开展计算机辅助审计的必要性.doc

资源描述

绪论 1.1 概述 1.1.1 开展计算机辅助审计的必要性审计事业是国家现代化事业的重要组成部分，是建设和谐社会的重要保证力量，是我国改革开放和社会主义经济建设的护卫屏障。随着改革开放和社会主义经济建设事业的蓬勃发展，审计监督的地位和作用越来越重要。传统手工审计是通过对账簿的检查来实现这一职责的。但是到了20世纪80年代，以查账为主要手段的审计职业遇到了来自信息技术的挑战。金融、财政、海关、税务等部门，民航、铁道、电力、石化等关系国计民生的重要行业开始广泛运用计算机、数据库、网络等现代信息技术进行管理，国家机关、企事业单位信息化趋向普及。审计对象的信息化客观上要求审计机关的作业方式必须及时做出相应的调整，要运用信息技术，全面检查被审计单位的经济活动，发挥审计监督的应有作用。因此，利用信息技术开展审计工作成为必然。而审计人员为了适应现今信息时代的需要，必须使用计算机辅助审计技术来完成审计任务。因此，掌握计算机辅助审计技术对于审计人员来说非常重要。 1.1.2 相关术语分析随着信息技术在审计领域应用的进展，在审计理论界和实务界出现了一系列相应的术语，本节对一些典型的术语进行整理和分析，从而为后文的学习打下基础。 · 计算机审计计算机审计在国内学术界有多种叫法，有时也被称为EDP审计、电算化审计、信息系统审计等；有的文献认为计算机审计包括：对计算机管理的数据进行检查；对管理数据的计算机进行检查；有的文献认为：无论是对计算机信息系统进行审计还是利用计算机辅助审计，都统称为计算机审计，或者说，计算机审计的含义包括计算机系统作为审计的对象和作为审计的工具。根据国内对“计算机审计”一词的使用情况，可以把计算机审计的含义总结如下：计算机审计是与传统审计相对称的概念，它是随着计算机技术的发展而产生的一种新的审计方式，其内容包括利用计算机进行审计和对计算机系统进行审计。由此可见，计算机审计的内涵和IT审计的内涵相似。 · 电子数据审计电子数据审计是目前审计实务界使用较多的一个术语，对于电子数据审计，目前还没有给出明确的定义，根据目前对该术语的使用情况，电子数据审计一般可以理解为“对被审计单位信息系统中的电子数据进行采集、预处理以及分析，从而发现审计线索，获得审计证据的过程。” · 电子数据处理审计电子数据处理（Electronic Data Processing，EDP）审计和电子数据审计是两个不同的概念，电子数据处理审计是信息系统审计的初级阶段，它是指对计算机信息处理系统的开发及其软件、硬件和运行环境进行测试，并评价计算机信息系统数据处理是否准确、真实、安全、可靠、高效，满足企业经营管理的需要。对于电子数据审计和电子数据处理审计这两个不同的概念，在实际应用中，一定要加以区分。 · 账套式审计账套式审计是在信息化财务系统和计算机审计条件下产生的一个新概念，它是指：当审计人员从被审计单位财务软件系统中导出相关电子数据后，将其整理转换为传统意义上的账目系统，然后再进行检查的审计模式。在这种模式下，审计的重心依然是账目系统，只不过是由纸质账目系统转换为电子账目系统。如果将电子账目系统打印成纸质账目系统，则审计就又变成了传统的账目基础审计，这种审计模式只是审计手段的改进，而不是审计观念和审计方式的进步。 · 数据式审计数据式审计不同于以往任何一种审计模式，它不是账目或信息化环境下的电子账套，而是将电子数据作为直接的审计对象，而不必将其转换成规定的电子账套。数据式审计的概念类似于电子数据审计。数据式审计模式是一个在现存审计理论框架中尚无处寻觅的全新概念。在审计实践中，账套式审计和数据式审计都还处在刚刚起步的阶段，但是可能是由于更容易被人所接受的缘故，账套式审计的做法和观念似乎更加清晰，而且也已比较广泛地被采用。 · 信息系统审计信息系统审计（Information System Audit，ISA）也是目前常常提到的概念，一般理解为对计算机系统的审计，信息系统审计的国际权威组织——国际信息系统审计和控制协会给信息系统审计作了如下定义：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。 · 持续审计持续审计（Continuous Audit，CA）是能在相关事件发生的同时，或之后很短的时间内就能产生审计结果的一种审计类型。根据这一定义，把持续审计称为实时审计更为合适。此外，要实现持续审计，需要一个在线的计算机系统把审计部门和被审计部门连接起来，所以，持续审计也被称为持续在线审计（Continuous Online Auditing，COA）。 · 联网审计随着信息化程度的提高以及计算机网络的广泛使用，目前正在开展的所谓的联网审计（Online Audit）也是持续审计的一种方式。中国国家审计署科研所的王刚认为，联网审计是指审计机关与被审计单位进行网络互连后，在对被审计单位财政财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上，对被审计单位财政财务收支的真实、合法、效益进行实时、远程检查监督的行为，是一种“全新的审计理念与审计模式”。在2004年召开的第二届计算机审计国际研讨会上，来自多个国家和地区的专家就对联网审计的研究与应用进行了交流。印度总审计署认为，联网审计是一项技术，它可以在系统处理数据的同时，或者在处理结束后马上收集审计证据；香港特别行政区审计署认为联网审计就是在局域网环境下，以审计为目的的信息技术应用；波兰最高监察院认为联网审计的工作内容主要包括通过互联网实现访问被审计单位的公共数据库，并分析电子格式的文件、声明和解释。在以上这些观点的基础上，联网审计可以归纳为：联网审计是由于网络技术在审计中的应用而形成的一种新的审计模式，它使得审计信息交流、审计证据的采集和分析技术、审计项目管理等任务实现网络化、远程化，并且由于新的方法工具的应用，使审计任务的性质、目标发生局部变化。 · 计算机辅助审计如同CAM（Computer-aided Manufacturing，计算机辅助制造）、CAD（Computer-aided Design，计算机辅助设计）等概念一样，计算机在审计领域中的辅助应用被称为计算机辅助审计。中国国家审计署把计算机辅助审计理解为：“计算机辅助审计，是指审计机关、审计人员将计算机作为辅助审计的工具，对被审计单位财政、财务收支及其计算机应用系统实施的审计。” · 计算机辅助审计技术简单地讲，计算机辅助审计技术（Computer Assisted Audit Techniques，CAATs）是指用来完成计算机辅助审计的技术。一些文献为了突出实现计算机辅助审计技术的工具，有时也会使用计算机辅助审计工具与技术（Computer Assisted Audit Tools and Techniques，CAATTs）这一术语。一些文献给出了计算机辅助审计技术的定义。 Ø 有的文献认为：广义上讲，计算机辅助审计技术是指在帮助完成审计的过程中使用的任何技术。 Ø 由于多数关于计算机辅助审计技术的定义仅限于指用于审计计算机应用系统以及用于抽取和分析电子数据的技术。因此，有的文献把计算机辅助审计技术描述为：用来直接检测一个应用系统的内部逻辑以及通过检查被应用系统处理的数据来间接地评价一个应用系统逻辑的技术。 Ø 有的文献认为：计算机辅助审计技术是基于计算机的技术，它能帮助审计人员提高工作效率，并能通过借助计算机的能力和速度提高收集审计证据的审计功能。 Ø 有的文献认为：简单地讲，计算机辅助审计技术就是指能用来帮助以更有效的、高效的、及时的方式进行审计的技术。综上所述，计算机辅助审计技术可以概括为：为了满足信息化环境下审计的需要，基于计算机的用来对信息系统，或被信息系统处理的数据进行审计的技术。我们在后文将分析到，计算机辅助审计技术可分成面向系统的计算机辅助审计技术和面向数据的计算机辅助审计技术两部分，而面向数据的计算机辅助审计技术就是本书的研究内容。 1.2 国内计算机辅助审计的研究与应用情况 1.2.1 金审工程 · “金审工程”建设背景 20世纪80年代，以查账为主要手段的审计职业遇到了来自计算机技术的挑战。审计对象的信息化，客观上要求审计机关的作业方式必须及时做出相应的调整，要运用计算机技术，全面检查被审计单位经济活动，发挥审计监督的应有作用。 1998年，国家审计署党组根据当前的现状，认真分析了信息化条件下审计工作面临的“失去审计资格”的职业风险，于1998年年底向国务院汇报工作时提出建设审计信息化系统的建议，得到了朱镕基总理的充分肯定。