面向服务架构的计算机审计系统研究

2013-04-13 06:13丛秋实黄作明柳巧玲
审计与经济研究 2013年2期
关键词:计算机数据库单位

丛秋实,黄作明,柳巧玲

(1. 南京审计学院 信息科学学院,江苏 南京 210029;2. 南京审计学院 审计信息工程重点实验室,江苏 南京 210029)

一、 引言

审计模式从账目基础审计模式、制度基础审计模式、风险基础审计模式发展到计算机审计模式。当前的计算机审计,无论是财务账套数据审计还是直接业务数据库数据审计,都是对企业信息系统运行所产生的数据进行审计,所以称之为数据式审计模式[1]。计算机审计需要一个平台(计算机审计系统)来支持审计活动的开展,传统计算机审计系统大多采用单机版和网络版(C/S或B/S结构)的体系结构,主要基于数据文件交换和局域网文件传输系统完成审计数据的采集分析,是一种现场审计方式。如何运用Internet高效、可信及统一的企业伙伴虚拟计算环境,使计算机审计系统从封闭、静态、可控的运行模式逐步发展为开放、动态、具有柔性及适应性的计算机审计运行环境?如何在开放、动态和多变的网络环境下实现企业信息系统与计算机审计系统的共享和集成?本文在“开放Internet环境下面向服务集成架构的计算机审计模式”项目研究中,主要探讨开放Internet环境下如何建立面向服务的计算机审计服务系统。这项工作着眼于建立开放、动态的计算机审计平台,重点关注系统的开放性、适应性以及审计工作流的动态集成,这与传统计算机审计模式审计系统有根本的区别。

通过对面向服务架构(SOA)的深入研究,我们将Web-services技术集成到智能Agent架构中,提出面向Web服务的计算机审计系统(简称WS-CAS)。本文其余部分如下:第二部分阐述计算机审计系统(CAS)、面向服务构架(SOA)以及本文研究动机;第三部分提出WS-CAS的体系架构,包括基于Agents的Web-services系统结构、多智能体Agents的交互等;第四部分开发一个WS-CAS系统原型;第五部分对WS-CAS系统原型进行讨论;最后对全文进行小结,并指出未来进一步研究的方向。

二、 相关问题的研究

(一) 计算机审计系统(CAS)

随着信息技术在企业管理中的广泛使用,尤其是ERP系统的实施,企业的经营、管理及核算越来越依赖于复杂而庞大的管理信息系统。审计的对象也发生了根本变化,由纸质财务账簿转变为数据库中的电子数据(或称电子账);同时,资本市场对审计报告真实性和及时性的要求也越来越高。无论是以加强内部控制和企业管理增值为目的的内部审计、以财务真实性和公允性鉴证为目的的社会审计,还是以真实性、合法性和效益性审查为目的的国家审计,都不可避免地会受到企业信息化的冲击与挑战。审计师必须运用IT技术手段,掌握数字化审计证据收集方法,才能胜任信息化环境下的审计工作,降低审计风险,提高审计效率。

定义1计算机审计:计算机审计也称计算机辅助审计,是审计人员运用信息技术和审计知识,在被审计单位现场或者通过远程网络,对被审计单位与财政财务收支和管理财政财务收支相关的电子账目或财务数据库数据进行审计。现代审计的范围正逐步延伸,跨越了财务模块,计算机审计对象已经发展为面向整个供应链的信息系统审计,是对整个企业应用的业务数据审计。

定义2计算机审计系统(CAS):计算机审计系统是在审计过程中所采用的能够完成特定审计功能的各种应用系统的总称。计算机审计系统作为审计辅助工具,可以完成审计数据采集、整理、计算、统计、查询和报表生成等工作,为审计人员实施各种审计检查和收集审计证据提供帮助。

(二) 面向服务构架(SOA)

面向服务构架(简称SOA)是一种软件架构思想,这一思想认为软件即服务,是将企业内部与外部的每一个业务功能单元封装成服务。SOA将这些服务从复杂的环境中独立出来,进行组件化封装,不同的服务之间通过标准接口相互调用。作为企业应用解决方案的基本元素,服务可以被描述、发布、发现及绑定,其平台是独立的、自治的,并且可以用XML编程的大型分布式互操作应用系统。图1说明了Web服务能够执行面向服务架构的模型。

图1描述了Web服务的基本组成。该架构由三个参与者和三个基本操作构成。三个参与者即服务提供者(Service provider)、服务请求者(Service requester)和服务代理(Service broker);三个基本操作即服务发布(Publish)、服务查找(Find)和服务绑定(Bind)。

(三) 研究动机

计算机审计系统解决了数据采集、数据预处理、数据分析、疑点管理、审计底稿撰写、审计报告生成等难题,提高了审计效率和效果,在实际工作中发挥着重要的作用。许多学者致力于将新的信息技术应用到计算机审计中,并开始探索新的计算机审计模式。廖志芳等提出了联网审计实际的三种审计组网模式,即集中式、分布式以及点到点式组网模式[2]。李世新在对XBRL和Web服务进行介绍的基础上,提出了一种基于XBRL和Web服务的网络化审计取证模式[3]。李湘蓉在研究了网络环境中计算机审计系统应具有特点的基础上,提出了一个基于本体的计算机审计系统[4]。还有学者论述了计算机审计模式及风险防范[5-12]。一些学者对Internet环境下的审计系统进行了研究,Chen和Sun通过对面向服务架构环境进行研究,提出了一个内部控制持续审计模型,称为协同持续性审计模型,通过对企业资源计划数据库中的数据转换组件进行封装,软件提供商可以为企业提供模式匹配服务来实时转换业务交易数据[13]。Ye和He运用Web服务的一系列组件,提出了基于Web服务的持续审计业务流程模型,用于提供有关特定业务的鉴证[14]。

Internet环境下的动态信息系统具有共享资源的多样性,无统一控制的“真”分布性,基础平台的开放性和动态性,人、设备和软件的多重异构性,节点的高度自治性,链接方式的动态开放性,网络连接的多样性,使用方式的灵活性和个性化,实体行为的不可预测性。我们认为在新的动态企业信息环境下,迫切需要与之相适应的审计模式和计算机审计系统。

三、 面向Web服务的计算机审计系统(WS-CAS)体系结构

(一) 系统体系结构

面向Web服务的计算机审计系统(WS-CAS)是一个开放的系统,复杂的审计任务由大量解决问题的Agent承担,每一个智能Agent只能解决特指的某一类问题,关注特定任务的完成。用Web-services封装的Agent,一个服务可能涉及一个或多个Agent,这些不同功能的Agent协力合作并提供特定的服务。系统是一个开放的环境,不同的Agent不必在同一地点或属于同一公司。通过对其他Agent知识和能力的理解,这些Agent能够突破固有的智能范围,协同工作实现目标。图2是面向Web服务的计算机审计系统(WS-CAS)体系结构。

图2 WS-CAS体系结构图

由于系统具有开放性,可以不断地向系统中加入新的Agent,从而使得系统的处理能力不断增强,适应性不断提高。也就是说,除了WS-CAS提供的服务,其他个人和公司也可以提供审计项目管理服务、审计数据采集整理服务、审计数据分析服务、审计抽样服务、审计文档管理服务以及其他相关的计算机审计服务。通过标准的通讯协议,每一个Web-services封装的Agent可以自由选择访问其他服务。

(二) 智能Agent交互

如下页图3所示,WS-CAS交互系统由外部实体和审计组件两部分组成。外部实体向系统提供被审计单位的数据和模型。根据《审计法》规定,被审计单位接到审计通知书后,要向审计小组提供审计范围内以及特定时间段审计所需要的完整数据。被审计单位的数据不但包括财务数据、业务数据,还包括被审计单位的基本情况、上一次审计的结论等相关数据。被审计单位模型包括审计所需的被审计单位业务流程、相关的法律法规等系统模型,这些模型是开展审计工作的基础和判断审计疑点的依据。审计组件包括数据采集模块、审计数据分析模块、审计抽样模块和审计文档管理模块。

