在新经济时代,电子商务的发展使企业组织与交易方式发生较大变化,信息技术的发展为组织的管理变革提供了技术手段,信息化已是大势所趋。我国企业的信息化发展也突飞猛进。截止到2005年底,全国拥有各种信息化管理软件厂商共有900多家,全国大中型企业信息化普及程度达到72%,预计到2008年,大中型企业信息化普及程度将达到85%以上。随着信息化的迅猛发展,审计业务范围不断扩大,数据式审计显得越来越重要。
目前数据式审计还没有公认的定义。1985年日本通产省情报处理开发协会信息系统审计委员会认为:数据式审计是由独立于审计对象的信息系统审计师,站在客观的立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题,追求系统的有效利用和故障排除,使系统更加健全。因此,数据式审计也称为信息系统审计(IS审计)。国际信息系统领域的权威专家Ron Weber将其定义为:收集并评价证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
一、数据式审计的发展历程
数据式审计起源于20世纪60年代初,最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单,相应地数据审计也仅仅是关注对被审计单位电子数据的取得、分析、计算等数据处理过程,这个时期的审计还称不上真正的数据式审计。
从传统的账项基础审计、制度基础审计和风险基础审计三个发展阶段看,由于信息技术在经营和管理领域中的逐步运用,数据式审计陆续贯穿于各项审计之中。作为审计业务的一个专业技术领域,数据式审计在审计发展的各个阶段呈现出不同的特点。在账项基础审计阶段,数据式审计的主要业务内容是对交易金额、账户、报表余额进行检查,属于审计程序中的实质性测试环节,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计的审计结论提供支持服务。在制度基础审计模式下,计算机审计的业务内容已经扩展到符合性测试领域。随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子数据的处理,延伸到对计算机系统的可靠性、安全性进行检查和评估。风险基础审计模式的采用以及信息技术在被审计单位各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织面临的各种风险有着越来越紧密的联系,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入到考虑范围之中,真正的数据式审计也随之出现。
二、数据式审计与传统财务报表审计的区别
(一)审计目标不同数据式审计的目标是对被审计单位计算机信息系统的安全性、可靠性、有效性和效率性发表意见。因此,数据式审计侧重于对软件系统本身的有效性和效率性以及内部控制的完整性、一致性与安全性进行审查。而财务报表审计的目标是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表意见。
(二)审计对象、内容不同数据式审计的对象是被审计单位的计算机会计信息系统,覆盖了会计信息系统从计划、分析、设计、编程、测试、运行维护到该系统报废为止整个期间的各种业务,其侧重点着重于会计信息系统本身的安全性、可靠性、有效性及其效率性。而财务审计的对象是被审计单位的财务收支及有关的经营管理活动,会计资料和其他相关资料是审计对象的反映,其所反映的被审计单位的财务收支及其有关的经营管理活动是具体审计对象的本质。会计信息系统的系统资源、运行环境及系统的生命周期全过程是数据式审计的内容,包括计算机资源管理审计、硬件和软件等的获取审计、系统软件审计、程序审计、数据完整性审计、系统生命周期审计、应用系统开发审计、系统维护审计、操作审计和安全审计等。而财务报表审计的内容是与被审计单位会计报表有关及与注册会计师的审计意见有关的资料。
(三)审计依据不同 审计依据是提出审计意见、做出审计决定的依据,是审计人员在审计过程中用来衡量审计事项是非优劣的准绳。信息系统审计师执行数据式审计时,主要以信息系统的管理制度、条例和法规等为主要依据。而财务报表审计所执行的是《独立审计准则》。注册会计师执行财务报表审计时主要以财务制度、会计法及其他法规为依据。数据式审计工作目前还处于探索阶段,尚没有形成一套成形的专业规范。信息系统审计与控制协会是数据式审计行业唯一的国际性组织,数据式审计师应根据信息系统审计与控制协会发布的《信息系统审计准则》执行数据式审计业务。
(四)审计技术不同 会计信息系统是建立在计算机硬件和软件基础之上的,对会计信息系统进行了解、描述,需要掌握一些专门的技巧和信息技术知识。对系统进行测试,特别是对应用程序及嵌入到程序中的各项控制措施进行审查时,必须运用计算机辅助审计技术。随着信息技术应用的广泛深入,信息系统日益复杂,同IT环境下的财务审计相比,执行信息系统审计所采用的计算机辅助审计技术则更为复杂。财务报表审计中运用计算机辅助审计技术的目的是为了提高审计效率,因而是可选的。
