唐振達　李翀

[提要] 在2016年全國審計工作會議上，劉家義強調：“要運用大數(shù)據(jù)，創(chuàng)新審計技術方法，推進以大數(shù)據(jù)為核心的審計信息化建設是應對未來挑戰(zhàn)的重要法寶，也是實現(xiàn)審計全覆蓋的必由之路”。為此，本文從審計變革（數(shù)據(jù)審計）時代的特點出發(fā)，分析數(shù)據(jù)審計時代審計風險的形成，探討數(shù)據(jù)審計時代審計風險的控制與防范對策。

關鍵詞：數(shù)據(jù)審計；審計風險；控制方法

中圖分類號：F239 文獻標識碼：A

原標題：數(shù)據(jù)審計時代審計風險控制的探究

收錄日期：2017年1月20日

一、審計變革：數(shù)據(jù)審計時代

在大數(shù)據(jù)時代的背景下，對于“大數(shù)據(jù)”（Big data）研究機構Gartner給出了這樣的定義：“大數(shù)據(jù)”是需要新處理模式才能具有更強的決策力、洞察發(fā)現(xiàn)力和流程優(yōu)化能力來適應海量、高增長率和多樣化的信息資產。強調了公司企業(yè)的商業(yè)成功模式從數(shù)據(jù)擁有量的大小向公司對于數(shù)據(jù)的解讀、處理能力大小轉變。對于很多行業(yè)而言，傳統(tǒng)的商業(yè)競爭更多地表現(xiàn)為“數(shù)據(jù)的戰(zhàn)爭”。大數(shù)據(jù)擁有以下特點（5V）：第一，數(shù)據(jù)容量巨大（Volume），數(shù)據(jù)的吞吐量從過去的GB、TB為單位躍升至ZB甚至更大的PB；第二，處理速度快（Velocity），即資料輸入、輸出的速度快，要求在以秒為單位的時間內進行數(shù)據(jù)處理，否則數(shù)據(jù)就失去價值了，這一點對數(shù)據(jù)的挖掘技術有了更高的要求；第三，數(shù)據(jù)種類多（Variety），數(shù)據(jù)呈現(xiàn)出更多種類的表現(xiàn)形式，數(shù)據(jù)的來源形式也呈現(xiàn)出復雜的多樣性，數(shù)據(jù)的多樣性給數(shù)據(jù)帶來了更強的生命力；第四，商業(yè)價值高（Value）。集聚的數(shù)據(jù)具有更高的商業(yè)價值，數(shù)據(jù)不再單獨分割，更多地表現(xiàn)為一個數(shù)據(jù)的云層；第五，真實性（Veracity），處理數(shù)據(jù)時，對數(shù)據(jù)的真實性有了更高的要求，只有真實的高質量的數(shù)據(jù)才能真正起到支持決策的作用。

近年來，云計算、物聯(lián)網和移動互聯(lián)網的不斷演進與發(fā)展使大數(shù)據(jù)資產的價值愈加重要，技術的互相融合勢必放大和強化大數(shù)據(jù)對各行各業(yè)的影響。這對于審計行業(yè)而言，面臨的是一種數(shù)據(jù)審計思維模式。在根植于大數(shù)據(jù)的“數(shù)據(jù)審計”時代下，企業(yè)的人、財、物有了更為深度的融合，被審計企業(yè)的生產經營情況、被審計企業(yè)的各部門間的財務活動痕跡產生了大量多樣性的數(shù)據(jù)，這些數(shù)據(jù)包括被審計單位營運信息系統(tǒng)數(shù)據(jù)、管理層等各方的網絡數(shù)據(jù)、智能化設備的監(jiān)控數(shù)據(jù)。審計從業(yè)人員需要思考，如何通過這些產生的大量數(shù)據(jù)來構建治理審計模式、提升風險評估的數(shù)據(jù)化支撐能力、擺脫傳統(tǒng)風險導向審計模式的局限、轉變數(shù)據(jù)處理治理審計模式，要求具備更高的數(shù)據(jù)識別、處理、挖掘能力，在海量數(shù)據(jù)中識別出對有助于改進審計工作質量、降低審計風險的信息，支持相關決策者和信息使用者作出相關決策，實現(xiàn)審計全覆蓋。

