审计研究报告
第16期
审计署审计科研所 2019年5月31日
提高数据审计取证工作质量的建议*
李培培
【摘要】大数据环境下,被审计单位电子数据量激增、数据结构更加多样、数据间关系错综复杂。对跨层级、跨地域、跨系统、跨部门、跨业务的电子数据进行分析,挖掘数据间关系,是审计发现问题线索的重要手段,是审计取证的主要方法。本文对数据[1]审计取证工作中应关注的取证规范性、数据分析结果认定、审计人员思维及专业能力等方面的问题进行了分析,提出了完善电子审计证据等相关规范,加强数据审计取证的过程控制、业务培训及研究等三条提高数据审计取证工作质量的建议。
数据审计取证,是指对多来源、多类型、多领域的财务数据、业务数据,以及互联网数据等开展深入、复杂和综合的关联分析,然后按照相关标准对分析结果进行评价,判断其能否作为某审计事项的证据。数据审计取证主要涉及数据获取、证据形成、证据质量控制等工作。由于数据审计取证工作开展时间不长,经验积累及提炼方面还不够全面、及时,因此应在具体工作中对影响数据审计取证工作质量的问题予以着重关注,并加强思考提高数据审计取证工作质量的建议。
一、数据审计取证工作中应关注的问题
数据审计取证工作对数据本身质量、审计人员专业技术能力、审核及审理人员对电子证据的理解判断能力等提出了更高要求,但由于数据审计取证工作开展时间不长,经验积累及提炼方面还不够全面、及时,因此在具体工作中,应对影响数据审计取证工作质量的取证规范性、数据分析结果的准确性认定、审计人员分析思维及专业能力等问题予以关注。
(一)数据审计取证工作规范性问题。
数据审计取证规范性问题应关注审计人员数据审计取证的行为,如关于数据采集、整理、分析、延伸核实等工作应严格按照相关工作指引及要求执行。按《审计署办公厅关于进一步加强电子数据采集管理的通知》《审计署办公厅关于印发电子数据分析利用实务指引的通知》要求,数据采集时应遵循有用、完整、准确、及时等原则,明确分工、及时报送、避免重复、保障安全、强化督查,并在必要时进行信息系统调查。数据处理时要做好恢复、验证、清洗、整理和加工等工作,并保存好工作轨迹。数据分析时应当根据不同的审计阶段、审计分析目标,选择相应的数据分析技术、方法和工具进行分析,并记录数据分析人员、分析时间、数据来源、数据分析逻辑、法规依据、操作方法、程序脚本、分析结果等。
(二)数据分析结果的认定问题。
《中华人民共和国国家审计准则》第八十七条规定:“审计人员获取的电子审计证据包括与信息系统控制相关的配置参数、反映交易记录的电子数据等。采集被审计单位电子数据作为审计证据的,审计人员应当记录电子数据的采集和处理过程。”该规定对电子审计证据类型,可以认定为审计证据的电子数据采集和处理过程做了说明和要求,但对于电子数据分析结果的认定、作为审计证据的效力等,当前尚无明确规定。从目前审计机关业务实践来看,对数据分析结果的认定一般可细分为直接复核确认和进一步延伸核实予以确认两种情况:
1.对电子数据分析结果直接复核确认。这种情况主要是指采用结构分析、比率分析、趋势分析等对某审计事项进行全面系统的总体分析,分析结果主要反映审计事项的基本情况、特点、运营规律和发展趋势等。分析数据及分析过程需满足以下要求:
——数据来源单位内部控制较好,信息化水平较高,互联网数据应来自官方权威网站等;
——所采数据质量较好,不存在多来源数据打架的问题,数据范围能覆盖审计思路,可以确保每个分析环节之间的衔接,采集人员严格遵守采集程序及规定,数据提供单位对数据的及时性、完整性、真实性有书面承诺;
——分析人员严格遵守相关程序和规定,数据分析思路紧扣审计事项目标,数据分析方法运用恰当,数据分析思路及结果经过了内部复核。
对满足以上要求的数据分析结果,可以直接复核确认或由被审计单位进行核实确认,然后与数据采集、整理与分析的相关信息、分析结果的确认信息等其他相关材料一同作为该审计事项的审计证据。例如,对房地产市场进行总体分析时,在对所用数据质量、数据分析思路进行了复核确认基础上,所得的一些分析结果可以直接作为某宏观整体情况的依据,如房地产企业资产负债率、流动性风险等。又如,对被审计单位提供数据进行的一些统计分析结果,可以直接与被审计单位进行核实确认,然后连同其他相关资料作为被审计单位基本情况取证的审计证据。
2.对电子数据分析结果进行延伸核实予以确认。这种情况主要针对主题分析,是围绕某审计事项,采用多维分析技术、挖掘分析技术等对多来源、多类型的数据开展深入关联分析,分析结果主要作为某类问题的疑点线索,分析数据及分析过程需满足以下要求:
——审计人员严格遵守相关工作程序及规定;
——数据质量较好,数据范围较广,能够比较完整地反映审计数据分析思路;
——数据分析思路紧扣审计事项目标,数据分析方法运用恰当,数据分析思路及结果经过了内部复核;
——数据分析结果对支撑某类问题有一定的说服力,但由于涉及的问题比较重要,需要其他审计证据加以印证;
——数据分析逻辑与审计目标存在较强的关联,但是只能说明存有较大的可能性,不能直接作为审计证据来推断审计目标。
对满足以上要求的数据分析结果,审计人员需要进一步延伸核实,通过实地调查、问询、谈话、外部取证等方式,对数据分析结果进行准确性确认,然后与数据采集、整理与分析的相关信息、分析结果的延伸核实信息等其他相关材料一同作为该审计事项的审计证据。例如,在扶贫审计中,将贫困人口数据与车辆购置数据进行关联,发现有人拥有车辆却在贫困人口名单中,但是该情况并不能直接作为贫困人口名单造假问题的证据,可能存在其他人以该人名义购买车辆的情况,需进一步延伸核实,将确认后的数据分析结果,以及延伸核实信息等其他相关材料一同作为审计证据。
由以上对数据分析结果认定的两种情况可以看出,对于某事项的总体分析,在满足相关条件下,数据分析结果可以直接复核确认,但对于主题分析,数据分析得出的结果只是疑点线索,需要进一步的延伸核实才能确认数据分析结果的准确性。而影响数据分析结果的因素有多方面,包括所采集的源数据质量不高,审计人员在数据清洗过程中存在不当操作,审计人员对政策把握不准、分析思路考虑不全面,数据分析技术运用不恰当,数据分析结果缺少进一步的复核等。因此在电子数据分析取证工作中,需关注数据分析结果的准确性认定问题,需关注影响数据分析结果的全流程因素,提高数据清洗、数据分析能力等,来提高数据分析结果的质量,减少延伸核实的力量投入。
(三)审计人员数据审计思维及专业能力问题。
开展数据审计取证工作时,审计人员面对总体大样本数据,对各行业、各领域的数据进行挖掘分析,既要发现一些违纪违法问题线索,还要关注一些趋势性问题、潜在风险点等。审计人员在进行数据分析过程中,要具有总体思维、关联思维和预测思维。其中总体思维是指审计所采集、分析的数据更多,角度更多,视角更广,是大样本的概念,不是抽样数据,是对多来源、多类型、多领域的大样本数据进行关联分析、相互印证,是从与被审计单位相关的多维数据关联中去发现疑点线索,并用另一些相关数据去验证,形成对被审计单位或审计事项系统、立体的认识。关联思维是指利用大数据技术挖掘事物之间隐蔽的关系,以获得更多的线索或洞察力。传统审计思维受限于审计人员技术水平、计算机数据处理能力、数据采集种类等因素,审计人员往往是运用经验或直觉提出假设,然后用审计证据去证实其中的因果关系。而通过数据挖掘技术对数据进行全方位、多角度的关联分析,发现数据之间的关系,可以不依赖审计人员主观假设,为审计人员的审计思路、审计范围等提供线索和指引,并结合延伸核实等进一步的调查取证作出判断。