扫码下载APP
及时接收最新考试资讯及
备考信息
[摘 要]针对目前的现状,分析了非现场审计在审计应用中的重要性,提出了一种实现非现场审计的方法。并对该方法中的数据采集和数据处理技术进行了深入的研究。最后,给出了实施非现场审计的建议。本文的研究为开展非现场审计提供了理论依据。
[关键词]非现场审计;数据采集;数据处理
一、问题的提出
非现场审计是一个业务数据的采集和分析过程,它通过采集被审计对象的业务数据,进行连续、全面的分析,及时发现被审计对象存在的问题、疑点和异常,评估被审计对象的风险状况,为现场审计提供线索和资料,为制定审计计划提供支持。传统的内部审计是以现场审计和手工操作为主展开的。如今,业务数据、业务流程复杂度不断提高,交易信息和管理信息不断膨胀,传统内部审计手段对信息化后新出现的问题无法控制,因此迫切需要审计部门用科技手段提高审计水平。另外,随着信息化程度的提高,全国性计算机网络已开始运行,非现场审计已具备应有的条件。在国外电力公司审计中,非现场审计占有很重要的位置,且非现场审计成本相对较低,同样能够在不同程度上发现经营管理的风险问题。
另外,非现场审计对于提高审计工作效率,降低审计工作成本,扩大审计工作范围,提高审计工作质量,实现审计工作的规范化、系统化和科学化具有重要作用。
国外没有明确提出非现场审计概念,他们对非现场审计的相关研究常称为“连续审计(continuous audit)”[1]或“联网审计”。发达国家早在上个世纪就对此进行了开发研究和大胆尝试,并且有了一定的成功经验。如瑞典国家审计署建设的“梦想蓝图”工程,计划实现审计人员无论身处何地,都可以通过访问被审单位的中央数据库信息进行实时监控和审计,要求被审单位以审计人员可以访问的方式存储数据,目前这一工程已成功地开发了相关审计支持软件系统;罗马尼亚审计院将联网审计用于增值税退税等领域,其特征是通过数据库进行审计,要求审计人员可以进入被审单位网络直接获取数据;印度最高审计机关则对如何确保数据的机密性、完整性和可行性以及数据的再利用进行了卓有成效的研究;波兰、巴基斯坦等国对联网审计的法律和执行要求进行了研究;德国、英国等国家则开始探讨实施网络安全的审计。
在国内,从1996年开始,国内金融系统开始对非现场审计进行了试探性研究,试图实现监管方式以现场检查为主向非现场监管为主转变。目前中国人民银行、国家开发银行、建设银行、国泰君安等都纷纷建立了自己的非现场稽核系统,以实现总部对各营业部的有效管理和审计。此外,一些大型企业也都纷纷开始进行有益的尝试,希望能够在系统内部真正实现远程、实时的非现场审计。
因此,可以说,非现场审计在网络时代适应了经济环境的要求,也适应了企业加强风险管理和最大限度地实现价值增值的要求,从而必将成为新时期内部审计常规、主要的审计形式。[2]
基于以上分析,可以看出研究非现场审计具有重要的理论和应用价值。为了实现非现场审计,本文对非现场审计技术进行研究,主要内容组织如下:第二部分研究实现非现场审计的总体思路;第三部分研究非现场审计的数据采集技术;第四部分分析非现场审计的数据处理技术;最后一部分提出实施非现场审计的建议。
二、非现场审计实现的总体思路
要实现真正的非现场审计,应该利用计算机技术、网络技术对被审计单位的数据进行实时采集、加工、存储、分析和传输,从而得到及时、科学和完善的审计数据和审计分析结果,使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合。
非现场审计在技术实现上主要分成以下四个阶段:
(一)数据采集
要实现非现场审计,必须研究如何采集被审计单位的电子数据。另外,如果不能采集到真正的审计数据,则会得出错误的审计结果,正所谓“垃圾进,垃圾出”。由于电子数据的采集是非现场审计的关键步骤,本文将在第三部分重点研究。
(二)数据传输
