会计流程内嵌审计流程的基本思路探讨
审计和会计的发展关系密切,会计系统的每次重大变革伴随的都是审计模式的随之调整。在IT环境下,会计信息的供求矛盾,使得会计流程要结合其所处的信息生态环境进行再造。会计流程再造首先应该保证会计信息的可靠性,就必须实施对会计流程的有效控制。同时,为了进一步保障会计流程持续有效和高效,需要对其实施持续监控,进行持续控制评估和持续风险评估,也即进行持续审计。持续审计只有实现与业务系统的无缝链接和信息流程的融合,才能充分发挥它的作用。所以,我们有必要研究如何将审计流程嵌入会计流程,实现两者的共生和良性互动。
一、持续审计对持续监控的利用
对会计流程实施持续监控,审计人员可以利用管理层实施的持续监控系统,也可以通过在会计流程中内嵌审计模块(EAM)来实现。这两种监控方式的运作模式基本相同,都是通过对系统及其会计系统和业务流程的控制设置和业务数据进行分析,识别控制缺陷和异常交易,并通过邮件或手机短信的方式向审计人员、企业内部相关责任人发送预警,以期他们采取进一步的行动。
从内部审计的角度来看,EAM和持续监控在功能上存在交叉,这是由内部审计部门在内部控制监控中的作用决定的。因为内部审计部门既可以是管理层内部控制监控系统实施中的主要参与者,也可以是内部控制监控职能的执行者。国际内部审计师协会(IIA)在第3号全球技术审计指南《持续审计》中,详细地阐述了持续审计与持续监控之间的依存关系,提出在持续审计中,充分利用持续监控,能够同时满足对控制程序的有效性和用于决策的信息的可靠性和相关性确认的需要。
不过,根据COSO《内部控制系统监控指南》的观点,当前很多企业没有很好地利用持续监控程序,或者总体上缺乏必要的监控程序,这就给依赖持续监控而运行的持续审计实施带来障碍。在这种情况下,内部审计部门可能会主动帮助管理层建立持续监控程序,虽然他们并不拥有该程序的所有权。持续审计是一种在较高频率上进行审计的方式,实现审计程序自动化是开展持续审计的必要条件。内部审计部门无论是为了满足审计的需要来开发EAM,还是为了帮助管理层实施持续监控系统,都应该考虑将更多的现有审计程序整合进EAM或者持续监控系统,也即如何将现有审计程序实现自动化,进而实现审计流程对会计流程的嵌入。
二、审计流程嵌入的基本思路
审计是一种充斥着职业判断的工作,由于计算机对审计程序执行刚性与人工处理柔性之间的差异,使得在将审计流程转换成计算机可执行程序时,必须对现有审计流程进行重构。审计流程重构主要是将当前针对会计流程的手工审计程序和审计判断的可规范部分与不可规范部分相分离,目的在于减少对非正式审计判断技术的依赖,以使审计程序尽可能实现自动化。
(一)规范审计程序
要实现审计程序自动化,首先必须对现有的手工审计程序进行规范化。规范化就是通过建立一种统一的审计方式,减少不同审计人员对于具体审计程序理解和运用上的差异,借以提升审计程序执行上的准确性和一致性。
根据自动化的实现可能性与程度,手工审计程序可分为可直接实现自动化、不可能实现自动化和具备实现自动化潜力三类。一般来说,那些用于完成常规的、重复性的结构化工作的审计程序都可以实现自动化。对于那些既不能分离出可自动化部分,也不能利用计算机来实现对审计职业判断的模拟,或者必须由人工来完成的部分,是不能实现自动化的。某些审计程序虽然需要运用审计人员的职业判断,但这种职业判断具有一定的逻辑性,可以通过计算机实现模拟,这类审计程序可以通过进行重构实现规范化,进而使之具备实现自动化的潜力。
对审计程序进行规范就是针对具备自动化潜力的审计程序部分。这种规范化并非消除审计职业判断的空间,而是通过考虑审计人员在不同审计环境下执行审计程序的各种可能情形,将这些情形内化于计算机审计程序中,用一种统一的方式来执行,而不能由审计人员根据自身偏好进行选择。对于那些需要审计人员进行逻辑推理和形式思维才能完成的工作,可能需要借鉴构建审计专家系统时采用的方法,如知识工程学。由于规范化的最终目的是将人工审计程序转换为计算机可执行的程序,所以,在软件设计人员所进行的审计程序设计中,需要有经验丰富的审计人员的参与。
(二)利用基线来实现审计程序自动化
某些审计程序想要实现规范化,不是在技术上不可行,就是成本太高,此时可以考虑采用对基线的监控来实现审计程序的自动化。如果规范化的审计程序是自动化“审计面”,那么通过基线所进行的监控则是自动化“审计点”。基线是对某个时点系统和业务流程设置的一个参照,它是作为后续审计过程中的参照标准。在系统运行过程中,通过将后续时点与基线进行比较,识别偏离基线的情况,借以实现审计自动化。这种方式的优势在于容易实施、成本较低。不足之处在于其审计覆盖面狭窄,且仅仅对那些限制性的控制设置起作用。在进行基线设置的时候,可以采用前次全面审计的结果,也可以通过对内部控制系统进行重新评估来获取。企业经营环境的变化,要求基线也随之调整,这就需要大量的手工工作来验证基线的有效性。所以,在基线设置中还需要在风险和成本之间进行权衡。一般来说,参数值越固定,越适用于基线监控。基线设置并非一蹴而就,在初始设置运行之后的一段时间内需要对监控结果进行仔细分析,审慎决定是否应该对当前基线值进行添加、删除或者修改,直到系统平稳运行为止。控制基准设定好之后,还应定期对其进行评估。
