审计技术范文
时间:2023-04-01 18:11:05
导语:如何才能写好一篇审计技术,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
中国的计算机审计始于上世纪80年代中期,与会计电算化开始的时间基本同步。发展初期,由于审计软件的开发模型不像会计软件哪样清楚,审计软件怎么搞,应该有什么功能,能为审计工作带来什么影响,都是审计软件要解决突破的问题。各种因素导致审计软件滞后于财务软件的普及,所以审计软件的发展比会计软件发展慢了许多,经过近十多年的努力和发展,现在已基本成型。
发展的第一阶段(1988-1992),以手工审计为主,录入数据进入计算机,通过审计软件的计算产生一些辅的结果。固化的表格审计软件最具代表性,表格中A格的内容与B格的内容存在设定好的勾稽关系,当审计人员输入A格内容后,B格内容的输入错误将被锁定,实际上现在用EXECL就可完成,但在当时,已经算很好的审计软件了。
发展的第二阶段(1993-1997),在WINDOWS平台下开发了一些辅的审计软件,法规查询,审计项目档案管理,PSS票证审计等审计软件,这些审计软件已经在某些审计方面可以为审计人员提供服务。法规查询软件利用数据库技术可将审计人员需要的审计相关条目内容从上万条记录中取出。档案管理软件主要利用电子手段管理审计项目中的审计通知书、审计报告等,PSS票证审计软件利用统计理论对凭证进行抽样,可比手工审计提高效率10倍以上。
发展的第三阶段(1998-今),开发了以审计作业为代表的一些审计软件,对审计作业全过程均可在软件的管理下完成。审易软件就是以审计作业为主的审计软件,它的功能代表了审计软件主要功能。
二、审计软件的分类
审计软件可分为四种类型:第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。审计作业软件是审计工作的主流,是审计工作的主要工具,审计作业软件的发展是代表计算机审计软件的发展水平。
第一种现场作业软件,现场作业软件是指审计人员在审计一线进行审计作业时应用的软件,如审易软件,它主要具有以下功能:第一,能处理会计电子数据。第二,能运用审计工具对会计电子数据进行审计分析,包括审计的查帐、查询、图表分析等。第三,应能在工作底稿制作平台制作生成审计工作底稿,平台内应可以有各种取数公式,像单格取数、列取数、行取数、报表取数等,并且有像Excel那样的工具为审计人员提供平台操作服务,且可以保存、修改、删除工作底稿。
第二种法规软件,法规软件主要是为审计人员提供一种咨询服务,在浩瀚如海的各种财经法规中找出审计人员需要的法规条目及内容。它主要的功能:第一是常规查询,有审计法规条目的查询、发文单位的时间段的查询。第二,要有一定的数据量,成熟的软件应有上千万字的法规内容,检索速度要快。第三,应具有按内容查询的功能,这也是法规软件能否适用的主要标准,如果没有按内容检索的功能,这个法规的适用面将受到很大的限制,例如审计人员要查关于“小金库”的相关规定,法规软件应能快速地将涉及到“小金库”规定的法规查找出来,将内容以篇的形式提供给审计人员。
第三种专用审计软件,专用审计软件是指完成特殊的审计目的而专门设计的审计软件,象基建审计软件,基建审计软件有很强的特殊性,主要是它的工作性质有两点,第一点涉及到大量的基建图纸,第二点要有基建定额库来作参照,实际上基建审计软件用市面上的定额核定软件就能实现,所以我们把这类软件归为专用审计软件。
第四种是审计管理软件,审计管理软件包含象审计统计、审计计划、审计管理等方面。统计软件是指将审计工作成果统计上报、汇总的软件。审计计划、审计管理都是可以在这方面专门工作的小软件,实际上审计管理软件可以认为是审计作业软件的延伸,审计作业软件完全可以把这些管理功能承担起来,容纳到审计作业软件中,所以我们说审计软件的代表作应是审计作业软件。
三、审计软件的工作原理
审计软件的主要代表是由审计作业软件,以下介绍审计作业软件的工作原理。审计作业软件大体上分三大部分,第一部分是会计数据的处理,第二部分是审计方法的运用,第三部分是工作底稿的制作平台。这三部分有机联系在一起的,是一个整体,当然会计数据处理是基础。
(一)会计数据处理
采集审计对象信息,可从电子介质导入或者手工录入到审计软件。审计软件必须能从会计软件提取会计电子数据,为了适应各种变化的会计数据,采集应采用模板式。
为什么数据处理要采用模板方法呢?因为会计软件五花八门,采用的数据库及其结构各不相同,审计软件要能将其会计软件的数据采集进来,需要知道它的数据库及相关结构才能将数据采集过来,对于一般的审计人员而言,进行这样的操作是很困难的,审计软件以提供对应模板方式,针对五花八门的会计软件做出有效的反应。
例如审计人员去审计时,在手工审计的条件下要打电话让会计人员将被审计的会计帐簿及凭证拿到审计办公桌上,而现在因为是会计软件,审计人员如何将会计软件数据导入至审计软件,这是一个需要解决的问题。如何解决呢?在此我们提出模板的解决方案。通过多年的实践,此方案是可以解决这个问题的,它的原理是首先应知道会计数据存放的位置及会计软件所用的数据库类型,如果是网络版,还应通过网络连接进入会计软件的服务端,第二步进行转换,将会计数据转换进审计软件,转换时应根据审计软件的格式把相应的会计软件的内容转入审计软件,在某些情况下字段的转换是要带一定条件的,例如:会计软件中借方金额、贷方金额放在同一个字段里,用一个标识字段来标识这条记录是借方金额还是贷方金额,如果是借方金额就要D来表示,贷方金额就用C表示,在转换时要将条件是D的放入审计软件的借字段,条件是C的放入贷方字段,才能进行转换。
对会计数据的利用是审计工作的主要内容。是审计软件必须解决的问题。会计电算化的普及,原来纸制的大量会计数据已演变成电子会计数据。肉眼已不可视,计算机审计的开展面临的首要问题是如何能有效的采集出会计电子数据,共享会计电子数据,如果审计人员对会计电子数据无法处理,绕过计算机进行审计只能是一种被别人拴着鼻子走的感觉。进而,审计的真实性受到怀疑。要解决这个问题,审计手段必须发生根本的变化,原来现场审计靠一张纸,一杆笔,一个计算器的方式,从技术上讲已经过时。现场审计必须利用计算机采集出会计电子数据,进而利用审计软件对会计电子数据进行各种处理才能产生出效果,审计软件也只有突破这个障碍才能使审计软件真正的起飞,为审计现场服务。为解决这个问题,以审易软件为例,现将解决方案整理供大家参考。
采集会计电子数据面临的三个主要问题是:
1.如何打开会计数据库。国家对会计电子数据没有制定统一标准,会计商品化软件及自我开发的会计软件,存放会计数据的主要途径是利用各种数据库基础,不同的会计软件,可能选用不同的数据库来存放会计数据。如何打开这些数据库是审计人员所面临的问题,也是审计软件应解决的问题。
2.会计电子数据格式不统一。不同会计软件,会计数据格式定义五花八门。一张纸制记帐凭证在会计电子数据库中可能会被拆分成若干张表存放,在使用时,会计软件会将拆分的若干张表合并成一张凭证,通过显示器或打印机显示出来,而审计人员想直接利用这些散放的数据难度极大,只能被迫利用会计软件,但不能对这些经过会计软件经过处理的数据进行认定。
3.审计电子工具的利用受到制约。五花八门会计电子数据给审计模板制作带来很大的
难度,例如,审计人员想对5个被审单位(使用不同会计电子软件的),金额大于5万元的凭证进行抽样检查,由于会计电子数据格式不统一,每次现场审计,审计人员都需要指定会计电子数据库中哪个是凭证库,并且找出代表金额的字段才能执行这个操作,故审计工具的利用受到制约,不能有效的提高审计效能。
审易软件是利用会计数据模板制作技术来解决的。模板化是计算机审计发展之路,模板是针对不同会计软件建立的,一种会计软件要建立一套审计会计数据模板,模板应包含下述各项内容:
1.模板中要有审计会计数据结构即审计会计电子数据库中应有哪些数据库。一般讲应设置凭证库,科目库,年初数库。
2.对这些数据库结构也要做设置,例如凭证库中应有凭证日期,凭证号,凭证类型,借方金额,贷方金额等字段。别外,审计的多样性决定审计数据库应能动态增加数据库及数据库中的字段。例如,粮食审计,可能需要增加粮食储备数据库,这个数据库可能需要进粮时间,进粮吨数,单价等字段。
3.模板中审计数据库各字段与会计数据库相应建立对应关系,这种对应关系的建立应能在审计软件中方面地进行编辑,操作,使一般审计人员都能通过操作来建立这种对应关系,所谓对应即审计凭证中的凭证号对应会计数据库中的哪个数据库,哪个字段,拆分的多数据库应能通过多重对应,带条件对应与之处理,并将对应结果存入审计模板中。
4.数据库驱动的选择。会计数据库存放在何处,存放在什么路径下,数据库是单机的还是网络的,用什么数据库的驱动程序才能打开数据库,等等这些也应记入审计模板。这些完成后,审计数据模板与会计数据之间的对应关系就明白了。
5.进行转换,审计软件在接受进行转换指令后在模板库中找到当前会计数据库所需要的审计模板,解析审计模板的内容按照审计模板定义的数据库驱动程序,会计数据库存的路径,文件名等加载会计数据库。启动转换程序,按照审计模板中审计各数据库与会计数据库的对应关系,将会计数据库的内容转入至审计数据库。转换完成后,完成了审计数据模板的第一步操作数据采集,这时会计数据库的内容载入至审计数据库。
6.会计数据处理。对这些载入的会计数据要进行整理,生成审计计算库,这些审计计算库是按照审计算法对会计数据进行的加工,整理。这些加工整理是在模板的控制指令精确指导下进行操作的,是可以自动运行的,不需审计人员干预,例如,对科目库处理,模板涉及了几个问题,这几个问题是重新生成科目库,定义科目长度,科目去分隔符,统长科目变级次科目,增加删除科目,去除重复科目,科目内容含多级。模板中指明这些问题如何操作。
综上所述,审计数据模板是记录各种审计数据库与会计数据库的对应关系,存放各种指令参数,包含各种审计指令的综合体。审计人员利用成熟的会计数据模板按一个启动钮就可完成从数据采集至各种数据处理的全过程。
针对各种会计软件均能将会计数据转换过来,转换应是单向的,只能从会计软件将数据接过来,不能将已转换过来的会计数据再转入会计软件,对会计软件信息没有破坏作用,数据转换过程要有可操作性,一般的审计人员均能操作,数据转换接口应是模板式的,每一种会计软件及每一个版本都是一个模板,模板是开放的,有一定计算机能力的审计人员可自编模板,模板是可导入导出的。此方案已成功地在审计软件中采用,并为审计电算化服务。
四、审计软件中的审计工具
审计软件应含有很多审计的专门工具,其目的是使审计人员运用这些审计工具在现场快速有效地产生审计结果。它的原理是结合手工审计时审计人员的要求,利用审计软件产生审计人员需要的审计结果。
1.查询
用户从数据库(凭证库、科目库、年初数、分类帐、明细帐等)查询到自己所需的资料,通过单条件或多条件组合实现。如:需要从凭证里查询现金大于10000的支出,点中凭证库后,多条件组合为:科目编号象101and(且)贷方金额>10000,查询是一种很简单而又很快捷的方式,将单一查询条件或多条件组合好后,通过按一个钮即可检索出审计人员所要关注的内容,缩小查找范围及很快找到审计重点,并且能将查询结果存储为工作底稿,且能打印输出。
2.查帐
通过双击鼠标的方式,实现从所关注的某一科目的总帐翻阅到明细帐,然后又能从明细帐翻阅到其相关的凭证,其原理是将审计人员的手工翻帐、看帐改为审计软件环境下的翻帐及看帐,操作极其简单,通过双击鼠标的方式即可实现三级跳跃式看帐,即总帐——明细帐——凭证。
3.图形分析
用趋势图(折线图、柱状图、饼图)的方式反映科目的各月发生额趋势或各月期末余额趋势,若是处理多年度的会计电子数据还应能反映该科目不同年度的累计发生额趋势或余额趋势。图形分析工具的特点是用图形的方式来反映数据的变化,速度快、直观,能一眼就能看出所需要关注科目会计期间内的最高点和一些最低点,且能初步判断出哪些点是正常的,哪些点是异常的,这也是一个能快速把握审计重点的工具。
4.审计方法库
能将一些审计方法及经验存储到审计方法库里,并且能随时调用或批量调用得到审计结果,在当前的审计项目里可以调用,并且不同的审计项目也是可以调用的。审计方法库是审计人员经验的体现,所以又可以将审计方法库称为经验库或专家库。
上述我们讲了四个例子,它的原理是在审计软件中把审计人员的要求转化成软件的功能,使审计人员按一个钮就能满足人员某方面的审计要求。审易软件已开发了数十个审计工具来解决审计人员的要求,从开发角度讲,审易软件采用了模型化的设计思路,收集、整理审计人员的审计要求,经过提炼、加工转化为审易软件工具部分的某个功能,提供给审计人员,在实践中又进一步提高和完善这些工具。
五、审计工作底稿
审计软件如何做审计工作底稿,也是审计软件要解决的问题。审易软件采取了工作底稿模板化的思路来解决这个问题,下面将原理提供给大家作参考。
工作底稿是审计工作的记录,工作底稿设计的好坏直接影响审计工作的质量。借助计算机技术,制作出实用有效的工作底稿,不仅可以提高审计工作质量,而且可使计算机审计真正的活起来。我们经过多年的努力,在此有所突破,现把我们实现的方案写出供读者参考。
