[摘 要] 本文从数据流的角度对联网审计的业务流程进行了再认识,分析了数据在联网审计各个阶段的不同状态及其在整个审计过程中的流向,从而提出了针对数据流的联网审计项目质量控制方案。
[关键词] 数据流;审计;质量控制
[中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2008)18-0047-04
联网审计是国家审计机关依托现有的网络环境,对国家财政和需要进行经常性审计监督且关系国计民生的重要行业或部门实施的以“预算跟踪+联网核查”为主要特点的审计。联网审计作为一种崭新的审计理论和审计方式,改变了审计人员长期以来的审计思维方式,也冲击着现有的审计组织方式。目前,国家审计署“金审工程”二期建设已将联网审计列为重点建设项目,此前审计署曾进行过关于联网审计的试点工作,并且各审计机关也已经或正在进行联网审计的有益尝试,联网审计已成为审计发展的必然方向。在计算机联网审计中,电子数据作为重要的审计信息载体始终贯穿于审计过程之中,对审计结果和审计质量起着非常关键的作用,针对电子数据流程来设计审计项目质量控制方案将更符合联网审计的要求。
一、网络环境对审计项目质量控制的影响
在网络环境下,传统审计的审计方式和审计内容发生了很大变化,相应地对审计项目质量控制也产生了较大影响,具体来说有以下几方面:
(一)审计证据形式发生改变
审计证据是控制审计工作质量的关键,审计过程的大部分时间用于审计取证活动,审计证据的真实性、合法性,直接关系到审计质量的高低和审计工作的成败。但在网络条件下,大部分审计证据将从传统的纸质材料变为存储在计算机或存储介质中的电子数据,并且审计取证的方式也发生了改变,审计人员需要用计算机信息技术去采集、发掘、分析和处理会计资料,利用先进的审计软件进行网上信息的搜集,应用数据库技术对会计数据进行可靠、完整的保存和管理,从而获得审计证据。
(二)内部控制向信息系统延伸
内部控制是被审计单位对其经济活动进行组织、制约和调节的重要工具,也是审计人员用以确定审计方法和程序的重要依据,对被审计单位的内部控制进行测试和评价能够有效降低审计风险。在联网审计中,由于被审计单位的业务很大一部分是利用计算机信息系统进行处理的,所以在对被审计单位内部控制进行调查时,不得不考虑被审计单位对计算机系统的管理和系统运行以及对系统的输入、输出等具体应用情况,也可以说在网络环境下,内部控制逐渐向信息系统延伸。
(三)各环节控制内容发生转移
审计项目质量控制是通过对审计工作各环节进行规范来实施的。联网审计的审计程序虽然仍可分为审计准备、审计实施和审计终结这3个阶段,但在每个阶段的各环节中,审计工作的内容和重点已发生了改变,尤其是电子数据流程在审计工作中发挥着越来越重要的作用。联网审计的实施主要通过审计数据的采集、转换和分析处理等几个关键步骤来完成,因此在各环节对审计工作质量的控制内容也发生了转移。
(四)审计风险增大
由于网络环境下,存储在磁性介质中的电子证据本身的脆弱性和网络的开放型,使得安全性成为网络审计的首要问题。会计资料有可能被人恶意篡改而不留痕迹,一些敏感的数据信息在网络传输过程中可能被人截取、修改和拷贝,使审计证据的安全性难以保证,一旦审计人员忽视了这个问题采用了失真的审计证据,会给审计工作带来灾难性后果。因此,审计工作的风险变得更大,审计质量控制的任务也变得更艰巨。
二、联网审计的业务流程
联网审计的基本程序仍可划分为3个阶段:审计准备、审计实施和审计终结阶段。但在各个阶段内,审计的业务流程与传统审计相比发生了较大的变化。下面对联网审计的主要业务流程加以简单介绍,联网审计的总体业务流程如图1所示。
(一)审计准备阶段
审计准备是以审前调查为基础,充分掌握被审计单位的基本情况,收集相关资料的活动。联网审计中审计准备工作流程与传统审计基本相当,也包括编制审计项目计划、组织审计力量、初步调查了解、拟定审计方案和下达审计通知书等几个环节;但在初步调查了解环节中,审计人员除了要了解被审计单位的机构设置、管理制度等软环境外,更重要的是了解被审计单位的计算机应用系统、数据库管理系统和电子数据的相关情况,并进行审前调查报告的写作;在拟定审计方案环节,要根据初步调查的情况,在审计组内划分任务,界定责任,并确定审计范围、内容和重点。
