一、引言
由于企業(yè)信息化程度的不斷提高以及企業(yè)規(guī)模的不斷壯大帶來的信息量激增,傳統(tǒng)審計(jì)很難及時(shí)有效地分析處理大量的業(yè)務(wù)數(shù)據(jù),因此,需要一種技術(shù)能夠?qū)ζ髽I(yè)ERP系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)進(jìn)行快速有效的審計(jì)鑒證,而持續(xù)審計(jì)(Continuous Audit,以下簡(jiǎn)稱CA)的數(shù)據(jù)審計(jì)技術(shù)具備這種能力。
所謂CA,國(guó)內(nèi)外學(xué)者提出過很多觀點(diǎn),最早提出CA概念的是AT&T的Bell實(shí)驗(yàn)室的科學(xué)家Vasarhelyi和Halper(1991)他們開發(fā)了CA的首個(gè)實(shí)例系統(tǒng)CPAS(Continuous Process Auditing System),該系統(tǒng)主要服務(wù)于內(nèi)部審計(jì);Rezaee et a1.(2001)認(rèn)為CA是在無紙化和實(shí)時(shí)會(huì)計(jì)信息系統(tǒng)的環(huán)境中收集電子審計(jì)證據(jù)的一個(gè)系統(tǒng)過程,該過程以對(duì)財(cái)務(wù)狀況發(fā)表公正客觀的意見為目標(biāo);Alles et a1.2006)的論文拓寬了CA的范疇,從CA的本質(zhì)出發(fā)強(qiáng)調(diào)了CA不僅是一種技術(shù),更為關(guān)鍵的是CA滿足了內(nèi)部審計(jì)對(duì)企業(yè)范圍內(nèi)數(shù)據(jù)和交易的全程監(jiān)控和縮短了交易事項(xiàng)與鑒證之間在時(shí)間上的延遲。何芹(2007)認(rèn)為持續(xù)審計(jì)強(qiáng)調(diào)審計(jì)過程的持續(xù)性和審計(jì)實(shí)施的即時(shí)性。是一種例外事項(xiàng)基礎(chǔ)的審計(jì),強(qiáng)調(diào)“自上而下”與“自下而上”方法的結(jié)合以及審計(jì)活動(dòng)的整合性。
CA的有效實(shí)現(xiàn)關(guān)鍵依賴于CA的數(shù)據(jù)審計(jì)技術(shù),本文就此展開論述。
二、CA的數(shù)據(jù)審計(jì)技術(shù)
CA的數(shù)據(jù)審計(jì)技術(shù)可分為三類:1.在ERP系統(tǒng)實(shí)際運(yùn)行時(shí),可以運(yùn)用測(cè)試數(shù)據(jù)對(duì)ERP系統(tǒng)進(jìn)行評(píng)估的審計(jì)技術(shù);2.在ERP系統(tǒng)實(shí)際運(yùn)行時(shí),可以從中選擇一些事務(wù)進(jìn)行審查的審計(jì)技術(shù);3.ERP系統(tǒng)實(shí)際運(yùn)行時(shí),可以跟蹤或映射ERP系統(tǒng)變化狀態(tài)的審計(jì)技術(shù)。
根據(jù)這種分類方法,本文分析了CA三種主要的數(shù)據(jù)審計(jì)技術(shù):
(一)集成測(cè)試技術(shù)(ITF)
集成測(cè)試是在ERP系統(tǒng)文件中設(shè)立的假想實(shí)體,針對(duì)這個(gè)實(shí)體,在系統(tǒng)中運(yùn)用審計(jì)測(cè)試數(shù)據(jù)進(jìn)行測(cè)試,以此來驗(yàn)證處理的真實(shí)性、準(zhǔn)確性和完整性。例如,如果是一個(gè)薪資系統(tǒng),就在數(shù)據(jù)庫(kù)里設(shè)置一個(gè)虛構(gòu)的人物:如果是庫(kù)存系統(tǒng),就虛構(gòu)一種貨物:如果是電子數(shù)據(jù)交換系統(tǒng),就與其他組織的審計(jì)部門合作并且在數(shù)據(jù)庫(kù)中設(shè)立虛構(gòu)的實(shí)體;然后使用測(cè)試數(shù)據(jù)來更新這些虛構(gòu)的實(shí)體。這些數(shù)據(jù)將包含在通常的產(chǎn)品數(shù)據(jù)中輸入到ERP系統(tǒng)中去。