审计工作底稿模板主要有三大要素。第一:外观。决定工作底稿的行列,这张工作底稿有几列,列标题是什么,每列代表的是什么,有多少行,每行的数据是什么,及行列的文字说明。(标注)第二:数据来源。指明数据从何而来,例如是从分类帐来,还是从凭证来。是取某个科目,还是某一类科目等等。第三:公式。公式分计算公式,取数公式。计算公式代表加减乘除合计等等。计算的公式。另一类是取数公式。指明需要取的行列所需填写的数据从何而来。我们可以这样定义,审计工作底稿模板是有外观的,有各种公式的,但没有数据的工作底稿。
工作底稿模板化。即是将在审计实践中运用成熟的工作底稿清空数据后供下次或他人审计之用。纸制模板在手工审计中早己使用多年,大型会计师事务所积累了大量审计工作模板,并演变成审计工作标准。随着计算机的发展,EXCELL在审计中的应用,使审计电子模板制作技术有了很大的发展。例如:北京注册会计师协会在2000年推出了利用EXCELL制作电子模板,供社会使用。利用EXCELL大量实用的公式,审计人员制作工作底稿已经很方便。现在审计人员面临的主要问题是:如何从会计电子帐中取得工作底稿所要的数据。这时,EXCEL
L显得无能为力,审计人员只能通过大量繁锁的粘贴或录入方法装入工作底稿所需要的数据。工作底稿只有在装入数据以后才能启动以前设置好的公式运算完成底稿的制作过程。针对此问题,我们在装入数据这个环节,利用计算机的先进的技术能自动根据预先埋入的取数公式可以从会计数据库中将数据自动填入至工作底稿,解决了审计人员每张工作底稿粘贴或录入数据的工作。取数公式有四种:第一种:单格取数,第二种,报表取数。第三种:按列取数。第四种:分组取数。下面分别介绍功能。
模板如何变成审计工作底稿。审计工作模板分三个步聚,首先模板上有外观,有预埋的公式,但没有数据。第二,在启动取数公式后,软件会按照各种取数公式将工作底稿所需要的会计数据库取入至工作底稿中。第三,利用预先在模板中埋入的各种计算公式对取入的数据进行各种计算,最终形成一张工作底稿。
工作底稿变成模板,把成熟的工作底稿去除数据后只保留外观,公式另存为一个EXCELL文件,这个文件就成了一个模板,这里要注意:要把有数据的行删除。不留空行。
选取某张模板变成工作底稿,能方便地从模板库中选取要求的模板,传入至工作底稿区内。并且能自动判断是增加一张新的工作底稿还是覆盖以前有的工作底稿,为审计人员的操作提供方便。
审计作业的管理功能,审计组长可通过审计软件的管理功能指定组员可做的内容,组员可分别操作,工作底稿可导入导出,审计完成后可进行归档,进入项目档案,项目档案具有只读性。
审计软件网络版,能使审计小组协同工作,根据一定的权限查阅.制作.修改底稿,数据与底稿放在服务端。
六、应用审计软件提高计算机审计技术水平
21世纪是信息化的社会,是人类历史上突飞猛进的年代,计算机技术的不断进步,财会电算化的深入应用,使审计工作运用计算机审计技术显得尤为紧迫,如何用好审计软件,对实现审计手段现代化极具实践意义,成为当前讨论的审计技术的重要内容。
审计对象在发生着变化,由单一型向集团化发展,由单项管理向多项、综合型MIS管理发展。如某大型工程项目,为充分发挥管理手段,提高效益,一次引进软硬件资金多达十多亿元,用于其管理系统。相形之下,审计手段的落后,已无法适应审计对象的变化。在管理现代化的今天,我们沿用绕过计算机审计,所有资料都要被审计单位打印出来,不仅造成现有设备的极大浪费,被审计单位在业务上也难以接受。会计数据处理过程的不可见性,称为"黑匣子",绕过"黑匣子"的审计方法,会带来一种特殊的审计风险。
实现审计技术现代化,首先要利用审计程序,解决“黑匣子”问题。将原始凭证原封不动地搬过来,需用通用的转换工具,将原始数据转换为标准格式,变会计数据的不可见性为可见性,进行任意的查询、分析,随意进行综合归纳,追溯原始依据。我国审计界审计软件研发都在探索数据获取的技术,审计软件中不乏成功者,其中有对我国多数软件,以及美国、韩国等会计软件进行过转换数据,效果良好,说明其不是高不可攀。
实现审计技术现代化,审计行业应采用全过程一体化的审计软件,该审计软件是将已有审计技术方法,加以规范化,规范成不同的审计模块和模板,并且将它程序化,运用时审计人员现场分析,现场决定审计方案。这样的软件一般包括项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作和管理、审计报告生成等,具备完成审计工作所应有的功能。
1、取得会计电子数据
通过计算机审计的前提是取得被审计单位正确的会计电子数据,在通常情况下,数据的存放会因单机、网络、多用户等各种工作平台的相异而有区别,应根据不同的网络环境和工作平台,采取不同方式来处理。
2、数据转换,将所取会计数据处理成标准格式
在所取得的会计数据中分析出凭证库、科目库、年初数三方面的内容,包含这三方面内容的库会混杂于多个数据库当中或多个数据表中,有时数据会分12个月分别存放,总之应正确分析其内容构成,做好和标准数据格式的对应工作,就可正确将所取数据转换成标准格式的会计数据,将所形成的总帐数据和被审计单位的总帐数据核对一致,为进一步的审计工作奠定数据基础。
3、符合性测试,进行符合性测试工作
按照计划安排,依照审计程序,对所审计对象进行符合性测试,主要通过填表或回答问题方式完成调查表,通过程序进行统计,分析出符合性测试结果。
4、实质性测试,在标准数据格式的基础上进行数据查询和审计查帐
当然最好在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表,审计人员要做的是进一步套用模板,形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。至于特定形式的工作底稿,或原始凭证核查,需用审计工具中的查询、抽样等来完成。
5、合并会计报表工具的运用
系统审计软件中会提供合并会计报表工具,一般合并分录的形成仍需审计人员来完成,程序自动完成合并工作。
篇2
的机审计始于上世纪 80 年代中期,与电算化开始的时间基本同步。发展初期,由于审计软件的开发模型不像会计软件哪样清楚,审计软件怎么搞,应该有什么功能,能为审计工作带来什么,都是审计软件要解决突破的。各种因素导致审计软件滞后于财务软件的普及,所以审计软件的发展比会计软件发展慢了许多,经过近十多年的努力和发展,现在已基本成型。
发展的第一阶段( 1988 - 1992 ),以手工审计为主,录入数据进入计算机,通过审计软件的计算产生一些辅的结果。固化的表格审计软件最具代表性,表格中 A 格的与 B 格的内容存在设定好的勾稽关系,当审计人员输入 A 格内容后, B 格内容的输入错误将被锁定,实际上现在用 EXECL 就可完成,但在当时,已经算很好的审计软件了。
发展的第二阶段( 1993 - 1997 ),在 WINDOWS 平台下开发了一些辅的审计软件 , 法规查询,审计项目档案管理, PSS 票证审计等审计软件,这些审计软件已经在某些审计方面可以为审计人员提供服务。法规查询软件利用数据库技术可将审计人员需要的审计相关条目内容从上万条记录中取出。档案管理软件主要利用手段管理审计项目中的审计通知书、审计报告等, PSS 票证审计软件利用统计对凭证进行抽样,可比手工审计提高效率 10 倍以上。
发展的第三阶段( 1998 -今),开发了以审计作业为代表的一些审计软件 , 对审计作业全过程均可在软件的管理下完成。审易软件就是以审计作业为主的审计软件,它的功能代表了审计软件主要功能。
二、审计软件的分类
审计软件可分为四种类型:第一种现场作业软件、第二种法规软件、第三种专用审计软件、第四种是审计管理软件。审计作业软件是审计工作的主流,是审计工作的主要工具,审计作业软件的发展是代表计算机审计软件的发展水平。
第一种现场作业软件,现场作业软件是指审计人员在审计一线进行审计作业时的软件,如审易软件,它主要具有以下功能:第一,能处理会计电子数据。第二,能运用审计工具对会计电子数据进行审计,包括审计的查帐、查询、图表分析等。第三,应能在工作底稿制作平台制作生成审计工作底稿,平台内应可以有各种取数公式,像单格取数、列取数、行取数、报表取数等,并且有像 Excel 那样的工具为审计人员提供平台操作服务,且可以保存、修改、删除工作底稿。
第二种法规软件,法规软件主要是为审计人员提供一种咨询服务,在浩瀚如海的各种财经法规中找出审计人员需要的法规条目及内容。它主要的功能:第一是常规查询,有审计法规条目的查询、发文单位的时间段的查询。第二,要有一定的数据量,成熟的软件应有上千万字的法规内容,检索速度要快。第三,应具有按内容查询的功能,这也是法规软件能否适用的主要标准,如果没有按内容检索的功能,这个法规的适用面将受到很大的限制,例如审计人员要查关于“小金库”的相关规定,法规软件应能快速地将涉及到“小金库”规定的法规查找出来,将内容以篇的形式提供给审计人员。
第三种专用审计软件,专用审计软件是指完成特殊的审计目的而专门设计的审计软件,象基建审计软件,基建审计软件有很强的特殊性,主要是它的工作性质有两点,第一点涉及到大量的基建图纸,第二点要有基建定额库来作参照,实际上基建审计软件用市面上的定额核定软件就能实现,所以我们把这类软件归为专用审计软件。
第四种是审计管理软件,审计管理软件包含象审计统计、审计计划、审计管理等方面。统计软件是指将审计工作成果统计上报、汇总的软件。审计计划、审计管理都是可以在这方面专门工作的小软件,实际上审计管理软件可以认为是审计作业软件的延伸,审计作业软件完全可以把这些管理功能承担起来,容纳到审计作业软件中,所以我们说审计软件的代表作应是审计作业软件。
三、审计软件的工作原理
审计软件的主要代表是由审计作业软件,以下介绍审计作业软件的工作原理。审计作业软件大体上分三大部分,第一部分是会计数据的处理,第二部分是审计的运用,第三部分是工作底稿的制作平台。这三部分有机联系在一起的,是一个整体,当然会计数据处理是基础。
(一)会计数据处理
采集审计对象信息,可从电子介质导入或者手工录入到审计软件。审计软件必须能从会计软件提取会计电子数据,为了适应各种变化的会计数据,采集应采用模板式。
为什么数据处理要采用模板方法呢?因为会计软件五花八门,采用的数据库及其结构各不相同,审计软件要能将其会计软件的数据采集进来,需要知道它的数据库及相关结构才能将数据采集过来,对于一般的审计人员而言,进行这样的操作是很困难的,审计软件以提供对应模板方式,针对五花八门的会计软件做出有效的反应。
例如审计人员去审计时,在手工审计的条件下要打电话让会计人员将被审计的会计帐簿及凭证拿到审计办公桌上,而现在因为是会计软件,审计人员如何将会计软件数据导入至审计软件,这是一个需要解决的问题。如何解决呢?在此我们提出模板的解决方案。通过多年的实践,此方案是可以解决这个问题的,它的原理是首先应知道会计数据存放的位置及会计软件所用的数据库类型,如果是版,还应通过网络连接进入会计软件的服务端,第二步进行转换,将会计数据转换进审计软件,转换时应根据审计软件的格式把相应的会计软件的内容转入审计软件,在某些情况下字段的转换是要带一定条件的,例如:会计软件中借方金额、贷方金额放在同一个字段里,用一个标识字段来标识这条记录是借方金额还是贷方金额,如果是借方金额就要 D 来表示,贷方金额就用 C 表示,在转换时要将条件是 D 的放入审计软件的借字段,条件是 C 的放入贷方字段,才能进行转换。
对会计数据的利用是审计工作的主要内容。是审计软件必须解决的问题。会计电算化的普及,原来纸制的大量会计数据已演变成电子会计数据。肉眼已不可视,计算机审计的开展面临的首要问题是如何能有效的采集出会计电子数据,共享会计电子数据,如果审计人员对会计电子数据无法处理,绕过计算机进行审计只能是一种被别人拴着鼻子走的感觉。进而,审计的真实性受到怀疑。要解决这个问题,审计手段必须发生根本的变化,原来现场审计靠一张纸,一杆笔,一个计算器的方式,从技术上讲已经过时。现场审计必须利用计算机采集出会计电子数据,进而利用审计软件对会计电子数据进行各种处理才能产生出效果,审计软件也只有突破这个障碍才能使审计软件真正的起飞,为审计现场服务。为解决这个问题,以审易软件为例,现将解决方案整理供大家。
采集会计电子数据面临的三个主要问题是:
1. 如何打开会计数据库。国家对会计电子数据没有制定统一标准,会计商品化软件及自我开发的会计软件,存放会计数据的主要途径是利用各种数据库基础,不同的会计软件,可能选用不同的数据库来存放会计数据。如何打开这些数据库是审计人员所面临的问题,也是审计软件应解决的问题。
2. 会计电子数据格式不统一。不同会计软件,会计数据格式定义五花八门。一张纸制记帐凭证在会计电子数据库中可能会被拆分成若干张表存放,在使用时,会计软件会将拆分的若干张表合并成一张凭证,通过显示器或打印机显示出来,而审计人员想直接利用这些散放的数据难度极大,只能被迫利用会计软件,但不能对这些经过会计软件经过处理的数据进行认定。
3. 审计电子工具的利用受到制约。五花八门会计电子数据给审计模板制作带来很大的难度,例如,审计人员想对 5 个被审单位(使用不同会计电子软件的),金额大于 5 万元的凭证进行抽样检查,由于会计电子数据格式不统一,每次现场审计,审计人员都需要指定会计电子数据库中哪个是凭证库,并且找出代表金额的字段才能执行这个操作,故审计工具的利用受到制约,不能有效的提高审计效能。
审易软件是利用会计数据模板制作技术来解决的。模板化是计算机审计发展之路,模板是针对不同会计软件建立的,一种会计软件要建立一套审计会计数据模板,模板应包含下述各项内容:
1 . 模板中要有审计会计数据结构即审计会计电子数据库中应有哪些数据库。一般讲应设置凭证库,科目库,年初数库。
2 . 对这些数据库结构也要做设置,例如凭证库中应有凭证日期,凭证号,凭证类型,借方金额,贷方金额等字段。别外,审计的多样性决定审计数据库应能动态增加数据库及数据库中的字段。例如,粮食审计,可能需要增加粮食储备数据库,这个数据库可能需要进粮时间,进粮吨数,单价等字段。
3 . 模板中审计数据库各字段与会计数据库相应建立对应关系,这种对应关系的建立应能在审计软件中方面地进行编辑,操作,使一般审计人员都能通过操作来建立这种对应关系,所谓对应即审计凭证中的凭证号对应会计数据库中的哪个数据库,哪个字段,拆分的多数据库应能通过多重对应,带条件对应与之处理,并将对应结果存入审计模板中。
4 . 数据库驱动的选择。会计数据库存放在何处,存放在什么路径下,数据库是单机的还是网络的,用什么数据库的驱动程序才能打开数据库,等等这些也应记入审计模板。这些完成后,审计数据模板与会计数据之间的对应关系就明白了。
5 . 进行转换,审计软件在接受进行转换指令后在模板库中找到当前会计数据库所需要的审计模板,解析审计模板的内容按照审计模板定义的数据库驱动程序,会计数据库存的路径,文件名等加载会计数据库。启动转换程序,按照审计模板中审计各数据库与会计数据库的对应关系,将会计数据库的内容转入至审计数据库。转换完成后,完成了审计数据模板的第一步操作数据采集,这时会计数据库的内容载入至审计数据库。
6 . 会计数据处理。对这些载入的会计数据要进行整理,生成审计计算库,这些审计计算库是按照审计算法对会计数据进行的加工,整理。这些加工整理是在模板的控制指令精确指导下进行操作的,是可以自动运行的,不需审计人员干预,例如,对科目库处理,模板涉及了几个问题,这几个问题是重新生成科目库,定义科目长度,科目去分隔符,统长科目变级次科目,增加删除科目,去除重复科目,科目内容含多级。模板中指明这些问题如何操作。
综上所述,审计数据模板是记录各种审计数据库与会计数据库的对应关系,存放各种指令参数,包含各种审计指令的综合体。审计人员利用成熟的会计数据模板按一个启动钮就可完成从数据采集至各种数据处理的全过程。
针对各种会计软件均能将会计数据转换过来,转换应是单向的,只能从会计软件将数据接过来,不能将已转换过来的会计数据再转入会计软件,对会计软件信息没有破坏作用,数据转换过程要有可操作性,一般的审计人员均能操作,数据转换接口应是模板式的,每一种会计软件及每一个版本都是一个模板,模板是开放的,有一定计算机能力的审计人员可自编模板,模板是可导入导出的。此方案已成功地在审计软件中采用,并为审计电算化服务。
四、审计软件中的审计工具
审计软件应含有很多审计的专门工具,其目的是使审计人员运用这些审计工具在现场快速有效地产生审计结果。它的原理是结合手工审计时审计人员的要求,利用审计软件产生审计人员需要的审计结果。
1 .查询
用户从数据库(凭证库、科目库、年初数、分类帐、明细帐等)查询到自己所需的资料,通过单条件或多条件组合实现。如:需要从凭证里查询现金大于 10000 的支出,点中凭证库后,多条件组合为:科目编号象 101 and (且)贷方金额> 10000 ,查询是一种很简单而又很快捷的方式,将单一查询条件或多条件组合好后,通过按一个钮即可检索出审计人员所要关注的内容,缩小查找范围及很快找到审计重点,并且能将查询结果存储为工作底稿,且能打印输出。
2 .查帐
通过双击鼠标的方式,实现从所关注的某一科目的总帐翻阅到明细帐,然后又能从明细帐翻阅到其相关的凭证,其原理是将审计人员的手工翻帐、看帐改为审计软件环境下的翻帐及看帐,操作极其简单,通过双击鼠标的方式即可实现三级跳跃式看帐,即总帐 —— 明细帐 —— 凭证。
3 .图形分析
用趋势图(折线图、柱状图、饼图)的方式反映科目的各月发生额趋势或各月期末余额趋势,若是处理多年度的会计电子数据还应能反映该科目不同年度的累计发生额趋势或余额趋势。图形分析工具的特点是用图形的方式来反映数据的变化,速度快、直观,能一眼就能看出所需要关注科目会计期间内的最高点和一些最低点,且能初步判断出哪些点是正常的,哪些点是异常的,这也是一个能快速把握审计重点的工具。
4 .审计方法库
能将一些审计方法及经验存储到审计方法库里,并且能随时调用或批量调用得到审计结果,在当前的审计项目里可以调用,并且不同的审计项目也是可以调用的。审计方法库是审计人员经验的体现,所以又可以将审计方法库称为经验库或专家库。
上述我们讲了四个例子,它的原理是在审计软件中把审计人员的要求转化成软件的功能,使审计人员按一个钮就能满足人员某方面的审计要求。审易软件已开发了数十个审计工具来解决审计人员的要求,从开发角度讲,审易软件采用了模型化的设计思路,收集、整理审计人员的审计要求,经过提炼、加工转化为审易软件工具部分的某个功能,提供给审计人员,在实践中又进一步提高和完善这些工具。
五、审计工作底稿
审计软件如何做审计工作底稿,也是审计软件要解决的。审易软件采取了工作底稿模板化的思路来解决这个问题,下面将原理提供给大家作。
工作底稿是审计工作的记录,工作底稿设计的好坏直接审计工作的质量。借助机技术,制作出实用有效的工作底稿,不仅可以提高审计工作质量,而且可使计算机审计真正的活起来。我们经过多年的努力,在此有所突破,现把我们实现的方案写出供读者参考。
审计工作底稿模板主要有三大要素。第一:外观。决定工作底稿的行列,这张工作底稿有几列,列标题是什么,每列代表的是什么,有多少行,每行的数据是什么,及行列的文字说明。(标注)第二:数据来源。指明数据从何而来,例如是从分类帐来,还是从凭证来。是取某个科目,还是某一类科目等等。第三:公式。公式分计算公式,取数公式。计算公式代表加减乘除合计等等。计算的公式。另一类是取数公式。指明需要取的行列所需填写的数据从何而来。我们可以这样定义,审计工作底稿模板是有外观的,有各种公式的,但没有数据的工作底稿。
工作底稿模板化。即是将在审计实践中运用成熟的工作底稿清空数据后供下次或他人审计之用。纸制模板在手工审计中早己使用多年,大型师事务所积累了大量审计工作模板,并演变成审计工作标准。随着计算机的, EXCELL 在审计中的,使审计模板制作技术有了很大的发展。例如:北京注册会计师协会在 2000 年推出了利用 EXCELL 制作电子模板,供使用。利用 EXCELL 大量实用的公式,审计人员制作工作底稿已经很方便。现在审计人员面临的主要问题是:如何从会计电子帐中取得工作底稿所要的数据。这时, EXCELL 显得无能为力,审计人员只能通过大量繁锁的粘贴或录入装入工作底稿所需要的数据。工作底稿只有在装入数据以后才能启动以前设置好的公式运算完成底稿的制作过程。针对此问题,我们在装入数据这个环节,利用计算机的先进的技术能自动根据预先埋入的取数公式可以从会计数据库中将数据自动填入至工作底稿,解决了审计人员每张工作底稿粘贴或录入数据的工作。取数公式有四种:第一种:单格取数,第二种,报表取数。第三种:按列取数。第四种:分组取数。下面分别介绍功能。
模板如何变成审计工作底稿。审计工作模板分三个步聚,首先模板上有外观,有预埋的公式,但没有数据。第二,在启动取数公式后,软件会按照各种取数公式将工作底稿所需要的会计数据库取入至工作底稿中。第三,利用预先在模板中埋入的各种计算公式对取入的数据进行各种计算,最终形成一张工作底稿。
工作底稿变成模板,把成熟的工作底稿去除数据后只保留外观,公式另存为一个 EXCELL 文件,这个文件就成了一个模板,这里要注意:要把有数据的行删除。不留空行。
选取某张模板变成工作底稿,能方便地从模板库中选取要求的模板,传入至工作底稿区内。并且能自动判断是增加一张新的工作底稿还是覆盖以前有的工作底稿,为审计人员的操作提供方便。
审计作业的管理功能,审计组长可通过审计软件的管理功能指定组员可做的,组员可分别操作,工作底稿可导入导出,审计完成后可进行归档,进入项目档案,项目档案具有只读性。
审计软件版,能使审计小组协同工作,根据一定的权限查阅.制作.修改底稿,数据与底稿放在服务端。
六、应用审计软件提高计算机审计技术水平
21 世纪是信息化的社会,是人类上突飞猛进的年代,计算机技术的不断进步,财会电算化的深入应用,使审计工作运用计算机审计技术显得尤为紧迫,如何用好审计软件,对实现审计手段化极具实践意义,成为当前讨论的审计技术的重要内容。
审计对象在发生着变化,由单一型向集团化发展,由单项管理向多项、综合型 MIS 管理发展。如某大型工程项目,为充分发挥管理手段,提高效益,一次引进软硬件资金多达十多亿元,用于其管理系统。相形之下,审计手段的落后,已无法适应审计对象的变化。在管理现代化的今天,我们沿用绕过计算机审计,所有资料都要被审计单位打印出来,不仅造成现有设备的极大浪费,被审计单位在业务上也难以接受。会计数据处理过程的不可见性,称为 " 黑匣子 " ,绕过 " 黑匣子 " 的审计方法,会带来一种特殊的审计风险。
实现审计技术现代化,首先要利用审计程序,解决“黑匣子”问题。将原始凭证原封不动地搬过来,需用通用的转换工具,将原始数据转换为标准格式,变会计数据的不可见性为可见性,进行任意的查询、,随意进行综合归纳,追溯原始依据。我国审计界审计软件研发都在探索数据获取的技术,审计软件中不乏成功者,其中有对我国多数软件,以及美国、韩国等会计软件进行过转换数据,效果良好,说明其不是高不可攀。
实现审计技术现代化,审计行业应采用全过程一体化的审计软件,该审计软件是将已有审计技术方法,加以规范化,规范成不同的审计模块和模板,并且将它程序化,运用时审计人员现场分析,现场决定审计方案。这样的软件一般包括项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作和管理、审计报告生成等,具备完成审计工作所应有的功能。
1 、取得会计电子数据
通过计算机审计的前提是取得被审计单位正确的会计电子数据,在通常情况下,数据的存放会因单机、网络、多用户等各种工作平台的相异而有区别,应根据不同的网络环境和工作平台,采取不同方式来处理。
2 、数据转换,将所取会计数据处理成标准格式
在所取得的会计数据中分析出凭证库、科目库、年初数三方面的内容,包含这三方面内容的库会混杂于多个数据库当中或多个数据表中,有时数据会分 12 个月分别存放,总之应正确分析其内容构成,做好和标准数据格式的对应工作,就可正确将所取数据转换成标准格式的会计数据,将所形成的总帐数据和被审计单位的总帐数据核对一致,为进一步的审计工作奠定数据基础。
3 、符合性测试,进行符合性测试工作
按照计划安排,依照审计程序,对所审计对象进行符合性测试,主要通过填表或回答问题方式完成调查表,通过程序进行统计,分析出符合性测试结果。
4 、实质性测试,在标准数据格式的基础上进行数据查询和审计查帐
当然最好在已做好符合性测试的基础上进行实质性测试。审计程序会自动形成各科目固定格式的审定表,审计人员要做的是进一步套用模板,形成诸如现金盘点、固定资产折旧、应付福利费等的计算表。至于特定形式的工作底稿,或原始凭证核查,需用审计工具中的查询、抽样等来完成。
5 、合并会计报表工具的运用
系统审计软件中会提供合并会计报表工具,一般合并分录的形成仍需审计人员来完成,程序自动完成合并工作。
篇3
【关键词】 持续审计; 数据审计技术; ERP; 系统控制审计审查文件
一、引言
由于企业信息化程度的不断提高以及企业规模的不断壮大带来的信息量激增,传统审计很难及时有效地分析处理大量的业务数据,因此,需要一种技术能够对企业ERP系统中的业务数据进行快速有效的审计鉴证,而持续审计(Continuous Audit,以下简称CA)的数据审计技术具备这种能力。
所谓CA,国内外学者提出过很多观点,最早提出CA概念的是AT&T的Bell实验室的科学家Vasarhelyi和Halper(1991),他们开发了CA的首个实例系统CPAS(Continuous Process Auditing System),该系统主要服务于内部审计;Rezaee et al.(2001)认为CA是在无纸化和实时会计信息系统的环境中收集电子审计证据的一个系统过程,该过程以对财务状况发表公正客观的意见为目标;Alles et al. 2006)的论文拓宽了CA的范畴,从CA的本质出发强调了CA不仅是一种技术,更为关键的是CA满足了内部审计对企业范围内数据和交易的全程监控和缩短了交易事项与鉴证之间在时间上的延迟。何芹(2007)认为持续审计强调审计过程的持续性和审计实施的即时性,是一种例外事项基础的审计,强调“自上而下”与“自下而上”方法的结合以及审计活动的整合性。
CA的有效实现关键依赖于CA的数据审计技术,本文就此展开论述。
二、CA的数据审计技术
CA的数据审计技术可分为三类:1.在ERP系统实际运行时,可以运用测试数据对ERP系统进行评估的审计技术;2.在ERP系统实际运行时,可以从中选择一些事务进行审查的审计技术;3.ERP系统实际运行时,可以跟踪或映射ERP系统变化状态的审计技术。
根据这种分类方法,本文分析了CA三种主要的数据审计技术:
(一)集成测试技术(ITF)
集成测试是在ERP系统文件中设立的假想实体,针对这个实体,在系统中运用审计测试数据进行测试,以此来验证处理的真实性、准确性和完整性。例如,如果是一个薪资系统,就在数据库里设置一个虚构的人物;如果是库存系统,就虚构一种货物;如果是电子数据交换系统,就与其他组织的审计部门合作并且在数据库中设立虚构的实体;然后使用测试数据来更新这些虚构的实体。这些数据将包含在通常的产品数据中输入到ERP系统中去。
1.实现ITF的方法
实现ITF的方法有两种:第一,测试数据的输入方法;第二,有两种针对虚构实体输入数据的方法。
第一种方法是对提交给所测试系统的在线输入事务进行标识。ERP系统应当能够识别这些经过标识的事务并且同时更新ERP系统主文件记录和虚构实体。识别ITF事务的方法如下:(1)在源文档中用一个特定的数据项来说明;(2)在ERP系统中嵌入审计模块来识别;(3)在ERP系统中嵌入一个采样模块,该模块根据一定的采样策略对ITF事务进行标识。
将在线事务标识为ITF事务后不仅易于使用,而且可以用系统日常处理的典型事务来进行测试。但也存在两个问题:首先,使用在线数据意味着系统的局限性得不到测试;其次,包含在系统中用来识别那些经过标识的事务并对其进行特殊处理的代码,可能会对系统的正常运行造成影响。例如增加系统的响应时间或破坏数据完整性。
第二种数据输入方法是设计新的测试事务并将它们与在线事务一起输入到ERP系统中去,通过将虚构实体的唯一标识符作为这些事务的键值来将其标识为ITF事务。这种方法有两个优点:首先,可以基于测试数据计划来生成测试数据。这样测试数据就能更全面地覆盖ERP系统的执行路径。其次,无需对ERP系统进行修改以标识ITF事务,也无需对ITF事务进行特殊处理。不过,测试数据计划的制定需要消耗较多的时间和人力。
2.消除集成测试事务影响的方法
ERP系统中的ITF事务将会影响到输出结果,除非通知客户并手工对系统输出作出调整,否则必须消除ITF事务对系统的影响。
有三种方法可以消除ITF事务的影响。
第一,修改ERP系统以标识ITF事务并在任何可能影响用户的处理中忽略它们。这种方法由于需求明确,易于实现,同时审计活动对用户来说是透明的。
第二,提交额外的事务来抵消ITF事务的影响。这种方法的优点是简单且无需修改系统,不过也存在问题:(1)必须在ITF事务对输出造成影响之前就提交,否则就无法对用户透明;(2)为了维持数据完整性,必须确保这些额外事务能够正确执行。但是,由于有时很难确定受到事务影响的所有记录,因此也就无法正确地设定相应的反向事务。
第三,提交不重要的数据减小ITF事务本身对系统的影响。这样,事务的影响并不是真的消除了,只是它们对用户的影响非常小。这种方法的优点是简单不必修改系统。
(二)快照与延伸记录
对于那些复杂的或大型的系统来说,跟踪系统中不同的执行路径是很困难的,快照技术在ERP系统中的各个关键控制点嵌入程序模块以获取事务经过这些点时的映像。为了验证事务在这些点的处理情况,这些映像包括处理前映像和处理后映像;然后通过比较这两种映像,来判断在该点的事务处理的真实性、准确性和完整性。
实现快照技术需要解决三个问题:首先,依据控制点的重要性来决定是否设置快照,同时应当考虑对性能的影响;其次,决定何时进行快照,既可以不断地对重要的事务进行快照,也可以在特定事务进入系统前,对其进行标识;再次,由嵌入的软件在系统中根据标识,有选择地进行快照,还可以基于采样计划对各种事务进行快照;最后,决定所获取的快照数据的报告内容。嵌入的软件应当提供足够的标识和时间信息,才能够判断快照对应的事务、快照的顺序和时间。
快照技术有一种变型,称为延伸记录技术。这种技术并不是为每一个快照保持一条记录,而是在事务流经快照点时,将快照记录在同一条记录上,并随着事务的进行,不断延伸该记录。延伸记录的优点是,所有与一个事务相关的数据都保存在同一个地点,因此也就方便进行审计评估工作。
可以将快照和延伸记录技术与ITF技术相结合以提供更广泛的审计线索。ITF提供了一条主记录,可以针对它用各种类型的事务进行测试。而快照和延伸记录技术则为每一类事务提供一条其在ERP系统中处理过程的审计线索。
(三)系统控制审计审查文件(System Control Audit Review File,SCARF)
SCARF技术是四种持续审计技术中最复杂的一种。它要求在ERP系统中嵌入审计模块以持续监控系统中的事务。这些审计模块被设置在预设的地点以收集事务信息或重要的系统事件。所收集的信息写入一个特定的审计文件――SCARF主文件;然后通过检查包含在其中的信息,确定需要对系统的哪个方面进行跟踪。
实施SCARF的两个步骤:
1.确定SCARF收集的信息
SCARF嵌入审计软件的性质和控制点取决于所要收集的信息类型,信息类型如表1所示:
由于SCARF嵌入式审计软件的完整性对于由SCARF收集来的线索的可靠性很重要,应当仔细考虑如何保护软件的内容和完整性。应当将这些源代码保存在库文件中并且只允许得到授权的访问,应用程序使用调用语句而不是直接包含嵌入式审计软件的源代码,相关文档也应当妥善地加以保存,应当仔细考虑如何对这些软件进行维护。
2.SCARF报告系统的结构
SCARF报告系统的结构由以下三方面决定:(1)确定如何更新SCARF文件;(2)选择所要使用的排序编码和报告格式;(3)选择报告的时机。
如果要把SCARF和ITF以及快照和延伸记录技术结合起来使用,就应当确保上述决策与其他技术的决策相符。
有一种更新SCARF文件的方法是让每一个ERP系统创建一个临时的SCARF工作文件;然后在适当的时候拷贝到SCARF主文件。这种方法很简单,但在临时的SCARF工作文件被拷贝到主文件中以前,会存在数据片断,这些数据片断可能会妨碍到SCARF的有效性,因为它妨碍了对SCARF数据的及时分析。为了避免数据片断的问题,可以让SCARF系统并发地更新SCARF主文件。由于要处理并发操作的问题,一般通过使用数据库管理系统予以解决。
应当仔细考虑SCARF使用的排序编码,如果没有适当的排序编码,就无法有效地组织SCARF数据供审计使用。缺乏适当的报告格式,会难以解释SCARF系统提交的数据。SCARF系统会采集大量的数据,如果不能有效地组织数据并进行摘要,就可能会忽略那些表明错误和违规的数据。
在大多数情况下,必须确定SCARF数据收集的时间间隔,即报告周期的长短取决于所收集的审计线索的重要性和产生审计报告的成本。
三、结语
CA的数据审计技术能够极大地提高传统审计的质量和效率,促进审计模式的进步和革新,这种影响是持续而深远的。随着信息技术的发展,会有更多适合企业审计需求和更为智能化的审计技术出现,从而不断提升企业的管理水平和增强企业的竞争力。
【参考文献】
[1] Michael G. Alles, Brennan G., Kogan A., Vasarhelyi MA .Continuous monitoring of business process controls: A pilotimplementation of a continuous auditing system at Siemens Int.[J]. AccountingInformation Systems, 2006(2).
[2] Rezaee R. Elam,A. Sharbatoghlie. Continuous auditing:The audit of the future[J]. Managerial Auditing Journal 2001(3).
[3] 何芹.持续审计概念之辨析[J].当代财经,2007(12).
[4] 何芹.谈持续审计的技术支持问题[J].财会月刊,2007(29).
[5] 杨黎明.基于资本市场的持续审计功效分析[J].经济问题,2009(11).
篇4
一、计算机辅助审计技术的优势
1.计算机辅助审计技术的使用有助于提高审计工作的效率,降低审计成本。它的运用既提高了审计的正确性与准确性,也使审计人员从冗长乏味的计算工作中解放出来。计算机的优势在于能对数据进行高速、正确地运算处理,目前奔腾Ⅱ处理器的运算速度已达到上亿次每秒,而审计工作的对象正是以数据为基础的财务及其他资料,因此正可利用计算机的高速、正确性来辅助审计,以提高审计工作的效率,降低审计成本。另外,许多手工审计方式要求审计人员做大量冗长乏味的计算工作,在某些情况下,可以运用计算机辅助审计技术使这些步骤达到自动化,而审计人员可以集中注意于那些需要专业判断的部分。
例如,对企业材料成本差异的核算进行复核。由于材料成本差异核算具有连贯性,某一月的材料成本差异率的错误会影响到以后所有月份差异率的数值,若审计人员发现企业某一月的差异率有误,用手工的方式对以后月份的差异率作重新计算是非常繁琐的,而采用计算机辅助审计技术只需输入当年年初的差异率和每月材料的借贷发生额(剔除每月材料所摊的差异),在Excel等应用软件的帮助下即可对企业全年每月的材料成本差异率和差异额进行重新复核,在企业将材料分类进行差异率核算的情况下,该方法正是“一劳永逸”,更显方便。
2计算机辅助审计技术的使用可帮助审计人员扩展审计的范围。目前企业会计电算化日趋普及,其所应用的会计电算化软件也多种多样,根据国家有关法规规定,商品化会计电算化软件必须符合一定条件并通过鉴定,但在实际应用上亦存在种种以书面资料为审计对象所无法解决的难题。例如,有的企业采用的是自行开发的或其他尚未通过鉴定的会计电算化软件,其本身可能存在一定缺陷,不能或不能充分以书面形式提供审计所需的资料,有的企业采用的软件虽然经过了鉴定,但在使用时由于操作或其他原因亦存在同样的问题。而通过计算机辅助审计技术可以直接对企业全部的会计资料进行审计,无论其资料是以书面形式保存还是储存在计算机系统的磁媒介或其他储存器中。由此,计算机辅助审计技术可使审计的范围由书面向其他媒介扩展。
3计算机辅助审计技术具有相当大的机动灵活性。在企业采用会计电算化的情况下,运用该技术能使微型计算机在一位审计人员的控制下就能对会计事项进行全面、迅速、经济、有效地分析。而目前便携式计算机的广泛使用、应用软件的推陈出新更使计算机辅助审计如虎添翼,更灵活、方便地应用于各种场合、各种状况。
二、计算机辅助审计技术应用的范围及方法
1评价企业采用的会计电算化软件的内在风险
对采用会计电算化的企业,审计人员首先要评价软件的内在风险。目的在于确定审计人员依赖这些软件控制的程度,以减少为检验系统执行而进行数据实质性测试的范围。经评价验证,在内在风险较低的情况下,更可缩短审计时间,减少审计成本。具体方法有:
A分析系统的方法。具体操作为:先剔除会计电算化软件中较多的数据库文件,仅对软件中的重要程序模块进行解剖,阅读数据处理的流程,分析程序的逻辑结构。目的在于确定程序是否能可靠、稳定地运行;程序的各种功能是否都能实现;程序的数据处理、数据生成是否正确;是否能满足会计处理的各种需要。该方法的优点在于可发现软件本身存在的根本问题,可确定企业会计核算基础的可靠性,目前亦有众多的反编译工具或其他软件可帮助审计人员对程序进行分析研究,但其难度在于审计人员必须具备相当丰富的计算机软硬件知识,且多数商品化会计电算化软件都经过各种方式的加密,这亦成为实施该方法的一大障碍。
B选样测试系统的方法。审计人员首先建立一包含一个月基本会计资料的数据库,然后输入到会计软件中,根据其核算处理后输出的结果判断软件的可靠性。当然该数据库中必须包含一系列的“错误”。“错误”是指不相关会计科目的分录(借贷双方为通常情况下不应有勾稽关系的会计科目,例如银行存款和盈余公积)、不可能的科目余额(例如至测试结束现金出现贷方余额)等。输入“错误”可测试出软件对“错误”是否识别、如何处理。
C评价数据安全性的方法。审计人员可对数据安全性的各个方面进行测试。例如,软件中凭证的制作是否采用二次输入的方法以确保凭证输入的正确性;软件是否已设置在软件运行中,对已输入计算机的凭证不能直接进行修改,而应通过红冲等其他修订的方式;软件是否能对数据进行备份,备份的方式是否安全(备份的安全性主要指在存储媒介溢满的情况下,是否能提前向使用者发出提示)等。
通过数据测试及评价数据的安全性能直观地反映出该会计软件各方面的性能,更可判断出使用该软件的内在风险。使用该二种方法的主要障碍在于:由于会计电算化软件的不断发展,更新升级,软件的内在风险也在不断降低之中,对于审计人员来讲,现被测试的计算机程序的版本是否与企业在前段时期内所使用的一致,这是很难检验出来的,这意味着审计人员较难确定前后软件版本内在风险的差异。另外,该方法对单机版的会计电算化软件较为适用,对网络版软件来讲存在一定难度。
2验证会计资料总体的完整性
在企业采用会计电算化的情况下,可运用计算机辅助审计技术来验证会计资料总体的完整性。常规审计中极少对企业会计资料总体进行验证,至多对某一会计科目进行帐帐、帐表核对,而事实上该项工作同样重要。参见《上海审计》1997年第2期上《不应忽略对帐帐、帐表的核对》一文。该文作者对某企业的其他应收款的
七、八十户明细帐户进行了汇总核对,工作量较大,而在一台486DX2-66的微型计算机上,汇总中型企业一个月全部的会计凭证资料仅需几十秒,对审计人员来讲,手工完成此项工作几乎是不可能的。验证的具体方法为:
首先,根据企业年初或月初的会计科目余额,确定会计凭证总体的初始年、月初余额,并输入计算机中。
其次,将企业当年或当月的会计凭证库进行转化,将企业会计凭证库转化成审计人员熟悉并能操作的格式,目前有众多的应用软件都能达到这一目的,转化好的会计凭证库需要作进一步的调整,仅保留需要的数据以加快运算速度。例如对会计凭证库中的一级科目名称、借方金额、贷方金额等予以保留,而剔除摘要、二级科目名称等。审计人员再进行汇总计算以得出当年或当月会计科目的发生额。
