全美政府间审计论坛第22届双年会议在美国科罗拉多斯普林市召开，来自美国审计署、司法部、财政部、卫生与公众服务部、监察长诚信与效率委员会（CIGIE）等联邦机构，以及俄勒冈州、纽约州、怀俄明州、加利福尼亚州等各州和地方审计机关合计超过90家单位的200多人参加了此次会议，其中包括多名监察长和地方审计机关主要负责人。中国审计署作为唯一的外国最高审计机关受邀参加了本次会议。

本次会议共安排13场专题演讲，研讨的内容概括为下列四个方面：

一、变革的环境对审计的影响

（一）美国政府审计面临的趋势和挑战。美国审计长多达罗在演讲中，详细讲述了美国审计署2018年至2023年战略规划中列示的8个方面的趋势和挑战，包括：全球安全威胁；联邦政府不可持续的长期财政路径；经济增长和贸易不平衡；教育和为未来劳动力储备方面的问题；人口老龄化和社会需求变化；现代科学与技术对社会的改变；复杂的治理和政府问题；环境与可持续发展问题。针对每一方面，他都详细说明了美国审计署将开展的相关工作。

例如在第一个趋势——全球安全威胁方面，美国审计署要从以下6个方面开展工作：一是分析美国和国际上对抗境内外威胁的措施；二是评估有关强化关键基础设施和联邦政府资产的网络安全方面的举措；三是评估国防部满足运行需求，以及在不断变化的全球安全环境中重新部署军力和重建装备的能力；四是评估美国军队和武器系统装备现代化方面的进展，包括核安全设施和核力结构；五是评估美国的应急管理和加强适应能力方面的措施；六是从全美安全利益角度，检查对外国投资者和全球供应商基地的影响的管理情况。

他在演讲中说，美国审计署将继续通过其培训中心，为联邦、州和地方政府的问责组织提供培训和技术支持，促进提升能力和建立伙伴关系，并且计划在2018年下半年发布修订后的政府审计准则，在2019年发布新制定的内部控制工具。

（二）透过数字看美国。微软前CEO史蒂夫·鲍默受邀到会讲解了他的USAFacts公司的创建和运营情况，并根据该公司发布的2018年度报告和10-K报告，向参会者展示了美国人口财政状况和政府对于社会的影响。由于他们的报告所使用的所有数据均来自美国联邦各部门机构和各州及地方政府网站上公开的信息，参会者对于报告的客观性表现出了浓厚的兴趣。

（三）经济学家对审计师说。丹佛市的首席经济学家从美国全国、科罗拉多州和丹佛市在人口、劳动力、就业率、薪酬、消费价格指数等情况介绍入手，分析了近年来美国GDP、工业生产率、道琼斯股指、消费支出、电子商务、债券收益、居民劳动力、丹佛市的房价和租金走势、丹佛市销售税等，对美国和丹佛市的经济增长现状、就业和失业人群等情况进行了判断，使参会者从宏观上认识和了解了对于政府预算有影响的经济社会发展关键问题。

（四）美国政府所服务的民众和选民。美国全国公共广播电台（NPR）的资深编辑和记者罗恩·埃尔夫，利用皮尤调查的数据，细致分析了美国民主党和共和党两党的人员构成，现在和未来一个时期美国社会的选民构成特点及趋势，详细列示了他们的宗教信仰和诉求。他在演讲中通过选举后民意调查结果，分析了美国近年来大选选民构成和他们关注的话题（国家变化、工作岗位和移民问题）的情况，认为2020年美国大选及以后的选民中，有色族裔将大幅增加，并且80后一代将成为最大群体，他们在同性恋权利和政策、持枪法律、堕胎等问题上，与老人们观点相异，他们是美国政府所服务的选民，他们现在的所作所为反映了未来美国民众的所思所想。

二、现代信息技术发展与审计

（一）大数据、人工智能和数字分布式技术时代审计的转型。现代信息技术的快速发展给审计带来了挑战，也给审计转型带来了机遇。美国审计署的首席科学家提摩西·珀森斯分析了现代技术发展的趋势，以及关于审计新战略的思考。网络攻击威胁巨大，带来损害十分严重。美国国家标准和技术研究院（NIST）发布的网络安全框架包括识别、保护、检查、应对、恢复5个模块，对于网络安全管理提供了指南。区块链技术为数字加密货币（例如比特币）的价值增长提供了基础，许多部门正在评估分析如何在日常工作中使用区块链技术。审计界需要权衡因使用这些新技术带来的高效率和所面临的风险。数据分析改变了审计，人工智能将加速审计人员转型。机器学习有望帮助审计人员评估分析海量数据，从而在审计中更便捷地提出新观点和关注到异常事项。未来对于审计职员（clerk）的需求会大大减少，对于审计人员（auditor）的需求增长放缓，而对于管理分析师（management analyst）的需求会大幅增加。当前审计人员面临着技能再造和提升，未来审计人员的知识和技能主要包括数学和统计、编程和数据库、领域知识和软技能、沟通和可视化四个方面。不过他在演讲最后指出，我们面临的最大挑战不是技术，而是来自社会文化方面。

