计算机辅助审计技术(CAATs)下
信息技术辅助审计工作(下)
(来源:《中国注册会计师》,2018-11-15)
原文发布日期:2018年11月20日
转载自:中国注册会计师协会网站
【编者按】在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书,已经出版。本刊约请作者加以摘编,分期连载,以飨读者。
一、CAATs 工具的选择
(一)常见 CAATs 工具的类型
常见的计算机辅助审计工具包括以下几类:
1. 通用类软件:Microsoft Office 系列软件,其中使用最为广泛的为 Microsoft Word,Microsoft Excel 以及 Microsoft Access;
2. 专业审计软件:ACL,IDEA 等;
3. 数据库软件:Microsoft SQL Server,MySQL,Oracle 等;
4. 数据统计分析软件:MATLAB,SAS,R 等;
5. 数据分析及展示软件:Tableau,Qlik View 等。(为什么没有POWER BI?)
审计人员应当选择适当的工具以应对不同的审计场合。
对于大量数据的处理,根据不同的情况,可以选择
Microsoft Excel,Microsoft Access、专业审计软件或者各类数据库软件;如果涉及数据未来的预测或是统计分析,可以选用
Microsoft Excel
或者各类数据统计分析软件;如果为了在大量交易中发现异常记录,则可以选择专业的统计或可视化软件进行数据分析,或者使用专业审计软件中的功能(例如本福特定律)发现异常的数据。
在实际业务操作中,专业审计软件和数据处理是系统审计专家所执行的计算机辅助审计工作中最为普遍的一种。一方面,财务审计团队对于数据处理的需求相比其它类型的工作要多;另一方面,除了Microsoft Excel 外其它的数据处理工具的使用均需要一定的技术能力。
(二)各类数据处理软件的特点
通用类软件相比其他软件易于操作,仅需要有限的知识技能储备即可上手使用,是使用最为广泛的工具,但此类软件能够处理的数据量较小。
Microsoft
Excel 作为数据处理程序,能够通过内置的函数对数据进行核算分析,同时对于拥有一定编程知识的用户,可以使用
VBA设计相应的宏(Macro),实现复杂的数据处理过程。Excel 的优势在于操作简便易于上手,而其缺点也很明显,单页的数据容量为 100
万条左右,大量数据的处理将占用系统内存与 CPU 资源,影响计算机的使用。
Microsoft Access
能够导入不同格式的数据文件,通过简单的SQL 语句对数据进行处理。相比 Excel,Access
在处理数据条数上没有限制,通常可处理数据条目数大于 Excel,但由于 Access 存在文件大小和其他的限制(如文件不能大于
2GB),因此依然无法处理大量的数据。
数据库软件能够处理大量的数据,但对于导入数据的格式有严格要求,同时需要使用结构化查询语言(Structured
Query Language,简称
SQL)进行数据处理,因此对于使用此类软件的人员有着较高的技术要求。数据库既是数据审计的工具也是数据审计的对象。目前传统企业主要使用的是关系型数据库。随着互联网的兴起,大数据时代来临,部分互联网企业为了快速存储处理大数据而使用非关系型数据库,例如
NoSQL。目前在数据处理过程中,审计人员依然会选择关系型数据库对数据进行处理,但审计人员仍然应当熟悉 NoSQL
等非关系型数据库,一方面便于理解数据提取的逻辑,同时在未来也存在此类新型数据库取代关系型数据库作为数据处理工具的可能。
数据统计分析软件主要用于基于统计学的数据分析,在财务审计过程中需要使用该类软件的情景较少。同时该类软件对于使用者也有着较高的要求,并且此类型中的不同软件均有着特定的使用语言。
