1、浅谈信息化条件下的审计质量控制 信息技术的开展深刻地改变了人类的生活方式和生产方式,也给审计工作带来了前所未有的机遇和挑战。刘家义审计长在202223年全国审计工作会议上指出,“中国审计的出路关键在于信息化,信息化的关键在于数字化,可见,审计信息化和数字化是传统审计迈向现代审计的必由之路。由于电子数据固有的高科技性、无形性和易篡改性等特征,信息化在给审计工作带来便利的同时,也带来了一定潜在的审计风险。因此,对信息化条件下的审计风险和审计质量控制方法进行研究,是很有必要的。 一、信息化条件下审计证据的法律定位及其特点 审计证据是“审计人员获取的能够为审计结论提供合理根底的全部事实。在信息化条件下
2、,审计人员从被审计单位及有关单位的信息系统中获取的大量电子数据,这些电子数据只要是能够直接或者通过分析后间接支撑审计结论的,都可以成为审计证据,一般称之为电子证据。此外,工商、税务等行政机关在执法过程中也都越来越广泛地使用电子证据。 在我国三大诉讼法中,电子证据并不是证据的种类之一,如行政诉讼法第三十一条规定,证据包括书证、物证、视听资料、证人证言、当事人的陈述、鉴定结论、勘验笔录和现场笔录等七种。但在诉讼程序中电子证据是被认可的,根据最高人民法院关于行政诉讼证据假设干问题的规定第六十四条,以有形载体固定或者显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经对方当事人确认,或者
3、以公证等其他有效方式予以证明的,与原件具有同等的证明效力。由此可见,无论是在行政机关执法中,还是在诉讼程序中,电子数据可以作为证据使用,其法律地位是明确的。至于电子证据属于七种证据中的哪一种,是否应当单独作为一类,目前在理论上尚无定论。 信息化条件下的审计证据,具有区别于传统纸质证据的显著特点:一是无形性,电子证据存储在计算机系统中,看不见、摸不着;二是高科技性,电子证据依赖于信息技术而存在,专业性较强;三是脆弱性,容易丧失和被篡改,且不留痕迹;四是一定程度的可恢复性,某些情况下,数据被删除或破坏后可通过一定的技术手段进行恢复。只有准确把握电子证据的特点,才能在审计质量控制中有针对性地采取措施
4、,防范审计风险。 二、信息化条件下审计质量控制的根本原那么 信息技术是审计人员查清事实、得出审计结论的方法和途径之一,信息化条件下的审计工作程序、审计取证的方法和标准、审计定性和法律法规的适用等与传统审计方式没有任何区别,这是信息化条件下审计质量控制的根本原那么。简言之,信息技术在审计中的应用,不能够替代任何原有的工作程序,审计证据应当到达的标准也不能有任何的降低。 首先,信息化条件下审计机关获取审计证据应当符合法定的权限和程序。国家审计准那么第八十三条规定“审计人员应当依照法定权限和程序获取审计证据,延续了原审计机关审计证据准那么(审计署2号令)中审计证据合法性的要求,在信息化条件下,审计人
5、员获取和使用电子证据自然也不例外。例如,审计人员在被审计单位不知情的情况下,秘密进入被审计单位信息系统并获取电子数据,明显违反了法定的审计程序,所获取的电子数据因为不符合审计证据的合法性要求,是不能作为审计证据使用的。又如,审计人员获取电子证据没有记录其采集和处理过程,不能证明其来源正当且未经过修改的,同样属于非法证据,应当予以排除。 其次,信息化条件下获取的审计证据应当具有适当性和充分性。电子证据必须与审计事项之间具有实质性联系,是真实可靠的,并且到达一定数量,足以支撑审计结论或者与其他证据共同支撑审计结论。一般情况下,审计人员获取的电子证据主要是被审计单位的财务数据和业务数据,通过分析这些
