大数据环境下的内部审计技术与应用

一、问卷调查法

在内部审计收集资料过程中，最基本、最重要的手段是“看”与“问”，看即查看、观察，问即询问、问卷。问卷调查法是通过设计问题的调查方式，帮助内部审计人员熟悉被审计单位的基本情况、评估控制与风险的一种技术方法。问卷调查表包括开放式的调查问卷和内部控制调查问卷。开放式的调查问卷主要要求被调查者以叙述回答的方式提出问题，寻找信息，帮助内部审计人员了解组织信息。而内部控制调查问卷是从一个已知的或想要的答案中去寻找一个是或否的答案。它是一种符合性的测试，主要用来对控制进行持续的评估，包括风险评估等，往往以“是”或“否”的答案形式存在。

（一）问卷调查法的作用

在处理时效性较强的审计事项时，审计人员需要事先根据审计项目的需要编制好固定问题的问卷，如此，在进行现场审计时，只需要完成审计问卷中的内容，大大提高了效率。而制定问卷内容时，应当涵盖被审计单位的实际情况，同时参考以往经验，使问卷能兼顾共性与特性。一般而言，制定与使用问卷要遵循以下步骤：

第一，设计调查问卷。问卷主要经过选题、初步探讨、提出设想等步骤，最后是设计问卷阶段。调查问卷的长短没有统一标准，它根据调查的目的、内容、性质及相关的人、财、物等方面的因素决定。一般而言，内容不宜太多，以15～20分钟完成为宜。问卷问题的排列非常重要，它不仅影响问卷的填写，还间接影响问卷的回收率。一般而言，安排问卷问题时应遵循以下原则：①先易后难原则。②同类集中原则。③先次后主原则。④先一般后特殊原则。⑤先封闭后开放原则。⑥先客观后主观原则。

第二，选择调查对象可以采用抽样方式，也可以全部实施调查。

第三，分发调查问卷可以采用邮寄、派人送发等多种分发方式。在内审实际工作中，多以送发方式进行。

第四，回收和审阅问卷也可以采用邮寄、派人回收等形式。

第五，对结果进行统计、分析与研究，总结问题形成工作底稿。

（二）问卷调查法的特点与注意事项

问卷最大的优点是在提高效率的同时降低审计成本，同时，由于问卷的客观性与不可变性，人为因素对调查的干扰也大大降低。其缺点在于：不能了解具体、生动的情况；很难对调查的问题进行深入了解、查看；问题的真实性和质量得不到保证，回收率有时难以得到有效的保证。

设计调查问卷时需注意事项主要包括：调查问题表格要尽可能简短；提出的问题要通俗、易懂、可答；调查问题的语言使用要准确；提出的问题要带有中立性，不偏不倚；调查的问题要考虑全面。

这里的全面指的是问卷内容应涵盖被审计单位中所有与审计事项相关的内容。大体而言，这些内容包括：①被审计单位是否依法办事，其经营内容是否违背现行法律。②被审计单位目前最重要的事情、存在的问题及解决方案。③内部控制系统是否适当和有效，关键性控制环节和措施有哪些。④被审单位的资源使用是否经济与高效。⑤业务信息和会计信息是否真实、可靠等。当然，在实际的工作中，并不要求对以上几点内容做到面面俱到，根据被审计单位的实际情况选择特定的内容是更具可行性的选择。

问卷的使用是为了提高效率，同时在一定程度上提高审计工作的客观性。但要注意的是，审计人员不能刻板地使用已有模板设计问卷，而是要根据被审计单位的实际情况，有的放矢地设计问卷内容。否则就难以完成预期的审计目标。另外，在实施调查问卷的过程中还要保持谨慎的态度，不断地完善内审调查审计工作。

（三）大数据环境下的问卷调查法

在大数据环境下，问卷可通过网页或相关软件进行在线调查。网络问卷调查，就是用户依靠一些在线调查问卷网站，这些网站提供设计问卷，发放问卷，使用者通过链接将问卷发送给调查对象，且网络问卷多可根据调查对象所选全部数据进行归纳，使用者可简单直观的看到数据显示或百分比。网络问卷可在手机、电脑上使用，一般耗费调查对象5～10分钟的时间。

二、流程分析法

流程分析法是内部审计快速查找业务风险事项最好的分析方法之一。流程图是某种作业过程所涉及步骤与程序的逻辑关系的图形表现方式。有时也叫输人图，它能直观地描述一个工作过程的具体步骤。正式的流程图应该是标准化的，它提供了对系统真实的了解和分析复杂经营的一种工具，能帮助企业管理者做出因为详细叙述方式并不能总是取得成功的分析，内审人员更加喜欢这种图解式的分析方式。流程图的主要作用是明确运营步骤及职责人员，有助于内审人员分析确定工作中无效环节、缺少环节或存在的控制弱点。

（一）流程图的分类

流程图是由一些图框和流程线组成的图形。其中图框表示各种操作的类型，图框中的文字和符号表示操作的内容，而流程线条则表示操作的先后次序。流程图分为系统流程图、程序流程图、数据流程图、程序网络图、系统资源图。根据其表现形式分为：①水平流程图。水平流程图（也叫系统流程图）将系统中所涉及的部门和职能以水平的方式表述在页面上。②垂直流程图。垂直流程图是从上到下的形式反映某程序的连续步骤，但不能清晰反映系统所涉及的各个部门及职能。

工作流程分析方法是内部审计工作中最重要、最基本的分析方法，是对企业流程进行优化和流程管理的基础和前提，是对企业运行方式的全景式扫描和慢镜头式的检阅。经过整个流程后的产品或服务应起到增值作用。有些可能是增加价值，如加工产品；有些可能是增加服务，如审批等。

（二）流程分析的作用与步骤

第一，流程分析的作用。具体作用包括：分析一个复杂的系统，确定工作流程的有效性与合理性；步骤环节分析，确定存在的风险；优化流程分析，确定高效运转；确保控制有效，产品服务增值；对各个风险控制点进行归集，确定风险重点。

第二，流程分析的步骤。具体步骤包括：根据工作需要，选择确定相应的工作流程图；按照流程图的步骤，进行对应的分析；标出各个步骤存在的问题及风险；根据存在的风险，确认关键风险控制点；对各个风险控制点进行归集，确定风险重点。

（三）流程分析运用举例

从整个企业组织而言，企业组织机构是流程管理的起点，而岗位是流程运行的连接点。对于整个集团公司流程而言，从公司战略与愿景开始，根据企业总目标，到企业组织机构设置，到流程结构、流程活动的分析。而内部审计常用的就是对流程活动的分析，其目的在于寻找流程存在的问题、关键控制点、主要风险点，以便于展开内部审计工作，更好地为集团服务。