专业审计软件拥有强大的功能,能够记录数据的修改日志并保留完整的审计轨迹,生成可靠的审计证据,为审计人员底稿记录提供便利,因此此类软件更适用于专业的审计从业者。同时,专业审计软件有着不同的使用语言,对于使用者有着很高的要求,目前专业审计软件主要在各大会计师事务所使用。
可以按照表 1 所示的依据进行工具选择。
表 1 软件的使用情形
软件
适用情形
Microsoft Excel
涉及较少数据表运算,单表数据量小于 1048576 条,运算处理过程较简单。
Microsoft Access
涉及较少数据表运算,单表数据量较小,但超过 1048576 条,运算处理过程较简单。 拥有简单的 SQL 语言技术能力。
Microsoft SQL Sever
Oracle
MySQL
涉及较多数据表运算,单表数据量大,运算处理过程较为复杂。拥有相当的 SQL 语言技术能力。
MATLAB
SAS
R
涉及复杂的统计运算,统计预测,数据分析等。拥有特定统计软件的语言技术能力。
ACL
IDEA
涉及较多数据表运算,单表数据量大,运算处理过程较为复杂。
(三)大数据环境下的新型审计工具
此类工具主要由会计师事务所研发,目前主要用于日记账的审计工作。该工具采用了新一代技术来识别高风险交易及低效的流程。
很多人认为日记账能够被高层所凌驾。他们能够绕过企业的控制,脱离正常的业务而创建修改日记账,并且掩盖错误及舞弊。该工具能够被用来发现这种高层凌驾的风险。
该工具能够利用一系列的算法帮助审计人员高风险的交易以及财务与系统中的低效流程。该工具适用于任何系统,并且能够应对不同规模的企业。
该工具目前主要的算法是用于识别异常高/低频交易、异常高/低频操作用户、异常高/低频会计科目、异常金额凭证等。其不仅用于分析财务中的高风险交易,同时也能对较为冗余的人员、合作方进行识别,提升运营效率。
日记账审阅是审计反舞弊的关键工作,但传统的方式已经无法满足针对海量日记账的监管。该工具采用新一代的技术改善了这一情况,使得企业能够实现实时的监控。
通过使用该工具,审计人员可以通过查询日记账揭示科目、个人用户、日期、日记账类型、金额间的关系及模式。
它不仅是审计人员发现风险识别舞弊的工具,也能够帮助企业管理人员进行内部监管提升效率。
在大数据时代下,目前此类工具只是一种尝试。在未来,更加开放的工具将能够实现对各类海量业务数据的分析,既为审计提供便利,也为企业带来价值。
二、特殊行业中 CAATs 的使用
在互联网行业兴起的大环境下,针对此类行业的审计成为了新的课题。虽然目前各个行业均逐步迈向信息化,CAATs 也在各行各业的审计工作中都有应用,但互联网行业的特殊性使其在审计过程中更加依赖 CAATs,对其要求也更高。
互联网行业与实体产业不同,互联网行业中交易的商品、提供的服务可能并不涉及实物,也不存在相应的纸质凭证,交易及其实质均体现于业务系统中的数据。
业务数据的准确性、完整性与真实性是基于互联网行业的重点审计领域。由于业务数据量巨大,常规的审计抽样已经无法满足此类企业审计的要求。审计人员必须依赖业务数据分析发现异常交易,获取系统数据的审计信心。
由于各个企业业务模式不同,相应的业务数据分析方法也应当根据行业及被审计企业的具体情况进行设计,以下我们的方法介绍仅为了拓展注册会计师在审计中的思考方向及考虑方面,案例也无法覆盖所有业务情形。
除了针对一般行业需要执行的测试外,审计人员还可以使用以下方法重点对业务数据的真实性、完整性进行测试:
1. 依据系统中业务数据所统计得到的应收账款数与外部支付渠道的对账
通常互联网企业(例如在线交易平台或网络游戏企业)为用户设置了相应的账户,用户需要通过各种渠道进行充值,方能在线完成交易。该测试用于验证企业所发生的交易均存在相应的资金流入,也是互联网企业审计中少量能够与外部数据进行核对的测试。理想情况下,该测试应当针对每笔交易进行对账测试。该测试通常认为是互联网企业审计中其它数据测试的基础,因为该测试可能是唯一与现实实物(即资金流入)相挂钩的测试。
