谈持续审计的技术支持问题.doc

《谈持续审计的技术支持问题.doc》由会员分享，可在线阅读，更多相关《谈持续审计的技术支持问题.doc（12页珍藏版）》请在三一办公上搜索。

1、谈持续审计的技术支持问题本文由上海立信会计学院立信会计研究院经费资助何 芹（上海立信会计学院 审计学系 上海 201620）Discussion on Technical Support of Continuous AuditingHe Qin(Shanghai Lixin University of Commerce, Department of Auditing, Shanghai China, 201620)作者简介：何芹（1977-），女(汉)，安徽枞阳人，讲师，会计学博士，主要研究方向：持续审计研究。联系电话：13585769099。Email：heqin。通讯地址：上海市松江大学城

2、文翔路2800号上海立信会计学院审计学系邮编：201620谈持续审计的技术支持问题【摘要】持续审计是信息时代审计发展的必然趋势，信息技术在持续审计发展过程中起着至关重要的作用。本文首先介绍持续审计的研究现状，深入分析持续审计实施中必须解决的技术问题，为持续审计提供一个技术支持体系。【关键词】持续审计 审计方法 技术支持 Discussion on Technical Support of Continuous Auditing【Abstract】Continuous auditing is a necessary development trend of auditing in the inf

3、ormation age. Information technologies play a critical role in the process of developing continuous auditing. This paper firstly introduces current situations of continuous auditing study, secondly analyzes the technical issues which should be solved in continuous auditing implementing to bring forw

4、ard a technical support system to continuous auditing.【Key Words】continuous auditing; auditing methodology; technical support一、持续审计概述随着信息技术的发展，人类社会开始迈入经济知识化和全球化的新时代，信息技术成为组织发展的主要驱动力，企业等经济组织对信息及时性的要求越来越强，从而对审计信息的时效性也提出了更高的要求。为了适应信息社会发展需要，持续审计（也称为连续审计）应用而生。国外的社会职业团体、审计学术界和实务界都积极投入对持续审计的研究，形成了一系列的研究成果。

5、其中最有代表性的是1999年AICPA和CICA联合发布的研究报告持续审计 AICPA/CICA. Continuous Auditing, Research ReportR.The Canadian Institute of Chartered Accountants, Toronto, Ontario, 1999 EB/OL. http:/infotech.aicpa.org/Resources/Systems+Audit+and+Internal+Control/IT+Systems+Audit/Continuous+Audit/Continuous+Auditing+Executive

6、+Summary.htm。报告讨论了持续审计的性质、目的、范围和基本原则等重要问题，并指出了持续审计的实施条件，这些条件中有很大一部分是从技术支持方面要求的，如：（1）审计程序应能高度自动化地截取和处理数据，以获取必要的审计证据，且在短时间内生成高度可靠的报告信息，因此要求精确定义反映审计对象的数据以及数据之间的定量关系和定性关系；（2）对任何异常现象应采取自动的报警触发程序并及时生成例外报告；（3）自动化审计程序需要在不同程度上与企业信息系统集成，自动审计过程应成为审计人员现场审计的有益补充；（4）应在企业网站与审计师之间建立有效的电子通信连接，以及时通知审计师自动审计结果；（5）应有恰当的

7、安全保障措施，有效防范未授权的篡改。可以看出，持续审计的发展一方面克服了传统审计报告的时滞性缺陷，大大提高了审计信息的时效性；另一方面持续审计的实施基于发达的信息网络技术。因此持续审计的应用还必须解决技术支持问题，包括网络技术、软件、硬件等各方面。只有在满足了这些必然的条件下，持续审计实施才具有可行性。二、建立可靠的持续审计基础系统持续审计的实施依赖可靠的基础系统。所谓基础系统是指持续审计指向的目标系统，也就是被审计单位信息系统。首先，持续审计实施要求被审计单位建立信息技术平台，实现企业信息化管理。企业信息化的第一步应该抓基础管理信息化，通过企业基本资源的信息化，建立和改造企业的基础管理；第二

