信息技術(shù)輔助審計工作（上）

編者按

在信息化環(huán)境下，企業(yè)運用信息技術(shù)編制財務(wù)報表，設(shè)計和執(zhí)行內(nèi)部控制。注冊會計師在對企業(yè)的財務(wù)報表進行審計時，必須考慮信息技術(shù)的影響。同時，信息化也對注冊會計師的審計技術(shù)和方法帶來革命性變化。為了幫助注冊會計師應(yīng)對信息化帶來的挑戰(zhàn)，中國注冊會計師協(xié)會資助普華永道中天會計師事務(wù)所研究編寫了《財務(wù)報表審計中對信息系統(tǒng)的考慮》一書，已經(jīng)出版發(fā)行。本刊約請作者加以摘編，分期連載，以饗讀者。

計算機輔助審計技術(shù)（Comput er Assisted Audit Techniques，簡稱CAATs），是通過運用計算機技術(shù)使審計程序自動化的方法。計算機輔助審計技術(shù)的應(yīng)用最早可以追溯至二十世紀(jì)六十年代，而隨著信息技術(shù)越來越廣泛的應(yīng)用，傳統(tǒng)紙質(zhì)的審計數(shù)據(jù)正在逐步消失，為了應(yīng)對財務(wù)會計流程信息化、數(shù)字化的浪潮，計算機輔助審計技術(shù)得以迅速發(fā)展。廣義上講，計算機輔助審計技術(shù)包括審計工作中運用的一切計算機技術(shù)；在本期以及下一期，我們將主要闡述實務(wù)中應(yīng)用較為廣泛的信息系統(tǒng)數(shù)據(jù)審計方法。

一、CAATs在財務(wù)報表審計中的作用

（一）CAATs的主要功能

隨著企業(yè)的快速發(fā)展以及信息時代的到來，原有脫機進行的審計程序已經(jīng)無法適應(yīng)新時代的審計環(huán)境：一方面，企業(yè)逐步依賴系統(tǒng)進行業(yè)務(wù)的處理，交易信息均存儲于信息系統(tǒng)之中，財務(wù)數(shù)據(jù)也不再被記錄在紙質(zhì)賬簿之中；另一方面企業(yè)的規(guī)模越來越大，交易量級數(shù)上升，審計人員很難再依賴人工對如此大量的數(shù)據(jù)進行審計工作。為了處理基于系統(tǒng)產(chǎn)生的財務(wù)數(shù)據(jù)，同時提升審計工作的效率，審計團隊開始依賴計算機輔助審計工具實現(xiàn)相應(yīng)的審計目標(biāo)。

計算機輔助審計工具能夠幫助審計團隊實現(xiàn)以下功能：

1.快速準(zhǔn)確地完成海量重復(fù)計算；

2.反映數(shù)據(jù)異常體現(xiàn)潛在內(nèi)控缺口；

3.清晰反映異常高風(fēng)險的交易；

4.行業(yè)關(guān)鍵指標(biāo)對比，有助于了解公司業(yè)務(wù)，為審計計劃制定提供支持依據(jù)。

基于所能夠?qū)崿F(xiàn)的功能，目前CAATs的主要應(yīng)用包括：

1.審計計劃階段對于被審計公司的風(fēng)險評估；

2.審計程序中的測試，具體包括：

（1）基于驗證系統(tǒng)控制所實施的報表數(shù)據(jù)驗證；

（2）基于實質(zhì)性測試所實施的系統(tǒng)數(shù)據(jù)提?。?/p>

（3）其他為了滿足財務(wù)報表審計所實施的系統(tǒng)數(shù)據(jù)提取與分析；

（4）日記賬分析；

（5）核心業(yè)務(wù)數(shù)據(jù)（即可能保存在財務(wù)系統(tǒng)外，但構(gòu)成公司商業(yè)實質(zhì)的原始交易數(shù)據(jù)）分析。