该测试同样存在局限性,例如外部支付渠道可能仅包含一段时间内的交易总金额,因此无法进行每笔交易的对账测试,同时对于交易实质的真实性也无法识别。
2. 业务数据的交易实质检查
即使完成了第一步测试,确认业务数据于外部支付渠道的金额一致,审计人员仍然仅能够确保每笔交易记录并非通过修改数据进行伪造,而无法确保交易实质的真实性。这是由于存在企业模拟交易操作而产生虚构交易数据的可能性,虚构交易并非虚构数据,其交易与实际业务操作一致,因此系统将其视为正常的交易数据。通常虚构交易的用户为互联网企业的内部员工或外部合作方。由于互联网行业的用户主要为通过唯一
ID 进行识别的个人用户,但即使针对用户存在互联网实名制的合规要求,系统仍然无法直接识别每笔交易的对象,判断交易的真实性。
如果存在完善的第三方数据,例如支付宝明细账单,在业务数据与外部数据对账的过程中,审计人员可以核对业务发生的用户与外部支付用户的一致性,由此发现存在的异常代为支付的情况。此种方法依然受限于外部对账单的形式。
针对在线交易平台,如果企业系统能够记录每笔交易的用户
IP地址,审计人员可以通过匹配交易发生 IP
地址的对应城市与物流信息发现异常的交易。此种方法能够很好的将交易数据与实物进行匹配,但也有其局限性,例如用户通过代理或者 VPN
访问网站进行交易,系统 IP 地址记录的是局域网 IP 等。
以上方法均是借助系统数据与外部用户标识进行逐笔匹配,是最为直接的异常发现方式,但在大部分场合无法完全奏效,因此审计人员仍然需要使用其它数据分析的方法识别数据异常的高风险领域。
审计人员需要识别可能存在虚构交易的数据。借助 CAATs,审计人员可以以各个维度提取交易数据进行分析。
按照时间维度提取交易数据,审计人员可以检查企业的交易是否满足行业的周期性变化,例如电商行业在双十一期间的交易量会出现明显的峰值,游戏行业在游戏大版本更新时会出现峰值等。若将时间维度提取数据的精度提高(例如精确到分钟、秒甚至毫秒级别),则审计人员可以检查企业是否存在同一时刻的大量交易,此类交易可能是由机器软件定时模拟正常用户所进行的交易。利用时间维度进行的数据分析可以采用箱线图等统计图例进行分析,发现异常的数据。
审计人员由此判断异常交易发生的高风险月份,重点对该月的交易进行分析。
按照用户维度提取交易数据,审计人员可以检查是否存在异常交易的用户。这种测试方法要求审计人员对行业及企业业务有较为深刻的理解,通常由审计人员分析一些具有代表性的指标进行异常用户分析,例如退货退款比率异常的用户、交易频率异常的用户、资金消费与资金流入比率异常的用户等。退货退款比率异常可能是由于企业内部人员的虚构交易或外部人员的欺诈交易;交易频率异常及资金消费与资金流入比率异常可能是由于企业内部人员或企业的外部推广公司为实现推广效果而产生的大量虚拟交易。
有时为了更加全面分析用户,审计人员需要结合多项指标同时对用户进行分析,此时数据可视化能够大大增加审计人员分析的效率,并且更为精准发现异常。
随着人工智能的发展,神经网络也逐渐成为一种异常用户分析的方法。现阶段受制于训练数据的匮乏,审计领域尚未出现成熟的神经网络模型。但未来随着技术的逐步发展,神经网络也将会成为一种主流的数据审计方法。
3. 业务数据内部勾稽关系的验证
互联网行业的审计虽然均依赖系统中的数据,而缺乏现实实物进行参照比较,但其业务数据内部存在千丝万缕的联系,并且存在互相之间的勾稽关系。例如:电商平台的交易数据、发货数据及物流数据间存在互相匹配关联的关系;平台内用户的余额、充值金额及消费金额也存在着期初+充值-消费=期末的勾稽关系。由于互联网行业业务数据量大、数据库结构复杂,企业人为对交易数据的修改可能会破坏数据内部的勾稽关系。因此在审计过程中内部数据的自洽能够获得一定的审计信心。
4. 会计估计的验证
互联网行业中由于存在各类的虚拟商品以及虚拟货币,在会计处理过程中往往需要基于业务数据得出相应的会计估计,例如网络游戏虚拟物品摊销的期限、用户长期未使用沉淀资金确认收入的时点等。通常企业本身会订立相应的会计估计,审计人员需要依据对于业务的理解而建立相应的模型验证会计估计使用的恰当性。通过
CAATs,审计人员能够通过分析用户的登录与消费情况,测算玩家的生命周期验证网络游戏虚拟物品摊销的期限;通过对于期后资金的使用情况及用户的登录情况,审计人员能够测算沉淀人员及资金的回流率,判断沉淀期限的合理性。如果没有
CAATs,审计人员在会计估计的判断上将会手足无措无据可依。
5. 行业对标及趋势分析
互联网行业中各个细分行业有着相似的业务模式,在一些关键指标上也极为相似。审计人员应当对企业的关键指标进行计算,并与行业的平均数据进行比较,分析差异及可能存在的舞弊情况。例如:月均每账户充值金额
ARPU 值、付费转化率、留存率、付费用户数、活跃用户数、下载激活量、充值消耗比等。
除了行业对标,企业自身相关指标存在着趋势的一致性,审计人员也应当关注,检查是否存在互相矛盾的因素。例如:电商平台的网站访问量、交易量趋势一致;网络游戏行业网站访问量、新增付费用户数、活跃用户数、游戏下载激活量、充值量、消费量的趋势一致性。
行业对标及趋势分析虽然与财务数据的审计没有直接的相关性,但由于互联网行业的特殊性,审计人员应当考虑相关的测试以减少数据舞弊的风险。
一方面,CAATs 作为工具为审计带来了相应的便利,同时审计的测试方法也为 CAATs 的使用及数据的真实性带来支持。
三、CAATs 的局限
计算机辅助审计工具使得审计工作变得更加高效,然而 CAATs 也存在着一些局限,例如:
1. 由于 CAATs 主要是针对数据的审计工作,交易信息存在事先被修改或导出后认为篡改的风险,以至于审计人员无法发现异常结果;
2. 针对时点数据的测试,可能由于测试执行的时间与数据时点不同而导致无法追溯审计期间的数据状态,影响测试结果;
3. 对于业务规则及运算处理逻辑的误解可能导致审计人员使用错误逻辑进行数据提取与测试,得到错误的结论;
4. 如果审计人员采用脚本进行数据处理,后续审计人员通常使用之前的脚本进行处理,脚本未妥善保存或简单使用以往脚本而不考虑业务与系统的变化均可能造成审计人员数据处理得到错误的结论。
审计人员应当执行相应的工作应对以上风险,例如:
1. 执行信息系统与数据的相关的测试,降低交易信息被人为篡改的风险;
2. 参与或监控数据提取的过程,第一时间获取导出的数据,确保数据导出后未经过修改;
3. 提前安排审计计划,要求客户提前备份时点数据或是在相应时点执行脚本提取数据;
4. 谨慎分析测试逻辑及测试结果;
5. 每年对数据处理脚本进行归档,并且按照更新的业务逻辑,修改历年使用的脚本。
原文链接:http://www.cicpa.org.cn/mag2018/201810/index.html
本帖包含附件,登录后才能下载! 登录
一无所有
18-11-27 10:40
多学习
计算机辅助审计技术(CAATs)下
IT审计学院
会员积分:570
信息技术辅助审计工作(下)
(来源:《中国注册会计师》,2018-11-15)
原文发布日期:2018年11月20日
转载自:中国注册会计师协会网站
【编者按】在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书,已经出版。本刊约请作者加以摘编,分期连载,以飨读者。
一、CAATs 工具的选择
(一)常见 CAATs 工具的类型
常见的计算机辅助审计工具包括以下几类:
1. 通用类软件:Microsoft Office 系列软件,其中使用最为广泛的为 Microsoft Word,Microsoft Excel 以及 Microsoft Access;
2. 专业审计软件:ACL,IDEA 等;
3. 数据库软件:Microsoft SQL Server,MySQL,Oracle 等;
4. 数据统计分析软件:MATLAB,SAS,R 等;
5. 数据分析及展示软件:Tableau,Qlik View 等。(为什么没有POWER BI?)