8、步实现企业业务管理信息化，譬如通过建立企业资源计划系统（Enterprise Resources Planning, ERP），整合企业管理理念、业务流程、基础数据、人力物力、计算机硬件和软件于一体，实现业务集成；第三步考虑企业间的合作，利用外部资源，进行供应链合作，实现业务效率最大化；最后是步入电子商务时代，形成一个更为广泛的电子商务社区，实现更加协作化的商业运作。其次，持续审计指向的被审计单位信息系统必须是一个可靠的系统。根据信息系统认证Systrust准则 SysTrust是由AICPA和CICA推出的一种信息系统鉴证服务，用于增强管理者、客户和商业伙伴对支持业务或某种特别活动的系统的信

9、任。AICPA和CICA对SysTrust服务已经发布“SysTrust系统可靠性鉴证准则”，简称SysTrust准则，目前该准则为第三版。的要求，可靠的系统应该满足四个原则，即有效性（availability）、安全性（security）、完整性（integrity）和可维护性（maintainability） 转引自Anthony J Pugliese, Ronald Halse. SysTrust and WebTrust: Technology Assurance OpportunitiesJ.The CPA Journal, Nov 2000, pg.30。具体到持续审计基础系统中，

10、这四个原则的具体内容应该是：（1）有效性，指根据持续审计实施的基本要求，提供可操作及可使用的目标系统；（2）安全性，指目标系统应有足够的安全防范措施，保障数据和程序不受非法侵害；（3）完整性，指目标系统能够确保所作的处理是完整、正确、及时且经授权的，例如会计信息系统能够根据公认会计原则和企业既定的会计政策处理各项业务，且其处理过程和结果应是正确的；（4）可维护性，指目标系统可以维护更新，持续提供服务满足系统可用性、安全性和完整性的要求。持续审计指向的被审计单位信息系统应当符合这四个原则的要求。三、获取数据信息并进行数据处理在目标系统满足可靠性的基础上，从目标系统获取数据并进行数据处理则是持续审

11、计实施的关键步骤。首先，审计人员需要了解被审计单位数据结构，建立数据通道，取得授权协议，利用持续审计应用程序从被审计单位复杂的信息系统中获取和传递数据。被审计单位的数据通常被储存在不同数据平台和系统多维数据库的多重地址中，有些数据还是高度相关的。复杂的数据平台，物理地址的分散都会对处理程序产生影响。审计程序必须能够快速进入任一计算机平台，读取存储于这些平台的不同格式的数据。在大规模企业中，各个业务部门的数据管理者非常重要，他们能提供关于数据定义、文件排列的基本信息，也能确定供审计测试用的关键数据，审计人员应该取得他们的支持与合作。其次，为被审计单位的业务部门建立数据仓库和数据集市进行数据处理。

12、数据仓库和数据集市是两个紧密相关的概念，业界公认的数据仓库概念创始人W.H.Inmon在数据仓库一书中对数据仓库的定义是，“数据仓库是支持管理决策过程的，面向主题的、集成的、稳定的、不同时间的数据集合。” W.H.Inmon.数据仓库,北京:机械工业出版社，2000年版数据仓库从整个企业的所有应用系统中收集数据，但它与数据库并不完全相同，只有被认为会影响审计风险的事项在经过选择后才会被收集并储存在审计数据仓库中。而数据集市比数据仓库要小，它仅包括一个应用领域的数据（如会计、营销等），并且是一套标准的转换数据，它包含关于原始交易和ETL处理（Extraction, Transformation

13、and Loading，数据的获取、转换和加载）的完整信息。根据业务部门之间的关联程度，每个部门都可以有自己的审计数据集市，如果几个单位关联性很高并使用一个数据库，它们也可以共享一个单独的数据集市。数据仓库和数据集市的好处是能够在应用系统处理的同时收集证据，财务数据和相关审计证据只需采取一种格式就可以方便地应用于不同的审计工作中。实践中很多因素导致了数据处理时对数据仓库与数据集市的需要，例如不同数据库的时间差异，企业级数据完整性和一贯性的缺乏，数据定义和业务规则的不准确与不完整，审计线索的不完整，对进入企业信息系统的限制等。审计人员可以利用计算机网络系统，为每个业务单位创建审计数据集市，并将获

