簡介：　審計是經濟發(fā)展到一定階段的產物，隨著經濟的發(fā)展，審計的外延和內涵不斷發(fā)展，審計的內容也已經由原來的財務報表審計、經營審計、管理審計進一步擴大到整個信息系統(tǒng)，對信息系統(tǒng)進行審計及以計算機作為技術手段進行審計，便是其中的兩種重要形式，經過幾年的發(fā)展，已經形成了一套規(guī)范而行之有效的審計方法。

　　企業(yè)事業(yè)單位對財務管理、經營管理、行政管理都在走向信息化、網絡化。財政、金融、稅務、海關等領域信息化進程迅速推進，政府部門、國有企業(yè)等被審計單位的會計核算、財務管理、經營管理電子化日益普及，銀行業(yè)監(jiān)管部門面臨的挑戰(zhàn)是：在審計資源保持相當穩(wěn)定的情況下，按照傳統(tǒng)審計工作的高質量標準，去審查信息系統(tǒng)生成的需要分析的大量數(shù)據，幾乎不可能。

　　審計是經濟發(fā)展到一定階段的產物，隨著經濟的發(fā)展，審計的外延和內涵不斷發(fā)展，審計的內容也已經由原來的財務報表審計、經營審計、管理審計進一步擴大到整個信息系統(tǒng)，對信息系統(tǒng)進行審計及以計算機作為技術手段進行審計，便是其中的兩種重要形式，經過幾年的發(fā)展，已經形成了一套規(guī)范而行之有效的審計方法。本文主要介紹利用計算機進行審計檢查監(jiān)督的做法。

　　一、利用計算機工具檢查信息系統(tǒng)安全

　　1、檢查計算機通用控制

　　在檢查計算機通用控制時，如檢查系統(tǒng)平臺的訪問控制，若用手工檢查，需要審計人員到現(xiàn)場進入操作系統(tǒng)，輸入有關命令才可以得到操作系統(tǒng)訪問控制的具體設置。這種手段存在以下缺點：

　?。?）對計算機審計人員技術要求較高，需要了解讀取不同操作系統(tǒng)安全設置的命令及參數(shù)，而且審計必須不斷跟進系統(tǒng)版本變化

　?。?）檢查結果不易輸出，如對Windows NT的檢查，只能利用屏幕拷貝方式

　?。?）檢查結果不易分析，由于檢查結果可能包含大量信息，審計人員從中找出所關注的問題需要花較大工作量

　　因此，專業(yè)計算機公司針對不同操作系統(tǒng)平臺開發(fā)了專門的審計工具，這些工具一般包括以下功能：

　　（1）設定參照性安全標準，既可以使用行業(yè)的一般標準，也可以根據審計機構的安全政策自行設計

　?。?）對有關平臺或網絡的安全控制進行全面掃描檢查，詳細分析各種安全設置

　?。?）參照安全標準進行分析評估，既可以得出量化的評分結果，也可以輸出各種格式的詳細報告。

　　在信息系統(tǒng)審計中，國外常用的安全審計軟件有：

　?。?）Security Analyst. KANE公司產品，用于對WindowsNT/2000平臺的檢查

　?。?）Rapport Audit Master. 由Rapport Software公司開發(fā)，用于檢查AS/400平臺安全。

　?。?）主機平臺。由于主機平臺產品較昂貴，一般較少采用專門審計工具，而是利用安裝在主機內的安全訪問控制軟件，如： MVS環(huán)境的RACF軟件，CA Top-Secret軟件，其主要功能是計算機安全員用于設置安全控制，也能提供較好的接口和輸出工具供審計人員讀取安全設置。

　?。?）網絡安全檢查工具。包括ISS、CyberCop、Axent等網絡安全掃描工具，除掃描網絡漏洞外，還可進行仿真入侵測試。

　　使用專用工具的好處：

　?。?）審計人員不必詳細記憶不同平臺的操作命令，減輕工作量，提高工作效率

　?。?）系統(tǒng)更新?lián)Q代或業(yè)界發(fā)現(xiàn)有新的安全問題時，只須升級有關審計工具即可

　?。?）輸出結果直觀、可靠

　?。?）使用業(yè)界普遍采用的工具，也有助于提高審計結果的可接受程度及公信力。

　　另一方面，部分審計機構亦會自行開發(fā)一些審計工具，如編寫UNIX Script，或利用Foxpro等編寫統(tǒng)計分析程序，亦有助于提高審計效率。

　　在實際應用時，根據環(huán)境需要通常會使用多種工具的混合。如在對網上銀行系統(tǒng)進行安全評估時，采用了Sever平臺的UNIX檢查工具和NT檢查工具，以及網絡平臺的ISS Internet　Scanner，并使用ISS工具對網絡進行了penetration test（入侵測試）。有的機構甚至會使用ISS配合CyberCop分別掃描網絡，利用不同產品的優(yōu)點，進一步提高掃描結果的可靠性。

　　2、檢查應用系統(tǒng)

　　這里對應用系統(tǒng)的檢查定義為： 對應用系統(tǒng)處理過程及系統(tǒng)內存儲的業(yè)務數(shù)據的完整性和準確性進行檢查。對銀行系統(tǒng)而言，具體檢查的內容包括網上銀行、銀行卡系統(tǒng)、利息及費用核算、過賬、報表輸出等計算機處理過程中的關鍵環(huán)節(jié)。如匯豐銀行，其稽核部門在這方面的計算機應用包括：

　　（1）直接在主機系統(tǒng)編寫檢查程序

　　在通用審計軟件尚未普及時，由信息系統(tǒng)審計人員在主機環(huán)境（測試平臺）上直接開發(fā)專用審計程序，用于核對利息、數(shù)據比較、抽樣證賬等工作。