3.特殊行業(yè)的關(guān)鍵指標(biāo)統(tǒng)計，用于行業(yè)對比。

（二）CAATs的適用情形

在審計計劃階段，項目組在制定總體審計策略與具體審計計劃過程中應(yīng)當(dāng)考慮對于CAATs的使用。

通常來說，審計項目組會基于以下方面的考慮而決定使用CAATs：

1. 審計測試中存在大量重復(fù)的工作，使用CAATs能夠大大提升效率，減少不必要的重復(fù)勞動；

2. 審計測試中存在復(fù)雜的計算的過程，使用CAATs能夠規(guī)避人工計算統(tǒng)計造成的錯誤；

3. 企業(yè)的業(yè)務(wù)流程依賴系統(tǒng)且交易量巨大，審計團隊無法采用人工的方式對數(shù)據(jù)進行測試；

4. 企業(yè)流程文檔均以電子化文檔存儲于系統(tǒng)中，審計團隊無法脫機獲得審計證據(jù)；

5. 企業(yè)舞弊風(fēng)險較高，需要對全部的交易數(shù)據(jù)進行測試或?qū)Y選的異常交易進行細節(jié)測試；

6. 企業(yè)所處行業(yè)高度依賴信息系統(tǒng)，例如電商平臺、網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)企業(yè)；

7. 審計團隊能夠獲取必要的數(shù)據(jù)執(zhí)行CAATs測試程序。

CAATs能夠被應(yīng)用于審計程序的各個方面，其中最為廣泛應(yīng)用的領(lǐng)域是實質(zhì)性程序。

（三）考慮是否適用CAATs時的注意事項

CAATs能夠為審計團隊化繁為簡，大大提升審計工作的效率，但并非所有的審計對象均適用CAATs。審計團隊在考慮適用CAATs時需要考慮以下幾個方面：

1. 評估數(shù)據(jù)質(zhì)量及可用性

在審計計劃階段，審計團隊可以在了解與財務(wù)報告相關(guān)的業(yè)務(wù)系統(tǒng)的同時對可以采用CAATs進行處理的數(shù)據(jù)類型進行了解。審計團隊?wèi)?yīng)當(dāng)評估數(shù)據(jù)質(zhì)量是否能夠滿足CAATs的可用性及實現(xiàn)高效地處理。

2. 獲取詳細的電子化客戶數(shù)據(jù)

審計團隊需要從企業(yè)的系統(tǒng)中獲取數(shù)據(jù)并導(dǎo)入至相應(yīng)的分析工具之中。在數(shù)據(jù)導(dǎo)出及存儲的過程中，審計團隊?wèi)?yīng)當(dāng)關(guān)注數(shù)據(jù)的完整性及客戶數(shù)據(jù)的安全。

在首次數(shù)據(jù)提取的情況下，審計團隊?wèi)?yīng)當(dāng)對所需要的數(shù)據(jù)進行初步評估。數(shù)據(jù)需求依據(jù)審計程序的目標(biāo)及審計期間而有所不同。數(shù)據(jù)需求一旦確定，審計團隊?wèi)?yīng)當(dāng)將正式的數(shù)據(jù)需求發(fā)送至企業(yè)的IT人員進行溝通，確定所期望的數(shù)據(jù)格式、數(shù)據(jù)傳輸?shù)姆绞揭约皵?shù)據(jù)獲取的時間。審計人員應(yīng)當(dāng)保留數(shù)據(jù)提取的腳本并且記錄下如何保證數(shù)據(jù)總量的完整性及數(shù)據(jù)字段的準(zhǔn)確性。

在第一年審計后，審計人員可以將以往年度的數(shù)據(jù)需求作為當(dāng)年審計的基礎(chǔ)。審計人員應(yīng)當(dāng)根據(jù)審計范圍、系統(tǒng)及流程的變化對數(shù)據(jù)需求進行修改。審計人員可以將以往年度獲取的數(shù)據(jù)樣例及數(shù)據(jù)提取腳本所謂參考與數(shù)據(jù)需求一并發(fā)送，以協(xié)助IT人員進行數(shù)據(jù)提取工作。

3. 測試時點

考慮到審計現(xiàn)場工作的時點及數(shù)據(jù)分析所需的時間提前量，審計人員應(yīng)當(dāng)盡早提出相應(yīng)的數(shù)據(jù)需求。這樣一方面使得數(shù)據(jù)分析能夠及時完成，另一方面也能顧及可能發(fā)生的數(shù)據(jù)提取問題而造成的數(shù)據(jù)重復(fù)提取情況（例如數(shù)據(jù)質(zhì)量、完整性及準(zhǔn)確性的不足）。

4. 數(shù)據(jù)格式

審計人員應(yīng)當(dāng)根據(jù)企業(yè)的系統(tǒng)及數(shù)據(jù)分析所使用的程序來選擇最恰當(dāng)?shù)臄?shù)據(jù)提取格式，以方便CAATs的執(zhí)行。

