并行審計技術(Concurrent Auditing Technique)是指在應用系統(tǒng)對其業(yè)務進行處理時,同時采集審計證據(jù)的技術。
一、并行審計技術產(chǎn)生的背景
隨著計算機技術在會計信息系統(tǒng)中的廣泛應用,人們發(fā)現(xiàn)在計算機信息處理環(huán)境下采集審計證據(jù)往往比手工環(huán)境下更為復雜,因為審計人員開始面對許多手工環(huán)境下不存在的、復雜的內(nèi)部控制技術。在審計過程中,要確認這些內(nèi)部控制的有效性,必須對其有所了解,并且要能取得充分可靠的證據(jù)。然而,信息技術發(fā)展很快,與之相關的控制技術也在不斷發(fā)展,了解控制技術并不是輕而易舉的。這就導致審計人員用傳統(tǒng)的方式采集證據(jù)時,在某些情況下常常被迫做出讓步,難以取得充分可靠的證據(jù)。
此外,計算機信息系統(tǒng)在企業(yè)的經(jīng)營管理中起著越來越重要的作用,系統(tǒng)如果停止運行,有時會直接影響企業(yè)的生產(chǎn)經(jīng)營活動,給企業(yè)帶來損失。因此,對計算機信息系統(tǒng)的審計往往要求在系統(tǒng)運行過程中進行審計取證。審計人員一方面要及時完成審計任務,另一方面又不能妨礙和干擾被審計系統(tǒng)的正常工作。
面對計算機信息處理環(huán)境對審計工作的上述影響,傳統(tǒng)審計技術在某些情況下已無能為力,審計人員要想取得充分可靠的審計證據(jù),則需要利用并行審計技術。
二、并行審計技術介紹
并行審計技術是在20世紀60年代后期和70年代初期產(chǎn)生的。使用并行審計技術采集審計證據(jù)包括兩個方面:一是為采集、處理和打印審計證據(jù),需要在應用系統(tǒng)或系統(tǒng)軟件中嵌入專門的審計模塊。二是將采集到的證據(jù)存儲在應用系統(tǒng)文件中或存儲在專門的審計文件中,以便審計人員進行審查。
隨著信息技術的快速發(fā)展,目前已形成了多種并行審計技術。但是,我們可以將其分為三類:一是當應用系統(tǒng)進行處理時,利用測試數(shù)據(jù)對系統(tǒng)進行評價;二是當應用系統(tǒng)進行處理時,追蹤或映射應用系統(tǒng)的變化狀況;三是當應用系統(tǒng)進行處理時,選擇交易進行審計復核?;谏鲜龇诸悾旅娣謩e介紹三種并行審計技術:綜合測試、快照和系統(tǒng)控制審計復核文件,它們依次對應上述三類并行審計技術。
(一)綜合測試(Integrated Test Facility,ITF)。綜合測試(ITF)是在應用系統(tǒng)正常處理其業(yè)務時,用測試數(shù)據(jù)對系統(tǒng)進行檢測的一種方法。這種方法要在應用系統(tǒng)的文件中建立一個虛擬實體,并讓應用系統(tǒng)處理該實體的審計測試數(shù)據(jù)。例如:應用系統(tǒng)是工資系統(tǒng),可在其數(shù)據(jù)庫中建立一個虛擬的職員;應用系統(tǒng)是一個存貨系統(tǒng),可在其數(shù)據(jù)庫中建立一個虛擬的存貨項目。測試數(shù)據(jù)和正常產(chǎn)生的業(yè)務數(shù)據(jù)一同輸入應用系統(tǒng)進行處理,通過將應用系統(tǒng)對測試數(shù)據(jù)處理的結果同預期結果進行比較,可確定應用系統(tǒng)的處理和控制功能是否恰當、可靠。采用綜合測試法將會涉及兩個問題:采用何種方法建立測試數(shù)據(jù)與采用何種方法消除綜合測試交易對系統(tǒng)的影響。
1.建立測試數(shù)據(jù)的方法。第一種方法是對被審計單位的現(xiàn)場交易做標記輸入到應用系統(tǒng)中,視帶標記的交易為測試數(shù)據(jù),如圖1所示。采用這種方法,應用系統(tǒng)中必須有特定的計算機程序能夠識別出帶標記的交易,并且使這些交易既要更新應用系統(tǒng)的主文件,同時也要更新ITF虛擬實體。
圖1 給現(xiàn)場交易做標記視為測試數(shù)據(jù) 選擇和識別ITF交易有多種策略。第一,在源文件中或屏幕布局中包含一個專門的標識字段,用來表示一筆交易即為正常交易又為ITF交易。由審計人員來選擇確定對哪些現(xiàn)場交易做標記,所選交易的特征可以與測試數(shù)據(jù)的設計相一致,也可以根據(jù)制定的抽樣計劃進行選擇。第二,在應用系統(tǒng)的程序中嵌入審計軟件模塊,利用審計軟件來選擇交易并給交易加標記使其成為ITF交易。第三,在應用系統(tǒng)中嵌入抽樣程序,抽樣程序具有根據(jù)抽樣計劃給交易做標記,并使其成為ITF交易的功能。不論采用何種策略,應用系統(tǒng)中必須有相應的處理程序,專門處理帶標記的交易。
給現(xiàn)場交易做標記使其成為ITF交易的優(yōu)點是:容易使用,并且測試交易代表了系統(tǒng)的正常處理業(yè)務。但是這種方法也有缺點:首先,使用現(xiàn)場數(shù)據(jù)限制了對系統(tǒng)的全面測試;其次,在應用系統(tǒng)中追加代碼來識別做標記的交易,并以特定方式處理這些交易,可能會影響其正常處理,如:它可能降低系統(tǒng)的響應時間。
