时间:2023-05-30 10:44:01
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机审计,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、文献分类及统计结果
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
本文基于中国期刊全文数据库,对1983年~2011年发表在核心期刊上的有关计算机审计研究的文献进行回顾分析。我国有关计算机审计研究涉及面比较广泛,包括基础理论与制度问题研究、计算机审计技术与实务应用研究、计算机审计风险问题研究、计算机审计发展问题、人才培养研究等诸多方面,但也存在着对计算机审计基础理论研究不足之缺陷。伴随着计算机审计在我国的逐步应用,关于计算机审计的基础理论必须进一步加强。比如与哲学,行为科学理论、数学等相关的计算机审计基础理论研究还是一片空白,这些基础理论研究的缺失将会掣肘计算机审计理论与实务的研究。理论与实践需要紧密结合,双方形成良性互动才会有力促进学科发展。目前,在案例应用研究的文献尽管比较多,但研究内容不深入,一般都是审计署特派办人员发表的经验总结,而理论工作者又缺少深入实地研究的条件,导致案例应用研究力量非常薄弱,今后在这方面仍需要大力加强。随着信息系统的复杂化,其功能也越来越强大,但其脆弱的一面也越来越明显,计算机审计风险逐步加大,如何防范和规避风险也是以后研究的重点之一。计算机审计人才的培养是审计信息化事业的成败关键,加强这方面的探索将会对计算机审计发展有重大的战略意义。
第二条本办法所称计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。
本办法所称计算机应用系统,是指被审计单位与财政、财务收支有关的计算机应用系统。
第三条审计人员将计算机作为辅助审计工具实施审计,主要包括下列内容:
(一)审计业务所需法律、法规的辅助检索;
(二)对被审计单位财务报表的辅助分析;
(三)对被审计单位的计算机应用系统进行符合性检验;
(四)分析审计风险和确定审计范围;
(五)对被审计单位的财政、财务收支进行检查;
(六)形成审计工作底稿;
(七)形成审计报告、审计意见书和审计决定;
(八)对审计资料的管理;
(九)对审计项目计划的管理;
(十)对审计档案的管理;
(十一)对审计业务的综合、统计和分析;
(十二)其他内容。
第四条计算机辅助审计工作应当由具有计算机专业技术资格的审计人员担任。
第五条审计机关应当定期对承担计算机辅助审计的审计人员组织专业进修和岗位培训。
审计机关应当鼓励或组织审计人员,参加人事部组织的全国计算机软件专业技术资格或水平的统一考试。
第六条审计机关实施计算机辅助审计时,可以聘请计算机审计专家参加。
第七条为便于审计机关实施计算机辅助审计,审计机关应当要求被审计单位的计算机应用系统给审计留有数据接口和必要的工作空间。该数据接口应当能将计算机应用系统中应用的数据转换成审计机关指定的格式输出。
为便于确定被审计单位使用计算机处理的信息对其财务收支的真实性、合法性是否会产生影响,被审计单位必须按照审计机关规定的期限和要求,报送计算机应用系统开发的验收报告、申请使用该系统的报告、与之配套的管理制度和措施以及计算机应用系统变动情况等资料。
第八条审计机关实施计算机辅助审计时,被审计单位应当向审计机关和审计人员提供审计监督所需要的原始技术资料和原始数据。
第九条审计人员在工作中取得的有关被审计单位的文档资料和电子数据,必须严格遵守被审计单位有关资料和数据使用、管理的规定,并履行使用手续。使用被审计单位的电子帐表数据,应视同使用相应的纸质帐表资料。
第十一条审计机关组织推广使用商品化的计算机审计软件,应当根据该软件的应用范围,由相应审计机关的有关专业部门对其组织测评,并取得合法使用权后才能正式使用。
第十二条审计人员在编制计算机辅助审计方案前,应当了解被审计单位计算机应用系统软件、硬件的设置和系统的基本功能,以及被审计单位提供的数据接口。
第十三条编制计算机辅助审计方案时,除应当遵循《审计机关审计方案编制准则》的有关规定外,还应当包括拟使用的计算机软件、硬件配置,必须进行的测试项目及所需技术条件等。
第十四条用计算机辅助实施抽样审计时,抽样审计中使用的随机数表或由计算机程序产生随机数的程序,应当由审计署统一规定。
关键词:审计模式 计算机审计 会审软件
一、引言
在会计数据处理过程中成功地应用计算机、网络等信息技术是会计工作现代化的重要标志之一。信息时代电子商务的发展、ERP软件的应用和业务流程重组的实施,使得相应的审计环境发生了明显的变化。信息化环境下的内部控制制度出现了新特点,由传统的内部分工控制变为了计算机控制(包括一般控制、应用控制和用户控制),而且日益严格的法规(如《萨班斯法案》404条款)要求审计师对这些控制作出评价,显然,手工审计对此难以胜任。网络环境下的远程和实时审计已变为可能,审计的功能得到了加强和发展,审计可以渗透到企业经济活动的整个过程。企业经营管理活动所表现出的物流、资金流、信息流在计算机信息系统中高度整合,几乎所有原始资料都能实现电子化。这些变化将促进手工审计模式向计算机审计模式过渡,这就需要深入研究计算机审计理论,用以指导开发计算机审计软件和普及计算机审计实务。然而与会计信息化相比,计算机审计无论是在理论上还是在实务上,都远落后于会计信息化。在实务方面由于起步较晚,商品化审计软件的功能尚待完善,更谈不上大规模的普及;在理论方面,计算机审计研究又落后于实务,无法指导计算机审计实务。从审计模式理论研究来看,自1720年英国“南海公司”破产事件开始的现代民间审计以来,立足于手工审计环境,审计模式已经历了账项基础、制度基础和风险基础三个阶段,理论界对此进行了广泛深入的研究,并取得了丰硕的成果。但计算机审计模式理论研究成果很少,究其原因一方面是计算机审计发展历史还不长,另一方面与计算机审计的基础理论研究不足有关。
二、计算机审计模式研究现状
(一)审计模式概念不明确 对审计模式进行定义有两个角度,一是反映不同审计主体的领导体制或管理体制,另一角度是用于反映审计实践活动中的方法。本文所指的审计模式概念属后一种。如何定义审计模式,很大程度上反映审计模式研究的指导思想和目的,决定审计模式研究对象的范围和方法。从不同指导思想和研究目的出发,必然对审计模式的内涵和外延有不同的理解,进而对审计模式给出不同的定义。目前理论界对审计模式的定义中,胡春元(1997)最具影响力。认为审计模式是审计导向性的目标、范围和方法等要素的组合,规定了审计应从何处下手、何时着手、如何着手等问题。该定义的一个显著缺陷就是没有考虑审计环境的因素,另外,将审计模式仅限定于对审计如何实施,显然过于方法论,限制了审计模式的理论内涵。刘明辉(2006)对上述定义进行了扩展,但并未突破。王泽霞(2005)认为,审计模式是人们在社会审计活动中,通过对环境的观察、分析和研究,总结出审计对象的一系列基本特征,并对这些基本特征作综合表述与反映,且将其组织起来构成有机整体,从而形成抽象化、典型化的理论图式或模型。这个定义虽然对审计模式进行了理论上的抽象,但将审计对象的基本特征作为审计模式的研究对象脱离了审计模式的研究方向。
(二)理论研究缺乏中心 国内对计算机审计模式的研究已经进行了一些有益的尝试,如刘光友(2005)探讨了电子商务环境下的审计模式;石爱中、孙俭(2006)立足于信息化财务系统和计算机环境,提出了账套式审计模式(包括账套基础审计模式和账套式系统基础审计模式)和数据式审计模式(包括数据基础审计模式和数据式系统基础审计模式)。在国外对计算机审计模式的研究主要是围绕连续审计展开的。在学术界,Groomer和Murthy(1989)提出了连续审计模式,2004年又根据未来基于XML技术构造的会计信息系统提出了一种基于Web Service(网络服务)的新的连续审计模式(Continuous auditingweb service,CAWS)。1999年美国注册会计师协会(AICPA)和加拿大注册会计师协会(CICA)联合的《连续审计:研究报告》和2005年国际内部审计师协会(IIA)的全球技术审计指南(G7AG)《连续审计:保证、监控和风险评估的执行》更系统地进行了规范。综观这些研究,国内研究还刚起步,主要侧重于计算机审计模式概念方面的探索,还处于研究的初级阶段,尚无研究中心,更未形成理论体系,而且结合计算机审计模式的应用载体――审计软件来进行研究;相比较而言,国外研究已较深入,围绕连续审计模式这个研究中心,不仅提出了其概念框架(Woodroof&Searcy,2001),而且还提出了各种连续审计模型(Rezaee,2002;Woodroof&Searcy,2001),并与实务紧密结合(如《连续审计:保证、监控和风险评估的执行》这份指南就有国际上著名的审计软件公司ACL的专家参与;Groomer和Murthy也是结合ACL宋进行研究的)。
(三)计算机审计观念陈旧 张金城(1998)指出,我国现有审计软件仅是执行查账功能,但随着对会计电算化系统和手工系统审计目标的不断扩大,仅具有查账功能的审计软件是远不能满足要求的。时至今日计算机辅助审计观念依旧停留在工具层面,认为计算机不过是一个审计工具,充其量是一个非常现代化的查账工具。因而使得我国目前的计算机辅助审计基本上还处于办公现代化水平,还谈不上真正的审计软件。这种“工具论”下的审计模式,改变的知识审计手段,而不是审计观念和审计方式。还停留在传统的账项基础审计阶段,从这个意义上讲,在大力推行现代风险基础审计的今天,这无异于一种落后。
(四)数据审计对象狭窄 目前会计软件已经由核算型转向管理型,甚至有学者认为,单一的核算软件已不存在了。而计算机审计主要着眼于会计核算系统产生的账簿、报表数据,审计对象狭窄,往往被会计软件的再生数据牵着鼻子走,而且还会滤掉很多与审计相关的业务数据。美国安・贝里(1989)早就预言,未来的审计将会是数据库审计,不是那种由数据编制出来的原始的财务报表。庄明来(2003)也认为,如果将审计仅锁定在以货币为基础的会计信息系统,就使现代审计受到很大的局限。目前的计算机着眼于抽样审计,计算机的强大数据加工能力没有发挥出来,而且由于审计软件功能的局限性,往往需要借助第三方软件,如Excel、Access等来进行分析性复核工作。而现代会计信息系统广泛采用事项会计,它以业务事件为基础形成的数据仓库,不仅包含货币数据,而且也包含非货币数据,这种事件驱动体系结构的设计不仅使存储的数据范围及类型更广,而且减少了数据重复和物理文件的数量,降低了数据处理量和时间。这就使的所有的审计线索集中于上述数据库。基于此,庄明来(2003)认为,计算机审计采用详细审计不仅必须而且可行,其审计对象不仅包括会计数据与信息,而且还包括非财务、非货币的信息。
(五)审计方式难以满足实时监控需要 网络经济的发展使得网络审计成了必需,目前的计算机审计普遍采用一种“数据集中和专家找问题”的事后模式,即将这些分布存储在被审计单位各种业务系统中的数据集中到一个地方,然后由审计专家在这些集中的数据里查找问题。随着被审计单位交易活动的日益频繁,这种模式无法做到实时审计和在线审计(姜玉泉等,2004)。众所周知,随着电子商务的发展,企业能够在更多的商务领域获取电子信息,也可以采用实时的方式在线编制财务报表,在这种实时会计系统下,企业传统的审计模式已不能满足公众的要求,而需要有更快捷、更及时的审计模式,以对信息系统运行进行实时监控,并及时反馈审计结果,从而达到防范舞弊等目的。
(六)缺乏系统的理论指导 目前计算机审计理论研究严重落后于计算机会计理论研究,这几乎已成为共识。熊忠平(2003)认为,回顾审计技术与方法的研究历程,可以清晰地发现,审计技术的研究和运用完全是在风险基础审计理论指导下的开拓和发展,而脱离理论指导的实践经验总结相对越少。这给人们的启示在于,审计技术与方法的研究,不能超越基本理论和审计目标的研究,也不能脱离审计战略和审计目标的总体要求。由于缺乏先进理论指导,计算机辅助审计在开发中应用的审计模式也各不相同,基本上属于低水平重复开发,而且模块划分不规范、不系统,审计人员必须经过长时间培训才能得心应手。
