以计算机网络技术的应用为基础的企业信息系统将逐步成为注册会计师的主要审计对象。对这种网络化的信息系统的审计需要多种多样的网络审计技术,目前,这些审计技术都在探索和
以计算机网络技术的应用为基础的企业信息系统将逐步成为注册会计师的主要审计对象。对这种网络化的信息系统的审计需要多种多样的网络审计技术,目前,这些审计技术都在探索和研究中。本文仅就对网络化环境下的网络数据库、网络信息系统软件和电子签章三类关键要素的审计技术作一简要介绍。
一、网络交易数据库的审计技术
在信息网络化的环境下,会计数据的无纸化和网络数据库化是一种发展的趋势。对网络信息系统的网络数据库或数据文件的审计是注册会计师亟待解决的问题。从传统的手工审计习惯出发,注册会计师往往最关注的是:如何应用计算机审计技术获取所需的审计证据,并对这些证据进行评价,进而判断数据是否真实、可靠、完备和合法合规。解决这个问题的方法和技术很多,本文仅简要介绍以下四种技术。
(一)计算机抽样取证、计算比较与综合分析
这项技术作为审计软件中的一个基本功能程序块,可被设计成灵活的通用程序。注册会计师在使用时,根据需要选择抽取数据的条件和参数,就可立即获得所要抽取的业务数据。这种技术可用于平时的监督(如内部审计人员或外部的注册会计师作为系统的一个终端用户),也可用于外部审计的年度审计。传统审计中,注册会计师一般是在一批业务发生后,才来审查这批业务是否合规和真实。在计算机审计技术普遍应用的今天,注册会计师可实时调取网络系统的业务或需要关注的重大经济业务,以便及时提出内部控制的建议来保障数据的完整性。
1.计算机抽样取证。譬如,对电子购销业务的审查,要审查的业务是赊销额大于5万元或售价低于正常售价的15%的销售业务;或要审查购入的原材料比标准价高出5%的业务。这些业务的条件是根据需要而定,有时条件是相当复杂的,用计算机进行操作往往能提高效率。
2.计算机计算比较和综合分析。计算机按指定的审计条件从业务数据库中抽取的业务记录并直接由计算机程序自动计算金额数据项的合计额,并与标准或正常业务进行比较,反映出差异等必要的信息和可能的线索。同时,审计软件也可对这些不同的业务抽样审计进行综合分析得到较综合的审计证据。在此基础上,注册会计师可做出判断和对被审计的网络信息系统数据库及其系统提出及时的建议。
(二)利用嵌入实时审计软件
网络信息系统需要经常性和实时监督,注册会计师一般可设计一个程序块嵌入被审查的系统中,采集审计所关心的关键数据。同时,嵌入的审计程序本身具有隐蔽性、安全性和稳定性,非注册会计师不能看到这些审计程序和自动形成的审计数据。所以,注册会计师应用这些审计程序就能自动记载所要收集的审计证据,还可随时调阅这些证据文件,并利用这些审计证据可适时判断系统运行情况和提出审计建议。
用嵌入的程序采集的审计证据文件,一般分如下几种:不合法而进入使用有口令的程序(如数据修改程序);未经批准而调用某数据文件;超权限使用系统;擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的,同时,在某些特殊的情况下也可用于实质性测试。由于这种技术要求在系统设计时,就要把这一嵌入的审计程序块结合进去,因此需要在网络信息系统软件设计标准中对这类审计线索生成的程序进行必要的强制规范。
(三)网络数据实时备份加密技术
网络实时备份如同手工开具销售发票复写几份一样,在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存和适当加密,以便保持其数据的真实性和可靠性。这种方法也是保留审计线索的一种重要手段。但这种技术的应用需要预先建立一个具备备份能力的网络服务器系统,而且有一套备份数据的加密制度。
