一、引言
由于企业信息化程度的不断提高以及企业规模的不断壮大带来的信息量激增,传统审计很难及时有效地分析处理大量的业务数据,因此,需要一种技术能够对企业ERP系统中的业务数据进行快速有效的审计鉴证,而持续审计(Continuous Audit,以下简称CA)的数据审计技术具备这种能力。
所谓CA,国内外学者提出过很多观点,最早提出CA概念的是AT&T的Bell实验室的科学家Vasarhelyi和Halper(1991)他们开发了CA的首个实例系统CPAS(Continuous Process Auditing System),该系统主要服务于内部审计;Rezaee et a1.(2001)认为CA是在无纸化和实时会计信息系统的环境中收集电子审计证据的一个系统过程,该过程以对财务状况发表公正客观的意见为目标;Alles et a1.2006)的论文拓宽了CA的范畴,从CA的本质出发强调了CA不仅是一种技术,更为关键的是CA满足了内部审计对企业范围内数据和交易的全程监控和缩短了交易事项与鉴证之间在时间上的延迟。何芹(2007)认为持续审计强调审计过程的持续性和审计实施的即时性。是一种例外事项基础的审计,强调“自上而下”与“自下而上”方法的结合以及审计活动的整合性。
CA的有效实现关键依赖于CA的数据审计技术,本文就此展开论述。
二、CA的数据审计技术
CA的数据审计技术可分为三类:1.在ERP系统实际运行时,可以运用测试数据对ERP系统进行评估的审计技术;2.在ERP系统实际运行时,可以从中选择一些事务进行审查的审计技术;3.ERP系统实际运行时,可以跟踪或映射ERP系统变化状态的审计技术。
根据这种分类方法,本文分析了CA三种主要的数据审计技术:
(一)集成测试技术(ITF)
集成测试是在ERP系统文件中设立的假想实体,针对这个实体,在系统中运用审计测试数据进行测试,以此来验证处理的真实性、准确性和完整性。例如,如果是一个薪资系统,就在数据库里设置一个虚构的人物:如果是库存系统,就虚构一种货物:如果是电子数据交换系统,就与其他组织的审计部门合作并且在数据库中设立虚构的实体;然后使用测试数据来更新这些虚构的实体。这些数据将包含在通常的产品数据中输入到ERP系统中去。
1.实现ITF的方法
实现ITF的方法有两种:第一,测试数据的输入方法;第二,有两种针对虚构实体输入数据的方法。
第一种方法是对提交给所测试系统的在线输入事务进行标识。ERP系统应当能够识别这些经过标识的事务并且同时更新ERP系统主文件记录和虚构实体。识别ITF事务的方法如下:(1)在源文档中用一个特定的数据项来说明;(2)在ERP系统中嵌入审计模块来识别;(3)在ERP系统中嵌入一个采样模块,该模块根据一定的采样策略对ITF事务进行标识。
将在线事务标识为ITF事务后不仅易于使用,而且可以用系统日常处理的典型事务来进行测试。但也存在两个问题:首先。使用在线数据意味着系统的局限性得不到测试;其次,包含在系统中用来识别那些经过标识的事务并对其进行特殊处理的代码,可能会对系统的正常运行造成影响。例如增加系统的响应时间或破坏数据完整性。
第二种数据输入方法是设计新的测试事务并将它们与在线事务一起输入到ERP系统中去,通过将虚构实体的唯一标识符作为这些事务的键值来将其标识为ITF事务。这种方法有两个优点:首先,可以基于测试数据计划来生成测试数据。这样测试数据就能更全面地覆盖ERP系统的执行路径。其次,无需对ERP系统进行修改以标识ITF事务,也无需对ITF事务进行特殊处理。不过,测试数据计划的制定需要消耗较多的时间和人力。
2.消除集成测试事务影响的方法
ERP系统中的ITF事务将会影响到输出结果,除非通知客户并手工对系统输出作出调整,否则必须消除ITF事务对系统的影响。
有三种方法可以消除ITF事务的影响。
第一,修改ERP系统以标识ITF事务并在任何可能影响用户的处理中忽略它们。这种方法由于需求明确,易于实现,同时审计活动对用户来说是透明的。
第二,提交额外的事务来抵消ITF事务的影响。这种方法的优点是简单且无需修改系统,不过也存在问题:(1)必须在ITF事务对输出造成影响之前就提交,否则就无法对用户透明;(2)为了维持数据完整性,必须确保这些额外事务能够正确执行。但是。由于有时很难确定受到事务影响的所有记录。因此也就无法正确地设定相应的反向事务。
