[摘 要]审计的过程就是不断收集审计证据的过程。 首先详述了常用的审计技术及其获取的审计证据类型,然后在此基础上探讨了审计证据的充分性、合适性、可靠性问题及其与审计风险之间的关系。 最后,对信息化环境下的电子审计证据与审计风险之间的关系进行了分析。 分析结果为审计人员在审计项目中合理应用这些审计技术、设计合理的审计证据收集程序、减少审计风险打下了基础。
[关键词]审计证据类型;审计风险控制;审计技术;电子审计证据;信息化环境;
一、引言
审计作为一种独立性的经济监督活动,不仅得到各个国家和社会的高度重视,而且也得到学术界的高度关注[1 6]。 审计的过程就是不断收集审计证据的过程。 审计证据是指审计机关和审计人员获取的用以说明审计事项真相、形成审计结论基础的证明材料。 常见的审计证据有下列几种[6]:(1)以书面形式存在并证明审计事项的书面证据。 (2)以实物形式存在并证明审计事项的实物证据。 (3)以录音录像或者计算机储存、处理的证明审计事项的视听或者电子数据资料,即电子审计证据。 (4)与审计事项有关人员提供的口头证据。 (5)专门机构或者专门人员的鉴定结论和勘验笔录。 (6)其他证据。
审计风险问题也是审计过程中需要考虑的一个重要问题。 随着计算机辅助审计技术的应用[46],审计技术和方法发生改变,与此同时,这些技术与改变也带来了新的审计风险。 因此,信息化环境下审计风险的控制仍然是一个重要的问题。 根据这一需要,国际审计实务界提出了 COBIT(Control Objectives for Information and related Technology)、ERM(Enterprise Risk Management)、SOX(SarbanesOxley)IT控制等理论[7]。 国际内部审计师协会 2012年发布的全球技术审计指南《信息技术风险与控制》(第 2版)对信息技术的相关风险进行了分析,并提出了相应的控制措施[8]。 笔者曾基于云平台整体控制与应用控制、云平台选择、云平台服务三个视角,初步分析了云计算环境下实施联网审计可能存在的主要风险[3]。
由以上分析可以看出,研究审计证据与审计风险问题对于开展审计工作具有重要的理论意义和应用价值,本文将对审计证据与审计风险的相关问题进行研究。
二、审计技术及其相关类型的审计证据分析
一般来说,传统环境下审计人员采用六种常用审计技术来获取六种基本的审计证据[4 6]。 表 1列出了六种常用审计技术和相应的审计证据类型,并给出了一些审计项目中具体程序的实例。
重算法就是审计人员把被审计单位已经完成的计算重新再算一遍,以验证被审计单位计算结果的正确性。 在实际审计过程中,审计人员可以采用审计软件或人工来完成重算,对重算过程中发现的异常再做进一步的深入调查。 使用重算法可以获得高可靠性的审计证据,但这种方法的缺点是,为了能获得强大的、有说服力的审计证据,审计人员必须对原始计算的每一个重要部分进行重新计算。
观察法是指查看相关政策或程序制度在被审计单位是如何被应用的。 它可以提供某一指定时期内相关绩效和情况的可靠的审计证据,但它不能反映其他时间段或较长时期内的绩效。 审计人员每次察看被审计单位人员开展会计和控制等活动时就是采用这种方法。
确认法一般是采用书面的方式来验证会计记录。 直接和独立的外部部门联系是审计中一种广泛应用的确认方法。 比如,国际审计准则(ISA505)[7]就推荐使用外部确认法来审计应收账。
询问法一般指从独立的部门、被审计部门的负责人和工作人员那里获得口头证据。 询问法用来从被审计单位和外部获得信息以了解被审计单位的业务情况,评估重大错报风险。 询问法可以获得重要的审计证据,但是不能提供充分的没有重大错报的审计证据。 通过询问法获得的审计证据需要通过其他方法来验证。
检查法是指审计人员查看相关记录、文档和固定资产。 现场检查有形资产可以提供关于有形资产是否存在的可靠证据,但不能提供关于这些有形资产所有权问题的可靠证据。
分析法是指审计人员使用研究和比较的方法获得关于财务报表的证据。 分析法是不同于以上所列五种常用方法的另类方法,它包括审计人员所使用的不符合以上五种方法的其他所有方法,其分析程序包括从简单的比较到复杂的数学模型[8]。
在实际应用中,这些常用的技术一般会被分成更具体的程序,而审计人员则把这些具体的程序应用到一个审计项目中。
三、审计证据的合适性、可靠性与充分性
运用审计技术获取的审计证据,应当具有合适性、可靠性与充分性。
(一) 审计证据的合适性
审计人员在完成财政报告认定的重大错报风险评估之后,下一步工作就是要获得相关的审计证据。 审计准则要求审计人员获得充分、合适的审计证据来作为发表审计观点的基础[4]。 会计记录(如日记账、分类账、会计政策手册、计算机文件等)是财务程序的主要审计证据,但不是支持财务报表的充分的、合适的证据。 审计人员必须通过个人知识、文档检查、公司职员询问等方法来查找证实这些记录的相关证据。 通过收集和分析审计证据,审计人员可以判断被审计单位是否公正地发布了财务报表并判断财务报表的合规性。
