一、研究背景 计算机技术在提高企业信息化水平的同时,也对审计工作提出了更高的要求。如何适应企业信息化的快速发展,提高审计人员的计算机审计能力,成为当前计算机审计领域的研究热点。计算机审计包括两方面内容:对会计信息系统的安全、内部控制和设计、数据处理过程和处理结果进行审计;审计人员利用计算机辅助审计。我国计算机审计技术在数据采集技术、数据分析方法、数据转换原理、审计软件开发和使用等方面都有很大发展。目前理论界和实务界对计算机审计风险的定义、形成原因、表现特点做了大量研究和论述,同时也从提高审计主体的素质、完善审计机构的内部质量控制制度、改善审计人员组成结构等方面对计算机审计风险控制做了初步研究和探索。 当前许多企业采用计算机信息系统来管理和处理财务和业务数据,电子数据在计算机系统中按照软件流程经过输入、转发、处理、存储、输出、修订等一系列规定程序,完成最终操作。针对不同来源、不同系统、不同数据库、不同开发者、不同功能的各种数据和信息系统软件,掌握其中电子数据轨迹的表现特征,可以为开展计算机审计、降低计算机审计风险提供有效方法。 二、计算机审计电子数据轨迹概述 计算机系统是一个信息处理系统,主要完成信息的输入、传输、存储、加工处理和输出利用等操作。信息在计算机系统中以电子数据的形式表现,而电子数据的具体形式各种各样,通常以文件的形式存放在物理介质中。一个专业的计算机审计人员必须充分了解被审计单位的电子数据在计算机系统中的各种存在方式,其中掌握电子数据轨迹的表现特征尤为重要。 电子数据轨迹是指在数据核算和业务操作中通过映射、抽象提取、交叉索引和流程控制,连接电子操作与原始交易数据而提供的一系列信息。计算机系统应为每笔业务、每项经济活动提供一个完整的电子数据轨迹,该电子数据轨迹需要有迹可循并长期保存。审计人员在掌握业务流程的基础上,必须掌握电子数据轨迹的表现形式,才能分析和评价计算机系统内部控制的完善程度(主要反映在计算机软硬件系统的可靠性程度、数据从输入到输出整个过程的正确性和有效性、数据在传输过程中的安全性等等)。 三、各层面电子数据轨迹分析 (一)操作系统层面 操作系统是控制和管理计算机硬件和软件资源、合理地组织计算机的工作流程以及方便用户使用的程序的集合,故其安全性成为计算机审计安全的一项重要内容。目前,常见的操作系统有Windows、UNIX、Linux和Netware等,在进行操作系统安全审计过程中,审计数据轨迹表现为日志文件。日志文件是操作系统中一类特殊的文件,它们是计算机审计线索和证据的重要来源,记录着计算机系统发生的一切活动情况,包括系统各项服务的细节。日志可以监控系统资源,寻找可疑行为,确认入侵范围。 审计人员通过分析日志文件可以了解计算机系统使用情况和安全状况,分析来自内部威胁和外部攻击的可能性等,并快速地对潜在的系统入侵做出记录和预测。例如,Windows操作系统自带安全机制,其中包含审核策略,是用来指定要记录的事件类型的,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之,审核记录写入计算机的安全日志,即形成电子数据轨迹,审计人员可以充分利用日志文件分析系统的安全状况,合理评价系统内部控制的有效性。 (二)计算机应用系统层面 计算机应用系统是个较为宽泛的概念,它包括电子数据处理系统(EDP)、管理信息系统(M19、用于科学计算和工程设计的专用信息系统,它涉及对数据的输入管理、处理、存储、保护、传输和输出等多个过程,每个过程对数据的操作都会有所记录,所有电子数据均有迹可寻。 1.数据输入 数据输入过程中,电子数据轨迹表现为上机日志,即操作员在进行数据输入时都有上机记录,每个系统随时对不同模块或产品的每个操作员的上机时间、数据输入、下机时间等情况进行登记,形成数据输入日志。通过查阅数据输入日志,审计人员可以了解计算机应用系统的输入控制情况,包括输入数据正确性控制、完整性控制和输入错误纠正控制等。 对于扫描拍照输入、传感输入方式,审计人员可以根据信号转换类型、系统接口标准、数据格式转换过程中系统参数和转换条件的设置等了解数据轨迹的表现特征。如光信号转换为电信号时的电荷耦合器件(CCD)性能指标和参数设计、模拟电信号转换为数字电信号(通过A/D转换器)时信号采样频率和编码方式的选择、输入设备与主机接口的匹配和参数的调用等,它们都表现为数据输入时的电子数据轨迹。通过检查上述数据输入时的电子数据轨迹,审计人员能够清楚理解数据输入的过程,同时判断数据输入控制的有效性和完整性。 2.数据处理 数据输入信息系统后,系统要对电子数据进行加工处理,例如:对财务数据进行处理,产生流水线、报表;系统往往设置特定的数据处理条件,只有满足条件的数据才能被处理;系统通过相应的计算公式生成处理后的数据;系统对丢失数据、重复或出错数据的处理。电子数据处理的每一个环节,系统一般都设置操作日志,自动记录所有执行过的操作,其中包括操作员信息、各个用户终端的辨认、操作时间、所调用的功能模块等。审计人员根据电子数据轨迹存在方式的操作日志,就能即时了解数据流向,检查计算机系统中数据处理系统各个环节的控制措施,进而实施有效的控制。