持续审计的应用研究
一、持续审计概述
(一)持续审计产生的原因
(1)法律因素。2002年美国证券交易委员会针对安然、世通等大量财务欺诈事件颁布了《萨班斯—奥克斯利法案》,法案要求:一是上市公司管理层对与财务报告相关的公司内部控制进行评价;二是独立审计人员对管理层的评价发表审计意见;三是对管理层舞弊由往日较轻处罚改为实施一系列特殊的惩罚等等。美国注册会计师协会也颁布了第99号审计准则公告,这些法律和公告要求实时掌握内部控制情况,这就为开展持续审计创造了条件。
(2)环境因素。企业内外部环境因素的复杂性,使企业面临的风险日益加大。持续审计以一种自动化方式对业务过程、内部控制和财务披露进行持续测试,监督控制运营过程管理的合理性,警示风险点,提供例外报告。
(3)舞弊因素。2004年,注册舞弊检查师协会估计,职业舞弊给美国造成的经济损失约占美国公司收入的6%,合计6000亿美元;2005年,该协会对459家年收入不少于2.5亿美元的上市公司调查发现,在当年经营过程中75%的企业发生过舞弊。舞弊的普遍性和严重性促使管理层和审计人员寻求新的方法进行预防和检查。
(4)技术因素。网络和信息技术的发展,越来越多的企业逐步实现了数据收集、加工和报告的持续性。而传统审计线索会被减少甚至消失,原有的审计软件已经无法满足审计需求。只有持续监控这些数据,才能有效控制交易和及时报告信息。
(二)持续审计特征
一是独立性。持续审计将审计软件融进企业经营管理过程,以自动化的方式实现审计目标,因而具备审计独立性的基本特征。二是适用范围广泛。持续审计既适用于外部审计,也适应于内部审计。外部审计从审计方法角度理解持续审计,内部审计从系统过程角度理解持续审计。企业管理者倾向于由内部审计人员进行持续审计,以防外部审计在持续审计过程中损坏企业数据、降低系统经营效率,因此,持续审计在企业中比外部审计更具优势。三是审计方式自动化。当今企业环境时刻面临挑战,越来越多的企业采用ERP系统来应对网络化需求,但ERP系统对日常交易中出现的错误无法阻止,审计方式的自动化成为防范错弊的唯一有效方法。四是发布审计报告的即时性。持续审计过程中,审计软件按照审计师预设的标准对财务信息和非财务信息进行验证,信息使用者能够在使用实时财务报告的同时使用审计报告,与标准一致的信息系统会自动生成审计报告,偏离标准的交易事项则会自动触发例外事项并以Email方式向审计师报告,由审计师专门处理后生成审计报告。五是关注整个系统。持续审计人员对整个年度中的系统运行和交易进行持续的测试,在综合理解整个系统交易的基础上调整审计方法,并对内部控制的适当性、有效性和电子证据的说服力做出更恰当的职业判断。六是技术驱动。持续审计依赖信息技术,信息技术在对例外和(或)异常的识别、关键数值领域内数据模式分析、详细交易分析、趋势分析、控制测试、组织中纵向分析和与相似企业之间的横向比较分析中都扮演着关键角色。七是强调风险评价与控制。在持续审计下,周期性复核交易样本的传统审计已经转变为持续监测所有交易,该审计策略克服了传统审计方式的滞后性及对审计风险无法进行实质性控制和评价的缺陷,从而对企业实际运行情况及风险进行更及时有效地监督、控制和评价。
(三)持续审计内涵
自20世纪70年代中期提出持续审计概念以来,学术界提出了三类持续审计的概念:
(1)审计技术论。2005年,国际内部审计师协会在其《全球审计技术指引》中提出:持续审计是一种由周期性复核交易样本转而持续监测所有交易的技术手段,并通过该技术手段自动执行控制和评估风险。
(2)审计方法论。审计方法论是从外部审计的角度将持续审计定性为一种方法。1999年加拿大特许会计师协会和美国注册会计师协会联合出版的《持续审计》研究报告指出,持续审计是指独立审计师在事件发生的同时或稍后较短期间形成独立审计报告,对委托项目提供书面认证的一种审计方法。
(3)过程论。系统过程论是从内部审计的角度将持续审计定义为一种过程。Rezaee(2002)指出,持续审计是为了证明在无纸化且实时的会计系统下财务报表表达的公允性,而对电子化审计证据进行收集的审计过程。