目前主流的數(shù)據(jù)文件格式包括：

（1）Excel數(shù)據(jù)表格文件

（2）XML文件

（3）DBF (dBase)

（4）文本文件（.txt，.csv等）

（5）ASCII碼打印文件

（6）開放式數(shù)據(jù)庫連接

審計人員在提取數(shù)據(jù)的同時應(yīng)當(dāng)從企業(yè)獲得相關(guān)的數(shù)據(jù)字典，內(nèi)容需要包含各個字段的描述、字段的數(shù)據(jù)格式、長度等信息。數(shù)據(jù)字典對于審計人員理解數(shù)據(jù)起著非常重要的作用。

5. 數(shù)據(jù)傳輸方式

審計人員可以通過光盤、USB或者安全的FTP獲取企業(yè)的數(shù)據(jù)。審計人員應(yīng)當(dāng)檢查數(shù)據(jù)傳輸是否被加密或受到密碼保護。大容量數(shù)據(jù)文件可以通過WinZip或者WinRAR進行壓縮，在壓縮的同時可以通過軟件進行密碼保護。

6. 數(shù)據(jù)存儲及安全性

審計人員獲取數(shù)據(jù)后應(yīng)當(dāng)將數(shù)據(jù)保存至本地工作電腦或USB內(nèi)。審計人員應(yīng)當(dāng)確保工作電腦的安全，確保無關(guān)人員無法查看工作電腦中的數(shù)據(jù)。同時針對存儲客戶數(shù)據(jù)的USB應(yīng)當(dāng)進行加密并妥善保管。

7. 保密性

審計人員應(yīng)當(dāng)向企業(yè)闡明數(shù)據(jù)需求的理由及測試目的，并且確保對企業(yè)數(shù)據(jù)盡到保密義務(wù)。在使用FTP進行數(shù)據(jù)傳輸時，審計人員應(yīng)當(dāng)使用安全的FTP；在使用光盤、USB或者郵件方式進行數(shù)據(jù)傳輸時，審計人員應(yīng)當(dāng)確保數(shù)據(jù)被適當(dāng)加密或受到密碼保護。同時審計團隊?wèi)?yīng)當(dāng)嚴(yán)格確保數(shù)據(jù)僅能夠由審計項目組的相關(guān)人員獲取并使用，禁止向其他團隊或人員傳播數(shù)據(jù)。

8. 所提取的數(shù)據(jù)是否完整、準(zhǔn)確

審計人員應(yīng)當(dāng)執(zhí)行相關(guān)的程序確保用于CAATs所提取數(shù)據(jù)的完整性與準(zhǔn)確性。這是為了驗證企業(yè)所提取的數(shù)據(jù)是否能夠真實反映所記錄的信息。

審計人員可以通過控制測試或?qū)嵸|(zhì)性測試來保證數(shù)據(jù)的完整性與準(zhǔn)確性。

9. 對數(shù)據(jù)進行拆解、構(gòu)造、分類及分析

在確定獲得完整、準(zhǔn)確、恰當(dāng)?shù)臄?shù)據(jù)后，審計人員就能夠通過計算機程序執(zhí)行CAATs了。CAATs能夠被用于對數(shù)據(jù)進行拆解、構(gòu)造、分類及分析。

10. 評估及應(yīng)對CAATs的結(jié)果

審計人員應(yīng)當(dāng)驗證CAATs執(zhí)行的結(jié)果，確保CAATs得到正確的執(zhí)行。為了驗證CAATs執(zhí)行的合理性，審計人員可以將CAATs結(jié)果與已經(jīng)驗證的客戶數(shù)據(jù)進行比較比對。對于通過CAATs發(fā)現(xiàn)的異常交易，審計人員應(yīng)當(dāng)對此類交易進行重點關(guān)注，通常這些交易都反映出更高的風(fēng)險。

二、CAATs工作的規(guī)劃與執(zhí)行

與系統(tǒng)審計相似，不同的計算機輔助審計工作均需要經(jīng)歷以下幾個步驟：（1）審計范圍的確立；（2）了解數(shù)據(jù)源的系統(tǒng)邏輯及數(shù)據(jù)表結(jié)構(gòu)；（3）數(shù)據(jù)提??；（4）源數(shù)據(jù)處理與清洗；（5）數(shù)據(jù)導(dǎo)入；（6）數(shù)據(jù)處理；（7）分析結(jié)果；（8）底稿記錄。下面具體介紹各個步驟：

