1、基于审计的可审性管窥会计信息系统的设计摘 要 实施电子商务后,原有的审计线索改变了形式或消失,这使审计的可审性遇到了一些困难。本文首先分析产生这一问题的原因,其次从多视角查询设计、预留审计接口、动态跟踪功能、完善审计线索存储功能等方面探讨会计信息系统的设计,以期为软件设计提供一些思路,最终达到提高审计效率和减轻审计工作量的目的。关键词 可审性;会计信息系统;设计中图分类号 F239.1文献标识码A文章编号1673-0194(2006)10-0050-03在手工方式下,凭证、账簿和报表等各种审计线索,都是可见性的文字和数字记录。审计人员可以从原始凭证开始,对会计业务进行追踪,一直到会计报表为止。
2、实施电子商务后,会计数据存储的介质发生了变化,原有的线索改变了形式或干脆消失了,并且修改会不留痕迹,这使得审计的可审性遇到了一些困难。我国现有的会计信息系统在开发的过程中并未真正从审计工作的角度出发来进行设计,其主要原因是多数的程序员其计算机编程的能力较强,但缺乏审计相关的知识;软件开发公司考虑到会计处理系统的效率和研制成本等原因,在设计时对如何充分保留并提供审计轨迹未给予足够重视;审计相关的法规和条例也并未明确规定财务软件进行哪些业务处理时必须保留审计线索。电子数据本身的属性(修改不留痕迹)和会计信息系统开发的倾向性以及审计法规的不完整性造成财务软件可审性较差。因此在财务软件的设计过程中,如
3、何按需要及时、准确地获取审计数据或线索,即审计的可审性,也应成为衡量一个软件设计好坏的标准。为此,本文从多视角查询设计、预留审计接口、动态跟踪功能、完善审计线索存储功能等方面探讨软件的设计,以期为软件设计提供一些思路,最终达到提高审计效率和减轻审计工作量的目的。一、多角度查询由于审计目的和要求的多样性,使得审计人员需查阅大量的会计资料,找出审计证据,以验证其审计判断,这就要求在软件设计时应能提供多角度查询功能。对会计信息系统数据库的查询,审计人员一般采用 3 种方法,一是利用相应的数据库语言打开数据库进行查询,二是利用审计软件查询,三是利用被审单位的会计信息系统进行查询。对于前两种方法本文不做
4、赘述,基于可审性的角度重点论述第三种方法。这种方法的使用是建立在对会计信息系统软件可信的基础上,对会计信息系统数据库进行的审查。为完成审计目标和提高审计效率,要求软件设计具有正向查询、反向查询、模糊查询等功能,比如,由总账可以直接查询到明细账和凭证的账簿联查功能。二、预留审计接口软件开发商出于数据安全和技术保密的考虑,一般对自己产品的数据存储格式进行了多种保密处理,并在开发中采用不同的数据库平台和各自独立的数据库结构设计,造成了会计信息系统体系结构不同,市场人为割裂,数据孤岛林立。对企业而言,当其发展到一定规模时,企业会计信息系统的数据如果不能为其他业务系统所调用,这将不利于提高财务数据共享,
5、实现企业全面信息化。最为重要的是,在中国企业国际化的进程中,数据孤岛已经成为明显的阻碍。同样,对于需要调用企业财务数据的外部相关部门,也难以避免数据孤岛的尴尬。审计部门就“深受其害”。由于企业不能提供标准化的数据,审计部门要运用信息化手段进行审计成为空谈。其他如国家监督、财政、统计等部门,在行使职能时,同样也对企业的数据孤岛感受深刻。为获取财务软件的数据,软件开发商不得不采用专门开发接口软件、人工二次输入等方法来达到此目的。因此,近年来,软件应用响起了“整合之声”,用户整合信息资源的愿望比任何时候都来得强烈,期待软件行业标准出现的要求逐渐浮出水面。审计署联合财政部,组织审计署计算技术中心、财政
6、部会计司、审计署驻南京特派员办事处、信息产业部电子标准化所,以及金算盘、浪潮等厂商相关人员共同研究,在此前两个标准的基础上(1998 年,中国软件行业协会财务软件分会编制的财务软件数据接口标准;2004 年,根据国家标准化管理委员会关于“要符合国家标准撰写格式及语言规范;要使用数据元素表示;会计信息系统数据输出文件要有文本和 XML 格式”的要求),编制出信息技术、会计核算软件数据接口,2005 年,经国家标准化管理委员会批准实施。该标准的制定、颁布和实施,为标准使用者理解会计核算的数据概念奠定了基础;规范了会计核算软件数据接口的文本格式和 XML 格式;为会计核算软件与其他信息系统之间的数据
7、交换创造了条件。但在信息技术、会计核算软件数据接口标准中,并没有对 XBRL 格式做出相应的明确规定。XBRL 是以为基础的网上企业报告的标准语言。它是在企业报告领域中的应用,继承了所拥有的所有语言优势。这种数据格式可以使会计信息系统数据实现实时传递,增加了公司财务报告披露的透明度,同时极大地提高了财务报告信息处理的效率。目前澳大利亚、加拿大、美国、德国、英国、日本、新加坡等国家纷纷成立XBRL 组织,来推动此项技术标准的执行。XBRL 标准的推广和执行,对会计信息的获取具有无法比拟的优势。所以在进行通用接口的设计时应把 XBRL 的标准包含在其中。为解决数据孤岛问题,财务软件的数据接口设计应
8、包括 4 个部分:XBRL 数据接口文档、数据映射表、数据采集模块和数据转换模块(见图 1)。XBRL 数据接口文档包含所有从财务软件采集数据的项目,可以是凭证账簿、报表或其他数据源的数据;数据映射表用于定义会计业务数据库结构到 XBRL 数据接口文档标签间的映射,相当于数据库应用系统的 ODBC;数据采集模块负责根据数据映射表从财务软件数据库中读取数据,保存在 XBRL数据接口文档中;数据转换模块将 XBRL 数据接口文档中的数据转换成不同的格式,如Word、Excel 等格式数据。三、动态跟踪功能企业管理系统中,业务处理是实时进行的,尤其是网络化系统,审计线索可能转瞬即逝,因此审计时必须对