(五)审计人员不同 数据式审计人员必须精通信息技术,掌握网络、数据库、电子商务、信息系统的开发与管理和计算机辅助审计技术,并且应掌握一定的审计理论与实务,以指导其开展信息系统审计工作。因此,数据式审计的人员组成不同于传统财务审计的人员组成,它主要由会计信息系统审计人员和计算机专业人员组成。而财务审计人员必须精通会计和审计的理论与实务,掌握会计法、税法及其他有关法规和财务制度。同时,在IT环境下执行财务审计,审计人员还必须具备一定的信息技术知识,掌握一定的计算机辅助审计技术,以提高审计工作的效率。
三、数据式审计在我国现状及存在的问题
(一)数据式审计在我国的现状我国处于数据式审计发展的初级阶段,起步较晚。国家审计署计从八十年代后期开始应用计算机审计,到目前为止,我国的数据式审计工作还处于探索阶段,没有形成一套成形的专业规范,也没有形成一支能够全面开展数据式审计业务的人才队伍。我国会计审计界所进行的计算机审计的探索和尝试以及开发的计算机审计软件大都还停留在对被审计单位的电子数据进行处理的阶段。我国在信息化推进的过程中,在不同程度上存在一些问题,主要表现为规划制定不够深思熟虑;项目管理不够严格;系统运行效益不够明显。究其原因是相当普遍地对信息化风险认识不足,规避风险的措施不力,运用传统的会计审计知识已经不能对客户进行风险评估、内控测试与评价,从而无法进行真正意义上的数据式审计业务。
(二)数据式审计在我国存在的问题一方面是审计人员的数据式审计专业知识和专业能力偏低。审计人员对待计算机审计有三种方式,即绕过计算机审计,通过计算机审计及利用计算
机审计。目前,注册会计师审计通常是采用绕过计算机审计的简单方法,只有极少数的注册会计师进入了通过计算机审计的阶段。产生这种现象的原因,一是由于在我国大多数企业,尤其是中小型企业,计算机应用还只是一种尝试,数据处理传递的自动化水平较低;二是由于我国注册会计师的市场化建设推行较晚,现行的注册会计师的素质较低,同时在注册会计师的考试中也没有计算机方面的要求,因此,绝大多数的注册会计师运用计算机的水平很低,注册会计师的审计工作仍然是传统的手工审计为主。
另一方面是审计软件的发展存在严重问题。主要包括:一是审计软件的理论研究严重不足。审计软件的开发仍没有摆脱传统的手工审计模式,仅仅适用于一些查帐的程序,并且绝大多数的审计软件仅仅适用于定期审计,跟不上信息化的发展速度和要求。目前,我国对于计算机审计软件方面的理论研究还很不足,而审计软件的开发却已经蓬勃发展起来,这就造成了理论和实践的脱钩,审计软件的开发缺乏理论指导。二是会计软件和审计软件严重脱节。很多会计软件没有设计专用的审计软件接口,使得在会计软件中嵌入适时跟踪监控的审计程序难以实现,审计软件的数据收集等功能受到很大的制约,对计算机审计的发展极为不利。计算机审计软件要发展,不能专为一种会计软件而开发,会计软件不规范,必然导致计算机审计软件的编译过程过于庞大或者对于部分会计软件的不适用。三是计算机审计准则、标准和规范不完善。信息化的大力发展,使审计工作环境、审计范围、审计对象、审计目标、审计线索等基本审计要素发生重大转变,原有的针对手工审计所制订的审计准则、标准和规范已不能适应数据式审计的发展要求。目前,国家没有出台相应的计算机审计准则,对审计人员开展数据式审计产生了一定的风险和障碍。
四、数据式审计在我国推进的发展策略
(一)数据式审计判断效率化——建立独立客观的审计专家系统专家系统是人工智能走向实用化的一个最新研究领域,它是一种以知识为基础、智能化的计算机软件系统,它将专家的知识、经验加以总结,形成规则,存入计算机建立知识库,采用合适的控制策略,按输入的原始数据进行推理、演绎,作出判断和决策,因此能起到专家的作用。专家系统的另一个优点是它能够保持审计的客观独立性。专家系统是一种以计算机支持的电子设备,它解决问题的唯一依据是专家的知识经验、政策法规和推理机制。因此,要保证专家系统研制、生产的独立性,从主观上讲,审计专家系统完全能够保持客观、正直和独立的审计态度。
(二)数据式审计软件商品化——使会计软件与审计软件相互配合《审计署关于计算机辅助审计的暂行办法》第7条规定:“为便于审计机关实施计算机审计,审计机关应当要求被审计单位的计算机应用系统给审计留有数据接口和必要的工作空间,该数据接口应当能将计算机应用系统中应用的数据转换成审计机关指定的格式输出”。因此,所有会计软件必须建立标准的审计数据接口,使不同格式的数据能够在审计时转换成同一格式,为审计软件所认识,从而节省审计人员的时间和精力,提高审计效率。现有的会计软件必须进一步改善,增加数据转化的模块,将其会计数据转化成合乎会计数据接口标准的形式,以便与审计软件配合使用,实现会计审计一体化。同时,在会计软件中设置相应的模块,使系统能提供完整的数据修改日志,使审计线索更加清晰有效,这就要求在软件开发过程中设计相应的内部控制监控子系统。
(三)数据式审计立法规范化——建立权威的审计法规库数据式审计是一种《审计法》没有明确规定的审计方式,因此,数据式审计的法律地位是审计立法中应当予以首要解决的问题;数据式审计中审计证据大多以电子数据的形式出现,因此,这种审计证据的法律地位是数据式审计立法中必须解决的核心问题;建立权威而完善的审计法规库是数据式审计必须要解决的问题,使审计人员能通过计算机进行快捷准确的查询,进而避免法律法规的错误引用所带来的麻烦。
(四)数据式审计研究系统化——大力开展数据式审计理论研究,使理论与实践相融合数据式审计是一种新兴审计模式,数据式审计的理论研究显得尤为欠缺,这不仅是实务界的责任更是学术界的责任,必须大力开展数据式审计理论研究,使理论与实践相融合。
(编辑 代 娟)
