作为一名在注册会计师(CPA)行业摸爬滚打多年的“老兵”,我见证了这个行业从算盘、计算器到ERP系统,再到如今大数据与人工智能辅助审计的巨变,如果说以前的审计是“拿着手电筒在黑暗中摸索”,那么现在的审计更像是“驾驶着高科技潜艇在深海巡游”,而这一切变革的核心,正是我们今天要聊的主角——Information system(信息系统)。
我想抛开教科书上那些晦涩难懂的定义,用一种更接地气、更像是在茶余饭后与同行交流的方式,来聊聊信息系统到底是如何改变我们的工作方式,以及作为一名注会,我们该如何在这个被代码和算法包围的时代,守住我们的职业灵魂。
不再是“黑盒”:当会计分录有了生命
刚入行那会儿,我的项目经理曾告诉我:“看凭证,就是看业务的底片。”那时候,我们翻阅厚厚的纸质账本,每一笔分录都透着墨水的味道,而现在,当我们走进一家现代化企业的财务部,迎接我们的往往不是堆积如山的单据,而是一块块闪烁着数据的屏幕——这就是Information system的具象化体现。
很多初学者,甚至是一些资深会计,对信息系统存在一种误解,认为它只是一个高级的“计算器”或者“记账本”,但在我看来,信息系统是企业的“数字神经系统”。
举个具体的例子,去年我审计了一家大型制造企业,他们使用的是SAP系统,在以前,审计“存货”这个科目,我们需要去仓库抽凭,点数,然后核对发票,但在SAP系统里,从原材料采购入库,到生产线领料,再到产成品完工入库,最后发货确认收入,这整个链条都在系统里自动流转。
我记得当时为了验证“主营业务成本”的准确性,我没有去翻每一张出库单,而是直接在信息系统中调取了“成本滚算模块”的逻辑,我发现,系统设定的标准成本与实际成本之间的差异,会自动分摊到各个环节,那一刻,我意识到,我面对的不再是死板的数字,而是一套严密的逻辑规则。
我的个人观点是: 信息系统让会计分录有了“生命”和“血缘”,以前我们看借贷平衡,现在我们看数据流在系统模块间的传递是否顺畅,作为审计师,如果你不懂系统是如何“生产”出这些数字的,你就永远只能在做表面的数字游戏,而无法触及业务的实质。
穿行测试的变迁:从“抽凭”到“穿网”
在审计准则中,“穿行测试”是了解内部控制不可或缺的一环,以前做穿行测试,真的是“跑断腿”,我们要问销售:这单货怎么发的?问仓库:货是谁批的?问财务:账是谁记的?最后把这三个人的签字凑在一起, hope they match。
Information system让这一切变得截然不同。
我曾经服务过一家电商客户,他们的业务量是惊人的——每天几万笔订单,如果靠人工去追每一笔订单的流转,审计团队就算有三头六臂也完不成,这时候,信息系统的“轨迹”功能就成了救命稻草。
我们随机抽取了一笔订单,在系统后台通过“订单号”这个唯一的索引,像看电影一样回放了这笔业务的整个生命周期:
- 前端用户下单,时间精确到毫秒;
- 支付系统接口反馈支付成功;
- WMS(仓储管理系统)自动生成拣货单;
- 物流系统录入运单号;
- 财务系统自动确认收入并结转成本。
在这个案例中,我深刻体会到了信息系统带来的效率革命,但我必须发表一个警示性的观点: 这种便捷也带来了巨大的风险——我们正在逐渐丧失对实物控制的敏感度。
屏幕上的“已发货”状态,真的代表仓库里真的少了一件货吗?系统里的权限审批流,真的代表那个经理亲自看了这笔单子吗?信息系统构建了一个完美的“虚拟世界”,但作为审计师,我们时刻提醒自己:虚拟世界必须与现实物理世界一一对应,这就是为什么即便系统再发达,我们依然要坚持监盘,依然要坚持与关键管理人员面谈。信息系统是手段,不是真相的全部。
那个拥有“上帝权限”的实习生:谈一般控制(ITGC)与应用控制
聊到信息系统,就不得不谈IT审计,很多做财务报表审计的同事对IT审计人员敬而远之,觉得他们是一群只会敲代码的怪人,但实际上,在信息化高度普及的今天,ITGC(信息技术一般控制)是所有审计工作的基石。
我想分享一个发生在我朋友事务所的真实案例,这简直是教科书级别的反面教材。
那是在审计一家拟上市的高科技企业,企业的ERP系统非常庞大,但IT审计团队在测试一般控制时发现了一个致命漏洞:虽然系统有严格的权限管理,但在系统维护层面,存在一个“超级用户”,这个账号原本是留给供应商做技术支持的,但为了方便,竟然被共享给了几个IT部门的实习生,甚至密码半年没换过。
