数据分析在审计中的应用研究!
来源:中国注册会计师俱乐部
基金项目 中国注册会计师协会“互联网审计方法研究”课题
作者单位 毕马威华振会计师事务所
一、数据分析及其应用
(一)什么是数据分析
《〈中国注册会计师审计准则第1211号——重大错报风险的识别和评估〉应用指南》(2022年修订)第43段指出,“注册会计师可以使用自动化工具和技术实施分析程序。对数据运用自动化分析程序可以称为数据分析”。第46段指出,“注册会计师可以使用自动化工具和技术实施观察或检查程序,特别是观察或检查资产,例如使用远程观察工具(如无人机)”。
国际审计与鉴证准则理事会(IAASB)下设的数据分析工作组在2016年9月发布的文件中提出,“当被应用于财务报表审计以获取审计证据时,数据分析是以计划或执行审计为目的,通过分析、建模和可视化,发现和分析模式、偏差和不一致,以及从与审计对象相关的数据中提取其他有用信息的科学和艺术”。
IAASB的科技工作组于2020年发布了3份指引,对在审计中使用自动化工具和技术以及如何记录进行了相关阐述。关于“自动化工具和技术”这一概念,阐述为:“就审计而言,自动化工具和技术是涉及审计方法和程序自动化的信息技术应用程序,包括利用建模和可视化分析数据、机器人流程自动化、人工智能和机器学习,以及观察或检查资产的无人机技术。使用这样的自动化工具和技术可以补充或替代人工或从事重复的任务。”
自动化工具和技术可以用于风险评估程序和进一步审计程序。自动化工具和技术的示例包括:
1.数据分析。数据分析用于通过发现和分析模式和趋势,识别和调查例外项目、偏差和异常。例如,使用预测性分析来评价整个数据集。注册会计师还可以从与识别和评估重大错报风险相关的大型数据集中获取其他有用信息,这些信息通过使用传统的工具或技术可能并不容易被发现或获取。
2.机器人流程自动化(RPA)。通过使用使人工行为自动化的软件工具来处理结构化数据,该软件工具使人类执行的活动自动化,通常是需要最少判断的重复性任务。例如,机器人流程自动化可用于执行总账分析,如识别不平衡、重复、超过定义阈值或显示某些特征的日记账分录。
3.人工智能技术。经过训练的机器学习技术可以识别大量数据中的模式,包括非结构化数据中的模式,这些数据如电子邮件、社交媒体、合同、发票、图像和电话会议音频文件等。注册会计师可以利用人工智能收集各种来源信息并进行分析,以帮助注册会计师识别重大错报风险。
本文聚焦于财务报表审计中的数据分析。以下将“数据分析在审计中的应用”称为数据分析、审计数据分析或ADA(audit data analytics)。
(二)数据分析的优势
《〈中国注册会计师审计准则第1121号——对财务报表审计实施的质量管理〉应用指南》第60段指出:“在审计中使用技术资源(如技术工具),可能有助于注册会计师获取充分、适当的审计证据。技术工具可以提高审计的效率和效果,也可以有助于注册会计师对大量数据进行分析。例如,注册会计师可以使用数据分析工具来发现深层次的问题、识别异常趋势或更加有效地质疑管理层认定,这将有助于提高注册会计师运用职业怀疑的能力。”随着技术应用和应用场景的不断拓展,数据分析的优势主要表现在以下方面:
1.运用数据分析技术和其他技术(如机器学习、人工智能)能够帮助注册会计师对总体中的所有项目识别异常,而这在人工抽样测试中是几乎不可能实现的。运用自动化审计程序和机器人流程自动化能够显著节约手工处理日常的、重复的工作所耗费的时间。注册会计师得以将更多的时间和精力用于对高风险和复杂的领域执行审计程序,而电子设备及其他数据分析技术和工具则用于精准识别异常情况。相比传统的风险分析和基于抽样的审计程序,数据分析使注册会计师有能力分析或测试全量交易数据。由此,注册会计师不仅可以识别异常,还可以进行更深层次、多维度的分析,识别的审计风险更有针对性,能够作出更有效的判断。
2.运用数据分析技术可以提高注册会计师识别舞弊的能力,降低审计风险,提升审计质量。例如,注册会计师可以通过对业务数据、财务和非财务数据等进行多维度分析,精准识别异常;审计人员可以通过收集和分析不同来源的数据,如银行网银数据、税务数据等,并与被审计单位提供的数据相互印证,或进一步调查不一致情况。
3.利用数据分析技术,进行持续的检查和监控,从而能够对全年的交易进行审计并及时识别偏差,有助于管理层与注册会计师保持持续沟通,并及早地对偏差进行调查。
4.数据分析还可以协助注册会计师向治理层(包括审计委员会)提供深刻的商业洞察,例如,提供含有丰富内容的可视化图表和更细颗粒度的信息,从而提升审计的附加价值。
5.对整个注册会计师行业来说,数据分析技术的发展和演进需要注册会计师提高分析和处理复杂数据和事项的能力,包括调查自动化工具识别出的异常值。注册会计师应当展现出较高水平的批判性思维和解决复杂问题的能力,而这正是确保关键会计和审计事项能够得到及时且专业应对的核心。
(三)数据分析在不同审计阶段的应用
2021年4月,中国注册会计师协会发布《注册会计师行业信息化建设规划(2021—2025年)》中指出,“会计师事务所要深化大数据分析在审计项目承接、风险评估、控制测试、实质性程序和审计报告等阶段的应用,为客户承接与保持、舞弊分析和内容核查等目标提供智能决策支持”。
数据分析往往通过运用科学技术实现。不少会计师事务所已经或正在开发应对不同场景的数据分析工具,以将审计方法和过程与科技有机结合起来。注册会计师通过利用数据分析工具,正逐步将数据分析应用于财务报表审计的风险评估、控制测试、实质性分析程序以及细节测试等各个阶段,以提高审计的效率和质量。相较于传统的分析程序,基于分析工具的数据分析可应用于更大的相关审计数据集,提升注册会计师通过分析海量数据而获取审计证据的能力,提高审计质量和审计效率。
二、影响审计中数据分析质量的关键因素
多种因素会影响在财务报表审计中应用数据分析的质量。一个较为系统的应用思路可以确保不遗漏重要的步骤,保持职业怀疑和运用职业判断可以确保注册会计师恰当使用数据分析工具并应对其分析结果,对数据相关性和可靠性的评价则是有效执行审计数据分析的重要条件。本文主要就这些关键因素进行讨论。
(一)应用审计数据分析的总体思路
数据分析可应用于审计的不同阶段,其通用思路可总结为计划数据分析、为数据分析目标获取和整理数据、评价所用数据的相关性和可靠性、具体执行数据分析以及评价和应对数据分析结果五步骤。
1.计划数据分析,包括确定数据分析所针对的财务报表账户、披露和相关认定,数据分析的总体目标和具体目标,应用数据分析的总体,以及选择数据、程序及具体步骤等。数据分析的总体目标取决于其应用于审计的哪个阶段。用于风险评估的数据分析,目标是为了识别和评估重大错报风险;用于了解和测试控制的数据分析,目标是为了评价控制的设计或运行的有效性;用于实质性程序的数据分析,目标是为了获取实质性证据、识别和评价错报和未更正错报等。
2.为数据分析目标获取和整理数据。
(1)数据获取。用于分析的数据可能储存于被审计单位不同的信息系统,这些系统可能是被审计单位从第三方采购的标准系统,例如SAP,也可能是自行开发的IT应用系统,或是二者的结合,如在标准的外购系统中增加自定义模块。被审计单位信息系统成熟度的差异化,以及数据来源的多样性和复杂性,为注册会计师获取数据带来了挑战。
(2)数据整理。数据整理主要是为了识别数据中的错误,包括数据一致性校验、处理无效值和缺失值等工作。某些数据错误问题可能比较容易解决。但是,所识别事项的频率和性质可能会引起注册会计师对数据质量是否适合数据分析目的的质疑。例如,这些事项可能表明对数据的控制未有效运行。在极少数情况下,可能有迹象表明,在对被审计单位开展调查,以确定问题的根本原因并采取进一步适当的行动纠正会计或业务记录之前,数据将无法被用于审计。
3.评价所用数据相关性和可靠性。见下文第(三)部分的讨论。
4.具体执行数据分析,特别是当ADA识别出大量需进一步考虑的项目时的应对。当ADA针对较大总体进行全量测试时,注册会计师最初可能会识别出大量异常项目,需要注册会计师进一步考虑,是否存在较高水平的重大错报风险。在某些情况下,使用ADA最初识别的项目可能表明存在之前未识别出的风险(新风险)、高于初始评估的风险水平、控制缺陷或错报。在其他情况下,使用ADA识别的部分或全部异常项目实际上可能并不代表存在上述事项(即这些项目有时可能被称为“误报”)。
5.评价和应对数据分析结果,即得出执行数据分析的目的和具体目标是否已实现的结论。
