计算机审计研究(精选8篇)
利用计算机辅助审计技术研究
一、计算机辅助审计技术综述 (一)计算机辅助审计技术的含义和种类.计算机在会计和管理领域中渐趋广泛而深入的运用使得审计人员所审计的重要会计信息由计算机处理生成,由此产生了计算机信息系统环境下的审计(国际审计准则第15号称之为“电子数据处理(EDP)环境下的审计”).在EDP环境下,审计的.总目标和范围并没有改变,但是,EDP环境下要求审计人员在审计过程中将计算机技术的应用作为一项审计工作,也就是所谓的计算机辅助审计技术(简称CAATs).进一步说,计算机辅助审计是一种计算机程序,用来帮助审计人员组织、分析并筛选计算数据和其他的数据处理.
作 者:魏波 张曦 作者单位:刊 名:合作经济与科技英文刊名:CO-OPERATIVE ECONOMY & SCIENCE年,卷(期):“”(11)分类号:关键词:
一、城市供水审计中计算机审计的总体思路
通过对城市供水企业审前调查的基础上, 确定审计的内容分为电子数据采集与转换、计算机审计数据模型建立和城市供水审计中的计算机审计实施过程三大部分。城市供水审计的总体思路如图1所示。
电子数据采集与转换部分中, 对不同来源不同类型的数据采用不同的数据采集和转换方法, 将数据导入到AO中。其中包括财务数据、环保局的水环境影响企业数据和工商提供的特种行业企业相关数据采用AO中的模板工具进行数据的导入;城市供水企业营业收费系统的SQL Server备份数据, 首先使用SQL Server 2005将其恢复, 然后对营业收费系统中按月存放的抄表信息数据、抄表信息明细数据、用户信息数据和调整减免数据进行合并转换。
计算机审计数据模型建立部分中, 通过理解城市供水企业营业收费业务流程, 并分析采集转换后的电子数据之间的关系, 建立数据模型, 并分析数据模型中的关键审计点, 为计算机审计实施过程提供审计方向。
二、城市供水审计中计算机审计数据模型的建立
计算机审计区别于传统手工审计的一个主要特征就是构建审计分析模型, 用模型对审计数据进行分析。审计分析模型是审计人员用以进行数据分析的技术工具, 它是按照审计事项应该具有的时间或空间状态 (例如结构、数量关系等) , 由审计人员通过设定判断和限制条件, 建立起数学的或逻辑的表达式, 用于验证审计事项实际的性质或数量关系, 从而对被审计单位经济活动的真实性、合法性和效益性做出科学的判断。通过对城市供水企业的营业收费系统后台数据表间关系的分析和具体业务流程的理解, 建立了城市供水营业收费数据模型, 如图2所示。
从建立的模型中用户性质、抄表信息、调整减免信息及水费信息为关键审计点。其中水费的收取与抄表数据和调整数据有关, 也跟用户性质的设置有关。因此水费的审计应作为整个计算机审计的重点。
三、城市供水审计中计算机审计的实施过程
从建立的数据模型中分析关键审计点, 将水费作为计算机审计实施的重点。对于水费这个关键点又可以分为水费收入的合规性以及营业收费系统关于水费收取的功能是否满足要求这两方面。
(一) 城市供水企业水费收入合规性审计
首先对财务系统中售水量和应收金额与营业收费系统后台数据一致性进行审计。城市供水企业财务系统中的售水量数据和应收金额数据都来自其营业收费系统前台每月报表数据。通过对营业收费系统的后台数据进行计算后与财务系统中的售水量和应收金额数据进行对比, 可以验证营业收费系统前后台数据的一致性。年度售水量和应收金额的计算分为四个部分, 分别为抄表信息部分、调整减免部分、冲红部分和暂收款部分。其次对水价政策执行合规性进行审计。根据物价局文件规定城市供水企业水费收取执行分类售水价格。售水分类为:居民生活、非经营性 (行政事业) 、经营性 (一般工商企业) 、经营性 (水环境影响企业) 、特种行业、中高层二次供水及转供用水等。在城市供水营业收费系统中以简号字段来定义售水分类。因此, 可以根据物价局的水价调整点, 分调价前和调价后两个时段对不同性质的用户的售水数据做售水价格检查。再次对用水性质界定合规性进行审计。物价局对用水性质界定标准有明文规定。根据物价局对水价分类的规定, 将营业收费系统后台用户数据与工商局提供的特种行业企业数据、环保局提供的水环境影响企业数据进行对比;从营业收费系统后台居民阶梯用户数据中审查户名为企业的用户;审查城市供水企业总公司及下属分公司所用水表的用水性质界定, 从而对用水性质界定的合规性进行审计。最后对水费减免合规性进行审计。在抄表信息表中存在抄见水量和实收水量两个字段。抄见水量通过本次抄表数减去上次抄表数计算所得。实收水量为实际进行收费的水量。本项审计通过提取抄见水量与实收水量不一致的记录, 进行原因分析和延伸审计。
(二) 营业收费系统功能审计
首先对售水价格调整功能进行审计。通过水价政策执行合规性审计中的发现营业收费系统后台数据中存在未及时按规定调整水价的记录。对营业收费系统前台功能进行检查, 发现售水价格调整功能只是提供价格的调整, 而没有规定价格调整的时间, 且价格的调整前并没有强制要求进行抄表来清算价格调整前的使用水量。其次对长期未收款管理功能进行审计。在转供水与中高层住宅二次供水收费管理审计中对长期未收款进行了计算, 发现系统对长期未收款没有进行有效处理。有些水表有较大金额的水费未销账, 但依旧在正常抄表和正常付费。再次对长期未抄表水表管理功能进行审计。筛选用户状态正常, 但多年未进行抄表的用户信息记录插入“长期未抄表用户”临时表。对长期未抄表用户进行分类, 并进行原因分析和延伸审计。最后对长期抄见水量为零水表管理功能进行审计。筛选将用户状态正常, 但多年以来抄见水量为零的抄表信息记录插入“抄见水量长期未零”临时表。对长期抄表为零用户进行分类, 并进行原因分析和延伸审计。
参考文献
[关键词]计算机辅助审计 持续审计 嵌入式审计多 Agent
[中图分类号]F224-39 [文献标识码]A [文章编号]1672-5158(2013)06-0116-02
[基金项目]中南财经政法大学硕士生实践创新课题:持续审计中“洪泛报警”问题对用户满意度的负面影响因素研究。项目批号:2012S2004;中南财经政法大学融通型拔尖创新人才项目。项目名称:“基于多Agent技术的审计模式的研究”。项目批号:2012RT09。
1 研究背景
信息系统环境下的商务模式中,大量的审计证据不再以传统的纸质方式存在,而是通过电子数据交换EDI(Electronic Data Interchange)等方式以电子数据作为载体进行数据的传输、存储和处理。传统的手工方式在信息化的经营环境下已经无法适用,审计工作必须做出针对性地调整,于是计算机辅助审计技术迅速成为关注的重点。近二十年来,随着计算机网络、数据库等技术的迅速发展,使得计算机辅助审计朝着更加实时化的方向发展。于是持续审计技术应运而生,并且在近二十年得到了迅速的发展,持续审计技术的出现使得传统审计方式下难以实现的事中审计变得简单。2002年美国国会签署通过的萨班斯法案(SOX-Oxley Act)促使大量的企业开始寻求持续审计等先进的计算机辅助审计手段来满足法案要求。持续审计技术已经成为了审计证据电子化环境下的一种发展方向和趋势,在企业界和学术界都得到了很大的关注。普华永道会计师事务所于2006年发布的名为《2006内部审计状况职业研究》的报告结果表明,被调查的美国公司中有半数的公司目前正在使用“持续审计”技术。
2 持续审计的内涵和发展
VarSarhelyi和Halper在1991年最早提出了在线技术和现代网络对审计过程带来的好处,并且以此为基础建立了持续审计的实验模型对AT&T;开票数据进行持续的监控和控制(Alies等,2006)。Varsarhelyi和Halper当时虽然并没有给出持续审计的准确定义,但是却诱发了随后大量的关于持续审计的研究和探索。美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)于1999年发布了报告对持续审计进行定义,指出:持续审计是一种方法学,使独立审计人员使用一系列审计报告,对某一事项提供书面鉴证,而且这些审计报告是在被审计事项发生的同时或很短的一段时间后发布的。定义中强调了持续审计技术区别与其它计算机辅助审计技术的关键,在于其更好的时效性。持续审计的出现已有近二十余年的历史,并伴随着计算机网络、数据库、人工智能等技术等信息技术的发展而成熟。诸如ADM等优秀的持续审计框架已经被提出并得到了很好的实践,市场已经出现了一些诸如ACL一样的提供持续审计技术服务的专业公司。
3 当前的持续审计模型
持续审计模型作为持续审计技术的实现基础,一直是持续审计工作中研究的重点。已经有一些专门的模型被提出来并已投入应用,当前的持续审计模型按其框架主要可以分为EAM(embedded audit modules)、ADM(Audit data marts)、ABCAM(An agent based continuous auditmodel)三类。其中EAM和ADM的研究时间最长,影响也最为广泛,并且已经有一些相应的商品软件出现。
3.1 EAM模型
Groomer和Murthy(1989)提出了EAM(embedded audit modules)模型。在EAM模型下,具有审计功能的软件模块被以组件的形式被植入到被审计单位的信息系统中,并按照事先设定的审计规则对系统中的事务进行实时审计。一旦发生异常,异常情况将会以异常报告的方式实时的报告给审计人员,EAM被称为嵌入式CA。由于在EAM模型下,审计模块被嵌入到了企业的信息系统之中,并通过事件方式实现实时触发,故其对异常情况的响应速度极快,可以实现近乎真正意义上的实时审计。但因为需要在原本审计良好的信息系统中植入审计模块,其面临着以下的一些明显缺陷:
(1)对企业ERP系统产生的不利影响。由于大多数ERP系统在开发之初并没有将EAM作为系统的必备组件进行统一考虑和设计,EAM被以附加组件的方式开发并植入到了原本良好设计的ERP系统中,从而可能对原有系统的运行带来了严重的不利影响。Henrickson(2009)通过调查指出,正是由于EAM方式对企业原有系统运行带来的不利影响,导致了大多数企业在实施持续审计时都拒绝采用此种方式。