(四)专设审计控制字段
插入审计控制字段是指利用特殊的控制字段与被查的网络信息系统数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储,审计时根据这一特征就能容易地收集到所需的审计证据。插入控制字段指单独设置一个字段(数据项)存放关系函数和有关加密的关键数据。这一字段可专门用于审计鉴证。但是,它可在程序和业务编码设计时结合在一起,把控制内容融合在网络信息系统中,以保证控制字段记载的内容真实和可靠。这种控制字段经常用于在线业务的处理,避免在线操作人员进行不合法的数据篡改或伪造。如果把审计控制字段与业务编码、程序设计密切联系在一起,就可增加一种可靠的应用控制手段,当然也给审计提供了方便的审计线索。这种技术强调在系统设计时,注册会计师应当充分考虑各种处理特性和修改线索保留的措施,并融合到信息系统的设计内容中去,以便确保系统数据的安全性。
二、网络信息系统(软件)的审计技术
注册会计师对一个网络信息系统的审计,不仅要对其网络数据库进行审计,而且要对其系统的软件进行必要的审计,才能防止在软件方面的修改造成的信息虚假。对网络信息系统(软件)的审计主要是要评价一个系统的软件质量和功能。因为软件质量的好坏直接影响数据的安全性和完整性。为确保系统发挥正常的作用,对软件的审计也是一件重要的工作,尤其是对软件的维护审计,更是一项经常性的工作。这一审计工作是计算机审计中最难的一种。它需要较熟练的计算机软件开发和维护以及编程技术,通常有业务数据测试法、整体数据库模拟测试、平行模拟技术、平行运行法。
(一)应用测试数据审计网络信息系统的异常缺陷和修改
执行网络信息系统业务数据测试,其关键在于设计好业务测试数据。一般不直接使用用户的实际业务数据。因为根据实际业务的数据很难检测出全部的错误。日常的业务数据量虽然很多,可是包括异常的数据很少。即使存在有异常的数据,注册会计师要把它找出来也是一件困难的事情。通常测试用的数据是根据注册会计师本身和审计专家的经验设计的测试数据,这样可自动测试出网络信息系统的缺陷。
(二)利用测试数据对网络上的网络信息系统进行审计
注册会计师在审查并了解计算机系统的逻辑过程和控制规则后,可以准备一些测试用的数据。在系统中由这些测试数据形成的结果,可帮助注册会计师评价系统的有效性和可靠性。注册会计师在设计测试数据时,应充分考虑计算机系统可能发生的每一种错误。例如,在销售系统中,同一种产品的销售价相差20%是不正常的,远超信用额度的发货也是不正常的业务,这些异常业务在程序设计中可能没有设计控制。
(三)虚拟数据嵌入测试法
虚拟测试法包括用一套虚拟记录加到实际的数据库文件中并运行数据处理的所有模块,以发现输入控制和程序的逻辑控制的弱点。虚拟业务数据在测试后,应当把这些虚拟的数据记录从实际的数据库中去除。例如,建立一个虚似的客户账户,注册会计师可像普通的客户那样从该企业购买商品并予以记录。同时也可发生赊销、退货等业务,以观察系统运行是否正常。
把这种测试法所形成的数据记录也纳入实际的业务数据库,可能会给系统带来虚增或虚减会计账户余额。这种虚拟记录的设置意味着具有虚假性,因为它在检测后可及时删除或“红字”冲销。因此,这些消除虚拟数据记录的方法,在设计时就应考虑周全。
(四)审计软件测试法
审计软件测试法是利用注册会计师开发的模拟网络信息系统程序,并利用被审计系统的全部的实际基础数据来测试系统运行,将所得到的测试结果与被审计系统运行的结果进行比较分析,推断其应用控制和程序的可靠性。这一测试不一定对整个系统全部模拟,一般选择一些关键的子系统或关键的子模块进行模拟。
