网站首页  词典首页

请输入您要查询的论文:

 

标题 信息系统环境下计算机辅助审计可以借鉴信息系统审计之处
范文

    李昱奇

    [摘 要] 进入21世纪以来,计算机辅助审计技术一直在迅速发展,随着信息系统的广泛渗透,在审计被审单位财务资料的同时,对于产生这些资料的信息系统进行审计势在必行。本文主要从审计人员的角度,分析计算机辅助审计对于信息系统审计方法的吸收借鉴。

    [关键词] 信息系统审计;计算机辅助审计;方法借鉴

    doi:10.3969/j.issn.1673-0194.2009.14.023

    [中图分类号]F239.1[文献标识码]A[文章编号]1673-0194(2009)14-0065-04

    随着信息技术的普及和发展,计算机信息系统已经成为各行业不可或缺的管理工具,成为信息化条件下企业进行管理和内部控制的关键环节。信息技术的出现,一方面大大提高了管理和会计的效率,另一方面也给审计带来了挑战,如恶意修改系统以达到舞弊的目的,信息系统本身存在的漏洞与缺陷引发的问题,网络的发展带来的诸如计算机病毒、黑客对系统的威胁等。这些新型舞弊使得审计人员既要关注信息系统所提供的数据,也要关注产生这些数据的信息系统。

    1 计算机辅助审计和信息系统审计各自的审计领域

    1.1 计算机审计

    目前国内外对计算机审计尚未有一个明确统一的定义,《审计法实施条例》和《国务院办公厅关于利用计算机信息系统开展审计工作的有关问题的通知》(国办发[2001] 88号)规定,“简单地讲,计算机审计包括:对计算机管理的数据进行检查,对管理数据的计算机进行检查。”

    在李学柔和秦荣生编写的《国际审计》中作如下定义:“计算机审计与一般审计一样,同样是执行经济监督、鉴证和评价职能。其特殊性主要在两个方面:① 对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;②利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。”

    由此可以看出,计算机审计的内容主要涵盖两个方面:一是审计计算机信息系统;二是把计算机作为辅助审计的工具,审计计算机信息系统产出的数据。

    1.2 计算机辅助审计

    国际审计实务委员会在国际审计准则第16号中规定:“按照《国际审计准则第15号——电子数据处理环境下的审计》的解释,在电子数据处理的环境下进行审计时,并不改变审计的总体目标和范围。但是,审计程序的运用,可能要求审计人员考虑利用计算机技术作为一项审计的工具。计算机在这方面的各种使用称之为计算机辅助审计技术。”

    审计机关计算机辅助审计办法(1996年12月19日审计署发布)规定:“计算机辅助审计,是指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。本办法所称计算机应用系统,是指被审计单位与财政、财务收支有关的计算机应用系统。”

    概括来说,计算机辅助审计主要是指审计人员将计算机作为辅助审计的工具,审计被审计单位财务收支及其会计信息系统。

    1.3 信息系统审计

    国际信息系统审计领域的权威专家Ron Weber认为:“信息系统审计是指收集并评估证据,以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。”

    1985年日本通产省情报处理开发协会信息系统审计委员会认为:“信息系统审计是由独立于审计对象的信息系统审计师,站在客观立场上,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题和劝告,追求系统的有效利用和故障排除,使系统更加健全。”

    我国一些学者认为,信息系统审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。

    简单来说,信息系统审计就是审计被审计单位信息系统的安全性、可靠性、有效性和效率,并对被审系统提出改进意见。

    1.4 会计信息系统审计

    孙立辉(2005)认为,会计信息系统审计是指通过一定的技术手段收集并评估证据,以判断一个会计信息系统是否做到安全、可靠和有效,同时又能最经济地使用资源。可见会计信息系统审计主要是审计与财政、财务收支有关的计算机应用系统。

    1.5 内容交叉

    计算机审计、计算机辅助审计、信息系统审计、会计信息系统审计并不是相互独立的,彼此之间存在着紧密的联系。其联系如图1所示。

    

    计算机审计内容涵盖计算机辅助审计和信息系统审计。计算机辅助审计包括计算机数据审计(是指运用计算机审计技术对与财政、财务收支等有关的计算机系统所处理的电子数据进行的审计)及会计信息系统审计,而会计信息系统审计又隶属于信息系统审计。计算机辅助审计与信息系统审计的交叉点就是会计信息系统审计。计算机辅助审计一方面可以借鉴通用的信息系统审计方法去审计会计信息系统,另一方面可以借鉴信息系统审计的思路,以便在信息系统广泛渗透的当代更好地进行审计。

    2 审前调查可以利用的方法思路

    计算机辅助审计和信息系统审计在具体开展审计之前都要进行审前调查,但二者调查的具体内容却并不相同。在这个阶段,计算机辅助审计可以借鉴的方法思路主要有:

    (1)为被审单位的信息系统建立一个详细清单,包括机构内部自行开发研制的系统以及从开发商处直接购买的系统。

    (2)查看被审单位为管理信息系统制定的规章制度。

    (3)了解被审单位信息系统的运行状况,包括信息系统的结构、所使用的硬件和软件、系统建成时间、运行时间、生命周期概况、规模及设备清单等。

    (4)进行风险评估时要考虑到信息技术所带来的新型风险。传统审计风险分为固有风险、控制风险和检查风险3类,但在信息系统环境下传统的审计风险发生了一定程度的变化,其中的固有风险和控制风险都同信息系统环境直接相关,检查风险则同信息系统审计人员的审计过程有关。

    (5)采用文字描述法、表格描述法、图形描述法等来描述被审单位信息系统。

    3 进行控制测试时可以利用的方法思路

    计算机辅助审计人员在进行控制测试时,除了测试传统内部控制要素是否得到有效执行外,还要注意以下方面:

    3.1 审查信息系统的环境控制

    主要是评估信息系统安全政策、标准、指南是否合理,是否得到有效执行。例如,系统安装后,应改变初始密码;密码保存文件应该加密,确保不能任意读取。针对密码这一项环境控制,被审单位是否有相应的规章,是否得到有效执行。

    3.2 审查信息系统的逻辑安全控制

    逻辑安全控制是指为了避免系统的误操作、非授权操作等增加系统的风险,信息系统设计与实施时要有相应的控制措施,这些措施就是逻辑安全控制。逻辑安全控制审查就是评估被审单位的信息系统是否满足信息系统设计的要求,成功地避免一些误操作带来的错误。例如,要评估系统用户登录权限的合理性,交易的授权和交易执行、资产的保管和记录等不相容职位的用户的权限是否只限于本职位。

    另外还要注意计算机环境下不相容职责有了新内容:计算机操作和系统开发职能相分离;数据库管理与其他计算机中心职能相分离;系统维护与新系统开发职能相分离;数据文件库与操作相分离。

    4 审计信息系统应用控制时可以利用的方法

    审计人员可以根据自己的计算机水平,或者不同方法的具体功能来选择。

    4.1 适合初级计算机水平审计人员的方法

    4.1.1程序流程图检查法

    前提:熟悉程序流程图的作用和画法。

    步骤:向被审单位索取被审系统的程序流程图;确定程序流程图中包含了哪些处理功能和控制措施,此步骤可以采用从程序流程图的最高层模块一直检查到最底层模块的方法,也可以按先序遍历的方式顺序检查各个模块,或者按照输入模块、处理模块、输出模块的顺序检查;证实程序流程图中所包含的处理功能和控制措施在被审单位实际运行的程序中是否正被执行着,可以让被审单位演示相应的功能来证实。

    功能:检查被审系统的处理功能和控制措施,了解被审系统内部运行的具体步骤。

    4.1.2 程序运行记录检查法

    前提:熟悉程序运行记录中每个记录代表的含义。

    步骤:向被审单位索取被审系统程序运行记录;查看记录中操作系统的起止时间,出现中断、故障时的记录;向被审单位询问中断、故障的原因,突然中断则可能说明程序中语法或逻辑等有错误。

    功能:检查被审系统实际运行时出现的故障,据以推测系统的控制措施是否存在、是否可靠,系统逻辑语法是否有问题。

    4.1.3 程序运行结果检查法

    前提:熟悉程序的相关控制及各个控制要达到的目标。

    步骤:获取系统自动生成的错误清单、业务清单、记账凭证、日记账、分类账、会计报表以及其他各种报表;检查错误清单中记录错误的多寡,找出造成错误的原因及其处理是否适当;检查业务清单、日记账、分类账、会计报表的格式,金额平衡性等。

    功能:通过检查错误清单上所列错误的类型及其处理方法,借以评价被审程序内部控制的有效性;通过检查各种账目和报表可以推断系统业务处理功能的有效性。

    4.1.4 受控处理法

    前提:能够获得被审单位实际会计业务数据。

    步骤:选择一定时期(最好是12月份)被审单位实际业务的数据,分别由审计师和被审系统同时处理,比较二者处理的结果。

    功能:检查被审程序处理和控制功能是否恰当有效。

    4.1.5 受控再处理法

    前提:拥有一批经审计过的业务处理的结果,或者以前审计时已经审查证实其处理和控制功能恰当有效的被审程序副本。

    步骤:如果拥有审计过的业务数据,则把这批业务输入到被审系统,由当前实际运行的被审程序进行处理,获得当前的处理结果;比较两次处理结果。如果拥有经过审计的审计程序副本,则把当前被审程序处理过的业务,输入到审计人员保存的被审程序副本进行处理,获得处理结果;比较两次处理结果。

    功能:检查当前实际运行的被审程序有无非法改动,处理和控制功能是否可靠。

    4.2 适合中级计算机水平审计人员的方法

    4.2.1 程序编码检查法

    前提:了解编程语言,例如Java、C++、VB.net、C#。

    步骤:向被审单位索取被审系统系统分析、系统设计资料以及系统程序编码;审阅系统分析、系统设计资料,了解被审系统在设计时该具备哪些处理和控制功能,也就是程序规格说明,以此作为标准;选择要检查的程序,有时被审系统编码非常多,审计人员应该围绕审计目标选择要检查的程序,尤其要关注高度敏感、重要的、相对简单的程序;证实某一程序是否按程序说明书和逻辑流程图编写。

    功能:检查现行的被审系统是否按照原先的设计规格展开,通过检查编码还可以发现一些系统的漏洞,有时这些漏洞恰能提供舞弊的机会。

    4.2.2程序编码比较法

    前提:熟悉编程语言,例如Java、C++、VB.net、C#。

    步骤:获得经审查其处理和控制功能恰当的被审程序源代码副本(审计人员亲自或在审计人员的监督下由被审单位将机内正在运行的被审程序源代码复制一份,对于不能复制的程序,可在被审单位的计算机上进行审查);比较两个程序的源代码:在Windows 2000/XP中,可以使用comp命令,在命令行提示符中输入“comp 程序文件1 程序文件2”;也可以利用专门的程序代码比较软件进行比较,例如Beyond Comparer、Araxis Merge 等专业比较软件。比较两个程序的目标程序代码:分别运行上述两个源代码使之生成目标程序代码,然后分别运行目标程序代码,比较二者在功能上是否存在差异。如果存在差异,向被审单位询问原因。

    功能:检查目前运行的被审系统是否被篡改过。

    4.2.3追踪法

    前提:有一定编程能力,熟悉系统的具体运行步骤和内部逻辑。

    步骤:根据审计目标选择需要跟踪的程序;详细了解被审程序的内部逻辑;可以运行专门的跟踪软件,有编程能力的也可以自己编写跟踪程序来跟踪被审程序;跟踪后列出一份被审程序运行时的步骤清单;分析步骤清单,检查是否按照正确的逻辑开展。

    功能:检查系统中引起审计人员关注的相应程序是否按照合理的步骤运行,内部逻辑是否正确。

    4.2.4使用系统测试软件法

    前提:熟练地操作测试软件,熟悉系统内部运行机制,能够把测试结果与系统的具体问题相联系。

    步骤:根据审计目标及审计效益选择合适的系统测试软件,例如Win Runner,Sandra Pro Business XII,EVEREST Corporate Edition V4.50.1330等测试软件;这些测试软件可用于评价系统的安全性,一些则可用于评价系统的效率等,测试软件一般只能评价系统的通用性能,所以审计人员还要针对被审系统的具体特点再做其他测试。

    功能:根据测试结果发现被审系统的漏洞和潜在的问题。

    4.2.5日志获取与分析法

    前提:掌握日志的具体作用、记录的内容及其获取方法。

    步骤:一般被审系统都有日志,日志分为操作系统日志和应用程序日志。操作系统日志可以利用操作系统提供的系统工具进行查询;应用程序日志可以利用被审系统将其导出;对于数据库的日志,可以利用数据库管理系统导出日志;审计人员也可利用日志分析软件例如Log miner对上述日志进行导出;审计人员可以打印出日志后进行书面检查,也可以运用日志分析软件进行在线实时分析。分析时应该关注的要点:日志上记录的相应的登录授权操作,要关注登录人员与其权限是否符合;系统出错的原因,改正的措施;系统更改数据时的操作;数据删除时的操作。

    功能:检查系统逻辑安全控制,发现被审单位工作人员一些隐藏的操作,提供审计疑点。

    4.3 适合高级计算机水平审计人员的方法

    4.3.1 测试数据法

    前提:掌握白盒或黑盒测试法,掌握程序的内部逻辑结构。当重点关注程序是否达到所要求的功能时,可以选择黑盒法。当主要关注程序中是否存在错误的执行路线时,可以采用白盒法,采用白盒法需要对程序的内部逻辑结构有清楚的了解。

    步骤:准备一套完整的交易数据,既包括有效交易数据,也包括无效交易的数据,测试每一个可能的输入错误、逻辑过程和违反规定的事项,测试数据可以由审计人员根据被审程序控制及处理功能,设计若干虚拟的业务,逐笔制作成检测数据,也可根据被审单位以前月份或年度的输入数据稍加修改后利用,或者运用审计软件产生检测数据,例如黑盒法下QACente软件、白盒法下NuMega DevPartner Studio软件;用被审程序处理这些测试数据;比较处理的结果与预期的结果。

    功能:确定被审程序的处理和控制功能是否恰当有效,检测应用程序的完整性。

    4.3.2 虚拟实体法

    前提:熟悉被审程序具体处理功能及其内部逻辑,根据这个逻辑设计出虚拟实体。

    步骤:根据审计目标确定需要审查的程序及其处理和控制功能;虚拟一个实体,如虚拟的部门、车间、经销商、顾客、职员等;设计与虚拟实体有关的业务,并用手工计算出预期的结果;将虚拟实体业务同真实业务一并从头到尾通过整个系统,得到最终处理结果;将该结果与手工计算的结果进行比较,做出评价;检测结束后,准备一些会计分录冲销检测业务,消除虚拟实体的业务数据,以免影响被审单位的正常业务和财务报表。

    功能:确定被审程序的处理和控制功能是否恰当可靠。

    4.3.3 嵌入审计程序法

    前提:具备较强编程能力和系统分析设计能力,能够针对具体审计功能设计出相应审计程序,并能参与到被审系统的分析与设计阶段。

    ①一般来说有两种嵌入审计程序:一种是不经常起作用的,只有审计人员在执行特定的审计任务才激活的审计程序;另一种是在被审程序中连续监控某些特定点上的处理的程序。

    ②MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),是对一段信息(Message)产生信息摘要(Message-Digest),以防止被篡改。MD5将整个文件当作一个大文本信息,通过其不可逆的字符串变换算法,产生一个唯一的MD5信息摘要。以后无论文件的内容发生了任何形式的改变,只要你对这个文件重新计算MD5,就会发现信息摘要不相同,由此可以确定你得到的是一个修改过的文件。

    步骤:在被审系统的设计和开发阶段,把为执行特定的审计功能而设计的程序段①嵌入到被审系统的程序中,这些程序段可以用来收集审计人员感兴趣的资料,并且建立一个审计控制文件,用来存储这些资料;当实际业务数据在被审程序中处理时,审计程序段对程序进行检查,如果符合某些条件,则将其记入审计控制文件中;审计人员可以定期或不定期地将审计控制文件打印输出,对被审程序的处理和控制功能进行评价,或对系统处理的业务进行监控。

    功能:通过审核审计控制文件来确定被审程序的处理控制功能是否可靠,也可发现一些被审单位不正常的业务。

    4.3.4平行模拟法

    前提:具备较强的编程能力,具备分析、设计信息系统的相关知识背景。

    步骤:根据审计的目的和要求,确定要模拟的被审程序;了解该程序所涉及的文件记录的格式,文件类型,数据处理步骤和计算规则,输入输出的格式和内容,输入、处理、输出控制措施等;模仿被审程序编写审计模拟程序;分别用被审程序和模拟程序处理实际业务数据;对处理结果进行比较分析,从而评价被审程序。

    功能:评价被审程序的处理和控制功能是否合理。

    4.3.5 MD5算法②比较法

    前提:具备一定的信息安全知识,掌握MD5算法及其产生信息摘要的过程,并且能够参与到被审单位信息系统的开发设计阶段。

    步骤:查看被审单位系统开发文件,如果该系统里本身就有一个后缀名为.md5的文件,那就是系统在开发时已生成了MD5信息摘要,审计人员要保存待以后审计时使用。如果系统没有现成的MD5信息摘要,审计人员可以利用MD5算法或相应的软件为系统的EXE文件产生一个信息摘要,并保存。在以后审计时,对被审系统的EXE文件再产生一个信息摘要。对比这两个摘要,看是否一致,如果一致则证明系统没有被改变过,如果不一致则说明系统有更改的地方,审计人员需要进一步询问被审单位,查找改变的地方。

    功能:发现系统是否被篡改。

    5 结 语

    上述所借鉴的信息系统审计方法,有很多功能是重叠的,审计人员可以根据被审系统的特点以及自身的情况进行自由选择。当前为了应对信息技术给审计带来的严峻挑战,发现越来越“高超”舞弊行为,降低审计风险,计算机辅助审计与信息系统审计应该相互借鉴,共享思路与方法,从而更好地促进审计的快速发展。

    主要参考文献

    [1] Jack J Champlain.Auditing Information Systems[M].NewYork:John Wiley & Sons,2003.

    [2] James A Hall.Information Systems Auditing and Assurance[M].NewYork:Thomson Learning,2000.

    [3] 曹建新,朱宝忠,华峰.计算机审计发展的文献综述[J].科技创业月刊,2007(10):165-166.

    [4] 曹昱.浅析计算机审计[J].科技广场,2007(2):224-225.

    [5] 姜玉泉,黄昌胤.如何进行计算机数据审计模型分析[J].中国审计,2003(21):69-71.

    [6] 李学柔,秦荣生.国际审计[M].北京:中国时代经济出版社,2002.

    [7] 孙立辉.会计信息系统审计与IT环境下财务报表审计的比较[J].财会通讯,2005(4):49-50.

    [8] 唐玮.IT审计未来发展思考[J].合作经济与科技,2006(6s):65-66.

    [9] 吴沁红.信息技术环境下财务审计与信息系统审计的比较[J].中国注册会计师,2004(8):38-40.

    [10] 叶明,刘迎祥.浅析信息系统审计[J].会计之友,2005(12B):59-60.

    [11] 叶韶勋.注册会计师与计算机信息系统审计[J].中国注册会计师,2005(2):34-35.

    [12] 张基温.信息系统安全原理[M].北京:中国水利水电出版社,2005.

    [13] 张玉文.浅议信息系统审计[J].会计之友,2007(4,中):64-65.

    [14] 张永熊.信息系统审计产生及发展研究[J].审计与理财:学术版,2005(2):27-28.

    [15] 张琪,崔巍.IT审计师将成为计算机审计的主要“生力军”[J].会计之友,2007(8,下):90-91.
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2025/2/11 9:00:23