唐柳絮, 王群英, 邓学衷
(1.长沙理工大学经济与管理学院 ,湖南 长沙 410114;2.中南大学,湖南 长沙 410083)
在企业数字化转型和大数据环境下,审计概念和模式不断变革,审计证据呈现出新形态。2016年,审计署提出要全面推广数字化的审计方式,通过数字化审计方式的推广使得审计信息化的技术得到大幅度提高,进而能够使审计人员提高发现问题的能力,评价被审计单位政策是否执行到位,判断财政资金是否有效使用等。可见,大数据审计的作用越来越被重视。
大数据环境下,“电子数据”成为审计证据的主要存在形式[1],表现为音频、视频、文本等非结构化数据形式。这些数据具有永久性、开放性、聚合性、模糊性和实时性的特征[2]。大数据技术的出现能够大大提高审计证据的充分性、相关性和可靠性,从而提高审计证据的质量[3]。人工智能的完全融入能够大大增强审计人员的独立性,RFID芯片的安装能够快速准确地进行库存盘点,准确性与效率显著增强,持续审计成为可能。尽管大数据审计的模式变化已经引导了越来越多的研究,但大数据审计证据的研究仍不能满足审计实践的需要。因此,揭示大数据审计证据及其运用风险,可以为充分利用大数据技术开展审计提供参考。
阿尔文•A•阿伦斯等在《审计学:一种整合方法》一书中,将审计证据一般地被定义为审计师用来确定所审计信息是否按照既定标准表达的任何资料。《中国注册会计师审计准则第1301号——审计证据》规定,审计证据包括构成财务报表基础的会计记录含有的信息和其他信息。从时间范围上看,审计证据贯穿于整个审计实施过程;从空间范围上看,审计证据包括所有与审计认定相关的资料。业务流程和外部数据的连接正在极大地改变数据环境,为更好地使用审计证据应当建立数据环境生态系统[4]。数据生态系统是数据和用于整合处理数据的技术的集合。物联网的出现与发展使得自动化采集数据成为可能,机器学习能够实现数据的自动化管理。这类新一代技术的使用使得审计证据的来源、审计证据的特征以及获取审计证据的路径等相比传统审计证据呈现出较大的不同。
在大数据环境下,非结构化数据的存在更加广泛。音频、视频、图片、办公文本、社交媒体等成为新型审计数据的重要来源。这些数据一般都是自动生成,它们可能是传统数据形式和内容上的扩展,也可能是全新的数据来源。例如通过将芯片安装在库存商品和固定资产上,射频技术能够自动将库存数量报告出来,相对于以往的人工实物盘点来说,在证据的存在形式上发生了变化,但在表达内容上没有区别。企业管理人员对内对外的电子邮件相比传统来说便是一种全新的证据来源,审计人员可以从中挖掘到关键信息。同时,文件、图像、视频、音频可以是审计证据的初始来源,还可以是最后审计证据的表达形式,用可视化的图表等将审计证据表现出来,使得表达更有力度。
1. 文本信息
文本信息包括企业内部的内控文档、生产记录、会议记录,企业外部的访谈记录、新闻报道,以及微博、朋友圈信息、电子邮件等社交媒体信息,宏观层面的国家政策文件、行业信息等[5]。自然语言处理技术的发展,能够对这些文本信息进行收集和分析。审计人员可以使用自然语言处理技术来分析员工社交媒体上的帖子、公司内部的重大文件,从而发现内部控制是否有效,公司是否有违法违规行为,并了解公司最近的重大经济决策。
2. 视频、图像信息
视频、图像以往从未被当作过审计证据,然而,在大数据的今天视频图像信息已然占据了信息的大部分,其中蕴藏着巨大的信息价值。在审计中,可以利用人工智能的表情识别技术对访谈对象的表情和肢体语言进行分析,判断访谈对象所提供消息的可靠性。通过识别企业在经营场所内的视频,可以分析企业内控的缺陷,也可以识别出企业是否有舞弊的重大企图。芯片和射频技术的结合还能进行远程实时库存盘点和固定资产盘点。
3. 音频信息
音频信息中不仅能够挖掘出语言本身所表达的内容信息,还能通过分析语气来判断说话者的性格特征,谈话时的态度等。在现场访谈时,音频文件自动翻译为文本文件,然后从中提取信息,形成审计线索。而通过判断谈话时说话者的语句是否流畅,语气是否淡定等分析谈话者是否诚实,进而判断企业经营管理情况是否有隐瞒和错报。
传统的审计证据必须要保证充分性与适当性,从而确保审计证据的质量。然而在大数据审计中,由于大数据本身的特质,充分性已经不是首要问题,相关性和可靠性成为大数据审计证据的关键问题。与传统审计证据相比,大数据审计证据也呈现出一些新特征。
1. 聚合性
运用大数据技术从外部所采集的数据大多是随机和分散的,然而为使这些数据发挥效力,需要采用一套算法和分类法对数据进行分类和整合。利用相关关系将碎片化的信息拼凑成一个整体,形成整个证据链或证据网,还原事物全貌。虽然说单个数据对特定问题具有重要价值,但组合证据的效力更强。这些随机和分散的数据可以进行不同内容的组合,也可以是不同形式上的组合,以及内容和形式上的交叉组合。