数据采集是审计人员从被审计单位的信息系统中提取指定范围、指定内容的业务数据并收集到审计系统中。用IT技术对电子账进行审计有两个需解决的关键问题:一是审计人员采集电子账中的电子数据,包括电子账套中的数据和信息系统数据库中的数据;二是分析审查采集到的电子数据。数据采集是对电子账数据进行实质性审查工作的第一步。数据采集是否全面、准确、客观将直接影响计算机审计的结果。若采集的数据不能客观全面地反映企业的经济业务状况,那么审计人员即使有很强的职业判断能力,也无法得出正确的审计结论,从而增加审计风险。因此数据采集在整个计算机审计过程中至关重要。数据采集的信息可以分为三类:被审计单位信息采集、财务数据采集、业务数据采集。

一是被审计单位信息采集Agent。审计业务的开展与被审计单位的企业规模、业务流程、组织结构以及相关的行业法规制度等密切相关,在审计准备阶段和审计实施阶段的初期,审计人员必须首先获得被审计单位相关信息,然后才能开展审计工作,被审计单位信息采集Agent负责此类信息点采集。二是财务数据采集Agent。财务数据采集主要采集以下两种数据:财务备份账套数据和财务数据库数据。财务账套数据是会计信息系统中经过加密后的备份电子数据,其格式不是标准的数据库格式,而是会计信息系统以其独特的方式备份数据。不同的会计信息系统财务账套数据文件的格式不同,所以WS-CAS提供不同的财务账套数据采集Agent作为智能数据采集接口,完成财务备份账套数据的采集工作。财务数据库数据是保存在标准数据库中的会计数据,数据文件以标准的数据库文件格式保存,系统为各种数据库提供了相应的数据采集Agent,财务数据库中有许多表,其中和审计相关的主要数据库表为会计期间定义表、会计科目表、会计科目的设置表、凭证表等。通过数据采集Agent接口采集数据,审计人员要清楚数据库,数据库表,字段的结构、属性和含义,这样才能对数据进行采集整理,保证数据的完整性。三是业务数据采集Agent。由于审计范围的不断扩大,审计对象不再局限于财务数据,还包括许多业务数据的审计,如社会保障审计、高速公路收费审计、经济效益审计等,这些数据保存在业务数据库中,由业务数据采集Agent作为智能的采集接口,采集业务数据。

图3 WS-CAS智能Agent交互图

数据采集的目的是为审计分析做准备。审计数据分析是通过运用审计分析方法和分析工具,对被审计单位审计数据进行分析,发现审计线索,获取审计证据,进而形成审计结论。利用计算机的数据分析方法有:账表分析;数据查询;数据挖掘;联机处理;审计分析工具;审计疑点管理等。接下来进行具体分析。一是账表分析Agent。审计人员将采集到的财务备份数据还原成电子账,通过对被审计单位会计基础资料的检查和分析,找出审计线索,得出审计结论。账表分析Agent的主要功能包括总账审查、科目明细账审查、辅助账审查、会计科目审查、凭证审查、未记账凭证审查、日记账审查、报表审查等。二是数据查询分析Agent。审计人员根据审计经验,按照一定的审计分析模型,对从数据库中采集到的数据进行查询分析,发现审计线索,达到审计目的。数据查询分析Agent主要的查询分析方法有数值统计、重号分析、断号分析、分类分析、数据分层分析、时间分层分析等。三是数据挖掘Agent。随着信息技术的高速发展,尤其是被审计单位信息系统数据库中各种格式的业务数据急剧增长,只靠审计人员的人工阅读或简单的审计数据检索无法及时发现不同层次的审计线索。数据挖掘Agent能够从被审计单位海量的数据中挖掘出隐含的、先前未知的、对审计结论有价值的审计线索,以及能被审计人员所理解“知识”的数据处理过程。四是联机处理Agent。联机分析处理是与数据仓库密切相关的一种决策支持工具,联机处理Agent能够使审计人员从多角度对审计数据进行处理,获得对审计数据更深层次的了解,发现审计线索,实现对审计决策的支持和多维分析。五是审计分析工具Agent。除了上述一般审计分析方法外,WS-CAS还提供了一个开放的、专用的审计分析工具平台,审计人员不但可以利用系统提供的审计分析工具,还可以不断充实新的审计分析服务。审计分析工具Agent可以进行单科目金额分析、对方科目分析、坏账准备计算、营业税计算、固定资产折旧计算、个人所得税计算、图表数据分析等,帮助审计人员发现审计疑点。六是审计疑点管理Agent。审计疑点管理Agent可以存储、管理并逐项落实审计分析中发现的审计疑点。

