一、引言
 
    由于企業信息化程度的不斷提高以及企業規模的不斷壯大帶來的信息量激增，傳統審計很難及時有效地分析處理大量的業務數據，因此，需要一種技術能夠對企業ERP系統中的業務數據進行快速有效的審計鑒證，而持續審計(Continuous Audit，以下簡稱CA)的數據審計技術具備這種能力。
 
    所謂CA，國內外學者提出過很多觀點，最早提出CA概念的是AT＆T的Bell實驗室的科學家Vasarhelyi和Halper(1991)他們開發了CA的首個實例系統CPAS(Continuous Process Auditing System)，該系統主要服務于內部審計；Rezaee et a1.(2001)認為CA是在無紙化和實時會計信息系統的環境中收集電子審計證據的一個系統過程，該過程以對財務狀況發表公正客觀的意見為目標；Alles et a1.2006)的論文拓寬了CA的范疇，從CA的本質出發強調了CA不僅是一種技術，更為關鍵的是CA滿足了內部審計對企業范圍內數據和交易的全程監控和縮短了交易事項與鑒證之間在時間上的延遲。何芹(2007)認為持續審計強調審計過程的持續性和審計實施的即時性。是一種例外事項基礎的審計，強調“自上而下”與“自下而上”方法的結合以及審計活動的整合性。
 
    CA的有效實現關鍵依賴于CA的數據審計技術，本文就此展開論述。
 
二、CA的數據審計技術
 
    CA的數據審計技術可分為三類：1．在ERP系統實際運行時，可以運用測試數據對ERP系統進行評估的審計技術；2．在ERP系統實際運行時，可以從中選擇一些事務進行審查的審計技術；3．ERP系統實際運行時，可以跟蹤或映射ERP系統變化狀態的審計技術。
 
    根據這種分類方法，本文分析了CA三種主要的數據審計技術：
 
    (一)集成測試技術(ITF)
 
    集成測試是在ERP系統文件中設立的假想實體，針對這個實體，在系統中運用審計測試數據進行測試，以此來驗證處理的真實性、準確性和完整性。例如，如果是一個薪資系統，就在數據庫里設置一個虛構的人物：如果是庫存系統，就虛構一種貨物：如果是電子數據交換系統，就與其他組織的審計部門合作并且在數據庫中設立虛構的實體；然后使用測試數據來更新這些虛構的實體。這些數據將包含在通常的產品數據中輸入到ERP系統中去。
 
    1．實現ITF的方法
 
    實現ITF的方法有兩種：第一，測試數據的輸入方法；第二，有兩種針對虛構實體輸入數據的方法。
 
    第一種方法是對提交給所測試系統的在線輸入事務進行標識。ERP系統應當能夠識別這些經過標識的事務并且同時更新ERP系統主文件記錄和虛構實體。識別ITF事務的方法如下：(1)在源文檔中用一個特定的數據項來說明；(2)在ERP系統中嵌入審計模塊來識別；(3)在ERP系統中嵌入一個采樣模塊，該模塊根據一定的采樣策略對ITF事務進行標識。
 
    將在線事務標識為ITF事務后不僅易于使用，而且可以用系統日常處理的典型事務來進行測試。但也存在兩個問題：首先。使用在線數據意味著系統的局限性得不到測試；其次，包含在系統中用來識別那些經過標識的事務并對其進行特殊處理的代碼，可能會對系統的正常運行造成影響。例如增加系統的響應時間或破壞數據完整性。
 
    第二種數據輸入方法是設計新的測試事務并將它們與在線事務一起輸入到ERP系統中去，通過將虛構實體的唯一標識符作為這些事務的鍵值來將其標識為ITF事務。這種方法有兩個優點：首先，可以基于測試數據計劃來生成測試數據。這樣測試數據就能更全面地覆蓋ERP系統的執行路徑。其次，無需對ERP系統進行修改以標識ITF事務，也無需對ITF事務進行特殊處理。不過，測試數據計劃的制定需要消耗較多的時間和人力。
 
    2．消除集成測試事務影響的方法
 
    ERP系統中的ITF事務將會影響到輸出結果，除非通知客戶并手工對系統輸出作出調整，否則必須消除ITF事務對系統的影響。
 
    有三種方法可以消除ITF事務的影響。
 
    第一，修改ERP系統以標識ITF事務并在任何可能影響用戶的處理中忽略它們。這種方法由于需求明確，易于實現，同時審計活動對用戶來說是透明的。
 
    第二，提交額外的事務來抵消ITF事務的影響。這種方法的優點是簡單且無需修改系統，不過也存在問題：(1)必須在ITF事務對輸出造成影響之前就提交，否則就無法對用戶透明；(2)為了維持數據完整性，必須確保這些額外事務能夠正確執行。但是。由于有時很難確定受到事務影響的所有記錄。因此也就無法正確地設定相應的反向事務。
 
