谈谈计算机审计的基本方法 荣 浩
(一)系统开发的审计
在系统开发阶段,审计人员既不负责业务把关,也不直接参与程序的编写,他的责任在于保证系统的合法性、安全性及可审计性。在此阶段,一般采用询问、约谈、调阅文档、复核、抽查以及实地观察等手工审计中经常用到的一些审计技术,如复核系统的输入输出设计,看其是否包括适当的审计线索;抽查程序中的代码设计,看其是否符合业务控制要求等。
(二)应用程序的审计
应用程序的审计方法可分手工审计和计算机辅助审计两种方法。这里,我们介绍的是计算机辅助审计方法。
所谓计算机辅助审计方法,它是指审计人员利用计算机对被审程序进行审查,以确定其处理和控制功能是否可靠的一种方法。由于手工审计的方法,只有在肉眼可见的审计线索存在并且比较充分时才适用,而对大多数计算机系统,审计线索都存储在磁性介质上;另外,由于手工审计方法没有直接对系统实际运行的程序进行审查,审计结论的可靠性较差。因此,只有利用计算机对被审程序进行审查,才能得出正确可靠的结论。利用计算机辅助审计方法主要有:
1、检测数据法。检测数据法是指审计人员把一批预先设计好的检测数据,利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当有效的一种方法。
检测数据法可用来审查系统的全部程序,也可用来审查个别程序,还可以用来审查某个程序中的某个或某几个控制措施,以确定这些控制是否能发挥有效功能。检测数据法一般适用于下列三种情况:
被审系统的关键控制建立在计算机程序中;被审系统的可见审计线索有缺陷,难以由输入直接跟踪到输出;被审系统的程序较多,用检测数据法比直接用手工方法进行审查更经济、效率更高。
应用检测数据法对被审程序的处理和控制功能进行审查,选择或设计合适的检测数据是一个关键问题,检测数据的来源一般有被审单位以往设计的检测数据和由审计人员自行设计的检测数据两种,不管检测数据的来源如何,检测数据中应包括正常、有效的业务和不正常、无效的业务两种情况。
检测数据法属于一种抽样审计的方法,但它对审计人员的计算机知识和技能要求不高,适用范围较广,比较适用于较复杂的系统审计。
2、程序编码比较法。程序编码比较法是指比较两个独立保管的被审程序版本,以确定被审程序是否经过了改变。审计人员要用由审计部门自己保管的,经以前审查其处理和控制功能恰当的被审程序副本与被审单位现在使用的应用程序进行比较,可发现任何程序的改动,并评估这些改变带来的后果。这种方法不仅适用于源程序编码之间的比较,也可用于目标程序码之间的比较。
3、受控处理法。受控处理法是指审计人员通过被审程序对实际业务的处理进行监控,查明被审程序的处理和控制功能是否恰当有效的方法。采用这种方法,审计人员首先对输入的数据进行查验,并建立审计控制,然后亲自处理或监督处理这些数据,将处理的结果与预期结果加以比较分析,判别被审程序的处理与控制功能能否按设计要求起作用。例如,审计人员可通过检查输入错误的更正与重新提交的过程,判别被审程序输入控制的有效性,通过检查错误清单和处理打印结果来判别被审程序处理控制和功能的可靠性,通过核对输出与输入来判别输出控制的可靠性。
受控处理法审计技术简单、省时省力,不需要较高的计算机知识,只要采取突出审计的方式,就可以保证被审程序与实际使用程序的一致性,从而保证审计结论的可靠性。
4、受控再处理法。受控再处理法是指在被审单位正常业务处理以外的时间里,由审计人员亲自进行或在审计人员的监督下,把某一批处理过的业务进行再处理,比较两次处理的结果,以确定被审程序有无被非法篡改,被审程序的处理和控制功能是否恰当有效。运用这种方法的前提是以前对此程序进行过审查,并证实它原来的处理和控制功能是恰当有效的。因此,这种方法不能用于对被审程序的首次审计。
