论文部分内容阅读
【摘 要】 “互联网 ”作为一种全新的经济形态,将传统审计与互联网相结合,对我国注册会计师审计的形式和内涵都产生了深远的影响,同时也给审计工作带来了新的风险。对“互联网 ”环境下审计风险进行评估,对会计师事务所承接业务与降低审计风险有着至关重要的作用。文章首先分析了“互联网 ”对传统审计业务流程的影响,在此基础上构建了“互联网 ”环境下审计风险评估指标体系,该指标体系在考虑重大错报风险与检查风险的基础上创新性地加入了运行实施风险指标;其次运用层次分析法确定“互联网 ”环境下审计风险评估指标体系中各指标的权重值,并利用模糊综合评价法评估总体审计风险水平为较高;最后根据评价结果从政府部门、相关企业和会计师事务所三方面给出相应的对策建议。
【关键词】 互联网 ; 层次分析法; 审计风险
【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937(2018)09-0094-05
一、引言
“互联网 ”是互联网发展的新业态,它将传统行业与互联网相结合,为我国社会各个行业提供了广阔的网络平台,对企业的改革、发展和创新产生了较为深刻的影响。对于注册会计师审计来说,“互联网 ”与传统审计工作的相互结合,给企业提出了新的要求,同时给会计师事务所审计工作带来巨大的发展机遇与挑战。
在传统审计模式下,注册会计师需要去审计现场抽取样本,采用人工的方式对数据进行分析并出具审计报告,不但有可能导致审计结论不准确而且降低了审计工作的效率。在“互联网 ”环境下,注册会计师可以从被审计单位远程实时下载所需的审计资料,获取审计证据的成本明显降低,并且数据的传输也更加便捷,提高了审计工作的时效性。除此之外,联网审计使得数据的全覆盖成为可能,审计人员可以通过对数据的采集、整理和分析,给被审计单位提出用于改进经营管理的建议,提高企业的经营管理水平。由此可见,“互联网 ”模式下的审计工作相对于传统审计有着明显的优势,同时也出现了一些新的风险,比如病毒威胁、黑客入侵等。如何对新环境下的审计风险进行评估是本文研究的主要目的。
二、文献综述
(一)“互联网 ”审计研究
戴璐等[1]分析了在大数据环境下增加了审计的制度风险、加大固有风险和检查风险,并给出了大数据环境下审计风险的防范对策;程平等[2]引入信息及相关技术控制指标(COBIT)实施的促成因素,构建了基于云会计的“互联网 审计”模式的实施框架;徐 [3]对大数据、云计算对审计工作的影响进行分析,使传统的审计工作转向“计算”审计发展方向,并促使审计人员在工作中借助先进的数据采集、挖掘和分析等方法,同时需要提供高效审计平台以及培训大量的审计技术人员。
(二)审计风险评估研究
陈雪梅等[4]将审计风险分为重大错报风险与检查风险并在此基础上构建指标体系,利用模糊层次分析法对实证企业的审计风险进行评估;张萍等[5]认为虚拟企业的审计风险包括重大错报风险与检查风险,并对其进行细化,利用模糊综合评价法对虚拟企业的审计风险进行评估;徐荣华等[6]基于审计“免疫系统”视角,将绩效审计评价指标分为经济性、效率性和效果性,并利用层次分析法对绩效审计进行评价;陈和平等[7]将模糊数学原理中的模糊综合评价法、模糊熵法、模糊层次分析法应用于固有风险的评估,使固有风险评估不再局限于定性评价;刘国城等[8]引入层次分析法理论与熵权理论,创新性地将两者相结合应用于信息系统审计风险评估工作中。
综上所述,国内学者对审计风险的内容、指标体系构建以及评估方法的选择等方面做了较多的研究,但是对“互联网 ”审计的研究才刚起步。“互联网 ”环境下的审计作为一种新型的审计方式,目前理论基础比较薄弱,对其指标体系构建、风险评估方法的选择等诸多方面还处于探索阶段。本文选用层次分析法与模糊综合评价法相结合的模糊层次分析法,将审计风险中某些模糊的影响因素进行量化,对“互联网 ”环境下的总体审计风险进行定性及定量评估,以帮助会计师事务所在享受“互联网 ”带来的便利及优势的同时,及时识别及应对风险。
三、“互联网 ”环境下审计工作的业务流程
“互联网 ”的出现并不改变审计工作的实质,审计目标的实现仍然是从接受业务委托开始,制定总体审计策略和具体审计计划,并实施风险评估程序用以评估报表层次和认定层次的重大错报风险,接着实施控制测试和实质性程序获取充分适当的审计证据,最后完成审计工作并出具审计报告。但是“互联网 ”的应用已经渗透到审计工作的各个环节,对传统的审计业务流程也产生了较大的影响,如图1所示。
在“互联网 ”环境下,首先需要构建互联网审计工作平台。由于云计算平台数据取得的便捷性及按需定制的特点,越来越多的企业建立了财务共享服务平台云会计系统,将企业集团的所有财务数据集中在平台上进行管理,简化了业务流程的同时各职能部门还可以根据自身的需求获取信息[9]。未来要建立的互联网审计工作平台需要与云会计系统无缝对接,实现资源共享,注册会计师可以从云会计平台远程下载所需数据,提供更高效快捷的审计服务。
