数据分析对外部审计的影响
2017-03-28编者按
编者按
数据分析对外部审计的影响
编者按
审计实务中运用数据分析技术是当前的一个热点。英格兰及威尔士特许会计师协会(ICAEW)发布了《数据分析对外部审计的影响》研究报告,对如何利用数据分析技术改进审计质量、遇到的技术挑战及前景进行了讨论,以促进注册会计师、监管者、准则制定者等利益相关方深入思考数据分析带来的机遇和挑战。中国注册会计师协会对该研究报告作了摘编,供参阅。该研究报告的版权归ICAEW所有。
一、引言
审计师的数据分析事关审计质量的提升。尽管实务操作中关于数据分析对实务的影响存在不同观点,但审计质量是审计师、监管者和准则制定者共同追求的目标。高质量、重点明确、有效的审计与被审计企业管理数据及运营方式相契合。在大型审计项目中,数据分析为审计师如何管理IT系统的某些重要方面提供了实用方法。上市公司审计激烈的投标竞争使得数据分析更被关注,目前审计委员会通常会询问潜在的继任审计师如何在审计中运用数据分析。
每个对审计感兴趣的人都有机会(或许是难得的机会)来重新思考我们对审计的诉求,以及如何利用数据分析作出改变。本文探讨的是可能性,其目的不仅在于提出根本性问题,探讨数据分析能为行业、监管者、准则制定者、投资者和学术界带来何种可以重新思考和彻底改造审计的机遇,从而实现社会整体利益,还在于提升各方对数据分析这一议题的认知与关注度,把外部审计中使用数据分析的最新进展,向企业、审计师、投资者以及其他相关各方进行反馈。
对审计师来说,数据分析是一门新的学科,要求在硬件、软件、技能和质量控制等方面进行大量投入。在大中型会计师事务所对大型企业审计市场需求作出的响应中,数据分析居于重要地位,不仅是应用于审计中,也可广泛应用于其他鉴证业务中。
数据分析使得审计师能够掌控完整的数据——总体中100%的交易数据,也使得非专业人士可以轻松、快速地实现审计结果可视化。这些都是数据分析的典型特征。
数据分析有助审计师改进风险评估流程、实质性程序和控制测试。它通常包括非常简单的程序,但也包含能够生成高质量预测的复杂模型。运用此类模型的审计师需要了解这些模型,并就何时使用以及如何使用作出重要判断。
二、数据分析的作用及其在改进审计质量方面的应用
(一)数据分析工具
数据分析是通过基础数据结构的字段而非记录的格式来提取数据。简单举例来说,Excel内设工具Power View可以在电子数据表中筛选、排序、切分和突出显示数据,然后以气泡图、条形图、饼状图等形式予以可视化呈现。
可视化效果取决于基础数据的质量,由此所进行的数据分析质量取决于基础数据是否以正确方式来提取、分析并形成关联。
这些工具可以用于风险分析、交易及控制测试以及分析性程序等领域,协助判断并形成见解。例如,可利用第三方估值等外部市场数据对投资进行重新估值。利率、汇率、GDP变化以及其它增长指标都可以被运用到分析程序中。
现在,许多数据分析程序可以在很少甚至没有管理者介入的情况下轻松完成操作。独立完成这些分析是一项非常重要的能力。许多程序都可以进行详细分析和汇总分析。粗线条的程序可用于风险分析,以发现问题,而更详细的分析则可用来锁定重点,提供审计证据和/或见解。
普遍执行的数据分析程序
(1)比较一件物品的最后一次购买价格和出售价格,以分析成本/可变现净值(NRV)。
(2)存货账龄,以及各项存货在库天数。
(3)应收账款和应付账款账龄,以及按客户划分的逾期应收款项随着时间推移的减少。
(4)按产品或地区分类的收入趋势分析。
(5)毛利和销售额分析,找出负毛利的货品。
(6)订单与现金、采购与付款的匹配。