审计抽样是审计人员在实施审计的过程中,从审计对象总体中选取一定数量的样本进行测试,并根据样本测试结果推断总体特征的一种方法。审计抽样是一种能够大幅度提高工作效率、量化控制审计风险、规范审计行为、提高审计工作质量的审计技术方法。特别是在被审计单位内部控制制度健全、审计对象数量庞大且经验判断难以奏效的情况下,采用审计抽样技术审计效果显著。具体应用如下:一是抽样管理Agent。抽样管理Agent可以管理审计抽样全过程的信息,包括总体表中的数据管理、抽样方法的选择、样本表中的数据管理等。二是抽样审核Agent。抽样审核Agent对审计抽样的样本信息在审计现场进行审计核对,并将审核的结果输入系统中,输出生成抽样审核结果表供审计人员使用。三是抽样评价Agent。抽样评价Agent根据样本数据的审核结果,推断总体审计数据的情况。

审计文档管理是计算机审计过程中的一项重要内容,审计过程中的文档主要有审计底稿、审计日记、审计证据、审计报告、审计台账等。具体应用如下:一是审计底稿Agent。审计底稿Agent记录审计过程中所发现的被审计单位违纪违规问题,对审计日记、审计证据所反映的问题进行描述,汇总审计报告、审计台账等审计资料。二是审计日记Agent。审计日记Agent记录审计人员当天的审计过程,内容涉及审计分工、审计事项、审计实施步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果以及其他一些需要记录的情况等。三是审计证据Agent。审计证据Agent负责建立、管理和汇总审计证据。四是审计报告Agent。审计报告Agent以审计底稿为素材,生成报告提纲并形成审计小组的审计报告初稿。五是审计台账Agent。对照审计报告、审计决定等审计文书的结论,对每篇审计底稿的问题和金额进行确认,系统根据确认后的结果,由审计台账Agent自动汇总问题和处理处罚数据,生成审计台账,最终生成的审计台账参与审计报表的汇总。

四、 面向Web服务的计算机审计系统(WS-CAS)的原型开发

本文将移动Agent技术和Web services技术结合,集成两者优势,克服各自局限性,构建面向Web服务的计算机审计系统,如图4开放Internet环境下的计算机审计服务的集成架构。为了实现系统中审计服务的统一调用,我们将各种业务逻辑封装为服务,提供标准、统一的服务接口,从而实现技术对外界透明。本文使用了Java技术开发系统功能模型,描述模型的架构和元素。

图4 WS-CAS原型开发

五、 系统评价

为了验证本文所论述方法的有效性,阐明基于Web服务是如何集成工作并实现计算机审计的目标,我们用一个案例来描述服务的协同操作过程(具体见下页图5)。

审计人员对企业进行财务审计,首先要明确审计任务,组成计算机审计小组,在了解被审计单位基本情况的基础上,制定计算机审计方案,确定计算机审计范围、审计重点、审计实施步骤、审计安排、审计方式、人员分工以及需要运用的计算机审计方法和审计实施注意事项等,利用WS-CAS开展基于Web服务的计算机审计工作。

(1) 审计项目管理Service发出审计通知书。审计小组通过系统的审计项目管理服务,向被审计单位发出审计项目通知书。

(2) 被审计单位信息Service以服务的形式向系统发布被审计单位的基本情况信息,提供给审计小组。

图5 WS-CAS的Web服务协作序列图

(3) 审计数据采集Service采集被审计单位审计数据。被审计单位信息Service按照审计小组的审计要求,将审计通知书中说明的指定时间段、指定范围的审计数据进行服务封装、注册和发布,提供给审计数据采集Service。审计数据采集Service首先对采集到的审计数据进行数据验证,确认采集数据的真实性、正确性和完整性,然后对数据进行预处理,这是由于被审计单位的数据来源繁杂,采集来的审计数据可能存在质量问题,不能直接进行审计数据分析,需要进行预处理。预处理包括数据转换和数据清理。数据转换是将采集来的原始数据转换成审计人员容易识别的数据格式和名称,主要包括将被审计单位的数据有效装载到WS-CAS系统中,明确数据字典,标识出每张表、每个字段的含义及其关系;数据清理是整理不符合质量要求的数据,清除存在明显错误的数据,如缺失的数据、不完整的数据、不准确的数据、不一致的数据以及重复的记录等。

