制体系，其中审计报告的检查修改及审计项目组底稿由项目经理负责复核，此为第一级复核；项目的监督复核由项目合伙人负责，此为第二级复核；项目组审计结果的复核由质量控制部门负责，此为第三级复核；此时当项目审计过程中出现特殊风险时，事务所可针对该项目设立合伙人会议来共同商议风险的解决办法。同时在审计质量风险控制方面，一方面要建立质量控制制度，且要以书面形式下发给事务所内全体人员，该制度具体由以下几方面组成：对审计质量的控制运行；审计工作底稿的具体要求；审计业务的执行情况；承接和保持客户关系要求；审计报告质量的责任承担等（张莉等，2020）。另一方面在审计师职业能力和工作安排上，设置质量控制部负责复核审计程序执行质量，以及针对专业技能、职业道德、企业文化等内容定期对执业人员展开培训。

网络爬虫在此环节，能够提取出审计师需要的信息，剔除无用信息，筛选有效信息并进行整理，关注同行业和其他关联方信息，尤其是对审计中关注的虚增利润和收入等事项，进一步控制审计风险，在具体审计业务中风险系数较高的项目应在质量合伙委员会通过后开展，此后由拥有授权的分管合伙人负责某一项目最终的质量复核工作。

（四）审计报告出具的体系构建

明确审计报告出具的具体步骤：（1）审计项目组编制包括未调整不符事项汇总表、重分类分录汇总表等审计差异调整表；（2）判断和运用重要性水平，确定会计报表受影响程度；（3）与被审计企业在沟通的基础上解决重要差异；（4）进行审计小结，小结中主要涉及审计工作完成情况、审计目标是否实现、对审计计划的执行情况的评价和说明、意见和建议等内容；（5）编制试算平衡表；（6）提醒被审计企业完善会计报表并复核；（7）根据审计证据的分析和评价结果，结合重要性水平确定审计意见；（8）草拟审计报告；（9）通过重点复核和全面复核对审计工作底稿展开详细复核；（10）经复核确认后，出具审计报告。在该过程中所有数据的得出均可由网络爬虫技术完成，实现对被审计企业内外部数据的分析与关联分析，从而改变长期以来审计效率不高、信息不对称、监督覆盖面窄等问题，最终提高审计精准度，降低审计风险。网络爬虫在报告出具阶段同样从自身经营数据、行业数据和其他关联方入手，对数据结果进行测试，行业数据方面从宏观政策环境、地方法律法规和整体行业环境入手，分析近年来的经营状况，区别于传统审计主要针对应收的判断，网络爬虫技术下的审计能够与政策风险相结合，结合企业目前所处的政策环境进行分析，增强审计师对审计风险的评估能力。其他关联方方面则是从关联交易、业务收入等方面入手进行相关的数据挖掘，审计师能够获得充分、准确的审计证据多，对重大错报风险进行判断。

三、网络爬虫技术下审计风险控制体系的应用及效果

（一）广东正中珠江会计师事务所及审计客户案例概况

2012年中山中信会计师事务所有限公司、广州健明会计师事务所有限公司、广东正中珠江会计师事务所有限公司等5家公司的注册会计师共同发起设立广东正中珠江会计师事务所（特殊普通合伙）（以下简称“正中珠江”），其主要业务为IPO和上市公司的审计、会计咨询等专业服务。目前已发展成为具有税务代理资格、国有大型企业审计资格、A股补充审计资格、证券期货相关业务资格的综合性会计师事务所，且其业务收入名列广东省行业前茅。

