信息系統環境下計算機輔助審計可以借鑒信息系統審計之處

[摘 要] 進入21世紀以來，計算機輔助審計技術一直在迅速發展，隨著信息系統的廣泛滲透，在審計被審單位財務資料的同時，對于產生這些資料的信息系統進行審計勢在必行。本文主要從審計人員的角度，分析計算機輔助審計對于信息系統審計方法的吸收借鑒。

[關鍵詞] 信息系統審計;計算機輔助審計;方法借鑒

doi:10.3969/j.issn.1673-0194.2009.14.023

[中圖分類號]F239.1[文獻標識碼]A[文章編號]1673-0194(2009)14-0065-04

隨著信息技術的普及和發展，計算機信息系統已經成為各行業不可或缺的管理工具，成為信息化條件下企業進行管理和內部控制的關鍵環節。信息技術的出現，一方面大大提高了管理和會計的效率，另一方面也給審計帶來了挑戰，如惡意修改系統以達到舞弊的目的，信息系統本身存在的漏洞與缺陷引發的問題，網絡的發展帶來的諸如計算機病毒、黑客對系統的威脅等。這些新型舞弊使得審計人員既要關注信息系統所提供的數據，也要關注產生這些數據的信息系統。

1 計算機輔助審計和信息系統審計各自的審計領域

1.1 計算機審計

目前國內外對計算機審計尚未有一個明確統一的定義，《審計法實施條例》和《國務院辦公廳關于利用計算機信息系統開展審計工作的有關問題的通知》(國辦發[2001] 88號)規定，“簡單地講，計算機審計包括:對計算機管理的數據進行檢查，對管理數據的計算機進行檢查。”

在李學柔和秦榮生編寫的《國際審計》中作如下定義:“計算機審計與一般審計一樣，同樣是執行經濟監督、鑒證和評價職能。其特殊性主要在兩個方面:① 對執行經濟業務和會計信息處理的計算機系統進行審計，即計算機系統作為審計的對象;②利用計算機輔助審計，即計算機作為審計的工具。概括起來說，無論是對計算機進行審計還是利用計算機進行審計都統稱為計算機審計。”

由此可以看出，計算機審計的內容主要涵蓋兩個方面:一是審計計算機信息系統;二是把計算機作為輔助審計的工具，審計計算機信息系統產出的數據。

1.2 計算機輔助審計

國際審計實務委員會在國際審計準則第16號中規定:“按照《國際審計準則第15號——電子數據處理環境下的審計》的解釋，在電子數據處理的環境下進行審計時，并不改變審計的總體目標和范圍。但是，審計程序的運用，可能要求審計人員考慮利用計算機技術作為一項審計的工具。計算機在這方面的各種使用稱之為計算機輔助審計技術。”

審計機關計算機輔助審計辦法(1996年12月19日審計署發布)規定:“計算機輔助審計，是指審計機關、審計人員將計算機作為輔助審計的工具，對被審計單位財政、財務收支及其計算機應用系統實施的審計。本辦法所稱計算機應用系統，是指被審計單位與財政、財務收支有關的計算機應用系統。”

概括來說，計算機輔助審計主要是指審計人員將計算機作為輔助審計的工具，審計被審計單位財務收支及其會計信息系統。

1.3 信息系統審計

國際信息系統審計領域的權威專家Ron Weber認為:“信息系統審計是指收集并評估證據，以判斷一個計算機系統(信息系統)是否有效做到保護資產、維護數據完整、完成組織目標，同時最經濟地使用資源。”

1985年日本通產省情報處理開發協會信息系統審計委員會認為:“信息系統審計是由獨立于審計對象的信息系統審計師，站在客觀立場上，對以計算機為核心的信息系統進行綜合的檢查、評價，向有關人員提出問題和勸告，追求系統的有效利用和故障排除，使系統更加健全。”

我國一些學者認為，信息系統審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動，以審查企業信息系統是否安全、可靠、有效，保證信息系統得出準確可靠的數據。

簡單來說，信息系統審計就是審計被審計單位信息系統的安全性、可靠性、有效性和效率，并對被審系統提出改進意見。

1.4 會計信息系統審計

孫立輝(2005)認為，會計信息系統審計是指通過一定的技術手段收集并評估證據，以判斷一個會計信息系統是否做到安全、可靠和有效，同時又能最經濟地使用資源。可見會計信息系統審計主要是審計與財政、財務收支有關的計算機應用系統。