(4) 审计数据分析Service。以审计数据采集Service输出的中间表作为审计分析的基础进行审计分析。在审计分析中,审计人员根据相关的业务处理逻辑、业务数据的勾稽关系、法律法规的规定或审计经验等,建立审计分析模型,用账表核对、指标分析、账表勾稽关系模型、业务逻辑分析模型、法律法规分析模型以及审计经验模型等方法进行总体审计数据分析,然后审计数据分析Service对审计数据进行复算、检查、核对和判断,发现审计线索,收集审计证据。

(5) 审计数据抽样Service。在明确审计目标和审计对象的基础上,根据被审计单位的内部控制评价水平确定审计抽样的样本量。审计数据抽样Service选取样本并审查,评价抽样结果,并返回到审计数据分析Service。

(6) 在审计数据分析和审计数据抽样过程中,审计人员记录当天审计过程、实施审计的步骤和方法、审计查阅的资料和数量、审计人员的专业判断和查证结果等,将这些情况提交到审计文档管理Service,形成审计日记。

(7) 在审计数据分析过程中,审计数据分析Service将审计发现的问题作为审计疑点,发送到审计文档管理Service,审计文档管理Service负责落实审计疑点,若证实确是问题,则将该疑点作为审计证据。

(8) 审计文档管理Service编制审计报告初稿,和被审计单位沟通,生成审计报告正式稿,形成审计意见。

(9) 审计文档管理Service向审计项目小组提交、归档审计文档资料。

六、 结束语

在动态、开放的Internet网络环境下,实现各类资源的共享和集成已经成为计算机软件的发展趋势,本文提出WS-CAS即面向服务集成架构的计算机审计系统,目的是构建在Internet开放环境下面向服务的动态协同架构的计算机审计系统,解决在Internet网络环境下各级审计资源动态集成的问题。面向服务架构的企业信息系统是被学术界和企业界广泛关注的热点研究课题,面向服务架构的计算机审计系统研究更属于学科前沿,对其进行系统研究,不但在理论上具有较高的创新意义,而且具有非常重要的实际应用价值。

参考文献:

[1]石爱中,孙俭.初释数据式审计模式[J].审计研究,2005(4):3-6.

[2]廖志芳,樊晓平,谢岳山等.计算机联网审计组网模式的建立[J].计算机应用,2006(4):977-979.

[3]李世新.基于XBRL和Web服务的网络化审计取证模式研究[J].生产力研究,2006(11):253-255.

[4]李湘蓉.基于本体的计算机审计系统研究[J].北京机械工业学院学报2006(1):67-69.

[5]管亚梅.基于新经济时代的IS审计模型研究[J].科技管理研究,2007(3):49-51.

[6]黄作明.试论计算机审计模式[J].审计与经济研究,2000(5):27-28.

[7]黄作明.用ASP技术构造远程计算机审计模式[J].审计理论与实践,2001(11):32-34.

[8]黄作明,姜玉泉.远程计算机审计的风险与防范[J].中国审计,2003(11):60-61.

[9]黄作明.实现远程计算机审计的前提条件[J].当代财经,2004(8):119-121.

[10]施永香.Access2007在IT审计中的应用[J].南京审计学院学报,2011(1):41-45.

[11]景波,刘莹,陈耿.基于电子取证技术的持续审计模型研究[J].南京审计学院学报,2011(4):58-62.

[12]黄作明,丛秋实.试论计算机审计模式[J].审计与经济研究,2000(5):27-28.

[13]Chen R S, Sun C M. A collaborative continuous auditing model under service-oriented architecture environments[C].6th WSEAS International Conference on E-Activities,2007:47-50.

[14]Ye H Z, He Y. A continuous auditing model based on web services[C].7th WSEAS Int. Conf. on Applied Computer & Applied Computational Science (ACACOS’08),2008:183-186.

猜你喜欢
计算机数据库单位
鸣谢单位(排名不分先后)
计算机操作系统
填单位 要推敲
基于计算机自然语言处理的机器翻译技术应用与简介
看错单位
信息系统审计中计算机审计的应用
协办单位
数据库
数据库
数据库