王为喆
(黑龙江科技大学 管理学院,黑龙江 哈尔滨 150022)
传统的审计风险模型由三部分风险要素构成,分别为审计风险、重大错报风险和检查风险。三者之间的关系可以描述为:审计风险=重大错报风险×检查风险。根据对审计风险模型的诠释可知,审计风险的高低同时受到企业和审计人员两方面的影响。传统的审计风险模型为审计工作的执行提供了方向指引,确保审计工作目标明确、计划合理、评估适当、证据可靠、意见具备参考价值。同时,审计风险模型应是与时俱进的。如果没有适合实际情况的审计风险模型,审计人员就不能识别风险成因,无法合理地评估审计风险。这会使审计工作没有明确、清晰的目标,审计计划制定困难,无法对各个项目的重大错报风险进行评估,执行的审计程序没有针对性,更无法得到充分、适当的审计证据并出具有效的审计意见,导致审计失败。因此,在大数据环境下分析如何对审计风险模型进行更新与优化,是大数据审计风险成因探究的前提。
在当前大数据蓬勃发展的环境下,无论是企业还是审计人员都受到大数据技术较大的影响。一方面,企业致力于运用大数据技术将传统的纸质凭证转化为虚拟的电子信息,对审计对象的质量和审计方式产生较大影响;另一方面,审计人员开始运用大数据技术对审计对象进行数据整理和分析。本文对传统的审计风险模型进行优化,加入了第四个独立风险要素“大数据技术”,重新构建了大数据环境下的审计风险模型。同时,重大错报风险还可以再次分解为固定风险和控制风险,二者性质不同,所导致的风险不同,因此,本文对大数据审计风险模型再构建。提出了“审计风险=固定风险×控制风险×大数据技术风险×检查风险”的优化建议。
本文从固有风险、控制风险、大数据技术风险和检查风险4个风险要素的角度出发,分析探究审计风险的具体成因。
固有风险是企业发生错账的固有可能性。大数据对企业错账的影响可以分为两个层面:一是业务总量的规模扩大,其影响的是企业错账的“量”;二是错账的发生更加隐蔽,其影响的是企业错账的“质”。
1.大数据商业模式导致业务量增加
随着对大数据技术的运用增加,企业的运营方式与业务规模都产生了变化,逐渐形成了基于大数据技术的营销模式。企业运用大数据技术拓展了线上线下销售渠道、实现上下游供应链云端互联,企业的市场规模扩大、经营效率提高,扩大了企业的业务体量,导致企业账务处理工作量的上升,增加了错账出现的概率。
2.大数据手段使企业错账隐蔽性高
大数据环境下企业的日常账务处理,相比于传统方式有明显的不同。即增加了与相关业务信息的横纵向对比。大数据技术可以在不同类型数据和信息间建立链接,使虚拟化的电子凭证能够和相关原始凭证直接索引,还可以对其他相关业务信息(如合同信息)等进行实时的更新维护。在传统审计中,企业如果发生错账,审计人员可以通过顺差或逆查原始凭证的方式追查该笔账务处理的信息矛盾、漏洞或错误,但大数据技术使得与该笔错账相关联的信息的修改更加容易,增加了错账的隐蔽性,审计人员通过传统审计调查方式难以发现其中的问题,增加了审计人员的审计难度。
在大数据技术运用较多的企业中,内部控制并不局限于针对业务流程管理和财务流程监督,更多的是对“财务信息”的控制。根据其对财务信息实施控制的阶段不同,可以分为三个环节的控制风险:信息存储风险、信息报送风险、信息维护风险。
1.信息存储风险
随着对大数据技术的运用,越来越多的企业选择加入“大数据财务云平台”,通过将企业的业务信息与财务数据上传至线上平台,形成多企业间的信息互通。这种信息存储方式既提高了企业内部各部门人员间的信息沟通效率,也有利于与同平台内上下游供应链企业的信息交互成本。但是,信息存储的安全性取决于数据库或线上平台的安保级别,企业则失去了对数据的有效控制权与管理权限,这使企业失去了对“信息存储”这一环节的控制。同时,线上信息存储方式也使得企业的财务数据失去了“保密性”,线上平台的信息泄露、网络黑客的漏洞攻击等都会对虚拟化存储的财务数据被窃取或篡改,降低信息的可靠性,进而增加审计风险。
2.信息报送风险
信息存储的下一个环节是信息报送。企业将业务信息和财务数据以虚拟化的方式存储到线上或云端时,会定期在平台与企业间进行数据的传输和下载,这个过程是由大数据计算机技术自主实现的,缺少相应的传输结果监测与复核,可能出现上传信息格式错误、下载信息覆盖错误、原始凭证信息缺失等无法预知、不受企业控制的情况,减弱企业数据的完整性与安全性,增加了审计风险。
3.信息维护风险
信息维护是贯穿于整个信息存储与报送过程的,但也有其来源上的特殊性。对虚拟化的企业数据的维护,需要企业(数据所有者或上传方)与数据库云平台(数据保管方)的共同作业才能实现。一方面,企业财务数据的生成要规范、上传要完整、更新要及时。另一方面,云平台要定期对数据库进行技术维护、修补系统漏洞,保证信息不受篡改或丢失。可以说,信息维护就是对企业的传统账务处理过程的“新概念”监督,即对企业通过传统方式生成的财务数据进行虚拟化转换、完整性上传并严格保存,与传统财务数据维护的区别仅仅是维护的主体由实体账簿变成了虚拟数据、保存的方式由凭证库变成了数据库,而其本质未变。可以说,大数据审计下的信息维护风险,指代的是传统审计模型中的控制风险。因此该项风险涵盖面广、虚拟化过程中出错可能性高、降低了整体控制风险水平,进而增加了审计风险。
根据审计人员对数据处理分析的环节不同,可将大数据技术风险分为三个层面:数据处理、数据取证、大数据基础知识及技术运用。
1.数据处理难度大
随着更多地运用大数据技术,企业的经营范围得到扩展,日常经营生成的数据量大幅增加,加大了审计人员对庞大数据的处理难度。一方面,审计人员的数据采集和分析能力不足、面对海量的数据无法有效地系统筛选,难以对虚拟化的业务信息进行定性识别,从中找到审计线索的难度变高。另一方面,在原有的项目组审计方式下,审计人员习惯于定期在项目组内部对各自掌握的关键信息进行交流和沟通,但并不适用于全虚拟化的数据采集。采用分散小组方式对大数据审计中的关键信息识别和沟通,不能发挥分散小组的优势,降低了信息采集与处理的效率、减弱了项目组内对关键信息沟通的效果,弱化了数据间的内在联系,模糊了审计事项的痕迹,使审计师对线索的追踪和进一步调查受阻,无法定位错报来源,增加了审计风险。
同时,虚拟化的数据改变了过去各类信息的表现形式,繁杂的电子数按照字段分类为文本类、数值类、时间类数据;按事物的描述可分为状态类数据、事件类数据、混合类数据。这使审计人员获取的电子信息表格中每一列都混杂着不同类型的、描述业务不同状态的数据,后续还需要审计人员进行同类型数据的分类和转换,降低了数据处理的效率。
2.数据取证难度高
在大数据审计中,审计证据的载体不再是传统的纸质凭证,而是通过数据库、云端等存储的虚拟化信息,这意味着传统的审计取证方式不能完全适用于新形式的电子数据。一方面,审计师的数据追查方式也由过去的线下口头询问、翻阅纸质文件转变为线上数据库查询、电子数据横纵向比对。另一方面,尤其针对虚拟化的原始凭证或业务信息,企业采用的大数据信息转换方式通常是扫描、拍照上传形成图像,这种方式生成的电子信息不再是结构化数据而是非结构化数据。虽然这种方式降低了纸质信息转化为虚拟化信息的成本,但也导致审计人员无法有效、系统、快速地对非结构化的数据进行整理、归纳和分析。
3.大数据知识基础及技术运用不足