(三)确定持续审计活动的执行频率
持续审计活动的频率将会从对详细交易的实时或接近实时的评价到对详细交易、快照或者综合数据的周期性评价。高频率的持续审计可以提供较高水平的认证,因为持续审计的高频率将导致留给不符合要求的调整或者进行交易的时间有限,而且,执行一些高频率的审计程序,可以减少对那些不能够实现自动化的审计程序的依赖。因此,审计人员可以考虑在持续审计的频率和范围之间进行权衡。
持续审计相对于传统审计之所以能够在一个更高的频率上执行,是因为自动化的持续审计测试可以降低执行风险评估和控制确认的成本。审计频率将不仅取决于所检查的系统或者流程的风险水平,也取决于审计程序的自动化程度和可以使用的资源。比如拥有关键控制的系统可能需要对交易数据进行实时分析;支持年度审计计划的风险评估可能每季度进行一次;用于支持单项审计和对审计建议的追踪可能会在一个特定的基础上进行。
(四)强化持续审计系统生成的警报管理
持续审计系统是企业预警管理系统的一种,该系统一旦发现控制异常或风险增加的情况,会自动生成警报,然后通过电子邮件、短信或自动电话系统通知审计人员,并选择性的通知企业内部相关责任人或管理人员,以促使问题及时得到纠正,防止形成重大控制缺陷或重大风险,从而提升内部控制系统的“免疫力”。警报需要记录的细节应该包括所检测到的结果、关于将要采取什么行动的决策、谁应该被告知、应该何时被告知、期望得到响应的日期。警报有轻重缓急之分,审计人员应该先将这些审计结果进行排序,然后再按照顺序执行。审计警报管理关键不在于如何将警报发送给相关人员,而在于如何解决“警报涌现”的问题。如果出现警报大规模涌现,将不利于审计人员和企业相关人员对这些问题的处理。最糟糕的是,警报涌现可能使得企业相关人员决定全部忽略警报或强迫审计师关闭信息警报开关。产生警报涌现的原因可能是审计系统中发送警报的控制参数设定错误,或者设定的过于保守。通常一个持续审计系统在初次实施的时候,会出现警报涌现的情况,但并不能据此作出结论,因为持续审计系统初次设置的参数通常具有一定的主观性和片面性。在出现这种情况时,应该先对例外报告进行调查,然后对相应的控制参数进行调整,如此反复,不断完善。如果在系统平稳运行一段时间后,再次发生警报涌现,则可能是企业经营环境发生变化的信号,需要重新对原有的控制参数进行评估和调整。
三、审计流程嵌入在我国会计信息化建设中的相关考虑
2009年4月财政部印发的《关于全面推进我国会计信息化工作的指导意见》中提出,未来5-10年要实现大型企事业单位会计信息化与经营管理信息化融合,同时要根据企事业单位内部控制规范的要求,将内部控制流程、关键控制点等固化在信息系统中,促进各单位内部控制规范制度的设计和运行,并形成自我评价报告。2011年9月9日财政部发布的《会计改革与发展“十二五”规划纲要》中重点要求“全面推进会计信息化建设,为会计科学化和精细化管理提供助力”,则再次重申了企业要实现内部控制信息化、内部控制评价报告信息化和内部控制审计信息化。
虽然上述两个文件没有要求将审计流程嵌入会计流程,却明确提出了要将会计流程、业务流程和内部控制流程进行融合。从效率和效果方面考虑可看出,将审计流程嵌入会计流程,通过对会计流程、业务流程和内部控制流程进行实时监控,实现持续审计,无疑是内部审计的发展方向。国际上,普华永道的调查,以及ACL公司和IIA的联合调查都表明,持续审计已经受到了广泛的重视,许多大公司内部审计部门已经开始部分采用了持续审计。IIA和ISACA还专门发布了进行持续审计的指南。在我国,一些特大型企业,如中国石油天然气集团公司,已经能够通过信息化手段随时掌握全国各地加油站交易等相关信息,以此实现集团对所属各单位业务流程的实时监控。
将审计流程嵌入会计流程,需要进行大规模的定制。目前一些主流ERP软件厂商(如SAP、Oracle)推出的“治理、风险管理和法规遵循”解决方案,能够与他们的ERP软件进行集成,实现对业务流程的持续监控。许多ERP软件还内嵌了一些持续监控模块。但这些应用只能局限于某个特定的ERP软件。
要克服大规模定制所带来的高成本,前提是实现会计流程标准化。从我国当前会计信息化发展现状来看,如果能够实现原始凭证基本数据项的统一,建立基于业务事件的财务会计系统标准流程,开发行业标准化的会计核算软件,那么相应的审计流程设计就可以有的放矢,既可以将审计流程作为会计核算软件的一个组成部分,也可以单独设计商品化的持续审计软件。不过这个方案仅仅局限在会计核算领域,待我国会计信息化标准体系建立后,再考虑根据信息资源标准、信息技术控制标准和信息审计标准,来开发实现会计流、业务流、控制流和审计流充分融合的会计信息化软件,或者根据标准制定针对标准会计信息化软件的通用持续审计软件。