(二)保持职业怀疑和运用职业判断
数据分析技术的应用引发了若干新的风险和考虑。IAASB在2021年3月发布的文章中,以常见问题解答的形式,讨论了使用自动化工具和技术,以及被审计单位信息系统产生的信息过度依赖技术的风险及其应对,认为过度依赖可能有多种形式,例如不理解自动化工具和技术,或假设自动化工具和技术在被审计单位信息系统的输出是适当的、无须进一步考虑即可使用。过度依赖技术可能是因缺乏职业怀疑或职业判断导致的。
对于应用数据分析工具而言,运用职业判断和保持职业怀疑主要体现在如下方面:(1)识别与数据分析相关的数据集并理解数据之间的关系;(2)选择可以达到审计目标的数据分析工具或程序;(3)确定使用数据分析工具或程序的参数;(4)解读并应对分析结果中的例外事项;(5)避免自动化偏见,例如,注册会计师可能倾向于支持自动化系统生成的信息,即使存在与该信息的可靠性相矛盾的信息;(6)避免过度依赖单一来源的信息,如被审计单位信息系统产生的信息、管理层准备的仪表盘或预测数据。
IAASB在其2021年3月发布的指引中提出了若干应对措施,包括“在事务所层面实施政策或程序、设计或定制技术资源、增强培训以及建立职业判断意识并利用行为激励因素”。
(三)对数据相关性和可靠性的考虑
对于数据分析而言,注册会计师应当考虑数据是否相关且可靠以实现其目标。
1.数据的相关性。《〈中国注册会计师审计准则第1301号——审计证据〉应用指南》第27段指出,“相关性,是指用作审计证据的信息与审计程序的目的和所考虑的相关认定之间的逻辑联系。用作审计证据的信息的相关性可能受测试方向的影响”。该指南第28段进一步指出,“特定的审计程序可能只为某些认定提供相关的审计证据,而与其他认定无关”。
在不同审计目标下,对于同一套数据,注册会计师可能识别出不同的需要测试的相关数据要素。例如,会计分录测试的相关数据总体可能根据审计决策而不同。当注册会计师评估与会计分录相关的舞弊风险存在于报告期末(自“财务报告结账流程开始日”至“财务报表报出日”),而决定仅测试报告期末的会计分录时,那么报告期末的会计分录数据就是相关的,反之,会计期间(自“报告期初”至“财务报告结账流程开始日”)的会计分录则不相关。
2.数据的可靠性。注册会计师在评价数据的可靠性时,应考虑数据的准确性和完整性,并考虑使用数据的程序的目标。一般而言,与传统审计中使用的信息相比,评价数据分析所用证据可靠性的基本原则并没有什么不同,特别是:(1)外部信息通常被认为比内部信息更可靠;(2)数据分析程序的目的决定了对其所依赖信息可靠性评价工作的性质和范围。注册会计师预期从数据分析程序中获取的证据的范围越大,则需要对其所依赖的相关数据要素的可靠性获取更有说服力的证据。
此外,与实施进一步审计程序中使用该信息以获取审计证据相比,在出于风险评估的目的而依赖被审计单位的信息时,注册会计师通常需要较少的证据,可能只需要通过询问了解被审计单位生成的信息的性质和来源、编制方式,包括管理层如何确定被审计单位生成的信息的完整性和准确性,并基于分析程序的目的,判断是否已针对有关信息的可靠性获取了充分的证据。当数据用于实施进一步审计程序时,例如评价被审计单位内部控制运行有效性、实施实质性分析程序或细节测试等,注册会计师需要评价就实现程序的目的而言,相关数据是否足够准确和完整。
3.对被审计单位信息技术相关控制的考虑。某些情况下,被审计单位高度依赖信息技术系统和流程,注册会计师无法直接测试数据可靠性(例如,当被审计单位使用电子数据交换,系统没有外部数据可进行溯源测试时)。注册会计师可测试被审计单位信息系统生成、维护数据相关的IT控制,包括相关的信息技术一般控制和应用控制,以获取数据可靠性的审计证据。
三、践行审计方法变革的建议
(一)贯彻落实并推动会计工作数字化转型
