□文/謝卓力

（廣東財經(jīng)大學 廣東·廣州）

［提要］ 數(shù)字化轉型時代，應用非現(xiàn)場審計的場景越來越多。在歸納非現(xiàn)場審計應用研究和實施情況基礎上，以存在的問題為主線，提出構建非現(xiàn)場審計數(shù)字安全體系的幾點思考。

隨著經(jīng)濟環(huán)境的高速變化、信息技術的快速發(fā)展以及數(shù)據(jù)應用的不斷創(chuàng)新，審計業(yè)務進入了數(shù)字化轉型時代，不少單位運用非現(xiàn)場審計方式完成了審計工作。非現(xiàn)場審計涉及大量數(shù)據(jù)和各種數(shù)字化技術，比如審計機關在開展高校主要領導人任期經(jīng)濟責任審計的過程中，需要采集預算執(zhí)行、財務收支、工程建設、財經(jīng)法紀執(zhí)行、重大制度落實情況和內部控制等詳細內容及數(shù)據(jù)；比如運用多種網(wǎng)絡通信和信息化工具，包括電話、電子郵件、數(shù)據(jù)交換平臺、聊天工具和聯(lián)網(wǎng)審計軟件等。如何保障審計數(shù)字安全，如何構筑信息安全防護網(wǎng)是值得思考的問題。

一、基本概念

（一）非現(xiàn)場審計。非現(xiàn)場審計（又作遠程審計）是指審計人員不在被審計單位現(xiàn)場，利用獲取的審計對象相關信息、數(shù)據(jù)和資料，運用大數(shù)據(jù)審計和綜合分析等方法，以及適當?shù)牧鞒虒嵤徲嫷墓ぷ鞣绞健?/p>

（二）審計數(shù)字安全。審計數(shù)據(jù)安全性指通過采取必要措施保障歸集數(shù)據(jù)得到有效保護和合法利用?！度驍?shù)據(jù)安全倡議》指出數(shù)據(jù)是數(shù)字技術的關鍵要素。據(jù)此，筆者認為，審計數(shù)字安全可分為數(shù)據(jù)安全和數(shù)字技術安全。

二、非現(xiàn)場審計發(fā)展現(xiàn)狀

（一）非現(xiàn)場審計文獻回顧

1、非現(xiàn)場審計的價值優(yōu)勢明顯。王向陽探索了大數(shù)據(jù)非現(xiàn)場審計模式的建立和應用，認為非現(xiàn)場審計效率高且規(guī)范性強。孫玥璠認為非現(xiàn)場審計形式擴大了內部審計范圍，提升數(shù)據(jù)采集效率、效果及審計結果可信度。

2、非現(xiàn)場審計的技術演變明確。審計業(yè)務模式在過去從傳統(tǒng)信息技術向網(wǎng)絡化不斷發(fā)展，演變路徑為現(xiàn)場作業(yè)審計——聯(lián)網(wǎng)審計——數(shù)字化審計平臺——云審計。相關軟件開發(fā)公司如用友，利用其開發(fā)的CPAS審計信息系統(tǒng)，為遠程審計提供審計解決方案，滿足現(xiàn)場調研、異地辦公及數(shù)字化協(xié)同審計的需求。

3、非現(xiàn)場審計有其風險和存在的問題。劉星認為大數(shù)據(jù)審計存在數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理和數(shù)據(jù)分析等風險。孫博文指出，遠程審計僅能實現(xiàn)審計工作的部分環(huán)節(jié)，如果不能將局部功能有機結合起來，一體化的審計系統(tǒng)功能就無法得到有效發(fā)揮。

（二）非現(xiàn)場審計實施情況。2020年5月，秦榮生提出“在上市公司中實施遠程聯(lián)網(wǎng)審計”的對策，同年9月財政部在該提案的回復中表示，財政部非常重視遠程聯(lián)網(wǎng)審計理論研究和方法應用，與時俱進加強對包括信息系統(tǒng)審計或與遠程聯(lián)網(wǎng)審計有關的審計理論、準則、技術的研究與指導。

除了社會審計機構對非現(xiàn)場審計工作有新的要求外，國家審計機關也在積極探索非現(xiàn)場審計。2020年4月北京市審計局印發(fā)《北京市審計局非現(xiàn)場審計管理辦法（試行）》，該辦法明確了審計機關關于非現(xiàn)場審計的定義和種類劃分。非現(xiàn)場審計應當有效運用大數(shù)據(jù)審計方法，強化對數(shù)據(jù)采集、數(shù)據(jù)集中分析場所和人員，以及數(shù)據(jù)授權的全流程管理。