14、取的数据储存到一个审计数据集市以作测试和分析之用。利用数据仓库和数据集市获取并进行数据处理的基本运作原理如图1 参考Zabihollah Rezaee, Ahmad Sharbatoghlie, Rick Elam, Peter L McMickle. Continuous auditing: Building Automated Auditing Capability J.Auditing, Mar 2002, pg.156所示。需要注意的是，在获取和处理数据过程中，审计人员应该做到获取和处理数据的及时性。在持续审计方法下，据以进行审计测试的纸介质审计线索通常并不存在，证据主要是以电子形式存

15、在的数据，电子证据通常只会在某个时间段存在，过了特定时间之后，如果文件被更改或备份文件不存在，这些证据就无法再获得。因此审计人员在收集和处理电子证据时应该考虑其存在的时间，做到及时获取数据并进行数据处理。数据系统a数据系统b数据系统c审计对象数据库防火墙审计数据仓库数据转换数据下载审计报告数据库审计数据集市审计程序数据库数据转换图1 数据仓库和数据集市技术在持续审计中的运用四、审计师系统与被审计单位系统有效连接，建立可靠的互联系统随着计算机信息技术尤其是互联网技术的发展，审计师和被审计单位的计算机系统或操作平台都可以轻易地与网络相通，在标准化的基础上，建立审计师系统与被审计单位应用系统如财务系

16、统、核心业务系统之间的数据接口，为了实现有效连接，该数据接口必须具有较强的可伸缩性和可定义性。同时，在审计程序使用和进入被审计单位经营系统数据库时还必须确保审计技术和被审计单位的信息系统相互兼容，认真考虑例如数据大小、网络交易量等因素，保证不会影响这些系统的运行效果。五、高度自动化的持续审计程序在持续审计环境中，审计工具会更加频繁或者持续地使用，甚至每天都使用，可能在指定的时间之前或者在某个事件发生后就会使用持续审计工具，因此持续审计程序必须是高度自动化的。目前实务界业已开发的诸多审计技术都具有持续审计功能，如综合测试工具(Integrated Test Facilities, ITF）、平行

17、模拟法（Parallel Simulation）和嵌入审计模块（Embedded Audit Module, EAM），这些技术都可以在交易或者事项发生的同时进行审计。其中，综合测试工具是使用测试数据对系统进行评价的比较具有代表性的审计技术，这种方法要在应用系统数据库中建立一个虚拟实体，如虚拟的部门、职员或者存货项目。在正常的操作中，测试数据和真实业务数据一同输入被审计应用系统进行处理，综合测试工具将应用系统对测试数据处理的结果同预期结果进行比较，它能够在应用程序的正常操作中测试程序的内部逻辑和控制，从而确定被审计系统的处理和控制功能是否恰当、是否可靠。而平行模拟法，是指审计人员自己或聘请计算

18、机专业人员编写具有和被审程序相同处理控制功能的模拟程序，用这种程序重新处理以前已经由被审计程序处理过的各种交易，并将处理结果与被审程序处理的结果进行比较，从而推断程序处理和控制的质量。嵌入审计模块是审计师在被审计单位的会计信息系统中安装具有记录功能的程序模块，对被审计单位的会计信息系统进行审计，并直接获取相关的审计证据。随着科学技术的进一步发展，审计中还会使用专家系统和神经网络技术。专家系统模仿人力专家解决问题的方法，通过计算机软件模型有效率和有效果地获取知识，适合复杂的决策过程。神经网络通过模糊或不完全的信息模拟人脑，识别模型或者预测产出，还可以通过选择数据进行程序决策，发展未来决策的知识基

