数字化审计中电子证据的可溯性对相关经济活动真实性认定的影响

◆谢劲松/国家电网有限公司华中分部 李浩尘/国家电网有限公司湖北公司

近年来，随着计算机、数据库、网络等现代信息技术的发展和广泛应用，我国数字化审计也得到了快速发展。数字化、电子化、无纸化逐渐成为审计证据主要特征，传统手工取证方式下的证据理论亟需更新与突破。笔者就信息化环境中审计电子证据溯源问题提出看法，以期为实践提供参考。

一、电子证据含义的来源及可溯性定义

（一）电子证据

审计证据是审计主体在审计过程中收集到的、据以得出审计结论，形成审计意见的各种信息，它由载体、外壳与含义构成。其中含义是证据的实质性内容，是证据发挥证明作用的基础。从含义考察，审计证据主要来自两个方面：一方面是经济活动自身显现的自在信息；另一方面是人为赋予。经济活动自在信息是真实经济活动的影射，是判断信息真实性的基础和最终参照系，审计主体利用一定的方法和技术可以追溯发现，查清真相；人为赋予的则是被审计单位为达到某种目的，在信息转换、加工环节，对经济活动自在信息进行增加、删除、修改形成的扭曲、虚假含义，因此，是不可追溯的。

（二）电子证据可溯性

可溯性与溯源或可追溯性同义，在计算机领域，溯源用于描述数据的起源或出处。本文借鉴计算机数据溯源研究成果，对信息化条件下审计电子证据可追溯性进行如下定义：是指在信息化条件下，通过对信息系统中获取的电子证据所蕴含的经济活动信息源头的追溯来查明其真相的过程。这一真相不是电子证据载体与外壳存在状况，而是电子证据含义所蕴含的被审计经济活动的真实性。审计主体不能完全复原、重现经济活动，只能通过转换而成的自有信息或记录信息这些“证据之镜”，以“印证证明模式”所确立的一套可以确保重复检验的操作规则无限地接近和认识它们。

受认知水平、技术手段以及需求的限制，经济活动向外界呈现的自在态信息，根据应用需求不同，多数情况下只能部分地转换成自有或记录信息，即某一经济活动所形成的自有或记录信息之和小于自在信息量。若两者相等，则自有信息或记录信息显现的就是经济活动自身，如作为证明计提折旧计算错误而使用的错误计提折旧的原始凭证或记账凭证等证据。在业务处理计算机化的情况下，这种证据将会越来越少，直至消失。大多数审计证据（包括相互印证的链条证据）蕴含的仅为零碎、个别、局部的经济活动信息，甚至有些是人为赋予的虚假信息，要弄清这些信息蕴含的经济活动真相，就必须追溯源头，而追溯源头信息（又称初始信息）的科学方法，就是查找到经济活动自在信息或对登录信息系统相关业务初始自有或记录信息的相互印证。如分布式电源项目的发电出口、并网点以及与公用电网的连接点安装的自动化计量装置计量产生的发电量和电力用户的上下网电量等数据；销售与收款业务循环审计中对客户订购单、销售单、发运凭证、销售发票、汇款通知书、银行存款日记账、转账凭证和收款凭证等相关业务证据之间的相互印证。

二、电子证据的取证范围、环节及含义溯源顺序

（一）电子证据的取证范围、环节

系统生成的信息主要来源于两个方面：一是经济活动产生的真实信息，二是人为干预或技术因素造成的虚假信息。因此，造成审计证据与蕴含的经济活动含义呈现出完全相符、部分相符与不相符等三种形态（四种图示），如图1所示。

注：；

数字化审计环境中，审计主体从信息系统中获取的证据均为以电子形态存在的记录信息。根据信息处理流程和功能模块的不同，数字化审计证据的获取划分为输入、处理、输出以及人工系统四个环节。其中，输入信息一般来自人工录入或从其他信息系统自动转入。如电网企业财务管控系统中应收、实收电费凭证自动获取的营销业务应用系统业务分类汇总数据以及到户应收电费明细数据等。处理信息来自于程序处理过程中计算机快照抓取等。输出信息主要是计算机屏幕显示或打印输出的结果。同时，在数字化审计取证过程中，为查清有关事项，不可避免地需要从系统外获取有关人证和物证，如为查明实物，审计主体需询问业务经办人员，盘点现金，清查库存物资、固定资产等。输入信息是处理和输出信息的基础信息，而处理和输出信息则是输入信息的应用信息，处理和输出信息是输入信息加工处理的结果。数字化审计取证范围、环节及溯源顺序如图2所示。

从图2看出，被审计信息系统中获取的电子证据所蕴含的经济活动真实性含义，唯一来源就是经济活动的自在信息，也就是图2中标注为“信息源”的椭圆形集合。自在信息转换为记录信息的途径有两条：一是通过人们理解认识后，按照一定的符号、概念体系，遵循相应的业务处理规则录入系统，转换为记录信息，如企业编制记账凭证等；二是由其他信息系统自动转入到被审计信息系统，形成记录信息。

图2：数字化审计取证范围、环节及溯源顺序示意图

（二）电子证据含义的溯源顺序

在数字化审计中，经济活动自在信息溯源，可按先系统内、后系统外顺序进行，即先在系统内采用历史和回滚技术，由证据获取点逐层还原到本信息系统或其他信息系统的信息输入环节，再以手工方式，利用经济活动之间的逻辑关系以及生成的先后顺序，向经济活动自在信息源头追溯。

