审计抽样风险控制与数据式审计
审计抽样理论作为现代审计重要的理论基础,一直处在审计期望差距与审计质量争议的风口浪尖,推动着审计技术在不同的环境中觅寻完善可能。数据式审计从提出至今,对其概念框架与实施条件都还停留在探索试行阶段。但其优越的理念与技术实现模式对现行审计技术瓶颈突破形成极大的诱惑,引领理论与实务工作者趋之若鹜。
本文主题并不在于提出新理念,而意在通过对审计抽样风险理论剖析,重点分解其中影响审计质量的部分,提出在数据式审计模式下可能的改进设想。 1 审计风险模型的应用理解 《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》,第十七条中对“审计风险”的定义:审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。定义中强调审计风险构成因素的关系,①重大错报的存在性,②重大错报与审计意见的匹配性。就审计工作而言,发现重大错报是其一,对发现的重大错报的反映与处理是其二。那么这两者能否通过审计风险模型得以体现与反映?审计风险因不匹配的审计意见而生,而审计意见能否通过审计风险模型体现? 降低审计风险的重要前提是对重大错报的灵敏嗅觉在整个审计系统中得到相应的预警机制保障,在定性的基础上加以量化控制。审计风险模型使量化审计风险成为可能,同时,也为量化审计工作量设计审计测试程序提供了理论基础,只是这一模型从不同使用者角度理解存在一定的期望差距。 1.1 报表使用者角度 客观存在的审计风险由被审计单位的重大错报风险与事务所检查风险合力所致。这种划分引导报表使用者将审计风险的形成来源分解为被审单位与会计师事务所,一方面是被审计单位自身防御系统出现问题所导致的重大错报可能,另一方面是会计师事务所设计的审计测试程序未能发现重大错报的概率。 因此,审计风险模型在这里是客观存在审计风险要素的诠释,有助于报表使用者客观理解并正确区分其中蕴含的会计责任与审计责任。一旦出现审计失败,追究法律责任时,报表使用者可以厘清诉求对象,就被审单位内部串通舞弊所致的重大错报与审计程序故障导致的重大错报遗漏有一个相对清晰的逻辑分析。 审计风险概念本身从理论上有助于把握审计风险内涵,但从执业角度操作指导性不强,而审计风险模型将审计风险细化分解,并从会计师事务所整体可接受审计风险水平与对应的检查风险来设计审计程序。 这里的审计风险是指会计师事务所可承受的、可接受的审计风险,具体而言,如果定为5%,那么就意味着审计把握度控制在95%,当然,风险越高,把握度越低,审计程序设计得越粗略,容错率越高。在民事诉讼环境相对成熟的市场中,这里的审计风险与相应的法律责任具有相关关系,也就是说,会计师事务所需要权衡,项目投入产出与可能的诉讼风险是否在可接受范围内。 1.3 审计风险模型应用均衡 不同角度理解上的偏差是对审计风险模型的偏误,还是审计风险模型本身缺陷的不可回避性?报表使用者将审计风险模型与审计意见联系起来,但从审计人员角度,风险模型仅在于发现重大错报,而最终能否与审计意见匹配还取决于其他因素,如会计师事务所的管理体制,合约方经营理念,以及相关的法律环境等等。 如图1所示,随着报表错报风险的加大,客观存在的审计风险加大,而从审计人员而言,为了更好地控制审计风险在合理可接受范围内,随着报表错报风险加重,可接受的审计风险越低。假设M点理解为重要性水平,M点右边为重大错报风险,随着客观存在审计风险的加大,发现重大错报的责任加大,要求审计人员通过降低检查风险,使审计风险尽可能地接近可接受水平。否则,超过可接受水平的审计风险滞留在已审报表中,存在潜在的法律风险。 这里的检查风险也是指审计人员可接受的检查风险,ADR=AAR/MMR(ADR指可接受的检查风险),在测定的一定的AR条件下,依据审计人员评估的重大错报风险水平,得到ADR,依据此设计实质性测试程序的深度与广度。 