1.5 內容交叉

計算機審計、計算機輔助審計、信息系統審計、會計信息系統審計并不是相互獨立的，彼此之間存在著緊密的聯系。其聯系如圖1所示。

計算機審計內容涵蓋計算機輔助審計和信息系統審計。計算機輔助審計包括計算機數據審計(是指運用計算機審計技術對與財政、財務收支等有關的計算機系統所處理的電子數據進行的審計)及會計信息系統審計，而會計信息系統審計又隸屬于信息系統審計。計算機輔助審計與信息系統審計的交叉點就是會計信息系統審計。計算機輔助審計一方面可以借鑒通用的信息系統審計方法去審計會計信息系統，另一方面可以借鑒信息系統審計的思路，以便在信息系統廣泛滲透的當代更好地進行審計。

2 審前調查可以利用的方法思路

計算機輔助審計和信息系統審計在具體開展審計之前都要進行審前調查，但二者調查的具體內容卻并不相同。在這個階段，計算機輔助審計可以借鑒的方法思路主要有:

(1)為被審單位的信息系統建立一個詳細清單，包括機構內部自行開發研制的系統以及從開發商處直接購買的系統。

(2)查看被審單位為管理信息系統制定的規章制度。

(3)了解被審單位信息系統的運行狀況，包括信息系統的結構、所使用的硬件和軟件、系統建成時間、運行時間、生命周期概況、規模及設備清單等。

(4)進行風險評估時要考慮到信息技術所帶來的新型風險。傳統審計風險分為固有風險、控制風險和檢查風險3類，但在信息系統環境下傳統的審計風險發生了一定程度的變化，其中的固有風險和控制風險都同信息系統環境直接相關，檢查風險則同信息系統審計人員的審計過程有關。

(5)采用文字描述法、表格描述法、圖形描述法等來描述被審單位信息系統。

3 進行控制測試時可以利用的方法思路

計算機輔助審計人員在進行控制測試時，除了測試傳統內部控制要素是否得到有效執行外，還要注意以下方面:

3.1 審查信息系統的環境控制

主要是評估信息系統安全政策、標準、指南是否合理，是否得到有效執行。例如，系統安裝后，應改變初始密碼;密碼保存文件應該加密，確保不能任意讀取。針對密碼這一項環境控制，被審單位是否有相應的規章，是否得到有效執行。

3.2 審查信息系統的邏輯安全控制

邏輯安全控制是指為了避免系統的誤操作、非授權操作等增加系統的風險，信息系統設計與實施時要有相應的控制措施，這些措施就是邏輯安全控制。邏輯安全控制審查就是評估被審單位的信息系統是否滿足信息系統設計的要求，成功地避免一些誤操作帶來的錯誤。例如，要評估系統用戶登錄權限的合理性，交易的授權和交易執行、資產的保管和記錄等不相容職位的用戶的權限是否只限于本職位。

另外還要注意計算機環境下不相容職責有了新內容:計算機操作和系統開發職能相分離;數據庫管理與其他計算機中心職能相分離;系統維護與新系統開發職能相分離;數據文件庫與操作相分離。

4 審計信息系統應用控制時可以利用的方法

審計人員可以根據自己的計算機水平，或者不同方法的具體功能來選擇。

4.1 適合初級計算機水平審計人員的方法

4.1.1程序流程圖檢查法

前提:熟悉程序流程圖的作用和畫法。

步驟:向被審單位索取被審系統的程序流程圖;確定程序流程圖中包含了哪些處理功能和控制措施，此步驟可以采用從程序流程圖的最高層模塊一直檢查到最底層模塊的方法，也可以按先序遍歷的方式順序檢查各個模塊，或者按照輸入模塊、處理模塊、輸出模塊的順序檢查;證實程序流程圖中所包含的處理功能和控制措施在被審單位實際運行的程序中是否正被執行著，可以讓被審單位演示相應的功能來證實。

