前言:本站为你精心整理了网络审计技术范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
以计算机网络技术的应用为基础的企业信息系统将逐步成为注册会计师的主要审计对象。对这种网络化的信息系统的审计需要多种多样的网络审计技术,目前,这些审计技术都在探索和研究中。本文仅就对网络化环境下的网络数据库、网络信息系统软件和电子签章三类关键要素的审计技术作一简要介绍。
一、网络交易数据库的审计技术
在信息网络化的环境下,会计数据的无纸化和网络数据库化是一种发展的趋势。对网络信息系统的网络数据库或数据文件的审计是注册会计师亟待解决的问题。从传统的手工审计习惯出发,注册会计师往往最关注的是:如何应用计算机审计技术获取所需的审计证据,并对这些证据进行评价,进而判断数据是否真实、可靠、完备和合法合规。解决这个问题的方法和技术很多,本文仅简要介绍以下四种技术。
(一)计算机抽样取证、计算比较与综合分析
这项技术作为审计软件中的一个基本功能程序块,可被设计成灵活的通用程序。注册会计师在使用时,根据需要选择抽取数据的条件和参数,就可立即获得所要抽取的业务数据。这种技术可用于平时的监督(如内部审计人员或外部的注册会计师作为系统的一个终端用户),也可用于外部审计的年度审计。传统审计中,注册会计师一般是在一批业务发生后,才来审查这批业务是否合规和真实。在计算机审计技术普遍应用的今天,注册会计师可实时调取网络系统的业务或需要关注的重大经济业务,以便及时提出内部控制的建议来保障数据的完整性。
1.计算机抽样取证。譬如,对电子购销业务的审查,要审查的业务是赊销额大于5万元或售价低于正常售价的15%的销售业务;或要审查购入的原材料比标准价高出5%的业务。这些业务的条件是根据需要而定,有时条件是相当复杂的,用计算机进行操作往往能提高效率。
2.计算机计算比较和综合分析。计算机按指定的审计条件从业务数据库中抽取的业务记录并直接由计算机程序自动计算金额数据项的合计额,并与标准或正常业务进行比较,反映出差异等必要的信息和可能的线索。同时,审计软件也可对这些不同的业务抽样审计进行综合分析得到较综合的审计证据。在此基础上,注册会计师可做出判断和对被审计的网络信息系统数据库及其系统提出及时的建议。
(二)利用嵌入实时审计软件
网络信息系统需要经常性和实时监督,注册会计师一般可设计一个程序块嵌入被审查的系统中,采集审计所关心的关键数据。同时,嵌入的审计程序本身具有隐蔽性、安全性和稳定性,非注册会计师不能看到这些审计程序和自动形成的审计数据。所以,注册会计师应用这些审计程序就能自动记载所要收集的审计证据,还可随时调阅这些证据文件,并利用这些审计证据可适时判断系统运行情况和提出审计建议。
用嵌入的程序采集的审计证据文件,一般分如下几种:不合法而进入使用有口令的程序(如数据修改程序);未经批准而调用某数据文件;超权限使用系统;擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的,同时,在某些特殊的情况下也可用于实质性测试。由于这种技术要求在系统设计时,就要把这一嵌入的审计程序块结合进去,因此需要在网络信息系统软件设计标准中对这类审计线索生成的程序进行必要的强制规范。
(三)网络数据实时备份加密技术
网络实时备份如同手工开具销售发票复写几份一样,在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存和适当加密,以便保持其数据的真实性和可靠性。这种方法也是保留审计线索的一种重要手段。但这种技术的应用需要预先建立一个具备备份能力的网络服务器系统,而且有一套备份数据的加密制度。
(四)专设审计控制字段
