信息系统审计和财务报表审计分析范文

在会计信息化水平不高的阶段，传统财务审计在实践中并不重视信息系统审计，有可能出现被审计单位在系统数据中舞弊，而注册会计师基于这些数据进行“假账真审”的情况。随着越来越多的智能技术应用于被审计单位，财务工作也越来越依赖各类信息系统。注册会计师对被审计单位信息系统的关注程度也在不断提高。Braze和Agoglia（2007）的研究发现，注册会计师的会计信息系统（AIS）专业水平越高，其对控制风险进行评价的能力越强，其审计判断的水平也越高。随着人机一体化程度的提高，信息系统审计师在信息系统审计中也更加需要注册会计师在财务专业上的支持，特别是审查系统中与财务、业务相关的具体算法和模型等。智能技术的发展使得信息系统审计师和注册会计师之间的协作更加紧密，是否会促使信息系统审计和财务报表审计的融合？本文就该问题从融合的动因和融合的趋势等方面进行分析。

一、信息系统审计和财务报表审计

根据《中国注册会计师审计准则第1101号———注册会计师的总体目标和审计工作的基本要求》，在执行财务报表审计工作时注册会计师的总体目标是：对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证，使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。凡是为实现上述目标所进行的审计工作都属于财务报表审计的范畴，即广义的财务报表审计。广义的财务报表审计又可以细分为信息系统审计和狭义的财务报表审计。后者主要指广义的财务报表审计中除信息系统审计以外的审计工作。本文主要讨论的是信息系统审计和狭义财务报表审计的融合。

二、信息系统审计和财务报表审计融合的动因

智能技术的应用是信息系统审计和财务报表审计融合的技术背景。智能财务将人工智能为代表的“大智移云物区”等新技术运用于财务工作，借助于智能机器和人类财务专家共同组成的人机一体化混合智能系统，进行策略生成、策略选择和智能判断，以完成企业复杂的财务管理活动（刘勤和杨寅，2018；韩向东和余红燕，2018；刘梅玲等，2020）。人类专家和智能机器的协作程度越来越高，使得人机在财务工作中的作用难以严格区分。因此针对财务工作中人类专家的财务报表审计和针对智能机器的信息系统审计也难以界定各自的边界，甚至出现融合的趋势。从注册会计师的视角，信息系统审计和财务报表审计融合的动因可以分为内部和外部。注册会计师对审计风险的控制是融合的内部动因。注册会计师对财务报表整体是否不存在由于舞弊或错误导致的重大错报发表意见。这些舞弊或错误的源头可能隐藏在信息系统中。在财务智能化时期，这些舞弊或错误可能更难被发现。但是无论审计工作是否进行了信息系统审计，注册会计师都要对最终的审计结论承担责任。这就迫使注册会计师在智能化时期更加关注信息技术风险。财务报表预期使用者（包括审计业务的委托方）对财务报表审计的预期是融合的外部动因。随着智能技术的应用，财务报表预期使用者要准确地理解已经实施智能财务的被审计单位的财务报表，不仅需要财务专业知识，还需要信息系统专业知识。这无疑加大了财务报表预期使用者利用信息的难度，他们将更加依赖于兼有财务和审计专业能力，又有信息系统专业素养的注册会计师。综上，在智能化的技术背景下，在内、外部动因共同的作用下，注册会计师和信息系统审计师的协作会更加紧密，并可能进一步出现信息系统审计和财务报表审计融合的趋势。

