信息技术辅助审计工作（下）（来源：《中国注册会计师》，2018-11-15）【编者按】在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。

注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。

同时，信息化也对注册会计师的审计技术和方法带来革命性变化。

为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书，已经出版。

本刊约请作者加以摘编，分期连载，以飨读者。

一、CAATs工具的选择（一）常见CAATs工具的类型常见的计算机辅助审计工具包括以下几类：1. 通用类软件：Microsoft Office系列软件，其中使用最为广泛的为Microsoft Word，Microsoft Excel以及Microsoft Access；2. 专业审计软件：ACL，IDEA等；3. 数据库软件：Microsoft SQL Server，MySQL，Oracle等；4. 数据统计分析软件：MATLAB，SAS，R等；5. 数据分析及展示软件：Tableau，Qlik View等。

审计人员应当选择适当的工具以应对不同的审计场合。

对于大量数据的处理，根据不同的情况，可以选择MicrosoftExcel，Microsoft Access、专业审计软件或者各类数据库软件；如果涉及数据未来的预测或是统计分析，可以选用Microsoft Excel或者各类数据统计分析软件；如果为了在大量交易中发现异常记录，则可以选择专业的统计或可视化软件进行数据分析，或者使用专业审计软件中的功能（例如本福特定律）发现异常的数据。

在实际业务操作中，专业审计软件和数据处理是系统审计专家所执行的计算机辅助审计工作中最为普遍的一种。

一方面，财务审计团队对于数据处理的需求相比其它类型的工作要多；另一方面，除了Microsoft Excel外其它的数据处理工具的使用均需要一定的技术能力。

（二）各类数据处理软件的特点通用类软件相比其他软件易于操作，仅需要有限的知识技能储备即可上手使用，是使用最为广泛的工具，但此类软件能够处理的数据量较小。

Microsoft Excel作为数据处理程序，能够通过内置的函数对数据进行核算分析，同时对于拥有一定编程知识的用户，可以使用VBA 设计相应的宏（Macro），实现复杂的数据处理过程。

Excel的优势在于操作简便易于上手，而其缺点也很明显，单页的数据容量为100万条左右，大量数据的处理将占用系统内存与CPU资源，影响计算机的使用。

Microsoft Access能够导入不同格式的数据文件，通过简单的SQL语句对数据进行处理。

相比Excel，Access在处理数据条数上没有限制，通常可处理数据条目数大于Excel，但由于Access存在文件大小和其他的限制（如文件不能大于2GB），因此依然无法处理大量的数据。

数据库软件能够处理大量的数据，但对于导入数据的格式有严格要求，同时需要使用结构化查询语言（Structured Query Language，简称SQL）进行数据处理，因此对于使用此类软件的人员有着较高的技术要求。

数据库既是数据审计的工具也是数据审计的对象。

目前传统企业主要使用的是关系型数据库。

随着互联网的兴起，大数据时代来临，部分互联网企业为了快速存储处理大数据而使用非关系型数据库，例如NoSQL。

目前在数据处理过程中，审计人员依然会选择关系型数据库对数据进行处理，但审计人员仍然应当熟悉NoSQL等非关系型数据库，一方面便于理解数据提取的逻辑，同时在未来也存在此类新型数据库取代关系型数据库作为数据处理工具的可能。