插入审计控制字段是指利用特殊的控制字段与被查的网络信息系统数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储,审计时根据这一特征就能容易地收集到所需的审计证据。插入控制字段指单独设置一个字段(数据项)存放关系函数和有关加密的关键数据。这一字段可专门用于审计鉴证。但是,它可在程序和业务编码设计时结合在一起,把控制内容融合在网络信息系统中,以保证控制字段记载的内容真实和可靠。这种控制字段经常用于在线业务的处理,避免在线操作人员进行不合法的数据篡改或伪造。如果把审计控制字段与业务编码、程序设计密切联系在一起,就可增加一种可靠的应用控制手段,当然也给审计提供了方便的审计线索。这种技术强调在系统设计时,注册会计师应当充分考虑各种处理特性和修改线索保留的措施,并融合到信息系统的设计内容中去,以便确保系统数据的安全性。
二、网络信息系统(软件)的审计技术
注册会计师对一个网络信息系统的审计,不仅要对其网络数据库进行审计,而且要对其系统的软件进行必要的审计,才能防止在软件方面的修改造成的信息虚假。对网络信息系统(软件)的审计主要是要评价一个系统的软件质量和功能。因为软件质量的好坏直接影响数据的安全性和完整性。为确保系统发挥正常的作用,对软件的审计也是一件重要的工作,尤其是对软件的维护审计,更是一项经常性的工作。这一审计工作是计算机审计中最难的一种。它需要较熟练的计算机软件开发和维护以及编程技术,通常有业务数据测试法、整体数据库模拟测试、平行模拟技术、平行运行法。
(一)应用测试数据审计网络信息系统的异常缺陷和修改
执行网络信息系统业务数据测试,其关键在于设计好业务测试数据。一般不直接使用用户的实际业务数据。因为根据实际业务的数据很难检测出全部的错误。日常的业务数据量虽然很多,可是包括异常的数据很少。即使存在有异常的数据,注册会计师要把它找出来也是一件困难的事情。通常测试用的数据是根据注册会计师本身和审计专家的经验设计的测试数据,这样可自动测试出网络信息系统的缺陷。
(二)利用测试数据对网络上的网络信息系统进行审计
注册会计师在审查并了解计算机系统的逻辑过程和控制规则后,可以准备一些测试用的数据。在系统中由这些测试数据形成的结果,可帮助注册会计师评价系统的有效性和可靠性。注册会计师在设计测试数据时,应充分考虑计算机系统可能发生的每一种错误。例如,在销售系统中,同一种产品的销售价相差20%是不正常的,远超信用额度的发货也是不正常的业务,这些异常业务在程序设计中可能没有设计控制。
(三)虚拟数据嵌入测试法
虚拟测试法包括用一套虚拟记录加到实际的数据库文件中并运行数据处理的所有模块,以发现输入控制和程序的逻辑控制的弱点。虚拟业务数据在测试后,应当把这些虚拟的数据记录从实际的数据库中去除。例如,建立一个虚似的客户账户,注册会计师可像普通的客户那样从该企业购买商品并予以记录。同时也可发生赊销、退货等业务,以观察系统运行是否正常。
把这种测试法所形成的数据记录也纳入实际的业务数据库,可能会给系统带来虚增或虚减会计账户余额。这种虚拟记录的设置意味着具有虚假性,因为它在检测后可及时删除或“红字”冲销。因此,这些消除虚拟数据记录的方法,在设计时就应考虑周全。
(四)审计软件测试法
审计软件测试法是利用注册会计师开发的模拟网络信息系统程序,并利用被审计系统的全部的实际基础数据来测试系统运行,将所得到的测试结果与被审计系统运行的结果进行比较分析,推断其应用控制和程序的可靠性。这一测试不一定对整个系统全部模拟,一般选择一些关键的子系统或关键的子模块进行模拟。
应用这项技术,要求注册会计师熟悉模拟的系统或子系统的设计流程以及输入数据和输出数据。这样才能编制出确切的模拟测试软件。比如,注册会计师要对销售数据处理模块进行模拟,特别是对流转税的计算和销售成本的计算作为重点的模拟测试。
三、电子签章的审计技术
传统的各种商业文件都需要当事人签章(手写签名、盖图章等),注册会计师很容易辨认这种签章。在计算机网络信息系统环境下,各种商业文件都以电子文件的形式存储、传递和处理,传统的当事人签章形式已经失效。适应网络信息系统的电子签章的出现,使电子签章的鉴证也成为审计的基本内容之一,同时注册会计师也应用电子签章技术进行审计。