2007年度论文二等奖
李 勤 副教授 杭州电子科技大学
何世宏 审计师 浙江省审计厅
徐 磊 高 工 浙江机电职业技术学院
【摘要】近年来,浙江省审计厅建立了以全部政府性资金为主线的审计监督创新格局,但就目前审计机关的人员力量和素质结构来看肯定是远远不够的,这就需要进一步加快审计信息化建设,建立高效的审计信息系统。基于IT的连续审计(Continuous Auditing, CA),将IT技术高度整合进了审计领域,融合了实时审计、计算机辅助审计、联网审计、非现场审计等方式,实现审计人员和被审计单位电子数据的及时连接与交互,克服了当前审计的滞后性。本文在介绍了以全部政府性资金为主线的审计监督和基于IT技术的CA系统基本原理的基础上,分析阐述了浙江省建立全部政府性资金CA系统的必要性与可行性,详细分析与探讨了基于IT技术的全部政府性资金CA系统的总体设计与实施步骤,并对建设与实施CA系统提出了具体的建议。
【关键词】连续审计 全部政府性资金审计 审计信息化
1 全部政府性资金审计概述
1.1 开展全部政府性资金审计的背景
浙江省是我国经济发展最快的省份之一,2005年人均国民生产总值已突破3400美元,标志着浙江省已处于建设小康社会向基本实现代化过渡的阶段。浙江省在经济社会迅速发展的同时,财政收入增长迅速,政府性资金规模不断扩大。未纳入预算管理的各类专项资金、基金,以及通过政府各类融资渠道得到的资金,无论是数量还是规模大大超过了预算内资金。从使用情况看,未纳入预算管理的资金(主要是土地出让金和地方政府负债)已经成为地方政府发展经济的主要资金来源。从管理上看,这部分资金也是管理的薄弱环节。
2006年浙江省审计厅在调研试点的基础上,结合经济责任审计对省内12个市、县(市、区)的全部政府性资金进行了摸底,并对一些重点资金的使用情况进行了跟踪。从调查情况看,浙江省政府纳入预算管理的资金占全部政府资金比例仅为三分之一到五分之一。全部政府性资金的总量按超过10%的速度逐年增加,增幅逐年加大。从目前来看,对一般预算财力管理比较规范、监督比较到位;对列入基金管理的财力的管理相对规范,但存在预算不够细化等问题;其它政府性资金规模较大,但管理基础却非常薄弱,管理决策机制和监督机制相对缺位,问题比较突出。
近年来,浙江已经具备了建立公共财政管理体制的前提条件,各级政府部门也按照建立公共行政体制的要求,加快了公共财政体制的转轨与建设。浙江审计以科学发展观为指导,立足浙江经济发展的现实需要,以财政审计一体化为起点,实现了财政审计范围的拓展,有效地扩大了审计监督的政府性资金的覆盖面,并在此基础上进一步强化对全部政府性资金的绩效审计。短短两年时间,勇于探索、不断创新的浙江审计人,使具有浙江特色的审计创新体系得到了不断地丰富和完善。
1.2 全部政府性资金的概念及分类
全部政府性资金,是指在建立中国特色社会主义市场经济条件下,在建设公共财政进程中的特殊时期,有别于一般概念政府收入的政府资金。一般认为,全部政府性资金是指一级政府在一定时期内所能掌握和使用的、能够在一定形式上和程度上转化为资金形态的所有有形和无形的政府财力。其内容包括:
1.2.1 按范围分类
从范围上看,全部政府性资金可分为:
(1)财政类资源资金。主要包括以税收收入为主干的财政预算资金,以特定用途为目标的政府基金,以特定目的所筹集的政府专项资金等。
(2)资产类资源资金。主要包括经营性资产收益、非经营性资产收益、政府可利用的资源性资产收益(如土地出让金、水资源费、矿产使用费等)。
(3)政策性资源资金。其中包括:以行政许可为特征的非税收收入资金,主要包括政府性基金收入、行政事业性收费收入、罚没收入和国有资本经营收入等;经济社会管制中的罚没款收入;政府信用运用中所产生的政府债务资金等。
1.2.2 按管理模式分类
从目前的管理模式看,全部政府性资金可分为:一般预算资金、基金预算资金、各专项资(基)金以及部门(单位或国有投资机构)管理的资金(包括政府性债务)。
1.2.3 按核算口径分类
从核算的口径看,全部政府性资金可分为:
(1)全部政府性资金收入(也称政府可支配收入)。主要来源包括税收收入、公共收费、国有资产收益和政府负债,也包括由政府代管、需要政府兜底的社会保障、住房公积等基金。
(2)全部政府性资金支出(也称政府支出)。按功能分类又可分为:一般公共服务支出、外交支出、公共安全支出、教育支出、科学技术支出、文化体育与传媒支出、社会保障和就业支出、社会保险基金支出、医疗卫生支出、环境保护事务支出、城乡社区事务支出、农林水事务支出、交通运输支出、工业商业金融等事务支出和其它支出。
(3)全部政府性资金结余(也称政府盈余或赤字)。包括:一般预算结余、基金预算结余、专项资(基)金结余情况。
1.3 全部政府性资金审计的主要内容
从目前的实践情况来看,浙江省以财政审计一体化为基础、以绩效审计为核心的全部政府性资金审计已经全面开展起来。