（三）非現(xiàn)場審計存在的問題。（1）缺乏非現(xiàn)場審計的頂層依據(jù)。除了《北京市審計局非現(xiàn)場審計管理辦法（試行）》外，筆者未發(fā)現(xiàn)其他有關非現(xiàn)場審計的制度和審計準則。非現(xiàn)場審計與傳統(tǒng)審計場景有所不同，需要再造審計的程序和流程，缺乏相關制度和準則的約束，容易產(chǎn)生數(shù)字風險。（2）信息化水平尚需提高。被審計單位的信息化水平普遍不高，信息系統(tǒng)內部控制的安全性和有效性難以滿足非現(xiàn)場審計的基礎條件。審計部門整體信息化水平也有限，無法實施大規(guī)模非現(xiàn)場審計，導致非現(xiàn)場審計發(fā)展緩慢。（3）審計人員審計思維未轉變。當前非現(xiàn)場審計的諸多理念具有前瞻性，比傳統(tǒng)審計更加注重全局性和安全性。要積極擁抱創(chuàng)新的心態(tài)，加大對非現(xiàn)場審計工作方式深入了解和認知。（4）審計數(shù)據(jù)缺乏安全保護。非現(xiàn)場審計的基礎是海量大數(shù)據(jù)，審計數(shù)字安全性應擺在第一位。一是數(shù)據(jù)收集、存儲、處理、分析及結論形成的全流程都需要有效保護；二是數(shù)據(jù)在整個審計工作的生命周期中需要合法利用的，不得泄露、篡改及泄密。（5）缺乏信息化審計人才。數(shù)據(jù)化轉型過程中，每個審計項目均有大量的數(shù)據(jù)采集、處理和分析工作，但是一般情況下，審計部門中專職的計算機人才較少甚至沒有，而普通審計人員無法經(jīng)過簡單培訓就有能力應付復雜的信息化技術工作。

三、非現(xiàn)場審計數(shù)字安全體系構建思考

當前非現(xiàn)場審計處于起步階段，可能存在因管控措施不當導致審計風險提升的情形，特別是審計的數(shù)字風險。應進一步加強審計數(shù)字安全體系建設研究，審慎推進非現(xiàn)場審計實施。以下是筆者對構建該體系的幾點思考：

（一）加快建設非現(xiàn)場審計制度。加快配套非現(xiàn)場審計制度建設，完善與非現(xiàn)場審計相適應的審計制度、工作準則和質量控制建設。要立足審計的實際，將近年來在非現(xiàn)場審計方面積累的工作經(jīng)驗上升提煉為制度。特別要堅持問題導向，以數(shù)字化轉型為契機，充分考慮制度的可操作性，加快制度建設，力求用頂層設計指導工作實踐。

強化頂層設計，需要防范非現(xiàn)場審計工作的風險。鑒于該審計工作方式對電子數(shù)據(jù)、網(wǎng)絡通信、信息化軟硬件存在較大程度的依賴，因此在實施非現(xiàn)場審計工作時應特別關注其固有風險。在制度設計之初就必須要考慮到包括數(shù)據(jù)傳輸和存儲的安全性、數(shù)據(jù)自身的真實性和完整性、信息化工具軟件的可靠性、審計程序和審計證據(jù)獲取的合規(guī)性和有效性等要求。

（二）加強數(shù)字安全的認知意識。數(shù)字化轉型是對組織全方位的升級改造，它深入到組織的各項業(yè)務，是一個系統(tǒng)性的工程。在此過程中，數(shù)字風險廣泛存在于組織的方方面面。數(shù)字化的復雜程度決定了應對風險的難度，涉及到多個領域的知識和技能。規(guī)避數(shù)字風險是重要的，但不能只盯著風險，還要考慮數(shù)字技術的發(fā)展。未來的數(shù)字風險需要管控，統(tǒng)籌發(fā)展和安全。數(shù)字風險并不可怕，關鍵是要增強數(shù)字安全意識。只要做好數(shù)字風險控制的有效措施，加大控制數(shù)字風險問題的研究力度，加快風險控制標準和制度建設，加強數(shù)字安全意識，就能識別它、避讓它、管控它。