(二)审计实施阶段
在审计实施阶段,可分为3个流程:原始数据准备、分析数据准备和数据分析。在此之前,首先是由审计人员进行深入研究,调整充实审计方案。在这一环节,审计人员要对被审计单位的内部控制制度进行评估,由于在审前调查阶段已对被审计单位计算机系统及数据库系统进行了初步了解,所以此阶段审计人员主要工作是:(1)进行网络测试,即测试网络的连通性、可靠性以及传输性能,保证在数据采集传输过程中的安全和完整;(2)分析被审计单位的数据库结构,在审计方案确定的范围内确定所要采集的数据库和数据表,根据实际情况确定数据采集方式,并将已确定的内容充实到审计方案中去。
原始数据准备环节包括数据采集和数据转换两个子流程。在数据采集子流程,审计人员首先要向被审计单位提出数据采集需求(由于具体采集需求在审计通知书时还未确定,相当于是审计通知书的补充),在数据采集需求书中应明确所要采集的数据库名称、数据表名称、具体采集方式、具体传输方式、数据的时间范围、数据交接的方式和其他应注意事项,另外为了规避审计风险,还应在数据采集书要求被审计单位承诺所提供的电子数据的真实、合法性;其次是正式的数据采集工作,根据已确定的采集方式进行采集(一般有直接复制、通过中间文件采集、直接连接数据库等方法);最后是采集后的数据验证,这一工作可由采集前置机来完成,也可由审计人员完成,主要是验证所采集的数据是否是采集需求中规定的数据,有无经过被审计单位的有意篡改。在数据转换子流程,审计人员根据拟采用的数据分析工具要求,利用通用或专用数据转换工具或转换模板对采集到的数据进行转换,数据转换工作要达到两个目标:一是转换后的数据格式能被审计分析软件所识别和使用,二是转换后的数据表中应能明确看出每个字段的含义。此外审计人员还应对转换后的数据进行验证,确保转换工作没有破坏数据的完整性。
分析数据准备包括数据清理和建立审计中间表两个子流程。在数据清理时,首先要对转换后的数据进行分析,确定其中有无妨碍审计分析的问题,如出现空值、数据冗余等,并制订清理的方案;其次是具体的数据清理工作,主要靠审计人员编写程序脚本完成;最后还应对清理后的数据进行验证,确保清理工作没有改变原本数据的经济含义以及影响到其他数据。建立审计中间表是在前面工作的基础上完成的,数据转换后形成的数据表可认为是基础性审计中间表,此时的审计中间表还不具有分析价值。建立审计中间表的过程就是将转换、清理后的数据按照提高审计分析效率、实现审计目的的要求进一步选择、整合而形成适用于审计分析的数据表的过程,相当于是对基础性审计中间表的“再加工”。
数据分析环节是最重要的一个流程,包括建模分析、审计取证和编制审计底稿3个子流程,严格地说这3个子流程并不是按时间顺序进行的,有可能交替进行,建模分析与前一环节紧紧相连,审计取证和编制审计工作底稿的工作可能贯穿整个工作流程。建模分析应先根据审计需求确定建模和分析的思路,然后进行总体或个体的分析,这一工作主要利用审计分析软件来完成,在分析过程中应对出现的问题和结果进行记录,分析完成后还要对分析过程和分析结果进行复核,经验证无误后才可进行审计取证,并且尽可能获取书面证据。在整个分析过程中应做好审计工作底稿的记录。
(三)审计终结阶段
联网审计的终结阶段与传统审计并无多大差别,也包括出具审计报告和审计项目归档两个流程。审计组在取证完成后应拟定审计报告初稿,并与被审计单位交换意见,在定稿后报审计机关批准并发布审计报告。在进行审计项目归档时,审计机关除了要将审计工作底稿、审计证据、审计报告等文件资料归档外,还应将电子数据统一存储和归档,便于以后调用。在审计项目归档后,整个审计项目工作流程便告结束。
三、联网审计项目质量控制
从上面的分析可以看出,联网审计的每个步骤都具有明确的目的性,即其数据在每个阶段或环节都有明确的流向,且数据的流向是根据审计的下一步工作来确定的。根据数据流的流向拟定审计项目质量控制方案,可以为审计质量控制工作提供一条新的思路。
(一)审计准备阶段的质量控制
