一、引言
随着信息技术的发展和普及,计算机在国民经济各行业、各行政、企业、事业单位日常运行中成为不可缺少的管理工具。计算机及相关信息系统不仅仅是被审计单位的一种重要资源,而且是信息化条件下运行管理、内部控制的关键部分。审计信息化已成为审计事业发展的必然,而审计信息化也给审计项目质量控制带来了新的问题和挑战。因此,研究在信息化环境下的审计项目质量控制问题在审计事业发展中具有十分重要的理论和现实意义。
二、审计信息化的特点
审计信息化主要是审计人员利用计算机对被审计单位的信息系统进行审计,以及对信息系统包含的财务、业务数据进行数据式审计。计算机审计是指在信息化环境下,计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一种先进的审计手段。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标的审计方式。因此,计算机审计的含义包括两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象,简称信息系统审计;另一方面,利用计算机辅助审计,即计算机作为审计的工具,简称数据式审计。
审计信息化收集的审计数据不局限于简单的财务数据,还包括业务数据及外部关联数据等,因此审计范围更广;电子信息本身具有隐蔽、易逝的特征,审计线索更是如此;信息化为审计提供了实时监督的条件,实时审计很大程度上基于信息化;信息化下审计主体不但能够处理传统的财务、业务数据,还要对信息技术有深入了解,审计技术更加复杂等特点。
审计质量控制涉及审计工作的方方面面,审计质量控制的直接目标是解决审计项目的质量。在审计信息化条件下,审计工作的环境发生了变化,审计技术和方法发生了变革,审计证据的载体发生了变化,审计档案管理也由纸质、纸性为主向以磁、光介质为主转变等等, 这就对审计质量控制提出了新的要求。
三、审计信息化条件下审计质量现状
近年来,各级审计机关对计算机审计引起了前所未有的重视,以及计算机中级培训使各地一线审计人员计算机操作水平得到了极大提升。因此,计算机审计在各级审计机关实施审计项目中的比重越来越大,数据式审计和信息系统审计在效率的提升、实施的深度和广度也是传统审计所不能比拟的,当我们欣喜的看到计算机审计带来深刻变革的同时,也要清醒的认识到当前我们审计信息化与质量控制相互脱节的地方。
(一)审计思路僵化,不适应信息化审计要求
由于传统手工审计理念根深蒂化,审计模式习惯于纸质报表、账目、会计凭证、内控制度等进行审计,虽然一线审计人员都配有笔记本电脑,并装有现场审计实施系统AO,但是由于受到审计理念束缚,电脑使用效率不高,现场审计实施系统AO 也没有用活,相当一部分审计人仅用电脑作为文字处理工具。
(二)信息化条件下审计质量复核把关缺位
计算机审计与传统手工审计差异极大,两者在审计环境、审计的思维方式、审计线索、审计测试的对象与范围、审计技术方法、审计流程、审计风险、审计方式等有诸多不同,但在审计信息化环境下审计质量复核仍是传统的手工审计复核模式,存在严重缺位,虽然各地审计机关也实行了三级复核机制,但由于既精通计算机又懂审计业务的复合型人才奇缺,根据审计电子数据重新计算分析或者重新执行SQL语句变得难以操作,审计质量复核变得形同虚设。
(三)信息化审计操作流程不规范,审计质量难以评价
由于信息化条件下计算机审计操作流程不规范,虽然审计署出台了《审计署2008至2012年审计科研工作规划》,许多省市级审计机关为了推动计算机审计,也出台了类似计算机与审计业务融合的办法,但由于计算机审计与传统手工审计差异极大,其操作流程及SQL语句写法格式不一等,对应的审前调查、审计方案及审计日记及底稿等仍套用传统审计流程,相关部分审计项目审计证据未有SQL语句及审计思路描述;近年来,各地开展的与地税、社保基金、乡镇财政等计算机联网审计,没有统一的操作规程及管理办法,各地联网审计均在探索阶段,审计质量难以评价。
(四)复合型人才培训机制不完善,影响审计质量控制环境
