以計算機網路技術的套用為基礎的企業信息系統將逐步成為註冊會計師的主要審計對象。對這種網路化的信息系統的審計需要多種多樣的網路審計技術,目前,這些審計技術都在探索和研究中。本文僅就對網路化環境下的網路資料庫、網路信息系統軟體和電子簽章三類關鍵要素的審計技術作一簡要介紹。
一、網路交易資料庫的審計技術
在信息網路化的環境下,會計數據的無紙化和網路資料庫化是一種發展的趨勢。對網路信息系統的網路資料庫或數據檔案的審計是註冊會計師亟待解決的問題。從傳統的手工審計習慣出發,註冊會計師往往最關注的是:如何套用計算機審計技術獲取所需的審計證據,並對這些證據進行評價,進而判斷數據是否真實、可靠、完備和合法合規。解決這個問題的方法和技術很多,本文僅簡要介紹以下四種技術。
(一)計算機抽樣取證、計算比較與綜合分析
這項技術作為審計軟體中的一個基本功能程式塊,可被設計成靈活的通用程式。註冊會計師在使用時,根據需要選擇抽取數據的條件和參數,就可立即獲得所要抽取的業務數據。這種技術可用於平時的監督(如內部審計人員或外部的註冊會計師作為系統的一個終端用戶),也可用於外部審計的年度審計。傳統審計中,註冊會計師一般是在一批業務發生後,才來審查這批業務是否合規和真實。在計算機審計技術普遍套用的今天,註冊會計師可實時調取網路系統的業務或需要關注的重大經濟業務,以便及時提出內部控制的建議來保障數據的完整性。
1.計算機抽樣取證。譬如,對電子購銷業務的審查,要審查的業務是賒銷額大於5萬元或售價低於正常售價的15%的銷售業務;或要審查購入的原材料比標準價高出5%的業務。這些業務的條件是根據需要而定,有時條件是相當複雜的,用計算機進行操作往往能提高效率。
2.計算機計算比較和綜合分析。計算機按指定的審計條件從業務資料庫中抽取的業務記錄並直接由電腦程式自動計算金額數據項的合計額,並與標準或正常業務進行比較,反映出差異等必要的信息和可能的線索。同時,審計軟體也可對這些不同的業務抽樣審計進行綜合分析得到較綜合的審計證據。在此基礎上,註冊會計師可做出判斷和對被審計的網路信息系統資料庫及其系統提出及時的建議。
(二)利用嵌入實時審計軟體
網路信息系統需要經常性和實時監督,註冊會計師一般可設計一個程式塊嵌入被審查的系統中,採集審計所關心的關鍵數據。同時,嵌入的審計程式本身具有隱蔽性、安全性和穩定性,非註冊會計師不能看到這些審計程式和自動形成的審計數據。所以,註冊會計師套用這些審計程式就能自動記載所要收集的審計證據,還可隨時調閱這些證據檔案,並利用這些審計證據可適時判斷系統運行情況和提出審計建議。
用嵌入的程式採集的審計證據檔案,一般分如下幾種:不合法而進入使用有口令的程式(如數據修改程式);未經批准而調用某數據檔案;超許可權使用系統;擅自調閱或修改審計線索數據項或審計證據檔案。這項技術對於符合性測試是非常有效的,同時,在某些特殊的情況下也可用於實質性測試。由於這種技術要求在系統設計時,就要把這一嵌入的審計程式塊結合進去,因此需要在網路信息系統軟體設計標準中對這類審計線索生成的程式進行必要的強制規範。
(三)網路數據實時備份加密技術
網路實時備份如同手工開具銷售發票複寫幾份一樣,在不同計算機硬碟上同時記錄業務發生的數據備份。而且這些備份數據中至少有一份是由審計鑑證機構保存和適當加密,以便保持其數據的真實性和可靠性。這種方法也是保留審計線索的一種重要手段。但這種技術的套用需要預先建立一個具備備份能力的網路伺服器系統,而且有一套備份數據的加密制度。
(四)專設審計控制欄位
插入審計控制欄位是指利用特殊的控制欄位與被查的網路信息系統數據檔案的記錄或業務建立一種關係或將發生的業務的關鍵數據加密並加以存儲,審計時根據這一特徵就能容易地收集到所需的審計證據。插入控制欄位指單獨設定一個欄位(數據項)存放關係函式和有關加密的關鍵數據。這一欄位可專門用於審計鑑證。但是,它可在程式和業務編碼設計時結合在一起,把控制內容融合在網路信息系統中,以保證控制欄位記載的內容真實和可靠。這種控制欄位經常用於線上業務的處理,避免線上操作人員進行不合法的數據篡改或偽造。如果把審計控制欄位與業務編碼、程式設計密切聯繫在一起,就可增加一種可靠的套用控制手段,當然也給審計提供了方便的審計線索。這種技術強調在系統設計時,註冊會計師應當充分考慮各種處理特性和修改線索保留的措施,並融合到信息系統的設計內容中去,以便確保系統數據的安全性。