时间:2022-07-13 16:30:41
引言:寻求写作上的突破?我们特意为您精选了12篇计算机审计研究范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
迄今为止,只有少数几位学者对我国计算机审计研究加以回顾。陈伟等(2007)结合国内外的研究,对计算机辅助审计技术(GAATs)进行了总结性回顾,探讨了GAATs的概念和分类,详细分析了GAATs的两类技术,即面向系统的七种GAATs,和面向数据的五种GAATs,并对GAATs研究发展进行了展望。李青春(2011)对计算机审计进行了文献综述,从计算机审计研究变迁的视角出发,探索了其五个发展阶段,并对计算机审计理论体系、核心动力与制约因素,研究者的敏感度、心态变化与用词倾向进行了回顾,认为目前计算机审计研究正处于一种平台期,需要进行理论和实务的突破。刘国瑶(2011)从国外信息系统审计理论的发展,基础理论研究,基本概念研究,应用研究四个方面进行了梳理和简短评述。现有的文献综述主要问题是研究所选取的文献范围比较狭窄,选取标准“有代表性文献”比较模糊,没有对研究内容进行综述,这些不足为本文的研究提供了契机。
本文基于中国期刊全文数据库(CNKI),对1983年~2011年有关计算机审计研究的文献进行了回顾分析,所选取的时间范围设定为“1980~2011”,期刊设定为“核心期刊”,以“计算机审计”、“电算化审计”、“计算机辅助审计”、“信息系统审计”、“IT审计”对“题名”进行“模糊”搜素,然后对搜索结果进行了分类合并,最终根据182篇文献的内容加以分类统计。把对计算机审计的研究分为基本理论问题研究,计算机审计技术应用研究,计算机审计风险问题,计算机审计发展与其他方面的研究四个方面,然后对每一方面再按不同的主题进行细分,进一步分为计算机审计基础理论研究,制度准则问题,计算机技术应用,内容与方法,案例应用研究,风险问题探讨,发展问题研究,人才培养问题,研究综述,其他等十个方面。接着采用归纳法对取得的文献样本进行分类统计,最终得到的统计结果如图1所示。
二、基本理论问题研究
(一)基础理论 基础理论研究集中在计算机审计基础理论和信息系统审计基础理论两个方面,由于信息系统审计发展较快,重要性也快速提高,所以必须从计算机审计中分离出来单独加以研究,统计显示,近10年来对信息系统审计理论的研究比较丰富。关于计算机审计的基本理论,张金城(1995)认为计算机审计的理论体系应由理论基础(哲学,审计学,系统论、信息论、控制论和行为科学,计算机科学,数学等五大学科理论),基本理论(涵义,内容,意义等),实务理论(电算化信息系统审计实务理论,计算机辅助审计实务理论)组成。唐飞兵(2007)借鉴传统审计理论的基本原理,构建了计算机审计理论结构框架,即以审计环境和审计本质作为研究的逻辑起点,利用审计理论基础知识体系,通过审计的本质和特定的审计环境相互作用和互动形成审计目标,并以审计假设为前提,演绎出审计概念和审计原则。关于信息系统审计理论,周剑(2001)从“审计学”的概念出发,探讨了信息系统审计独特的审计职能、对象、方法、标准和证据等问题,建立了企业信息系统审计的基本理论框架。唐志豪(2007)借鉴蔡春教授提出的审计理论结构,从审计的本质出发构建审计理论结构体系,提出了信息系统审计理论结构六要素模型(本质、假设、目标、规范、信息和控制)。谢岳山(2009)提出了信息系统审计的审计目标及审计内容,在此基础上从审计理论基础、审计标准、实践环境、审计方法以及审计工具等多方面提出了联网环境下信息系统审计模型。根据该模型,着重分析信息系统审计的具体内容,提出了相应信息系统的审计内容框架,将审计内容划分为内控审计和系统本身审计两个方面。并从物理层次的审计以及逻辑层次的审计详细描述了系统本身审计的内容。王振武、张子瑾(2011)探讨了信息系统审计理论的结构框架,认为该框架应由信息系统审计基本理论和应用理论构成,并特别指出,信息系统审计环境和信息系统审计本质应是理论结构的最高层次,理论研究的逻辑起点,并起着统驭整个信息系统审计理论结构的导向作用。
(二)准则、规范研究 理论是实践的基础,而准则为实践提供了基本的指导。对准则的研究也分为计算机审计和信息系统审计两个方面的内容。关于计算机审计准则,张德山等(1991)初步探讨了计算机审计工作的规范问题。张金城(1997)首先探讨了加强计算机辅助审计制度建设的意义,然后提出了计算机辅助审计制度建设应遵循的原则,主要包括合法性,针对性,可行性,监控性和借鉴国外相关制度,并从微观和宏观两个方面系统讨论了计算机辅助审计制度应包括的基本内容。刘中华(1998)根据国际审计准则15《电子数据处理环境下的审计》第3条和第9条详细阐述了电子数据处理环境下内部控制的内容,并对此进行了研究与评价。我国的信息系统审计研究起步较晚,讨论一般也是借鉴ISACA的信息系统审计准则展开讨论。陈婉玲等(2006)对ISACA的信息系统审计准则及发展进行了简要介绍,在此基础上,主要借鉴了ISACA信息系统审计准则的体系,内容和制定方式等,提出了制定出适合我国国情的信息系统审计准则的一些建议。马良渝等(2007)辨析了ISA准则体系中标准、指南和程序三个层次的结构关系及标准与指南之间的交叉关系。李汉文等(2010)借鉴了制度经济学的有关原理,在介绍国内外信息系统审计相关规范的基础上,对我国信息系统审计规范供给的非均衡状态进行了分析,认为我国应整合信息系统审计准则制定资源,以便推进我国信息系统审计规范制定进程。刘杰等(2011)探讨了我国信息系统审计规范制定路径依赖的基础,分析了当前我国信息系统审计规范制定的困境,并提出打破现有路径依赖的途径。
三、计算机审计技术应用研究
(一)计算机审计技术研究 对全部182篇文献进行翻阅,手工收集整理论文所涉及的课题研究,发现共有20个课题,其中与计算机审计技术相关的课题13项(4项是国家级),可见国家对计算机审计技术研究的重视,也说明计算机审计技术研究的难度非同一般。对计算机审计技术的研究大致分为计算机技术在审计中的运用和模型构建两个方面,前者对计算机知识的要求相对要高。关于计算机技术在审计中的运用,杨小虎等(2000)探讨了数据仓库技术在计算机审计中的应用。万建国等(2000)分析了计算机审计软件需求分析常用的方法、技术和工具。孙兴国等(2000)讨论了开放数据库互联技术 (Open Database Connectivity)在计算机审计中的应用。张进等(2004)分析了数据清理在电子数据采集中的重要性,在阐述数据清理原理的基础上,研究了解决电子数据采集中常见问题的数据清理方法,并指出了电子数据采集中数据清理的研究方向。文巨峰等(2005)提出了一种基于计算机审计的多Agent系统体系架构,分析了该结构中各子系统的组成及各Agent的功能特点。并介绍了该系统中移动审计Agent和移动Agent服务器设计实现。汪加才等(2006)给出了一个基于移动数据挖掘服务的计算机审计框架模型。何玉洁等(2006)讨论了SQL 查询和OLAP 分析这两种技术在实际审计中的应用成果,展示了它们在计算机审计实践中的特性和前景。米天胜等(2006)分析了计算机审计的一般流程,指出审计数据的采集和采集后数据的清洗、集成、转换是与审计数据质量息息相关的关键环节。在对多种数据质量问题进行了详细分析和分类的基础上,提出了提高审计数据质量的一般处理方法和可实现的技术。黄永平(2006)探讨了孤立点分析方法在计算机审计中的应用。叶焕倬等(2010)为解决计算机审计数据采集中存在的大量字段匹配问题,提出了基于智能匹配的数据采集技术。关于模型构建方面,黄作明等(2000)对审计模式进行了一些归纳和探讨,并提出了几点发展方向。来明敏等(2004)探讨了四种计算机审计模式,即绕过,穿过,利用,在线实时(网络)计算机审计模式。文巨峰等(2004)在综合分析现有计算机审计软件系统基础上,指出网络环境下的计算机审计系统模型应该具有的特点要求,并依此提出了基于移动Agent的分布式审计系统模型。廖志芳等(2006)在深入调研众多被审计单位信息化环境及数据分布特征的基础上,提出了三种符合我国联网审计实际的新型联网审计组网模式,即集中式、分布式和点到点式组网模式,同时利用集中式海关联网审计组网模式对各组网模式的基本组成要素、需解决的关键问题及技术实现进行了较深入阐述。陈大峰等(2009)根据P2P技术下的计算机协同审计的特点,构建了P2P技术下的计算机协同审计模型。唐志豪等(2010)从目标、内容和流程三个维度建立起信息系统审计的业务模型。
(二)计算机审计内容与方法 对于计算机审计内容,学者从不同的角度进行了讨论,杜越强(2004)探讨了计算机审计中的四大内容,即对信息系统输入的审计,对数据库的审计,对网络系统的审计,对信息系统输出的审计。张福蕊(2004)探讨计算机网络环境下会计信息系统审计的内容(硬件,控制事项,处理事项,数据,安全事项)。吴沁红(2008)从信息系统构成要素、信息系统生命周期和信息系统管理三个维度入手,综合分析了信息系统的逻辑结构,构造了信息系统审计内容的基本框架,并对信息系统审计的内容与审计目标进行了阐述。对于计算机审计的方法,李光凤(2001)讨论了对会计电算化系统应用程序的七种审计方法,包括检测数据法,整体检测法,程序编码比较法,受控处理法,平行模拟法,嵌入审计程序法,追踪法。杨莉(2002)探讨了实施信息系统审计的主要方法(加强联网建设,改变审计方式,采用矩阵审计模式等)。罗莉、张亚连(2005)分析了在不同的计算机信息系统建立方法下(应用软件外包法,资源外包法,最终用户开发法),如何进行内部审计和外部审计的分工协作,从而保证信息系统的效率性,安全性,合法性。
(三)案例应用研究 对案例应用研究探讨的多数文献主要是审计署各特派办的人员所发。大量的文献集中在《中国审计》刊物上,这与我国1998年筹划,2002年10月底正式展开的金审工程有关,作为金审工程的主力推动者,审计署特派办人员根据长期的实际工作经验,对相关案例进行整理分析并撰文总结,得出了相应的研究成果。案例应用主要集中在公司和业务两个方面。对具体公司进行计算机审计探讨的有,刘世新等(2002)探讨了商业银行信息化与计算机审计的相关问题。邝作等(2002)对银行业,刘欢(2002)对行政事业单位,蔡峰(2003)对海关等审计中计算机审计案例进行了分析。欧洁等(2004)探讨了证券公司信息系统审计的关键技术。张德勇(2006)利用业务跟踪法对某航空公司进行了信息系统审计,并成功发现了该航空公司使用的收入结算系统中存在非法的销售暗扣处理模块。石勇等(2010)探讨了网络环境下的政府信息系统审计。关于业务方面,张蓉(2002)对金融,郭海鹏(2003)对再贴现业务,李向前等(2003)对税收,全宝(2003)对中央预算执行情况,李娟(2004)对水利建设资金,谭继舜(2004)对商业银行电子系统,史达等(2005)对电子政务,袁章军(2005)对失业保险金发放 ,周廉东等(2011)对城市供水等进行了计算机审计案例分析。张鹏等(2006)论述了信息系统审计在电子政务中应用的必要性和紧迫性,提出了一种电子政务中信息系统审计框架,以控制电子政务信息系统建设和改造项目的建设风险,并为改善和健全对电子政务信息系统的控制提出详细建议。吕成戍等(2007)探讨了电子政务信息系统审计的发起形式、审计责任书的内容与签订、审计工作的实施过程等基本问题。
