Mayer-Schonberger和Cukier(2013)提出了现代生活“一切皆可数据化”的思维。随着计算机、物联网、传感器等技术的发展,数据生产方式由人、机的二元世界转变为人、机、物的三元世界,引发了数据规模爆炸式增长和数据构成的高度复杂化,人类社会已经进入大数据时代(Steve,2012)。全球数据量已经从GB级发展到PB级,甚至开始向EB级和ZB级发展(李国杰和程学旗,2012),数据将会成为最重要的生产资料(GAO,2018)。在数据呈现大量和高速发展的同时,数据非结构化趋势明显,半结构化数据和非结构化数据增长速度快于结构化数据增长速度。 如何运用数据挖掘方法挖掘数据背后的规律与价值将成为人类社会共同面临的问题。2007年,图灵奖获得者吉姆·格雷提出科学研究的第四范式(The Fourth Paradigm of Science),其实质是科学研究将从以计算机为中心向以数据为中心转变(彭宇等,2015),即由经验向预测转变、由注重因果关系向相关关系转变、由抽样分析向整体分析转变以及从精确性向精确性与非精确性并存转变(李育卓,2013)。以数据为中心的社会思维方式转变正在潜移默化地影响着审计工作。大数据时代,审计人员是否仍然能够按照传统审计处理逻辑开展审计工作?审计取证模式、审计流程、审计技术方法和审计作业模式是否应当发生变革?审计规范体系和审计人才如何适应大数据时代发展的要求?这些问题成为摆在审计理论界和实务界面前的重要课题。本文接下来将围绕“大数据时代的审计变革”这一主题进行深入阐述。 二、大数据时代对传统审计的影响 财务业务一体化思想使得企业资源计划(Enterprise Resource Planning,ERP)在企业经营管理中得到广泛运用,经济业务的发生会自动驱动采购与付款系统、生产系统和销售与收款系统等采集电子数据,并将电子数据存储于业务数据仓库之中。而财务共享服务中心的理念与架构则直接驱动企业财务数据与业务数据进一步集中存储于“财务云”之中,即业务数据与财务数据全面“云化”。政府资源计划(Government Resource Planning,GRP)的应用使得金融、财政、海关、税务等关系国计民生的重要部门开始广泛运用计算机、数据库和网络等进行管理,政务信息全面数据化。面对审计环境这一重大变化,传统审计还能否完全适应,值得我们深思。 (一)传统审计取证模式的局限性日益凸显 审计取证模式是指为实现特定审计目标而采取的审计策略、方式与方法。传统审计取证模式经历了由账项基础审计到制度基础审计再到风险导向审计的历史演进。账项基础审计的取证模式以会计账簿作为审计取证的切入点,制度基础审计的取证模式则以传统会计账簿和内部控制制度为取证切入点,而风险导向审计的取证模式则以广泛的风险评估和内部控制制度为取证切入点。传统取证模式的共同特征表现为均以纸质材料等为切入点,通过检查纸质材料以获取审计线索或审计证据。在大数据时代,传统审计取证模式正面临着严峻挑战,被审单位的绝大部分内部控制手段固化于信息系统之中,业务活动和财务活动全面信息化与数据化,传统审计线索逐步减少甚至消失,传统审计取证模式的局限性日益凸显。围绕“以数据为中心”这一时代主题,审计取证模式应当适应大数据时代的发展要求实现革新,审计取证切入点必然转向被审单位的信息系统和底层电子数据,即对被审单位信息系统进行审计以获取内部控制有效性的证据,运用数据分析技术与方法提高审计工作的效率和效果。 (二)现代风险导向审计流程呈现不适应性 审计取证切入点的根本性变化势必会对现代风险导向审计流程产生巨大冲击。现代风险导向审计的整体流程分为审计计划、风险评估、风险应对和审计报告四个阶段,大数据时代对现代风险导向审计流程的影响主要包括以下几个方面(如图1所示): 1.对审计计划阶段的影响。在以数据为中心的社会思维影响下,审计取证切入点的彻底变革要求配置计算机审计专业人才,尤其是精通信息系统审计、数据库处理技术和数据分析技术的专业人才。信息系统审计人才需求主要是应对被审单位绝大部分内部控制手段固化于信息系统的变化趋势,而数据库处理技术与数据分析技术等人才需求的变化主要是应对被审单位业务活动与财务活动全面数据化的现实环境。审计专业人才配置的变化并不是对传统审计人才的否定,而是为适应外部审计环境的变化,需要传统审计人才多学习现代技术以及与现代审计人才配合,以完成对被审单位的审计工作。
2.对风险评估阶段的影响。现代风险导向审计开展风险评估主要目的在于识别被审单位的重大错报风险,为抽样审计工作的开展夯实基础。而在大数据时代,数据分析技术的飞速发展将促使审计数据分析能力大幅提升,出于降低审计风险的目的,抽样分析向整体分析转变将成为现实,即全样本审计成为现实,这一转变将使得目前的风险评估程序未来有可能会成不必要的程序,审计流程直接进入风险应对阶段。此外,服务于风险评估的内部控制测试程序,将被整合至风险应对阶段,传统内部控制测试逐步演变为信息系统审计,即对信息系统可靠性、有效性等进行测试。