5、平行模拟法。平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序,用这种程序处理当期的实际数据,把处理的结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠的一种方法。
运用这种方法,审计人员不一定要模拟被审程序的全部功能,也可只模拟被审程序的某一处理功能或控制功能。
采用平行模拟法的优点在于,它能独立地处理实际数据,不依赖于被审单位的人力和设备,审计结果较为准确。其主要缺点是开发模拟系统难度较大且成本较高。另外,审计人员首先要证明模拟程序的正确性。
6、嵌入审计程序法。嵌入审计程序法是指在被审系统的设计和开发阶段,在被审的应用程序中嵌入为执行特定的审计功能而审计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。
在实际操作中,审计程序段主要有两种,一种是不经常起作用的,只有审计人员在执行特定的审计任务才激活的审计程序。另一种是在被审程序中连续监控某些特定点上的处理的程序。当实际业务数据输入被审系统,由被审程序对其进行处理时,审计程序也对数据进行检查,如果符合某些条件,则将其记入审计控制文件中,审计人员可以定期或不定期地将审计控制文件输出,以便对被审程序的处理和控制功能进行评价,或对系统处理的业务进行监控。
嵌入审计程序法的优点是在被审单位处理业务数据的同时获取审计证据,它可以防止在数据处理后进行审核时难以确信被审程序是否有实际应用的程序的缺陷。另外,只要被审程序开始运行,审计程序段就处于监督状态,它可以弥补事后审计线索不充分的缺陷。可以说这是一种最有效,也是一种最可靠的审计方法,但它需要在系统设计和开发阶段就设计好审计专用的程序段,而正是这一点,在目前状况下难以实现。同时,它还要求当系统修改时,审计程序段也要作相应的修改,审计程序段的安全性要求也更高。
7、程序追踪法。程序追踪法是一种对给定的业务,跟踪被审程序处理步骤的审查技术,一般可由追踪软件来完成,也可利用某些高级语言或跟踪指令跟踪被审程序的处理。
采用这种方法可列示被审程序中的指令执行情况以及执行顺序,它也可查出被审程序中的非法指令,但它对审计人员的计算机知识要求较高,在实际审计工作中应用并不普遍。
以上只是简单地谈了计算机应用审计中主要的几种审计方法,当然,这些审计方法并不是孤立的,在实际中应用中它们需要相互补充。计算机应用审计的方法还有许多,具体采用什么方法,要针对计算机系统实际情况去选定。
(三)数据文件的审计
在计算机系统中,输入的原始数据、处理的中间结果和最后的结果都是以数据文件的形式存储在磁性介质或打印输出在纸性账面上。要对计算机系统输出的真实性、正确性和合法性等进行评价,必须对数据文件进行审计。对纸性账页上的数据的审计同手工系统中对凭证、账簿、报表的审计方法相同,对磁性介质上的数据文件的审计则要借助于计算机辅助审计,这里主要谈谈利用计算机辅助审计数据文件的方法。
1、利用审计软件辅助审计。审计软件是为了执行一定的审计数据处理功能而设计的计算机程序。它可从被审的数据文件中抽取或选定某些数据,根据审计目的进行计算和处理,并按照审计人员的要求输出审计信息。由于审计软件可直接访问被审系统的数据文件,因此,有助于审计人员对整个数据文件或经选定的数据项目进行复核,可有效地执行大量数据的验算、重新分类及汇总等工作,并能详细检查数据文件的内容,可按审计人员指定的标准查找记录。此外,运用审计软件辅助审计,还可以提高审计的效率,减少审计人员对被审单位数据处理人员的依赖,增强审计的独立性。