四、计算机审计风险问题分析
(一)计算机审计的成因、防范与控制 马万民(1999)针对计算机会计信息系统的特点,分析了审计工作中可能会遇到的五种风险(系统风险,错误的连续性风险,人员操作风险,管理风险,环境风险),并对如何有效防范会计信息系统的审计风险进行了探讨。蒋家斌(2001)、曾俊等(2002)、王奇杰(2004)探讨了计算机审计的几种风险(审计软件、人员操作、财务数据、管理、固有风险、控制风险、检查风险)与防范措施(加强人员培训、内部控制审计等)。黄作明(2003)分析了远程计算机审计的风险,并提出了远程计算机审计的风险防范与控制措施。冯淑霞(2006)对计算机审计风险的形成原因做了具体分析,并从审计数据,审计方法与技术,审计方式、被审单位、评述机制等方面提出了控制计算机审计风险的对策。史振生(2008)基于外部监管及信息系统审计视角,探讨了会计信息系统建设中的风险控制与防范措施。
(二)风险量化问题 黄冰等(2007)在科学地分析影响计算机审计风险的主要因素的基础上,建立了计算机审计风险综合评价指标体系,并且将定性指标定量化,进而利用层次分析法确定评价指标的权重。然后,利用模糊数学的方法,建立计算机审计风险的多层次模糊综合评价模型。王万军(2008)提出了一种基于信息系统安全定量评分体系的审计决策模型,这为信息系统审计师在审计时采取何种审计策略提供了参考。丁建平(2009)提出了信息系统审计的CIA风险评估方法和评估模型,并探讨了CIA风险评估商业银行中的应用。
(三)风险理论 胡晓明(2007)探讨了风险导向的信息系统审计,并提出了强化信息系统审计理论,建立完善信息系统审计各项规则,充分利用先进,有效的信息系统审计技术,积极培养信息系统审计领军人才等四点关于风险导向信息系统审计的发展思路。刘国城、王会金(2011)在研究中观审计、信息系统审计、审计风险、风险管理四要素的基础上,对中观信息系统审计风险管理理论进行了梳理,并以信息安全管理为视角,借鉴国外BS7799标准、COBIT模型、通用准则CC、ITIL标准,初步构建了中观信息系统审计风险管理框架,该框架以重大错报风险为切入点,深入探索了中观信息系统审计风险管理的施行思路。
五、计算机审计发展研究
(一)发展问题 张金城(2000)提出了理论研究与实践并重、事前审计与事后审计相结合,由绕过计算机审计发展为以通过计算机审计为主,由查账型软件向分析型和专家系统方向发展,通用审计软件与专用审计软件并存等21世纪中国计算机审计的十大发展方向。于向辉等(2004)分析了我国计算机审计发展落后的法规建设滞后,软件市场不够完善等原因,提出了加快法规建设,发展审计专业软件公司,培养电算化审计人才的发展策略。胡晓明(2005)针对信息系统审计理论研究空白,审计技术落后,制度不完备,审计人才奇缺等现状,探讨了加强信息系统审计理论研究,开发实用高效的信息系统审计软件,改进信息系统审计软件评审机制,完善信息系统审计标准于准则,加大信息系统审计人才的培养力度等五大发展战略。
(二)人才培养探讨 傅元略(1998)探讨了审计人员如何提高计算机审计技能的策略,需要掌握的几种基本技能。李丹(2001)建议了如何利用国际资源建立信息系统审计人才队伍。史振生(2002)介绍了注册信息系统审计师的需求情况,考试内容和应试对策。彭建平(2005)比较深入地分析了如何进行计算机审计人才资源管理的问题。包括计算机审计机构职能定位,计算机审计处人员结构,如何引进IT人才和培养复合型人才,如何为计算机审计人才创建发展平台等。赵辉(2006)探讨了审计部门的计算机人才状况,提出了如何加强管理和培训、提升审计人员能力的若干建议。王海洪(2009)提出了高校应推进实践教学,建设以计算机审计为主要手段的审计实验室,为社会输送高水平的计算机审计人才的建议。
(三)其他方面 高浩玮(2002)针对审计过程各阶段质量质量控制的要点,指出了计算机审计下项目质量控制的难点并提出了解决对策。张倩(2005)论述了信息系统审计在IT治理中的作用、信息系统审计师和审计构架等问题。陈峰(2006)对计算机审计方式下数据分析报告的作用和必要性,基本框架,文档结构,要素内容等进行了详细探讨。
(一)固有风险的特征
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
检查风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被实质性测试发现的可能性。具体表现为:
1、会计软件的更新换代,增加了历史文件难以提取的可能性。对账户或交易的重大实质性测试往往离不开企业的历史数据。由于软件版本的更新、平台的迁移,难以从往年账套里提取这些历史数据,迫使审计师不得不从浩如烟海的文档中收集整理历史数据。这不仅降低了审计效率,而且带来了更多的检查风险。
2、内部控制主要依赖软件本身,增加了难以全面检查测试的可能性。手工系统下,对内部控制的测试看得见、摸得着,而在计算机系统下,内部控制融会于软件之中,肉眼无法觉察。这就要求审计师有必要设计一些正常有效的业务数据和一些例外业务数据(不完整、无效的、不合理的、不合逻辑的),来检查测试软件的控制能力。由于多数审计师不是电脑专家,要在有限的审计时间里设计面面俱到的测试数据是不现实的。为此,笔者认为对软件本身的审计检查可纳入软件开发或评审之中,审计师在审计实务中,重点是测试数据的完整性以及操作权限的分配和应用情况。机数据处理与手工处理有许多不同点,从而产生了新的审计风险,分析研究计算机环境下的审计风险无疑对审计电算化的开展和审计质量的控制都是很有意义的。
一、风险的特征
(一)固有风险的特征
固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报的可能性。具体表现为:
1、电子化会计数据存在被滥用、篡改和丢失的可能性。手工系统中,纸质介质上的信息易于辨认、追溯,而在计算机系统中,由于存贮介质的改变,一旦用户非法透过计算机系统的“防火墙”,极易破坏和修改电子数据,且不留蛛丝马迹。计算机病毒、电源故障、操作失误、程序处理错误和网络传输故障也会造成实际数据与电子账面数据不相符,增加了固有审计风险的可能性。
2、电子数据存在易于减少或消失审计线索的可能性。手工系统中,会计处理的每一步都有文字记录和经手人签名,审计线索清晰。但在计算机系统中,从原始数据的录入到报表的自动生成,几乎勿需人工干预,传统的审计线索不复存在,为审计师追查审计线索带来了极大困难。
3、原始数据的录入存在错漏的可能性。计算机系统下,大量的记账凭证仍靠人工录入,表面上机制账、证、表的相互平衡可能掩盖了人工录入的错漏。
(二)控制风险的特征
控制风险是指某一账户、交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。具体表现为:
1、有意或无意使设置权限密码实现职责分工的约束机制有失效的可能性。手工系统下,通过建立岗位责任中心达到内部控制的目的。在计算机系统下,一是通过划分操作员的责任范围,设置权限和密码实现人员分工;二是通过软件设计划分若干子系统或功能模块设置不同的责任中心。由于权限设置的重叠或跨责任中心越权设置,使这一控制措施有可能形同虚设。
2、网络传输和数据存贮故障或软件的不完善,会计数据出现异常错误的可能性。手工系统下,这种可能性几乎不存在;而在计算机系统下,这种可能性难以通过有效的内控制度消除,必须靠先进的硬、软件平台以及会计软件本身的自我保护,减少出现异常错误的几率。就多数会计软件看,对数据录入的一致性和正确性控制,会计数据处理的安全性和连续性控制,软件设计还是比较缜密的。但对集成化程度较高的企业级管理软件,数据的共享性和一致性还不尽如人意。另外某些网络平台在实际应用中问题还是不少。
3、会计软件对现金和银行存款的收付业务缺乏实时有效的控制手段。对于企业内部发生的现金和银行存款收付业务,多数软件是通过人工填制记账凭证,从账务系统入口录入到电脑,部分软件虽通过出纳系统实时地录入,但可能与凭证数据不同步。对于银行存款的收付业务,不仅数据难以实时同步,而且存在双方数据不一致的可能性。
(三)检查风险的特征
摘 要:当前时代,计算机的发展,使得许多行业都受到了巨大的影响,顺应计算机技术的发展,各个行业都在随之做出改变。同时,信息时代的冲击下,审计的大环境也在发生变化,促进了原始的手工审计环境向计算机审计模式转化,因此对计算机审计问题的理论研究具有重要的意义。通过对国外相关文献研究,可以分析计算机审计的理论文发展趋势,辨析计算机模式研究的特点,并针对其中存在的问题,做出针对性的研究。
关键词 :信息时代;计算机;审计问题
中图分类号:F239.6文献标志码:A文章编号:1000-8772(2014)28-0113-02
一、引言
审计的作用重在监督,积极的促进和制约着被监督单位的经济工作。审计技术有着悠久的历史,其基本的作用是对记录的账簿进行复查,以此监督财政收支的合法性、真实性及效益性。在最近几年,审计工作逐渐成为了政府廉洁的有力工具,受到了各个政府部门和单位的重视。随着计算机技术在会计行业中的兴起,审计工作遭受到了前所未有的挑战。财务软件开始偏向点算化、应用大型化、网络化,大量这类软件的使用改变了以往会计账簿的模式,使其在处理工具、流程和方式上和以往不同。不可否认的是,网络财务将带领审计工作在信息时代实现向计算机审计的快速转化。
二、信息时代冲击下计算机审计的发展