    第三，提交不重要的數據減小ITF事務本身對系統的影響。這樣，事務的影響并不是真的消除了，只是它們對用戶的影響非常小。這種方法的優點是簡單不必修改系統。
 
    (二)快照與延伸記錄
 
    對于那些復雜的或大型的系統來說，跟蹤系統中不同的執行路徑是很困難的，快照技術在ERP系統中的各個關鍵控制點嵌入程序模塊以獲取事務經過這些點時的映像。為了驗證事務在這些點的處理情況，這些映像包括處理前映像和處理后映像；然后通過比較這兩種映像，來判斷在該點的事務處理的真實性、準確性和完整性。
 
    實現快照技術需要解決三個問題：首先。依據控制點的重要性來決定是否設置快照，同時應當考慮對性能的影響：其次，決定何時進行快照，既可以不斷地對重要的事務進行快照，也可以在特定事務進入系統前。對其進行標識；再次，由嵌入的軟件在系統中根據標識，有選擇地進行快照，還可以基于采樣計劃對各種事務進行快照；最后，決定所獲取的快照數據的報告內容。嵌入的軟件應當提供足夠的標識和時間信息，才能夠判斷快照對應的事務、快照的順序和時間。
 
    快照技術有一種變型，稱為延伸記錄技術。這種技術并不是為每一個快照保持一條記錄，而是在事務流經快照點時，將快照記錄在同一條記錄上，并隨著事務的進行，不斷延伸該記錄。延伸記錄的優點是，所有與一個事務相關的數據都保存在同一個地點，因此也就方便進行審計評估工作。
 
    可以將快照和延伸記錄技術與ITF技術相結合以提供更廣泛的審計線索。ITF提供了一條主記錄，可以針對它用各種類型的事務進行測試。而快照和延伸記錄技術則為每一類事務提供一條其在ERP系統中處理過程的審計線索。
 
  

     (三)系統控制審計審查文件(System Control Audit Review File，SCARF)
 
    SCARF技術是四種持續審計技術中最復雜的一種。它要求在ERP系統中嵌入審計模塊以持續監控系統中的事務。這些審計模塊被設置在預設的地點以收集事務信息或重要的系統事件。所收集的信息寫入一個特定的審計文件——SCARF主文件；然后通過檢查包含在其中的信息，確定需要對系統的哪個方面進行跟蹤。
 
    實施SCARF的兩個步驟：
 
    1．確定SCARF收集的信息
 
    SCARF嵌入審計軟件的性質和控制點取決于所要收集的信息類型，信息類型如表1所示：

表1信息類型

 
    由于SCARF嵌入式審計軟件的完整性對于由SCARF收集來的線索的可靠性很重要，應當仔細考慮如何保護軟件的內容和完整性。應當將這些源代碼保存在庫文件中并且只允許得到授權的訪問，應用程序使用調用語句而不是直接包含嵌入式審計軟件的源代碼，相關文檔也應當妥善地加以保存，應當仔細考慮如何對這些軟件進行維護。
 
    2．SCARF報告系統的結構
 
    SCARF報告系統的結構由以下三方面決定：(1)確定如何更新SCARF文件；(2)選擇所要使用的排序編碼和報告格式；(3)選擇報告的時機。
 
    如果要把SCARF和ITF以及快照和延伸記錄技術結合起來使用，就應當確保上述決策與其他技術的決策相符。
 
    有一種更新SCARF文件的方法是讓每一個ERP系統創建一個臨時的SCARF工作文件；然后在適當的時候拷貝到SCARF主文件。這種方法很簡單。但在臨時的SCARF工作文件被拷貝到主文件中以前，會存在數據片斷，這些數據片斷可能會妨礙到SCARF的有效性，因為它妨礙了對SCARF數據的及時分析。為了避免數據片斷的問題，可以讓SCARF系統并發地更新SCARF主文件。由于要處理并發操作的問題，一般通過使用數據庫管理系統予以解決。
 
    應當仔細考慮SCARF使用的排序編碼，如果沒有適當的排序編碼，就無法有效地組織SCARF數據供審計使用。缺乏適當的報告格式。會難以解釋SCARF系統提交的數據。SCARF系統會采集大量的數據，如果不能有效地組織數據并進行摘要，就可能會忽略那些表明錯誤和違規的數據。
 
    在大多數情況下，必須確定SCARF數據收集的時間間隔，即報告周期的長短取決于所收集的審計線索的重要性和產生審計報告的成本。
 
三、結語
 
    CA的數據審計技術能夠極大地提高傳統審計的質量和效率，促進審計模式的進步和革新，這種影響是持續而深遠的。隨著信息技術的發展，會有更多適合企業審計需求和更為智能化的審計技術出現，從而不斷提升企業的管理水平和增強企業的競爭力。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：ERP系統中持續審計的數據審計技術探析

本文網址：http://www.guhuozai8.cn/html/consultation/1082038752.html