在审前准备阶段还未出现电子数据流,审前准备的调查只是针对被审计单位的一般情况进行调查。从审计流程可以看出,审前准备阶段的质量控制点应放在审前调查内容的确定和审计方案的拟订上,主要看审计组是否详细调查被审计单位的计算机应用系统、数据库管理系统、系统的主要功能和业务处理流程,以及未采用计算机系统处理的业务。对审计方案的控制主要查看审计组拟定的审计方案是否合理,是否是在经过审前准备的基础上拟定的。
(二)审计实施阶段的质量控制
审计实施阶段是数据流最为集中也是质量控制最为关键的阶段,依据数据流进行控制的思路是:若数据在某一过程中发生变化,则这一过程以及引发这一变化的因素应成为关键控制点。下面分别从实施阶段的3个环节分析数据的流向以及在每个环节数据的状态和所处的位置,并提出质量控制的方案。
1. 原始数据准备环节
原始数据准备环节的数据流向如图2所示。
从数据流图可看出在原始数据准备环节中,数据发生了3次变化,质量控制也应从这3次变化入手:第一,源数据在经过数据采集后,所处的位置发生了变化,源数据不再与被审计单位数据库相融,而是单独成为一个数据源,引发这一变化的因素是数据采集的策略。因此,应从数据采集策略的角度进行质量控制,具体来说:一是查看数据采集需求书,其中对采集内容、采集方式的确定是否合理,有无被审计单位对所提供数据的真实性、合法性的承诺;二是查看数据验证记录,看审计组是否对采集到的数据进行了验证,以及采集到的数据完整性如何。第二,在传输过程中数据的形态发生了变化,传输后数据的位置也发生了变化,质量控制主要查看传输前审计组是否进行了网络连接测试,网络性能如何,查看数据验证记录中数据传输后的完整性如何。第三,源数据在经过数据转换后,已成为具有审计意义的基础性审计中间表,这一环节的质量控制,一是查看转换的内容和方式,数据转换后是否达到了既定的“两个目标”,二是查看数据验证记录,转换工作是否改变了字段的经济含义等重要信息。
2. 分析数据准备环节
分析数据准备环节的数据流向如图3所示。
基础性审计中间表在数据清理过程中,并没有发生实质性变化,但数据清理对下一步的数据分析具有十分重要的作用,对这一环节的质量控制主要是查看审计组在清理之前是否对基础性审计中间表进行了详细分析,查看数据验证记录,清理工作有无影响到清理范围以外的数据。建立审计中间表的过程使得电子数据发生了质的变化,从被审计单位的业务数据彻底变为审计分析数据,质量控制工作一是查看审计组是否对基础性审计中间表的表间关系进行了分析,二是查看数据分析的思路和提出的分析方案是否合理,能否满足审计需求。
3. 数据分析环节
数据分析环节的数据流向如图4所示。
数据分析环节的数据流向并不是单向流动,因为审计中间表在分析过程中任一时刻都有可能成为审计证据,而审计证据也可能成为下一步分析的中间表。由于数据分析大部分是靠审计软件来完成的,因此质量控制的关键点应放在审计取证上,主要审查审计取证的方法是否得当,审计证据是否经过严格的验证和复核,说服力如何。另外,实际上审计质量控制的评价工作大部分都是依托审计工作底稿来完成的,所以审计工作底稿的质量可以说是审计工作质量的基础。
(三)审计终结阶段的质量控制
在审计终结阶段,审计报告当然是审计质量控制的重要一环,主要审查审计报告是否附有充分的审计证据,发表的意见是否得当。而作为审计证据的电子数据在审计归档环节,则变为电子档案,存储在审计档案中心。审计归档环节的质量控制应对审计机关审计电子档案的存储和管理工作进行评价。
当然,联网审计是一项新生理论,联网审计工作的质量控制更是一项全面、系统的工程,并不是单凭对数据流的控制就能达到目的,而是需要全方位、多角度的控制;而且本文只是对联网审计的质量控制提出了一种思路,期望起到抛砖引玉的作用,具体的质量控制框架和标准还需要广大审计人员深入研究。
主要参考文献
[1] 国家审计署. 审计机关审计项目质量控制办法[S]. 2006.
[2] 李凤鸣. 审计学原理[M]. 北京:中国审计出版社,2000.
[3] 刘汝焯 等. 计算机审计中关于电子证据的几个法律问题[J]. 审计研究,2004(3).
[4] 金光华. 计算机审计实务[M]. 北京:中国时代经济出版社,2002.
[5] 刘汝焯 等. 计算机审计质量控制模型[M]. 北京:清华大学出版社,2005.