随着计算机审计技术的发展,计算机审计的流程正逐步规范,计算机审计的质量控制模型还有待完善,对被审计单位各业务环节的影响也越来越大。信息时代的冲击下,网络财务软件已在全球普遍推广。同时,计算机技术支持的网络财务软件的使用和推广,使得远程审计成为可能。网络的发展,同时也为网络审计软件发展提供了技术上的支持,目前,为适应网上财务业务一体化,财务网络化后,审计也必将向网络化的趋势发展。信息时代,网络技术为审计人员提供了更为方便、有效的审计工具,审计效率获得大幅度的提高。审计人员可通过网络技术及时与被审计单位交流,发现并处理发生的问题。如数据文件高速传输、远程登录以及万维网和新闻组的使用,均是网络技术的便利工具。
三、计算机审计风险及应对策略
1、计算机审计的定义
计算机审计是在信息环境下,计算机科学与技术、审计学、管理学、行为科学、系统论、统计科学等学科互相渗透、融合而产生的新技术。计算机审计内容包括两个方面:一方面是通过利用审计软件,对被审计单位的数据资料审查,主要检查会计账簿的真实性、合法性以及有效性,是针对点算系统和会计系统进行审计。另一方面是针对审计对象的计算机系统本身开展审计,判断一个信息系统能否有效保护资产、完成组织目标、维护数据完整,并最有效地使用资源,这项审计手段在发达国家已经有相当久远的历史,因此,该项审计工作也成为了审计单位和公司重视的一部分。
2、计算机审计的风险
计算机审计的风险主要来源于审计人员对被审计单位进行审计的过称中对审计技术的不恰当运用,从而得出与事实不符的审计结论,以至于发表错误的审计意见。计算机审计中的控制风险。计算机审计主要应用计算机系统,因为传统的审计线索不可避免的会逐渐消失,传统账簿也会随之丢弃,使得绝大部分的文字记录消失,取而代之的是硬盘上的数据信息,这些存储于硬盘中的数据,极易被修改、删除和拷贝,这些动作极难被发现,因此,一般的审计人员很可能无法发现问题。同时,电算化的实现,电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,使得审计方式、方法发生的改变巨大,特别是审计软件的更加多样化,被审计单位使用不同的审计软件,因为程序设定上、操作和功能上的差异,使得出现的结果也变得多样。审计人员对信息系统,尤其是被审计单位的应用系统缺乏了解,导致审计范围覆盖不全,审计目标缺乏针对性。这在一定程度上增加了审计人员工作的复杂性,对审计过程的效率性、审计结果的正确性均有影响。
计算机审计的检查风险。计算机审计的检查风险中,最受关注的是计算机中的使用软件所存在的风险。应用计算机网络的审计模式,使得被审计的数据实时变化,想要获取这些动态数据相当困难。在许多的公司内部,会计信息系统庞大,每天结算的项目繁多,均要进行实时分析,提供给决策层参考。对于这样庞大的会计信息系统,审计人员要做到既不影响会计信息系统的正常运作,同时保证审计任务圆满完成,需要一定技术的支持。当然,计算机技术的支持在审计单位内部关于控制度的建立同样重要。会计信息系统中,其绝大部分的控制措施都是由程序建立完成,而编写这些程序的人员大多数对于审计专业并不了解,因此很多软件功能上可能不能满足审计工作的要求,或者其他程序上的错误,都会对系统数据的产生造成影响,而审计人员很可能因为对计算机审计工具的过分依赖,导致审计工作的局限性和片面性,不能保证审计依据的完整性和全面性,从而影响审计结果的真实性和正确性。
3、计算机审计中的风险防范措施
计算机技术的发展为审计带来便利,同时也带来了巨大的风险,要防范这种风险,必须要先对其有充分的认识,了解风险的来源,从源头上限制其产生。为降低计算机审计风险,审计人员需要在审计之前对被审计单位做审前调查,把准备工作做足,以取得充分的审计信息。之后根据所得到的先验信息,对比采集到的审计数据,尽量了解被审计单位的所有情况。而后则将数据转换为可处理的格式,清理无用的数据,得出审计结果后进行验证,从而对审计结果提出合理的建议。防范计算机审计风险的措施如下:
首先,掌握被审计单位的各项相关资料。在计算机审计开始之后,审计人员需实时关注并收集被审计单位的动态信息,包括纸质版记录信息和点算化系统的相关数据。从而防止财务上的弄虚作假,在审计数据时,审计人员要注意检验审计数据的真实性,审计人员在审计数据时要检验其真实性,以保证审计结果的正确性。同时,审计人员还需要了解关于被审计单位的信息系统的总体情况,包括计算机软件系统的情况、业务数据的流向和备份以及系统信息的改动等信息。
审计前、中相结合,增强审计人员对系统内部控制的掌握。为了使审计人员对会计信息系统的了解更加深入,对被审计单位的内部调控制度的建立、完善有又更深刻的认识,要求审计人员使用审计前、中相结合的审计办法。这样的审计模式,有助于审计人员对被审计单位作出合理的评估,以此将审计风险控制在合理的范围内。
充分利用计算机人才,合理利用资源,编制适合于自身的审计软件。在技术发展迅猛的今天,审计软件的更新仍然无法满足实际的需求。审计软件除了要满足审计规划、审计原理之外,还需要将审计人员的工作习惯考虑在内,通过从观念、手段、技术、方法上,在审计工作中使用计算机技术,可以提高审计工作效率。审计软件的开发需要考虑到诸多因素,如审计技术的未来发展、审计制度的变化、审计工作的效率要求、审计成本等许多细节因素。考虑到更好的发挥审计软件的功能,审计软件的开发更需要集审计技术和计算机技术的全面人才。由审计人员自己开发适用的软件,其效果会更好。
提高审计人员的综合素质,适当加强素质培训的强度。信息时代,除了计算机技术上的进步,审计人员自身的知识充电也非常重要,知识结构的加强,使他们的技术水平和职业素养都随着审计模式的转变而进步。在当前的环境下,复合型人才的培养至关重要,只有能充分掌握计算机引用计数、数据处理技术以及网络知识的等的审计人员,才能跟上时代的步伐,处理好审计行业和外部环境的综合。审计人员培训的内容还要包括风险意识的加强,不仅需要专业学习的加强,其职业修养、风险意识以及严格按照审计准则行事的习惯养成,这些能降低审计风险的因素,都应引起重视。
四、结论
信息技术的进步,为审计工作提供了更好的环境和工具,保证了审计工作的真实性、高效性以及正确性的同时,也降低了审计工作中人员参与的力度。审计过程中如果只是一味的以来软件技术,而忽略人员的能动性,将很难避免审计风险。审计软件所提供的数据采集、数据统计和数据挖掘等的确能帮助审计工作更快更好的完成,却不能替代审计人员的思维和经验,因此,有效的将审计软件和人员能动性相结合,结合审计项目的需求,才能更有效的完成审计任务。
摘 要:在现今的21世纪,计算机技术越来越发达,我国逐渐迎来了一个随着信息的时代,很多行业的都开始放弃使用手工登帐的方式,而开发出各类的计算机系统,对复杂、多样的数据进行处理。对于会计行业来说,各类的数据大多是使用手工和计算机同时进行的账目的录入、存储、计算,这就使得在会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误,而传统的计算机审计系统在面向服务架构中也显得不是很实用,所以对于面向服务架构如何做好计算机审计系统成为了现如今的重要课题。
关键词 :服务架构;计算机;审计系统;问题;对策
中图分类号:TP393文献标识码:A文章编号:1673-260X(2015)03-0016-02
当今生活中,随着计算机技术和经济的迅速发展的趋势下,许多国际上的大型企业的管理方式也发生了一定的变化。在企业的财务管理在现代信息技术的环境下,已经基本全部实现了会计电算化,哪怕一个简单的小型企业的会计、财务数据都是会以电子版本的形式存储在计算机中,同时再加以手工记账的配合,这就使得在在以前的会计审计过程中仅以查看手工账本为主的审计方法比较繁琐而且容易出现错误[1]。
同时随着企业管理方式的变化,为了达到更高效的管理模式和信息沟通模式,企业的会计数据不仅仅只有本企业的会计部门有所保存,而是从单一的计算机系统上传在网络上,提供给本企业的各部门,同行业部门,甚至是广大民众都可以看得到。而信息的共享性为企业会计的审计工作带来了更大的难度,企业会计的审计工作不仅仅要保证其准确性性,同时为了更好的服务于本企业的各部门,同行业部门,甚至是广大民众,所以就要对它的审计系统作出一定的研究。
会计审计模式从手工帐基础审计模式经过时间的变化和发展,开始演变为当前的计算机审计模式。在现在的计算机审计系统中,都是对企业会计系统运行所产生的会计数据进行审计,所以称之为计算机审计系统。所以本文所研究的内容就是研究如何对企业会计的计算机审计系统进行改善和优化,使之能够面向服务架构。
1 面向服务架构的基本原则
1.1 什么是面向服务架构
面向服务架构简称SOA(Service-Oriented Architecture)指的是,服务使用者甚至不必关心与之通信的特定服务,因为底层基础设施或服务总线将代表使用者做出适当的选择。基础设施对请求者隐含了数量较多的技术。尤其是不同方面的实现技术,譬如J2EE等类似的用户。通常情况下,假如出现一个既定完成的服务,那样人们就能够运用一个全新的更好的服务,而这种全新的服务实现应该具备一定程度的服务质量。面向服务架构是当前研究领域中的热议话题,同时也是全新的软件设计理念,随着面向服务架构逐渐开始在不同的国内外研究杂志上进行发表后,愈来愈多的企业逐渐加强了对于面向服务架构的注重程度。不过从我国当前对于面向架构的相关介绍情况来看,相关资料非常非常匮乏和不足的。一些国内企业对于面向服务架构也只是保持不明确的态度,同时没有充分的考量其具体的投资相关细节。因此应该在很大程度上必须对面向服务架构的相关部署问题进行详细的研讨和分析。另外面向服务架构的发展方向对于其未来的发展方向也具有非常重要的意义和价值。面向架构对于现代企业应用的开发以及其他方面的问题具有非常显著的推动价值。
1.2 面向服务架构的研究现状
当前面向服务架构被愈来愈多的地区所注重,按照相关调查公司的研究表明,在一些国家大约有占据一大半的企业加大了对于面向服务架构的投资力度。从研究调查结果能够看出,面向服务架构在国外很多企业中得到非常大的投入和应用。不过从我国企业自身进行面向服务架构的研究来看,国内大多数企业都对面向服务架构保持了犹豫的态度,一些企业甚至是对面向服务架构产生较多的质疑,放缓了对面向服务架构的部署相关工作安排。具体来说就是同国内对于面向服务架构匮乏一定的分析存在较大的问题有非常大的关联性。从当前我国对于其研究的主要内容来看,涵盖了以下方面的内容:首先是非常多的关于面向服务架构自身的研究,但是没有注重对于面向服务架构自身的具体内容的合理安排,甚至一些研究只是空谈,没有对于企业自身的发展以及相关规划产生非常深入的影响;其次是比较深入的研究和分析面向服务架构的不同实现技术,匮乏一些经典案例的说明和阐述;再者是频繁的研究面向服务架构同网络的服务关联性,将其概念的关联性进行混杂;最后是并没有注重对于面向服务架构将来发展方向的研究,只不过单单的把“服务”模块化,没有深入的系统的熟悉面向服务架构的设计预期目标[2]。