(7)“能做什么及做了什么测试”—用不同用户代码来测试职责划分是否恰当,交易过程中是否存在不恰当的用户组合。
(8)采用近似值(比如,假设处置和购买固定资产均发生在月中)或确切完整的数据,对固定资产折旧按项目重新进行详细计算。
(9)资本性支出与维修和保养的分析。
(10)采购/销售订单、收货/发货记录以及发票的三单匹配。
对于计算会计估计所用方法恰当性的判断,有些程序能够提供审计证据支持。
(二)数据分析如何助力审计质量
开发数据分析工具的目的旨在提升审计质量。审计质量并不在于工具本身——尽管它的实现显然离不开适当的工具,而在于分析的质量和由此形成的判断。其价值并不在于数据转换(无论多么令人印象深刻),而在于从这些分析中引发的讨论和询问中提取的审计证据。例如风险评估可以引入对“日记账平台”的复核,图1是普华永道的示例。
该平台的信息可能被用于年度间及不同企业间的比较。如果自动和手工的对比指标显示手工日记账使用较多,可能表明系统使用低效,流程复杂,或者在某些情况下意味着舞弊风险。与个人用户相关的指标也可能突出显示一些异常的活动,需要进一步调查。
很清楚的是,如果运用得当,数据分析的以下独特属性能大幅提升审计质量:
(1)用图表将结果可视化的能力:目前,数据可视化本身已是一门独立的学科;
(2)审查手段的深度和广度;
(3)非专业人士使用上的便利性;
(4)规模和速度。
对某些人而言,高质量的可视化带来的高水平询问能够产生更高的质量。对另一些人而言,通过加快数据处理的速度和增加处理的数据量使得数据分析更加全面和精准,这一点尤为重要,但是:“审计准则最终会跟上数据分析工具的发展,但此刻,它基于的假设是:重要的是如何在干草垛里找针。数据分析工具缩小了干草垛,未来将是找到针后如何处理。”
图1 普华永道的“Halo for Journals”
图2 普华永道的‘Halo for Journals’
图3 毕马威的日记账流程分析
由于客户和审计师的系统、软件和数据等之间的界面(如数据传出界面)近期得到巨大发展,因此审计师可以比过去更快地驾驭更大规模的外部数据集。这些界面使审计师不仅可以像过去那样作为实质性程序运行这些程序,而且可以在风险评估的早期阶段用于了解流程,并进行内控测试。
与过去相比,现在所做的许多分析并无根本不同,但是更加精细化,同时应用也更加广泛。例如,上述日记账平台揭示的风险可以促使审计师在实质性测试工作中进一步挖掘细节,例如针对大额日记账和非预期用户进行分析,这可以协助审计师作进一步的调查。
图2引发了一个问题:是否有财务部门以外的人进行账务处理?审计师可以运用这个工具深入研究数据,并识别可能需要测试的特定日记账。
图3是“可视化总账”,汇总了一家公司所有汇集到总账的会计分录。有了这样的“可视化总账”,审计师就可以通过客户的财务流程来绘制交易流,并识别预期外的会计分录(红色箭头)。会计分录的数量和金额在每个流程中都有显示,因此审计师能够识别出较高金额和较高风险的交易总体。然后,审计师可以从这一界面深入挖掘下去,分析构成每个总体的个别交易的细节。
(三)企业如何获益
在谈到数据分析给管理层带来的好处时,审计师们谈到了提升审计报告的质量、透明度和精细度,谈到了审计的执行、与管理层的沟通以及相关见解。许多审计师表示,他们与管理层的定期探讨更频繁,沟通变得更容易,审计工作分散在一年当中,而不是集中于年底。
除了以不同形式呈现返回来的数据外,管理层更希望听到更多真知灼见,包括:
(1)对内部控制漏洞的看法:如果存在控制缺陷,随后被纠正,其结果是否达到预期或所希望的情况?阻碍是否被清除?纠正后的控制能产生正确的数据吗?