(七)不利于数据导入 无论是拷贝还是通过数据采集软件导人数据,都必须通过一系列繁琐操作,才能获取审计目标数据。一些通用性较低的计算机辅助审计软件甚至难以获取一些格式特殊的会计数据。如施永香(2003)在其《计算机在审计中的运用方法》中对数据导人进行了详细的介绍,从整个过程来看,需要审计人员既要有丰富的行业业务经验,还要有很强的数据库方面的知识。在国内以实务经验为主的审计权威期刊《中国审计》,经常可以见到一线审计人员关于数据导入的各种“抱怨”和经验介绍,其间繁琐的计算机操作,程序命令语言的使用,甚至碰到一些特异数据库,使得非专业的审计人员很难适应此项工作。即使是使用通用的审计软件。无论是国内的还是国外的,数据导人环节都比较复杂,需要对被审单位的数据库结构有较深入的了解才行。
(八)智能化水平低 中外对智能审计进行了不遗余力的研究,并将一些先进计算机技术如数据仓库、数据挖掘、Benfont法则、人工神经元网络等引入计算机审计软件的开发和设计中(王忠等,2005;阎晓杰,2002;易仁萍等,2003;Drake&Nigrini2000)。但这些理论成果在我国应用受到现实中诸如信息化水平的发展程度、国内审计软件行业的规模等因素的限制,所以导致国内的审计软件智能水平低。其特点表现为某项智能功能基本上是着眼于某一个审计项目的需要,并分散在不同的模块中,而且智能化功能有限,操作较为复杂,难以实现真正的智能化审计。
三、计算机审计模式研究评析
(一)理论研究:尚待深入 从前文的分析可见,国内关于计算机审计模式的理论研究,在概念上花费了过多的精力,没有围绕核心进行深入的研究。国内外的研究已给于我们在这方面的启示,需要围绕一个模式进行深入的理论探索,从信息化模式的概念作为研究起点,探索其概念框架,紧密结合实务,研究相应的技术模型,划分软件模块,最终将研究系统化,并及时转化为生产,同时政府部门和会计组织也要及时出具相应的规范。
(二)全面对付:难于超脱 传统审计模式都是全面对付会计的证、账、表数据,四类手工审计模式“详细审计模式、会计报表审计模式、制度基础审计模式和风险基础审计模式”,三个计算机辅助审计阶段“经历计算机审计、透过计算机审计和利用计算机审计”,以至目前的“网络审计”,都是全面对付会计凭证、会计账簿和会计报表,基本上被会计信息化软件牵制差,且独立性差,难于超脱,即使发现问题,也难免错误的账表数据漏网。
(三)会审一体:局部重算 所谓“会审一体”是指会计软件和审计软件一体化,它是会审软件的发展方向。张菁(2001)认为,审计软件的目标定位应该是会审一体化,会计支撑审计,审计制约会计,会审一体化不仅可以大幅度提高内部审计和社会审计的工作效率,加强企业的内部控制和风险防范能力,而且也是会计软件和审计软件向深层次开发的理念和发展方向。虽然有学者提出了会审一体化的概念,但着缺乏系统性的认识,即使某些软件具有一定的会计核算功能,由于功能有限,难以满足各种不同类型审计的需要。从发展趋势看,将功能全面的会计软件嵌入审计软件,从而实现通过基础数据的导人和全面重算,彻底摆脱会计信息化的账表数据,并将重点放在记账凭证的智能审计上。
(四)数据接口:清除障碍 2005年我国全面推行《信息技术会计核算软件数据接口》(GB/T19581-2004)国家标准,该标准规定了会计核算软件的数据接口要求,包括会计核算数据元素、数据接口、输出文件内容和格式。至此,数据接口这个“瓶颈”已然解决,为导人智能审计模式研究提供了规范化的研究平台。而国外出现的XBRL分类账(XBRL for General Ledger,XBRL GL)分类标准解决了不同软件系统之间数据交换的难题,实现会计数据的便捷共享和再利用,它将有助于大量减少人工成本和再操作失误,可能使企业报告实现流程化编制,为实现公司网上报告的在线实时披露奠定基础。
(五)智能应用:各自为政 国内已有学者提出了构成智能化审计软件推理模块的数据库、模型库、方法库和知识库,并在实务中得到了应用。但基于该理论的技术方法(如审计查证功能、科目趋势波动分析、结算类科目非正常挂账分析等)缺乏共性,其主要特点是着眼于某些项目的单项应用。而所谓的数据仓库(DataWarehousing)、在线分析(OLAP)、统计学模型(Statistics)等领先的商业智能(BusinessIntelligence)技术以及基于J2EE的分布式组件在审计软件中的应用,其实也是智能化的实现手段。庄明来(2003)认为,计算机网络环境下的详细审计将会成必然,而“各自为政”的智能应用将难以满足详细审计的需要。加之我国审计一线人员的计算机审计业务能力欠缺,急需所谓的“智能”型审计软件,以满足不同类型的审计需要,减少审计培训时间,提高审计效率。
(六)审计模式:模仿手工 计算机审计模式经历了绕过计算机审计、透过计算机审计和利用计算机审计三个阶段,目前正朝“网络审计”方向发展。国内有学者提出过电子商务环境下的网络审计模式(也称联网审计模式),提出了改进和创新审计程序和方法,如应用系统克隆技术、采用嵌入式审计模块、应用并行模拟审计技术、扩展记录、跟踪技术、适时的分析性复核程序等。“网络审计模式”虽也冠有“模式”一词,但只属于审计发展的新阶段,而且其技术手段创新也只体现在数据的实时导人和实时披露上,不能算真正意义上的审计模式。所谓的联网审计模式也只不过是将审计数据存储于联网审计数据中心,并通过网络进行数据存储和访问,它所改变的不过是数据存取的空间问题。因此,至今为止,计算机审计还没有真正属于自己的审计模式。而且,当前计算机辅助审计基本上是模仿手工操作,计算机数据处理的强大优势还没有体现出来。因此,研究一种能够摆脱手工审计模式,充分发挥计算机的数据处理优势,将极大地提升审计现代化水平。
一、计算机审计技术
计算机审计技术,是指通过计算机完成一系列审计工作的计算,从大体上讲,主要包括数据转换和验证。计算机审计的目的分析数据和整理数据,最终获得审计证据。审计的最重要步骤是数据分析,这个过程直接影响审计结构。
在计算机审计中,数据的分析方式是审计工作中最重要的步骤,审计人员应掌握数据的分析思路,并将自身的审计能力和水平发挥出来。从审计事业的角度来讲,能够给审计思路进行正确和深入的总结是体现计算机审计整体发展水平的重要内容。审计人员应从设定计算和限定条件的过程中,创新审计思路,由此判断审计单位经济活动的真实性和合法性,然后做出合理的判断。
二、基于数据挖掘的审计模式
随着计算机审计理论的不断发展和实践的不断完善,很多计算机审计模式被合理的融入到审计工作中,由于实际工作的需要和相关技术的发展,数据挖掘技术被尝试性地引入了审计过程当中。审计人员通过数据挖掘给审计工作的创新带来了新的突破,现将数据挖掘计算的计算机审计模式归纳如下,如图1所示。图1:数据挖掘计算的计算机审计模式数据挖掘技术能提供高效的方法,让审计人员在面对大量而复杂的审计数据时,拥有宽广的思路。数据挖掘技术在审计项目中主要有两大作用:一是在海量的数据中寻找有用的知识作为审计线索;二是直接找到孤立点。
计算机审计模式因为数据挖掘技术的应用而有所完善,并解决了很多计算机审计模式中的缺点。我国正处于“问题导向型”政府审计的环境中,计算机审计的目的是发现一些异常数据明确被审计单位的业务活动是否具有合法性和合规性。数据挖掘技术在计算机审计中,是为了找出一组异常和孤立的数据,由此获取知识丰富现有的审计知识,并完善业务逻辑等方面。
(一)查询式
在计算机审计模式中,最常被使用的是查询式。这种方法主要是审计人员将采集到的被审计单位的数据,在整理后存入审计人员的数据库,然后编写成SQL语句,进行灵活的查询,由此更加有效的利用数据挖掘技术进行查找和分析,并对记录进行累计、基数,综合计算其最大值和最小值,连接不同的表格,运用函数编写公式,从而生成疑点再进行核实。
这种审计模式的核心技术是掌握SQL语句,该方法的主要对象是关系数据库的二维表。该方法对审计人员的SQL语句的掌握能力要求较高,如何审计情况比较复杂,那么SQL语句也会变得复杂,步骤也较多。这种方法的图形数据很少,结果无法直观的体现出来。例如在以此农村信用社贷款的审计过程中,审计人员在将数据导入整理后,想在贷款数据表输入对应的查找条件,并对应写出转换后的SQL语句。
(二)验证式
这种审计模式需要审计人员先提出自己的假设,然后采用一定技术和方法进行验证和否定这个假设。这种假设到验证的分析方法在日常生活中很常见,在审计工作中,应充分分析这种审计模式的关键,并提出相关合理的假设,假设的提出与审计人员的职业判断有一定关系。例如在某大型酒厂销售的真实性审计中,酒厂标准的酒包装是每盒1瓶,每箱6瓶盒,每件6盒,所以可以得出1件=1箱=6瓶=6盒。由此审计人员能够得到假设,在酒厂进行销售期间,酒产品的数量和消耗的包装物数据应该有一定比例关系,然后在通过这一假设,验证酒厂销售收入情况是否真实。如果审计数据过于复杂,就无法简单的假设,那么可以使用多维分析技术进行准确的分析。
所以,审计人员运用数据挖掘分析和计算审计数据,并找出数据的规律和特点,然后通过相关方法,将这些数据整理成图形或报表展示出来,根据这些内容总结审计经验,建立审计经验库,或是得出新的审计经验,并对这种经验的合理性和准确性进行判断。审计人员应根据审计经验进行适当的更正,并之前不够准确的审计经验,重新挖掘和分析,进行总结归纳,由此可以得出,数据挖掘技术的工作可能是一个不断重复的过程,并且是对目前计算机审计的一种补充。
三、结束语
【关键词】计算机审计; 信息系统审计; 比较计算机审计(Computer Auditing)与信息系统审计(Information SystemAudit,简称IS 审计),前者约定俗成,后者势在必行,但两者在我国的学术研究与实践应用中长期模糊不清、难舍难分,这不仅不利于我国审计工作的开展,同时也可能影响我国审计信息化的发展。
本文拟通过两者的产生与发展、基本概
念与审计目标、适用准则与审计技术等
方面的比较,厘清两者的主要区别,以求
它们在我国取得并行不悖的发展。
一、两者的产生与发展过程比较
在计算机审计与IS 审计产生之前,
电子数据处理(Electronic Data Processing,EDP)审计早已存在。可以说,EDP 审计是计算机审计与IS 审计的前身与发展的基础。
(一)EDP 审计的产生与发展
EDP 审计不仅是指电子数据处理环
境下的审计,还包括对电子数据处理系统的
审计。F.Kanfuman(1961)、A.Pinkney
(1966)、T..W.Merae (1976)、Joseph
Sardinas (1987)、W.Thomas Poter 和
William E.Perry(1987)等学者都从不
同的角度对EDP 环境中内外部审计规则
和组成方法、EDP 审计的测试方法、特
殊审计技术、审计步骤等方面展开深入
研究。1968 年美国注册会计师协会
(AICPA)出版的《会计审计与计算机》一
书,详细阐述了在EDP 环境下如何开展
IS 审计和传统的外部审计。而作为信息
系统审计与控制协会(IASCA)的前身,
成立于1969 年的EDP 审计协会(EDPAA)
及其属下的EDP 审计师基金会
(EDPAF)25 年间一直使用EDP一词。至
今,EDP 审计与IS 审计仍有并驾齐驱之
势。例如,在Jack.J.Champlain所著的
《审计信息系统》(第2 版,2003) 一书
中,仍然将EDP 审计师与IS 审计师相
提并论。
从诸多文献资料分析,EDP 包含两
种含义,一为环境说;二为系统说。作环
境说,诚如国际审计准则15 指出:“为
了国际审计准则的目的,当一个单位对
与审计有重要意义的财务资料的处理,
包含有任何类型或大小的计算机时,就
存在着电子数据处理的环境”。面对这一
环境进行审计的审计师也就是EDP 审
计师。而作系统说,则更多是指计算机信
息系统,以该系统作为审计对象必然会
改变审计的总体目标和范围,因而也才
有应用而生的信息系统审计与控制协会
及其单独的审计标准、指南和程序,
以及由此产生的IS 审计师。
(二)计算机审计的产生与发展
有关计算机审计的研究,在国外参考
文献中并不少见。例如,Andrew D
Chambers(1984)、Javier F.Kuong(1987)
和S.Rao Vallabhaneni(1989)等学者,
均围绕计算机审计的安全与内部控制、相
关技术、内部控制的实施等加以论述。值
得注意的是,在各职业组织所的有
关标准、指南或程序中,却鲜有使用计算
机审计一词,如美国注册会计师协会
(AICPA) 的《计算机辅助审计》
(1978)和取代SAS No.3 号(1974)的
《审计标准说明书第48 号》(SAS.No.
