论电子审计证据可靠性,本文主要内容关键词为:可靠性论文,证据论文,电子论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
A 电子审计证据的特点
电子审计证据(以下简称电子证据)是注册会计师在执行审计业务过程中,为形成审计意见所获取的保存电子记录的计算机文件证据,这些证据以电子、光学、磁等介质为载体,表现为文本、图像、声音、视频等形式,有两个不同于书面证据的显著特点:
一是电子证据的内容与载体是可以分离的,电子证据的内容在磁盘、光盘、磁带等不同载体中复制并不影响其完整性和真实性,这就使得区分电子证据的原件和复制件比较困难,而书面证据的载体与内容是不可分割统一体,区别原件和复制件比较容易。
二是书面证据任何擦、挖、刮、补等更改记录都将完整地反映在纸质载体上,容易识别和发现;而电子证据可以几乎不留任何痕迹地改动,同时由于电子证据中的记录是以二进制代码存贮的,人们无法直接理解这些信息,只有通过应用程序处理后才能转化为人们所能识别或理解的信息,因此,鉴别电子证据的真实性和完整性也比较困难。
此外,电子证据的形成过程受人、环境以及机器本身等一系列因素的影响,容易出差错。因此,电子证据本身的可靠性是注册会计师取证必须首先要解决的问题。
B 电子证据形式上可靠性的确定
只有在被审计单位信息系统中的电子记录本身是可靠、完整的基础上,注册会计师采用正确的方法从信息系统中提取的电子记录形成的电子证据本身才具有可靠性。因此,电子证据本身的可靠性包括被审计单位电子记录本身的完整、可靠性以及注册会计师从被审计单位信息系统中提取电子记录作为证据使用过程的可靠性两部分内容。
(一)注册会计师可以确保提取电子记录作为证据使用整个过程中的可靠性
通常,注册会计师将被审计单位的电子记录以计算机文件形式提取出来作为证据使用时,可以采用照相、摄像等方式记录提取电子记录的过程直接证明其提取方法的可靠性,也可通过数字签名以及专用的软件等技术手段确保从被审计单位信息系统中提出的电子记录完整性,从而间接证明提取方法的可靠性。因此,对从被审计单位计算机信息系统中提取电子记录过程的可靠性,注册会计师是可以采取有效措施予以保证的。
(二)注册会计师需采用多种方法来确定电子记录本身的可靠性
电子记录本身的可靠性则是指电子记录在生成、传递、处理、存贮和输出整个生命周期中,完整、可靠地保存了电子记录最终形成时的内容。
1、电子记录的完整性
电子记录的完整性涉及电子记录本身的完整性和电子记录依赖的计算机信息系统的完整性两个方面:
(1)电子记录本身的完整性包括电子记录形式上完整性和内容上完整性。形式上的完整性是指电子记录必须保持形成之时的原状,包括格式调整在内的任何更改都将视为完整性受到损害;电子记录内容上的完整性是指电子记录自形成之时起,其内容保持完整、未遭到关键性的更改,电子记录在交换、储存和显示过程中发生的形式变化并不影响电子记录内容上的完整性。通常电子记录形式上的完整性可由应用软件、数据库或其他第三方机构等对应用系统输出的数据采用数字签名、加密等技术手段来保证,而电子记录内容的完整性测试可纳入应用控制和符合性测试环节中进行。
