计算机审计技术汇总十篇
计算机审计技术篇(1)
二、计算机证据
要理解运用计算机审计技术的必要性,需要对计算机证据的特征有一个清晰的认识。
1.什么是计算机证据
关于计算机证据的概念,目前在学理上并没有统一的认识,存在着多种观点,比较为大众所认可的有两种观点。其中一种观点认为,计算机证据为计算机产生的证据(Computer generated evidence),而另一种观点则认为计算机证据应该表述为计算机相关的证据(Computer-related evidence)。
计算机产生的证据是指计算机根据程序指令对输入计算机的数据进行处理,然后输出形成的记录文件。它的表现形式有两大类,一是直接输出到纸张或其它多媒体输出设备(如显示器、扬声器等)上;二是存储到计算机的存储设备(如磁盘、磁带、光盘)上。
计算机相关的证据可以认为是广义的计算机证据,除了计算机产生、存储的信息之外,还包括计算机模拟结果以及计算机系统的测试结果。所谓计算机模拟,是指在诉讼中利用计算机对已经发生的行为、事件或条件进行模拟,提供研究的结果,揭示事物发展的可能性。计算机系统的测试结果,是指在相同或相似的情况和条件下对计算机系统本身的可靠性进行测试,以证实计算机系统是可信的。
本文探讨的是第一种观点,把计算机证据定义为:计算机系统运行过程中产生的或存储的以其记录的内容证明案件事实的电、磁、光信息,这些信息具有多种输出表现形式。
2.计算机证据的特征
计算机证据作为一种诉讼证据,是现代计算机技术迅速发展的产物,具有十分鲜明的特征。虽然在我国的诉讼法中将计算机证据归类为视听资料,但在实质上,计算机存储的信息与录音、录像等其它视听资料存在着质的区别。
在此,我们仅讨论计算机证据最本质的特征,即计算机证据的脆弱性。计算机证据的脆弱性指计算机信息很容易被修改,并且修改后不会留下任何痕迹。计算机数据处理技术有一个优点历来是为人们所称道的,这就是不留痕迹的修改。但这个为人所称道的优点却成为困扰计算机安全专家和法律专家的棘手问题。例如,当怀疑一个嫌疑人篡改了计算机系统的数据时,如何证明数据确实被改动过,被改动的是哪一些数据,是什么时候修改的,是通过什么途径修改的,等等。
对于书证的伪造或变造,利用已经成熟的检验技术是能够比较容易地发现其伪造或变造部分的;对于录音、录像等其它视听资料的删节、剪接所造成的失实,也是可以鉴定查清的,在科学技术不断发展的今天,声纹鉴定技术也已经相当成熟了。
从本质上看,计算机证据与文书证据有着天壤之别。即使是录音、录像等视听证据,与计算机证据也有着本质的区别。在电子技术领域,录音、录像资料是对声音、图像的记载,记录的是模拟信号;而计算机信息是用二进制数据表示的,即所谓的数字信号。连续变化的物理量之间的任何变化,在理论上说都是可以再现的;但是非连续的数字信号却不具有这种特性。
计算机数据的载体是电脉冲和磁性材料等,如果计算机系统被窃听或非法复制,对计算机的数据表示几乎没有影响;如果计算机数据被改变了,从物理表示上,也只是集成电路的电子矩阵正负电平或磁性材料磁体的方向发生了变化,如果不做数据的互相对照,这种物理的变化用户是根本感觉不到的。
3.计算机证据的证据价值
在我国诉讼法和证据学理论中,承认计算机产生和存储的信息可以独立发挥证明案件事实的作用。但是一个计算机证据是否具有证明力,取决于它是否具有相关性和客观性。所谓相关性,是指证据与案件事实之间有着某种逻辑的联系。所谓客观性,是指证据来源于客观事实本身,不是任何猜测、幻想、梦境和虚构的内容,而且没有被篡改过,这是证据首要的本质的属性。
也就是说,计算机证据要完成其证据的使命,必须被证实是真实可靠的。但是,由于计算机数据的脆弱性(修改后不留痕迹),要想在计算机系统被攻击之后收集到真实可靠的攻击证据,其难度是相当大的。因此,为了保证在计算机系统被攻击后能够获取有效的证据,最有效的方法是对计算机系统的所有活动实施监视和记录,当计算机系统受到攻击时,这些记录就成为计算机证据。计算机审计技术的运用使这种设想成为现实。
三、计算机审计技术
1.计算机审计概述
计算机审计技术就是在计算机系统中模拟社会的审计工作,对计算机系统的活动进行监视和记录的一种安全技术,运用计算机审计技术的目的就是让对计算机系统的各种访问留下痕迹,使计算机犯罪行为留下证据。计算机审计技术的运用形成了计算机审计系统,计算机审计系统可以用硬件和软件两种方式实现。计算机系统完整的审计功能一般由操作系统层次的审计系统和应用软件层次的审计系统共同完成,两者互相配合、互为补充。
计算机审计系统应该具有监视功能和检测功能。监视功能是指审计系统通过监视对计算机系统的所有操作,为入侵计算机系统的犯罪侦破和犯罪审理提供线索和证据,一个良好的审计系统还可以协助发现潜在的入侵者;检测功能是指审计系统能够检测程序的真实性、完整性和可靠性,判断程序是否已被篡改、是否处于正常的运行状态中。
独立性是审计工作的本质特征,计算机审计的独立性具体体现在以下两个方面:(1)不管是在操作系统中还是在应用软件中,审计系统都应作为一个独立的子系统而存在。(2)设立工作独立、行为自主的计算机系统审计员。审计员是特殊的计算机系统(安全)管理员,只有它才能控制、管理、使用审计系统。审计员的行为不受任何其它计算机用户的控制和干扰,包括计算机系统(安全)管理员。
审计系统把对计算机系统的所有活动以文件形式保存在存储设备上,形成系统活动的监视记录。监视记录是系统活动的真实写照,是搜寻潜在入侵者的依据,也是入侵行为的有力证据。监视记录本身被实施最严密的保护。在保护监视记录的问题上,应该坚持独立性的原则,即只有审计员才能访问监视记录。
目前常用的操作系统包括网络操作系统如NetWare、Windows NT、UNLX等,均提供了审计功能。操作系统提供的是面向整个系统的审计功能,不足之处是不可能考虑到各种应用软件的具体情况,不能很好地满足各种客户的需要。操作系统的审计功能既成定局,难以改变,但计算机用户可以根据应用软件的特点和自身的需要,设计出有针对性的应用软件审计系统。下面将介绍一种应用软件审计系统的设计思想。
2.应用软件审计系统的设计思想
虽然本文所探讨的是证据的问题,但是有些功能(例如报警功能以及一些与分析潜在入侵者相关的功能)是审计系统所必备的,下面也一块列举。
(1)监视记录的设计
监视记录的内容包括:用户标识;(在网络上使用时)使用软件的设备地址;使用软件的起止时间;调用的子程序及调用子程序的起止时间;访问的硬件设备及访问的起止时间;使用软件过程中访问的文件和目录,访问的类型(创建、打开、关闭、读、写、拷贝、删除、重命名、运行等)以及访问的起止时间;针对文件数据的操作,包括读、增、删、改、复制等操作以及操作对象在文件中的具体位置;对软件参数的修改。
对于每一项活动,监视记录还应该记录该项活动成功还是失败,活动引发者对于该项活动的有关授权状态,地址空间的使用情况。
(2)监视模块的设计
设计的监视功能包括:
①监视整个应用软件的活动,并提供详细的监视记录,使所有活动留下线索。
②允许选择特定的监视对象,这项功能可以在现有证据不充分的情况下,令审计员可以实施重点监视,更深入、详细的取证。特定的监视对象可以是文件、目录、打印机、磁盘、计算机、用户等。
③在一定程度上检测和判定对系统的入侵和入侵企图,提供报警信息并能实施必要的应急措施。例如,如果发现某个用户连续多次不成功进入系统或某个敏感子程序,应立即向安全控制台报警,甚至锁住该用户的帐号等待进一步的调查。
④提供对监视记录的以任何项目为关键字的查询及各种组合查询,多方面满足审计员的审查需要。
⑤报警参数管理。审计员可以通过报警参数管理功能,设置需要实时报警的事项。
⑥监视记录文件的维护。随着时间的推移,监视记录文件会不断地膨胀,因此,有必要提供对监视记录文件的各种维护处理,如转存、拷贝等。
计算机审计技术篇(2)
一、引言
计算机技术的发展使整个社会的经济结构发生了巨大的变化,审计作为一项具有监督经济社会功能的职业,必然会受到相当大的影响,审计信息化便是审计工作在信息化时代下的产物。审计信息化改变了审计对象、审计内容、审计方法和审计范围,传统的审计技术和方法已不再适用,在计算机技术的推动下,审计信息化得到了迅速的发展。
二、计算机技术对审计信息化的积极影响
1.加速了审计信息的交流
经济的快速发展促进了企业间的合作,而企业透明良好的财务信息是企业间开展良好合作的基础,审计信息便是可以最直观反映企业经营状况的媒介。审计信息化背景下“无纸化”的审计信息可以打破传统审计方式下信息交流的时间地域性限制,同时计算机技术的发展实现了高效的数据处理,满足了审计信息化的全方位要求。此外计算机网络技术的发展可以使信息更高效的资源共享,使企业的审计信息可以更好的进行企业间、政府公众范围内的双向交流。
2.优化了审计核算的方式
审计信息化背景下的审计核算信息皆以虚拟化的电子数据形式进行存储,对数据进行处理,对项目进行核算都需要依赖于网络和数据库。计算机技术的发展使数据处理功能逐步提升,为审计核算提供了便利。例如大数据技术的成形,可以帮助更快的进行审计核算工作,可以更完善的进行多维度的项目审计核算。
3.避免了人工审计的失误
计算机技术的发展促进了审计信息化的普及,而审计信息化的应用可以更有效的避免由于人工计算能力与信息的整合能力缺陷所造成的审计失误,也可以避免由于审计人员对审计项目的主观情绪而造成的审计偏差。
4.帮助应对多元化的审计市场
随着社会经济的发展,审计对象的业务变得越发的复杂,针对不同行业的审计业务,需要有不同的审计方法。如何在不同行业的海量数据中寻找审计线索,如何将非财务数据转化为审计数据,如何判断不同行业不同会计信息系统处理过程的合法性、准确性和完整性,这些对于传统的人工审计方法而言都是巨大的挑战。在多元化的审计市场中找寻针对不同行业的不同审计方法必须依赖于计算机技术,计算机技术的发展加速了数据的处理和整合,为审计人员分析项目提供了可靠的参考。
三、计算机技术对审计信息化的消极影响
1.隐藏了审计线索
审计人员在进行审计工作时依赖于寻找审计线索发现问题。而审计线索通常存在于公司企业的各类报表中,审计人员依此对企业进行实体财物监盘,判断其经营活动是否合法。而计算机技术的发展应用将审计线索隐藏成了不具可视性的电子数据,审计人员很难判断数据的真实合法性,因而难以发现疑点。同时电子化的数据信息更容易被不留痕迹的篡改,审计人员跟踪审计线索难度加大,审计风险加大。
2.对审计标准、准则提出了挑战
国外审计界对审计人员标准、现场审计标准、审计报告标准、职业道德规范等已建立了较完善的一套审计标准和准则,而我国在审计信息化领域起步较晚,针对信息化审计的相关制度法规仍有待完善。随着计算机技术的发展,审计信息化的内容变得更加复杂多样化,已颁布的法律法规难以满足当下审计工作的要求。很多审计人员在进行信息化审计的工作中,仍有概念模糊,方向不明等问题,审计人员的各行其是必然加大了审计风险,不利于审计信息化的推广应用。
3.增加了对审计内容的检查
由于计算机技术的应用,审计内容会发生一定程度的变化。审计人员不仅需要对审计资料本身进行审查,还需关注计算机信息系统的处理过程是否正常运行,检查计算机程序是否能够按要求完成审查指令,核实审计应用程序是否被非法嵌入舞弊程序或被人改动等相关事项。这在一定程度上增加了审计人员的工作量也增加了审计难度。
4.对全方位人才的需求更高
随着计算机技术的发展,审计信息化已经不再是单纯的记账审计出报告。审计人员需要在拥有审计技能的同时具备良好的计算机素养,灵活的运用计算机技术进行审计工作,这就对全方位审计人才提出了更高的要求,人才不到位,审计质量自然无法提高。
四、消除计算机技术对审计信息化消极影响的建议
1.推动技术进步,优化审计信息化的操作流程
由于技术的限制,软硬件系统的制约,目前审计信息化在操作上还不能达到简单方便的目标,许多审计操作流程过于复杂,不具备一定计算机技术基础的审计人员难以进行高质量的信息化审计作业。因此需要大力推动技术进步,研发更友好的审计软件,帮助审计从业人员更方便的进行上手操作。
2.提高计算机审计软件的质量与实用性
针对审计信息化中审计线索被隐藏的问题,需要对计算机审计软件进行升级改进,使其更加智能化,具有更好的功能去帮助审计人员追踪审计线索,发现审计问题,规避审计风险。优化审计软件的关注重点,使其不仅仅局限于数据处理,而更加倾向于人工智能,成为审计人员的可靠帮手。
3.建立健全完善的信息化审计法规政策体系
随着计算机技术的发展,审计内容越来越复杂,只有不断的总结经验,吸取教训,开拓创新,形成一套完善的审计信息化准则规范体系才能为审计工作奠定具有指导意义的法律法规基础,才能最大程度的明确人员职责,减少审计内部争议,降低审计风险。
4.加大相关复合型人才的培养
一是政府和学校需要将计算机辅助审计技术列入财务领域课程教育的主修课程表中,加大对相关课程建设的教育资金投入,帮助学生树立正确的职业观。二是社会和企业需要大力开展计算机辅助审计技术的继续教育,加大对复合型人才培养的鼓励政策,帮助在岗的审计人员进行“充电”,使其能够更好的掌握计算机辅助审计技术,及时提高工作质量,满足审计工作的需要。
参考文献:
计算机审计技术篇(3)
[关键词]
审计;会计电算化;计算机技术
引言
计算机辅助审计就是在会计的审计工作中,以计算机作为辅助工具来逐步替代传统的以手工方式对会计业务进行分析与处理的手段,计算机辅助审计在一定程度上可以根据一定的规则对会计数据进行搜集、提取、分析和预测等,还可以辅助企业的决策层指定相关的经济政策。在计算机辅助审计系统中,企业的会计数据不是以纸质的方式进行存储,而是存储在数据库中,这样方便对数据进行管理与更新。
在国内外,利用计算机进行数据分析和处理的技术具有较长的发展历史,但是在上个世纪90年代以前,由于受计算机数据处理能力的限制,技术人员进行数据采集和分析的主要目的是用于科学研究,此时审计人员还没有意识到利用计算机进行辅助审计。但是,随着企业审计业务复杂程度的不断增加,以及计算机技术和网络技术的迅速发展,很多企业都在追求实现业务的自动化处理,越来越多的辅助审计。
1、会计电算化的演变过程
在计算机发明产生以前,一般企业内部的信息处理最开始是以手工处理的方式进行的。一个企业的财务会计部门,通过不同岗位之间的分工协作,将日常经营活动中产生的财务资料进行分工加工处理,形成企业内部和外部需要的各种纸质会计信息。这种情况下的审计方式毫无疑问是手工的形式且工作量十分的大,工作内容相当复杂。随着计算机信息的普及尤其是微型计算机的大众化,一些企业开始用计算机来处理部分财务会计资料。
随着网络技术的发展和普及,计算机已广泛应用于企业基建建设、生产管理、营销服务、财务会计、人力资源、设备存货等各个领域,从而使得企业信息化程度不断提高,企业的生产经营运作、工程建设流程、会计账务处理等均具有了网络化的新特点,基于工作流和ERP技术的企业信息系统的高度集成逐渐引起了人们的重视。此时,财务管理模块已经发展成为企业信息系统中的一个十分重要的组成部分,注册会计师必须在规划和执行审计工作时对企业信息技术进行全方面的考虑。
2、计算机技术和财务报告的关系
基于计算机技术的各种信息处理系统可以为企业创建、记载、处理和报告各项经营交易活动,以衡量和审查自身的财务及经营业绩,并可以持续记录企业资产、负债及所有者权益。具体来讲,创建是指企业可以采取手工或自动的方式来创建各项交易信息的方式;记录是指信息系统识别并保留交易及事项的相关信息;处理是指企业可以采取手工或自动的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整;报告是指企业以电子或打印的方式,编制财务报表和其他信息,并运用上述信息来衡量和审查企业的财务业绩及其他方面的职能。
因此,注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量,而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以,注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问权限制等四个方面。
3、信息技术对审计过程的影响
信息技术在企业中的应用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求及观念,基本审计准则和财务报告审计目标在所有企业经营情况下都适用。但是,注册会计师必须更深入了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响,主要体现在以下几个方面:
(1)对审计复核的影响
大多数情况下,计算机审计仅仅提供审计的线索,其结果不能像手工审计复核那样直接作为审计证据,有着很大的差异。计算机审计复核方法主要有两种,一是对计算机审计人员的作业文档进行复核;二是对计算机审计的线索进行核实。第一种方法是主动的、预防性的,但对复核人员的要求较高;后一种方法是被动的、矫正性的,能够帮助计算机审计人员发现其数据中的错误。一般情况下,审计人员常常同时采用上述两种方法进行事前、事后两个阶段的计算机审计复核。
(2)对审计内容的影响
在信息化条件下,由于信息化的特点,审计内容发生了相应的变化,在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动处理的,信息系统的特点及固有风险决定了信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。
(3)对注册会计师的影响
