2018年5月美国召开全美政府间审计论坛第22届双年会,会议的主题是“在不断变化的审计环境中领先”,重点关注了当前审计面临的新问题、新挑战,以及如何应对等问题。会议除了美国政府审计界、监察长系统的代表和外部专家进行大会交流发言外,还以“变化的审计环境”和“审计工具”为题进行了2个平行论坛的交流。研讨的内容概括为四个方面:一是变革的环境对审计的影响;二是现代信息技术发展与审计;三是如何更好地做好审计工作;四是美国审计机关审计实践和案例分享。中国审计署作为唯一的外国最高审计机关受邀参加了本次会议。
※大数据、人工智能和数字分布式技术时代审计的转型。现代信息技术的快速发展给审计带来了挑战,也给审计转型带来了机遇。美国审计署的首席科学家提摩西·珀森斯分析了现代技术发展的趋势,以及关于审计新战略的思考。网络攻击威胁巨大,带来损害十分严重。美国国家标准和技术研究院(NIST)发布的网络安全框架包括识别、保护、检查、应对、恢复5个模块,对于网络安全管理提供了指南。区块链技术为数字加密货币(例如比特币)的价值增长提供了基础,许多部门正在评估分析如何在日常工作中使用区块链技术。审计界需要权衡因使用这些新技术带来的高效率和所面临的风险。数据分析改变了审计,人工智能将加速审计人员转型。机器学习有望帮助审计人员评估分析海量数据,从而在审计中更便捷地提出新观点和关注到异常事项。未来对于审计职员(clerk)的需求会大大减少,对于审计人员(auditor)的需求增长放缓,而对于管理分析师(management analyst)的需求会大幅增加。当前审计人员面临着技能再造和提升,未来审计人员的知识和技能主要包括数学和统计、编程和数据库、领域知识和软技能、沟通和可视化四个方面。不过他在演讲最后指出,我们面临的最大挑战不是技术,而是来自社会文化方面。
※持续审计和数据可视化分析。将一个软件嵌入到相应的系统中开展持续审计,可以帮助审计人员准确识别一些错弊和风险,也可以将持续审计嵌入到一个常规审计过程中,作为风险评估工具,帮助审计人员识别风险点,以便开展更有针对性的审计,从而缩短现场审计时间。开展持续审计需要对审计人员进行培训,初始成本较高,但从长期来看还是划算的。开展持续审计,可以开展覆盖总体的测试,有利于提高审计的质量和效率,但由于存在定性和定量的数据分析,所以需要用到各种分析方法。持续审计在独立性、现场工作等方面需要特别注意遵循政府审计准则的要求,同时也对数据的可比性、可靠性提出了较高的要求。丹佛市审计局介绍的持续审计案例包括启动、准备和风险确认三个阶段,具体环节包括:取得数据;评估数据的可靠性和可用性;利用数据管理和统计软件进行控制测试、分层检查和趋势分析;通过质量控制和被审计单位反馈等进行核实;利用可视化工具进行报告。常用的可视化工具包括D3桑基图、皮特里盘子等。
※NIST的网络安全框架与安全性审计。美国商务部的国家标准和技术研究院(NIST)发布的网络安全框架包括5个要素:识别、保护、检查、应对、恢复,其中每个要素方面都包含若干原则要求。对于一个没有技术背景的审计人员来说,开展安全性审计不容易。要想成功实施安全性审计,审计人员应该明白如下11件事:一是确定审计目标,到底是证明安全还是促进安全;二是选择确定审计衡量标准,是NIST的风险管理框架还是ISO系列,还是网络安全能力成熟度模型;三是按照既定标准确定系统类别和安全级别;四是确定审计的边界范围;五是确定数据由谁负责、在哪里、如何储存、怎样生成和流转、谁接触过这些数据;六是根据NIST模型确定审计政策和程序;七是利用相关工具开始审计;八是开展很多工作以帮助审计自动化;九是采用检查、访谈和测试等方法对控制设计进行检查,可以随机抽样,可以重点检查,也可以全面检查;十是进行风险评定;十一是列示补救措施。
※当前网络安全威胁的形势和审计人员关于网络安全的10项应知。网络安全威胁日益严峻,美国每年花费在应对网络安全威胁方面的成本十分巨大。当前我们要警惕钓鱼网站、假冒名义、各种引诱、补偿诱惑、跟踪尾随和敲诈勒索。一些建议包括:加强存货保护、教育整个组织的员工警惕和恰当应对网络攻击、及时打补丁、定期进行安全检查、设定一些预防措施和备份等。2018年美国将面临一些严重的网络安全威胁。审计人员应该明白的10个方面是:采纳现有的网络安全框架或指南;充分考虑来自欧洲和日本等国家的网络安全规定;明确构成风险的要素;认识面临的最大风险;确保基本的信息安全控制;确保应对网络事件的政策有效;建立灵活的网络安全战略;进行适当的培训提升网络安全意识;记住万物是互联的;警惕证书偷窃技术。(审计署审计科研所刘力云 审计署国际合作司丁悦)
来源:安徽省内部审计协会网站