（一）審計范圍的確立

CAATs審計范圍的確立與財務(wù)審計團隊的工作范圍以及客戶所使用的系統(tǒng)息息相關(guān)。首先，財務(wù)審計團隊?wèi)?yīng)當(dāng)識別審計過程中需要涉及的系統(tǒng)報表、交易數(shù)據(jù)等電子數(shù)據(jù)；然后，財務(wù)審計團隊?wèi)?yīng)當(dāng)確認相關(guān)數(shù)據(jù)的可讀性與數(shù)據(jù)質(zhì)量，了解數(shù)據(jù)的可依賴性；最后，根據(jù)數(shù)據(jù)的可讀性、處理復(fù)雜程度、數(shù)據(jù)量大小并結(jié)合團隊技術(shù)能力決定是否需要系統(tǒng)專家進行CAATs的審計工作。

審計范圍的確立需要系統(tǒng)審計的專家與財務(wù)審計團隊進行溝通，一方面識別審計過程中需要依賴的系統(tǒng)報表、需要關(guān)注的數(shù)據(jù)以及日記賬審閱的范圍；另一方面，確認數(shù)據(jù)的可用性能否支持相應(yīng)的審計目標(biāo)。

（二）了解數(shù)據(jù)源的系統(tǒng)邏輯及數(shù)據(jù)表結(jié)構(gòu)

這是具體審計工作中最為關(guān)鍵的一個步驟。計算機輔助審計工作如何有效、高效地完成取決于在這一步驟中是否充分理解了數(shù)據(jù)的系統(tǒng)邏輯與表結(jié)構(gòu)。如果在測試工作實施前對對象表有深刻的理解，則整個工作將會事半功倍；如果貿(mào)貿(mào)然直接進行測試而忽略了這一步驟，則可能在測試過程中出現(xiàn)提取數(shù)據(jù)存在偏差，而導(dǎo)致測試結(jié)果出現(xiàn)差異，反復(fù)抓取數(shù)據(jù)。

這一步驟需要系統(tǒng)審計的專家與系統(tǒng)開發(fā)人員進行深入溝通，了解系統(tǒng)的邏輯以及數(shù)據(jù)庫表中對于各業(yè)務(wù)數(shù)據(jù)的記錄方式，保證審計人員能夠理解系統(tǒng)中數(shù)據(jù)處理的邏輯，并且明確數(shù)據(jù)抓取的方案。

（三）數(shù)據(jù)提取

理解數(shù)據(jù)源的系統(tǒng)邏輯及數(shù)據(jù)表結(jié)構(gòu)后，審計人員可以根據(jù)其理解在客戶IT人員的幫助下抓取相應(yīng)的數(shù)據(jù)。數(shù)據(jù)提取導(dǎo)出過程中審計人員應(yīng)當(dāng)考慮導(dǎo)出目標(biāo)數(shù)據(jù)的性質(zhì)、范圍及期間，確保滿足審計目標(biāo)的需要。

審計人員應(yīng)當(dāng)保證數(shù)據(jù)提取的結(jié)果是根據(jù)審計人員理解的邏輯導(dǎo)出，并且為了避免數(shù)據(jù)在導(dǎo)出后被修改，應(yīng)當(dāng)由審計人員現(xiàn)場導(dǎo)出數(shù)據(jù)或現(xiàn)場觀察數(shù)據(jù)的導(dǎo)出過程。

在數(shù)據(jù)提取的過程中，審計人員應(yīng)當(dāng)考慮數(shù)據(jù)導(dǎo)出的文件格式以及數(shù)據(jù)傳輸?shù)姆绞?，確保數(shù)據(jù)的可讀性以及數(shù)據(jù)安全性，通常最佳的數(shù)據(jù)導(dǎo)出的格式為.csv、.txt或Excel表格。審計人員應(yīng)當(dāng)審計人員應(yīng)當(dāng)確?？蛻衾斫猥@取數(shù)據(jù)的意圖，并保證客戶數(shù)據(jù)的安全性。

