谈持续审计的技术支持问题

谈持续审计的技术支持问题1何芹（上海立信会计学院审计学系上海201620）DiscussiononTechnicalSupportofContinuousAuditingHeQin(ShanghaiLixinUniversityofCommerce,DepartmentofAuditing,ShanghaiChina,201620)作者简介：何芹（1977-），女(汉)，安徽枞阳人，讲师，会计学博士，主要研究方向：持续审计研究。联系电话：13585769099。Email：heqin@163.com。通讯地址：上海市松江大学城文翔路2800号上海立信会计学院审计学系邮编：2016201本文由上海立信会计学院立信会计研究院经费资助1谈持续审计的技术支持问题【摘要】持续审计是信息时代审计发展的必然趋势，信息技术在持续审计发展过程中起着至关重要的作用。本文首先介绍持续审计的研究现状，深入分析持续审计实施中必须解决的技术问题，为持续审计提供一个技术支持体系。【关键词】持续审计审计方法技术支持DiscussiononTechnicalSupportofContinuousAuditing【Abstract】Continuousauditingisanecessarydevelopmenttrendofauditingintheinformationage.Informationtechnologiesplayacriticalroleintheprocessofdevelopingcontinuousauditing.Thispaperfirstlyintroducescurrentsituationsofcontinuousauditingstudy,secondlyanalyzesthetechnicalissueswhichshouldbesolvedincontinuousauditingimplementingtobringforwardatechnicalsupportsystemtocontinuousauditing.【KeyWords】continuousauditing;auditingmethodology;technicalsupport2一、持续审计概述随着信息技术的发展，人类社会开始迈入经济知识化和全球化的新时代，信息技术成为组织发展的主要驱动力，企业等经济组织对信息及时性的要求越来越强，从而对审计信息的时效性也提出了更高的要求。为了适应信息社会发展需要，持续审计（也称为连续审计）应用而生。国外的社会职业团体、审计学术界和实务界都积极投入对持续审计的研究，形成了一系列的研究成果。其中最有代表性的是1999年AICPA和CICA联合发布的研究报告《持续审计》2。报告讨论了持续审计的性质、目的、范围和基本原则等重要问题，并指出了持续审计的实施条件，这些条件中有很大一部分是从技术支持方面要求的，如：（1）审计程序应能高度自动化地截取和处理数据，以获取必要的审计证据，且在短时间内生成高度可靠的报告信息，因此要求精确定义反映审计对象的数据以及数据之间的定量关系和定性关系；（2）对任何异常现象应采取自动的报警触发程序并及时生成例外报告；（3）自动化审计程序需要在不同程度上与企业信息系统集成，自动审计过程应成为审计人员现场审计的有益补充；（4）应在企业网站与审计师之间建立有效的电子通信连接，以及时通知审计师自动审计结果；（5）应有恰当的安全保障措施，有效防范未授权的篡改。可以看出，持续审计的发展一方面克服了传统审计报告的时滞性缺陷，大大提高了审计信息的时效性；另一方面持续审计的实施基于发达的信息网络技术。因此持续审计的应用还必须解决技术支持问题，包括网络技术、软件、硬件等各方面。只有在满足了这些必然的条件下，持续审计实施才具有可行性。二、建立可靠的持续审计基础系统持续审计的实施依赖可靠的基础系统。所谓基础系统是指持续审计指向的目标系统，也就是被审计单位信息系统。首先，持续审计实施要求被审计单位建立信息技术平台，实现企业信息化管理。企业信息化的第一步应该抓基础管理信息化，通过企业基本资源的信息化，建立和改造企业的基础管理；第二步实现企业业务管理信息化，譬如通过建立企业资源计划系统（EnterpriseResourcesPlanning,ERP），整合企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体，实现业务集成；第三步考虑企业间的合作，利用外部资源，进行供应链合作，实现业务效率最大化；最后是步入电子商务时代，形成一个更为广泛的电子商务社区，实现更加协作化的商业运作。其次，持续审计指向的被审计单位信息系统必须是一个可靠的系统。根据信息系统认证2AICPA/CICA.ContinuousAuditing,ResearchReport[R].TheCanadianInstituteofCharteredAccountants,Toronto,Ontario,1999[EB/OL].准则3的要求，可靠的系统应该满足四个原则，即有效性（availability）、安全性（security）、完整性（integrity）和可维护性（maintainability）4。具体到持续审计基础系统中，这四个原则的具体内容应该是：（1）有效性，指根据持续审计实施的基本要求，提供可操作及可使用的目标系统；（2）安全性，指目标系统应有足够的安全防范措施，保障数据和程序不受非法侵害；（3）完整性，指目标系统能够确保所作的处理是完整、正确、及时且经授权的，例如会计信息系统能够根据公认会计原则和企业既定的会计政策处理各项业务，且其处理过程和结果应是正确的；（4）可维护性，指目标系统可以维护更新，持续提供服务满足系统可用性、安全性和完整性的要求。