功能:檢查被審系統的處理功能和控制措施，了解被審系統內部運行的具體步驟。

4.1.2 程序運行記錄檢查法

前提:熟悉程序運行記錄中每個記錄代表的含義。

步驟:向被審單位索取被審系統程序運行記錄;查看記錄中操作系統的起止時間，出現中斷、故障時的記錄;向被審單位詢問中斷、故障的原因，突然中斷則可能說明程序中語法或邏輯等有錯誤。

功能:檢查被審系統實際運行時出現的故障，據以推測系統的控制措施是否存在、是否可靠，系統邏輯語法是否有問題。

4.1.3 程序運行結果檢查法

前提:熟悉程序的相關控制及各個控制要達到的目標。

步驟:獲取系統自動生成的錯誤清單、業務清單、記賬憑證、日記賬、分類賬、會計報表以及其他各種報表;檢查錯誤清單中記錄錯誤的多寡，找出造成錯誤的原因及其處理是否適當;檢查業務清單、日記賬、分類賬、會計報表的格式，金額平衡性等。

功能:通過檢查錯誤清單上所列錯誤的類型及其處理方法，借以評價被審程序內部控制的有效性;通過檢查各種賬目和報表可以推斷系統業務處理功能的有效性。

4.1.4 受控處理法

前提:能夠獲得被審單位實際會計業務數據。

步驟:選擇一定時期(最好是12月份)被審單位實際業務的數據，分別由審計師和被審系統同時處理，比較二者處理的結果。

功能:檢查被審程序處理和控制功能是否恰當有效。

4.1.5 受控再處理法

前提:擁有一批經審計過的業務處理的結果，或者以前審計時已經審查證實其處理和控制功能恰當有效的被審程序副本。

步驟:如果擁有審計過的業務數據，則把這批業務輸入到被審系統，由當前實際運行的被審程序進行處理，獲得當前的處理結果;比較兩次處理結果。如果擁有經過審計的審計程序副本，則把當前被審程序處理過的業務，輸入到審計人員保存的被審程序副本進行處理，獲得處理結果;比較兩次處理結果。

功能:檢查當前實際運行的被審程序有無非法改動，處理和控制功能是否可靠。

4.2 適合中級計算機水平審計人員的方法

4.2.1 程序編碼檢查法

前提:了解編程語言，例如Java、C++、VB.net、C#。

步驟:向被審單位索取被審系統系統分析、系統設計資料以及系統程序編碼;審閱系統分析、系統設計資料，了解被審系統在設計時該具備哪些處理和控制功能，也就是程序規格說明，以此作為標準;選擇要檢查的程序，有時被審系統編碼非常多，審計人員應該圍繞審計目標選擇要檢查的程序，尤其要關注高度敏感、重要的、相對簡單的程序;證實某一程序是否按程序說明書和邏輯流程圖編寫。

功能:檢查現行的被審系統是否按照原先的設計規格展開，通過檢查編碼還可以發現一些系統的漏洞，有時這些漏洞恰能提供舞弊的機會。

4.2.2程序編碼比較法

前提:熟悉編程語言，例如Java、C++、VB.net、C#。

步驟:獲得經審查其處理和控制功能恰當的被審程序源代碼副本(審計人員親自或在審計人員的監督下由被審單位將機內正在運行的被審程序源代碼復制一份，對于不能復制的程序，可在被審單位的計算機上進行審查);比較兩個程序的源代碼:在Windows 2000/XP中，可以使用comp命令，在命令行提示符中輸入“comp 程序文件1 程序文件2”;也可以利用專門的程序代碼比較軟件進行比較，例如Beyond Comparer、Araxis Merge 等專業比較軟件。比較兩個程序的目標程序代碼:分別運行上述兩個源代碼使之生成目標程序代碼，然后分別運行目標程序代碼，比較二者在功能上是否存在差異。如果存在差異，向被審單位詢問原因。

功能:檢查目前運行的被審系統是否被篡改過。

4.2.3追蹤法

前提:有一定編程能力，熟悉系統的具體運行步驟和內部邏輯。

步驟:根據審計目標選擇需要跟蹤的程序;詳細了解被審程序的內部邏輯;可以運行專門的跟蹤軟件，有編程能力的也可以自己編寫跟蹤程序來跟蹤被審程序;跟蹤后列出一份被審程序運行時的步驟清單;分析步驟清單，檢查是否按照正確的邏輯開展。