三、信息系统审计和财务报表审计融合的趋势

在会计信息化时期信息系统审计和财务报表审计界限清晰。而在财务智能化时期，在信息系统真实性审计阶段，可能会出现信息系统审计和财务报表审计融合的趋势（见图1）。如果对信息系统真实性审计再行细分，则会发现其中的应用控制审计是与财务真实性审计融合的节点。1.对信息系统进行评估的制度依据。虽然信息系统审计可以为财务报表审计的控制测试提供支持，但是现阶段的各种规范并没有将信息系统审计作为财务报表审计必须的前提步骤。一方面信息系统审计会增加整个审计项目的成本，不利于会计师事务所在审计市场上的价格竞争；另一方面考虑到财务报表对信息系统的依赖程度可能还没有那么高，信息系统审计的迫切性通常不高。只有在电信等特别依赖于信息系统的行业，信息系统审计比较受到重视。但是根据《中国注册会计师审计准则第1211号———通过了解被审计单位及其环境识别和评估重大错报风险》及其应用指南的要求，注册会计师都需要从信息技术和人工系统的关系、对财务报表具有重大影响的各类交易、获取除交易以外的对财务报表重大的事项和情况、财务报表的编制过程等方面了解被审计单位的信息系统。即使不实施信息系统审计，与信息系统相关的信息技术风险在客观上还是会影响审计风险的总体水平。所以注册会计师需要评估被审计单位的信息系统对舞弊或错误导致的重大错报风险的影响，并在接下来的审计过程中采取相应的对策。这类评估在会计信息化时期相对比较容易，而在财务智能化时期则显得越发困难。如果有专门的、由信息系统审计师实施的信息系统审计，注册会计师则可以在了解被审计单位及其环境识别和评估重大错报风险时借鉴信息系统审计的相关结论，将信息系统的影响纳入被审计单位的整体环境中进行综合评估。2.融合的纽带———信息系统真实性审计。（1）会计信息化是实现融合的必要条件。在会计信息化时期，信息系统审计和财务报表审计的区分非常明确。除信息系统绩效审计外，信息系统审计还包含两个阶段：信息系统安全性审计和信息系统真实性审计。这两个阶段都是针对系统和数据层面开展的审计工作。信息系统安全性审计的主要目标是审查被审计单位信息系统和数据的安全性、可靠性、可用性和保密性等。信息系统真实性审计的主要目标是审核被审计单位的信息系统和数据的真实性、完整性和合法性等（陈耿等，2014）。一般情况下，前者具有更基础性的作用，偏重于信息系统的硬件和软件方面，主要考虑信息系统受到各种因素影响仍能正常运行的概率、对数据泄密的预防和授权与访问等问题，与财务报表审计之间存在间接关系。信息系统安全性审计可以为信息系统真实性审计提供依据（见图1）。例如，当信息系统的安全性较高时，数据出现被侵入或篡改的概率也会较低。信息系统真实性审计需要审查被审计单位信息系统中的数据是否如实地反映了各类经济事项；信息系统对这些经济事项的记录和处理是否被删除和篡改，从而使其不能从整体上反映经济事项的本质；信息系统对各类财务和业务数据的记录和处理是否符合相关的法律法规和规范。只有经过上述审查的信息系统才会被认定为具有信息系统真实性。如果被审计单位在信息系统中进行舞弊或者出现错误，将直接导致财务数据的错误。信息系统真实性审计与财务报表审计直接相关，特别是财务报表审计中的财务真实性审计。信息系统真实性审计可以为财务真实性审计提供依据。财务真实性审计的目标就是审查财务报表是否真实和公允。真实是指被审计单位的财务报表是否与客观事实相符。公允是指被审计单位的财务报表是否与法定的反映要求（报表编制基础）相符（谢荣和吴建友，2011）。在会计信息化时期，大部分财务数据都要通过信息系统处理。信息系统信息的真实性水平必然会影响财务报表的真实和公允。被审计单位的信息化程度越高，信息系统这种影响就越大。在这个阶段，注册会计师的处理方法一般有两种：一种是不实施信息系统审计，注册会计师主导（也可以借助IT专家的协助）对信息系统的评估，一般在控制性测试阶段进行，并基于测试和评估的结果进行下一步的审计流程；另一种是先由信息系统审计师进行信息系统审计（见图1），包括信息系统安全性审计和真实性审计，注册会计师再基于信息系统审计的结果进行财务真实性的审计。（2）财务智能化是实现融合的充分条件。随着被审计单位财务工作逐步向智能化过渡，“大智移云物区”等更多的智能技术应用于财务工作，使得人机一体化的水平逐步提升。财务工作中由智能机器自动化处理的部分占比越来越高，财务工作对信息系统（智能机器）的依赖程度越来越高。财务报表及其数据真实性越发受到信息系统真实性的影响。在财务智能化时期，信息系统的真实性与财务报表的真实性之间存在更加直接的关系，智能机器的处理能否如实地反映被审计单位的各类经济事项将直接关系到财务报表是否与客观事实相符。信息系统真实性审计中的合法性和财务报表真实性审计中的公允性具有较强的联系。在较高的自动化水平下，智能机器对各类财务和业务数据的记录和处理如果符合相关的法律法规和规范，则在其他因素不变的情况下，财务信息的公允性也会相应提高。信息系统真实性审计中的完整性对财务真实性中的真实性也会产生影响。例如，智能机器对各类经济事项的记录和处理如果没有被错误地删除或篡改，那么在其他因素不变的情况下，财务报表层面数据的真实性程度也会相应提高。在自动化程度最高的理想状态下，利用人工智能中的感知智能并结合知识图谱等技术实现了财务报表的自动化生成，则信息系统的真实性审计和财务真实性审计可能完全融合。财审论坛由于人机一体化程度的提高，信息系统真实性审计和财务真实性审计的界限变得模糊。在初期，信息系统审计师和注册会计师之间的协作变得更加紧密。信息系统审计师要判断人机一体化混合智能系统的真实性，需要更多地借助注册会计师的判断，特别是在算法、模型等会计专业性较强的领域。而注册会计师对财务真实性的判断也将更加有赖于对人机一体化混合智能系统的总体评价。注册会计师可能发现单单直接使用信息系统审计师的评价结果还不足以有足够的信心就财务报表的真实性做出判断。一方面注册会计师可以进一步咨询信息系统审计师有关人机一体化混合智能系统的更加详细的信息，并结合财务领域的知识做出更加综合的判断。另一方面部分具有较高IT素养的复合型注册会计师则开始溯流而上，尝试打开信息系统这个“黑箱”，直接将信息系统架构、流程、算法、模型等内容与财务和业务进行综合的分析，以对由人机一体化混合智能系统“编制”的财务报表的真实性做出更加全面的判断。发展到这个阶段，信息系统真实性审计既可以由信息系统审计师来完成，在一定程度上也可以由（持有信息系统审计资质证书的）注册会计师来完成。在财务智能化时期，在信息系统真实性审计工作范围内，信息系统审计和财务报表审计可能开始融合。3.信息系统真实性审计中的一般控制审计和应用控制审计。将上文所述融合的纽带———信息系统真实性审计再细分为一般控制审计和应用控制审计两部分。笔者认为，根据两个部分与前后各阶段关联的紧密程度，信息系统真实性审计的一般控制审计部分更倾向于信息系统审计阶段；而应用控制审计部分与财务真实性审计的关系更加紧密，更倾向于财务真实性审计阶段。（1）一般控制审计保留在信息系统审计阶段。信息系统真实性审计中的一般控制审计与信息系统安全性审计都要延伸到对人机一体化混合智能系统的整个生命周期，所以一并实施效率较高，效果较好。对于信息系统真实性审计中的一般控制审计，在系统规划阶段的审计重点是审查信息系统是否考虑了财务报表预期使用者对信息真实性、完整性的认知。在系统设计阶段的审计重点是审查人机一体化混合智能系统是否符合财务和业务部门的需要，系统架构和拟引入的各种智能技术对财务报表真实性的影响。在系统实施阶段，需要重点审查和验证模型和算法的正确性、合规性及其对财务报表真实性的影响。人机一体化混合智能系统的人机交互比较频繁，系统的稳定运行也会影响数据的真实性，特别是对及时性要求较高的数据。系统处理数据并输出结果的时点将把同样的数据置于不同的上下文环境中，进而影响财务报表预期使用者的判断。在系统运行和维护阶段，需要重点检查运行管理的制度及其执行情况。对于异常记录要区分异常和缺陷（普华永道中天会计师事务所编写组，2018a），分别评估其对财务真实性的影响。在对每个阶段的审计中，都需要评估这些要点对财务报表数据真实性的影响以及对识别和评估财务报表重大错报风险的影响。（2）应用控制审计融入财务真实性审计阶段。在财务智能化时期，人机一体化混合智能系统中交易、账户、报表信息处理的真实性直接影响到财务真实性。信息系统真实性审计中的应用控制审计与财务真实性审计有直接的关系，而且都对财务专业度具有较高的要求，两者的融合具有一定的基础。现行的信息系统应用控制一般思路是从财务报表科目追溯到业务流程和交易。在评估潜在错报风险的基础上，进一步映射到具体的应用控制，然后初步确定所涉及信息系统的范围（普华永道中天会计师事务所编写组，2018b）。这个过程需要大量来自注册会计师的协助。而具有较高IT素养的复合型注册会计师可以在信息系统审计师的协助下逐渐主导该阶段的应用控制审计。在评估潜在错报风险的基础上，从财务报表科目追溯到业务流程和交易，并同步映射到人机一体化混合智能系统具体的应用控制。然后以科目为单位一并进行应用控制和财务真实性审计。财务报表审计的整体审计策略会影响应用控制审计的范围和重点，应用控制审计的发现也会影响财务真实性审计下一步实质性测试的范围。注册会计师可能根据财务真实性审计的发现，追加应用控制审计的步骤，然后根据新的发现，进一步追加财务真实性审计的步骤，在一定程度上重复应用控制审计和财务真实性审计的部分步骤，以提高其审计判断的准确性。

四、结语

在智能化的技术背景下，注册会计师和信息系统审计师的协作会更加紧密，并可能进一步出现信息系统审计和财务报表审计融合的趋势。这是一个渐进式的过程，其中注册会计师和信息系统审计师各自审计责任的划分、相关审计规范的完善也是值得研究的问题。另外，为了更好地适应这个趋势，如何培养复合型注册会计师人才也同样需要进一步地探索。

参考文献

［1］韩向东，余红燕.智能财务的探索与实践［J］.财务与会计，2018，（17）：11－13.

作者：黄长胤