在整个业务过程中，如何确定供应商，如何确定价格这两个步骤是整个过程的重中之重，也就是最关键的控制点。这两个步骤，主要是给所有供应商一个公开、公平、公正的内外部竞争环境，防止采购员偏爱某些供应商，给予超过比例的采购额度，防止采购过程出现管理漏洞；同时，也为公司选择物美价廉的供应商，从而降低采购价格，降低公司的生产经营成本，以达到增加公司利润的目标。另外，通过流程分析，审计师可以查找出问题在哪里，操作人员涉及哪个部门，管理漏洞在哪个层次，可以快速发现问题发生环节、地点、人员，能比较迅速查找到原因；另一方面，根据流程分析，审计师可以据此提出更改、优化或流程再造的管理建议，以加快业务过程，提高企业运营效率。

（四）大数据环境下的流程分析法

大数据环境下流程分析法的流程图可以不需要员工单独制作。初步需要大量且全面的数据采集，包括已有数据的录入和正在产生的数据采集；采集后的数据需要进行清理与验证，来保证审计的质量；建立数据仓库将数据集中管理。当审计员需要资料时，可以在数据仓库搜索相关数据，自动生成流程图，提高了工作效率。

三、风险评估法

风险评估是风险管理的基础，是制订审计计划、审计方案的重要依据。评估出问题，才能确定要审哪里，进而才有可能对问题进行防范与控制。这里所做的全面风险分析，目的是确定组织机构风险的重要性与严重程度。进行风险排序后确定风险最高的组织或部门，以便安排内部审计人员进行确认、鉴证风险，并管理风险，对企业管理层提出可执行的风险管理建议，通过排除、化解、转移、预防等措施，确保组织机构在相对安全的环境中运营。

（一）风险评估法的方法

要降低被审计对象可能面临的风险，并尽可能地减轻这些风险的负面影响，必须使用适当的方法对其进行风险评估：

（1）定性分析。作为目前在风险评估工作中最受欢迎的评估方法之一，简便是定性分析最大的优势。但是也不可避免地带有主观因素，因为定性分析所依赖的重要评估标准是评估者的经验和判断。当然，当内审部门对企业内部足够熟悉，或在风险评估上有足够深的造诣，那么这种操作简单的方法不失为一种降低成本、提高效率的好办法。然而，不依赖指标的评估还是容易受个人偏好影响而产生结果上的偏差。相较而言，定量分析更注重从数据出发得出结论，因此比定性分析更客观。除此之外，相比于定性分析，定量分析的直观特点更不易产生理解上的偏差。但是定量分析也有缺点，首先，定量分析需要大量数据为基础，同时进行大量计算，这就提高了成本；其次，定量分析虽然精确，但分析项目的片面可能会导致结果的片面。

（2）评分法。这种方法依赖专家打分。不同部门的专家对其各自擅长领域的风险系数进行评估，并给出分数，不同部门得分相加得到总的风险数值。分值越高，风险越大，分值越低，风险越小。评分法的具体操作步骤包括：①根据风险识别的结果，确定每个风险因素的权重，确认每个项目的影响程度。②确定每个风险的等级值，等级值按很大、较大、中等、不大、较小分为五等。③将每项风险因素的权重乘以每个风险的等级值，求出各分值总分。④将各项等级分值总数相加，高分者风险高。

（3）打分法。对要评估对象的各个因素以统一标准进行打分，分数越高，风险越大，反之风险越小。

（4）定量分析。除了上文所提及的定量分析的优缺点，还有一些操作上的步骤需要遵循：首先，明确所有风险因子；其次，对这些风险因子赋值；最后，以一定模型计算总数值，并以此为依据判断风险程度。在这一过程中需要注意两个因素：风险发生的概率以及风险可能造成的危害程度。

（5）风险清单。风险清单能提供一个框架，用来识别成为公司最大威胁的风险，使这些风险在计划中得以考虑。内部审计人员在实际工作中，应结合公司的具体情况，划分各类风险区域，从企业外部环境到内部管理，从内部的组织机构、部门设置到管理制度、流程、职责等方面进行考虑，针对不同的风险因素，制定适用于本组织的风险评估问题清单。

首先，按照合理步骤制定清单：①判断能够承受的最高风险程度；②合并同类风险；③制作标准清单；④精简清单。

其次，明确内部和外部风险。对内外部风险以差异化的方式进行评价。

（二）大数据环境下的风险评估法

大数据时代的到来，让审计人员从检查交易样本改为去分析所有交易对象，覆盖面广了之后，会检测到所有数据，这对风险评估而言，会更加准确地评估风险所在的领域，即使在几年之后，如果对往年的结论有异议，也可以去数据库找到之前的数据信息，进行核查比对。

风险评估过程中，审计人员在了解被审计单位环境时，大数据提供了企业所处行业的状况，这些数据信息加以汇总整理，审计人员就可以直接去分析外部环境与被审计单位之间的联系，通过不同主体间的相关性分析得出结论，大数据就提供了一种外部证据，这些证据的可信度、准确度也会有一个很大的提升，因此审计的效果也是显而易见的。

大数据存储在数据库中，当审计人员想要获得相关数据信息时，便可以直接获取权限，在数据库中查找到想要的数据，大数据下的审计，可以让审计人员随时随地在数据库中分析数据，得出结论。所以，没有时间和地点的限制，既增加了审计工作的灵活性，也提高了效率，同时节省了人力财力。

大数据技术的战略意义，其实在于对这些含有意义的数据进行专业化处理。在风险评估中，需要一种特别的方式来展示、解释、分析和应用数据，并且达到有效传播的目的，这就是数据可视化技术。在了解被审计单位时，大数据技术为企业提供了更加直观准确的信息，这就是大数据帮助企业进行风险评估的一个大的方面。

四、审计抽样方法

审计抽样指的是从现有的样本中抽取一定数量的样本作为代表样本进行检测考察。通过对抽取样本的分析调查，来判断总体样本的特征和特点的方法。审计抽样方法是在审计过程中最为常见的一种方法。而抽取样本的数量和样本的准确度都会影响审计结果。

第一，抽样总体。抽样总体指的是为了达到审计的目的，准备的一些具有相同性质和类似特征的样本总和。

第二，抽样单位构成。抽样总体之中的某个项目元素被称为抽样单位。在上文举的案例中出现的发票就可以称作抽样单位。

第三，样本。样本指的就是在抽样总体中，抽出几个案例用以应对审计抽查。样本中所对应的数量就可以被称为样本量。在确定样本量时，审计师应当考虑抽样风险，预计可以接受的差错量，预期差错的范围。

第四，可靠程度。顾名思义，可以理解为样本的准确程度。是指根据抽样样本所对应的总体特征，所代表的整体的准确度。

第五，可容忍差错率。可容忍差错率是指审计师愿意接受且能够实现审计目标的总体最大差错率。可容忍差错率需要审计师的主观判断预计差错率是在检查中预先估计会出现的差错率。实际差错率是检查后确认出现的差错率。根据公司、项目的情况不同可能有不同的可容忍差错率。

（一）审计抽样类型

审计人员针对实际情况从审计样本中抽取一些具有代表性的样本进行审计，就叫审计抽样，用样本审查结果推断总体特征并作出相应结论的过程。抽样分为统计抽样与非统计抽样，统计抽样客观方法确定样本量的大小，而非统计抽样是根据内审人员以前的经验主观判断样本量的大小。在实际工作中，内部审计人员常用概率抽样或随机抽样，主要考虑是可量化抽样和审计风险。

统计抽样又称为概率抽样，是以概率论和数理统计方法为基础，按照随机原则从总体中抽取一定的样本量进行审查，从而对总体特征进行推断的审计抽样方法。统计抽样可以从最小的样本量中产生希望得到的结果。统计抽样提供了量化的数据和对抽样风险、置信水平、精确度的量化。统计抽样非常适用于计算机审计。统计抽样提供了可靠的测试结果和客观的业务建议。它最典型的抽样模式是属性抽样和变量抽样，以下是对两种抽样方式的简单总结：

（1）属性抽样。属性抽样是出于对总体特征和内部控制的遵循而实施的统计抽样方法。它主要用于符合性测试，主要能确定是或否、对与错，适合于确定内部控制的有效性，但不能确定准确率，只能确定有“多少个”。其又包括种类：

第一，发现抽样。内部审计人员在进行审计工作时，怀疑甚至发现已经有不当行为存在发生时，就需要对样本进行审核。然而样本数量通常很多，所以发现抽样法在此时就得以运用。

第二，连续抽样。是不事先预测抽样总量，通过不断地抽样，直到样本数量足够得出审计结论。这种抽样方法的最大优点是效率高，是比较经济的一种审计方法。

第三，固定样本量。与连续抽样不同，固定样本意味着要事先确定样本总数，这就要求审计人员事先制订相应表格、确定样本数量，并以这些固定数量的样本推断被审计对象的总体情况。

第四，分层抽样。顾名思义，就是事先根据样本的实际情况和审计需要对样本进行分层，每一层都是一个小的总体，通过对小的总体的审计，以推断总体。

第五，分块抽样。分块抽样是先把总体分为若干个子群（块），然后一群一群地抽取作为样本单位。它通常比简单随机抽样和分层随机抽样更实用。具体做法是：先对各子群体编码，随机抽取分群数码，然后对所抽样本群或组实施调查。也就是说，分块抽样是将每一块看做一个单位，每个单位一旦被抽中，则这个单位内的所有样本都要被审计。这些群或组可以是一个家庭、一个班级，也可以是一个街道、一个村庄等。

（2）变量抽样。变量抽样主要是对被审单位总体进行定量估计，并对总体的数量特征加以描述，常用于与货币金额有关业务的实质性测试。也就是说，主要对金额或数量进行抽样，适用于应收账款、存货及固定资产的测试，确定其有“多少数额”，这也是它与属性抽样的主要区别。其又包括如下种类：

第一，平均数抽样。当被审计单位的审计对象呈正态分布时，可以采用抽取平均数的方法来推算总体。

第二，货币（金额）单位抽样（简称PPS）。该方法在货币金额大时最有效。常用于应收账款、投资、贷款、固定资产增加的审计，缺点是样本量大。在实际操作中，这种抽样方法以货币单位为基础，以所在的物理单元作为审计抽样的样本。这种操作是基于随机抽样理论，在金额总数较大时，该单位就有更大的被抽中的可能。

第三，差额估计法。差额估计法是一种利用审定值和账面值之间的差异额度，和总体个体数量之间的数量关系，来推算整体样本的总体价值的方法。当存在大量差异时，通常采取此类方法。

第四，比率估计法。比率估计法的第一步是利用样本总审定值和账面值之间的比例关系，和总体账面值之间的数量关系，来推算总体价值。如果其中的数量关系有所改变，则可以采用此方法；如果是相反情况，则宜选用差额估计法。当被审计对象的数值与账面总数值总比例时，比率法才行之有效。这一方法与平均数抽样法的区别就在于审计员对估算总体标准差的界定以及从样本出发推算总体的算法不同。

（二）审计抽样执行步骤与抽样方法选择

审计抽样执行的步骤主要包括：制订审计抽样的计划方案；确定被审计对象，对总体样本进行整理归类；对样本特性、抽样方式等进行设计；确定审计抽样的具体方法；按计划选取所需的样本，对样本进行审查；评价抽取样本的结果，拟定审计工作底稿。

审计抽样要遵循以下准绳：①样本必须具备代表性。②从审计目标角度进行抽样，否则无法有的放矢。③总体中的每个抽样单位都拥有相等的被选中的机会，否则审计结论不准确。既然样本如此重要，那么，选择样本的方法就显得更加重要了。根据现有资料，可以发现有六种选择抽样的方法。

审计抽样的方法包括：

第一，随机抽样。随机抽样通常被认为是可以产生一个具有代表性的样本最可靠的方法。在随机抽样中，总体的每个抽样单位都有一个对应码，这些对应码组成一个随机数表，然后通过计算机程序进行随机选号，再将号码对应的抽样单位组成样本。这样就可保证每个抽样单位被选中的概率都是已知的且不等于零。随机抽样最重要的是为每个柚样单位分配对应码。

第二，分层抽样。当总体中的抽样单位存在很大差异的时候，应采用分层抽样，就是将总体分成经过明确定义的具有相似特性的子体，从而使每一个抽样单位只属于某一层，然后再分别对每一层进行随机抽样或间隔抽样。分层抽样实质上就是把抽样总体细分，使样本能更好地反映总体的特性，降低抽样风险。至于如何分层则需要审计师的判断。

第三，间隔抽样。间隔抽样又称系统抽样，是指间隔地抽取样本。

（三）大数据环境下的审计抽样方法

在审计过程中，审计人员需要根据自己的洞察能力来分析相应的异常情况，并发现海量数据中的孤立点，而后和相关人员进行深度沟通，以全面了解审计需求。在明确审计需求时，涉及数据理解及业务理解的内容，数据理解包括对业务流程及审计部门的理解，对原始数据的分析和收集，对数据的初步探索和检测。业务理解包括数据挖掘目标，项目计划，评估审计目标资料等，根据相关需求来进行假设。

随着大数据时代的来临，许多被审计单位的数据越来越呈现出海量化的趋势，不少单位已建立起TB甚至PB级的数据库。审计抽样作为计算机审计的一个至关重要的模块。根据大数据的特点，从数据量、数据结构、数据处理方式三个方面分析大数据环境下进行审计数据分析所需的技术要求，从分析学和使用者的角度阐述了大数据环境下进行审计的数据分析方法和分析结果的显示需求。

面对当今企业数量庞大、种类繁多的数据，要通过审计抽样方法实现审计目标，最优的方案莫过于利用数据挖掘技术。基于概率和数理统计理论的审计抽样在计算机软件的辅助下，就可以在保证科学性的前提下，有效地提高审计效率，降低审计成本。然而，现有的研究虽然也有这方面的考量，却忽视了领域知识和审计样本与审计目标间的关联规则对审计抽样结果的影响。

五、分析性复核方法

分析性复核方法是内部审计人员对财务和非财务信息资料中的一些关系或比率进行分析和比较，从而达到明晰重点、获得审计证据的目的。这一方法能够帮助相关人员快速高效地获得证据，为审计人员判断下一步审计活动提供决策基础。分析性复核方法适用于审计准备阶段、审计实施阶段、审计报告阶段。

（一）分析性复核的作用

分析性复核方法是比较常用的一种方法，通常来讲它的作用包括：确定各种数据之间的关系；发现并确定存在意外差异；分析确认是否存在异常变化；发现潜在的不合规不合法的情况；对企业经营能力评估；结束审计，减少详细的审计测试。

（二）分析性复核的内容

第一，将当前信息与前期相类似的信息进行比较，确定其波动情况及发展趋势。如今年的销售收入比上年同期增加了20%。

第二，将当前信息与预测、计划与预算信息进行比较，并比较分析存在差异。如预算的实际使用情况与计划信息进行比较，超过计划15%。

第三，比较财务和与之相对应的非财务信息。例如，对比公交车公司汽车汽油消费量和汽车总量的变化。

第四，将被审单位的信息与其他同行业的信息进行比较，并作出相关的差异分析。

第五，分析比较组成因素的联系。以分析其组成因素之间是否存在一定的关系。

第六，本部门信息与机构其他类似部门的同类信息进行比较，如将来源于经营部门的数据与财务数据进行比较。

第七，对重要信息内部组成关系或比率进行计算与分析。如利用复式记账原理，对账户内部关系进行比较。在对比的过程中，只要具有可比性就有可比的可能。

（三）分析性复核的主要方法

在进行分析性技术时，内部审计人员可以根据被审计部门的情况、特征，利用自身的专业判断采取不同的分析技术方法。通常而言，常用的分析性技术方法包括：

第一，简单比较分析法。简单比较法是指被审计单位相关的财务数据、指标或比率与既定的标准进行比较，获得审计证据的一种技术方法。

第二，趋势分析法。通过对一个或几个审计对象进行一段时期内变动趋势研究，分析未来的走向及变动幅度。

第三，结构分析法。结构分析法是指通过被审计单位某一财务项目换算为占总体百分比，并将其与以前年度的相关数据进行比较，以获取审计证据的一种技术方法。

第四，比率分析法。通过分析比较财务数据及与之相关的数据的比值，并将这个比值与标准比值比较。其主要目的是揭露财务或经营成果的变化及原因，协助预测未来的发展趋势。

第五，回归分析法。根据变量之间的关系，用于确定和衡量一个变量和另一个或多个变量之间可预见的一种数学方法。它对于产品销售、成本、利润等方面进行预测或检验，以分析公司计划、定额或预算是否正确。

（四）分析性复核实施步骤

分析性复核在审计准备阶段、实施阶段和报告阶段均可运用，各个使用阶段实施的步骤有相同，也有差异。准备与实施阶段的步骤基本相同。在审计报告阶段，其重点差别步骤是要确定是否进行分析性复核。下面以审计准备阶段为主分析其必须执行的操作步骤：①选择并确定需要执行的计算与比较项目；②查找或估计相对应的标准或期望值；③查找、获取可比较的会计信息或其他资料；④分析相关资料数据、确认重大差异；⑤查找重大差异原因；⑥确认相关的风险及对组织的影响。

需要注意的是，以上方法并不是孤立的存在。在操作中，审计人员往往要根据实际审计需要灵活运用以上几种办法，而当审计人员采用分析性步骤时获得一些意外发现时，要积极对这些发现进行审计评估。此外，在进行审计程序时，还要对相关人员进行调查，并使用不同审计方式，从而对这些新发现得到合理解释。如果做不到这一点，那就意味着意外发现可能蕴含着审计风险。这时，审计人员需要将这些发现呈报给相关负责人，并建议及时采取应对措施。(https://www.xing528.com)

（五）大数据环境下的分析性复核方法

在大数据环境下，企业将全部的财务和非财务信息资料录入数据库中，审计人员无需翻看纸质资料，只需在数据库中进行搜索，而且不需要进行人工分析，大数据可将所用信息进行归纳总结，将对比情况直接呈现在人们面前。

六、大数据环境下的信息系统内部审计

信息系统的审计主要是由内部审计机构和审计人员共同参与，由相关信息技术和相关专业人员进行指导参与的审计活动。其目的在于通过信息系统审计工作审查和评价组织是否实现了信息技术管理的目标，同时根据这一评价提出相应建议，并协助与配合信息技术管理人员有效履行职责。

（一）信息系统的审计内容

会计信息处理的计算机化是计算机审计产生的直接原因。在计算机信息系统环境下，会计在信息处理方面的准确性和速度都会得到提升。但这也为手工环境下的内部控制和会计信息处理带来了变化，是审计工作面临的新挑战。因而，在计算机信息系统环境下，确定审计目标，制定和实施审计程序时，应当考虑这些变化对审计产生的极大影响。计算机硬件和软件的发展，提高了计算机的工作效率，降低了计算机系统的成本，使越来越多的单位成功地完成了其基本管理活动以及基本会计职能的自动化过程。

由于使用计算机处理会计和财务数据，审计人员需要先了解数据和控制的概念和术语，在审计过程中，既要和财务人员、会计专家等懂得审计术语的人员交流，还要和电子数据处理人员、计算机专家等使用信息行业术语的人员交流。因此，想要准确地检查和评价计算机处理工作，使用计算机开展审计工作，就必须要了解电子数据处理的概念。

在信息化社会的大背景下以及审计和控制的要求下，每个行业与各种类系统都离不开内部审计工作。巨大的审计需求为审计工作带来了前所未有的压力。计算机处理对于组织结构和职责，尤其是对数据处理职能的影响，改变了审计人员的环境。数据处理系统将众多的处理步骤都汇集在一个部门内即数据处理中心，减少了在手工系统记录过程中必须通过职责分配才能实现的内部控制。

1.信息系统的审计线索方面

计算机技术的发展和科技的不断发展，不仅给人们的生活带来了巨大的变化，还给审计工作的进行带来了很大的变化。审计线索的获取从原先的人工，到现在可以借助大量的计算机数据。审计线索的内容主要包括凭证、账簿、报表等。这些证据能够确保审计人员查询数据更完整，更方便。每一步审计工作的进行，都在监控之下。但在计算机系统下，手工系统中的审计线索都消失了，计算机系统将按照一定的程序来处理账务，这是计算机应用给审计线索带来的新变化。这些变化包括：原始凭证成为一种信号被转换到机器可读的介质上；在如联机系统等系统中，原始凭证可能不复存在；通过主文件无法看出明细数据，但载有明细数据的文件成为了过程文件已经不存在了；数据处理过程可能无法提供日常记录，如果需要的话则必须使用专门程序；系统一般只打印汇总结果，不一定能够打出全部原始记录；数据保存在光电介质上容易损坏，必须通过计算机应用程序才能阅读；无法直接观察到计算机程序和数据的处理过程。

总之，计算机信息系统对审计线索的影响，使得对数据输入、处理和输出的控制以及计算机的操作过程成为审计的重要内容。因此，计算机信息系统环境下对审计的时间安排、测试的性质和重点及测试的范围均有较大的影响。为了审计工作能够正常进行，首先就要确保这一系统是可以进行审计的，这就是普遍认为的可审性。计算机开发的初期，就要充分考虑审计工作的基本要求。开发的目的，就是为了帮助审计工作能够更好地进行。

2.信息系统的审计规范方面

在信息系统环境下，审计过程和审计线索都随着环境的改变而发生变化，以往手工环境下的审计原则和标准在某些部分不再使用。电子数据的处理环境对于审计的总体目标影响效果是十分小的。但是由于计算机技术的引人，对财务和信息的处理存储等方面都造成了巨大的改变，这就导致了被审单位，以及其他审计工作、审计环境、审计性质和时间内容等，都会因为环境的改变而发生改变。进而会受到一定的影响。所以，在审计人员研究和进行评价时，其中的结果都会受到影响。但我国对内部审计的规范尤其是电子计算机的环境下的内部审计行为缺少约束，也没有明确的目标。所以，我国正在积极地逐步制定与国际准则相接轨的电子数据处理环境下的审计准则。

3.信息系统的审计技术与方法

计算机处理和手工操作过程相结合，就构成了计算机系统数据处理的全过程，因此，审计方法也应该是手工审计方法和电算化审计方法的结合。在计算机信息系统环境下，人工审查方法依然奏效，但由于计算机辅助审计技术比人工效率高得多，因此成为了某些情况下必不可少的审计技术。审计人员要牢牢把握电子数据处理系统的特点，并对其有效性、可靠性，以及信息的正确性与合法性进行恰当地审查与评价。一般有以下三种方式：

（1）抛开计算机审计。这种方式，是将计算机信息中的信息看作是一个数据库，计算机也仅是作为一个存储工具而存在。如果是要对会计凭证等打印结果等进行着重检查，就可以采取这种审计方式。可以运用审计人员较熟悉的方法，即使没有计算机知识的审计人员，也能完成审计任务。因而，在EDP系统审计初期，大多数审计人员都乐于采用。即使现在，在某些情况下，仍然可以采用这一方法。

（2）穿过计算机审计。这是对计算机会计系统的内部过程进行检查与评价的审计方式。审计要深人计算机内部，并利用计算机对其内部的具体处理过程进行直接审查。主要包括计算机程序审计和数据文件审计。这种方式是在计算机会计系统大量出现、系统的结构趋于复杂、系统的规模趋于庞大及计算机软硬件技术在审计人员中已普及的条件下展开的，其优点是审计人员在了解计算机数据处理过程的基础上，可对系统有无错误作出客观评价，并指出其错在何处，进而提出劝告和建议。

（3）使用计算机审计。利用计算机来帮助审计工作更加好的开展。利用计算机自身具备的一些功能，例如直接阅读，选择和复核等，可以读取审计信息中的一些数据状态。如利用通用审计软件可对众多不同客户所使用的计算机数据处理系统进行审计。其最大优点在于审计人员能够独自处理被审计单位的“活动”。

4.信息技术的控制

（1）信息技术一般控制。信息技术的一般控制是关于网络、系统、数据库、应用系统以及相关人员的政策及措施，目的在于保证系统运行的持续性与稳定性，及应用控制的有效性。对信息技术一般控制开展审计工作，应从以下活动人手：

第一，信息安全管理。内审人员要对信息安全管理政策、物理访问、身份认证、逻辑访问管理机制以及职责分离控制等方面予以关注。

第二，系统变更管理。内部审计人员要对组织的应用系统、系统基础架构变更、参数变更的授权与审批、变更测试、变更移植到生产环境的流程等方面予以关注。

第三，系统开发采购管理。内部审计人员要关注应用系统及相关系统架构开发和采购的授权审批，同时，还要关注开发、测试、生产环境严格分离的情况，以及系统的测试、审核、移植到生产环境等环节。

第四，系统运行管理。内部审计人员应该对信息技术资产管理、系统物理环境控制、系统容量管理、数据备份及恢复管理、系统问题管理和日常运行管理等管理内容进行关注。

（2）业务流程应用控制。业务流程层面应用控制是在业务流程层面上，为了保证系统能够将业务数据的生成、记录、处理和报告等功能准确及时地完成而设计执行的信息技术控制。

对业务流程层面应用控制开展审计工作，应主要考虑与数据输入、处理及输出相关的控制活动，主要包括：系统配置控制、授权与批准、异常与差错报告、转换控制、职责分离、一致性核对、系统计算及访问权限等。

（二）信息系统的审计方法

内部审计人员在针对信息系统展开审计工作时，为准确评估系统内部控制的合理性与有效性，可以通过以下一种或多种审计方法来获取充分可靠的证据：详细询问有关控制人员；观察特定控制的运用情况；审阅相关文件、报告及计算机文档等；登录系统进行查询；充分利用计算机辅助审计技术；验证系统控制和计算的逻辑性；进行穿行测试，掌握信息系统的特性，追踪交易在其中的处理全过程；对其他专业机构的审计结果或组织内部的自我评估结果等进行充分利用。

1.组织与管理控制

（1）职责分离。应设计计算机操作的职责分离：①业务授权；②业务记录；③资产保管。通过要求由会计和计算机部门以外的人员批准业务，并由第三者通过计算机执行对资产的物理控制。在考虑对资产的控制时，直接和间接接触的都必须考虑，比如存货的运输单能对存货资产提供有益的控制。在集中式处理的计算机部门，某些类型的职责需要分离。例如，考虑有保管、记录和批准等职责，将操作员、程序员和系统设计员的活动进行分离是明智的。应使用资料库来限制操作员接触程序和数据文件。在一个数据库系统中，数据库管理员的职责包括控制各种文件的访问、程序修改、为各个人提供详细的源码等，这些职责都要注重“视乎需要”的条件。

如果使用一个自动的数据文件，有效的输出应经相应的管理人员复查。下列措施可全面增强职责的有效分离：定期更换操作员；要求至少连续5天的休假；在程序运行时，只有操作员才有权利进人机房，输人和输出要由与电子数据处理分离的用户控制，并由与电子数据处理不相关的人员负责。

（2）受控存取。密码能够在一定程度上控制输入设备的接触，部分地控制输人活动。因此，所有密码必须定期更换，此外，还要对员工加强保密重要性的教育，对某些文件或某些权限，应该对使用密码权限加以控制。

（3）数据输入。通过使用标准格式的数据输入并对用户丢失数据予以提示，将会加强数据输人的完整性和准确性。数字和字符与预期数据类型比较及数值与实际的范围比较（即极限检验）等对数据的在线编辑可提高数据输人的质量。在软件中建立的要求用户给予确认的回复，可促使用户对数据的输入进行检验。

（4）数据处理设备的控制。在控制数据的处理中，需要保持对设备和数据库的控制。重要的审计线索应由操作员记录操作日志，以便追踪对哪些工作进行了处理，并产生一个记录输入和每一项工作处理完成的磁性文件。操作员的主管可以复查这些系统活动的记录，以作为计算机使用的关键控制。

为了保持数据的完整性，应生成批总数及业务日志文件，以便能与输出总数相比较。应生成每次处理的开始和结束余额的主文件控制记录，并定期与总数核对，以便发现错误。有效的检验和检测数字是保证正确处理的有效手段。有效的检验检查编码是否“有效主文件所设置的编码”，以确保借记或贷记的账户真实存在，并且此账户可由特定类型的业务影响其余额。检测数字利用公式对某些类型数码进行检验，以确保它们的数字有效或者传送是完整的。

（5）文件处理控制。为了确保处理的是恰当的文件，所有的应用使用都应该检查内部标签。最低程序应该使用例如用不同颜色磁盘套表示的外部标签。典型内部标签包括程序文件的名称、记录和字节数，更新日期和保留时期。使内部标签无效的操作应该经过监督批准，所有这样的操作均需要有日志记录。

（6）输出控制。需要保持对计算机产生报告的分发进行控制。应该建立每个报告副本数量的限制，并且应保持一个报告分发表。产生报告的频率应该考虑成本与效益原则。输出日志可记录所有输出报告和书面文件的实际分发。

2.硬件与软件控制

（1）硬件方面。

第一，计算机使用的物理控制：空间、空调、电源线及后备电源装置、抗静电地毯、机房管理、位置是否合理、放火探测器及维护工作，设备应远离主要交通要道，并应确保实物的安全。

第二，计算机硬件的选购与使用：硬件的选择应考虑到实际的需要及自身的适应性。还应注意处理过程中的瓶颈，CPU必须有足够的工作存贮空间来处理操作。在一台计算机内部不只一套处理程序的多处理系统，多个程序同时运作是很常见的，此能力增强了计算机操作的效率。审计人员也应评价所用的介质是否与高效处理相兼容。例如，那些需要定期更新其少部分数据的文件，可能最好直接存贮在磁盘上；假如对几乎所有的记录都需要作常规更新，因而不需直接存取的话，那么使用较便宜的磁带存贮介质就会更为合适。

第三，审计人员可以根据以往的经验和行业数据对硬件的可靠性进行评价。应该保持所有设备发生故障的记录以及发生该故障的时间、日期和主要原因的文件资料。计算机的维护服务主要决定于硬件。应该注意培训员工操作计算机设备时保持谨慎，以确保没有发生无意的损坏。应该对所有的计算机系统进行定期的维护保养。通过追踪关于以下情况的统计数据，审计人员可评价硬件配置的有效性及其维护情况：设备使用、计算机人员的时间、计算机运作的成本、系统故障、软件可靠性、程序处理能力等。为了便于重新启动系统的需要，应设立检查点，在处理过程中记录计算机寄存器和内存的内容和状态。如果发生故障，检查点能够减少计算机重新启动的工作量。

第四，鉴于硬件控制的缺点建议调整现有的或未来的硬件的取得政策。硬件应根据自动错误探测功能和供应商提供的关于操作员对硬件错误和系统中断应如何反应的文档资料来装配。硬件控制的一个实例是回波检验，它主要是发送信息并通过“回波”招收到的信息返回原来的发送器，以验证它们的准确性。这是一个确保通信设备和线路在恰当运行的方法。

第五，硬件评价的最后一个考虑是安全性。门锁、警铃、警卫和身份证明等措施可限制接近硬件设备。系统应保留操作日志记录，以监视和控制对计算机的访问。由于设备的敏感性和可能损坏的程度，必须尽可能使其避免因为过热和自然灾难而损坏。

一个重要的控制政策是不允许已被解雇的计算机人员接触设备或文件。同样，服务人员和参观人员无论什么时间来到计算机设备附近，都应该有人陪同。对设备或软件的有意（或无意）损坏，代价都是极高的。

（2）软件开发设计的审计。软件开发的优劣是计算机会计信息系统的关键，因此内部审计人员尤为重视系统开发的审计。这里提到的审计，是审计人员对于计算机开发系统过程中的，由研究人员开展的产生的一些系统文件的审计和调查。在系统开发的阶段的审计属于事前审计。

对计算机会计系统的开发进行审计，可以充分考察会计系统的可靠性，效率程度。系统内部在设计过程中就充分考虑到了审计过程，提高可审性，系统内部的有序性，可以充分提高审计的效率和可靠程度。系统开发之后进行的审计属于事后审计，是用以评价一个系统的重要手段。

对系统开发过程的审计的主要目的在于保证系统符合开发标准，符合国家政策，符合法律规范等。可以保证一些重要系统获得了相关产业行业的授权，系统的进行是符合法律规范的。保证参与系统的各个成员都在系统的监督和保护之下。对于系统之后的发展和维护都有着重大的作用。在后期开展审计工作，也能够更加快速的获得审计线索，对于系统维护也更加便捷。

（3）决定审计的性质和范围。内容包括：

1）系统分析阶段审计。系统分析阶段包括成立开发小组、对现行系统进行调查和分析、进行可行性分析。具体审计方法如下：

第一，通过询问相关部门主管来确定各部门是否派人员参加系统幵发工作；详细分析各部门参与人员是否有足够工作时间；与各部门参与系统开发的人员交谈，确认其是否熟悉自身的工作范围、工作内容和工作责任。

第二，复核分析人员是否获取了系统的全部资料；检查分析人员与用户之间是否进行了充分的交流；通过用户查询系统分析新系统目标是否能够满足客观需要。

第三，查询系统是否按成本效益原则分析，确定相关主管是否同意与本身职责相关的成本效益计算；在新系统有关经济、组织、技术上的可行性问题方面，与系统分析员共同深人研究。在系统分析阶段，由于新系统尚未设计，审计人员的建议易被接受，审计建议对其他各阶段均有影响。当遇有下列情况时，审计人员应向管理部门建议改进或停止系统开发：未建立明确的系统目标或系统目标不可行；没有配备足够的资源。

2）设计阶段审计。系统设计阶段包括总体设计与详细设计。

第一，总体设计。这一阶段的设计需要从整体出发，从系统的整体结构和设计方法人手。对系统进行大致的模块划分，模块划分时一定要秉着“高聚合，低耦合”的原则。系统文档要逻辑清晰，简洁明了，采取大纲的呈现形式。在结构设计时需要考虑，结构是否符合用户需求，是否方便审计人员进行考察，是否符合会计人员的工作习惯。