(2)人工干预的影响、控制失效、流程应用范围、控制应用一致性等的量化分析;
(3)导致异常情况的根本原因;
(4)内部比较基准;
(5)可视化(往往是通过某种平台)。
管理层还寻求“……在年度结束后的六周(而非三个月)内,就管理信息的可靠性做出理性评价”。
三、程序、工具和解决方案:数据分析面临的技术挑战
(一)数据捕获、提取、验证与转化
许多大型会计师事务所在客户系统内部都拥有只读模式的用户账号,配备专属的用户名和密码,供审计师在一定时间内查阅客户的某些报告。在使用标准会计科目表地区,这能非常有效地获取审计所需信息。但是,这与数据的提取或转换还不尽相同。
审计师们有时自主获取数据,但有时也使用管理层提取和验证的数据。审计师对管理层的数据提取和验证流程开展一系列控制测试,然后运用管理层提供的数据开展自主分析。这项工作程序中的日常工作正在逐步转为外包。在审计师做任何事情之前,管理层需要全面检查数据安全性和完整性。
诸如SAP、Oracle和JD Edwards等较大型系统都包含“模块”,企业可据此建立自己的数据库。这导致了上世纪90年代后期大型事务所遇到的基础技术问题——以可用的格式从系统中提取数据。针对每个大客户的每个系统,审计师需要映射所有的编码,以便生成可用界面。对于完全定制的系统,也必须这样做。审计师设计多重策略来确保能与大量系统交互。这也是审计师为客户量身定制服务时必须清除的第一道、也是最重要的一道障碍。一位受访者指出,他的审计客户群涉及450种不同的会计系统,其中60%是SAP和Oracle等少数能够容纳大量核心脚本的系统。
审计机构在映射所有这些各式各样的系统方面的投入,意味着服务方案能量体裁衣和更有效率。匹配包括:描述数据属性,了解如何将其转化为现实,了解项目启动日期、输入日期、批准日期、过账日期(这些日期可能完全不同)之间区别的重要性。了解系统如何运用这些日期并不是一项轻松的任务,但是这种细致程度将把风险分析带到以前不可能达到的深度,也为形成见解提供基础。
专门从事数据提取、标准化和分析的软件供应商能够使用网络链接,从中小型企业广泛使用的专有会计系统中提取信息。这种软件包通常不允许有太多的定制。供应商能够生成适合审计的信息,并进行分析。
数据和交易可以采用多种不同方式来分析,比如,按交易类型、账户或活动代码,或多种不同的数据成分。转换使得数据可用。一个新出现的问题是,为此数据需要作出何种程度的改变(通常是简化)。在做出任何此类改变之前,事务所总是需要认真思考并消耗资源来做出关键决定,这关乎从程序中可能获取的审计证据的质量,以及管理层能否对数据进行转换。“改变”客户数据会令人感到不安,但这有时是不可避免的。例如,有些分类账还在错误地使用多年前早已不再是法定货币的货币(而非欧元)来记录交易额,因而必须更改。
(二) 保密性和安全性
审计师们承认,目前乃至将来,保密性和安全性都是关键问题。他们表示对这类风险高度敏感,但风险必须得到妥善管理,至少要避免安全设计过度可能导致的不协调的行为,避免用户都开始在系统之外工作以完成任务。
所有事务所都已制定数据处理协议,涵盖内容包括:获取何种个人信息、原因、如何处理和存档、何时删除何种信息等,这通常都需要得到管理层的同意。审计团队被鼓励尽可能地减少其获取的个人数据量。但是该领域也存在一定风险,一位受访者这样表述:“B2B一般不是问题,但是对小额贷款企业而言,有时存在真正的风险。”
审计师必须考虑的问题包括:当数据分析涉及个人时,可能创建新的个人数据。但不是所有使用个人数据的程序都一定会创建新数据。银行业审计中的利息重新计算包括从抵押贷款账簿中提取个人数据,但并不产生新数据。
持续带来挑战的领域包括:
(1)储存在云端的数据;
(2)欧盟修订的关于数据处理和保护的指南;
(3)监管障碍,尤其是跨境数据和信息传输(例如,银行审计几乎都在本土进行)。
(三) 数据分析工具及程序的质量
审计师们强调在开发工具和程序时运用的质量保证程序。这些程序常常包括试点和与“常规”审计流程的并行,而且所有事务所都制定有业务旺季软件崩溃时的应急预案。
一位受访者表示,审计师“将大量资源投入了安全存储、国际审计准则合规性、数据治理和安全架构方面,尤其是在金融服务和公共部门领域。”
审计师们同时还在整个审计过程中执行了广泛的质量控制,以确保项目人员使用这些工具的方法得当。
(四)数据保存