9、重要的业务处理、关键的处理程序、某些业务人员的操作等进行动态跟踪,才能发现问题所在。为完成审计目标,软件开发商在进行会计信息系统设计时,应设计以下模块:1.监视记录模块监视记录模块功能包括:记录用户标识;使用软件的起止时间;调用的子程序及调用子程序的起止时间;访问的硬件设备及访问的起止时间;使用软件过程中访问的文件和目录,访问的类型(创建、打开、关闭、读、写、拷贝、删除、重命名、运行等)以及访问的起止时间;针对文件数据的操作,包括读、增、删、改、复制等操作以及操作对象在文件中的具体位置等。2.监视模块监视模块功能包括:监视整个应用软件的活动,并提供详细的监视记录,使所有活动留下线索。在一定程度
10、上检测和判定对系统的入侵和入侵企图,提供报警信息并能实施必要的应急措施。例如,如果发现某个用户连续多次不成功进入系统或某个敏感子程序,应立即向安全控制台报警,甚至锁住该用户的账号等待进一步的处理。监视记录文件的维护。随着时间的推移,监视记录文件会不断地膨胀,因此,有必要提供对监视记录文件的各种维护处理,如转存、拷贝等。监视记录的查询功能。能够实现按操作功能分类、操作日期、操作模块等各种不同方式的方便查询,最好能够做到情景重现,以便审计部门从中寻找线索。监视记录的删除限制,软件应采取一定的措施,防止监视记录被随意清除。为实现上述模块功能的设计,软件开发商可以从以下几个方面着手:1.数据库Micr
11、osoft SQL Server 2000 是企业信息管理系统中应用较为广泛的一种数据库管理系统,其带有的常用工具包括 SQL Server Profiler,对于设计动态跟踪模块是一个很好的工具,可以利用其跟踪事件的功能,通过适当的设置来安排审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQL Server Profiler 监测指定服务器上的 SQL Server 事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中,一旦设置完成,就可以运行跟踪了。跟
12、踪可以是持续运行的,为了不影响系统的性能,应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况做出运行跟踪最佳时间的职业判断以便提高系统的运行效率。另外,设计者也可以利用 Microsoft SQL Server2000 提供的触发器技术来设计,与 SQLServer Profiler 相比,它更加灵活,功能更强大。应用软件应提供与 SQL Server 监测记录的接口功能,根据 SQL Server 的监测记录信息,智能性地判断或还原为当时用户所做的操作及操作流程。应用软件应利用 SQL Server 的触发器技术,做到监视记录的实时、完整的保存。例如,当用户执行删除操作时
13、,系统应立即对该记录以及该记录的相关信息进行保存,然后才执行删除。2.应用软件首先,应设置相应的安全访问控制,记录各种访问,尤其是数据更改、删除和新增的记录必须保留(尤其是数据更改、删除时,必须对原记录进行转存保留,以便日后追溯时能做到情景重现);其次,各种电子凭证必须具备防抵赖、防伪造和可追溯性,如可采用可靠的电子签名来代替原有的手签。四、完善审计线索存储功能审计线索对审计工作来说是极为重要的。审计人员正是通过跟踪审计线索,不断收集、鉴定和综合运用审计证据审核有关经济业务。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计
14、人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,实现电子商务以后,传统的单据没有了,纸质记录消失了,代之的是存有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。此外,原始单据进入计算机以后,中间的交易处理由计算机自动完成,传统的审计线索在这里中断、消失了,传统的审计方法,有的已不适用。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。为解决这一问题,会计信息系统应提供保存这些审计线索的功能或技术
15、。为最大限度地保存审计线索,王海洪(2005)提出增加数据库字段来解决问题,但这种方法只治标不治本,电子审计线索一般是由数据和过程组成,如果仅通过增加字段把一些审计线索保存起来,而过程却不加保存,这些审计线索将是不完整的。为此,在应用程序的设计过程中,可以嵌入一些审计程序,由审计程序把那些运行过程中涉及的有关资源、事件、参与者和地点的数据元素将通过一个简单的记录过程收集存储,形成一些用于记录过程、维护过程和报告过程的表单和报表。在这些表单和报表中有某些业务处理的完整审计线索链。因此,只有将增加数据库字段和过程保存结合起来,才能真正将审计线索存储。总之,要使设计的会计信息系统具有上述功能,需要教
16、学研究机构、软件开发商、审计机构和企业共同努力。教学研究机构需要高瞻远瞩,研究和洞察信息技术,并针对会计信息系统中出现的新问题,培养一批既懂业务又懂技术的复合性人才。审计机关需要协同有关部门和软件公司,根据国家审计的要求制定出相关的规范,以提高软件的数据共享功能。软件开发商不仅需要了解企业的核算和管理要求,而且还需要考虑国家有关部门的统计、审计的需求,切实提高软件产品的性能,加强对先进管理思路和标准的理解,并将其落实到软件产品中去。主要参考文献1 美 阿妮塔S霍兰德.现代会计信息系统M.杨周南等译.北京:经济科学出版社,1999.2 曲吉林.XBRL 在审计中的应用J.财会通讯,2004,(6).3 国家审计署.信息技术、会计核算软件数据接口.2005.4 王海洪.从计算机审计角度看财务软件的功能评价J.商业会计,2005,(8).
