一种嵌入式并行审计取证方法及其应用

作 者:

作者简介:
杨超,吕涵,上海立信会计金融学院金融科技学院

原文出处:
财会通讯

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2022 年 03 期

关 键 词:

字号:

      审计证据(Auditing Evidence)是审计人员在审计过程中采用各种方法获取的核证依据,它是验证被审计事项与既定标准是否相符的一切证据,包括实物、书面凭证、口头证据和环境证据。审计证据是审计活动的基础,是审计人员形成审计结论,出具审计报告的先决条件。随着计算机和网络技术不断向经济管理领域的快速渗透,企业内部甚至企业之间逐步实现了物流、资金流、信息流的三流合一,业务信息与财务信息不断融合,由此构建的企业信息系统日趋复杂,一方面,业务处理的自动化智能化水平极大提升,另一方面,各类审计证据逐步电子化,许多审计证据需要从企业信息系统当中获得,增加了审计取证的难度。

      信息系统在企业经营活动中起着越来越重要的作用,系统的连续平稳运行是企业正常运转的保证。审计人员一方面要及时完成审计任务,另一方面又不得妨碍和干扰被审计信息系统的正常工作,审计过程需要在线进行。并行审计技术(Concurrent Auditing Technique)正是针对在线审计问题提出的。并行审计技术是企业信息化背景下实施在线审计的技术框架,在线取证是决定并行审计能否成功实施的关键环节。

      二、并行审计技术研究现状

      并行审计技术产生于20世纪60年代末70年代初,专指在信息系统处理业务的同时实施审计证据采集的技术。采用并行审计技术采集到审计证据后,有两种利用模式,一是将审计证据格式化输出、打印,使电子证据可视化;二是将审计证据存储在专门的审计文件中,以备后续的审计应用。前一模式既不符合成本效益原则,又与企业信息化趋势相悖。可以想象,随着大数据及人工智能技术的不断成熟,将审计证据专门存储利用的模式将展现出更大价值。并行审计技术是联网审计、在线审计、实时审计等现代计算机审计的技术基础。

      并行审计技术一般分为三类,分别是:综合测试(Integrated Test Facility)、快照(Snapshot)和系统控制审计复核文件(System Control Audit Review File)。综合测试是在信息系统正常处理业务时,用测试数据对信息系统进行检查的一种方法。本质上讲,综合测试是一种软件测试技术,主要用于核证信息系统的业务处理和控制功能是否恰当、可靠,而不是审计取证。企业信息系统往往是非常庞大和复杂的,如ERP系统,全面跟踪系统的不同执行路径极其困难,快照技术有所侧重地选择一些关键业务发生点,借助嵌入式审计软件给业务状态“拍照”,通过检验业务处理前后状态的变化,评价业务处理的真实性、准确性和完整性。快照技术的实施要点在于选择合适的时机、准确的业务位置,记录恰当的状态数据。时间和位置是快照不可或缺的属性,也是审计人员识别和区分快照的依据。系统控制审计复核文件(SCARF)技术同样借助嵌入在信息系统中的审计软件,对系统的关键交易进行持续监控,并将采集到的审计证据保存到SCARF主文件中,审计人员通过审查该文件,查找审计线索。可以认为SCARF技术是快照技术的加强版,在捕捉快照的同时,还可以采集更多有价值的审计线索,如统计数据、控制数据等,一并存储于规范设计的主文件中。快照技术和系统控制审计复核文件技术只是提供了在线审计取证的思路,为完成最终的审计目的,还需要在快照和SCARF主文件的基础上针对不同的审计目的设计数据结构、开发报告生成器,以便为审计人员提供满足审计要求的清晰的审计证据。

      并行审计技术从企业信息系统中持续地获取正在处理业务的审计线索,可以轻松实现事中审计和动态审计,具有重要研究意义和应用价值。国内对于并行审计技术的研究最早出现于2000年前后,起步较晚,发展缓慢。吴沁红、杨周南在对并行审计技术进行基本介绍后,提出了实施并行审计技术的几个注意事项:获得被审计者的理解和支持、企业信息系统应该成熟稳定、审计人员有一定的技术储备等。梁丽瑾等分析了并行审计技术应用于内部审计的可行性,提出了基于事件驱动构建嵌入式审计的设想。邵航认为采用计算机技术、管理技术和审计技术三位一体的并行审计技术已成为现代审计取证的主流方式,并初步探讨了并行审计技术的实施路径。赵军等将并行审计技术应用于商业银行资产质量检测中,风险管理效益明显,遗憾的是文献未提及并行审计技术的实现细节。荷兰学者Wil van der Aalst针对联网审计给出了一个概念模型。随着云计算、大数据技术发展,云审计、大数据审计不断兴起,广义上讲,这些新型审计也属于在线审计和并行审计的范畴,审计取证的范围更广,技术要求更高。综上所述,目前国内外对于并行审计技术的研究较少,且多集中于概念、技术的分析,具体实施方法的研究很少,项目实践方面的报道则更为罕见。

      三、基于数据库触发器的并行审计方法

      (一)并行审计实施技术要求

      根据信息化环境下审计工作的特点和需求,并行审计除满足在线取证的基本要求外,还应满足以下几个技术要求。

      (1)并行审计应支持审计程序的后期嵌入。并行审计技术依靠嵌入式审计软件采集审计线索,吴沁红、梁丽瑾等人均建议在企业信息系统开发之前,由审计人员、系统开发人员共同规划,统一设计、开发信息系统,以便将审计程序嵌入企业信息系统,支持后续审计。然而,这在现实中很难做到,因为审计活动往往滞后于信息系统的开发。因此,支持审计程序后期嵌入的并行审计技术更有普遍适用性,更具研究价值。

      (2)嵌入式审计程序不对被审计系统造成显著影响。并行审计技术是针对在线审计取证设计的,目的是在保障业务系统正常运行的情况下完成审计取证。审计程序的嵌入难免会对被审计系统产生影响,尽可能降低、并保证这种影响可控,是被审计单位接收并行审计的前提,也是并行审计成功的必备条件。

      (3)并行审计应具有较低的实施成本和技术难度。实施成本和技术难度是影响并行审计技术广泛使用的重要原因,对于传统以账项导向审计、制度导向审计为主要思想的审计活动而言,难以接受较高的审计成本。技术难度是影响实施成本的重要因素,较低的技术难度,会降低审计项目的实施成本。

相关文章: