并行审计技术(Concurrent Auditing Technique)是指在应用系统对其业务进行处理时,同时采集审计证据的技术。
一、并行审计技术产生的背景
随着计算机技术在会计信息系统中的广泛应用,人们发现在计算机信息处理环境下采集审计证据往往比手工环境下更为复杂,因为审计人员开始面对许多手工环境下不存在的、复杂的内部控制技术。在审计过程中,要确认这些内部控制的有效性,必须对其有所了解,并且要能取得充分可靠的证据。然而,信息技术发展很快,与之相关的控制技术也在不断发展,了解控制技术并不是轻而易举的。这就导致审计人员用传统的方式采集证据时,在某些情况下常常被迫做出让步,难以取得充分可靠的证据。
此外,计算机信息系统在企业的经营管理中起着越来越重要的作用,系统如果停止运行,有时会直接影响企业的生产经营活动,给企业带来损失。因此,对计算机信息系统的审计往往要求在系统运行过程中进行审计取证。审计人员一方面要及时完成审计任务,另一方面又不能妨碍和干扰被审计系统的正常工作。
面对计算机信息处理环境对审计工作的上述影响,传统审计技术在某些情况下已无能为力,审计人员要想取得充分可靠的审计证据,则需要利用并行审计技术。
二、并行审计技术介绍
并行审计技术是在20世纪60年代后期和70年代初期产生的。使用并行审计技术采集审计证据包括两个方面:一是为采集、处理和打印审计证据,需要在应用系统或系统软件中嵌入专门的审计模块。二是将采集到的证据存储在应用系统文件中或存储在专门的审计文件中,以便审计人员进行审查。
随着信息技术的快速发展,目前已形成了多种并行审计技术。但是,我们可以将其分为三类:一是当应用系统进行处理时,利用测试数据对系统进行评价;二是当应用系统进行处理时,追踪或映射应用系统的变化状况;三是当应用系统进行处理时,选择交易进行审计复核。基于上述分类,下面分别介绍三种并行审计技术:综合测试、快照和系统控制审计复核文件,它们依次对应上述三类并行审计技术。
(一)综合测试(Integrated Test Facility,ITF)。综合测试(ITF)是在应用系统正常处理其业务时,用测试数据对系统进行检测的一种方法。这种方法要在应用系统的文件中建立一个虚拟实体,并让应用系统处理该实体的审计测试数据。例如:应用系统是工资系统,可在其数据库中建立一个虚拟的职员;应用系统是一个存货系统,可在其数据库中建立一个虚拟的存货项目。测试数据和正常产生的业务数据一同输入应用系统进行处理,通过将应用系统对测试数据处理的结果同预期结果进行比较,可确定应用系统的处理和控制功能是否恰当、可靠。采用综合测试法将会涉及两个问题:采用何种方法建立测试数据与采用何种方法消除综合测试交易对系统的影响。
1.建立测试数据的方法。第一种方法是对被审计单位的现场交易做标记输入到应用系统中,视带标记的交易为测试数据,如图1所示。采用这种方法,应用系统中必须有特定的计算机程序能够识别出带标记的交易,并且使这些交易既要更新应用系统的主文件,同时也要更新ITF虚拟实体。
图1给现场交易做标记视为测试数据选择和识别ITF交易有多种策略。第一,在源文件中或屏幕布局中包含一个专门的标识字段,用来表示一笔交易即为正常交易又为ITF交易。由审计人员来选择确定对哪些现场交易做标记,所选交易的特征可以与测试数据的设计相一致,也可以根据制定的抽样计划进行选择。第二,在应用系统的程序中嵌入审计软件模块,利用审计软件来选择交易并给交易加标记使其成为ITF交易。第三,在应用系统中嵌入抽样程序,抽样程序具有根据抽样计划给交易做标记,并使其成为ITF交易的功能。不论采用何种策略,应用系统中必须有相应的处理程序,专门处理带标记的交易。
给现场交易做标记使其成为ITF交易的优点是:容易使用,并且测试交易代表了系统的正常处理业务。但是这种方法也有缺点:首先,使用现场数据限制了对系统的全面测试;其次,在应用系统中追加代码来识别做标记的交易,并以特定方式处理这些交易,可能会影响其正常处理,如:它可能降低系统的响应时间。