48,1984),国际内部审计师协会20 世
纪70 年布的《系统控制与审计》,
加拿大执业会计师协会(CICA)两次发
布的《计算机控制和工作指南》
(1970,1986),以及加拿大审计标准委
员会颁布的《EDP环境下的审计———一
般原则》(1984)等等,也都较少采用“计
算机审计”一词。
在我国,有关计算机审计研究经久
不衰。在20 世纪80 年代,我国学者往
往将其与国外的EDP 审计相联系。例
如在对Poter 和Perry(1987)合著的
《EDP:Controlls And Auditing (第5
版)》翻译中,李大庆和乔勇等学者
(1990)就将其直接译为《计算机审计》。
我国学者潘晓江(1983)较早针对我国
会计电算化提出审计应采取的充分发
挥人在控制中的主导地位、注意实行数
据可靠性控制和注意保留必要的审计
线索三大措施。从20 世纪90 年代至
今,我国以“计算机审计”为题的研究
成果颇丰。据笔者不完全统计,这类教
材和专著已逾30 本,较早的作者有肖
泽忠(1990)、陈婉玲(1990)、李长旭
(1990)等。
我国审计机关无论是关于计算机应
用的规定,还是组织系统内有关专家进
行研究,也多以计算机审计为题加以进
行。例如,审计署1993 年的《审计
署关于计算机审计的暂行规定》和1996
年的《审计机关计算机辅助审计办
法》等。邱胜利和张玉(1990,1993)、董
化礼(2002)、刘汝焯(2004)、国家863
计划审计署课题组(2006)等,也都以计算机审计为题展开研究。
(三)IS 审计的产生与发展
对IS 审计贡献最大的莫过于国际
信息系统审计与控制协会(Information
System Audit and Control Association,
ISACA)。1994 年,ISACA 替代了
原有电子数据处理审计协会(EDPAA)
。至2008 年2 月止,该协会已经
了16 个审计标准、39 个审计指南
和11 个审计程序。而其于1996 年发
布的信息和相关技术控制目标(Control
Objective for information and
Related Technology,COBIT)已经成
为全球公认的、权威的信息技术控制目
标体系。同时,该协会每年还举办IS 审
计师资格考试,有力地推动了世界范围
内IS 审计的发展。
日本通产省于1983 年了《系
统审计标准》,并在全国软件水平考试中
增加“系统审计师”一级的考试。1985
年,日本内部审计师协会在其所的
《审计白皮书》中认为,内部审计师的最
新发展是“IS 审计”。另据IIA 对美国和
英国的调查,被调查企业中实施MIS 审
计的企业所占的比例各年分别为:1968
年48%,1975 年60%,1979 年65%。而
1983 年再对这两个国家1 687 个内部
审计部门的调查中显示,已有70.8%的
企业在进行MIS 审计。
由于我国从一开始就将电算化会计
信息系统确定为计算机审计对象,致使
人们将其等同于IS 审计的审计对象。同
时,学者们也往往将IS 审计与IT 审计
等同视之。如胡克瑾(2002)在其《IT 审
计》专著中指出,IT 审计是指对以计算
机为核心的信息系统的审计。李丹
(2003) 也认为,“信息系统审计也称为
IT 审计”。
(四)从国内研究现状看两者的发展
借助有关学术论文的统计数据,也
许可以发现我国学者对计算机审计与
IS 审计的研究偏好与倾向。笔者以“计
算机审计”、“信息系统审计”和“电算化
审计”作为关键词进行检索。采用“篇名
+ 年份+ 全部数据+ 全部期刊+ 精确
匹配”为检索条件,对中国期刊网的期刊
数据库各年进行检索,以下是检索结果
统计表(见表1)。
在表1 对29 年来统计
中,三种研究倾向的论文总数为696
篇,其中,有关计算机审计的研究论文占
了61.93%,而在近五年这一研究倾向
论文也高达219 篇,占近五年全部论文
总数的58.40%,无论处于哪一时间段,
研究计算机审计的论文占三种研究倾向
论文总数的比例均超过50%。而研究信
息系统审计的论文在2003 年及以前的
24 年中仅有44 篇,近五年则有101 篇,
其平均每年有20 篇,尤其是近三年更
呈递增趋势。但其各年所发表的论文数
均明显低于计算机审计研究倾向的论文
数。至于电算化审计研究方向,由于它与
计算机审计、信息系统审计两个研究方
向有重复之嫌,故近年来呈下降趋势,在
未来研究中它可能被计算机审计和信息
系统审计两个研究方向所替代。由表1
也同时看到,我国在继续对计算机审计
进行研究的同时,亟须加快对信息系统
审计的理论与实务研究。
二、两者的基本概念、审计目标与审
计内容比较
计算机审计与IS 审计的本质区别,
首先见之于基本概念、审计目标与审计
内容等三个方面。因此,了解两者在这三
个方面的区别与联系,有利于今后开展
相关理论研究与应用研究。
(一)基本概念的比较
1.计算机审计的基本概念。日本会
计检察院计算机中心认为,计算机审计
有两方面的含义,一是对计算机系统本
身的审计,包括系统安装、使用成本,系
统和数据、硬件和系统环境的审计;二是
计算机辅助审计,包括用计算机手段进
行传统审计用计算机建立一个审计数据
库,帮助专业部门进行审计。
我国学者对计算机审计的理解与上
述基本一致。肖泽忠(1990)认为:“计算
机审计是审计人员用手工的或电算化的
审计方法、技术和程序对电算化或手工
信息系统进行的审计”(以下简称为“二
方观”)。陈婉玲(1990)、刘志涛(1990)、詹航恩和张蒙生(1993)、李学柔和秦荣生(2002)也都表达相同的观点。李长旭(1990)则认为,计算机审计是针对会计核算电算化而言的,即凡是对实现会计核算电算化的企业进行的审计都可称为计算机审计(以下简称为“一方观”)。
综观国内外学者对计算机审计的诸
多论述,多数学者将计算机审计作为一
个广义的概念,认为计算机审计包括两
个方面,一是将计算机系统作为审计的
对象;二是将计算机作为审计的工具。
与计算机审计的基本概念相近的还
有“电算化审计”,它同样具有“二方观”
与“一方观”。朱荣恩和徐建新(1986)根
据英国《审计研究》(1982 年版)的资料
编译并发表题为“发展中的电算化审计”
中指出,电算化审计是“评价、控制会计
电算化信息系统”的审计。王军等
(1995)多数学者赞同这一观点。袁树民
等(1995)则持“二方观”,其基本概念与
计算机审计无异。
2.IS 审计的基本概念。IS 审计至今尚未形成统一的概念。Ron Weber 在《信息系统审计与控制》一书中指出,IS审计是一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。日本通产省情报协会对IS 审计定义如下:“为了信息系统的安全、可靠与有效,由独立于审计对象的IS 审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向IS 审计对象的最高领导,提出问题与建议的一连串的活动”。而我国学者也普遍认为,IS 审计是由专业审计人员根据IS 审计准则及相关规定,对信息系统的计划、研发、实施,以及运行维护等各环节所进行的审计,以保证被审计信息系统安全、稳定和有效,同时,它还将根据审计结果对被审单位提出改进建议。
应当指出的是,在我国审计署和财
政部的诸多准则与通则中,“信息系
统”一词尚未达到统一规范的表述。例
如,审计署的《审计机关计算机辅
助审计办法》(1996),将信息化的信息
系统称为“计算机应用系统”,财政部
的《独立审计准则 20———计算机
信息系统环境下的审计》,则为“计算
机信息系统”,而《审计准则第1211 号
了解被审计单位及其环境并评估重大
错报风险》中则称之为“财务报告信息
系统”、“信息技术系统”、“信息系统”
和“自动化信息系统”等不同的用语。