信息技术在被审计单位的广泛应用要求注册会计师一定要具备相关信息技术方面的知识。因此,注册会计师要成为知识全面的复合型人才,他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能,还需要熟悉信息系统的应用技术、结构和运行原理,有必要对信息化环境下的内部控制做出适当的评价。
4、常用的计算机辅助审计技术
目前,比较常用的计算机辅助审计技术包括平行模拟技术、嵌入审计模块技术和通用审计软件技术。其中,平行模拟技术对专业知识的依赖程度主要是取决于被审计系统的复杂程度,而且审计人员可以在不需要被审计单位影响的条件下获取输出信息,对审计数据的影响比较小;嵌入审计模块技术是一种动态审计技术,它对审计数据的影响比较大,而且依赖于被审计单位;通用审计软件技术是一种静态的审计技术,这种技术使用比较方便,不需要很强的专业知识背景,但是在获取一些比较复杂的特定结构数据时需要计算机专业人员的支持。
参考文献:
[1] 冯晓飞.浅谈网络时代审计的变化[J].商场现代化,2012,(18):9191
[2]王建康.对计算机审计的初步探讨[J].科技信息,2012,(33):130130
[3]安宁.计算机审计实施中存在的问题与解决对策[J].高等财经教育研究,2012,(4):8789
[4]赵湘桂,朱联祥.知识经济与会计创新[J].重庆邮电大学学报(社会科学版),2002,14(1):5153
作者简介:
计算机审计技术篇(4)
1.计算机辅助审计技术的使用有助于提高审计工作的效率,降低审计成本。它的运用既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来。计算机的优势在于能对数据进行高速、正确地运算处理,目前奔腾Ⅱ处理器的运算速度已达到上亿次每秒,而审计工作的对象正是以数据为基础的财务及其他资料,因此正可利用计算机的高速、正确性来辅助审计,以提高审计工作的效率,降低审计成本。另外,许多手工审计方式要求审计人员做大量冗长乏味的计算工作,在某些情况下,可以运用计算机辅助审计技术使这些步骤达到自动化,而审计人员可以集中注意于那些需要专业判断的部分。
例如,对企业材料成本差异的核算进行复核。由于材料成本差异核算具有连贯性,某一月的材料成本差异率的错误会影响到以后所有月份差异率的数值,若审计人员发现企业某一月的差异率有误,用手工的方式对以后月份的差异率作重新计算是非常繁琐的,而采用计算机辅助审计技术只需输入当年年初的差异率和每月材料的借贷发生额(剔除每月材料所摊的差异),在Excel等应用软件的帮助下即可对企业全年每月的材料成本差异率和差异额进行重新复核,在企业将材料分类进行差异率核算的情况下,该方法正是“一劳永逸”,更显方便。
2计算机辅助审计技术的使用可帮助审计人员扩展审计的范围。目前企业会计电算化日趋普及,其所应用的会计电算化软件也多种多样,根据国家有关法规规定,商品化会计电算化软件必须符合一定条件并通过鉴定,但在实际应用上亦存在种种以书面资料为审计对象所无法解决的难题。例如,有的企业采用的是自行开发的或其他尚未通过鉴定的会计电算化软件,其本身可能存在一定缺陷,不能或不能充分以书面形式提供审计所需的资料,有的企业采用的软件虽然经过了鉴定,但在使用时由于操作或其他原因亦存在同样的问题。而通过计算机辅助审计技术可以直接对企业全部的会计资料进行审计,无论其资料是以书面形式保存还是储存在计算机系统的磁媒介或其他储存器中。由此,计算机辅助审计技术可使审计的范围由书面向其他媒介扩展。
3计算机辅助审计技术具有相当大的机动灵活性。在企业采用会计电算化的情况下,运用该技术能使微型计算机在一位审计人员的控制下就能对会计事项进行全面、迅速、经济、有效地分析。而目前便携式计算机的广泛使用、应用软件的推陈出新更使计算机辅助审计如虎添翼,更灵活、方便地应用于各种场合、各种状况。
二、计算机辅助审计技术应用的范围及方法
1评价企业采用的会计电算化软件的内在风险
对采用会计电算化的企业,审计人员首先要评价软件的内在风险。目的在于确定审计人员依赖这些软件控制的程度,以减少为检验系统执行而进行数据实质性测试的范围。经评价验证,在内在风险较低的情况下,更可缩短审计时间,减少审计成本。具体方法有:
A分析系统的方法。具体操作为:先剔除会计电算化软件中较多的数据库文件,仅对软件中的重要程序模块进行解剖,阅读数据处理的流程,分析程序的逻辑结构。目的在于确定程序是否能可靠、稳定地运行;程序的各种功能是否都能实现;程序的数据处理、数据生成是否正确;是否能满足会计处理的各种需要。该方法的优点在于可发现软件本身存在的根本问题,可确定企业会计核算基础的可靠性,目前亦有众多的反编译工具或其他软件可帮助审计人员对程序进行分析研究,但其难度在于审计人员必须具备相当丰富的计算机软硬件知识,且多数商品化会计电算化软件都经过各种方式的加密,这亦成为实施该方法的一大障碍。
B选样测试系统的方法。审计人员首先建立一包含一个月基本会计资料的数据库,然后输入到会计软件中,根据其核算处理后输出的结果判断软件的可靠性。当然该数据库中必须包含一系列的“错误”。“错误”是指不相关会计科目的分录(借贷双方为通常情况下不应有勾稽关系的会计科目,例如银行存款和盈余公积)、不可能的科目余额(例如至测试结束现金出现贷方余额)等。输入“错误”可测试出软件对“错误”是否识别、如何处理。
C评价数据安全性的方法。审计人员可对数据安全性的各个方面进行测试。例如,软件中凭证的制作是否采用二次输入的方法以确保凭证输入的正确性;软件是否已设置在软件运行中,对已输入计算机的凭证不能直接进行修改,而应通过红冲等其他修订的方式;软件是否能对数据进行备份,备份的方式是否安全(备份的安全性主要指在存储媒介溢满的情况下,是否能提前向使用者发出提示)等。
通过数据测试及评价数据的安全性能直观地反映出该会计软件各方面的性能,更可判断出使用该软件的内在风险。使用该二种方法的主要障碍在于:由于会计电算化软件的不断发展,更新升级,软件的内在风险也在不断降低之中,对于审计人员来讲,现被测试的计算机程序的版本是否与企业在前段时期内所使用的一致,这是很难检验出来的,这意味着审计人员较难确定前后软件版本内在风险的差异。另外,该方法对单机版的会计电算化软件较为适用,对网络版软件来讲存在一定难度。
2验证会计资料总体的完整性
在企业采用会计电算化的情况下,可运用计算机辅助审计技术来验证会计资料总体的完整性。常规审计中极少对企业会计资料总体进行验证,至多对某一会计科目进行帐帐、帐表核对,而事实上该项工作同样重要。参见《上海审计》1997年第2期上《不应忽略对帐帐、帐表的核对》一文。该文作者对某企业的其他应收款的
七、八十户明细帐户进行了汇总核对,工作量较大,而在一台486DX2-66的微型计算机上,汇总中型企业一个月全部的会计凭证资料仅需几十秒,对审计人员来讲,手工完成此项工作几乎是不可能的。验证的具体方法为:
首先,根据企业年初或月初的会计科目余额,确定会计凭证总体的初始年、月初余额,并输入计算机中。
其次,将企业当年或当月的会计凭证库进行转化,将企业会计凭证库转化成审计人员熟悉并能操作的格式,目前有众多的应用软件都能达到这一目的,转化好的会计凭证库需要作进一步的调整,仅保留需要的数据以加快运算速度。例如对会计凭证库中的一级科目名称、借方金额、贷方金额等予以保留,而剔除摘要、二级科目名称等。审计人员再进行汇总计算以得出当年或当月会计科目的发生额。
最后,将年、月初余额与发生额相累加并以报表的形式输出。由此,审计人员可与企业的年报或月报相核对,以验证总体的完整性。
3协助审计人员进行统计抽样
近年来,一种建立在科学理论基础上的,已通过国际审计界广泛实践证明的以制度为基础的审计方法已逐步应用于我们的审计之中。该方法在符合性、实质性测试中都运用到统计抽样,而计算机辅助审计技术正可在此领域大显身手,具体方面有:
A运用于审计日常抽样的编码工作。一般情况下,无论是否采用计算机辅助审计技术都可选取随机数(运用随机数表),再转化为审计总体的编码,但其工作量大而枯燥。而运用计算机辅助审计技术,仅需几秒即可完成随机数的产生及所有的编码工作。
B方便地运用于审计抽样。计算机辅助审计技术在决定恰当的抽样方法及规模、选择样本及评价方面都能使审计人员得到帮助。从总体中抽取样本时,对审计人员来讲最关键的是所有总体中的项目都能被客观地抽取,而采用恰当的统计抽样方法能避免抽取无代表性样本的风险。在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的。
应用举例:在对某企业的审计中,笔者用Foxpro编制了一运用PPS抽样的程序,能自动地完成从数据编码转化、选择输出样本到分析判断的所有工作。程序运行中首先要求审计人员输入运行参数(可靠性程度、精确度上限和估计错误率),再读入所抽样的数据库并由审计人员确定抽样的字段,其余工作即可由计算机自动完成,抽样的具体数据及结果详见《上海审计》1996年第六期《审计风险控制及审计抽样法在企业资产负债损益审计中的运用》一文。