1.3 计算机审计系统SOA的应用前景
面对当今严格的会计审计要求和规范,如果一个企业要想在激烈的市场竞争中获得成功,就必须不断的优化内部的计算机审计系统,其中包括能够在合适的时间,把适合的审计后的会计数据共享给其他人手中,并让他们加以使用。用户不再只是简单的需要单个应用、单个系统,而是需要一个新的计算机审计系统,其中包含了SOA(面向服务架构)。
2 面向服务架构的计算机审计系统体系结构
2.1 计算机审计系统体系结构
面向Web服务的计算机审计系统属于一种开放性较大的系统,繁杂的审计任务大部分都是有处理问题的Agent进行肩负。一般情况下不同的自动化Agent只能解决具体类别的问题和缺陷,注重对于特殊任务的解决和处理。用网络服务系统封装的Agent,一个服务可能涉及一个或多个Agent这些不同功能的Agent协力合作并提供特定的服务。系统营造了一个开放性较大的氛围,不同的Agent不需要在相同的工作区域内,借助对于其他Agent知识和能力的加深理解,这些Agent可以打破之前受限的智能范畴,协同工作实现预期的目标。
因为系统自身的开放性程度较高,因此能够逐渐向系统中渗透入一些全新的Agent,只有这样的话,才可以让系统的处理能力接近强化。从另外一个方面而言,排除计算机审计系统自身提供的服务,其他个人和公司也能够提供相关的审计项目管理服务以及其他有关联性的计算机审计服务。借助标准化的通讯协议,不同的网络服务系统封装的Agent能够进行自由选择访问其他相关的服务。
2.2 面向服务架构智能Agent交互应用
计算机审计系统中交互系统主要是由外部实体和审计组件两部分构成,外部实体向系统提供被审计单位的数据和模型。根据我国审计法规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据,被审计单位的数据其中就涵盖了相关的经营资料和信息,同时还囊括了被审计单位的相关情况等内容。被审计单位模型其中就囊括了审计必需的被审计单位业务流程等系统模型,这些模型也是进行全面进行审计工作的前提和预判审计疑点的参考。审计组件中就囊括了数据采集模块,审计文档管理模块等相关内容。
所谓的数据采集,其主要是审计人员从被审计单位的信息资料中调取一定范围的内容,将其纳入和搜集到审计系统中,使用相关技术措施和手段对电子账进行审计必须要处理以下方面的相关问题,首先就是审计人员搜集电子账中的电子数据,其中就涵盖了电子账套中的数据以及信息系统数据库中的相关资料;其次是研究审查搜集到的电子数据。数据采集是对电子账数据进行具体审查的关键环节,数据采集的真实可靠性对于计算机审计结果具有非常重要价值和意义。假如搜集的数据很难有效的表明企业自身的经济发展情况的话,即便审计人员具有强大的职业预判能力,也很难计算出非常科学有效的审计结果,最终也会递增审计风险。所以数据采集在整个计算机审计过程中的地位显得非常关键,一般情况下,数据采集的信息基本上可以划分为以下几种类别:被审计单位信息采集,以及业务数据采集等。
一是被审计单位信息采集审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。
二是财务数据采集Agent,财务数据采集主要采集以下两种数据: 财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以计算机审计系统(WS-CAS)提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构,属性和含义,这样才能对数据进行采集整理,保证数据的完整性。
三是业务数据采集Agent,由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口。具体来看首先是账表分析Agent:审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等;其次是数据查询分析Agent:审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的,数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。
四是联机处理Agent,联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。
五是审计分析工具Agent,除了上述一般审计分析方法外,计算机审计系统(WS-CAS)还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务[3]。
3 结束语
SOA架构的提出将给会计计算机审计工作带来一个新的模式。同时SOA思想会在今后的计算机审计系统发展中起到非常重要的指导作用,而且它代表了未来会计行业发展的趋势。企业会计应用SOA架构也会为企业自身的发展带来前所未有的优势。企业会计需要SOA这样的架构平台,不过人们也必须认识到面向服务架构自身的发展还是存在一定的问题和不足,必须进行充分的研究和努力实践。
参考文献:
中图分类号:F239 文献标识码:A 文章编号:1674-7712 (2013) 22-0000-01
计算机审计是信息时展的必然产物,计算机进入审计领域之后,得到快速发展,计算机技术的引入,简化了繁琐的审计工作,提高了工作效率,但由于计算机技术的一些不稳定性,又给计算机审计工作带来了新的挑战和新的风险,那么,在目前这一知识迅速发展的时代,如何规范计算机审计工作,降低计算机审计风险的程度成为了研究的热点。
一、计算机审计风险概述
计算机审计相关概念的定义,在国内外学术界有多种叫法,例如EDP审计、电算化审计、信息系统审计等等。尽管叫法不同,但其含义基本相同。计算机审计是指审计人员把计算机作为审计的对象或工具,对经济信息系统所进行的审查。它包括计算机经济信息系统审计和计算机辅助审计。
计算机审计风险,是指审计人员不能正确合理地运用计算机审计技术,从而导致审计结果与事实不相符,发表不恰当的审计意见而给审计主体带来损失的可能性。
二、计算机审计风险分类
(一)软硬件风险。这一风险是指计算机本身的软硬件设计问题,在制作生产中产生的缺陷,这些往往都是由于没有专门的部门给予审核,同时也没有对其进行使用前的测试工作,就投入使用所致。另外,随着计算机技术的不断革新,带动会计软件不断的更新升级,如果不及时给予更新,亦会内部的审计核算与会计核算产生不一致。再有,由于财会人员的信息素质不高,对于会计开发软件的应用不是很熟练,或者不会使用,导致开发的软件不完善或与审计计算、分析出现偏差。
(二)审计核实人员操作风险。审计核实人员违反操作规程进行操作,过分依赖计算机的运行结果,对于出现的一些疑点没有进行及时的复查,导致风险的出现。
(三)财务数据风险。各企业为了自身的利益,在申报财务数据过程中,经常采用修改、省略、延迟的手段录入一些虚假的数据,加大了审计的难度,另外由于被审计单位非法修改财务系统,系统内部质量控制程序遭到破坏,导致风险可能性的出现。
(四)管理风险。管理制度是控制风险产生的有力保障,而不完善、不健全的管理制度也必将使风险出现的可能性增大,要想充分发挥审计工作的效率,就必须要有一套完善的管理制度作保障,反之,将还会带来新的风险。
三、完善计算机审计风险的措施
(一)加强对计算机审计的事前和事中审计。对计算机审计的事前和事中加大审计力度,是避免风险出现可能性的有效途径,加强审计人员业务操作能力,对会计信息的传递进行充任的认识,这有助于在审计人员对审企业的审计工作做出正确的评估,并将计算机审计风险控制在可控范围内。
(二)加强培训,提升审计人员的综合素质。当今时代,人们的工作日趋复杂化,社会对复合型人才的需求增多,因此,定期的培训,对于提升审计人员的个体素质至关重要,让审计人员通过相应的计算机课程学习,完善其信息素质,加强审计人员的适应能力。
(三)合理搭配审计小组。计算机审计对于审计人员的技术性、专业性要求较高,因此,我们在组建审计小组时,要合理搭配计算机专家与审计专家的比例,让整个团队能够充分发挥其最大效力。
(四)选择恰当的审计方法与技术。采用恰当合理的审计方法与技术可以有效的降低审计风险出现的可能性,对于计算机会计信息系统采用批处理且输^与输出能直接核对时.则可采用绕过计算机的审计方法,用核对、复核、分析等审计技术;当被审计算机会计信息系统采用实时处理,纸性的审计线索较少且输^与输出不能直接核对时,则必须采用通过或利用计算机的审计方法,如:模拟检测数据法、平行模拟法、整体检潮法等具体审计方法;
(五)积极开展审计软件的开发。积极开发、完善审计软件,可以有效的提高审计效率,同时,在目前计算机审计继续发展的情况下,对于普及计算机会计信息系统审计,降低审计风险具有重要的意义。
(六)完善计算机审计准则和法规。在审计准则方面,可考虑补充对计算机信息系统审计以及网络审计等准则或规范。在审计法规方面,应该出台一整套适合计算机审计的审计法规,以严密计算机审计的程序,使计算机审计规范化、条理化。这套法规不仅应对证、账、表等数据文件进行实质性测试进行规范,还应对被审单位信息系统的健全性、有效性,各项初始化工作的合理性,操作员的操作权限以及系统管理员的管理权限的合法性和保密性,系统安全性,审计人员应具备的知识结构和审计程序等加以规定,使计算机审计有法可依,依法进行。同时也应为计算机审计质量的衡量提供评价标准
(七)对审计结果进行有效复核工作。要保证审计结果的客观性、合理性、合法性以及公平性,对信息系统、电子数据以及未查证的重大错误总额进行彻底的复核审查,针对被审计单位重要的业务活动、信息系统及数据与相关法规进行核对;与被审计单位管理层沟通,比对重大错误风险是否超过信息系统层重要性水平,复核其业务系统、财务系统及数据中反映出的重大问题,评价审计风险整体性水平是否在可以接受水平之下。复核后。对重要问题未能达成一致,需要对审计结果和审计意见重新调整,甚至追加审计程序,重新收集证据,切实保证计算机审计工作质量。
四、结语
综上所述,为避免重大审计风险的出现必须明确审计人员的职责和任务,加强审计人员职业道德教育的力度,明确并完善企事业单位内部会计控制机制,减少企业对审计的影响,并且从法律、法规、制度上完善对审计不良行为后果的约束、监督和制裁,增强审计质量。
参考文献:
[1]常立群.浅谈计算机会计信息系统下的审计[J].商业经济,2006(05).