在新《财务通则》第八章的信息管理
中,则将信息系统定义为:“财务业务
一体化信息处理系统,也称为财务管理
信息系统或者管理型财务软件”。尽管
我国对各类信息系统诸多的不同表述
有待统一,但它们都是指信息化的会计
信息系统则是毫无疑义的。
(二)审计目标与审计内容的比较
1.计算机审计的审计目标与审计内
容。国际审计准则(ISAs)第401 号《计
算机信息系统环境下的审计》(2004)指
出:“在计算机信息系统环境下,并不改
变审计的总体目标和范围”,我国的
《独立审计具体准则第 20 号———计算
机信息系统环境下的审计》(1999)也
指出:“注册会计师在计算机信息系统
环境下执行会计报表审计业务,应当
考虑其对审计的影响,但不改变审计
目的和范围”。鉴于我国对计算机审计
的“二方观”认识,其审计目标也包括
两个方面:一是具有提高执行经济业
务和会计信息处理的计算机系统的合
法性、正确性和安全性;二是加快审查
速度、扩大抽查范围、提高审计效率和
审计质量的双重目标( 陈婉玲,
2002)。与之相适应,计算机审计内容
也就相应包括两个方面:一是包括对
信息化会计信息系统的开发设计、数
据输入、处理和输出进行审计;二是加
快审计信息化的步伐,建立信息化的
审计网络体系。随着市场经济的迅速
发展,在国务院办公厅《关于利用计算
机信息系统开展审计工作有关问题的
通知》([2001]88 号)中也明显
指出,“简单地讲,计算机审计包括:对
计算机管理的数据进行检查;对管理
数据的计算机进行检查”。可见,计算
机审计的审计内容主要是面对数据
(会计数据等)的检查,而对管理数据
的计算机进行检查,则是借助于信息
系统鉴证以获取处理数据是否正确性
的判断。
2.IS 审计的审计目标与审计内容。
IS 审计目标比较明确,它是指对信息系
统的资产保护,信息系统的可用性、安全
性、完整性和有效性发表审计意见。由于
IS 审计的审计对象是被审单位的信息
系统,因此决定其审计内容包括:(1)信
息系统的管理、规划与组织;(2)信息
技术基础设施与操作实务;(3)资产的
保护;(4)灾难恢复与业务持续计划;
(5)应用系统开发、获得、实施与维护;
(6)业务流程评价与风险管理。上述诸
多的审计内容,以及日益纷繁复杂的信
息系统,也迫使我们在IS 审计之际不能
不采用单独的审计准则体系和更多的计
算机辅助审计技术。
三、两者适用准则及采用技术比较
由于计算机审计与IS 审计的审计
目标、审计内容的不同,决定了前者面向
数据审计的特点与后者面向系统审计的
特点,由此也就使各自的审计准则和审
计技术各不相同。
(一)适用准则的比较
如上所述,计算机审计目标与内容
决定其相关准则的多维性。这可以从国
际审计准则15、16 和20 等内容加以了
解。这些相关规定大多提及EDP 环境,
虽然也不免涉及系统审计,但却主要是
针对财务报表等资料加以规定的。同时,
它们也并非专门针对IS 审计。我国的审
计署、中注协、国务院办公厅从1993 年
至2007 年,陆续诸多与计算机技
术应用有关的规定,究其实质,也都侧重
于财务会计数据审计而非单独针对IS
审计的。
与计算机审计的上述规范相比,IS
审计内涵、审计准则、职业组织、执业主
体等则十分明确。以审计标准为例,截至
2008 年2 月,国际信息系统审计与控制
协会已16 个审计标准,包括审计
章程、审计独立性、职业道德和标准、职
业能力、审计计划、审计工作的执行、审
计报告、后续工作、违规和非法行为、信
息技术管理、审计计划中风险评估的应
用、审计实质性、使用其他审计专家的工
作成果、审计证据、信息技术控制、电子
商务等。可喜的是,我国内部审计协会发
布并于2009 年1 月1 日施行的《内部
审计具体准则第 28 号———信息系统审
计》围绕总则、一般原则、审计计划、信息
技术风险评估、信息系统审计的内容、信
息系统审计的方法、审计报告与后续工
作等方面对内部审计中的信息系统审计
加以规定。虽然这一具体准则与国际信
息系统审计与控制协会已的审计标
准尚有一定的距离,但它毕竟首开我国
信息系统审计准则制定之先河。以下是
国内外已的计算机审计与IS 审计
相关准则体系的比较(见表2)。
(二)采用的审计技术与工具比较
从当前相关文献来看,有关计算机
审计技术介绍比较宽泛,而有关IS 审计
技术则有针对性强的特点。笔者认为,从
信息与信息系统的“产品”与“生产工厂”
的关系看,两者在审计过程中是紧密联
系的。只有当产生信息的系统本身具有
可靠性时,审计师才能初步确信该系统
产生信息的可靠性。而为了鉴证系统的
可靠性,IS 审计师往往通过检测被审系
统输入、处理与输出数据与信息来加以鉴证,其有效性不言而喻。鉴于计算机审计与IS 审计两者的审计目标的不同,两者采用审计技术与工具也就有所不同。
以下是笔者根据国内、外有关文献对两
者采用技术与工具的归纳:
1.两者共同采用的技术与工具。主
要有:测试数据法、追踪法、综合测试工
具(ITF)、平行模拟法、嵌入审计模块法、
流程图检查法、审计软件法、程序编码审
查法、程序比较法等。
2.两者各自采用不同的技术与工
具。其中,计算机审计技术主要有:受控
处理法、受控再处理法、漏洞扫描与入侵
检测、利用数据管理系统辅助法、利用操
作系统和实用程序法、利用被审系统辅
助法和利用电子表格辅助法等。IS 审计
技术主要有:基本案例评估法、系统控制
审计复核文件(SCARF)、快照法、审计
钩(hooks)、连续与间歇模拟(CIS)、延
展性记录法等。
四、结论
计算机审计与IS 审计无论是其产
生与发展,还是其基本概念、审计目标、
审计内容,抑或是其适用准则与采用的
审计技术,都有着很大的区别。但两者
在我国审计发展过程中却有其特定的
地位与作用。以信息化会计系统的财
务数据为审计对象的计算机审计,在当
前广泛开展财务报表审计过程中对其
展开研究仍然有着重要意义。同时,它
所强调的审计信息化建设使其“二方
观”能够进一步发扬光大。可以预见,
随着环境的变化与信息技术应用的深
入,计算机审计的内涵与外延也必将
得以深入与拓展。
成功地开展我国的IS 审计,是我国
审计走向世界的必由之路。上市公司根
据COBIT 框架实施内部控制已是大势
所趋,大、中型企业也必然紧随其后,由
此也就决定了IS 审计的势在必行。透过
IS 审计师资格考试的内容使我们看到
了IS 审计对知识与技术要求的高难度,
尤其是近年来对某些企业单位的IS 审
计之实践更使我们感到任重而道远。因
此,起步伊始的我国IS 审计,倘一开始
就能够借鉴国外先进的经验,追踪国际
惯例,并针对国情提出自己的发展对策,
无疑可以健康发展。
计算机审计与IS 审计两者绝非泾
渭分明,而两者究竟应当遵循哪些审计
准则,是近期内我国应当重点研究的问
题。诚然,从技术的角度看,国际IS 审计
标准、指南和程序已经日臻完整和成熟,
我国似无另起炉灶之必要,但由于我国
企业单位种类繁多,许多内外环境与国
外迥然不同,如果没有切合国情的部门
规章和规范性文件对IS 审计加以指
导,则可能欲速不达。因此,应当结合
我国IS 审计的现实状况,根据实践经
验、具体业务流程和技术方法分期发
布相应规章与规范性文件,逐步规范
我国的IS 审计。
【参考文献】
[1] Jack J.Champlain:Auditing InformationSystems,2sted,John Wiley &Sons,Inc.2003.
[2] 张德明,译.国际审计准则[M].大
连:东北财经大学出版社,1990.
[3][美]W.Thomas Poter,等著.计算机
审计[M].李大庆等,译.北京:中国
财政经济出版社,1990.
[4] 潘晓江.电子计算机审计与数据可靠
性控制—会计电算化之后现代审计
的对策[J].会计研究,1983(5)、(6).
[5] 王光远.管理审计理论[M].北京:中
国人民大学出版社,1996.
