浅谈信息化条件下的审计质量控制
信息技术的发展深刻地改变了人类的生活方式和生产方式,也给审计工作带来了前所未有的机遇和挑战。刘家义审计长在2009年全国审计工作会议上指出,“中国审计的出路关键在于信息化,信息化的关键在于数字化”,可见,审计信息化和数字化是传统审计迈向现代审计的必由之路。由于电子数据固有的高科技性、无形性和易篡改性等特征,信息化在给审计工作带来便利的同时,也带来了一定潜在的审计风险。因此,对信息化条件下的审计风险和审计质量控制方法进行研究,是很有必要的。
一、信息化条件下审计证据的法律定位及其特点
审计证据是“审计人员获取的能够为审计结论提供合理基础的全部事实”。在信息化条件下,审计人员从被审计单位及有关单位的信息系统中获取的大量电子数据,这些电子数据只要是能够直接或者通过分析后间接支撑审计结论的,都可以成为审计证据,一般称之为电子证据。此外,工商、税务等行政机关在执法过程中也都越来越广泛地使用电子证据。
在我国三大诉讼法中,电子证据并不是证据的种类之一,如行政诉讼法第三十一条规定,证据包括书证、物证、视听资料、证人证言、当事人的陈述、鉴定结论、勘验笔录和现场笔录等七种。但在诉讼程序中电子证据是被认可的,根据《最高人民法院关于行政诉讼证据若干问题的规定》第六十四条,以有形载体固定或者显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经对方当事人确认,或者以公证等其他有效方式予以证明的,与原件具有同等的证明效力。由此可见,无论是在行政机关执法中,还是在诉讼程序中,电子数据可以作为证据使用,其法律地位是明确的。至于电子证据属于七种证据中的哪一种,是否应当单独作为一类,目前在理论上尚无定论。
信息化条件下的审计证据,具有区别于传统纸质证据的显著特点:一是无形性,电子证据存储在计算机系统中,看不见、摸不着;二是高科技性,电子证据依赖于信息技术而存在,专业性较强;三是脆弱性,容易丢失和被篡改,且不留痕迹;四是一定程度的可恢复性,某些情况下,数据被删除或破坏后可通过一定的技术手段进行恢复。只有准确把握电子证据的特点,才能在审计质量控制中有针对性地采取措施,防范审计风险。
二、信息化条件下审计质量控制的基本原则
信息技术是审计人员查清事实、得出审计结论的方法和途径之一,信息化条件下的审计工作程序、审计取证的方法和标准、审计定性和法律法规的适用等与传统审计方式没有任何区别,这是信息化条件下审计质量控制的基本原则。简言之,信息技术在审计中的应用,不能够替代任何原有的工作程序,审计证据应当达到的标准也不能有任何的降低。
首先,信息化条件下审计机关获取审计证据应当符合法定的权限和程序。国家审计准则第八十三条规定“审计人员应当依照法定权限和程序获取审计证据”,延续了原《审计机关审计证据准则》(审计署2号令)中审计证据合法性的要求,在信息化条件下,审计人员获取和使用电子证据自然也不例外。例如,审计人员在被审计单位不知情的情况下,秘密进入被审计单位信息系统并获取电子数据,明显违反了法定的审计程序,所获取的电子数据因为不符合审计证据的合法性要求,是不能作为审计证据使用的。又如,审计人员获取电子证据没有记录其采集和处理过程,不能证明其来源正当且未经过修改的,同样属于非法证据,应当予以排除。
其次,信息化条件下获取的审计证据应当具有适当性和充分性。电子证据必须与审计事项之间具有实质性联系,是真实可靠的,并且达到一定数量,足以支撑审计结论或者与其他证据共同支撑审计结论。一般情况下,审计人员获取的电子证据主要是被审计单位的财务数据和业务数据,通过分析这些数据能够发现问题线索,但该问题是否真实存在,往往需要做进一步的延伸调查才能发现。例如,通过分析银行账户的交易明细发现某账户交易异常,且存在某种违法犯罪行为的特征,但这并不足以得出该账户被用来从事违法犯罪行为的结论,因为资金流动异常的背后,其交易背景或财产关系并不明确,这就需要进一步调查与资金相关的交易行为是否真实合法,并获取其他审计证据,与账户交易明细的电子证据相互印证,才能得出审计结论。