6、数据能够发现问题线索,但该问题是否真实存在,往往需要做进一步的延伸调查才能发现。例如,通过分析银行账户的交易明细发现某账户交易异常,且存在某种违法犯罪行为的特征,但这并缺乏以得出该账户被用来从事违法犯罪行为的结论,因为资金流动异常的背后,其交易背景或财产关系并不明确,这就需要进一步调查与资金相关的交易行为是否真实合法,并获取其他审计证据,与账户交易明细的电子证据相互印证,才能得出审计结论。 最后,电子证据存在的疑点必须被排除。如果电子证据与纸质证据之间、电子证据与电子证据之间相互矛盾,或者电子证据与审计认定的事实相互矛盾,那么必须继续调查,找出存在问题,对疑点做出合理解释,使审计证据之间形成一
7、个完整、闭合的链条,才能做出审计结论。收集证据时切忌只关注对预期的审计结论有利的证据,对相反的或者不利的证据视而不见,或者有意隐瞒。审计人员应当把获取的所有电子证据提交给审计组组长、业务部门和审理机构进行审核,如实告知证据中存在的疑点,经过审核无误后,电子证据才能够作为审计证据使用。在诉讼程序中,司法机关对证据也有类似要求,其目的同样是要排除证据中存在的疑点。 三、信息化条件下的审计质量风险分析 信息化条件下,审计工作的流程一般是从被审计单位及其他有关单位获取原始电子数据,对数据进行转换和清理,通过分析和计算发现问题线索,进行延伸调查,得出审计结论。在这个过程中,存在审计风险的环节主要有: 第
8、一,获取的原始电子数据不真实、不完整的风险。采集原始电子数据是信息化条件下审计工作的起点,必须保证数据的真实性和完整性。原始电子数据不真实、不完整的风险主要表现在:一是被审计单位的信息系统存在漏洞,一般控制和应用控制不够完善,系统中存储的数据有可能与实际情况存在偏差;二是数据采集时由于操作不当或者系统之间兼容性不好,导致数据丧失或者出现错误,在这种情况下,审计人员采集到的数据可能与这些数据的原始状态存在巨大的差异;三是采集电子数据时没有将采集过程做好记录,日后在作为审计证据使用时受到质疑,审计人员不能证明这些电子数据的来源合法,且未经过人为修改,面临不能作为审计证据使用的风险。 第二,电子数据
9、转换和清理过程中产生数据丧失、出现错误的风险。在分析计算电子数据进行之前,需要把原始电子数据进行转换和清理,包括转换数据类型、转换数据表结构、对冗余数据进行删除,对空值和缺失数据进行修补,对冲突数据进行取舍等,在这个过程中,存在由于操作失误导致转换和清理后的数据发生丧失或者产生错误的风险,影响电子数据质量。一旦发生这样的情况而审计人员又没有发现,那么后续的所有分析都是建立在错误的根底之上,所得出的结果不可防止地会存在偏差。 第三,计算分析过程中发生逻辑错误的风险。审计中最常用的分析计算工具是sql语句,如果语句存在语法错误,那么不能通过编译器的编译,系统会提示错误且无法出现查询和计算结果,这种
10、错误一般不会导致审计人员得出错误的分析结果,影响审计质量。但是如果sql语句存在逻辑错误,如缺少某个查询条件、查询条件设定错误、或者对数据表之间的关系理解错误,再如,将银行账户交易明细中的以元为单位的发生额转变为万元时,本应除以2023000而除以202300,或者将其他币种的交易额误以为是人民币等,那么系统能够进行运算并输出结果,这种错误难以被发现,某些情况下即使审计人员反复进行检查也无济于事。语句逻辑错误对审计质量的影响是致命的,一旦发生,便会导致“差以豪厘,谬以千里的后果,是信息化条件下审计过程中必须高度注意的。 第四,复核审理过程中不能发现审计过程和结论存在错误的风险。根据国家审计准那
11、么,除直接对某一事项进行查证的审计人员外,审计组主审、审计组组长、审计机关业务部门、审理机构、总审计师和审计机关负责人等均负有各自的审计质量责任,应当对审计过程和结果进行审核、复核、审理和审定。在信息化条件下,电子数据分析的专业性较强,往往由计算机应用能力较强的审计人员完成,但是负责复核审理工作的审计业务部门和审理机构一般没有专门对电子数据分析进行复核审理的工作人员,其计算机水平也参差不齐,如果审计分析中应用到的技术超出复核审理人员的能力范围,那么后续的质量把关环节便形同虚设,导致错误不能被及时发现的风险。 四、完善信息化条件下审计质量控制的建议 针对信息化条件下的审计风险,可以考虑从以下几个
