时间:2023-03-17 17:57:19
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇审计数据分析论文范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
1 现代审计与传统审计的共同点
计算机审计的目标与传统手工审计的目标是一致的,无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
2 现代审计与传统审计的差异
2.1 站在新角度 随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显着特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
2.2 面临新环境 计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.3 线索更复杂 计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
2.4 涉及的范围更大 在会计电算化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
2.5 审计技术更现代 传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
随着“金审工程”的实施,计算机审计正逐步取代传统的手工审计方式,成为开展审计工作的“利器”。但不少人经常混淆计算机辅助审计与计算机审计的概念,并没意识到计算机审计与传统手工审计两者的巨大区别,没意识到计算机审计的应用将引发一场审计革命。为了促进计算机审计的发展,必须澄清计算机审计与传统手工审计的概念以及其区别。
一、传统手工审计与计算机审计
传统的会计、统计和计划等管理数据的处理是以手工操作为主,传统审计也是以手工的会计资料处理系统为特征的。随着审计事项规模的不断扩大和日益复杂,传统手工审计的取证模式也逐渐从账目基础审计发展到制度基础审计再发展到风险基础审计,审计取证的切入点从反映经济业务的纸质账目演变为内部控制制度再演变为内部控制制度与风险因素,审计对象从纸质账目系统一个变为内部控制制度与纸质账目系统两个,审计的核心方法也从详查法发展为测试法;而测试法的大量运用,使审计方法发生了实质性的变化,并使其最终脱离了簿记方法,产生了真正意义上的审计方法,并使“簿记审计”转变为“测试审计”,使审计逐步脱离审计就是查账的概念。
在纸质环境下,审计实务可根据具体审计项目的审计目标选择相应的审计模式,既可以采取账目基础审计模式,也可以采取制度基础审计模式或风险基础审计模式。但随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。因此,为适应信息化建设的迅猛发展和审计环境的巨大变化,计算机审计应运而生并逐渐成为世界各国信息化环境下的审计发展的方向。
计算机审计是指在信息化环境下,计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门崭新的审计学科。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标的审计方式。因此,计算机审计的含义包括两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;另一方面,利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。
二、计算机审计和传统手工审计比较
(一)相同之处
从根本上说,计算机审计的目标与传统手工审计的目标是一致的,都是《中华人民共和国审计法》所规定的监督被审计单位的财政收支或者财务收支的真实性、合法性和效益性,以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展;其职能都表现为经济监督、鉴证和评价。在实施审计的过程中,审计人员都必须以《审计法》或《注册会计师法》以及相关的审计准则作为执业标准和职业规范,以会计准则与相关的法律法规作为判断被审计单位财政收支或者财务收支是否真实、合法的标准。无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
(二)不同之处
1.审计环境不同。计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.审计的思维方式不同。随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显着特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
3.审计线索不同。计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
4.审计测试的对象与范围不同。在会计电算
化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。因此,会计电算化系统及其处理的合法性、正确性、完整性和安全性与系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。为了控制数据风险,保障审计目标的实现,计算机审计的一项重要内容是对系统内部控制进行调查、测试和评价,包括会计电算化系统的审计与测试,这是手工审计所无法实现的。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统账套中是无法轻易取得的,从而扩大了审计人员的视野,丰富了审计人员的可用信息。此外,由于运用了先进的信息化手段,计算机审计可以非常快速和非常便捷地处理海量数据,解决了在纸质和手工条件下审计人员想做而不可能做的事情。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
1现代审计与传统审计的共同点
计算机审计的目标与传统手工审计的目标是一致的,无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
2现代审计与传统审计的差异
2.1站在新角度随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显著特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
2.2面临新环境计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.3线索更复杂计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
2.4涉及的范围更大在会计电算化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
2.5审计技术更现代传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
进入21世纪以来,我国电力企业经营管理涉及业务领域不断扩张,呈现出经营范围跨度大、营业场地分散、组织结构关系纵横交错等一系列特点,从而迫使电力企业必须借助于信息技术手段,利用计算机网络系统进行全过程信息化企业管理。所谓信息技术,是指“有关信息的收集、识别、提取、变换、存储、传递、处理、检索、检测、分析和利用等的技术。计算机技术与现代通信技术一起构成了信息技术的核心内容。”
内部审计部门作为电力企业综合性的经济监督部门,面对这种新的形势,必须适应经济社会信息化发展的要求,加快推进内部审计信息化建设,使内部审计作用真正有效发挥,并协助企业提高经济效益,增强竞争能力。为此,电力企业集团提出了建设国际一流电力公司审计的发展目标,并于2002年8月颁发了《关于建设国际一流电力公司审计的指导意见》(国电审[2002]568号)及《国际一流电力公司审计工作考核标准》、《中国一流电力公司审计考核标准细则》两个实施细则,用于指导内部审计实践。2007年10月17日,中国国电集团公司又印发了《中国国电集团公司内部控制审计标准(试行)》,该标准指出:电力企业内部控制审计是审计人员对企业内部控制的健全性、可靠性、有效性和效率性进行的测试与评价。审计主要内容包括:审查内部控制环境、审查风险管理、审查内部控制活动、审查获取信息及处理信息的能力、审查监督情况。这表明,电力企业相关内部审计制度和标准已经建立并逐渐完善起来了。
但令人遗憾的是,由于各方面的原因,目前信息技术手段在电力企业内部审计中的应用还存在一些问题和不足,从而影响了内部审计工作的成效。本文对中国南方电网公司贵州电网下属电力企业内部审计信息化的现状及存在的问题进行了一些探讨,并提出相关建议。
一、企业内部审计信息化的现状及存在的问题
贵州电网公司是中国南方电网有限责任公司的全资子公司,负责贵州电网的统一规划、建设、管理和调度。公司下辖电力销售、设计、施工、科研等23家单位,2008年公司完成售电量904.34亿千瓦时,主营业务收入349.5亿元,以电力为主的能源工业已成为贵州的第一支柱产业,带动了相关产业的发展,对贵州经济发展起到了突出的拉动作用。在信息化建设方面,早在2005年,贵州电网公司下属电力企业就引进了中普软件公司开发的中普审计管理平台,主要功能是进行财务审计。2009年,该软件进行了升级,审计内容扩展到电力营销审计。总之,近年来,电力企业的内部审计部门在机构设置、人员素质的提高、审计范围和内容的扩展以及审计手段与方法的创新等方面做出了很多有益的尝试与探索,从而使内部审计在改善电力企业经营管理和提高经济效益等方面发挥了一定的积极作用。2008年,公司获得“2005-2007年度全国内部审计先进单位”和“2005-2007年度贵州省内部审计先进单位”的荣誉称号。另据统计,2005-2007年公司审计系统共完成审计项目2919项,其中工程项目审计2244项,财务收支审计215项,资产经营责任审计153项,任期经济责任审计126项,预算审计104项,审计调查53项,效益审计、风险审计和内控审计等创新审计项目24项;共提出审计建议2673条,促进增收节支9075万元,查出会计信息失真金额53277万元。
但是,勿庸讳言,由于各种原因,目前信息技术手段在贵州电网公司电力企业内部审计中的应用还存在一些问题和不足,从而影响了内部审计工作的成效。
首先,当前电力企业的审计人员大都具有财务工作背景,通常拥有会计师、审计师、注册会计师、工程预算审计师等职称或注册证书,从事过一定年限的审计实务操作,或者在财务岗位工作过一定时间,对于从事传统财务审计、经营审计工作没有问题。但是,勿庸讳言,许多审计人员的电力专业及相关管理知识储备不足,导致不少企业的内部审计仅局限于企业财务会计方面的审查,很少触及电力经营管理的其他领域,从而使内部审计多属财务性质,使得内部审计工作实际上变成了财务会计的自审过程。此外,在国内财务系统计算机运用水平方面,内部审计人员也远远落后于财务人员,而且审计人员本身对财务软件不太熟悉,这不仅增加了审计难度,而且效率低,准确率差,影响了内部审计作用的发挥。
其次,内部审计机构占有的有效信息不足。一方面,随着电网建设规模的扩大,贵州电网公司的资产规模将翻番,因些无论从人员规模、营业规模,还是管理结构,都变得越来越庞大。目前,贵州电网公司拥有直属单位22个,并对全省88个县(市、区)供电(电力)局(公司)进行直管或代管。直属单位中既包括供电局,还有电力建设工程公司、电力设计研究院、电力物资供应分公司、贵州电力职业技术学院、贵州电力职工培训中心、贵州电力职工医院和贵龙饭店等众多经营实体。这些基层单位涉及众多不同行业,生产经营过程中需要采购众多不同类别的产品,审计人员难以准确判断所有原材料、劳务采购价格和产品、服务销售价格的公允性,审查难度较大。另一方面,目前内部审计信息的共享性差,其他部门使用的营销管理系统、财务系统、生产管理系统、人力资源系统、工程结算软件的运用还是相对独立的,没有与审计部门建立网络联结,未能实现数据共享和实时监控,不能及时、全面地收集经营信息和财务信息,审计信息也不能及时反馈。可以预见的是,今后随着贵州电网公司规模和管理跨度的进一步加大,内部审计机构占有有效信息不足的问题将更加突出。
二、内部审计工作中应用信息技术手段的几点建议
首先,应充实内部审计队伍,提高审计从业人员的信息技术素质。
无论计算机辅助审计技术如何先进,归根到底,电力企业的内部审计工作依然要依靠审计人员来执行,在内部审计工作中起决定作用的依然是审计人员。同时,内部审计信息化建设的发展必定对从业的审计人员提出更高的职业要求。要在信息化环境下更好地执行内部审计任务,审计人员除了要具备丰富的金融和审计知识与技能外,更应具备计算机、网络、信息系统等多方面的知识与技能。因此,内部审计部门应优化群体结构,选聘优秀的专业内部审计人员。建立审计人员计算机上岗考核制度,定期开展计算机审计经验交流活动,促使他们通过培训、考核、交流以及自学等途径掌握计算机的操作和应用等技能。
除了配备专职的内部审计人员外,还可聘用工程技术专家、计算机工程师等专业人员解决计算机审计中出现的困难。同时,让他们与审计人员相互学习,造就一大批既懂电力企业业务,又熟悉计算机操作的审计人员,以适应电力企业内部审计信息化的需要。
其次,应该通过各种信息技术手段,不断加强内部审计信息的收集工作,并形成信息共享机制。
基于信息技术的内部审计的特点是以审计单位和被审计对象的计算机联网系统为载体。审计人员可以实时调取被审计单位有关资料,收集审计有用信息,并对财务报告做出单独审计的过程,使审计结论更为可靠。前文已述,电力企业内部审计机构存在占有有效信息不足的问题。要从根本上解决这个问题,必须依靠信息网络技术,实现内部审计系统与经营业务系统和财务系统的有效联接,根据审计监督业务和审计管理需要,从企业内部各个信息源取得各类审计信息。利用计算机网络技术,审计人员还可以通过实时检测、检查各部门电子账数据存储、备份方式,检测数据文件形成的名称、位置、时间、大小和属性,防止人为删除、修改和重新输入数据等变化。审计人员还能注意到电子原始凭证数据形成时的合法、合理性,监测系统的运行是否正常,并抽取样本检查其是否真实完整。交易测试几乎可以与交易的处理过程同步,从而将传统审计的事后监督变为实时监督。
此外,通过不同途径收集而来的审计信息,严格地讲只是一些原始材料。必须对这些原始信息进行全面校验,剔除不准确的信息,同时压缩多余的信息,变模糊为清晰。通过审计信息加工,还能产生出新的、更有价值的信息,往往从中产生许多很有价值的结论。此外,内部审计部门应尽快建立审计法规政策和被审计对象信息库。建立被审计对象资料信息库,将被审计单位的有关数据以及审计报告、审计决定、整改落实情况等附加信息录入库内,并逐年更新完善,可以达到对审计对象实行动态管理,提高后续审计项目的工作效率。建立电力企业常用审计法规信息库,既能够使审计人员快速了解和掌握最新的法律法规和国家有关的方针政策,又可以对照审计所发现问题的违规依据,做到有理有据,使被审计单位心服口服,同时也可以增强审计报告的规范性和严肃性。
第三,应利用信息技术手段,强化内部审计信息的输出与反馈。
内部审计的目的,是前瞻性的发现风险,并对风险进行防范和控制。2002年,国际内部审计师协会颁布了《内部审计职业实务准则》,该准则将内部审计定义为:“内部审计是一项客观独立的保证和咨询活动,其目的是为实现价值增加并提高组织的经营效率。”这表明,除了传统的保证服务之外,企业内部审计部门还应就如何改善组织的风险管理和内部控制向企业管理层提供审计数据分析和咨询服务。
审计师运用数据分析技术,可以对海量的审计数据进行分析,从中发现审计线索,有针对性地执行审计程序。目前在国外,以交易类型数据分析为导向的审计数据分析技术已经得到了比较广泛的运用,数据分析技术被广泛地应用在审计的计划和风险评估、异常交易数据的查找和线索发现、舞弊现象的侦测、评估和检测内控的有效性以及探求业务流程的改进机会等各个方面。如奥地利政府财政部的审计师在对来自各业务平台上的海量税务和海关数据进行分析,在巨大的时间压力下,完成了对公司发货额和公司记录的销售额的全面审计,挽回了8500万欧元的损失,并改进了审计流程,以防止舞弊行为的再度发生。
因此,电力企业内部审计部门应充分利用信息技术手段,强化内部审计信息的输出与反馈功能,为企业管理层和其他部门提供服务,向信息共享、实时审计方向发展。审计工作要围绕电力企业生产经营活动中遇到的难点、热点问题,特别是在财务管理、营销管理过程的关键点和关键环节,围绕财务管理的内部控制制度的建立、实施、考核、评价和监督开展审计课题研究,与现有的“电力营销自动化系统”和“电费管理实用化系统”相结合,找出审计监督的关键控制点,将审计管理、财务管理、营销管理的职能进一步延伸,使运行系统和监督系统紧密联系,从而提升企业的整体管理水平。
总而言之,信息技术手段的发展与应用不仅为电力企业内部审计的自身发展提供了契机,而且有利于电力企业在市场竞争中处于优势地位。目前我们对信息化环境下电力企业内部审计工作的研究还是一个较新的领域,目前相关的理论研究和实际应用成果还不是很多。本文的研究是笔者在此领域的初步探索,难免存在缺点和不足,敬请同行和专家批评指正,并将在今后的研究中不断加以完善。
参考文献:
[1]赵妙如.lT环境下内部审计参与企业风险管理研究[D].云南财经大学硕士学位论文,2008:19.
[2]任志媛.增值型内部审计在电力企业中的应用研究[D].华北电力大学硕士学位论文,2007:16.
[3]资料来源:中国电力网.《中国国电集团公司内部控制审计标准(试行)》印发[EB/OL].省略/article/1108/art1108925.asp
[4]资料来源:贵州电网公司网站.公司简介[EB/OL].gz.省略/show.aspx?id=40001&cid=187
[5]资料来源:贵州电网公司. 贵州电网公司获全国内部审计先进单位奖[EB/OL]. gz.省略/show.aspx?id=44913&cid=176.