三、电子证据可溯性基础及对相关经济活动真实性认定的影响

（一）电子证据可溯性的前提

1.经济活动自在信息是电子证据真实性的基础。如ERP企业管理系统财务模块中根据实际发生的经济活动，由会计人员手工输入生成的明细账、总账、会计报表；电网企业智能化变电站电能计量系统一次测传感器、同步时钟、同步GPS信号全站采样所获取的瞬时采样取值、采样率和采样计数仪器和采样取值状态字等信息；利用特定的通信手段和远程通信介质实时传送至远端电力营销计算机网络系统的抄表数据。这些数据在没有人工干预的情况下这种关系会长期固定不变。

2.被审计信息系统在输入、处理、输出等环节形成或显现的各种单据（如入库单、收据、凭证）、报表和数据存储介质（如账本、清单）的物理、逻辑生成方式，从技术上保证了电子证据含义的可追溯。信息系统中信息输入与输出功能设计体现了数据守恒原则；输出信息都是输入信息直接或加工处理的结果；业务功能模块中业务流程和数据处理流程的设计均遵循了实际业务处理和数据处理的逻辑顺序；软件模块内部的各个组成部分处理动作均具有前一个动作所产生的输出数据必定是后一个处理动作的输入数据的特征；业务处理模块均严格执行了有关法律法规或规程。如财务处理系统业务处理模块设计时严格遵照了“有借必有贷，借贷必相等”、“资产=负债+所有者权益”、总账余额等于下属明细账余额之和、总账发生额等于下属明细账发生额之和等会计记账方法。无论是财务总账、明细账和日记账，会计报表等账表储存介质上的数据都是原始数据（包括手工输入或其他业务信息系统接入的数据）输入在不同功能模块中经过不同的处理形成的，均出之一门。

（二）电子证据可溯性对相关经济活动真实性认定的影响

证据溯源的目标就是寻找到自有或记录信息蕴含的自在信息。证据含义可以溯源或不能溯源对经济活动真实性认定的影响：凡是含义可以溯源的电子证据，其蕴含的经济活动必然为真。例如作为证据使用的固定资产折旧电子数据，如果含义可以溯源到被审计单位固定资产原值及生产经营活动，则说明该证据揭示了折旧活动的真实性；凡是含义不能溯源的电子证据，其蕴含的经济活动必然为假。例如被审计单位为了虚增销售收入而虚开（填）销售订单、销售发票等销售业务单据以及相应的会计记录与凭证。电子证据含义溯源流程示意如图3所示。

图3：电子证据含义溯源流程示意图

四、电子证据可溯性实现的方法及步骤

（一）电子证据溯源的主要方法与步骤

在采用通用审计软件进行数字化审计的情况下，电子证据溯源的主要方法与步骤如下。

1.调查了解被审计信息系统

在进行数字化审计之前，审计主体需要充分调查了解被审计信息系统功能、业务处理流程、业务操作规则以及数据结构之间的关联关系、表结构描述等。

2.建立审计资料数据库

通过审计软件程序模块，将被审计信息系统的有关电子数据迁移到审计主体建立或控制的数据库中，以供审计分析使用。

3.进行数据清洗与整合

通过R语言、Python等对数据进行分析，还可以利用数据库、SQL语言、审计数据采集分析软件等对被审计信息系统数据进行清洗，统一数据格式、消除空值、去除无关数据，并对不同数据库或数据表中的数据进行有效整合，为数字化审计环境下的数据分析提供方便。

4.进行数据转换

数字化审计时，若被审计信息系统与审计软件数据格式和模式不符，则必须转换成审计软件可识别、符合要求的数据。同时，还要将被审计数据库中所有表、字段的经济含义及其相互之间的关系明确标识，并完整地装载到审计软件所能操控的数据库中。

5.开展信息溯源工作

利用计算机技术如SQL Server（关系型数据库管理系统）查询、视图与索引、冻结程序快照等技术对信息源头进行追溯，以查明电子证据所反映的经济活动真相。如通过使用SQL语言的SELECT（选择）语句来选取字段，使用JOIN（联接）子句将有关数据表进行关联，并利用INTO（保存）子句保存结果，最终生成审计中间表，获取审计证据。此外，还可以采用通用的数据追踪方法、双向指针追踪法、利用图论思想和专用查询语言的追踪法等方法。

（二）电子证据溯源方法与步骤示例

以“XX电网企业ERP业务审计系统”中“客户往来多处挂账查询”为例，简述经过信息系统的证据溯源方法与步骤：在ERP业务审计系统界面点击选择“功能菜单”，在“功能菜单”树形菜单中选择“财务审计”，点击“往来账项审计”，再在“往来账项审计”中，选择“客户往来多处挂账查询”，点击数据穿透客户编码、会计科目、余额下的明细账，获取某一客户往来多处挂账的电子证据，最后由审计主体与被审计单位联合开具询证函，向相关客户进行往来帐款询证追溯，核实客户往来多处挂账事实，实现ERP业务系统中所获取的客户往来多处挂账的电子证据蕴含的经济活动真实性的认定目标。