信息系统审计可分为内部控制审计和数据真实性合法性审计两个方面,而后者成为审计人员发现问题和发掘问题的主要信息来源,因此对信息系统内部的数据分析成为目前信息系统审计工作的重中之重,但是如何从大量的、杂乱无章的海量数据中发现潜在的、有用的信息却成为信息系统审计亟须解决问题。目前的信息系统审计方法中所涉及到的数据分析法有测试数据法、平行模拟法、在线连续审计技术等方法,但是这些方法一方面技术门槛较高,一般审计人员无法涉足;另一方面每次测试结果差异性较大,如果多次测试会导致审计周期延长,审计成本增加。由于上述原因,审计人员在信息系统审计中,不得不通过盲目的浏览大量的财务和业务数据,来从中发现有问题的特征数据,使得信息系统审计从一种常规审计变成了一种“特殊审计”。通过多年的审计经验,笔者结合信息系统审计数据量大的特点,提出将数据挖掘技术与传统审计分层抽样相结合的方法,缩小了审计人员审查数据的范围,降低了信息系统审计中数据分析的门槛,使得审计效率大大提高。现在,笔者就将信息系统审计下,审计分层抽样的研究内容进行一一介绍。 一、传统的审计分层抽样 审计分层抽样是指先将总体的单位按某种特征分为若干次级总体(层),然后再从每一层内进行单纯随机抽样,组成一个样本。分层可以提高总体指标估计值的精确度,它可以将一个内部变异很大的总体分成一些内部变异较小的层(次总体)。分层抽样比单纯随机抽样所得到的结果准确性更高,组织管理更方便,而且它能保证样本总体中每一层都有个体被抽到。而对于审计来说,它可以使得审计人员只需要对于被抽取出的部分样本进行审计即可,因为这些样本已经具备了所有被审数据的全部特征,因此分层抽样技术在审计抽样中常被采用(如图1)。
图1 分层抽样流程图 目前审计分层抽样模块的研究与开发还处于起步阶段,在国内的审计软件中,大部分的分层抽样模块是通过传统的统计学抽样方法来实现的,比如在现场实施审计系统(AO)的抽样审计模块中就有分层抽样的功能。审计过程中具体的分层抽样如下:一个单位2008年业务招待费共500笔,为了了解这个单位业务招待费的真实性和合规性,审计人员需要对这500笔的财务支出进行逐笔的核对工作,这是一个简单但是漫长的工作,因此审计人员决定采用分层抽样的审计方法。首先审计人员确定从中抽取一个容量为100的样本,样本容量与总体的个数的比为1∶5,为了在抽样中更好地发现问题,我们将数据进行分层,招待费支出0-5000元的分为第一组(低风险区,125笔)、5000-10000元的分为第二组(中风险区,280笔)、10000-30000元的分为第三组(高风险区,95笔)(如图2),这样在各个风险区域内抽取的样本个数依次为125/5,280/5,95/5,即25,56,19。通过AO软件中的分层抽样工具,审计人员只需要对上述三个层次内的共计100笔支出内容进行审计即可达到审计目的,不但缩短了审计时间,而且还提高了审计效率。
图2 传统数据分层图 二、信息系统审计下传统审计分层抽样的不足 传统的审计分层抽样虽然能够为审计人员带来较高的审计效率,特别是在数据量巨大的信息系统审计中,效果尤其明显。但是笔者发现,在审计机关的近年的信息系统审计项目中,审计人员很少将该方法运用到信息系统审计中。经过与现场审计人员的探讨,笔者发现有如下几点原因: (1)适合审计机关使用的审计抽样参数不健全,影响了审计统计抽样方法的使用。审计抽样参数不仅是审计抽样方法运用的基础,而且是审计经验与统计学原理结合的产物。由于我国审计机关处于审计抽样实践的探索阶段,因审计抽样经验不足,虽然形成了一些经验数据,但未能形成体系,影响了审计统计抽样方法的使用。比如在信息系统审计中,审计人员对住房公积金的归集数据进行审计分层抽样时,抽取样本的数量、样本的置信区间、允许的误差值等等抽样参数,均需要审计人员自行确定。一旦这些参数设置不准确,抽样的结果也会明显的不同,无形中加大了审计风险。 (2)审计分层抽样方法的一维性,很难适应目前信息系统中数据多维化的需要。审计人员反映,在对被审计单位的财务数据进行分层抽样时,一般是按照金额字段来进行的,因此大多数分层抽样算法均是建立在针对一维数据的分析和计算上,即使是较为先进的AO软件也同样如此,但是随着被审计单位信息化的发展,业务数据也被纳入了审计抽样的范围,同时业务数据的多维性(例如产成品的抽查,需要考虑产成品的型号、生产时间以及出厂价格等因素)也为审计抽样带来难题。 (3)抽取样本数量巨大,如何通过样本数据的特征查找出所有的特征数据成为难点。审计人员普遍反映,虽然审计分层抽样技术能够通过抽取一定数量的样本来缩小审计范围,但是针对数据量巨大的信息系统(如医保数据),单项业务数据均在500万条记录左右,即使通过审计分层抽样方法,样本数量也需要在20-50万条记录左右,对于审计人员来说,从这些样本中查找出特征数据工作量仍然很大。即使审计人员查找出特征数据,如何采用适当的技术方法扩展到审计对象总体,得出该类问题在总体中金额大小,成为制约审计人员数据分析的瓶颈。 三、解决审计分层抽样在信息系统审计中存在问题的对策 根据审计人员在信息系统审计中所提出的困难和问题,笔者结合计算机学科的数据挖掘的算法知识,对现有的审计分层抽样方法进行了改进,使之能更加适应信息系统审计的需求: