谈持续审计的技术支持问题,本文主要内容关键词为:技术支持论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、持续审计概述
随着信息技术的发展,人类社会开始迈入经济知识化和全球化的新时代,信息技术成为组织发展的主要驱动力,企业等经济组织对信息及时性的要求越来越强烈,从而对审计信息的时效性也提出了更高的要求。为了适应信息社会的发展需要,持续审计(也称为连续审计)应运而生。
国外的社会职业团体、审计学术界和实务界都积极投入对持续审计的研究,取得了一系列的研究成果。其中最有代表性的是1999年美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)联合发布的研究报告《持续审计》。该报告讨论了持续审计的性质、目的、范围和基本原则等重要问题,并指出了持续审计的实施条件。这些实施条件中有很大一部分是基于技术要求而提出的,如:①审计程序应能高度自动化地截取和处理数据,以获取必要的审计证据,且在短时间内生成高度可靠的报告信息,因此要求精确定义反映审计对象的数据以及数据之间的定量和定性关系;②对任何异常现象应采取自动的报警触发程序并及时生成例外报告;③自动化审计程序需要在不同程度上与企业信息系统集成,自动审计过程应成为审计人员现场审计的有益补充;④应在企业与审计师之间建立有效的网络联接,以及时向审计师提供自动化程序下形成的审计结果;⑤应有恰当的安全保障措施,有效防范未授权的篡改。可以看出,持续审计的发展克服了传统审计报告的时滞性缺陷,大大提高了审计信息的时效性。但是,持续审计的应用还必须解决技术支持问题,包括网络技术、软件、硬件等各方面。只有满足了这些必要的条件,持续审计的实施才具有可行性。
二、建立可靠的持续审计基础系统
持续审计的成功实施依赖于可靠的基础系统。所谓基础系统,是指持续审计指向的目标系统,也就是被审计单位的信息系统。
首先,持续审计的实施要求被审计单位建立信息技术平台,实现企业信息化管理。实行企业信息化管理的第一步应是实现基础管理信息化,通过对企业基本资源的信息化,完善企业的基础管理;第二步是实现企业业务管理信息化,譬如通过建立企业资源计划系统,整合企业管理理念、业务流程、基础数据、人力、物力、计算机硬件和软件,实现业务集成;第三步是考虑企业间的合作,利用外部资源,进行供应链合作,实现业务效率最大化;最后是形成一个更为广泛的电子商务社区,实现更加协调的商业运作。
其次,持续审计的实施要求被审计单位信息系统必须是可靠的。根据信息系统认证Sys Trust准则的要求,可靠的信息系统应该满足四个原则,即有效性、安全性、完整性和可维护性。其具体内容为:①有效性,是指根据持续审计实施的基本要求,提供可操作及可使用的目标系统;②安全性,是指目标系统应有足够的安全防范措施,保障数据和程序不受非法侵害;③完整性,是指目标系统能够确保所作的会计处理是完整、正确、及时且经授权的;④可维护性,是指目标系统可以维护更新,持续提供服务,以满足系统有效性、安全性和完整性的要求。
三、获取数据信息并进行数据处理
在目标系统满足可靠性的基础上,从目标系统获取数据并进行数据处理则是持续审计实施的关键步骤。
首先,审计人员需要了解被审计单位数据结构,建立数据通道,取得授权协议,利用持续审计应用程序从被审计单位复杂的信息系统中获取和传递数据。被审计单位的数据通常被储存在不同的数据平台和系统多维数据库的多重地址中,有些数据还是高度相关的。复杂的数据平台、分散的物理地址都会对处理程序产生影响。审计程序必须能够快速进入任一计算机平台,读取不同格式的数据。企业中的各个业务部门的数据管理者不仅能提供关于数据定义、文件排列的基本信息,还能确定供审计测试用的关键数据,审计人员应该取得他们的支持与合作。