(2)高昂的实施、维护成本。在EAM方式之下,EAM模块需要植入到原有的企业信息系统之中。但是很多企业由于拥有子公司等原因,其往往拥有多个信息系统。在这种情况下,就需要针对各个信息系统的不同的结构,进行专门的设计、测试、设施以保证EAM和企业原信息系统的有效集成,这项工作会耗费大量的人力和财力。EAM的高昂成本还来自于其后期的维护工作中,当审计人员需要对测试规则、方法等进行修改时,他们必须与负责企业信息系统运维的IT部门进行沟通和协商,这大大的降低了审计活动的效率,并且需要对不同系统上的EAM都进行同样的修改,导致了费用的重复。
(3)违背审计人员的独立性原则。在EAM实施、维护的过程中,审计人员需要与被审计单位的人员密切交流和合作,以保证审计模块的正常的运行,这违背了审计人员的工作应保持独立、公正的原则。
3.2 ADM模型
Varsarhelyi和Halper(1991)在贝尔实验室开发的CPAS(ContinuousProcess Auditing System),是ADM(Audit data marts)方式的原型。在ADM模型下,企业信息系统中的运营数据经过采集、清洗后被存储在专门的审计数据仓库上后,在另一个独立于企业信息系统的审计平台上执行审计检查。
在ADM模型下,执行相应审计功能的程序模块并不直接运行在企业的信息系统上,而是通过程序模块不断的从被审计企业的信息系统中采集数据到专门的数据库中,由网络传输到另一个执行审计功能的工作平台上,在这个平台上独立的执行审计功能。故ADM这种借助于数据集市,在独立审计平台上执行审计检查的方式,又被称为分离式CA。区别于EAM方式,ADM方式并不在被审计单位的系统上执行审计检查,而是通过采集的数据在另一个系统上进行审计工作。ADM方式有效的避免了EAM方式下需要将审计模块嵌入到被审计单位系统,从而对企业系统的运行产生不利影响的缺点,并且审计人员可以根据需要灵活的修改和添加审计模块而无需被审计方人员的支持,以此保证了审计人员的独立性。但由于ADM方式下,需要通过网络将企业的数据采集并放置到专门的数据库上以供执行审计分析,使ADM方式面临了以下的一些缺陷:
(1)网络中断问题。在ADM方式下必须经过网络将从企业信息系统中采集的数据传输到另一平台上进行执行分析,于是产生了对网络连接的极大依赖。网络连接一旦发生故障,相关的审计活动将无法正常的展开。尽管随着网络技术的进步,现代的网络已经越来越可靠,但是偶尔零星的故障仍然会是一个影响持续审计活动的明显问题。
(2)延时问题。由EEAM方式下,相关监督活动直接执行在企业的本地信息系统,不需要额外的信息传输。相关违规活动一旦发生,本地监督活动将以近乎实时的方式将其检测出,几乎不存在时延问题。而在ADM方式下,由于需要从被审计单位采集数据并通过专用网络传输到审计端的数据库中,而后再进行相应的审计工作。数据的采集和数据的传输都会耗费一定的时间,从而对持续审计中最为关键的时效性指标带来不利影响。
(3)敏感数据问题。在ADM方式下,审计单位需要从被审计企业的系统中采集大量的运营数据,其中不乏一些敏感的关键数据。如何保证此类关键数据不泄露以对被审计单位造成不良影响,也是很多企业在实施ADM模型时十分关心的一个敏感问题。
ADM方式虽然面临着网络中断、延时等问题,但其与被审计的信息系统低耦合,在实现、维护容易程度方面较EAM方式具有明显优势。ADM模型是目前持续审计中使用得最为普遍的模型,大量的持续审计软件提供商都采用了此种架构。以CPAS模型为基础,还派生出了一些优秀的ADM模型,其中比较有名的有其中比较有名的有Rezaee(2003)模型。
3.3 ABCAM模型
Charles(2007)等人提出了一种基于Agent的持续审计模型ABCAM,并详细阐述了如何利用Agent模拟执行了除观察和询问外的审计程序。
ABCAM模型由代理服务器、审计程序知识库和AgentN型库三部分组成。审计程序知识库中包含有Agent模型库中所具有的Agent种类、职能、配置参数等基本信息,还包含了审计任务分解的知识。AgentN型库中包含了ABCAM模型中所具有的Agent~的源代码。代理服务器AgencyService Server中包括用户接口模块、审计程序模块、Agenti调用和执行模块。接口模块负责与用户进行交互,审计程序模块负责对接口模块递交的审计任务进行分解以制定详细的审计计划,Agenti调用和执行模块负责按照程序模块制定的审计计划对Agent进行分发和回收的管理。
ABCAM模型下,用户请求被分解为具体的审计任务,并将具体的审计任务按其类别派发给具体的审计Agent。审计Agent在作业时,能够自治的在数据站点进行数据的采集和检查,返回代理服务中心时只携带审计结果,极大的减轻了信息传输量和对网络的依赖,并且解决了敏感数据的保密性问题。即使在出现临时网络中断的情况下,也不会影响审计Agent的审计作业。然而ABCAM模型也存在着以下的问题:
(1)Agent之间缺少协作。在ABCAM模型下,分派出的审计Agent在各自的站点上独立的完成自己的审计任务,缺乏协调与沟通。当需要执行一些需要涉及多个数据库或涉及第三方数据库的审计程序时,只能由单一的Agent在不同的站点上移动来回采集数据,降低了审计工作的效率。
(2)Agent频繁移动造成的网络带宽的浪费。在ABcAM模型下,Agent返回审计结果的方式是Agent携带审计结果返回代理服务中心,频繁的派发和返回会耗费大量的带宽。
(3)“洪泛报警”问题。Debreceny等(2003)和Alles等(2006)指出计算机在审计作业时,会出现大量的同质报警信息,导致“洪泛报警'的情况发生。审计人员接受到的系统反馈的冗余的报警信息会猛增,从而降低了审计人员的工作效率。ABCAM模型下,审计Agent返回的信息只是通过接口模块简单的对审计结果进行格式转换和整理,并不能应对此问题。
4 总结和展望
审计发„2007‟44号
审计署关于印发国家审计数据 中心基本规划——计算机审计
实务公告第5号的通知
各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局:
国家审计数据中心基本规划——计算机审计实务公告第5号经署领导同意,现予印发。
审计数据规划是审计正规化、标准化、信息化的必由之路。建设审计数据规划和审计方法体系,有助于“把握总体、突出重点”,开展宏观决策分析、多维数据分析、数据挖掘分析,提高审计工作质量和层次;有助于在数据标准化和技术方法体系化条件下的审计应用、信息共享和交换,提高中央和地方审计工作的业务协同和信息共享水平。
国家发展改革委批准立项的金审工程二期项目,确定建
设国家审计数据中心和省级地方分中心。为此,审计署启动了国家审计数据中心数据规划的编制工作。包括制定《基本规划》、若干行业审计的《专业规划》,以及规定数据规范和共享交换技术实现的《系统规划》。
本规划指导其他各规划的编制和建设。
各地在执行本规划中遇到的问题,请与审计署计算机技术中心联系。
联系人:孙中和
(010)68301279
二○○七年六月十三日
国家审计数据中心基本规划 ──计算机审计实务公告第5号
审计署计算机技术中心 审计署信息化建设办公室
目录
1.前言...........................................................10 2.引言...........................................................10 3.范围...........................................................10
4.规范性引用文件.................................................12 5.术语和定义.....................................................12 5.1.实体....................................................12 5.2.数据元素................................................12 5.3.数据表(集)............................................13 5.4.目录内容................................................13 5.5.交换域..................................................13 5.6.审计业务管理信息资源....................................13 6.概述...........................................................13 7.技术总体构架...................................................15 8.目录体系规划...................................................16 8.1.组成....................................................16 8.1.1...........................................信息库系统 17 8.1.2.........................................目录服务系统 19 8.2.目录资源分类............................................23 8.2.1.............................................资源分类 23 8.2.2.............................................代码结构 24 9.数据元素规划...................................................26 9.1.分类方法................................................26 9.2.业务界定................................................26 9.3.数据元素................................................27 9.3.1.........................................数据元素描述 27 9.3.2.........................................短名命名规则 28
