談談計算機審計的基本方法

sallypeng 2007-02-13

展開全文

談談計算機審計的基本方法

榮浩

（一）系統(tǒng)開發(fā)的審計

在系統(tǒng)開發(fā)階段，審計人員既不負責業(yè)務把關，也不直接參與程序的編寫，他的責任在于保證系統(tǒng)的合法性、安全性及可審計性。在此階段，一般采用詢問、約談、調閱文檔、復核、抽查以及實地觀察等手工審計中經(jīng)常用到的一些審計技術，如復核系統(tǒng)的輸入輸出設計，看其是否包括適當?shù)膶徲嬀€索；抽查程序中的代碼設計，看其是否符合業(yè)務控制要求等。

（二）應用程序的審計

應用程序的審計方法可分手工審計和計算機輔助審計兩種方法。這里，我們介紹的是計算機輔助審計方法。

所謂計算機輔助審計方法，它是指審計人員利用計算機對被審程序進行審查，以確定其處理和控制功能是否可靠的一種方法。由于手工審計的方法，只有在肉眼可見的審計線索存在并且比較充分時才適用，而對大多數(shù)計算機系統(tǒng)，審計線索都存儲在磁性介質上；另外，由于手工審計方法沒有直接對系統(tǒng)實際運行的程序進行審查，審計結論的可靠性較差。因此，只有利用計算機對被審程序進行審查，才能得出正確可靠的結論。利用計算機輔助審計方法主要有：

1、檢測數(shù)據(jù)法。檢測數(shù)據(jù)法是指審計人員把一批預先設計好的檢測數(shù)據(jù)，利用被審程序加以處理，并把處理的結果與預期的結果作比較，以確定被審程序的控制與處理功能是否恰當有效的一種方法。

檢測數(shù)據(jù)法可用來審查系統(tǒng)的全部程序，也可用來審查個別程序，還可以用來審查某個程序中的某個或某幾個控制措施，以確定這些控制是否能發(fā)揮有效功能。檢測數(shù)據(jù)法一般適用于下列三種情況：

被審系統(tǒng)的關鍵控制建立在計算機程序中；被審系統(tǒng)的可見審計線索有缺陷，難以由輸入直接跟蹤到輸出；被審系統(tǒng)的程序較多，用檢測數(shù)據(jù)法比直接用手工方法進行審查更經(jīng)濟、效率更高。

應用檢測數(shù)據(jù)法對被審程序的處理和控制功能進行審查，選擇或設計合適的檢測數(shù)據(jù)是一個關鍵問題，檢測數(shù)據(jù)的來源一般有被審單位以往設計的檢測數(shù)據(jù)和由審計人員自行設計的檢測數(shù)據(jù)兩種，不管檢測數(shù)據(jù)的來源如何，檢測數(shù)據(jù)中應包括正常、有效的業(yè)務和不正常、無效的業(yè)務兩種情況。

檢測數(shù)據(jù)法屬于一種抽樣審計的方法，但它對審計人員的計算機知識和技能要求不高，適用范圍較廣，比較適用于較復雜的系統(tǒng)審計。

2、程序編碼比較法。程序編碼比較法是指比較兩個獨立保管的被審程序版本，以確定被審程序是否經(jīng)過了改變。審計人員要用由審計部門自己保管的，經(jīng)以前審查其處理和控制功能恰當?shù)谋粚彸绦蚋北九c被審單位現(xiàn)在使用的應用程序進行比較，可發(fā)現(xiàn)任何程序的改動，并評估這些改變帶來的后果。這種方法不僅適用于源程序編碼之間的比較，也可用于目標程序碼之間的比較。

3、受控處理法。受控處理法是指審計人員通過被審程序對實際業(yè)務的處理進行監(jiān)控，查明被審程序的處理和控制功能是否恰當有效的方法。采用這種方法，審計人員首先對輸入的數(shù)據(jù)進行查驗，并建立審計控制，然后親自處理或監(jiān)督處理這些數(shù)據(jù)，將處理的結果與預期結果加以比較分析，判別被審程序的處理與控制功能能否按設計要求起作用。例如，審計人員可通過檢查輸入錯誤的更正與重新提交的過程，判別被審程序輸入控制的有效性，通過檢查錯誤清單和處理打印結果來判別被審程序處理控制和功能的可靠性，通過核對輸出與輸入來判別輸出控制的可靠性。