審計人員獲取數(shù)據(jù)后應(yīng)當(dāng)確保提取數(shù)據(jù)的準(zhǔn)確性與完整性，確?？蛻羲峁┑臄?shù)據(jù)應(yīng)當(dāng)包含了所有相關(guān)的記錄。

（四）源數(shù)據(jù)處理與清洗

計算機輔助審計工具對源數(shù)據(jù)的格式均有著一定的要求，因此針對源數(shù)據(jù)的處理與清洗必不可少。在源數(shù)據(jù)的處理與清洗過程中，應(yīng)當(dāng)避免對源數(shù)據(jù)的內(nèi)容進行修改，主要的處理過程包括：格式修改、空行刪除、多個文件合并、去除重復(fù)表頭等。源數(shù)據(jù)的處理與清洗通?？梢允褂猛ㄓ玫奈谋炯氨砀窬庉嫻ぞ撸纾篧ord，Notepad，Excel等，但對于大量的數(shù)據(jù)或是復(fù)雜的處理與清洗過程，則需要使用更為高級的文本處理工具（例如UltraEdit）。

如果在源數(shù)據(jù)處理過程中發(fā)現(xiàn)亂碼、串行等，應(yīng)當(dāng)查找原因并重新進行數(shù)據(jù)提取。

（五）數(shù)據(jù)導(dǎo)入

源數(shù)據(jù)處理清洗完畢后，審計人員需要將數(shù)據(jù)導(dǎo)入相應(yīng)的工具之中。由于一些工具對數(shù)據(jù)導(dǎo)入格式有著嚴(yán)格要求，數(shù)據(jù)導(dǎo)入可能出現(xiàn)系統(tǒng)報錯的情況，如果遇到此類情況，應(yīng)當(dāng)按照錯誤類型重新進行源數(shù)據(jù)處理與清洗的步驟。

（六）數(shù)據(jù)處理

數(shù)據(jù)處理是計算機輔助審計工作的核心步驟，審計人員應(yīng)當(dāng)根據(jù)確定的審計目的，執(zhí)行相應(yīng)的數(shù)據(jù)處理工作。通常審計人員或是在電子表格中對數(shù)據(jù)進行處理，或是在相應(yīng)工具中編寫腳本，通過執(zhí)行腳本進行數(shù)據(jù)處理。

具體數(shù)據(jù)處理過程會在案例中進行具體分析。

（七）分析結(jié)果

數(shù)據(jù)處理完成后，審計人員應(yīng)當(dāng)分析CAATs的結(jié)果，并且依據(jù)不同的結(jié)果進行相應(yīng)的跟進工作。所有相應(yīng)的結(jié)果都應(yīng)當(dāng)與財務(wù)審計團隊進行溝通，確保財務(wù)審計團隊依據(jù)結(jié)果進行進一步的審計工作。

（八）底稿記錄

與審計過程中的其他測試一樣，在所有測試工作完成后，審計人員應(yīng)當(dāng)按照審計準(zhǔn)則中的要求對審計工作進行底稿記錄。為了確保能夠達到可重新執(zhí)行的標(biāo)準(zhǔn)，審計人員在底稿記錄中應(yīng)當(dāng)注意一下事項：針對數(shù)據(jù)提取與清洗，審計人員應(yīng)當(dāng)在底稿中記錄對于客戶系統(tǒng)的理解及提取數(shù)據(jù)的邏輯，同時保留從客戶系統(tǒng)中提取的源數(shù)據(jù)及清洗后的數(shù)據(jù)；審計人員對于提取與歸檔的數(shù)據(jù)應(yīng)當(dāng)盡量保證數(shù)據(jù)最小化，減少不必要信息的獲取以提升數(shù)據(jù)文件的存儲效率；通常對于小規(guī)模的數(shù)據(jù)，可以采用excel的數(shù)據(jù)文件進行歸檔保存，而對于數(shù)據(jù)量較大的數(shù)據(jù)，應(yīng)當(dāng)采用txt、csv等格式保存相應(yīng)審計數(shù)據(jù)；對于數(shù)據(jù)的處理過程，審計人員應(yīng)當(dāng)記錄對于測試目的的理解以及數(shù)據(jù)處理具體所使用的邏輯及語句。審計人員應(yīng)當(dāng)將結(jié)果及對于結(jié)果的跟進工作記錄于底稿之中。

執(zhí)行CAATs，滿足不同的功能需要依賴不同的工具，我們將在下一期介紹目前較為流行的計算機輔助審計工具。