(2)计算机信息系统的完整性涉及三个方面:一是信息系统应处于正常的运行状态,如果系统曾处于不正常状态,则对电子记录的完整性构成了影响;二是在正常运行状态下,信息系统对业务活动有数据电文信息、附属信息和系统环境信息的完整记录。其中数据电文信息反映企业经营活动过程中具体的业务内容信息;附属信息是指在数据电文信息生成、存储、修改、增删等过程中系统自动形成的、有助于确定数据电文信息的安全、完整和可靠性的电子记录;系统环境信息指有助于人们从整体上把握信息系统的构成的信息系统的硬件和软件环境等方面的相关信息。附属信息和系统环境信息作为数据电文信息的旁证,并不能直接证明注册会计师所关注的事实,但许多旁证结合起来,也能够形成足够的证明力,因此,注册会计师应同时收集数据电文信息以及相应的附属信息和系统环境信息;三是电子记录必须在业务活动的当时或即后制作,专为某项目的如诉讼或审计而制作的电子记录无法保证其完整性。注册会计师对信息系统完整性的认定主要是在管理当局自认的基础上,通过检查操作系统、数据库、应用软件中的日志文件等来进行。
2、电子记录形式上的可靠性
电子记录本身的可靠性是被审计单位管理环境、系统硬件、软件、操作人员、安全控制等这些不断发展变化的因素共同作用的结果,因而注册会计师通过获取审计证据直接认定电子记录本身的可靠性是不现实的,因此,注册会计师需采用当事人自认、技术手段、推定等多种方法间接确定电子记录形式上的可靠性。
(1)当事人自认是指被审计单位以书面声明的方式对电子记录可靠性的自认
根据我国《最高人民法院关于行政诉讼证据若干问题的规定》第六十四条的规定:“以有形载体固定或者显示的电子数据交换、电子邮件以及其他数据资料,其制作情况和真实性经对方当事人确认,或者以公证等其他有效方式予以证明的,与原件具有同等的证明效力”,由此可见,取得管理当局对包括电子记录在内的信息系统可靠、完整性的自认是注册会计师在信息系统环境下审计必不可少的审计步骤。但注册会计师审计活动中的当事人不仅包括被审计单位,还包括会计报告的潜在使用者,要这些潜在的当事人对一个他们根本不熟悉的信息系统进行可靠性和完整性进行自认显然是不现实的。此外,取得当事人对电子记录可靠性的自认也不能减轻或免除注册会计师并一步获取审计证据证实电子记录可靠性的责任。因此,采用当事人自认的办法从审计的角度而言是有缺憾的。
(2)技术手段是指通过数据签名、电子认证等方法来确定电子记录的可靠性
我国的电子签名法已于2005年4月开始施行,通过包括电子签名在内的技术手段有望成为注册会计师今后确定电子记录的可靠性的主要方法。
(3)推定是用系统的可靠性来代替电子记录的可靠性
新加坡1998电子交易法中将符合四个条件的硬件、软件和程序定义为“可信任系统”就采用了推定法。推定法认为可靠的信息系统输出的电子记录也具有可靠性。信息系统的可靠性通常是通过一般控制和应用控制测试来确定的。注册会计师应关注的关键控制点如下:
A、企业应设立独立的信息系统管理部门来管理信息系统。信息系统管理部门应独立于业务处理部门,信息系统管理部门对信息系统的安全、完整、可靠的运行负责;业务部门对利用信息系统处理的业务活动本身的过程和结果负责。
B、为减少利用信息系统舞弊的可能性,开发、应用和维护等信息系统中关键的不相容职责必须有效分离。
C、在信息系统的立项、系统分析、系统设计、软件编程、软件测试、项目实施与试运行、日常运行(应用)、维护管理等整个生命周期中(对选购系统软件的单位而言,系统设计、软件编程、软件测试由系统选型替代),企业对信息系统生命周期中的不同阶段应制订相应的内部控制措施。注册会计师主要应关注日常运行和维护管理两个方面的有效性。
C 电子证据内容可靠性的确定
电子证据形式上的可靠性并不能保证其内容的可靠性,电子证据与所要反映的事实是否一致,有没有重大差错或错误,注册会计师还需要将应用控制测试、符合性测试和实质性测试有机结合在一起才能确定。
1、应用系统与业务过程的协调程度是电子记录反映业务内容具有可靠性的基础,因此,应用控制测试应纳入符合性测试环节同步进行
在信息系统环境中,应用系统作为企业生产经营过程的仿真系统,其与企业实际业务活动的协调程度决定了电子记录反映业务事实的可靠程度。通常情况下,注册会计师对业务活动和应用系统的分析评价是分开独立进行的,即采用符合性测试评价业务过程,采用应用控制测试评价应用系统,由于分开测试无法提供应用系统与实际业务是否一致的相关证据,因此,即便实际业务循环控制和信息系统的应用控制都是有效的,注册会计师仍无法确定电子记录的内容是否真实、客观、完整地反映了实际的业务流程情况。这就要求注册会计师将信息系统的分析和评价纳入到业务过程的符合性测试环节一并进行,并将应用系统与业务流程的相互协调程度纳入符合性测试的目标,以确定电子记录内容的可靠性。
2、实质性测试主要考虑符合性测试结果
事实上,许多信息系统根本没有明确的控制措施(含一般控制和应用控制)仍在企业经营过程中发挥重要作用,因此不能仅仅因为信息系统一般控制和应用控制不可靠就认为电子证据是不可靠的。如果信息系统一般控制和应用控制不可靠,则需要增加电子记录数据可靠性的实质测试工作,测试程序包括:
(1)证实计算机处理的数据具有独立的来源。当不同来源间的证据能够互相印证时,会明显增强电子证据的证明力。企业应用信息系统的层次不同,数据的来源渠道也不一致,对财务部门未与销售、生产、供应等应用系统集成的,则注册会计师从任何业务部门取得的数据对会计系统而言都是独立的数据来源;对财务系统已与关键的业务流程已经集成的情形,则需要采用更多的企业外部资料如销售合同、购货合同等来确定数据的可靠性。
(2)将电子记录与信息系统外的其他原始交易或记录的数据进行比较,如与手工会计凭证、发票、送货单、合同等原始单据和盘点表进行比较等,当计算机内的数据与机外的其他记录数据能够互相印证时,则计算机的数据具有可靠性。
(3)对一般控制和应用控制测试的程序和结果进行复查,并通过应用程序处理测试业务。尽管现在对并行审计技术的研究已经到了可以实用化的地步,但软件生产厂商对该技术的不熟悉和客户对审计软件的担忧使注册会计师目前还无法通过应用程序来处理测试业务。注册会计师对应用控制的测试还需利用计算机绕过系统进行测试。
3、内部控制对信息技术的依赖要求注册会计师的审计方式也要作出相应的调整
信息系统环境中,业务活动过程置于信息系统的控制和监督之下,因此,信息技术的不断发展变化可能危及信息系统对业务活动控制和监督的有效性,企业必须针对信息技术的发展变化不断地改进或调整信息系统以维持其有效性,这使注册会计师仅仅在年终审计时才对内部控制进行事后分析和评价的做法不再妥当。信息技术的不断发展变化要求注册会计师在审计方式上也要作出适当的调整,如采取动态审计和静态审计相结合,平时的远程审计和年终的现场审计相结合的多种审计方式来开展管理信息系统环境下的审计工作,当然引入风险基础审计模式来开展信息系统环境下的审计也是十分必要的。
D 结语
电子证据具有内容与载体的分离、更改的不易觉察性要求注册会计师必须首先要确定电子证据本身在形式上是可靠的,其次才考虑其内容的可靠性问题。电子证据本身形式上的可靠性是由电子记录的完整、可靠性以及注册会计师可以有效控制的提取电子记录方法的可靠性来决定的,其中电子记录的完整、可靠性可采用当事人自认、技术手段、推定以及鉴定等多种方法来评价;而电子证据内容上的可靠性是注册会计师通过将应用控制、符合性测试和实质性测试有机结合起来确定。
标签:注册会计师论文; 审计证据论文; 电子证据论文; 审计软件论文; 控制环境论文; 电子信息论文; 数据完整性论文; 会计与审计论文; 可靠性分析论文; 可靠性测试论文; 审计目标论文; 审计方法论文; 电子论文; 财会论文; 可靠性论文;