综上所述:本文认为持续审计是指由独立的审计人员运用审计软件工具对交易进行自动持续测试,在交易发生的同时或稍后较短时间内收集证据,发现例外事项,据以确定并报告被审计的事项与既定标准符合程度的系统化过程。
二、持续审计的发展过程
(1)理论探索阶段。20世纪80年代,计算机辅助审计工具和技术在审计工作中得到运用,大量研究文献中开始提出持续审计的概念并强调其自动化和实时性的特点。
(2)实践探索阶段。20世纪90年代,学术界提出将嵌入式审计模块应用于对数据库环境的持续控制、信息的持续捕捉,从而开创了持续审计的研究。之后,Bell实验室为美国电话电报公司专门设计的“持续处理审计系统”,从技术上实现了持续审计。
(3)全面推广阶段。安然、世通等公司的财务丑闻爆发,美国注册会计师协会、加拿大特许会计师协会和国际信息系统审计协会开始在企业中推广持续审计,特别是美国证劵交易委员会颁布《萨班斯—奥克斯利法案》后,全球范围内展开了持续审计的应用。
三、开展持续审计的意义
(1)提高审计工作质量。审计工作质量的高低体现在对信息使用者的可靠性和及时性上。传统审计方式下,由于财务报告编制完成与审计报告发布之间存在时滞,降低了审计工作质量。持续审计方式下,审计人员根据环境适时提供信息保证,将审计周期缩减至即时发现问题,避免由问题随时间扩大而造成损失。
(2)实现被审计单位价值增值。持续审计的开展符合内部审计价值增值的审计目标。从审计师的角度,持续审计有助于完善内部控制,使内部审计工作更加有效。从被审计单位角度,持续审计相对于传统审计而言是一种高频率审计。在一定范围内,审计次数越多,信息不对称情况越弱,从而降低代理成本;从信息需求者角度,持续审计能够加强企业内部人员之间及内部与外部人员之间的交流,有效降低道德风险和逆向选择。
(3)提高错弊识别能力。持续审计扩大了审计范围,增强了审计师查错防弊、防范风险的能力,且将资源集中在信息需求者所关心的问题上,更具有针对性。在小额交易方面,使用运行监控软件比传统手工审计方式更容易发现企业中存在的错弊,有助于提高错弊识别能力。
(4)弥补审计缺失。一年一次的传统审计频率既无法满足信息使用者的需求,也不能对企业进行恰当评价,持续审计的适时审计弥补了传统审计的缺失。
四、持续审计的现状和存在的问题
(1)现状。一是制度层面,具权威机构对某省42家企业的调查发现,有23.1%的企业制定了持续审计章程或规范,相反有76.9%的企业没有制定持续审计相关制度。二是整体层面,开展持续审的企业仅占3%,部分和作为试点的企业分别占9%和15%,没有开展持续审计工作的企业约占73%。三是行业层面,该省在开展持续审计的企业中金融行业约占45.7%,电信行业占17.4%,教育培训、服务、及房地产等行业涉及范围较小。四是信息化程度,目前仅有17.8%的被调查企业已经实施审计信息化系统,准备和没有实施审计信息化系统的企业分别占29.6%和52.7%。这表明该省企业仍停留在传统手工审计阶段。
(2)问题。一是审计准则不完善。现有审计准则没有形成完整的体系。二是发布制度的主体不统一,既有内部审计师协会和注册会计师协会发布的,还有国务院办公厅和审计署颁布的。三是已经颁布的审计准则大都是原则性和指导性,对具体实务的实施指导性不强,存在系统性和结构性的缺陷。四是技术障碍。首先,公认会计准则目前还不是动态的,无法对在线财务项目提供计量、记录和报告的相关指引;其次,实时会计系统是一个由多个子系统构成的完整的体系,每一个子系统有效与否都直接影响到实时会计系统的有效性。五是电子数据技术的运用,使得数据容易被篡改、销毁和盗取,相反也会使得纸质的审计线索消失。六是人工智能专家系统尚无法达到人类审计专家的思维逻辑。七是成本费用高。八是投资回报难以计量。九是管理者支持程度有限。十是组织协调性有障碍。十是审计人员素质未达到要求。
五、持续审计的必要性