二、數(shù)據(jù)審計時代審計風險分析

傳統(tǒng)的審計風險模型是由美國注冊會計師協(xié)會（AICPA）于1983年提出的，它用數(shù)學模型表示為：AR=IR×CR×DR。其中：AR指審計風險（Audit Risk），IR指固有風險（Inherent Risk），CR指控制風險（Control Risk），DR指檢查風險（Detection Risk）。在數(shù)據(jù)審計背景下，審計的風險表現(xiàn)形式有了更豐富的表現(xiàn)形式，突出表現(xiàn)在固定風險和檢查風險。數(shù)據(jù)的安全性風險對原有的固有風險組成產生了影響，數(shù)據(jù)的運用與以及分析的難度上升也將導致審計檢查風險的提升。隨著大數(shù)據(jù)時代的發(fā)展，傳統(tǒng)的風險導向審計模型的缺陷日益凸顯。因此，新準則制定了新的審計風險模型：審計風險=重大錯報風險×檢查風險，其中，重大錯報風險包括兩個層次：一是會計報表整體層次；二是交易類別、賬戶余額、披露和相關陳述層次，會計報表整體層次的重大錯報風險是指同會計報表整體關系緊密的重大錯報風險或對許多認定都有潛在影響的重大錯報風險。所以，在數(shù)據(jù)審計背景下，實施數(shù)據(jù)風險評估程序，基于審計人員職業(yè)判斷的基礎上，更應該專注于獲取數(shù)據(jù)本身所產生的風險。同時，審計人員應注重利用大數(shù)據(jù)信息對被審計單位的控制環(huán)境進行分析，識別出存在的數(shù)據(jù)風險點，形成數(shù)據(jù)審計模式。

隨著世界邁入大數(shù)據(jù)DT時代，被審計單位所處的內外市場環(huán)境愈發(fā)復雜，相比IT時代被審計單位將面臨更大的風險壓力，審計主體也將面臨比之前更大的出現(xiàn)重大錯報風險的可能性。審計人員審計后發(fā)表不恰當審計意見的可能性也將加大。而在傳統(tǒng)的風險導向審計模式中，仍然采用的是抽樣審計的模式。抽樣審計的模式是依賴對審計對象總體篩選一些樣本進行測試，并根據(jù)樣本情況推斷總體情況。但在數(shù)據(jù)審計時代下，審計抽樣的工作變得更加復雜，抽取具有代表性的風險樣本同樣無法避免固有的風險誤差，無法準確地反映出總體的情況，加之，各類被審計單位的內源性和外源性數(shù)據(jù)高度粘合，增加了數(shù)據(jù)抽樣工作產生的數(shù)據(jù)誤差，這些數(shù)據(jù)誤差增加了審計人員發(fā)表不恰當審計意見的可能性，從而導致數(shù)據(jù)審計風險的增加。

在數(shù)據(jù)審計時代，審計單位和被審計單位的信息博弈日趨激烈。根據(jù)信息不對稱理論可以研斷，信息博弈雙方之中掌握數(shù)據(jù)信息優(yōu)勢的被審計單位在博弈中占據(jù)有利地位，而會計師事務所則處于信息劣勢。而處于信息優(yōu)勢的被審計單位會利用其自身的信息作出對另一方不利的決策，從而出現(xiàn)逆向選擇的現(xiàn)象。根據(jù)委托-代理理論，處于代理人一方的審計單位往往是處于信息劣勢的一方，作為委托方的被審計單位往往利用其信息的優(yōu)勢，產生隱瞞真實的財務數(shù)據(jù)、編制虛假財務報告、進行財務舞弊的風險，尤其是對處于虧損經營性企業(yè)而言，企業(yè)舞弊的可能性更大。而作為審計單位而言，鑒于自身生存壓力，為了搶奪客戶，為了迎合客戶需求，往往將審計程序簡化，減少審計成本，很多審計程序往往都流于形式，這都增加了審計人員發(fā)表不恰當審計意見的風險。

在此基礎之上，作為財務報表信息使用者的利益相關者對代理方的審計單位具有很高的審計期望，尤其在大量數(shù)據(jù)中需要找出前瞻性數(shù)據(jù)的投資決策者而言，他們對審計質量的期望容易與實際的審計工作質量產生差距，一方面財務信息使用者希望審計人員能夠客觀工正地開展審計工作，保證相關財務報表能披露單位真實的財務信息和經營狀況；另一方面審計單位收取了委托企業(yè)的審計費用，應該站在被審計單位的立場上開展審計工作。這就使得審計單位處于一個矛盾的地位，使得審計人員苦惱于應站在哪一方的立場上出具審計意見，無形中產生了一定的數(shù)據(jù)審計風險。