识别审计证据是审计的一个关键步骤。 为了对一个审计项目形成公正的审计意见,审计人员需要获得审计证据来达到两个目的:(1)合理判断财政报告认定是否是正确的;(2)为审计报告中所表达的审计意见提供逻辑支持。
审计证据的合适性涉及证据的质量方面。 为了实现审计证据的合适性,审计证据必须是相关的和可靠的。 相关的审计证据可帮助审计人员实现审计目标,这意味着它必须涉及至少一项财政报告认定,否则它就和审计人员不相关。
(二) 审计证据的可靠性
审计证据的可靠性取决于其性质和来源。 图 1所示的审计证据层次结构图证明了审计证据相对的可靠性,可靠性层次结构图从最强的审计证据开始,到最弱的审计证据结束。
(4) 在被审计单位信息系统中产生、传递并最终存贮的内部证据一般被认为可靠性较低。 一些这样的内部证据可能很正规,但并非权威可靠。 被审计单位内部控制的质量非常重要。 一般来说,这些文件的可靠性取决于被审计单位产生和处理这些文件的内部控制质量。 另外,相对于其他类型的证据,这些内部证据一般也比较容易获得,且所需的成本较低。 因此,如果内部控制较好,这些内部证据可以被广泛使用。
(5) 通过使用审计人员验证过的特定数据进行分析而获得的审计证据被认为相当可靠。
(6) 被审计单位相关人员所给的口头和书面描述一般被认为是最不可靠的审计证据,这些描述应该有其他类型的证据来加以证实。
审计人员必须注意审计证据的合适性并选择最可靠的审计程序。 在实际的审计过程中,如果不能使用监盘和重算这些最可靠的审计方法,或者使用这些方法的审计成本过高,审计人员可以向可靠性层次图的下面移动,选择当前条件下最佳的审计方法。 另外,可能会出现的情况是,高度可靠的审计证据来源很难获得,比如电子商务环境下的交易没有留下交易痕迹。 这种情况可能需要两个或两个以上的不可靠的证据一起才能支持财政报告认定。 如果审计证据来自两个相互独立的来源,且是相互一致的,那么这些证据就很有说服力。 总之,审计人员应该是在考虑成本效益的情况下,获得最可靠的证据,达到特定审计目标。
(三) 审计证据的充分性
审计证据的充分性考虑的是对于一个审计项目来说合适的审计证据多少才是足够的。 对于审计证据的充分性,审计职业没有正式的标准,这给审计人员的专业判断提出了问题。 然而,实际上审计结论必须基于足够的证据,这样才能够经得起其他审计人员(监督人员和复审人员)和外界(如法官、监管机构或公共会计监督委员会督察)的审议。 检测审计证据充分性的真正测试方法是“别人能否通过你的证据获得和你同样的结论”。
由于审计方法和会计学自身的局限性,审计人员不能获得绝对的鉴证,因此,当审计人员判断什么时候收集的审计证据足够提供合理鉴证时,专业判断是必须具备的。
事实上,重要的审计证据很难获得或者获得成本很高都不是未能获得审计证据的充分理由。 如果审计人员未能获得足够的、合适的审计证据,审计人员应该发表附带条件的意见或放弃表达审计意见。
四、审计证据与审计风险之间的关系
审计风险是审计人员在审计过程中采用了没有意识到的不恰当的审计程序和方法,或者错误地估计和判断了审计事项,得出了与事实不相符合的审计结论,进而受到有关利害关系人或潜在利害关系人的指控,乃至加大承担法律责任的可能性。 一般来说,审计风险的模型定义为:
审计风险 =固有风险 ×控制风险 ×检查风险[7]在审计风险模型中,审计人员所能控制的只有检查风险,固有风险和控制风险与被审计单位有关,审计人员对固有风险和控制风险无能为力,只能对其水平进行评估,以便确定可接受的检查风险水平。 由以上审计风险模型可以看出,审计人员可以通过采用合适的审计方法来降低检查风险。
用来支持审计报告内容的信息。 这些信息仅能通过使用合适的设备和技术(比如计算机、软件、打印机、扫描仪、传感器或磁质媒体等)来获得。 电子审计证据包括会计记录、原始文档、日记账和总账、支持性文件和其他任何形式的以电子形式存在的可为审计使用的数据或信息。 和传统的审计证据相比,电子审计证据具有两个特点:第一,电子审计证据是一种以数字形式存在、逻辑结构与信息本身相分离的信息。 第二,信息的来源、目的地、发出和接收的日期都没有和电子文档或其他信息格式集成在一起,因此,电子审计证据的来源更加难以被确定,相关授权人员的批准以及签名本身的真实性也更加难以被确定。
纸质审计证据和电子审计证据的比较如表 2所示[9]。
信息化环境下,审计证据的获取多是通过采用信息技术对被审计电子数据进行分析来完成的,也就是说,通过对被审计数据的分析,审计人员可以发现可疑数据,并通过对可疑数据的审计判断,最终获取审计证据。 因此,审计数据分析方法是影响审计取证风险的一个重要因素。 审计风险、审计证据和审计数据分析方法之间的关系如图 3所示。