数据统计分析软件主要用于基于统计学的数据分析，在财务审计过程中需要使用该类软件的情景较少。

同时该类软件对于使用者也有着较高的要求，并且此类型中的不同软件均有着特定的使用语言。

专业审计软件拥有强大的功能，能够记录数据的修改日志并保留完整的审计轨迹，生成可靠的审计证据，为审计人员底稿记录提供便利，因此此类软件更适用于专业的审计从业者。

同时，专业审计软件有着不同的使用语言，对于使用者有着很高的要求，目前专业审计软件主要在各大会计师事务所使用。

可以按照表1所示的依据进行工具选择。

（三）大数据环境下的新型审计工具此类工具主要由会计师事务所研发，目前主要用于日记账的审计工作。

该工具采用了新一代技术来识别高风险交易及低效的流程。

很多人认为日记账能够被高层所凌驾。

他们能够绕过企业的控制，脱离正常的业务而创建修改日记账，并且掩盖错误及舞弊。

该工具能够被用来发现这种高层凌驾的风险。

该工具能够利用一系列的算法帮助审计人员高风险的交易以及财务与系统中的低效流程。

该工具适用于任何系统，并且能够应对不同规模的企业。

该工具目前主要的算法是用于识别异常高/低频交易、异常高/低频操作用户、异常高/低频会计科目、异常金额凭证等。

其不仅用于分析财务中的高风险交易，同时也能对较为冗余的人员、合作方进行识别，提升运营效率。

日记账审阅是审计反舞弊的关键工作，但传统的方式已经无法满足针对海量日记账的监管。

该工具采用新一代的技术改善了这一情况，使得企业能够实现实时的监控。

通过使用该工具，审计人员可以通过查询日记账揭示科目、个人用户、日期、日记账类型、金额间的关系及模式。

它不仅是审计人员发现风险识别舞弊的工具，也能够帮助企业管理人员进行内部监管提升效率。

在大数据时代下，目前此类工具只是一种尝试。

在未来，更加开放的工具将能够实现对各类海量业务数据的分析，既为审计提供便利，也为企业带来价值。

二、特殊行业中CAATs的使用在互联网行业兴起的大环境下，针对此类行业的审计成为了新的课题。

虽然目前各个行业均逐步迈向信息化，CAATs也在各行各业的审计工作中都有应用，但互联网行业的特殊性使其在审计过程中更加依赖CAATs，对其要求也更高。

互联网行业与实体产业不同，互联网行业中交易的商品、提供的服务可能并不涉及实物，也不存在相应的纸质凭证，交易及其实质均体现于业务系统中的数据。

业务数据的准确性、完整性与真实性是基于互联网行业的重点审计领域。

由于业务数据量巨大，常规的审计抽样已经无法满足此类企业审计的要求。

审计人员必须依赖业务数据分析发现异常交易，获取系统数据的审计信心。

由于各个企业业务模式不同，相应的业务数据分析方法也应当根据行业及被审计企业的具体情况进行设计，以下我们的方法介绍仅为了拓展注册会计师在审计中的思考方向及考虑方面，案例也无法覆盖所有业务情形。

除了针对一般行业需要执行的测试外，审计人员还可以使用以下方法重点对业务数据的真实性、完整性进行测试：1. 依据系统中业务数据所统计得到的应收账款数与外部支付渠道的对账通常互联网企业（例如在线交易平台或网络游戏企业）为用户设置了相应的账户，用户需要通过各种渠道进行充值，方能在线完成交易。

该测试用于验证企业所发生的交易均存在相应的资金流入，也是互联网企业审计中少量能够与外部数据进行核对的测试。

理想情况下，该测试应当针对每笔交易进行对账测试。

该测试通常认为是互联网企业审计中其它数据测试的基础，因为该测试可能是唯一与现实实物（即资金流入）相挂钩的测试。

该测试同样存在局限性，例如外部支付渠道可能仅包含一段时间内的交易总金额，因此无法进行每笔交易的对账测试，同时对于交易实质的真实性也无法识别。

2. 业务数据的交易实质检查即使完成了第一步测试，确认业务数据于外部支付渠道的金额一致，审计人员仍然仅能够确保每笔交易记录并非通过修改数据进行伪造，而无法确保交易实质的真实性。

这是由于存在企业模拟交易操作而产生虚构交易数据的可能性，虚构交易并非虚构数据，其交易与实际业务操作一致，因此系统将其视为正常的交易数据。

通常虚构交易的用户为互联网企业的内部员工或外部合作方。

由于互联网行业的用户主要为通过唯一ID进行识别的个人用户，但即使针对用户存在互联网实名制的合规要求，系统仍然无法直接识别每笔交易的对象，判断交易的真实性。

如果存在完善的第三方数据，例如支付宝明细账单，在业务数据与外部数据对账的过程中，审计人员可以核对业务发生的用户与外部支付用户的一致性，由此发现存在的异常代为支付的情况。

此种方法依然受限于外部对账单的形式。

针对在线交易平台，如果企业系统能够记录每笔交易的用户IP 地址，审计人员可以通过匹配交易发生IP地址的对应城市与物流信息发现异常的交易。

此种方法能够很好的将交易数据与实物进行匹配，但也有其局限性，例如用户通过代理或者VPN访问网站进行交易，系统IP地址记录的是局域网IP等。

以上方法均是借助系统数据与外部用户标识进行逐笔匹配，是最为直接的异常发现方式，但在大部分场合无法完全奏效，因此审计人员仍然需要使用其它数据分析的方法识别数据异常的高风险领域。

审计人员需要识别可能存在虚构交易的数据。

借助CAATs，审计人员可以以各个维度提取交易数据进行分析。

按照时间维度提取交易数据，审计人员可以检查企业的交易是否满足行业的周期性变化，例如电商行业在双十一期间的交易量会出现明显的峰值，游戏行业在游戏大版本更新时会出现峰值等。

若将时间维度提取数据的精度提高（例如精确到分钟、秒甚至毫秒级别），则审计人员可以检查企业是否存在同一时刻的大量交易，此类交易可能是由机器软件定时模拟正常用户所进行的交易。

利用时间维度进行的数据分析可以采用箱线图等统计图例进行分析，发现异常的数据。

审计人员由此判断异常交易发生的高风险月份，重点对该月的交易进行分析。

按照用户维度提取交易数据，审计人员可以检查是否存在异常交易的用户。

这种测试方法要求审计人员对行业及企业业务有较为深刻的理解，通常由审计人员分析一些具有代表性的指标进行异常用户分析，例如退货退款比率异常的用户、交易频率异常的用户、资金消费与资金流入比率异常的用户等。

退货退款比率异常可能是由于企业内部人员的虚构交易或外部人员的欺诈交易；交易频率异常及资金消费与资金流入比率异常可能是由于企业内部人员或企业的外部推广公司为实现推广效果而产生的大量虚拟交易。

有时为了更加全面分析用户，审计人员需要结合多项指标同时对用户进行分析，此时数据可视化能够大大增加审计人员分析的效率，并且更为精准发现异常。

随着人工智能的发展，神经网络也逐渐成为一种异常用户分析的方法。

现阶段受制于训练数据的匮乏，审计领域尚未出现成熟的神经网络模型。

但未来随着技术的逐步发展，神经网络也将会成为一种主流的数据审计方法。

3. 业务数据内部勾稽关系的验证互联网行业的审计虽然均依赖系统中的数据，而缺乏现实实物进行参照比较，但其业务数据内部存在千丝万缕的联系，并且存在互相之间的勾稽关系。

例如：电商平台的交易数据、发货数据及物流数据间存在互相匹配关联的关系；平台内用户的余额、充值金额及消费金额也存在着期初+充值-消费=期末的勾稽关系。