计算机审计技术应用初探,本文主要内容关键词为:计算机论文,技术论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、计算机审计的涵义及工作流程
(一)计算机审计的涵义。对计算机审计的涵义做这样的概括,是从信息化条件下《审计法》赋予审计人员的职责和任务考虑的。它明确了两点:一是审计被审计对象的计算机信息系统;二是审计被审计对象的电子数据。审系统是为了保证数据的真实性和完整性,审数据是为了证实被审计对象在财政收支、财务收支管理过程中,其行为的合规合法性。因此,审系统是手段,审数据、验证其合规合法性是目的。针对信息化条件下审计行业出现的这一新情况新工作,其称谓多种多样:计算机辅助审计、计算机数据审计、计算机系统审计、计算机审计等等。总之,其内涵和外延都还需要审计理论工作者和实务工作者进一步研究。
(二)计算机审计工作流程。计算机审计的直接对象是被审计对象的内部控制系统和电子数据。就计算机审计工作过程而言,国内审计行业有些学者将其划分为七个环节或工作步骤。七个工作步骤是:审前调查,数据采集,数据清理、转换、验证,创建中间表,数据分析,选择重点和延伸查证。从审计业务管理和审计成本控制的角度考虑,将这七个工作步骤分别划分和纳入审计工作流程的三个阶段,即准备阶段、实施阶段、完成阶段,以便计算机审计工作有关问题的研究和讨论。
二、计算机审计工作实现
(一)审前准备阶段的工作实现。审前准备阶级的工作包括审前调查、数据采集、数据清理、数据转换和数据验证。
1.审前调查。审前调查应以审计目的为依据,在传统审计调查内容的基础上,采用现场观察、询问和调查表等方法,应重点掌握被审计单位计算机系统在其财政收支、财务收支管理过程中分布、应用的总体情况。内容包括软硬件系统、应用系统开发和有关技术文档情况,系统管理员配置、应用系统主要功能及其各类数据库(表)之间的关联情况等;依据这些情况,审计工作人员可以选择适当的审计软件与之对接,避免拟用审计软件无法对接的被动局面,为采集数据创造条件。
2.数据采集。数据采集是开展计算机审计的前提和最基础性的工作,它是指:审计人员在进行计算机审计时,按照审计需求对被审计单位信息系统中各类数据文件下载和收集的行为。数据采集的实现方式,应根据被审计单位信息系统的具体情况而定,从目前被审计单位计算机应用系统使用现状来看,大体分为三种情况:
(1)直接拷贝和直接读取。在被审计单位信息系统中的数据库系统与审计软件使用的数据库系统相同,或虽不相同,但审计软件的数据库接口模版目录中,有被审计单位信息系统数据库接口模版的情况下,可采用直接拷贝和直接读取的方法进行采集。审计署金审工程《现场审计实施系统》(审计AO)2008版数据库接口模版较为全面,对一般的财政收支、财务收支审计项目而言,AO 2008版审计软件基本上可以满足审计工作的需要。
审计人员常用的审计软件如无法直接访问被审计单位的数据库系统,可用DBMS(Database Management System,数据库管理系统)访问被审计单位数据库。由于不同的DBMS所采用的数据库引擎不同,访问能力的大小和访问数据库的类型各有所区别,审计人员可根据被审计单位的具体情况灵活掌握。常见的大型数据库有Oracle、DB2、Sybase、Informnix、SQL server等;小型数据库有Access、FoxPro、Dbase等。审计工作中大量使用的是SQL server和Access,特别是SQL server系列的数据库管理系统软件,其提供了支持不同数据源之间数据传输的数据转移服务工具DTS(Data Transformation Service)以及操作关系数据库的通用语言SQL(Structured Query Language,结构化查询语言),查询功能非常强大,特别适合审计人员使用。学习和掌握SQL server数据库应用知识,应作为审计人员的必修课程(已列入我省计算机审计中级培训计划)。有些小型的审计项目可使用Access,也可使用Excel直接访问被审计单位的数据库进行数据采集。