9.3.3...........................................标识符规则 29 9.4.数据表(集)............................................29 9.4.1.................................................分类 29 9.4.2.............................................编码规则 29 9.4.3...........................................数据表描述
10.30 交换体系规划................................................46 10.1.组成....................................................46 10.2.交换方式................................................47 10.2.1............................................审计应用 47 10.2.2............................................信息共享 47 10.2.3............................................信息交换 49 10.3.交换域..................................................51 10.3.1................................................分类 52 10.3.2....................................审计机关内部交换 53 10.3.3....................................审计机关之间交换 54 10.3.4..................................审计机关与现场交换 54 10.3.5..............................审计机关与电子政务交换 54
10.3.6..............................审计机关与社会公众交换 55 10.4.数据接口模型............................................55 10.4.1............................................接口模型 55 10.4.2..........................................数据表描述 56 10.4.3............................................数据结构 56 10.4.4..............................................数据集
11.61 专业规划编制规则............................................62 附录1 信息资源分类表..............................................65 附录2 审计机关目录表(表中前段码JGA00略)........................67 附录3数据元素示例.................................................70 附录4 数据表分类示例..............................................71 附录5数据表XML Schema............................................72 附录6数据表示例...................................................91 附录7审计应用交换方式实现流程示例.................................96 附录8 信息共享交换方式实现流程示例................................97 附录9信息交换方式实现流程示例.....................................99 附录10审计机关内部信息交换域示例.................................101 附录11 审计机关之间信息交换域示例................................102 附录12 审计机关与现场信息交换域示例..............................103 附录13 审计机关与国家电子政务平台交换域示例......................103 附录14审计机关与社会公众信息交换域示例...........................104 附录15 数据接口模型的XML Schame..................................105 附录16 数据接口数据示例..........................................136
前言
本规划的附录为规范性附录。
本规划由审计署计算机技术中心、信息化建设办公室提出。
本规划的起草单位:审计署计算机技术中心、信息化建设办公室。
本规划的主要起草人:王智玉、周德铭、杨蕴毅、陈立民、孙中和、袁晖。
引言
金审工程的最终目标是建成国家审计信息系统,增强审计机关在信息化条件下履行审计监督职责的能力。国家审计信息系统的一个重要内容是建设国家审计数据中心。根据国家电子政务总体规划、电子政务信息资源建设标准、会计核算软件数据接口国家标准等,审计署组织国家审计数据中心的数据规划,实现审计信息资源规范化与标准化的建设和利用。
范围
国家审计数据中心包括审计署建设的国家审计数据中心、省级政府审计机关建设的国家审计数据中心地方分中心。
—10— 国家审计数据中心的数据规划是对审计工作中获取的和形成的基础数据,以及对基础数据的审计应用、共享和交换进行规划。数据规划的内容结构包括基本规划、专业规划和系统规划。基本规划规定目录体系的资源分类、信息资源的数据元素规划、交换体系的交换方式与技术实现等规划规则,指导专业规划和系统规划的数据规范和应用实现。专业规划规定各专业审计的数据规范规则。系统规划规定数据管理和共享交换的技术实现规则。
本规划为国家审计数据中心基本规划。基本规划按照审计应用、信息共享、信息交换的需求,对信息资源、目录体系、交换体系三个组成部分进行规划。制定目录体系的资源分类和编码规则,信息资源的数据元素和数据表的业务界定与编制规则,交换体系的技术构架、交换方式和技术实现规范。
本规划适用于审计署和省级政府审计机关组织专业规划和系统规划的设计。
本规划的使用对象为国家审计数据中心和地方分中心的规划方、建设方、管理方及其他相关人员。
—11— 规范性引用文件
下列文件中的条款通过本规划的引用而成为本规划的条款。
GB/T XXXX-XXXX《政务信息资源目录体系》
GB/T XXXX-XXXX《政务信息资源交换体系》
GB/T 19581-2004《信息技术 会计软件数据接口》
术语和定义
本规划规定的以下术语和定义适用于本规划,以及本规划所指导的专业规划和系统规划。
实体
一组说明数据相关特性的数据元素。
注:可以包含一个或一个以上的实体。
数据元素
用一组属性描述定义、标识、表示和允许值的数据单元,是审计信息资源的不可分割的基本单位。参见《信息技术 会计核算软件数据接口》3.7数据元素。
—12— 数据表(集)
按照特定审计目标组织的相关数据元素的集合。
目录内容
编目形成的数据元素的实例。参见《政务信息资源目录体系》第一部分 总体框架。
交换域
为实现特定信息资源交换的逻辑域。
审计业务管理信息资源
审计业务和审计管理信息资源的总称。审计业务管理信息库是审计业务和审计管理信息资源的数据库总称。
概述
国家审计信息系统总体框架包括应用系统、应用支撑、信息资源、网络系统、安全保障和服务保障6大系统(见图6.1)。
—13— 审计管理系统安全保障体系现场审计系统应用支撑信息资源网络基础设施联网审计系统服务保障体系
图6.1 国家审计信息系统总体框架
国家审计数据中心是国家审计信息系统的重要组成部分,其总体构架包括信息资源、目录体系、交换体系,以审计信息资源为基础,依托技术实现构架,通过提供目录服务和交换服务,实现审计应用、业务协同和资源共享。国家审计数据中心总体构架及其在国家审计信息系统中的地位见图6.2。
审计管理系统安全保障体系目录体系现场审计系统联网审计系统交换体系服务保障体系信息资源网络基础设施
图6.2 国家审计数据中心总体构架及其地位示意图
审计署建设的国家审计数据中心管辖审计署机关、派出审计局和特派员办事处的审计业务管理信息资源,以及与地方分中心和电子政务、社会公众的共享交换信息。省 —14— 级政府审计机关建设的国家审计数据中心地方分中心管辖省本级审计机关、所属地市和区县级政府审计机关的审计业务管理信息资源,以及与国家审计数据中心、电子政务、社会公众的共享交换信息。
国家审计数据中心与地方分中心的体系构架见图6.3。
国家审计数据中心国家审计数据中心AA地方分中心国家审计数据中心BB地方分中心……国家审计数据中心ZZ地方分中心 图6.3 国家审计数据中心与地方分中心的体系构架