最后,电子证据存在的疑点必须被排除。如果电子证据与纸质证据之间、电子证据与电子证据之间相互矛盾,或者电子证据与审计认定的事实相互矛盾,则必须继续调查,找出存在问题,对疑点做出合理解释,使审计证据之间形成一个完整、闭合的链条,才能做出审计结论。收集证据时切忌只关注对预期的审计结论有利的证据,对相反的或者不利的证据视而不见,或者有意隐瞒。审计人员应当把获取的所有电子证据提交给审计组组长、业务部门和审理机构进行审核,如实告知证据中存在的疑点,经过审核无误后,电子证据才能够作为审计证据使用。在诉讼程序中,司法机关对证据也有类似要求,其目的同样是要排除证据中存在的疑点。
三、信息化条件下的审计质量风险分析
信息化条件下,审计工作的流程一般是从被审计单位及其他有关单位获取原始电子数据,对数据进行转换和清理,通过分析和计算发现问题线索,进行延伸调查,得出审计结论。在这个过程中,存在审计风险的环节主要有:
此处内容需要权限查看
会员免费查看第五,强化复核审理人员的计算机应用能力和服务意识。人的能力建设是提高审计质量的关键,在全面开展信息化审计的起步阶段、复核审理人员的计算机水平普遍不高的情况更是如此。审计机关要针对复核审理人员系统性地开展计算机应用方面的培训,不断提高审计组组长、业务部门负责人、审理机构工作人员发现问题的能力和敏感性。复核审理人员也要积极自学,深入信息化审计工作一线,向电子数据分析人员请教,与他们一道研究数据分析方法和风险防范措施,提高计算机应用水平,充分发挥审核把关作用。
此外,审理复核人员应当不断强化为信息化条件下审计一线服务的意识,防止仅从自身角度出发看待问题的错误倾向,遇到证据不够充分等情况,不能简单地退稿了事,而应当在把好质量关的基础上,积极主动地向审计人员提出有建设性的意见或建议,与审计人员一道分析研究问题,出主意,想办法,共同化解面临的困难,提升审计成果。
第六,合理划分审计组和审理机构的责任。国家审计准则、《审计署审计项目审理工作试行办法》和《审计署审计项目质量责任追究办法(试行)》等规章和规范性文件均已对不同主体的审计项目质量责任进行了界定,但是这些规定都较为笼统,鉴于信息化条件下审计工作的特殊性,有必要对信息化条件下有关人员和机构的责任进行细化,并明确其标准,其中最主要的是合理划分审计组(审计组组长及其授权委托人员)的复核责任和审理机构的审理责任。对此有几种标准可供参考:一是审理机构对信息化审计全过程及其结果的质量负责、包括对所有数字的准确性进行把关,这能够有效发挥审理机构的把关作用,但需要审理人员具有很强的计算机应用能力,甚至需要从一开始就跟踪了解全部电子数据的采集、处理及分析过程,花费大量的时间和精力。二是审理机构仅对审计结果是否符合审计组提交的纸质审计证明材料、审计工作底稿负责,对审计定性的准确性、法规适用的恰当性负责,如果审计人员采集数据不完整、分析过程错误导致审计工作底稿或者纸质审计取证单记载错误的,应当由审计组负责,这有利于强化审计人员的责任心,充分发挥审计组内部的质量把关功能,但对审理机构的职能作用有一定的限制。三是介于上述两种标准之间,审理机构负责审计结果定性的准确性、法规适用的恰当性、描述的事实符合审计工作底稿和纸质的审计取证单等材料;审计组负责电子数据采集、转换和清理的真实性和完整性;审理机构同时对数据分析计算过程和结果进行审核,对电子数据分析错误与审计组共同承担连带责任;在全面开展信息化审计工作的起步阶段,这样的安排既有利于提高工作效率,也能够同时强化审计人员和审理人员的责任意识及工作能力,充分发挥审计组和审理机构的双重把关作用。(周杰峰)