(1)信息理论认为,持续审计是通过持续监控和报告获得更加可靠及时的相关信息,当价值高于成本时,就产生了对持续审计的需求。
(2)随着网络经济、电子商务及衍生金融工具的发展,企业经营风险加大,投资者必然要求企业披露更及时、更全面的信息,企业希望审计师能对其提供的信息提供及时的鉴证,为开展持续审计提出了要求。
(3)持续审计是审计学科与计算机学科交叉融合的产物,它从深度和广度两方面对审计理论进行了扩展,为发展和完善持续审计理论的研究创造了条件。
(4)全面质量管理理论的实质是以顾客满意、附加价值和持续改善为核心的一种全面的经营管理理念。持续审计对被审计单位的经营过程全面跟踪,通过提供高质量的审计意见、低审计风险、实时监控及持续改善被审计单位经营过程,实现内部审计价值增值的审计目标。
(5)持续审计强调审计的及时性,是在交易事项发生的同时或稍后立即实施审计,发现舞弊并对可疑交易持续识别及时诊断,提出解决问题的方案。
(6)通过对某省的调查发现,46.7%的被调查企业认为有必要实施持续审计,这表明持续审计的理念已经得到了大多数企业的认同。
六、持续审计的程序
2006年,国际内部审计师协会发布的研究报告指出,持续审计程序主要包括:一是确定审计目标,了解被审计单位基本情况。二是进入被审计单位信息系统,获取并处理数据。三是对控制和风险进行持续评估。四是确定持续审计的频率和时间。五是出具审计报告。六是对审计建议进行跟踪。结合我国实际,以应收账款审计为例,试设计持续审计程序。
(1)制定审计目标,掌握被审计企业概况。一是确认内部控制缺陷,降低潜在的错弊水平。二是确认和评估应收账款的相关风险。三是对应收账款进行细节测试。
(2)取得并处理数据。审计师通过建立数据仓库和数据市场的方式,进入被审计单位信息系统取得关于应收账款的数据进行存储,然后通过自动化审计程序处理数据,评估数据的完整性和可靠性。
(3)开展风险控制评估。一是审计师通过自动化程序对潜在的控制缺陷进行持续测试,确认应收账款内部控制制度的薄弱环节,减少潜在的错弊。二是审计师就实现企业目标的不确定性如应收账款交易类型、交易量、交易金额方面的风险,采用将风险量化的手段进行评估,在设定风险领域时结合其他部门的数据汇总分析。
(4)确定审计顺序。审计师根据数据库差错、审计成本和风险等因素,按照风险大小依次确定审计的顺序、频率及最佳时间。
(5)撰写并出具审计报告。当应收账款审计程序会自动发送账户异常的邮件时,审计师应通过对客户的确认证实其业务的真实性;据此起草并出具审计报告供授权的信息使用者使用。
(6)跟踪并核实审计报告的落实情况。审计师要实时掌握并检查被审计单位对审计建议的执行及整改情况。
七、实现持续审计的途径
持续审计需要有相应的措施来提供保障。下面分别从法律法规、理念基础、人员素质和技术手段方面阐述确保持续审计在我国有效运行的保障措施。
(一)健全法律法规
(1)健全持续审计的相关法律法规,一是通过立法明确电子证据、签名、合同等网络经济工具的使用。二是在审计法中增加持续审计的相关条款。
(2)构建持续审计准则体系,它应包含基本准则、具体准则与实务公告、执业规范指南三个层次。
1)基本准则。持续审计基本准则是持续审计执业准则体系的总纲,是对审计师的任职资格条件、执业行为的基本规范,也是实施持续审计的基本依据。本文认为它包括的主要内容有:一是审计合同:对于审计与被审计双方就开展持续审计的权力、义务、绩效度量和频率以合同形式做出规定。二是审计对象:分为计算机信息系统和网络财务报告本身的数据。其中计算机信息系统指的是系统设计、规划、实施、运行、分析和维护的全过程;网络财务报告包括编码的正确性、分类标准使用的恰当性。三是审计师独立性及组织管理:审计师在执行审计业务出具审计报告时,应当保持实质上和形式上的独立,企业内部审计部门应独立于财务部门。四是职业道德:审计人员应该将持续审计准则作为执业标准并始终保持应有的职业谨慎。五是专业资格:审计师应该具备履行计算机信息系统审计业务所必需的专业知识和技能。六是审计计划:审计师在明确审计目标的前提下,按照相应的审计标准编制审计计划。七是审计实施:为确保审计准则和审计目标的实现,审计师在审计实施过程中要接受相关部门和行业协会的监督,确保获取的审计证据具有充分性、可靠性、相关性和有效性。八是审计报告:对于持续审计而言,要确保审计报告与财务报告能够同时为信息使用者获得。九是时间频度:审计师应当与被审计单位以合同形式确定审计企业会计信息系统的异常变动和实时数据的时间频度。