最后,将年、月初余额与发生额相累加并以报表的形式输出。由此,审计人员可与企业的年报或月报相核对,以验证总体的完整性。
3协助审计人员进行统计抽样
近年来,一种建立在科学理论基础上的,已通过国际审计界广泛实践证明的以制度为基础的审计方法已逐步应用于我们的审计之中。该方法在符合性、实质性测试中都运用到统计抽样,而计算机辅助审计技术正可在此领域大显身手,具体方面有:
A运用于审计日常抽样的编码工作。一般情况下,无论是否采用计算机辅助审计技术都可选取随机数(运用随机数表),再转化为审计总体的编码,但其工作量大而枯燥。而运用计算机辅助审计技术,仅需几秒即可完成随机数的产生及所有的编码工作。
B方便地运用于审计抽样。计算机辅助审计技术在决定恰当的抽样方法及规模、选择样本及评价方面都能使审计人员得到帮助。从总体中抽取样本时,对审计人员来讲最关键的是所有总体中的项目都能被客观地抽取,而采用恰当的统计抽样方法能避免抽取无代表性样本的风险。在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的。
应用举例:在对某企业的审计中,笔者用Foxpro编制了一运用PPS抽样的程序,能自动地完成从数据编码转化、选择输出样本到分析判断的所有工作。程序运行中首先要求审计人员输入运行参数(可靠性程度、精确度上限和估计错误率),再读入所抽样的数据库并由审计人员确定抽样的字段,其余工作即可由计算机自动完成,抽样的具体数据及结果详见《上海审计》1996年第六期《审计风险控制及审计抽样法在企业资产负债损益审计中的运用》一文。
4关键样本及高价值样本的隔离
对企业而言,大量的会计处理是日常性的事务,如报销、成本结算、费用结转等,而审计人员所关心的是一些关键的会计处理,运用计算机辅助审计技术能对企业的会计数据库进行分析,确认及打印出在某段时期内高价值的和关键的样本,人工分析并全部隔离出这些高风险的交易事项常常是不可能的。所谓的高价值及关键样本主要指不相关的会计科目;单笔金额超过审计人员预先设定数的样本,如单笔金额在一万元以上的现金收付;不常变动的会计科目,如资本公积等。审计人员在风险控制的基础上,对关键样本及高价值样本进行重点审计即可满足一般审计的需要。
5日常会计资料的分析及计算
现代审计要求审计人员对企业的会计资料进行较多的分析,而这正是计算机辅助审计技术的专长,例如对企业的应收帐款帐龄进行分析,当前众多企业的应收帐款金额居高不下,在企业应收帐款电算化的情况下,可以很简单地得到分析结果,而手工输入再由计算机汇总亦很方便,难以想象全部以手工方式来操作的难度;另外计算机辅助审计技术亦可运用于审计日常的计算工作,例如上文谈到的材料成本差异核算的复核。
6审计文书及审计项目管理
审计人员亦可运用办公自动化软件进行审计文书管理,如审计通知书、被审计单位基本情况、审计计划、审计工作底稿、审计报告、档案均可由计算机协助处理,方便日后的查询及调阅。例如,在对某公司的审计中,我将全部的审计工作底稿均输入到计算机中,在编写审计报告时仅需调用底稿文件、稍加修改即可完成。而目前多媒体的应用、计算机外设的增多能使计算机将图象、声音、动画、视频等转化为数字处理并存储,由此满足了审计各种方式取证的要求,更为审计工作的无纸化开创了广阔的前景。
三、计算机辅助审计技术的发展趋势
计算机辅助审计技术的应用过程也是不断发展、完善自身的过程,笔者认为将来计算机辅助审计技术将在以下方面得到推广及应用:
1对会计电算化软件采用预置审计程序的技术。目前,商品化会计电算化软件呈百花齐放的局面,亦有众多企业使用的软件是自行编制的,编制软件采用的语言也各种各样,数据存放的格式也多种多样,这都给计算机辅助审计带来了一定的难度。从前景来看,审计部门必然要参与会计电算化软件的鉴定,对会计电算化软件也必将采用预置或嵌入审计程序的技术以满足审计发展的需要。该技术是指预置或嵌入在企业会计电算化系统中的审计程序,是根据审计人员的需要而设计,用来即时鉴别出特定的或程序无法识别需要审计人员专业判断的会计事项,并把它们复制到审计人员的文件中。国外,该技术现已开始运用,不久的将来也必然会出现在我们的审计中。预置审计程序的技术为审计人员提高审计的效率,降低审计风险提供了最佳的方式及手段。
篇5
[关键词]信息技术;审计;财务报告
doi:10.3969/j.issn.1673 - 0194.2016.04.047
[中图分类号]F239.1 [文献标识码]A [文章编号]1673-0194(2016)04-00-01
最初的信息处理是以手工为主,而审计对象也只是人和纸质材料。然而随着科技的不断进步,计算机技术得到了广泛应用,电子数据处理的审计也成为可能。同时,以ERP为代表的信息系统应运而生,并集成了企业内部控制的审计、风险评估的审计及信息系统的审计。
1 信息技术与审计概述
现代信息技术是在计算机技术、微电子技术及通信技术的快速发展下,形成的一个用以开发利用信息资源的全新技术群。现代信息技术的核心主要有计算机技术、微电子技术、软件技术及通信技术。
信息技术在会计上的应用也极为广泛,应用技术也逐渐成熟。企业通过运用信息技术,记录、处理及报告各项交易情况,以衡量和审查企业的财务业绩情况,持续记录企业资产、负债及权益;详细记录收入与支出情况,定期做好利润计算;详细记录现金流及现金净流量情况,在前期的现金余额基础上,计算本期末现金余额情况。而被审计单位将信息技术运用到日常工作中,在一定程度上改变其审计环境,同时给审计手段及方法创新提供了非常好的机遇,进一步影响到审计程序、审计证据及审计方式。
2 信息技术对审计的影响
随着科技的飞跃发展,人类社会已步入信息化时代,各个领域在不同程度上应用了信息技术。信息化技术的应用是社会发展的必然结果,也是各个领域发展的基本要求。
信息技术对审计环境也产生了较大影响,虽然企业在审计过程中运用了信息技术,但不会改变审计目标、风险评估及内部控制的基本原则,其中一些基本审计准则、审计目标依然是适用的。审计人员在审计过程中要深入了解该企业信息技术的应用范围与性质,这是因为信息系统在设计和运行上都会对评价审计风险、业务流程、收集审计证据等产生直接影响。
2.1 信息技术对审计线索产生的影响
所谓审计线索,就是企业在交易活动中留下的线索,对审计工作至关重要。以往采用手工核算形式,每一步业务的处理痕迹比较明显,审计线索也就非常清晰。通常审计人员采用顺查或者逆查的方式进行审查,以确定业务的真实性及会计核算的准确性。
当今信息技术应用在审计工作中,任何业务数据的处理都在计算机内部完成,因而审计线索的隐蔽性也大大增强。在会计信息化应用过程中,只保存凭证,各种明细账、汇总及报表皆由计算机相关程序生成,修改或者篡改时不会留下痕迹。另外,由于信息系统的时间具有可调整性,短时间内可以做不同时间的账目,审计人员很难发现具体时间的账目,这导致审计线索存在一定的隐蔽性,且一些企业与信息系统的相关企业串通舞弊,较难发现其中的端倪。
2.2 信息技术对内部控制产生的影响
在现代审计过程中,须对被审计企业的内部控制情况进行审核和评价,以作为审计方案的制订及抽样范围的有效依据。在信息技术应用的背景下,内部控制目标并未发生变化,但在控制活动的性质上有所变化。在审计过程中,审计人员要关注信息环境下的业务活动和流程中所具备的风险性。在传统手工会计系统中,企业每一笔业务的处理都需经过若干手续,以形成一种严密的内部牵制,在业务处理过程中互相进行核对、牵制和监督。然而会计系统信息化之后,主要由计算机来完成工作,导致审查和稽核机制在很大程度上被削弱。
2.3 信息技术对审计内容产生的影响
审计工作在信息技术的应用下,其内容也发生了变化。因信息系统自身特点及存在的风险性,在审计内容上必须包括对信息系统及系统具体的控制功能进行审查,也就是对企业财务系统安全性进行着重审查。审计人员要从信息系统中的报表、账目明细结果追查原始业务情况就变得较为困难。所以,在审计过程中,要想了解信息系统数据的可信度,就必须对信息系统本身开展审计工作,同时财务信息系统自身安全性的审查也是必须要履行的程序。
3 信息技术背景下提升审计质量的建议
3.1 开展对信息系统的事前审计
加强事前审计监督工作,针对信息系统内部控制的严密性和完善性、信息系统的合规性和合法性及信息系统可审性等方面内容进行评价,确保信息系统在运行过程中数据的真实性和准确性,以预防信息系统产生信息失真方面的风险。
3.2 信息系统内部控制制度需定期审计
在信息技术背景下,定期对信息系统内部控制进行有效的审查和评价,能提升审计质量。对被审计的系统内部控制制度是否健全以及执行情况是否符合进行调查,提出强化内部控制的相关措施,督促被审计单位尽快健全控制制度和完善内部控制系统。
3.3 注重信息系统事后审计
注重信息系统事后审计,针对信息系统的电子账及输出资料的合法性和真实性进行评价,以防产生信息失真方面的风险。
4 结 语
从目前来看,信息技术的应用给审计工作的开展带来许多便捷,在一定程度上也扩展了审计领域,也同时也给审计工作带来了一些问题。当然,未来审计技术也会随着信息技术的不断发展而改进。在信息化的大环境下,人们对信息系统的依赖性越来越普遍,这也为信息系统的审计提供了较大的发展空间。
主要参考文献
篇6
[关键词] 审计技术;审计职业信息化;培训
[中图分类号] F239.1[标识码]A[文章编号] 1673-0194(2006)01-0042-03
自20世纪90年代以来,审计环境发生了很大变化,对审计期望值的无限高和审计能力的有限性以及审计风险的无限高与审计技术的有限性,已经成为当今审计界面临的两大突出难题。尽管审计技术与方法本身无法弥补社会期望与审计能力之间的差距,但合理的现代审计技术,就能用最合理的资源投入,给出最合理的审计结论,承受最低的审计风险。
审计技术与方法是审计基础理论的重要组成部分,尤其是信息技术环境中的审计技术与方法,已成为审计理论中最活跃、最不稳定的因素之一,引发审计界越来越多兴趣的跟进。,利用机辅助审计技术、数学和统计学技术以及比较流行的分析性复核技术,在国际审计界已经成为通用技术,如果我国审计人员能够充分地和借鉴,必将以较低的成本,迅速提高我国审计的技术水平。多年来,我国政府审计机关对审计干部开展了持续性的信息化知识培训,但我国审计人员所具备的技能与现代审计的要求还存在较大的差距,并且随着审计环境、审计对象的变化而加剧。本文对我国审计职业信息化培训与现代审计技术发展的适应性问题进行分析,针对现阶段国家审计职业信息化培训存在的问题提出一些建议。
一、现代审计对审计职业信息化的要求
审计职业信息化培训为全面提高审计人员的分析能力及审计判断质量提供了可能,但要制定一个对审计职业具有导向性的培训方案,必须对当前审计技术的变化以及被审对象的变化有一个清楚地认识。
(一)现代审计需要在信息技术平台上引进审计分析手段
传统的审计核对方法,是以佐证资料为参照系,与审查资料相互映照,借以发现审查资料的错讹,因此,计算机审计的原始需求起源于审计的局部业务对信息技术的应用,比如,审计信息的查询、核对、抽样、文档制作、计划管理。然而,在很多情况下,无法证实佐证资料的真实性和正确性,特别当被审对象规模庞大,关系复杂时,传统的审计方法存在着许多难题,结果并不理想。现代审计的重心趋向于经营导向的风险分析,关注与财务报表相关的未指明联系,对经营业务本身进行审计,这要求审计人员从被审单位财务数字的奇异性、账户之间的奇异性,以及时间、地点、人员的奇异性,结合具体的业务内容来发现问题,许多审计活动都是近年来引入的,并且超越了传统的审计工作。如果说在以往的审计工作中,审计人员依靠个人已有的经验、知识、技能来对审计项目进行试探、分析和断定便能完成任务的话,那么,在如今社会对审计期望无限高的形势下,传统的判断过程和方法将给自己带来巨大的审计风险。在审计资源既定的情况下,迫切需要在信息技术平台上应用现代审计分析技术。
(二)被审系统财务业务一体化要求审计人员具有确认、发现和分析信息的能力
目前,我国正在逐步提倡、实行企业财务业务一体化,记录和报告财务信息的系统变得功能繁多,所产生的财务与非财务信息也日益丰富,这为应用现代审计技术提供了信息基础,同时也给审计带来一些新的问题:⑴被审系统的功能、单据的入出方式和地点发生了变化,比如许多资料直接由资料产生处的人员来键入;⑵被审企业的业务、财务基础管理工作和单证流转程序发生变化,比如信息会在交易完成后自动入账,同时进入相关分类账,并自动产生报表,且许多资料直接从系统中即时存取;⑶机内储存的信息迅速增加,比如除财务信息以外,还储存有非财务、企业内部、外部的相关信息。这些都要求审计人员熟悉被审系统的处理流程和控制过程,并具有确认和发现信息的能力、信息选择和简化的能力、对信息分析和分类并应用新技术的能力。
(三)审计判断的复杂性要求审计技术与方法的智能化
会计舞弊行为是一类带有大量不确定因素的半结构化或非结构化问题,产生舞弊的因素复杂,种类繁多,很难科学地计算和评估,这就需要有新的技术来“智能地”和“自动地”分析原始数据。智能化强调的是将经验、科学推导和审计人员的专业判断结合起来,指导审计人员得出合理的审计结论。在审计过程中,数学、统计学的分析结果,都不能完全替代审计人员的专业判断,因为在其利用的数学公式中,仍然有许多变量需要审计人员主观确定。在这种情况下,越来越多的审计机构,倾向于在审计软件中为审计人员的决策提供。目前,西方发达国家许多审计机构不惜花巨资,邀请审计领域的专家,分析在各种情况下常见的审计策略或方法以及对不同审计结果的判断标准,以减少主观思维对审计人员的,支持审计人员的判断过程的客观性。
二、我国现阶段审计职业信息化培训存在的问题
我国政府审计在审计职业信息化培训方面投入了大量的人力和财力,培养了大批基础应用人才,在较大范围内实现了传统的审计作业流程在计算机中的转移,提高了审计的实时性和效率。笔者认为,在现代审计技术应用被广泛提倡的形势下,我国审计职业信息化至少存在以下问题,有待于创新和改善。
(一)信息技术环境中现有审计方法的创新问题
目前,我国计算机审计在对被审财务数据的获取、转换、检索等方面积累了一定的经验,使各种错账检查方法的运用更加简捷而高效,在大量减少查账工作量的同时加速了审计判断的过程,但不足之处在于,对已获得的数据如何进行深层次的分析探讨不够。如果现阶段过多的搜集此类案例,并在培训中占据主要位置,将会降低审计职业信息化培训的导向性,也不利我国审计基础理论的深化。长期以来,我国大学相关专业课程中,现代审计风险的识别、数理统计方法在分析性复核中的应用、支持审计判断的专家系统等知识一直未纳入审计主流教材,需要在审计职业后续教育中予以弥补。审计职业信息化培训的目的之一,就是以信息技术为核心,探讨对现有的审计方法和手段进行改进、创新。
(二)现代审计技术应用与信息技术实现的融合问题
在信息技术环境中,对审计人员而言,明白一种分析方法的意义比知晓其计算过程更为重要。因此,培训内容要涉及技术实现的原理和操作两个知识点,例如,现代审计技术方法主要涉及重要性水平的确定、审计风险评估、审计抽样、分析性复核等,计算机软件使上述方法的实现过程相当简易,难点在于对合适问题选择合适的方法,尤其是,审计分析适用的场合往往是一些多变量大样本的情形。目前,独立变量的选择仍主要取决于审计人员的直观判断以及数据的可获取情况,并借助计算机进行反复试探、比较训练。但在我国审计技术与方法类培训课程中,鲜见各种审计技术方法在计算机中的应用过程,而在审计信息化类培训课程中,主要涉及审计平台的建设、建设、数据库技术以及审计软件的开发和应用,缺少贯穿课程始终的审计分析案例的支持,形成现代审计技术应用与信息技术应用两张皮的课程体系。显然,这不利于那些富有执业经验的审计人员灵活借用信息技术来分析问题,也不利于审计新人在实务中充分发挥自己的信息技术优势。
(三)培训中受训人员的参与
要确保开设课程的针对性和有效性,培训机构不仅要了解我国传统审计职业实现信息化的问题和难点,也要了解审计实现信息化的问题和难点,其课程必须经常更新制作,使其具有性。尤其是,审计信息化培训的对象层次较高,专业性强,开展审计职业信息化培训的门槛比普通意义的以技能训练为主的信息技术培训要高得多,这些都对培训机构自身的实力提出了挑战。实际上,在审计职业后续中,受训人员的学历、阅历都不同,具有丰富执业经验的审计人员和擅长信息技术的审计新人,他们知识的结合点就是丰富培训资源的重要源泉,但他们在长期工作中积累的技巧、经验和心得没有在培训班中得到交流和分享。
(四)培训效果评价问题
培训效果的评价是教育培训体系的最后一步,也是关键的一步。一般来说,只要是职业培训,就存在一个分级的评估体系:一级评估主要关注学员对所学课程的兴趣反应;二级评估主要通过考核检查学员所学的知识;三级评估主要衡量学员工作表现的变化;四级评估则是衡量培训是否有助于工作业绩的提高。目前,我国政府投入大量人力、财力搞审计信息化系统建设、人才建设,但信息技术环境中现代审计技术的快速和我国审计职业传统审计方式的惯性势力形成鲜明对比,这突显出我国审计职业信息化培训重教学、轻效果评价,对培训转化率低的现象关注不够。如果受训人员不能做到学以致用,那么,对每个参加培训的人都是一种浪费。
三、思考或建议
审计培训机构应在发现、支持和参与审计职业变化方面发挥领导作用,既把审计业务信息化作为培训目标,也把追求审计业务信息化的最佳效果作为培训目标。现行审计职业信息化培训的设计与我国审计的需求、现状是相吻合的,但从信息技术发展的水平及我国审计的发展需求来看,目前主要任务一是应考虑目前现代审计技术的应用水平,将一些实践证明能有效控制审计风险的知识和方法与信息技术实现过程紧密结合;二是和归纳那些具有丰富执业经验的审计人员长期以来积累的审计经验和技巧,在机上以案例的形式给受训人员亲临其境的感受,三是要依靠各级审计机关切实保证培训效果的落实与反馈,并在培训的方式上积极探索创新。
(一)结合通用软件包剖析现代审计技术,增进实务需求
现代审计分析方法是传统审计方法的拓展,往往需要相应软件的支持才能实施。我国审计软件种类少,分析功能不足,加上审计人员工作惯性的,导致审计实务对现代审计分析方法应用的需求不足,这反过来又制约了审计软件的发展。在现有条件下,可以借助其他软件剖析分析审计技术,以增进需求。例如,回归分析方法是处理多个变量之间相互关系的一种数学方法,在合规性审计中,可利用回归分析方法计算活动中某审查量的值,用此理论值与实际值进行比较,从而为审查工作提供线索、把握审计重点,并为评价审计工作质量提供依据,该审计分析技术利用表格或统计软件包即可实施。实际上,在教学过程中结合计算机系统介绍审计分析的原理和操作方法,不仅解答了审计实际问题,还能大大提高受训人员的兴趣,从而激发他们探求这些方法和原理的欲望。
(二)有组织的搜集专家经验,尝试专家系统分析法
专家系统法,是对审计人员不可量化的经验进行转化的一种较好的方法,通过此种方法,可以对数据库里存放的过去多年的审计数据进行分析,从而汇集有经验的审计人员的知识,提取有关规则,按照一定的规则进行审计预测分析。由于专家经验的搜集是一个耗时的过程,因此,基于专家系统的辅助审计软件开发周期长、开发费用昂贵,在我国远未广泛使用,同样也显示出需求的明显不足。随着人工智能技术的发展,基于专家系统的各种系统都在不断地普及和发展,审计人员利用专家系统完成审计证据收集和分析的远景可以期待。目前要推动这一技术在审计中的应用,首先需要有组织的搜集、整理、优化审计专家的经验,并形成数据库;其次,在审计职业信息化培训课程中做一份专家系统知识的普及工作,可以引导审计人员在平时工作中对审计经验的关注和搜集,启发他们对新技术的应用热情。
(三)跟踪关注财务业务一体化系统的发展
目前,企业组织结构及经营活动方式日趋复杂,一些企业管理层出于筹资和业绩考虑进行舞弊的动机仍然存在,应该看到某些被审单位的舞弊水平在不断提高,其手段从简单的违纪违规转向了有预谋、有组织的技术造假;从单纯的账簿造假转向了从传票到报表的全面资料造假,财务业务一体化系统的应用不仅加速了这一造假过程,也使造假行为更隐蔽。培训课程应指导审计人员利用被审系统提供的信息和手段为己所用,例如,利用被审系统将传统的财务处理同发生财务的事务相结合的特点,在查核被审单位财务的资金现状的同时,追索资金的来龙去脉;利用被审系统提供的同业务伙伴之间的数据交换功能,把握被审单位所处的行业特征,从而识别企业的内外经营环境,企业经营风险、财务风险,全面而广泛地评价企业受托经济责任履行情况。
篇7
关键词:信息环境 计算机审计
计算机审计是指审计人员以计算机为工具,对被审计单位会计信息系统进行的有效性,数据处理的合法性正确性,最终报表的真实性公允性进行审计的过程。计算机审计是会计电算化的必然要求,也是审计工作发展的必然趋势。①当前计算机审计正逐步发挥着它特有的优势,但由于设备、人员及软件等因素的制约,计算机审计过程中也出现了一些问题,阻碍了审计事业的健康发展。
一、信息化环境下计算机审计技术出现的问题
(一) 审计业务能力与信息化发展水平不均衡
随着信息技术的发展,审计正逐步实现手工操作向计算机操作的转变,这就要求审计人员必须同时具备专业的审计知识和较高的计算机操作能力。可是,目前审计机关却面临着审计业务能力与审计信息化发展严重不均衡的状况。首先,许多年长的审计人员虽然有丰富的审计经验,却缺乏计算机知识的储备,将传统的审计方法转化为计算机审计还需要一段漫长的磨合过程。其次,一些年轻的审计人员虽然对计算机知识有一定的了解,但仅靠浅层次的计算机基础知识和技能,根本不能完成深度的计算机系统设计、程序编译检测技能,难以适应越来越高的审计需求。
(二) 审计机关信息化程度与被审计对象不对称
审计工作是一项缜密的工作,需要有强有力的技术手段支撑。可是,由于金融、税务、社保等领域信息化程度高速发展,技术水平远远高于开发较晚的审计部门,使审计人员的计算机审计水平难以达到这些部门的审计需求。而在一些基层建设领域中却缺乏开展计算机审计的条件,使计算机审计无法正常运行。这些审计机关与被审计对象的不对称情况严重制约着审计信息化建设的发展。
(三) 计算机审计系统实际操作性不强
目前各级部门所用的财务办公软件并未完全统一,仍有一些部门使用的是自行开发的软件。并且随着信息化建设的发展,各种软件的功能正由核算型向管理型转变,结构也越来越复杂,但不少系统并没有开设标准的数据接口,甚至对数据结构不开放。而审计软件的开发缺乏通用性,审计软件繁杂多样,与各级部门的办公软件难以协调,对审计工作的科学发展十分不利。并且,由于许多单位审计信息资料未能有效地与局域网络链接,审计信息与数据难以互通,造成了远程审计的许多困难,严重影响了计算机审计的实际操作性。
(四) 计算机信息环境下风险防范意识不佳
在计算机信息环境下,各种风险因素也普遍存在着。例如:由于电、磁、温度、灾害等不可抗力的影响,容易造成计算机系统资源的损害和数据资料的丢失;由于网络防卫能力与抗风险能力的局限,使因特网黑客入侵、网络木马病毒传播,局域网络信息数据泄露等情况屡见不鲜,容易造成企业信息数据泄露。因此,计算机审计中的风险防范与控制已经成为审计必须重视的一项问题。
二、信息化环境下开展计算机审计技术的建议
(一)加强理论研究,促进计算机审计稳步发展
计算机审计是当今审计工作的潮流,只有加强理论知识研究,提高审计的科技含量,才能不断促进计算机审计的深远发展。审计人员应不断总结实际工作中的经验与做法,积极学习各种先进的理论书籍,努力开拓理论研究的新领域。由于计算机审计与传统手工审计的区别,应注重结合传统审计的精华与各种计算机信息技术,有创建型地展开对计算机审计的审计对象、审计方法、审计线索、审计技术的研究,进一步规范计算机审计工作,促进审计工作的独立性、客观性和公正性。
(二)注重人才培养,造就高素质的审计队伍
高素质的审计人才是审计技术发展的核心,审计人员的素质直接影响着审计的效果与成败。当前审计人员中年长者经验丰富,判断准确但缺乏必要的计算机知识,而比较年轻的审计人员计算机知识比较丰富,而审计经验又相对偏少。因此,必须注重综合型的审计人员的培养,实现计算机技术与审计思路相结合。在培训中,首先应注意培训的针对性,结合当地审计情况突出重点和实用性;其次应该注重骨干人员的培养,实现以点带面;第三,要确保培训的系统性与连贯性,使培训与实践相互促进。
(三)结合实际情况,注重各种审计软件的开发
审计软件的开发对于审计工作的顺利开展有着重大的意义。但是由于不同的软件具有不同的数据库、不同的使用方式,给计算机审计带来了一定的难度。因此,审计部门应继续推广通用的审计软件,统一财务软件与审计软件的接口标准,不断提高通用软件的实用性,实现对审计软件预设与自编程序技术,满足地方审计的不同需求。另外,也可结合当地审计的实际情况,围绕财政预算基金和重点专项基金,自行开发一些具有行业特色和地方特色的审计软件,切实提高审计工作的实效性。
(四)加快数据库建设,逐步完善联网审计体系
为了提高计算机审计的现实操作功能,应该尽快推进大型数据库的建设和联网审计研究。一是要加快建立审计统计资料、审计档案、审计专家经验、审计法规以及被审计单位资料、宏观经济数据等数据库,并不断更新和完善数据库内容,为审计实施提供有效支持。②二是要利用网络环境采取多种形式组织资源,满足审计工作对经济类共享信息的需求,实现宏观监督,开拓审计人员的视野。三是应该逐步完善联网审计体系,实现国家电子政务网络平台、建设审计署和国务院办公厅及其他有关部门的网络连接,通过审计网络与被审计单位的连接,开拓新型的现场审计与远程联网相结合的审计模式,提高审计的工作效率和实际效果。
(五) 防范计算机审计风险,完善各项防范措施
针对计算机审计中的不安全因素,审计部门应加强对信息化环境下的各种风险的防范与控制。第一,注重审查硬件系统的可控性,如从防护系统、使用记录、操作程序等角度检测系统的安全性能,并严格审查操作人员的安全操作情况。第二,注重检测数据通道的安全性。可以通过检测法抽查其数据进行传输,检 测数据的准确性;通过测试密钥管理和口令控制检测硬件系统的安全性等。第三,注重对数据资源的控制审计。如检查数据系统是否有充足的备份,有无个人私自存取数据情况等。第四,注重对软件系统的控制审计。如检查软件产品是否正版,有无安装防毒杀毒软件,有无病毒侵入等。从各个角度增强审计人员的安全防范意识,建立安全的审计网络环境。
计算机审计是审计发展的必然趋势,只有不断完善计算机审计技术,提高审计人员实际操作水平,才能充分发挥审计作用,为国家经济稳妥发展保驾护航。
注释
① 张英.计算机审计风险的成因及对策[J]. 魅力中国,2010,(10).