从模型来看,能否将客观存在的审计风险降低至可接受的水平(综合考虑大多数报表使用者的承受能力),是审计成败的决定因素。这里存在一个循环,可接受审计风险水平基于检查风险水平的正确判断,而这种判断又取决于其前置程序——重大错报风险的估测结果。看似环环相扣的程序设计,但实际应用中,由于控制测试结论对实质性程序的指向性不明,加上抽样风险因素,导致出现风险放大的可能,往往控制测试并不能得到有效的执行和应有的重视。除非是直接具体的风险评估点与细节测试应对,否则,风险评估与控制测试往往只是审计准则框架下的“过场”,与细节测试仍是“两张皮”,实务中的常规武器还是埋头查账。 因此,审计抽样风险控制在整个审计测试中非常关键,对于合理估计与应对重大错报,有效控制审计风险至可接受水平不仅存在审计技术衔接问题,而且涉及在应用范围、样本选择及量化控制上如何原则把握,灵活应变的问题。 2 抽样风险控制在审计应用中的局限 抽样推断就是依据抽自总体的样本信息,按照一定的要求来推断总体的相关信息。根据信息所反映的现象本质,可以分为定性的信息,如不合格品率、失控率等,和定量的信息,如重量、金额等。相应地,用于定性信息的抽样称为属性抽样(或计数抽样),而用于定量信息的抽样为变量抽样(或计量抽样)。统计抽样以样本误差来推断总体误差的特性,使其应用之初就与审计效率联系在一起,同时,我们也意识到对于审计质量,只要控制在使用者和审计人员可接受的范围内,就被认可,这是科学认识论在审计技术上的发展进步。 样本规模小、审计人员经验不足、抽样方法不科学等都会造成抽样风险,但这些原因在不同抽样风险中所起的作用是不同的,对后续审计程序的影响程度也有不同。 本文重点讨论影响效果的两类审计抽样风险——信赖过度风险和误受风险。 2.1 抽样风险之一 ——信赖过度风险 2.1.1 控制测试原理分析 基于成本效益原则,控制测试产生之初是为了减少实质性测试范围。其基本原理是通过发现内部控制制度的不足之处,即信息生产过程的薄弱环节,来分配审计资源,做到有重点、有目标地审计,确保审计结论在符合一定可靠性水平的前提下提高审计效率、降低审计成本。 这里存在一个基本假设,投入同等人力、时间,控制测试比实质性测试工作更经济,审计成本更优,如图2所示,控制风险水平评估为A点,实际上要更高为B点,对审计测试而言,A点的审计成本低于B 点,PP′在A点表示控制测试工作量,而在B点表示实质性测试工作量,在审计风险一定的条件下,即A、B点的审计把握程度相同条件下,由于A点的控制风险低,内控控制能力更强,有效内控下产生的重大错报概率更低,有基于此,通过控制测试验证对有效内控的预期,从而减少实质性测试工作量,减少对接近预期值的账户余额进行测试,注重对例外项目进行详细审计获得审计成本优势。 从控制测试的效度来看,最理想的状态就是全面测试,全时段监控,但由于审计技术以及全社会信息化水平的局限,一直以来,都是以点带面的方式,通过全年不同时期样本的执行测试,来推断控制在全年的有效性,这种离散型的抽样,样本代表性尤为重要,一方面属性抽样本身,抽样风险不可避免,另一方面信赖过度风险对于后续变量抽样的影响重大,负面作用会显放大效应,从而加剧审计意见的不恰当性。 由于控制测试一直是以提高效率为应用宗旨的,因此,无论是程序设计还是测试程序选择,都服从于成本效益原则,通常情况下,询问、观察及检查程序都不能奏效时,重新执行程序才会较为深入地考虑,主因是基于后者的执行成本过高。现行控制测试往往从询问与观察开始,对于其中发现的异常情况再选择进行检查与重新执行。对内控调查的询问大多仅停留在统一的问卷设计调查上,效果不显性。 从审计程序本身分析来看,穿行测试,检查与重新执行程序,在信息化环境与审计软件相对成熟的环境下,完全可以实现全部数据与信息的机械化操作,从抽样风险中解脱出来。而询问与观察程序对于异常、例外情况的发现更敏锐,对从业人员的思维及经验要求更高,人工作业技巧高,无法通过大规模批量操作完成,同时,只要样本代表性强,这些程序自身的风险识别功能得以发挥,可以明确清晰地指导与定位风险区域。 