时间:2022-04-25 17:08:31
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇审计数据分析论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
A某某涉嫌金融凭证诈骗案
司法会计鉴定报告
(文号)
×公安局经侦总队:
一、绪言
应贵总队的聘请,对A某某涉嫌金融凭证诈骗案进行司法会计鉴定。
案情概述:×年×月至×月,A某某伪造甲公司的印鉴章等,将美元×元从该公司开设在×银行的账户,划至A某某用“B某某”假身份证开设在×银行的借记卡美元账户,然后通过×银行的在线银行电话系统,将美元×元结汇分次转至用“B某某”假身份证开设在×银行的借记卡人民币账户。×年×月至×月,A某某分别在本市×银行、×银行等自动取款机(下称ATM机),提取人民币现金×元,又从×银行的下属营业网点柜面提取美元×元。
鉴定要求:(1)检验和确认A某某用“B某某”假身份证在×银行办理借记卡的情况。(2)检验和确认A某某从甲公司开设在×银行的账户,划至用“B某某”假身份证开设在×银行的借记卡美元账户的数额。(3)检验和确认A某某在×银行、×银行等ATM机提取人民币的数额。(4)检验和确认A某某从×银行的下属营业网点柜面提取美元的数额。(5)检验和确认A某某提取人民币和美元的资金去向。
检材提供:A某某涉案的材料,由×公安局经侦总队提供。
二、检验
(一)关于A某某用“B某某”假身份证开设×张×银行的借记卡的查证
1.经查,×年×月×日,A某某用“B某某”身份证在×银行开设×#的×张借记卡,并办理了×银行在线银行电话系统个人基本信息注册(见附件一/1-2)。
2.经查,×年×月×日至×月×日,A某某利用×银行在线银行电话系统可自由实现多个账户之间的划款,而且1万美元以下的交易不需到柜面办理,可通过在线银行电话系统自由结汇的功能,先后用“B某某”身份证在×银行办理借记卡。这样,已注册个人基本信息的×#借记卡作为母卡,×张借记卡作为子卡。具体领卡营业网点和卡号如表1所示(见附件二/3-31):
3.经查,×年×月×日,A某某先作操作试验,将美元×元存入×#借记卡账户,然后于×年×月至×月通过在线银行电话系统转账结汇美元×元,再从ATM机提取人民币现金(见附件一/32―36)。
(二)关于甲公司开设在×银行账户内美元×元被A某某划入用“B某某”假身份证开设在×银行金穗借记卡美元账户的查证
1.经查,×年×月×日,A某某填写汇款申请书,用伪造的甲公司印鉴章等欺骗×银行,将美元×元(按国家外汇管理局提供的同日美元交易中间牌价USD100:RMB827. 73计算,折合人民币为×元)从甲公司开设在×银行的账户,划至用“B某某“身份证开设在×银行的×#借记卡(母卡)美元账户(见附件二/1―8)。
2.经查,×年×月×日至×月×日,A某某从×#借记卡(母卡)美元账户,将上述美元×元,按美元1万元以下的不同金额,通过×银行在线银行电话系统结汇或转账,分别转入以“B某某”身份证开设的×张借记卡账户(其中×#金穗借记卡,因已注册,故未用)(见附件二/9―40)。
(三)关于A某某在×银行、×银行等ATM机提取人民币×元的查证
经查,×年×月×日至×月×日,A某某用×张借记卡,从×银行、×银行,×银行、×银行、×银行、×银行、×银行、×银行等ATM机,提取人民币现金×元。具体取款情况如表2所示。
(四)关于A某某从×银行的下属营业网点柜面,提取美元×元的查证
经查,×年×月×日,A某某用×张借记卡,从×银行的下属营业网点柜面,提取美元×元。具体取款情况如表3所示。
(五)关于×张借记卡存款余额,以及A某某提取的美元×元、人民币×元去向的查证
1.经查,截至×年×月×日,×张借记卡的存款余额,合计人民币×元、美元×元.其中人民币存款户人民币×元、美元存款户美元×元已冻结。具体情况如表4所示(见附件五/1―4)。
2. 经查,案发后已扣押A某某藏匿在×银行、×银行保管箱人民币×元和美元×元,还扣押A某某藏匿在家人民币×元;其余人民币×元(×元-×元-×元), 则被A某某用于消费(见附件五/6―14)。
三、鉴定结论
(一)×年×月×日至×月×日,A某某用“B某某”身份证在×银行开设×张借记卡,其中×#借记卡为母卡,×#借记卡未用;
(二)×年×月×日,A某某使用汇款申请书和伪造的甲公司印鉴章欺骗×银行,从该公司开设在×银行上海的账户,将×美元(折合人民币×元)划至以“B某某”身份证开设在×银行的借记卡(母卡)美元户,然后通过×银行在线银行电话系统结汇转转账,分次从借记卡(母卡)划到其他×张借记卡账户;
(三)×年×月×日至×月日,A某某用×张借记卡从本市各大银行自动取款机提取人民币×元;×年×月×日,A某某还用×张借记卡从×银行的下属营业网点柜面提取美元×元;
(四)截至案发日,A某某划入借记卡(母卡)美元户的美元×元,除柜面提取美元×元外,实际转入各借记卡美元×元,结汇后由A某某提取人民币×元。上述各借记卡账户尚有:美元存款余额为美元×元、人民币存款余额为人民币×元。案发后已冻结A某某以“B某某”身份证开设在×银行借记卡的人民币存款户人民币×元、美元存款户美元×元;扣押A某某藏匿在银行保管箱的人民币×元、美元×;扣押A某某藏匿在家的人民币×元。
鉴定人:
(签章)
(司法会计鉴定资格证书号×××)
复核人:
(签章)
日期:
第二部分文证审查意见
司法会计文证审查意见书
文号
一、基本情况
×年×月×日,公诉人某某某提出委托,要求对A某某金融凭证诈骗案件中的司法会计鉴定结论文书进行审查。
二、审查情况
该鉴定文书存在以下问题:
(一)结论之前,名为检验,却未对检材特征进行观察,也未对同一事实检验不同的检材,使用的是查账常用的简单的报告方法;
(二)将A某某使用假身份证开设银行账户、办理银行卡等,本应由办案人员调查的事实也列入了鉴定范围;
(三)直接指名道姓说A某某实施了什么行为,而不是说某某账户实施了什么行为;
(四)文书名称为“鉴定书”,但使用的方法却是查账的,尤其是未经任何论证,直接提出了鉴定结论;
(五)鉴定结论基本上重复了检验的内容。
三、审查结论
(一)文书名称改为查账报告;
(二)以“某某账户实施了什么什么行为”,代替文书中“A某某实施了什么什么行为”;
(三)删除鉴定结论第二项中“……使用伪造的印章……诈骗”等内容。
[论文摘要]计算机审计已经成为当前我国信息化环境下的审计发展的方向。文章首先阐述了传统手工审计的特点及计算机审计产生的背景与含义,然后对两者进行了较深入全面的比较分析。
随着“金审工程”的实施,计算机审计正逐步取代传统的手工审计方式,成为开展审计工作的“利器”。但不少人经常混淆计算机辅助审计与计算机审计的概念,并没意识到计算机审计与传统手工审计两者的巨大区别,没意识到计算机审计的应用将引发一场审计革命。为了促进计算机审计的发展,必须澄清计算机审计与传统手工审计的概念以及其区别。
一、传统手工审计与计算机审计
传统的会计、统计和计划等管理数据的处理是以手工操作为主,传统审计也是以手工的会计资料处理系统为特征的。随着审计事项规模的不断扩大和日益复杂,传统手工审计的取证模式也逐渐从账目基础审计发展到制度基础审计再发展到风险基础审计,审计取证的切入点从反映经济业务的纸质账目演变为内部控制制度再演变为内部控制制度与风险因素,审计对象从纸质账目系统一个变为内部控制制度与纸质账目系统两个,审计的核心方法也从详查法发展为测试法;而测试法的大量运用,使审计方法发生了实质性的变化,并使其最终脱离了簿记方法,产生了真正意义上的审计方法,并使“簿记审计”转变为“测试审计”,使审计逐步脱离审计就是查账的概念。
在纸质环境下,审计实务可根据具体审计项目的审计目标选择相应的审计模式,既可以采取账目基础审计模式,也可以采取制度基础审计模式或风险基础审计模式。但随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。因此,为适应信息化建设的迅猛发展和审计环境的巨大变化,计算机审计应运而生并逐渐成为世界各国信息化环境下的审计发展的方向。
计算机审计是指在信息化环境下,计算机科学与技术、传统审计学、管理学、行为科学、系统论、数理统计等科学相互融合、渗透而产生的一门崭新的审计学科。计算机审计是以被审计单位计算机信息系统和底层数据库原始数据为切入点,在对信息系统进行检查测评的基础上,通过对底层数据的采集、转换、清理、验证,形成审计中间表,运用查询分析、多维分析、数据挖掘等多种技术和方法构建模型进行数据分析,发现趋势、异常和错误,把握总体,突出重点,精确延伸,从而收集审计证据,实现审计目标的审计方式。因此,计算机审计的含义包括两个方面:一方面是对执行经济业务和会计信息处理的计算机系统进行审计,即计算机系统作为审计的对象;另一方面,利用计算机辅助审计,即计算机作为审计的工具。概括起来说,无论是对计算机进行审计还是利用计算机进行审计都统称为计算机审计。
二、计算机审计和传统手工审计比较
(一)相同之处
从根本上说,计算机审计的目标与传统手工审计的目标是一致的,都是《中华人民共和国审计法》所规定的监督被审计单位的财政收支或者财务收支的真实性、合法性和效益性,以维护国家财政经济秩序,提高财政资金使用效益,促进廉政建设,保障国民经济和社会健康发展;其职能都表现为经济监督、鉴证和评价。在实施审计的过程中,审计人员都必须以《审计法》或《注册会计师法》以及相关的审计准则作为执业标准和职业规范,以会计准则与相关的法律法规作为判断被审计单位财政收支或者财务收支是否真实、合法的标准。无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
(二)不同之处
1.审计环境不同。计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.审计的思维方式不同。随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显着特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
3.审计线索不同。计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
4.审计测试的对象与范围不同。在会计电算
