信息技術輔助審計工作（上）

編者按

在信息化環境下，企業運用信息技術編制財務報表，設計和執行內部控制。注冊會計師在對企業的財務報表進行審計時，必須考慮信息技術的影響。同時，信息化也對注冊會計師的審計技術和方法帶來革命性變化。為了幫助注冊會計師應對信息化帶來的挑戰，中國注冊會計師協會資助普華永道中天會計師事務所研究編寫了《財務報表審計中對信息系統的考慮》一書，已經出版發行。本刊約請作者加以摘編，分期連載，以饗讀者。

計算機輔助審計技術（Comput er Assisted Audit Techniques，簡稱CAATs），是通過運用計算機技術使審計程序自動化的方法。計算機輔助審計技術的應用最早可以追溯至二十世紀六十年代，而隨著信息技術越來越廣泛的應用，傳統紙質的審計數據正在逐步消失，為了應對財務會計流程信息化、數字化的浪潮，計算機輔助審計技術得以迅速發展。廣義上講，計算機輔助審計技術包括審計工作中運用的一切計算機技術；在本期以及下一期，我們將主要闡述實務中應用較為廣泛的信息系統數據審計方法。

一、CAATs在財務報表審計中的作用

（一）CAATs的主要功能

隨著企業的快速發展以及信息時代的到來，原有脫機進行的審計程序已經無法適應新時代的審計環境：一方面，企業逐步依賴系統進行業務的處理，交易信息均存儲于信息系統之中，財務數據也不再被記錄在紙質賬簿之中；另一方面企業的規模越來越大，交易量級數上升，審計人員很難再依賴人工對如此大量的數據進行審計工作。為了處理基于系統產生的財務數據，同時提升審計工作的效率，審計團隊開始依賴計算機輔助審計工具實現相應的審計目標。

計算機輔助審計工具能夠幫助審計團隊實現以下功能：

1.快速準確地完成海量重復計算；

2.反映數據異常體現潛在內控缺口；

3.清晰反映異常高風險的交易；

4.行業關鍵指標對比，有助于了解公司業務，為審計計劃制定提供支持依據。

基于所能夠實現的功能，目前CAATs的主要應用包括：

1.審計計劃階段對于被審計公司的風險評估；

2.審計程序中的測試，具體包括：

（1）基于驗證系統控制所實施的報表數據驗證；

（2）基于實質性測試所實施的系統數據提取；

（3）其他為了滿足財務報表審計所實施的系統數據提取與分析；

（4）日記賬分析；

（5）核心業務數據（即可能保存在財務系統外，但構成公司商業實質的原始交易數據）分析。

3.特殊行業的關鍵指標統計，用于行業對比。

（二）CAATs的適用情形

在審計計劃階段，項目組在制定總體審計策略與具體審計計劃過程中應當考慮對于CAATs的使用。

通常來說，審計項目組會基于以下方面的考慮而決定使用CAATs：

1. 審計測試中存在大量重復的工作，使用CAATs能夠大大提升效率，減少不必要的重復勞動；

2. 審計測試中存在復雜的計算的過程，使用CAATs能夠規避人工計算統計造成的錯誤；

3. 企業的業務流程依賴系統且交易量巨大，審計團隊無法采用人工的方式對數據進行測試；

4. 企業流程文檔均以電子化文檔存儲于系統中，審計團隊無法脫機獲得審計證據；

5. 企業舞弊風險較高，需要對全部的交易數據進行測試或對篩選的異常交易進行細節測試；

6. 企業所處行業高度依賴信息系統，例如電商平臺、網絡游戲等互聯網企業；

7. 審計團隊能夠獲取必要的數據執行CAATs測試程序。

CAATs能夠被應用于審計程序的各個方面，其中最為廣泛應用的領域是實質性程序。

（三）考慮是否適用CAATs時的注意事項

CAATs能夠為審計團隊化繁為簡，大大提升審計工作的效率，但并非所有的審計對象均適用CAATs。審計團隊在考慮適用CAATs時需要考慮以下幾個方面：

1. 評估數據質量及可用性

在審計計劃階段，審計團隊可以在了解與財務報告相關的業務系統的同時對可以采用CAATs進行處理的數據類型進行了解。審計團隊應當評估數據質量是否能夠滿足CAATs的可用性及實現高效地處理。