因此,实务中往往出现误区,认为控制测试是可选程序,减少控制测试或者干脆不做,就可以控制信赖过度风险,这大有掩耳盗铃之嫌,在数字化时代下的电子商务环境里,即使是实质性测试也存在无法应对的风险,控制测试已不仅仅是效率工具,更多地应承担识别风险职责,如何有效地选择代表性样本,如何利用信息化技术为程序选择与样本定位获得最优值是我们考虑的方向。 2.2 抽样风险之二 ——误受风险 2.2.1 误受风险机理 抽样结果表明账户余额不存在重大错误,而实际上却存在重大错误的可能性为误受风险,此时被审计单位一般不会提出异议,但审计人员却失去了一次核对审计结论的机会,并有可能引发潜在的诉讼而承担法律责任。 我们用图解的方式来理解误受风险机理。如图3所示,假设审计人员接受样本均值A周围的一个区间为总体真实均值(未知)的适当的预测值。进一步假设,事实上总体真实均值为B,B远小于A,这意味着A存在着严重高估。以B为中心的曲线与以A为中心的曲线存在相交的区域,而这相交区域中的一部分即为β风险,即误受风险。这一部分表示,根据从总体中选出的样本估计量,落在错报金额的一定范围内,因此代表了认为某一账户为正确而事实上并不正确的风险。在这一情况下,审计人员面临的主要问题是高估。相反地,也有可能出现低估的情况,总体实际均值落在以A为中心的区间右方。 误受风险产生机理在于样本推断总体结论的偏误,这种抽样误差的形成主要受2个因素影响,①样本代表性,②样本容量。样本代表性强,样本容量可适当减少,而样本容量大,抽样误差才可尽可能减小。有效的分析程序可以提高细节测试样本代表性,而足够容量的细节测试是保证误受风险降低到可接受水平的前提。 2.2.2 分析程序应用局限 审计分析程序,是指审计人员通过分析和比较信息(包括财务信息和非财务信息)之间的关系或计算相关的比率,以确定审计重点、获取审计证据和支持审计结论的一种审计方法。其关键在于分析以及比较,要分析所收集数据之间可能存在的相关关系,而且要保证搜集数据的可靠性,并且剔除其中的不合理因素。然后利用审计人员积累的经验以及收集的合理标准,对照分析被审计单位提供的资料以及信息,从中发现异常的变动、不合常理的趋势或者比率。分析程序在风险信号识别上性能卓越,广泛应用于风险评估与实质性测试程序。 遗憾的是分析程序实际应用中存在缺陷,一方面是资料来源只能局限于被审单位信息系统内的财务数据,另一方面是分析模型大多是建立在已知的数据信息关联关系上。这些对被审单位多年连续盈利操纵束手无策,对于未知关联模型缺乏灵敏度,难以发现有效线索。 借助计算机技术,利用数据式审计模式为分析程序注入新的审计技术能量,同时,对机械化程度高的细节测试部分进行详细审计,为有针对性地控制误受风险提供可操作性方案。 3 数据式审计 数据式审计产生是在企业运营以电子商务为主、ERP系统为支撑的数字化模式演进中不断发展的,尤其是CRM及SCM与ERP的高度融合,ERPⅡ开始取代ERP,成为新型数字化企业的主流模式。对企业内外部会计环境产生重大影响。 信息化下企业存储的主要数据是以记账凭证为主的会计数据和不能以货币计量的非会计数据所构成的“数据源”。信息源头主要是无纸化交易下的各类凭证库文件,会计数据均以“比特”方式保存在磁性介质上,数据虚拟度高,这也极大地扩充了会计数据的范围,一些非货币计量的数据(音频、视频、图表等),逐步成为企业经营活动和决策时必需的“会计数据”。这些数据和原有的会计数据共同构成了企业的基础数据库。基础数据重新成为审计的重点。 数据式审计的提法已有数年,但对于其具体的界定仍然存在争议。石爱中(2005)对数据式审计倾向于使用数据式系统基础审计,将其定义为: 以系统内部控制测评为基础, 通过对电子数据的收集、转换、整理、分析和验证, 来实现审计目标的审计方式。管亚梅(2007)数据式审计也称为信息系统审计( IS审计)。