计算机审计系统的诚信机制,本文主要内容关键词为:机制论文,诚信论文,计算机论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
计算机审计的一个重要特点就是审计程序的高度自动化,而自动化的程序执行的正确性取决于控制参数的设置,一旦作为自动化分析的基准值(控制参数)的默认设置完成,所有的交易就会按照这些标准来进行分析的。不论这些基准值的设置是否正确,符合基准值的交易都将会在没有进一步复核的情况下被系统所接受。因而一旦出现审计合谋或者审计师不具备专业胜任能力,控制参数就不能正确地设置,那么计算机审计系统就会变得非常脆弱。这种缺陷尤其是在管理当局与审计师合谋的时候更加引人关注,由于利益相关方具备操纵这些默认设置的能力,人们甚至会认为计算机审计系统还不如手工审计系统有效。而且,一旦审计师变更,可能导致下一任对前任审计通过的交易产生疑问。正因为如此,在计算机审计系统中内嵌诚信机制,来保证审计过程的公正、透明,方便后续的复核和监管,显得非常必要。这种诚信机制就是黑箱日志文件。
一、黑箱日志文件的概念
黑箱日志文件(Black Box Log File,以下简称BBLF)通常被称为审计黑匣子。传统意义上的审计黑匣子指审计师通过在被审计单位的信息系统中安置具有记录功能的程序模块,以对被审计单位的会计信息进行持续监控以获得相关审计证据。这种审计黑匣子实际上就是一种内嵌审计模块(EAM),其目的是获取审计证据,而不是一种诚信机制。作为审计诚信机制的审计黑匣子,与被审计单位的信息系统无关,它是会计师事务所计算机审计系统的一部分。BBLF是利用审计系统自身的审计和业务流程自动化以及两者之间的整合能力来记录审计的审计轨迹(Audit Trail of the Audit)的。在计算机审计程序高度自动化的时候,审计过程变得非常标准、可靠,其结果也往往让人信赖。但自动化控制参数设置正确与否却是关乎审计全局的问题,审计合谋的发生也往往是通过修改控制参数来实现。BBLF非常类似于飞机上的黑匣子,它能够采集影响审计的关键决策信息,同时,这种文件还具备安全、只读和可搜索的特征,可以实现手工环境下不可能做到的高效、详细复核,既方便了监管方的事后监管,也利于注册会计师行业内部开展同业复核。当然,BBLF并不能阻止审计舞弊或者不具备专业胜任能力的审计师执业的情况出现,但它可以起到一个事前透明、事后威慑的作用,从而可以一定程度上保证审计诚信。
当前第三方复核的主要数据资料是审计工作底稿。引入BBLF后,BBLF就取代审计工作底稿,成为第三方复核的唯一媒介。BBLF与审计工作底稿的主要区别在于:审计工作底稿的目的是为发表审计意见提供依据,BBLF的目的是作为一种诚信机制,方便监管和复核;审计工作底稿中的数据可修改,而BBLF具有一套完整的数据安全机制,能防止数据被篡改和破坏;审计工作底稿的数据不能通过相关程序进行查询,而BBLF具有一套高效的查询机制;从内容上看,BBLF包含的内容更加广泛,审计工作底稿的内容被整合在BBLF中。
二、黑箱日志文件的内容
要使BBLF能够真正发挥诚信机制的作用,它就应该包含一些与审计有关的重要内容,这些内容必须满足完备性和相关性的特征。所谓完备性是指所有与审计有关的关键决策都必须记录;相关性是指不是每个审计细节都要记录,只需记录与复核相关的事项。BBLF中的主要内容包括:各种账户发生额和余额、合同副本、审计测试的描述;所执行的审计程序,如分析性程序、细节测试、对各种计算结果的复算;与被审计单位有关的证明文件;从第三方获得的函证结果;审计小组的关键讨论;与被审计单位就会计处理、估计和调整的协商结果等等。BBLF还必须包含计算机审计系统中电子文件和数据库在不同时点的变化,这些不仅包括各类交易和主要数据,还包括系统各种参数设置的变化。
以上内容很多都可以通过计算机审计系统中的自动化记录程序来完成,但一些非结构化的信息需要由审计师通过人机界面来输入,如合同扫描副本,相关的证明文件等。人工输入必然存在信息风险,这时建立相应的安全机制(如用户识别,权限分配,记录用户添加信息的过程和时间等)就显得非常必要。BBLF还必须建立相应的索引,以方便记录查询和记录之间的交叉印证。