第三,提交不重要的数据减小ITF事务本身对系统的影响。这样,事务的影响并不是真的消除了,只是它们对用户的影响非常小。这种方法的优点是简单不必修改系统。
(二)快照与延伸记录
对于那些复杂的或大型的系统来说,跟踪系统中不同的执行路径是很困难的,快照技术在ERP系统中的各个关键控制点嵌入程序模块以获取事务经过这些点时的映像。为了验证事务在这些点的处理情况,这些映像包括处理前映像和处理后映像;然后通过比较这两种映像,来判断在该点的事务处理的真实性、准确性和完整性。
实现快照技术需要解决三个问题:首先。依据控制点的重要性来决定是否设置快照,同时应当考虑对性能的影响:其次,决定何时进行快照,既可以不断地对重要的事务进行快照,也可以在特定事务进入系统前。对其进行标识;再次,由嵌入的软件在系统中根据标识,有选择地进行快照,还可以基于采样计划对各种事务进行快照;最后,决定所获取的快照数据的报告内容。嵌入的软件应当提供足够的标识和时间信息,才能够判断快照对应的事务、快照的顺序和时间。
快照技术有一种变型,称为延伸记录技术。这种技术并不是为每一个快照保持一条记录,而是在事务流经快照点时,将快照记录在同一条记录上,并随着事务的进行,不断延伸该记录。延伸记录的优点是,所有与一个事务相关的数据都保存在同一个地点,因此也就方便进行审计评估工作。
可以将快照和延伸记录技术与ITF技术相结合以提供更广泛的审计线索。ITF提供了一条主记录,可以针对它用各种类型的事务进行测试。而快照和延伸记录技术则为每一类事务提供一条其在ERP系统中处理过程的审计线索。
(三)系统控制审计审查文件(System Control Audit Review File,SCARF)
SCARF技术是四种持续审计技术中最复杂的一种。它要求在ERP系统中嵌入审计模块以持续监控系统中的事务。这些审计模块被设置在预设的地点以收集事务信息或重要的系统事件。所收集的信息写入一个特定的审计文件——SCARF主文件;然后通过检查包含在其中的信息,确定需要对系统的哪个方面进行跟踪。
实施SCARF的两个步骤:
1.确定SCARF收集的信息
SCARF嵌入审计软件的性质和控制点取决于所要收集的信息类型,信息类型如表1所示:
表1信息类型
由于SCARF嵌入式审计软件的完整性对于由SCARF收集来的线索的可靠性很重要,应当仔细考虑如何保护软件的内容和完整性。应当将这些源代码保存在库文件中并且只允许得到授权的访问,应用程序使用调用语句而不是直接包含嵌入式审计软件的源代码,相关文档也应当妥善地加以保存,应当仔细考虑如何对这些软件进行维护。
2.SCARF报告系统的结构
SCARF报告系统的结构由以下三方面决定:(1)确定如何更新SCARF文件;(2)选择所要使用的排序编码和报告格式;(3)选择报告的时机。
如果要把SCARF和ITF以及快照和延伸记录技术结合起来使用,就应当确保上述决策与其他技术的决策相符。
有一种更新SCARF文件的方法是让每一个ERP系统创建一个临时的SCARF工作文件;然后在适当的时候拷贝到SCARF主文件。这种方法很简单。但在临时的SCARF工作文件被拷贝到主文件中以前,会存在数据片断,这些数据片断可能会妨碍到SCARF的有效性,因为它妨碍了对SCARF数据的及时分析。为了避免数据片断的问题,可以让SCARF系统并发地更新SCARF主文件。由于要处理并发操作的问题,一般通过使用数据库管理系统予以解决。
应当仔细考虑SCARF使用的排序编码,如果没有适当的排序编码,就无法有效地组织SCARF数据供审计使用。缺乏适当的报告格式。会难以解释SCARF系统提交的数据。SCARF系统会采集大量的数据,如果不能有效地组织数据并进行摘要,就可能会忽略那些表明错误和违规的数据。
在大多数情况下,必须确定SCARF数据收集的时间间隔,即报告周期的长短取决于所收集的审计线索的重要性和产生审计报告的成本。
三、结语
CA的数据审计技术能够极大地提高传统审计的质量和效率,促进审计模式的进步和革新,这种影响是持续而深远的。随着信息技术的发展,会有更多适合企业审计需求和更为智能化的审计技术出现,从而不断提升企业的管理水平和增强企业的竞争力。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:ERP系统中持续审计的数据审计技术探析
本文网址:http://www.toberp.com/html/consultation/1082038752.html