技术总体构架
本规划的技术总体构架包括目录体系、信息资源、交换体系。目录体系规划依据《政务信息资源目录体系》,制定目录体系资源分类、目录编制与注册、目录与相关信息连接的规范。信息资源规划依据本规划目录体系的资源分类和《信息技术 会计软件数据接口》的规定,制定专业规划的具体目录体系、数据元素和数据表的编制原则与编写规则。交换体系规划依据《政务信息资源交换体系》,制定审计应用、信息共享和信息交换的交换方式、交换流程、交换规则。
—15— 国家审计数据中心基本规划总体构架见图7.1。
使用方审计应用交换体系信息共享共目录服务系统享区目录管理系统信息交换交前置交换系统换区交换管理系统目册系统录体系目录编制系统目录注应用目录系统应用目录信息库专业服务信息库共享目录系统共享目录信息库共享信息库交换目录信息库交换信息库交换目录系统交换桥接信息资源管审理计信业息务审计业务管理信息库提供方
图7.1 国家审计数据中心基本规划总体构架
目录体系规划
组成
审计信息资源目录体系技术构架包括信息库系统和目录服务系统。信息库系统由应用目录信息库、专业目录信息库、共享目录信息库、共享信息库、交换目录信息库、—16— 交换信息库组成。目录服务系统由目录编制系统、目录注册系统、应用目录系统、共享目录系统、交换目录系统、交换桥接系统组成。
目录体系技术构架见图8.1。
交换体系目录注册系统应用目录信息库共享目录信息库交换目录信息库目录体系信息资源目录编制系统专业目录信息库应用目录系统共享信息库共享目录系统交换信息库交换目录系统桥接系统审计业务管理信息库
图8.1 目录体系技术构架
信息库系统
(1)专业目录信息库
专业目录信息库存储本专业审计的目录内容,与审计业务管理信息库相连接,是本规划目录内容的基础库。
(2)应用目录信息库
—17— 应用目录信息库存储由专业目录信息库注册的专业目录内容,是专业目录信息库目录内容的汇聚,是本规划目录内容的基本库。
⑶ 共享目录信息库
共享目录信息库存储由应用目录信息库注册的应用目录内容,由交换目录信息库注册的交换目录内容,以及由目录编制系统编制的共享目录内容。
⑷ 共享信息库
共享信息库存储由应用目录内容通过专业目录信息库与审计业务管理信息库相关联的业务管理信息,由交换目录信息库注册的目录内容与交换信息库相关联的交换信息,以及由编制的共享目录内容相关联的共享信息。
⑸ 交换目录信息库
交换目录信息库存储由目录编制系统编制的交换目录内容。
⑹ 交换信息库
交换信息库存储反映交换目录信息库目录内容的交换信息和接收的交换信息。
—18— 目录服务系统
⑴ 目录编制系统
目录编制系统依据本规划8.2.1资源分类、8.2.2代码结构的要求,对审计业务管理信息进行分类,提取其基本特征,从而形成专业目录、应用目录、共享目录和交换目录内容的系统。目录编制系统在应用目录系统中汇聚专业目录内容,在共享目录系统和交换目录系统中编制共享目录内容和交换目录内容。
⑵ 目录注册系统
目录注册系统的功能包括:将专业目录信息库中的目录内容注册到应用目录信息库,将应用目录信息库中的相关目录内容注册到共享目录信息库、将交换目录信息库中的相关目录内容注册到共享目录信息库。
⑶ 应用目录系统
应用目录系统包括目录编制系统、目录注册系统、目录信息库管理系统、数据接口、应用接口五个部分。目录信息库管理系统负责对专业目录信息库和应用目录信息库的建立、维护和管理。数据接口负责审计应用与审计业务管理信息库的连接。应用接口
—19— 负责审计应用与应用目录信息库目录内容的连接。应用目录系统基本结构示意图如图8.2所示。
审计应用应用目录系统目录信息库管理子系统应用接口应用目录信息库目录注册子系统专业目录信息库数据接口目录编制子系统审计业务管理信息库
图8.2应用目录系统基本结构示意图
⑷ 共享目录系统
共享目录系统包括共享内容的目录编制系统、目录信息库管理系统、目录注册系统数据接口、共享接口、数据接口五个部分。目录注册系统数据接口负责受理应用目录信息库、交换目录信息库的目录内容注册到共享目录信息库。共享接口负责共享目录信息库目录内容与10.2.2信息共享中的目录服务系统的连接。数据接口负责共享信息库内容的定时更新。目录信息库管理系统负责对共享目录信息库的建立、维护和管理。—20— 共享目录系统基本结构示意图如图8.3所示。
共享服务共享接口应用目录信息库目录信息库管理子系统目录注册系统数据接口目录注册系统数据接口共享目录信息库交换目录信息库目录编制子系统共享信息库数据接口共享目录系统审计业务管理信息库
图8.3共享目录系统基本结构示意图
⑸ 交换目录系统
交换目录系统包括交换内容的目录编制系统、目录注册系统、交换接口、目录信息库管理系统四个部分。交换接口负责交换目录信息库目录内容与10.2.3信息交换中的交换服务系统的连接。目录信息库管理系统负责对交换目录信息库的建立、维护和管理。交换目录基本结构示意图如图8.4所示。
—21—
交换服务交换接口共享目录信息库目录注册子系统交换目录信息库交换信息库管理子系统交换目录系统交换桥接目录编制子系统交换信息库审计业务管理信息库
图8.4交换目录系统基本结构示意图
⑹ 桥接系统
桥接系统由桥接管理系统、交换接口、桥接服务等部分组成。管理系统提供日志管理、安全管理等基本功能;交换接口是利用9.2.3交换服务系统配置的交换流程描述信息,生成审计业务管理信息库与交换信息库之间桥接服务描述信息。
桥接服务是利用交换接口生成的桥接服务描述信息实现审计业务管理信息库与交换信息库之间数据在线交换。桥接系统基本结构示意图如图8.5所示。
—22—
交换信息库交换服务系统交换接口桥接管理系统桥接服务交换桥接系统审计业务管理信息库
图8.5桥接系统基本结构示意图
目录资源分类 资源分类
《政务信息资源目录体系》规定了政务信息资源分类为主题分类和政务机构分类。主题分类根据政务信息资源内容的属性或特征,分为21个一级类,132个二级类。其中,审计列为财政一级类中的二级类。政务机构分类根据政务部门设置分为75个一级类。
根据《政务信息资源目录体系》的规定,审计信息资源分类按审计专业进行分类,审计专业分类根据审计信息资源内容的属性或特征,分为2个一级类,23个二级类(见附录1)。专业规划可根据实际需要扩展分类。
—23— 根据《政务信息资源目录体系》的规定,参照《审计署金审工程审计机关组织机构编码规则》建立审计机关目录表(见附录2)。
代码结构
《政务信息资源目录体系》规定了主题分类中的审计类代码为ZHF00,政务机构分类中的审计类代码为JGA51。
根据《政务信息资源目录体系》的规定,编制审计专业分类代码。将《政务信息资源目录体系》规定的5位代码为前段码,加本规划代码的后段码。后段码分为分类码和流水码,中间用“/”作分隔符。分类码的长度和编制规则本规划不作规定,但前两位码由本规划的两级资源分类规定,后若干位为资源分类扩展码,其代码长度由各专业规划确定,代码用大写罗马字符或阿拉伯数字表示;流水码为本规划的数据表代码,用4位阿拉伯数字表示。审计专业分类代码结构见图8.6。
—24— 前段码X X XXX分类码XX X..X后段码+/+流水码XXXX数据表4位流水码分隔符“/”预留给专业数据规划进行分类的多位标识符基本规划中的二级类标识符基本规划中的一级类标识符二级类,1位大写罗马字符加2位阿拉伯数字一级类,1位大写罗马字符面区别码,1位大写罗马字符图
8.6审计专业分类代码结构图
根据《政务信息资源目录体系》规定,编制审计机关代码。将《政务信息资源目录体系》规定的5位代码为前段码,加本规划代码的后段码。后段码分为分类码和流水码。分类码为国家标准规定的审计行业码,用“319”阿拉伯数字表示,流水码根据国家行政区划结合审计实际由审计署统一规定,用12位阿拉伯数字和罗马字符表示。审计机关代码结构如图8.7所示:
—25— 前段码X X XXX分类码XXX后段码流水码XXXXXXXXXX按照国家行政区划确定的编码国家标准规定的审计行业码二级类,1位大写罗马字符加2位阿拉伯数字一级类,1位大写罗马字符面区别码,1位大写罗马字符
8.7 审计机关代码结构图
数据元素规划
分类方法
数据元素分类是为方便使用和管理。数据元素可使用多种方式分类,本规划采用信息资源在经济活动中自然归属的特性来分类,包括实体和数据元素。
业务界定
界定审计业务和相关数据的清晰程度。对已清晰的审计业务和相关数据列入专业规划。
—26— 数据元素 数据元素描述
数据元素的描述格式如下:
⑴ 数据元素的标识符:是数据元素的唯一标识,采用四位流水码标记。
⑵ 数据元素的名称:数据元素的中文名称。
⑶ 数据元素的说明:数据元素的含义描述。
⑷ 数据元素的表示:数据元素值的类型及长度的表示形式,按照GB/T 18142的要求,具体表示如下:
c
表示数字、字母、汉字及其他字符等
cn 表示n位字符的固定长度
c..n 表示最多为n位字符的可变长度
DI..n 表示最多为n位的十进制整数可计算形式
Dm.n 表示十进制小数可计算形式,m表示包含小数点前后字符位在内的最多字符位数,n表示小数点后的最多字符位数
—27— ⑸ 数据元素的英文名称:一般用英文全称。以一个大写字母开头。多个单词连写,其中每一个新的单词开头为大写字母。
⑹ 数据元素的短名:参见9.3.2。
⑺ 数据元素的注释:与该数据元素相关的其它说明,对含义的进一步解释,包括约束/条件(必选、可选或条件必选)和最大出现次数。当该为条件必选时,应注明其约束条件。
短名命名规则
数据元素的英文短名遵循以下规则:
⑴ 短名在本标准范围内必须唯一。
⑵ 对存在国际或行业领域惯用英文缩写的词汇等数据元素对象,采取该英文缩写为其标识符。
⑶ 对于根据英文名称或其他认识自定义的标识符,在保持唯一性的前提下统一取每个单词前三个字母作为其短名缩写标识,当如此取词不能保证唯一性时应延展取词位数,通常仅增加一位,如此仍不能保证唯一性时如前继续延长取词,直至保证唯一 —28— 性为止。
⑷ 对于数据元素的短名标识的写法是,所有组成词汇的缩写为无缝连写,首词汇全部采用小写字母,其余每个词汇的缩写的首字母采用大写。
标识符规则
数据元素标识符采用4位流水码。数据元素示例见附录3。
