标准化是审计数据采集的必由之路
审计数据采集是大数据审计的起点和基础。随着审计法及相关法规的深入实施,已经很少有审计对象拒不提供数据的情况出现。审计数据采集面临的主要矛盾也由“取不到”,转变为“如何取”。
“如何取”既有程序上的含义,如审计通知书、数据获取协议等,也有技术上的含义,包括以何种格式、采集哪些数据等。
本文主要从技术角度阐述审计数据采集所面临的主要困难,即审计信息的差异性问题;并论述了标准化是审计数据采集的必由之路,进而对如何开展标准化工作提出一些浅见。
审计数据采集面临的首要困难是信息的异构性
审计数据采集在大数据审计过程中的基础地位,决定了它既要“瞻前”也要“顾后”。“瞻前”是指,数据采集过程中要考虑审计对象的信息化建设情况,确保可以有效地获取数据。“顾后”是指,要考虑采到数据后如何便于开展审计分析工作,提高数据的可用性。
从这一要求看,审计数据采集工作目前面临的首要技术困难是审计信息的多样性。计算机领域一般将这种多样性称为异构性。主要体现在:一是数据库的多样性。审计对象的数据库既包括SQL Server、Oracle、DB2、Sybase等主流商业数据库,也有MySQL、Access等小型数据库,以及GDB、Neo4J等特定领域的数据库,一些审计对象甚至还在用TXT、Excel管理的财务信息。二是数据库设计的多样性。即使是属于同一领域的审计对象,也可能使用不同的数据库设计模式。例如,不同省市的财政信息系统就存在巨大差异。即使是所经办业务一致、信息系统开发商一致,其底层的数据库设计也不尽相同。简单如“人员编号”,有的系统将其命名为“rybh”,有的命名为“PersonID”或“PersonNO”,复杂如表设计和表间关系设计的差异。三是不同领域信息间的壁垒。同领域信息间尚且差异明显,不同领域的信息间则更难贯通。例如同一审计对象在工商数据中用工商执照号码作为唯一标识,在税务则用纳税人识别号,在电力则用用电户号码。虽然国家已经开展三证合一的标识方式,但现有系统仍未实现全局标识的统一,导致不同领域的信息各成体系,很难相互融合。
审计信息的异构性对获取和利用审计信息带来了巨大挑战。以往的审计工作只面对一个或几个审计对象。此时,不同对象间的信息差异不会产生大的影响。但是,当前以全国性审计大项目和审计全覆盖为代表,大范围且日常性的审计数据采集工作需要同时处理成千上万个审计对象的大量且差异性化的信息。很明显,传统的针对少量对象的工作方式已不可行。这是因为,审计人员不可能了解所有审计对象信息系统的底层设计,即使是一个小的、特定的领域也很难做到。除非,如国税、海关等部门领域内一般已实现了全国信息系统的统一。一些审计机关仍然依靠堆积大量审计人力整合异构信息。这种做法在一隅之地、应一时之需还是可行的,也会取得一定的审计效果。但放之全国,去满足全覆盖式的审计分析,则是一条“死”路。
而从当前的审计实践看,数据库设计模式的异构性所带来的挑战最直接、最普遍,但是破解领域间信息壁垒的难度最大,这也是当前大数据科学研究领域的核心问题。
标准化是新时代审计数据采集的必由之路
两千多年前,中国人就已经用“车同轨、书同文”解决了不同地域间的巨大差异,以标准化奠定了中华民族大一统的基础。大数据时代,中国审计也只能依靠审计数据标准破解不同审计对象间的数据差异,奠定国家审计大数据整合的基础。
制定能够满足审计目标,并可以被多样的信息系统所支持的数据采集标准,就成为破解审计对象信息异构性的关键。一般理解,审计数据采集标准是对审计数据采集的内容、格式的规范化约定。可视为审计对象与审计人员之间的一种约定或协议。标准实施后,审计人员将以约定的方式采集审计对象指定内容的数据,而不再考虑审计对象的数据原来以何种方式进行管理,并以标准化的数据结构为基础开展统一的审计分析。这就有效解决了审计对象数据的异构化问题。
在这一方面,中国审计机关已经有了较为成熟的经验,取得了丰硕成果,形成了依托审计实践,先形成审计行业标准,择优颁布并实施国家标准的较为完善的审计标准化生态体系,达到了世界先进水平(参见下页图1)。审计署在金审工程一期和二期阶段颁布了51个审计实务公告,涵盖了计算机审计的基本规划、建设标准、软件工具的规格说明、审计数据规划和审计方法体系以及计算机审计的实施指南,形成了较为完备的政府审计行业标准。审计机关将这些行业标准中最具普遍使用价值和较为成熟的作为国家标准,并广泛邀请社会各相关方参与制定和实施工作。早在2004年,审计署就和财政部、SAP、Oracle、用友、金蝶等国内外知名ERP厂商制定了《信息技术会计核算软件数据接口》(GB/T19581),规定了会计核算软件数据接口的具体内容和文件输出格式要求。2008年2月,国家标准化管理委员会成立了全国审计信息化标准化技术委员会(SAC/TC341)。2010年,组织对GB/T19581进行了体系扩展和内容更新,形成了《财经信息技术会计核算软件数据接口第1部分:企业》(GB/T24589.1),之后相继扩展到行政事业、总预算会计和商业银行等领域。截至目前,全国审计信息化标准化技术委员会(SAC/TC341)已制定、发布12项国家标准,涵盖企业、行政事业单位、财政预算、商业银行、建设项目投资等多个领域。据统计,上述国家标准已经在国内审计实践中被使用超过百万次,得到用友、金蝶、浪潮等国内知名ERP厂商和SAP、Oracle等国外知名ERP厂商产品的支持,国内市场的覆盖面超过90%,产生了良好的社会效益和经济效益。
由于中国审计在审计数据标准方面的丰富实践,得到了国际同行的广泛认同,审计署也积极承担了相关国际工作。2015年3月,国际标准化组织(ISO)正式批准了由中国审计署牵头承担的ISO首个审计领域的国际标准,即“审计数据采集”国际标准项目(ISO/PC295)。2016年3月,审计署完成了INTOSAI《会计核算软件数据接口标准(Data Interface Standard for Accounting Software)》的制定工作,并于2016年12月担任INTOSAI大数据工作组主席国。
中国审计数据标准面临的挑战及几点建议
现有的审计数据标准仍然存在更新不及时、发展滞后、部分标准应用效果不佳、相关人员认识不够等多方面问题,远不能满足中国审计快速发展的需要。例如,《财经信息技术会计核算软件数据接口第1部分:企业》(GB/T24589.1)主要针对企业ERP系统,自2010年颁布后再无更新,已经远远跟不上企业ERP系统的更新步伐和企业审计需求的变化,在审计实践中的使用情况也不乐观,各种行业性的审计实务公告则已经10多年没有更新过。
因此,迫切需要开展新时代审计数据标准的建设工作,并根据以往的经验教训,建立更为长效的审计信息化标准化发展体系。对此,笔者结合自身经验提出几点浅见。
标准是面向国家审计还是审计行业及相关监督者?
应当看到,国家审计是此前十多年推动审计数据标准制定和实施的主要力量。有些观点据此认为审计数据标准就是面向国家审计的,并进一步认为,既然标准的服务对象仅限于政府审计,那就只需要制定行业标准即可,并无制定国家标准乃至国际标准的必要。这种观点既没有看到标准的全局性、战略性地位,也忽视了标准内在的多元性。
任何标准都需要政府、社会各方力量的广泛参与,并对经济社会运行的方方面面产生辐射性影响。审计数据标准也是如此。国家审计的行政力量可以在短期内快速推进标准的建设,但是长效的标准维护机制仍然依赖社会及市场力量的广泛参与。这就要求在国家审计行业标准的基础上,推动国家标准的制定,兼顾社会审计和部分内部审计的需求,依靠各种监管力量共同推进标准的广泛使用。标准的用户越多,生命力就越强,才会产生马太效应。审计数据标准也只有通过服务全社会,才能更好地服务国家审计。
谁适合做标准?
审计数据标准的制定既需要计算机知识,也需要审计业务知识。以往有种观点,认为数据都是计算机人员的事,审计人员日常工作繁忙,只需要抽空指导一下即可。这种认识错误地理解了审计数据标准的本质和最终服务对象。
审计数据标准的本质是用标准化的电子数据反映审计对象的业务活动。只有深刻地理解审计业务,才能把握何种业务活动是审计的关注要点。
标准应当“大而全”还是“小而精”?
制定审计数据标准就需要考虑审计需求和信息系统的多样化。一种错误的做法是在标准中满足所有需求、反映所有的差异。为了避免疏漏,制定者不断增补内容,最终只能得到一个看似无所不包,但却无比复杂、难以使用的标准。这一做法实质上沿袭了以往获取审计对象全库备份的方法。
但是,标准制定是一个由个别到一般、由多样到普遍、由复杂到简单的抽象过程。既是抽象,就必然要放弃一些细节,从而确保满足主要审计目标。其中的关键是做“减法”,而非“加法”。这也是为什么我们认为需要一流的审计业务人员的深度参与。只有他们才能准确把握审计需求的核心,做出恰当的取舍。
标准是静态的,还是动态的?
标准的整个生命周期包括酝酿、制定、实施、修订和废止。因此,标准不是一成不变的,而是伴随着审计需求、审计对象信息系统等内在和外在因素的不断演进而变化。其修订、维护和适时的废止也依赖一支长期跟踪审计业务、了解标准工作的队伍。不能本着短促突击、“投机取巧”的思想,对待一项涉及国计民生并将产生长期性影响的工作。
综上,标准化是一项全局性、战略性、艰难的工作。它要求我们转变行政命令式的手段,而秉承“大家的事由大家商量着办”的理念,和国内外社会各界不断协商、权衡、妥协、取舍。制定一项标准远比采集数据难得多,短期看对审计工作的帮助也不大。但非如此,我们就无法应对大量审计对象提供的高度差异化的信息。标准化是这个时代审计数据采集的必由之路,也是大数据时代科技强审的重要支撑。