4关键样本及高价值样本的隔离
对企业而言,大量的会计处理是日常性的事务,如报销、成本结算、费用结转等,而审计人员所关心的是一些关键的会计处理,运用计算机辅助审计技术能对企业的会计数据库进行分析,确认及打印出在某段时期内高价值的和关键的样本,人工分析并全部隔离出这些高风险的交易事项常常是不可能的。所谓的高价值及关键样本主要指不相关的会计科目;单笔金额超过审计人员预先设定数的样本,如单笔金额在一万元以上的现金收付;不常变动的会计科目,如资本公积等。审计人员在风险控制的基础上,对关键样本及高价值样本进行重点审计即可满足一般审计的需要。
5日常会计资料的分析及计算
现代审计要求审计人员对企业的会计资料进行较多的分析,而这正是计算机辅助审计技术的专长,例如对企业的应收帐款帐龄进行分析,当前众多企业的应收帐款金额居高不下,在企业应收帐款电算化的情况下,可以很简单地得到分析结果,而手工输入再由计算机汇总亦很方便,难以想象全部以手工方式来操作的难度;另外计算机辅助审计技术亦可运用于审计日常的计算工作,例如上文谈到的材料成本差异核算的复核。
6审计文书及审计项目管理
审计人员亦可运用办公自动化软件进行审计文书管理,如审计通知书、被审计单位基本情况、审计计划、审计工作底稿、审计报告、档案均可由计算机协助处理,方便日后的查询及调阅。例如,在对某公司的审计中,我将全部的审计工作底稿均输入到计算机中,在编写审计报告时仅需调用底稿文件、稍加修改即可完成。而目前多媒体的应用、计算机外设的增多能使计算机将图象、声音、动画、视频等转化为数字处理并存储,由此满足了审计各种方式取证的要求,更为审计工作的无纸化开创了广阔的前景。
三、计算机辅助审计技术的发展趋势
计算机辅助审计技术的应用过程也是不断发展、完善自身的过程,笔者认为将来计算机辅助审计技术将在以下方面得到推广及应用:
计算机审计技术篇(5)
目前,分布式技术已广泛应用于电子商务、电子政务。一些大型企业已经采用了依托于广域网的会计核算方式,并采用了企业ERP,政府部门的电子政务平台也初具规模。审计环境的转变必将引起审计方法、审计技术的改变,相应的也应将分布式技术应用于计算机审计之中,建立分布式的审计信息资源环境,使得审计人员能及时、快捷、准确地获得多元化的审计信息。目前,分布式技术已经应用于审计管理之中,使审计管理信息实现了异地交流,方便快捷地实现了资源共享与交换;并且现场审计信息与审计管理信息实现分布式交互也正在试行中。
随着分布式技术在审计领域的广泛应用和计算机审计的不断发展与完善,在实施审计的过程中,还应逐步建立审计信息资源网络,将相关部门、行业和企业的审计信息进行关联,实现分布式的审计信息查询及处理系统,可以节省审计时间,提高审计效率,全方位、多维度地利用审计信息资源开展审计工作。
二、网络安全技术是保证联网审计模式建立以及推广的前提
相对于现场审计而言,联网审计的实施具有非常重大的意义,将大大提高审计的各项潜在功能。联网审计实现了审计方式的革新和审计效率的全面提升。
开展联网审计后,实现以电子化为依托,从事后审计转变为与事中审计相结合;从静态审计转变为与动态审计相结合;从现场审计转变为与非现场审计相结合。现场审计的主要工作不再是查账找问题而是查证核实、取证和交换意见,项目现场审计时间平均缩短三分之一,因为大量的前期准备工作都可在自己的办公室内完成。
联网审计能否顺利开展并广泛应用的一个关键问题就是安全性问题。联网审计作为一种网络化运营模式存在,与其他行业的电子商务交易模式一样,同样需要对网络的安全性进行实时监控和维护,建立一个技术先进、安全,具有较好的可扩展性和可用性,同时能够保证审计数据的完整性和一致性的数据迁移和报送的共享平台。这是联网审计得以产生和发展的必要技术基础。
对于网络安全,首先必须具有一个安全、可靠的通信网络,以保证数据信息安全、快速传递;其次,要求对数据库服务器有绝对的控制权,严禁未授权客户和黑客的闯入、盗窃和破坏数据信息。联网审计不管从审计软件还是数据库等方面都要利用安全技术,并建立起一套安全机制,以保障联网审计的安全。对于安全机制,主要包括接入管理、安全监视和安全恢复等三方面,首先对于接入管理,主要处理好身份鉴别(身份真伪和权限)和接入控制,以控制信息资源的使用;其次是安全监视,主要功能有安全报警设置、安全报警报告以及检查跟踪;最后是安全恢复,主要是及时恢复因网络故障而丢失的信息。对于安全技术而言,主要可以应用防火墙、数据认证、数据加密、入侵检测等技术;另外还可以将不断开发出的新型安全技术及时应用于网络审计中,如将隧道技术充分地运用于虚拟专用网(VPN)等。因此网络安全技术和安全机制为联网审计的产生和发展从技术层面上奠定了坚实的基础。
三、工作流技术应用于计算机审计及审计管理
工作流(Work Flow)是针对工作中具有固定程序的常规活动而提出的一个概念。通过将工作活动分解成定义良好的任务、角色、规则和过程来进行执行和监控,达到提高生产组织水平和工作效率的目的。简单地说,工作流就是一系列相互衔接、自动进行的业务活动或任务。工作流技术已经为企业更好地实现经营目标提供了先进的手段,并且在电子政务领域发挥了重要作用。在审计管理方面,工作流技术已成熟应用于机关辅助办公系统(OA)中,在办公自动化领域发挥了重要作用。
在未来计算机审计方面,素有“生产自动化”之称的工作流技术也应得到充分应用,可根据不同的审计环境、不同的行业审计和具体的审计方法,由审计人员进行建模,灵活快捷地开展计算机审计工作。应用工作流技术可使计算机审计软件能更好地适用于金融审计、财政预算审计、经贸审计等不同的审计环境,并且有利于审计人员将审计方法、思路有效地融入计算机审计当中。提高审计的工作效率。使计算机审计能够发挥更大的作用。
四、数据挖掘及数据仓库技术在建立海量数据分析及智能化审计方向上的应用
开展计算机审计离不开强大的数据库的支持,在现代的审计环境中,审计信息绝大部分以电子数据作为载体。随着企业大型ERP系统和电子商务的不断成熟,如何有效地分析、处理海量数据已经成为计算机审计迫切需要解决的问题。虽然目前计算机审计已经能利用DB2、Oracle等大型数据库进行数据处理,并进行简单的分析,但对于如何有效地处理、分析数据,有效地作出决策还有待于探索,这就需要引入数据挖掘和数据仓库技术。
数据挖掘(Data Mining)是一个利用各种分析工具在海量数据中发现模型和数据间关系的过程,这些模型和关系可以用来做出预测。数据挖掘可以应用在各个不同的领域。电讯公司和信用卡公司是用数据挖掘检测欺诈行为的先行者。保险公司和证券公司也开始采用数据挖掘来减少欺诈。一般来说,数据挖掘都要先把数据从数据仓库中拿到数据挖掘库或数据集市中。
在审计领域,同样需要利用数据挖掘技术实现数据仓库与数据抽取、转换、装载(ETL)、数据挖掘、联机分析处理 (OLAP)的有机集成和实现各种数据挖掘算法,对海量数据进行智能化和多元化的分析、关联,从而发现审计线索,帮助审计人员做出正确决策。另外数据仓库和数据挖掘技术对于有效地开展效益审计会有很大帮助,甚至能起到决定性的作用。
五、人工智能技术在未来计算机审计中的应用前景
目前,计算机审计还处于计算机辅助阶段,审什么、如何审还是要由审计人员定义的。也就是说,每一个指令都是由审计人员向计算机发出的。以往的审计专家经验没有真正地融入计算机审计。如果将人工智能技术应用于计算机审计,建立审计专家系统,可使计算机审计智能化。以金融审计为例,可利用人工智能技术建立贷款风险决策系统,在人机对话过程中,输入一些供决策用的参数,如企业经营者素质评估,经济实力,资金结构,经济效益,发展前景,信用等级系数,贷款金额,如抵押贷款方式,保证贷款方式,信用贷款方式,以及贷款形态等,根据这些信息计算出全部贷款资产风险权重额,全部贷款资产风险度,并结合企业的信用等级,做出合理评估。
计算机审计技术篇(6)
首先,充分利用计算机技术对社保系统管理的数据的审计。与传统的审计相比,应用计算机技术进行社保审计就是首先对社保系统管理的数据进行全程的适时的跟踪性地审计,主要包括检查测试输入和输出数据的真实性、合法性和正确性,通过数据来确定社会保障部门的经济业务活动的真实性、合法性和有效性。具体来说,社保主管部门应该按时如实地输入、管理与社保事业经济活动相关的所有信息,而且及时备份以防信息丢失。与此同时,还要依据《审计机关审计方案准则》制定计算机审计方案,包含计算机审计方法、使用的计算机软硬件配置、必须进行的测试项目、测试方法及所需技术条件、可能产生的风险评估,编制好实施方案后,经审计组所在部门负责人审核批准后,由审计组负责实施。