19、础，在技术上更前进了一步。专家系统和神经网络经常用于比较重要的项目，判断组织是否会破产，检测信用卡舞弊，检测生产过程中出现的早期警示现象。同时审计软件开发也在快速发展，有一些软件供应商已经开始提供实现自动化程序的审计技术和软件。例如加拿大ACL公司、Caseware公司都已经开发了针对核心经营业务的持续审计软件，目前运用的领域主要有职责分离（Segregation of Duties）、总分类账（General Ledger）、存货（Inventory）以及固定资产（Fixed Assets）等 John Verver. Continuous Monitoring: Practical Exp

20、eriences Client Experiences with ACLs Continuous Controls Monitoring Products, November, 2004EB/OL. http:/raw.rutgers.edu/continuousmonitoringpractical_files/frame.htm。值得一提的是，我国软件供应商也逐渐由定期审计软件转向持续审计软件的开发，其中比较具有代表性的是金长源审计实时系统。它通过实时自动化采集企业内部的经营数据，并根据预设的监控方式实时监控采集过来的数据形成监控报告，支持强大的财务分析工具，实时控制企业内部发生的问题，实

21、现事中控制和事前预防，为企业内部建立了一个完善、高效的审计信息化系统和审计操作平台，也为实地或现场审计提供了有力的支持。除了软件供应商开发的持续审计软件以外，会计师事务所也开始参与其中，例如安永开发的NexGen工具和Advisor及Director工具 严纪中，欧进士，洪育忠，曹秀惠. 连续性审计美国四大会计师事务所应用连续性查核系统案例,会计研究月刊（台湾），2006(总第245期)EB/OL. http:/www.accounting.org.tw/search/j_search.asp。值得注意的是，上述自动化的审计程序必须是高度可靠的，根据Systrust准则的要求，应该符合有效性、

22、安全性、完整性和可维护性原则。（1）有效性，指自动化程序执行审计和提供报告的有效程度，在运行中必须确保其高度的有效性；（2）安全性，指自动化程序应该配备恰当的控制功能以确保其数据和程序不被侵害，一旦检测到未授权的侵害或可疑的情况，立即触发报警程序向审计师报警，或向外发布警示性信息；（3）完整性，指自动化程序完整、准确、实时地捕捉、存储、归集和报告与被审计委托项目相关信息的能力；（4）可维护性，自动化程序可以根据实际情况的变化及时修正，例如更改程序中设定的详细规则，修正程序中原先设定的不适当的初始值，设定新的初始值。六、能够及时传递准确的审计报告根据AICPA/CICA对持续审计的定义，持续审计

23、是“一套审计方法”，这表明持续审计方法贯穿审计活动的各程序，包括审计计划、风险评估、控制测试、交易测试和余额测试以及审计报告等，因此在研究持续审计的技术支持时我们应考虑审计报告的传递。这里需要注意报告传递的两个要求：及时和准确。审计师通过自动化软件技术对被审计单位的业务系统进行持续测试，不断更新信息和审计报告，将持续更新的信息和审计报告通过网络传送给授权的使用者。利用互联网的功能，任何一个报告都可载入网站，供经授权的需求者及时审阅。因此，审计报告的及时传递已经不难实现。但是要实现审计报告的准确传递却并非容易，因为影响准确性实现的因素有很多，如系统功能、系统可靠性及审计人员使用计算机的熟悉程度等

24、等。因此需要审计师深入了解并测试系统功能、了解系统的可靠性、控制管理系统确保信息流通顺畅并且及时获取、更新与储存数据，确保审计报告内容的及时与准确。这也体现了对审计师素质的要求。概括来说，为了实现审计报告的及时准确传递，持续审计相关各方（包括审计师、被审计单位以及信息使用者）之间的信息传送至少应具备以下特性 Jon Woodroof, DeWayne Searcy. Continuous Audit Implications of Internet Technology: Triggering Agents Over the Web in the Domain of Debt Covenant

25、 Compliance, Proceedings of the 34th Hawaii International Conference on System Sciences-2001EB/OL. http:/www.hicss.hawaii.edu/HICSS_34/PDFs/INWRK02.pdf#search=%22Continuous%20Audit%20Implications%20of%20Internet%20Technology%22：（1）授权性（authorization），只有经授权的用户方能接触所传送的信息，这可以通过使用防火墙、口令和生物识别装置（biometric