功能:檢查系統中引起審計人員關注的相應程序是否按照合理的步驟運行，內部邏輯是否正確。

4.2.4使用系統測試軟件法

前提:熟練地操作測試軟件，熟悉系統內部運行機制，能夠把測試結果與系統的具體問題相聯系。

步驟:根據審計目標及審計效益選擇合適的系統測試軟件，例如Win Runner，Sandra Pro Business XII，EVEREST Corporate Edition V4.50.1330等測試軟件;這些測試軟件可用于評價系統的安全性，一些則可用于評價系統的效率等，測試軟件一般只能評價系統的通用性能，所以審計人員還要針對被審系統的具體特點再做其他測試。

功能:根據測試結果發現被審系統的漏洞和潛在的問題。

4.2.5日志獲取與分析法

前提:掌握日志的具體作用、記錄的內容及其獲取方法。

步驟:一般被審系統都有日志，日志分為操作系統日志和應用程序日志。操作系統日志可以利用操作系統提供的系統工具進行查詢;應用程序日志可以利用被審系統將其導出;對于數據庫的日志，可以利用數據庫管理系統導出日志;審計人員也可利用日志分析軟件例如Log miner對上述日志進行導出;審計人員可以打印出日志后進行書面檢查，也可以運用日志分析軟件進行在線實時分析。分析時應該關注的要點:日志上記錄的相應的登錄授權操作，要關注登錄人員與其權限是否符合;系統出錯的原因，改正的措施;系統更改數據時的操作;數據刪除時的操作。

功能:檢查系統邏輯安全控制，發現被審單位工作人員一些隱藏的操作，提供審計疑點。

4.3 適合高級計算機水平審計人員的方法

4.3.1 測試數據法

前提:掌握白盒或黑盒測試法，掌握程序的內部邏輯結構。當重點關注程序是否達到所要求的功能時，可以選擇黑盒法。當主要關注程序中是否存在錯誤的執行路線時，可以采用白盒法，采用白盒法需要對程序的內部邏輯結構有清楚的了解。

步驟:準備一套完整的交易數據，既包括有效交易數據，也包括無效交易的數據，測試每一個可能的輸入錯誤、邏輯過程和違反規定的事項，測試數據可以由審計人員根據被審程序控制及處理功能，設計若干虛擬的業務，逐筆制作成檢測數據，也可根據被審單位以前月份或年度的輸入數據稍加修改后利用，或者運用審計軟件產生檢測數據，例如黑盒法下QACente軟件、白盒法下NuMega DevPartner Studio軟件;用被審程序處理這些測試數據;比較處理的結果與預期的結果。

功能:確定被審程序的處理和控制功能是否恰當有效，檢測應用程序的完整性。

4.3.2 虛擬實體法

前提:熟悉被審程序具體處理功能及其內部邏輯，根據這個邏輯設計出虛擬實體。

步驟:根據審計目標確定需要審查的程序及其處理和控制功能;虛擬一個實體，如虛擬的部門、車間、經銷商、顧客、職員等;設計與虛擬實體有關的業務，并用手工計算出預期的結果;將虛擬實體業務同真實業務一并從頭到尾通過整個系統，得到最終處理結果;將該結果與手工計算的結果進行比較，做出評價;檢測結束后，準備一些會計分錄沖銷檢測業務，消除虛擬實體的業務數據，以免影響被審單位的正常業務和財務報表。

功能:確定被審程序的處理和控制功能是否恰當可靠。

4.3.3 嵌入審計程序法

前提:具備較強編程能力和系統分析設計能力，能夠針對具體審計功能設計出相應審計程序，并能參與到被審系統的分析與設計階段。

①一般來說有兩種嵌入審計程序:一種是不經常起作用的，只有審計人員在執行特定的審計任務才激活的審計程序;另一種是在被審程序中連續監控某些特定點上的處理的程序。

②MD5的全稱是Message-Digest Algorithm 5(信息-摘要算法)，是對一段信息(Message)產生信息摘要(Message-Digest)，以防止被篡改。MD5將整個文件當作一個大文本信息，通過其不可逆的字符串變換算法，產生一個唯一的MD5信息摘要。以后無論文件的內容發生了任何形式的改變，只要你對這個文件重新計算MD5，就會發現信息摘要不相同，由此可以確定你得到的是一個修改過的文件。