其次,采集标准化的审计数据。在联网审计过程中,可以采集到的数据多且杂,所以审计人员需要先对被审计单位电子数据的数据结构进行分析,在此基础上再对所有数据进行筛选,剔除掉多余的和不需要的数据和记录,再根据审计的期间及范围对数据进行再次过滤。采集到的标准数据应该包含三个部分:直接从被审计单位的云会计系統中下载的数据;与云平台相关的其他信息系统中和审计有关的数据,如企业的ERP系统中采购、生产和销售等业务流程环节的各项数据;其他相关的外部数据。
再次,形成审计中间表。在上一步的基础上,对采集到的标准审计数据进行转换、清理和验证,形成审计中间表。审计中间表是审计疑点形成过程当中,由审计人员根据审计模型的构建要求对数据进行处理后形成的步骤表。 最后,构建模型进行数据分析。在“互联网 ”环境下进行数据分析时,首先得构建审计分析的一般模型,用模型对审计数据进行分析,从而发现审计疑点。审计模型的构建并不是一成不变的,而是需要根据不同的审计数据进行调整。在对数据进行分析时,不再局限于被审计单位的内部数据,还要包含与其有业务联系的其他单位的信息,可以轻松实现数据的全覆盖并且满足成本效益原则。
四、“互联网 ”环境下审计风险评估指标体系的构建
审计风险主要包括重大错报风险和检查风险,重大错报风险又分为固有风险和控制风险。“互联网 ”环境下各种审计风险的内涵有了新的变化,并且新的环境又给审计工作带来新的风险,本文在考虑以上风险的基础上新增了运行实施风险,对“互联网 ”环境下的审计总体风险进行评估,构建以下指标体系,如表1所示。
1.运行实施风险(B1),指在新的“互联网 ”环境下,开展审计工作所面临的实施保障风险和制度风险。包括审计软件功能滞后(C1)和互联网审计制度缺失(C2)。
2.固有风险(B2),本指在不考虑被审计单位相关内部控制的前提下,某一账户或者交易类别发生错报的可能性。“互联网 ”环境下审计工作面临的固有风险主要有物理应用环境(C3)、内部人员误用(C4)、网络运行的安全性(C5)、企业网络安全管理情况(C6)。
3.控制风险(B3),是指被审计单位管理层建立起各项内控制度,但是仍然有某一认定发生错报且未被内部控制及时防止或发现的可能性。对于传统的审计工作来说,设置内控制度的重点在于保证财务业务流程的完整性和规范性,防止出现错报或漏报。在“互联网 ”环境下,内控制度还需要防范网络风险给企业带来的危害。比如:系统的保密性(C7)、交易的完备性(C8)、未经授权访问数据(C9)、对信息的不当修改(C10)[10]。
4.检查风险(B4),是指某一认定存在错报,并且该错报单独或者连同其他错报是重大的,但是注册会计师通过实施审计程序未能发现这种错报的可能性。在“互联网 ”审计过程中,不但要求注册会计师熟悉审计准则以及行业状况,还要掌握互联网相关操作,这就可能会因审计人员的能力缺失导致检查风险的增加。在审计取证时,有些证据涉及政府部门或其他单位的商业秘密,并且取证过程中既要保证及时获取到所需信息,又不影响被审计单位信息系统的正常运行,这样都会加大审计取证的难度。“互联网 ”环境下的检查风险主要有审计证据的多样复杂(C11)、审计人员的专业胜任能力(C12)、审计人员的职业道德(C13)。
五、模糊层次分析法在“互联网 ”审计风险评估中的应用
本文运用以上构建的“互联网 ”环境下审计总体风险评估指标体系,结合模糊层次分析法对审计活动的总体风险进行评估。具体实施步骤如下:
(一)建立因素集
根据“互联网 ”审计总体风险评估体系确定指标集。第一层,总体风险因素集A=(B1,B2,B3,B4);第二层,运行实施风险因素集B1=(C1,C2),固有风险因素集B2=(C3,C4,C5,C6),控制风险因素集B3=(C7,C8,C9,C10),检查风险因素集B4=(C11,C12,C13)。
(二)确定指标的权重
为了反映各指标的重要程度,对各个指标应分配一个相应的权重,权重的不同有时会得出完全不同的结果。因此,为了使权重能够更加客观地反映实际情况,本文采用层次分析法来计算各指标对应的权重。
1.确定第一层各指标权重
(1)构造判断矩阵A
为了使决策判断定量化,在层次分析法中,一般采用萨蒂(Saaty)提出的1—9标度的方法对两两指标进行比较,以此来构造判断矩阵。通过邀请多名项目经理以及经验丰富专家进行打分,最终得到以下判断矩阵A。
A=
(2)求最大特征值及特征向量
最大特征值λmax=4.0593,特征向量ω=(0.1314,0.3602,0.9008,0.2037),进行归一化处理之后得出ω=(0.082,0.226,
0.564,0.128),即第一层各指标对应的权重值。
(3)一致性检验
CI= = =0.0198<0.1,CR= = =0.022<0.1,判断矩阵具有满意的一致性。其中,RI为平均随机一致性指标标准值,对于1—9阶判断矩阵,RI的值如表2所示。
2.确定第二层各指标权重
(1)构造判断矩阵B1
B1=
(2)求最大特征值及特征向量
最大特征值λmax=2,特征向量ω1=(0.3162,0.9487),进行归一化处理之后得出ω1=(0.25,0.75),即C1、C2对应的权重值。