2. 模糊性
大数据审计不同于传统审计的因果关系寻找线索,而是采取相关关系来获取与审计认定有关联的数据。从获取证据的方法看,传统的因果关系寻找审计证据具有强烈的准确对应性,而大数据审计证据取证更多地采取新的方法,如基于模糊匹配的审计证据获取方法,对字段内数据进行相似性判断,从而发现相似舞弊数据,获得审计证据[6]。大数据的特点决定了无法运用以往的精确性逻辑关系获取审计证据。在相关性审计证据的获取思维下,审计证据整体呈现出模糊性特征。
3. 实时性
在大数据的支持下,审计将朝着实时审计和持续审计发展,审计证据也被赋予了实时性。GPS、射频技术和传感器等技术能够实现数据的快速采集和传输,审计证据也将从以往的事后审计证据变为实时审计证据。例如通过GPS定位已经发出的货物或者在途的商品,可以追踪其运动轨迹;利用无人机和射频技术对固定资产进行远程盘点和评估;参考电子商务网站的历史报价可以对销售价格进行确认。
4. 客观性
传统审计证据的数量建立在审计人员对重大错报风险的评估上,风险越高,所需数量越多,而对重大错报风险和审计质量的评估很大程度上取决于审计人员的主观判断。大数据审计的审计证据无需样本上的选择,数据由各种设备自动采集生成,并且对企业的重大错报风险评估和审计质量的判断也是基于事先设定的审计分析系统而给出,对审计人员的主观经验依赖较小,客观性更强。审计分析系统是由多学科、多领域的专业人员利用各学科知识、各种大数据技术,经过无数次实验共同构建,审计证据具备很强的科学性和客观性。
大数据审计证据的获取有内外两条路径。内部数据可以从企业资源计划(ERP)、供应链管理(SCM)系统、客户关系管理(CRM)系统、财务共享服务中心获取,外部数据可以从社交媒体、物联网已经其他公司的信息系统获取。图1刻画了大数据环境下审计证据的取证来源和具体路径。其中,ERP是集合物资资源管理、人力资源、财务资源以及信息资源一体化的企业管理软件;供应链集合了供应商、制造商、仓库、配送中心和渠道商等之间的各种采购、销售、物流等信息,供应链管理系统是ERP系统的核心之一;客户关系管理系统记录了企业在市场营销和销售过程中和客户发生的各种交互行为,以及各类有关活动的状态;财务共享服务中心将不同国家、不同地区的会计业务集中起来记账和报告。外部数据包括了各种网页、社交平台、物联网、政府数据平台以及其他企业,从外部获取的信息中蕴含着大量的非结构化数据信息。
图1 大数据审计证据的取证来源与路径
大数据环境下审计证据涉及到的数据不仅包含企业内部的信息,还囊括了与企业有业务往来的相关信息以及客户的相关信息,并不断实时更新。因此,数据在采集、存储和使用过程中的泄露问题、损坏和丢失问题、更改问题等直接关系到审计证据的质量。数据安全风险可分为由客观因素导致的风险和由主观因素导致的风险[7]。由客观因素导致的数据安全风险主要是指由信息技术风险所引起的数据安全隐患,云端的数据面临着黑客攻击、病毒侵入、网络钓鱼等潜在风险;同样,所用到的软件系统也会面临突然断电、病毒侵入、服务器存储故障等风险。工信部披露的网络安全威胁报告表明,网络安全漏洞仍然是网站和系统面临的主要安全威胁之一,工业互联网安全问题更不容小觑,弱口令、SQL注入、信息泄露等风险已报告2000多个[8]。由主观因素导致的风险是指人为造成的数据安全风险,可能是人为地故意篡改数据,或者由于使用不当而造成的数据损坏和丢失。
数据的可信度是指数据的真实性和完整性。传统审计的纸质证据数据不容易被修改,真实性有一定保障。大数据环境下,审计证据的数据包含于业务关联的数据生态系统,尤其是外部数据不容易受企业控制。首先,大数据下电子审计证据的形成主要依靠底端的数据输入,其真实性和可靠性依赖于初始信息的输入,需加以验证。其次,数据来源如此广泛,虚假信息、错误信息层出不穷,如何辨认数据真伪?如何判断所采集到的数据是否完整?在来源不同的数据所反映的内容相悖时如何处理?换言之,大数据高噪音、低密度的特点,对大数据审计技术的精准度提出了更高要求,在海量的数据中正确过滤掉虚假信息、错误信息,准确抓取所需要的信息,这不仅对信息技术的要求很高,对审计人员运用相关技术处理数据的能力要求也非常高。