从目前在岗审计人员的知识结构来看,中小型事务所的审计人员普遍存在大数据基础知识薄弱、大数据信息处理技术运用较少;大型事务所的审计人员具备一定程度的大数据知识和工具基础,但知识架构并不系统、工具掌握存在盲点。面对已经实现虚拟化的企业财务数据和业务信息,事务所的审计人员并不具备充分的大数据技术来应对,缺少对大数据环境下虚拟电子信息的性质及其内在关联性的基本理解。导致审计人员不能有效地筛选、分类数据,不能在庞杂的数据中识别有效信息。这降低了审计效率、拉长了审计时间、分散了审计成本,增加了审计风险识别和应对的难度。
检查风险与审计人员直接相关。在大数据环境下,审计对象的性质和数量变化、审计方式和审计目标的转变、审计资源配置结构的调整等都直接影响检查风险的水平。
1.价值提纯低效
大数据环境下,企业信息的虚拟化是全面和无差别的,这意味着企业在将纸质信息转化为虚拟信息的过程中,并不会耗费专门的时间成本和人工成本,去单独筛选“有效的信息”,这就导致企业数据库中掺杂了大量“无效的信息”,其中还有许多非结构化信息如图像、录像、录音等。与传统审计的信息识别相比,利用大数据技术实现的信息虚拟化,降低了电子信息的价值密度,延长了数据处理分析的必要时间,审计人员不得不花费时间成本,按照“既定的模式”机械地进行数据筛选,增加了审计人员的价值提纯成本。
2.审计缺乏针对性
大数据环境下,企业数据量的庞大和数据类型的混杂会干扰审计人员的职业判断。一方面,审计人员在对海量的虚拟数据进行价值提纯时,缺少对关键信息所属数据类型的预判,使其无法准确、快速地识别有用的数据源,导致初步业务活动阶段和了解被审计单位整体环境时缺少审计目标,只能在海量数据中大撒网、被动寻找关键信息。另一方面,随着企业虚拟化数据的体量增加,各类“业务相关信息”浮现在审计人员的取证和调查范围内,导致审计人员必须扩大风险应对程序,具体表现为增加内部控制的了解广度、提高细节测试和调查深度以及扩充审计抽样的样本规模。可以说,在大数据环境下,审计人员的常规“基本工作”增加了,但审计项目的时长和配套的审计资源分配并未增加,原来用于审计追查的资源被分解分散,使审计实施的各阶段缺少对应的审计目标、针对关键信息的定位不精确、风险应对阶段的审计线索和调查缺少针对性。
综上所述,面对当前大数据环境下的审计风险,关键点在“人”,直接、有效的应对方式是提高审计人员的综合素质、提高审计人员对大数据审计的适应性。为此,本文从人才输送、在职培训、准则指导等三个方面提出风险应对措施。
当前,大数据审计风险难以应对的原因之一是大数据审计人才不足,很多高校虽然设置了审计学专业,但并未设置大数据审计方向,向国家输送的审计人才普遍缺乏大数据知识基础,但不能合理、有效地运用大数据工具,审计工作低效、审计取证受阻。因此,应对大数据审计风险应该从源头入手,在高校教育期间开设大数据相关课程,培养审计人才的大数据运用能力,培养符合国家和社会需求的大数据审计人才。
针对目前行业内的在职审计人才,应以事务所为单位定期开展大数据审计技术培训。帮助审计人才更新大数据审计认识、掌握大数据审计方法,提高审计人才的综合素质水平,保证审计行业的内生活力和大数据背景下承接业务的专业胜任能力。
目前,审计行业整体缺少对大数据工具的运用指引,审计人员面对各种类型的虚拟数据时,缺乏清晰、明确的审计目标、缺少可操作性的调查方法、缺少对关键信息的判断标准。这些都导致审计人员无法高效、准确得执行审计工作。因此,需要在行业层面制定专门化的大数据审计操作指引、大数据审计标准底稿等,为审计人员提供明确的审计方向和目标路线,为审计行业“筑基提效”。