利用审计软件辅助审计数据文件一般用于下列几种审计工作:(1)按审计人员的要求检查数据。(2)测试及执行计算,审计人员可运用审计软件测试数据文件中有关数据计算的正确性,并进行分析,以评估被审系统中相应数据的正确性。(3)比较两个不同数据文件中的相应数据。审计软件可用于比较两个不同数据文件内的相应记录,以确定数据的一致性。(4)选择并打印审计样本。审计软件可采用随机抽样或判断抽样等方法,从被审的数据文件中选择所需的样本。(5)汇总或重新组织数据,并执行分析工作。
2、利用系统的子模块辅助审计。由于完整的计算机系统一般都建有查询、对账、复核等子模块,审计人员在对被审系统的数据文件进行审计时,也可利用这些子模块完成一部分审计工作。在利用被审系统中的子模块进行审计之前,审计人员必须对它们的处理和控制功能进行审查。只有经过审查证实其处理和控制功能恰当可靠的,审计人员才能利用它们审查系统的数据文件。
利用被审系统的子模块审查数据文件操作简单,使用方便,不需开发或购买审计软件,审计成本低,但它们往往不具备达到审计目的所需要的全部功能,不能按审计人员批定的格式和内容输出审计工作底稿。
3、利用数据库管理系统和实用程序审计数据文件。目前,在人民银行系统中使用的计算机应用系统,主要是在SCOUNIX或WINDOW上用INFORMIX、SYBASE、ORECLE等数据库开发的。其实,这些系统或数据库中,本身就带有数据库管理的一些命令或实用程序,如果我们能适当地运用这些现成的程序,也可对数据文件进行一些简单的查询、计算、汇总、数据重组和分析等审计工作。
计算机应用审计和计算机辅助审计是随着金融业务电子化和审计监督现代化进程而产生并发展起来的。它不仅会提高审计检查的效率和质量,而且将开拓审计检查的领域和深度,奠定信息时代审计检查的思路和模式,也是今后我国银行审计发展的必然方向。★
(作者单位:中国人民银行武汉分行内审处)
(来源:《中国内部审计》2004年第11期)
谈谈计算机审计的基本方法 荣 浩
(一)系统开发的审计
在系统开发阶段,审计人员既不负责业务把关,也不直接参与程序的编写,他的责任在于保证系统的合法性、安全性及可审计性。在此阶段,一般采用询问、约谈、调阅文档、复核、抽查以及实地观察等手工审计中经常用到的一些审计技术,如复核系统的输入输出设计,看其是否包括适当的审计线索;抽查程序中的代码设计,看其是否符合业务控制要求等。
(二)应用程序的审计
应用程序的审计方法可分手工审计和计算机辅助审计两种方法。这里,我们介绍的是计算机辅助审计方法。
所谓计算机辅助审计方法,它是指审计人员利用计算机对被审程序进行审查,以确定其处理和控制功能是否可靠的一种方法。由于手工审计的方法,只有在肉眼可见的审计线索存在并且比较充分时才适用,而对大多数计算机系统,审计线索都存储在磁性介质上;另外,由于手工审计方法没有直接对系统实际运行的程序进行审查,审计结论的可靠性较差。因此,只有利用计算机对被审程序进行审查,才能得出正确可靠的结论。利用计算机辅助审计方法主要有:
1、检测数据法。检测数据法是指审计人员把一批预先设计好的检测数据,利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处理功能是否恰当有效的一种方法。
检测数据法可用来审查系统的全部程序,也可用来审查个别程序,还可以用来审查某个程序中的某个或某几个控制措施,以确定这些控制是否能发挥有效功能。检测数据法一般适用于下列三种情况:
被审系统的关键控制建立在计算机程序中;被审系统的可见审计线索有缺陷,难以由输入直接跟踪到输出;被审系统的程序较多,用检测数据法比直接用手工方法进行审查更经济、效率更高。
应用检测数据法对被审程序的处理和控制功能进行审查,选择或设计合适的检测数据是一个关键问题,检测数据的来源一般有被审单位以往设计的检测数据和由审计人员自行设计的检测数据两种,不管检测数据的来源如何,检测数据中应包括正常、有效的业务和不正常、无效的业务两种情况。