在非现场审计中,对数据传输的保障性要求较高,必须具有较高容错性,任何一个通信的断线不能影响整个数据采集子系统,系统必须具有自动检测断线功能,在通信线路正常后能自动再联接,并能实现断点续传。
(三)数据存储
对于采集到的电子数据,需要采取一定的方式来存储这些数据。一般采用以下两种方式进行存储:
对于数据量大,访问和分析要求比较高的数据,可以考虑采用数据仓库技术进行存储;对于具有一定的数据量,但数量级别上远不如集中存储的数据,可以考虑传统的数据库存储技术,或者建立数据集市。
(四)数据处理
在非现场审计环境下,可以有充足的时间去处理采集来的电子数据。所以,可以采用联机分析处理(on-1ine analytical processing,OLAP)以及数据挖掘(data mining)等技术来对数据进行分析,本文将在第四部分研究。
三、非现场审计的数据采集技术
由前文分析可知,电子数据的采集是实现非现场审计的关键步骤。要实现非现场审计,必须研究如何采集被审计单位的电子数据,从而保证能采集到被审单位完整的数据,并能保证数据的一致性与可操作性。
(一)电子数据采集方式
如何确定数据采集方式,如何保证数据采集的完整性、可靠性、安全性,如何处理数据以减少数据冗余、规范数据格式是非现场审计数据采集研究的重点。在电子数据的采集方式上,有以下三种选择:(1)远程采集。远程采集是指审计部门直接远程访问被审计单位数据库,采集所需的电子数据。(2)直接复制。直接复制是指将审计数据不经过转换,直接全部复制到数据采集的前置机上,然后传输到审计部门的服务器中。(3)采集并转换。
采集并转换是指数据采集前置机采用数据迁移软件,根据审计分析的需要,采集被审计单位的电子数据,并转换成所需的格式,然后再传输到审计部门的服务器中。
在以上三种数据采集方式中,第一种方式涉及到被审计单位数据库的安全性与保密性,因而建议不采用这种方式,而第二种方式由于采集到的数据量过大,且各单位数据库中数据格式可能不一致,从而对审计部门数据库的要求过高,同样不可取。只有第三种方式可以通过前端数据采集机进行数据采集,并转换成审计所需的格式再传输到审计部门的服务器中,这样可以减少数据冗余,规范数据格式,因而采用前置数据采集机通过其中的数据迁移软件采集并转换数据是较好的数据采集方式。
另外,如果不能采集到真正的审计数据,则会得出错误的审计结果,正所谓“垃圾进,垃圾出”。
通过前文的分析,在进行非现场审计的数据采集时,需要考虑以下两点:(1)从审计规章制度上考虑。为了能采集到真正的审计数据,需要规范电力公司内部的审计制度,要从制度上减少被审计单位弄虚作假的机会。(2)从审计技术层面上考虑。
(二)具体方法
在非现场审计中,电子数据的采集在技术上可以采用以下方法实现:
数据采集子系统在被审计单位中采用一个前置机分别连接通信设备和业务数据库,由前置机对审计数据进行采集,并同时做出一定的预先转换,然后,通过电力公司内部网络把采集到的电子数据传输到审计部门的服务器中。系统要求对传输的数据进行压缩、加密,由于在传送的数据中会大量出现重复数据,因此要求加密算法与代码次序有关。
在采集电子数据时,要根据审计分析的需要,把采集到的电子数据转换成审计分析所需的格式。数据采集软件可采用数据迁移技术来实现。采用数据迁移技术设计数据采集软件的过程通常可以描述如下:[3]
制定数据迁移策略、确定数据迁移的范围、确定数据迁移的环境、确定数据迁移的技术;考察原始系统数据结构,包括原始系统数据结构的描述、原始系统数据结构的依赖关系;考察新系统数据结构,包括新系统数据结构的描述、新系统数据结构的依赖关系;建立对照关系,即建立原始系统数据结构和新系统数据结构的对照表;确定数据迁移的顺序列表;编写数据迁移脚本;整体数据迁移测试;数据迁移正确性确认;整体数据质量检验。