② 姚尧岳.关于进一步推进计算机审计的几点思考[J].财经纵横,2006,(8).
参考文献
[1] 李勇.信息化环境下开展计算机审计的思考[J].2009,(12).
[2] 姚尧岳.关于进一步推进计算机审计的几点思考[J].财经纵横,2006,(8).
[3] 苏运法,袁小勇.计算机审计[M].首都经济贸易大学出版社,2005.
篇8
(一)评价信息技术内控制度建设和执行程度
建立完善的信息技术内控制度并高效执行,以保障信息应用系统安全稳定运行和安全风险的有效防范,是内控制度建设的意义所在。评价被审计单位内控制度建设和执行的经济性、效率性和效果性,可从以下几方面入手。
1.人民银行信息安全管理部门根据业务工作和系统运行的需要,明确要求基层人民银行根据自身业务实际情况,制定《机房人员出入管理制度》、《计算机机房运行管理制度》、《机房安全管理制度》、《网络安全运行制度》、《重要业务系统运行管理制度》等内控制度。审计人员在明确基层央行应建立的信息技术内控制度数量的前提下,调查了解被审计单位建立的信息技术内控制度数量,由此得出内控制度健全率(内控制度健全率=已建立的内控制度数/应建立的内控制度数×100%)。内控制度健全率<100%,反映出被审计单位存在业务领域的制度真空,内控制度健全率>100%,则反映出被审计单位存在制度冗余,此两种情况的出现表明被审计单位在内控制度建设方面均未实现经济性的预期目标。
2.信息技术内控制度建设的目的,不是为了“满足审计和检查需要”或“上级行要求”,而是要充分发挥内控制度的约束和监督作用,防范系统风险及操作风险,指导业务工作规范开展以保障应用系统的安全平稳运行。通过审阅被审计单位提供的档案资料,审计人员应分析并判断被审计单位对于各项内控制度是否有效执行,并将有效执行的内控制度数量进行统计,计算得出内控制度的执行率(内控制度执行率=有效执行的内控制度数/已建立的内控制度数×100%)。若制度执行率<100%,表示被审计单位虽然建立了相应的内控制度,但并未有效执行,存在制度建设和制度执行的不对等,无法实现以一定的投入取得最大的产出,反映出被审计单位在内控制度建设方面未实现效率性的预期目标。3.防范信息系统安全风险和操作风险是基层人民银行信息技术内控制度建设的最终目的,评价内控制度建设的效果性,可以通过加权风险控制率指标来衡量。按照业务种类及系统类型对风险操作进行分类划分,并根据风险所造成的危害程度赋予相应的权重,经过加权计算即可得出风险加权控制率。审计人员通过加权风险控制率指标可以直观地评价被审计单位内控制度建设的效果性。加权风险控制率指标越高(趋于100%),反映被审计单位信息技术内控制度建设的效果性越接近预期效果,实现了风险控制的绩效目标,相反则反映出被审计单位信息技术内控制度建设的效果性不佳,未实现绩效目标。
(二)评价信息技术组织人员配备及管理情况
科学合理的组织人员管理是保障信息技术工作有序开展的重要条件,同时也是发挥人力资源效率最大化的基础。绩效审计中应引入对被审计单位组织人员管理的审计评价,通过对被审计单位人员的岗位设置、人员分工、绩效考核、人员培训、转岗提拔等内容的审计,评价被审计单位在组织人员管理的经济性、效率性和效果性。1.通过岗位设置的完整率指标及岗位人员胜任率指标评价组织人员管理的经济性。审计人员在信息技术绩效审计过程中应全面掌握被审计单位的人员基本情况及岗位设置情况,将被审计单位设置的岗位与规章要求设置的岗位进行对比,计算得出岗位设置完整率指标(现有岗位数量/应设岗位数量×100%)。通过向各岗位工作人员本人及服务对象进行问卷调查,统计工作人员胜任岗位工作的情况,得出岗位人员胜任率指标(胜任岗位人员数/接受调查岗位人员数×100%)。将岗位设置完整率与岗位人员胜任率加权合并为组织人员管理经济率指标(岗位设置完整率×50%+岗位人员胜任率×50%),来评价被审计单位组织人员管理的经济性。2.以被审计单位人员分工的平衡性评价组织人员管理的效率性。合理分配工作任务,能够发挥每一名工作人员的积极性和创造性,挖掘工作人员的潜在能力,不断提升整体的工作效率。在以往的信息技术审计中,通过现场检查和问卷调查,发现大量的工作任务往往集中在少部分人的身上,工作任务分配不平衡,整体工作效率较低。假设被审计单位科技人员有N名工作人员,则理想状态下每人的工作量应为部门工作总量的1/N×100%,审计工作中通过对科技部门负责人和所有工作人员开展调查,可以掌握每名员工的工作量占比情况,若个体工作量相对于部门工作总量的占比均趋于1/N×100%,则反映出该部门分工平衡,人员管理效率较高,若少数人员工作量占比过高而其他人员工作量占比过低,则表示被审计部门分工不平衡,人员管理效率较低。3.以岗位考核、转岗提拔情况综合评价组织人员管理的效果性。在信息技术绩效审计中,审计人员往往忽视被审计单位工作人员岗位考核和转岗提拔情况的综合评价。如果岗位考核的优秀结果过于集中在少数人,客观上反映出被审计单位存在工作人员不能胜任工作岗位,或工作任务分配不均等情况,没有实现组织人员管理的预期效果。作为一个需要不断引入新技术、更新成员的特殊部门,通过统计审计期内被审计单位的人员岗位流动和干部提拔情况,能够分析和比较科技部门在全行人才培养和转岗提拔方面的占比和排名,从而对被审计单位信息技术组织人员管理的效果性做合理的评价。
二、信息技术绩效审计的指标
(一)业务信息类系统绩效审计
评价业务信息类系统建设的成本控制。在业务信息类系统建设阶段,要查看项目成本是否得到有效控制,是否存在超预算情况,并分析其原因。根据成本支出情况,计算成本使用的效率。主要绩效审计指标为:资金节约率(资金是否有节约,节约资金/项目总投入资金)、成本降低率(计划成本-实际成本支出/计划成本支出)、实际超支额占原预算总额的比例(超支额/预算总额)。评价业务信息类系统的生命周期。将实际使用年限与计划使用年限进行比较,检查评价是否存在使用周期过短情况。查看正在使用和已停用的信息化项目,分析已停用项目的使用年限和停用原因表1风险加权控制率指标计算表序号i风险操作数量R(i)业务操作总量S(i)权重W(i)加权风险控制率指标1-ii=1ΣW(i)×R(i)/S(i)观察思考(业务发展变化、项目自身功能缺陷),从而评价项目的使用周期长短。主要绩效审计指标为:实际使用年限与计划使用年限之比(实际使用年限/计划使用年限)、停用项目占所有自建项目之比(停用项目数量/所有自建项目数量)。评价业务信息类系统的资源利用率。将系统实际使用范围和计划相比较,评价是否存在系统功能、资源闲置情况;通过查看系统的各项使用功能,与计划功能相比较,通过比较评价系统功能的完整性。主要绩效审计指标为:实际功能占计划功能比例(实际使用功能/计划功能)、功能有效使用率(分四个级次:经常、一般、较少、未使用)。评价业务信息类系统的维护成本。通过调查掌握系统的后期维护情况,评价是否存在后期维护成本偏高、不经济情况。一是检查项目维护的成本支出,通过与项目建设成本相比较,判断维护成本高低;二是通过询问科技人员维护工作量,计算每月或每年维护该系统花费的工作量[小时/月(年)],从而评价维护工作量的大小。主要绩效审计指标为:项目维护成本占项目建设成本之比(维护支出/项目建设成本)、系统维护工作量占科技人员工作时间(月均维护时间/月工作时间)。
(二)计算机基础设施绩效审计
1.机房绩效审计指标
(1)机房建设绩效审计指标
衡量科技机房的建设是否符合当前的业务需要,应从“必须在机房内运行的设备数量”着手,计算出合理的机房容积,再根据机房高度计算出机房面积。其中机房高度应在2-3米间,过高则浪费空间、增大机房空调负荷浪费电力,过低则不易摆放服务器机柜等设备、不易散热,同样造成浪费。机房建设费用的测算,则应通过评估招标文件来进行测定。随着人民银行各类业务系统的集中化程度不断加强,省会以下地市中支的系统维护业务目前正显现萎缩态势,地市中支机房一般按C类标准建设,足以满足目前及今后一个时期的业务需要。
(2)机房电子设备绩效审计指标
机房电子设备数量对机房建设的考核。设R=必须在机房内运行的设备数量/实际运行在机房内的设备数量。当R>1时,机房建设不能满足当前业务需要;当R<1时,机房建设存在浪费。机房电子设备可分为网络设备、服务器和辅助维护设备(如UPS电源和空调、新风系统和机房监控系统)。网络设备方面,地市中支的系统维护业务逐步上移到省会及以上机构,各业务系统对网络的依赖性却大大提高。审计中,应评价地市中支对机房网络设备以及办公大楼综合布线的投入能否满足当前以及今后一个时期的业务系统对于网络传输的带宽需求和不间断安全运行的保障要求。服务器设备方面,目前主要包括入侵检测系统、防病毒系统、网络监控系统等安全监测系统和ABS、TBS的业务系统等一些重要业务系统两大类型。审计中主要关注服务器各项参数设置的合规性,服务器运行状况,业务系统维护管理情况等内容,参考各类设备的维护制度,制定相应绩效考核内容,通过统计人员支出、服务器运行频率、系统差错率等参数,评价服务器设备工作的经济性、效率性和效果性。安全监测系统主要用于保护网络内部数据及其他系统的安全运行,应属于辅系统。对安全监测系统的绩效审计,主要看安全监测系统所占用的系统资源和保护网络系统安全运行的时间,如果安全监测系统所占用的系统资源过高,则其对业务系统运行反而造成影响,要扣除相应的绩效值。其绩效审计值=安全系数-购买成本*权重-系统占用*权重。2.网络建设绩效审计指标衡量网络建设绩效的主要指标有:网络线路连通性风险(一般采用2条不同服务商的主干线,设A服务商的风险率为Ra、B服务商的风险率为Rb,则2条主干线的风险率为“1-(1-Ra(1-Rb))”,其值在0-1之间。风险率越低,则表示出现网络连通性风险的可能性越低。网络带宽绩效审计,网络带宽是否满足业务需要,是指即使在业务高峰的情况下,网络带宽仍略大于业务流量,不至于出现数据包拥堵。测算此数值,应统计所有业务系统的网络需求。因2条主干线是各自独立的,所以不能分担网络需求,故每条主干线的网络带宽应为业务需要带宽之和。网络设备绩效审计,其中网络设备包括核心路由器、核心交换机和楼层交换机,以及办公楼布线、办公室信息点、办公室交换机等。核心路由器、核心交换机从数量上来说必须有主备机两套,还应从性能上对其进行绩效审计,即路由器处理能力的审计,可通过调阅路由器运行日志或观测路由器运行状态来得出相关数据,一般要检测两个指标:一是日常路由器负载应在5%-10%之间。二是路由器峰值负载不得高于80%。对楼层交换机的绩效审计则应从性能和数量两方面考虑,楼层交换机个数应为楼层放置点的(1+20%)倍,或至少保留2个备用楼层交换机。楼层交换机接口应为楼层信息点的(1+20%)倍,但不建议超过24个,如该楼层确实信息点较多(超过20个),可考虑使用再次接入小型交换机来解决。
(三)IT项目采购和外包服务绩效指标探索
篇9
马宁和官建成利用三个指标(专利数量、创新产品数量、创新产品销售比例)衡量企业技术创新绩效的水平,通过对12个变量的回归分析,确定了影响中国工业企业技术创新绩效的关键因素。高建第一次明确给出了企业技术创新绩效的定义,把它定义为企业技术创新过程的效率、产出的成果及其对商业成功的贡献,包括技术创新产出绩效和技术创新过程绩效,并通过对已有指标的总结和国外指标的借鉴,统计出了11项常用技术创新产出指标。陈劲在承认技术创新绩效包括创新产出绩效和创新过程绩效两大部分的基础上,以11个具体指标评价创新过程绩效的同时,还对以技术创新为主的企业和以工艺创新的企业进行了划分。任爱莲利用统计学方法对81个绩效审计评价指标进行层层约简后形成的高新技术企业创新绩效审计指标体系。总而言之,绩效审计在企业创新管理中的应用已经引起了学者们的关注,他们对创新能力、创新过程和创新绩效等方面的审计模式进行了研究,构建了相应的审计评价指标并运用一定的方法进行审计。
二、高新技术企业技术创新绩效审计评价指标体系问卷调查与分析
本次问卷调查为了保证问卷的真实性、可靠性以及可用性,本研究所选择的问卷对象是在会计师事务所工作人员和政府审计人员。问卷的设计结合了结构式命题与半结构式命题两种方式,即部分命题需要调查对象选择相应选项作答,部分命题需要调查对象自由作答。问卷通过电子邮件或者纸质材料发放到调查对象手中,整个发放过程分为三个部分。在第一部分:将问卷发放给少数权威注册会计师和政府审计人员,让他们对问卷设计和内容上存在的问题提出修改意见;第二部分:将专家的意见进行汇总,据此有针对性的修改问卷,以确保问卷主题突出、简洁明了。第三阶段,将修改后的问卷正式发放。截至2014年2月10日,累计发放调查问卷25份,收回问卷25份。在回收的问卷中,“国际四大”会计师事务所所占的比重为8%,国内“百强”会计师事务所的问卷比例为52%,国内一般会计师事务所的问卷比例为24%,政府审计部门问卷比例为160%,与预期的设想的回收效果相符。
在问卷调查中,84%的调查对象对绩效审计的界定有比较全面的认识。60%的被调查者认为绩效审计存在质量不足的问题,问题主要由国家制度和相关法规的不完善、指标体系本身存在欠缺或运用不当等引起,以发放式命题的方式得出了宏观上完善法制建设和审计过程中企业信息透明度,加强对专利权等无形资产的相关保护;微观上合理确定绩效审计评价指标,加强绩效审计项目的质量控制,建立总结反馈机制,加强和改善审计队伍建设,建立有效的项目R&D学习互动机制等有效建议。同时,此次调查对经济性、效率性、效果性三方面在总体指标中的权重进行了相关统计,并以半封闭式命题的方式对此三方面指标进行了较为完整的评估,按照九级评分法为所提供的60个初始指标分别打分,为下面的指标体系建立奠定了基础。