[6] 胡克瑾.IT 审计[M].北京:电子工
[论文摘要]计算机审计已经成为当前我国信息化环境下的审计发展的方向。文章首先阐述了传统手工审计的特点及计算机审计产生的背景与含义,然后对两者进行了较深入全面的比较分析。
随着“金审工程”的实施,计算机审计正逐步取代传统的手工审计方式,成为开展审计工作的“利器”。但不少人经常混淆计算机辅助审计与计算机审计的概念,并没意识到计算机审计与传统手工审计两者的巨大区别,没意识到计算机审计的应用将引发一场审计革命。为了促进计算机审计的发展,必须澄清计算机审计与传统手工审计的概念以及其区别。
一、传统手工审计与计算机审计
传统的会计、统计和计划等管理数据的处理是以手工操作为主,传统审计也是以手工的会计资料处理系统为特征的。随着审计事项规模的不断扩大和日益复杂,传统手工审计的取证模式也逐渐从账目基础审计发展到制度基础审计再发展到风险基础审计,审计取证的切入点从反映经济业务的纸质账目演变为内部控制制度再演变为内部控制制度与风险因素,审计对象从纸质账目系统一个变为内部控制制度与纸质账目系统两个,审计的核心方法也从详查法发展为测试法;而测试法的大量运用,使审计方法发生了实质性的变化,并使其最终脱离了簿记方法,产生了真正意义上的审计方法,并使“簿记审计”转变为“测试审计”,使审计逐步脱离审计就是查账的概念。
在纸质环境下,审计实务可根据具体审计项目的审计目标选择相应的审计模式,既可以采取账目基础审计模式,也可以采取制度基础审计模式或风险基础审计模式。但随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。因此,为适应信息化建设的迅猛发展和审计环境的巨大变化,计算机审计应运而生并逐渐成为世界各国信息化环境下的审计发展的方向。
计算机审计是指在信息化环境下,计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门崭新的审计学科。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标的审计方式。因此,计算机审计的含义包括两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;另一方面,利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。
二、计算机审计和传统手工审计比较
(一)相同之处
从根本上说,计算机审计的目标与传统手工审计的目标是一致的,都是《中华人民共和国审计法》所规定的监督被审计单位的财政收支或者财务收支的真实性、合法性和效益性,以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展;其职能都表现为经济监督、鉴证和评价。在实施审计的过程中,审计人员都必须以《审计法》或《注册会计师法》以及相关的审计准则作为执业标准和职业规范,以会计准则与相关的法律法规作为判断被审计单位财政收支或者财务收支是否真实、合法的标准。无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
(二)不同之处
1.审计环境不同。计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.审计的思维方式不同。随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显着特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
3.审计线索不同。计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
4.审计测试的对象与范围不同。在会计电算
化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。因此,会计电算化系统及其处理的合法性、正确性、完整性和安全性与系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。为了控制数据风险,保障审计目标的实现,计算机审计的一项重要内容是对系统内部控制进行调查、测试和评价,包括会计电算化系统的审计与测试,这是手工审计所无法实现的。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统账套中是无法轻易取得的,从而扩大了审计人员的视野,丰富了审计人员的可用信息。此外,由于运用了先进的信息化手段,计算机审计可以非常快速和非常便捷地处理海量数据,解决了在纸质和手工条件下审计人员想做而不可能做的事情。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
5.审计技术方法不同。传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机 审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
(一)计算机审计是提高审计效率的有效途径。
随着经济社会迅速发展,被审计单位经济业务的增多,审计项目的逐年增加,县级审计机关的工作任务也成倍增长,然而大部分县级机关人员不足,人少事多的矛盾越来越加深。审计任务不能少,审计监督不能缺,要想做到兼顾全局,就只有利用计算机审计,提高工作效率。
(二)计算机审计是审计作业规范化的有力保障。
目前,在国家审计系统中广泛运用审计署开发的一种名叫“现场审计实施系统”,也被称为审计师办公室,英文名称AuditorOffice(简称“AO”)的审计软件。这个软件是金审工程建设的重大成果,是国家审计信息系统的重要组成部分,是审计人员开展计算机审计、强化审计项目管理、实现审计信息共享的重要系统。审计人员可以在这个系统中完成整个审计工作,包括建立审计项目、数据导入、数据分析、审计疑点、审计底稿、审计报告等。在“AO”中,审计步骤都有严格的流程、审计内容都有统一的模板,为审计工作提供了方便的同时也规范了整个审计作业。
二、县级审计机关计算机审计面临的困难及原因
(一)审计人员观念更新慢,对计算机审计认识不足。
特别是对于县级审计人员来说,难以适应从传统的审计方法改变到计算机审计的变革,会有一定的抵触情绪,觉得计算机审计太难、太复杂,写计算机语句所花精力比人工审计的还要多。
(二)县级审计人员计算机审计水平整体有限。
主要是体现在三个方面:一是县级审计人员与计算机审计“五能”(能获得被审计单位电子数据、能将数据导入到审计人员的计算机中、能使用审计软件进行查询分析、能在审计现场组建网络、能排除软硬件常见故障)差距太大;二是与传统审计相比,计算机审计需要发掘审计疑点、收集审计证据的审计新方法和新技术才能实现审计目标。县级审计人员还依然用手工审计的传统方式进行计算机审计,所谓计算机审计也只是简单的进行数据筛选和汇总;三是县级审计机关计算机专业技术人才难以引进。由于工作环境、待遇各方面的原因,县级审计机关无法吸引计算机专业人才。要引进既懂财务审计专业知识又具备计算机专业技术,特备是精通数据库的复合型人才,更是难上加难。
(三)计算机审计线索更为隐蔽。
传统的手工审计是通过顺查或者逆差等方式对纸质资料如会计报表、会计账本、会计凭证等进行审计,查找线索。但是,现在的电子数据处理系统中,大量的资料肉眼是看不见的。会计及相关人员可以毫不留痕迹的消除、修改、损毁各种电子数据和程序,令审计人员无法察觉。这样就必然加大了审计工作难度和审计风险。
三、推进县级审计机关计算机审计的对策
(一)大力宣传,转变观念,积极主动地加强计算机审计学习。
立足于审计事业的长远发展,宣传教育县级审计人员,计算机审计势在必行,是每个审计人员必须掌握的技能。从思想上接受,克服各种不良情绪,主动的去学习,去运用。
(二)采取多种学习方式,提高审计人员素质。
县级审计机关作为审计的前排兵,任务重,人员少,很难有时间和机会能系统的去学习计算机知识。只有采取定期或不定期培训、自学、开交流会等多种方式,组织安排学习,最大限度地投入学习,突出培训的实用性,让审计人员尽快的学以致用。例如,审计署每年都在组织AO实例和审计方法评比活动,并将优秀实例和方法在审计系统传阅学习,让审计人员充分认识到计算机审计的好处。尽量争取和积极参加上级审计机关组织的计算机审计培训,基层审计机关领导要安排相关的审计人员参与培训。
(三)加强计算机审计法制化建设。
我国最早的有关计算机审计的法规是1993年9月的《审计署关于计算机审计的暂行规定》;1996年12月颁布了《审计机关计算机辅助审计办法》;2000年国务院办公厅的《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》,这些都是审计部门利用计算机信息系统开展审计工作的重要依据,为在高新技术条件下加强审计监督提供了重要的保证。但是这些法规内容重叠、层次性差,未形成一个完整的计算机审计规范体系,显得比较杂乱。可进一步规范计算机审计,出台各种办法、审计准则,细化计算机审计的标准、程序、方法等。在制定标准时,可侧重于对计算机系统内控评价、电算化审计过程和相关审计技术以及审计取证等方面做出明确的规范。这样能让审计人员有法可依、有章可循。
(四)制定标准,规范会计信息系统。
计算机审计是基于计算机进行的审计活动,包括系统审计和数据审计。它是计算机进入会计和管理领域后发展起来的一门新兴科学,是计算机技术、现代通讯技术和网络技术在审计工作中的应用,是审计科学、计算机科学与电子数据处理技术发展的结果。在我国,计算机审计开始于上个世纪八十年代末,但此后一直处于摸索和研究阶段,直到九十年代末才逐渐成熟和发展起来,时至今日,我国在计算机审计技术运用尤其在审计软件开发方面取得了长足的进步,计算机审计在我国政府审计领域发挥着越来越重要的作用。然而,由于我国审计法是在以手工审计为主导审计方式的背景下制定的,而对与手工审计相对应的计算机审计方式没有予以规范,即使在其他法律文件中对计算机审计的规定也是少之又少,因此,在计算机审计实践中出现了很多急待解决的问题,如审计机关是否具有计算机审计的权力、计算机审计的范围如何确定、拒绝计算机审计是否属于拒绝审计等。可见,目前我们在计算机审计方面面临的主要矛盾是计算机审计技术的广泛应用和法律发展的相对滞后之间的矛盾,如何解决这一矛盾,如何在法律上规范计算机审计并为计算机审计提供足够的法律支持,则要从分析计算机审计所涉及的法律问题着手。
计算机审计包含很多方面的内容,所涉及的法律问题也是多方面的。归纳起来,计算机审计所涉及的法律问题主要体现在以下几个方面:
(1)作为一种《审计法》没有明确规定的审计方式,计算机审计的法律地位,即计算机审计是否具有合法性是计算机审计立法中应当予以首要解决的问题。只有明确了计算机审计的合法地位,才谈得上审计机关进行计算机审计。
(2)作为一项新型的证据获取方式,计算机审计中电子数据(含审计软件审计出的电子数据)的证据地位等问题应是计算机审计立法中的核心问题。
(3)审计软件如何规范才更具有法律权威、如何鉴定编程语言以及网络审计立法等问题在计算机审计立法中也应占有重要地位。
(4)计算机审计的法律保障即当审计机关的计算机审计权力遭到拒绝时如何进行法律救济是保障审计监督职能的关键所在,是计算机审计立法是否具有完整性和可操作性的标志。
二、计算机审计的法律地位
计算机审计的法律地位,是指计算机审计在审计法中的地位,法律是否认可审计机关具有进行计算机审计的权力。《审计法》出台时尚没有对计算机审计作出规定,国家有关计算机审计的规定最初见于《审计法实施条例》。《审计法实施条例》第30条:“审计机关有权检查被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支电子数据以及有关资料。”该条是目前审计机关开展计算机审计的唯一行政法规性依据。不过,该条对计算机审计的规定也仅限于对“被审计单位运用电子计算机管理财政收支、财务收支的财务会计核算系统”的检查,同时,它仅是原则性的规定,在实践中缺乏可操作性。审计法规定被审计单位要接受审计,但不接受计算机审计的行为是否是不接受审计行为?目前审计法对此没有具体规定。