化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。因此,会计电算化系统及其处理的合法性、正确性、完整性和安全性与系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。为了控制数据风险,保障审计目标的实现,计算机审计的一项重要内容是对系统内部控制进行调查、测试和评价,包括会计电算化系统的审计与测试,这是手工审计所无法实现的。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统账套中是无法轻易取得的,从而扩大了审计人员的视野,丰富了审计人员的可用信息。此外,由于运用了先进的信息化手段,计算机审计可以非常快速和非常便捷地处理海量数据,解决了在纸质和手工条件下审计人员想做而不可能做的事情。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
5.审计技术方法不同。传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机 审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
论文摘要:随着信息技术被广泛、深入地应用在会计工作中,会计工作发生了根本性的改变,不仅原有的会计数据处理流程发生了改变,会计环境也被极大地改变了,使传统的审计理念和技术面临巨大的挑战,审计人员不仅面临“进不了门,打不开账”的尴尬局面,审计理论和方法也急待改进以适应信息化的进程。
1现代审计与传统审计的共同点
计算机审计的目标与传统手工审计的目标是一致的,无论是计算机审计还是传统审计,国家审计的审计过程都必须经过审计准备、审计实施与审计报告三个阶段,通过执行检查、观察、询问、函证、重新计算、重新执行、分析程序等基本审计程序来获取充分、适当的审计证据,并将审计思路和审计过程予以记录形成审计工作底稿,作为发表审计意见的依据。
2现代审计与传统审计的差异
2.1站在新角度随着国民经济的发展,信息网络广泛普及,信息化成为经济社会发展的显著特征,各行各业普遍运用计算机和网络等信息技术进行管理,审计人员不得不面对海量的会计电子数据。在手工审计方式下,审计人员总是先分析审计对象的各个部分,再归纳、综合为整体,其思维方式是:部分一整体,这适合于数据量不大的审计对象,却很难全面把握海量数据。而计算机审计打破了手工审计思维方式,强调以系统论核心,从系统上把握审计对象,即从审计对象的整体出发,先进行系统分析,把握总体,再建立审计模型,分析数据,最后作出总体评价,其思维方式是:整体一部分一整体,计算机审计能够从宏观上和系统上把握审计对象,以扩大审计监督范围,提高审计监督能力。
2.2面临新环境计算机审计下的审计环境发生了很大的变化。一方面表现为审计人员必须利用计算机实施审计,要求审计人员能熟练操作计算机特别是相关的审计软件;另一方面由于信息技术在会计工作中的广泛、深入的应用不仅改变了原有的会计数据处理流程,还极大地改变了会计环境。信息化建设使得所有会计数据不再是纸介质的凭证、账簿及报表,而是以“比特”方式保存在磁性介质上,数据表现形式虚拟化,即审计环境数字化,审计人员所面对的已不是传统意义上的账本,而是无形的电子数据和处理这些电子数据的会计核算管理系统,而这些会计电算化软件版本各异,使得审计环境比传统手工模式下显得更为复杂。
2.3线索更复杂计算机审计环境下,传统的审计线索因会计电算化系统而中断甚至消失。在手工会计系统中,从原始凭证到记账凭证,从过账到财务报表的编制,每一步都有文字记录,都有经手人签字,其纸质业务轨迹,是重要的审计线索与审计证据的来源,审计线索十分清楚。但在会计电算化系统中,传统的账簿、相关的文字记录被磁盘和磁带取代,加上从原始数据进入计算机,到财务报表的输出,会计处理集中由计算机按程序自动完成,传统的审计线索在这里消失。而审计线索的改变,导致在电算化系统中可人为篡改数据而不留痕迹,如电算化系统数据来源、公式定义、编制结果、打印格式均采用机内文件的形式,若有人篡改公式、编制失真的财务报表,然后再将篡改的公式等予以复原,则很难判定报表数据的正确与真实性。从而使得传统审计的追踪审查已不适用,审计入手点更多的是靠判断和经验。
2.4涉及的范围更大在会计电算化信息系统中,由于会计事项由计算机按程序自动进行处理,因疏忽大意而引起的计算机或过账错误的机会大大减少了,但如果会计电算化系统的应用程序出错或被人非法篡改,后果将不堪设想。
计算机审计的另一项重要内容是对电子数据直接进行测试,即审计人员不须先将被审计单位的电子数据转换成电子账套再实施审计程序,而是摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。
总而言之,计算机审计的范围较传统手工审计要广泛得多、深刻得多。审计人员可以根据审计目标的需要将审计的范围和内容作出必要的扩大。
2.5审计技术更现代传统手工审计随着风险基础审计模式在实务中的广泛运用,分析性测试方法逐渐成为其核心方法。但信息技术的应用导致审计内容及审计线索的变化,要求审计人员必须革新审计技术方法,计算机审计的核心方法是数据分析方法。数据分析方法不同于传统的分析性测试仅局限于对信息的处理,它是对来自于底层的、元素性的数据进行处理,可以有多种多样的组合,在用途上可以作多种多样的拓展,从而形成多种多样的信息。因此,数据分析技术可以用于多种测试工作。在采用数据分析方法时,可使用两种计算机审计特有的新型审计工具:审计中间表方法、审计分析模型方法。审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现计算机审计的关键技术。审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。
2.6审计流程更长计算机审计由三阶段演变为四个阶段。传统手工审计模式中,国家审计的审计过程一般可分为审计准备、审计实施和审计报告三个阶段。但是,在引入计算机审计后,审计准备阶段与审计实施阶段的界限变得非常不清,可能是由于数据分析既像审计准备工作,又像审计实施工作。其中,主要的问题可能是审前调查的归属没有明确的限定。审前调查需要做大量的数据分析工作,而数据分析的测试属性又无法合理确定,于是有些审计人员将其划入审计准备阶段,有些审计人员则将其划入审计实施阶段。我们应当将审计过程再行细分,将其直接划分为四个阶段,即审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段。审计准备阶段与审前调查阶段的划分原则应该是,审计人员是否需要实施实际的数据分析。如果需要,就须向被审计单位出具具有法律效力的通知书,然后才能获取敏感性、实质性的数据。有了审前调查阶段,审计人员就可以名正言顺地进行数据的采集、转换、整理和分析,从而为制定审计实施方案和进行审计验证奠定坚实的基础。
近年来,襄樊市审计局加大计算机建设与应用步伐,在计算机辅助审计方面进行了有益探索,先后在企业、财政、金融、农林水、行政事业等行业38个单位尝试进行计算机辅助审计,取得了较好成效。在审计数据采集与分析、软件开发与应用等方面有了一些初步的经验和体会。
一、计算机辅助审计的主要步骤
(1)可行性分析。主要是调查了解被审单位会计信息的管理现状,看其计算机使用水平能否满足审计项目的方案要求(质量、时限等),从而确定是否采用计算机辅助审计。
(2)审前准备。主要是配备相应的电脑和熟悉计算机应用的审计人员,选择符合财政部规定、适用性强的审计软件。制定审计方案、下发审计通知书等;
(3)现场审计。主要包括数据采集和数据分析两个环节。数据采集就是应用一定的方法,对被审单位的数据信息进行迁移,按审计方案的要求以及财务管理的基本原理进行整理;数据分析就是应用相关审计软件对采集到的数据进行分类、筛选、归并、统计和分析判断,从中查找被审单位财务管理中的疑点线索,发现违纪违规问题,汇总相关数据,以满足审计报告的需求。
(4)审计报告。在传统手工审计的基础上,结合计算机辅助审计将采集到的数据,应用计算机进行结论性审计文档的处理,形成审计报告,出具审计决定。审计意见书等,并由此形成被审单位电子数据库的部分数据。
二、数据采集的主要方法
在分析被审单位电子记帐数据的完整性的基础上,确定采用计算机辅助审计,我们主要采取以下方法来进行数据采集。
第一步:导出被审单位财务管理数据。在实践中主要采取三种方法:
(一)直接使用被审单位的财务管理软件,将数据导出为通用数据库格式(如:mdb、xls、txt等)。其优点是:适用范围宽、导出数据随审计人员的意愿,因而是审计人员首选也是运用最多的数据导出方法。因为一些著名的财务软件为证明自己的“开放性”、“兼容性”特征,都具备“数据可被第三方软件使用”这一功能,诸如:用友、金碟、远方等,并且版本越高,此项功能越明显。而且从审计情况看,如今不少行政企事业单位大都使用上述软件。
如在对樊城公安分局的审计中,该单位使用的是用友M8.0财软,我们就直接将其总帐、明细帐分别导成一个通用数据库如mdb的两张数据表;在对全市民政系统审计中,因该系统使用了用友M7.0,一次只能将总帐、明细帐的一个科目导成一个通用数据库,因此我们就根据需要,生成了多个科目的多个相关数据库。另外有些软件开发商专门设计了特定格式的导出,如:电力系统使用的远方财软4.XX版本,高度自动化设计,财务人员只需输人原始资料,数据汇总、帐表生成等全部由系统自动完成,其操作程序符合财政部最新颁布的会计制度,审计人员可将其中所有汇总表格和明细帐的查询结果导出为EXCEL格式,利用帐页查询功能,完成电子数据的采集工作。当然一些高端数据库软件,如:使用SQLServer、DB2等作为数据仓库开发的财软,由于这些服务器端的专业数据库软件本身具有强大的分析、备份和安全恢复等功能,因而客户端的应用软件也就没有必要开发数据导出功能了。
(二)直接使用被审单位企业(财务)管理软件而产生的备份数据。
因为几乎所有的企业(财务)管理软件都具有数据的备份和恢复功能。我们完全可以将数据的备份带回,在自己的电脑中进行恢复。这种方法最大的优点是导出的数据最完整(甚至包括软件的
使用日志、用户权限及密码等),分析起来最方便。由于用户软件本身具有强大的分析和查询功能,因而不需要借助任何第三方的辅助分析软件或数据库软件。但其缺点是必须有一套与被审单位软件一致的能使用的软件,且有多少个审计对象,你就需要准备多少个软件。这类商业软件由于审计人员只用于辅助审计,不作为生产使用,因而购买起来极不经济,其来源主要是通过以下方式获得:一是使用演示版软件,由于相当多的演示版软件与标准版软件仅在表证的打印上有区别,因而使用演示版软件没有问题。二是使用软加密方式的软件。相当多的软件是通过合法用户名和系列号来限制使用的,我们可以用被审单位软件的用户名和序列号在自己的电脑在进行安装软件,再将备份的数据恢复进来就可使用了(如:远方财软)。三是使用“光盘市场”版软件,目前光盘市场提供的版本相近的经过解密的软件,如:用友、金碟、交易等大腕软件,基本上都可以使用。四是与软件公司协商,支付少量费用,借用软件公司同版本号的正版软件和限次软件。