由于被审计单位数据库和审计分析模型数据库在结构上可能会有不同,所以,在数据迁移过程中,要想实现严格的数据库等价转换是比较困难的,首先要确定两种模型中所存在的各种语法和语义上的冲突,这些冲突可能包括:(1)命名冲突。比如,被审计单位数据库结构中的标识符可能是审计分析模型数据库结构中的保留字;被审计单位数据库结构中的标识符为汉语拼音,而在审计分析模型数据库结构中为英文,这时需要重新命名。
(2)格式冲突。同一种数据类型可能有不同的表示方法和语义差异,这时需要定义被审计单位数据库和审计分析模型数据库数据模型之间的转换函数。
总之,在完成数据迁移后,一方面,被审计单位数据库中所有需要共享的信息都要转换到审计分析模型数据库中,另一方面,这种转换又不能包含冗余的关联信息。
另外,采用数据采集前置机实现电子数据的自动采集具有以下优点:
第一,可以进一步提高审计工作的持续性、有效性和全面性。利用数据采集前置机中的数据迁移系统自动、准确、高速的优势进行非现场审计,可以极大地提高审计的及时性,从而能全面、有效地协助审计部门达到所期望的审计目的。
第二,可以进一步节省审计成本。利用数据采集前置机中的数据迁移系统使审计过程的大部分工作实现自动化,从而可以减少人力、物力、财力的投入,提高审计工作的效率,降低审计成本。
四、非现场审计的数据处理技术
采用联机分析处理以及数据挖掘等技术来分析审计数据,是审计信息化发展过程中提出的问题。OLAP是使分析人员、管理人员或执行人员能够从多角度对信息进行快速、一致、交互地存取,从而获得对数据的更深入了解的一类软件技术。数据挖掘是指从数据库或数据仓库中提取隐含的、未知的和潜在的有用信息的非平凡过程。[4]数据挖掘技术主要包括关联规则(association rule)发现、分类(classification)、聚类(clustering)分析、泛化(generalization)、预测(prediction)和孤立点检测等。其中,孤立点检测是数据挖掘中的一个重要方面,用来发现数据源中显著不同于其他数据的对象,它常常应用在电信和信用卡欺骗检测、贷款审批、气象预报和客户分类等领域中。[5]由于审计中的可疑数据错误往往表现为孤立点,所以,通过检测被审计数据中的孤立点可以达到审计的目。因此,可以采用孤立点检测的相关算法来处理审计数据。
总的来说,采用联机分析处理以及数据挖掘等技术来分析审计数据具有以下优点:
第一,利用联机分析的快速性、多维性,可以随机、快速、准确地输出全部或任何一项监管指标的分析结果。
第二,可以进一步提高对风险的预测能力,实现全过程的动态监督,使得审计部门在审计过程中处于主动地位。
第三,可以充分使用基于复杂数学方法的审计模型对各种审计指标进行有效的预测,为及时防范和化解风险提供科学的依据。
五、实施非现场审计的建议
通过以上对非现场审计实现技术的分析,对实施非现场审计时的建议如下:
(一)建立、完善相关的内部控制制度
为了保证非现场审计的实施,需要制订相关的内部控制制度,比如,对审计部门开展非现场审计的权限、职责、内容、范围等要做出明确的规定;对非现场审计的程序、方法,电子数据的取得要有可操作性的强制性规定;制订对审计部门和被审计单位具有约束力的非现场审计处罚规定。从管理制度上做好非现场审计的开展工作,有利于更好地发挥非现场审计的作用。
(二)建立、完善非现场审计条件
1.完善非现场审计网络
在已有网络的基础上,通过“防火墙”及相关的网络安全技术,建立完善的非现场审计网络,从而保证非现场审计的实施。
2.丰富、完善分析模型
通过建立分析模型,将科学的分析技术和优秀审计人员的宝贵经验固化到系统中,使之在全系统范围内共享,可有效统一作业标准,切实保证审计质量。通常使用的分析方法包括趋势分析、对比分析、聚类分析、相关分析、结构分析与因素分析。概括地说,成功的分析模型,应当是数理统计、定性分析及风险控制原理的有效结合,一旦脱离这个前提,推断的精度及确切性就难以保证,甚至陷入没有经济内涵的纯粹数理计算之中。目前,西方国家所运用的非现场审计分析模型,有不少已经相当成熟,如:经营风险的识别、衡量与评估方法体系、数理统计和系统分析方法体系、审计风险控制技术方法体系等,都很值得我们借鉴与参考。