（二）持续审计和数据可视化分析。将一个软件嵌入到相应的系统中开展持续审计，可以帮助审计人员准确识别一些错弊和风险，也可以将持续审计嵌入到一个常规审计过程中，作为风险评估工具，帮助审计人员识别风险点，以便开展更有针对性的审计，从而缩短现场审计时间。开展持续审计需要对审计人员进行培训，初始成本较高，但从长期来看还是划算的。开展持续审计，可以开展覆盖总体的测试，有利于提高审计的质量和效率，但由于存在定性和定量的数据分析，所以需要用到各种分析方法。持续审计在独立性、现场工作等方面需要特别注意遵循政府审计准则的要求，同时也对数据的可比性、可靠性提出了较高的要求。丹佛市审计局介绍的持续审计案例包括启动、准备和风险确认三个阶段，具体环节包括：取得数据；评估数据的可靠性和可用性；利用数据管理和统计软件进行控制测试、分层检查和趋势分析；通过质量控制和被审计单位反馈等进行核实；利用可视化工具进行报告。常用的可视化工具包括D3桑基图、皮特里盘子等。

（三）NIST的网络安全框架与安全性审计。美国商务部的国家标准和技术研究院（NIST）发布的网络安全框架包括5个要素：识别、保护、检查、应对、恢复，其中每个要素方面都包含若干原则要求。对于一个没有技术背景的审计人员来说，开展安全性审计不容易。要想成功实施安全性审计，审计人员应该明白如下11件事：一是确定审计目标，到底是证明安全还是促进安全；二是选择确定审计衡量标准，是NIST的风险管理框架还是ISO系列，还是网络安全能力成熟度模型；三是按照既定标准确定系统类别和安全级别；四是确定审计的边界范围；五是确定数据由谁负责、在哪里、如何储存、怎样生成和流转、谁接触过这些数据；六是根据NIST模型确定审计政策和程序；七是利用相关工具开始审计；八是开展很多工作以帮助审计自动化；九是采用检查、访谈和测试等方法对控制设计进行检查，可以随机抽样，可以重点检查，也可以全面检查；十是进行风险评定；十一是列示补救措施。

（四）当前网络安全威胁的形势和审计人员关于网络安全的10项应知。网络安全威胁日益严峻，美国每年花费在应对网络安全威胁方面的成本十分巨大。当前我们要警惕钓鱼网站、假冒名义、各种引诱、补偿诱惑、跟踪尾随和敲诈勒索。一些建议包括：加强存货保护、教育整个组织的员工警惕和恰当应对网络攻击、及时打补丁、定期进行安全检查、设定一些预防措施和备份等。2018年美国将面临一些严重的网络安全威胁。

审计人员应该明白的10个方面是：采纳现有的网络安全框架或指南；充分考虑来自欧洲和日本等国家的网络安全规定；明确构成风险的要素；认识面临的最大风险；确保基本的信息安全控制；确保应对网络事件的政策有效；建立灵活的网络安全战略；进行适当的培训提升网络安全意识；记住万物是互联的；警惕证书偷窃技术。

三、如何更好地做好审计工作

（一）恰当描述问题对于解决问题至关重要。在平行论坛上，来自LeaderFuelNow的首席思维官（Chief ThinkingOfficer）提出，对一个错误问题的好的解决方案是有异议的，而描述问题的方式决定了你对问题解决方案的选择。他引用了几个小的例子，说明了在审计过程中，为了能够提出好的问题解决方案，审计人员必须有批判性思维，恰当描述问题。

（二）避免大题目审计。华盛顿州国王县审计局长分享了他们在避免大题目审计（Large concept audit）方面的体会。他认为，有的时候我们实施的审计项目要针对的问题并不明确，我们搞审计仅仅是想做点事情，审计人员由于缺乏能力或者兴趣和意愿，而对审计题目认识不清晰，这些都是大题目审计的来源或表现。开展大题目审计有太多的审计风险。我们要通过确定可审计的问题、分析可能提出的建议、在审计工作的时间和资金成本与审计的效果之间作出权衡等，尽力避免大题目审计。

