网络化环境下的计算机审计技术
以计算机网络技术的应用为基础的企业信息系统将是审计人员的主要审计对象。对这种网络化的信息系统的审计需要多种多样的网络审计技术,这些审计技术有的比较成熟,有的还在研究中。本文仅就对网络化环境下的电子签章、网络数据库和电子商务软件系统三类关键要素的审计技术作初步的探讨。
电子签章的审计技术
传统的各种商业文件都需要当事人签章(手写签名、盖图章等),注册会计师容易辨认和审计确认这种签章。在计算机网络化的电子商务环境下,各种商业文件都以电子文件的形式存储、传递、处理,传统的当事人签章形式已经失效,适应电子商务的电子签章出现,电子签章的鉴证也成为审计的基本内容之一,同时审计人员也应用电子签章技术进行审计。数字化(电子)签章可以用于任何一种信息上,其中包括保密与非保密信息。但在网上进行电子支付和交易电子发票的舞弊仍然是电子商务的商家最为头疼的事,要避免这些舞弊发生常常要建立一套健全的内部控制制度,同时还需要外部审计(鉴证)的监督。下面主要探索外部审计人员对电子签章应怎样认证。
电子签章其实质内容不是传统纸张上的签名和盖章,而是一种特殊加密的数据。电子签章的基础是加密技术,在电子商务中最常用的电子签章加密技术有:
A)公开密钥的电子签字:将交易的数据文件的关键部分按特定的公开密钥加密。公开密钥是交易双方约定的公共密钥用于加密,且交易的双方都有一个解密密钥用于还原出原文。
B)摘要式的电子签字:与特定的电子文件捆绑在一起,对几个关键字段进行加密。
C)电子邮戳:对交易的时间和关键数据采用安全加密措施。
D)电子身份卡;证实一个用户的身份,交易双方都可不必为对方身份真伪担心,同时也作为对网络访问的权限。电子身份卡是由电子身份认证中心签发的符号文件,里面含一些不可修改的加密信息。
上述的a)和b)在现有的网络电子签章使用比较多,而另外两种也常用于审计。实际上,上述几种电子签章技术也都表现为电子数据,凡是电子数据就容易县制,为了保证电子交易关键数据和电子签章的真实性和可靠性,可采用如下几种审计技术:
1.摘要式实时鉴证技术。
审计机构必须装备有先进的计算机网络设备系统,类似我国目前的房产交易不仅通过房产交易中心交易而且还需要公正机构认证,在网络上实时对客户电子签章的关键业务和关键数据进行采集,并存放在审计机构的计算机服务器上,同时根据这些采集的关键数据与电子商务系统相核对及其实施有关审计步骤,而后可实时或定期(按月份)签发电子鉴证证书。鉴证中心(如会计师事务所)是一个权威的公正的第三方(中介)机构也保存有交易的关键数据和有关的双方电子签章,类似于传统的会计师事务所的服务性企业机构。
2.实时备份数据技术。
审计机构配备有高级的服务器,与电子商务网站联结,实时同步地记载电子商务交易的全部数据。需要鉴证电子签章时就可谓用审计机构记录的原始数据与之比较,综合其他的审计步骤的结果,即可形成审计意见。
3.关于电子身份卡的签证可直接利用签发此卡的认证中心的认证结果。
4.实时审计程序嵌入技术和插入控制字段技术。可参见下面的网络数据库审计技术。
审计鉴证机构不是做发放电子身份卡和电子支付鉴证的工作,而是对电子商务中的交易进行鉴证。然而,注册会计师可以利用电子签章技术(如用摘要式电子签字和电子邮戳的方法来加密鉴证的数据)来鉴定电子签章。电子商务交易业务的电子鉴证技术是实时的,也是一种由计算机网络技术应用导出的新审计业务,注册会计师必须应用计算机网络技术和专门计算机审计技术来完成这项工作。这些专门的计算机审计技术是不同于传统的,其方法是多种多样的,对它们的研究仍处于起步阶段,还未形成完整的体系。这里的介绍主要把电子签章看作一种特殊的网络数据来进行审计和鉴证,因此下面将要阐述的网络数据库计算机审计技术也可以适用于电子签章的鉴证。
电子商务交易网络数据库的审计技术
对电子商务的网络数据库或数据文件的审计技术主要是为确保数据的真实性和完整性的目的而创立的。计算机注册会计师可利用这些技术获取所需的审计证据,并对这些证据进行评价,从而判断数据是否真实、可靠、完备和合法合规。除了前面介绍的电子签意鉴证技术也可用干网络数据库的审计,下面简要介绍另外四种审计技术。