(3)一致性检验
CI= =0.00<0.1,CR= =0.00<0.1,判断矩阵具有满意的一致性。
同理可得其余各二级指标对应的权重值:ω2=(0.213,0.236,0.334,0.217),ω3=(0.225,0.389,0.176,0.210),ω4=(0.523,0.236,0.241)。
(三)确定评价集及评价矩阵
评价集是评价者对各评价指标所给出的评语等级的集合,用v表示:v={v1,v2,……,vn}。其中,vi表示第i个指标的评价结果,n表示总的评价结果数。本文将“互联网 ”审计总体风险分为5个等级,评价集v={v1,v2,v3,v4,v5}={高,较高,中,較低,低}。为了使评价结果更为直观,将评价集中的指标进行量化,即0.9=高,0.7=较高,0.5=中,0.3=较低,0.1=低。
(四)确定模糊判断矩阵
本文通过发放调查问卷,聘请相关专家、事务所的项目经理以及大中型企业的管理层作为问卷调查的对象,对评价指标体系中第二层各指标进行评价。通过对调查结果进行整理,得出模糊评判矩阵如下: R1=
R2=
R3=
R4=
(五)进行模糊评价
1.单因素模糊评价
本文采用模糊综合评判合成算法中的加权平均型算法,即Bi=ωiRi。根据以上计算得出的各二级指标的权重值ωi和模糊判断矩阵Ri得出一级综合评价结果:
B1=ω1R1=(0.25,0.75)
=(0.075,0.175,0.350,0.300,0.100)
上述评价结果说明,7.5%的人认为运行实施风险对“互联网 ”审计的总体风险影响为高,17.5%的人认为是较高,35%的人认为是中等,30%的人认为较低,10%的人认为低,即大部分人认为审计软件的功能滞后以及互联网审计制度的缺失,对采用“互联网 ”模式下的审计工作来说带来的风险处于可以接受的中等偏下水平。
同理可得:
B2=(0.245,0.234,0.310,0.145,0.066)
B3=(0.281,0.365,0.296,0.040,0.018)
B4=(0.428,0.352,0.148,0.048,0.024)
2.模糊综合评价
以上单因素模糊评价只考虑一个因素对“互联网 ”审计风险的影响,这显然是不够全面的。为了综合考虑所有因素的影响,得出更合理的结果就需要进行模糊综合评价。由B1、B2、B3、B4,B5构建二级综合评价矩阵R,根据以上计算出的各一级指标的权重值ω得出二级综合评价结果:
B=ωR=ω=(0.082,0.226,0.564,0.128)
=(0.275,0.318,0.285,0.086,0.036)
(六)结果分析
通过对“互联网 ”模式下总体审计风险的评估,得出:27.5%的人认为在该模式下总体审计风险为高,31.8%的人认为是较高,28.5%认为是中等,8.6%的人认为是较低,3.6%的人认为是低。根据最大隶属度原则,可知“互联网 ”模式下总体审计风险水平为较高。但是对风险评价为高的以及中等的人也占很大一部分比例,而评价为低以及较低的比例只占12.2%,因此事务所在对企业采用“互联网 ”模式进行审计时需保持高度的谨慎性,实施更多的审计程序。
六、结论及建议
本文在构建了“互联网 ”模式下审计总体风险评估体系的基础上,采用层次分析法计算出各指标的权重值,并利用模糊综合评价法对企业的总体审计风险进行评估,使定性评价与定量计算进行结合,有效避免了主观因素对评价结果的影响,体现了审计工作的客观性、独立性的特征。在评价过程中,发现在对“互联网 ”模式下审计总体风险产生影响的各准则层指标中,控制风险所占的权重最大(0.564)。可见在网络审计过程中,企业相关内控制度设计的不完善就会使网络审计的总体风险增加。为了保证财务数据的完整性及可靠性,降低“互联网 ”审计的风险,企业的管理层可以从以下三个方面完善相关内控制度:(1)制定公司的网络安全制度,并通过增加防火墙及网络传输配套设备,提高网络传输的安全性及保密性;(2)制定严格的数据备份管理制度,配备先进的软硬件平台,创建安全的运行环境;(3)明确权限责任,对于公司重要的数据设置有限的操作权限,对外部访问者做好权限设置以防信息泄露。此外,本文在对指标层各影响因素进行分析时得到以下结论:在影响运行实施风险的因素中,互联网审计制度的缺失所占权重最大(0.75),在影响固有风险的各因素中,网络运行的安全性权重最大(0.334),在影响控制风险的各因素中,交易的完备性权重最大(0.389),在影响检查风险的各因素中,审计证据的多样复杂性所占权重最大(0.523)。由此可见,“互联网 ”环境下存在的审计风险需要政府部门、相关企业和会计师事务所三方共同努力才能有效降低。以下给出相应的对策建议:
1.随着云会计的不断发展,滞后的审计准则已无法满足其需求,如果仍然使用传统的审计法规和准则开展云会计背景下的审计工作,会造成审计人员的工作失误并给审计工作带来较大风险。目前已有的互联网审计准则只是一些原则性的规定,如《中国独立审计具体准则第20号——计算机信息系统环境下的审计》仅对网络审计的基本模式有所规定,缺乏具体的操作规范。因此政府部门应抓紧出台“互联网 ”环境下开展审计工作的思路、模式、审计流程和方法等相关政策法规,为信息化审计工作提供理论保障。