步驟:在被審系統的設計和開發階段，把為執行特定的審計功能而設計的程序段①嵌入到被審系統的程序中，這些程序段可以用來收集審計人員感興趣的資料，并且建立一個審計控制文件，用來存儲這些資料;當實際業務數據在被審程序中處理時，審計程序段對程序進行檢查，如果符合某些條件，則將其記入審計控制文件中;審計人員可以定期或不定期地將審計控制文件打印輸出，對被審程序的處理和控制功能進行評價，或對系統處理的業務進行監控。

功能:通過審核審計控制文件來確定被審程序的處理控制功能是否可靠，也可發現一些被審單位不正常的業務。

4.3.4平行模擬法

前提:具備較強的編程能力，具備分析、設計信息系統的相關知識背景。

步驟:根據審計的目的和要求，確定要模擬的被審程序;了解該程序所涉及的文件記錄的格式，文件類型，數據處理步驟和計算規則，輸入輸出的格式和內容，輸入、處理、輸出控制措施等;模仿被審程序編寫審計模擬程序;分別用被審程序和模擬程序處理實際業務數據;對處理結果進行比較分析，從而評價被審程序。

功能:評價被審程序的處理和控制功能是否合理。

4.3.5 MD5算法②比較法

前提:具備一定的信息安全知識，掌握MD5算法及其產生信息摘要的過程，并且能夠參與到被審單位信息系統的開發設計階段。

步驟:查看被審單位系統開發文件，如果該系統里本身就有一個后綴名為.md5的文件，那就是系統在開發時已生成了MD5信息摘要，審計人員要保存待以后審計時使用。如果系統沒有現成的MD5信息摘要，審計人員可以利用MD5算法或相應的軟件為系統的EXE文件產生一個信息摘要，并保存。在以后審計時，對被審系統的EXE文件再產生一個信息摘要。對比這兩個摘要，看是否一致，如果一致則證明系統沒有被改變過，如果不一致則說明系統有更改的地方，審計人員需要進一步詢問被審單位，查找改變的地方。

功能:發現系統是否被篡改。

5 結 語

上述所借鑒的信息系統審計方法，有很多功能是重疊的，審計人員可以根據被審系統的特點以及自身的情況進行自由選擇。當前為了應對信息技術給審計帶來的嚴峻挑戰，發現越來越“高超”舞弊行為，降低審計風險，計算機輔助審計與信息系統審計應該相互借鑒，共享思路與方法，從而更好地促進審計的快速發展。

主要參考文獻

[1] Jack J Champlain.Auditing Information Systems[M].NewYork:John Wiley Sons，2003.

[2] James A Hall.Information Systems Auditing and Assurance[M].NewYork:Thomson Learning，2000.

[3] 曹建新，朱寶忠，華峰.計算機審計發展的文獻綜述[J].科技創業月刊，2007(10):165-166.

[4] 曹昱.淺析計算機審計[J].科技廣場，2007(2):224-225.

[5] 姜玉泉，黃昌胤.如何進行計算機數據審計模型分析[J].中國審計，2003(21):69-71.

[6] 李學柔，秦榮生.國際審計[M].北京:中國時代經濟出版社，2002.

[7] 孫立輝.會計信息系統審計與IT環境下財務報表審計的比較[J].財會通訊，2005(4):49-50.

[8] 唐瑋.IT審計未來發展思考[J].合作經濟與科技，2006(6s):65-66.

[9] 吳沁紅.信息技術環境下財務審計與信息系統審計的比較[J].中國注冊會計師，2004(8):38-40.

[10] 葉明，劉迎祥.淺析信息系統審計[J].會計之友，2005(12B):59-60.

[11] 葉韶勛.注冊會計師與計算機信息系統審計[J].中國注冊會計師，2005(2):34-35.

[12] 張基溫.信息系統安全原理[M].北京:中國水利水電出版社，2005.

[13] 張玉文.淺議信息系統審計[J].會計之友，2007(4，中):64-65.

[14] 張永熊.信息系統審計產生及發展研究[J].審計與理財:學術版，2005(2):27-28.

[15] 張琪，崔巍.IT審計師將成為計算機審計的主要“生力軍”[J].會計之友，2007(8，下):90-91.