数据表(集)
数据表(集)是按照特定审计目标组织的相关数据元素的集合。包括结构化数据和非结构化数据。
分类
数据表分为基础表和分析表。基础表是根据审计管理或专业审计目标组织的所需数据元素的集合,是反映审计管理或专业审计所需基础信息的数据表。分析表是为满足特定审计目标的多维分析、决策分析对基础表进行重组形成的数据表。
编码规则
数据表编码按照8.2.2代码结构中的流水码,用四位流水码表示。数据表分类示例
—29— 见附录4。
数据表描述
数据表中包含6个必选的实体和元素,分别是:资源名称、资源摘要、资源负责方、资源分类、资源标识符和数据项说明;此外,数据表还包括12个可选的实体和元素。
描述:
(1)资源名称
说明:所描述的资源的一种大概的或描述性的题目
表 示:字符串
英文名称:resource title 短 名:resTitle 注 释:必选项;最大出现次数为1(2)资源出版日期
说 明:发布数据表的日期
—30— 英文名称:date of publication 表 示:日期型、按GB/T 7408-2005执行,格式为CCYY-MM-DD 短 名:pubDate 注 释:可选项;最大出现次数为1(3)资源摘要
说 明:资源内容的简单说明
英文名称:abstract 表 示:字符串、自由文本
短 名:abstract 注 释:必选项;最大出现次数为1(4)资源负责方
说 明:对资源的完整性、正确性、真实性等负有责任的审计机关的名称和地址信息
—31— 英文名称:PointOfContact 表 示:复合型
短 名:IdPoC 注 释:必选项;最大出现次数为N a)资源负责单位
说 明:负责单位名称
英文名称:organisation name 表 示:字符串、自由文本
短 名:rpOrgName 注 释:必选项;最大出现次数为1 b)资源负责方地址
说 明:与负责单位联系的物理地址
英文名称:address —32— 表 示:字符串、自由文本
短 名:cntAdd 注 释:可选项;最大出现次数为1 c)资源负责方电子邮件地址
说 明:资源负责单位联系人的电子邮件地址英文名称:electronic mail addrss 表 示:字符串、自由文本
短 名:eMailAdd 注 释:可选项;最大出现次数为N(5)资源格式信息
说 明:资源传送格式的基本信息
英文名称:DataFormatInformation 表 示:复合型
—33—
短 名:FmInfo 注 释:可选项;最大出现次数为N a)资源格式名称
说 明:资源传送格式名称
英文名称:format name 表 示:字符串、自由文本
短 名:fmName 注 释:必选;最大出现次数为1 b)资源格式版本
说 明:资源格式版本(日期、版本号等)
英文名称:version 表 示:字符串、自由文本
短 名:fmVer —34— 注 释:必选;最大出现次数为1(6)关键字说明
说 明:关键字种类和参考资料
英文名称:DescripriveKeywords 表 示:复合型
短 名:DescKeys 注 释:可选项;最大出现次数为N a)关键字
说 明:用于描述资源主题的通用词、形式化词或短语英文名称:keyword 表 示:字符串、自由文本
短 名:keyword 注 释:必选项;最大出现次数为N
—35—
b)词典名称
说 明:正式注册的词典名,或类似的权威关键字资料名称
英文名称:thesaurus name 表 示:字符串、自由文本
短 名:thesaName 注 释:可选项;最大出现次数为1(7)空间范围
说 明:资源涉及的空间范围
英文名称:spatial domain 表 示:字符串、可按本规划附录2规划的审计机关名称
短 名:spatDom 注 释:可选项;最大出现次数为1(8)时间范围
—36— 说 明:资源内容跨越的时间段
英文名称:TimePeriod 表 示:复合型
短 名:TimePeriod 注 释:可选项;最大出现次数为1 a)起始时间
说 明:资源内容跨越的时间段的起始时间
英文名称:beginning date 表 示:日期型、按GB/T 7408-2005执行,格式为CCYY-MM-DD 短 名:begDate 注 释:必选项;最大出现次数为1 b)结束时间
说 明:资源内容跨越的时间段的终止时间
—37— 英文名称:ending date 表 示:日期型、按GB/T 7408-2005执行,格式为CCYY-MM-DD 短 名:endDate 注 释:必选项;最大出现次数为1(9)资源安全限制分级
说 明:对资源处理的限制级别的名称
英文名称:security classification 表 示:字符串、见GB/T XXXX-XXXX《政务信息资源目录体系-3-核心元数据》表6.1 安全限制分级代码表
短 名:class 注 释:可选项;最大出现次数为1(10)资源语种
说 明:资源采用的语言
—38— 英文名称:language 表 示:字符串、按GB/T 4880.2-2000执行,取值参照“表1 按语种的汉语名称(拼音)排序的3字母语种代码”中“GB/T 4880.2/B目录代码”代码组
短 名:resLang 注 释:可选项;最大出现次数为N(11)资源字符集
说 明:资源使用的字符编码标准全称
英文名称:character set 表 示:字符串、见GB/T XXXX-XXXX《政务信息资源目录体系-3-核心元数据》表6.2 字符集代码表
短 名:dataChar 注 释:可选项;最大出现次数为N(12)资源分类
—39— 说 明:资源的分类信息
英文名称:Resource Category 表 示:复合型
短 名:TpCat 注 释:必选项;最大出现次数为N a)类目名称
说 明:用于描述资源主题的通用词、形式化词或短语
英文名称:category name 表 示:字符串、自由文本,见本规划7.2.1规定的分类“名称”列
短 名:cateName 注 释:必选项;最大出现次数为1 b)类目编码
说 明:类目名称对应的编码
—40— 英文名称:category code 表 示:字符串、自由文本,见本规划7.2.1规定的分类“编码”列
短 名:cateCode 注 释:必选项;最大出现次数为1 c)分类标准
说 明:分类标准名称
英文名称:categroy standard 表 示:字符串、见7.2.1 资源分类
短 名:cateStd 注 释:必选项;最大出现次数为1(13)数据志说明
说 明:资源生产者有关资源数据志、来源、处理等信息的一般说明
英文名称:statement
—41— 表 示:字符串、自由文本
短 名:statement 注 释:可选项;最大出现次数为1(14)在线资源链接地址
说 明:可以获取资源的网络地址
英文名称:online 表 示:字符串、自由文本,按RFC 2396 规定
短 名:onLineSrc 注 释:可选项;最大出现次数为N(15)资源标识符
说 明:审计信息资源的唯一不变的标识编码
英文名称:resource ID 表 示:字符串、见本规划7.2.2和8.4.2规定的编码方案
—42— 短 名:resID 注 释:必选项;最大出现次数为1(16)服务信息
说 明:资源所提供的服务的基本信息英文名称:ServiceInformation 表 示:复合型
短 名:ServInfo 注 释:可选项;最大出现次数为1 a)服务地址
说 明:可以访问服务的网络地址
英文名称:serviceURL 数据类型:字符串、自由文本
短 名:servURL
—43—
注 释:必选项;最大出现次数为1 b)服务类型
说 明:服务所属的类型
英文名称:serviceType 表 示:字符串、本规划规定的三种交换方式
短 名:servType 注 释:必选项;最大出现次数为1(17)数据项说明
说 明:组成数据表的数据元素信息
英文名称:DataUintInformation 表 示:复合型
短 名:DataUnitInfo
注 释:必选项;最大出现次数为1 a)数据项标识符
—44— 说 明:是数据元素的唯一标识,采用四位流水码标记
英文名称:DataElementID 数据类型:字符串
短 名:DataElementID 注 释:必选项;最大出现次数为N(18)关联关系说明
说 明:数据表与其他数据表的关联关系信息
英文名称:TableRelationsInformation 表 示:自由文本
短 名:TableRelInfo 注 释:可选项;最大出现次数为N 附录5规定了数据表交换时应遵循的格式。
附录6给出了数据表示例和XML格式文件。
—45— 交换体系规划
组成
交换体系技术构架包括信息资源的审计应用、信息共享、信息交换三种交换方式及实现结构。审计应用是通过应用系统和专业目录实现业务管理信息的处理和交换。信息共享是通过共享目录管理与服务,提供共享目录和共享信息的交换。信息交换是提供方按照使用方的特定信息需求,通过前置交换与管理,实现对使用方特定信息需求的交换。交换体系技术构架见图10.1。
使用方审计应用审计应管用区理系统现场审计系统联网审计系统信息共享目录服务系统共享区目录服务信息库目录管理信息库信息交换交换体系前置交换系统交换区交换管理系统交换管理信息库目录管理系统目录体系应用目录系统目录注册系统目录编制系统应用目录信息库专业服务信息库共享目录系统共享目录信息库共享信息库交换目录系统交换目录信息库交换信息库提供方图
10.1 交换体系技术构架
—46— 交换方式 审计应用
金审工程规划的应用系统为审计管理系统、现场审计系统、联网审计系统。审计管理系统的数据规划对应8.2.1资源分类的管理类目录,现场审计系统、联网审计系统的数据规划对应8.2.1资源分类的专业类目录,并由管理类或专业类目录分别对应审计业务管理信息库中的数据元素和数据表。
审计应用交换方式是通过审计应用系统对其信息资源目录、数据元素、数据表的访问、提取和处理,形成新的信息(数据),交换给审计业务管理信息库。
审计应用交换方式和实现流程示例见附录7。
信息共享
信息共享交换方式基于信息提供方的共享目录信息库、共享信息库和共享服务系统,提供信息访问服务。使用方利用目录服务系统发现定位相应的信息资源,获取所定位的共享信息资源。