2.在云会计系统中,企业的财务数据都是以电子形式存在,在传输过程中容易受到网络黑客的入侵导致数据丢失及篡改或者由于硬盘损坏及服务器崩溃等其他不可测原因而丢失,因此,企业应重点关注云会计平台运行的安全性及财务数据传输的完备性。建议相关企业应从以下五个方面进行努力:(1)增强管理者的风险意识。单位的决策者要提高风险意识,关注风险发生的可能性,按照业务流程制定详细的风险评估计划,并成立云会计平台风险评估小组,对会计部门和各相关职能部门的风险进行综合评估,做到广泛、系统、具体的风险管理,做好事前防控。(2)选择合适的云会计供应商。企业在选择云会计供应商时,要充分了解各供应商的安全处理机制、数据保护以及数据恢复能力等方面,选择在技术、安全和售后等方面都比较成熟可靠且拥有良好信誉的云会计供应商。(3)做好云端数据的监控管理。由于云端数据的开放性,企业要对其做到实时监控。可以通过设立監控系统,对运行过程中识别出的异常程序及时反馈给云会计供应商,以协助企业解决故障问题;另外,对业务处理情况也要进行监督,对于处理失败的数据进行定期反馈,对于运行过程中产生的重大错误应及时通知技术人员进行维修。(4)抵御黑客攻击。创建安全有序的网络环境是确保云会计系统正常运行的前提,黑客攻击会给企业的会计信息系统造成数据丢失、篡改、泄露以及系统瘫痪等严重的后果,因此应采取有效措施应对黑客攻击。首先,企业应构筑防火墙,对互联网中的信息设置一道关卡,识别带有攻击性的信息,将它们阻挡在防火墙之外,为企业创建良好的外部网络环境。根据不同企业对网络保护程度的要求,防火墙的配置也有所不同。其次,需要购买防病毒软件进行定期杀毒,帮助企业清理内部网络环境,及时修复系统漏洞,做到提前防御,不给黑客留有可乘之机。最后,对重要的会计数据进行网络隔离,也就是在数据传输过程中,对重要的会计信息传输路径进行加密,形成隔离区,为会计信息的传输建立一道坚实的屏障,即使有黑客进行攻击,也提高了攻击的难度,降低重要的会计信息被窃取和篡改的风险。(5)做好会计信息加密以及备份。企业在将会计数据上传到云端之前就应该对其进行加密处理,并使用破解难度比较大的密码,这样即使信息泄露,其他人员获取到的也只是密文,无法理解信息的真正含义。此外,应做好会计信息备份工作,建立自动备份和手动备份相结合的备份制度。在云会计系统中设置好自动备份的频率,系统就会按照时间段自动进行数据备份,在数据因意外情况丢失时能够及时进行恢复。对于手动备份,操作人员可以在业务流程操作过程中,根据具体情况选择需要手动备份的信息进行记录,也可以根据会计信息的重要程度选择需要手动备份的数据。 3.审计证据的数量及质量直接影响审计的结果,由于在“互联网 ”环境下,审计取证涉及到的单位比较多,加大了沟通协调的难度,并且审计人员面临不能直接接触原始证据的困扰,会计师事务所在采取“互联网 ”审计模式过程中,为了降低检查风险,应重点关注审计数据的多样性及复杂性。首先,在企业的会计信息系统中嵌入审计软件,通过统一的接口将会计师事务所、被审计单位、税务部门以及银行等相关单位构建为一个基于云会计平台的“互联网 ”审计模式。这样,会计师事务所在开展审计工作时,可以从相关单位的源头获取较为完整和准确的审计数据。其次,审计人员可以在审计过程中采用数据挖掘等先进的方法。例如,在审计过程中采用嵌入式的数据挖掘技术,可以获取到存货的存在以及计价和分摊认定的审计证据。应用此技术时,需要将现有的存货打上电子标签,详细记录商品的代码、名称、供应商、入库时间以及采购成本等信息,可以对存货的动态进行实时监控。如果和财务账簿进行核对,就可以对存货的存在认定提供审计证据。再通过数据挖掘技术获取到同类产品的市场价值,将存货的实际成本与其进行对比,就可以确定存货是否存在减值问题,从而获得计价和分摊认定的审计证据。此外,审计人员还可以采用联机分析以及物联网等技术快速准确地进行数据分析,从而获取充分适当的审计证据,不但节约时间,而且提高了审计人员的工作效率。
【参考文献】
[1] 戴璐,王洪波.浅谈大数据环境下审计风险的防范对策[J].科技创业月刊,2015(13):57-59.
[2] 程平,范珂.云会计环境下基于COBIT标准的“互联网 审计”模式研究[J].财务与会计,2016(8):59-61.
[3] 徐.大数据和云计算对审计工作带来的影响分析[J].财会学习,2016(15):150.
[4] 陈雪梅,石勇.基于模糊层次分析法的审计风险评价模型研究[J].财会通讯,2010(1):104-105.
[5] 张萍,王莹.基于模糊综合评判的虚拟企业审计风险评估[J].审计与经济研究,2010(7):44-50.
[6] 徐荣华,王芳,孫伟龙.基于层次分析法的绩效审计评价指标体系构建[J].财会通讯,2011(2):96-98.
[7] 陈和平,刘亚男.模糊数学在审计固有风险评估中的运用[J].会计之友,2014(29):77-80.