审计人员应当选择适当的工具以应对不同的审计场合。
对于大量数据的处理,根据不同的情况,可以选择
Microsoft Excel,Microsoft Access、专业审计软件或者各类数据库软件;如果涉及数据未来的预测或是统计分析,可以选用
Microsoft Excel
或者各类数据统计分析软件;如果为了在大量交易中发现异常记录,则可以选择专业的统计或可视化软件进行数据分析,或者使用专业审计软件中的功能(例如本福特定律)发现异常的数据。
在实际业务操作中,专业审计软件和数据处理是系统审计专家所执行的计算机辅助审计工作中最为普遍的一种。一方面,财务审计团队对于数据处理的需求相比其它类型的工作要多;另一方面,除了Microsoft Excel 外其它的数据处理工具的使用均需要一定的技术能力。
(二)各类数据处理软件的特点
通用类软件相比其他软件易于操作,仅需要有限的知识技能储备即可上手使用,是使用最为广泛的工具,但此类软件能够处理的数据量较小。
Microsoft
Excel 作为数据处理程序,能够通过内置的函数对数据进行核算分析,同时对于拥有一定编程知识的用户,可以使用
VBA设计相应的宏(Macro),实现复杂的数据处理过程。Excel 的优势在于操作简便易于上手,而其缺点也很明显,单页的数据容量为 100
万条左右,大量数据的处理将占用系统内存与 CPU 资源,影响计算机的使用。
Microsoft Access
能够导入不同格式的数据文件,通过简单的SQL 语句对数据进行处理。相比 Excel,Access
在处理数据条数上没有限制,通常可处理数据条目数大于 Excel,但由于 Access 存在文件大小和其他的限制(如文件不能大于
2GB),因此依然无法处理大量的数据。
数据库软件能够处理大量的数据,但对于导入数据的格式有严格要求,同时需要使用结构化查询语言(Structured
Query Language,简称
SQL)进行数据处理,因此对于使用此类软件的人员有着较高的技术要求。数据库既是数据审计的工具也是数据审计的对象。目前传统企业主要使用的是关系型数据库。随着互联网的兴起,大数据时代来临,部分互联网企业为了快速存储处理大数据而使用非关系型数据库,例如
NoSQL。目前在数据处理过程中,审计人员依然会选择关系型数据库对数据进行处理,但审计人员仍然应当熟悉 NoSQL
等非关系型数据库,一方面便于理解数据提取的逻辑,同时在未来也存在此类新型数据库取代关系型数据库作为数据处理工具的可能。
数据统计分析软件主要用于基于统计学的数据分析,在财务审计过程中需要使用该类软件的情景较少。同时该类软件对于使用者也有着较高的要求,并且此类型中的不同软件均有着特定的使用语言。
专业审计软件拥有强大的功能,能够记录数据的修改日志并保留完整的审计轨迹,生成可靠的审计证据,为审计人员底稿记录提供便利,因此此类软件更适用于专业的审计从业者。同时,专业审计软件有着不同的使用语言,对于使用者有着很高的要求,目前专业审计软件主要在各大会计师事务所使用。
可以按照表 1 所示的依据进行工具选择。
表 1 软件的使用情形
软件
适用情形
Microsoft Excel
涉及较少数据表运算,单表数据量小于 1048576 条,运算处理过程较简单。
Microsoft Access
涉及较少数据表运算,单表数据量较小,但超过 1048576 条,运算处理过程较简单。 拥有简单的 SQL 语言技术能力。
