并行审计技术
出自 MBA智库百科(https://wiki.mbalib.com/)
并行审计技术(Concurrent Auditing Technique)
目录 |
并行审计技术(Concurrent Auditing Technique)是指在应用系统对其业务进行处理时,同时采集审计证据的技术。
随着计算机技术在会计信息系统中的广泛应用,人们发现在计算机信息处理环境下采集审计证据往往比手工环境下更为复杂,因为审计人员开始面对许多手工环境下不存在的、复杂的内部控制技术。在审计过程中,要确认这些内部控制的有效性,必须对其有所了解,并且要能取得充分可靠的证据。然而,信息技术发展很快,与之相关的控制技术也在不断发展,了解控制技术并不是轻而易举的。这就导致审计人员用传统的方式采集证据时,在某些情况下常常被迫做出让步,难以取得充分可靠的证据。
此外,计算机信息系统在企业的经营管理中起着越来越重要的作用,系统如果停止运行,有时会直接影响企业的生产经营活动,给企业带来损失。因此,对计算机信息系统的审计往往要求在系统运行过程中进行审计取证。审计人员一方面要及时完成审计任务,另一方面又不能妨碍和干扰被审计系统的正常工作。
面对计算机信息处理环境对审计工作的上述影响,传统审计技术在某些情况下已无能为力,审计人员要想取得充分可靠的审计证据,则需要利用并行审计技术。
并行审计技术是在20世纪60年代后期和70年代初期产生的。使用并行审计技术采集审计证据包括两个方面:一是为采集、处理和打印审计证据,需要在应用系统或系统软件中嵌入专门的审计模块。二是将采集到的证据存储在应用系统文件中或存储在专门的审计文件中,以便审计人员进行审查。
随着信息技术的快速发展,目前已形成了多种并行审计技术。但是,我们可以将其分为三类:一是当应用系统进行处理时,利用测试数据对系统进行评价;二是当应用系统进行处理时,追踪或映射应用系统的变化状况;三是当应用系统进行处理时,选择交易进行审计复核。基于上述分类,下面分别介绍三种并行审计技术:综合测试、快照和系统控制审计复核文件,它们依次对应上述三类并行审计技术。
(一)综合测试(Integrated Test Facility,ITF)
综合测试(ITF)是在应用系统正常处理其业务时,用测试数据对系统进行检测的一种方法。这种方法要在应用系统的文件中建立一个虚拟实体,并让应用系统处理该实体的审计测试数据。例如:应用系统是工资系统,可在其数据库中建立一个虚拟的职员;应用系统是一个存货系统,可在其数据库中建立一个虚拟的存货项目。测试数据和正常产生的业务数据一同输入应用系统进行处理,通过将应用系统对测试数据处理的结果同预期结果进行比较,可确定应用系统的处理和控制功能是否恰当、可靠。采用综合测试法将会涉及两个问题:采用何种方法建立测试数据与采用何种方法消除综合测试交易对系统的影响。
1.建立测试数据的方法。
(1)第一种方法是对被审计单位的现场交易做标记输入到应用系统中,视带标记的交易为测试数据。采用这种方法,应用系统中必须有特定的计算机程序能够识别出带标记的交易,并且使这些交易既要更新应用系统的主文件,同时也要更新ITF虚拟实体。
选择和识别ITF交易有多种策略:
第一,在源文件中或屏幕布局中包含一个专门的标识字段,用来表示一笔交易即为正常交易又为ITF交易。由审计人员来选择确定对哪些现场交易做标记,所选交易的特征可以与测试数据的设计相一致,也可以根据制定的抽样计划进行选择。
第二,在应用系统的程序中嵌入审计软件模块,利用审计软件来选择交易并给交易加标记使其成为ITF交易。
第三,在应用系统中嵌入抽样程序,抽样程序具有根据抽样计划给交易做标记,并使其成为ITF交易的功能。不论采用何种策略,应用系统中必须有相应的处理程序,专门处理带标记的交易。
给现场交易做标记使其成为ITF交易的优点是:容易使用,并且测试交易代表了系统的正常处理业务。但是这种方法也有缺点:首先,使用现场数据限制了对系统的全面测试;其次,在应用系统中追加代码来识别做标记的交易,并以特定方式处理这些交易,可能会影响其正常处理,如:它可能降低系统的响应时间。
(2)第二种方法是自行设计测试数据,测试数据与现场交易数据一同输入应用系统。如图2所示。采用这种方法,审计人员应当根据所要使用的测试数据的特征来设计并创建测试数据。
自行设计测试数据同从现场交易中选择测试数据相比,测试数据的覆盖面大,可全面测试系统,但设计和建立测试数据要花费一定的时间和费用。
2.消除ITF交易的影响。在应用系统中出现ITF交易会影响其输出结果,因此,必须消除ITF交易的影响。可采用下列方法消除ITF交易的影响:一种方法是修改应用程序使其能够识别ITF交易,并消除ITF交易对用户的影响;另一种方法是提交额外的输入,抵销ITF交易的影响。
(二)快照(Snapshot)
当应用系统非常庞大或复杂时,追踪通过系统的不同执行路径会有一定难度,审计人员要想对交易进行审查,会面对一定的困难。对此情况,可以利用快照技术来进行审查。快照技术是指当交易通过应用系统流动时,让软件给交易拍“像”。通常是在应用系统的重要处理发生点嵌入软件,当交易通过不同处理点时,嵌入软件可捕捉交易的映像。为证实不同快照点的处理,审计人员使软件捕捉交易的前映像和后映像,通过检验前映像、后映像及其变换,评价交易处理的真实性、准确性和完整性。
实施快照技术主要涉及以下三个方面:
第一,确定应用系统中快照点的位置,它也是审计的关键点。审计人员可根据应用系统中每一处理点的重要性来确定快照点的位置。
第二,确定何时捕捉交易快照。可让嵌入软件对某些高风险的交易始终做快照,也可安排嵌入软件,根据某类抽样计划做不同交易的快照。
第三,嵌入软件必须对每一交易提供身份识别和时间戳,以使审计人员能确定,快照数据应用于哪一笔交易、交易通过不同快照点时其状态变化情况如何、捕捉到的快照数据是哪一个处理点的、捕捉到每一处理点的快照数据是何日何时的。此外,还应设计相应的快照报告生成系统,使其能够按照审计人员的要求输出快照报告。
(三)系统控制审计复核文件(System Control Audit Review File SCARF)
系统控制审计复核文件(SCARF)是指在一个应用系统中嵌入审计模块,对该系统的交易进行连续监控。审计模块置于事先确定的点,用以采集审计人员认为重要的交易或事件信息,采集到的信息存放在一个专门的审计文件一一 SCARF主文件中,审计人员通过审查该文件的信息,可以确定应用系统的哪些方面需要追查。