三、數(shù)據(jù)審計時代審計風險控制措施

數(shù)據(jù)審計時代的到來，對于獨立審計行業(yè)帶來的影響，更大程度上是基于云計算、物聯(lián)網和移動互聯(lián)網技術層面引起的一種科研范式的變革，如何對被審計單位的海量信息進行整合，進而進行數(shù)據(jù)分析和數(shù)據(jù)預測，以降低審計風險和提高審計工作效率提出如下控制措施。

（一）采用總體抽樣法替代原有的抽樣審計方法。在數(shù)據(jù)審計時代，審計工作的測試程序不再依賴抽樣分析，而可以采集和處理事物整體的全部數(shù)據(jù)。被審計單位的數(shù)據(jù)更為透明化，而且更為詳實，審計人員只需要通過云端技術連接被審計單位內部信息系統(tǒng)獲取全部相關信息。過去的抽樣審計工作模式是基于成本效益的原則，無法對每一筆業(yè)務進行詳細地審查，從而產生了抽樣審計。抽樣審計盡管抽取的樣本具有代表性，但無法完全消除其固有風險。但在數(shù)據(jù)審計時代下，審計人員通過云計算技術可以完全實現(xiàn)對被審計單位信息的全樣本抽樣，并且對審計證據(jù)等信息獲取的成本也大大降低，通過對總體抽樣方法的實現(xiàn)，更新了審計檢查技術，對全樣本的分析，大大減少了審計人員出現(xiàn)檢查失誤的風險，從而減少了審計人員出具錯誤審計意見的可能性，加強對數(shù)據(jù)審計風險的防范。

（二）加強審計人員信息運用、挖掘、預測能力的培養(yǎng)。審計人員的工作能力、職業(yè)素養(yǎng)的高低一直是審計風險產生的主體原因。在風險導向審計工作模式下，要求審計工作人員具備識別被審計單位重大錯報風險的能力，分析被審計單位所處的行業(yè)風險、企業(yè)戰(zhàn)略層面上的風險能力。這些能力一般來源于審計人員的專業(yè)判斷，它來自于審計人員綜合素質和豐富的實踐經驗，以及行業(yè)知識的豐富程度。在數(shù)據(jù)審計時代下，一方面對審計人員專業(yè)勝任能力提出了更高的要求。具體表現(xiàn)在：要求審計人員具備一定的計算機、互聯(lián)網以及相關數(shù)據(jù)分析軟件的技術運用能力，在大數(shù)據(jù)環(huán)境下開展數(shù)據(jù)審計工作，通過獲取被審計單位內外部相關的財務數(shù)據(jù)、行業(yè)數(shù)據(jù)、供應鏈運行數(shù)據(jù)、控制環(huán)境數(shù)據(jù)等，對數(shù)據(jù)進行深度地挖掘、分析，預測出未來被審計單位的相關能力高低、現(xiàn)金流量大小、行業(yè)變化情況等，對高價值高質量的信息進行有效整合，以支撐審計人員出具正確客觀的審計意見，降低審計風險；另一方面審計人員應該利用大數(shù)據(jù)給人們帶來的獲取數(shù)據(jù)更為便利這一優(yōu)勢，加強相關經驗交流學習，建立多行業(yè)的經驗交流平臺，借助互聯(lián)網平臺實時關注相關行業(yè)的內外部環(huán)境變化，進行信息交互，提升自身的工作能力與實踐經驗，以達到數(shù)據(jù)審計時代下對審計工作效率提升的這一要求。提高對被審計單位的信息獲取和處置能力，有助于審計人員與被審計單位在信息博弈中取得優(yōu)勢地位，掌握更多的有效信息，有助于識別被審計單位的舞弊動機，降低審計風險。