受控處理法審計技術簡單、省時省力，不需要較高的計算機知識，只要采取突出審計的方式，就可以保證被審程序與實際使用程序的一致性，從而保證審計結論的可靠性。

4、受控再處理法。受控再處理法是指在被審單位正常業(yè)務處理以外的時間里，由審計人員親自進行或在審計人員的監(jiān)督下，把某一批處理過的業(yè)務進行再處理，比較兩次處理的結果，以確定被審程序有無被非法篡改，被審程序的處理和控制功能是否恰當有效。運用這種方法的前提是以前對此程序進行過審查，并證實它原來的處理和控制功能是恰當有效的。因此，這種方法不能用于對被審程序的首次審計。

5、平行模擬法。平行模擬法是指審計人員自己或請計算機專業(yè)人員編寫的具有和被審程序相同處理和控制功能的模擬程序，用這種程序處理當期的實際數(shù)據(jù)，把處理的結果與被審程序的處理結果進行比較，以評價被審程序的處理和控制功能是否可靠的一種方法。

運用這種方法，審計人員不一定要模擬被審程序的全部功能，也可只模擬被審程序的某一處理功能或控制功能。

采用平行模擬法的優(yōu)點在于，它能獨立地處理實際數(shù)據(jù)，不依賴于被審單位的人力和設備，審計結果較為準確。其主要缺點是開發(fā)模擬系統(tǒng)難度較大且成本較高。另外，審計人員首先要證明模擬程序的正確性。

6、嵌入審計程序法。嵌入審計程序法是指在被審系統(tǒng)的設計和開發(fā)階段，在被審的應用程序中嵌入為執(zhí)行特定的審計功能而審計的程序段，這些程序段可以用來收集審計人員感興趣的資料，并建立一個審計控制文件，用來存儲這些資料，審計人員通過這些資料的審核來確定被審程序的處理和控制功能的可靠性。

在實際操作中，審計程序段主要有兩種，一種是不經(jīng)常起作用的，只有審計人員在執(zhí)行特定的審計任務才激活的審計程序。另一種是在被審程序中連續(xù)監(jiān)控某些特定點上的處理的程序。當實際業(yè)務數(shù)據(jù)輸入被審系統(tǒng)，由被審程序對其進行處理時，審計程序也對數(shù)據(jù)進行檢查，如果符合某些條件，則將其記入審計控制文件中，審計人員可以定期或不定期地將審計控制文件輸出，以便對被審程序的處理和控制功能進行評價，或對系統(tǒng)處理的業(yè)務進行監(jiān)控。

嵌入審計程序法的優(yōu)點是在被審單位處理業(yè)務數(shù)據(jù)的同時獲取審計證據(jù)，它可以防止在數(shù)據(jù)處理后進行審核時難以確信被審程序是否有實際應用的程序的缺陷。另外，只要被審程序開始運行，審計程序段就處于監(jiān)督狀態(tài)，它可以彌補事后審計線索不充分的缺陷?？梢哉f這是一種最有效，也是一種最可靠的審計方法，但它需要在系統(tǒng)設計和開發(fā)階段就設計好審計專用的程序段，而正是這一點，在目前狀況下難以實現(xiàn)。同時，它還要求當系統(tǒng)修改時，審計程序段也要作相應的修改，審計程序段的安全性要求也更高。

7、程序追蹤法。程序追蹤法是一種對給定的業(yè)務，跟蹤被審程序處理步驟的審查技術，一般可由追蹤軟件來完成，也可利用某些高級語言或跟蹤指令跟蹤被審程序的處理。

采用這種方法可列示被審程序中的指令執(zhí)行情況以及執(zhí)行順序，它也可查出被審程序中的非法指令，但它對審計人員的計算機知識要求較高，在實際審計工作中應用并不普遍。

以上只是簡單地談了計算機應用審計中主要的幾種審計方法，當然，這些審計方法并不是孤立的，在實際中應用中它們需要相互補充。計算機應用審計的方法還有許多，具體采用什么方法，要針對計算機系統(tǒng)實際情況去選定。