国际信息系统领域的权威专家Ron Weber将其定义为: 收集并评价证据, 以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源。 我们将近年来的相关论点总结为数据式审计是以被审计单位底层数据库原始数据为切入点,在对信息系统内部控制测评的基础上,通过对底层数据的采集、转换、整理、分析和验证,形成审计中间表,并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析,发现趋势异常和错误,把握总体、突出重点、精确延伸,从而收集审计证据,实现审计目标的审计方式。 4 数据式审计对审计抽样风险控制的影响 数据式审计以其先进的信息技术平台,灵便的理念支撑,为审计抽样风险控制带来了新希望,就提高抽样样本及扩充样本容量方面,具有难以抗拒的优势。 4.1 控制信赖过度风险,设计连续审计方案 降低信赖过度风险最有效的方法,就是提高抽样样本的代表性,关键在于正确定位系统控制风险点,改进“盲人摸象”式的控制测试。 4.1.1 还原控制测试程序的风险定位功能 目前,重大错报风险评估来自于风险评估程序和控制测试,两者测试目的都是为实质性程序提供依据。从审计执业角度而言,信赖过度风险无疑是审计质量的劲敌,我们难以探测被审单位串通舞弊的可能,但强化审计程序设计与风险识别能力是击败被审计单位的机会主义心理的有力武器。因此,加强职业谨慎,在测试程序的设计上下功夫,是控制测试程序自身保有可能的前提。 样本代表性主要取决于抽样方法,样本容量等因素。实质性测试中应用统计抽样,样本代表性取决于总体中对于重大错报可能的定位与筛选,如果风险评估程序可以直接定位,那么样本选择代表性具有唯一性,如果审计程序需要经过层层测试,间接到达细节测试,此时样本代表性取决于前置程序的科学性。如前所述,提高控制测试的效度,减少信赖过度风险,是降低误受风险的重要前提。因此,利用高度信息化集成手段,还原控制测试本身局部风险定位功能,结合整体风险评估程序的结果,有效锁定实质性测试范围,可以提高样本代表性,相对减少抽样风险。 连续审计对于控制测试有效样本选取十分有利,由高度自动化的程序来完成全时段、全过程的重新执行与检查程序,通过数据的孤立点分析,导出内控可能存在漏洞的异常报告,然后,再相应地展开询问与观察程序,此时,属性抽样样本代表性提高,抽样风险大大降低,而询问与观察程序已不再仅仅是测试控制有效性,而更多地赋予风险识别功能,审计从业者可以从大量的机械检查工作中脱离出来,对询问与观察程序的设计与适用进行更具可行、效度更高的运用研究。 从原理上来讲,连续审计(CA),在信息系统高度自动化,会计数据结构可自动、安全高效转换的环境下,是指在信息系统中安装具有记录功能的程序模块,持续监控,按照审计人员事先设定的抽样条件参数,对符合条件的数据自动采样,并记录或标记于审计文件中,进行有选择性地、全时段系统监控,目前,连续审计技术实现方案有嵌入测试法(Embedded Test Facility Approach)和数字代理(Digital Agent)模式,各模式都有其适用范围,也存在一定的应用不足,但其自动化的数据建模与分析功能大大减少了人工测试工作,使得审计人员集中于连续审计系统鉴定与风险点识别。 4.2 控制误受风险,利用OLAP与数据挖掘技术,提高样本代表性 从审计抽样机理来看,审计抽样风险产生源于样本的代表性差,从理论上讲提高样本的代表性是缩小抽样误差的最佳途径。实际上,总体特征通过审计抽样了解和估计,既使完成对样本的测试后,也无法确切地知道样本是否具有代表性。提高细节测试样本代表性必须从样本选择的起点进行有效设计,重点考虑以下2点。 4.2.1 强化分析程序中的数据挖掘功能 数据挖掘无疑可有效弥补现行分析程序的缺陷,这一技术发现知识是隐含的、事先未知的、潜在的有用的信息,其建立在强大网络资源与高度信息化基础上,可以更有效地发挥分析程序能量,提高异常信号识别的灵敏度,有效定位风险点,从而提高样本代表性。 