财政部《会计信息化发展规划(2021—2025年)》指出,“十四五”时期会计信息化的总体目标之一是“加快推动会计数字化转型升级”,包括“加快推动单位会计工作、注册会计师审计工作和会计管理工作数字化转型”。2024年6月28日,第十四届全国人大常委会通过了《关于修改〈中华人民共和国会计法〉的决定》,首次将会计信息化写入会计法,并且在第八条提出“国家加强会计信息化建设,鼓励依法采用现代信息技术开展会计工作,具体办法由国务院财政部门会同有关部门制定”。2024年8月7日,作为贯彻落实新会计法的重要举措之一,根据《会计改革与发展“十四五”规划纲要》《会计信息化发展规划(2021—2025年)》,财政部修订印发了《会计信息化工作规范》(财会〔2024〕11号)及《会计软件基本功能和服务规范》(财会〔2024〕12号),这两项规范为加快推动会计工作数字化转型提供了制度基础,为企业提供了会计信息化理念、技术、方法等方面的指导。
(二)积极拓展数据分析应用的场景和理论内涵
目前应用的信息技术和工具主要包括IDEA、PowerBI、Tableau、鼎信诺、eCPA审计软件,以及事务所自行开发的针对特定场景的例行程序。据了解,会计师事务所普遍较少使用例如光学字符识别(OCR)技术、区块链技术和人工智能技术,并与数据分析相结合执行审计程序。如果注册会计师能够更多利用包括人工智能和机器学习技术等在内的信息技术,与数据分析相结合、拓展应用场景并开发系统工具,不仅可以使分析全量数据成为可能,并且使审计的风险评估程序、控制测试和实质性程序整合在一起实施成为可能,进而可能改变“风险导向型审计”的执行模式。
(三)提高注册会计师的专业胜任能力保持专业胜任能力是注册会计师应遵循的职业道德基本原则之一。
1.理解和应用信息技术。
(1)了解被审计单位的信息系统。注册会计师需要更深入和全面地了解被审计单位的信息系统。对信息系统的了解需要从流程层面下沉到数据层面,即在了解信息系统一般控制和应用控制测试的基础上,进一步了解系统层级,如应用层、数据层、操作层和网络层,并了解各个层级的数据结构(例如,数据存储的媒介、期间、是否是结构化数据等)。同时,由于业务数据是财务信息来源,为财务信息的真实性、准确性和完整性提供支撑,因此,注册会计师不仅需要了解信息系统中的财务报告模块,还要了解信息系统中的重要业务模块。
(2)理解和运用数据分析工具。注册会计师不仅需要在操作流程方面能够运用数据分析工具,同时也要理解数据分析工具对数据进行分析的逻辑、对数据格式的要求、分析结果类别和内容、使用环境、人工参与程度和固有限制等。在此基础上,注册会计师才有能力针对设计的审计程序选择适用的数据分析工具,以获取充分、适当的审计证据。
2.分析能力和职业判断。
(1)对数据的分析。注册会计师进行数据分析的前提,是确定数据之间存在可识别的逻辑关系。在审计过程中,无论是风险分析、控制测试还是实质性程序,注册会计师往往面临海量数据,包括被审计单位内部数据和外部数据、财务数据和非财务数据、当年数据和历史数据,以及结构化数据和非结构化数据等。在对被审计单位业务流程的理解和以往的审计经验基础上,注册会计师需要有能力识别相关的数据,并分析出数据间有价值的关联,以据此设计审计程序,获取充分、适当的审计证据。进一步地,注册会计师要有能力运用如MSPowerBI、Tableau等商业智能和分析软件进行数据可视化展示,并进行有意义的分析。
(2)职业判断的运用。在运用专业知识和技能时,注册会计师应当合理运用职业判断。应用数据分析使得注册会计师将更多的精力投入到高风险领域,并在审计工作的较早阶段即可能通过全量数据的分析,更深入地了解被审计单位、识别重大错报风险。数据分析不能取代职业判断,反而要求注册会计师运用更高水平的职业判断,并在审计过程中保持职业怀疑,避免过度依赖信息技术和偏见。在数据分析的不同阶段,离不开注册会计师运用职业判断。
在数据准备阶段,注册会计师要基于对数据的分析,清楚理解其所需的数据,并判断数据采集的范围。如果数据采集范围过大,注册会计师要在数据采集难度和数据的可靠性、相关性之间进行权衡。在数据分析阶段,注册会计师对于数据分析的时点考虑、选择适当的数据分析工具和模型,以及输入假设条件和参数等的情形,均需要运用职业判断。
在数据分析结果的评估阶段,注册会计师需要运用职业判断解读分析结果中的例外事项。相比基于抽样理论的传统审计程序,数据分析涵盖更广泛的数据,分析结果中可能出现更多的例外事项。一方面,要对例外事项有明确的定义;另一方面,要判断例外事项产生的原因,例如是否是由于数据干扰所造成的影响,还是由于工具中设定了不恰当的参数导致出现了不应有的例外事项,这就要求注册会计师对数据分析工具进行深入的了解。同时,数据分析工具的开发者需要制定适用于审计场景的详细的使用手册,提醒注册会计师关注可能导致潜在例外事项出现的地方。当跟进例外事项时,注册会计师执行的跟进程序的性质、时间安排和范围需要运用职业判断。
