谈持续审计的关键技术支持问题

谈连续审计技术支持问题本本文由上海立信会计学院立信会计研究院经费资助何芹（上海立信会计学院审计学系上海20）DiscussiononTechnicalSupportofContinuousAuditingHeQin(ShanghaiLixinUniversityofCommerce,DepartmentofAuditing,Shanghai,20)作者介绍：何芹（1977-），女(汉)，安徽枞阳人，讲师，会计学博士，关键研究方向：连续审计研究。联络电话：。Email：。通讯地址：上海市松江大学城文翔路2800号上海立信会计学院审计学系邮编：20

谈连续审计技术支持问题【摘要】连续审计是信息时代审计发展肯定趋势，信息技术在连续审计发展过程中起着至关关键作用。本文首先介绍连续审计研究现实状况，深入分析连续审计实施中必需处理技术问题，为连续审计提供一个技术支持体系。【关键词】连续审计审计方法技术支持DiscussiononTechnicalSupportofContinuousAuditing【Abstract】Continuousauditingisanecessarydevelopmenttrendofauditingintheinformationage.Informationtechnologiesplayacriticalroleintheprocessofdevelopingcontinuousauditing.Thispaperfirstlyintroducescurrentsituationsofcontinuousauditingstudy,secondlyanalyzesthetechnicalissueswhichshouldbesolvedincontinuousauditingimplementingtobringforwardatechnicalsupportsystemtocontinuousauditing.【KeyWords】continuousauditing;auditingmethodology;technicalsupport

一、连续审计概述伴随信息技术发展，人类社会开始迈入经济知识化和全球化新时代，信息技术成为组织发展关键驱动力，企业等经济组织对信息立即性要求越来越强，从而对审计信息时效性也提出了更高要求。为了适应信息社会发展需要，连续审计（也称为连续审计）应用而生。国外社会职业团体、审计学术界和实务界全部主动投入对连续审计研究，形成了一系列研究结果。其中最有代表性是1999年AICPA和CICA联合公布研究汇报《连续审计》AICPA/CICA.ContinuousAuditing,ResearchReport[R].TheCanadianInstituteofCharteredAccountants,Toronto,Ontario,1999[EB/OL].+Audit+and+Internal+Control/IT+Systems+Audit/Continuous+Audit/Continuous+Auditing++Executive+Summary.htm。汇报讨论了连续审计性质、目标、范围和基础标准等关键问题，并指出了连续审计实施条件，这些条件中有很大一部分是从技术支持方面要求，如：（1）审计程序应能高度自动化地截取和处理数据，以获取必需审计证据，且在短时间内生成高度可靠汇报信息，所以要求正确定义反应审计对象数据和数据之间定量关系和定性关系；（2）对任何异常现象应采取自动报警触发程序并立即生成例外汇报；（3）自动化审计程序需要在不一样程度上和企业信息系统集成，自动审计过程应成为审计人员现场审计有益补充；（4）应在企业网站和审计师之间建立有效电子通信连接，以立即通知审计师自动审计结果；（5）AICPA/CICA.ContinuousAuditing,ResearchReport[R].TheCanadianInstituteofCharteredAccountants,Toronto,Ontario,1999[EB/OL].+Audit+and+Internal+Control/IT+Systems+Audit/Continuous+Audit/Continuous+Auditing++Executive+Summary.htm二、建立可靠连续审计基础系统连续审计实施依靠可靠基础系统。所谓基础系统是指连续审计指向目标系统，也就是被审计单位信息系统。首先，连续审计实施要求被审计单位建立信息技术平台，实现企业信息化管理。企业信息化第一步应该抓基础管理信息化，经过企业基础资源信息化，建立和改造企业基础管理；第二步实现企业业务管理信息化，譬如经过建立企业资源计划系统（EnterpriseResourcesPlanning,ERP），整合企业管理理念、业务步骤、基础数据、人力物力、计算机硬件和软件于一体，实现业务集成；第三步考虑企业间合作，利用外部资源，进行供给链合作，实现业务效率最大化；最终是步入电子商务时代，形成一个更为广泛电子商务小区，实现愈加协作化商业运作。其次，连续审计指向被审计单位信息系统必需是一个可靠系统。依据信息系统认证Systrust准则SysTrust是由AICPA和CICA推出一个信息系统鉴证服务，用于增强管理者、用户和商业伙伴对支持业务或某种尤其活动系统信任。AICPA和CICA对SysTrust服务已经公布“SysTrust系统可靠性鉴证准则”，简称SysTrust准则，现在该准则为第三版。要求，可靠系统应该满足四个标准，即有效性（availability）、安全性（security）、完整性（integrity）和可维护性（maintainability）转引自AnthonyJPugliese,RonaldHalse.SysTrustandWebTrust:TechnologyAssuranceOpportunities[J].TheCPAJournal,Nov,pg.30。具体到连续审计基础系统中，这四个标准具体内容应该是：（1）有效性，指依据连续审计实施基础要求，提供可操作及可使用目标系统；（2）安全性，指目标系统应有足够安全防范方法，保障数据和程序不受非法侵害；（3）完整性，指目标系统能够确保所作处理是完整、正确、立即且经授权，比如会计信息系统能够依据公认会计标准和SysTrust是由AICPA和CICA推出一个信息系统鉴证服务，用于增强管理者、用户和商业伙伴对支持业务或某种尤其活动系统信任。AICPA和CICA对SysTrust服务已经公布“SysTrust系统可靠性鉴证准则”，简称SysTrust准则，现在该准则为第三版。转引自AnthonyJPugliese,RonaldHalse.SysTrustandWebTrust:TechnologyAssuranceOpportunities[J].TheCPAJournal,Nov,pg.30三、获取数据信息并进行数据处理在目标系统满足可靠性基础上，从目标系统获取数据并进行数据处理则是连续审计实施关键步骤。首先，审计人员需要了解被审计单位数据结构，建立数据通道，取得授权协议，利用连续审计应用程序从被审计单位复杂信息系统中获取和传输数据。被审计单位数据通常被储存在不一样数据平台和系统多维数据库多重地址中，有些数据还是高度相关。复杂数据平台，物理地址分散全部会对处理程序产生影响。审计程序必需能够快速进入任一计算机平台，读取存放于这些平台不一样格式数据。在大规模企业中，各个业务部门数据管理者很关键，她们能提供相关数据定义、文件排列基础信息，也能确定供审计测试用关键数据，审计人员应该取得她们支持和合作。其次，为被审计单位业务部门建立数据仓库和数据集市进行数据处理。数据仓库和数据集市是两个紧密相关概念，业界公认数据仓库概念创始人W.H.Inmon在《数据仓库》一书中对数据仓库定义是，“数据仓库是支持管理决议过程，面向专题、集成、稳定、不一样时间数据集合。”W.H.Inmon.《数据仓库》,北京:机械工业出版社，数据仓库从整个企业全部应用系统中搜集数据，但它和数据库并不完全相同，只有被认为会影响审计风险事项在经过选择后才会被搜集并储存在审计数据仓库中。而数据集市比数据仓库要小，它仅包含一个应用领域数据（如会计、营销等），而且是一套标准转换数据，它包含相关原始交易和ETL处理（Extraction,TransformationandLoading，数据获取、转换和加载）完整信息。依据业务部门之间关联程度，每个部门W.H.Inmon.《数据仓库》,北京:机械工业出版社，实践中很多原因造成了数据处理时对数据仓库和数据集市需要，比如不一样数据库时间差异，企业级数据完整性和一贯性缺乏，数据定义和业务规则不正确和不完整，审计线索不完整，对进入企业信息系统限制等。审计人员能够利用计算机网络系统，为每个业务单位创建审计数据集市，并将获取数据储存到一个审计数据集市以作测试和分析之用。利用数据仓库和数据集市获取并进行数据处理基础运作原理图1参考参考ZabihollahRezaee,AhmadSharbatoghlie,RickElam,PeterLMcMickle.Continuousauditing:BuildingAutomatedAuditingCapability[J].Auditing,Mar,pg.156需要注意是，在获取和处理数据过程中，审计人员应该做到获取和处理数据立即性。在连续审计方法下，据以进行审计测试纸介质审计线索通常并不存在，证据关键是以电子形式存在数据，电子证据通常只会在某个时间段存在，过了特定时间以后，假如文件被更改或备份文件不存在，这些证据就无法再取得。所以审计人员在搜集和处理电子证据时应该考虑其存在时间，做到立即获取数据并进行数据处理。数据系统a数据系统a数据系统b数据系统c审计对象数据库防火墙审计数据仓库数据转换数据下载审计汇报数据库审计数据集市审计程序数据库数据转换图1数据仓库和数据集市技术在连续审计中利用四、审计师系统和被审计单位系统有效连接，建立可靠互联络统伴随计算机信息技术尤其是互联网技术发展，审计师和被审计单位计算机系统或操作平台全部能够轻易地和网络相通，在标准化基础上，建立审计师系统和被审计单位应用系统如财务系统、关键业务系统之间数据接口，为了实现有效连接，该数据接口必需含有较强可伸缩性和可定义性。同时，在审计程序使用和进入被审计单位经营系统数据库时还必需确保审计技术和被审计单位信息系统相互兼容，认真考虑比如数据大小、网络交易量等原因，确保不会影响这些系统运行效果。五、高度自动化连续审计程序在连续审计环境中，审计工具会愈加频繁或连续地使用，甚至天天全部使用，可能在指定时间之前或在某个事件发生后就会使用连续审计工具，所以连续审计程序必需是高度自动化。现在实务界业已开发很多审计技术全部含有连续审计功效，如综合测试工具(IntegratedTestFacilities,ITF）、平行模拟法（ParallelSimulation）和嵌入审计模块（EmbeddedAuditModule,EAM），这些技术全部能够在交易或事项发生同时进行审计。其中，综合测试工具是使用测试数据对系统进行评价比较含有代表性审计技术，这种方法要在应用系统数据库中建立一个虚拟实体，如虚拟部门、职员或存货项目。在正常操作中，测试数据和真实业务数据一同输入被审计应用系统进行处理，综合测试工具将应用系统对测试数据处理结果同预期结果进行比较，它能够在应用程序正常操作中测试程序内部逻辑和控制，从而确定被审计系统处理和控制功效是否合适、是否可靠。而平行模拟法，是指审计人员自己或聘用计算机专业人员编写含有和被审程序相同处理控制功效模拟程序，用这种程序重新处理以前已经由被审计程序处理过多种交易，并将处理结果和被审程序处理结果进行比较，从而推断程序处理和控制质量。嵌入审计模块是审计师在被审计单位会计信息系统中安装含有统计功效程序模块，对被审计单位会计信息系统进行审计，并直接获取相关审计证据。伴随科学技术深入发展，审计中还会使用教授系统和神经网络技术。教授系统模拟人力教授处理问题方法，经过计算机软件模型有效率和有效果地获取知识，适合复杂决议过程。神经网络经过模糊或不完全信息模拟人脑，识别模型或估计产出，还能够经过选择数据进行程序决议，发展未来决议知识基础，在技术上更前进了一步。教授系统和神经网络常常见于比较关键项目，判定组织是否会破产，检测信用卡舞弊，检测生产过程中出现早期警示现象。同时审计软件开发也在快速发展，有部分软件供给商已经开始提供实现自动化程序审计技术和软件。比如加拿大ACL企业、Caseware企业全部已经开发了针对关键经营业务连续审计软件，现在利用领域关键有职责分离（SegregationofDuties）、总分类账（GeneralLedger）、存货（Inventory）和固定资产（FixedAssets）等JohnVerver.ContinuousMonitoring:PracticalExperiencesClientExperienceswithACL’sContinuousControlsMonitoringProducts,November,[EB/OL].。JohnVerver.ContinuousMonitoring:PracticalExperiencesClientExperienceswithACL’sContinuousControlsMonitoringProducts,November,[EB/OL].值得一提是，中国软件供给商也逐步由定时审计软件转向连续审计软件开发，其中比较含有代表性是金长源审计实时系统。它经过实时自动化采集企业内部经营数据，并依据预设监控方法实时监控采集过来数据形成监控汇报，支持强大财务分析工具，实时控制企业内部发生问题，实现事中控制和事前预防，为企业内部建立了一个完善、高效审计信息化系统和审计操作平台，也为实地或现场审计提供了有力支持。除了软件供给商开发连续审计软件以外，会计师事务所也开始参与其中，比如安永开发NexGen工具和Advisor及Director工具严纪中，欧进士，洪育忠，曹秀惠.连续性审计——美国四大会计师事务所应用连续性查核系统案例,会计研究月刊（台湾），(总第245期)[EB/OL].。严纪中，欧进士，洪育忠，曹秀惠.连续性审计——美国四大会计师事务所应用连续性查核系统案例,会计研究月刊（台湾），(总第245期)[EB/OL].值得注意是，上述自动化审计程序必需是高度可靠，依据Systrust准则要求，应该符合有效性、安全性、完整性和可维护性标准。（1）有效性，指自动化程序实施审计和提供汇报有效程度，在运行中必需确保其高度有效性；（2）安全性，指自动化程序应该配置合适控制功效以确保其数据和程序不被侵害，一旦检测到未授权侵害或可疑情况，立即触发报警程序向审计师报警，或向外公布警示性信息；（3）完整性，指自动化程序完整、正确、实时地捕捉、存放、归集和汇报和被审计委托项目相关信息能力；（4）可维护性，自动化程序能够依据实际情况改变立即修正，比如更改程序中设定具体规则，修正程序中原先设定不合适初始值，设定新初始值。六、能够立即传输正确审计汇报依据AICPA/CICA对连续审计定义，连续审计是“一套审计方法”，这表明连续审计方法贯穿审计活动各程序，包含审计计划、风险评定、控制测试、交易测试和余额测试和审计汇报等，所以在研究连续审计技术支持时我们应考虑审计汇报传输。这里需要注意汇报传输两个要求：立即和正确。审计师经过自动化软件技术对被审计单位业务系统进行连续测试，不停更新信息和审计汇报，将连续更新信息和审计汇报经过网络传送给授权使用者。利用互联网功效，任何一个汇报全部可载入网站，供经授权需求者立即审阅。所以，审计汇报立即传输已经不难实现。不过要实现审计汇报正确传输却并非轻易，因为影响正确性实现原因有很多，如系统功效、系统可靠性及审计人员使用计算机熟悉程度等等。所以需要审计师深入了解并测试系统功效、了解系统可靠性、控制管理系统确保信息流通顺畅而且立即获取、更新和储存数据，确保审计汇报内容立即和正确。这也表现了对审计师素质要求。概括来说，为了实现审计汇报立即正确传输，连续审计相关各方（包含审计师、被审计单位和信息使用者）之间信息传送最少应含有以下特征JonWoodroof,DeWayneSearcy.ContinuousAuditImplicationsofInternetTechnology:TriggeringAgentsOvertheWebintheDomainofDebtCovenantCompliance,Proceedingsofthe34thHawaiiInternationalConferenceonSystemSciences-[EB/OL].：（1）授权性（authorization），只有经授权用户方能接触所传送信息，这能够经过使用防火墙、口令和生物识别装置（biometricdevices）如指纹识别等来处理；（2）保密性（confidentiality），可经过加密技术确保所传送信息保密性；（3）完整性（integrity），经过采取完整性检验或其它技术确保所传送信息不被截取或篡改；（4）鉴证性（aJonWoodroof,DeWayneSearcy.ContinuousAuditImplicationsofInternetTechnology:TriggeringAgentsOvertheWebintheDomainofDebtCovenantCompliance,Proceedingsofthe34thHawaiiInternationalConferenceonSystemSciences-[EB/OL].

参考文件AICPA/CICA.ContinuousAuditing,ResearchReport[R].TheCanadianInstituteofCharteredAccountants,Toronto,Ontario,1999[EB/OL].+Audit+and+Internal+Control/IT+Systems+Audit/Continuous+Audit/Continuous+Auditing++Executive+Summary.ht