（三）政府审计和行为道德。许多有关审计的规则和准则都禁止影响审计结果的偏见。行为准则、以规则为基础的警告、年度的道德培训等等，都没能有效地使审计人员完全遵守道德行为规范。此外研究还表明，“胡萝卜加大棒”的方法也不见得奏效。我们需要弄明白人们如何抉择行为道德，以及那些阻碍人们行为道德的制度和环境。美国审计署的常务道德顾问在演讲中，分析了认知和道德心理的基本原则，提出道德规则、培训、惩戒在促使审计人员保持行为道德方面作用不大，关键在培育道德文化和设计良好的激励机制。

在行为道德这一题目下，怀俄明大学的丹尼斯在演讲中，讲述了个人的性格与道德品质之间的相关性，特别讲述了个人保持诚信、刚毅和积极的态度的重要性。

（四）OVERSIGHT.GOV网站汇集各个监察长的报告。美国联邦现有73个监察长，2008年建立的监察长诚信与效率委员会（CIGIE）努力帮助各监察长办公室培育专业的、经过培训的和高技能的人员队伍。目前73个监察长办公室均建立了各自的网址，用来公布报告和一些数据。这些分散的报告和数据没有有效的权威的汇总。监察长诚信与效率委员会主席迈克尔·霍洛维茨在演讲中指出，2017年10月1日开始运行的网站OVERSIGHT.GOV目前已经汇总了69个监察长办公室的8900多份报告，提供了监察长们最新工作结果，并且能够满足全文本查询的需求，受到了国会议员、媒体等方面的好评。未来该网站还要开放所提建议的数据库，提供跨部门的举报热线、计算机灾难恢复支持网页、监察长职位空缺等信息，还将为监察长网站提供服务器托管、建立各个监察长办公室合作平台、公开相关数据、纳入美国审计署相关信息等。当然该网站的建设也面临资金问题和各监察长办公室数据及业务实践多样性的问题。将来各个监察长办公室要在一些重大问题领域协作，开展高层次的审计。例如最近公布的61个监察长报告的联邦部门和单位存在的7个最常见问题，引起了国会的重视。监察长的监督与公众监督力量的整合，有利于强化监督、独立性、透明度和更强的问责。

四、审计实践和案例分享

（一）医疗救助审计。卫生和公众服务部监察长办公室审计部门负责人格洛丽亚·雅尔蒙介绍了联邦层面的医疗救助审计工作，他们的工作通过风险评估，确定审计重点为受益人受益情况和不当支付情况，审计结果包含家庭照护管理、阿片类医疗中心的运作、州税收和补充支付等财政机制等方面，还介绍了监察长办公室与医疗救助舞弊控制单位的分工协作关系。奥尔良州审计局介绍了他们2017年开展的医疗救助审计工作。在奥尔良，三分之一的资金（大约100亿）用于支付医疗救助，医疗救助覆盖全州25%的人口。在2017年开展的医疗救助专项审计中，他们采用数据分析技术，使用访谈、聘用相关机构辅助审计、审阅制度文件、控制评估等方法，发现了4.76万人不符合医疗救助条件的人享受了医疗救助、缺少预防不当支付的内部控制、向非居民进行支付等问题。本次审计影响大效果好，5.5万人因不符合医疗救助条件被移除医疗补助系统，4个供应商被逮捕，超过250人被起诉。

（二）救灾和重建情况审计。2017年美国遭受了严重的自然灾害，包括飓风哈维、艾玛和玛利亚，以及加利福尼亚大火，仅国会就通过了数十亿的救灾拨款。美国联邦、州和地方政府审计机关都十分关注救灾资金的使用情况。美国审计署介绍了美国自然灾害情况和救助情况，以及近年来开展的20多项有关救灾和重建情况的审计。密西西比审计局介绍了他们关注救灾过程中的舞弊的做法。得克萨斯州哈里斯地区审计局介绍了他们的救灾和重建情况审计的情况，他们在审计中重点关注了灾难发生前的预防工作情况。他们分享了在审计中侦破一起通过钓鱼软件实施救援舞弊导致损失90万美元资金的案件。

（三）科罗拉多审计局开展的4项审计。有针对性地开展审计才能提供有效的服务。利用现有的信息技术和数据可以做很多的分析，并且快速生成报告。科罗拉多审计局介绍了他们开展的校区财政状况调查、近3年审计建议执行情况后续审计、NCAA财务数据汇总、税式支出调查等项目，分享了成功做法和经验。