透视审计接口,本文主要内容关键词为:透视论文,接口论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
审计接口是计算机审计的一个瓶颈。加大力度,加快进度研究和开发审计接口,是推动中国计算机审计事业发展的一个重要问题。
什么是审计接口?简言之,审计接口是从被审计单位的信息系统向审计应用软件传送审计数据的规范和程序。在信息系统应用领域,接口是指在两个系统(或模块)间,信息交换的一个通道,这个通道包含两个方面的内容,一个是传送数据的格式和规范,一个是完成传送作业的程序。在系统内部的子系统之间(模块)互相传递信息多用参数或共享数据来完成,这种情况较为简单;在系统与系统之间传递信息的情况则较为复杂,往往需要开发专用的数据接口。
审计接口开发的重要性和迫切性
目前世界上信息技术的发展一日千里,我们国家的信息化进程也是迅猛发展,计算机的应用已进入到社会的各个行业和各个部门,正给我们的工作和生活带来深刻的变革。审计部门所面对的审计对象越来越多地采用计算机信息系统代替传统的手工作业和纸质账本,必须相应开发先进的计算机审计系统,帮助审计人员完成审计作业。
为实现计算机审计,就需要在被审计单位的信息系统与审计系统间建立起审计数据的传输通道——审计接口,通过审计接口获取审计数据是计算机审计实施时首先需要解决的问题,就如同手工审计时首先需要得到纸质单据、账本和报表。
由于被审计单位的信息系统纷繁复杂,采用的数据库系统种类繁多,开发面向不同对象信息系统的审计接口,成为一个十分重要而又繁重的任务,迫切需要马上开始,有计划、有步骤地针对重要部门、重要行业的信息系统的审计要求开发审计接口。
审计接口的实现形式
被审计单位信息系统和审计应用系统间的审计接口,根据具体情况,主要有两种实现形式:
1.被审计单位信息系统和审计应用系统两者间采用数据库连接件(如ODBC)通过计算机网络直接相连,审计系统通过这一直接连接的审计接口,根据审计要求,在被审计单位信息系统的数据库中读取规定时间段、规定范围内的审计数据。为保证被审计单位信息系统的正常运行,审计系统通过审计接口只具有读取数据的权限,而没有增删修改数据的权限。这种方式的示意图如下(图一):
采用数据库连接件实现审计接口的实现方式,其复杂程度视不同情况而定。如果被审计单位信息系统采用单机数据库系统,如Access 、FoxPro、Foxbase、dBASE、Paradox、Excel或文本文件等,审计系统可采用ODBC数据库连接件直接访问这些数据库,审计接口的工作主要是规定读取数据的范围和时间段,相对较为简单。如果被审计单位信息系统采用大型数据库系统,如Oracle、Sybase、DB2、informix、RDB、MSSOL Server等,审计系统也可采用ODBC或其他专用数据库连接件(如Oracle SQL * NET、"Sybqse Open Client )通过计算机网络与这些数据库系统建立起联系,选用合适的数据库连接件并安装配置连通完成。这种情况往往需要较高的计算机专业技术素质和能力,因此成为这种方式下构造审计接口的主要工作和难点,这就需要被审计单位在技术上的密切配合。基于以上原因,这种方式在实际操作时必须量力而行。
2.被审计单位信息系统和审计应用系统两者间采用交换文件传输数据。双方首先约定要通过交换文件传输的数据的内容、格式和规范,然后在被审单位信息系统中开发数据文件的前处理器,前处理器从信息系统的数据库中读取审计数据,转换成交换数据文件;在审计系统中要开发数据文件的后处理器,后处理器读取交换文件中的数据,把它们转换到审计系统的数据库中。在这种方式下审计接口的工作主要包括交换文件内容、格式、规范的确定和前后处理器的开发,交换文件一般采用文本文件。这种方式一般针对被审计单位信息系统采用大型数据库系统,使用数据库连接件直接建立审计接口有困难。这种方式在技术上不存在较大难度,实际使用时也较为方便,因此目前会被大部分的计算机审计场合所采用。示意图如下(图二):
审计接口的开发、管理和使用策略
审计接口把审计数据从被审计单位信息系统传输到审计应用系统,必须保证经过一系列的传输后,审计系统得到的数据与信息系统中的原始数据是一致的,没有发生变异,这是审计接口的一个根本性要求。由于审计接口在计算机审计中的特殊作用、地位和要求,它的开发、管理和使用需要有相应的策略。
审计接口的开发需要被审计单位和审计部门双方共同参加,被审计单位向审计部门介绍信息系统中数据库的结构和内容,审计部门根据审计需求确定要提取的审计数据的范围,在商定提取数据的格式和规范后,确定审计接口的实现形式,然后由双方技术人员实现审计接口。一般由各自技术人员实现本方的接口部分,再进行连接集成。在编程实现后,要由双方共同进行确认测试,确认接口功能的正确性,确认数据经过传输没有发生变异,完成对接口开发工作的认定。由于被审计单位信息系统的纷繁复杂,这项工作必须要有被审计单位的配合。
审计接口开发完成后,需要进行规范化管理,不能随意更改,以免对认定的审计接口的功能及其一致性造成损害。如果由于被审计单位业务信息系统发生变化,或审计部门的审计需求需要调整,在双方对审计接口的修改达成一致意见后,进行修改工作,并对修改工作再做认定工作。
审计接口在使用时,首先由双方人员对要使用的审计接口进行核查,确认是否是认定过的审计接口,是否发生变更;然后在双方人员共同在场的情况下,由被审计单位人员操作被审计单位信息系统中的审计接口部分,由审计部门人员操作审计系统中的审计接口部分,完成数据采集工作,并对采集的数据的原始性进行确认。数据采集的时间、频度视审计需要而定,与审计接口的实现方式无关。
在一些审计场合,由于审计接口开发工作滞后,可以在审计部门人员监督下,由被审计单位技术人员当场编程,从系统中获取所需审计数据,转换成数据文件,交由审计应用系统读入进行审计。