1.實(shí)現(xiàn)ITF的方法
實(shí)現(xiàn)ITF的方法有兩種:第一,測(cè)試數(shù)據(jù)的輸入方法;第二,有兩種針對(duì)虛構(gòu)實(shí)體輸入數(shù)據(jù)的方法。
第一種方法是對(duì)提交給所測(cè)試系統(tǒng)的在線輸入事務(wù)進(jìn)行標(biāo)識(shí)。ERP系統(tǒng)應(yīng)當(dāng)能夠識(shí)別這些經(jīng)過標(biāo)識(shí)的事務(wù)并且同時(shí)更新ERP系統(tǒng)主文件記錄和虛構(gòu)實(shí)體。識(shí)別ITF事務(wù)的方法如下:(1)在源文檔中用一個(gè)特定的數(shù)據(jù)項(xiàng)來說明;(2)在ERP系統(tǒng)中嵌入審計(jì)模塊來識(shí)別;(3)在ERP系統(tǒng)中嵌入一個(gè)采樣模塊,該模塊根據(jù)一定的采樣策略對(duì)ITF事務(wù)進(jìn)行標(biāo)識(shí)。
將在線事務(wù)標(biāo)識(shí)為ITF事務(wù)后不僅易于使用,而且可以用系統(tǒng)日常處理的典型事務(wù)來進(jìn)行測(cè)試。但也存在兩個(gè)問題:首先。使用在線數(shù)據(jù)意味著系統(tǒng)的局限性得不到測(cè)試;其次,包含在系統(tǒng)中用來識(shí)別那些經(jīng)過標(biāo)識(shí)的事務(wù)并對(duì)其進(jìn)行特殊處理的代碼,可能會(huì)對(duì)系統(tǒng)的正常運(yùn)行造成影響。例如增加系統(tǒng)的響應(yīng)時(shí)間或破壞數(shù)據(jù)完整性。
第二種數(shù)據(jù)輸入方法是設(shè)計(jì)新的測(cè)試事務(wù)并將它們與在線事務(wù)一起輸入到ERP系統(tǒng)中去,通過將虛構(gòu)實(shí)體的唯一標(biāo)識(shí)符作為這些事務(wù)的鍵值來將其標(biāo)識(shí)為ITF事務(wù)。這種方法有兩個(gè)優(yōu)點(diǎn):首先,可以基于測(cè)試數(shù)據(jù)計(jì)劃來生成測(cè)試數(shù)據(jù)。這樣測(cè)試數(shù)據(jù)就能更全面地覆蓋ERP系統(tǒng)的執(zhí)行路徑。其次,無需對(duì)ERP系統(tǒng)進(jìn)行修改以標(biāo)識(shí)ITF事務(wù),也無需對(duì)ITF事務(wù)進(jìn)行特殊處理。不過,測(cè)試數(shù)據(jù)計(jì)劃的制定需要消耗較多的時(shí)間和人力。
2.消除集成測(cè)試事務(wù)影響的方法
ERP系統(tǒng)中的ITF事務(wù)將會(huì)影響到輸出結(jié)果,除非通知客戶并手工對(duì)系統(tǒng)輸出作出調(diào)整,否則必須消除ITF事務(wù)對(duì)系統(tǒng)的影響。
有三種方法可以消除ITF事務(wù)的影響。
第一,修改ERP系統(tǒng)以標(biāo)識(shí)ITF事務(wù)并在任何可能影響用戶的處理中忽略它們。這種方法由于需求明確,易于實(shí)現(xiàn),同時(shí)審計(jì)活動(dòng)對(duì)用戶來說是透明的。