第二，详细设计。详细设计就是将总体设计进行细化具体的环节。

3）实施阶段审计。这一阶段的审计主要在于具体操作方面。对于系统的实际测试和运行等方面进行考察。这一阶段的具体方法如下：

第一，关于在程序中是否设计了必要的内部控制这个问题，要向程序设计员询问；审查程序文档的编制规范性与完整；从程序流程图及源程序中选择部分内容，进行正确性检查。

第二，复核测试数据，确保其包括应有的处理及控制功能的各种类型业务数据；独立测试，审计人员可自行设计一组数据展开测试；审计人员应通过测试结果，就系统开发初期的适当性和系统投人使用后的运行情况向管理层提出意见。

第三，复核系统试运行结果，前提是试运行期限不得低于3个月，从而确定系统有无问题、目标是否达到等。仔细询问管理员，确定是否有未授权人员在这一期间接触过系统；检查试运行记录，仔细分析系统与原设计是否有差异，若有差异，差异是否合理，系统能否通过试运行而正式投人使用。

第四，检查在系统运行的过程中是否规定了要由不同的人员执行输人、处理等工作；以业务处理流程为依据，看其业务处理能否顺查及逆查，也就是由原始输人凭证至报表，或由报表至原始输人凭证；操作手册和管理制度是否包括了全部控制事项，并进行复核。

4）运行与维护阶段审计。系统运行与维护审计属于事中或事后审计。具体审计方法如下：

第一，要切身观察相关人员的操作工作。要明确相关人员输入的数据是符合标准的，是经过审核的。对于错误的数据要根据流程进行改正，对于系统要及时测试，确定是否有未经授权的人接触甚至修改数据；通过上机记录查明有无异常；检查系统故障是否得到及时处理；审阅管理制度，适当性评估人员工作职责和权限的划分。

第二，实地检查系统运行是否正常；依据管理制度查明是否制定了计算机软、硬件维护制度，制度的制订是否符合内部控制，是否得到了坚决有效的执行；检查系统中的修改内容，确定该修改是否符合制度流程、文档是否齐备。

（4）信息系统应用程序审计。计算机系统执行程序的高度可靠性促使审计人员应更多地注意应用程序自身的正确性，注意实际操作运行的程序是否确定为被审单位主管当局核准使用的程序。事中审计主要是应用程序审计，这是计算机会计信息系统审计的重点和难点。开展信息系统应用程序审计主要有两个目的，一是测试应用系统控制的相应符合性；二是进行实质性测试，以检查程序运算知否正常、逻辑是否正确。应用程序的测试方法有二种，具体是：

1）不处理数据测试法。不处理数据测试法（亦称手工审计应用程序方法），指不对数据进行任何计算机处理，审计工作人员通过手工审计方式对程序流程图、意见书、程序编码、程序运行结果、程序运行记录等证据进行分析、审核、鉴定、评审，最终实现审计目的。具体细分为以下几种：

计算机会计信息系统是否通过评审或鉴定：计算机会计信息系统须通过上级主管部门和科技机构组织的鉴定，鉴定后的系统须通过相关部门进行评审，才可在实际财会部门使用。

程序流程图检查法：程序流程图检查法是审计工作人员检查被审计单位的系统流程图的控制功能、处理措施是否应用于实际审计工作；功能的逻辑正确与否；功能是否能正常使用。

程序编码检查法：程序编码检查法是审计工作人员通过审查每一条被审程序指令，检验被审计单位程序设计的完整性、逻辑性、合法性。程序编码检查法的应用可以帮助审计人员发现以下程序问题：程序设计不符合会计准则、会计制度、财务制度、财务通则的规定；程序设计出现便于被审计单位舞弊的漏洞；程序控制功能失效或效果低；程序控制功能应变能力差、效率低。

程序运行结果检查法：程序运行结果检查法是审计工作人员审查程序运行结果，通过结果推断审计程序的功能是否正确；控制措施是否有效，这种处理方法原理上和手工检查账簿、报表的方法基本相同。

2）处理实际数据的程序测试法。处理实际数据的程序测试法是审计工作人员使用被审计单位的审计程序处理实际数据，检查验证系统有效性的测试方法。该方法的优势是方便，审计人员可以使用已经生成的数据，而且只要处理已有实际数据得出结果，就可以检验程序是否有效。具体方法包括：

控制处理法。控制处理法是审计工作人员监管程序处理实际会计任务的过程，通过对过程的监察，检查程序的控制功能是否有效。该方法具有很多优势，具体为：审计技术要求简单，不需要审计工作人员具有高水平的专业技能；检查结论可靠，如果采取突击检查，那么就能保证程序的检查结果就是实际程序的工作结果，进而保证结论的正确性。该方法也有一些缺点，具体为：数据选择有限，一个数据不能满足全面检查程序的需求；可能影响被审计单位的正常工作，该审计方法需要审计工作人员对被审计工作单位的数据监督、控制、分析，数据的处理过程会对被审计单位的正常工作产生影响，影响效率。

控制再处理法。控制再处理法是审计工作人员处理监督被审计单位数据时，选择在被审计单位的休息时间将实际数据再处理，并将再处理的结果与已有实际结果对比，确定程序是否正确，是否出现非法改动，控制功能是否有效。该方法有很多优势，具体为：数据已知，有实际的现成数据，不需要进行数据的再处理；时间选择方便，自由选择时间可以既保证被审计单位的工作效率不受影响，还可以保证审计工作的正常进行。

嵌人审计程序法。嵌人审计程序法也叫联机审计控制法，指的是审计工作人员在被审计单位的应用系统研发阶段嵌入审计程序，达到收集审计工作需要证据的目的。除此之外，嵌人的审计程序还会建立一个文件夹存储收集的审计信息，审计人员定期处理收集的审计信息，检查程序控制的有效性。该方法的优势有：证据真实，对数据的收集与数据的产生是实时的，获取到的数据是系统真实的产生数据；随时监督检测，嵌入的审计程序与被审计单位的系统程序同时运行，测试可以随时开始。

标记追踪法。标记追踪法是审计工作人员在检测数据时，安插具有标记的审计程序段，然后将审计程序段放入被审计系统，将系统处理后的数据与未处理的数据进行前后对比，找出差异。标记追踪法可以标记记录数据的处理过程。该方法的优势是：通过标记追踪，可以显示出被标记的程序段在系统中执行了怎样的指令，按照何种顺序执行，以及执行指令是否合理合法；该方法的缺点是：对审计工作人员的专业技能具有较高要求，此外，对数据前后变化的分析比较耗费时间和人力，使用频率不高。