(三)直接将用户软件的原始数据库表导出。
就是使用专业数据库,如:SQLServer等,直接使用专业库的管理工具将数据导出。这种方法的特点是对审计人员的计算机技能提出了较高要求。主要表现在:l、软件的开发者为减少数据的冗余而采用了关系表,用户采用了这些表在自己的电脑中分析时需自行定义关系。2.这些表一般都为原始数据,审计人员要得到自己的记录集需自建查询集(视图)。3、这些表多为英文或拼音组成的字段(为了适应更多的开发工具)且有许多认证字段,完全搞清楚还费点周折。但是如果将上面问题都搞清楚了,使用通用数据库软件和专门的辅助审计软件分析起来还是比较方便的。
第二步、导出数据迁移
一般情况下,将数据导出后必须存入审计人员的电脑中,置于审计人员自己定义的某一目录下。这一点,要视实际情况的不同,分别采取不同的对策,从审计实践看,不外乎有以下王种情况:
(一)若数据文件总量在SM以下,通常采用压缩软件如:winzip等将数据压缩成几张盘,将数据带走。
(二)若数据文件总量在SM以上,如采用压盘方法由于盘片较多,恢复成功的风险较高,因而一般采用外置硬盘的方法,将数据在不压缩状态下直接导入自己的硬盘。
外置硬盘有打印机接口的外置硬盘和USB接口的外置硬盘。USB接口的硬盘支持热插拔,打印机接口的硬盘支持老一些的电脑,外置硬盘通常由外置硬盘盒加普通硬盘组成,这是一种最经济最方便的数据迁移的方法。
(三)若审计人员随身携带有笔记本电脑(带以太网卡)且被审单位也组建了局域网,可直接采用电脑与电脑对拷的方法实现。这里也有两种方法:
1、笔记本电脑与数据源电脑直接对持。审计人员需自己制作一条网络线(将普通的网络跳线12.36对调),将两台电脑配成对等网,在数据源电脑中将自己需要的数据目录设置“共享”后,拷入笔记本电脑。
2.网络下载。审计人员将自己的笔记本电脑接入被审单位的网络,找一个被审单位空闲的PJ45信息接口,配置好网络获取一个合法网络帐户,进入网络后,将数据源电脑中的数据持出。
三、如何进行数据分析
在审计工作中,我们大都要使用通用的或专门的软件分析数据。因为通用的数据库软件具有极其强大的分析功能,使用起来也特别方便灵活。若审计人员很熟悉诸如:Foxpro、access、SQLServer或SQL语句之一种,基本上就可以不依赖任何辅审软件独立开展计算机辅助审计了。以我局对湖北化纤集团审计为例,我们直接将被审单位的数据采集回来后,导入access2000,利用access2000中的可视化的查询分析器对数据进行筛选,得出所需要的数据。但是现阶段不少审计人员并不熟悉专业数据库软件的使用,尽管诸如access、foxpro、SQLserver等使用起来都很方便容易,但对相当多的审计人员来说仍有一定困难,这样就可结合使用相对而言更易使用的一些软件,诸如:南京特派办的《审计数据采集分析软件》等。
从实际情况看,我们主要是采取以下几种方法进行数据分析的:
一是利用被审单位软件的自身查询功能,发现不正常的会计分录。主要通过查看明细帐、记帐凭证,审查会计科目的对应关系,发现不正常的会计分录。如:“实收资本”科目一般对应“现金”、“银行存款”或者是“存货”等资产类科目,如在查询中发现,有的对应科目却是“应付款‘、”其他应付款“等科目,就可将这种不正常的会计事项作为审计重点,经调阅有关的原始凭证和调查相关往来单位,发现该单位虚列股本、转移国有资本、化公为私等问题;
二是利用被审单位软件数据转换功能,结合《审计数据采集分析软件》的查询、筛选等功能,发现违规支出。以“费用”审计为例,首先将把被审单位数据库中“管理费用”、“经营费用”和“财务费用”明细帐打开,将数据转换成EXCEL格式,通过《审计数据采集软件》进行查询摘要、筛选数据,经调阅有关的原始凭证和审计相关单位,发现费用中违规支出问题。
三是利用分类汇总、规划求解和拖动复制柄等功能,发现收入不合规等问题。比如审查债权债务,湖北化纤集团涉及的往来单位共有1938个,往来款总额数亿元,若一个审计人员用人工查账法,按帐龄分析其发生的现状,摸清其真实合法情况,需要一个星期。但运用计算机辅助审计,在EXCEL电子表格中,按照“单位”、“帐龄”等检索条件,一个小时之内查出三年以上不良资产1000多万元,往来单位1360个;二年至三年往来单位269个,金额3000多万元;又如在今年的电力行业审计中,在审查电价标准方面,我们首先将被审计单位用电量数据库采集过来,存为EXCEL电子表,用电总量中分居民生活电量、农民排灌电量、优惠
国外的审计理论已从传统的账项基础审计、制度基础审计全面转向风险基础审计。风险基础审计理论的核心是从分析审计风险入手,建立科学的“审计风险分析模型”和“审计保证模型”,审计风险由固有风险、控制风险和检查风险组成,通过定性和定量分析,找出影响审计风险的因素进行重点控制和检查,以保证审计质量。并通过对被审计单位经营情况的调查和内部控制的测评,量化确定固有保证程度系数、控制保证程度系数,根据审计保证程度模型确定可接受的检查风险水平,然后针对这些风险因素状况和程度采取相应的审计对策,确定和实施规范的审计程序。与风险基础审计理论相关的一个重要概念是重要性水平。
重要性水平是指被审计商业银行财务会计报告中存在错报或漏报的程度,这一程度在特定环境下可能会影响审计目标和财务会计报告使用者的判断或决策。论文百事通因而对重要性水平的判断直接影响到审计的深度和广度,如果重要性水平定得过高,则审计中执行的审计程序和获取的审计证据可以随之减少,但却可能产生较大的审计风险;如果重要性水平定得过低,审计人员要执行详细审计程序和获取过多的审计证据,从而影响审计效率。在随后的分析性复核和实质性测试中确定抽样规模时,都会用到重要性水平,如根据重要性水平确定货币精确度(MP),根据货币精确度来确定可接受偏差和抽样间距等。目前,国外商业银行审计重要性水平一般以税后利润的5—10%确定,当税后利润很小或为负数时,则以净利息收入的一定比例来确定。
二、审计程序
将商业银行整个审计过程分为审计计划、审计实施和审计报告三个阶段:
1.审计计划阶段。审计计划阶段的工作非常详细,主要包括根据业务特点评价审计项目风险,选调人员组成审计组。调查的内容包括:被审计银行的经营业务、所占有的市场份额、面临的风险及所采用的风险管理措施、法人治理结构和人力资源政策;内部控制环境,主要是银行各级管理层的内控活动及内部审计的作用;会计核算和会计处理程序。获取财务信息和业务经营数据后,执行初步分析性复核,通过初步分析性复核,找出异常变动的区域,作为审计的重点。初步确定重要性水平。根据业务循环确定关键的内控活动以及与通用计算机控制有关的内控活动,制定内部控制轮流测试计划和实质性测试计划。
2.审计实施阶段。主要包括测试内部控制制度并作出评价。由于银行电子化程度非常高,在对计算机控制系统的测试中,通常由熟悉财务和精通计算机的专家对被审计商业银行的计算机控制环境、控制活动及处理程序进行检查,并对计算机内部控制作出评价。执行实质性的分析性复核,执行重大项目详细检查和细节测试,对财务报表进行检查。
3.审计报告阶段。主要包括期后事项检查、获取管理人员陈述函、汇总审计结果和编制审计报告。
三、采用的审计策略与方法
1.优先采用依赖内部控制的审计策略。银行一般都具有相对较强的内部控制环境,包括健全的信息系统管理、内部控制制度和综合风险管理、内部审计等。国外商业银行审计以风险基础审计理论为依托,优先采用依赖内部控制的审计策略,根据银行业务经营特点,以业务循环来规范银行审计的程序,将银行主要业务活动划分为七大循环:即存款业务循环、贷款业务循环、支付与清算业务循环、资金业务循环、费用业务循环、固定资产业务循环、工薪业务循环。其中前四个是银行业特有的业务循环,后三个业务循环与别的行业相同。值得一提的是,资金业务循环指融资、拆借、投资、衍生金融工具交易、头寸管理、流动性管理、利率管理、汇率管理等等,一般不以投机为目的。该循环涵盖的业务品种比较多,所涉及典型的金融工具有银行承兑汇票、国库券、可转让票据、存款证明、债券、商业票据、本票、通知存款、银行间贷款等,几乎除了存贷款之外的业务都可以归入该循环。
对每一个业务循环,指出其主要的业务活动,然后针对每一个主要业务活动,提出相关的内控目标,针对每一个内控目标,还指出关键的控制活动,如对贷款业务循环中的“新发放的贷款需经过信用评估和审批程序”这一内控目标,其关键的控制活动有:(1)信贷经理/信贷委员会确保贷款的审批符合经营限额;(2)信贷委员会或信贷人员在其授权范围内审批贷款;(3)根据业务性质和借款人状况要求提供担保;(4)承诺贷款前初步评价借款人的财务和经济状况,包括地区和行业分析;(5)评价与复杂交易相关的额外风险;(6)信贷经理/信贷委员会基于信贷评级系统或外部机构的评级审批贷款;(7)全面评价借款人的整体状况。通过询问、观察和检查书面文件,对上述内控活动进行测试,最后对整个贷款业务的内部控制作出评估,获取内部控制保证系数。由此可见,内部控制测试并不是笼统抽象的,而是有具体的目标、控制活动和评价标准。经内部控制评估,若其内部控制保证程度高,则可以减少贷款业务检查的工作量。2.重视分析性复核技术。在审计计划阶段,运用分析性复核中的比率分析和趋势分析,来确定审计重点;在审计实施阶段,运用分析性复核可以直接作为实质性测试程序以收集与账户余额和各类业务活动有关的证据。在银行业务存在大量的单笔金额很小的交易情况下,通过分析性复核,可以使审计人员重点关注那些重大的和例外的交易业务,在保证审计质量的前提下减少审计的工作量。
分析性复核常用于测试商业银行的利润表项目,如根据利息收入与生息资产、利息支出与付息负债之间的比例关系,设计利息收入与利息支出的精确期望值,通过建立这种合理的比例关系,审计人员就能够根据生息资产的平均余额和付息负债的平均余额计算出相应的数据,与财务报告上实际的利息收入与利息支出进行对比,检查两者差异的程度。分析性复核的程序如下:
(1)设计期望值。在设计期望值前,审计人员首先需要检查设计期望值所使用数据的可靠性,以便使计算出来的期望值与会计数据计算口径保持一致。
(2)确定可接受的偏差。可接受的偏差是指期望值与实际会计记录之间存在的不需要作出解释和进一步调查的最大差额。可接受偏差通常根据审计的重要性水平、所需的检查保证程度和分组数量来确定。
(3)计算比较期望值与实际记录之间的偏差;找出重大差异,即期望值与实际记录之间的偏差大于可接受偏差的情况。
(4)对重大差异进行调查,评价分析性复核的结果。对重大差异若查明了原因,则直接作为实质性测试的结果;若查不出原因,则执行其他的实质性测试程序。