26、devices）如指纹识别等来解决；（2）保密性（confidentiality），可通过加密技术保证所传送信息的保密性；（3）完整性（integrity），通过采用完整性检查或其他技术保证所传送的信息不被截取或篡改；（4）鉴证性（authentication），可以通过数字签名(digital signature)、请求回应(challenge-response)等技术鉴证相关各方之间的通信行为，保证合法的信息传递。参考文献1、 AICPA/CICA. Continuous Auditing, Research ReportR.The Canadian Institute of Charte

27、red Accountants, Toronto, Ontario, 1999 EB/OL. http:/infotech.aicpa.org/Resources/Systems+Audit+and+Internal+Control/IT+Systems+Audit/Continuous+Audit/Continuous+Auditing+Executive+Summary.htm2、 Anthony J Pugliese, Ronald Halse. SysTrust and WebTrust: Technology Assurance OpportunitiesJ.The CPA Jour

28、nal, Nov 2000, pg.303、 W.H.Inmon.数据仓库, 北京:机械工业出版社，2000年版4、 Zabihollah Rezaee, Ahmad Sharbatoghlie, Rick Elam, Peter L McMickle. Continuous auditing: Building Automated Auditing Capability J.Auditing, Mar 2002, pg.1565、 Jon Woodroof, DeWayne Searcy. Continuous Audit Implications of Internet Technolog

29、y: Triggering Agents Over the Web in the Domain of Debt Covenant Compliance, Proceedings of the 34th Hawaii International Conference on System Sciences-2001EB/OL. http:/www.hicss.hawaii.edu/HICSS_34/PDFs/INWRK02.pdf#search=%22Continuous%20Audit%20Implications%20of%20Internet%20Technology%226、 John V

30、erver. Continuous Monitoring: Practical Experiences Client Experiences with ACLs Continuous Controls Monitoring Products, November, 2004EB/OL. http:/raw.rutgers.edu/continuousmonitoringpractical_files/frame.htm7、 严纪中，欧进士，洪育忠，曹秀惠. 连续性审计美国四大会计师事务所应用连续性查核系统案例,会计研究月刊（台湾），2006(总第245期)EB/OL. http:/www.acc

31、ounting.org.tw/search/j_search.asp8、 吴沁红，杨周南.并行审计技术探讨J. 审计研究，2002（1），pg. 54-589、 Jack J.Champlain. 审计信息系统M. 北京：清华大学出版社，200410、 James A.Hall. 信息系统审计与鉴证M. 北京：中信出版社，2003我的大学爱情观1、什么是大学爱情：大学是一个相对宽松，时间自由，自己支配的环境，也正因为这样，培植爱情之花最肥沃的土地。大学生恋爱一直是大学校园的热门话题，恋爱和学业也就自然成为了大学生在校期间面对的两个主要问题。恋爱关系处理得好、正确，健康，可以成为学习和事业的催化

32、剂，使人学习努力、成绩上升；恋爱关系处理的不当，不健康，可能分散精力、浪费时间、情绪波动、成绩下降。因此，大学生的恋爱观必须树立在健康之上，并且树立正确的恋爱观是十分有必要的。因此我从下面几方面谈谈自己的对大学爱情观。2、什么是健康的爱情：1) 尊重对方，不显示对爱情的占有欲，不把爱情放第一位，不痴情过分；2) 理解对方，互相关心，互相支持，互相鼓励，并以对方的幸福为自己的满足; 3) 是彼此独立的前提下结合；3、什么是不健康的爱情：1)盲目的约会，忽视了学业;2)过于痴情，一味地要求对方表露爱的情怀，这种爱情常有病态的夸张;3)缺乏体贴怜爱之心，只表现自己强烈的占有欲;4)偏重于外表的追求;