Microsoft SQL Sever
Oracle
MySQL
涉及较多数据表运算,单表数据量大,运算处理过程较为复杂。拥有相当的 SQL 语言技术能力。
MATLAB
SAS
R
涉及复杂的统计运算,统计预测,数据分析等。拥有特定统计软件的语言技术能力。
ACL
IDEA
涉及较多数据表运算,单表数据量大,运算处理过程较为复杂。
(三)大数据环境下的新型审计工具
此类工具主要由会计师事务所研发,目前主要用于日记账的审计工作。该工具采用了新一代技术来识别高风险交易及低效的流程。
很多人认为日记账能够被高层所凌驾。他们能够绕过企业的控制,脱离正常的业务而创建修改日记账,并且掩盖错误及舞弊。该工具能够被用来发现这种高层凌驾的风险。
该工具能够利用一系列的算法帮助审计人员高风险的交易以及财务与系统中的低效流程。该工具适用于任何系统,并且能够应对不同规模的企业。
该工具目前主要的算法是用于识别异常高/低频交易、异常高/低频操作用户、异常高/低频会计科目、异常金额凭证等。其不仅用于分析财务中的高风险交易,同时也能对较为冗余的人员、合作方进行识别,提升运营效率。
日记账审阅是审计反舞弊的关键工作,但传统的方式已经无法满足针对海量日记账的监管。该工具采用新一代的技术改善了这一情况,使得企业能够实现实时的监控。
通过使用该工具,审计人员可以通过查询日记账揭示科目、个人用户、日期、日记账类型、金额间的关系及模式。
它不仅是审计人员发现风险识别舞弊的工具,也能够帮助企业管理人员进行内部监管提升效率。
在大数据时代下,目前此类工具只是一种尝试。在未来,更加开放的工具将能够实现对各类海量业务数据的分析,既为审计提供便利,也为企业带来价值。
二、特殊行业中 CAATs 的使用
在互联网行业兴起的大环境下,针对此类行业的审计成为了新的课题。虽然目前各个行业均逐步迈向信息化,CAATs 也在各行各业的审计工作中都有应用,但互联网行业的特殊性使其在审计过程中更加依赖 CAATs,对其要求也更高。
互联网行业与实体产业不同,互联网行业中交易的商品、提供的服务可能并不涉及实物,也不存在相应的纸质凭证,交易及其实质均体现于业务系统中的数据。
业务数据的准确性、完整性与真实性是基于互联网行业的重点审计领域。由于业务数据量巨大,常规的审计抽样已经无法满足此类企业审计的要求。审计人员必须依赖业务数据分析发现异常交易,获取系统数据的审计信心。
由于各个企业业务模式不同,相应的业务数据分析方法也应当根据行业及被审计企业的具体情况进行设计,以下我们的方法介绍仅为了拓展注册会计师在审计中的思考方向及考虑方面,案例也无法覆盖所有业务情形。
除了针对一般行业需要执行的测试外,审计人员还可以使用以下方法重点对业务数据的真实性、完整性进行测试:
1. 依据系统中业务数据所统计得到的应收账款数与外部支付渠道的对账
通常互联网企业(例如在线交易平台或网络游戏企业)为用户设置了相应的账户,用户需要通过各种渠道进行充值,方能在线完成交易。该测试用于验证企业所发生的交易均存在相应的资金流入,也是互联网企业审计中少量能够与外部数据进行核对的测试。理想情况下,该测试应当针对每笔交易进行对账测试。该测试通常认为是互联网企业审计中其它数据测试的基础,因为该测试可能是唯一与现实实物(即资金流入)相挂钩的测试。
该测试同样存在局限性,例如外部支付渠道可能仅包含一段时间内的交易总金额,因此无法进行每笔交易的对账测试,同时对于交易实质的真实性也无法识别。
2. 业务数据的交易实质检查
即使完成了第一步测试,确认业务数据于外部支付渠道的金额一致,审计人员仍然仅能够确保每笔交易记录并非通过修改数据进行伪造,而无法确保交易实质的真实性。这是由于存在企业模拟交易操作而产生虚构交易数据的可能性,虚构交易并非虚构数据,其交易与实际业务操作一致,因此系统将其视为正常的交易数据。通常虚构交易的用户为互联网企业的内部员工或外部合作方。由于互联网行业的用户主要为通过唯一
ID 进行识别的个人用户,但即使针对用户存在互联网实名制的合规要求,系统仍然无法直接识别每笔交易的对象,判断交易的真实性。
如果存在完善的第三方数据,例如支付宝明细账单,在业务数据与外部数据对账的过程中,审计人员可以核对业务发生的用户与外部支付用户的一致性,由此发现存在的异常代为支付的情况。此种方法依然受限于外部对账单的形式。
针对在线交易平台,如果企业系统能够记录每笔交易的用户
IP地址,审计人员可以通过匹配交易发生 IP
地址的对应城市与物流信息发现异常的交易。此种方法能够很好的将交易数据与实物进行匹配,但也有其局限性,例如用户通过代理或者 VPN
访问网站进行交易,系统 IP 地址记录的是局域网 IP 等。
以上方法均是借助系统数据与外部用户标识进行逐笔匹配,是最为直接的异常发现方式,但在大部分场合无法完全奏效,因此审计人员仍然需要使用其它数据分析的方法识别数据异常的高风险领域。
审计人员需要识别可能存在虚构交易的数据。借助 CAATs,审计人员可以以各个维度提取交易数据进行分析。
按照时间维度提取交易数据,审计人员可以检查企业的交易是否满足行业的周期性变化,例如电商行业在双十一期间的交易量会出现明显的峰值,游戏行业在游戏大版本更新时会出现峰值等。若将时间维度提取数据的精度提高(例如精确到分钟、秒甚至毫秒级别),则审计人员可以检查企业是否存在同一时刻的大量交易,此类交易可能是由机器软件定时模拟正常用户所进行的交易。利用时间维度进行的数据分析可以采用箱线图等统计图例进行分析,发现异常的数据。
审计人员由此判断异常交易发生的高风险月份,重点对该月的交易进行分析。
按照用户维度提取交易数据,审计人员可以检查是否存在异常交易的用户。这种测试方法要求审计人员对行业及企业业务有较为深刻的理解,通常由审计人员分析一些具有代表性的指标进行异常用户分析,例如退货退款比率异常的用户、交易频率异常的用户、资金消费与资金流入比率异常的用户等。退货退款比率异常可能是由于企业内部人员的虚构交易或外部人员的欺诈交易;交易频率异常及资金消费与资金流入比率异常可能是由于企业内部人员或企业的外部推广公司为实现推广效果而产生的大量虚拟交易。
有时为了更加全面分析用户,审计人员需要结合多项指标同时对用户进行分析,此时数据可视化能够大大增加审计人员分析的效率,并且更为精准发现异常。
随着人工智能的发展,神经网络也逐渐成为一种异常用户分析的方法。现阶段受制于训练数据的匮乏,审计领域尚未出现成熟的神经网络模型。但未来随着技术的逐步发展,神经网络也将会成为一种主流的数据审计方法。
3. 业务数据内部勾稽关系的验证
