多少年来,审计人员在从事审计工作时,首先面对的就是纸质帐目系统及其所产生的财务信息。如果财务信息的量非常大,则需要采用抽样方法。尽管如此,审计人员在许多情况下还是无法取得全部的有用信息,尤其是无法取得大量的非财务信息。现在,问题更加复杂。审计人员所面对的不再是纸质帐目系统,而是计算机信息系统和多种多样的数据库,首先看到的不再是纸质帐目,而是种类繁多的数据。面对这种变化,审计人员能不能改变一下审计视角,将视线由帐目转向数据,以便更加有效地实现审计目标呢?
一、数据式审计模式的涵义
为了明确数据式审计模式的涵义,我们必须澄清两组重要的概念。一组是帐目基础审计和制度基础审计,另一组是帐套式审计和数据式审计。
1.帐目基础审计和制度基础审计
帐目基础审计是将反映经济业务的纸质帐目作为审计取证切入点的审计模式。在这种模式下,审计的重心直接放在纸质帐目系统上。因此,历史上也称其为“簿记审计”。在进行帐目基础审计时,审计人员需要大量运用详查法。后来,也逐渐引入了测试技术,发展了抽查法。
制度基础审计是将控制经济业务及其记录的内部控制制度作为审计取证切人点的审计模式。在这种模式下,审计的重心被前移到内部控制制度,而不是直接放在纸质帐目系统上。制度基础审计是通过对影响帐目正确性的内部控制制度的调查、测试和评价,来达到检查纸质帐目系统正确性的目的。在进行制度基础审计时,审计人员大量运用了测试技术,发展了符合性测试和实质性测试等方法。
制度基础审计模式与帐目基础审计模式相比有一个重要区别,那就是,它将帐目之外的因素纳入了审计视野,并作为了审计对象,如内部控制制度。这一变化使审计开始脱离审计就是查帐的概念。也正是由于审计概念脱离了查帐范畴,才使得审计模式和审计方法有了巨大的发展空间。风险基础审计就是在这样的前提下发展起来的,它使审计进一步脱离了查帐概念。
风险基础审计是在制度基础审计基础上,通过在审计全过程引入风险分析方法而形成的一种审计模式。它是制度基础审计的发展,因为它并没有淘汰制度基础审计,而是通过由内部控制制度一个切人点变为内部控制制度和风险因素两个切人点,来丰富和发展了制度基础审计模式。
2.帐套式审计和数据式审计
帐套式审计是在信息化财务系统和计算机审计条件下产生的一个新概念。它是指:当审计人员从被审计单位财务系统中导人相关数据后,将其整理转换为传统意义上的帐目系统,然后再进行检查的审计模式。在这种模式下,审计的重心依然是帐目系统,只不过是由纸质帐目系统转换为电子帐目系统。如果,将电子帐目系统打印成纸质帐目系统,则审计就又变成了传统的帐目基础审计。这表明,审计发展只是经历了一个历史怪圈。如果真是这样,那么我们只能说,这种审计模式只是审计手段的改进,而不是审计观念和审计方式的进步。因为它还是传统的,甚至倒退的,解决的只是手段问题,而不是方式问题。我们可以肯定地讲,这种审计模式不是真正意义上的进步。
数据式审计模式是一个在现存审计理论框架中尚无处寻觅的全新概念。在审计实践中,帐套式审计和数据式审计都还处在刚刚起步的阶段。但是,可能是由于更容易被人所接受的缘故,帐套式审计的做法和观念似乎更加清晰,而且也已比较广泛地被采用。然而,数据式审计即使是在审计实践中也还是处在若隐若现的状态,审计人员对它的认识依然充满了不确定性。但是我们认为,这种审计模式可能代表了信息化环境下计算机审计的真正未来。因此,我们必须明确它的概念,研究它的规律,以便重新构建审计理论的框架。
数据式审计不同于以往任何一种审计模式,它不是将帐目或信息化环境下的电子帐套,而是将电子数据作为直接的审计对象,而不必将其转换成规定的电子帐套。
在纸质环境下,审计可以采取帐目基础审计模式,也可以采取制度基础审计模式。若采取帐目基础审计,它只有一个对象,就是纸质帐目系统;若采取制度基础审计模式,它就会有两个对象,一是内部控制制度,二是纸质帐目系统。
在信息化环境下,帐套式审计可以采取帐套基础审计模式,也可以采取系统基础审计模式(这里的“系统”是指“计算机系统内部控制”。系统基础审计相当于纸质环境下的制度基础审计。只不过制度基础审计评价的是内部控制制度,系统基础审计评价的是系统内部控制)。若采取帐套基础审计模式,它唯一的对象就是电子帐套;若采取系统基础审计模式,它有两个对象,一是系统内部控制,二是电子帐套。
同样是在信息化环境下,数据式审计可以采取数据基础审计模式,也可以采取系统基础审计模式。若采取数据基础审计模式,它唯一的对象就是电子数据;若采取系统基础审计,它的对象有两个,一是系统内部控制,二是电子数据。由于计算机系统内部控制涉及到电子数据的正确性和安全性,因此在大多数情况下,我们更倾向于审计人员采取数据式系统基础审计模式。
