信息技术在审计中的应用

徐佳雯

0 引言

信息技术（Information Technology，简称IT），是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。如今越来越多企业开始进入信息化时代，计算机技术逐渐代替了原来的手工方式，而日益增长的业务量也使财务数据量急剧上升，以前的手工方式已经无法适应现状和发展，因此利用计算机等信息技术手段来存储处理财务数据是唯一的出路，审计工作也将随之改变，必须用传统的审计方法结合现代信息技术做出相应的变革，从而形成一种新的审计方式，来适应当今企业的模式。从采集数据，处理数据，测试数据，分析数据，最终得出结论，生成工作底稿，撰写审计报告，而这一系列需要个完善的审计信息系统来协助完成。

1 信息技术在审计中的应用

审计的基本职能是监督，而且是经济监督，审计的对象是被审计单位的财政、财务收支及其他经济活动，这就是说审计对象不仅包括会计信息及其所反映的财政、财务收支活动，还包括其他经济信息及其所反映的其他经济活动。审计的基本工作方式是审查和评价，也即是搜集证据，查明事实，对照标准，做出好坏优劣的判断。审计的主要目标，不仅要审查评价会计资料及其反映的财政、财务收支的真实性和合法性，而且还要审查评价有关经济活动的效益性。

然而，当今世界面临着信息化、全球化的两大趋势。计算机和网络技术以前所未有的广度和深度改变着经济管理活动。国家机关、企事业单位广泛运用计算机、数据库、网络等现代信息技术进行管理，以手工查账为主的传统审计已不能适应管理信息化的要求。审计对象的信息化，客观上要求审计机关的作业方式必须及时做出相应的调整，不仅要运用传统审计方法，还要结合信息技术，全面检查被审单位的经济活动，发挥审计监督的应有作用。

1.1 信息系统的发展使审计面临新环境新问题

信息系统的发展，给传统的审计工作带来了新问题、新挑战。对象的发展带来新的风险，迫使审计手段与时俱进。

1.1.1 审计对象信息化使传统的审计线索逐渐消失。

过去手工核算中，由原始凭证到记账凭证，再到财务报表的编制，每个环节都有人手工记录，并且有经办人的亲笔签字，这就是审计线索，可以根据这些证据进行抽查审核。但如今利用信息系统，从原始凭证的录入开始，到最终的报表生成，完全依赖计算机完成，传统的手工签字消失了，使得传统审计线索中断难寻，而在系统中对于企业财务数据进行修改删除又变得极其容易，从某种角度来说新环境给审计工作带来了新问题和新挑战。

1.1.2 审计对象信息化使传统的审计数据存储有风险。

过去企业所有财务数据都有手工书面记录，并且帐簿的厚度每年递增。但如今企业重要财务数据不再由纸笔来记录存底，而是保存在磁盘等媒介上，虽然减少了存储空间，但一旦发生设备损坏或者人为破坏，对于原始数据的恢复又将是另一个新问题。

1.1.3 审计对象信息化使得数据的传输和转移有了新的途径。

过去财务数据从原始凭证到最终的财务报表均由人来抄写，然后由另一人负责核对，并且保留双方签字以确保数据的准确性和完整性。但如今利用信息系统，所有的数据都必须经过系统借口从业务系统输入，经过一系列系统处理最终传入财务系统，而这个过程中数据接口是否可靠也是审计人员必须考虑的一个方面。

1.2 信息化审计应采取的对策和方法

审计工作主要针对财务数据，因此确保数据的真实性、完整性、准确性显得尤为重要，而健全的体制对于整个企业的管理也是必不可少的。

1.2.1 对于财务报告，其数据的真实性是最重要的。

确保数据的输入源头是第一步，利用系统输入原始数据进行计算，重要的是要确保权职对应无误，也就是适当的职位应当赋予适当的权限，权限过低影响日常工作效率，而权限过高或者分配不当则会引起舞弊的滋生，如何利用系统来设置不同权限是利用信息系统工作的第一步，也是审计中必须查看的内容之一。

1.2.2 对于财务报告，其数据的准确性和完整性也是很关键的。

从财务系统终端导出的数据是否完整是否准确，这对审计员最终得出审计结论是息息相通的，因此在利用导出的数据反查之前，怎样利用各种方法来确保数据的完整性和准确性是信息化审计的先决工作。

1.2.3 对于信息化的企业，建立体制健全的信息部门在日常工作中配合业务财务工作是必须的。

随着企业不断壮大，业务量不断提升，依赖系统百分比越高，设立一个健全的信息部门刻不容缓。并且需要制定一系列的信息制度来约束企业员工，同时招收专业知识人才来完善企业信息系统的安全性可靠性，从数据库、网络、操作系统各个方面进行管理，使得信息系统的应用能更好得支持企业发展符合业务需求。

2 “信息技术在审计中的应用”所涉及的一些关键技术的应用

在审计过程中，利用些特殊的方法和工具，不仅可以提高效率，更可以为审计工作提供多方面的保障。

2.1 利用计算机辅助审计技术（CAAT）来确保数据的准确性和完整性

计算机辅助审计技术（CAAT，Computer Assisted Audit Techniques），是IT环境下最具特征的技术方法，它是利用计算机本身的功能和一些专用的审计软件来帮助审计人员进行检查验证的技术。

