第 3 章 联网审计的风险控制
3.1 联网审计的技术模式。
联网审计的风险大小与联网审计的采用何种技术模式息息相关。
联网审计的模式主要是由三个方面决定的:如何与被审计单位的服务器相连、使用何种审计工具、怎样采集和处理数据。这三方面任何一种的不同都可以使最终的联网审计组合模式与其他联网审计不同。
(1)采用何种方式与被审计单位的服务器连接。
理想的情况是与被审计单位的主机直接相连,直接从被审计单位的主机上获取数据,这样原始获取的数据是不仅完整而且及时。但一般情况下,从风险控制角度来说,任何被审计单位都不赞成直接审计主体直接连接其数据库主机,因为这样会承担有很大的风险,主要是从系统稳定性和信息安全两方面来考虑。但如果不是从政府审计方面来考察的,而是从内部审计方面,只要内部审计人员得到管理层的充分授权,这种连接方式无疑是最佳的。从信息安全方面来考虑,被审计单位的主机上存储着其企业的全部业务数据。有时很大部分数据都是商业机密,被审计单位并不想把这些数据全部公开化,即使是对审计机关定向公开。从主机系统的稳定性来考察,由于被审计单位的主机往往都是超负荷运转,一旦审计机关或审计主体,运行了大量复杂的查询工作而此时被审计单位的主机正在超负荷运转,导致了被审计单位主机的死机或是崩溃,会导致被审计单位蒙受巨大的经济损失,这是被审计单位最不愿意看到的。更容易让被审计接受的连接方式是在审计主体与被审计单位之间连接一个数据采集服务器。审计单位定期把单位主机的数据上传到数据采集服务器上。审计机关通过连接数据采集服务器获取想要的审计数据。但这种连接方式要求被审计单位及时准确完整的将自己主机上数据上传到数据采集服务器上。
审计机关连接被审计单位的服务器的采用何种连接也是不同的。通常的连接方式有专线、拨号、因特网。专线因为保密性较好,数据传输速率快,适合于应用到需要实施监督的大型单位的联网审计建设中,但其不足点就是,建设成本非常高,而且灵活性也不好。拨号连接方式适合连接一些规模比较小且不需要实时监督的单位。拨号连接的特点是保密性高,但数据传输速率低,对于经济业务不大,存储的数据量不是很多的企业,这种连接方式还是可以接受的。第三种因特网连接,但一般单位不会同意使用这种连接方式,因为风险系数太高,因特网上的病毒,木马太多,对于主机配置一般的企业或单位,它们数据库易受到黑客或病毒木马的攻击。这不利于被设计单位的风险控制。
(2)采用何种审计工具。
如果审计机关安装与被审计单位主机终端相一致的审计软件。这样审计单位的主机终端要是更新系统,或补丁的话,审计机关相应的也得更新。另外不同被审计单位的终端机,并不一定是相同的,如果审计人员用的 PC 机安装各种单位的数据库终端软件,也有可能造成各种软件之间的冲突,不利于审计活动的进行。所以采用这种与审计单位终端相一致的软件不是很流行的。
另外一种则是研究开发一些通用的联网审计软件。这种通用的联网审计软件与被审计单位的主机终端相连接,但往往这些通用审计软件都要针对不同审计单位进行一些参数调整。
(3)怎样采集数据与分析数据。
一般对于业务量小的单位,通常是把数据从被审计单位的终端上下载下来,存储到审计机关的服务器中,这样审计人员只需从审计单位的服务器中读取和分析数据就行了,这种方式的审计人员对数据处理拥有比较大的权限,所以从风险控制的角度来考虑,针对不同的审计人员一定要赋予不同的写入权限。对于业务数据量比较大单位,审计人员不是现在被审计单位的全部数据,而往往是直接利用通用审计软件在被审计单位的终端或备份的数据采集器上进行数据处理和挖掘分析。
综上所述,联网审计采用何种技术模式完全要根据审计机关与被审计单位的具体情况来定。针对不同级别的数据保密程度,业务数据量的大小,还有不同的连接方式所采用的技术模式是不同的。
3.2 联网审计的风险特征。
3.2.1 联网审计的风险表现。
联网审计的风险是指在网络系统环境下,对于会计软件存在的重大错报和漏报,审计人员在审计后发表不恰当审计意见的可能性。主要表现在:
(1) 审计对象多。
联网审计的对象除手工环境下的审计对象外,还包括磁盘等信息载体,并且审计人员还要对会计信息系统本身进行审计,提高了审计工作难度。
(2) 审计内容比传统审计更加难以把握。
审计内容的变化给审计工作带来了巨大的冲击,如现金收付制代替权责发生制,可变现价值将代替历史成本等都将增加审计风险。
(3) 审计取证更加困难。
传统审计中,审计证据都以纸质形式存储,而在网络环境下,财务信息和业务信息都通过网络传输,审计人员通过网络查询获取无纸化审计线索的真实性、完整性、可靠性难以保证,必将形成审计风险。