结果是什么?其中一个实习生,出于好奇(或者别的什么原因),利用这个超级权限,私自修改了几个关键供应商的银行账号信息,虽然金额不大,但这直接击穿了内控的“有效性”。
当这个发现被汇报给管理层时,CFO的脸都白了,这就是信息系统中最经典的风险:当权力过度集中且缺乏监督时,技术会成为作恶的放大器。
在这个环节,我非常想强调我的个人看法:很多企业重“应用控制”轻“一般控制”。 他们愿意花几百万买软件,设置各种复杂的审批流程(应用控制),却不愿意花几千块钱去规范服务器机房的门禁卡,不愿意去管理管理员账号的密码策略(一般控制)。
作为注会,我们在评估企业内控时,不能只看屏幕上的审批流是否漂亮,更要看底层的系统环境是否安全,如果地基(一般控制)是歪的,上面的楼(应用控制)盖得再漂亮也是危房。
数据分析:从“抽样”到“全量”的飞跃
在传统的审计方法论中,“重要性水平”和“审计抽样”是核心概念,因为我们要面对海量数据,时间成本有限,所以只能抽取一部分样本,用样本去推断总体,这本质上是一种“妥协”。
但Information system改变了游戏规则,现在的审计,越来越多地采用“全量测试”。
记得在做一个商业银行的审计项目时,面对几百万条信贷记录,以前的做法是分层抽样,抽个几百笔看看利息计算对不对,但那次,我们直接导出了数据库,利用SQL和Python脚本,对全量数据进行了扫描。
结果令人震惊,系统在计算某类特定贷款的复利时,有一个极小的Bug,只有在闰年的2月29日当天放款且期限为整年时才会触发,如果是抽样审计,抽中这一笔的概率比中彩票还低,但通过数据分析,我们瞬间筛选出了所有受影响的几十笔贷款,累计金额高达数千万元。
那一刻,我看着屏幕上跑出来的代码,心中充满了对技术的敬畏。我认为,这是信息系统带给审计行业最大的礼物——真相的完整性。
以前我们说“合理保证”,心里其实是虚的,因为我们没看过的数据里可能藏着炸弹,通过信息系统接口和数据分析工具,我们可以说:“我看过了所有的数据,没发现问题。”这种底气,是技术赋予我们的。
人机博弈:注会会被AI取代吗?
写到这里,不得不触及一个敏感话题:既然信息系统这么强大,既然AI能自动对账、自动识别异常、甚至自动生成底稿,那我们这些考过CPA、熬夜加班的人类,还有存在的价值吗?
我知道很多年轻同行都很焦虑,但我个人的观点非常鲜明:信息系统永远无法取代注会,但“会用信息系统的注会”会取代“不会用信息系统的注会”。
为什么?因为信息系统处理的是“逻辑”和“数据”,而审计处理的是“判断”和“人性”。
举个例子,信息系统可以告诉你,这家公司的毛利率比去年上涨了10%,它甚至可以告诉你是因为原材料价格下降导致的,信息系统无法告诉你,为什么原材料价格在行业普涨的情况下,这家公司的采购价格却下降了?这背后是否存在关联方交易?是否存在利益输送?是否存在虚假采购?
这就需要我们像侦探一样,去穿透信息系统的表象,去和人打交道,去观察老板的表情,去分析行业的非财务信息。
再比如,现在的智能财务软件已经能自动生成非常漂亮的财务报表,报表附注里的披露策略,复杂会计估计(如金融工具公允价值、资产减值)的判断依据,这些都需要高度的职业怀疑精神和专业判断,机器不懂“实质重于形式”,机器只懂“输入即输出”。
我认为,未来的注会,更像是一个“数据翻译官”和“商业逻辑分析师”。 我们需要从信息系统中提取数据,翻译成商业语言,告诉报表使用者这背后的故事,我们不再需要做“数据搬运工”,那些重复性的工作,就放心地交给信息系统吧。
拥抱变化,守住初心
回望这十几年,Information system从一个辅助工具,变成了如今商业世界的基石,对于注会行业而言,这既是挑战,也是机遇。
我们不能做把头埋在沙子里的鸵鸟,拒绝学习ERP逻辑,拒绝接触SQL或Python,那样的人,注定会被时代淘汰,但我同时也希望,无论技术如何迭代,我们不要忘记审计的初心。
信息系统是冰冷的,由0和1组成;但商业世界是鲜活的,充满了人性的博弈、灰色的地带和复杂的利益纠葛。
当我们坐在电脑前,面对着双屏显示器,左边是密密麻麻的数据,右边是闪烁的光标时,请记得:信息系统是我们的望远镜,让我们看得更远、更清;但我们的心,必须永远贴着大地,感受商业的脉搏。
作为一名注会写作者,我记录下这些思考,希望能给正在这个行业奋斗的你一些共鸣,Information system不仅是技术,更是我们这一代审计人必须跨越的山丘,翻过去,你会发现,风景独好。
还没有评论,来说两句吧...