1999年12月，审计署根据国务院的要求，上报了《审计信息化系统建设规划》。在国务院领导和有关部门的大力支持下，2002年7月28日，国家发改委（时称国家计委）正式批准“金审工程”开工。2002年8月，《国家信息化领导小组关于我国电子政务建设指导意见》（中办发〔2002〕17号）中，批准了“金审工程”作为我国电子政务建设的重大业务系统建设工程，列入了国家“十五”期间首先启动的12个“金”字号电子政务重大工程之一。补充材料：12个“金”字号电子政务工程（1）办公业务资源系统办公业务资源系统是指中央和地方党政机关开展的办公自动化（OA）工程，重点是政府各部门的内网及专网建设。（2）“金关工程” “金关工程”即外贸业务处理系统，是国务院确定由外经贸部牵头组织实施的国家重点工程。“金关工程”就是要推动海关报关业务的电子化，取代传统的报关方式，以节省单据传送的时间和成本。（3）“金税工程” “金税工程”是整个税收管理信息系统工程的总称。“金税工程”将建立一个基于统一规范的应用系统平台，依托税务系统计算机广域网，以国家税务总局为主、省局为辅，高度集中处理信息，功能覆盖各级税务机关税收业务、行政管理、决策支持、外部信息应用等所有职能的功能齐全、协调高效、信息共享、监控严密、安全稳定、保障有力的中国电子税务管理信息系统。（4）“金卡工程” “金卡工程”是以发展我国电子货币为目的、以电子货币应用为重点的各类卡基应用系统工程。通过计算机网络系统，以电子信息转账形式实现货币流通，从而提高社会运作效率，方便人民工作生活。（5）“金宏工程” “金宏工程”即宏观经济管理信息系统，它的建设有利于宏观管理部门实现信息资源共享，提高工作效率和质量，增强管理与决策的协调性；有利于党中央、国务院获取及时、准确、全面的宏观经济信息；有利于推进公共服务，增加政府工作的透明度。（6）“金财工程” “金财工程”即政府财政管理信息系统，它的实施要从根本上改变财政系统多年来“粗放”的管理模式，促进财政分配行为的科学化和规范化，提高财政工作效率和财政资金的使用效益，更好地为人民理财。（7）“金盾工程” “金盾工程”是指公安通信网络与计算机信息系统建设工程，目的是实现以全国犯罪信息中心为核心，以各项公安业务应用为基础的信息共享和综合利用，为各项公安工作提供强有力的信息支持。（8）“金审工程” “金审工程”（英文名称为Golden Auditing Project）是审计信息化系统建设项目的简称，其目的是建成对财政、银行、税务、海关等部门和重点国有企业事业单位的财务信息系统及相关电子数据进行密切跟踪，对财政收支或者财务收支的真实、合法和效益实施有效审计监督的信息化系统。（9）“金保工程” “金保工程”是全国劳动保障信息系统的总称，可以用“一二三四”来加以概括，即一个工程，二大系统，三层结构，四大功能。即在全国范围内建立一个统一、高效、简便、实用的劳动和社会保障信息系统，包括社会保险和劳动力市场两大主要系统，由市、省、中央三层数据分布和网络管理结构组成，具备业务经办、公共服务、基金监管、决策支持四大功能。（10）“金农工程” “金农工程”目的是加速和推进农业和农村信息化，建立农业综合管理和服务信息系统，向各级农业管理部门、生产单位及农民提供信息。（11）“金质工程” 国家质量监督检验检疫总局自2001年4月组建以来，高度重视信息化建设，提出以“金质工程”建设促进信息化发展的战略。“金质工程”的目的是提高质量监督检验检疫执法的透明度，促进质检系统执法电子化、信息化，为生产企业和外经贸企业带来更大的方便与效益，加大打击假冒伪劣的力度，更有效地规范市场经济秩序，促进社会主义市场经济的发展。（12）“金水工程” “金水工程”即水利信息化，指的是充分利用现代信息技术，深入开发和广泛利用水利信息资源，包括水利信息的采集、传输、存储和处理，全面提升水利事业活动的效率和效能。 · “金审工程”建设的意义审计信息化是审计领域的一场革命。审计信息化的进一步发展，必将促使审计手段发生一些重大变革。总的来说，“金审工程”建设的意义如下：（1）审计信息化象征着审计工作将发生三个转变：从单一的事后审计变为事后审计与事中审计相结合；从单一的静态审计变为静态审计与动态审计相结合；从单一的现场审计变为现场审计与远程审计相结合。