中图分类号:F239
文献标识码:A
文章编号:1672-3198(2010)13-0217-01
1 计算机审计风险的成因分析
1.1 传统审计线索逐渐消失
在我们原先采用的手工会计系统中,从最开始的原始凭证到最后的报表,每一个环节都有相对应的工作人员签字审核,我们也就可以按图索骥的来开展审计工作,因为这样的手工会计系统对审计线索的寻找非常便利。可是在开始会计电算化以后,以往我们赖以搜寻的审计线索变得难以寻觅,因为许多的文字记录不复存在了。那些信息大多数都被保存在磁盘上,而这些磁盘上的信息虽然容易保存且信息量大,但却也存有较容易遭人修改、删除且不留下让人容易发现的线索。这样也就造成了审计人员通过磁盘内的信息来进行审计的实际效果降低。
1.2 审计技术、方法日趋复杂
在将计算机引入财务工作之后,我们开展审计的技术以及方法也发生了相对应的更改。现在审计对象使用的财务软件种类繁多,既有商品化的软件(如用友财务软件),也有不少单位依靠自己的技术力量来研发的财务软件,这样就使得财务软件的功能和程序上千差万别,对审计的技术与方法也难以照搬照套,对审计工作的进行增加了许多复杂因素。而面对千差万别的财务软件,审计人员如果没有使用正确的审计方法来审计就肯定会造成审计风险的出现并对最后的审计结果产生负面影响。
1.3 在动态中进行审计取证较难
在很多的企业,尤其是一些大企业的计算机内的财务信息系统是24小时处在工作状态,如果将计算机停止运行势必对单位的经济造成一定的损失。我们审计人员不但需要顺利的完成审计工作还要让审计对象的财务信息系统能够正常运行,这就需要我们在运行期间进行高难度的取证工作,这当中稍有不慎就会酿成一定的经济损失。这也是审计风险存在的原因之一。
1.4 被审计单位内控制度的不完善
在对经济信息系统使用计算机来工作之后,企业内部的财务控制制度与技术也进行了相对应的变化,这其中变化主要体现在:首先是企业财务的内控手段已经从手工改变为计算机;二是在使用计算机进行财务信息系统的运算时原先手工控制的方法已经无能为力,失去了其应有的控制作用,需要采用新的手工控制方法来取代。计算机会计信息系统输出信息的有效性是建立在其内部控制的功能是否有效、完善的前提之下的,但是内部控制的许多缺陷和漏洞的存在让违规行为可以随意的发生且没有办法有效地监管,这也是审计风险的一个重要来源。
1.5 缺少科学的计算机会计信息系统
我们进行审计的标准和依据也需要相应的更改。我们以前对手工系统有不少的审计标准和依据可以采用、借鉴。可是我们在会计电算化信息系统开展工作的时候,因为面对的信息系统不再是以往的手工系统,工作的目标和开展工作的线索已经发生了变更我们的工作手法也要与之相对应的变动。因为原先老旧的工作标准和依据无法适应新的审计工作要求,可是现在可以有效地使用在会计电算化信息系统环境下的审计标准与依据还没有能够出来。所以,这也同样会生成审计的风险。
2 计算机环境下的审计风险的控制
2.1 选择恰当的审计方法与技术
审计工作人员可以从被审计对象的实际情况出发,针对不同的会计信息系统来使用与之相适应的手法。这样对减少审计风险的发生较有裨益。如果被审计对象的会计信息系统无法停止工作状态,我们就考虑使用制度基础法,一是对被审计对象的会计信息系统的控制开展详尽的检查并按照审计人员对一般控制和应用控制审查结果来考虑审计工作所需要侧重的方面以及审计方法。如此一来,不但可以让审计风险得以有效地减少还可以尽可能的降低对被审计系统日常工作的干扰。
2.2 建立统一审计通用数据标准和设立审计测试预留通道
相关职能部门应尽快制定出相应的操作规范设计标准,使会计软件的审计数据有统一的格式。同时,审计的实时性要求在对审计软件进行测试时,应设置审计测试预留通道,更好维护审计数据库,并能直接与会计电算化软件进行数据调用,拓展审计软件应用范围。
2.3 建立继续教育机制
通过教育的方法来改善目前审计从业人员的知识构成可以从根本上防范审计的内在风险。而针对审计人员知识构成的现状,应该注重引进人才,将引进人才与自主培养结合起来,逐步建成审计人才队伍的“金字塔”结构。
总之,开展计算机审计时,审计人员只有做到全面分析计算机审计风险的形成原因并认真落实其防范措施才能够提高审计的工作效率和质量,促使电算化经济信息系统向更高目标迈进。因此,从事审计工作的人员除了要有审计专业知识,还要具备和熟练掌握过硬的计算机知识及丰富的实践经验,才能开创审计工作的新局面。
参考文献
一、计算机审计的内涵与基本特征
(一)计算机审计的内涵
对计算机管理的电子数据进行审计。随着会计电算化等的普及和管理信息系统的发展,原来由账簿记录的财务数据,现在已经越来越多地 改用计算机来处理:数据存储介质也由纸质账本加文字转为数码形式,对用计算机管理的财政、财务等电子数据进行审计,核实经济活动记录的正确性,这就涉及到对各类信息系统管理的电子数据的审核。这是在信息化条件下,原来的审计业务在新形势下的载体变革后,传统审计手段必须进行的改革和延伸,否则审计人员将面临无账可查的被动局面。
(二)计算机审计的基本特征
1.电子证据具有无形性和高科技性。从一定意义上说,电子证据是按编码规则处理成的"0"和"1"的数据信息,需要依靠磁性或光电介质作为载体,具有无形性和高科技性。电子证据的无形性体现在,其形成和表现离不开某些介质,并借此存储为磁信息和光信息等。电子证据的无形性使其易被篡改和删除等,影响其完整性和真实性。
2.电子证据具有脆弱性。电子证据存储为磁信息、光信息,人为篡改或变造很难被发现。再加上存在难以预测和避免的事件(如系统瘫痪等),易导致电子证据的灭失或失实。特别是现如今,企事业单位、会计及审计领域都与计算机打交道,尽管恢复被删改资料的技术不断进步,但电子证据一旦遭到破坏,造成的后果往往比较严重。
3.电子数据生成的自动性和精密性。人工录入初始数据,计算机系统会利用相关软件完成后续的运算、处理,自动生成所需结果。由于运用的软件由专业机构科学设计,此过程若没有意外或人为恶意干扰,电子数据则具有较强的客观性和精密性,发生差错的可能性较其他证据类型要小得多。
4.电子证据具有多样性。传统的证据表现形式比较单调,而电子证据充分利用文字、图像和声音等多种形式存储, 并可以"多媒体"形式来展现,这是以往证据所望尘莫及的。由于其借助具有集成性、交互性、实时性的计算机及其网络系统,极大地改变了证据的运作方式。这种将多类表现形式融为一体的特点是电子证据所特有的。
(三)计算机审计的必然性
计算机审计是传统审计向现代审计转型的重要标志之一。(1)推进计算机审计是实现审计工作科学化的重要举措。 当前,我国的审计事业正处于传统审计向现代审计发展的技术转型期和战略机遇期,信息化建设是我们提高审计效率,改善审计手段,提高审计质量,降低审计成本的一个重要途径。审计信息化建设不仅仅是个方法、手段问题,而且是关系到审计事业发展的问题。(2)推进计算机审计是现代审计的必然选择。 首先,计算机审计突出了审计重点,丰富了审计手段。 运用计算机的自动筛选、汇总、分析等功能,改变过去手工逐笔分析的做法,使审计思路更为清晰,重点更为突出,发现重大违纪违规问题线索更为可靠。 同时,利用计算机快速、准确的特点,使得全面审计成为可能。其次,计算机审计拓展了审计空间,提高了审计效率。(3)推进计算机审计是提高审计质量和审计时效的重要手段。 现代计算机技术使我们可以充分利用软件系统提供的操作权限控制功能,并在各审计环节设置质量控制点,实行适时监控,从而有利于审计质量的跟踪检查,同时也使得审计质量的控制更加实时有效。
二、我国计算机审计实施中存在的主要问题
(一)审计软件应用水平的局限
中图分类号:F239.45;TP311 文献识别码:A 文章编号:1001-828X(2016)027-000-01
国有企业生产经营管理活动中,物资采购是一项重要工作。国有企业在开展物资采购过程中,如何按照国家及企业招标管理相关的法规制度开展工作,既做到合规合法,又实现企业降本增效成为企业本身,特别是企业内部审计关注的焦点内容。作为企业内部审计,如何帮助国有企业加大物资采购招标范围,有效节约采购成本,成为工作的主要目标任务。
一、物资采购应招标未招标审计的目标内容
(一)审计的主要目标
国有企业在物资采购过程中,一方面必须遵守国家和企业物资采购及招投标管理相关的制度规范;另一方面从成本效益的角度,更多开展招标工作,通过招标实现价廉物美、节约采购成本的目的。因此,企业内部审计在企业物资采购应招标未招标中审计的主要目标有两项,一是审查是否存在应招标未招标合同;二是监督规章制度的贯彻落实,督促扩大招标范围,有效节约企业采购成本。
(二)审计的具体内容
企业内部审计在国有企业物资采购应招标未招标审计中,依据国家及企业物资采购管理办法和招标管理办法开展内部审计工作。国有企业应招标未招标审计的主要内容包括买卖合同、承揽合同、服务合同等,通过审计发现符合招标条件而未进行招标的物资采购业务,及时给出审计意见,督促企业加强招标管理,实现企业降本增效的目的。
二、物资采购应招标未招标审计的技术方法
(一)审计的主要思路
在国有企业内部审计中,物资采购应招标未招标审计按照招标管理办法规定,以应招标合同金额阀值为标准,通过分析合同台账发现符合招标条件而未进行招标选商的合同进行统计,并作为审计的基础数据依据,向国有企业给出相关审计意见加以整改。
(二)采用的技术与方法
物资采购应招标未招标审计面对合同业务量大,系统中合同数量在数千条以上,合同类别众多,难以快速发现重点审计方向,在常用Excel工具软件下,频繁使用统计功能计算各种数据、比例时耗时费力等诸多难点问题,必须依托有效的信息化手段,借助先进信息技术进行分析处理,特别是数据库分析技术,由于微软SQLServer数据库分析技术使用普遍且易于掌握,成为应招标未招标审计应用的主要平台技术。
(三)分析的过程与结果
1.应招标未招标分析的过程。审计主要涉及企业签订的合同台账数据。合同台账主要包括合同名称、合同编号、合同金额、合同类别、选商方式、签订时间、合同相对人等,其中合同类别又分为买卖合同、承揽合同、服务合同等类别。应招标未招标合同审计分析时,主要根据合同类别,按照选商方式,进行合同份数、合同金额进行分类统计。
2.应招标未招标分析的结果。根据以往审计核查经验,将应招标未招标分析结果以表格形式展示,主要包括合同类别、总金额、未招标金额及占比,以及不同选商方式的合同份数。分析时,按照合同类别分别进行上述要是进行统计,并作为审计核查关注的主要对象。
三、物资采购应招标未招标审计技术的应用
(一)审计所需数据准备
在审计过程中,首先按照上述审计所需准备物资采购合同台账及合同文本等业务数据,一般从合同管理系统导出,数据项须包括审计分析所需相关数据项,但不限于这些数据项;其次与企业物资采购管理部门进行访谈,掌握物资采购的基本情况。在审计分析之前,一方面须对业务数据进行校验,去除不必要的数据项、空格和字符数据,确保数据项相应的数字、日期格式等;另一方面须对应招标的合同类别及内容进行确认,确保分析对象的准确性。
(二)审计分析结果核查
审计时,将所需数据导入数据库,采用上述数据库分析技术进行审计分析,并形成审计分析结果交由国有企业逐一核查。在审计核查时,首先要确认审计分析数据的准确性,特别是企业物资采购应该招标的物资采购范围及内容,确保分析结果的准确性;其次要对于违反规定的未招标业务进行成因分析,最后结合核查结果,按照相关法律法规给出审计意见交由企业整改。
综上所述,国有企业内部审计在物资采购应招标未招标审计中,按照国家法律法规,对企业物资采购业务,采用先进的数据库分析技术,实现全数据分析发现违规业务,通过审计核查给出审计意见,在督促企业合规合法经营的同时,实现了提高了企业内部审计工作效率、节约了审计资源投入。国有企业物资采购应招标未招标审计技术方法的创新研究与应用,也必将在企业内部审计工作中发挥积极推动重要作用。
参考文献:
[1]王甲庆.中央企业物资集中采购财务监督机制构建研究[D].北京交通大学,2013.
