IT技术对审计技术方法的影响
开篇:润墨网以专业的文秘视角,为您筛选了一篇IT技术对审计技术方法的影响范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
利用IT技术进行业务处理的计算机信息管理系统与传统的手工系统相比,在具有速度快、能自动生成业务、单个业务可对多个计算机文件或数据进行更新、子系统通过网络和数据共享实现集成、利用预先编制好的控制程序进行控制等优点的同时,也具有不灵活、各种知识数据集中化、缺少输入文档、缺少可见的业务线索、数据的容易接触性、存储媒介易受损害等缺点。计算机信息管理系统的这些特点对传统的审计产生了重大影响,本文主要从审计技术方法这个方面来论述IT对传统审计的影响。
手工条件下进行审计工作,主要是利用算盘、计算器等工具,采用审计查账法、审计分析法、审计调查法等方法对被审单位进行审查;在电算化条件下,审计人员主要利用计算机这一先进工具采用计算机审计技术开展审计工作,这无疑是审计技术的一大进步。由于计算机技术日益进步且管理方法日益电算化,计算机作为重要的审计工具越来越具有不可替代的作用。
(一)对审计实施方法的影响
目前,人们一般把运用计算机进行审计的技术称为CAAT技术。所谓CAAT就是Computer assisted auditing techniqu的缩写,即计算机辅助审计技术,是由一种或一系列专门针对某项审计职能而设计的计算机程序组成。在审计中借助它进行符合性测试或实质性测试。从而获取企业内部控制的审计证据。作为辅助审计技术,只要被审计的计算机信息系统不进行大的变动,就能使审计人员在短时间内正确无误地处理大量数据;审计人员还可以直接审计被审计单位电算化系统本身并打印出数据副本;可以长期作为获取审计证据的方法。因此,计算机辅助审计技术是一种经济、适用、长期受益的IT方式,被各审计单位广泛采用。具体地讲主要有以下几种:
1、数据检验技术。数据检验技术是指审计人员设计出一些虚拟的经济业务数据,提交给被审计单位的计算机数据处理系统进行处理。根据检测的目的,检测数据应包括合法和非法的数据。将系统对检测数据的处理结果与审计人员的预期结果进行对比,以确定系统控制是否存在并有效地执行。
这种方法简单易行、成本较低;但检测数据可能影响被审计单位计算机系统的正常运行,检查的范围也受审计人员对该系统的了解和想象力的局限。
2、平行模拟技术。平行模拟技术是审计人员模拟被审计单位对实际数据的处理情况而设计的一系列程序,它可以将被审计单位的真实数据用审计人员的程序重新处理一遍,以验证数据处理的正确性,平行模拟技术在日常审计中主要动用的方法是ITF(Integrated Test Facility)。ITF是一个建立在活动数据文档基础上的程序,使得审计人员能够不影响企业真实营运或财务数据的情况下对系统进行测试。大部分的电子商务软件包都配有ITF设置。审计人员可以通过VAN或第三方网络供应商对控制系统进行交易测试,当然前提是企业必须授权VAN接受审计人员启动的交易并将其发送至客户的信箱中,这种交易测试可以持续进行或者周期性进行,再将测试结果与期望结果相比较,从而得到验证;另一种替代方案是建立一种特定的审计交易类型(在VAN登记),重复现行发生的交易,并将结果反馈给审计人员,由审计人员对结果进行评估。
平行模拟技术具有不破坏被审计单位的数据文件,审计人员可以在不增加很多成本的情况下,扩大样本规模,独立地进行测试的优点;但这种技术的使用对审计人员的要求较高,如要求审计人员要注意所选取的数据要有代表性,所设计的审计程序也要达到被审单位计算机系统的处理能力。
3、嵌入审计模块。嵌入审计模块技术是指在被审计单位的计算机数据处理系统中加入为完成审计目的而编写的程序。嵌入的审计模块是被审计单位的计算机数据处理系统的一个组成部分,它可以按照审计人员的要求,以特定的时间间隔,或在系统中的数据达到某种条件时,为审计人员生成和输出有关的报告、嵌入审计模块主要以在线监测的方式被运用在审计工作中。在线监测是考虑到电子商务的交易数据可以会消失或改变的情况,而通过网络系统在交易进行的过程当中对企业业务的敏感和重要环节的即时监测,从而发现异常情况,掌握审计证据的技术。在线监测系统应该对计算机信息系统进行24小时全天候监测,迅速提交用户告警的详细信息和进行准确的告警定位,从而提醒审计人员异常情况的出现;也可以进行在线查询和实时测试,获得系统的实时运行数据。另外,监测系统还可以依据所储存的各项监测数据进行统计分析,掌握企业信息系统的运行情况,提示客户进行及时的维护预防。