(2)文件传输。在数据采集的工作中,经常会遇到被审计单位数据库应用系统的特殊情况,审计人员手头又没有能使用的数据库管理系统软件,致使数据无法采集。在这种情况下,审计人员可与被审计单位约定,以文本文件的格式从被审计单位的数据库中导出数据,因为大多数DBMS都具有文本文件的导出、导入功能。文本文件传输也是审计人员采集数据应重点学习的技能之一,应该熟练掌握。随着技术的发展,XML(Extensible Markup Language,可扩展的标记的语言)逐渐成为一种新的数据交换格式和标准。文本文件传输数据的逻辑关系示意图如下:
文本文件传输数据的逻辑关系示意图
审计人员也可依据《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》(国办发[2001]88号)要求:“被审计单位的计算机信息系统应当具备符合国家标准或者行业标准的数据接口;已投入使用的计算机信息系统没有设置符合标准的数据接口的,被审计单位应将审计机关要求的数据转换成能够读取的格式输出”,要求被审计单位按规定提供。88号文件是审计机关开展计算机审计工作非常有用的政策依据,从近年来开展计算机审计工作的情况看,审计人员对88号文件精神掌握甚少,让被审计单位以种种理由进行搪塞和阻挠,使数据采集工作不能按期进行。审计人员应当认真的学习88号文件,在计算机审计工作中贯彻落实好其精神,保障计算机审计工作顺利进行。
(3)使用数据库连接件ODBC。ODBC(Open Database Connectivity,开放数据库互联)在异构数据库服务器构成的C/S(客户机/服务器)结构中,只要被审计单位使用的数据库管理系统支持ODBC,都可以实现互连。诸如从Oracle、DB2、Sybase、Informix等大型数据库采集数据时,使用ODBC是一种方便可行的方法。
不论采用何种采集方法,审计组应当向被审计单位发送书面的审计数据需求说明书,写清数据采集的系统名称、数据内容、数据格式、时限要求和双方责任等,明确告诉被审计单位应提供的信息和资料,避免只进行口头说明可能引起的需求不明而延误工作。同时,应给被审计单位采集数据留出适当的时间,时间长短可根据应提供资料的多少和数据量的大小确定。
上述三种采集数据的方式,审计人员可结合具体的审计项目,针对被审计单位计算机信息系统数据管理的实际情况,选择适合的方式。
3.数据清理、转换、验证
(1)数据清理。在计算机审计项目中,审计人员通过数据采集获得的电子数据通常种类繁杂,存在大量冗余数据,数据质量不高,这些问题的存在将直接影响后续审计工作所得出的审计结论的准确性。因此检查、控制和分析原始数据的质量,筛选有质量问题的数据,为后续的审计数据分析服务审计人员必须对从被审计单位获得的原始数据电子数据进行清理。首先对获得的原始数据质量进行评价,然后有重点、有针对性的对数据进行清理。
那么数据清理有哪些方法?简单的说凡是有助于提高数据质量的措施都是数据清理的方法。如更正错误值、替换空值、消除重复值、删除冗余数据、解决数据冲突等。
具体问题具体解决,在确定了数据清理的方法后,审计人员需要通过技术手段实现数据清理。此类工具较多,如、Excel,它可以直观的进行插入、删除字段或记录的数据清理工作,通常在数据量较小、数值大量缺失和被审计单位提供的数据本身就是Excel的情况下经常使用;SQL语言多用于数据采集来源众多、数据清理的质量问题具有一定规律性的情况;AO2008版审计软件也提供了数据清理的部分功能,审计人员可以选择使用。以上技术手段既可同时使用,又可交叉使用,审计人员应根据具体情况,灵活运用。
(2)数据转换。数据转换技术是将具有相同或相近含义的各种不同形式的数据,转换成审计软件所需的数据。解决被审计单位不同类型数据库数据格式和原始数据含义识别的问题,明确表与表、字段与字段的含义及其内在的逻辑关系。