33、4、大学生处理两人的在爱情观需要三思：1. 不影响学习：大学恋爱可以说是一种必要的经历，学习是大学的基本和主要任务，这两者之间有错综复杂的关系，有的学生因为爱情，过分的忽视了学习，把感情放在第一位；学习的时候就认真的去学，不要去想爱情中的事，谈恋爱的时候用心去谈，也可以交流下学习，互相鼓励，共同进步。2. 有足够的精力：大学生活，说忙也会很忙，但说轻松也是相对会轻松的！大学生恋爱必须合理安排自身的精力，忙于学习的同时不能因为感情的事情分心，不能在学习期间，放弃学习而去谈感情，把握合理的精力，分配好学习和感情。3、 有合理的时间；大学时间可以分为学习和生活时间，合理把握好学习时间和生活时间的“度

34、”很重要；学习的时候，不能分配学习时间去安排两人的在一起的事情，应该以学习为第一；生活时间，两人可以相互谈谈恋爱，用心去谈，也可以交流下学习，互相鼓励，共同进步。5、大学生对爱情需要认识与理解，主要涉及到以下几个方面：（一） 明确学生的主要任务“放弃时间的人，时间也会放弃他。”大学时代是吸纳知识、增长才干的时期。作为当代大学生，要认识到现在的任务是学习学习做人、学习知识、学习为人民服务的本领。在校大学生要集中精力，投入到学习和社会实践中，而不是因把过多的精力、时间用于谈情说爱浪费宝贵的青春年华。因此，明确自己的目标，规划自己的学习道路，合理分配好学习和恋爱的地位。（二） 树林正确的恋爱观提倡志

35、同道合、有默契、相互喜欢的爱情：在恋人的选择上最重要的条件应该是志同道合，思想品德、事业理想和生活情趣等大体一致。摆正爱情与学习、事业的关系：大学生应该把学习、事业放在首位，摆正爱情与学习、事业的关系，不能把宝贵的大学时间，锻炼自身的时间都用于谈情说有爱而放松了学习。 相互理解、相互信任，是一份责任和奉献。爱情是奉献而不时索取，是拥有而不是占有。身边的人与事时刻为我们敲响警钟，不再让悲剧重演。生命只有一次，不会重来，大学生一定要树立正确的爱情观。（三） 发展健康的恋爱行为 在当今大学校园，情侣成双入对已司空见惯。抑制大学生恋爱是不实际的，大学生一定要发展健康的恋爱行为。与恋人多谈谈学习与工作，

36、把恋爱行为限制在社会规范内，不致越轨，要使爱情沿着健康的道路发展。正如马克思所说：“在我看来，真正的爱情是表现在恋人对他的偶像采取含蓄、谦恭甚至羞涩的态度，而绝不是表现在随意流露热情和过早的亲昵。”（四） 爱情不是一件跟风的事儿。很多大学生的爱情实际上是跟风的结果，是看到别人有了爱情，看到别人幸福的样子（注意，只是看上去很美），产生了羊群心理，也就花了大把的时间和精力去寻找爱情（五） 距离才是保持爱情之花常开不败的法宝。爱情到底需要花多少时间，这是一个很大的问题。有的大学生爱情失败，不是因为男女双方在一起的时间太少，而是因为他们在一起的时间太多。相反，很多大学生恋爱成功，不是因为男女双方在一起

37、的时间太少，而是因为他们准确地把握了在一起的时间的多少程度。（六） 爱情不是自我封闭的二人世界。很多人过分的活在两人世界，对身边的同学，身边好友渐渐的失去联系，失去了对话，生活中只有彼此两人；班级活动也不参加，社外活动也不参加，每天除了对方还是对方，这样不利于大学生健康发展，不仅影响学习，影响了自身交际和合作能力。总结：男女之间面对恋爱，首先要摆正好自己的心态，树立自尊、自爱、自强、自重应有的品格，千万不要盲目地追求爱，也不宜过急追求爱，要分清自己的条件是否成熟。要树立正确的恋爱观，明确大学的目的，以学习为第一；规划好大学计划，在不影响学习的条件下，要对恋爱认真，专一，相互鼓励，相互学习，共同进步；认真对待恋爱观，做健康的恋爱；总之，我们大学生要树立正确的恋爱观念，让大学的爱情成为青春记忆里最美的风景，而不是终身的遗憾！