（三）數(shù)據(jù)文件的審計

在計算機系統(tǒng)中，輸入的原始數(shù)據(jù)、處理的中間結果和最后的結果都是以數(shù)據(jù)文件的形式存儲在磁性介質或打印輸出在紙性賬面上。要對計算機系統(tǒng)輸出的真實性、正確性和合法性等進行評價，必須對數(shù)據(jù)文件進行審計。對紙性賬頁上的數(shù)據(jù)的審計同手工系統(tǒng)中對憑證、賬簿、報表的審計方法相同，對磁性介質上的數(shù)據(jù)文件的審計則要借助于計算機輔助審計，這里主要談談利用計算機輔助審計數(shù)據(jù)文件的方法。

1、利用審計軟件輔助審計。審計軟件是為了執(zhí)行一定的審計數(shù)據(jù)處理功能而設計的計算機程序。它可從被審的數(shù)據(jù)文件中抽取或選定某些數(shù)據(jù)，根據(jù)審計目的進行計算和處理，并按照審計人員的要求輸出審計信息。由于審計軟件可直接訪問被審系統(tǒng)的數(shù)據(jù)文件，因此，有助于審計人員對整個數(shù)據(jù)文件或經(jīng)選定的數(shù)據(jù)項目進行復核，可有效地執(zhí)行大量數(shù)據(jù)的驗算、重新分類及匯總等工作，并能詳細檢查數(shù)據(jù)文件的內(nèi)容，可按審計人員指定的標準查找記錄。此外，運用審計軟件輔助審計，還可以提高審計的效率，減少審計人員對被審單位數(shù)據(jù)處理人員的依賴，增強審計的獨立性。

利用審計軟件輔助審計數(shù)據(jù)文件一般用于下列幾種審計工作：（1）按審計人員的要求檢查數(shù)據(jù)。（2）測試及執(zhí)行計算，審計人員可運用審計軟件測試數(shù)據(jù)文件中有關數(shù)據(jù)計算的正確性，并進行分析，以評估被審系統(tǒng)中相應數(shù)據(jù)的正確性。（3）比較兩個不同數(shù)據(jù)文件中的相應數(shù)據(jù)。審計軟件可用于比較兩個不同數(shù)據(jù)文件內(nèi) 的相應記錄，以確定數(shù)據(jù)的一致性。（4）選擇并打印審計樣本。審計軟件可采用隨機抽樣或判斷抽樣等方法，從被審的數(shù)據(jù)文件中選擇所需的樣本。（5）匯總或重新組織數(shù)據(jù)，并執(zhí)行分析工作。

2、利用系統(tǒng)的子模塊輔助審計。由于完整的計算機系統(tǒng)一般都建有查詢、對賬、復核等子模塊，審計人員在對被審系統(tǒng)的數(shù)據(jù)文件進行審計時，也可利用這些子模塊完成一部分審計工作。在利用被審系統(tǒng)中的子模塊進行審計之前，審計人員必須對它們的處理和控制功能進行審查。只有經(jīng)過審查證實其處理和控制功能恰當可靠的，審計人員才能利用它們審查系統(tǒng)的數(shù)據(jù)文件。

利用被審系統(tǒng)的子模塊審查數(shù)據(jù)文件操作簡單，使用方便，不需開發(fā)或購買審計軟件，審計成本低，但它們往往不具備達到審計目的所需要的全部功能，不能按審計人員批定的格式和內(nèi)容輸出審計工作底稿。

3、利用數(shù)據(jù)庫管理系統(tǒng)和實用程序審計數(shù)據(jù)文件。目前，在人民銀行系統(tǒng)中使用的計算機應用系統(tǒng)，主要是在SCO UNIX或WINDOW上用INFORMIX、SYBASE、ORECLE等數(shù)據(jù)庫開發(fā)的。其實，這些系統(tǒng)或數(shù)據(jù)庫中，本身就帶有數(shù)據(jù)庫管理的一些命令或實用程序，如果我們能適當?shù)剡\用這些現(xiàn)成的程序，也可對數(shù)據(jù)文件進行一些簡單的查詢、計算、匯總、數(shù)據(jù)重組和分析等審計工作。

計算機應用審計和計算機輔助審計是隨著金融業(yè)務電子化和審計監(jiān)督現(xiàn)代化進程而產(chǎn)生并發(fā)展起來的。它不僅會提高審計檢查的效率和質量，而且將開拓審計檢查的領域和深度，奠定信息時代審計檢查的思路和模式，也是今后我國銀行審計發(fā)展的必然方向。★

（作者單位：中國人民銀行武漢分行內(nèi)審處）

（來源：《中國內(nèi)部審計》2004年第11期）