1.3.1 财政审计的内容
在常规的财政审计方面,实现了财政审计一体化。所谓财政审计一体化,就是审计机关在现有的财政审计对象、审计人员配备、审计装备手段等条件下,对审计资源进行统一调配和整合,对财政性资金从筹集、分配、管理到使用的全过程进行监控,在合规性审计的基础上对财政性资金的支出结构和使用效益予以关注,并最终以“两个报告”为主要载体反映审计成果的过程。
具体要求是以本级预算执行审计为基础,按照全部政府性资金支出的方向,积极开展对政府固定资产投资项目、政府基础设施建设、投资公司以及其它财政收支的审计和专项审计调查,形成合力,实现对全部政府性资金的审计,推进公共财政管理体制的建立。
1.3.2 绩效审计的内容
在绩效审计方面,开展了“以全部政府性资金为主线市县长经济责任审计”,主要包括以下内容:
(1)全部政府性资金收支结果审计,评价市县长落实科学发展观、构建和谐社会各项举措情况。
(2)审计支农、教育、社保、环保和扶持企业等重点支出,评价市县长推进政府职能转变、建设公共财政情况。
(3)审计大额资金支出和政府重点投资项目、土地出让等方面绩效,评价市县长决策科学性、决策绩效、廉洁自律情况。
(4)审查全部政府性资金相关管理制度建立健全和执行情况,评价市县长依法行政、贯彻执行上级方针政策情况和科学管理情况。
(5)审计全部政府性资金的收支结果,评价市县长的政绩,重点评价收支平衡性、发展成本和发展潜力情况。
综上所述,全部政府性资金审计的内容与流程总结如图1所示。
图1 全部政府性资金审计的内容与流程图
浙江省审计厅全面开展以全部政府性资金为主线的政府审计,不仅有效地扩大了审计监督的政府性资金的覆盖面,并在此基础上进一步强化了对全部政府性资金的绩效审计,建立了全新的政府审计监督创新格局。从实际工作来看,以全部政府性资金为主线的政府审计不仅使审计工作所需要投入的人力、物力和时间成几何级增加,而且对审计人员的知识结构与专业素质提出极高的要求。就目前审计机关的人员力量和素质结构来看肯定是远远不够的,这就需要进一步加快审计信息化建设,建立高效的审计信息系统。
2 基于IT技术的连续审计(CA)系统概述
随着信息技术的进步、电子商务的发展以及管理决策对信息实时性需求的日益增强,传统审计面临挑战,基于IT的连续审计(Continuous Auditing, CA)模式应运而生。近年来,SEC、IIA、CICA和AICPA先后公开表明将对基于IT的连续审计(CA)模式加以大力支持与倡导。
2.1 连续审计(CA)的理论发展
早在20世纪80年代美国就提出关于连续审计的设想。Kearns在1980年发表“我们准备好连续审计了吗?”一文,但得出的结论是否定的,主要原因一是缺乏合适的软件、技术和专家系统满足连续审计的自动化和实时性等要求,二是缺乏相应的市场需求和正式组织的认可。
1990年AT& T的Bell实验室完工的“连续处理的审计系统”(Continuous
Process Auditing System)有力地证明了连续审计技术上的可行性。
1999年,CICA和AICPA联合发布了连续审计的研究报告,重新界定了连续审计的基本涵义。
进入21世纪,安然和世通财务舞弊案使人们更为切实地认识到连续审计和实时监控的重要性。2002美国证监会颁布了萨班斯-奥克斯利法案(Sarbanes-Oxley Act,SOX),法案中的404条款要求审计师对公司管理层的评估过程和内部控制出具书面意见, 虽没有明确要求上市公司采用基于IT技术的连续审计,但是许多上市公司出于减少遵守SOX条款所需成本的考虑,纷纷在内审实务中采用连续审计技术。
Murthy & Groomer(2004)提出了一种基于Web Service(网络服务)的新的连续审计模式(continuous auditing web service,CAWS),这种模式要求被审单位的会计信息系统是面向XML技术构造的。
2005年,IIA向其成员正式推荐了指导连续审计实施的两篇文章:《连续审计:内部审计人员的可操作模型》和作为《全球技术审计指导》系列之三(GTAG3)发布的《连续审计:对保证、监督和风险评估的意义》。
根据普华永道会计师事务所发布的《2006内部审计状况职业研究》,被调查的美国公司中有半数的公司目前正在使用“连续审计”(continuous auditing)技术。这种技术的典型特征是利用技术优势来缩短内部审计周期、改善风险和控制安全系数。
2.2 连续审计(CA)的概念与特征
2.2.1 连续审计(CA)的概念
连续审计的概念,随着其内涵的不断发展与完善,研究内容和重点也不断变化,涉及越来越多的学科技术和新兴领域,理论界并没有一致的定义,概括起来主要有五种观点。