2. 獲取詳細的電子化客戶數據

審計團隊需要從企業的系統中獲取數據并導入至相應的分析工具之中。在數據導出及存儲的過程中，審計團隊應當關注數據的完整性及客戶數據的安全。

在首次數據提取的情況下，審計團隊應當對所需要的數據進行初步評估。數據需求依據審計程序的目標及審計期間而有所不同。數據需求一旦確定，審計團隊應當將正式的數據需求發送至企業的IT人員進行溝通，確定所期望的數據格式、數據傳輸的方式以及數據獲取的時間。審計人員應當保留數據提取的腳本并且記錄下如何保證數據總量的完整性及數據字段的準確性。

在第一年審計后，審計人員可以將以往年度的數據需求作為當年審計的基礎。審計人員應當根據審計范圍、系統及流程的變化對數據需求進行修改。審計人員可以將以往年度獲取的數據樣例及數據提取腳本所謂參考與數據需求一并發送，以協助IT人員進行數據提取工作。

3. 測試時點

考慮到審計現場工作的時點及數據分析所需的時間提前量，審計人員應當盡早提出相應的數據需求。這樣一方面使得數據分析能夠及時完成，另一方面也能顧及可能發生的數據提取問題而造成的數據重復提取情況（例如數據質量、完整性及準確性的不足）。

4. 數據格式

審計人員應當根據企業的系統及數據分析所使用的程序來選擇最恰當的數據提取格式，以方便CAATs的執行。

目前主流的數據文件格式包括：

（1）Excel數據表格文件

（2）XML文件

（3）DBF (dBase)

（4）文本文件（.txt，.csv等）

（5）ASCII碼打印文件

（6）開放式數據庫連接

審計人員在提取數據的同時應當從企業獲得相關的數據字典，內容需要包含各個字段的描述、字段的數據格式、長度等信息。數據字典對于審計人員理解數據起著非常重要的作用。

5. 數據傳輸方式

審計人員可以通過光盤、USB或者安全的FTP獲取企業的數據。審計人員應當檢查數據傳輸是否被加密或受到密碼保護。大容量數據文件可以通過WinZip或者WinRAR進行壓縮，在壓縮的同時可以通過軟件進行密碼保護。

6. 數據存儲及安全性

審計人員獲取數據后應當將數據保存至本地工作電腦或USB內。審計人員應當確保工作電腦的安全，確保無關人員無法查看工作電腦中的數據。同時針對存儲客戶數據的USB應當進行加密并妥善保管。

7. 保密性

審計人員應當向企業闡明數據需求的理由及測試目的，并且確保對企業數據盡到保密義務。在使用FTP進行數據傳輸時，審計人員應當使用安全的FTP；在使用光盤、USB或者郵件方式進行數據傳輸時，審計人員應當確保數據被適當加密或受到密碼保護。同時審計團隊應當嚴格確保數據僅能夠由審計項目組的相關人員獲取并使用，禁止向其他團隊或人員傳播數據。

8. 所提取的數據是否完整、準確

審計人員應當執行相關的程序確保用于CAATs所提取數據的完整性與準確性。這是為了驗證企業所提取的數據是否能夠真實反映所記錄的信息。

審計人員可以通過控制測試或實質性測試來保證數據的完整性與準確性。

9. 對數據進行拆解、構造、分類及分析

在確定獲得完整、準確、恰當的數據后，審計人員就能夠通過計算機程序執行CAATs了。CAATs能夠被用于對數據進行拆解、構造、分類及分析。

10. 評估及應對CAATs的結果

審計人員應當驗證CAATs執行的結果，確保CAATs得到正確的執行。為了驗證CAATs執行的合理性，審計人員可以將CAATs結果與已經驗證的客戶數據進行比較比對。對于通過CAATs發現的異常交易，審計人員應當對此類交易進行重點關注，通常這些交易都反映出更高的風險。

二、CAATs工作的規劃與執行

與系統審計相似，不同的計算機輔助審計工作均需要經歷以下幾個步驟：（1）審計范圍的確立；（2）了解數據源的系統邏輯及數據表結構；（3）數據提取；（4）源數據處理與清洗；（5）數據導入；（6）數據處理；（7）分析結果；（8）底稿記錄。下面具體介紹各個步驟：

（一）審計范圍的確立

CAATs審計范圍的確立與財務審計團隊的工作范圍以及客戶所使用的系統息息相關。首先，財務審計團隊應當識別審計過程中需要涉及的系統報表、交易數據等電子數據；然后，財務審計團隊應當確認相關數據的可讀性與數據質量，了解數據的可依賴性；最后，根據數據的可讀性、處理復雜程度、數據量大小并結合團隊技術能力決定是否需要系統專家進行CAATs的審計工作。

