A 电子审计证据的特点 电子审计证据(以下简称电子证据)是注册会计师在执行审计业务过程中,为形成审计意见所获取的保存电子记录的计算机文件证据,这些证据以电子、光学、磁等介质为载体,表现为文本、图像、声音、视频等形式,有两个不同于书面证据的显著特点: 一是电子证据的内容与载体是可以分离的,电子证据的内容在磁盘、光盘、磁带等不同载体中复制并不影响其完整性和真实性,这就使得区分电子证据的原件和复制件比较困难,而书面证据的载体与内容是不可分割统一体,区别原件和复制件比较容易。 二是书面证据任何擦、挖、刮、补等更改记录都将完整地反映在纸质载体上,容易识别和发现;而电子证据可以几乎不留任何痕迹地改动,同时由于电子证据中的记录是以二进制代码存贮的,人们无法直接理解这些信息,只有通过应用程序处理后才能转化为人们所能识别或理解的信息,因此,鉴别电子证据的真实性和完整性也比较困难。 此外,电子证据的形成过程受人、环境以及机器本身等一系列因素的影响,容易出差错。因此,电子证据本身的可靠性是注册会计师取证必须首先要解决的问题。 B 电子证据形式上可靠性的确定 只有在被审计单位信息系统中的电子记录本身是可靠、完整的基础上,注册会计师采用正确的方法从信息系统中提取的电子记录形成的电子证据本身才具有可靠性。因此,电子证据本身的可靠性包括被审计单位电子记录本身的完整、可靠性以及注册会计师从被审计单位信息系统中提取电子记录作为证据使用过程的可靠性两部分内容。 (一)注册会计师可以确保提取电子记录作为证据使用整个过程中的可靠性 通常,注册会计师将被审计单位的电子记录以计算机文件形式提取出来作为证据使用时,可以采用照相、摄像等方式记录提取电子记录的过程直接证明其提取方法的可靠性,也可通过数字签名以及专用的软件等技术手段确保从被审计单位信息系统中提出的电子记录完整性,从而间接证明提取方法的可靠性。因此,对从被审计单位计算机信息系统中提取电子记录过程的可靠性,注册会计师是可以采取有效措施予以保证的。 (二)注册会计师需采用多种方法来确定电子记录本身的可靠性 电子记录本身的可靠性则是指电子记录在生成、传递、处理、存贮和输出整个生命周期中,完整、可靠地保存了电子记录最终形成时的内容。 1、电子记录的完整性 电子记录的完整性涉及电子记录本身的完整性和电子记录依赖的计算机信息系统的完整性两个方面: (1)电子记录本身的完整性包括电子记录形式上完整性和内容上完整性。形式上的完整性是指电子记录必须保持形成之时的原状,包括格式调整在内的任何更改都将视为完整性受到损害;电子记录内容上的完整性是指电子记录自形成之时起,其内容保持完整、未遭到关键性的更改,电子记录在交换、储存和显示过程中发生的形式变化并不影响电子记录内容上的完整性。通常电子记录形式上的完整性可由应用软件、数据库或其他第三方机构等对应用系统输出的数据采用数字签名、加密等技术手段来保证,而电子记录内容的完整性测试可纳入应用控制和符合性测试环节中进行。 (2)计算机信息系统的完整性涉及三个方面:一是信息系统应处于正常的运行状态,如果系统曾处于不正常状态,则对电子记录的完整性构成了影响;二是在正常运行状态下,信息系统对业务活动有数据电文信息、附属信息和系统环境信息的完整记录。其中数据电文信息反映企业经营活动过程中具体的业务内容信息;附属信息是指在数据电文信息生成、存储、修改、增删等过程中系统自动形成的、有助于确定数据电文信息的安全、完整和可靠性的电子记录;系统环境信息指有助于人们从整体上把握信息系统的构成的信息系统的硬件和软件环境等方面的相关信息。附属信息和系统环境信息作为数据电文信息的旁证,并不能直接证明注册会计师所关注的事实,但许多旁证结合起来,也能够形成足够的证明力,因此,注册会计师应同时收集数据电文信息以及相应的附属信息和系统环境信息;三是电子记录必须在业务活动的当时或即后制作,专为某项目的如诉讼或审计而制作的电子记录无法保证其完整性。注册会计师对信息系统完整性的认定主要是在管理当局自认的基础上,通过检查操作系统、数据库、应用软件中的日志文件等来进行。 2、电子记录形式上的可靠性 电子记录本身的可靠性是被审计单位管理环境、系统硬件、软件、操作人员、安全控制等这些不断发展变化的因素共同作用的结果,因而注册会计师通过获取审计证据直接认定电子记录本身的可靠性是不现实的,因此,注册会计师需采用当事人自认、技术手段、推定等多种方法间接确定电子记录形式上的可靠性。 (1)当事人自认是指被审计单位以书面声明的方式对电子记录可靠性的自认 根据我国《最高人民法院关于行政诉讼证据若干问题的规定》第六十四条的规定:“以有形载体固定或者显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经对方当事人确认,或者以公证等其他有效方式予以证明的,与原件具有同等的证明效力”,由此可见,取得管理当局对包括电子记录在内的信息系统可靠、完整性的自认是注册会计师在信息系统环境下审计必不可少的审计步骤。但注册会计师审计活动中的当事人不仅包括被审计单位,还包括会计报告的潜在使用者,要这些潜在的当事人对一个他们根本不熟悉的信息系统进行可靠性和完整性进行自认显然是不现实的。此外,取得当事人对电子记录可靠性的自认也不能减轻或免除注册会计师并一步获取审计证据证实电子记录可靠性的责任。因此,采用当事人自认的办法从审计的角度而言是有缺憾的。