12、方面采取措施进行应对,加强审计质量控制。 第一,科学评价信息系统及其电子数据的可靠性。信息系统是电子数据存储和处理的环境,电子数据的真实性和完整性是建立在信息系统可靠运行的根底上的,因此,采集电子数据前必须对信息系统的可靠性进行科学评价,这一点在国家审计准那么中有明确的规定。在审计实践中,由于时间有限,审计人员一般不会对被审计单位进行全面的信息系统审计,但是只要从系统中采集数据,就应当关注和检查信息系统的可靠性。对此,审计人员可以根据经验做出根本判断:一般来说,会计核算和资金交易方面记录根本准确可靠,其他仅在被审计单位内部使用的电子数据可靠性相对较低,如银行信贷系统,保险公司的业务系统。同一信
13、息系统内部的数据可靠性也不一致,一般情况下关键数据比较可靠,非关键数据可靠性较低,如银行信贷系统中记录每笔贷款的金额、余额等的信息较可靠,而企业的报表数据等信息可靠性较低;保险公司的业务系统中保单的保额、保费较为可靠,而代理人等信息可靠性较低等。 第二,采集的原始电子数据应当以有形的形式进行固化。原始电子数据是审计分析查证的起点,为证明其来源合法且从被审计单位采集后未经过人为修改,防止不必要的纠纷,采集的原始电子数据应当以有形的形式进行固化。如要求被审计单位提供光盘,同时在光盘上贴上标签并盖章、或者另附纸张说明材料注明光盘中数据内容等。这样做的好处还在于将原始电子数据进行了备份,数据丧失无法找
14、回时可以读取光盘中的数据重新进行计算分析,也可以使计算分析的全过程进行再现成为可能。 第三,详细记录电子数据采集、转换、清理和分析过程,编制审计工作底稿。在电子数据采集、转换、清理和分析计算的过程中,对每一工作步骤进行详细记录、编制审计工作底稿是有效防范审计风险的途径之一,这样既可以界定审计机关与被审计单位的责任,也能够使整个审计过程清晰地呈现出来,便于其他审计人员接手继续开展工作和复核审理人员的检查,提高工作效率。国家审计准那么第八十七条第二款规定,“采集被审计单位电子数据作为审计证据的,审计人员应当记录电子数据的采集和处理过程,其目的也正在于此。如果缺少相应的记录和审计工作底稿,一旦发生行
15、政诉讼,审计机关提供的电子证据可能会不符合司法机关对证据的认定标准,面临败诉的风险。 第四,尽量防止仅依靠电子数据分析得出审计结论。如前文所述,电子数据分析只是发现问题线索的途径,在发现问题线索后,应当进行延伸调查以印证电子数据分析的结果,如通过分析税务机关的电子数据发现享受税收减免优惠政策的企业不符合规定的条件,但实际上该问题能否成立、电子数据是否存在偏差、是否存在审计人员尚不掌握的其他情况,在电子数据中无法找到答案,这就需要就这一问题与税务机关和该企业进行充分的沟通交流、证实问题存在后写出审计取证单,交有关单位签署意见并加盖印章,审计取证工作才真正结束。因此,在审计实践中一般应在电子数据分
16、析的根底上获取其他证据,尽可能的地防止仅通过电子数据分析得出审计结论。这一点是非常重要的,因为电子数据分析的结果没有与被审计单位及有关当事人见面,缺少交换意见的过程,为保证审计结论的正确性,建议除调查案件线索、因保密等原因不宜直接取证的情况外,其他通过数据分析得出的审计结论都编制书面的审计取证单,交有关单位和人员认证,这也是国家审计准那么要求之一。 第五,强化复核审理人员的计算机应用能力和效劳意识。人的能力建设是提高审计质量的关键,在全面开展信息化审计的起步阶段、复核审理人员的计算机水平普遍不高的情况更是如此。审计机关要针对复核审理人员系统性地开展计算机应用方面的培训,不断提高审计组组长、业务部门负责人、审理机构工作人员发现问题的能力和敏感性。复核审理人员也要积极自学,深入信息化审计工作一线,向电子数据