　　（2）利用PC工具編寫檢查程序

　　由于在主機開發(fā)程序周期長、耗費較多人力資源，以及主機開發(fā)語言較難掌握、用戶操作接口不夠友好等問題，審計部門已趨向將主要開發(fā)工具轉為PC，并通常會借助一些較為通用及易編程的工具，如Foxpro及ACL等。

　　二、利用計算機技術輔助業(yè)務審計

　　隨著計算機應用的普及和審計素質的提高，以及一些方便易用的軟件工具的出現(xiàn)，審計機構利用計算機輔助業(yè)務審計日趨普遍，并從傳統(tǒng)上的抽樣統(tǒng)計、核對查錯發(fā)展到輔助效率審計。

　　1、常用計算機輔助審計軟件工具

　　審計軟件分為數(shù)據抽取軟件、數(shù)據分析軟件、網絡安全評估軟件及自我評估控制軟件等九類。

　　ACL軟件作為業(yè)界比較著名的審計軟件，會計師在進行審計時，普遍使用ACL抽取數(shù)據進行數(shù)據核對、統(tǒng)計抽樣等。

　　SQL是通用的標準查詢語言，無論是主機的DB2還是服務器級的Sybase、Oracle，或是PC上的Forpro、Win Access，以及ACL軟件，均支持這一行業(yè)標準（即采用基本一致的編程語法結構）。由于其具有易學習、使用靈活、運行效率高的特點，以及掌握其語法后可很快適應上述不同數(shù)據庫產品環(huán)境，因此，計算機審計人員應普遍掌握及使用SQL編寫審計程序。

　　2、實際應用

　　現(xiàn)場審計

　　很難詳盡描述計算機在業(yè)務審計中的應用范圍，從了解到的有關機構情況看，可以這么說，凡是審計過程中需要對業(yè)務數(shù)據進行統(tǒng)計、分析、比較的，都可以用到計算機工具，而應用程度及應用效果則依賴于審計人員對其掌握及靈活使用的程度。一些外資銀行普遍要求以下做法： 由獨立審計機構不定期從銀行所有客戶中抽選出部分，向他們發(fā)出證帳信，請客戶確認信中附寄的銀行賬務資料是否正確。這項工作可充分發(fā)揮ACL這類通用審計軟件的作用：

　　可抽取不同格式的計算機系統(tǒng)數(shù)據

　　可選用多種抽樣方法

　　根據抽樣結果靈活調整抽樣參數(shù)

　　降低審計風險水平

　　時間和成本的節(jié)約

　　非現(xiàn)場審計

　　非現(xiàn)場審計的概念在不同機構中可能命名不同，總的來說是強調利用計算機手段，‘足不出戶’，利用計算機終端遠距離抽取系統(tǒng)數(shù)據進行分析。大銀行會在計算機中心主機系統(tǒng)內建立數(shù)據專區(qū)INC（Information Center），各操作系統(tǒng)每日批處理后將業(yè)務數(shù)據傳送到INC中；另一邊，在審計部門建立主機系統(tǒng)終端，審計人員可以通過終端，編寫SQL程序，從上述數(shù)據庫中抽取自己需要的數(shù)據進行統(tǒng)計分析。這種方式有以下好處：

　　減省審計人員外出的人力、物力及時間成本，特別適用于分行地域跨度大的機構

　　能迅速取得最新的業(yè)務數(shù)據

　　數(shù)據未經加工，來源可靠

　　審計過程更具針對性和持續(xù)性

　　能取得大量的、來自不同系統(tǒng)的數(shù)據，便于審計人員從整體的、宏觀的角度進行分析，有助于開展效益和管理審計

　　三、發(fā)展趨勢

　　1、 計算機審計與業(yè)務審計的界線日趨模糊

　　隨著銀行業(yè)務計算機化比重日趨加大，目前大企業(yè)的計算機應用已不僅僅是過去的仿真手工階段，覆蓋范圍也不再局限于零售、結算等操作層次，而是提升到整個企業(yè)業(yè)務流程的各個方面，如ERP（企業(yè)資源計劃）、HRM（人力資源管理）、CRM（銀行信貸風險管理）。審計人員如果再不能利用計算機工具，繼續(xù)將審計局限于操作層面的檢查，將不能適應發(fā)展的要求。相反，計算機審計人員也不但要檢查計算機本身的安全，也需要了解銀行業(yè)務，以便為審計工作計算機化提供更好支持。在領先的國際化大銀行，這一趨勢已十分明顯，如匯豐銀行，審計人員共70多人，其中計算機審計人員已占到約一半，其中有10人專責計算機審計軟件的開發(fā)工作。

　　2、 用計算機手段向效益和管理審計發(fā)展

　　商業(yè)機構追求最大化利潤的目標，不僅要求審計部門對安全經營情況進行監(jiān)督（當哨兵或警察），還要能提供提高經營效益和管理方面的意見（當顧問），提供增值服務。計算機技術的發(fā)展為審計人員達到這一目標提供了現(xiàn)實可能。例如，現(xiàn)在不少大型企業(yè)已致力發(fā)展DW（數(shù)據倉庫），其提供的多維數(shù)據，不僅在數(shù)據量上超出一般數(shù)據庫的概念，更重要的是提供了更大時間跨度、更多系統(tǒng)聯(lián)系、更多企業(yè)外部的市場數(shù)據，并融入專家系統(tǒng)等人工智能概念，提供更多更靈活的處理和輸出工具，審計人員將可以利用這些工具更好地發(fā)揮其“顧問”角色。