审计机关开展计算机审计的另一项重要依据是《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》([2001]88号)。然而在该文件中关于计算机审计的内容也仅局限于对“被审计单位运用计算机管理财政收支、财务收支的信息系统(计算机信息系统)”的检查,检查的重点主要在计算机信息系统是否符合标准、是否存在舞弊功能、系统所生成的电子数据是否真实等三个方面,并没有规定对“电子数据”所进行的采集、分析等所谓面向数据的审计。而目前,计算机审计的的主要内容就是面向数据的审计,这也是当前计算机审计的重点。当然,对计算机系统的审计是面向数据审计的前提,也是今后计算机审计发展的方向。国务院办公厅的通知也只是解决了计算机审计的系统审计问题,对计算机审计的数据审计问题并没有作出进一步的规定。尽管如此,这已是计算机审计的重大进步,至少在国务院办公厅的立法级次上有了合法性的认可。
为了更好的开展审计工作,保障计算机审计的顺利进行,《审计法》应当明确确认计算机审计的法律地位,确定计算机审计是合法的审计方式,赋予审计机关计算机审计的职权,把计算机审计纳入审计的内涵之中。
此外,在计算机审计的法律地位中还应当解决“什么是计算机审计”的问题,解决这个问题的意义在于确定范围,明确界限:是获取数据,检查系统,进行查询分析,还是直接在电脑上查阅会计资料,看电脑帐。当前没有对计算机审计的范围给予一个合法的标准,导致了很多问题:只开放系统,让审计人员看电脑帐,但不让你分析;或只让你检查系统而不让你下载数据等等。因此,在计算机审计的范围问题上,应当将系统审计和数据审计都纳入计算机审计的范围。
四、电子数据的证据地位
现行的审计法律法规都是适应传统书面记录形式的,将之适用于电子数据存在很大困难。计算机审计的对象是电子数据,其审计的直接结果也是电子数据(电子数据的派生形式)。电子数据在现行证据法律体系中占有什么地位,是否具有合法性和证明力,以及电子数据储存在计算机中,如果复制是否还能保持和原件一样的证明力等等,都是计算机审计中所面临的法律问题。
(一)电子数据突破了传统的证据法定体系
考察世界各国的证据法律制度,现行各国的证据制度主要分为三类:一是自由衡量式证据制度,如法国、德国;二是具体规则式证据制度,如英国、美国;三是清单式证据制度,如荷兰、智利。我国没有制订证据法,从体现于诉讼法中的证据规定来看,我国的证据制度是清单式的。由于电子数据不在我国的证据清单之列,因此其在我国是不能用作证据的。但审计实践涉及到电子数据的证据地位问题,这促使我们不得不重新审视电子数据的法律地位问题。
目前我国尚未制定关于电子数据的基本法律文件,有关电子数据的规定见于审计署的部门规章中。审计署2000年颁布的《审计机关审计证据准则》第3条规定:“审计证据有下列几种:……(3)以录音录象或者计算机存储、处理的证明审计事项的视听或者电子数据资料;……”电子数据即包含于审计证据中。
显然,前述准则对电子数据的规定已超出了《行政诉讼法》上证据范围:电子数据资料不在法律规定的证据之列。《行政诉讼法》第31条规定:“证据有以下几种:
(1)书证;
(2)物证;
(3)视听资料;
(4)证人证言;
(5)当事人的陈述;
(6)鉴定结论;
(7)勘验笔录、现场笔录。
以上证据经法庭审查属实,才能作为定案的根据。”在这里,准则规定电子数据资料即电子数据作为审计证据,是为了适应计算机审计的需要。不过,作为证明一定事实的证据,其自身应当具有法律所认可的形式,不是任何形式的“证据”都具有合法性,都可用来证明具有法律意义的事实是否存在。在这里,尽管部门规章对电子数据作出了规定,但行政诉讼法对此并没有予以认可,可见在具体的诉讼活动中,审计机关开展计算机审计所获得的电子数据的证据地位和证明力是要大打折扣的。
(二)电子数据法律地位的解决方式
用法律明文规定电子数据为可采纳的证据,是解决电子数据证据地位的最佳方式。不过,由于这种方式采用的是法律明文形式,需要较长的立法周期,无法尽快解决实践中电子数据的证据地位问题。因此,在现行证据体系中以各种变通的方式或例外的形式间接接受电子数据不失为一项可行的选择。具体做法是:电子数据在审计中发挥证据作用时,如果是利用其记载的声音或图象,则可以归入视听资料的范畴;如果是利用其记载的文字符号,则可以归入书证的范畴;如果其涉及专门性问题,可以进行鉴定,纳入鉴定结论的范畴。
四、审计软件与网络审计的法律问题
(一)审计软件的法律问题
计算机审计软件是为计算机审计编写的计算机程序及其说明书。在审计实务方面,已有一批计算机审计软件先后通过审计署的评审,有些审计软件已在审计实践中取得明显效果,提高了审计效率与审计质量。2000年11月,审计署在南京特派办专门召开了命名为审计之光的全国审计系统计算机开发应用成果演示会,会上展出了多种计算机审计应用软件和审计信息系统及审计办公自动化软件。如《卷烟销售辅助审计软件》、《企业审计软件1.0》、《上审2.0工交企业版》等等。由于审计软件的开发者是审计机关本身,鉴定者也是审计机关,其是否有鉴定的权限,鉴定的效力如何,目前法律没有规定,这也给被审计单位怀疑和藐视由审计软件产生的审计结果留下了空间。这说明目前我们对审计软件方面的法律问题重视的还不够。任何一种事物只有用立法加以确认和规范,才能最大限度地排除其不利因素,引导其健康发展,审计软件问题理应得到立法的重视和规范。就目前来看,审计软件的法律问题主要体现在审计软件的合法性和审计结果的可采性上。因此,开发出全国通用的政府审计软件,并使之合法化,同时明确审计软件的法定鉴定机构,赋予其权威,是审计立法的重要选择。
即使在被审计单位接受审计机关使用审计软件审计的情况下,审计人员利用审计软件所获得的电子数据也常常得不到被审计单位的认可。他们的争议主要在程序编码等专业问题方面。我国目前也没有对审计软件中的程序编码问题作出规定,这也使得审计关系双方在程序编码问题上缺少了判断依据,对审计软件的有效使用产生了负面影响。在这方面,外国进行了一系列的尝试。如美国商务部下属的国家标准局在1974年以后陆续颁布了《联邦信息处理标准丛书》,对计算机环境下的安全与风险管理、数码编程标准提出了一系列指南。它对美国计算机审计的发展具有很大促进作用。
国家对程序编码进行立法是较好的选择,但这在目前是无法立即实现的。就目前来看,审计机关在使用审计软件进行计算机审计时,要着重加强内部控制,建立计算机审计程序代码复核制度。
(二)网络审计的法律问题
互联网的飞速发展改变着传统的审计工作方式,同时网络财务、电子商务、电子货币的发展,使审计面临严峻挑战。因此,我们需要构建新的审计模式与之适应,这种新的审计模式就是网络审计。它是互联网条件下的审计,未来审计行业和审计技术的发展动力将主要来自于计算机审计的发展,特别是网络审计的发展,这也是国内外审计界的共识。在立法上,目前我国的网络审计立法仍是一片空白,《会计法》已增加了有关网络财务的内容,《电子商务法》的起草工作正在加紧进行之中,但上述法律都不是针对网络审计的,不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度,使网络审计工作有章可循。
五、计算机审计的法律保障
(一)计算机审计法律保障的一般原理
这里所讲的计算机审计法律保障是指计算机审计已获合法性地位后,法律对审计机关计算机审计权力的终极救济措施。这主要是指在法律已明确规定审计机关计算机审计权力后,被审计单位仍拖延、拒绝计算机审计时的法律保障措施。就现行法律规定来看,《审计法》没有规定被审计单位拖延、拒绝计算机审计时的法律保障措施,有关法律保障措施的规定见于《审计法实施条例》第49条。《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》([2001]88号)对此也作了相应的规定:“被审计单位拒绝、拖延提供与审计事项有关的电子数据资料,或者拒绝、阻碍检查的,由审计机关按照《审计法实施条例》第49条的规定处理。”本文对计算机审计法律保障措施的论述便是以《审计法实施条例》第49条的内容展开的。为表达方便,下文在“拒绝、拖延、阻碍”等语言的运用上,一律用“拒绝”术语,这也是因为拖延、阻碍在一定程度上包含着拒绝的涵义。
(二)《审计法实施条例》第49条的法律分析
《审计法实施条例》第49条规定:“被审计单位违反审计法的规定,拒绝或者拖延提供与审计事项有关的资料的,或者拒绝、阻碍检查的,由审计机关责令改正,可以通报批评,给予警告;拒不改正的,按照下列规定追究责任:(1)对被审计单位处以5万元以下的罚款;(2)对被审计单位负有直接责任的主管人员和其他直接责任人员,审计机关认为应当给予行政处分或者纪律处分的,向有关部门、单位提出给予行政处分或者纪律处分的建议;(3)构成犯罪的,依法追究刑事责任。依照前款规定追究责任后,被审计单位仍须接受审计机关的审计监督。”该条规定了被审计单位不接受审计的惩罚措施,赋予了审计机关追究被审计单位法律责任的权力(在这里审计机关追究责任的形式仅为行政处罚)。这对审计机关顺利获得被审计单位的有关资料,进行审计监督,起到了保障作用。
根据前述第49条的规定,“依照前款规定追究责任后,被审计单位仍须接受审计机关的审计监督”,所以,就被审计单位来讲,接受处罚并不能免除其接受审计的义务。不过,该条的规定容易产生这样的问题:如果审计机关实施行政处罚后,被审计单位仍拒绝审计的,这是否意味着审计机关对被审计单位再次进行处罚。如果可以,则意味着对处罚次数的多少取决于被审计单位拒绝审计次数的多少。从理论上讲,被审计单位拒绝审计多少次,审计机关就可以处罚其多少次,一直到被审计单位接受审计时止。显然,审计机关根据《审计法实施条例》第49条对被审计单位就拒绝审计事项进行多次处罚,违反了《行政处罚法》上的一事不再罚原则。
就《审计法》及其实施条例的规定来看,法律并没有赋予审计机关对被审计单位采取强制措施、直接调取相关资料的权力。所以从法律条文方面来分析,就容易得出这样的结论:由于《行政处罚法》一事不再罚的规定,审计机关不能对被审计单位再次处罚,同时审计机关无权对被审计单位采取强制措施、直接调取相关资料,所以被审计单位因拒绝审计而被处罚后就可以逃避审计监督。进一步讲,只要被审计单位缴纳罚款就可以免除审计(法律没有赋予审计机关采取进一步措施的权力)。这样,就可能会出现以罚款代替审计的局面。上述结论是根据法律条文所进行的法律推理。
(三)如何进行计算机审计的法律保障暨《审计法实施条例》第49条的法律完善
当今社会是法治社会,依法行政是法治社会的必然要求。倘若出现了被审计单位因被处罚后再次拒绝审计的现象时,尽管从法律规定上来看,“被审计单位仍须接受审计机关的审计监督”,但现行法律在这方面出现了漏洞,并没有规定相应的救济措施,这就使审计机关审计监督权力的继续行使失去了法律保障。现实中,一些单位和个人拒绝审计机关审计、拒不交出会计资料、藐视审计机关审计权力的现象时有发生。这些现象的存在,严重损害了审计机关的审计权威,损害了《审计法》及其实施条例的尊严,不利于审计机关审计监督职能的实现。要真正作到违法必究,充分发挥审计监督职能,当务之急是要修改《审计法》及其实施条例,从合法、合理、可行的角度来完善被审计单位不接受审计的救济措施:除前述第49条规定之外,还应赋予审计机关申请人民法院强制执行的权力,即当出现了被审计单位因拒绝审计被处罚后仍拒绝审计的情况时,审计机关可请求人民法院协助,排除妨碍,采用司法力量强制调取被审计单位的会计资料等相关资料,确保审计机关审计权力的顺利行使。这样既完善了审计机关的审计权限,又不违背《行政处罚法》上的一事不再罚原则。
