计算机审计发展经历的每个阶段都发展了相应的计算机辅助审计技术。目前,审计界广泛使用的计算机辅助审计技术有综合测试工具(integrated test facilities,简称ITF)、平行模拟法(parallelsimulation)以及内嵌审计模块(embedded audit modules,简称EAM)。这些技术都可以在交易或者事项发生时审计。
一、综合测试工具
(一)基本原理
使用测试数据对系统进行评价的持续审计技术中,比较具有代表性的是综合测试工具技术,它是一种自动化技术,能够使审计人员在应用程序中正常操作测试程序的内部逻辑和控制。使用综合测试工具时,这种方法要在应用系统数据库中建立一个虚拟实体。例如,应用系统是工资系统,可在其数据库中建立一个虚拟的职员;应用系统是一个存货系统,可在其数据库中建立一个虚拟的存货项目。在正常的操作中,测试数据和正常产生的业务数据一同输入应用系统进行处理,综合测试工具将应用系统对测试数据处理的结果同预期结果进行比较,可确定应用系统的处理和控制功能是否恰当、可靠。综合测试工具的要点如图23-1所示。
(二)优缺点分析
与一般的计算机辅助工具相比,综合测试工具有两大优点:①综合测试工具能够对控制进行持续监督。②让虚拟数据与实际数据分开,以免审计师设置的虚拟事务干扰或者破坏了客户的操作。因此,综合测试工具改进了审计的效率,提高了所收集审计证据的可靠性。综合测试工具的主要缺点是可能会破坏公司的正常数据文件。如果测试数据消除不及时或不完全,可能影响被审计单位数据文件的正确性。解决这个问题有两种方法:①编制调整分录以消除综合测试工具对总分类账户余额的影响。②使用特殊的软件来扫描数据文件以删除综合测试工具交易。
二、平行模拟法
(一)基本原理
平行模拟法是指审计人员自己或请计算机专业人员编写具有和被审程序相同处理控制功能的模拟程序。用这种程序重新处理以前已经由被审程序处理过的各种交易,并将处理结果与被审程序处理的结果进行比较,为推断程序处理和控制的质量提供一个基础。实施平行模拟测试的路径和步骤如下:
(1)根据审计的目的和要求确定被审程序。
(2)了解该程序所涉及数据文件的文件类型、数据处理步骤、计算规则、输入输出的格式和内容、程序相应的控制措施等。
(3)编制审计模拟程序。
(4)运行模拟程序处理被审计程序处理过的实际业务数据。
(5)将测试结果与原始程序产生的结果进行对比评估,并对被审程序的处理和控制的质量做出评价。
平行模拟法的原理可用图23-2表示。
(二)优缺点分析
平行模拟法的优点是:能够独立地处理数据,不依赖被审计单位的人力和设备;能客观地进行审计评价。其缺点则在于:如果开发复杂的模拟系统,成本将会比较高。
三、内嵌审计模块
(一)基本原理
在被审计信息系统开发设计阶段,审计人员在该系统程序中内嵌专门设计的程序,对该系统进行监控。其目标是在重要交易被处理时能够识别它们,并且实时地提取其副本,作为相关的审计证据。
审计人员应用这些审计程序就能自动记载所要收集的审计证据,还可随时调阅这些证据文件,并且利用这些审计证据可适时判断系统运行情况,提出审计建议。因此,除了主要作为一个实质性测试技术,EAM也可以用来监督“正在进行”的程序控制,完成控制测试。审计人员可以通过对交易数据与重新执行计算获得的数据之间的差异进行分析报告,确定被审应用系统的相关程序的处理和控制功能的可靠性。同时模型本身具有隐蔽性、安全性和稳定性等特点,非审计人员不能看到这些审计程序和自动形成的审计数据。
(二)主要技术
目前国外应用比较广泛的EAM技术有快照法(snapshot)、连续与间歇模拟法(continuousand intermittent simulation,简称CIS)、审计钩(audithooks)、系统控制审计评审文件(system control audit revie wfile,简称SCARF)。
1.快照法
快照法是指当交易通过应用系统时,让软件给交易拍“照片”。通常是在应用系统的重要处理发生点嵌人软件,当交易通过不同处理点时,嵌入软件可捕捉交易的映像。为证实不同快照点的处理,审计人员使用软件捕捉交易的前映像和后映像,通过检验前映像、后映象及其变换,评价交易处理的真实性、准确性和完整性。
快照法的工作原理如图23-3所示。
2.连续与间歇模拟法
连续与间歇模拟法是Koch(1981)提出的,采用计算机系统模拟事务/交易的执行,当事务/交易满足预定的标准,对该事务/交易进行检査,否则等待下一个满足标准事务/交易的输入。该法适用于在已确定满足某种条件的数据需要被检查的情况。