如图10.1所示,信息共享交换方式的技术构架包括信息库系统和共享服务系统。
—47— 信息库系统由目录服务信息库、目录管理信息库组成。共享服务系统由目录服务系统、目录管理系统组成。
⑴信息库系统
目录管理信息库。存储注册到共享区目录连接。实现对所汇集目录连接的管理。
目录服务信息库。存储用于发布的目录连接。提供目录查询检索服务。
⑵共享服务系统
目录管理系统。实现对共享目录内容和目录服务运行的管理,提供目录管理信息库和目录服务信息库的基本维护等功能。
目录服务系统。基于目录服务信息库和共享目录信息库,向使用方提供目录内容查询检索的服务。目录服务系统应提供两种方式的服务:
一是按照发布目录内容,提供目录服务接口;
二是基于目录服务接口向使用方提供人机交互界面,按照多种查询方式进行目录内容查询。
审计应用交换方式和实现流程示例见附录8。
—48— 信息交换
如图10.1所示,信息交换方式的技术构架包括信息库系统和交换服务系统。信息库系统由交换信息库、交换管理信息库组成。交换服务系统由前置交换系统和交换管理系统组成。
⑴信息库系统
交换管理信息库。交换管理信息库存储与交换管理系统生成的交换流程配置、部署、执行和整个信息交换系统运行进行监控、管理生成的数据。
⑵交换服务系统
前置交换系统。由交换前置服务和交换适配器等组成。提供方前置交换服务负责根据交换管理系统生成的交换配置信息,利用交换适配器从交换信息库提取交换信息,按照10.4数据接口规范对数据封装,发送到使用方。使用方的前置交换服务负责接收提供方发送的封装信息,按照10.4数据接口规范对数据打开封装数据并利用交换适配器存储到交换信息库。
前置交换系统的基本结构如图10.2所示。
—49— 交换服务交换服务提供方交换适配器交换适配器接收方交换信息库交换信息库 图10.2前置交换系统的基本结构
前置交换服务负责前置交换系统与审计业务应用系统之间隔离,保证审计业务管理业务信息库和审计业务应用系统的独立性。
交换管理系统应支持对整个交换域的综合管理监控,实现对整个信息交换过程的信息资源、交换流程配置、部署、执行和整个信息交换系统运行进行监控、管理,包括交换流程管理、交换监控和管理。
提供图形化的交换流程配置工具,支持流程设计、配置、测试功能。
提供方通过交换管理系统利用交换目录库信息资源配置生成的桥接服务描述信息(审计管理业务信息库交换信息库之间桥接内容映射规则)。提供方桥接系统保持审计管理业务信息库和交换信息库之间数据同步。提供方前置交换系统将数据封装发送给 —50— 接收方前置交换系统,接收方前置交换系统将数据打开存储到交换信息库,接收方桥接系统保持交换信息库和审计管理业务信息库之间数据同步。
审计应用交换方式和实现流程示例见附录9。
交换域
交换域是为实现特定信息资源交换的逻辑域。在交换体系中多个交换域可以并存,应支持不同交换域之间审计应用、信息共享和信息交换三种交换方式的互联互通实现跨域信息交换。在一个交换域中应支持审计应用,信息共享、信息交换三种交换方式并存。
多交换域示意见图10.3。
—51—
交换域A共享服务系统交换管理交换前置系统交换前置系统交换前置系统审计应用交换管理交换域D审计应用金审工程网络支撑共享服务系统交换管理交换前置系统交换前置系统交换管理交换前置系统交换域C共享服务系统审计应用交换域B图10.3
多交换域示意图
分类
国家审计数据中心交换体系中,交换域分为内部信息交换域和外部信息交换域两大类。
内部信息交换域包括:审计机关内部之间交换,审计机关之间交换,审计机关与审计现场的交换三类。
一、企业内部计算机辅助审计的主要内容
相对于国家审计机关和社会机构的审计工作,企业内部审计因其审计内容的不同而具有自身的特点。一方面,计算机审计要对计算机本身进行,包括计算机的工作系统、硬件、软件、存储数据信息等,以及时发现和解决计算机审计软件的问题。另一方面,计算机辅助审计要针对会计电算化的系统、会计原始凭证、会计报表等进行详细的审计,通过将这些资料转移到计算机设备上,审查出一份真实和公正的结果[2]。
二、计算机辅助审计
在企业内部审计中的应用通过计算机软件高效、简便的操作系统,企业财务管理工作的准确性和真实性都得到了极大的提升,计算机辅助审计作用的有效发挥对于企业内部审计工作具有重要的意义。
2.1评估被审计单位的内部控制风险
随着社会的进步和发展,越来越多的企业采用会计电算化的方式提高企业财务管理效率和质量。在正式应用会计电算化软件之前,企业审计人员要及时对软件的内部风险进行准确地评估,并把握好审计工作人员对电算化软件的依赖性,在评估被审计单位的内部控制风险的过程中,可以应用三种方式:一是详细分析测试系统;二是选样测试系统;三是评估审计资料中数据的安全性[3]。
2.2保障会计电算化环境的安全
要确保企业会计电算化环境的安全性,审计人员要全面了解被审计单位财务会计数据信息的管理模式和方法,以此判断被审计单位的计算机使用情况是否可以满足审计方案实行的要求,进而有序开展计算机辅助审计工作[4]。在这一过程中,计算机辅助审计工作能够有效发现企业内部控制中的问题,并提供修正的建议及方案,从而加强企业会计电算化环境的安全性。另外,计算机辅助审计可以帮助企业尽快制定出较为严密和完善的计算机内部审计制度,提高计算机处理数据的真实性,保证电算化环境下会计信息的质量。
2.3辅助企业现场审计工作
计算机辅助审计还可以用于企业现场的审计工作,在企业内部审计时,计算机辅助审计要对企业的财务会计信息和数据进行选择性的收集、转换和分析,这是企业现场审计工作中的重要环节,在对企业内部控制风险进行评估之后,审计人员要对企业财务信息中的控制风险和弱点进行数据的收集,再将数据信息转移,依据审计方案进行整理和分析,提高企业现场审计的质量和效率[5]。
2.3.1财务数据的收集
财务数据的收集也被称为导出,被审计单位的财务管理数导出方式有三种:一是通过被审计单位的计算机财务管理软件,将财务数据的形式转变为通用数据库的格式,这种导出方式应用的较为普遍。二是不需转变,直接使用被审计单位财务数据的备份,这种操作方式能够在最大程度上保证财务数据的完整性和真实性。三是从被审计单位计算机软件的原始数据库表中导出财务数据[6]。
2.3.2财务数据的转换
财务数据的转换指的是迁移导出的数据。目前,审计人员常用的迁移方式是网络下载,用自备的电脑连入被审计单位的网络,再获取一个合法的网络账户,直接从被审计单位的数据库中导出财务数据[7]。还有一种方式可以用来转移财务数据,这种方式需要一条网络线在两台电脑之间形成对等网,将被审计单位数据库中的数据目录进行共享,才可以拷贝到另一台电脑。
2.3.3财务数据的分析
财务数据的分析是计算机辅助审计工作中的关键环节,这一过程是通过计算机系统的二次数据加工作用,逐次过滤和统计财务金额、摘要、科目等项目,再进行快速的数据运算和整合,发现数据变化的规律和趋势,得出财务信息变化的实质性原因。计算机辅助审计应用通过客观、快速的计算和分析工作,能够在极大程度上提高审计结果的全面性和准确性。
三、企业内部审计对计算机辅助审计的应用模式分析
在了解了计算机辅助审计的操作方式之后,可以进一步分析企业内部对计算机辅助审计的应用模式,这对充分加强企业财务管理有重要的促进作用。
3.1通用型计算机辅助审计
通用型审计软件,简称GAS,这种模式的计算机辅助审计能够充分发挥审计的作用。GAS可以帮助审计工作人员合法高效地访问和获取企业财务数据库的平面数据和资料,这是开展审计工作的重要环节[8]。GAS在测绘上的作用较为突出,通过测绘计算机中海量的数据和信息,获取其中具有较高价值的资料数据,帮助审计人员调查分析出更加合理清晰的审计结果。GAS对审计人员的`计算机操作水平要求不高,是目前较为流行的计算机辅助审计模式。
3.2内部嵌入式计算机辅助审计应用
内部嵌入式计算机辅助审计是通过集合计算机各个系统的代码,将程序迁入到审计系统中,内部嵌入式计算机辅助审计系统能够及时监控各项交易,记录和检查交易过程中的细节,还可以代替审计人员定期地浏览和检查设计性文件,具有较强的适用性,为企业内部审计发挥较为广泛的作用[9]。在应用内部嵌入式计算机辅助审计时,需要注意时间上的适用性,否则会降低系统的运行质量,这需要进一步的测试和优化,才能实现系统全面的高效性能。
3.3通过电子表格系统进行辅助审计
EXCEL、LOTUS等软件都属于计算机电子表格系统,这些常用的电子表格工具对于企业内部审计也能发挥巨大的作用,是计算机辅助审计的另一种应用模式。电子表格系统通过宏的编程结果实现电子数据的存档、数据库管理和图表生成与统计,并通过与计算机其他系统软件的连接,生成系列性的数据函数,有助于财务数据的进一步分析和筛选等[10]。财务审计人员利用电子表格系统形成的存档数据、数据库和图表、函数等,进行随时的数据更定,过程简单快捷,结果清晰准确,可以说,计算机电子表格系统在企业内部审计工作中具有独特的优势。
3.4完成数据的自动保存和瞬时数据的自动提取
企业在开展内部审计时,审计人员要将财务数据从数据服务器或者大型的计算机服务器中提取出来,传统的数据提取和保存过程较为复杂,计算机辅助审计则可以帮助审计人员更快捷、更全面、更准确地进行数据的提取和保存,通过定位财务数据,再进行数据的复制和传输,在瞬时提取大量的财务数据,与此同时,计算机辅助审计具有自动保存原稿的作用,原始数据的安全性得到保证,不会丢失。这种模式的应用能够在极大程度上减少人力和物力的消耗,提高企业内部审计工作的质量和效率。
四、结语
随着企业财务管理工作对计算机辅助审计应用的加深,计算机辅助审计工具和审计流程也在不断地突破和发展,以加强对企业财务管理的辅助作用,提高企业内部审计的质量和效率。具体来说,计算机辅助审计会进一步融合审计工具和现代计算机科学技术,并重视加强计算机审计系统的规范性、合理性、便捷性,企业通过计算机辅助审计系统的应用,能够逐渐建立起企业自身的审计资料库。数据的查找和分析更为方便、准确和快捷,这对落实经营管理责任具有重要的意义。
参考文献
[1]广西内部审计师协会,广西财经学院,广西电网公司联合课题组.内部审计在企业内部控制评价中的应用研究[J].中国内部审计,(01).
[2]黄昌盛.计算机辅助审计在企业内部审计中的应用体会[J].经营管理者,(17).
[3]耿键.风险导向内部审计在企业风险管理中的应用初探[J].经营管理者,(01).
[4]赵晓霞.计算机审计在内部审计中的应用及发展[J].现代经济信息,2014(06).
[5]胡能群.计算机辅助审计在内部审计的应用[J].金融科技时代,(08).
[6]曹委员.计算机辅助审计对审计证据、方法、抽样的影响研究[J].经营管理者,2015(26).
[7]于艳芹.浅谈计算机辅助审计在企业内部审计中的应用[J].知识经济,(11).
[8]刘金环.计算机审计技术在企业内部审计中的应用[J].财经界(学术版),(17).
[9]冯素珍.计算机辅助审计技术在我国的应用状况研究[J].财经界(学术版),(01).
《计算机审计》是17级会计大三下开的一门课程。授课老师杜鹃老师采用中国大学MOOC慕课网、腾讯课堂两个线上教学平台以及慕课堂微信小程序:利用腾讯课堂直播,辅以中国大学MOOC中的开放视频课程加上慕课堂里老师精心挑选的练习与讨论,为我们提供了优良的学习资料。虽然线上进行学习一开始总是觉得不习惯,但是有着老师的引导也让我们慢慢投入其中。
因为这几个线上教学平台是各个高校常用的,而且因为疫情的原因,流量太大,因而经常会出现中国大学MOOC慕课网崩掉的情况。还好杜鹃老师及时的提出了解决办法,她会在开课的前一天网上先发布教学内容,要我们下载下来及时观看,以避免这样的情况出现,而我也慢慢的养成了晚上八九点就等着课程发布然后观看的习惯。
一开始觉得这样子很枯燥,但是到了第二天就发现这样是有效的,因为上课的时间紧,但是任务重,如果不分知识点的学习,你便很容易弄的焦头烂额,因而重点的地方我还进行了笔记的记录。
杜鹃老师说生活需要仪式感,因此她特意下载了铃声,当上课铃声响起的时候总是让人有种置身校园的感觉。老师对知识点的讲解很细致,因着信息化对我们今后的发展越来越重要,即使教学环境受限,但是老师依然在课前查找了大量的资料,为我们挑选出她觉得非常重要的EXCEL软件的一些功能应用,在课上的时候详细的一点一点的演示给我们看,与此同时,她还把相关的表格发下来了,以便我们课下的时候进行练习。
直播结束以后,她会要求我们再结合中国大学MOOC慕课网上的相关视频进行观看,以加深我们对计算机审计理论知识的学习。但是光只是看完肯定不是最终目的啊,重点是希望我们可以掌握下来,因此杜鹃老师每节课都会在慕课堂上发布相应的练习,练习不多,但是都有针对性。等我们提交以后她还会查看我们的做题情况,针对普遍的问题进行集中讲解,个别的问题我们则可以私聊她来进行解决。
此外,杜鹃老师会在慕课堂里发布讨论,她会针对我们提出来的问题和希望所学的知识及时的不断调整自己的教学方案,让我们学有所得,而不是仅仅上完了课就完了。同时每周她都会在中国大学MOOC慕课网上发布测验,以巩固我们所学过的知识,同时检验是不是真的学会了,是不是还有什么不足。
21世纪是一个大数据时代, 现代计算机审计面临海量数据, 在这一形势下数据挖掘技术应运而生。数据挖掘技术使得审计人员能够在审计过程中利用计算机发现那些重要且较为隐蔽的信息和线索。对于数据挖掘技术在计算机审计中的应用, 学术界与实务界进行了多方面的研究和探索。孙良文 (2011) 提到由于数据挖掘技术需要审计人员掌握大量的统计技术和数学建模技术, 这一技术的多样性及复杂性使得其在计算机审计中的应用尚未达到落地效果。对于如何使用数据挖掘技术对大量原始数据进行审查和分析, 从中寻找到更多有价值的审计信息, 降低审计风险, 最大限度地保证审计质量, 目前国内学者并没有得出统一的实现路径和技术方法。本文在对国内现有文献分析的总结的基础上, 对数据挖掘在现代审计应用中的基本路径进行阐述和解释, 进而分析数据挖掘在计算机审计中应用的局限性。
2 文献综述
邵兵家 (2005) 提出数据挖掘 (data mining, DM) 从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中提取隐含在其中的、人们事先不知道的, 但又是潜在有用的信息和知识的过程。计算机审计包括两方面的含义: (1) 将计算机系统作为审计对象, 对计算机系统本身的审计, 包括对系统安装、使用成本, 系统和数据、硬件和系统环境的审计; (2) 将计算机作为审计的工具, 包括利用计算机手段进行传统审计, 用计算机建立一个审计数据库, 帮助专业部门进行审计。
对于数据挖掘在计算机审计中的应用, 易仁萍 (2003) 较早地探讨了基于审计框架下的数据挖掘技术的应用, 提出利用数据挖掘技术对原始审计数据进行初步的数据清洗并进行挖掘, 形成可疑数据并对可疑数据进行审计。近年来, 我国学者在该领域的研究取得了一系列的成果, 主要集中于以下几个方面:
(1) 数据挖掘在审计风险管理中的应用研究。易仁萍 (2003) 将数据挖掘技术中的分类、聚类及离群点挖掘等应用到审计风险管理中引入审计风险管理中, 使用数据挖掘中的分类或聚类算法得出了5条选择审计样本的策略。王金会 (2012) 借鉴COBIT框架, 构建了中观信息系统审计风险的明细控制框架;同时, 有针对性地探索每一个明细标准的数据挖掘路径, 创建挖掘流程, 建立了适用于我国中观经济特色的信息系统审计风险控制体系。
(2) 数据挖掘在财务困境预警中的应用研究。李博 (2013) 使用206家央企及其子公司的财务指标作为训练、测试样本, 使用5种不同的数据挖掘模型进行训练和测试, 对企业审计中财务困境预警模型自学习功能的实现进行了研究。
(3) 数据挖掘在审计数据分析中的应用研究。吕新民等 (2007) 在阐述数据挖掘技术运用于审计数据分析中的必要性的基础上对常见的数据挖掘技术在审计数据分析中的应用进行了探讨, 总结了数据挖掘实现审计数据分析的实施过程。
(4) 数据挖掘审计方法及实现路径研究。陈丹萍 (2005) 对信息环境下现代审计技术的探索研究, 提出应利用实时在线审计方式及数据挖掘技术对大量原始数据进行审查和分析, 以提高审计工作效率。陈丹萍 (2009) 提出数据挖掘审计的基本路径包括数据的采集、预处理、发现规律、发现异常和提出处理建议等环节。孙良文 (2011) 结合审计数据分析需求, 阐述了基于Excel的审计数据挖掘技术方法和操作路径。
另外在审计实践中已出现了一些数据挖掘应用的典型案例, 如基于关联规则的海关审单商品分类审计、基于孤立点挖掘的职工工资分析审计、利用聚类技术审计交易记录等。
综上所述, 虽然我国目前已经在数据挖掘技术在计算机审计中的应用研究上取得了较大的进展, 但是国内学者并没有得出统一的实现路径和技术方法, 而数据挖掘技术在实践中的应用仅限于基本的数据分析, 并未得以充分利用。鉴于此研究现状, 在下一部分探讨基于数据挖掘技术的计算机审计的基本路径。
3 基于数据挖掘技术的计算机审计的基本路径
现有研究分别从数据挖掘技术的某一方面对其在计算机审计中的应用进行了探讨, 例如黄永平 (2006) 对孤立点分析方法在计算机审计中的应用进行了研究, 阐述了孤立点分析中基于统计、距离、偏差、密度、时序孤立点数据的5大方法, 并在此基础上确定了其用于审计工作的具体步骤。陈大峰等 (2009) 阐述了基于离群数据挖掘的计算机审计原理, 认为基于离群数据挖掘的计算机审计在操作上一般分为数据的采集、数据的准备、建立离群数据挖掘模型等4个步骤, 其中离群挖掘技术在数据采集、数据预处理和数据分析中都得以应用。
综合现有研究, 本文构建了基于数据挖掘技术的计算机审计框架, 如图1所示。
基于数据挖掘技术的计算机审计是一种面向数据的计算机审计。如图1所示基于数据挖掘技术的计算机审计框架下, 首先, 采集被审计单位信息系统中的原始数据;然后, 将这些数据转换为审计软件所需要的数据形式, 进行数据预处理, 进而运用相关软件和技术对采集到的电子数据进行分析处理;最后, 利用审计经验、业务逻辑以及根据法律法规的限定进行数据分析, 从而得出异常数据, 发现审计线索并通过审计取证后得出审计结论。
4 数据挖掘技术在计算机审计中应用的局限性
虽然数据挖掘技术相对传统审计在海量数据处理分析中显示出巨大的优势, 但就目前来看数据挖掘技术在计算机审计中的应用尚处于起步阶段, 其应用还存一些局限性。
(1) 数据挖掘技术的应用依赖于被审单位的数据质量。如果所收集的原始数据存在质量问题, 比如存在虚假或有错误的情况, 特别在被认为篡改的情况下, 那么单纯运用数据挖掘技术无法得出任何有意义的结论。
(2) 使用数据挖掘技术受限于成本效益原则。数据挖掘技术的应用会相应增加基础设施的建设成本, 另外数据挖掘技术应用于审计领域需要同时掌握数据挖掘技术和审计知识的复合型人才, 对审计人员培训费用也是不可避免的一项成本。基于成本效益的考虑, 可能影响数据挖掘技术的应用程度。
(3) 缺乏数据挖掘相关应用指引。目前, 国内学者在数据挖掘技术的使用上未达成一致意见, 因此, 开发出一套满足审计需求, 标准一致, 高效易用的数据挖掘应用指引已成为当务之急。
尽管如此, 利用数据挖掘技术对被审计单位的海量数据进行分析, 获得审计线索, 发现审计疑点, 提高审计效率和效果, 有效控制审计风险, 已显示出传统审计方法无法比拟的巨大优势, 数据挖掘技术将在未来的审计过程中发挥越来越显著的作用。
5 结束语
面对计算机审计中的海量数据, 数据挖掘技术在其中起着非常重要的作用。虽然目前我国在该领域尚处于起步阶段, 但是随着研究与探讨的深入以及审计人员素质的提高, 数据的挖掘在计算机审计中将会有更广阔的应用前景。
参考文献
[1]黄永平.孤立点分析方法在计算机审计中的应用[J].审计研究, 2006 (3) .