3.重大项目(金额)详查与抽样审计相结合。为降低审计风险,提高审计效率,对一些金额巨大的业务和高风险的业务,通常采用详细检查的方法,如在贷款业务的审计中,若前10名贷款企业的贷款额可能达到贷款总额的70—80%,则对前10名的贷款企业进行详细检查,这样就可以保证这部分贷款业务不存在审计风险,类似的业务还有投资业务、资金拆借业务、固定资产业务、应收应付款及费用支出等,对其余部分,则采用抽样审计的方法。样本规模则根据如下公式得出:
(1)根据重要性水平确定的货币精确度(一般为重要性水平的80%至90%)MP除检查保证程度系数R,得出抽样间距J;
(2)用详查后余下的部分作为总体除抽样间距J,得出抽样规模S。
样本数确定后,审计人员既可以采取统计抽样方法,也可以采取非统计抽样方法或根据经验判断来抽取样本。
4.充分考虑计算机在银行审计中的重要性,广泛应用计算机审计技术。
一是调查了解计算机运行环境。银行审计首先要了解银行的计算机信息系统、了解计算机运行环境和自动化控制、熟悉银行会计处理程序。由于系统的复杂性,该过程通常由计算机审计专家来完成。
二是调查了解计算机内部控制。计算机内部控制包括一般控制和应用控制。一般控制包括:应用系统开发和维护控制;计算机操作控制;系统软件控制;数据和程序控制。此外,还应了解其他促进计算机信息处理连续性的控制,包括:数据和程序的制作备份;发生被盗、丢失或损坏时可使用的恢复程序;发生灾难时提供异地处理等。应用控制主要包括:输入控制、计算机处理与数据文件控制及输出控制。
三是复核计算机产生信息和数据的可靠性。审计人员对计算机产生信息的依赖,使审计人员必须测试和验证计算机产生电子数据的准确性和完整性。无论审计人员是否采用依赖内控的审计策略,都需要实施这种测试,如利用客户现有的数据重新生成有关信息、或将计算机生成信息的合计数与现有数据的合计数相核对、选取客户部分数据与计算机生成的信息相比较等。
长期以来,在应用信息技术(IT)过程中,人们总是过多关注其中的技术(T),而缺少对其中的信息(I)给予足够的重视,然而,当人们欣喜地看到IT使会计信息的相关性得以加强之际,又更应当为会计信息的可靠性所受到的威胁深感担忧。为此,COSO的风险管理框架、SOX法案、CIBIT等一系列IT控制规范相继出台,而国际信息系统审计与控制协会(ISACA)的诸多标准、指南和程序更是直接将焦点对准组织的信息资产的安全之上。我国《企业内部控制基本规范》和《企业内部控制应用指引18――信息系统》等规范文件的,强调信息化环境下的会计信息的安全性与可靠性,随后,财政部于2009年的《关于全面推进我国会计信息化工作的指导意见》中,提出未来5~10年会计信息化首要的工作目标,是要建立健全会计信息化法规体系和会计信息化标准体系。国内外诸多IT控制与审计制度的不断涌现,充分说明在构建会计信息化标准化体系之中,当务之急是建立会计信息的生产与传递严密的控制与审计标准体系,为此,笔者在梳理国内外信息审计基本理论的基础上,分析信息审计在会计系统中应用的必要性,进而提出会计系统应用信息审计的若干思考,以求这一工具与方法在我国会计系统中早日得以应用。
二、信息审计研究概述
对信息审计的研究,主要集中在信息审计的基本概念、基本目标及信息审计的主要内容等方面。
(一)信息审计的基本概念 目前,信息审计内涵尚未有一个被理论界认同的概念。美国信息学家D.Ellis(1993)首次将信息审计定义为:“审查已有的信息管理系统,找出问题,提供解决问题的备选方案”(任玉珍,2009),试图将信息审计与信息系统审计合二而一,以求寻找解决问题的方案。布彻南(Buchanan,1998)和吉伯(Gibb)则将信息审计界定为:“对组织信息资源和信息流进行发现、控制和评估,以实施、维护或改进组织的信息管理的过程”,这一定义将信息审计的内容确定为信息资源与信息流两大部分至今影响至深。奥那(Orna,2004)则将信息审计的对象拓展为人、文档和信息,并认为,信息审计是通过对一个组织中的人、文档等的查证,系统地检查信息产生、利用和流动的情况,进而确定其支持目标。英国信息管理协会(Aslib)拓展了信息审计的内容,指出它是参考组织的人员和已有文献,对组织的信息资源、信息流和信息需求等方面进行的系统检查,以确定其对组织目标的贡献程度。我国学者娄策勤和高策(2009)则结合当前新的信息环境和信息理论,将信息审计看作是一种管理工具,认为它是一种发现、解决组织信息管理缺陷的管理工具。黄亦西(2005)也指出,信息审计是为了充分开发信息价值,通过对组织的信息流和信息资源的调查、评估,从而识别组织的信息需求,确定组织的信息环境,并制定相应政策的过程。
必须强调的是,信息审计中的“信息”是一个广义信息的概念,包括严格意义上的信息和数据两类。笔者认为,处于IT广泛应用的今天,信息与数据的细分必不可少,它对人们研究信息审计的对象、内容和范围至关重要,因此,笔者将对应于数据审计的信息审计称为狭义信息审计,以括号注明“狭义”。而将涵盖数据、信息的审计视为广义信息审计。
(二)信息审计的基本目标 美国学者查菲(Chaffey)和伍德(Wood,2008)指出,信息审计是用来评价当前信息质量和管理行为的水平,即“是什么”的问题。它也可作为一种状态分析的工具,用以协助构建信息政策和评价信息战略的目标是否已经实现,将信息审计看成是信息质量与管理不可或缺的工具。赖茂生(2005)认为,信息审计的目的是为了实施、维护或提高组织机构的信息管理。胡善勤则从IT视角出发,指出用以记录网络上各计算机行为的信息审计,其目标有两个:一是可定期对各种网络行为进行采集、统计和分析等,发现存在的漏洞并及时修补;二是在发生安全事故后可以进行信息分析,找到事故原因,进而采取相应的措施。可见,信息审计的根本目标,主要在于提升信息质量,由于信息质量的优劣首先取决于信息资源对企业实现目标所作的贡献,故而在当前情况下,信息审计所面对的必然是企业的IT系统(如ERP系统),基于IT视角可使人们进一步明确信息审计目标,并为企业IT环境确定信息审计的内容与范围。
(三)信息审计的主要内容 随着IT应用的深入,众多学者认为,不应把信息审计看成是一种选择,而是达到确定信息资源的价值、功能和用途,以便充分开发其战略价值的必要步骤。信息审计包括信息资源和信息需求两大内容,但它是否也应包括信息流则是众说纷纭。鉴于信息流审计和信息流程重组中的众多理论和流程具有相似性,有些学者认为信息流审计不应归属于信息审计范畴之内(高策,2009)。笔者认为,处于IT应用的初始阶段,将信息流纳入信息审计的主要内容,对于企业的系统信息流程的标准化与规范化建设具有重要的意义。这是因为,信息流与企业组织流、业务流密切相关,面对网络环境,企业流程再造的本质就是实施三者的同步发展。而从企业ERP系统应用层面来看,信息资源、信息流与信息需求三者不能单独割裂开来,只有将信息流与信息需求、信息资源同步考察,才能对企业的信息管理水平加以客观地评价,并提出相应的改进意见。
信息审计对象应当涵盖信息图谱中的数据、信息和知识三个部分,但对我国企业而言,当前的数据审计与信息审计(狭义)首当其冲,只有这二者真正得以成功实施,并取得一定实效之后,知识审计才可望顺利进行,为此,笔者重点分析数据审计与信息审计(狭义)的具体内容。
从企业经营的业务内容看,信息审计的对象可细分为采购、生产、销售、会计等各子系统的数据审计与信息审计(狭义),这样才能根据各子系统的数据特点与具体内容,对各类信息资源、信息流和信息的使用提出针对性的信息管理评价意见。不难想象,那种既想获取企业信息审计的客观公正的评价意见,又不涉足各业务内容深入考察的做法,将难以实现审计目标。
三、信息审计在会计系统中的地位与作用
会计的价值并非来自于技术,而是取决于会计信息的质量,会计信息的增值首先是通过信息流的改善以降低资源的需求量,通过高质量信息的共享对决策提供支持。为此,采用信息审计以保证会计信息的高质量,也就使会计系统信息管理与控制新增了一道坚实的屏障。
(一)会计系统信息审计与财务报表审计并行不悖 财务报表审计的目标是对财务报表是否按照适用的会计准则和相关会计制度的规定编制,是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量两大方面发表审计意见,以提高财务报表的可信赖程度。而对会计系统而言,作为IT时代的必然产物的信息审计,其审计对象首先是以财务为主的信息资源,以确保该信息资源的价值、功能和用途,进而实施、维护或改进组织的信息管理的过程。虽然两者都有保证信息高质量的目标,但审计内容与审计方法却大相径庭。而从两种审计的审计对象看,虽然都是针对企业的信息资源,但信息审计的范围要宽泛得多,它不仅包括企业的货币、财务等定量信息,而且还包含企业的非货币、非财务等定性信息。财务报表审计必须对被审单位财务报表的会计准则和制度的遵行性,对财务状况、经营成果和现金流量的公允性发表审计意见。而信息审计则是从对企业信息资源、信息流程和信息需求等内容的价值、功能和用途加以评价,发表审计意见。前者注重企业核心信息的合规性,后者则注重企业信息管理质量的提升。从时空上来看,前者注重对所产生财务信息的结果进行评价,而后者则是对信息管理过程进行评价。尽管信息审计之初衷在于整个企业,但在我国首先在会计系统中加以施行,则是纲举目张之举。
(二)会计系统信息审计与信息系统审计异曲同工 企业信息化的实践证明,那种认为只要企业应用信息系统或相应的信息技术就能实现信息化、提高企业信息管理水平的认识有失偏颇,企业信息化建设中的根本因素是信息资源建设问题。目前普遍存在的企业信息资源存量绝对值不足、信息需求匹配度不高、信息资源利用率低、信息资源成本高收益低等弊端。因此,信息审计的当务之急,是要对企业财务信息资源进行控制和评估,以实施、维护或改进企业信息管理的水平。
尽管有学者将信息审计对象界定为信息管理系统,但近20年来信息审计的实践及诸多研究成果表明,审计信息管理系统的任务非信息系统审计莫属,信息审计尽管与信息系统审计有着千丝万缕的联系,但两者的审计目标、对象、范围、内容却有许多不同。Ron.Weber(1999)指出,信息系统审计的目标在于判断被审的信息系统是否能够保证信息资产的安全、数据的完整以及高效地利用组织的资源并有效地实现组织目标的过程,它主要通过获取和评价所收集的证据来保证这一判断的客观公允性。信息系统是其审计对象,获取和评价所收集的证据是其手段与方法。而信息审计的审计对象是数据与信息(狭义),评价产生信息的被审系统则是其手段与方法。两者相辅相成、优势互补的同步,可以从不同途径保证会计系统和信息的高效与高质。