審計范圍的確立需要系統審計的專家與財務審計團隊進行溝通，一方面識別審計過程中需要依賴的系統報表、需要關注的數據以及日記賬審閱的范圍；另一方面，確認數據的可用性能否支持相應的審計目標。

（二）了解數據源的系統邏輯及數據表結構

這是具體審計工作中最為關鍵的一個步驟。計算機輔助審計工作如何有效、高效地完成取決于在這一步驟中是否充分理解了數據的系統邏輯與表結構。如果在測試工作實施前對對象表有深刻的理解，則整個工作將會事半功倍；如果貿貿然直接進行測試而忽略了這一步驟，則可能在測試過程中出現提取數據存在偏差，而導致測試結果出現差異，反復抓取數據。

這一步驟需要系統審計的專家與系統開發人員進行深入溝通，了解系統的邏輯以及數據庫表中對于各業務數據的記錄方式，保證審計人員能夠理解系統中數據處理的邏輯，并且明確數據抓取的方案。

（三）數據提取

理解數據源的系統邏輯及數據表結構后，審計人員可以根據其理解在客戶IT人員的幫助下抓取相應的數據。數據提取導出過程中審計人員應當考慮導出目標數據的性質、范圍及期間，確保滿足審計目標的需要。

審計人員應當保證數據提取的結果是根據審計人員理解的邏輯導出，并且為了避免數據在導出后被修改，應當由審計人員現場導出數據或現場觀察數據的導出過程。

在數據提取的過程中，審計人員應當考慮數據導出的文件格式以及數據傳輸的方式，確保數據的可讀性以及數據安全性，通常最佳的數據導出的格式為.csv、.txt或Excel表格。審計人員應當審計人員應當確保客戶理解獲取數據的意圖，并保證客戶數據的安全性。

審計人員獲取數據后應當確保提取數據的準確性與完整性，確保客戶所提供的數據應當包含了所有相關的記錄。

（四）源數據處理與清洗

計算機輔助審計工具對源數據的格式均有著一定的要求，因此針對源數據的處理與清洗必不可少。在源數據的處理與清洗過程中，應當避免對源數據的內容進行修改，主要的處理過程包括：格式修改、空行刪除、多個文件合并、去除重復表頭等。源數據的處理與清洗通常可以使用通用的文本及表格編輯工具，例如：Word，Notepad，Excel等，但對于大量的數據或是復雜的處理與清洗過程，則需要使用更為高級的文本處理工具（例如UltraEdit）。

如果在源數據處理過程中發現亂碼、串行等，應當查找原因并重新進行數據提取。

（五）數據導入

源數據處理清洗完畢后，審計人員需要將數據導入相應的工具之中。由于一些工具對數據導入格式有著嚴格要求，數據導入可能出現系統報錯的情況，如果遇到此類情況，應當按照錯誤類型重新進行源數據處理與清洗的步驟。

（六）數據處理

數據處理是計算機輔助審計工作的核心步驟，審計人員應當根據確定的審計目的，執行相應的數據處理工作。通常審計人員或是在電子表格中對數據進行處理，或是在相應工具中編寫腳本，通過執行腳本進行數據處理。

具體數據處理過程會在案例中進行具體分析。

（七）分析結果

數據處理完成后，審計人員應當分析CAATs的結果，并且依據不同的結果進行相應的跟進工作。所有相應的結果都應當與財務審計團隊進行溝通，確保財務審計團隊依據結果進行進一步的審計工作。

（八）底稿記錄

與審計過程中的其他測試一樣，在所有測試工作完成后，審計人員應當按照審計準則中的要求對審計工作進行底稿記錄。為了確保能夠達到可重新執行的標準，審計人員在底稿記錄中應當注意一下事項：針對數據提取與清洗，審計人員應當在底稿中記錄對于客戶系統的理解及提取數據的邏輯，同時保留從客戶系統中提取的源數據及清洗后的數據；審計人員對于提取與歸檔的數據應當盡量保證數據最小化，減少不必要信息的獲取以提升數據文件的存儲效率；通常對于小規模的數據，可以采用excel的數據文件進行歸檔保存，而對于數據量較大的數據，應當采用txt、csv等格式保存相應審計數據；對于數據的處理過程，審計人員應當記錄對于測試目的的理解以及數據處理具體所使用的邏輯及語句。審計人員應當將結果及對于結果的跟進工作記錄于底稿之中。

執行CAATs，滿足不同的功能需要依賴不同的工具，我們將在下一期介紹目前較為流行的計算機輔助審計工具。