[2]陈丹萍.数据挖掘技术在现代审计中的运用研究[J].南京审计学院学报2009 (7) .
一、企业开展计算机审计的必要性
1.开展计算机审计是企业审计工作发展的需要。
伴随着市场经济体制的建立和科学技术的进步,审计工作的内容、对象和标准都在不断发展、变化,审计工作的难度和工作量也在不断扩大。现有的审计工作现状不能满足审计监督的需要,主要表现为:
(1)审计内容与审计监督职能不适应。我国的审计条例规定,审计机关要对凡有国有资产的单位的财政、财务收支的真实、合法和效益进行审计监督。这就明确了审计的内容是被审单位经济活动的真实性、合法性和效益性。但事实上,企业虽然进行了一部分经营审计,但是现在的审计工作仍主要是财政、财务收支的合法合规性审计。也就是说,被审单位的管理和效益仍不能完全置于审计的监督之下,审计的监督和控制作用不能得到充分发挥。
(2)审计系统的信息反馈能力与审计监督职能不适应。企业的审计是高层次的监督,不仅要实行微观的监督,而且要参与宏观的调控。企业的领导要根据审计的反馈信息了解企业整体运作状况,从而制定下一步的发展战略。但现在的反馈能力远远跟不上需要。
2.开展计算机审计是企业会计电算化发展的需要。
財务软件的推广应用标志着企业电算化会计信息系统的规范化,它表明企业会计电算化已经上了一个新的台阶。利用计算机审查电算化会计信息内容,可以大大加快审计的速度,提高审计效率。
3.开展计算机审计是更好地应用企业信息网,促进企业发展的需要。
企业信息网,包括电子商务系统的推广应用,将给企业带来巨大的收益。做好计算机审计将保证网上新的业务合法合规、健康发展,尽管这将给审计人员提出更高的要求。由于企业信息网、电子商务等系统采用多种计算机和通信技术,拥有多重设备资源,开展多种业务,系统较为复杂,因此,数据资源共享和数据安全成为一个非常重要的新问题,在这种情况下,审计工作表现出了很多网络环境下的新特点。
(1)责任的分散。在非网络情况下,包括数据文件整理、数据组织、数据存取、数据编辑与验证,以及数据库的建立与维护在内的控制责任,通常集中在小部分拥有权限的具体操作人员身上。而在网络环境下,数据的使用面向整个网络用户,即这种控制责任除原具体操作人员外,将向众多部门及人员转移,甚至涉及到网络的所有用户。
(2)重点的转移。在非网络环境下,审计人员关注的重点在于内部控制的符合性测试和实质性测试方面,整个电算系统运转的核心也是系统程序对内部控制的落实上。而在网络情况下,数据高度集中在网络系统中,数据可能被非法拷贝、非法篡改,从而引发新型的网络审计风险。因此,审计的重点也应放在网络系统上。
二、计算机审计的目的和任务
1.目的。
计算机审计和手工审计一样,按其目的可划分为三个领域,财务审计、财经法规审计和经济效益审计。财务审计的主要目的有两项,一是保护资产,二是保证财务信息的质量。财经法规审计的基本目的是揭发违法乱纪行为。经济效益审计的根本目的是通过对被审单位,比如企业经济活动的效率、效果和效益等方面进行检查和分析以及提出建议,促使其经济效益提高。
2.任务。
为了达到上述目的,审计人员需进行多方面审计活动,包括:内部控制审计、系统开发审计、应用程序审计、数据文件审计等。
企业如何开展计算机审计:
1.对电算化信息系统的审计。
会计电算化以后,审计内容有了很大改变,其中一个重要的变化是需要对电算化信息系统本身进行审计。包括程序的正确性、准确性、完全性和可靠性等。
(1)内部控制审计。分为一般控制(如组织操作控制、硬件控制)和应用控制(如输入控制、输出控制)审计。
(2)系统开发审计。这主要是针对企业自己开发软件而言,如企业信息网和电子商务系统开发审计,是一种事前审计。主要指审计人员参与电算会计或审计软件开发,从而使系统具有较强的可审性。对企业而言,有审计人员参加,还可以增强行业特性,使系统具有更强的使用性。
(3)应用程序审计。检查现在使用的系统是否运行正常、可靠、准确,减少由系统弊端带来的损失。它主要是为了测试应用控制系统的符合性。应进行以下审计:
①针对相对简单的应用程序,可将原始程序备份上来进行审计,对运行的程序与备份的程序进行比较以确定运行程序的可靠性。
②检查某一重要部分源程序代码,判定是否有错误或逻辑炸弹,以确定所运行程序的正确性。
③检查被审程序的流程图,判定是否有逻辑错误,是否有冗余,也可自行绘制被审程序的流程图,以确定被审程序的正确性和效率性。
④针对较为复杂的应用程序,可编写一部分虚拟业务,让被审程序与备份程序同时运行,将结果进行比较,以判定被审程序的正确性。
(4)数据文件审计。数据文件审计主要针对凭证库、账簿库的资料信息,测试其正确性。
这是一种实质性测试。审计的方法:一种是可以将需要审计的有关资料打印出来进行审计,这要求审计人员了解文件结构和程序中的输出功能。另一种方法是可以对实际的数据文件进行测试,这要求审计人员了解数据文件的组织方式、存取方式等。
2.利用计算机进行辅助审计。
利用计算机进行辅助审计是指利用计算机作为工具,把审计人员从繁琐枯燥的重复工作中解脱出来,提高工作效率。也可以应用比较系统的专用审计软件,以便提高效率、准确性和审计的规范性。
3.对网络系统的安全性进行审计。
主要对网络安全机制和安全技术进行审计,包括接入管理、安全监视和安全恢复三个方面。接入管理主要处理好身份管理和接入控制,以控制信息资源的使用;安全监视主要功能有安全报警设置以及检查跟踪;安全恢复主要是及时恢复因网络故障而丢失的信息。
三、如何确保计算机审计的顺利进行
1.提高审计人员素质。
现代科学技术飞速发展,审计人员单纯拥有审计专业知识和简单的计算机知识已经远远不够,必须提高审计人员的计算机技术水平和业务能力。
2.技术支持。
企业计算机审计系统是构建于计算机技术、数据库技术、INTERNET/INTRANET技术等当代先进信息技术基础上的,以企业信息网为平台,应用专用的审计软件进行审计。因此,审计工作需要得到技术部门的全力支持。
3.审计软件。
由于计算机在企业内部的广泛应用,尤其是企业财务软件的应用,企业开展计算机审计已不能仅仅局限于简单的计算,而是应该形成一个系统的审计规范且将其融入一套软件程序,以适应审计工作需要。由于企业信息化水平不同,人员素质不同,计算机审计工作的开展可从易到难,具备基本功能的审计软件可以外购。但对于已推广应用财务软件的企业,可考虑组织力量自行开发审计软件。因为会计数据接口已确定,针对确定的接口开发审计软件可以更加符合企业要求,并且可以利用企业信息网的优势,开发出符合企业环境的网络化系统审计软件。
(1)应用审计软件。它是对相关网络进行实时跟踪,对数据库内文件进行审计的一种软件。要实现它的功能自然要应用网络技术,在网络上建立审计信息库、有效背景资料、最新动态和必要的审计档案信息。
(2)专业审计软件。专业审计软件可以分为两大部分:单体审计软件部分和合并审计软件部分。这两部分是相互联系的,数据传递与修改可以瞬时完成。
(作者单位:江西省审计厅)
【计算机审计研究】推荐阅读:
计算机审计发展09-23
计算机信息安全保密审计报告06-12
审计署计算机中级培训心得体会06-27
浅议农村信用社计算机内控制度审计12-22
产品成本计算的审计11-16
计算机辅助教育研究12-29
计算机应用基础教学评价研究09-17
计算机研究生英文简历12-14
云计算技术研究重点09-21
计算机专业课程教学模式研究的论文10-01