互联网行业的审计虽然均依赖系统中的数据,而缺乏现实实物进行参照比较,但其业务数据内部存在千丝万缕的联系,并且存在互相之间的勾稽关系。例如:电商平台的交易数据、发货数据及物流数据间存在互相匹配关联的关系;平台内用户的余额、充值金额及消费金额也存在着期初+充值-消费=期末的勾稽关系。由于互联网行业业务数据量大、数据库结构复杂,企业人为对交易数据的修改可能会破坏数据内部的勾稽关系。因此在审计过程中内部数据的自洽能够获得一定的审计信心。
4. 会计估计的验证
互联网行业中由于存在各类的虚拟商品以及虚拟货币,在会计处理过程中往往需要基于业务数据得出相应的会计估计,例如网络游戏虚拟物品摊销的期限、用户长期未使用沉淀资金确认收入的时点等。通常企业本身会订立相应的会计估计,审计人员需要依据对于业务的理解而建立相应的模型验证会计估计使用的恰当性。通过
CAATs,审计人员能够通过分析用户的登录与消费情况,测算玩家的生命周期验证网络游戏虚拟物品摊销的期限;通过对于期后资金的使用情况及用户的登录情况,审计人员能够测算沉淀人员及资金的回流率,判断沉淀期限的合理性。如果没有
CAATs,审计人员在会计估计的判断上将会手足无措无据可依。
5. 行业对标及趋势分析
互联网行业中各个细分行业有着相似的业务模式,在一些关键指标上也极为相似。审计人员应当对企业的关键指标进行计算,并与行业的平均数据进行比较,分析差异及可能存在的舞弊情况。例如:月均每账户充值金额
ARPU 值、付费转化率、留存率、付费用户数、活跃用户数、下载激活量、充值消耗比等。
除了行业对标,企业自身相关指标存在着趋势的一致性,审计人员也应当关注,检查是否存在互相矛盾的因素。例如:电商平台的网站访问量、交易量趋势一致;网络游戏行业网站访问量、新增付费用户数、活跃用户数、游戏下载激活量、充值量、消费量的趋势一致性。
行业对标及趋势分析虽然与财务数据的审计没有直接的相关性,但由于互联网行业的特殊性,审计人员应当考虑相关的测试以减少数据舞弊的风险。
一方面,CAATs 作为工具为审计带来了相应的便利,同时审计的测试方法也为 CAATs 的使用及数据的真实性带来支持。
三、CAATs 的局限
计算机辅助审计工具使得审计工作变得更加高效,然而 CAATs 也存在着一些局限,例如:
1. 由于 CAATs 主要是针对数据的审计工作,交易信息存在事先被修改或导出后认为篡改的风险,以至于审计人员无法发现异常结果;
2. 针对时点数据的测试,可能由于测试执行的时间与数据时点不同而导致无法追溯审计期间的数据状态,影响测试结果;
3. 对于业务规则及运算处理逻辑的误解可能导致审计人员使用错误逻辑进行数据提取与测试,得到错误的结论;
4. 如果审计人员采用脚本进行数据处理,后续审计人员通常使用之前的脚本进行处理,脚本未妥善保存或简单使用以往脚本而不考虑业务与系统的变化均可能造成审计人员数据处理得到错误的结论。
审计人员应当执行相应的工作应对以上风险,例如:
1. 执行信息系统与数据的相关的测试,降低交易信息被人为篡改的风险;
2. 参与或监控数据提取的过程,第一时间获取导出的数据,确保数据导出后未经过修改;
3. 提前安排审计计划,要求客户提前备份时点数据或是在相应时点执行脚本提取数据;
4. 谨慎分析测试逻辑及测试结果;
5. 每年对数据处理脚本进行归档,并且按照更新的业务逻辑,修改历年使用的脚本。
原文链接:http://www.cicpa.org.cn/mag2018/201810/index.html
本帖包含附件,登录后才能下载! 登录
18-11-24 16:38
6324
1
回复
多学习
18-11-27 10:40