1999年CICA/AICPA发布的研究报告认为,CA是“一种审计方法,这种方法能让独立的审计人员,在审计事件发生的同时或者发生后的极短时间内,通过审计报告提供关于审计对象的书面证明”,强调了审计报告时间与事件的同步性。
2002年Rezaee提出,CA是“收集电子化审计证据来证明无纸化实时会计系统下财务报表是否表达公允的电子审计过程”,突出了CA的电子化要求。
2003年Warren and Parker 提出,CA是“基于审计人员预定的标准,持续的监控和测试(利用智能软件工具)交易并确定需要执行进一步测试的异常(例外)情况的系统化方法,审计人员按照使用者需求决定报告发布的形式”,强调了预定的审计标准和第三方鉴证的目的。
2004年Vasarhelyi认为,CA是“一种完全自动化的方法,一种能立即获取相关的事件并产生相应结论的方法,也是一种利用信息技术带来的对公司的交易过程进行自动化分析监控的方法”,更明确地指出CA必须要在一个在线的信息系统中执行。
2005年IIA发布的全球审计技术指南中,定义CA是“一种利用技术自动执行控制和风险评估的方法,是审计策略从传统的交易样本的周期性复核向对所有交易进行持续测试的转变。这种方法使得内部审计人员可以在实时环境中,……”,强调了风险控制和评价审计,同时也将范围仅仅定义在了内部审计。
尽管国际上CA的概念不尽相同,但有一点是可以肯定的,它们与我国停留在传统审计基础上的连续审计概念是不同的。国际上的CA概念将IT技术高度整合进了审计领域,融合了实时审计、计算机辅助审计、联网审计、非现场审计等方式,实现审计人员和被审计单位电子数据的及时连接和交互,克服了当前审计的滞后性。
2.2.2 连续审计(CA)的特征
CA的概念虽然有差异,但共同具备以下特征:
(1)审计过程的实时性要求
CA强调不同于传统审计的基本特征,就在于审计报告时间是在事件发生的同时或稍稍滞后,做到时间同步且精确度高。CA实时性表现在三个环节:信息证据收集实时性,监控和分析的实时性,发布审计报告实时性。这一点也是CA与联网审计最大的区别。目前,联网审计仍是事后审计,是在审计人员执行审计任务时通过网络直接获取被审计单位的业务数据,改变的只是获取数据的手段与途径,并没有改变报告的滞后性与被动性。
(2)审计手段的电子化要求
CA强调收集电子化审计证据来证明无纸化实时会计系统下企业财务报表是否公允的电子审计过程,因此电子审计是必要手段。
(3)强调风险评价和控制
由于CA的审计策略已经从传统的对交易样本的周期性符合向对所有交易进行持续测试转变,因此,CA审计可以克服传统审计滞后性而带来的无法真正控制和评价风险的致命缺陷,能更有效地进行风险评价和控制。
(4)保留审计“独立性”基本特征
CA是由独立的审计人员基于预定的审计标准,持续地监控和测试事件并确定需要执行进一步测试的异常情况的系统化技术,需要使用专门的审计方法。这也是其不同于其它的管理信息技术的主要特征。
(5)范围包括内部审计和外部审计
CA可以适用于外部注册会计师的财务报告鉴证审计,很好的满足实时报告(CR)评价需要;也可以用于内部审计,从CA内在优势看,其更适合于内部审计领域。CA区别于传统审计在于它将内部审计与外部审计一体化。
2.3 连续审计(CA)的技术途径
从技术途径上来看,CA实现的方法可分为三种类型:
2.3.1 应用嵌入式(EAM)技术
早期CA的研究与应用主要关注运用嵌入式模块原理,依赖嵌入在业务主机系统中的应用程序做到:将交易数据复制到指定的文件或设备,确定与交易预定标准是否匹配,将审计结果传递给审计人员。EAM由触发器和存储程序组成,可以定期的或在满足特定的审计条件的情况下随时自动触发和呼叫,并在发现交易异常时进行监控和报警,使审计人员和管理者都能实时发现问题以便更好的监控交易过程。
应用EAM的优点在于实现技术简单、经济实用、尤其是实时审计同步性好;缺点是会引入一定的风险,如被审计单位担心嵌入系统本身的稳定性、非公开信息泄漏而带来损失,因此运用EMA存在较大的局限性。
2.3.2 应用代理(AT)技术
与EAM的主要区别在于,首先要建立与被审计单位独立的审计数据库和系统工作站,通过网络向数据代理输入指令以半自动的方式启动审计程序,从被审计单位的系统中提取数据存入独立的审计数据库,然后与预定标准对比,若有异常就触发警报并发送例外报告给审计人员,以便及时发现问题并采取相应措施。
应用AT的优点在于使用独立的审计数据库和系统工作站,不会占用被审计单位的系统资源,避免了可能的利益冲突和可能破坏被审计单位系统的风险,而且可以通过网络实现远程审计;缺点是必须建立独立的审计数据库和系统工作站后通过网络连接,不仅投入大、占用的资源多,而且运行与维护的成本较高。
2.3.3 混合式技术
应用嵌入技术和应用代理技术各有优缺点,在实际应用中最常见的是两者混合使用,充分发挥其各自的长处。
2.4 连续审计(CA)的实现模型
目前,国际上影响最广泛的应用CA模型有四种:
2.4.1 Woodroof-Searcy(2001)模型
2001年时Woodroof和Searcy提出了在债务领域的CA模型,成为第一个正式的概念模型。该模型建立在客户系统中交易数据库(日记账和分类账)基础上,利用基于Web和客户交易数据库的技术,满足了系统的可靠性、安全性测试的需要和按需报告的需求。
该模型的优势在于对交易数据的准确性监控是通过数字代理和嵌入系统内部的程序库完成,对内部可靠性的测试完全符合SYSTRUST原则。其缺陷是:数字代理在审计单位;不能和已有的信息实现无缝对接;不支持XBRL(可扩展商业报告语言,eXtensible Business Reporting Language)。
2.4.2 Rezaee(2002)模型
2002年Rezaee等提出了CA又一个概念框架:既可以在分散的C/S网络上也可以在基于Web的审计工作站间鉴证数据。
Rezaee模型的优势在于对交易数据的准确性监控是通过标准化的审计测试嵌入进数据栈完成的;对可靠性的测试则突破性地采用了平行模拟测试控制。另一个显著改进在于并不需要建立企业级的数据仓库(其成本昂贵、结构复杂),采用的是数据中心(DM),其中存放有包含如定义说明文件、商业规则和交易处理流程等元数据,系统将测试所需的数据自动传输进DM后就可与之对比、检测。
2.4.3 Onions(2003)模型
欧洲连续审计中心的Onions模型是近几年较成功的CA模型。第一次引入了可扩展连续审计语言(XCAL)和关键数据层测试(KLDE)概念。一方面,建立一个通用的主文件形式和传输方式,即XCAL以解决原始数据形式多样性的问题。另一方面,分两种情况进行交易测试:短期测试,对企业的每一项交易都进行测试,借助批处理模式(CATT)实现;长期测试,对企业交易方式进行审计,借助嵌入式系统(ES)实现。
Onions模型提出了统一的数据形式,使得形式各异的企业信息库与软件各异的审计公司信息接口实现了无缝链接,为连续审计的全面实行奠定了技术基础。但面临的困境是:统一数据的标准化的制定有待时日,费用分摊存在障碍。
2.4.4 ABCAM(2006)模型
2006年Charles Lingyu Chou 等学者提出了ABCAM(Agent-based Continuous Audit Model)模型,是国际学术界对CA研究的最新成果,其最大的优势在于非专用性,可同时供多个用户使用,此外还有实时监控、审计独立性和智能性等优势,其缺陷是过度占用资源。
四种实现模型的比较如表1所示。
表1 连续审计(CA)实现模式比较表
|
|
Woodroof-
Searcy模型 |
Rezaee模型 |
Onions模型 |
ABCAM模型 |
|
业务的
精确性 |
通过数据代理进行基于规则的检测;通过整合进系统的设备分析数据;适应并应用SYSTRUST原则;基于网络的评估点 |
将标准化的审计测试嵌入数据栈,连续或者定期地运行,收集证据并进而生成相关报告 |
在业务录入时或稍后时间检查交易的专家系统(非实时但连续运行) |
采用移动代理从分散信息源收集并检测信息(可以完成审计七类证据中除询问和观察外的五类证据的收集) |
|
内部控制系统的可靠性实时性 |
数字代理必须在审计人员定义的规则内;实时收集信息和监控 |
使用整合测试确定处理的正确性和完整性,使用平行模拟测试评估控制活动的有效性 |
按键层的语法分析,以检测数据库管理系统的效用;采用密码控制 |
构造封装的审计代理库;非专用性,适合于同一供应链上的企业共用 |
|
报告
方法 |
三层报告,经由电子邮件发送给审计人员和第三方;通过一个网络界面,按需生成实时报告 |
实时处理与报告 |
采用安全性较高的操作系统和网络服务证实信息 |
不仅监控实时而且具有系统独立性和审计代理智能性 |
|
建议的数据 |
信息拉动方法(同XBRL推动模式相反);全新的数据形式,不能实现与遗留系统(leagcy system)的对接 |
可采用网络操作将数据传递到审计人员工作站,然后可以通过通用审计软件生成报告 |
通过虚拟专有网络发送分级警报给审计部门;按重要性(三层)对警报分级 |
在审计者与企业间构造界面模块,用于输出审计结论;代理调用和执行模块用于采集和处理差异报告 |
|
表 |
|
数据栈
数据仓库
XBRL |
XCAL
数据栈
|
没有强制表示和存储形式,与遗留系统(leagcy system)对接即可 |
2.5 连续审计(CA)的经济效益分析
近年CA的技术已经达到一定标准,但实际中CA的推进比较缓慢,主要是实施成本较高。
