大数据环境下审计制度及质量保障优化

一、大数据环境下的内部审计制度建设

内部审计制度是指内部审计机构和人员必须共同遵守并严格执行的规范化的规定。比如对内部审计机构的设置、审计人员的委派、审计工作方法和程序的制定以及审计工作计划等。完善的企业内部审计制度，是与公司实际情况相结合的“产物”，对于规范企业内部审计工作、加强企业制度建设以及带动企业取得规范化、前瞻性发展有重要意义。

大数据环境下审计系统的出现，为企业内部审计人员提供了更为精确的审计数据，保证企业内部的各项数据资源真正实现共享。

大数据内审工作的合法性成为了未来发展的一项重要课题。只有得到了相关法律法规的支持，大数据的应用才有了合理的基础，内审人员才能根据相关规定进行合理合法审计。不去解决大数据云计算等相关立法问题，大数据内审工作很难得到有效展开。无论是在大数据云审计的数据储存制度化还是实施工作规范化，都是必须解决的问题。这是做好内审工作的重要前提，是大数据发展的基础。

（一）建立完善的大数据内部审计准则体系

相对于《企业会计准则》和《审计准则》这样完善的制度规定，有关大数据审计的相关法则发展还不是很完善。但从1996年开始，信息系统审计与控制基金会发布了《IT治理模型》，开始了审计工作与计算机互联网的结合，首次跨越了业务与IT之间的鸿沟。与此同时，美国国家标准与技术学院也先后发表了《云计算定义》《联邦信息系统和机构的信息安全》，开始对信息进行持续的监测。2010年，国际信息系统审计协会发布了《云计算管理审计、保证程序》，开始对审计工作中使用的有关信息方面的流程工具做出明确规定。

我国大数据内部审计刚刚起步，为了维护其顺利发展，建立一套适合我国国情的大数据内部审计准则势在必行。在制定过程当中应注意遵循的原则包括：

（1）国家间趋势相同。会计审计是一门社会科学学科，在一定的理论研究方面有着一定的统一性。西方发达国家在大数据内部审计工作中的应用研究较早，在如今已经取得了一定的成果。我国的大数据内审工作刚刚起步，应该在探索中积极学习先进国家的发展经验，学习其在制定相关法律体系中的有用之处，制定出符合我国国情发展的大数据内部审计准则体系。

（2）符合我国国情。国家的特点是不同的，发展大数据要充分考虑我国的重点国情。我国人口多，发展不均衡，可能各个系统的相关数据量更大，统计更为困难。所以在制定我国相关大数据内审准则体系时要更加有针对性，考虑国家国情，我国正处于社会主义发展初级阶段，在很多方面和西方资本主义国家有不同，如果一味地生搬硬套，不会对我国大数据工作产生好的影响。

（3）具备长远的发展目标时代的步伐较快，环境变化瞬息万变。我国在制定大数据相关制度时应该具有一定的远见性。大数据时代的来临，给各个行业的发展都带来了机遇和挑战。国家审计署在制定大数据内审制度体系时应该用发展的眼光对待，适时的考虑到在应用过程中可能会出现的问题，有前瞻性的发现问题解决问题，保证此准则体系在日后能够顺利实施。

（二）建立大数据运营及管理配套的法律法规

在内部审计的过程中，需要一个完善的法律法规体系。目前我国已经有了一些关于信息系统审计方面的法律法规体系。从1993年起，审计署就颁布了《审计署关于计算机审计的暂定规定》，开始对计算机在内部审计工作中的应用作出初步规定。1996年又颁布了《审计机关计算机辅助审计方法》，在方法方面进行了进一步的说明。2001年，《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》在国务院办公厅发布，实现了信息系统审计的全面发展，同年内部审计协会也对内部审计信息系统方向做出了明确的准则规定。这些都体现了我国内部审计工作已经逐步与计算机网络接轨。现今，互联网大数据已经得到了进一步的发展，原有的信息系统审计的相关准则规定已经不能满足现在企业发展的现状。要加快大数据内部审计准则制定的脚步，才能在制度上加大对内审质量控制的力度。

（1）建立大数据运营管理法规。在大数据运营的各个方面都应该作出明确的法律管理规定，例如财务数据的储存整理，数据库的建立使用，对信息的保护监督等。企业内部数据库的建立和设计应该怎样落实，维护工作应该如何展开，怎样与外部数据库建立联系等。

（2）建立分级管理及保密法律制度。数据库的建立必然运用到网络，涉及网络就会遇到怎样保护信息安全的问题，怕泄露商业秘密，在数据的公开程度上企业比较谨慎。只有保证好企业数据安全，企业大数据内部审计工作才能顺利展开。法律也应该严格规定相关企业在对内审员工授权方面以及对数据保密方面的具体准则。

（3）建立大数据内部审计监督保障体系。对大数据内部审计工作的开展还要进一步的监督与管理，对审计数据使用的进一步检查与监察也是工作当中需要必须注意的。要制定相关的监管办法和惩罚措施。

（三）建立大数据环境下的内部审计质量控制体系

在日常的工作当中，内部审计与外部审计有着一定的不同，外部审计在于它的审计目的非常的明确，但审计的工作流程却是固定的，对于各项工作流程的规定也是比较严格。但是内部审计表现的不同特征在于内部审计人员在内审的过程中有很大的灵活性。在大数据环境背景之下，内部审计还是过于自由，没有与时俱进的发展，不能够保证审计质量。社会环境的不断变迁发展，大数据的应用也是越来越广泛，原有的内部审计质量控制体系已经不能够很好的适应企业的发展，面临着一定的问题和挑战。迫切需要企业健全和完善大数据下的内部审计质量控制指标体系，制订相关的标准。

例如，具体实施条例，控制准则和后续教育规定等。在这种情况下，根据时代背景和企业自身发展特点，要尽快制订出大数据内审质量控制指南。并且在这个瞬息万变的时代，要跟上国外先进的发展脚步，符合未来的发展趋势，研发先进的理论知识，加强与审计师的交流，维持好企业准则的修订工作。总之，大数据环境下的内部审计质量控制标准体系要借鉴先进发展经验，结合实际发展情况，来完善相关体系，保证内部审计工作的顺利展开。

在新的环境背景下，制定新的法律法规体系有着重要的作用，可以通过有内部审计质量控制体系准则的约定，来防范减少审计风险发生的可能，规范审计人员的工作，提高审计质量。但是不同行业不同的内审工作也有着不同的区别，相关准则在约束程度上也会有一定的不同，要注意差异之间的可比性，在内部审计报告中体现出来。在大数据的时代背景下，除了健全内审质量控制体系，还要加强对于内部审计工作人员的法律意识培养，提高其法治意识，更好地使准则体系得以实施开展。

二、大数据环境下的内部审计质量保证与改进

内部审计质量是指内部审计工作的规范程度和审计作用的发挥水平，是审计工作水平的综合反映和集中体现，是审计工作和企业经营管理得以改善的重要依据。内部审计工作相对于外部审计而言，没有审计机关的介人，没有审计工作完成周期的时间限制，更具有不受限性、随意性、灵活性，同时带来的问题是对内部审计工作完成质量的担忧，以及内部审计工作过程中是否真正做到公平。内部审计工作直接对企业最高领导层或董事会负责，只有加强最高领导层对内部审计的监督管理，完善相应的法律法规，由内部审计相关人员严格落实制度要求，并根据最高领导层的评价意见进行改正，才能有效提高内部审计工作质量，夯实企业稳定发展的关键环节。

（一）内部审计质量保证和改进程序

为了确保内部审计工作的顺利实施，首席审计执行官应建立并维护涵盖内部审计活动所有方面的质量保证与改进程序，以保证下列目标的实现：

（1）内部审计人员根据内部审计章程开展工作。

（2）内部审计人员以有效及高效率的方式开展内部审计活动。

（3）内部审计工作有效改善受益方的经营情况，提升其经济效益。

对内部审计质量满足利益相关者期望的程度，运用内部审计质量保证和改进程序进行评价和提升，不仅包括监督内部审计活动执行情况，还包括独立规模企业的自我评估及定期的外部评估。因此在设计内部审计方案时，应以是否能够有效提升企业的经济效益和社会价值，以及是否能有效推动内部审计工作正常开展为标准。

有效的内部审计质量保证与改进程序，需要全体内部审计人员增强质量意识。内部审计部门可以通过开展审计业务培训，学习最佳实务，审计质量攻关模拟等多种措施增强内部审计人员的质量意识。此外，建立健全目标责任制，将内部审计质量作为评估内部审计部门及工作人员工作效率和工作成果的指标之一，通过优胜劣汰的自然法则，实现内部审计人员的“更新换代”。

在大数据信息背景之下，加强内部审计信息之间的有效融合，可以显著提升数据信息的利用率，保证企业内部的各项数据信息更加真实、有效，进而制定出更为规范化的管理决策。对于企业内部审计人员来讲，在应用大数据技术时，需要注意下列问题：

（1）从制度层面进行分析，保证采集到的各项数据信息更为精确，并利用大数据技术，构建信息分析平台。

（2）提高网络风险防范水平，加强网络安全预警力度，并构建完善的应急服务系统。

（3）筛选出与项目无关的数据信息，保证数据信息平台中的各项信息更加准确，为后续的审计工作提供良好数据支撑。

（4）构建完善的数据模型，针对各项数据信息进行定量分析，明确各项数据信息之间的关联，保证各项数据信息资源得到高效利用。

（二）内部审计质量保证与改进程序的性质与范围

内部审计程序的改进是提升审计质量，实现审计目标的重要内容，应涵盖各行各业的内容。小型的内部审计活动，首席审计官通常会放权给下属部门，独立开展内部质量保证与改进程序工作。规模较大的内部审计活动，首席审计官通常会设置独立的审计和咨询分部，并聘用独立的审计人员全权负责和开展内部质量保证与改进程序工作，首席审计官负有监督和管理责任。

较强的专业性是开展内部审计质量保证与改进程序工作的突出特征，质量检查独立于被检查的职能或活动。设计内部审计质量保证与改进程序，应将以下要素作为重要参考内容：

（1）依据内部审计手册，落地执行内部审计的各项规定、政策和方法，确保手册的可行性；

（2）严格把关和控制内部审计活动预算，协助首席审计执行官做好财务管理工作；

（3）防控内部审计风险，完善预防机制，包括对内部审计防控体系存在负面影响的安全隐患，以及内部审计、外部审计和其他评价体系是否做到权责分明；

（4）协助首席审计官和审计管理部门进行审计风险评估，并监督内部审计进程是否按照原定计划和目标有序开展；

（5）落实时间管理，根据内部审计工作计划和目标，结合实际进度，协助管理部门做好时间安排和进度安排；

（6）为内部审计管理人员提供内部审计过程的技术支持，如审计工具的获取、使用、维护以及其他技术的介人；

（7）落实人员管理，包括外部人员的招聘、参与内部审计工作各个环节工作人员的轮换等；

（8）通过开展多种形式和内容的培训课程，辅助设计个人发展和成长学习计划，做好个人职业规划，并健全员工业绩评估体系和奖惩体系，关注员工的长期发展；

（9）做好内部审计过程的监督工作，并对内部审计质量和结果进行科学、公正评价；

（10）严格监管科学评价内部审计工作的改进和调整；

（11）完善与内部审计工作相关的信息网络，监管相关部门的信息收集及有关信息（如内部和外部质量评价报告等）向高级管理层的及时、准确传达；

（12）完善数据库建设，以吸纳内部审计活动、外部质量评价及其他形式的审计评估体系，在进行审计后给出改进建议和改进关键行动计划；

（13）做好内部审计相关信息热点的传达工作，在内部审计管理部门指导下，将内部审计行业的最新热点、最新法规、最新变化等向首席审计执行官或者其他高层管理层进行规范、有效传达。

（三）内部审计质量评估的内部评估

内部审计质量评估主要包括以下内容：(www.xing528.com)

（1）内部审计工作过程中，审计人员及其他相关人员是否具备开展内部审计工作的专业技能和道德素质；

（2）内部审计人员组织架构和工作正常开展的机制保障，以及审计工作过程是否合理、合规；

（3）内部审计工作开展过程中所借助的技术和工具是否发挥实际作用；

（4）内部审计工作相关利益人的满意度和认可度；

（5）内部审计的检查结果是否对企业的长远发展产生了预期的价值；

（6）内部审计过程的定期监督结果；

（7）定期自我评估和其他形式的外部评估。

内部审计质量评估是一个在明确的审计计划前提下，开展的不断检查、改进、再检查、再改进的过程，各个阶段所反映的问题应当在进人下一个阶段之前得到解决。因此建立一个健全的、科学的、由首席审计官监督管理下的监督体系，对于提升内部审计质量十分有必要。监督的主要内容包括：

（1）监督开展内部审计工作的各个环节配备的工作人员是否具备独立开展审计工作的专业技能或有利于审计工作开展的其他能力；

（2）监督审计工作的进度，并根据进程中的诸多问题给予指导意见；

（3）监督计划方案的如期进展，在计划有变的情况下，明确导致计划发生变化的原因是否合规、合理；

（4）监督工作底稿是否足以支持业务发现、结论和建议；

（5）监督内部审计工作汇报内容是否准确、客观、及时、充分；

（6）监督各个阶段目标任务的达成情况，并及时调整，确保目标达成；

（7）监督内部审计工作人员的自我成长与进步，并适时提供各种培训，提升从业人员整体素质。

持续监督是对内部审计活动进行日常监督、检查和测试的组成部分。持续监督应纳人管理内部审计活动的日常政策和实践，运用必要的流程、工具和信息对内部审计活动是否遵循相关准则做出评估。持续监督的范围可以延伸到内部审计人员培训和开发、业绩评价、时间和费用控制等领域，取决于内部审计人员的专业水平和经验及业务的复杂程度。与监督有关的证据应该得到记录和保存。企业内部审计可以对企业的业务与财务，包括经营管理数据进行深人分析，并利用大数据技术，构建模拟实验模型，帮助企业管理者制定出更加科学的风险管控措施，找到企业内部的潜在风险，降低内部风险发生率。

（四）定期接受外部评估

企业内部审计直接对最高领导层负责，但是同样需要受到由最高领导层或董事会讨论并批准成立的外部评估小组的监管。所谓外部评估，是指政策评估主体不属于制订和执行政策的系统，而是独立于系统之外存在的机构，通过运用一套完整、健全的外部评估与反馈机制，对企业内部审计的结果进行评估、总结和分析，以改进内部审计工作质量和效率。外部评估的确立需要首席审计执行官与董事会进行讨论，确定外部评估的形式、频率、独立性等内容。此外，除企业内部审计组织架构合理、人员配置符合内部审计用人要求、内部审计相关规章制度健全、内部审计工作公正展开且质量较好的情况外，外部评估工作可酌情延长频率和周期。否则，需要严格落实每年至少5次的外部评估工作，以评定内部审计是否合理、合规，是否具有整改必要，以及整改意见的采纳。大数据技术的有效运用，可以保证企业外部评估得到有效创新，提高企业的风险管理水平。

1.外部评估范围

外部评估与内部审计活动相同，评估范围都应该具备以下几个要素：

第一，合法性。外部评估的覆盖范围应当以《职业道德规范》相关规定为依据，进行审计活动的章程.工作手册，工作施工作流程等的设计。

第二，未来性。这主要指的是外部评估内容应包含有董事会或最髙领导层对于审计活动的未来预期。

第三，相融性。这是指将内部审计部门的审计过程与董事会或最髙领导层的“管”与“治”有机融合，达成预期审计结果。

第四，技术性。与内部审计活动相同，外部评估活动的开展需要借助现代科学技术手段。

第五，专业性。外部评估要求相关具体工作人员的素质、经验、技能、知识结构等要符合专业性的要求。

2.正式通报结果

开展审计工作的最终目的是通过审计数据进行企业经营情况评估，进而改善企业经营短板，转变经营劣势，从而提升企业的经营效益。在这个过程中，审计检查结果作为企业董事会或最高管理层衡量企业发展情况的重要依据，应当对此进行多次讨论和修正，并将最终检查结果报至明确开展审计工作的责任人或企业最高管理层相关人员，以便其尽快知晓结果，修正方向。