应用这项技术,要求注册会计师熟悉模拟的系统或子系统的设计流程以及输入数据和输出数据。这样才能编制出确切的模拟测试软件。比如,注册会计师要对销售数据处理模块进行模拟,特别是对流转税的计算和销售成本的计算作为重点的模拟测试。
三、电子签章的审计技术
传统的各种商业文件都需要当事人签章(手写签名、盖图章等),注册会计师很容易辨认这种签章。在计算机网络信息系统环境下,各种商业文件都以电子文件的形式存储、传递和处理,传统的当事人签章形式已经失效。适应网络信息系统的电子签章的出现,使电子签章的鉴证也成为审计的基本内容之一,同时注册会计师也应用电子签章技术进行审计。
联合国早在20世纪70年代就由其国际贸易法律委员会开始研究电子数据的法律证据问题。1996年12月联合国通过了正式的法律范本《电子商务示范法》,明确指出电子数据可作为有效的法律证据,但必须满足以下基本条件:电子数据的生成、存储和传递过程是可靠的;有关责任人(包括交易业务的对方)已以某种加密数字签字确认(简称电子签章);执行数据专人管理和确保数据的完整性等。在美国,2000年10月1日《电子签章全球与国内贸易法案》正式生效后,按该项法案规定电子签章将与普通合同签字在法庭上具有同等的法律效力。2000年5月,英国电子通信法案开始生效,政府用法律确立了电子签章的合法地位。
(一)电子签章的种类
电子签章可以用于任何一种信息,其中包括保密与非保密信息。但在网上进行电子支付和交易电子发票时舞弊,仍然是电子商务信息系统的商家最为头疼的事。要避免这些舞弊发生,常常要建立一套健全的内部控制制度,同时还需要外部审计(鉴证)的监督。电子签章的实质内容不是传统纸张上的签名和盖章,而是一种特殊加密的数据。电子签章的基础是加密技术。在网络信息系统中最常用的电子签章加密技术有:
1.公开密钥的电子签字。将交易的数据文件的关键部分按特定的公开密钥加密。公开密钥是交易双方约定的公共密钥用于加密,且交易的双方都有一个解密密钥用于还原原文。
2.摘要式的电子签字。与特定的电子文件捆绑在一起,对几个关键字段进行加密。
3.电子邮戳。对交易的时间和关键数据采用安全加密措施。
4.电子身份卡。证实一个用户的身份,交易双方都可不必为对方身份真伪担心,同时也作为对网络访问的权限。电子身份卡是由电子身份认证中心签发的符号文件,里面含一些不可修改的加密信息。
(二)对电子签章的鉴证和审计技术
上述的1和2在现有的网络电子签章中使用比较普遍。实际上,上述几种电子签章技术也都表现为电子数据。凡是电子数据就容易复制,为了保证电子交易关键数据和电子签章的真实性和可靠性,可采用如下几种审计技术:
1.摘要式实时鉴证技术。审计机构必须装备有先进的计算机网络设备系统,在网络上实时对客户电子签章的关键业务和关键数据进行采集,并存放在审计机构的计算机服务器上。同时,对这些采集的关键数据与网络电子商务信息系统相核对及实施有关审计步骤,而后可实时或定期(按月份)签发电子鉴证证书。鉴证中心(如会计师事务所)是一个权威的公正的第三方中介机构,保存有交易的关键数据和有关的双方电子签章。
2.实时备份数据技术。审计机构配备有高级的服务器,与电子商务网站联结,实时同步地记载电子商务交易的全部数据。需要鉴证电子签章时就可调用审计机构记录的原始数据与之比较,再综合其他的审计步骤的结果,即可形成审计意见。
3.利用认证中心的电子身份卡在线认证结果,可直接鉴证签字人的真实性。对用电子身份卡进行签字的鉴证,一般直接利用签发此卡的认证中心的认证结果以验证其身份的真实性。但对于电子身份卡签发的交易数据的可靠性仍然需要前两种的技术进行审计。
4.实时审计程序嵌入技术和插入控制字段技术。在需审计的数据库中插入加密字段记录有关审计的关键数据,以达到鉴证电子签字的目的。
(作者单位:厦门大学会计系)