如果管理层向审计师提供的大量数据不“属于”该事务所,会产生一些问题。这并非新问题,但数据分析的规模和范围使其受到关注。在大容量数据存储引起的法律和实务问题背景下,与审计质量相关的问题是需要保留用以支持关键思考过程的底稿记录。审计师需要设备容纳万亿字节(TB)的数据,分析来自数百个报告单位的上百万笔交易活动,这种需求往往超出一个标准服务器所能支持的数据量。
关于数据应如何保存才能满足审计准则对工作底稿记录的要求一直存在许多不同的观点,其本质都是关于记录的已测试交易信息是否足已对其进行识别。有人认为,为了符合审计准则而保存大量数据不仅昂贵也无必要。有人则表示,无论如何,分析过的数据都应保存多年,因为他们的数据平台就是这样构建的,并且他们不认为与数据保存相关的风险发生了变化。还有人认为,由于数据分析中使用了大量数据,因此与数据保存相关的风险已发生了变化。
(五)开发数据分析服务
数据分析可能事关审计质量,但审计师需要就数据分析的大量投入提供充分理由。事务所推进数据分析已有一段时间,当前在上市公司中存在一种预期——即在投标时,审计师需要描述他们将如何在审计中运用数据分析。在某些情况下,数据分析服务的质量成为关键因素。客户希望使用审计师的数据分析结果,因为客户自己进行类似分析并不容易。这带来了独立性问题。
1.中型事务所
对于正在考虑进入上市公司审计市场、却没有成型的数据分析服务的中型事务所而言,前期投资是重大问题。考虑到审计收费压力和低回报率,这些事务所可能难以承受短期内的投资负担。不过,一部分中型事务所已经通过下属机构提供非审计数据分析服务和能力建设(适合一系列广泛使用的标准系统)。许多中型事务所和一些大型事务所提供的服务包括:预测性数据分析、数据挖掘、IT咨询,以及帮助管理层在财务部门内建立自己的数据分析。
2 .小型事务所
目前,许多小型会计师事务所对数据分析的了解和经验都很有限,但是一些软件供应商提供能够与定制的审计系统相集成的数据分析服务。软件供应商已经成功地对许多广泛使用的定制会计系统(如Sage、Intuit、Xero、TASBooks、FreeAgent和KashFlow)进行了映射,以便能够接入这些系统。
如,CaseWare Analytics公司的“IDEA数据分析”服务是同时面向内部和外部审计师的大型复杂技术工具,目前被大中型事务所、国家和地方政府用来持续监控交易活动。以此为起点,CaseWare开发了数以百计的系列分析测试工具,通过CaseWare International,集成于其“AdvancedAudit”审计系统。Validis专注于数据传输软件,专门处理数据分析的“困难”部分——数据提取、转换和分析。这些企业强调,客户通过上述服务提高效率、开发新服务,并提升审计质量。
他们还认为,该市场不可能在一夜之间发展起来。在那些意识到数据分析发展的小型事务所中,似乎很多人都很抵触对工作方式进行根本改变的想法。从长远来看,数据分析会提高审计效率和管理层对审计的兴趣,但重新培训和更新设备的初始投入以及收费工时潜在损失等问题,都会构成障碍。回报率、合规性问题、能否及何时实现预期效率等存在的不确定性,都意味着某些小型事务所要多加说服才会走数据分析之路。尽管如此,一些受访者认为,数据分析终将在市场上落地生根并蓬勃发展,大型事务所寻求进入小型审计项目市场,可能有助于加快这一步伐。
3 .开发数据分析技术
有的事务所与第三方结成联盟,有的购入技术,还有一些从零开始或在现有的法务会计或咨询业务平台上进行开发。大多数事务所都做了各种各样的尝试。用户界面的设计要保证接受最低限度培训的审计人员也能操作,但是开发或改编能够应对多种不同会计系统,且可由非专业用户操作的数据分析系统,对专业技术的广度和深度要求较高。
事务所可能需要支付全国或全球许可费,以利用第三方或其软件获取数据。或者,事务所也可以对新客户按照零边际成本提供服务,或采用其他综合方案。由于一些软件变得日益商业化、价格低廉甚至免费,也使情况变得复杂起来。
定制程序可由审计团队和负责制定审计方法的团队委托,变更核心程序时可能相对容易。审计团队和数据鉴证团队之间的数据交换可以优化,每个人都应当清楚何时使用程序,程序能做什么和不能做什么。这种方法可能更适用于运行标准系统的企业,而非定制系统的企业,但当系统均由同一团队开发时,可能更难纠正系统缺陷。
四、正在进行的
(一)更聪明地测试:锐化数据分析的聚焦点