重要性水平是指被审计商业银行财务会计报告中存在错报或漏报的程度,这一程度在特定环境下可能会影响审计目标和财务会计报告使用者的判断或决策。论文百事通因而对重要性水平的判断直接影响到审计的深度和广度,如果重要性水平定得过高,则审计中执行的审计程序和获取的审计证据可以随之减少,但却可能产生较大的审计风险;如果重要性水平定得过低,审计人员要执行详细审计程序和获取过多的审计证据,从而影响审计效率。在随后的分析性复核和实质性测试中确定抽样规模时,都会用到重要性水平,如根据重要性水平确定货币精确度(MP),根据货币精确度来确定可接受偏差和抽样间距等。目前,国外商业银行审计重要性水平一般以税后利润的5—10%确定,当税后利润很小或为负数时,则以净利息收入的一定比例来确定。
二、审计程序
将商业银行整个审计过程分为审计计划、审计实施和审计报告三个阶段:
1.审计计划阶段。审计计划阶段的工作非常详细,主要包括根据业务特点评价审计项目风险,选调人员组成审计组。调查的内容包括:被审计银行的经营业务、所占有的市场份额、面临的风险及所采用的风险管理措施、法人治理结构和人力资源政策;内部控制环境,主要是银行各级管理层的内控活动及内部审计的作用;会计核算和会计处理程序。获取财务信息和业务经营数据后,执行初步分析性复核,通过初步分析性复核,找出异常变动的区域,作为审计的重点。初步确定重要性水平。根据业务循环确定关键的内控活动以及与通用计算机控制有关的内控活动,制定内部控制轮流测试计划和实质性测试计划。
2.审计实施阶段。主要包括测试内部控制制度并作出评价。由于银行电子化程度非常高,在对计算机控制系统的测试中,通常由熟悉财务和精通计算机的专家对被审计商业银行的计算机控制环境、控制活动及处理程序进行检查,并对计算机内部控制作出评价。执行实质性的分析性复核,执行重大项目详细检查和细节测试,对财务报表进行检查。
3.审计报告阶段。主要包括期后事项检查、获取管理人员陈述函、汇总审计结果和编制审计报告。
三、采用的审计策略与方法
1.优先采用依赖内部控制的审计策略。银行一般都具有相对较强的内部控制环境,包括健全的信息系统管理、内部控制制度和综合风险管理、内部审计等。国外商业银行审计以风险基础审计理论为依托,优先采用依赖内部控制的审计策略,根据银行业务经营特点,以业务循环来规范银行审计的程序,将银行主要业务活动划分为七大循环:即存款业务循环、贷款业务循环、支付与清算业务循环、资金业务循环、费用业务循环、固定资产业务循环、工薪业务循环。其中前四个是银行业特有的业务循环,后三个业务循环与别的行业相同。值得一提的是,资金业务循环指融资、拆借、投资、衍生金融工具交易、头寸管理、流动性管理、利率管理、汇率管理等等,一般不以投机为目的。该循环涵盖的业务品种比较多,所涉及典型的金融工具有银行承兑汇票、国库券、可转让票据、存款证明、债券、商业票据、本票、通知存款、银行间贷款等,几乎除了存贷款之外的业务都可以归入该循环。
对每一个业务循环,指出其主要的业务活动,然后针对每一个主要业务活动,提出相关的内控目标,针对每一个内控目标,还指出关键的控制活动,如对贷款业务循环中的“新发放的贷款需经过信用评估和审批程序”这一内控目标,其关键的控制活动有:(1)信贷经理/信贷委员会确保贷款的审批符合经营限额;(2)信贷委员会或信贷人员在其授权范围内审批贷款;(3)根据业务性质和借款人状况要求提供担保;(4)承诺贷款前初步评价借款人的财务和经济状况,包括地区和行业分析;(5)评价与复杂交易相关的额外风险;(6)信贷经理/信贷委员会基于信贷评级系统或外部机构的评级审批贷款;(7)全面评价借款人的整体状况。通过询问、观察和检查书面文件,对上述内控活动进行测试,最后对整个贷款业务的内部控制作出评估,获取内部控制保证系数。由此可见,内部控制测试并不是笼统抽象的,而是有具体的目标、控制活动和评价标准。经内部控制评估,若其内部控制保证程度高,则可以减少贷款业务检查的工作量。2.重视分析性复核技术。在审计计划阶段,运用分析性复核中的比率分析和趋势分析,来确定审计重点;在审计实施阶段,运用分析性复核可以直接作为实质性测试程序以收集与账户余额和各类业务活动有关的证据。在银行业务存在大量的单笔金额很小的交易情况下,通过分析性复核,可以使审计人员重点关注那些重大的和例外的交易业务,在保证审计质量的前提下减少审计的工作量。
分析性复核常用于测试商业银行的利润表项目,如根据利息收入与生息资产、利息支出与付息负债之间的比例关系,设计利息收入与利息支出的精确期望值,通过建立这种合理的比例关系,审计人员就能够根据生息资产的平均余额和付息负债的平均余额计算出相应的数据,与财务报告上实际的利息收入与利息支出进行对比,检查两者差异的程度。分析性复核的程序如下:
(1)设计期望值。在设计期望值前,审计人员首先需要检查设计期望值所使用数据的可靠性,以便使计算出来的期望值与会计数据计算口径保持一致。
(2)确定可接受的偏差。可接受的偏差是指期望值与实际会计记录之间存在的不需要作出解释和进一步调查的最大差额。可接受偏差通常根据审计的重要性水平、所需的检查保证程度和分组数量来确定。
(3)计算比较期望值与实际记录之间的偏差;找出重大差异,即期望值与实际记录之间的偏差大于可接受偏差的情况。
(4)对重大差异进行调查,评价分析性复核的结果。对重大差异若查明了原因,则直接作为实质性测试的结果;若查不出原因,则执行其他的实质性测试程序。
3.重大项目(金额)详查与抽样审计相结合。为降低审计风险,提高审计效率,对一些金额巨大的业务和高风险的业务,通常采用详细检查的方法,如在贷款业务的审计中,若前10名贷款企业的贷款额可能达到贷款总额的70—80%,则对前10名的贷款企业进行详细检查,这样就可以保证这部分贷款业务不存在审计风险,类似的业务还有投资业务、资金拆借业务、固定资产业务、应收应付款及费用支出等,对其余部分,则采用抽样审计的方法。样本规模则根据如下公式得出:
(1)根据重要性水平确定的货币精确度(一般为重要性水平的80%至90%)MP除检查保证程度系数R,得出抽样间距J;
(2)用详查后余下的部分作为总体除抽样间距J,得出抽样规模S。
样本数确定后,审计人员既可以采取统计抽样方法,也可以采取非统计抽样方法或根据经验判断来抽取样本。
4.充分考虑计算机在银行审计中的重要性,广泛应用计算机审计技术。
一是调查了解计算机运行环境。银行审计首先要了解银行的计算机信息系统、了解计算机运行环境和自动化控制、熟悉银行会计处理程序。由于系统的复杂性,该过程通常由计算机审计专家来完成。
二是调查了解计算机内部控制。计算机内部控制包括一般控制和应用控制。一般控制包括:应用系统开发和维护控制;计算机操作控制;系统软件控制;数据和程序控制。此外,还应了解其他促进计算机信息处理连续性的控制,包括:数据和程序的制作备份;发生被盗、丢失或损坏时可使用的恢复程序;发生灾难时提供异地处理等。应用控制主要包括:输入控制、计算机处理与数据文件控制及输出控制。
一、网络病毒的特征分析
网络病毒(蠕虫病毒)自身就是一个可执行的二进制代码程序文件。它的传播途径、方式与传统的病毒不同,它具有主动性传播的特点。它主动扫描网络上主机操作系统和一些网络服务的漏洞(大多是利用操作系统的缓冲区溢出漏洞),利用这些漏洞侵入这些主机,将自身的副本植入其中,从而完成传播过程。被感染后的主机又会用同样的手法感染网络上其它的主机,如此反复下去,这样很快就会传遍整个网络,尤其是一个新的操作系统漏洞还没引起计算机用户足够重视的时候。蠕虫病毒感染主机后往往大量占用主机资源(如CPU资源、内存资源等),使机器运行速度越来越慢,或向网络上发送巨量的垃圾IP数据包,严重阻塞网络带宽,甚至造成整个网络瘫痪。更恶毒的还会盗取用户的敏感资料,如帐号和密码等。而且现在的蠕虫病毒有从以破坏为主要目的向以盗取资料为主要目的转换的趋势,因此危害更大。
通过分析蠕虫病毒的传播过程可知,蠕虫病毒要感染网络上的其它主机,首先必须对网络上的主机进行扫描。它的这一举动就暴露了目标,就为检测蠕虫病毒提供了途径,也使蠕虫病毒预防系统的实现成为可能。通过抓包分析,发现蠕虫病毒的扫描过程并不像黑客入侵前的扫描那样详细,它只是随机地生成目标主机的IP地址(通常优先生成本网段或相邻网段的IP地址),然后用攻击模块(通常是用缓冲区溢出程序)直接攻击目标IP地址的主机,而不管该主机是否存在。这个攻击过程首先要向目标主机的特定端口发起TCP连接请求。例如,冲击波蠕虫病毒会在几秒内两次向目标主机的135端口发起连接请求,而震荡波会在几秒内两次向目标主机的445端口发起连接请求。因此,通过捕获数据包,利用数据挖掘技术分析它们的特征,找出异常的数据,从而达到预防的目的。
二、基于数据挖掘的病毒预防系统
基于数据挖掘的蠕虫病毒预防系统主要由数据源模块、预处理模块、数据挖掘模块、规则库模块、决策模块、预防模块等组成。
(一)工作原理
1.数据源是由一个抓包程序将所有来自于网络的、发向本机的数据包截获下来,交给预处理模块处理。
2.数据预处理模块将截获的数据包进行分析,处理成连接请求记录的格式。因为蠕虫病毒传染网络上的主机时,会主动地向主机发起连接,这也是预防系统建立的理论依据。连接记录由时间、源IP地址、源端口、目的IP地址、目的端口组成。这些众多的连接请求记录组成了事件的集合。
3.规则库用于存储已知的蠕虫病毒的连接特征和新近数据挖掘形成的规则集。规则集是蠕虫病毒行为模式的反映,用于指导训练数据的收集和作为特征选择的依据。
4.数据挖掘模块利用数据挖掘算法分析由连接请求记录组成的事件库,分析结果交给决策模块处理。
5.决策模块将数据挖掘的结果与规则库中的已知规则进行模式匹配,若与规则库中的规则匹配,则由预防模块发出发现已知蠕虫病毒的警报;若不匹配,则由预防模块发出发现新蠕虫病毒的警报,同时将新规则加入到规则库中。
(二)基于数据挖掘的病毒预防系统
1.分类:把一个数据集映射成定义好的几个类。这类算法的输出结果就是分类器,常用决策树或规则集的形式来表示。
2.关联分析:决定数据库记录中各数据项之间的关系。利用审计数据中系统属性间的相关性作为构建正常使用模式的基础。
3.序列分析:获取序列模式模型。这类算法可以发现审计事件中频繁发生的时间序列。这些频繁事件模式为构建预防系统模型时选择统计特征提供了指导准则。其算法描述为:已知事件数据库D,其中每次交易T与时间戳关联,交易按照区间〔t1,t2〕顺序从时间戳t1开始到t2结束。对于D中项目集X,如果某区间包含X,而其真子区间不包含X时,称此区间为X的最小出现区间。X的支持度定义为包括X的最小出现区间数目占D中记录数目比例。其规则表示为X,Y->Z,[confidence,support,window],式中X,Y,Z为D中项目集,规则支持度为support(X∪Y∪Z),置信度为support(X∪Y∪Z)/support(X∪Y),每个出现的宽度必须小于窗口值。
3.系统中的数据挖掘模块
首先利用分类算法对连接请求事件库中的数据进行分类,本系统中分别按源IP地址与目的端口对事件进行分类。然后对这两类数据进行关联分析与序列分析,在对相同源IP地址的数据分析中可以发现该台主机是否感染已知的蠕虫病毒或异常的举动(可能是未知的蠕虫病毒所为);对同目的端口的数据分析中可以发现当前网络上蠕虫病毒疫情的严重程度。
【参考文献】
国内外学者对于信息系统审计及其相关概念缺乏统一的认识,因此有必要厘清信息系统审计及其相关概念。现代审计的主流是以财务报表审计为代表的对信息的检验,对信息系统审计研究的文献极其有限,且缺乏对信息系统审计研究的文献的梳理与评说。同财务审计相比,信息系统审计在审计目标、审计内容等方面存在着不同之处。
一、信息系统审计
信息系统审计(Information System Audit,ISA)是目前常常提到的概念,一般理解为对计算机系统的审计,信息系统审计的国际权威组织――国际信息系统审计和控制协会给信息系统审计作了如下定义:信息系统审计是收集和评估证据,以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制,以确保满足业务、运作和控制目标,在发生非期望事件的情况下,能够及时地阻止、检测或更正的过程。信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程。对信息系统合法性、可靠性、安全性、有效性和效率性进行审计,对被审单位的信息系统做出科学、合理的评价。
信息技术在社会生产各个领域的广泛应用,也使得审计理论界与实务界出现了一系列相关术语。(1)计算机审计,国内学术界对计算机的叫法多种多样,例如信息系统审计、审计信息化、EDP审计等等;有的文献认为计算机审计包括:对计算机管理的数据进行检查;对管理数据的计算机进行检查。根据国内对“计算机审计”一词的使用情况,可以把计算机审计的含义总结如下:计算机审计是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见,计算机审计的内涵和IT审计的内涵相似。(2)电子数据审计,电子数据审计是目前审计实务界使用较多的一个术语,对于电子数据审计,目前还没有给出明确的定义,根据目前对该术语的使用情况,电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析,从而发现审计线索,获得审计证据的过程。”(3)电子数据处理审计,电子数据处理(Electronic Data Processing,EDP)审计和电子数据审计是两个不同的概念,电子数据处理审计是信息系统审计的初级阶段,它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试,并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效,满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念,在实际应用中,一定要加以区分。(4)持续审计,持续审计(Continuous Audit,CA)是指在相关事件发生的同时,或之后相当短的时间内产生审计结果的一种审计行为。持续审计是同传统期间审计相对应的概念,其本质是审计方法的创新,它强调审计过程的持续性、审计实施的即时性和审计活动的整合性,并且基于例外审计和战略系统审计的理念,要求审计师运用“自上而下”和“自下而上”相结合的手段,对审计对象做出合理的专业判断。(5)计算机辅助审计,如同CAM(Computer-aided Manufacturing,计算机辅助制造)、CAD(Computer-aided Design,计算机辅助设计)等概念一样,计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计”。
通过以上的分析,笔者认为计算机审计覆盖了计算机辅助审计和信息系统审计两项内容,信息系统审计是计算机审计的组成内容之一。
二、国外信息系统审计研究现状
随着信息技术与审计理论的发展,国外信息系统审计大致经历了萌芽、发展、成熟和普及期四个时期。
20世纪80年代,计算机犯罪率急剧上升,信息系统的安全防范体制仍很不充分。为适应信息系统审计实务发展的要求,美国EDP审计师协会1981年举办了首次注册信息系统审计师(CISA)资格认证考试,1984年的《EDP控制的目标》提出了信息系统的系列控制标准,1987年了《信息系统审计的基本准则》(General Standards for Information Systems Auditing);日本通产省在1982年设立了“计算机安全研究会”,而后发表了《有关计算机安全对策》,1985年发表了《IT审计标准》,提出了“随着信息系统网络化的进展,仅仅是系统内部的审计是不充分的,有必要尽早地引入由具有专门知识与技术的、与系统没有直接关系的第三方(信息系统审计师)对信息系统的安全、可靠等进行全面检查……”等观点,并在日本的软件水平考试中增添“系统审计师”考试,培养从事信息系统审计的专业队伍。上述审计理论与实务表明,国外信息系统审计发展已经进入成熟期,并走上了正规化和专业化的轨道。
进入20世纪90年代以后,国外信息系统审计研究进入普及期。1994年, EDPAA正式更名为信息系统审计与控制协会(ISACA),ISACA成立后主要致立于信息系统审计准则体系的制定工作。ISACA的信息系统审计规范类似于CPA审计准则体系,它由基本准则、审计指南和作业程序构成,其显着特点就是以COBIT为基本工具,并借以与ITGI的指南相联系,以弥补ISACA规范在审计细节方面关注的不足。截止到2010年12月,ISACA已经了16项基
本准则,41项审计指南和11项作业程序,为信息系统审计人员开展审计活动提供了指引。
三、国内信息系统审计的研究现状
随着我国信息化进程的推进,国内理论界与实务界也开展了针对信息系统审计的相关研究。中华人民共和国审计署京津冀特派办于2005年了《计算机审计操作规则》、《审计中间表创建和使用管理规则》和《数据分析报告撰写规则》等操作规则之后,又于2006年9月了《信息系统审计操作规则》、《网上审计操作规则》以及《审计数字化应用规则》等信息系统审计的规则。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动,保证审计质量,于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28 号――信息系统审计》。尽管28号审计准则的出台受了很多学者的评论,但20号审计准则却是我国第一个真正意义上的信息系统审计准则,也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。在政府或相关机构颁布信息系统审计准则的同时,国内学者也对信息系统审计开展了研究。对我国开展信息系统审计已经迫在眉睫,而开展信息系统审计将面临审计观念的转变、信息系统审计的专业人才以及行业准则与实务指南等问题,应加快行业准则与实务指南的制定。可以借鉴ISACA的做法,也采用三个层次体系结构,以基本准则为核心,统领审计指南和作业程序,从而使整个准则体系不断扩展。
参考文献:
(一)网络审计下的审计理论要素的重新思考
网络审计是随着网络技术、通讯技术和电子商务的出现而产生的,是经济活动网络化、虚拟化的产物,也是现代审计发展的崭新阶段。面对网络审计,原有的审计理论要素,如审计对象、审计目标、审计范围、审计主体、审计技术、审计风险以及审计准则等面临新的挑战,需要我们重新加以思考。
1.关于审计对象
审计对象是指审计所要考察的客体,即被审单位的财务收支及其有关的经营管理活动和作为提供这些经济活动信息载体的会计报表及其他有关资料。随着电子商务的网络化经营发展和虚拟公司的出现,使网上实体通过网络将成百上千的人联结在一起工作,他们可根据业务的需要自由重组。企业与企业之间的关系,可以是投资融资关系、技术协作关系和购销关系等,即使这些企业间的关系是松散型的,也可以通过网络在很短的时间内,以网上协议的形式整合成企业联盟,当然也可以在很短的时间内解散联盟。于是,会计客体就变得模糊,审计客体因之变得复杂,审计客体的外延需要重新界定。从交易费用理论看,审计对象(站在被审单位的立场上看,即为交易主体)的边界不清,不仅增加交易主体的交易费用,也会增加审计风险和审计费用。所以,网络审计的客体具有动态性和虚拟性,这就要求审计人员充分地认识到,审计的客体具有适时改变性。
2.关于审计目标
审计目标是指在一定的历史环境下,人们通过审计实践活动所期望达到的目的和要求。原有的审计目标仅局限于在装订的账、表上,亦称“有纸化”的信息载体上查错防弊,对经济效益进行评价,对审计对象的真实性和公允性、合法性、合规性、合理性和效益性进行审查和评价,其目的是为审计委托人服务。然而,在电子商务活动中,通过互连网和通讯技术,企业与企业、企业与消费者以及企业与政府间的联系更加广泛和深入,信息资源具有共享性和经济活动具有开放性,网络审计的目标将主要通过“无纸化”实现,向更深、更广的领域扩展,诸如企业社会责任履行状况的审计、人力资源利用状况的审计、政府调控职能实现程度的审计、顾客对企业满意程度的审计以及网络技术本身的合理性与有效性审计等也将成为审计目标。
3.关于审计范围
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。在原有审计中,审计范围要依据不同的审计对象和审计目标来确定,总的来看,审计范围较狭窄、封闭。而在电子商务活动中,企业会计信息系统已经成为一个宽阔开放的系统,会计信息处理处于一个开放的空间范围,涉及到交易关联方的各个方面;同时,由于其资源的共享性,能访问会计信息以及接触会计信息的人可能涉及到整个网络用户,当然,对涉及企业商业秘密的信息仍有所限制。网络用户,尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,承担不真实以及非法数据的责任人就不能局限于被审单位,交易双方以及相关的社会公众都将被列入审计范围。总之,电子商务活动中的任何一项审计业务,都是建立在互连网平台之上的,审计活动面向网络。可见,网络审计的范围已被大大拓宽。
4.关于审计主体
审计主体是指实施审计监督的执行者,也就是审计机构和审计人员。在网络审计中,首先建立和完善能够在网络下实施对被审单位及其相关信息进行审查、监督和提供鉴证服务的审计机构;其次,必须构建完善的计算机系统和网络系统。同时,对审计人员的综合素质提出更高的要求和标准。审计人员应该是一种复合型、全方位人才,不仅要具备一定的法律知识、现代会计理论和审计技能,还要具备一定的现代信息技术、计算机网络知识和现代商贸理论,并能熟练地从事计算机硬件、软件的操作和维护。更为重要的是,由于高新技术的快速发展和知识的不断更新,审计人员应该具备终生学习和不断创新的能力,以适应网络审计发展的需要。
5.关于审计技术方法
审计技术方法是为了实现审计目标,在对被审单位实施审计过程中所采用的各种手段,它是顺利完成审计工作、提高审计工作质量的重要保证。企业在网络化经营中,由于会计数据的极大电子化和会计控制的局部程序化,直接造成了审计线索的“不可见性”。因此,必须应用数据库技术对会计数据进行可靠、完整地保存和管理,借助单机系统或工作站,对会计数据进行快速、准确地加工和处理,利用网络和通讯技术对会计数据进行安全、有效地分配和传输。这样,网络审计必须完全依赖于计算机和交互网络。在网络审计中,审计人员利用审计接口软件来获取原始数据,利用审计抽样软件来进行样本抽取,利用审计分析软件进行各种数量关系的配比分析和数据查询,利用数据仓库技术来进行分析,利用审计专家系统进行审计推理与判断,并通过数据挖掘、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。由此可见,网络审计下的技术方法已大大突破了原有方式下所运用的审计技术方法。
6.关于审计准则
审计准则是用来规范审计人员执行审计程序,获取审计证据,形成审计结论,出具审计报告的专业标准。在网络审计中,由于审计对象、审计目标、审计范围、审计主体、审计技术方法等发生了重的变化,需要对现有的审计准则体系重新进行审视和思考。审计准则体系中的有关准则应该体现电子商务下网络审计的特点,通过制定相应的、更切合实际的准则,更有利于规范审计人员的审计行为。只有这样,才能指导并规范网络审计工作,从而提高审计质量、最终形成客观公正的审计结论。
7.关于审计风险
审计风险是指被审单位的报表存在重大错报或漏报,而审计人员发表不恰当审计意见的可能性。一般认为审计风险由固有风险、控制风险和检查风险组成,它们之间的关系是:审计风险=固有风险×控制风险×检查风险。在电子商务活动中,由于会计数据处理的电算化,在计算机辅助系统的控制下,其本身的正确性和可靠性得以基本保证。因此,固有风险基本上被控制,并呈降低的趋势。但是,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以共享和交流,这无疑将审计工作置于一种被动的风险之中。例如,存放于主机内的会计信息被他人非法拷贝和篡改;会计数据在传输过程中被竞争对手截取和恶意修改;计算机病毒和网络黑客的肆意侵袭,会威胁会计数据的安全,严重时可能导致会计信息系统的全线崩溃等。可见,会计数据的安全、完整性控制难以得到保证,从而使控制风险和检查风险的水平呈上升趋势。所以在网络审计中,审计人员对审计风险控制的难度加大,实施的审计风险控制措施也将发生根本性变化。
(二)网络审计的风险与防范管理
随着网络审计的产生与发展,不可避免地会产生新环境下的风险,与传统审计风险相对应网络审计风险指的是审计人员网络技术对有关信息系统进行审计后发表不恰当的意见的可能性。
1.网络审计的新型审计风险
(1)篡改数据,不留审计线索在网络环境中,数据的电子化并以磁介质为主要存储载体,这为舞弊者或攻击者对原始数据进行非法修改和删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来了风险。(2)信息丢失主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。(3)黑客侵入和数据失窃计算机黑客为了获取重要的商业秘密、数据资源,经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。(4)职责分离不恰当引起内控失灵在网络环境下,如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。