这三个变化将逐步实现。动态审计、远程审计还需要大环境的配合才能全面铺开。（2）审计信息化必将推动审计方法的改变。对被审计单位的账目逐笔审计在过去是不可想象的，但在审计信息化情况下将轻而易举。（3）审计信息化必将推动广大审计人员思维方式的转变，增强审计人员的全局意识和宏观意识。（4）审计信息化必将提高审计质量，降低审计风险。 · “金审工程”建设的目标和任务 “金审工程”建设的总体目标是：形成以计算机为审计作业主要手段的审计方式，形成审计署和地方审计机关资源共享的安全信息网络系统，建成对财政、财务收支的真实、合法和效益实施有效监督的审计信息化系统。探索中国现代审计的新路，审计监督职责的履行和质量水平得到全面提升。通过“金审工程”的建设和实施，积极探索信息化条件下新的审计方式。总的来说，“金审工程”的目标轮廓可以用“一个模式、三个转变、五个一工程”来描述。所谓“一个模式”就是用五年左右的时间，建成对财政、银行、税务、海关等部门和重点国有企业事业单位的财务信息系统及相关电子数据进行密切跟踪，对财政收支或者财务收支的真实、合法和效益实施有效监督的信息化系统，建立起一个适应信息化的崭新审计模式——“预算跟踪＋联网核查”。 “三个转变”即逐步实现：（1）从单一的事后审计转变为事中审计和事后审计相结合；（2）从单一的静态审计转变为动态审计和静态审计相结合；（3）从单一现场审计转变为现场审计与远程审计相结合。增强审计机关在计算机环境下查错纠弊、规范管理、揭露腐败、打击犯罪的能力，维护经济秩序，促进廉洁高效政府的建设，更好地履行审计法定监督职责。 “五个一”工程是审计信息化建设的内容，“五个一”工程是指：（1）建设一个依托政府公共网络，连通全国审计机关和重点被审计单位的高效实用的审计专用网；（2）开发一批满足审计业务需求并在应用中不断完善的应用软件；（3）建立一个为审计业务和决策、为政府和社会公众提供有效信息的数据库群；（4）配置一批经济实用的计算机设备；（5）培养一支胜任审计信息化的新型队伍。 · “金审工程”建设情况 “金审工程”分期建设，一期建设的任务是：（1）应用系统建设整合审计业务和原有的应用系统，初步建成基于应用平台、实现数据共享的办公和业务应用系统，开展联网审计试点，探索“预算跟踪+联网核查”审计模式的实现途径与方法。（2）局域网建设改建、扩建和提升审计署机关和驻地方的18个特派员办事处的原有网络基础设施，使之适应应用系统运行的需要；实施审计机关之间、审计机关与政府部门和重点被审计单位之间、审计机关与审计现场之间的广域连接试点。 “金审工程”建成之后，审计署与省级审计机关、驻地方的18个特派员办事处之间的城际广域联接，将依托国家统一电子政务网络平台。（3）安全系统建设以国家关于电子政务安全体系框架为指导，以确保审计信息的安全为核心，在局域网系统设计、数据传输、审计业务应用、安全管理机构和制度等方面，采取符合国家有关安全规定的建设措施。重点解决电子政务网络统一平台环境下的数据交换、共享的安全。（4）标准规范建设以国家关于电子政务标准体系框架为指导，以确保网络互连互通、信息资源共享为目标，按照“有国标用国标，无国标定署标”的原则，制定“金审工程”需要的审计准则、审计操作指南、审计机关、审计事项、被审计单位、违纪违规行为等标准代码。（5）人员培训继续抓好审计人员信息技术知识培训，依照工作岗位和人员比例，分别开展计算机基础知识和操作技能培训、计算机审计中级培训。 1.2.2 联网审计 “金审工程”总体规划确定了审计信息化建设的总体目标、审计模式、建设内容和审计工作实现“三个转变”的总体框架。一期建设中，对实现“预算跟踪+联网核查”审计模式所采用的联网审计方式进行了试点。为更好地研究联网审计技术，为“金审工程”二期建设提供技术支持，2004年国家科技部批复了审计署申请的国家“863”计划项目“计算机审计数据采集与处理技术”研究课题。 · 研究目标国家“863”计划“计算机审计数据采集与处理技术”项目的研究目标是，为有效履行信息网络环境下的审计监督，需要对网络环境下计算机审计的数据采集与处理等技术进行科学研究，包括不同网络环境下的审计组网模式、数据采集技术、清理技术、转换技术、存储技术、分析处理技术，以及各技术模型的工程化实验等方面的研究，并取得研究成果的工程化实验数据和工程经验，为“金审工程”二期设计和建设提供科技成果指导和工程建设模型。 · 研究内容（1）联网审计系统组网模式研究针对被审计单位信息系统的数据布局、网络构架、系统结构等方面的不同，需要研究采用何种方式联网，即组网模式，才能有效地采集被审计单位信息系统中的数据。重点研究集中式数据采集组网模式（例如海关数据大集中系统的数据采集）、分布式数据采集组网模式（例如银行以省为单位的数据分布式系统的数据采集）、点对点式数据采集组网模式（例如中央一级预算单位的单点系统的数据采集）等。（2）审计数据的采集、清理与转换技术研究针对被审计单位不同的系统结构、网络结构、数据结构和业务特点，研究数据采集接口和数据采集方式，以及对原始数据的识别、转换、清理和验证等技术。（3）审计数据的存储与处理技术研究主要研究海量数据的存储方式和技术；多维数据库和联机分析处理；审计中间表创建技术；审计分析模型和构建技术等。（4）联网审计系统的安全研究主要研究不同组网模式条件下数据采集的安全措施，数据传输、存储和分析处理方面的安全，应用系统的安全，网络系统的安全，以及联网审计的安全管理等。（5）联网审计工程化实验环境的研究和建设为了开展联网审计组网模式、数据采集与转换、数据存储与处理、联网审计安全等技术的研究，需要搭建一个研究和实验的平台或环境，包括网络系统、计算机设备、应用系统及安全系统的建设。 1.3 国外计算机辅助审计的研究与应用情况国外早在1955年就提出了“通过计算机审计（auditing through the computer）”的概念。之后，“通过计算机审计”得到越来越多的学者的关注。“通过计算机审计”是和“绕计算机审计（auditing around the computer）”相对立的一个概念。为了实现“通过计算机审计”的思想，一些文献提出了类似于测试数据法（Test Data）的测试程序叠（Test Decks）的方法。一些文献在比较了测试程序叠法的基础上，提出了一种模型法（the Model Approach）来实现“通过计算机审计”，该方法的原理类似于平行模拟法（Parallel Simulation）。之后，越来越多的计算机辅助审计技术被提出。从早期针对电子数据处理（Electronic Data Processing，EDP）系统的审计，到目前针对计算机信息系统的审计，计算机辅助审计技术已被研究了几十年。使用计算机辅助审计，不仅能节省审计时间、降低审计风险，而且能提高审计质量。除了后文将要分析的常见计算机辅助审计技术之外，一些新的信息技术也正被尝试着应用于计算机辅助审计之中，主要情况分析如下： · 数据挖掘技术在计算机辅助审计中的应用常用的计算机辅助审计技术虽然能对电子数据进行审计，但多数仅仅是把手工的审计流程计算机化，不能从电子数据中提取一些隐藏的或未知的信息，而数据挖掘技术可弥补这一方面的不足。数据挖掘是从大量数据中提取或“挖掘”知识，把数据挖掘技术应用于审计数据分析之中具有理论和现实意义。一些文献研究了数据挖掘技术在审计中的作用，并对数据挖掘技术和通用审计软件ACL进行了比较，分析了各自的优点，指出了如何把数据挖掘技术应用于审计分析之中。 · 审计专家系统在计算机辅助审计中的应用（1）研究了一个基于规则的审计专家系统EDP-XPERT，它主要用来检测控制系统的可靠性。（2）研究了一个基于规则的审计专家系统ZYANYA，它主要用于对一个系统的开发生命周期进行审计。（3）由于以上这两个专家系统的应用范围较小，研究了一个称为INFAUDITOR的专家系统，该系统能对信息系统的多个方面进行审计。 · 关于持续审计的研究网络技术的发展使得持续审计（Continuous Auditing，CA）成为可能。尽管持续审计的概念已有十多年了，但近年技术的发展才使持续审计成为可能。一些文献对持续审计进行了研究，主要情况如下所述。（1）研究了采用嵌入审计模块技术实现的持续审计应用。（2）分析了持续审计的结构原理、面临的挑战和机遇。（3）提出了一种建立持续审计能力的方法，并在技术上提出了采用审计数据仓库和数据集市来存储和处理下载的被审计数据。