众所周之,在传统手工审计中,审计人员凭借自己的经验、专业知识,结合运用各种审核检查的方法,就可以达到目的,然而在计算机信息系统下,除了需要运用一般的传统方法以外,最重要的是要借助计算机辅助技术来达到审计目的,审计人员除需具备一般审计所需的知识外,还应具备一定的计算机知识,对被审计单位财务、业务信息系统有可能出现的错误及舞弊要有比较清楚和深刻的认识,但最重要的一点是审计人员应能熟练地运用计算机进行审计。然而据浙江省审计厅人教处调查,目前,我省各地一线审计人员紧缺,由于人员老化、缺编等原因,各地基层审计机关人员少工作量大将是在相当长的一段时间内长期存在,既熟悉审计业务,又精通计算机审计,同时又会思考的复合型人才更是缺少。
此外,当前审计机关在审计软件应用中仍存在相当多的不足之处,如审计现场实施系统AO与审计办公自动化系统OA交互不够及时,审计人员不会打审计现场数据包以及上传那些数据包不清楚; 审计现场实施系统AO应用没有创新,集成的计算机审计专家经验未充分使用; 联网版审计现场实施系统AO应用不够,审计效率低下,这些也进一步影响了审计质量。
四、信息化条件下审计质量控制对策
(一)以思路创新为先导,引入风险导向审计模式加强审计质量控制。
“思路决定出路”,信息化条件下计算机审计与传统手工审计模式差异极大,两者审计风险都不一,传统手工审计模式下,审计风险的构成要素为重大错报风险与检查风险。而实施计算机审计,必须先利用审计软件等工具采集审计对象的电子数据,然后进行转换、清理和验证,再对数据进行分析建立审计中间表,在这个过程中,由于审计人员可能采用不恰当的数据采集方式,未能保证数据采集的完整性、可靠性和安全性,也可能由于对审计数据的错误分析,不能识别源数据,未采集到被审计单位有用的财务信息;还可能由于系统设计中对数据备份方案设计不全面,数据格式转换的不恰当,而导致数据的不完整或前后不一致或由于系统数据格式不兼容,而导致数据格式转换过程中发生转换错误或重复录入数据失误,从而造成原始数据发生失真、毁损以及审计方法利用不当,形成数据采集转换风险。因此,在计算机审计的应用中,审计风险的构成要素除了为重大错报风险与检查风险,还增加了数据采集转换风险,如果审计人员控制不当或缺乏控制该风险的能力,应用计算机审计而产生的审计风险会大大提高。所以在信息化条件下开展计算机审计首先必须在思路创新上引入风险导向审计理念加强审计质量控制。
审计模式的发展经历了账项基础审计、制度基础审计和风险导向审计三个发展阶段。账项基础审计主要以检查账户、报表为主要切入点;制度基础审计主要以被审计单位内部控制制度为审计切入点;风险导向审计是制度基础审计的进一步发展,主要是以评估审计风险为审计切入点,包括对接受审计项目之前的风险评估、制定审计计划阶段的审计风险评估、具体测试阶段的审计风险评估以及审计终结阶段的审计风险评估,同时对环境风险、管理风险和财务风险进行整体评价。
风险导向审计理念在计算机审计质量控制的应用主要表现在:一是审计组对审计项目实施过程中的全方位风险评估,获取被审计单位完整的信息业务数据,分析被审计单位信息数据的内控缺陷,确定数据建模思路。二是充分了解被审计单位的业务流程及外部环境,及时获取相关联的业务数据,建立关联数据对比分析体系。
(二)以完善制度为基础,健全审计质量控制规范体系。
信息化条件下审计质量控制的重点在于审计工作规范化,即能不能依法规范审计活动,不断健全并落实各项有关制度和内控措施。
1、落实责任,强化审计质量分级负责制
按照审计项目质量控制办法规定,细化分解审计质量各项要求和责任,以科室负责人为审计质量第一责任人,实行审计组长负责制,对计算机审计项目质量责任实行评估和追究。具体责任和要求是:
(1)审计人员责任。审计人员负有履行审计职责和严格遵守审计质量控制办法的责任。对审计法、国家审计准则和审计质量控制办法规定的审计人员审计项目质量责任负责;对计算机审计实施方案确定分工审计事项的真实性、完整性负责。
(2)审计组长责任。审计组长负有在科室负责人的领导下履行审计职责,组织指挥计算机审计项目现场实施,确保计算机审计项目质量的责任。对审计法、国家审计准则和审计质量控制办法规定的审计组长审计项目质量责任负责;按规定上传计算机现场审计AO数据包,对其及时性、真实性、完整性负责。
(3)科室负责人责任。科室负责人负有领导、组织本科室审计工作,实施审计项目质量控制和管理,督促审计组认真履行审计职责,确保审计质量的责任。督导审计现场工作,指导案件线索的深入查处,按规定检查批复审计组上传的计算机现场审计AO数据包,对其及时性、恰当性负责;主持召开审前研讨会、审中碰头会、审后总结会,组织参与案例展示会,对其及时性、实效性负责。