所谓计算机审计,就是调查了解社会保障部门电子数据处理环境的信息,包括社会保障部门具有电子数据处理职能的组织机构,计算机处理的集中与分布程度;由计算机处理的应用系统的各功能模块,处理的性质(如成批处理、联机处理)、数据保存策略、系统的维护;完整全面的应用系统开发、管理、维护等相关文档资料。在实施过程中,如有根据认为社会保障部门可能转移、隐匿、篡改、毁弃与财政、财务收支有关的电子数据、数据结构文档和其他资料的,应采取必要的取证措施。实施计算机审计,可以根据实际采用不同的审计方法,如采用导出数据离线、现场数据接入等审计方法等。以导出数据离线审计方法的应用为例:
首先,审计组向社会保障部门提出详细的数据需求以及以何种数据格式进行导出,社保部门将审计组所需的所有数据以正式的文本方式提交给相关部门,准备接受审计组的科学审计。其次,在审计人员的监督下,由社会保障部门人员或其聘请的人员按照审计需求提供审计组所需数据,而且要保证审计组所采集的数据完整、准确、科学、客观。再次,审计人员将所获取的数据根据所使用的审计方法,运用数据转换技术对所采集数据进行必要的数据转换,以便将数据导入计算机审计工作区。最后,审计人员利用数据处理分析技术有针对性、有重点地进行数据处理和分析,揭示社会保障部门经济业务活动中存在的情况和问题。整个审计过程结束后,审计组应该根据计算机审计的结果,对社会保障部门数据处理系统的设计、运行和处理结果的可靠性做出客观评价,对于审计查证的问题形成审计工作底稿,如发现恶意利用计算机信息系统舞弊造成重大的违法违纪问题,提交计算机审计专题报告。
计算机审计技术篇(7)
一、开展计算机审计工作的紧迫性及必要性
首先,审计对象的扩展化,给审计提出了新课题。计算机信息系统环境下的审计对象,除手工环境下的审计对象以外,信息的载体得以扩展,出现了新的信息载体。其次,绕过电算化系统的审计,很难有效地发挥审计职能。随着会计电算化水平的提高,如果审计人员不懂得计算机,不了解电算系统,只能依赖被审单位提供打印的账页进行审计。再次,传统审计的信息反馈能力弱,与信息化的时代要求不适应。 随着现代科学技术的进步,信息化进程日益加快,纸质账本将为电子数据所代替,开展计算机审计必不可少。
二、审计过程
首先,做好计算机审计的组织准备。在审前调查之前,审计组人员应当熟悉项目要求,并配备有一定计算机基础的审计人员。其次,进行数据采集。根据目前财务软件系统的特点,数据采集大致有三种方法:直接拷贝数据库文件实现数据下载;运用财务软件或专用会计软件中自带的数据导出功能实现数据下载;运用“ODBC”技术实现跨系统、跨平台的数据采集。再次,数据转换及初步分析整理。面对当前财务软件种类和版本号多种多样,财务数据结构差异很大的情况,AO系统提供了强大的数据采集和转换接口功能。一是财务备份数据转换方法。通过AO系统自带的或从金审网站下载的数据转换模版,审计人员很轻松就能完成财务软件备份数据的采集和转换。二是数据库数据转换方法。财务备份数据转换方法虽然简单、好操作,但最大的问题是如果没有对应转换模板,则无法实现财务数据转换,而且有些转换模板需要安大型装数据库(如SQL Server)后台服务器端,有时由于一些不明原因,也会出现不能正常转换的情况;为了解决这个问题,AO系统同时提供了数据库数据转换方法,用于转换财务备份数据转换方法不能转换的财务数据。而且使用这种方法,在第一次数据转换成功后,可以将转换过程制作为转换模版,再遇到同类数据时使用以前制作的转换模板,即可实现自动转换。转换模版可以导入、导出,实现共享。另外,对电子数据进行进一步分析、整理及对数据进行趋势、结构等宏观性分析相结合。
三、计算机审计存在的风险及对策
(一)存在的风险
传统审计线索逐渐消失,增加了审计风险;审计技术、方法日趋复杂,必然会带来审计风险;在动态中进行审计取证较难,也存在一定的审计风险;会计系统内控制度的改变,也增加了审计风险;审计人员计算机知识的缺乏,造成审计风险。
(二)对策
1.保证审计数据的完整性
为保证审计数据的完整和准确,审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据,是否属结账后的数据,财务数据是否有纸质账册、报表相配套。同时,审计人员获得的财务数据,应该是被审计单位财务人员对财务数据作现场备份所得的。
2.选择恰当的审计方法与技术
审计人员可以根据被审计单位不同的会计信息系统而采取不同的审计方法和技术,从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时,则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计单位采用实时处理,纸质的审计线索较少且输入输出不能直接核对时,则可采用计算机审计的方法;当被审计单位采用每时每刻都在运行的会计信息系统,审计过程中不能终止工作时,则可采用制度基础法,首先对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法,这样,既可以降低审计风险,又可以减少对被审计系统正常工作的影响。
3.积极取得被审计单位的支持和配合
在进行计算机审计时,如果被审计单位的财务人员、操作人员不予配合,把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等,则审计人员很难进行审查,因此,审计时应积极取得被审计单位的支持和配合,来降低审计风险。
4.努力开发实用高效的审计软件
为了给计算机审计打开通道,就必须不断研究开发审计软件。在数据采集方面,要求这种软件能够容易访问被审计单位不同介质、不同编码、不同数据类型的数据库,从中采集审计所需的原始数据。在数据分析方面,在现有审计软件功能的基础上进一步开发新的分析工具。例如:针对企业审计领域的固定资产折旧审计工具和产品利润情况分析工具等,针对金融审计领域的利率检查工具等。在增加面向特定领域的分析同时,还要增加一些基于特定方法的分析工具,如账户分析、比较分析等。只有开发出实用高效的审计软件,才能解决因审计软件本身的缺陷所带来的审计风险。
5.加强审计人员的培训学习,提高审计人员的素质
应定期对审计人员进行培训,强化审计人员后续教育准则的实施和执行。不断更新审计人员的知识结构,提高他们的技术水平和职业判断能力。在新的审计环境下,尤其要加强计算机应用技术、数据处理技术和网络知识的培训,培养复合型的审计人才,以更好地适应审计环境变化,出色地完成审计任务。强化审计机构和审计人员的风险意识,降低计算机审计风险。审计机构要在独立、客观、公正的原则下建立自律性的运行机制,大力加强对审计人员的专业教育和职业道德教育,规范审计程序和审计证据的取得,完善自身的质量控制制度。审计人员在加强专业学习的同时,应加强职业道德修养,强化风险意识,严格依照审计准则进行审计,以降低审计风险。
随着现代审计体系、审计理论的不断发展和完善,计算机审计作为不可缺少的审计方法与技术,在审计“免疫系统”功能中发挥着越来越大的作用。因此,要充分发挥计算机审计的这一优势,做好预警工作,为国家制定宏观政策提供依据,促进法律法规的不断完善。
参考文献:
计算机审计技术篇(8)
在计算机技术的飞速发展下,内部审计信息化成为高校审计工作中的必然趋势,本文从高校基建工程内部审计工作中的现状入手分析,提出高校内工程审计中计算机应用的必要性和意义。本文以高校工程审计的具体需求,分析工程审计中计算机技术应用的设计思路和框架,应用信息化技术和手段,加强对项目的控制和管理。
1计算机技术应用面临的主要问题
1.1高校工程审计不健全
高校中工程审计设置都是审计机构与纪检共同办公,没有达到内部审计结构的独立性要求,因而需要配备专职审计人员。此外,该做法缺乏专业性,部分规模小的学校缺乏审计机构,缺乏从事审计工作的专职内部审计人员。
1.2高校工程审计人员技术能力不足
高校基建工程建设中,因工程及修缮项目的管理,牵涉的资金额度较大,并且程序较为复杂。所以说,工程内部审计是一项涉及多个领域且专业性较强的系统工程,正是在这一基础上,高校工程审计需要高素质、综合素养能力较高的人才。但是当今高校工程审计人员大多缺乏专业的计算机技术,多是半路出家,从会计专业教师选拔而来,缺乏一定的业务实践能力,对审计的效果造成了直接影响。
2高校工程审计中计算机系统应用的价值
2.1有助于工程审计流程顺畅,提高效率
计算机技术的应用中,高校工程审计系统地采用了网络信息技术,它具有便捷性和灵活性的特点,能促使工程审计的工作更加流畅。此外,有助于加强高校内部审计和建设参与的有效沟通。要想提高高校工程审计效率和整体监控水平、计算机技术的应用,应充分利用先进可靠的网络服务平台、数据库、移动办公等技术手段,保证高校内部审计人员能及时掌握工程的管理信息,减少信息沟通量,有效促进审计工作的顺利进行。此外,计算机信息技术的应用便于及时了解高校工程管理现状,及时汇总各种信息,便于在最短的时间内做出反应,进而在一定程度上提高审计的有效性和及时性,提高问题发现和处理的效率。