持续审计指向的被审计单位信息系统应当符合这四个原则的要求。三、获取数据信息并进行数据处理在目标系统满足可靠性的基础上，从目标系统获取数据并进行数据处理则是持续审计实施的关键步骤。首先，审计人员需要了解被审计单位数据结构，建立数据通道，取得授权协议，利用持续审计应用程序从被审计单位复杂的信息系统中获取和传递数据。被审计单位的数据通常被储存在不同数据平台和系统多维数据库的多重地址中，有些数据还是高度相关的。复杂的数据平台，物理地址的分散都会对处理程序产生影响。审计程序必须能够快速进入任一计算机平台，读取存储于这些平台的不同格式的数据。在大规模企业中，各个业务部门的数据管理者非常重要，他们能提供关于数据定义、文件排列的基本信息，也能确定供审计测试用的关键数据，审计人员应该取得他们的支持与合作。其次，为被审计单位的业务部门建立数据仓库和数据集市进行数据处理。数据仓库和数据集市是两个紧密相关的概念，业界公认的数据仓库概念创始人W.H.Inmon在《数据仓库》一书中对数据仓库的定义是，“数据仓库是支持管理决策过程的，面向主题的、集成的、稳定的、不同时间的数据集合。”5数据仓库从整个企业的所有应用系统中收集数据，但它与数据库并不完全相同，只有被认为会影响审计风险的事项在经过选择后才会被收集并储存在审计数据仓库中。而数据集市比数据仓库要小，它仅包括一个应用领域的数据（如会计、营销等），并且是一套标准的转换数据，它包含关于原始交易和ETL处理（Extraction,3SysTrust是由AICPA和CICA推出的一种信息系统鉴证服务，用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信任。AICPA和CICA对SysTrust服务已经发布“SysTrust系统可靠性鉴证准则”，简称SysTrust准则，目前该准则为第三版。4转引自AnthonyJPugliese,RonaldHalse.SysTrustandWebTrust:TechnologyAssuranceOpportunities[J].TheCPAJournal,Nov2000,pg.305W.H.Inmon.《数据仓库》,北京:机械工业出版社，2000年版4TransformationandLoading，数据的获取、转换和加载）的完整信息。根据业务部门之间的关联程度，每个部门都可以有自己的审计数据集市，如果几个单位关联性很高并使用一个数据库，它们也可以共享一个单独的数据集市。数据仓库和数据集市的好处是能够在应用系统处理的同时收集证据，财务数据和相关审计证据只需采取一种格式就可以方便地应用于不同的审计工作中。实践中很多因素导致了数据处理时对数据仓库与数据集市的需要，例如不同数据库的时间差异，企业级数据完整性和一贯性的缺乏，数据定义和业务规则的不准确与不完整，审计线索的不完整，对进入企业信息系统的限制等。审计人员可以利用计算机网络系统，为每个业务单位创建审计数据集市，并将获取的数据储存到一个审计数据集市以作测试和分析之用。利用数据仓库和数据集市获取并进行数据处理的基本运作原理如图16所示。需要注意的是，在获取和处理数据过程中，审计人员应该做到获取和处理数据的及时性。在持续审计方法下，据以进行审计测试的纸介质审计线索通常并不存在，证据主要是以电子形式存在的数据，电子证据通常只会在某个时间段存在，过了特定时间之后，如果文件被更改或备份文件不存在，这些证据就无法再获得。因此审计人员在收集和处理电子证据时应该考虑其存在的时间，做到及时获取数据并进行数据处理。图1数据仓库和数据集市技术在持续审计中的运用6参考ZabihollahRezaee,AhmadSharbatoghlie,RickElam,PeterLMcMickle.Continuousauditing:BuildingAutomatedAuditingCapability[J].Auditing,Mar2002,pg.156数据系统a数据系统b数据系统c审计对象数据库防火墙审计数据仓库数据转换数据下载审计报告数据库审计数据集市审计程序数据库数据转换5四、审计师系统与被审计单位系统有效连接，建立可靠的互联系统随着计算机信息技术尤其是互联网技术的发展，审计师和被审计单位的计算机系统或操作平台都可以轻易地与网络相通，在标准化的基础上，建立审计师系统与被审计单位应用系统如财务系统、核心业务系统之间的数据接口，为了实现有效连接，该数据接口必须具有较强的可伸缩性和可定义性。同时，在审计程序使用和进入被审计单位经营系统数据库时还必须确保审计技术和被审计单位的信息系统相互兼容，认真考虑例如数据大小、网络交易量等因素，保证不会影响这些系统的运行效果。五、高度自动化的持续审计程序在持续审计环境中，审计工具会更加频繁或者持续地使用，甚至每天都使用，可能在指定的时间之前或者在某个事件发生后就会使用持续审计工具，因此持续审计程序必须是高度自动化的。目前实务界业已开发的诸多审计技术都具有持续审计功能，如综合测试工具(IntegratedTestFacilities,ITF）、平行模拟法（ParallelSimulation）和嵌入审计模块（EmbeddedAuditModule,EAM），这些技术都可以在交易或者事项发生的同时进行审计。其中，综合测试工具是使用测试数据对系统进行评价的比较具有代表性的审计技术，这种方法要在应用系统数据库中建立一个虚拟实体，如虚拟的部门、职员或者存货项目。在正常的操作中，测试数据和真实业务数据一同输入被审计应用系统进行处理，综合测试工具将应用系统对测试数据处理的结果同预期结果进行比较，它能够在应用程序的正常操作中测试程序的内部逻辑和控制，从而确定被审计系统的处理和控制功能是否恰当、是否可靠。而平行模拟法，是指审计人员自己或聘请计算机专业人员编写具有和被审程序相同处理控