(4)专职复核员责任。专职复核员负有对全局审计质量控制的责任。对审计法、国家审计准则和审计质量控制办法规定的法制工作机构审计项目质量责任负责;对审计现场发现案件线索及时指导;检查通报办公自动化OA与计算机现场审计AO交互情况,及时发现问题,指导审计现场工作;按照审计业务会审定的事项修改审计法律文书,对其客观性、恰当性、合法性负责;组织召开案例展示会,总结推广计算机优秀审计案例。
2、严格程序,加强审计质量控制管理
切实加强审计工作的动态控制和管理,突出抓好计算机审计项目的审前调查、审计方案编制、审计现场管理、审计日记撰写等工作,积极推行审前研讨会、审中碰头会、审后总结会、案例展评会制度,严格审计程序,提高审计质量。在摸清被审计单位管理控制情况、薄弱环节及信息系统基础上,精心制定审计方案及计算机审计实施方案,全面加强审计现场管理,督促办公动化OA与计算机现场审计AO交互管理办法的有效实施,认真撰写审计日记及类SQL语句,提高审计质量和工作效率。
3、强化内控,严格审计复核把关
以审计署6号令为核心,强化审计质量内部控制和管理,将三级复核制作为质量控制的关键环节,落实复核责任,提高复核质量,改进复核办法,实行审计复审制。
(1)落实复核责任。按照审计质量控制办法的要求,层层落实审计组长、科室负责人、专职复核员三级复核内容和应承担的责任。审计组长把好审计质量第一道关口;科室负责人对审计目标偏差及审计事实不清、证据不足等问题责成审计组补充完善;专职复核员发现主要材料不完整、基本格式错误的,通知审计组所在部门限期补正及整改。
(2)提高复核质量。根据审计质量控制办法的规定,将审计复核作为审计质量控制的重要机制,三级复核人员坚持实事求是、严格把关的工作态度,提出事实清楚、定性准确、依据充分、措施可行的复核意见,确保审计复核质量;要通过对审计业务、审计程序、适用法律法规等的监督,分别对电子数据书面采集说明、电子数据保存、计算机审计程序代码等进行复核,来提高电子账簿审计证据的质量,以保证审计证据可靠无误提前发现和修正审计过程中出现的问题,减少审计项目质量缺陷;专职复核员要建立动态管理的审计复核平台,及时记录复核意见及采纳情况,并将复核意见作为年度优秀审计项目考核依据。
(3)实行审计复审制。通过审计业务会议把关审计方案、计算机审计方案科学性,审计证据收集完整性,审计模型思路多样化;专职复核员复核把关前置,与审计组就审前调查、数据采集、审计SQL语句分析、证据收集等同步复核,提高计算机项目审计质量;通过学习审计署、审计厅计算机评优管理办法,不断提高专职复核员审计复核质量以及计算机审计人员审前、审计及审后规范化操作水平。
(三)以审计流程为主线,全过程加强审计质量控制。
1、审前:做好充分的审前调查工作
审前调查是确定审计工作重点内容、审计范围、选择审计方法和步骤、制定审计实施方案的必备环节,是审计质量的审前控制。要想提高信息化条件下审计质量,开展审前调查是必不可少的一项工作内容。审计人员除传统常规审计审前调查所要了解被审计单位的经济性质、管理体制、机构设置及财政财务隶属关系等,了解相关的内部控制执行情况及会计政策,收集相关的审计法规文件外,信息化条件下审前调查还需要解决两个问题:一是能否获取被审计单位的账务数据和其他信息系统数据;二是获取的数据能否满足审计的需要。调查的内容包括了解被审计单位的信息系统,及该系统的运作情况、数据存储的形式、数据接口和数据库管理的情况,以确定在现有的技术水平和条件下,能否利用审计软件或其他软件读取被审计单位的数据文件。此外,还要考虑获取数据的时间成本、技术成本和转换成本,假若上述数据的获得要花费大量的时间和人力,甚至影响审计的实施时间,计算机审计的质量必然会大打折扣。可以说没有审前调查,决不可能编制出行之有效的审计实施方案,更无从谈起高质量开展计算机审计。
2、审中:实施标准化的审计作业流程
一是数据采集环节。审计人员应在被审计单位的技术配合和支持下,通过可行的技术手段,如直接复制、文件传输等方式,及时获取被审计单位会计核算和业务等方面的完整数据。二是数据预处理环节。由于被审计单位数据来源复杂,数据格式不统一,信息表示代码化,数据在采集的过程中可能失真,被审计单位有意更改、隐瞒数据真实情况等诸多影响,对采集到的数据必须进行预处理,以及进行数据字典字母转换成汉字。三是数据分析环节。在审计数据的分析阶段,要注意选择合理的数据分析方法,从不同层次、不同角度对电子数据进行分析,找准薄弱环节,选择审计重点,深化实施审计方案,避免审计的片面性、盲目性。在对选择的重点问题进行的进一步分析中,审计人员应建立多种审计分析模型,对具体的财务、业务、关联数据多角度、多维度、多对比分析。在此过程中,要注意借助AO和OA系统,充分利用该系统已有的审计数据分析方法和审计专家经验,同时,在审计过程中,应注意被审计单位信息数据保密,防止数据泄密给审计机关及被审计单位造成的负面影响。
3、审后:实现规范化的审计证据、审计档案管理
在审计信息化条件下,由于审计环境的变化,尤其是审计记录载体的转变,对审计证据、审计档案的质量控制提出了新要求,使其成为信息化条件下审计项目质量控制应关注的主要内容。在现场审计实施后,应该对数据采集、数据验证、证据整理、证据修改、证据复核环节等获得的审计证据进一步规范,以增强其证明力;对于审计档案管理,首先要实现审计档案管理标准化。审计档案信息管理的标准化,就是要实现档案实体管理逐步转向信息管理,并由档案部门会同相关部门研究、制定并颁布的相关业务规范和技术标准,为审计档案信息化奠定基础。其次,要加快审计档案信息化建设。由于网络的建立,档案的数字化建设成为审计档案工作的发展趋势,因此应把审计档案的工作重心逐步由传统的把保存好审计档案作为主要职能转移到运用计算机技术、光盘技术。同时,审计组还应该对项目进行整理分析,对一些常用的审计模型及思路进行固化,形成计算机审计专家经验,对SQL语句进行归类总结,形成数据整理、数据分析、数据建模等大类语句纳入计算机审计语句库。同时,审计组成员应及时对数据式审计及信息系统审计进行归纳提练,形成有价值的审计信息及理论、实物文章,并做好被审单位资料库的建立工作,为日后的审计监督打下良好的基础。
(四)以人才建设为要领,营造审计质量控制良好环境。
坚持以人为本,改进方法、创新手段,努力创造审计质量控制的良好环境。信息化条件下审计质量控制中最活跃、最积极因素是人。加强审计质量控制,首先,必须加强审计队伍建设,大力培养独立公正、严谨负责的职业道德和一专多能的复合型审计人员。进一步整合审计资源,形成有利于人才脱颖而出和充分发挥作用的有效机制,积极试行计算机项目主审竞争上岗等制度,创造条件,逐步建立与审计职责和能力相适应的干部考评制度,让一线能干肯干的审计人才有盼头。其次,信息化条件下审计质量控制作为审计机关共同面临的任务,需要全体审计人员的共同参与,要激发广大审计人员的积极性和主动性。第三,审计质量控制要注重组织中领导者的作用。计算机审计更是如此,如果没有领导重视和参与,很难取得信息化审计的突破,审计质量也难以保证,为了充分发挥审计监督的职能作用,各级审计机关的领导干部,要认真研究制定审计质量控制的方针、原则和目标,并为加强审计质量控制创造一个良好的工作环境。领导干部尤其是一把手要以身作则,带头贯彻执行与审计质量控制有关的法律法规和标准,作为审计质量的“第一责任人”,统一组织领导审计质量管理活动,履行好与审计质量控制有关的指导、审批、审定职责,以确保审计项目质量目标的实现。第四,必须借助于现代管理理论,运用现代科学技术,创新审计质量控制的理念、制度和手段、方法。
(五)以科学考评为辅助,引领审计质量更上一层楼。
坚持重实绩、看实效,完善计算机审计项目评优标准,优化评优模式;运用多种方式积极开展审计质量管理活动,对计算机审计项目质量进行科学考评,是审计质量控制的重要方面,也是促进增强质量意识,提高审计水平的有效途径。一是改革审计机关现有综合考评办法,增加计算机审计奖励比重,对优秀计算机审计人才奖以重金,充分发挥他们的积极性及主观能动性;二是完善优秀审计项目评选办法,设置计算机优秀审计项目参评必备条件,开展优秀审计方案评比、优秀审计报告评比、优秀审计成果评比等活动,调动审计人员重视、提高审计项目质量的积极性。三是建立审计人员工作成果统计办法。对计算机审计项目重点倾斜,以审计日记、审计取证记录为依据,由审计组长对查处违法违纪问题、发现案件线索的主要审计人员予以记录统计,作为个人评先评优依据。四是评选审计能手。按照重实绩、看实效的原则,量化审计人员实绩考核指标,真正评出作风过硬、业务精湛、成效突出既精通审计业务又精通计算机的复合型审计能手,并将此作为干部提拔任用的重要参考依据。