□文/谢卓力
(广东财经大学 广东·广州)
[提要] 数字化转型时代,应用非现场审计的场景越来越多。在归纳非现场审计应用研究和实施情况基础上,以存在的问题为主线,提出构建非现场审计数字安全体系的几点思考。
随着经济环境的高速变化、信息技术的快速发展以及数据应用的不断创新,审计业务进入了数字化转型时代,不少单位运用非现场审计方式完成了审计工作。非现场审计涉及大量数据和各种数字化技术,比如审计机关在开展高校主要领导人任期经济责任审计的过程中,需要采集预算执行、财务收支、工程建设、财经法纪执行、重大制度落实情况和内部控制等详细内容及数据;比如运用多种网络通信和信息化工具,包括电话、电子邮件、数据交换平台、聊天工具和联网审计软件等。如何保障审计数字安全,如何构筑信息安全防护网是值得思考的问题。
一、基本概念
(一)非现场审计。非现场审计(又作远程审计)是指审计人员不在被审计单位现场,利用获取的审计对象相关信息、数据和资料,运用大数据审计和综合分析等方法,以及适当的流程实施审计的工作方式。
(二)审计数字安全。审计数据安全性指通过采取必要措施保障归集数据得到有效保护和合法利用。《全球数据安全倡议》指出数据是数字技术的关键要素。据此,笔者认为,审计数字安全可分为数据安全和数字技术安全。
二、非现场审计发展现状
(一)非现场审计文献回顾
1、非现场审计的价值优势明显。王向阳探索了大数据非现场审计模式的建立和应用,认为非现场审计效率高且规范性强。孙玥璠认为非现场审计形式扩大了内部审计范围,提升数据采集效率、效果及审计结果可信度。
2、非现场审计的技术演变明确。审计业务模式在过去从传统信息技术向网络化不断发展,演变路径为现场作业审计——联网审计——数字化审计平台——云审计。相关软件开发公司如用友,利用其开发的CPAS审计信息系统,为远程审计提供审计解决方案,满足现场调研、异地办公及数字化协同审计的需求。
3、非现场审计有其风险和存在的问题。刘星认为大数据审计存在数据采集、数据存储、数据处理和数据分析等风险。孙博文指出,远程审计仅能实现审计工作的部分环节,如果不能将局部功能有机结合起来,一体化的审计系统功能就无法得到有效发挥。
(二)非现场审计实施情况。2020年5月,秦荣生提出“在上市公司中实施远程联网审计”的对策,同年9月财政部在该提案的回复中表示,财政部非常重视远程联网审计理论研究和方法应用,与时俱进加强对包括信息系统审计或与远程联网审计有关的审计理论、准则、技术的研究与指导。
除了社会审计机构对非现场审计工作有新的要求外,国家审计机关也在积极探索非现场审计。2020年4月北京市审计局印发《北京市审计局非现场审计管理办法(试行)》,该办法明确了审计机关关于非现场审计的定义和种类划分。非现场审计应当有效运用大数据审计方法,强化对数据采集、数据集中分析场所和人员,以及数据授权的全流程管理。
(三)非现场审计存在的问题。(1)缺乏非现场审计的顶层依据。除了《北京市审计局非现场审计管理办法(试行)》外,笔者未发现其他有关非现场审计的制度和审计准则。非现场审计与传统审计场景有所不同,需要再造审计的程序和流程,缺乏相关制度和准则的约束,容易产生数字风险。(2)信息化水平尚需提高。被审计单位的信息化水平普遍不高,信息系统内部控制的安全性和有效性难以满足非现场审计的基础条件。审计部门整体信息化水平也有限,无法实施大规模非现场审计,导致非现场审计发展缓慢。(3)审计人员审计思维未转变。当前非现场审计的诸多理念具有前瞻性,比传统审计更加注重全局性和安全性。要积极拥抱创新的心态,加大对非现场审计工作方式深入了解和认知。(4)审计数据缺乏安全保护。非现场审计的基础是海量大数据,审计数字安全性应摆在第一位。一是数据收集、存储、处理、分析及结论形成的全流程都需要有效保护;二是数据在整个审计工作的生命周期中需要合法利用的,不得泄露、篡改及泄密。(5)缺乏信息化审计人才。数据化转型过程中,每个审计项目均有大量的数据采集、处理和分析工作,但是一般情况下,审计部门中专职的计算机人才较少甚至没有,而普通审计人员无法经过简单培训就有能力应付复杂的信息化技术工作。
三、非现场审计数字安全体系构建思考
当前非现场审计处于起步阶段,可能存在因管控措施不当导致审计风险提升的情形,特别是审计的数字风险。应进一步加强审计数字安全体系建设研究,审慎推进非现场审计实施。以下是笔者对构建该体系的几点思考:
(一)加快建设非现场审计制度。加快配套非现场审计制度建设,完善与非现场审计相适应的审计制度、工作准则和质量控制建设。要立足审计的实际,将近年来在非现场审计方面积累的工作经验上升提炼为制度。特别要坚持问题导向,以数字化转型为契机,充分考虑制度的可操作性,加快制度建设,力求用顶层设计指导工作实践。
强化顶层设计,需要防范非现场审计工作的风险。鉴于该审计工作方式对电子数据、网络通信、信息化软硬件存在较大程度的依赖,因此在实施非现场审计工作时应特别关注其固有风险。在制度设计之初就必须要考虑到包括数据传输和存储的安全性、数据自身的真实性和完整性、信息化工具软件的可靠性、审计程序和审计证据获取的合规性和有效性等要求。
(二)加强数字安全的认知意识。数字化转型是对组织全方位的升级改造,它深入到组织的各项业务,是一个系统性的工程。在此过程中,数字风险广泛存在于组织的方方面面。数字化的复杂程度决定了应对风险的难度,涉及到多个领域的知识和技能。规避数字风险是重要的,但不能只盯着风险,还要考虑数字技术的发展。未来的数字风险需要管控,统筹发展和安全。数字风险并不可怕,关键是要增强数字安全意识。只要做好数字风险控制的有效措施,加大控制数字风险问题的研究力度,加快风险控制标准和制度建设,加强数字安全意识,就能识别它、避让它、管控它。
(三)注重利用技术保障数字安全。保障非现场审计数字安全,要关注新技术应用如大数据、云计算、区块链、虚拟现实技术及各种数据防护技术等。利用大数据技术,加强异常数据的监控,保障数据的完整性、可用性和保密性,达到审计事前和事中的风险管理;利用云计算技术,突破单台计算机的计算能力,无论审计人员身处何地、使用何种设备,都能获得审计数据,有效提高处理效率和控制风险;利用区块链技术,运用其去中心化、可追溯、不可伪造的特性,确保审计数据安全可靠,不被人为操控干预,防止审计信息欺诈、审计关键数据调包;利用虚拟现实技术,运用人脸识别技术,可以开展远程实景访谈、实物盘点等业务,非现场审计也能做到亲临其境;利用各种数据防护技术,加强传输联络、采集介质的加密使用,保障存储设备和节点的安全,提高数据访问权限和数据应用安全等级,保障审计数据在采集、存储、管理、应用等各个环节的安全性。
(四)跨部门合作与组织管理。非现场审计中涉及的各个部门要互相配合,搭好数字安全网络,营造无障碍的沟通和工作环境。在组织内,内部审计要与组织内部的其他职能部门密切合作,整合审计资源,形成对风险的统一认识以及风险联动的工作机制。以学校内审部门为例,要联合学校的网络信息、财会、资产管理等部门,了解组织内部及被审计单位信息系统数字安全的情况,及时排除风险隐患。同时,要结合内部控制制度,促进相关职能部门积极参与审计工作,联合组成审计组,增强非现场审计中的信息技术力量。在组织外,高校、企业、科研机构要加强合作,积极建立产学研联动机制,为非现场审计人员的理论与实践有效融合提供平台。通过不断提升在相关领域的跨部门合作和组织管理,为数字化转型和发展的决策者提供富有价值的信息和建议,帮助组织内外应对数字风险。
(五)吸纳和培养复合型审计人才。非现场审计数字安全体系是一个复杂的系统,从顶层设计到审计工作实施,都离不开人的努力,人才是关键因素。非现场审计人员不仅要掌握审计专业知识,还要了解数字风险和计算机技术,才能适应数据化转型中审计工作的需要。如果管理人员和审计人员缺乏数字化基因,对数字安全认识不深刻、不具体,那么整个数字安全体系就大打折扣。
审计部门应该从四个方面优化员工队伍结构,建立专业的非现场审计技术队伍:一是优先吸纳具有审计和计算机专业知识的复合型人才,加强非现场审计队伍的技术水平;二是运用多种培养渠道加强培训,加大审计人员计算机专业应用、网络安全的培训力度,鼓励审计人员换岗锻炼;三是不断提高非现场审计在日常工作中的比重,多运用数字化技术,秉持在工作中学习、在学习中工作的理念,加速数字化审计能力的培养。
(六)构建非现场审计数字安全体系。审计部门使用审计软件进行审计,仅仅是非现场审计的一个缩写。构建非现场审计数字安全体系,应立足整体对所有审计资源进行整合,通过现代化信息技术,将审计各要素包含顶层设计、理念认识、多种技术、多个部门、专业化审计人员编织成一张网络,向这张网络的各个部分注入数字安全因子。在这张网络中,组织的协同和被审计单位的信息化基础条件都是审计数字安全的一部分,也应当成为数字风险管理中的重要内容。
四、结语
数字化转型时代,非现场审计还需继续发挥重要作用。下一步,应加强非现场审计的系统研究,在实践和理论研究方面下功夫,加强信息化建设、推动有关部门出台相关制度,着力构建非现场审计数字安全体系,夯实审计数字安全的基础,坚守审计质量和效率相结合,最终推进非现场审计的可持续发展。