3.加速非现场审计软件研发
如果说,分析模型为非现场审计提供了核心技术与作业标准,那么审计软件则担负着技术实现与标准执行的双重任务。借助审计软件,不但能轻松完成数据调集、整理、勾稽关系审核等繁重的基础工作,还能深入进行实质性的分析与评价,从而成功实现计算机海量存储、高速处理与审计分析模型的有机融合。为此,二者必须协同运作、紧密结合。在具体实施过程中,还应注意借鉴国外同业的先进成果,如西方国家广泛使用的模块化、嵌入式审计软件包,成功实现了与业务系统的无缝集成和同步运行,使对审计对象的持续、实时、动态监测成为现实,在防范和发现计算机舞弊方面有着不可替代的优势。
(三)统一规划,分步推进
应本着统一规划,分步推进的战略思路,首先在某一范围建立非现场审计的试点。在此基础上,扩大非现场审计的范围,并进一步完善非现场审计的某些环节。
(四)采用集中分析、分散核实的计算机审计模式
现场审计和非现场审计互为条件,互为补充。在非现场审计阶段,集中力量对采集的数据进行分析;通过非现场审计,选择进一步审计对象,并在现场审计中证实情况或具体了解问题的原因,提出整改意见。
(五)加强对审计人员的培训
开展非现场审计要求审计人员具有复合型的知识结构,不仅要掌握财会、审计知识,还要掌握一定的信息技术知识。虽然目前审计人员都接受了一些计算机知识培训,但一般多是初级程度的培训,如文字处理、电子表格、会计软件的操作等。大部分审计人员并不知道计算机处理与网络技术的运用有什么风险、怎样控制才能有效降低这些风险,也不知道如何利用计算机和网络技术进行审计,更不用说如何采用联机分析处理以及数据挖掘等技术来分析审计数据了。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计和审计知识,不知道需要审什么、应该怎么审。因此,在实施非现场审计时,需要对审计人员做进一步的培训,以适应非现场审计的需要。
(六)高层领导重视,审计人员积极参与
实施非现场审计是一项投入大、风险大、实施难度大的系统工程,是审计模式、审计思想、审计方式的一场变革,高层领导要树立起正确的信息化理念,必须下决心,投入较大的人力、物力和资金,并监督这些资金的合理使用。没有高层领导对这一巨大工程的认识:支持与直接参与就没有成功的可能。大量的实践表明:高层领导的重视是成功实施非现场审计的关键。同时,提高审计人员素质、觉悟,促使他们积极参与,也是成功实现非现场审计的关键条件之一。
[参考文献]
[1]Continuous Auditing.,2004.
[2]王会金。风险导向审计[M].北京:中国审计出版社,2000.
[3]陈伟,丁秋林,谢强。交互式数据迁移系统及其相似检测效率优化[J].华南理工大学学报(自然科学版),2004,(2)。
[4]钱卫宁,魏藜,王焱。一个面向大规模数据库的数据挖掘系统[J].软件学报,2002,(8)。
[5]Aggarwal c c,Yu P s.Outlier detection for high—dimensional data[A].In:Aref,W.G.,eds.Proceedings of the ACM SIG- MOD International Conference on.Management of Data[c].CA:ACM.Press.2001.
Copyright © 2000 - www.chinaacc.com All Rights Reserved. 北京正保会计科技有限公司 版权所有
京B2-20200959 京ICP备20012371号-7 出版物经营许可证 京公网安备 11010802044457号