其次,为被审计单位的业务部门建立数据仓库和数据集市,从而进行数据处理。数据仓库和数据集市是两个紧密相关的概念,数据仓库是指支持管理决策过程的,面向主题的、集成的、稳定的、不同时间的数据集合。数据仓库从整个企业的所有应用系统中收集数据,但它与数据库并不完全相同,只有被认为会影响审计风险的事项在经过选择后才会被收集并储存在审计数据仓库中。而数据集市比数据仓库要小,它仅包括一个应用领域(如会计、营销等)的数据,并且是一套标准的转换数据,它包含关于原始交易和ETL处理(数据的获取、转换和加载)的完整信息。根据业务部门之间的关联程度,每个部门都可以有自己的审计数据集市,如果几个单位关联性很高并共同使用一个数据库,它们也可以共享一个单独的数据集市。数据仓库和数据集市能够在进行系统处理的同时收集证据,财务数据和相关审计证据只需采取一种格式就可以方便地应用于不同的审计工作中。
实践中有很多因素导致了进行数据处理时对数据仓库与数据集市的需要,例如不同数据库的时间差异、企业级数据完整性和一贯性的缺乏、数据定义和业务规则的不准确与不完整、审计线索的不完整、对进入企业信息系统的限制等。审计人员可以利用计算机网络系统,为每个业务单位创建审计数据集市,并将获取的数据储存到一个审计数据集市用于测试和分析。利用数据仓库和数据集市获取并进行数据处理的基本运作原理如下图所示。
数据仓库和数据集市的运用
需要注意的是,在获取和处理数据过程中,审计人员应该保证获取和处理数据的及时性。在持续审计方法下,进行审计测试所采用的证据主要是以电子形式存在,而电子证据通常只会在某个时间段存在,过了特定时间之后,如果文件被更改或备份文件不存在,这些证据就无法再获得。因此审计人员在收集和处理电子证据时应该考虑其存在的时间,做到及时获取数据并进行数据处理。
四、审计师系统与被审计单位系统有效联接,建立可靠的互联系统
随着计算机信息技术尤其是互联网技术的发展,审计师和被审计单位的计算机系统或操作平台都可以轻易实现网络联接,可在标准化的基础上建立审计师系统与被审计单位应用系统如财务系统、核心业务系统之间的数据接口。为了实现有效联接,该数据接口必须具有较强的可伸缩性、可靠性和可定义性。
同时,在审计程序使用和进入被审计单位经营系统数据库时还必须确保审计技术和被审计单位的信息系统相互兼容,认真考虑数据大小、网络交易量等因素,保证系统的运行效果不受影响。
五、高度自动化的持续审计程序
在持续审计环境中,审计工具会被更加频繁或者持续的使用,可能在指定的时间之前或者在某个事件发生后就会使用持续审计工具,因此持续审计程序必须是高度自动化的。
目前实务界已开发的诸多审计技术都具有持续审计功能,如综合测试工具、平行模拟法和嵌入审计模块,这些技术都可以在交易或者事项发生的同时运用。其中,综合测试工具是对系统进行评价的比较具有代表性的审计技术。运用这种方法时要在应用系统数据库中建立一个虚拟实体,如虚拟的部门、职员或者存货项目。在正常操作中,将测试数据和真实业务数据一同输入被审计单位应用系统,利用综合测试工具将应用系统对测试数据处理的结果同预期结果进行比较,从而确定被审计系统的处理和控制功能是否恰当、可靠。平行模拟法是指审计人员自己或聘请计算机专业人员编写和被审计程序具有相同处理控制功能的模拟程序,用这种程序重新处理以前已经由被审计程序处理过的各种交易,并将处理结果与被审计程序处理的结果进行比较,从而判断程序处理和控制的质量。嵌入审计模块是指审计师在被审计单位的会计信息系统中安装具有记录功能的程序模块,对被审计单位的信息系统进行审计,并直接获取相关的审计证据。