第二種方法是自行設計測試數(shù)據(jù),測試數(shù)據(jù)與現(xiàn)場交易數(shù)據(jù)一同輸入應用系統(tǒng)。如圖2所示。采用這種方法,審計人員應當根據(jù)所要使用的測試數(shù)據(jù)的特征來設計并創(chuàng)建測試數(shù)據(jù)。
圖2(略)自行設計測試數(shù)據(jù)
自行設計測試數(shù)據(jù)同從現(xiàn)場交易中選擇測試數(shù)據(jù)相比,測試數(shù)據(jù)的覆蓋面大,可全面測試系統(tǒng),但設計和建立測試數(shù)據(jù)要花費一定的時間和費用。
2.消除ITF交易的影響。在應用系統(tǒng)中出現(xiàn)ITF交易會影響其輸出結果,因此,必須消除ITF交易的影響??刹捎孟铝蟹椒ㄏ齀TF交易的影響:一種方法是修改應用程序使其能夠識別ITF交易,并消除ITF交易對用戶的影響;另一種方法是提交額外的輸入,抵銷ITF交易的影響。
(二)快照(Snapshot)。當應用系統(tǒng)非常龐大或復雜時,追蹤通過系統(tǒng)的不同執(zhí)行路徑會有一定難度,審計人員要想對交易進行審查,會面對一定的困難。對此情況,可以利用快照技術來進行審查。快照技術是指當交易通過應用系統(tǒng)流動時,讓軟件給交易拍“像”。通常是在應用系統(tǒng)的重要處理發(fā)生點嵌入軟件,當交易通過不同處理點時,嵌入軟件可捕捉交易的映像。為證實不同快照點的處理,審計人員使軟件捕捉交易的前映像和后映像,通過檢驗前映像、后映像及其變換,評價交易處理的真實性、準確性和完整性。
實施快照技術主要涉及以下三個方面:第一,確定應用系統(tǒng)中快照點的位置,它也是審計的關鍵點。審計人員可根據(jù)應用系統(tǒng)中每一處理點的重要性來確定快照點的位置。第二,確定何時捕捉交易快照。可讓嵌入軟件對某些高風險的交易始終做快照,也可安排嵌入軟件,根據(jù)某類抽樣計劃做不同交易的快照。第三,嵌入軟件必須對每一交易提供身份識別和時間戳,以使審計人員能確定,快照數(shù)據(jù)應用于哪一筆交易、交易通過不同快照點時其狀態(tài)變化情況如何、捕捉到的快照數(shù)據(jù)是哪一個處理點的、捕捉到每一處理點的快照數(shù)據(jù)是何日何時的。此外,還應設計相應的快照報告生成系統(tǒng),使其能夠按照審計人員的要求輸出快照報告。
?。ㄈ┫到y(tǒng)控制審計復核文件(System Control Audit Review File SCARF)。系統(tǒng)控制審計復核文件(SCARF)是指在一個應用系統(tǒng)中嵌入審計模塊,對該系統(tǒng)的交易進行連續(xù)監(jiān)控。審計模塊置于事先確定的點,用以采集審計人員認為重要的交易或事件信息,采集到的信息存放在一個專門的審計文件一一SCARF主文件中,審計人員通過審查該文件的信息,可以確定應用系統(tǒng)的哪些方面需要追查。圖3以一個主文件更新程序為例說明SCARF技術。
使用SCARF技術首先要確定由SCARF嵌入審計程序采集什么信息。其次要確定與SCARF一同使用的報告系統(tǒng)。
1.確定SCARF嵌入審計程序采集什么信息。在一個應用系統(tǒng)中,SCARF嵌入審計程序的性質和布局取決于審計人員所要采集證據(jù)的類型,在很多方面,SCARF技術與快照有相似的地方,它也可以捕捉快照。此外,還可以采集其他信息:應用系統(tǒng)的錯誤、系統(tǒng)的例外情況、統(tǒng)計樣本等。
SCARF嵌入審計程序的完整性對于所采集證據(jù)的可靠性至關重要,因此必須采取措施對該程序的內(nèi)容及其完整性加以保護。第一,應用程序中不應包含嵌入審計程序的源代碼,只允許調用語句存在。程序源代碼應保存在專門的庫文件中,只有經(jīng)過授權的人員才可訪問。第二,支持該程序的文檔也應妥善安全地保管。第三,對程序進行維護時,應當認真考慮如何維護,如果審計人員具有編程技能和知識,應自己進行維護,如果必須依賴他人,則必須尋求獨立的第三方的幫助。
2.確定與SCARF一同使用的報告系統(tǒng)。
?。?)確定SCARF文件如何更新??蔀槊恳粦孟到y(tǒng)建立一個臨時的、SCARF工作文件,由臨時文件更新SCARF主文件,也可由每個應用系統(tǒng)直接更新SCARF主文件。
(2)把SCARF文件的數(shù)據(jù)進行分類并確定審計報告的格式。一個SCARF系統(tǒng)可采集大量數(shù)據(jù),只有經(jīng)過恰當分類,并采用適當?shù)膱蟾嫘问捷敵觯拍転閷徲嬋藛T提供清晰的數(shù)據(jù)。
(3)確定報告的編制時間。編制報告期間的長度主要取決于所采集審計證據(jù)的重要性和生成報告的成本,如果SCARF系統(tǒng)識別出重要的異常情況,則讓報告生成系統(tǒng)立即生成報告,而在多數(shù)情況下,則選擇按一定的時間間隔生成報告。(作者單位:財政部財政科學研究所研究生部)