最终的检查结果应当是在审计活动结束后，由评估小组向批准开展此次审计活动的组织或个人出具的关于此次审计工作的书面报告，需要包括首席审计官针对此次审计活动的重要意见和改进措施建议以及可行性的执行计划。具体而言，审计检查工作的最终结果通报，应当包括以下内容：

第一，就内部审计结果是否符合相关法律法规和所制定的规章制度，明确个人观点，给出个人意见；

第二，收纳在审计过程中，部分问题的处理方法和其他更好做法；

第三，针对最终检查结果反映的部分问题，给出个人改进意见；

第四，反映首席审计官关于行动计划和实施时间的观点。

如果未能及时通报最终检查结果，需要由首席审计官与最高管理层讨论最终检查结果，并就审计内容的问题制定纠正计划。

3.不同外部评估主体实施的外部评估

（1）由外部审计人员进行的外部评估。内部审计组织的外部检查有时由外部审计事务所进行。在外部审计事务所审计部门进行外部检查时有一种危险，即不能从内部审计从业标准的角度去检查，而是根据事务所从业标准去检查。因此，组织的高级管理层有必要保证审计事务所充分理解和采用内部审计从业标准作为其从业大纲。

（2）同行评估。进行外部检查的另一种方法是由其他公司的资深内部审计人员执行检查工作。几个公司的内部审计部门负责人可以组成一个审计组，轮番对这些内部审计部门进行检查。但是，这种同行评估的方式有可能损害评估的独立性，或至少形式上损害。还有另外一个极端，就是可能会有这样的风险，即检查产生的批评可能会在相互检查中导致报复性的批评。高级管理层会觉得同行评估可信度不足，也有可能不希望对其他公司分享保密性信息而对这种检查心存戒备，导致检查难以有效开展。

（3）由专家进行的外部检查。许多职业团体都有资深专家，这些专家比其他方式的检查人员更独立于内部审计部门，更能排除实际偏见。但从另一方面来讲，专家评估需要付费，这就涉及专家的独立性是否受损的问题。较明智的做法是由高级管理层支付费用，而不从内部审计部门的预算中支出。

（4）国家进行的外部检查。与西方国家审计机关不干涉企业内部审计工作不同，中国企业的内部审计是国家审计监督体系的重要组成部分，企业内部审计要接受社会主义审计监督体系的监管，通过各级审计机关开展对内部审计机构审计业务质量的检查和评估。我国国家审计机关还通过内部审计协会等多种途径指导、监督和管理内部审计工作的标准和质量，完善对内部审计组织的管理。

4.独立审定的自我评估

部分小规模企业的审计活动难以负担由合格的、独立的检查人员或检查小组对其开展外部评估，或组织内存在其他情况，于是诞生了“独立（外部）审定的自我评估”。与内部审计不同，独立审定的自我评估具有以下特征：

首先，虽然不同于外部评估，但是应以外部评估过程为参照，进行严格的自我评估。

其次，由专业检查人员完成评估过程。

最后，时间相对缩短，资源需求相对减少。一些不必要的过程，如会谈等可以减少或直接省略。

但是，独立（外部）审定的自我评估同样需要满足以下要求：

首先，具备明确、清晰、长远的总体目标和计划。

其次，具备专业，规范的检查和评估人员。

再次，具备公平性、公开性、公正性，如人员构成、职能划分、方法技术、高层批准等。

最后，具备健全的评估结果汇总及完善的整改措施。

尽管全面的外部检查对于内部审计活动能取得最大成果，独立审定的自我评估方式也为较小规模企业进行内部审计提供了新的方法。但是，人们仍需认识到：内部审计依然是提升企业经营质量、改善企业经营弊端、增加企业经营收人的重要途径。因此，情况允许的前提下，独立审定的自我评估只可作为内部审核的阶段性环节，全面的外部评估仍旧不可取代。