数据分析工具高度敏感,如果操作粗糙可能会导致一些问题。审计师在运用数据分析工具时需要明确他们的目标。由于样本的特征需推断至总体,因此抽样要求设置的(什么对审计是重要的)门榄必须非常低。但如果着眼全局,审计师必须足够精准地确定关注点,从而设置更高的临界值来避免处理“5000个偏差”。相较抽样来说,数据分析在准确界定“未经授权开具发票”或“错误价格”的真实意思时,需要更敏感、智能。
从表面上看,测试50000个项目的总体要比测试60个样本更可取。抽样的目的在于通过测试总体的一小部分对总体形成结论。尽管事务所使用的样本量有时会受到监管者的质疑,但审计师通常通过调整样本量,将样本不能代表整体的风险(抽样风险)降至2%或5%。
测试总体可以消除抽样风险,但也可能引起其它问题。一不小心可能就会产生数百个、有时甚至是数千个所谓“偏差”。根据调查,许多所谓“偏差”事实上根本不是偏差,要么是由于设定的测试不恰当(例如,参数未经恰当校验),要么是因为总体事实上并不同质(例如,事实上是运用不同控制程序的两个总体)。
一些事务所通过将上述“5000个偏差”分层或细分,来决定哪些是真正的偏差(通常只是一小部分),然后跟进其中一部分来解决问题。其他事务所则认为,如果从一开始就能恰当测试,这种情况就不会发生。
审计准则要求所有偏差都得到处理,无论是关于控制测试还是实质性测试。但是审计准则是以抽样为基础的。对偏差进行“抽样”的审计师称,如果从一开始就抽样,他们发现的偏差会极少(或根本没有);如果所有偏差都得到考虑和恰当处理,对每个偏差都跟进就没有必要。他们认为,这种方法符合审计准则的精神,对每一项都进行跟进既无必要,也不现实,因此审计准则需要更新以反映这些发展。
监管者们指出,审计准则从未打算涵盖所有情况,也不能为迎合每一项新的发展就随意改变准则要求。因此,审计师们不仅应该说明他们处理所有偏差的方法,还要能够清晰阐述他们的方法如何满足审计准则的要求。
所有受访者一致认为有必要对审计师进行培训:如果数据分析程序产生了数千个必须跟进的偏差,如果这些偏差并非真正偏差,程序就需要作出改变。但是受访者也指出,虽然他们能够并且确实完善了技术、培训了审计师、调整了程序,以便不再产生那么多所谓“偏差”,但如果做得太过,将程序限制在非常狭窄的范围内,新工具的某些价值可能会丧失,一些反常现象更有可能被忽视。
尚不清楚谁有最终决定权。监管者和准则制定者提醒审计师必须明确数据分析程序的目标。如果数据分析的确是风险分析的一部分,就没有必要对偏差进行跟进。如果数据分析是控制测试或实质性测试,则必须跟进。
审计风险模型及其所基于的抽样假设并不是为了扼杀创新,但是只要它们存在,只要有人解读它们,实务中它们就可能抑制创新。因此,审计师、监管者和准则制定者之间需要在这方面开展更多对话。
(二) 重新审视内部控制测试的原因和方法
近年来,商业、IT和审计方法的发展,意味着高管对财务报告系统的整体控制比过去更加重要。许多审计对此越来越关注,而不是对较为成熟完善的交易控制。
当必须使用抽样时,风险评估、内部控制测试就会讲得通,但数据分析已经以某些方式重调风险评估和内部控制评价的焦距。例如,抽样时总体分层很重要,以处理不同方式运用于不同层的控制;但如果仅测试总体某项单一特征,那么从风险分析的角度看分层就没那么重要。
如果审计师可以看到系统中最终记录的所有交易发生了什么,数据分析显示交易已被恰当计价和记录,为何还要测试处理交易时用到的控制呢?但是,这并非意味着可以完全忽略控制。例如:
(1)取得对生成数据分析所需数据的系统的良好理解非常重要,以便能够设计相关测试;
(2)三单匹配要求清楚了解国际审计准则(ISA)的要求及相关系统;
(3)能从一开始就预防错误发生的前端控制,往往比事后检查性控制更重要;
(4)即使是在数据分析的背景下,也常常需要测试管理层对于完整性的控制。
当考虑控制程序时,将审计师和管理层对于数据的控制进行区分显得尤为重要。不同事务所使用的术语令人混淆,诸如“IT控制”、“管理控制”、“交易流程控制”、“一般控制”等术语会有重叠,而审计准则指的是“控制环境”和“控制程序”。
在数据分析的背景下,区分重要边界的简单分类可能如下:
(1)交易处理控制;
(2)财务报告系统整体控制;
(3)管理层和审计师对数据获取/提取和转化的控制。
审计师也许想测试以上所有类别的管理层控制,但在数据分析背景下,某些IT控制对外部审计的持续相关性,似乎存在一些问题。审计师是否还需要像以前那样测试某些IT控制?