预测思维指的是数据分析除了发现违纪违法问题线索,还应关注趋势性问题、潜在的风险点等。传统审计取证大多是对历史数据的分析,是查找已发生的违纪违法问题。而数据审计取证工作,所采集的规模庞大、种类繁多、来源多样的大数据,为实现高效的审计预测提供了条件。在这些数据之上,利用大数据技术构建数学分析模型,可以挖掘数据中隐含的规律性特点,开展前瞻性分析,敏锐地感知风险,实现对数据的预测性、趋势性分析,以及风险点、隐患点的预测等。
除了数据分析思维,在专业能力方面,由于电子数据存储于磁盘、移动硬盘等磁性介质中,不是反映在纸面上,具有“不可视性”和易篡改性。对电子数据进行采集、整理、分析和管理等,都涉及较复杂的计算机技术方法,如数据恢复技术、数据加密解密技术、数据挖掘技术等,这要求审计人员具有较高的计算机专业技术水平,既需要对系统本身的内部控制了解,有的还需要精通网络、计算机专业知识,能够渗透到系统的设计、实施和计算机的应用程序中去,能灵活使用各种财会软件与审计软件,并熟练掌握两者的接口技术。而且对于审理人员来说,认定判断电子审计证据也需要一定的专业水平,需要能够理解电子数据基本信息,对数据清洗、分析思路等相关操作能够有所了解。现阶段,虽然审计人员业务素质较强,审计机关也很重视对审计人员计算机技术的培训,但由于审计工作任务繁重,时间紧迫,没有计算机技术基础的审计人员仍较多,在整个审计系统中普及较高计算机技术和专业网络信息技术等仍然是一项具有挑战性的工作。因此,对于数据审计取证工作,应注重对审计人员数据分析思维的训练和专业技术能力的提升。
二、提高数据审计取证工作质量的建议
为提高数据审计取证工作质量,本节提出完善电子审计证据等相关规范的制定、加强数据审计取证过程控制、加强数据审计取证业务培训及研究等三条建议。
(一)完善电子审计证据等相关规范的制定。
目前,刚刚出台的《审计署办公厅关于印发电子数据分析利用实务指引的通知》,明确了数据采集、处理、分析、质量管理等方面要求,为审计人员开展数据审计取证工作提供了规范性指导。但对于电子审计证据的认定问题尚未颁布相关标准,建议积极推进《电子数据审计证据规则》的制定,内容包括但不限于审计工作中电子数据的定义;规范数据采集、存储、处理、传输等行为;规范电子数据分析取证流程;明确电子证据管理要求;明确电子证据证明力标准,即明确规定电子审计证据充分性、适当性的认定标准;明确相关责任及其他需说明的问题等。
(二)加强数据审计取证过程控制。
为提高数据审计取证工作质量,提高数据分析结果认定的准确性,建议对数据采集审核、分析结果复核、跟踪审理试行等加强控制。
一是健全数据采集审核机制。主要包括:数据采集前,紧紧围绕审计目标,明确数据采集范围,既保证采集全所需数据,又防止过度采集;数据采集时,可结合对被审计单位信息系统的安全性、稳定性和可靠性进行调查,初步评估所采数据的质量;数据采集后,建议开发专门的数据验收软件,对所采数据的质量进行审核,评估数据是否达到了审计方案的要求,是否能实现审计目标等,确保所采数据的真实性、完整性和有效性。
二是建立数据分析双复核机制。数据分析过程中,对于同一问题,不同的工作人员,解决问题的思路、方法不一样,而如果分析思路或所选技术方法有误,将可能得出不正确的结果。因此,建议在数据分析团队中设立数据分析思路方法复核小组,该小组由经验丰富的审计业务人员和数据分析技术骨干组成,主要负责数据分析的双复核工作,即在数据分析工作开展之前,听取并判断分析人员的思路、所采用技术方法是否合理可行,对分析的大方向进行把关。得出数据分析结果之后,结合分析思路方法,对数据分析全流程进行复核,以确保分析结果的有效性。