（4）根据持续审计的特点，把持续审计称为持续在线审计（Continuous Online Auditing，COA），并研究了COA结构框架相关的问题、影响COA使用的因素等。（5）根据对国际四大会计公司的调查，分析了持续审计目前的现状、以及实施持续审计需要克服的障碍。 · 关于电子审计的研究针对目前CAATs的不足，研究了如何把面向对象的分布式中间件（Object-oriented Distributed Middlewares）、Internet安全技术以及智能Agents等技术应用到计算机辅助审计中来，提出了一种用于EDP审计的新方法，称为电子审计（Electronic Auditing，EA）。EA的基本思想是在Internet上电子化和自动化地执行审计任务。 · 对人工神经网络技术在审计分析性复核中的应用做了进一步的研究以上这些研究都为计算机辅助审计提供了新的方法和思路。 1.4 计算机辅助审计技术分析 1.4.1 计算机辅助审计技术的分类一些文献对计算机辅助审计技术的研究进行了分类，主要情况如下： Ø 把信息技术在审计领域中的应用分成5类。（1）数据抽取与分析；（2）欺骗检测；（3）内部控制评估；（4）电子商务控制；（5）持续监控。 Ø 针对早期的EDP系统，用于EDP的计算机辅助审计技术主要分类情况如图1.1 所示。 Ø 把典型的5种CAATs分成两类。（1）测试数据（Test Data）、集成测试技术（Integrated Test Facility，ITF）和平行模拟（Parallel Simulation）这3种技术是用来直接检测应用系统的内部逻辑；（2）嵌入审计模块（Embedded Audit Module，EAM）和通用审计软件（Generalized Audit Software，GAS）这两种技术用来处理应用数据，间接检测应用系统的逻辑。根据以上文献的研究，结合目前计算机辅助审计技术的应用现状，计算机辅助审计技术的分类可总结为如图1.2所示。根据图1.2，常用的计算机辅助审计技术可以分成两类：一类是用于验证程序/系统的计算机辅助审计技术，即面向系统的计算机辅助审计技术；另一类是用于分析电子数据的计算机辅助审计技术，即面向数据的计算机辅助审计技术。下面分别对这两类技术进行分析。图1.1 用于EDP的计算机辅助审计技术分类图1.2 计算机辅助审计技术的分类 1.4.2 面向系统的计算机辅助审计技术常见的用于验证程序/系统的计算机辅助审计技术分析如下：（1）平行模拟平行模拟是指针对某一应用程序，审计人员用一个独立的程序去模拟该程序的部分功能，在输入数据的同时进行并行处理，其结果和该应用程序处理的结果进行比较以验证其功能正确性的方法。其原理如图1.3所示。平行模拟法的优点是一旦建立了模拟程序，可以随时对被审系统进行抽查，也可以用模拟系统重新处理全部的真实业务数据，进行比较全面的审查。与抽查相比，可以进行更彻底的测试。其主要缺点是模拟系统的开发通常需要花费较长的时间，开发或购买费用都较高；另外，如果被审计的系统更新，则模拟系统也要随之更新，相应要增加费用。图1.3 平行模拟原理（2）测试数据测试数据技术是指采用审计人员准备好的输入数据来检测应用系统，通过将处理的结果与应有的正确结果进行比较，从而检测应用系统的逻辑问题和控制问题的一种方法。测试数据法的优点是适用范围广，应用简单易行，对审计人员的计算机技术水平要求不高。因此，它被广泛应用于各种系统的测试和验收。其主要的缺点是可能不能发现程序中所有的错弊。（3）集成测试集成测试技术是通过在正常的应用系统中创建一个虚拟的部分或分支，从而提供一个内置的测试工具。它一般用来审计复杂的应用系统，其原理如图1.4所示。该技术是在系统正常处理过程中进行测试的，因此可直接测试到被审计系统在真实业务处理时的功能是否正确有效。然而，整体检测法也有弊端。因为测试是在系统真实业务处理过程中进行的，如果未能及时、恰当地处理虚拟的测试数据，这些虚拟的测试数据可能会对被审计单位真实的业务和汇总的信息造成破坏或影响。图1.4 集成测试技术原理（4）程序编码审查程序编码审查（Program Code Review）是对应用系统的编码进行详细审查的一种技术，它一般不被算作真正的计算机辅助审计技术。