有种观点认为数据分析工具是独立的,因此他们无需测试某些IT控制。由于审计师不仅测试全部数据,更重要的是出于审计目的提取和转化数据时,管理层和审计师内置了数据有效性和完整性的检查,所以有些IT控制是无关紧要的。
从某种层面上看,控制测试是为了弥补审计师无法测试所有交易这一事实。如果审计师可以测试所有交易的话,就会有人认为某些控制测试是多余的。在抽样背景下,从实质性程序得出关于内部控制运行的间接结论并不合理,但当实质性程序覆盖总体且只发现很少甚至零偏差时,准则制定者应当考虑是否能就控制运行的有效性获得某种保证。
另一种观点认为,不管取得何种进步,无论审计师是否打算采用全面实质性程序,所有审计中都有必须了解控制的设计和执行,以恰当地了解企业并进行充分的风险评估。原因在于,了解控制环境的质量对于能否信赖数据的完整性必不可少。
偶尔拿到一套错误数据,如备份数据,并不罕见。通过将关键的合计数与用以编制财务报表的试算平衡表相核对可以发现这种错误,这是标准的常规分析,作为审计师的控制或实质性程序。但是,虽然审计师可以运用数据分析工具测试现金收入,却不能证实这些记录真的代表现金。只有通过了解和测试管理层对现金收款过程的控制才能提供系统数据代表真实交易的审计证据。
还有观点认为,某些特定的控制在某些情形下是相关的。例如,将采购订单、验收单和采购发票进行三单匹配测试中,当三套系统相互对照检查时,它们不太可能是偶然一致。只要对完整性的控制独立进行了测试,其它控制测试可能并无必要,但也不尽然。
(三)鼓励创新以及尊重数据分析的价值
需要就如何将有价值的见解融入外部审计进行更多探讨,即使这不能以我们在当前审计准则下所理解的方式产生审计证据。可能需要对现行的风险分析、控制测试和实质性程序等概念进行检查,确保其实际上仍然有用。
分析整套采购业务数据中不同类型的异常值,是风险分析程序、控制测试的再执行、实质性程序,还是仅仅为管理层提供某些有趣的见解?实务中的答案部分取决于基础数据的质量,以及审计师与客户系统之间的交互,但是简单来说可以是上述任何一种或三种都是。监管者强调,审计师应当完全清楚所执行的程序如何实现各种目标以及审计准则的具体要求,但准则制定者也有问题需要考虑。审计准则没有禁止使用数据分析工具,但也未轻易推动数据分析工具。100%测试和直接审查数据的广泛影响尚未得到很好的解决。
(四)重新审视针对舞弊的审计方法
长期以来,业界一直在争论,要求审计师发现舞弊的成本过高。1998年,审计实务委员会(APB)发布《舞弊与审计:社会的选择》,指出大多数重大舞弊涉及高级管理层——管理层与第三方勾结,法定审计不太可能发现。尽管社会期待审计师发现此类舞弊,其代价却可能非常高。上述分析及矛盾仍在,但数据分析以一种以前所未有的方式开启了新的可能性。
(1)预防和发现舞弊通常是管理层的责任,但是给审计师施加的压力将只可能变得更大——与管理层分享数据分析成果,帮助其履行职责。这引发了一些重要的道德困境,需要审计和道德准则制定者予以考虑。此外,几乎所有受访者都着重指出关于舞弊的国际审计准则第240号和关于分析性程序的国际审计准则第520号都存在问题,并且下列问题需引起准则制定者的重视。
(2)国际审计准则第240号将分析性程序明确定义为评估舞弊风险的方法。受访者指出,这已经过时,尽管还可能用来找出某些基本错误,但对舞弊已不再广泛适用。另一个尚未反映在审计准则中的舞弊风险评估新领域,包括真实舞弊信息的行业共享——有时是通过监管者,有时则是通过大型闭门研讨会。
(3)对于分析性程序,国际审计准则第520号要求设定预期值,精确到足以识别重大错报,这与数据分析允许的非常精细的程序不完全适应。这导致那些程序对于实质性测试目的无效。
(五)加强审计师与监管者的对话
审计准则从未设想过数据分析,审计师和监管者正在合作研究这个问题。这是一个新课题,就此开展积极对话非常重要,以确保所有相关方继续关注审计质量的改善。
需要在一系列领域里开展持续对话,以确保实现有关审计质量的共同目标。可以从不同的视角提出不同的问题,包括:
(1)通过同时提升效率和为客户增加价值,来提高审计质量;
(2)实现审计程序集中化和产业化;
(3)外包的工作种类;
(4)见解作为审计证据的法性;
(5)从基于工作时间的业务模式向基于投资回报的业务模式转变;
(6)基于客户数据的质量计算审计费用。
数据分析还在发展中,在高风险审计中运用较少,主要顾虑如下:
(1)审计师数据分析的结果成为管理层内部控制的一部分;
(2)审计中恰当地运用某些工具或模型,以及在这些工具和模型开发质量控制方面的挑战;
(3)在审计证据方面,从数据分析程序中可以获得多少信任。
初级员工常常不能恰当理解其所能运用的程序的局限性或审计准则中有关审计证据的要求。受访者承认,员工通过程序获取更有趣的见解的热衷,要与提供清晰审计证据的程序相平衡。他们正尽全力来鼓励员工仔细思考定制、开发和测试新程序来满足这些要求。
审计准则和数据分析的相互作用显然有解释空间。制定新的权威资料需要时间,与此同时,审计师还在探寻监管者对该相互作用的立场。反过来,合理的监管定位取决于对事务所实际开展工作的恰当理解。审计师和监管者之间的对话需要开诚布公,并保持耐心。监管者的立场必须能够容纳多种数据分析方法,并满足依赖审计师工作的各方期望。能在这一领域向监管者提供帮助的有经验的前审计师很少——会计师事务所也在竭力留住这些人才。要想在不断变化的环境中建立可接受的边界并非易事。
人们期待并要求监管者提出一些富有挑战性的问题。会计师事务所在数据分析上投入大量心血,监管者不能忽视这一点,必须看事务所正在做些什么工作,听事务所介绍他们的工作。这与假定事务所所做的一切只是为了削减成本或实现利润最大化并不一样。在包含审计准则在内的监管框架中,审计师有合法权益,有权质疑各种边界。审计师也有义务帮助监管者准确了解问题所在。
受访者对这些问题的意见还包括:
(1)“我们与全世界监管者对话,他们充满理解的热忱。目前我们的客户正在进行大量创新,所有人都在奋力跟上变革的步伐。这对我们的客户及其监管者来说是一个商业问题,是一项全球性挑战。大量挑战来源于如何使准则足够迅速地跟上新形势,但这在全球范围内来说困难重重。”
(2)“对总体作测试后仍选取样本进行测试,仅为满足国际审计准则的字面要求,是一种浪费。但有时我们感到别无选择。”
(3)“我们被鼓励创新,但每次我们尝试改变时,都被指责为削减成本,这不公平。提升效率不等同于削减成本。我们当然不是打算去削减整体审计工作量,但是如果这是因为我们确实有所投入并提高了效率,我们不应受到处罚。到处找更多‘事情’给我们做是没有理由的。”
(4)“我们有时不得不退缩,因为我们知道,无论做什么,我们都可能被以怀疑的眼光看待。我们不会因为扩大交易测试量而受到任何赞誉。如果我们感到受到抑制,对引进我们认为有助提升审计质量的新技术感到犹豫,仅仅因为它们所需人工劳动水平较低,那么某个地方肯定出了问题。”
(5)“我们应用数据分析工具是由于必须跟上客户的步伐,也由于数据分析使审计整体质量更高,仅此而已。”
一位受访者指出,市场最终将驱动业务创新。业务驱动审计师的行为,正如市场目前期望的那样,事务所需要将数据分析服务作为主流审计的一部分予以提供。随后监管者将步入,他们需要加快步伐。最终,准则制定者将介入来汇编最佳实践。不同的利益相关方不时脱离平衡状态,并不是谁的错。
审计师希望监管者更多参与,并理解审计师正在做着哪些不同的工作及其原因所在。他们指出,审计程序是达到目的的手段,而并非目的本身。监管者表示,他们现在关注的是数据分析技术的开发方式和质量保证方式,以及程序本身,但事务所不能仅仅因为现行各项要求看上去不像过去那么重要而忽略它们。目前,审计师似乎相当擅长解释数据分析能做什么,但在某些情况下,监管者似乎仍不清楚数据分析如何发挥作用,也不清楚审计师如何运用数据分析来满足审计准则的具体要求。
(六)确定新一代审计师所需的技能
许多数据分析程序都包含了分布分析。对如何解析它们有一些了解已经很重要。例如,分布的尾部常常引起关注,但也要了解:(1)它们代表的情况可能与审计不太相关;(2)真正的偏差,即与审计相关的异常值,可能并不一定会显示在尾部。关于邮件发送或日记账过账时间的分析可能显示部分为凌晨2:00。这或许很有趣,但是在其它因素一致的情况下,仅仅是部分员工失眠这一事实不一定与审计相关。某些企图“隐藏”日记账的人可能会选择在下午2:00过账,以隐瞒舞弊,而不是在午夜引起注意。异常值并不一定在尾部。可以运用统计学来帮助确定尾部是否有重大异常值,或是在其他处。事务所人员和监管者对这一问题的广泛了解非常重要。