数据的容易获得关系到数据获得的技术难度和获取成本。运用大数据审计证据不仅需要建立完整的数据采集系统,更需要创建完善的数据分析平台和数据存储空间。实现数据的实时采集和传输需要大量固定设备的安装,尤其是芯片的安装,采集成本较大。但随着国产芯片行业的发展,这方面成本可能会随之下降。一些企业在创建属于自己的数据分析和云存储系统时,在研发投入和维护成本等方面所花费成本十分之高;对于中小企业而言购买这些系统是一笔不小的支出,可能无力承担。通过合法渠道获取审计证据的成本高低,在一定程度上影响大数据审计证据的完整性。见图2。
图2 数据使用风险
在大数据审计中,审计证据的数据伦理风险主要来源于外部数据,表现为数据被滥用、误解、泄漏等引发的社会后果。从数据全生命周期看,大数据审计证据的采集来源、采集方法、证据决策过程和证据使用都面临着伦理风险:包括共享数据证据时的隐私和保密问题;数据使用方与供给方远距离而违背供给方意愿的“道德距离”;数据使用场景不明而违背供给方意愿开展的采集;数据泄漏引发的污名和歧视问题;为采集数据开发的算法工具违背社会道德责任;证据数据在未来使用时对公众社会信任及未知事件、客户流程和某些规则的负面影响,等等。
2021年11月开始施行的《中华人民共和国个人信息保护法》明确提出了不得滥用数据。许多企业集团都存在着过度采集客户数据、滥用数据的情况。例如,滴滴的个人信息收集范围包括身份证、面部识别特征、银行卡号等,这些数据远超过其提供服务的核心功能[9],不仅违反法律,也超越了数据证据的伦理边界。
数据安全风险贯穿大数据审计全过程。目前,首先要尝试利用数据发布匿名保护技术、社交网络匿名保护技术、数据水印技术、数据溯源技术以及依托大数据的威胁发现技术、认证技术和数据真实性分析技术等,以构建数据安全网。其次,将物联网与大数据审计平台相结合,设定数据采集的范围,且严格控制人员访问。企业本身的数据采集系统要设定严格的采集范围,且审计人员也要通过审计计划制定严格的证据采集范围计划,以可以证明待认定的事项为限。审计人员在获取审计证据时也要有完善的数据访问制度,以此预防数据泄露。第三,对于社交平台信息,需要进行分类判断,只有与企业经营活动有关的社交信息才可采集,仅涉及到个人隐私的,不得采集。商场通过摄像头采集到的数据要作为审计证据,须经过分析标准化的销量和营业收入等数据,审计人员在使用此类证据时要严格控制该类数据的使用范围。
数据的采集、存储、分析等都离不开信息设施的支撑,应充分结合大数据审计各个环节,建设各个环节所需的基础设施,推动大数据在审计环节更好地应用。在数据采集环节,加快物联网、互联网以及视频设备的建设和安装;数据传输方面,推动5G技术的应用,加快传输速度;数据存储方面,建设大数据云存储平台,实现数据的海量存储,为大数据审计提供数量支撑;在数据分析方面,加强大数据与审计多学科多领域的交流,使得数据分析技术更加完美地与审计融合,为获取高质量的审计证据提供坚实的设施支撑。
同时,审计证据的获得离不开政府数据的开放。在保证政府数据安全的基础上,推进政府数据开放共享,实现各部门各组织之间数据统筹协调,使得来自政府数据共享平台的数据成为获取审计证据最有效的路径。例如,通过政府数据共享平台查询企业有无违法违规情况,可以对该问题的相关方面进行重点审查,从而识别出重大错报风险。
由于大数据、云计算技术与审计深度融合,大数据审计证据的运用越来越频繁,传统审计取证及取证方法已不能满足审计行业发展的需要。但目前相当一部分审计人员的知识结构老化,开展大数据审计的技能不足。要实现大数据审计,审计人员必须掌握相关的大数据技术,有能力基于数据来源的真实性、获取路径、证据的加工处理过程来判断数据的可信度,从而获取高质量的审计证据。审计证据可信度不仅依赖于大数据审计分析平台,还需要审计人员能够根据自身的专业技能对证据的真实性和可靠度进行判断,因此,大数据环境下对审计人员的要求不局限于审计专业的知识素养,还应当包括大数据技术应用能力、大数据使用的伦理判断力。要恰当运用大数据审计证据,必须建立包括高等审计教育和审计师后续培训教育动态结合的新型审计教育体系,强化审计人员的大数据技术应用能力,从理论和实践两方面完善审计人员的知识体系和能力结构,造就一批新型的高级审计人才。
大数据审计及大数据审计证据的采集是审计行业的新发展,相关的数据治理和数据伦理问题越来越突出,有关审计信息化的原则并不完全适应大数据审计证据运用的制度规范。有必要针对大数据审计证据的特征和运用风险,从大数据审计证据的数据生命周期出发,增加大数据审计证据的数据治理准则,包括数据质量、数据安全、数据销毁等方面的具体制度规范。同时,在勤勉尽责、恪尽职守的要求下,完善审计职业道德体系,将数据伦理规范写入审计职业道德要求,使审计人员能够有效辨识所获取证据的真伪和瑕疵,减少判断证据的质量上的疑虑,快速获取充分的高质量审计证据,并得出准确的审计结论。