（三）注重利用技術保障數(shù)字安全。保障非現(xiàn)場審計數(shù)字安全，要關注新技術應用如大數(shù)據(jù)、云計算、區(qū)塊鏈、虛擬現(xiàn)實技術及各種數(shù)據(jù)防護技術等。利用大數(shù)據(jù)技術，加強異常數(shù)據(jù)的監(jiān)控，保障數(shù)據(jù)的完整性、可用性和保密性，達到審計事前和事中的風險管理；利用云計算技術，突破單臺計算機的計算能力，無論審計人員身處何地、使用何種設備，都能獲得審計數(shù)據(jù)，有效提高處理效率和控制風險；利用區(qū)塊鏈技術，運用其去中心化、可追溯、不可偽造的特性，確保審計數(shù)據(jù)安全可靠，不被人為操控干預，防止審計信息欺詐、審計關鍵數(shù)據(jù)調包；利用虛擬現(xiàn)實技術，運用人臉識別技術，可以開展遠程實景訪談、實物盤點等業(yè)務，非現(xiàn)場審計也能做到親臨其境；利用各種數(shù)據(jù)防護技術，加強傳輸聯(lián)絡、采集介質的加密使用，保障存儲設備和節(jié)點的安全，提高數(shù)據(jù)訪問權限和數(shù)據(jù)應用安全等級，保障審計數(shù)據(jù)在采集、存儲、管理、應用等各個環(huán)節(jié)的安全性。

（四）跨部門合作與組織管理。非現(xiàn)場審計中涉及的各個部門要互相配合，搭好數(shù)字安全網(wǎng)絡，營造無障礙的溝通和工作環(huán)境。在組織內，內部審計要與組織內部的其他職能部門密切合作，整合審計資源，形成對風險的統(tǒng)一認識以及風險聯(lián)動的工作機制。以學校內審部門為例，要聯(lián)合學校的網(wǎng)絡信息、財會、資產(chǎn)管理等部門，了解組織內部及被審計單位信息系統(tǒng)數(shù)字安全的情況，及時排除風險隱患。同時，要結合內部控制制度，促進相關職能部門積極參與審計工作，聯(lián)合組成審計組，增強非現(xiàn)場審計中的信息技術力量。在組織外，高校、企業(yè)、科研機構要加強合作，積極建立產(chǎn)學研聯(lián)動機制，為非現(xiàn)場審計人員的理論與實踐有效融合提供平臺。通過不斷提升在相關領域的跨部門合作和組織管理，為數(shù)字化轉型和發(fā)展的決策者提供富有價值的信息和建議，幫助組織內外應對數(shù)字風險。

（五）吸納和培養(yǎng)復合型審計人才。非現(xiàn)場審計數(shù)字安全體系是一個復雜的系統(tǒng)，從頂層設計到審計工作實施，都離不開人的努力，人才是關鍵因素。非現(xiàn)場審計人員不僅要掌握審計專業(yè)知識，還要了解數(shù)字風險和計算機技術，才能適應數(shù)據(jù)化轉型中審計工作的需要。如果管理人員和審計人員缺乏數(shù)字化基因，對數(shù)字安全認識不深刻、不具體，那么整個數(shù)字安全體系就大打折扣。

審計部門應該從四個方面優(yōu)化員工隊伍結構，建立專業(yè)的非現(xiàn)場審計技術隊伍：一是優(yōu)先吸納具有審計和計算機專業(yè)知識的復合型人才，加強非現(xiàn)場審計隊伍的技術水平；二是運用多種培養(yǎng)渠道加強培訓，加大審計人員計算機專業(yè)應用、網(wǎng)絡安全的培訓力度，鼓勵審計人員換崗鍛煉；三是不斷提高非現(xiàn)場審計在日常工作中的比重，多運用數(shù)字化技術，秉持在工作中學習、在學習中工作的理念，加速數(shù)字化審計能力的培養(yǎng)。

（六）構建非現(xiàn)場審計數(shù)字安全體系。審計部門使用審計軟件進行審計，僅僅是非現(xiàn)場審計的一個縮寫。構建非現(xiàn)場審計數(shù)字安全體系，應立足整體對所有審計資源進行整合，通過現(xiàn)代化信息技術，將審計各要素包含頂層設計、理念認識、多種技術、多個部門、專業(yè)化審計人員編織成一張網(wǎng)絡，向這張網(wǎng)絡的各個部分注入數(shù)字安全因子。在這張網(wǎng)絡中，組織的協(xié)同和被審計單位的信息化基礎條件都是審計數(shù)字安全的一部分，也應當成為數(shù)字風險管理中的重要內容。

四、結語

數(shù)字化轉型時代，非現(xiàn)場審計還需繼續(xù)發(fā)揮重要作用。下一步，應加強非現(xiàn)場審計的系統(tǒng)研究，在實踐和理論研究方面下功夫，加強信息化建設、推動有關部門出臺相關制度，著力構建非現(xiàn)場審計數(shù)字安全體系，夯實審計數(shù)字安全的基礎，堅守審計質量和效率相結合，最終推進非現(xiàn)場審計的可持續(xù)發(fā)展。