联网审计(audit-online)作为一种先进的审计手段已经被广大审计工作者接受,并且联网审计模式已经在我国多个省(市、自治区)开展试点应用,取得了较显著的效果,如浙江省杭州市的综合数据分析系统(财政联网审计系统),江苏省太仓市、山东省青岛市的社会保险联网审计系统等已经过开发、部署,并进入实质应用阶段。但是,由于审计业务人员对审计信息化认识的不足,审计信息化人员在地方审计机关力量的相对薄弱及知识融合度的缺乏,导致现在已建成的联网审计系统还在一个较低层次的应用水平上运行。主要体现在:联网审计仅为手工审计的计算替代品;联网审计系统中的模型搭建与分析技术落后;缺乏安全性与开放性。本文将通过分析联网审计的认识误区,提出改进的建议。 一、联网审计的认识误区 误区一:联网了,实时取数了,就是联网审计了。 目前,联网审计在很多应用中只作为手工审计的替代品。很多审计工作者认为计算机审计和手工审计的区别是计算机可以处理大量的数据,从而提高审计效率,减轻审计工作量;而联网审计就是实时可以取得被审计单位数据,可以实时快速了解被审计单位的财务、业务状况。这个观点不能说错,但很片面。联网审计最重要的是要利用计算机技术进行实时分析判断,产生实时分析结果,并生成供审计业务人员利用的分析汇总数据及预警效果。而现有的联网审计系统在数据的实时利用性和预警处理上相对薄弱,没有产生对问题数据的“免疫力”。当然,当前的许多联网审计系统已经开始部署预警模块,如杭州市审计局的审计数据综合分析系统,开始利用计算机分析及数据实时性的优势进行自动化审计。 误区二:审计分析模型就是把政策规章、业务人员的思路以计算机语言的形式表达出来,在系统中进行固化,以便进行计算机自动化审计。 已有的审计分析模型往往只运用于政策合规性的分析,模型简单,应用层次低。造成这个问题的原因有两点:一是审计业务人员不理解计算机能干些什么;二是没有信息化审计的思路。审计业务人员往往简单地认为,计算机审计只是把原本手工审计的材料,手工审计的审计思路赋予计算机执行罢了,导致在系统开发需求分析过程中,提不出合理有效、有特点的审计思路。如很多地方的社保系统联网审计就是在进行合规性分析,财务处理上是不是符合文件规定;待遇审核上是不是合法;待遇支付上是不是合规,有没有冒领养老金、失业金等等。但这还远远不够,还需要对支付能力进行预测判断。这就要搭建分析模型,利用已有的数据,对以后的支付能力进行预测,当然这个模型不能用简单的方式完成,如求平均、做线性回归等方式,而要与人口出生死亡率、男女比例、寿命分布概率、城市GDP增长速度、人口流动趋势、居民收入增长趋势等多项因素相结合。 误区三:联网审计实行数据加密传输,非常安全。 联网审计的被审计单位往往是重要部门,数据安全性十分重要。现有的联网审计系统对传输安全性做了处理,进行了数据加密传输,取数方式一般采用前置机方式,从被审计单位信息系统上取数,置于前置机上进行处理,也不会破坏被审计单位数据。但是对两点往往没有足够重视,一是在开发过程中,软件开发公司往往有自己的测试账号、测试链路进行开发调试,在系统交付后没有进行收回和封闭;二是审计业务人员的权限分配不够细化,操作日志管理薄弱,不便于保密工作的开展及责任追究。安全是需要的,开放也是需要的,二者并不矛盾。在保证系统安全的前提下,可以做开放性的接口,便于与外系统交换数据。因为联网审计系统处理的往往是海量数据,相关业务部门甚至相关单位可能在符合有关规定的情况下,需要取得某些数据进行二次处理分析;联网审计系统也不是封闭系统,往往需要取得外界数据进行综合分析。数据目录系统的建立和数据接口规范的设计十分重要,但在现有系统的开发中,往往被忽视。 二、提高联网审计应用水平的对策建议 (一)加强审计业务人员的信息化培训,开拓新思路。所谓的信息化培训,不是仅指普通的计算机操作技能培训,而是倾向于开阔眼界的、宏观层面的培训。因为计算机操作技术只是一种简单的技术手段,要提高到信息化审计理念的高度才能促进审计事业的发展。要让审计业务人员了解信息化审计的特点,多多接触信息化审计的案例。 (二)进行计算机人员的审计业务培训。审计机关信息技术人员大多并不熟悉审计业务。审计业务人员经常开展计算机培训,而对信息技术人员开展会计、审计类的培训很少。这种情况下难免会对审计业务人员和信息技术人员的沟通交流造成障碍,对系统建设过程中的需求分析、设计合需性、最终的运行效果造成影响。 (三)加强审计模型搭建工作。现有的审计模型搭建工作存在功能简单,应用层次低的情况。审计模型的搭建主要应当由审计业务人员提出业务需求,在信息技术人员的配合下进行构建。对于复杂模型的搭建要寻求数学类专业人员的协助。要提高审计模型的有效性,一是要开拓思路提出有效需求,二是要多方人员配合协助;三是要逐步探索完善。 (四)加强系统安全性。系统开发过程中,审计机关需要和软件开发实施单位签订保密协议;对测试权限、链路进行登记管理,保证开发完成后关闭;加强用户权限管理模块功能,对用户接入系统严格管理,细化权限分配;对用户的关键性操作做日志记录,比如导出核心数据。