2.2拓宽审计信息渠道,有效解决信息不对称问题
高校建设工程总投入大、周期长、利益相关者较多,并且工程管理极其复杂,高校内部审计需要与建设单位、设计单位、施工单位、监理单位等各方面沟通。倘若信息不对称,在一定程度上会对高校基建工程造成一定的影响。工程审计中计算机的应用使高校工程项目管理的内部信息流扩展到审计层的交互沟通中,它能够消除工程审计信息孤岛现象。高校工程审计信息管理系统通过信息沟通平台的建设,整合各项远程服务及信息功能,为建设参与各方远程协作办公提供一体化的信息平台,它能与建设各方有效地进行信息传递,实现信息资源的共享。由于审计信息提供了一体化的应用平台,及时拓宽了信息来源渠道,使工程审计数据的信息更加准确、统一。此外,建立信息管理系统工程审计制度,内容包括工程审计信息系统的平台维护、系统操作规范、信息使用权限的控制、资料存储及网络安全的运行等方面的内容,有效促进高校内部审计人员在信息审计过程中各司其职,避免高校工程审计信息管理系统风险。
2.3能够实现管理系统创新
高校工程审计中,信息化建设还有较长的路要走,高校内部审计机构需要有效结合工程自身审计信息化的发展状况,进行系统的完善和总结。可以说,信息化环境下,业务思路和信息数据能使内部创新技术更加完善、视野更加宽广,为积极持续开拓工程内部审计创新了发展思路。此外,高校工程审计中管理系统中的信息构建,需要做到与时俱进,与社会、经济及高校自身的发展相互适应,从而实现工程审计的科学发展。
3加快计算机技术在工程审计中应用的建议
工程审计中利用计算机技术优势明显,但对于高校而言,管理水平的起点不同,因此,建设过程任道而重远。当今,为加快工程计算机信息化建设步伐,各个高校应当结合自身实际情况,创造工程审计条件。具体而言,高校工程审计应转变陈旧观念、提升信息化意识、转变思维。此外,还应采取积极心态参与到信息化建设过程中,最大限度发挥信息化优势,提高高校建设资金的使用效益,有效促进高校科学健康发展。工程审计信息化离不开既懂管理,又精通信息技术的复合型审计人才。对此,高校可开展培训,与企业进行合作,用来提高人才的知识水平,改善其知识结构。大数据时代下,传统的审计方法显然已不能适应当今的发展,所以,计算机技术的应用是未来工程审计发展的必经之路。
作者:赵郁茹 单位:北京信息科技大学
参考文献
计算机审计技术篇(9)
计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统进行的有效性,数据处理的合法性正确性,最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作发展的必然趋势。①当前计算机审计正逐步发挥着它特有的优势,但由于设备、人员及软件等因素的制约,计算机审计过程中也出现了一些问题,阻碍了审计事业的健康发展。
一、信息化环境下计算机审计技术出现的问题
(一) 审计业务能力与信息化发展水平不均衡
随着信息技术的发展,审计正逐步实现手工操作向计算机操作的转变,这就要求审计人员必须同时具备专业的审计知识和较高的计算机操作能力。可是,目前审计机关却面临着审计业务能力与审计信息化发展严重不均衡的状况。首先,许多年长的审计人员虽然有丰富的审计经验,却缺乏计算机知识的储备,将传统的审计方法转化为计算机审计还需要一段漫长的磨合过程。其次,一些年轻的审计人员虽然对计算机知识有一定的了解,但仅靠浅层次的计算机基础知识和技能,根本不能完成深度的计算机系统设计、程序编译检测技能,难以适应越来越高的审计需求。
(二) 审计机关信息化程度与被审计对象不对称
审计工作是一项缜密的工作,需要有强有力的技术手段支撑。可是,由于金融、税务、社保等领域信息化程度高速发展,技术水平远远高于开发较晚的审计部门,使审计人员的计算机审计水平难以达到这些部门的审计需求。而在一些基层建设领域中却缺乏开展计算机审计的条件,使计算机审计无法正常运行。这些审计机关与被审计对象的不对称情况严重制约着审计信息化建设的发展。
(三) 计算机审计系统实际操作性不强
目前各级部门所用的财务办公软件并未完全统一,仍有一些部门使用的是自行开发的软件。并且随着信息化建设的发展,各种软件的功能正由核算型向管理型转变,结构也越来越复杂,但不少系统并没有开设标准的数据接口,甚至对数据结构不开放。而审计软件的开发缺乏通用性,审计软件繁杂多样,与各级部门的办公软件难以协调,对审计工作的科学发展十分不利。并且,由于许多单位审计信息资料未能有效地与局域网络链接,审计信息与数据难以互通,造成了远程审计的许多困难,严重影响了计算机审计的实际操作性。
(四) 计算机信息环境下风险防范意识不佳
在计算机信息环境下,各种风险因素也普遍存在着。例如:由于电、磁、温度、灾害等不可抗力的影响,容易造成计算机系统资源的损害和数据资料的丢失;由于网络防卫能力与抗风险能力的局限,使因特网黑客入侵、网络木马病毒传播,局域网络信息数据泄露等情况屡见不鲜,容易造成企业信息数据泄露。因此,计算机审计中的风险防范与控制已经成为审计必须重视的一项问题。
二、信息化环境下开展计算机审计技术的建议
(一)加强理论研究,促进计算机审计稳步发展
计算机审计是当今审计工作的潮流,只有加强理论知识研究,提高审计的科技含量,才能不断促进计算机审计的深远发展。审计人员应不断总结实际工作中的经验与做法,积极学习各种先进的理论书籍,努力开拓理论研究的新领域。由于计算机审计与传统手工审计的区别,应注重结合传统审计的精华与各种计算机信息技术,有创建型地展开对计算机审计的审计对象、审计方法、审计线索、审计技术的研究,进一步规范计算机审计工作,促进审计工作的独立性、客观性和公正性。
(二)注重人才培养,造就高素质的审计队伍
高素质的审计人才是审计技术发展的核心,审计人员的素质直接影响着审计的效果与成败。当前审计人员中年长者经验丰富,判断准确但缺乏必要的计算机知识,而比较年轻的审计人员计算机知识比较丰富,而审计经验又相对偏少。因此,必须注重综合型的审计人员的培养,实现计算机技术与审计思路相结合。在培训中,首先应注意培训的针对性,结合当地审计情况突出重点和实用性;其次应该注重骨干人员的培养,实现以点带面;第三,要确保培训的系统性与连贯性,使培训与实践相互促进。
(三)结合实际情况,注重各种审计软件的开发
审计软件的开发对于审计工作的顺利开展有着重大的意义。但是由于不同的软件具有不同的数据库、不同的使用方式,给计算机审计带来了一定的难度。因此,审计部门应继续推广通用的审计软件,统一财务软件与审计软件的接口标准,不断提高通用软件的实用性,实现对审计软件预设与自编程序技术,满足地方审计的不同需求。另外,也可结合当地审计的实际情况,围绕财政预算基金和重点专项基金,自行开发一些具有行业特色和地方特色的审计软件,切实提高审计工作的实效性。
(四)加快数据库建设,逐步完善联网审计体系
为了提高计算机审计的现实操作功能,应该尽快推进大型数据库的建设和联网审计研究。一是要加快建立审计统计资料、审计档案、审计专家经验、审计法规以及被审计单位资料、宏观经济数据等数据库,并不断更新和完善数据库内容,为审计实施提供有效支持。②二是要利用网络环境采取多种形式组织资源,满足审计工作对经济类共享信息的需求,实现宏观监督,开拓审计人员的视野。三是应该逐步完善联网审计体系,实现国家电子政务网络平台、建设审计署和国务院办公厅及其他有关部门的网络连接,通过审计网络与被审计单位的连接,开拓新型的现场审计与远程联网相结合的审计模式,提高审计的工作效率和实际效果。
(五) 防范计算机审计风险,完善各项防范措施
针对计算机审计中的不安全因素,审计部门应加强对信息化环境下的各种风险的防范与控制。第一,注重审查硬件系统的可控性,如从防护系统、使用记录、操作程序等角度检测系统的安全性能,并严格审查操作人员的安全操作情况。第二,注重检测数据通道的安全性。可以通过检测法抽查其数据进行传输,检 测数据的准确性;通过测试密钥管理和口令控制检测硬件系统的安全性等。第三,注重对数据资源的控制审计。如检查数据系统是否有充足的备份,有无个人私自存取数据情况等。第四,注重对软件系统的控制审计。如检查软件产品是否正版,有无安装防毒杀毒软件,有无病毒侵入等。从各个角度增强审计人员的安全防范意识,建立安全的审计网络环境。
计算机审计是审计发展的必然趋势,只有不断完善计算机审计技术,提高审计人员实际操作水平,才能充分发挥审计作用,为国家经济稳妥发展保驾护航。
注释
① 张英.计算机审计风险的成因及对策[J]. 魅力中国,2010,(10).
② 姚尧岳.关于进一步推进计算机审计的几点思考[J].财经纵横,2006,(8).
参考文献
[1] 李勇.信息化环境下开展计算机审计的思考[J].2009,(12).