对采用会计电算化的企业，审计人员首先要评价软件的内在风险。目的是为了确定审计人员依赖这些软件控制的程度，以减少数据的实质性测试的范围。经评价验证后，如果认为内在风险较低，则可缩短审计时间，减少审计成本。

可以利用计算机辅助审计技术来验证会计资料总体完整性。数据完整性是计算机审计的一个基本概念。它是指数据具有的一些属性，完备、健全、真实、合法、合规的一种状态。验证的具体方法是：首先，根据企业年初或月初的会计科目余额，确定会计凭证总体的初始年、月初余额，并输入计算机中。其次，将企业当年或当月的会计凭证库转化为审计人员熟悉并能操作的格式，目前商品化软件一般都能达到这一目的。转化后的会计凭证库需要作进一步的调整，仅保留需要的数据以加快运算速度。例如对会计凭证库中只保留一级科目名称、借方金额、贷方金额等，而剔除摘要、二级科目名称等，审计人员再进行汇总计算以得出当年或当月会计科目的发生额，最后，将年、月初余额与发生额相累计并以报表的形式输出，审计人员将其与企业的年报或月报相核对，以验证总体的完整性。

利用计算机协助审计人员进行统计抽样。统计抽样是我们在审计工作中经常用到的方法，在符合性、实质性测试中都要用到，而计算机辅助审计技术正可在此领域大显身手。比如可以将计算机辅助审计技术应用于抽样审计中，从总体中抽取样本时，对审计人员来讲最关键的是所有总体中的项目都能被客观地抽取，而采用恰当的统计抽样方法能避免抽取无代表性样本的风险。在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的。

计算机辅助审计技术的使用有助于提高审计工作的效率，降低审计成本；计算机辅助审计技术的使用可帮助审计人员扩展审计的范围；计算机辅助审计技术具有相当大的机动灵活性。

2.2 按照COSO标准来审核企业信息化架构

COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting），由5个方面组成：控制环境、风险评估、控制活动、信息与沟通、监督。它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示，如图1所示：

图1 COSO架构

对于 COSO架构中五个要素的具体内容也有着明确具体的解释说明：

控制环境——控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。

控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。

监控——内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

这五项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连，因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营质量和主动的授权，避免不必要的花费，并对环境的变化迅速作出反应。

以COSO内部控制框架为标准的审计内容主要是：

1） 管理层为 IT部门实施了与适当的职责分离目标相关的政策、程序。管理层的考虑：开发活动和实际应用更新活动相分离 、IT职能权限与实际应用/交易权限相分离 、开发活动和操作活动相分离。

2） 清晰的信息技术整体发展战略及规划已经建立以满足企业发展要求以及业务目标。

3） 公司已建立了良好的信息沟通机制，采用工作例会，项目追踪的方式及时了解职员的工作情况。

4） 公司管理层对员工工作情况进行监控，定期工作总结和报告机制已建立。

5） 建立了风险管理机制对公司实际情况进行分析且评估未来所将面临到的风险，并且制定了工作计划对公司所面临的风险和预计实现的目标进行了明确的阐述。

COSO内部控制框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。以上五大要素完全服务于上述三大目标。

2.3 利用信息技术方法实现检查、计算、分析性复核

针对电子数据，审计人员可以利用信息技术方法实现检查、计算、分析性复核，获取电子证据。这些方法可以通过软件操作的方式实现，也可以通过编写命令实现。

国际著名的审计软件ACL提供连接功能。使用连接功能将发票数据与记账凭证数据进行关联，就可以找到已开发票未记账或登记了销售收入却不存在发票的问题。还可以对比记账凭证中所记录销售收入与发票金额是否准确、一致。利用关系型数据库共同支持的标准语言――结构化查询语句（SQL），也可以实现这些功能。

3 信息系统在审计中运用的效果分析和发展前景

计算机技术方法在审计中的应用使我们感受到了它所带来的优势，如提高了工作效率、降低了审计成本，扩张了审计范围，它的机动灵活性可以对审计内容进行全面、迅速、有效的分析。

利用计算机技术开发的辅助工具进行审计的过程，是一个重点项目的应用到全面应用的过程，全面实现计算机技术在审计中的应用，这个过程需要一段时间，但是这种发展趋势是不会变的，是审计必经的一个阶段。同时随着网络经济在全球的不断渗透发展，各种虚拟企业占领市场，信息系统审计必然成为未来审计的发展趋势。

4 结束语

计算机技术方法在审计中的应用，使审计事业面临着前所未有的发展契机，同时也对审计人员提出了新的更高要求。要推动计算机技术方法在审计工作中得到更广泛更深入的运用，靠的是审计人员。审计机关要突出加强对审计人员计算机技术知识的培训力度，提高审计人员的综合素质，不断提高审计人员适应现代审计的能力。只要这样，计算机技术方法才可能在审计中得到很好的运用，审计信息化建设也才能结出更加丰硕的成果。

[1]陈伟，张金城，计算机辅助审计技术原理及应用，[M]清华大学出版社， 2008-6-1

[2]浅谈计算机辅助审计技术的应用，[OL]中华论文网

[3]孙强，信息系统审计，[M]机械工业出版社，2003

[4]孙红侠，[J]中国管理信息化（综合版），2006 第1期

[5]《Evaluation of Risk Control by Information System in the Audit of Financial Statements》 [M]Journal of Central University of Finance & Economics

[6]《Management Information System》[M]Mcleod Printice Hall 1998