[2]周佩.企业物资采购招投标管理研究[J].社会科学家,2012,12:84-87.
[3]洪新世,沈幸福.企业内部物资采购审计的难点及对策[J].审计月刊,2012,12:35-36.
[4]魏爱霞.论现代企业中物资采购审计的过程审计[J].财经界(学术版),2013,23:242.
计算机审计方法是审计思想数字化的结晶,在相同结构的数据库间可以通用,一次经验总结,多次重复使用,这样可以充分发挥计算机审计标准化批处理的优势。例如:在针对同一被审计单位的持续审计项目中,或者在上级审计机关统一组织项目的框架内,都可以跨年度、跨地域引用计算机审计方法,减少不必要的重复劳动,直接收效是审计覆盖面的扩大。只要被审计单位的信息化环境符合计算机审计的要求,审计人员就可以很便捷地将其延伸到该单位的二级、三级预算单位,或者它的子公司、孙公司。这样在很大程度上解决了现有审计资源紧缺的问题。
但是,计算机审计方法是建立在与之相应的审计数据库基础上的,一旦审计数据的结构有所变化,计算机审计方法也要随之变更,这也是计算机审计方法可移植性差的主要原因。目前,审计署负责征集组建的计算机审计方法库可供地方审计机关借鉴的主要是审计思路,而计算机审计方法本身基本无法直接引用。
所以,地方审计机关必须针对自身特点构建一套独立的计算机审计方法库,达到省一级的统一标准化,以实现工厂化运作模式的计算机审计目标。
二、地方审计机关构建计算机审计方法体系的要点
长期以来,我国地方审计机关审计工作以手工查账为主,计算机审计人才相对缺乏,地方审计机关的计算机审计的理论水平和实践层次相对较低。笔者利用在基层挂职锻炼的机会,经过深入调研,发现地方审计机关搞好计算机审计有一定的环境优势,主要反映在以下两个方面:一是被审计单位相对固定,地方审计机关对他们进行持续的审计监督;二是被审计单位的财务、业务信息系统在省辖范围内高度统一,数据库结构完全一致。地方审计机关可以从以下几个方面着手构建计算机审计方法体系。
(一)省级审计机关成立总的计算机审计方法体系建设领导小组,统领辖区内各地区、各行业的计算机审计方法体系建设领导小组,统一安排各计算机审计方法体系项目的研发进度。
(二)地方审计机关在各自行政区域内建设审计数据库,持续采集各行业被审计单位电子数据,按照标准化的方式积累起来,连续的数据就具有信息价值,在此基础上给予配套的审计方法,它的潜在价值自然就会显现出来。
(三)数据库分析的组织实施,按照计算机审计项目的种类划分,主要可分为依附于审计项目的计算机审计审前调查和独立的专项计算机审计调查两类,下面着重结合两类审计项目组织实施的特点来详细阐述计算机审计方法体系的不同。
1.依附于审计项目的计算机审计审前调查。这类调查要求,在审计项目的审前调查阶段,审计项目组织单位就应该组建数据库分析团队提前介入,在采集被审计单位数据和相应数据库设计资料的同时,集中分析信息系统之间、后台数据库核心表之间和核心字段间的三层逻辑关系,针对审计目标编写查询分析语句样本,组成《数据库分析指南》统一下发给各审计组。审计结束时,各审计组提交《审计报告》的同时,也要向数据库分析团队反馈相应的《数据库分析报告》,经过完善补充测试定型后,成为该行业审计的计算机审计方法规范。
2.独立的专项计算机审计调查。对于大型复杂数据库系统,或者虽然近期不接受审计但对于全局系统分析具有基础性地位的数据库系统,都必须组织独立的专项计算机审计调查项目,以此来补充和完善“依附于审计项目的计算机审计审前调查”的不足。独立的专项计算机审计调查一般由省级审计机关统一组织,除了依附于审计项目的计算机审计审前调查的共性特点外,还具备其他两个特点,一是专项计算机审计调查是一个独立的、完整的审计项目,集中分析数据库系统这个目标贯穿于项目始终;二是由于专项计算机审计调查缺乏后续的审计问题查证并反馈控制这个环节,更加依赖于以往年度的审计经验来建模。
(四)地方审计机关构建计算机审计方法体系应遵循的几个原则。一是循序渐进,先局部后整体,结合审计项目计划安排,就近就急;二是因地制宜,先分层后集中,各地区、各行业信息化条件好的先做,依次上收;三是加强统一组织协调,不留死角,省级计算机审计方法体系建设领导小组要肩负起统领范围内专项计算机审计调查的计划领导工作。
三、宁强县审计局研发计算机审计方法的实践
笔者利用在宁强县审计局挂职锻炼的机会,按照县局统一部署,结合实际情况,积极组织审计业务骨干针对被审计单位信息系统研发出配套的计算机审计方法,以实现动态、连续性审计。不仅扭转了传统观念上对基层落后地区不适宜搞计算机审计的错误认识,而且实现了基层审计信息化的较快发展,为基层审计机关开展计算机审计工作探索出了新路子。
问题的提出
目前,计算机作为信息处理工具已经被人们所接受。无论是生活还是工作我们已经越来越离不开它,其主要特点表现为数据处理速度快、计算准确。其中1954年美国通用公司首次将计算机应用于工资处理,开创了会计电算化的先河。之后随着信息技术的发展、硬件价格的降低,使得一般的企业有愿望、有能力使用计算机完成日常的会计核算工作。目前的会计核算系统已经能够实现全部工作由计算机处理、完全替代手工的会计核算。在会计核算实现计算机处理的同时人们不禁要问审计工作什么时候也能够实现计算机自动处理。
审计是由专职机构或人员接受委托或授权,对被审计单位在一定时期内全部或一部分经济活动的有关资料,按照法规和一定的标准进行审核检查,收集和整理证据,以判明有关资料的合法性、公允性、一贯性和经济活动的合规性、效益性,并出具审计报告的具有独立性的经济监督、评价、鉴证活动,其目的在于确定、解除被审计单位的受托经济责任和加强对被审计单位的管理、控制。审计过程包括收集证据、分析整理、出具审计报告。
传统审计以纸介质的账证表作为审计证据,审计人员通过翻阅、计算、对比、评价、鉴证,实现对企业经济活动的监督、管理和控制。然而现代审计在大部分企业的会计核算工作已经使用电算化软件后,审计工作面临着两个必须解决的主要问题—审计证据的数字化、审计过程的自动化。
计算机审计系统的目标
计算机审计系统的目标为:降低审计工作的强度、提高审计工作的效率、保证审计工作的质量。
计算机会计已经实现从手工核算到计算机核算的转变。但是计算机审计的发展却不尽如人意,它明显滞后于计算机会计。究其原因有技术上的、也有管理上的。由于许多被审单位都已经实现电算化,传统纸介质的账证表已不再使用,取而代之为磁性的数字文档。在新的环境下,审计人员在审计过程中遇到的主要问题包括:获取真实、完整、有效的审计证据、灵活选择审计模型、严格编制审计报告。
一个好的审计软件系统应该具有通用性、完整性、正确性、安全性。其中通用性表现为一般不经过程序改动就可以满足大多数企业的审计需要;完整性表现为审计证据没有缺失;正确性表现为汇总核算过程准确无误;安全性表现为审计证据不会被篡改。
计算机审计的重点
会计工作是对企业所发生的各项业务以凭证的形式进行记录,按照账户进行核算、汇总,通过规范的报表如实反映企业的经营活动、经营状况。而审计工作则是对“记录”的公允性、合法性、一贯性进行审计;对核算方法、过程及各种报表的合规性进行审计;对企业经营活动的效益性进行审计。
计算机审计系统的主要职责是“辅助”审计人员完成对计算机会计系统所记录的企业各项经济活动、核算过程以及汇总结果进行审计。
计算机会计系统的工作方式及数据处理过程是从经济业务发生编制出记账凭证,并输入计算机系统,经过汇总核算生成各种账证表,而计算机审计的工作范围则应该从输入计算机的会计凭证开始到各种审计模型的使用,最终编制出审计报告。由于计算机会计软件系统有不同的品牌,每一个品牌的软件系统的数据结构各不相同。使得在使用计算机审计软件的时候不得不花费大量时间和精力确认会计系统中记录的数据凭证的真实性、完整性。从而大大降低了计算机审计系统的通用性,使得审计人员不得不沿用手工方式进行审计。
通用性强的审计系统要求应用的审计模型必须建立在标准的、统一的数据平台之上,人们在使用计算机系统进行审计时应该把工作重点放在审计方法的使用、审计过程的实现和审计模型的选择上,而不是放在数据的获取上。如今计算机会计系统只需将数字记账凭证输入计算机,之后汇总、核算、编辑会计报表等工作全部由计算机自动完成。所以会计人员已经从手工核算解脱出来,把“计算”工作抛给了计算机。面对这样的形式对于审计系统来说应该把证据“确认”的工作抛给计算机,而审计系统的核心内容应该针对不同的审计方法和模型进行“程序化”处理。
通用计算机审计系统的设想
(一)搭建通用审计系统的数据平台
通用数据平台的搭建可以采用两种方式,第一种方式由财务软件开发单位按照国家规定的标准(《信息技术 会计核算软件数据接口标准GB/T19581-2004》)在软件运行过程中,每一个会计期末将计算机财务系统中的记账凭证表、财务账表、会计科目表、以及一些辅数据表等相关数据输出到财务系统外部,供计算机审计软件使用,而审计人员则可以根据输出得到的账证表,以此为数据平台设计审计模型;第二种方式由审计软件的开发单位,针对每一个品牌的会计软件(而不是针对每一个被审单位)的数据库进行数据采集,采集到的数据格式要求必须符合《信息技术 会计核算软件数据接口标准GB/T19581-2004》标准,以此作为通用计算机审计系统的数据平台,设计审计模型,开发通用的审计系统。采用第一种方法,对于通用计算机审计系统是一个最理想的结果;采用第二种方法,对于通用计算机审计系统来讲,数据获取稍微麻烦一些,但依然是可行的,因为国内现有的、正规的、商品化的财务软件也就二三十家,通用审计系统可以针对每一个品牌的财务软件,按照(GB/T19581标准)将财务软件系统的相关数据导出。