2.网络审计风险的防范和控制为了有效地降低网络审计风险,必须采取相应的防范和控制措施
(1)应用审计软件,对相关网络系统进行实时跟踪
首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(2)建立审计服务信息库
审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
(3)加强对网络系统的安全性和保密性进行审计
在网络中运行,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
(三)网络审计的法律环境
由于网络时代社会的信息化加大了社会的不确定性,著名的摩尔定律所蕴涵的正是这种不确定性,由于法律是人们在社会生活中形成的一种共识,它在规范社会经济的运作,控制社会的不确定性上具有无可替代的功能优势。因此,在网络经济中法律的重要性将更为凸现。作为一个经济服务领域,审计首先要充分利用和维护已有的适应于自己的法律体系,作为维系共同利益的法律屏障,这些法律主要包括刑法、民法和商法等;其次,审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展规律的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面,说它独创性的一面,主要表现在规范审计企业的网络信息系统为中心的一整套制度以及电子版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。
总之,在企业网络化经营的过程中,审计人员为了加强对经营过程中的各个环节的审查和监督,必须“上网”,利用互连网络技术来建立审计专用网络,实施在线式和连续审计,对企业所进行的业务是否真实、合法,所提供的商品或劳务的信息披露是否完整、可靠,以及对网络系统是否采取足够的安全措施等进行评价,并提供意见,从而实现网络化会计信息处理、财务管理与网络审计综合运用。
会计审计毕业论文范文二:会计审计与质量审核分析
1.会计审计分类的差异分析
对会计审计可以从不同的角度加以考察,从而作出不同的分类,这有利于加深对审计的认识,从而有效地组织各类审计活动,充分发挥审计的积极作用。对质量审核一般进行简单的分类,对分类没有什么目的性。分析:GB/T19011对质量审核的实施时间分类上有一定困难,因为质量管理在事前没有可以操作的、详细的审核办法,而且风险分析目前使用还不广泛,事前审核的效果没有足够的判定依据。在实践中,组织可以对自身进行有意识的事前审核,以确定组织的风险并加以控制,使组织的流程更好地运行,提高组织的效率。
2.目标的差异分析
2.1审计目标
审计目标包括存在和发生(existenceandocc-urrence)、权利和义务(rightandobligation)、估价或分摊(valuationorallocation)、完整性(completen-ess)、表达和披露(presentationanddisclosure)等5个方面的认定。
2.1.1存在与发生认定是指资产负债表所列示的资产、负债、权益在资产负债表中确实存在;损益表所列示的各项收入与费用在会计期间确实发生。
2.1.2权利和义务认定是指会计报表中记录的各项资产确实属于公司所有或被公司所控制;会计报表中记录的各项负债确属公司应履行的义务。
2.1.3估价或分摊认定是指各项资产、负债、所有者权益、收入和费用等要素均按适当的金额列入会计报表中。所谓“适当的金额”是指这一金额的确定不仅遵循了一般公认的会计准则,而且在数学上的处理也正确无误。
2.1.4完整性认定是指所有应该在会计报表中列示的交易和项目都确实列入了。
2.1.5表达与披露认定是指会计报表中各项目分类正确、会计原则选用适当、信息披露充分。审计人员必须深入了解管理当局对财务报表的认定,因为这些认定是确定具体审计目标和制定审计程序的出发点和落脚点。审计人员的基本职责就是确定被审单位管理当局对其会计报表的认定是否有理由和根据。为获得审计证据以证明被审单位管理当局对其会计报表的认定,审计人员必须针对每一项认定制定具体的审计目标。一旦为实现审计具体目标取得了足够的证据,审计人员就有理由确认被审单位管理当局的认定是合理的。表2给出了每一项认定对应的具体目标,即实存性、权利和义务、准确性、分类、截止、详细匹配、可变现价值、完整性、表达和披露九项。值得注意的是,管理当局的认定与具体审计目标之间并非一一对应的关系,而是更详细一些。
2.2质量审核目标
质量审核的目的是确定审核应完成什么,这些目的与受审核方密切相关,而与其他方面均无关系。分析:质量审核的目标较之会计审计目标有较大的不同,尤其在实存性和完整性方面的要求,在具体的实践中应注意。质量审核本身要求所有证据的实存性,但不要求一定是客观的证据。完整性要求在质量审核中基本上都会被忽视,这与质量管理要求一致,因为质量管理中要求识别过程,但没有要求所有的已发生的过程均详细记录。经济管理中为避免严肃的规则被践踏,明确要求所有的已发生的交易过程均必须翔实记录。由此,我们可以在质量审核中引入部分完整性的要求,如要求对一些过程在不同的时间进行完整性记录等。表达和披露在会计审计中是有相关要求的,在质量审核中要求比较含糊,不同的审核人员表达和披露的同一个实例将会出现较大的差别。各组织可以根据自身特点明确质量审核表达和披露的标准和要求。其他的不同方面,由于经济管理和质量管理的不同情况,无选取的必要。
3.审计工作底稿与质量审核记录的差异分析
3.1审计工作底稿
审计人员从接受审计任务开始,到出具审计报告为止,对整个审计过程中的各项工作都应做好记录。这些记录反映了审计人员所执行的具体程序、进行的分析判断、收集到的审计证据,以及得出的审计结论和审计意见,构成了审计工作底稿。全部审计工作记录和获取的各种资料,是审计人员进行审计工作、完成审计任务的重要工具,也是形成审计结论、发表审计意见的直接依据。编制和获取审计工作底稿是整个审计工作的主要组成部分,审计程序的实施、证据的收集与分析过程其实就是审计工作底稿的形成过程。审计工作底稿的编制要求:资料具体、详略得当、结论明确、格式规范、标识一致、记录清晰。
3.2质量审核记录
DOI:10.16517/12-1034/f.2016.02.038
一、研究背景与意义
(一)输变电工程基建项目传统内审模式面临挑战
输变电工程基建项目审计所包含的审计控制要点,多样而复杂、覆盖面广,贯穿于工程项目管理的全过程。传统的输变电基建项目审计受限于审计资源的不足,往往仅对结算、决算环节审计内容,委托第三方开展事后审计。因而审计介入时间滞后,不能有效开展全过程项目审计,无法及时杜绝项目管理风险,促进管理提升,以发挥内部审计的监督作用。
(二)实时审计模式是内部审计发展的必然趋势
随着企业信息技术的日益发展,越来越多企业的生产、经营及财务数据已实现在线处理,经营数据与管理记录的电子化发展,推动了企业内部审计方式向实时、在线方向演进。企业可以通过在线计算机辅助审计系统,与各信息系统建立数据接口,从各信息系统中采集审计所需的数据及相关审计证据,并通过在系统中预设的监控及例外报告模式,自动生成发现报告,提请审计人员关注。由此,传统审计模式逐渐实现向实时审计模式转变。实时审计模式,是指通过ERP审计信息系统,集中获取财务和经营数据后,审计人员利用该系统数据处理能力强、分析功能强大、网络在线运行等特点,对企业经营管理活动进行在线审计监督,即通过对定期获取的财务资产、计划、生产统计等生产经营信息进行综合分析,查找审计疑点和问题线索。在此基础上,有目标、有重点地进驻现场进行审计查证与核实,及时发现和纠正企业经营管理中存在的问题。通过开展日常的经营监控审计,可以使审计过程变得更快、更简单、更有效,缩短了审计周期,以提供更有时效的风险和控制风险保证;无需扩展资源基础,就可获取更好的审计范围;可指导以月度、季度、年度为周期的审计;审计的范围是全部审计数据,而不只是审计样本;可对比或重新计算全部审计数据;可提高审计报告的质量。
(三)推行实时审计模式的可行性