(1)当数据库管理系统读取应用系统事务/交易时,它将向CIS提交请求,并将事务/交易传给CIS。CIS确定是否进一步检查该事务/交易,如果事务/交易被选择则转人下面三个环节,否则CIS将等待下一个新的事务/交易。
(2)数据库管理系统将应用系统请求处理的所有数据提交给CIS,CIS处理所选的事务/交易。
(3)由于处理所选事务/交易对数据库产生的更新都要由CIS进行检查,确定CIS所产生的结果和应用系统产生的结果是否存在差异。如果存在差异,则CIS将阻止数据库管理系统执行应用系统所求的更新。CIS对例外进行提示,应用系统处理再继续进行。
(4)CIS标识的例外写入异常日志文件,CSI要求日志文件报告系统及时报告例外。
连续和间歇模拟法的工作原理如图23-4所示。
3.审计钩
审计钩是置于系统中的出口点,允许审计师进行特别处理的命令。这种技术的基本原理是:通过在被审计应用系统中嵌人审计钩,以便在错误或不规范问题失控之前引导审计人员采取相应行动。Simnett和Gay(2000)认为审计钩在审计常规事项时对审计活动进行程序处理有帮助,但对调试这个潜在的更新差错并没有帮助。实践中单独使用这种技术的情况还比较少。
4.系统控制审计评审文件
将内嵌审计模块置于事先确定的点,用以采集审计人员认为重要的交易或事件信息,采集到的信息存放在一个专门的审计文件——SCARF主文件中,审计人员通过审査该文件的信息,可以确定应用系统的哪些方面需要追査。
该方法的操作步骤是:首先要确定由模块嵌人应用程序采集什么信息;其次要确定与EAM—同使用的报告系统。图23-5以一个主文件更新程序为例说明SCARF技术。
(三)优缺点分析
EAMS的优点有:①审计师集中于实时基础上获取的控制缺陷和实质性项目错报,在被审计单位处理业务数据的同时获取了审计证据,弥补了在数据处理过后进行审计难以确认被审会计信息系统程序与实际运行程序一致性的缺陷。②内嵌审计模块与系统程序同时运行,因而所进行的测试是经常性的。只要会计信息系统程序开始运行,程序就处在被监督状态中。③它是一种例外导向的审计程序,是一种捕捉错误的高级方法,提供了基于重大事件的例外测试能力。
EAMS的缺点也是很明显的,包括:①要求真实的信息系统专家进行设计和执行。②在客户的信息系统中内嵌审计模块首先需要客户合作,但是EAM往往会降低系统的运行性能,并且可能需要大量的系统开销,因此,被审计单位会对EAM的潜在威胁性有抵触。③审计人员必须事先确定对何种程序进行审计,需要获取何种审计资料,并要据此设计相应的内嵌审计模块。如果会计信息系统程序发生改变,内嵌审计模块也要发生改变。④审计人员聘请相关专家参与被审计单位的会计信息系统分析与设计,有可能将审计的重点泄漏给被审计单位。
四、计算机辅助审计技术的比较
每一种审计技术都有它的优点和缺点。综合测试工具、平行模拟法、内嵌审计模块等都需要审计人员的精心设计,因为它们都对被审计信息系统的运行有一定影响。为了进一步理解这些技术的运作,本教材对这些技术的特点进行归纳比较,如表23-1。
|
表23-1 计算机辅助审计技术的比较 |
||||||
|
比较 |
综合测试工具 |
平行模拟法 |
内嵌审计模块 |
|||
|
快照法 |
连续与间歇模拟法 |
审计钩 |
系统控制审计评审文件 |
|||
|
复杂性 |
高 |
中 |
中 |
中 |
低 |
十分高 |
|
适用场合 |
动态检测数据,而不局限于某一时点 |
检验原程序处理结果的正确性 |
需要审计轨迹时 |
满足某种条件的数据需要检查时 |
只有所选的业务或过程需要被检查时 |
正常处理不能被中断时 |
|
局限 |
虚拟的实体类型有限 |
如果审计人员设计的程序复杂,成本将会很高 |
关注异常交易而不提供正常交易的信息 |
|||
|
审计目标 |
系统控制和处理的正确性 |
程序处理和控制的质量 |
系统控制的异常情况 |
|||
|
静态或动态审计 |
动态,在信息系统开发时就已经被设计出来 |
动态或静态,可以使用虚拟数据检验,也可以采用被审计单位的动态实际数据 |
动态,随时获取需要的审计信息 |
|||
|
客户数据被破坏的风险 |
大,必须有严密内部控制,以分辨实际业务和ITF事务 |
小,平行模拟不影响客户的实际业务 |
较小,客户的业务必须经过审计模块的检验,因此会影响客户的业务处理速度 |
|||
|
信息专家的参与程度 |
高'信息专家必须设计程序区分实际业务和ITF业务 |
取决于被审计信息系统的复杂程度 |
高,需要信息专家设计内嵌模块 |
|||
|
对客户的依赖程度 |
低,信息获取不需要依靠客户 |
低,审计师直接获取模拟程序得到的数据,不受客户的干扰 |
较低,审计模块需要维护和升级,需要客户的配合和支持 |
|||
 |