4.2.1.1 数据挖掘技术 数据挖掘就能从大型数据库的相关数据集合中抽取出来有价值的知识、规则或高层的信息,并从不同的角度显示,从而使大型数据库作为一个丰富而可靠的资源为知识归纳服务。按功能分主要有以下几种:关联规则;分类规则;聚类规则;异类分析;趋势分析。其中关联规则挖掘是关联知识发现的最常用方法。 关联知识(Association)反映一个事件和其他事件之间的依赖或关联。数据库中的数据关联是现实世界中事物联系的表现。数据库作为一种结构化的数据组织形式,利用其依附的数据模型可能刻画了数据间的关联(如关系数据库的主键和外键)。但是,数据之间的关联是复杂的,不仅是上面所说的依附在数据模型中的关联,大部分是蕴藏的。关联知识挖掘的目的就是找出数据库中隐藏的关联信息。关联可分为简单关联、时序(Time Series)关联、因果关联、数量关联等。这些关联并不总是事先知道的,而是通过数据库中数据的关联分析获得的,因而对商业决策具有新价值。 聚类分析是数据挖掘的目标之一。通过聚类技术可以对源数据库中的记录划分为一系列有意义的子集,进而实现对数据的分析。聚类和分类技术不同,前者在特定的类标识下寻求新元素属于哪个类,而后者则是通过对数据的分析比较生成新的类标识。 演变分析是指由历史的和当前的数据产生的并能推测未来数据趋势。统计学中的回归方法等可以通过历史数据直接产生对未来数据预测的连续值。 ,因而这些预测型知识已经蕴藏在诸如趋势曲线等输出形式中。 数据挖掘技术与分析程序具有相似的风险信号识别功能,在数据审计模式下,数据挖掘可充分发挥并延伸分析程序功能,增强审计程序的不可预见性。 由于不同行业,不同背景,不同组织模式与经营特色的企业,都有着自身发展的路径与特征,数据挖掘技术作为一种深层次的数据分析技术,不仅能对被审计单位的历史数据进行查询,而且能够找出大量历史数据之间的潜在联系和规律。对审计数据进行孤立点的发现、关联规则的提取、神经网络的应用,以及构建决策树来提取数据间隐含的知识。可以很好地弥补分析程序的不足,可以运用到审计预警中,建立审计分析模型,帮助审计人员确定审计重点、发现审计线索,从而降低审计风险。 4.2.2 利用OLAP,延伸细节测试的外部取证 4.2.2.1 跨行业数据仓库建立,实现对账平台开放 函证、监盘程序历经审计模式变化,始终是账实相符核查中不可取代的部分,也是众多造假案例频频出镜的高风险领域,一直是审计测试中水火交融的战场,从账面到实物的抽样,以抽样分层等技术简化处理样本选择,同时,缺乏抽样执行过程中的有效监控,都是目前该部分取证的致命缺陷。而局限于被审单位信息系统内部的核对,由于程序外延性不足,证据断点重重,往往使审计失策于中间环节。例如,函证依赖于函询单位的回函,而函询单位的核对过程并未验证,也缺乏系统核对信息证据,被函询方决定了函证程序的成败,而大量的函证替代程序又回到了被审单位信息系统内部取证,陷入死胡同。 因此,必须突破单位内部信息系统,在整个社会供产销环节构建共享统一的信息系统平台完成对账,实现相关账务来往信息的全面机械核对,结合核对结果,最终确定资产检查的样本选择,实现账实相符的大平台审计。这需要强大的信息技术网络以及完善的数据仓库后台支持。 联机分析处理技术(On-Line Analytical Processing,简称OLAP),目前对于海量数据处理所采取的主要方法,是针对决策问题的联机数据访问和分析,最基本、最核心的特征就是从多个角度分析数据,也称为多维分析。OLAP一般以数据仓库作为基础,即从数据仓库中抽取详细数据的一个子集并经过必要的聚集存储到OLAP 存储器中供前端分析工具读取。 数据式审计中业务流程中,最主要的环节是对基础数据库中各种类型的数据进行分析,从中找出疑点,从而确定审计的重点,联机分析处理技术为数据分析提供了强有力的审计分析工具,为同行业、跨行业的数据仓库与对账平台建立提供了技术支撑,同时,审计系统与社会对账系统之间的数据沟通问题,随着 XBRL 的出现而有望解决。