通过上述分析,我们可以将数据式审计模式分为两种,一种是数据基础审计模式,一种是数据式系统基础审计模式。我们可以将数据基础审计理解
为:以数据为直接对象的审计方式。由于我们倾向于使用数据式系统基础审计模式,因此我们将数据式系统基础审计定义为:以系统内部控制测评为基础,通过对电子数据的收集、转换、整理、分析和验证,来实现审计目标的审计方式。
二、数据式审计模式的特点
1.数据式审计的对象是系统内部控制和电子数据
数据式审计的运用一定是在信息化环境下。如同在纸质环境下一样,系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,为了控制数据风险,保障审计目标的实现,审计人员应该首先调查、测试和评价系统内部控制。
数据式审计的最大特点就是对电子数据的直接利用,这里所说直接利用是指,审计人员无须先将其转换成电子帐套,然后再实施审计程序,但不是不对系统内部控制进行必要的测评。这种特点使数据式审计可以发挥出其它任何审计模式都无法比拟的巨大优势。
数据式审计模式扩大了审计人员的视野,丰富了审计人员的可用信息。在数据式审计模式下,审计人员可以摆脱传统的电子帐套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统帐套中是无法轻易取得的。
将上述优点换一个角度看,数据式审计模式扩大了审计范围和内容。由于数据式审计摆脱了传统帐套和传统财务信息,因此审计人员可以将审计的范围和内容做出必要的扩大,凡是数据库中所包含的数据,不管其类型如何,只要与审计相关,对审计人员有用,皆可纳入收集和分析范围,尤其是大量的业务数据和外部数据。
此外,由于运用了先进的信息化手段,数据式审计可以非常快速和非常便捷地处理海量数据,解决了在纸质和手工条件下,审计人员想做而不可能做的事情。
基于数据式审计的上述特点,我们也可以将数据式系统基础审计简单表述为:系统内部控制测评+数据审计。
2.数据式审计改变了审计的核心方法
在帐目基础审计模式中,审计的核心方法是详查法,它主要用于审计史上曾经流行一时的英式簿记审计。其主要做法是:核对原始凭证与分录帐;核对分录帐与总帐;核对总帐与试算表、资产负债表。
在详查法的基础上,审计人员逐步开发了逆查法和顺查法。在帐目基础审计模式流行的早期,审计方法与簿计方法几乎相同,因为当时审计人员的主要任务,就是运用簿计方法来重复执行会计人员的核算过程,以便验证簿记的正确性。
19世纪末、20世纪初,随着审计事项规模的不断扩大和日益复杂,审计人员开始使用测试法。那时,测试法的应用范围已不仅限于簿记,而是开始扩大到某些业务和控制。测试法的大量运用,使审计方法发生了实质性的变化,并使其最终脱离了簿记方法,产生了真正意义上的审计方法,并使“簿记审计”转变为“测试审计”。
在制度基础审计模式中,由于大量运用了统计方法,测试法得到了长足发展,并最终取代详查法,成为审计的核心方法。例如,在美国的蒙哥马利模式中,测试被分为符合性测试和实质性测试;在美国的阿伦斯模式中,测试被分为控制测试、业务测试、分析性测试(在我国,分析性测试也被译为分析性复核)和余额测试。在移植到英国的德。保罗模式中,测试也被分为控制的符合性测试、业务的实质性测试、分析性测试和余额的实质性测试四种。
当制度基础审计模式发展到风险基础审计时,测试的类型没有发生实质性变化,但分析性测试的作用更加突出,运用的范围更加广泛,成为核心中的核心。
在数据式审计模式中,详查法和测试法已经不再是审计的关键问题,因为计算机手段既可以解决详查问题,也可以解决测试问题(实际上是解决抽查问题)。面对众多数量和类型的数据,关键的问题在于,审计人员是否能够对数据进行有效的分析,并使各种各样的原生态数据转化为对审计人员有用的信息。只有完成数据转化为信息的过程,审计人员才能实施审计程序,审计目标才能最终实现。因此,审计的核心方法应该是数据分析方法。
数据分析方法不同于传统的分析性测试。首先,数据分析是对数据的处理,并试图使数据转化为有用信息。分析性测试则是对信息的处理,是对信息的再利用。明确这种区别至关重要,因为数据是底层的、元素性的,它可以有多种多样的组合,在用途上可以做多种多样的拓展,从而形成多种多样的信息;信息则是上层的,具有明确的表现形态,也有具体而又确定的内容,在用途上具有一定的限制,因而只能做有限的再利用,不能做深度的挖掘。其次,在理论上,分析性测试只是实质性测试的一种,数据分析则可以完全不限定于某一种测试。换句话说,数据分析技术可以用于多种测试工作。
3.数据式审计需要创建大量的新型审计技术