通过审查程序编码，审计人员可以识别出程序中的错误代码、未被授权的代码、无效的代码、效率低的代码以及不标准的代码。这种技术的优点是审计人员审查的是程序本身，因此能发现程序中存在的任何错弊问题。其缺点是对审计人员的计算机水平要求高，比较费事费时，而且要确认被审计的源程序的确是真实运行系统的源程序。（5）程序代码比较程序代码比较（Program Code Comparison）是指审计人员对程序的两个版本进行比较。审计人员使用这种技术的目的主要有：第一，检查被审计单位所给的被审计系统和被审计单位所使用的系统是否是同一软件；第二，检查和前一个版本相比，程序代码是否发生了变化，如果发生了变化，是否有程序变更管理程序。（6）跟踪审计人员采用跟踪（Tracing）技术可以分析一个程序的每一步，从而能发现每一行代码对被处理数据或程序本身的影响。（7）快照快照（Snapshot）是一种允许审计人员在一个程序或一个系统中在指定的点冻结一个程序，使审计人员能够观察特定点数据的技术。快照技术具有快速、易用的特点，对于识别业务处理中潜在的数学计算错误是非常有用的。缺点是功能有限，不具有通用性。 1.4.3 面向数据的计算机辅助审计技术有些计算机辅助审计技术主要用于分析数据文件，和面向系统的计算机辅助审计技术不同，这些技术不直接测试程序的有效性。常见的用于分析数据文件的计算机辅助审计技术主要包括嵌入审计模块（EAM）技术以及通用审计软件。嵌入审计模块技术是指在一个应用系统中长久驻存一个审计模块，该模块检查输入到系统中的每一笔事务数据，并识别出其中不符合预定义规则的事务数据，审计人员可以对这些识别出的事务数据进行实时的或定期的审查。嵌入审计模块技术的原理如图1.5所示。一些文献的研究都表明嵌入审计模块技术是一种有效的计算机辅助审计技术。需要指出的是，使用嵌入审计模块技术需要在被审计信息系统开发时就应该考虑。图1.5 嵌入审计模块技术原理由于对被审计系统影响小，对被审计单位依赖小，以及相对容易使用等因素，使得通用审计软件成为目前最常使用的计算机辅助审计技术。目前，我国实施的面向数据的计算机辅助审计多是采用这种计算机辅助审计技术。通用审计软件具有数据采集和分析处理功能，通过数据采集，可以把被审计系统中的数据采集到审计软件中来，然后，通过数据分析处理，发现审计线索，从而完成审计任务。对于审计数据采集和数据分析处理技术，我们在后面的章节中会做详细介绍。 1.4.4 计算机辅助审计技术的优缺点分析表1.1从是动态审计还是静态审计、对被审计系统和数据的影响、对专业知识的需要程度，以及对被审计单位的依赖程度这四个影响使用的因素出发，比较了测试数据、集成测试、平行模拟、嵌入审计模块以及通用审计软件这五种典型计算机辅助审计技术的优缺点。通过比较，便于审计人员在实施审计时选择合适的计算机辅助审计技术。表1.1 典型CAATs的优缺点分析 CAATs类型影响使用的因素动态审计还是静态审计对被审计系统和数据的影响对专业知识的需要程度对被审计单位的依赖程度测试数据静态影响小不需要依赖集成测试动态影响大需要信息获取不依赖被审计单位平行模拟动态或静态影响小需要的程度取决于被审计系统的复杂程度审计人员直接获得输出信息，不需要被审计单位的干涉嵌入审计模块动态影响大在设计和实施嵌入审计模块时需要依赖通用审计软件静态影响小相对容易使用。一般不需要技术背景。但在获取一些具有复杂结构的数据时需要IT专家的帮助对被审计单位依赖小 1.4.5 对计算机辅助审计技术使用情况的研究一些文献对计算机辅助审计技术的使用情况进行了调查研究，主要情况如下： Ø 调查分析了审计人员对用于EDP的计算机辅助审计技术的熟悉情况及其使用情况，并分析了相应的原因。调查表明：尽管有很多可用的计算机辅助审计技术，但被审计人员广泛使用的却只是少数。另外，大部分审计人员对这些常见的计算机辅助审计技术比较熟悉，但少数人员却对最常见的计算机辅助审计技术（如ITF）不熟悉。 Ø 分析了审计人员对通用审计软件ACL的使用情况和满意程度。 Ø 通过对45个内审审计人员和15个外审人员的调查发现：审计人员都熟悉嵌入审计模块技术，认为它是一种有效的计算机辅助审计技术，但在过去的三年里其中只有8个人使用过EAM，他们最熟悉的计算机辅助审计技术是通用审计软件。 