康美药业是一家涉及药品生产、研发及药品、医疗器械销售等业务在内的大型医药上市公司，正中珠江于2017年9月与康美药业签订审计业务意向合作书。经审计正中珠江于2018年2月出具了标准无保留意见审计报告。2018年12月28日康美药业因信息披露违规而受到证监会调查，经排查发现存在巨额“会计差错”，针对此2019年5月9日证监会正式下发对正中珠江的立案调查通知书，同时对康美药业总经理及财务主管分别处以90万元的顶级处罚，并要求其终身不得进入证券市场，对企业自身处以60万元顶格罚款。正中珠江作为被审计企业的审计机构难逃干系，而在证监会对康美药业的监管处罚及正中珠江因此受到的一系列连锁反应来看，可以分析出本次正中珠江对康美药业的风险评估与审计过程其实是失败的，通过查阅相关资料可知此次审计风险防控失败的主要因素取决于以下几方面：一是未合理评估业务风险。从正中珠江的角度来说，在获取康美药业内部信息方面处于弱势，其在承接业务时并没有合理评估公司的财务和经营状况，进而导致财务舞弊风险没有被识别而引发审计失败。二是未遵循职业道德要求。从正中珠江审计过程可以发现，正中珠江出于控制审计成本不仅将该项目认定为低风险审计项目，而且在组建审计项目组过程中仅选择一名有经验的项目经理，剩余空缺位置均由实习生来补足，如此一来就造成了审计质量低下，加剧了审计风险。三是质量控制机制失灵。正中珠江的质量复核程序是由承接业务的合伙人直接复核现场项目经理及部门经理的审计结果，再加上因业务承揽具有随意性和竞争性，相互监督和有效制约的缺乏引发了审计风险。

（二）基于网络爬虫的审计风险控制体系在审计中的应用

针对正中珠江会计师事务所审计康美药业过程中出现的审计问题，以下将构建基于网络爬虫技术的审计风险控制体系并运用于案例中，对其风险控制展开详细的分析和演示，同时在此基础上从网络爬虫审计数据与事务所审计数据角度分析审计风险控制体系的应用效果。

1.审计业务承接环节风险控制。在正中珠江承接康美药业项目环节中，相关行业数据作为项目承接前需要了解的关键内容，传统审计对政策变化与康美药业经济发展之间是否存在的风险关联难以做出较好的判断，只是简单地判断一下该公司的主要营收情况，再加上正中珠江在此之前一直作为康美药业的审计机构，其在该环节中只考虑到丰厚报酬及多年来的客户业务及公司情况比较熟悉，并没有站在康美药业角度上分析其经济业务，也没有深入调查康美药业发生的变化。若正中珠江利用网络爬虫技术对被审计企业行业数据、经营数据、关联方数据展开数据挖掘，比如，在Anaconda中采用C#、R、Java、Pyhon等爬虫语言撰写需要审计查询的康美药业网络爬虫代码，目的是为了获取康美药业2012年至2017年所有信息，通过网络爬虫获取财务凭证表、项目表等数据，并按审计业务逻辑及任务需求规则进行数据清理、转换、验证，最终可得出125条企业经营大数据结果、34条行业数据结果、14条政策数据结果。在此基础上结合康美药业经营情况验证其是否符合当下政策环境，这样正中珠江在信息获取与经营管理上不再处于弱势地位，详细且相对完整的信息为判断康美药业目前存在的风险情形提供了数据支撑，避免了项目风险误判问题的发生，降低了因财务舞弊风险未得到及时识别而引发的审计失败现象发生的可能性。

2.审计业务计划环节风险控制。网络爬虫技术下审计业务计划主要有以下流程：（1）风险评估测试；（2）审计计划设计；（3）审计计划实施；（4）风险评估报告修改；（5）审计计划反思与修改；（6）审计计划评估与考核。风险评估测试作为审计计划环节的起点，为有效控制该环节存在的风险，首先就要在审计计划环节中融入风险评估程序，也就是说通过询问康美药业财务人员、内部审计人员、管理层等相关人员，采用分析程序、观察和检查三个步骤做好审计计划确定之前的风险评估测试，同时辅以上一环节中利用网络爬虫技术得出的行业数据来全面了解康美药业可能存在的财务风险，降低审计实施时可能出现的错报风险。其次充分评估康美药业组织架构、运行模式、行业特点、内部控制制度运行机制、经营现状及存在风险点等内容。在组织框架、内控制度等方面，由于涉及到康美药业内部管理信息，正中珠江与其可能存在信息不对称问题，具体信息获取方面或存在一些偏差。而对于经营现状相关数据来说，可利用网络爬虫技术针对康美药业关联公司等关键词进行数据挖掘，尤其是对传统审计方法中推测的康美药业可能存在的少计成本及费用、多计收入等事项进行证据筛查。最后在网络爬虫审计数据的基础上对康美药业财务信息进行整合与筛选，即对财务数据进行清洗、整合与存储，为该环节审计计划确定提供数据支撑，同时方便后期审计程序执行过程中审计人员对数据的利用。