1.计算机抽样取证、计算比较、综合分析
这项技术是作为审计软件中的一个功能程序块,它可被设计成灵活的通用程序,注册会计师在使用时,可根据需要选择抽取数据的条件和参数,就可立即获得所要抽取的业务数据。这种技术可用于平时的监督(如内部注册会计师或外部注册会计师作为系统的一个终端用户),也可用于外部审计的年度审计。传统审计,注册会计师一般是在一批业务发生后,才来审查这批业务是否合规和真实。在计算机审计技术普遍应用的今天,利用这一技术,注册会计师可实时调取有怀疑的电子商务业务或需要关注的重大经济业务,以便及时提出内部控制的建议来保障数据的完整性。
计算机抽样取证,一般要先设计好条件或参数。譬如,对电子购销业务的审查,要审查的业务是赊销额大于5万元或售价低于正常售价的15%的销售业务;或要审查购入的原材料比标准价高出5%的业务等。这些业务的条件是根据需要而定,有时条件是相当复杂的。
计算机抽取业务记录后可直接由计算机程序自动计算金额数据项的合计额,并与标准或正常业务进行比较,反映出差异等必要的信息。这样注册会计师可做出判断,就可给被审计的电子商务系统提出及时的建议。
2.利用嵌入实时审计软件
电子商务系统需要经常性和实时监督,注册会计师一般可设计一个程序块嵌入被审查的系统中,这个程序块可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录,或对非法调用数据文件处理的记录。另一方面,嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员是不能看到这些审计程序和自动形成的审计数据。所以,审计人员应用这些审计程序就能自动记载所要收集的审计证据,同时还可随时调阅这些证据文件,并利用这些审计证据适时判断系统运行情况和提出审计建议。
用嵌入的程序采集的审计证据文件,一般分如下几种:不合法而进入使用有口令的程序(如数据修改程序);未经批准而调用某数据文件;超权限使用系统;擅自调阅或修改审计线索数据项或审计证据文件。这项技术对于符合性测试是非常有效的,同时,在某些特殊的情况下也可用于实质测试。由于这种技术的应用,要求在系统设计时,就要把这一该嵌入审计程序块结合进去。这需要在电子商务软件设计标准中对这类审计线索生成的程序进行必要强制规范。
另外,嵌入实时审计程序技术也可用干电子签章的鉴证,其原理和用法是相同的。
3.网络数据实时备份技术
网络实时备份如同手工开具销售发票复写几份一样在不同计算机硬盘上同时记录业务发生的数据备份。而且这些备份数据中至少有一份是由审计鉴证机构保存以便保持其数据的真实性和可靠性,这种方法也是保留审计线索的一种重要手段之一。
许多企业的电子商务系统设计时考虑审计线索的备份技术利用都是不完全的。引起这种不完全的原因是多种的:一是系统设计时审计鉴证人员没有参与,而且没有考虑审计鉴证上的需要;二是要保存审计线索可能要花费更多的开发和运行费用。一般说来前者是主要的原因。这样审计技术的实施对这类业务处理很难提供一个切当而完整的审计线索。要保留这样的审计线索,强调企业电子商务系统开发设计阶段就应当把应保留的审计线索的实时备份技术充分融合到设计过程中。
4.专设审计控制字段
插入审计控制率段是指利用特殊的控制字段与被查的电子商务数据文件的记录或业务建立一种关系或将发生的业务的关键数据加密并加以存储,审计时根据这一特征就能容易收集到所需的审计证据。
插入控制率段指单独设置一个字段(数据项)存放这个关系函数和有关加密的关键数据,这一字段可专门用于审计鉴证。但是,它可在程序和业务编码设计时结合在一起,把控制内容融合在电子商务过程中,以保证控制字段记载的内容真实可靠。
上面简要介绍的几种计算机审计技术是根据计算机网络技术应用的特点而提出的,它完全不同于传统的审计,可把它们应用到实际的企业与企业(BtoB)、企业与顾客(BtoC)、企业与政府(BtoG)的电子商务审计中去,也可用于一般的计算机信息系统的审计。但其中某些技术还需要结合实际的客户和电子商务网络的情况开发相应的审计软件,而且大多数审计技术还需要进一步研究和发展。