[8] 刘国城,王会金.基于AHP和熵权的信息系统审计风险评估研究与实证分析[J].审计研究,2016(1):53-59.
[9] 张朝辉.“互联网 ”背景下云审计的发展之路[J].国际商务财会,2016(7):56-60.
[10] 张涛.网络审计风险研究[D].辽宁大学硕士学位论文,2015.
【关键词】 互联网 ; 层次分析法; 审计风险
【中图分类号】 F239 【文献标识码】 A 【文章编号】 1004-5937(2018)09-0094-05
一、引言
“互联网 ”是互联网发展的新业态,它将传统行业与互联网相结合,为我国社会各个行业提供了广阔的网络平台,对企业的改革、发展和创新产生了较为深刻的影响。对于注册会计师审计来说,“互联网 ”与传统审计工作的相互结合,给企业提出了新的要求,同时给会计师事务所审计工作带来巨大的发展机遇与挑战。
在传统审计模式下,注册会计师需要去审计现场抽取样本,采用人工的方式对数据进行分析并出具审计报告,不但有可能导致审计结论不准确而且降低了审计工作的效率。在“互联网 ”环境下,注册会计师可以从被审计单位远程实时下载所需的审计资料,获取审计证据的成本明显降低,并且数据的传输也更加便捷,提高了审计工作的时效性。除此之外,联网审计使得数据的全覆盖成为可能,审计人员可以通过对数据的采集、整理和分析,给被审计单位提出用于改进经营管理的建议,提高企业的经营管理水平。由此可见,“互联网 ”模式下的审计工作相对于传统审计有着明显的优势,同时也出现了一些新的风险,比如病毒威胁、黑客入侵等。如何对新环境下的审计风险进行评估是本文研究的主要目的。
二、文献综述
(一)“互联网 ”审计研究
戴璐等[1]分析了在大数据环境下增加了审计的制度风险、加大固有风险和检查风险,并给出了大数据环境下审计风险的防范对策;程平等[2]引入信息及相关技术控制指标(COBIT)实施的促成因素,构建了基于云会计的“互联网 审计”模式的实施框架;徐 [3]对大数据、云计算对审计工作的影响进行分析,使传统的审计工作转向“计算”审计发展方向,并促使审计人员在工作中借助先进的数据采集、挖掘和分析等方法,同时需要提供高效审计平台以及培训大量的审计技术人员。
(二)审计风险评估研究
陈雪梅等[4]将审计风险分为重大错报风险与检查风险并在此基础上构建指标体系,利用模糊层次分析法对实证企业的审计风险进行评估;张萍等[5]认为虚拟企业的审计风险包括重大错报风险与检查风险,并对其进行细化,利用模糊综合评价法对虚拟企业的审计风险进行评估;徐荣华等[6]基于审计“免疫系统”视角,将绩效审计评价指标分为经济性、效率性和效果性,并利用层次分析法对绩效审计进行评价;陈和平等[7]将模糊数学原理中的模糊综合评价法、模糊熵法、模糊层次分析法应用于固有风险的评估,使固有风险评估不再局限于定性评价;刘国城等[8]引入层次分析法理论与熵权理论,创新性地将两者相结合应用于信息系统审计风险评估工作中。
综上所述,国内学者对审计风险的内容、指标体系构建以及评估方法的选择等方面做了较多的研究,但是对“互联网 ”审计的研究才刚起步。“互联网 ”环境下的审计作为一种新型的审计方式,目前理论基础比较薄弱,对其指标体系构建、风险评估方法的选择等诸多方面还处于探索阶段。本文选用层次分析法与模糊综合评价法相结合的模糊层次分析法,将审计风险中某些模糊的影响因素进行量化,对“互联网 ”环境下的总体审计风险进行定性及定量评估,以帮助会计师事务所在享受“互联网 ”带来的便利及优势的同时,及时识别及应对风险。
三、“互联网 ”环境下审计工作的业务流程
“互联网 ”的出现并不改变审计工作的实质,审计目标的实现仍然是从接受业务委托开始,制定总体审计策略和具体审计计划,并实施风险评估程序用以评估报表层次和认定层次的重大错报风险,接着实施控制测试和实质性程序获取充分适当的审计证据,最后完成审计工作并出具审计报告。但是“互联网 ”的应用已经渗透到审计工作的各个环节,对传统的审计业务流程也产生了较大的影响,如图1所示。
在“互联网 ”环境下,首先需要构建互联网审计工作平台。由于云计算平台数据取得的便捷性及按需定制的特点,越来越多的企业建立了财务共享服务平台云会计系统,将企业集团的所有财务数据集中在平台上进行管理,简化了业务流程的同时各职能部门还可以根据自身的需求获取信息[9]。未来要建立的互联网审计工作平台需要与云会计系统无缝对接,实现资源共享,注册会计师可以从云会计平台远程下载所需数据,提供更高效快捷的审计服务。
其次,采集标准化的审计数据。在联网审计过程中,可以采集到的数据多且杂,所以审计人员需要先对被审计单位电子数据的数据结构进行分析,在此基础上再对所有数据进行筛选,剔除掉多余的和不需要的数据和记录,再根据审计的期间及范围对数据进行再次过滤。采集到的标准数据应该包含三个部分:直接从被审计单位的云会计系統中下载的数据;与云平台相关的其他信息系统中和审计有关的数据,如企业的ERP系统中采购、生产和销售等业务流程环节的各项数据;其他相关的外部数据。