Ø 对解释审计人员为什么使用不同EDP审计技术的因素进行了研究。 1.5 开展面向数据的计算机辅助审计的主要步骤计算机辅助审计与手工审计相比，审计目标是相同的，但审计的技术和方法、审计作业方式发生了根本性变化。为了避免影响被审计单位信息系统的正常运行，并保持审计的独立性，规避审计风险，审计人员在进行面向电子数据的计算机辅助审计时，一般不直接使用被审计单位的信息系统进行查询、检查，而是将所需的被审计单位的电子数据采集到审计人员的计算机中，利用审计软件进行分析。概括起来，目前我国研究及开展的计算机辅助审计多是面向电子数据的计算机辅助审计，其原理如图1.6所示。一般来说，面向电子数据的计算机辅助审计需要如下几个关键步骤：首先，采集被审计对象信息系统中的数据，即审计数据采集；然后，根据对这些数据的分析和理解，将其转换为满足审计数据分析需要的数据形式，即审计数据预处理；最后，采用通用软件或专门的审计软件对采集到的电子数据进行分析处理，从而发现审计线索，获得审计证据，即审计数据分析处理。图1.6 面向数据的计算机辅助审计原理目前，信息化环境下审计项目实施的主要流程如图1.7所示。具体来说，开展计算机辅助审计的主要步骤如下：（1）审前调查在对被审计单位实施计算机辅助审计前，应在对其组织结构进行调查的基础上，掌握信息系统在组织内的分布和应用的总体情况。然后，根据审计的目的和信息系统的重要性确认深入调查的子系统，进行全面和详细的了解，内容应包括软硬件系统、应用系统的开发情况和有关技术文档情况、系统管理员的配置情况、系统的功能、系统数据库的情况等。通过审前调查，审计人员应全面了解被审计单位信息系统的概况，对信息系统中与审计相关的数据更要有全面、详细、正确的认识，提出可行的、满足审计需要的数据需求，确定数据采集的对象及方式。（2）采集数据在审前调查提出数据需求的基础上，审计人员在被审计单位的配合和支持下，通过可行的技术手段，如直接复制、文件传输和ODBC连接等方式，及时获取所需的被审计单位信息系统中的数据。一般情况下，还应当在审计现场构建网络环境，用于数据的分析处理和共享。（3）对所采集的数据进行预处理由于被审计单位数据来源繁杂，数据格式不统一，信息表示代码化，数据在采集和处理的过程中可能失真，被审计单位可能有意更改、隐瞒数据真实情况等诸多影响，对采集到的数据必须进行预处理，使得采集来的数据能为审计所用。数据预处理为计算机辅助审计的进行创造了“物质”基础，其工作的质量直接影响计算机辅助审计的开展和成败。（4）把握总体，选择审计重点对预处理后的数据，首先从不同层次、不同角度进行分析，从总体上把握情况，找准薄弱环节，选择审计重点，深化实施审计方案，避免审计的片面性和盲目性。图1.7 信息化环境下审计项目实施的流程（5）审计数据分析根据所选择的重点问题，审计人员应采用合适的审计方法完成对具体数据的分析。（6）延伸查实，审计取证通过对被审计数据进行分析，有可能直接发现、查实问题，也有可能只发现问题的线索。针对不同的情况，在延伸时可以采取直接或进一步核查的方式取证，验证和查实问题。本书主要研究面向数据的计算机辅助审计，并重点介绍实现面向数据的计算机辅助审计的关键步骤：审计数据采集、审计数据预处理、审计数据分析。 1.6 对审计人员的基本素质要求为了能够胜任计算机辅助审计工作，审计人员必须具有复合型的知识结构。审计人员除了需要具备会计、审计、法律和所审计业务的专门知识外，还应具备一定程度的信息系统相关的知识，特别是数据库方面的知识。审计人员所需要的主要技能可概括如下： Ø 基本技能基本的软硬件知识、网络知识、应用软件知识等，为完成计算机辅助审计工作打下基础。 Ø 信息系统调查技能能识别和分析被审计单位的信息系统，如被审计单位使用的是何种类型的数据库。 Ø 数据采集技能能根据审计任务完成相关审计数据的采集工作。 Ø 数据预处理技能能根据审计任务完成相关审计数据的预处理。 Ø 数据分析技能能通过对电子数据进行分析，获取审计证据。思考题 1．谈谈你对计算机辅助审计的认识。 2．什么是计算机辅助审计技术？ 3．常用的计算机辅助技术有哪些？

展开阅读全文