Hunton and Wright(2003年)认为,从外部信息需求来看,期间较长的审计报告会使投资者要求较高的股票溢价,导致企业资本市场融资的成本上升,所以,CA提供的及时和短期审计报告对企业增加经济价值是很重要的。从内部管理看,现代电子商务瞬间完成,由于有了CA带来的及时审计,能为企业及时的内部决策提供基础。此外,CA可以实现非现场审计,减少手工操作,达到无纸化作业,也是CA明显的效益。CA成本主要是初始所需设施的成本,一旦初始基础设施到位,日后的报告和审计成本与传统审计相比大大减少,人工费用几乎可以忽略不计,尤其是当XBRL和相应的推动技术日益流行的时候,CA 的后续成本将非常小,因此,最先开始实施CA的会是已经有较好IT基础设施的企业。他们还认为,CA审计过程大大减少人工参与,不仅在很大程度上抑制企业盈余管理和操纵利润现象,而且CA可以降低传统审计过程中的浪费和时滞问题,能自动分析复核程序,降低审计错误与风险,由此可以降低法律风险。与此同时,Hunton and Wright 认为,最先开始实施CA的会是已经有较好IT基础设施的企业,随着CA的推广,成本越来越低,收益更为明显,此时就会有越来越多的企业从中获得净收益,CA就更普及。
Pathak, Chaouch and Sriram (2005年)运用随机过程分析了对一个大型数据库进行连续审计时,采用计次审计和计期审计战略的长期成本,以此得出最小化CA成本的模型。出于降低成本的考虑,连续审计不是在每笔交易之后或者时时刻刻都对数据库进行审计的,计次审计是在n次业务之后才对数据的错误和其它不合规的情况进行审计,计期审计是系统在每隔一个较固定的短期间P后对数据进行审计。CA成本分析的关键就是对最佳次数n和最佳时间间隔P的选择,如果n和P过大,就不能有效查找错误,但如果n和P过小,CA的成本就要增加。他们提出了在假设交易数据到达数据库是满足Poisson分布的前提下,审计最佳次数和时间间隔的计算方法。
2.6 连续审计(CA)系统的应用情况与效果
根据普华永道会计师事务所发布的《2006内部审计状况职业研究》,被调查的美国公司中有半数的公司目前正在使用“连续审计”(continuous auditing)技术。在392家接受调查的企业中,已经有81%拥有或正在计划建立连续审计/监控流程。2005-2006年间,表示已拥有连续审计/监控流程的调查反馈者比例从35%上升到50%,增幅显著。
当被问及什么是建立连续审计程序的最主要挑战时,380家调查反馈企业中有37%认为是“定义需审计的活动”;20%的企业认为是“如何使用好这项技术”;
18%认为是“获得公司内部支持”;另有13%认为是“如何确定是否要对业务部门和内部进行监控”。而一个出人意料的比例则是,只有12%的人认为“成本”是连续审计目前所面临的主要挑战。事实表明,一个连续审计应用软件所需的投资仅为20至30万美元,但可以在大量的应收账款、差旅费和总账处理中找出差错,因此而节省的费用在一年内就可以弥补成本。这节省的成本还仅仅算的是找出来的那些差错的账面价值。而且,现在有更加细分的CA应用软件可供下载,价格也已降到了五位数。
美国会计总署总审计师兼罗格斯大学(Rutgers)连续审计中心(CCA)主席沃克(David M. Walker)最近发表观点认为,企业既需要由管理层实施连续监控,也需要由外部审计员或者内部审计员,或者两种人员共同实施连续审计,进行检验与稽核,这个方法将变得越来越重要。
企业的财务高管和内部审计人员也同意这样的观点。西门子公司的IT审计总监布伦南(Rod Brennan)的博士论文对连续审计做了研究。他说,研究表明考虑到连续审计节约的成本、提高的效率和在风险防范方面取得的效益,实施连续审计几乎是不需要斟酌的。他认为,有效防范欺诈的惟一办法就是全面使用自动化,连续审计的最大价值在于能够支持实时财务状况报告,这可能是采用连续审计而不是其它手段的最大原因。
西门子公司三年前开始实施连续审计。公司实施了交易事后检查,并对ERP系统的控制过程实施了防范性检查。防范性措施表明,公司需要修改内部连续审计计划。西门子公司没有把整个内部人工审计计划自动化,而是全面检查ERP审计流程,并尽可能提高自动化程度。公司选出一些耗时长、成本高、参考价值大的审计活动,将其自动化。防范性的检查措施还表明,一些针对控制采取的连续审计产生的异常提示报告需要有人工监控。“自动提示报告非常重要,也很有用。”布伦南说,“不过,如果我通过一个连续审计系统每天或每小时观察SAP的ERP系统的防范控制,当某个人对系统的控制已经改变时,系统工具就会每天或每小时向那个人发送电子提示邮件。因此,这种工具必须得到有效的管理。”事后检查措施也开始出成果。西门子使用了电子软件检查采购付款循环交易和差旅费管理。“我们使用的时间大概才一年,但已经节省了可观的成本。”布伦南说。
综上所述,基于IT技术的连续审计是信息与网络时代审计技术手段发展的必然趋势,是我国政府审计信息化建设非常值得借鉴的发展思路。
3 建立全部政府性资金连续审计(CA)系统的必要性与可行性