三是试行数据审计取证跟踪审理机制。随着大数据审计的发展,电子审计证据会逐渐发展为主要的审计证据。而无论是源数据、中间处理数据还是数据分析结果等,经过被审计单位复核确认或延伸核实后,与其他相关材料一起作为审计证据并不是最终步骤,还要经过审理部门的再次审查确认。对于审理过程中的异议,数据分析人员应给出充分的论证,有时可能要重现数据整理、分析的过程,而这项工作,尤其是对于比较复杂的问题,工作量较大。因此,通过分析近年来数据审计取证工作的审理情况,得出存有较多异议、重现数据分析流程比较复杂的业务类型,可以对该类审计业务的审理工作试行跟踪审理机制,审理部门选派比较专业的审理人员参与到数据审计取证工作重点流程中,如数据整理、分析,证据材料的准备等,审理人员作为旁审人员对数据审计取证工作进行监督,实现边审计、边审理,随时有异议、随时给解答,审计结束,审理结束。这一工作机制可免去复杂问题的重现过程,对于规范数据审计取证工作也有一定的促进作用。
(三)加强数据审计取证业务培训及研究。
建议通过开展数据审计取证业务培训、案例交流、审计系统内经验共享交流等方式,提高审计人员的电子数据分析取证业务能力。包括提高审计人员的政策理解、把握和宏观分析能力,信息化水平,审计取证责任意识,对电子数据的处理能力,对证据的获取判断分析能力等。
此外,由于数据审计取证工作开展时间不长,无论是经验积累和提炼总结方面,还是相关理论创新方面都有所欠缺,存有较多理论问题需加强研究,以更好地服务于实践。如数据分析先行如何与现场审计较好地结合;电子数据分析取证如何更好发挥审计服务宏观决策的作用;如何提高电子数据分析取证的质量;如何对电子审计证据进行有效的保存和管理;提炼总结电子数据分析取证经验等。
参考文献
[1] 陈伟, 居江宁. 2018. 基于大数据可视化技术的审计线索特征挖掘方法研究[J]. 审计研究(1):16-21.
[2] 程铖, 李睿. 2016. 电子数据审计取证模式研究[J]. 审计研究(5):8-13.
[3] 段成铎,刘磊. 2016. 基于信息化技术的企业审计中的审计取证问题探讨[J]. 经营管理(30):112-113.
[4] 费怡. 2016.7.27. 完善大数据审计模式下审计证据制
度的思考[N].中国审计报.
[5] 黄江海. 2016. 试析大数据审计证据的基本特征[J]. 审计月刊(8):6-8.
[6] 黄珺, 王建辉. 2017. 大数据环境下的审计取证初探[J]. 审计与理财(12):47-49.
[7] 刘星, 牛艳芳, 唐志豪. 2016. 关于推进大数据审计工作的几点思考[J]. 审计研究(9):3-7.
[8] 鲁冰. 2016.电子审计证据证明力评价体系研究---基于层次分析法与模糊综合评价法[J]. 审计与鉴证(2):64-70.
[9] 阳杰, 应里孟. 2017. 大数据时代的审计证据与审计取证研究[J],财会月刊(1):115-124.
[10] 袁平. 2017.大数据审计证据的基本特征分析[J]. 金融经济(16):106-107.
[11] 郑伟, 张立民, 杨莉. 2016.试析大数据环境下的数据式审计模式[J]. 审计研究(7):20-27.
报:署领导。
送:各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),
署机关各单位、各派出审计局、各特派员办事处、各直属单位,中央
纪委国家监委驻审计署纪检监察组,南京审计大学。
发:本所所领导、各处,存档。 共印40份
编辑:杜相乾 审核:刘力云 签发:姜江华
*李培培,审计署审计科研所数据审计研究室副主任,副研究员。
[1]本文所提数据主要指电子数据。