2)具体准则与实务公告。持续审计具体准则与实务公告依据基本准则具体规范了审计人员各项审计业务的执行,包括审计计划、审计证据、审计报告等;持续审计具体准则拟包括:一是分类标准合规性审计范围。二是模型。三是符合性测试程序。四是实质性测试程序的性质、时间和范围。五是风险类型、重要性界限、指导方针和保证水平。六是抽样。七是计算机辅助测试工具的有效运用。八是审计师目标、独立性和审计责任界定。九是审计证据的收集。十是审计报告意见类型、格式和内容、定价及收费。持续审计实务公告是具体规范审计人员各项具有特殊目的、特殊性质审计业务的执行、会计信息系统异常变动的处理、组织结构的优化、组织风险的识别及处理意见建议等。
3)持续审计执业规范指南。持续审计执业规范指南是在制定基本准则、具体准则与实务公告的基础上确立的,是对体系中第一、二层次内容的解释和补充,该层次内容为审计师在各项会计信息系统的执行、网络财务报告的生成及企业价值增值的实现方面提供了可操作的指导性意见。该执业规范指南应包括下列内容:自我评价审计风险、会计信息系统模块化审计、数据挖掘分析、网格计算、日志审计、并行测试、数字签名应用与控制、电子审计证据轨迹等。
(二)完善理念基础
(1)以点带面。目前我国持续审计在金融(行业应用较多,其他行业稍有涉及。因此,我国可在金融行业试点开展持续审计,然后再逐步推广。
(2)完善信息系统体系。一个安全可靠的信息系统是持续审计工作顺利实施的关键。因此,企业开展持续审计工作必须加强信息系统的内部控制,至少包括系统开发、系统应用、系统维护以及网络安全四个方面,具体有系统开发的可行性研究、控制数据的输入传输处理及输出、软件及代码结构的修改、计算机硬件与通讯设备的维修等。
(三) 提高人员素质
(1)引进人才,强化教育。积极引进具备丰富会计知识、审计知识以及计算机知识的复合型人才。要开展计算机知识、网络知识、审计软件使用和维护后续教育技能的培训,为有效利用计算机技术完成审计任务提供保证。
(2)培养后备力量。要在高校中审计专业下设置持续审计方向,以计算机类和审计类课程为核心顶层设计课程体系,使之理论更好地服务于持续审计工作。
(3)建立激励机制。要保持持续审计人员队伍的相对稳定,就要建立合理的激励机制,定期对审计人员进行考核、评比,将审计人员技能和素质的提高与工资福利、职位晋升等挂钩,确保持续审计专业人才队伍的稳定。
(四)健全技术手段
(1)开发审计软件。在我国尽快实施持续审计必须大力开发审计软件,审计软件的开发要注重其通用性,重点开发操作方便、功能强大的通用审计软件,推行审计软件的商品化,形成健全的审计软件市场,通过市场的竞争,促进信息化审计工作的不断发展。
(2)加快信息化进程。实现企业信息化管理,包括ERP系统的建立、供应链管理、基础管理信息化、建立持续审计标准库以及电子商务的形成等。目前,由于我国企业信息化的发展状况不平衡,在推动开展持续审计的过程中,需要全面均衡地提高企业信息化水平,建立被审计单位信息技术平台。
(3)构建持续审计模型。实现持续审计就要构建适合我国实际情况的审计模型。首先,在数据采集过程中,通过在被审系统设置防火墙等类似拦截器来截取流入流出的信息,避免企业非公开信息的泄漏,设置数据前段采集器并安置数据采集软件,完成收集数据工作;其次,采用XBRL分类技术将收集的数据转化为统一格式向数据流挖掘服务器传输,通过数据流挖掘服务器挖取有用信息;再次,将信息存储到数据仓库或数据市场中,以供审计分析;最后,将收集的数据与审计师预设的审计程序比较,出现异常时触发例外程序,并及时向审计人员报告。