事务所开始考虑需要的技能,以及如何确保审计继续作为未来首席财务官的训练场。考试机构需要考虑:将数据分析纳入最新常规课程是否足够,是否需要更广泛地考虑数据分析对学生的影响,要成为一名审计师需要具备哪些条件,审计工作需要哪些不同背景的人员。
对收入进行审计可能事关过去,但确定过去的情况应当是怎样的以及评估舞弊风险,则需要借助预测建模的进步。对模型开发有质量控制,审计团队每个成员都去了解其机理既没必要、也不现实,但是用户仍然需要清晰了解此类模型的局限性、风险的真实含义,仍然需要批判看待模型输出的结果,并且不能假定其一定正确。
目前看来,这些模型及其所应用到的数据库还将进一步开发,以处理减值等问题。人工智能也将被纳入其中。资产和负债的估值基于的模型越来越复杂,意味着审计师的技能也要与时俱进。审计师不仅需要了解会计,还需要了解信息处理流程和数据,并具备建模技能——所有这些都离不开数学和统计学知识。此外,事务所也开始探讨对创造力的需求。了解如何进行可视化开发以及如何进行解读,可能将变得日益重要。
在学员最想获得的素质中,快速学习和做出判断的意愿和能力位居榜首。但是一些事务所很清楚,理解和应用某些新技术中的复杂模型所需的统计及数学技能,长期来看将在判断中发挥越来越重要的作用。目前,事务所招聘的新人需要比以前更通晓计算机知识。
一位受访者认为事务所面临的最大挑战是:“对一般审计师植入更多的数据分析思维”。这可能并非主要是指拥有开发数据分析程序的技术能力,更主要指阐述和解决问题的能力。
直到最近,事务所对审计团队人员的培训是每个人在各方面都有所涉猎。与许多职业一样,从底层一直奋斗到顶层被视作优点。但是,过去30年中,所有行业都呈现出专业化水平的不断提升。培训每个人使其每件事都做得来,即便是在审计这样的单一学科中,长期来看可能都不可持续。
许多大型事务所都有处理诸如银行函证的专业中心,还有一些工作是在英国之外的“卓越中心”开展。如果这一趋势持续下去,这类事务所可能需要更少的实习生,对毕业生的需求也会减少,因为需要做的日常工作会减少。这意味着,受培训的审计师将把更多时间投入到判断领域。也有事务所认为,让英国优秀的毕业生编制询证函或检查存货记录等常规工作是浪费,如果这些工作可由而且往往由专门从事这些检查的行政人员或后台部门完成。
“有证据表明,在英国之外建立控制良好的服务中心,在某些事情上能够比我们这里做得更好。他们的运作水平非常高,安全性更好。他们的主要优势是流程,但我们不会将相关判断也交给他们去做。还有,他们成本更低——不过这并非主要问题。”
(七)展望未来
外部审计师并未发明数据分析,但在管理层掌握要领之前,他们确实向管理层展示过新技术的功用。目前,企业正在向审计师学习数据分析,与此同时,ERP供应商也在开发能够引起企业兴趣的数据分析工具。不出五年,审计师提供的见解可能会减少,因为管理层将会自己做,将其了解或开发的技术纳入管理控制中。但是,作为审计工作的一部分,审计师将对管理层用来形成见解的流程进行评价。2026年的审计可能是由现有方法和新工具揉合而成。
一些受访者认为,数据分析真正改变了游戏规则,是一项颠覆性技术,终将彻底改变审计。还有一些受访者认为,数据分析能帮助事务所把一直能做的工作做得更好、更快、更全面,是对现有服务上能力提升,许多新的程序都可能内化为管理控制。
准则制定正在不断发展演变。现有准则制定模式涉及巩固最佳实践,运作良好,在相对稳定和发展缓慢的审计环境中渐进创新。但是这种环境正在飞速变化,我们不知道、也难以预测五年间最佳实践将会如何。在变迁的环境中制定不易改变的准则,一直困难重重,但数据分析脱颖而出。数据分析可能带来的变革的范围和深度对提升审计质量有重要影响,但审计准则的修改如果不成熟、仓促、狭隘,可能成为创新的潜在阻碍。
准则制定者面临的问题,不仅是如何在审计准则内应对数据分析的挑战(包括确保其在外部审计中的价值得以维系),还包括准则制定本身需要如何演进。数据分析为准则制定者提供了大胆尝试的机会。研究在现有准则内如何应对数据分析问题,不如抓住机会,向世人展示作为审计质量和公共利益的守护者,准则制定者也能开拓创新。
本文由中国注册会计师协会专业标准与技术指导部唐建华、张革摘编