为了提高输变电工程基建项目审计工作的质量和审计效率,利用ERP大数据基础构建实时审计模式,是一项有效且可行的解决路径。一是输变电工程基建项目审计要求规范比较明确完善,其对基建项目工程审计的目标、定义、审计原则、基本任务、主要审计内容已作出明确的规定。二是随着公司信息系统建设的日益完善,ERP系统积累了大量的业务财务数据信息,能够支撑实时审计需要。在ERP系统中,基建工程的预算、成本等相关数据是工程审计的重点内容,能够充分体现工程全过程的预算控制和费用执行等情况。建立应用实时审计模式既能提高审计效果,也能弥补审计资源不足,充分运用信息化审计手段,按照“提前介入、预防为主”的思路,坚持建设资金的真实、合法审计与效益审计并重,加强对输变电工程基建项目投资全过程的审计监督,提高工程项目建设管理水平和投资效益,是一项富有价值的审计方式的管理创新实践。
二、基于ERP环境的输变电工程基建项目实时审计模式主要内容
(一)总体思路
基于ERP环境,借鉴数学建模思维,充分运用信息化手段、结构化数据分析方法,构建“审计模型、审计工具和应用机制”三位一体的实时审计模式(见图1),明确审计对象、审计技术和审计方法。旨在提高审计效率和效果,实现输变电工程基建项目的全过程实时审计,提前预警、促进整改,以降低审计风险,推动内审工作转型。审计模型重点梳理输变电工程基建项目全过程审计控制要点,根据重要性和可量化原则,筛选出审计控制内容,明确审计逻辑和评价标准;审计工具,主要是根据审计逻辑评价特征,开发出可批量自动化审计的简易操作工具,提高审计作业效率;应用机制,主要根据内部审计工作目标和要求,设计审计模式的具体应用方式。
(二)审计模型内容
1.审计逻辑输变电工程基建项目审计是财务审计与管理审计的融合,将风险管理、内部控制、效益的审查和评价贯穿于建设项目的各个环节,并与项目法人责任制、资本金制、招标投标制、合同管理制、工程监理制执行情况的检查相结合,根据重要性和成本效益原则,结合实际情况和内部审计资源状况,采取全过程审计或者重点管理环节审计。围绕输变电工程基建项目立项阶段、设计及实施准备阶段、实施阶段、竣工决算阶段全过程各环节的审计控制要点,基于重要性和可量化原则,结合公司内部审计资源和实际情况,从时间、资金、数量、内容4个维度,筛选控制要点和控制内容,从准确性、规范性角度定义审计评价标准,根据不同的审计对象、审计所需的资料和项目审计各环节的审计目标设计不同的审计逻辑,以保证审计工作质量和审计资源的有效配置。其中,时间维度主要审计时间控制点先后顺序是否符合逻辑;资金或数量维度主要审计绝对值与相对值是否符合预设目标;内容维度主要审计是否符合公司规章制度、管理办法和内控规范。输变电工程基建项目审计应遵循技术经济审查、项目过程管理审查与财务审计相结合的原则,事前审计、事中审计和事后审计相结合的原则,以及各专业管理部门密切协调、合作参与的原则。根据现有ERP系统数据库情况,设计了适用与事中审计和事后审计两类不同应用方式的审计逻辑,并针对每个项目不同类型的合同(如施工合同、勘察设计合同、监理合同)设计了不同的审计逻辑。审计模型共构建了43条审计逻辑,覆盖设计及实施准备、实施、竣工投产和决算3个阶段,包含11条事中预警、32条事后审计异常事项提示(见图2),运用信息化手段进行全面审计,采取定量与定性相结合、定量分析为主的方式,对工程建设各阶段各环节的管理情况,以及质量、进度和投资等目标的完成情况进行审计评价。(1)设计及实施准备阶段包含8条审计逻辑,从时间逻辑顺序上,重点检查工程开工手续是否合法合规;从内容符合性上,检查合同签订是否符合招标要求。(2)实施阶段包括25条审计逻辑,重点检查合同签订与招标情况的相符性、项目付款进度的合理性、项目付款与合同的相符性、质保金的合规性,以及是否及时对工程物资办理清理和退库手续。(3)竣工投产和决算阶段包括10条审计逻辑,重点检查是否在规定时间完成暂估转固手续、竣工结(决)算审核、工程实际投资额与批准概算差异的原因分析。2.评价标准根据审计类型和审计结果状态,设计了3种评价标准,即正常、异常、预警。其中,异常标准,是指事后执行结果不符合审计规范,用来督促整改;预警标准,是指事中执行结果偏离管理规定,用来预警提醒。评价标准全部用数理逻辑公式进行检验。3.数据来源应用集中采集和随需采集数据的方法,基于目前ERP信息系统现有的数据字段,采取线上数据与线下数据结合的方式进行取数,以ERP信息系统数据为主,以线下资料如初设批复文件、中标通知书、合同等纸质审计资料作为线上数据的补充验证,综合评价审计结果。本模型采用线上数据69条、线下数据40条。随着实时审计模式的推广和信息技术的发展,ERP系统所能提供的数据信息数量将随之增加,逐步向备份采集和直联采集转变,审计模型所需全部的数据信息将全部可以从ERP系统中直接获取,最终实现全面在线实时审计。
(三)审计工具介绍
应用excel工具,对涉及的审计逻辑和评价标准开发的自动评价审计工具,主要由审计输入信息表和审计结果输出表构成。审计工作人员只要在审计输入信息表中导入项目审计字段信息,通过内嵌自动检验公式计算,就能在审计结果输出表中看到对应项目审计逻辑的审计结果状态。1.审计输入信息表以工程项目为纵向维度,以审计信息为横向维度。审计信息源根据评价标准检验公式所需的信息按照单个字段输入。合计包含109条固定的数据字段,包括审计对象的项目编号、项目名称、初设批复日期、开工日期、合同签订日期等内容,不同类型合同的数据分别记录于不同的数据字段中,数据字段可随合同类型、数量的增加而增加。2.审计结果输出表以工程项目为纵向维度,审计逻辑评价结果为横向维度。对应每条审计逻辑评价结果用Excel函数工具,在对应单元格中自动计算审计结果,共包含43条审计逻辑结果。校验结果以“红灯”、“黄灯”“、绿灯”的形式自动展示(“红灯”表示异常、“黄灯”表示预警、“绿灯”表示正常)。审计人员和工程管理人员应用审计工具,对“红灯”“、黄灯”的识别,迅速发现审计异常点。
(四)应用机制
实时审计模式的审计模型及审计工具,是针对电压等级220千伏以上电网基建项目审计而设计的,指导以月度、季度、年度为周期,对输电工程项目开展日常监控和内部审计。在项目过程中,内部审计人员和工程管理人员可以利用审计模型和审计工具,对输电工程项目进行过程检查,识别异常事项和预警事项并及时进行整改,以防止风险的进一步扩大。在工程项目完结后,内部审计人员可以利用审计模型和审计工具对项目进行全面审计,督促对异常项目进行整改,弥补管理漏洞,防范外部审计风险。
三、结论与展望
(一)实时审计模式能提高效率,推动内审工作转型
实时审计模式缩短了审计周期,可将原在工程竣工后才进行的审计,转变成以月度、季度、年度为周期的过程审计,切实做到审计关口前移,提高审计效率和质量,降低审计成本,并为实现审计资源整合,拓宽审计范围奠定基础。一方面增强了内部审计对工程项目的审计参与深度,另一方面改善了基层单位审计人员不足的状况。实时审计模式,实现了对公司生产经营各类风险的及时预警和有效防范,帮助公司加强内控、改善管理,使审计结果的反馈更及时,降低工程项目管理风险和外部审计风险,充分发挥内部审计风险控制和管理服务的职能,提升内部审计的效用和管理决策的价值。
(二)实时审计模式具备推广应用价值
输变电工程基建项目实时审计模式具有很强的灵活性、适应性、可操作性,对审计逻辑和审计工具进行适应性调整,可推广应用至其他电压等级和类型的电力工程项目内部审计工作中。此外,实时审计模式的研究思路,也可推广应用至其他内部审计项目上,通过分析工程审价、物资管理、招投标管理、各类费用管理的审计要求,可设计出相应的审计逻辑、审计标准,开发出相应的审计工具。
(三)实时审计模式现阶段的局限性与展望
现阶段ERP系统数据信息数量和质量存在一定的局限性:一方面实时审计模型所需的部分数据信息仍需要人工查找与录入,另一方面审计模型涉及的审计逻辑还没有全覆盖。随着进一步改善并提高ERP系统字段信息质量和数量,使ERP系统能更有效、更准确地提供更多关键字段信息,可以使审计模型和审计工具更大地发挥作用,更好地为审计人员服务。今后可通过增加审计模型中的审计逻辑,更好地满足内部审计和工程管理的需要。具备条件后,可开发出嵌入ERP系统的在线审计工具,实现在线自动审计实时计算、输出校验结果。
参考文献:
[1]于洪波.ERP环境下在线审计方法探讨[J].会计之友,2012(25):83-88.
[2]刘萍.持续审计———信息时代我国企业内部审计的发展趋势[D].武汉:华中师范大学(硕士学位论文),2013.
[3]周运香.ERP环境下审计风险控制研究[D].成都:西南财经大学(硕士学位论文),2010.