数据转换的实现方法是多种多样的。常见的数据库管理系统、数据仓库工具、通用审计软件、Excel、SQL语言、AO2008版审计软件等都可以作为数据转换的工具。具体采用什么方式或工具,主要根据审计目的、被审计单位数据结构和格式、审计软件对数据接口的要求而定。
(3)数据验证。数据验证在计算机审计项目中起着至关重要的作用,审计人员在项目进行中应不断对数据进行验证,从而确认电子数据的真实性、完整性和正确性。根据计算机审计项目流程,数据验证在审计项目不同阶段检查的重点不同。数据采集期间主要核查被审计单位提供资料的真实性和完整性,保证数据采集工作准确有效的进行。可采用核对总数、重号验证、断号检查等方法实现数据验证。
数据清理期间主要对清理后的数据进行效验,确认清理工作没有对数据的完整性、真实性、可靠性造成影响。可采用统计和查看等方法进行数据验证。数据转换期间主要对数据转换工作中进行的每一步转换操作进行数据验证,因为不论哪步转换操作都可能影响到数据的真实完整性。可采用核对总数、逻辑关系验证、数据结构确认等方法完成数据验证。
数据验证的方法很多,审计人员可以根据具体情况灵活掌握,正确使用。一般可以通过以下几种方法实现:主要变量核对法,记录数验证法,业务规则验证法,数数据结构确认法。
(二)审计实施阶段的工作实现。审计实施阶段的工作包括创建审计中间表,数据分析,选择重点和延伸查证。
1.创建审计中间表。审计中间表是通过对清理、转换后的基础数据按照审计目的进行“加工”,从基础数据中选择出审计所需要的数据,构成能适用于审计分析的数据表。
创建审计中间表,首先应做好基础数据备份,防止因操作失误或意外事件导致数据丢失。然后对数据表中所需字段进行初步筛选,保留与审计目的相关的字段。最后对选取字段进行整合,完成表与表的联接形成满足审计需求、适合审计分析的“中间表”。创建的中间表成功与否,很大程度依赖与审计人员对被审计业务的掌握、了解,以及审计经验、计算机技术等方面的知识。
2.数据分析。在对电子数据分析的过程中,首先应进行总体分析。如进行账表核对,以及指标分析等,掌握被审计单位的总体情况、寻找薄弱环节、确定审计重点。在对具体数据分析中,审计人员应根据相关的业务处理逻辑、业务数据的钩稽关系、法律法规的规定或审计经验等,建立审计分析模型和审计分析性“中间表”,再通过应用软件、SQL语句、编写小程序对数据进行复算、检查、核对或判断等操作,找出审计线索,收集审计证据。数据分析所采用的方法有以下几种:
(1)核对:将具有内在联系的数据,按照逻辑关系进行相互核对,达到验证被审计单位业务处理是否正确,有无人为违纪违规调整等目的。
(2)检查:按照政策或法律规定,对业务数据进行检查,达到判断被审计单位业务处理是否合法的目的。
(3)复算:对某一类业务数据,按照与被审计单位相同或相似的方法进行重新计算,实现验证被审计单位提供数据是否真实,业务处理是否正确的目的。
(4)判断:根据审计人员经验,分析业务数据的某些特征,再根据这些特征对可能是疑点问题的情况给出一个参考性判断,达到搜集审计线索的目的。
在实际的数据分析过程中,审计人员应根据不同情况,有针对性的选择这些不同的分析方法或综合运用,实现数据分析的目的。
3.选择重点和延伸查证。通过数据分析的结果,发现了被审计单位存在问题的线索,审计人员应该对这些线索进行综合评估和仔细分析,抓住重点,找出薄弱环节,对重大问题线索应该仔细论证和延伸审计。在可能的情况下,最好应先将查询分析的明细结果交予被审计单位征求意见,被审计单位认定的结果确定后,便可将分析结果具体化以纸质资料的形式,交由被审计单位签章确认,作为审计取证资料。同时在编制审计工作底稿时,应将数据分析的过程、使用数据的情况和查出问题的线索进行详细记录,以便反映审计的详细实施过程和审计人员对数据分析及对分析结果的判断,方便审计人员建立审计分析模型。
(三)审计完成阶段的工作实现。审计完成阶段也叫做报告阶段。它是计算机审计工作的总结阶段。总结阶段的目的有两方面:一是要把计算机审计工作中查出的问题进行分类、归纳、整理和分清主次。对重要问题要进一步核实,材料要齐全,证据要充分。二是通过总结,找出工作中的成绩、经验和教训,以便发扬成绩,克服缺点,使今后的计算机审计工作做的更好。在审计完成阶段,要撰写出计算机审计报告,做出审计结论,提出处理、改进意见等。