再次,形成审计中间表。在上一步的基础上,对采集到的标准审计数据进行转换、清理和验证,形成审计中间表。审计中间表是审计疑点形成过程当中,由审计人员根据审计模型的构建要求对数据进行处理后形成的步骤表。 最后,构建模型进行数据分析。在“互联网 ”环境下进行数据分析时,首先得构建审计分析的一般模型,用模型对审计数据进行分析,从而发现审计疑点。审计模型的构建并不是一成不变的,而是需要根据不同的审计数据进行调整。在对数据进行分析时,不再局限于被审计单位的内部数据,还要包含与其有业务联系的其他单位的信息,可以轻松实现数据的全覆盖并且满足成本效益原则。
四、“互联网 ”环境下审计风险评估指标体系的构建
审计风险主要包括重大错报风险和检查风险,重大错报风险又分为固有风险和控制风险。“互联网 ”环境下各种审计风险的内涵有了新的变化,并且新的环境又给审计工作带来新的风险,本文在考虑以上风险的基础上新增了运行实施风险,对“互联网 ”环境下的审计总体风险进行评估,构建以下指标体系,如表1所示。
1.运行实施风险(B1),指在新的“互联网 ”环境下,开展审计工作所面临的实施保障风险和制度风险。包括审计软件功能滞后(C1)和互联网审计制度缺失(C2)。
2.固有风险(B2),本指在不考虑被审计单位相关内部控制的前提下,某一账户或者交易类别发生错报的可能性。“互联网 ”环境下审计工作面临的固有风险主要有物理应用环境(C3)、内部人员误用(C4)、网络运行的安全性(C5)、企业网络安全管理情况(C6)。
3.控制风险(B3),是指被审计单位管理层建立起各项内控制度,但是仍然有某一认定发生错报且未被内部控制及时防止或发现的可能性。对于传统的审计工作来说,设置内控制度的重点在于保证财务业务流程的完整性和规范性,防止出现错报或漏报。在“互联网 ”环境下,内控制度还需要防范网络风险给企业带来的危害。比如:系统的保密性(C7)、交易的完备性(C8)、未经授权访问数据(C9)、对信息的不当修改(C10)[10]。
4.检查风险(B4),是指某一认定存在错报,并且该错报单独或者连同其他错报是重大的,但是注册会计师通过实施审计程序未能发现这种错报的可能性。在“互联网 ”审计过程中,不但要求注册会计师熟悉审计准则以及行业状况,还要掌握互联网相关操作,这就可能会因审计人员的能力缺失导致检查风险的增加。在审计取证时,有些证据涉及政府部门或其他单位的商业秘密,并且取证过程中既要保证及时获取到所需信息,又不影响被审计单位信息系统的正常运行,这样都会加大审计取证的难度。“互联网 ”环境下的检查风险主要有审计证据的多样复杂(C11)、审计人员的专业胜任能力(C12)、审计人员的职业道德(C13)。
五、模糊层次分析法在“互联网 ”审计风险评估中的应用
本文运用以上构建的“互联网 ”环境下审计总体风险评估指标体系,结合模糊层次分析法对审计活动的总体风险进行评估。具体实施步骤如下:
(一)建立因素集
根据“互联网 ”审计总体风险评估体系确定指标集。第一层,总体风险因素集A=(B1,B2,B3,B4);第二层,运行实施风险因素集B1=(C1,C2),固有风险因素集B2=(C3,C4,C5,C6),控制风险因素集B3=(C7,C8,C9,C10),检查风险因素集B4=(C11,C12,C13)。
(二)确定指标的权重
为了反映各指标的重要程度,对各个指标应分配一个相应的权重,权重的不同有时会得出完全不同的结果。因此,为了使权重能够更加客观地反映实际情况,本文采用层次分析法来计算各指标对应的权重。
1.确定第一层各指标权重
(1)构造判断矩阵A
为了使决策判断定量化,在层次分析法中,一般采用萨蒂(Saaty)提出的1—9标度的方法对两两指标进行比较,以此来构造判断矩阵。通过邀请多名项目经理以及经验丰富专家进行打分,最终得到以下判断矩阵A。
A=
(2)求最大特征值及特征向量
最大特征值λmax=4.0593,特征向量ω=(0.1314,0.3602,0.9008,0.2037),进行归一化处理之后得出ω=(0.082,0.226,
0.564,0.128),即第一层各指标对应的权重值。
(3)一致性检验
CI= = =0.0198<0.1,CR= = =0.022<0.1,判断矩阵具有满意的一致性。其中,RI为平均随机一致性指标标准值,对于1—9阶判断矩阵,RI的值如表2所示。
2.确定第二层各指标权重
(1)构造判断矩阵B1
B1=
(2)求最大特征值及特征向量
最大特征值λmax=2,特征向量ω1=(0.3162,0.9487),进行归一化处理之后得出ω1=(0.25,0.75),即C1、C2对应的权重值。
(3)一致性检验
CI= =0.00<0.1,CR= =0.00<0.1,判断矩阵具有满意的一致性。
同理可得其余各二级指标对应的权重值:ω2=(0.213,0.236,0.334,0.217),ω3=(0.225,0.389,0.176,0.210),ω4=(0.523,0.236,0.241)。
(三)确定评价集及评价矩阵