3.1 建立全部政府性资金连续审计(CA)系统的必要性
3.1.1从全部政府性资金审计的特点看
从目前的实践来看,全部政府性资金审计具有涉及面广、内容庞杂、数据量大、时间紧、质量要求高等特点,使各级审计机关的工作量成几何级数量地增加,就目前审计机关的人员力量和素质结构来看肯定是远远不能满足需要的,这就要求进一步加快审计信息化建设,制定信息化的配套方案,确立全新的计算机审计的思维方式,建立高效的审计信息系统。
借鉴国外最先进的思想与理念,逐步建立与推广全部政府性资金连续审计(CA)系统是解决全部政府性资金审计面临的问题最有效的技术手段。只有借助CA系统的自动化与及时性,才可能保证从内容上没有遗漏、时间上没有滞后、审计程序上没有折扣、审计质量与效率上得到充分的保证。
3.1.2 从经济效益层面看
从外部信息需求来看,期间较长的审计报告会使发现政府资金管理存在问题的时间滞后,采取有效的改进与防范措施的及时性较弱,加大了浪费与侵占政府资金的可能性与风险性,所以,CA提供的及时和短期审计报告对降低政府管理成本、提高管理效率是非常有帮助的。
从内部管理看,现代电子政(商)务办理时间大大缩短,由于有了CA带来的及时审计,政府机关、事业单位和国有资产经营企业可以及时把握业务动向,为及时的内部决策提供基础。CA审计过程大大减少人工参与,能自动化分析复核程序,及时地自动产生可供参考的审计结论,将在很大程度上控制审计单位的审计错误与风险,并在某种程度上实现内审与外审的一体化。
从审计作用扩展看,传统的财务审计主要目的是纠错和发现舞弊,审计人员通过CA连续的实时审计不仅比传统审计更及时有效地发现与纠正错误,更能够将审计的监督功能向前延伸到交易事项和业务活动的事前和事中,而且进一步及时评价与测试企业和单位的管理与绩效,能够针对存在的问题提供更有力的咨询服务支持。
3.1.3 从积极探索网络远程审计的要求看
随着信息技术的发展,会计信息、业务信息的记录、处理、传递和储存等发生了根本性变化,以审查会计账册和相关经济活动资料为主要方式的审计职业遇到了前所未有的挑战。
2001年国务院办公厅发布的《关于利用计算机信息系统开展审计工作有关问题的通知(国办发〔2001〕88号)》中提出:“审计机关应积极稳妥地探索网络远程审计。”面对挑战,审计署审时度势,2001年正式启动了“金审工程”。到2004年以应用系统建设、网络基础设施建设等为主要内容的“金审”一期工程基本完成,开始了以计算机联网审计为主要内容的“金审”二期建设。全国审计信息化建设成功经验显示,推进计算机审计是解决“审计技术老化,审计监督能力弱化”的必然选择。
目前,浙江省审计事业也已处在传统审计向现代审计发展的技术转型期和战略机遇期。根据“金审工程”规划和“电子政务建设指导意见”,提出今后四年浙江省审计信息化建设的思路,要加快推进审计技术创新,努力实现审计业务信息化、审计管理信息化、审计政务电子化,围绕“到2007年末初步实现对财政、财务收支活动及其相关信息系统与电子数据的真实、合法、效益实施有效的计算机审计监督”这一总体目标,强有力地推进审计信息化特别是计算机审计的进程。
基于IT技术的CA是信息化时代审计模式发展的必然趋势之一,浙江省作为我国经济最发达地区之一,不仅应该而且也必须开始尝试CA在全部政府性资金审计中的应用,为探索我国政府网络远程审计起到示范性作用。
3.2 建立全部政府性资金连续审计(CA)系统的可行性
3.2.1 技术可行性
从技术角度看,建立CA的条件有:
(1)各参与方网络服务器的互连
连续审计最基本的要求就是参与方的网络服务器能实时、准确、安全的连接,包括被审计单位的网络服务器能够允许审计人员进入数据库,审计部门的网络服务器能让外部审计信息使用者有控制地进入被审计单位的部分数据库,金融机构、公众信息平台等第三方的网络服务器参与CA的网络连接。
浙江省良好的电子政务网络基础设施可以为连续审计各参与方的网络服务器互连提供安全、可靠、稳定的网络环境,完全可以满足将被审计单位业务数据安全传递到独立的审计数据库以实时获取审计数据的要求,也完全可以满足审计意见与咨询服务及时传递与反馈到有关部门及被审计单位的要求。
(2)有高度自动化的程序提供审计证据
要实现CA目标,必须确保整个连续审计程序是高度自动化的。首先,被审计单位必须要有自动化的数据处理程序,以确保及时准确地提供交易数据。据调查,浙江省各级政府机关与事业单位80%以上已实施了会计信息化系统,这为全部政府性资金审计信息化提供了基础。
其次,CA系统本身需要有文件询问、数据提取和分析的功能,而且与被审计单位的系统必须兼容,可以利用审计模块或系统进行CA的审计程序,实现审计信息证据收集的实时性、监控和分析的实时性、发布审计报告的实时性。从现有的技术上看,实现上述功能理论上完全没有问题,CA核心应用软件的开发基本不存在技术障碍。