目前 XBRL 国际组织已经发布了 XBRL 财务报表分类标准(XBRL for Financial Statement)和XBRL 分类账标准(XBRL for General Ledger),预期未来将发展以 XBRL 为基础的财务信息供应链。未来 XBRL 分类标准的应用主要有:管理报表分类标准(XBRL for Financial Statement),报税单分类标准(XBRL for Tax Returns),认证报告分类标准(XBRL for Assurance Services (Audit) Schedules)、认证服务工作底稿分类标准(XBRL for Assurance Services Working Papers),会计法规分类标准(XBRL for Authoritative Literature),经营报告分类标准(XBRL for Business Reporting)等。 4.2.2.2 实现机械化程序的详细审计,有效控制抽样样本容量 按照概率统计的一般原理,样本测试规模过小,有可能会产生更大的样本估计风险;反过来样本测试规模较大,由此会在一定程度上提高估计精度,相应地也就能降低样本推断风险。但测试样本也不可能无限增大,否则就达不到抽样审计的目的。 审计抽样的应用本意是为了提高效率,同时,也是无法实现详细审计的一种妥协。数据式审计的最大特点就是对电子数据的直接利用,在进行数据采集时,深入被审计单位计算机信息系统的底层数据库,获取更多、更广泛的内部数据,通过对这些数据的分析处理,并结合从相关单位和部门采集的外部数据的关联分析,得到大量的多种类型的有用信息。可以实现对机械性程度高的细节测试,如重新计算、文件检查等进行详细审计,从而获取孤立点分析,利用数据挖掘关联规则对关联度强,异动频率高的部分,重点进行账实相符核查程序设计,可以有效降低误受风险,减少审计技术自身不确定性。 5 结 语 现代审计在自身完善的重重困惑中上下求索,也在不同时代的技术更迭中寻找新的发展优势,云计算平台、信息技术都为审计应用瓶颈提供了可突破的模式,我们希望审计抽样风险控制在数据式审计设计下不再是条条框框而束之高阁,而是实实在在进入审计实务中的灵活应用工具,为提高审计效率、审计产品质量开辟新天地。 数据式审计融合数据挖掘技术与联机分析技术在社会循环体系中大有应用推广之势,无论是审计逻辑起点还是程序设计顺序都与现行审计体系存在很大的差异,同时,专家系统工程与法律制度完善也是无法回避的问题,我们必须研究与思考这一审计模式所带来的系统性影响。 主要参考文献 [2]管亚梅.我国推进数据式审计的发展策略思考[J].经济纵横,2007(8). [3]桑果.数据式审计的分析模型探析[J].南京审计学院学报,2008(5). [4]黄昌勇,阳杰.论连续审计的概念框架[J].南京财经大学学报,2007(4). [5]辜飞南,李若山,徐林倩丽. 现代中国审计学[M].北京: 中国时代经济出版社,2002. [6]陈伟. 联网审计——技术方法与绩效评价[M].北京: 清华大学出版社,2011. [7]Roger S Debreceny , Glen L Gray.Data Mining Journal Entries for Fraud Detection: An Exploratory Study[J].International Journal of Accounting Information Systems,2010(11):157–181. [8]David Y Chan , Miklos A Vasarhelyi.Innovation and Practice of Continuous Auditing[J].International Journal of Accounting Information Systems,2011(12):152-160.