第二,提交額外的事務(wù)來抵消ITF事務(wù)的影響。這種方法的優(yōu)點(diǎn)是簡(jiǎn)單且無需修改系統(tǒng),不過也存在問題:(1)必須在ITF事務(wù)對(duì)輸出造成影響之前就提交,否則就無法對(duì)用戶透明;(2)為了維持?jǐn)?shù)據(jù)完整性,必須確保這些額外事務(wù)能夠正確執(zhí)行。但是。由于有時(shí)很難確定受到事務(wù)影響的所有記錄。因此也就無法正確地設(shè)定相應(yīng)的反向事務(wù)。
第三,提交不重要的數(shù)據(jù)減小ITF事務(wù)本身對(duì)系統(tǒng)的影響。這樣,事務(wù)的影響并不是真的消除了,只是它們對(duì)用戶的影響非常小。這種方法的優(yōu)點(diǎn)是簡(jiǎn)單不必修改系統(tǒng)。
(二)快照與延伸記錄
對(duì)于那些復(fù)雜的或大型的系統(tǒng)來說,跟蹤系統(tǒng)中不同的執(zhí)行路徑是很困難的,快照技術(shù)在ERP系統(tǒng)中的各個(gè)關(guān)鍵控制點(diǎn)嵌入程序模塊以獲取事務(wù)經(jīng)過這些點(diǎn)時(shí)的映像。為了驗(yàn)證事務(wù)在這些點(diǎn)的處理情況,這些映像包括處理前映像和處理后映像;然后通過比較這兩種映像,來判斷在該點(diǎn)的事務(wù)處理的真實(shí)性、準(zhǔn)確性和完整性。
實(shí)現(xiàn)快照技術(shù)需要解決三個(gè)問題:首先。依據(jù)控制點(diǎn)的重要性來決定是否設(shè)置快照,同時(shí)應(yīng)當(dāng)考慮對(duì)性能的影響:其次,決定何時(shí)進(jìn)行快照,既可以不斷地對(duì)重要的事務(wù)進(jìn)行快照,也可以在特定事務(wù)進(jìn)入系統(tǒng)前。對(duì)其進(jìn)行標(biāo)識(shí);再次,由嵌入的軟件在系統(tǒng)中根據(jù)標(biāo)識(shí),有選擇地進(jìn)行快照,還可以基于采樣計(jì)劃對(duì)各種事務(wù)進(jìn)行快照;最后,決定所獲取的快照數(shù)據(jù)的報(bào)告內(nèi)容。嵌入的軟件應(yīng)當(dāng)提供足夠的標(biāo)識(shí)和時(shí)間信息,才能夠判斷快照對(duì)應(yīng)的事務(wù)、快照的順序和時(shí)間。
快照技術(shù)有一種變型,稱為延伸記錄技術(shù)。這種技術(shù)并不是為每一個(gè)快照保持一條記錄,而是在事務(wù)流經(jīng)快照點(diǎn)時(shí),將快照記錄在同一條記錄上,并隨著事務(wù)的進(jìn)行,不斷延伸該記錄。延伸記錄的優(yōu)點(diǎn)是,所有與一個(gè)事務(wù)相關(guān)的數(shù)據(jù)都保存在同一個(gè)地點(diǎn),因此也就方便進(jìn)行審計(jì)評(píng)估工作。
可以將快照和延伸記錄技術(shù)與ITF技術(shù)相結(jié)合以提供更廣泛的審計(jì)線索。ITF提供了一條主記錄,可以針對(duì)它用各種類型的事務(wù)進(jìn)行測(cè)試。而快照和延伸記錄技術(shù)則為每一類事務(wù)提供一條其在ERP系統(tǒng)中處理過程的審計(jì)線索。
(三)系統(tǒng)控制審計(jì)審查文件(System Control Audit Review File,SCARF)
SCARF技術(shù)是四種持續(xù)審計(jì)技術(shù)中最復(fù)雜的一種。它要求在ERP系統(tǒng)中嵌入審計(jì)模塊以持續(xù)監(jiān)控系統(tǒng)中的事務(wù)。這些審計(jì)模塊被設(shè)置在預(yù)設(shè)的地點(diǎn)以收集事務(wù)信息或重要的系統(tǒng)事件。所收集的信息寫入一個(gè)特定的審計(jì)文件——SCARF主文件;然后通過檢查包含在其中的信息,確定需要對(duì)系統(tǒng)的哪個(gè)方面進(jìn)行跟蹤。
實(shí)施SCARF的兩個(gè)步驟:
1.確定SCARF收集的信息
SCARF嵌入審計(jì)軟件的性質(zhì)和控制點(diǎn)取決于所要收集的信息類型,信息類型如表1所示:
表1信息類型
由于SCARF嵌入式審計(jì)軟件的完整性對(duì)于由SCARF收集來的線索的可靠性很重要,應(yīng)當(dāng)仔細(xì)考慮如何保護(hù)軟件的內(nèi)容和完整性。應(yīng)當(dāng)將這些源代碼保存在庫(kù)文件中并且只允許得到授權(quán)的訪問,應(yīng)用程序使用調(diào)用語句而不是直接包含嵌入式審計(jì)軟件的源代碼,相關(guān)文檔也應(yīng)當(dāng)妥善地加以保存,應(yīng)當(dāng)仔細(xì)考慮如何對(duì)這些軟件進(jìn)行維護(hù)。
2.SCARF報(bào)告系統(tǒng)的結(jié)構(gòu)
SCARF報(bào)告系統(tǒng)的結(jié)構(gòu)由以下三方面決定:(1)確定如何更新SCARF文件;(2)選擇所要使用的排序編碼和報(bào)告格式;(3)選擇報(bào)告的時(shí)機(jī)。
如果要把SCARF和ITF以及快照和延伸記錄技術(shù)結(jié)合起來使用,就應(yīng)當(dāng)確保上述決策與其他技術(shù)的決策相符。
有一種更新SCARF文件的方法是讓每一個(gè)ERP系統(tǒng)創(chuàng)建一個(gè)臨時(shí)的SCARF工作文件;然后在適當(dāng)?shù)臅r(shí)候拷貝到SCARF主文件。這種方法很簡(jiǎn)單。但在臨時(shí)的SCARF工作文件被拷貝到主文件中以前,會(huì)存在數(shù)據(jù)片斷,這些數(shù)據(jù)片斷可能會(huì)妨礙到SCARF的有效性,因?yàn)樗恋K了對(duì)SCARF數(shù)據(jù)的及時(shí)分析。為了避免數(shù)據(jù)片斷的問題,可以讓SCARF系統(tǒng)并發(fā)地更新SCARF主文件。由于要處理并發(fā)操作的問題,一般通過使用數(shù)據(jù)庫(kù)管理系統(tǒng)予以解決。
應(yīng)當(dāng)仔細(xì)考慮SCARF使用的排序編碼,如果沒有適當(dāng)?shù)呐判蚓幋a,就無法有效地組織SCARF數(shù)據(jù)供審計(jì)使用。缺乏適當(dāng)?shù)膱?bào)告格式。會(huì)難以解釋SCARF系統(tǒng)提交的數(shù)據(jù)。SCARF系統(tǒng)會(huì)采集大量的數(shù)據(jù),如果不能有效地組織數(shù)據(jù)并進(jìn)行摘要,就可能會(huì)忽略那些表明錯(cuò)誤和違規(guī)的數(shù)據(jù)。
在大多數(shù)情況下,必須確定SCARF數(shù)據(jù)收集的時(shí)間間隔,即報(bào)告周期的長(zhǎng)短取決于所收集的審計(jì)線索的重要性和產(chǎn)生審計(jì)報(bào)告的成本。
三、結(jié)語
CA的數(shù)據(jù)審計(jì)技術(shù)能夠極大地提高傳統(tǒng)審計(jì)的質(zhì)量和效率,促進(jìn)審計(jì)模式的進(jìn)步和革新,這種影響是持續(xù)而深遠(yuǎn)的。隨著信息技術(shù)的發(fā)展,會(huì)有更多適合企業(yè)審計(jì)需求和更為智能化的審計(jì)技術(shù)出現(xiàn),從而不斷提升企業(yè)的管理水平和增強(qiáng)企業(yè)的競(jìng)爭(zhēng)力。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:ERP系統(tǒng)中持續(xù)審計(jì)的數(shù)據(jù)審計(jì)技術(shù)探析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1082038752.html