嵌入审计模块技术虽然可以对被审计单位的计算机数据处理系统进行动态的监控,但它要求在系统设计时就应予以考虑,并应建立必要的控制措施,防止未经授权的人员接触和使用嵌入的审计模块及其生成报告。由于嵌入模块审计技术的使用条件比较苛刻,只适用于选定的范围。
4、远程审计。远程审计是指基于计算机网络,通过人机合作,对被审计单位进行的非现场的审计工作,远程审计主要实现审计信息网上传送和信息资源共享,审计人员只要把自己的计算机与网络连通,并取得被审计单位给予的审查权限,就可以在任何地方通过网络完成除实地盘点和观察外的大部分审计工作。审计人员可以通过网络审查远距离外的计算机信息功能;调用系统的审计功能或使用审计软件对系统的经济信息进行抽样、审查、核对和分析;使用电子邮件向被审计单位的银行、客户和供应商等进行函证;在网上复制有关文件或数据等审计证据、编写工作底稿等等,审计项目负责人可以在网上制定审计计划,给在不同地点的各审计人员分配审计任务;在网上复核助理人员的工作底稿,并对助理人员给予指示与帮助;随时了解审计项目进展情况,协调各审计人员的工作;草拟和签发审计报告,远程审计尤其适用于对电子数据的审阅、核对、复算、询查,但对于需要实物鉴定或就地盘点的审计证据,还必须依靠就地审计的方式,如观察或盘点等获得。
远程审计技术充分利用计算机网络的超越时空的特点,更具时效性,可明显节约审计费用,它的运用范围较广。
(二)对审计报告的影响
IT审计结果最终应以报告书形式归纳,向企业的最高领导提交。原则上,IT审计报告由承担该审计的IT审计人员完成,并在得到IT审计负责人的认可后方可提交。一般来说,IT审计报告大致由综合审计意见及个别审计意见两部分组成。
1、综合审计意见
综合审计意见包括本次审计的概要,重要的问题以及综合的结论。大致包括以下各项:(1)IT审计对象范围、实施日期及实施过程的概要;(2)IT审计目的;(3)重大问题及改进对策方案的概要;(4)本次审计的综合结论。
2、个别审计意见
个别审计意见是指在IT审计过程中发现的个别问题。大致包括以下内容:(1)问题所在及现状;(2)考虑这些问题的危险性及影响;(3)IT审计人员提议的改进对策。
IT审计报告是对IT审计实施的最后归总,目的是让被审计部门的最高领导明白该信息系统在可靠性、安全性与有效性等方面整体的状况及重大问题所在,IT审计报告必须简洁明了,重点突出,要考虑到有些企业领导不是信息系统专业的,因此技术用语或专业用语要尽量少用,在不得不用的情况下,最好附加一些说明。另外,对于企业最高领导想了解的问题或存在的疑问等,必须给予明确的回答。
在起草IT审计报告时要注意:(1)专业用语不能过多;(2)劝告的内容不能过于抽象,要尽量具体;(3)对于缺陷,一定要有明确的证据;(4)要有具体的解决实施方案,并考虑实施的可能性;(5)解决方案要考虑费用与效果比,费用不能过高;(6)详细的技术事项另付说明;(7)报告书中不能有对个人的攻击;(8)要考虑机密信息的保护。
IT审计报告书的内容包括:(1)IT审计人员制作IT审计报告的时间;(2)对信息系统的可靠性、安全性及有效性进行评价的结果;(3)系统存在的问题;(4)根据存在的问题提出的改进劝告;(5)根据改进的劝告提出的改进方案;(6)其他的必要事项。
需要指出的是,IT审计不是以提交报告书为结束,而是对审计报告中提出的问题特别是重大问题,要跟踪整改的状况,确立IT审计跟踪制度。
被审计部门要在规定期限内提交整改计划,IT审计师随时与被审计部门接触,了解跟踪整改的状况。如整改进展缓慢,要帮助找出原因,促使整改的完成。IT审计要达到最终目的,审计结果的跟踪是不可缺少的,并要使其成为一种制度。
此外,IT审计师还要对一年中的审计活动进行汇总,向经营者(被审计部门)提交年度报告。年度报告包括以下项目:(1)IT审计人员的变动;(2)IT审计人员的教育培训;(3)按照基本计划预定的IT审计活动的实施状况;(4)特别重大的问题及整改状况;(5)下年度IT审计计划的主题。
年度报告应向经营者提交,同时该报告也是下年度的IT审计计划与预算的基础。
(作者单位:江苏省审计厅)