3）处理虚拟数据的程序测试法。处理虚拟数据的测试法是审计工作人员提前测试处理数据，通过处理结果来检验被审计单位的程序的有效性。该测试法的优势是：使用较少数据就可以测试大部分程序的有效性。此外，还可以对具体的控制措施实行针对测试。该测试法具体分为两种方式：

测试数据法。测试数据法是审计工作人员根据具体测试要求，设计出相应的模拟数据，并使用被审计单位的程序处理模拟数据。对比被审计单位的程序测试结果和模拟数据应该出现的结果是否有偏差，来校验被审计单位的程序的有效性。该测试方法既可以测试系统的个别程序，也可以测试全部程序，甚至可以测试具体的一个或几个控制装置。该方法的优势是：①即使线索间断，也能检测被审计单位的程序有效性；②能够处理数量巨大的系统程序；③审计人员不需具备高水平的专业知识；④应用范围大。

模拟单位法。模拟单位法是审计工作人员建立具体的应用实体，应用到被审计单位的计算机会计信息系统里，通过信息系统程序处理虚拟实体数据和实际业务数据，对比两个数据的处理结果，检测系统数据的功能是否有效。该测试法的优势是：①时间自由。既能保证被审计单位正常工作，又能保证在工作的同时，检测处理数据；②使用广泛。能够测试所有内部控制，特别适合企业内部设立内部核算部门和联机批处理网络系统的企业；③保证真实性。该法测试的程序可以保证被审计单位的实际使用程序；④由于该法区分开了虚拟数据和实际数据，因此不会破坏被审计单位的数据。

（三）大数据环境下内部审计的应用

随着信息化时代的到来，企业管理日益模式化，企业风险越来越多且复杂。审计发展如果想赶上时代的步伐，就必须从传统的手工模式的审计方式中走出来，拒绝故步自封，跟上时代和企业的发展步伐，创造创新工作方式、环境、方法。如果故步自封，驻足以往的审计发展模式，会导致审计工作处于组织内部的边缘地带。长此以往，审计行业将会面临生存危机。

虽然审计工作已然开始发展，紧追时代步伐，但是大多数的审计工作依然停驻于检查阶段。具体体现为对各个事项进行事后检查和监督。比如，对企业单位内的会计工作、信用贷款、授权执行等检查监督，此外，还负责对分支机构的控制情况的评审工作。相比之下，风险评估基本没有对企业单位的未来发展规划负责，审计功能严重缺失，尤其没有发挥风险预警的功能。

企业经营管理中包含各种各样的业务，就会产生各种各样的信息，形成一个海量的信息数据源，具体包括有：数据、客户信息等。企业在处理这些数据时，将这些数据加工后统一输人数据库，并进行集中管理，然后通过系统分类用于企业各个部门的系统提取相关的有用信息，被管理者使用。从目前的审计工作方式来看，虽然应用科技可以建立审计数据接口，但是审计数据接口所取得的数据是被处理过的“二次数据”，并不是最原始、最真实的数据。在二次数据层面开始展开抽样检查等工作是一种事后检查工作，只能纠正对错、检查和纠错规则是否合规，不可能根据数据指标作出公司或企业的未来规划，也不可能提出有价值的审计建议，所以审计如果想真的发挥作用，必须改善目前审计工作的“事后性”。

1.大数据背景下内部审计应用立足点

目前，审计部门在开展审计工作时，获取数据的方式，都是从具体检查事项的业务系统中直接获取数据，不能保证获取数据信息的正确性、有效性、完整性；除此之外，信息的获取，还要看具体业务的负责人是否配合、是否愿意提供数据。无论是从主观性还是客观性来看，数据的获取渠道都不利于审计工作，所以审计工作必须寻找一个容易获取数据的立足点。

建立大数据方式，可以帮助审计工作获取审计检查所需要的全部数据。大数据的建立，全方位地进行数据监控和预测，从整体把握审计工作可能存在的风险，良好地开展实际工作。除此之外，审计工作人员可以掌握总体样本数据，所以也不用再担心某一数据节点的缺失，对整体分析的不对影响，也不用再只靠少量的数据样本开展审计工作。由此可见，大数据的引人，更新了内部审计的工作模式，帮助审计工作更精准地评估风险，将风险降到最低，提高整体审计工作效率。

审计数据不能只靠接口模式，接口模式的突破还需要企业改变内部管理机制、改观审计观念。具体可以从以下几点人手：首先，企业董事会和高层管理人员应该全力支持审计数据获取模式的创新、搭建、共享，并允许审计管理平台直接嵌人企业生产系统、数据系统；其次，内部审计的数据接口必须串联企业业务的全部流程，全面覆盖系统节点；再次，从审计理念方面提升审计机制的相应权限、管理方式以及考评机制、反馈机制等；最后，组建审计工作团队，招聘具有高水平专业知识的审计工作人员，企业后续也应对工作人员进行定期长期培训，提升、奖励等，完善审计人才管理机制。

2.大数据背景下内部审计的持续审计

持续审计是将审计活动整合到银行运行模式、流程中的实时和适时审计，目的是降低审计过程的风险、庭审审计的质量，可以持续针对系统、流程、交易和相关控制来收集审计证据，是非现场审计的一种有效模式。

（1）持续审计的特征。持续审计是信息化环境下审计发展的必然趋势，一些银行已经在某些领域开始运用持续审计这一审计技术。例如分支机构审计、风险指标监测、大额同质贷款组合审计、信用卡审计等。持续审计具有如下特征：

第一，适时性。适时性也就是及时性，审计活动与事项同时或稍后发生。

第二，连续性。审计工作融人被审计单位的经营活动中。例如，只要企业在持续经营，那么审计工作就会伴随着业务活动循环往复下去，全面跟踪被审计单位的经济活动过程。

第三，过程审计。特征是转移审计执行的时间，由事后向事中和事前转移；转移审计目标，实现传统财务报表向业务活动过程的目标转变。由此，最终实现审计由结果向过程的转变。

第四，依赖于IT环境。在当今的网络时代下，审计工作已经由传统手工向网络审计的方向转变。所以，不管是被审计单位还是审计机构，都应该依托于网络环境指定审计计划、发布报告、获取证据。

（2）持续审计的意义。

第一，可以获得更高的效率。按照异常来实施审计；审计计划和测试被自动化；可对已知控制缺陷进行持续审计；提升了数据收集的效率；更好地掌握风险的动态变化；降低了差旅费成本。

第二，可以更早获知信息。提高了向管理层报告的速度；问题不会累积；更好地应用系统功能；有效识别误用与滥用；在问题刚出现时，能够及早识别；对错误、违规、舞弊等分析其根本原因。

第三，提升控制水平。从根本原因上对错误进行纠正；加强了内部审计在经营业务中的可见性，增强其监察作用；针对控制有效性和与业务流程相关的风险，协助提供有价值的观点。

第四，降低复杂度。通过标准化来降低复杂度，简化审阅流程；重要性水平的设置保持一致性；自动生成的异常报告一关注真正的问题；可对监管合规情况加以审计等。