(3)系统可靠性
可靠的系统必须满足SYSTRUST的四条原则,即可用性(也称可获取性)、安全性、完整性和可维护性。
首先,被审计单位的会计及其它业务系统保证可靠性要求。审计人员可以通过开展计算机系统审计,来测试与评价被审计单位系统的可靠性。如果发现被审计单位的计算机信息系统不符合法律、法规和政府有关主管部门的规定、标准的,国务院办公厅发布的《关于利用计算机信息系统开展审计工作有关问题的通知(国办发〔2001〕88号)》中规定:“……可以责令限期改正或者更换。在规定期限内不予改正或者更换的,应当通报批评并建议有关主管部门予以处理。审计机关在审计过程中发现开发、故意使用有舞弊功能的计算机信息系统的,要依法追究有关单位和人员的责任。” 从某种意义上讲,对被审计单位的计算机系统审计也属于CA的一个重要的组成部分。
其次,CA系统本身的可靠性要求。CA系统的开发与实施就必须保证其应符合系统可靠性要求。特别是针对审计人员和CA设置的人为修改的监督,Alles、 Kogan and Vasarhelyi (2004)提出可以设计一个由第三方控制的用来记录审计人员活动,尤其是审计人员和管理层联系修改CA设置活动的只读文件,类似飞机上的“黑匣子”,以此监督审计人员和CA设置的人为修改。
3.2.2 法律可行性
实施CA时,必须要和被审计单位进行联网,实时获取全部相关数据,必须要得到法律的许可,或在法律允许的范围内进行。
我国2006年修订后的《审计法》第三十一条增加了审计机关可以要求被审计单位提供“运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档”的权限;同时,第三十二条规定,审计机关进行审计时,有权检查被审计单位“运用电子计算机管理财政收支、财务收支电子数据的系统”。
增加这两项权限的理由主要有以下几点:
(1)目前被审计单位普遍采用电子数据管理系统处理财政财务收支数据,利用电子数据进行审计,是审计工作适应信息化发展的必然要求。
(2)电子数据和相关计算机技术文档在本质上属于有关财政财务收支的资料。
(3)电子数据管理系统是否安全可靠,直接涉及到财政财务收支数据的真实和完整。
(4)《审计法实施条例》和《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》等已经授权审计机关检查电子数据及其管理系统。
(5)国外审计机关普遍有权检查被审计单位的电子数据及其管理系统。
可见,在我国审计机关对相关被审计单位开展CA时检查被审计单位的电子数据及其管理系统方面并不存在法律障碍,在现实工作中存在的是审计范围及认识与实践方面的问题。
3.2.3 经济的可行性
从投入角度来看,CA成本主要是初始CA所需设施的成本,一旦初始基础设施到位,日后的报告和审计成本大大减少。近年来,对于审计信息化及网络的建设,浙江省审计厅投入大量人力与物力,到2004年,以应用系统建设、网络基础设施建设等为主要内容的“金审”一期工程基本完成,建立了计算机审计网络平台。这些基础设施基本能满足实施与推广CA审计的基础设施要求,不需过多投入硬件资金,主要费用在于CA核心应用软件的开发与实施。以计算机联网审计为主要内容的“金审”二期建设,已经取得了许多阶段性的成果,这些也都为CA核心应用软件开发打下了一定的基础,所以投资规模并不是非常的庞大。
从产出角度看,CA带来的效益可以分为有形效益和无形效益。所谓有形效益,是指可以用财务指标进行计量的效益。主要包括:
(1)节约的资金与成本。通过有效的纠错与防范性控制,可以大大降低不合理支出与不合规资金占用的数量,取得可观的效益。
(2)降低的人员成本、减少的审计费用。由于审计人员减少,人员成本自然降低;减少异地现场审计,审计费用自然相应减少。
(3)节省的人力财力运用到其它方面取得的其它方面的效益。
无形效益,是指不容易统计、难以用财务指标核算的效益。一般包括:节约审计时间提高审计的效率;有效消除传统审计的审计浪费;审计单位社会形象与价值的提升;对被审计单位的威慑作用;降低了审计风险;有效调度与配置审计资源等。
3.2.4 操作可行性
CA的可操作性取决于审计人员的知识结构、工作程序的恰当转变、审计人员的充分再培训。
根据2006年底统计,浙江省各级审计机关共完成计算机审计项目1353个,占全省实际完成5012个审计项目的27%;11个市审计局共完成计算机审计项目298个,比例达到42%;省厅完成计算机审计项目50个,比例达到45.5%,计算机审计项目覆盖面有了大幅度的提高。此外,浙江省审计厅将2006年的12个企业审计项目全部列为计算机审计项目,围绕企业审计流程信息化的主要目标,坚持以AO(现场审计实施系统)为平台,加强审计项目管理信息化和审计技术信息化的创新。通过审计共查出各项违纪违规金额48063万元,管理不规范金额59114万元,应缴财政金额4513万元,减少财政补贴397万元,应调帐处理金额25631万元。
在2006年完成的1353个计算机审计项目中,共有770个计算机审计项目使用了AO软件。经过选送,有55个项目参加审计署组织的2006年AO应用实例评选活动,其中3个实例获得了优秀奖,其它有34个实例获得了应用奖、18个实例获得了鼓励奖。获奖总数在全国审计机关中名列第二,浙江省审计厅也被评为优秀组织单位。
2006年全省各级审计机关在深入应用好AO、OA两大系统和省厅统一推广的计算机审计软件基础上,结合审计工作实际需要进行拓展延伸、创新应用,共开发应用“三小”审计软件33项。此外,全省各级审计机关审计人员在计算机审计工作中,积极总结经验,注重计算机审计专家经验的积累,使计算机审计向深层次运用发展,共形成计算机审计专家经验57条。经报审计署评选后,有23条入选了审计署计算机审计专家经验库,其中2条被评为优秀计算机审计专家经验。
从2003年开始,杭州审计局按照“金审工程”建设目标,与北京用友审计软件公司合作,研究开发财政联网审计系统,并在此基础上,开始对被审计单位业务数据进行有效整合、自由搭建“审计分析模型”、方便审计人员综合分析方面的探索,构建了“审计数据综合分析系统”。该系统已经具有了基于IT技术连续审计(CA)系统的部分功能雏形与特点。在2006年度本级预算执行审计过程中,杭州市审计局利用这一系统在“全部政府性资金总量及结构”、“财政预算执行情况”、“专项资金使用情况”等六方面审计事项尝试进行了电子数据式审计,节约了近2/3的审计人力与审计时间,取得了良好的效果。
以上事实证明,浙江省审计厅及所属各级审计部门的大部分审计人员已经掌握了基本的计算机审计理论知识,具备了一定程度的计算机审计的技能,积累了一定的实际工作经验,虽然没有完全达到全面开展与推广CA的要求,但经过必要的培训是可以胜任此项任务的。
4 基于IT技术的全部政府性资金连续审计(CA)系统总体设计
4.1 系统总体目标
系统总体目标:基于广义电子政务网络平台,建立与相关被审计单位的网络连接,审计部门实时获取相关的电子数据,实现连续实时审计。
总体目标涵盖了系统的应用目标和功能目标,从不同的角度和侧面描述了实施项目所要达到的目的。
4.1.1 总体应用目标
(1)实现审计方法从对业务样本的抽样审计到对全部业务的全面审计转变。
(2)实现审计时间从事后审计向事前风险控制、事中合理合轨性审计转变。
(3)实现审计过程从手工处理向自动化处理转变。
(4)实现审计人员工作重心从纠错和发现舞弊向评价与测试被审计单位的管理与绩效转变,向提供更有力的咨询服务转变。
4.1.2 总体功能目标
(1)审计项目管理:实现审计人员根据特定的审计对象及审计内容定义审计项目,以满足实现不同审计目标的需要。
(2)数据采集:实现通过网络自动实时采集、安全传输被审计单位的电子数据。
(3)异构数据转换:通过清理、转换和对应等数据处理过程,实现被审计单位的异构数据的标准化处理。
(4)自动分析测试:实现按预定程序自动进行被审计单位业务处理数据与预定标准的分析核对,完成所有业务数据的检查与测试,区分正常与异常情况。
(5)例外报告:实现将自动分析测试过程中发现的例外情况数据和疑点数据实时报告,并提供情况分析与说明。
(6)跟踪反馈:实现对发现的所有问题的审计结论、整改建议和实际整改情况的跟踪与反馈。
(7)统计分析:实现对业务数据的多维统计分析,满足审计人员了解被审计单位的资金收支情况、结构比例及变动趋势、评价管理与绩效的需要。
(8)信息查询。
4.2 系统总体结构
4.2.1 总体逻辑结构
系统总体结构主要由应用系统和支撑系统构成。应用系统包括项目管理、数据传输、数据采集、自动分析、例外报告、统计分析、跟踪反馈、系统管理等子系统。支撑系统包括通信网络系统和数据管理系统、文档管理系统等,构成支撑应用系统功能和信息集成的平台。通过政府电子政务网实现与被审计单位的业务财务数据库系统建立连接。系统总体逻辑结构如图2所示。
图2 系统总体逻辑结构图
4.2.2 应用系统结构与流程
应用系统基本流程主要是:首先,由项目管理员根据审计任务的需要定义审计项目基本数据,具体包括项目参数、审计程序、审计标准、审计频率等数据;第二步,通过网络系统在项目规定的业务范围内按要求从被审计单位系统中自动实时采集原始数据,并将异构原始数据通过数据转换为统一标准数据;第三步,自动分析标准化处理后的业务数据与基础数据中的预定审计标准的符合性,发现例外情况产生例外数据并自动反馈与提示,日后还要自动追踪记录特定例外业务的整改情况;最后,审计人员在需要时进行统计分析与数据查询,随时提供审计报告与咨询意见,并根据需要不断修正预定审计标准以提高审计效果。
应用系统各子系统的结构与流程如图3所示。
图3 应用系统结构与流程图
4.2.3