1.整理审计工作底稿。在进入完成阶段,审计人员要先将计算机审计中形成的审计工作底稿(包括各种记录、资料、证据)进行整理分类。
2.撰写审计报告。计算机审计报告是对计算机审计工作的总结,是计算机审计人员表明意见的书面文件,对改善计算机审计工作具有重要意义。审计工作结束后,编写审计工作报告。
(四)运用计算机技术发现审计线索。通过近几年我省计算机审计工作的大力开展,在多次的接触审计业务后,计算机人员不断加强对审计业务和被审计单位数据的了解,积累了大量实践经验,已经能够对大型数据库数据进行审计,在计算机领域取得了新的突破。
陕西省审计厅在对征稽局业务系统审计的过程中,我们利用了Toadfor Oracle 8.5.1软件中的sql语句与函数,构造多种算法,对全省养路费征稽业务数据进行了筛查分析。对全省养路费的实征、少征金额进行了精确统计,征稽管理的一些特征性数据进行了排查统计。通过数据统计分析,找出了养路费征稽管理上存在的问题。
陕西省审计厅在对全省电力系统审计过程中,全面应用《现场审计实施系统》(AO),对电力公司总公司、十一个地市电力局进行审计。在《现场审计实施系统》(AO)对电力系统应用财务管理软件没有对应数据接口的情况下,通过对财务软件数据库数据分析,手工做出数据接口,生成审计人员习惯查看的财务账。实践证明,以上所论述的计算机技术方法的应用是切实可行的。
三、需要重点思考的几个的问题
(一)审计准备阶段的时间安排问题。目前,实际工作中对计算机准备阶段的时间安排,仍采用传统审计的思维方式来安排,这显然是不适当的。往往出现审计组进点以后才开始开展审前准备阶段的审前调查、数据采集、数据清理、数据转换和数据验证等工作的现象,占用了审计组大量的审计期间时限的时间,造成审计组忙于应付,该深入分析的重要线索和问题,深入不下去;同时也相对增大了审计成本。审计准备阶段的时间安排问题,应作为专题进行研究和探讨。
研究和探讨工作可参照广州特派办,审计“广东省佛山市民营企业主冯明昌利用其控制的13家关联企业,编造虚假财务报表,与银行内部人员串通,累计从工商银行南海支行取得74亿元贷款”等计算机审计的成功案例。该办进行的这个审计项目,审前准备阶段的时限达数月时间,进入审计现场只用了两个星期左右的时间。审计工作效率和质量高,审计成本低。像这类案例很多,我们应该借鉴和总结这方面的经验,研究和制定我省计算机审计准备阶段的时限管理办法。
(二)审计组人员的组成问题。一是集中优势兵力打歼灭战。结合我省开展计算机审计的工作人员少的实际情况,针对有些被审计单位数据相对集中、数据量大的项目,将具备计算机审计能力的审计人员相对集中,组成计算机审计组,按照计算机审计的正常工作方式,摸索和总结我省开展计算机审计的工作经验,探讨和掌握计算机审计质量和成本控制办法。二是摸索审计组人员调配新模式。为了减少审计组前后审计项目之间人力资源的浪费,在审计组人员的安排上,可采用“二四二工作模式”,即如果一个审计组四个人的情况下,在审计实施阶段,四个人同时开展工作进入审计项目的完成阶段,就可抽出两个人开展下一个审计项目前准备阶段的工作,留下两个人继续进行审计完成阶段汇总审计成果、撰写审计报告等任务。这个问题应纳入计算机审计项目组织和管理者的视野之中,加以研究。
(三)被审计单位信息资料库建设问题。信息化条件下,审计信息资源共享是提高审计工作效率和质量的重要内容之一。建立和完善被审计单位信息资料库,是目前开展计算机审计工作急需要解决的问题。一要明确负责这项工作的承办机构或部门;二要动员所有审计业务处(科)和相关综合处(科)室的工作人员共同参与。这个问题的解决,首先应引起领导决策层重视。
标签:国务院关于加强审计工作的意见论文; 大数据论文; 审计软件论文; 数据库审计论文; 审计质量论文; 审计目的论文; 审计流程论文; 项目分析论文; 数据分析论文; 数据转换论文; 数据库论文;