(三)会计系统信息审计与IT环境共生互动 自20世纪90年代初期以来,越来越多的企业流程已经将大型信息系统纳入其中。由于这一技术转变,数据和信息相对于产品的重要性正在凸显。目前很大一部分企业价值已经不在资产负债表之内,在使用大量知识和信息的领域,差异越发明显,以至于越来越多的人想抛弃已经接受的簿记原则(杰普.布勒姆等,2008)。可见,会计系统的信息资源与信息需求面临着重新确认等问题,而亨茨尔(Henczel,2001)所提出的,信息审计是通过识别组织的信息需求,从而有效地确定组织当前信息环境的过程,这一将识别信息需求作为信息审计的主要内容的观点,对重新认识会计系统的信息需求具有十分重要的意义。会计的发展取决于两个因素,一是环境的影响;二是用户对会计的信息需求,信息技术的飞速发展,促使会计系统与这一技术环境的共生和互动关系日趋明显,而经济全球化的竞争态势又驱使会计信息不能局限于眼前以财务为主的经济信息的支持。因此,会计系统面临着信息资源与信息需求的信息审计。
会计信息要力求增值,无疑应当对其数据与信息的采集、处理与生成的基本流程逐一进行分析和提炼,以便求得各流程、工序的精益求精。同时,由于目前大中型企业纷纷使用ERP系统,因而使会计子系统与其他子系统的数据联系越来越密切,而其会计子系统中的管理会计、内部审计等子系统与财务会计子系统的无缝连接越发凸显,为此,针对数以万计存储于企业数据仓库之中的信息资源文件重新进行梳理与管理势在必行。而从审计的角度看,IT环境需要IT治理和IT控制,这是因为这一环境所带来的系统、流程、技术等错综复杂的高风险局面,许多大公司由于难以应对这一高风险局面而陷入信息危机与信息犯罪的旋涡之中。作为信息安全保证的必备工具与方法手段,信息审计在当前会计系统的安全控制不足的状况下尤为必要。
四、信息审计在会计系统中应用的若干思考
尽管会计系统相对于企业其他子系统具有较为严格的信息生产程序、流程和规范,但面对与ERP系统诸多子系统的日益交融局面,会计子系统的数据与信息的管理产生许多问题,如缺少对信息的集中化管理,致使某些有用信息过于分散而难以被决策者获取与使用,又如信息过载使得信息用户难以腾出足够的时间从纷繁复杂的信息中选择其所需要的信息等。诚如信息审计专家H. Botha和J.A.Boon所指出的,需要对信息审计进行更多的研究,在实践中测试更多的方法,使信息专家能够开发出可以放心使用的可靠信息审计方法。笔者认为,当务之急是在对信息审计的必要性取得共识的基础上,探讨会计系统信息审计的主体与内容、审计方法、审计频率与审计重点等问题,以使信息审计在我国早日应用。
(一)会计系统信息审计的主体与内容 本质上说,企业信息审计是企业内部审计的一个有机组成部分,其规划、实施、完善的组织协调工作主要应由企业的内部审计机构为主体加以实施,在聘请外部专家参与信息审计的基础上,辅以企业内外部的相关审计人员来完善审计工作。但由于当前企业信息审计力量不足、缺乏专业胜任能力的人员,故应形成由企业内部审计人员与信息主管人员为主的专业团队。
如前所述,会计系统的信息审计包含会计数据审计与会计信息审计(狭义),从实务上看,前者的审计重点是会计数据的保护、采集、存储、记录和处理规范的管理,而后者的审计重点则是对会计系统所产出的财务报告和提供决策支持信息的管理。从理论研究内容上看,会计数据的审计应当研究会计数据的来源,数据的检索与分析,以及基于信息需求而对会计凭证和账簿等数据的采集、整理及记录规则等方面的管理。而会计信息审计的研究重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及与会计信息需求的目标相适应的信息体系的构建等。
(二)信息审计的审计方法 作为人造系统,会计这一应用系统的信息审计应以信息技术为手段,围绕企业各应用子系统的应用过程与应用结果,以及系统安全的合理性、过程行为的合法性、结果数据的真实性,进行客观、适时的监测与审核,将各种违规、可疑事件及时发出警报,并提交改进信息管理的审计报告。
信息审计与信息系统审计同为内部审计的组成部分,但其各自的审计方法不尽相同,亨茨尔(Henczel,2001)强调信息审计是一个循环的过程,包括计划、数据收集、数据分析、数据评价、建议交流以及实施这样一个定期重复的过程。目前比较成熟的信息审计方法有信息地图法、集成审计法、信息流法和亨茨尔(Henczel)法等多种(娄策勤、高策,2009),针对会计系统的特点,笔者认为选用信息流法和亨茨尔(Henczel)法为宜。信息流法既重视信息资源的识别,又能同时对企业信息流进行分析,这正是目前我国会计系统信息审计起步伊始所必须的。而亨茨尔法则是在分析信息流法和集成审计法的基础上,提出了较为科学的信息审计7大步骤,即计划筹备审计计划和准备,通过案例分析取得高层支持;数据收集通过调研建立组织信息资源数据库;数据分析对收集到的数据进行标准化分析;数据评估进行数据判读,提出建议;建议交流报告信息审计结果,交流意见;实施建议开展信息审计建议改革项目;二次审计使信息审计经常化、规律化。对会计系统而言,信息流中的电子凭证审核、记账凭证形成、账簿登录、银行对账和报表编制等沿用手工会计流程的做法,能否符合信息管理与用户信息需求,十分有必要在信息审计过程中进行重新审视与评价。
由于当前尚未形成标准化的信息审计方法体系,因此在实际中,许多信息审计项目多采用了传统的财务审计方法,如成本/效益方法等,这给信息审计实践造成了很大的困惑和混乱,有的学者主张应将财务审计人员的经验与信息审计实践相融合,尽早开发出一套适用于信息审计方法体系(任玉珍,2009)。笔者认为,借鉴财务审计的基本方法与经验,固然是信息审计的实现途径之一,但信息审计方法不能落入财务报表审计方法之中,否则将有可能影响到信息审计任务的完成,两者的审计目标相去甚远,因而其审计方法也必然有很大的不同。鉴于信息系统审计与信息审计所具备的诸多共性,借鉴日益成熟的信息系统审计中的信息流程审计与数据审计的方法不失为一种事半功倍的做法。
(三)会计系统信息审计的频率与重点会计系统的信息审计,首先要明确信息用户对会计信息需求,其次是要对目前可使用信息与信息用户所需要的信息进行信息资源差异对比分析,进而根据当前状况提出消除上述差异解决方案,并制定信息提供与信息流程再造的行动计划。从以上的审计过程看,会计系统信息审计的频率与该系统的使用状况相联系,即信息审计频率与系统使用时间相对应,会计系统一旦受到升级或改进,信息审计就应当紧随其后加以进行。然而,应当注意的是,在信息资源、信息流和信息需求三大信息审计内容中,与系统升级或改进联系最紧的当属信息流。因此,信息审计的频率可以因审计内容而定,一旦会计系统的信息流受到改变,就必须对其实施审计,而信息资源与信息需求则可采用定期审计的方法,根据企业经营决策与竞争的需求,定期实施会计系统的数据审计与信息审计(狭义)。
信息审计包括数据审计与信息审计(狭义),对会计系统而言,数据审计应用研究的重点是会计数据的保护、采集、存储、记录和处理规范等方面,而其理论研究的重点则是会计数据的来源、会计数据的检索与分析、会计凭证和账簿等数据的作用,以及这些数据处理过程中的规范要求。而信息审计(狭义)应用研究的重点是会计系统所产出的财务报告和提供决策支持的信息,其理论研究的重点则是与流程、选择合适信息系统、信息获取及使用、各类会计信息对相应流程的重要程度,以及会计信息需求的目标等相关。
五、结论
疾速形成的网络化与无纸化等信息化环境,促使会计系统的信息审计成为必然,而作为信息化助推器的信息审计,其审计目标、审计内容和审计方法等又确立了其在会计系统中数据与信息安全保障体系中的重要地位。伴随着我国信息审计理论研究的开展,信息审计的成功应用可望水到渠成。届时,信息审计与信息系统审计的并驾齐驱,必然为我国会计系统信息的可靠与相关、信息管理的高质与高效提供强有力的支持。
[本文系福建省教育厅2008年度人文社科项目“我国财务会计信息化发展方向研究”(JA08003S)阶段性研究成果]
参考文献:
[1]任玉珍:《信息审计的内容框架分析》,《农业网络信息》2009年第7期。
[2]娄策勤、高策:《信息审计方法比较研究》,《图书情报工作》2009年第1期。
[3]黄亦西:《信息审计与知识审计的比较研究》,《情报杂志》2005年第10期。
[4]赖茂生:《信息资源管理的技术方法》,irm.impku.edu.en/ownload/e07.pdf,2005-12-17。
[5]胡善勤:《网络信息审计的设计与实现》,吉林大学2008年工学硕士论文。
[6]高策:《企业信息审计研究》,华中师范大学2009年硕士学位论文。
[7]戴维.查菲、史蒂夫.伍德著,赵苹、陈守龙译:《企业信息管理:用信息系统改进绩效》,中国人民大学出版社2008年版。
[8][荷]杰普.布勒姆、梅农.范多恩、皮亚士.米托尔著,程治刚、张翎、张劲译:《SOX环境下的IT治理》,东北财经大学出版社2008年版。
[9]Buchanan,S. and Gibb,F. The information audit:an integrated strategic approach. International journal of information management,1998.
[10]Orna E.Information Strategy in Practice. Aldershol:Gower,2004.
【 关键词 】 数据挖掘;网络信息安全;策略
The Research on the Network Information Security Policy Based on Data Mining
Cao Zi-xi Lu Qi Xue Zhi
(Shanghai Jiao Tong University Shanghai 200240)
【 Abstract 】 With the continuous development of the internet technology, the continuous application of the Cloud Computing, the Big Data era has arrived. The Data Mining technology has brought the analysis capabilities of the data processing to a new level. In this article we studied the Data Mining and the technologies of the network information security. We proposed a network information security policy based on data mining, and improved the difficult issues of dealing with the large amount of data in network information security policy.