(二)验证审计系统的数据平台
为了验证搭建起来的用于通用审计系统的数据平台,我们可以通过重构会计核算实现对记帐凭证、会计科目等数据的验证,具体办法就是在计算机审计系统中对获取的记帐凭证和会计科目等相关数据,按照正常的、符合会计准则要求的生成相关账证表,并编制资产负债表、利润表和现金流量表等。以此和被审单位的会计系统产生的对应账证表进行比较,如果一致,说明数据平台是真实、完整、有效、可用的。
(三)设计通用审计模型
计算机审计系统使用的数据平台搭建、确认完成以后,接下来的工作就是如何把关注点指向审计模型的建立、审计算法的设计、查帐方法的使用等。在审计查帐过程中使用的方法各种各样,包括:按规模划分,祥查法、抽查法;按顺序划分,顺查法、逆查法;按技术划分,审阅法,等。
使用计算机审计系统进行查帐,原来采用手工方式查帐困难的方法在计算机审计系统下可以很方便、快捷、准确、高效地进行。
以“顺查法”为例。手工使用“顺查法”查账过程就是按照业务发生到输出账表前后的时间顺序进行审查。根据原始凭证编制记账凭证,将记账凭证进行入账处理,然后登记总账、明细账和总分类账,期末的时候编制资产负债表、利润表以及现金流量表等。顺查法的优点就是全面、系统、准确;缺点是费时、费力、不易抓住重点。
然而,在计算机审计系统中采用顺查法最能够充分体现计算机的优势,它可以克服手工顺查法的缺点。做到省时、省力、而且容易抓住重点。
下面我们解释在数据平台确定的情况下,如何设计通用性强的计算机审计系统完成“顺查法”。
首先要抓住审计的重点,在计算机记账凭证库中根据审计的条件确定审查的对象和线索,例如:关注凭证金额大的记账凭证,关注会计科目使用频繁的记账凭证,关注科目容易出现问题的记账凭证等,总之可以根据需要定义各种条件。确定需要审计的对象之后,要进一步查阅和记账凭证相关的原始凭证,以确定被审计的业务。需要审计的记账凭证确定之后,我们可以从输入记账凭证到入帐处理以及输出各种财务报表,确定审计线索、审计方法和审计过程,所有这些工作都可以由计算机系统自动完成。“顺查法”如此,其它方法也可以做到由计算机自动完成。
国内财务软件审计数据接口调查分析
本文设想的通用计算机审计系统的基础是账簿数据表、记账凭证数据表、会计科目数据表、科目余额及发生额数据表、资产负债表、利润表的从格式到内容的规范化,标准化。
本文作者针对审计系统与财务系统之间数据交换的标准化现状做了两个问卷调查,一个是针对财务软件开发公司进行的调查(CQT),另一个是针对财务软件用户进行的调查(UQT)。其中UQT共发出98份,收回67份,所有问卷针对财务软件公司是否向用户公开数据表结构的回答,其中只有2份UQT确认其使用的金蝶财务软件向用户披露数据表结构;CQT的采集,直接通过电话向财务软件公司当面调查,共调查11家财务软件公司。调查内容见表1。
从表1可以看出,绝大部分财务软件不提供二次开发工具、不公开数据表结构、不支持CSIA接口、不支持T19581接口。这种情况的直接结果就是计算机审计系统的通用性无法实现,因为各个财务软件数据表的结构不同,访问方式不同,计算机审计系统疲于应付不同的数据库。
财务系统数据表结构的披露
企业在经营过程中要适时披露相关财务信息,有些是强制性,例如:资产负债表、利润表、现金流量表等。有些是非强制性的。然而对于计算机财务系统而言,数据表结构、数据表记录内容应该属于强制性披露的。尽管在相应的规范、制度、准则中没有提及。计算机财务软件的版权属于软件开发单位。但是因为计算机财务系统使用的数据库已经由使用单位买下,数据库中记录的数据是企业经营数据。所以数据库和数据库中的记录的所有权属于软件使用单位,为了能够使计算机审计系统能够方便的访问库中记录,获取相关的账证表等信息,实现计算机审计系统的自动化和通用性,被审单位有必要披露数据表的结构和数据表中的记录。但是数据库数据表结构并非被审单位设计的,因此数据表结构的披露应该由计算机财务软件开发单位按照《信息技术 会计核算软件数据接口标准GB/T19581-2004》输出相关用于计算机审计的电子账证表。
在GB/T19581标准中规定需要会计核算软件输出的数据样式有:格式说明文件、电子账簿文件、会计科目文件、部门、单位、项目信息、科目余额及发生额、记账凭证、企业资产负债表和企业利润表。
结论
综上所述,本文主要从国家标准(GB/T19581)出发,探讨了通用计算机审计系统的实现方法,认为应在实际应用与操作中强调构造计算机审计系统数据平台的必要性,以及尽快完善相关的规章制度的迫切性。
参考文献:
随着会计信息化的发展,传统审计方法受到了巨大挑战,计算机审计成为变革传统审计思路和方法的出路所在。审计署于1998年提出审计信息化建设的意见,并开始筹备金审工程,打开了我国计算机审计发展的序幕。目前既懂计算机又懂审计的人才缺口较大,高校承担起系统培养复合型审计人才的重任,开始设置计算机审计课程。但是,计算机审计教学基本上采用简单的案例教学法,在课程设置、课程内容、课程标准、课程体系、师资力量等方面均有不足。
以问题为导向的教学方法(problem-based learning,PBL),是基于现实世界的以学生为中心的教育方式,1969年由美国的神经病学教授Barrows在加拿大的麦克马斯特大学首创,目前已成为国际上较流行的一种教学方法。以此类教学法出名的包括荷兰顶级大学马斯特里赫特大学等世界著名院校。我国最早是1986年由上海第二医科大学和西安医科大学引进PBL的。90年代以来,引进PBL的院校逐渐增多,如湖南医科大学、第四军医大学、暨南大学等。这些院校分别在基础课、临床课和实验课中部分试行了PBL,取得了良好的效果。而计算机审计课程与医学有着相似性——医学是找出病人的病症所在;计算机审计是利用计算机技术审计寻找会计信息中所存在的问题,从而找出企业症结所在,所以如何利用PBL教学法来提高计算机审计的理论以及实验课程教学效果是一个崭新的、值得探讨的课题。
基于PBL的计算机审计课程与教学内容体系研究的基本要素主要有以下方面:
1.教师以计算机审计课程在实际审计工作中遇到的问题为学习的起点,将课程单元重点内容融入问题的解决方法中;学生的一切学习内容是以问题为主轴所架构的。
2.问题必须是学生在其未来的审计工作领域中可能遭遇的问题,没有固定的解决方法和过程。
3.教师在实际授课中将学生编成工作小组,课程偏重小组合作学习和自主学习,较少讲述法的教学;学生能通过社会交往发展能力和协作技巧学习解决问题的方法,从而根据课程知识解决实际问题。
4.由原来的以教师为中心,教师讲授、学生被动接受转换为以学生为中心,学生必须担负起学习的责任,使得学生带着问题学习、主动学习。
5.在每一个问题完成和每个课程单元结束时学生要进行自我评价和小组评价,这样逐步建立计算机审计的学习体系,使得学生养成自主学习、自主解决问题的习惯。
PBL教学思路的设计:第一,教师在备课中,首先要根据授课的内容查阅相关教材、文献、企业资料等,然后编写教案,结合教案提出问题,课前一周发给每位同学,使得学生有充分的时间预习教材,预习计算机审计课程相关章节的操作方法。第二,要求学生根据所提问题充分预习教材、预习计算机审计的操作方法,查找相关资料。第三,课下分组进行讨论,充分利用企业实际背景和计算机审计知识,学习小组尝试自行解决相关问题。第四,课上教师通过分析案例提出问题,学生以学习小组为单位来回答,回答不足之处,再由其他小组或教师进行补充,最后教师对本学习情景重点和学生回答模糊的问题作出小结。
任何一种新的教学模式,从引进到全面实施,必然会遇到很多问题,需要我们逐一解决修正。不断地在实践中积累经验,才能探索出符合高职院校的PBL教学模式。在高职实施PBL有着一定的困难,主要反映在以下几个方面:
1.师资方面
由于PBL要求将学生分小组进行讨论,如果按照国外模式须6-7人一组,且每组都有一位带教老师。与传统教学相比,一个班级(通常由30多人组成,根据学校不同,有些院校每班人数可达40-50人)被拆分为几个小组,教师需求数量显然高出几倍。而我们课题组的主要成员同时也是从事计算机审计课程教学的一线教师,从而保证了教改中需要的师资方面的问题,保证教改的进行。
2.教学条件方面
试行和推广PBL教学模式,为保证教学效果,必须扩大图书馆藏书量,添置必要的实验设备、教学仪器及电子工具等。我系有自己专门的实验实训楼,保证了计算机审计课程与教学内容的改革。
3.教材方面
现在的高职院校大都沿用编排体系适用于传统教学体系及方法的教材。若重新编写教材,教师不愿舍弃大量内容或打乱旧的体系。所以说,存在着重新编写教材的问题。而我院会计系教师根据PBL教学法已经编写出适用于高职学生的计算机审计教材,并且准备在本学年使用一版后,再做修改,并在明年正式出版。
一、引言
随着信息技术的快速发展,云计算的出现,对于各行各业产生了影响。云计算技术以其高可靠性、便捷性和低成本获得更多用户的青睐。审计行业,作为独立性监督活动,依赖于信息技术发展,也必然受到云计算技术的影响。因此,研究云计算技术对于审计的影响是十分必要的。本文结合云计算技术给审计带来的变革,提出云审计存在的风险并给出相对应的解决对策。
二、云计算定义及服务模式