评价集是评价者对各评价指标所给出的评语等级的集合,用v表示:v={v1,v2,……,vn}。其中,vi表示第i个指标的评价结果,n表示总的评价结果数。本文将“互联网 ”审计总体风险分为5个等级,评价集v={v1,v2,v3,v4,v5}={高,较高,中,較低,低}。为了使评价结果更为直观,将评价集中的指标进行量化,即0.9=高,0.7=较高,0.5=中,0.3=较低,0.1=低。
(四)确定模糊判断矩阵
本文通过发放调查问卷,聘请相关专家、事务所的项目经理以及大中型企业的管理层作为问卷调查的对象,对评价指标体系中第二层各指标进行评价。通过对调查结果进行整理,得出模糊评判矩阵如下: R1=
R2=
R3=
R4=
(五)进行模糊评价
1.单因素模糊评价
本文采用模糊综合评判合成算法中的加权平均型算法,即Bi=ωiRi。根据以上计算得出的各二级指标的权重值ωi和模糊判断矩阵Ri得出一级综合评价结果:
B1=ω1R1=(0.25,0.75)
=(0.075,0.175,0.350,0.300,0.100)
上述评价结果说明,7.5%的人认为运行实施风险对“互联网 ”审计的总体风险影响为高,17.5%的人认为是较高,35%的人认为是中等,30%的人认为较低,10%的人认为低,即大部分人认为审计软件的功能滞后以及互联网审计制度的缺失,对采用“互联网 ”模式下的审计工作来说带来的风险处于可以接受的中等偏下水平。
同理可得:
B2=(0.245,0.234,0.310,0.145,0.066)
B3=(0.281,0.365,0.296,0.040,0.018)
B4=(0.428,0.352,0.148,0.048,0.024)
2.模糊综合评价
以上单因素模糊评价只考虑一个因素对“互联网 ”审计风险的影响,这显然是不够全面的。为了综合考虑所有因素的影响,得出更合理的结果就需要进行模糊综合评价。由B1、B2、B3、B4,B5构建二级综合评价矩阵R,根据以上计算出的各一级指标的权重值ω得出二级综合评价结果:
B=ωR=ω=(0.082,0.226,0.564,0.128)
=(0.275,0.318,0.285,0.086,0.036)
(六)结果分析
通过对“互联网 ”模式下总体审计风险的评估,得出:27.5%的人认为在该模式下总体审计风险为高,31.8%的人认为是较高,28.5%认为是中等,8.6%的人认为是较低,3.6%的人认为是低。根据最大隶属度原则,可知“互联网 ”模式下总体审计风险水平为较高。但是对风险评价为高的以及中等的人也占很大一部分比例,而评价为低以及较低的比例只占12.2%,因此事务所在对企业采用“互联网 ”模式进行审计时需保持高度的谨慎性,实施更多的审计程序。
六、结论及建议
本文在构建了“互联网 ”模式下审计总体风险评估体系的基础上,采用层次分析法计算出各指标的权重值,并利用模糊综合评价法对企业的总体审计风险进行评估,使定性评价与定量计算进行结合,有效避免了主观因素对评价结果的影响,体现了审计工作的客观性、独立性的特征。在评价过程中,发现在对“互联网 ”模式下审计总体风险产生影响的各准则层指标中,控制风险所占的权重最大(0.564)。可见在网络审计过程中,企业相关内控制度设计的不完善就会使网络审计的总体风险增加。为了保证财务数据的完整性及可靠性,降低“互联网 ”审计的风险,企业的管理层可以从以下三个方面完善相关内控制度:(1)制定公司的网络安全制度,并通过增加防火墙及网络传输配套设备,提高网络传输的安全性及保密性;(2)制定严格的数据备份管理制度,配备先进的软硬件平台,创建安全的运行环境;(3)明确权限责任,对于公司重要的数据设置有限的操作权限,对外部访问者做好权限设置以防信息泄露。此外,本文在对指标层各影响因素进行分析时得到以下结论:在影响运行实施风险的因素中,互联网审计制度的缺失所占权重最大(0.75),在影响固有风险的各因素中,网络运行的安全性权重最大(0.334),在影响控制风险的各因素中,交易的完备性权重最大(0.389),在影响检查风险的各因素中,审计证据的多样复杂性所占权重最大(0.523)。由此可见,“互联网 ”环境下存在的审计风险需要政府部门、相关企业和会计师事务所三方共同努力才能有效降低。以下给出相应的对策建议:
1.随着云会计的不断发展,滞后的审计准则已无法满足其需求,如果仍然使用传统的审计法规和准则开展云会计背景下的审计工作,会造成审计人员的工作失误并给审计工作带来较大风险。目前已有的互联网审计准则只是一些原则性的规定,如《中国独立审计具体准则第20号——计算机信息系统环境下的审计》仅对网络审计的基本模式有所规定,缺乏具体的操作规范。因此政府部门应抓紧出台“互联网 ”环境下开展审计工作的思路、模式、审计流程和方法等相关政策法规,为信息化审计工作提供理论保障。