[2] 姚尧岳.关于进一步推进计算机审计的几点思考[J].财经纵横,2006,(8).
计算机审计技术篇(10)
会计信息化极大地提高了会计工作的效率和数据处理的准确性。但它也是一把“双刃剑”,信息化在使会计工作领域发生巨大变革的同时,也为舞弊这一有悖于市场规则和法律规范的主观故意提供了广阔的空间和可能性。由于当前我国会计舞弊的预期收益仍然远远高于舞弊成本,因此更使得舞弊者乐此不疲,这无疑会使审计工作面临严峻的挑战。面对新的技术环境,需要探讨新的审计对策。
一、计算机环境下的会计舞弊手段剖析
(一)信息系统加工规则舞弊
加工规则是计算机自动化、高效率处理数据的前提,它规定了信息系统运行的环境,是系统功能发挥的基础和必要条件。就应用属性而言,可以将其分为以下两大类:
1.常规性、公共性及确定性的规则。如会计系统中的“有借必有贷,借贷必相等”、“同级明细科目发生额必须等于其上级科目发生额”等等。这类规则一般在软件设计时已经被“固化”嵌入到系统的程序中,当系统运行时,这些规则直接发挥作用。
2.与软件系统运行个体背景相关、有明显个性化特征的规则。如会计系统中的账套参数、操作员身份及权限参数、机构人员档案、科目体系档案、折旧方法选择等。这类规则通常在软件设计时预留数据接口,然后由未来的用户自己完成。它属于商品化通用软件在运行前要“初始化”的范畴。按内容而言可将其继续分为以下两类:一是与系统运行环境有关的参数(如企业名称、行业类型、有无外币核算、操作员身份及权限参数、各种对象或元素的档案体系等);二是与系统或其各功能模块运行有关的基础数据(如以前环境下的各种未两清业务、科目余额等等)。这类数据决定了软件系统运行的数据平台。
对上述第二类规则的理解,需要把握以下几个方面的要义:
(1)分布广。即启用软件的任何一个新的功能模块或系统,通常都会涉及到这些相关规则的设置问题。
(2)分层次。由于信息系统数据共享范围不同,使得这些规则具有一定的层次性。
(3)可维护性。有些规则即使是在信息系统运行后,仍然可以维护修改。
上述规则对计算机会计信息系统的无障碍正常运行至关重要,它奠定了自动化运行的基础和平台。有人曾做过粗略统计,在会计信息系统运行的错误中,有85%的出错率都与各级初始化参数设置的科学性和合理性存在着直接或者间接的关系。当然也正是这些规则的设置,为舞弊者提供了可乘之机,这方面的典型手法有:
案例1,多账套舞弊。账套是商品化软件开发商基于通用化考虑,为兼顾不同行业、不同企业用户的个性化需要,由购买者在软件功能平台支持下,根据软件预留的参数接口,由企业自己定义和建立的核算与管理体系。它是一个将通用商品化软件转变为企业专用软件的过程。
一个独立的核算单位只能建立一个账套,而软件通常有能力支持建立多个账套。为共享操作员资源,系统支持超级用户可“统领”以及操作员可同时操作软件中的多个账套。系统提供的数据维护接口,可使多套账之间十分方便地进行数据资料相互取舍、传递,以及账套的输出、引入、删除等操作。被输出的账套既可存储在本机硬盘中,也可通过网络存储在其它外部介质中。显然这种机制为舞弊者进行整体、综合性的会计舞弊提供了极大机会,舞弊者可按不同的会计核算规则分别设置多个套账并同时进行核算。而来源于相同会计事项的原始数据,按不同的目标或不同的信息使用对象依不同的加工规则进行加工,自然会产生差异很大的数据结果。如果没有严格的系统内部控制和外部审计措施,那么这种多账套舞弊在信息化环境下将易如反掌。
案例2,模板舞弊。计算机系统中的许多重复有规律的数据加工操作通常由计算机自动完成。其基本思路是:根据数据加工规则,预先制作加工“模板”并保存起来,在需要进行类似模式的数据加工时,由系统调用“模板”自动生成所需数据。由于“模板”加工规则是由人来设置的,并且可随时修改维护,这就为舞弊者留下了巧妙的舞弊机关。比如在会计系统中,为充分利用计算机自动化优势,通常将业务发生频繁、业务性质固定、科目对应关系固定、金额计算有规律的转账业务,通过定义凭证模板的形式预存起来,当需要进行相关转账时,由凭证模板自动生成相关业务凭证。如期末费用计提、摊销,期间损益科目余额结转等等。这种由模板自动生成的凭证,其正确性与模板定义要素(特别是金额取数公式)密切相关。舞弊者可以通过修改模板定义要素进行舞弊。如某企业某会计期间发生“制造费用――技改费”(科目编码410504)100万元,按实际工时数在三个生产车间按比例进行费用分配:一车间摊20%,二车间摊45%,三车间摊35%。其中第二车间生产的是免税产品。那么正确的转账取数函数应为:
借:生产成本――一车间 QM(410504,月)×0.2
生产成本――二车间 QM(410504,月)×0.45
生产成本――三车间 QM(410504,月)×0.35
贷:制造费用
QM(410504,月)
但企业为了调整应税产品和免税产品的赢利水平以实现逃税目的,可改变转账取数函数设定。如将一车间取数函数定义为QM(40204,月)×0.45,而将第二车间的取数函数定义为QM(40204,月)×0.2,这种参数的微调所导致的计税效果显然是大不相同的。若审计人员不核对模板定义内容而仅审查账面结果,很难会觉察到这种“四两拨千斤”的微妙技巧。同样的舞弊技巧也可以用在会计报表模板的定义中。
(二)系统内控机制舞弊
内部控制又称内部牵制,它是会计系统安全、可靠和正确运行的保证。在手工环境下,人是主要的因素,所以内控出发点几乎都是以人为目标展开的。具体措施是:通过凭证传递流程来选择控制点,规定每个工作点应完成的任务,然后相互校检与核对以保证数据的正确性。如账证、账账、账实核对法,以及各种签名控制措施等。但在计算机系统中,由于数据处理技术的变化,使系统结构、运行机制等方面都发生了根本性的变化。原来只以人为控制对象的内控机制,要转化为同时以人和计算机系统为对象进行控制。因此产生了以人为控制目标的一般控制和以计算机系统为控制目标的应用控制相结合的全面内部控制机制。具体措施是:根据计算机系统的特点,首先建立完善的、适合计算机特点的岗位责任制和内部控制制度,在此基础上,在系统各运行环节设置有效的密码权限验证机制和数据自动校验机制,以及时发现操作权限及加工数据等方面的真实有效性问题。
在上述内控体系中,属于应用控制的机制一般被“固化”在软件程序中,通常用于检测那些违背会计规则或违背常规逻辑的问题,如科目不合法、借贷不平衡、金额超预算等等。这些控制机制有一定的“透明度”和一定的执行“刚性”。针对那些貌似“合乎”会计规则或逻辑的问题,这些控制措施通常会显得束手无策,如伪造合法业务、科目串户、业务冒名操作等等。而这些错误和操作却往往是会计舞弊和舞弊最容易被利用的环节。
在会计系统中,对“人”的控制称为一般控制,无论在设计还是在执行时,通常具有很大的“柔性”,它是系统最不容易了解和检测的部分,是系统基础性的控制,也是应用控制发生作用的前提。应当说,一般控制的控制层次和内容级别,应以不相容岗位相分离为原则,然后相互排列组合,以构成计算机会计系统有机的立体交叉内控体系。这种控制体系的执行,最终集中体现在象征各种岗位权限的密码权限上。需要说明的是,会计信息化环境中的自然人与系统“操作员”之间,严格意义上并不是一个概念。操作员是系统各岗位权限密码的“人”化,谁拥有了这一密码,谁将就是这一岗位的合法操作员。如果把自然人与“操作员”混为一谈或淡视密码的作用,将会为系统舞弊与舞弊留下巨大的遗患。
案例3,利用超级用户身份舞弊。一个系统原则上只能有一个超级用户,但是按照上面的分析,“超级用户”本质上指的是“超级密码”,若十个自然人同时获悉了这一密码,那么系统就将会同时存在十个超级自然用户,这显然对系统内控是十分可怕的。另外,原则上要求超级用户不得从事具体业务岗位操作,但若超级用户虚拟了一个自然人并同时为其任命操作岗位权限和密码,那么超级用户要进行某方面的业务操作岂不易如反掌?事实上,这种密码管理混乱的例子在企业几乎比比皆是,甚至不少企业的许多重要岗位操作密码都是公开互用的。因此信息化环境下企业内部控制的混乱缺的往往不是控制制度,而是对岗位密码的有效管理。
(三)信息系统簿记机制舞弊
会计簿记有“记载”和“反映”两项职能,分别由账簿和账户来完成,账户负责“记载”,账簿负责“反映”。由于传统会计的簿记是被记录在纸介质上的,因此簿记的“记载”和“反映”职能被有机集为一体,记载的同时也实现了簿记的反映职能,有较强的直观性。而且由于纸介质特征,会计事项记载的内容也是固定的,即一经记载其簿记的信息格式和内容都不会再发生变化,若要修改,必然也是有痕迹的。