(四)加强对数据分析的资源投入和管理整合
1.培养数据分析专门人才。数据分析具备较强的专业性,要求注册会计师既具备审计和财务知识,又要具备数据分析相关的专业知识和职业技能。
会计师事务所领导层应意识到,审计转型过程中所需的人才,其知识框架已得到很大的拓展。会计师事务所需要加大信息化人才培养力度,重视培养和引进具有财务审计、信息系统审计、大数据分析等技能的复合型人才,满足信息化环境下对新型人才的需求。考虑注册会计师需要的技能,建立从易到难的数据分析与审计相结合的培训课程体系,以满足不同背景注册会计师的需求,并且根据内外部环境的变化和知识的更迭来更新培训内容。会计师事务所可以考虑培养数据分析“先锋”,参与项目组审计计划阶段的工作,识别可应用数据分析的适合场景,以点带面,提升注册会计师的整体数据分析水平。
会计师事务所专家团队可以根据注册会计师的需求定制化取数工具、算法和数据分析工具,及时、有针对性地反馈注册会计师数据分析团队的问题,并加强自身对于审计实务的理解。数据分析专门人员能够对审计工作提供支持,使审计执行工作能够充分利用现有数据,深入认识和关注异常信息,从而识别风险,并对风险的重要性和可能性作出评估。跨部门协作,多领域专家参与审计,助力数据分析在审计中的运用,应对日益复杂的问题。
2.加强质量管理体系建设。会计师事务所需要基于对自身审计客户群体特征的了解、审计项目组的需求、信息技术的可获得性以及战略发展目标等考虑因素,制定数据分析的战略与目标,进行详细的资源规划。《会计师事务所质量管理准则第5101号——业务质量管理》第七十二条要求事务所及时且适当地获取、开发、利用、维护和分配人力资源、技术资源和知识资源,支持质量管理体系的运行和业务的执行。
会计师事务所应当对数据分析自动化工具进行集中化准入、测试、审批、培训和维护等管理,把控和监督数据分析带来的操作问题和质量风险。在事务所整体层面,应建立和维护集中审批的数据分析工具清单,并提供配套的培训和指引。事务所整体层面对于数据分析工具清单的管理,有助于审计项目组加深对所用数据分析的了解和应用。
财政部和国家互联网信息办公室2024年4月15日发布的《会计师事务所数据安全管理暂行办法》要求加强会计师事务所数据安全管理。会计师事务所需要建立一套质量管理流程和内部控制,在数据的收集、存储、使用、加工、传输等数据处理过程中,加强对于数据安全的管理。
(五)积极推动数据分析审计方法论和审计准则的发展随着数据分析在审计中得到越来越广泛的应用,目前许多会计师行业专业团体都对数据分析的审计方法开展了研究工作。作为国际审计准则制定者,IAASB 将科技作为影响其准则和未来活动最相关的战略驱动因素之一。IAASB 的科技工作组(前身为数据分析工作组)编制了实务技术资料,以提供有关如何在风险评估过程中使用自动化工具和技术的示例,并作为技术资料发布于 IAASB“科技”网页的“自动化工具和技术”专题中。数据分析是上述 IAASB 发布的有关“自动化工具和技术”资料中所讨论的重点内容之一,为数据分析方法论确立和发展提供了坚实的基础。
中国注册会计师协会在借鉴国际审计准则最新成果的基础上,结合我国实际情况修订了《〈中国注册会计师审计准则第1211 号——识别和评估重大错报风险〉及其应用指南》(征求意见稿)。修订说明指出,在应用指南的相关部分中单独加入了“自动化工具和技术”的小标题,对注册会计师如何在审计工作中利用自动化工具和技术提供了指引,以适应新的审计环境。其他国家的准则制定者或监管机构也在积极研究和推动数据分析技术的应用。
在审计中深入而广泛地应用数据分析是注册会计师行业与时俱进、实现从传统审计向“数据驱动型”审计,从而提高审计质量的必然选择。另外,数据分析可以为审计服务提供增值价值,通过分析数据,注册会计师能够向管理层和治理层在经营管理方面提供更深入的洞察和建议,促进企业内部控制和管理水平提升。
END