三、高新技术企业技术创新绩效审计评价指标体系构建
笔者通过对上述问卷调查的收集,并进行主成分分析,由于因子分析的结果太大,故在这里本研究不得已予以简化,仅将检测结果列示如下,最终选择以下变量构建高新技术企业绩效审计模型。接下来,为了确定各个指标在总指标体系中的权重,本研究通过层次分析法对相关数据进行了测试,并构建了绩效审计指标体系模型,由于计算方法此模型中,各个指标按照九级评分法进行评分,分数由高到低分别代表:非常好、很好、好、较好、一般、较差、差、很差、非常差。并以此分数对企业进行准确评价,为企业今后改进方向作出指导。
四、案例分析
篇10
关键词: 移动Agent 计算机审计系统 分布式审计系统
一、移动Agent的定义
Agent是指模拟人类行为与关系、具有一定智能并能够自主运行和提供相应服务的程序,是面向对象技术向软件智能化发展的产物,它的出现将计算机软件设计提高到一个更高的抽象层次。人们可以把它看作一个自治的实体,它能够感知环境,并且对外界的信息作出一定的判断与推理,来控制自己的决策与行为,以便完成一定的任务。
移动Agent(Mobile Agent,简称MA)是具有移动性的Agent。移动Agent的概念是20世纪90年代初由General Magic公司在推出商业系统Telescript时提出的。简单地说,移动Agent是一个能在异构网络中自主地从一台主机迁移到另一台主机,并与其他Agent或资源交互的程序。移动的目的是使程序的执行尽可能靠近数据源,降低网络的通信开销,平衡负载,提高完成任务的时效。移动Agent实质上是一个封装代码、运行状态和数据的计算实体,是可以在执行过程中有目的地、自主地在网络中移动,利用与分布资源的局部交互而完成分布任务的软件实体。传统客户机与服务器间的交互需要连续的通信支持;而移动Agent可以迁移到服务器上,与之进行高速的本地通信,这种通信不再占用网络资源。
移动Agent是一种新的网络计算技术,它能有效地降低分布式计算中的网络负载,提高通信效率,动态适应变化了的网络环境,并具有很好的安全性和容错能力,为有效地进行数据库访问提供了一种新思路和新方法。
二、移动Agent系统的组成
不同移动Agent系统的体系结构各不相同,但几乎所有的移动Agent系统都包含移动Agent(MA)和移动Agent服务设施(Mobile Agent Equipment,简称MAE)两个部分,如图1所示。
MAE负责为MA建立安全、正确的运行环境,为MA提供最基本的服务(包括创建、传输、执行),实施针对具体MA的约束机制、容错策略、安全控制和通信机制等。MA的移动性和问题求解能力很大程度上取决于MAE所提供的服务。
通常情况下,一个MAE只位于网络中的一台主机(Host)上,但如果主机间是以高速网络进行互联的话,一个MAE也可以跨越多台主机而不影响整个系统的运行效率。MAE利用Agent传输协议(Agent Transfer Protocol,ATP)实现MA在主机间的移动,并为其分配执行环境和服务接口。MA在MAE中执行,通过Agent通信语言(Agent Communication Language,简称ACL)相互通信并访问MAE提供的各种服务。
在移动Agent系统的体系结构中,MA可以细分为用户Agent(User Agent,简称UA)和服务Agent(Server Agent,简称SA)。UA可以从一个MAE移动到另一个MAE,它在MAE中执行,并通过ACL与其它MA通信或访问MAE提供的服务。UA的主要作用是完成用户委托的任务,它需要实现移动语义、安全控制、与外界的通信等功能。SA不具有移动能力,其主要功能是向本地的MA或来访的MA提供服务,一个MAE上通常驻有多个SA,分别提供不同的服务。由于SA是能不移动的,并且只能由它所在MAE的管理员启动和管理,这就保证了SA不会是“恶意的”。UA不能直接访问系统资源,只能通过SA提供的接口访问受控的资源,从而避免恶意Agent对主机的攻击,这是移动Agent系统经常采用的安全策略。
三、移动Agent在审计中的应用
(一)网络环境下的计算机审计系统模型特点
目前的计算机审计普遍采用“数据集中和专家找问题”方式,即要求将一些分布存储在被审计单位各种业务、财务系统中的数据收集到一个集中的地方,然后由审计专家在这些集中的数据里查找问题。随着被审计单位的交易日益频繁,这种模式无法做到实时审计和在线审计,而且这种审计模式要求企业有高速的数据通信网络。然而,虽然目前网络带宽在增加,但还是比不上企业数据增长的速度,结果导致通过有限的网络带宽来移动分布存储的大容量的数据。审计流程中强调专家的个人能力,即要求审计小组由审计组长牵头制订审计流程和确定集中采集哪些数据。但是,这种依赖于个人能力和经验的操作方式往往需要多次反复集中收集数据,这在要求实时审计和在线审计条件下是“不可思议”的。同时,这种方式也破坏了数据的私有性和安全性。在这种审计方式下,被审计单位的业务数据、资金往来数据“暴露无遗”,无疑给被审计单位的经济情报等方面的保护工作带来巨大的威胁。在某些情况下,系统安全意味着用户使用一些不能离开本站点的敏感数据,这也让目前的审计方式无法做到。因此,被审计数据的分布式存储、数据的私有性与安全性、实时审计和在线审计等方面的要求迫切需要我们深入分布式环境下的计算机审计技术。
分布式审计能适应经济的新发展,提高稽核监督的工作效率,保证企业实时动态地被审计监控,保障企业的业务及资金流动的合理有序,提高企业资金的风险灵敏度,更有效地把信用风险、市场风险和操作风险降到最低。分布式审计系统是一个复杂的分布式大系统,同时,随着审计项目日益繁杂,网络环境下的分布式审计系统模型应该具有以下特点:(1)模块化设计,保证系统中不同模块可以根据需要进行灵活的增减和配置,以及分布式审计系统的持续可用。(2)灵活审计,满足分布式审计系统的多层次用户的需要。(3)分布式移动审计,支持审计算法的移动性。(4)知识共享,采用通用的知识表示方式(或标准)实现各个业务系统上分布式审计,以及审计系统与其他系统的信息交互。(5)平台无关,保证各个系统上的审计算法,全局审计算法,以及系统功能模块能够完成不同平台上的数据处理和通讯任务。(6)安全保证,满足被审计单位数据安全的需要。
(二)使用移动Agent技术的分布式审计系统
针对网络环境下计算机审计系统模型特点,本文提出了一种使用移动Agent技术的分布式审计模型。如图2所示,整个模型由三部分组成:人机界面、审计子系统和被审计单位子系统。
1.人机界面
人机界面是用户与计算机审计系统互操作的渠道,完成用户的审计输入和审计结果的显示。例如,用户可以选择审计模型(审计算法)、数据源、审计初始流程,可以完成系统中Agent的知识和规则的更新,弥补系统知识的不足,也可以输入一些基本信息,如,在不同时期,针对不同性质的被审计单位,可以设定进行资金流审计的最低额度,等等;用户还可以选择最终的结果的可视化形式。同时,人机界面显示审计子系统中“智能用户Agent”提交的审计结果信息。
2.审计子系统
上面介绍了分布式审计模型中的三个主要部分的内部结构功能等,本部分着重分析该模型的核心部分――审计子系统中各组成Agent的功能及它们之间的协作关系。如图2所示,审计子系统由协调Agent、审计Agent、智能用户Agent、审计算法Agent、分析Agent和数据站点管理Agent组成。这些Agent协调一致地工作,它们的功能和它们之间的协作关系分析如下:
(1)智能用户Agent
该Agent代表用户向审计子系统提出审计请求。只需要用户提出相应的要求或者做一系列的选择,智能用户Agent就可以将用户要求转化为协调Agent能够识别的命令并提交给协调Agent进行任务的计划分配;智能用户Agent还负责处理通过人机接口输入的系统更新信息等,如审计特定算法参数,Agent知识和规则等。该Agent除了处理用户输入的信息外,还需要能够保存审计子系统的审计结果等输出信息,或直接提交这些信息给用户拥有的人机接口。
(2)协调Agent
它主要完成三项任务:①任务规划优化,主要完成审计任务的规划,并选择最优的规划方案。它与审计算法Agent、分析Agent、审计Agent管理器和数据站点管理Agent交互,得到审计算法效率功能特点、异常数据模型、系统中审计Agent的功能状态、数据站点数据集大小和数据变化趋势等信息来确定相应的审计方案以尽可能满足用户需要。该Agent具有实时规划能力以满足因某个移动Agent的失效而进行任务的重新规划。②依据规划结果,协调Agent创建并命名多个并行协同工作的装载有审计算法或审计模型的移动审计Agent,并将这些移动Agent的基本信息注册到审计Agent管理器中。③审计整个过程的协作协调,主要协调审计过程的各个Agent和维护系统当前的运行状态信息等。它得到一个有关系统状态信息的参考点。它可以看作是分布式审计任务的一个描述各Agent的操作基点的动态目录。同时,协调Agent也是系统中Agent信息交换中心,负责维护Agent之间信息的交互传递等。
(3)审计Agent
该Agent是移动Agent,由协调Agent创建,并移动到协调器指定的数据站点进行数据分析,并将自身的位置信息和状态信息传递给审计Agent管理器,将审计分析反馈给协调器以进行数据结果的融合。审计Agent运用自身携带的审计模型、审计算法或请求协调Agent得到的审计模型等完成具体的审计子任务,并为分析Agent提供异常数据。
(4)审计Agent管理器
负责管理所有审计Agent的相关信息,这样各种Agent通过与管理Agent交互便可以动态获取其他Agent的属性信息(位置、功能等),从而与其他Agent进行交互,以获取所需要的信息。它是实现系统分布式透明性的关键,主要用于收集、管理、统计、查询各种Agent信息资源,按其功能分类或建立Agent联盟。同时,它也担当可信任的安全认证中心,保证各Agent之间的安全通信机制。
(5)审计算法Agent
审计算法Agent主要负责维护审计分析算法。用户可以注册审计分析算法。当算法注册到系统中,算法Agent登记算法的元知识信息及其特点(比如,名字、版本、输入参数、操作环境描述和输出格式等)。同时,算法Agent将这些信息反馈给协调Agent。
(6)数据站点管理Agent
数据站点管理Agent主要负责被审计单位Agent服务器的基本信息,如Agent服务器的启动、停止状态信息、位置信息和数据源信息等。Agent服务器及时将其启动、停止信息注册到数据站点管理器以便协调器合理规划审计任务,但在进行实时在线审计中,Agent服务器不能关闭。为了维护Agent服务器和防止Agent服务器出现故障,往往在被审计单位提供同步工作的Agent服务器。
(7)分析Agent
分析Agent采用数据挖掘算法,根据审计Agent提供的异常数据自动生成、更新审计模型及运行参数,是体现审计子系统自适应的核心部件。它主要包括异常信息传递模块和自适应模式产生机构。
审计子系统由7类功能各异协同工作的Agent组成,当接受到用户提交的具体审计任务后,系统自动有条不紊地对被审计单位的财务数据进行审计,及时发现问题并以多种形式向审计单位监控中心提交审计结果,达到规范经营活动和金融风险预警等目的,其中,审计Agent是审计任务执行的关键。
3.被审计单位子系统
被审计单位子系统包括Agent服务器、业务部子系统和数据站点三部分。其中,Agent服务器保存有本地数据站点的有关信息,如本地数据的形式、数据库管理系统、业务数据库表结构、数据范围等。每个Agent服务器向数据站点管理Agent注册,并及时更新数据站点管理Agent中的有关内容以便协调Agent有效地规划审计任务。同时,Agent服务器为审计Agent提供服务设施和提供移动管理器、运行管理器、通信管理器和安全管理器等。这里,Agent服务器和业务部子系统运行在指定被审计单位的专用服务器上。
4.审计Agent的结构
审计Agent是一种移动Agent,每个审计Agent都是一个相对独立的审计单元,利用其自带的审计算法和知识库信息等执行审计任务;还可以不断地从分析Agent中获取最新的知识用于审计。审计Agent封装了描述其状态的属性,以便当Agent移动到另一主机上重新开始工作和向审计Agent管理器返回信息。图3给出了一个审计Agent的内部结构,该结构包含下列模块:
(1)接口模块
主要将审计Agent的内部机制与外界隔离,所有信息交流都通过该接口。该模块包含与协调Agent和Agent服务器进行交互接口和消息的传递接口以及与数据源的联接接口。该Agent交流的信息包括控制信息、异常信息、算法更新模式信息、审计数据等。
(2)安全控制模块
对移动Agent自身提供保护;防止外部环境对审计Agent的非法访问,以保证数据的正确性和合法性;完成对数据的加/解密、数字签名等任务。
(3)审计模块
首先对业务、财务审计数据进行规范化,然后依据审计算法和审计模型来对已经规范化的数据进行分析,确定这些数据中是否包含不符合操作规程的行为数据或异常情况。最后,将分析得到异常数据上传给协调Agent,以便作进一步综合分析。
(4)知识库
由协调Agent进行初始化,主要存放审计算法、审计模型和其它一些分析审计需要的知识。
参考文献:
[1]张云勇等.移动agent及其应用[M].清华大学出版社,2005.
[2]何炎祥.Agent和多Agent系统的设计与应用[M].武汉大学出版社,2001.