(4) 网络本身带来风险。
将审计过程置于网络之中进行,就会将网络本身具有的风险带到审计中来,增加审计风险。一是由硬件带来的问题造成的风险,如通讯线缆的距离限制,服务器的配置是否合理等。二是由于网络的开放性,网络内部管理人员有可能对会计数据进行非法访问、篡改、泄密和破坏,都将增加审计风险。
3.2.2 对联网审计的业务关注点。
由于审计活动不同于其他经济活动,而联网审计又比传统的现场审计更有特殊性,这就要求联网审计对各方面风险的关注比传统的现场审计要求更高。联网审计活动要求的对审计业务关注一下几点:
(1)联网审计活动所涉及的数据信息都是从被审计单位的服务器中提取的,这就要求数据的完整性和保密性的工作要做到位,大量涉及商业或事业单位的隐私数据需要传输、储存和分析。
(2)对审计活动每一步操作要求必须要有记录性,让审计人员对自己的操作负责任,不可否认。
(3)审计数据的传输必须要有相对应的时间标示。
(4)联网审计系统与传统的现场审计不同,审计系统容易受到外部或内部的非授权访问和不法攻击,因此需要特殊的防范和保护。
3.2.3 联网审计的相关风险控制措施。
在网络环境下,将出现比传统环境下更多的审计风险,审计机关和审计人员必须采取相应的控制措施:
(1)加强网络系统的安全控制评价。
1)检查网络硬件设备、网络应用软件是否可靠,用户管理设置是否合理,各种授权控制是否具有审计功能,网络传输数据是否加密;2)审查网络系统是否设置外部访问区域,是否建立防火墙,是否实行监控,从而正确评估控制风险。
(2)编制适用的审计软件,充分利用计算机审计软件进行辅助审计。随着计算机技术在网络系统中的普及和应用,审计人员在实施审计的过程中,应根据网络的特点,选择科学合理的审计技术,充分利用各种计算机审计软件,有效地降低审计风险。
(3)审计人员应积极参与财务软件的评审工作。为了有效地控制风险,审计人员应参与联网软件的评审过程之中,对软件的可审性功能进行详细的考察,对硬件配置的合理性、功能模块设立的合法性、数据文件的安全性进行评估;还要通过数据测试,检验联网审计系统的抗干扰能力、对非法数据的容错能力、发生突发事件的应急能力等。
(4)运用数据挖掘技术分析审计数据。在联网审计系统中的数据库中存储了大量的企业财务和经营管理数据,而数据挖掘技术又是分析数据的利器。数据挖掘技术已经应用到很多行业中去了,只要引用得当,数据挖掘技术完全可以用来分析审计数据,找出审计人员在审计活动中的一些盲点,减少审计的相关风险点。
3.3 应用数据挖掘技术在联网审计风险控制的可行性分析。
(1)应用可行性分析。
随着网络化办公在各方面的普遍应用,资本市场的也逐渐完善起来。公司管理结构的日趋完善,很多的投资者对自己所投资的公司财务信息和管理层对公司的经营管理信息要求越来越高。数据挖掘则是一种可以更深层次分心这些财务数据和经营管理数据的高效信息处理技术。其主要特点是对被审单位数据库大量数据进行抽取、转换、分析以及其他模型化处理,从中挖掘出有助于利益相关者进行决策的数据。为企业的管理层和企业的投资者提供有针对性且有价值的信息,减弱他们为决策所承担的相关风险,满足不同信息使用者的要求。
(2)数据标准可行性分析。
可扩展商业报告语言(XBRL)为数据挖掘技术在财务数据分析中的应用提供了有效的技术保证。首先,可扩展商业报告语言技术为网络环境下电子数据的交换提供了一个统一的标准;其次,可扩展商业报告语言作为 XML 在网络财务报告语言的应用,为审计主体进行批量的财务报告数据分析提供可靠的技术支持。而针对于企业的非财务数据,也可以仿照可扩展商业报告语言进行编制,存入企业的数据库,方便企业对其进行总结分析。
(3)适用性分析。
自从数据挖掘理论诞生,数据挖掘技术就不断从各个学科中吸收营养,不断发展。
经过了数几十年的研究和发展,数据挖掘已经成为稳定且易于理解和操作的应用技术,尤其是各种数据挖掘软件的出现更加简化了挖掘的过程。数据挖掘在财务数据分析领域的适用性具体表现在以下几个方面:首先,计算机技术使得各行各业会计信息化水平不断提高,企业数据库不断完善,并形成一定规模的数据仓库,为数据挖掘提供了基础对象;其次,在大量的经济业务中,影响财务数据质量的因素众多,如果仅限于公司提供的三大财务报表显然是不够的,因为影响企业财务数据质量的因素很多,深入挖掘其中的因素,揭示数据背后的真实经济活动恰恰是数据挖掘技术的优势所在。