数据式审计模式是一种全新的审计模式。相对于帐目基础审计模式、制度基础审计模式、风险基础审计模式之间的传承关系而言,数据式审计模式更具革命性。既然是全新的模式,当然需要革新传统的技术方法,更需要创建全新的技术方法。举例来说,数据式审计模式的诸多新技术方法中,比较突出的两种是审计中间表方法和审计分析模型方法。
审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现数据式审计的关键技术。审计中间表按照目的不同,可分为基础性审计中间表和分析性审计中间表。前者可以帮助审计人员选定审计所需的基础性数据;后者可以帮助审计人员实现对数据的模型分析。
审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。目前,常见的审计分析模型有以下几种:根据法律规定的状态来建立;根据业务的逻辑关系来建立;根据不同类型数据之间的对应关系来建立;根据审计人员的符合客观实际的经验来建立;根据审计人员的科学合理的预测来建立等。
4.数据式审计需要重塑审计程序和审计管理模式
新的审计模式需要新的审计程序。数据式审计模式当然也不会例外。按照正常逻辑关系,有新的技术方法,就需要有新的审计程序。在帐目基础审计模式下,审计人员经常要执行诸如以原始凭证核对记帐凭证或以记帐凭证核对会计帐簿等审计程序;在制度基础审计模式下,审计人员经常要执行诸如观察某业务循环中某项内部控制的执行情况等审计程序;在数据式审计模式下,审计人员则要经常执行建立某种业务的审计中间表或审计分析模型,并进行某种类型的数据分析等审计程序。这些要求应该是不言而喻的。但是,由于数据式审计模式从根本上不同于其它审计模式,因此,诸如上述不同于其它审计模式的审计程序比比皆是,都需要审计人员去创新,去重构。
传统审计模式中,国家审计的审计过程一般可分为审计准备、审计实施和审计报告三个阶段。但是,在引人数据式审计模式后,审计准备阶段与审计实施阶段的界限变得非常不清,令人疑惑,而且无所适从。分析起来其原因可能是:数据分析既像审计准备工作,又像审计实施工作。其中,主要的问题可能是审前调查的归属没有明确的限定。审前调查需要做大量的数据分析工作,而数据分析的测试属性又无法合理确定,于是有些审计人员将其划人审计准备阶段,有些审计人员则将其划人审计实施阶段。如果事实果真如此,我们就应当将审计过程再行细分,将其直接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。审计准备阶段与审前调查阶段的划分原则应该是,审计人员是否需要实施实际的数据分析。如果需要,就须向被审计单位出具具有法律效力的通知书,然后才能获取敏感性、实质性的数据。有了审前调查阶段,审计人员就可以名正言顺地进行数据的采集、转换、整理和分析,从而为制定审计实施方案和进行审计验证奠定坚实的基础。
审计准备阶段与审前调查阶段的划分标志应该是审计通知书,审前调查阶段与审计实施阶段的划分标志应该是审计实施方案。
5.数据式审计模式需要重新构筑基础审计理论
首先,审计模式的理论需要修订。现有审计理论概括的审计取证模式是:帐目基础审计模式,制度基础审计模式,制度基础审计模式的发展-风险基础审计模式。
信息化审计方式引入后,我们必须对审计取证模式进行重新归纳:
(1)手工条件下的取证模式
帐目基础审计模式(以帐目为基础);
制度基础审计模式(以内部控制制度为基础);
制度基础审计模式的发展-风险基础审计模式(以内部控制制度为基础,同时引人风险因素的分析和控制)。
(2)信息化条件下的取证模式
帐套式审计模式:
帐套基础审计模式(数据还原为电子帐套,不以系统内部控制为基础);
帐套式系统基础审计模式(数据还原为电子帐套,以系统内部控制为基础)。
数据式审计模式:
数据基础审计模式(数据为直接对象,不以系统内部控制为基础);
数据式系统基础审计模式(数据为直接对象,以系统内部控制为基础)。
其次,审计方法的理论需要修订。由于审计理论的研究严重滞后于审计实践的发展,现有的审计理论缺少对信息化条件下审计方法的分类和总结,因而有关审计方法的理论还不能对其作出完整地概括。例如,上述审计中间表方法和审计分析模型方法、多维分析方法及其切片、钻取和旋转技术等都还没有正式总结纳入审计方法体系。
再次,审计程序和审计管理的理论需要修订。目前,有关信息化条件下的审计程序和审计管理理论,基本上还是一片空白,职业界和学术界都还缺少系统的论述和专著,因而亟待人们去研究、总结和升华。
简而言之,相对于信息化条件下审计实践飞速发展而言,现代审计理论的框架还远未最后成型,还需要有人去做艰苦细致地研究。也许,只要审计实践还在发展,审计理论就永远不能最后成型。但是,审计研究至少应该有一些阶段性的成果,在某一历史发展阶段上应该形成相对稳定和公认的理论框架。