而在计算机系统中,信息存储实现了电子化,簿记的两项职能分别要由两个过程来完成:首先它把相关分类信息以电子数据库的形式记载在磁介质上,信息在数据库中的存储格式不同于传统会计账簿格式,人不可以直接识别,因此这只完成了簿记的“记载”职能。为满足人们以“账簿”形式进行信息查询的需要,系统设计了人们所熟悉的“账簿格式显示程序”,在需要时由系统在瞬间从相关数据库中进行检索、查询和信息组织,再以“账簿”格式显示出来,从而完成会计簿记的“反映”职能。从这个意义上说,手工环境下的账簿是实物,它的“记载”与“反映”职能被有机统一在一起且不可分割。而在计算机环境下,本质上只有“账户”(以数据库形式存在)而没有“账簿”,簿记的“记载”职能由数据库来实现,而“反映”职能可采用多种形式来完成(不一定仍采用传统的“账簿”格式)。从创新视角看,只要是能提供信息需求者所关心的信息“元”内容(包括如总账中的余额和累计发生额、明细账中的科目对应关系、业务发生额等信息,甚至从数据库中挖掘组织出的其它有价值信息),那么无论采用何种格式和组织形式,本质上讲,它都实现了“账簿”意义上的反映职能。基于此,就不难理解在计算机会计系统中所出现的账簿格式可变、信息内容可变,甚至可以反映未记账凭证信息等诸多“怪”现象,也不难理解发生在信息化环境下,账簿的“无痕迹修改”和“反复核、反记账、反结账”等功能。
按照上述分析,下面来剖析一下利用信息系统簿记机制进行会计舞弊的典型手法。
案例4,无痕迹修改舞弊。会计信息化环境中的“凭证无痕迹修改”功能,通常与“反复核、反记账、反结账”功能相伴而生,它们均是会计数据电子数据库化的特定产物。“反复核”是指在信息化环境下,可以将已审核过的会计凭证取消审核标记,以便对其进行无痕迹修改或增删;“反记账”又称“倒记账”,是指把一批已经登账的凭证当月的发生额从其各自账簿中予以扣除,使账簿恢复到该批凭证登账前状态;“反结账”又称“倒结账”或“环境恢复”,就是将已审核记账并已结转至下月的会计账簿恢复到以前月份各账簿的发生额和余额状态。有些软件不仅提供了当年各月的“反结账”功能,甚至还可以跨年度“反结账”,即直接将会计账簿恢复至指定年份、月份各账簿未审核、未登账前的发生额和余额的状态。
应当说,在会计信息的加工过程中,无论是手工还是计算机环境,出错都是难免的。会计法规要求,对于会计差错应当及时予以甄别和更正,由于手工操作的特点,显然它对凭证的修改都是“有痕迹”的。但在计算机环境下,除常规意义上的“有痕迹”修改外,还存在着一类独特的“无痕迹”修改方法。这些修改方法通常都是以信息化环境下的“反复核、反记账、反结账”功能为作业前提的,具体可分为以下几种情况:1.凭证保存前进行“无痕迹”修改。严格讲,由于此时凭证并没有保存,所以它不是真正意义上的凭证修改而是填制。2.凭证保存后且在审核前进行“无痕迹”修改。此时系统通常只允许修改除凭证编号以外的其它项目内容。3.凭证审核后且在记账前进行“无痕迹”修改,此时系统规定只有在执行了“反复核”操作后才能进行“无痕迹“修改。为明确责任,系统要求“反复核”操作通常要由审核人自己来完成。4.凭证已记账但未结账之前进行的“无痕迹”修改。此时系统要求只有当主管人员执行了“反记账”操作后,才能继续仿照前面的各级修改。5.系统结账后对凭证进行“无痕迹”修改。此时系统要求由超级用户执行“反结账”操作后,才能继续仿照前面的各级修改。
不难看出,如果把会计软件中的这种“凭证无痕迹修改”和“反审核、反记账、反结账”功能进行有效配合,那么将会为舞弊者提供相当多的舞弊机会。而实际上,从近年来的会计信息化实务看,利用上述功能配合进行会计舞弊的例子屡见不鲜。
(四)信息系统数据接口舞弊
数据接口就流向而言可分为录入口和输出口,就范围而言可分为系统(或模块)内部接口和外部接口。为方便对录入或输出数据的核对和修改,这些接口通常都设计有人工的“干预”机制,正是这种机制,为信息化环境下会计舞弊提供了机会。
案例5,账务与业务系统接口舞弊。对外报送的会计信息,最终都要在账务系统集中汇总处理后,传至报表系统生成会计报表。这些信息一部分由账务系统内部产生,而另一部分则来源于其他业务子系统,如工资、固定资产、应收、应付等。这些来源于其他业务系统的业务数据,一般通过数据接口程序被实时或分批地制作成业务转账凭证输入账务系统(属外部机制凭证),而这种制作、输入的时间以及内容通常是人工可控的。一般来说,由业务系统自动产生的原始转账数据应是相关业务的真实反应,但是由于人工“干预”机制的存在,便使这一转账接口成了极易舞弊的环节。
舞弊者在业务转账凭证生成与传递前,可对原始业务数据汇总表并进行有目的的修改,使生成以及被传递的会计凭证与业务系统的业务背景不一致。如修改工资系统的人工费用分配表,修改固定资产系统的折旧费用分配表,修改应收或应付系统的往来业务汇总表等等。尽管许多软件在账务系统仍然保留账账、账证、账表等核对功能,但由于这些功能通常只负责账务系统内部勾稽关系的检查,并不涵盖系统之间的勾稽关系,所以,这种利用账务与业务系统之间接口的舞弊,有一定的隐蔽性。
二、计算机环境下的审计对策
计算机技术环境显然为会计舞弊者提供了太多以及太方便的舞弊机会和手段,面对新环境,传统的审计手段已无能为力,因此必须要探讨新的审计对策。
(一)综合评价策略
对计算机会计系统的审计,审计人员可以先对其有一个综合的考量,这样可有效地提高审计工作的效率,更加充分地运用审计的“重要性原则”。对软件系统的考量,除查看软件鉴定证书外,还要了解其各主要系统及模块的功能、初始化内容及其业务处理流程。审计人员可运用软件分析技术,将企业系统的软件运行业务数据流程图提炼出来,然后从多个角度对其进行分析评价,从中发现是否存在不合理的或特殊的会计数据处理流程和环节。另外,稽查人员还可以将一组数据输入被审查系统,然后比较输出的结果与事先计算好的结果是否有差异,也可从不同角度列举各种有代表性的数据输入系统,考察软件的数据处理流程是否合法有效,是否留有非法的可供篡改数据的路径,数据的计算是否合乎逻辑等等。经过比对,系统的技术性和数据可靠性一目了然,然后在此基础上再对系统进行有针对性的审计。
(二)宏观比对策略
这是一种综合性的审计策略。在对信息化系统及其数据结果进行审计评价时,可“先见森林,再见树木”。即将企业当期重要经营指标数据与企业所在行业以及企业历年的同类数据进行比对分析,以宏观洞察异常情况,进而进行重点审查。这一策略的使用,往往能使稽查者对被稽查的企业系统和数据有一个宏观的认识和判断,然后配合使用“微观”的审计技术和方法,能大大地提高审计效率。
(三)系统规则审计策略
根据前面分析,计算机系统的自动化高效数据处理是以预设加工规则为前提的。因此在审计实务中,审计人员应关注信息系统的加工规则,看其制定得是否合理、合法,是否前后一致,是否有二次维护修改的痕迹等,这样往往能抓住问题的根源。
(四)人工干预口审计策略
为方便对软件系统运行进行实时有效的监督和控制,系统通常为操作者留下了许多可“干预”的环节或接口,这些环节或接口通常会被舞弊者“巧妙而有目的”地利用而成为舞弊的“事故多发地带”。可以说凡是能被人操纵的环节与接口,都应是审计者重点关注的地方。
(五)不轻信自动化加工结果策略
这一策略的原理前面已经论及,它是指审计人员不要轻易相信系统自动加工的结果,特别对敏感的项目和数据,要亲自打开系统进行核对分析,有必要时还要亲自查看其加工背景、加工规则和加工作业流程等等,甚至要演示数据进行数据测试。
(六)巧用超级管理权策略
审计人员可要求企业提供系统超级访问密码,然后利用超级管理员权限对系统进行超级“访问”审查:一方面直接利用操作员身份登录系统,进行系统最高级的访问审查;另一方面可利用超级管理员对所有操作员密码的超级维护权(即删除操作员未知密码,重新赋予新密码,并以此密码登录该业务员操作界面),进行业务级特殊“访问”检查。
三、结束语
信息化技术是一把“双刃剑”,它在为企业会计信息加工提供方便与高效的同时,也为舞弊者提供了“高效”的舞弊手段。审计人员不能仅在方法和技术层面上探讨防弊的手段,因为这仅仅只是“战术级”的,还需要在政策法规层面上进行“战略级”的策略研究。只有将宏观与微观相结合,才能构建一套科学完善的审计防范体系。
【参考文献】