检测数据法属于一种抽样审计的方法,但它对审计人员的计算机知识和技能要求不高,适用范围较广,比较适用于较复杂的系统审计。
2、程序编码比较法。程序编码比较法是指比较两个独立保管的被审程序版本,以确定被审程序是否经过了改变。审计人员要用由审计部门自己保管的,经以前审查其处理和控制功能恰当的被审程序副本与被审单位现在使用的应用程序进行比较,可发现任何程序的改动,并评估这些改变带来的后果。这种方法不仅适用于源程序编码之间的比较,也可用于目标程序码之间的比较。
3、受控处理法。受控处理法是指审计人员通过被审程序对实际业务的处理进行监控,查明被审程序的处理和控制功能是否恰当有效的方法。采用这种方法,审计人员首先对输入的数据进行查验,并建立审计控制,然后亲自处理或监督处理这些数据,将处理的结果与预期结果加以比较分析,判别被审程序的处理与控制功能能否按设计要求起作用。例如,审计人员可通过检查输入错误的更正与重新提交的过程,判别被审程序输入控制的有效性,通过检查错误清单和处理打印结果来判别被审程序处理控制和功能的可靠性,通过核对输出与输入来判别输出控制的可靠性。
受控处理法审计技术简单、省时省力,不需要较高的计算机知识,只要采取突出审计的方式,就可以保证被审程序与实际使用程序的一致性,从而保证审计结论的可靠性。
4、受控再处理法。受控再处理法是指在被审单位正常业务处理以外的时间里,由审计人员亲自进行或在审计人员的监督下,把某一批处理过的业务进行再处理,比较两次处理的结果,以确定被审程序有无被非法篡改,被审程序的处理和控制功能是否恰当有效。运用这种方法的前提是以前对此程序进行过审查,并证实它原来的处理和控制功能是恰当有效的。因此,这种方法不能用于对被审程序的首次审计。
5、平行模拟法。平行模拟法是指审计人员自己或请计算机专业人员编写的具有和被审程序相同处理和控制功能的模拟程序,用这种程序处理当期的实际数据,把处理的结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠的一种方法。
运用这种方法,审计人员不一定要模拟被审程序的全部功能,也可只模拟被审程序的某一处理功能或控制功能。
采用平行模拟法的优点在于,它能独立地处理实际数据,不依赖于被审单位的人力和设备,审计结果较为准确。其主要缺点是开发模拟系统难度较大且成本较高。另外,审计人员首先要证明模拟程序的正确性。
6、嵌入审计程序法。嵌入审计程序法是指在被审系统的设计和开发阶段,在被审的应用程序中嵌入为执行特定的审计功能而审计的程序段,这些程序段可以用来收集审计人员感兴趣的资料,并建立一个审计控制文件,用来存储这些资料,审计人员通过这些资料的审核来确定被审程序的处理和控制功能的可靠性。
在实际操作中,审计程序段主要有两种,一种是不经常起作用的,只有审计人员在执行特定的审计任务才激活的审计程序。另一种是在被审程序中连续监控某些特定点上的处理的程序。当实际业务数据输入被审系统,由被审程序对其进行处理时,审计程序也对数据进行检查,如果符合某些条件,则将其记入审计控制文件中,审计人员可以定期或不定期地将审计控制文件输出,以便对被审程序的处理和控制功能进行评价,或对系统处理的业务进行监控。
嵌入审计程序法的优点是在被审单位处理业务数据的同时获取审计证据,它可以防止在数据处理后进行审核时难以确信被审程序是否有实际应用的程序的缺陷。另外,只要被审程序开始运行,审计程序段就处于监督状态,它可以弥补事后审计线索不充分的缺陷。可以说这是一种最有效,也是一种最可靠的审计方法,但它需要在系统设计和开发阶段就设计好审计专用的程序段,而正是这一点,在目前状况下难以实现。同时,它还要求当系统修改时,审计程序段也要作相应的修改,审计程序段的安全性要求也更高。