计算机及其技术的,信息化的进程,进一步推动了计算机技术在企业财务工作中的,同时,也给传统的审计工作提出了新的课题。
第一,如何实施对计算机财务会计软件本身的审计。实现计算机信息数据处理的财务会计软件自身的合法性、具体处理规则的准确性以及对非法处理的控制等,是决定会计信息系统提供的财务会计信息是否准确的关键要素之一。
第二,如何实施对系统数据的审计。尽管计算机会计信息系统可以按照会计制度的要求,仿照传统会计的凭证、账簿及报表等格式处理输出各类会计信息,但是,在计算机信息系统中。对数据的组织和管理模式却发生了实质性的变化。如何按照审计方案的要求获取基础数据,并进一步进行审计处理,是对系统数据实施审计的关键。
二、计算机审计的主要
《中华人民共和国审计法实施条例》第三十条规定:“审计机关有权检查被审计单位运用计算机管理财政收支、财务收支的财务会计核算系统。被审计单位应当向审计机关提供运用电子计算机储存、处理的财政收支、财务收支由于数据及有关资料”。
从《条例》所赋予的权利来看,计算机审计的对象是被审计单位的计算机财务会计核算系统(即财务会计软件)及其系统数据。
(一)对计算机财务会计软件的审计
在计算机财务会计核算系统中,会计核算的具体过程、核算以及对核算过程和方法的控制,基本上都是通过软件程序的方式固定实现的。这样,对会计核算过程的审计,就主要体现在对计算机财务会计软件的模式和主要功能的审计上。
1.对计算机财务会计软件模式审计
计算机财务会计软件模式,是对会计核算组织及核算业务过程的具体体现。会计核算的组织是否严密,核算业务过程是古符合内部控制制度的要求等,都可以通过对计算机财务会计软件模式审计得出结论
对计算机财务会计软件模式审计,可通过运行系统的最长业务流程和最短业务流程实现,其中,关键的业务环节的控制可通过简单运行进行检测。例如,会计制度要求,经过审核的会计凭证才能记账,就可以通过对样本凭证的审核和记账操作结果验证。
2.确保系统安全的功能审计
这主要包括两方面内容,其一,是系统的使用安全控制功能;其二,是系统的数据安全控制功能。
系统的使用安全控制,是指系统所具备的禁止非法使用和禁止越权使用的控制功能、在财务会计软件中,是通过对系统使用人员的密码设置和授权设置以及进入系统的身份验证功能实现的。对这些功能的审计,可通过简单的测试试验得出结论。
系统数据,按时间划分,可分为数据和当前数据;按数据的处理性质划分,可分为基础数据、中间数据和结果数据。对系统数据的管理,是按照系统数据的组织模型借助于数据库管理系统实现的。
为确保系统数据安全。系统不仅要具备对历史数据的卸出和重新装入功能,还应具备对基础数据的完整的备份与恢复功能。对这些功能的审计,不仅要测试其功能的完整性,而且要重点测试其与基础设置的一致性。例如,在存货核算系统中,若上年度采用移动平均法,本年度改为先进先出法,则对上年度的历史数据恢复后,系统对上年度的存货计价方法也应相应的采用移动平均法。
3.保留审计线索的功能评价
计算机系统中,电子数据的特点、使原有在手工方式下的直接修改数据的“痕迹”消失,但是,利用计算机的“海量”存储能力,从软件设计的上,任何处理过程都是可以记录并查询的,这就为审计线索的保留提供了技术基础。例如:应收账款的核销处理,却早需要,系统可以详细的记录每一笔核销的对应账项;同样,对于使用者对系统的每一步操作.包括其操作时间和操作内容系统都可以详细的记录,等等。当然,考虑到系统的运行效率,在财务会计软件中,应保留哪些审计线索,审计部分首先应提出具体的要求,否则,就没有评价的标准。
4.系统功能的合法化审计
系统功能合法化审计助重点,是审查软件是否提供了支持系统进行非法处理或违法处理的功能。例如:某些系统提供的“反记账”和“反结账”功能,就是支持使用者实现“无”痕迹修改历史账簿的功能。这些“违法”功能,在软件中往往隐藏较深。最直接的审计方法是分析软件的功能模型或数据组织模型,但这涉及到软件产品的技术秘密,可操作性几乎没有。这一方面内容的审计方法,本文在后面的计算机审计测试系统中介绍。
5.软件业务处理规则的审计
业务处理规则是软件系统进行某一业务处理的原则、步骤和具体算法。例如:期末转账处理,不仅有具体的各类成本费用的计算、分摊和结转的算法,税金的算法,还有严格的处理原则和结转顺序;存货成本的计算,不同的存货计价方法,其对应的业务规则是不同的;等等。业务规则是否准确,直接系统的运算处理结果。
对软件业务处理规则的审计,同样是十分困难的,本文在后面的计算机审计测试系统中介绍。
(二)对系统数据的审计
国内大部分企业计算机财务会计核算系统中,所采用的财务会计软件是由专业的软件公司研制的,专业软件设计者与系统应用者的不同,客观上限制了故意作弊的动机和可能。但是,由于财务会计软.件的通用性特点,其灵活程度足以满足使用者的部分作弊和造假需求,加之计算机系统本身数据处理的隐蔽性和不可视化的处理过程设计,使利从计算机系统作弊和造假的审计更困难,因此,对系统数据的审计在计算机审计中就更加重要。
对系统数据的审计重点包括初个方面:
1.进入财务会计核算系统的原始数据审计
由于各企业信息化的程度不同,使得企业财务会计核算系统的原始数据的获取方式不一致,按目前国内企业的实际分析,主要可分为两种类型:其一,全面实现了企业信息化(如:已实施ERP)的企业,其财务会计核算系统的原始数据,一部分源于业务系统,这部分来源于业务系统的原始数据(记账凭证为主)可以通过系统的查询功能直接查询到其对应的具体业务,另一部分来源于企业的自制记账凭证的人工输出或系统内部的机制转账凭证;其二,仅在财务会计部门实现计算机处理的企业,其系统原始数据(记账凭证为主)来源于各类凭证的人工输入和系统内部的机制转账凭证。
由于系统原始数据的复杂性。决定了传统手工审计的困难声是计算机审计系统的重点力作之一。
2.财务会计核算系统输出的财务会计信息的审计。
在财务会计软件中,对系统输出的设计,完全是一种工具化的设计,也就是说,系统具体输出什么、以何种方式输出、输出格式是怎样的?等等,基本上是由使用者决定的;软件只是提供了实现使用者输出要求的机制和功能。例如:在利润表中,尽管系统可以准确的核算出任意一个会计期间的营业收入,但是,使用者完全可以通过利润表的初始化设置,使利润表中输出的营业收入与系统的核算结果一致或不一致,而这种一致或不一致都是系统无法控制的。
因此,对财务会计核算系统输出信息的审计,同样是计算机审计系统的重点功能。
三、机审计的定位。
计算机在财务工作中的具体。对计算机审计提出了客观需求,计算机技术的,特别是计算机系统间数据接口技术的发展和数据接口标准及数据接口规范(如:XML标准等)的发展,为计算机审计提供了技术支持。
根据对计算机财务会计核算系统审计的对象和目标的不同,一部分审计工作可以在被审计单位的计算机财务会计核算系统中通过一些简单的测试进行或沿用传统的审计方式,但是,更多的工作需要计算机审计的支持。结合不同的审计目标和审计要求,计算机审计可分为:计算机审计系统和计算机审计测试系统。
(-)计算机审计系统
计算机审计系统,就是按照审计目标和审计的要求,获取转换被审计单位的财务会计数据,并能利用各类审计程序和审计方案进行审计处理的计算机系统。
计算机审计系统的目标是计算机财务会计核算系统的系统数据,包括系统原始数据和输出信息。
计算机审计系统应具备以下三个方面的基本功能:
1.能够按照审计要求,获取转换被审计单位的计算机财务会计核算系统的数据.
这一功能可通过统一的数据转换接口的方式实现,当然,由于各软件的设计差异,导致其系统数据组织的模型设计不同,尽管大部分软件都设计了输出标准数据文件格式的功能,但仍然无法满足审计的要求,这就需要有关审计管理部门,从实际审计工作出发,设计并统一的审计数据接口标准(或依据已有的标准),以实现计算机审计系统与计算机财务会计系统的数据对接。
2.能够按照审计方案的要求设置对获取数据的再处理业务模型
不同审计目标和审计内容的要求,具体体现为不同的审计方案,在具体的审计方案中,体现的是对数据的不同处理业务规则和具体的算法模型。部分模型可以在审计系统中以程序加方式固定,但还有一部分模型是无法固定的,这些模型需要在具体审计时,由审计人员依据审计方案进行具体的设计。
3.审计数据处理及或出和对比输出功能
审计数据处理是指按照系统设置的业务处理模型和算法模型进行系统数据重新处理的过程。
输出是按照审计要求对系统处理结果进行查询和打印输出的功能。
对比输出是指审计系统的处理结果与原系统的处理结果进行对比输出的功能。
(二)计算机审计测试系统
计算机应用系统的准确,主要取决于两个方面,即:系统基础数据及其处理的准确和系统模型及系统程序的准确,通过计算机审计系统,可部分或全面地检查计算机财务会计系统的基础数据和对数据的处理,计算机审计测试系统的目标,就是测试检查计算机财务会计系统的系统模型和系统程序。可以通过以下两个方面实现:
1.样本数据检测法
目前国内的财务会计软件,尽管各软件公司的产品不同,并且同一软件公司又有多个不同的版本.但其基本功能是基本一致他。这样就为设计统一的检测样本提供了基础。根据对财务会计软件检查的主要功能点、控制点和主要业务处理规则及相应算法的审计要求,可以设计一套全面的软件审计样本检测数据,通过与财务会计系统的数据转换接口,将样本数据导入被审计单位的计算机财务会计系统;并进一步将系统处理结果与标准结果对比。可以实现对财务会计软件的基本测试。
2.处理过程跟踪测试法
一、做好审前准备工作是关键
计算机审计审前准备除了与传统审计项目有共同之处外,审计人员在实践中必须重点做好以下几点工作:
(一)充分了解审计对象的信息化环境
在计算机审计领域,数据化审计就是从被审计单位的信息系统数据库中通过各种接口工具获取审计数据。被审单位信息系统的多样性和 复杂性,审计数据的采集和获取一直是数据化审计的首要难点,是推进计算机审计的“瓶颈”。故开展计算机审计的项目,在审前调查时应对以下被审计单位信息化环境进行了解:
(1)被审计单位财政财务收支及其相关业务的信息化组织情况及其实现程度;
(2)使用的财务系统软件和相关业务系统软件的主要功能和特点;
(3)财务信息化系统与相关业务系统的数据流向关系;
(4)财务及其相关业务信息化管理制度的建立健全情况;
(5)其它需要了解的内容。
审计组只有在审前调查中了解清楚了被审单位的信息化环境,尝试获取被审单位的有关电子数据和数据结构文档等基础资料,才能做到有的放矢,及时就遇到的问题向计算机技术人员请教或邀请计算机人员参与审前调查,确定数据采集方法和范围,特别是业务数据的采集,一定要根据审计重点和思路,采集主要业务流程数据。计算机专业技术人员要密切注意审计署及有关省厅金审工程专题栏目,及时下载了解最新财务数据采集工具,以及有关业务审计的审计师经验,了解数据库数据的连接方法和转换技术,做好审计人员的技术后盾,以推进计算机审计普遍、深入开展。
(二)掌握必要的计算机技术
计算机环境下,审计取证和证据评价方式都发生了深刻的变化,信息系统成为获取审计线索的重要来源。信息系统记录了被审单位的大量与经济活动有关的数据,审计人员通过对这些数据的分析和处理,可以判断其经济活动的真实、合法、效益性,并对其做出评价。而面对的被审计单位信息化环境种类多、变化快,使用不同的数据库、操作系统和硬件平台,甚至分布在不同的地理位置。审计人员在计算机审计审前准备过程中,针对被审单位的具体信息系统和业务特点,注重学习掌握计算机技术,通过不断学习、实践、应用和积累,才能在计算机审计中做到游刃有余。年轻人要自觉发挥计算机技术优势,不断拓展技能、提高能力,成为推进计算机审计的中坚力量。
二、制定科学的计算机审计实施方案
审计实施方案是审计组为了顺利完成审计任务,达到预期审计目的,在实施审计前所作的计划和安排,是整个审计实施过程的行动指南。因此,审计实施方案在审计质量控制体系中起到“龙头”的作用,其编制质量直接影响审计实施的质量。