【 Keywords 】 dating mining; network information security;tactics
1 引言
近年来,网络技术的飞速发展,互联网上的数据以每天数千万条的速度迅速增长,数据的产生、传输、存储、访问和处理方式都发生了翻天覆地的变化。在这样的一个大背景下,数据挖掘孕育而生。另一方面,各种网络安全检测技术、设备和产品会生成大量的关于网络安全及流量的检测数据,单单依靠传统人工处理以及简单查询统计方法的数据处理模式已经无法适应新时代的需要了,如何从海量网络信息安全检测数据中挖掘发现有价值的信息,需要在网络信息安全策略中运用到数据挖掘的技术。
2 数据挖掘的相关概念
2.1 数据挖掘的定义
数据挖掘就是在一些没有规律、异构结构并且熟练庞大的数据中,通过相关的计算机方法及算法,提炼出具有不确定和未知性的信息的一种方法。数据挖掘的数据源应该是大量且真实的,所寻找出的信息应该是对我们有用的、具有价值的。理论上来说,数据量越大、越随机,数据挖掘所得到的结果就越准确、越具有代表性、越有价值,这就对数据挖掘的相关算法与技术的效率提出了很高的要求。数据挖掘是一门交叉学科,融合了数据库、人工智能、统计学、机器学习等多领域的理论与技术。数据库、人工智能与数理统计为数据挖掘的研究提供了三大技术支持。数据挖掘是将一些离散的、底层的、无序的大规模数据利用相关的技术手段提升到有序的、可接受的、有价值的知识,从而为决策提供帮助的一个过程。具体的说,数据挖掘是通过对大规模的海量数据进行分析,从中找出一些数据间的内在规律与联系。具体过程包括了数据准备、信息挖掘和结果表达三个阶段。
2.2 数据挖掘的主要任务
数据挖掘的主要任务包括有监督学习(Supervised Learning)、关联分析或频繁模式分析(Frequent Pattern Analysis)、聚类分析(Clustering Analysis)、异常检测(Anomaly Detection)等。
有监督学习包括两种形式:分类(Classification)和预测(Prediction),是指根据已知样本的大小、类型来预测新到样本。关联分析或频繁模式分析指的是找到某一事件发生时,另一事件也会发生的这样一种规律性的联系模式。聚类分析指的是将找出所有数据的一些内在规律及特征,并且按照这些特征将数据源划分成若干个数据簇。异常检测通过建立一个数据样本的范本,并将数据源中的数据与其进行比对分析,找出里面存在的异常样本。
3 网络信息安全的相关概念
3.1 网络信息安全的概念
网络信息安全问题的解决方案包括数据挖掘信息安全技术的应用和数据挖掘信息的安全的管理。管理是指根据事物发展的客观规律,通过综合运用人力资源和其他相关的资源,以便有效地实现组织目标的过程,是指在集体活动中,为了完成一定的任务,或者实现一个具体目标,针对特定的对象,遵循既定的原则,依照完善的程序,使用适当的方法,所进行的计划、组织、指挥、协调和控制的活动。比如,在网络安全控制方面,防火墙技术已被广泛应用,为了更好地发挥防火墙的安全保护作用,就必须考虑如何设置防火墙的安全策略,并对它的物理保护和访问控制进行设置。
3.2 网络信息安全的相关技术
3.2.1爬虫技术
Web 爬虫(Crawler)通常也被称为机器人(Robot)或者蜘蛛(Spider),它是一个能够自动下载网页的程序。互联网上有数以万计的网页,这些网页存在于分布在全球各地的各个服务器上。用户可以通过网页链接进行各个网页直接的切换和浏览,而爬虫正是模仿人的行为,将多个站点或者网页下载或存取,然后交给数据处理模块。
3.2.2结构化数据抽取
Web信息收取指的是从一个网页中分析目标信息。通常包括两个问题,第一个是从自然语言文本中抽取信息,第二个就是从网页的结构化数据中抽取信息。我们称抽取这种数据的程序为包装器(Wrapper),包装器有三种方法,分别是手工方法、包装器归纳、自动抽取。
3.2.3规则引擎技术
一旦数据获取了,我们就要对其进行处理和分析。常用的基于 Python 的规则引擎有几种。PyKE 是一个基于知识的专家系统,采用类似于 Prolog 的语言规范。Prolog 是一种逻辑编程语言,广泛应用于人工智能领域。Pychinko 是一个可以处理语义网的规则引擎,它可以用 RDF 来定义。Intellect 是一个基于领域描述语言(Domain Specific Language,DSL)的规则引擎,可以定义一些规则表达式,来监测网络数据。规则引擎指的是一个创建、存储和管理规则,然后执行规则并推断出其它事实的应用程序。其中的规则主要是指企业或商务业务逻辑、法律条款等。在规则引擎发展的过程中,Rete 算法和 Prolog 语言是两个重要的理论分支,多数规则引擎都是基于以上二者扩展而来的。在工业活动铸造中,发展时间较长、应用广泛的两个体系是 Clips 体系和 Prolog 体系。
4 基于数据挖掘的网络信息安全策略
4.1 安全的网络环境
安全的网络环境包括系统的安全性、防病毒和网络入侵检测、审计分析、网络备份和灾难的恢复等。具体措施如下:隔离和访问控制技术,包括物理和逻辑的隔离,可信与不可信网络的隔离,只允许有授权的用户访问网络资源;采用反病毒技术,病毒已经严重威胁到了网络的安全,它的威胁和破坏性是很难用数字估量的,建立病毒预警、病毒防护和应急机制,就显得尤其必要;网络入侵检测技术会及时对非法入侵者及恶意破坏者建立预警机制,并定期对网络系统进行安全性分析,发现并修正漏洞;分析审计,记录用户使用过程中的计算机网络系统,它不仅能够确定是谁访问了系统,还能记录系统的使用状态,确定是否有网络攻击,审计数据挖掘信息是非常重要的;网络备份和灾难恢复可以确保在最短的时间内使受到破坏的系统恢复可用。
4.2 保证数据挖掘信息安全的策略
安全的数据挖掘信息指数据挖掘信息的存储安全、传输安全和使用安全。数据挖掘信息的物理完整性,逻辑完整性和保密性组成了数据挖掘信息的存储安全;并要通过数据传输加密技术、数据完整性技术和防抵赖性技术来保证数据挖掘信息传输的安全;数据挖掘信息的使用安全是指,为防止非授权主体擅自使用资源,必须对网络中的主体进行验证。
4.3 基于数据挖掘的网络安全数据分析策略
4.3.1关联性分析
关联分析模型的含义是通过对攻击行为要素的归并和组合,结合数据挖掘相关技术,体现宏观网络上最热门的攻击行为态势。一次攻击行为中,(源地址、目的地址、攻击类型)三要素体现了攻击的本质,三要素任意指定和组合,都反应了有意义的网络攻击态势。
4.3.2 事件预测机制
事件预测机制是通过对某一事件的发展趋势进行跟踪观测,运用数据挖掘聚类算法,判断其是否会成为大规模网络事件的模型。对于大规模的网络事件,其最具代表性的特点并不是事件发生的次数,而是其扩散趋势。例如连续观测到涉及同一类木马病毒事件的IP地址数量急剧上升,可能就是一次木马网络攻击事件。
4.3.3 可控数量预测模型
可控数量预测模型是通过观察事件中受控主机状态增长数量,对事件的感染能力做出判断。受控主机状态增长指的是之前未检测到发出某类攻击的主机,通过检测被发现后的状态变化增长。例如对于某种病毒,若以前未检测到主机X受到过感染,但是在观测周期内发现了主机X已经被感染了病毒,那么对于该病毒而言,主机X就是其受控主机增长状态。
4.3.4分析处理模型
分析处理模型的作用在于对运营商的事件处理反馈进行分析,判断其对被控主机的处理能力。该模型从各运营商的被控主机、已处理主机、未处理主机以及处理效率等各方面进行综合评估,由此来分析判断运营商对其辖区内的被控主机处理能力。
4.3.5网络安全数据分析模型
网络安全数据分析模型用于观测网络特征事件的数量,判断是否存在异常。分为学习阶段和实时检测阶段两个阶段运行。学习阶段可以建立事件的判断标准,等学习阶段满足特定条件后便进入实时检测阶段。
学习阶段,先由用户给定各类安全事件的定义,统计学习阶段事件内每个时间间隔中安全事件的数量。然后以小时计数,统计单位时间内安全事件的平均数和方差,记平均数为x,方差为?滓。
实时检测阶段首次按统计当前时间间隔内各类安全事件的数量xi,再判断各安全事件数量是否异常,
xi-x
?滓0?艽xi-x
2σ0?艽xi-x
xi-x?艹3?滓0 重度异常的安全事件数量。
其中的?滓0为判断标准,在模型建立时进行配置,可以根据不同情况,重新调整该参数。最后将各类安全事件数量异常的最高值,作为当前时间间隔的安全事件数量指标值。
5 结束语
当今社会已经进入云计算和大数据时代,计算机网络的应用已经深入到人们生活和生产的各个领域,但随着计算机信息的价值和重要性越来越高,不法分子入侵网络的手段也不断地翻新,使得传统的网络安全防御技术难以应对。将数据挖掘技术应用于网络信息安全策略中,通过聚类挖掘等方法,能够发现一些潜在的威胁与漏洞,更使得该技术具有了良好的发展前景。
参考文献
[1] 朱玉全,杨鹤标,孙蕾.数据挖掘技术[M].南京:东南大学出版社,2006.11.
[2] Han J., Kamber M., 范明(译).数据挖掘: 概念与技术 [M].北京: 机械工业出版社,2001.
[3] 中华人民共和国科学技术部火炬中心“推进我国软件企业工509000质量体系认证的研究”课题组.软件企业工509000质量体系的建立和认证.清华大学出版社,2011.
[4] 刘占全.网络管理与防火墙技术.人民邮电出版社,2010.
[5] 樊成丰、林东.网络数据挖掘信息安全&PGP加密.清华大学出版社,2010.
[6] 斯帝芬P罗宾斯.管理学.中国人民大学出版社,2010.
[7] 张健.防毒杀毒一防杀计算机病毒自学教程.电子工业出版社,2010.
[8] 舒南飞.网络安全态势评估和预测的新进展.信息技术与应用学术会议论文, 2009: 56-57.