三、黑箱日志文件的组织
BBLF数据组织(如文件格式、数据获取)的设计,必须满足监管方和复核方高效查询的要求。如在美国,同业复核通常三年进行一次,因此,BBLF中存放了审计师事务所连续三年所有的业务数据,数据量非常庞大。没有一套高效的查询机制,BBLF也难以有效发挥作用。需要说明的是,BBLF中信息的完备性和相关性是保证监管、复核的效率和效果的必要条件,而不是相关条件。因为它要求建立一套自动化的查询机制,而查询机制的建立首先要求BBLF内容和格式的标准化。这时就要求建立相应的准则来规范,相关准则规定的越详细,BBLF的效用就越高。
BBLF数据组织的方式之一是根据不同行业和不同规模的企业设置相应的通用审计模板。通过审计模板记录相关信息,然后通过数据提取程序将这些数据存入BBLF。对于一些特殊业务项目,通常是在业务开展前建立。审计模版的数据记录依赖于手工,这时就必须有相应的自动化监控程序来保证数据录入的完备性和逻辑上的合理性,同时还要防止用户将文件错误归档。这些自动化的监控程序可以利用人工智能和自然语言处理技术来将归档项目自动分类,通过对各项目的语义匹配来识别和恰当地标记重要审计决策。
当前有很多技术可以用于BBLF的组织,如利用平面文件(Flat File)系统或是应用主流的数据库管理系统。BBLF实施面临的一个技术挑战是,如何将文件中所包含的体积庞大的二进制目标,如冗长的Excel电子表格或者纸质文件的扫描图像保存到BBLF中。这些文件是BBLF必不可少的内容之一。因为某些审计程序可能会产生这种形式的结果;某些外部相关方的系统可能会提供这种类型的文档证据;某些特定的证据通常只能以纸质的形式获取,因而只能以扫描图像的形式保存。这就要求开发相应的搜索程序以有效搜索BBLF中各种类型的数据。
四、黑箱日志文件的安全
BBLF的有效性取决于它的诚正性(Integrity)、安全性(Security)和机密性(Confidentiality),这些都属于BBLF的安全性特征。BBLF必须具有内容上的隐私性和安全性,要避免受到非法入侵。同时,BBLF的只读特征非常必要,应通过严格的防篡改程序来让审计师直接往里边添加信息。此外,还必须制定相关的法规来保证BBLF的机密性。这些法规必须明确参与方中的哪些人、在什么情况下可以访问BBLF。计算机审计系统也要根据保密条款提供访问控制程序,这些访问控制程序可以利用基于角色(Role-Based)的方法来安排复杂的保密政策。
为了保证BBLF的诚正性、安全性和机密性,通常可采用三种方式:
方式一:将BBLF一次性写入记录媒介(如只读CD),数据未经任何形式的加密。为了防止记录媒介遭到物理毁坏,必须安排相应的管理方进行管理。BBLF的管理方必须是独立的第三方,如同业复核机构、证监会或者专业的IT托管公司等。事务所可以周期性地提交记录媒体,或者通过网络的方式在线提交。
方式二:由于BBLF中的数据都是与会计师事务所有关的业务数据,属商业机密。为了保证数据的机密性,在传送给管理方时可先对数据进行加密,然后将加密后的BBLF传递给管理方,而密钥则保存在事务所手中。这种方式可以保证数据的机密性,但是一旦事务所丢失密钥,管理方也没办法恢复数据。
方式三:会计师事务所不向管理方传递BBLF,而只传递BBLF的数据签名。事务所通常以BBLF为整体计算数字签名,或者将BBLF分解为不同的部分,再根据不同部分计算数字签名,然后将数字签名传递到管理方。一旦监管方或者复核方需要提取相关数据,则将保存在管理方的数字签名和根据保存在事务所的BBLF计算后的数字签名进行比对,即可验证BBLF是否遭到篡改。这种方法操作简便,成本较低,但不能防止日志遭到物理破坏。
在实际操作中,可根据各事务所对保密性要求程度、信息系统控制完备性等情况进行选择。如果对数据保密性要求很高,但信息系统内部控制不完备,则可采用方式二;若信息系统完备,又讲求经济性和实用性,则可采用方式三。如果管理方的诚信度非常高,也可采用方式一。