2.在云会计系统中,企业的财务数据都是以电子形式存在,在传输过程中容易受到网络黑客的入侵导致数据丢失及篡改或者由于硬盘损坏及服务器崩溃等其他不可测原因而丢失,因此,企业应重点关注云会计平台运行的安全性及财务数据传输的完备性。建议相关企业应从以下五个方面进行努力:(1)增强管理者的风险意识。单位的决策者要提高风险意识,关注风险发生的可能性,按照业务流程制定详细的风险评估计划,并成立云会计平台风险评估小组,对会计部门和各相关职能部门的风险进行综合评估,做到广泛、系统、具体的风险管理,做好事前防控。(2)选择合适的云会计供应商。企业在选择云会计供应商时,要充分了解各供应商的安全处理机制、数据保护以及数据恢复能力等方面,选择在技术、安全和售后等方面都比较成熟可靠且拥有良好信誉的云会计供应商。(3)做好云端数据的监控管理。由于云端数据的开放性,企业要对其做到实时监控。可以通过设立監控系统,对运行过程中识别出的异常程序及时反馈给云会计供应商,以协助企业解决故障问题;另外,对业务处理情况也要进行监督,对于处理失败的数据进行定期反馈,对于运行过程中产生的重大错误应及时通知技术人员进行维修。(4)抵御黑客攻击。创建安全有序的网络环境是确保云会计系统正常运行的前提,黑客攻击会给企业的会计信息系统造成数据丢失、篡改、泄露以及系统瘫痪等严重的后果,因此应采取有效措施应对黑客攻击。首先,企业应构筑防火墙,对互联网中的信息设置一道关卡,识别带有攻击性的信息,将它们阻挡在防火墙之外,为企业创建良好的外部网络环境。根据不同企业对网络保护程度的要求,防火墙的配置也有所不同。其次,需要购买防病毒软件进行定期杀毒,帮助企业清理内部网络环境,及时修复系统漏洞,做到提前防御,不给黑客留有可乘之机。最后,对重要的会计数据进行网络隔离,也就是在数据传输过程中,对重要的会计信息传输路径进行加密,形成隔离区,为会计信息的传输建立一道坚实的屏障,即使有黑客进行攻击,也提高了攻击的难度,降低重要的会计信息被窃取和篡改的风险。(5)做好会计信息加密以及备份。企业在将会计数据上传到云端之前就应该对其进行加密处理,并使用破解难度比较大的密码,这样即使信息泄露,其他人员获取到的也只是密文,无法理解信息的真正含义。此外,应做好会计信息备份工作,建立自动备份和手动备份相结合的备份制度。在云会计系统中设置好自动备份的频率,系统就会按照时间段自动进行数据备份,在数据因意外情况丢失时能够及时进行恢复。对于手动备份,操作人员可以在业务流程操作过程中,根据具体情况选择需要手动备份的信息进行记录,也可以根据会计信息的重要程度选择需要手动备份的数据。 3.审计证据的数量及质量直接影响审计的结果,由于在“互联网 ”环境下,审计取证涉及到的单位比较多,加大了沟通协调的难度,并且审计人员面临不能直接接触原始证据的困扰,会计师事务所在采取“互联网 ”审计模式过程中,为了降低检查风险,应重点关注审计数据的多样性及复杂性。首先,在企业的会计信息系统中嵌入审计软件,通过统一的接口将会计师事务所、被审计单位、税务部门以及银行等相关单位构建为一个基于云会计平台的“互联网 ”审计模式。这样,会计师事务所在开展审计工作时,可以从相关单位的源头获取较为完整和准确的审计数据。其次,审计人员可以在审计过程中采用数据挖掘等先进的方法。例如,在审计过程中采用嵌入式的数据挖掘技术,可以获取到存货的存在以及计价和分摊认定的审计证据。应用此技术时,需要将现有的存货打上电子标签,详细记录商品的代码、名称、供应商、入库时间以及采购成本等信息,可以对存货的动态进行实时监控。如果和财务账簿进行核对,就可以对存货的存在认定提供审计证据。再通过数据挖掘技术获取到同类产品的市场价值,将存货的实际成本与其进行对比,就可以确定存货是否存在减值问题,从而获得计价和分摊认定的审计证据。此外,审计人员还可以采用联机分析以及物联网等技术快速准确地进行数据分析,从而获取充分适当的审计证据,不但节约时间,而且提高了审计人员的工作效率。
【参考文献】
[1] 戴璐,王洪波.浅谈大数据环境下审计风险的防范对策[J].科技创业月刊,2015(13):57-59.
[2] 程平,范珂.云会计环境下基于COBIT标准的“互联网 审计”模式研究[J].财务与会计,2016(8):59-61.
[3] 徐.大数据和云计算对审计工作带来的影响分析[J].财会学习,2016(15):150.
[4] 陈雪梅,石勇.基于模糊层次分析法的审计风险评价模型研究[J].财会通讯,2010(1):104-105.
[5] 张萍,王莹.基于模糊综合评判的虚拟企业审计风险评估[J].审计与经济研究,2010(7):44-50.
[6] 徐荣华,王芳,孫伟龙.基于层次分析法的绩效审计评价指标体系构建[J].财会通讯,2011(2):96-98.
[7] 陈和平,刘亚男.模糊数学在审计固有风险评估中的运用[J].会计之友,2014(29):77-80.
[8] 刘国城,王会金.基于AHP和熵权的信息系统审计风险评估研究与实证分析[J].审计研究,2016(1):53-59.
[9] 张朝辉.“互联网 ”背景下云审计的发展之路[J].国际商务财会,2016(7):56-60.
[10] 张涛.网络审计风险研究[D].辽宁大学硕士学位论文,2015.