会计审计毕业论文范文一:网络会计审计模式分析
(一)网络审计下的审计理论要素的重新思考
网络审计是随着网络技术、通讯技术和电子商务的出现而产生的,是经济活动网络化、虚拟化的产物,也是现代审计发展的崭新阶段。面对网络审计,原有的审计理论要素,如审计对象、审计目标、审计范围、审计主体、审计技术、审计风险以及审计准则等面临新的挑战,需要我们重新加以思考。
1.关于审计对象
审计对象是指审计所要考察的客体,即被审单位的财务收支及其有关的经营管理活动和作为提供这些经济活动信息载体的会计报表及其他有关资料。随着电子商务的网络化经营发展和虚拟公司的出现,使网上实体通过网络将成百上千的人联结在一起工作,他们可根据业务的需要自由重组。企业与企业之间的关系,可以是投资融资关系、技术协作关系和购销关系等,即使这些企业间的关系是松散型的,也可以通过网络在很短的时间内,以网上协议的形式整合成企业联盟,当然也可以在很短的时间内解散联盟。于是,会计客体就变得模糊,审计客体因之变得复杂,审计客体的外延需要重新界定。从交易费用理论看,审计对象(站在被审单位的立场上看,即为交易主体)的边界不清,不仅增加交易主体的交易费用,也会增加审计风险和审计费用。所以,网络审计的客体具有动态性和虚拟性,这就要求审计人员充分地认识到,审计的客体具有适时改变性。
2.关于审计目标
审计目标是指在一定的历史环境下,人们通过审计实践活动所期望达到的目的和要求。原有的审计目标仅局限于在装订的账、表上,亦称“有纸化”的信息载体上查错防弊,对经济效益进行评价,对审计对象的真实性和公允性、合法性、合规性、合理性和效益性进行审查和评价,其目的是为审计委托人服务。然而,在电子商务活动中,通过互连网和通讯技术,企业与企业、企业与消费者以及企业与政府间的联系更加广泛和深入,信息资源具有共享性和经济活动具有开放性,网络审计的目标将主要通过“无纸化”实现,向更深、更广的领域扩展,诸如企业社会责任履行状况的审计、人力资源利用状况的审计、政府调控职能实现程度的审计、顾客对企业满意程度的审计以及网络技术本身的合理性与有效性审计等也将成为审计目标。
3.关于审计范围
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。在原有审计中,审计范围要依据不同的审计对象和审计目标来确定,总的来看,审计范围较狭窄、封闭。而在电子商务活动中,企业会计信息系统已经成为一个宽阔开放的系统,会计信息处理处于一个开放的空间范围,涉及到交易关联方的各个方面;同时,由于其资源的共享性,能访问会计信息以及接触会计信息的人可能涉及到整个网络用户,当然,对涉及企业商业秘密的信息仍有所限制。网络用户,尤其是使用上市公司信息的用户,出于不同的动机,可能采取恶意操作行为,增加了网上行为的控制难度。因此,承担不真实以及非法数据的责任人就不能局限于被审单位,交易双方以及相关的社会公众都将被列入审计范围。总之,电子商务活动中的任何一项审计业务,都是建立在互连网平台之上的,审计活动面向网络。可见,网络审计的范围已被大大拓宽。
4.关于审计主体
审计主体是指实施审计监督的执行者,也就是审计机构和审计人员。在网络审计中,首先建立和完善能够在网络下实施对被审单位及其相关信息进行审查、监督和提供鉴证服务的审计机构;其次,必须构建完善的计算机系统和网络系统。同时,对审计人员的综合素质提出更高的要求和标准。审计人员应该是一种复合型、全方位人才,不仅要具备一定的法律知识、现代会计理论和审计技能,还要具备一定的现代信息技术、计算机网络知识和现代商贸理论,并能熟练地从事计算机硬件、软件的操作和维护。更为重要的是,由于高新技术的快速发展和知识的不断更新,审计人员应该具备终生学习和不断创新的能力,以适应网络审计发展的需要。
5.关于审计技术方法
审计技术方法是为了实现审计目标,在对被审单位实施审计过程中所采用的各种手段,它是顺利完成审计工作、提高审计工作质量的重要保证。企业在网络化经营中,由于会计数据的极大电子化和会计控制的局部程序化,直接造成了审计线索的“不可见性”。因此,必须应用数据库技术对会计数据进行可靠、完整地保存和管理,借助单机系统或工作站,对会计数据进行快速、准确地加工和处理,利用网络和通讯技术对会计数据进行安全、有效地分配和传输。这样,网络审计必须完全依赖于计算机和交互网络。在网络审计中,审计人员利用审计接口软件来获取原始数据,利用审计抽样软件来进行样本抽取,利用审计分析软件进行各种数量关系的配比分析和数据查询,利用数据仓库技术来进行分析,利用审计专家系统进行审计推理与判断,并通过数据挖掘、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。由此可见,网络审计下的技术方法已大大突破了原有方式下所运用的审计技术方法。
6.关于审计准则
审计准则是用来规范审计人员执行审计程序,获取审计证据,形成审计结论,出具审计报告的专业标准。在网络审计中,由于审计对象、审计目标、审计范围、审计主体、审计技术方法等发生了重的变化,需要对现有的审计准则体系重新进行审视和思考。审计准则体系中的有关准则应该体现电子商务下网络审计的特点,通过制定相应的、更切合实际的准则,更有利于规范审计人员的审计行为。只有这样,才能指导并规范网络审计工作,从而提高审计质量、最终形成客观公正的审计结论。
7.关于审计风险
审计风险是指被审单位的报表存在重大错报或漏报,而审计人员发表不恰当审计意见的可能性。一般认为审计风险由固有风险、控制风险和检查风险组成,它们之间的关系是:审计风险=固有风险×控制风险×检查风险。在电子商务活动中,由于会计数据处理的电算化,在计算机辅助系统的控制下,其本身的正确性和可靠性得以基本保证。因此,固有风险基本上被控制,并呈降低的趋势。但是,由于会计信息系统的开放性和网络化,使得会计信息资源在极大的范围内得以共享和交流,这无疑将审计工作置于一种被动的风险之中。例如,存放于主机内的会计信息被他人非法拷贝和篡改;会计数据在传输过程中被竞争对手截取和恶意修改;计算机病毒和网络黑客的肆意侵袭,会威胁会计数据的安全,严重时可能导致会计信息系统的全线崩溃等。可见,会计数据的安全、完整性控制难以得到保证,从而使控制风险和检查风险的水平呈上升趋势。所以在网络审计中,审计人员对审计风险控制的难度加大,实施的审计风险控制措施也将发生根本性变化。
(二)网络审计的风险与防范管理
随着网络审计的产生与发展,不可避免地会产生新环境下的风险,与传统审计风险相对应网络审计风险指的是审计人员网络技术对有关信息系统进行审计后发表不恰当的意见的可能性。
1.网络审计的新型审计风险
(1)篡改数据,不留审计线索在网络环境中,数据的电子化并以磁介质为主要存储载体,这为舞弊者或攻击者对原始数据进行非法修改和删除,且不留篡改痕迹成为可能,这将无法保证数据的完整性和真实性,给审计监督带来了风险。(2)信息丢失主要有三种原因:一是运行间的断电和死机等故障;二是计算机病毒破坏;三是人为的毁损。(3)黑客侵入和数据失窃计算机黑客为了获取重要的商业秘密、数据资源,经常用IP地址欺骗攻击网络系统。黑客伪装为源自内部主机的一个外部站点,利用一定的技术进入目标系统窃取或破坏数据。(4)职责分离不恰当引起内控失灵在网络环境下,如果对数据维护、系统管理和数据输入、数据核对确认等岗位不作适当的分离,就会有人利用网络的弱点故意修改数据、舞弊或窃取秘密信息从中捞取利益。
2.网络审计风险的防范和控制为了有效地降低网络审计风险,必须采取相应的防范和控制措施
(1)应用审计软件,对相关网络系统进行实时跟踪
首先对被审计单位的网络系统进行评价,并利用专用的审计对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;再次要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
(2)建立审计服务信息库
审计人员可将被审计单位的有关信息,通过网络建立一个完善的大容量的信息库,这些信息包括被审计单位的背景资料,最新动态和一些以前审计的档案信息,以便以后开展审计时查阅和运用,这样将可大大减少工作时间,提高工作效率,同时也相应地降低了审计的风险。
(3)加强对网络系统的安全性和保密性进行审计
在网络中运行,信息的安全性即可靠性和保密性构成了审计的风险防范和控制的重点。首先对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离,但侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查;其次对被审计单位网络结构进行分析与评价,以确认防范黑客侵入的能力;再次对被审计单位的系统容错处理机制,安全管理体制和安全保密技术等作深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
(三)网络审计的法律环境
由于网络时代社会的信息化加大了社会的不确定性,著名的摩尔定律所蕴涵的正是这种不确定性,由于法律是人们在社会生活中形成的一种共识,它在规范社会经济的运作,控制社会的不确定性上具有无可替代的功能优势。因此,在网络经济中法律的重要性将更为凸现。作为一个经济服务领域,审计首先要充分利用和维护已有的适应于自己的法律体系,作为维系共同利益的法律屏障,这些法律主要包括刑法、民法和商法等;其次,审计服务由于要处处体现其独立性,从而存在其自身的特征,因此迫切需要一套符合自身发展规律的法律来规范,这就需要建立起规范网络审计的审计准则。就新的审计准则而言,必须做到既有独创的一面,又有沿袭传统的一面,说它独创性的一面,主要表现在规范审计企业的网络信息系统为中心的一整套制度以及电子版本的业务约定书、管理层说明书、审计报告等电子文件的合法化,这些制度具有浓厚的网络特色,这与传统审计准则具有明显的区别;由于网络审计在审计独立性、客观公正以及审计的职业道德等方面仍然类似于传统审计,并且有时还离不开实地审计的参与,所以在规范类似审计方面可以适当的沿袭仍适用的传统审计准则。基于上述网络审计法律环境的建立,网络审计的运作将更加规范,更有保障。
总之,在企业网络化经营的过程中,审计人员为了加强对经营过程中的各个环节的审查和监督,必须“上网”,利用互连网络技术来建立审计专用网络,实施在线式和连续审计,对企业所进行的业务是否真实、合法,所提供的商品或劳务的信息披露是否完整、可靠,以及对网络系统是否采取足够的安全措施等进行评价,并提供意见,从而实现网络化会计信息处理、财务管理与网络审计综合运用。
会计审计毕业论文范文二:会计审计与质量审核分析
1.会计审计分类的差异分析
对会计审计可以从不同的角度加以考察,从而作出不同的分类,这有利于加深对审计的认识,从而有效地组织各类审计活动,充分发挥审计的积极作用。对质量审核一般进行简单的分类,对分类没有什么目的性。分析:GB/T19011对质量审核的实施时间分类上有一定困难,因为质量管理在事前没有可以操作的、详细的审核办法,而且风险分析目前使用还不广泛,事前审核的效果没有足够的判定依据。在实践中,组织可以对自身进行有意识的事前审核,以确定组织的风险并加以控制,使组织的流程更好地运行,提高组织的效率。
2.目标的差异分析
2.1审计目标
审计目标包括存在和发生(existenceandocc-urrence)、权利和义务(rightandobligation)、估价或分摊(valuationorallocation)、完整性(completen-ess)、表达和披露(presentationanddisclosure)等5个方面的认定。
