计算机辅助审计的风险与防范措

　　审计模型是审计人员用于数据分析的工具，是按照审计事项应该具有的时间或空间状态，由审计人员通过设定判断和限制条件来建立起数学或逻辑的表达式，用于验证审计事项实际的时间或空间状态的技术方法。

　　近年来，随着审计信息化建设的不断发展，审计模型大量应用于审计实践，在审计模型辅助查证过程中，相关审计风险应运而生，审计人员必须全面识别、及早应对、科学防范。

 

　　及早识别和防范审计风险的必要性

 

　　及时提醒审计人员增强风险防范意识。运用审计模型辅助查证，代表了先进信息技术手段在审计实践中的运用。审计人员如果片面认为经模型运算产出的结果就是充分、适当的审计证据，进而降低风险防范意识，忽视职业判断和数据结果审核、分析，便会导致在问题定性等关键环节产生偏差，形成审计风险。为强化审计人员风险防范意识，需系统研究风险成因，认知风险作用机理，明确防范措施。

 

　　倒逼形成审计模型全寿命周期管理。审计模型开发运用、上升入库、更新下架的全寿命周期，均是由审计机关主责进行，在这个过程中，有一个环节出现差错，就可能在辅助查证中造成审计风险。因此，应当及早预防风险，制定相应防范措施，使每个模型在其全寿命周期的各个环节都得到科学、有效、规范的管理，促进审计模型全寿命周期管理向常态化、制度化、规范化的方向转变。

 

　　为大规模开发运用提供风险防范措施。审计模型操作便利、运算高效的优势明显，大规模开发运用势在必行。但是，在推广运用过程中，审计人员不懂技术、技术人员不懂审计等问题开始暴露，审计一线只知其好用、管用，忽视了辅助查证存在的风险，这都给大规模推广运用埋下了隐患。为在大规模推广运用前做到风险可控，需要审计机关充分研究风险成因，制定防范措施。

 

　　审计模型辅助查证审计风险的形成机理

 

　　审计模型作为审计辅助查证工具，所造成的审计风险主要是审计检查风险。在运用审计模型进行辅助查证时，对模型产出结果存在的偏差，如果审计人员未经验证就直接将其作为审计证据，将影响审计质量，造成审计风险。

 

　　模型自身存在缺陷。在审计模型设计、创建过程中，一方面，由于技术人员对业务场景理解不全面，使模型假设过于理论化，导致在模型推广时出现与实际工作需求不相符的问题；另一方面，由于模型验证和优化的不充分，数据测试不充足，使模型存在未知的技术性漏洞，导致模型本身存在先天缺陷。

 

　　优化完善不及时。从模型投入使用到落后淘汰，审计环境、模型运行条件和技术手段等实时发生变化，受权限和时效等因素制约，模型难以及时更新完善，出现模型与审计工作新需求不匹配的情况。

 

　　管理使用不当。大多数审计模型是单机版，在辅助查证时需拷贝到一线审计人员办公电脑，若管理不善，容易把模型及查证思路暴露给被审计单位，甚至在聘请技术人员进行设计、改进时，将模型及测试数据外泄。

 

　　问题定性不准确。由于审计人员信息化素养有待提高、数据清洗不到位等，造成模型操作使用不当、导入数据与模型可处理数据格式不一致或部分缺失，导致模型产出结果与实际存在偏差。审计人员在未核实模型产出结果情况下，直接将产出结果作为审计证据，进行问题定性，可能严重影响定性准确性。

 

　　审计模型辅助查证风险的防范措施

 

　　根据形成机理分析，为有效防范以上可能存在的审计风险，应从加强审计模型全寿命周期管理和提升审计人员素质等方面综合考虑，并贴合审计实践，制定风险防范措施。

 

　　（一）严格审计模型创建审核

 

　　审计模型从本质看是一种审计辅助软件工具，立项假设须紧贴审计实践，具有实用性；设计开发应遵循软件开发规律，强调专业化。

 

　　一是模型立项要紧密结合审计实践。组织模型需求分析，并系统梳理审计查证过程中稽核关系清晰、数据处理量大、可用计算机辅助运算的业务流程，根据审计一线需求，选择具备模型化分析条件的业务流程，进行模型立项，避免立项假设脱离实际。

 

　　二是组织专业化模型开发。安排专业技术人员对立项需求进行理解加工，转化成需求说明书，根据需求说明，设计建立相应的模型体系结构、数据结构，组织模型编码。

 

　　三是进行测试审核。进行测试时，应首先选择一定范围的样本数据，进行测试，查找技术漏洞；对测试无误的模型，在一定范围内进行推广使用，着重评价业务场景应用理解准确度和需求满足度；对测试合格的模型，创建审计模型的审计机关要组织进一步审核，审核通过后，进行实践应用。

 

　　（二）定期组织审计模型更新改进

 

　　审计模型更新改进是一个不断持续的过程，审计人员根据审计环境、管理要求和需求变化，不断改进完善，才能保证审计模型辅助查证质量。

 

　　一是组织模型维护。由模型管理部门，针对模型运行情况和审计环境变化，定期组织模型维护，对模型进行适当修改，以适应新情况新环境，纠正运行中发现的错误。在修改时，应由模型管理部门登记修改内容，对变更事项，填制模型履历性文书，随维护完毕的模型，一同下发审计机关。

 

　　二是分析解决重要和共性问题。模型管理部门应创建问题反馈的良性机制，在审计机关网站开通问题反馈模块，对影响审计质量的问题，及时进行分析解决。针对运用中的其他情况，模型管理人员应定期调查一线审计人员在操作使用中反馈的重要问题和共性问题，收集提出的意见建议，共同协商解决对策。

 

　　三是进行模型更新迭代。依托审计信息化平台，实时记录审计模型使用次数，根据使用情况及时淘汰落后老旧模型、补充完善急需模型，形成审计模型更新迭代的良性循环。

 

　　（三）加强审计模型辅助查证管理

 

　　审计模型辅助查证具有高效、便捷的优势，但是，审计人员不能过度依赖审计模型。审计机关应本着谨慎性原则，加强审计模型辅助查证管理，保证审计质量。

 

　　一是明确审计模型辅助查证的职能定位。在审前调查、审计实施、结果运用等环节，均可运用审计模型，进行辅助分析。但是，审计人员不应单独依靠审计模型完成审计查证，要以专业胜任能力，综合运用传统审计方法和审计模型进行审计查证。

 

　　二是明确风险防范兜底性措施。为防范审计风险，审计人员不得将模型辅助查证产出结果直接作为审计证据，进行问题定性。应首先对产出结果进行验证，确保产出结果符合审计证据充分性、适当性要求，在掌握充分适当的审计证据前提下，进行问题定性。

 

　　三是进行全过程保密专管。审计机关和审计组在运用审计模型辅助查证过程中要明确专人、专管责任，禁止向被审计单位和其他单位、个人计算机进行模型拷贝，数据和产出结果在查证完毕后要及时删除。

 

　　（四）强化审计人员创建运用模型能力

 

　　审计人员创建运用模型能力直接决定着辅助查证质效和审计风险控制程度，审计机关应采取送学培训、引智讲授、实操实训等方式，提高审计人员创建和运用审计分析模型的能力素质。

 

　　一是加强一线审计人员创建运用模型能力培训。通过学习数据清洗、转化方法和模型创建原理，进行模型实操训练，培养一线审计人员审计分析模型操作运用、算法分析、结果核验等方面能力。

 

　　二是加强信息技术人员审计相关业务和模型部署方面培训。促进信息技术人员准确把握业务场景与模型功能的深层次联系，避免存在编码有错误、需求不匹配等技术缺陷。

 

　　三是加强一线审计人员与信息技术人员交流沟通。让模型构建落到审计工作实处，做到审计模型与审计需求良好匹配，实现审计模型效益最大化。（作者张帅、刘家兴、张序言、王程正单位系中央军委审计署石家庄审计中心）