7、程序追踪法。程序追踪法是一种对给定的业务,跟踪被审程序处理步骤的审查技术,一般可由追踪软件来完成,也可利用某些高级语言或跟踪指令跟踪被审程序的处理。
采用这种方法可列示被审程序中的指令执行情况以及执行顺序,它也可查出被审程序中的非法指令,但它对审计人员的计算机知识要求较高,在实际审计工作中应用并不普遍。
以上只是简单地谈了计算机应用审计中主要的几种审计方法,当然,这些审计方法并不是孤立的,在实际中应用中它们需要相互补充。计算机应用审计的方法还有许多,具体采用什么方法,要针对计算机系统实际情况去选定。
(三)数据文件的审计
在计算机系统中,输入的原始数据、处理的中间结果和最后的结果都是以数据文件的形式存储在磁性介质或打印输出在纸性账面上。要对计算机系统输出的真实性、正确性和合法性等进行评价,必须对数据文件进行审计。对纸性账页上的数据的审计同手工系统中对凭证、账簿、报表的审计方法相同,对磁性介质上的数据文件的审计则要借助于计算机辅助审计,这里主要谈谈利用计算机辅助审计数据文件的方法。
1、利用审计软件辅助审计。审计软件是为了执行一定的审计数据处理功能而设计的计算机程序。它可从被审的数据文件中抽取或选定某些数据,根据审计目的进行计算和处理,并按照审计人员的要求输出审计信息。由于审计软件可直接访问被审系统的数据文件,因此,有助于审计人员对整个数据文件或经选定的数据项目进行复核,可有效地执行大量数据的验算、重新分类及汇总等工作,并能详细检查数据文件的内容,可按审计人员指定的标准查找记录。此外,运用审计软件辅助审计,还可以提高审计的效率,减少审计人员对被审单位数据处理人员的依赖,增强审计的独立性。
利用审计软件辅助审计数据文件一般用于下列几种审计工作:(1)按审计人员的要求检查数据。(2)测试及执行计算,审计人员可运用审计软件测试数据文件中有关数据计算的正确性,并进行分析,以评估被审系统中相应数据的正确性。(3)比较两个不同数据文件中的相应数据。审计软件可用于比较两个不同数据文件内的相应记录,以确定数据的一致性。(4)选择并打印审计样本。审计软件可采用随机抽样或判断抽样等方法,从被审的数据文件中选择所需的样本。(5)汇总或重新组织数据,并执行分析工作。
2、利用系统的子模块辅助审计。由于完整的计算机系统一般都建有查询、对账、复核等子模块,审计人员在对被审系统的数据文件进行审计时,也可利用这些子模块完成一部分审计工作。在利用被审系统中的子模块进行审计之前,审计人员必须对它们的处理和控制功能进行审查。只有经过审查证实其处理和控制功能恰当可靠的,审计人员才能利用它们审查系统的数据文件。
利用被审系统的子模块审查数据文件操作简单,使用方便,不需开发或购买审计软件,审计成本低,但它们往往不具备达到审计目的所需要的全部功能,不能按审计人员批定的格式和内容输出审计工作底稿。
3、利用数据库管理系统和实用程序审计数据文件。目前,在人民银行系统中使用的计算机应用系统,主要是在SCOUNIX或WINDOW上用INFORMIX、SYBASE、ORECLE等数据库开发的。其实,这些系统或数据库中,本身就带有数据库管理的一些命令或实用程序,如果我们能适当地运用这些现成的程序,也可对数据文件进行一些简单的查询、计算、汇总、数据重组和分析等审计工作。
计算机应用审计和计算机辅助审计是随着金融业务电子化和审计监督现代化进程而产生并发展起来的。它不仅会提高审计检查的效率和质量,而且将开拓审计检查的领域和深度,奠定信息时代审计检查的思路和模式,也是今后我国银行审计发展的必然方向。★
(作者单位:中国人民银行武汉分行内审处)
(来源:《中国内部审计》2004年第11期)