通过以上两个指标,审计人员可以评价用于审计取证的审计数据分析方法的审计检查风险。 根据评价结果,审计人员可以知道什么时候用什么样的审计方法,同时,也可以根据用于审计取证据的审计数据分析方法的检测风险评价结果去优化这些方法,从而达到减少审计风险的目的。
六、结语
本文分析了常见的不同种类的审计证据并详细分析了审计证据的合适性、充分性和可靠性。 由前文分析可知,一般来说,分析法获得的审计证据比较“软”,因此审计人员倾向于使用其他的五种方法来获得“硬”的审计证据。 然而,分析法仍然是一种很有效的方法,因为它可以从不同的来源信息中获得审计证据,并常常能提供一种独立的方法来获得关于财务认定是否正确的证据。
信息化环境下,重算法和分析法可以通过审计软件来完成[12],多数审计证据可以通过审计软件以电子形式获得。 因此,当应用分析法时,审计人员应该对独立的、可靠的信息进行分析。
参考文献:
[1]marcoa,giusepped,robm,etc.whatsnextforinternalauditing?[r].theinstituteofinternalauditors,2011.
[2]陈伟.一种基于ahp的联网审计绩效评价方法[j].审计与经济研究,2011(5):4752.
[3]陈伟,smieliauskasw.云计算环境下的联网审计实现方法探析[j].审计研究,2012(3):3744.
[4]intosaiauditcommittee.principlesofcomputerassistedaudittechniquesstudentnotes[r].2004.
[5]robertlb,harolded.computerassistedaudittoolsandtechniques:analysisandperspectives[j].managerialauditingjournal,2004,18:725731.
[6]陈伟.计算机辅助审计原理及应用[m].二版.北京:清华大学出版社,2012.
[7]isaca.cisareviewmanual2013[m].chicago:isaca,2013.
[8]iia.globaltechnologyauditguide(gtag):informationtechnologyriskandcontrols[m].2nded.altamantesprings:theinstituteofinternalauditors,2012.
[9]cica.cicahandbookstandardsandguidancecollection[eb/ol].[2012
0908].http://www.cica.ca.
[10]smieliauskasw,bewleyk.auditing:aninternationalapproach[m].5thed.toronto:mcgrawhillryerson,2010.
[11]smieliauskasw,bewleyk.auditing:aninternationalapproach[m].6thed.toronto:mcgrawhillryerson,2013.
[12]cica.amatterofevidence[j].camagazine,1994(3):5758.
[13]isa.ifachandbook,ethicsandinternationalstandardsonauditing[r].newyork,2005.
[14]smithdg.analyticalreview[r].cica,1983.
[15]lavignea,mondc.astudygroupexaminestheissuesauditorsfaceingatheringelectronicinformationasevidenceanditsimpactontheaudit[eb/ol].[20120908].http://www.camagazine.com,2002.
[16]陈伟,qiurobin,刘思峰.一种基于数据匹配技术的审计证据获取方法[j].计算机科学,2008(8):183187.
[17]陈伟.联网审计技术方法与绩效评价[m].北京:清华大学出版社,2012.
[18]chenwei,smieliauskasw,trippeng.anauditevidencegatheringmodelinonlineauditingenvironments[c].ieeeinternationalconferenceonsystems,man,andcybernetics.piscataway:ieeepress,2011:14481452.