（三）建立完善被審計單位數(shù)據(jù)庫。數(shù)據(jù)審計環(huán)境下要求被審計單位必須建立起一個完善的中心數(shù)據(jù)庫，被審計單位的各類信息都將儲存在此數(shù)據(jù)庫內，涵蓋了各項相關經濟活動的信息、實物資產、人力資源等，并且通過互聯(lián)網存儲在云端。審計人員可以通過互聯(lián)網與中心數(shù)據(jù)庫進行連接，直接獲取被審計單位的相關信息和財務數(shù)據(jù)，對被審計單位的各項經濟活動進行有效的監(jiān)控，對各項實物資產進行實時的盤點，提高審計工作效率的同時，能夠對重大錯報風險進行有效的防范。諸如獐子島事件再一次強調了存貨監(jiān)盤的重要性，在數(shù)據(jù)審計環(huán)境下，此類事件完全可以避免，通過連接被審計單位的中心數(shù)據(jù)庫實施對被審計單位的存貨實施實時的監(jiān)盤，同時在互聯(lián)網同時獲取氣象、水文等數(shù)據(jù)進行分析，有效地預見“冷水團”對生物性資產的影響，識別出存貨存在的相關風險。同時，被審計單位要及時升級相關的軟件和硬件，以防范潛在的信息安全風險，數(shù)據(jù)審計時代面臨著數(shù)據(jù)量的爆發(fā)性沖擊，要適時地對相關財務軟件進行升級，定期維護。審計人員應進行相關數(shù)據(jù)的維護，確保有關信息的保密性，做好數(shù)據(jù)采集、數(shù)據(jù)集成、數(shù)據(jù)清洗等工作，防范錯誤信息對審計工作的影響?？梢约訌娨韵聝蓚€環(huán)節(jié)的控制：一是防止APT攻擊。借助大數(shù)據(jù)處理技術，針對APT安全攻擊能力隱蔽、潛伏長、攻擊方式和方法不確定等特征，設計具備實時檢測能力與事后回溯能力的全流程審計方案，預防并阻止運行隱藏有病毒的應用軟件、程序；二是用戶訪問限制。可以根據(jù)數(shù)據(jù)的秘級程度和審計查詢需求設定不同的權限等級，并嚴格控制用戶訪問權限。

（四）被審計單位塑造有控制觀念的企業(yè)文化。完善的內部控制制度是實現(xiàn)控制目標的重要保證，也是降低審計風險的重要手段。在數(shù)據(jù)審計時代，需要進一步完善被審計單位的內部信息系統(tǒng)，利用信息技術手段，對被審計單位相關的經營活動進行有效的監(jiān)督，以保證其活動合法合規(guī)，確保財務報告及相關信息真實完整，審計人員通過被審計單位的內部信息系統(tǒng)的運行情況，評價內部控制制度的有效性，監(jiān)督其是否得到有效的實行。被審計單位應利用大數(shù)據(jù)時代數(shù)據(jù)的開放性、透明性，通過互聯(lián)網進行內部控制制度設計的交流實習，學習其他企業(yè)的內部控制制度的可取之處。

有效的內部控制制度設計可以有效地防范管理層舞弊，而有效的內部控制仰賴企業(yè)成員的控制意識，企業(yè)文化是內部控制要素的組成部分。在大數(shù)據(jù)時代下塑造控制觀念的企業(yè)文化，培養(yǎng)員工的控制意識，凸顯出其重要性。從東芝公司審計失敗事件看出，有效的內部控制制度以及先進的企業(yè)文化建設關乎一個公司的存亡。歷史達百年之久的制造業(yè)巨頭日本東芝公司因公司財務舞弊導致公司信譽瞬間崩塌，其根源在于其家族式的企業(yè)文化致使管理層可以凌駕于內部控制之上，高管一言堂，內部審計失效，管理層可以任意操縱利潤，大規(guī)模參與會計造假，審計人員發(fā)生道德風險及缺乏謹慎性使其過分依賴東芝內部審計機構，未能有效對東芝內部控制系統(tǒng)、重要性水平及審計風險進行恰當性評估致使最終審計失敗。

主要參考文獻：

[1]張云.大數(shù)據(jù)背景下的圖書館發(fā)展問題與策略[J].信息技術與信息化，2014.5.

[2]龍子午，王云鵬.大數(shù)據(jù)時代對CPA審計風險與審計質量的影響探究[J].會計之友，2016.8.

[3]沈紅波.風險導向審計的新發(fā)展[J].財會月刊（理論版），2006.4.

[4]戴璐，王洪波.淺談大數(shù)據(jù)環(huán)境下審計風險的防范對策[J].科技創(chuàng)業(yè)月刊，2015.13.

[5]秦榮生.大數(shù)據(jù)云計算技術對審計的影響研究[J].審計研究，2014.13.