3.审计程序执行环节风险控制。相关资料显示，在正中珠江审计康美药业审计程序执行过程中，正中珠江组建的审计项目组中仅选择一名有经验的项目经理，剩余空缺位置均由实习生来补足，该种现象虽降低了正中珠江的审计成本，但同时也给审计结果的准确性及科学性带来较大隐患。网络爬虫下的审计程序执行环节，能采取适应信息化审计的模式，根据审计难易程度选取既具有充足专业知识技能、又具有丰富实践经验且熟悉大数据审计及网络爬虫技术的全能型审计人员，进一步降低因审计人员能力不足造成的审计失败现象发生的可能性。另外网络爬虫技术下的审计程序执行环节，为了保证审计项目审计过程中的质量，构建了完善的审计质量控制体系，具体包括风险控制制度、审计质量复核层级制度、质量控制文件管理制度、质量管理运行制度，其中风险控制制度又包括风险层级防控办法、审计错报风险控制、审计评估测试等；审计质量复核层级制度则由康美药业项目负责人、质量监督委员会、正中珠江合伙人分别对审计底稿、审计意见及报告展开一二三轮复核；质量控制文件管理制度方面是指在康美药业项目审计过程中，正中珠江要出具包括问题解答指南、注会职业引导、审计人员执业要求在内的审计质量书面报告；质量管理运行制度是指明确正中珠江质量复核人员的法律责任，对该部分人员进行法律约束，从而有效保证审计质量。

在此环节，网络爬虫技术通过第三方平台为审计师获取康美药业的海量数据信息，一是宏观政策、监管环境和法律法规等外部信息，二是经营状况、关联方等内部信息。比如，网络爬虫查询“康美药业”及企业代码等关联词，在搜索引擎中抓取企业近十年来的相关信息，包括自身经营状况、同行业数据和关联方数据信息等。采取的方式主要有直接拷贝读取、开放数据互联、网上采集和中间文件采集等，多方面多角度获取企业信息，提高审计结果的准确性。

4.审计报告出具环节风险控制。网络爬虫技术的应用使得传统审计开始朝向大数据审计方面发展，在该种技术下设置一个智能的审计报告出具模型，如此一来只需要在后台输入传统审计审计报告出具过程中所需的相关信息，即可自动生成完整的审计报告。依托于网络爬虫大数据审计的审计报告，相较于传统的审计报告在科学性及准确性上具有较大优势，同时因系统自动生成也就降低了人为操作的可能性，最终保障了审计报告的准确性，使其更具信服力，这在一定程度上会减少审计报告出具环节风险的发生。另外正中珠江还应明确其自身所负的法律责任，负责康美药业项目审计人员不仅要对项目预估审计风险负责，还应对自身职业判断行为负责，明确其所负的法律责任。另外对于康美药业而言，其作为被审计企业，管理层应对企业偿债能力、盈利能力的自我评估结果负责，以及在被审计过程中履行监督管理责任，多方一起努力，共同降低审计报告出具风险。

（三）审计风险控制体系的应用效果

在300亿元货币资金多计问题上，正中珠江审计师虽然关注了货币资金问题，但其为保持对函证过程的全控制进而造成了无效函证程序的执行，进而导致其并没有发现康美药业的巨额财务造假。在库存少计193.43亿元问题上，正中珠江注会仅是以常规流程进行审计，忽视了以常识为基础的分析性审计程序，并未跳出账簿审计范畴，若将核心定位于风险导向性，应用网络爬虫技术就会发现200亿元的存货十分离谱。通过对比发现，网络爬虫技术下的审计相较于传统审计来说效率较高，且覆盖面更广泛、数据获取更加完整，而正因如此使其所面临的审计风险相对就较低，同时因为网络爬虫技术的学习与培训成本并不高，事务所并不会因为引进网络爬虫审计而导致自身利润大大降低，反而因网络爬虫技术下有针对性的审计证据会使审计人员能更好地控制审计风险，从而提高审计结果的准确性。

四、保障网络爬虫技术下审计风险控制体系顺利运行的保障措施

网络爬虫技术可挖掘出重要的审计证据，不仅有利于审计风险评估，还可为实质性测试提供方向，进一步可有效降低审计风险发生的可能。为保障网络爬虫技术下审计风险控制体系顺利运行，本文提出三方面具体保障措施。

首先，建立大数据审计风险评估制度。大数据审计是现代审计发展的必由之路，是促进国家治理体系和治理能力现代化的重要保障（刘国城和王会金，2017），目前我国并未发布有关大数据审计的制度，随着大数据审计的广泛应用，应明确审计要与大数据相结合，融入各方面的具体制度。在审计风险识别方面，可设置审计人员培训规范、风险识别指标制度等内容；在评估方面，可在该流程中加入网络爬虫审计程序，同时在检验制度、审计来源制度、风险控制级别指数、数据挖掘安全制度等方面建立不同行业的爬虫风险控制流程、审计控制的档案留档等制度，进一步完善大数据审计风险方面的制度建设（陈伟和居江宁，2017）。总体而言，只有大数据审计更具有合理合法合规性，才能从根本上推动云计算、大数据、网络爬虫等技术在审计领域的应用。

其次，增加网络爬虫审计程序。当审计人员进入被审计客户审计时，相对应的网络爬虫程序应同步开展，在初步审计完成后将审计人员得出的审计结果与网络爬虫审计得到的结果进行对比分析，来验证被审计企业信息的真实性。验证完成后进入下一步实质性测试程序，具体包括被审计企业关联方、自身经营、行业环境及政策环境四个方面（刘光强，2021）。行业环境大数据网络爬虫测试能识别出被审计单位与行业整体的矛盾点，从而得到有数据支撑的信息，审计人员以此为基础做出合理的风险判断。经营大数据网络爬虫测试通常为外部测试，其作用在于对被审计企业经营数据的挖掘，并在此基础上对比内部测试结果判断是否吻合，同时通过查看股评网站、网友评价，被审计企业管理层变动情况，关联子公司是否存在股权交易和被抵押现象等，来进一步判断被审计企业盈利是否强劲、经营是否良好等，若表现较差，此时审计人员应尽快重新对被审计企业展开审计风险评估。关联方大数据网络爬虫测试主要是挖掘关联方相关数据资源，筛选与被审计企业业务相关的业务，展开分析与甄别，判断是否存在财务舞弊（邓红辉，2021）。

最后，提高网络爬虫技术人员专业能力。一方面强化审计人员的大数据审计意识，尽管当前大多数审计人员已经有利用大数据开展审计工作的思路，但由于我国在此方面发展相对较晚且大数据审计应用尚处于摸索阶段，故为加强大数据审计的应用，应强化审计人员的大数据审计意识，从思想上改变该部分人群对大数据审计的了解与认识（陈婷婷，2022）。另一方面由于审计人员对网络爬虫技术掌握程度、个人知识水平及审计经验丰富程度相对较差，故即使将网络爬虫审计应用到实践中，由于审计人员专业技能不足仍会影响审计质量、成效、归集分类、采集数据等内容及环节，因此应加强网络爬虫大数据审计人员的管理，加强对审计人员网络爬虫技术的培训，提高事务所审计队伍整体能力及素质。除了开展理论教育与培训之外，实践操作对提高审计人员的大数据审计能力也非常重要，要使审计人员掌握常用的电子数据审计方法，进一步有效降低事务所可能发生的审计风险。