中图分类号:TP391 文献标识码:A 文章编号:1671-7597(2012)1010113-02
0 引言
审计作为一种独立性的经济监督活动,对被审计单位相关经济活动具有特有的制约和促进作用。审计的职能就是通过对数据的检查,监察财务收支的真实、合法性,总结效益情况,同时发现和揭示重大问题或风险隐患。近年来,随着经济建设的不断发展,税务审计的任务也越来越重,在日积月累的数据量的不断增加下,使用原有的审计也难以满足实际要求。随着审计技术运用的不断深入,内部审计人员感觉可发现的审计线索少了,问题越来越隐蔽。而以往的分析技术倾向于发现个案的存在,但对审计对象的整体风险情况无法进行全面的把握。
对审计部门困扰的主要有以下问题,一是由于各单位业务逐步出现了高度电子化,数据海量化,关注广泛化,产品衍生化,环境多样化的情况,让审计效率明显降低。二是审计在其执行过程中,所用的工具和程序都是基于事先的审计假设,而审计假设则是由审计人员通过以往的正常情况或者发展趋势进行人工分析得出判断和说明,但是由于个人的经验和知识是有限的,随着时间的发展,业务流程的更新,产品和技术的产生,造成了模型相对滞后,对面新的情况和海量的数据着手困难[1]。针对这些问题,人们逐步开始利用数据挖掘技术来进行解决。本文主要描述基于数据挖掘的孤立点分析在税务审计方向上的发展与运用。
1 数据挖掘技术
数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。它可以进行历史数据的查询和遍历,发现数据仓库中对象演变特征或对象发展趋势,也能找出过去数据潜在的关系,从而进行信息的挖掘,还可以根据过去的数据对未来进行预测和分类。
数据挖掘与传统的数据分析的本质区别就是数据挖掘是在没有明确假设的前提下去挖掘信息、发现知识。
数据挖掘现阶段在税务审计中主要应用了聚类技术、分类与预测技术、关联技术、孤立点发现技术等等[2]。
2 孤立点的定义与产生
2.1 孤立点的定义
孤立点分析是数据挖掘中的一个重要研究方向。利用数据挖掘技术可以在海量的数据处理过程中获得一般模型,但这些数据并不是全部适用于这个一般模型,比如一些特殊值。这些不符合一般数据模型的数据从数据处理的目的来说可能就是数据整体的孤立数据、异常数据、偏差数据或者噪声数据。它们也有它们的共同特性,就是与海量数据中的其他数据有着明显的不一致,这些数据,我们统称为孤立点。
一般的孤立点分析在数据挖掘中存在两个基本任务:一是在给定的数据集合中定义什么样的数据可以被认为不一致的;二是找到一个有效的方法来挖掘这样的孤立点[3]。
2.2 孤立点的产生
孤立点的产生原因是多方面的,简单来说,可以归纳为以下几个方面:
一是人为操作错误所致。譬如,因为数据库没有年龄约束限制,在输入年龄时发生了数字录入错误,把21岁录入成211岁就属于人为操作错误。
二是人为欺诈行为所致。为了某种目的而直接对数据进行违背事实的更改或者添加,造成数据值与实际情况有很大区别。个别单位虚报的统计数据就属于此类。
三是由于仪器或者设备出错导致。在数据采集过程中测量仪器或者设备难免不会受到外界的影响而使得采集到的数据出现错误。
四是数据系统的变化或者故障。数据系统在运行或者搬迁的时候,可能因为个别不可预料的操作对其中的数据造成影响。比如数据库的搬迁,恢复时出现小范围报错的情况。
五是数据发生自然偏差导致。事物是不断发展和变化的,在这个过程中是符合自然规律的,而这些变化和发展也会对其中的数据产生影响。比如同一个公司里职员升职为经理后工资就会高出不少,但这些变化却是合理的存在从上面的原因来看,孤立点不论是怎么产生的,都并不是毫无意义的异常数据。这些孤立点数据对总结海量数据得出一般模型不会产生积极作用,但从这些估计点进行分析却能够获取到有价值的信息。作为税务审计人员,就应该特别重视孤立点数据,从中深究出审计线索。
3 孤立点在税务审计上的运用
因为税务审计业务的性质,决定了在税务审计中运用数据挖掘技术来对海量数据的孤立点进行分析能够取得比较好的审计线索,从而达到审计的目的。在税务审计工作中,通过基于数据挖掘的孤立点分析来查找审计线索特征主要分为以下三个步骤。
3.1 寻找孤立点的数据准备
数据的准备可以分为三个主要步骤:一是数据选取,二是数据预处理,三是数据变换。
数据选出主要是为了确定目标任务的操作对象,它是根据用户的需要从原始数据库抽取出来的一部分表和字段。所以在数据选取之前先要对具体的审计事项进行分析,综合数据字典和数据说明文档对数据的含义和业务流程等方面的情况进行分析,对数据的产生有个全面的了解。
数据预处理是一个相当耗费时间的过程,它包括数据噪声的消除、缺值数据的推导与计算、重复记录的处理、数据类型的转换等等。比如在处理空值和噪声时一般可以采取如下几个方法:一是均值法,即用数据库中该属性已知的属性填充,具体为当前点k(k可自定义)个不为空的数据点的平均值来替换。二是平滑法,假设当前数据点是噪声数据或者空值,则取出当前点a个(a可自定义)不为空的数据点的加权平均值来替换。三是预测法,采取回归、拟合、插值、归纳等方法,推断空值或噪声数据属性最可能的取值。四是统计频率法,此法既适用离散数据,也可用于经过离散化的连续数据的数据缺损处理,假如数据库中的属性存在有噪声数据或者空值,属性a的值域为{,,……,},P()表示值在该系统中出现的频率。可以用最大出现频率的值max{P()}进行填充[4]。
数据变换的主要目的则是数据维数消减,主要可分为两种:一种是从有关变量中消除无关、弱相关或冗余的维,寻找一个变量子集来构建模型,即子集选择策略;另一种就是把p个原始变量变换为p′个变量,即数据变换策略。
3.2 可疑孤立点的检测
一般来说,孤立点的发现可以分为以下几种:
一是基于统计的孤立点检测方法。这种方法是将全部的数据集合假设成一个概率模型,根据模型再采用不一致性检测来寻找和确立孤立点。基于统计的孤立点检测挖掘方法比较简单,实现起来也相对容易,但它的缺点也比较明显,就是大部分的检测仅对数据分布满足一定概率分布的数值型单维数据集较为有效,然而许多采用数据挖掘技术就是要求在多维空间中发现孤立点的。同时,统计学的方法要求关于数据集合参数的知识,但是,这参数有可能是未知的。当没有特定的检验时,该类方法不能确保所有的孤立点被发现。
二是基于距离的孤立点检测方法。为了能够解决基于统计的孤立点检测方法的实用性局限,拓宽在多维数据上的应用,Knorr和NG引入了基于距离的孤立点的概念,他们认为如果某个点与数据集中大多数点之间的距离都超过了某个阀值,这个点就是孤立点[5]。但他们的这种方法也有着不足:阀门需要用户自己合理设置,使得产生了比较大的人工介入和干预。我们比较用到的基于距离的孤立点算法有:Cell-based算法、Index-based算法和Nested-loop算法。
三是基于密度的孤立点检测方法。它是在基于距离的方法基础上建立起来的,根据数据点之间的距离参数以及某一给定范围内的数据点的个数参数结合在一起就是密度的概念。基于密度的孤立点检测能够很好的检测出基于距离所不能够识别的局部孤立点,也不容易遗漏掉周围的孤立点数据。
四是基于聚类的孤立点检测方法。这种方法主要是指在数据挖掘的聚类过程中,在产生有意义的聚类信息的同时产生的多余孤立点数据。在聚类过程中,算法会将数据集中异常的信息作为噪音而忽略掉,虽然不利于异常信息的检测,但它扫描数据集效率非常高,适用于现在的海量数据。
五是基于偏离的孤立点检测方法。基于偏离的孤立点检测时通过对检测数据集的主要特征来确定孤立点的,与指定的主要特征描述不一致的所有数据集都会被认为是孤立点。比较常见的基于偏离的孤立点检测技术是序列异常技术和OLAP数据立方体技术[6]。
3.3 可疑孤立点的判断
接下来就需要对找出的孤立点进行人工分析,看是否为疑点数据。发现的孤立点虽然都符合挖掘的条件,但不一定对税务审计工作有利用价格。比如,有些孤立点虽然是异常的,但却是合理数据,有些孤立点虽然是异常的,但影响却非常小,达不到需要关注的水平。这些都需要审计人员根据业务的目的进行具体问题具体分析,从而从中选出适合的孤立点数据。再对初步选择出来的疑点数据进行审计专业判断,通过专业的办法最终确定审计线索。常见的方法主要有:一是审阅法,它主要是指对各种书面、电子资料的检查。通过审阅法,可以对孤立点有关的其它资料(包括经济信息材料等等)进行审阅,来确认该孤立点是否属于问题数据。二是复算法,复算法主要指通过对有关数据的重新整理和计算,以验证其结论是否可靠的一种方法。根据实际情况,通过对检测出的可疑孤立点进行再次计算,多次重复来确认该孤立点是不是问题数据。三是存盘法,存盘法指的是通过对财产物质的清点、计算,验证可疑孤立点的数据的真实性。四是函证法,因为被审计单位的业务不可能是孤立的存在,肯定会跟其它的单位有着各种各样的联系,所以,可以发送函件给其它单位,来验证数据是否合理,确定孤立点是否为问题数据。
4 结论
总之,运用一定的数据挖掘算法对被审计的海量数据采取聚类或其它的检测方法,找出数据的一般规律,筛选出孤立点,并以图、表等方式展现给审计人员,审计人员就能根据专业知识和方法判断其正确性与合理性,经过多次的挖掘、分析、判断,最终建立确定适合的审计线索。
基于数据挖掘技术的孤立点分析可以大大缩小搜索审计线索的范围,帮助审计人员及时发现违纪线索,增强审计人员的数据分析能力,大幅度提高审计工作的质量和效率,对行业依赖度较低并具有一定的通用性。因此,包括孤立点分析在内的数据挖掘技术在审计领域必将能得到更多的运用和发展。
参考文献:
[1]程广华,数据挖掘技术在商业银行内部审计中的应用研究[J].新会计,2011(3):47-49.
[2]洪天一,基于数据挖掘的计算机审计方法研究与实现[D].中国科技大学硕士论文,2011.
[3]石博伟,数据挖掘中的聚类算法和孤立点算法阐述[J].计算机光盘软件与应用,2011(19):40-41.