细致的审前调查,细化实施方案是提高审计效率的基础,审前调查结束后,审计人员要及时将被审单位的信息化情况进行汇总,制作工作流程图,包括:业务流程图、内部管理控制流程图等。根据工作流程图,分析被审单位信息系统的安全性和业务工作的关键和薄弱环节,以确定审计方向和重点,制定包括计算机审计内容的审计实施方案,对以下事项进行评估和明确:
(1)拟使用的计算机审计软件、硬件配置及所需的技术条件;(2)被审单位相关数据的获取或转换方案;(3)重要审计事项和关键环节的计算机审计步骤;(4)计算机审计的人员及分工。
审计质量是审计工作的生命,而审计实施方案的编制质量是影响审计质量的关键因素,作为计算机审计项目,一定要在审计实施方案中体现出指导性和可操作性。
三、运用数据分析技术是核心
被审单位的信息数据大多数以关系数据库的形式存储的,审计中“查账”的过程就是利用各种条件进行数据分析的过程,即根据审计目的,对审计数据作各种重组、计算、查询、分析、挖掘工作。因此对采集到的数据进行分析,是计算机审计的主要任务,也是审计技术发展的一个广阔的空间,掌握数据分析技术和方法是审计人员开展计算机审计的基本功。
计算机审计中的数据分析主要包括如下操作:
(一)重算:对某一项数据,按照与被审单位相同或相似的处理方法重新计算,目的是验证提供数据的真实性与准确性,以及被审单位信息系统处理逻辑的正确性。如个人所得税计算。
(二)检查:按照政策或法规,对某一项数据或处理进行检查,目的是检查政策与法规的执行情况。如医院的收费项目及收费标准的检查。
(三)核对:将某些具有内在联系的数据,按照其勾稽关系,进行逐一核对与排查,目的是验证被审单位信息系统处理流程的正确性和控制的有效性,有无人为非法干预等。如公积金审计中的银行存款收益情况与银行利率的核对等。
(四)抽样:依据抽样的原则与方法,按照审计人员的指令将感兴趣的或具有代表性的一部分数据挑选出来,目的是缩小审计范围,降低审计风险。如商业银行贷款审计中,抽取贷款金额大、又是房地产企业的贷款笔数。
(五)统/!/计:为审计人员提供一系列的分析指标与工具,最大程度地方便进行信息处理。如对审计数据按被审计单位的部门、项目核算等。
(六)推理:根据审计人员经验与规则,对已有数据进行分析与处理,给出所有可能 的结论。
关键词:会计电算化;审计信息化;数字化;计算机审计
中图分类号:F239 文献标识码:A 文章编号:1001-828X(2014)05-0-01
会计电算化、审计信息化已经如约而至,被审计对象的财务记录模式、存储介质、管理方式发生了根本性的变化,审计机关的审计管理方式、审计技术和手段也要发生根本性改变,才有可能对所监督对象的经济活动过程和经济活动结果实现有效监督,因此开展计算机审计有着重要的意义。
一、计算机审计的发展
计算机审计是基于计算机进行的审计活动,包括系统审计和数据审计。它是计算机进入会计和管理领域后发展起来的一门新兴科学,是计算机技术、现代通讯技术和网络技术在审计工作中的应用,是审计科学、计算机科学与电子数据处理技术发展的结果。在我国,计算机审计开始于上个世纪八十年代末,但此后一直处于摸索和研究阶段,直到九十年代末才逐渐成熟和发展起来,时至今日,我国在计算机审计技术运用尤其在审计软件开发方面取得了长足的进步,特别是实施“金审工程”一期后,计算机审计在我国政府审计领域发挥着越来越重要的作用。审计署刘家义审计长在全国审计工作会上明确指出:从一定意义上讲,中国审计的出路关键在于信息化,信息化的关键在于数字化,要以“金审工程”为依托,以创新审计方法和技术手段为基础,着力提高审计工作的技术含量和水平,探索以在线审计、实时审计为特征的联网跟踪审计系统,提高在信息化条件下开展审计工作的能力。
计算机审计包括以下三个工作阶段:
(一)项目计划
1.探索数字式审计和实施计算机审计与信息系统统计是重要的要求。实施过程中在保持真实性、合法性、效益性的审计框架下进行有的放矢,来进行审计目标和范围的确立。
2.审计资源分配和审计计划的确立。对初选审计项目进行研究,确定目标、范围、重点和其他重要事项时,要求结合审计资源和其他方面的情况考虑可能的审计风险,以此来确定项目的最大可行性。
(二)实施的过程
1.数据的获取和验证:
①在此过程中要注意到有关数据的真实完整和关联性。
②确保所获取电子数据的可转换性。
2.内容和方法:
①对数据进行转换,导入审计分析软件筛查审计疑点。
②对信息系统的具体流程进行重新操作,对其控制情况进行测试。
3.职业的判断
职业判断是计算机审计中重要的组成部分。在此之前因缺少判断的依据和标准一直是困扰大部分计算审计人员的难题。
(三)成果的利用
对于信息系统审计,在成果利用过程中,那些不符合或者是存在安全漏洞的被审计单位,要限期进行审计整改。
二、会计电算化对审计的影响
从二十世纪七十年代开始我国会计电算化开始发展,根据国家财政部门的要求,我国在各企业、事业、机关团体等逐步普及会计电算化。会计电算化不同于手工操作,手工操作处理出来的凭证、报表、账册等数据不仅存在模糊性还有不准确性,并且在查阅时不容易找到,而用计算机和人工结合的会计电算化不仅减少人员的工作量而且电子数据处理的精确度明显提高,和传统的相比,会计电算化更具有影响力。现今的会计电算化对审计有了更高的要求。但会计电算化也有其弊端,一些不法分子会通过计算机使审计的证据消失,缺少法律证明,经济犯罪频频发生,基于此情形我们要完善审计法规,让审计机关有章可循,同时也要借鉴国外的先进技术完善我国的计算机审计软件。电算化后审计人员检查的内容有可能被修改,可以看到的线索很少,而采用计算机审计技术后审计人员就可以通过网络远程实时审计,可以在海量的数据库中筛查审计疑点,提高了工作质量和效率。传统的审计是审计人员凭借自己的专业知识、工作经验和自己的判断力来进行审计的,随着计算机的普遍,审计工作也由传统的人与人、人与账之间的审计,变成人与数据库和财务软件之间的审计。审计人员如果不具备相当的计算机审计技术和能力,就有可能像原审计长李金华预言的“进不了被审单位的门,打不开被寂审单位的账”。
三、审计人员观念改变和素质提高
随着计算机和网络技术的飞速发展,会计电算化逐步代替了手工系统,而对于审计人员来说,应用计算机来进行审计也逐步成了一个趋势,因为更多的企业会计部门用计算机完成工作,所以审计人员必须要对计算机的硬件软件系统有全面的了解并且熟练的应用,如果不接受新形势下的改变,那么他们的工作也将变得寸步难行。当前我国的部分审计人员还不能完全适应计算机审计,对新事物接受的也比较慢,在做具体审计项目时自己不能完成的就会请相关的专家来帮助完成,但是一旦审计出错责任将还是审计机关来承担,这就增加了审计风险,审计质量也大大下降。因此审计人员要改变观念,提高对新经济形势下审计信息化的认识,提高自己的竞争观念,大胆创新,增强自己的职业责任感,刻苦钻研,要能熟练的操作计算机,灵活运用计算机技术进行审计,熟悉有关的法令、政策和相关制度,不断提高自己的专业知识丰富自己的工作经验。
四、总结
计算机审计是审计信息化的重要内容,它不仅使审计人员的工作量大大减轻,也让审计工作质量大大提高。现在和今后,计算机审计将会是审计机关和审计人员的一项日常工作,因为这是社会、经济和信息技术发展的必然。
参考文献:
[1]王曦晨.谈会计电算化条件下“绕过计算机审计方式”的弊端[J].审计理论与实践,2003(09).
【关键词】审计信息化 专业革新 课程建设
审计信息化的高效发展带来审计人才需求量的日益增加。国家审计信息化之后,审计署开展了计算机审计中级培训(AO培训)系列课程,提高国家审计人员的信息化应用水平。各地区、各办事处陆续开展了计算机审计培训和研发,比如国审财经节目报道的京津冀办事处对计算机审计工作的研究和应用,他们认为计算机审计是一个必然发展趋势,是审计的一个有效手段。审计信息化的发展不仅仅需要审计信息化研发人员,更多地还需要具有良好素养的审计应用人才。审计师首先要具备审计理论素养,略通计算机应用技术,掌握计算机审计软件的应用。赵天希在其出版的审计应用教材中提到审计人员不需要懂得数据库技术,但要懂得利用数据库技术配合审计软件做好审计工作。由于审计信息化在21世纪才在我国获得广泛发展,因此审计行业缺乏高素质的既懂审计知识又懂计算机技术的综合性人才。
一、计算机审计课程建设现状
针对审计信息化人才缺乏的现状和审计信息化的高速发展,各院校相继在相关专业开设了计算机审计课程。审计专业课程建设主要分为三大类:一是以计算机技术为主要依托的计算机审计专业,比如南京审计学院的计算机科学与技术(计算机审计方向)专业;二是计算机技术与审计理论并重的计算机审计专业,比如北京信息科技大学的审计学(计算机审计方向);三是以会计和审计理论为基础的计算机审计课程,该类课程开设在某一专业方向下,比如审计专业、会计电算化专业。第三种情况是计算机审计课程开设的主流,注重提升学生的审计自动化能力,提高审计人才的层次和素质,为审计专业人才或会计专业人才提供较为宽泛的就业领域。
二、专业课程建设的信息化导向
根据人才需求分析,审计自动化研发人员需求较少,而一般情况下的审计信息化研发工作由技术工程师和审计专业人才共同组成。审计信息化应用领域是在手工审计的基础上,借助计算机、网络技术使审计工作自动化,人才需求缺口较大,是审计专业课程建设的发展方向。计算机审计不仅使审计人员具备了审计能力,还具备了审计效率,计算机审计课程在各高校开设情况日益增多。计算机审计课程一般开设在审计专业学习的后期,它需要许多前导课程,比如计算机文化基础、基础会计、财务会计、会计电算化以及审计学等等,它具有深化和提升专业知识的能力。随着信息时代的发展,审计工作日发自动化,要求学生具备自动化审计能力,因此如何利用计算机完成辅助审计是一个重要的内容,是一个较高层次的审计追求。可见,审计工作的自动化促使审计专业课程建设的信息化,计算机审计课程建设将成为审计专业的课程建设导向。
计算机审计的发展是建立在会计电算化发展基础之上的,作为电子化条件下的会计人员需要具备应对计算机审计的能力。比如,审计人员索取财务数据时,会计人员需要提供数据文件,协助审计人员将数据传导到审计软件里。会计电算化人员只有具备一定的软件审计只是才能够配合审计人员审计,才能够有效地应对审计事务。因此,会计电算化专业在会计电算化核心课程基础之上,不仅仅开设审计课程,还需要有区别地开设计算机审计课程。
三、计算机审计课程建设
审计信息化课程建设是多方面的。首先,课程建设要符合专业人才培养方案,能够高效完成人才培养方案,提高学生就业能力的审计信息化课程建设才是成功的。其次,在课程设计上要合理,要在理论基础上加强实践运用,使学生能够有效利用所学知识解决实际问题,加强能力本位教育。再者,在教学资源建设和选择上要适合学生的层次,一般分为三个层次:完全自动化审计,半自动化应用审计,半自动化编程审计。完全自动化审计是利用已有模板的审计,比如审计大师、EXCEL审计模板;半自动化应用审计是利用已有软件菜单,对软件菜单进行编辑修改进行审计,出具工作底稿,比如审易、中岳;半自动化编程审计是利用系统编辑程序语言进行审计,比如OA系统审计。此外,还有教学方法、教学手段、课程设置等诸多问题,比如教学方法,可采用项目教学方法、案例教学方法、模拟教学方法等等,最终要实现教学做一体化的教学环境,有效使学生主动学习知识并加以应用。
建设好计算机审计课程,改革传统的专业课程设置,适应信息化审计需要,培养现代化审计人员,才能够适应我国审计行业人才发展需求。
参考文献
[1]刘世林.论我国审计人才需求和高校审计人才培养模式[J].审计与经济研究,2006(05).
[2]绕艳怒.计算机审计专业人才培养及教学问题研究[J].审计文摘,2009(01).
[3]扬霞光.审计信息化课程建设思考[J].财会通讯,2010(08).
[4]刘丽丽.审计信息化课程建设探讨[J].会计之友,2009(23).
[5]王承缴.高校审计信息化教学分析与创新[J].财会通讯(学术版),2008(12).