云计算的概念产生于2006年8月9日的搜索引擎大会上,由Google首席执行官Eric Schmidt提出。随后Google与IBM在美国校园推广云计算计划,以降低分布式计算技术的研究成本和给予提供相关硬件设备和开放源代码平台的软件技术支持。云计算的应用范围影响力逐渐扩大,前景巨大。
全世界对于云计算技术的定义很多,最权威的定义是美国国家标准与技术研究院提出的:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算具有超大规模,Google已拥有具有数百万台服务器,将计算能力分布于分布式服务器之上。而用户不再受到地理限制,在拥有互联网的情况下随时随地获取便捷服务。云计算具有超大的计算资源共享池,提供按需服务,用户不再需要自行配置硬件设备降低成本。当然,云计算技术的产生,带来快捷方便的同时,也会带来风险。
云计算的服务模式分为三层:基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。基础设施即服务(IaaS)处于三层架构的最底层,包含云存储技术和虚拟化技术。企业使用终端远程访问“云”的计算资源,获取计算能力。企业只需按需付费,不需要配备与计算能力相关的硬件设备和维护人员,可有效节约成本。平台即服务(PaaS)处于架构的中层,将软件研发平台作为一种服务。云服务商开放平台,用户可以在平台上定制开发适用于自身需求的个性化软件。软件即服务(SaaS),处于架构的顶层,用户无需在电脑上安装软件,只需通过互联网访问云平台获取软件。
三、审计信息化发展历程
审计信息化经历了从审计人员进驻被审计单位进行现场审计到通过互联网获得被审计单位实时数据的联网审计到信息变革带来的云审计方式。传统的审计方式是审计人员进驻被审计单位,通过现场采集数据的方式通过u盘拷取被审计单位的经营管理数据,然后通过计算机辅助审计的方式分析数据。传统的审计方式具有地域限制和审计人员工作效率不高的缺点。审计人员进驻被审计单位,使审计的成本较高,并且具有地域限制。审计人员大部分时间花费在收集数据上面而不是在分析审计数据上面,效率较低。传统的审计方式是单一的事后审计。联网审计将事后审计转变为事中、事后的动态审计模式。联网审计是通过互联网将审计单位和被审计单位相连,被审计单位的数据通过互联网实时传输数据到审计单位的数据库服务器中,并在数据库中存储电子数据。审计单位可随时调取数据库中的电子数据供审计人员审计分析。联网审计方式由静态审计方式转变为动态审计,使审计人员工作效率变高,数据信息完整全面,数据库存储的信息量与现场审计相比较大,突破了地域限制缺点。随着信息技术的快速发展,云计算环境下影响审计方式并给审计带来了变革。云审计,审计与云计算相结合,以降低运行成本、提高审计分析速度、满足海量数据存储等的优势成为审计信息化发展的必然趋势。政府加大信息化建设同时为云审计模式提供了机遇。云审计虽然有诸多优势,但是,其带来对审计的变革也存在许多风险,如:数据安全问题、云服务商选择问题、没有适用于云审计的法律法规、审计证据隐蔽性问题等。
四、云计算对审计产生的变革
(一)审计证据:纸质材料到电子数据
传统的审计方式是审计人员进驻被审计单位进行现场审计,而审计的数据都是以纸质材料呈现,包括财务报表等会计资料。从联网审计到云计算环境下的云审计,审计证据为电子数据。在联网审计阶段,审计数据由被审计单位通过互联网传输数据到审计单位并存储到数据库服务器中,使审计数据获得更加便捷有效。在云计算环境下,被审计单位的数据存储在“云”中,审计单位可以通过数据接口实时调取“云”中的数据。因为云计算具有计算资源共享池和云存储设备,使海量的结构化和非结构化数据存储于“云”中,数据并行处理具有较强的计算能力。
(二)审计方式:事后审计到事中、事后审计
传统的审计方式,审计人员获得数据具有滞后性。传统审计方式受到业务条件等许多限制,使审计活动与经济结构具有时差问题。然而,像金融等行业对于业务数据和风险控制要求“实时性”。云审计的出现,无疑是解决了这些行业实时性的要求。通过数据的实时获取,审计人员可以实时分析业务数据,并发现风险,对风险进行评估,编制审计计划。审计方式由传统的事后审计转变为事中、事后审计。
(三)审计模式:抽样审计到总体审计
传统审计方式的数据获取数量较少等诸多限制导致审计模式为抽样审计。抽样审计由局部推断总体,通过有限的数据评价被审计单位的风险。在云计算环境下,具有海量的数据存储技术和分布式计算技术解决了海量数据存储问题和数据处理问题。海量的数据存储便于审计人员对于被审计单位采用总体审计的模式,通过总体的视角更加细致、精确、有效发现舞弊行为,规避抽样审计的风险。审计人员利用数据挖掘技术、并行数据处理技术、海量存储技术等新型手段,从抽样审计到总体审计,提高审计效率、降低成本、规避风险。
五、云审计存在的风险
(一)数据存储安全性
在云计算环境下,被审计单位将数据存储在云平台的数据库服务器中,然而数据的存储、传输和处理都是由云服务商提供服务。如果云服务商出现经营不善而倒闭,那么存储在云服务器中的数据有可能出现丢失的现象。云服务商的内部人员如果恶意泄露数据或者黑客恶意攻击云服务器,有可能造成企业的损失。因此需要制定相关法律法规明确云服务商的责任。另外,云服务器如果遭受不可避免的自然灾害,如地震等,数据库服务器可能会损毁,数据丢失。因此,需要在数据库存储数据的同时进行数据备份以避免遭受损失。
(二)审计人员知识储备不充足
传统的审计人员只需要掌握审计的相关知识即可。然而云审计的出现,要求审计人员不但需要掌握审计知识,并且需要掌握一定的计算机知识。审计人员因为不掌握计算机知识而对于计算机操作生疏,不会运用软件对数据分析以提高工作效率。即掌握审计知识又掌握计算机知识的审计复合型人才在当今社会中是十分缺乏的。因此需要企业对于审计人员进行计算机基础知识培训以适应云审计带来的变革。
(三)审计标准和相关准则不适用
因为云审计的产生,审计标准与相关准则较传统的审计方式已经不适合于云审计方式。相关部门缺乏对云审计制定审计标准和相关准则。云审计标准是实施云审计的基本依据。制定规范化的云审计标准,有助于推动云审计规范和健康化发展,有利于明确审计单位、被审计单位和云服务商之间的责任。
(四)数据传输的身份认证问题
在云计算环境下,审计数据被存储于被审计单位的云数据库中。当审计单位需要调取数据时,需要访问云数据服务器,通过互联网传输到审计单位的数据库服务器或者审计单位云存储服务器中。在数据传输的过程中存在身份认证和数据加密的问题。如果不合法身份者通过云平台接口访问了被审计单位数据,那么被审计单位的数据泄露可能性将会加大。在数据传输的过程中,需要对传输的数据加密,以防止黑客通过不当手段截取数据。
六、解决对策
(一)数据防御系统及灾难恢复
建立有效的数据防御系统机制有助于云服务器抵抗黑客的入侵盗取数据。对于云服务商,应注重硬件设备维护,采用专职技术人员实时观测云平台,以免黑客侵入。建立有效的应对机制,对于数据采取加密技术,以免黑客获取数据。另外,对于不可避免的自然灾害,企业应采取有效措施保障数据安全以免丢失,在数据库中对于数据及时备份,建立日志文件,在灾难后对数据恢复,保障数据安全性。
(一)复合型审计人才培养
随着计算机技术的快速发展,云计算的产生,审计人员也应迎合云计算产生所带来的变化。传统的审计人员对于计算机技术掌握不够熟练,以至于面对云审计而手足无措,无法有效利用云计算技术分析数据,识别风险。因此,审计单位在招聘审计人员时,应将计算机技术同审计知识一同考核。对于已入职的人员应定期对审计人员培训并考核,培养复合型审计人员。
(二)由政府部门牵头制定相关准则和选择云服务商构建云平台
云服务商的选择,不仅涉及对于审计单位和被审计提供的服务,而且还涉及数据安全性问题。审计单位或者被审计单位将数据存储于云服务商的数据库之中,数据安全性对于企业至关重要。若机密数据泄露,必然对企业产生危害。因此,需要政府部门牵头制定审计准则和法律规范,明确审计单位、被审计单位和云服务商之间的责任。并且,需要政府与高校和云服务商合作,共同构建云平台,以便保证云计算环境下云审计规范化发展。
(三)身份认证及数据加密技术
在数据的访问和传输过程中,涉及用户的身份认证和传输中的数据加密技术以保证数据的安全性和完整性。对于用户访问云平台,需要对用户进行身份认证以保证其合法性。因为,在云端存储的数据库不是私有云,而是公共云,多家单位会共享一个数据库。那么就涉及用户的权限问题。不同的用户访问的数据不同,因此需要身份认证以保持数据的安全性。在数据传输过程中,数据如果不加密若被黑客窃取则会造成数据泄露。因此在传输过程中,云平台应对数据加密,当传输到客户端的时候采用相应的密钥解密。(作者单位:陕西师范大学国际商学院)
参考文献:
[1] 陈伟 Wally Smieliauskas.云计算环境下的联网审计实现方法探析[J].审计研究,2012(03):37-44.
[2] 秦荣生.云计算的发展及其对会计、审计的挑战[J].当代财经,2013(01):111-117.
[3] 牛艳芳 薛岩 孟祥雨.云计算环境下的审计业务模式变革研究[J].南京审计学院学报,2014(04):95-103.
[4] 秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014(06):23-28.