2.1.1存在与发生认定是指资产负债表所列示的资产、负债、权益在资产负债表中确实存在;损益表所列示的各项收入与费用在会计期间确实发生。
2.1.2权利和义务认定是指会计报表中记录的各项资产确实属于公司所有或被公司所控制;会计报表中记录的各项负债确属公司应履行的义务。
2.1.3估价或分摊认定是指各项资产、负债、所有者权益、收入和费用等要素均按适当的金额列入会计报表中。所谓“适当的金额”是指这一金额的确定不仅遵循了一般公认的会计准则,而且在数学上的处理也正确无误。
2.1.4完整性认定是指所有应该在会计报表中列示的交易和项目都确实列入了。
2.1.5表达与披露认定是指会计报表中各项目分类正确、会计原则选用适当、信息披露充分。审计人员必须深入了解管理当局对财务报表的认定,因为这些认定是确定具体审计目标和制定审计程序的出发点和落脚点。审计人员的基本职责就是确定被审单位管理当局对其会计报表的认定是否有理由和根据。为获得审计证据以证明被审单位管理当局对其会计报表的认定,审计人员必须针对每一项认定制定具体的审计目标。一旦为实现审计具体目标取得了足够的证据,审计人员就有理由确认被审单位管理当局的认定是合理的。表2给出了每一项认定对应的具体目标,即实存性、权利和义务、准确性、分类、截止、详细匹配、可变现价值、完整性、表达和披露九项。值得注意的是,管理当局的认定与具体审计目标之间并非一一对应的关系,而是更详细一些。
2.2质量审核目标
质量审核的目的是确定审核应完成什么,这些目的与受审核方密切相关,而与其他方面均无关系。分析:质量审核的目标较之会计审计目标有较大的不同,尤其在实存性和完整性方面的要求,在具体的实践中应注意。质量审核本身要求所有证据的实存性,但不要求一定是客观的证据。完整性要求在质量审核中基本上都会被忽视,这与质量管理要求一致,因为质量管理中要求识别过程,但没有要求所有的已发生的过程均详细记录。经济管理中为避免严肃的规则被践踏,明确要求所有的已发生的交易过程均必须翔实记录。由此,我们可以在质量审核中引入部分完整性的要求,如要求对一些过程在不同的时间进行完整性记录等。表达和披露在会计审计中是有相关要求的,在质量审核中要求比较含糊,不同的审核人员表达和披露的同一个实例将会出现较大的差别。各组织可以根据自身特点明确质量审核表达和披露的标准和要求。其他的不同方面,由于经济管理和质量管理的不同情况,无选取的必要。
3.审计工作底稿与质量审核记录的差异分析
3.1审计工作底稿
审计人员从接受审计任务开始,到出具审计报告为止,对整个审计过程中的各项工作都应做好记录。这些记录反映了审计人员所执行的具体程序、进行的分析判断、收集到的审计证据,以及得出的审计结论和审计意见,构成了审计工作底稿。全部审计工作记录和获取的各种资料,是审计人员进行审计工作、完成审计任务的重要工具,也是形成审计结论、发表审计意见的直接依据。编制和获取审计工作底稿是整个审计工作的主要组成部分,审计程序的实施、证据的收集与分析过程其实就是审计工作底稿的形成过程。审计工作底稿的编制要求:资料具体、详略得当、结论明确、格式规范、标识一致、记录清晰。
3.2质量审核记录
质量审核记录是阐明所取得结果或所完成活动的证据,根据这些证据审核人员进行评价,得到审核发现,结合审核目的后得出审核结论。审核记录要求:完整、准确、简明和清晰。分析:作为质量控制和质量检查的重要手段。相关工作记录在会计审计和质量审核中都有特别的作用。对审计和审核人员的能力、个人素质、业务技能、实践经验及水平都需要相关工作记录来证实。由于质量审核没有如会计审计一般需要更多的数据,因此,分析判断就显得不是很充分、明显。会计审计的意义较广泛,需要提出审计意见。而质量审核的意义仅针对被审核方,因而不一定有审核意见,而质量审核必需的审核发现也仅仅是可以识别改进的机会。在这方面,实践中可以提出较多的具体要求,以充分显示质量审核的强大作用。
【关键词】 大数据;企业;环境信息披露;路径
一、引言
2016年4月17日,中央电视台的一则报道震惊全国,上市公司诺普信控制的常隆化工厂的土地污染导致江苏常州外国语学校近500名学生出现身体异常。而该公司于2014年曾被诉讼并支付环境整治费。
紫金矿业等上市公司的环境污染事故仍记忆犹新,新的环境污染事故仍然层出不穷。根据环境部的统计数据显示,2003年至今,我国上市公司环境事故的发生次数呈现上升态势,其中空气污染和水污染是最严峻的领域。
2016年2月,北京公众环境研究中心公布的数据显示,我国包括中国铝业等央企在内的141家上市公司在2015年超标排放污染物,尤其是化工行业的企业数量最多。而这141家公司中只有28家公司对此进行了信息披露。而根据我国相关法律法规、政策制度,上市公司应公布包括污染物排放、资源消耗、环境管理等环境信息。
二、中国目前的企业环境信息披露制度
2015年1月1日实施的《中华人民共和国环境保护法》第55条规定,重点排污单位应当如实向社会公众披露主要污染物名称、排放量、排放浓度和总量、超标排放、污染防治设施的建设和运行情况,接受社会监督。第62条违反本法规定,未公开重点排污单位或者未如实披露环境信息的,由县级以上地方政府环境保护部门责令公开,并予以公告。
而2007年的《环境信息公开办法》和2008年《关于加强上市公司环境保护监督管理工作的指导意见》都要求企业及时、准确的公开其环境信息。2014年修订的《公开发行证券的公司信息披露内容与格式准则第2号》鼓励企业积极主动披露履行环境责任,包括公司在污染防治和控制、加强生态保护中采取的措施;属于国家环境保护部门规定的重污染行业上市公司及其子公司,应按照有关规定,披露其在报告期内的重大环境问题和环境信息整改。根据证监会的规定,新股发行审计注重对环境问题的审计,包括:在招股说明书中详细披露发行人的生产管理和投资项目符合国家环保要求,拟上市公司最近3年的环境保护投资相关费用,实际运行的环保设施和环境保护支出;生产环境是否符合国家相关环境规定,是否曾发生环境事故,治理污染设施的运行是否有效,对环境保护设施的养护和日常的污染治理是否符合相关技术规范;当拟上市公司发生环境事故或因环境问题受到处罚,是否详细披露了有关情况,其保荐机构和发行律师是否就此事件构成重大违规问题发表意见。
现行的企业环境信息披露法律法规政策规定有效的推动了我国企业,尤其是重污染上市公司的环境信息披露。对中国A股上市公司中的重污染行业企业所披露的环境信息进行分析发现,根据法律法规及相关政策规定,重污染上市公司大部分披露其环境信息,但环境信息披露中的定性描述,即文字描述较多,而定量描述偏少;主要披露的内容是环境管理和环境治理信息;对环境方面的负面信息,重污染行业上市公司均倾向于不予以披露,即存在报喜不报忧的现象;不同行业披露的环境信息的侧重点有所不同。
从上述分析可以看出,虽然我国企业环境信息披露法律法规政策规定的不断完善有利于企业环境信息披露,但环境信息披露的数量,尤其是信息披露的质量仍然距离公众期待有着较大的距离,有待进一步完善。
三、运用大数据优化企业环境信息披露的路径选择
在大数据时代,全球对数据挖掘技术越来越重视,由于数据已经成为人们生活中不可或缺的一部分,充分利用大数据时代的优势完善我国企业环境信息披露的相关制度规范成为可行的选择。在数据“多维”时代,充分利用大数据对企业的环境信息进行披露具有以下优势:第一,可靠性。以往企业披露的环境责任信息往往突出其一定时间内的某些活动,缺乏对企业生产和管理中环境责任信息的持续性描述,这导致企业环境责任信息的不连续性,而在大数据环境中可以对所有相关的数据进行整体分析,得出一个完整的信息组,更好的反应环境信息的真实性。第二,多样性。传统的环境责任信息披露中,由于数据的可能缺失,监管部门和社会公众很难对企业的环境责任活动进行识别和衡量,而在大数据时代,信息的载体和方式是多样的,可以以各种形式反映信息,有助于提供完整的企业环境责任信息内容。第三,可追溯性。在反映企业环境责任信息的路径上,由于缺乏控制机制,难以实现信息的跟踪,而在大数据时代,数据可以被记录在不同的维度,不同维度的数据之间的分析为企业环境信息提供了可追溯性。具体运用大数据优化企业环境信息披露的路径如下:
1、在借鉴国外经验的基础上运用大数据完善我国企业环境信息披露的法律体系
在运用大数据分析的基础上,借鉴国外先进经验进一步完善企业环境信息披露的法律法规。充分整合现行国内环境保护部门、国资委、财政部、审计署、证监会、证交所等各部门的数据进行数据挖掘,厘清我国环境信息披露方面存在的主要问题,结合中国具体国情,在借鉴欧美发达国家相关法律规范的基础上,在现行《环境保护法》规定的框架下,进一步规范企业环境信息披露,清晰界定企业环境信息应公开的内容,对企业环境信息公开的主体、环境信息披露义务的主体进行明确规定。建议由环境保护部门牵头,联合国资委、财政部、审计署、证监会、证交所等相关部门,对企业环境信息报告的具体实施标准或具体实施准则进行拟定,明晰界定企业环境责任报告要素及其内涵、企业环境信息报告的设计体例等,建议企业环境信息披露中应尽量使用定量性信息披露,提高企业环境信息的可靠性、可比性和利益相关者对企业环境信息的可理解性,提高企业编制环境信息报告的可操作性。
需要注意的是,在进一步完善我国企业环境信息披露的法律体系时,需要进一步强化企业环境责任信息披露制度的监督和处罚机制。以2015年的上市公司鲁抗医药因环境问题受到处罚为例,其将含有抗生素的废水排到主要河流中的行为极大的危害了公众健康,进一步恶化了我国的抗生素滥用问题,但该企业仅仅被环保部门处罚了5万元,基本未能起到惩戒作用。在以经济建设为纲的时代,企业环境信息披露及相关处罚受到忽视,但在完善国家治理体系,建设可持续发展社会的今天,借鉴国外发达国家的企业环境信息披露及处罚措施,完善诉讼体制,进一步发挥包括政府部门和非政府组织在内的监督作用,大幅强化处罚和惩戒力度是完善企业环境信息披露的必然路径选择。
2、在完善中国企业的环境技术标准基础上,建立数据集成和共享机制
环境保护部门应会同有关部门,参照西方发达国家和国际组织的环境技术标准,开发统一规范的环境信息技术标准和规范,对环境信息质量标准、监管环境信息要素及其识别与测量、环境信息呈现、标准定量分析技术的所需资源和污染的度量进行规范。制定大气、水、土壤、污染源、噪声等统一的监测标准,同时建设全国统一的环境监测信息数据平台,由环境保护部门根据环境保护法规定环境质量和其他企业环境信息,以满足公众的环境权益。
3、进一步建立和完善企业环境信息披露的数据分析系统
中国已建立了超过两千个环境监测站,监测人员近6万人。我国所有省级监测站都配备了高水平的水质分析设备能力,所有城市监测站均具备进行空气、水、噪音等环境质量的监测能力。但环境监测的信息感知系统和数据集成分析系统仍有待建设,才能充分发挥大数据的作用,有针对性的进一步完善我国的企业环境信息披露工作:首先,通过网络化、智能化、云计算等技术,构建环境监测信息感知系统,以实现各类监控设备的信息融合和共享,更有利于对未履行披露环境信息责任企业的精确惩戒;其次,环保部门应充分利用数据挖掘技术,开发有利于环境保护的环境质量分析产品,通过推动环保服务工作,使社会公众和环保组织等非盈利组织更方便的获取环境信息,了解环境动态、趋势和风险,从而更有利于发动社会力量,进一步推进企业履行其环境信息披露义务。
【参考文献】
[1] 赵萱.企业环境责任信息披露制度绩效及其影响因素实证研究[D].西南大学2015年博士论文.
[2] 李丹丹.加强引导上市公司环境责任信息披露[N].上海证券报,2015-08-01.
[3] 李军,童克难.改革创新是环保事业发展的不竭动力[N].中国环境报,2015-06-22.