随着科学技术的进一步发展,审计工作中还会使用专家系统和神经网络技术。专家系统可以模拟人力专家解决问题的方法,通过计算机软件模型有效率地获取知识,适合复杂的决策过程。神经网络技术通过模糊或不完全的信息模拟人脑,识别模型或者预测产出,还可以通过选择数据进行程序决策,巩固未来决策的知识基础,在技术上更加先进。专家系统和神经网络技术经常用于比较重要的项目,如判断组织是否会破产、检测是否存在信用卡舞弊等。
同时审计软件开发也在快速发展,有一些软件供应商已经开始提供实现自动化程序的审计技术和软件。例如,加拿大ACL公司、Caseware公司都已经开发了针对核心经营业务的持续审计软件,目前运用的领域主要有职责分离、总分类账、存货以及固定资产等。
值得一提的是,我国软件供应商也逐渐由定期审计软件的开发转向持续审计软件的开发,其中比较具有代表性的是金长源审计实时监控系统。它通过实时自动化采集企业内部的经营数据,并在预设的监控方式(实时监控)下采集数据,形成监控报告,实时反映企业内部发生的问题,实现事前预防和事中控制,为企业提供了一个完善、高效的审计信息化系统和审计操作平台,也为实地或现场审计提供了有力的支持。除了软件供应商开发的持续审计软件以外,会计师事务所也开始参与软件开发,例如安永开发的NexGen工具、Advisor及Director工具。
值得注意的是,上述自动化审计程序必须是高度可靠的,根据SysTrust准则的要求,应具有效性、安全性、完整性和可维护性。其具体内容为:①有效性,指自动化程序执行审计和提供报告的有效程度,在运行中必须确保其高度的有效性;②安全性,指自动化程序应该配备恰当的控制功能以确保其数据和程序不被破坏,一旦检测到未授权的侵害或可疑的情况,立即触发报警程序向审计师报警,或向外发布警示信息;③完整性,指自动化程序完整、准确、实时地获取、存储、归集和报告与被审计委托项目相关的信息的能力;④可维护性,指自动化程序可以根据实际情况的变化及时修正,例如更改程序中设定的详细规则,修正程序中原先设定的不适当的初始值,而设定新的初始值。
六、及时传递准确的审计报告
根据AICPA和CICA对持续审计的定义,持续审计是“一套审计方法”,这表明持续审计方法贯穿于审计活动的全过程,包括审计计划、风险评估、控制测试、交易测试和余额测试以及审计报告等,因此在研究持续审计的技术支持时我们应考虑审计报告的传递。
这里需要注意报告传递的两个要求,即及时和准确。审计师通过自动化软件对被审计单位的业务系统进行持续测试,不断更新信息和审计报告,将持续更新的信息和审计报告通过网络传送给经授权的使用者。利用互联网的功能,任何一份审计报告都可载入网站,供经授权的需求者及时审阅。因此,审计报告的及时传递已经不难实现。
但是要实现审计报告的准确传递并不容易,因为影响审计报告准确性的因素有很多,如系统功能、系统可靠性及审计人员使用计算机的熟练程度等。因此需要审计师深入了解并测试系统功能、了解系统的可靠性、控制管理系统确保信息流通顺畅并且能及时获取、更新与储存数据,确保审计报告内容的及时与准确,这也体现了对审计师素质的要求。
概括来说,为了实现审计报告的及时和准确传递,在实施持续审计的过程中相关各方(包括审计师、被审计单位以及信息使用者)之间的信息传递至少应具备以下特性:①授权性,即只有经授权的用户才能接收所传送的信息,这可以通过使用防火墙、口令和生物识别装置如指纹识别等来解决;②保密性,可通过加密技术保证所传递信息的保密性;③完整性,通过采用完整性检查或其他技术保证所传递的信息不被截取或篡改;④鉴证性,可以通过数字签名、请求回应等技术鉴证相关各方之间的通信行为,保证信息的合法传递。
标签:审计师论文; 审计报告论文; 审计软件论文; 数据集市论文; 审计计划论文; 审计质量论文; 会计与审计论文; 审计方法论文; 审计目标论文; 数据单位论文; 审计准则论文; 审计职业论文;