第二种方法是自行设计测试数据,测试数据与现场交易数据一同输入应用系统。如图2所示。采用这种方法,审计人员应当根据所要使用的测试数据的特征来设计并创建测试数据。
图2(略)自行设计测试数据
自行设计测试数据同从现场交易中选择测试数据相比,测试数据的覆盖面大,可全面测试系统,但设计和建立测试数据要花费一定的时间和费用。
2.消除ITF交易的影响。在应用系统中出现ITF交易会影响其输出结果,因此,必须消除ITF交易的影响。可采用下列方法消除ITF交易的影响:一种方法是修改应用程序使其能够识别ITF交易,并消除ITF交易对用户的影响;另一种方法是提交额外的输入,抵销ITF交易的影响。
(二)快照(Snapshot)。当应用系统非常庞大或复杂时,追踪通过系统的不同执行路径会有一定难度,审计人员要想对交易进行审查,会面对一定的困难。对此情况,可以利用快照技术来进行审查。快照技术是指当交易通过应用系统流动时,让软件给交易拍“像”。通常是在应用系统的重要处理发生点嵌入软件,当交易通过不同处理点时,嵌入软件可捕捉交易的映像。为证实不同快照点的处理,审计人员使软件捕捉交易的前映像和后映像,通过检验前映像、后映像及其变换,评价交易处理的真实性、准确性和完整性。
实施快照技术主要涉及以下三个方面:第一,确定应用系统中快照点的位置,它也是审计的关键点。审计人员可根据应用系统中每一处理点的重要性来确定快照点的位置。第二,确定何时捕捉交易快照。可让嵌入软件对某些高风险的交易始终做快照,也可安排嵌入软件,根据某类抽样计划做不同交易的快照。第三,嵌入软件必须对每一交易提供身份识别和时间戳,以使审计人员能确定,快照数据应用于哪一笔交易、交易通过不同快照点时其状态变化情况如何、捕捉到的快照数据是哪一个处理点的、捕捉到每一处理点的快照数据是何日何时的。此外,还应设计相应的快照报告生成系统,使其能够按照审计人员的要求输出快照报告。
(三)系统控制审计复核文件(System Control Audit Review File SCARF)。系统控制审计复核文件(SCARF)是指在一个应用系统中嵌入审计模块,对该系统的交易进行连续监控。审计模块置于事先确定的点,用以采集审计人员认为重要的交易或事件信息,采集到的信息存放在一个专门的审计文件一一SCARF主文件中,审计人员通过审查该文件的信息,可以确定应用系统的哪些方面需要追查。图3以一个主文件更新程序为例说明SCARF技术。
使用SCARF技术首先要确定由SCARF嵌入审计程序采集什么信息。其次要确定与SCARF一同使用的报告系统。
1.确定SCARF嵌入审计程序采集什么信息。在一个应用系统中,SCARF嵌入审计程序的性质和布局取决于审计人员所要采集证据的类型,在很多方面,SCARF技术与快照有相似的地方,它也可以捕捉快照。此外,还可以采集其他信息:应用系统的错误、系统的例外情况、统计样本等。
SCARF嵌入审计程序的完整性对于所采集证据的可靠性至关重要,因此必须采取措施对该程序的内容及其完整性加以保护。第一,应用程序中不应包含嵌入审计程序的源代码,只允许调用语句存在。程序源代码应保存在专门的库文件中,只有经过授权的人员才可访问。第二,支持该程序的文档也应妥善安全地保管。第三,对程序进行维护时,应当认真考虑如何维护,如果审计人员具有编程技能和知识,应自己进行维护,如果必须依赖他人,则必须寻求独立的第三方的帮助。
2.确定与SCARF一同使用的报告系统。
(1)确定SCARF文件如何更新。可为每一应用系统建立一个临时的、SCARF工作文件,由临时文件更新SCARF主文件,也可由每个应用系统直接更新SCARF主文件。
(2)把SCARF文件的数据进行分类并确定审计报告的格式。一个SCARF系统可采集大量数据,只有经过恰当分类,并采用适当的报告形式输出,才能为审计人员提供清晰的数据。
(3)确定报告的编制时间。编制报告期间的长度主要取决于所采集审计证据的重要性和生成报告的成本,如果SCARF系统识别出重要的异常情况,则让报告生成系统立即生成报告,而在多数情况下,则选择按一定的时间间隔生成报告。
(作者:石龙辉 财政部财政科学研究所研究生部)